第 7 章 データの読み込みと同期

この章では、Identity Manager でのデータの読み込みと同期機能の説明および手順を示します。また、Identity Manager のデータ同期ツール (検出、調整、および同期) を使用して、データを最新の状態に維持する方法も説明します。

この章の情報は、次のように構成されています。

• 「データ同期ツール: 最適なツールの選択」

• 「アカウント検出機能」

• 「アカウント調整」

• 「Active Sync アダプタ」

Identity Manager でのデータの読み込みと同期の動作については、『Sun Identity Manager Deployment Guide』の第 3 章「Data Loading and Synchronization」を参照してください。

データ同期ツール: 最適なツールの選択

Identity Manager には、アカウントデータのインポートと同期に使用できるいくつかのツールがあります。表 7–1 を参考にして、タスクごとに正しいツールを選択してください。

---

注 –

Identity Manager でのデータの読み込みと同期の動作については、『Sun Identity Manager Deployment Guide』の第 3 章「Data Loading and Synchronization」を参照してください。

---

表 7–1 各タスクで使用するデータ同期ツール

実行するタスク	使用する機能
読み込みの前に表示確認を行わずに、最初からリソースアカウントを Identity Manager に読み込む	リソースから読み込み
最初からリソースアカウントを Identity Manager に読み込む。オプションの作業として、読み込みの前にデータを表示および編集する	ファイルへ抽出、ファイルから読み込み
定期的にリソースアカウントを Identity Manager に読み込む。設定されたポリシーに従って各アカウントを操作する	リソースの調整
リソースアカウントの変更を Identity Manager に適用する、または読み込む	Active Sync アダプタを使用した同期 (複数リソースの実装)

アカウント検出機能

Identity Manager のアカウント検出機能を使用すると、配備とアカウント作成タスクの速度が向上します。

これらの機能には次のものがあります。

• ファイルへ抽出。リソースアダプタによって返されたリソースアカウントを、CSV 形式または XML 形式でファイルに抽出します。データを Identity Manager にインポートする前に、このファイルを処理することができます。

• ファイルから読み込み。CSV 形式または XML 形式のファイルからアカウントを読み取り、Identity Manager に読み込みます。

• リソースから読み込み。先に述べた 2 つの検出機能を組み合わせて、リソースからアカウントを抽出し、直接 Identity Manager に読み込みます。

これらのツールを使用して、新しい Identity Manager ユーザーを作成したり、リソースのアカウントを既存の Identity Manager ユーザーアカウントに相互に関連付けたりすることができます。

---

注 –

この節では、Identity Manager の検出機能を使用する方法について説明します。データの読み込みと同期の詳細については、『Sun Identity Manager Deployment Guide』の第 3 章「Data Loading and Synchronization」を参照してください。

---

ファイルへ抽出

この機能は、リソースアカウントをリソースから XML または CSV テキストファイルに抽出するために使用します。抽出したデータを確認して変更したあと、Identity Manager にインポートすることができます。

アカウントを抽出する

1. メニューバーで「アカウント」を選択し、「ファイルへ抽出」を選択します。

2. アカウントの抽出元となるリソースを選択します。

3. 出力のアカウント情報のファイル形式を選択します。データを XML ファイルに抽出できます。 また、コンマ区切り値 (CSV) 形式になったアカウント属性を使用してテキストファイルに抽出することもできます。

4. 「ダウンロード」をクリックします。「ファイルのダウンロード」ダイアログが表示され、抽出したファイルを保存するか表示するかを選択できます。

   ファイルを開く場合は、そのファイルを表示するプログラムを選択しなければならない場合があります。

ファイルから読み込み

この機能を使用すると、Identity Manager を通してリソースから抽出されたリソースアカウント、または別のファイルソースから抽出されたリソースアカウントを、Identity Manager に読み込むことができます。Identity Manager の「ファイルへ抽出」機能で作成されるファイルは XML 形式です。新しいユーザーのリストを読み込んだ場合、通常、データファイルは CSV 形式です。

CSV ファイル形式について

ほとんどの場合、読み込まれるアカウントはスプレッドシートにリストされ、コンマ区切り (CSV) 形式で保存されて、Identity Manager に読み込まれます。

CSV ファイルの内容は、次のフォーマットガイドラインに従っている必要があります。

• 1 行目。各フィールドの列見出しまたはスキーマ属性を、コンマで区切ってリストします。

• 2 行目以降。1 行目で定義した各属性の値を、コンマで区切ってリストします。フィールド値のデータが存在しない場合は、隣接するコンマでそのフィールドを表します。

  たとえば、CSV ファイルの最初の 3 行は次のようになります。

  firstname,middleinitial,lastname,accountId,asciipassword,EmployeeID,Department,Phone
  John,Q,Example,E1234,E1234,1234,Operations,555-222-1111
  Jane,B,Doe,E1111,E1111,1111,,555-222-4444

  この例では、Jane Doe (2 番目のユーザー) には部署 (Department) の値がありません。値がない場合は、隣接するコンマ (,,) で表します。

アカウントを読み込む

1. 管理者インタフェースで、メニューから「アカウント」をクリックし、「ファイルから読み込み」をクリックします。

   「アカウントのファイルからの読み込み」ページが表示されます。

   図 7–1 ファイルから読み込み

   
   

