アダプタの詳細
リソースを設定する際の注意事項
ここでは、Access Manager リソースの設定手順を説明します。 次のような手順があります。
-
IBM Tivoli Access Manager リソースを Identity Manager で使用するための一般的な設定手順
-
Access Manager を Identity Manager の Web Access Control として使用するための手順
一般的な設定
IBM Tivoli Access Manager リソースを Identity Manager で使用するように設定する場合は、次の手順に従います。
Tivoli Access Manager を設定する
-
IBM Tivoli Access Manager Java Runtime Component を Identity Manager サーバーにインストールします。
-
使用しているアプリケーションサーバーの JVM へのパスを含むように PATH 変数を設定します。
-
pdjrtecfg -action config コマンドを実行して、次の Access Manager の .jar ファイルを JRE の lib/ext ディレクトリにインストールします。
-
InstallDir\idm\WEB-INF\lib ディレクトリから次の JAR ファイルを削除します。ただし、使用しているアプリケーションサーバーによっては、これらのファイルが Identity Manager 製品のインストール時に削除されていることもあります。
-
java.security ファイルに、次の行を追加します (ファイルにない場合)。
security.provider.2=com.ibm.crypto.provider.IBMJCEsecurity.provider.3= com.ibm.net.ssl.internal.ssl.Provider
各行の security.provider のあとに続く数字は、Java がセキュリティープロバイダクラスを参照する順序を指定するものです。これらの値が一意になるようにしてください。ユーザーの環境によってシーケンス番号はさまざまである可能性があります。java.security ファイル内にすでに複数のセキュリティープロバイダがある場合は、上記で指定された順序で新しいセキュリティープロバイダを挿入し、既存のセキュリティープロバイダの番号を付け直します。既存のセキュリティープロバイダを削除したり、プロバイダを重複させたりしないでください。
-
アプリケーションサーバーに VM パラメータを追加します。
-Djava.protocol.handler.pkgs=com.ibm.net.ssl.internal.www.protocol
必要に応じて、複数のパッケージを | (パイプ記号) で区切って追加できます。たとえば、次のようにします。
-Djava.protocol.handler.pkgs=sun.net.www.protocol| \ com.ibm.net.ssl. internal.www.protocol
-
IBM Tivoli Access Manager Authorization Server が設定済みで稼動していることを確認します。
-
SvrSslCfg コマンドを実行します。
たとえば、次のようにします。
java com.tivoli.pd.jcfg.SvrSslCfg -action config \ -admin_id sec_master -admin_pwd secpw \ -appsvr_id PDPermissionjapp -host amazn.myco.com \ -mod local -port 999 -policysvr ampolicy.myco.com:7135:1 \ -authzsvr amazn.myco.com:7136:1 -cfg_file c:/am/configfile \ -key_file c:/am/keystore -cfg_action create
am ディレクトリがあらかじめ存在している必要があります。正常に完了したら、次のファイルが c: \am ディレクトリに作成されます。
Web Access Control の設定
次の手順では、Tivoli Access Manager を Identity Manager の Web Access Control として使用する場合の、一般的な設定手順を説明します。この手順の一部では、Tivoli Access Manager ソフトウェアに関する詳細な知識が必要になります。
Tivoli Access Manager を Web Access Control として設定する一般的な手順
-
IBM Tivoli Access Manager Java Runtime Component を Identity Manager サーバーにインストールして設定します。
-
Identity Manager サーバーで JDK セキュリティー設定を設定します。
-
Identity Manager サーバーで Access Manager SSL Config ファイルを作成します。
-
Access Manager 内に Identity Manager の URL に対するジャンクションを作成します。詳細については、Tivoli Access Manager の製品マニュアルを参照してください。
次の pdadmin コマンドの例は、ジャンクションの作成方法を示しています。
pdadmin server task WebSealServer create -t Connection / -p Port -h Server -c ListOfCredentials -r -i JunctionName
-
WebSeal Proxy Server 用に Identity Manager Base HREF プロパティーを設定します。
-
Access Manager リソースアダプタを設定します。
-
Access Manager ユーザーを Identity Manager に読み込みます。
-
Identity Manager の Access Manager に対するパススルー認証を設定します。
ユーザーが Access Manager を通して Identity Manager の URL にアクセスする際に、ユーザーのアイデンティティーが HTTP ヘッダーで Identity Manager に渡されます。Identity Manager は渡されたアイデンティティーを使用して、ユーザーが Access Manager と Identity Manager に存在することを確認します。ユーザーが Identity Manager 管理者インタフェースにアクセスしようとした場合は、Identity Manager のセキュリティー設定でユーザーに Identity Manager の管理特権があることが確認されます。エンドユーザーは Access Manager に対しても検証され、Identity Manager アカウントがあるかどうか確認されます。
