組織へのユーザーの割り当て

各ユーザーは 1 つの組織の静的なメンバーですが、複数の組織の動的なメンバーになることもできます。

次のいずれかの方法を使用して、組織のメンバーシップを定義します。

• 「直接 (静的) 割り当て」。「ユーザーの作成」ページまたは「ユーザーの編集」ページで「ID」フォームタブを選択して、ユーザーを組織に直接割り当てます。ユーザーは、1 つの組織に直接割り当てる必要があります。

• 「規則に基づく (動的) 割り当て」。組織に割り当てられているユーザーメンバー規則を使用して、ユーザーを組織に割り当てます。規則が評価されると、メンバーユーザーの一覧が返されます。

  Identity Manager は、次の場合にユーザーメンバー規則を評価します。

  • 組織内のユーザーの一覧を出力する

  • 「ユーザーの検索」ページでユーザーを検索するときに、ユーザーメンバー規則による組織内のユーザーの検索を含める

  • ユーザーへのアクセスをリクエストする (現在の管理者がユーザーメンバー規則を持つ組織を管理している場合)

Identity Manager で規則を作成および操作する方法については、『Sun Identity Manager Deployment Reference』の第 4 章「Working with Rules」を参照してください。

「組織の作成」ページの「ユーザーメンバー規則」メニューでユーザーメンバー規則を選択します。次の図に、ユーザーメンバー規則の例を示します。

次の例は、組織のユーザーメンバーシップを動的に管理するための、サンプルのユーザーメンバー規則の構文を示しています。

ユーザーメンバー規則を作成する前に、次の点に注意してください。

• 規則を「ユーザーメンバー規則」オプションボックスに表示する場合は、authType を authType=’UserMembersRule’ に設定する必要があります。

• コンテキストは、現在認証されている Identity Manager ユーザーのセッションです。

• 定義された変数 (defvar) Team players は、Windows Active Directory のPro Ball Team 組織単位 (OU) から、そのすべてのメンバーユーザーの識別名 (DN) を取得します。

• メンバーユーザーが検出されると、append ロジックは、Pro Ball Team OU のメンバーユーザーの DN に Identity Manager リソースの名前を連結し、先頭にコロンを付加します (:smith-AD など)。

• 結果は、Identity Manager リソース名が連結された DN (dn:smith-AD など) のリストとして返されます。

例 6–1 ユーザーメンバー規則の例

<Rule name=’Get Team Players’ authType=’UserMembersRule’>
  <defvar name=’Team players’>
    <block>
      <defvar name=’player names’>
        <list/>
      </defvar>
  <dolist name=’users’>
    <invoke class=’com.waveset.ui.FormUtil’ name=’getResourceObjects’>
      <ref>context</ref>
      <s>User</s>
      <s>singleton-AD</s>
      <map>
        <s>searchContext</s>
        <s>OU=Pro Ball Team,DC=dev-ad,DC=waveset,DC=com</s>
        <s>searchScope</s>
        <s>subtree</s>
        <s>searchAttrsToGet</s>
        <list>
          <s>distinguishedName</s> 
        </list> 
      </map> 
    </invoke> 
    <append name=’player names’> 
    <concat> 
      <get> 
        <ref>users</ref>
        <s>distinguishedName</s>
      </get>
        <s>:sampson-AD</s>
    </concat>
    </append> 
  </dolist> 
    <ref>player names</ref>
  </block>
   </defvar> 
    <ref>Team players</ref>
</Rule> 

Waveset.properties の一部のプロパティーを設定して、規則に基づくユーザーメンバーリストのキャッシュを制御できます。これは、メモリーとパフォーマンスに影響します。詳細については、『Sun Identity Manager 8.1 System Administrator’s Guide』の「Tracing Rule-Driven Members Caches」を参照してください。