test

Sun Identity Manager 8.1 リソースリファレンス

第 2 章 Access Enforcer

SAP GRC (Governance, Risk, and Compliance) Access Enforcer リソースアダプタは、com.waveset.adapter.AccessEnforcerResourceAdapter クラスで定義されます。このクラスは、SAPResourceAdapter クラスを拡張します。

アダプタの詳細

リソースを設定する際の注意事項

アダプタが正常に動作するには、Access Enforcer の自動プロビジョニング設定を「true」に設定してください。

Identity Manager のインストールに関する注意事項

Access Enforcer リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行する必要があります。

ProcedureAccess Enforcer リソースアダプタをインストールする

  1. 次の URL から JCo (Java Connection) ツールキットをダウンロードします。

    http://service.sap.com/connectors

    SAP JCo ダウンロードページにアクセスするには、ログインとパスワードが必要です。このツールキットには、sapjco-ntintel-2.1.8.zip のような名前が付けられます。この名前は、選択したプラットフォームやバージョンによって異なります。

    注 –

    ダウンロードする JCo ツールキットが、アプリケーションサーバーが動作する Java のビットバージョンと一致していることを確認します。たとえば、JCo は Solaris x86 プラットフォーム上の 64 ビットバージョンでのみ使用できます。したがって、アプリケーションサーバーが Solaris x86 プラットフォーム上の 64 ビットバージョンで実行されている必要があります。

  2. ツールキットを解凍し、インストール手順に従います。必ずライブラリファイルを正しい場所に配置し、環境変数を指示どおりに設定してください。

  3. sapjco.jar ファイルを InstallDir \WEB-INF\lib ディレクトリにコピーします。

  4. 次の URL から Apache Axis SOAP ツールキットをダウンロードします。

    http://www.apache.org/dyn/closer.cgi/ws/axis/1_4/

  5. ツールキットを解凍し、インストール手順に従います。

  6. 次のファイルを InstallDir \WEB-INF\lib ディレクトリにコピーします。

    • axis.jar

      • commons-discovery-0.2.jar

      • commons-logging-1.0.4.jar

      • jaxrpc.jar

      • log4j-1.2.8.jar

      • saaj.jar

      • wsdl4j-1.5.1.jar

    commons-discoverycommons-logginglog4j、および wsdl4j の JAR ファイルは、これ以外のバージョンも使用できます。

  7. Access Enforcer リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加する必要があります。

    com.waveset.adapter.AccessEnforcerResourceAdapter

  8. $WSHOME/sample/accessenforcer.xml をインポートして、Access Enforcer のサポートを有効にします。

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

Identity Manager は、getUser メソッド、listObjects メソッド、およびアカウント反復子について、SAP Java Connector (JCo) 経由の BAPI を使用して SAP システムと通信します。

必要な管理特権

SAP に接続するユーザー名を、SAP ユーザーにアクセスできるロールに割り当ててください。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。

機能  

サポート状況  

アカウントの有効化/無効化 

あり 

アカウントの名前の変更 

なし 

パススルー認証 

なし 

前アクションと後アクション 

なし 

データ読み込みメソッド 

  • リソースからのインポート (SAPResourceAdapter クラスを使用)

  • 調整 (SAPResourceAdapter クラスを使用)

アカウント属性

次の表に、Access Enforcer に固有のアカウント属性に関する情報を示します。一般的な SAP 属性については、SAP アダプタのマニュアルを参照してください。特に明記されていないかぎり、すべての属性は String 型であり、書き込み専用です。次に示すすべての属性の値は、大文字に変換されます。

アイデンティティーシステムユーザー属性

リソース属性名

説明

aeUserId 

UserId 

必須。Access Enforcer アカウントのユーザー ID 

aeEmailAddress 

EmailAddress 

必須。ユーザーに割り当てられた電子メール。 

aeFirstName 

FirstName 

必須。ユーザーの名。 

aeLastName 

LastName 

必須。ユーザーの姓。 

aeRequestorId 

RequestorId 

必須。アカウントをリクエストしているユーザーのユーザー ID。 

aeRequestorLastName 

RequestorLastName 

必須。要求者の姓。 

aeRequestorFirstName 

RequestorFirstName 

必須。要求者の名。 

aeRequestorEmailAddr 

RequestorEmailAddr 

必須。要求者の電子メールアドレス。 

aePriority 

Priority 

必須。リクエストの優先順位。 

aeApplication 

Application 

必須。アクセス権を付与するために追加するアプリケーション 

aeLocation 

場所 

ユーザーの場所。 

aeCompany 

Company 

ユーザーの会社。 

aeDepartment 

Department 

ユーザーの部署。 

aeEmployeeType 

EmployeeType 

ユーザーの在籍区分ステータス。 

aeRequestReason 

RequestReason 

アクセスがリクエストされる理由。 

aeRoles 

ロール 

Complex。ユーザーに割り当てられたロール。この属性には、ValidFrom、ValidTo、および Rolename の値が格納されます。 

aeValidFrom 

ValidFrom 

リクエストの開始時刻。 

aeValidTo 

ValidTo 

リクエストの終了時刻。 

aeTelephone 

Telephone 

ユーザーの電話番号。 

aeManagerId 

ManagerId 

必須。ユーザーのマネージャーのアカウント ID。この値は、Access Enforcer で有効な既存の値である必要があります。 

aeManagerFirstName 

ManagerFirstName 

必須。マネージャーの名。この値は、Access Enforcer で有効な既存の値である必要があります。 

aeManagerLastName 

ManagerLastName 

必須。マネージャーの姓。この値は、Access Enforcer で有効な既存の値である必要があります。 

aeManagerEmailAddr 

ManagerEmailAddr 

必須。マネージャーの電子メールアドレス。この値は、Access Enforcer で有効な既存の値である必要があります。 

注 –

必須であると指定されている属性は、Submit Request サービス呼び出しで送信される必要があります。ただし、その他のリソースが割り当てられているユーザーを更新するときに競合が発生する可能性があるため、それらの属性はスキーママップで必須であるとマークされていません。

ほかの属性がスキーママップに追加されることがありますが、Access Enforcer ではカスタム属性であると見なされます。カスタム属性を識別するには、任意のリソースユーザー属性に AE を付加する必要があります。たとえば、AEMyAttribute とします。カスタム属性の値は、大文字に変換されません。

リソースオブジェクトの管理

適用不可

アイデンティティーテンプレート

$accountId$

サンプルフォーム

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。

インストールされている SAP Java Connector (JCO) のバージョンを判定し、それが正しくインストールされているかどうかを判定するには、次のコマンドを実行します。

java -jar sapjco.jar

このコマンドは、JCO のバージョンとともに、SAP システムと通信する JNI プラットフォーム依存ライブラリおよび RFC ライブラリを返します。

プラットフォーム依存ライブラリが見つからない場合は、SAP のマニュアルを参照して、SAP Java Connector の正しいインストール方法を調べてください。