Comments
Description
Transcript
リファレンス・ガイド
IBM Security Role and Policy Modeler バージョン 1 リリース 1 リファレンス・ガイド SA88-4799-01 (英文原典:SC27-2798-01) IBM Security Role and Policy Modeler バージョン 1 リリース 1 リファレンス・ガイド SA88-4799-01 (英文原典:SC27-2798-01) 本書は、IBM Security Role and Policy Modeler バージョン 1.1.0.2、および新しい版で明記されていない限り、以降 のすべてのリリースおよびモディフィケーションに適用されます。 お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示さ れたりする場合があります。 原典: SC27-2798-01 IBM Security Role and Policy Modeler Version 1 Release 1 Reference Guide 発行: 日本アイ・ビー・エム株式会社 担当: トランスレーション・サービス・センター 第1刷 2012.10 © Copyright IBM Corporation 2011, 2012. 目次 表 . . . . . . . . . . . . . . . . . v 本書について . . . . . . . . . . . . vii 資料および用語集へのアクセス . . . . IBM Security Role and Policy Modeler リー . . . . . . . . . . . . オンライン資料 . . . . . . . . IBM Terminology Web サイト . . . アクセシビリティー . . . . . . . 技術研修 . . . . . . . . . . . サポート情報 . . . . . . . . . . . . ライブラ . . . . . . . . . . . . . . . . . . . vii . vii . vii . viii . viii . viii . viii 第 1 章 状態管理 . . . . . . . . . . . 1 セッションの状態に関するルール . プロジェクトの状態に関するルール. ファイルの状態に関するルール . . . . . . . . . . . . . . . . . . 1 . 3 . 4 第 2 章 抽出ツールおよびロード・ツール 5 ツールを使用するためのプロセス . . . . . . . 5 CSV ファイルの接頭部の更新 . . . . . . . 6 ツール実行のためのソフトウェア要件 . . . . . . 6 ツールのインストールおよび構成 . . . . . . . 7 Windows オペレーティング・システムでの抽出ツ ールのインストールおよび構成 . . . . . . . 8 AIX または Linux オペレーティング・システムで の抽出ツールのインストールおよび構成 . . . . 9 抽出ツールのアンインストール . . . . . . . 11 Windows オペレーティング・システムでのロー ド・ツールのインストールおよび構成 . . . . 11 AIX または Linux オペレーティング・システム でのロード・ツールのインストールおよび構成 . 12 ロード・ツール用のリモート IBM Security Identity Manager サーバーの構成 . . . . . . 13 ロード・ツール用の Config.properties 入力ファイ ルの更新 . . . . . . . . . . . . . . 15 © Copyright IBM Corp. 2011, 2012 ロード・ツールのアンインストール . . . . . ログ・ファイル・パラメーターの設定 . . . . 抽出ツールの概要 . . . . . . . . . . . . 抽出構成 XML ファイルの更新. . . . . . . IBM Security Role and Policy Modeler スキーマ要 素 . . . . . . . . . . . . . . . . 抽出ツールの動作の定義 . . . . . . . . . Windows オペレーティング・システムでの抽出ツ ールの実行 . . . . . . . . . . . . . AIX または Linux オペレーティング・システム での抽出ツールの実行 . . . . . . . . . . 抽出ツールのシナリオ . . . . . . . . . . ロード・ツールの概要 . . . . . . . . . . . ロード構成 XML ファイルの更新 . . . . . . ロード・ツールの動作の定義 . . . . . . . Windows オペレーティング・システムでのロー ド・ツールの実行 . . . . . . . . . . . AIX または Linux オペレーティング・システム でのロード・ツールの実行 . . . . . . . . ロード・ツール統計 . . . . . . . . . . ロード・ツールのシナリオ . . . . . . . . 役割およびポリシーが多数存在する場合のロー ド・ツールの調整 . . . . . . . . . . . 付録 A. 本書の規則 18 18 19 20 21 33 37 40 42 44 46 47 48 51 53 53 54 . . . . . . . . . 57 書体の規則 . . . . . . . . . . . . . HOME およびその他のディレクトリー変数の定義 . 57 58 付録 B. IBM Security Role and Policy Modeler のアクセシビリティー機能 . . . 61 特記事項 . . . . . . . . . . . . . . 63 索引 . . . . . . . . . . . . . . . . 67 iii iv IBM Security Role and Policy Modeler: リファレンス・ガイド 表 1. 2. 3. 4. 5. Windows オペレーティング・システムでの extract サブディレクトリーの内容 . . . . AIX または Linux オペレーティング・システ ムでの extract サブディレクトリーの内容 . Windows オペレーティング・システムでの load サブディレクトリーの内容 . . . . . AIX または Linux オペレーティング・システ ムでの load サブディレクトリーの内容 . . enableURI パラメーターを使用して抽出される 値. . . . . . . . . . . . . . . © Copyright IBM Corp. 2011, 2012 6. . 9 . 10 . 11 7. 8. 9. 10. 11. enableURI パラメーターを使用して抽出される 値. . . . . . . . . . . . . . . ロード・ツールのファイル名 . . . . . . ヒープ・サイズ・パラメーター . . . . . UNIX および Linux プラットフォームの例 Windows プラットフォームの例 . . . . . ホーム・ディレクトリー変数の定義 . . . . 41 . 55 . 55 55 . 55 . 58 . 13 . 38 v vi IBM Security Role and Policy Modeler: リファレンス・ガイド 本書について IBM Security Role and Policy Modeler リファレンス・ガイドでは、状態管理ルー ル、および抽出ツールとロード・ツールについて説明します。 資料および用語集へのアクセス このセクションには、以下が含まれています。 v 『IBM Security Role and Policy Modeler ライブラリー』 v 『オンライン資料』 v viii ページの『IBM Terminology Web サイト』 IBM Security Role and Policy Modeler ライブラリー IBM® Security Role and Policy Modeler ライブラリーには、以下の資料がありま す。 v IBM Security Role and Policy Modeler Quick Start Guide、GI11-9350 v IBM Security Role and Policy Modeler 製品概要、GA88-4797 v IBM Security Role and Policy Modeler 計画ガイド、SA88-4607 v IBM Security Role and Policy Modeler インストールと構成のガイド、SA88-4613 v IBM Security Role and Policy Modeler 管理ガイド、SA88-4798 v IBM Security Role and Policy Modeler Troubleshooting Guide、GC27-2797 v IBM Security Role and Policy Modeler Message Guide、GC27-2744 v IBM Security Role and Policy Modeler リファレンス・ガイド、SA88-4799 v IBM Security Role and Policy Modeler 用語集、SA88-4800 オンライン資料 IBM では、製品のリリース時および資料の更新時に、以下の場所に製品資料を掲載 しています。 IBM Security Role and Policy Modeler インフォメーション・センター サイト http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/ com.ibm.security.modeling.doc/ic-homepage.htm には、この製品のインフォメ ーション・センターのウェルカム・ページが表示されます。 IBM Security インフォメーション・センター サイト http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jspには、す べての IBM Security 製品資料についてのアルファベット順リストおよび一 般情報が表示されます。 IBM Publications Center サイト http://www.ibm.com/e-business/linkweb/publications/servlet/pbi.wss に は、必要なすべての IBM 資料を見つけるのに役立つカスタマイズ検索機能 が用意されています。 © Copyright IBM Corp. 2011, 2012 vii IBM Terminology Web サイト IBM Terminology Web サイトには、複数の製品ライブラリーの用語が 1 つの場所 にまとめられています。Terminology Web サイトには、http://www.ibm.com/software/ globalization/terminology からアクセスできます。 アクセシビリティー アクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つユーザ ーがソフトウェア・プロダクトを快適に使用できるようにサポートします。この製 品では、支援テクノロジーによりインターフェースを音声で把握し、ナビゲートす ることができます。また、マウスの代わりにキーボードを使用して、グラフィカ ル・ユーザー・インターフェースのすべての機能を操作できます。 詳しくは、 61 ページの『付録 B. IBM Security Role and Policy Modeler のアクセ シビリティー機能』を参照してください。 技術研修 以下は英語のみの対応となります。技術研修の情報については、IBM Education Web サイト (http://www.ibm.com/software/tivoli/education) を参照してください。 サポート情報 IBM サポートは、コード関連の問題、およびインストールまたは使用方法に関する 短時間の定型質問に対する支援を提供します。IBM ソフトウェア・サポート・サイ トは、http://www.ibm.com/software/support/probsub.html というアドレスで直接アクセ スできます。 IBM Security Role and Policy Modeler Troubleshooting Guide では、以下が詳細に説 明されています。 v IBM サポートに連絡する前に収集する情報。 v IBM サポートに連絡するためのさまざまな方法。 v 自分で問題を切り分け、修正するための説明および問題判別の資料。 注: 製品のインフォメーション・センターの「コミュニティーおよびサポート」タ ブに、追加のサポート・リソースがある場合があります。 viii IBM Security Role and Policy Modeler: リファレンス・ガイド 第 1 章 状態管理 状態管理 という用語は、システムまたは製品内の 1 つ以上のコンポーネントの状 態の管理に関連しています。状態または操作の変更を管理するのは、容易ではあり ません。複数のコンポーネントの状態を設定している場合で、ビジネス・ロジック をコード内にマージして配布する場合は、状態管理メカニズムが必要です。 IBM Security Role and Policy Modeler 内には、プロジェクト、セッション、および ファイルなどの複数のコンポーネントがあります。それぞれのコンポーネントは状 態が異なっていることがあります。あるコンポーネントの状態が別のコンポーネン トの状態に依存することもあります。状態管理では、コントロールとその状態に関 するコンポーネント情報を維持します。ファイルの削除などのユーザー操作が行わ れることも、ファイルのインポートなどのシステム操作が行われることもありま す。これらの操作は、1 つ以上のコンポーネントをある状態から別の状態に遷移さ せるトリガーになることがあります。どの操作がどの状態遷移を発生させることが できるか、および、現在の状態でどの操作が許容されるかに関するルールが設定さ れることがあります。 操作が許容されない場合は、エラー・メッセージが示されます。操作が許容される 場合、コンポーネントの次の状態が処理されて完了します。 セッションの状態に関するルール 以下に示すルールは、各種の操作に対するセッションの状態遷移を理解しやすくす るために提供されています。 セッションの状態管理ルールをまとめたものを以下のリストに示します。 v プロジェクトの状況が以下の場合は、どのセッションもコミットできません。 – プロジェクト作成がキュー内に存在 – プロジェクト作成の評価中 – プロジェクト・スコープ変更がキュー内に存在 – プロジェクト・スコープ変更の評価中 – 役割生成がキュー内に存在 – 役割生成の評価中 – 役割のコピーがキュー内に存在 – 役割のコピー中 このルールは、プロジェクトの削除操作には適用されません。つまり、プロジェ クトが「プロジェクト削除がキュー内に存在」状態または「プロジェクト削除の 評価中」状態の場合は、セッションのコミット操作に制約はありません。プロジ ェクトの状況が以下のいずれかである場合は、セッションのコミットも制約され ません。 – プロジェクト作成に失敗しました – プロジェクト・スコープ変更が失敗しました © Copyright IBM Corp. 2011, 2012 1 – プロジェクトの削除に失敗しました – 役割の生成に失敗しました – 役割のコピーに失敗しました – メンバーシップ限定子評価が失敗しました v 別のセッションの状況が以下のいずれかである場合、セッションをコミットでき ません。 – コミットがキュー内に存在 – コミット中 – コミット・エラー v 別のセッションの状況が以下のいずれかである場合、セッションを検証できませ ん。 – コミットがキュー内に存在 – コミット中 – コミット・エラー v セッションをコミットすると、IBM Security Role and Policy Modeler 内のすべて のプロジェクトの状況が「再計算が必要」に変更されます。すべてのプロジェク トに対して再計算操作を実行すると、その状況が「編集準備完了」に変更されま す。 v セッションをコミットすると、「検証済み」状況のすべてのセッションが「ドラ フト」状況に戻ります。この状態変更が行われるのは、セッションのコミット操 作によって、ID および資格データベース内で使用可能なデータが変わるためで す。そのため、セッションの以前の状態である「検証済み」状態に該当しなくな ります。 v セッションの状況が「ドラフト」の場合は、セッションを検証できます。 v セッションの状況が「ドラフト」または「検証済み」の場合は、セッションをコ ミットできます。セッションのコミット操作を開始できない場合は、セッション の状況が「コミットするには再始動が必要です」に変更されます。キュー内の複 数のユーザー要求が原因でこの状態になる場合があります。このようなセッショ ンは、後でコミットを試行できます。 v コミット操作時にセッションが失敗した場合は、セッションの状況が「コミッ ト・エラー」に変更されます。同様に、検証操作中にセッションで障害が起こっ た場合、状況は「検証エラー」に変わります。管理者がデータベースを再始動す るなどして、障害を解決した後に、セッションをコミットまたは検証することが できます。 v 状況が以下のいずれかである場合、セッションを削除できます。 – ドラフト – コミット済み – 検証済み あるいは、「検証エラー」や「ファイル・インポート・エラー」などのその他の いずれかのエラー状況である場合。 v 状況が以下のいずれかである場合、セッションを削除できません。 – コミット中 – 検証中 2 IBM Security Role and Policy Modeler: リファレンス・ガイド – コミット・エラー プロジェクトの状態に関するルール これらのルールを知っておくことで、さまざまな操作によって行われるプロジェク トの状態遷移を理解しやすくなります。 プロジェクトの状態管理ルールをまとめたものを以下のリストに示します。 v ID および資格データベースでデータ変更が発生すると、プロジェクトの再計算が 必要になる場合があります。データ変更が発生すると、プロジェクトの状況が 「再計算が必要」に変更されます。プロジェクトの再計算が完了すると、プロジ ェクトの状況は「編集準備完了」に変更されます。 v セッションの状況が以下の場合は、操作を実行できません。 – コミットがキュー内に存在 – コミット中 – コミット・エラー v プロジェクトの状況が「編集準備完了」以外の場合は、操作を実行できません。 v セッションの状況が以下の場合は、プロジェクトを編集できません。 – コミットがキュー内に存在 – コミット中 – コミット・エラー これらの状態は、ID および資格データベース内のデータが変更中であることを示 しています。 v プロジェクトの状況が「編集準備完了」の場合は、任意の操作またはプロジェク トの編集を実行できます。「編集準備完了」状態は、プロジェクトが再計算済み であることを示しています。 v プロジェクトの状況が「編集準備完了」または「コミット済み」の場合は、プロ ジェクトを削除できます。また、プロジェクトの状況が以下である場合にも、プ ロジェクトを削除できます。 – プロジェクト作成に失敗しました – プロジェクト・スコープ変更が失敗しました – プロジェクトの削除に失敗しました – 役割の生成に失敗しました – 役割のコピーに失敗しました – メンバーシップ限定子評価が失敗しました – コミットに失敗しました プロジェクトの削除操作は、どのセッションのコミット操作にも依存しません。 v いずれかのセッションの状況が以下の場合は、プロジェクトを作成できません。 – コミットがキュー内に存在 – コミット中 – コミット・エラー v プロジェクトの状況が以下である場合は、プロジェクトを再計算できます。 第 1 章 状態管理 3 – 編集準備完了 – コミット済み また、「コミットに失敗しました」以外のすべての失敗状態も該当します。「コ ミットに失敗しました」状態は、ID および資格データベース内のデータが整合し ていないことを示します。したがって、そのデータに対してプロジェクトの再計 算操作を実行することはできません。また、プロジェクトの状況が以下である場 合にも、プロジェクトを再計算できます。 – プロジェクト作成に失敗しました – プロジェクト・スコープ変更が失敗しました – プロジェクトの削除に失敗しました – 役割の生成に失敗しました – 役割のコピーに失敗しました – メンバーシップ限定子評価が失敗しました v プロジェクトの状況が以下の場合は、プロジェクトを再計算できません。 – 再計算がキュー内に存在 – 再計算の進行中 v プロジェクトの状況が「編集準備完了」の場合は、プロジェクトをエクスポート できます。 ファイルの状態に関するルール これらのルールを知っておくことで、さまざまな操作によって行われるファイルの 状態遷移を理解しやすくなります。 ファイルの状態管理ルールをまとめたものを以下のリストに示します。 v 「ドラフト」状態のセッションには、1 つ以上のファイルを追加できます。ファ イルを追加すると、セッションの状況が「進行中」に変更されます。「進行中」 状態のセッションに、さらにファイルを追加することもできます。 v ファイルが「インポート済み」状態であるか、いずれかのエラー状態である場合 は、そのファイルを削除できます。 v セッション中に 1 つ以上のファイルのインポートが失敗した場合は、ファイルお よびセッションの状況が「ファイル・インポート・エラー」に変更されます。 v セッション中に 1 つ以上のファイルが「削除中」状態になると、セッションの状 況が「更新中」に変更されます。 v セッション内のすべてのファイルのインポート操作が完了すると、すべてのファ イルの状況が「インポート済み」に変更されます。同時に、セッションの状況が 「ドラフト」に変更されます。 v セッションでのファイルのインポート時や削除時にエラーが発生する場合があり ます。エラーが発生した場合は、ファイルおよびセッションの状況が、対応する エラー状態に変更されます。例えば、ファイルの削除操作が失敗すると、ファイ ルおよびセッションの状況が「ファイル削除エラー」に変更されます。このルー ルでは、ファイル操作の失敗による累積的影響がセッション状態で示されます。 4 IBM Security Role and Policy Modeler: リファレンス・ガイド 第 2 章 抽出ツールおよびロード・ツール 既存の IBM Security Identity Manager データをモデル化するには、抽出ツールおよ びロード・ツールを使用します。 抽出ツールは、データを IBM Security Role and Policy Modeler にインポートする 準備として、IBM Security Identity Manager からデータをプルします。ユーザーが モデラーを使用した後に、ロード・ツールは更新されたデータを IBM Security Identity Manager に戻します。 ツールおよび一般的なプロセスをどの場合に使用するかを判断するには、『ツール を使用するためのプロセス』を参照してください。 ツールを使用するためのプロセス 抽出ツールおよびロード・ツールを使用する前に、どのデータを使用するかを決定 する必要があります。 適切な要件を満たすようにするには、 6 ページの『ツール実行のためのソフトウェ ア要件』を参照してください。 詳しくは、 42 ページの『抽出ツールのシナリオ』および 53 ページの『ロード・ツ ールのシナリオ』を参照してください。 エンドツーエンド・プロセス 以下のプロセスに従って、IBM Security Identity Manager データをモデル化しま す。 1. 抽出ツールおよびロード・ツールをインストールし構成します。 7 ページの『ツールのインストールおよび構成』 2. 抽出構成ファイルをカスタマイズします。 20 ページの『抽出構成 XML ファイルの更新』 3. 抽出ツールを実行して、IBM Security Role and Policy Modeler によってモデル 化したい IBM Security Identity Manager データを抽出します。以下のいずれか のトピックを参照してください。 v 40 ページの『AIX または Linux オペレーティング・システムでの抽出ツール の実行』 v 37 ページの『Windows オペレーティング・システムでの抽出ツールの実行』 抽出ツールを使用せずにスキーマ CSV ファイルおよびデータ CSV ファイルを 作成する場合、Identity Manager 接頭部を使用するようにする必要がありま す。 