アプリケーションサーバーへの PasswordSync の配備

PasswordSync を Windows ドメインコントローラにインストールしたら、Identity Manager を実行しているアプリケーションサーバーで追加の手順を実行する必要があります。

アプリケーションサーバーに PasswordSync サーブレットをインストールする必要はありません。Identity Manager をインストールしたときに自動的にインストールされています。

ただし、PasswordSync の配備を完了するために、Identity Manager で次の操作を実行する必要があります。

• JMS リスナーアダプタを追加して設定します (JMS 使用時)。

• 「ユーザーパスワード同期」ワークフローを実装します。

• 通知を設定します。

JMS リスナーアダプタの追加と設定

PasswordSync サーブレットが JMS を使用して Identity Manager にメッセージを送信している場合は、Identity Manager の JMS リスナーリソースアダプタを追加する必要があります。JMS リスナーリソースアダプタは、PasswordSync サーブレットによって置かれたメッセージがないか、定期的に JMS Message Queue をチェックします。キューに新しいメッセージがある場合、メッセージは Identity Manager に送信されて処理されます。

JMS リスナーリソースアダプタを追加する

1. Identity Manager 管理者インタフェースにログオンします (「Identity Manager 管理者インタフェース」)。

2. メインメニューで、「リソース」、「タイプの設定」の順に選択します。

   図 11–10 に示すように、「管理するリソースの設定」ページが表示されます。

   図 11–10 「管理するリソースの設定」ページ

   
   

3. 「管理しますか?」列で「JMS リスナー」チェックボックスが選択されていることを確認します (図 11–10)。

   チェックボックスが選択されていない場合は、チェックボックスを選択して「保存」をクリックします。

4. 二次的なメニューから「リソースのリスト」をクリックします。

5. 「リソースタイプアクション」ドロップダウンメニューを見つけて、「新規リソース」を選択します。

   「新規リソース」ページが表示されます。

6. JMS リスナーアダプタを追加するには、ドロップダウンメニューから「JMS リスナー」を選択し (図 11–11)、「新規」をクリックします。

   図 11–11 新規リソースウィザード

   
   

7. 「リソースパラメータ」ページで次の項目を設定し、「次へ」をクリックします。

   • 「宛先タイプ」。通常、この値は「キュー」に設定されます。(1 人の加入者が存在し、また複数の発行者が存在する可能性があるため、トピックは通常は関係しません。

   • 「初期コンテキスト JNDI のプロパティー」。初期 JNDI コンテキストを構築するためのプロパティーのセットを定義します。

     次の名前と値のペアを定義する必要があります。

     • java.naming.factory.initial。JNDI サービスプロバイダの初期コンテキストファクトリのクラス名 (パッケージを含む) を指定します。

     • java.naming.provider.url。JNDI サービスを実行するマシンの URL を指定します。

       追加プロパティーの定義が必要となる場合があります。プロパティーと値のリストは、JMS サーバーの JMS 設定ページで指定するものと一致することが推奨されます。たとえば、資格およびバインドメソッドを提供するため、次のサンプルプロパティーを指定することが必要な場合があります。

       • java.naming.security.principal — バインド DN (例: cn=Directory manager)

       • java.naming.security.authentication — バインドメソッド (例: simple)

       • java.naming.security.credentials — パスワード

   • 「接続ファクトリのJNDI 名」。JMS サーバーで定義されている、接続ファクトリの名前を入力します。

   • 「宛先の JNDI 名」。JMS サーバーで定義されている、送信先の名前を入力します。

   • 「ユーザー」および「パスワード」。キューから新しいイベントをリクエストする管理者のアカウント名とパスワード。

   • 「Reliable Messaging サポート」。「LOCAL (Local Transactions)」を選択します。それ以外のオプションはパスワード同期には使用しません。

   • 「メッセージマッピング」。java:com.waveset.adapter.jms.PasswordSyncMessageMapper を入力します。このクラスは、JMS サーバーからのメッセージを、ユーザーパスワード同期ワークフローで使用できる形式に変換します。

     

8. ウィザードの「アカウント属性」ページ (図 11–12) で、「属性の追加」をクリックし、次の属性をマップします。これらは、PasswordSyncMessageMapper により JMS リスナーアダプタで利用できるようになります。

   • IDMAccountId — この属性は、JMS メッセージで渡される resourceAccountId と resourceAccountGUID 属性に基づいて、PasswordSyncMessageMapper によって解釈処理されます。

   • password — JMS メッセージで転送される暗号化されたパスワード。

   図 11–12 「JMS リスナーリソースの作成」ウィザードの「アカウント属性」ページ

   
   

9. 「次へ」をクリックします。

   ウィザードの「アイデンティーテンプレート」ページが表示されます (図 11–13)。前の手順で追加した属性は、リソースウィザードの「属性マッピング」セクションで使用できます (図 11–13)。

   図 11–13 JMS リスナーリソースウィザードの「属性マッピング」

   
   

10. 「次へ」をクリックして、「アイデンティティーシステムのパラメータ」ページのオプションを必要に応じて設定します。

    JMS リスナーリソースアダプタの設定については、『Sun Identity Manager 8.1 Resources Reference 』を参照してください。

ユーザーパスワード同期ワークフローの実装

Identity Manager はパスワード変更の通知を受信すると、ユーザーパスワード同期ワークフローを開始します。デフォルトのユーザーパスワード同期ワークフローは、ChangeUserPassword ビューアをチェックアウトしてから、ChangeUserPassword ビューアを再度チェックインします。次に、ワークフローは (最初にパスワードの変更の通知を送信した Windows リソースを除く) すべてのリソースアカウントを処理します。最後に、Identity Manager は、すべてのリソースに対してパスワード変更が成功したかどうかを示す電子メールをユーザーに送信します。

ユーザーパスワード同期ワークフローのデフォルト実装を使用する場合、JMS リスナーアダプタインスタンスの処理規則にその実装を割り当てます。処理規則は、JMS で同期を設定するときに割り当てることができます (「Active Sync の設定」を参照)。

ワークフローを変更したい場合、$WSHOME/sample/wfpwsync.xml ファイルをコピーして変更を行います。続いて、修正したワークフローを Identity Manager にインポートします。

デフォルトのワークフローに対して行うことが考えられる変更には、次のようなものがあります。

• パスワードが変更されたときに通知を受けるエントリ

• Identity Manager アカウントが見つからない場合に行う処理

• ワークフロー内でリソースを選択する方法

• Identity Manager からのパスワード変更を許可するかどうか

ワークフローの使用方法については、『Sun Identity Manager Deployment Reference』の第 1 章「Workflow」を参照してください。

通知の設定

Identity Manager には、すべてのリソースでパスワードの変更が成功したかどうかをユーザーに知らせる電子メールテンプレートが 2 種類用意されています。

次のテンプレートです。

• パスワード同期通知

• パスワード同期エラー通知

さらに補助が必要な場合にユーザーが従うべき手順について、企業ごとに異なる情報を提供するために、どちらのテンプレートも更新することが推奨されます。詳細については、第 4 章ビジネス管理オブジェクトの設定の 「電子メールテンプレートのカスタマイズ」を参照してください。