この章では、管理者インタフェースを使用した Identity Manager オブジェクトの設定および保守について説明するとともに、その実行手順を示します。Identity Manager オブジェクトの詳細については、概要の章の「Identity Manager オブジェクト」を参照してください。
サービスプロバイダ実装での Identity Manager の設定については、第 17 章サービスプロバイダの管理を参照してください。
この章は、次のトピックで構成されています。
この節ではユーザーポリシーの設定について説明します。
この節は次のトピックで構成されています。
Identity Manager ポリシーは、Identity Manager のアカウント ID、ログイン、およびパスワードの特性に制約を設定することで、Identity Manager ユーザーに制限を設定します。
Identity Manager には、特にユーザーのコンプライアンスを監査するように設計された監査ポリシーも用意されています。監査ポリシーについては、第 13 章アイデンティティー監査: 基本概念を参照してください。
ポリシーは、以下のタイプに分類されています。
アイデンティティーシステムアカウントポリシー。ユーザー、パスワード、および認証ポリシーのオプションと制約を設定します。アイデンティティーシステムアカウントポリシーは、「組織の作成と編集」ページで組織に割り当てるか、「ユーザーの作成と編集」ページでユーザーに割り当てます。
次のオプションを設定または選択できます。
ユーザーアカウントポリシーオプション。ユーザーが秘密の質問に正しく回答できなかったときに、Identity Manager がユーザーアカウントを処理する方法を指定します。
パスワードポリシーオプション。パスワードの有効期限、期限切れ前の警告期間、およびリセットオプションを設定します。
二次認証ポリシーのオプション。秘密の質問をユーザーにどのように表示するか、およびユーザーが独自の秘密の質問を設定できるようにするかを決定し、ログイン時に認証を施行して、ユーザーに表示する一連の質問を設定します。
サービスプロバイダシステムのアカウントポリシー。サービスプロバイダユーザーに対してユーザー、パスワード、および認証ポリシーのオプションと制約を設定する場合は、、サービスプロバイダ実装でこのポリシーを使用します。ポリシーは、「組織の作成と編集」ページで組織に割り当てるか、「ユーザーの作成と編集」ページでユーザーに割り当てます。
文字列の品質ポリシー。パスワード、アカウント ID、認証などのポリシータイプが含まれます。長さ規則、文字タイプ規則、使用できる語句、および属性値を設定します。このポリシータイプは、各 Identity Manager リソースに関連付けられ、各リソースのページで設定されます。次の図に例を示します。
パスワードとアカウント ID に対して、次のオプションと規則を設定できます。
長さ規則。使用できる文字列の最小または最大長さを決定します。
文字タイプ規則。英字、数字、大文字、小文字、繰り返し、および連続文字に使用可能な最小値と最大値を設定します。
パスワード再利用の制限。パスワードの再利用を制限する、現在より前のパスワードの数を指定します。ユーザーがパスワードを変更しようとすると、新規パスワードがパスワードの履歴と比較され、一意のパスワードであることが確認されます。セキュリティーを確保する目的で以前のパスワードのデジタル署名が保存され、新規パスワードと比較されます。
禁止語句および属性値。ID およびパスワードに使用できない語句と属性を指定します。
Identity Manager ユーザーポリシーの作成と編集は、「ポリシー」ページで行います。このページを開くには、次の手順に従います。
UserUIConfig 設定オブジェクトでは、「使用禁止」属性のセットを変更できます。
UserUIConfig には次のような属性があります。
<PolicyPasswordAttributeNames> 属性。ポリシータイプ「パスワード」
<PolicyAccountAttributeNames> 属性。ポリシータイプ「アカウント ID」
<PolicyOtherAttributeNames> 属性。ポリシータイプ「その他」
辞書ポリシーを使用すると、Identity Manager はパスワードを単語データベースと照合してチェックし、単純な辞書攻撃から確実に保護します。このポリシーをほかのポリシー設定と組み合わせて使用し、パスワードの長さと構成を制限することにより、システム内で生成または変更されたパスワードを、辞書を使用して推測することが困難になります。