Identity Manager のインストールに関する注意事項
注 –
IBM Tivoli Access Manager を WebSphere アプリケーションサーバーとともにインストールする場合は、Identity Manager のインストール中に jsse.jar、jcert.jar、および jnet.jar ファイルを WEB-INF\lib ディレクトリにコピーしないでください。これらのファイルをコピーすると競合が発生します。
Access Manager リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行してください。
Access Manager リソースアダプタをインストールする
-
pd.jar ファイルを、Access Manager のインストールメディアから $WSHOME/WEB-INF/lib ディレクトリにコピーします。
-
「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加します。
com.waveset.adapter.AccessManagerResourceAdapter
使用上の注意
ここでは、Access Manager リソースアダプタの使用に関連する依存関係と制限について示します。
このリソースで Identity Manager のシングルサインオンまたはパススルー認証機能を使用する場合は、Access Manager を Identity Manager プロキシサーバーとして使用してください。プロキシサーバーについては、『Identity Manager Deployment Guide』を参照してください。
GSO クレデンシャルの作成
Identity Manager の「ユーザーの作成」ページから、GSO Web リソースまたは GSO リソースグループのクレデンシャルを設定するには、次の手順を実行します。
GSO Web リソースまたは GSO リソースグループのクレデンシャルを設定する
-
「GSO Web クレデンシャルの追加」または「GSO リソースグループクレデンシャル」を選択します。
-
該当する GSO クレデンシャルのドロップダウンメニューから、ターゲットを選択します。
-
リソースのユーザー ID とパスワードをテキストフィールドに入力します。
-
該当するフィールドを編集することで、リソースクレデンシャルのユーザー ID またはパスワード、あるいはその両方を編集できます。セキュリティー上の理由により、クレデンシャルのパスワードを検出することはできません。
GSO クレデンシャルの削除
クレデンシャルを削除するには、削除対象のクレデンシャルをテーブルで選択して、対応する「削除」ボタンをクリックします。
セキュリティーに関する注意事項
ここでは、サポートされる接続と特権の要件について説明します。
サポートされる接続
Identity Manager は、SSL 経由の JNDI を使用して Access Manager と通信します。
必要な管理特権
管理ユーザーには、ユーザー、グループ、Web リソース、およびリソースグループを作成、更新、および削除するための特権が必要です。
プロビジョニングに関する注意事項
次の表に、このアダプタのプロビジョニング機能の概要を示します。
|
機能 |
サポート状況 |
|---|---|
|
アカウントの有効化/無効化 |
あり |
|
アカウントの名前の変更 |
なし |
|
パススルー認証 |
あり |
|
前アクションと後アクション |
なし |
|
データ読み込みメソッド |
リソースから直接インポート 調整 |
アカウント属性
|
属性 |
データ型 |
説明 |
|---|---|---|
|
firstname |
String |
必須。ユーザーの名。 |
|
lastname |
String |
必須。ユーザーの姓。 |
|
registryUID |
String |
必須。ユーザーレジストリに格納されているアカウント名。 |
|
description |
String |
ユーザーについて説明したテキスト。 |
|
groups |
String |
ユーザーがメンバーになっている Access Manager グループ。 |
|
noPwdPolicy |
Boolean |
パスワードポリシーを適用するかどうかを示します。 |
|
ssoUser |
Boolean |
ユーザーにシングルサインオン機能を持たせるかどうかを示します。 |
|
expirePassword |
Boolean |
パスワードが期限切れになるかどうかを示します。 |
|
importFromRgy |
Boolean |
ユーザーレジストリからグループデータをインポートするかどうかを示します。 |
|
deleteFromRgy |
Boolean |
ユーザーを削除するべきかどうかを示します。 |
|
syncGSOCreds |
Boolean |
GSO のパスワードを Access Manager のパスワードと同期させるかどうかを示します。 |
|
gsoWebCreds |
String |
ユーザーがアクセス権を持つ Web リソースクレデンシャルのリスト。 |
|
gsoGroupCreds |
String |
ユーザーがアクセス権を持つリソースグループクレデンシャルのリスト。 |
リソースオブジェクトの管理
Identity Manager は、次のオブジェクトをサポートします。
|
リソースオブェクト |
サポートされる機能 |
管理される属性 |
|---|---|---|
|
Group |
作成、検索、削除、更新 |
name、description、registry name、member |
アイデンティティーテンプレート
アカウント名の構文は次のとおりです。
$accountId$
サンプルフォーム
Identity Manager には、AccessManagerUserForm.xml サンプルフォームが用意されています。
トラブルシューティング
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。
com.waveset.adapter.AccessManagerResourceAdapter
- © 2010, Oracle Corporation and/or its affiliates