Identity Manager には、旧バージョンモードで実行されている Sun Java^TM System Access Manager をサポートするための Sun Access Manager リソースアダプタが用意されています。

このアダプタは、com.waveset.adapter.SunAccessManagerResourceAdapter クラスで定義されます。

リソースを設定する際の注意事項

Policy Agent は、シングルサインオン (SSO) を有効にするために使用できるオプションモジュールです。使用している環境内でこの製品を使用していない場合は、Policy Agent の設定手順やインストール手順を実行しないでください。

次に、Sun Java System Access Manager および Policy Agent のインストールと設定の方法について説明します。

Sun Java System Access Manager (Access Manager 7.0 より前のバージョン) のインストールと設定

Access Manager が Identity Manager サーバーとは異なるシステム上にインストールされている場合は、Identity Manager システムで次の手順を実行します。


注	Sun Access Manager リソースアダプタは、旧バージョンモードで実行されているリソースに使用します。 Sun Access Manager レルムリソースアダプタは、レルムモードで実行されているリソースに使用します。このアダプタについては、「Sun Access Manager レルム」を参照してください。


注	Access Manager 7 以降の場合、このアダプタでは旧バージョンモードのみがサポートされます。レルムモードはサポートされません。ただし、旧バージョンモードによる Access Manager 7 をサポートするアダプタの設定については、Sun Access Manager レルムアダプタの「リソースを設定する際の注意事項」および「Identity Manager 上で設定する際の注意事項」を参照してください。

Sun Java System Access Manager サーバーからコピーするファイルを配置するディレクトリを作成します。この手順では、このディレクトリは CfgDir という名前にします。Access Manager がインストールされている場所を AccessMgrHome とします。

次のファイルを AccessMgrHome から CfgDir にコピーします。ディレクトリ構造はコピーしないでください。

lib/*.*

locale/*.properties

config/serverconfig.xml

config/SSOConfig.properties (Identity Server 2004Q2 以降)

config/ums/ums.xml

UNIX では、全体的な読み取りアクセスを許可するために CfgDir 内の jar ファイルのアクセス権を変更しなければならない場合があります。アクセス権を変更するには、次のコマンドを実行します。

chmod a+r CfgDir/*.jar

次のように JAVA クラスパスを付加します。

Windows の場合: CfgDir;CfgDir/am_sdk.jar;CfgDir/am_services.jar;
CfgDir/am_logging.jar

UNIX の場合: CfgDir:CfgDir/am_sdk.jar:CfgDir/am_services.jar:
CfgDir/am_logging.jar

Identity Server 6.0 を使用する場合は、CfgDir を指す Java システムプロパティーを設定します。次のようなコマンドを使用します。

java -Dcom.iplanet.coreservices.configpath=CfgDir

バージョン 6.1 以降を使用する場合は、CfgDir/AMConfig.properties ファイルで、次の行を追加または編集します。

com.iplanet.services.configpath=CfgDir
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.
SecureRandomFactoryImpl

com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.
JSSESocketFactory

com.iplanet.security.encryptor=com.iplanet.services.util.
JCEEncryption

最初の行では configpath を設定しています。最後の 3 行ではセキュリティー設定を変更しています。

CfgDir/am_*.jar ファイルを $WSHOME/WEB-INF/lib にコピーします。Identity Server 6.0 を使用する場合は、jss311.jar ファイルも $WSHOME/WEB-INF/lib ディレクトリにコピーします。

Identity Manager が Windows 上で稼働している環境で Identity Server 6.0 を使用する場合は、IdServer¥lib¥jss¥*.dll を CfgDir にコピーし、CfgDirをシステムパスに追加します。



注	Identity Manager が Access Manager とは異なるシステム上にインストールされている環境では、以降のエラー条件を確認してください。Access Manager リソースへの接続時にエラー java.lang.ExceptionInInitializerError が返され、それに続く試行で java.lang.NoClassDefFoundError が返される場合は、設定データに誤りまたは欠落がないか確認します。また、java.lang.NoClassDefFoundError で示されたクラスの jar ファイルも確認します。そのクラスが含まれている jar ファイルのクラスパスを、アプリケーションサーバーの JAVA クラスパスに付加します。

