月曜日 3 30, 2009

Identity Manager 8.1 - Active Directory コネクタの設定手順



今回は、以前のブログで紹介した Identity Manager 8.1 の新機能である コネクタによるリソース管理について、 製品にバンドルされている Active Directory コネクタを例にして 設定の手順を紹介したいと思います。

使用する環境

今回は、以下の環境を用いて手順を紹介します。
  • Identity Manager 8.1
    • OS: Solaris 10 Update Release 7:
    • Web コンテナ: Glassfish U2V2
    • リポジトリ: MySQL 5.1.32
  • Active Directory
    • OS: Windows 2003 Enterprise Edition

前提条件

  • Glassfish は /opt/SUNWappserver ディレクトリにインストール済み。
    今回はデフォルトのドメイン domain1 を使用する。
    インスタンスポート 8080、管理ポート 4848。
  • MySQL は /opt/mysql ディレクトリにインストール済み。
  • Windows マシンには、Active Directory はインストール済み。
  • Windows マシンには、.NET 2.0 および 3.5 をインストール済み。
注意:Active Directory コネクタサーバーのインストールには、.Net 3.5 が必要ですので、 あらかじめインストールしておいてください。

手順

1. Identity Manager 8.1 のバイナリをダウンロードする

ダウンロードサイトから IDM_8_1_0_0.zip と IDM_8_1_L10N.zip をダウンロードします。



ここでは、/download ディレクトリにダウンロードしました。

2. MySQL サーバーを起動し、waveset テーブルを作成する

  1. /etc/my.cnf を次のように記述して、作成する。
    [mysqld]
    
    default-character-set=utf8
    
    [mysql]
    default-character-set=utf8
    
  2. サーバーを起動する。
    # cd /opt/mysql
    # bin/mysqld_safe --user=mysql&
    
  3. waveset テーブルを作成する。
    # bin/mysql < /download/db_scripts/create_waveset_tables.mysql
    

3. Identity Manager のインストール

  1. IDM_8_1_0_0.zip を解凍する。
    # unzip IDM_8_1_0_0.zip
    
  2. "sh install" でインストーラを実行する。
  3. Welcome パネルが表示されたら、「Next」をクリックする。
  4. Software License Agreement パネルが表示されたら、「Yes(Accept License)」をクリックする。
  5. Install or Upgrade? パネルが表示されたら、「New Installation」を選択し、「Next」をクリックする。
  6. Select Installation directory パネルが表示されたら、Directory to install Sun Identity Manager components: の下のテキストフィールドに Identity Manager をインストールするディレクトリを指定します。ここでは、/opt/idm81 とします。
  7. Create new directory? ポップアップウィンドウが表示されたら、「Create Directory」をクリックします。
  8. Ready to Install パネルが表示されたら、「Install Now」をクリックします。
  9. Launch Setup パネルが表示されたら、「Launch Setup」をクリックします。



  10. Have you copied all JAR files? ポップアップウィンドウが表示されたら、 先に進む前に、端末エミュレータを起動して、MySQL コネクタファイルをコピーします。



  11. コピーしたら、さきほどのポップアップウィンドウで「Yes, Continue」をクリックします。
  12. Welcome パネルが表示されたら、「Next」をクリックします。
  13. Locate the Repository パネルが表示されたら、Repository Type として「MySQL (JDBC Driver)」を選択し、「Next」をクリックします。
  14. Setup Demo? パネルが表示されたら、「No, I will configure Identity Manager myself. 」を選択して、「Next」をクリックします。
  15. Save Configuration パネルが表示されたら、「Execute」をクリックします。
  16. インポートが完了したら、「Done」をクリックします。
  17. インストーラの Launch Setup パネルに戻るので、「Next」をクリックします。
  18. Installation Summary で、Status が Installed になっていることを確認し、「Close」 をクリックします。
  19. L10n zip ファイルを展開し、WEB-INF/lib にコピーする。
    # cd /opt/idm81/WEB-INF/lib
    # unzip /download/IDM_8_1_L10N.zip
    
  20. idm.war を作成する。
    # cd /opt/idm81
    # jar cvf ../idm.war \*
    
  21. idm.war を Glassfish に配備します。
    # /opt/SUNWappserver/bin/asadmin start-domain domain1
    # /opt/SUNWappserver/bin/asadmin deploy --port 4848 --contextroot /idm /opt/idm.war
    
  22. Glassfish を再起動します。
    # /opt/SUNWappserver/bin/asadmin stop-domain domain1
    # /opt/SUNWappserver/bin/asadmin start-domain domain1
    
