| Oracle Identity Manager IBM RACF Standard Connectorガイド リリース9.0.4 E05497-02 |
|
 戻る |
 次へ |
コネクタをデプロイするには次の手順を実行します。
使用するOracle Identity Managerのリリースに応じて、次の項のいずれかで説明する手順を実行します。
次の表に、コネクタのデプロイ要件を示します。
| 項目 | 要件 |
|---|---|
| Oracle Identity Manager | Oracle Identity Managerリリース8.5.3.1以上。 |
| ターゲット・システム | z/OS 1.4のIBM RACF。 |
| ターゲット・システムのホスト・プラットフォーム | z/OS 1.4。 |
| 外部コード | IBM Host On-Demand(HOD)バージョン9.0から取得するHost Access Class Library(HACL)クラス・ファイルを次に示します。
|
| ターゲット・システムのユーザー・アカウント | 「ターゲット・システムの構成」で、必要な権限を持つIBM RACFユーザー・アカウントを作成する手順を説明しています。
ITリソースを構成する際に、このユーザー・アカウントの資格証明を指定します。この手順は、このガイドで後述します。 ユーザー・アカウントに特定の権限が割り当てられていない場合は、Oracle Identity Managerがターゲット・システムとデータを交換しようとすると、「認証に失敗しました」のメッセージが表示されます。 |
外部コード・ファイルをコピーする手順には次のステップがあります。
WellKnownTrustedCAs.classおよびWellKnownTrusted.p12ファイルを含むJARファイルを作成します。HODが<../IBM>ディレクトリにインストールされていることを前提とすると、これらのファイルはHODインストールの一部として次のディレクトリにあります。
<IBM/HostOnDemand/HOD>
次のコマンドを使用して、JARファイルを作成できます。
jar –cvf WellKnownTrustedCertificatesCAs.jar WellKnownTrustedCAs.class WellKnownTrusted.p12
ステップ1で作成したJARファイルと、HODインストール・ディレクトリ(<.IBM/HostOnDemand/HOD>)にある外部JARファイル(hoddbg2.jar、hacp.jar、habasen2.jarおよびhasslite2.jar)をOracle Identity Managerインストールの次のディレクトリにコピーします。
OIM_HOME/xellerate/ThirdParty
ターゲットの構成に基づいて変更(必要な場合)を行った後で、InitialLoginSequence.txt、LogOutSequence.txtおよびInputFields.txtファイルを次のディレクトリにコピーします。
OIM_HOME/xellerate/ThirdParty
|
注意: このガイドでは、コネクタ・インストーラという用語は、Oracle Identity Manager管理およびユーザー・コンソールのコネクタ・インストーラ機能を意味するために使用されています。 |
Oracle Identity Managerリリース9.1.0以上にコネクタをインストールする手順は、次のとおりです。
コネクタ・インストーラを実行するには、次のようにします。
コネクタのインストール・メディアから次のディレクトリに、コネクタをコピーします。
OIM_HOME/xellerate/ConnectorDefaultDirectory
『Oracle Identity Manager管理およびユーザー・コンソール』の「コネクタのインストールに使用するユーザー・アカウントの作成」で説明されているユーザー・アカウントを使用して、管理およびユーザー・コンソールにログインします。
「デプロイメント管理」、「コネクタのインストール」を順にクリックします。
「コネクタ・リスト」リストで、IBM RACF Standard Connector 9.0.4.2を選択します。このリストには、コネクタのデフォルトのインストール・ディレクトリにインストール・ファイルをコピーしたコネクタの名前およびリリース番号が表示されます。
OIM_HOME/xellerate/ConnectorDefaultDirectory
インストール・ファイルを異なるディレクトリにコピーした場合、次のようにします。
「代替ディレクトリ」フィールドで、ディレクトリのフルパスおよび名前を入力します。
「リフレッシュ」をクリックして「コネクタ・リスト」リストのコネクタのリストを再移入します。
「コネクタ・リスト」リストで、IBM RACF Standard Connector 9.0.4.2を選択します。
「ロード」をクリックします。
「続行」をクリックしてインストール手順を開始します。
次の順序でタスクが実行されます。
コネクタ・ライブラリの構成。
コネクタのターゲット・リソース・ユーザー構成XMLファイルのインポート(デプロイメント・マネージャを使用)。ターゲット・システムをリコンシリエーションの信頼できるソースとしてインポートするには、「信頼できるソースのリコンシリエーションの構成」を参照してください。
アダプタのコンパイル。
タスクが正常にコンパイルされると、タスクにチェック・マークが表示されます。タスクが正常に終了しない場合、Xマークおよび失敗の理由を説明するメッセージが表示されます。失敗の理由に応じて必要な修正を行い、次のいずれかの手順を実行します。
「再試行」をクリックして、インストールを再試行します。
インストールを取り消して、ステップ1からやりなおします。
コネクタのインストール手順の3つのタスクがすべて正常に終了すると、インストールの成功を示すメッセージが表示されます。また、インストール後に実行するステップのリストが表示されます。これらのステップは次のとおりです。
コネクタを使用する前提条件が満たされていることの確認。
|
注意: この時点で、PurgeCacheユーティリティを実行して、前提条件のリストを表示するためにコネクタ・リソース・バンドルからサーバー・キャッシュとコンテンツをロードします。PurgeCacheユーティリティの実行方法の詳細は、「サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去」を参照してください。
