1 コネクタについて

Oracle Identity Manager IBM OS/400 Advanced Connectorは、Oracle Identity Managerとz/OSメインフレームにインストールされたIBM OS/400の間のネイティブ・インタフェースを提供します。このコネクタは、ターゲット・システム上の信頼できる仮想管理者として機能し、ログインIDの作成やパスワードの変更などのタスクを実行します。また、通常は管理者によって手動で実行される機能の一部を自動化します。

このコネクタを使用すると、IBM OS/400でのプロビジョニングおよびリコンシリエーションが可能になります。このガイドでは、Oracle Identity Managerに対してIBM OS/400をユーザー・データの管理対象（ターゲット）リソースまたは認可（信頼できる）ソースとして使用するためのコネクタについて説明します。

この章では次の項目について説明します。

• 動作保証されているデプロイ構成

• 動作保証されている言語

• コネクタの機能

• コネクタのデプロイおよび使用に関するロードマップ

注意: IBM OS/400は、以前のリリースではIBM AS/400またはIBM i5/OSと呼ばれていました。IBM社が公式に名前の変更について発表する前からコネクタの開発が開始されていたため、コネクタ・パック内のIBM OS/400コネクタ・コード、スクリプトおよび名前にAS/400またはi5/OSが出現する場合があります。ドキュメント内のこれらの事例はエラーではありません。

1.1 動作保証されているデプロイ構成

表1-1に、動作保証されているデプロイ構成を示します。

表1-1 動作保証されているデプロイ構成

項目	要件
Oracle Identity Manager	Oracle Identity Managerリリース8.5.3.1以上
ターゲット・システムIDリポジトリ	インストールされているIBM z/OSのバージョンに関連付けられているIBM OS/400のバージョン IBM OS/400のバージョンは次のとおりです。 IBM OS/400バージョン5リリース2 IBM OS/400バージョン5リリース3 IBM OS/400バージョン5リリース4 IBM OS/400バージョン6リリース1 サポートされているIBM z/OSのバージョンは次のとおりです。 IBM z/OSバージョン1.0 IBM z/OSバージョン1.1 IBM z/OSバージョン1.2 IBM z/OSバージョン1.3 IBM z/OSバージョン1.4 IBM z/OSバージョン1.5 IBM z/OSバージョン1.6 IBM z/OSバージョン1.7 IBM z/OSバージョン1.8
インフラストラクチャ要件: メッセージ・トランスポート・レイヤー	JTOpenバージョン5.1.1および5.2（オープン・ソースまたは市販のサポート・バージョン）
Oracle Identity Managerのターゲット・システムのユーザー・アカウント	システム管理者権限付きのOS/400認可アカウント

注意: LDAP Gatewayでは、Oracle Identity Manager用に作成したターゲット・システムのユーザー・アカウントが使用されます。そのため、アクセスに必要な権限があり、Reconciliation AgentおよびProvisioning Agentとともに動作します。Reconciliation AgentおよびProvisioning Agentの情報は、「コネクタのアーキテクチャ」を参照してください。

1.2 動作保証されている言語

コネクタでサポートされている言語は次のとおりです。

• 中国語（簡体字）

• 中国語（繁体字）

• デンマーク語

• 英語

• フランス語

• ドイツ語

• イタリア語

• 日本語

• 韓国語

• ポルトガル語（ブラジル）

• スペイン語

1.3 コネクタの機能

この項では次の項目について説明します。

• コネクタのアーキテクチャ

• Reconciliation Agentでサポートされている機能

• リコンシリエーション用にサポートされている機能

• Provisioning Agentでサポートされている機能

• プロビジョニング用にサポートされている機能

• リコンシリエーションおよびプロビジョニングに使用されるターゲット・システムのフィールド

1.3.1 コネクタのアーキテクチャ

コネクタは、次のコンポーネントで構成されています。

• LDAP Gateway: LDAP GatewayはJava 1.4で作成されており、異なるプラットフォームおよびオペレーティング・システムへの移植が可能です。LDAP Gatewayは、分散アプリケーションからLDAPプロトコル・コマンドを受信し、IBM OS/400のネイティブ・コマンドに変換します。コマンドの実行後、リクエスト元のアプリケーションにLDAP形式のレスポンスが戻されます。LDAP GatewayをOracle Identity Managerと同じコンピュータにインストールすることをお薦めします。

• JTOpen Provisioning Agent: コネクタのプロビジョニング機能は、IBM OS/400のコンポーネントであるJTOpen Provisioning Agentを介して提供されます。JTOpenは、IBM OS/400のIDおよび認可変更イベントをLDAP Gatewayから受信します。これらのイベントは、LDAP Gatewayからのプロビジョニングの更新がすべて格納されるIBM OS/400認証リポジトリに対して処理されます。レスポンスは解析されて、LDAP Gatewayに戻されます。

