Identity Manager には、RSA SecurID ACE/Server をサポートするためのリソースアダプタが用意されています。
次の表に、これらのアダプタの属性を要約します。
GUI 名 |
クラス名 |
---|---|
SecurID ACE/Server | |
SecurID ACE/Server UNIX |
SecurID が Windows 上にインストールされている場合、このアダプタは、インストールされているバージョンの RSA ACE/Server に付属する apidemon と接続します。apidemon を、ACE/Server のインストールディレクトリ (デフォルトでは、c:\ace\utils\toolkit\apidemon.exe) から c:\winnt\system32 または c:\windows\system32 にコピーします。RSA ACE 6.1 の apidemon.exe は、ACEInstallDir\prog ディレクトリにあります。
UNIX アダプタは、RSA ACE/Server Administration Toolkit TCL API を使用します。API は、ACEInstallDir /utils/tcl/bin ディレクトリに配置する必要があります。ACEInstallDir の値は、リソースパラメータとして指定されます。ツールキットは、RSA 発行の『Customizing Your RSA ACE/Server Administration』に記載されているとおりに設定してください。
さらに、Identity Manager で RSA ユーザーやほかの ACE データベースオブジェクトを管理できるように、次の条件に適合していることを必ず確認してください。
「管理者ログイン」リソースパラメータ (Windows アダプタの場合) または「ログインユーザー」リソースパラメータ (UNIX アダプタの場合) で指定された SecurID ユーザー名が、ACE/Server に存在している。存在しない場合は、同じデフォルトログイン名で ACE ユーザーを作成します。
この SecurID ユーザーは、トークンコードではなくパスワードを使用して ACE/Server にログインする必要がある。RSA ACE/Server ユーザーのパスワードは、アダプタで指定されたものと同じ値に設定します。
現在の RSA ACE/Server システムポリシーでは必要な文字 (たとえば英数字による PIN) を使用したパスワードの設定が許可されない場合や、ユーザーパスワードの有効期限のデフォルト設定を変更する必要がある場合は、RSA ACE/Server Database コンソールでシステムパラメータを編集します。
RSA ACE Server の管理者コンソールで変更したパスワードは、このユーザーが最初にログインしたときに期限切れとなる 1 回限りのパスワードです。RSA ACE Agent の Test Authentication 機能を使用してログインし、ユーザーのパスワードをすぐに期限切れにならないパスワードに変更します。パスワードを同じ値に変更してもかまいません。そうすれば、リソースアダプタで指定されたパスワードとも同じままになります。
Windows では、Identity Manager のゲートウェイが稼働するホスト用に RSA ACE Agent Host を追加してください。これは、RSA ACE Server が稼働しているシステムの Database Administration - Host Mode コンソールインタフェースで設定できます。DNS のホスト名とネットワークアドレスを設定し、アクセスできるユーザーを指定してください。さらに、エージェントタイプを「Net OS Agent」に設定してください。
SecurId グループ名またはサイト名にコンマが含まれていると、Identity Manager は名前を正しく解析できない場合があります。SecurId グループ名およびサイト名にはコンマを使用しないでください。
SecurID が Windows 上にインストールされている場合、Identity Manager のゲートウェイは、RSA ACE/Server がインストールされているシステムと同じシステム上で稼働させる必要があります。
ここでは、SecurID ACE/Server リソースアダプタの使用に関連する情報を提供します。 次のトピックで構成されています。
UNIX では RSA C API がサポートされないため、SecurID ACE/Server UNIX アダプタでパススルー認証を有効にするプロセスは単純ではありません。このアダプタでパススルー認証を実行するには、次のようなコンポーネント間の対話が必要になります。
Identity Manager <--> SecurID Unix リソースアダプタ <--> SecurID Windows アダプタ <--> Sun Identity Manager Gateway <--> RSA ACE Agent for Windows <--> RSA UNIX Server
SecurID ACE/Server UNIX アダプタでパススルー認証を有効にするときは、設定および実装で次の点に注意してください。
