スクリプトホストリソースアダプタは、IBM Host Access Class Library API を利用した OS/390 メインフレーム上のアプリケーションユーザーアカウントの管理をサポートします。このアダプタは、TN3270 エミュレータセッションでホストアプリケーションを管理します。

このアダプタは汎用アダプタであるため、高度な設定が可能です。このアダプタには、管理対象のホストアプリケーションに関する前提条件はありません。代わりに、顧客が提供するスクリプトセットを呼び出すことによってホストアプリケーションとの対話を実行します。

スクリプトホストリソースアダプタは、com.waveset.adapter.ScriptedHostResourceAdapter クラスで定義されます。

リソースを設定する際の注意事項

Identity Manager 上で設定する際の注意事項

スクリプトホストリソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行してください。

スクリプトホストリソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加してください。

com.waveset.adapter.ScriptedHostResourceAdapter

Identity Manager のメインフレームアダプタは、IBM Host Access Class Library (HACL) を使用してメインフレームに接続します。HACL は、IBM Websphere Host On-Demand (HOD) で使用できます。HACL が含まれる推奨 jar は habeans.jar です。これは、HOD に付属する HOD Toolkit (または Host Access Toolkit) とともにインストールされます。HACL のサポートされるバージョンは、HOD V7.0、V8.0、および V9.0 に含まれるバージョンです。

ただし、このツールキットを利用できない場合は、HOD のインストールに含まれる次の jar を habeans.jar の代わりに使用できます。

habase.jar

hacp.jar

ha3270.jar

hassl.jar

hodbase.jar

habeans.jar ファイルまたはその代替ファイルのすべてを、Identity Manager がインストールされた WEB-INF/lib ディレクトリにコピーします。詳細は、http://www.ibm.com/software/webservers/hostondemand/ を参照してください。

スクリプトホストアダプタは、顧客が提供する Javascript を必要とします。それらのスクリプトは Mozilla Rhino と互換性がある必要があります。Mozilla Rhino v1_5R2 は、Identity Manager に添付されており、$WSHOME/WEB-INF/lib/javascript.jar にあります。

改善された Javascript エラー報告機能が必要な場合は、最新バージョンの Mozilla Rhino (http://www.mozilla.org/rhino/) に、構文エラーやその他のエラーで生成されるメッセージの大幅な改善が示されています。デフォルトの javascript.jar を、Mozilla から入手した新しいバージョンに置き換えてもかまいません。

使用上の注意

ここでは、スクリプトホストリソースアダプタの使用に関連する情報を提供します。次のトピックで構成されています。

管理者

ホストリソースアダプタは、同じホストに接続している複数のホストリソースでの親和性管理者に対して最大接続数を強制しません。代わりに、各ホストリソース内部の親和性管理者に対して最大接続数が強制されます。

同じシステムを管理する複数のホストリソースがあり、現在それらが同じ管理者アカウントを使用するように設定されている場合は、同じ管理者がリソースに対して同時に複数のアクションを実行しようとしていないことを確認するために、それらのリソースを更新しなければならない可能性があります。

リソースアクションの指定

スクリプトホストアダプタのリソースウィザードの「リソースパラメータ」ページに表示される一連のテキストボックスで、ログイン、作成、削除、繰り返しなどのさまざまなプロビジョニングアクションをリソースアクションに指定できます。これらのフィールドは、リポジトリに読み込まれる Rhino Javascript が格納された ResourceAction オブジェクトを参照します。

$WSHOME/sample/ScriptedHost/ScreenSampleActions.xml ファイルには、理論上のスクリーンベースのホストアプリケーションにユーザーをプロビジョニングするのに使用できるリソースアクション定義のサンプルセットが格納されています。それらの定義を、アプリケーションに合わせてカスタマイズする必要があります。

