...

リファレンス・ガイド

by user

on
Category: Documents
5

views

Report

Comments

Transcript

リファレンス・ガイド
IBM Security Role and Policy Modeler
バージョン 1 リリース 1
リファレンス・ガイド
SA88-4799-01
(英文原典:SC27-2798-01)
IBM Security Role and Policy Modeler
バージョン 1 リリース 1
リファレンス・ガイド
SA88-4799-01
(英文原典:SC27-2798-01)
本書は、IBM Security Role and Policy Modeler バージョン 1.1.0.2、および新しい版で明記されていない限り、以降
のすべてのリリースおよびモディフィケーションに適用されます。
お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示さ
れたりする場合があります。
原典:
SC27-2798-01
IBM Security Role and Policy Modeler
Version 1 Release 1
Reference Guide
発行:
日本アイ・ビー・エム株式会社
担当:
トランスレーション・サービス・センター
第1刷 2012.10
© Copyright IBM Corporation 2011, 2012.
目次
表 . . . . . . . . . . . . . . . . . v
本書について . . . . . . . . . . . . vii
資料および用語集へのアクセス . . . .
IBM Security Role and Policy Modeler
リー . . . . . . . . . . . .
オンライン資料 . . . . . . . .
IBM Terminology Web サイト . . .
アクセシビリティー . . . . . . .
技術研修 . . . . . . . . . . .
サポート情報 . . . . . . . . .
. . .
ライブラ
. . .
. . .
. . .
. . .
. . .
. . .
. vii
. vii
. vii
. viii
. viii
. viii
. viii
第 1 章 状態管理 . . . . . . . . . . . 1
セッションの状態に関するルール .
プロジェクトの状態に関するルール.
ファイルの状態に関するルール . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 1
. 3
. 4
第 2 章 抽出ツールおよびロード・ツール
5
ツールを使用するためのプロセス . . . . . . . 5
CSV ファイルの接頭部の更新 . . . . . . . 6
ツール実行のためのソフトウェア要件 . . . . . . 6
ツールのインストールおよび構成 . . . . . . . 7
Windows オペレーティング・システムでの抽出ツ
ールのインストールおよび構成 . . . . . . . 8
AIX または Linux オペレーティング・システムで
の抽出ツールのインストールおよび構成 . . . . 9
抽出ツールのアンインストール . . . . . . . 11
Windows オペレーティング・システムでのロー
ド・ツールのインストールおよび構成 . . . . 11
AIX または Linux オペレーティング・システム
でのロード・ツールのインストールおよび構成 . 12
ロード・ツール用のリモート IBM Security
Identity Manager サーバーの構成 . . . . . . 13
ロード・ツール用の Config.properties 入力ファイ
ルの更新 . . . . . . . . . . . . . . 15
© Copyright IBM Corp. 2011, 2012
ロード・ツールのアンインストール . . . . .
ログ・ファイル・パラメーターの設定 . . . .
抽出ツールの概要 . . . . . . . . . . . .
抽出構成 XML ファイルの更新. . . . . . .
IBM Security Role and Policy Modeler スキーマ要
素 . . . . . . . . . . . . . . . .
抽出ツールの動作の定義 . . . . . . . . .
Windows オペレーティング・システムでの抽出ツ
ールの実行 . . . . . . . . . . . . .
AIX または Linux オペレーティング・システム
での抽出ツールの実行 . . . . . . . . . .
抽出ツールのシナリオ . . . . . . . . . .
ロード・ツールの概要 . . . . . . . . . . .
ロード構成 XML ファイルの更新 . . . . . .
ロード・ツールの動作の定義 . . . . . . .
Windows オペレーティング・システムでのロー
ド・ツールの実行 . . . . . . . . . . .
AIX または Linux オペレーティング・システム
でのロード・ツールの実行 . . . . . . . .
ロード・ツール統計 . . . . . . . . . .
ロード・ツールのシナリオ . . . . . . . .
役割およびポリシーが多数存在する場合のロー
ド・ツールの調整 . . . . . . . . . . .
付録 A. 本書の規則
18
18
19
20
21
33
37
40
42
44
46
47
48
51
53
53
54
. . . . . . . . . 57
書体の規則 . . . . . . . . . . . . .
HOME およびその他のディレクトリー変数の定義
. 57
58
付録 B. IBM Security Role and Policy
Modeler のアクセシビリティー機能 . . . 61
特記事項 . . . . . . . . . . . . . . 63
索引 . . . . . . . . . . . . . . . . 67
iii
iv
IBM Security Role and Policy Modeler: リファレンス・ガイド
表
1.
2.
3.
4.
5.
Windows オペレーティング・システムでの
extract サブディレクトリーの内容 . . . .
AIX または Linux オペレーティング・システ
ムでの extract サブディレクトリーの内容 .
Windows オペレーティング・システムでの
load サブディレクトリーの内容 . . . . .
AIX または Linux オペレーティング・システ
ムでの load サブディレクトリーの内容 . .
enableURI パラメーターを使用して抽出される
値. . . . . . . . . . . . . . .
© Copyright IBM Corp. 2011, 2012
6.
. 9
. 10
. 11
7.
8.
9.
10.
11.
enableURI パラメーターを使用して抽出される
値. . . . . . . . . . . . . . .
ロード・ツールのファイル名 . . . . . .
ヒープ・サイズ・パラメーター . . . . .
UNIX および Linux プラットフォームの例
Windows プラットフォームの例 . . . . .
ホーム・ディレクトリー変数の定義 . . .
