![]() | |
Sun Java System アイデンティティインストールパック 2005Q4M3 SP4 リリースノート |
ドキュメントの追加事項と修正事項
Identity システムソフトウェアガイドについてIdentity システムソフトウェアのドキュメントは、複数のガイドから構成され、Identity Install Pack CD に Acrobat (.pdf) 形式で収録されています。本リリースには次のガイドが含まれています。
Identity システムソフトウェア
『Install Pack Installation』 (Identity_Install_Pack_Installation_2005Q4M3.pdf) − Identity システムソフトウェアのインストールと更新の方法を説明します。
Identity Manager
- 『Identity Manager 管理ガイド』 (IDM_Administration_2005Q4M3.pdf) − Identity Manager の管理者とユーザーのインタフェースについて説明します。
- 『Identity Manager Upgrade』 (IDM_Upgrade_2005Q4M3.pdf) − アップグレードのための計画とアップグレードの実行に役立つ情報が記載されています。
注 このリリースでは、『Identity Manager Technical Deployment』および『Identity Manager Technical Reference』が次のマニュアルに再編成されています。
- 『Identity Manager Technical Deployment Overview』 (IDM_Deployment_Overview_2005Q4M3.pdf) − オブジェクトのアーキテクチャーなど、Identity Manager 製品の概念面の概要を示し、製品の基本コンポーネントを紹介します。
- 『Identity Manager Workflows, Forms, and Views』 (IDM_Workflows_Forms_Views_2005Q4M3.pdf) − リファレンスと手順説明を通じて、Identity Manager のワークフロー、フォーム、およびビューの使用法を説明します。これらのオブジェクトをカスタマイズするために必要なツールに関する情報も記載されています。
- 『Identity Manager Deployment Tools』 (IDM_Deployment_Tools_2005Q4M3.pdf) − リファレンスと手順説明を通じて、各種の Identity Manager 配備ツールの使用法を説明します。規則と規則ライブラリ、共通のタスクとプロセス、辞書のサポート、Identity Manager サーバーによって提供される SOAP ベースの Web サービスインタフェースなどの事項についても説明します。
- 『Identity Manager Resources Reference』 (IDM_Resources_Reference_2005Q4M3.pdf) − リファレンスと手順説明を通じて、アカウント情報をリソースから Sun JavaTM System Identity Manager にロードして同期する方法を説明します。追加のアダプタについては、ResourcesRef_Addendum_2005Q4M3SP1.pdf で説明しています。
- 『Identity Manager Audit Logging』 (IDM_Audit_Logging_2005Q4M3.pdf) − リファレンスと手順説明を通じて、アカウント情報をリソースから Sun JavaTM System Identity Manager にロードして同期する方法を説明します。
- 『Identity Manager Tuning, Troubleshooting, and Error Messages』 (IDM_Troubleshooting_2005Q4M3.pdf) − リファレンスと手順説明を通じて、Identity Manager のエラーメッセージと例外について説明し、作業中に発生する可能性のある問題を追跡して解決する手順を示します。
Identity Auditor
『Identity Auditor 管理ガイド』 (IDA_Administration_2005Q4M3.pdf) − Identity Auditor の管理者インタフェースについて説明します。
Identity Manager Service Provider Edition
オンラインガイドの操作ガイドを操作するには、Acrobat のブックマーク機能を使用します。ブックマークパネルの節タイトルをクリックすると、ドキュメント内のその節の位置にジャンプできます。
Web ブラウザから idm/doc ディレクトリにアクセスすることで、すべての Identity Manager インストールで Identity Manager のドキュメントを表示できます。
Install Pack Installation修正すべき事項
Preface
「How to Find Information in this Guide」から「Appendix H」への間違った相互参照を削除する必要があります。(ID-12369)
第 1 章「Before You Install」
- これまでサポートされていたリソース Microsoft Exchange 5.5 は非推奨となったため、「Supported Resources」の表から削除する必要があります。(ID-12682)
- 「Supported Resources」の表にサポートリソースとして Lotus Notes&174; 6.5.4 (Domino) を追加する必要があります。(ID-12226)
- 複数インスタンスでサポートされる Java のバージョンとして JDK 1.5 を追加する必要があります。(ID-12984)
- 「Supported Resources」の表の ERP システム SAP の情報を次のように変更する必要があります。(ID-12635)
- 「Supported Resources」の表の Red Hat の情報を次のように変更する必要があります。
- 「Supported Software and Environments」に「Repository Database Servers」の節、および次の情報を追加する必要があります。(ID-12425)
第 2 章「Installing Identity Installation Pack for Tomcat」
この章で、Apache Tomcat アプリケーションサーバー Versions 4.1.x および 5.0.x について記述します。
第 4 章「Installing Identity Installation Pack for WebSphere」
- この章で Websphere 5.1 express および 6.0 のインストールについて説明します。 (ID-12655、12656) 次の注意事項と情報を、それぞれ示された箇所に追加する必要があります。
注 次の手順は、Identity Installation Pack 6.0 以降をインストールする場合は必要ありません。
4. ステージングディレクトリに移動し、次のファイルが存在していれば削除します。
WEB-INF#yen;lib#yen;cryptix-jce-provider.jar
WEB-INF#yen;lib#yen;cryptix-jce-api.jar
25. 次の WebSphere のサイトから最新の jlog package をダウンロードします。
http://www.alphaworks.ibm.com/tech/loggingtoolkit4j
注 WebSphere 6.0 には、jlog package が組み込まれています。ダウンロードが必要なのは、それより前のバージョンの場合だけです。
- このリリースでは JDK 1.4.2 のインストールが必要なため、「For JDK 1.3.x:」の節は不要になりました。同じ章の「For JDK 1.4」は「For JDK 1.4.2」が正しい節タイトルです。
第 7/8 章「Installing Identity Installation Pack for Sun ONE/Sun Java System Application Server 7/8」
- 「Installation Steps」 > 「Step 5: Edit the server.policy File」 > 「example permissions」に、次の修正された情報を追加する必要があります。(ID-12292)
permission java.io.FilePermission "/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/ idm/config/trace1.log", "read,write,delete";
permission java.io.FilePermission "$(java.io.tmpdir)$(/)*", "read,write,delete";
- 「Installation Steps」 > 「Step 5: Edit the server.policy File」 > 「example permissions」に、次の情報を追加する必要があります。
Identity Manager Service Provider Edition で実行する場合は、前に述べた server.policy ファイルのエントリに次のアクセス権を追加します。
permission java.lang.RuntimePermission "shutdownHooks";
第 14 章「UnInstalling Applications」
「Remove the Software」 > 「On UNIX」 > 「Step 3」の構文例から _Version_ を削除する必要があります。(ID-7762)
第 15 章「Installing The Applications (Manual Installation)」
「Installation Steps」 > 「Step 3: Configure the Identity Install Pack Index Database Connection」 > 「Non-Xwindows Environments」 > 「Step 3」の構文例を次のように修正する必要があります。(ID-5821)
3. 次のコマンドを使ってライセンスキーを設定します。
cd idm/bin
./lh license set -f LicenseKeyFileAppendix A:「Index Database Reference」
SQL Server について説明する行を次のように変更する必要があります。
Appendix C:「Configuring Data Sources for Identity Manager」
- 複数の IIOP URL はサポートされていません。(ID-12499) 「Configuring a WebSphere Data Source for Identity Manager」 > 「Configuring a Websphere 5 Data Source」 > 「Configure the DataSource in a Websphere Cluster」にある、次のような間違った情報を削除する必要があります。
アプリケーションサーバーに、BOOTSTRAP_ADDRESS プロパティーで指定されたポートと同じポートがない場合、java.naming.provider.url で複数の URL を指定できます。次に例を示します。
iiop://localhost:9812,iiop://localhost:9813
- WebSphere version 5 で使用される j2c プロパティーは、WebSphere version 6 ではすべて resources.xml ファイルに組み込まれました。Websphere 5.1/6.x データソースの設定および 6.x 認証データの設定についての説明を追加する必要があります。Websphere 4.x データソースの設定についての情報を削除する必要があります。(ID-12767) この変更には次の節が関係します。
JDBC プロバイダの設定
WebSphere の管理コンソールを使用して新規の JDBC プロバイダを設定します。
- 左パネルの「リソース」タブをクリックして、リソースタイプの一覧を表示します。
- 「JDBC プロバイダー」をクリックして、設定済み JDBC プロバイダの表を表示します。
- 設定済み JDBC プロバイダの表の上にある「新規作成」ボタンをクリックします。
- JDBC データベースタイプの一覧から jdbc タイプと実装タイプを選択します。「次へ」をクリックします。
この例では、Oracle、Oracle JDBC Drive、および接続プールデータソースが使用されます。
- 全般プロパティーの設定を続けます。
- 名前を指定します。
- 「クラスパス」フィールドに、JDBC ドライバを含む JAR のパスを指定します。たとえば、Oracle thin ドライバを指定するには、次のようなパスを指定します。
/usr/WebSphere/AppServer/installedApps/idm/idm.ear/idm.war/WEB- INF/lib/oraclejdbc.jar
注 管理コンソールから、JDBC ドライバを含む JAR のパスを指定することができます。「環境」メニューから「WebSphere 変数の管理」を選択します。そのパネルで、まず、この環境変数の定義に関係するセル、ノード、およびサーバーを選択します。それから、この変数の値として JAR のパスを指定します。
- 「インプリメンテーションクラス名」フィールドに、JDBC ドライバクラスの完全修飾名を指定します。
- プロバイダの名前や説明を自由に変更することもできます。
作業が完了したら、表の下にある「OK」ボタンをクリックします。追加したプロバイダが、右側のパネルに表示されます。
この JDBC プロバイダを使用するデータソースを設定するには、「Point the Identity Manager Repository to the Data Source」を参照してください。
Websphere JDBC データソースの設定
データソースの設定を完了する前に、認証データを設定する必要があります。これらの別名には、DBMS への接続に使用される資格が含まれます。
5.1 認証データの設定
次に、データソースを設定します。
6.x 認証データの設定
- 「セキュリティー」 > 「グローバルセキュリティー」をクリックします。