• Voyager Reconciliation Agent: コネクタのリコンシリエーション機能は、IBM OS/400のコンポーネントであるVoyager Reconciliation Agentを介して提供されます。このReconciliation Agentは、exitテクノロジを使用して、IBM OS/400のIDおよび認可変更イベントを受信します。exitは、IBM OS/400内のイベントが処理された後に実行されるプログラムです。exitが実行されると、変更イベントがリアルタイムでReconciliation Agentに送信されます。これらのイベントには、コマンド・プロンプト、バッチ・ジョブおよびIBM OS/400のその他のネイティブ・イベントで発生するイベントが含まれます。Reconciliation Agentは、これらのイベントをLDAP Gatewayを介するOracle Identity Managerへの通知メッセージに変換します。

• メッセージ・トランスポート・レイヤー: メッセージ・トランスポート・レイヤーは、LDAP GatewayとReconciliation AgentおよびProvisioning Agentの間のメッセージの交換を可能にします。メッセージ・トランスポート・レイヤーのメッセージ・プロトコルとして、JTOpenが使用されます。JTOpenはJavaクラスのライブラリで、IBM OS/400システムでクライアント/サーバーおよびインターネット・プログラミング・モデルを実装できます。JTOpenクラスはJavaアプレット、サーブレットおよびアプリケーションで使用し、IBM OS/400システムのデータおよびリソースにアクセスきます。JTOpenが必要とするのは、Java仮想マシン（JVM）およびJava Development Kit（JDK）のみです。

  
  

  関連項目: JTOpenプロジェクトの詳細は、次のURLにあるJTOpen Webサイトを参照してください。 http://jt400.sourceforge.net/ JTOpenの機能の詳細は、次のURLにあるIBM Toolbox for Javaのドキュメントを参照してください。 http://www-03.ibm.com/servers/eserver/iseries/toolbox/overview.html

  
  

コネクタのアーキテクチャは、サポート対象のコネクタ操作の観点から説明できます。

• リコンシリエーション

• プロビジョニング

1.3.1.1 リコンシリエーション

図1-1は、リコンシリエーション時のデータ・フローを示しています。

図1-1 リコンシリエーション

「図1-1 リコンシリエーション」の説明

リコンシリエーションには次のステップが含まれます。

1. ターゲット・システムで、IBM OS/400のIDおよび認可変更イベントが実行されます。これらのイベントは、適切なexitを介して処理されます。処理されたイベントは、exitによってVoyager Reconciliation Agentに送信されます。

   
   

   注意: IBM OS/400システムのIDおよび認可イベントには、コマンドの実行、リアルタイム・パスワード同期、ユーザーの作成または削除、ユーザー・データの変更が含まれます。

   
   

2. Reconciliation Agentによって、これらのイベントがLDAP Gatewayの通知イベントまたはメッセージに変換されます。通知メッセージは、暗号化されたファイルで構成されます。Reconciliation AgentによってLDAP Gatewayへの新しいソケットが開き、暗号化された通知メッセージが送信されます。これらのメッセージは、メッセージ・トランスポート・レイヤーを介してLDAP Gatewayに送信されます。これらのメッセージには、イベントのリコンサイルに必要なメッセージ・タイプ、ユーザーIDおよび（パスワード変更イベントの）パスワードなどの、最少量のデータが含まれます。

3. LDAP Gatewayは、Reconciliation Agentからメッセージを受信し、コネクタ用に復号化します。

4. コネクタは、IBM OS/400のIDおよび認可変更イベントの結果として生成されたすべての現行ユーザーを取得するためのリクエストを、JTOpen Provisioning Agentに送信します。

   
   

   注意: JTOpenは、TCP/IPを使用してIBM OS/400コマンドを送信します。JTOpenは、メッセージ・トランスポート・レイヤーおよびProvisioning Agentとして機能します。Provisioning AgentとしてのJTOpenの詳細は、「プロビジョニング」を参照してください。

   
   

5. ターゲット・システムからフェッチされたイベントが通知データと一致する場合は、コネクタによってエラーが戻され、処理が停止します。イベントが一致しない場合は、リコンシリエーションのためにコネクタからOracle Identity Managerにイベントが送信され、イベント・レコードの内部メタストアが更新されます。この処理は、ターゲット・システムからフェッチされるすべてのイベントに対して繰り返されます。

1.3.1.2 プロビジョニング

図1-2は、プロビジョニング時のデータ・フローを示しています。

図1-2 プロビジョニング

「図1-2 プロビジョニング」の説明

プロビジョニングには次のステップが含まれます。

1. Oracle Identity Managerでユーザーが作成、更新または削除されます。

2. IBM OS/400用Oracle Identity Managerプロセス・タスク・アダプタにより、変更リクエストがLDAP Gatewayに転送されます。

3. LDAP Gatewayにより、変更リクエストがIBM OS/400のコマンドに変換されます。IBM OS/400 Advanced Connectorによってデータが暗号化され、メッセージ・トランスポート・レイヤーとしても機能するJTOpen Provisioning Agentに送信されます。