6 ページの『CSV ファイルの接頭部の更新』を参照してください。 4. IBM Security Role and Policy Modeler 管理コンソールを使用して、以下の操作 を実行します。 © Copyright IBM Corp. 2011, 2012 5 a. CSV ファイルを IBM Security Role and Policy Modeler セッションにインポ ートします。 IBM Security Role and Policy Modeler インフォメーション・ センターのトピック「CSV スキーマ・ファイルのインポート」を参照してく ださい。 b. セッション・データを持つプロジェクトを作成します。IBM Security Role and Policy Modeler インフォメーション・センターのトピック「役割プロジ ェクトおよびポリシー・プロジェクトの作成」を参照してください。 c. 役割およびポリシーを更新します。IBM Security Role and Policy Modeler イ ンフォメーション・センターのトピック「役割管理」を参照してください。 d. プロジェクトを XML ファイルにエクスポートします。IBM Security Role and Policy Modeler インフォメーション・センターのトピック「役割および ポリシーのエクスポート」を参照してください。 5. ロード・ツールを使用して、ID データを IBM Security Role and Policy Modeler の更新と共に IBM Security Identity Manager にロードします。以下のいずれか のトピックを参照してください。 v 51 ページの『AIX または Linux オペレーティング・システムでのロード・ツ ールの実行』 v 48 ページの『Windows オペレーティング・システムでのロード・ツールの実 行』 CSV ファイルの接頭部の更新 抽出ツールを使用せずにスキーマ CSV ファイルおよびデータ CSV ファイルを作 成する場合、Attribute Display Name および Attribute UID に適切な接頭部を付 加するようにします。 これらの接頭部の更新により、IBM Security Role and Policy Modeler のデータと IBM Security Identity Manager のデータとの一貫性が保持されます。 スキーマ CSV ファイルで、Attribute Display Name と Attribute UID の値に Identity Manager という接頭部を付加します。例えば、以下のとおりです。 #Define Attribute Attribute Description,Attribute Display Name,Attribute UID,Type,Usage,Usage,Usage,Usage, ..... "Static or Dynamic","Identity Manager roleType","Identity Manager attribute-roleType", "String","RoleAnalysis",,,, データ CSV ファイルで、列ヘッダーに Identity Manager という接頭部を次のよ うに付加します。 "#Role","TIM-Production",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, "Role UID","Identity Manager roleType","DisplayNameStrCustAttr1","Parent Role", "Identity Manager Org Unit",... ツール実行のためのソフトウェア要件 ご使用の環境で抽出ツールとロード・ツールを実行するには、その環境が特定の要 件を満たしている必要があります。 抽出ツール 抽出ツールを実行するには、以下の要件が満たされている必要があります。 6 IBM Security Role and Policy Modeler: リファレンス・ガイド v 抽出ツールは、IBM Security Identity Manager バージョン 5.1 または 6.0 がイン ストールされているコンピューターと同じコンピューターで実行する必要があり ます。すべての必須 IBM Security Identity Manager フィックスパックがインスト ールされていることを確認してください。このツールは、IBM Security Identity Manager の WebSphere® Application Server JRE を使用します。 カスタムの役割属性がサポートされるのは、IBM Security Identity Manager バー ジョン 6.0 上で抽出ツールを実行したときのみです。 v 抽出ツールは、IBM Security Identity Manager がサポートするすべてのプラット フォームでサポートされています。抽出ツールをインストールするには、IBM Security Role and Policy Modeler インストーラーを使用します。IBM Security Role and Policy Modeler でサポートされていないプラットフォームを使用する場 合は、IBM Security Role and Policy Modeler のインストール CD の utilities サ ブディレクトリーから、utilities.zip ファイルをコピーして unzip します。 ロード・ツール ロード・ツールを実行するには、以下の要件に従ってください。 v ロード・ツールは、IBM Security Identity Manager バージョン 5.1 または 6.0 上 で実行できます。すべての必須 IBM Security Identity Manager フィックスパック がインストールされていることを確認してください。 カスタムの役割属性がサポートされるのは、IBM Security Identity Manager バー ジョン 6.0 上でロード・ツールを実行したときのみです。 v ロード・ツールは、IBM Security Role and Policy Modeler のプラットフォームで のみサポートされています。サポートされているプラットフォームにロード・ツ ールをインストールするには、IBM Security Role and Policy Modeler インストー ラーを使用します。 v ロード・ツールは、ローカルで実行することも、IBM Security Identity Manager コンピューターとは別のリモート・コンピューターで実行することもできます。 v ロード・ツールが IBM Security Identity Manager のインストール済み環境とは別 のコンピューターにインストールされている場合は、ロード・ユーティリティー と同じコンピューターに WebSphere Application Server 7.0 Application Client を インストールします。このシナリオでは、ロード・ツールは WebSphere Application Server 7.0 Application Client JRE を使用します。 IBM Security Identity Manager がインストールされているコンピューターと同じ コンピューターにロード・ツールがインストールされている場合は、他の前提条 件は不要です。このシナリオでは、ロード・ツールは WebSphere Application Server JRE を使用します。 ツールのインストールおよび構成 抽出ツールおよびロード・ツールを実行するには、あらかじめそれらをインストー ルして構成しておく必要があります。 以下のトピックに、抽出ツールのインストールおよび構成に関する情報が記載され ています。 第 2 章 抽出ツールおよびロード・ツール 7 v 9 ページの『AIX または Linux オペレーティング・システムでの抽出ツールのイ ンストールおよび構成』 v 『Windows オペレーティング・システムでの抽出ツールのインストールおよび構 成』 18 ページの『ログ・ファイル・パラメーターの設定』で、ログ・ファイルの構成に ついて説明しています。 以下のトピックに、ロード・ツールのインストールおよび構成に関する情報が記載 されています。 v 12 ページの『AIX または Linux オペレーティング・システムでのロード・ツー ルのインストールおよび構成』 v 11 ページの『Windows オペレーティング・システムでのロード・ツールのイン ストールおよび構成』 v 13 ページの『ロード・ツール用のリモート IBM Security Identity Manager サー バーの構成』 以下のトピックに、ツールのアンインストールに関する情報が記載されています。 v 11 ページの『抽出ツールのアンインストール』 v 18 ページの『ロード・ツールのアンインストール』 Windows オペレーティング・システムでの抽出ツールのインスト ールおよび構成 IBM Security Role and Policy Modeler インストーラーを使用して、Windows オペ レーティング・システムに抽出ツールをインストールします。構成では、パス変数 を設定する必要があります。 手順 1. IBM Security Role and Policy Modeler がサポートするプラットフォームの場合 は、IBM Security Role and Policy Modeler インストーラーを開始し、「IBM Security Identity Manager の抽出およびロード・ユーティリティー」を選択し ます。 IBM Security Role and Policy Modeler でサポートされていないプラットフォー ムを使用する場合は、IBM Security Role and Policy Modeler のインストール CD の utilities サブディレクトリーから、utilities.zip ファイルをコピーして unzip します。 2. 抽出ツール・ファイルがインストールされた場所を判別します。例えば、IBM Security Role and Policy Modeler インストール・パスが C:¥Program Files¥IBM¥SecurityModeler である場合、抽出ツール・ファイルは C:¥Program Files¥IBM¥SecurityModeler¥utilities¥extract にあります。 9 ページの表 1 に、 extract ディレクトリーの内容を示します。 8 IBM Security Role and Policy Modeler: リファレンス・ガイド 表 1. Windows オペレーティング・システムでの extract サブディレクトリーの内容 ファイルまたはディレクトリー名 説明 ExtractConfig.xml 抽出ツール用の入力パラメーターを含む抽出 構成 XML ファイル。 lib 抽出ツールで必要な Java™ ライブラリーを含 むディレクトリー。 Extract.cmd Windows オペレーティング・システムで抽出 ツールを実行するスクリプト・ファイル。 log4j.properties 抽出ツールのロギング動作を構成するファイ ル。 3. エディターで Extract.cmd ファイルを開き、以下のパス変数を更新します。 a. WAS_HOME 変数に WebSphere のパスを設定します。例えば、 WAS_HOME=D:¥Program Files¥IBM¥WebSphere¥AppServer を設定します。 b. ITIM_HOME 変数に IBM Security Identity Manager インストール・ディレク トリー・パスを設定します。例えば、ITIM_HOME=D:¥Program Files¥IBM¥itim を設定します。 c. HOME_DIR パスを、ユーティリティー・アーカイブの extract サブディレ クトリーが抽出されたロケーションに設定します。例えば、 HOME_DIR=C:¥RaPM¥utilties¥extract を設定します。 d. IBM Security Identity Manager サーバーが IBM DB2® 以外のデータベース (例えば Oracle または Microsoft SQL Server) を使用して構成されている場合 は、以下のスクリプト行を置き換えてください。 set CP=%CP%;%ITIM_HOME%¥lib¥db2jcc.jar これを、適切な JDBC ドライバー・ファイル名に置き換えます。例えば、 Oracle を使用している場合は、以下の行を使用します。 set CP=%CP%;C:¥itim_jdbcdriver¥ojdbc6.jar 4. Extract.cmd ファイルを保存して、エディターを閉じます。 5. ExtractConfig.xml ファイルを編集して、抽出ツールに必須の属性を指定しま す。 20 ページの『抽出構成 XML ファイルの更新』を参照してください。 AIX または Linux オペレーティング・システムでの抽出ツールの インストールおよび構成 IBM Security Role and Policy Modeler インストーラーを使用して、AIX® または Linux に抽出ツールをインストールします。構成では、パス変数を設定する必要が あります。 手順 1. IBM Security Role and Policy Modeler がサポートするプラットフォームの場合 は、インストーラーを開始し、「IBM Security Identity Manager の抽出および ロード・ユーティリティー」機能を選択します。 第 2 章 抽出ツールおよびロード・ツール 9 IBM Security Role and Policy Modeler でサポートされていないプラットフォー ムを使用する場合は、IBM Security Role and Policy Modeler のインストール CD の utilities サブディレクトリーから、utilities.zip ファイルをコピーして unzip します。 2. 抽出ツール・ファイルがインストールされた場所を判別します。例えば、IBM Security Role and Policy Modeler インストール・パスが /opt/IBM/ SecurityModeler/utilities/extract である場合、抽出ツール・ファイルは /opt/IBM/SecurityModeler/utilities/extract にあります。 表 2 に、 extract ディレクトリーの内容を示します。 表 2. AIX または Linux オペレーティング・システムでの extract サブディレクトリーの内 容 ファイルまたはディレクトリー名 説明 ExtractConfig.xml 抽出ツール用の入力パラメーターを含む抽出 構成 XML ファイル。 lib 抽出ツールで必要な Java ライブラリーを含 むディレクトリー。 Extract.sh AIX または Linux オペレーティング・シス テムで抽出ツールを実行するスクリプト・フ ァイル log4j.properties 抽出ツールのロギング動作を構成するファイ ル。 3. エディターで Extract.sh ファイルを開き、以下のパス変数を更新します。 a. WAS_HOME 変数に WebSphere のパスを設定します。例えば、 WAS_HOME=/opt/IBM/WebSphere/AppServer を設定します。 b. ITIM_HOME 変数に IBM Security Identity Manager インストール・ディレク トリー・パスを設定します。例えば、ITIM_HOME=/opt/IBM/itim を設定しま す。 c. HOME_DIR パスを、ユーティリティー・アーカイブの extract サブディレ クトリーが抽出されたロケーションに設定します。例えば、 HOME_DIR=/opt/RaPM/utilties/extract を設定します。 d. IBM Security Identity Manager サーバーが IBM DB2 以外のデータベース (例えば Oracle または Microsoft SQL Server) を使用して構成されている場合 は、以下のスクリプト行を置き換えてください。 CP=$CP:$ITIM_HOME/lib/db2jcc.jar これを、適切な JDBC ドライバー・ファイル名に置き換えます。例えば、 Oracle を使用している場合は、以下の行を使用します。 CP=$CP:/opt/itim_jdbcdriver/ojdbc6.jar 4. Extract.sh ファイルを保存して、エディターを閉じます。 5. リモート・マシンから Extract.sh ファイルをコピーした場合、オペレーティン グ・システム・コマンドを使用して、ファイルに実行権限を付与します。例え ば、以下のとおりです。 # chmod -R 755 Extract.sh 10 IBM Security Role and Policy Modeler: リファレンス・ガイド 6. ExtractConfig.xml ファイルを編集して、抽出ツールに必須の属性を指定しま す。 20 ページの『抽出構成 XML ファイルの更新』を参照してください。 抽出ツールのアンインストール インストーラーを使用して、またはディレクトリーおよびその内容を削除して、抽 出ツールをアンインストールします。 手順 IBM Security Role and Policy Modeler インストーラーを使用して、抽出ツールおよ びロード・ツールをインストールした場合は、そのインストーラーを使用してツー ルをアンインストールします。utilities ディレクトリーを手動でコピーした場合 は、そのディレクトリーとすべての内容を削除してください。 Windows オペレーティング・システムでのロード・ツールのイン ストールおよび構成 IBM Security Role and Policy Modeler インストーラーを使用して、Windows オペ レーティング・システムにロード・ツールをインストールします。構成では、パス 変数を設定する必要があります。 このタスクについて 注: IBM Security Identity Manager をリモート・サーバーで実行している場合は、 13 ページの『ロード・ツール用のリモート IBM Security Identity Manager サーバー の構成』の手順を実行してください。 手順 1. IBM Security Role and Policy Modeler インストーラーを開始し、「IBM IBM Security Identity Manager の抽出およびロード・ユーティリティー」機能を選 択します。 2. ロード・ツール・ファイルがインストールされた場所を判別します。例えば、デ フォルトのインストール・パスが C:¥Program Files¥IBM¥SecurityModeler であ る場合、ロード・ツール・ファイルは C:¥Program Files¥IBM¥SecurityModeler¥utilities¥load にあります。 表 3 に、 load ディレクトリーの内容を示します。 表 3. Windows オペレーティング・システムでの load サブディレクトリーの内容 ファイルまたはディレクトリー名 説明 Config.properties ロード・ツール用の入力パラメーターを含む ロード構成プロパティー・ファイル。 lib ロード・ツールで必要な Java ライブラリー を含むディレクトリー。 Load.cmd Windows オペレーティング・システムでロー ド・ツールを実行するスクリプト・ファイ ル。 log4j.properties ロード・ツールのロギング動作を構成するフ ァイル。 第 2 章 抽出ツールおよびロード・ツール 11 表 3. Windows オペレーティング・システムでの load サブディレクトリーの内容 (続き) ファイルまたはディレクトリー名 説明 LoadConfig.xml カスタム属性の構成を格納するロード構成 XML ファイル。 3. エディターで Load.cmd ファイルを開き、以下のパス変数を更新します。 a. HOME_DIR 変数内のホーム・ディレクトリー・パスを、ロード・ツールのデ ィレクトリーに設定します。例えば、HOME_DIR=C:¥utilities¥load を設定し ます。 b. WAS_HOME 変数に WebSphere Application Server ホーム・ディレクトリ ー・パスを設定します。例えば、WAS_HOME=D:¥Program Files¥IBM¥WebSphere¥AppServer を設定します。 c. ITIM_HOME 変数に IBM Security Identity Manager インストール・ディレク トリー・パスを設定します。例えば、ITIM_HOME=D:¥Program Files¥IBM¥itim を設定します。 4. Load.cmd ファイルを保存して、エディターを閉じます。 5. ロード・ツールに必要な入力パラメーターを指定するように Config.properties ファイルを編集します。 15 ページの『ロード・ツール用の Config.properties 入 力ファイルの更新』を参照してください。 6. LoadConfig.xml ファイルを編集して、ロード・ツールに必須のカスタム属性を 指定します。 46 ページの『ロード構成 XML ファイルの更新』を参照してくだ さい。 AIX または Linux オペレーティング・システムでのロード・ツー ルのインストールおよび構成 IBM Security Role and Policy Modeler インストーラーを使用して、AIX または Linux オペレーティング・システムにロード・ツールをインストールします。構成 では、パス変数を設定する必要があります。 始める前に IBM Security Identity Manager をリモート・サーバーで実行している場合は、 13 ペ ージの『ロード・ツール用のリモート IBM Security Identity Manager サーバーの構 成』の手順を実行してください。 手順 1. IBM Security Role and Policy Modeler インストーラーを開始し、「IBM IBM Security Identity Manager の抽出およびロード・ユーティリティー」機能を選 択します。 2. ロード・ツール・ファイルがインストールされた場所を判別します。例えば、デ フォルトのインストール・パスが usr/IBM/SecurityModeler である場合、ロー ド・ツール・ファイルは usr/IBM/SecurityModeler/utilities/load にありま す。 13 ページの表 4 に、 load ディレクトリーの内容を示します。 12 IBM Security Role and Policy Modeler: リファレンス・ガイド 表 4. AIX または Linux オペレーティング・システムでの load サブディレクトリーの内容 ファイルまたはディレクトリー名 説明 Config.properties ロード・ツール用の入力パラメーターを含む ロード構成プロパティー・ファイル。 lib ロード・ツールで必要な Java ライブラリー を含むディレクトリー。 Load.sh AIX または Linux オペレーティング・シス テムでロード・ツールを実行するスクリプ ト・ファイル log4j.properties ロード・ツールのロギング動作を構成するフ ァイル。 LoadConfig.xml カスタム属性の構成を格納するロード構成 XML ファイル。 3. エディターで Load.sh ファイルを開き、以下のパス変数を更新します。 a. HOME_DIR 変数内のホーム・ディレクトリー・パスを、ロード・ツールのデ ィレクトリーに設定します。例えば、HOME_DIR=/opt/utilities/load を設定 します。 b. WAS_HOME 変数に WebSphere Application Server ホーム・ディレクトリ ー・パスを設定します。例えば、WAS_HOME=/opt/IBM/WebSphere/AppServer を設定します。 c. ITIM_HOME 変数に IBM Security Identity Manager インストール・ディレク トリー・パスを設定します。例えば、ITIM_HOME=/opt/IBM/itim を設定しま す。 4. Load.sh ファイルを保存して、エディターを閉じます。 5. リモート・マシンから Load.sh ファイルをコピーした場合、オペレーティン グ・システム・コマンドを使用して、ファイルに実行権限を付与します。