2008年12月18日木曜日

ILM"2" RC0環境構築「同期ルール設定編その3~OSR」(12/28 追記)

さて、前回はCSVファイルからILM"2"へのユーザの取り込み設定を行いましたが、今回はCSVから取り込んだユーザをActive Directoryへ同期してみます。また、同時にILM"2"ポータル上でユーザ情報を編集した場合もCSVファイル上のユーザ情報と合わせてActive Directoryへ同期できるようにします。

1.Identity Lifecycle Manager用MAの設定
 前回のISR設定時に定義したILMSDB MAに逆方向(ILM"2" ポータル上で作成したユーザもMetaverseに取り込みたいので)の属性フローを設定します。 ただ、RC0では既存のMAのプロパティを変更して保存しようとするとエラーが出るので、Export Management Agent→手動でXMLファイルの編集→Update Management Agentをするか、MA自体を再作成します。(私の環境の問題かも知れませんが・・・)
12/28 connectサイトにMicrosoft Identity Integration Serverサービスを再起動すれば直るとの情報がありました。試してみると確かに治ります。が、何をトリガーに事象が発生するのかは依然不明です・・・








 変更箇所はAttribute Flow部分です。前回はExportのみを設定しましたが、今回は同じ属性についてImportも設定します。
 Configure Attribute Flow
  Datasource(ILMSDB) Metaverse
  AccountName → accountName
  LastName → sn
  FirstName → givenName
  DisplayName → displayName
  Email → email
  Department → department
  JobTitle → title
  Manager → manager














2.Active Directory Domain Service用MAの作成

 以下の通りMAを作成します。
  MA名:ADDS MA
  Connect to Active Directory Forest
   Forest name:ilm2.local
   User name:Administrator
   Password:xxx
   Domain:ilm2.local
  Configure Directory Partitions
   Select directory partitions:DC=ilm2,DC=local
   Select containers for this partition:OU=ilm2users,DC=ilm2,DC=local
  Select Object Types
   userを追加でチェック
  Select Attributes
   displayName
   givenName
   mail
   manager
   sAMAccountName
   sn
   title
   unicodePwd
   userAccountControl

 次に以下の実行プロファイルを作成しておきます。
  Full Import
  Full Synchronization
  Export

3.Outbound Synchronization Rule(OSR)の作成

 次はILM"2"ポータルの管理画面よりOSRを作成します。操作方法は前回のISR作成時とほぼ同じです。

 General Information
  Name:OSR ADDS
  Flow Type:Outbound
 Scope
  Metaverse Object Type:person
  Connected System:ADDS MA
  Connected Object Type:user
 Relationship
  Relationship Criteria
   MetaverseObject:person(Attribute):accountName
   ConnectedSystemObject:user(Attribute):sAMAccountName
  Object Creation in Connected System:True
 Outbound Attribute Flow
  Metaverse    ADDSコネクタ空間
  ○accountName → sAMAccountName
  ○"CN="+accountName+",ou=ilm2users,dc=ilm2,dc=local" → dn
  ○512(数値) → userAccountControl
  ○"P@ssw0rd" → unicodePwd
   email → mail
   sn → sn
   givenName → givenName
   manager → manager
   displayName → displayName
   department → department
   title → title
  ※○は初期同期のみ











4.同期対象ユーザセットの作成

 同期対象のユーザを絞り込むため、オブジェクトセットを作成します。 ここではシステムユーザ以外は全員対象としたいので、ilm2adminとBuilt-inユーザ以外でセットを作成します。

 Basic Info
  Name:[SET]NonSystemUsers
 Dynamic Membership
  対象:people
  条件:match all
     Display Name is not ilm2admin
     Display Name not starts with Built-in
   →Display Nameがilm2adminではなく、Built-inで始まらないユーザのみを対象とします。










5.OSR適用フローの作成(Action Flow)

 OSRを実際に実行するためのアクションフローを作成します。
 Basic Information
  Workflow Name:AW ADDS
  Workflow Type:Action
 Activities
  Activity Picker:Synchroniozation Rule Activity
  Synchronization Rule:OSR ADDS
  Action Selection:Add











6.管理ポリシールール(Management Policy Rule/MPR)の作成

 4て定義したオブジェクトセットに5で定義したアクションフローが実行できるようにMPRを作成します。

 General Information
  Display Name:MPR ADDS
 Requesters and Operations
  Requesters:Specific Set of Requesters:[SET]NonSystemUsers
  Operation:Create resource、Modify resource attributes
 Target Resources
  Target Resource Definition Before Request:
   Specific Set of Objectes:[SET]NonSystemUsers
  Target Resource Definition After Request:
   Specific Set of Objectes:[SET]NonSystemUsers
 Policy Workflows
  Action:AW ADDS


7.同期の実行

 実際に定義したルールを動かしてみます。
 まず、Active Directoryのツリー構造を一旦コネクタ空間へ取り込むため、ADDS MAのFull Importを実行します。
 次にILMSDBのFull Importを行い、先ほど作成した同期ルールを含む情報をコネクタ空間へ取り込みます。
 その状態でILMSDBのコネクタ空間とMetaverseの同期を行います。 すると、OSRが実行されるので、ADDS MA(CS)へユーザが追加されます。
 そこまで来たら後はADDS MAでExportすればAD上へユーザが作成されます。

8.AD上のユーザ確認

 ドメインコントローラにログインし、ActiveDirectoryユーザとコンピュータでユーザが作成されていることが確認できます。






















これで基本的に入方向と出方向の両方の同期ができました。
他にもパスワードの同期や承認フローの設定など色々と試すことがあるので、いずれ解説したいと思います。(それよりもMPR、AW、SETの考え方、ERL属性の仕組みを整理した方が全体の理解が進むかもしれませんが。。。このあたりがこの製品をややこしくしている根源な気がします)

0 件のコメント:

コメントを投稿