前のトピック: ロール定義ファイルのインポート次のトピック: 環境へのエンドポイントの追加

管理対象のエンドポイント アカウント管理エンドポイントの統合相関ルールの作成

相関ルールの作成

ホスティング管理者、または[相関属性の設定]タスクを持つ管理者は、ユーザがエンドポイントを検索するときに使用されるルールを作成できます。 [検索および関連付けを実行]タスクは、タスクの相関についての部分でこれらのルールを使用します。

相関ルールは、エンドポイント アカウント属性がユーザ コンソール内のユーザ属性にどのようにマップされるかを決定します。 たとえば、Access Control で、AccountName という属性が存在するとします。 これをユーザ コンソール 内の FullName にマップするルールを作成することができます。 ルールが、1 つのユーザ属性に対して 2 つのマッピングを適用するようになっている場合、最初のパラメータ値が使用されます。

次の手順に従ってください:
  1. ユーザ コンソールにログインします。
  2. [システム]-[プロビジョニング設定]-[相関属性の設定]をクリックします。
  3. [追加]をクリックします。
  4. 以下のように相関ルールを定義します。
    1. グローバル ユーザ属性リストを選択します。

      この値は、プロビジョニング ディレクトリにリスト表示されたユーザ属性を参照します。

    2. [特定のアカウント属性の設定]チェック ボックスを有効にします。
    3. エンドポイント タイプを選択します。
    4. グローバル ユーザ属性に適用されるアカウント属性を選択します。
    5. 任意で、[サブストリング]フィールドに入力します。

      [サブストリング開始]フィールドが空の場合、処理は文字列の最初から開始します。 [サブストリング終了]フィールドが空の場合、処理は文字列の最後から開始します。

  5. [OK]をクリックします。
  6. [サブミット]をクリックします。

注: 相関ルールを変更した場合は毎回、以前にエンドポイントの検索済みであったとしても、必ずエンドポイントの検索を行ってください。

相関ルールの例

以下の例は、Active Directory エンドポイント用のサンプル設定です。

GlobalUserName
FullName=LDAP Namespace:globalFullName
FullName=ActiveDirectory:DisplayName
 CustomField01=ActiveDirectory:Telephone

以下のアクションは、以前は相関していなかったアカウントで、Active Directory コンテナ内でアカウントを相関する際に見つかったものについて発生します。

  1. プロビジョニング サーバは最初のパラメータ値(GlobalUserName)を Active Directory エンドポイント アカウント属性(NT_AccountID)と比較します。 サーバは、一意のグローバル ユーザで名前がアカウントの属性値 NT_AccountID に一致するものの検索を試行します。 一意の一致が見つかった場合、プロビジョニング サーバはアカウントをグローバル ユーザに関連付けます。 複数の一致が見つかった場合、プロビジョニング サーバは手順 5 を実行します。 一致が見つからない場合、プロビジョニング サーバは次の手順を実行します。
  2. プロビジョニング サーバは 2 番目のパラメータ値(FullName=LDAP Namespace:globalFullName)を検証します。 この値は別のエンドポイント タイプに固有であるためスキップされ、プロビジョニング サーバは次の手順を実行します。
  3. プロビジョニング サーバは 3 番目のパラメータ値(FullName=ActiveDirectory:DisplayName)を検証します。 この値は Active Directory に固有であるので、これが使用されます。 サーバは、一意のグローバル ユーザで、FullName がアカウントの属性値 DisplayName に一致するものの検索を試行します。 一意の一致が見つかった場合、プロビジョニング サーバはアカウントをグローバル ユーザに関連付けます。 複数の一致が見つかった場合、プロビジョニング サーバは手順 5 を実行します。 一致が見つからない場合、プロビジョニング サーバは手順 4 を実行します。
  4. プロビジョニング サーバは最後のパラメータ値(CustomField01=ActiveDirectory:Telephone)を検証します。 この値は Active Directory に固有であるので、これが使用されます。 サーバは、一意のグローバル ユーザで、Custom Field #01 属性がアカウントの属性値 Telephone に一致するものの検索を試行します。 システム タスクのグローバル プロパティを使用してカスタム グローバル ユーザ属性に与えた名前は、ここでは表示されません。 一意の一致が見つかった場合、プロビジョニング サーバはアカウントをグローバル ユーザに関連付けます。 複数の一致が見つかった場合、プロビジョニング サーバは手順 5 を実行します。 一致が見つからない場合、プロビジョニング サーバは次の手順を実行します。
  5. プロビジョニング サーバはアカウントを[デフォルト ユーザ]オブジェクトに関連付けます。 [デフォルト ユーザ]オブジェクトが存在しない場合、サーバはそれを作成します。