|
| |
| Sun Java System Identity Server 2004Q2 管理ガイド | |
第 5 章
サービス設定この章では、Sun JavaTM System Identity Server 2004Q2 のサービス管理機能について説明します。サービス設定インタフェースでは、Identity Server サービスおよびその値 (デフォルトとカスタムの両方) を表示、管理、および設定する方法を備えるほかに、Identity Server コンソールの表示設定を行う方法を備えています。この章は、次の節で構成されています。
サービスの定義サービスとは、共通名のもとに定義された属性のグループです。属性では、サービスが組織に提供するパラメータを定義します。たとえば、給与情報サービスの開発では、開発者は従業員名、時給、税の控除などを定義する属性を含めるかどうかを決める場合があります。このサービスが組織に登録されると、その組織ではこれらの属性をエントリの設定で使用できます。
Identity Server では XML (Extensible Markup Language) を使用してサービスを定義します。サービス管理サービスのドキュメントタイプ定義 (sms.dtd) では、サービスの XML ファイルの構造を定義します。このファイルは、次のディレクトリにあります。
IdentityServer_base/SUNWam/dtd/ (Solaris)
IdentityServer_base/identity/dtd (Linux)
注
本章ではこれ以降、ディレクトリ情報は Solaris についてのみ記します。Linux のディレクトリ構造は異なっていることに注意してください。詳細は、「本書について」を参照してください。
Identity Server サービスの定義の詳細は、『Identity Server Developer's Guide』を参照してください。
Identity Server のサービスIdentity Server に付属するデフォルトのサービスは、次のディレクトリにある XML ファイルで定義されています。
一部のサービスでは、サービス設定インタフェースで設定するときに、Identity Server アプリケーション用に値を定義します。ほかのサービスは、Identity Server 内で設定された特定の組織に登録され、その組織用にデフォルト値を定義するために使用されます。
管理サービス
管理サービスでは、アプリケーションレベル (Identity Server アプリケーションの「プリファレンス」または「オプション」メニューに似たもの) と設定済みの組織レベル (設定済み組織に固有の「プリファレンス」または「オプション」メニュー) の両方で、コンソールを設定できます。
認証サービス
基本モジュールを含めて、多数の認証モジュールがあります。管理者は定義済み組織のそれぞれで、ユーザーの認証を検証するための方法を選択できます。
匿名
認証サービスにより、ユーザー名とパスワードを指定せずにログインできます。匿名接続ではサーバーへのアクセスに制限があり、管理者がカスタマイズできます。
証明書に基づく認証モジュール
認証サービスにより、個人用デジタル証明書 (PDC) を使用してログインできます。
コア
この認証サービスは、Identity Server 認証サービスの一般設定の基本となります。どのサービスを使用する場合も、登録し、設定する必要があります。管理者はデフォルト値を定義できます。
HTTP 基本
この認証サービスは、HTTP プロトコルのビルトイン認証サポートである基本認証を使用します。このサービスを使うためには、LDAP 認証サービスを登録する必要があります。C API からは使用できません。
LDAP
この認証サービスは、LDAP バインドを使用して認証できるようにします。LDAP バインドとは、パスワードを特定の LDAP エントリに関連付ける操作です。
メンバーシップ (自己登録)
この認証サービスにより、ログインおよびパスワードを使用した認証を受けるために、新しいユーザーは自己登録できます。自己登録のためには、認証は必要ありません。
NT
この認証サービスでは、Windows NTTM/2000TM サーバーを使用してユーザーを認証できます。NT 認証モジュールを実際に使用するには、Samba クライアント (smbclient) 2.2.2 をダウンロードしてインストールする必要があります。Linux に関しては、オペレーティングシステムと一緒に出荷される Samba クライアントを使えます。
RADIUS
この認証サービスでは、外部 RADIUS (Remote Authentication Dial-In User Service) サーバーを使用して、ユーザーを認証できます。
