7.4 Identity Managerがサーバで必要とするオブジェクトの複製

Identity Manager環境で、複数のIdentity Managerドライバを実行するために複数のサーバを呼び出す場合は、計画において、それらのIdentity Managerドライバを実行するサーバ上で特定のeDirectoryオブジェクトが複製されていることを確認してください。

読み込み、または同期を行うためにドライバで必要なオブジェクト、および属性のすべてがフィルタされたレプリカに含まれているのであれば、フィルタされたレプリカを使用することもできます。

Identity Managerのドライバオブジェクトに、同期対象のすべてのオブジェクトに対する十分なeDirectory権限を付与する必要がある点に注意してください。これは、権限を明示的に付与するか、必要な権限を持つオブジェクトと同等のドライバオブジェクトセキュリティを作成することにより行います。

Identity Managerドライバを実行中のeDirectoryサーバ(または、リモートローダを使用している場合はドライバが参照しているeDirectoryサーバ)はマスタレプリカまたは読み書き可能レプリカを保持している必要があります。

  • そのサーバのドライバセットオブジェクト。

    Identity Managerが実行されている各サーバには、1つのドライバセットオブジェクトが必要です。特定の必要がない限り、複数のサーバを同じドライバセットオブジェクトに関連付けないでください。

    メモ:ドライバセットオブジェクトを作成すると、デフォルト設定を使用して独立したパーティションが作成されます。NetIQでは、ドライバセットオブジェクトに、独立したパーティションを作成することをお勧めします。Identity Managerを機能させるには、ドライバセットオブジェクトの完全なレプリカをサーバが格納している必要があります。ドライバセットオブジェクトがインストールされている場所の完全なレプリカがサーバにある場合、パーティションは不要です。

  • そのサーバのサーバオブジェクト。

    サーバオブジェクトは、ドライバがオブジェクトの鍵のペアを生成できるようにするために必要です。さらに、リモートローダの認証にも必要です。

  • ドライバのこのインスタンスを同期するオブジェクト。

    ドライバは、オブジェクトのレプリカがドライバと同じサーバにない場合は、それらのオブジェクトを同期できません。実際に、スコープフィルタリングのルールを作成して別途指定しない限り、Identity Managerドライバはサーバで複製されるすべてのコンテナ内のオブジェクトを同期します。

    たとえば、ドライバですべてのユーザオブジェクトを同期したい場合、最も簡単なのは、すべてのユーザのマスタレプリカまたは読み書き可能レプリカを格納するサーバにあるドライバのインスタンスを1つ使用する方法です。

    ただし、多くの環境にはすべてのユーザのレプリカが含まれる1つのサーバがありません。むしろ、ユーザの完全なセットは複数のサーバに分散しています。この場合、次の3つから選択します。

    • ユーザを1つのサーバに集約します。 既存のサーバにレプリカを追加することにより、すべてのユーザを保持する1つのサーバを作成できます。必要なユーザオブジェクトおよび属性がフィルタされたレプリカに含まれている限り、必要に応じてフィルタされたレプリカを使用し、eDirectoryデータベースのサイズを小さくできます。

    • スコープフィルタリングを行って、複数のサーバ上にあるドライバの複数のインスタンスを使用します。 ユーザを1つサーバに集約したくない場合は、どのサーバセットにすべてのユーザを保持するかを判別し、それらの各サーバにIdentity Managerドライバの1つのインスタンスを設定する必要があります。

      ドライバの別々のインスタンスが同じユーザを同期しないようにするには、「スコープフィルタリング」を使用して、ドライバの各インスタンスが同期するユーザを定義する必要があります。スコープフィルタリングは、特定のコンテナに対するドライバの管理範囲を制限するルールを各ドライバに追加することを意味しています。 詳細については、スコープフィルタリングを使用した異なるサーバ上のユーザの管理を参照してください。

    • スコープフィルタリングを行わずに、複数のサーバにあるドライバの複数のインスタンスを使用します。 フィルタされたレプリカを使用せずに、複数のサーバでドライバの複数のインスタンスを実行する場合は、ドライバが同じ識別ボールト内でさまざまなオブジェクトセットを処理できるようにするポリシーを、複数のドライバインスタンスで定義する必要があります。

  • テンプレートの使用を選択した場合は、ユーザの作成時にドライバで使用されるテンプレートオブジェクト。

    Identity Managerドライバが、ユーザの作成時にeDirectoryテンプレートオブジェクトを指定するよう求めることはありません。ただし、eDirectoryでユーザを作成する際にドライバがテンプレートを使用するように指定した場合は、ドライバが実行されているサーバでテンプレートオブジェクトを複製する必要があります。

  • Identity Managerドライバがユーザの管理に使用するすべてのコンテナ。

    たとえば、無効になったユーザアカウントを保持するInactive Usersという名前のコンテナを作成した場合、ドライバが実行されているサーバ上にそのコンテナのマスタレプリカまたは読み書き可能レプリカ(可能であればマスタレプリカ)が必要です。

  • ドライバが参照する必要のある他のすべてのオブジェクト(たとえば、ドライバ用の作業順序オブジェクト)。

    他のオブジェクトがドライバによって読み込まれるだけで変更はされない場合、サーバ上にあるそれらのオブジェクトのレプリカは読み込み専用レプリカにすることができます。