![]() | |
Sun Java Enterprise System 2003Q4 配備実例集: 評価のシナリオ |
第 4 章
Java Enterprise System ユーザーのプロビジョニングこの章では、Identity Server を汎用のプロビジョニングツールとして設定し、Identity Server を使用する Java Enterprise System ユーザーをプロビジョニングする方法について説明します。この章で説明する内容は、次のとおりです。
Java Enterprise System ユーザーのプロビジョニングについてJava Enterprise System ユーザーは、Java Enterprise System コンポーネントにより提供される 1 つまたは複数のサービスへのアクセス権を持つアカウントです。一部のサービスは、複数の Java Enterprise System コンポーネントが連携して機能することによって提供されます。
Java Enterprise System ユーザーという概念には、次の内容が含まれています。
- Identity Server、Portal Server、Messaging Server、Calendar Server、またはInstant Messaging Server のいずれかの Java Enterprise System コンポーネントにより提供されるサービスを使用できるエンドユーザー
- Directory Server LDAP データベースエントリとして格納される、エンドユーザーデータで構成されるユーザーアカウント。ユーザーアカウントのデータには、ユーザーがアクセスする権限を与えられたサービスを識別する情報が含まれる。最も単純なシナリオでは、すべての Java Enterprise System サービスが、1 人のユーザー用のエントリを 1 つのユーザーアカウントに対して書き込む
ユーザーのプロビジョニングによって、ユーザーアカウントが作成され、ユーザーが Java Enterprise System サービスにアクセスできるようにします。
Java Enterprise System には、ユーザーのプロビジョニング、および LDAP ディレクトリエントリの操作のための、次のインタフェースを備えています。
この章では、Sun ONE Identity Server コンソールを使用するユーザーをプロビジョニングする方法について説明します。
運用システムでは、Java Enterprise System 管理者がユーザーを管理します。LDAP 組織計画、データベース管理、および委任管理を含むユーザー管理タスクは、この章では説明されません。
Identity Server のプロビジョニングツールとしての使用ここでは、Identity Server を、汎用のプロビジョニングツールとして使用するために必要な LDAP 属性を設定する方法について説明します。Identity Server サービスを使用して、LDAP 属性を設定します。Identity Server サービスは、LDAP 属性をグループ化および管理するためのメカニズムです。
Identity Server サービスは、エンドユーザーサービスではありません。ここで説明されている、Sample Mail Server Service および Sample Calendar Server Service は、Identity Server LDAP 属性を追加することにより、エンドユーザーメールサービスおよびカレンダサービスを使用するユーザーをプロビジョニングできます。
Identity Server サービスの Identity Server へのインポート
Java Enterprise System インストーラは、2 つの Identity Server サービスに対する定義を行い、それにより、エンドユーザーメールサービスおよびカレンダサービスの管理のための LDAP 属性が追加されます。これらの定義は、2 つの XML (Extensible Markup Language) ファイルとして提供されます。これらの XML ファイルには、Sample Mail Server Service および Sample Calendar Server Service と呼ばれる Identity Server サービスが記述されています。
Sample Mail Server Service および Sample Calendar Server Service は、運用での使用を目的としていません。運用環境でのユーザープロビジョニングは、このサンプルサービスではサポートされない、バッチ処理操作で通常行われます。運用環境でのユーザープロビジョニング、運用環境でのユーザープロビジョニングで使用されるコマンド行ツールの詳細については、『Sun ONE Identity Server 6.1 管理ガイド』、および『Sun ONE Messaging and Collaboration 6.0 User Management Utility Installation and Reference Guide』を参照してください。
Identity Server サービスを Identity Server にインポートするには
- サンプルディレクトリに移動します。
cd /opt/SUNWam/samples/integration
- Sample Mail Server Service の amadin コマンドを実行します。
/opt/SUNWam/bin/amadmin --runasdn "uid=amadmin,ou=people,dc=example,dc=com" --password password --schema sampleMailServerService.xml
注
ドメイン名にサブドメインが含まれる場合、名前の各要素を個別に指定する必要があります。たとえば、my.example.com を使用する場合、dc=my,dc=example,dc=com と入力する必要があります。
- サンプル Calendar Server サービスの amadin コマンドを実行します。
/opt/SUNWam/bin/amadmin --runasdn "uid=amadmin,ou=people,dc=example,dc=com" --password password --schema sampleCalendarServerService.xml
- cp コマンドを使用して、ローカライズを可能にする、関連プロパティファイルを locale ディレクトリにコピーします。
cp sampleMailServerService.properties /opt/SUNWam/locale
cp sampleCalendarServerService.properties /opt/SUNWam/locale
- Identity Server を停止します。
/opt/SUNWam/bin/amserver stop
