CA IdentityMinder 環境 › CA IdentityMinder 環境の作成

CA IdentityMinder 環境の作成

CA IdentityMinder 環境では、一連のロールやタスクでディレクトリ内のオブジェクトを管理できます。 CA IdentityMinder 環境ウィザードを使用して、CA IdentityMinder 環境を作成する手順を説明します。

CA IdentityMinder 環境を作成する前に、以下の点に注意します。

• LDAP ユーザ ストアを使用しており、CA IdentityMinder ディレクトリ用のディレクトリ設定ファイル（directory.xml）内の ou=People などユーザ コンテナを設定していることを前提としています。 CA IdentityMinder 環境を作成する場合に選択するユーザﾞがそのコンテナに存在することを確認します。 ユーザ コンテナに存在しないユーザ アカウントを選択すると障害が発生する場合があります。
• ユーザがフラットなユーザ構造を持つ LDAP ユーザ ディレクトリを管理するように CA IdentityMinder 環境を設定する場合は、選択したユーザのプロファイルにはユーザの組織が含まれる必要があります。 ユーザのプロファイルが正しく設定されるようにするには、directory.xml ファイルの汎用属性 %ORG_MEMBERSHIP% に対応する物理属性にユーザの組織の名前を追加します。 たとえば、物理属性の説明が directory.xml ファイルの汎用属性 %ORG_MEMBERSHIP% にマップされ、ユーザが「従業員」組織に属する場合、ユーザのプロファイルには「属性/値ペアの説明 = 従業員」が含まれる必要があります。

次の手順に従ってください：

1. CA IdentityMinder がポリシー サーバのクラスタを使用する場合は、1 つのポリシー サーバ以外のすべてを停止します。
2. CA IdentityMinder ノードのクラスタがある場合は、1 つの CA IdentityMinder ノード以外のすべてを停止します。
3. 管理コンソールで、［環境］をクリックします。
4. ［新規作成］をクリックします。

   CA IdentityMinder 環境ウィザードが開きます。

5. 以下の情報を入力します。
   • 環境名

     環境の一意の名前を指定します

   • 説明

     環境を説明します

   • 保護されたエイリアス

     従業員などの一意の名前を指定します。 このエイリアスは、CA IdentityMinder 環境の保護タスクにアクセスするために URL に追加されます。 たとえば、エイリアスが従業員である場合、従業員環境にアクセスするための URL は http://myserver.mycompany.com/iam/im/employees です

     注： エイリアスは大文字と小文字を区別し、スペースを含めることはできません。 エイリアスを指定する場合は、句読点またはスペースのない小文字を使用することを推奨します。

   • ベース URL

     CA IdentityMinder 用の URL を指定します。 URL にはホスト名が必要です。localhost を含めることはできません。 また、エイリアスを含めないでください。例： http://myserver.mycompany.com/iam/im。

     Web エージェントを使用している場合は、Web エージェントの URL を反映するためにベース URL が変更されていることを確認します。

     注： CA IdentityMinder リソースを保護するために Web エージェントを使用している場合は、ベース URL フィールドでポート番号を指定しないでください。 ユーザが Web エージェントを使用しており、ベース URL にポート番号が含まれる場合は、CA IdentityMinder タスクへのリンクが正しく動作しません。

     CA IdentityMinder リソースの保護の詳細については、お使いのアプリケーション サーバの「インストール ガイド」を参照してください。

     ［次へ］をクリックします。

6. 作成している環境と関連付ける CA IdentityMinder ディレクトリを選択し、［次へ］をクリックします。
7. CA IdentityMinder 環境がプロビジョニングをサポートする場合は、使用する適切なプロビジョニング サーバを選択します。

   注： CA IdentityMinder ディレクトリとしてプロビジョニング ディレクトリを選択している場合は、プロビジョニング サーバを選択するよう指示するメッセージが表示されません。

8. パブリック タスクのサポートを設定します。 通常、これらのタスクは、自己登録や忘れたパスワードのタスクなどのセルフサービス タスクです。 パブリック タスクにアクセスするには、ユーザのログインは必要ありません。

   注： ユーザがセルフサービスのタスクを使用できるようにするには、パブリック タスク サポートを設定します。

   1. パブリック タスクにアクセスできるように、URL に追加される一意の名前を指定します。

      例： デフォルトの自己登録タスクにアクセスするには以下の URL を使用します。

      http://myserver.mycompany.com/iam/im/alias/index.jsp?task.tag=SelfRegistration

      この URL で、alias は提供する一意の名前です。

   2. パブリック ユーザ アカウントとして機能する以下の既存のユーザ アカウントのいずれかを指定します。 CA IdentityMinder は、このアカウントを使用して、不明なユーザがクレデンシャルを提供する必要なしに、パブリック タスクにアクセスできるようにします。
      • LDAP ユーザは、パブリック ユーザ アカウントの一意の識別子または相対 DN を入力します。 この値が %USER_ID% well-known にマップされていることを確認します。 たとえば、ユーザ DN の DN が uid=Admin1、ou=People、ou= Employees、ou=NeteAuto の場合は、「Admin1」を入力します。
      • リレーショナル データベース ユーザは、ディレクトリ設定ファイルの汎用属性 %USER_ID% にマッップされる値、またはユーザの一意の識別子を入力します。