2. このページを使用して、必要なアカウントの読み込みオプションを指定します。

   このページには次のオプションがあります。

   • 「ユーザーフォーム」。読み込み結果によって Identity Manager ユーザーが作成される場合に、ユーザーフォームは組織、ロール、リソース、およびその他の属性を割り当てます。各リソースアカウントに割り当てるユーザーフォームを選択してください。

   • 「アカウント相関規則」。アカウント相関規則は、所有者のいない各リソースアカウントの所有者候補となる Identity Manager ユーザーを選択します。所有者のいないリソースアカウントの属性が与えられると、相関規則は、所有者候補のユーザーを選択するために使用される名前のリストまたは属性条件のリストを返します。所有者のいない各アカウントを所有できる Identity Manager ユーザーを検索する規則を選択してください。

   • 「アカウント確認規則」。アカウント確認規則は、相関規則で選択された所有者の候補から所有者でないものを除外します。Identity Manager ユーザーの完全なビューと所有されていないリソースアカウントの属性に対して、確認規則はユーザーがアカウントを所有していれば true を、そうでない場合は false を返します。リソースアカウントの各所有者候補をテストするための規則を選択します。「確認規則なし」を選択した場合、Identity Manager はすべての所有者候補を確認なしで受け入れます。

     ---

     注 –

     お使いの環境で、相関規則が各アカウントに対して多くとも 1 つの所有者しか選択しない場合、確認規則は必要ありません。

     ---

   • 「一致のみ読み込み」。既存の Identity Manager ユーザーに一致するアカウントだけを Identity Manager に読み込みます。このオプションが選択されている場合、不一致のリソースアカウントはすべて読み込みから破棄されます。

   • 「属性の更新」。現在の Identity Manager ユーザー属性値を、読み込まれたアカウントの属性値で置き換えます。

   • 「属性値のマージ」。1 つ以上の属性名をコンマで区切って入力し、その値を上書きせずに (重複を除いて) 結合します。このオプションは、グループやメーリングリストなどの、リストタイプの属性にのみ使用できます。また、「属性値の更新」オプションも選択する必要があります。

   • 「結果レベル」。読み込みプロセスがアカウントの個々の結果を記録するしきい値を選択します。

     • 「エラーのみ」。アカウントの読み込みでエラーメッセージが生成されたときにのみ、個々の結果を記録します。

     • 「警告およびエラー」。アカウントの読み込みで警告またはエラーメッセージが生成されたときに、個々の結果を記録します。

     • 「すべて」。すべてのアカウントで個々の結果を記録します。これを選択すると、読み込みの速度が低下します。

3. 「アップロードするファイル」フィールドで、読み込むファイルを指定して「アカウントの読み込み」をクリックします。

   ---

   注 –

   • 入力ファイルにユーザー列が含まれない場合、読み込みを正しく実行するには確認規則を選択する必要があります。

   • 読み込みプロセスに関連付けられているタスクインスタンス名は、入力ファイル名に基づいています。そのため、ファイル名を再利用すると、最後の読み込みプロセスに関連付けられているタスクインスタンスによって、以前のすべてのタスクインスタンスが上書きされます。

     「ファイルから読み込み」画面で利用可能なフィールドとオプションについては、「CSV ファイル形式について」を参照してください。

   アカウントが既存のユーザーと一致する (または相互に関連する) 場合、読み込みプロセスではアカウントがユーザーにマージされます。また、相互に関連しない入力アカウントから新しい Identity Manager ユーザーも作成されます (「相関は必須」が指定されていない場合)。

   bulkAction.maxParseErrors 設定変数は、ファイルの読み込み時に検出するエラーの数の制限を設定します。デフォルトでは、エラー数の制限は 10 です。発生したエラーの数が maxParseErrors に達すると、解析が停止します。

   ---

リソースから読み込み

この機能は、指定した読み込みオプションに従って、アカウントを直接抽出して Identity Manager にインポートします。

アカウントをインポートする

1. 管理者インタフェースで、メニューから「アカウント」をクリックし、「リソースから読み込み」をクリックします。

   「リソースからのアカウントの読み込み」ページが表示されます。

2. 「リソースからのアカウントの読み込み」ページで、読み込みオプションを指定します。

   このページの読み込みオプションは、「ファイルから読み込み」ページ (「ファイルから読み込み」) のオプションと同じです。

アカウント調整

調整機能を使用すると、Identity Manager 内のリソースアカウントとリソース上に実際に存在するアカウントを定期的に比較できます。調整により、アカウントデータが関連付けられ、違いが強調表示されます。

---

注 –

この節では、管理者インタフェースを使用して調整タスクを実行する方法について説明します。調整の詳細については、『Sun Identity Manager Deployment Guide』の第 3 章「Data Loading and Synchronization」を参照してください。

---

調整の概要

調整は処理の進行中に比較するために設計されており、次の特徴があります。

• 検索プロセスよりも具体的なアカウント状況の診断と、より広範囲な応答のサポート

• スケジュール可能 (検索では不可能)

• 差分モードの提供 (検索では常に完全モード)

• ネイティブ変更の検出 (検索では不可能)

また、リソース処理の次の各時点で任意のワークフローを起動するように調整を設定できます。

• アカウントの調整前

• アカウントごと

• すべてのアカウントの調整後

Identity Manager の調整機能には、「リソース」領域からアクセスします。リソースリストには、各リソースが最後に調整された日時および現在の調整ステータスが表示されます。

