1 コネクタについて

Oracle Identity Manager IBM RACF Advanced Connectorは、z/OSメインフレームにインストールされたIBM RACFおよびOracle Identity Manager間にネイティブ・インタフェースを提供します。Advanced Connectorはターゲット・プラットフォーム上の信頼できる仮想管理者として機能し、ログインID作成などのタスクの実行、IDの一時停止、パスワードの変更および管理者が通常手動で行うその他の機能の実行を行います。

IBM RACF Advanced Connectorは、IBM RACFセキュリティ機能へのプロビジョニングおよびリコンシリエーションを可能にします。この章では次の項目について説明します。

• IBM RACF Advanced Connectorの概要

• サポートされている機能

• 多言語サポート

• コネクタを構成するファイルおよびディレクトリ

• このガイドの使用方法

IBM RACF Advanced Connectorの概要

IBM RACF Advanced Connectorには、次のコンポーネントが含まれます。

• LDAP Gateway: LDAP Gatewayは、LDAPバージョン3のIDストアと同じ方法でOracle Identity Managerから指示を受けます。これらのLDAPコマンドは、IBM RACFのネイティブのメインフレーム・コマンドに変換され、Provisioning Agentに送信されます。レスポンスもIBM RACFにネイティブで、LDAPレスポンスに解析されます。実行後、リクエスト元のアプリケーションにLDAP形式のレスポンスが戻されます。

• Provisioning Agent: Provisioning Agentはメインフレーム・コンポーネントで、メインフレームIBM RACFのネイティブのプロビジョニング・コマンドをLDAP Gatewayから受信します。これらのリクエストは、解析されたレスポンスとともにIBM RACF認証リポジトリに対して処理され、LDAP Gatewayに戻されます。

• Reconciliation Agent: Oracle Identity Manager Reconciliation Agentは、LDAP Gatewayを介したOracle Identity Managerへのシームレスなリコンシリエーションを実現するために高度なexitテクノロジを使用して、ネイティブのメインフレーム・イベントを取得します。Reconciliation Agentは、TSOログイン、コマンド・プロンプト、バッチ・ジョブおよびその他のリアルタイムのネイティブ・イベントから発生するイベントを取得します。Reconciliation Agentはこれらのイベントを取得し、LDAP Gatewayを介するOracle Identity Managerへの通知メッセージに変換します。

• メッセージ・トランスポート・レイヤー: メッセージ・トランスポート・レイヤーは、LDAP GatewayおよびIBM RACFのProvisioning AgentとReconciliation Agent間のメッセージの交換を可能にします。メッセージ・トランスポート・レイヤーには、次のメッセージング・プロトコルを使用できます。

  • IBM MQ Series。

  • TCP/IP（128ビット暗号化キーを使用した内部的なAdvanced Encryption Standard（AES）暗号化）。IBM RACF Advanced Connectorは、機能的に独自のメッセージ・トランスポート・レイヤー・プロトコルに類似する、TCP/IPプロトコルを使用した手動構成のメッセージ・トランスポート・レイヤーをサポートしています。

また、Advanced Connectorは、高パフォーマンスの環境およびトランザクション用に開発されています。

関連項目: IBM RACF Advanced Connectorのアーキテクチャおよびメッセージ・トランスポート・レイヤーの構成の詳細は、付録B「コネクタのアーキテクチャ」を参照してください。

サポートされている機能

後続の項では、IBM RACF Advanced Connectorでサポートされている機能を示します。

• Provisioning Agentの機能

• Reconciliation Agentの機能

• リコンサイルされる属性

Provisioning Agentの機能

Provisioning Agentには次の機能があります。

• Change passwords

• Reset passwords

• Create users

• Modify users

• Revoke user accounts

• Add user to groups

• Delete users

• Resume user accounts

• List users

• List groups

• List users by groups

• List resource profiles by user

• Grant user access to data sets

• Grant user access to resource profiles

• Grant user access to TSO

Reconciliation Agentの機能

Reconciliation Agentには次の機能があります。

• Change passwords

• Password resets

• Create user data

• Modify user data

• Revoke users

• Add users to groups

• Delete users

• Resume users

リコンサイルされる属性

この項では、Reconciliation Agentがリコンシリエーション・イベント・レコードを構成するためにターゲット・システムから抽出する要素について説明します。IBM RACFおよびOracle Identity Managerシステム間でリコンサイルされる属性を次の表に示します。