- 「認証」で、「JAAS 構成」 > 「J2C 認証データ」をクリックします。「J2C 認証データエントリー」パネルが表示されます。
- 「新規作成」をクリックします。
- 一意の別名、有効なユーザー ID、有効なパスワード、および短い説明 (省略可) を入力します。
- 「OK」または「適用」をクリックします。ユーザー ID とパスワードの検証は不要です。
- 「保存」をクリックします。
注 新しく作成したエントリは、データソース定義で使用するアプリケーションサーバープロセスを再起動しなくても表示されます。ただし、そのエントリを有効にするにはサーバーの再起動が必要です。
データソースの設定
注 Websphere 5.x クラスタ内のデータソースを設定する場合の詳細については、「Configure the DataSource in a Websphere Cluster」を参照してください。
- 左パネルの「リソース」タブをクリックして、リソースタイプの一覧を表示します。
- 「JDBC プロバイダー」をクリックして、設定済み JDBC プロバイダの表を表示します。
- 表にある JDBC プロバイダの名前をクリックします。右パネルに、選択した JDBC プロバイダに設定されている全般プロパティーの表が表示されます。
- 追加プロパティーの表までスクロールします。「データソース」をクリックします。右パネルにこの JDBC プロバイダで使用するために設定されたデータソースの表が表示されます。
注 WebSphere 管理コンソールのフレームの上に「有効範囲」フィールドがあります。設定のためのセル情報が「新規作成」ボタンと「削除」ボタンの下に表示されるように、「ノード」および「サーバー」が空白であることを確認してください。
- データソースの表の上にある「新規作成」ボタンをクリックします。設定する全般プロパティーの表が右側のパネルに表示されます。
- 新しいデータソースの全般プロパティーを設定します。次の点に注意してください。
- 「JNDI 名」は、ディレクトリサービス内の DataSource オブジェクトのパスです。
この同じ値を次のように -f 引数として指定する必要があります。
setRepo -tdbms -iinitCtxFac -ffilepath.- 「コンテナ管理パーシスタンス」のチェックは外したままにしてください。Identity Installation Pack では EJB (Enterprise Java Beans) は使用しません。
- 「コンポーネント管理認証別名」は、この DataSource で指定されている DBMS のアクセスに使用される資格を示します。
- ドロップダウンリストから適切な DBMS 資格のセットを含む別名を選択します。詳細は、「5.1 認証データの設定」を参照してください。
- 「コンテナ管理認証別名」は使用されません。この値は「(なし)」に設定してください。Identity Installation Pack は、この DataSource で指定されている DBMS への独自の接続を作成します。
- このパネルの設定が完了したら、「OK」をクリックします。「データソース」ページが表示されます。
- 作成した DataSource をクリックします。その後、下のほうにある「追加プロパティー」の表までスクロールします。「カスタム・プロパティー」リンクをクリックします。
右パネルに DBMS 固有のプロパティーの表が表示されます。
- この DataSource のカスタムプロパティーを設定します。各プロパティーのリンクをクリックしてその値を設定します。次の点に注意してください。
- 必須プロパティーは「URL」だけです。このデータベース URL でデータベースインスタンスが識別されます。また、この URL には driverType、serverName、portNumber、および databaseName が含まれます。これらの値の一部を個々のプロパティーとして指定することもできます。
- この例の「driverType」は thin です。
- 「serverName」はホスト名または IP アドレスです。
- 「databaseName」は通常、短いデータベース名です。
- Oracle の場合、デフォルトの「portNumber」は 1521 です。
- 「preTestSQLString」を、SELECT 1 FROM USEROBJ のような値に設定すると有効な場合があります。これは、USERJOB テーブルが存在しアクセス可能であることを確認する SQL クエリーです。
- これらのプロパティーをパフォーマンスチューニング用に設定する場合は、「追加プロパティー」の表から「接続プール」リンクをクリックすることもできます。
Appendix E:「Configuring JCE」
「Note」は、次のように読み替えてください。
注 このリリースでは JDK 1.4.2 をインストールする必要があるため、サポートされるすべての環境に JCE 1.2 が含まれることになり、この付録の情報は該当しなくなりました。
追加事項
第 1 章「Before You Install」
- 「Setup Task Flow」 > 「Bullet Install and configure the Identity Install Pack software」に次の注意事項を追加する必要があります (ID-8431)。
注 Unix または Linux システムの場合:
- 「Prerequisite Tasks」 > 「Set Up an Index Database」 > 「Setting Up SQL Server」 > 「step 3b」に次の注意事項を追加する必要があります (ID-11835)。
注 次のファイルが $WSHOME/WEB-INF/lib ディレクトリに存在する必要があります。
db2jcc
db2jcc_license_cisuz.jar または db2jcc_license_cu.jar- 「Supported Software and Environments」 > 「Application Servers」に次の注意事項を追加する必要があります。(ID-12385)
注 現在のアプリケーションサーバーコンテナで UTF-8 をサポートしている必要があります。
第 2 章「Installing Identity Installation Pack for Tomcat」
- 「Installation Steps」 > 「Step 1: Install the Tomcat Software」 > 「Installing on UNIX」に次の手順を追加する必要があります。(ID-12487)
2. Java の mail.jar ファイルと activation.jar ファイルを ./tomcat/common/lib ディレクトリに追加します。mail と activation の jar ファイルは、次の場所にあります。
http://java.sun.com/products/javamail
http://java.sun.com/products/beans/glasgow/jaf.html- 「Installation Steps」 > 「Step 1: Install the Tomcat Software」 > 「Installing on UNIX」に次の手順を追加する必要があります。(ID-12462)
3. UTF-8 をサポートするように Tomcat を設定する場合、URIEncoding="UTF-8" 属性を TOMCAT DIRconf/server.xml ファイル内の connector 要素に追加します。次に例を示します。
<!-- Define a non-SSL Coyote HTTP/1.1 Connector on the port specified during installation -->
<Connector port="8080"
maxThreads="150"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false" redirectPort="8443"
acceptCount="100" debug="0" connectionTimeout="20000"
disableUploadTimeout="true"
URIEncoding="UTF-8" />
4. UTF-8 をサポートするように Tomcat を設定する場合、Java VM のオプションで -Dfile.encoding=UTF-8 の追加も行います。
第 13 章「Updating Identity Manager」
詳細なアップグレード情報を見つけやすくするため、『Identity Manager Upgrade』への相互参照を追加する必要があります。(ID-12366)
第 15 章「Installing The Applications (Manual Installation)」
「Installation Steps」 > 「Step 2: Install the Application Software」に次の注意事項を追加する必要があります。(ID-8344)
注 5.0 SP3 リリース以降、アダプタクラスは idmadapter.jar ファイルに含まれるようになりました。カスタムアダプタがある場合は、クラスパスの更新が必要になる可能性があります。
Appendix B:「Configuring MySQL」
「Configuring MySQL」 > 「step 3 Start the MySql process」に次の情報を追加する必要があります。(ID-12461)
このプロセスがまだ起動していない場合は、次の手順に従って MySQL の登録および起動を行います。
Windows で c:#yen;mysql 以外のディレクトリにインストールする場合は、次のような内容の c:#yen;my.cnf ファイルを作成します。[mysqld]
basedir=d:/mysql/
default-character-set=utf8
default-collation=utf8_binWindows で、次のようにサービスをインストールおよび起動します。
cd <MySQL_Install_Dir>/bin
mysqld-nt --install
net start mysqlAppendix C:「Configuring Data Sources for Identity Manager」
「Configuring a WebSphere Data Source for Identity Manager」 > 「Point the Identity Manager Repository to the Data Source」に次の情報を追加する必要があります。(ID-12071)
8. リポジトリに新しい場所を指定します。次に例を示します。
lh -Djava.ext.dirs=$JAVA_HOME/jre/lib/ext:$WAS_HOME/lib setRepo
-tdbms -iinitCtxFac
-ffilepath -uiiop://localhost:bootstrap_port
-Uusername
-Ppassword
-toracle icom.ibm.websphere.naming.WsnInitialContextFactory - fDataSourcePath前の例で DataSourcePath は、たとえば jdbc/jndiname のようになります。bootstrap_port は、WebSphere サーバーのブートストラップアドレスポートです。
-Djava.ext.dirs オプションにより、WebSphere の lib/ ディレクトリと java/jre/lib/ext/ ディレクトリにあるすべての JAR ファイルが CLASSPATH に追加されます。これは、setrepo コマンドが正常に実行されるために必要です。
データソースの設定時に「JNDI 名」フィールドに指定した値と合致させるために、-f オプションを変更します。このコマンドの詳細については、setrepo リファレンスを参照してください。
Identity Manager Upgrade追加事項
第 1 章「Upgrade Overview」
「Example Upgrade」の節に次の項目を追加する必要があります。(ID-12467)
Role Form のスーパーロールのフィールドを編集する場合は注意が必要です。スーパーロール自体が入れ子のロールになっている可能性があります。スーパーロールとサブロールのフィールドが、ロールの入れ子状態、およびそれらに関連付けられたリソースまたはリソースグループを示しています。ユーザーに適用される際、スーパーロールには、指定したすべてのサブロールに関連付けられたリソースが含まれます。スーパーロールのフィールドは、表示されたロールを含むロールを示すために表示されます。
第 3 章「Develop the Upgrade Plan」
「Upgrade From Identity Manager 5.x to 6.x」の節に次の項目を追加する必要があります。(ID-12361)
手順 2: Update リポジトリデータベーススキーマの更新
Identity Manager 6.0 ではスキーマが変更され、タスク、グループ、組織、および syslog テーブル用の新しいテーブルが導入されました。これらの新しいテーブル構造を作成し、既存のデータを移動する必要があります。
注 リポジトリスキーマを更新する前に、リポジトリテーブルのフルバックアップを取ってください。
Identity Manager 管理ガイド追加事項
第 4 章「管理」
承認の委任
承認者の機能を持っている場合、指定した期間、将来の承認リクエストを 1 人以上のユーザー (委任先) に委任することができます。委任先のユーザーに承認者の機能は必要ありません。
委任機能は、将来の承認リクエストにのみ適用されます。「承認待ち」タブに表示される既存のリクエストは、転送機能によって転送されます。
委任を設定するには、「承認」エリアの「自分の承認作業項目の委任」タブを選択します。
注意
委任先は有効な委任期間の間、委任元に代わってすべてのリクエストを承認することができます。委任された承認リクエストには、委任先の名前が含まれます。
リクエストの監査ログエントリ
承認された承認リクエストと却下された承認リクエストの監査ログエントリには、リクエストが委任された場合には、委任元の名前が含まれます。ユーザーの承認委任先情報の変更は、ユーザーの作成または変更時に監査ログエントリの詳細な変更セクションに記録されます。
第 5 章「設定」
リソースの変更に基づいたアイデンティティー属性の設定
アイデンティティー属性は、リソース上の属性の相互関係を定義します。リソースを作成または変更すると、こうした属性間の関係が影響を受けることがあります。