事前定義されたコネクタには前提条件がない場合があります。 |
コネクタのITリソースの構成。
このページに表示されるITリソースの名前を記録します。ITリソースを構成する手順は、このガイドで後述します。
コネクタのインストール時に作成されるスケジュール済タスクの構成。
このページに表示されるスケジュール済タスクの名前を記録します。これらのスケジュール済タスクを構成する手順は、このガイドで後述します。
コネクタのインストール・メディアのscriptsディレクトリから、OIM_HOME/xellerate/RACFScriptsディレクトリへファイルをコピーします。
Oracle Identity Managerクラスタへのコネクタのインストール
Oracle Identity Managerをクラスタ環境にインストールするときは、すべてのJARファイルおよびconnectorResourcesディレクトリの内容をクラスタの各ノードの対応するディレクトリにコピーする必要があります。コピーするファイルおよびコピー先のOracle Identity Managerサーバー上の場所の詳細は、「インストール・メディアのファイルおよびディレクトリ」を参照してください。
|
注意: コネクタをOracle Identity Managerリリース9.1.0以上にインストールする場合、この手順を実行します。 |
次のようにして、RACF Server ITリソースのパラメータの値を指定します。
管理およびユーザー・コンソールにログインします。
「リソース管理」を開きます。
「ITリソースの管理」をクリックします。
「ITリソースの管理」ページの「ITリソース名」フィールドにRACF Serverと入力し、「検索」をクリックします。
ITリソースの「編集」アイコンをクリックします。
ページ上部のリストで、「詳細およびパラメータ」を選択します。
ITリソースのパラメータの値を指定します。次の表に、各パラメータを示します。
| パラメータ | パラメータの説明 |
|---|---|
Admin |
IBM RACFサーバーの管理者ID |
AdminCredential |
管理者IDアカウントのパスワード |
Application |
管理ユーザーがログインするTSO値
サンプル値: |
Host |
メインフレーム・システムのIPアドレスまたはコンピュータ名 |
Port |
サーバーがリスニングするポート番号 |
LoginMacro |
IBMメインフレーム・サーバーのREADYプロンプトに到達するために使用するファイルの名前およびディレクトリ・パス
値:
OIM_HOME/xellerate/ThirdParty/InitialLoginSequence.txt
|
AutoRetry |
AutoRetry機能
値は |
AmountRetry |
AutoRetry機能の再試行回数
サンプル値: |
WaitTime |
連続した再試行間の待機時間
サンプル値: |
IsSecure |
Oracle Identity ManagerおよびIBM RACF間の接続をSSLを使用して保護する必要があるかどうかを指定
値は 注意: SSLを有効化してターゲット・システムとの通信を保護することをお薦めします。 |
LogoutMacro |
IBMメインフレーム・サーバーのREADYプロンプトを終了するために使用するファイルの名前およびディレクトリ・パス
値:
OIM_HOME/xellerate/ThirdParty/LogOutSequence.txt
|
「更新」をクリックして、値を保存します。
リリース8.5.3.1〜9.0.3.1のいずれかのOracle Identity Managerリリースにコネクタをインストールする手順は、次のとおりです。
コピーするコネクタのファイルと、コピーする必要があるディレクトリを次の表に示します。
| インストール・メディア・ディレクトリのファイル | コピー先ディレクトリ |
|---|---|
lib/xlUtilHostAccess.jar |
|
lib/xlReconRACF.jar |
OIM_HOME/xellerate/ScheduleTask
|
extディレクトリにあるファイル |
OIM_HOME/xellerate/ThirdParty
|
scriptsディレクトリにあるファイル |
OIM_HOME/xellerate/RACFScripts
|
resourcesディレクトリにあるファイル |
OIM_HOME/xellerate/connectorResources
|
testディレクトリの内容 |
OIM_HOME/xellerate/XLIntegrations/racf
|
xmlディレクトリにあるファイル |
OIM_HOME/XLIntegrations/racf/xml
|
|
注意: クラスタ環境では、JARファイルおよびconnectorResourcesディレクトリの内容を、クラスタの各ノードの対応するディレクトリにコピーします。 |
コネクタのXMLファイルをOracle Identity Managerにインポートするには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くダイアログ・ボックスが表示されます。
OIM_HOME/XLIntegrations/racf/xmlディレクトリにある、RACFnonTrusted.xmlファイルを検索して開きます。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「次へ」をクリックします。RACF Server ITリソースの「ITリソース・インスタンス・データの提供」ページが表示されます。
RACF Server ITリソースのパラメータの値を指定します。指定する値の詳細は、次の表を参照してください。
| パラメータ | パラメータの説明 |
|---|---|
Admin |
IBM RACFサーバーの管理者ID |
AdminCredential |
管理者IDアカウントのパスワード |
Application |
管理ユーザーがログインするTSO値
サンプル値: |
Host |
メインフレーム・システムのIPアドレスまたはコンピュータ名 |
Port |
サーバーがリスニングするポート番号 |
LoginMacro |
