NetIQ Identity Managerセットアップガイド(Windows用)

NetIQ Identity Manager

セットアップガイド Windows 用

2018 年 3 月

保証と著作権

NetIQの保証と著作権、免責事項、保証、輸出およびその他の使用制限、米国政府の規制による権利、特許ポリシー、およ

びFIPSコンプライアンスの詳細については、https://www.netiq.com/company/legal/を参照してください。

Copyright (C) 2018 NetIQ Corporation. All rights reserved.

目次 3

目次

本書およびライブラリについて 13

NetIQ社について 15

ページのパート I はじめに 17

1 Identity Managerのコンポーネントの概要 19

2 Identity Manager環境の構築と維持 21

2.1 Designer for Identity Manager . . . 21

2.2 Identity Manager用のAnalyzer . . . 21

2.3 iManager . . . 22

3 Identity Manager環境でのデータ管理 23 3.1 データ同期の理解 . . . 23

3.2 監査、レポーティング、およびコンプライアンスの理解 . . . 23

3.3 識別情報データを同期するためのコンポーネントの理解 . . . 24

3.3.1 識別ボールト . . . 24

3.3.2 Identity Managerエンジン . . . 24

3.3.3 リモートローダ . . . 25

3.3.4 Identity Reporting. . . 25

4 セキュアなアクセスのためのユーザプロビジョニング 27 4.1 Identity Managerの検証プロセスの理解 . . . 27

4.2 Identity Managerのセルフサービスプロセスの理解 . . . 28

4.3 ユーザプロビジョニングを管理するためのコンポーネントの理解 . . . 29

4.3.1 ユーザアプリケーションおよびRoles Based Provisioning Module . . . 29

4.3.2 Identity Applications管理 . . . 31

4.3.3 Identity Managerダッシュボード . . . 31

4.4 Identity Managerでのセルフサービスパスワード管理の使用 . . . 32

4.4.1 デフォルトのセルフサービスプロセスの理解 . . . 33

4.4.2 レガシパスワード管理プロバイダの理解 . . . 33

4.5 Identity Managerでのシングルサインオンアクセスの使用 . . . 34

4.5.1 One SSO Providerによる認証の理解 . . . 34

4.5.2 One SSO Providerのキーストアの理解 . . . 35

4.5.3 One SSO Providerの監査イベントの理解 . . . 35

ページのパート II Identity Managerのインストールの計画 37 5 計画の概要 39 5.1 計画チェックリスト . . . 39

5.2 インストールプロセスの理解 . . . 41

5.3 推奨されるインストールシナリオとサーバセットアップ . . . 41

5.3.1 Identity Managerにおけるレポーティングなしの、監査サービスへのイベントの送信 . 42 5.3.2 Identity Managerへのイベントの送信およびレポートの生成 . . . 42

5.3.3 Identity Managerにイベントをプッシュする前に外部サービスにイベントを送信 . . . 43

5.3.4 推奨されるサーバセットアップ . . . 43

5.3.5 Identity Managerのオペレーティングシステムプラットフォームの選択 . . . 44

5.4 ライセンスおよびアクティベーションの理解 . . . 45

5.5 インストールファイルのダウンロード . . . 45

5.6 実行可能ファイルおよびデフォルトインストールパスの場所の確認 . . . 46

6 インストールに関する考慮事項 49 6.1 Identity Managerの通信の理解 . . . 49

6.2 言語サポートの理解 . . . 50

6.2.1 翻訳されているコンポーネントおよびインストールプログラム . . . 51

6.2.2 言語サポートに関する特別な考慮事項 . . . 51

6.3 Identity Managerの高可用性の確認 . . . 52

ページのパート III Identity Managerエンジンのインストール 55 7 識別ボールトのインストール 57 7.1 識別ボールトのインストールの計画 . . . 57

7.1.1 識別ボールトのインストールに関するチェックリスト . . . 57

7.1.2 識別ボールトのインストールに関する前提条件と考慮事項 . . . 58

7.1.3 eDirectoryのIdentity Managerオブジェクトの理解 . . . 60

7.1.4 識別ボールトのシステム要件 . . . 61

7.2 識別ボールトのインストールの準備 . . . 62

7.2.1 コンテナ名にピリオド(「.」)が含まれている場合のエスケープ文字の使用. . . 62

7.2.2 ツリー名を解決するためのOpenSLPまたはhosts.ndsの使用 . . . 62

7.2.3 識別ボールトのパフォーマンスの向上 . . . 67

7.2.4 識別ボールトサーバでのIPv6アドレスの使用. . . 68

7.2.5 識別ボールトと通信するためのLDAPの使用 . . . 68

7.2.6 管理ユーティリティがインストールされているワークステーションへのNICIの手動 インストール. . . 70

7.2.7 NMASクライアントソフトウェアのインストール . . . 70

7.3 識別ボールトのインストール . . . 70

7.3.1 ウィザードを使用した識別ボールトのインストール . . . 71

7.3.2 識別ボールドのサイレントインストールと設定 . . . 72

7.4 インストール後の識別ボールトの設定 . . . 80

7.4.1 アイデンティティボールトスキーマへのSecretStoreの追加 . . . 80

7.4.2 特定のロケールでの識別ボールトの設定 . . . 80

7.4.3 eDirectoryインスタンスの管理 . . . 80

8 エンジン、ドライバ、およびプラグインのインストールの計画 83 8.1 Identity Managerエンジン、ドライバ、およびプラグインのインストールチェックリスト . . . 83

8.2 インストールプログラムの理解 . . . 84

8.3 Identity Managerエンジンのインストールに関する前提条件と考慮事項 . . . 85

8.3.1 Identity Managerエンジンのインストールに関する考慮事項 . . . 85

8.3.2 ドライバとIdentity Managerエンジンのインストールに関する考慮事項 . . . 85

8.4 Identity Managerエンジンのシステム要件 . . . 86

9 エンジン、ドライバ、およびiManagerプラグインのインストール 89 9.1 ウィザードを使用したコンポーネントのインストール . . . 89

9.1.1 管理者ユーザとしてインストール . . . 89

目次 5

9.4.1 ドライバの停止 . . . 94

9.4.2 ドライバの起動 . . . 95

10リモートローダのインストールと管理 97 10.1 リモートローダのインストールの計画 . . . 97

10.1.1 リモートローダのインストールチェックリスト . . . 97

10.1.2 リモートローダの理解 . . . 99

10.1.3 Javaリモートローダの理解 . . . 100

10.1.4 インストールプログラムの理解 . . . 100

10.1.5 同じコンピュータでの32ビットリモートローダと64ビットリモートローダの使用 . 101 10.1.6 リモートローダのインストールに関する前提条件と考慮事項 . . . 101