リソースを保存するときに、Identity Manager から「アイデンティティー属性を設定しますか?」ページが表示されます。このページで次のいずれかを選択できます。
「アイデンティティー属性を設定しますか?」ページの再有効化
このページを無効にしている場合、次のいずれかの方法で再度有効にできます。
<Field name='accounts[Lighthouse].properties.displayMetaViewPage'>
<Display class='Checkbox'>
<Property name='label' value='Display Meta View?'/>
</Display>
</Field>属性の設定
「リソースの変更に基づいてアイデンティティー属性を設定」ページを使用して、アイデンティティー属性のソースとターゲットとして使用される変更済みリソースのスキーママップから属性を選択します。状況によって、「ソース」列と「ターゲット」列で属性を選択できないことがあります。次の場合は、ソースとして属性を選択できません。
次の場合は、ターゲットとして属性を選択できません。
第 7 章「セキュリティー」
同時ログインセッションの制限
Identity Manager ユーザーは、デフォルトで同時ログインセッションを許可されています。ただし、システム設定オブジェクトの security.authn.singleLoginSessionPerApp 設定属性の値を変更することにより、ログインアプリケーションごとの同時セッション数を 1 に制限できます。この属性は、ログインアプリケーション名ごとに 1 つの属性を含むオブジェクトです (例: 管理者インタフェース、ユーザーインタフェース、BPE など)。この属性の値を true に変更すると、各ユーザーに単一のログインセッションが適用されます。
適用されても、ユーザーは複数のセッションにログインできますが、アクティブかつ有効な状態を保持するのは、最後にログインしたセッションのみです。ユーザーが無効なセッション上で操作を実行すると、ユーザーはそのセッションから自動的に排除され、そのセッションは終了します。
第 8 章「レポート」
「概要レポート」の節にあるユーザーレポートの説明に、マネージャーでユーザーを検索する機能を追加する必要があります。(ID-12690)
第 10 章「PasswordSync」
- Sun JMS サーバーで Windows PasswordSync を設定する手順を追加する必要があります。このリリースノートに付属している『Configuring PasswordSync with a Sun JMS Server』マニュアルを参照してください。(ID-11788)
- PasswordSync のフェイルオーバー付き高可用性 (HA) アーキテクチャーについて説明する、次の新しい節を追加する必要があります。(ID-12634)
- Java Messaging Server を使用しないで PasswordSync を実装する方法について説明する節を追加する必要があります。(ID-14974)
Windows PasswordSync のフェイルオーバー配備
PasswordSync のアーキテクチャーによって、Identity Manager の Windows パスワード同期の配備内からシングルポイント障害が完全に除去されます。
各 ADC (Active Directory Domain Controller) がロードバランサ経由で一連の JMS クライアントの 1 つに接続するように設定すると (次図参照)、JMS クライアントからメッセージキューブローカクラスタにメッセージを送信できるので、いずれかのメッセージキューに障害が発生してもメッセージが失われないことが保証されます。
注 多くの場合、メッセージキュークラスタにメッセージの持続性を保持するためのデータベースが必要になります。(メッセージキューブローカクラスタの設定手順については、各ベンダーの製品マニュアルを参照。)
自動フェイルオーバーが設定された JMS リスナーアダプタを実行している Identity Manager サーバーが、メッセージキューブローカクラスタに接続します。このアダプタは同時に 1 つの Identity Manager 上でしか実行されませんが、一次 ActiveSync サーバーに障害が発生すると、このアダプタによって二次 Identity Manager サーバー上でパスワード関連メッセージのポーリングが開始され、パスワードの変更が下流のリソースへと伝播されていきます。
Java Messaging Service を使用しない PasswordSync の実装
JMS を使用しないで PasswordSync を実装するには、次のフラグを付けて設定アプリケーションを起動します。
Configure.exe -direct
-direct フラグを指定すると、設定アプリケーションに「User」タブが表示されます。「PasswordSync の設定」に説明されている手順に従って PasswordSync を設定します。次の点に注意してください。
JMS を使用しないで PasswordSync を実装する場合、JMS リスナーアダプタを作成する必要はありません。したがって、「PasswordSync の配備」で説明されている手順は省いてください。通知を設定する場合は、「Change User Password」ワークフローを修正する必要が生じる場合があります。
注 そのあとで、設定アプリケーションを -direct フラグを指定しないで実行すると、PasswordSync に JMS の設定が必要になります。もう一度 JMS を省略するには、-direct フラグを付けてアプリケーションを再度起動してください。
修正すべき事項
第 5 章「設定」
カスタムリソースクラスの表で、ClearTrust リソースアダプタのカスタムリソースクラスを次のように修正する必要があります (ID-12681)。
com.waveset.adapter.ClearTrustResourceAdapter
第 10 章「PasswordSync」
「PasswordSync の設定」の節の「JMS 設定ダイアログ」で、Queue Name についての説明を次のように修正する必要があります。
lh リファレンス
指定したオプションのあとの空白が正しく示されるように、コマンド構文を更新する必要があります。(ID-12798)
-p オプションを使用する場合は、セキュリティー上の理由で、パスワードを直接コマンド行に指定するのではなく、パスワードが書かれているテキストファイルのパスを指定してください。
例
license コマンド
使用方法
license [options] { status | set {parameters} }
オプション
set オプションのパラメータは、-f File の形式にする必要があります。
Identity Manager Workflows, Forms, and Views第 1 章「Workflows」
この章の手動操作に関する説明に、次の情報を追加してください。
作業項目の itemType がウィザードに設定されている場合、デフォルトでは、作業項目ビューをチェックする際に、転送中の承認者の取得が省略されます。itemType がウィザード以外の場合は、当該手動操作で利用されているフォームのプロパティーとして CustomUserList が true に設定されていない限り、Identity Manager は転送中の承認者を引き続き取得します。(ID-10777)
この設定を行うには、次のコードをフォームに含めます。
<Form>
<Properties>
Property name='CustomUserLists' value='true'/>
</Properties>
第 2 章「Workflow Services」
- createView セッションワークフローサービスの引数表が正しくありません。次の表は、このサービスで使用可能な引数についての説明です。
- Identity Manager には、指定された文字列の値を文字列ポリシーと照合する、checkStringQualityPolicy ワークフローサービスメソッドがあります。(ID-12428、12440)
このメソッドは、checkPolicyResult オブジェクトを返します。文字列がポリシーテストにパスすると、true を返します。文字列がポリシーテストにパスしないと、メソッドはエラーメッセージを返します。map パラメータで returnNull オプションを true に設定しておくと、メソッドは成功時に null オブジェクトを返します。
- Identity Manager で auditPolicyScan ワークフローサービスがサポートされました。(ID-12615)このワークフローサービスを使用して、ユーザーに割り当てられたポリシーに基づいてユーザーの監査ポリシー違反をスキャンします。ユーザーにポリシーが割り当てられていない場合、組織に割り当てられたポリシーがあれば、Identity Manager はそれを使用します。
このメソッドは、指定されたユーザーのユーザービューを指定する 1 つの引数 view を取ります。このメソッドは checkPolicyResult ワークフロー変数を返します。この変数の内容は、次のいずれかです。
第 3 章「Forms」
Identity Manager では、リソースのスキーママップ内の属性が必須かどうかを画面上で識別できます。必須の属性には、「ユーザーの編集」フォーム上で * (アスタリスク) が付きます。デフォルトでは、Identity Manager の属性名に続くテキストフィールドの後ろにこのアスタリスクが表示されます。(ID-10662)
アスタリスクの場所を変更するには、次の手順に従います。
第 4 章「FormUtil Methods」
文字列がポリシーテストにパスすると、このメソッドは true を返します。文字列がポリシーテストにパスしないと、メソッドはエラーメッセージを返します。map パラメータで returnNull オプションを true に設定しておくと、メソッドは成功時に null オブジェクトを返します。
- Identity Manager で controlsAtLeastOneOrganization FormUtil メソッドを利用できるようになりました。(ID-9260)
controlsAtLeastOneOrganization(LighthouseContext s, List organizations)
throws WavesetException {
現在認証されているユーザーが、1 つ以上の組織 (ObjectGroup) 名のリスト上で指定された任意の組織を制御するかどうかを決定します。サポートされている組織のリストには、ObjectGroup タイプのすべてのオブジェクトの一覧表示で返された組織が含まれます。
パラメータ
説明
s
現在のユーザーの Lighthouse コンテキスト (セッション) を指定します。
organizations
1 つ以上の組織名のリストを指定します。サポートされている組織のリストには、ObjectGroup タイプのすべてのオブジェクトの一覧表示で返された組織が含まれます。
このメソッドの戻り値は次のとおりです。
true 現在の認証済み Identity Manager ユーザーは、リスト内の任意の 1 つの組織を制御します。
false 現在の認証済み Identity Manager ユーザーは、リスト内のどの組織も制御しません。
第 5 章「Views」
アカウントタイプ
このリリースの Identity Manager では、アカウントタイプを使ってリソース上の複数のアカウントをユーザーに割り当てることができます。(ID-12697) リソースをユーザーに割り当てる際に、リソース上のアカウントタイプを割り当てることもできるようになりました。ただし、次の制限があります。
アカウントタイプをリソースに関連付ける前に、まず管理者がリソース上のアカウントタイプを定義する必要があります。IdentityRule を定義する必要もあります (アイデンティティー規則の例については、samples/identityRules.xml を参照)。
Identity Manager は IdentityRule サブタイプを使用して、規則をアカウントタイプに関連付けます。この規則から、必要に応じて accountIds が生成されます (これらの規則はアイデンティティーテンプレートと同様に機能するが、XPRESS に実装されるため LighthouseContext API にアクセス可能)。
Identity Manager 管理者インタフェースを使用してアカウントタイプをリソースに割り当てる方法の詳細については、『Identity Manager 管理ガイド』を参照してください。
アカウントタイプの省略
リソース上のアカウントタイプを省略すると、Identity Manager によって下位互換性のあるデフォルトのアカウントタイプが割り当てられます。ただし、どのリソースにもアカウントタイプが定義されていない場合、この機能は無効になります。
デフォルトのアカウントタイプはアイデンティティーテンプレートを使用します。ただし、デフォルトのタイプでアイデンティティーテンプレートの代わりに、指定した規則を使用するように指定することもできます。
デフォルトのアカウントタイプは、ユーザーがそのタイプのアカウントを複数割り当てることができるという点で特異です。とはいえ、同じタイプのアカウントを複数割り当てないようにするのが最善です。
ビューに関連する変更
Identity Manager のビューに加えられた次の変更により、アカウントタイプがサポートされました。
- リソースビューに accountType 属性 (List) が追加されました。各エントリは identityRule 属性を持つオブジェクトで、このタイプの accountId の生成に使用される規則を指定します。
- ロールビューとアプリケーションビュー両方の resources 属性で、修飾されたリソース割り当てを使用できるようになりました。この修飾された割り当ての構文は、<resource name>|<account type> です。
- ユーザービューに waveset.resourceAssignments 属性が追加され、修飾されたリソース割り当てが利用可能になりました (waveset.resources には修飾されていない参照しか含まれない)。どちらの属性も変更できますが、更新には waveset.resourceAssignment のみを、読み取り専用の目的には waveset.resources のみを使用するのが最善です。
