IBM RACF Advanced Connectorのデプロイは、Oracle Identity Managerシステムで実行されるタスクと、メインフレームで実行されるタスクの2つの部分で構成されています。Oracle Identity Managerシステムでのデプロイ手順には、LDAP Gatewayのインストールが含まれます。手順は次の項で説明します。
Provisioning AgentおよびReconciliation Agentはメインフレーム環境にインストールされます。これについては、第3章「インストールおよび構成: 第II部」で説明します。
次の表に指定されている、Oracle Identity Manager IBM RACF Advanced Connectorをデプロイするためのシステム要件を満たしていることを確認します。
注意: LDAP GatewayはOracle Identity Managerとシームレスに連携し、Oracle Identity Manager自体に作成されたユーザー・アカウントで動作します。そのため、Oracle Identity Managerのユーザー・アカウントに付与されているのと同じ権限があり、Provisioning AgentおよびReconciliation Agentとともに動作します。 |
Oracle Identity Managerおよびメインフレーム環境間において、Oracle Identity ManagerはTCP/IPおよびIBM MQ Seriesという、異なる2つのセキュアなメッセージ・トランスポート・レイヤーをサポートしています。
MQ Seriesには、LDAP Gatewayレベルでは透過的な独自の内部設定手順があります。主要な要件は、Oracle Identity Managerおよびメインフレーム間でポート1414が使用されていることです。
TCP/IPメッセージ・トランスポート・レイヤーには追加の構成が必要です。Oracle Identity Managerにより、標準のメッセージ・トランスポート・レイヤーの通信用に次のポートが予約されています。
エンタープライズ・レベル・アーキテクチャとの連携で、ポート5790はAdvanced Provisioning Agent用に使用されます。LDAP GatewayおよびReconciliation Agent間では、Oracle Identity Managerにより複数のLPAR用のポート範囲として、ポート5190〜5199が予約されています。
次のコネクタ・ファイルを表に示されているコピー先ディレクトリにコピーします。
Oracle Identity Managerサーバーの構成には、次の手順があります。
注意: クラスタ環境では、クラスタの各ノードでこれらのステップを実行する必要があります。 |
Oracle Identity Managerサーバーの構成には、必要なフォントのインストールと必要な入力ロケールの設定が含まれます。
入力ロケールを設定するには、次のようにします。
「コントロール パネル」を開きます。
「地域のオプション」をダブルクリックします。
「地域のオプション」ダイアログ・ボックスの「入力ロケール」タブで、使用する入力ロケールを追加して切り替えます。
Oracle Identity Managerは、高度なLDAP GatewayおよびLPARを介してメインフレームと通信します。Oracle Identity Managerのクラスタ・インストールにコネクタをデプロイする際には、次の説明を参照してください。
メインフレームにおいて、複数のLPARは基本的に、メインフレームの単一の認証リポジトリに関連付けられている論理パーティションです。
リコンシリエーションは、個々のLPARのメインフレーム認証リポジトリに対して発生するイベントの検出です。イベントによりメインフレームに変更が行われ、付属しているすべてのLPARが影響を受けます。IDイベントが発生するすべてのLPARに、Reconciliation Agentがインストールされていて、単一のLDAP Gatewayに関連付けられている必要があります。
メインフレーム認証リポジトリの異なるセットのリコンシリエーションを、別のLDAP Gatewayに送信できます(各認証リポジトリに独自のLPARセットがある場合)。
プロビジョニングは、LPARを介してOracle Identity Managerからメインフレーム認証リポジトリに行われます。認証リポジトリに付属するすべてのLPARは、単一のLPARのプロビジョニング・イベントで変更されるため、LDAP Gatewayによって変更されるLPARはグループで1つのみである必要があります。同じグループの2つ以上のLPARが同じ変更を受信した場合、1つ目の変更のみが実行されます。認証リポジトリがすでに変更されているため、それ以外の変更ではエラーが発生します。
一部のメインフレーム・インストールには複数の認証リポジトリがありますが、すべて同じタイプです。メインフレーム環境に内部同期プロセスがある場合には、メインフレームのアーキテクトまたはOracle Identity Managerのアーキテクトにクラスタ構成の最善の方法を相談してください。
リリース9.0.2の場合、クラスタ・デプロイのIBM RACF Advanced Connectorで、動作中の単一のメインフレーム認証リポジトリ(付属のLPARセットも含む)に一度に接続できるのは1つのLDAP Gatewayのみです。これは既知の問題で、今後のリリースで解決されます。
<OIM_home>
\xellerate\connectorResources