10.1.7 リモートローダのシステム要件 . . . 103

10.2 リモートローダのインストール . . . 105

10.2.1 ウィザードを使用したリモートローダのインストール . . . 105

10.2.2 リモートローダのサイレントインストールの実行 . . . 106

10.2.3 Javaリモートローダのインストール . . . 107

10.2.4 .NETリモートローダのインストール . . . 109

10.2.5 リモートローダのサイレントインストールの実行 . . . 109

10.3 リモートローダとドライバの設定 . . . 110

10.3.1 Identity Managerエンジンへのセキュア接続の作成 . . . .111

10.3.2 リモートローダの環境設定パラメータの理解 . . . 113

10.3.3 ドライバインスタンスのリモートローダの設定 . . . 123

10.3.4 ドライバインスタンスのJavaリモートローダの設定 . . . 125

10.3.5 ドライバインスタンスの.NETリモートローダの設定 . . . 127

10.3.6 リモートローダと連携するためのIdentity Managerドライバの設定 . . . 129

10.3.7 Identity Managerエンジンとの相互認証の設定 . . . 130

10.3.8 設定の検証 . . . 139

10.4 リモートローダの起動と停止 . . . 140

10.4.1 リモートローダのドライバインスタンスの起動 . . . 141

10.4.2 リモートローダのドライバインスタンスの停止 . . . 141

11 iManagerのインストール 143 11.1 iManagerのインストールの計画 . . . 143

11.1.1 iManagerのインストールチェックリスト. . . 143

11.1.2 iManagerのサーババージョンとクライアントバージョンの理解. . . 144

11.1.3 iManagerプラグインのインストールの理解. . . 145

11.1.4 iManagerのインストールに関する前提条件と考慮事項. . . 146

11.1.5 iManagerサーバのシステム要件 . . . 147

11.1.6 iManagerワークステーション(クライアントバージョン)のシステム要件 . . . 148

11.2 iManagerサーバとワークステーションのインストール. . . 149

11.2.1 iManagerおよびiManagerワークステーションのインストール . . . 149

11.2.2 iManagerのサイレントインストール. . . 154

11.3 iManagerのインストール後のタスク . . . 156

11.3.1 iManager用の一時的な自己署名証明書の置き換え. . . 156

11.3.2 インストール後におけるiManagerのIPv6アドレス対応の設定 . . . 158

11.3.3 eDirectory用の許可されたユーザの指定 . . . 159

ページのパート IV Identity Applicationsのインストール 161 12 Identity Manager用のPostgreSQLおよびTomcatのインストール 163 12.1 PostgreSQLおよびTomcatのインストールの計画. . . 163

12.1.1 TomcatおよびPostgreSQLのインストールチェックリスト. . . 164

12.1.2 PostgreSQLおよびTomcatのインストールプロセスの理解. . . 164

12.1.3 PostgreSQLのインストールの前提条件 . . . 165

12.1.4 Tomcatのインストールの前提条件. . . 165

12.1.5 PostgreSQLのシステム要件 . . . 166

12.1.6 Tomcatのシステム要件. . . 166

12.2 PostgreSQLとTomcatのインストール . . . 166

12.2.1 ウィザードを使用したPostgreSQLとTomcatのインストール . . . 166

12.2.2 Identity Manager用のPostgreSQLおよびTomcatのサイレントインストール . . . . 169

13シングルサインオンコンポーネントのインストール 171 13.1 Identity Manager用シングルサインオンをインストールするためのプラニング . . . 171

13.1.1 シングルサインオンコンポーネントのチェックリスト . . . 171

13.1.2 One SSO Providerのインストールの前提条件 . . . 172

13.1.3 One SSO Providerのシステム要件 . . . 172

13.1.4 Apache Log4jサービスを使用したサインオンの記録 . . . 173

13.2 Identity Manager用シングルサインオンのインストール . . . 173

13.2.1 ウィザードを使用したOne SSO Providerのインストール . . . 173

13.2.2 One SSO Providerのサイレントインストール . . . 176

13.2.3 シングルサインオンアクセスの設定 . . . 177

14パスワード管理コンポーネントのインストール 179 14.1 Identity Manager用パスワード管理をインストールするためのプラニング . . . 179

14.1.1 パスワード管理コンポーネントをインストールするためのチェックリスト . . . 180

14.1.2 Self Service Password Resetのインストールの前提条件 . . . 180

14.1.3 Self Service Password Resetのシステム要件 . . . 180

14.1.4 Apache Log4jサービスを使用したパスワードイベントの記録 . . . 181

14.2 Identity Manager用パスワード管理のインストール . . . 181

14.2.1 ウィザードを使用したSelf Service Password Resetのインストール . . . 182

14.2.2 Self Service Password Resetのサイレントインストール . . . 185

14.2.3 インストール後のタスク . . . 185

14.2.4 クラスタリング用のOSPとSSPRの設定 . . . 188

15 Identity Applicationsのインストール 191 15.1 識別情報アプリケーションのインストールのプラニング . . . 191

15.1.1 識別情報アプリケーションのインストールのチェックリスト . . . 192

15.1.2 Identity Applicationsのインストールプログラムの理解 . . . 193

15.1.3 識別情報アプリケーションのインストールの前提条件と検討事項 . . . 194

15.1.4 識別情報アプリケーションのシステム要件 . . . 199

15.2 識別情報アプリケーションで使用するアイデンティティボールトの準備 . . . 201

15.2.1 ユーザアプリケーションスキーマをログアプリケーションとしてAuditサーバに追加 する . . . 201

15.2.2 識別ボールト管理者およびユーザアプリケーション管理者アカウントに権利を割り当 てる . . . 202

15.3 識別情報アプリケーションのデータベースの設定 . . . 203

15.3.1 Oracleデータベースの設定 . . . 204

15.3.2 PostgreSQLデータベースの設定 . . . 205

15.3.3 SQL Serverデータベースの設定. . . 205

15.4 識別情報アプリケーションを実行する環境の準備 . . . 206

15.4.1 パーミッションインデックスの場所の指定 . . . 206

15.4.2 クラスタリングのパーミッションインデックスの有効化 . . . 207

15.4.3 識別情報アプリケーションを実行するアプリケーションサーバの準備 . . . 207

15.4.4 識別情報アプリケーションで使用するクラスタの準備 . . . 208

15.5 識別情報アプリケーションのインストール . . . 210

15.5.1 識別情報アプリケーションのインストールのチェックリスト . . . 210

目次 7

15.5.6 識別情報アプリケーションの起動 . . . 221

15.6 識別情報アプリケーション用のドライバの作成と展開 . . . 223

15.6.1 ユーザアプリケーションドライバの作成 . . . 223

15.6.2 クラスタリング用のユーザアプリケーションドライバの環境設定 . . . 224

15.6.3 役割とリソースサービスドライバの作成 . . . 224

15.6.4 ユーザアプリケーションのドライバの展開 . . . 225

15.7 識別情報アプリケーションのインストールの完了 . . . 225

15.7.1 クラスタ環境におけるサーバのヘルスの確認 . . . 226

15.7.2 手動によるデータベーススキーマの作成 . . . 226

15.7.3 アイデンティティボールトへのIdentity ApplicationsおよびIdentityReporting証明書の 手動インポート . . . 227