IBM RACFとリコンサイルされる属性
uid	userPassword	sn
cn	givenName	resumeDate
revokeDate	dataset	lastaccessdate
lastconnectdate	defaultgroup	owner
memberOf	attributes	tsoacctnum
tsoholdclass	tsojobclass	tsomsgclass
tsoproc	tsosize	tsomaxsize
tsosysoutclass	tsounit	tsouserdata
tsocommand	tsodest	tsoseclabel

関連項目: 付録A「Oracle Identity ManagerおよびIBM RACF間の属性マッピング」

多言語サポート

このリリースのコネクタでは、英語のみでなく、次の言語もサポートしています。

• 英語

• ポルトガル語（ブラジル）

• フランス語

• ドイツ語

• イタリア語

• 日本語

• 韓国語

• 簡体字中国語

• スペイン語

• 繁体字中国語

コネクタを構成するファイルおよびディレクトリ

このコネクタを構成するファイルとディレクトリは、インストール・メディアにある次のディレクトリにあります。

Security Applications/IBM RACF/IBM RACF Advanced

このファイルの内容をoim_homeディレクトリにコピーします。次の表に、このファイルの内容を簡単に説明します。

ファイルおよびディレクトリ	ファイルおよび内容の説明
etc/LDAP Gateway/ldapgateway.zip	Oracle Identity ManagerシステムのLDAP Gatewayのデプロイに必要なファイル。
etc/Provisioning and Reconciliation Connector/Mainframe_RACF_version.zip	メインフレームのProvisioning AgentおよびReconciliation Agentのインストールに必要なファイル。
lib/idm.jar	Oracle Identity ManagerシステムにデプロイされるコネクタのJARファイル。
lib/racf-adv-agent-recon.jar lib/racfConnection.properties	Oracle Identity Managerとターゲット・システム間のリアルタイム・リコンシリエーションに必要なファイル。
resourcesディレクトリのファイル	これらの各ファイルには、コネクタで使用されるロケール固有の情報が含まれます。 注意: リソース・バンドルは、Oracle Identity Managerのユーザー・インタフェースに表示されるローカライズ・バージョンのテキスト文字列を含むファイルです。これらのテキスト文字列には、管理およびユーザー・コンソールに表示されるGUI要素のラベルやメッセージが含まれます。
scripts/run_initial_recon_provisioning.sh scripts/run_initial_recon_provisioning.bat scripts/racf-adv-initial-recon.jar scripts/initialRacfAdv.properties	初期リコンシリエーションの実行に使用されるファイル。
scripts/run_initial_recon_disable.sh scripts/run_initial_recon_disable.bat	これらのファイルは、初期リコンシリエーションを実行するスクリプトです。また、これらのスクリプトはターゲット・システムで無効化されたユーザーをチェックし、Oracle Identity Managerでそのユーザーを無効化します。
xml/oimRacfAdvancedConnector.xml	コネクタのコンポーネントの定義が含まれるXMLファイル。

関連項目: 第2章の「手順2: コネクタ・ファイルのコピー」 第3章の「手順2: コネクタ・エージェントのインストール」

このガイドの使用方法

IBM RACF Advanced Connectorのデプロイは、主にLDAP Gateway、Reconciliation AgentおよびProvisioning Agentのインストールで構成されています。LDAP Gatewayは、Oracle Identity Managerサーバーと同じシステムにインストールされます。Provisioning AgentおよびReconciliation Agentはメインフレームにインストールされます。

Oracle Identity Managerサーバーのデプロイ手順は、メインフレームのデプロイ手順と実際は異なります。簡単にするために、これらの方法はこのガイドでは次の2つの章に分けてあります。

• Oracle Identity Managerシステムのコネクタのデプロイ手順は、第2章「Oracle Identity Managerサーバーのデプロイ」を参照してください。Oracle Identity Managerサーバーの構成、コネクタのXMLファイルのインポート、アダプタのコンパイル、LDAP Gatewayのインストール、メッセージ・トランスポート・レイヤーの構成などが含まれています。

• 第3章「ターゲットのIBM RACFシステムのコネクタのデプロイ」には、メインフレームでコネクタをデプロイしてOracle Identity Managerと接続する第2の手順説明が含まれています。Oracle Identity Managerの管理者がこれらのタスクを実行することも可能ですが、メインフレーム管理者のサポートを得て実行することをお薦めします。