. 41
. 55
. 55
55
. 55
. 58
. 13
. 38
v
vi
IBM Security Role and Policy Modeler: リファレンス・ガイド
本書について
IBM Security Role and Policy Modeler リファレンス・ガイドでは、状態管理ルー
ル、および抽出ツールとロード・ツールについて説明します。
資料および用語集へのアクセス
このセクションには、以下が含まれています。
v 『IBM Security Role and Policy Modeler ライブラリー』
v 『オンライン資料』
v
viii ページの『IBM Terminology Web サイト』
IBM Security Role and Policy Modeler ライブラリー
IBM® Security Role and Policy Modeler ライブラリーには、以下の資料がありま
す。
v IBM Security Role and Policy Modeler Quick Start Guide、GI11-9350
v IBM Security Role and Policy Modeler 製品概要、GA88-4797
v IBM Security Role and Policy Modeler 計画ガイド、SA88-4607
v IBM Security Role and Policy Modeler インストールと構成のガイド、SA88-4613
v IBM Security Role and Policy Modeler 管理ガイド、SA88-4798
v IBM Security Role and Policy Modeler Troubleshooting Guide、GC27-2797
v IBM Security Role and Policy Modeler Message Guide、GC27-2744
v IBM Security Role and Policy Modeler リファレンス・ガイド、SA88-4799
v IBM Security Role and Policy Modeler 用語集、SA88-4800
オンライン資料
IBM では、製品のリリース時および資料の更新時に、以下の場所に製品資料を掲載
しています。
IBM Security Role and Policy Modeler インフォメーション・センター
サイト http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/
com.ibm.security.modeling.doc/ic-homepage.htm には、この製品のインフォメ
ーション・センターのウェルカム・ページが表示されます。
IBM Security インフォメーション・センター
サイト http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jspには、す
べての IBM Security 製品資料についてのアルファベット順リストおよび一
般情報が表示されます。
IBM Publications Center
サイト http://www.ibm.com/e-business/linkweb/publications/servlet/pbi.wss に
は、必要なすべての IBM 資料を見つけるのに役立つカスタマイズ検索機能
が用意されています。
© Copyright IBM Corp. 2011, 2012
vii
IBM Terminology Web サイト
IBM Terminology Web サイトには、複数の製品ライブラリーの用語が 1 つの場所
にまとめられています。Terminology Web サイトには、http://www.ibm.com/software/
globalization/terminology からアクセスできます。
アクセシビリティー
アクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つユーザ
ーがソフトウェア・プロダクトを快適に使用できるようにサポートします。この製
品では、支援テクノロジーによりインターフェースを音声で把握し、ナビゲートす
ることができます。また、マウスの代わりにキーボードを使用して、グラフィカ
ル・ユーザー・インターフェースのすべての機能を操作できます。
詳しくは、 61 ページの『付録 B. IBM Security Role and Policy Modeler のアクセ
シビリティー機能』を参照してください。
技術研修
以下は英語のみの対応となります。技術研修の情報については、IBM Education
Web サイト (http://www.ibm.com/software/tivoli/education) を参照してください。
サポート情報
IBM サポートは、コード関連の問題、およびインストールまたは使用方法に関する
短時間の定型質問に対する支援を提供します。IBM ソフトウェア・サポート・サイ
トは、http://www.ibm.com/software/support/probsub.html というアドレスで直接アクセ
スできます。
IBM Security Role and Policy Modeler Troubleshooting Guide では、以下が詳細に説
明されています。
v IBM サポートに連絡する前に収集する情報。
v IBM サポートに連絡するためのさまざまな方法。
v 自分で問題を切り分け、修正するための説明および問題判別の資料。
注: 製品のインフォメーション・センターの「コミュニティーおよびサポート」タ
ブに、追加のサポート・リソースがある場合があります。
viii
IBM Security Role and Policy Modeler: リファレンス・ガイド
第 1 章 状態管理
状態管理 という用語は、システムまたは製品内の 1 つ以上のコンポーネントの状
態の管理に関連しています。状態または操作の変更を管理するのは、容易ではあり
ません。複数のコンポーネントの状態を設定している場合で、ビジネス・ロジック
をコード内にマージして配布する場合は、状態管理メカニズムが必要です。
IBM Security Role and Policy Modeler 内には、プロジェクト、セッション、および
ファイルなどの複数のコンポーネントがあります。それぞれのコンポーネントは状
態が異なっていることがあります。あるコンポーネントの状態が別のコンポーネン
トの状態に依存することもあります。状態管理では、コントロールとその状態に関
するコンポーネント情報を維持します。ファイルの削除などのユーザー操作が行わ
れることも、ファイルのインポートなどのシステム操作が行われることもありま
す。これらの操作は、1 つ以上のコンポーネントをある状態から別の状態に遷移さ
せるトリガーになることがあります。どの操作がどの状態遷移を発生させることが
できるか、および、現在の状態でどの操作が許容されるかに関するルールが設定さ
れることがあります。
操作が許容されない場合は、エラー・メッセージが示されます。操作が許容される
場合、コンポーネントの次の状態が処理されて完了します。
セッションの状態に関するルール
以下に示すルールは、各種の操作に対するセッションの状態遷移を理解しやすくす
るために提供されています。
セッションの状態管理ルールをまとめたものを以下のリストに示します。
v プロジェクトの状況が以下の場合は、どのセッションもコミットできません。
– プロジェクト作成がキュー内に存在
– プロジェクト作成の評価中
– プロジェクト・スコープ変更がキュー内に存在
– プロジェクト・スコープ変更の評価中
– 役割生成がキュー内に存在
– 役割生成の評価中
– 役割のコピーがキュー内に存在
– 役割のコピー中
このルールは、プロジェクトの削除操作には適用されません。つまり、プロジェ
クトが「プロジェクト削除がキュー内に存在」状態または「プロジェクト削除の
評価中」状態の場合は、セッションのコミット操作に制約はありません。プロジ
ェクトの状況が以下のいずれかである場合は、セッションのコミットも制約され
ません。
– プロジェクト作成に失敗しました
– プロジェクト・スコープ変更が失敗しました
© Copyright IBM Corp. 2011, 2012
1
– プロジェクトの削除に失敗しました
– 役割の生成に失敗しました
– 役割のコピーに失敗しました
– メンバーシップ限定子評価が失敗しました
v 別のセッションの状況が以下のいずれかである場合、セッションをコミットでき
ません。
– コミットがキュー内に存在
– コミット中
– コミット・エラー
v 別のセッションの状況が以下のいずれかである場合、セッションを検証できませ
ん。
– コミットがキュー内に存在
– コミット中
– コミット・エラー
v セッションをコミットすると、IBM Security Role and Policy Modeler 内のすべて
のプロジェクトの状況が「再計算が必要」に変更されます。すべてのプロジェク
トに対して再計算操作を実行すると、その状況が「編集準備完了」に変更されま
す。
v セッションをコミットすると、「検証済み」状況のすべてのセッションが「ドラ
フト」状況に戻ります。この状態変更が行われるのは、セッションのコミット操
作によって、ID および資格データベース内で使用可能なデータが変わるためで
す。そのため、セッションの以前の状態である「検証済み」状態に該当しなくな
ります。
v セッションの状況が「ドラフト」の場合は、セッションを検証できます。
v セッションの状況が「ドラフト」または「検証済み」の場合は、セッションをコ
ミットできます。セッションのコミット操作を開始できない場合は、セッション
の状況が「コミットするには再始動が必要です」に変更されます。キュー内の複
数のユーザー要求が原因でこの状態になる場合があります。このようなセッショ
ンは、後でコミットを試行できます。
v コミット操作時にセッションが失敗した場合は、セッションの状況が「コミッ
ト・エラー」に変更されます。同様に、検証操作中にセッションで障害が起こっ
た場合、状況は「検証エラー」に変わります。管理者がデータベースを再始動す
るなどして、障害を解決した後に、セッションをコミットまたは検証することが
できます。