スクリプトホストアダプタは、次のプロビジョニングアクションに関するエンドユーザーのスクリプティングをサポートします。


アクション	説明	必須性
create	新しいユーザーを作成します。	省略可能。ただし、指定されていない場合は、ユーザーを作成できません。
delete	既存のユーザーを削除します。	省略可能。ただし、指定されていない場合は、ユーザーを削除できません。
disable	既存のユーザーを無効にします。	省略可能。ただし、指定されていない場合は、ユーザーを無効にできません。
enable	既存のユーザーを有効にします。	省略可能。ただし、指定されていない場合は、ユーザーを有効にできません。
getAccountIterator	既存ユーザーの繰り返しの実行に使用されるオブジェクトを返します。	省略可能。ただし、getAccountIterator も listAll も指定されていない場合は、アカウントの反復処理を実行できません。
getUser	既存ユーザーの属性を取得します。	必須。
login	アプリケーションにログインします。	必須。
logoff	アプリケーションからログオフします。	必須。
listAll	既存ユーザー ID のリストを返します。	省略可能。ただし、getAccountIterator も listAll も指定されていない場合は、アカウントの反復処理を実行できません。
update	既存ユーザーの属性を更新します。	省略可能。ただし、指定されていない場合は、ユーザーを更新できません。

どのアクションスクリプトも、java.util.Map クラスで定義されているように、actionContext マップを受け取ります。マップに格納できる内容は、アクションごとに異なります。次のそれぞれの節では、各アクションについ説明し、そのアクションに関する次の情報を示します。

前の表に示されたアクションの詳細については、次の各項を参照してください。

create アクション

create アクションは、ホストアプリケーションにユーザーを作成します。create アクションが定義されていない場合は、新しいユーザーをホストアプリケーションに追加できません。


キー	値の型	値の説明
hostAccess	com.waveset.adapter.HostAccess	メインフレームへの 3270 エミュレーションアクセスを提供します。
adapter	com.waveset.object.ScriptedHostResourceAdapter	アダプタインスタンス。
action	java.lang.String	「create」という文字列。
id	java.lang.String	作成するユーザーのアカウント ID。
password	java.lang.String	存在する場合、これは新しいユーザーの復号化されたパスワードです。
attributes	java.lang.Map	新しいユーザーに設定する属性のマップ。キーは、設定する属性を識別します。値は、その属性に設定する復号化された値です。
errors	java.util.List	これは、最初は空のリストです。処理中にエラーが発生した場合にスクリプトがこのリストに java.lang.String オブジェクトを追加するように設定する必要があります。
trace	com.waveset.adapter.Trace	実行のトレースに使用されるオブジェクト。スクリプトは、このクラスのメソッドを使用して、それ自体を顧客の環境でデバッグ可能にできます。

アプリケーション固有のエラーが画面または応答に発生した場合、スクリプトが errors キーに適切な文字列を追加します。エラーが発生したと判断するために、さまざまな既知のエラー文字列の検索が必要になることがあります。

errors リストに項目が存在する場合は、作成の失敗とみなされます。さらに、スクリプト内から例外がスローされた場合は、作成の失敗とみなされます。

delete アクション

delete アクションは、指定されたユーザーをホストアプリケーションから削除します。delete アクションが定義されていない場合は、ホストアプリケーションからユーザーを削除できません。


キー	値の型	値の説明
id	java.lang.String	削除するユーザーのアカウント ID。
hostAccess	com.waveset.adapter.HostAccess	メインフレームへの 3270 エミュレーションアクセスを提供します。
adapter	com.waveset.object.ScriptedHostResourceAdapter	アダプタインスタンス。
action	java.lang.String	「delete」という文字列。
trace	com.waveset.adapter.Trace	実行のトレースに使用されるオブジェクト。スクリプトは、このクラスのメソッドを使用して、それ自体を顧客の環境でデバッグ可能にできます。
errors	java.util.List	これは、最初は空のリストです。処理中にエラーが発生した場合にスクリプトがこのリストに java.lang.String オブジェクトを追加するように設定する必要があります。

errors リストに項目が存在する場合は、削除の失敗とみなされます。さらに、スクリプト内から例外がスローされた場合は、削除の失敗とみなされます。

disable アクション

disable アクションは、ホストアプリケーション内の既存のユーザーを無効にします。このアクションが定義されていない場合は、ホストアプリケーションのユーザーを無効にできません。


