1 コネクタについて

Oracle Identity Manager CA-Top Secret Advanced Connectorは、z/OSメインフレームにインストールされたCA-Top SecretとOracle Identity Manager間にネイティブ・インタフェースを提供します。このコネクタは、ターゲット・システム上の信頼できる仮想管理者として機能し、ログインIDの作成やパスワードの変更などのタスクを実行します。また、通常は管理者によって手動で実行される機能の一部を自動化します。

このガイドでは、Oracle Identity Managerに対してCA-Top Secretをユーザー・データの管理対象（ターゲット）リソースまたは認可（信頼できる）ソースとして使用するためのコネクタについて説明します。

この章では、次の項目について説明します。

• 動作保証されているデプロイ構成

• 動作保証されている言語

• コネクタの機能

• コネクタのデプロイおよび使用のロードマップ

動作保証されているデプロイ構成

表1-1に、動作保証されているデプロイ構成を示します。

表1-1 動作保証されているデプロイ構成

項目	要件
Oracle Identity Manager	Oracle Identity Managerリリース8.5.3.1以上。
ターゲット・システムIDリポジトリ	インストールされているIBM z/OSのバージョンに対応するCA-Top Secretのバージョン 動作保証されているCA-Top Secretのバージョン: CA-Top Secretバージョン12.0 Service Pack 02 CA-Top Secretバージョン8.0 Service Pack 04 CA-Top Secretバージョン9.0 Service Pack 01 動作保証されているIBM z/OSのバージョン: IBM z/OSバージョン1.6 IBM z/OSバージョン1.7 IBM z/OSバージョン1.8 IBM z/OSバージョン1.9
メッセージ・トランスポート・レイヤー	Advanced Encryption Standard（AEC）暗号化を使用したTCP/IP
Oracle Identity Managerのターゲット・システムのユーザー・アカウント	SystemAdministrators権限を持つIBM許可プログラム機能（APF）認可アカウント

注意: LDAP Gatewayでは、Oracle Identity Manager用に作成したターゲット・システムのユーザー・アカウントが使用されます。そのため、アクセスに必要な権限があり、Reconciliation AgentおよびProvisioning Agentとともに動作します。Reconciliation AgentおよびProvisioning Agentの情報は、「コネクタのアーキテクチャ」を参照してください。

メッセージ・トランスポート・レイヤーの要件

Oracle Identity Managerは、Oracle Identity Managerとメインフレーム環境の間で安全なTCP/IPメッセージ・トランスポート・レイヤーを使用します。

ポート5190および5790は、Reconciliation AgentとProvisioning Agentそれぞれのデフォルト・ポートです。これらのエージェントのポートは変更できます。

APF認可の構成

プログラムにAPF認可ステータスを付与することは、スーパーユーザー・ステータスを付与することに似ています。このプロセスにより、システム管理者による問合せや操作の中断を許可せずに、プログラムを実行できるようになります。メインフレーム・システムで実行されるプログラムと実行元のユーザー・アカウントの両方が、APFで認可されている必要があります。Provisioning Agentユーザー・アカウントもAPF認可が必要です。

注意: 通常、APF認可はメインフレームの管理者によって付与されます。このタスクを実行するために必要な認可レベルがない場合は、それらのタスクを実行できるユーザーの協力を得てください。

動作保証されている言語

コネクタでは、次の言語がサポートされています。

• 中国語（簡体字）

• 中国語（繁体字）

• デンマーク語

• 英語

• フランス語

• ドイツ語

• イタリア語

• 日本語

• 韓国語

• ポルトガル語(ブラジル)

• スペイン語

コネクタの機能

ここでは次の項目について説明します。

• コネクタのアーキテクチャ

• Pioneer Provisioning Agentでサポートされている機能

• プロビジョニング用にサポートされている機能

• Voyager Reconciliation Agentでサポートされている機能

• リコンシリエーション用にサポートされている機能

• リコンシリエーションおよびプロビジョニングに使用されるターゲット・システムのフィールド

コネクタのアーキテクチャ

コネクタは、次のコンポーネントで構成されています。

• LDAP Gateway: LDAP GatewayはJava 1.4で作成されており、異なるプラットフォームおよびオペレーティング・システムへの移植が可能です。LDAP Gatewayは、分散アプリケーションからLDAPプロトコル・コマンドを受信し、メインフレームのネイティブ・コマンドに変換します。コマンドの実行後、リクエスト元のアプリケーションにLDAP形式のレスポンスが戻されます。LDAP GatewayをOracle Identity Managerと同じコンピュータにインストールすることをお薦めします。