ディレクトリに新しいリソース・バンドル・ファイルを追加するたび、または既存のリソース・バンドル・ファイルに変更を行うたびに、サーバー・キャッシュを消去する必要があります。
サーバー・キャッシュを消去するには、次のようにします。
コマンド・ウィンドウを開いて、<OIM_home>/xellerate/binディレクトリに移動します。
オペレーティング・システムに応じて、次に示すコマンドのいずれかを実行します。
PurgeCache.bat ConnectorResourceBundle
PurgeCache.sh ConnectorResourceBundle
コネクタのXMLファイルをOracle Identity Managerにインポートするには、次のようにします。
左側のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイル検索用のダイアログ・ボックスが表示されます。
oimRacfConnector.xml
ファイルを検索して開きます。このファイルはOIM_HOME
\xellerate\XLIntegrations\racf\xml\
ディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「次へ」をクリックします。RacfResource
リソースの「ITリソース・インスタンス・データの提供」ページが表示されます。
RacfResource
リソースのパラメータの値を指定します。指定する値の詳細は、「ITリソースの定義」の表を参照してください。
「次へ」をクリックします。RacfResource
ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
その他のITリソースを定義しないことを指定するには、「スキップ」をクリックします。「確認」ページが表示されます。
関連資料: その他のITリソースを定義する場合、手順は『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
「選択内容の表示」をクリックします。
XMLファイルの内容が「インポート」ページに表示されます。一部のノードに十字形のアイコンが表示されている場合があります。これらのノードは削除する必要があります。削除するには、各ノードを右クリックして「削除」を選択します。
「インポート」をクリックします。コネクタのファイルがOracle Identity Managerにインポートされます。
RacfResource
ITリソース・パラメータには、次の表に示す値を指定してください。
パラメータ名 | パラメータ値(デフォルト) |
---|---|
リソース・アセット名 | RacfResource |
リソース・アセット・タイプ | LDAP Server |
管理者ID | uid=idfRacfAdmin,ou=People,dc=racf,dc=com |
管理者パスワード | idfRacfPwd |
サーバー・アドレス | localhost |
ルートDN | dc=racf,dc=com |
ポート | 5389 |
Xelletateの外部にあるマシンに存在するリソース・アセットがAPIのメソッドのコールに使用されるかどうか | No |
これらのITリソース・パラメータの値を指定したら、この手順のステップ9に進んで、コネクタのXMLファイルをインポートします。
コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。これらのアダプタを使用してターゲット・システムにアカウントをプロビジョニングするには、これらをコンパイルする必要があります。
CreateRacfUser
ChangePassword
ResetPassword
DeleteUser
RevokeUser
ResumeUser
ModifyUser
GrantTsoAccess
AddUserToGroup
RemoveUserFromGroup
AddUserToDataset
RemoveUserFromDataset
AddUserToResource
RemoveUserFromResource
「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」オプションを選択します。
複数のアダプタ(すべてではない)をコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」オプションを選択します。
「開始」をクリックします。指定したアダプタがOracle Identity Managerによってコンパイルされます。
アダプタの詳細情報を表示するには、次のようにします。
「アダプタ・マネージャ」フォームでアダプタをハイライト表示します。
アダプタの行ヘッダーをダブルクリックするか、アダプタを右クリックします。
表示されるショートカット・メニューで「アダプタの起動」を選択します。アダプタの詳細が表示されます。
LDAP Gatewayをインストールするには、OIM_HOME
/etc/LDAP Gateway/
(<LDAP_install_dir>
)ディレクトリに移動して、次のステップを実行します。
<LDAP_install_dir>
/bin
ディレクトリにあるrun.cmd
またはrun.sh
ファイルを編集して、JAVA_HOME
変数をJavaインストール・ディレクトリ(j2sdk1.4.2
以上)に一致するように設定し、ファイルを保存します。
idfserver.jar
ファイルを抽出し、<LDAP_install_dir>
/dist/
