Oracle Identity ManagerとSun Java System Directory Serverの統合:ユーザー・パスワードの変更
目的
このOracle by Example(OBE)チュートリアルでは、Oracle Identity Managerを使用して以下を実行する方法について説明します。
- ユーザーをプロビジョニングするリソースのパスワード・ポリシーの作成。 このポリシーは、ユーザーのリソース関連パスワードの変更時に適用されます。
- リソースへのポリシーの割当て
- リソースのユーザー・パスワードの変更時に使用されるプロセス・タスクのステータスの作成。 このステータスは、タスクが正しく完了したことを管理者に示すものです。
- ユーザーのリソース関連パスワードの社内での変更
これらのアクションの実行後、変更したパスワードがパスワード・ポリシーの条件を満たしているかどうかがOracle Identity Managerによって確認されます。 条件を満たしていれば、リソース内で既存のパスワードが変更したパスワードに置き換えられます。
このチュートリアルでは、管理者はLinda、ユーザーはRobert、リソースはSun Java System Directory Serverとなります。
約2時間
このOBEチュートリアルでは、以下のトピックについて説明します。
 |
概要 | |
|
シナリオ | |
|
前提条件 | |
|
パスワード・ポリシーの作成 | |
|
リソースへのポリシーの割当て | |
|
プロセス・タスクのステータスの作成 | |
|
ユーザー・パスワードの変更 | |
|
リソースへのアクセス | |
|
まとめ | |
|
関連情報 | |
スクリーンショットの表示
このアイコンの上にカーソルを置くと、すべてのスクリーンショットがロードし、表示されます。 (警告:すべてのスクリーンショットが同時にロードされるため、ご使用のインターネット接続によってはレスポンス・タイムが遅くなる場合があります。)
注:各手順に関連したスクリーンショットのみを表示する場合は、それぞれの手順にある各アイコンの上にカーソルを置いてください。
スクリーンショットは、ご使用の環境を反映したものではありません。 Oracle Identity Managerの特定の機能がどこにあるのかをわかりやすくするために提供されています。
Oracle Identity Managerは、Oracle Identity and Access Management Suiteのコンポーネントです。 Oracle Identity Managerは、ID管理ライフ・サイクルを通じて企業のリソース全体にわたるユーザーのアクセス権管理タスクを管理し、選択的に自動化します。 具体的には、ユーザーのアクセス権の作成や、ユーザー要件やビジネス要件の変更に伴うアクセス権の大幅な変更、ユーザーのアクセス権の削除をおこなうタスクを処理します。 このようにして、Oracle Identity Managerは、複数のIDストアにわたってユーザーのID情報を処理することで、データの正確性を維持します。
Oracle Identity Managerの機能と利点には、IDとロールの管理(ユーザーとグループ管理、ユーザーのセルフサービス機能、委任管理)、プロビジョニング(承認と要求の管理、構成可能なワークフロー・モデル)、ポリシーに基づく権限、リコンシリエーション、監査とコンプライアンスの認証サポートが含まれます。
Lindaは、Mydo Main Corporationのネットワーク管理者です。 彼女はこの会社で、社内ユーザーのIDおよびアクセス管理タスクを担当しています。 彼女の担当するタスクの1つは、社内リソースのユーザーのパスワード・ポリシーを作成および実施することです。 このポリシーは、ユーザーがOracle Identity Managerでリソース関連パスワードの作成や変更をおこなうと適用されます。 この場合、新規パスワードや更新されたパスワードがパスワード・ポリシーの条件を満たしているかどうかがOracle Identity Managerによって確認されます。 条件を満たしていれば、リソース関連パスワードの作成や、リソース内の既存のパスワードから変更したパスワードへの置換が実行されます。
Robertは、Mydo Main Corporationの従業員です。 セキュリティ保護のため、LindaはRobertのリソース関連アカウント(ここではSun Java System Directory Server)のパスワードを定期的に更新する必要があります。
このアクションを完了するには、まずはRobertをリソースにプロビジョニングする際に使用したコネクタに関連する電子フォームを開きます。 次に、フォームのPasswordフィールドにRobertの変更したパスワードを入力して、この情報をデータベースに保存します。 Oracle Identity Managerにより、変更したパスワードがパスワード・ポリシーの条件を満たしているかどうかが確認されます。 条件を満たしていれば、リソース内で既存のパスワードが変更したパスワードに置き換えられます。
