SecurID ACE/Server
Identity Manager には、次のバージョンの RSA SecurID ACE/Server をサポートするためのリソースアダプタが用意されています。
- Windows 用 5.0、6.0
- UNIX 用 5.1、6.0
次の表に、これらのアダプタの属性を要約します。
|
GUI 名
|
クラス名
|
|
SecurID ACE/Server
|
com.waveset.adapter.SecurIdResourceAdapter
|
|
SecurID ACE/Server UNIX
|
com.waveset.adapter.SecurIdUnixResourceAdapter
|
リソースを設定する際の注意事項
SecurID が Windows 上にインストールされている場合、このアダプタは、インストールされているバージョンの RSA ACE/Server に付属する apidemon と接続します。ACE/Server がインストールされたディレクトリ (デフォルトでは c:¥ace¥utils¥toolkit¥apidemon.exe) から、c:¥winnt¥system32 または c:¥windows¥system32 に apidemon をコピーします。
UNIX アダプタは、RSA ACE/Server Administration Toolkit TCL API を使用します。この API は、ACEInstallDir/utils/tcl/bin ディレクトリに置かれている必要があります。ACEInstallDir の値は、リソースパラメータとして指定されます。ツールキットは、RSA 発行の『Customizing Your RSA ACE/Server Administration』に記載されているとおりに設定してください。
さらに、Identity Manager で RSA ユーザーやほかの ACE データベースオブジェクトを管理できるように、次の条件に適合していることを必ず確認してください。
- 「管理者ログイン」(Windows アダプタの場合) または「ログイン ユーザー」(UNIX アダプタの場合は) のリソースパラメータで指定された SecurID ユーザー名が、ACE/Server に存在している。存在しない場合は、同じデフォルトログイン名で ACE ユーザーを作成します。
- この SecurID ユーザーは、トークンコードではなくパスワードを使用して ACE/Server にログインする必要がある。RSA ACE/Server ユーザーのパスワードは、アダプタで指定されたものと同じ値に設定します。
現在の RSA ACE/Server システムポリシーでは必要な文字 (たとえば英数字による PIN) を使用したパスワードの設定が許可されない場合や、ユーザーパスワードの有効期限のデフォルト設定を変更する必要がある場合は、RSA ACE/Server Database コンソールでシステムパラメータを編集します。
RSA ACE/Server の管理者コンソールで変更したパスワードは、このユーザーが最初にログインしたときに期限切れになるワンタイムパスワードです。RSA ACE Agent の Test Authentication 機能を使用してログインすると、このユーザーのパスワードを、すぐに期限切れにならないパスワードに変更できます。パスワードを同じ値に変更してもかまいません。そうすれば、リソースアダプタで指定されたパスワードとも同じままになります。
- Windows では、Identity Manager のゲートウェイが稼働するホスト用に RSA ACE Agent Host を追加してください。これは、RSA ACE Server が稼働しているシステムの Database Administration - Host Mode コンソールインタフェースで設定できます。DNS のホスト名とネットワークアドレスを設定し、アクセスできるユーザーを指定してください。さらに、エージェントタイプを「Net OS Agent」に設定してください。
- SecurId グループ名またはサイト名にコンマが含まれていると、Identity Manager は名前を正しく解析できない場合があります。SecurId グループ名およびサイト名にはコンマを使用しないでください。
Identity Manager 上で設定する際の注意事項
SecurID が Windows 上にインストールされている場合、Identity Manager のゲートウェイは、RSA ACE/Server がインストールされているシステムと同じシステム上で稼働させてください。
使用上の注意
ここでは、SecurID ACE/Server リソースアダプタの使用に関連する情報を提供します。次のトピックで構成されています。
UNIX でのパススルー認証の有効化
UNIX では RSA C API がサポートされないため、SecurID ACE/Server UNIX アダプタでパススルー認証を有効にするプロセスは単純ではありません。このアダプタでパススルー認証を実行するには、次のようなコンポーネント間の対話が必要になります。
Identity Manager <--> SecurID Unix リソースアダプタ <--> SecurID Windows アダプタ <--> Sun Identity Manager Gateway <--> RSA ACE Agent for Windows <--> RSA Unix Server
SecurID ACE/Server UNIX アダプタでパススルー認証を有効にするときは、設定および実装で次の点に注意してください。
- Sun Identity Manager Gateway と RSA ACE Agent Host は、同じ Windows ホスト上にある必要があります。詳細については、「リソースを設定する際の注意事項」を参照してください。
- UNIX RSA サーバー自体がクライアントとして表示される場合、ユーザーの認証に使用するアカウントは UNIX リソースで定義されている必要があります。詳細については、「リソースを設定する際の注意事項」を参照してください。
