確立したエンタープライズディレクトリサービスとの統合
Windchill 組織サービスは、プリンシパル (ユーザー、グループ) に関する情報の提供と管理を担当する Windchill のサブシステムです。Windchill 組織サービスは、LDAP ベースのディレクトリに統合され、ユーザー、グループに関する情報を取得し、維持します。各 Windchill プリンシパルに関する情報の主なソースは、LDAP ディレクトリサービスです。このレベルの LDAP ベースのディレクトリへの統合によって、Windchill は、Web サーバー、エンタープライズ電子メール、シングルサインオンソリューション、公開キーのインフラストラクチャ (PKI) などのプリンシパルに関する情報を LDAP ディレクトリサービスから取得する、ほかのエンタープライズアプリケーションとの互換性を持つことができます。
ディレクトリを活用したプリンシパルの管理には、次のような多数の利点があります。
• エンタープライズ全体へのシングルユーザーのサインオンが可能になります。複数のエンタープライズアプリケーションで、これらのユーザーを共通の共有ディレクトリサービスに対して認証する場合に、シングルユーザーサインオンの概念が使用されます。これによって、エンタープライズアプリケーションごと (またはエンタープライズ内に配置された Windchill のインストールごと) にユーザー名とパスワードを作成して保持する必要がなくなります。
• 管理コストが最小限に抑えられます。ディレクトリを活用した複数のアプリケーションで、プリンシパルに関する情報を 1 つの共有ディレクトリサービスから取得する場合に、複数の場所にあるその情報の複製、維持、または同期化が不要になります。また、その情報を作成して管理するための複数のユーザーインタフェースの配置と保持も不要になります。
• 公開キーのインフラストラクチャを有効にします。デジタル署名技術に基づいて企業間または企業内で安全にビジネスデータをやり取りするには、アクセスと保持が容易な場所に公開キーを登録する必要があります。LDAP ディレクトリのような共有の標準ベースのディレクトリサービスは、公開キーにとって非常に便利なレジストリです。個人の公開キーは、その人物に関するその他のすべての情報 (名前、電子メールアドレス、住所、電話番号、ファックス番号など) とともにディレクトリエントリに登録できます。
ユーザー情報
Windchill クラス wt.org.WTUser は、ユーザーに関する情報をアプリケーションに提供します。Windchill の各ユーザーは、LDAP ディレクトリサービス内にエントリを持つ必要があります。wt.org.WTUser のインスタンスによって伝達される情報は、対応するユーザーの LDAP ディレクトリエントリから取得されます。特に、そのユーザーに関する以下の情報は、このクラスの各インスタンスから提供されます。
name
ユーザーのエントリが存在するディレクトリコンテキストの範囲内で、一意のユーザー名を指定します。
fullName
ユーザーのフルネームを指定します。
eMail
ユーザーの電子メールアドレスを指定します。
ロケール
主にユーザー宛の電子メール通知の生成に使用するユーザーのロケールを指定します。
certificates
デジタル署名の確認またはユーザーのみが解読できる情報の暗号化などのために、ユーザーに登録されている公開証明書を指定します。
postalAddress
ユーザーの郵送先住所を指定します。
organizationName
ユーザーが雇用されているかまたは関係がある組織の名前 (会社または大学など) を指定します。
telephoneNumber
ユーザーの電話番号を指定します。
faxNumber
ユーザーのファックス番号を指定します。
mobilePhoneNumber
ユーザーの携帯電話番号を指定します。
webSite
ユーザーの Web サイトの URL を指定します。
グループ情報
Windchill クラス wt.org.WTGroup によって、アプリケーションにユーザーの関連グループに関する情報が提供されます。Windchill の各グループは、LDAP ディレクトリサービス内にエントリを持つ必要があります。wt.org.WTGroup のインスタンスによって伝達される情報は、対応するグループの LDAP ディレクトリエントリから取得されます。特に、そのグループに関する以下の情報は、このクラスの各インスタンスから提供されます。
name
グループのエントリが存在するディレクトリコンテキストの範囲内で、一意のグループ名を指定します。
description
組織に関する説明テキストを提供します。
members
組織のメンバーであるユーザーまたはグループを指定します。
組織情報
Windchill クラス wt.org.WTOrganization によって、アプリケーションに組織 (会社、大学、政府機関など) に関する情報が提供されます。Windchill によって参照される各組織は、LDAP ディレクトリサービス内にエントリを持つ必要があります。wt.org.WTOrganization のインスタンスによって伝達される情報は、対応する組織の LDAP ディレクトリエントリから取得されます。特に、その組織に関する以下の情報は、このクラスの各インスタンスから提供されます。
name
組織のエントリが存在するディレクトリコンテキストの範囲内で、一意の組織名を指定します。
organizationIdentifier
組織の登録に使用する、グローバルに一意の識別子を指定します。これは、DUNS 番号、ISO の組織の識別子、またはケージコードです。
description
グループに関する説明テキストを提供します。
members