v 状況が以下のいずれかである場合、セッションを削除できます。
– ドラフト
– コミット済み
– 検証済み
あるいは、「検証エラー」や「ファイル・インポート・エラー」などのその他の
いずれかのエラー状況である場合。
v 状況が以下のいずれかである場合、セッションを削除できません。
– コミット中
– 検証中
2
IBM Security Role and Policy Modeler: リファレンス・ガイド
– コミット・エラー
プロジェクトの状態に関するルール
これらのルールを知っておくことで、さまざまな操作によって行われるプロジェク
トの状態遷移を理解しやすくなります。
プロジェクトの状態管理ルールをまとめたものを以下のリストに示します。
v ID および資格データベースでデータ変更が発生すると、プロジェクトの再計算が
必要になる場合があります。データ変更が発生すると、プロジェクトの状況が
「再計算が必要」に変更されます。プロジェクトの再計算が完了すると、プロジ
ェクトの状況は「編集準備完了」に変更されます。
v セッションの状況が以下の場合は、操作を実行できません。
– コミットがキュー内に存在
– コミット中
– コミット・エラー
v プロジェクトの状況が「編集準備完了」以外の場合は、操作を実行できません。
v セッションの状況が以下の場合は、プロジェクトを編集できません。
– コミットがキュー内に存在
– コミット中
– コミット・エラー
これらの状態は、ID および資格データベース内のデータが変更中であることを示
しています。
v プロジェクトの状況が「編集準備完了」の場合は、任意の操作またはプロジェク
トの編集を実行できます。「編集準備完了」状態は、プロジェクトが再計算済み
であることを示しています。
v プロジェクトの状況が「編集準備完了」または「コミット済み」の場合は、プロ
ジェクトを削除できます。また、プロジェクトの状況が以下である場合にも、プ
ロジェクトを削除できます。
– プロジェクト作成に失敗しました
– プロジェクト・スコープ変更が失敗しました
– プロジェクトの削除に失敗しました
– 役割の生成に失敗しました
– 役割のコピーに失敗しました
– メンバーシップ限定子評価が失敗しました
– コミットに失敗しました
プロジェクトの削除操作は、どのセッションのコミット操作にも依存しません。
v いずれかのセッションの状況が以下の場合は、プロジェクトを作成できません。
– コミットがキュー内に存在
– コミット中
– コミット・エラー
v プロジェクトの状況が以下である場合は、プロジェクトを再計算できます。
第 1 章 状態管理
3
– 編集準備完了
– コミット済み
また、「コミットに失敗しました」以外のすべての失敗状態も該当します。「コ
ミットに失敗しました」状態は、ID および資格データベース内のデータが整合し
ていないことを示します。したがって、そのデータに対してプロジェクトの再計
算操作を実行することはできません。また、プロジェクトの状況が以下である場
合にも、プロジェクトを再計算できます。
– プロジェクト作成に失敗しました
– プロジェクト・スコープ変更が失敗しました
– プロジェクトの削除に失敗しました
– 役割の生成に失敗しました
– 役割のコピーに失敗しました
– メンバーシップ限定子評価が失敗しました
v プロジェクトの状況が以下の場合は、プロジェクトを再計算できません。
– 再計算がキュー内に存在
– 再計算の進行中
v プロジェクトの状況が「編集準備完了」の場合は、プロジェクトをエクスポート
できます。
ファイルの状態に関するルール
これらのルールを知っておくことで、さまざまな操作によって行われるファイルの
状態遷移を理解しやすくなります。
ファイルの状態管理ルールをまとめたものを以下のリストに示します。
v 「ドラフト」状態のセッションには、1 つ以上のファイルを追加できます。ファ
イルを追加すると、セッションの状況が「進行中」に変更されます。「進行中」
状態のセッションに、さらにファイルを追加することもできます。
v ファイルが「インポート済み」状態であるか、いずれかのエラー状態である場合
は、そのファイルを削除できます。
v セッション中に 1 つ以上のファイルのインポートが失敗した場合は、ファイルお
よびセッションの状況が「ファイル・インポート・エラー」に変更されます。
v セッション中に 1 つ以上のファイルが「削除中」状態になると、セッションの状
況が「更新中」に変更されます。
v セッション内のすべてのファイルのインポート操作が完了すると、すべてのファ
イルの状況が「インポート済み」に変更されます。同時に、セッションの状況が
「ドラフト」に変更されます。
v セッションでのファイルのインポート時や削除時にエラーが発生する場合があり
ます。エラーが発生した場合は、ファイルおよびセッションの状況が、対応する
エラー状態に変更されます。例えば、ファイルの削除操作が失敗すると、ファイ
ルおよびセッションの状況が「ファイル削除エラー」に変更されます。このルー
ルでは、ファイル操作の失敗による累積的影響がセッション状態で示されます。
4
IBM Security Role and Policy Modeler: リファレンス・ガイド
第 2 章 抽出ツールおよびロード・ツール
既存の IBM Security Identity Manager データをモデル化するには、抽出ツールおよ
びロード・ツールを使用します。
抽出ツールは、データを IBM Security Role and Policy Modeler にインポートする
準備として、IBM Security Identity Manager からデータをプルします。ユーザーが
モデラーを使用した後に、ロード・ツールは更新されたデータを IBM Security
Identity Manager に戻します。
ツールおよび一般的なプロセスをどの場合に使用するかを判断するには、『ツール
を使用するためのプロセス』を参照してください。
ツールを使用するためのプロセス
抽出ツールおよびロード・ツールを使用する前に、どのデータを使用するかを決定
する必要があります。
適切な要件を満たすようにするには、 6 ページの『ツール実行のためのソフトウェ
ア要件』を参照してください。
詳しくは、 42 ページの『抽出ツールのシナリオ』および 53 ページの『ロード・ツ
ールのシナリオ』を参照してください。
エンドツーエンド・プロセス
以下のプロセスに従って、IBM Security Identity Manager データをモデル化しま
す。
1. 抽出ツールおよびロード・ツールをインストールし構成します。
7 ページの『ツールのインストールおよび構成』
2. 抽出構成ファイルをカスタマイズします。
20 ページの『抽出構成 XML ファイルの更新』
3. 抽出ツールを実行して、IBM Security Role and Policy Modeler によってモデル
化したい IBM Security Identity Manager データを抽出します。以下のいずれか
のトピックを参照してください。
v
40 ページの『AIX または Linux オペレーティング・システムでの抽出ツール
の実行』
v
37 ページの『Windows オペレーティング・システムでの抽出ツールの実行』
抽出ツールを使用せずにスキーマ CSV ファイルおよびデータ CSV ファイルを
作成する場合、Identity Manager 接頭部を使用するようにする必要がありま
す。 6 ページの『CSV ファイルの接頭部の更新』を参照してください。
4. IBM Security Role and Policy Modeler 管理コンソールを使用して、以下の操作
を実行します。
© Copyright IBM Corp. 2011, 2012
5
a. CSV ファイルを IBM Security Role and Policy Modeler セッションにインポ
ートします。 IBM Security Role and Policy Modeler インフォメーション・
センターのトピック「CSV スキーマ・ファイルのインポート」を参照してく
ださい。
b. セッション・データを持つプロジェクトを作成します。IBM Security Role
and Policy Modeler インフォメーション・センターのトピック「役割プロジ
ェクトおよびポリシー・プロジェクトの作成」を参照してください。
c. 役割およびポリシーを更新します。IBM Security Role and Policy Modeler イ
ンフォメーション・センターのトピック「役割管理」を参照してください。
d. プロジェクトを XML ファイルにエクスポートします。IBM Security Role
and Policy Modeler インフォメーション・センターのトピック「役割および
ポリシーのエクスポート」を参照してください。
5. ロード・ツールを使用して、ID データを IBM Security Role and Policy Modeler
の更新と共に IBM Security Identity Manager にロードします。以下のいずれか
のトピックを参照してください。
v
51 ページの『AIX または Linux オペレーティング・システムでのロード・ツ
ールの実行』
v
48 ページの『Windows オペレーティング・システムでのロード・ツールの実
行』
CSV ファイルの接頭部の更新
抽出ツールを使用せずにスキーマ CSV ファイルおよびデータ CSV ファイルを作
成する場合、Attribute Display Name および Attribute UID に適切な接頭部を付
加するようにします。
これらの接頭部の更新により、IBM Security Role and Policy Modeler のデータと
IBM Security Identity Manager のデータとの一貫性が保持されます。
スキーマ CSV ファイルで、Attribute Display Name と Attribute UID の値に
Identity Manager という接頭部を付加します。例えば、以下のとおりです。
#Define Attribute
Attribute Description,Attribute Display Name,Attribute UID,Type,Usage,Usage,Usage,Usage,
.....
