test

Sun Identity Manager 8.1 ビジネス管理者ガイド

PasswordSync とは

PasswordSync は、Windows Active Directory ドメイン上で行われたユーザーパスワードの変更を、Identity Manager で定義されたほかのリソースと継続的に同期します。PasswordSync は、Identity Manager と同期されるドメインの各ドメインコントローラにインストールする必要があります。また PasswordSync は、Identity Manager とは別にインストールする必要があります。

PasswordSync は、各ドメインコントローラに配置される DLL (lhpwic.dll) で構成されます。この DLL が Windows からパスワードの更新の通知を受け取り、それを暗号化して、HTTPS 経由で PasswordSync サーブレットに送信します。PasswordSync サーブレットは、Identity Manager を実行しているアプリケーションサーバーに配置されます。

注 –

HTTPS の使用が優先されますが、HTTP もサポートされています。

PasswordSync サーブレットは、Identity Manager が認識できる形式に通知を変換します。続いて、サーブレットは次のいずれかの方法を使用して、まだ暗号化されているパスワードの変更を Identity Manager に送信します。

図 11–1 に、直接接続を示します。この設定では、PasswordSync サーブレットは更新メッセージを直接 Identity Manager に送信します。

図 11–1 PasswordSync の論理図 (直接接続)

PasswordSync の論理図 (直接接続)

図 11–2 に、JMS 接続を示します。この設定では、PasswordSync サーブレットは更新メッセージを JMS Message Queue に送信します。Identity Manager の JMS リスナーリソースアダプタは、新しいメッセージがないかキューを定期的にチェックします (明るい青色の矢印)。キューはメッセージを Identity Manager に送信して応答します (濃い青色の矢印)。

図 11–2 PasswordSync の論理図 (JMS 接続)

PasswordSync の論理図 (JMS 接続)

Identity Manager はパスワードの変更の通知を受信すると、通知を復号化し、ワークフロータスクを使用して変更を処理します。ユーザーに割り当てられたすべてのリソース上でパスワードが更新され、SMTP サーバーがユーザーに電子メールを送信し、パスワード変更の状態をユーザーに通知します。

注 –

Windows が更新の通知を送信するのは、パスワードの変更が成功した場合のみです。パスワード変更リクエストがドメインのパスワードポリシーを満たさない場合、Windows はリクエストを拒否し、同期データは Identity Manager に送信されません。

図 11–3 は、パスワード更新の通知を受信したあとに、Identity Manager がワークフローを開始して、ユーザーに電子メールを送信するようすを示しています。

図 11–3 PasswordSync によるワークフローのトリガー

PasswordSync によるワークフローのトリガーを示す図

注 –

PasswordSync は、名前の末尾が $ (ドル記号) のアカウントについては、アカウントの変更通知をすべて破棄します。$ で終わるアカウント名は、Windows コンピュータアカウントとみなされます。$ で終わるユーザーアカウント名はいずれも Identity Manager に転送されません。