第 7 章データの読み込みと同期

この章では、Identity Manager でのデータの読み込みと同期機能の説明および手順を示します。Identity Manager のデータの同期ツール (検索、調整、および同期) を使用してデータを最新に保つ方法がわかります。

Identity Manager のデータの読み込みと同期機能の詳細な説明については、『Identity Manager の配備に関する技術概要』の「データ読み込みと同期」の章を参照してください。

データ同期ツール: 最適なツールの選択

Identity Manager には、アカウントデータのインポートと同期に使用できるいくつかのツールがあります。表 7-1 を参照して、タスクごとに正しいツールを選択してください。


注	Identity Manager のデータの読み込みと同期機能の詳細な説明については、『Identity Manager の配備に関する技術概要』の「データ読み込みと同期」の章を参照してください。

表 7-1 各タスクで使用するデータ同期ツール
実行するタスク	使用する機能
読み込みの前に表示確認など行わずに、最初からリソースアカウントを Identity Manager に読み込ませる	リソースから読み込み
最初からリソースアカウントを Identity Manager に読み込ませる。オプションの作業として、読み込みの前にデータを表示および編集する	ファイルへ抽出、ファイルから読み込み
定期的にリソースアカウントを Identity Manager に読み込ませる。設定されたポリシーに従って各アカウントを操作する	リソースの調整
リソースアカウントの変更を Identity Manager に適用する、または読み込ませる	Active Sync アダプタを使用した同期 (複数リソースの実装)

検索

Identity Manager アカウント検出機能を使用すると、導入とアカウント作成タスクの速度が向上します。これらの機能には次のものがあります。

「ファイルへ抽出」 －リソースアダプタによって返されたリソースアカウントをファイル (CSV または XML 形式) に抽出します。データを Identity Manager にインポートする前に、このファイルを処理することができます。

「ファイルから読み込み」 －ファイル (CSV または XML 形式) のアカウントを読み取り、Identity Manager に読み込みます。

「リソースから読み込み」 －ほかの 2 つの検索機能を組み合わせたもので、リソースからアカウントを抽出し、それを Identity Manager に直接読み込みます。

これらのツールを使用して、新しい Identity Manager ユーザーを作成したり、リソースのアカウントを既存の Identity Manager ユーザーアカウントに相互に関連付けたりすることができます。

ファイルへ抽出

この機能は、リソースアカウントをリソースから XML または CSV テキストファイルに抽出するために使用します。これにより、抽出したデータを表示して変更したあとに、Identity Manager にインポートすることができます。


注	この節では、Identity Manager の検索機能を使用する方法について説明します。データの読み込みと同期機能の詳細については、『Identity Manager の配備に関する技術概要』の「データ読み込みと同期」の章を参照してください。

メニューバーで「アカウント」を選択し、「ファイルへ抽出」を選択します。

アカウントの抽出元となるリソースを選択します。

出力のアカウント情報のファイル形式を選択します。データを XML ファイルまたはテキストファイルに抽出することができます。アカウント属性はカンマ区切り値 (CSV) 形式で表示されます。

「ダウンロード」をクリックします。Identity Manager は「ファイルのダウンロード」ダイアログを表示し、そこで、抽出したファイルを保存するか表示するかを選択できます。

ファイルを開く場合は、そのファイルを表示するプログラムを選択しなければならない場合があります。

ファイルから読み込み

この機能は、リソースアカウント、つまり Identity Manager を通じてリソースから抽出されたリソースアカウントか、別のファイルソースから抽出されたリソースアカウントを Identity Manager に読み込むために使用します。Identity Manager のファイルへ抽出機能で作成されたファイルは XML 形式です。新しいユーザーのリストを読み込んだ場合、通常、データファイルは CSV 形式です。

CSV ファイル形式について

ほとんどの場合、読み込まれるアカウントはスプレッドシートにリストされ、値をカンマで区切った CSV 形式で保存されて、Identity Manager に読み込まれます。CSV ファイルの内容は、次のフォーマットガイドラインに従っている必要があります。

1 行目 －各フィールドの列見出しまたはスキーマ属性を、カンマで区切ってリストします。

2 行目から最後まで － 1 行目で定義した各属性の値を、カンマで区切ってリストします。フィールド値のデータが存在しない場合は、連続するカンマでそのフィールドを表します。

管理者インタフェースで、メニューから「アカウント」をクリックし、「ファイルから読み込み」をクリックします。

Identity Manager の「アカウントのファイルからの読み込み」ページが表示されます。

「アカウントのファイルからの読み込み」ページで次の読み込みオプションを指定します。

「ユーザーフォーム」 －読み込み結果により Identity Manager ユーザーが作成される場合、ユーザーフォームは、ロール、リソース、およびその他の属性と同様に組織を割り当てます。各リソースアカウントに割り当てるユーザーフォームを選択してください。

