アクセス制御レルムは、ユーザーまたはユーザーのグループと関連付けることのできる認証プロパティーおよび承認ポリシーのグループです。レルムデータは、指定されたデータストアの内部に Access Manager が作成する独自形式の情報ツリーに格納されます。Access Manager フレームワークは、各レルムに含まれるポリシーおよびプロパティーを Access Manager 情報ツリーの内部に集約します。デフォルトでは、Access Manager 7 は自動的に、ユーザーデータとは別の、Sun Java Enterprise System Directory Server 内の特別なブランチとして Access Manager 情報ツリーを挿入します。アクセス制御レルムは、任意の LDAPv3 データベースの使用中に使用できます。
レルムの詳細については、『Sun Java System Access Manager 7 2005Q4 Technical Overview』を参照してください。
「レルム」タブで、アクセス制御に関する次のプロパティーを設定できます。
ここでは、レルムを作成および管理する方法について説明します。
次の一般属性を定義します。
レルムの名前を入力します。
レルムを作成する位置を定義します。その下に新しいレルムが作成される親のレルムを選択します。
次のレルム属性を定義します。
「アクティブ」または「非アクティブ」の状態を選択します。デフォルトは「アクティブ」です。この属性は、レルムの存続期間中であればいつでも「プロパティー」アイコンを選択して変更できます。「非アクティブ」を選択すると、ログイン時のユーザーアクセスが無効になります。
レルムの DNS 名に対するエイリアス名を追加できます。この属性では、実際のドメインエイリアスだけを使用できます。ランダムな文字列は使用できません。
「了解」をクリックして保存するか、「取消し」をクリックして前のページに戻ります。
「一般プロパティー」ページには、レルムの基本属性が表示されます。これらのプロパティーを変更するには、「アクセス制御」タブの下の「レルム名」リストからレルムをクリックします。その後、次のプロパティーを編集します。
「アクティブ」または「非アクティブ」の状態を選択します。デフォルトは「アクティブ」です。この属性は、レルムの存続期間中であればいつでも「プロパティー」アイコンを選択して変更できます。「非アクティブ」を選択すると、ログイン時のユーザーアクセスが無効になります。
レルムの DNS 名に対するエイリアス名を追加できます。この属性では、実際のドメインエイリアスだけを使用できます。ランダムな文字列は使用できません。
プロパティーを編集したら、「保存」をクリックします。
ユーザーがほかの認証モジュールを使ってログインできるようにするには、事前に一般認証サービスをサービスとしてレルムに登録する必要があります。コア認証サービスでは、Access Manager 7 管理者がレルムの認証パラメータのデフォルト値を定義できます。その後、指定された認証モジュールでオーバーライド値が定義されない場合にこれらの値を使用できます。コア認証サービスに対するデフォルト値は amAuth.xml ファイルで定義され、インストール後に Directory Server に格納されます。
詳細については、第 7 章「認証の管理」を参照してください。
Access Manager におけるサービスとは、Access Manager コンソールでひとまとめに管理される属性のグループのことです。社員の氏名、役職、電子メールアドレスなど、関連性のある情報を属性として扱うことができます。ただし、属性は一般に、メールアプリケーションや給与支払サービスのようなソフトウェアモジュール用の設定パラメータとして使用されます。
「サービス」タブでは、多数の Access Manager デフォルトサービスをレルムに追加し、設定できます。次のサービスを追加できます。
管理
ディスカバリサービス
国際化設定
パスワードリセット
セッション
ユーザー
Access Manager は、サービスの .xml ファイルの必須属性に一部のデフォルト値が含まれるようにします。値のない必須属性のあるサービスがある場合は、デフォルト値を追加してサービスを再読み込みします。
「サービス」タブを選択します。
「サービス」リスト内の「追加」をクリックします。
レルムに追加するサービスを選択します。
「次へ」をクリックします。
レルム属性を定義して、サービスを設定します。サービス属性の詳細については、オンラインヘルプの「設定」を参照してください。
「終了」をクリックします。
サービスのプロパティーを編集するには、「サービス」リスト内の名前をクリックします。
権限は、レルムの内部に存在するロールまたはグループへのアクセス権を定義します。ロールまたはグループは、Access Manager アイデンティティー対象タイプに対するポリシー対象定義として使用されます。権限の割り当てまたは変更を行うには、編集するロールまたはグループの名前をクリックします。割り当てることができる権限には次のものがあります。
ポリシープロパティーのみに対する読み取りおよび書き込みアクセス
すべてのレルムプロパティーおよびポリシープロパティーに対する読み取りおよび書き込みアクセス
すべてのプロパティーおよびサービスに対する読み取り専用アクセス