- Application Server を停止し、再起動します。
cd /var/opt/SUNWappserver7/domains/domain1/server1/bin
./stopserv
./startserv
Application Server の再起動により、Identity Server も再起動されます。
Identity Server サービスの登録
ここでは、Identity Server コンソールを使用して、管理サーバーのドメインおよび LDAP 組織で使用する Sample Mail Server Service および Sample Calendar Server Service を登録します。
管理サーバードメインに使用するサンプルサービスを登録するには
- Web ブラウザで、次の URL を開きます。
http://example.com:81/amconsole
「ログイン」ダイアログが表示されます。
ヒント
使用しているホストおよびドメインに必ず置き換えてください。
URL には、URI amconsole が含まれます。この URI をインストーラの「アイデンティティサーバー: Sun ONE Identity Server サービスを実行するために Web コンテナ」ページで指定しました。「Identity Server の情報を入力するには」を参照してください。
- 「ログイン」ダイアログで、管理ユーザー ID (デフォルト値は amadmin) およびパスワードを入力します。「了解」をクリックします。
ブラウザで、Identity Server 管理コンソールが表示されます。図 4-1 は、例のドメインに関する情報を表示する管理コンソールを示します。「検索」という語の真下の左パネルに、ドメイン名が表示され、強調表示されています。
注
インストーラの「アイデンティティサーバー: Sun ONE Application Server (3/6)」ページで、管理ユーザー ID およびパスワードを定義しました。「Identity Server の情報を入力するには」を参照してください。
図 4-1 Sun ONE Identity Server コンソール
- 左区画で、「表示」ドロップダウンメニューを開き、「サービス」を選択します。
ウィンドウが更新され、左区画にドメインのサービスのリストが表示されます。図 4-2 は、サービスのリストを表示するコンソールウィンドウを示します。「表示」メニューに「サービス」と表示されていることに注意します。
図 4-2 サービスのリストの表示
- 左区画で、「登録」をクリックします。
登録可能なサービスのリストが、右区画に表示されます。表示は、図 4-3 のようになります。
図 4-3 ドメインへのサービス登録
- 「Sample Calendar Server Service」と「Sample Mail Server Service」を選択し、登録します。
ユーザーの組織にサンプルサービスを登録するには
- 左区画で、「表示」メニューを開き、「組織」を選択します。
ウィンドウが更新され、左区画にドメインの組織のリストが表示されます。図 4-4 は、例のドメインの組織のリストを示します。
図 4-4 例のドメインの組織のリスト
- 組織の名前をクリックします。
ウィンドウが更新されます。左区画のタイトルバーに、ユーザーのドメインと組織が表示されます。表示は、図 4-5 のようになります。
図 4-5 組織の選択
- 左区画で、「表示」ドロップダウンメニューを開き、「サービス」を選択します。
ウィンドウが更新されます。表示は、図 4-6 のようになります。
図 4-6 Example.Com 組織のサービスの表示
- 「登録」をクリックします。
ウィンドウが更新され、右区画に登録可能なサービスのリストが表示されます。
- 「Sample Calendar Server Service」、「Sample Mail Server Service」、「ポータルデスクトップ」、および「SSO アダプタ」を選択します。リストの一番下に表示されている、「登録」ボタンをクリックします。
ウィンドウが更新されます。左区画の登録されたサービスのリストに、選択した 4 つのサービスが追加されています。
サンプルエンドユーザーのプロビジョニングここでは、Identity Server を使用して、エンドユーザーをプロビジョニングする方法について説明します。ユーザー名とパスワードを設定し、Sample Mail Server Service および Sample Calender Server Service を使用して、エンドユーザーサービスである Mail Express、Calendar Express にユーザーがアクセスできるようにします。
サンプルエンドユーザーをプロビジョニングするには
- 左区画で、「表示」ドロップダウンメニューを開き、「ユーザー」を選択します。
ウィンドウが更新され、左区画に組織のユーザーのリストが表示されます。ディスプレイの表示は、図 4-7 のようになります。ここでは例となるドメイン組織でのユーザーのリストを表示しています。特に、ユーザーのリストには、admin、calmaster、およびmsg-admin-allinone.example.com が含まれます。
図 4-7 Sun ONE Identity Server コンソールウィンドウ
- 左区画で、「新規」をクリックします。
ウィンドウが更新され、右区画に入力フィールドが表示されます。
図 4-8 「新規ユーザー」フィールド
- Java Enterprise System ユーザーを定義します。
- 「表示」メニューが表示されるまで、左区画を左にスクロールします。「表示」メニューを開き、「ユーザー」を選択します。
ウィンドウが更新されます。左区画に、作成したユーザーを含む、組織のユーザーのリストが表示されます。
- 左区画を右にスクロールし、新しいユーザーのフルネームに続く矢印記号 (>) をクリックします。
図 4-9 では、左区画に、新しいユーザーのフルネーム (Scott McDuke) および > 記号が表示されます。
図 4-9 Sample Calendar Server Service のプロパティ
- 右区画で、「表示」メニューを開き、「Sample Calendar Server Service」を選択します。ウィンドウが更新され、ユーザーの「Sample Calendar Service」プロパティが表示されます。
- 次の値を入力します。
- 右区画で、「表示」メニューを開き、「Sample Mail Server Service」を選択します。
ウィンドウが更新され、ユーザーの Sample Mail Server Service のプロパティが表示されます。
図 4-10 Sample Mail Server Service のプロパティ
- Sample Mail Server Service のプロパティフィールドで、次の値を入力します。
- ページの右上隅にある「ログアウト」をクリックします。