Oracle Identity Manager CA-Top Secret Advanced Connectorは、z/OSメインフレームにインストールされたCA-Top SecretとOracle Identity Manager間にネイティブ・インタフェースを提供します。このコネクタは、ターゲット・システム上の信頼できる仮想管理者として機能し、ログインIDの作成やパスワードの変更などのタスクを実行します。また、通常は管理者によって手動で実行される機能の一部を自動化します。
このガイドでは、Oracle Identity Managerに対してCA-Top Secretをユーザー・データの管理対象(ターゲット)リソースまたは認可(信頼できる)ソースとして使用するためのコネクタについて説明します。
この章では、次の項目について説明します。
表1-1に、動作保証されているデプロイ構成を示します。
表1-1 動作保証されているデプロイ構成
項目 | 要件 |
---|---|
Oracle Identity Managerリリース8.5.3.1以上。 |
|
インストールされているIBM z/OSのバージョンに対応するCA-Top Secretのバージョン 動作保証されているCA-Top Secretのバージョン:
動作保証されているIBM z/OSのバージョン:
|
|
Advanced Encryption Standard(AEC)暗号化を使用したTCP/IP |
|
Oracle Identity Managerのターゲット・システムのユーザー・アカウント |
SystemAdministrators権限を持つIBM許可プログラム機能(APF)認可アカウント |
注意: LDAP Gatewayでは、Oracle Identity Manager用に作成したターゲット・システムのユーザー・アカウントが使用されます。そのため、アクセスに必要な権限があり、Reconciliation AgentおよびProvisioning Agentとともに動作します。Reconciliation AgentおよびProvisioning Agentの情報は、「コネクタのアーキテクチャ」を参照してください。 |
Oracle Identity Managerは、Oracle Identity Managerとメインフレーム環境の間で安全なTCP/IPメッセージ・トランスポート・レイヤーを使用します。
ポート5190および5790は、Reconciliation AgentとProvisioning Agentそれぞれのデフォルト・ポートです。これらのエージェントのポートは変更できます。
プログラムにAPF認可ステータスを付与することは、スーパーユーザー・ステータスを付与することに似ています。このプロセスにより、システム管理者による問合せや操作の中断を許可せずに、プログラムを実行できるようになります。メインフレーム・システムで実行されるプログラムと実行元のユーザー・アカウントの両方が、APFで認可されている必要があります。Provisioning Agentユーザー・アカウントもAPF認可が必要です。
注意: 通常、APF認可はメインフレームの管理者によって付与されます。このタスクを実行するために必要な認可レベルがない場合は、それらのタスクを実行できるユーザーの協力を得てください。 |
コネクタでは、次の言語がサポートされています。
中国語(簡体字)
中国語(繁体字)
デンマーク語
英語
フランス語
ドイツ語
イタリア語
日本語
韓国語
ポルトガル語(ブラジル)
スペイン語
ここでは次の項目について説明します。
コネクタは、次のコンポーネントで構成されています。
LDAP Gateway: LDAP GatewayはJava 1.4で作成されており、異なるプラットフォームおよびオペレーティング・システムへの移植が可能です。LDAP Gatewayは、分散アプリケーションからLDAPプロトコル・コマンドを受信し、メインフレームのネイティブ・コマンドに変換します。コマンドの実行後、リクエスト元のアプリケーションにLDAP形式のレスポンスが戻されます。LDAP GatewayをOracle Identity Managerと同じコンピュータにインストールすることをお薦めします。
Pioneer Provisioning Agent: コネクタのプロビジョニング機能は、メインフレームのコンポーネントであるPioneer Provisioning Agentを介して提供されます。Provisioning Agentは、メインフレームのネイティブのIDおよび認可変更イベントをLDAP Gatewayから受信します。これらのイベントは、LDAP Gatewayからのプロビジョニングの更新がすべて格納されるメインフレーム認証リポジトリに対して処理されます。レスポンスは解析されて、LDAP Gatewayに戻されます。
Voyager Reconciliation Agent: コネクタのリコンシリエーション機能は、メインフレームのコンポーネントであるVoyager Reconciliation Agentを介して提供されます。Reconciliation Agentは、exitテクノロジを使用してメインフレームのネイティブ・イベントを取得します。exitは、メインフレームのシステム・イベントが処理された後で実行するプログラムです。Reconciliation Agentは、TSOログイン、コマンド・プロンプト、バッチ・ジョブおよびその他のメインフレームのネイティブ・イベントから発生するイベントをリアルタイムで取得します。Reconciliation Agentは、これらのイベントをLDAP Gatewayを介するOracle Identity Managerへの通知メッセージに変換します。
メッセージ・トランスポート・レイヤー: メッセージ・トランスポート・レイヤーは、LDAP GatewayとReconciliation AgentおよびProvisioning Agentの間のメッセージの交換を可能にします。AES暗号化を使用するTCP/IPは、128ビット暗号化キーを使用するメッセージ・トランスポート・レイヤーです。コネクタは、TCP/IPプロトコルを使用するメッセージ・トランスポート・レイヤーをサポートしています(TCP/IPプロトコルは、独自のメッセージ・トランスポート・レイヤー・プロトコルと機能的に類似しています)。
