|
| |
| Sun™ Identity Manager 8.0 リソースリファレンス | |
第 7 章
SNC (Secure Network Communications) 接続の有効化この章では、Access Enforcer、SAP、および SAP HR リソースアダプタが SNC (Secure Network Communications) を使用して安全に SAP システムと通信できるようにする方法について説明します。別のサードパーティー製品である Secude セキュリティーログインを入手する必要があります。この製品の詳細については、http://www.secude.com を参照してください。
SNC 接続を有効にするには、この製品をインストールして、Identity Manager の PSE (Personal Security Environment) を作成する必要があります。これらの作業の実行については、Secude セキュリティーログインの製品マニュアルを参照してください。
SNC 接続を有効にするには、次の作業を実行します。
SNC 通信のクレデンシャルを作成するSNC を正しく機能させるには、cred_v2 という名前のクレデンシャルファイルを生成する必要があります。このファイルは、CREDDIR 環境変数で指定されたディレクトリに格納されます。このファイルに含まれるクレデンシャルを作成するには、secude seclogin コマンドを使用します。
$ secude seclogin -p idm.pse -a "Identity Manager" -O OS_User -1
-a "Identity Manager" 引数は省略可能です。-O 引数は、アプリケーションサーバーを実行するオペレーティングシステムユーザーの名前にするようにしてください。
Identity Manager の証明書を取得するSNC には、SAP システムとのセキュア接続を設定するための証明書が必要です。この証明書は、Identity Manager PSE から取得できます。この証明書を Identity Manager PSE からエクスポートし、base64 エンコーディングに変換する必要があります。
Identity Manager のアダプタ設定で使用する Base64 で符号化された証明書を取得するには、次のコマンドを使用します。最初のコマンドは、証明書を PKCS12 エンコーディングにエクスポートします。2 番目のコマンドは、この証明書を必要な base64 エンコーディングに変換します。
$ secude psemaint-p idm.pse export Cert PKCS12_File
$ secude encode -i 2048 PKCS12_File Base64_File
Identity Manager の識別名 (DN) を取得するIdentity Manager PSE に含まれている証明書は、PSE の作成時に決定されました。PSE から Identity Manager の DN を取得するには、次のいずれかのコマンドを使用します。
UNIX の場合:
$ secude psemaint -p idm.pse show Cert 2>&1 | grep SubjectName
Windows の場合:
C:> secude psemaint -p idm.pse show Cert | findstr SubjectName
SAP システムの識別名 (DN) を取得するSAP システムの DN は、SAP システムにインストールされている証明書に含まれています。この DN を取得するには、SAP GUI を使用して SAP システムにログインします。
Identity Manager アプリケーションサーバーを設定するIdentity Manager のアプリケーションサーバーには、次の環境変数が定義されている必要があります。さらに、CREDDIR 変数で指定されたディレクトリに対する読み取り/書き込み権が必要です。
CREDDIR =PathToPSELocation (すべて)
SNC_LIB=PathToSecudeLibrary/secude_library (すべて)
LD_LIBRARY_PATH =PathToSecudeLibraries (Solaris および Linux のみ)
LIBPATH =PathToSecudeLibraries (AIX のみ)
SHLIB_PATH =PathToSecudeLibraries (HP-UX のみ)
PATH =PathToSecudeLibraries (Windows のみ)
アダプタを設定するSAP アダプタには、SNC が正しく機能するために設定する必要のあるいくつかのリソースパラメータが必要です。この手順には、Identity Manager の証明書、Identity Manager の DN、および SAP システムの DN が必要です。
- 「SNC 保護レベル」 - プライバシーのレベルを示す数字 (1 〜 9)。この値は、SAP システム上の値セットに一致している必要があります。
- 「SNC 名」 - 前に p: が付加された Identity Manager の識別名 (DN)。たとえば、p:CN=IdentityManager,OU=IDM,O=Example,C=US になります。
- 「SNC パートナー名」 - 前に p: が付加された SAP の DN。たとえば、p:CN=SAPHost,OU=IDM,o=Example,c=us になります。
- 「SNC X509 証明書」 - Identity Manager の証明書を入力します。BEGIN と END CERTIFICATE の行を削除し、改行文字をすべて削除する必要があります。
- 「SNC ライブラリパス」 - SNC 暗号化ライブラリファイルのフルパス。ファイル拡張子 (.so、.a、または .dll) を含みます。