手順 6 で示されたすべてのデータが CfgDir に含まれていること、およびすべての設定プロパティーが正しく割り当てられていることを確認します。

Sun Java System Access Manager (バージョン 7.0 以降) のインストールと設定

旧バージョンモードによる Access Manager 7 をサポートするアダプタの設定については、Sun Access Manager レルムアダプタの「リソースを設定する際の注意事項」および「Identity Manager 上で設定する際の注意事項」を参照してください。

Policy Agent のインストールと設定

Identity Manager サーバーに適切な Access Manager Policy Agent をインストールします。Policy Agent は次の場所から入手できます。

Policy Agent に付属するインストール手順書に従ってください。その後、次に示す作業を実行します。

AMAgent.properties ファイルの編集

Identity Manager を保護できるように AMAgent.properties ファイルを変更します。このファイルは次のディレクトリにあります。

必ず、前述したディレクトリにあるファイルを使用してください。AgentInstallDir¥config ディレクトリにあるファイルは使用しないでください。

AMAgent.properties ファイル内の次の行を見つけます。

com.sun.identity.agents.config.cookie.reset.enable = false
com.sun.identity.agents.config.cookie.reset.name[0] =
com.sun.identity.agents.config.cookie.reset.domain[] =
com.sun.identity.agents.config.cookie.reset.path[] =

これらの行を次のように編集します。

com.sun.identity.agents.config.cookie.reset.enable = true
com.sun.identity.agents.config.cookie.reset.name[0] = AMAuthCookie
com.sun.identity.agents.config.cookie.reset.domain[0] = .example.com
com.sun.identity.agents.config.cookie.reset.path[0] = /

次の行を追加します。

com.sun.identity.agents.config.cookie.reset.name[1] = iPlanetDirectoryPro
com.sun.identity.agents.config.cookie.reset.domain[1] = .example.com
com.sun.identity.agents.config.cookie.reset.path[1] = /

次の行を見つけます。

com.sun.identity.agents.config.profile.attribute.fetch.mode = NONE
com.sun.identity.agents.config.profile.attribute.mapping[] =

これらの行を次のように編集します。

com.sun.identity.agents.config.profile.attribute.fetch.mode = HTTP_HEADER
com.sun.identity.agents.config.profile.attribute.mapping[uid] = sois_user

変更を有効にするために、Web サーバーを再起動します。

Access Manager のポリシーの作成

Access Manager 上で、次の規則を設定した IDMGRという名前 (または類似する名前) の新しいポリシーを作成します。


サービスのタイプ	リソース名	アクション
URL ポリシーエージェント	http://server:port/idm	GET アクションと POST アクションを許可します
URL ポリシーエージェント	http://server:port/idm/*	GET アクションと POST アクションを許可します

1 つ以上の主体を IDMGR ポリシーに割り当てます。

Identity Manager 上で設定する際の注意事項

ここでは、Sun Access Manager リソースアダプタおよび Policy Agent のインストールと設定の注意点について説明します。

Sun Access Manager リソースアダプタ

それ以外の場合は、AccessMgrHome/lib/am_*.jar ファイルを $WSHOME/WEB-INF/lib にコピーします。Identity Server 6.0 を使用する場合は、jss311.jar ファイルも $WSHOME/WEB-INF/lib ディレクトリにコピーします。

ファイルのコピーが終了したら、Access Manager リソースを Identity Manager リソースリストに追加するため、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加します。

Policy Agent

Access Manager ログインモジュールが最初に表示されるように、管理者およびユーザーのログインモジュールを変更します。


注	この手順を実行する前に、Access Manager リソースを設定してください。

Identity Manager 管理者インタフェースのメニューバーで、「セキュリティー」を選択します。

「ログイン」タブをクリックします。

ページの下部にある「ログインモジュールグループの管理」ボタンをクリックします。

変更するログインモジュールを選択します。たとえば、「アイデンティティーシステムのデフォルトの ID/パスワードログインモジュールグループ」を選択します。

「ログインモジュールの割り当て」選択ボックスで、「Sun Access Manager ログインモジュール」を選択します。

「ログインモジュールの割り当て」オプションの横に新しく「選択」オプションが表示されたら、適切なリソースを選択します。

「ログインモジュールの修正」ページが表示されたら、表示されているフィールドを必要に応じて編集し、「保存」をクリックします。「ログインモジュールグループの修正」がもう一度表示されます。

