ここでは、Access Manager リソースの設定手順を説明します。 次のような手順があります。
IBM Tivoli Access Manager リソースを Identity Manager で使用するための一般的な設定手順
Access Manager を Identity Manager の Web Access Control として使用するための手順
IBM Tivoli Access Manager リソースを Identity Manager で使用するように設定する場合は、次の手順に従います。
IBM Tivoli Access Manager Java Runtime Component を Identity Manager サーバーにインストールします。
使用しているアプリケーションサーバーの JVM へのパスを含むように PATH 変数を設定します。
pdjrtecfg -action config コマンドを実行して、次の Access Manager の .jar ファイルを JRE の lib/ext ディレクトリにインストールします。
InstallDir\idm\WEB-INF\lib ディレクトリから次の JAR ファイルを削除します。ただし、使用しているアプリケーションサーバーによっては、これらのファイルが Identity Manager 製品のインストール時に削除されていることもあります。
java.security ファイルに、次の行を追加します (ファイルにない場合)。
security.provider.2=com.ibm.crypto.provider.IBMJCEsecurity.provider.3= com.ibm.net.ssl.internal.ssl.Provider |
各行の security.provider のあとに続く数字は、Java がセキュリティープロバイダクラスを参照する順序を指定するものです。これらの値が一意になるようにしてください。ユーザーの環境によってシーケンス番号はさまざまである可能性があります。java.security ファイル内にすでに複数のセキュリティープロバイダがある場合は、上記で指定された順序で新しいセキュリティープロバイダを挿入し、既存のセキュリティープロバイダの番号を付け直します。既存のセキュリティープロバイダを削除したり、プロバイダを重複させたりしないでください。
アプリケーションサーバーに VM パラメータを追加します。
-Djava.protocol.handler.pkgs=com.ibm.net.ssl.internal.www.protocol |
必要に応じて、複数のパッケージを | (パイプ記号) で区切って追加できます。たとえば、次のようにします。
-Djava.protocol.handler.pkgs=sun.net.www.protocol| \ com.ibm.net.ssl. internal.www.protocol |
IBM Tivoli Access Manager Authorization Server が設定済みで稼動していることを確認します。
SvrSslCfg コマンドを実行します。
たとえば、次のようにします。
java com.tivoli.pd.jcfg.SvrSslCfg -action config \ -admin_id sec_master -admin_pwd secpw \ -appsvr_id PDPermissionjapp -host amazn.myco.com \ -mod local -port 999 -policysvr ampolicy.myco.com:7135:1 \ -authzsvr amazn.myco.com:7136:1 -cfg_file c:/am/configfile \ -key_file c:/am/keystore -cfg_action create |
am ディレクトリがあらかじめ存在している必要があります。正常に完了したら、次のファイルが c: \am ディレクトリに作成されます。
次の手順では、Tivoli Access Manager を Identity Manager の Web Access Control として使用する場合の、一般的な設定手順を説明します。この手順の一部では、Tivoli Access Manager ソフトウェアに関する詳細な知識が必要になります。
IBM Tivoli Access Manager Java Runtime Component を Identity Manager サーバーにインストールして設定します。
Identity Manager サーバーで JDK セキュリティー設定を設定します。
Identity Manager サーバーで Access Manager SSL Config ファイルを作成します。
Access Manager 内に Identity Manager の URL に対するジャンクションを作成します。詳細については、Tivoli Access Manager の製品マニュアルを参照してください。
次の pdadmin コマンドの例は、ジャンクションの作成方法を示しています。
pdadmin server task WebSealServer create -t Connection / -p Port -h Server -c ListOfCredentials -r -i JunctionName |
WebSeal Proxy Server 用に Identity Manager Base HREF プロパティーを設定します。
Access Manager リソースアダプタを設定します。
Access Manager ユーザーを Identity Manager に読み込みます。
Identity Manager の Access Manager に対するパススルー認証を設定します。
ユーザーが Access Manager を通して Identity Manager の URL にアクセスする際に、ユーザーのアイデンティティーが HTTP ヘッダーで Identity Manager に渡されます。Identity Manager は渡されたアイデンティティーを使用して、ユーザーが Access Manager と Identity Manager に存在することを確認します。ユーザーが Identity Manager 管理者インタフェースにアクセスしようとした場合は、Identity Manager のセキュリティー設定でユーザーに Identity Manager の管理特権があることが確認されます。エンドユーザーは Access Manager に対しても検証され、Identity Manager アカウントがあるかどうか確認されます。