• Pioneer Provisioning Agent: コネクタのプロビジョニング機能は、メインフレームのコンポーネントであるPioneer Provisioning Agentを介して提供されます。Provisioning Agentは、メインフレームのネイティブのIDおよび認可変更イベントをLDAP Gatewayから受信します。これらのイベントは、LDAP Gatewayからのプロビジョニングの更新がすべて格納されるメインフレーム認証リポジトリに対して処理されます。レスポンスは解析されて、LDAP Gatewayに戻されます。

• Voyager Reconciliation Agent: コネクタのリコンシリエーション機能は、メインフレームのコンポーネントであるVoyager Reconciliation Agentを介して提供されます。Reconciliation Agentは、exitテクノロジを使用してメインフレームのネイティブ・イベントを取得します。exitは、メインフレームのシステム・イベントが処理された後で実行するプログラムです。Reconciliation Agentは、TSOログイン、コマンド・プロンプト、バッチ・ジョブおよびその他のメインフレームのネイティブ・イベントから発生するイベントをリアルタイムで取得します。Reconciliation Agentは、これらのイベントをLDAP Gatewayを介するOracle Identity Managerへの通知メッセージに変換します。

• メッセージ・トランスポート・レイヤー: メッセージ・トランスポート・レイヤーは、LDAP GatewayとReconciliation AgentおよびProvisioning Agentの間のメッセージの交換を可能にします。AES暗号化を使用するTCP/IPは、128ビット暗号化キーを使用するメッセージ・トランスポート・レイヤーです。コネクタは、TCP/IPプロトコルを使用するメッセージ・トランスポート・レイヤーをサポートしています（TCP/IPプロトコルは、独自のメッセージ・トランスポート・レイヤー・プロトコルと機能的に類似しています）。

コネクタのアーキテクチャは、対応する操作の観点から説明できます。

• リコンシリエーション

• プロビジョニング

リコンシリエーション

図1-1は、リコンシリエーション時のデータ・フローを示しています。

図1-1 リコンシリエーション・プロセス

「図1-1 リコンシリエーション・プロセス」の説明

リコンシリエーションには次のステップが含まれます。

1. メインフレームのIDおよび認可のイベントが、メインフレームのターゲット・システムで発生します。これらのメインフレーム・イベントは、適切なexitを介して処理されます。

   
   

   注意: メインフレーム・システムのIDおよび認可イベントには、TSOログオン、コマンドの実行、リアルタイム・パスワード同期、ユーザーの作成または削除、ユーザー属性の変更が含まれます。

   
   

2. メインフレーム・イベントは、Voyager Reconciliation Agentのサブプール231キャッシュに格納されます。サブプール231は、Reconciliation AgentがCA-Top Secretイベントを一時的に格納するために使用するz/OSの記憶領域です。サブプール231キャッシュを使用することで、Reconciliation Agentはメインフレームの多数のイベントを処理できます。

3. Reconciliation Agentは、これらのイベントを読み取り、LDAP Gatewayのための通知メッセージに変換します。Reconciliation Agentは、LDAP Gatewayへの新しいソケットを開き、メッセージ・トランスポート・レイヤーを介して通知メッセージを送信します。これらのメッセージには、イベントのリコンサイルに必要なメッセージ・タイプ、ユーザーIDおよび（パスワード変更イベントの）パスワードなどの、最少量のデータが含まれます。

   
   

   注意: メインフレーム・システムが停止するとき、イベント・レコードはオフラインに格納されます。このようなオフライン・イベントは、メインフレームの起動時にReconciliation Agentにリロードされます。

   
   

4. LDAP Gatewayは、Reconciliation Agentからメッセージを受信し、コネクタ用に復号化します。

5. コネクタは、メインフレームのIDおよび認可変更イベントの結果として生成された現行のすべてのユーザー・データを取得するためのリクエストを、Provisioning Agentに送信します。