---

注 –

調整は、Identity Manager の調停コンポーネントによって実行されます。調停サーバーの設定については、マニュアルを参照してください。

---

調整ポリシーについて

調整ポリシーを使用して、調整タスクごとに各リソースに対して一連の応答を設定できます。ポリシーでは、調整を実行するサーバーを選択し、どのような場合にどのような頻度で調整を実行するかを指定して、調整中に発生した各状況に対する応答を設定します。また、アカウント属性に対して (Identity Manager を経由せずに) ネイティブに行われた変更を検出するように調整を設定することもできます。

調整ポリシーの編集

調整ポリシーを編集する

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 「リソースリスト」からリソースを選択します。

3. 「リソースアクション」リストから「調整ポリシーの編集」を選択します。

   「調整ポリシーの編集」ページが表示されます。このページでは、次のようなポリシーの項目を選択できます。

   • 「調整サーバー」。クラスタ環境では、各サーバーが調整を実行できます。ポリシーで、どの Identity Manager サーバーがリソースに対して調整を実行するのかを指定します。

   • 「調整モード」。調整は、いくつかの異なるモードで実行でき、これにより品質を最適化できます。

     • 完全調整。速度が低下しますが、完全性を最適化します。

     • 差分調整。完全性がいくらか低下しますが、速度を最適化します。

       ポリシー内で、Identity Manager がリソースに対して調整を実行するモードを選択します。目的のリソースの調整を無効化する場合は、「調整しない」を選択します。

   • 「完全調整スケジュール」。完全調整モードが有効になっている場合、調整は固定されたスケジュールで自動的に実行されます。ポリシー中で、完全調整がリソースに対してどのような頻度で実行されるかを指定します。

     • 指示されたスケジュールを上位レベルのポリシーから継承する場合は、「デフォルトポリシーを継承」オプションを選択します。

     • スケジュールを指定する場合は、「デフォルトポリシーを継承」オプションの選択を解除します。繰り返しのスケジュールを確立するために提供されたフィールドを使用するか、調整スケジュールに対するカスタム調整を作成する場合は、タスクスケジュールの繰り返し規則を使用します。タスクスケジュール繰り返し規則の作成については、「タスクスケジュール繰り返し規則の使用」を参照してください。

   • 「差分調整スケジュール」。差分調整モードが有効になっている場合、調整は固定されたスケジュールで自動的に実行されます。

     • 上位レベルのポリシーからスケジュールを継承する場合は、「デフォルトポリシーを継承」オプションを選択します。

     • スケジュールを指定する場合は、「デフォルトポリシーを継承」オプションの選択を解除します。繰り返しのスケジュールを確立するために提供されたフィールドを使用するか、調整スケジュールに対するカスタム調整を作成する場合は、タスクスケジュールの繰り返し規則を使用します。タスクスケジュール繰り返し規則の作成については、「タスクスケジュール繰り返し規則の使用」を参照してください。

     ---

     注 –

     差分調整をサポートしないリソースもあります。

     ---

   • 「属性レベル調整」。調整は、アカウント属性に対してネイティブな (つまり、Identity Manager を通さずに) 変更が加えられたことを検出するように設定できます。「調整アカウント属性」で指定した属性に対するネイティブな変更を検出するかどうかを指定します。

   • 「アカウント相関規則」。アカウント相関規則は、所有者のいない各リソースアカウントの所有者候補となる Identity Manager ユーザーを選択します。所有者のいないリソースアカウントの属性が与えられると、相関規則は、所有者候補のユーザーを選択するために使用される名前のリストまたは属性条件のリストを返します。所有者のいない各アカウントを所有できる Identity Manager ユーザーを検索する規則を選択してください。

   • 「アカウント確認規則」。アカウント確認規則は、相関規則で選択された所有者の候補から所有者でないものを除外します。Identity Manager ユーザーの完全なビューと所有されていないリソースアカウントの属性に対して、確認規則はユーザーがアカウントを所有していれば true を、そうでない場合は false を返します。リソースアカウントの各所有者候補をテストするための規則を選択します。「確認規則なし」を選択した場合、Identity Manager はすべての所有者候補を確認なしで受け入れます。

     ---

     注 –

     お使いの環境で、相関規則が各アカウントに対して多くとも 1 つの所有者しか選択しない場合、確認規則は必要ありません。

     ---

   • 「プロキシ管理者」。調整応答の実行時に使用する管理者を指定します。調整では、指定されたプロキシ管理者が許可されているアクションのみを実行できます。応答は管理者に関連付けられたユーザーフォームを必要に応じて使用します。

     「プロキシ管理者なし」オプションを選択することもできます。このオプションを選択した場合、調整結果は参照できますが、応答アクションやワークフローは実行されません。

   • 「状況オプション」 (および「応答」)。調整では、いくつかの状況が認識されます。状況は次のとおりです。「応答」列で、調整が実行する操作を指定します。

     • CONFIRMED。予想されるアカウントは存在します。

       「CONFIRMED」と認識される場合、次の条件が true となっています。

       • Identity Manager で、当該アカウントの存在が予想される。

       • 当該アカウントがリソースに存在する。

     • COLLISION。2 人以上の Identity Manager ユーザーが、1 つのリソースで同じアカウントを割り当てられています。

     • DELETED。予想されるアカウントは存在しません。

       「DELETED」と認識される場合、次の条件が true となっています。

       • Identity Manager で、当該アカウントの存在が予想される。

       • 当該アカウントがリソースに存在しない。

     • FOUND。調整プロセスは、割り当てられたリソースで一致するアカウントを発見しました。

       「FOUND」と認識される場合、次の条件が true となっています。

       • Identity Manager で当該アカウントは存在するとも存在しないとも予想される。(リソースがユーザーに割り当て済みだがまだプロビジョニングされていない場合は、アカウントはリソースに存在することもしないこともある。

