リソースを設定する際の注意事項

ここでは、Access Manager リソースの設定手順を説明します。 次のような手順があります。

• IBM Tivoli Access Manager リソースを Identity Manager で使用するための一般的な設定手順

• Access Manager を Identity Manager の Web Access Control として使用するための手順

一般的な設定

IBM Tivoli Access Manager リソースを Identity Manager で使用するように設定する場合は、次の手順に従います。

Tivoli Access Manager を設定する

1. IBM Tivoli Access Manager Java Runtime Component を Identity Manager サーバーにインストールします。

2. 使用しているアプリケーションサーバーの JVM へのパスを含むように PATH 変数を設定します。

3. pdjrtecfg -action config コマンドを実行して、次の Access Manager の .jar ファイルを JRE の lib/ext ディレクトリにインストールします。

   • ibmjceprovider.jar

     • ibmjsse.jar

     • ibmpkcs.jar

     • jaas.jar

     • local_policy.jar

     • PD.jar

     • US_export_policy.jar

     • ibmjcefw.jar

       詳細については、『IBM Tivoli Access Manager Base インストール・ガイド』を参照してください。

4. InstallDir\idm\WEB-INF\lib ディレクトリから次の JAR ファイルを削除します。ただし、使用しているアプリケーションサーバーによっては、これらのファイルが Identity Manager 製品のインストール時に削除されていることもあります。

   • jsse.jar

     • jcert.jar

     • jnet.jar

     • cryptix-jce-api.jar

     • cryptix-jce-provider.jar

5. java.security ファイルに、次の行を追加します (ファイルにない場合)。

   security.provider.2=com.ibm.crypto.provider.IBMJCEsecurity.provider.3= com.ibm.net.ssl.internal.ssl.Provider

   各行の security.provider のあとに続く数字は、Java がセキュリティープロバイダクラスを参照する順序を指定するものです。これらの値が一意になるようにしてください。ユーザーの環境によってシーケンス番号はさまざまである可能性があります。java.security ファイル内にすでに複数のセキュリティープロバイダがある場合は、上記で指定された順序で新しいセキュリティープロバイダを挿入し、既存のセキュリティープロバイダの番号を付け直します。既存のセキュリティープロバイダを削除したり、プロバイダを重複させたりしないでください。

6. アプリケーションサーバーに VM パラメータを追加します。

   -Djava.protocol.handler.pkgs=com.ibm.net.ssl.internal.www.protocol

   必要に応じて、複数のパッケージを | (パイプ記号) で区切って追加できます。たとえば、次のようにします。

   -Djava.protocol.handler.pkgs=sun.net.www.protocol| \ com.ibm.net.ssl. internal.www.protocol

7. IBM Tivoli Access Manager Authorization Server が設定済みで稼動していることを確認します。

8. SvrSslCfg コマンドを実行します。

   たとえば、次のようにします。

   java com.tivoli.pd.jcfg.SvrSslCfg -action config \ -admin_id sec_master -admin_pwd secpw \ -appsvr_id PDPermissionjapp -host amazn.myco.com \ -mod local -port 999 -policysvr ampolicy.myco.com:7135:1 \ -authzsvr amazn.myco.com:7136:1 -cfg_file c:/am/configfile \ -key_file c:/am/keystore -cfg_action create

   am ディレクトリがあらかじめ存在している必要があります。正常に完了したら、次のファイルが c: \am ディレクトリに作成されます。

   • configfile

     • keystore

       詳細については、『IBM Tivoli Access Manager Authorization Java Classes デベロッパーズ・リファレンス』および『IBM Tivoli Access Manager Administration Java Classes デベロッパーズ・リファレンス』を参照してください。

Web Access Control の設定

次の手順では、Tivoli Access Manager を Identity Manager の Web Access Control として使用する場合の、一般的な設定手順を説明します。この手順の一部では、Tivoli Access Manager ソフトウェアに関する詳細な知識が必要になります。

Tivoli Access Manager を Web Access Control として設定する一般的な手順

1. IBM Tivoli Access Manager Java Runtime Component を Identity Manager サーバーにインストールして設定します。

2. Identity Manager サーバーで JDK セキュリティー設定を設定します。

3. Identity Manager サーバーで Access Manager SSL Config ファイルを作成します。

4. Access Manager 内に Identity Manager の URL に対するジャンクションを作成します。詳細については、Tivoli Access Manager の製品マニュアルを参照してください。

   次の pdadmin コマンドの例は、ジャンクションの作成方法を示しています。

   pdadmin server task WebSealServer create -t Connection / -p Port -h Server -c ListOfCredentials -r -i JunctionName

5. WebSeal Proxy Server 用に Identity Manager Base HREF プロパティーを設定します。

6. Access Manager リソースアダプタを設定します。

7. Access Manager ユーザーを Identity Manager に読み込みます。

8. Identity Manager の Access Manager に対するパススルー認証を設定します。

   ユーザーが Access Manager を通して Identity Manager の URL にアクセスする際に、ユーザーのアイデンティティーが HTTP ヘッダーで Identity Manager に渡されます。Identity Manager は渡されたアイデンティティーを使用して、ユーザーが Access Manager と Identity Manager に存在することを確認します。ユーザーが Identity Manager 管理者インタフェースにアクセスしようとした場合は、Identity Manager のセキュリティー設定でユーザーに Identity Manager の管理特権があることが確認されます。エンドユーザーは Access Manager に対しても検証され、Identity Manager アカウントがあるかどうか確認されます。