の下にあるbeans.xml
ファイルを編集します。サーバーのport
プロパティを編集し、Gatewayおよびコネクタのインストールに使用するメインフレームLPAR間の通信に使用するポートを指定します。たとえば、次のコードでは、portプロパティは5389に設定されています。
<bean id="listener" class= "com.identityforge.ximserver.nio.Listener"> <constructor-arg><ref bean="bus"/></constructor-arg> <property name="admin"><value>false</value></property> <property name="config"> <value>../conf/listener.xml</value></property> <property name="port" value="5389"/> </bean>
メッセージ・トランスポート・レイヤーにIBM MQ Seriesを使用している場合は、次のファイルを<LDAP_install_directory>
/lib
ディレクトリにコピーする必要があります。
com.ibm.mq.jar
com.ibm.mqbind.jar
com.ibm.mqjms.jar
fscontext.jar
providerutil.jar
プロビジョニング機能を使用できるようにOracle Identity Manager LDAP Gatewayを構成するには、次のようにします。
ximserver.jar
を開いて、<LDAP_install_dir>/dist/ximserver.jar
の下にあるbeans.xml
ファイルを編集します。
<bean name="RACF">
タグを検索し、次のコードで太字で強調されている情報を編集します。
<bean name="RACF" singleton="true" class="com.identityforge.ximserver.backend.RACF.RACFModule"> <!-- The following change is optional. If you make this change, also change the metaengine.xml file. --> <property name="suffix" value="dc=RACF,dc=com"/> <property name="workingDirectory" value="../RACF"/> <!-- The following change is optional. --> <property name="adminUserDN" value="cn=ximRACFAdmin,dc=RACF,dc=com"/> <property name="adminUserPassword" value="ximRACFPwd"/> ... ... <property name="transport"> <map> <!-- Set to MQ if using IBM MQ Series --> <entry key="_type_" value="SOCKET"/> <!-- Set to true for 128-bit AES encryption. --> <entry key="_isencrypted_" value="false"/> <!-- Set to IP of RACF system. --> <entry key="_host_" value="64.190.71.35"/> ... ... </map> </property> <property name="Connector" value="false"/> </bean>
ドメイン・パーティションをデフォルトのdc=RACF,dc=com
から変更した場合には、<LDAP_install_dir>
/conf
にあるmetaengine.xml
ファイルを開きます。
出現するすべてのドメイン・パーティションdc=RACF,dc=com
を、インストールに選択したドメイン・パーティションで置き換えます。
ファイルを保存します。
複数のターゲット・システム・インストールと接続するためにコネクタを構成するには、次のステップを実行します。
LDAP_install_dir/dist/idfserver.jarファイルからbeans.xmlファイルを抽出します。
beans.xmlファイルをテキスト・エディタで開きます。
<property name="backends">
を検索し、ターゲット・システムのJavaBeansの名前を識別する<ref>
要素を追加します。たとえば、次のコードでは、同じコネクタにRACFおよびTopSecretターゲットを構成しています。
<property name="backends"> <list> <ref bean="hpbe2"/> <ref bean="racf"/> <ref bean="tops"/> </list> </property>
<property name="priority">
を検索し、次のようにして、各JavaBeansのプロパティを識別する<ref>
要素を追加します。
<property name="priority"> <list> <ref bean="be2"/> <ref bean="be3"/> <ref bean="be4"/> </list> </property>
beans.xmlファイルを保存して、LDAP_install_dir/dist/idfserver.jarファイルを再度パッケージ化します。