| Oracle Identity Manager IBM RACF Standard Connectorガイド リリース9.0.3 E05109-01 |
|
 戻る |
 次へ |
コネクタをデプロイするには次の手順を実行します。
IBM RACFの複数のインストールに対してコネクタを構成する場合は、次の手順を実行します。
次の表に、コネクタのデプロイ要件を示します。
| 項目 | 要件 |
|---|---|
| Oracle Identity Manager | Oracle Identity Managerリリース8.5.3以上。 |
| ターゲット・システム | IBMメインフレーム・サーバー。 |
| ターゲット・システムのホスト・プラットフォーム | z/OS 1.4のRACF。 |
| 外部コード | IBM Host On-Demand(HOD)バージョン9.0から取得するHost Access Class Library(HACL)クラス・ファイルを次に示します。
|
| ターゲット・システムのユーザー・アカウント | 「手順4: ターゲット・システムの構成」で、必要な権限を持つIBM RACFユーザー・アカウントを作成する手順を説明しています。
「ITリソースの定義」の手順を実行する際に、このユーザー・アカウントの資格証明を指定します。 |
コネクタ・ファイルのコピーには次の手順があります。
次の表に、コピーするコネクタ・ファイルおよびそれらのコピー先のディレクトリを示します。
|
注意: この表の1列目のディレクトリ・パスは、インストール・メディアの次に示すZIPファイル内にあるコネクタ・ファイルの場所に対応しています。Security Applications\IBM RACF\IBM RACF Standard これらのファイルの詳細は、「コネクタを構成するファイルおよびディレクトリ」を参照してください。 |
| インストール・メディア・ディレクトリのファイル | コピー先ディレクトリ |
|---|---|
lib\JavaTask\xlUtilHostAccess.jar |
|
lib\ScheduleTask\xlReconRACF.jar |
OIM_home\xellerate\ScheduleTask
|
lib\ThirdPartyディレクトリのファイル |
OIM_home\xellerate\ThirdParty
|
RACF Scriptsディレクトリにあるファイル |
OIM_home\xellerate\RACF Scripts
|
resourcesディレクトリのファイル |
OIM_home\xellerate\connectorResources
|
xml\racfResAdp.xml |
OIM_home\xlclient\
|
|
注意: Oracle Identity Managerをクラスタ環境にインストールするときは、インストール・ディレクトリの内容をクラスタの各ノードにコピーします。同じく、connectorResourcesディレクトリとJARファイルも、クラスタの各ノードの対応するディレクトリにコピーする必要があります。 |
Oracle Identity Managerサーバーの構成には、次の手順があります。
|
注意: クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。 |
必要な入力ロケール(言語および国の設定)に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。
必要な入力ロケールを設定するには、次のようにします。
|
注意: 使用しているオペレーティング・システムによっては、この手順の実行方法が異なる場合があります。 |
「コントロール パネル」を開きます。
「地域のオプション」をダブルクリックします。
「地域のオプション」ダイアログ・ボックスの「入力ロケール」タブで、使用する入力ロケールを追加してから、その入力ロケールに切り替えます。
OIM_home\xellerate\connectorResourcesディレクトリ内に新しいリソース・バンドルを追加するたび、または既存のリソース・バンドルで変更を行うたびに、コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去する必要があります。
サーバー・キャッシュからのコネクタ・リソース・バンドルに関連する内容を消去するには、次のようにします。
コマンド・ウィンドウで、OIM_home\xellerate\binディレクトリに移動します。
次のコマンドのいずれかを入力します。
|
注意: このステップを実行する前にステップ1を実行する必要があります。コマンドを次のように実行すると、例外がスローされます。OIM_home\xellerate\bin\batch_file_name |
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
このコマンドのConnectorResourceBundleは、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。
OIM_home\xellerate\config\xlConfig.xml