       • 当該アカウントがリソースに存在する。

     • MISSING。ユーザーに割り当てられたリソースに一致するアカウントが存在しません。

       「MISSING」と認識される場合、次の条件が true となっています。

       • Identity Manager で当該アカウントは存在するとも存在しないとも予想される。(リソースがユーザーに割り当て済みだがまだプロビジョニングされていない場合は、アカウントはリソースに存在することもしないこともある。

       • 当該アカウントがリソースに存在しない。

     • UNASSIGNED。調整プロセスは、このユーザーに割り当てられていないリソースで、一致するアカウントを発見しました。

       「UNASSIGNED」と認識される場合、次の条件が true となっています。

       • Identity Manager で当該アカウントの存在が予想されない。(リソースがユーザーに割り当てられていない場合、Identity Manager ではアカウントが存在しないと予想される)

       • 当該アカウントがリソースに存在する。

     • UNMATCHED。リソースアカウントはどのユーザーとも一致しません。

     • DISPUTED。リソースアカウントは複数のユーザーと一致しています。

       次のいずれかの応答オプションを選択します (状況により、選択できるオプションは異なる)。

       • 「リソースアカウントに基づく新規ユーザーの作成」。リソースアカウント属性に対してユーザーフォームを実行し、新しいユーザーを作成します。リソースアカウントは、どのような変更が行われても更新されません。

       • 「ユーザーのリソースアカウントの作成」。ユーザーフォームを使用してリソースアカウント属性を再生成し、存在しないユーザーアカウントを作成し直します。

       • 「リソースアカウントの削除」または「リソースアカウントの無効化」。リソースのアカウントを削除または無効にします。

       • 「リソースアカウントをユーザーにリンク」および「「ユーザーからリソースアカウントへのリンクの解除」。ユーザーに対するリソースアカウントの割り当てを追加または削除します。フォーム処理は実行されません。

       • 「何もしない」。このオプションは、調整で修復を実行しない場合に選択します。

         調整で見つかったどのアカウント状況も手動で修正できます。メニューで、「リソース」、「アカウントインデックスの検査」の順にクリックします。そこから、調整済みのすべてのアカウントに対して記録された状況を閲覧できます。アカウントを右クリックすると、有効な修復オプションの一覧が表示されます。詳細については、「アカウントインデックスの検査」を参照してください。

   • 「調整前ワークフロー」。リソースを調整する前にユーザー指定のワークフローを実行するように、調整を設定できます。調整が実行するワークフローを選択してください。どのワークフローも実行しない場合は、「ワークフローを実行しない」を選択してください。

   • 「アカウント単位ワークフロー」。リソースアカウントの状況に応答したあとにユーザー指定のワークフローを実行するよう、調整を設定できます。調整が実行するワークフローを選択してください。どのワークフローも実行しない場合は、「ワークフローを実行しない」を選択してください。

   • 「調整後ワークフロー」。リソースの調整が完了したあとにユーザー指定のワークフローを実行するよう、調整を設定できます。調整が実行するワークフローを選択してください。ワークフローを実行しない場合は、「ワークフローを実行しない」を選択します。

   • 「状況を説明する」。このオプションを有効にすると、アカウントの状況がどのように分類されたかを説明する追加情報が記録されます。デフォルトでは、このオプションは無効になっています。説明を記録することで、調整プロセスの実行時間が長くなります。

   • 「エラー制限」。このオプションを有効にすると、処理中に指定数のエラーが発生した場合に調整が自動的に終了します。0 を設定すると、エラー数の制限がなくなります。「デフォルトポリシーを継承」オプションの選択を解除すると、「許容最大エラー数」フィールドが表示され、値を入力できます。

   • 「ネイティブに削除されたアカウントの最大数」。このオプションは、リソース上の見つからないアカウントの数を評価し、しきい値を超過した場合に調停サーバーがそれらをリンク解除するのを防ぐための安全措置です。

     この機能を有効にするには、「デフォルトポリシーを継承」チェックボックスをオフにし、「ネイティブに削除されたアカウントの最大許容数」フィールドにパーセンテージを指定します。しきい値は 0 ～ 100 の全パーセンテージに設定する必要があります。(0 に設定すると、この機能はオフになります。)

     削除されたアカウントのパーセンテージがしきい値を超えると、調整は存在しないアカウントに関係しないすべての処理を続行し、エラーありで終了します。

   「保存」をクリックして、ポリシーの変更を保存します。

調整の開始

この節では、調整タスクを開始する次の 2 つの方法を説明します。

• スケジュールした間隔で調整を実行する

• ただちに調整を実行する

調整を定期的に実行する

1. 「調整ポリシーの編集」の手順に従って、「調整ポリシーの編集」ページを開きます。

2. 調整のスケジュールパラメータを指定します。

   ポリシーに設定されたパラメータに従って調整が実行されます。

ただちに調整を実行する

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 「リソースリスト」からリソースを選択します。

3. 「リソースアクション」リストからオプションを選択します。

   このページには次のオプションがあります。

   • ただちに完全調整

   • ただちに差分調整

     ポリシーに設定されたパラメータに従って調整が実行されます。定期的に調整を実行するようにポリシーを設定すると、指定どおりに調整が実行されます。

調整をキャンセルする

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 「リソースリスト」から、調整をキャンセルするリソースを選択します。