このチュートリアルを始める前に次のことを確認してください。
| 1. |
OBEの『Oracle Identity Managerのインストール、構成、および起動』を完了していること。 |
| 2. |
OBEの『管理コンソールのカスタマイズ準備』を完了していること。 |
| 3. |
OBEの『管理コンソールのブランディング』を完了していること。 |
| 4. |
OBEの『Oracle Identity Manager 管理コンソールの機能の変更』を完了していること。 |
| 5. |
OBEの『Oracle Identity Manager デザイン・コンソールのブランディング』を完了していること。 |
| 6. |
OBEの『Generic Technology Connector(GTC)フレームワークの使用:フラット・ファイル・リコンシリエーションの実行』を完了していること。 |
| 7. |
OBEの『Oracle Identity ManagerとSun Java System Directory Serverの統合:ユーザー管理とプロビジョニングの実行』を完了していること。 |
| 8. |
OBEの『Generic Technology Connector(GTC)フレームワークの使用:データベース表へのユーザーのプロビジョニング』を完了していること。 |
まずは、Oracle Identity Managerを使用して、ユーザーをプロビジョニングしたリソースのパスワード・ポリシーを作成します。 このポリシーは、Oracle Identity Managerでユーザーのリソース関連パスワードが変更されると適用されます。 この場合、Oracle Identity Managerにより、変更したパスワードがパスワード・ポリシーの条件を満たしているかどうかが確認されます。 条件を満たしていれば、リソース内で既存のパスワードが変更したパスワードに置き換えられます。
パスワード・ポリシーを作成するには、以下の手順を実行します。
| 1. |
Oracle Identity Manager Server、管理コンソール、およびデザイン・コンソールを再起動します。 注:Oracle Identity Managerの起動と停止の詳細については、OBEの『Oracle Identity Managerのインストール、構成、および起動』を参照してください。
| ||||||||||
2. |
Oracle Identity Manager デザイン・コンソールのログイン・ページのフィールドに以下の値を入力して、「Login」をクリックします。
Oracle Identity Manager デザイン・コンソールが表示されます。
|
||||||||||
3. |
Password Policiesフォームを開きます(Oracle Identity Manager ExplorerのAdministrationフォルダにあります)。
|
||||||||||
4. |
次の表に従って、パスワード・ポリシーの最重要情報を作成します。
Password Policiesフォームの上部が次のように表示されます。
|
||||||||||
5. |
次の表に従って、パスワード・ポリシーの条件を作成します。
注:パスワード・ポリシーにこの条件を設定しておけば、パスワードが1~8文字かつ数字が1つ以上含まれている場合を除いて、Oracle Identity ManagerでSun Java System Directory Serverのパスワードを変更することはできません。 たとえば、oracle1はパスワードとして有効ですが、RobertのユーザーIDであるRLAVALLIは有効ではありません(数字が含まれていないためです)。 Password Policiesフォームのフィールド、ボタン、オプション、チェック・ボックス、およびタブの詳細については、『Oracle Identity Manager デザイン・コンソール Guide』を参照してください。
|
||||||||||
6. |
「Save」をクリックします。
これで、Sun Java System Directory Serverのパスワード・ポリシーが作成されました。 次に、OBEの『Oracle Identity ManagerとSun Java System Directory Serverの統合:ユーザー管理とプロビジョニングの実行』でRobertをリソースにプロビジョニングする際に使用したコネクタに、このポリシーを割り当てます。 これにより、Oracle Identity ManagerでRobertのリソース関連パスワードが変更されると、変更したパスワードがパスワード・ポリシーの条件を満たしているかどうかが確認されます。 条件を満たしていれば、リソース内で既存のパスワードが変更したパスワードに置き換えられます。
|
||||||||||
前項では、Sun Java System Directory Serverのパスワード・ポリシーを作成しました。 次に、Robertをリソースにプロビジョニングする際に使用したコネクタのコンポーネントに、このポリシーを割り当てます。 このコンポーネントはリソース・オブジェクトといい、リソースの仮想表現です。これにはユーザーをリソースにプロビジョニングする際に必要なものすべてが含まれています。 このコンポーネントは、リソースに関連する全エンティティの中心となるレコードです。
