グループ メンバと管理者の検索のパフォーマンスを改善するには、以下の点を考慮します。
既知の属性は、CA Identity Manager で特定の意味を持つ属性です。
グループ メンバ/管理者の検索を改善するには、ユーザ オブジェクトに以下の既知の属性を定義します。
ユーザがメンバとなっているグループのリストを格納するユーザ オブジェクトの属性を識別します。
この属性が定義されていると、CA Identity Manager はユーザ ストア内のすべてのグループのすべてメンバを検索することを回避できます。 グループ検索は、非常に大きなグループがある場合のパフォーマンスに著しく影響することができます。
ユーザが管理者となっているグループのリストを格納するユーザ オブジェクトの属性を識別します。
%MEMBER_OF% 属性のように、この既知の属性によってグループ検索にかかる時間が短縮されます。
CA Identity Manager は、標準グループ、ネストされたグループ、および動的グループの、3 種類のグループをサポートしています。
ディレクトリ設定ファイルでグループ オブジェクトを定義する際には、ユーザ ストアがサポートするグループのタイプを指定できます。 ネストされたグループも動的グループもサポートしない実装の場合は、以下のようにグループ タイプ属性を設定します。
GroupType=NONE
設定 NONE は、標準グループのサポートを指定します。
デフォルトのグループ タイプ設定は ALL です。この設定は、パフォーマンスに悪影響を与える可能性があります。
注: ディレクトリ設定ファイル内の既知の属性とグループ タイプの詳細については、「設定ガイド」を参照してください。
ユーザ ストアとプロビジョニング ディレクトリを含む CA Identity Manager の統合では、GlobalGroup メンバシップは、ロールとアイデンティティ ポリシーのポリシー ルール評価について最適化できます。
この最適化を有効にするには、以下の属性にインデックスを付けます。それらのインデックスは、プロビジョニング サーバによって、プロビジョニング ディレクトリのキャッシュ内でグループ メンバシップの解決に使用されます。
一意のオブジェクト ID 属性。 グループ メンバシップの検索では、この値は検索に含まれる特定のユーザまたはグループを表します。
メンバシップ関係の検索で使用されるオブジェクトの親 ID。
メンバシップ関係の検索で使用されるオブジェクトの子 ID。
さらに、以下のハッシュ エントリを追加します。
メンバシップ検索における親オブジェクトのタイプ
メンバシップ検索における子オブジェクトのタイプ
注: プロビジョニング ディレクトリのキャッシュの詳細については、「インストール ガイド」を参照してください。
|
Copyright © 2015 CA Technologies.
All rights reserved.
|
|