|
注意: ステップ2の実行時にスローされる例外は無視できます。 |
ターゲット・システムを構成するには、次のようにします。
TCP/IPプロファイル・ファイルに指定したTelnetおよびSSLポート番号を記録します。「ITリソースの定義」の手順を実行する際に、ITリソース定義の一部としてこれらのポート番号の指定が必要です。
FTPを使用し、メンバー(スクリプト)をOIM_home\xellerate\RACF Scriptsディレクトリから、レコード長80およびレコード形式固定ブロックのパーティション化したデータセットにアップロードします。
次のファイルを、レコード長80およびレコード形式固定ブロックでフラット・ファイルまたは順次データセット(PS)ファイルとしてアップロードします。
OIM_home\xellerate\RACF Scripts\SYSTMDAT
SYSTMDATファイルに次の情報を指定する必要があります。
IBM RACFデータベース・データセットの名前
バックグラウンド・ジョブの一部を構成するジョブ・ヘッダー
ジョブ・ヘッダーが、次の形式のNOTIFYパラメータを含んでいることを確認します。
NOTIFY=&SYSUID
IBM RACFサーバーのパーティション化したデータセットにアップロードするRACFスクリプト(この手順のステップ2を参照)を含むRACFソース・データセットの名前
リージョン・サイズおよび動的なリソース割当て値
このファイルの名前は、上位レベルの修飾子としてリコンシリエーションの実行に使用されるユーザーIDで始まる必要があります。たとえば、XX.SYSTMDATという名前の場合、XXはリコンシリエーションを実行するために使用されるIBMメインフレーム・サーバーのユーザーIDです。
Special属性が割り当てられた既存のユーザー・アカウントを使用して、TSOアクセスを介してIBMメインフレーム・サーバーにユーザーを作成します。
ユーザーにSpecial属性を指定します。
メインフレーム・ユーザーの作成に使用するユーザー・アカウントを使用して、IBMメインフレーム・サーバーのTSOにログオンします。
READYプロンプトに次のコマンドを入力します。
Altuser NewUserIDCreated Special
READYプロンプトに次のRACFコマンドを入力し、メインフレーム・ユーザーにRACFスクリプトを格納するディレクトリのALTER権限を指定します。
ADDSD RACF_Source UACC(NONE) PERMIT RACF_Source ACCESS(ALTER) ID(new_mainframe_userid) SETROPTS GENERIC(DATASET) REFRESH
次のようにして、メインフレーム・ユーザーのMsgidをONに設定します。
作成するメインフレーム・ユーザー・アカウントを使用して、IBMメインフレーム・サーバーのTSOにログオンします。
READYプロンプトに次のコマンドを入力します。
profile msgid
外部コード・ファイルをコピーする手順には次のステップがあります。
WellKnownTrustedCAs.classおよびWellKnownTrusted.p12ファイルを含むJARファイルを作成します。HODが<..\IBM>ディレクトリにインストールされていることを前提とすると、これらのファイルはHODインストールの一部として次のディレクトリにあります。
<IBM\HostOnDemand\HOD>
ステップ1で作成したJARファイルと、HODインストール・ディレクトリ(<.IBM\HostOnDemand\HOD>)にある外部JARファイル(hoddbg2.jar、hacp.jar、habasen2.jarおよびhasslite2.jar)をOracle Identity Managerインストールの次のディレクトリにコピーします。
OIM_home\Xellerate\ThirdParty
ターゲットの構成に基づいて変更(必要な場合)を行った後で、InitialLoginSequence.txt、LogOutSequence.txt、およびInputFields.txtファイルを次のディレクトリにコピーします。
OIM_home\Xellerate\ThirdParty
コネクタのXMLファイルをOracle Identity Managerにインポートするには、次のようにします。
左側のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイル検索用のダイアログ・ボックスが表示されます。
OIM_home\xlclientディレクトリにあるracfResAdp.xmlファイルを検索して開きます。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「次へ」をクリックします。RACF Server ITリソースの「ITリソース・インスタンス・データの提供」ページが表示されます。
RACF Server ITリソースのパラメータの値を指定します。指定する値の詳細は、「ITリソースの定義」を参照してください。
「次へ」をクリックします。RACF Server ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