- SecurID ACE/Server UNIX アダプタで「ACE サーバー認証リソース」リソースパラメータの値を指定してください。この値は、有効な SecurID ACE/Server (Windows 用) アダプタで指定されたリソース名と一致している必要があります。
- SecurID の認証ポリシーでは、UNIX SecurID サーバーが RSA ACE Agent for Windows を認識する必要があります。sdconf.rec ファイルを Windows ホスト上に存在させ、正しく設定してください。
- ユーザーがパススルー認証を使用するには、RSA ACE Agent for Windows をアクティブにしてください。
- Identity Manager が、SecurID ACE/Server または SecurID ACE/Server UNIX のログインモジュールを使用するように設定してください。
- 認証対象のユーザーは、Identity Manager ロールと組織で設定されている必要があります。
複数のトークンの有効化
どちらの SecurID リソースアダプタでも、デフォルトのスキーママップは、管理者が 1 つのトークンを指定できるように設定されます。InstallDir¥samples¥forms ディレクトリにある SecurID User Formを使用する場合は、次の手順を実行して最大 3 つのトークンを有効にします。
- 次のSecurID User Formのセクションを編集します。
<FieldLoop for='tokenNum'>
<expression>
<ref>oneTokenList</ref>
</expression>
oneTokenList を threeTokenList に変更します。
- このユーザーフォームを Identity Manager に読み込みます。
- SecurID ACE/Server スキーママップの左側で、次の Identity Manager ユーザー属性の名前を変更します。
|
元の Identity Manager ユーザー属性
|
名前変更後の Identity Manager ユーザー属性
|
|
tokenClearPin
|
token1ClearPin
|
|
tokenDisabled
|
token1Disabled
|
|
tokenLost
|
token1Lost
|
|
tokenLostPassword
|
token1LostPassword
|
|
tokenLostExpireDate
|
token1LostExpireDate
|
|
tokenLostExpireHour
|
token1LostExpireHour
|
|
tokenLostLifeTime
|
token1LostLifeTime
|
|
tokenPinToNTC
|
token1PinToNTC
|
|
tokenPinToNTCSequence
|
token1PinToNTCSequence
|
|
expirePassword
|
token1NewPinMode
|
|
password
|
token1Pin
|
|
tokenResync
|
token1Resync
|
|
tokenFirstSequence
|
token1FirstSequence
|
|
tokenNextSequence
|
token1NextSequence
|
|
tokenSerialNumber
|
token1SerialNumber
|
|
tokenUnassign
|
token1Unassign
|
- 2 番目のトークンを格納するために、次のフィールドをスキーママップに追加します。
|
Identity Manager ユーザー属性
|
リソースユーザー属性
|
|
token2ClearPin
|
token2ClearPin
|
|
token2Disabled
|
token2Disabled
|
|
token2Lost
|
token2Lost
|
|
token2LostPassword
|
token2LostPassword
|
|
token2LostExpireDate
|
token2LostExpireDate
|
|
token2LostExpireHour
|
token2LostExpireHour
|
|
token2LostLifeTime
|
token2LostLifeTime
|
|
token2NewPinMode
|
token2NewPinMode
|
|
token2PinToNTC
|
token2PinToNTC
|
|
token2PinToNTCSequence
|
token2PinToNTCSequence
|
|
password
|
token2Pin
|
|
token2Resync
|
token2Resync
|
|
token2FirstSequence
|
token2FirstSequence
|
|
token2NextSequence
|
token2NextSequence
|
|
token2SerialNumber
|
token2SerialNumber
|
|
token2Unassign
|
token2Unassign
|
- 2 番目のトークンを格納するために、次のフィールドをスキーママップに追加します。
|
Identity Manager ユーザー属性
|
リソースユーザー属性
|
|
token3ClearPin
|
token3ClearPin
|
|
token3Disabled
|
token3Disabled
|
|
token3Lost
|
token3Lost
|
|
token3LostPassword
|
token3LostPassword
|
|
token3LostExpireDate
|
token3LostExpireDate
|
|
token3LostExpireHour
|
token3LostExpireHour
|
|
token3LostLifeTime
|
token3LostLifeTime
|
|
token3NewPinMode
|
token3NewPinMode
|
|
token3PinToNTC
|
token3PinToNTC
|
|
token3PinToNTCSequence
|
token3PinToNTCSequence
|
|
password
|
token3Pin
|
|
token3Resync
