このセクションでは、識別情報アプリケーションをインストールする準備について説明します。識別情報アプリケーションは、Roles Based Provisioning Module(RBPM)という名前のフレームワーク上で動作します。Identity Managerエンジンをインストールすると、インストールプロセスが自動的にnetiq-DXMLuad-4.7.0-0.noarchをインストールします。これはユーザアプリケーションドライバおよび役割とリソースドライバをインストールし、RBPMとやりとりするeDirectoryスキーマを拡張します。
インストールファイルは、Identity Managerインストールパッケージの.isoイメージファイル内のproducts\UserApplication\ディレクトリにあります。
Auditサーバがログアプリケーションとしてユーザアプリケーションを使用する場合、dirxml.lscファイルをAuditサーバにコピーする必要があります。このセクションは、Novell Identity Auditにのみ適用されます。
dirxml.lscファイルを見つけます。
このファイルは、Identity Managerユーザアプリケーションインストールディレクトリにあります。たとえば、C:\NetIQ\idm\apps\UserApplicationディレクトリです。
Webブラウザを使って、Novell Identity AuditプラグインがインストールされたiManagerにアクセスし、管理者としてログインします。
Roles and Tasks (役割とタスク) > Auditing and Logging (監査とログ)の順に移動し、Logging Server Options (ログサーバオプション)を選択します。
ツリー内の[Logging Services container (ログサービスコンテナ)]を参照して適切な[Audit Secure Logging Server (監査セキュアログサーバ)]を選択し、OKをクリックします。
Log Applications (ログアプリケーション)タブで、適切なコンテナ名を選択してNew Log Application (新規ログアプリケーション)リンクをクリックします。
[New Log Application (新規ログアプリケーション)]ダイアログボックスで次の手順を実行します。
[Log Application Name (ログアプリケーション名)]では現在の環境で有効な名前を指定します。
[Import LSC File (LSCファイルのインポート)]でdirxml.lscファイルを参照します。
OKをクリックします。
OKをクリックしてAuditサーバの設定を完了します。
ログアプリケーションのステータスがON (オン)に設定されている(ステータスの下の円が緑色である)ことを確認します。
Auditサーバを再起動して、新しいログアプリケーション設定をアクティブ化します。
識別ボールト管理者は、識別ボールトを設定する権利を持つユーザです。これは、論理的な役割で、他のタイプの管理ユーザと共有することができます。
識別ボールト管理者は、次の権利を必要とします。
ユーザアプリケーションドライバと、そのすべてのオブジェクトに対するスーパバイザ権。このためには、ドライバコンテナレベルで権限を設定し、それを継承可能にします。
ディレクトリ抽象化層ユーザエンティティ定義を通じて定義されたユーザに対するスーパバイザエントリ権。これには、objectClass、およびDirXML-EntitlementRecipient、srvprvEntityAux、およびsrvprvUserAux補助クラスに関連するすべての属性への属性書き込み権がなければなりません。
コンテナオブジェクトcn=DefaultNotificationCollection, cn=Securityに対するスーパバイザ権。このオブジェクトは、自動プロビジョニング電子メールに使用される電子メールサーバ設定に保持されます。これには、電子メールサーバ自体を認証するSecretStore資格情報を含めることができます。
コンテナオブジェクトcn=Authorized Login Methods, cn=Securityに対するスーパバイザ権。ユーザアプリケーションのインストール中に、このコンテナ内にSAMLアサーションオブジェクトが作成されます。
ユーザアプリケーションをインストールする前に、cn=Securityコンテナに対するスーパバイザ権があることを確認します。ユーザアプリケーションのインストール中に、コンテナcn=RBPMTrustedRootContainerがcn=Securityコンテナの下に作成されます。
または、cn=RBPMTrustedRootContainer, cn=Securityコンテナを手動で作成(Securityコンテナ内にNDSPKI:Trusted Rootオブジェクトクラスを持つTrusted Root Containerというオブジェクトを作成)し、そのコンテナにスーパーバイザ権を割り当てます。
Roles Based Provisioning Moduleを正常にインストールするには、アイデンティティボールトにユーザアプリケーション管理者アカウントを手動で作成する必要があります。ユーザアプリケーション管理者アカウントは、最上位コンテナのトラスティである必要があり、そのコンテナに対するスーパバイザ権を持つ必要があります。
ユーザアプリケーション管理者アカウントを作成したら、この新しいユーザアカウントにパスワードポリシーを割り当てる必要があります。詳細については、『Password Management Administration Guide』のCreating Password Policies
を参照してください。
ユーザアプリケーション管理者アカウントの許可を作成するには、LDAP Data Interchange Format (LDIF)ファイルの次のコマンドを実行します。
dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 1#subtree#[Root]#[Entry Rights] dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#description dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#directReports dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#mail dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#manager dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#photo dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#srvprvQueryList dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#srvprvUserPrefs dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#telephoneNumber dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#title dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 17#subtree#%%RBPM_USER_APP_ADMIN_DN%%#[Entry Rights] ACL: 35#subtree#%%RBPM_USER_APP_ADMIN_DN%%#[All Attributes Rights]