「アカウント相関規則」 －アカウント相関規則は、所有者のいない各リソースアカウントの所有者候補となる Identity Manager ユーザーを選択します。所有者のいないリソースアカウントの属性が与えられると、相関規則は、所有者候補のユーザーを選択するために使用される名前のリストまたは属性条件のリストを返します。所有者のいない各アカウントを所有している可能性のある Identity Manager ユーザーを検索するための規則を選択してください。

「アカウント確認規則」 －アカウント確認規則は、相関規則が選択した所有者の候補から所有者でないものを除外します。Identity Manager ユーザーの完全なビューと所有されていないリソースアカウントの属性が与えられた場合、確認規則はユーザーがアカウントを所有していれば true を、そうでない場合は false を返します。リソースアカウントの各所有者候補をテストするための規則を選択します。「確認規則なし」を選択した場合、Identity Manager はすべての所有者候補を確認なしで受け入れます。



注	お使いの環境で、相関規則が各アカウントに対して多くとも 1 つの所有者しか選択しない場合、確認規則は必要ありません。

「一致のみ読み込み」 －既存の Identity Manager ユーザーと一致するアカウントのみを読み込むことを選択します。このオプションが選択されている場合、不一致のリソースアカウントはすべて読み込みから破棄されます。

「属性の更新」 －現在の Identity Manager ユーザー属性値を、読み込まれたアカウントの属性値で置き換えることを選択します。

「属性値のマージ」 －その属性値が上書きではなく (重複を除いて) 結合されるような、1 つ以上の属性名をカンマで区切って入力します。このオプションは、グループやメーリングリストなどの、リストタイプの属性にのみ使用できます。また、「属性値の更新」オプションも選択する必要があります。

「結果レベル」 －読み込みプロセスがアカウントの個々の結果を記録するしきい値を選択します。

「エラーのみ」 －アカウントの読み込みでエラーメッセージが生成されたときにのみ個々の結果を記録します。

「警告およびエラー」 －アカウントの読み込みで警告またはエラーメッセージが生成されたときに個々の結果を記録します。

「情報以上」 －すべてのアカウントの個々の結果を記録します。これを選択すると、読み込みの速度が低下します。

「アップロードするファイル」フィールドで、読み込むファイルを指定して「アカウントの読み込み」をクリックします。



注	入力ファイルにユーザー列が含まれていない場合は、読み込みを正常に続行するために確認規則を選択する必要があります。読み込みプロセスに関連付けられているタスクインスタンス名は、入力ファイル名に基づいています。そのため、ファイル名を再利用すると、最後の読み込みプロセスに関連付けられているタスクインスタンスによって以前のすべてのタスクインスタンスが上書きされます。

図 7-2 に、「ファイルから読み込み」画面で使用できるフィールドとオプションを示します。

図 7-2 ファイルから読み込み
読み込みプロセスを使用して、ファイルからアカウントを読み込みます。

アカウントが既存のユーザーと一致する (または相互に関連する) 場合、読み込みプロセスではアカウントがユーザーにマージされます。また、相互に関連しない入力アカウントから新しい Identity Manager ユーザーも作成されます (「相関は必須」が指定されていない場合)。

bulkAction.maxParseErrors 設定変数は、ファイルの読み込み時に検出するエラーの数の制限を設定します。デフォルトでは、エラー数の制限は 10 です。maxParseErrors の数のエラーが発生した場合、解析が停止します。

リソースから読み込み

この機能は、指定した読み込みオプションに従ってアカウントを Identity Manager に直接抽出してインポートするために使用します。

アカウントをインポートするには、次の手順に従います。

管理者インタフェースで、メニューから「アカウント」をクリックし、「リソースから読み込み」をクリックします。

「リソースからのアカウントの読み込み」ページが開きます。

「リソースからのアカウントの読み込み」ページで読み込みオプションを指定します。

このページの読み込みオプションは、「ファイルから読み込み」ページ (こちら) のオプションと同じです。

調整

調整機能を使用して、Identity Manager 内のリソースアカウントをリソース上に実際に存在するアカウントと定期的に比較できます。調整により、アカウントデータが関連付けられ、違いが強調表示されます。

調整の概要

調整は処理の進行中に比較するために設計されており、次の特徴があります。


注	この節では、管理者インタフェースを使用して調整タスクを実行する方法について説明します。調整の詳細については、『Identity Manager の配備に関する技術概要』の「データ読み込みと同期」の章を参照してください。

検索プロセスよりも具体的なアカウント状況の診断と、より広範囲な応答のサポート

スケジュール可能 (検索では不可能)

差分モードの提供 (検索では常に完全モード)

ネイティブ変更の検出 (検索では不可能)

また、リソース処理の次の各時点で任意のワークフローを起動するように調整を設定できます。

アカウントの調整前

アカウントごと

すべてのアカウントの調整後

Identity Manager 調整機能には、「リソース」領域からアクセスします。リソースリストには、各リソースが最後に調整された日時および現在の調整ステータスが表示されます。