Sun Java System Application Server で RADUIS 認証サービスを正常に機能させるには、Application Server の service.policy ファイルを設定する必要があります。手順については、「認証オプション」を参照してください。
SafeWord
この認証サービスでは、Secure Computing の SafeWordTM または SafeWord PremierAccessTM 認証 サーバーを使用して、ユーザーを認証できます。
Sun Java System Application Server で SafeWord 認証サービスを正常に機能させるには、Application Server の service.policy ファイルを設定する必要があります。手順については、「認証オプション」を参照してください。
SecurID
この認証サービスにより、RSA ACE/Server® 認証 ソフトウェアと SecurID® 認証を使用して、ユーザーを認証できます。このサービスは、Solaris x86 ではサポートされていません。
UNIX
この認証サービスでは、UNIX サーバーを使用して、ユーザーを UNIX ID とパスワードで認証できます。
Windows デスクトップ SSO
このサービスを使用すると、Kerberos Distribution Center (KDC) で認証されたユーザーは、ログインの基準 (シングルサインオン) を再度提出しなくても Identity Server に認証されます。
認証設定サービス
認証設定サービスでは、ロール、ユーザー、およびサービスに対する認証を設定したり、認証モジュールの優先順位を決めるためのルールを決めるために、組織を設定することができます。このサービスを通して、サービスに基づく認証を設定することもできます。
クライアントディテクションサービス
クライアントディテクションサービスを使用すると、アクセス中のブラウザのクライアントタイプを Identity Server で検出でき、それに基づいて管理者はデバイスの追加や設定を行うことができます。
グローバル化設定のサービス
グローバル化設定に含まれているプロパティを使用すると、さまざまな文字セットに対応するように Identity Server を設定できます。
ディスカバリサービス
このサービスは Identity Service の連携管理モジュールが使います。このサービスの詳細は、『Identity Server Federation Management Guide』を参照してください。
Liberty 個人プロファイルサービス
このサービスは Identity Service の連携管理モジュールが使います。このサービスの詳細は、『Identity Server Federation Management Guide』を参照してください。
ログサービス
ログサービスでは、管理者は Identity Server アプリケーションのログ機能を設定します。例には、ログファイルのサイズやログファイルの場所が含まれます。
ネーミングサービス
ネーミングサービスは、URL、プラグイン、および設定を、取得したり設定するために使用します。また、セッション、認証、ログなど、さまざまなその他の Identity Server サービスの通知を要求するために使用します。
パスワードリセットサービス
パスワードリセットサービスでは、Identity Server によって保護されている特定のサービスやアプリケーションにアクセスするためのパスワードをユーザー自身がリセットしたり、忘れた場合に取得できます。パスワードリセットサービス属性は、最上位レベル管理者によって定義され、ユーザー検証の資格情報を「秘密の質問」形式で制御し、新規または既存のパスワード通知のメカニズムを制御します。また、ユーザー検証が失敗した場合のロックアウト間隔も設定できます。
プラットフォームサービス
プラットフォームサービスは、Identity Server アプリケーションの最上位で適用された Identity Server 設定やその他のオプションに、サーバーを追加できます。
ポリシー設定サービス
ポリシー設定サービスは、ポリシー管理やポリシー評価の際にポリシーフレームワークで使用する値を定義します。
SAML サービス
SAML (Security Assertion Markup Language) サービスは、セキュリティ当局間でセキュリティアサーションを交換するためのフレームワークを定義します。これは、認証および承認サービスを提供するさまざまなプラットフォーム間の相互運用性を実現することを目的としています。
セッションサービス
セッションサービスでは、最大セッション時間、最大アイドル時間など、認証済みのユーザーセッションでの値を定義します。
