Microsoft Identity Manager 2016 SP1 の用語

このドキュメントは、Microsoft Identity Manager 2016 SP1 以降で参照されている用語の包括的な一覧です。

A

Active Directory グループ検証: Active Directory に格納されているドメイン内のグループのアカウント名が一意であることを保証する MIM 2016 で実装されるプロシージャです。

アクションワークフロー: アクションを実行するワークフロー。 これには、通知電子メールの送信と MIM サービスデータベースへの変更のコミットが含まれます。

アクティビティ: ワークフローアクティビティは、Windows Workflow Foundation (WF) ワークフローの基本的なビルドブロックです。 これには、ワークフローを構築および実行するときに、デザイン時と実行時の両方で開始されるロジックが組み込まれています。

アクティビティアセンブリ: ワークフローアクティビティのロジックを実装する .net アセンブリを含む .DLL または .EXE ファイルです。

anchor: 変更されないオブジェクト型の1つまたは複数の一意の属性であり、コネクタスペースオブジェクトがリンクされている接続されたデータソース内のオブジェクトを表します (従業員番号やユーザー ID など)。

承認: 承認とは、ワークフローを続行する前にユーザーから承認を取得するために使用できるワークフロー決定ポイントです。

承認電子メール: 要求がコミットされる前に承認が必要な場合、承認電子メールが識別された承認者に送信されます。

承認要求: 承認が必要な要求。 たとえば、承認アクティビティの処理の一部として、MIM 2016 によって承認者に送信される電子メールメッセージなどです。

承認応答: 承認要求に対する応答。 これには、要求が承認されているかどうかに関する情報が含まれます。 たとえば、承認要求に返信する Outlook 用の MIM アドインから送信される電子メールメッセージなどです。

承認検索フォルダー: Outlook 用の MIM アドインによって作成された検索フォルダー。保留中の承認と完了した承認、承認要求の更新を表示する方法をユーザーに提供します。

承認のしきい値: 要求の処理を続行するために必要な肯定承認応答メッセージの数。

承認者: 次の段階に進むための要求の承認を付与するユーザー。 Outlook 用の MIM アドインを使用する場合は、承認要求メッセージを受信します。 "エスカレーション承認者" のエントリも参照してください。

属性フロー: MIM サービスと他の外部システムとの間で属性値がどのように流れるかを定義します。

認証アクティビティ: ユーザーの id を検証するワークフローアクティビティ。 たとえば、パスワードリセットゲートやスマートカード認証ゲートなどです。 "QA ゲート" と "ロックアウトゲート" のエントリも参照してください。

認証チャレンジ: MIM 2016 に対する認証のための応答をユーザーに提供する必要があるダイアログ。 たとえば、ユーザーがパスワードをリセットするために回答する質問です。

認証チャレンジアクティビティ: MIM 2016 に対する認証のためにユーザーに発行されたチャレンジを構成するために使用される Windows Workflow Foundation のアクティビティ。

承認ワークフロー: 要求がデータベースにコミットされる前に完了する必要があるアクティビティを含むワークフロー。 例として、データの検証と承認があります。

C

登録属性のクリア: この属性は、認証ワークフローに関連付けられている登録をクリアします。 たとえば、質問と回答の課題では、MIM 2016 に登録データの形式で回答が格納されます。 [登録のクリア] チェックボックスがオンになっていて、ワークフローが保存されている場合は、登録データが削除され、ユーザーは再登録する必要があります。

計算されるメンバー (またはメンバー): 手動で管理されるメンバーとフィルターの組み合わせから計算された、読み取り専用のリソースのセット。

コネクタ: 接続されたデータソース内のオブジェクトを表すコネクタスペース内のオブジェクト。現在、定義済みの規則によってメタバース内のオブジェクトにリンクされています。 メタディレクトリは、コネクタオブジェクトを使用して、接続されたデータソースとメタバースの間で属性値を同期します。

コネクタフィルター: コネクタスペースオブジェクトがメタバースオブジェクトにリンクするのを防ぐために使用するルールです。

コネクタスペース: 接続されたデータソース内の選択されたオブジェクトと属性の表現を含むステージング領域。 コネクタスペースオブジェクトは、接続されたデータソースからのデータインポートによって作成されるコネクタスペース内のオブジェクト、または MIM 内のルールを使用して、異なる接続されたデータソースに新しいオブジェクトを作成するオブジェクトです。 これらのオブジェクトには、接続されたデータソース内の対応するオブジェクトからインポートまたはエクスポートできる属性値が保持されます。

Count xpath: リソースの表示名の後にかっこ内に表示される数値を返す xpath 式。

条件ベースのメンバー: 静的グループメンバーとフィルターの組み合わせから計算された、読み取り専用のリソースのセット。

条件ベースのメンバーシップ: グループのメンバーシップがフィルターによって決定されるグループ。 "静的メンバーシップ" のエントリも参照してください。

クロスフォレストメンバー: グループアカウントとは異なるフォレストにユーザーアカウントを持つセキュリティグループのメンバー。

フォレスト間のグループ計算: グループが存在するフォレストに関連付けられている外部セキュリティプリンシパル (FSP) セット内のグループのフォレストメンバー間に配置される、すぐに使用できるアクティビティ。

カスタム式: 詳細設定モードでの関数または属性フローの定義に使用される記述言語です。

D

ターゲットセット (または要求後のターゲットリソース定義): リソースの属性を変更する要求によってリソースの移動先となるセット。

既定のグループ検証アクティビティ: グループ管理要求が MIM 2016 または Active Directory 構成またはポリシーに違反するかどうかを決定する、標準のワークフローアクティビティ。

