識別情報アプリケーション設定ユーティリティを使用して、ユーザアプリケーションドライバと識別情報アプリケーションの設定を管理できます。識別情報アプリケーションのインストールプログラムは、アプリケーションの設定にかかる時間を短縮するために、このユーティリティを呼び出します。これらの設定のほとんどは、インストール後にも変更できます。
設定ユーティリティ(configupdate.bat)を実行するファイルは、デフォルトでは、Identity Applications (C:\NetIQ\idm\apps\UserApplication)のインストールサブディレクトリにあります。
メモ:クラスタでは、そのすべてのメンバーの環境設定は同一です。
このセクションでは、設定ユーティリティの設定について説明します。これらの設定は複数のタブとして編成されています。Identity Reportingをインストールする場合、インストールプロセスはユーティリティにIdentity Reporting用のパラメータを追加します。
テキストエディタでconfigupdate.propertiesファイルを開き、次のオプションが設定されていることを確認します。
edit_admin="true"
use_console="false"
コマンドプロンプトで、設定ユーティリティ(configupdate.bat)を実行します。
メモ:ユーティリティが起動するまで数分待つ必要がある場合があります。
識別情報アプリケーションを設定する際、このタブでは、識別情報アプリケーションが識別ボールトと通信する場合に使用する値を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。
デフォルトでは、このタブには基本オプションが表示されます。すべての設定を表示するには、詳細オプションの表示をクリックします。このタブには、次の設定グループがあります。
このセクションでは、識別情報アプリケーションが識別ボールト内のユーザの識別情報と役割にアクセスできるようにする設定を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。
必須
LDAPサーバのホスト名またはIPアドレスを指定します。たとえば、「myLDAPhost」と指定します。
識別ボールトが平文のLDAP要求をリスンするポートを指定します。デフォルトは389です。
識別ボールトがSSL (Secure Sockets Layer)プロトコルを使用したLDAP要求をリスンするポートを指定します。デフォルトは636です。
eDirectoryがインストールされる前にサーバにロードされているサービスがデフォルトのポートを使用している場合は、別のポートを指定する必要があります。
必須
LDAP管理者の資格情報を指定します。たとえば、「cn=admin」というようになります。このユーザは識別ボールトにすでに存在している必要があります。
識別情報アプリケーションはこのアカウントを使用して、識別ボールトへの管理接続を行います。この値は、マスタキーに基づいて暗号化されます。
必須
LDAP管理者のパスワードを指定します。このパスワードは、マスタキーに基づいて暗号化されます。
ログインしていないユーザがLDAPパブリック匿名アカウントにアクセスできるかどうかを指定します。
RBPMが管理者アカウント関連のすべての通信でSSLプロトコルを使用するかどうかを指定します。この設定を行っても、SSLを必要としない他の処理はSSLを使用せずに処理を実行できます。
メモ:このオプションを選択すると、パフォーマンスが低下する可能性があります。
RBPMがログインユーザアカウント関連のすべての通信でTLS/SSLプロトコルを使用するかどうかを指定します。この設定を行っても、TLS/SSLを必要としない他の処理はTLS/SSLを使用せずに動作できます。
メモ:このオプションを選択すると、パフォーマンスが低下する可能性があります。
このセクションでは、識別情報アプリケーションとIdentity Managerの他のコンポーネントの間で通信できるようにするコンテナとユーザアカウントの識別名を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。
必須
ルートコンテナのLDAP識別名を指定します。これは、ディレクトリ抽象化層で検索ルートが指定されない場合に、デフォルトのエンティティ定義検索ルートとして使用されます。たとえば、「o=mycompany」と指定します。
必須
詳細オプションを表示すると、このパラメータは[識別ボールトユーザ識別情報]に表示されます。
ユーザコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。この設定には次の考慮事項が適用されます。
このコンテナ(とその下位)のユーザは、識別情報アプリケーションへのログインを許可されます。
Identity ApplicationsをホストするTomcatを起動したことがある場合、configupdate.batファイルを使用してこの設定を変更することはできません。
このコンテナには、ユーザがユーザアプリケーションドライバを設定したときに指定したユーザアプリケーション管理者が含まれている必要があります。含まれていない場合、指定したアカウントはワークフローを実行できません。
必須
詳細オプションを表示すると、このパラメータは[識別ボールトユーザグループ]に表示されます。
グループコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。この設定には次の考慮事項が適用されます。
ディレクトリ抽象化レイヤ内のエンティティ定義では、このDNを使用します。
Identity ApplicationsをホストするTomcatを起動したことがある場合、configupdate.batファイルを使用してこの設定を変更することはできません。
必須
ユーザアプリケーションドライバの識別名を指定します。
たとえば、ドライバがUserApplicationDriver、ドライバセットの名前がmyDriverSet、ドライバセットのコンテキストがo=myCompanyである場合、「cn=UserApplicationDriver,cn=myDriverSet,o=myCompany」と指定します。
必須
ユーザアプリケーションの指定したユーザコンテナの管理タスクを実行する権限を持つ識別ボールト内の既存のユーザアカウントを指定します。この設定には次の考慮事項が適用されます。
ユーザアプリケーションをホストするTomcatを起動したことがある場合、configupdate.batファイルを使用してこの設定を変更することはできません。
ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの管理]>[セキュリティページを使用します。