調整ポリシーについて

調整ポリシーを使用して、調整タスクごとに各リソースに対して一連の応答を設定できます。ポリシーでは、調整を実行するサーバーを選択し、どのような場合にどのような頻度で調整を実行するかを指定して、調整中に発生した各状況に対する応答を設定します。また、アカウント属性に対して (Identity Manager を経由せずに) ネイティブに行われた変更を検出するように調整を設定することもできます。

調整ポリシーの編集


注	調整は、Identity Manager の調停サーバーコンポーネントによって実行されます。調停サーバー設定の詳細については、「調整サーバーの設定」を参照してください。

管理者インタフェースで、メニューから「リソース」をクリックします。

「リソースリスト」からリソースを選択します。

「リソースアクション」リストから「調整ポリシーの編集」を選択します。

Identity Manager は「調整ポリシーの編集」ページを表示し、ここで、次のようなポリシーの項目を選択できます。

「調停サーバー」 －クラスタ環境では、各サーバーが調整を実行できます。ポリシーで、どの Identity Manager サーバーがリソースに対して調整を実行するのかを指定します。

「調整モード」 －調整は、いくつかの異なるモードで実行でき、これにより品質を最適化できます。

「完全調整」 －スピードを犠牲にして徹底的に最適化します。

「差分調整」 －ある程度の妥協により速度を最適化します。

「完全調整スケジュール」 －完全調整モードが有効になっている場合、調整は固定されたスケジュールで自動的に実行されます。ポリシー中で、完全調整がリソースに対してどのような頻度で実行されるかを指定します。

より高いレベルのポリシーから指示されたスケジュールを継承する場合は、「デフォルトポリシーを継承」オプションを選択します。

スケジュールを指定する場合は、「デフォルトポリシーを継承」オプションをクリアします。表示されるフィールドを使用してスケジュールの繰り返しを設定したり、タスクスケジュール繰り返し規則を使用して調整スケジュールをカスタマイズしたりすることができます。タスクスケジュール繰り返し規則の作成については、「タスクスケジュール繰り返し規則の使用」を参照してください。

「差分調整スケジュール」 －差分調整モードが有効になっている場合、調整は固定されたスケジュールで自動的に実行されます。

より高いレベルのポリシーからスケジュールを継承する場合は、「デフォルトポリシーを継承」オプションを選択します。

スケジュールを指定する場合は、「デフォルトポリシーを継承」オプションをクリアします。表示されるフィールドを使用してスケジュールの繰り返しを設定したり、タスクスケジュール繰り返し規則を使用して調整スケジュールをカスタマイズしたりすることができます。タスクスケジュール繰り返し規則の作成については、「タスクスケジュール繰り返し規則の使用」を参照してください。



注	差分調整をサポートしないリソースもあります。

「属性レベル調整」 －調整は、アカウント属性に対してネイティブな (つまり、Identity Manager を介さない) 変更が加えられたことを検出するように設定できます。「調整アカウント属性」で、指定された属性へのネイティブな変更を検出するかどうかを指定します。



注	お使いの環境で、相関規則が各アカウントに対して多くとも 1 つの所有者しか選択しない場合、確認規則は必要ありません。

「プロキシ管理者」 －調整応答の実行時に使用される管理者を指定します。調整では、指定されたプロキシ管理者が実行を許可されている操作のみを実行できます。応答は、(必要な場合) この管理者と関連付けられたユーザーフォームを使用します。

「状況オプション」 (および「応答」) －調整では、数種類の状況が認識されます。状況は次のとおりです。「応答」列で、調整が実行する操作を指定します。

「CONFIRMED」 －予想されるアカウントは存在します。

「CONFIRMED」と認識される場合、次の条件が true となっています。

Identity Manager で当該アカウントの存在が予想される。

当該アカウントがリソースに存在する。

「DELETED」 －予想されるアカウントは存在しません。

「DELETED」と認識される場合、次の条件が true となっています。

Identity Manager で当該アカウントの存在が予想される。

当該アカウントがリソースに存在しない。

「FOUND」 －調整プロセスは、割り当てられたリソースに対して、一致するアカウントを発見しました。

「FOUND」と認識される場合、次の条件が true となっています。

Identity Manager で当該アカウントは存在するとも存在しないとも予想される。(リソースがユーザーに割り当て済みだがまだプロビジョニングされていない場合は、アカウントはリソースに存在することもしないこともある。)

当該アカウントがリソースに存在する。

「MISSING」 －ユーザーに割り当てられたリソースに一致するアカウントが存在しません。

「MISSING」と認識される場合、次の条件が true となっています。

当該アカウントがリソースに存在しない。

「COLLISION」 － 2 人以上の Identity Manager ユーザーが、単一のリソースに対して同じアカウントを割り当てられています。

「UNASSIGNED」 －調整プロセスは、このユーザーに割り当てられていないリソースに対して、一致するアカウントを発見しました。

「UNASSIGNED」と認識される場合、次の条件が true となっています。

Identity Manager で当該アカウントの存在が予想されない。(リソースがユーザーに割り当てられていない場合、Identity Manager ではアカウントが存在しないと予想される。)