ディス: 接続されたデータソース内のオブジェクトを表すコネクタスペース内のオブジェクトで、現在はメタバース内のオブジェクトにリンクされていません。

ディスオブジェクト: ディスオブジェクトには、disconnectors、explicit disconnectors、およびフィルター処理された disconnectors の3種類があります。

表示名: リソースを識別するためにユーザーインターフェイスに表示されるリソースの属性です。 表示名に使用される値は、明確でわかりやすい名前にする必要があります。 リソースピッカーなどのさまざまな MIM ポータルコントロールでリソースを使用する場合は、表示名を指定することが重要です。

配布グループ: グループのメールボックスに電子メールを送信することによって同時に電子メールで送信できる、最も一般的なユーザーおよびその他のグループであるリソースのコレクションです。

ドメイン構成: Active Directory ドメインのモデル化に使用される構成リソース。

ドメインローカルグループ: ドメインローカルスコープのグループは、特定のドメイン内のリソースを保護し、そのフォレストまたは信頼されたフォレストのメンバーを含めることができる Active Directory グループです。

drop file: ドロップファイルは、エクスポートまたはインポートが発生する可能性のある、または発生する可能性のある XML ログファイルです。

動的属性値: 他の属性に基づいて計算される属性の値。 たとえば、name 属性は、指定された名前と姓を連結することによって計算されます。

動的グループ: XPath を使用して表される条件に該当するすべてのリソース (人、グループ、コンピューターなど) がグループに含まれていることを確認することによって、メンバーシップが自動的に決定され、MIM 2016 によって自動的に最新の状態に保たれるグループ。

E

列挙: MIM 2016 サービスによって返されるリソースの一覧。

エスカレーション: 指定した期間内に承認が完了しなかった場合、承認がエスカレートされ、承認に追加の承認者が追加されます。

エスカレーション承認者: 承認者が応答に失敗した場合に承認要求メッセージを受信するユーザー。 "承認者" のエントリも参照してください。

explicit コネクタ: メタバース内のオブジェクトにリンクされているコネクタスペース内のオブジェクト。コネクタフィルターによって切断することはできません。 明示的なコネクタは、結合子を使用して手動でのみ作成できます。このコネクタは、プロビジョニングによって、または結合子を使用してのみ切断できます。

explicit ディス: メタバース内のオブジェクトにリンクされていないコネクタスペース内のオブジェクト。結合子を使用してのみ結合できます。 オブジェクトは、結合子を使用して手動でオブジェクトを切断することで、明示的なディスになります。

エクスポート: エクスポートは、接続されたデータソースに変更をプッシュするプロセスです。 エクスポートは、常に最後に成功したインポートに基づくデルタ操作です。 MIM は、変更をエクスポートしますが、新しいインポートによって変更が確認されるまで、コネクタスペースの変更は処理されません。 使用する管理エージェントの種類に応じて、エクスポートによって実装される変更は、属性、オブジェクト、または値レベルで指定できます。

Export 属性 Flow: オブジェクトの属性をメタバースからコネクタスペースに変換するプロセス。 このプロセスには、1対1のマッピング、属性の変更または静的な属性値の設定を行うルールの拡張機能の適用などが含まれます。 エクスポートされた属性は、接続されたデータソースへの次のエクスポートのためにコネクタスペースにステージングされます。

拡張アサーションマークアップ言語 (XAML): ワークフロー定義を表す XML ベースの言語。

外部システムスコープフィルター: 特定の条件に基づいて、特定のリソースを決定し、ソースディレクトリからフィルター処理します。

外部システムリソースの種類: MIM 2016 リソースが接続されている外部システムのリソースの種類です。

外部システムリソースの作成フラグ: リソースが外部システムに存在しない場合に、コネクタスペースにリソースを作成する必要があるかどうかを示す同期規則のパラメーター。 MIM 2016 のリソース作成フラグを参照してください。

外部システムスコープ: ルールが適用される外部システム上のリソースを表示するフィルターを含む同期ルールのパラメーター。

F

filter: フィルター条件を含む式です。 フィルターに含まれる各フィルター条件がリソースと一致する場合、フィルターはリソースと一致します。 MIM 2016 では、フィルターで XPath 構文が使用されます。

filtered ディス: 関連付けられている管理エージェントのコネクタフィルタールールに基づいて、メタバース内のオブジェクトとの結合または投影を防止する、コネクタスペース内のオブジェクト。

FIM 管理エージェント: MIM 2016 サービスと MIM 2016 同期サービスの間で同期を行う管理エージェントです。

FIM/MIM パスワードリセットクライアントサービス: MIM 2016 サーバーと通信するエンドユーザーのコンピューターに存在するプロキシサービスを参照します。

FIM/MIM パスワードリセット拡張機能: これは、エンドユーザーのコンピューター上に存在し、セルフサービスのパスワードリセットを含むように Windows ログオンの機能を拡張するコードを指します。

FIM/MIM リソース作成フラグ: リソースが存在しないリレーションシップ基準に基づいて、MIM 2016 データベースにリソースを作成するかどうかを示す同期規則のパラメーター。 "外部システムリソースの作成フラグ" のエントリも参照してください。

関数: データ値を処理するために、同期規則またはワークフロー定義に含めることができるコンポーネント。

G

gate:要求処理の認証フェーズで使用されるワークフロー アクティビティ。 「QA ゲート」と「ロックアウト ゲート」のエントリも参照してください。

グループの入れ子: グループに現在のグループのメンバーとして他のグループが含まれているかどうかを指定するグループ定義のフィールド。

group scope: グループ定義、1 つ、または 'local'、'global'、または 'universal' のフィールド。 詳細については、「Active Directory グループスコープ」を参照してください。