IBMメインフレーム・サーバーのREADYプロンプトに到達するために使用するファイルの名前およびディレクトリ・パス
値:
OIM_HOME/xellerate/ThirdParty/InitialLoginSequence.txt
|
AutoRetry |
AutoRetry機能
値は |
AmountRetry |
AutoRetry機能の再試行回数
サンプル値: |
WaitTime |
連続した再試行間の待機時間
サンプル値: |
IsSecure |
Oracle Identity ManagerおよびIBM RACF間の接続をSSLを使用して保護する必要があるかどうかを指定
値は 注意: SSLを有効化してターゲット・システムとの通信を保護することをお薦めします。 |
LogoutMacro |
IBMメインフレーム・サーバーのREADYプロンプトを終了するために使用するファイルの名前およびディレクトリ・パス
値:
OIM_HOME/xellerate/ThirdParty/LogOutSequence.txt
|
「次へ」をクリックします。RACF Server ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
「スキップ」をクリックして、他のITリソースを定義しないことを指定します。「確認」ページが表示されます。
|
関連項目: その他のITリソースを定義する場合の手順は、『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』を参照してください。 |
「選択内容の表示」をクリックします。
XMLファイルの内容が「インポート」ページに表示されます。ノードの横に十字形のアイコンが表示されることがあります。これらのノードは、冗長なOracle Identity Managerエンティティを示しています。コネクタのXMLファイルをインポートする前に、各ノードを右クリックして「削除」を選択し、これらのエンティティを削除する必要があります。
「インポート」をクリックします。コネクタのXMLファイルがOracle Identity Managerにインポートされます。
Oracle Identity Managerサーバーの構成には、次の手順があります。
|
注意: クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。 |
必要な入力ロケール(言語および国の設定)に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。
必要な入力ロケールに変更するため、システム管理者の支援が必要となる場合があります。
「コネクタ・ファイルのコピー」の項で説明されている手順を実行する際には、インストール・メディアのresourcesディレクトリにあるファイルを、OIM_HOME/xellerate/connectorResourcesディレクトリにコピーします。connectorResourcesディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。
コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。
コマンド・ウィンドウで、OIM_HOME/xellerate/binディレクトリに移動します。
|
注意: ステップ1を実行してからステップ2を実行してください。ステップ2で次のようにコマンドを実行すると、例外がスローされます。OIM_HOME/xellerate/bin/batch_file_name |
次のいずれかのコマンドを入力します。
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
|
注意: ステップ2の実行時にスローされる例外は無視できます。 |
このコマンドのConnectorResourceBundleは、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。
OIM_HOME/xellerate/config/xlConfig.xml
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ALL
このレベルでは、すべてのイベントのロギングが有効化されます。
DEBUG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を大まかに示すメッセージのロギングが有効化されます。
WARN
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
ERROR
このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。
FATAL
このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。
OFF
このレベルでは、すべてのイベントのロギングが無効化されます。
ログ・レベルを設定するファイルは、使用するアプリケーション・サーバーによって異なります。
BEA WebLogic Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.ADAPTER.RACFADAPTERLOGGER=log_level
この行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.ADAPTER.RACFADAPTERLOGGER=INFO
ロギングを有効化すると、ログ情報がサーバー・コンソールに表示されます。
IBM WebSphere Application Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.ADAPTER.RACFADAPTERLOGGER=log_level
この行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.ADAPTER.RACFADAPTERLOGGER=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WEBSPHERE_HOME/AppServer/logs/SERVER_NAME/SystemOut.log
JBoss Application Server
ロギングを有効にするには、次のようにします。
