Sun Java™ System Identity Manager 7.0 リソースリファレンス |
SecurID ACE/ServerIdentity Manager には、次のバージョンの RSA SecurID ACE/Server をサポートするためのリソースアダプタが用意されています。
次の表に、これらのアダプタの属性を要約します。
GUI 名
クラス名
SecurID ACE/Server
com.waveset.adapter.SecurIdResourceAdapter
SecurID ACE/Server UNIX
com.waveset.adapter.SecurIdUnixResourceAdapter
リソースを設定する際の注意事項
SecurID が Windows 上にインストールされている場合、このアダプタは、インストールされているバージョンの RSA ACE/Server に付属する apidemon と接続します。ACE/Server のインストールディレクトリ (デフォルトでは c:¥ace¥utils¥toolkit¥apidemon.exe) から c:¥winnt¥system32 または c:¥windows¥system32 に apidemon をコピーします。
UNIX アダプタは、RSA ACE/Server Administration Toolkit TCL API を使用します。この API は、ACEInstallDir/utils/tcl/bin ディレクトリに置かれている必要があります。ACEInstallDir の値は、リソースパラメータとして指定されます。ツールキットは、RSA 発行の『Customizing Your RSA ACE/Server Administration』に記載されているとおりに設定してください。
さらに、Identity Manager で RSA ユーザーやほかの ACE データベースオブジェクトを管理できるように、次の条件に適合していることを必ず確認してください。
現在の RSA ACE/Server システムポリシーでは必要な文字 (たとえば英数字による PIN) を使用したパスワードの設定が許可されない場合や、ユーザーパスワードの有効期限のデフォルト設定を変更する必要がある場合は、RSA ACE/Server Database コンソールでシステムパラメータを編集します。
RSA ACE/Server の管理者コンソールで変更したパスワードは、このユーザーが最初にログインしたときに期限切れになるワンタイムパスワードです。RSA ACE Agent の Test Authentication 機能を使用してログインすると、このユーザーのパスワードを、すぐに期限切れにならないパスワードに変更できます。パスワードを同じ値に変更してもかまいません。そうすれば、リソースアダプタで指定されたパスワードとも同じままになります。
- Windows では、Identity Manager のゲートウェイが稼働するホスト用に RSA ACE Agent Host を追加してください。これは、RSA ACE Server が稼働しているシステムの Database Administration - Host Mode コンソールインタフェースで設定できます。DNS のホスト名とネットワークアドレスを設定し、アクセスできるユーザーを指定してください。さらに、エージェントタイプを「Net OS Agent」に設定してください。
- SecurId グループ名またはサイト名にコンマが含まれていると、Identity Manager は名前を正しく解析できない場合があります。SecurId グループ名およびサイト名にはコンマを使用しないでください。
Identity Manager 上で設定する際の注意事項
SecurID が Windows 上にインストールされている場合、Identity Manager のゲートウェイは、RSA ACE/Server がインストールされているシステムと同じシステム上で稼働させてください。
使用上の注意
ここでは、SecurID ACE/Server リソースアダプタの使用に関連する情報を提供します。次のトピックで構成されています。
UNIX でのパススルー認証の有効化
UNIX では RSA C API がサポートされないため、SecurID ACE/Server UNIX アダプタでパススルー認証を有効にするプロセスは単純ではありません。このアダプタでパススルー認証を実行するには、次のようなコンポーネント間の対話が必要になります。
Identity Manager <--> SecurID Unix リソースアダプタ <--> SecurID Windows アダプタ <--> Sun Identity Manager Gateway <--> RSA ACE Agent for Windows <--> RSA Unix Server
SecurID ACE/Server UNIX アダプタでパススルー認証を有効にするときは、設定および実装で次の点に注意してください。
- Sun Identity Manager Gateway と RSA ACE Agent Host は、同じ Windows ホスト上にある必要があります。詳細については、「リソースを設定する際の注意事項」を参照してください。
- UNIX RSA サーバー自体がクライアントとして表示される場合、ユーザーの認証に使用するアカウントは UNIX リソースで定義されている必要があります。詳細については、「リソースを設定する際の注意事項」を参照してください。
- SecurID ACE/Server UNIX アダプタで「ACE サーバー認証リソース」リソースパラメータの値を指定してください。この値は、有効な SecurID ACE/Server (Windows 用) アダプタで指定されたリソース名と一致している必要があります。
