| Oracle Identity Manager CA-ACF2 Advanced Connectorガイド リリース9.0.4 E05493-02 |
|
 戻る |
 次へ |
Oracle Identity Manager CA-ACF2 Advanced Connectorは、Oracle Identity Managerおよびz/OSメインフレームにインストールされたCA-ACF2間にネイティブ・インタフェースを提供します。コネクタはターゲット・システムの信頼できる仮想管理者として機能し、ログインIDの作成やパスワードの変更などのタスクを実行します。また、通常は管理者が手動で実行する一部の機能を自動化します。
コネクタを使用すると、CA-ACF2でのプロビジョニングおよびリコンシリエーションが可能になります。このマニュアルでは、Oracle Identity Managerのユーザー情報の、管理対象(ターゲット)リソースまたは認可(信頼できる)ソースとしてのCA-ACF2の使用を可能にするコネクタについて説明します。
この章では次の項目について説明します。
表1-1に、認定されているデプロイ構成を示します。
表1-1 認定されているデプロイ構成
| 項目 | 要件 |
|---|---|
|
Oracle Identity Managerリリース8.5.3.1以上 |
|
|
IBM z/OSバージョンに関連付けられたCA-ACF2バージョンがインストールされていること 対象のCA-ACF2バージョン:
サポートされている対象のIBM z/OSバージョン:
|
|
|
Advanced Encryption Standard(AES)暗号化を使用したTCP/IPまたはAES暗号化を使用したIBM MQ Series |
|
|
Oracle Identity Managerのターゲット・システムのユーザー・アカウント |
SystemAdministrators権限付きのIBM許可プログラム機能(APF)認可アカウント |
|
注意: LDAP Gatewayには、Oracle Identity Manager用に作成するターゲット・システムのユーザー・アカウントが使用されます。そのため、Reconciliation AgentおよびProvisioning Agentにアクセスし、連携するために必要な権限が備わっています。Reconciliation AgentおよびProvisioning Agentの詳細は、「コネクタのアーキテクチャ」を参照してください。 |
Oracle Identity Managerおよびメインフレーム環境間において、Oracle Identity ManagerはTCP/IPおよびIBM MQ Seriesという、2つのセキュアなメッセージ・トランスポート・レイヤーをサポートしています。
TCP/IPメッセージ・トランスポート・レイヤーの場合、ポート5190と5790がそれぞれReconciliation AgentおよびProvisioning Agentのデフォルト・ポートです。これらのエージェントのポートは変更できます。
MQ Seriesには、LDAP Gatewayレベルでは透過的な独自の内部設定手順があります。主要な要件は、標準のMQ Seriesのポートである1414がメインフレームで有効化されていて、LDAP Gatewayに構成されている必要があることです。
これらのメッセージ・トランスポート・レイヤーの構成手順は、このガイドで後述します。
IBM許可プログラム機能(APF)認可ステータスをプログラムに付与することは、スーパーユーザー・ステータスを付与することに似ています。このプロセスにより、システム管理者への問合せの許可や、操作を妨げられることのないプログラムの実行が可能になります。メインフレーム・システムで実行されるプログラムと実行元のユーザー・アカウントの両方が、APFで認可されている必要があります。たとえば、Provisioning Agentのユーザー・アカウントもAPFで認可されている必要があります。
|
注意: 通常APF認可は、メインフレームの管理者が行います。そのようなタスクの実行に必要な認可がない場合には、これらのタスクを実行できるユーザーの協力を得られるよう手配する必要があります。 |
コネクタでは、次の言語がサポートされています。
中国語(簡体字)
中国語(繁体字)
デンマーク語
英語
フランス語
ドイツ語
イタリア語
日本語
韓国語
ポルトガル語(ブラジル)
スペイン語
この項では、次の項目について説明します。
CA-ACF2 Advanced Connectorには、次のコンポーネントが含まれます。
LDAP Gateway: LDAP Gatewayは、Java 1.4で作成されており、様々なプラットフォームおよびオペレーティング・システムへの移植が可能です。LDAP Gatewayは、分散アプリケーションからLDAPプロトコル・コマンドを受信し、それらをネイティブのメインフレーム・コマンドに変換します。コマンドの実行後、リクエスト元のアプリケーションにLDAP形式のレスポンスが戻されます。LDAP GatewayをOracle Identity Managerと同じコンピュータにインストールすることをお薦めします。