ユーザービューの accounts 属性内のオブジェクトのアクセス方法は、この新しいリリースで追加された内容によっても変更を受けません。accounts リストにインデックスを作成するには、修飾されたリソース名を使用します (たとえば、accounts[resource|type] では、指定したリソースとタイプの組み合わせに対するリソースアカウントが選択される。タイプを指定しない場合でも、accounts[resource] によってこれらのオブジェクトにアクセスできる。
- プロビジョン解除やパスワードの変更などの関連ビューでも、このタイプのアドレス指定を使用します。このリスト内のオブジェクトには、リソースアカウントのアカウントタイプを指定する新しい属性、accountType も追加されています。
承認委任先ビュー
このビューを使用して、1 人以上の Identity Manager ユーザーを承認委任先として既存の承認者に割り当てます。これにより承認者は、指定した期間、自分では承認者になれないユーザーに承認機能を委任することができます。次のハイレベル属性が含まれます。(ID-12754)
注 ユーザービューには、name 属性を除いてこれと同じ属性が含まれます。これらの新しい属性は accounts[Lighthouse] 名前空間内に格納されます。
name
承認の委任元となるユーザーを識別します。
delegateApproversTo
承認の委任先となるユーザーを指定します。有効な値は、manager、selectedUsers、delegateApproversRule などです。
delegateApproversSelected
delegateApproversStartDate
承認の委任を開始する日付を指定します。デフォルトでは、選択した開始日の時刻はその日の午前 12:01 です。
delegateApproversEndDate
承認の委任を終了する日付を指定します。デフォルトでは、選択した終了日の時刻はその日の午後 11:59 です。
ロールビューについての説明が次のように更新されました。(ID-12390)
ロールビュー
Identity Manager のロールオブジェクトの定義に使用します。
このビューにチェックインすると、ロールの管理ワークフローが起動されます。このワークフローは、デフォルトではビューの変更をリポジトリに適用するだけですが、承認その他のカスタマイズのためのフックの提供も行います。
次の表は、このビューのハイレベル属性の一覧です。
表 1 ロールビューの属性
name
ロールの名前を識別します。これは、Identity Manager リポジトリ内の Role オブジェクトの名前に対応します。
resources
ローカルに割り当てられるリソースの名前を指定します。
applications
ローカルに割り当てられるアプリケーション (リソースグループ) の名前を指定します。
roles
ローカルに割り当てられるロールの名前を指定します。
assignedResources
resources、applications、および roles によって割り当てられるすべてのリソースのリストです。
resourceName割り当てられるリソースの名前を識別します。
nameリソース名または ID を識別します (ID が望ましい)。
attributesリソースの特性を識別します。すべてのサブ属性は文字列で、編集可能です。
表 2 属性のオプション (ロールビュー)
- notifications -- このロールのユーザーへの割り当てを承認する必要がある管理者の名前の一覧を示します。
- approvers -- このロールのユーザーへの割り当てを承認する必要がある承認者の名前を指定します。
- properties -- このロールに格納されるユーザー定義のプロパティーを識別します。
- organizations -- このロールがメンバーとなる組織の一覧を示します。
- リソースアカウントのビュー (プロビジョン解除ビュー、無効化ビュー、有効化ビュー、パスワードビュー、ユーザーの名前変更ビュー、再プロビジョンビュー、およびロック解除ビュー) で、ユーザーのリソースアカウント属性の取得に使用できる 2 つの新しい表示オプションがサポートされました。(ID-12482)
第 6 章「XPRESS Language」
- instanceOf 関数は現在、「XPRESS Language」の章に記載されていません。この関数は、オブジェクトが、name パラメータで指定されたタイプのインスタンスかどうかを識別します。(ID-12700)
name チェックの照合先となるオブジェクトタイプを識別します。
この関数は、サブ式オブジェクトが、name パラメータで指定したタイプのインスタンスかどうかによって 1 または 0 (true または false) を返します。
次の式では、ArrayList が List なので 1 が返されます。
<instanceof name='List'>
<new class='java.util.ArrayList'/>
</instanceof>
第 8 章「HTML Display Components」
- SortingTable コンポーネントについての説明がを次のように改訂する必要があります。
列ヘッダーでソート可能な内容を持つテーブルの作成に使用します。このテーブルの内容は、子コンポーネントによって決まります。列ごとに子コンポーネントを 1 つ作成します (columns プロパティーで定義される)。列は通常、FieldLoop 内に格納されます。
このコンポーネントは、テーブルセルの描画時に子コンポーネントの align、valign、および width プロパティーを参照します。(ID-12606)
- Identity Manager で InlineAlert 表示コンポーネントがサポートされました。(ID-12606)
エラー、警告、成功、または情報のアラートボックスを表示します。このコンポーネントは通常、ページの最上部に配置されます。InlineAlert$AlertItem タイプの子コンポーネントを定義すれば、1 つのアラートボックスに複数のアラートを表示できます。
この表示コンポーネントのプロパティーは次のとおりです。
- alertType 表示するアラートのタイプを指定します。このプロパティーで、使用されるスタイルとイメージが決まります。有効値は、error、warning、success、および info です。デフォルト値は info です。このプロパティーは InlineAlert でのみ有効です。
- header アラートボックスに表示するタイトルを指定します。これは文字列またはメッセージオブジェクトにすることができます。このプロパティーは InlineAlert または InlineAlert$AlertItem で有効です。
- value 表示するアラートメッセージを指定します。この値は文字列またはメッセージオブジェクトにすることができます。このプロパティーは InlineAlert または InlineAlert$AlertItem で有効です。
- linkURL アラートの下に表示するオプション URL を指定します。このプロパティーは InlineAlert または InlineAlert$AlertItem で有効です。
- linkText linkURL のテキストを指定します。これは文字列またはメッセージオブジェクトにすることができます。このプロパティーは InlineAlert または InlineAlert$AlertItem で有効です。
- linkTitle linkURL のタイトルを指定します。これは文字列またはメッセージオブジェクトにすることができます。このプロパティーは InlineAlert または InlineAlert$AlertItem で有効です。
例
単一のアラートメッセージ<Field>
<Display class='InlineAlert'>
<Property name='alertType' value='warning'/><Property name='header' value='Data not Saved'/>
<Property name='value' value='The data entered is not yet saved.
Please click Save to save the information.'/></Display>
</Field>
複数のアラートメッセージInlineAlert プロパティー内で定義するのは alertType だけです。ほかのプロパティーは InlineAlert$AlertItems で定義できます。
<Field>
<Display class='InlineAlert'>
<Property name='alertType' value='error'/>
</Display>
<Field>
<Display class='InlineAlert$AlertItem'>
<Property name='header' value='Server Unreachable'/>
<Property name='value' value='The specified server could not
be contacted.Please view the logs for more information.'/>
<Property name='linkURL' value='viewLogs.jsp'/>
<Property name='linkText' value='View logs'/>
<Property name='linkTitle' value='Open a new window with
the server logs'/>
</Display>
</Field>
<Field>
<Display class='InlineAlert$AlertItem'>
<Property name='header' value='Invalid IP Address'/>
<Property name='value' value='The IP address entered is
in an invalid subnet.Please use the 192.168.0.x subnet.'/> </Display>
</Field>
</Field>
- Identity Manager で Selector 表示コンポーネントがサポートされました。(ID-12729)
下に検索フィールドを伴った単一値または複数値フィールド (それぞれ Text コンポーネント、ListEditor コンポーネントに類似) を表示します。検索実行後、Identity Manager は検索フィールドの下に結果を表示し、その結果が値のフィールドに取り込まれます。
ほかのコンテナコンポーネントとは異なり、Selector には値 (search の結果で生成されるフィールド) があります。格納されるフィールドは通常、検索条件フィールドです。Selector により、検索結果の内容を表示するプロパティーが実装されます。
プロパティーは次のとおりです。
- fixedWidth コンポーネントを固定幅にするかどうかを指定します (Multiselect と同じ動作)。(Boolean)
- multivalued 値が List か String かを示します (このプロパティーの値によって、値に対して ListEditor、Text フィールドのいずれを描画するかが決まる)。(Boolean)
- allowTextEntry 表示されるリストから値を選択する必要があるか、または手動でも値を入力できるかを示します。(Boolean)
- valueTitle value コンポーネント上で使用するラベルを指定します。(String)
- pickListTitle picklist コンポーネント上で使用するラベルを指定します。(String)
- pickValues picklist コンポーネントで利用可能な値 (null の場合、picklist は表示されない)。(List)
- pickValueMap picklist 内の値に対する表示ラベルのマップ。(Map または List)
- sorted picklist 内の値をソートすることを指定します (複数値で順序付けされていない場合、値のリストもソートされる)。(Boolean)
- clearFields 「クリア」ボタンの選択によってリセットされるフィールドの一覧を示します。(List)
次のプロパティーは、複数値コンポーネントでのみ有効です。
- ordered 値の順序が重要であることを示します。(Boolean)
- allowDuplicates 値のリストで重複値を許可するかどうかを示します。(Boolean)
- valueMap リスト内の値に対する表示ラベルのマップを提供します。(Map)
次のプロパティーは、単一値コンポーネントでのみ有効です。
- nullLabel null 値を示すために使用するラベルを指定します。(String)
- Select コンポーネントと MultiSelect コンポーネントの説明を次のように改訂し、caseInsensitive プロパティーについての説明を追加する必要があります。(ID-13364)
MultiSelect コンポーネント
Identity Manager で複数選択オブジェクトを表示します。2 つのテキスト選択キーが左右に並べて表示され、1 つのボックス内に定義された複数の値をもう 1 つのボックスに移動できるようになっています。左側のボックス内の値は allowedValues プロパティーで定義します。値は通常、FormUtil.getResources などの Java メソッドの呼び出しによって動的に取得されます。右側の複数選択ボックスに表示される値は、フィールド名で識別される、関連付けられたビュー属性の現在の値から取り込まれます。
availabletitle プロパティーと selectedtitle プロパティーを使って、この複数選択オブジェクトの各ボックスにフォームタイトルを設定できます。
アプレットを使用しない MultiSelect コンポーネントが必要な場合は、noApplet プロパティーを true に設定します。
注 Safari ブラウザが動作するシステムで Identity Manager を実行する場合は、MultiSelect コンポーネントを含むすべてのフォームをカスタマイズして noApplet オプションを設定する必要があります。このオプションは次のように設定します。
<Display class='MultiSelect'>
<Property name='noApplet' value='true'/>
...