例え ば、以下のとおりです。 # chmod -R 755 Load.sh 6. ロード・ツールに必要な入力パラメーターを指定するように Config.properties ファイルを編集します。 15 ページの『ロード・ツール用の Config.properties 入 力ファイルの更新』を参照してください。 7. LoadConfig.xml ファイルを編集して、ロード・ツールに必須のカスタム属性を 指定します。 46 ページの『ロード構成 XML ファイルの更新』を参照してくだ さい。 ロード・ツール用のリモート IBM Security Identity Manager サ ーバーの構成 JAR ファイルを適切なディレクトリーにコピーすることによって、IBM Security Identity Manager サーバーを構成します。 始める前に ロード・ツールが配置されているコンピューター上に WebSphere Application Server 7.0 Application Client をインストール済みであることを確認してください。 第 2 章 抽出ツールおよびロード・ツール 13 このタスクについて 構成の手順では、ディレクトリー名はWindows での例を示しています。AIX または Linux の場合は、該当するディレクトリー・ロケーションを使用してください。 手順 1. システム上にローカル・ディレクトリー clientjars を作成します。 2. 以下のファイルを、IBM Security Identity Manager サーバー・コンピューターか ら clientjars ディレクトリーにコピーします。 v <ITIM_HOME>¥lib¥itim_api.jar v <ITIM_HOME>¥lib¥api_ejb.jar v <ITIM_HOME>¥lib¥itim_common.jar v <ITIM_HOME>¥lib¥jlog.jar v <ITIM_HOME>¥lib¥aspectjrt.jar v <ITIM_HOME>¥lib¥jffdc.jar v <ITIM_HOME>¥lib¥itim_server_api.jar ITIM_HOME は、IBM Security Identity Manager インストール・ディレクトリーの ロケーションです。例えば、C:¥Program Files¥IBM¥itim です。 3. IBM Security Identity Manager サーバー・コンピューターからロード・ツールの 作業ディレクトリーに、data ディレクトリーとその内容をコピーします。例え ば、<ITIM_HOME>¥data のすべてのファイルを、ロード・ツールの c:¥clientjars¥data にコピーします。 注: ITIM_HOME パス変数名は、すべて大文字であることを含め、厳密に表示ど おりに指定する必要があります。 4. エディターで Load.cmd ファイルを開き、以下のパス変数を更新します。 v HOME_DIR 変数内のホーム・ディレクトリー・パスを、ロード・ツールのディ レクトリーに設定します。例えば、HOME_DIR=C:¥utilities¥load を設定しま す。 v WAS_HOME 変数に WebSphere Application Server 7.0 Application Client ホー ム・ディレクトリー・パスを設定します。例えば、WAS_HOME=D:¥Program Files¥IBM¥WebSphere¥AppClient を設定します。 v ITIM_HOME 変数に IBM Security Identity Manager ライブラリー・ディレクト リー・パスを設定します。例えば、ITIM_HOME=c:¥clientjars を設定します。 v c:¥clientjars ディレクトリーを参照することによって、以下の IBM Security Identity Manager JAR ファイルに指定されたすべてのパスを訂正しま す。 – set CP=%CP%;%ITIM_HOME%¥data – set CP=%CP%;%ITIM_HOME%¥lib¥jlog.jar – set CP=%CP%;%ITIM_HOME%¥lib¥jffdc.jar – set CP=%CP%;%ITIM_HOME%¥lib¥itim_common.jar – set CP=%CP%;%ITIM_HOME%¥lib¥itim_api.jar – set CP=%CP%;%ITIM_HOME%¥lib¥aspectjrt.jar – set CP=%CP%;%ITIM_HOME%¥lib¥api_ejb.jar 14 IBM Security Role and Policy Modeler: リファレンス・ガイド 次のステートメントを例として挙げます。 set CP=%CP%;%ITIM_HOME%¥lib¥jlog.jar これを以下のステートメントに置き換えます。 set CP=%CP%;%ITIM_HOME%¥jlog.jar ここで、ITIM_HOME は、このステップの前の方で述べたように、 c:¥clientjars ディレクトリーに設定されています。 5. Load.cmd ファイルを保存して、エディターを閉じます。 6. ロード・ツールに必要な入力パラメーターを指定するように Config.properties ファイルを編集します。『ロード・ツール用の Config.properties 入力ファイルの 更新』を参照してください。 ロード・ツール用の Config.properties 入力ファイルの更新 ロード・ツールは、Config.properties ファイルで定義されたプロパティーを使用 して、リモート環境で実行されます。 注: IBM Security Identity Manager が単一サーバーとして構成されている場合は、 Config.properties ファイルの Cluster_URL プロパティーに値を指定しないでくだ さい。IBM Security Identity Manager が単一サーバーとして構成されている場合 は、必要に応じて、Config.properties ファイルの Cluster_URL プロパティーをコ メント化または削除することもできます。このプロパティーは、クラスター・デプ ロイメントにだけ使用されます。 Config.properties ファイルは、load ディレクトリーにあります。この構成ファイ ルでは、以下のパラメーターが使用されます。 HostName IBM Security Identity Manager サーバーが実行されているシステムの IP アドレ スまたは名前を指定します。デフォルトのホスト名は localhost です。 PortNumber IBM Security Identity Manager の WebSphere Application Server が listen して いる、WebSphere Application Server のポート番号またはブートストラップ・ポ ートを指定します。デフォルト値は 2809 です。 WAS_GlobalSecurity_Enabled IBM Security Identity Manager の WebSphere Application Server サーバーでグロ ーバル・セキュリティーが有効になっているかどうかを指定します。デフォルト 値は true です。この値が true の場合は、ロード・ツールの実行時に、 WebSphere Application Server のユーザー名とパスワードを求めるプロンプトが 出されます。 注: このパラメーターが有効なのは、IBM Security Identity Manager 5.1 に対し てロード・ツールを実行したときのみです。このパラメーターは、IBM Security Identity Manager 6.0 には適用されません。 OrgUnitName IBM Security Identity Manager の新しい役割と職務分離制約の作成先となる組織 第 2 章 抽出ツールおよびロード・ツール 15 コンテナーを指定します。このパラメーターは、ロード・ツールが IBM Security Identity Manager 内で既存の役割と職務分離制約を検索するときにも使 用されます。 このパラメーターを指定しないか、値を設定しない場合、役割および職務分離制 約の追加および変更は、IBM Security Identity Manager のデフォルトの組織コン テナー内で行われます。 この値は、以下のいずれかのフォーマットで指定する必要があります。 OrgUnitName=ou=orgUnit コンテナーが組織単位、管理ドメイン、またはビジネス・パートナー組織で ある場合は、このフォーマットを使用します。 OrgUnitName=o=org コンテナーが組織である場合は、このフォーマットを使用します。 OrgUnitName=l=loc コンテナーがロケーションである場合は、このフォーマットを使用します。 OrgUnitName=DN=erglobalid=6145930925968307773,ou=orgChart, erglobalid=00000000000000000000,ou=IBM,dc=com コンテナーの識別名 (DN) の値を指定する場合は、このフォーマットを使用 します。 注: 示したフォーマットは、スペースを含まない連続した単一の行として入 力します。示した例は、読みやすくするために、この資料内でのみ 2 行に 分割されています。 PreviewMode プレビュー・モードを判別するための値を指定します。追加または変更される可 能性のある役割および職務分離制約の総数の統計のプレビューのみを行う場合は true を指定します。ロード・ツールで追加および変更を行うには、false を指 定します。デフォルト値は true です。 InputFileName IBM Security Role and Policy Modeler からエクスポートされる XML ファイル のパスとファイル名を指定します。このファイルには、IBM Security Identity Manager にインポートされる役割および職務分離制約のリストが含まれます。 デフォルト値は Export_RaPM_Project.xml です。 このパラメーターの値には、このファイルが格納されている場所の完全パスとフ ァイル名を指定することもできます。例えば、以下のとおりです。 InputFileName=F:/utilities/load/exportrole_SOD.xml IgnoreUserToRoleMapping ロード・ツールがユーザーから役割へのメンバーシップ割り当てを使用するかど うかを指定します。ユーザーから役割へのメンバーシップ割り当てを使用しない 場合は、この値を true に設定します。デフォルトでは、この属性は false に 設定されています。 false 値を設定してロード・ツールを実行すると、IBM Security Role and Policy Modeler からエクスポートされる XML ファイルで、 役割のユーザー・メンバーが追加または削除されます。このパラメーターを true に設定すると、役割のユーザー・メンバーの処理は無視されます。 16 IBM Security Role and Policy Modeler: リファレンス・ガイド Cluster_URL アプリケーション・サーバー・ネーミング・サービスの URL ロケーションの値 を指定します。IBM Security Identity Manager がクラスター環境で構成されてい る場合は、このパラメーターを使用します。この値は、IBM Security Identity Manager のホーム・ディレクトリーの data ディレクトリー内にある enRole.properties ファイルの enrole.appserver.url プロパティーの値と一致 する必要があります。 例えば、以下のとおりです。 Cluster_URL=iiop://nodeip:2810/cell/clusters/ITIMCluster 使用上の注意: v デフォルトでは、このパラメーターには値が指定されていません。このた め、デフォルトではロード・ツールは HostName パラメーターおよび PortNumber パラメーターを使用して、単一サーバーとして構成されている IBM Security Identity Manager アプリケーションと通信します。このパラメー ターに値を指定するのは、IBM Security Identity Manager がクラスター環境で 構成されている場合のみです。 v Config.properties ファイルでこのパラメーターがコメント化されているか 存在しない場合、ロード・ツールは HostName パラメーターおよび PortNumber パラメーターを使用して、単一サーバーとして構成されている IBM Security Identity Manager アプリケーションと通信します。 v IBM Security Identity Manager 5.1 の場合、クラスターでロード・ツールを実 行すると、資格情報を複数回指定する必要があります。以下を指定するよう に求めるプロンプトが表示されます。 – WebSphere Application Server の資格情報 (グローバル・セキュリティーが 使用可能な場合) – IBM Security Identity Manager の資格情報 さらに、WebSphere Application Server からも、グローバル・セキュリティー のデフォルトのセキュリティー・レルムに指定したユーザー ID とパスワー ドの入力を求められます。ロード・ツールが正常に認証されるように、有効 な資格情報を指定してください。 v グローバル・セキュリティーが使用可能なクラスターでロード・ツールを使 用するときに、オプションで、WebSphere Application Server のユーザー ID とパスワードを求めるプロンプトが表示されないように、構成プロパティー を設定できます。このユーザー ID とパスワードは、デフォルトのセキュリ ティー・レルムの資格情報です。プロンプトが表示されないようにするに は、sas.client.props ファイルを編集します。以下のパラメーターを使用し て有効な資格情報を指定します。 # RMI/IIOP user identity com.ibm.CORBA.loginUserid= com.ibm.CORBA.loginPassword= ファイル・ロケーション: – ロード・ツールが、クラスターのいずれかのノードと同じ コンピューター にインストールされている場合、sas.client.props ファイルは WebSphere Application Server の properties フォルダー内にインストールされます。 第 2 章 抽出ツールおよびロード・ツール 17 – ロード・ツールがノードとは別の コンピューターにインストールされてい る場合、sas.client.props ファイルは WebSphere Application Server 7.0 Thin Client の properties フォルダー内にインストールされます。 役割分類の値 役割の分類タイプを指定します。IBM Security Identity Manager に用意されてい るデフォルトの役割分類タイプは、Config.properties 内であらかじめ以下のよ うに指定されています。 role.classification.application=Application role role.classification.business=Business role IBM Security Identity Manager サーバー用のカスタマイズされた役割分類タイプ がある場合は、IBM Security Identity Manager のインストール・ディレクトリー の data サブディレクトリーにある CustomLabels.properties ファイルから、 これらの値をコピーします (role.classification.none は除く)。その後、 Config.properties ファイルでそれらの値を指定します。 サンプル Config.properties ファイル Windows オペレーティング・システムの config.properties ファイルの例を以下 に示します。 HostName=localhost PortNumber=2809 WAS_GlobalSecurity_Enabled=true OrgUnitName= PreviewMode=true InputFileName=Export_RaPM_Project.xml IgnoreUserToRoleMapping=false role.classification.application=Application role role.classification.business=Business role ロード・ツールのアンインストール ロード・ツールをアンインストールするには、インストーラーを使用するか、ディ レクトリーおよびその内容を削除します。 手順 IBM Security Role and Policy Modeler インストーラーを使用して、抽出ツールおよ びロード・ツールをインストールした場合は、そのインストーラーを使用してツー ルをアンインストールします。utilities ディレクトリーを手動でコピーした場合 は、そのディレクトリーとすべての内容を削除してください。 ログ・ファイル・パラメーターの設定 ご使用の環境に必要な出力ログ・ファイルを生成するように、log4j.properties フ ァイルを構成することができます。このファイルは、抽出ユーティリティーおよび ロード・ユーティリティーとは別にパッケージ化されています。 始める前に extract サブディレクトリーまたは load サブディレクトリーから、変更する log4j.properties ファイルを見つけます。 18 IBM Security Role and Policy Modeler: リファレンス・ガイド 手順 1. エディターで log4j.properties ファイルを開きます。 2. 出力ファイルを指定するように、log4j.appender.logFile.File パラメーターを 更新します。例えば、次のように指定します。 log4j.appender.logFile.File=Extract.log 3. ログ・ファイル・ロギング・タイプを指定するように、log4j.rootCategory パ ラメーターを更新します。例えば、次のように指定します。 log4j.rootCategory=DEBUG, Logfile この例では、ログ・ファイル・ロギングを DEBUG に設定します。 4. このファイルを保管します。 抽出ツールの概要 IBM Security Identity Manager の ID、役割、権限、およびポリシー・データをエク スポートするには、抽出ツールを使用します。抽出ツールは、このデータの基本ス キーマを定義し、スキーマを拡張できるようにしています。 IBM Security Role and Policy Modeler サーバーは、ExtractConfig.xml ファイル内 の要素に関して、データおよびスキーマが定義されることを前提としています。 20 ページの『抽出構成 XML ファイルの更新』を参照してください。 以下のトピックでは、構成ファイルのセットアップ後に抽出ツールを使用する方法 について説明します。 v 37 ページの『Windows オペレーティング・システムでの抽出ツールの実行』 v 40 ページの『AIX または Linux オペレーティング・システムでの抽出ツールの 実行』 抽出ツールにより、以下の CSV ファイルが生成されます。 v Import_Schema_Session.csv - スキーマを定義します。 v Import_Data_Session.csv - 要素に関連してデータを定義します。 抽出ツールは、実行されるごとに Extract.log ファイルも生成します。 抽出されるデータのタイプ 抽出ツールにより、IBM Security Identity Manager から以下のデータが抽出されま す。 v 役割 v 職務分離ポリシー v IBM Security Role and Policy Modeler 用の ID としてのユーザー v IBM Security Role and Policy Modeler 用の権限としてのグループ v IBM Security Role and Policy Modeler 用の ID としての IBM Security Identity Manager の管理対象リソースからのユーザー・アカウント v IBM Security Role and Policy Modeler 用の権限として IBM Security Identity Manager 内の管理対象リソースに定義されたサービス 第 2 章 抽出ツールおよびロード・ツール 19 v IBM Security Role and Policy Modeler 用の権限としての IBM Security Identity Manager の管理対象リソースからのグループ v IBM Security Role and Policy Modeler 用の役割としての IBM Security Identity Manager の管理対象リソースからの役割 v 特定の役割に関連付けられたプロビジョニング・ポリシー名 v 組織階層情報 v IBM Security Identity Manager で定義されたユーザーから役割への関連付け v IBM Security Role and Policy Modeler 用のユーザーから権限への割り当てとして IBM Security Identity Manager で定義されたユーザーからグループへの関連付け v IBM Security Role and Policy Modeler 用のユーザーから権限への割り当てとして の IBM Security Identity Manager 内のユーザーからサービスへの関連付け 前のデータに加えて、ExtractConfig.xml ファイルには、IBM Security Identity Manager から追加情報を取得するための属性およびオブジェクト・クラス・マッピ ング情報が含まれています。 サービス・タイプ構成 デフォルトの ExtractConfig.xml ファイルには、以下のサービス・タイプの権限と して抽出されるグループが含まれています。 v IBM Security Identity Manager サービス v Oracle EBS v POSIX Linux v LDAP v Active Directory v POSIX Solaris v POSIX AIX デフォルトの ExtractConfig.xml ファイルには、以下のサービス・タイプの役割と して抽出されるリソースからの役割が含まれています。 v Oracle EBS v POSIX AIX ご使用の IBM Security Identity Manager サーバーで抽出ツールが既に構成されてい る場合、抽出ツールはこれらのサービス・タイプの CSV ファイル・データを生成 します。新規のサービス・タイプまたは属性をサポートしたい場合は、 ExtractConfig.xml ファイルをカスタマイズする必要があります。このファイルで 変更を加えると、必要なスキーマおよびデータが CSV ファイルの形式で生成され ます。 抽出構成 XML ファイルの更新 抽出構成 XML ファイルを更新して、抽出ツールへの入力として使用するスキーマ を定義します。 20 IBM Security Role and Policy Modeler: リファレンス・ガイド 始める前に 抽出ツールと共にインストールされた ExtractConfig.xml ファイルを見つけます。 8 ページの『Windows オペレーティング・システムでの抽出ツールのインストール および構成』または 9 ページの『AIX または Linux オペレーティング・システム での抽出ツールのインストールおよび構成』を参照してください。 このタスクについて ExtractConfig.xml ファイルは、検索スコープ、属性名、オブジェクト・クラス、 およびサービス名などのスキーマ要素を定義します。IBM Security Identity Manager サーバーから抽出したデータを使用しています。このファイルはカスタマイズ可能 であり、ご使用の IBM Security Identity Manager サーバーからどの情報を抽出する 必要があるかを決定する際に役立ちます。 手順 1. エディターで ExtractConfig.xml ファイルを開きます。 