15.7.4 マスタキーの記録 . . . 228

15.7.5 識別情報アプリケーションで使用する識別ボールトの設定 . . . 228

15.7.6 ユーザアプリケーションのデフォルトコンテキスト名の変更 . . . 228

15.7.7 識別情報アプリケーションのWARファイルの再設定 . . . 231

15.7.8 パスワードを忘れた場合の管理の設定 . . . 231

15.8 識別情報アプリケーションの設定の管理 . . . 237

15.8.1 識別情報アプリケーション設定ユーティリティの実行 . . . 237

15.8.2 User Application Parameters (ユーザアプリケーションのパラメータ). . . 237

15.8.3 Reporting Parameters (Reportingパラメータ). . . 248

15.8.4 認証パラメータ . . . 250

15.8.5 SSO Clients Parameters (SSOクライアントパラメータ) . . . 254

15.8.6 CEF監査パラメータ . . . 258

ページのパート V Identity Reportingのインストール 259 16 Identity Reportingのインストールの計画 261 16.1 Identity Reportingのインストールチェックリスト . . . 261

16.2 Identity Reportingコンポーネントのインストールプロセスの理解 . . . 262

16.3 Identity Reportingコンポーネントのインストールの前提条件 . . . 263

16.4 Identity Reportingの監査イベントの識別 . . . 264

16.5 Identity Reportingのシステム要件 . . . 264

17 Identity Reportingのインストール 267 17.1 ガイド付きプロセスを使用したIdentity Reportingのインストール . . . 267

17.2 Identity Reportingのサイレントインストール . . . 272

17.3 データベーススキーマの手動生成 . . . 273

17.4 リモートPostgreSQLデータベースへの接続 . . . 274

18 Identity Reportingの設定 277 18.1 Oracleデータベースでのレポートの実行 . . . 277

18.2 Identity Reporting用のREST APIの展開 . . . 277

18.3 リモートPostgreSQLデータベースへの接続 . . . 277

19 Reporting用ドライバの管理 279 19.1 Identity Reporting用のドライバの設定 . . . 279

19.1.1 Identity Reporting用のドライバパッケージのインストール . . . 279

19.1.2 管理対象システムのゲートウェイドライバの設定 . . . 280

19.1.3 データ収集サービス用ドライバの設定 . . . 281

19.1.4 識別情報アプリケーションからのデータ収集に関するIdentity Reportingの設定 . . . 284

19.2 Identity Reporting用ドライバの展開と起動 . . . 285

19.2.1 ドライバの展開 . . . 286

19.2.2 管理対象システムの動作の確認 . . . 286

19.2.3 Identity Reporting用ドライバの起動 . . . 289

19.3 ランタイム環境の設定 . . . 290

19.3.1 識別情報アプリケーションからのデータ収集に関するデータ収集サービスドライバの 設定 . . . 291

19.3.2 データ収集サービスドライバの移行 . . . 292

19.3.3 カスタム属性とカスタムオブジェクトのサポートの追加 . . . 294

19.3.4 複数のドライバセットのサポートの追加 . . . 297

19.3.5 SSLを使用したリモートモードでのドライバ実行設定 . . . 298

19.4 ドライバの監査フラグの設定 . . . 300

19.4.1 Identity Managerでの監査フラグの設定 . . . 300

19.4.2 eDirectoryでの監査フラグの設定 . . . 301

ページのパート VI Designerのインストール 305 20 Designerのインストールの計画 307 20.1 Designerのインストールチェックリスト . . . 307

20.2 Designerのインストールの前提条件 . . . 308

20.3 Designerのシステム要件 . . . 308

21 Designerのインストール 311 21.1 Windowsの実行可能ファイルの実行 . . . 311

21.2 サイレントインストールプロセスの使用 . . . 311

21.3 スペース文字が含まれるインストールパスの変更 . . . 312

ページのパート VII Analyzerのインストール 313 22 Analyzerのインストールの計画 315 22.1 Analyzerのインストールチェックリスト . . . 315

22.2 Analyzerのインストールのシステム要件 . . . 316

23 Analyzerのインストール 317 23.1 ウィザードを使用したAnalyzerのインストール . . . 317

23.2 Analyzerのサイレントインストール . . . 318

23.3 Analyzerの監査クライアントのインストール . . . 318

ページのパート VIII Identity Managerのシングルサインオンアクセスの設定 321 24シングルサインオンアクセスの準備 323 25 One SSO ProviderによるIdentity Managerでのシングルサインオンアクセス 325 25.1 シングルサインオンアクセスで使用するeDirectoryの準備 . . . 325

25.2 シングルサインオンアクセスの基本設定の変更 . . . 325

25.3 OSPを信頼するためのSelf Service Password Resetの設定 . . . 327

目次 9

26.2.1 Access ManagerのSSL証明書の作成 . . . 330

26.2.2 Access Managerの証明書のIdentity Managerトラストストアへのインストール . . 330

26.2.3 SSLサーバの証明書のAccess Managerトラストストアへのインストール . . . 331

26.3 Access Managerを信頼するためのIdentity Managerの設定 . . . 331

26.4 Identity Managerと連携するためのAccess Managerの設定 . . . 332

26.4.1 Identity Managerのメタデータのコピー . . . 332

26.4.2 SAMLの属性セットの作成 . . . 333

26.4.3 Identity Managerをトラステッドサービスプロバイダとして追加 . . . 333

26.5 Access Managerのログインページの更新 . . . 334

27 Kerberosによるシングルサインオン 337 27.1 Active DirectoryでのKerberosユーザアカウントの設定 . . . 337

27.2 識別情報アプリケーションサーバの設定 . . . 338

27.3 統合Windows認証を使用するためのエンドユーザのブラウザの設定 . . . 340

28識別情報アプリケーションへのシングルサインオンアクセスの検証 343 29 SSLによるセキュア通信 345 29.1 SSL接続を確認するためのチェックリスト . . . 345