3. 「リソースアクション」リストから「調整のキャンセル」を選択します。

調整ステータスの表示

調整ステータスを表示する主な方法は 2 つあります。詳細な調整ステータスを表示する場合は、特定のリソースの調整結果の概要ページを開きます。調整ステータスの一部を「リソースリスト」から直接確認することもできます。

詳細な調整ステータスを表示する

調整結果の概要ページを使用して、詳細な調整ステータスを表示します。

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 「リソースリスト」で、調整ステータスを表示するリソースを選択します。

3. 「リソースアクション」リストから「調整ステータスの表示」を選択します。

   そのリソースの調整結果の概要ページが開きます。

「リソースリスト」に調整ステータスを表示する

調整スタータスは、「リソースリスト」から確認することもできます。

1. 管理者インタフェースを開きます。

2. メインメニューの「リソース」をクリックします。

   「ステータス」列に、次のような調整ステータスの状態が表示されます。

   • 「不明」。ステータスは不明です。最後に実行された調整の結果はわかりません。

   • 「無効」。調整は無効です。

   • 「失敗」。最後に実行された調整は正常に完了していません。

   • 「成功」。最後に実行された調整は正常に完了しました。

   • 「エラーありで完了」。最後に実行された調整は完了しましたが、エラーが発生しました。

   ---

   注 –

   ステータスの変更を確認するには、このページを更新する必要があります。(情報は自動更新されません。

   ---

アカウントインデックスの操作

アカウントインデックスには、Identity Manager が認識している各リソースアカウントの最新の状態が記録されています。アカウントインデックスは主に調整によって保守されますが、ほかの Identity Manager 機能も必要に応じてアカウントインデックスを更新します。

検索ツールはアカウントインデックスを更新しません。

アカウントインデックスを検索する

アカウントインデックスを検索して、リソースアカウントの最後の既知の状態を表示します。

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 「リソースリスト」から、アカウントインデックスを検索するリソースを選択します。

3. 「リソースアクション」リストから「アカウントインデックスの検索」を選択します。

   「アカウントインデックスの検索」ページが開きます。

4. 検索タイプを選択してから、検索属性を入力または選択します。

   • 「リソースアカウント名」。このオプションを選択する場合は、「が次の文字列で始まる」、「が次の文字列を含む」、「が次の文字列と等しい」のいずれかの修飾子を選択してから、アカウント名の一部または全部を入力します。

   • 「検索対象リソース」。このオプションを選択する場合は、リストから 1 つ以上のリソースを選択して、指定したリソース上にある調整済みアカウントを検索します。

   • 「所有者」。このオプションを選択する場合は、「が次の文字列で始まる」、「が次の文字列を含む」、「が次の文字列と等しい」のいずれかの修飾子を選択してから、所有者名の一部または全部を入力します。所有者のいないアカウントを検索するには、UNMATCHED または DISPUTED 状況のアカウントを検索します。

   • 「調整状況」。このオプションを選択する場合は、リストから 1 つ以上の状況を選択して、指定した状況と一致する調整済みアカウントを検索します。

5. 「検索」をクリックし、検索パラメータに従ってアカウントを検索します。検索結果を制限するには、オプションで、「結果表示を次の件数に限定」フィールドに数を指定します。デフォルトでは、最初に見つかった 1000 個のアカウントに制限されます。

   「クエリーのリセット」をクリックしてページをクリアし、新しい項目を選択します。

アカウントインデックスの検査

すべての Identity Manager ユーザーアカウントを表示したり、ユーザーアカウントをユーザーごとに調整することもできます。

アカウントインデックスを検査する

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 二次的なメニューで「アカウントインデックスの検査」をクリックします。

   「アカウントインデックスの検査」ページが開きます。

   Identity Manager が認識するすべてのリソースアカウントが、Identity Manager ユーザーに所有されるアカウントかどうかに関係なく表形式で表示されます。この情報は、リソース別、または Identity Manager の組織別にまとめられます。この表示を変更するには、「インデックス表示の変更」リストから選択を行います。

アカウントの操作

リソースのアカウントを操作するには、「リソースごとのグループ」インデックス表示を選択します。リソースのタイプごとにフォルダが表示されます。フォルダを展開して特定のリソースに移動します。リソースの隣の + または - をクリックすると、Identity Manager が認識しているリソースアカウントがすべて表示されます。

リソースに対する最後の調整後に、そのリソースに直接追加されたアカウントは、表示されません。

アカウントの現在の状況に応じて、いくつかの操作を実行できます。アカウントを右クリックすると、有効な修復オプションの一覧が表示されます。また、アカウントの詳細を表示したり、その 1 つのアカウントを調整したりすることを選択できます。

ユーザーの操作

Identity Manager ユーザーを操作するには、「ユーザーごとのグループ」インデックス表示を選択します。この表示では、「アカウントのリスト」ページのように、Identity Manager ユーザーと組織が階層構造で表示されます。Identity Manager で現在ユーザーに割り当てられているアカウントを表示するには、ユーザーに移動してユーザー名の隣のインジケータをクリックします。ユーザーのアカウントと、Identity Manager が認識しているアカウントの現在のステータスが、ユーザー名の下に表示されます。

