| Oracle Identity Manager IBM RACF Advanced Connectorガイド リリース9.0.4 E05521-02 |
|
 戻る |
 次へ |
Oracle Identity Manager Connector for IBM RACFは、z/OSメインフレームにインストールされたIBM RACFとOracle Identity Manager間にネイティブ・インタフェースを提供します。このコネクタは、信頼できる仮想管理者としてターゲット・システム上で機能し、ログインIDの作成、IDの一時停止、パスワードの変更などのタスクを実行します。さらに、管理者が通常手動で行う機能の一部を自動化します。
このコネクタは、IBM RACFセキュリティ機能へのプロビジョニングおよびリコンシリエーションを可能にします。
この章では次の項目について説明します。
|
注意: このガイドでは、IBM RACFのためのOracle Identity ManagerコネクタをIBM RACF Advanced Connectorと表記します。 |
IBM RACF Advanced Connectorには、次のコンポーネントが含まれます。
LDAP Gateway: LDAP Gatewayは、LDAPバージョン3のアイデンティティ・ストアと同じ方法でOracle Identity Managerから指示を受けます。これらのLDAPコマンドは、IBM RACFのネイティブのメインフレーム・コマンドに変換され、Provisioning Agentに送信されます。レスポンスもまたIBM RACFのネイティブであり、LDAP形式のレスポンスに解析されて、Oracle Identity Managerに返されます。
Pioneer Provisioning Agent: Pioneer Provisioning Agentはメインフレームのコンポーネントです。これは、ネイティブのメインフレームIBM RACFプロビジョニング・コマンドをLDAP Gatewayから受け取ります。これらのリクエストはIBM RACF認証リポジトリに対して処理されます。レスポンスは解析され、LDAP Gatewayに返されます。
|
注意: このガイドでは、Pioneer Provisioning AgentをProvisioning AgentまたはPioneerと表記している箇所があります。 |
Voyager Reconciliation Agent: Voyager Reconciliation Agentは、LDAP Gatewayを介したOracle Identity Managerとのシームレスなリコンシリエーションを実現するために高度なexitテクノロジを使用して、ネイティブのメインフレーム・イベントを取得します。exitは、IBM RACFのシステム・イベントが処理された後で実行されるプログラムです。Reconciliation Agentは、TSOログイン、コマンド・プロンプト、バッチ・ジョブおよびその他のネイティブ・イベントから発生するイベントをリアルタイムで取得します。Reconciliation Agentはこれらのイベントを取得し、LDAP Gatewayを介するOracle Identity Managerへの通知メッセージに変換します。
|
注意: このガイドでは、Voyager Reconciliation AgentをReconciliation AgentまたはVoyagerと表記している箇所があります。 |
メッセージ・トランスポート・レイヤー: メッセージ・トランスポート・レイヤーは、LDAP GatewayおよびReconciliation AgentとProvisioning Agent間のメッセージの交換を可能にします。メッセージ・トランスポート・レイヤーには、次のいずれかのメッセージング・プロトコルを使用できます。
後続の項では、IBM RACF Advanced Connectorでサポートされている機能を示します。
Pioneer Provisioning Agentでは次の機能がサポートされます。
標準のIBM RACFユーザー・プロファイル・コマンド:
[ADDUSER]: IBM RACFユーザー・プロファイルの作成
[ALTUSER]: 既存のIBM RACFユーザー・プロファイルの変更
[DELUSER]: IBM RACFユーザー・プロファイルの削除
標準のIBM RACFグループ・プロファイル・コマンド:
[CONNECT]: IBM RACFユーザーのグループへの追加
[REMOVE]: IBM RACFユーザーのグループからの削除
標準のIBM RACFデータセットおよびリソース・プロファイル・コマンド:
[PERMIT]: データセットまたはリソース・プロファイルのアクセス権のユーザーへの付与
Provisioning Agentによってサポートされる機能を次の表に示します。
| 機能 | 説明 |
|---|---|
| Change passwords | ユーザーが自らOracle Identity Managerで行ったパスワードの変更に対応して、IBM RACFでユーザー・パスワードを変更します。 |
| Reset passwords | IBM RACFでユーザーのパスワードをリセットします。パスワードは管理者によってリセットされます。 |
| Create users | IBM RACFに新しいユーザーを追加します。 |
| Modify users | IBM RACFでユーザーの情報を変更します。 |
| Revoking user accounts | IBM RACFユーザーを「失効」状態に設定します。 |
| Resuming user accounts | IBM RACFユーザーを「有効」状態に設定します。 |
| Add user to group | ユーザーをIBM RACFグループに結び付けます。 |
| Remove user from group | ユーザーをIBM RACFグループから切り離します。 |
| Permit user to dataset | ユーザーをデータセットACLに含めることを許可し、そのデータセットへのアクセス権をユーザーに与えます。 |
| Remove user from dataset | ユーザーをデータセットACLから削除します。 |
| Permit user to general resource | ユーザーをリソースACLに含めることを許可し、そのリソースへのアクセス権をユーザーに与えます。 |
| Remove user from general resource | ユーザーをリソースACLから削除します。 |
| Grant user to TSO segment | TSOのアクセス権と情報をユーザーに与えます。 |
