Access Manager

Tivoli Access Manager リソースアダプタは、com.waveset.adapter.AccessManagerResourceAdapter クラスで定義されます。

このリソースアダプタは、次のバージョンの Access Manager をサポートします。

4.1

5.1

リソースを設定する際の注意事項

ここでは、Access Manager リソースの設定手順を説明します。次のような手順があります。

IBM Tivoli Access Manager リソースを Identity Manager で使用するための一般的な設定手順

Access Manager を Identity Manager の Web Access Control として使用するための手順

一般的な設定

IBM Tivoli Access Manager リソースを Identity Manager で使用するように設定する場合は、次の手順に従います。

IBM Tivoli Access Manager Java Runtime Component を Identity Manager サーバーにインストールします。

使用しているアプリケーションサーバーの JVM へのパスを含むように PATH 変数を設定します。たとえば、次のようにします。

UNIX サーバー上に WebLogic 7.x をインストールしている場合は、次のようにパスを設定します。

PATH=$WLHOME/bea/jdk131_04/bin:$WLHOME/bea/jdk131_04/jre/
bin:$PATH

Windows 2000 サーバー上に Websphere 4.x をインストールしている場合は、次のようにパスを設定します。

set PATH=%WebSphere%¥AppServer¥java¥bin;%WebSphere%¥
AppServer¥java¥jre¥bin;%PATH%

pdjrtecfg -action config コマンドを実行して、次の Access Manager .jar ファイルを JRE の lib/ext ディレクトリにインストールします。

ibmjceprovider.jar

ibmjsse.jar

ibmpkcs.jar

jaas.jar

local_policy.jar

PD.jar

US_export_policy.jar

ibmjcefw.jar

詳細については、『IBM Tivoli Access Manager Base インストール・ガイド』を参照してください。

InstallDir¥idm¥WEB-INF¥lib ディレクトリから次の jar ファイルを削除します。ただし、使用しているアプリケーションサーバーによっては、これらのファイルが Identity Manager 製品のインストール時に削除されていることもあります。

jsse.jar

jcert.jar

jnet.jar

cryptix-jce-api.jar

cryptix-jce-provider.jar

次の行が java.security ファイルにない場合は、追加します。

security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.net.ssl.internal.ssl.Provider

各行の security.provider のあとに続く数字は、Java がセキュリティープロバイダクラスを参照する順序を指定するものであるため、一意になるようにしてください。ユーザーの環境によってシーケンス番号はさまざまである可能性があります。java.security ファイル内にすでに複数のセキュリティープロバイダがある場合は、上記で指定された順序で新しいセキュリティープロバイダを挿入し、既存のセキュリティープロバイダの番号を付け直します。既存のセキュリティープロバイダを削除したり、プロバイダを重複させたりしないでください。

アプリケーションサーバーに VM パラメータを追加します。

-Djava.protocol.handler.pkgs=com.ibm.net.ssl.internal.www.protocol

必要に応じて、複数のパッケージを | (パイプ記号) で区切って追加できます。たとえば、次のようにします。

-Djava.protocol.handler.pkgs=sun.net.www.protocol| ¥
com.ibm.net.ssl.internal.www.protocol

IBM Tivoli Access Manager Authorization Server が設定済みで稼動していることを確認します。

SvrSslCfg コマンドを実行します。

たとえば、次のようにします。

java com.tivoli.pd.jcfg.SvrSslCfg -action config ¥
-admin_id sec_master -admin_pwd secpw ¥
-appsvr_id PDPermissionjapp -host amazn.myco.com ¥
-mod local -port 999 -policysvr ampolicy.myco.com:7135:1 ¥
-authzsvr amazn.myco.com:7136:1 -cfg_file c:/am/configfile ¥
-key_file c:/am/keystore -cfg_action create

「am」ディレクトリがあらかじめ存在している必要があります。正常に完了したら、次のファイルが c:¥am ディレクトリに作成されます。

configfile

keystore

詳細については、『IBM Tivoli Access Manager Authorization Java Classes デベロッパーズ・リファレンス』および『IBM Tivoli Access Manager Administration Java Classes デベロッパーズ・リファレンス』を参照してください。

Web Access Control の設定

次に、Tivoli Access Manager を Identity Manager の Web Access Control として使用するための一般的な設定手順について説明します。この手順の一部では、Tivoli Access Manager ソフトウェアに関する詳細な知識が必要になります。

IBM Tivoli Access Manager Java Runtime Component を Identity Manager サーバーにインストールして設定します。

Identity Manager サーバーで JDK セキュリティー設定を設定します。

Identity Manager サーバーで Access Manager SSL Config ファイルを作成します。

Access Manager 内に Identity Manager URL に対するジャンクションを作成します。詳細については、Tivoli Access Manager の製品マニュアルを参照してください。

次の pdadmin コマンドの例は、ジャンクションの作成方法を示しています。

pdadmin server task WebSealServer create -t Connection /
-p Port -h Server -c ListOfCredentials -r /
-i JunctionName