キー	値の型	値の説明
hostAccess	com.waveset.adapter.HostAccess	メインフレームへの 3270 エミュレーションアクセスを提供します。
action	java.lang.String	「disable」という文字列。
id	java.lang.String	無効にするアカウント ID。
errors	java.util.List	これは、最初は空のリストです。処理中にエラーが発生した場合にスクリプトがこのリストに java.lang.String オブジェクトを追加するように設定する必要があります。
trace	com.waveset.adapter.Trace	実行のトレースに使用されるオブジェクト。スクリプトは、このクラスのメソッドを使用して、それ自体を顧客の環境でデバッグ可能にできます。

errors リストに項目が存在する場合は、無効化の失敗とみなされます。さらに、スクリプト内から例外がスローされた場合は、無効化の失敗とみなされます。

enable アクション

enable アクションは、ホストアプリケーション内の既存のユーザーを有効にします。このアクションが定義されていない場合は、ホストアプリケーションのユーザーを有効にできません。


キー	値の型	値の説明
hostAccess	com.waveset.adapter.HostAccess	メインフレームへの 3270 エミュレーションアクセスを提供します。
action	java.lang.String	「enable」という文字列。
id	java.lang.String	有効にするアカウント ID。
errors	java.util.List	これは、最初は空のリストです。処理中にエラーが発生した場合にスクリプトがこのリストに java.lang.String オブジェクトを追加するように設定する必要があります。
trace	com.waveset.adapter.Trace	実行のトレースに使用されるオブジェクト。スクリプトは、このクラスのメソッドを使用して、それ自体を顧客の環境でデバッグ可能にできます。

errors リストに項目が存在する場合は、有効化の失敗とみなされます。さらに、スクリプト内から例外がスローされた場合は、有効化の失敗とみなされます。

getAccountIterator アクション

getAccountIterator アクションは、既存ユーザーの繰り返しの実行に使用されるオブジェクトを返します。

アカウントの反復処理 (調整、「リソースから読み込み」) を実行する場合は、このアクションまたは listAll アクションのどちらかを定義してください。

getAccountIterator アクションが定義されていない場合は、listAll を呼び出してから listAll のリスト内の ID ごとに getUser を呼び出すことによって、アカウントの反復処理が実行されます。

getAccountIterator アクションが定義されておらず、listAll アクションも定義されていない場合は、アカウントの反復処理はサポートされません。


キー	値の型	値の説明
hostAccess	com.waveset.adapter.HostAccess	メインフレームへの 3270 エミュレーションアクセスを提供します。
adapter	com.waveset.object.ScriptedHostResourceAdapter	アダプタインスタンス。
action	java.lang.String	「getAccountIterator」という文字列。
trace	com.waveset.adapter.Trace	実行のトレースに使用されるオブジェクト。スクリプトは、このクラスのメソッドを使用して、それ自体を顧客の環境でデバッグ可能にできます。

スクリプトは、Java インタフェースの com.waveset.adapter.ScriptedHostAccessAdapter.ObjectIterator を実装する Java オブジェクトを返します。

public interface ObjectIterator {
   public boolean hasNext();
   public void next(java.util.Map nextObj);
   public void close();
}

next() メソッドへの nextObj マップ引数は、getUser アクションで説明している result エントリと同じ方法で、スクリプトによって入力されます。