6. ターゲット・システムからフェッチされたイベントがユーザー・データと一致する場合は、コネクタによってエラーが戻され、処理が停止します。イベントが一致しない場合は、リコンシリエーション処理のためにコネクタからOracle Identity Managerにイベントが送信され、イベント・レコードの内部メタストアが更新されます。この処理は、ターゲット・システムからフェッチされるすべてのイベントに対して繰り返されます。

プロビジョニング

図1-2は、プロビジョニング時のデータ・フローを示しています。

図1-2 プロビジョニング・プロセス

「図1-2 プロビジョニング・プロセス」の説明

プロビジョニングには次のステップが含まれます。

1. Oracle Identity Managerでユーザーが作成、更新または削除されます。

2. CA-Top Secret用のOracle Identity Managerプロセス・タスク・アダプタにより、変更リクエストがLDAP Gatewayに転送されます。

3. LDAP Gatewayは、LDAP Gatewayからの変更リクエストをメインフレームのコマンドに変換します。CA-Top Secret Advanced Connectorは、このデータを暗号化し、メッセージ・トランスポート・レイヤーを介してProvisioning Agentに送信します。

4. また、ユーザー・データの変更で、LDAP Gatewayの内部メタストアが更新されます。

5. ターゲット・システムでは、Provisioning Agentがデータを復号化してメインフレーム・リポジトリに送信し、成功メッセージまたはエラー・メッセージをLDAP Gatewayに戻します。

Pioneer Provisioning Agentでサポートされている機能

Pioneer Provisioning Agentでは、次の機能がサポートされています。

• CA-Top Secretの標準ユーザー・プロファイル・コマンド:

  • [TSS CREATE]: CA-Top Secretユーザー・プロファイルの作成

  • [TSS REPLACE]: 既存のCA-Top Secretユーザー・プロファイルの変更

  • [TSS DELETE]: CA-Top Secretユーザー・プロファイルの削除

• CA-Top Secretの標準グループ・プロファイル・コマンド:

  • [TSS ADDTO]: CA-Top Secretユーザーのプロファイルへの追加

  • [TSS REMOVE]: CA-Top Secretユーザーのプロファイルからの削除

• CA-Top Secretの標準ファシリティ・コマンド:

  • [TSS ADDTO]: CA-Top Secretユーザーのファシリティへの追加

  • [TSS REMOVE]: CA-Top Secretユーザーのファシリティからの削除

• CA-Top Secretの標準データセットおよびリソース・プロファイル・コマンド:

  • [TSS PERMIT]: データセットまたはリソース・プロファイルのアクセスのユーザーへの提供

プロビジョニング用にサポートされている機能

表1-2に、Provisioning Agentでサポートされている機能を示します。

表1-2 プロビジョニング用にサポートされている機能

機能	説明
Create Users	CA-Top Secretに新しいユーザーを追加します。
Modify Users	CA-Top Secretのユーザー情報を変更します。
Change Passwords	ユーザー・セルフサービス機能を使用してOracle Identity Managerで行われたパスワード変更に対応して、CA-Top Secretでユーザーのパスワードを変更します。
Reset Passwords	CA-Top Secretでユーザーのパスワードをリセットします。パスワードは管理者によってリセットされます。
Suspend User Accounts	CA-Top Secretのユーザー・アカウントを無効にします。
Unsuspend User Accounts	CA-Top Secretのユーザー・アカウントを有効にします。
Delete Users	CA-Top Secretのユーザー・アカウントを削除します。
Grant User Access To Data Sets	ユーザーにデータセットへのアクセス権を追加します。
Grant User Access To Privileges (TSO)	ユーザーにTSOログイン・アクセスを提供します。

Voyager Reconciliation Agentでサポートされている機能

Voyager Reconciliation Agentでは、ADDUSERやALTUSERなどのコマンドを使用して行われたユーザー・プロファイルへの変更のリコンシリエーションがサポートされています。これらのコマンドには、リコンシリエーションのユーザー・パスワードを含めることもできます（存在する場合のみ）。