|
token3Resync
|
|
token3FirstSequence
|
token3FirstSequence
|
|
token3NextSequence
|
token3NextSequence
|
|
token3SerialNumber
|
token3SerialNumber
|
|
token3Unassign
|
token3Unassign
|
ステータスによるトークンの取得
SecurId アダプタは、トークン型、ステータス、有効期限など、指定された特性セットに適合するトークンのリストを返すことができます。たとえば、ユーザーフォームの次の部分は、割り当てられていない 128 ビットトークンすべてのリストを返します。
<defvar name='unassignedTokens'>
<invoke name='listResourceObjects'
class='com.waveset.ui.FormUtil'>
<ref>:display.session</ref>
<s>ListTokensByField</s>
<ref>resource</ref>
<map>
<s>field</s>
<s>7</s>
<s>compareType</s>
<s>2</s>
<s>value</s>
<s>128</s>
<s>templateParameters</s>
<ref>accounts[$(resource)].templateParameters</ref>
</map>
<s>false</s>
</invoke>
</defvar>
field、compareType、および value の各文字列に代入できる値は、RSA Sd_ListTokensByField 関数のマニュアルに定義されています。詳細については、RSA 発行の『Customizing Your RSA ACE/Server Administration』を参照してください。
パスワードポリシー
Identity Manager で英字を含むパスワードを使用していて、SecurID では PIN に英字が許可されない場合は、次のメッセージが表示されます。
SecurId ACE/Server: (realUpdateObject) Sd_SetPin Error Alpha
characters not allowed
このエラーを解決するには、リソースの Identity Manager パスワードポリシーが英字を含めないように変更するか、またはリソースの PIN 制限が英字を許可するように変更します。
セキュリティーに関する注意事項
ここでは、サポートされる接続と特権の要件について説明します。
サポートされる接続
Identity Manager は、次のどちらかを使用して SecurID ACE/Server アダプタと通信することができます。
- Sun Identity Manager Gateway (Windows のみ)
- SecurID TCL インタフェース (UNIX のみ)
必要な管理特権
「ログイン ユーザー」リソースパラメータ (UNIX の場合) または「管理者ログイン」リソースパラメータ (Windows の場合) で指定されたユーザーは、ユーザー関連タスクとトークン関連タスクを実行できる管理者ロールに割り当てられている必要があります。
テスト接続を使用して次のテストができます。
テスト接続では、通常のプロビジョニング実行とは異なるコマンドオプションを使用できます。
プロビジョニングに関する注意事項
次の表に、このアダプタのプロビジョニング機能の概要を示します。
|
機能
|
サポート状況
|
|
アカウントの有効化/無効化
|
使用可
|
|
アカウントの名前の変更
|
使用可
|
|
パススルー認証
|
使用可
|
|
前アクションと後アクション
|
使用不可
|
|
データ読み込みメソッド
|
|
アカウント属性
次の表に、SecurID ACE/Server アカウント属性に関する情報を示します。特に記載されていないかぎり、属性のデータ型はすべて String です。
SecurID ACE/Server アダプタは、複数の値を含むカスタムアカウント属性 (SecurId では User Extension Data と呼ばれる) をサポートしません。
|
Identity Manager ユーザー属性
|
リソース
ユーザー属性
|
説明
|
|
adminGroup
|
adminGroup
|
管理者がメンバーになっているグループ。これは読み取り専用属性です。
|
|
adminLevel
|
adminLevel
|
ユーザーの管理レベル。値には、レルム、サイト、またはグループを指定できます。これは読み取り専用属性です。
|
|
adminSite
|
adminSite
|
管理者がアクセスできるサイト。これは読み取り専用属性です。
|
|
adminTaskList
|
adminTaskList
|
管理者が実行できるタスクセットの名前。これは読み取り専用属性です。
|
|
adminTaskListTasks
|
adminTaskListTasks
|
管理者が実行できる個々のタスク。これは読み取り専用属性です。
|
|
allowedToCreatePin
|
allowedToCreatePin
|
ユーザーが PIN の指定を許可されていることを示す読み取り専用の boolean 型属性。PIN が指定されていない場合は、システムによってユーザーの PIN が生成されます。
|
|
clients
|
clients
|
ユーザーがメンバーになっているクライアントを指定します。
|
|
accountId
|
defaultLogin
|
ACE/Server のユーザーのアカウント ID。最大 48 文字。
|
|
defaultShell
|
defaultShell
|
ユーザーのデフォルトシェル。最大 256 文字。
|
|
expirePassword
|
WS_PasswordExpired
|
パスワードが期限切れになるかどうかを示します。パスワードが期限切れになると、SecurID アカウントは New PIN モードに配置されます。これは書き込み専用属性です。
|
|
firstname
|
firstname
|
必須。ユーザーの名。最大 24 文字。
|
|
groups
|
groups
