IRM11gで権限と監査のデータの周期的な同期をどうやれば制御できるか、デフォルトはどうなっているか、と最近同僚から尋ねてきました。デフォルトの同期スケジュールが組織にとってよいのかどうかを判断する場合には何を考慮すべきなのでしょうか。そして同期によって大規模展開されている環境において、クライアントおよびサーバへの影響はどれぐらいなのでしょうか。都度都度何が同期されているのでしょうか。
デフォルトでは、月曜から金曜の9時から5時30分の間に同期します。以下の図は同期スケジュールの管理画面ですが、非常にわかりやすいものです。
各IRM Desktopはローカルタイムゾーンに従って同期時間の範囲を評価します。ユーザーが世界中に散らばっている場合、それぞれの営業日の間に各々同期します。同期時間の範囲は非常に幅がある、つまり営業日全部であることがわかります。サーバが大規模展開している環境において、リクエストの大きなピークがサーバに悪影響を与えない、ということです。通常の場合特定の時間で同期を完了しなければならないという急を要することはないので、かなり幅を持った時間範囲を設定しています。
各IRM Desktopはタイムウィンドウの中でランダムな時間を選択します(繰り返しますが、全てのIRM Desktopがすぐに実施するわけではありません)。そして、障害が発生した場合には、自動的に間隔を置いて再試行します。ネットワーク接続が切れている場合、IRM Desktopは次回の接続を監視して、再試行します。これらの処理はすべてユーザが意識しないうちに実施しています。
何を同期しているのでしょうか
同期は双方向の活動です。サーバはクライアントに対して最新のユーザ権限を渡し、オフライン期間をリセットするので、期限が切れることはほぼないといっていいでしょう。ほとんどの構成ではこの方法で権限の全てをキャッシュすることができます。我々の区分モデルだと、この方式は大規模環境(数千件、数百万件もの文書があったとしても)であっても実現可能ということがわかっています。しかし一般的にはポリシーの問題で複数の区分を構成することがほとんどで、各々のユーザには複数の区分にアクセスする権限を持っています。それゆえ、IRM Desktopは少量のポリシー情報を受け取りさえすれば、ユーザが数千件もの文書にアクセスできるようになります。ユーザに対してアクセスできない区分の情報が送る必要はありませんので、各ユーザに送られる情報は通常の場合非常に小さくなります。
サーバはクライアントに同期スケジュールの変更を通知する場合もありますので、クライアントにサーバ側の観点から見た適切な時間をリマインドすることができます。
見返りとして、クライアントは以前の同期時からユーザが生成した監査証跡をサーバに提供します。これはサーバが機密情報のオフラインでの使用に関する通常の更新を入手することを意味しています。サーバにコンタクトした場合のみの監査証跡を提供するソリューションがありますが、これだとオフラインでの利用はサーバ側ではわかりません。
ではなぜデフォルト設定を変更しようとするのでしょうか
よくある一般的な理由は、単に営業日が月曜から金曜までではない、ということです。もし中東のユーザなら、スケジュールを地域に従って変更することになるでしょう。あるいは、権限がめったにかわらないのであれば、もしくはポリシーの変更をユーザに伝播するスピードを気にかけないのであれば、日次スケジュールよりは週次スケジュールにして同期の回数を減らしたほうがよいかもしれません。しかし同期のトラフィック量はかなり少ないので、デフォルト設定のままにする方がほとんどです。
他の理由として、標準の分類モデルを使っていない場合があります。もしファイル毎に権限を管理している場合や、多数のポリシーd絵構成されている他の分類モデルを使っている場合には、ユーザへ大量の情報が同期されることがあります。
もう一つは、ポリシーの変更を迅速に伝播し、高頻度で監査証跡を収集することが非常に重要である場合です。その場合には、1日に複数のウインドウを構成する方法があります。または、一部のロールもしくはすべてのロールを変更することで、同様の効果をもたらすことができる可能性があります。トラフィックを増やすことになりますが、より詳細に制御と可視性が得られます。
また、適切な場合には一部もしくはすべてのロールに対してオフライン監査を禁止することができます。これによりクライアントからサーバへのデータ送信を減らすことができます。もし多くのシールされたコンテンツを利用しているユーザを管理していて、監査証跡に関心がない場合には有効な選択肢かもしれません。ここでも、どのロールを監査対象から除外するかを選択します。
この結果、標準でタイムリーにポリシー変更を伝播することを保証し、オフラインの監査データをサーバにアップロードする強力な機構を提供していることがわかってもらえると思います。しかし、必要であればお好みの制御をすることもできます。
原文はこちら。
http://blogs.oracle.com/irm/2011/04/controlling_rights_synchroniza.html
0 件のコメント:
コメントを投稿