第 1 章 リソースリファレンスの概要

この章では、Identity Manager のインストールによって提供されるリソースアダプタとアイデンティティーコネクタについて説明します。

アダプタのタイプ

次の表に、提供されるアダプタをタイプ順に、サポートされるバージョン、Active Sync のサポート、接続方法、および通信プロトコルの概要とともに示します。サポートされる各リソースのバージョンを確認するには、リリースノートを参照してください。

リソースアダプタは、次のカテゴリに分類されます。

• CRM および ERP システム

• データベース

• ディレクトリ

• メッセージプラットフォーム

• その他

• オペレーティングシステム

• セキュリティーマネージャー

• Web シングルサインオン (SSO)

表 1–1 CRM および ERP システム

リソースアダプタ	サポートされるアプリケーション	Active Sync のサポート	ゲートウェイ	通信プロトコル
Oracle アプリケーション	Oracle Financials on Oracle Applications	なし	なし	JDBC
PeopleSoft コンポーネント	PeopleTools PeopleTools with HRMS	あり Smart ポーリング、リスナー	なし	Client Connection Toolkit (同期のみ)
PeopleSoft コンポーネントインタフェースアダプタ	PeopleTools	なし	なし	Client Connection Toolkit (読み取り/書き込み)
SAP	SAP R/3	なし	なし	SAP Java Connector 経由の BAPI
	SAP HR	あり Smart ポーリング、リスナー		ALE
	Governance, Risk, and Compliance (GRC) Access Enforcer	なし	なし	SAP Java Connector 経由の BAPI
	Enterprise Portal	なし	なし	Siebel Data API

表 1–2 データベース

リソースアダプタ	Active Sync のサポート	ゲートウェイ	通信プロトコル
DB2	なし	なし	JDBC、SSL
Microsoft SQL Server	なし	なし	JDBC、SSL
MySQL	なし	なし	JDBC、SSL
Oracle	なし	なし	JDBC、SSL
Sybase	なし	なし	JDBC、SSL

表 1–3 ディレクトリ

リソースアダプタ	サポートされるアプリケーション	Active Sync のサポート	ゲートウェイ	通信プロトコル
LDAP		あり Smart ポーリング、リスナー	なし	LDAP v3、JNDI、SSL
Microsoft Active Directory		あり Smart ポーリング	あり	ADSI
NetWare NDS	Netware eDirectoryNovell SecretStore	あり Smart ポーリング	あり	NDS クライアント、LDAP、SSL

表 1–4 メッセージプラットフォーム

リソースアダプタ	Active Sync のサポート	ゲートウェイ	通信プロトコル
Lotus Domino Gateway	あり Smart ポーリング	あり	RMI、IIOP (Toolkit for Java、CORBA を使用)
Novell GroupWise	なし	あり	NDS クライアント、LDAP、SSL

表 1–5 その他

リソースアダプタ	Active Sync のサポート	ゲートウェイ	通信プロトコル
データベーステーブル	あり Smart ポーリング	なし	JDBC
フラットファイル ActiveSync	あり Smart ポーリング   (TSS 監査イベントをフィルタ)	なし
INISafe Nexess		com.initech.eam.api クラス
JMS リスナー	あり	なし	リソースごとに異なる
Microsoft Identity Integration Server	なし	なし	JDBC
Remedy Help Desk	あり Smart ポーリング	あり	Remedy API
Scripted Gateway		あり	リソースごとに異なる
スクリプトホスト		なし	TN3270
Sun JavaTM System Communications Services	あり	なし	SSL または TCP/IP 経由の JNDI

表 1–6 オペレーティングシステム

リソースアダプタ	Active Sync のサポート	ゲートウェイ	通信プロトコル
AIX	なし	なし	Telnet、SSH、SSHPubKey
HP-UX	なし	なし	Telnet、SSH、SSHPubKey
OS/400	なし	なし	Java toolkit for AS400
Red Hat Linux	なし	なし	Telnet、SSH、SSHPubKey
Solaris	なし	なし	Telnet、SSH、SSHPubKey
SuSE Linux アダプタ	なし	なし	Telnet、SSH、SSHPubKey