その他のITリソースを定義しないことを指定するには、「スキップ」をクリックします。「確認」ページが表示されます。
|
関連資料: その他のITリソースを定義する場合、手順は『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
「選択内容の表示」をクリックします。
XMLファイルの内容が「インポート」ページに表示されます。ノードの横に十字形のアイコンが表示されることがあります。各ノードを右クリックして「削除」を選択し、それらのノードを削除します。
「インポート」をクリックします。コネクタのXMLファイルがOracle Identity Managerにインポートされます。
コネクタのXMLファイルをインポートしたら、「手順7: リコンシリエーションの構成」に進みます。
RACF Server ITリソース・パラメータには、次の表に示す値を指定してください。
| パラメータ | パラメータの説明 |
|---|---|
Admin |
IBM RACFサーバーの管理者ID。 |
AdminCredential |
管理者IDアカウントのパスワード。 |
Application |
管理ユーザーがログインするTSO値。
サンプル値: |
Host |
メインフレーム・システムのIPアドレスまたはコンピュータ名。 |
Port |
サーバーがリスニングするポート番号。 |
LoginMacro |
IBMメインフレーム・サーバーのREADYプロンプトに到達するために使用するファイルの名前およびディレクトリ・パス。
値:
OIM_home\ThirdParty\loginsequence.txt
|
AutoRetry |
AutoRetry機能。
値は |
AmountRetry |
AutoRetry機能の再試行回数。
サンプル値: |
WaitTime |
連続した再試行間の待機時間。
サンプル値: |
IsSecure |
Oracle Identity ManagerおよびIBM RACF間の接続をSSLを使用して保護する必要があるかどうかを指定。
値は 注意: SSLを有効化して、ターゲット・システムとの通信を保護することをお薦めします。 |
LogoutMacro |
IBMメインフレーム・サーバーのREADYプロンプトを終了するために使用するファイルの名前およびディレクトリ・パス。
値:
OIM_home\ThirdParty\logoutsequence.txt
|
IsDebug |
デバッグを実行する必要があるかどうかを指定。
値は |
これらのITリソース・パラメータの値を指定したら、この手順のステップ9に進んで、コネクタのXMLファイルをインポートします。
リコンシリエーションを構成するには、次のようにしてリコンシリエーション・スケジュール済タスクを作成します。
「Xellerate Administration」フォルダを開きます。
「Task Scheduler」を選択します。
「Find」をクリックします。事前定義されたスケジュール済タスクの詳細が表示されます。
「Max Retries」フィールドに数値を入力します。この数はOracle Identity Managerがタスクを完了するために試行する回数です。この数を超えると、ERRORステータスがタスクに割り当てられます。
「Disabled」および「Stop Execution」チェック・ボックスが選択されていないことを確認します。
「Start」リージョンで、「Start Time」フィールドをダブルクリックします。表示される日付時間エディタで、タスクを実行する日付と時間を選択します。
「Interval」リージョンで、次のスケジュール・パラメータを設定します。
タスクを繰り返し実行するように設定するには、「Daily」、「Weekly」、「Recurring Intervals」、「Monthly」または「Yearly」のオプションを選択します。
「Recurring Intervals」オプションを選択した場合は、タスクを繰り返して実行する間隔も指定する必要があります。
タスクを1回のみ実行するように設定するには、「Once」オプションを選択します。
スケジュール済タスクの属性の値を指定します。指定する値の詳細は、「スケジュール済タスク属性の値の指定」を参照してください。
「Save」をクリックします。スケジュール済タスクが作成されます。現在はタスクが実行されていないため、「Status」フィールドにINACTIVEステータスが表示されます。タスクは、ステップ7で設定した日時に実行されます。
ステップ5〜10を繰り返してもう1つのスケジュール済タスクを作成します。
両方のスケジュール済タスクを作成したら、「手順8: アダプタのコンパイル」に進みます。
この項では、次のスケジュール済タスクに指定する値について説明します。
参照フィールド・リコンシリエーション・スケジュール済タスクの次の属性に値を指定する必要があります。
|
注意: 属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。 |
| 属性 | 説明 | サンプル値 |
|---|---|---|