Sun Identity Manager Gateway と RSA ACE Agent Host は、同じ Windows ホスト上にある必要があります。詳細については、「リソースを設定する際の注意事項」を参照してください。
UNIX RSA サーバー自体がクライアントとして表示される場合、ユーザーの認証に使用するアカウントは UNIX リソースで定義されている必要があります。詳細については、「リソースを設定する際の注意事項」を参照してください。
SecurID ACE/Server UNIX アダプタで、「ACE サーバー認証リソース」リソースパラメータの値を指定する必要があります。この値は、有効な SecurID ACE/Server (Windows 用) アダプタで指定されたリソース名と一致している必要があります。
SecurID の認証ポリシーでは、UNIX SecurID サーバーが RSA ACE Agent for Windows を認識する必要があります。sdconf.rec ファイルを Windows ホスト上に配置し、正しく設定する必要があります。
ユーザーがパススルー認証を使用するには、RSA ACE Agent for Windows をアクティブにしてください。
Identity Manager を、SecurID ACE/Server または SecurID ACE/Server UNIX のログインモジュールを使用するように設定する必要があります。
認証対象のユーザーは、Identity Manager ロールと組織で設定されている必要があります。
どちらの SecurID リソースアダプタでも、デフォルトのスキーママップは、管理者が 1 つのトークンを指定できるように設定されます。InstallDir\samples\forms ディレクトリにある SecurID User Form を使用する場合は、次の手順を実行して最大 3 つのトークンを有効にします。
次の SecurID User Form のセクションを編集します。
<FieldLoop for=’tokenNum’> <expression> <ref>oneTokenList</ref> </expression> |
oneTokenList を threeTokenList に変更します。
User Form を Identity Manager に読み込みます。
SecurID ACE/Server スキーママップの左側で、次の Identity Manager ユーザー属性の名前を変更します。
元の Identity Manager ユーザー属性 |
変更後の Identity Manager ユーザー属性 |
---|---|
tokenClearPin |
token1ClearPin |
tokenDisabled |
token1Disabled |
tokenLost |
token1Lost |
tokenLostPassword |
token1LostPassword |
tokenLostExpireDate |
token1LostExpireDate |
tokenLostExpireHour |
token1LostExpireHour |
tokenLostLifeTime |
token1LostLifeTime |
tokenPinToNTC |
token1PinToNTC |
tokenPinToNTCSequence |
token1PinToNTCSequence |
expirePassword |
token1NewPinMode |
password |
token1Pin |
tokenResync |
token1Resync |
tokenFirstSequence |
token1FirstSequence |
tokenNextSequence |
token1NextSequence |
tokenSerialNumber |
token1SerialNumber |
tokenUnassign |
token1Unassign |
2 番目のトークンを格納するために、次のフィールドをスキーママップに追加します。
Identity Manager ユーザー属性 |
リソースユーザー属性 |
---|---|
token2ClearPin |
token2ClearPin |
token2Disabled |
token2Disabled |
token2Lost |
token2Lost |
token2LostPassword |
token2LostPassword |
token2LostExpireDate |
token2LostExpireDate |
token2LostExpireHour |
token2LostExpireHour |
token2LostLifeTime |
token2LostLifeTime |
token2NewPinMode |
token2NewPinMode |
token2PinToNTC |
token2PinToNTC |
token2PinToNTCSequence |
token2PinToNTCSequence |
password |
token2Pin |
token2Resync |
token2Resync |
token2FirstSequence |
token2FirstSequence |
token2NextSequence |
token2NextSequence |
token2SerialNumber |
