Share via


FIM 2010 青本での環境構築時の注意事項

皆さん、こんにちは、2週間ほど更新できておりませんでしたが、また再開させていただきます。今後ともよろしくお願いいたします。
涼しくなりましたね。あの夏の猛暑はどこに!?といった感じです。うちの犬は暑さに非常に弱く、夏の間は夜中に散歩させないといけない状態で、また散歩に出てもすぐにバテバテ状態になり、ウチに帰ると水をがぶ飲みしておりました。でも今は軽快(?)な足取りで散歩をしております。

さて今回は、以前に出版させていただきました「Active Directory ID 管理ガイド Forefront Identity Manager 2010で実装する ID統合ソリューション」(通称:青本)の環境構築時の注意事項を紹介させていただきます。

FIM 2010では、ID管理ポータルを利用する事で同期対象の属性のマッピングや属性データの加工処理はポータル上(GUI)で定義することができます。
そのため、ILM 2007では、管理エージェント(MA)で定義していた、属性のマッピングは不要となり、FIM 2010では、MAの種類、接続先、接続するユーザーID/パスワード、同期対象オブジェクトなど、最低限の定義のみすれば良くなっています。(設定が非常に簡単になりました。)
ID管理ポータルを利用するためには、コンポーネントのインストールは勿論ですが、ID管理ポータル用DBである FIM Service DBを構成していただき、さらにポータルと同期サービスを連携させるためにMAを定義していただく必要があります。
ID 管理ポータル用のMA(FIM Service Management Agent)は、通常のMAと同様にSynchronization Service Manager(ILM 2007の管理コンソールと同等の同期サービス用の管理コンソール)を利用してMAの定義を行いますが、他のMAとは異なり、属性のマッピングを行う必要があります。具体的には「Configure Attribute Flow」にて属性のマッピングの指定を行います。(詳細はFIM 青本 P65 3.3 「Synchronization Service Manager」による設定をご参照ください。)
前置きが長くなりましたが、このような設定を行う必要があるのですが、ここで注意事項がございます。
この「Configure Attribute Flow」で既定にて設定されている項目が、FIM 2010 RTM版とFIM 2010 Update1版では異なります。
FIM 2010 RTM版の「Configure Attribute Flow」画面では、同期対象オブジェクトであるUserおよびGroupに既定で設定されている属性は最低限の属性しか定義されていません。しかし、FIM 2010 Update1版では、同期対象オブジェクトのユーザーおよびグループに対して既定で「detectedRulesList」および「expectedRulesList」が定義されています。以下にFIM 2010 RTM版とFIM 2010 Update1版のそれぞれ既定の「Configure Attribute Flow」画面を示します。

 
●FIM 2010 RTM版「Configure Attribute Flow」画面


●FIM 2010 Update1版「Configure Attribute Flow」画面

 このRTM時では「detectedRulesList」および「expectedRulesList」は手動にて追加登録する必要がありましたが、Update1では既定でlこれらの属性が追加されています。
この「detectedRulesList」および「expectedRulesList」は、FIM 2010でID管理ポータルで定義された同期規則を含めた管理ポリシーの情報が登録されプロビジョニン時に処理される機能を担っており、ID管理ポータルと密接な関係を持った属性です。簡単に表現すると、属性を追加しなかった場合、ID管理ポータル上で定義した管理ポリシーの処理が行われなくなります。

FIM 青本では、FIM 2010 Update1を前提に記載していますので、この設定作業の詳細は記載しておりません。RTM版ベースで環境を構築する場合は、「Configure Attribute Flow」画面で「detectedRulesList」および「expectedRulesList」を手動で追加する作業が発生しますのでご注意ください。(P86 8.[Configure Attribute Flow]画面の設定を参照)

今後も、FIM 2010関連の情報を提供させていただきますので、今後ともよろしくお願いいたします。