辞書ポリシーは、ポリシーを使用して設定できるパスワード除外リストを拡張します。このリストは、管理者インタフェースに含まれるパスワードの「ポリシーの編集」ページの「使用禁止単語」オプションにより実装されます。
辞書ポリシーを設定するには、次の操作を実行する必要があります。
辞書サーバーサポートの設定
辞書の読み込み
「「ポリシー」ページを開く」の説明に従って、「ポリシー」ページを開きます。
「辞書の設定」をクリックすると、「辞書の設定」ページが表示されます。
データベース情報を選択および入力します。
データベース情報には次のものがあります。
「データベースタイプ」。辞書の保存に使用するデータベースタイプ (Oracle、DB2、SQLServer、または MySQL) を選択します。
「ホスト」。データベースが実行されているホストの名前を入力します。
「ユーザー」。データベースに接続するときに使用するユーザー名を入力します。
「パスワード」。データベースに接続するときに使用するパスワードを入力します。
「ポート」。データベースが待機中のポートを入力します。
「接続 URL」。接続時に使用する URL を入力します。次のテンプレート変数を使用することができます。
%h - ホスト
%p - ポート
%d - データベース名
「ドライバクラス」。データベースと対話するときに使用する JDBC ドライバクラスを入力します。
「データベース名」。辞書の読み込み先データベースの名前を入力します。
「辞書ファイル名」。辞書を読み込むときに使用するファイルの名前を入力します。
データベース接続をテストするには、「テスト」をクリックします。
接続テストが成功したら、「単語の読み込み」をクリックして、辞書を読み込みます。読み込み作業が完了するまでに、数分かかる場合があります。
その辞書が正しく読み込まれたかどうかを確認するには、「テスト」をクリックします。
次の手順を使用して、辞書ポリシーを実装します。
「「ポリシー」ページを開く」の説明に従って、「ポリシー」ページを開きます。
「パスワードポリシー」リンクをクリックして、パスワードポリシーを編集します。
「ポリシーの編集」ページで、「辞書の単語でパスワードをチェックする」オプションを選択します。
変更を保存するには、「保存」をクリックします。
いったん実装されると、変更および生成されたすべてのパスワードがその辞書と照合されます。
Identity Manager では、電子メールテンプレートを使用して、情報および操作のリクエストをユーザーと承認者に配信します。システムには次のためのテンプレートが用意されています。
アクセスレビュー通知。ユーザーのアクセス権をレビューする必要があるという通知を送信します。アクセスポリシーの違反を是正するか受け入れる必要があるときに、システムはこの通知を送信します。
アカウントの作成の承認。新しいアカウントが承認待ちであるという通知を承認者に送信します。関連付けられているロールの「プロビジョン通知」オプションが「承認」に設定されている場合に、この通知が送信されます。
アカウント作成の通知。アカウントが作成され、特定のロールが割り当てられたという通知を送信します。「ロールの作成」または「ロールの編集」ページの「通知受信者」フィールドで 1 人以上の管理者が選択されている場合に、この通知が送信されます。
アカウントの削除の承認。ユーザーアカウントの削除アクションが承認待ちであるという通知を承認者に送信します。「ロールの作成」または「ロールの編集」ページの「通知受信者」フィールドで 1 人以上の管理者が選択されている場合に、この通知が送信されます。
アカウントの削除の通知。アカウントが削除されたという通知を送信します。
アカウントの更新の通知。指定の電子メールアドレスまたはユーザーアカウントへ、アカウントを更新したという通知を送信します。
外部リソース。プロビジョニングタスクの実行が必要なことを外部リソースのプロビジョニングツールに通知します。
パスワードリセット。Identity Manager パスワードリセットの通知を送信します。関連付けられた Identity Manager ポリシーに対して選択されたリセット通知オプションの値に応じて、パスワードをリセットした管理者の Web ブラウザにただちに通知が表示されるか、パスワードがリセットされたユーザーに電子メールが送信されます。
パスワード同期通知。すべてのリソース上でパスワードの変更が正常に行われたことをユーザーに通知します。通知には、正常に更新されたリソースのリストとパスワード変更リクエストの発信元が記載されます。