WebSeal Proxy Server 用に Identity Manager Base HREF プロパティーを設定します。

Access Manager リソースアダプタを設定します。

Access Manager ユーザーを Identity Manager にロードします。

Identity Manager の Access Manager に対するパススルー認証を設定します。

ユーザーが Access Manager 経由で Identity Manager URL にアクセスしようとする場合、ユーザーの識別情報は HTTP ヘッダーによって Identity Manager に渡されます。次に Identity Manager はその識別情報を使用して、ユーザーが Access Manager や Identity Manager に存在していることを確認します。ユーザーが Identity Manager 管理者インタフェースにアクセスしようとする場合は、Identity Manager がそのユーザーに関する Identity Manager のセキュリティー設定をチェックして、Identity Manager 管理権限があることを確認します。エンドユーザーは Access Manager に対しても検証され、Identity Manager アカウントがあるかどうか確認されます。

Identity Manager 上で設定する際の注意事項



注	IBM Tivoli Access Manager を WebSphere アプリケーションサーバーと一緒にインストールする場合は、Identity Manager のインストール中に jsse.jar、jcert.jar、および jnet.jar ファイルを WEB-INF¥lib ディレクトリにコピーしないでください。コピーすると、競合が発生します。

Access Manager リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行してください。

pd.jar ファイルを、Access Manager のインストールメディアから $WSHOME/WEBINF/lib ディレクトリにコピーします。

「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加します。

com.waveset.adapter.AccessManagerResourceAdapter

使用上の注意

ここでは、Access Manager リソースアダプタの使用に関連する依存関係と制限について示します。

Access Manager を経由して Identity Manager にアクセスする場合、アプレットを正しく表示するために、ブラウザには JRE バージョン 1.3.1 以前を使用してください。

このリソースで Identity Manager のシングルサインオンまたはパススルー認証機能を使用する場合は、Access Manager を Identity Manager プロキシサーバーとして使用してください。プロキシサーバーの詳細については、『Identity Manager 配備ツール』を参照してください。

GSO クレデンシャルの作成

Identity Manager の「ユーザーの作成」ページから、GSO Web リソースまたは GSO リソースグループのクレデンシャルを設定するには、次の手順を実行します。

「GSO Web クレデンシャルの追加」または「GSO リソースグループクレデンシャル」を選択します。

該当する GSO クレデンシャルのドロップダウンメニューから、ターゲットを選択します。

リソースのユーザー ID とパスワードをテキストフィールドに入力します。

該当するフィールドを編集することで、リソースクレデンシャルのユーザー ID またはパスワード、あるいはその両方を編集できます。セキュリティー上の理由により、クレデンシャルのパスワードを検出することはできません。

GSO クレデンシャルの削除

クレデンシャルを削除するには、削除対象のクレデンシャルをテーブルから選択して、対応する 「削除」ボタンをクリックします。

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

Identity Manager は、SSL 経由の JNDI を使用して Access Manager と通信します。

必要な管理特権

管理ユーザーには、ユーザー、グループ、Web リソース、およびリソースグループを作成、更新、および削除するための十分な特権を与えてください。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。


機能	サポート状況
アカウントの有効化/無効化	使用可
アカウントの名前変更	使用不可
パススルー認証	使用可
前アクションと後アクション	使用不可
データ読み込みメソッド	リソースから直接インポート調整

アカウント属性

次の表に、Access Manager アカウント属性に関する情報を示します。


属性	データの種類	説明
firstname	String	必須。ユーザーの名。
lastname	String	必須。ユーザーの姓。
registryUID	String	必須。ユーザーレジストリに格納されているアカウント名。
description	String	ユーザーについて説明したテキスト。
groups	String	ユーザーがメンバーになっている Access Manager グループ。
noPwdPolicy	Boolean	パスワードポリシーを適用するかどうかを示します。
ssoUser	Boolean	ユーザーにシングルサインオン機能を持たせるかどうかを示します。
expirePassword	Boolean	パスワードが期限切れになるかどうかを示します。
importFromRgy	Boolean	ユーザーレジストリからグループデータをインポートするかどうかを示します。
deleteFromRgy	Boolean	ユーザーを削除するべきかどうかを示します。
syncGSOCreds	Boolean	GSO のパスワードを Access Manager のパスワードと同期させるかどうかを示します。
gsoWebCreds	String	ユーザーがアクセス権を持つ Web リソースクレデンシャルのリスト。
gsoGroupCreds	String	ユーザーがアクセス権を持つリソースグループクレデンシャルのリスト。

リソースオブジェクトの管理

Identity Manager は、次のオブジェクトをサポートしています。


リソースオブジェクト	サポートされる機能	管理される属性
Group	作成、検索、更新、削除	name、description、registry name、member

アイデンティティーテンプレート

アカウント名の構文は次のとおりです。

$accountId$

サンプルフォーム

Identity Manager には、AccessManagerUserForm.xml サンプルフォームが用意されています。

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスにトレースオプションを設定します。

com.waveset.adapter.AccessManagerResourceAdapter

前へ目次索引次へ

前へ目次索引次へ
Sun Java™ System Identity Manager 7.0 リソースリファレンス