リコンシリエーション用にサポートされている機能

Reconciliation Agentでは、次の機能がサポートされています。

• Change passwords

• Password resets

• Create user data

• Modify user data

• Suspend users

• Suspend users until

• Delete users

• Unsuspend users

• UnSuspend uses until

リコンシリエーションおよびプロビジョニングに使用されるターゲット・システムのフィールド

ここでは次の項目について説明します。

• ユーザー・フィールドのマッピング

• プロファイル・フィールドのマッピング

ユーザー・フィールドのマッピング

表1-3に、Oracle Identity Managerとターゲット・システムの間でリコンサイルされるユーザー・フィールドを示します。

表1-3 Oracle Identity ManagerとCA-Top Secret間のフィールド・マッピング

Oracle Identity Managerのフィールド	CA-Top Secretのフィールド	説明
uid	USER	ユーザーのログインID
cn	NAME	ユーザーの氏名
sn	NAME	ユーザーの姓
givenName	NAME	ユーザーの名
userPassword	PASSWORD	パスワード
attributes	SPECIAL、AUDITOR、GPRACC、OPERATIONS	ユーザーの属性
department	DEPARTMENT	ユーザーのデフォルト部門
instdata	DATA	ユーザーのインストールで定義されたデータ
createdate	CREATED	ユーザーが作成された日付
passwordExpireDate	EXPIRES	ユーザーのパスワードの有効期限が切れる日付
passwordExpireInterval	INTERVAL	ユーザー・パスワードの残り有効日数
suspendUntilDate	SUSPENDED DATE	ユーザーがシステムへのアクセスを拒否される将来の日付
memberOf	PROFILE	ユーザーのプロファイル情報
facilities	FACILITY	ユーザーのファシリティ情報
division	DIVISION	ユーザーのデフォルト部署
lastmodificationdate	LAST MOD	ユーザーが最後に接続した時間
tsocommand	COMMAND	TSO/Eログオン中に実行されるコマンド
tsodest	DEST	デフォルトのSYSOUTの宛先
tsounit	UNIT	割り当てるデフォルトのUNIT名
tsoudata	USERDATA	TSOユーザーのサイト定義データ・フィールド
tsoalcct	ACCTNUM	TSO/Eログオン・パネルのデフォルトのTSOアカウント番号
tsohclass	HOLDCLASS	デフォルトのHoldClass
tsojclass	JOBCLASS	デフォルトのJobClass
tsomaxsize	MAXSIZE	ユーザーがログオン時にリクエストできる最大リージョン・サイズ
tsomclass	MSGCLASS	デフォルトのMsgClass
tsolproc	PROC	TSO/Eログオン・パネルのデフォルトのログオン・プロシージャ
tsolsize	SIZE	ログオン時にリクエストしなかった場合の最小リージョン・サイズ
tsolopt	OPT	TSOのオプション（MAILやNOTICESなど）
tsosclass	SYSOUTCLASS	デフォルトのSysoutClass
revoke	該当なし	ユーザーを失効させる場合は値Y、失効させない場合はN

プロファイル・フィールドのマッピング

表1-4に、Oracle Identity Managerとターゲット・システムの間のプロファイル・フィールドのマッピングを示します。

表1-4 プロファイル・フィールドの説明

Oracle Identity Managerのフィールド	CA-Top Secretのフィールド	説明
cn	PROFILE	プロファイルID
uniqueMember	USERS	プロファイルに関連付けられているユーザー

コネクタのデプロイおよび使用のロードマップ

コネクタをデプロイするときには、LDAP Gateway、Reconciliation AgentおよびProvisioning Agentもデプロイします。Reconciliation AgentおよびProvisioning Agentはメインフレームにデプロイされます。

これらの手順は、次の各章で説明しています。

• 第2章「Oracle Identity Managerでのコネクタのデプロイ」では、Oracle Identity Managerシステムでのコネクタのデプロイ手順を示しています。この手順には、Oracle Identity Managerの構成、コネクタのXMLファイルのインポート、アダプタのコンパイル、LDAP Gatewayのインストール、メッセージ・トランスポート・レイヤーの構成などが含まれています。

• メインフレームでのReconciliation AgentおよびProvisioning Agentのデプロイ手順は、第3章「CA-Top Secretでのコネクタのデプロイ」を参照してください。この手順はシステム・プログラマと協力して実行することをお薦めします。

• 第4章「コネクタの構成」では、初期リコンシリエーションの実行手順、信頼できるソース・リコンシリエーションおよびアカウント・ステータス・リコンシリエーションの構成手順を示しています。

• 第5章「トラブルシューティング」では、コネクタの使用中に発生する可能性がある問題を示しています。この章では、コネクタの使用に関するガイドラインも示しています。

• 第6章「既知の問題」では、このリリースのコネクタに関する既知の問題を記載しています。