この章では、Provisioning Gatewayを構成する設定の使用に関する情報を提供します。
「Web Service Account」ページを使用して、IIS Webサービス用の匿名ログオンを設定または変更します。Provisioning Gateway Webサービスは、このドメイン・アカウントとして実行します。「Web Service Account」ダイアログに、現行の匿名ログオン・アカウントおよびこのアカウントを変更するためのログオン・フォームが表示されます。
注意: アカウントを変更するには、Provisioning Gateway Consoleに対してProvisioning Gateway Webサーバーの管理者グループのメンバーとして認証される必要があります。 |
Webサービス・アカウントには、次の権限が必要です。
レジストリ・パスHKLM\Software\Passlogix
に対する読取り権限および書込み権限。
記憶域に対する接続権限、読取り権限および書込み権限(Active DirectoryまたはAD LDS (ADAM)の場合)。
Webサービス・アカウントを変更するには、アカウントのユーザー名(Domain\Username
という形式)およびパスワードを入力し、パスワードを確認して「Save」をクリックします。
「Storage」ページを使用して、Provisioning Gatewayデータのリポジトリとして使用されるディレクトリ・サービス(Oracle Internet Directory、Microsoft Active Directory、Microsoft AD LDS (ADAM)、IBM LDAP DirectoryまたはSun Directory Server)の接続設定を表示または変更します。
変更が完了したら、「Save Changes」をクリックして、Provisioning Gatewayに新しい設定を適用します。記憶域の設定を保存すると、Provisioning Gatewayに対する再認証を求められます。
このページの情報は、暗号化され、HKLM\Software\Passlogix\PM\Server\Storage
の下のレジストリに保存されます。
設定 | 値 |
---|---|
*Storage Type | 次のいずれかの記憶域の場所を選択します。
|
*Server | サーバーの名前またはIPアドレスのいずれかを入力し、構成されているポート番号を付加します。たとえば、example.oracle.com:389 (SSLを使用しない場合)またはexample.oracle.com:636 (SSLによる安全な接続を使用する場合)。 |
*Root DN | ルート・ディレクトリ。
たとえば、 |
次の設定は、Oracle Directories、Active Directory、IBM LDAP Directory、Novell eDirectoryおよびSun Directory Serverの記憶域でのみ使用します。 | |
*User Path(s) | ユーザー・アカウントの場所を示す完全修飾されたパス。検索するパスの数に制限はありません。パスは、セミコロン(;)で区切られていて、入力した順序で検索されます。
たとえば、 |
次の設定は、Active DirectoryまたはAD LDS (ADAM)(あるいはその両方)の記憶域でのみ使用します。 | |
Prepend Domain | このオプションは、ユーザーのコンテナに名前を付ける際にユーザー名にユーザーのドメインを追加できるようにする場合に選択します。たとえば、ドメインoracleおよびユーザーjameskの場合、コンテナは、このフラグを無効にするとjameskと名付けられ、このフラグを有効にするとoracle.jameskと名付けられます。 |
次の設定は、Active Directoryの記憶域でのみ使用します。 | |
Locate in User | Active Directoryユーザー・オブジェクトの下のProvisioning Gatewayユーザー・データを検索できるようにする場合に選択します。 |
次の設定は、Sun LDAPの記憶域でのみ使用します。 | |
User Prepend | ディレクトリのユーザー・オブジェクトのユーザー・ネーミング属性を指定します。この設定は、ユーザー・オブジェクトの相対識別名(RDN)の作成に使用します。一般的な値は、CN またはUID です。 |
次の設定は、Oracle Directories、IBM LDAP Directory、Novell eDirectoryまたはSun Directory Serverの記憶域でのみ使用します。 | |
*Connect as User | ディレクトリ管理者のユーザー名。 |
*Password | ディレクトリ管理者のパスワード。 |
次の設定は、Oracle Directories、Active Directory、IBM LDAP Directory、Novell eDirectoryまたはSun Directory Serverの記憶域でのみ使用します。 | |
Use secure connection (SSL) | Secure Socket Layerを有効にする場合に選択します。 |
構成オブジェクトまたはロール/グループのサポートを使用する場合は、ディレクトリのすべての記憶域タイプで次の設定を使用します。 | |
Use configuration objects instead of application list | アプリケーション構成リスト(entlistとも呼ばれる)のかわりに、構成オブジェクト(CO)を使用できるようにする場合に選択します。
