iSeries アプリケーションの導入

オンラインで編集

Verifyからオンプレミス版 iSeries® アダプターへユーザーを移行する。

始める前に

  1. Verify で認証用の ID エージェントを構成します。 詳しくは、 「Verify ユーザーインターフェースを使用した設定」 を参照してください。
  2. Identity Brokerage On-Premises コンポーネント IBM® Verify を展開し、設定します。

手順

  1. IBM Verifyで管理者としてログインしてください。
  2. 「アプリケーション 」>「 アプリケーション」 を選択し、 「アプリケーションを追加」 をクリックします。
  3. メニューから、アップロードしたアプリケーションプロファイルに設定された名前として「アプリケーションタイプ」を検索し、 「アプリケーションを追加」 をクリックします。
    たとえば、 iSeries というプロファイルが iSeries, という名前でアップロードされた場合、アプリケーションは iSeries(custom でアクセスできます。
  4. [ アプリケーションの追加 ] ページで、[ 全般 ] タブを選択し、必要な詳細情報を入力してください。
  5. [アカウントのライフサイクル] タブを選択します。
  6. プロビジョニング・ポリシーとプロビジョニング解除ポリシーを指定します。
    パラメーター 説明
    アカウントのプロビジョン

    IBM Verify引当金勘定はデフォルトで無効化されています。つまり、勘定科目の作成は.の外で行われます。

    資格がユーザーに割り当てられたときにアカウントを自動的にプロビジョンするには、有効オプションを選択します。 IBM Verifyで作成されたアカウントでは、パスワード生成機能およびメール通知機能をご利用いただけます。
    アカウントのプロビジョン解除

    IBM Verifyアカウントの削除は無効がデフォルト設定となっています。つまり、アカウントの削除は.の外で行われます。

    ユーザーから利用権限が削除された際に、アカウントを自動的に無効化するには、「 有効 」オプションを選択してください。
    アカウントのパスワード
    ユーザーのクラウド・ディレクトリー・パスワードの同期
    このオプションは、クラウド・ディレクトリーでパスワード同期が有効になっている場合に使用できます。 これは、通常のユーザーがアプリケーションにプロビジョンされたときに、クラウド・ディレクトリー・パスワードを使用します。 連携ユーザーは、アプリケーションへのプロビジョン時に、生成されたパスワードを受け取ります。
    パスワードの生成
    このオプションは、プロビジョンされたアカウント用のランダム・パスワードを生成します。 パスワードは、クラウド・ディレクトリーのパスワード・ポリシーに基づきます。
    なし
    このオプションは、パスワードなしでアカウントをプロビジョンします。
    E メール通知の送信 このオプションは、「パスワードの生成」 オプションを選択した場合に使用可能になります。 「 メール通知を送信 」オプションを選択すると、アカウントのプロビジョニングが正常に完了した後、自動生成されたパスワードが記載されたメール通知がお客様のメールアドレスに送信されます。
    猶予期間 (日) アカウントの権限を解除した後、完全に削除されるまでの間、そのアカウントを一時停止状態として保持する猶予期間(日数)を設定します。
    プロビジョン解除アクション アカウントを削除します。 このフィールドは、「アカウントのプロビジョニング解除」フィールドが有効になっている場合にのみ利用可能です。
  7. [全般] セクションで、ドロップダウンメニューから [アプリケーションプロファイル] を選択します。 プロファイルが存在しない場合は、作成する必要があります。 詳細については、 「IDアダプターのアプリケーションプロファイルの管理 」を参照してください。
  8. API 認証の詳細を指定します。
    パラメーター 説明
    Tivoli® Directory Integrator のロケーション IBM VerifyURL Directory Integrator インスタンスに対して。 たとえば、rmi://<IPアドレス>:<ポート番号>/ITDIDispatcher のように指定します。ここで、IPアドレスはDirectory Integratorのホスト名 IBM Verify 、ポート番号はRMIディスパッチャーのポート番号です。
    URL IBM i システム上のディレクトリサーバーの場所とポート番号を指定してください。 有効な構文は次のとおりです: ldap:// <ip-address>:<port>。ここで、 ip-address は IBM i サーバーのホスト名、 port は IBM i LDAP のポート番号です。 たとえば、 URL を ldap://irvas02.eng.irvine.ibm.com:389 と指定することができます。

    SSL が有効になっている場合、構文は次のようになります: ldaps://ip-address:SSLPort。 たとえば、 URL を ldaps://irvas02.eng.irvine.ibm.com:636 と指定することができます
    管理者名 iSeries のユーザーIDを指定してください。
    *SECADM注: ユーザープロファイルには、 *ALLOBJ 特別な権限が必要です
    ユーザー・コンテナー・ベース DN ユーザー・プロファイルが格納されるコンテナーまたは基本ポイントの識別名 (DN) を指定します。 アダプターは、新規ユーザーをこの DN に作成します。 また検索操作は、ユーザー・アカウントのエントリーをこの DN に戻します。 たとえば、DN を cn=accounts,os400-sys=irvas02. eng.irvine.ibm.com と指定することができます。
    削除する OWNOBJOPT パラメーターの値 削除するユーザー・プロファイルの所有オブジェクトに対して実行する操作のタイプを指定します。 このフィールドはテキスト・フィールドで、有効な値は以下のいずれかです。 *NODLT

    ユーザーが、ユーザー・プロファイルに関連付けられているメッセージ・キュー以外のオブジェクトを所有する場合は、そのユーザー・プロファイルの所有オブジェクトは変更されません。 ユーザー・プロファイルは削除されません。 ユーザーが、プロファイルに関連付けられているメッセージ・キューのみを所有する場合は、そのメッセージ・キューとプロファイルが削除されます。 *DLT

    ユーザー・プロファイル所有のオブジェクトが削除されます。 OfficeVision*オブジェクトの削除が正常に完了した場合、ユーザーの登録情報はから削除されます。 *CHGOWN username

    ユーザープロファイルが所有するオブジェクトの所有権が、username で指定されたユーザープロファイルに移管されました。 すべての所有オブジェクトの転送が成功すると、ユーザー・プロファイルが削除されます。
    パスワード 管理者のパスワードを指定します。
    ID エージェント アプリケーションプロファイルの検出に使用する「プロビジョニング」タイプのIdentity Agentを、ドロップダウンから選択してください。
    説明 オプション・フィールド。 必要に応じて説明を追加します。
    SSL を使用した LDAP との通信 このチェックボックスは、 Security Directory Integrator と IBM i ディレクトリサーバーの間で SSL 認証を使用するかどうかを指定するために使用されます
  9. 「接続テスト」 をクリックして、オンプレミスの iSeries への接続をテストします。 iSeries アプリケーションでアカウントのプロビジョニングまたは照合を行うには、接続が正常に確立されている必要があります。
  10. 必要に応じて、対象の iSeries 属性をVerify属性にマッピングしてください。 ターゲットで更新が必要な属性について、 「最新の状態に保つ」 チェックボックスを選択してください。

  11. [アカウントの同期] タブを選択します。
  12. 採用ポリシー 」セクションで、アカウント同期プロセスにおいて iSeries アカウントをVerify上のそれぞれのアカウント所有者に割り当てるために一致させる必要がある属性ペアを1つ以上追加してください。
  13. 是正ポリシー 」セクションで、ポリシーを選択して、ポリシーに準拠していないアカウントを自動的に是正します。
  14. 「保存」 をクリックします。
  15. アプリケーションを保存した後、 「Entitlements 」タブで認証ポリシーを指定してください。