コネクタのアーキテクチャは、対応する操作の観点から説明できます。
図1-1は、リコンシリエーション時のデータ・フローを示しています。
リコンシリエーションには次のステップが含まれます。
メインフレームのIDおよび認可のイベントが、メインフレームのターゲット・システムで発生します。これらのメインフレーム・イベントは、適切なexitを介して処理されます。
注意: メインフレーム・システムのIDおよび認可イベントには、TSOログオン、コマンドの実行、リアルタイム・パスワード同期、ユーザーの作成または削除、ユーザー属性の変更が含まれます。 |
メインフレーム・イベントは、Voyager Reconciliation Agentのサブプール231キャッシュに格納されます。サブプール231は、Reconciliation AgentがCA-Top Secretイベントを一時的に格納するために使用するz/OSの記憶領域です。サブプール231キャッシュを使用することで、Reconciliation Agentはメインフレームの多数のイベントを処理できます。
Reconciliation Agentは、これらのイベントを読み取り、LDAP Gatewayのための通知メッセージに変換します。Reconciliation Agentは、LDAP Gatewayへの新しいソケットを開き、メッセージ・トランスポート・レイヤーを介して通知メッセージを送信します。これらのメッセージには、イベントのリコンサイルに必要なメッセージ・タイプ、ユーザーIDおよび(パスワード変更イベントの)パスワードなどの、最少量のデータが含まれます。
注意: メインフレーム・システムが停止するとき、イベント・レコードはオフラインに格納されます。このようなオフライン・イベントは、メインフレームの起動時にReconciliation Agentにリロードされます。 |
LDAP Gatewayは、Reconciliation Agentからメッセージを受信し、コネクタ用に復号化します。
コネクタは、メインフレームのIDおよび認可変更イベントの結果として生成された現行のすべてのユーザー・データを取得するためのリクエストを、Provisioning Agentに送信します。
ターゲット・システムからフェッチされたイベントがユーザー・データと一致する場合は、コネクタによってエラーが戻され、処理が停止します。イベントが一致しない場合は、リコンシリエーション処理のためにコネクタからOracle Identity Managerにイベントが送信され、イベント・レコードの内部メタストアが更新されます。この処理は、ターゲット・システムからフェッチされるすべてのイベントに対して繰り返されます。
図1-2は、プロビジョニング時のデータ・フローを示しています。
プロビジョニングには次のステップが含まれます。
Oracle Identity Managerでユーザーが作成、更新または削除されます。
CA-Top Secret用のOracle Identity Managerプロセス・タスク・アダプタにより、変更リクエストがLDAP Gatewayに転送されます。
LDAP Gatewayは、LDAP Gatewayからの変更リクエストをメインフレームのコマンドに変換します。CA-Top Secret Advanced Connectorは、このデータを暗号化し、メッセージ・トランスポート・レイヤーを介してProvisioning Agentに送信します。
また、ユーザー・データの変更で、LDAP Gatewayの内部メタストアが更新されます。
ターゲット・システムでは、Provisioning Agentがデータを復号化してメインフレーム・リポジトリに送信し、成功メッセージまたはエラー・メッセージをLDAP Gatewayに戻します。
Pioneer Provisioning Agentでは、次の機能がサポートされています。
CA-Top Secretの標準ユーザー・プロファイル・コマンド:
[TSS CREATE]: CA-Top Secretユーザー・プロファイルの作成
[TSS REPLACE]: 既存のCA-Top Secretユーザー・プロファイルの変更
[TSS DELETE]: CA-Top Secretユーザー・プロファイルの削除
CA-Top Secretの標準グループ・プロファイル・コマンド:
[TSS ADDTO]: CA-Top Secretユーザーのプロファイルへの追加
[TSS REMOVE]: CA-Top Secretユーザーのプロファイルからの削除
CA-Top Secretの標準ファシリティ・コマンド:
[TSS ADDTO]: CA-Top Secretユーザーのファシリティへの追加
[TSS REMOVE]: CA-Top Secretユーザーのファシリティからの削除
CA-Top Secretの標準データセットおよびリソース・プロファイル・コマンド:
[TSS PERMIT]: データセットまたはリソース・プロファイルのアクセスのユーザーへの提供
表1-2に、Provisioning Agentでサポートされている機能を示します。
表1-2 プロビジョニング用にサポートされている機能
機能 | 説明 |
---|---|
Create Users |
CA-Top Secretに新しいユーザーを追加します。 |
Modify Users |
CA-Top Secretのユーザー情報を変更します。 |
Change Passwords |
ユーザー・セルフサービス機能を使用してOracle Identity Managerで行われたパスワード変更に対応して、CA-Top Secretでユーザーのパスワードを変更します。 |
Reset Passwords |
CA-Top Secretでユーザーのパスワードをリセットします。パスワードは管理者によってリセットされます。 |
Suspend User Accounts |
CA-Top Secretのユーザー・アカウントを無効にします。 |
Unsuspend User Accounts |
CA-Top Secretのユーザー・アカウントを有効にします。 |
Delete Users |
CA-Top Secretのユーザー・アカウントを削除します。 |
