ユーザーのプロビジョニングのシナリオ

ビジネス上のニーズに応じて、1 人の管理者で管理される簡単なディレクトリ構造、またはプロビジョニング作業および管理作業が下位の管理者に委任される多層ディレクトリ階層を作成できます。

この項では複雑さが増す 3 つのシナリオをまとめています。次に、これらのシナリオの要件をサポートするために Delegated Administrator が提供する管理者のロールとディレクトリ構造を説明します。

単層階層

このシナリオでは、企業または組織が数百または数千の従業員またはユーザーをサポートしている場合を想定しています。すべてのユーザーは 1 つの組織にグループ化されます。単一の管理者のロールでグループ全体が表示され、管理されます。管理作業の委任は起こりません。

図 1–1 に単一組織、単層階層での管理者のロールの例を示します。

図 1–1 単層階層の管理者のロール

この単層階層では、管理者は最上位管理者 (Top-Level Administrator) (TLA) と呼ばれます。

図 1–1 に示す例では、TLA はユーザー (User1、User2 〜 Usern) を直接管理し、プロビジョニングします。

ディレクトリの組織が 1 つの場合、必要な管理者はTLA だけです。

詳細は、次の項を参照してください。

• 「単層階層をサポートするディレクトリ構造」

• 「最上位管理者のロール」

2 層階層

このシナリオでは、インターネットサービスプロバイダ (ISP) などの大企業がビジネス向けにサービスを提供しています。各ビジネスには数千、数万のユーザーを抱える固有のドメインがあります。

すべてのドメインの管理およびプロビジョニングを単一の最上位管理者 (TLA) に依存するのではなく、このシナリオでは下位の管理者への作業の委任をサポートしています。

2 層階層では、ディレクトリに複数の組織が含まれています。各ホストドメインに個別の組織が作成されます。

各組織に組織管理者 (Organization Administrator) (OA) が割り当てられます。OA はその組織のユーザーに対する責任を負います。OA はその OA の組織の外部のディレクトリ情報を表示したり、変更したりすることはできません。

図 1–2 に 2 層階層での管理者のロールの例を示します。

図 1–2 2 層階層の管理者のロール

図 1–2 に示す例では、TLA は OA1、OA2 〜 OAn を作成し、管理します。各 OA は 1 つの組織のユーザーを管理します。

ディレクトリに複数の組織が必要になる場合、TLA と OA を作成し組織とそのユーザーを管理します。

詳細は、次の項を参照してください。

• 「2 層階層をサポートするディレクトリ構造」

• 「最上位管理者のロール」

• 「組織管理者のロール」

3 層階層

このシナリオでは、ISP などの企業がそれぞれ独自の組織を必要とする数百または数千の小規模ビジネスにサービスを提供しています。

ISP はメールサービスを必要とする数百万のエンドユーザーをサポートする場合があります。さらに、ISP はエンドユーザーのビジネスを管理するサードパーティ再販業者と連携して作業する場合があります。

毎日、数十の新しい組織をディレクトリに追加する必要も生じます。

2 層階層では、TLA がこのような組織の新規作成を担当します。

3 層階層では、管理タスクは第 2 レベルの管理者に委任されます。この第 2 レベルの委任により、大規模な LDAP ディレクトリでサポートされる大規模な顧客ベースの管理が軽減される場合があります。

この階層をサポートするために、Delegated Administrator は新しいロールであるサービスプロバイダ管理者 (SPA) を導入します。

SPA の権限範囲は、最上位管理者 (TLA) から組織管理者 (OA) までの間です。

図 1–3 に 3 層階層での管理者のロールの例を示します。

図 1–3 3 層階層の管理者のロール

3 層階層では、TLA は管理権限をサービスプロバイダ管理者 (SPA) に委任します。SPA は新規顧客のために下位組織を作成し、その下位組織のユーザーを管理する組織管理者 (OA) を割り当てられます。

サブグループまたは組織に分割される複数の組織が必要になる場合、TLA、SPA、OA の各ロールを実装する 3 層階層を使用できます。

SPA のロールについては、付録 A 「サービスプロバイダ管理者とサービスプロバイダ組織」を参照してください。