パスワード同期エラー通知。すべてのリソース上でパスワードの変更が正常に行われなかったことをユーザーに通知します。通知には、エラーのリストとパスワード変更リクエストの発信元が記載されます。
ポリシー違反情報。アカウントポリシー違反が発生したことを通知します。
アカウントの調整イベント。リソースの調整イベント、調整の概要。それぞれ、Notify Reconcile Response、Notify Reconcile Start、および Notify Reconcile Finish のデフォルトワークフローから呼び出されます。通知は、各ワークフローの設定に基づいて送信されます。
レポート。生成されたレポートを指定されたリストの受信者に送信します。
リソースのリクエスト。リソースがリクエストされたという通知をリソース管理者に送信します。管理者が「リソース」タブからリソースをリクエストしたときに、この通知が送信されます。
Identity Manager version 8.1 では、リクエストリソースは外部リソースに置き換えられます。リクエストアダプタを使用して新しい接続を作成できなくなりました。代わりに外部リソースアダプタを使用してください。詳細については、「外部リソースとその管理について」を参照してください。
再試行通知。あるリソースに関する特定の操作の試行が指定回数失敗したという通知を管理者に送信します。
リスク分析。リスク分析レポートを送信します。リソーススキャンの一部として、1 人以上の電子メール受信者が指定されている場合に、このレポートが送信されます。
一時パスワードリセット。アカウントに一時パスワードが提供されたという通知をユーザーまたはロール承認者に送信します。関連付けられた Identity Manager ポリシーに対して選択したパスワードリセット通知オプションの値に応じて、ユーザーの Web ブラウザにただちに通知が表示されるか、ユーザーまたはロール承認者に電子メールが送信されます。
ユーザー ID の復元。復元したユーザー ID を指定した電子メールアドレスに送信します。
電子メールテンプレートをカスタマイズして、受信者に、タスクの実行方法や結果の表示方法などの特定の指示を通知することができます。たとえば、「アカウントの作成の承認」テンプレートをカスタマイズして、次のメッセージを追加することにより、承認者にアカウント承認ページを表示するとします。
$(fullname) 用アカウント作成を承認するには、http://host.example.com:8080/idm/approval/approval.jsp にアクセスしてください。
アカウント作成承認テンプレートを例に使用して、次の手順で電子メールテンプレートをカスタマイズします。
管理者インタフェースで、「設定」タブをクリックしてから「電子メールテンプレート」サブタブをクリックします。
「電子メールテンプレート」ページが開きます。
アカウント作成承認テンプレートをクリックして選択します。
テンプレートの詳細を入力します。
次の情報を入力できます。
「SMTP ホスト」フィールドに SMTP サーバー名を入力して、電子メール通知を送信できるようにします。
「送信者」フィールドで、送信元の電子メールアドレスをカスタマイズします。
「宛先」フィールドと「CC」フィールドに、電子メール通知の受信者になる 1 つ以上の電子メールアドレスまたは Identity Manager アカウントを入力します。
「電子メール本文」フィールドで、Identity Manager の場所を指すように内容をカスタマイズします。
「保存」をクリックします。
Sun Identity Manager 統合開発環境 (Identity Manager IDE) を使用して電子メールテンプレートを変更することもできます。Identity Manager IDE の詳細については、https://identitymanageride.dev.java.net/ の Web サイトを参照してください。
このサイトにアクセスするには、登録とログインが必要です。
HTML 形式のコンテンツを電子メールテンプレートに挿入して、電子メールメッセージの本文に表示することができます。コンテンツには、テキスト、グラフィック、および情報への Web リンクを使用することができます。HTML 形式のコンテンツを有効化するには、「HTML 有効」オプションを選択します。
電子メールテンプレートの本文には、変数の参照を $(Name) の形式で含めることもできます。例: パスワード $(password) が復旧しました。
各テンプレートで使用できる変数を、次の表に定義します。
.