当該アカウントがリソースに存在する。

「UNMATCHED」 －リソースアカウントはどのユーザーとも一致しません。

「DISPUTED」 －リソースアカウントは複数のユーザーと一致しています。

次のいずれかの応答オプションを選択します (状況により、選択できるオプションは異なる)。

「リソースアカウントに基づく新規 Identity Manager ユーザーの作成」 －リソースアカウント属性に基づいてユーザーフォームが実行され、新規ユーザーが作成されます。リソースアカウントは、どのような変更が行われても更新されません。

「Identity Manager ユーザーのリソースアカウントの作成」 －ユーザーフォームを使用してリソースアカウント属性を再生成し、存在しないリソースアカウントを再作成します。

「リソースアカウントの削除」および「リソースアカウントの無効化」 －リソースのアカウントを削除/無効化します。

「Identity Manager ユーザーへリソースアカウントをリンク」および「Identity Manager ユーザーからリソースアカウントへのリンク解除」 －リソースアカウント割り当てをユーザーに追加するか、ユーザーから削除します。フォーム処理は実行されません。

「何もしない」 －このオプションは、調整で修復を実行しない場合に選択します。

調整で見つかったどのアカウント状況も手動で修正できます。メニューで、「リソース」>「アカウントインデックスの検査」の順にクリックします。そこから、調整済みのすべてのアカウントに対して記録された状況を閲覧できます。アカウントを右クリックすると、有効な修復オプションの一覧が表示されます。詳細については、「アカウントインデックスの検査」を参照してください。

「調整前ワークフロー」 －調整は、リソースを調整する前にユーザー指定のワークフローを実行するように設定できます。調整が実行するワークフローを選択してください。どのワークフローも実行しない場合は、「ワークフローを実行しない」を選択してください。

「アカウント単位ワークフロー」 －調整がリソースアカウントの状況に応答したあと、ユーザー指定のワークフローを実行するように設定できます。調整が実行するワークフローを選択してください。どのワークフローも実行しない場合は、「ワークフローを実行しない」を選択してください。

「調整後ワークフロー」 －リソースの調整が完了したあとに、ユーザー指定のワークフローを実行するように設定できます。調整が実行するワークフローを選択してください。どのワークフローも実行しない場合は、「ワークフローを実行しない」を選択してください。

「状況を説明する」 －このオプションを有効にすると、アカウントの状況がどのように分類されたかを説明する詳細な情報が調整時に記録されます。デフォルトでは、このオプションは無効です。説明を記録すると、調整処理にかかる時間が長くなるからです。

「エラー制限」 －このオプションを有効にすると、処理中に発生したエラーの数がここで指定した数に達した時点で調整が自動的に終了します。0 を指定した場合、エラーの数に制限はありません。「デフォルトポリシーを継承」オプションの選択を解除すると、「許容最大エラー数」フィールドが表示され、値を入力できます。

「ネイティブに削除されたアカウントの最大数」 －このオプションは、リソースで見つからないアカウントの数を評価する保護手段で、しきい値を超えた場合に、調停サーバーでアカウントのリンク解除が行われないようにします。

ポリシーの変更を保存するには、「保存」をクリックしてください。

調整の開始

調整タスクを開始する場合は、次の 2 つのオプションが利用可能です。

調整のスケジュール －定期的に調整を実行する場合は、「調整ポリシーの編集」ページで調整スケジュールを設定します。

即座に調整 －調整をただちに実行する場合は、次の手順に従います。

管理者インタフェースで、メニューから「リソース」をクリックします。

「リソースリスト」からリソースを選択します。

「リソースアクション」リストで次のいずれかを選択します。

ただちに完全調整

ただちに差分調整

調整のキャンセル

管理者インタフェースで、メニューから「リソース」をクリックします。

「リソースリスト」から、調整をキャンセルするリソースを選択します。

「リソースアクション」リストから「調整のキャンセル」を選択します。

調整ステータスの表示

調整ステータスを表示する主な方法は 2 つあります。詳細な調整ステータスを表示する場合は、特定のリソースの調整結果の概要ページを開きます。調整ステータスの一部を「リソースリスト」から直接確認することもできます。

詳細な調整ステータスの表示

調整結果の概要ページを使用して、詳細な調整ステータスを表示します。

詳細な調整ステータスを表示するには、次の手順に従います。

管理者インタフェースで、メニューから「リソース」をクリックします。

「リソースリスト」で、調整ステータスを表示するリソースを選択します。

「リソースアクション」リストから「調整ステータスの表示」を選択します。

そのリソースの調整結果の概要ページが開きます。

「リソースリスト」での調整ステータスの表示

「リソースリスト」から調整ステータスを知ることもできます。(「リソースリスト」を表示するには、管理者インタフェースを開いて、メニューから「リソース」をクリックします。)