モジュールグループの最初のリソースとして「Sun Access Manager ログインモジュール」を指定し、「保存」をクリックします。

使用上の注意

WebLogic の下で Identity Manager を実行している環境で、Access Manager で行われたネイティブ変更が Identity Manager に表示されない場合は、weblogic.jar の前のクラスパスに am_services.jar を追加します。

複数のプロトコルハンドラがある場合は、次のようにプロトコルハンドラを設定します。

セキュリティーに関する注意事項

ここでは、サポートされる接続と、基本タスクの実行に必要な認証要件について説明します。

サポートされる接続

Identity Manager は、SSL 経由の JNDI を使用してこのアダプタと通信します。

必要な管理特権

Access Manager に接続するユーザーに、ユーザーアカウントを追加または変更するためのアクセス権を付与してください。

プロビジョニングに関する注意事項

ここでは、このアダプタのプロビジョニング機能の概要を表に示します。


機能	サポート状況
アカウントの有効化/無効化	使用可
アカウントの名前の変更	使用不可
パススルー認証	使用可。シングルサインオンには Web Proxy Agent が必要です。
前アクションと後アクション	使用不可
データ読み込みメソッド	リソースから直接インポートリソースの調整

アカウント属性

次の表に、デフォルトでサポートされる Access Manager ユーザーアカウント属性の一覧を示します。特に記載されていないかぎり、属性はすべて省略可能です。


リソースユーザー属性	リソース属性タイプ	説明
cn	String	必須。ユーザーのフルネーム。
dynamicSubscriptionGroups	String	ユーザーが登録されている動的グループのリスト。
employeeNumber	Number	ユーザーの従業員番号。
givenname	String	ユーザーの名。
iplanet-am-user-account-life	Date	ユーザーアカウントが期限切れになる日時。この値が設定されていない場合、アカウントは期限切れになりません。
iplanet-am-user-alias-list	String	ユーザーに適用される可能性がある別名のリスト。
iplanet-am-user-failure-url	String	認証の失敗時にユーザーがリダイレクトされる URL。
iplanet-am-user-success-url	String	認証の成功時にユーザーがリダイレクトされる URL。
mail	Email	ユーザーの電子メールアドレス。
postalAddress	String	ユーザーの自宅住所。
roles	String	ユーザーに割り当てられたロールのリスト。
sn	String	ユーザーの姓。
staticSubscriptionGroups	String	ユーザーが登録されている静的グループのリスト。
telephoneNumber	String	ユーザーの電話番号。
uid	String	必須。ユーザーの一意のユーザー ID。
userPassword	Password	必須。ユーザーのパスワード。

リソースオブジェクトの管理

Identity Manager は、次の Access Manager オブジェクトをサポートしています。


リソースオブジェクト	サポートされる機能	管理される属性
Role	表示、更新、削除	cn、iplanet-am-role-aci-description、 iplanet-am-role-description、 iplanet-am-role-type、accountMembers
Static subscription group	表示、作成、更新、削除、名前を付けて保存	cn、iplanet-am-group-subscribable、uniqueMember
Filtered group	表示、作成、更新、削除、名前を付けて保存	cn、accountMembers、membershipFilter
Dynamic subscription group	表示、作成、更新、削除、名前を付けて保存	cn、accountMembers、 iplanet-am-group-subscribable
Organization	表示、作成、削除、名前を付けて保存、検索	o

アイデンティティーテンプレート

デフォルトのアイデンティティーテンプレートは次のとおりです。

デフォルトのテンプレートを有効な値に置き換えてください。

サンプルフォーム

ここでは、組み込みのサンプルフォームと、Sun Access Manager リソースアダプタで利用できるその他のサンプルフォームの一覧を示します。

組み込みのフォーム

その他の利用可能なフォーム

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスにトレースオプションを設定します。

前へ目次索引次へ
Sun™ Identity Manager 8.0 リソースリファレンス