SOAP バインドサービス
このサービスは Identity Service の連携管理モジュールが使います。このサービスの詳細は、『Identity Server Federation Management Guide』を参照してください。
ユーザーサービス
ユーザーサービスを使用して、デフォルトのユーザー設定を定義します。タイムゾーン、ロケール、DN 開始表示などが含まれます。
属性のタイプIdentity Server サービスを構成する属性は、ダイナミック、ポリシー、ユーザー、組織、グローバルのいずれかのタイプに分類されます。サービスの属性を細分するのにこれらのタイプを使用すると、サービススキーマの内容をより一貫したものにしたり、サービスパラメータの管理をさらに容易にしたりすることができます。
ダイナミック属性
ダイナミック属性は、Identity Server の設定済みロールまたは組織に割り当てることができます。ロールがユーザーに割り当てられるか、ユーザーが組織で作成される場合は、ダイナミック属性がそのユーザーの特性になります。たとえば、ロールを組織の従業員用に作成します。このロールには組織の住所とファックス番号という、全従業員において不変の 2 つの項目が含まれているとします。このロールが各従業員に割り当てられると、これらのダイナミック属性は各従業員に継承されます。
ユーザー属性
ユーザー属性は各ユーザーに直接割り当てられます。ロールまたは組織から継承されず、また、通常はユーザーごとに異なります。ユーザー属性の例としては、ユーザー ID、社員番号、パスワード などが挙げられます。amUser.xml ファイルを修正することで、ユーザー属性をユーザーサービスに対して追加または削除できます。詳細は、『Identity Server Developer's Guide』を参照してください。
組織属性
組織属性は組織にだけ割り当てられます。この点からはダイナミック属性のように機能しますが、ダイナミック属性と異なるのは、サブツリー内のエントリに継承されないという点です。さらに、組織属性に割り当てられるオブジェクトクラスはありません。認証サービスにリストされる属性は、組織属性として定義されます。それは、サブツリーまたはユーザーのレベルではなく、組織レベルで認証が行われるためです。
グローバル属性
グローバル属性は、Identity Server 設定に対して適用されます。グローバル属性の目的は Identity Server アプリケーションをカスタマイズすることであるため、ユーザー、ロール、または組織に適用することはできません。Identity Server 設定ではグローバル属性のインスタンスは 1 つしかありません。また、グローバル属性に割り当てられるオブジェクトクラスはありません。グローバル属性の例としては、ログファイルのサイズ、ログファイルの場所、データにアクセスするために Identity Server で使用するポート番号やサーバー URL などがあります。
ポリシー属性
ポリシー属性は、サービスに関連するアクセス制御アクション (権限) を指定します。ポリシーにルールを追加するとき、これらの属性がルールの一部になります。Identity Server のポリシーを使ってサービスのアクセス管理を行う場合、サービススキーマにポリシー属性が必要です。
サービス設定インタフェースサービスはサービス設定モジュールで設定され、管理されます。Identity Server のデフォルトサービスパッケージで対応できない組織固有のサービスは、Identity Server サービス DTD (ドキュメントタイプ定義) を基に XML を使用して記述し、「その他の設定」見出し下のインタフェースに追加することができます。この手順については、第 4 部「属性リファレンスガイド」を参照してください。デフォルトサービス、および対応する属性の定義について説明しています。
サービス設定モジュールは、グローバルレベルでサービス設定を表示するために使用します。つまり、登録しているかどうかにかかわらず、Identity Server で利用可能なすべてのサービスのデフォルト設定を表示します。サービスが組織で登録され有効になると、サービスのサービス設定ページには、サービスに割り当てられた初期のデフォルトデータが表示されます。図 5-1 はグラフィカルユーザーインタフェースのスクリーンショットです。
図 5-1 サービス設定の表示
サービス設定表示にアクセスするには、サービス設定モジュールを選択します。ナビゲーションフレームに、すべての定義済みの Identity Server サービスのリストが表示されます。サービスのグローバルなデフォルト値を設定するには、サービス名の隣にある「プロパティ」の矢印を選択します。そのサービスの属性がデータフレームに表示されます。