これで、Identity Manager のインストールは完了です。

4. Windows 上でのコネクタサーバーのインストールと設定

  1. IDM_8_1_0_0.zip を解凍したディレクトリに移動し、以下のファイルを Windows マシンにコピーします。
    • /download/connector/dotnet/server/ServiceInstall.msi
    • /download/connector/dotnet/bundles/ActiveDirectoryConnector/binary/ActiveDirectory.Connector-1.0.0.3663.zip

    Administrator アカウントで Windows にログインし、上の 2 つのファイルを 例えば、C:\\temp ディレクトリにコピーします。
  2. ServiceInstall.msi を実行し、コネクタサーバーをインストールします。 インストールが完了すると、以下のディレクトリにコネクタサーバーが インストールされて、自動的にサーバーが開始されます。
    C:\\Program Files\\Identity Connectors\\Connector Server
  3. C:\\Program Files\\Identity Connectors\\Connector Server に移動し、ConnectorServer /setKey を実行します。
      プロンプトが表示されたら、キーを入力します。   ここで指定した文字列は、あとでコネクタサーバーへ接続するためのキー(いわゆるパスワード)として使いますので、忘れないようにします。
  4. 「スタート」→「管理ツール」→「サービス」から、   サービスウィンドウを起動し、Connector Server を選んで、   いったんサービスを停止させます。
  5. ActiveDirectory.Connector-1.0.0.3663.zip ファイルを C:\\Program Files\\Identity Connectors\\Connector Server にコピーして、 サービスウィンドウから、Connector Server を選んで、サービスを開始します。

5. Active Directory 上にコンテナを作成する。

ここでは、Identity Manager で使用するコンテナとして、 組織単位 IDMUsers を作っておきます。



これで、Windows 上での設定は完了です。

6. Identity Manager 上での設定

  1. ブラウザで、http://localhost:8080/idm にアクセスし、 Configurator でログインします。(パスワードは、Configurator)
  2. 「設定」タブをクリックし、さらに「コネクタサーバー」タブをクリックします。



  3. 「新規」をクリックします。



  4. 各フィールドに値を入れます。
    名前 ここには任意の名前を入れることが出来ます。
    ここでは、AD-connector-サンプル とします。
    ホストアドレスコネクタサーバーをインストールした、Windows マシンのホスト名または、IP アドレスを指定します。
    ホストポートコネクタサーバーが待機しているポートを指定します。
    ここでは、デフォルトの値 8759 を指定します。
    ホストパスワードコネクタサーバーへの接続用の認証キーを指定します。ここには、さきほど ConnectorServer /setKey を実行したときに、入力したキーを指定します。
  5. SSL の有効化とソケットタイムアウトについては、 デフォルトの状態のままにして、「保存」をクリックします。 ここまで正しく設定されていれば、以下のような画面になるはずです。



  6. 次に「リソース」タブをクリックします。
  7. 「リソースタイプアクション」から「新規リソース」を選択します。
  8. 新規リソースページが表示されたら、リソースタイプから 「Windows Active Directory コネクタ」を選択します。
  9. 以下のような画面が表示されてるはずです。



  10. 「新規」をクリックします。
  11. Windows Active Directory コネクタ リソースの作成ウィザード が表示されたら、「次へ」をクリックします。
  12. リソースパラメータページで、以下のフィールドに値を入れます。
    ディレクトリ管理者のパスワードAdministrator のパスワードを指定します。
    コンテナこのリソースで管理するコンテナを指定します。ここには、さきほど作成した組織単位 IDMUsers を指定します。
    OU=IDMUsers,DC=office,DC=TGC,dc=com
    (DC=以下の値は、お使いの Active Directory の環境にあわせてください)
    ドメイン名Active Directory のドメイン名指定します。
  13. 他の値はデフォルトの状態のままにして、「設定のテスト」をクリックします。



  14. テスト接続が成功しました! というメッセージが確認できたら、 「次へ」をクリックします。
  15. 「アカウント属性」のページでは、特に何も変更せず 「次へ」をクリックします。
  16. アイデンティティーテンプレート のページでは、 アイデンティティーテンプレート を指定します。 ここでは、 CN=$accountId$,OU=IDMUsers,DC=office,DC=TGC,DC=com とします。 「次へ」をクリックします。
  17. アイデンティティーシステムのパラメータ ページでは、 リソース名に、任意の名前を入力します。 「保存」をクリックします。




