Delegated Administrator コンソールでは、新しいロールであるサービスプロバイダ管理者 (SPA) に管理作業を委任できます。SPA は新しいタイプの下位組織を作成し、管理できます。
SPA の権限範囲は、最上位管理者 (TLA) から組織管理者 (OA) までの間です。
SPA を設置することで、第 1 章「Delegated Administrator の概要」の「3 層階層」で説明した 3 層の管理階層を作成できます。
この第 2 レベルの委任により、大規模な LDAP ディレクトリでサポートされる大規模な顧客ベースの管理が軽減される場合があります。たとえば、ISP はそれぞれ独自の組織を必要とする数百または数千の小規模ビジネスにサービスを提供できます。毎日、数十の新しい組織をディレクトリに追加する必要も生じます。
2 層階層を使用する場合、TLA がこのような組織の新規作成をすべて担当することになります。3 層階層では TLA がこれらの作業を SPA に委任できます。
SPA は新規顧客のために下位組織を作成し、その下位組織のユーザーを管理する OA を割り当てられます。
図 A–1 に、3 層の組織階層サンプルの論理図を示します。
図 A–1 の例では、プロバイダ組織が 1 つ示されています。ただし、1 つのディレクトリに複数のプロバイダ組織を格納できます。
この例では、管理作業は以下のように委任されます。
SPA は、VIS プロバイダ組織およびその下にあるすべての組織を管理する権限を持っています。SPA のロールは、DEF 組織の user1 に割り当てられています。
組織管理者 OA1 は、共有組織である DEF を管理します。この OA のロールは、DEF 組織の user2 に割り当てられています。
OA2 は共有組織 HIJ を管理します。この OA のロールは、HIJ 組織の user4 に割り当てられています。
OA3 は完全な組織 SESTA を管理します。この OA のロールは、SESTA 組織の user1 に割り当てられています。
SESTA は 1 つの完全な組織で、固有の名前空間を持っています。SESTA (sesta.com ドメイン内) の user1 は固有のユーザー ID を持っています。
プロバイダと下位組織の定義については、「サービスプロバイダ管理者で管理される組織」を参照してください。
SPA が管理権限を持つプロバイダ組織の、共有組織および完全な組織の作成、削除、変更。
図 A–1 の例では、VIS プロバイダ組織の SPA は次の作業を実行できます。
DEF、HIJ、SESTA 組織の変更または削除。
VIS プロバイダ組織下の新規組織の作成。
プロバイダ組織下のすべての組織のユーザーの作成、削除、変更。
プロバイダ組織下のすべての組織のグループの作成、削除、変更。
プロバイダ組織下のすべての組織のカレンダリソースの作成、削除、変更。
ユーザーへの OA のロールの割り当て。
たとえば、図 A–1 で示されるサンプル組織では、SPA は OA ロールを SESTA 組織の user2 に割り当てることができます。その結果、user2 は SESTA 組織のユーザーを管理できるようになります。
SPA はユーザーから OA のロールを削除することもできます。
プロバイダ組織下のほかの正当なユーザーに対する SPA のロールの割り当て (および SPA のロールの削除)。
組織へのサービスパッケージの割り当て。
サービスパッケージの詳細については、第 1 章「Delegated Administrator の概要」の 「サービスパッケージ」を参照してください。
SPA は指定されたタイプのサービスパッケージを組織に割り当て、各パッケージについて、その組織で使用できる数の上限を決定できます。
たとえば、SPA は次のサービスパッケージを割り当てられます。
DEF 組織
1,000 gold パッケージ 500 platinum パッケージ |
HIJ 組織
2,500 topaz パッケージ 500 platinum パッケージ 500 emerald パッケージ 1,000 ruby パッケージ |
SESTA 組織
2,000 silver パッケージ 1,500 gold パッケージ 100 platinum パッケージ |
SPA は Delegated Administrator コンソールを使用して上記のタスクを実行できます。このリリースでは、Delegated Administrator ユーティリティーには上記のタスクを実行するコマンドオプションは含まれていません。
TLA は既存の共有組織、または完全な組織の変更や削除ができます。TLA は、これらの組織のユーザーも管理できます。
TLA はユーザーから SPA のロールを削除することはできますが、コンソールから SPA のロールを割り当てることはできません。このリリースの Delegated Administrator の制約については、「このリリースに関する注意点」を参照してください。
TLA によって実行される管理作業の詳細については、第 1 章「Delegated Administrator の概要」の 「管理者のロールとディレクトリ階層」を参照してください。
SPA のロールは、SPA に指定された組織と、SPA が管理するプロバイダ組織の下位組織のユーザーに割り当てる必要があります。
図 A–1 の例では、VIS プロバイダ組織に SPA を作成する必要があると想定します。SPA のロールを DEF 組織の user1 に割り当てます。
プロバイダ組織のノードにはユーザーが含まれていないため、SPA は下位組織に存在している必要があります。
したがって、SPA がプロバイダ組織を管理するためには、その下に少なくとも 1 つの組織を作成する必要があります。この組織を、SPA のロールを割り当てるユーザーが所属する組織として指定します。詳細については、「プロバイダ組織とサービスプロバイダ管理者の作成」を参照してください。
このリリースの Delegated Administrator では、Delegated Administrator コンソールまたはユーティリティーを使用して SPA やプロバイダ組織を作成できません。
SPA やプロバイダ組織を作成するには、サービスプロバイダのカスタムテンプレートである da.provider.skeleton.ldif を手動で変更する必要があります。
サービスプロバイダのカスタムテンプレートを使用してこれらの作業を実行する手順については、この付録で後述する 「プロバイダ組織とサービスプロバイダ管理者の作成」を参照してください。