このユーザアカウントは、ユーザアプリケーションの管理タブを使用してポータルを管理する権利を持ちます。
ユーザアプリケーション管理者が、iManager、Designer、またはユーザアプリケーション(要求と承認タブ)に公開されているワークフロー管理タスクに参加する場合は、この管理者に、ユーザアプリケーションドライバに含まれるオブジェクトインスタンスに対する適切なトラスティ権限を与える必要があります。詳細については、『User Application Administration Guide』を参照してください。
ユーザアプリケーション全体で使用可能なプロビジョニングワークフロー機能を管理する識別ボールト内の既存のユーザアカウントを指定します。
ユーザアプリケーションを展開した後でこの割り当てを変更するには、ユーザアプリケーションの管理]>[管理者の割り当てページを使用します。
コンプライアンスタブのすべての機能を実行することをメンバーに許可するシステム役割を実行する識別ボールト内の既存のアカウントを指定します。この設定には次の考慮事項が適用されます。
識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリケーションの管理]>[管理者の割り当てページを使用します。
設定を更新する際、この値に対する変更が有効になるのは、有効なコンプライアンス管理者が割り当てられていない場合のみです。有効なコンプライアンス管理者が存在する場合は、変更は保存されません。
任意の役割の作成、削除、または変更および任意のユーザ、グループ、またはコンテナへの役割割り当ての付与または取消をメンバーに許可する役割を指定します。さらに役割のメンバーは、任意のユーザに対してレポートを実行できます。この設定には次の考慮事項が適用されます。
デフォルトでは、この役割にはユーザアプリケーション管理者が割り当てられています。
識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリケーションの管理]>[管理者の割り当てページを使用します。
設定を更新する際、この値に対する変更が有効になるのは、有効な役割管理者が割り当てられていない場合のみです。有効な役割管理者が存在する場合は、変更は保存されません。
セキュリティドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次の考慮事項が適用されます。
セキュリティ管理者は、セキュリティドメイン内のすべてのオブジェクトで可能なアクションをすべて実行できます。セキュリティドメインを使用すると、セキュリティ管理者はRBPM内のすべてのドメインのすべてのオブジェクトのアクセス許可を設定できます。セキュリティ管理者はチームを構成でき、またドメイン管理者、委任管理者、およびその他のセキュリティ管理者も割り当てることができます。
識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリケーションの管理]>[管理者の割り当てページを使用します。
リソースドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次の考慮事項が適用されます。
リソース管理者はリソースドメイン内のすべてのオブジェクトで可能なアクションをすべて実行できます。
識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリケーションの管理]>[管理者の割り当てページを使用します。
構成ドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次の考慮事項が適用されます。
RBPM設定管理者は、構成ドメイン内のすべてのオブジェクトで可能なアクションをすべて実行できます。RBPM設定管理者は、RBPM内のナビゲーション項目へのアクセスを制御します。また、RBPM設定管理者は委任と代理サービス、ユーザインタフェースのプロビジョニング、およびワークフローエンジンを設定します。
識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリケーションの管理]>[管理者の割り当てページを使用します。
レポーティング管理者を指定します。デフォルトでは、インストールプログラムが他のセキュリティフィールドと同じユーザをこの値に表示します。
このセクションでは、識別情報アプリケーションが識別ボールト内のユーザコンテナと通信できるようにする値を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。
このセクションの設定は、詳細オプションの表示を選択した場合のみ表示されます。
必須
詳細オプションを表示していない場合、このパラメータは[識別ボールトDN]に表示されます。
ユーザコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。この設定には次の考慮事項が適用されます。
このコンテナ(とその下位)のユーザは、識別情報アプリケーションへのログインを許可されます。
Identity ApplicationsをホストするTomcatを起動したことがある場合、configupdate.batファイルを使用してこの設定を変更することはできません。
このコンテナには、ユーザがユーザアプリケーションドライバを設定したときに指定したユーザアプリケーション管理者が含まれている必要があります。含まれていない場合、指定したアカウントはワークフローを実行できません。
識別ボールトユーザがコンテナを検索できるスコープの深さを指定します。
LDAPユーザのオブジェクトクラスを指定します。通常はinetOrgPersonです。
ユーザのログイン名を表すLDAP属性を指定します。たとえば、「cn」と指定します。
ユーザまたはグループをルックアップする際に識別子として使用するLDAP属性を指定します。これはログイン属性とは異なります。ログイン属性はログイン時にのみ使用されます。たとえば、「cn」と指定します。
(オプション)ユーザのグループメンバーシップを表すLDAP属性を指定します。この名前を指定する際、スペースを使用しないでください。
このセクションでは、識別情報アプリケーションが識別ボールト内のグループコンテナと通信できるようにする値を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。
このセクションの設定は、詳細オプションの表示を選択した場合のみ表示されます。
必須
詳細オプションを表示していない場合、このパラメータは[識別ボールトDN]に表示されます。
グループコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。この設定には次の考慮事項が適用されます。
