ここでは、Access Manager リソースの設定手順を説明します。 次のような手順があります。
IBM Tivoli Access Manager リソースを Identity Manager で使用するための一般的な設定手順
Access Manager を Identity Manager の Web Access Control として使用するための手順
IBM Tivoli Access Manager リソースを Identity Manager で使用するように設定する場合は、次の手順に従います。
IBM Tivoli Access Manager Java Runtime Component を Identity Manager サーバーにインストールします。
使用しているアプリケーションサーバーの JVM へのパスを含むように PATH 変数を設定します。
pdjrtecfg -action config コマンドを実行して、次の Access Manager の .jar ファイルを JRE の lib/ext ディレクトリにインストールします。
InstallDir\idm\WEB-INF\lib ディレクトリから次の JAR ファイルを削除します。ただし、使用しているアプリケーションサーバーによっては、これらのファイルが Identity Manager 製品のインストール時に削除されていることもあります。
java.security ファイルに、次の行を追加します (ファイルにない場合)。
security.provider.2=com.ibm.crypto.provider.IBMJCEsecurity.provider.3= com.ibm.net.ssl.internal.ssl.Provider |
各行の security.provider のあとに続く数字は、Java がセキュリティープロバイダクラスを参照する順序を指定するものです。これらの値が一意になるようにしてください。ユーザーの環境によってシーケンス番号はさまざまである可能性があります。java.security ファイル内にすでに複数のセキュリティープロバイダがある場合は、上記で指定された順序で新しいセキュリティープロバイダを挿入し、既存のセキュリティープロバイダの番号を付け直します。既存のセキュリティープロバイダを削除したり、プロバイダを重複させたりしないでください。
アプリケーションサーバーに VM パラメータを追加します。
-Djava.protocol.handler.pkgs=com.ibm.net.ssl.internal.www.protocol |
必要に応じて、複数のパッケージを | (パイプ記号) で区切って追加できます。たとえば、次のようにします。
-Djava.protocol.handler.pkgs=sun.net.www.protocol| \ com.ibm.net.ssl. internal.www.protocol |
IBM Tivoli Access Manager Authorization Server が設定済みで稼動していることを確認します。
SvrSslCfg コマンドを実行します。
たとえば、次のようにします。
java com.tivoli.pd.jcfg.SvrSslCfg -action config \ -admin_id sec_master -admin_pwd secpw \ -appsvr_id PDPermissionjapp -host amazn.myco.com \ -mod local -port 999 -policysvr ampolicy.myco.com:7135:1 \ -authzsvr amazn.myco.com:7136:1 -cfg_file c:/am/configfile \ -key_file c:/am/keystore -cfg_action create |
am ディレクトリがあらかじめ存在している必要があります。正常に完了したら、次のファイルが c: \am ディレクトリに作成されます。
次の手順では、Tivoli Access Manager を Identity Manager の Web Access Control として使用する場合の、一般的な設定手順を説明します。この手順の一部では、Tivoli Access Manager ソフトウェアに関する詳細な知識が必要になります。
IBM Tivoli Access Manager Java Runtime Component を Identity Manager サーバーにインストールして設定します。
Identity Manager サーバーで JDK セキュリティー設定を設定します。
Identity Manager サーバーで Access Manager SSL Config ファイルを作成します。
Access Manager 内に Identity Manager の URL に対するジャンクションを作成します。詳細については、Tivoli Access Manager の製品マニュアルを参照してください。
次の pdadmin コマンドの例は、ジャンクションの作成方法を示しています。
pdadmin server task WebSealServer create -t Connection / -p Port -h Server -c ListOfCredentials -r -i JunctionName |
WebSeal Proxy Server 用に Identity Manager Base HREF プロパティーを設定します。
Access Manager リソースアダプタを設定します。
Access Manager ユーザーを Identity Manager に読み込みます。
Identity Manager の Access Manager に対するパススルー認証を設定します。
