デフォルト タスク(CA Identity Manager 環境の作成時に CA Identity Manager によって展開されるタスク)は、広範な管理使用事例をサポートするように設定されています。 大半の CA Identity Manager 実装では、デフォルト タスクによって提供される機能の一部しか必要でありません。 CA Identity Manager 環境を作成したら、特定の管理ニーズに合わせて、これらのタスクを変更してください。
以下の手順は、タスクを変更するためのガイドラインです。
[ユーザの作成]、[ユーザの変更]、および[ユーザの表示]は、完全な管理機能を提供するデフォルト タスクです。 しかし大半の実装では、少数の管理者だけが利用可能な機能をすべて必要とします。
必要な機能のみを含む新しいタスクを作成してください。 たとえば、大半のユーザ管理タスクがプロファイル管理とグループ管理にしか関与しない場合は、[プロファイル]タブと[グループ]タブのみを含む新しい[ユーザの変更]タスクを作成します。 デフォルトの[ユーザの変更]タスクで利用可能な[管理ロール]タブ、[アクセス ロール]タブ、および[プロビジョニング ロール]タブは削除します。
使用されないタブを頻繁に使用されるタスク内に残すと、大量のオーバーヘッドを発生させる場合があります。 これは、特にTEWS(Task Execution Web Service)クライアントの使用時に当てはまります。その場合は、CA Identity Manager と共に提供される tab java クラスによって、これらのタブが誤ってアクティベートされることがあります。
作成する特化したタスクは、使用する環境用に定義した委任管理モデルと一致する必要があります。
デフォルトでは、すべての関係タブに、ロールやグループなどタブが管理するオブジェクトに対する管理者権限を管理する機能があります。 しかし、大半の実装では、この機能を管理者に提供する必要はありません。
この機能が必要でない場合、CA Identity Manager による管理者権限の評価時に発生する追加オーバーヘッドを除去するため、以下のタブで[管理者の管理]オプションをクリアします。
特定のタブ上の管理者権限を管理できるようにするには、デフォルト タブのコピーを作成して、[管理者の管理]オプションを有効に、[メンバの管理]オプションを無効にします。 それらの新しいタブを特化したタスク(それらのタスクを必要とする管理者だけが使用するタスク)に追加します。
各ロールタブの設定に、ユーザに割り当てる新規ロールの基準を管理者が指定すること可能にする検索機能を含めることができます。 ロール検索は、管理者がユーザに割り当てられるロールを決定するため、CA Identity Manager が評価する必要のあるメンバ/管理者ポリシー ルールの数を制限します。
各 CA Identity Manager タスクには、ユーザ同期オプション(ユーザをアイデンティティ ポリシーと同期する)と、プロビジョニング アカウント同期オプション(ユーザをプロビジョニングされたアカウントと同期する)を指定できます。 これらのオプションでは、タスク完了時またはイベント完了時にユーザを同期できます。
評価と処理の時間をなくすには、イベント完了時でなく、タスク完了時に同期が行われるように設定します。
|
Copyright © 2015 CA Technologies.
All rights reserved.
|
|