月曜日 3 30, 2009

Identity Manager 8.1 - Active Directory コネクタの設定手順



今回は、以前のブログで紹介した Identity Manager 8.1 の新機能である コネクタによるリソース管理について、 製品にバンドルされている Active Directory コネクタを例にして 設定の手順を紹介したいと思います。

使用する環境

今回は、以下の環境を用いて手順を紹介します。
  • Identity Manager 8.1
    • OS: Solaris 10 Update Release 7:
    • Web コンテナ: Glassfish U2V2
    • リポジトリ: MySQL 5.1.32
  • Active Directory
    • OS: Windows 2003 Enterprise Edition

前提条件

  • Glassfish は /opt/SUNWappserver ディレクトリにインストール済み。
    今回はデフォルトのドメイン domain1 を使用する。
    インスタンスポート 8080、管理ポート 4848。
  • MySQL は /opt/mysql ディレクトリにインストール済み。
  • Windows マシンには、Active Directory はインストール済み。
  • Windows マシンには、.NET 2.0 および 3.5 をインストール済み。
注意:Active Directory コネクタサーバーのインストールには、.Net 3.5 が必要ですので、 あらかじめインストールしておいてください。

手順

1. Identity Manager 8.1 のバイナリをダウンロードする

ダウンロードサイトから IDM_8_1_0_0.zip と IDM_8_1_L10N.zip をダウンロードします。



ここでは、/download ディレクトリにダウンロードしました。

2. MySQL サーバーを起動し、waveset テーブルを作成する

  1. /etc/my.cnf を次のように記述して、作成する。
    [mysqld]
    
    default-character-set=utf8
    
    [mysql]
    default-character-set=utf8
    
  2. サーバーを起動する。
    # cd /opt/mysql
    # bin/mysqld_safe --user=mysql&
    
  3. waveset テーブルを作成する。
    # bin/mysql < /download/db_scripts/create_waveset_tables.mysql
    

3. Identity Manager のインストール

  1. IDM_8_1_0_0.zip を解凍する。
    # unzip IDM_8_1_0_0.zip
    
  2. "sh install" でインストーラを実行する。
  3. Welcome パネルが表示されたら、「Next」をクリックする。
  4. Software License Agreement パネルが表示されたら、「Yes(Accept License)」をクリックする。
  5. Install or Upgrade? パネルが表示されたら、「New Installation」を選択し、「Next」をクリックする。
  6. Select Installation directory パネルが表示されたら、Directory to install Sun Identity Manager components: の下のテキストフィールドに Identity Manager をインストールするディレクトリを指定します。ここでは、/opt/idm81 とします。
  7. Create new directory? ポップアップウィンドウが表示されたら、「Create Directory」をクリックします。
  8. Ready to Install パネルが表示されたら、「Install Now」をクリックします。
  9. Launch Setup パネルが表示されたら、「Launch Setup」をクリックします。



  10. Have you copied all JAR files? ポップアップウィンドウが表示されたら、 先に進む前に、端末エミュレータを起動して、MySQL コネクタファイルをコピーします。



  11. コピーしたら、さきほどのポップアップウィンドウで「Yes, Continue」をクリックします。
  12. Welcome パネルが表示されたら、「Next」をクリックします。
  13. Locate the Repository パネルが表示されたら、Repository Type として「MySQL (JDBC Driver)」を選択し、「Next」をクリックします。
  14. Setup Demo? パネルが表示されたら、「No, I will configure Identity Manager myself. 」を選択して、「Next」をクリックします。
  15. Save Configuration パネルが表示されたら、「Execute」をクリックします。
  16. インポートが完了したら、「Done」をクリックします。
  17. インストーラの Launch Setup パネルに戻るので、「Next」をクリックします。
  18. Installation Summary で、Status が Installed になっていることを確認し、「Close」 をクリックします。
  19. L10n zip ファイルを展開し、WEB-INF/lib にコピーする。
    # cd /opt/idm81/WEB-INF/lib
    # unzip /download/IDM_8_1_L10N.zip
    
  20. idm.war を作成する。
    # cd /opt/idm81
    # jar cvf ../idm.war \*
    
  21. idm.war を Glassfish に配備します。
    # /opt/SUNWappserver/bin/asadmin start-domain domain1
    # /opt/SUNWappserver/bin/asadmin deploy --port 4848 --contextroot /idm /opt/idm.war
    
  22. Glassfish を再起動します。
    # /opt/SUNWappserver/bin/asadmin stop-domain domain1
    # /opt/SUNWappserver/bin/asadmin start-domain domain1
    
これで、Identity Manager のインストールは完了です。

4. Windows 上でのコネクタサーバーのインストールと設定

  1. IDM_8_1_0_0.zip を解凍したディレクトリに移動し、以下のファイルを Windows マシンにコピーします。
    • /download/connector/dotnet/server/ServiceInstall.msi
    • /download/connector/dotnet/bundles/ActiveDirectoryConnector/binary/ActiveDirectory.Connector-1.0.0.3663.zip

    Administrator アカウントで Windows にログインし、上の 2 つのファイルを 例えば、C:\\temp ディレクトリにコピーします。
  2. ServiceInstall.msi を実行し、コネクタサーバーをインストールします。 インストールが完了すると、以下のディレクトリにコネクタサーバーが インストールされて、自動的にサーバーが開始されます。
    C:\\Program Files\\Identity Connectors\\Connector Server
  3. C:\\Program Files\\Identity Connectors\\Connector Server に移動し、ConnectorServer /setKey を実行します。
      プロンプトが表示されたら、キーを入力します。   ここで指定した文字列は、あとでコネクタサーバーへ接続するためのキー(いわゆるパスワード)として使いますので、忘れないようにします。
  4. 「スタート」→「管理ツール」→「サービス」から、   サービスウィンドウを起動し、Connector Server を選んで、   いったんサービスを停止させます。
  5. ActiveDirectory.Connector-1.0.0.3663.zip ファイルを C:\\Program Files\\Identity Connectors\\Connector Server にコピーして、 サービスウィンドウから、Connector Server を選んで、サービスを開始します。