この表示コンポーネントのプロパティーは次のとおりです。
- availableTitle 利用可能な値ボックスのタイトルを指定します。
- selectedTitle 選択された値ボックスのタイトルを指定します。
- ordered 選択した項目が、テキストボックスの項目のリスト内で上下に移動可能かどうかを定義します。true に設定すると、選択した項目を上下に移動するための追加のボタンが描画されます。
- allowedValues 複数選択オブジェクトの左ボックスと関連付けられる値を指定します。この値は、文字列のリストにする必要があります。注: このボックスの生成に <Constraints> 要素を使用できますが、使用は推奨されません。
- sorted 両方のボックス内の値をアルファベット順にソートすることを指定します。
- noApplet MultiSelect コンポーネントを、アプレットを使用して実装するか、標準 HTML 選択ボックスのペアを使用して実装するかを指定します。デフォルトではアプレットを使用します。このほうが、長い値リストの処理に優れています。Safari ブラウザが動作するシステムでこのオプションを使用する場合は、前述の注意事項を参照してください。
- typeSelectThreshold noApplet プロパティーが true に設定されている場合のみ利用できます。先打ち選択ボックスを allowedValue リストの下に表示するかどうかを制御します。左の選択ボックス内のエントリ数がこのプロパティーで定義したしきい値に達すると、追加のテキスト入力フィールドが選択ボックスの下に表示されます。このテキストフィールドに入力した文字列と合致するエントリがある場合、そのエントリが表示される位置まで選択ボックスがスクロールします。たとえば、w と入力すると、w で始まる最初のエントリまで選択ボックスがスクロールします。
- width 選択したボックスの幅をピクセル数で指定します。デフォルト値は 150 です。
- height 選択したボックスの高さをピクセル数で指定します。デフォルト値は 400 です。
- caseInsensitive -- 大文字と小文字を区別しないで比較する場合に使用します。
Select コンポーネント
単一選択オブジェクトを表示します。リストボックスの値は、allowedValues プロパティーで設定する必要があります。
この表示コンポーネントのプロパティーは次のとおりです。
- allowedValues リストボックスに表示される選択可能な値のリストを指定します。
- allowedOthers allowedValues リストに存在しない初期値でも許容され、そのままリストに追加されるように指定します。
- autoSelect このプロパティーを true に設定すると、フィールドの初期値が null の場合に、allowedValues リストの最初の値が自動的に選択されます。
- caseInsensitive -- 大文字と小文字を区別しないで比較する場合に使用します。
- multiple true に設定すると、複数の値を選択できるようになります。
- nullLabel 値が選択されなかったときにリストボックスの上に表示するテキストを指定します。
- optionGroupMap セレクタで <optgroup> タグを使用して、オプションをグループに分けて描画できるようにします。マップのキーがグループラベルに、また要素が選択可能項目のリストになるようにマップをフォーマットします (描画するには、値が allowedValues のメンバーである必要がある)。
- size (省略可) 表示する最大行数を指定します。行数がこのサイズを超えると、スクロールバーが表示されます。
- sorted true に設定すると、リスト内の値がソートされます。
- valueMap raw 値を表示値にマップします。
このコンポーネントでは、command プロパティーと onChange プロパティーがサポートされます。
- DatePicker コンポーネントについての説明に、次の新しいプロパティーの説明が追加されました。(ID-14802)
DatePicker HTML コンポーネントで、連続していない日付を選択できるようになりました。特定の日付をカレンダから選択できる、日付範囲セットを指定できます。
DatePicker に、次の 2 つの新しいプロパティーが実装されます。
SelectAfter -- カレンダに表示される選択可能な日付を、入力した日付以降の日付に限定します。このプロパティーの値として、日付文字列または Java Date オブジェクトを使用できます。
<Property name='SelectAfter' value='**/**/****'/>
SelectBefore -- カレンダに表示される選択可能な日付を、入力した日付以前の日付に限定します。このプロパティーの値として、日付文字列または Java Date オブジェクトを使用できます。
<Property name='SelectBefore' value='**/**/****'/>
<Display class='DatePicker'> タグを実装するフォームを使用する場合は、必ず、これらの変数をフォームに追加して日付の範囲を設定してください。これらのプロパティーを設定しないと、カレンダの内容が、選択可能な日付に限定されなくなります。
Identity Manager Technical Deployment Overview関連付けられたワークフロー、フォーム、および JSP に関する次の説明は、『Identity Manager Technical Deployment Overview』のアーキテクチャーの概要に属します。(ID-7332)
プロセス実行
ユーザーがページ上のフィールドにデータを入力して「保存」をクリックすると、ビュー、ワークフロー、およびフォームの各コンポーネントが連携して、データを処理するために必要なプロセスを実行します。
Identity Manager 内の各ページには、そのページに関連付けられ、必要なデータ処理を実行するビュー、ワークフロー、およびフォームがあります。次の 2 つの表で、これらのワークフロー、ビュー、およびフォーム間の関連を示します。
Identity Manager ユーザーインタフェースのプロセス
次の表は、Identity Manager のユーザーインタフェースの各ページから開始されるプロセスに関係するフォーム、ビュー、およびワークフローを示したものです。
管理者インタフェースのプロセス
次の表は、Identity Manager の管理者インタフェースの各ページから開始されるプロセスに関係するフォーム、ビュー、ワークフロー、および JSP を示したものです。
Java Server Pages (JSP) と Identity Manager でのその役割
次の表には、システムに含まれる JSP と、それらが管理者インタフェースおよびユーザーインタフェースのどのページに対応するかを示します。
Identity Manager ユーザーインタフェースの JSP
管理者インタフェースの JSP
Appendix A: 「Editing Configuration Objects」
A-4 ページで、デフォルトの QueryableAttrNames の一覧に、idmManager も追加してください。
Identity Manager 6.0 Resources Reference
- 「Resources Reference」 > 「Active Directory」 > 「Account Attributes」 > 「Account Attribute Support」にある、「Supported Account Attributes」の一覧は、PDF 版のマニュアルが最新です。HTML 版は更新されていません。PDF 版をお使いください。(ID-12630)
- 次の URL にある『Identity Manager 6.0 Resources Reference 2005Q4M3』の最上位ノードには、「Domino」というタイトルの節へのリンクが含まれていません (ID-12636)。
http://docs.sun.com/app/docs/doc/819-4520
このノードの「Contents」を開くか、次の URL で「Domino」という節を見つけてください。
http://docs.sun.com/source/819-4520/Domino_Exchange.html#wp999317
Access Manager Adapter
「General Configuration」の説明中の Step 5 を次のように変更してください。
5. java.security ファイルに次の行が存在していない場合、それらを追加します。
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.net.ssl.internal.ssl.Provider各行のセキュリティープロバイダのあとの数字は、Java がセキュリティープロバイダクラスを参照する際の順序になりますので、一意にしてください。このシーケンス番号は環境によって異なることがあります。java.security ファイルにすでに複数のセキュリティープロバイダがある場合、前記の順序で新しいセキュリティープロバイダを挿入し、既存のセキュリティープロバイダの番号を振り直します。既存のセキュリティープロバイダを削除したり、プロバイダが重複したりしないようにしてください。(ID-12044)
Active Directory Adapter
Active Directory で thumbnailPhoto (Windows 2000 Server 以上) および jpegPhoto (Windows 2003) バイナリ属性がサポートされました。
BridgeStream SmartRoles Adapter
Identity Manager で、SmartRoles のユーザーをプロビジョニングする BridgeStream SmartRoles リソースアダプタがサポートされました。このアダプタによってユーザーが SmartRoles 内の適切な組織に配置され、SmartRoles でそれらのユーザーに付与するビジネスロールを決定できるようになります。
SmartRoles からのユーザーの取得時に、アダプタはユーザーのビジネスロールを取得します。これらのビジネスロールを Identity Manager 内で使用して、ユーザーに割り当てる Identity Manager のロール、リソース、属性、およびアクセスを決定することができます。
さらに SmartRoles は、Active Sync を利用したユーザー変更のソースにすることができます。SmartRoles ユーザーを Identity Manager にロードして調整できます。
このアダプタの詳細については、『Sun JavaTM System Identity Manager Resources Reference Addendum』を参照してください。(ID-12714)
ClearTrust Adapter
Database Table Adapter
このアダプタは、Oracle で BLOB などのバイナリデータ型をサポートします。対応する属性には、スキーママップでバイナリのマークを付ける必要があります。バイナリ属性の例として、グラフィックファイル、オーディオファイル、証明書などがあります。
Flat File Active Sync Adapter
- 管理ユーザーには、フラットファイルが格納されるディレクトリの読み取りおよび書き込みアクセスが必要です。「違いのみを処理」Active Sync パラメータが有効になっている場合は、このユーザーに削除アクセスも必要です。
加えて、管理者アカウントには、Active Sync の「ログファイルパス」フィールドで指定されたディレクトリに対する読み取り、書き込み、および削除アクセス権が必要です。(ID-12477)
- フラットファイル形式が LDIF の場合、グラフィックファイル、オーディオファイル、証明書などのバイナリ属性を指定できます。CSV およびパイプで区切られたファイルでは、バイナリ属性はサポートされません。
HP OpenVMS Adapter
Identity Manager で、VMS version 7.0 以降をサポートする HP OpenVMS リソースアダプタがサポートされました。このアダプタの詳細については、『Sun JavaTM System Identity Manager Resources Reference Addendum』を参照してください。(ID-8556)
JMS Listener Adapter
JMS リスナーアダプタで、非同期処理の代わりに同期メッセージ処理がサポートされました。そのため、「Usage Notes」にある「Connections」の節の 2 つ目のパラグラフを次のように修正してください。
JMS リスナーアダプタは同期モードで動作し、「宛先の JNDI 名」フィールドで指定されたキューまたはトピック宛先上で、同期メッセージコンシューマを確立します。各ポーリング間隔の間に、利用できるすべてのメッセージの受信と処理がこのアダプタで行われます。「メッセージセレクタ」フィールドに有効な JMS メッセージセレクタ文字列を定義すれば、メッセージをさらに修飾できます (省略可)。
「Message Mapping」の節を次のように修正してください。
修飾されたメッセージをアダプタで処理する際、まず受信 JMS メッセージが、「メッセージマッピング」フィールドで指定されたメカニズムを使用して名前付きの値のマップに変換されます。この処理済みのマップは、「メッセージ値マップ」と呼ばれます。
次に、メッセージ値マップが、アカウント属性スキーママップによって Active Sync マップに変換されます。指定されたアカウント属性がアダプタにある場合、メッセージ値マップで、スキーママップ内にリソースユーザー属性としても現れるキー名が検索されます。キー名が見つかるとその値が Active Sync マップにコピーされますが、Active Sync マップでのエントリ名は、スキーママップのアイデンティティーシステムユーザー属性列で指定された名前に変換されます。
メッセージ値マップにアカウント属性スキーママップを使って変換できないエントリがある場合、そのエントリがメッセージ値マップからそのまま Active Sync マップにコピーされます。
LDAP Adapter
バイナリアカウント属性のサポート
inetOrgPerson オブジェクトクラスの次のバイナリアカウント属性がサポートされました。
