Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun Java™ System Identity Manager 7.1 リソースリファレンス 

SQL Server

SQL Server リソースアダプタは非推奨になりました。代わりに、MS SQL Server リソースアダプタを使用します。

Sun ONE Identity Server

Sun ONE Identity Server リソースアダプタは非推奨になりました。代わりに、Sun Java System Access Manager リソースアダプタを使用します。

サンプルフォーム

次の Identity Server サンプルフォームのサポートは、このリリースでも継続されます。

SunISUserForm.xml フォームも利用できます。

Sun Java System Access Manager

Sun Java System Access Manager リソースアダプタは、com.waveset.adapter.SunAccessManagerResourceAdapter クラスで定義されます。このアダプタは、次のバージョンをサポートします。

リソースを設定する際の注意事項

このリソースアダプタは、次の製品で使用できます。

Access Manager 7 以降の場合、このアダプタでは旧バージョンモードのみがサポートされます。レルムモードはサポートされません。ただし、旧バージョンモードによる Access Manager 7 をサポートするアダプタの設定については、Sun Java System Access Manager レルムアダプタの「リソースを設定する際の注意事項」および「Identity Manager 上で設定する際の注意事項」を参照してください。

Policy Agent は、シングルサインオン (SSO) を有効にするために使用できるオプションモジュールです。使用している環境内でこの製品を使用していない場合は、Policy Agent の設定手順やインストール手順を実行しないでください。

Policy Agent の詳細については、http://docs.sun.com/app/docs/coll/1322.1 を参照してください。

次に、Sun Java System Access Manager および Policy Agent のインストールと設定の方法について説明します。

Sun Java System Access Manager (Access Manager 7.0 より前のバージョン) のインストールと設定

Sun Java System Access Manager を Identity Manager サーバーと同じシステム上にインストールする場合の設定については、「Sun Java System Access Manager リソースアダプタ」を参照してください。Policy Agent を使用する場合の追加情報については、「Policy Agent のインストールと設定」を参照してください。

Sun Java System Access Manager が Identity Manager サーバーとは異なるシステム上にインストールされている場合は、Identity Manager システムで次の手順を実行します。

  1. Sun Java System Access Manager サーバーからコピーするファイルを配置するディレクトリを作成します。この手順では、このディレクトリは CfgDir という名前にします。Sun Java System Access Manager がインストールされている場所を AccessMgrHome とします。
  2. 次のファイルを AccessMgrHome から CfgDir にコピーします。ディレクトリ構造はコピーしないでください。
    • lib/*.*
    • locale/*.properties
    • config/serverconfig.xml
    • config/SSOConfig.properties (Identity Server 2004Q2 以降)
    • config/ums/ums.xml
  3. UNIX では、全体的な読み取りアクセスを許可するために CfgDir 内の jar ファイルのアクセス権を変更しなければならない場合があります。アクセス権を変更するには、次のコマンドを実行します。

    4. chmod a+r CfgDir/*.jar

  4. 次のように JAVA クラスパスを付加します。
    • Windows の場合: CfgDir;CfgDir/am_sdk.jar;CfgDir/am_services.jar;
      CfgDir/am_logging.jar
    • UNIX の場合: CfgDir:CfgDir/am_sdk.jar:CfgDir/am_services.jar:
      CfgDir/am_logging.jar
  5. Identity Server 6.0 を使用する場合は、CfgDir を指す Java システムプロパティーを設定します。次のようなコマンドを使用します。

    6. java -Dcom.iplanet.coreservices.configpath=CfgDir

  6. バージョン 6.1 以降を使用する場合は、CfgDir/AMConfig.properties ファイルで、次の行を追加または編集します。

    7. com.iplanet.services.configpath=CfgDir
    com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
    SecureRandomFactoryImpl

    com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
    JSSESocketFactory

    com.iplanet.security.encryptor=com.iplanet.services.util.
    JCEEncryption

    最初の行では configpath を設定しています。最後の 3 行ではセキュリティー設定を変更しています。

  7. CfgDir/am_*.jar ファイルを $WSHOME/WEB-INF/lib にコピーします。Identity Server 6.0 を使用する場合は、jss311.jar ファイルも $WSHOME/WEB-INF/lib ディレクトリにコピーします。
  8. Identity Manager が Windows 上で稼働している環境で Identity Server 6.0 を使用する場合は、IdServer¥lib¥jss¥*.dllCfgDir にコピーし、CfgDirをシステムパスに追加します。

    		9.