"Static or Dynamic","Identity Manager roleType","Identity Manager attribute-roleType",
"String","RoleAnalysis",,,,
データ CSV ファイルで、列ヘッダーに Identity Manager という接頭部を次のよ
うに付加します。
"#Role","TIM-Production",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
"Role UID","Identity Manager roleType","DisplayNameStrCustAttr1","Parent Role",
"Identity Manager Org Unit",...
ツール実行のためのソフトウェア要件
ご使用の環境で抽出ツールとロード・ツールを実行するには、その環境が特定の要
件を満たしている必要があります。
抽出ツール
抽出ツールを実行するには、以下の要件が満たされている必要があります。
6
IBM Security Role and Policy Modeler: リファレンス・ガイド
v 抽出ツールは、IBM Security Identity Manager バージョン 5.1 または 6.0 がイン
ストールされているコンピューターと同じコンピューターで実行する必要があり
ます。すべての必須 IBM Security Identity Manager フィックスパックがインスト
ールされていることを確認してください。このツールは、IBM Security Identity
Manager の WebSphere® Application Server JRE を使用します。
カスタムの役割属性がサポートされるのは、IBM Security Identity Manager バー
ジョン 6.0 上で抽出ツールを実行したときのみです。
v 抽出ツールは、IBM Security Identity Manager がサポートするすべてのプラット
フォームでサポートされています。抽出ツールをインストールするには、IBM
Security Role and Policy Modeler インストーラーを使用します。IBM Security
Role and Policy Modeler でサポートされていないプラットフォームを使用する場
合は、IBM Security Role and Policy Modeler のインストール CD の utilities サ
ブディレクトリーから、utilities.zip ファイルをコピーして unzip します。
ロード・ツール
ロード・ツールを実行するには、以下の要件に従ってください。
v ロード・ツールは、IBM Security Identity Manager バージョン 5.1 または 6.0 上
で実行できます。すべての必須 IBM Security Identity Manager フィックスパック
がインストールされていることを確認してください。
カスタムの役割属性がサポートされるのは、IBM Security Identity Manager バー
ジョン 6.0 上でロード・ツールを実行したときのみです。
v ロード・ツールは、IBM Security Role and Policy Modeler のプラットフォームで
のみサポートされています。サポートされているプラットフォームにロード・ツ
ールをインストールするには、IBM Security Role and Policy Modeler インストー
ラーを使用します。
v ロード・ツールは、ローカルで実行することも、IBM Security Identity Manager
コンピューターとは別のリモート・コンピューターで実行することもできます。
v ロード・ツールが IBM Security Identity Manager のインストール済み環境とは別
のコンピューターにインストールされている場合は、ロード・ユーティリティー
と同じコンピューターに WebSphere Application Server 7.0 Application Client を
インストールします。このシナリオでは、ロード・ツールは WebSphere
Application Server 7.0 Application Client JRE を使用します。
IBM Security Identity Manager がインストールされているコンピューターと同じ
コンピューターにロード・ツールがインストールされている場合は、他の前提条
件は不要です。このシナリオでは、ロード・ツールは WebSphere Application
Server JRE を使用します。
ツールのインストールおよび構成
抽出ツールおよびロード・ツールを実行するには、あらかじめそれらをインストー
ルして構成しておく必要があります。
以下のトピックに、抽出ツールのインストールおよび構成に関する情報が記載され
ています。
第 2 章 抽出ツールおよびロード・ツール
7
v
9 ページの『AIX または Linux オペレーティング・システムでの抽出ツールのイ
ンストールおよび構成』
v 『Windows オペレーティング・システムでの抽出ツールのインストールおよび構
成』
18 ページの『ログ・ファイル・パラメーターの設定』で、ログ・ファイルの構成に
ついて説明しています。
以下のトピックに、ロード・ツールのインストールおよび構成に関する情報が記載
されています。
v
12 ページの『AIX または Linux オペレーティング・システムでのロード・ツー
ルのインストールおよび構成』
v
11 ページの『Windows オペレーティング・システムでのロード・ツールのイン
ストールおよび構成』
v
13 ページの『ロード・ツール用のリモート IBM Security Identity Manager サー
バーの構成』
以下のトピックに、ツールのアンインストールに関する情報が記載されています。
v
11 ページの『抽出ツールのアンインストール』
v
18 ページの『ロード・ツールのアンインストール』
Windows オペレーティング・システムでの抽出ツールのインスト
ールおよび構成
IBM Security Role and Policy Modeler インストーラーを使用して、Windows オペ
レーティング・システムに抽出ツールをインストールします。構成では、パス変数
を設定する必要があります。
手順
1. IBM Security Role and Policy Modeler がサポートするプラットフォームの場合
は、IBM Security Role and Policy Modeler インストーラーを開始し、「IBM
Security Identity Manager の抽出およびロード・ユーティリティー」を選択し
ます。
IBM Security Role and Policy Modeler でサポートされていないプラットフォー
ムを使用する場合は、IBM Security Role and Policy Modeler のインストール
CD の utilities サブディレクトリーから、utilities.zip ファイルをコピーして
unzip します。
2. 抽出ツール・ファイルがインストールされた場所を判別します。例えば、IBM
Security Role and Policy Modeler インストール・パスが C:¥Program
Files¥IBM¥SecurityModeler である場合、抽出ツール・ファイルは C:¥Program
Files¥IBM¥SecurityModeler¥utilities¥extract にあります。
9 ページの表 1 に、 extract ディレクトリーの内容を示します。
8
IBM Security Role and Policy Modeler: リファレンス・ガイド
表 1. Windows オペレーティング・システムでの extract サブディレクトリーの内容
ファイルまたはディレクトリー名
説明
ExtractConfig.xml
抽出ツール用の入力パラメーターを含む抽出
構成 XML ファイル。
lib
抽出ツールで必要な Java™ ライブラリーを含
むディレクトリー。
Extract.cmd
Windows オペレーティング・システムで抽出
ツールを実行するスクリプト・ファイル。
log4j.properties
抽出ツールのロギング動作を構成するファイ
ル。
3. エディターで Extract.cmd ファイルを開き、以下のパス変数を更新します。
a. WAS_HOME 変数に WebSphere のパスを設定します。例えば、
WAS_HOME=D:¥Program Files¥IBM¥WebSphere¥AppServer を設定します。
b. ITIM_HOME 変数に IBM Security Identity Manager インストール・ディレク
トリー・パスを設定します。例えば、ITIM_HOME=D:¥Program Files¥IBM¥itim
を設定します。
c. HOME_DIR パスを、ユーティリティー・アーカイブの extract サブディレ
クトリーが抽出されたロケーションに設定します。例えば、
HOME_DIR=C:¥RaPM¥utilties¥extract を設定します。
d. IBM Security Identity Manager サーバーが IBM DB2® 以外のデータベース
(例えば Oracle または Microsoft SQL Server) を使用して構成されている場合
は、以下のスクリプト行を置き換えてください。
set CP=%CP%;%ITIM_HOME%¥lib¥db2jcc.jar
これを、適切な JDBC ドライバー・ファイル名に置き換えます。例えば、
Oracle を使用している場合は、以下の行を使用します。