I

import:接続されたデータ ソース オブジェクトをコネクタ スペースに移動して、作成、変更、削除、または検証を行うプロセス。 インポートには、完全操作または差分操作を指定できます。 完全インポートの場合、MIM は接続されているデータ ソースから指定されたオブジェクトを要求し、このインポート中に対応するオブジェクトが受信されていないすべてのステージング オブジェクトを削除します。 その結果、この実行プロファイル ステップは、コネクタ スペース内のステージング オブジェクトをクリーンアップする場合に役立ちます。 接続されたデータ ソースから受信したオブジェクトは、コネクタ スペースにステージされます。 差分インポートで目的の結果を提供するには、接続されているデータ ソースでウォーターマークの形式を実装する必要があります。 接続されているデータ ソースは、基準値を使用して、オブジェクトに対する最新の変更がいつ発生したのか示します。 MIM基準値を読み取り、差分インポートに含める値を決定します。 たとえば、Active Directory USN です。

インポート属性Flow (IAF): 属性フローのインポートは、コネクタ スペースからメタバースに属性をインポートするプロセスです。 このプロセスには、1 対 1 の属性マッピングの適用、ルール拡張機能を使用した属性の変更、静的属性の設定が含まれる場合があります。

image URL: MIM 2016 ポータル UI に表示されるイメージ ファイルの URL。

初期フロー: 初期フローは、リソースが初めて作成された場合に 1 回だけ適用される属性値フローです。 つまり、最初のパスワードは、初めてアカウントを作成するときにのみ作成されます。

対話型ワークフロー: 追加の認証チェックの実行など、変更を要求するユーザーからの応答を必要とするワークフロー。

J

join:結合とは、コネクタ スペース オブジェクトを既存のメタバース オブジェクトとリンクするプロセスです。 属性値は、リンク されたオブジェクト間でのみフローします。

グループ参加要求: グループにユーザーを追加する要求。

L

lockout:MIM 2016 データベース内のユーザー リソースに対する構成設定。この設定では、そのユーザーの認証を MIM 2016 に制限するか、パスワードのリセットを実行します。

ロックアウト ゲート: 認証に失敗したユーザーをロックアウトするための要求処理の認証フェーズでのワークフロー アクティビティ。 「ロックアウト」と「QA ゲート」のエントリも参照してください。

lockout しきい値: これは、ユーザーがロックアウト期間にロックアウトされる前に認証ワークフローを完了できなかった回数を指定する整数コントロールです。 この既定の設定は 3 です。 下限は 0 で、上限は 99 です。

lockout duration:これは、ロックアウトしきい値に達した後にユーザーがロックアウトされる時間を分単位で指定する整数コントロールです。  この既定の設定は 15 分です。  この設定の下限は 1 で、上限は 9999 です。 上限を使用すると、管理者は上限を 1 日より大きく設定できます。

永続的ロックアウト前のロックアウトしきい値の数: これは、ユーザーが完全にロックアウトされる前にロックアウトしきい値に達する回数の数値を管理者が構成できる整数コントロールです。永続的なロックアウトは、システム管理者がユーザーのロックを解除する必要があるという意味です。 既定では、これは 3 に設定されています。 この設定の範囲は 1 ~ 99 です。

M

管理エージェント: 管理エージェント (MA) は、接続されている特定のデータ ソースをメタディレクトリに接続します。 接続されたデータ ソースから MIM にデータを移動する責任と、MIM および他の接続されているデータ ソースに参加する ID データの適格性を決定する規則を担当します。 メタディレクトリ内のデータが変更されると、管理エージェントは接続されたデータ ソースにデータをエクスポートして、接続されたデータ ソースと MIM のデータとの同期を維持できます。 管理エージェントは、エージェントベースのコネクタを使用する代わりに使用されます。

管理ポリシー規則 (MPR): 管理ポリシー規則 (MPR) は、2016 サーバーへの受信要求のビジネス処理ルールをモデル化するメカニズムMIM提供します。 これらの要求によってトリガーされるワークフローと共に、MIM 2016 リソースに対する操作を要求するためのアクセス許可を制御します。

MPRs には次の 2 種類があります。

  • 要求 MPRs: アクセス許可を付与し、ワークフローを実行します (要求された操作が実行される前に呼び出されます)。

  • [遷移 MPRs の設定]: ワークフローのみを実行します (適用された状態の変更に対する反応)。

    MPRs の主な設計オブジェクトは次のとおりです。

  • モデリング権限

  • ワークフロー マッピングのモデリング

  • モデリングの切り替え

  • 再帰定義のモデル化

  • 認証されていないユーザー アクセスのモデル化

  • テンポラル ポリシーのモデル化

  • フィルターの権限のモデル化

手動で管理されるメンバー: 手動で選択したユーザー、グループ、または他のリソースの一覧で構成されるグループまたはセットのメンバーシップ。

metaverse:MIM が複数の接続されたデータ ソースから集計された ID 情報を格納するために使用される中央データ ストア。すべての結合されたオブジェクトのグローバルな統合ビューが 1 つ提供されます。 メタバースは、破損が発生する可能性MIMアプリケーションの集計 ID データのテーブルまたはビューとして使用されません。

監視対象メールボックスMIM: 2016 年 2016 年のサービスが承認を受け取り、MIM アドインから Outlook 用の電子メールを要求するメールボックス。

N

通知アクティビティ: MIM 2016 が 1 人または複数のユーザーに電子メールを送信して要求を通知する、要求処理のアクション フェーズ内のワークフロー アクティビティ。