5. Active Directory 上にコンテナを作成する。

ここでは、Identity Manager で使用するコンテナとして、 組織単位 IDMUsers を作っておきます。



これで、Windows 上での設定は完了です。

6. Identity Manager 上での設定

  1. ブラウザで、http://localhost:8080/idm にアクセスし、 Configurator でログインします。(パスワードは、Configurator)
  2. 「設定」タブをクリックし、さらに「コネクタサーバー」タブをクリックします。



  3. 「新規」をクリックします。



  4. 各フィールドに値を入れます。
    名前 ここには任意の名前を入れることが出来ます。
    ここでは、AD-connector-サンプル とします。
    ホストアドレスコネクタサーバーをインストールした、Windows マシンのホスト名または、IP アドレスを指定します。
    ホストポートコネクタサーバーが待機しているポートを指定します。
    ここでは、デフォルトの値 8759 を指定します。
    ホストパスワードコネクタサーバーへの接続用の認証キーを指定します。ここには、さきほど ConnectorServer /setKey を実行したときに、入力したキーを指定します。
  5. SSL の有効化とソケットタイムアウトについては、 デフォルトの状態のままにして、「保存」をクリックします。 ここまで正しく設定されていれば、以下のような画面になるはずです。



  6. 次に「リソース」タブをクリックします。
  7. 「リソースタイプアクション」から「新規リソース」を選択します。
  8. 新規リソースページが表示されたら、リソースタイプから 「Windows Active Directory コネクタ」を選択します。
  9. 以下のような画面が表示されてるはずです。



  10. 「新規」をクリックします。
  11. Windows Active Directory コネクタ リソースの作成ウィザード が表示されたら、「次へ」をクリックします。
  12. リソースパラメータページで、以下のフィールドに値を入れます。
    ディレクトリ管理者のパスワードAdministrator のパスワードを指定します。
    コンテナこのリソースで管理するコンテナを指定します。ここには、さきほど作成した組織単位 IDMUsers を指定します。
    OU=IDMUsers,DC=office,DC=TGC,dc=com
    (DC=以下の値は、お使いの Active Directory の環境にあわせてください)
    ドメイン名Active Directory のドメイン名指定します。
  13. 他の値はデフォルトの状態のままにして、「設定のテスト」をクリックします。



  14. テスト接続が成功しました! というメッセージが確認できたら、 「次へ」をクリックします。
  15. 「アカウント属性」のページでは、特に何も変更せず 「次へ」をクリックします。
  16. アイデンティティーテンプレート のページでは、 アイデンティティーテンプレート を指定します。 ここでは、 CN=$accountId$,OU=IDMUsers,DC=office,DC=TGC,DC=com とします。 「次へ」をクリックします。
  17. アイデンティティーシステムのパラメータ ページでは、 リソース名に、任意の名前を入力します。 「保存」をクリックします。




これで、Windows Active Directory コネクタの設定は完了です。

7. コネクタ経由で Active Directory 上にアカウントを作成する

試しに、Identity Manager 上から、Active Directory にユーザーを作成してみます。
  1. 「アカウント」タブをクリックします。
  2. 「ユーザーの作成」ページの ID タブで、 アカウントID、名、姓、パスワードを入力します。



  3. リソースタブで、さきほど作成した Active Directory コネクタリソースを 選択します。



  4. 「保存」をクリックすると、次のように ユーザーアカウントが作成されます。



    実際に、Active Directory を見ても、 次のようにアカウントが作成されていることが確認できます。



火曜日 3 10, 2009

Identity Connector project is now open!

Identity Connector project is now open!

https://identityconnectors.dev.java.net/

So, you don't have to request user role in order to see the project page.
Everyone is welcome. :)

-----

Identity Connector のページが正式にオープンになりました。
これで、プロジェクトメンバーでなくても
ページを参照できますし、コネクタのバイナリもダウンロードできます。
ぜひアクセスしてみてください。

月曜日 3 09, 2009

Identity Manager 8.1 New Feature - Managing resource with Identity Connector

As is explained here,
Identity Manager 8.1 provides new functionality for managing resources and applications that are not connected directly to Identity Manager through a resource adapter.
This release also includes the introduction of the Connector Framework and Identity Connectors, which provide a new, more flexible way for connecting Identity Manager to target systems and resources. In addition, this release expands the set of supported resources, applications, and platforms and extends product quality.

Identity Connectors are developped separately from Identity Manager
at the following open source project.

https://identityconnectors.dev.java.net/

Currently, connectors for SPMLv2 and Active Directory are bundled in Identity Manager.
In addition to that, connectors for more applications such as Google Apps, LDAP, MySQL are being developped in this project.

You can find the latest connector binary from
https://identityconnectors.dev.java.net/downloads.html .

Let's try to use the open-sourced Identity Connectors with Identity Manager.

土曜日 3 07, 2009

Identity Manager 8.1 is released on sun.com

Identity Manager 8.1 is released on sun.com and you can download it from here.

This is the first release of "sim-ship", delivers both base(English) and localization component at the same time.

You can find IDM_8_1_0_0.zip at Required Files section in download page,
it is the core and base component.
In addition to that, if you want to use localized Identity Manager,
please download language pack file, IDM_8_1_L10N.zip from Optional Files section in this page.

Doucument is also published on docs.sun.com.
Now, English only is published. As for translated documet, it will be available within a month or so.
Please stay tuned.

