関連付け

Addイベントでない場合、次の段階としてコマンド変換に移動します。

Identity Managerの操作 57

6.8.2 購読者

購読者チャネルでは、Addプロセッサは、イベントがAddイベントかどうかを判断するときに使用 されます。Addイベントならば、マッチングルールによって処理されます。Identity Managerエンジ ンが識別ボールトオブジェクトの関連付け値を使用して、接続システム内の正しいオブジェクトを シムが変更できるようにします。詳細については、62ページのセクション6.13.3「関連付け」を参 照してください。

Addイベントでない場合、次の段階としてコマンド変換に移動します。

ModifyイベントがAddプロセッサに到達したときに実際のオブジェクトへと解決する関連付けが含

まれていない場合、Identity Managerエンジンが作成を試行します。これを合成Add処理といい、発 行者チャネルと購読者チャネルのどちらでも発生する可能性があります。

Identity ManagerエンジンはModifyイベントを使用して、どのオブジェクトを操作するかを特定し

ます。次に、フィルタを使ってソースに問い合わせ、そのオブジェクトに利用できる属性のうち、

現在のチャネル上でSyncまたはNotifyに設定されているものをすべて取得します。さらにModify イベントを廃棄して、それに代わるAddイベントを作成します。Addイベントは、マッチング、作 成、配置、およびコマンド変換ルールを通過します(購読者チャネルではスキーママップと出力変 換も通過します)。イベント変換ルールは、合成Addには適用されません。これは、ルールの位置 がAddプロセッサより前にあるためです。

6.9 マッチングルール

マッチングルールが、識別ボールト内の既存オブジェクトと接続システム内の既存オブジェクト間 でリンクを確立します。マッチングルールは、識別ボールト内のオブジェクトと、対応するエント リとしてマークされた接続システム内のオブジェクトで、一致する必要があるクラスと属性値を指 定します。

優れたマッチングルールを作成するには、関係する2つのシステムを調べ、両システム間で確実に 一対一のマッピングになるデータを探す必要があります。従業員ID番号などの属性、電子メール アドレス、およびIDカード番号は、マッチング基準の要素として使用される一般的なデータです。

特定の属性が存在しない場合は、属性の組み合わせを使用できます。Surnameだけのマッチングは 適切な基準ではありません。たとえば、規模の大きな組織の場合、2人の従業員が同じ姓を持つ可 能性があります。Surname + Given Nameのマッチングによって、高いマッチング品質を実現でき、

Surname + Given Name + Departmentのマッチングによって、マッチングの確実性を向上できます。

マッチングに成功した場合は、2つのオブジェクト間に関連付けが作成されます。マッチングに失 敗した場合は、作成ルールを使用します。

 57ページのセクション6.9.1「発行者」

 58ページのセクション6.9.2「購読者」

6.9.1 発行者

マッチングルールは、識別ボールトのオブジェクトをアプリケーションの対応するオブジェクトと リンクするために使用します。マッチングルールは、マッチング基準を使用して識別ボールトに問 い合わせ、一致するオブジェクトを検索します。マッチングルールは、一致するオブジェクトがな い場合はゼロを返します。したがって、Addの処理が続行されます。1つの一致するオブジェクト が検出された場合には1を返します。これは入力文書のオブジェクトが識別ボールトのオブジェク トと一致したことを意味します。オブジェクトの一致後、2つのオブジェクト間のデータがフィル

タ設定に基づいてマージされます。一致するオブジェクトが複数見つかった場合、Identity Manager エンジンはこれをエラーとして扱い、処理を中止します。マッチングルールを変更するか、この重 複を手動で処理する必要があります。

6.9.2 購読者

購読者チャネルではマッチングルールが、Addイベント発生時に機能し、一致するオブジェクトを 検索する接続システムへの問い合わせのために識別ボールトデータを使用します。シムを使用して 接続システムへ問い合わせる機能は、アプリケーション名の形式に加えられた変更を元に戻すス キーママッピングや出力変換に応じて変わる場合があります。