「ステータス」列に、次のような調整ステータスの状態が表示されます。

「不明」 －ステータスは不明です。最後に実行された調整の結果はわかりません。

「無効」 －調整は無効化されています。

「失敗」 －直前の調整は正常に完了していません。

「成功」 －直前の調整は正常に完了しています。

「エラーありで完了」 －直前の調整は完了しましたが、エラーがありました。



注	ステータスの変更を確認するには、このページを更新します。(情報は自動更新されません。)

アカウントインデックスの操作

アカウントインデックスは、Identity Manager に認識される各リソースアカウントの最後の既知の状態を記録します。アカウントインデックスは主に調整によって保守されますが、ほかの Identity Manager 機能も、必要に応じてアカウントインデックスを更新します。

アカウントインデックスの検索

アカウントインデックスを検索して、リソースアカウントの最後の既知の状態を表示します。

アカウントインデックスを検索するには、次の手順に従います。

管理者インタフェースで、メニューから「リソース」をクリックします。

「リソースリスト」から、アカウントインデックスを検索するリソースを選択します。

「リソースアクション」リストから「アカウントインデックスの検索」を選択します。

「アカウントインデックスの検索」ページが開きます。

検索タイプを選択してから、検索属性を入力または選択します。

リソースアカウント名 －このオプションを選択した場合は、「が次の文字列で始まる」、「が次の文字列を含む」、「が次の文字列と等しい」のいずれかの修飾子を選択してから、アカウント名の一部または全部を入力します。

検索対象リソース －このオプションを選択した場合は、リストから 1 つ以上のリソースを選択して、指定したリソース上にある調整済みアカウントを検索します。

所有者 －このオプションを選択した場合は、「が次の文字列で始まる」、「が次の文字列を含む」、「が次の文字列と等しい」のいずれかの修飾子を選択してから、所有者名の一部または全部を入力します。所有者のいないアカウントを検索するには、UNMATCHED または DISPUTED 状況のアカウントを検索します。

調整状況 －このオプションを選択した場合、リストから 1 つ以上の状況を選択して、指定した状況と一致する調整済みアカウントを検索します。

「検索」をクリックすると、検索パラメータに従ってアカウントを検索します。検索結果の数を制限するために、「結果表示を次の件数に限定」フィールドに数を指定することもできます。デフォルトの制限数は、検出されたアカウントの最初から 1000 件目までです。

「クエリーのリセット」をクリックすると、ページがクリアされ、新たに選択を行えます。

アカウントインデックスの検査

すべての Identity Manager ユーザーアカウントを表示することができます。また、オプションとして、それらをユーザーベースで調整することができます。

アカウントインデックスを検査するには、次の手順に従います。

管理者インタフェースで、メニューから「リソース」をクリックします。

二次的なメニューで「アカウントインデックスの検査」をクリックします。

「アカウントインデックスの検査」ページが開きます。

Identity Manager が認識するすべてのリソースアカウントが表形式で表示されます (Identity Manager ユーザーに所有されるアカウントかどうかに関係なく)。この情報は、リソース別、または Identity Manager の組織別にまとめられます。この表示を変更するには、「インデックス表示の変更」リストから選択を行います。

アカウントの操作

リソースのアカウントを操作するには、「リソースごとのグループ」インデックス表示を選択します。Identity Manager のリソースタイプごとにフォルダが表示されます。フォルダを展開して特定のリソースに移動します。リソースの隣の + または - をクリックすると、Identity Manager が認識するリソースアカウントがすべて表示されます。

リソースに対する最後の調整後に、そのリソースに直接追加されたアカウントは、表示されません。

アカウントの現在の状況に応じて、いくつかの操作を実行できます。アカウントを右クリックすると、有効な修復オプションの一覧が表示されます。また、アカウントの詳細を表示したり、その 1 つのアカウントを調整したりすることを選択できます。

ユーザーの操作

Identity Manager ユーザーを操作するには、「ユーザーごとのグループ」インデックス表示を選択します。この表示では、「アカウントのリスト」ページのように、Identity Manager ユーザーおよび組織が階層構造で表示されます。Identity Manager で現在ユーザーに割り当てられているアカウントを表示するには、ユーザーに移動してユーザー名の隣のインジケータをクリックします。ユーザーのアカウントと、Identity Manager が認識するそのアカウントの現在のステータスがユーザー名の下に表示されます。

アカウントの現在の状況に応じて、いくつかの操作を実行できます。また、アカウントの詳細を表示したり、その 1 つのアカウントを調整したりすることを選択できます。

タスクスケジュール繰り返し規則の使用

タスクスケジュール繰り返し規則を使用して、調整スケジュールを設定できます。たとえば、土曜日にスケジュールされている調整を次の月曜日に適用するには、タスクスケジュール繰り返し規則を使用します。