アカウントの現在の状況に応じて、いくつかの操作を実行できます。また、アカウントの詳細を表示したり、その 1 つのアカウントを調整したりすることを選択できます。

タスクスケジュール繰り返し規則の使用

タスクスケジュール繰り返し規則を使用して、調整スケジュールを設定できます。たとえば、土曜日にスケジュールされている調整を次の月曜日に適用するには、タスクスケジュール繰り返し規則を使用します。

タスクスケジュール繰り返し規則は、完全調整と差分調整の両方のスケジュール設定に使用できます。

タスクスケジュール繰り返し規則を選択する方法については、「調整ポリシーの編集」を参照してください。

調整実行時間のスケジュール方法

調停サーバーコンポーネントは、調整ジョブが完了すると、次の実行スケジュールをチェックします。

調停サーバーは、最初にデフォルトスケジュールをチェックして次の実行時間を取得します。次に調停サーバーは、適用可能なすべてのタスクスケジュール繰り返し規則を実行し、スケジュールの調整が必要かどうか確認します。調整が必要な場合、その調整のデフォルトスケジュールより規則のスケジュールが優先されます。

---

注 –

タスクスケジュール繰り返し規則でデフォルトスケジュールを上書きすることはできません。ジョブごとの開始時間をスケジュールする際に「優先される」だけです。

---

サンプルの「Accept All Dates」規則を表示する

この節では、組み込みの「Accept All Dates」サンプル規則について説明します。

1. テキストエディタで、Identity Manager の sample ディレクトリにある ReconRules.xml を開きます。

2. SCHEDULING_RULE_ACCEPT_ALL_DATES という名前の規則を検索します。

   規則を「調整ポリシーの編集」ページの「タスクスケジュール繰り返し規則」ドロップダウンメニューに表示するには、subtype 属性を SUBTYPE_TASKSCHEDULE_REPETITION_RULE: に設定する必要があります。

   <Rule subtype=’SUBTYPE_TASKSCHEDULE_REPETITION_RULE’ name=’SCHEDULING_RULE_ACCEPT_ALL_DATES’>

   前の説明にもあるとおり、タスクスケジュール繰り返し規則でデフォルトの調整スケジュールを変更できます。

   変数 calculatedNextDate には、デフォルトの方法で計算された次の日付を設定することも、別の日付を返すこともできます。サンプル規則に記述されているように、calculatedNextDate は無条件にデフォルトの日付を受け付けます。次の箇所を参照してください。

   <RuleArgument name=’calculatedNextDate’/> <block> <ref>calculatedNextDate</ref> </block>

   カスタムスケジュールを作成するには、<block> 要素の間にある規則のロジックを書き換えます。たとえば、調整開始時間を土曜日の午前 10:00 に変更するには、次のような JavaScript を <block> 要素の間に記述します。

   <block> <script> var calculatedNextDate = env.get(’calculatedNextDate’); // Test to see if this task is scheduled for a Saturday // (Note that 6 is used to denote Saturday in JavaScript) if(calculatedNextDate.getDay() == 6) { // If so, set the time to 10:00:00 calculatedNextDate.setHours(10); calculatedNextDate.setMinutes(0); calculatedNextDate.setSeconds(0); } // Return the modified date calculatedNextDate; </script> </block>

   「サンプルの「Accept All Dates」規則を表示する」 では、calculatedNextDate は最初にデフォルトのスケジュール時刻に設定されています。次回のスケジュールされた実行日が土曜の場合、規則は調整を 10:00 に開始するようにスケジュールします。次回のスケジュールされた実行日が土曜以外の場合、「サンプルの「Accept All Dates」規則を表示する」は時間の調整を行わずに calculatedNextDate を返し、デフォルトのスケジュールが使用されます。

   Identity Manager で使用するカスタム規則の作成については、『Sun Identity Manager Deployment Reference』の第 4 章「Working with Rules」を参照してください。

Active Sync アダプタ

Identity Manager の Active Sync 機能を使用すると、「信頼性の高い外部リソース」 (アプリケーションやデータベースなど) に格納された情報を、Identity Manager のユーザーデータと同期させることができます。Identity Manager リソースに対して同期を設定することで、信頼性の高いリソースへの変更を「リスニング」またはポールすることができます。

リソースの同期ポリシーの入力フォームを適切なターゲットオブジェクトタイプに対して指定することにより、リソース属性変更を Identity Manager に伝達する方法を設定できます。

---

注 –

この章では、管理者インタフェースを使用して Active Sync タスクを実行する方法について説明します。Active Sync の詳細については、『Sun Identity Manager Deployment Guide』の第 3 章「Data Loading and Synchronization」を参照してください。

---

同期の設定

Identity Manager は、同期ポリシーを使用してリソースの同期を有効にします。

同期を編集または設定する

各リソースには固有の同期ポリシーがあります。次の手順を使用して、同期ポリシーを設定または編集します。

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 「リソースリスト」から、同期を設定するリソースを選択します。

3. 「リソースアクション」リストから「同期ポリシーの編集」を選択します。

   そのリソースの「同期ポリシーの編集」ページが開きます。

   「同期ポリシーの編集」ページの次のオプションを指定して同期を設定します。

   • 「ターゲットオブジェクトタイプ」。ポリシーを適用するユーザーのタイプとして、Identity Manager ユーザーまたはサービスプロバイダユーザーのいずれかを選択します。