注:OBEの『Oracle Identity ManagerとSun Java System Directory Serverの統合:ユーザー管理とプロビジョニングの実行』で、RobertがSun Java System Directory Serverにプロビジョニングされています。
リソースにパスワード・ポリシーを割り当てるには、以下の手順を実行します。
1. |
Resource Objectsフォームを開きます(Oracle Identity Manager ExplorerのResource Managementフォルダにあります)。
|
||||||||
2. |
NameフィールドにiPlanet Userと入力します。 「Query」をクリックします。
注: iPlanet Userは、RobertをSun Java System Directory Serverにプロビジョニングする際に使用したコネクタのリソース・オブジェクトです。 このコンポーネントはリソースの仮想表現であるため、リソース・オブジェクトにパスワード・ポリシーを割り当てれば、ポリシーとリソースを関連づけることになります。
|
||||||||
|
3. |
「Password Policies Rule」タブをクリックします。
注:このタブをクリックするのは、iPlanet Userリソース・オブジェクトにパスワード・ポリシーを割り当てるためです。
| ||||||||
4. |
次の表に従って、iPlanet Userリソース・オブジェクトにパスワード・ポリシーを割り当てます(「Add」をクリックしてポリシーを割り当てます)。
注:パスワード・ポリシーにDefaultルールを割り当てると、Sun Java System Directory Serverのユーザー・パスワードの作成時と変更時にポリシーが確認されます。 OBEの『Oracle Identity ManagerとSun Java System Directory Serverの統合:ユーザー管理とプロビジョニングの実行』でリソースのコネクタをインポートした際にこのルールもインポートされています。 Sun Password Policyは、パスワード・ポリシーの作成の項で定義したパスワード・ポリシーの名前です。 Priorityの1は、ルールとポリシーの関連を示すID番号です。
|
||||||||
5. |
「Save」をクリックします。
これで、Sun Java System Directory Serverのパスワード・ポリシーが、Robertをこのリソースにプロビジョニングする際に使用したコネクタのコンポーネントに割り当てられました。 このコンポーネントは、コネクタのリソース・オブジェクトです。 次に、コネクタのプロセス・タスクという別のコンポーネントのステータスを作成します。 プロセス・タスクは、リソースのユーザー・パスワードを変更する場合に使用されます。 このステータスは、タスクが正しく完了したことを管理者に示すものです。
|
前項では、RobertをSun Java System Directory Serverにプロビジョニングする際に使用したコネクタに、パスワード・ポリシーを割り当てました。 これにより、Oracle Identity ManagerでRobertのリソース関連パスワードが変更されると、変更したパスワードがパスワード・ポリシーの条件を満たしているかどうかが確認されます。 条件を満たしていれば、リソース内で既存のパスワードが変更したパスワードに置き換えられます。
次は、リソースのユーザー・パスワードを変更する際に使用するプロセス・タスクのステータスを作成します。 このステータスは、タスクが正しく完了したことを管理者に示すものです。
現在は、このプロセス・タスクのステータスは存在しません。 そのため、作成する必要があります。 作成後、ステータスをプロセス・タスクに割り当てることができます。
プロセス・タスクのステータスを作成するには、以下の手順を実行します。
| 1. |
Resource Objectsフォームの「Status Definition」タブをクリックします。
注:このタブをクリックするのは、プロセス・タスクのステータスを作成するためです。
| ||||||||
2. |
次の表に従って、プロセス・タスクのステータスを作成します(「Add」をクリックしてステータスを作成します)。
注:Launch Dependentチェック・ボックスが消去されているのは、PasswordUpdatedステータスとほかのプロセス・タスクのステータスの間に依存関係がないためです。
|
||||||||
3. |
「Save」をクリックします。
これで、PasswordUpdatedステータスが作成されました。 次に、このステータスを、Sun Java System Directory Serverのユーザー・パスワードを変更する際に使用するプロセス・タスクに割り当てます。 このステータスは、タスクが正しく完了したことを管理者に示すものです。