    Identity Manager が Sun Java System Access Manager とは異なるシステム上にインストールされている環境では、以降のエラー条件を確認してください。Sun Java System Access Manager リソースへの接続時にエラー java.lang.ExceptionInInitializerError が返され、それに続く試行で java.lang.NoClassDefFoundError が返される場合は、設定データに誤りまたは欠落がないか確認します。

    また、java.lang.NoClassDefFoundError で示されたクラスの jar ファイルも確認します。そのクラスが含まれている jar ファイルのクラスパスを、アプリケーションサーバーの JAVA クラスパスに付加します。

手順 6 で示されたすべてのデータが CfgDir に含まれていること、およびすべての設定プロパティーが正しく割り当てられていることを確認します。

このリソース用の Identity Manager の準備についての詳細は、「Sun Java System Access Manager リソースアダプタ」を参照してください。

Sun Java System Access Manager (バージョン 7.0 以降) のインストールと設定

旧バージョンモードによる Access Manager 7 をサポートするアダプタの設定については、Sun Java System Access Manager レルムアダプタの「リソースを設定する際の注意事項」および「Identity Manager 上で設定する際の注意事項」を参照してください。

Policy Agent のインストールと設定

Identity Server Policy Agent 2.1 を Identity Manager サーバーにインストールします。Policy Agent は次の場所から入手できます。

http://wwws.sun.com/software/download/inter_ecom.html#dirserv

Policy Agent に付属するインストール手順書に従ってください。その後、次に示す作業を実行します。

AMAgent.properties ファイルの編集

Identity Manager を保護できるように AMAgent.properties ファイルを変更します。このファイルは次のディレクトリにあります。

必ず、前述したディレクトリにあるファイルを使用してください。AgentInstallDir¥config ディレクトリにあるファイルは使用しないでください。

  1. 次の行を追加または編集します。

    2. com.sun.am.policy.am.fetchHeaders=true

    com.sun.am.policy.am.headerAttributes=entrydn|sois_user

    com.sun.am.policy.agents.fqdnDefault = FullyQualifiedIDMgrServer

    headerAttributes および fqdnDefault の値を定義する行は存在している場合があります。

  2. AMAgent.properties に加えた変更を有効にするために、Web サーバーを再起動します。
Sun Java System Access Manager のポリシーの作成
  1. Sun Java System Access Manager 上で、次の規則を設定した IDMGRという名前 (または類似する名前) の新しいポリシーを作成します。

    2. サービスのタイプ

    リソース名

    アクション

    URL ポリシーエージェント

    http://server:port/idm

    GET アクションと POST アクションを許可します

    URL ポリシーエージェント

    http://server:port/idm/*

    GET アクションと POST アクションを許可します

  2. 1 つ以上の主体を IDMGR ポリシーに割り当てます。

Identity Manager 上で設定する際の注意事項

ここでは、Sun Java System Access Manager リソースアダプタおよび Policy Agent のインストールと設定の注意点について説明します。

Sun Java System Access Manager リソースアダプタ

Sun Java System Access Manager が Identity Manager サーバーとは異なるシステムにインストールされている場合は、「Sun Java System Access Manager (Access Manager 7.0 より前のバージョン) のインストールと設定」に示されている手順を実行します。

それ以外の場合は、AccessMgrHome/lib/am_*.jar ファイルを $WSHOME/WEB-INF/lib にコピーします。Identity Server 6.0 を使用する場合は、jss311.jar ファイルも $WSHOME/WEB-INF/lib ディレクトリにコピーします。

ファイルのコピーが終了したら、Sun Java System Access Manager リソースを Identity Manager リソースリストに追加するため、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加します。

com.waveset.adapter.SunAccessManagerResourceAdapter

Policy Agent

Sun Java System Access Manager ログインモジュールが最初に表示されるように、管理者およびユーザーのログインモジュールを変更します。

この手順を実行する前に、Sun Java System Access Manager リソースを設定してください。

  1. Identity Manager 管理者インタフェースのメニューバーで、「設定」をクリックします。
  2. ログイン」をクリックします。
  3. 管理者インタフェース」リンクをクリックします。
  4. ページの下部にある「ログインモジュールグループの管理」ボタンをクリックします。
  5. ドロップダウンリストから、変更するログインモジュールを選択します。