2. 『IBM Security Role and Policy Modeler スキーマ要素』で説明されている指定 を使用して、スキーマの要素を追加または更新します。 スキーマ要素のトピックでは、ExtractConfig.xml がスキーマ CSV ファイルおよ びデータ CSV ファイルのさまざまな要素を生成する方法について詳細に説明し ています。それらの要素は、データを IBM Security Role and Policy Modeler に インポートするときに必要です。 3. タグ付けを追加または更新して、 33 ページの『抽出ツールの動作の定義』で説 明されている指定を使用することによって、抽出ツールの動作を定義します。 4. このファイルを保管します。 次のタスク 抽出ツールを使用して、この構成ファイルを使用してデータをエクスポートしま す。以下を参照してください。 v 40 ページの『AIX または Linux オペレーティング・システムでの抽出ツールの 実行』 v 37 ページの『Windows オペレーティング・システムでの抽出ツールの実行』 IBM Security Role and Policy Modeler スキーマ要素 ExtractConfig.xml ファイルでは、IBM Security Role and Policy Modeler によるイ ンポートの際に使用する必要のある形式でスキーマ CSV ファイルおよびデータ CSV ファイルの要素を生成する構成を指定します。 注: スキーマ CSV ファイルおよびデータ CSV ファイルの要素について詳しくは、 「IBM Security Role and Policy Modeler 管理ガイド」の『インポート管理』のセク ションを参照してください。 ExtractConfig.xml ファイルには、スキーマ CSV ファイルおよびデータ CSV フ ァイルを生成する構成が含まれています。生成されたファイルには、以下のセクシ ョンが含まれます。 v スキーマ CSV ファイル: 第 2 章 抽出ツールおよびロード・ツール 21 – 『#Define Source セクション』 – 23 ページの『#Define Attribute セクション』 – 26 ページの『#Define Role Type セクション』 v データ CSV ファイル: – 27 ページの『#Identity セクション』 – 28 ページの『#Permissions セクション』 – 29 ページの『#Role セクション』 – 31 ページの『#Separation of Duty Policy セクション』 – 32 ページの『#User Permission Assignment セクション』 – 32 ページの『#Role User Assignment セクション』 – 32 ページの『#Define Hierarchical Attributes セクション』 #Define Source セクション スキーマ CSV ファイルのこのセクションは、データのすべてのソースを定義しま す。ソースの例としては、ID、権限、役割などが挙げられます。 目的 ExtractConfig.xml ファイルには、ソースを定義するためのセクションがありま す。この定義は 1 次ソースとして機能します。他の属性は、IBM Security Identity Manager 内のアカウントやグループなどのサービス・エンティティーから抽出でき ます。これらの属性については、抽出ツールがソースを定義し、さらに属性スキー マを拡張することによって、ソースごとに属性を追加します。 構成ファイル内のタグ CSV ファイル内のソース・データは、ExtractConfig.xml で定義された以下のタグ を使用して生成されます。 <Source-UID> </Source-UID> <Source-Name> </Source-Name> <Source-Description> </Source-Description> <Source-UID> ソースの UID。UID は固有である必要があります。 <Source-Name> ソースの名前。URL、アプリケーションの名前、またはソースの簡単な説明を指 定できます。例えば、「IBM Security Identity Manager」などと指定します。 <Source-Description> ソースの説明。例えば、「My IBM Security Identity Manager v5.1 Production Server」などと指定します。 出力 ツールによって Import_Schema_Session.csv ファイル内に以下の情報が生成されま す。 #Define Source Source UID 22 Source Name IBM Security Role and Policy Modeler: リファレンス・ガイド Source Description #Define Attribute セクション スキーマ CSV ファイルのこのセクションは、エンティティーに使用するすべての カスタム属性を定義します。例えば、エンティティーには ID、権限、役割、権限の 割り当てなどが含まれます。 目的 ExtractConfig.xml ファイルには、追加のカスタム属性を定義するためのセクショ ンがあります。IBM Security Role and Policy Modeler では、一部の属性がコア 属 性として予約されています。これらの属性は明示的に定義する必要がありません。 コア属性以外の属性が必要な場合は、このセクションで定義します。 注: カスタムの役割属性がサポートされるのは、IBM Security Identity Manager バー ジョン 6.0 上でロード・ツールを実行したときのみです。 構成ファイル内のタグ 以下のタグが ExtractConfig.xml で定義されており、これらのタグによってスキー マおよびデータ CSV ファイルに属性データが生成されます。 <Attribute> <Attribute-UID> </Attribute-UID> <Attribute-Display-Name> </Attribute-Display-Name> <Attribute-Description> </Attribute-Description> <Usage> </Usage> <Type> </Type> <ITIMAttributeMapping> <ITIMObjectClass> <name> </name> <attribute> </attribute> </ITIMObjectClass> </ITIMAttributeMapping> </Attribute> 注: <Attribute-UID> タグの値および <Attribute-Display-Name> タグの値の前に キーワード Identity Manager を付けなかった場合は、抽出ツールによって、 Import_Schema_Session.csv ファイルの Attribute UID の値および Attribute Display Name の値の前に、キーワード Identity Manager が付けられます。データ CSV ファイルでも、列ヘッダーに対して同様の命名規則が適用されます。データ CSV ファイルは、スキーマ CSV ファイルから属性名を取得します。 説明 <Attribute-UID> 属性の UID。UID は固有である必要があります。 <Attribute-Display-Name> IBM Security Role and Policy Modeler ユーザー・インターフェースに表示され る属性の名前。名前は固有である必要があります。 <Attribute-Description> 属性の説明。 第 2 章 抽出ツールおよびロード・ツール 23 <Usage> 属性の使用法を示すテキスト。例えば、リソースの URI、ID、分析データなど を表す場合があります。Usage タグの値は、あらかじめ以下のように定義されて います。 v UserAnalysis v PermissionAnalysis v RoleAnalysis v SoDAnalysis v UserDisplay1-5 v PermissionDisplay1-5 これらの値のタイプによって、属性タイプが ID、権限、役割、または職務分離 のいずれであるのかが区別されます。 複数の Usage タグを使用することで、複数の使用法を示すことができます。属 性の使用法に、以下のタイプのうち少なくとも 1 つが含まれていない場合は、 属性のデータがフェッチされません。 v UserAnalysis v PermissionAnalysis v RoleAnalysis v SoDAnalysis 属性はスキーマ CSV ファイルには出力されますが、データ CSV ファイルには 出力されません。 <Type> 属性のタイプを定義します。次のいずれかのタイプを指定します。 v ストリング v 整数 v ID v 階層 <ITIMAttributeMapping> <ITIMObjectClass> <name> <attribute> <ITIMAttributeMapping> タグは、複数の使用法を持つ属性を定義します。カス タム属性名が共通で、ソースが異なっている場合、<ITIMAttributeMapping> タ グ内に複数の <ITIMObjectClass> タグを追加することで、このタイプの属性を 追加します。<name> タグと <attribute> タグは、異なる使用法ごとに指定しま す。 属性の使用法に関する注意点: v ExtractConfig.xml ファイルの <Attribute-Display-Name> タグでは、コア属性 の名前を使用しないでください。コア属性の例としては、Person UID、 Permission UID、Role UID があります。 v 抽出ツールは、スキーマ CSV ファイル内に「Identity Manager roleType」とい う属性を生成します。この特殊な属性は RoleAnalysis 属性です。この属性の値 24 IBM Security Role and Policy Modeler: リファレンス・ガイド は、IBM Security Identity Manager で定義されている役割の役割タイプです。値 は「static」または「dynamic」のいずれかです。 v 以下のいずれかの問題があるカスタム属性を ExtractConfig.xml ファイルに定義 する可能性があります。 – 属性が IBM Security Identity Manager に構成されていない – 属性は構成されているが、値が定義されていない これらのいずれかの問題が発生すると、抽出ツールが作成するデータ CSV ファ イルで、カスタム属性のエンティティーに値が抽出されません。これは、作成さ れるスキーマ CSV ファイルにこれらのカスタム属性の名前がある場合でも該当 します。 v デフォルトの ExtractConfig.xml ファイルでは、タグ <NonLDAPITIMAttributeMapping> </NonLDAP-ITIMAttributeMapping> 内にいくつかの属性 が宣言されています。これらの属性は、IBM Security Identity Manager からの属 性またはオブジェクト・クラスの直接的なマッピングを持たない特殊な属性で す。抽出ツールは、他の属性に使用する処理とは別に、追加の処理を使用して、 これらの属性の値を抽出します。これらの特殊な属性を手動で ExtractConfig.xml に追加することはできません。ただし、既存の属性が不要な 場合は、その属性を削除できます。 これらの特殊な属性は以下のとおりです。 Identity Manager Service Name この属性は、IBM Security Identity Manager で定義されたサービスに関連付け られたサービス名を抽出するために使用されます。 Identity Manager Service Owner この属性は、IBM Security Identity Manager で定義されたサービスに関連付け られたサービス・オーナー情報を抽出するために使用されます。 Identity Manager Resources この属性は、IBM Security Identity Manager で定義されたサービス・プロファ イル名を抽出するために使用されます。 Identity Manager Permission Assignment Type この属性の値は、「group」または「system」のいずれかです。値「group」 は、IBM Security Identity Manager で定義されている管理対象リソースのグル ープを参照します。値「system」は、IBM Security Identity Manager のグルー プを参照します。 属性セクションの例 複数の使用法を持つ属性の例を以下に示します。 <Attribute> <Attribute-UID>uri:attribute-Acount-objectclass</Attribute-UID> <Attribute-Display-Name>Account Object Classes</Attribute-Display-Name> <Attribute-Description>Account and support data Object class names</Attribute-Description> <Usage>UserDisplay3</Usage> <Usage>PermissionDisplay3</Usage> <Usage>RoleAnalysis</Usage> <Usage>SoDAnalysis</Usage> <Type>String</Type> <ITIMAttributeMapping> <ITIMObjectClass> <name>erPosixSolarisGroup</name> <attribute>objectclass</attribute> 第 2 章 抽出ツールおよびロード・ツール 25 </ITIMObjectClass> <ITIMObjectClass> <name>erSeparationOfDutyRule</name> <attribute>objectclass</attribute> </ITIMObjectClass> <ITIMObjectClass> <name>erPosixSolarisAccount</name> <attribute>objectclass</attribute> </ITIMObjectClass> <ITIMObjectClass> <name>erPosixAixAccount</name> <attribute>objectclass</attribute> </ITIMObjectClass> </ITIMAttributeMapping> </Attribute> 静的と動的の両方の route info カスタム役割属性の値を抽出するように Attribute セクションを定義する方法を以下の例に示します。 <Attribute> <Attribute-UID>Identity Manager attribute-Role Route Info</Attribute-UID> <Attribute-Display-Name>Identity Manager Role Route Info</Attribute-Display-Name> <Attribute-Description>Type of Custom Role Attribute route info</Attribute-Description> <Usage>RoleAnalysis</Usage> <Type>String</Type> <ITIMAttributeMapping> <ITIMObjectClass> <name>erRole</name> <attribute>routeinfo</attribute> </ITIMObjectClass> <ITIMObjectClass> <name>erDynamicRole</name> <attribute>routeinfo</attribute> </ITIMObjectClass> </ITIMAttributeMapping> </Attribute> 出力 ツールによってスキーマ CSV ファイル内に以下の情報が生成されます。 #Define Attribute Attribute UID Attribute Display Name Attribute Description タイプ Usage Usage Usage #Define Role Type セクション スキーマ CSV ファイルのこのセクションは、IBM Security Identity Manager の役 割分類タイプを表します。これらの役割タイプには、デフォルトのタイプの他に、 IBM Security Identity Manager サーバーで定義されたカスタムのタイプも含まれて います。 目的 この役割タイプ属性は、ExtractConfig.xml ファイルには含まれていません。 26 IBM Security Role and Policy Modeler: リファレンス・ガイド 出力 ツールによってスキーマ CSV ファイル内に以下の情報が生成されます。 #Define Role Type Role Type #Identity セクション データ CSV ファイルのこのセクションは、IBM Security Identity Manager から抽 出された ID に関する情報で構成されます。各 #Identity セクションに対して 1 つ のソースが関連付けられます。ID データは、ExtractConfig.xml ファイルで指定さ れた属性マッピングに基づき、さまざまなソースから抽出されます。 目的 ExtractConfig.xml ファイルで構成する属性マッピングによって、ID 情報のソース と使用法の両方が定義されます。 構成ファイル内のタグ ExtractConfig.xml ファイルでは、UserDisplay や UserAnalysis などの <Usage> サブタグを持つ <Attribute> タグによって、抽出対象となる ID 情報の追加属性が 定義されます。 出力 ツールによってデータ CSV ファイルに以下の情報が生成されます。 #Identity TIM-Production Person UID Identity Manager Person Object classes Source Record UID Person Name Custom Attr1 Person UID Source Record UID Person Name これらは IBM Security Role and Policy Modeler のコア属性です。「Person UID」が 1 次キーとして機能します。ソースに関するデータは、このソース からどのような追加属性が抽出されたのかを示すに過ぎません。 ExtractConfig.xml ファイルでは、<PersonUID> タグによって、「Person UID」として使用する属性を示します。 1 次ソースは IBM Security Identity Manager であるため、Person および BP Person の属性が、「Person UID」を定義するために使用されます。 Custom Attr1 「Custom Attr1」は、カスタムの ID 属性です。この属性は、 ExtractConfig.xml で <Attribute> タグを使用して定義されている場合に、 CSV ファイルに出力されます。このカスタム属性は複数使用できます。 第 2 章 抽出ツールおよびロード・ツール 27 注: 抽出ツールは、タイプ Person および BPPerson の IBM Security Identity Manager ユーザーを、ExtractConfig.xml で定義された 1 次ソースの ID として抽 出します。抽出ツールでは、IBM Security Identity Manager ユーザーのアカウント も ID として抽出できます。 #Permissions セクション ExtractConfig.xml ファイルのこのセクションは、IBM Security Identity Manager のグループを表します。これらのグループは、ご使用の管理対象リソース (企業デ ィレクトリー・サーバー、データベース、アプリケーションなど) で定義されま す。 目的 データ CSV ファイルのこのセクションには、IBM Security Identity Manager のグ ループ、およびご使用の管理対象リソース (サービス) で定義されたグループが、権 限として出力されます。この定義は、ExtractConfig.xml ファイルで指定された権 限マッピングに基づいています。すべてのグループの権限の割り当てタイプは、 「グループ」に設定されます。抽出ツールは、IBM Security Identity Manager で定 義されたサービスも権限として扱います。サービスの権限の割り当てタイプは、 「システム」に設定されます。 構成ファイル内のタグ 以下のタグが ExtractConfig.xml で定義されており、これらのタグによってデータ CSV ファイルに権限データが生成されます。 <ObjectClass type="Permission"> <Mapping> <Name>erLDAPGroupAccount</Name> <SourceAttribute>erldapgrouprdn</SourceAttribute> <AccountAttribute>erldapgroupname</AccountAttribute> </Mapping> <ServiceClass>erLDAPRMIService</ServiceClass> <ServiceAsPermission>true</ServiceAsPermission> </ObjectClass> 出力 ツールによってデータ CSV ファイルに以下の情報が生成されます。 #Permission Permission UID Permission Description Identity Manager Resources Identity Manager Permission Assignment Identity Manager Permission Assignment Type Permission Name Custom Attr1 Permission UID Permission Description Permission Name これらは IBM Security Role and Policy Modeler のコア属性です。抽出ツー ルは、これらの列の値の生成時に構成入力データを使用しません。 28 IBM Security Role and Policy Modeler: リファレンス・ガイド Custom Attr1 属性「Custom Attr1」は、カスタムの権限属性です。この属性は、 ExtractConfig.xml ファイルで <Attribute> タグを使用して定義されてい る場合に、CSV ファイルに出力されます。このカスタム属性は複数使用で きます。 Identity Manager Service Name Identity Manager Permission Assignment Type Identity Manager Resources デフォルトの ExtractConfig.xml ファイルでのこれらの属性の定義につい て詳しくは、『#Define Attribute セクション』を参照してください。 #Role セクション データ CSV ファイルのこのセクションは、IBM Security Identity Manager の役割 情報を表します。Role セクションは、ご使用の管理対象リソースで定義された役割 またはグループを表すこともできます。例として、AIX サービスなどが挙げられま す。 目的 抽出ツールはデフォルトでは、ExtractConfig.xml ファイルで指定されている特定 の属性マッピングを使用せずに、IBM Security Identity Manager の静的役割および 動的役割を抽出します。ExtractConfig.xml は役割抽出のための構成マッピングを 提供しません。ただし、使用法が RoleAnalysis である属性がいくつか存在します。 これらの属性に対して、抽出ツールは、これらの役割に関連付けられた追加情報を 抽出します。IBM Security Identity Manager 管理対象リソース (サービス) で定義さ れた役割を抽出するには、タグ <ObjectClass type="Role"> を使用して必要な情報 を指定します。このタグは ExtractConfig.xml ファイルに含まれます。 