リソースユーザー属性
LDAP 構文
説明
audio
Audio
オーディオファイル。
jpegPhoto
JPEG
JPEG 形式のイメージ。
userCertificate
certificate
バイナリ形式の証明書。
ほかのバイナリアカウントもサポートされている可能性はありますが、テストが完了していません。
アカウントの無効化と有効化
LDAP アダプタでは、複数の方法で LDAP リソース上のアカウントを無効化できます。次のいずれかの操作でアカウントを無効化します。
不明な値へのパスワードの変更パスワードを不明な値に変更することによってアカウントを無効化するには、「LDAP アクティブ化メソッド」フィールドと「LDAP アクティブ化パラメータ」フィールドを空白のままにします。これが、アカウントを無効化するデフォルトの方法です。新しいパスワードを割り当てると、アカウントを再度有効にできます。
nsmanageddisabledrole ロールの割り当てnsmanageddisabledrole LDAP ロールを使用してアカウントを無効化および有効化するには、LDAP リソースを次のように設定します。
- 「リソースパラメータ」ページで「LDAP アクティブ化メソッド」フィールドを nsmanageddisabledrole に設定します。
- 「LDAP アクティブ化パラメータ」フィールドを IDMAttribute=CN=nsmanageddisabledrole,baseContext に設定します (IDMAttribute は次の手順でスキーマ上に指定される)。
- 「アカウント属性」ページで IDMAttribute を Identity システム ユーザー属性として追加します。リソースユーザー属性を nsroledn に設定します。属性は String 型にする必要があります。
- LDAP リソース上に nsAccountInactivationTmp という名前のグループを作成し、CN=nsdisabledrole,baseContext をメンバーとして割り当てます。
これで LDAP アカウントを無効化できます。LDAP コンソールを使って確認するには、nsaccountlock 属性の値を調べます。値が true であれば、アカウントはロックされています。
このアカウントをあとで再有効化すると、アカウントがロールから削除されます。
nsAccountLock 属性の設定nsAccountLock 属性を使用してアカウントを無効化および有効化するには、LDAP リソースを次のように設定します。
- 「リソースパラメータ」ページで「LDAP アクティブ化メソッド」フィールドを nsaccountlock に設定します。
- 「LDAP アクティブ化パラメータ」フィールドを IDMAttribute=true に設定します (IDMAttribute は次の手順でスキーマ上に指定される)。たとえば、accountLockAttr=true のようにします。
- 「アカウント属性」ページで、「LDAP アクティブ化パラメータ」フィールドで指定した値を Identity システム ユーザー属性として追加します。リソースユーザー属性を nsaccountlock に設定します。属性は String 型にする必要があります。
- リソースに対する nsAccountLock LDAP 属性を true に設定します。
Identity Manager は、アカウントを無効化するとき、nsaccountlock を true に設定します。また、nsaccountlock が true に設定された既存の LDAP ユーザーを無効と認識します。nsaccountlock が true 以外の任意の値 (null を含む) である場合、システムはユーザーが有効であると認識します。
nsmanageddisabledrole 属性と nsAccountLock 属性を使用しない、アカウントの無効化使用しているディレクトリサーバーでは nsmanageddisabledrole 属性と nsAccountLock 属性を利用できないが、アカウントを無効化する類似の方法はあるという場合、次のいずれかのクラス名を「LDAP アクティブ化メソッド」フィールドに入力します。「LDAP アクティブ化パラメータ」フィールドに入力する値は、クラスによって異なります。
メインフレームアダプタ (ACF2、Natural、RACF、Top Secret)
Attachmate Reflection for the Web Emulator Class Library (Reflection ECL) は、メインフレームリソースに接続するために使用できます。このライブラリは IBM Host on Demand API と互換性があります。製品に用意されているインストール手順をすべて実行してください。そのあとに、「インストールの注意事項」および「SSL 設定」で説明されている手順を実行します。
インストールの注意事項
Attachmate Reflection ECL を使用して接続を設定するには、次の手順を実行します。
- 『Identity Manager Resources Reference』の説明に従って、Identity Manager リソースリストにリソースを追加します。
- Identity Manager インストールの WEB-INF/lib ディレクトリに適切な JAR ファイルをコピーします。
- どのサービスが端末セッションを管理するか定義するため、Waveset.properties ファイルに次の定義を追加します。
serverSettings.serverId.mainframeSessionType=Value
serverSettings.default.mainframeSessionType=Value
Value は次のように設定できます。
- Attachmate ライブラリが WebSphere Application Server にインストールされる場合、プロパティー com.wrq.profile.dir=LibraryDirectory を WebSphere/AppServer/configuration/config.ini ファイルに追加します。
これにより、Attachmate コードがライセンスファイルを見つけられるようになります。
- アプリケーションサーバーを再起動して、Waveset.properties ファイルへの変更を有効にします。
「SSL 設定」で説明されている手順を実行します。
SSL 設定
Attachmate Reflection for the Web Emulator Class Library (Reflection ECL) は、IBM Host on Demand API と互換性があります。製品に用意されているインストール手順をすべて実行してください。そのあとに、Identity Manager で次の手順を実行します。
- Session Properties という名前のリソース属性がリソースに対してまだ存在しない場合は、Identity Manager IDE またはデバッグページを使用して、リソースオブジェクトに属性を追加します。<ResourceAttributes> セクションに次の定義を追加します。
<ResourceAttribute name='Session Properties' displayName='Session Properties' description='Session Properties' multi='true'>
</ResourceAttribute>
- リソースの「リソースパラメータ」ページに移動し、Session Properties リソース属性に次の値を追加します。
encryptStream
true
hostURL
tn3270://hostname:SSLport
keystoreLocation
Path_To_Trusted_ps.pfx_fileOracle/Oracle ERP Adapters
「Identity Manager Resources Reference』の「Oracle/Oracle ERP」の章は、このリリースで 2 つの別個の章に分割されました。2 つの新しい章については、『Sun JavaTM System Identity Manager Resources Reference Addendum』を参照してください。(ID-12758)
Oracle Adapter
- アダプタの表と『Identity Manager Resources Reference』の第 1 章にある「Oracle adapter」の節から Oracle 8i のサポートが誤って削除されています。Identity Manager は、リソースとして Oracle 8i をサポートしています。(ID-13078)
- この章にある「Cascade Deletes」の節の Step 1 で、「updateableAttributes」という節の名前が、次のように「updatableAttributes」に修正されました。(ID-13075)
- noCascade アカウント属性は、ユーザーの削除時にカスケード削除を実行するかどうかを示します。デフォルトでは、カスケード削除を実行します。カスケード削除を無効にするには、システム設定オブジェクトの updatableAttributes セクションにエントリを追加します。
- oracleTempTSQuota アカウント属性についての記述を、次のように変更してください。
ユーザーが割り当てることのできる一時表スペースの最大量。この属性がスキーママップに存在する場合、制限値は常に一時表スペースに対して設定されます。この属性がスキーママップから削除された場合、制限値は一時表スペースに対して設定されません。Oracle 10gR2 リソースと通信するアダプタについては、この属性を削除する必要があります。(ID-12843)
Oracle ERP Adapter
- Oracle ERP アダプタで、per_people_f テーブルの employee_number を表す employee_number アカウント属性がサポートされました (ID-12796)。
- 作成時に値を入力すると、アダプタが per_people_f テーブル内のユーザーレコードの検索、person_id の取得と作成 API への設定、さらに fnd_user テーブルの employee_id 列への person_id の挿入を試行します。
- 作成時に employee_number を入力しないとこのリンク設定は試行されません。
- 作成時に employee_number を入力したがその番号が見つからなかった場合、アダプタは例外をスローします。
- employee_number がアダプタスキーマにある場合、アダプタは getUser に employee_number を返すように試行します。
- npw_number アカウント属性は臨時雇用者をサポートします。この属性は employee_number と同じように機能します。employee_number 属性と npw_number 属性は相互排他的です。作成時に両方が入力された場合、employee_number が優先されます。(ID-16507)
責任の監査
Oracle ERP アダプタに、監査機能をサポートする複数の属性が追加されました。(ID-11725)
フォームや関数など、ユーザーに割り当てられた責任のサブ項目を監査するには、スキーママップに auditorObject を追加します。auditorObject は、責任オブジェクトの集合を含む複雑な属性です。責任オブジェクトには、次の属性が常に返されます。
- responsibility
- userMenuNames
- menuIds
- userFunctionNames
- functionIds
- formIds
- formNames
- userFormNames
- readOnlyFormIds
- readWriteOnlyFormIds
- readOnlyFormNames
- readOnlyUserFormNames
- readWriteOnlyFormNames
- readWriteOnlyUserFormNames
- functionNames
- readOnlyFunctionNames
- readWriteOnlyFunctionNames
注 readOnly と ReadWrite の属性は、fnd_form_functions テーブルの PARAMETERS 列に次のいずれかの値を照会することで識別します。
「SOB または組織、あるいはその両方を返す」リソースパラメータが TRUE に設定されている場合、次の属性も返されます。
responsibility、setOfBooksName、setOfBooksId、organizationalUnitId、および organizationalUnitName 属性を除いて、これらの属性名は、スキーママップに追加可能なアカウント属性名と一致します。アカウント属性には、ユーザーに割り当てられる一連の値の集合が含まれます。responsibility オブジェクトに含まれる属性は、各責任に固有のものです。
責任属性には auditorResps[] ビューからアクセスできます。次のフォーム (抜粋) では、ユーザーに割り当てられたすべてのアクティブな責任とその属性を返します。
<defvar name='audObj'>
<invoke name='get'>
<ref>accounts[Oracle ERP 11i VIS].auditorObject</ref>
</invoke>
</defvar>
<!-- this returns list of responsibility objects -->
<defvar name='respList'>
<invoke name='get'>
<ref>audObj</ref>
<s>auditorResps[*]</s>
</invoke>
</defvar>
次に例を示します。
Oracle EBS 12 のサポート
Oracle ERP アダプタは Oracle E-Business Suite (EBS) バージョン 12 をサポートします。『Identity Manager Resources Reference』で説明されているように、インストールされている ERP のバージョンに応じて OracleERPUserForm のセクションを編集したり、コメントにしたりする必要はなくなりました。
FormRef 属性が次のプロパティーをサポートするようになりました。