ディレクトリ抽象化レイヤ内のエンティティ定義では、このDNを使用します。
Identity ApplicationsをホストするTomcatを起動したことがある場合、configupdate.batファイルを使用してこの設定を変更することはできません。
識別ボールトユーザがグループコンテナを検索できるスコープの深さを指定します。
LDAPグループのオブジェクトクラスを指定します。通常はgroupofNamesです。
(オプション)ユーザのグループメンバーシップを指定します。この名前にはスペースを使用しないでください。
ダイナミックグループを使用するかどうかを指定します。
ダイナミックグループオブジェクトクラスの値も指定する必要があります。
ダイナミックグループの使用を選択している場合のみ適用されます。
LDAPダイナミックグループのオブジェクトクラスを指定します。通常はdynamicGroupです。
このセクションでは、JREキーストアのパスとパスワードを定義します。いくつかの設定は、インストールプロセスを完了するために必須です。
必須
Tomcatが動作するために使用しているJREのキーストア(cacerts)ファイルへのフルパスを指定します。手動でパスを入力するか、またはcacertsファイルを参照して指定できます。この設定には次の考慮事項が適用されます。
現在の環境におけるRBPMのインストールディレクトリを指定する必要があります。デフォルト値は正しい場所に設定されます。
識別情報アプリケーションのインストールプログラムは、キーストアファイルを変更します。
必須
キーストアファイルのパスワードを指定します。デフォルトは、「changeit」です。
このセクションでは、電子メールベースの承認に使用できる、電子メール通知を有効にする値を定義します。詳細については、『NetIQ Identity Manager - Identityアプリケーションに対する管理者ガイド』を参照してください。
アイデンティティアプリケーションをホストするTomcatの名前またはIPアドレスを指定します。たとえば、「myapplication serverServer」と指定します。
この値は、電子メールテンプレートの$HOST$トークンと置き換えられます。 インストールプログラムはこの情報を使用して、プロビジョニング要求タスクと承認通知を参照するURLを作成します。
アイデンティティアプリケーションをホストするTomcatのポート番号を指定します。
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PORT$トークンがこの値で置き換えられます。
アイデンティティアプリケーションをホストするTomcatのセキュアポート番号を指定します。
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PORT$トークンがこの値で置き換えられます。
ユーザの電子メールを送信する際にURLに使用する非セキュアプロトコルを指定します。たとえば、「http」と指定します。
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PROTOCOL$トークンがこの値で置き換えられます。
ユーザの電子メールを送信する際にURLに使用するセキュアプロトコルを指定します。たとえば、「https」と指定します。
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PROTOCOL$トークンがこの値で置き換えられます。
識別情報アプリケーションが電子メール通知を送信するために使用する電子メールアカウントを指定します。
識別情報アプリケーションがプロビジョニング電子メールに使用するSMTP電子メールホストのIPアドレスまたはDNS名を指定します。localhostは使用しないでください。
サーバに認証が必要かどうかを指定します。
電子メールサーバに対する資格情報も指定する必要があります。
サーバには認証が必要ですを有効にした場合にのみ適用されます。
電子メールサーバのログインアカウントの名前を指定します。
サーバには認証が必要ですを有効にした場合にのみ適用されます。
メールサーバのログインアカウントのパスワードを指定します。
メールサーバ間の転送中に電子メールメッセージのコンテンツをセキュリティ保護するかどうかを指定します。
電子メール通知に添付するイメージへのパスを指定します。
Identity Applicationsサーバと電子メールサーバの両方がセキュアな接続を使用するように設定されている場合は、次の条件が満たされていることを確認します。
Identity Applicationsサーバと電子メールサーバ間のセキュアな接続を確立するために使用される証明書は、信頼できるCA証明書です。
イメージパスにhttpsを使用します。たとえば、https://localhost:8543/IDMProv/imagesです。
Identity Applicationsがプレーンテキスト通信にhttpを使用するサーバ上で動作している場合は、イメージパスのhttpsをhttpに置き換えます。イメージパスの例: http://localhost:8080/IDMProv/images
送信メッセージにデジタル署名を追加するかどうかを指定します。
このオプションを有効にする場合は、キーストアと署名キーの設定も指定する必要があります。
Sign email (電子メールの署名)を有効にした場合にのみ適用されます。
電子メールをデジタルで署名するために使用するキーストア(cacerts)ファイルへのフルパスを指定します。手動でパスを入力するか、またはcacertsファイルを参照して指定できます。
たとえば、C:\NetIQ\idm\apps\jre\lib\security\cacertsです。
Sign email (電子メールの署名)を有効にした場合にのみ適用されます。
キーストアファイルのパスワードを指定します。たとえば、changeitです。
Sign email (電子メールの署名)を有効にした場合にのみ適用されます。
キーストアの署名キーの別名を指定します。たとえば、idmapptestです。
Sign email (電子メールの署名)を有効にした場合にのみ適用されます。
署名キーを含むファイルを保護するパスワードを指定します。たとえば、changeitです。
このセクションでは、識別情報アプリケーションのトラステッドキーストアの値を定義します。このセクションの設定は、詳細オプションの表示を選択した場合のみ表示されます。
信頼される署名者のすべての証明書が含まれるトラステッドキーストアへのパスを指定します。入力しない場合は、識別情報アプリケーションはシステムプロパティjavax.net.ssl.trustStoreからパスを取得します。このシステムプロパティからパスを取得できない場合、インストールプログラムはデフォルトでjre\lib\security\cacertsに設定します。