ユーザーが Access Manager を通して Identity Manager の URL にアクセスする際に、ユーザーのアイデンティティーが HTTP ヘッダーで Identity Manager に渡されます。Identity Manager は渡されたアイデンティティーを使用して、ユーザーが Access Manager と Identity Manager に存在することを確認します。ユーザーが Identity Manager 管理者インタフェースにアクセスしようとした場合は、Identity Manager のセキュリティー設定でユーザーに Identity Manager の管理特権があることが確認されます。エンドユーザーは Access Manager に対しても検証され、Identity Manager アカウントがあるかどうか確認されます。
IBM Tivoli Access Manager を WebSphere アプリケーションサーバーとともにインストールする場合は、Identity Manager のインストール中に jsse.jar、jcert.jar、および jnet.jar ファイルを WEB-INF\lib ディレクトリにコピーしないでください。これらのファイルをコピーすると競合が発生します。
Access Manager リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行してください。
pd.jar ファイルを、Access Manager のインストールメディアから $WSHOME/WEB-INF/lib ディレクトリにコピーします。
「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加します。
com.waveset.adapter.AccessManagerResourceAdapter |
ここでは、Access Manager リソースアダプタの使用に関連する依存関係と制限について示します。
このリソースで Identity Manager のシングルサインオンまたはパススルー認証機能を使用する場合は、Access Manager を Identity Manager プロキシサーバーとして使用してください。プロキシサーバーについては、『Identity Manager Deployment Guide』を参照してください。
Identity Manager の「ユーザーの作成」ページから、GSO Web リソースまたは GSO リソースグループのクレデンシャルを設定するには、次の手順を実行します。
「GSO Web クレデンシャルの追加」または「GSO リソースグループクレデンシャル」を選択します。
該当する GSO クレデンシャルのドロップダウンメニューから、ターゲットを選択します。
リソースのユーザー ID とパスワードをテキストフィールドに入力します。
該当するフィールドを編集することで、リソースクレデンシャルのユーザー ID またはパスワード、あるいはその両方を編集できます。セキュリティー上の理由により、クレデンシャルのパスワードを検出することはできません。
クレデンシャルを削除するには、削除対象のクレデンシャルをテーブルで選択して、対応する「削除」ボタンをクリックします。
ここでは、サポートされる接続と特権の要件について説明します。
Identity Manager は、SSL 経由の JNDI を使用して Access Manager と通信します。
管理ユーザーには、ユーザー、グループ、Web リソース、およびリソースグループを作成、更新、および削除するための特権が必要です。
次の表に、このアダプタのプロビジョニング機能の概要を示します。
機能 |
サポート状況 |
---|---|
アカウントの有効化/無効化 |
あり |
アカウントの名前の変更 |
なし |
パススルー認証 |
あり |
前アクションと後アクション |
なし |
データ読み込みメソッド |
リソースから直接インポート 調整 |
属性 |
データ型 |
説明 |
---|---|---|
firstname |
String |
必須。ユーザーの名。 |
lastname |
String |
必須。ユーザーの姓。 |
registryUID |
String |
必須。ユーザーレジストリに格納されているアカウント名。 |
description |
String |
ユーザーについて説明したテキスト。 |
groups |
String |
ユーザーがメンバーになっている Access Manager グループ。 |
noPwdPolicy |
Boolean |
パスワードポリシーを適用するかどうかを示します。 |
ssoUser |
Boolean |
ユーザーにシングルサインオン機能を持たせるかどうかを示します。 |
expirePassword |
Boolean |
パスワードが期限切れになるかどうかを示します。 |
importFromRgy |
Boolean |
ユーザーレジストリからグループデータをインポートするかどうかを示します。 |
deleteFromRgy |
Boolean |
ユーザーを削除するべきかどうかを示します。 |
syncGSOCreds |
Boolean |
GSO のパスワードを Access Manager のパスワードと同期させるかどうかを示します。 |
gsoWebCreds |
String |
ユーザーがアクセス権を持つ Web リソースクレデンシャルのリスト。 |
gsoGroupCreds |
String |
ユーザーがアクセス権を持つリソースグループクレデンシャルのリスト。 |
Identity Manager は、次のオブジェクトをサポートします。
リソースオブェクト |
サポートされる機能 |
管理される属性 |
---|---|---|
Group |
作成、検索、削除、更新 |
name、description、registry name、member |
アカウント名の構文は次のとおりです。
$accountId$
Identity Manager には、AccessManagerUserForm.xml サンプルフォームが用意されています。
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。
com.waveset.adapter.AccessManagerResourceAdapter