構成ファイル内のタグ デフォルトの ExtractConfig.xml ファイルには、使用法が RoleAnalysis である以 下のカスタムの役割属性が含まれています。 ルール定義 この属性は、動的役割のフィルター値を生成します。静的役割の場合、この 値は空になります。 Identity Manager Provisioning Policy Name IBM Security Identity Manager で定義されたプロビジョニング・ポリシーに 役割が関連付けられている場合、この属性はプロビジョニング・ポリシー名 を抽出します。 Identity Manager Org Unit この属性は、役割に関連付けられた IBM Security Identity Manager のビジ ネス単位を抽出します。この属性は、他の使用法にも関連付けられている汎 用属性です。 注: 抽出ツールは、RoleAnalysis 属性である「Identity Manager roleType」を生成 しますが、この属性の値には、IBM Security Identity Manager で定義されたその役 割の役割タイプ (static または dynamic) が設定されます。 第 2 章 抽出ツールおよびロード・ツール 29 出力 ツールによってデータ CSV ファイルに以下の情報が生成されます。 #Role ソース Role UID 役割所 有者 Identity Manager roleType 役割名 Role Type 役割の説明 Identity Manager Rule Definition Identity Manager Org Unit Parent Role Custom Attr1 Role UID 役割名 役割の説明 Role Type Parent Role 役割所有者 これらは IBM Security Role and Policy Modeler のコア属性です。 「Role Type」属性の値は、IBM Security Identity Manager サーバーに登録 されている、役割の役割分類属性値にマップされます。 抽出ツールで enableURI パラメーターを指定すると、Role UID 列と Parent Role 列には、以下が表示されます。 v 以下にあてはまる場合、役割の識別名 – URI がヌルである – URI がない – 1 つの役割に対して複数の URI 値が存在する v 以下にあてはまる場合、役割の URI – 役割に対して、IBM Security Identity Manager で構成されている単一 の URI 値が存在する enableURI パラメーターについて詳しくは、以下のトピックを参照してくだ さい。 v 40 ページの『AIX または Linux オペレーティング・システムでの抽出 ツールの実行』 v 37 ページの『Windows オペレーティング・システムでの抽出ツールの実 行』 Identity Manager roleType この属性は、スキーマ・ファイル内に存在しますが、カスタマイズできませ ん。抽出ツールは、この属性の値の生成時に構成入力データを使用しませ ん。 Custom Attr1 属性「Custom Attr1」は、カスタムの属性です。この属性は、 ExtractConfig.xml ファイルで <Attribute> タグを使用して定義されてい る場合に、データ CSV ファイルに出力されます。このカスタム属性は複数 使用できます。 30 IBM Security Role and Policy Modeler: リファレンス・ガイド #Separation of Duty Policy セクション データ CSV ファイルのこのセクションは、IBM Security Identity Manager の職務 分離ポリシー・ルールを表します。 構成ファイル内のタグ 抽出ツールは、デフォルトでは、ExtractConfig.xml ファイルで指定されている特 定の属性マッピングをいずれも使用せずに、IBM Security Identity Manager の職務 分離ポリシー・ルールを抽出します。しかし、使用法が SoDAnalysis である以下の 属性によって、職務分離ポリシー・ルールに関連付けられた追加情報が抽出されま す。 Identity Manager SoD Policy Name この属性の値には、職務分離ポリシー名が設定されます。 Identity Manager Org Unit この属性は、職務分離ポリシーに関連付けられた IBM Security Identity Manager のビジネス単位を抽出します。この属性は、他の使用法にも関連付 けられている汎用属性です。 出力 ツールによってデータ CSV ファイルに以下の情報が生成されます。 #Separation of Duty Policy Rule UID Identity Manager SoD Policy Name Cardinality Role UID Rule Description Identity Manager Org Unit Custom Attr1 Rule UID Rule Description Role UID Cardinality これらは IBM Security Role and Policy Modeler のコア属性です。 抽出ツールで enableURI パラメーターを指定すると、Role UID 列には、以 下が表示されます。 v 以下にあてはまる場合、役割の識別名 – URI がヌルである – URI がない – 1 つの役割に対して複数の URI 値が存在する v 以下にあてはまる場合、役割の URI – 役割に対して、IBM Security Identity Manager で構成されている単一 の URI 値が存在する enableURI パラメーターについて詳しくは、以下のトピックを参照してくだ さい。 第 2 章 抽出ツールおよびロード・ツール 31 v 40 ページの『AIX または Linux オペレーティング・システムでの抽出 ツールの実行』 v 37 ページの『Windows オペレーティング・システムでの抽出ツールの実 行』 Custom Attr1 この属性は、カスタムの職務分離ルール属性です。これは、 ExtractConfig.xml ファイルで <Attribute> タグを使用して定義されてい る場合に、CSV ファイルに出力されます。 #User Permission Assignment セクション データ CSV ファイルのこのセクションは、ユーザーの権限の割り当て情報を表し ます。 ある IBM Security Identity Manager ユーザーが、管理対象リソース (サービス) で アカウントを所有しており、そのアカウントが、そのリソース上のグループのメン バーであるとします。このリソースに対して、ExtractConfig.xml で適切な ID と 権限のマッピングが指定されている場合、データ CSV ファイルには、このリソー スのユーザーから権限へのマッピングが、以下の 2 つのエントリーとして出力され ます。 v 管理対象リソースのアカウントからグループへのマッピング v IBM Security Identity Manager ユーザーから管理対象リソース (サービス) へのマ ッピング 目的 抽出ツールの構成ファイルには、ユーザーの権限を定義するためのセクションがあ ります。 #Role User Assignment セクション データ CSV ファイルのこのセクションは、役割のユーザー割り当て情報を表しま す。 抽出ツールで指定する -enableURI パラメーターが、このセクションに出現する役 割の UID 値に及ぼす影響について詳しくは、以下のトピックを参照してください。 v 8 ページの『Windows オペレーティング・システムでの抽出ツールのインストー ルおよび構成』 v 9 ページの『AIX または Linux オペレーティング・システムでの抽出ツールのイ ンストールおよび構成』 #Define Hierarchical Attributes セクション データ CSV ファイルのこのセクションは、IBM Security Identity Manager から階 層属性として抽出された組織構造を表します。 目的 ExtractConfig.xml ファイルには、IBM Security Identity Manager で定義した組織 構造を抽出するために使用される Identity Manager Org Unit という属性が含まれ ています。 32 IBM Security Role and Policy Modeler: リファレンス・ガイド 抽出ツールの動作の定義 抽出構成 XML ファイルを更新することによって、抽出ツールの動作を定義しま す。 ExtractConfig.xml ファイル内の以下のセクションを使用して、抽出ツールの動作 を指定します。 v 34 ページの『属性スキーマ』 v 36 ページの『権限と役割』 v 『検索スコープ』 検索スコープ ExtractConfig.xml ファイルのこのセクションは、抽出ツールが IBM Security Identity Manager デプロイメントからデータをフェッチする際の適用範囲を定義しま す。 <SearchScope> セクションの定義 <SearchScope> セクションでは、以下の値を <SearchSource> で指定できます。 注: 以下の値のうちいずれか 1 つを選択する必要があります。このセクションでは 一度に 1 つしか値を指定できません。 Default Default 検索範囲では、IBM Security Identity Manager デプロイメントのす べてのデータが、抽出ツールによるフェッチ対象と見なされます。デフォル トの ExtractConfig.xml ファイルでは、この値が選択されています。 ExtractConfig.xml ファイル内で指定する <SearchSource> タグのフォーマ ットは以下のとおりです。 <SearchSource> <Value>Default</Value> </SearchSource> OrgContainer 検索範囲として、特定の組織名または特定の組織単位名を指定できます。例 えば、「ou=IBM」などと指定します。このオプションは、ロケーションや管 理ドメインなどの組織コンテナーを指定するときに使用します。範囲を組織 コンテナー名または組織名に設定すると、抽出ツールは、指定されたコンテ ナーまたはその子コンテナーの ID、権限、役割などのデータに、データ抽 出対象を制限します。子コンテナーにはサブ単位が含まれる場合がありま す。 ExtractConfig.xml ファイルでの <SearchSource> タグのフォーマットは以 下のとおりです。 <SearchSource> <Value>OrgContainer</Value> <OrgContainer>ou=IBM</OrgContainer> </SearchSource> <OrgContainer> タグの値は、該当する組織コンテナーの値に置き換えてく ださい。 第 2 章 抽出ツールおよびロード・ツール 33 v 組織単位、管理ドメイン、ビジネス・パートナー組織などの組織コンテナ ーの場合は、ou= を使用し、コンテナーの値を指定します。 v ロケーションの場合は l= を使用します。組織ユーザーの場合は o= を使 用し、コンテナーの値を指定します。 同じ名前の組織コンテナーが重複して存在する場合は、抽出ツールが終了 し、重複が存在することがユーザーに通知されます。この場合、該当するコ ンテナーの識別名 (DN) を代わりに指定できます。 DN 検索範囲として、特定の組織または特定の組織単位の識別名 (DN) を指定で きます。例えば、以下のとおりです。 DN=erglobalid=8632142593905208516,ou=orgChart, erglobalid=00000000000000000000,ou=ibm,dc=com このオプションは、ロケーションや管理ドメインなどの組織コンテナーの DN 値を指定するときに使用します。組織コンテナーの DN を使用して範 囲を指定すると、抽出ツールは、指定されたコンテナーまたはその子コンテ ナーのデータに、データ抽出対象を制限します。子コンテナーにはサブ単位 が含まれます。 ExtractConfig.xml ファイルでの <SearchSource> タグのフォーマットは以 下のとおりです。 <SearchSource> <Value>DN</Value> <DN>erglobalid=8632142593905208516,ou=orgChart, erglobalid=00000000000000000000,ou=ibm,dc=com</DN> </SearchSource> 属性スキーマ ExtractConfig.xml ファイルのこのセクションは、ID、権限、役割、および 1 次ソ ースの職務分離ポリシーのソース属性を定義します。また、この属性のフェッチ元 となる IBM Security Identity Manager のすべてのオブジェクト・クラスも定義しま す。定義された属性のいずれかが、ID によって指定されるエンド・リソースのアカ ウントのものである場合は、抽出ツールによって属性スキーマとソース情報が更新 されます。 <AttributeSchema> セクションの定義 ソース属性を定義するには、<AttributeSchema> セクション内で以下のタグを使用 します。 <Source-UID> 1 次ソースの UID を定義します。 <Source-Name> 1 次ソースの名前を定義します。 <Source-Description> ソースの説明を定義します。 <PersonUID> 「Person UID」の生成時に使用する、個人または Person クラスの属性を定 義します。この要素の属性名が有効な属性名でない場合は、デフォルトの属 性名として識別名 (DN) が使用されます。 34 IBM Security Role and Policy Modeler: リファレンス・ガイド 固有でない「Person UID」属性を指定すると、ツールは、同じ個人に対し て、複数のエントリーをフェッチします。この場合、出力 CSV ファイルに は、その個人に対して、複数の値を持つ単一のレコードが出力されます。 例えば、CSV ファイルに出力される ID 列の最大数が 6 列と予期されてい るとします。指定された PersonUID 値によって 2 つのレコードがフェッチ された場合、出力 CSV ファイルには 12 個の列が含まれます。つまり、予 期される列数に、重複レコードの数を掛けた分の列数がフェッチされます。 出力 CSV ファイルに、予期された列数を超える数の列を持つレコードがあ る場合は、スキーマを更新して固有の PersonUID を指定する必要がありま す。ツールを再実行すると、正しい結果が得られます。 <Attribute> 属性を定義します。このセクションで定義された属性が、CSV ファイルの 該当するセクションに出力されます。 <Attribute-UID> 属性 UID を定義します。 <Attribute-Display-Name> 固有の表示名を定義します。この値は CSV ファイルに出力されま す。 <Attribute-Description> 属性を説明します。 <Usage> 属性の使用法に関する説明です。例えば、リソースの URI または ID を表す場合や、分析データを示す場合があります。 ExtractConfig.xml ファイルには、Usage タグを指定するための方 法が用意されています。この「Usage」属性を指定する前に、データ の目的を把握しておいてください。 「Usage」列の値はあらかじめ定義されています。値は以下のとおり です。 v UserAnalysis v PermissionAnalysis v RoleAnalysis v SoDAnalysis v UserDisplay1-5 v PermissionDisplay1-5 これらの値によって、属性タイプが ID、権限、役割、または職務分 離のいずれであるのかが区別されます。 <Type> 属性のタイプを定義します。次のいずれかのタイプを指定します。 v ストリング v 整数 v ID v 階層 第 2 章 抽出ツールおよびロード・ツール 35 <ITIMAttributeMapping> IBM Security Identity Manager から属性値を取得するときに使用するオブジ ェクト・クラス名と属性名を指定します。 権限と役割 ExtractConfig.xml ファイルのこのセクションは、権限と役割を定義します。 IBM Security Identity Manager では、権限と役割を以下の形で表すことができま す。 v IBM Security Identity Manager の役割 v IBM Security Identity Manager のグループ v IBM Security Identity Manager で定義された管理対象リソースの役割およびグル ープ これらは、エンド・リソースでは、グループ、権限、特権、担当、または役割とし て呼び出すことができます。IBM Security Identity Manager では、多くの場合、こ のデータが、アカウント・フォームで属性の値を入力する代わりに選択できるよう にするためのサポート・データとして使用されています。ツールでは、このデータ を格納するオブジェクト・クラスと、このデータを使用するアカウント・クラスを 定義します。 ツールは、権限 UID または役割 UID、あるいはその両方を生成し、ID に対するそ れらの割り当てを取得します。 <PermissionRoleObjectClasses> セクションの定義 <PermissionRoleObjectClasses> セクションには、以下のタグおよび値を含めるこ とができます。 <ObjectClass type="Permission"> 値 Permission または値 Role を指定して、権限または役割のデータを生成 します。デフォルト値は Permission です。 <Mapping> 権限と、個人と権限の間のマッピングを生成します。このタグで定義する要 素は以下のとおりです。 <Name> サポート・データのオブジェクト・クラス名を指定します。 <SourceAttribute> サポート・データ・オブジェクト・クラスで使用されている属性の 1 つを指定します。 <AccountAttribute> サポート・データの値を表示するために使用されるアカウント属性 名を指定します。 <ServiceClass> サービス・クラス名を指定します。 <ServiceAsPermission>true</ServiceAsPermission> サービス自体を権限として表すかどうかを指定します。サービス自体を権限 36 IBM Security Role and Policy Modeler: リファレンス・ガイド として表す場合は、値を true に設定します。抽出ツールは、サービスに対 する権限を生成し、このサービスの個人と権限の間のマッピングも生成しま す。 <ServiceGroup> サービス・グループを定義します。複数のサービスが同じリソースを参照し ている場合に、権限と権限マッピングを単一のサービスに対して生成するに は、<ServiceName> タグを使用して、これらのサービス名を <ServiceGroup> タグに追加します。 このツールは、このタグで指定されたサービスのリストに記述されている 1 つのサービスに対してのみ、権限と権限マッピングを生成します。 <GroupName> グループ名を指定します。この値は、permissionUID の生成時に使用されま す。IBM Security Identity Manager 実装において重複している permissionUID を識別できます。任意の値、またはサービス名のリストに記 載されたサービス名のうちいずれかを指定できます。 <Format> フォーマットを定義します。フォーマットは、ソース属性の値の他にアカウ ント属性内に存在する値の個数と、それらの値を区切る方法を定義します。 フォーマットには値をキーワードとして含める必要があり、区切り文字には 「|」、「,」、「.」などを指定できます。 <RoleType> 役割のタイプを定義します。この属性の値は、Business role、Application role、または空白のいずれかにすることができます。roleType を指定しな い場合は、この属性を構成ファイルから削除します。 <Role-Owner> 役割所有者を表すストリングを指定します。 例えば、以下のとおりです。 <Role-Owner>erglobalid=00000000000000000007, ou=0,ou=people,erglobalid=00000000000000000000, ou=IBM,dc=com</Role-Owner> この例では、以下の値が役割所有者として扱われます。 erglobalid=00000000000000000007,ou=0,ou=people, erglobalid=00000000000000000000,ou=IBM,dc=com この値は実際に IBM Security Identity Manager ユーザーの LDAP DN で す。役割に役割所有者が必要でない場合は、この属性を構成ファイルから削 除します。 Windows オペレーティング・システムでの抽出ツールの実行 Extract.cmd を実行して、IBM Security Identity Manager から ID データを取得し ます。すると、ツールは ExtractConfig.xml ファイルのスキーマ情報を使用して、 スキーマ CSV ファイルとデータ CSV ファイルを作成します。 始める前に IBM Security Identity Manager が稼働していることを確認します。 第 2 章 抽出ツールおよびロード・ツール 37 8 ページの『Windows オペレーティング・システムでの抽出ツールのインストール および構成』に記述されているステップを完了してください。 ExtractConfig.xml 構成ファイルを更新します。 20 ページの『抽出構成 XML ファ イルの更新』を参照してください。 手順 1. コマンド・プロンプトから、抽出ツール・ファイルを抽出したフォルダーにナビ ゲートします。例えば、C:¥Program Files¥IBM¥SecurityModeler¥utilities¥extract に移動します。 2. コマンド・プロンプトから Extract.cmd を実行します。 このコマンドは、パラメーターがなければ、抽出ツールを実行しているのと同じ フォルダーにある ExtractConfig.xml というデフォルト・ファイルを使用しま す。異なるファイル名またはパスを指定したい場合は、以下のように指定しま す。Extract.cmd [-enableURI] [-InputFileName="filename"] [-OutputDir="directoryPath"] ここで、引数は次を意味します。 enableURI 抽出ツールで URI 情報を使用できるようにします。このオプションを指定 しない場合、識別名が使用されます。 注: enableURI パラメーターが使用可能なのは、IBM Security Identity Manager バージョン 6.0 以降のみです。また、抽出ツールで認識するのは役 割の URI のみです。 抽出ツールに enableURI パラメーターを指定する場合、ロード・ツールにも このパラメーターを指定する必要があります。これにより、IBM Security Identity Manager と IBM Security Role and Policy Modeler との間でデータ の一貫性が保持されます。 IBM Security Identity Manager では、1 つの役割に単一の URI を割り当て ることも複数の URI を割り当てることもできます。さらに、役割の URI は 必須属性ではないため、一部の役割についてヌルにすることもできます。役 割の URI は固有ではないため、複数の役割の URI が同じになる場合もあり ます。 役割に関連付けられている URI に応じて抽出される値を表 5 に示します。 