前へ      目次      索引      次へ
Sun Java™ System Identity Manager 7.0 リソースリファレンス

---

SQL Server

SQL Server リソースアダプタは非推奨になりました。代わりに、MS SQL Server リソースアダプタを使用します。

---

Sun ONE Identity Server

Sun ONE Identity Server リソースアダプタは非推奨になりました。代わりに、Sun Java System Access Manager リソースアダプタを使用します。

サンプルフォーム

次の Identity Server サンプルフォームのサポートは、このリリースでも継続されます。

Sun ONE Identity Server Create Dynamic Subscription Group Form
Sun ONE Identity Server Create Filtered Group Form
Sun ONE Identity Server Create Organization Form
Sun ONE Identity Server Create Role Form
Sun ONE Identity Server Create Static Subscription Group Form
Sun ONE Identity Server Update Dynamic Subscription Group Form
Sun ONE Identity Server Update Filtered Group Form
Sun ONE Identity Server Update Organization Form
Sun ONE Identity Server Update Role Form
Sun ONE Identity Server Update Static Subscription Group Form

SunISUserForm.xml フォームも利用できます。

---

Sun Java System Access Manager

Sun Java System Access Manager リソースアダプタは、com.waveset.adapter.SunAccessManagerResourceAdapter クラスで定義されます。このアダプタは、次のバージョンをサポートします。

Sun ONE Identity Server 6.0
Sun ONE Identity Server 6.1
Sun ONE Identity Server 6.2
Sun^TM Java System Identity Server 2004Q2
Sun^TM Java System Access Manager 6 2005Q1
Sun^TM Java System Access Manager 7 2005Q4

注	Sun ONE Identity Server は、SunTM Java System Access Manager という名前に変更されています。

リソースを設定する際の注意事項

このリソースアダプタは、次の製品で使用できます。

Sun^TM Java System Identity Server
Sun^TM Java System Identity Server Policy Agent 2.1
Sun Java^TM System Access Manager

注	Access Manager 7 以降の場合、このアダプタでは旧バージョンモードのみがサポートされます。レルムモードはサポートされません。ただし、旧バージョンモードによる Access Manager 7 をサポートするアダプタの設定については、「Sun Java System Access Manager レルム」アダプタの「リソースを設定する際の注意事項」および「Identity Manager 上で設定する際の注意事項」を参照してください。

Policy Agent は、シングルサインオン (SSO) を有効にするために使用できるオプションモジュールです。使用している環境内でこの製品を使用していない場合は、Policy Agent の設定手順やインストール手順を実行しないでください。

Policy Agent の詳細については、http://docs.sun.com/app/docs/coll/1322.1 を参照してください。

次に、Sun Java System Access Manager および Policy Agent のインストールと設定の方法について説明します。

Sun Java System Access Manager (Access Manager 7.0 より前のバージョン) のインストールと設定

Sun Java System Access Manager を Identity Manager サーバーと同じシステム上にインストールする場合の設定については、「Sun Java System Access Manager リソースアダプタ」を参照してください。Policy Agent を使用する場合の追加情報については、「Policy Agent のインストールと設定」を参照してください。

Sun Java System Access Manager が Identity Manager サーバーとは異なるシステム上にインストールされている場合は、Identity Manager システムで次の手順を実行します。

Sun Java System Access Manager サーバーからコピーするファイルを配置するディレクトリを作成します。この手順では、このディレクトリは CfgDir という名前にします。Sun Java System Access Manager がインストールされている場所を AccessMgrHome とします。
次のファイルを AccessMgrHome から CfgDir にコピーします。ディレクトリ構造はコピーしないでください。
lib/*.*
locale/*.properties
config/serverconfig.xml
config/SSOConfig.properties (Identity Server 2004Q2 以降)
config/ums/ums.xml
UNIX では、全体的な読み取りアクセスを許可するために CfgDir 内の jar ファイルのアクセス権を変更しなければならない場合があります。アクセス権を変更するには、次のコマンドを実行します。

chmod a+r CfgDir/*.jar

次のように JAVA クラスパスを付加します。
Windows の場合: CfgDir;CfgDir/am_sdk.jar;CfgDir/am_services.jar;
CfgDir/am_logging.jar
UNIX の場合: CfgDir:CfgDir/am_sdk.jar:CfgDir/am_services.jar:
CfgDir/am_logging.jar
Identity Server 6.0 を使用する場合は、CfgDir を指す Java システムプロパティーを設定します。次のようなコマンドを使用します。

java -Dcom.iplanet.coreservices.configpath=CfgDir

バージョン 6.1 以降を使用する場合は、CfgDir/AMConfig.properties ファイルで、次の行を追加または編集します。

com.iplanet.services.configpath=CfgDir
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
SecureRandomFactoryImpl

com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
JSSESocketFactory

com.iplanet.security.encryptor=com.iplanet.services.util.
JCEEncryption

最初の行では configpath を設定しています。最後の 3 行ではセキュリティー設定を変更しています。

CfgDir/am_*.jar ファイルを $WSHOME/WEB-INF/lib にコピーします。Identity Server 6.0 を使用する場合は、jss311.jar ファイルも $WSHOME/WEB-INF/lib ディレクトリにコピーします。
Identity Manager が Windows 上で稼働している環境で Identity Server 6.0 を使用する場合は、IdServer¥lib¥jss¥*.dll を CfgDir にコピーし、CfgDir をシステムパスに追加します。