これで、Windows Active Directory コネクタの設定は完了です。

7. コネクタ経由で Active Directory 上にアカウントを作成する

試しに、Identity Manager 上から、Active Directory にユーザーを作成してみます。
  1. 「アカウント」タブをクリックします。
  2. 「ユーザーの作成」ページの ID タブで、 アカウントID、名、姓、パスワードを入力します。



  3. リソースタブで、さきほど作成した Active Directory コネクタリソースを 選択します。



  4. 「保存」をクリックすると、次のように ユーザーアカウントが作成されます。



    実際に、Active Directory を見ても、 次のようにアカウントが作成されていることが確認できます。



木曜日 6 19, 2008

Identity Manager 8.0 の紹介〜ロール管理(1)

Identity Manager(以下 IDM) 8.0 の機能紹介の第一弾として、
本リリースで変更されたロール管理機能についてとりあげます。

従来の IDM でも、ロールを作成したり、それをユーザーに割り当てたり、ロールにリソースを割り当てて、ロールを介してユーザーにリソースを割り当てる、といったことが可能でしたが、
8.0 では、このロール管理機能がさらに拡張されました。

詳細はマニュアルを見て頂くとして、主な拡張点を簡単にふれておくと、


  • ロールごとに承認者、所有者を割り当てることが可能になった。
    これにより、ロールを作成、編集、削除する際には、所有者の承認が必要となる。
    また、ロールに対してユーザーを割り当てる場合には、承認者の承認が必要となる。
  • ロールを編集、変更した場合に、ロールが割り当てられているユーザーに対してその変更内容を
    即座に反映させることが可能になった。(反映させない、という選択も可能)
  • ユーザーにロールを割り当てる際に、従来通りに即座に永続的に割り当てる以外に、
    いつからいつまで、と期日を設定して割り当てることも可能になった。
  • ロールをタイプ別に管理することが可能となり、デフォルトでは、ビジネスロール、ITロール、アプリケーション、アセットと4つのタイプが提供されるようになった。
    デフォルトでは、ユーザーに直接割り当てることができるのはビジネスロールのみ。
    ビジネスロールには、他の3つのタイプのロールを含めることができる。
    リソースを割り当てることができるのは、ITロールとアプリケーションのみ。
    IT ロールには、IT ロール、アプリケーション、アセットを含めることができる。
    アプリケーションとアセットにはロールを包めることはできない。
    以前のバージョンで作成したロールは、8.0 においては、IT ロールと判別される。
  • ロールを含める際に、関連付けのタイプとして、必須、条件付き、オプションの3種類の中から指定できる。
    たとえば、ビジネスロールA に、ITロールA を「必須」で含めた場合は、
    ビジネスロールA を割り当てたユーザーには、ITロールA も必須で割り当てられる。
    ビジネスロールB に、ITロールB を「条件つき」で含めた場合は、
    ビジネスロールB を割り当てたユーザーに、ITロールB が割り当てられるかどうかは、
    そのユーザーが条件の定義にマッチしてるかどうかで決まる。
    ビジネスロールC に、ITロールC を「オプション」で含めた場合は、
    ビジネスロールC を割り当てたユーザーには、ITロールC は自動的に割り当てられないが、
    そのユーザーは、自分で、ITロールC の割り当てをリクエストすることができる。

といった感じです。

まぁ、文章でつらつらと書くよりも、実際の操作を通して実感してもらうのが一番だと
思いますので、次回は、簡単なシナリオ例を元に操作をすすめていきながら、
どういった感じでユーザーにロールが割り当てられ、割り当てが解除されるかといったところを
紹介していこうと思います。


  • シナリオ1:

    • 山田一郎さんに 2008年7月1日から7月31日までの間、契約社員として働いてもらう。
    • 契約社員のアカウントは LDAP で管理され、それにより社内メールを使用することができる。
    • 契約期間が終わると、LDAP からアカウントは削除される。

  • シナリオ2:

    • 鈴木次郎さんと佐藤三郎さんに、2008年7月1日から7月31日までの間、契約社員として働いてもらう。鈴木さんには製品テストの業務を、佐藤さんには製品マニュアルの翻訳業務を依頼する。
    • 契約社員のアカウントは Active directory で管理する。
    • 製品テスト担当者には、バグの登録、閲覧ができるように、Bugzilla へのアクセスを許可する。
    • 業務とは直接関係しないが、希望するものには、Solaris へのアクセスも許可する。
    • 契約期間が終わると、Active Directory からアカウントは削除される。

About

hanaki

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日