ユーザー・アカウントの調整
調整では、IBM® Security Identity Manager と管理対象サーバーの間でアカウントとサポート・データが同期化されます。データを最新かつ整合した状態にするために、調整が必要になります。
調整操作では、Active Directory からユーザー・アカウント情報を取得して、IBM Security Identity Managerのディレクトリー・サーバーに保管します。
特定の時刻に実行して特定のパラメーターを戻すように調整をスケジュールできます。 予定時刻より前に調整を実行しても、スケジュール済み調整は取り消されません。 調整をスケジュールする方法、およびスケジュール済み調整を実行する方法について詳しくは、IBM Security Identity Manager 製品資料を参照してください。
以下の調整タスクは IBM Security
Identity Manager からいつでも実行できます。
- サポート・データの調整
- 単一ユーザー・アカウントの調整
ユーザー・アカウントが調整されると、アダプターは erGroup 属性を使用して、そのユーザーがメンバーになっているグループをすべて返します。アダプターは UseGroup レジストリー・キーを参照します。
このキーは、ユーザーが属するグループのどの属性をユーザー・アカウントの erGroup 属性に追加するかを決定します。
レジストリー・キー UseGroup は、以下の値に設定できます。
- CN
- DN
- GUID
以下の表に、レジストリー・キー UseGroup の設定結果を示します。
アカウント・フォームに各グループを表示する場合は、「グループの固有名」を使用します。
これは、グループの CN、DN、または GUID を、同じサービス用に調整された各グループのグループ固有名属性にマッピングします。
| 設定値 | 結果 |
|---|---|
| CN | アダプターは、ユーザーがメンバーになっているグループの CN を erGroup 属性に追加します。 |
| DN | アダプターは、ユーザーがメンバーになっているグループの DN を erGroup 属性に追加します。 |
| GUID | アダプターは、ユーザーがメンバーになっているグループの GUID を erGroup 属性に追加します。 |
CN 値は必ず固有であるわけではないため、グループ名の値としては DN を使用してください。 GUID 値は常に固有ですが、テストと実動で同じ DN を持つグループの GUID は同じではありません。DN には、クロスドメイン・グループのメンバーシップが可能になる値を使用してください。
アカウント・フォームに基点 DN 属性が指定されている場合、調整操作では IBM Security
Identity Manager に以下が返されます。
- ユーザー基点 DN の下にあるすべてのユーザー・アカウント
- グループ基点 DN の下にあるすべてのグループ
注: 以下の条件が該当する場合、グループの固有名が表示されない場合があります。
- アカウント・フォームのユーザー・アカウントが表示されている。
- UseGroup レジストリー・キーが DN または GUID に設定されている。
- ユーザーがグループ基点 DN に含まれないグループのメンバーである。