金曜日 3 06, 2009

Identity Manager 8.1 New Features - コネクタによるリソース管理

Identity Manager(IDM) 8.1 では、リソースの管理方法として、
従来の IDM 付属のアダプタ経由で管理するという機能に加えて
新たに、コネクタ経由でリソースを管理できる機能が加わりました。

コネクタは、Identity Manager とは別個になっていて、
オープンソースの Identityconnectors プロジェクトで開発されています。

https://identityconnectors.dev.java.net/

Identity Manager 8.1 では、SPMLv2 と Active Directory 用のコネクタが
デフォルトでバンドルされていますが、それ以外にも、Google Apps や、LDAP、MySQL などさまざまなリソース向けのコネクタが現在開発中です。

開発中のバージョンを使いたい場合には、
https://identityconnectors.dev.java.net/downloads.html からダウンロードできます。

これまでは、新しくリリースされたソフトウェアを IDM でリソースとして管理するには、
IDM の次のリリースでそれをサポートしてくれるのを待たなくてはなりませんでしたが、
リソース管理のフレームワークを Identity Manager の外に出して、
「コネクタ」を介して行うようにすることで、
Identity Manager のリリーススケジュールに縛られずに
もっとタイムリーに、そしてフレキシブルに
最新のソフトウェア・リソースをサポートするコネクタを提供することが可能となります。

コネクタ自体は、オープンソースですから、リリース前の最新のビルドを試しに使って、バグをレポートしたりして、品質を上げるのに貢献することもできますし、
また、提供されてるフレームワークを元に独自のコネクタを作ることもできます。

ぜひ、Identity Manager 8.1 ともども、Identity コネクタも使ってみてください。
バンドルされている SPMLv2 と Active Directory 用のコネクタの設定方法については、
近いうちにこのブログで紹介したいと思います。

Identity Manager 8.1 リリースされました

Identity Manager の最新バージョン 8.1 が sun.com からダウンロード可能となりました!

ダウンロード先はこちら

今回、なんといっても画期的なのは、英語版とローカライズ版が同時に
リリースされたということです。

ダウンロードページを見ていただくと、
上の Required Files には、IDM_8_1_0_0.zip があり、これがいわゆる本体のファイルとなります。
これに加えて、下部の Optional Files の方にある、IDM_8_1_L10N.zip も一緒にダウンロードしていただいて、
zip ファイルをアーカイブしたあと、ローカライズ版の jar ファイルを
Identity Manager を配備したディレクトリの WEB-INF/lib の下に置いてください。
(ここら辺の手順は、これまでのリリースと変わりません)

なお、ドキュメントの方はまだ英語版しかありませんので、日本語版についてはもう少しお待ちください。

木曜日 9 04, 2008

Identity Manager 8.0 日本語版


すっかり、ブログの更新をさぼってしましましたが、その間に
Identity Manager 8.0 の日本語版ファイルも sun.com でダウンロード可能となっております。

ダウンロード先はこちら

また、日本語版のドキュメントも docs.sun.com に置かれていますので必要に応じて参照してください。

・・・あ、フォレンジッククエリについての記事も書きかけのままだった\^\^;;

こちらも近々アップします。

木曜日 7 03, 2008

Identity Manager 8.0用の IDE plugin の入手先

「データエクスポート」編のその2を書く前に、忘れないうちに書いておきますが、
以前のリリースでは、IDM 用の Netbeans plugin ファイル(nbmファイル)は、
製品の zip ファイルに含まれてましたが、8.0 では含まれていません。

かわりに、Identity Manager IDE Project Home Page から、入手できます。

このページの「Releases」の下のリンクにファイルがあります。

月曜日 6 30, 2008

Identity Manager 8.0 の紹介〜データエクスポートとフォレンジッククエリー(1)

Identity Manager 8.0(以下 IDM 8.0) の紹介シリーズ第2弾は、「データエクスポート」機能についてです。


  • 誰がxxxの時間帯にどこにアクセスしたか?
  • そのアクセスを誰が許可したか?
  • そのアクセスを誰がアテストしたか?

といったコンプライアンス絡みの質問に対して常に適確に答えられるようにするには、
それらのデータをきちんと記録しておき、いつでも検索したりレポートしたりできるようにしておく
必要がありますよね。
IDM 8.0 では、そのようなコンプライアンス関連のデータを定期的にウェアハウスにエクスポートすることができます。またカスタマイズすることで、エクスポートしたデータをサードパーティのツールと組み合わせて、ウェアハウスからデータを検索したり、検索結果をレポートしたりといった拡張も可能になっています。

ここでは、シンプルな例として、MySQL をデータウェアハウスとし、IDM 8.0 で提供されているサンプルファイルを用いて、データを MySQL にエクスポートしてみます。次に、IDM 8.0 で提供されている「フォレンジッククエリー」のページを使って、ウェアハウスにエクスポートされたデータの検索を行ってみます。

ちなみに「フォレンジック(forensic)」とは、辞書をひくと「科学捜査の」、「法医学的な」といった訳が出てきますが、これが、コンピュータの世界だと、不正アクセスや機密漏洩などの犯罪があったときに、その原因究明や証拠となるデータ、記録の分析を行う、一連の手段や技術などを指し示すことになるわけです。

では、まずはじめにウェアハウスの設定を行ってみます。


  1. IDM 8.0 では、ウェアハウス用のデータベーステーブルを作成するためのサンプルファイルが、主要データベースごとに提供されています。(ファイルは、配備された idm ディレクトリの下の exporter ディレクトリにあります。)


    # pwd
    /opt/SUNWappserver9/domains/domain1/applications/j2ee-modules/idm/exporter
    # ls \*warehouse\*
    create_warehouse.db2 drop_warehouse.db2
    create_warehouse.hsql drop_warehouse.hsql
    create_warehouse.mysql drop_warehouse.mysql
    create_warehouse.oracle drop_warehouse.oracle
    create_warehouse.sqlserver drop_warehouse.sqlserver


    ここでは、MySQL 用に create_warehouse.mysql を使用します。
  2. mysql のコンソールにログインし、あらかじめ waveset という名前のデータベースを作っておいた状態で、以下のコマンドを実行し、create_warehouse.mysql の内容を読み込んでテーブルを作成します。
    mysql> source /tmp/create_warehouse.mysql
    これで、次のようなテーブルが作られたはずです。これで、MySQL側の準備は完了です。





