Sun Java™ System Identity Manager 7.0 リソースリファレンス |
Access ManagerTivoli Access Manager リソースアダプタは、com.waveset.adapter.AccessManagerResourceAdapter クラスで定義されます。
このリソースアダプタは、次のバージョンの Access Manager をサポートします。
リソースを設定する際の注意事項
ここでは、Access Manager リソースの設定手順を説明します。次のような手順があります。
一般的な設定
IBM Tivoli Access Manager リソースを Identity Manager で使用するように設定する場合は、次の手順に従います。
- IBM Tivoli Access Manager Java Runtime Component を Identity Manager サーバーにインストールします。
- 使用しているアプリケーションサーバーの JVM へのパスを含むように PATH 変数を設定します。たとえば、次のようにします。
- pdjrtecfg -action config コマンドを実行して、次の Access Manager .jar ファイルを JRE の lib/ext ディレクトリにインストールします。
- InstallDir¥idm¥WEB-INF¥lib ディレクトリから次の jar ファイルを削除します。ただし、使用しているアプリケーションサーバーによっては、これらのファイルが Identity Manager 製品のインストール時に削除されていることもあります。
- 次の行が java.security ファイルにない場合は、追加します。
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.net.ssl.internal.ssl.Provider各行の security.provider のあとに続く数字は、Java がセキュリティープロバイダクラスを参照する順序を指定するものであるため、一意になるようにしてください。ユーザーの環境によってシーケンス番号はさまざまである可能性があります。java.security ファイル内にすでに複数のセキュリティープロバイダがある場合は、上記で指定された順序で新しいセキュリティープロバイダを挿入し、既存のセキュリティープロバイダの番号を付け直します。既存のセキュリティープロバイダを削除したり、プロバイダを重複させたりしないでください。
- アプリケーションサーバーに VM パラメータを追加します。
-Djava.protocol.handler.pkgs=com.ibm.net.ssl.internal.www.protocol
必要に応じて、複数のパッケージを | (パイプ記号) で区切って追加できます。たとえば、次のようにします。
-Djava.protocol.handler.pkgs=sun.net.www.protocol| ¥
com.ibm.net.ssl.internal.www.protocol- IBM Tivoli Access Manager Authorization Server が設定済みで稼動していることを確認します。
- SvrSslCfg コマンドを実行します。
たとえば、次のようにします。
java com.tivoli.pd.jcfg.SvrSslCfg -action config ¥
-admin_id sec_master -admin_pwd secpw ¥
-appsvr_id PDPermissionjapp -host amazn.myco.com ¥
-mod local -port 999 -policysvr ampolicy.myco.com:7135:1 ¥
-authzsvr amazn.myco.com:7136:1 -cfg_file c:/am/configfile ¥
-key_file c:/am/keystore -cfg_action create「am」ディレクトリがあらかじめ存在している必要があります。正常に完了したら、次のファイルが c:¥am ディレクトリに作成されます。
詳細については、『IBM Tivoli Access Manager Authorization Java Classes デベロッパーズ・リファレンス』および『IBM Tivoli Access Manager Administration Java Classes デベロッパーズ・リファレンス』を参照してください。
Web Access Control の設定
次に、Tivoli Access Manager を Identity Manager の Web Access Control として使用するための一般的な設定手順について説明します。この手順の一部では、Tivoli Access Manager ソフトウェアに関する詳細な知識が必要になります。
- IBM Tivoli Access Manager Java Runtime Component を Identity Manager サーバーにインストールして設定します。
- Identity Manager サーバーで JDK セキュリティー設定を設定します。
- Identity Manager サーバーで Access Manager SSL Config ファイルを作成します。
- Access Manager 内に Identity Manager URL に対するジャンクションを作成します。詳細については、Tivoli Access Manager の製品マニュアルを参照してください。
次の pdadmin コマンドの例は、ジャンクションの作成方法を示しています。
pdadmin server task WebSealServer create -t Connection /
-p Port -h Server -c ListOfCredentials -r /
-i JunctionName- WebSeal Proxy Server 用に Identity Manager Base HREF プロパティーを設定します。
- Access Manager リソースアダプタを設定します。
- Access Manager ユーザーを Identity Manager にロードします。
- Identity Manager の Access Manager に対するパススルー認証を設定します。
ユーザーが Access Manager 経由で Identity Manager URL にアクセスしようとする場合、ユーザーの識別情報は HTTP ヘッダーによって Identity Manager に渡されます。次に Identity Manager はその識別情報を使用して、ユーザーが Access Manager や Identity Manager に存在していることを確認します。ユーザーが Identity Manager 管理者インタフェースにアクセスしようとする場合は、Identity Manager がそのユーザーに関する Identity Manager のセキュリティー設定をチェックして、Identity Manager 管理権限があることを確認します。エンドユーザーは Access Manager に対しても検証され、Identity Manager アカウントがあるかどうか確認されます。
Identity Manager 上で設定する際の注意事項
注
IBM Tivoli Access Manager を WebSphere アプリケーションサーバーと一緒にインストールする場合は、Identity Manager のインストール中に jsse.jar、jcert.jar、および jnet.jar ファイルを WEB-INF¥lib ディレクトリにコピーしないでください。コピーすると、競合が発生します。
Access Manager リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行してください。
使用上の注意
ここでは、Access Manager リソースアダプタの使用に関連する依存関係と制限について示します。
GSO クレデンシャルの作成
Identity Manager の「ユーザーの作成」ページから、GSO Web リソースまたは GSO リソースグループのクレデンシャルを設定するには、次の手順を実行します。
GSO クレデンシャルの削除
クレデンシャルを削除するには、削除対象のクレデンシャルをテーブルから選択して、対応する 「削除」ボタンをクリックします。
セキュリティーに関する注意事項
ここでは、サポートされる接続と特権の要件について説明します。
サポートされる接続
Identity Manager は、SSL 経由の JNDI を使用して Access Manager と通信します。
必要な管理特権
管理ユーザーには、ユーザー、グループ、Web リソース、およびリソースグループを作成、更新、および削除するための十分な特権を与えてください。
プロビジョニングに関する注意事項
次の表に、このアダプタのプロビジョニング機能の概要を示します。
アカウント属性
次の表に、Access Manager アカウント属性に関する情報を示します。
リソースオブジェクトの管理
Identity Manager は、次のオブジェクトをサポートしています。
アイデンティティーテンプレート
アカウント名の構文は次のとおりです。
$accountId$
サンプルフォーム
Identity Manager には、AccessManagerUserForm.xml サンプルフォームが用意されています。
トラブルシューティング
Identity Manager のデバッグページを使用して、次のクラスにトレースオプションを設定します。
com.waveset.adapter.AccessManagerResourceAdapter