Pioneer Provisioning Agent: CA-ACF2 Advanced Connectorは、メインフレームのコンポーネントであるPioneer Provisioning Agentを介してプロビジョニング機能を提供します。Provisioning Agentは、LDAP GatewayからネイティブのメインフレームIDおよび認可変更イベントを受信します。これらのイベントは、LDAP Gatewayからのすべてのプロビジョニングの更新が格納されている、メインフレーム認可リポジトリに対して処理されます。レスポンスは解析されて、LDAP Gatewayに戻されます。
Voyager Reconciliation Agent: CA-ACF2 Advanced Connectorは、メインフレームのコンポーネントであるVoyager Reconciliation Agentを介してリコンシリエーション機能を提供します。Reconciliation Agentは、exitテクノロジを使用してネイティブのメインフレーム・イベントを取得します。exitは、メインフレームのシステム・イベントが処理された後に実行されるプログラムです。Reconciliation Agentは、TSOログイン、コマンド・プロンプト、バッチ・ジョブおよびその他のネイティブのメインフレーム・イベントから発生するイベントをリアルタイムで取得します。Reconciliation Agentは、LDAP Gatewayを介して、これらのイベントをOracle Identity Managerへの通知メッセージに変換します。
メッセージ・トランスポート・レイヤー: メッセージ・トランスポート・レイヤーは、LDAP GatewayおよびReconciliation AgentとProvisioning Agent間のメッセージの交換を可能にします。メッセージ・トランスポート・レイヤーには、次のいずれかのメッセージング・プロトコルを使用できます。
コネクタのアーキテクチャは、サポートされているコネクタ操作の観点から説明できます。
図1-1に、リコンシリエーション中のデータ・フローを示します。
リコンシリエーションには次の手順が含まれます。
メインフレームのターゲット・システムで、メインフレームIDと認可イベントが発生します。メインフレーム・イベントは、適切なexitを介して処理されます。
|
注意: メインフレーム・システムのIDおよび認可イベントには、TSOログイン、コマンドの実行、リアルタイムのパスワード同期、ユーザーの作成または削除、ユーザー属性の変更が含まれます。 |
メインフレーム・イベントは、Voyager Reconciliation Agentのサブプール231キャッシュに格納されます。サブプール231はz/OS記憶域の領域で、Reconciliation AgentがCA-ACF2イベントを一時的に格納するために使用されます。サブプール231キャッシュにより、メインフレームからの大量のイベントをReconciliation Agentで処理できます。
Reconciliation Agentはこれらのイベントを読み取り、LDAP Gatewayへの通知メッセージに変換します。Reconciliation AgentはLDAP Gatewayへの新しいソケットを開き、通知メッセージを送信します。メッセージは、メッセージ・トランスポート・レイヤーを介してLDAP Gatewayに送信されます。これらのメッセージには、メッセージ・タイプ、ユーザーIDおよびパスワード(パスワード変更イベントの場合)など、イベントのリコンサイルに必要な最小限のデータが含まれています。
|
注意: メインフレーム・システムが停止している場合、イベント・レコードはオフラインで格納されます。これらのオフライン・イベントは、メインフレームが起動されるとReconciliation Agentにリロードされます。 |
LDAP GatewayはReconciliation Agentからメッセージを受信し、コネクタ用に復号化します。
コネクタはProvisioning Agentにリクエストを送信し、メインフレームIDおよび認可イベントの結果として生成された現行ユーザーのデータをすべて取得します。
ターゲット・システムからフェッチされたイベントが通知データと一致した場合は、コネクタによりエラーが戻され、プロセスが停止します。イベントが一致しない場合は、コネクタによりOracle Identity Managerにイベントが送信され、リコンシリエーションが処理されてイベント・レコードの内部メタストアが更新されます。ターゲット・システムからフェッチされたすべてのイベントでこのプロセスが繰り返されます。
図1-2に、プロビジョニング中のデータ・フローを示します。
プロビジョニングには次の手順が含まれます。
Oracle Identity Managerでユーザーが作成、更新または削除されます。
CA-ACF2用のOracle Identity Managerプロセス・タスク・アダプタにより、LDAP Gatewayに変更リクエストが転送されます。
LDAP Gatewayは、LDAP Gatewayからの変更リクエストをメインフレーム・コマンドに変換します。CA-ACF2 Advanced Connectorはデータを暗号化し、メッセージ・トランスポート・レイヤーを介してProvisioning Agentに送信します。