|
||||||||
4. |
Process Definitionフォームを開きます(Oracle Identity Manager ExplorerのProcess Managementフォルダにあります)。
|
||||||||
5. |
NameフィールドにiPlanet Userと入力します。 「Query」をクリックします。
注: iPlanet Userは、RobertをSun Java System Directory Serverにプロビジョニングする際に使用したコネクタのプロセスです。 このプロセスには、Oracle Identity Managerがこのリソースを使用して実行するアクションを示すタスクが含まれています。 そのアクションの1つは、リソース内のRobertのパスワードを変更することです。 このアクションを示すプロセス・タスクは、Password Updatedです。 次に、これまでの手順で作成したPasswordUpdatedステータスを、Password Updatedプロセス・タスクに割り当てます。 これにより、実行時にこのタスクが完了したことを確認できるようになります(このステータスは、タスクが正しく実行されたことを示します)。
|
||||||||
6. |
Password Updatedプロセス・タスクの行ヘッダーをダブルクリックします。
注:Closing Formウィンドウが表示される場合、「Yes」をクリックしてください。
|
||||||||
7. |
Editing Taskウィンドウの「Task to Object Status Mapping」タブをクリックします。
注:このタブをクリックするのは、iPlanet Userリソース・オブジェクトのPasswordUpdatedステータスと、iPlanet Userプロセス・タスクのPassword Updatedをリンクするためです。 これにより、プロセス・タスクにステータスが割り当てられます。
|
||||||||
8. |
「Completed」項目をハイライトします。 この項目の右側にある「Object Status」参照フィールドをダブルクリックします。 表示されるLookupウィンドウで、「PasswordUpdated」ステータスを選択します。 「OK」をクリックします。
|
||||||||
9. |
Editing Taskウィンドウを保存して閉じます。
注:Closing Formウィンドウが表示される場合、「Yes」をクリックしてください。 これで、PasswordUpdatedステータスがPassword Updatedプロセス・タスクに割り当てられました。 このタスクが完了すると(ここではOracle Identity ManagerによりSun Java System Directory ServerのRobertのパスワードが変更されると)、コネクタのステータスがProvisionedからPasswordUpdatedに変更されます。 これにより、このタスクが正しく実行されたことを確認できます。 次に、Oracle Identity Managerを使用して、Sun Java System Directory ServerのRobertのパスワードを変更します。 この場合、Oracle Identity Managerにより、変更したパスワードがパスワード・ポリシーの条件を満たしているかどうかが確認されます。 条件を満たしていれば、リソース内で既存のパスワードが変更したパスワードに置き換えられます。
|
||||||||
前項では、PasswordUpdatedステータスをPassword Updatedプロセス・タスクに割り当てました。 このタスクが完了すると(ここではOracle Identity Managerにより、変更したパスワードがパスワード・ポリシーの条件を満たしていることが確認され、Sun Java System Directory ServerのRobertのパスワードが変更されると)、コネクタのステータスがProvisionedからPasswordUpdatedに変更されます。 これにより、このタスクが正しく実行されたことを確認できます。
ユーザーのパスワードを変更するには、以下の手順に従います。
1. |
Oracle Identity Manager 管理コンソールのログイン・ページのフィールドに以下の値を入力して、「Login」をクリックします。
|
||||||
2. |
Manage Userフォームを開きます(Oracle Identity Manager ExplorerのUsersフォルダにあります)。
|
||||||
3. |
RLAVALLIの問合せを実行します。このユーザーは、OBEの『Generic Technology Connector(GTC)フレームワークの使用:フラット・ファイル・リコンシリエーションの実行』でOracle Identity Managerに移したユーザーです。 問合せを実行するには、このフォームのコンボ・ボックスで、「User ID」を選択します。 コンボ・ボックスの右側のテキスト・ボックスにRLAVALLIと入力します。 「Search User」をクリックします。