スクリプト内から例外がスローされた場合は、繰り返しの失敗とみなされます。

スクリプトから返された Java オブジェクトでメソッドを呼び出しているときに例外のスローが発生した場合も、繰り返しの失敗とみなされます。

getUser アクション

getUser アクションは、ホストアプリケーションから次のいずれかを取得します。


キー	値の型	値の説明
hostAccess	com.waveset.adapter.HostAccess	メインフレームへの 3270 エミュレーションアクセスを提供します。
adapter	com.waveset.object.ScriptedHostResourceAdapter	アダプタインスタンス。
action	java.lang.String	「getUser」という文字列。
attrsToGet	java.util.List	取得するユーザー属性を識別する文字列のリスト。このリストは、スキーママップの右側から取得されます。
id	java.lang.String	取得するユーザーのアカウント ID。
errors	java.util.List	これは、最初は空のリストです。処理中にエラーが発生した場合にスクリプトがこのリストに java.lang.String オブジェクトを追加するように設定する必要があります。
trace	com.waveset.adapter.Trace	実行のトレースに使用されるオブジェクト。スクリプトは、このクラスのメソッドを使用して、それ自体を顧客の環境でデバッグ可能にできます。
result	java.util.Map	スクリプトは、マップにエントリを追加して、ユーザー属性を返します。後述のエントリテーブルを参照してください。

result マップには、スクリプトによって次のエントリが入力される必要があります。


キー	値の型	値の説明
text	String	ユーザー属性に解析されるテキストを含みます。1 つ以上の画面または応答の内容であることもあります。あとで、このマップの attrParse エントリで指定された AttrParse オブジェクトを使用して、この文字列からユーザー属性が抽出されます。一致するユーザーが見つからない場合は、このエントリをマップに入れないでください。このフィールドをマップに追加しないでください。代わりに attrMap マップを入力します。
attrParse	String	このマップの text エントリの文字列からユーザー属性を解析するためにアダプタが使用する AttrParse オブジェクトの名前。このエントリは、常に text エントリと一緒に設定します。
attrMap	java.util.Map	スクリプトがユーザー属性を直接取得できる場合は、ユーザー属性のマップでこのエントリを設定できます。この attrMap エントリは、このマップの text エントリが存在しない場合にのみ適用されます。

一致するユーザーが見つからない場合、result マップは空のままにするようにしてください。

errors リストに項目が存在する場合は、取得の失敗とみなされます。さらに、スクリプト内から例外がスローされた場合は、取得の失敗とみなされます。

listAll アクション

listAll アクションは、ホストアプリケーションで見つかったユーザー ID のリストを取得します。

listAll アクションが定義されていない場合は、このリソースインスタンスの FormUtil.listResourceObjects メソッドをフォームから呼び出すことはできません。

listAll アクションが定義されておらず、getAccountIterator アクションも定義されていない場合は、アカウントの反復処理 (調整、「リソースから読み込み」) はサポートされません。


キー	値の型	値の説明
hostAccess	com.waveset.adapter.HostAccess	メインフレームへの 3270 エミュレーションアクセスを提供します。
adapter	com.waveset.object.ScriptedHostResourceAdapter	アダプタインスタンス。
action	java.lang.String	「listAll」という文字列。
resultList	java.util.List	スクリプトがこのリストにエントリを追加します。スクリプトがリストに追加する各項目は、ホストアカウント ID に対応する文字列です。
errors	java.util.List	これは、最初は空のリストです。処理中にエラーが発生した場合にスクリプトがこのリストに java.lang.String オブジェクトを追加するように設定する必要があります。
trace	com.waveset.adapter.Trace	実行のトレースに使用されるオブジェクト。スクリプトは、このクラスのメソッドを使用して、それ自体を顧客の環境でデバッグ可能にできます。