29.2 キーストアと証明書署名要求の作成 . . . 345

29.3 外部CA署名入り証明書によるSSLの有効化 . . . 347

29.4 自己署名証明書によるSSLの有効化 . . . 348

29.4.1 認証局のエクスポート . . . 348

29.4.2 自己署名証明書の生成 . . . 350

29.5 SentinelとIdentity Managerコンポーネント間のSSLの有効化 . . . 351

29.5.1 SentinelとIdentity Managerエンジン/リモートローダ間のSSLの有効化 . . . 351

29.5.2 Sentinelとユーザアプリケーション間のSSLの有効化 . . . 353

29.6 アプリケーションサーバのSSL設定の更新 . . . 355

29.7 設定ユーティリティによるSSL設定の更新 . . . 356

29.8 セルフサービスパスワードリセットのSSL設定の更新 . . . 357

30インストール後のタスク 359 30.1 接続システムの設定 . . . 359

30.2 ドライバセットの作成と設定 . . . 359

30.2.1 ドライバセットの作成 . . . 360

30.2.2 デフォルトのパスワードポリシーのドライバセットへの割り当て . . . 360

30.2.3 アイデンティティボールトでのパスワードポリシーオブジェクトの作成 . . . 360

30.2.4 カスタムパスワードポリシーの作成 . . . 361

30.2.5 アイデンティティボールトでのデフォルト通知コレクションオブジェクトの作成 . . 361

30.3 ドライバの作成 . . . 362

30.4 ポリシーの定義 . . . 362

30.5 ドライバアクティビティの管理 . . . 363

30.6 Identity Managerのアクティベート . . . 363

30.6.1 プロダクトアクティベーションキーのインストール . . . 363

30.6.2 Identity Managerおよびドライバのプロダクトアクティベーションのレビュー . . . 364

30.6.3 Identity Managerのドライバの有効化 . . . 364

30.6.4 Identity Managerの特定のコンポーネントのアクティベーション . . . 365

ページのパート IX Identity Managerのアップグレード 367

31 Identity Managerのアップグレードの準備 369

31.1 Identity Managerのアップグレードのチェックリスト . . . 369

31.2 アップグレードとマイグレーションの理解 . . . 371

31.3 アップグレードの順序 . . . 372

31.4 サポートされているアップグレードパス . . . 372

31.4.1 Identity Manager 4.6.xバージョンからのアップグレード . . . 372

31.4.2 Identity Manager 4.5.xバージョンからのアップグレード . . . 374

31.5 現在の設定のバックアップ . . . 376

31.5.1 Designerのプロジェクトのエクスポート . . . 377

31.5.2 ドライバの環境設定のエクスポート . . . 378

32 Identity Managerコンポーネントのアップグレード 381 32.1 Designerのアップグレード . . . 381

32.2 iManagerのアップグレード . . . 382

32.2.1 WindowsでのiManagerのアップグレード . . . 382

32.2.2 役割ベースサービスの更新 . . . 384

32.2.3 Plug-in Studioでのプラグインの再インストールまたはマイグレート. . . 385

32.2.4 iManagerプラグインのアップグレードまたは再インストール後のアップデート. . . 386

32.3 リモートローダのアップグレード . . . 386

32.4 Identity Managerエンジンのアップグレード . . . 387

32.5 Identity ApplicationsおよびIdentity Reportingのアップグレード. . . 388

32.5.1 アップグレードプログラムについて . . . 389

32.5.2 アップグレードの前提条件と考慮事項 . . . 389

32.5.3 PostgreSQLデータベースのアップグレード . . . 390

32.5.4 システム要件 . . . 392

32.5.5 Identity Applicationsのドライバパッケージのアップグレード . . . 392

32.5.6 ガイド付きプロセスを使用したアップグレード . . . 393

32.5.7 アップグレード後のタスク . . . 396

32.6 Identity Reportingのアップグレード . . . 399

32.6.1 Identity Reportingのドライバパッケージのアップグレード . . . 399

32.6.2 Identity Reportingのアップグレード . . . 400

32.6.3 データベースにおけるreportRunnerへの参照の変更 . . . 400

32.6.4 Identity Reportingのアップグレードの検証 . . . 401

32.7 Analyzerのアップグレード . . . 401

32.8 Identity Managerドライバのアップグレード . . . 401

32.8.1 新しいドライバの作成 . . . 402

32.8.2 既存のコンテンツをパッケージのコンテンツと交換 . . . 402

32.8.3 現在のコンテンツを維持しつつパッケージを使用する新しいコンテンツを追加 . . . 403

32.9 新しいサーバをドライバセットに追加する . . . 403

32.9.1 新しいサーバをドライバセットに追加する . . . 404

32.9.2 ドライバセットから古いサーバを削除する . . . 404

32.10 ドライバへのカスタムポリシーとルールの復元 . . . 405

32.10.1 Designerを使用したドライバへのカスタムポリシーとルールの復元 . . . 405

32.10.2 iManagerを使用したドライバへのカスタムポリシーおよびルールの復元. . . 406

33 Advanced EditionからStandard Editionへの切り替え 407

ページのパート X Identity Managerのデータの新しいインストールへのマイグレート 409

目次 11

34.2 マイグレーション実行時のIdentity Managerドライバの停止と起動 . . . 412

35 Identity Managerの新しいサーバへのマイグレート 413 35.1 Identity Managerのマイグレーションのチェックリスト . . . 413

35.2 Designerプロジェクトのマイグレーションの準備 . . . 414

35.3 ドライバセットのサーバ固有情報のコピー . . . 415

35.3.1 Designerでサーバ固有の情報をコピーする . . . 415

35.3.2 iManagerでサーバ固有の情報を変更する. . . 416

35.3.3 ユーザアプリケーションのサーバ固有の情報を変更する . . . 416

35.4 Identity Managerエンジンの新しいサーバへのマイグレート . . . 417

35.5 ユーザアプリケーションドライバのマイグレート . . . 417

35.5.1 新しいベースパッケージのインポート . . . 417

35.5.2 既存のベースパッケージのアップグレード . . . 417

35.5.3 マイグレートしたドライバの展開 . . . 418

35.6 識別情報アプリケーションのアップグレード . . . 418

35.7 識別情報アプリケーションのマイグレーションの完了 . . . 419

35.7.1 ブラウザのキャッシュのフラッシュ . . . 419

35.7.2 レガシプロバイダまたは外部プロバイダによるパスワード管理 . . . 419

35.7.3 SharedPagePortletの最大タイムアウト設定の更新 . . . 419

35.7.4 グループの自動クエリ設定の無効化 . . . 420

36 Identity Managerのコンポーネントのアンインストール 421 36.1 識別ボールトのアンインストール . . . 421

36.2 識別ボールトからのオブジェクトの削除 . . . 422

36.3 Identity Managerエンジンのアンインストール . . . 422

36.4 リモートローダのアンインストール . . . 423

36.5 Identity Applicationsのアンインストール . . . 423

36.5.1 Roles Based Provisioning Moduleのドライバの削除 . . . 423

36.5.2 Identity Applicationsのアンインストール . . . 424

36.6 Identity Reporting のアンインストールコンポーネント . . . 424

36.6.1 レポーティングドライバの削除 . . . 425

36.6.2 Identity Reportingのアンインストール . . . 425

36.7 Analyzerのアンインストール . . . 425

36.8 iManagerのアンインストール . . . 426

36.8.1 WindowsでのiManagerのアンインストール . . . 426

36.8.2 iManagerワークステーションのアンインストール. . . 426

36.9 Designerのアンインストール . . . 427

37トラブルシューティング 429 37.1 ユーザアプリケーションとRBPMのインストールのトラブルシューティング . . . 429

37.2 アンインストールのトラブルシューティング . . . 430

37.3 ログインのトラブルシューティング . . . 431

37.4 SSPRのページ要求エラーのトラブルシューティング . . . 431

A Windows上のIdentity Managerクラスタ展開ソリューションのサンプル 433 A.1 前提条件 . . . 433

A.2 eDirectoryクラスタでのNetIQ Identity Managerの設定 . . . 433

A.3 リモートローダのクラス化 . . . 434

B マルチサーバ環境の設定 435 B.1 eDirectoryツリーとレプリカサーバの変更 . . . 435

B.2 識別ボールトへの新しいツリーの追加 . . . 435

B.3 既存のツリーへのサーバの追加 . . . 436

B.4 サーバからの識別ボールトおよびそのデータベースの削除 . . . 436

B.5 ツリーからのeDirectoryサーバオブジェクトとディレクトリサービスの削除 . . . 436

本書およびライブラリについて 13

本書およびライブラリについて

このセットアップガイドには、NetIQ Identity Manager (Identity Manager)製品のインストール手順 が記載されています。このガイドでは、分散環境に個々のアプリケーションをインストールするプ ロセスについて説明します。