|
ユーザーがメンバーになっているグループを指定します。
|
|
lastname
|
lastname
|
必須。ユーザーの姓。最大 24 文字。
|
|
remoteAlias
|
remoteAlias
|
リモートレルムでのユーザーのログイン名。
|
|
remoteRealm
|
remoteRealm
|
リモートユーザーの場合にユーザーが所属するレルム。
|
|
requiredToCreatePin
|
requiredToCreatePin
|
ユーザーが PIN を指定する必要があることを示す読み取り専用の boolean 型属性。
|
|
tempEndDate
|
tempEndDate
|
一時モードが終了する日付。
|
|
tempEndHour
|
tempEndHour
|
一時モードが終了する時間。
|
|
tempStartDate
|
tempStartDate
|
一時モードが開始する日付。
|
|
tempStartHour
|
tempStartHour
|
一時モードが開始する時間。
|
|
tempUser
|
tempUser
|
一時モードに入るユーザーまたは一時モードから抜けるユーザーを設定します。
|
|
tokenClearPin
|
token1ClearPin
|
ユーザー更新で設定されている場合、ユーザーの PIN がクリアされます。
|
|
tokenDisabled
|
token1Disabled
|
ユーザー更新で設定されている場合、ユーザーの PIN が無効になります。
|
|
tokenLost
|
token1Lost
|
ユーザー更新で true に設定されている場合、アカウントは RSA 内で緊急アクセスモードになります。
|
|
tokenLostPassword
|
token1LostPassword
|
値がブランクではない場合、LOST トークンは、指定された値を一時的なパスコードとして使用します。値がブランクの場合は、RSA が一時的なパスコードを割り当てるという従来の動作が実行されます。これは書き込み専用属性です。
|
|
tokenLostExpireDate
|
token1LostExpireDate
|
LOST トークンの一時パスワードが期限切れになる日付を指定します。この属性は、tokenLostPassword がブランクではなく、tokenLostLifeTime がブランクか 0 の場合にのみ意味を持ちます。これは書き込み専用属性です。
この属性は、サンプルユーザーフォームには実装されていません。
|
|
tokenLostExpireHour
|
token1LostExpireHour
|
LOST トークンの一時パスワードが期限切れになる時間を指定します。たとえば、午後 4 時を表すには 16 と指定します。この属性は、tokenLostPassword がブランクではなく、tokenLostLifeTime がブランクか 0 の場合にのみ意味を持ちます。これは書き込み専用属性です。
この属性は、サンプルユーザーフォームには実装されていません。
|
|
tokenLostLifeTime
|
token1LostLifeTime
|
一時的なパスコードを受け付ける期間を時間単位で指定します。このフィールドは、takenLostPassword の値に関係なく使用できます。これは書き込み専用属性です。
|
|
tokenFirstSequence
|
token1FirstSequence
|
トークンを再同期する必要がある場合に、元のトークンを指定します。これは書き込み専用属性です。
|
|
tokenNewPinMode
|
token1NewPinMode
|
ユーザーアカウントが New PIN モードに配置されている場合に、ユーザーの新しい PIN を指定します。
|
|
tokenNextSequence
|
token1NextSequence
|
トークンを再同期する必要がある場合に、新しいトークンを指定します。これは書き込み専用属性です。
|
|
tokenPin
|
token1Pin
|
暗号化された値。ユーザーの PIN。
|
|
tokenPinToNTC
|
token1PinToNTC
|
true に設定されている場合、指定された割り当て済みトークンの PIN を次のトークンコードに設定するプロセスを開始します。
|
|
tokenPinToNTCSequence
|
token1PinToNTCSequence
|
ユーザーの現在のトークンコードを指定します。
|
|
tokenResync
|
token1Resync
|
トークンを再同期するかどうかを示します。この属性は、tokenFirstSequence 属性と tokenNextSequence 属性を有効にします。これは書き込み専用属性です。
|
|
tokenSerialNumber
|
token1SerialNumber
|
トークンシリアル番号。12 文字にしてください。この要件を満たすように、必要な数の 0 を先頭に挿入します。
|
|
tokenUnassign
|
token1Unassign
|
ユーザーから削除するトークンを指定します。これは書き込み専用属性です。
|
|
userType
|
userType
|
Remote か Local のどちらかにしてください。
|
リソースオブジェクトの管理
なし
アイデンティティーテンプレート
$accountId$
サンプルフォーム
SecurID User Form
トラブルシューティング
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。
- com.waveset.adapter.SecurIdResourceAdapter
- com.waveset.adapter.SecurIdUnixResourceAdapter
- com.waveset.adapter.SVIDResourceAdapter
Windows システムのゲートウェイへの接続に伴う問題を診断するため、次のメソッドでもトレースを有効にすることができます。
- com.waveset.adapter.AgentResourceAdapter#sendRequest
- com.waveset.adapter.AgentResourceAdapter#getResponse