通知メッセージ: 通知アクティビティによって送信された電子メール メッセージ。 「通知アクティビティ」のエントリも参照してください。

O

ObjectID (ResourceID): MIM 2016 によって各リソースの作成時に割り当てられたグローバル一意識別子 (GUID) を含む属性。 これはリソース ID とも呼ばれる。

オブジェクト識別子: X.509 デジタル証明書のフィールドの識別子として、または LDAP ベースのディレクトリ サービスの属性の種類またはオブジェクト クラスに使用される番号のシーケンス。 オブジェクト識別子は、通常、ソフトウェア ベンダーと標準機関によって割り当てられます。

操作の種類: 操作の種類は、Web サービスを介して MIM 2016 で管理されるリソースに対して要求されます。 これには、リソースの作成と削除、リソース属性の読み取りと変更が含まれます。 さらに、追加/削除操作を使用すると、変更操作にさらに制御を適用して、属性への値の追加または削除のみを制御できます。

operator: データ値間の比較または他のリレーションシップを指定するフィルターの要素。

origin set (または要求前のターゲット リソース定義) : リソースの属性が変更される前にリソースが属していたセット。

P

パラメーター: 新しいリソースをプロビジョニングするときに、ユーザーのように外部ソースから属性値を指定できる場合があります。 新しいリソースを正常に作成するために、属性値がパラメーターとして渡されます。

partition:コネクタ スペース内のデータの論理ボリューム。 管理エージェントは、1 つ以上のパーティションを作成して、データを個別の論理グループに論理的に分割できます。 データの各ボリュームは、同期中に個別に処理されます。

password reset:ユーザーのパスワードを既知の値に変更する手順。ユーザーがパスワードを忘れた場合や紛失した場合に使用します。 「登録」のエントリも参照してください。

フェーズ: 各リソースの作成、更新、または削除要求は、3 つのワークフロー フェーズを通じて処理されます。 認証フェーズでは、要求するユーザーの追加の認証チェックを実行できます。 承認フェーズでは、必要な承認が収集されます。 アクション フェーズでは、リソースを変更する要求がコミットされた後にアクティビティが実行されます。

プレースホルダー オブジェクト: 接続されたデータ ソースの階層の 1 つのレベルを表すコネクタ スペース内のオブジェクト。 たとえば、オブジェクトを Active Directory フォレストと同期する場合は、Active Directory オブジェクトのパスを構成するコンテナーをインポートする必要があります。 この例では、CN=MikeDan,OU=Users,DC=Microsoft,DC=Com のプレースホルダー オブジェクトが DC=Com および DC=Microsoft,DC=Com 用に作成されます。 また、プレースホルダー オブジェクトは、インポートされた参照属性値が参照する接続されたデータ ソース内のオブジェクト (たとえば、マネージャー属性が User オブジェクトで参照するオブジェクト) を表す場合があります。 プレースホルダー オブジェクトには属性値が含まれているのではなく、メタバースにリンクすることはできません。

ポリシー管理: MIM 2016 年のポリシー管理は、ポリシーの作成と適用のために Sharepoint ベースのコンソールによって可能になります。 拡張Windows Workflow Foundation ベースのワークフローを使用すると、ユーザーは ID 管理ポリシーを定義、自動化、適用できます。 ポリシー管理には、さまざまなネットワーク オペレーティング システム、電子メール、データベース、ディレクトリ、アプリケーション、フラット ファイル アクセスの統合によって実現される異種 ID 同期と整合性も含まれます。

ポリシーの更新 (またはポリシーの更新時に実行) : ワークフローを参照するセットまたは MPRs に対する変更の影響として再実行する必要がある場合は、ポリシー更新フラグを使用してこれを示します。

優先順位: 同期規則の順序。

プリンシパル セット: 管理ポリシー 規則の評価を開始するリソースのセット (通常はユーザー) を指定するために管理ポリシー規則で使用されるセット。

リソースに対して相対的に設定されたプリンシパル: これは再帰プロパティです。 この値は、いずれかのリソースプロパティの観点で定義されます。 これは、処理される各ターゲットリソースのコンテキストで条件が評価される動的管理ポリシー規則を定義するために使用されます。

射影: プロジェクションルールに基づいてメタバースにオブジェクトを作成し、そのオブジェクトをコネクタスペース内の既存のオブジェクトに自動的にリンクするプロセス。

プロビジョニング: メタバース内のオブジェクトの変更に基づいて、事前に定義されたコネクタスペースでオブジェクトの作成、名前の変更、およびプロビジョニング解除を行うプロセス。 メタバースオブジェクトが変更されるたびに、プロビジョニングルールを呼び出すように設定できます。 これらのルールは、新しいコネクタスペースオブジェクトの作成や、メタバースオブジェクトにリンクされている既存のコネクタスペースオブジェクトの切断など、オブジェクトレベルのアクションを実行できます。

Q

[ QA gate]: 認証フェーズのワークフローアクティビティ。要求元のユーザーは、1つまたは複数の事前に定義された質問に回答を入力する必要があります。 このアクティビティは通常、パスワードのリセットに使用されます。ユーザーは、ユーザーに対して、ユーザーが既知の答えを指定する必要がある、事前に決定された質問を選択してユーザーに提供するように要求します。 「ロックアウトゲート」のエントリも参照してください。