トラステッドキーストアのパスワードを指定します。入力しない場合は、識別情報アプリケーションはシステムプロパティjavax.net.ssl.trustStorePasswordからパスワードを取得します。このシステムプロパティからパスを取得できない場合、インストールプログラムはデフォルトでchangeitに設定します。
このパスワードは、マスタキーに基づいて暗号化されます。
トラステッドストアパスがデジタル署名にJavaキーストア(JKS)またはPKCS12のどちらを使用するかを指定します。
このセクションでは、Identity Managerがイベント監査のためにSentinelと通信できるようにする値を定義します。このセクションの設定は、詳細オプションの表示を選択した場合のみ表示されます。
Sentinelに送信される監査メッセージをOAuthサーバが認証するために使用するカスタム公開鍵証明書が表示されます。
Sentinelに送信される監査メッセージをOAuthサーバが認証するために使用するカスタム秘密鍵ファイルへのパスを指定します。
このセクションの設定は、詳細オプションの表示を選択した場合のみ表示されます。
クライアントインストールがオンライン証明書状態プロトコル(OCSP)を使用する際に使用するUniform Resource Identifier(URI)を指定します。たとえば、「http://host:port/ocspLocal」と指定します。
OCSP URIによって、トラステッド証明書オンラインの状態は更新されます。
許可環境設定ファイルの完全修飾名を指定します。
インストール時にインストールプログラムでmanager、ismanager、およびsrvprvUUIDの各属性にインデックスを作成するかどうかを指定します。インストール後にそれらのインデックスの新しい場所を参照するように設定を変更できます。この設定には次の考慮事項が適用されます。
これらの属性にインデックスがない場合、Identity Applicationsユーザは、Identity Applicationsのパフォーマンスの低下を感じる可能性があります。
識別情報アプリケーションをインストールした後、iManagerを使用して、手動でこれらのインデックスを作成できます。
パフォーマンスを最大化するには、インストール時にインデックスを作成する必要があります。
識別情報アプリケーションをユーザが使用できるようにする前に、これらのインデックスをオンラインモードにする必要があります。
インデックスを作成または削除するには、サーバDNにも値を指定する必要があります。
識別ボールトインデックスを作成または削除する必要がある場合にのみ適用されます。
インデックスを作成または削除するeDirectoryサーバを指定します。
指定できるサーバは一度に1つだけです。複数のeDirectoryサーバでインデックスを設定するには、RBPM設定ユーティリティを複数回実行する必要があります。
インストールプロセスの終了時にRBPMセキュリティをリセットするかどうかを指定します。識別情報アプリケーションを再展開する必要もあります。
Identity Manager ReportingモジュールのURLを指定します。たとえば、「http://hostname:port/IDMRPT」と指定します。
ブラウザでIdentity Applicationsを表示する際に使用するカスタマイズしたテーマの名前を指定します。
idmuserapp_logging.xmlファイルのCONSOLEアペンダとFILEアペンダのレイアウトパターンで使用する値を指定します。デフォルト値はRBPMです。
RBPMのコンテキスト名を変更するかどうかを指定します。
役割とリソースドライバの新しい名前とDNも指定する必要があります。
RBPMコンテキスト名の変更を選択している場合にのみ適用されます。
RBPMの新しいコンテキスト名を指定します。
RBPMコンテキスト名の変更を選択している場合にのみ適用されます。
役割とリソースドライバのDNを指定します。
このセクションのパラメータはインストール時にのみ適用されます。
このセクションでは、コンテナオブジェクトの値を定義したり、新しいコンテナオブジェクトを作成したりできます。
使用するコンテナオブジェクトタイプを指定します。
コンテナの地域、国、部門、組織、またはドメインを指定します。
iManager内で自分のコンテナを定義でき、これを新規コンテナオブジェクトの追加の下に追加できます。
指定したコンテナオブジェクトタイプに関連付けられている属性タイプの名前を指定します。
新しいコンテナとして使用可能な識別ボールトのオブジェクトクラスのLDAP名を指定します。
新しいコンテナオブジェクトタイプに関連付けられている属性タイプの名前を指定します。
識別情報アプリケーションを設定する際、このタブでは、Identity Reportingを管理するための値を定義します。Identity Reportingをインストールすると、このタブが追加されます。
デフォルトでは、このタブには基本オプションが表示されます。すべての設定を表示するには、詳細オプションの表示をクリックします。このタブには、次の設定グループがあります。
このセクションでは、通知を送信するための値を定義します。
Identity Reportingが通知を送信する際に使用する電子メールサーバのDNS名またはIPアドレスを指定します。localhostは使用しないでください。
SMTPサーバのポート番号を指定します。
電子メールサーバとの通信にTLS/SSLプロトコルを使用するかどうかを指定します。
電子メールサーバとの通信に認証を使用するかどうかを指定します。
認証に使用する電子メールアドレスを指定します。
値を指定する必要があります。サーバで認証が不要の場合は、無効なアドレスを指定できます。
サーバは認証が必要と指定している場合にのみ適用されます。
SMTPユーザアカウントのパスワードを指定します。
電子メールサーバとの通信に認証を使用するかどうかを指定します。
このセクションでは、完了したレポートを保持するための値を定義します。
Identity Reportingが完了したレポートを保持する期間を指定します。この期間が経過すると、完了したレポートは削除されます。たとえば、6カ月を指定するには、レポート有効期間フィールドに「6」と入力し、レポートの単位フィールドで月を選択します。
レポート定義を保存する場所のパスを指定します。たとえば、C:\NetIQ\idm\apps\IdentityReportingです。
このセクションでは、Identity Reportingの使用言語に関する値を定義します。Identity Reportingは特定のロケールを使用して検索します。詳細については、『Administrator Guide to NetIQ Identity Reporting』を参照してください。