表 4–1 電子メールテンプレート変数
Template |
許容変数 |
---|---|
パスワードリセット |
$(password)– 新規に生成されたパスワード |
更新の承認 |
$(fullname)– ユーザーのフルネーム $(role)– ユーザーのロール |
更新の通知 |
$(fullname)– ユーザーのフルネーム $(role)– ユーザーのロール |
レポート |
$(report)– 生成されたレポート $(id)– タスクインスタンスのエンコードされた ID $(timestamp)– 電子メールの送信時刻 |
リクエストリソース |
$(fullname)– ユーザーのフルネーム $(resource)– リソースタイプ |
リスク分析 |
$(report)– リスク分析レポート |
一時パスワードリセット |
$(password)– 新規に生成されたパスワード $(expiry)– パスワードの有効期限 |
監査設定グループを設定すると、選択したシステムイベントを記録およびレポートすることができます。監査グループを設定すると、あとで監査ログレポートも実行できるようになります。
監査グループを設定するには、「監査設定」ページを使用します。「監査設定」ページを開くには、次の手順に従います。
監査グループおよびイベントの設定には、Configure Audit 管理機能が必要になります。
前の節の手順に従って、「監査設定」ページを開きます。
「監査設定」ページに監査グループのリストが表示されます。 各グループに 1 つ以上のイベントが含まれています。各グループについて、成功したイベント、失敗したイベント、またはその両方を記録することができます。
リスト内の監査グループをクリックすると、「監査設定グループの編集」ページが表示されます。このページで、監査設定グループの一部としてシステム監査ログに記録する監査イベントのタイプを選択することができます。
「監査の有効化」チェックボックスが選択されていることを確認します。監査システムを無効にするには、チェックボックスを選択解除します。
監査グループの詳細については、第 10 章監査ログの「監査設定」を参照してください。
次の手順を使用して、グループにイベントを追加します。
「新規」をクリックします。
ページの下部にイベントが追加されます。
「オブジェクトタイプ」列のリストからオブジェクトタイプを選択して、「アクション」列の 1 つ以上の項目を、新しいオブジェクトタイプの「利用可能」領域から「選択」領域に移動します。
「OK」をクリックしてイベントをグループに追加します。
オブジェクトタイプに対するアクションを追加または削除することで、グループ内のイベントを編集できます。
Identity Manager を Remedy サーバーと統合すると、指定されたテンプレートに従って Remedy チケットを送信することができます。
Remedy との統合は、管理者インタフェースの次の 2 つの領域で設定します。
「Remedy サーバーの設定」。「リソース」領域から Remedy リソースを作成することにより、Remedy を設定します (「リソースリストの管理」 を参照)。リソースの設定後、接続をテストして統合が有効であることを確認します。
「Remedy テンプレート」。Remedy リソースの設定後、Remedy テンプレートを定義します。管理者インタフェースを表示し、「設定」タブをクリックして、「Remedy との統合」をクリックします。次に、Remedy スキーマとリソースを選択します。
Remedy チケットの作成は、Identity Manager ワークフローを通じて設定されます。設定によっては、定義済みのテンプレートを使用して Remedy チケットを開く呼び出しを適切な時刻に行うこともできます。ワークフローの設定については、『Sun Identity Manager Deployment Reference』の第 1 章「Workflow」を参照してください。
管理者は、管理者インタフェースのフォームを変更することにより、エンドユーザーインタフェースの特定の側面を設定できます。
管理者インタフェースで、メインメニューから「設定」をクリックします。
二次的なメニューで「ユーザーインタフェース」をクリックします。
「ユーザーインタフェース」ページが開きます。
フォームの「エンドユーザーダッシュボード」部分に必要な情報を指定して保存します。フォームのヘルプを参照するには、「ヘルプ」をクリックします。
フォームの「匿名登録」部分への情報の指定については、「匿名登録」を参照してください。
プロセスダイアグラムには、エンドユーザーによる要求の起動時またはプロファイルの更新時に Identity Manager が従うワークフローが示されます。有効にすると、エンドユーザーによるフォーム送信後の結果ページがプロセスダイアグラムに表示されます。
プロセスダイアグラムは、エンドユーザーインタフェースで有効にする前に、管理者インタフェース内で有効にする必要があります。詳細については、「プロセス図の有効化」を参照してください。