QA チャレンジ: MIM 2016 を認証するためにユーザーが一連の質問に回答することを要求するチャレンジ。

R

ランダムなパスワード設定: 外部ディレクトリにパスワードを設定するために必要な文字数を決定する設定です。

参照属性の型: 属性の値が MIM 2016 のその他のリソースの ObjectID (グローバル一意識別子) 属性値である属性型。

参照整合性: 参照属性が削除されたリソースの ObjectID を値として持つことができない MIM 2016 の制約。

登録: ユーザーに対してセルフサービスのパスワードリセットを構成する手順。 "QA ゲート" のエントリも参照してください。

再登録: MIM 2016 で認証チャレンジの登録を更新します。通常は、パスワードリセット登録の管理ポリシーを変更した後に必要になります。

リレーションシップの作成: リソースが存在しない場合に MIM 2016 または外部システムで自動的にリソースを作成するかどうかを決定する同期規則の構成フラグ。

リレーションシップの条件: MIM サーバーのリソースと外部システムのリソースを照合するために使用される同期規則の設定。

リレーションシップの終了: 同期規則が適用されなくなった場合に、他の外部システム内の関連するリソースを (および削除される可能性がある) 切断するかどうかを示します。

要求管理: ユーザーが送信された要求と関連付けられているワークフローを操作および管理する機能。

要求管理ポリシー規則 (RMPR): 操作を実行するために、受信要求に対して評価および適用される管理ポリシー規則の種類。 RMPRS は、主に MIM でアクセスポリシー定義を作成するために使用されます。 つまり、要求がどのように処理されるかに対する回答です。 RMPR を構成すると、要求元は、操作を実行するように設計されたセットに含まれます。

MIM アーキテクチャでは、RMPR を定義できる6つの異なる操作が定義されています。

  • リソースを作成します。

  • リソースを削除します。

  • リソースを読み取ります。

  • 複数の値を持つ属性に値を追加します。

  • 複数値の属性から値を削除します。

  • 単一値の属性を変更します。

    RMPR を定義する場合は、これらの6つの操作のうち少なくとも1つを選択する必要があります。 操作は、常に要求元のコンテキストで定義されます。 各条件には、ターゲットの定義が必要です。 ターゲットに適用される操作によって、ターゲットリソースの状態遷移が発生する可能性があります。 RMPR は、要求された操作が実行される前に常に呼び出されます。 条件のターゲットを効果的に特徴付けるには、次の2つの異なる状態を構成する必要があります。

  • 要求前のターゲットリソース定義: 要求が適用される前のターゲットの状態。

  • 要求後のターゲットリソース定義: 要求が適用された後のターゲットの状態。

    両方の状態を定義する必要があるかどうかは、RMPR が定義されている操作によって異なります。 作成操作で、要求されたリソースに初期状態がありません。 そのため、作成操作には、"要求後にターゲットリソース定義を構成する" 必要があります。

    読み取り操作または削除操作では、状態遷移は発生しません。 この2種類の操作では、要求の前にターゲットリソース定義を指定する必要があります。

    変更操作またはその他の操作のすべての組み合わせについては、両方の状態を構成する必要があります。状態遷移が行われない場合は、同じ値を持つ可能性があります。

    要求元に対して関連するリソース (要求者の独自のユーザーオブジェクト、対象ユーザーのマネージャー、ターゲットグループの所有者など) を表すことができます。

    条件に対する応答の最も単純な形式は、要求された操作を実行するためのアクセス許可を付与することです。 アクセス許可を付与するだけでなく、RMPR の条件への応答として他の操作を定義することもできます。 MIM アーキテクチャでは、これらの操作はワークフローの形式で定義されます。 この時点で、特定の RMPR が処理されるときに、アクセス許可を付与するための十分な情報がシステムにない可能性があります。 この場合、特定の要求を実行するユーザーに適用される追加の認証および承認の手順を RMPR に定義できます。 たとえば、要求された操作を実行する権限を許可するには、操作を承認するためにユーザーの手動操作が必要になることがあります。

    次の図は、RMPR の完全なアーキテクチャの概要を示しています。

    RMPR アーキテクチャ

    MIM で新しい要求オブジェクトが作成されると、システムは、要求条件と管理 RMPRs 内の構成された条件を比較することによって、構成された RMPRs に一致するオブジェクトを照会します。 一致する RMPRs が見つかった場合は、キューに置かれた要求オブジェクトに適用されます。 このプロセスの概要を次の図に示します。

    一致する RMPRs が配置され、キューに置かれた要求オブジェクトに適用されます

    MIM Portal では、操作のアクセス許可を明示的に付与する必要があります。 つまり、RMPR によって付与されていない限り、リソースに対するすべての操作が拒否されます。 各要求オブジェクトには、ターゲットで要求された操作を実行するためのアクセス許可を付与する RMPR が少なくとも1つ必要です。

要求オブジェクト: ユーザーが MIM ポータルまたは Outlook 用の MIM アドインでタスクを実行すると、要求オブジェクトとして表されます。 要求オブジェクトは、システム内のアクティビティの便利なレポートメカニズムを表します。

各要求オブジェクトには、次のコンポーネントがあります。

  • 要求者: 操作の実行を要求するリソース。

  • Operation: 要求元が実行するアクション。

  • ターゲット: 要求された操作の対象となるリソース。

    論理的には、要求オブジェクトは次のステートメントの実装です。

    The requester attempts to perform the following operation on this target...