表 5. enableURI パラメーターを使用して抽出される値 役割に関連付けられてい る URI 38 抽出される値 値を格納するデータ CSV ファイル内のセクション 役割に関連付けられてい る URI がない 識別名 Role、Role User Assignment、および Separation of Duty Policy 固有の URI が役割に関 連付けられている 役割の URI Role、Role User Assignment、および Separation of Duty Policy IBM Security Role and Policy Modeler: リファレンス・ガイド 表 5. enableURI パラメーターを使用して抽出される値 (続き) 役割に関連付けられてい る URI 値を格納するデータ CSV ファイル内のセクション 抽出される値 複数の役割に同じ URI が関連付けられている Role、Role User 役割の URI Assignment、および 注: IBM Security Role and Policy Modeler へのインポート時は、同じ Separation of Duty Policy URI を持つこれらの役割のうち、1 つのみがインポートされ、その他は 無視されます。この件について、抽 出ツールのログ・ファイルにメッセ ージは記録されません。インポート 時の IBM Security Role and Policy Modeler のメッセージで、役割がス キップしたことが示されます。 複数の URI が役割に関 連付けられている 識別名 Role、Role User Assignment、および Separation of Duty Policy InputFileName 入力構成ファイルのパスおよびファイル名を定義します。このパラメーター を指定しない場合、抽出ツール・ファイルを抽出したディレクトリーが使用 されます。デフォルトの入力構成ファイルは ExtractConfig.xml です。 OutputDir CSV ファイルが生成される出力ディレクトリーを定義します。このパラメー ターを指定しない場合、抽出ツール・ファイルを抽出したディレクトリーが 使用されます。 このコマンドのいくつかの例を以下に示します。 Extract.cmd Extract.cmd -OutputDir="F:¥MyDir" Extract.cmd -enableURI -InputFileName="F:¥Inputfile¥ExtractConfig.xml" -OutputDir="F:¥OutputDir" 3. データの抽出元となる IBM Security Identity Manager サーバーのユーザー名お よびパスワードを入力します。このユーザーは、このユーティリティーを実行す る管理権限を持つシステム・ユーザーでなければなりません。ユーザーに管理権 限がない場合、ツールはエラー・メッセージを表示し、実行を停止します。 タスクの結果 8 ページの『Windows オペレーティング・システムでの抽出ツールのインストール および構成』で HOME_DIR に指定したディレクトリーに、以下のファイルが作成 されます。 v Extract.log – 各トランザクションをリストするログ・ファイル。 v Import_Data_Session.csv – ID、役割、権限などの IBM Security Identity Manager データを含む CSV ファイル。 v Import_Schema_Session.csv -- IBM Security Identity Manager のカスタム表示属 性および分析属性のスキーマ定義を含む CSV ファイル。 第 2 章 抽出ツールおよびロード・ツール 39 次のタスク Extract.log ファイルで、エラーおよびその他の処理情報があるかどうかを調べて ください。 IBM Security Role and Policy Modeler 管理コンソールを使用して、データをインポ ートし、モデル化します。ステップ 4 (5 ページ) を参照してください。 AIX または Linux オペレーティング・システムでの抽出ツールの 実行 Extract.sh を実行して、IBM Security Identity Manager から ID データを取得しま す。すると、ツールは ExtractConfig.xml ファイルのスキーマ情報を使用して、ス キーマ CSV ファイルとデータ CSV ファイルを作成します。 始める前に IBM Security Identity Manager が稼働していることを確認します。 9 ページの『AIX または Linux オペレーティング・システムでの抽出ツールのイン ストールおよび構成』に記述されているステップを完了してください。 ExtractConfig.xml 構成ファイルを更新します。 20 ページの『抽出構成 XML ファ イルの更新』を参照してください。 手順 1. コマンド・プロンプトから、抽出ツール・ファイルを抽出したフォルダーにナビ ゲートします。例えば、/opt/IBM/SecurityModeler/utilities/extract に移動 します。 2. コマンド・プロンプトから Extract.sh を実行します。 このコマンドは、パラメーターがなければ、抽出ツールを実行しているのと同じ フォルダーにある ExtractConfig.xml というデフォルト・ファイルを使用しま す。異なるファイル名またはパスを指定したい場合は、以下のように指定しま す。Extract.sh [-enableURI] [-InputFileName="filename"] [-OutputDir="directoryPath"] ここで、引数は次を意味します。 enableURI 抽出ツールで URI 情報を使用できるようにします。このオプションを指定 しない場合、識別名が使用されます。 注: enableURI パラメーターが使用可能なのは、IBM Security Identity Manager バージョン 6.0 以降のみです。また、抽出ツールで認識するのは役 割の URI のみです。 抽出ツールに enableURI パラメーターを指定する場合、ロード・ツールにも このパラメーターを指定する必要があります。これにより、IBM Security Identity Manager と IBM Security Role and Policy Modeler との間でデータ の一貫性が保持されます。 40 IBM Security Role and Policy Modeler: リファレンス・ガイド IBM Security Identity Manager では、1 つの役割に単一の URI を割り当て ることも複数の URI を割り当てることもできます。さらに、役割の URI は 必須属性ではないため、一部の役割についてヌルにすることもできます。役 割の URI は固有ではないため、複数の役割の URI が同じになる場合もあり ます。 役割に関連付けられている URI に応じて抽出される値を表 6 に示します。 表 6. enableURI パラメーターを使用して抽出される値 役割に関連付けられてい る URI 値を格納するデータ CSV ファイル内のセクション 抽出される値 役割に関連付けられてい る URI がない 識別名 Role、Role User Assignment、および Separation of Duty Policy 固有の URI が役割に関 連付けられている 役割の URI Role、Role User Assignment、および Separation of Duty Policy 複数の役割に同じ URI が関連付けられている Role、Role User 役割の URI Assignment、および 注: IBM Security Role and Policy Modeler へのインポート時は、同じ Separation of Duty Policy URI を持つこれらの役割のうち、1 つのみがインポートされ、その他は 無視されます。この件について、抽 出ツールのログ・ファイルにメッセ ージは記録されません。インポート 時の IBM Security Role and Policy Modeler のメッセージで、役割がス キップしたことが示されます。 複数の URI が役割に関 連付けられている 識別名 Role、Role User Assignment、および Separation of Duty Policy InputFileName 入力構成ファイルのパスおよびファイル名を定義します。このパラメーター を指定しない場合、抽出ツール・ファイルを抽出したディレクトリーが使用 されます。デフォルトの入力構成ファイルは ExtractConfig.xml です。 OutputDir CSV ファイルが生成される出力ディレクトリーを定義します。このパラメー ターを指定しない場合、抽出ツール・ファイルを抽出したディレクトリーが 使用されます。 このコマンドのいくつかの例を以下に示します。 Extract.sh Extract.sh -OutputDir="/MyDir" Extract.sh -enableURI -InputFileName="/Inputfile/ExtractConfig.xml" -OutputDir="/OutputDir" 3. データの抽出元となる IBM Security Identity Manager サーバーのユーザー名お よびパスワードを入力します。このユーザーは、このユーティリティーを実行す 第 2 章 抽出ツールおよびロード・ツール 41 る管理権限を持つシステム・ユーザーでなければなりません。ユーザーに管理権 限がない場合、ツールはエラー・メッセージを表示し、実行を停止します。 タスクの結果 9 ページの『AIX または Linux オペレーティング・システムでの抽出ツールのイン ストールおよび構成』で HOME_DIR に指定したディレクトリーに、以下のファイ ルが作成されます。 v Extract.log -- 各トランザクションをリストするログ・ファイル。 v Import_Data_Session.csv – ID、役割、権限などの IBM Security Identity Manager データを含む CSV ファイル。 v Import_Schema_Session.csv – IBM Security Identity Manager スキーマを含む CSV ファイル。 次のタスク Extract.log ファイルで、エラーおよびその他の処理情報があるかどうかを調べて ください。 IBM Security Role and Policy Modeler 管理コンソールを使用して、データをインポ ートし、モデル化します。ステップ 4 (5 ページ) を参照してください。 抽出ツールのシナリオ ExtractConfig.xml ファイル内の特定のタグを使用して、特定のデータ・セットを 抽出する必要があるシナリオがいくつかあります。 これらのシナリオについては、以下のトピックで説明しています。 v 『特定の組織コンテナーからのデータの抽出』 v 『管理対象リソースからの権限および ID の抽出』 v 43 ページの『単一のサービスの役割および権限の抽出』 v 44 ページの『役割の URI データの抽出』 特定の組織コンテナーからのデータの抽出 データの抽出元とする IBM Security Identity Manager コンテナーの名前または識別 名 (DN) を指定できます。抽出構成 XML ファイルでタグのセットを指定すること によって、データのサブセットを取得することができます。 このタスクについて 詳しくは、 33 ページの『検索スコープ』を参照してください。 管理対象リソースからの権限および ID の抽出 ID が IBM Security Identity Manager サーバーからのものである場合に管理対象リ ソースから権限データを抽出するには、抽出構成 XML ファイルで適切なタグを指 定します。 42 IBM Security Role and Policy Modeler: リファレンス・ガイド 手順 ExtractConfig.xml ファイルの <PermissionRoleObjectClasses> セクションを使用 して、管理対象リソースの権限および役割データのみを指定します。 v 例えば、デフォルトの ExtractConfig.xml ファイルを使用すると、LDAP グルー プ用に提供される権限マッピングが存在します。 <ObjectClass type="Permission"> <Mapping> <Name>erLDAPGroupAccount</Name> <SourceAttribute>erldapgrouprdn</SourceAttribute> <AccountAttribute>erldapgroupname</AccountAttribute> </Mapping> <ServiceClass>erLDAPRMIService</ServiceClass> <ServiceAsPermission>true</ServiceAsPermission> </ObjectClass> この <ObjectClass type="Permission"> タグの全体を削除した場合、LDAP グル ープは権限として抽出されません。 同様に、特定のサービス用に独自の属性タグを追加して、そのサービスからグル ープを権限として抽出することができます。 v その管理対象リソースの ID データを抽出したい場合は、<AttributeSchema> セ クションを使用して属性マッピングを指定します。 例えば、ご使用の IBM Security Identity Manager デプロイメントが LDAP アカ ウント管理用の LDAP サービスで構成されている場合に、LDAP アカウントを ID として抽出するには、以下の属性を指定します。 <Attribute> <Attribute-UID>attribute-LDAP-Account-UID</Attribute-UID> <Attribute-Display-Name>LDAP Account UID</Attribute-Display-Name> <Attribute-Description>Account UIDs of LDAP service</Attribute-Description> <Usage>UserAnalysis</Usage> <Type>String</Type> <ITIMAttributeMapping> <ITIMObjectClass> <name>erLDAPUserAccount</name> <attribute>eruid</attribute> </ITIMObjectClass> </ITIMAttributeMapping> </Attribute> v ExtractConfig.xml ファイルに管理対象リソースのマッピングが含まれていない 場合は、その特定のリソースから ID データは抽出されません。 単一のサービスの役割および権限の抽出 複数のサービスが同じリソースを指しているとき、単一のサービス用の権限と役割 のマッピングを生成したい場合は、抽出構成 XML ファイルで適切なタグを指定し て、サービス名をサービス・グループに追加します。 このタスクについて 抽出ツールは、サービス・グループに記載されたサービスのリストから任意の単一 のサービス用の権限と役割のマッピングを生成します。 第 2 章 抽出ツールおよびロード・ツール 43 手順 ExtractConfig.xml ファイルの <ServiceGroup> セクションを使用して、単一のサ ービス用の権限と役割を生成します。 以下の例では、<ServiceName> タグ内のサービスは、同じ管理対象リソースを指し ており、サポート・データの調整後は同じデータを含んでいます。 <ServiceGroup> <ServiceName>Posix Solaris Service</ServiceName> <ServiceName>PosixSolaris Duplicate service 1</ServiceName> <ServiceName>PosixSolaris Duplicate service 2</ServiceName> <GroupName>Posix-Solaris</GroupName> </ServiceGroup> 役割の URI データの抽出 IBM Security Identity Manager 6.0 では、役割の URI 属性を使用できます。このた め、IBM Security Identity Manager から URI データを抽出し、それを IBM Security Role and Policy Modeler 内の URI にマップできます。 IBM Security Identity Manager 5.1 では、役割 DN が IBM Security Role and Policy Modeler 内の役割の URI にマップされます。 このマッピングを使用するには、-enableURI オプションを IBM Security Identity Manager 6.0 データに対して指定して抽出ツールを実行します。-enableURI オプシ ョンの使用方法とその結果について詳しくは、以下のトピックを参照してくださ い。 v 37 ページの『Windows オペレーティング・システムでの抽出ツールの実行』 v 40 ページの『AIX または Linux オペレーティング・システムでの抽出ツールの 実行』 ロード・ツールの概要 IBM Security Role and Policy Modeler を使用してモデル化されたデータをロードし て IBM Security Identity Manager に戻すには、ロード・ツールを使用します。 Config.properties ファイルには、リモートまたはローカルの IBM Security Identity Manager 環境でロード・ツールを実行するために必要な入力パラメーターが 含まれています。 15 ページの『ロード・ツール用の Config.properties 入力ファイル の更新』を参照してください。 ロード・ツールを使用する場合、以下のトピックで説明するようにパラメーターを 指定します。 v 48 ページの『Windows オペレーティング・システムでのロード・ツールの実 行』 v 51 ページの『AIX または Linux オペレーティング・システムでのロード・ツー ルの実行』 注: ロード・ツールは、WebSphere Application Server 内部で稼働している IBM Security Identity Manager アプリケーションに接続する WebSphere Application Server シン・クライアント・アプリケーションとして機能します。WebSphere 44 IBM Security Role and Policy Modeler: リファレンス・ガイド Application Server で追加セキュリティー構成が定義されている場合は、シン・クラ イアント・アプリケーションとの接続について WebSphere Application Server の資 料を参照してください。 サポートされる操作と属性 ロード・ツールは、IBM Security Identity Manager での以下の操作をサポートしま す。 v 静的役割の作成 v 静的役割の更新 v 動的役割の更新 v 職務分離ポリシーの作成 ロード・ツールは、IBM Security Role and Policy Modeler から作成されて XML ファイルの形式でエクスポートされた職務分離制約について、IBM Security Identity Manager での職務分離ポリシーの追加をサポートします。 v 職務分離ポリシーの更新 ロード・ツールは、IBM Security Identity Manager 内の既存の職務分離ポリシー からのポリシー・ルールの更新をサポートします。 注: IBM Security Identity Manager サーバーは、動的役割と職務分離ポリシーとの関 連付けを許可しません。IBM Security Role and Policy Modeler からエクスポートさ れた職務分離制約に、1 つ以上の動的役割が含まれている場合、以下のようになり ます。 v プレビュー・モードでは、エラー・メッセージが表示されます。 v 通常モードでは、ロードにおいて、指定された職務分離制約での追加または変更 操作の実行に失敗します。 IBM Security Identity Manager で静的役割を作成または更新する場合、ロード・ツ ールは以下に示す役割属性をサポートします。 v 役割名 v 役割の説明 v 役割の分類 v 役割メンバーまたはユーザー・メンバーの割り当てまたは削除 v 親役割の割り当てまたは削除 v 役割カスタム属性 v 役割の Universal Resource Identifier (erURI) 属性 erURI 属性は、バージョン 6.0 の IBM Security Identity Manager サーバー で、-enableURI オプションを指定してロード・ツールを実行する場合にサポート されます。 IBM Security Identity Manager で動的役割を更新する場合、ロード・ツールは以下 に示す役割属性をサポートします。 v 役割名 v 役割の説明 第 2 章 抽出ツールおよびロード・ツール 45 v 役割の分類 v 役割カスタム属性 v 役割の Universal Resource Identifier (erURI) 属性 erURI 属性は、バージョン 6.0 の IBM Security Identity Manager サーバー で、-enableURI オプションを指定してロード・ツールを実行する場合にサポート されます。 注: ロード・ユーティリティーによる動的役割の更新のサポートには制限がありま す。動的役割の場合、IBM Security Identity Manager は、役割メンバーシップ設定 と役割階層設定の更新をサポートしません。IBM Security Role and Policy Modeler からエクスポートされた役割に、これらの設定のいずれかが含まれている場合、プ レビュー・モードでも通常モードでも警告メッセージが表示されます。 職務分離ポリシーの作成または更新時には、ロード・ツールは以下に示す属性をサ ポートします。 v ルールの説明 v ルール内で関連付けられた役割 v 許容される役割数を表すカウント ロード構成 XML ファイルの更新 ロード構成 XML ファイルを更新して、ロード・ツールへの入力として使用するカ スタム属性を定義します。ロード・ツールで認識するカスタムの役割属性は、この 構成ファイルで定義する属性のみです。 始める前に ロード・ツールとともにインストールされた LoadConfig.xml ファイルを見つけま す。詳しくは、以下のいずれかのトピックを参照してください。 v 11 ページの『Windows オペレーティング・システムでのロード・ツールのイン ストールおよび構成』 v 12 ページの『AIX または Linux オペレーティング・システムでのロード・ツー ルのインストールおよび構成』 このタスクについて LoadConfig.xml ファイルには、カスタム属性のスキーマ要素を定義します。このフ ァイルは、IBM Security Identity Manager サーバーから抽出されたデータを使用し ます。このファイルはカスタマイズできます。これにより、IBM Security Identity Manager サーバーにロードするカスタム属性を識別しやすくなります。 カスタムの役割属性がサポートされるのは、IBM Security Identity Manager バージ ョン 6.0 上でロード・ツールを実行したときのみです。 構成ファイルの更新に使用できる方法は 2 つあります。定義するカスタム属性が、 抽出構成ツールに定義する属性と同じ場合は、以下の 1 つめのオプションを使用し ます。 46 IBM Security Role and Policy Modeler: リファレンス・ガイド 手順 以下のいずれかの手順を使用して、ロード構成ファイルを更新します。 v 抽出構成ファイルを使用する場合: 1. ExtractConfig.xml ファイルを、LoadConfig.xml ファイルが格納されている フォルダーにコピーします。 20 ページの『抽出構成 XML ファイルの更新』 を参照してください。 2. LoadConfig.xml ファイルをバックアップします。 3. コピーした ExtractConfig.xml ファイルの名前を LoadConfig.xml に変更し ます。 v LoadConfig.xml ファイルを手動で更新する場合: 1. エディターで LoadConfig.xml ファイルを開きます。 2. タグ付けを追加または更新して、『ロード・ツールの動作の定義』で説明され ている指定内容を使用して、ロード・ツールの動作を定義します。 3. このファイルを保管します。 次のタスク ロード・ツールを使用して、この構成ファイルを使用してデータをロードします。 詳しくは、以下のいずれかのトピックを参照してください。 