表 1–7 セキュリティーマネージャー

リソースアダプタ	Active Sync のサポート	ゲートウェイ	通信プロトコル
ACF2	なし	なし	Secure TN3270
ClearTrust	なし	なし	Server Proxy API、JNDI、SSL
RACF	なし	なし	Secure TN3270
SecurID ACE/Server (Windows および UNIX)	なし	あり	SecurID Admin API、SSHPubKey (UNIX のみ)
		SecurID TCL インタフェース
Top Secret	あり Smart ポーリング   (TSS 監査イベントをフィルタ)	なし	Secure TN3270

表 1–8 Web シングルサインオン (SSO)

リソースアダプタ	Active Sync のサポート	ゲートウェイ	通信プロトコル
IBM/Tivoli Access Manager	なし	なし	JNDI、SSL
Netegrity Siteminder	なし	なし	Netegrity SDK、JNDI、SSL
Sun Access Manager	なし	なし	JNDI、SSL

Identity Manager のアダプタは、多くの場合デフォルトの状態で使用できます。

アダプタを有効にする

1. この章の「Identity Manager のインストールに関する注意事項」で説明されている、アダプタのインストールと設定の手順に従います。

2. 『Business Administrator's Guide』の説明に従い、リソースウィザードを使用してリソースを Identity Manager に追加します。

   カスタムアダプタの作成については、『[Title_Deploy_Tools テキストエンティティーを定義してください]』を参照してください。

アダプタに関する節の内容の紹介

この章のリソースアダプタに関する節は、次のように構成されています。

• 「はじめに」。サポートされるリソースのバージョンを一覧に示します。このリストに対する更新情報については、最新のサービスパックバージョンに付属している Readme ファイルを参照してください。

• 「リソースを設定する際の注意事項」。Identity Manager からリソースを管理できるようにするために、リソース上で実行する追加の手順を示します。

• 「Identity Manager のインストールに関する注意事項」。リソースを操作するために必要なインストールと設定の手順を説明します。

• 「使用上の注意」。リソースの使用に関する依存関係と制限を一覧に示します。

• 「セキュリティーに関する注意事項」。サポートされる接続のタイプと、基本的なタスクを実行するためにリソースで必要な認証について説明します。

• 「プロビジョニングに関する注意事項」。アダプタで、アカウントの有効化と無効化やアカウント名の変更などのタスクを実行できるかどうか、およびパススルー認証を許可するかどうかを一覧に示します。

• 「アカウント属性」。リソースでサポートされるデフォルトユーザー属性について説明します。

• 「リソースオブジェクトの管理」。アダプタで管理できるオブジェクトの一覧を示します。

• 「アイデンティティーテンプレート」。リソースアイデンティティーテンプレートの構築または操作に関する注意事項を説明します。

• 「サンプルフォーム」。カスタムのユーザー作成フォームおよびユーザー更新フォームの作成に使用できる、サンプルフォームの場所を説明します。特に指定がないかぎり、サンプルフォームは InstallDir\idm\sample\forms\ ディレクトリに置かれています。

• 「トラブルシューティング」。トレースとデバッグに使用できるクラスの一覧を示します。

各トピックの詳細については、この節の残りの部分で説明します。

トピックの説明

ここでは、各アダプタに関する情報を提供します。 それぞれのトピックが次のように構成されています。

• 「はじめに」

• 「リソースを設定する際の注意事項」

• 「Identity Manager のインストールに関する注意事項」

• 「使用上の注意」

• 「ActiveSync 設定」

• 「セキュリティーに関する注意事項」

• 「プロビジョニングに関する注意事項」

• 「アカウント属性」

• 「リソースオブジェクトの管理」

• 「アイデンティティーテンプレート」

• 「サンプルフォーム」

• 「トラブルシューティング」

はじめに

この節では、アダプタでサポートされるリソースのバージョンを一覧に示します。これ以外にもサポートされているバージョンがあるかもしれませんが、それらはテストが完了していません。

ここでは、アダプタの Java クラス名の一覧も示します。クラス名はトレース時に常に使用されます。また、リソースがカスタムリソースである場合は、クラス名を「管理するリソースの設定」ページで指定する必要があります。カスタムリソースについては、「Identity Manager のインストールに関する注意事項」を参照してください。