これらのプロパティーは、ユーザーフォームのすべての参照元で入力するようにしてください。たとえば、Tabbed User Form では、Release 12 のサポートのために、次のような記述が必要な場合があります。
<FormRef name='Oracle ERP User Form'>
<Property name='RESOURCE_NAME' value='Oracle ERP R12'/>
<Property name='VERSION' value='12'/>
<Property name='RESP_DESCR_COL_EXISTS' value='TRUE'/>
</FormRef>SAP Adapter
Infotype
名前
サポートされているサブタイプ
0000
Actions
なし
0001
Organizational Assignment
なし
0002
Personal Data
なし
0006
Addresses
01 (永住)、03 (住所)
0105
Communication
MAIL (電子メールアドレス)、0010 (インターネットアドレス)
SAPHRActiveSyncAdapter で mySAP ERP ECC 5.0 (SAP 5.0) がサポートされました。
その結果、「Resource Configuration Notes」に次の変更が加えられました。(ID-12769):SAP Resource Adapter
次のリソース設定に関する注意事項は、SAP リソースアダプタにのみ適用されます。
ユーザーが自分自身の SAP パスワードを変更できる機能を有効にするには、次の手順を実行します。
SAP HR Active Sync Adapter
次のリソース設定に関する注意事項は、SAP HR Active Sync アダプタにのみ適用されます。
SAP ALE (Application Link Enabling) 技術により、SAP と Identity Manager などの外部システム間の通信が可能です。SAP HR Active Sync アダプタは、アウトバウンド ALE インタフェースを使用します。アウトバウンド ALE インタフェースでは、ベース論理システムが、アウトバウンドメッセージの送信側およびインバウンドメッセージの受信側となります。SAP ユーザーが従業員の雇用、役職名データの更新、従業員の解雇などのデータベースの変更を行う場合は、通常、ベース論理システム/クライアントにログインします。論理システム/クライアントは、受信側クライアントにも定義されている必要があります。この論理システムは、アウトバウンドメッセージの受信側として動作します。Active Sync アダプタは、2 つのシステム間のメッセージタイプとして HRMD_A メッセージタイプを使用します。メッセージタイプにより、システム間で送信されるデータの特性が設定され、IDoc タイプ (例: HRMD_A05) とも呼ばれるデータ構造への関連付けが行われます。
次の手順により、Active Sync アダプタで SAP HR から優先フィードを受信するために SAP 上で必要な設定が提供されます。
注 HRMD_A IDoc を ALE (Application Link Enabling) 処理できるように、SAP システムパラメータを設定する必要があります。これにより、2 つのアプリケーションシステム間でデータ配布が可能になります。これは「メッセージング」とも呼ばれます。
論理システムの作成
現在の SAP 環境によっては、論理システムの作成が不要な場合があります。以前に設定されたモデルビューに HRMD_A メッセージタイプを追加して、既存の分散モデルを変更するだけでよい場合もあります。ただし、論理システムと ALE ネットワークの設定については、SAP の推奨に従うことが重要です。次の手順では、新規の論理システムと新規のモデルビューを作成する場合を想定しています。
- トランザクションコード SPRO を入力し、SAP 完全版 IMG または組織に適用できるプロジェクトを表示します。
- 使用している SAP のバージョンにより、次のいずれかを実行します。
- SAP 4.6 では、「ベースコンポーネント」 > 「Application Link Enabling (ALE)」 > 「システムの送信と受信」 > 「論理システム」 > 「定義: 論理システム」をクリックします。
- SAP 4.7 では、「アプリケーションサーバー」 > 「Application Link Enabling (ALE)」 > 「システムの送信と受信」 > 「論理システム」 > 「定義: 論理システム」をクリックします。
- SAP 5.0 では、「SAP Netweaver」 > 「アプリケーションサーバー」 > 「IDOC インタフェース/Application Link Enabling (ALE)」 > 「基本設定」 > 「論理システム」 > 「定義: 論理システム」をクリックします。
- 「編集」 > 「新規エントリ」をクリックします。
- 作成する論理システム (IDMGR) の名前と説明を入力します。
- エントリを保存します。
論理システムへのクライアントの割り当て
- トランザクションコード SPRO を入力し、SAP 完全版 IMG または組織に適用できるプロジェクトを表示します。
- 使用している SAP のバージョンにより、次のいずれかを実行します。
- SAP 4.6 では、「ベースコンポーネント」 > 「Application Link Enabling (ALE)」 > 「システムの送信と受信」 > 「論理システム」 > 「割当: 論理システム -> クライアント」をクリックします。
- SAP 4.7 では、「アプリケーションサーバー」 > 「Application Link Enabling (ALE)」 > 「システムの送信と受信」 > 「論理システム」 > 「割当: 論理システム -> クライアント」をクリックします。
- SAP 5.0 では、「SAP Netweaver」 > 「アプリケーションサーバー」 > 「IDOC インタフェース/Application Link Enabling (ALE)」 > 「基本設定」 > 「論理システム」 > 「割当: 論理システム -> クライアント」をクリックします。
- クライアントを選択します。
- 「ジャンプ」 > 「詳細」をクリックして、「クライアント変更: 詳細」ダイアログボックスを表示します。
- 「論理システム」フィールドに、このクライアントに割り当てる論理システムを入力します。
- 「クライアントオブジェクトの変更と移送」セクションの「変更の自動記録」をクリックします。
- 「保護: クライアントコピープログラムと比較ツール」セクションの「保護レベル0: 制限なし」をクリックします。
- エントリを保存します。
分散モデルの作成
分散モデルを作成するには、次の手順に従います。
- 送信側のシステム/クライアントにログインしていることを確認します。
- トランザクションコード BD64 を入力します。変更モードになっていることを確認してください。
- 「編集」 > 「モデルビュー」 > 「登録」をクリックします。
- 作成するビューの短い技術的な名前、さらには開始および終了日を入力し、「続行」をクリックします。
- 作成したビューを選択してから「メッセージタイプの追加」をクリックします。
- 送信側/論理システム名を定義します。
- 受信側/サーバー名を定義します。
- 「保護クライアントコピアーと比較ツール」セクションの「保護レベル: 制限なし」をクリックします。
- 使用するメッセージタイプ (HRMD_A) を定義し、「続行」をクリックします。
- 「保存」をクリックします。
RFC サーバーモジュールの SAP ゲートウェイへの登録
Active Sync アダプタは初期化時に SAP ゲートウェイに登録されます。ID は「IDMRFC」となります。この値は、SAP アプリケーションに設定された値と一致する必要があります。SAP アプリケーションを設定して、RFC サーバーモジュールでハンドルを作成できるようにする必要もあります。RFC サーバーモジュールを RFC 宛先として登録するには、次の手順に従います。
- SAP アプリケーションでトランザクション SM59 に移動します。
- TCP/IP 接続ディレクトリを展開します。
- 「登録 (F8)」をクリックします。
- 「RFC 宛先」フィールドに RFC 宛先システムの名前 (IDMRFC) を入力します。
- 接続タイプを T (TCP/IP 接続) に設定します。
- 新しい RFC 宛先の説明を入力し、「保存」をクリックします。
- 「有効化タイプ」の「登録済サーバープログラム」ボタンをクリックします。
- プログラム ID を設定します。RFC 宛先 (IDMRFC) と同じ値を使用することをお勧めします。「保存」をクリックします。
- SAP システムが Unicode システムの場合は、ポートを Unicode 用に設定する必要があります。「MDMP/Unicode」タブをクリックして、「対象システムとの通信タイプ」セクションを探します。Unicode と非 Unicode の設定があります。
- 上のほうにある「接続テスト」ボタンと「ユニコードテスト」ボタンを使用して、Identity Manager リソースへの接続をテストします。テストにパスするにはアダプタを起動しておく必要があります。
ポート定義の作成
ポートは、IDoc の送信先となる通信チャネルです。ポートには、送信側システムと受信側システム間の技術的なリンクが記述されます。このソリューションには RFC ポートを設定してください。ポート定義を作成するには、次の手順に従います。
ポート定義の変更
パートナプロファイルを生成した場合は、ポート定義の入力が間違っていた可能性があります。システムが正しく動作するには、ポート定義を修正する必要があります。
Scripted JDBC Adapter
Identity Manager でスクリプト JDBC リソースアダプタがサポートされ、任意のデータベーススキーマおよび任意の JDBC アクセス可能なデータベースにあるユーザーアカウントを管理できるようになりました。このアダプタは、データベース内のアカウントの変更をポーリングする Active Sync もサポートします。このアダプタの詳細については、『Sun JavaTM System Identity Manager Resources Reference Addendum』を参照してください。(ID-12506)
Shell Script Adapter
Identity Manager でシェルスクリプトリソースアダプタがサポートされ、リソースのホストとなるシステム上で動作しているシェルスクリプトによって制御されるリソースを管理できるようになりました。このアダプタは汎用アダプタなので、設定の自由度が大きくなっています。
Siebel CRM Adapter
親/子ビジネスコンポーネントナビゲーションを必要とする Siebel オブジェクトの作成と更新が可能になりました。これは、Identity Manager には通常、実装されない高度な機能です。
高度なナビゲーション機能により、子ビジネスコンポーネントの作成および更新に必要な次の情報をオプションで指定することができます。
作成および更新動作時に、詳細なナビゲーション規則を使用できます。この規則はほかの種類の動作には利用できません。
Siebel CRM アダプタの高度なナビゲーション機能を実装するには、次のタスクを実行する必要があります。
- 右側のリソースユーザー属性の名前が PARENT_COMP_ID となっているスキーママップに属性を追加します。
- デバッグページを使用して、リソースの XML に次の ResourceAttribute を手動で追加します。
<ResourceAttribute name='AdvancedNavRule'
displayName='Advanced Nav Rule'
value='MY_SIEBEL_NAV_RULE'></ResourceAttribute>
MY_SIEBEL_NAV_RULE を有効な規則名と置き換えてください。
- 詳細なナビゲーション規則を記述します。この規則には、次の 2 つの変数が存在するようにしてください。
resource.action この値は create、update のいずれかにする必要があります。
resource.objectType 通常のアカウントの保守の場合、この値は account になります。
この規則から、次の名前と値のペアが 1 つ以上含まれるマップを返す必要があります。
ナビゲーション規則の例については、$WSHOME/sample/rules/SiebelNavigationRule.xml を参照してください。
Sun Java System Access Manager Adapter
Sun Java System Access Manager (Access Manager 7.0 より前のバージョン) のインストールおよび設定
「Installing and Configuring Sun Java System Access Manager」の説明中の Step 4 と 8 を次のように変更してください。(ID-13087)
- Sun Java System Access Manager サーバーからコピーされるファイルを配置するディレクトリを作成します。ここでは、このディレクトリを CfgDir と呼びます。Sun Java System Access Manager の場所は AccessMgrHome とします。
- 次のファイルを AccessMgrHome から CfgDir にコピーします。ディレクトリ構造はコピーしないでください。
- UNIX 環境の場合、読み取りアクセスをすべてのユーザーに対して許可するために CfgDir 内の jar ファイルのアクセス権を変更しなければならない場合があります。アクセス権を変更するには、次のコマンドを実行します。
chmod a+r CfgDir/*.jar
- 次のように JAVA クラスパスを付加します。
- version 6.0 を使用する場合は、Java システムプロパティーを設定して CfgDir を指定します。次のようなコマンドを使用します。
java -Dcom.iplanet.coreservices.configpath=CfgDir
- version 6.1 以降を使用する場合は、CfgDir/AMConfig.properties ファイルに次の行を追加、またはファイル内のそれらの行を編集します。
com.iplanet.services.configpath=CfgDircom.iplanet.security.
SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImplcom.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.
factory.JSSESocketFactorycom.iplanet.security.encryptor=com.iplanet.services.util.
JCEEncryption1 行目では configpath を設定しています。最後の 3 行では、セキュリティーの設定を変更しています。
- CfgDir/am_*.jar ファイルを $WSHOME/WEB-INF/lib にコピーします。version 6.0 を使用する場合は、jss311.jar ファイルも $WSHOME/WEB-INF/lib ディレクトリにコピーします。
- Identity Manager が Windows 上で動作している環境で Identity Server 6.0 を使用する場合は、IdServer#yen;lib#yen;jss#yen;*.dll を CfgDir にコピーし、CfgDir をシステムパスに追加します。
注 Identity Manager が Sun Java System Access Manager とは異なるシステム上にインストールされている環境では、次のエラー条件を確認してください。Sun Java System Access Manager リソースへの接続試行時に、エラー java.lang.ExceptionInInitializerError が返され、それに続く試行で java.lang.NoClassDefFoundError が返される場合は、設定データに誤りまたは欠落がないかチェックします。
java.lang.NoClassDefFoundError で示されたクラスの jar ファイルも調べます。そのクラスを含む jar ファイルのクラスパスを、アプリケーションサーバー上の JAVA クラスパスに付加します。
Sun Java System Access Manager (Version 7.0 以降の旧バージョンモード) のインストールおよび設定
旧バージョンモードのリソースアダプタをインストールおよび設定するには、次の手順に従います。
- Sun Access Manager のインストールからクライアント SDK を構築するには、『Sun JavaTM System Access Manager 7 2005Q4 Developer's Guide』に記載された手順に従います。
- 生成される war ファイルから AMConfig.properties ファイルと amclientsdk.jar ファイルを展開します。
- 次のディレクトリに AMConfig.properties をコピーします。
InstallDir/WEB-INF/classes
- 次のディレクトリに amclientsdk.jar をコピーします。
InstallDir/WEB-INF/lib
Sun Java System Communications Services Adapter
- ユーザーの作成後にプロキシリソース上で実行可能なサンプルスクリプトに誤りがありました。次のスクリプトを使用してください。(ID-12536)
SET PATH=c:#yen;Sun#yen;Server-Root#yen;lib
SET SYSTEMROOT=c:#yen;winnt
SET CONFIGROOT=C:/Sun/Server-Root/Config
mboxutil -c -P user/%WSUSER_accountId%.*
- inetOrgPerson オブジェクトクラスの次のバイナリアカウント属性がサポートされました。
ほかのバイナリアカウントもサポートされている可能性はありますが、テストが完了していません。
Top Secret Adapter
『Identity Manager Resources Reference』で、TopSecret アダプタがアカウント名の変更をサポートすると説明されていますが、これは誤りです。このアダプタで TopSecret アカウント名の変更はサポートされていません。
第 3 章: 「Adding Actions to Resources」
「Windows NT Examples」の節で、3 つの例のすべてで Field の名前が間違って定義されています。accounts[NT].attributes. を resourceAccounts.currentResourceAccounts[NT].attributes. に置き換えてください。たとえば、「Example 3: Action that Follows the Deletion of a User」のステップ 4 では、Field 名の正しい定義は次のとおりです。
<Field name= 'resourceAccounts.currentResourceAccounts[NT].attributes.delete after action'>
Identity Manager Tuning, Troubleshooting, and Error Messages追加事項
- タスクに問題がある場合に、com.waveset.task.Scheduler の標準追跡機能を使ってタスクスケジューラを追跡できるようになりました。
詳細については、『Sun JavaTM System Identity Manager Tuning, Troubleshooting, and Error Messages』の「Tracing the Identity Manager Server」を参照してください。
- 特定のエントリメソッドより下のレベルで発生する問題をデバッグする場合は、そのメソッドレベルで追跡することを検討します。Identity Manager では、メソッドとその直接および間接サブ呼び出しのみを追跡できるようになりました。(ID-14967)
この機能を有効にするには、subcalls 修飾子を使用して次のようにスコープのトレースレベルを設定します。
trace 4,subcalls=2 com.waveset.recon.ReconTask$WorkerThread#reconcileAccount
この例では、reconcileAccount() メソッドをレベル 4 で、すべてのサブ呼び出しをレベル 2 で追跡します。
詳細については、『Sun JavaTM System Identity Manager Tuning, Troubleshooting, and Error Messages』の「Defining a Trace Configuration」を参照してください。
修正すべき事項
このリリースでは JDK 1.4.2 をインストールする必要があるため、第 1 章「Performance Tuning, Optimizing the J2EE Environment」の、Cryptix の jar ファイル (cryptix-jceapi.jar および cryptix-jce-provider.jar) を idm#yen;WEB-INF#yen;lib ディレクトリから削除するという指示は該当しなくなりました (Identity Manager の以前のバージョンからアップグレードしている場合を除く)。
Identity Manager Deployment Tools修正すべき事項
第 7 章「Using Identity Manager Web Services」
「ExtendedRequest Examples」の節にある launchProcess の例を次のように修正する必要があります。(ID-13044)
launchProcess
次の例は、launchProcess リクエストの一般的な形式を示しています。(View Process ビュー。)
ExtendedRequest req = new ExtendedRequest();
req.setOperationIdentifier("launchProcess");
req.setAsynchronous(false);
req.setAttribute("process", "Custom Process Name");
req.setAttribute("taskName", "Custom Process Display Name");
SpmlResponse res = client.request(req);
helpTool の使用Identity Manager 6.0 リリースでは、HTML 形式のオンラインヘルプおよびマニュアルファイルを検索できる新しい機能が追加されました。検索エンジンは SunLabs の「Nova」検索エンジン技術をベースとしています。
Nova エンジンの使用には、インデックス作成と検索の 2 つの段階があります。インデックス作成段階では、入力ドキュメントが分析され、検索段階で使用されるインデックスが作成されます。検索では、検索語が見つかったコンテキストで構成される「パッセージ」を抽出することが可能です。パッセージ検索プロセスでは元の HTML ファイルが存在している必要があるため、これらのファイルが、検索エンジンがアクセス可能なファイルシステム内の場所に存在している必要があります。
helpTool は、次の 2 つの基本機能を実行する Java プログラムです。
helpTool はコマンド行から次のようにして実行します。
$ java -jar helpTool.jar
使用法: HelpTool
-d 検索先ディレクトリ
-h このヘルプ情報
-i 入力ファイルを含むディレクトリまたは JAR、ワイルドカードは不可
-n Nova インデックスのディレクトリ
-o 出力ファイル名
-p プロパティーファイルのインデックス作成
オンラインヘルプインデックスの再構築/再作成
オンラインヘルプの HTML ファイルは JAR ファイルにパッケージ化されています。これらのファイルを、検索エンジン用のディレクトリに展開する必要があります。次の手順を使用します。
- helpTool の配布パッケージを一時ディレクトリに展開します。(詳細は未定)
この例では、ファイルを /tmp/helpTool に展開します。
- UNIX シェルまたは Windows のコマンドウィンドウで、Identity Manager アプリケーションが Web コンテナに配備されたディレクトリに移動します。
たとえば、Sun Java System Application Server のディレクトリは次のようになります。
/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm
- 現在の作業ディレクトリを help/ ディレクトリに変更します。
注 このディレクトリから helpTool を実行することが重要です。そうしないと、インデックスが正しく作成されません。また、index/help/ サブディレクトリの内容を削除することによって、古いインデックスファイルを削除することをお勧めします。
- コマンド行引数に指定する次の情報を収集します。
- 次のコマンドを実行します。
$ java -jar /tmp/helpTool/helpTool.jar -d html/help/ja_JP
-i ../WEB-INF/lib/idm_l10n_ja_JP.jar -n index/help -o index_files_help.txt -pindex/index.properties
Extracted 475 files.
[15/Dec/2005:13:11:38] PM Init index/help AWord 1085803878
[15/Dec/2005:13:11:38] PM Making meta file: index/help/MF: 0
[15/Dec/2005:13:11:38] PM Created active file: index/help/AL
[15/Dec/2005:13:11:40] MP Partition: 1, 475 documents, 5496 terms.
[15/Dec/2005:13:11:40] MP Finished dumping: 1 index/help 0.266
[15/Dec/2005:13:11:40] IS 475 documents, 6.56 MB, 2.11 s, 11166.66 MB/h
[15/Dec/2005:13:11:40] PM Waiting for housekeeper to finish
[15/Dec/2005:13:11:41] PM Shutdown index/help AWord 1085803878
マニュアルインデックスの再構築/再作成
マニュアルインデックスを再構築または再作成するには、次の手順を使用します。
- helpTool の配布パッケージを一時ディレクトリに展開します。(詳細は未定)
この例では、ファイルを /tmp/helpTool に展開します。
- UNIX シェルまたは Windows のコマンドウィンドウで、Identity Manager アプリケーションが Web コンテナに配備されたディレクトリに移動します。
たとえば、Sun Java System Application Server のディレクトリは次のようになります。
/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm
- 現在の作業ディレクトリを help/ ディレクトリに変更します。
注 このディレクトリから helpTool を実行する必要があります。そうしないと、インデックスが正しく作成されません。また、index/docs/ サブディレクトリの内容を削除することによって、古いインデックスファイルを削除することをお勧めします。
- コマンド行引数に指定する次の情報を収集します。
- 次のコマンドを実行します。
$ java -jar /tmp/helpTool/helpTool.jar -d html/docs -i ../doc/HTML/en_US -n index/docs -o index_files_docs.txt -p index/index.properties
Copied 84 files.
Copied 105 files.
Copied 1 files.
Copied 15 files.
Copied 1 files.
Copied 58 files.
Copied 134 files.
Copied 156 files.
Copied 116 files.
Copied 136 files.
Copied 21 files.
Copied 37 files.
Copied 1 files.
Copied 13 files.
Copied 2 files.
Copied 19 files.
Copied 20 files.
Copied 52 files.
Copied 3 files.
Copied 14 files.
Copied 3 files.
Copied 3 files.
Copied 608 files.
[15/Dec/2005:13:24:25] PM Init index/docs AWord 1252155067
[15/Dec/2005:13:24:25] PM Making meta file: index/docs/MF: 0
[15/Dec/2005:13:24:25] PM Created active file: index/docs/AL
[15/Dec/2005:13:24:28] MP Partition: 1, 192 documents, 38488 terms.
[15/Dec/2005:13:24:29] MP Finished dumping: 1 index/docs 0.617
[15/Dec/2005:13:24:29] IS 192 documents, 14.70 MB, 3.81 s, 13900.78 MB/h
[15/Dec/2005:13:24:29] PM Waiting for housekeeper to finish
[15/Dec/2005:13:24:30] PM Shutdown index/docs AWord 1252155067