このセクションでは、Identity Reportingがレポートを生成する際に使用する認証ソースに関する値を定義します。
レポーティングのために追加する認証ソースのタイプを指定します。次の認証ソースを指定できます。
デフォルト
LDAPディレクトリ
File (ファイル)
「Identity Manager 4.8.1以降のバージョンを使用する場合にのみ適用されます。」
このセクションでは、Identity Reportingがレポートのダウンロードに使用するリバースプロキシサーバを使用するための値を定義します。
レポーティングでリバースプロキシサーバを使用するオプションを指定します。
ホスト名またはIPアドレス
ポート
Use TLS (TLSの使用)
ネットワークプロトコルとしてTCPを使用する場合にのみ適用されます。
アイデンティティアプリケーションを設定する際、このタブでは、Tomcatがユーザをアイデンティティアプリケーションおよびパスワード管理のページに転送するために使用する値を定義します。
デフォルトでは、このタブには基本オプションが表示されます。すべての設定を表示するには、詳細オプションの表示をクリックします。このタブには、次の設定グループがあります。
このセクションでは、識別情報アプリケーションが認証サーバに接続するための設定を定義します。
必須
トークンをOSPに発行する認証サーバの相対URLを指定します。たとえば、「192.168.0.1」と指定します。
認証サーバのポートを指定します。
OAuthのOSPからNAMへの変換は、設定更新ユーティリティの認証タブからはサポートされていません。このオプションを非表示にするには、configupdate.sh.propertiesファイルで、no_nam_oauthの値を“true”に設定します。
認証サーバが通信にTLS/SSLを使用するかどうかを指定します。
OAuthサーバはTLS/SSLを使用していますを選択し、詳細オプションを表示している場合にのみ適用されます。
OAuthサーバはTLS/SSLを使用していますを選択し、詳細オプションを表示している場合にのみ適用されます。
TLS/SSL認証サーバのキーストアファイルをロードする際に使用するパスワードを指定します。
メモ:キーストアパスおよびパスワードを指定せず、認証サーバの信頼証明書がJREトラストストア(cacerts)に存在しない場合、Identity ApplicationsはTLS/SSLプロトコルを使用する認証サービスに接続できません。
このセクションでは、認証サーバの設定を定義します。
必須
OSPが認証する必要がある管理者ユーザオブジェクトが含まれる識別ボールト内のコンテナの識別名を指定します。たとえば、「ou=sa,o=data」と指定します。
同じcn値を持つ複数のeDirectoryユーザオブジェクトを区別するために使用するLDAP属性の名前を指定します。デフォルト値はmailです。
識別ボールト内のユーザコンテナおよび管理者コンテナにおける検索を、そのコンテナ内のユーザオブジェクトのみに限定するのか、それともサブコンテナも検索対象にするのかを指定します。
ユーザが何も操作せずに一定時間が経過するとサーバはそのユーザセッションをタイムアウトさせますが、その時間を分単位で指定します。デフォルト値は20分です。
OSPアクセストークンの有効期間の秒数を指定します。デフォルト値は60秒です。
OSPリフレッシュトークンの有効期間の秒数を指定します。リフレッシュトークンはOSPが内部的に使用します。既定値は 48 時間です。
このセクションでは、Identity ManagerのブラウザベースのコンポーネントにログインするユーザをOSPが認証できるようにする値を定義します。
ユーザがログオンする際にIdentity Managerが使用する認証タイプを指定します。
[名前とパスワード]: OSPは識別ボールトを使用して認証を検証します。
[Kerberos]: OSPはKerberosチケットサーバと識別ボールトの両方から認証を受け入れます。マッピング属性名の値も指定する必要があります。
[SAML 2.0]: OSPはSAMLアイデンティティプロバイダとアイデンティティボールトの両方から認証を受け入れます。マッピング属性名とメタデータURLの値も指定する必要があります。
KerberosまたはSAMLを指定している場合にのみ適用されます。
Kerberosチケットサーバまたは識別情報プロバイダのSAML表現にマッピングする属性の名前を指定します。
SAMLを指定している場合にのみ適用されます。
OSPが認証要求をSAMLにリダイレクトする際に使用するURLを指定します。
このセクションでは、ユーザがパスワードの変更をセルフサービス操作として実行できるようにする値を定義します。
使用するパスワード管理システムのタイプを指定します。
[ユーザアプリケーション(レガシ)]: Identity Managerが従来使用していたパスワード管理プログラムを使用します。このオプションを使用すると、外部パスワード管理プログラムを使用することもできます。
[Self Service Password Reset (SSPR)]: ユーザが管理者の助けを借りずに自分でパスワードをリセットできるIdentity Applicationsに含まれているNetIQ Self Service Password Resetサービスを使用します。Identity Applicationsダッシュボードログインページに表示されるリンクを選択して、ユーザが要件に基づいてログインアクセスをリセットするための適切なアクションを選択できるようにします。詳細については、ユーザインタフェースを参照してください。
SSPRは、パスワード管理プロバイダフィールドのデフォルトの選択です。
このメニューリストは、ユーザアプリケーション(レガシ)を選択している場合にのみ適用されます。
ユーザアプリケーションまたは外部システムのどちらに統合されているパスワード管理システムを使用するかを指定します。
[内部]: デフォルトの内部パスワード管理機能を使用します。/jsps/pwdmgt/ForgotPassword.jsp(最初はhttp(s)プロトコルなし)。これは、ユーザを、外部WARではなく、ユーザアプリケーションに組み込まれた[パスワードを忘れた場合]機能にリダイレクトします。
[外部]: パスワードを忘れた場合の外部WARを使用して、Webサービス経由でユーザアプリケーションを呼び戻します。外部システムの設定も指定する必要があります。
外部パスワード管理システムを使用する場合にのみ適用されます。
パスワードを忘れた場合の機能ページを参照するURLを指定します。外部または内部のパスワード管理WARにあるForgotPassword.jspファイルを指定します。