リソースの中には、複数のアダプタを備えているものもあります。たとえば、Identity Manager は Windows Active Directory と Windows Active Directory ActiveSync 用のアダプタを提供しています。このような場合、「概要」の節には次のような表が示されます。

GUI 名	Class Name
Windows 2000 / Active Directory	com.waveset.adapter.ADSIResourceAdapter
Windows 2000 / Active Directory ActiveSync	com.waveset.adapter.ActiveDirectoryActiveSyncAdapter

GUI 名は、「リソース」ページにドロップダウンメニューで表示されます。この名前は、リソースを Identity Manager に追加すると、リソースのブラウザに表示されます。

リソースを設定する際の注意事項

この節では、Identity Manager からリソースを管理するためにリソースで実行する必要がある追加手順を説明します。Identity Manager との接続を確立するには、リソースが完全に機能していることが前提です。

Identity Manager のインストールに関する注意事項

インストールの観点から、アダプタには 2 つのタイプがあります。

• Identity Manager アダプタ

• カスタムアダプタ

Identity Manager アダプタには、追加のインストール手順は必要ありません。次の手順を使用して、リソースを「リソース」ページのアクションメニューに表示します。

リソースを「リソース」ページのアクションメニューに表示する

1. Identity Manager 管理インタフェースで、「リソース」をクリックし、次に「タイプの設定」をクリックします。

2. Identity Manager の「リソース」セクションで、適切なオプションを選択します。

3. ページの下部にある「保存」をクリックします。

   カスタムアダプタでは、追加のインストール手順が必要です。通常は、1 つ以上の JAR ファイルを InstallDir \idm\WEB-INF\lib ディレクトリにコピーし、アダプタの Java クラスをアダプタのリストに追加します。JAR ファイルは通常、インストールメディアから入手するか、インターネットからダウンロードすることができます。

   次の例は、DB2 対応のリソースアダプタについて、この手順を示したものです。

4. db2java.jar ファイルを InstallDir \idm\WEB-INF\lib ディレクトリにコピーします。

5. Identity Manager 管理者インタフェースで、「リソース」をクリックし、次に「タイプの設定」をクリックします。

6. ページの下部にある「カスタムリソースの追加」をクリックします。

7. 下部のテキストボックスに、アダプタの完全なクラス名 (たとえば、com.waveset.adapter.DB2ResourceAdapter) を入力します。

8. ページの下部にある「保存」をクリックします。

   次の表に、Identity Manager サーバーで JAR ファイルのインストールが必要なアダプタを示します。

   アダプタ	必要なファイル
   Access Enforcer	sapjco.jar axis.jar commons-discovery-0.2.jar commons-logging-1.0.4.jar jaxrpc.jar log4j-1.2.8.jar saaj.jar wsdl4j-1.5.1.jar
   Access Manager	pd.jar
   ACF2	habeans.jar または  habase.jar hacp.jar ha3270.jar hassl.jar hodbase.jar または RWebSDK.jar wrqtls12.jar profile.jaw
   ClearTrust	ct_admin_api.jar
   DB2	db2java.jar
   INISafe Nexess	concurrent.jar crimson.jar external-debug.jar INICrypto4Java.jar jdom.jar log4j-1.2.6.jar
   MS SQL Server	Microsoft SQL Server 2005 JDBC Driver と接続する場合  mssqlserver.jar Microsoft SQL Server 2000 JDBC Driver と接続する場合 msbase.jar mssqlserver.jar msutil.jar
   MySQL	mysqlconnector-java-Version -bin.jar
   Oracle および Oracle ERP	oraclejdbc.jar
   PeopleSoft コンポーネントおよび PeopleSoft コンポーネントインタフェース	psjoa.jar
   RACF	habeans.jar または  habase.jar hacp.jar ha3270.jar hassl.jar hodbase.jar または RWebSDK.jar wrqtls12.jar profile.jaw
   SAP	sapjco.jar sapidoc.jar
   SAP HR ActiveSync	sapjco.jar sapidoc.jar sapidocjco.jar
   Scripted Host	habeans.jar または  habase.jar hacp.jar ha3270.jar hassl.jar hodbase.jar または RWebSDK.jar wrqtls12.jar profile.jaw
   Siebel CRM	Siebel 7.0: SiebelJI_Common.jar SiebelJI_enu.jar SiebelJI.jar Siebel 7.7、7.8 Siebel.jar SiebelJI_enu.jar
   SiteMinder	smjavaagentapi.jar smjavasdk2.jar
   Sun Access Manager	7.0 より前のバージョン:  リリースによって異なる Version 7.0 以降 am_sdk.jar am_services.jar
   Sun Java System Access Manager Realm	am_sdk.jar am_services.jar
   Sybase	jconn2.jar
   Top Secret	habeans.jar または  habase.jar hacp.jar ha3270.jar hassl.jar hodbase.jar または RWebSDK.jar wrqtls12.jar profile.jaw

