| Sun ONE Identity Server 6.1 管理ガイド |
第 1 章
製品の概要この章では、SunTM ONE Identity Server の機能の概要を説明します。この章は、次の節で構成されています。
Sun ONE Identity ServerSun ONE Identity Serverテクノロジーは、Sun Open Net Environment (Sun ONE) Platform for Network Identity の一部です。Identity Server は、Lightweight Directory Access Protocol (LDAP) ベースのデータストアである、Sun ONE Directory Server の管理およびセキュリティ保護機能を利用するためのツール群です。Identity Server では、ユーザー認証およびシングルサインオン機能を Directory Server に統合し、データのセキュリティ機能を高めています。また、管理者は、ロールに基づいてユーザーエントリの管理を行うこともできます。ロールとは、ユーザーエントリの属性として現れる、エントリのグループ化メカニズムです。さらに、開発者は、数多くのデフォルトおよびカスタムのサービスで、設定パラメータの定義また管理が可能です。これら 3つの機能はすべて、カスタマイズ可能なグラフィカルユーザーインタフェースである、ブラウザベースの Identity Server コンソールからアクセスできます。
Identity Server の機能Identity Server は Directory Server をインストールしたその上に構築されます。このことによって、ディレクトリ管理者は、Directory Server の能力を拡張する機能に加え、より一貫した直感的なインタフェースの利用が可能になります。
サービス設定
デフォルトおよびカスタムのビジネスサービスの設定パラメータは、Identity Server サービス管理コンポーネントで指定します。Identity Server フレームワークで定義された XML および DTD を使用することで、開発者は企業サービス (メールサービス、課金サービス、ログサービスなど) のパラメータを定義し、サービスのパラメータ、つまり属性を管理できます。さらに、Identity Server ではサービス管理者がこれらの属性の値を定義することもできます。
ポリシー管理
Identity Server では、ビジネスリソースへのアクセスを制御するルールを定義、修正、または削除するための方法を用意しています。これらのルールは、まとめてポリシーと呼ばれます。
SAML
Identity Server では、セキュリティ情報の交換に SAML (Security Assertion Markup Language) を使用します。SAML では XML (eXtensible Markup Language) フレームワークを定義して、セキュリティ情報を提供するさまざまなベンダープラットフォーム間の相互運用を実現します。SAML フレームワークについては、『Sun ONE Identity Server Customization and API Guide』を参照してください。
連携管理
Identity Server では、Liberty Alliance Project で策定した連携ネットワークアイデンティティのオープンスタンダードを利用できるように、連携管理モジュールを統合しました。
認証
Identity Server では、ユーザー認証にプラグイン可能なソリューションを用意しています。あるユーザーを認証するために必要な基準は、Identity Server を使用する企業内の各組織に設置された認証サービスによって異なります。Identity Server セッションへのアクセスが許可される前に、ユーザーは認証に成功しなければなりません。
シングルサインオン
ユーザーが認証されると、Identity Server のシングルサインオン (SSO) 用 API が後を引き継ぎます。認証済みのユーザーが保護されたページにアクセスしようとするたびに、SSO API ではそのユーザーの認証資格情報を基に、必要なアクセス権があるかどうかを判断します。ユーザーが有効である場合は、追加で認証を受けることなくページへのアクセスが行われます。そうでない場合、ユーザーはもう一度認証を求められます。
ポリシーエージェント
ポリシーエージェントは、Web コンテナ (Sun ONE Web Server または Sun ONE Application Server) 上にインストールされます。このエージェントは、Identity Server ポリシーコンポーネントの特化したインスタンスです。ユーザーが保護された Web サーバー上の Web リソースに対する要求を送信すると、認証ステップを実行します。この認証は、そのリソースが実行しなければならないユーザー認証チェックに追加されるものです。このエージェントは Web サーバーを保護し、リソースは認証プラグインによって保護されます。
アイデンティティ管理
アイデンティティ管理コンポーネントでは、アイデンティティ関連のオブジェクトを作成および管理することができます。Identity Server コンソールまたはコマンド行インタフェースを使用して、ユーザー、ロール、グループ、ポリシー、組織、サブ組織、コンテナの各オブジェクトを定義、修正、または削除できます。コンソールにはデフォルト管理者がいます。組織、グループ、コンテナ、ユーザー、サービス、ポリシーを作成し管理するための権限は、管理者によって異なります。ロールに基づいて、管理者を追加作成できます。管理者は Identity Server とインストールするときに、Directory Server 内に定義されます。次の管理者がいます。
- 最上位レベル管理者。Identity Server 企業内のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持つ
- 最上位ヘルプデスク管理者。Identity Server 企業内のすべてのエントリに対する読み取りアクセス権と、ユーザーパスワードの属性に対する書き込みアクセス権を持つ
- 組織管理者。組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持つ
- 組織のヘルプデスク管理者。組織のすべてのエントリに対する読み取りアクセス権を持つ
- コンテナ管理者。グループ内のすべてのメンバーに対する読み取りアクセス権と書き込みアクセス権を持つ、グループ管理者に対する読み取りアクセス権と書き込みアクセス権を持つ
Identity Server コンソールIdentity Server コンソールはロケーションフレーム、ナビゲーションフレーム、およびデータフレームの 3 つの部分で構成されます。これら 3 つのフレームをすべて活用することで、管理者はディレクトリを移動したり、ユーザーおよびサービスを設定したり、ポリシーを作成したりすることができます。
図 1-1 Identity Server コンソール
ヘッダーフレーム
ヘッダーフレームはコンソールの上部にあります。ヘッダーフレームにあるタブを使用すると、さまざまな管理モジュールの表示に切り換えることができます。
「場所」フィールドは、ディレクトリツリー内の管理者の位置までの経路です。このパスはナビゲーションのために使用します。
「ようこそ」フィールドは、現在コンソールを実行しているユーザーの名前を、ユーザープロファイルへのリンク付きで表示します。
「検索」リンクは、特定の Identity Server オブジェクトタイプのエントリを検索できるインタフェースを表示します。プルダウンメニューを使用してオブジェクトタイプを選択し、検索文字列を入力します。結果は検索テーブルに表示されます。ワイルドカードも使用できます。
「ヘルプ」リンクは、ブラウザのウィンドウを開きます。このウィンドウにはアイデンティティ管理、現在のセッション、連携管理、およびこのマニュアルの第 3 部である「属性リファレンスガイド」についての情報があります。
「ログアウト」リンクは、ユーザーが Identity Server からログアウトできます。
ナビゲーションフレーム
ナビゲーションフレームは、Identity Server コンソールの左部分のフレームです。ディレクトリオブジェクト部分 (グレーのボックス内) には、現在開かれているディレクトリオブジェクトの名前と、そのプロパティへのリンクが表示されます。ナビゲーションフレームに表示されるオブジェクトのほとんどには、対応するプロパティのリンクがあります。このリンクを選択すると、右側のデータフレームにそのエントリの属性が表示されます。「表示」メニューでは、選択したディレクトリオブジェクト配下のディレクトリが一覧表示されます。サブディレクトリ数によっては、ページ移動のメカニズムが用意されます。
データフレーム
データフレームは、コンソールの右部分のフレームです。すべてのオブジェクト属性とその値を表示および設定できるほか、それぞれのグループ、ロール、組織に対してエントリを選択できる場所です。