4. また、ユーザー・データの変更で、LDAP Gatewayの内部メタストアが更新されます。

5. JTOpenは、データを複合化してIBM OS/400リポジトリに送信し、成功またはエラーのメッセージをLDAP Gatewayに戻します。

   
   

   注意: ターゲット・システムでは、コネクタのプロビジョニング機能をサポートするためのエージェントは不要です。プロビジョニングは、Oracle Identity Managerホスト・コンピュータ上にある、ネットワーク認識APIを使用して実行されます。リコンシリエーションの場合は、変更を検出するためのエージェントがターゲット・システム上に必要で、ネットワーク認識APIも使用されます。

   
   

1.3.2 Reconciliation Agentでサポートされている機能

Voyager Reconciliation Agentでは、CRTUSRPRFやCHGUSRPRFなどのコマンドを使用して行われたユーザー・プロファイルへの変更のリコンシリエーションがサポートされています。これらのコマンドには、リコンシリエーションのユーザー・パスワードも含まれています（存在する場合のみ）。

1.3.3 リコンシリエーション用にサポートされている機能

Reconciliation Agentでは、次の機能がサポートされています。

• Create user data event

• Modify user data event

• Delete user event

• Password change event

• Disable user event

• Enable user event

1.3.4 Provisioning Agentでサポートされている機能

Provisioning Agentでは、次のIBM OS/400ユーザー・プロファイル・コマンドが使用されます。

• [ADDUSER]: IBM OS/400ユーザー・プロファイルを作成します。

• [CHGUSRPRF]: 既存のIBM OS/400ユーザー・プロファイルを変更します。

• [DLT]: IBM OS/400ユーザー・プロファイルを削除します。

1.3.5 プロビジョニング用にサポートされている機能

表1-2に、Provisioning Agentでサポートされている機能を示します。

表1-2 プロビジョニング用にサポートされている機能

機能	説明
Create OS/400 User	ユーザーを作成します。
Modify OS/400 User	ユーザーを変更します。
Delete OS/400 User	ユーザーを削除します。
Change OS/400 Password	ユーザーのパスワードを変更します。
Reset OS/400 Password	ユーザーのパスワードをリセットします。
Revoke OS/400 User Account	ユーザー・アカウントを失効します。
Resume OS/400 User Account	失効したユーザー・アカウントを再開します。

1.3.6 リコンシリエーションおよびプロビジョニングに使用されるターゲット・システムのフィールド

表1-3に、リコンシリエーションおよびプロビジョニングの操作に使用される、ターゲット・システムのフィールドを示します。

表1-3 Oracle Identity ManagerとIBM OS/400の間のフィールド・マッピング

Oracle Identity Managerのフィールド	IBM OS/400のフィールド	説明
uid	USER	ユーザーのログインID
cn	NAME	ユーザーの完全名
sn	NAME	ユーザーの姓
userPassword	PASSWORD	ログインに使用されるパスワード
owner	OWNER	ユーザー・プロファイルの所有者
status	STATUS	ユーザーのステータス（有効化、無効化）
specialAuthority	SPECAUTH	ユーザーの特別なアクセス権限
usrcls	USRCLS	ユーザーの特別なアクセス制御
inlprg	INLPRG	ユーザーの初期プログラム
text	TEXT	フリー・フォームのテキスト・フィールド
lmtcpb	LMTCPB	制限機能
jobd	JOBD	ジョブの説明
supgrpprf	SUPGRPPRF	補助グループ
inlmnu	INLMNU	初期メニュー
grpprf	GRPPRF	グループ・プロファイル
passwordExpire	PWDEXP	ユーザー・パスワードの有効期限が設定されています。

1.4 コネクタのデプロイおよび使用に関するロードマップ

IBM OS/400 Advanced Connectorのデプロイは、LDAP GatewayおよびReconciliation Agentのデプロイを伴います。Reconciliation AgentはIBM OS/400にデプロイされます。

これらの手順は、次の各章で説明しています。

• 第2章「Oracle Identity Managerでのコネクタのデプロイ」では、Oracle Identity Managerのホスト・コンピュータでのコネクタのデプロイ手順を示しています。この手順には、Oracle Identity Managerの構成、コネクタのXMLファイルのインポート、アダプタのコンパイル、LDAP Gatewayのインストール、メッセージ・トランスポート・レイヤーの構成などが含まれています。

• 第3章「IBM OS/400でのコネクタのデプロイ」では、IBM OS/400でのReconciliation Agentのデプロイ手順を示しています。この手順は、システム・プログラマと協力して実行することをお薦めします。

• 第4章「コネクタの構成」では、初期リコンシリエーションの実行手順、信頼できるソース・リコンシリエーションおよびアカウント・ステータス・リコンシリエーションの構成手順を示しています。

• 第5章「トラブルシューティング」では、コネクタに関する一般的な問題のシナリオおよびそれらの問題の解決方法を示しています。この章では、コネクタの使用に関するガイドラインも示しています。

• 第6章「既知の問題」では、このリリースのコネクタに関する既知の問題を記載しています。