使用上の注意

ここでは、リソースの使用に関連する依存関係と制限について示します。この節で説明する内容は、アダプタによって異なります。

ActiveSync 設定

この節では、「Edit Synchronization Policy」ページで表示可能な、リソースに固有の設定情報を説明します。次の属性は、ほとんどの Active Sync アダプタに適用されます。

パラメータ	説明
処理規則	TaskDefinition の名前、またはフィード内のすべてのレコードに対して実行される TaskDefinition の名前を返す規則のいずれかです。この処理規則は、activeSync 名前空間内のリソースアカウント属性を、リソース ID およびリソース名とともに取得します。  このパラメータは、ほかのすべてのパラメータよりも優先されます。この属性を指定した場合、このアダプタに関するその他の設定に関係なく、すべての行に対して処理が実行されます。
相関規則	リソースアカウントを所有する Identity Manager ユーザーのリソース情報が特定されない場合は、相関規則が呼び出され、(アカウントの名前空間内の) リソースアカウント属性に基づいて、ユーザーの照合に使用する、一致する可能性のあるユーザーまたはアカウント ID の候補のリスト、あるいは属性条件を特定します。 規則は、エントリを既存の Identity Manager アカウントに関連付けるために使用できる次のいずれかの情報を返します。  Identity Manager ユーザー名 WSAttributes オブジェクト (属性ベースの検索で使用) AttributeCondition 型または WSAttribute 型の項目のリスト (AND 結合による属性ベースの検索) String 型の項目のリスト (各項目は Identity Manager アカウントの Identity Manager ID またはユーザー名) 相関規則によって複数の Identity Manager アカウントが識別された場合は、複数の候補の中から一致させるべきアカウントを特定するために確認規則または解決プロセス規則が必要になります。 データベーステーブル、フラットファイル、および PeopleSoft コンポーネントの Active Sync アダプタの場合は、デフォルトの相関規則はリソース上の調整ポリシーから継承されます。
確認規則	相関規則によって返されるすべてのユーザーを対象にして評価される規則です。ユーザーごとに、Identity Manager の ID (account. 名前空間にある) リソースアカウント情報の相関を示す、完全なユーザービューが確認規則に渡されます。確認規則は、ブール値で表すことができる値を返すことが期待されます。たとえば、「true」、「1」、または「yes」や、「false」、「0」、または「null」です。  データベーステーブル、フラットファイル、および PeopleSoft コンポーネントの Active Sync アダプタの場合は、デフォルトの確認規則はリソース上の調整ポリシーから継承されます。
削除規則	activeSync. または account. という形式のキーを持つ値すべてのマップを期待できる規則です。プロキシ管理者のセッションに基づく LighthouseContext オブジェクト (display.session ) は、この規則のコンテキストで利用できます。この規則は、ブール値で表すことができる値を返すことが期待されます。たとえば、「true」、「1」、または「yes」や、「false」、「0」、または「null」です。 あるエントリに関してこの規則によって true が返された場合、アダプタの設定方法に応じて、フォームとワークフローを介してアカウント削除リクエストが処理されます。
解決プロセス規則	TaskDefinition の名前、またはフィード内のあるレコードに対して複数の一致がある場合に実行される TaskDefinition の名前を返す規則のいずれかです。解決プロセス規則は、リソースアカウント属性をリソース ID およびリソース名とともに取得します。  この規則は、一致がなく、「一致しないアカウントの作成」が選択されていない場合にも必要です。 このワークフローは、管理者による手動操作を求める処理にすることもできます。
一致しないアカウントの作成	true に設定すると、一致する Identity Manager ユーザーが見つからない場合に、リソース上にアカウントが作成されます。false に設定すると、処理規則が設定され、その規則が識別するワークフローによって新しいアカウントが保証されていることが確認されないかぎり、アカウントは作成されません。デフォルトは true です。
グローバルで利用	true に設定すると、activeSync 名前空間に加えてグローバル名前空間にも値が入力されます。デフォルト値は false です。