コネクタも、ユーザー・データの変更内容で、LDAP Gatewayの内部メタストアを更新します。
ターゲット・システムでは、Provisioning Agentによりデータが復号化され、メインフレーム・リポジトリに送信されて、LDAP Gatewayに成功またはエラーのメッセージが戻されます。
Pioneer Provisioning Agentには次の機能があります。
標準のCA-ACF2ユーザー・プロファイル・コマンド:
[INSERT]: CA-ACF2ユーザー・プロファイルを作成
[CHANGE]: CA-ACF2ユーザー・プロファイルを変更
[DELETE]: CA-ACF2ユーザー・プロファイルを削除
標準のCA-ACF2グループ・プロファイル・コマンド:
[CHANGE]: CA-ACF2ユーザーをグループに追加。このコマンドは、アクセス権を設定する変数に基づいて機能します。CA-ACF2ユーザーをグループに追加する場合、変数はR(A)、W(A)、EXEC(A)およびALLOC(A)です。
[CHANGE]: CA-ACF2ユーザーをグループから削除。CA-ACF2ユーザーをグループから削除する場合、変数はR(P)、W(P)、EXEC(P)およびALLOC(P)です。
標準のCA-ACF2データセットおよびリソース・プロファイル・コマンド:
[SET RULE]: ユーザーにデータセットまたはリソース・プロファイルへのアクセス権を付与
表1-2に、Provisioning Agentによりサポートされている機能を説明します。
表1-2 プロビジョニング用にサポートされている機能
| 機能 | 説明 |
|---|---|
|
Create Users |
CA-ACF2に新規ユーザーを追加します。 |
|
Modify Users |
CA-ACF2のユーザー情報を変更します。 |
|
Change Passwords |
ユーザーのセルフ・サービスによりOracle Identity Managerで行われたパスワード変更に対応して、CA-ACF2のユーザー・パスワードを変更します。 |
|
Reset Passwords |
CA-ACF2のユーザー・パスワードをリセットします。パスワードは管理者によりリセットされます。 |
|
Disable User Accounts |
CA-ACF2のユーザーを無効化します。 |
|
Enable User Accounts |
CA-ACF2のユーザーを有効化します。 |
|
Delete Users |
CA-ACF2からユーザーを削除します。 |
|
Grant Users Access To Data Sets |
ACF2リソースにユーザーを追加してACF2ルールを設定します。 |
|
Grant Users Access To Privileges(TSO) |
ユーザーにTSOログイン・アクセスを付与します。 |
Voyager Reconciliation Agentは、ADDUSERまたはALTUSERなどのコマンドを使用してユーザー・プロファイルに行われた変更のリコンシリエーションをサポートします。存在する場合には、これらのコマンドにもリコンシリエーション用のユーザーのパスワードが含まれています。
Reconciliation Agentでは、次の機能がサポートされています。
Change passwords
Password resets
Create user data
Modify user data
Disable users
Delete users
Enable users
この項では、次の項目について説明します。
表1-3に、Oracle Identity Managerとターゲット・システム間でリコンサイルされるユーザー・フィールド・マッピングを示します。
表1-3 Oracle Identity ManagerおよびCA-ACF2間のフィールド・マッピング
| Oracle Identity Managerフィールド | CA-ACF2フィールド | 説明 |
|---|---|---|
|
uid |
USER |
ユーザーのログインID。 |
|
cn |
NAME |
ユーザーの完全名。 |
|
sn |
NAME |
ユーザーの姓。 |
|
givenName |
NAME |
ユーザーの名。 |
|
userPassword |
PASSWORD |
ログインに使用されるパスワード。 |
|
privileges |
SECURITY(カスタム権限を含む) |
カスタム権限を含むユーザーの権限。 |
|
activeDate |
ACTIVE |
日付に基づいてアクセスを許可または拒否する権限。 |
|
group |
GROUP(制限グループ) |
ユーザーのデフォルトの制限グループ。 |
|
passwordExpire |
PSWD-EXP|NOPSWD-EXP |
ユーザーのパスワードが手動で有効期限切れにされたことを示します。このフィールドを使用する場合、セキュリティ管理者はそのユーザーにパスワードの変更を強制する必要があります。 |
|
cicsid |
CICSID |