Server |
コネクタがデータのリコンサイルに使用するITリソース・インスタンスの名前。 | RACF Server |
LookupField Name |
リコンサイルされる参照フィールドの名前。 | 値は次のいずれかです。
|
LookupField Target File |
一時的にデータを格納するために、コネクタがIBMメインフレーム・サーバーに作成するファイル名。 | 有効なファイル名は長さ8文字以下です。
例: |
RACF Source Directory |
RACFスクリプトが格納されるIBMメインフレーム・サーバーのディレクトリ名。 | ADTTAR.DT250207.CNTL |
IsDebug |
デバッグを実行する必要があるかどうかを指定。 | 値はYESまたはNOです。デフォルト値はNOです。 |
これらのタスク属性の値を指定したら、ステップ10へ進んでスケジュール済タスクを作成してください。
ユーザー・リコンシリエーション・スケジュール済タスクの次の属性に値を指定する必要があります。
|
注意: 属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。 |
| 属性 | 説明 | 値 |
|---|---|---|
Target System Recon - Resource Object name |
リソース・オブジェクトの名前。 | リソース・オブジェクトの名前。
たとえば、RACF Server。 |
Server |
コネクタがデータのリコンサイルに使用するITリソース・インスタンスの名前。 | ITリソース・インスタンス名。
たとえば、RACF Server。 |
RACF Source Directory |
IBM RACFスクリプトが格納されるIBM RACFディレクトリを指定。 | ADTTAR.DT250207.CNTL |
Target System New User File |
IBM RACFデータベースの最新のイメージを格納するためにIBM RACFが使用するファイル名。 | 有効なファイル名は長さ8文字以下です。
サンプル値: |
Target System Old User File |
IBM RACFデータベースの旧イメージを格納するためにIBM RACFが使用するファイル名。
最初のリコンシリエーションでは、ダミーのファイル名を指定します。このファイルがIBMメインフレームに存在しないことを確認してください。2回目以降のリコンシリエーションの実行では、最初のリコンシリエーションの実行時に使用した「Target System old User File」属性の値と同じ値を指定する必要があります。 |
有効なファイル名は長さ8文字以下です。 |
IsDebug |
デバッグを実行する必要があるかどうかを指定。 | 値はYESまたはNOです。デフォルト値はNOです。 |
これらのタスク属性の値を指定したら、ステップ10へ進んでスケジュール済タスクを作成してください。
コネクタのXMLファイルのインポート時に、次のアダプタがOracle Identity Managerにインポートされます。
adpCREATENEWRACFUSER
adpRACFUSERDELETE
adpRACFUSERENABLE
adpADDTSOTORACFUSER
adpSETRACFUSERPASSWORD
adpUPDATERACFUSERATTRIBUTE
adpCONNECTTOGROUP
adpDISCONNECTFROMGROUP
adpREMOVETSO
adpRACFUSERDISABLE
adpRACFUPDATEPRIVILEDGE
これらのアダプタを使用してターゲット・システムにアカウントをプロビジョニングするには、これらをコンパイルする必要があります。
「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」オプションを選択します。
複数のアダプタ(すべてではない)をコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」オプションを選択します。
「開始」をクリックします。選択したアダプタがOracle Identity Managerによってコンパイルされます。
Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_home\xellerate\Adapterディレクトリから、コンパイル済のアダプタをクラスタの他の各ノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。
アダプタの詳細情報を表示するには、次のようにします。
|
注意: これはデプロイのオプションの手順です。 |
CustomizedCAs.p12ファイルはSSL接続の確立に使用するサーバー証明書のコンテナです。このファイルは、CustomizedCAs.jarファイル内に圧縮されています。CustomizedCAs.p12ファイルのパスワードはhodです。IBMメインフレーム・サーバーにVerisignまたはThawte以外のCAが署名した証明書がある場合は、そのCAのroot証明書をCustomizedCAs.p12ファイルに追加して、SSL接続を確立する必要があります。