v 48 ページの『Windows オペレーティング・システムでのロード・ツールの実 行』 v 51 ページの『AIX または Linux オペレーティング・システムでのロード・ツー ルの実行』 ロード・ツールの動作の定義 ロード構成 XML ファイルを更新することによって、ロード・ツールの動作を定義 します。 LoadConfig.xml ファイル内の以下のセクションを使用して、ロード・ツールの動作 を指定します。 v 『属性スキーマ』 属性スキーマ LoadConfig.xml ファイルのこのセクションには、ID、権限、役割、および 1 次ソ ースの職務分離ポリシーのカスタムのソース属性を定義します。このカスタム属性 のフェッチ対象の IBM Security Identity Manager からのすべてのオブジェクト・ク ラスも定義します。 <AttributeSchema> セクションの定義 注: ロード・ツールは、<AttributeSchema> セクション内のカスタム役割属性のみ を認識します。このため、Usage に RoleAnalysis が定義されているカスタム役割属 性のみが認識されます。 カスタムのソース属性を定義するには、<AttributeSchema> セクション内で以下の タグを使用します。 第 2 章 抽出ツールおよびロード・ツール 47 <Attribute> カスタム属性を定義します。ゼロ以上のカスタム属性を定義できます。 <Attribute-UID> 属性 UID を定義します。このタグはオプションです。ゼロ以上の属性 UID を定義できます。 <Attribute-Display-Name> 固有の表示名を定義します。このタグは必須です。このタグは 1 回定義し ます。 <Attribute-Description> 属性を定義します。このタグはオプションです。ゼロ以上の属性を定義でき ます。 <Usage> 属性の使用法に関する説明です。例えば、リソースの URI または ID を表 す場合や、分析データを示す場合があります。LoadConfig.xml ファイル に、Usage タグを指定するための規定があります。この Usage 属性を使用 する前に、データの目的を把握しておいてください。「Usage」列の値はあ らかじめ定義されています。値は以下のとおりです。 v UserAnalysis v PermissionAnalysis v RoleAnalysis v SoDAnalysis v UserDisplay1-5 v PermissionDisplay1-5 これらの値によって、属性タイプが ID、権限、役割、または職務分離のい ずれであるのかが区別されます。このタグは必須です。1 つ以上の Usage タグを定義できます。 <Type> 属性のタイプを定義します。次のいずれかのタイプを指定します。 v ストリング v 整数 v ID v 階層 このタグはオプションです。ゼロ以上の Type タグを定義できます。Type タグがない場合、デフォルトで String タグが使用されます。 <ITIMAttributeMapping> IBM Security Identity Manager から属性値を取得するときに使用するオブジ ェクト・クラス名と属性名を指定します。 Windows オペレーティング・システムでのロード・ツールの実行 Load.cmd を実行して、IBM Security Role and Policy Modeler の役割と職務分離制 約データを IBM Security Identity Manager にロードします。 48 IBM Security Role and Policy Modeler: リファレンス・ガイド 始める前に IBM Security Identity Manager が稼働していることを確認します。 11 ページの『Windows オペレーティング・システムでのロード・ツールのインス トールおよび構成』に記述されているステップを完了してください。 ロード・ツールのパラメーターを定義する Config.properties ファイルを更新しま す。詳しくは、 15 ページの『ロード・ツール用の Config.properties 入力ファイルの 更新』を参照してください。 IBM Security Role and Policy Modeler からエクスポートしたプロジェクトの XML ファイルのファイルおよびパス情報を把握するか、ファイルをロード・ツール・フ ォルダーにコピーします。 このタスクについて Load.cmd を実行するときに、ツールの入力は、IBM Security Role and Policy Modeler からエクスポートされた役割および職務分離制約データを含む XML ファ イルから取り込まれます。 次にロード・ユーティリティーは、IBM Security Identity Manager に接続し、役割 および職務分離制約データを IBM Security Identity Manager にロードします。 手順 1. コマンド・プロンプトから、ロード・ツール・ファイルを抽出したフォルダーに ナビゲートします。例えば、C:¥Program Files¥IBM¥SecurityModeler¥utilities¥load に移動します。 2. コマンド・プロンプトから Load.cmd を実行します。 このコマンドには、以下 のオプション・パラメーターを使用します。 Load.cmd [-enableURI] [-PreviewMode=value] [-InputFileName="filename"] [-ConfigFileName="filename"] ここで、引数は次を意味します。 enableURI ロード・ツールで URI 情報を使用できるようにします。このオプションを 指定しない場合、識別名が使用されます。 抽出ツールに enableURI パラメーターを指定する場合、ロード・ツールにも このパラメーターを指定する必要があります。これにより、IBM Security Identity Manager と IBM Security Role and Policy Modeler との間でデータ の一貫性が保持されます。 注: enableURI パラメーターが使用可能なのは、IBM Security Identity Manager バージョン 6.0 以降のみです。また、ロード・ツールで認識するの は役割の URI のみです。 PreviewMode 追加または変更される可能性のある役割および職務分離制約の総数を示す統 第 2 章 抽出ツールおよびロード・ツール 49 計のみをプレビューするには、true を指定します。追加および変更のロー ド・アクションを実行するには、false を指定します。デフォルト値は true です。 プレビュー・モードの統計には、IBM Security Identity Manager サーバーで 実行される変更の数が表示されますが、実際には変更は実行されていませ ん。さらに、これらの操作が原因となって発生したエラーがあれば、プレビ ューに表示されます。 InputFileName IBM Security Role and Policy Modeler からエクスポートされた XML ファ イルのパスおよびファイル名を指定します。このファイルには、IBM Security Identity Manager にインポートされる役割および職務分離制約データ が含まれています。 ConfigFileName ロード構成 XML ファイルのパスおよびファイル名を指定します。 このパラメーターを指定しない場合、ロード・ツール・ファイルの抽出元の ディレクトリーが使用されます。デフォルトの入力構成ファイルは、 LoadConfig.xml です。 コマンド行で指定した値は、Config.properties ファイルで指定した値をオーバ ーライドします。Config.properties ファイルで指定したパラメーターを使用す るには、パラメーターを指定せずにコマンドを実行します。 以下の例は、このコマンドの実行方法を示しています。 Load.cmd Load.cmd -enableURI -PreviewMode=true -InputFileName="E:¥Adapter Installers¥RaPM¥Identity-Manager-Load¥Project1.xml" Load.cmd -PreviewMode=true -InputFileName="E:¥Adapter Installers¥RaPM¥Identity-Manager-Load¥Project1.xml" -ConfigFileName="E:¥Adapter Installers¥RaPM¥Identity-Manager-Load¥LoadConfig.xml" 3. Config.properties ファイルで WAS_GlobalSecurity_Enabled = true と設定し た場合、ロード・ツールは WebSphere Application Server のユーザー名とパスワ ードの入力を求めるプロンプトを表示します。データのロード元となる IBM Security Identity Manager サーバーのユーザー名およびパスワードを入力しま す。このユーザーは、管理権限を持つシステム・ユーザーでなければなりませ ん。ユーザーに管理権限がない場合、ユーティリティーはエラー・メッセージを 表示し、終了します。 WAS_GlobalSecurity_Enabled = true、および WebSphere Application Server の ユーザー名とパスワードは、IBM Security Identity Manager 5.1 に対してのみ該 当します。これらは、IBM Security Identity Manager6.0 には適用されません。 タスクの結果 Load.log ファイルで、エラーおよびその他の処理情報があるかどうかを調べてくだ さい。 これで役割および職務分離制約データが IBM Security Identity Manager にロードさ れます。 50 IBM Security Role and Policy Modeler: リファレンス・ガイド AIX または Linux オペレーティング・システムでのロード・ツー ルの実行 Load.sh を実行して、IBM Security Role and Policy Modeler の役割と職務分離制約 データを IBM Security Identity Manager にロードします。 始める前に IBM Security Identity Manager が稼働していることを確認します。 12 ページの『AIX または Linux オペレーティング・システムでのロード・ツール のインストールおよび構成』に記述されているステップを完了してください。 ロード・ツールのパラメーターを定義する config.properties ファイルを更新しま す。 15 ページの『ロード・ツール用の Config.properties 入力ファイルの更新』を参 照してください。 IBM Security Role and Policy Modeler からエクスポートしたプロジェクトの XML ファイルのファイルおよびパス情報を把握するか、ファイルをロード・ツール・フ ォルダーにコピーします。 このタスクについて Load.sh を実行するときに、ツールの入力は、IBM Security Role and Policy Modeler の役割および職務分離制約データを含む XML ファイルから取り込まれま す。 次にロード・ユーティリティーは、IBM Security Identity Manager に接続し、役割 および職務分離制約データを IBM Security Identity Manager にロードします。 手順 1. コマンド・プロンプトから、ロード・ツール・ファイルを抽出したフォルダーに ナビゲートします。例えば、/opt/IBM/SecurityModeler/load に移動します。 2. コマンド・プロンプトから Load.sh を実行します。 このコマンドには、以下の オプション・パラメーターを使用します。 Load.sh [-enableURI] [-PreviewMode=value] [-InputFileName="filename"] [-ConfigFileName="filename"] ここで、引数は次を意味します。 enableURI ロード・ツールで URI 情報を使用できるようにします。このオプションを 指定しない場合、識別名が使用されます。 抽出ツールに enableURI パラメーターを指定する場合、ロード・ツールにも このパラメーターを指定する必要があります。これにより、IBM Security Identity Manager と IBM Security Role and Policy Modeler との間でデータ の一貫性が保持されます。 注: enableURI パラメーターが使用可能なのは、IBM Security Identity Manager バージョン 6.0 以降のみです。また、ロード・ツールで認識するの は役割の URI のみです。 第 2 章 抽出ツールおよびロード・ツール 51 PreviewMode 追加または変更される可能性のある役割および職務分離制約の総数を示す統 計のみをプレビューするには、true を指定します。追加および変更のロー ド・アクションを実行するには、false を指定します。デフォルト値は true です。 プレビュー・モードの統計には、IBM Security Identity Manager サーバーで 実行される変更の数が表示されますが、実際には変更は実行されていませ ん。さらに、これらの操作が原因となって発生したエラーがあれば、プレビ ューに表示されます。 InputFileName IBM Security Role and Policy Modeler からエクスポートされた XML ファ イルのパスおよびファイル名を指定します。このファイルには、IBM Security Identity Manager にインポートされる役割および職務分離制約データ が含まれています。 ConfigFileName ロード構成 XML ファイルのパスおよびファイル名を指定します。 このパラメーターを指定しない場合、ロード・ツール・ファイルの抽出元の ディレクトリーが使用されます。デフォルトの入力構成ファイルは、 LoadConfig.xml です。 コマンド行で指定した値は、Config.properties ファイルで指定した値をオーバ ーライドします。Config.properties ファイルで指定したパラメーターを使用す るには、パラメーターを指定せずにコマンドを実行します。 このコマンドを使用するいくつかの例を以下に示します。 Load.sh Load.sh -enableURI -PreviewMode=true -InputFileName="/Adapter Installers/RaPM/Identity-Manager-Load/Project1.xml" Load.sh -PreviewMode=true -InputFileName="/Adapter Installers/RaPM/Identity-Manager-Load/Project1.xml" -ConfigFileName="/Adapter Installers/RaPM/Identity-Manager-Load/LoadConfig.xml" 3. Config.properties ファイルで WAS_GlobalSecurity_Enabled = true と設定し た場合、ロード・ツールは WebSphere Application Server のユーザー名とパスワ ードの入力を求めるプロンプトを表示します。データのロード元となる IBM Security Identity Manager サーバーのユーザー名およびパスワードを入力しま す。このユーザーは、管理権限を持つシステム・ユーザーでなければなりませ ん。ユーザーに管理権限がない場合、ユーティリティーはエラー・メッセージを 表示し、終了します。 WAS_GlobalSecurity_Enabled = true、および WebSphere Application Server の ユーザー名とパスワードは、IBM Security Identity Manager 5.1 に対してのみ該 当します。これらは、IBM Security Identity Manager6.0 には適用されません。 タスクの結果 Load.log ファイルで、エラーおよびその他の処理情報があるかどうかを調べてくだ さい。 52 IBM Security Role and Policy Modeler: リファレンス・ガイド これで役割および職務分離制約データが IBM Security Identity Manager にロードさ れます。 ロード・ツール統計 ロード・ツールは、IBM Security Identity Manager サーバーで実行された変更の統 計を表示します。 プレビュー・モードでは、ロード・ツールは、IBM Security Identity Manager サー バーで実行される予定の変更の統計を表示します。通常モードでは、ロード・ツー ルは、IBM Security Identity Manager サーバーで実行された実際の変更の統計を表 示します。 注: プレビュー・モードが false に設定されている場合、通常モードが使用されま す。 変更の原因となるのは以下の操作です。 v 役割および職務分離制約の作成または変更 v 役割階層の変更 v ユーザーから役割へのメンバーシップの追加または削除 通常モードでは、特定の操作が失敗した場合、ロード・ツールは失敗の統計を表示 します。例えば、失敗した役割変更の総数が表示されます。 ロード・ツールのシナリオ ここでは、ロード・ツールがさまざまなシナリオを扱う方法を説明します。 v IBM Security Role and Policy Modeler で作成された、追加または変更する職務分 離制約がある場合、ロード・ツールは以下のアクションを実行します。 – enableURI パラメーターを指定してロード・ツールを実行すると、検索は、 Config.properties ファイルに定義されている組織下での役割の URI に基づ いて実行されます。このシナリオには、以下のアクションもあてはまります。 - 組織が指定されていない場合、ロード・ツールはデフォルトの組織下で検索 します。 - 役割が見つからない場合、ロード・ツールの検索操作は、役割名または職務 分離制約名に基づいて実行されます。 - 役割または職務分離制約が見つからない場合、ロード・ツールは追加操作を 実行します。見つかった場合、ロード・ツールは変更操作を実行します。 - 同じ組織下に同じ名前の複数の役割または職務分離制約が存在する場合、ロ ード・ツールはエラーを報告します。これは、役割または職務分離制約ごと に適用されます。 – enableURI パラメーターを指定せずにロード・ツールを実行すると、検索操作 は、Config.properties ファイルに定義されている組織下での役割名または職 務分離制約名に基づいて実行されます。このシナリオには、以下のアクション もあてはまります。 - 組織が指定されていない場合、ロード・ツールはデフォルトの組織下で検索 します。 第 2 章 抽出ツールおよびロード・ツール 53 - 役割または職務分離制約が見つからない場合、ロード・ツールは追加操作を 実行します。見つかった場合、ロード・ツールは変更操作を実行します。 - 同じ組織下に同じ名前の複数の役割または職務分離制約が存在する場合、ロ ード・ツールはエラーを報告します。これは、特定の役割または職務分離制 約ごとに適用されます。 v 変更対象の IBM Security Identity Manager 役割および職務分離制約がある場合、 ロード・ツールは以下のアクションを実行します。 – enableURI パラメーターを指定してロード・ツールを実行すると、ロード・ツ ールは、役割の URI に基づいて検索操作を実行します。このシナリオには、 以下のアクションもあてはまります。 - 役割が見つからない場合、ロード・ツールは、XML ファイルに定義されて いる役割 DN または職務分離制約 DN に基づいて検索操作を実行します。 - ロード・ツールが変更を実行するのは、XML ファイルに定義されている属 性値が、IBM Security Identity Manager LDAP の属性値と異なる場合のみで す。これは、特定の役割または職務分離制約ごとに適用されます。 – enableURI パラメーターを指定せずにロード・ツールを実行すると、ロード・ ツールは、XML ファイルに指定されている役割 DN または職務分離制約 DN に基づいて検索操作を実行します。このシナリオには、以下のアクションもあ てはまります。 - ロード・ツールが変更を実行するのは、XML ファイルに定義されている属 性値が、IBM Security Identity Manager LDAP の属性値と異なる場合のみで す。これは、特定の役割または職務分離制約ごとに適用されます。 v 変更対象の IBM Security Role and Policy Modeler 役割および職務分離制約があ る場合、ロード・ツールは以下のアクションを実行します。 – ロード・ツールは、Config.properties ファイルに定義されている組織下の役 割または職務分離制約に基づいて検索操作を実行します。 – 組織が指定されていない場合、ロード・ツールはデフォルトの組織下で検索 します。 – ロード・ツールが変更を実行するのは、XML ファイルに定義されている属性 値が、IBM Security Identity Manager LDAP の属性値と異なる場合のみです。 これは、特定の役割または職務分離制約ごとに適用されます。 – 同じ組織の下に同じ名前の複数の役割または職務分離制約が存在する場合、ユ ーティリティーはエラーを生成します。 役割およびポリシーが多数存在する場合のロード・ツールの調整 多数のエクスポート済み役割およびポリシーに対してロード・ツールを使用する場 合は、Java 仮想マシンのメモリーを増やすことによってパフォーマンスを最適化し ます。 コンピューターに物理メモリーが追加されていても、ロード・ツールが Java 仮想マ シンのメモリーを使い尽くしてしまうことがあります。IBM Security Identity Manager からエクスポートされた役割およびポリシーを多数含む XML ファイル を、ロード・ツールを使用して処理する場合は、JVM ヒープ・サイズを増やすこと を検討してください。 54 IBM Security Role and Policy Modeler: リファレンス・ガイド JVM ヒープ・サイズを増やすには、ロード・ツール・アプリケーションを起動する スクリプト・ファイルを更新します。 1. ロード・ツールのインストール・ディレクトリーで、Load スクリプト・ファイ ルを開きます。 表 7. ロード・ツールのファイル名 オペレーティング・システム ファイル名 UNIX Load.sh Windows Load.cmd 2. スクリプト・コードを編集してヒープ・サイズのパラメーターを指定します。デ プロイメント状況に応じて以下の値を設定します。 表 8. ヒープ・サイズ・パラメーター パラメーター 説明 -Xms 初期ヒープ・サイズ (バイト数) -Xmx 最大ヒープ・サイズ (バイト数) 例えば、下の表に示すようにコマンド行引数 -Xms254m -Xmx1024m を追加しま す。 注: コマンドに対する変更は、-Xms および -Xmx の値の追加のみです。 