外部パスワード管理システムを使用する場合にのみ適用されます。
ユーザがパスワードを忘れた場合の操作を実行した後でクリックできるように、パスワードを忘れた場合の返信リンクのURLを指定します。
外部パスワード管理システムを使用する場合にのみ適用されます。
パスワードを忘れた場合の外部WARがユーザアプリケーションを呼び戻してパスワードを忘れた場合のコア機能を実行するために使用するURLを指定します。次の形式を使用してください。
https://<idmhost>:<sslport>/<idm>/ pwdmgt/service
このメニューリストは、Self Service Password Reset (SSPR)を選択した場合にのみ適用されます。
Identity Applicationsダッシュボードのログインページに表示するリンクを指定します。デフォルトの選択のCan’t sign in? (サインインできませんか?)には、ユーザ名またはパスワードをリセットしたり、ログインページでアクセス許可を登録したりするための共通リンクが表示されます。なしを選択すると、ユーザは自分でパスワードをリセットすることはできません。
Other links (その他のリンク)
を選択する場合は、選択に次のオプションが利用できます。
[パスワードを忘れた場合]: 既存のユーザがパスワードを忘れた場合に、パスワードをリセットするためにクリックできるリンクを提供します。
[Forgot Username (ユーザ名を忘れた場合)]: 既存のユーザがユーザ名とパスワードを忘れた場合に、これらをリセットするためにクリックできるリンクを提供します。
[Activate account (アカウントの有効化)]: Identity Applicationsにアクセスするための新しいユーザアカウントを作成するためにユーザがクリックできるリンクを提供します。
このセクションでは、Identity Managerがイベント監査のためにSentinelと通信できるようにする値を定義します。
監査システムに送信される監査メッセージをOSPサーバが認証するために使用するカスタム公開鍵証明書を指定します。
Novell Auditで使用するために証明書を設定する方法の詳細については、『Novell Audit Administration Guide』の「Managing Certificates」を参照してください。
監査システムに送信される監査メッセージをOSPサーバが認証するために使用するカスタム秘密鍵ファイルへのパスを指定します。
識別情報アプリケーションを設定する際、このタブでは、識別情報アプリケーションへのシングルサインオンアクセスを管理する値を定義します。
デフォルトでは、このタブには基本オプションが表示されます。すべての設定を表示するには、詳細オプションの表示をクリックします。このタブには、次の設定グループがあります。
このセクションでは、ユーザが識別情報アプリケーションのプライマリログインの場所である、Identity Managerダッシュボードにアクセスするために使用する必要があるURLの値を定義します。
必須
ダッシュボードのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値はidmdashです。
必須
ダッシュボードのシングルサインオンクライアントのパスワードを指定します。
必須
認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。
使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/idmdash/oauth.htmlです。
このセクションでは、ユーザが[Identity Manager管理者]ページにアクセスするために必要なURLの値を定義します。
必須
Identity Manager管理者のシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値はidmadminです。
必須
[Identity Manager管理者]のシングルサインオンクライアントのパスワードを指定します。
必須
認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。
使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/idmadmin/oauth.htmlです。
このセクションでは、ユーザがユーザアプリケーションにアクセスするために必要なURLの値を定義します。
必須
ユーザアプリケーションのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値はrbpmです。
必須
ユーザアプリケーションのシングルサインオンクライアントのパスワードを指定します。
必須
ユーザアプリケーションから[ダッシュボード]にアクセスするために使用する相対URLを指定します。デフォルト値は/landingです。
必須
認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。
使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/IDMProv/oauthです。
必須
SSO認証に必要な、RBPMからeDirectory SAMLへの設定を指定します。
このセクションでは、ユーザがIdentity Reportingにアクセスするために必要なURLの値を定義します。このセクションの値は、Identity ManagerソリューションにIdentity Reportingを追加している場合にのみ表示されます。
必須
Identity Reportingのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値はrptです。
必須
Identity Reportingのシングルサインオンクライアントのパスワードを指定します。
必須
Identity Reportingから[ダッシュボード]にアクセスするために使用する相対URLを指定します。デフォルト値は/idmdash/#/landingです。
Identity Reportingと識別情報アプリケーションを異なるサーバにインストールしている場合は、絶対URLを指定します。使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/IDMRPT/oauthです。
必須
認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。
使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/IDMRPT/oauthです。