本書の読者

本書は、組織の識別情報管理ソリューションの構築に必要なコンポーネントのインストールを行う 識別情報アーキテクトおよび識別情報管理者向けの情報を提供します。

ライブラリに含まれているその他の情報

Identity Managerのライブラリの詳細については、Identity ManagerマニュアルのWebサイトを参 照してください。

NetIQ社について 15

NetIQ 社について

当社はグローバルなエンタープライズソフトウェア企業であり、お客様の環境において絶えず挑戦 となる変化、複雑さ、リスクという3つの要素に焦点を当て、それらをお客様が制御するためにど のようにサポートできるかを常に検討しています。

当社の観点

変化に適応すること、複雑さとリスクを管理することは普遍の課題

実際、直面するあらゆる課題の中で、これらは、物理環境、仮想環境、およびクラウドコン ピューティング環境の安全な評価、監視、および管理を行うために必要な制御を脅かす最大の 要因かもしれません。

重要なビジネスサービスの改善と高速化を可能にする

当社は、IT組織に可能な限りの制御能力を付与することが、よりタイムリーでコスト効率の高 いサービス提供を実現する唯一の方法だと信じています。組織が継続的な変化を遂げ、組織を 管理するために必要なテクノロジが実質的に複雑さを増していくにつれ、変化と複雑さという 圧力はこれからも増え続けていくことでしょう。

当社の理念

単なるソフトウェアではなく、インテリジェントなソリューションを販売する

確かな制御手段を提供するために、まずお客様のIT組織が日々従事している現実のシナリオを 把握することに努めます。そのようにしてのみ、実証済みで測定可能な結果を成功裏に生み出 す、現実的でインテリジェントなITソリューションを開発することができます。これは単にソ フトウェアを販売するよりもはるかにやりがいのあることです。

当社の情熱はお客様の成功を推し進めること

お客様が成功するためにわたしたちには何ができるかということが、わたしたちのビジネスの 核心にあります。製品の着想から展開まで、当社は次のことを念頭に置いています。お客様は 既存資産とシームレスに連動して動作するITソリューションを必要としており、展開後も継続 的なサポートとトレーニングを必要とし、変化を遂げるときにも共に働きやすいパートナーを 必要としています。究極的に、お客様の成功こそがわたしたちの成功なのです。

当社のソリューション

 IDおよびアクセスのガバナンス

 アクセス管理

 セキュリティ管理

 システムおよびアプリケーション管理

 ワークロード管理

 サービス管理

セールスサポートへのお問い合わせ

製品、価格、および機能についてのご質問は、地域のパートナーへお問い合わせください。パート ナーに連絡できない場合は、弊社のセールスサポートチームへお問い合わせください。

テクニカルサポートへのお問い合わせ

特定の製品に関する問題については、弊社のテクニカルサポートチームへお問い合わせください。

マニュアルサポートへのお問い合わせ

弊社の目標は、お客様のニーズを満たすマニュアルの提供です。本製品のマニュアルは、NetIQ WebサイトからHTML形式およびPDF形式で入手することができます。ログインしなくてもマ ニュアルページにアクセスできます。マニュアルを改善するためのご提案がございましたら、

www.netiq.com/documentationに掲載されている本マニュアルのHTML版で、各ページの下にあ る［comment on this topic］をクリックしてください。[email protected]宛て に電子メールを送信することもできます。貴重なご意見をぜひお寄せください。

オンラインユーザコミュニティへのお問い合わせ

NetIQのオンラインコミュニティであるNetIQ Communitiesは、他のユーザやNetIQのエキスパー

トとやり取りできるコラボレーションネットワークです。より迅速な情報、有益なリソースへの役 立つリンク、NetIQエキスパートとのやり取りを提供するNetIQ Communitiesは、信頼のおける IT投資が持つ可能性を完全に実現するために必要な知識を習得するために役立ちます。詳細につい 各国共通: www.netiq.com/about_netiq/officelocations.asp

米国およびカナダ: 1-888-323-6768 電子メール: [email protected]

Webサイト: www.netiq.com

各国共通: www.netiq.com/support/contactinfo.asp

北米および南米: 1-713-418-5555 ヨーロッパ、中東、アフリカ: +353 (0) 91-782 677 電子メール: [email protected]

Webサイト: www.netiq.com/support

I

はじめに 17

I

はじめに

NetIQ Identity Managerは、ファイアウォールの内側であってもクラウド内であっても、エンター

プライズにサービスを提供するインテリジェントな識別情報管理フレームワークを構築する場合に 役立ちます。Identity Managerは、物理ネットワークや仮想ネットワークからクラウドに至るまで、

ユーザアクセスの管理を一元化し、ユーザごとに1つの識別情報が存在するようにします。

一般的に、Identity Managerを構成する各コンポーネントは次の機能に分類できます。

 Identity Manager環境の構築と維持。詳細については、21ページの第2章「Identity Manager環 境の構築と維持」を参照してください。

 Identity Manager環境の監視(ユーザプロビジョニングアクティビティの監査およびレポート機

能を含む)。これにより、ビジネスポリシー、ITポリシー、および企業ポリシーへのコンプラ

イアンスを証明できます。詳細については、23ページの第3章「Identity Manager環境での データ管理」を参照してください。

 ユーザプロビジョニングアクティビティ(役割、検証、個々のユーザのセルフサービスなど)の 管理。詳細については、27ページの第4章「セキュアなアクセスのためのユーザプロビジョ ニング」を参照してください。

このセクションでは、これらのアクティビティを実行する際に役立つIdentity Managerの各コン ポーネントの概要について説明します。この知識を身に付けることで、製品のインストール計画を 開始できます。これらのコンポーネントの相互関係の概要については、19ページの第1章

「Identity Managerのコンポーネントの概要」を参照してください。

1

Identity Managerのコンポーネントの概要 19

1

Identity Manager のコンポーネントの概要

Identity Managerは、物理ネットワークや仮想ネットワークからクラウドに至るまで、ユーザごと

に1つの識別情報が存在するようにします。以下の図は、Identity Manager機能をサポートするコ ンポーネントの主要な関係を示しています。識別情報管理ソリューションのサイズによっては、こ れらのコンポーネントの一部を同じサーバにインストールできます。ただし、識別情報アプリケー ションなどのいくつかのコンポーネントは、ユーザがワークステーションやモバイルプラット フォームからアクセスできるブラウザベースのインタフェースを備えています。

Identity Managerの「管理対象システム」は「接続システム」または「アプリケーション」とも呼

ばれていて、識別情報を管理する任意のシステム、ディレクトリ、データベース、またはオペレー ティングシステムです。たとえば、接続システムとしてPeopleSoftアプリケーションやLDAPディ レクトリを使用できます。データ収集サービスドライバなどの「ドライバ」は、管理対象システム とアイデンティティボールトとの間の接続を提供します。また、システム間でデータの同期や共有 も可能にします。Identity Managerは、ドライバおよびライブラリオブジェクトをドライバセット という名前のコンテナに保管します。