    次の図は、要求オブジェクトの一般的なアーキテクチャの概要を示しています。

    要求オブジェクト アーキテクチャ

    各要求オブジェクトには、処理状態を示す status プロパティがあります。 要求を処理するには、要求を完了するために手動操作が必要になることがあります。 たとえば、グループの所有者は、グループに参加するために別のユーザーの要求を手動で承認する必要がある場合があります。 手動での操作に加えて、ユーザーが介入することなく特定の要求を自動的に処理するように MIM を構成することもできます。

要求処理モデル: MIM の要求処理モデルは、次の3つの主要なフェーズで構成されています。

  • フェーズ 1: 認証

  • フェーズ 2: 承認

  • フェーズ 3: アクション

    ワークフローには、それぞれ1つ以上のアクティビティが含まれており、これらの各フェーズにアタッチして、1つの要求を実行するコンテキストで実行することができます。 要求は、1人のユーザーが Web サービスエンドポイントのいずれかを呼び出したとき、または MIM ポータルで要求を作成したユーザーを介して開始できます。

    次の図は、要求処理コンポーネントの関係を示しています。

    要求処理コンポーネントの関係

    要求は次の順序で処理されます。

  • 要求オブジェクトの作成: MIM 2016 は、Web サービスエンドポイントのいずれかの呼び出しに応答して要求オブジェクトを作成するか、MIM ポータルから開始された要求に応じて要求オブジェクトを作成します。

  • MPR 評価: アクションを要求する要求者の権限が検証され、該当するワークフローの計算が実行されます。 要求は、MPR オブジェクトへのマッピングに対してチェックされます。 MPR にマップするには、要求された操作の MPR の適用可能なすべてのフィールドが一致している必要があります。 これには、要求者、操作、ターゲットリソース、および属性が含まれます。 影響を受ける属性を含むすべての条件が受信要求に対して true の場合は、適切な MPR が要求と照合されます。 要求は、その定義の一部としてアクセス許可を付与する少なくとも1つの MPR にマップする必要があります。 これが true の場合、要求は要求の処理のアクセス許可のチェックステージを通過します。 これが true でない場合、要求は失敗します。 システムは、要求の一部である設定遷移も決定し、関連するすべてのセット遷移ベースの Mpr を検索します。

  • 認証: MIM 2016 は、要求元の id を確認するために、非決定的な順序で一度に1つずつ認証ワークフローを実行します。

  • 承認: MIM 2016 は、要求で指定されたリソースに対して要求された操作を実行するために、要求元のアクセス許可を確認します。 すべての依存する承認ワークフローは並行して実行されますが、すべてのワークフローが完了し、すべてが成功している場合を除き、要求は MIM オブジェクトストアにコミットされません。

  • 処理: MIM 2016 MIM アプリケーションストアで要求された操作を実行します。

  • アクション: MIM 2016 は、要求された操作によって発生するすべてのプロセスを実行します。 すべてのアクション ワークフローは並列で実行されます。 読み取り操作には、その処理にワークフローが適用されません。 これには、RMPR で構成されたワークフローと、設定された遷移ベースの MPR 内のワークフローが含まれます。

    Note

    同期アカウントによって開始された要求では、該当する認証および承認ワークフローはすべてバイパスされます。 該当するアクション ワークフローが適用されます。

requestor:2016 年 1 月に要求を送信したユーザーまたはMIM。

要求者スコープ: 要求を送信できるユーザーの構成済みコレクション。 "everyone" またはフィルターによって定義された特定のユーザー セットを指定できます。

resource:2016 年 2016 年 1 月の特定のMIMインスタンス。 各リソースは、ObjectID (ResourceID) 属性によって一意に識別されます。

リソースコントロール表示構成 (RCDC): RCDC は、MIM 2016 で特定のリソースの種類を作成するためにリソース コントロール (RC) で UI をレンダリングするために使用される構成リソースです。

リソースの現在のセット: 管理ポリシー 規則 (MPR) 条件定義の一部。 要求を受信した時点のターゲット リソースのコレクション。 操作の種類の読み取り、削除、変更に適用されます。

リソースの最終セット: 管理ポリシー ルールの条件定義の一部。 要求が処理された後のターゲット リソースのコレクション。 操作の種類の作成と変更にのみ適用されます。

リソース階層: ディレクトリ サービスでは、リソース エントリの階層は、名前付けコンテキストのベースと、そのリソース エントリの間のディレクトリ エントリのコレクションです。

リソース スコープ: 要求を送信できるリソースのセット。

リソースの種類: 2016 年 1 月のリソースの表現を定義するスキーマMIMです。

リソースの種類のマッピング: MIM 2016 でリソースを表すリソースの種類と、メタバース内のリソースを表すリソース クラスとの間のリレーションシップ。

role:アクセス権の管理に使用される、組織で割り当てられたセキュリティ プリンシパル。

rules extension: ルール拡張機能は、データを管理するための定義済みのルール セットを含むダイナミック リンク ライブラリ (.dll) です。 同期中にルール拡張機能を使用して機能を拡張できます。 たとえば、ルール拡張機能を使用して、2 つのソース属性のデータを結合し、それらを 1 つのターゲット属性 (たとえば、 に) sn にフロー givenName させることができます displayName

実行履歴: 管理エージェントの 1 回の実行の結果を示す統計のセット。

実行プロファイル: 実行プロファイルは、管理エージェントの実行方法と、管理エージェントの実行方法を決定する構成設定を指定する一連の手順を表します。 管理エージェントは、管理エージェントと一緒に格納される複数の実行プロファイルを持つ場合があります。 実行プロファイルは、少なくとも 1 つの実行プロファイル ステップで構成されます。

S

search フォルダー: "approvals search フォルダー" のエントリを参照してください。

検索スコープ: ユーザーが 2016 年 2 月のポータルから実行できる特定の検索コンテキストMIM指定します。 たとえば、ユーザーは、ドロップダウン リストから [すべてのユーザー]、 [すべての配布リスト]、 [My Pending Approvals]、および [My Pending Approvals]を選択できます。検索結果は、ユーザーが指定した検索用語に加えて、これらの条件を満たす項目に制限されます。