注	Identity Manager が Sun Java System Access Manager とは異なるシステム上にインストールされている環境では、以降のエラー条件を確認してください。Sun Java System Access Manager リソースへの接続時にエラー java.lang.ExceptionInInitializerError が返され、それに続く試行で java.lang.NoClassDefFoundError が返される場合は、設定データに誤りまたは欠落がないか確認します。 また、java.lang.NoClassDefFoundError で示されたクラスの jar ファイルも確認します。そのクラスが含まれている jar ファイルのクラスパスを、アプリケーションサーバーの JAVA クラスパスに付加します。

手順 6 で示されたすべてのデータが CfgDir に含まれていること、およびすべての設定プロパティーが正しく割り当てられていることを確認します。

このリソース用の Identity Manager の準備についての詳細は、「Sun Java System Access Manager リソースアダプタ」を参照してください。

Sun Java System Access Manager (バージョン 7.0 以降) のインストールと設定

旧バージョンモードによる Access Manager 7 をサポートするアダプタの設定については、「Sun Java System Access Manager レルム」アダプタの「リソースを設定する際の注意事項」および「Identity Manager 上で設定する際の注意事項」を参照してください。

Policy Agent のインストールと設定

Identity Server Policy Agent 2.1 を Identity Manager サーバーにインストールします。Policy Agent は次の場所から入手できます。

http://wwws.sun.com/software/download/inter_ecom.html#dirserv

Policy Agent に付属するインストール手順書に従ってください。その後、次に示す作業を実行します。

AMAgent.properties ファイルの編集

Identity Manager を保護できるように AMAgent.properties ファイルを変更します。このファイルは次のディレクトリにあります。

Windows の場合: ¥AgentInstallDir¥es6¥config¥_PathInstanceName¥
UNIX の場合: /etc/opt/SUNWam/agents/es6/config/_PathInstanceName/

必ず、前述したディレクトリにあるファイルを使用してください。AgentInstallDir¥configディレクトリにあるファイルは使用しないでください。

次の行を追加または編集します。

com.sun.am.policy.am.fetchHeaders=true

com.sun.am.policy.am.headerAttributes=entrydn|sois_user

com.sun.am.policy.agents.fqdnDefault = FullyQualifiedIDMgrServer

headerAttributes および fqdnDefault の値を定義する行は存在している場合があります。

AMAgent.properties に加えた変更を有効にするために、Web サーバーを再起動します。

Sun Java System Access Manager のポリシーの作成

Sun Java System Access Manager 上で、次の規則を設定した IDMGRという名前 (または類似する名前) の新しいポリシーを作成します。

サービスのタイプ	リソース名	アクション
URL ポリシーエージェント	http://server:port/idm	GET アクションと POST アクションを許可します
URL ポリシーエージェント	http://server:port/idm/*	GET アクションと POST アクションを許可します

1 つ以上の主体を IDMGR ポリシーに割り当てます。

Identity Manager 上で設定する際の注意事項

ここでは、Sun Java System Access Manager リソースアダプタおよび Policy Agent のインストールと設定の注意点について説明します。

Sun Java System Access Manager リソースアダプタ

Sun Java System Access Manager が Identity Manager サーバーとは異なるシステムにインストールされている場合は、「Sun Java System Access Manager (Access Manager 7.0 より前のバージョン) のインストールと設定」に示されている手順を実行します。

それ以外の場合は、AccessMgrHome/lib/am_*.jar ファイルを $WSHOME/WEB-INF/lib にコピーします。Identity Server 6.0 を使用する場合は、jss311.jar ファイルも $WSHOME/WEB-INF/lib ディレクトリにコピーします。

ファイルのコピーが終了したら、Sun Java System Access Manager リソースを Identity Manager リソースリストに追加するため、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加します。

com.waveset.adapter.SunAccessManagerResourceAdapter

Policy Agent

Sun Java System Access Manager ログインモジュールが最初に表示されるように、管理者およびユーザーのログインモジュールを変更します。

注	この手順を実行する前に、Sun Java System Access Manager リソースを設定してください。

Identity Manager 管理者インタフェースのメニューバーで、「設定」をクリックします。
「ログイン」をクリックします。
「管理者インタフェース」リンクをクリックします。
ドロップダウンリストから「Sun Access Manager ログインモジュール」を選択します。
必要に応じてモジュールを設定し、「保存」ボタンをクリックします。
「Sun Access Manager ログインモジュール」オプションの左にあるチェックボックスをクリックし、「上に移動」ボタンをクリックします。
変更を保存し、「ユーザーインタフェース」に対してこの手順を繰り返します。