    6. たとえば、「アイデンティティーシステムのデフォルトの ID/ パスワード ログインモジュールグループ」を選択します。

  6. 「ログインモジュールの割り当て」選択ボックスで、「Sun Access Manager ログインモジュール」を選択します。
  7. 「ログインモジュールの割り当て」オプションの横に新しく「選択」オプションが表示されたら、前の手順で作成したリソースを選択します。
  8. 「ログインモジュールの修正」ページが表示されたら、表示されているフィールドを必要に応じて編集し、「保存」をクリックします。
  9. リストの最初のリソースとして「Sun Access Manager ログインモジュール」を指定し、「保存」をクリックします。
  10. 変更を保存し、「ユーザーインタフェース」に対してこの手順を繰り返します。

使用上の注意

WebLogic の下で Identity Manager を実行している環境で、Sun Java System Access Manager で行われたネイティブ変更が Identity Manager に表示されない場合は、weblogic.jar の前のクラスパスに am_services.jar を追加します。

複数のプロトコルハンドラがある場合は、次のようにプロトコルハンドラを設定します。

java.protocol.handler.pkgs=com.iplanet.services.comm|sun.net.
www.protocol

セキュリティーに関する注意事項

ここでは、サポートされる接続と、基本タスクの実行に必要な認証要件について説明します。

サポートされる接続

Identity Manager は、SSL 経由の JNDI を使用してこのアダプタと通信します。

必要な管理特権

Sun Java System Access Manager に接続するユーザーに、ユーザーアカウントを追加または変更するためのアクセス権を付与してください。

プロビジョニングに関する注意事項

ここでは、このアダプタのプロビジョニング機能の概要を表に示します。

機能

サポート状況

アカウントの有効化/無効化

使用可

アカウントの名前の変更

使用不可

パススルー認証

使用可。

シングルサインオンには Web Proxy Agent が必要です。

前アクションと後アクション

使用不可

データ読み込みメソッド

  • リソースから直接インポート
  • リソースの調整

アカウント属性

次の表に、デフォルトでサポートされる Sun Java System Access Manager ユーザーアカウント属性の一覧を示します。特に記載されていないかぎり、属性はすべて省略可能です。

リソースユーザー属性

リソース属性タイプ

説明

cn

String

必須。ユーザーのフルネーム。

dynamicSubscriptionGroups

String

ユーザーが登録されている動的グループのリスト。

employeeNumber

Number

ユーザーの従業員番号。

givenname

String

ユーザーの名。

iplanet-am-user-account-life

Date

ユーザーアカウントが期限切れになる日時。この値が設定されていない場合、アカウントは期限切れになりません。

iplanet-am-user-alias-list

String

ユーザーに適用される可能性がある別名のリスト。

iplanet-am-user-failure-url

String

認証の失敗時にユーザーがリダイレクトされる URL。

iplanet-am-user-success-url

String

認証の成功時にユーザーがリダイレクトされる URL。

mail

Email

ユーザーの電子メールアドレス。

postalAddress

String

ユーザーの自宅住所。

roles

String

ユーザーに割り当てられたロールのリスト。

sn

String

ユーザーの姓。

staticSubscriptionGroups

String

ユーザーが登録されている静的グループのリスト。

telephoneNumber

String

ユーザーの電話番号。

uid

String

必須。ユーザーの一意のユーザー ID。

userPassword

Password

必須。ユーザーのパスワード。

リソースオブジェクトの管理

Identity Manager は、次の Sun Java System Access Manager オブジェクトをサポートしています。

リソースオブジェクト

サポートされる機能

管理される属性

Role

表示、更新、削除

cn、iplanet-am-role-aci-description、
iplanet-am-role-description、
iplanet-am-role-type、accountMembers

Static subscription group

表示、作成、更新、削除、名前を付けて保存

cn、iplanet-am-group-subscribable、uniqueMember

Filtered group

表示、作成、更新、削除、名前を付けて保存

cn、accountMembers、membershipFilter

Dynamic subscription group

表示、作成、更新、削除、名前を付けて保存

cn、accountMembers、
iplanet-am-group-subscribable

Organization

表示、更新、削除、名前を付けて保存、検索

o

アイデンティティーテンプレート

デフォルトのアイデンティティーテンプレートは次のとおりです。

uid=$uid$,ou=People,dc=MYDOMAIN,dc=com

デフォルトのテンプレートを有効な値に置き換えてください。

サンプルフォーム

ここでは、組み込みのサンプルフォームと、Sun Java System Access Manager リソースアダプタで利用できるその他のサンプルフォームの一覧を示します。

組み込みのフォーム

その他の利用可能なフォーム

SunAMUserForm.xml

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスにトレースオプションを設定します。

com.waveset.adapter.SunAccessManagerResourceAdapter



前へ      目次      索引      次へ     

Part No: 820-2531.   Copyright 2007 Sun Microsystems, Inc. All rights reserved.