証明書は、PKCS12形式のファイルをサポートする鍵管理ユーティリティーを使用してCustomizedCAs.p12ファイルに追加できます。証明書の追加に使用できるツールの1つにGSKkit7.0があります。このツールは、IBM Host On-demand Serverバージョン9.0に含まれます。
Oracle Identity ManagerとIBMメインフレーム・サーバー間のSSL接続を設定するには、次のようにします。
ITリソースのIsSecureパラメータをYESに指定します。
ターゲット・システムを構成して、SSL接続に必要なポートを有効にします。
証明書がThawteまたはその他の有名なCAによって発行されている場合は、WellKnownTrustedCertificatesCAs.jarファイルを次のディレクトリにコピーします。
OIM_home\xellerate\lib\ThirdParty
CustomizedCAs.p12ファイルに証明書をインポートするには、次のようにします。
CustomizedCAs.jarファイルの内容を抽出します。このファイルは次のディレクトリにあります。
OIM_home\xellerate\lib\ThirdParty
CustomizedCAs.p12ファイルにSSL証明書を追加します。
更新したCustomizedCAs.p12およびCustomizedCAs.classファイルでCustomizedCAs.jarファイルを作成します。
更新したJARファイルを次のディレクトリにコピーします。
OIM_home\Xellerate\ThirdParty
|
注意: この手順は、IBM RACFの複数のインストールに対してコネクタを構成する場合にのみ実行します。この手順の各ステップ実行の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
ターゲット・システムの複数のインストールに対してコネクタを構成するには、次のようにします。
各ターゲット・システムのインストールに、リソース・オブジェクトを1つ作成および構成します。
「Resource Objects」フォームは、「Resource Management」フォルダにあります。コネクタのXMLファイルをインポートすると、RACF Serverリソース・オブジェクトが作成されます。このリソース・オブジェクトは、残りのリソース・オブジェクトを作成するためのテンプレートとして使用できます。
各リソース・オブジェクトに、ITリソースを1つ作成および構成します。
「IT Resources」フォームは「Resource Management」フォルダにあります。コネクタのXMLファイルをインポートすると、RACF Server ITリソースが作成されます。このITリソースは、同じリソース・タイプの、残りのITリソースを作成するためのテンプレートとして使用できます。
各リソース・オブジェクトにプロセス・フォームを1つ設計します。
「Form Designer」フォームは、「Development Tools」フォルダにあります。コネクタのXMLファイルのインポート時に、次のプロセス・フォームが作成されます。
UD_DB_RACF(メイン・フォーム)
UD_CO_GROUPおよびUD_ADD_TSO(子フォーム)
これらのプロセス・フォームは、残りのプロセス・フォームを作成するためのテンプレートとして使用できます。
各リソース・オブジェクトに、プロセス定義を1つ作成および構成します。
「Process Definition」フォームは、「Process Management」フォルダにあります。コネクタのXMLファイルをインポートすると、RACF Userプロセス定義が作成されます。このプロセス定義は、残りのプロセス定義を作成するためのテンプレートとして使用できます。
ターゲット・システム・インストールごとにプロセス定義を作成するとき、実行する必要のある次の手順は、それぞれのプロセス定義の作成に関連しています。
「Object Name」参照フィールドから、ステップ1で作成したリソース・オブジェクトを選択します。
「Table Name」参照フィールドから、ステップ3で作成したプロセス・フォームを選択します。
ITリソース・データ型のアダプタ変数をマッピングするときは必ず、ステップ2で作成したITリソースを「Qualifier」リストから選択してください。
各ターゲット・システム・インストールについてリコンシリエーションを構成します。手順は、「手順7: リコンシリエーションの構成」を参照してください。リコンシリエーションのスケジュール済タスクごとに、次の属性の値のみを変更する必要がありますので注意してください。
Target System Recon - Resource Object name
Server
必要であれば、Xellerate Userリソース・オブジェクトに対してリコンサイルされるフィールドを変更します。
管理およびユーザー・コンソールを使用してプロビジョニングを実行する場合、ユーザーのプロビジョニング先のIBM RACFインストールに対応するITリソースを指定できます。
