|
| |
| Sun Java™ System Identity Manager 7.1 リソースリファレンス | |
Access EnforcerSAP GRC (Governance, Risk, and Compliance) Access Enforcer リソースアダプタは、com.waveset.adapter.AccessEnforcerResourceAdapter クラスで定義されます。このクラスは、SAPResourceAdapter クラスを拡張します。
このリソースアダプタは、現時点で次のバージョンの Access Enforcer をサポートしています。
リソースを設定する際の注意事項
アダプタが正常に動作するには、Access Enforcer の自動プロビジョニング設定を「true」に設定してください。
Identity Manager 上で設定する際の注意事項
Access Enforcer リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行してください。
- 次の URL から JCo (Java Connection) ツールキットをダウンロードします。
http://service.sap.com/connectors
SAP JCO ダウンロードページにアクセスするには、ログインとパスワードが必要です。このツールキットには、sapjco-ntintel-2.1.8.zip のような名前が付けられます。この名前は、選択したプラットフォームやバージョンによって異なります。
注
Solaris x86 では、64 ビットバージョンの JCO ファイルだけを使用できます。SPARC で 64 ビット Solaris を使用している場合は、64 ビットバージョンの JCO を使用していることを確認します。
- ツールキットを解凍し、インストール手順に従います。必ずライブラリファイルを正しい場所に配置し、環境変数を指示どおりに設定してください。
- sapjco.jar ファイルを InstallDir¥WEB-INF¥lib ディレクトリにコピーします。
- 次の URL から Apache Axis SOAP ツールキットをダウンロードします。
http://www.apache.org/dyn/closer.cgi/ws/axis/1_4/
- ツールキットを解凍し、インストール手順に従います。
- 次のファイルを InstallDir¥WEB-INF¥lib ディレクトリにコピーします。
- Access Enforcer リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加してください。
com.waveset.adapter.AccessEnforcerResourceAdapter
- $WSHOME/sample/accessenforcer.xml をインポートして、Access Enforcer のサポートを有効にします。
使用上の注意
非同期プロビジョニング
このアダプタでは、非同期プロビジョニングの概念が導入されています。Access Enforcer には独自の承認システムがあり、ユーザーをプロビジョニングまたは変更する前に、この承認システムのネゴシエーションを行う必要があります。
SubmitRequest Web サービス呼び出しが正常に戻る場合、プロビジョニングリクエストを実行する Identity Manager タスクは、リクエストが完了したかどうかを確認するため、定期的に Access Enforcer をポーリングします。ポーリング間隔は、リソースウィザードの「アイデンティティーシステムのパラメータ」ページにある「非同期再試行間の遅延 (秒)」パラメータで設定します。
リクエストが完了したか、または Access Enforcer で実行された場合、Identity Manager ユーザーオブジェクトは、リクエストのステータスで更新されます。次に Identity Manager は、ワークフローでの定義に従ってプロビジョニングリクエストを処理します。
Access Enforcer 規則ライブラリ
Access Enforcer には、特定の種類のオブジェクトを取得する方法がありません。これらのオブジェクトを管理しやすくするために、Identity Manager にはオブジェクトの名前を指定できるようにする Access Enforcer 規則ライブラリが用意されています。これらの名前は、文字列として規則ライブラリに手動で入力する必要があります。
次の表に、Access Enforcer オブジェクト、対応する Identity Manager 規則、およびデフォルト値の一覧を示します。使用している環境に合わせて値を編集するには、デバッグページまたは Identity Manager IDE を使用します。
Web サービス
Access Enforcer アダプタは、Web サービスリクエストを Access Enforcer に送信することにより動作します。Web サービスは、Apache AXIS ツールを使用して実行されます。SubmitRequest プロビジョニング Web サービスでサポートされるアクションは次のとおりです。
ユーザーの取得は SAPResourceAdapter.getUser() メソッドにより行われます。Access Enforcer がこの情報を問い合わせるための Web サービスを提供しないためです。
ユーザーフォーム
デフォルトの Access Enforcer User Form では、Create/Edit User Form で取得できるビューから利用可能な値で、マネージャーおよび要求者のアカウント属性を設定しようと試みます。
listObjects メソッドを呼び出すことにより、ユーザーフォームでは次のオブジェクトの一覧を返すことがあります。
ユーザーを無効、有効、および削除するには、Access Enforcer EnableDisableDelete Form をインポートして、個別に Disable Form、Enable Form、および Deprovision Form に追加する必要があります。詳細については、$WSHOME/sample/forms/AE-EnableDisableDeleteForm.xml のコメントを参照してください。
セキュリティーに関する注意事項
ここでは、サポートされる接続と特権の要件について説明します。
サポートされる接続
Identity Manager は、getUser メソッド、listObjects メソッド、およびアカウント反復子について、SAP Java Connector (JCo) 経由の BAPI を使用して SAP システムと通信します。
必要な管理特権
SAP に接続するユーザー名を、SAP ユーザーにアクセスできるロールに割り当ててください。
プロビジョニングに関する注意事項
次の表に、このアダプタのプロビジョニング機能の概要を示します。
アカウント属性
次の表に、Access Enforcer に固有のアカウント属性に関する情報を示します。一般的な SAP 属性については、SAP アダプタのマニュアルを参照してください。特に明記されていないかぎり、すべての属性は String 型であり、書き込み専用です。次に示すすべての属性の値は、大文字に変換されます。
注
必須であると指定されている属性は、Submit Request サービス呼び出しで送信される必要があります。ただし、その他のリソースが割り当てられているユーザーを更新するときに競合が発生する可能性があるため、それらの属性はスキーママップで必須であるとマークされていません。
ほかの属性がスキーママップに追加されることがありますが、Access Enforcer ではカスタム属性であると見なされます。カスタム属性を識別するには、任意のリソースユーザー属性に AE を付加する必要があります。たとえば、AEMyAttribute とします。カスタム属性の値は、大文字に変換されません。
リソースオブジェクトの管理
適用不可
アイデンティティーテンプレート
$accountId$
サンプルフォーム
トラブルシューティング
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。
インストールされている SAP Java Connector (JCO) のバージョンを判定し、それが正しくインストールされているかどうかを判定するには、次のコマンドを実行します。
java -jar sapjco.jar
このコマンドは、JCO のバージョンとともに、SAP システムと通信する JNI プラットフォーム依存ライブラリおよび RFC ライブラリを返します。
プラットフォーム依存ライブラリが見つからない場合は、SAP のマニュアルを参照して、SAP Java Connector の正しいインストール方法を調べてください。