CICSの演算子ID。 |
|
accessCnt |
ACC-CNT |
ユーザーがシステムにアクセスした回数。 |
|
accessDate |
ACC-DATE |
ユーザーが最後にシステムにアクセスした日付。 |
|
accessSrce |
ACC-SRCE |
ユーザーがアクセスしたシステム・コンポーネント。 |
|
accessTime |
ACC-TIME |
ユーザーが最後にシステムにアクセスした時間。 |
|
prefix |
PREFIX |
データセットへのアクセスの検証に使用されるルールの0〜8の文字キー。 |
|
kerbVio |
KERB-VIO |
Kerberosキー違反の数。 |
|
kerbCurv |
KERBCURV |
Kerberosキーのバージョン。 |
|
pwsdDate |
PSWD-DAT |
無効なパスワードが試行された最後の日付。日付はGSO OPTSレコードのDATEフィールドに応じて、mm/dd/yy、dd/mm/yyまたはyy/mm/ddという書式で表示されます。年を70〜99に設定すると、20世紀(1970〜1999)の日付とみなされます。年を00〜69に設定すると、21世紀(2000〜2069)の日付とみなされます。 注意: GSOの詳細は、ターゲット・システムのドキュメントを参照してください。 |
|
pwsdInv |
PWSD-INV |
最後に正常にログオンしてから発生したパスワード違反の数。このフィールドは、セキュリティ管理者が0にリセットできます。 |
|
pwsdTod |
PWSD-TOD |
ユーザーがパスワードを変更した日時。CA-ACF2により、GSO OPTSレコードのDATEフィールドに応じて、mm/dd/yy、dd/mm/yyまたはyy/mm/ddという書式で日付がリストされます。このフィールドは設定できません。CA-ACF2により管理および表示されます。年を70〜99に設定すると、20世紀(1970〜1999)の日付とみなされます。年を00〜69に設定すると、21世紀(2000〜2069)の日付とみなされます。 |
|
pwsdVio |
PWSD-VIO |
PSWD-DATで発生したパスワード違反の数。 |
|
minDays |
MINDAYS |
ユーザーがパスワードを変更できるようになるまでに経過する必要のある最低日数。0は制限がないことを意味します。 |
|
maxDays |
MAXDAYS |
パスワードが期限切れになるまでに、ユーザーがパスワードの変更を許可される最大日数(PSWD-TODフィールドに指定された日付に基づく)。0は制限がないことを意味します。 |
|
tsocommand |
TSOCMDS |
TSO/Eログオン中に実行されるコマンド。 |
|
tsodest |
DFT-DEST |
デフォルトのSYSOUTの宛先。 |
|
tsoDefaultPrefix |
DFT-PFX |
ログイン時にユーザーのプロファイルに設定される1〜8文字のデフォルトのTSO接頭辞。 |
|
tsounit |
TSOUNIT |
割り当てるデフォルトのUNIT名。 |
|
tsoRba |
TSORBA |
ユーザーのメール索引レコード・ポインタ(MIRP)。 |
|
tsoacctnum |
TSOACCT |
TSO/Eログオン・パネルのデフォルトのTSOアカウント番号。 |
|
tsoholdclass |
DFT-SUBH |
デフォルトのHoldClass。 |
|
tsoSubmitClass |
DFT-SUBC |
デフォルトのSubmitClass。 |
|
tsomaxsize |
TSOSIZE |
ユーザーがログオン時にリクエストできる最大リージョン・サイズ。 |
|
tsomsgclass |
DFT-SUBM |
デフォルトのMsgClass。 |
|
tsoproc |
TSOPROC |
TSO/Eログオン・パネルのデフォルトのログイン・プロシージャ。 |
|
tsosize |
TSORGN |
ログオン時にリクエストしなかった場合の最小リージョン・サイズ。 |
|
tsosysoutclass |
DFT-SOUT |
デフォルトのSysoutClass。 |
|
revoke |
NA |
ユーザーを失効する場合は値 |
|
tsoPerf |
TSOPERF |
ユーザーのデフォルトのTSOパフォーマンス・グループ。 |
|
tsoMail |
|
ユーザーがログオン時にTSOからのメール・メッセージを受信できることを示します。 |
|
tsoAcctPriv |
ACCTPRIV |
ユーザーにTSOアカウント権限があることを示します。 |
|
tsoAllCmds |
ALLCMDS |
特殊なプレフィクス文字を入力することで、CA-ACF2制限コマンド・リストを省略できることを示します。 |
|
tsoJcl |
JCL |
TSOからのバッチ・ジョブの発行、およびSUBMIT、STATUS、CANCEL、OUTPUTコマンドの使用が可能なことを示します。 |
|
tsoWtp |
WTP |
CA-ACF2によりプログラマへの書込みメッセージが表示されることを示します。 |
|
tsoFscrn |
TSOFSCRN |