token2SerialNumber |
token2Unassign |
token2Unassign |
2 番目のトークンを格納するために、次のフィールドをスキーママップに追加します。
Identity Manager ユーザー属性 |
リソースユーザー属性 |
---|---|
token3ClearPin |
token3ClearPin |
token3Disabled |
token3Disabled |
token3Lost |
token3Lost |
token3LostPassword |
token3LostPassword |
token3LostExpireDate |
token3LostExpireDate |
token3LostExpireHour |
token3LostExpireHour |
token3LostLifeTime |
token3LostLifeTime |
token3NewPinMode |
token3NewPinMode |
token3PinToNTC |
token3PinToNTC |
token3PinToNTCSequence |
token3PinToNTCSequence |
password |
token3Pin |
token3Resync |
token3Resync |
token3FirstSequence |
token3FirstSequence |
token3NextSequence |
token3NextSequence |
token3SerialNumber |
token3SerialNumber |
token3Unassign |
token3Unassign |
SecurId アダプタは、トークン型、ステータス、有効期限など、指定された特性セットに適合するトークンのリストを返すことができます。たとえば、ユーザーフォームの次の部分は、割り当てられていない 128 ビットトークンすべてのリストを返します。
<defvar name=’unassignedTokens’> <invoke name=’listResourceObjects’ class=’com.waveset.ui.FormUtil’> <ref>:display.session</ref> <s>ListTokensByField</s> <ref>resource</ref> <map> <s>field</s> <s>7</s> <s>compareType</s> <s>2</s> <s>value</s> <s>128</s> <s>templateParameters</s> <ref>accounts[$(resource)].templateParameters</ref> </map> <s>false</s> </invoke> </defvar>
field、compareType、および value の各文字列に代入できる値は、RSA Sd_ListTokensByField 関数のマニュアルに定義されています。詳細については、RSA 発行の『Customizing Your RSA ACE/Server Administration』を参照してください。
Identity Manager で英字を含むパスワードを使用していて、SecurID では PIN に英字が許可されない場合は、次のメッセージが表示されます。
SecurId ACE/Server: (realUpdateObject) Sd_SetPin Error Alpha characters not allowed
このエラーを解決するには、リソースの Identity Manager パスワードポリシーが英字を含めないように変更するか、またはリソースの PIN 制限が英字を許可するように変更します。
SecurID ACE/Server for Windows アダプタでは、RA_HANGTIMEOUT リソース属性を使用してタイムアウト値を秒単位で指定できます。この属性は、ゲートウェイに対する要求がタイムアウトしてハングしているとみなされるまでの時間を制御します。
次のように、この属性を Resource オブジェクトに手動で追加する必要があります。
<ResourceAttribute name=’Hang Timeout’ displayName=’com.waveset.adapter.RAMessages: RESATTR_HANGTIMEOUT’ type=’int’ description=’com.waveset.adapter.RAMessages: RESATTR_HANGTIMEOUT_HELP’ value=’NewValue’> </ResourceAttribute>
この属性のデフォルト値は 0 です。これは Identity Manager がハングした接続を確認しないことを表します。
ここでは、サポートされる接続と特権の要件について説明します。
Identity Manager は、次のいずれかを使用して SecurID ACE/Server アダプタと通信することができます。
Sun Identity Manager Gateway (Windows のみ)
Telnet (UNIX のみ)
SSH (UNIX のみ)
SSHPubKey (UNIX のみ)