     ---

     注 –

     これらのユーザーに対してデータの同期を有効にするには、サービスプロバイダ の実装で同期ポリシー (オブジェクトタイプとしてサービスプロバイダユーザーを指定) を設定する必要があります。サービスプロバイダユーザーの詳細については、第 17 章サービスプロバイダの管理を参照してください。

     ---

   • 「スケジューリングの設定」。このセクションを使用して、起動方法とポーリングスケジュールを指定します。

     次の起動タイプを指定できます。

     • 「自動」または「フェイルオーバー付き自動」。アイデンティティーシステムの起動時にこのソースを開始します。

     • 「手動」。管理者がこのソースを開始する必要があります。

     • 「無効」。リソースを無効にします。

       いつポーリングを開始するかを指定するには、「開始日」および「開始時刻」オプションを使用します。間隔を選択し、その間隔の値を入力することにより、ポーリング周期を指定します (秒、分、時間、日、週、月)。

       ---

       注 –

       起動方法またはポーリングスケジュールを変更した場合は、サーバーを再起動して、変更を有効にする必要があります。

       ---

       ポーリング開始日と時刻を将来の日時に設定すると、指定した日時にポーリングが開始します。ポーリング開始日と時刻を過去の日時に設定すると、Identity Manager はこの情報とポーリング間隔に基づいて、いつポーリングを開始するかを決定します。

       たとえば、次のようにします。

       • リソースのアクティブな同期を 2005 年 7 月 18 日 (火曜) に設定

       • リソースのポールを週単位で、開始日を 2005 年 7 月 4 日 (月曜)、時刻を午前 9 時に設定

     この場合、リソースのポーリングは 2005 年 7 月 25 日 (次の月曜) に開始されます。

     開始日または開始時刻を指定しない場合、ただちにリソースのポーリングが開始されます。この場合、アプリケーションサーバーを再起動するたびに、アクティブな同期を行うよう設定されたリソースすべてのポーリングが、ただちに開始されます。一般的には、開始日と開始時刻を設定します。

   • 「同期サーバー」。クラスタ環境では、各サーバーが同期を実行できます。いずれかのオプションを選択して、リソースの同期を実行するために使用するサーバーを指定します。

     • どこで同期が実行されてもかまわない場合は、「使用可能なサーバーを任意に使用」を選択します。同期開始時に使用可能なサーバーのうち 1 台のサーバーが選ばれます。

     • 同期の実行に waveset.properties で指定されているサーバーを使用する場合は、「waveset.properties での設定を使用します」を選択します。(この機能は非推奨です。

     • 特定のサーバーを選択して同期を実行する場合は、「指定されたサーバーを使用」を選択し、「同期サーバー」リストから 1 台以上の使用可能なサーバーを選択します。

   • 「リソース固有の設定」。同期で処理すべきリソースのデータを決定する方法を指定するには、このセクションを使用します。

   • 「一般的な設定」。データ同期アクティビティーの一般的な設定を指定します。

     次の設定があります。

     • 「プロキシ管理者」。更新を処理する管理者を選択します。すべてのアクションは、この管理者に割り当てられた機能を通して承認されます。ユーザーフォームが空のプロキシ管理者を選択する必要があります。

     • 「入力フォーム」。データ更新を処理する入力フォームを選択します。このオプション設定項目を使用すると、属性を変換してからアカウントに保存することができます。

     • 「規則」 (省略可能)。データの同期処理中に使用する規則を選択します。

       次の設定を指定できます。

       • 「処理規則」。対象となる各アカウントに対して実行する処理規則を指定するには、この規則を選択します。この選択は、ほかのすべての選択よりも優先されます。処理規則を指定した場合、このリソースに関するほかの設定に関係なく、すべての行に対して処理が実行されます。これは、プロセス名か、またはプロセス名として評価される規則です。

       • 「相関規則」。リソースの調整ポリシーに指定されている相関規則に優先して適用される相関規則を選択します。相関規則は、リソースアカウントをアイデンティティーシステムアカウントに相互に関連付けます。

       • 「確認規則」。リソースの調整ポリシーに指定されている確認規則に優先して適用される確認規則を選択します。

       • 「プロセス解決規則」。データフィード内の複数のレコードと一致した場合に実行するタスク定義の名前を指定するには、この規則を選択します。これは、管理者に手動アクションを求めるプロセスである必要があります。これは、プロセス名か、またはプロセス名として評価される規則です。

       • 「削除規則」。削除操作を行うかどうかを決定するために、対象となるユーザー更新ごとに評価される、true または false を返す規則を選択します。

     • 「一致しないアカウントの作成」。このオプションを有効 (true) にすると、アダプタは Identity Manager システム上に存在しないアカウントの作成を試みます。有効にしない場合、アダプタは解決プロセス規則が返すプロセスを使用してアカウントを実行します。

     • 「ログの設定」。ログオプションの値を指定します。

       ログオプションは次の設定で構成されます。

       • 「ログアーカイブの最大数」。0 より大きい値を指定すると、最新の N 個のログファイルを保持します。0 を指定した場合は、1 つのログファイルが繰り返し利用されます。-1 を指定すると、ログファイルは破棄されません。

       • 「アクティブログの最大有効期間」。この期間が経過すると、アクティブログはアーカイブされます。期間が 0 (ゼロ) の場合、期間ベースのアーカイブは行われません。ログアーカイブの最大数が 0 (ゼロ) に設定されている場合は、この期間が経過してもアーカイブは行われず、アクティブログが切り捨てられて再使用されます。この期間条件は、「ログファイルの最大サイズ」に指定した条件とは別に評価されます。