  3. Configurator で管理画面にログインし、「設定」→「ウェアハウス」タブに移動します。
    ウェアハウスが設定されていない状態だと次のような画面になってるはずです。





  4. 「ウェアハウスの接続情報」で「接続の追加」をクリックし、次の画面で必要な値を入力します。
    「テスト接続」で確認したあと、保存します。





  5. 以下のようにウェアハウスの接続情報が表示されます。
    次に、「ウェアハウスの設定情報」で「編集」リンクをクリックします。





  6. 次の画面で、必要な値を設定します。ここでは、ウェアハウスインタフェースのコードファクトリクラス名には、IDM 8.0 で提供されているサンプルのクラス名を指定します。





  7. 設定を保存すると、次のように「ウェアハウスのモデル設定」にて、create_warehouse.mysql で読み込んだテーブルで定義されているモデル(タイプ)の一覧が表示されます。





  8. 各タイプ名をクリックすると、「エクスポート」タブでは、エクスポートやクエリーを許可するか?といったエクスポートの制御を設定したり、「属性」タブにて属性ごとに表示やクエリーの可否を設定したり、「スケジュール」タブにてエクスポートのスケジュールを設定したりできます。
    以下の画面では、「Account」タイプについて、月曜日から金曜日まで、10時0分から18時59分までの範囲内で、3分ごとにデータをエクスポートするようにスケジュール設定しています。
    (時刻の分の値については自動的に、開始時刻が 0分、終了時刻が 59分となります。)





  9. 他のタイプについても同様に設定します。





  10. 次に、「ウェアハウスのタスク設定」の「編集」リンクをクリックします。
    起動モードを「自動」にし、サーバーを選択して、保存します。





  11. これで、データエクスポートのタスクが起動されました。





  12. エクスポートタスクが開始されると、以後スケジュールに沿ってデータがエクスポートされ、
    例えば次のように、直近のエクスポートされた時刻、直近でエクスポートされたデータ数(ここでは全てゼロ)、現在ウェアハウスにエクスポートされているデータの総数などが表示されます。
    ここでは、すでにロールを作ったりユーザーを作ったりした環境でウェアハウスを設定したので、
    以下の画面のようにいろんなデータがエクスポートされてますが、
    インストール仕立ての環境であっても、少なくとも Administrator と Configurator の2つのユーザーデータが、エクスポートされているはずですので確認してみてください。






ここまでの作業で、Identity Manager からウェアハウスへとデータが伝搬されていることが確認できましたので、次回は、シナリオに基づいていろんな処理を行ってウェアハウスへとデータをエクスポートさせ、フォレンジッククエリーページを使って、それらのデータの検索を行ってみます。

月曜日 6 23, 2008

Identity Manager 8.0 の紹介〜ロール管理(3)

今回は、次のシナリオにそって作業を進めてみます。


  • シナリオ

    • 鈴木次郎さんと佐藤三郎さんに、2008年7月1日から7月31日までの間、契約社員として働いてもらう。鈴木さんには製品テストの業務を、佐藤さんには製品マニュアルの翻訳業務を依頼する。
    • 契約社員のアカウントは Active directory で管理する。
    • 製品テスト担当者には、バグの登録、閲覧ができるように、Bugzilla へのアクセスを許可する。
    • 業務とは直接関係しないが、希望するものには、Solaris へのアクセスも許可する。
    • 契約期間が終わると、Active Directory からアカウントは削除される。

  • 前提条件

    • 以下の操作は、2008年7月1日よりも以前の日付で行う。
    • 前回のシナリオと区別するために、契約社員に対するビジネスロールの名前を「契約社員2」とする。
    • 次のリソースは作成済み。

      • ActiveDirectory: Active Directory リソース
      • Bugzilla: Bugzilla へのアクセス管理を行う LDAP リソース
      • Solaris-vishnu: Solaris リソース (承認者: solarisapprover)

    • 承認者アカウント approveadmin、solarisapprover および契約社員を管理する立場にある人のアカウント contract-admin は作成済み。
    • LDAP 属性 firstname、lastname、fullname を設定するための規則を作成済み。(lighthouse アカウントの属性値をそのまま割り当てるように規則を作成。)
    • Active Directory 属性 firstname、lastname、fullname, Department を設定するための規則を作成済み。(Department については、global.Department を割り当てる)
    • Active Directory のリソース属性「Department」の値が「Top:QA」であれば、true を返す規則を作成済み。(規則名:IsQAteam)

  • 確認すること

    • 2008年7月1日より以前には、鈴木次郎さんと佐藤三郎さんに対しては契約社員2ロールおよびそれに付随するサブロールは割り当てられていない。
    • 2008年7月1日になった時点で、鈴木次郎さんに対して契約社員2ロールが割り当てられ、Active Directory と Bugzilla のリソースアカウントが割り当てられる。
    • 2008年7月1日になった時点で、佐藤三郎さんに対して契約社員2ロールが割り当てられ、Active Directory のみが割り当てられる。
    • 2008年7月1日に、佐藤三郎さんがオプションである Solaris ロールをリクエストすると、しかるべき承認プロセスを経て、佐藤さんに Solaris ロールが割り当てられて、Solaris リソースアカウントが割り当てられる。
    • 2008年7月31日をすぎると、鈴木次郎さんと佐藤三郎さんから契約社員2ロールと付随するサブロールがすべて削除され、Active Directory, Bugzilla, Solaris リソースアカウントも同時に削除される。

では、これらをふまえて実際の作業を画面のスナップショットを交えながら進めていきます。


  • 今回のシナリオ用のビジネスロール「契約社員2」を作成。





  • 承認者は、approveadmin にします。





  • つづいて、IT ロール「ActiveDirectory」を作成します。リソースサブタブでは、ActiveDirectory を選択します。そして、「属性値の設定」をクリックして、firstname, lastname, fullname, Department に関してリソース属性値を設定するための規則を定義しておきます。





