火曜日 3 10, 2009

Identity Connector project is now open!

Identity Connector project is now open!

https://identityconnectors.dev.java.net/

So, you don't have to request user role in order to see the project page.
Everyone is welcome. :)

-----

Identity Connector のページが正式にオープンになりました。
これで、プロジェクトメンバーでなくても
ページを参照できますし、コネクタのバイナリもダウンロードできます。
ぜひアクセスしてみてください。

月曜日 3 09, 2009

Identity Manager 8.1 New Feature - Managing resource with Identity Connector

As is explained here,
Identity Manager 8.1 provides new functionality for managing resources and applications that are not connected directly to Identity Manager through a resource adapter.
This release also includes the introduction of the Connector Framework and Identity Connectors, which provide a new, more flexible way for connecting Identity Manager to target systems and resources. In addition, this release expands the set of supported resources, applications, and platforms and extends product quality.

Identity Connectors are developped separately from Identity Manager
at the following open source project.

https://identityconnectors.dev.java.net/

Currently, connectors for SPMLv2 and Active Directory are bundled in Identity Manager.
In addition to that, connectors for more applications such as Google Apps, LDAP, MySQL are being developped in this project.

You can find the latest connector binary from
https://identityconnectors.dev.java.net/downloads.html .

Let's try to use the open-sourced Identity Connectors with Identity Manager.

土曜日 3 07, 2009

Identity Manager 8.1 is released on sun.com

Identity Manager 8.1 is released on sun.com and you can download it from here.

This is the first release of "sim-ship", delivers both base(English) and localization component at the same time.

You can find IDM_8_1_0_0.zip at Required Files section in download page,
it is the core and base component.
In addition to that, if you want to use localized Identity Manager,
please download language pack file, IDM_8_1_L10N.zip from Optional Files section in this page.

Doucument is also published on docs.sun.com.
Now, English only is published. As for translated documet, it will be available within a month or so.
Please stay tuned.

金曜日 3 06, 2009

Identity Manager 8.1 New Features - コネクタによるリソース管理

Identity Manager(IDM) 8.1 では、リソースの管理方法として、
従来の IDM 付属のアダプタ経由で管理するという機能に加えて
新たに、コネクタ経由でリソースを管理できる機能が加わりました。

コネクタは、Identity Manager とは別個になっていて、
オープンソースの Identityconnectors プロジェクトで開発されています。

https://identityconnectors.dev.java.net/

Identity Manager 8.1 では、SPMLv2 と Active Directory 用のコネクタが
デフォルトでバンドルされていますが、それ以外にも、Google Apps や、LDAP、MySQL などさまざまなリソース向けのコネクタが現在開発中です。

開発中のバージョンを使いたい場合には、
https://identityconnectors.dev.java.net/downloads.html からダウンロードできます。

これまでは、新しくリリースされたソフトウェアを IDM でリソースとして管理するには、
IDM の次のリリースでそれをサポートしてくれるのを待たなくてはなりませんでしたが、
リソース管理のフレームワークを Identity Manager の外に出して、
「コネクタ」を介して行うようにすることで、
Identity Manager のリリーススケジュールに縛られずに
もっとタイムリーに、そしてフレキシブルに
最新のソフトウェア・リソースをサポートするコネクタを提供することが可能となります。

コネクタ自体は、オープンソースですから、リリース前の最新のビルドを試しに使って、バグをレポートしたりして、品質を上げるのに貢献することもできますし、
また、提供されてるフレームワークを元に独自のコネクタを作ることもできます。

ぜひ、Identity Manager 8.1 ともども、Identity コネクタも使ってみてください。
バンドルされている SPMLv2 と Active Directory 用のコネクタの設定方法については、
近いうちにこのブログで紹介したいと思います。

Identity Manager 8.1 リリースされました

Identity Manager の最新バージョン 8.1 が sun.com からダウンロード可能となりました!

ダウンロード先はこちら

今回、なんといっても画期的なのは、英語版とローカライズ版が同時に
リリースされたということです。

ダウンロードページを見ていただくと、
上の Required Files には、IDM_8_1_0_0.zip があり、これがいわゆる本体のファイルとなります。
これに加えて、下部の Optional Files の方にある、IDM_8_1_L10N.zip も一緒にダウンロードしていただいて、
zip ファイルをアーカイブしたあと、ローカライズ版の jar ファイルを
Identity Manager を配備したディレクトリの WEB-INF/lib の下に置いてください。
(ここら辺の手順は、これまでのリリースと変わりません)

なお、ドキュメントの方はまだ英語版しかありませんので、日本語版についてはもう少しお待ちください。

火曜日 4 03, 2007

Identity Manager で職務分掌の監視


内部統制に関するニュース、記事などで 「職務分掌」あるいは「職務分離」という言葉を耳にすることがあるかと思います。
ある業務取引において、最初から最後までを一個人(または一部門)が管理してはならない、権限を適切に分離しなくてはならない、というのが「職務分掌」の基本理念なわけですが
まぁ、小難しいことは他に任せるとして、ごく単純な例をあげれば、伝票を起こす人と、それを承認する人は別の人間じゃないといけない(当たり前ですが)、ということですね。