キー	値の型	値の説明
hostAccess	com.waveset.adapter.HostAccess	メインフレームへの 3270 エミュレーションアクセスを提供します。
action	java.lang.String	「login」という文字列。
user	java.lang.String	ホストアプリケーション管理ユーザーのユーザー名。
password	com.waveset.util.EncryptedData	ホストアプリケーション管理ユーザーのパスワードを格納する暗号化されたオブジェクト。プレーンテキストに変換するには、decryptToString() を使用します。
errors	java.util.List	これは、最初は空のリストです。処理中にエラーが発生した場合にスクリプトがこのリストに java.lang.String オブジェクトを追加するように設定する必要があります。
trace	com.waveset.adapter.Trace	実行のトレースに使用されるオブジェクト。スクリプトは、このクラスのメソッドを使用して、それ自体を顧客の環境でデバッグ可能にできます。

errors リストに項目が存在する場合は、ログインの失敗とみなされます。さらに、スクリプト内から例外がスローされた場合は、ログインの失敗とみなされます。

logoff アクション

logoff アクションは、ホストからの切断を実行します。これは、接続が不要になった場合に呼び出されます。このアクションは、必ず定義してください。


キー	値の型	値の説明
hostAccess	com.waveset.adapter.HostAccess	メインフレームへの 3270 エミュレーションアクセスを提供します。
action	java.lang.String	「logoff」という文字列。
errors	java.util.List	これは、最初は空のリストです。処理中にエラーが発生した場合にスクリプトがこのリストに java.lang.String オブジェクトを追加するように設定する必要があります。
trace	com.waveset.adapter.Trace	実行のトレースに使用されるオブジェクト。スクリプトは、このクラスのメソッドを使用して、それ自体を顧客の環境でデバッグ可能にできます。

errors リストに項目が存在する場合は、ログオフの失敗とみなされます。さらに、スクリプト内から例外がスローされた場合は、ログオフの失敗とみなされます。

update アクション

update アクションは、ホストアプリケーションのユーザーを更新します。update アクションが定義されていない場合は、ホストアプリケーションのユーザーを更新できません。


キー	値の型	値の説明
hostAccess	com.waveset.adapter.HostAccess	メインフレームへの 3270 エミュレーションアクセスを提供します。
adapter	com.waveset.object.ScriptedHostResourceAdapter	アダプタインスタンス。
action	java.lang.String	「update」という文字列。
id	java.lang.String	変更するユーザーのアカウント ID。
password	java.lang.String	存在する場合、これはユーザーの新しい復号化されたパスワードです。
attributes	java.lang.Map	既存のユーザーで更新する属性のマップ。キーは、設定する属性を識別します。値は、その属性に設定する復号化された値です。
errors	java.util.List	これは、最初は空のリストです。処理中にエラーが発生した場合にスクリプトがこのリストに java.lang.String オブジェクトを追加するように設定する必要があります。
trace	com.waveset.adapter.Trace	実行のトレースに使用されるオブジェクト。スクリプトは、このクラスのメソッドを使用して、それ自体を顧客の環境でデバッグ可能にできます。

errors リストに項目が存在する場合は、更新の失敗とみなされます。さらに、スクリプト内から例外がスローされた場合は、更新の失敗とみなされます。

SSL 設定

SSL または TLS を使用してアダプタを Telnet/TN3270 サーバーに接続する

SSL または TLS を使用してスクリプトホストリソースアダプタを Telnet/TN3270 サーバーに接続するには、次の手順を使用します。

Telnet/TN3270 サーバーの証明書を PKCS #12 ファイル形式で取得します。このファイルのパスワードとして hod を使用します。サーバーの証明書をエクスポートする方法については、使用しているサーバーのマニュアルを参照してください。一般的なガイドラインについては、後述の「PKCS #12 ファイルの生成」の手順を参照してください。

PKCS #12 ファイルから CustomizedCAs.class ファイルを作成します。最新バージョンの HOD を使用している場合は、次のコマンドを使用してこの作業を行います。