  • 次に、アプリケーションロール「Solaris」を作成します。





  • リソースサブタブでは、Solaris-vishnu を選択します。





  • 同様に、アプリケーションロール「bugzilla」も作成します。リソースサブタブでは「Bugzilla」を選択し、リソース属性値の設定も行います。





  • 次に、「契約社員2」ロールを編集します。「ロール」サブタブに移動し、含まれるロールの検索および追加を行います。まず最初に、「ActiveDirectory」を選択し、関連づけのタイプを「必須」にして追加します。





  • 次に、「Solaris」を選択して、「オプション」として追加します。





  • 次に、「Bugzilla」を選択して、関連づけのタイプとして「条件付き」を選択します。
    すると、次のように規則を選択する画面が表示されますので、あらかじめ作成しておいた規則「IsQAteam」を選択し、規則引数も指定しておきます。





  • 最終的にはこのような関連付けで、3つのロールを「契約社員2」ロールに含めることになります。





  • 次にアカウントタブに移動して、Top:QA と Top:Doc の2つのサブ組織を作成します。前者は、テスト作業者が属する組織、後者はドキュメント翻訳を行う者が属する組織に相当します。





  • 次にユーザーを作成します。まずは、テスト担当の鈴木次郎さんのアカウント sjirou を Top:QA 上に作成し、ロールサブタブでは、契約社員2を追加します。





  • アクティブになる日と非アクティブになる日を設定すると、画面がリフレッシュされて、関連付けられたサブロールも一緒に表示されます。
    ここで、鈴木さんのアカウントは、Top:QA に作成しているため、規則によって、Bugzilla ロールも割り当てられるロールとして表示されていることに着目してください。





  • 同様に、ドキュメント翻訳担当の佐藤三郎さんのアカウント ssaburou を Top:Doc 上に作成し、契約社員2ロールを追加します。佐藤さんのアカウントは、Top:QA ではなくて、Top:Doc に作成しているため、Bugzilla ロールが表示されていないことを確認してください。





  • 2人のアカウントを作成したら、approveadmin でログインして、ロールの承認を行います。





  • 承認が終わったら、前回のシナリオ同様に、システムのクロックを進めます。

    # /opt/SUNWappserver9/bin/asadmin stop-appserv
    # date 07010900
    #/opt/SUNWappserver9/bin/asadmin start-appserv

    そして、Configurator で管理画面にログインして、「サーバータスク」→「タスクの実行」ページに移動し、「延期タスクスキャナ」をクリックして、ユーザーへのロール変更を行います。

  • タスクの完了を確認したら、実際に鈴木さんのアカウントでエンドユーザーページにログインしてみます。
    「プロファイル」→「アクセス特権」を見てみると、次のように「契約社員2」「ActiveDirectory」および「Bugzilla」の3つのロールが割り当てられていて、ActiveDirectory と Bugzilla リソースのアカウントが割り当てられていることがわかります。





  • 同様に佐藤さんのアカウントでログインしてみると、次のように「契約社員2」「ActiveDirectory」2つのロールが割り当てられていて、ActiveDirectory リソースのアカウントが割り当てられていることがわかります。





  • 佐藤さんのアカウントでログインしたまま、「リクエスト」タブに移動し、「自分のロールの更新」のリンクをクリックします。





  • 佐藤さんには「契約社員2」ロールが割り当てられているので、そのオプションロールである「Solaris」ロールをリクエストすることができます。
    次の画面からも「Solaris」ロールが利用可能であることがわかります。





  • 「Solaris」を選択して、「送信」をクリックすると、リクエストが Solaris リソースの承認者である solarisapprover に送られますので、solarisapprover でログインして、リクエストを承認します。





  • 再び、佐藤さんのアカウントでエンドユーザーページにログインして、アクセス特権を見てみると、次のように、「Solaris」ロールと Solaris リソースアカウントも割り当てられていることがわかります。
    これで、鈴木さんと佐藤さんにロールとリソースが割り当てられたことが確認できました。





  • では、システムのクロックをさらに進めます。

    # /opt/SUNWappserver9/bin/asadmin stop-appserv
    # date 08010900
    # /opt/SUNWappserver9/bin/asadmin start-appserv

    Configurator でログインして、延期タスクスキャナ(User Deferred Task Scanner)が再び実行されたことを確認します。実行されてない場合は、スケジュールが回ってくるまで待つか、即座にタスクを実行してください。タスクが実行されていれば次のようになっているはずです。






  • 再び、鈴木さんと佐藤さんのアカウントでエンドユーザーページにログインすると、両者ともに割り当てられていたロールとリソースがすべて解除されていることがわかります。






以上、簡単なシナリオを用いた、ロール管理機能についての紹介でした。:)

次回は、データエクスポート機能についてふれてみます。

金曜日 6 20, 2008

Identity Manager 8.0 の紹介〜ロール管理(2)

前回は、IDM 8.0 で拡張されたロール管理機能の概要について紹介しましたので、今回は例として次のシナリオに基づいて作業をすすめてみます。


  • シナリオ

    • 山田一郎さんに 2008年7月1日から7月31日までの間、契約社員として働いてもらう。
    • 契約社員のアカウントは LDAP で管理され、それにより社内メールを使用することができる。
    • 契約期間が終わると、LDAP からアカウントは削除される。

  • 前提条件

    • 以下の操作は、2008年7月1日よりも以前の日付で行う。
    • LDAP リソース(名前: Email) は作成済み。
    • 承認者アカウント approveadmin および契約社員を管理する立場にある人のアカウント contract-admin は作成済み。
    • LDAP 属性 firstname、lastname、fullname を設定するための規則を作成済み。(lighthouse アカウントの属性値をそのまま割り当てるように規則を作成。)

