アダプタの詳細

このアダプタは、com.waveset.adapter.SunAccessManagerRealmResourceAdapter クラスで定義されます。

---

注 –

• Sun Access Manager レルムリソースアダプタは、レルムモードで実行されているリソースに使用します。

• Sun Access Manager リソースアダプタは、旧バージョンモードで実行されているリソースに使用します。このアダプタの詳細は、「Sun Access Manager」を参照してください。

---

リソースを設定する際の注意事項

レルムモードでも旧バージョンモードでも、設定できるのは、1 つの Access Manager サーバーだけです。異なるレルムのプロビジョニングを行う場合は、複数のリソースを定義できます。

Identity Server Policy Agent は、シングルサインオン (SSO) を有効にするために使用できるオプションモジュールです。この Policy Agent は次の場所から入手できます。

http://wwws.sun.com/software/download/inter_ecom.html#dirserv

---

注 –

使用している環境内でこの製品を使用していない場合は、Policy Agent のインストール手順や設定手順を実行しないでください。

Policy Agent の詳細については、次のマニュアルを参照してください。

http://docs.sun.com/app/docs/coll/1322.1

---

Identity Server Policy Agent は、Identity Manager がインストールされているサーバーと同じサーバーにインストールする必要があります。

Policy Agent をインストールするには、Policy Agent に付属するインストール手順書に従います。 その後、次の作業を実行します。

Policy Agent を設定する

1. AMAgent.properties ファイルを編集します。

2. Sun Access Manager でポリシーを作成します。

AMAgent.properties ファイルの編集

AMAgent.properties ファイルを変更して、Identity Manager を保護する必要があります。このファイルは AgentInstallDir/config ディレクトリにあります。

AMAgent.properties ファイルを編集する

1. AMAgent.properties ファイル内で次の行を検索します。

   com.sun.identity.agents.config.cookie.reset.enable = false com.sun.identity.agents.config.cookie.reset.name[0] = com.sun.identity.agents.config.cookie.reset.domain[] = com.sun.identity.agents.config.cookie.reset.path[] =

   これらの行を次のように編集します。

   com.sun.identity.agents.config.cookie.reset.enable = true com.sun.identity.agents.config.cookie.reset.name[0] = AMAuthCookie com.sun.identity.agents.config.cookie.reset.domain[0] = .example.com com.sun.identity.agents.config.cookie.reset.path[0] = /

2. 次の行を追加します。

   com.sun.identity.agents.config.cookie.reset.name[1] = iPlanetDirectoryPro com.sun.identity.agents.config.cookie.reset.domain[1] = .example.com com.sun.identity.agents.config.cookie.reset.path[1] = /

3. 次の行を検索します。

   com.sun.identity.agents.config.profile.attribute.fetch.mode = NONE com.sun.identity.agents.config.profile.attribute.mapping[] =

   これらの行を次のように編集します。

   com.sun.identity.agents.config.profile.attribute.fetch.mode = HTTP_HEADER com.sun.identity.agents.config.profile.attribute.mapping[uid] = sois_user

4. 変更を有効にするために、Web サーバーを再起動します。

Sun Access Manager のポリシーの作成

ポリシーを作成する

1. Sun Access Manager アプリケーションで、次の規則を設定した IDMGR という名前 (または類似の名前) の新しいポリシーを作成します。

   サービスのタイプ	リソース名	アクション
   URL ポリシーエージェント	http://server:port/idm	GET アクションと POST アクションを許可します
   URL ポリシーエージェント	http://server:port/idm/*	GET アクションと POST アクションを許可します

2. 1 つ以上の主体を IDMGR ポリシーに割り当てます。

Identity Manager のインストールに関する注意事項

ここでは、Sun Access Manager レルムリソースアダプタおよび Policy Agent のインストールと設定に関する注意点を説明します。

一般的な設定

次の手順に従って、リソースアダプタのインストールと設定を行います。

Access Manager レルムリソースアダプタをインストールして設定する

1. 適切なバージョンの『Sun Java^TM System Access Manager Developer’s Guide』に記載された手順に従って、Sun Access Manager インストールからクライアント SDK を構築します。

