同期アカウントインデックス
サービスプロバイダ実装でリソースの同期を行う場合、リソースが送信するイベントがサービスプロバイダディレクトリ内のユーザーに正しく関連付けられるように、「アカウントインデックス」を定義する必要がある場合があります。
デフォルトでは、ディレクトリ内の accountId 属性と一致する accountId 属性の値をリソースイベントに含める必要があります。一部のリソースでは、常に accountId が送信されるわけではありません。たとえば、Active Directory からの削除イベントには、Active Directory が生成したアカウント GUID のみが含まれます。
accountId 属性が含まれないリソースには、次のいずれかの属性の値が含まれている必要があります。
-
guid。通常、この属性にはシステムが生成する一意の識別子が含まれます。
-
identity。 通常、この属性は LDAP リソース以外のすべてのリソースの accountId と同じです。 identity にはオブジェクトの完全 DN が含まれます。
guid または identity を使用して関連付ける必要がある場合は、これらの属性のアカウントインデックスを定義する必要があります。インデックスは、リソース固有のアイデンティティーの保存に使用される可能性のある 1 つ以上のディレクトリユーザー属性を抜粋したものです。identity がディレクトリに保存されると、検索フィルタでそれらを使用して、同期イベントと関連付けることができます。
アカウントインデックスを定義するには、まず、同期に使用するリソースと、そのうちどれにインデックスが必要かを判断します。次に、サービスプロバイダディレクトリのリソース定義を編集し、各 Active Sync リソースの GUID または identity 属性のスキーママップに属性を追加します。たとえば、Active Directory から同期する場合は、manager などの未使用のディレクトリ属性にマップされた AD-GUID という名前の属性を定義します。
リソースのインデックス属性を定義する
サービスプロバイダリソースのインデックス属性のすべてを定義したら、次の手順を実行します。
-
設定ページの「同期アカウントインデックス」領域で、「新しいインデックス」ボタンをクリックします。
フォームが展開され、リソース選択フィールドと 2 つの属性選択フィールドが表示されます。属性選択フィールドは、リソースが選択されるまでは空のままです。
-
「リソース」をリストから選択します。
これで、選択したリソースのスキーママップに定義された値が属性フィールドに表示されます。
-
「GUID 属性」または「完全アイデンティティー属性」のどちらかで、適切なインデックス属性を選択します。
通常は両方を設定する必要はありません。両方を設定すると、最初に GUID、次に完全 ID を使用して関連付けが行われます。
-
ほかのリソースのインデックス属性を定義する場合は、「新しいインデックス」を再度クリックします。
-
インデックスを削除する場合は、「リソース」選択フィールドの右にある「削除」ボタンをクリックします。
インデックスを削除すると、設定からインデックスが削除されるだけであり、現在インデックス属性に保存されている値を持つ既存のディレクトリユーザーは一切変更されません。
注 –インデックスを削除すると、設定からインデックスが削除されるだけであり、現在インデックス属性に保存されている値を持つ既存のディレクトリユーザーは一切変更されません。
- © 2010, Oracle Corporation and/or its affiliates