使用上の注意

WebLogic の下で Identity Manager を実行している環境で、Sun Java System Access Manager で行われたネイティブ変更が Identity Manager に表示されない場合は、weblogic.jar の前のクラスパスに am_services.jar を追加します。

複数のプロトコルハンドラがある場合は、次のようにプロトコルハンドラを設定します。

java.protocol.handler.pkgs=com.iplanet.services.comm|sun.net.
www.protocol

セキュリティーに関する注意事項

ここでは、サポートされる接続と、基本タスクの実行に必要な認証要件について説明します。

サポートされる接続

Identity Manager は、SSL 経由の JNDI を使用してこのアダプタと通信します。

必要な管理特権

Sun Java System Access Manager に接続するユーザーに、ユーザーアカウントを追加または変更するためのアクセス権を付与してください。

プロビジョニングに関する注意事項

ここでは、このアダプタのプロビジョニング機能の概要を表に示します。

機能	サポート状況
アカウントの有効化/無効化	使用可
アカウントの名前変更	使用不可
パススルー認証	使用可。 シングルサインオンには Web Proxy Agent が必要です。
前アクションと後アクション	使用不可
データ読み込みメソッド	リソースから直接インポート リソースの調整

アカウント属性

次の表に、デフォルトでサポートされる Sun Java System Access Manager ユーザーアカウント属性の一覧を示します。特に記載されていないかぎり、属性はすべて省略可能です。

リソースユーザー属性	リソース属性タイプ	説明
cn	String	必須。ユーザーのフルネーム。
dynamicSubscriptionGroups	String	ユーザーが登録されている動的グループのリスト。
employeeNumber	Number	ユーザーの従業員番号。
givenname	String	ユーザーの名。
iplanet-am-user-account-life	Date	ユーザーアカウントが期限切れになる日時。この値が設定されていない場合、アカウントは期限切れになりません。
iplanet-am-user-alias-list	String	ユーザーに適用される可能性がある別名のリスト。
iplanet-am-user-failure-url	String	認証の失敗時にユーザーがリダイレクトされる URL。
iplanet-am-user-success-url	String	認証の成功時にユーザーがリダイレクトされる URL。
mail	Email	ユーザーの電子メールアドレス。
postalAddress	String	ユーザーの自宅住所。
roles	String	ユーザーに割り当てられたロールのリスト。
sn	String	ユーザーの姓。
staticSubscriptionGroups	String	ユーザーが登録されている静的グループのリスト。
telephoneNumber	String	ユーザーの電話番号。
uid	String	必須。ユーザーの一意のユーザー ID。
userPassword	Password	必須。ユーザーのパスワード。

リソースオブジェクトの管理

Identity Manager は、次の Sun Java System Access Manager オブジェクトをサポートしています。

リソースオブジェクト	サポートされる機能	管理される属性
Role	表示、更新、削除	cn、iplanet-am-role-aci-description、 iplanet-am-role-description、 iplanet-am-role-type、accountMembers
Static subscription group	表示、作成、更新、削除、名前を付けて保存	cn、iplanet-am-group-subscribable、uniqueMember
Filtered group	表示、作成、更新、削除、名前を付けて保存	cn、accountMembers、membershipFilter
Dynamic subscription group	表示、作成、更新、削除、名前を付けて保存	cn、accountMembers、 iplanet-am-group-subscribable
Organization	表示、作成、削除、名前を付けて保存、検索	o

アイデンティティーテンプレート

デフォルトのアイデンティティーテンプレートは次のとおりです。

uid=$uid$,ou=People,dc=MYDOMAIN,dc=com

デフォルトのテンプレートを有効な値に置き換えてください。

サンプルフォーム

ここでは、組み込みのサンプルフォームと、Sun Java System Access Manager リソースアダプタで利用できるその他のサンプルフォームの一覧を示します。

組み込みのフォーム

Sun Access Manager Update Static Group Form
Sun Access Manager Update Role Form
Sun Access Manager Update Organization Form
Sun Access Manager Update Filtered Group Form
Sun Access Manager Update Dynamic Group Form
Sun Access Manager Create Static Group Form
Sun Access Manager Create Role Form
Sun Access Manager Create Organization Form
Sun Access Manager Create Filtered Group Form
Sun Access Manager Create Dynamic Group Form

その他の利用可能なフォーム

SunAMUserForm.xml

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスにトレースオプションを設定します。

com.waveset.adapter.SunAccessManagerResourceAdapter

前へ      目次      索引      次へ

---

Part No: 820-1584.   Copyright 2006 Sun Microsystems, Inc. All rights reserved.