セキュリティ記述子: セキュリティ保護可能なリソースのセキュリティ情報を含む構造体と関連データ。 セキュリティ記述子は、リソースの所有者とプライマリ グループを識別します。 また、リソースへのアクセスを制御する DACL と、リソースへのアクセス試行のログ記録を制御する SACL を含め得る。

セキュリティ プリンシパル: サービスに対して認証できるユーザー アカウントなどのセキュリティ管理に使用される ID。

セキュリティ トークン: 資格情報に基づいて認証と承認情報を転送するプロトコル要素。 Web サービス プロトコルでは、セキュリティ トークンは、WS-Security で定義されている SOAP ヘッダー内の XML 要素として表されます。

セキュリティ トークン サービス: セキュリティ トークンの交換に基WS-Trustクライアントとサービス間の信頼を管理するセキュリティ プロトコルを実装するサービス。

シーケンシャル ワークフロー: MIM 2016 年のすべてのワークフローは、Windows Workflow Foundation シーケンシャル ワークフローから派生します。 これには、複数のワークフローが順番に含まれています。

サービス アカウント: Windowsシステムにログインするためにユーザーが使用するのではなく、Windows サービスで使用するために割り当てられたアカウントです。 これは、 のシステム アカウントを表MIM。

Set:リソースの名前付きコレクション。 通常、セットは、ルールに基づいてリソースを整理するために使用されます。 セットのメンバーシップは、手動で管理するか、条件に基づいて管理されます。 つまり、手動で Set にリソースを追加し、フィルター ステートメントに基づいてリソースを Set に自動的に追加する条件を定義できます。 リソースがフィルター条件を満たすと、関連するセットに自動的に追加されます。

移行管理ポリシー規則 (TMPR)の設定: セットのメンバーシップへの変更に適用される管理ポリシー規則。 TMPR を設定すると、MPR 内の指定したセットに対してオブジェクトが切り替えまたは切り替え時にアクション ワークフローが適用されます。

TMPRs には次の 2 種類があります。

  • 遷移イン: リソースが遷移セットのメンバーになります。

  • 切り替え:リソースは遷移セットから出て行く。

    Note

    遷移セットが削除された場合、システムは、影響を受けるオブジェクトの切り替えアウト イベントとして削除を処理します。

    応答は、適用された状態の変化に対する反応です。 関連する MPR が呼び出されると、条件は既に適用されています。 つまり、影響を受けるリソースは既に遷移セットに切り替えまたは切り替え済みです。 TMPRs の場合、応答の目的は、要求された操作に対する反応を定義するのではなく、適用された操作に対する応答を定義する方法です。 つまり、設定された遷移ベースの MPR の場合、状態に達した方法は関係ありません。 関連するのは、状態の変化の結果です。

    アプリケーションで切り替えベースの MPR をMIM、次の 3 つの設定を指定する必要があります。

  • 切り替えセット

  • 遷移の種類

  • ポリシー ワークフロー

    ポリシー ワークフローは、状態の変化に応じて呼び出す必要があるプロセスの定義です。 状態ベースの MPRs の最も一般的な使用例は、外部データ ソースでの権利の付与または取り下てとプロビジョニングとプロビジョニング解除です。

    次の図は、設定された遷移ベースの MPR の完全なアーキテクチャの概要を示しています。

    TMPR アーキテクチャを設定する

    Set transition-based MPRs は、要求によってアクティブ化されます。 要求が RMPR によって処理および承認されると、MIM サービスは、承認された要求が状態遷移を生むかどうか、および状態の変更を処理する状態遷移ベースの MPR が存在するかどうかも決定します。

    次の図は、要求と設定された遷移ベースの MPR の関係の概要を示しています。

    要求とセット TMPR の関係

SID:ユーザー アカウント、グループ アカウント、またはログオン セッションを識別するために使用される一意の値。

SOAP:ソフトウェア コンポーネント間で構造化された情報を交換するためのプロトコル。

同期: 選択したデータを複数のデータ ソースに一元的に保持するプロセス。 同期は、オブジェクト内のオブジェクトに対する操作MIM。 同期は、管理エージェントで定義されているデータのセット全体に対する操作、または前回の既知の操作以降の変更に関する差分操作です。 同期実行プロファイル ステップでは、受信および送信の同期プロセスを定義します。

同期実行プロファイル ステップには、次の 2 つのサブタイプがあります。

  • 差分同期

  • 完全同期

    差分同期中、MIMはインポート済みオブジェクトのみを処理します。これは、保留中のインポートとしてフラグが設定されているステージング オブジェクトです。 この実行プロファイル ステップは、保留中の変更があるが、以前の同期の実行時に処理されていないオブジェクトのみを処理する場合に便利です。

    差分同期は、2 つの定義済みの実行プロファイルで使用され、それぞれで動作が若干異なります。 最初の実行プロファイルは差分同期です。接続されているソースからのインポートは実行されませんが、コネクタ スペース内のすべてのオブジェクトが評価され、保留中の変更があるオブジェクトはすべて処理されます。 2 番目の実行プロファイルは、差分インポートと差分同期の組み合わせです。 この実行プロファイルでは、管理エージェントが最後に実行された時点以降に値が変更された、接続されたデータ ソースからこれらのオブジェクトと属性だけがインポートされます。 その後、管理エージェントルールは、差分インポートからの保留中の変更があるオブジェクトにのみ再適用されます。 その差分インポートからの保留中の変更がないオブジェクトは評価されません。