      例:
      <Rule name='Firstname is Lighthouse accounts.firstname' primaryObjectClass='Rule'>
      <ref>accounts[Lighthouse].firstname</ref>
      <MemberObjectGroups>
      <ObjectRef type='ObjectGroup' id='#ID#All' name='All'/>
      </MemberObjectGroups>
      </Rule>

      注:ロールを将来のある時刻でユーザーに割り当てる場合、「Updated Assigned Users」タスクが使われますが、このタスクでは、Tabbed User Form を介さないため、リソースアカウント属性 firstname, lastname, fullname にどういった値を設定するかについては、ロールの中で規則を用いて設定する必要があります。ここで用意した3つの規則はそのためのものです。


  • 確認すること

    • 2008年7月1日より以前には、山田一郎さんに対しては契約社員ロールおよび Email リソースアカウントは割り当てられていない。
    • 2008年7月1日になった時点で、山田一郎さんに対して、契約社員ロールおよび Email リソースアカウントが割り当てられる。
    • 2008年7月31日をすぎると、山田一郎さんから契約社員ロールは削除され、また Email リソースアカウントも削除されている。

それでは、画面のスナップショットを交えながら、実際の作業を進めていきます。


  1. 管理インターフェースに Configurator でログインし、ロールタブに移動。





  2. 「新規」ボタンをクリックし、タイプを「ビジネスロール」に切り替え、次のように値を入力。





  3. 「セキュリティ」サブタブに移動し、承認者リストから approveadmin を選択し、保存する。





  4. これで、「契約社員」という名前のビジネスロールが作成されました。





  5. 「新規」ボタンをクリックし、タイプを「IT ロール」のままにして、次のように値を入力。





  6. リソースサブタブに移動し、リソース一覧から「Email」リソースを選択。





  7. 「割り当てられたリソース」に、「Email」が表示されますので、その横の「属性値の設定」をクリック。次の画面にて、fullname、lastname、firstname に対して属性値を設定するための規則を選択し、保存する。これで、「Email」という名前の IT ロールが作成されました。





  8. 次に、ロールのリストから「契約社員」のリンクをクリックし、「ロール」サブタブに移動し、
    含まれるロールのところで「追加」をクリック。





  9. 含まれるロールを検索するための画面が表示されるので、次のように条件を指定し、「検索」をクリック。





  10. 選択可能なロールとして、「Email」が表示されるのでそれを選択し、「追加」をクリック。





  11. 関連付けのタイプには「必須」を選択し、「OK」をクリック。





  12. 設定が正しく反映されていることを確認して、「保存」をクリック。





  13. 「ロール変更の確認」画面が表示されるので内容を確認して、「保存」をクリック。この時点では「契約社員」ロールが割り当てられたユーザーはいないので、「割り当てられたユーザーの更新」は「更新しない」のままでかまいません。





  14. これで、次のように「契約社員」ロールに「Email」ロールが「必須」で取り込まれました。画面では、required と英語で表記されてますが、これは 8.0 では対応しきれなかった国際化の問題です。8.1 にて修正します。(ID-18502)





  15. 次に、山田一郎さんのアカウントを作成して、「契約社員」ロールを割り当てます。
    まずは、ユーザー作成画面にて、次のように値を入力したあと、「ロール」サブタブに移動します。
    以前のバージョンでは、「割り当て」サブタブにて、リソースやロールなどを割り当てるようなGUIになってましたが、8.0からは、「ロール」「リソース」と別個のサブタブが提供されています。





  16. まだ何もロールが割り当てられていないので、このような画面になってるはずです。ここで、「追加」ボタンをクリックします。





  17. 割り当て可能なロールとして、「契約社員」ロールが表示されるので、それを選択して、「OK」をクリック。





  18. すると、「契約社員」ロールとそれに包含されている IT ロール「Email」が表示されます。
    次の画面のように、「契約社員」ロールを割り当てる開始日と終了日を入力します。日付フォーマットは、mm/dd/yyyy です。これは、直接入力することもできますし、カレンダボタンをクリックして、カレンダーから日付を選択することも可能です。日付の設定が終わった時点では、画面に示すように、
    ステータス欄は設定を保留中となってるはずです。ここで「保存」をクリックします。





  19. 山田一郎さんのアカウント yamada1 が作成され、yamada1 に対して「契約社員」ロールを割り当ててもよいかの承認リクエストがロールの承認者である approveadmin に送られます。
    approveadmin で管理インターフェースにログインして、リクエストを承認します。





  20. 承認処理を終えたら、再び Configurator で管理インターフェースにログインして、yamada1 の状態を確認してみます。この時点では、日付がまだ 2008年7月1日になってないために次の画面のように、ロールのステータスが「アクティブ化を保留中」になってるはずです。





  21. ここで IDM が配備されてるホストのクロックを 2008年7月1日の午前9時まで強制的に進めてみます。

    # /opt/SUNWappserver9/bin/asadmin stop-appserv
    # date 07010900
    #/opt/SUNWappserver9/bin/asadmin start-appserv

    そして、Configurator で管理画面にログインして、「サーバータスク」→「タスクの実行」ページに移動し、「延期タスクスキャナ」をクリックして、次のように値を入れて「起動」をクリックします。






  22. これでユーザーオブジェクトに対して延期されていたタスク(この場合は、yamada1 に対する「契約社員」ロールの割り当て」)が実行されます。
    すべてのタスク画面を見てみると、「Apply Role Changes yamada1」「yamada1 の更新」が実行され、作業が完了していることがわかります。





  23. 「Apply Role Changes yamada1」をクリックしてみると、yamada1 に対して「契約社員」ロールとそれに含まれている「Email」ロールが割り当てられて、同時に Email リソース上に yamada1 のアカウントが作成されていることがわかります。





  24. アカウントリストから yamada1 を選択して、ロールの状態を確認してみると、
    次のようにステータスが「割り当て済み」となっているはずです。
    これで、7月1日付けで、山田一郎さんには契約社員ロールが割り当てられ、Email リソース上にもアカウントが作成されたことがわかります。