..¥hod_jre¥jre¥bin¥java -cp ../lib/ssliteV2.zip;../lib/sm.zip com.ibm.eNetwork.HOD.convert.CVT2SSLIGHT CustomizedCAs.p12 hod CustomizedCAs.class

CustomizedCAs.class ファイルを Identity Manager サーバーのクラスパス内の任意の場所 ($WSHOME/WEB-INF/classes など) に配置します。

「セッションプロパティー」というリソース属性がリソースにまだ存在しない場合は、Identity Manager IDE またはデバッグページを使用して、この属性をリソースオブジェクトに追加します。<ResourceAttributes> セクションに、次の定義を追加します。

</ResourceAttribute>

リソースの「リソースパラメータ」ページに移動し、「セッションプロパティー」リソース属性に次の値を追加します。

SESSION_SSL

true

PKCS #12 ファイルの生成

次の手順は、SSL/TLS を介して Host OnDemand (HOD) リダイレクタを使用した場合の、PKCS #12 ファイルの生成の概要を示しています。このタスクの実行の詳細については、HOD のマニュアルを参照してください。

IBM 証明書管理ツールを使用して、新しい HODServerKeyDb.kdb ファイルを作成します。このファイルの一部として、新しい自己署名付き証明書をデフォルトのプライベート証明書として作成します。

HODServerKeyDb.kdb ファイルの作成時に、「証明書データベースにキーを追加しようとしてエラーが発生した」という内容のメッセージが表示された場合は、1 つ以上の信頼できる認証局証明書の期限が切れている可能性があります。IBM の Web サイトをチェックして、最新の証明書を取得します。

作成したプライベート証明書を Base64 ASCII として cert.arm ファイルにエクスポートします。

IBM 証明書管理ツールを使用して cert.arm ファイルから「署名者証明書」にエクスポートされた証明書を追加することにより、CustomizedCAs.p12 という名前の新しい PKCS #12 ファイルを作成します。このファイルのパスワードとして hod を使用します。

接続のトラブルシューティング

「セッションプロパティー」リソース属性に次の内容を追加することにより、HACL のトレースを有効にできます。

ECLSession=3 ECLPS=3 ECLCommEvent=3 ECLErr=3 DataStream=3 Transport=3 ECLPSEvent=3

Telnet/TN3270 サーバーにも、同じように利用できるログがあります。

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

Identity Manager は、TN3270 を使用してスクリプトホストアダプタと通信します。

必要な管理特権

ホストアプリケーションに接続する Identity Manager 管理者には、ホストアプリケーション内でユーザーの作成と管理を行うための十分な特権が与えられている必要があります。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。


注	トレースパラメータは、改行文字を入れずに列挙してください。テキストボックス内でパラメータが折り返される場合は、そのままでかまいません。


機能	サポート状況
アカウントの有効化/無効化	使用可
アカウントの名前変更	使用不可
アカウントの作成	使用可
アカウントの更新	使用可
アカウントの削除	使用可
パススルー認証	使用不可
前アクションと後アクション	使用可
データ読み込みメソッド	リソースから直接インポート調整

アカウント属性

アカウント属性は管理対象のホストアプリケーションによって異なるため、スクリプトホストアダプタにはデフォルトのアカウント属性が用意されていません。

リソースオブジェクトの管理

アイデンティティーテンプレート

サンプルフォーム

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。

HostAccess クラスのトラブルシューティングの詳細については、TopSecret アダプタの「トラブルシューティング」を参照してください。

Javascript へのコンテキストには、渡される com.waveset.adapter.Trace オブジェクトが常に存在します。com.waveset.adapter.ScriptedHostResourceAdapter でトレースを有効にすると、Javascript でのトレースが有効になります。

また、一時的なトレースを標準出力に表示する場合は、Javascript で Java System.out.println() メソッドを呼び出すことができます。たとえば、次のようにします。

前へ目次索引次へ
Sun Java™ System Identity Manager 7.0 リソースリファレンス

スクリプトホスト