SSHPubKey 接続の場合、「リソースパラメータ」ページで非公開鍵を指定する必要があります。この鍵には --- BEGIN PRIVATE KEY --- および --- END PRIVATE KEY -- のような注釈行を含める必要があります。公開鍵は、サーバー上の /.ssh/authorized_keys ファイルに配置する必要があります。
「ログイン ユーザー」リソースパラメータ (UNIX の場合) または「管理者ログイン」リソースパラメータ (Windows の場合) で指定されたユーザーは、ユーザー関連タスクとトークン関連タスクを実行できる管理者ロールに割り当てられている必要があります。
テスト接続を使用して次のテストができます。
各コマンドが管理ユーザーのパスに存在するかどうか
管理ユーザーが /tmp に書き込めるかどうか
管理ユーザーに、特定のコマンドを実行する権限があるかどうか
テスト接続では、通常のプロビジョニングの実行とは異なるコマンドオプションを使用できます。
Resource SecurID Administrators レポートには、SecurID リソースで使用可能な管理者が一覧表示されます。このレポートには、管理者の名前、管理レベル、管理タスクリスト、管理サイト、管理グループなど、各管理者のプロパティーが示されます。このレポートは、.csv と .pdf のどちらの形式でもダウンロードできます。
次の表に、このアダプタのプロビジョニング機能の概要を示します。
機能 |
サポート状況 |
---|---|
アカウントの有効化/無効化 |
あり |
アカウントの名前の変更 |
あり |
パススルー認証 |
あり |
前アクションと後アクション |
なし |
データ読み込みメソッド |
|
次の表に、SecurID ACE/Server アカウント属性に関する情報を示します。特に記載されていないかぎり、属性のデータ型はすべて String です。
SecurID ACE/Server アダプタは、複数の値を含むカスタムアカウント属性 (SecurId の User Extension Data) をサポートしません。
Identity Manager ユーザー属性 |
リソースユーザー属性 |
説明 |
---|---|---|
adminGroup |
adminGroup |
管理者がメンバーになっているグループ。これは読み取り専用属性です。 |
adminLevel |
adminLevel |
ユーザーの管理レベル。値には、レルム、サイト、またはグループを指定できます。これは読み取り専用属性です。 |
adminSite |
adminSite |
管理者がアクセスできるサイト。これは読み取り専用属性です。 |
adminTaskList |
adminTaskList |
管理者が実行できるタスクセットの名前。これは読み取り専用属性です。 |
adminTaskListTasks |
adminTaskListTasks |
管理者が実行できる個々のタスク。これは読み取り専用属性です。 |
allowedToCreatePin |
allowedToCreatePin |
ユーザーが PIN の指定を許可されていることを示す、読み取り専用の Boolean 型属性。PIN が指定されていない場合は、システムによってユーザーの PIN が生成されます。 |
clients |
clients |
ユーザーがメンバーになっているクライアントを指定します。 |
accountId |
defaultLogin |
ACE/Server のユーザーのアカウント ID。最大 48 文字。 |
defaultShell |
defaultShell |
ユーザーのデフォルトのシェル。最大 256 文字。 |
expirePassword |
WS_PasswordExpired |
パスワードが期限切れになるかどうかを示します。パスワードが期限切れになると、SecurID アカウントは New PIN モードに配置されます。これは書き込み専用属性です。 |
firstname |
firstname |
必須。ユーザーの名。最大 24 文字。 |
groups |
groups |
ユーザーがメンバーになっているグループを指定します。 |
lastname |
lastname |
必須。ユーザーの姓。最大 24 文字。 |
remoteAlias |
remoteAlias |
リモートレルムでのユーザーのログイン名。 |
remoteRealm |
remoteRealm |
リモートユーザーの場合にユーザーが所属するレルム。 |
requiredToCreatePin |
requiredToCreatePin |
ユーザーが PIN を指定する必要があることを示す、読み取り専用の Boolean 型属性。 |
tempEndDate |
tempEndDate |
一時モードが終了する日付。 |
tempEndHour |
tempEndHour |
一時モードが終了する時間。 |
tempStartDate |
tempStartDate |
一時モードが開始する日付。 |
tempStartHour |
tempStartHour |
一時モードが開始する時間。 |
tempUser |
tempUser |
一時モードに入るユーザーまたは一時モードから抜けるユーザーを設定します。 |
tokenClearPin |
token1ClearPin |
ユーザー更新で設定されている場合、ユーザーの PIN がクリアされます。 |
tokenDisabled |