set CP=%CP%;C:¥itim_jdbcdriver¥ojdbc6.jar
4. Extract.cmd ファイルを保存して、エディターを閉じます。
5. ExtractConfig.xml ファイルを編集して、抽出ツールに必須の属性を指定しま
す。 20 ページの『抽出構成 XML ファイルの更新』を参照してください。
AIX または Linux オペレーティング・システムでの抽出ツールの
インストールおよび構成
IBM Security Role and Policy Modeler インストーラーを使用して、AIX® または
Linux に抽出ツールをインストールします。構成では、パス変数を設定する必要が
あります。
手順
1. IBM Security Role and Policy Modeler がサポートするプラットフォームの場合
は、インストーラーを開始し、「IBM Security Identity Manager の抽出および
ロード・ユーティリティー」機能を選択します。
第 2 章 抽出ツールおよびロード・ツール
9
IBM Security Role and Policy Modeler でサポートされていないプラットフォー
ムを使用する場合は、IBM Security Role and Policy Modeler のインストール
CD の utilities サブディレクトリーから、utilities.zip ファイルをコピーして
unzip します。
2. 抽出ツール・ファイルがインストールされた場所を判別します。例えば、IBM
Security Role and Policy Modeler インストール・パスが /opt/IBM/
SecurityModeler/utilities/extract である場合、抽出ツール・ファイルは
/opt/IBM/SecurityModeler/utilities/extract にあります。
表 2 に、 extract ディレクトリーの内容を示します。
表 2. AIX または Linux オペレーティング・システムでの extract サブディレクトリーの内
容
ファイルまたはディレクトリー名
説明
ExtractConfig.xml
抽出ツール用の入力パラメーターを含む抽出
構成 XML ファイル。
lib
抽出ツールで必要な Java ライブラリーを含
むディレクトリー。
Extract.sh
AIX または Linux オペレーティング・シス
テムで抽出ツールを実行するスクリプト・フ
ァイル
log4j.properties
抽出ツールのロギング動作を構成するファイ
ル。
3. エディターで Extract.sh ファイルを開き、以下のパス変数を更新します。
a. WAS_HOME 変数に WebSphere のパスを設定します。例えば、
WAS_HOME=/opt/IBM/WebSphere/AppServer を設定します。
b. ITIM_HOME 変数に IBM Security Identity Manager インストール・ディレク
トリー・パスを設定します。例えば、ITIM_HOME=/opt/IBM/itim を設定しま
す。
c. HOME_DIR パスを、ユーティリティー・アーカイブの extract サブディレ
クトリーが抽出されたロケーションに設定します。例えば、
HOME_DIR=/opt/RaPM/utilties/extract を設定します。
d. IBM Security Identity Manager サーバーが IBM DB2 以外のデータベース
(例えば Oracle または Microsoft SQL Server) を使用して構成されている場合
は、以下のスクリプト行を置き換えてください。
CP=$CP:$ITIM_HOME/lib/db2jcc.jar
これを、適切な JDBC ドライバー・ファイル名に置き換えます。例えば、
Oracle を使用している場合は、以下の行を使用します。
CP=$CP:/opt/itim_jdbcdriver/ojdbc6.jar
4. Extract.sh ファイルを保存して、エディターを閉じます。
5. リモート・マシンから Extract.sh ファイルをコピーした場合、オペレーティン
グ・システム・コマンドを使用して、ファイルに実行権限を付与します。例え
ば、以下のとおりです。
# chmod -R 755 Extract.sh
10
IBM Security Role and Policy Modeler: リファレンス・ガイド
6. ExtractConfig.xml ファイルを編集して、抽出ツールに必須の属性を指定しま
す。 20 ページの『抽出構成 XML ファイルの更新』を参照してください。
抽出ツールのアンインストール
インストーラーを使用して、またはディレクトリーおよびその内容を削除して、抽
出ツールをアンインストールします。
手順
IBM Security Role and Policy Modeler インストーラーを使用して、抽出ツールおよ
びロード・ツールをインストールした場合は、そのインストーラーを使用してツー
ルをアンインストールします。utilities ディレクトリーを手動でコピーした場合
は、そのディレクトリーとすべての内容を削除してください。
Windows オペレーティング・システムでのロード・ツールのイン
ストールおよび構成
IBM Security Role and Policy Modeler インストーラーを使用して、Windows オペ
レーティング・システムにロード・ツールをインストールします。構成では、パス
変数を設定する必要があります。
このタスクについて
注: IBM Security Identity Manager をリモート・サーバーで実行している場合は、
13 ページの『ロード・ツール用のリモート IBM Security Identity Manager サーバー
の構成』の手順を実行してください。
手順
1. IBM Security Role and Policy Modeler インストーラーを開始し、「IBM IBM
Security Identity Manager の抽出およびロード・ユーティリティー」機能を選
択します。
2. ロード・ツール・ファイルがインストールされた場所を判別します。例えば、デ
フォルトのインストール・パスが C:¥Program Files¥IBM¥SecurityModeler であ
る場合、ロード・ツール・ファイルは C:¥Program
Files¥IBM¥SecurityModeler¥utilities¥load にあります。
表 3 に、 load ディレクトリーの内容を示します。
表 3. Windows オペレーティング・システムでの load サブディレクトリーの内容
ファイルまたはディレクトリー名
説明
Config.properties
ロード・ツール用の入力パラメーターを含む
ロード構成プロパティー・ファイル。
lib
ロード・ツールで必要な Java ライブラリー
を含むディレクトリー。
Load.cmd
Windows オペレーティング・システムでロー
ド・ツールを実行するスクリプト・ファイ
ル。
log4j.properties
ロード・ツールのロギング動作を構成するフ
ァイル。
第 2 章 抽出ツールおよびロード・ツール
11
表 3. Windows オペレーティング・システムでの load サブディレクトリーの内容 (続き)
ファイルまたはディレクトリー名
説明
LoadConfig.xml
カスタム属性の構成を格納するロード構成
XML ファイル。
3. エディターで Load.cmd ファイルを開き、以下のパス変数を更新します。
a. HOME_DIR 変数内のホーム・ディレクトリー・パスを、ロード・ツールのデ
ィレクトリーに設定します。例えば、HOME_DIR=C:¥utilities¥load を設定し
ます。
b. WAS_HOME 変数に WebSphere Application Server ホーム・ディレクトリ
ー・パスを設定します。例えば、WAS_HOME=D:¥Program
Files¥IBM¥WebSphere¥AppServer を設定します。
c. ITIM_HOME 変数に IBM Security Identity Manager インストール・ディレク
トリー・パスを設定します。例えば、ITIM_HOME=D:¥Program Files¥IBM¥itim
を設定します。
4. Load.cmd ファイルを保存して、エディターを閉じます。
5. ロード・ツールに必要な入力パラメーターを指定するように Config.properties
ファイルを編集します。 15 ページの『ロード・ツール用の Config.properties 入
力ファイルの更新』を参照してください。
6. LoadConfig.xml ファイルを編集して、ロード・ツールに必須のカスタム属性を
指定します。 46 ページの『ロード構成 XML ファイルの更新』を参照してくだ
さい。
AIX または Linux オペレーティング・システムでのロード・ツー
ルのインストールおよび構成
IBM Security Role and Policy Modeler インストーラーを使用して、AIX または
Linux オペレーティング・システムにロード・ツールをインストールします。構成
では、パス変数を設定する必要があります。
始める前に
IBM Security Identity Manager をリモート・サーバーで実行している場合は、 13 ペ
ージの『ロード・ツール用のリモート IBM Security Identity Manager サーバーの構
成』の手順を実行してください。
手順
1. IBM Security Role and Policy Modeler インストーラーを開始し、「IBM IBM
Security Identity Manager の抽出およびロード・ユーティリティー」機能を選