タスクスケジュール繰り返し規則は、完全調整と差分調整の両方のスケジュール設定に使用できます。

タスクスケジュール繰り返し規則を選択する方法については、「調整ポリシーの編集」を参照してください。

調整実行時間のスケジュール方法

調停サーバーコンポーネントは、調整ジョブが完了すると、次の実行スケジュールをチェックします。

調停サーバーは、最初にデフォルトスケジュールをチェックして次の実行時間を取得します。次に調停サーバーは、適用可能なすべてのタスクスケジュール繰り返し規則を実行し、スケジュールの調整が必要かどうか確認します。調整が必要な場合、その調整のデフォルトスケジュールより規則のスケジュールが優先されます。

「すべての日付を受け入れる」サンプル規則

この節では、「すべての日付を受け入れる」という名前の組み込みサンプル規則について説明します。


注	タスクスケジュール繰り返し規則でデフォルトスケジュールを上書きすることはできません。ジョブごとの開始時間をスケジュールする際に「優先される」だけです。

「すべての日付を受け入れる」サンプル規則を表示するには、次の手順に従います。

テキストエディタで、Identity Manager の sample ディレクトリにある ReconRules.xml を開きます。

SCHEDULING_RULE_ACCEPT_ALL_DATES という名前の規則を検索します。

規則を「調整ポリシーの編集」ページの「タスクスケジュール繰り返し規則」ドロップダウンメニューのリストに表示するには、規則の subtype 属性を SUBTYPE_TASKSCHEDULE_REPETITION_RULE に設定する必要があります。

前の説明にもあるとおり、タスクスケジュール繰り返し規則でデフォルトの調整スケジュールを変更できます。

変数 calculatedNextDate には、デフォルトモードで計算した次の日付を設定することも、別の日付を返すこともできます。サンプル規則に記述されているように、calculatedNextDate は無条件にデフォルトの日付を受け入れます。

カスタムスケジュールを作成するには、<block> 要素の間にある規則のロジックを書き換えます。たとえば、調整開始時間を土曜日の午前 10:00 に変更するには、次のような JavaScript を <block> 要素の間に記述します。

コード例 7-2 サンプルタスクスケジュール繰り返し規則のロジック


<block>
<script>
var calculatedNextDate = env.get('calculatedNextDate');

// このタスクが土曜日にスケジュールされているかどうかテスト
// (JavaScript では土曜日は 6 で表される)
if(calculatedNextDate.getDay() == 6) {
// もしそうなら、時刻を 10:00:00 に設定
calculatedNextDate.setHours(10);
calculatedNextDate.setMinutes(0);
calculatedNextDate.setSeconds(0);
}
// 変更された日付を返す
calculatedNextDate;
</script>
</block>

コード例 7-2 では、calculatedNextDate は最初、デフォルトのスケジュール時間に設定されています。次の実行予定日が土曜日であれば、この規則で調整が 10:00 に開始されるようにスケジュールされます。次の実行予定日が土曜日でない場合、コード例 7-2 から時刻の調整なしで calculatedNextDate が返され、デフォルトのスケジュールが使用されます。

Identity Manager で使用するカスタム規則の作成の詳細については、『Identity Manager 配備ツール』の「規則の操作」の章を参照してください。

Active Sync アダプタ

Identity Manager の Active Sync 機能を使用すると、アイデンティティー情報の源泉として信頼性の高い外部リソース (アプリケーションやデータベースなど) に格納された情報を、Identity Manager のユーザーデータと同期させることができます。Identity Manager リソースに対して同期を設定することで、アイデンティティー情報の源泉として信頼性の高いリソースへの変更をリスニングまたはポールすることができます。

適切なターゲットオブジェクトタイプに対するリソースの同期ポリシーの入力フォームを指定することにより、リソース属性変更の Identity Manager への伝達方法を設定できます。

同期の設定

Identity Manager は、同期ポリシーを使用してリソースの同期を有効にします。

同期ポリシーの編集


注	この章では、管理者インタフェースを使用して Active Sync タスクを実行する方法について説明します。Active Sync の詳細については、『Identity Manager の配備に関する技術概要』の「データ読み込みと同期」の章を参照してください。

管理者インタフェースで、メニューから「リソース」をクリックします。

「リソースリスト」から、同期を設定するリソースを選択します。

「リソースアクション」リストから「同期ポリシーの編集」を選択します。

そのリソースの「同期ポリシーの編集」ページが開きます。

「同期ポリシーの編集」ページの次のオプションを指定して同期を設定します。

「ターゲットオブジェクトタイプ」 －ポリシーを適用するユーザーのタイプとして、Identity Manager ユーザーまたはサービスプロバイダユーザーのいずれかを選択します。



注	これらのユーザーに対してデータの同期を有効にするには、サービスプロバイダ実装で同期ポリシー (オブジェクトタイプとしてサービスプロバイダユーザーを指定) を設定する必要があります。サービスプロバイダユーザーの詳細については、第 17 章「サービスプロバイダの管理」を参照してください。