6.10 作成ルール

作成ルールは、マッチングルールが一致の検出に失敗した場合に、Addイベントに適用されます。

作成ルールは、オブジェクトを識別ボールトまたは接続システムで作成できるようにするために、

あらかじめイベントに与えられている必要がある最低限のデータを指定します。

 58ページのセクション6.10.1「発行者」

 58ページのセクション6.10.2「購読者」

6.10.1 発行者

マッチングルールで一致するオブジェクトが識別ボールトに見つからないと、その文書に作成ルー ルが適用され、十分な情報が文書に確保されます。作成ルールは、属性のデフォルト値を設定した り、新規オブジェクトの作成時に使うテンプレートを指定したりする目的でも使用されます。識別 ボールトと同期するオブジェクトの場合、CNや姓など、ユーザを作成するために必要な必須の属 性がスキーマに存在する可能性があります。オブジェクトクラスやユースケースにはそれぞれ、異 なる要件が存在する可能性があります。

Addイベントが作成ルールの条件を満たさない場合、作成ルールではAddイベントを拒否すること もできます。たとえば、作成ルールがオブジェクトに電話番号を要求するとき、オブジェクトに電 話番号がない場合にはAddイベントが失敗します。

破棄されたイベントは、接続システムで属性情報が追加されたときに再度処理されます。これによ り、変更イベントがオブジェクトの関連付けなしに発生します。この変更イベントはAddプロセッ サによって合成Addに変換されます。

6.10.2 購読者

接続システムでオブジェクトを作成するとき、イベントに十分な情報があるかどうかを判断する場 合に、購読者チャネルでの作成ルールが、発行者チャネルと同様に機能します。これには、接続シ ステムとその技術的またはビジネス上の要件についての知識が必要です。

作成ルールは、しばしば（生成元のイベントからの）新しいオブジェクトで利用可能な属性を評価 するために使用され、必須のオブジェクトのいずれかがない場合に、新しいオブジェクトの作成を 拒否します。購読者チャネルでの最も一般的な例は、パスワードの要求です。通常、ユーザは識別 ボールトで2段階で作成されます。最初にユーザオブジェクトが作成され、次に2番目の操作でパ スワードが設定されます。オブジェクトが作成されても、新しいユーザオブジェクトの作成に必要

Identity Managerの操作 59

6.11 配置ルール

 59ページのセクション6.11.1「発行者」

 59ページのセクション6.11.2「購読者」

6.11.1 発行者

マッチングルールで一致するオブジェクトが検出されず、作成ルールでイベントが最低限の要件を 満たすことが確認された場合、配置ルールによって作成するオブジェクトと配置場所を指定します。

発行者チャネルの場合、オブジェクトは識別ボールトに配置され、名前を指定するCN（UID）が与 えられて、コンテナ内に配置されます。配置ルールは場所を特定するため、オブジェクトの識別名 も指定します。たとえば、識別ボールトでは、すべてのオブジェクトがData\Users\jdoeコンテナに配 置されます。

6.11.2 購読者

購読者チャネルでは、配置ルールが発行者ルールと同様に機能します。接続システム内の配置は、

単純な場合も複雑な場合もあります。単純な配置ルールでは、すべてのオブジェクトが同じ場所に 配置されます。

接続システムでの配置には、接続システムの動作に関する詳しい知識が要求されます。単純な配置 の例として、デフォルト構成のLotus Notesは、すべてのオブジェクトがCN=jdoe/O=novellコンテナ に配置されます。

比較的複雑な例として、オブジェクトを配置する場所を決定するためにHRロケーションコードの 属性を使用する場合があります。配置場所と属性値とのリレーションシップを確立するために、

マッピングテーブルを利用することができます。

6.12 コマンド変換ルール

コマンド変換ルールは、チャンネル出力に発行されるコマンドに対して実行されます。購読者およ び発行者チャネルには、通常異なるイベント変換ルールがあります。コマンド変換ルールの目的は、

コマンドが識別ボールトまたは接続システムに送信される前に、最終的な処理を適用することです。

コマンド変換ルールには次のような用途があります。

 コマンドの種類の変更（たとえば、オブジェクトの削除コマンドを変換してオブジェクトを アーカイブする変更にするなど）

 子アンドのブロック

 コマンドの追加

 Identity Managerエンジンのマージプロセスに対する出力の制御

 60ページのセクション6.12.1「発行者」

 60ページのセクション6.12.2「購読者」