|
||||||
| 4. | 結果セットで、RLAVALLIのIDが含まれるリンクをクリックします。
|
||||||
| 5. | User Detailフォームのコンボ・ボックスで、「Resource Profile」を選択します。
|
||||||
6. |
iPlanet UserコネクタのProvisionedステータスの右側に表示される「Edit」リンクをクリックします。
注:iPlanet Userコネクタは、Sun Java System Directory Serverリソースを表します。
|
||||||
7. |
プロセス・フォームのPasswordフィールドで、RLAVALLIのSun Java System Directory Serverのパスワードをrlavalliからrobert1に変更します。 「Save」をクリックします。
注:入力したパスワードは、セキュリティ保護のため暗号化されます。 このパスワードは、このリソースで定義されているパスワード・ポリシーの条件を満たしています。 具体的には、このパスワードは7文字かつ1つの数字が含まれています。 Resource Profileフォームが表示されます。
iPlanet UserコネクタのステータスPasswordUpdatedがResource ProfileフォームのStatus列に表示されます。 これで、Oracle Identity ManagerによりRobertのSun Java System Directory Serverのパスワードが変更されました。 次に、このログイン資格証明(ここでは既存のユーザーIDと変更したパスワード)を使用してこのリソースにアクセスできることを確認します。 ここでは、Sun ONE Server Consoleを使用して確認します。
|
||||||
これまでの項では、Oracle Identity Managerを使用してユーザーのリソース関連パスワードを変更しました。 具体的には、RobertのSun Java System Directory Serverのパスワードを変更しました。
次に、Robertのログイン資格証明(ここでは既存のユーザーIDと変更したパスワード)を使用してこのリソースにアクセスできることを確認する必要があります。 ここでは、Sun ONE Server Consoleを使用して確認します。
リソースにアクセスするには、以下の手順を実行します。
| 1. |
Sun ONE Server Consoleを閉じます。 重要:OBEの『Oracle Identity ManagerとSun Java System Directory Serverの統合:ユーザー管理とプロビジョニングの実行』で、このコンソールを開いています。
| ||||||||
2. |
Windows Explorerで、「startconsole.exe」ファイルをダブルクリックします(C:\Program Files\Sun\MPSディレクトリにあります)。 このディレクトリは、Sun Java System Directory Serverのインストール時に作成されています。
|
||||||||
3. |
Sun ONE Server Console Loginウィンドウに以下の値を入力して、「OK」をクリックします。
注:rlavalliは、RobertのSun Java System Directory Serverのパスワードです。 このパスワードは、セキュリティ保護のため暗号化されています。 次のエラー・メッセージが表示されます。
重要:このメッセージは、以前のパスワードではSun Java System Directory Serverにログインできないことを示します。
|
||||||||
4. |
「OK」をクリックします。 Sun ONE Server Console Loginウィンドウに以下の値を入力して、「OK」をクリックします。
注:robert1は、RobertのSun Java System Directory Serverの変更済みのパスワードです。 このパスワードもまた、セキュリティ保護のため暗号化されています。 Sun ONE Server Consoleが表示されます。
これで、Robertの変更済みの資格証明(ここでは既存のIDと更新パスワード)を使用して、Sun Java System Directory Serverにアクセスできます。 Oracle Identity Managerにより、このリソースのユーザー・パスワードが変更されました。
|
まとめ
このレッスンで学習した内容は次のとおりです。
|
パスワード・ポリシーの作成 | |
|
リソースへのポリシーの割当て | |
|
プロセス・タスクのステータスの作成 | |
|
ユーザー・パスワードの変更 | |
|
リソースへのアクセス | |
|
このOBEチュートリアルについての質問は、OBE Discussion Forumに投稿してください。 |
このアイコンの上にカーソルを置くと、すべてのスクリーンショットが非表示になります。