表 9. UNIX および Linux プラットフォームの例 デフォルトのスクリプト・コマンド: "$JAVA_HOME/bin/java" "-Dcom.ibm.CORBA.Debug.Output=/dev/null" $WAS_LOGGING -classpath $CP "-Djava.security.auth.login.config=jaas.conf" -Djava.ext.dirs="$JAVA_JRE/lib/ext:$WAS_EXT_DIRS:$WAS_HOME/plugins:$WAS_HOME/lib/WMQ/java/lib" "$SERVER_ROOT" "$CLIENTSAS" "$CLIENTSSL" com.ibm.security.modeling.load.SODxmlParser $HOME_DIR $* 更新後のコマンド (新規引数を太字で表記): "$JAVA_HOME/bin/java" -Xms254m -Xmx1024M "-Dcom.ibm.CORBA.Debug.Output=/dev/null" $WAS_LOGGING -classpath $CP "-Djava.security.auth.login.config=jaas.conf" -Djava.ext.dirs="$JAVA_JRE/lib/ext:$WAS_EXT_DIRS:$WAS_HOME/plugins:$WAS_HOME/lib/WMQ/java/lib" "$SERVER_ROOT" "$CLIENTSAS" "$CLIENTSSL" com.ibm.security.modeling.load.SODxmlParser $HOME_DIR $* 表 10. Windows プラットフォームの例 デフォルトのスクリプト・コマンド: "%JAVA_HOME%¥bin¥java" "-Dcom.ibm.CORBA.Debug.Output=NUL" %WAS_LOGGING% -Djava.endorsed.dirs="%WAS_ENDORSED_DIRS%" "-Djava.security.auth.login.config=jaas.conf" -classpath "%CP%" -Djava.ext.dirs="%JAVA_JRE%¥lib¥ext;%WAS_EXT_DIRS%;%WAS_HOME%¥plugins;%WAS_HOME%¥installedConnectors" "%CLIENTSAS%" "%CLIENTSSL%" com.ibm.security.modeling.load.SODxmlParser "%HOME_DIR%" %* 更新後のコマンド (新規引数を太字で表記): "%JAVA_HOME%¥bin¥java" -Xms254m -Xmx1024M "-Dcom.ibm.CORBA.Debug.Output=NUL" %WAS_LOGGING% -Djava.endorsed.dirs="%WAS_ENDORSED_DIRS%" "-Djava.security.auth.login.config=jaas.conf" -classpath "%CP%" -Djava.ext.dirs="%JAVA_JRE%¥lib¥ext;%WAS_EXT_DIRS%;%WAS_HOME%¥plugins;%WAS_HOME%¥installedConnectors" "%CLIENTSAS%" "%CLIENTSSL%" com.ibm.security.modeling.load.SODxmlParser "%HOME_DIR%" %* 第 2 章 抽出ツールおよびロード・ツール 55 56 IBM Security Role and Policy Modeler: リファレンス・ガイド 付録 A. 本書の規則 本書の情報には、特殊な用語と操作、およびオペレーティング・システム依存のコ マンドとパスを表記するための、いくつかの規則があります。 書体の規則 本書では、書体について以下のような規則があります。 太字 v 周囲のテキストと見分けがつきにくい小文字のコマンドおよび大/小文字 混合のコマンド v インターフェース・コントロール (チェック・ボックス、プッシュボタ ン、ラジオ・ボタン、スピン・ボタン、フィールド、フォルダー、アイコ ン、リスト・ボックス、リスト・ボックス内の項目、複数列のリスト、コ ンテナー、メニュー選択項目、メニュー名、タブ、プロパティー・シー ト)、ラベル (ヒント:、オペレーティング・システムの考慮事項: など) v テキスト内のキーワードおよびパラメーター イタリック v 引用 (例: 資料、ディスケット、および CD のタイトル) v テキスト内で定義された単語 (例: 非交換回線は Point-to-Point 回線 と呼 ばれます) v 単語と文字の強調 (語単位の強調の例: 「語 that は制限節を導くために 使用します。」、文字単位の強調の例:「LUN アドレスは L という文字 で開始する必要があります。」) v テキスト内の新規用語 (定義リスト内は除く): ビュー は、データを含む ワークスペース内のフレームです。 v 指定する必要のある変数と値: ... ここで myname は、.... を表します。 モノスペース v 例およびコード例 v 周囲のテキストと見分けがつきにくいファイル名、プログラミングのキー ワード、およびその他のエレメント v ユーザー宛のメッセージ・テキストおよびプロンプト v ユーザーが入力する必要があるテキスト v 引数またはコマンド・オプションの値 太字モノスペース v コマンド名、またはコマンドとして入力できるマクロおよびユーティリテ ィーの名前 v テキスト内の環境変数名 v キーワード © Copyright IBM Corp. 2011, 2012 57 v テキスト内のパラメーター名: API 構造体パラメーター、コマンド・パラ メーターと引数、および構成パラメーター v プロセス名 v テキスト内のレジストリー変数名 v スクリプト名 HOME およびその他のディレクトリー変数の定義 この表には、IBM Security Role and Policy Modeler インフォメーション・センター およびガイドで使用されるデフォルトの定義が含まれています。これらの定義は、 さまざまな製品インストール・パスの HOME ディレクトリー・レベルを表します。 HOME ディレクトリーは、特定の要件に応じてカスタマイズできます。次の表のデフ ォルト・ディレクトリー・インストール・ロケーションは、管理者または root ユー ザーのいずれかに提供されます。 非管理者または非 root ユーザーの場合は、以下のパスを user_home に置き換えま す。 v Windows オペレーティング・システム: drive:¥Program Files v Linux: /opt v UNIX、または AIX: /usr 表 11. ホーム・ディレクトリー変数の定義 パス変数 デフォルトの定義 説明 SM_HOME v Windows オペレーティング・シス テム: C:¥Program Files¥IBM¥SecurityModeler IBM Security Role and Policy Modeler および資料を含む基本ディレクトリ ー。 v DB_HOME Linux、UNIX、または AIX: /opt/IBM/SecurityModeler v Windows オペレーティング・シス テム: C:¥Program Files¥IBM¥SQLLIB デフォルトの DB2 ホーム・ディレク トリー。 v Linux: /opt/ibm/db2/V9.7 v UNIX または AIX: /opt/IBM/db2/V9.7 WAS_HOME v Windows オペレーティング・シス テム: C:¥Program Files¥IBM¥WebSphere¥ AppServer v Linux: /opt/IBM/WebSphere/ AppServer v UNIX または AIX: /usr/IBM/WebSphere/AppServer 58 IBM Security Role and Policy Modeler: リファレンス・ガイド デフォルトの WebSphere Application Server ホーム・ディレクトリー。 表 11. ホーム・ディレクトリー変数の定義 (続き) パス変数 デフォルトの定義 説明 TIP_PROFILE_HOME v Windows オペレーティング・シス テム: WAS_HOME¥ profiles¥TIPProfile デフォルトの Tivoli® Integrated Portal ホーム・ディレクトリー。 v Linux、UNIX、または AIX: WAS_HOME/profiles/TIPProfile TCR_COMPONENT_HOME v Windows オペレーティング・シス テム: C:¥Program Files¥IBM¥WebSphere¥ AppServerComponents¥ TCRComponent Tivoli Common Reporting のホーム・ ディレクトリー。 v Linux: /opt/IBM/WebSphere/ AppServerComponents/TCRComponent v UNIX または AIX: /usr/IBM/WebSphere/ AppServerComponents/TCRComponent 付録 A. 本書の規則 59 60 IBM Security Role and Policy Modeler: リファレンス・ガイド 付録 B. IBM Security Role and Policy Modeler のアクセシビ リティー機能 アクセシビリティー機能は、運動障害や視覚障害など、身体に障害を持つユーザー が情報技術製品を快適に使用できるようにサポートします。 アクセシビリティー機能 以下のリストに、IBM Security Role and Policy Modeler の主なアクセシビリティー 機能を示します。 v キーボードだけを使用する操作 v スクリーン・リーダー (読み上げソフトウェア) によって通常使用されるインター フェース v タッチによって認識されるが、タッチによってアクティブにならないキー v ポートとコネクター用の業界標準デバイス v 代替入出力装置の接続 IBM Security Role and Policy Modeler インフォメーション・センターおよびその関 連資料は、アクセシビリティーに対応しています。 キーボード・ナビゲーション この製品は、キーボードでの操作が可能です。 インターフェース情報 階層ビューはキーボードでアクセスできない 役割およびポリシー・モデルの階層ビューは、キーボードでアクセスするこ とはできません。ただし、役割およびポリシー・モデルのテーブル・ビュー は、キーボードでアクセスすることができます。キーボードでアクセス可能 な役割およびポリシー・モデルが必要な場合は、「役割およびポリシー」ウ ィンドウのテーブル・ビューを使用することができます。 分析グラフはキーボードでアクセスできない 同じデータの代替表現として、分析ウィンドウの一致と不一致テーブルの形 式が用意されています。 アクセシビリティー用にサポートされるブラウザー Mozilla FireFox 3.6.22 Microsoft Internet Explorer 8。このブラウザーでの既知のアクセシビリティ ーの問題については、IBM Security Role and Policy Modeler インフォメー ション・センターを参照してください。 レポートはアクセシビリティー対応である レポートは、HTML 形式と PDF 形式でアクセシビリティー対応になってい ます。詳しくは、IBM Security Role and Policy Modeler インフォメーショ ン・センターの『レポートの支援技術』のトピックを参照してください。 © Copyright IBM Corp. 2011, 2012 61 IBM Security Role and Policy Modeler 内部でオンライン・ヘルプを開く Microsoft Internet Explorer では、Alt+6+Enter を押します。 Mozilla FireFox では、Shift+Alt+6 を押します。 IBM とアクセシビリティー IBM のアクセシビリティーに対する取り組みの詳細については、IBM Human Ability and Accessibility Center を参照してください。 62 IBM Security Role and Policy Modeler: リファレンス・ガイド 特記事項 本書は米国 IBM が提供する製品およびサービスについて作成したものです。 本書に記載の製品、サービス、または機能が日本においては提供されていない場合 があります。日本で利用可能な製品、サービス、および機能については、日本 IBM の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービス に言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能 であることを意味するものではありません。これらに代えて、IBM の知的所有権を 侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用す ることができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの 評価および検証は、お客様の責任で行っていただきます。 IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を 保有している場合があります。本書の提供は、お客様にこれらの特許権について実 施権を許諾することを意味するものではありません。実施権についてのお問い合わ せは、書面にて下記宛先にお送りください。 〒103-8510 東京都中央区日本橋箱崎町19番21号 日本アイ・ビー・エム株式会社 法務・知的財産 知的財産権ライセンス渉外 以下の保証は、国または地域の法律に沿わない場合は、適用されません。IBM およ びその直接または間接の子会社は、本書を特定物として現存するままの状態で提供 し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべ ての明示もしくは黙示の保証責任を負わないものとします。国または地域によって は、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を 受けるものとします。 この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的 に見直され、必要な変更は本書の次版に組み込まれます。IBM は予告なしに、随 時、この文書に記載されている製品またはプログラムに対して、改良または変更を 行うことがあります。 本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のた め記載しただけであり、決してそれらの Web サイトを推奨するものではありませ ん。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありませ ん。それらの Web サイトは、お客様の責任でご使用ください。 IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うこと のない、自ら適切と信ずる方法で、使用もしくは配布することができるものとしま す。 © Copyright IBM Corp. 2011, 2012 63 本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプロ グラム (本プログラムを含む) との間での情報交換、および (ii) 交換された情報の 相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする 方は、下記に連絡してください。 IBM Corporation J46A/G4 555 Bailey Avenue San Jose, CA 95141-1003 U.S.A. 本プログラムに関する上記の情報は、適切な使用条件の下で使用することができま すが、有償の場合もあります。 本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、 IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれ と同等の条項に基づいて、IBM より提供されます。 この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定された ものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。 一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値 が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一 部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があ ります。お客様は、お客様の特定の環境に適したデータを確かめる必要がありま す。 IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公 に利用可能なソースから入手したものです。 IBM は、それらの製品のテストは行 っておりません。したがって、他社製品に関する実行性、互換性、またはその他の 要求については確証できません。IBM 以外の製品の性能に関する質問は、それらの 製品の供給者にお願いします。 IBM の将来の方向性および指針に関するすべての記述は、予告なく変更または撤回 される場合があります。これらは目標および目的を提示するものにすぎません。 本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。よ り具体性を与えるために、それらの例には、個人、企業、ブランド、あるいは製品 などの名前が含まれている場合があります。これらの名称はすべて架空のものであ り、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎませ ん。 著作権使用許諾: 本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を 例示するサンプル・アプリケーション・プログラムがソース言語で掲載されていま す。お客様は、サンプル・プログラムが書かれているオペレーティング・プラット フォームのアプリケーション・プログラミング・インターフェースに準拠したアプ リケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式 においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することが できます。このサンプル・プログラムは、あらゆる条件下における完全なテストを 経ていません。従って IBM は、これらのサンプル・プログラムについて信頼性、 64 IBM Security Role and Policy Modeler: リファレンス・ガイド 利便性もしくは機能性があることをほのめかしたり、保証することはできません。 これらのサンプル・プログラムは特定物として現存するままの状態で提供されるも のであり、いかなる保証も提供されません。 IBM は、お客様の当該サンプル・プ ログラムの使用から生ずるいかなる損害に対しても一切の責任を負いません。 それぞれの複製物、サンプル・プログラムのいかなる部分、またはすべての派生し た創作物にも、次のように、著作権表示を入れていただく必要があります。「© (お 客様の会社名) (西暦年)」このコードの一部は、IBM Corp. のサンプル・プログラム から取られています。© Copyright IBM Corp. 2004, 2012. All rights reserved. この情報をソフトコピーでご覧になっている場合は、写真やカラーの図表は表示さ れない場合があります。 商標 IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corporation の商標です。他の製品名およびサービス名等は、それ ぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リスト については、http://www.ibm.com/legal/copytrade.shtml をご覧ください。 Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation の米国およびその他の国における商標です。 Java およびすべての Java 関連の商標およびロゴは Oracle やその関連会社の米国お よびその他の国における商標または登録商標です。 Adobe、Adobe ロゴ、PostScript、PostScript ロゴは、Adobe Systems Incorporated の 米国およびその他の国における登録商標または商標です。 UNIX は The Open Group の米国およびその他の国における登録商標です。 特記事項 65 66 IBM Security Role and Policy Modeler: リファレンス・ガイド 索引 日本語, 数字, 英字, 特殊文字の 順に配列されています。なお, 濁 音と半濁音は清音と同等に扱われ ています。 アクセシビリティー 資料 ロケーション 58 本製品のアクセシビリティー機能 [マ行] 57 本製品用のリスト スキーマ vii 抽出ツールの更新 21 問題判別 #Define Role Type 12 #Define Source 22 #Identity 27 #Permissions 28 オンライン 資料 vii 用語集 vii 管理対象リソース 権限および ID の抽出 43 ソフトウェア要件 抽出ツール 6 ロード・ツール [サ行] シナリオ 抽出ツールの使用 42 ロード・ツールの使用 53 状態管理 1 セッション・ルール 1 © Copyright IBM Corp. 2011, 2012 26 #User Permission Assignment Source 32 組織コンテナー データの抽出 技術研修 viii 規則 書体 57 権限 単一のサービスの場合の抽出 43 研修 viii 参照: 技術研修 構成 抽出ツール AIX および Linux 9 Windows 8 リモート IBM Security Identity Manager サーバー 13 ロード・ツール AIX または Linux 12 Windows 11 32 #Role 29 #Role User Assignment 32 #Separation of Duty Policy 31 [カ行] viii [ヤ行] 21 9 61 vii #Define Attribute 23 #Define Hierarchical Attributes 8 ロード・ツール AIX または Linux Windows 11 ホーム・ディレクトリー 3 57 vii 要素 18 インストール 抽出ツール AIX および Linux Windows 書体の規則 規則 viii アンインストール 抽出ツール 11 ロード・ツール ファイル・ルール 4 プロジェクト・ルール アクセス、オンライン オンライン vii [ア行] [ハ行] 状態管理 (続き) 役割 単一のサービスの場合の抽出 43 要件 ソフトウェア 抽出ツール 6 ロード・ツール 用語集 vii 7 [ラ行] リモート IBM Security Identity Manager サーバー 42 構成 13 ロード・ツール 6 [タ行] 抽出ツール アンインストール 11 インストール AIX および Linux 9 Windows 8 概要 19 構成 XML ファイルの更新 21 実行 AIX または Linux 40 Windows 37 シナリオ 42 ソフトウェア要件 6 プロセス 5 ログ・ファイル・パラメーターの設定 18 ディレクトリー 変数 58 ホーム 58 特記事項 63 トラブルシューティング viii アンインストール 18 インストール AIX または Linux 12 Windows 11 概要 44 構成 リモート IBM Security Identity Manager サーバー 13 実行 AIX または Linux 51 Windows 49 シナリオ 53 ソフトウェア要件 7 統計 53 パフォーマンスの調整 54 プロセス 5 ログ・ファイル・パラメーターの設定 18 Config.properties の更新 15 ログ・ファイル・パラメーター 抽出ツールおよびロード・ツールのた めの設定 18 ロケーション ホーム・ディレクトリー 58 67 A AttributeSchema セクション 34 C Config.properties ファイル ロード・ツールの更新 15 E ExtractConfig.xml ファイル 更新 21 I IBM ソフトウェア・サポート Support Assistant viii viii P PermissionRoleObjectClasses セクション 36 S SearchScope セクション 33 T Terminology Web サイト viii [特殊文字] #Define Attribute セクション 23 #Define Hierarchical Attributes セクション 32 #Define Role Type セクション 26 #Define Source セクション 22 #Identity セクション 27 #Permissions セクション 28 #Role User Assignment セクション 32 #Role セクション 29 #Separation of Duty Policy セクション 31 #User Permission Assignment セクション 32 68 IBM Security Role and Policy Modeler: リファレンス・ガイド Printed in Japan SA88-4799-01