| Grant user to OMVS segment | OMVSの情報をユーザーに与えます。 |
Voyager Reconciliation Agentでは、ADDUSERまたはALTUSERなどのコマンドによるユーザー・プロファイルへの変更のリコンシリエーションがサポートされます。これらのコマンドにはリコンシリエーション用のユーザーのパスワードも含まれます。
Reconciliation Agentでは次の機能がサポートされます。
Change passwords
Reset passwords
Create user data
Modify user data
Revoke users
Resume users
Delete users
次の属性がIBM RACFとOracle Identity Managerの間でリコンサイルされます。
| Oracle Identity Manager Gatewayの属性 | IBM RACFの属性 |
|---|---|
| cn | NAME |
| defaultGroup | DEFAULT-GROUP |
| instdata | DATA |
| omvsHome | HOME |
| omvsProgram | PROGRAM |
| omvsUid | UID |
| owner | OWNER |
| resumeDate | RESUME DATE |
| revokeDate | REVOKE DATE |
| tsoAcctNum | ACCTNUM |
| tsoCommand | COMMAND |
| tsoDest | DEST |
| tsoHoldclass | HOLDCLASS |
| tsoJobclass | JOBCLASS |
| tsoMaxSize | MAXSIZE |
| tsoMsgclass | MSGCLASS |
| tsoProc | PROC |
| tsoSize | SIZE |
| tsoSysoutclass | SYSOUTCLASS |
| tsoUnit | UNIT |
| tsoUserdata | USERDATA |
| uid | USER |
| userPassword | PASSWORD |
| waaccnt | WAACCNT |
| waaddr1 | WAADDR1 |
| waaddr2 | WAADDR2 |
| waaddr3 | WAADDR3 |
| waaddr4 | WAADDR4 |
| wabldg | WABLDG |
| wadept | WADEPT |
| waname | WANAME |
| waroom | WAROOM |
このコネクタでは次の言語がサポートされます。
中国語(簡体字)
中国語(繁体字)
デンマーク語
英語
フランス語
ドイツ語
イタリア語
日本語
韓国語
ポルトガル語(ブラジル)
スペイン語
|
関連項目: サポートされる特殊文字の詳細は、『Oracle Identity Managerグローバリゼーション・ガイド』を参照してください。 |
コネクタのインストール・メディアの内容を次の表に示します。
| ファイルおよびディレクトリ | 説明 |
|---|---|
etc/LDAP Gateway/ldapgateway.zip |
Oracle Identity ManagerシステムへのLDAP Gatewayのデプロイに必要なファイル。 |
etc/Provisioning and Reconciliation Connector/Mainframe_RACF.zip |
ターゲット・システムでのReconciliation AgentおよびProvisioning Agentのインストールに必要なファイル。 |
lib/idm.jar |
Oracle Identity ManagerシステムにデプロイされるコネクタのJARファイル。 |
lib/racf-adv-agent-recon.jar
|
ターゲット・システムとOracle Identity Manager間のリアルタイム・リコンシリエーションに必要なファイル。 |
resourcesディレクトリにあるファイル |
これらの各リソース・バンドルには、コネクタで使用されるロケール固有の情報が含まれます。
注意: リソース・バンドルは、Oracle Identity Managerのユーザー・インタフェースに表示されるローカライズ・バージョンのテキスト文字列を含むファイルです。これらのテキスト文字列には、管理およびユーザー・コンソールに表示されるGUI要素のラベルおよびメッセージが含まれます。 |
scripts/run_initial_recon_provisioning.bat
|
Oracle Identity Managerでの最初の(初期)リコンシリエーションを実行するために使用されるファイル。 |
scripts/initialRacfAdv.properties
|
初期リコンシリエーションで使用されるファイル。 |
scripts/user.txt |
初期リコンシリエーションで使用されるユーザー・データが含まれるファイルのサンプル。このファイルについては、「初期リコンシリエーションの実行」で詳しく説明します。 |
xml/oimRacfAdvConnector.xml |
コネクタのコンポーネントの定義が含まれるXMLファイル。 |
xml/racfTrustedXellerateUser.xml |
信頼できるソースのリコンシリエーションで使用されるコネクタ・コンポーネントの定義が含まれるXMLファイル。 |
IBM RACF Advanced Connectorのデプロイでは、LDAP Gateway、Reconciliation AgentおよびProvisioning Agentがデプロイされます。LDAP Gatewayは、Oracle Identity Managerと同じシステムにデプロイされます。Reconciliation AgentおよびProvisioning Agentはメインフレームにデプロイされます。
これらの手順は次の章で説明します。
Oracle Identity ManagerでのLDAP Gatewayのデプロイ手順は、第2章「Oracle Identity Managerでのコネクタのデプロイ」を参照してください。この手順には、Oracle Identity Managerの構成、コネクタのXMLファイルのインポート、アダプタのコンパイル、LDAP Gatewayのインストール、メッセージ・トランスポート・レイヤーの構成が含まれます。
メインフレームでのReconciliation AgentおよびProvisioning Agentのデプロイ手順は、第3章「IBM RACFでのコネクタのデプロイ」を参照してください。この手順を実行するときはシステム・プログラマのサポートを受けることをお薦めします。