   ユーザの完全な識別子を表示するには、［検証］をクリックします。

9. この環境に対して作成するタスクおよびロールを選択します。 以下のタスクを実行できます。
   • デフォルト ロールの作成

     環境内で最初に利用可能なデフォルトのタスクおよびロールのセットを作成します。 管理者は、ユーザ コンソールで新しいタスクおよびロールを作成するためのテンプレートとして、これらのタスクおよびロールを使用できます。

   • システム マネージャ ロールのみの作成

     システム マネージャ ロール、およびそれと関連付けられるタスクのみを作成します。

     システム マネージャ ロールは環境にアクセスするために必要です。

     システム マネージャは、ユーザ コンソールで新しいタスクおよびロールを作成できます。

   • ファイルからのロールのインポート

     別の CA IdentityMinder 環境からエクスポートしたロール定義ファイルをインポートします。

     注： CA IdentityMinder 環境を使用するには、ロール定義ファイルには、少なくともシステム マネージャ ロール、または同様のタスクを含むロールが含まれる必要があります。

     ［ファイルからのロールのインポート］オプション ボタンを選択し、ロール定義ファイルのパスとファイル名を入力するか、インポートするファイルを参照します。

10. ユーザの環境用のデフォルト タスクのセットを作成するためのロール定義ファイルを選択し、［次へ］をクリックします。

    ロール定義ファイルは、特定の機能をサポートするのに必要なタスクおよびロールのセットを定義する XML ファイルです。 たとえば、Active Directory と UNIX の NIS エンドポイントを管理する場合は、それらのロール定義ファイルを選択します。

    注： この手順はオプションです。 新しい機能をサポートするための追加のデフォルト タスクを作成しない場合は、この画面をスキップします。

11. この環境のシステム マネージャとしてユーザを以下のように定義します。
    1. ［システム マネージャ］フィールドで、ディレクトリ設定ファイル内の %USER_ID% well-known 属性にマップされる値を入力するか、または以下のユーザ アカウントのいずれかを指定します。
       • LDAP ユーザは、ユーザの一意の識別子または相対 DN を入力します。 たとえば、ユーザ DN の DN が uid=Admin1、ou=People、ou= Employees、ou=NeteAuto の場合は、「Admin1」を入力します。
       • リレーショナル データベース ユーザは、ユーザの一意の識別子を入力します。
    2. ［追加］をクリックします。

       CA IdentityMinder は、ユーザのリストにユーザの完全な識別子を追加します。

    3. ［次へ］をクリックします。

       システム マネージャを指定するときは、以下の点に注意してください。

    • システム マネージャはユーザ ストアの管理者と同じユーザであってはなりません。
    • 環境に対して複数のシステム マネージャを指定できます。 ただし、管理コンソールで最初のシステム マネージャのみ指定できます。 追加のシステム マネージャを指定するには、ユーザ コンソールで適切なユーザにシステム マネージャ ロールを割り当てます。
12. ［インバウンド管理者］フィールドで、インバウンド マッピングにマップされる管理タスクを実行できる CA IdentityMinder 管理者アカウントを指定します。

    ユーザは、任意のユーザ上でそれらのタスクをすべて実行できる必要があります。 ［プロビジョニング同期マネージャ］ロールには、デフォルトのインバウンド マッピングに含まれているプロビジョニング タスクが含まれます。

13. キーストア用のパスワード（データを暗号化し復号化するキーのデータベース）を入力します。

    このパスワードを定義することは、動的なキーを定義するための前提条件です。 System （［秘密鍵］タスク）を使用して、環境を作成した後にパスワードを変更できます。

    環境用の設定の概要について説明するページが表示されます。

14. 環境用の設定を確認します。 変更するには［前へ］をクリックし、現在の設定で CA IdentityMinder 環境を作成するには［完了］をクリックします。

    ［環境設定の出力］画面には、環境作成の進捗状況が表示されます。

15. CA IdentityMinder 環境ウィザードを終了するには、［続行］をクリックします。
16. 環境を起動します。

    環境名をクリックし、［開始］をクリックします。

17. 手順 1 でポリシー サーバを停止している場合は、再起動します。