「エンドユーザーインタフェースの設定」の手順に従って、ユーザーインタフェース設定ページを開きます。
フォームの「結果ページ」セクション内で「エンドユーザープロセスダイアグラムの有効化」オプションを選択します。
「エンドユーザープロセスダイアグラムの有効化」オプションを選択できない場合は、最初に管理者インタフェースでプロセスダイアグラムを有効にする必要があります。「プロセス図の有効化」を参照してください。
「保存」をクリックします。
管理者には、Identity Manager のインストールを登録することをお勧めします。
登録には Sun Online アカウントとパスワードが必要です。Sun Online アカウントを持っていない場合は、次のアドレスでフォームに必要な情報を入力することで登録できます。
Identity Manager の登録はコンソールから、または管理者インタフェースを使用して行うことができます。
コンソールから登録する場合は、Sun Service Tag ソフトウェアで使用可能なローカルサービスタグを作成して、Sun システム、ソフトウェア、およびサービスのインベントリを追跡できます。サービスタグクライアントパッケージは、ローカルサービスタグを作成する前にインストールしてください。このパッケージは、次のアドレスにある「Download Service Tags」ボタンをクリックしてダウンロードできます。
http://inventory.sun.com/inventory
Identity Manager を登録するには、Identity Manager オブジェクトの設定が許可されている管理者アカウントでログオンする必要があります。このアカウントには製品登録の機能が必要です。機能の詳細については、「ユーザーへの機能の割り当て」を参照してください。
製品登録機能を正しく動作させるには、Identity Manager アプリケーションサーバー上の Java が、SSL に対して適切に設定されている必要があります。java.security ファイル (または同等のファイル) 内で参照される JAR ファイルがすべて存在する必要があります。
ここからは、Identity Manager の登録に関する情報と操作方法を説明します。この情報は、次のトピックで構成されています。
この節では、Identity Manager をコンソールから登録する場合に必要な情報について説明します。
Identity Manager をコンソールから登録するには、register コマンドを使用します。ここでは、このコマンドの使用方法について説明します。
register -local register -remote [-u <userid> [-p <password>]] [-prompt] -userSOA <userid> -passSOA <password> [-proxy <proxyHost> [-port <proxyPortNumber>]] register [-help | -?]
次の表に、register コマンドとともに指定できるオプションを示します。
表 4–2 コマンドオプション
オプション |
説明 |
---|---|
-local |
このホスト上にサービスタグを作成します。 |
-remote |
この Identity Manager インストールをネットワーク経由で Sun に直接登録します。 |
-u <userid> |
登録を実行する権限を与えられた Identity Manager 管理者の Identity Manager ユーザー ID。 |
-p <password> |
登録を実行する権限を与えられた Identity Manager 管理者の Identity Manager パスワード。 |
-prompt |
パスワードが入力されていない場合に、対話的に入力を求めます。 |
-userSOA <userid> |
登録に使用する Sun Online アカウントのユーザー ID。-remote オプションを使用して登録する場合に必要です。 |
-passSOA <password> |
登録に使用する Sun Online アカウントのパスワード。-remote オプションを使用して登録する場合に必要です。 |
-proxy <proxyHost> |
Sun オンライン登録サービスへのアクセスに使用するネットワークプロキシ。登録に -remote オプションを使用し、かつ外部インターネットアドレスへのアクセスにプロキシを使用するようにネットワークが設定されている場合に必要です。 |
-port <proxyPortNumber> |
Sun オンライン登録サービスへのアクセスに使用するネットワークプロキシのポート。登録に -remote オプションを使用し、かつ外部インターネットアドレスへのアクセスにプロキシを使用するようにネットワークが設定されている場合に必要です。 |
-help | -? |
このコマンドのヘルプをコンソールに出力します。 |