ユーザーが全画面のログオン表示を使用できることを示します。 |
|
tsoMount |
MOUNT |
デバイスにマウントを発行する権限があることを示します。 |
|
tsoOperator |
OPERATOR |
ユーザーにTSOオペレータ権限があることを示します。 |
|
tsoNotices |
NOTICES |
ユーザーがログオン時にTSO通知を受信できることを示します。 |
|
tsoPrompt |
PROMPT |
パラメータが不足しているかまたは不適切であることが、CA-ACF2によりユーザーに通知されることを示します。 |
|
tsoLgnAcct |
LGN-ACCT |
ログオン時にアカウント番号を指定できることを示します。 |
|
tsoLgnMsg |
LGN-MSG |
ユーザーがログオン時にメッセージ・クラスを指定する権限を持っていることを示します。 |
|
tsoLgnPerf |
LGN-PERF |
ログオン時にパフォーマンス・グループを指定できることを示します。 |
|
tsoLgnProc |
LGN-PROC |
ログオン時にTSOプロシージャ名を指定できることを示します。 |
|
tsoLgnTime |
LGN-TIME |
ログオン時にTSOセッションの時間制限を指定できることを示します。 |
|
tsoLgnRcvr |
LGN-RCVR |
TSOまたはTSO/Eコマンド・パッケージのリカバリ・オプションを使用できることを示します。 |
|
tsoLgnSize |
LGN-SIZE |
ユーザーがログオン時に、TSOSIZEを上書きすることで、任意のリージョン・サイズの指定を認可されていることを示します。 |
|
tsoLgnUnit |
LGN-UNIT |
ログオン時にTSOユニット名を指定できることを示します。 |
|
tsoIntercom |
INTERCOM |
ユーザーがTSO SENDコマンドを介して、他のユーザーからのメッセージの受信を希望していることを示します。 |
|
secVio |
SEC-VIO |
ユーザーの累積のセキュリティ違反数を示します。 |
|
updTod |
UPD-TOD |
ログインIDレコードが最後に更新された日時を示します。 |
表1-4に、Oracle Identity Managerとターゲット・システム間のリソース・プロファイル・フィールド・マッピングを示します。
表1-4 データセット・リソース・プロファイル・フィールドの説明
| Oracle Identity Managerフィールド | CA-ACF2フィールド | 説明 |
|---|---|---|
|
cn |
PROFILE NAME |
プロファイルID |
|
standardAccessList |
ID,ACCESS,ACCESS COUNT |
データセットに対するIDおよびアクセス権の標準アクセス・リスト |
|
conditionalAccessList |
ID,ACCESS,ACCESS COUNT |
データセットに対するIDおよびアクセス権の条件アクセス・リスト |
|
owner |
OWNER |
データセットの所有者 |
|
auditing |
AUDITING |
監査を有効化するかどうかを指定 |
|
notify |
NOTIFY |
リソース・プロファイルへの任意の変更に対して通知を有効化するかどうかを指定 |
|
instdata |
DATA |
データセットのインストール・データ |
CA-ACF2 Advanced Connectorのデプロイには、LDAP Gateway、Reconciliation AgentおよびProvisioning Agentのデプロイが含まれます。Reconciliation AgentおよびProvisioning Agentはメインフレームにデプロイされます。
この手順は、次の章で説明されています。
Oracle Identity Managerシステムへのコネクタのデプロイ手順は、第2章「Oracle Identity Managerへのコネクタのデプロイ」を参照してください。この手順には、Oracle Identity Managerの構成、コネクタのXMLファイルのインポート、アダプタのコンパイル、LDAP Gatewayのインストール、メッセージ・トランスポート・レイヤーの構成が含まれています。
メインフレームへのReconciliation AgentおよびProvisioning Agentのデプロイ手順は、第3章「CA-ACF2でのコネクタのデプロイ」を参照してください。この手順は、システム・プログラマのサポートを得て実行することをお薦めします。
初期リコンシリエーションの実行手順、および信頼できるソースのリコンシリエーションとアカウント・ステータス・リコンシリエーションの構成手順は、第4章「コネクタの構成」を参照してください。また、この章では、プロビジョニングへの新規フィールドの追加方法も説明しています。
コネクタの使用中に発生する可能性のある問題の詳細は、第5章「トラブルシューティング」を参照してください。また、この章では、コネクタの使用に関するガイドラインも説明しています。
このリリースのコネクタに関連する既知の問題は、第6章「既知の問題」に記載されています。