Provisioning Gatewayサーバーは、プロビジョニング・オブジェクトについてディレクトリを検索して、プロビジョニング・クライアントのアクセス制御権を取得します。アクセス権を持つオブジェクトのみが検索されます。 |
Role/Group support | 管理ユーザーのロール/グループ・ベースのアクセス制御を有効にする場合に選択します。ロール/グループのサポートを有効にすると、構成オブジェクトのサポートが有効になります。
ロール/グループのサポートを有効にする場合は、権限を指定する必要があります。権限を指定しない場合、デフォルトでは、すべてのユーザーおよびグループによるすべてのアクションへのアクセスが拒否されます。 権限の設定については、第4章「ロールまたはグループのサポートの設定」を参照してください。 |
Configuration and role/group objects root DN | 構成オブジェクトおよびプロビジョニング・オブジェクトの検索を開始する場所を指定します。指定した場所から下方向に検索が行われます。たとえば、ou=vgoconfig、dc=test2003,dc=com、dc=passlogix,dc=com などです。
このコンテナへのパスには、これらの記憶域設定の入力の前に、少なくとも1つのテンプレートが存在するか含んでいる必要があります。テンプレートは、そのパスではなくサブパスに存在することもできます。このコンテナが存在しない場合、エラー・メッセージが表示されます。 権限の設定については、第4章「ロールまたはグループのサポートの設定」を参照してください。 |
「Event Log」ページを使用して、イベントの記録先のサーバーを構成します。変更が完了したら、「Save Changes」をクリックして、Provisioning Gatewayに新しい設定を適用します。
設定 | 説明 |
---|---|
Database Type | 使用するデータベースを選択します:
Syslogデーモンはデータベースではありませんが、デーモンにイベントを送信するには、「Event Log Settings」ページの「Database Type」ドロップダウン・リストから選択します。 Syslogデーモンに設定するパラメータはありません。インストール後に手動で構成を行います。詳細は、『Oracle Enterprise Single Sign-On Suiteのインストール』 を参照してください。 |
次の設定は、Oracle Databaseでのみ使用します。 | |
Connection String | データベース接続文字列を入力します。たとえば、外部認証を使用しているOracleを使用する場合、この文字列には、次の形式を使用する必要があります。
MicrosoftのOracle OLE Providerの場合:
|
次の設定は、Microsoft SQL Serverデータベースでのみ使用します。 | |
Server | イベントの記録先のサーバーの名前を入力します。このマシンで、SQL Serverが実行されている必要があります。ただし、Provisioning Gatewayデータベースが存在している必要はありません。このサーバーをProvisioning Gatewayではじめて使用する場合は、Provisioning Gatewayデータベースを作成するため、「Initialize Event Log」ボックスを選択する必要もあります。
現在のマシンを指定するためにサーバーのIPアドレスを使用することはできません。実際のマシンの名前を使用する必要があります(pdevrx2など)。 ローカル・マシンをlocalhostという名前で表すことはできません。マシンの名前を使用する必要があります。 |
次の設定は、OracleおよびSQLデータベースで使用します。 | |
Initialize Event Log | この設定を有効にすると、指定したサーバーにProvisioning Gatewayデータベースが作成されます。データベースがすでに存在する場合は、そのデータベース内のすべての既存データが消去されます。通常、この設定は、初回のインストールおよびデータベース内のログ・エントリをクリアする場合に使用します。この設定は保存されません。 |
このページを使用して、Logon ManagerテンプレートをOracle Privileged Accounts Manager (OPAM)ターゲットにマップします。
注意: 次のいずれかの機能を実行するには、Oracle Enterprise Single Sign-On Administrative Consoleで「Map Template」権限が付与されている必要があります。 |
「Targets」ウィンドウでは、使用可能なすべてのOPAMターゲットの名前と、それにマップされているテンプレートがある場合は、その名前がカッコで囲まれて表示されます。
ターゲットを選択し、「Edit」ボタンをクリックして、ターゲットのマッピング・プロパティを編集します。
テンプレート・マッピングの「Edit」ダイアログで、OPAMターゲットにマップするテンプレートを選択します。テンプレートがすでにターゲットにマップされている場合は、ダイアログの起動時に選択されています。
テンプレート・マッピングの設定および権限の付与の詳細は、『Oracle Enterprise Single Sign-On Suiteの管理』を参照してください。
注意: Logon ManagerがActive Directoryリポジトリと同期化されており、「local computer credentials」オプションを使用している場合、グローバル・エージェント設定でオーセンティケータからActive Directory同期拡張(ShareCredsToSyncs)への資格証明の共有を可能にする必要があります。 |