  25. では、ホストのクロックをさらに進めて、2008年8月1日9時に設定してみましょう。ロールの割り当て期間は 2008年7月31日までなので、8月1日になった時点で、yamada1 から「契約社員」ロールが割り当て解除され、同時に Email リソースへの割り当ても解除されているはずです。そのことを確認してみます。

    # /opt/SUNWappserver9/bin/asadmin stop-appserv
    # date 08010900
    # /opt/SUNWappserver9/bin/asadmin start-appserv

    Configurator でログインし、yamada1 のロールサブタブを見てみると、次のように何もロールが割り当てられていないことが確認できます。






    また、「サーバータスク」→「すべてのタスク」で、「Apply Role Changes yamada1」を見てみると、次のように Email リソースから yamada1 のアカウントが削除されていることも確認できます。





次回は、もう1つのシナリオ例を用いて、条件に基づいたロールの割り当てや、リクエストベースでのロールの割り当てについて紹介します。

木曜日 6 19, 2008

Identity Manager 8.0 の紹介〜ロール管理(1)

Identity Manager(以下 IDM) 8.0 の機能紹介の第一弾として、
本リリースで変更されたロール管理機能についてとりあげます。

従来の IDM でも、ロールを作成したり、それをユーザーに割り当てたり、ロールにリソースを割り当てて、ロールを介してユーザーにリソースを割り当てる、といったことが可能でしたが、
8.0 では、このロール管理機能がさらに拡張されました。

詳細はマニュアルを見て頂くとして、主な拡張点を簡単にふれておくと、


  • ロールごとに承認者、所有者を割り当てることが可能になった。
    これにより、ロールを作成、編集、削除する際には、所有者の承認が必要となる。
    また、ロールに対してユーザーを割り当てる場合には、承認者の承認が必要となる。
  • ロールを編集、変更した場合に、ロールが割り当てられているユーザーに対してその変更内容を
    即座に反映させることが可能になった。(反映させない、という選択も可能)
  • ユーザーにロールを割り当てる際に、従来通りに即座に永続的に割り当てる以外に、
    いつからいつまで、と期日を設定して割り当てることも可能になった。
  • ロールをタイプ別に管理することが可能となり、デフォルトでは、ビジネスロール、ITロール、アプリケーション、アセットと4つのタイプが提供されるようになった。
    デフォルトでは、ユーザーに直接割り当てることができるのはビジネスロールのみ。
    ビジネスロールには、他の3つのタイプのロールを含めることができる。
    リソースを割り当てることができるのは、ITロールとアプリケーションのみ。
    IT ロールには、IT ロール、アプリケーション、アセットを含めることができる。
    アプリケーションとアセットにはロールを包めることはできない。
    以前のバージョンで作成したロールは、8.0 においては、IT ロールと判別される。
  • ロールを含める際に、関連付けのタイプとして、必須、条件付き、オプションの3種類の中から指定できる。
    たとえば、ビジネスロールA に、ITロールA を「必須」で含めた場合は、
    ビジネスロールA を割り当てたユーザーには、ITロールA も必須で割り当てられる。
    ビジネスロールB に、ITロールB を「条件つき」で含めた場合は、
    ビジネスロールB を割り当てたユーザーに、ITロールB が割り当てられるかどうかは、
    そのユーザーが条件の定義にマッチしてるかどうかで決まる。
    ビジネスロールC に、ITロールC を「オプション」で含めた場合は、
    ビジネスロールC を割り当てたユーザーには、ITロールC は自動的に割り当てられないが、
    そのユーザーは、自分で、ITロールC の割り当てをリクエストすることができる。

といった感じです。

まぁ、文章でつらつらと書くよりも、実際の操作を通して実感してもらうのが一番だと
思いますので、次回は、簡単なシナリオ例を元に操作をすすめていきながら、
どういった感じでユーザーにロールが割り当てられ、割り当てが解除されるかといったところを
紹介していこうと思います。


  • シナリオ1:

    • 山田一郎さんに 2008年7月1日から7月31日までの間、契約社員として働いてもらう。
    • 契約社員のアカウントは LDAP で管理され、それにより社内メールを使用することができる。
    • 契約期間が終わると、LDAP からアカウントは削除される。

  • シナリオ2:

    • 鈴木次郎さんと佐藤三郎さんに、2008年7月1日から7月31日までの間、契約社員として働いてもらう。鈴木さんには製品テストの業務を、佐藤さんには製品マニュアルの翻訳業務を依頼する。
    • 契約社員のアカウントは Active directory で管理する。
    • 製品テスト担当者には、バグの登録、閲覧ができるように、Bugzilla へのアクセスを許可する。
    • 業務とは直接関係しないが、希望するものには、Solaris へのアクセスも許可する。
    • 契約期間が終わると、Active Directory からアカウントは削除される。

水曜日 6 11, 2008

Identity Manager 8.0 on sun.com

昨日、Identity Manager の最新バージョン 8.0 の英語版が sun.com でダウンロード可能となりました。

本バージョンの特長としては、
  • ロール管理の強化(ロールのライフサイクル管理)
  • データエクスポート機能の追加
  • Microsoft Exchange 2007 などの新たなリソースサポート
  • エンドユーザーページの変更
などがあげられますが、これらについてはおいおい、実際の画面や使用例などを通して このブログでとりあげていこうと思ってます。
なお、日本語メッセージなどを含む国際化版については、来月ダウンロード可能となる運びですので もうしばらくお待ちください。

火曜日 2 12, 2008

5つ星をゲット!