Grant User Access To Data Sets |
ユーザーにデータセットへのアクセス権を追加します。 |
Grant User Access To Privileges (TSO) |
ユーザーにTSOログイン・アクセスを提供します。 |
Voyager Reconciliation Agentでは、ADDUSERやALTUSERなどのコマンドを使用して行われたユーザー・プロファイルへの変更のリコンシリエーションがサポートされています。これらのコマンドには、リコンシリエーションのユーザー・パスワードを含めることもできます(存在する場合のみ)。
Reconciliation Agentでは、次の機能がサポートされています。
Change passwords
Password resets
Create user data
Modify user data
Suspend users
Suspend users until
Delete users
Unsuspend users
UnSuspend uses until
ここでは次の項目について説明します。
表1-3に、Oracle Identity Managerとターゲット・システムの間でリコンサイルされるユーザー・フィールドを示します。
表1-3 Oracle Identity ManagerとCA-Top Secret間のフィールド・マッピング
Oracle Identity Managerのフィールド | CA-Top Secretのフィールド | 説明 |
---|---|---|
uid |
USER |
ユーザーのログインID |
cn |
NAME |
ユーザーの氏名 |
sn |
NAME |
ユーザーの姓 |
givenName |
NAME |
ユーザーの名 |
userPassword |
PASSWORD |
パスワード |
attributes |
SPECIAL、AUDITOR、GPRACC、OPERATIONS |
ユーザーの属性 |
department |
DEPARTMENT |
ユーザーのデフォルト部門 |
instdata |
DATA |
ユーザーのインストールで定義されたデータ |
createdate |
CREATED |
ユーザーが作成された日付 |
passwordExpireDate |
EXPIRES |
ユーザーのパスワードの有効期限が切れる日付 |
passwordExpireInterval |
INTERVAL |
ユーザー・パスワードの残り有効日数 |
suspendUntilDate |
SUSPENDED DATE |
ユーザーがシステムへのアクセスを拒否される将来の日付 |
memberOf |
PROFILE |
ユーザーのプロファイル情報 |
facilities |
FACILITY |
ユーザーのファシリティ情報 |
division |
DIVISION |
ユーザーのデフォルト部署 |
lastmodificationdate |
LAST MOD |
ユーザーが最後に接続した時間 |
tsocommand |
COMMAND |
TSO/Eログオン中に実行されるコマンド |
tsodest |
DEST |
デフォルトのSYSOUTの宛先 |
tsounit |
UNIT |
割り当てるデフォルトのUNIT名 |
tsoudata |
USERDATA |
TSOユーザーのサイト定義データ・フィールド |
tsoalcct |
ACCTNUM |
TSO/Eログオン・パネルのデフォルトのTSOアカウント番号 |
tsohclass |
HOLDCLASS |
デフォルトのHoldClass |
tsojclass |
JOBCLASS |
デフォルトのJobClass |
tsomaxsize |
MAXSIZE |
ユーザーがログオン時にリクエストできる最大リージョン・サイズ |
tsomclass |
MSGCLASS |
デフォルトのMsgClass |
tsolproc |
PROC |
TSO/Eログオン・パネルのデフォルトのログオン・プロシージャ |
tsolsize |
SIZE |
ログオン時にリクエストしなかった場合の最小リージョン・サイズ |
tsolopt |
OPT |
TSOのオプション(MAILやNOTICESなど) |
tsosclass |
SYSOUTCLASS |
デフォルトのSysoutClass |
revoke |
該当なし |
ユーザーを失効させる場合は値Y、失効させない場合はN |
表1-4に、Oracle Identity Managerとターゲット・システムの間のプロファイル・フィールドのマッピングを示します。
コネクタをデプロイするときには、LDAP Gateway、Reconciliation AgentおよびProvisioning Agentもデプロイします。Reconciliation AgentおよびProvisioning Agentはメインフレームにデプロイされます。
これらの手順は、次の各章で説明しています。
第2章「Oracle Identity Managerでのコネクタのデプロイ」では、Oracle Identity Managerシステムでのコネクタのデプロイ手順を示しています。この手順には、Oracle Identity Managerの構成、コネクタのXMLファイルのインポート、アダプタのコンパイル、LDAP Gatewayのインストール、メッセージ・トランスポート・レイヤーの構成などが含まれています。
メインフレームでのReconciliation AgentおよびProvisioning Agentのデプロイ手順は、第3章「CA-Top Secretでのコネクタのデプロイ」を参照してください。この手順はシステム・プログラマと協力して実行することをお薦めします。
第4章「コネクタの構成」では、初期リコンシリエーションの実行手順、信頼できるソース・リコンシリエーションおよびアカウント・ステータス・リコンシリエーションの構成手順を示しています。
第5章「トラブルシューティング」では、コネクタの使用中に発生する可能性がある問題を示しています。この章では、コネクタの使用に関するガイドラインも示しています。
第6章「既知の問題」では、このリリースのコネクタに関する既知の問題を記載しています。