「スケジューリングの設定」 －起動方法とポーリングスケジュールを指定するには、このセクションを使用します。

起動タイプには、「手動」、「自動」、「フェイルオーバー付自動」、または「無効」を指定できます。

「自動」または「フェイルオーバー付自動」 －アイデンティティーシステムの起動時に、このソースも起動されます。

「手動」 －管理者がこのソースを起動する必要があります。

「無効」 －リソースを無効にします。

いつポーリングを開始するかを指定するには、「開始日」および「開始時刻」オプションを使用します。間隔を選択し、その間隔の値を入力することにより、ポーリング周期を指定します (秒、分、時間、日、週、月)。

ポーリング開始日と時刻を将来の日時に設定すると、指定した日時にポーリングが開始します。ポーリング開始日と時刻を過去の日時に設定すると、Identity Manager はこの情報とポーリング間隔に基づいて、いつポーリングを開始するかを決定します。次に例を示します。

リソースのアクティブな同期を 2005 年 7 月 18 日 (火曜) に設定

リソースのポールを週単位で、開始日を 2005 年 7 月 4 日 (月曜)、時刻を午前 9 時に設定

この場合、リソースのポーリングは 2005 年 7 月 25 日 (次の月曜) に開始されます。

開始日または開始時刻を指定しない場合、ただちにリソースのポーリングが開始されます。この場合、アプリケーションサーバーを再起動するたびに、アクティブな同期を行うよう設定されたリソースすべてのポーリングが、ただちに開始されます。一般的には、開始日と開始時刻を設定します。

「同期サーバー」 －クラスタ環境では、各サーバーが同期を実行できます。いずれかのオプションを選択して、リソースの同期を実行するために使用するサーバーを指定します。

どこで同期が実行されてもかまわない場合は、「使用可能なサーバーを任意に使用」を選択します。同期開始時に使用可能なサーバーのうち 1 台のサーバーが選ばれます。

同期の実行に waveset.properties で指定されているサーバーを使用する場合は、「waveset.properties での設定を使用します」を選択します。(この機能は非推奨です。)

特定のサーバーを選択して同期を実行する場合は、「指定されたサーバーを使用」を選択し、「同期サーバー」リストから 1 台以上の使用可能なサーバーを選択します。

「リソース固有の設定」 －同期で処理すべきリソースのデータを決定する方法を指定するには、このセクションを使用します。

「共通設定」 －データ同期アクティビティーの次の一般設定を指定します。

「プロキシ管理者」 －更新を処理する管理者を選択します。すべての操作は、この管理者に割り当てられた機能を通して承認されます。ユーザーフォームが空のプロキシ管理者を選択する必要があります。

「入力フォーム」 －データ更新を処理する入力フォームを選択します。このオプション設定項目を使用すると、属性を変換してからアカウントに保存することができます。

「規則」 －データ同期プロセス中に使用する規則を指定できる次のオプションがあります。

「処理規則」 －対象となる各アカウントに対して実行する処理規則を指定するには、この規則を選択します。この選択は、ほかのすべての選択よりも優先されます。処理規則を指定した場合、このリソースに関するほかの設定に関係なく、すべての行に対して処理が実行されます。これは、プロセス名か、またはプロセス名として評価される規則です。

「相関規則」 －リソースの調整ポリシーに指定されている相関規則に優先して適用される相関規則を選択します。相関規則は、リソースアカウントをアイデンティティーシステムアカウントに相互に関連付けます。

「確認規則」 －リソースの調整ポリシーに指定されている確認規則に優先して適用される確認規則を選択します。

「解決プロセス規則」 －データフィード内の複数のレコードと一致した場合に実行するタスク定義の名前を指定するには、この規則を選択します。これは、管理者に手動アクションを求めるプロセスである必要があります。これは、プロセス名か、またはプロセス名として評価される規則です。

「削除規則」 －削除操作を行うかどうかを決定するために、対象となるユーザー更新ごとに評価される、true または false を返す規則を選択します。

「一致しないアカウントの作成」 －このオプションを有効 (true) にすると、アダプタは Identity Manager システム上に存在しないアカウントの作成を試みます。有効にしない場合、アダプタは解決プロセス規則が返すプロセスを使用してアカウントを実行します。

「ログ設定」 －次のログオプションの値を指定します。

「ログアーカイブの最大数」 －値が 0 (ゼロ) より大きい場合、最新の N 個のログファイルが保持されます。0 (ゼロ) の場合は 1 つのログファイルが繰り返し利用されます。-1 の場合、ログファイルは破棄されません。

「アクティブログの最大有効期間」 －この期間を経過すると、アクティブログはアーカイブされます。期間が 0 (ゼロ) の場合、期間ベースのアーカイブは行われません。ログアーカイブの最大数が 0 (ゼロ) に設定されている場合、この期間が経過してもアーカイブは行われず、アクティブログは切り捨てられ、再使用されます。この有効期間条件は、「ログファイルの最大サイズ」に指定される条件とは別に評価されます。