JBOSS_HOME/server/default/conf/log4j.xmlファイルに次の行が存在していない場合は追加します。
<category name="ADAPTER.RACFADAPTERLOGGER">
<priority value="log_level"/>
</category>
XMLコードの2行目で、log_levelを、設定するログ・レベルに置換します。次に例を示します。
<category name="ADAPTER.RACFADAPTERLOGGER"> <priority value="INFO"/> </category>
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
JBOSS_HOME/server/default/log/server.log
Oracle Application Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.ADAPTER.RACFADAPTERLOGGER=log_level
この行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.ADAPTER.RACFADAPTERLOGGER=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
ORACLE_HOME/opmn/logs/default_group~home~default_group~1.log
ターゲット・システムを構成するには、次のようにします。
TCP/IPプロファイル・ファイルに指定したTelnetおよびSSLポート番号を記録します。ITリソースを構成する際に、これらのポート番号をITリソース定義の一部として指定する必要があります。
FTPを使用し、メンバー(スクリプト)をOIM_HOME/xellerate/RACFScriptsディレクトリから、レコード長80およびレコード形式固定ブロックのパーティション化したデータセットにアップロードします。
次のファイルを、レコード長80およびレコード形式固定ブロックでフラット・ファイルまたは順次データセット(PS)ファイルとしてアップロードします。
OIM_HOME/xellerate/RACFScripts/SYSTMDAT
SYSTMDATファイルに次の情報を指定する必要があります。
IBM RACFデータベース・データセットの名前
バックグラウンド・ジョブの一部を構成するジョブ・ヘッダー
ジョブ・ヘッダーが、次の形式のNOTIFYパラメータを含んでいることを確認します。
NOTIFY=&SYSUID
IBM RACFサーバーのパーティション化したデータセットにアップロードするRACFスクリプト(この手順のステップ2を参照)を含むRACFソース・データセットの名前
リージョン・サイズおよび動的なリソース割当て値
コネクタが作成および削除できる10個の一時PSファイルの名前
Special属性が割り当てられた既存のユーザー・アカウントを使用して、TSOアクセスを介してIBMメインフレーム・サーバーにユーザーを作成します。
ユーザーにSpecial属性を指定します。
メインフレーム・ユーザーの作成に使用するユーザー・アカウントを使用して、IBMメインフレーム・サーバーのTSOにログオンします。
READYプロンプトに次のコマンドを入力します。
Altuser NewUserIDCreated Special
READYプロンプトに次のRACFコマンドを入力し、メインフレーム・ユーザーにRACFスクリプトを格納するディレクトリのALTER権限を指定します。
ADDSD RACF_Source UACC(NONE) PERMIT RACF_Source ACCESS(ALTER) ID(new_mainframe_userid) SETROPTS GENERIC(DATASET) REFRESH
次のようにして、メインフレーム・ユーザーのMsgidをONに設定します。
作成するメインフレーム・ユーザー・アカウントを使用して、IBMメインフレーム・サーバーのTSOにログオンします。
READYプロンプトに次のコマンドを入力します。
profile msgid
|
注意: これはデプロイのオプションの手順です。 |
CustomizedCAs.p12ファイルはSSL接続の確立に使用するサーバー証明書のコンテナです。このファイルは、CustomizedCAs.jarファイル内に圧縮されています。CustomizedCAs.p12ファイルのパスワードはhodです。IBMメインフレーム・サーバーにVerisignまたはThawte以外のCAが署名した証明書がある場合は、そのCAのroot証明書をCustomizedCAs.p12ファイルに追加して、SSL接続を確立する必要があります。
証明書は、PKCS12形式のファイルをサポートする鍵管理ユーティリティーを使用してCustomizedCAs.p12ファイルに追加できます。証明書の追加に使用できるツールの1つにGSKkit7.0があります。このツールは、IBM Host On-demand Serverバージョン9.0に含まれます。
Oracle Identity ManagerとIBMメインフレーム・サーバー間のSSL接続を設定するには、次のようにします。
ITリソースのIsSecureパラメータをYESに指定します。
ターゲット・システムを構成して、SSL接続に必要なポートを有効にします。
証明書がThawteまたはその他の有名なCAによって発行されている場合は、WellKnownTrustedCertificatesCAs.jarファイルを次のディレクトリにコピーします。
OIM_HOME/xellerate/lib/ThirdParty
CustomizedCAs.p12ファイルに証明書をインポートするには、次のようにします。
CustomizedCAs.jarファイルの内容を抽出します。このファイルは次のディレクトリにあります。
OIM_HOME/xellerate/lib/ThirdParty
CustomizedCAs.p12ファイルにSSL証明書を追加します。
更新したCustomizedCAs.p12およびCustomizedCAs.classファイルでCustomizedCAs.jarファイルを作成します。
更新したJARファイルを次のディレクトリにコピーします。
OIM_HOME/Xellerate/ThirdParty