グループのメンバーであるユーザーまたはネストされたグループを指定します。
administrator
組織の管理者の役割を果たすユーザーまたはグループを指定します。
classification
組織のビジネス分類を指定します。
conferencingIdentifier
組織によってスケジュールされるミーティングや会議の作成または購読を行う場合に、conferencingURL 属性とともに使用する識別子を指定します。
conferencingURL
組織によってスケジュールされるミーティングや会議の作成または購読に使用できるサービスの URL を指定します。
internetDomain
組織に関連付けられた Web ドメインの名前を指定します。
location
組織の住所を指定します。
subscriber
組織が Windchill によってホストされる Web エクスチェンジを購読するかどうかを指定します。
webSite
組織の Web サイトの URL を指定します。
各ユーザー、グループ、および組織に関する詳細な情報はすべて LDAP ディレクトリから得られますが、各情報の一部は Windchill データベースにも保存されます。その各データベースエントリは主に LDAP ディレクトリエントリへのポインタの役割を果たしますが、データベースにはユーザー、グループ、または組織に関する Windchill 固有の情報 (プリンシパルが存在する Windchill 管理ドメインなど) も含まれています。また、データベースを使用すると、ユーザー、グループ、および組織への Windchill オブジェクト参照を構築し、ほかのクラスの Windchill オブジェクト (部品およびドキュメントの作成者、修正者、およびオーナー参照) に関連付けることができます。
Windchill 組織サービスは LDAP ディレクトリとのインタフェースを担当し、Windchill プリンシパルに関する情報の照会および管理を行います。これには、ディレクトリ属性を Windchill クラス wt.org.WTUser、wt.org.WTGroup、および wt.org.WTOrganization にマッピングしたり、それらのクラスからディレクトリ属性をマッピングしたりする機能が含まれています。また、ディレクトリサービス内のエントリまたはプリンシパルを参照するデータベースエントリを自動的に作成し、管理する機能もあります。
バンドルされたディレクトリサービスとサードパーティのディレクトリサービス
Windchill は、LDAP ディレクトリサービスから、ユーザーとグループの両方の情報、およびシステムインフラストラクチャに関する情報を取得します。これには、Info*Engine の設定情報や、Windchill タスク代理と情報リポジトリに関する情報が含まれます。
Windchill は、標準ベースのディレクトリサービスの API を使用して LDAP ディレクトリサービスと通信します。したがって、Windchill は理論上、インターネット規格の LDAP バージョン 3 プロトコルを実装するすべてのディレクトリサービスにアクセスして対話できます。異なる LDAP ベースのディレクトリ製品には相違点があります。たとえば、さまざまな LDAP ディレクトリの実装によってサポートされているスケーラビリティ、パフォーマンス特性、および拡張スキーマは異なるので、Windchill ではサポートしているディレクトリソリューションにいくつかの制約を設けています。
エンタープライズディレクトリサービスを使用した設定オプション
ユーザー、グループ、および組織の情報を維持するためのエンタープライズディレクトリサービスの設定オプションは、次のとおりです。
例 1
|
説明
|
問題点
|
既存の LDAP ディレクトリのユーザー、グループ、および組織の情報を Windchill Directory Serverにインポートできます。その結果、すべてのユーザー、グループ、および組織の情報が Windchill Directory Serverに置かれます。
|
ユーザー、グループ、および組織の情報の配布と運用メンテナンスについて、決定を行う必要があります。情報を複数の場所で管理するかどうか、および情報をどのようにユーザーに配布するかを決定する必要があります。たとえば、Windchill Directory Server 内の情報を最新の情報に維持するために、どのディレクトリ同期処理を設定するかを決定します。
|
例 2
|
説明
|
問題点
|
ユーザー情報は、1 つ以上の独立した LDAP ディレクトリ内で維持されます。この場合、Windchill Directory Serverにグループと組織の情報が格納され、追加の LDAP ディレクトリにユーザー情報が格納されます。
このオプションを使用すると、ユーザー情報が別々のディレクトリに分割されるので、複数のディレクトリにあるユーザー情報のメンテナンスと配布に関するオプション 1 の問題は解消されます。
|
使用するユーザー管理ツールを選択する必要があります。Windchill 管理ツールを使用するほかの方法として、任意の LDAP 管理ツールを使用してエンタープライズディレクトリ内の情報を維持管理できます。ただし、Windchill 管理ツールを使用する場合は、既存の LDAP ディレクトリへの書き込みアクセス権が必要となります。
Windchill 管理ツールの詳細については、 基本的な管理機能を参照してください。
|
このほかにも、知識と専門技術を必要とするほかのさまざまな方法で、高セキュリティ環境に複数の Web サーバーや LDAP ディレクトリを配備することもできます。通常、既存の LDAP ディレクトリがある場合は、例 2 が最も簡単な方法でしょう。次のトピックでは、オプション 2 を実行する方法を説明します。