token1Disabled |
ユーザー更新で設定されている場合、ユーザーの PIN が無効になります。 |
tokenLost |
token1Lost |
ユーザー更新で true に設定されている場合、アカウントは RSA 内で緊急アクセスモードになります。 |
tokenLostPassword |
token1LostPassword |
値がブランクではない場合、LOST トークンは、指定された値を一時的なパスコードとして使用します。値がブランクの場合は、RSA が一時的なパスコードを割り当てるという従来の動作が実行されます。これは書き込み専用属性です。 |
tokenLostExpireDate |
token1LostExpireDate |
LOST トークンの一時パスワードが期限切れになる日付を指定します。この属性は、tokenLostPassword がブランクではなく、tokenLostLifeTime がブランクか 0 の場合にのみ意味を持ちます。これは書き込み専用属性です。 この属性は、サンプルユーザーフォームには実装されていません。 |
tokenLostExpireHour |
token1LostExpireHour |
LOST トークンの一時パスワードが期限切れになる時間を指定します。たとえば、午後 4 時を表すには 16 と指定します。 この属性は、tokenLostPassword がブランクではなく、tokenLostLifeTime がブランクか 0 の場合にのみ意味を持ちます。これは書き込み専用属性です。 この属性は、サンプルユーザーフォームには実装されていません。 |
tokenLostLifeTime |
token1LostLifeTime |
一時的なパスコードを受け付ける期間を時間単位で指定します。このフィールドは、takenLostPassword の値に関係なく使用できます。これは書き込み専用属性です。 |
tokenFirstSequence |
token1FirstSequence |
トークンを再同期する必要がある場合に、元のトークンを指定します。これは書き込み専用属性です。 |
tokenNewPinMode |
token1NewPinMode |
ユーザーアカウントが New PIN モードに配置されている場合に、ユーザーの新しい PIN を指定します。 |
tokenNextSequence |
token1NextSequence |
トークンを再同期する必要がある場合に、新しいトークンを指定します。これは書き込み専用属性です。 |
tokenPin |
token1Pin |
暗号化された値。ユーザーの PIN。 |
tokenPinToNTC |
token1PinToNTC |
true に設定されている場合、指定された割り当て済みトークンの PIN を次のトークンコードに設定するプロセスを開始します。 |
tokenPinToNTCSequence |
token1PinToNTCSequence |
ユーザーの現在のトークンコードを指定します。 |
tokenResync |
token1Resync |
トークンを再同期するかどうかを示します。この属性は、tokenFirstSequence 属性と tokenNextSequence 属性を有効にします。これは書き込み専用属性です。 |
tokenSerialNumber |
token1SerialNumber |
トークンシリアル番号。12 文字にしてください。この要件を満たすように、必要な数の 0 を先頭に挿入します。 |
tokenUnassign |
token1Unassign |
ユーザーから削除するトークンを指定します。これは書き込み専用属性です。 |
userType |
userType |
Remote と Local のいずれかにする必要があります。 |
Identity Manager は、デフォルトで次の SecurID ACE/Server オブジェクトをサポートします。
表 39–1 サポートされる SecurID ACE/Server オブジェクト
リソースオブェクト |
サポートされる機能 |
管理される属性 |
---|---|---|
group |
リスト、ビュー |
グループ名、このグループに割り当てられたユーザーのリスト、このグループでアクティブ化されているクライアントのリスト |
clients |
リスト、ビュー |
クライアント名、このクライアントに割り当てられたユーザーのリスト、このクライアントでアクティブ化されているグループのリスト |
SecurID User Form
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。
com.waveset.adapter.SecurIdResourceAdapter
com.waveset.adapter.SecurIdUnixResourceAdapter
com.waveset.adapter.SVIDResourceAdapter
Windows システムのゲートウェイへの接続に伴う問題を診断するため、次のメソッドでもトレースを有効にすることができます。
com.waveset.adapter.AgentResourceAdapter#sendRequest
com.waveset.adapter.AgentResourceAdapter#getResponse