2. 生成される war ファイルから AMConfig.properties ファイルと amclientsdk.jar ファイルを抽出します。

3. 次のディレクトリに AMConfig.properties をコピーします。

   $WSHOME/WEB-INF/classes

4. 次のディレクトリに amclientsdk.jar をコピーします。

   $WSHOME/WEB-INF/lib

5. サーバーのクラスパスに amclientsdk.jar ファイルを追加します。

6. Identity Manager アプリケーションサーバーを再起動します。

7. ファイルのコピーが終了したら、Sun Access Manager レルムリソースを Identity Manager リソースリストに追加する必要があります。「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加します。

   com.waveset.adapter.SunAccessManagerRealmResourceAdapter

ログインモジュール

Sun Access Manager ログインモジュールが最初に表示されるように、管理者およびユーザーのログインモジュールを変更する必要があります。

---

注 –

次の手順を実行する前に、まず、Sun Access Manager レルムリソースを設定する必要があります。

---

管理者とユーザーのログインモジュールを変更する

1. Identity Manager 管理者インタフェースのメニューバーで、「セキュリティー」を選択します。

2. 「ログイン」タブをクリックします。

3. ページの下部にある「ログインモジュールグループの管理」ボタンをクリックします。

4. 変更するログインモジュールを選択します。たとえば、「アイデンティティーシステムのデフォルトの ID/パスワード ログインモジュールグループ」を選択します。

5. 「ログインモジュールの割り当て」選択ボックスで、「Sun Access Manager レルムログインモジュール」を選択します。

6. 「ログインモジュールの割り当て」オプションの横に新しく「選択」オプションが表示されたら、適切なリソースを選択します。

7. 「ログインモジュールの修正」ページが表示されたら、表示されているフィールドを必要に応じて編集し、「保存」をクリックします。「ログインモジュールグループの修正」がもう一度表示されます。

8. モジュールグループの最初のリソースとして「Sun Access Manager レルムログインモジュール」を指定し、「保存」をクリックします。

9. Identity Manager からログアウトします。

セキュリティーに関する注意事項

ここでは、サポートされる接続と基本的なタスクの実行に必要な承認の要件について説明します。

サポートされる接続

Identity Manager は、SSL を使用してこのアダプタと通信します。

必要な管理特権

Sun Access Manager に接続するユーザーに、ユーザーアカウントを追加または変更するためのアクセス権を付与する必要があります。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。

機能	サポート状況
アカウントの有効化/無効化	あり
アカウントの名前の変更	なし
パススルー認証	はい。Policy Agent 経由。
前アクションと後アクション	なし
データ読み込みメソッド	リソースから直接インポート リソースの調整

アカウント属性

次の表に、デフォルトでサポートされる Sun Access Manager ユーザーのアカウント属性を示します。特に記載されていないかぎり、属性はすべて省略可能です。

リソースユーザー属性	リソース属性タイプ	説明
uid	String	必須。ユーザーの一意のユーザー ID。
cn	String	必須。ユーザーのフルネーム
givenname	String	ユーザーの名
sn	String	ユーザーの姓
mail	Email	ユーザーの電子メールアドレス
employeeNumber	Number	ユーザーの従業員番号
telephoneNumber	String	ユーザーの電話番号
postalAddress	String	ユーザーの自宅住所
iplanet-am-user-account-life	Date	ユーザーのアカウントが期限切れになる日時
iplanet-am-user-alias-list	String	ユーザーの別名のリスト
iplanet-am-user-success-url	String	認証の成功時にユーザーがリダイレクトされる URL
iplanet-am-user-failure-url	String	認証の失敗時にユーザーがリダイレクトされる URL
roleMemberships	String	ユーザーが登録されているロールのリスト
groupMemberships	String	ユーザーが登録されているグループのリスト

リソースオブジェクトの管理

Identity Manager は、次の Sun Access Manager オブジェクトをサポートします。

リソースオブェクト	サポートされる機能	管理される属性
グループ	表示、作成、更新、削除	name、user members
ロール	表示、作成、更新、削除	name、user members
Filtered Roles	表示、作成、更新、削除	name、nsrolefilter

アイデンティティーテンプレート

デフォルトのアイデンティティーテンプレートは $accountId$ です。

サンプルフォーム

ここでは、組み込みのサンプルフォームと、Sun Access Manager レルムリソースアダプタで利用できるその他のサンプルフォームの一覧を示します。

組み込みのフォーム

• Sun Access Manager Realm Create Role Form

• Sun Access Manager Realm Update Role Form

• Sun Access Manager Realm Create Filtered Role Form

• Sun Access Manager Realm Update Filtered Role Form

• Sun Access Manager Realm Create Group Form

• Sun Access Manager Realm Update Group Form

その他の利用可能なフォーム

SunAMRealmUserForm.xml 

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。

com.waveset.adapter.SunAccessManagerRealmResourceAdapter