アイデンティティーとディレクトリ構造の設計

ポータルの実装の主な部分は、ディレクトリ情報ツリー (DIT) の設計です。DIT は、ユーザー、組織、サブ組織などを論理構造または階層構造に編成することにより、管理を効率的に行い、適切なアクセス権限をユーザーに割り当てることを可能にします。

Access Manager の組織ツリー の最上位は、デフォルトで dc=fully-qualified-domain-name と呼ばれ、インストール時に変更または指定できます。インストール後に、追加の組織を作成して、別の企業を管理することができます。作成された組織はすべて最上位組織の下に配置されます。これらのサブ組織内で、他のサブ組織を入れ子にできます。入れ子の構造の深さには制限がありません。

ツリーの最上位を dc と呼ぶ必要はありません。必要に応じてこの名前を変更できます。ただし、たとえば、dc など一般的な最上位で編成されたツリーでは、ツリー内の組織はロールを共有することができます。

ロールは、より効果的に、またより簡単にアプリケーションを使用するように設計されたグループ化メカニズムです。それぞれのロールはメンバー、あるいはロールを保有するエントリを持ちます。グループの場合と同じく、ロールのメンバーは明示的またはダイナミックに指定できます。

ロールメカニズムにより、そのエントリがメンバーになっているすべてのロール定義の識別名 (Distinguished Name、DN) を含む nsRole 属性が自動的に生成されます。各ロールは、1 人または複数のユーザーに付与できる、単一の権限や権限のセットを含んでいます。複数のロールを 1 人のユーザーに割り当てることができます。

ロールの権限はアクセス制御命令 (ACI) で定義されます。Portal Server には、いくつかのロールが事前に定義されています。Portal Server 管理コンソールを使用してロールの ACI を編集し、ディレクトリ情報ツリー内でアクセス権を割り当てることができます。用意されている例には、SuperAdmin Role および TopLevelHelpDeskAdmin ロールが含まれます。組織間で共有できるその他のロールを作成することもできます。

カスタム Access Manager サービスの作成

Access Manager のサービス管理は、Access Manager サービスとして属性のグループを定義、統合、および管理する手段になります。

管理のためにサービスを準備するには、次の手順が伴います。

• XML サービスファイルを作成します。

• 新しいオブジェクトクラスで LDIF ファイルを設定し、XML サービスファイルと新しい LDIF スキーマの両方を Directory Service にインポートします。

• Access Manager の管理コンソールを使用して、複数のサービスを組織またはサブ組織に登録します。

• 組織ごとに属性 (登録後) の管理およびカスタマイズを行います。

Access Manager および Directory Server 構造の計画に関する詳細については、『Sun Java System Portal Server Secure Remote Access 6 2005Q4 管理ガイド』、『Sun Java System Directory Server Enterprise Edition 6 2006Q1 配備計画ガイド』および『Access Manager 配備計画ガイド』を参照してください。