このセクションでは、ユーザがIdentity Managerデータ収集サービスにアクセスするために必要なURLの値を定義します。
必須
Identity Managerデータ収集サービスのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値はidmdcsです。
必須
Identity Managerデータ収集サービスのシングルサインオンクライアントのパスワードを指定します。
必須
認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。
使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/idmdcs/oauth.htmlです。
このセクションでは、データ収集サービスドライバを管理するための値を定義します。
図 4-1
データ収集サービスドライバのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。このパラメータのデフォルト値はdcsdrvです。
データ収集サービスドライバのシングルサインオンクライアントのパスワードを指定します。
このセクションでは、ユーザがSSPRにアクセスするために必要なURLの値を定義します。
必須
SSPRのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値はssprです。
必須
SSPRのシングルサインオンクライアントのパスワードを指定します。
必須
認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。
使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/sspr/public/oauth.htmlです。
このセクションでは、CEF監査パラメータを管理するための値を定義します。
CEFをIdentity Applicationsの監査イベントに使用するかどうかを指定します。
監査サーバのDNS名またはIPアドレスを指定します。
監査サーバのポートを指定します。
CEFイベントを受信するために監査サーバによって使用されるネットワークプロトコルを指定します。
ネットワークプロトコルとしてTCPを使用する場合にのみ適用されます。
監査サーバがTCPとTLSを併用するように設定されているかどうかを指定します。
CEFイベントが監査サーバに送信される前のキャッシュディレクトリの場所を指定します。
メモ:novlua許可が中間イベントストアディレクトリに設定されていることを確認します。設定されていない場合、IDMDashおよびIDMProvアプリケーションにアクセスできません。また、OSPイベントのどれも中間イベントストアディレクトリに記録されません。たとえば、chown novlua:novlua <directorypath>コマンドを使用して、ディレクトリの許可と所有権を変更できます。ここで、<directorypath>は中間イベントストアディレクトリです。
識別情報アプリケーションコンポーネントには、識別情報アプリケーション内のさまざまな機能を有効にする複数のREST APIが組み込まれています。RESTサービスは、OAUTH2プロトコルを使用して認証を提供します。ブラウザまたはスクリプトでcurlコマンドを使用してこれらのAPIを呼び出して、管理タスクを自動化することができます。REST APIおよび対応するドキュメントは、idmappsdoc.warファイルで入手できます。warは、Identity Applicationsがインストールされるときに自動的に展開されます。詳細については、REST APIのマニュアルを参照してください。
Identity ApplicationsがインストールされているサーバでREST APIドキュメントにアクセスするには、ブラウザのアドレスバーでhttps://<identity applications servername>:<Port>/idmappsdocを指定します。たとえば、https://192.168.0.1:8543/idmappsdocです。
Oracle System ID (SID)またはOracleサービス名を使用して、Oracleデータベースに接続することができます。Identity ApplicationsインストーラはSIDのみを受け入れます。サービス名を使用してデータベースにアクセスする場合は、SIDを介して接続して、1つのデータベースインスタンスへのIdentity Applicationsインストールを完了します。インストールが完了したら、以下のアクションを実行します。
次のコマンドを実行して、Oracleデータベースにサービス名を作成します。
alter system set service_names='SERVICE1' scope=both sid='*';
ここで、SERVICE 1はOracleサービスの名前です。
メモ:サービス名は大文字でも小文字でも指定できます。大文字と小文字は区別されません。
Tomcatのserver.xmlファイルで、ファイル内のOracleデータソースの詳細を変更して、サービス名を定義します。
url="jdbc:oracle:thin:@IP:PORT/service1"
Tomcatを再起動します。
サービス名がcatalina.outログファイルに含まれていることを確認します。
Identity Applicationsがデータベースに適切に接続されていることを確認します。
識別情報アプリケーションをインストールする際、データベースへの接続またはデータベーステーブルの作成を後回しにできます。データベースに対する許可を持たないユーザは、このオプションを選択する必要がある場合があります。インストールプログラムは、ユーザがデータベーススキーマを作成するために使用できるSQLファイルを作成します。インストール後に、再インストールを行わずに、データベーステーブルを再作成することもできます。それには、識別情報アプリケーションのデータベースを削除して、それと同じ名前で新しいデータベースを作成します。
このセクションでは、ユーザがデータベーススキーマを生成するために使用できるSQLファイルをインストールプログラムが作成していると想定しています。このSQLファイルが存在しない場合は、データベーススキーマを生成するSQLファイルの手動による作成を参照してください。
メモ:このSQLファイルをSQL*Plusで実行しないでください。このファイルの行長は4000文字を超えています。
アプリケーションサーバを停止します。
データベースサーバにログインします。
識別情報アプリケーションが使用するデータベースを削除します。
ステップ 3で削除したデータベースと同じ名前で新しいデータベースを作成します。