択します。
2. ロード・ツール・ファイルがインストールされた場所を判別します。例えば、デ
フォルトのインストール・パスが usr/IBM/SecurityModeler である場合、ロー
ド・ツール・ファイルは usr/IBM/SecurityModeler/utilities/load にありま
す。
13 ページの表 4 に、 load ディレクトリーの内容を示します。
12
IBM Security Role and Policy Modeler: リファレンス・ガイド
表 4. AIX または Linux オペレーティング・システムでの load サブディレクトリーの内容
ファイルまたはディレクトリー名
説明
Config.properties
ロード・ツール用の入力パラメーターを含む
ロード構成プロパティー・ファイル。
lib
ロード・ツールで必要な Java ライブラリー
を含むディレクトリー。
Load.sh
AIX または Linux オペレーティング・シス
テムでロード・ツールを実行するスクリプ
ト・ファイル
log4j.properties
ロード・ツールのロギング動作を構成するフ
ァイル。
LoadConfig.xml
カスタム属性の構成を格納するロード構成
XML ファイル。
3. エディターで Load.sh ファイルを開き、以下のパス変数を更新します。
a. HOME_DIR 変数内のホーム・ディレクトリー・パスを、ロード・ツールのデ
ィレクトリーに設定します。例えば、HOME_DIR=/opt/utilities/load を設定
します。
b. WAS_HOME 変数に WebSphere Application Server ホーム・ディレクトリ
ー・パスを設定します。例えば、WAS_HOME=/opt/IBM/WebSphere/AppServer
を設定します。
c. ITIM_HOME 変数に IBM Security Identity Manager インストール・ディレク
トリー・パスを設定します。例えば、ITIM_HOME=/opt/IBM/itim を設定しま
す。
4. Load.sh ファイルを保存して、エディターを閉じます。
5. リモート・マシンから Load.sh ファイルをコピーした場合、オペレーティン
グ・システム・コマンドを使用して、ファイルに実行権限を付与します。例え
ば、以下のとおりです。
# chmod -R 755 Load.sh
6. ロード・ツールに必要な入力パラメーターを指定するように Config.properties
ファイルを編集します。 15 ページの『ロード・ツール用の Config.properties 入
力ファイルの更新』を参照してください。
7. LoadConfig.xml ファイルを編集して、ロード・ツールに必須のカスタム属性を
指定します。 46 ページの『ロード構成 XML ファイルの更新』を参照してくだ
さい。
ロード・ツール用のリモート IBM Security Identity Manager サ
ーバーの構成
JAR ファイルを適切なディレクトリーにコピーすることによって、IBM Security
Identity Manager サーバーを構成します。
始める前に
ロード・ツールが配置されているコンピューター上に WebSphere Application Server
7.0 Application Client をインストール済みであることを確認してください。
第 2 章 抽出ツールおよびロード・ツール
13
このタスクについて
構成の手順では、ディレクトリー名はWindows での例を示しています。AIX または
Linux の場合は、該当するディレクトリー・ロケーションを使用してください。
手順
1. システム上にローカル・ディレクトリー clientjars を作成します。
2. 以下のファイルを、IBM Security Identity Manager サーバー・コンピューターか
ら clientjars ディレクトリーにコピーします。
v <ITIM_HOME>¥lib¥itim_api.jar
v <ITIM_HOME>¥lib¥api_ejb.jar
v <ITIM_HOME>¥lib¥itim_common.jar
v <ITIM_HOME>¥lib¥jlog.jar
v <ITIM_HOME>¥lib¥aspectjrt.jar
v <ITIM_HOME>¥lib¥jffdc.jar
v <ITIM_HOME>¥lib¥itim_server_api.jar
ITIM_HOME は、IBM Security Identity Manager インストール・ディレクトリーの
ロケーションです。例えば、C:¥Program Files¥IBM¥itim です。
3. IBM Security Identity Manager サーバー・コンピューターからロード・ツールの
作業ディレクトリーに、data ディレクトリーとその内容をコピーします。例え
ば、<ITIM_HOME>¥data のすべてのファイルを、ロード・ツールの
c:¥clientjars¥data にコピーします。
注: ITIM_HOME パス変数名は、すべて大文字であることを含め、厳密に表示ど
おりに指定する必要があります。
4. エディターで Load.cmd ファイルを開き、以下のパス変数を更新します。
v HOME_DIR 変数内のホーム・ディレクトリー・パスを、ロード・ツールのディ
レクトリーに設定します。例えば、HOME_DIR=C:¥utilities¥load を設定しま
す。
v WAS_HOME 変数に WebSphere Application Server 7.0 Application Client ホー
ム・ディレクトリー・パスを設定します。例えば、WAS_HOME=D:¥Program
Files¥IBM¥WebSphere¥AppClient を設定します。
v ITIM_HOME 変数に IBM Security Identity Manager ライブラリー・ディレクト
リー・パスを設定します。例えば、ITIM_HOME=c:¥clientjars を設定します。
v c:¥clientjars ディレクトリーを参照することによって、以下の IBM
Security Identity Manager JAR ファイルに指定されたすべてのパスを訂正しま
す。
– set CP=%CP%;%ITIM_HOME%¥data
– set CP=%CP%;%ITIM_HOME%¥lib¥jlog.jar
– set CP=%CP%;%ITIM_HOME%¥lib¥jffdc.jar
– set CP=%CP%;%ITIM_HOME%¥lib¥itim_common.jar
– set CP=%CP%;%ITIM_HOME%¥lib¥itim_api.jar
– set CP=%CP%;%ITIM_HOME%¥lib¥aspectjrt.jar
– set CP=%CP%;%ITIM_HOME%¥lib¥api_ejb.jar
14
IBM Security Role and Policy Modeler: リファレンス・ガイド
次のステートメントを例として挙げます。
set CP=%CP%;%ITIM_HOME%¥lib¥jlog.jar
これを以下のステートメントに置き換えます。
set CP=%CP%;%ITIM_HOME%¥jlog.jar
ここで、ITIM_HOME は、このステップの前の方で述べたように、
c:¥clientjars ディレクトリーに設定されています。
5. Load.cmd ファイルを保存して、エディターを閉じます。
6. ロード・ツールに必要な入力パラメーターを指定するように Config.properties
ファイルを編集します。『ロード・ツール用の Config.properties 入力ファイルの
更新』を参照してください。
ロード・ツール用の Config.properties 入力ファイルの更新
ロード・ツールは、Config.properties ファイルで定義されたプロパティーを使用
して、リモート環境で実行されます。
注: IBM Security Identity Manager が単一サーバーとして構成されている場合は、
Config.properties ファイルの Cluster_URL プロパティーに値を指定しないでくだ
さい。IBM Security Identity Manager が単一サーバーとして構成されている場合
は、必要に応じて、Config.properties ファイルの Cluster_URL プロパティーをコ
メント化または削除することもできます。このプロパティーは、クラスター・デプ
ロイメントにだけ使用されます。
Config.properties ファイルは、load ディレクトリーにあります。この構成ファイ
ルでは、以下のパラメーターが使用されます。
HostName
IBM Security Identity Manager サーバーが実行されているシステムの IP アドレ
スまたは名前を指定します。デフォルトのホスト名は localhost です。
PortNumber
IBM Security Identity Manager の WebSphere Application Server が listen して
いる、WebSphere Application Server のポート番号またはブートストラップ・ポ
ートを指定します。デフォルト値は 2809 です。
WAS_GlobalSecurity_Enabled
IBM Security Identity Manager の WebSphere Application Server サーバーでグロ
ーバル・セキュリティーが有効になっているかどうかを指定します。デフォルト
値は true です。この値が true の場合は、ロード・ツールの実行時に、
WebSphere Application Server のユーザー名とパスワードを求めるプロンプトが
