相関規則と確認規則

使用するアクションの user フィールドに指定できる Identity Manager ユーザー名がない場合は、相関規則および確認規則を使用します。user フィールドの値を指定しない場合は、一括アクションを開始するときに相関規則を指定する必要があります。user フィールドの値を指定した場合、その操作の相関規則および確認規則は評価されません。

相関規則は、アクションフィールドに一致する Identity Manager ユーザーを検索します。確認規則は、アクションフィールドに対して Identity Manager ユーザーを検査し、ユーザーが一致するかどうかを決定します。この 2 段階の方法によって、Identity Manager は、候補のユーザーを名前または属性に基づいて迅速に見つけ出しコストのかかる検査を可能性のあるユーザーに対してのみ行うことで、相関関係を最適化できます。

相関規則または確認規則を作成するには、サブタイプがそれぞれ SUBTYPE_ACCOUNT_CORRELATION_RULE または SUBTYPE_ACCOUNT_CONFIRMATION_RULE の規則オブジェクトを作成します。

相関規則と確認規則については、『Sun Identity Manager Deployment Guide』の第 3 章「Data Loading and Synchronization」を参照してください。

相関規則

相関規則の入力は、アクションフィールドのマップです。出力は、次のいずれかでなければなりません。

• 文字列 (ユーザー名または ID を含む)

• 文字列要素のリスト (各要素にユーザー名または ID が含まれる)

• WSAttribute 要素のリスト

• AttributeCondition 要素のリスト

一般的な相関規則は、アクションのフィールドの値に基づいて、ユーザー名のリストを生成します。相関規則は、ユーザーを選択するために使用される属性条件 (Type.USER のクエリー可能な属性を参照する) のリストを生成することもできます。

相関規則では、コストを抑えることを前提に、できるだけ選択肢を絞り込むようにします。可能であれば、コストのかかる処理は確認規則に回すことをお勧めします。

属性条件は、Type.USER のクエリー可能な属性を参照する必要があります。これらは、IDM Schema Configuration という名前の Identity Manager 設定オブジェクト内で設定されます。

拡張属性で相関関係を実現するには、特殊な設定が必要です。

拡張属性は、クエリー可能として指定する必要があります。

拡張属性をクエリー可能として設定する

1. IDM Schema Configuration を開きます。IDM Schema Configuration を表示または編集するには、IDM Schema Configuration 機能を保持している必要があります。

2. <IDMObjectClassConfiguration name=’User’> 要素を見つけます。

3. <IDMObjectClassAttributeConfiguration name=’ xyz ’> 要素を見つけます。xyz はクエリー可能に設定する属性の名前です。

4. queryable=’true’ を設定します。

   「相関規則」 では、email 拡張属性がクエリー可能として定義されています。

例 3–1 email 拡張属性をクエリー可能として定義する XML (抜粋)

<IDMSchemaConfiguration>
  <IDMAttributeConfigurations>
    <IDMAttributeConfiguration name=’email’ syntax=’STRING’/>
    </IDMAttributeConfiguration>
  </IDMAttributeConfigurations>
  <IDMObjectClassConfigurations>
    <IDMObjectClassConfiguration name=’User’ extends=’Principal’ description=’User description’>
      <IDMObjectClassAttributeConfiguration name=’email’ queryable=’true’/>
    </IDMObjectClassConfiguration>
  </IDMObjectClassConfigurations>
 </IDMSchemaConfiguration>

IDM Schema Configuration の変更を有効にするには、Identity Manager アプリケーション (またはアプリケーションサーバー) を再起動する必要があります。

確認規則

確認規則の入力は次のとおりです。

• Identity Manager ユーザーの完全表示には、userview を使用します。

• アクションフィールドのマップには、account を使用します。

確認規則は、ユーザーがアクションフィールドに一致する場合、文字列形式のブール値で true を返します。 一致しない場合は false を返します。

一般的な確認規則は、ユーザー画面の内部値と、アクションフィールドの値とを比較します。相関処理のオプションの 第 2 段階として、確認規則は相関規則内に設定できないチェック (または相関規則内で評価するにはコストがかかりすぎるチェック) を実行します。

一般に、次のような場合にのみ確認規則が必要です。

• 相関規則が複数の一致するユーザーを返す

• 比較する必要があるユーザー値がクエリー可能ではない

確認規則は、相関規則によって返された一致ユーザー 1 人について 1 回実行されます。