Identity Manager 7.0 では、「職務分掌レポート」によって、職務分掌が適切に行われているかどうかを監視し、違反があればそれを表示することができます。
下の図は、職務分掌レポートの一例です。


このように、Matrix 形式の表で、各業務間で重複しているユーザー数が、数字で表れます。
たとえば、「Purchase Order Agreement」と、「Purchase Order Receipt」の交差しているところは「11」と表示されているので、そのリンクをクリックすると、以下のように職務分掌のポリシーに対してどのように違反しているかが表示されます。


この場合は、11人のユーザーに対して、Purchase Order Agreement」と、「Purchase Order Receipt」の両方の職務が割り当てられているために、「私的用途で発注を行い、自らそれを承認する」という不正を許す危険性があるというわけです。
試しに、IDM 7.0 のsample ディレクトリにある職務分掌レポート用のサンプルデータを使ってみます。
  1. sample ディレクトリにある auditordemo.xml をインポート。
  2. リソースタブに移動し、リソース ERPSystem が作成されているので、それをクリックする。
  3. ERPSystem.xml のパスを環境にあわせて修正する。(このファイルは、sample ディレクトリにあるので、たとえば /var/idm にコピーする)
  4. アカウントタブの「リソースから読み込み」ページに移動し、ERPSystem からアカウントを読み込む。(これ不要かも...)
  5. 「タスクの実行」ページに移動して、「監査ポリシーのスキャン」を選択。
  6. レポートタイトルを記入して、スキャンする組織のところですべての組織を選択。
  7. 監査ポリシーから「Purchase Order Policy」を選択し、起動をクリック。この操作によって、いくつかの職務分掌違反が生成されます。
  8. 「レポート」タブに移動し、レポートタイプを「監査レポート」に切り替えて、リストから「職務分掌レポート」を選択。
  9. レポートタイトルを記入して、「どの組織のアクティビティを含めるかを選択」の項目で、「Top:Zurich:Finance」のみを選択。
  10. 違反タイプのところで、すべて選択して、「実行」をクリック。
この結果、以下のようなレポートが生成されます。

水曜日 3 28, 2007

Solaris resource Adapter 〜パスワードプロンプトにご用心

最近、Solaris 10 Update Release を使うようになって今更ながら気づいたのですが、 コマンドラインで「su」を実行したときに表示されるパスワードプロンプトが 翻訳されてるんですね。Solaris チームの佐山さんに確認したところ、これは Solaris 10 Update Release 1 からのようです。
で、これが、IDM 上での Solaris Resource Adapter の設定に大きく影響してくるんですね。
Solaris Resource adapter のリソースパラメータ設定画面では、



こんな風に、リソースにアクセスするために使うユーザーを指定し(この場合はuser1)、 そのパスワードと、そのユーザーがログインした際に表示されるプロンプトを指定します。 (この場合は、oimori203%) さらに、root権限を持ったユーザーを指定し(この場合はroot)、 そのパスワードとプロンプトも指定します。 このように設定することで、Resource Adapter は、oimori203.japan.sun.com という Solaris OS に、user1 で SSH ログインし、その後、su コマンドにより、root になって、必要な管理操作を行います。
ここで、プロンプト文字列を指定することには大きな意味があります。 この文字列によって、IDM のリソースアダプタは、 Solaris にリモートアクセス(この場合は SSH経由)した際に表示される 一連のメッセージの中からどれがプロンプトなのかが判別できます。 そして、プロンプト表示を確認後に、必要なコマンドを実行するわけです。 例えば、この user1 のログインプロンプトを "%" という風に間違って指定すると、接続テストの際に次のようなエラーが返ってきます。


Resource Adapter にとって、ログインプロンプト文字列を識別することが重要であるならば、パスワードプロンプト文字列を識別することも重要なはずですね。「su」コマンドを実行したあとに、パスワードプロンプトが識別できないと、rootのパスワードを入力することができませんから。
ここで問題! Solaris 10 までは、パスワードプロンプトは英語だったので、 Resource Adapter は、"Password:" という文字列をパスワードプロンプトとして判別することで、以降の作業を続けることができました。 しかし、Solaris 10 UR1 からは、このプロンプトがローカライズされたので、 たとえば日本語なら「パスワード:」と表示されます。
Last login: Wed Mar 28 10:42:55 2007 from sr2-ctyo03-02.j
Sun Microsystems Inc.   SunOS 5.10      Generic January 2005
oimori203%
oimori203%
oimori203% su
パスワード:
が、IDM の Solaris Resource Adapter は、この「パスワード:」というプロンプトをうまく処理できないらしく、(Password: が返ってくることを想定している?)、試しにテスト接続をすると次のようなエラーが返ってきてしまいます。

とりあえず、これを回避するには su コマンドを実行した際にパスワードプロンプトが英語になるようにするしかないようです。 (たとえば、user1 の .cshrc に "setenv LC_MESSAGES C" と設定しておく)
これは、ぜひとも将来のリリースで直してほしい国際化バグです。(ID-16058 で登録済み) ログインプロンプトと同じように、パスワードプロンプトもリソースパラメータ設定ページで 指定できるようにすればいいんじゃないのかな?
About

hanaki

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日