         数値を入力し、次に時間の単位 (日、時間、分、月、秒、または週) を選択します。デフォルトの単位は日です。

       • 「ログファイルパス」。アクティブログとアーカイブされたログのファイルが作成されるディレクトリのパスを入力します。ログファイル名はリソース名から開始します。

       • 「ログファイルの最大サイズ」。アクティブログファイルの最大サイズをバイト単位で入力します。指定した最大サイズに達すると、アクティブログファイルはアーカイブされます。ログアーカイブの最大数が 0 (ゼロ) に設定されている場合は、この期間が経過してもアーカイブは行われず、アクティブログが切り捨てられて再使用されます。このサイズ条件は、「アクティブログの最大有効期間」に指定した期間条件とは別に評価されます。

       • 「ログレベル」。ログのレベルを指定します。

         次のログレベルを指定できます。

         • 0。ログを記録しない

         • 1。エラー

         • 2。情報

         • 3。詳細

         • 4。デバッグ

4. 「保存」をクリックして、リソースのポリシー設定を保存します。

Active Sync アダプタの編集

Active Sync アダプタを編集する前に、同期を停止します。

同期を停止する

1. 「同期ポリシーの編集」ページを開きます。手順については、「同期を編集または設定する」を参照してください。

2. 「スケジューリングの設定」で「起動タイプ」から「無効」を選択します。

   サービスプロバイダユーザーでは、「同期の有効化」オプションを選択解除します。

   アクティブな同期が無効にされたことを示す警告メッセージが表示されます。

3. 「保存」をクリックします。

   リソースに対して同期を無効にすると、変更の保存時に同期タスクが停止されます。

Active Sync アダプタのパフォーマンスのチューニング

同期はバックグラウンドタスクであるため、Active Sync アダプタ設定によってはサーバーのパフォーマンスが影響を受ける可能性があります。

次のタスクを実行して、Active Sync アダプタのパフォーマンスをチューニングします。

• 「ポーリング間隔の変更」

• 「アダプタを実行するホストの指定」

• 「開始と停止」

• 「アダプタログ」

Active Sync アダプタは、リソースリストを通じて管理します。Active Sync アダプタを選択し、「リソースアクション」リストの「同期」セクションから処理を制御する実行、停止、ステータス更新を利用してください。

ポーリング間隔の変更

ポーリング間隔は、Active Sync アダプタが新しい情報の処理を開始する時期を決定します。ポーリング間隔は、実行するアクティビティーのタイプに基づいて決定する必要があります。たとえば、アダプタがデータベースから多数のユーザーのリストを読み込み、毎回 Identity Manager の全ユーザーを更新する場合、この処理を毎日早朝に実行することを検討してください。アダプタによっては処理する新しい項目を即座に検索するため、毎分実行するよう設定できるかもしれません。

アダプタを実行するホストの指定

アダプタを実行するホストを指定するには、waveset.properties ファイルの sources.hosts プロパティーを編集する必要があります。

次のいずれかの設定を指定します。

• sources.hosts=hostname1,hostname2,hostname3 を設定します。この設定により、Active Sync アダプタを実行するマシンのホスト名がリストされます。アダプタは、このフィールドに最初にリストされた利用可能なホスト上で実行されます。

  ---

  注 –

  入力する hostname は、Identity Manager のサーバーのリストのエントリと一致する必要があります。「設定」タブからサーバーのリストを表示します。

  ---

• sources.hosts=localhost を設定します。この設定では、アダプタは、そのリソースに対して Active Sync を開始しようとする最初の Identity Manager サーバー上で実行します。

  ---

  注 –

  クラスタで特定のサーバーを指定する必要がある場合は、最初のオプションを使用する必要があります。

  このプロパティー設定は、Identity Manager ユーザーの同期にのみ適用されます。サービスプロバイダユーザーの同期におけるホスト設定は、同期ポリシーによって決定されます。

  ---

メモリーと CPU サイクルを多く必要とする Active Sync アダプタは、専用のサーバー上で実行するように設定して、システムの負荷を分散することができます。

開始と停止

Active Sync アダプタは、無効化したり、手動で開始したり、自動で開始したりすることができます。Active Sync アダプタを起動または停止するには、Active Sync リソースを変更できる適切な管理者機能が必要です。管理者機能の詳細については、「機能のカテゴリ」を参照してください。

アダプタを自動に設定すると、アプリケーションサーバーを再起動したときにアダプタが再起動されます。アダプタを開始すると、アダプタは指定したポーリング間隔で即座に実行されます。アダプタを停止すると、アダプタは次回に停止フラグを検出したときに停止します。

アダプタログ

アダプタログは、現在処理中のアダプタの情報を取得します。ログが取得する詳細の量は、設定したログレベルに応じて異なります。アダプタログは、問題のデバッグとアダプタプロセスの進行状況の監視に役立ちます。

各アダプタには独自のログファイル、パス、およびログレベルがあります。各ユーザータイプ (Identity Manager またはサービスプロバイダ) の同期ポリシーの「ログ」セクションでこれらの値を指定します。

アダプタログの削除は、アダプタが停止しているときにのみ実行してください。通常は、アダプタログを削除する前にログファイルをコピーしてアーカイブしてください。