![]() | |
Sun™ Identity Manager 8.0 リソースリファレンス |
Sun Access Manager レルムIdentity Manager には、レルムモードで実行されている SunTM Java System Access Manager をサポートするための Sun Java System Access Manager レルムリソースアダプタが用意されています。
このアダプタは、com.waveset.adapter.SunAccessManagerRealmResourceAdapter クラスで定義されます。
注
- Sun Access Manager レルムリソースアダプタは、レルムモードで実行されているリソースに使用します。
- Sun Access Manager リソースアダプタは、旧バージョンモードで実行されているリソースに使用します。このアダプタについては、「Sun Access Manager」を参照してください。
リソースを設定する際の注意事項
レルムモードでも旧バージョンモードでも、設定できるのは、1 つの Access Manager サーバーだけです。異なるレルムのプロビジョニングを行う場合は、複数のリソースを定義できます。
Identity Server Policy Agent は、シングルサインオン (SSO) を有効にするために使用できるオプションモジュールです。この Policy Agent は次の場所から入手できます。
http://wwws.sun.com/software/download/inter_ecom.html#dirserv
注
使用している環境内でこの製品を使用していない場合は、Policy Agent のインストール手順や設定手順を実行しないでください。
Policy Agent の詳細については、次のマニュアルを参照してください。
Identity Manager がインストールされているサーバーと同じサーバー上に Identity Server Policy Agent をインストールします。
Policy Agent をインストールするには、Policy Agent に付属するインストール手順書に従います。その後、次の作業を実行します。
AMAgent.properties ファイルの編集
Identity Manager を保護するように AMAgent.properties ファイルを変更します。このファイルは AgentInstallDir/config ディレクトリにあります。
- AMAgent.properties ファイル内の次の行を見つけます。
com.sun.identity.agents.config.cookie.reset.enable = false
com.sun.identity.agents.config.cookie.reset.name[0] =
com.sun.identity.agents.config.cookie.reset.domain[] =
com.sun.identity.agents.config.cookie.reset.path[] =これらの行を次のように編集します。
com.sun.identity.agents.config.cookie.reset.enable = true
com.sun.identity.agents.config.cookie.reset.name[0] = AMAuthCookie
com.sun.identity.agents.config.cookie.reset.domain[0] = .example.com
com.sun.identity.agents.config.cookie.reset.path[0] = /- 次の行を追加します。
com.sun.identity.agents.config.cookie.reset.name[1] = iPlanetDirectoryPro
com.sun.identity.agents.config.cookie.reset.domain[1] = .example.com
com.sun.identity.agents.config.cookie.reset.path[1] = /- 次の行を見つけます。
com.sun.identity.agents.config.profile.attribute.fetch.mode = NONE
com.sun.identity.agents.config.profile.attribute.mapping[] =これらの行を次のように編集します。
com.sun.identity.agents.config.profile.attribute.fetch.mode = HTTP_HEADER
com.sun.identity.agents.config.profile.attribute.mapping[uid] = sois_user- 変更を有効にするために、Web サーバーを再起動します。
Sun Java System Access Manager のポリシーの作成
Identity Manager 上で設定する際の注意事項
ここでは、Sun Java System Access Manager レルムリソースアダプタおよび Policy Agent のインストールと設定の注意点について説明します。
一般的な設定
次の手順に従って、リソースアダプタのインストールと設定を行います。
- 適切なバージョンの『Sun JavaTM System Access Manager Developer's Guide』に記載された手順に従って、Sun Access Manager のインストールからクライアント SDK を構築します。
- 生成される war ファイルから AMConfig.properties ファイルと amclientsdk.jar ファイルを抽出します。
- 次のディレクトリに AMConfig.properties をコピーします。
InstallDir/WEB-INF/classes
- 次のディレクトリに amclientsdk.jar をコピーします。
$WSHOME/WEB-INF/lib
- サーバーのクラスパスに amclientsdk.jar ファイルを追加します。
- Identity Manager アプリケーションサーバーを再起動します。
- ファイルのコピーが終了したら、Sun Java System Access Manager レルムリソースを Identity Manager リソースリストに追加します。「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加します。
com.waveset.adapter.SunAccessManagerRealmResourceAdapter
ログインモジュール
Sun Java System Access Manager ログインモジュールが最初に表示されるように、管理者およびユーザーのログインモジュールを変更します。
- Identity Manager 管理者インタフェースのメニューバーで、「セキュリティー」を選択します。
- 「ログイン」タブをクリックします。
- ページの下部にある「ログインモジュールグループの管理」ボタンをクリックします。
- 変更するログインモジュールを選択します。たとえば、「アイデンティティーシステムのデフォルトの ID/パスワード ログインモジュールグループ」を選択します。
- 「ログインモジュールの割り当て」選択ボックスで、「Sun Access Manager レルムログインモジュール」を選択します。
- 「ログインモジュールの割り当て」オプションの横に新しく「選択」オプションが表示されたら、適切なリソースを選択します。
- 「ログインモジュールの修正」ページが表示されたら、表示されているフィールドを必要に応じて編集し、「保存」をクリックします。「ログインモジュールグループの修正」がもう一度表示されます。
- モジュールグループの最初のリソースとして「Sun Access Manager レルムログインモジュール」を指定し、「保存」をクリックします。
- Identity Manager からログアウトします。
セキュリティーに関する注意事項
ここでは、サポートされる接続と、基本タスクの実行に必要な認証要件について説明します。
サポートされる接続
Identity Manager は、SSL を使用してこのアダプタと通信します。
必要な管理特権
Sun Java System Access Manager に接続するユーザーに、ユーザーアカウントを追加または変更するためのアクセス権を付与してください。
プロビジョニングに関する注意事項
次の表に、このアダプタのプロビジョニング機能の概要を示します。
機能
サポート状況
アカウントの有効化/無効化
使用可
アカウントの名前の変更
使用不可
パススルー認証
使用可。Policy Agent 経由。
前アクションと後アクション
使用不可
データ読み込みメソッド
アカウント属性
次の表に、デフォルトでサポートされる Sun Java System Access Manager ユーザーアカウント属性の一覧を示します。特に記載されていないかぎり、属性はすべて省略可能です。
リソースオブジェクトの管理
Identity Manager は、次の Sun Java System Access Manager オブジェクトをサポートしています。
リソースオブジェクト
サポートされる機能
管理される属性
Groups
表示、作成、更新、削除
name、user members
Roles
表示、作成、更新、削除
name、user members
Filtered Roles
表示、作成、更新、削除
name、nsrolefilter
アイデンティティーテンプレート
デフォルトのアイデンティティーテンプレートは $accountId$ です。
サンプルフォーム
ここでは、組み込みのサンプルフォームと、Sun Java System Access Manager レルムリソースアダプタで利用できるその他のサンプルフォームの一覧を示します。
組み込みのフォーム
その他の利用可能なフォーム
SunAMRealmUserForm.xml
トラブルシューティング
Identity Manager のデバッグページを使用して、次のクラスにトレースオプションを設定します。
com.waveset.adapter.SunAccessManagerRealmResourceAdapter