2

Identity Manager環境の構築と維持 21

2

Identity Manager 環境の構築と維持

ほとんどの組織では、独立した環境を使用してIdentity Managerを開発およびステージングしてか ら、運用環境に展開します。Identity Manager環境を構築および維持するには、次のIdentity

Managerコンポーネントを使用できます。

 21ページのセクション2.1「Designer for Identity Manager」

 21ページのセクション2.2「Identity Manager用のAnalyzer」

 22ページのセクション2.3「iManager」

これらのコンポーネントは、Identity Managerをビジネスニーズの変化に対応させて、全社的なビ ジネス継続性確保とユーザ生産性向上を実現する場合にも役立ちます。

2.1 Designer for Identity Manager

Designer for Identity Manager (Designer)は、ネットワーク環境またはテスト環境における

Identity Managerソリューションの設計、テスト、ドキュメント化、および展開を支援します。

Identity Managerプロジェクトをオフライン環境で設定してからライブシステムに展開できます。

設計上の観点から、Designerは次のことに役立ちます。

 Identity Managerソリューションを構成するすべてのコンポーネントをグラフィカルに表示し、

それらがどのように相互作用しているかを確認する。

 テストソリューションの一部または全体を運用環境に展開する前に、Identity Manager環境を 変更およびテストして、想定どおりに動作しているかを確認します。

Designerは、設計情報とレイアウト情報を維持します。ボタンをクリックするだけで、好みの

フォーマットで情報を印刷できます。さらに、エンタープライズレベルのプロジェクト作業を複数 のチームで共有することもできます。

Designerの使用の詳細については、『NetIQ Designer for Identity Manager Administration Guide』を 参照してください。

2.2 Identity Manager 用の Analyzer

Analyzer for Identity Manager (Analyzer)は、内部データ品質ポリシーへの準拠を支援するデータ 分析、クレンジング、調整、およびレポーティングの各機能を提供します。Analyzerを使用する と、企業内に保存されているすべてのデータを分析、拡張、および制御できます。Analyzerには、

次の機能があります。

 Analyzerのスキーママップにより、アプリケーションのスキーマ属性を、Analyzerの基本ス

キーマの対応するスキーマ属性に関連付けます。これにより、データ分析およびクリーニング 操作によって異種システム間の類似する値を適切に関連付けることができます。このために、

AnalyzerはDesignerのスキーママッピング機能を利用します。

 Analysis Profileエディタを使用すると、1つ以上のデータセットインスタンスを分析するための プロファイルを設定できます。各分析プロファイルには1つ以上のメトリクスが含まれてお り、これらを基準にして属性値を評価することで、データが定義済みのデータフォーマット標 準にどの程度準拠しているかを確認できます。

 Matching Profileエディタを使用して、1つ以上のデータセットの値を比較できます。指定した

データセット内に重複する値がないかどうか、または2つのデータセット間で一致する値がな いかどうかを確認できます。

Analyzerの使用の詳細については、『NetIQ Analyzer for Identity Manager Administration Guide』を 参照してください。

2.3 iManager

Novell iManagerはブラウザベースのツールで、Identity Managerなど、数多くのNovellおよび NetIQ製品を単一点で管理できます。iManager用のIdentity Managerプラグインをインストールし た後は、Identity Managerを管理できるだけでなく、Identity Managerシステムに関するリアルタイ ムのヘルスおよびステータス情報を受信できます。

iManagerではDesignerと同様のタスクを実行できるほか、システムのヘルスも監視できます。

NetIQでは、管理タスクにiManagerを使用することをお勧めします。Designerはパッケージへの

変更、モデリング、および展開前のテストを必要とする設定タスクに使用してください。

iManagerの詳細については、『NetIQ iManager管理ガイド』を参照してください。

3

Identity Manager環境でのデータ管理 23

3

Identity Manager 環境でのデータ管理

Identity Managerは、物理ネットワーク、仮想ネットワーク、およびクラウドネットワークにわ

たって一貫したアクセス制御を適用し、コンプライアンスを証明できる動的レポートを使用します。

基本的にIdentity Managerは、接続アプリケーションまたは識別ボールト内に格納されているあら

ゆる種類のデータを同期します。パスワード同期などのデータ同期機能を提供するIdentity

Managerソリューションのコンポーネントは、次のとおりです。

 識別ボールト

 Identity Managerエンジン

 Identity Managerリモートローダ

 Identity Reporting

 Identity Managerドライバ

 接続システム

3.1 データ同期の理解

Identity Managerを使用すると、SAP、PeopleSoft、Microsoft SharePoint、Lotus Notes、Microsoft Exchange、Microsoft Active Directory、NetIQ eDirectory、LDAPディレクトリなど、さまざまな接 続システムで情報を同期、変換、および配信することができます。Identity Managerでは、次のア クティビティを実行できます。

 接続システム間でデータフローを制御します。

 他のシステム間で、どのデータを共有するか、あるデータに関してどのシステムが権限のある ソースであるか、どのようにしてデータを解釈および変換して他のシステムの要件を満たすの かを決定します。

 システム間でパスワードを同期します。たとえば、ユーザがActive Directory内の自分のパス ワードを変更する場合、Identity ManagerによってパスワードをLotus NotesおよびLinuxに同 期することができます。

 Active DirectoryなどのディレクトリおよびPeopleSoftやLotus Notesなどのシステムで新しい ユーザアカウントを作成し、既存のアカウントを削除します。たとえば、SAP HRシステムに 新しい従業員を追加する場合、Identity Managerでは自動的にActive Directoryに新しいユーザ アカウントを作成したり、Lotus Notesに新しいアカウントを作成したりすることができます。

3.2 監査、レポーティング、およびコンプライアンスの 理解

Identity Managerを使用しないと、ユーザのプロビジョニングは冗長で時間と費用のかかる作業に

なる可能性があります。さらにその後に、プロビジョニングアクティビティが組織のポリシー、要 件、および規制に準拠しているかどうかの検証も必要です。適切なユーザが適切なリソースへのア クセス権を持っていますか。その同じリソースに対して権限のないユーザがアクセスできないよう

になっていますか。昨日働き始めた従業員は仕事に必要なネットワーク、電子メール、および他の システムに対するアクセス権を持っていますか。先週退職した従業員については、アクセス権を キャンセルしましたか。

Identity Managerを使用すると、過去または現在を問わずユーザのプロビジョニングアクティビ

ティが監査のためにすべて追跡され、ログが記録されることが分かっているので、作業が楽になり ます。識別情報ウェアハウスに問い合わせることで、お客様の組織に関連するビジネスの法律およ び規則を完全に遵守するのに必要なあらゆる情報を取得できます。

Identity Managerには事前定義されたレポートが含まれています。このレポートを使用すると、識

別情報ウェアハウスに対して問い合わせを実行し、ビジネス、IT、および会社の方針を遵守してい ることを明らかにできます。事前定義されたレポートがニーズを満たさない場合は、カスタムレ ポートを作成することもできます。