数値を入力し、次に時間の単位 (日、時間、分、月、秒、または週) を選択します。デフォルトの単位は日です。

「ログファイルパス」 －アクティブログとアーカイブされたログのファイルが作成されるディレクトリへのパスを入力します。ログファイル名はリソース名から開始します。

「ログファイルの最大サイズ」 －アクティブログファイルの最大サイズをバイト数で入力します。指定した最大サイズに達すると、アクティブログファイルはアーカイブされます。ログアーカイブの最大数が 0 (ゼロ) に設定されている場合、この期間が経過してもアーカイブは行われず、アクティブログは切り捨てられ、再使用されます。このサイズ条件は、「アクティブログの最大有効期間」に指定される条件とは別に評価されます。

「ログレベル」 －ログのレベルを入力します。

0 －ログなし

1 －エラー

2 －情報

3 －詳細

4 －デバッグ

「保存」をクリックして、リソースのポリシー設定を保存します。

Active Sync アダプタの編集

「同期ポリシーの編集」ページを開きます。(詳細については、「同期ポリシーの編集」を参照してください。)

「スケジューリングの設定」で「起動タイプ」から「無効」を選択します。

サービスプロバイダユーザーでは、「同期の有効化」オプションを選択解除します。

アクティブな同期が無効にされたことを示す警告メッセージが表示されます。

「保存」をクリックします。

リソースに対して同期を無効にすると、変更の保存時に同期タスクが停止されます。

Active Sync アダプタのパフォーマンスのチューニング

同期はバックグラウンドタスクであるため、Active Sync アダプタ設定によってはサーバーのパフォーマンスが影響を受ける可能性があります。次のタスクを実行して、Active Sync アダプタのパフォーマンスをチューニングします。

Active Sync アダプタは、リソースリストを通じて管理します。Active Sync アダプタを選択し、「リソースアクション」リストの「同期」セクションから処理を制御する実行、停止、ステータス更新を利用してください。

ポーリング間隔の変更

ポーリング間隔は、Active Sync アダプタが新しい情報の処理を開始する時期を決定します。ポーリング間隔は、実行するアクティビティーのタイプに基づいて決定する必要があります。たとえば、アダプタがデータベースから多数のユーザーのリストを読み込むたびに、Identity Manager の全ユーザーを更新する場合、この処理を毎日早朝に実行するとします。アダプタによっては処理する新しい項目を即座に検索するため、毎分実行するよう設定できるかもしれません。

アダプタを実行するホストの指定

アダプタを実行するホストを指定するには、waveset.properties ファイルを編集します。sources.hosts プロパティーを次のいずれかのオプションに編集します。

sources.hosts=hostname1,hostname2,hostname3 と設定します。これにより、Active Sync アダプタを実行するマシンのホスト名がリストされます。アダプタは、このフィールドに最初にリストされた利用可能なホスト上で実行されます。



注	入力する hostname は、サーバーの Identity Manager リスト内のエントリと一致する必要があります。「設定」タブからサーバーのリストを表示します。

sources.hosts=localhost と設定します。この設定では、アダプタは、そのリソースに対して Active Sync を開始しようとする最初の Identity Manager サーバー上で実行します。



注	クラスタで特定のサーバーを指定する必要がある場合は、最初のオプションを使用する必要があります。このプロパティー設定は、Identity Manager ユーザーの同期にのみ適用されます。サービスプロバイダユーザーの同期におけるホスト設定は、同期ポリシーによって決定されます。

メモリーと CPU サイクルを多く必要とする Active Sync アダプタは、専用のサーバー上で実行するように設定して、システムの負荷を分散することができます。

開始と停止

Active Sync アダプタは、無効化したり、手動で開始したり、自動で開始したりすることができます。Active Sync アダプタを起動または停止するには、Active Sync リソースを変更できる適切な管理者機能が必要です。管理者機能の詳細については、「機能のカテゴリ」を参照してください。

自動に設定すると、アプリケーションサーバーが再起動したときにアダプタが再起動されます。アダプタを開始すると、アダプタは指定したポーリング間隔で即座に実行します。アダプタを停止すると、アダプタは次回に停止フラグを検出したときに停止します。

アダプタログ

アダプタログは、現在処理中のアダプタの情報を取得します。ログが取得する詳細の量は、設定したログレベルに応じて異なります。アダプタログは、問題のデバッグとアダプタプロセスの進行状況の監視に役立ちます。

各アダプタには独自のログファイル、パス、およびログレベルがあります。適切なユーザータイプ (Identity Manager またはサービスプロバイダ) の同期ポリシーの「ログ」セクションでこれらの値を指定します。

アダプタログの削除

アダプタログは、アダプタが停止されたときにのみ削除しなければなりません。ほとんどの場合は、ログを削除する前に、ログをコピーしてアーカイブしておきます。

前へ目次索引次へ
Sun™ Identity Manager 8.0 管理ガイド