インストールプロセスで作成されたSQLスクリプトのある場所に移動します。デフォルトでは、/installation_path/userapp/sqlディレクトリにあります。
(状況によって実行) Oracleデータベースの場合、関数CONCAT_BLOBの定義の後にバックスラッシュ(/)を挿入します。次に例を示します。
-- Changeset icfg-data-load.xml::700::IDMRBPM CREATE OR REPLACE FUNCTION CONCAT_BLOB(A IN BLOB, B IN BLOB) RETURN BLOB AS C BLOB; BEGIN DBMS_LOB.CREATETEMPORARY(C, TRUE); DBMS_LOB.APPEND(C, A); DBMS_LOB.APPEND(C, B); RETURN c; END; /
データベース管理者に、ユーザアプリケーションデータベースを作成および設定するSQLスクリプトを実行させます。
Tomcatを再起動します。
インストール後に、SQLファイルがなくても、再インストールを行わずに、データベーステーブルを再作成できます。このセクションでは、SQLファイルを持たない場合にデータベーススキーマを作成する方法について説明します。
Tomcatを停止します。
識別情報アプリケーションデータベースをホストするサーバにログインします。
既存のデータベースを削除します。
ステップ 3で削除したデータベースと同じ名前で新しいデータベースを作成します。
テキストエディタでNetIQ-Custom-Install.logファイルを開きます。このファイルは、デフォルトでは、識別情報アプリケーションのインストールディレクトリのルートにあります。次に例を示します。
C:\NetIQ\idm\apps\UserApplication
NetIQ-Custom-Install.logファイルで次のコマンドを検索し、コピーします。
C:\NetIQ\idm\jre\bin\java -Xms256m -Xmx256m -Dwar.context.name=IDMProv -Ddriver.dn="cn=User Application Driver,cn=driverset1,o=system" - Duser.container="o=data" -jar C:\NetIQ\idm\jre\liquibase.jar -- databaseClass=liquibase.database.core.PostgresDatabase -- driver=org.postgresql.Driver -- classpath=C:\NetIQ\idm\apps\postgresql\postgresql-9.4.1212jdbc42.jar C:\NetIQ\idm\apps\UserApplication\IDMProv.war -- changeLogFile=DatabaseChangeLog.xml --url="jdbc:postgresql://localhost:5432/ idmuserappdb" --contexts="prov,newdb" --logLevel=info -- logFile=C:\NetIQ\idm\apps\UserApplication\db.out --username=******** -- password=******** update
識別情報アプリケーションで使用するデータベースをインストールしたサーバにログインします。
端末でコピーしたコマンド文字列を貼り付けます。
メモ:正しいコマンドはupdateSQLです。updateだった場合はupdateSQLに変更してください。
コマンドでデータベースユーザ名とパスワードを表すアスタリスク(*)を、認証に必要な実際の値で置き換えます。また、SQLファイルの名前が一意であることを確認します。
コマンドを実行します。
(状況によって実行)インストールプロセスでデータベースにデータを設定せずにSQLファイルを生成した場合、データベース管理者にそのファイルを渡してデータベースサーバにインポートします。詳細については、SQLファイルによるデータベーススキーマの生成を参照してください。
データベース管理者がSQLファイルをインポートした後、Tomcatを起動します。
インストールプロセスにより、Identity Managerのシングルサインオンアクセス用の認証サービス(OSP)がインストールされます。ただし、OSP認証サーバを設定して、KerberosチケットサーバまたはSAMLから認証を受け入れることもできます。インストール後に識別情報アプリケーションのシングルサインオン設定を行うには、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』の「Configuring Single Sign-on Access in Identity Manager」を参照してください。
Identity Applicationsを設定した後は、TomcatサービスとActiveMQサービスを再開してください。
systemctl restart netiq-tomcat
systemctl restart netiq-activemq
識別情報アプリケーションを設定および初めて使用する際、次の検討事項が適用されます。
インストールプロセス中、インストールプログラムによりログファイルがインストールディレクトリに書き込まれます。これらのファイルには、設定に関する情報が含まれています。現在の識別情報アプリケーション環境を設定した後で、これらのログファイルを削除するか、安全な場所に保存することを検討する必要があります。インストールプロセス中、データベーススキーマをファイルに書き込むことも選択できます。このファイルにはデータベースについての説明的な情報が含まれているので、インストールプロセスが完了した後で、安全な場所に移動する必要があります。
(状況によって実行)アイデンティティアプリケーションを監査するには、現在の環境にIdentity Reportingと監査サービスがインストールされ、イベントをキャプチャするように設定されている必要があります。また、識別情報アプリケーションを監査用に設定する必要があります。
ユーザが識別情報アプリケーションにアクセスできるようにするには、次のアクティビティを完了する必要があります。
必要なすべてのIdentity Managerドライバがインストールされていることを確認します。
すべてのブラウザでcookieを有効にします。cookieが無効な場合、アプリケーションは機能しません。
異なるサーバ上にIdentity ApplicationsおよびSSPRがインストールされている場合は、Identity ApplicationsサーバのcacertsにIdentity ApplicationsとしてCNによるSSPRトラステッド証明書をインポートする必要があります。