Identity Manager をコンソールから登録するには、ローカルサービスタグを作成するか、インターネットを通じて Sun に登録する必要があります。次の手順を使用します。
Identity Manager コンソール (コマンド行) インタフェースを起動します。
Windows のコマンド行で、次のコマンドを入力します。
%WSHOME%\bin\lh
UNIX のコマンド行で、次のコマンドを入力します。
$WSHOME/bin/lh
register コマンドを次のように実行します。
ローカルサービスタグを作成する場合は、次のように実行します。
register -local
インターネットを通じて Identity Manager を登録する場合は、次のコマンドを実行します。
register -remote -u <userid> -p <password> -userSOA <soaUserid> -passSOA <soaPassword > -proxy <proxyHost> -port < proxyPortNumber>
各表記の意味は次のとおりです。
userid は、登録を実行する権限を与えられた Identity Manager 管理者の Identity Manager ユーザー ID です。
password は、登録を実行する権限を与えられた Identity Manager 管理者の Identity Manager パスワードです。
soaUserid は、登録に使用する Sun Online アカウントのユーザー ID です。
soaPassword は、登録に使用する Sun Online アカウントのパスワードです。
proxyHost は、Sun オンライン登録サービスへのアクセスに使用するネットワークプロキシです。これは、外部のインターネットアドレスへのアクセスにプロキシを使用するようにネットワークが設定されている場合にのみ必要です。
proxyPortNumber は、Sun オンライン登録サービスへのアクセスに使用するネットワークプロキシのポートです。これは、外部のインターネットアドレスへのアクセスにプロキシを使用するようにネットワークが設定されている場合にのみ必要です。
ローカルサービスタグを作成する必要がない場合は、管理者インタフェースから Identity Manager を登録します。
管理者インタフェースで、「設定」をクリックします。
二次的なメニューで「製品登録」をクリックします。
「製品登録」ページが開きます。
フォームに値を入力し、「今すぐ登録」をクリックします。個別のフォームフィールドの情報を表示するには、i-Help をクリックします。
アプリケーションサーバーで外部への SSL 接続が許可されていない場合は、次のエラーメッセージが表示されます。
Failed to register on Sun Connection server due to invalid Sun Online Account user/password. |
この問題を解決するには、適切な信頼できるルート証明書をアプリケーションサーバーのキーストアに追加します。詳細については、使用しているアプリケーションサーバーのマニュアルを参照してください。
以前のバージョンの xml-apis.jar および xercesImpl.jar がアプリケーションサーバーのクラスパスに存在する場合は、次のエラーメッセージが表示されることがあります。
java.lang.NoSuchMethodError:org.w3c.dom.Node.getTextContent()Ljava/lang/String; |
この問題を解決するには、クラスパスを修正して、最新バージョンの xml-apis.jar および xercesImpl.jar だけが存在するようにします。
Identity Manager の管理中に、Identity Manager システム設定オブジェクト (「システム設定ファイル」とも呼ばれる) またはその他の類似オブジェクトを編集するように求められることがあります。
次の URL をブラウザに入力して、Identity Manager デバッグページを開きます。
http://< AppServerHost>:<Port>/idm/debug/session.jsp
システム設定ページが開きます。
/idm/debug/ ページを表示するには、デバッグ機能を使用できる必要があります。
「List Objects」ボタンを見つけて、隣接する「Type」ドロップダウンリストから「Configuration」を選択します。
「List Objects」ボタンをクリックします。
「List Objects of type: Configuration」ページが表示されます。
オブジェクトのリストで、必要なオブジェクトを見つけて「編集」をクリックします。
たとえば、システム設定オブジェクトを編集するには、「System Configuration」を検索して「編集」をクリックします。
オブジェクトを編集して、「保存」をクリックします。
サーバーを再起動するように指示された場合は、再起動します。