識別ボールトには、Identity Managerが必要とするすべての情報が格納されます。識別ボールトは、接続システム間で同期するデータのメタディレクトリの役割を果たしています。たとえば、PeopleSoftシステムからLotus Notesに同期されたデータが最初に識別ボールトに追加され、Lotus Notesシステムに送信されます。識別ボールトには、ドライバ環境設定、パラメータ、ポリシーなどのIdentity Managerに固有の情報も格納されます。
識別ボールトは、NetIQ eDirectoryデータベースを使用します。eDirectoryの使用の詳細については、『NetIQ eDirectory 8.8管理ガイド』を参照してください。
Identity Managerエンジンは、識別ボールトまたは接続アプリケーションで発生するすべてのデータ変更を処理します。識別ボールトで発生するイベントでは、エンジンによって変更が処理され、ドライバを通じてアプリケーションにコマンドが発行されます。アプリケーションで発生するイベントでは、エンジンによってドライバからの変更が受信され、その変更が処理され、識別ボールトにコマンドが発行されます。ドライバは、Identity Managerエンジンをアプリケーションに接続します。ドライバには2つの役割があります。アプリケーション内のデータ変更(イベント)をIdentity Managerエンジンにレポートすること、およびIdentity Managerエンジンによって送信されたデータ変更(コマンド)をアプリケーションに対して実行することです。ドライバは、接続アプリケーションと同じサーバにインストールする必要があります。
Identity Managerエンジンは、メタディレクトリエンジンとも呼ばれています。Identity Managerエンジンが実行されているサーバをIdentity Managerサーバと呼びます。サーバのワークロードによっては、ご使用の環境で複数のIdentity Managerサーバを使用できます。
Identity Managerリモートローダはドライバをロードし、リモートサーバにインストールされているドライバの代わりにIdentity Managerエンジンと通信します。アプリケーションをIdentity Managerエンジンと同じサーバで実行する場合、そのサーバにドライバをインストールできます。一方、アプリケーションをIdentity Managerエンジンと同じサーバで実行しない場合は、ドライバをアプリケーションサーバにインストールする必要があります。ご使用の環境のワークロードを軽減したり、設定を容易にしたりする場合、リモートローダをTomcatおよびIdentity Managerサーバとは別のサーバにインストールできます。
リモートローダの詳細については、セクション 18.2, リモートローダの理解を参照してください。
Identity Managerには識別情報ウェアハウスが含まれています。これは、お客様の組織内部の識別ボールトと接続システムの現状と望ましい状態に関する情報のインテリジェントリポジトリです。識別情報ウェアハウスでは、お客様のビジネスエンタイトルメントに関する360°のビューが提供され、組織内で識別情報に対して付与された権限や許可の過去および現在の状況を確認するのに必要な知識が得られます。
識別情報ウェアハウスに問い合わせを行うと、お客様の組織に関連するビジネスの法律および規則を完全に遵守するのに必要なあらゆる情報を取得できます。この知識をもとに、最も高度なGRC (Governance Risk and Compliance)に関する問い合わせであっても答えることができます。
識別情報ウェアハウスのインフラストラクチャには、次のコンポーネントが必要です。
アイデンティティ情報ウェアハウスは、その情報をSentinel Log Management for IGAのSIEMデータベースに格納します。Identity Reportingコンポーネントを使用すると、Identity Managerソリューションを監査してそのソリューションに関するレポートを作成できます。レポートを使用すると、ビジネスのコンプライアンス規制に従うのに役立ちます。定義済みレポートを実行して、ビジネスポリシー、ITポリシー、および企業ポリシーへのコンプライアンスを証明できます。事前定義されたレポートがニーズを満たさない場合は、カスタムレポートを作成することもできます。Identity Reportingを使用して、Identity Managerの設定のさまざまな側面に関する重要なビジネス情報を表示するレポートを生成してください。これには、識別ボールトと接続システムから収集された情報も含まれます。Identity Reportingのユーザインタフェースを使用すると、パフォーマンスを最適化するために、レポートを混雑していない時間帯に実行するようスケジュールするのが楽になります。Identity Reportingの詳細については、『Administrator Guide to NetIQ Identity Reporting』を参照してください。
データ収集サービスは、データ収集サービスドライバを使用して、識別ボールトに保存されているオブジェクト(アカウント、役割、リソース、グループ、チームメンバーシップなど)の変更をキャプチャします。このドライバは、自身をサービスに登録し、変更イベント(データの同期、追加、変更、および削除イベント)をサービスにプッシュします。
このサービスには、次の3つのサブサービスが含まれます。
レポートデータコレクタ: プルデザインモデルを使用して、1つ以上の識別ボールトデータソースからデータを取得します。収集は、一連の環境設定パラメータによって決定され、定期的に実行されます。データを収集するために、コレクタがManaged System Gateway Driverを呼び出します。
イベント駆動型データコレクタ: プッシュデザインモデルを使用して、データ収集サービスドライバが取得したイベントデータを収集します。
非管理対象アプリケーションデータコレクタ: それぞれのアプリケーション専用に記述されたRESTエンドポイントを呼び出すことによって、1つ以上の非管理対象アプリケーションからデータを取得します。非管理対象アプリケーションとは、識別ボールトに接続されていない企業内のアプリケーションのことです。
Managed System Gateway Driverは、識別ボールトに問い合わせて管理対象システムから次のタイプの情報を収集します。
すべての管理対象システムのリスト
管理対象システムのすべてのアカウントのリスト
エンタイトルメントの種類、値、割り当て、および管理対象システムのユーザアカウントプロファイル