2009年2月25日水曜日

ILM"2"のワークフロー概要

しばらく間が空いてしまいましたが、今回はILM"2"のワークフロー機能をひも解いて見ようと思います。

■ILM"2"の中のワークフロー機能の位置づけ

ILM"2"の中のワークフロー機能の位置づけは
・ILM Web Serviceの構成要素の一つ
・Management Policy Rule(MPR)が実行される際のプロセスの一つ
です。

















■動作の概要

ILM Web Serviceへの要求(属性の更新など)があると、あらかじめ定義されたMPRに基づいて要求は処理されます。
MPRは、要求(要求元、操作)と操作対象(対象となるリソース/SET、対象の属性)、実行されるフローの組み合わせで定義され、ILM Web Serviceへの要求がMPRに定義された要求と操作対象にマッチするとフローとILMSDBへの要求操作(CRUD)が実行されます。











■定義可能なフローの種類
ILM"2"では以下の3種類のフローを定義することができます。

種別説明
Authentication要求元を認証するために利用する(通常のパスワードで認証できないような状況/パスワードリマインドなどに利用)
Authorization要求の実行条件を満たすか確認するために利用する(承認フロー、操作対象の属性が適切かどうかの検査など)
ActionILMSDBへの操作完了後のアクションを定義する(通知する、OSRを使ってプロビジョニングを行うなど)


■フロー種別詳細
各フローには実行する動作(アクティビティ)を定義します。
・Authenticationフロー
Authenticationフローでは以下の2種類のアクティビティを利用することができます。

アクティビティ説明
Lockout GateAuthenticationフローのロックアウトを行うために利用する
QA Gate質問への回答で要求者を認証を行うために利用する


 また、各アクティビティにはそれぞれ詳細な設定を行うことができます。

アクティビティ設定項目初期値
Lockout Gateロックアウト閾値に達した後、ロックアウトされる期間(分)15
ロックアウト閾値(Authenticationフローで失敗できる回数)3
恒久的にロックアウトされるまでにロックアウト閾値に達して良い回数3
QA Gateトータルの質問の数3
事前登録時に表示される質問の数3
事前登録しなければならない質問の数3
ランダムに表示される質問の数3
正解しなければならない質問の数3
実際の質問-


・Authorizationフロー
Authorizationフローでは以下の2種類のアクティビティを利用することができます。

アクティビティ説明
Approval承認フローを定義するために利用する
Filter Validation操作対象の属性が適切かどうかをあらかじめ定義したフィルタを利用して確認する
Function Evaluatorフロー内で利用する関数を定義する
Group ValidationILM”2”のデフォルトのグループへの適合しているかを確認する
Notification特定の宛先へ通知を行う


 また、各アクティビティにはそれぞれ詳細な設定を行うことができます。

アクティビティ設定項目初期値
Approval承認者(ILMSDB上のユーザ/グループを静的に設定、もしくは要求者の属性などから動的に取得して設定)-
承認者の数1
エスカレーションタイムアウトまでの期間(日)7
メールテンプレート
・承認待ち(承認者へ送付)
・ 承認待ちのエスカレーション(承認者へ送付)
・ 承認完了(承認者へ送付)
・ 否認(要求者へ送付)
・ 要求のタイムアウト(要求者へ送付)
-
Filter Validationフィルタ対象属性を含むFilterScopeオブジェクト-
Function Evaluatorアクティビティ名-
本関数を実行した結果の値をストアする対象のオブジェクトと属性-
値として設定する属性名-
Group ValidationILM”2”のグループ管理でサポートされるプロパティを設定するかどうかを検証する(非サポートのプロパティを設定した場合はこのアクティビティは失敗する)-
ActiveDirectoryのグループ管理でサポートされるプロパティを設定するかどうかを検証する(非サポートのプロパティを設定した場合はこのアクティビティは失敗する)-
マルチフォレスト環境におけるActiveDirectoryのグループ管理でサポートされるプロパティを設定するかどうかを検証する(非サポートのプロパティを設定した場合はこのアクティビティは失敗する)-
Notification受信者(ILMSDB上のユーザ/グループを静的に設定、もしくは要求者の属性などから動的に取得して設定)-
メールテンプレート-


・Actionフロー
Actionフローでは以下の4種類のアクティビティを利用することができます。

アクティビティ説明
Function Evaluatorフロー内で利用する関数を定義する
Notification特定の宛先へ通知を行う
Password Reset Activityランダムパスワードの生成とリセットを行う
Synchronization Rule Activityあらかじめ定義したSynchronization Ruleを実行する(プロビジョニング/デプロビジョニング/属性毎に動作を変更)


 また、各アクティビティにはそれぞれ詳細な設定を行うことができます。

アクティビティ設定項目初期値
Function Evaluatorアクティビティ名-
本関数を実行した結果の値をストアする対象のオブジェクトと属性-
値として設定する属性名-
Notification受信者(ILMSDB上のユーザ/グループを静的に設定、もしくは要求者の属性などから動的に取得して設定)-
メールテンプレート-
Password Reset Activity生成するパスワードの文字列長10
Synchronization Rule Activity実行するSynchronization Rule-
Synchronization Ruleの対象の中で実行するアクション(プロビジョニング/デプロビジョニング/属性毎に動作を変更)-


次回は実際に承認フローを設定する手順を解説したいと思います。



0 件のコメント:

コメントを投稿