出されます。
注: このパラメーターが有効なのは、IBM Security Identity Manager 5.1 に対し
てロード・ツールを実行したときのみです。このパラメーターは、IBM Security
Identity Manager 6.0 には適用されません。
OrgUnitName
IBM Security Identity Manager の新しい役割と職務分離制約の作成先となる組織
第 2 章 抽出ツールおよびロード・ツール
15
コンテナーを指定します。このパラメーターは、ロード・ツールが IBM
Security Identity Manager 内で既存の役割と職務分離制約を検索するときにも使
用されます。
このパラメーターを指定しないか、値を設定しない場合、役割および職務分離制
約の追加および変更は、IBM Security Identity Manager のデフォルトの組織コン
テナー内で行われます。
この値は、以下のいずれかのフォーマットで指定する必要があります。
OrgUnitName=ou=orgUnit
コンテナーが組織単位、管理ドメイン、またはビジネス・パートナー組織で
ある場合は、このフォーマットを使用します。
OrgUnitName=o=org
コンテナーが組織である場合は、このフォーマットを使用します。
OrgUnitName=l=loc
コンテナーがロケーションである場合は、このフォーマットを使用します。
OrgUnitName=DN=erglobalid=6145930925968307773,ou=orgChart,
erglobalid=00000000000000000000,ou=IBM,dc=com
コンテナーの識別名 (DN) の値を指定する場合は、このフォーマットを使用
します。
注: 示したフォーマットは、スペースを含まない連続した単一の行として入
力します。示した例は、読みやすくするために、この資料内でのみ 2 行に
分割されています。
PreviewMode
プレビュー・モードを判別するための値を指定します。追加または変更される可
能性のある役割および職務分離制約の総数の統計のプレビューのみを行う場合は
true を指定します。ロード・ツールで追加および変更を行うには、false を指
定します。デフォルト値は true です。
InputFileName
IBM Security Role and Policy Modeler からエクスポートされる XML ファイル
のパスとファイル名を指定します。このファイルには、IBM Security Identity
Manager にインポートされる役割および職務分離制約のリストが含まれます。
デフォルト値は Export_RaPM_Project.xml です。
このパラメーターの値には、このファイルが格納されている場所の完全パスとフ
ァイル名を指定することもできます。例えば、以下のとおりです。
InputFileName=F:/utilities/load/exportrole_SOD.xml
IgnoreUserToRoleMapping
ロード・ツールがユーザーから役割へのメンバーシップ割り当てを使用するかど
うかを指定します。ユーザーから役割へのメンバーシップ割り当てを使用しない
場合は、この値を true に設定します。デフォルトでは、この属性は false に
設定されています。 false 値を設定してロード・ツールを実行すると、IBM
Security Role and Policy Modeler からエクスポートされる XML ファイルで、
役割のユーザー・メンバーが追加または削除されます。このパラメーターを
true に設定すると、役割のユーザー・メンバーの処理は無視されます。
16
IBM Security Role and Policy Modeler: リファレンス・ガイド
Cluster_URL
アプリケーション・サーバー・ネーミング・サービスの URL ロケーションの値
を指定します。IBM Security Identity Manager がクラスター環境で構成されてい
る場合は、このパラメーターを使用します。この値は、IBM Security Identity
Manager のホーム・ディレクトリーの data ディレクトリー内にある
enRole.properties ファイルの enrole.appserver.url プロパティーの値と一致
する必要があります。
例えば、以下のとおりです。
Cluster_URL=iiop://nodeip:2810/cell/clusters/ITIMCluster
使用上の注意:
v デフォルトでは、このパラメーターには値が指定されていません。このた
め、デフォルトではロード・ツールは HostName パラメーターおよび
PortNumber パラメーターを使用して、単一サーバーとして構成されている
IBM Security Identity Manager アプリケーションと通信します。このパラメー
ターに値を指定するのは、IBM Security Identity Manager がクラスター環境で
構成されている場合のみです。
v Config.properties ファイルでこのパラメーターがコメント化されているか
存在しない場合、ロード・ツールは HostName パラメーターおよび
PortNumber パラメーターを使用して、単一サーバーとして構成されている
IBM Security Identity Manager アプリケーションと通信します。
v IBM Security Identity Manager 5.1 の場合、クラスターでロード・ツールを実
行すると、資格情報を複数回指定する必要があります。以下を指定するよう
に求めるプロンプトが表示されます。
– WebSphere Application Server の資格情報 (グローバル・セキュリティーが
使用可能な場合)
– IBM Security Identity Manager の資格情報
さらに、WebSphere Application Server からも、グローバル・セキュリティー
のデフォルトのセキュリティー・レルムに指定したユーザー ID とパスワー
ドの入力を求められます。ロード・ツールが正常に認証されるように、有効
な資格情報を指定してください。
v グローバル・セキュリティーが使用可能なクラスターでロード・ツールを使
用するときに、オプションで、WebSphere Application Server のユーザー ID
とパスワードを求めるプロンプトが表示されないように、構成プロパティー
を設定できます。このユーザー ID とパスワードは、デフォルトのセキュリ
ティー・レルムの資格情報です。プロンプトが表示されないようにするに
は、sas.client.props ファイルを編集します。以下のパラメーターを使用し
て有効な資格情報を指定します。
# RMI/IIOP user identity
com.ibm.CORBA.loginUserid=
com.ibm.CORBA.loginPassword=
ファイル・ロケーション:
– ロード・ツールが、クラスターのいずれかのノードと同じ コンピューター
にインストールされている場合、sas.client.props ファイルは WebSphere
Application Server の properties フォルダー内にインストールされます。
第 2 章 抽出ツールおよびロード・ツール
17
– ロード・ツールがノードとは別の コンピューターにインストールされてい
る場合、sas.client.props ファイルは WebSphere Application Server 7.0
Thin Client の properties フォルダー内にインストールされます。
役割分類の値
役割の分類タイプを指定します。IBM Security Identity Manager に用意されてい
るデフォルトの役割分類タイプは、Config.properties 内であらかじめ以下のよ
うに指定されています。
role.classification.application=Application role
role.classification.business=Business role
IBM Security Identity Manager サーバー用のカスタマイズされた役割分類タイプ
がある場合は、IBM Security Identity Manager のインストール・ディレクトリー
の data サブディレクトリーにある CustomLabels.properties ファイルから、
これらの値をコピーします (role.classification.none は除く)。その後、
Config.properties ファイルでそれらの値を指定します。
サンプル Config.properties ファイル
Windows オペレーティング・システムの config.properties ファイルの例を以下
に示します。
HostName=localhost
PortNumber=2809
WAS_GlobalSecurity_Enabled=true
OrgUnitName=
PreviewMode=true
InputFileName=Export_RaPM_Project.xml
IgnoreUserToRoleMapping=false
role.classification.application=Application role
role.classification.business=Business role
ロード・ツールのアンインストール
ロード・ツールをアンインストールするには、インストーラーを使用するか、ディ
レクトリーおよびその内容を削除します。
手順
IBM Security Role and Policy Modeler インストーラーを使用して、抽出ツールおよ
びロード・ツールをインストールした場合は、そのインストーラーを使用してツー