- SecurID の認証ポリシーでは、UNIX SecurID サーバーが RSA ACE Agent for Windows を認識する必要があります。sdconf.rec ファイルを Windows ホスト上に存在させ、正しく設定してください。
- ユーザーがパススルー認証を使用するには、RSA ACE Agent for Windows をアクティブにしてください。
- Identity Manager が、SecurID ACE/Server または SecurID ACE/Server UNIX のログインモジュールを使用するように設定してください。
- 認証対象のユーザーは、Identity Manager ロールと組織で設定されている必要があります。
複数のトークンの有効化
どちらの SecurID リソースアダプタでも、デフォルトのスキーママップは、管理者が 1 つのトークンを指定できるように設定されます。InstallDir¥samples¥forms ディレクトリにある SecurID User Formを使用する場合は、次の手順を実行して最大 3 つのトークンを有効にします。
- 次のSecurID User Formのセクションを編集します。
<FieldLoop for='tokenNum'>
<expression>
<ref>oneTokenList</ref>
</expression>oneTokenList を threeTokenList に変更します。
- このユーザーフォームを Identity Manager に読み込みます。
- SecurID ACE/Server スキーママップの左側で、次の Identity Manager ユーザー属性の名前を変更します。
- 2 番目のトークンを格納するために、次のフィールドをスキーママップに追加します。
- 2 番目のトークンを格納するために、次のフィールドをスキーママップに追加します。
ステータスによるトークンの取得
SecurId アダプタは、トークン型、ステータス、有効期限など、指定された特性セットに適合するトークンのリストを返すことができます。たとえば、ユーザーフォームの次の部分は、割り当てられていない 128 ビットトークンすべてのリストを返します。
<defvar name='unassignedTokens'>
<invoke name='listResourceObjects' class='com.waveset.ui.FormUtil'>
<ref>:display.session</ref>
<s>ListTokensByField</s>
<ref>resource</ref>
<map>
<s>field</s>
<s>7</s>
<s>compareType</s>
<s>2</s>
<s>value</s>
<s>128</s>
<s>templateParameters</s>
<ref>accounts[$(resource)].templateParameters</ref>
</map>
<s>false</s>
</invoke>
</defvar>field、compareType、および value の各文字列に代入できる値は、RSA Sd_ListTokensByField 関数のマニュアルに定義されています。詳細については、RSA 発行の『Customizing Your RSA ACE/Server Administration』を参照してください。
パスワードポリシー
Identity Manager で英字を含むパスワードを使用していて、SecurID では PIN に英字が許可されない場合は、次のメッセージが表示されます。
SecurId ACE/Server: (realUpdateObject) Sd_SetPin Error Alpha characters not allowed
このエラーを解決するには、リソースの Identity Manager パスワードポリシーが英字を含めないように変更するか、またはリソースの PIN 制限が英字を許可するように変更します。
セキュリティーに関する注意事項
ここでは、サポートされる接続と特権の要件について説明します。
サポートされる接続
Identity Manager は、次のどちらかを使用して SecurID ACE/Server アダプタと通信することができます。
必要な管理特権
「ログイン ユーザー」リソースパラメータ (UNIX の場合) または「管理者ログイン」リソースパラメータ (Windows の場合) で指定されたユーザーは、ユーザー関連タスクとトークン関連タスクを実行できる管理者ロールに割り当てられている必要があります。
テスト接続を使用して次のテストができます。
テスト接続では、通常のプロビジョニング実行とは異なるコマンドオプションを使用できます。
プロビジョニングに関する注意事項
次の表に、このアダプタのプロビジョニング機能の概要を示します。
アカウント属性
次の表に、SecurID ACE/Server アカウント属性に関する情報を示します。特に記載されていないかぎり、属性のデータ型はすべて String です。
SecurID ACE/Server アダプタは、複数の値を含むカスタムアカウント属性 (SecurId では User Extension Data と呼ばれる) をサポートしません。
リソースオブジェクトの管理
なし
アイデンティティーテンプレート
$accountId$
サンプルフォーム
SecurID User Form
トラブルシューティング
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。
また、次のメソッドに対してトレースを有効にすることで接続の問題について診断できます。