7.5 スコープフィルタリングを使用した異なるサーバ上のユーザの管理

スコープフィルタリングは、特定のコンテナに対するドライバのアクション範囲を制限するルールを各ドライバに追加することを意味しています。スコープフィルタリングを使用する必要のある2つの状況を次に示します。

図 7-1は、ユーザを保持する3つのコンテナ(Marketing、Finance、およびDevelopment)が存在する識別ボールトの例を示しています。また、ドライバセットを保持するIdentity Managementコンテナも示しています。これらの各コンテナは、独立したパーティションです。この例では、Identity Manager管理者は、2つの識別ボールトサーバ(Server AとServer B)を持ち、いずれのサーバにもすべてのユーザのコピーが含まれているわけではありません。各サーバには、3つのパーティションのうち2つが含まれているため、サーバが保持している対象の範囲が重複しています。

図 7-1 スコープフィルタリングによる、各コンテナを同期するドライバの定義

管理者にとっては、ツリー内のすべてのユーザをGroupWise 2014ドライバにより同期することが望ましいのですが、すべてのユーザのレプリカを1つのサーバに集約することは望ましくありません。代わりに、GroupWise 2014ドライバの2つのインスタンスを使用(各サーバに1つのインスタンスを使用)するよう指定します。Identity Managerをインストールして、各Identity ManagerサーバでGroupWise 2014ドライバを設定します。

Server Aは、MarketingコンテナおよびFinanceコンテナのレプリカを保持しています。 このサーバにはIdentity Managementコンテナのレプリカもあり、Server AのドライバセットおよびServer AのGroupWise 2014 Driverオブジェクトを保持しています。

Server BはDevelopmentおよびFinanceコンテナのレプリカを保持し、Identity ManagementコンテナはServer BのドライバセットおよびServer BのGroupWise 2014 Driverオブジェクトを保持しています。

Server AとServer BはどちらもFinanceコンテナのレプリカを保持しているため、どちらのサーバもFinanceコンテナにあるユーザJBassadを保持しています。 スコープフィルタリングを設定しないと、GroupWise 2014 Driver AおよびGroupWise 2014 Driver Bの両方によりJBassadが同期されます。スコープフィルタリングで各コンテナを同期するドライバを定義することにより、ドライバの両方のインスタンスで同じユーザを管理するのを回避できます。

Identity Managerには、定義済みルールが付属しています。スコープフィルタリングに役立つ2つのルールがあります。Event Transformation - Scope Filtering - Include SubtreesとEvent Transformation - Scope Filtering - Exclude Subtreesです。詳細については、『NetIQ Identity Manager Understanding Policies Guide』を参照してください。

この例では、Server AおよびServer Bには定義済みルールInclude Subtreesを使用します。指定されたコンテナのユーザだけを同期するように、各ドライバには異なる範囲を定義します。 Server Aは、MarketingおよびFinanceを同期します。Server Bは、Developmentを同期します。