セキュリティーに関する注意事項

「セキュリティーに関する注意事項」では、接続と認証の情報を説明します。

「サポートされる接続」では、Identity Manager とリソース間の接続に使用する接続のタイプを一覧に示します。次の接続タイプが一般的に使用されます。

• Sun Identity Manager Gateway

• SSH (Secure Shell)

• SSL (Secure Sockets Layer) 経由の JDBC (Java Database Connectivity)

• SSL 経由の JNDI (Java Naming and Directory Interface)

• Telnet/TN3270

ほかの接続タイプである可能性もあります。

「必要な管理特権」では、Identity Manager からユーザーを作成したりタスクを実行する際に管理者アカウントで必要な特権の一覧を示します。管理者アカウントはリソース編集ページで指定します。

すべての Active Sync アダプタで、管理者アカウントには、「Active Sync の動作設定」の「ログファイルパス」フィールドで指定したディレクトリに対する読み取り、書き込み、および削除のアクセス権が必要です。

プロビジョニングに関する注意事項

この節では、次に示すアダプタのプロビジョニング機能の概要を示します。機能には次のようなものがあります。

• アカウントの有効化/無効化。ユーザーアカウントを有効化および無効化する機能は、リソースによって異なります。たとえば、一部の UNIX システムでは、パスワードをランダムな値に変更することでアカウントが無効化されます。

• アカウントの名前の変更。ユーザーアカウントの名前を変更する機能は、リソースによって異なります。

• パススルー認証。リソースユーザーが Identity Manager ユーザーインタフェースにログインできるようにする、Identity Manager の機能。

• 前アクションと後アクション。アクションとは、スクリプトアクションのネイティブサポートが存在する場合に、管理するリソースのコンテキスト内で実行するスクリプトです。

  たとえば、UNIX システムでは、アクションは UNIX シェルコマンドの処理になります。Microsoft Windows 環境では、アクションは CMD コンソール内で実行可能な DOS 形式のコンソールコマンドになります。

• データ読み込みメソッド。データを Identity Manager に読み込む方法を指定します。次の方法がサポートされています。

  • Active Sync。アイデンティティー情報の源泉として信頼性の高い外部リソース (アプリケーションやデータベースなど) に格納された情報を、Identity Manager のユーザーデータと同期させることができます。アダプタは、リソースアカウントの変更を Identity Manager に適用したり、読み込ませることができます。

  • 検出 (リソースから読み込み)。読み込みの前に表示確認を行わずに、最初からリソースアカウントを Identity Manager に読み込みます。リソースアカウント情報を、ファイルからインポート、またはファイルへエクスポートすることもできます。

  • 調整。定期的にリソースアカウントを Identity Manager に読み込み、設定されたポリシーに従って各アカウントを操作します。調整機能は、Identity Manager のリソースアカウントと実際にリソースに存在するアカウントの不整合をハイライト表示し、アカウントデータを定期的に相互に関連付けるために使用します。

アカウント属性

「アカウント属性」ページ (スキーママップ) は、Identity Manager アカウント属性をリソースアカウント属性にマップします。属性のリストはリソースごとに異なります。使用していない属性は、スキーママップページから削除するようにしてください。属性を追加すると、多くの場合、ユーザーフォームやその他のコードを編集する必要が生じます。

Identity Manager ユーザー属性は、規則、フォーム、およびその他の Identity Manager 固有の機能で使用できます。リソースユーザー属性は、アダプタがリソースと通信しているときにだけ使用されます。

