サービスプロバイダのユーザー同期

サービスプロバイダユーザーの同期は、同期ポリシーによって有効になります。Identity Manager でリソースの属性に加えた変更をサービスプロバイダユーザーと同期させるには、サービスプロバイダ同期を設定する必要があります。

次のトピックでは、サービスプロバイダ実装で同期を有効にする方法を説明します。

• 「同期の設定」

• 「同期の監視」

• 「同期の開始と停止」

• 「ユーザーの移行」

サービスプロバイダ同期は、Identity Manager の「リソース」領域のリソースリストから設定します。

同期の設定

サービスプロバイダ同期を設定するには、「同期を編集または設定する」の説明に従ってリソースの同期ポリシーを編集します。

同期ポリシーを編集するときに、次のオプションを指定して、サービスプロバイダユーザーの同期プロセスを有効にする必要があります。

• 「ターゲットオブジェクトタイプ」として「サービスプロバイダユーザー」を選択します。

• 「スケジューリングの設定」領域で、「同期の有効化」を選択します。

「同期を編集または設定する」の説明に従って、実際の環境に合わせて他のオプションを指定します。サービスプロバイダ同期タスクのデフォルトの同期間隔は 1 分です。

確認規則とフォームでは、Identity Manager 入力ユーザービューではなく、IDMXUser ビューを使用する必要があります (詳細は『Sun Identity Manager Service Provider 8.1 Deployment 』を参照)。

その理由は、確認規則は相関規則で識別されるユーザーごとにユーザービューにアクセスするので、同期パフォーマンスに影響するためです。

「保存」をクリックしてポリシー定義を保存します。ポリシーで同期を無効にしなかった場合、同期は指定されたとおりにスケジュールされます。同期の無効を指定した場合、現在実行されている同期サービスは停止されます。有効にすると、Identity Manager サーバーを再起動したとき、または同期リソースアクションの下の「サービスプロバイダに対して開始」を選択したときに、同期が開始されます。

同期の監視

Identity Manager には、サービスプロバイダ同期を監視するために次の方法が用意されています。

• 「リソース」リストの説明フィールドに同期ステータスを表示する。

• JMX インタフェースを使用して同期の測定基準を監視する。

同期の開始と停止

Identity Manager をサービスプロバイダ実装用に設定する場合、サービスプロバイダ同期はデフォルトで有効になります。

サービスプロバイダの Active Sync を無効にする

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

   「リソースのリスト」ページが開きます。

2. 「サービスプロバイダ」領域でリソースを選択し、「同期ポリシーの編集」をクリックしてポリシーを編集します。

3. 「同期の有効化」チェックボックスを選択解除します。

4. 「保存」をクリックします。

   ポリシーが保存されると、同期は停止します。

   同期を無効にせずに停止するには、同期リソースアクションの「サービスプロバイダに対して停止」を選択します。

   ---

   注 –

   同期を無効にせずにリソースアクションを使用して同期を停止した場合、いずれかの Identity Manager サーバーを起動すると、同期がふたたび開始されます。

   ---

ユーザーの移行

サービスプロバイダ機能には、サンプルのユーザー移行タスクと関連スクリプトが含まれています。このタスクにより、既存の Identity Manager ユーザーが サービスプロバイダユーザーディレクトリに移行されます。この節では、サンプル移行タスクの使用方法について説明します。使用状況に応じて、このサンプルを変更することをお勧めします。

既存の Identity Manager ユーザーを移行する

1. 管理者インタフェースで、メニューから「サーバータスク」をクリックします。

   「タスクの検索」ページが開きます。

2. 二次的なメニューから「タスクの実行」をクリックします。

3. 「SPE の移行」をクリックします。

4. 一意の「タスク名」を入力します。

5. 「リソース」をリストから選択します。

   これは、サービスプロバイダディレクトリサーバーを表す Identity Manager のリソースです。Identity Manager ユーザーで見つかったこのリソースへのリンクは移行されません。

6. 「アイデンティティー属性」を入力します。

   これは、ディレクトリユーザーの短い一意の ID を含む Identity Manager ユーザー属性です。

7. 「ID 規則」をリストから選択します。

   これは、Identity Manager ユーザーの属性からディレクトリユーザーの名前を生成できるオプションの規則です。ID 規則は単純名 (通常は uid) を生成することができます。 その後、この名前はリソースのアイデンティティーテンプレートで処理され、ディレクトリサーバーの識別名 (DN) を形成します。また、この規則は、アイデンティティーテンプレートを使用しない完全指定 DN を返すこともあります。

8. 「起動」をクリックして、バックグラウンドでの移行タスクを開始します。