    完全同期中に、MIM、コネクタ スペース内のすべてのステージング オブジェクトに同期規則を評価して適用します。 特定の環境の規則に変更が適用されるたびに、完全同期を開始する必要があります。 コネクタ スペース内のオブジェクトの数によっては、時間とリソースを大量に消費する操作になる可能性があります。そのため、実稼働環境での同期規則の頻繁な変更は避ける必要があります。

同期フィルター: メタバース内のリソースが 2016 年 2016 年のデータベースに転送MIMフィルター。

同期規則: 同期サーバー (同期エンジンを含む) MIM接続された外部システムとの間でMIM情報をフローするルール。

T

テンポラル ポリシー: テンポラル セットにバインドされている遷移 MPR を設定します。 オブジェクトがテンポラル セットの定義に基づいてセットに切り替わると、時間の経過にポリシーが適用されます。

テンポラル セット: 相対日付に基づくセット オブジェクトの型。 テンポラル セットには、時間の経過に基づいてセットとの間の切り替えプロセスを完全に自動化できるメカニズムが提供されます。 たとえば、テンポラル セットは、今日から 1 週間後に期限切れになるすべてのグループに対して定義できます。 システムは、システム内のオブジェクトを自動的に評価し、毎日このセットに追加します。 その他の例では、"今日から x 日" に基づくフィルターなど、時刻参照の動的な定義を使用できます。

timed イベント: 構成された時間間隔が経過した後、または特定の日時に達した後に発生する遷移イベント。

timeout:アクティビティがエス MIMカレートされるまで、2016 年 2016 年に承認応答を待機する期間。

遷移セット: 遷移管理ポリシーの設定規則の定義で使用されるセット。 ポリシーは、セット メンバーシップの変更に適用されます。この変更は、TMPR の構成に応じて、セットに入るオブジェクトまたはセットから出るオブジェクトのいずれかになります。

U

unlocked group: グループの所有者以外のユーザーがグループのメンバーシップを変更できるグループ。

ユニバーサル グループ: ユニバーサル スコープを持つグループは、特定のフォレストのメンバーを含む Active Directory グループです。 ユニバーサル グループには、任意のドメインまたはフォレストでアクセス許可を割り当てることができます。 通常、配布リストにはユニバーサル スコープがあります。  ユニバーサル スコープを持つセキュリティ グループは、同じフォレスト内のリソースをセキュリティで保護できます。

更新要求: リソースの属性を変更する要求。

usage キーワード: usage キーワードを使用して、ポータル UI の特定のページに対して表示される検索スコープを決定します。 UI の各リスト ビュー ページでは 0 個以上の使用キーワードが指定され、そのページの UI には、一致するキーワードを含むすべての検索スコープが含まれます。 検索スコープを作成する場合、お客様は検索スコープごとに 0 個以上のキーワードを指定して、UI 内の特定のページに表示される検索スコープをカスタマイズできます。 また、どのホーム ページ リソースとナビゲーション バー リソースがユーザーのセットに表示されるかを判断するためにも使用されます。 また、スキーマ管理では、スキーマの各種コンポーネントで必要なスキーマ要素を保護およびラベル付けするためにもMIM。

W

Web ポータル: IIS などの Web サーバーのコンポーネントを介してソフトウェア アプリケーションによって実装されるユーザー インターフェイス。

Web サービス: HTTP ベースのプロトコルを使用して実装されたサービスへのプロトコル インターフェイス。

ワークフロー: ワークフローは、実際のプロセスを記述するモデルとして格納されるアクティビティと呼ばれる要素単位のセットです。 ワークフローは、作業項目間の順序と依存関係を記述する方法を提供します。 この作業は最初から最後までモデルを通過し、アクティビティはユーザーまたはシステム関数によって実行される可能性があります。 つまり、要求への応答に複雑な処理が必要な場合、ステップはワークフロー オブジェクトにカプセル化されます。 ワークフローは省略可能なコンポーネントであり、MPRs に密接に関連付けされています。 ワークフローは、MPR の処理中に発生する必要があるアクティビティを定義します。 MIM、カスタム ワークフローの基礎として、この方法で使用できる既定のワークフローがいくつかインストールされます。

ワークフロー アクティビティの例を次に示します。

  • 承認を要求する自動電子メール メッセージを送信する。

  • カスタム検索中にユーザーが表示できる属性を制限する。

  • 新しいグループに対するAD DSまたはMIM検証します。

  • 同期規則のスコープに対する オブジェクトの追加または削除。

    環境内のすべての処理要件に対応するために、MIMアーキテクチャでは次の 3 種類のワークフローが定義されています。

  • 認証: 要求を続行する前に、追加のユーザー ID 検証を実行します

  • 承認: 要求を処理する前に必要な外部承認を取得するなどの一連のアクティビティを通じて要求を検証します。

  • アクション: 元の要求が正常に完了した後に、それ以降のアクティビティを処理します。

    これら 3 つのワークフローは、要求処理モデルの一部を構成します。

ワークフロー定義: ワークフロー定義は、ワークフロー定義が、Windows Workflow Foundation (WF) によって定義された XOML 形式で格納されます。 これにより、アクティビティ、アクティビティのパラメーター、およびアクティビティを実行する順序が定義されます。

ワークフロー デザイナー:ワークフローを構築する設計時のエクスペリエンス。

ワークフロー ホスト: ワークフローの実行を処理するサーバー コンポーネント。 2016 MIMでは、MIM 2016 サービスはワークフロー ホストです。

ワークフロー インスタンス: 要求の影響としてワークフロー定義の実行中のインスタンス。

ワークフロー管理: ワークフローのMIM実行、および管理を処理する 2016 年の 2016 年の機能です。 ワークフロー管理は、ワークフロー デザイナー、要求管理、およびワークフロー ホストで構成されます。