Identity Manager がサポートするアカウント属性の種類を次に示します。

• string

• integer

• Boolean

• encrypted

• binary

---

注 –

バイナリ属性には、グラフィックスファイル、オーディオファイル、証明書などが含まれます。ほとんどのリソースはバイナリアカウント属性をサポートしません。現在、バイナリ属性を処理できるのは、特定のディレクトリアダプタ、フラットファイルアダプタ、データベースアダプタのみです。フォームやワークフローでは、そのバイナリ属性をサポートしていないリソースに、バイナリ属性を適用しないようにする必要があります。使用中のアダプタがバイナリ属性をサポートしているかどうかは、そのアダプタの説明の「アカウント属性」の節を参照してください。

また、バイナリ属性で参照するファイルのサイズは、できるだけ小さくしておきます。たとえば、非常に大きなサイズのグラフィックスファイルを読み込むと、Identity Manager のパフォーマンスが低下する可能性があります。

---

ほとんどのアダプタはバイナリアカウント属性をサポートしません。一部のアダプタは、グラフィックス、オーディオ、証明書などのバイナリ属性をサポートします。使用中のアダプタに対してサポートされているかどうかは、そのアダプタの説明の「アカウント属性」の節を参照してください。

name はビューの予約語であるため、リソーススキーママップのアイデンティティーシステムユーザー属性として使用しないようにしてください。

リソースオブジェクトの管理

Identity Manager で管理可能なリソース上のオブジェクトの一覧を示します。

アイデンティティーテンプレート

ユーザーのアカウント名の構文を定義します。ほとんどのリソースで、構文はアカウント ID と同じです。ただし、リソースが階層構造を持つ名前空間を使用する場合は、構文が異なります。

サンプルフォーム

フォームはページに関連付けられたオブジェクトであり、ブラウザでユーザー表示属性をそのページにどのように表示するかについての規則が含まれています。フォームにはビジネスロジックを組み込むことができ、通常はユーザーに表示する前に、表示データを処理するためにフォームが使用されます。

組み込みのフォーム

一部のフォームは、Identity Manager リポジトリにデフォルトで読み込まれます。リポジトリ内のフォームのリストを表示するには、次の手順を実行します。

リポジトリ内のフォームのリストを表示する

1. Web ブラウザで、http://IdentityManagerHost /idm/debug にアクセスします。

   ブラウザに「System Settings」ページが表示されます。

2. オプションメニューから、「List Objects」の隣にある「Type: ResourceForm」を選択します。

3. 「List Objects」をクリックします。「List Objects of Type: ResourceForm」ページが表示されます。このページには、Identity Manager リポジトリに存在する編集可能なすべてのフォームが一覧表示されます。

その他の利用可能なフォーム

Identity Manager には、デフォルトでは読み込まれない多数のフォームが用意されています。これらのフォームは InstallDir\idm\sample\forms\ ディレクトリに置かれています。

トラブルシューティング

トレース出力は、アダプタの問題を識別して解決する際に役立ちます。問題を特定して解決するためにトレースを使用する場合は、一般的に次のような手順を実行します。

トレースを使用する

1. トレースをオンにします。

2. 問題を再現し、結果を評価します。

3. 必要に応じて、追加のパッケージやクラスのトレースをオンにしたり、トレースのレベルを上げたりして、手順 2 と 3 を繰り返します。

4. トレースをオフにします。

   トレースをオンにするには、次の手順に従います。

5. Configurator アカウントで Identity Manager にログインします。

6. デバッグページ (http://IdentityManagerHost :Port/idm/debug ) にアクセスします。

7. 「Show Trace」をクリックします。

8. 「Trace Enabled」にチェックマークが付いていることを確認します。

9. 「Method/Class」テキストボックスに完全なクラス名を入力します。

10. トレースレベル (1-4) を入力します。各レベルで、異なるタイプの情報が取得されます。

    • 1 は、public メソッドの入口と出口、および主要な例外を指定します。

      • 2 は、すべてのメソッドの入口と出口を指定します。

      • 3 は、メソッドの呼び出しごとに一度だけ発生する重要な情報表示 (フローを制御する変数の値など) を指定します。

      • 4 は、メソッドの呼び出しごとに n 回発生する情報表示を指定します。

11. 必要に応じて、ページのその他の項目を入力します。トレースの準備ができたら「Save」をクリックします。

    トレース機能を無効にするには、「Show Trace」オプションを選択解除するか、「Method/Class」テキストボックスからクラス名を削除します。