1.3 識別ボールトのデフォルトの構造の理解

統合インストールプロセスにより、Identity Managerのほとんどの展開環境に適した識別ボールトのデフォルトの構造が作成されます。

図 1-1 識別ボールトのデフォルトの構造

表 1-1 識別ボールトのオブジェクトの説明

オブジェクト

説明

t=idv

eDirectoryツリーの名前です。たとえば、idvです。

o=system

Identity Managerのシステムオブジェクトはすべてsystemという組織にあります。このコンテナおよびすべてのサブコンテナにアクセスできるユーザは管理者だけにしてください。詳細については、セクション 1.3.1, システムコンテナを参照してください。

ou=sa.o=system

ou=sa.o=systemコンテナは、すべてのシステムユーザを保持します。システムユーザとは、管理者、ドライバ管理者、およびその他の管理者です。

cn=admin.ou=sa.o=system

これはツリーの管理者アカウントです。

ou=servers.o=system

このコンテナは、サーバオブジェクト、およびサーバに関連付けられたすべてのオブジェクトを保持します。これにより、サーバオブジェクトを他のシステムオブジェクトから分離できます。

cn=driverset1.o=system

ドライバセットオブジェクトは、すべてのドライバオブジェクトを保持します。ドライバセットオブジェクトはシステムコンテナの直下に配置されます。

cn=User Application Driver.cn=driverset1.o=system

ユーザアプリケーションドライバは、ユーザアプリケーションに関連付けられたすべてのタスクを管理します。

cn=Role and Resource Service Driver.cn=driverset1.o=system

役割およびリソースサービスドライバは、Roles Based Provisioning Moduleに関連付けられたすべてのタスクを管理します。

cn=Data Collection Service Driver.cn=driverset1.o=system

データ収集サービスドライバは、Identity Reporting Moduleに関連付けられたタスクを管理します。

cn=Managed System Gateway Driver.cn=driverset1.o=system

Managed System Gateway Driverは、Identity Reporting Moduleに関連付けられたタスクを管理します。

cn=Role Based Service 2.o=system

このコンテナには、iManagerがIdentity Managerで動作できるようにするオブジェクトを保持します。

o=data

Identity Managerのデータオブジェクトはすべてdataという組織にあります。管理者は、すべてのユーザがこのコンテナおよびすべてのサブコンテナにアクセスできるようにする必要があります。詳細については、セクション 1.3.2, データコンテナを参照してください。

ou=users.o=data

識別ボールト内にあるすべてのユーザオブジェクトのデフォルトコンテナ。

ou=groups.o=data

識別ボールト内にあるすべてのグループオブジェクトのデフォルトコンテナ。

ou=sa.o=data

ユーザアプリケーション、Roles Based Provisioning Module、およびIdentity Reporting Moduleの役割管理者、スーパーユーザ、およびサービスアカウントのデフォルトコンテナ。

cn=uaadmin.ou=sa.o=data

ユーザアプリケーション管理者オブジェクト。

ou=Devices.o=data

デバイスのデフォルトコンテナ。

cn=security

セキュリティコンテナには、ツリーおよびIdentity Managerのすべてのセキュリティオブジェクトを保持します。このコンテナおよびすべてのサブコンテナにアクセスできるユーザは管理者だけにしてください。詳細については、セクション 1.3.3, セキュリティコンテナを参照してください。

このデフォルトの構造は主に、単一環境でのインストール向けに便利です。たとえば、これは小中規模のIdentity Managerの展開に適した構造です。マルチテナント環境では、構造がわずかに異なる可能性があります。また、この方法では、大規模なツリーや分散型のツリーを整理できません。

Identity Manager 4.0以降では、主に組織コンテナを使用するので、ユーザ、グループ、およびサービスの管理者は同じコンテナ内に配置されます。可能な限り組織(o=)を使用し、状況に適うのであれば組織単位(ou=)を使用してください。Identity Managerの構造は、システムコンテナ、データコンテナ、およびセキュリティコンテナという3つの主要コンポーネントを使用することでスケーラビリティを持つように設定されています。

1.3.1 システムコンテナ

システムコンテナは、1つの組織です。デフォルトでは、o=systemとして指定されます。このコンテナは、識別ボールトおよびIdentity Managerシステム用の技術情報および環境設定情報のすべてを保持しています。システムコンテナは、主に次のサブコンテナを保持しています。

ou=sa

サービス管理者コンテナは、識別ボールトとドライバの管理オブジェクトを保持します。管理者ユーザのみがシステムのサブツリーにアクセスできます。識別ボールトのデフォルト管理者はadmin.sa.systemです。このコンテナ内のオブジェクトをsa (サービス管理者ユーザ/スーパーユーザ/サービスアカウント)と呼ぶことがあります。

サーバ

サーバオブジェクトには、関連するさまざまなオブジェクトが存在し、それらのオブジェクトはサーバオブジェクトと同じコンテナ内に存在する必要があります。ツリーに追加されるサーバの数が増えると、それらのオブジェクトをすべてスクロールするのが非常に煩雑になる場合があります。

サーバオブジェクトはすべてservers.systemコンテナの下に含める必要があります。ただし管理者は、環境内で展開されたサーバごとに個別のサーバコンテナを作成することができます。コンテナの名前は、サーバオブジェクトの名前になります。

このような構造になっているのは、スケーラビリティを確保するためです。サーバに関連付けられているすべてのオブジェクト(ボリューム、ライセンス、証明書)が同じ場所に収まり、必要なオブジェクトを容易に検索できます。

ドライバセット

ドライバセットは、Identity Managerエンジンの環境設定中に別のパーティションとして作成されます。識別ボールトは、ドライバセットオブジェクトをシステムコンテナに保持します。この構造は、システムコンテナにさらにドライバセットを追加してスケールアップすることを可能にします。iManagerの役割ベースのサービスもシステムコンテナに格納されています。

1.3.2 データコンテナ

データコンテナは、グループ、ユーザ、役割管理者、デバイス、およびその他のオブジェクトを保持します。このデータによってシステムが構成されます。グループ、ユーザ、およびサービス管理者(sa)コンテナは組織単位です。お客様の組織上の慣習に応じて、追加の組織単位を使用してデータを構造化できます。たとえば、サービス管理者(ou=sa)コンテナは、ユーザアプリケーション管理者のオブジェクトとサービス管理者アカウントをすべて保持しています。

1.3.3 セキュリティコンテナ

セキュリティコンテナとは、識別ボールトのインストール時に作成される特殊なコンテナです。これは、dc, o,またはouの代わりにcn=securityと指定されます。このコンテナは、識別ボールトのすべてのセキュリティオブジェクトを保持します。たとえば、認証局やパスワードのポリシーが含まれています。