3.3 識別情報データを同期するためのコンポーネントの 理解

 24ページのセクション3.3.1「識別ボールト」

 24ページのセクション3.3.2「Identity Managerエンジン」

 25ページのセクション3.3.3「リモートローダ」

 25ページのセクション3.3.4「Identity Reporting」

3.3.1 識別ボールト

識別ボールトには、Identity Managerが必要とするすべての情報が格納されます。識別ボールトは、

接続システム間で同期するデータのメタディレクトリの役割を果たしています。たとえば、

PeopleSoftシステムからLotus Notesに同期されたデータが最初に識別ボールトに追加され、Lotus

Notesシステムに送信されます。識別ボールトには、ドライバ環境設定、パラメータ、ポリシーな

どのIdentity Managerに固有の情報も格納されます。

識別ボールトは、NetIQ eDirectoryデータベースを使用します。eDirectoryの使用の詳細について は、『NetIQ eDirectory 9.1管理ガイド』を参照してください。

3.3.2 Identity Manager エンジン

Identity Managerエンジンは、識別ボールトまたは接続アプリケーションで発生するすべてのデー

タ変更を処理します。識別ボールトで発生するイベントでは、エンジンによって変更が処理され、

ドライバを通じてアプリケーションにコマンドが発行されます。アプリケーションで発生するイベ ントでは、エンジンによってドライバからの変更が受信され、その変更が処理され、識別ボールト にコマンドが発行されます。ドライバは、Identity Managerエンジンをアプリケーションに接続し ます。ドライバには2つの役割があります。アプリケーション内のデータ変更(イベント)を Identity Managerエンジンにレポートすること、およびIdentity Managerエンジンによって送信さ れたデータ変更(コマンド)をアプリケーションに対して実行することです。ドライバは、接続ア プリケーションと同じサーバにインストールする必要があります。

Identity Managerエンジンは、メタディレクトリエンジンとも呼ばれています。Identity Managerエ

Identity Manager環境でのデータ管理 25

3.3.3 リモートローダ

Identity Managerリモートローダはドライバをロードし、リモートサーバにインストールされてい

るドライバの代わりにIdentity Managerエンジンと通信します。アプリケーションをIdentity

Managerエンジンと同じサーバで実行する場合、そのサーバにドライバをインストールできます。

一方、アプリケーションをIdentity Managerエンジンと同じサーバで実行しない場合は、ドライバ をアプリケーションサーバにインストールする必要があります。ご使用の環境のワークロードを軽 減したり、設定を容易にしたりする場合、リモートローダをTomcatおよびIdentity Managerサー バとは別のサーバにインストールできます。

リモートローダの詳細については、99ページのセクション10.1.2「リモートローダの理解」を参照 してください。

3.3.4 Identity Reporting

Identity Managerには識別情報ウェアハウスが含まれています。これは、お客様の組織内部の識別

ボールトと接続システムの現状と望ましい状態に関する情報のインテリジェントリポジトリです。

識別情報ウェアハウスでは、お客様のビジネスエンタイトルメントに関する360°のビューが提供 され、組織内で識別情報に対して付与された権限や許可の過去および現在の状況を確認するのに必 要な知識が得られます。

識別情報ウェアハウスに問い合わせを行うと、お客様の組織に関連するビジネスの法律および規則 を完全に遵守するのに必要なあらゆる情報を取得できます。この知識をもとに、最も高度なGRC (Governance Risk and Compliance)に関する問い合わせであっても答えることができます。

識別情報ウェアハウスのインフラストラクチャには、次のコンポーネントが必要です。

 25 ページの 「Identity Reporting for Identity Manager」

 26 ページの 「データ収集サービス」

 26 ページの「Managed System Gateway Driver」

Identity Reporting for Identity Manager

アイデンティティ情報ウェアハウスは、その情報をSentinel Log Management for IGAのSIEMデー タベースに格納します。Identity Reportingコンポーネントを使用すると、Identity Managerソ リューションを監査してそのソリューションに関するレポートを作成できます。レポートを使用す ると、ビジネスのコンプライアンス規制に従うのに役立ちます。定義済みレポートを実行して、ビ ジネスポリシー、ITポリシー、および企業ポリシーへのコンプライアンスを証明できます。事前定 義されたレポートがニーズを満たさない場合は、カスタムレポートを作成することもできます。

Identity Reportingを使用して、Identity Managerの設定のさまざまな側面に関する重要なビジネス 情報を表示するレポートを生成してください。これには、識別ボールトと接続システムから収集さ れた情報も含まれます。Identity Reportingのユーザインタフェースを使用すると、パフォーマンス を最適化するために、レポートを混雑していない時間帯に実行するようスケジュールするのが楽に なります。Identity Reportingの詳細については、『Administrator Guide to NetIQ Identity Reporting』 を参照してください。

データ収集サービス

データ収集サービスは、データ収集サービスドライバを使用して、識別ボールトに保存されている オブジェクト(アカウント、役割、リソース、グループ、チームメンバーシップなど)の変更を キャプチャします。このドライバは、自身をサービスに登録し、変更イベント(データの同期、追 加、変更、および削除イベント)をサービスにプッシュします。

このサービスには、次の3つのサブサービスが含まれます。

 レポートデータコレクタ: プルデザインモデルを使用して、1つ以上の識別ボールトデータ ソースからデータを取得します。収集は、一連の環境設定パラメータによって決定され、定期 的に実行されます。データを収集するために、コレクタがManaged System Gateway Driverを 呼び出します。

 イベント駆動型データコレクタ: プッシュデザインモデルを使用して、データ収集サービスド ライバが取得したイベントデータを収集します。

 非管理対象アプリケーションデータコレクタ: それぞれのアプリケーション専用に記述された RESTエンドポイントを呼び出すことによって、1つ以上の非管理対象アプリケーションから データを取得します。非管理対象アプリケーションとは、識別ボールトに接続されていない企 業内のアプリケーションのことです。

Managed System Gateway Driver

Managed System Gateway Driverは、識別ボールトに問い合わせて管理対象システムから次のタ イプの情報を収集します。

 すべての管理対象システムのリスト

 管理対象システムのすべてのアカウントのリスト

 エンタイトルメントの種類、値、割り当て、および管理対象システムのユーザアカウントプロ ファイル

4

セキュアなアクセスのためのユーザプロビジョニング 27

4

セキュアなアクセスのためのユーザプロビ ジョニング

Identity Managerは、物理ネットワークや仮想ネットワークからクラウドに至るまで、アクセス管

理を一元化し、ユーザごとに1つの識別情報が存在するようにします。ユーザが組織内の役割に基 づいてリソースにアクセスを要求することもよくあります。たとえば、法律事務所の弁護士は事務 所の弁護士補助員とは異なるリソースのセットにアクセスする必要がある場合があります。

Identity Managerを使用すると、組織の役割に基づいてユーザをプロビジョニングすることができ

ます。役割を定義し、組織のニーズに従って割り当てを行います。ユーザに役割を割り当てると、

Identity Managerはその役割に関連付けられているリソースへのアクセス権を持つユーザをプロビ

ジョニングします。複数の役割を持つユーザは、それらの役割すべてに関連付けられたリソースに 対するアクセス権を受け取ります。

組織で発生したイベントの結果に応じて自動的にユーザを役割に追加できます。たとえば、弁護士 の役職を持つ新しいユーザをSAP HRデータベースに追加できます。ユーザを役割に追加するため の承認が必要な場合、ワークフローを構築して、役割の要求を適切な承認者にルーティングするこ とができます。手動でユーザを役割に割り当てることもできます。