SC Magazine 誌にて、Identity Manager 7.1 が非常に高い評価を受けていますね :-)
記事はこちら

機能については、5つ星。とくに監査機能とコンプライアンス関連の機能に関して高い評価を受けてるようです。ここは、確かに競合製品と比較したときの強みですよね。

パフォーマンスについても5つ星。へぇ。。。そうなんだ\^\^;;

ドキュメントについても5つ星。これに関しては、英語版とローカライズ版は多少分けて捉えないといけないのかなぁ・・とは思います。IDM で提供してるドキュメントのすべてをローカライズできてるわけじゃないですしね。
他には、サポートが星5つ、使い勝手が星4つ、VFM(Value for Money) が星4つ。

まぁ、すべての高評価を鵜呑みにしていいかはわかりませんが、こういった評価は励みになりますし、
これにあぐらをかくことなく、今後よりいっそう良い製品を出すためにがんばっていこう!という活力になりますね。

月曜日 2 04, 2008

帰りの出来事~AUS->SFO->NRT

昨日は、帰ってきて恵方巻きなど、久しぶりに「和」なものを食べて
早めに寝たので、今日は思った以上にすっきり(\^\^)

さて、昨日の帰りの出来事について。

オースチン→サンフランシスコの飛行機が7:45発だったので、
念のためにかなり早めに午前5時にはホテルを出発。
まだくらーい中、ハイウェイを通って、オースチン国際空港へ。
#注:「国際」と名乗ってますが、ほとんど国内便です(苦笑)

この街にきて一番?ってな具合に迷うことなく、たどりついて
レンタカーを返す手続きもあっさりだったので、
5:30過ぎには空港内へ。チェックインもスムーズにおわり、
2時間ばかり余裕ができたので、空港内をうろうろ。
で、ちょっとしたお土産などを買って、手元に小銭があったので、
家に国際電話で「あとは飛行機に乗るだけだよー」と報告。
1ドルで、日本宛に5分かけられる、って結構お得ですよね。

で、そろそろ登場案内の時間かな?と思われた7:20頃。
係員の人が数名でてきて、なんかやってます。
ん・・・・またかい?(笑)
minor issue とかなんとか言ってて、どうやら boarding が
20分ほど遅れるらしい。
結局機内に乗り込んだのは、8:00過ぎ。
それでもロビーの案内は最後まで「on time」となってました\^\^;;

機内は、行きに比べるとそれなりに混んでました。
一列まるまる貸切なんてことはなかったし。
出発が遅れた分、サンフランシスコについてから、例によって
あまり時間がない。

国内線→国際線に乗り継ぐにあたって、
巡回バスを使うと、security check をパスできるってことなので、
それを利用することに。

んがっ、このバスの利用者がかなり多い。
サンフランシスコはいわゆるハブ空港だから、
シカゴやらデンバーやらあちこちから、この時間帯に
アジア圏などへと乗り継ぐ人達が大勢いるので、
アジア大会のごとく、ずらーーーと大きな列。

しかも、列の進み具合がどうも悪い。
いったいどれほどの大きさのバスに乗せてるんだか。

自分が乗るのは 11:27 発の UA の 837便で、
予定では、10:40に boarding となってるのに、
すでに時計はその時刻。
で、係員のおばちゃんが、837 便と声を発してるので、
おっ、優先的に乗せてくれるのかい?と思ったら、
Beijing, 837 と言ってる。

あれ?成田じゃなくて??

んーー。おかしい。。。
ということで、列の先頭の方の係員のいるところまで行って、
837 だから、時間ないし、先に乗りたいみたいなことを示したら、
おー、Beijing かい、乗りな、みたいなジェスチャー。

いえ、違うんですけど(笑)
で、よくよく、その係員の手元にあるボードを見ると、
成田行きの前に、11:15頃の北京行きの飛行機があるらしい。
便番号は、852 とかそんなんだったかな?

おばちゃん、ごっちゃになってるじゃん!
ってことで、こんな人あてにしてると、乗り過ごしかねないので、
ひとまず、あっちの勘違いを好都合とばかりに、
先にバスに乗せてもらいました。

ちなみに乗ったバスは、パイロット、客室乗務員らが移動で使うような
タイプのバス。これじゃぁ、たいした人数乗れないし流れが悪いはずだよ。

でも、とにかく、バスで無事に国際線ターミナルに移動し、
無事に837に乗ることができました。
はぁ、よかった。後は出発するだけだ。
ってことで、少し仮眠。。。。

30分くらいうとうとしたのかな。
で目を覚ましてみると、まだサンフランシスコ(苦笑)
手元の時計は12時すぎ。
アナウンスによると、飛行機を降りる客がでてきたので、
その人の荷物(スーツケース)を機内から探して、出すのに手間かかってるとか。
飽きさせないねぇ(苦笑)
結局、離陸したのは予定より1時間遅れ。ふーっ。
アナウンスによれば、成田の天気は雪。摂氏1度。
ひえぇーーーーーー、さむっ。

帰りの飛行機では、寝ると時差ぼけになるので、
映画見たりしながら、なるだけ起きてました。
ジャッキーチェンと真田広之が共演した「ラッシュアワー3」とかやってて
これは結構面白かったんだけど、
イヤホンの接触がおかしいのか、時々音がぶつぎれで、
しかも字幕は中国語なので、途中の話の流れが
絵だけで判断する状態になってしまった\^\^;;

そうこうしているうちに、出発して11時間。
そろそろ成田に着くという状況。
天候はよくないので、着陸態勢に入ってからは結構ゆれました。
ランディングにも結構時間はかかったかな?
なかなか地上が見えてこない状態が30分ほど。

それでも、無事、1時間遅れくらいで、成田到着。
パイロットさん、Thanks for your good landing.

今回は無事にスーツケースもでてきました。ふー、よかった(\^\^)
帰ってきて、スーツケースがゆがんで、開け閉めがスムーズにできなくなったことと
ネームタグが一個なくなってることに気づいたけど。
手荒に扱われちゃうのはしゃーないのかな。

最後までいろいろとあったけど、
無事に出張終えて、帰ってこれてなによりでした。

About

hanaki

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日