場合によっては、役割が競合するため、同じユーザに割り当ててはいけない特定の役割があります。

Identity Managerには義務の分離機能があります。この機能を使用すると、組織のユーザが競合を

例外にしない限り、競合する役割にユーザが割り当てられることがなくなります。

Identity Managerソリューションでは、ユーザプロビジョニング用の次のコンポーネントが提供さ

れています。

 Identity Managerダッシュボード

 Identity Applications管理

 ユーザアプリケーション

ダッシュボードでは、すべてのIdentity Managerユーザおよび管理者のための単一アクセスポイン トを提供します。既存のユーザアプリケーション機能のすべてにアクセスできます。Identity

Manager v4.7では、Identity Managerホームおよびプロビジョニングダッシュボードの代わりに

ダッシュボードが使用されるようになりました。

4.1 Identity Manager の検証プロセスの理解

Identity Managerを使用すると、検証プロセスを通じて役割の割り当てが適切であるかどうかを検

証することができます。不適切な役割を割り当てると、会社および組織の規制の遵守が脅かされる 可能性があります。検証プロセスで、組織内の担当ユーザが次の役割に関連付けられているデータ を認証します。

 ユーザプロファイルの検証: 選択されたユーザは自分のプロファイル情報が正しいかどうかを 検証し、間違った情報を変更します。役割の割り当てを変更するには、正しいプロファイル情 報が必要です。

 義務の分離違反検証: 担当ユーザが義務の分離違反に関するレポートをレビューし、レポート の正確さを検証します。レポートには、ユーザを競合する役割に割り当てることができる例外 のリストが示されています。

 役割の割り当ての検証: 担当ユーザがレポートリストで選択された役割、および各役割に割り 当てられたユーザ、グループ、および役割をレビューします。さらに、担当ユーザは情報の正 確さを検証する必要があります。

 ユーザの割り当ての検証: 担当ユーザはレポートリストで選択されたユーザ、およびユーザに 割り当てられた役割をレビューします。さらに、担当ユーザは情報の正確さを検証する必要が あります。

検証レポートは元来、役割の割り当てが正確であること、および競合する役割の例外を許可するの に有効な理由が存在することを保証するのに役立つように設計されています。

4.2 Identity Manager のセルフサービスプロセスの理解

Identity Managerでは、システム、アプリケーション、およびデータベースへのユーザアクセスを

認証する基盤として、識別情報が使用されています。各ユーザ固有のID、および各ユーザの役割に は、識別情報データに対する特定のアクセス権が付与されています。たとえば、マネージャのIDを 持つユーザは、直属の部下の給与情報にアクセスできますが、社内の他の従業員の給与情報にはア クセスできません。Identity Managerでは、責任を負う必要のあるユーザに管理業務を委任できま す。たとえば、各ユーザが次の目標を達成できるようにすることができます。

 会社のディレクトリ内にある各自のデータを管理できるようにすることができます。あなたが 電話番号を変更するのではなく、各自が1つの場所で電話番号を変更し、Identity Managerに よって同期されたすべてのシステムでその番号を変更することもできます。

 パスワードを変更し、忘れたパスワードのヒントを設定し、忘れたパスワードの問題と答えを 設定します。ユーザがパスワードを忘れているので、あなたがパスワードをリセットするので はなく、ヒントまたは問題に対する答えを受信した後に、ユーザが自分でパスワードをリセッ トすることができます。

 データベース、システム、ディレクトリなどのリソースに対するアクセスを要求します。あな たにアプリケーションに対するアクセスを要求するように呼びかけるのではなく、ユーザが使 用可能なリソースのリストからアプリケーションを選択することができます。

各ユーザのセルフサービスだけでなく、Identity Managerにはユーザの要求のサポート、監視、お よび承認を担当する機能についてセルフサービス管理が用意されています。たとえば、Johnが

Identity Managerのセルフサービス機能を使用して、必要なドキュメントへのアクセスを要求した

とします。JohnのマネージャとCFOがセルフサービス経由でその要求を受け取り、要求を承認で きます。承認ワークフローを確立すると、Johnは自分の要求の進行状況を開始および監視でき、

JohnのマネージャとCFOはJohnの要求に応答することができます。JohnのマネージャとCFO の承認によって、財務ドキュメントにアクセスして表示するためにJohnが必要とするActive

Directory権限のプロビジョニングがトリガされます。

Identity Managerには、プロビジョニングプロセスで適切なリソース承認者を要求するワークフ

ロー機能も備わっています。たとえば、Active Directoryアカウントですでに設定されているJohn

がActive Directoryを使用して一部の財務レポートにアクセスする必要があるとします。ここでは、

Johnの直接のマネージャとCFOの両方からの承認が必要です。幸いにも、Johnの要求をマネー ジャに転送し、マネージャからの承認後にCFOに転送する承認ワークフローがセットアップされ

セキュアなアクセスのためのユーザプロビジョニング 29 特定のイベントが発生するか(新規ユーザがHRシステムに追加される場合など)、ユーザの要求に よって手動で開始されたときにワークフローを自動的に開始することができます。承認がタイミン グよく行われるように、プロキシ承認者および承認チームをセットアップすることができます。

4.3 ユーザプロビジョニングを管理するためのコンポー ネントの理解

このセクションでは、次のコンポーネントの目的について説明します。

 29ページのセクション4.3.1「ユーザアプリケーションおよびRoles Based Provisioning Module」

 31ページのセクション4.3.2「Identity Applications管理」

 31ページのセクション4.3.3「Identity Managerダッシュボード」

4.3.1 ユーザアプリケーションおよび Roles Based Provisioning Module

Identity Managerユーザアプリケーションは、Identity Managerの情報、リソース、および機能を利 用するためのビューをユーザとビジネス管理者に提供します。ユーザアプリケーションはブラウザ ベースのWebアプリケーションで、さまざまな識別情報セルフサービスタスクと役割プロビジョ

ニングタスクを実行できます。ユーザは、パスワードと識別情報データを管理したり、プロビジョ ニング要求と役割割り当て要求を開始および監視したり、プロビジョニング要求の承認プロセスを 管理したり、検証レポートを確認したりできます。

ユーザアプリケーションでは、独立した複数のコンポーネントが連携して動作しています。

ユーザアプリケーションは、RBPM (Roles Based Provisioning Module)フレームワーク上で動作 します。このフレームワークには、要求のルーティングを適切な承認プロセスを介して制御する ワークフローエンジンが含まれています。これらのコンポーネントには、次のドライバが必要です。

ユーザアプリケーションドライバ

設定情報を格納し、識別ボールトで変更が行われた場合にユーザアプリケーションに通知しま す。識別ボールト内のイベントでワークフローをトリガできるようドライバを設定できます。

このドライバから、ワークフローのプロビジョニングアクティビティの成否をユーザアプリ ケーションに通知することもできます。これにより、ユーザは要求の最終的なステータスを参