ルをアンインストールします。utilities ディレクトリーを手動でコピーした場合
は、そのディレクトリーとすべての内容を削除してください。
ログ・ファイル・パラメーターの設定
ご使用の環境に必要な出力ログ・ファイルを生成するように、log4j.properties フ
ァイルを構成することができます。このファイルは、抽出ユーティリティーおよび
ロード・ユーティリティーとは別にパッケージ化されています。
始める前に
extract サブディレクトリーまたは load サブディレクトリーから、変更する
log4j.properties ファイルを見つけます。
18
IBM Security Role and Policy Modeler: リファレンス・ガイド
手順
1. エディターで log4j.properties ファイルを開きます。
2. 出力ファイルを指定するように、log4j.appender.logFile.File パラメーターを
更新します。例えば、次のように指定します。
log4j.appender.logFile.File=Extract.log
3. ログ・ファイル・ロギング・タイプを指定するように、log4j.rootCategory パ
ラメーターを更新します。例えば、次のように指定します。
log4j.rootCategory=DEBUG, Logfile
この例では、ログ・ファイル・ロギングを DEBUG に設定します。
4. このファイルを保管します。
抽出ツールの概要
IBM Security Identity Manager の ID、役割、権限、およびポリシー・データをエク
スポートするには、抽出ツールを使用します。抽出ツールは、このデータの基本ス
キーマを定義し、スキーマを拡張できるようにしています。
IBM Security Role and Policy Modeler サーバーは、ExtractConfig.xml ファイル内
の要素に関して、データおよびスキーマが定義されることを前提としています。 20
ページの『抽出構成 XML ファイルの更新』を参照してください。
以下のトピックでは、構成ファイルのセットアップ後に抽出ツールを使用する方法
について説明します。
v
37 ページの『Windows オペレーティング・システムでの抽出ツールの実行』
v
40 ページの『AIX または Linux オペレーティング・システムでの抽出ツールの
実行』
抽出ツールにより、以下の CSV ファイルが生成されます。
v Import_Schema_Session.csv - スキーマを定義します。
v Import_Data_Session.csv - 要素に関連してデータを定義します。
抽出ツールは、実行されるごとに Extract.log ファイルも生成します。
抽出されるデータのタイプ
抽出ツールにより、IBM Security Identity Manager から以下のデータが抽出されま
す。
v 役割
v 職務分離ポリシー
v IBM Security Role and Policy Modeler 用の ID としてのユーザー
v IBM Security Role and Policy Modeler 用の権限としてのグループ
v IBM Security Role and Policy Modeler 用の ID としての IBM Security Identity
Manager の管理対象リソースからのユーザー・アカウント
v IBM Security Role and Policy Modeler 用の権限として IBM Security Identity
Manager 内の管理対象リソースに定義されたサービス
第 2 章 抽出ツールおよびロード・ツール
19
v IBM Security Role and Policy Modeler 用の権限としての IBM Security Identity
Manager の管理対象リソースからのグループ
v IBM Security Role and Policy Modeler 用の役割としての IBM Security Identity
Manager の管理対象リソースからの役割
v 特定の役割に関連付けられたプロビジョニング・ポリシー名
v 組織階層情報
v IBM Security Identity Manager で定義されたユーザーから役割への関連付け
v IBM Security Role and Policy Modeler 用のユーザーから権限への割り当てとして
IBM Security Identity Manager で定義されたユーザーからグループへの関連付け
v IBM Security Role and Policy Modeler 用のユーザーから権限への割り当てとして
の IBM Security Identity Manager 内のユーザーからサービスへの関連付け
前のデータに加えて、ExtractConfig.xml ファイルには、IBM Security Identity
Manager から追加情報を取得するための属性およびオブジェクト・クラス・マッピ
ング情報が含まれています。
サービス・タイプ構成
デフォルトの ExtractConfig.xml ファイルには、以下のサービス・タイプの権限と
して抽出されるグループが含まれています。
v IBM Security Identity Manager サービス
v Oracle EBS
v POSIX Linux
v LDAP
v Active Directory
v POSIX Solaris
v POSIX AIX
デフォルトの ExtractConfig.xml ファイルには、以下のサービス・タイプの役割と
して抽出されるリソースからの役割が含まれています。
v Oracle EBS
v POSIX AIX
ご使用の IBM Security Identity Manager サーバーで抽出ツールが既に構成されてい
る場合、抽出ツールはこれらのサービス・タイプの CSV ファイル・データを生成
します。新規のサービス・タイプまたは属性をサポートしたい場合は、
ExtractConfig.xml ファイルをカスタマイズする必要があります。このファイルで
変更を加えると、必要なスキーマおよびデータが CSV ファイルの形式で生成され
ます。
抽出構成 XML ファイルの更新
抽出構成 XML ファイルを更新して、抽出ツールへの入力として使用するスキーマ
を定義します。
20
IBM Security Role and Policy Modeler: リファレンス・ガイド
始める前に
抽出ツールと共にインストールされた ExtractConfig.xml ファイルを見つけます。
8 ページの『Windows オペレーティング・システムでの抽出ツールのインストール
および構成』または 9 ページの『AIX または Linux オペレーティング・システム
での抽出ツールのインストールおよび構成』を参照してください。
このタスクについて
ExtractConfig.xml ファイルは、検索スコープ、属性名、オブジェクト・クラス、
およびサービス名などのスキーマ要素を定義します。IBM Security Identity Manager
サーバーから抽出したデータを使用しています。このファイルはカスタマイズ可能
であり、ご使用の IBM Security Identity Manager サーバーからどの情報を抽出する
必要があるかを決定する際に役立ちます。
手順
1. エディターで ExtractConfig.xml ファイルを開きます。
2. 『IBM Security Role and Policy Modeler スキーマ要素』で説明されている指定
を使用して、スキーマの要素を追加または更新します。
スキーマ要素のトピックでは、ExtractConfig.xml がスキーマ CSV ファイルおよ
びデータ CSV ファイルのさまざまな要素を生成する方法について詳細に説明し
ています。それらの要素は、データを IBM Security Role and Policy Modeler に
インポートするときに必要です。
3. タグ付けを追加または更新して、 33 ページの『抽出ツールの動作の定義』で説
明されている指定を使用することによって、抽出ツールの動作を定義します。
4. このファイルを保管します。
次のタスク
抽出ツールを使用して、この構成ファイルを使用してデータをエクスポートしま
す。以下を参照してください。
v
40 ページの『AIX または Linux オペレーティング・システムでの抽出ツールの
実行』
v
37 ページの『Windows オペレーティング・システムでの抽出ツールの実行』
IBM Security Role and Policy Modeler スキーマ要素
ExtractConfig.xml ファイルでは、IBM Security Role and Policy Modeler によるイ
ンポートの際に使用する必要のある形式でスキーマ CSV ファイルおよびデータ
CSV ファイルの要素を生成する構成を指定します。
注: スキーマ CSV ファイルおよびデータ CSV ファイルの要素について詳しくは、
「IBM Security Role and Policy Modeler 管理ガイド」の『インポート管理』のセク
ションを参照してください。
ExtractConfig.xml ファイルには、スキーマ CSV ファイルおよびデータ CSV フ
ァイルを生成する構成が含まれています。生成されたファイルには、以下のセクシ
ョンが含まれます。
v スキーマ CSV ファイル:
第 2 章 抽出ツールおよびロード・ツール
21
– 『#Define Source セクション』
– 23 ページの『#Define Attribute セクション』
– 26 ページの『#Define Role Type セクション』
v データ CSV ファイル:
–
27 ページの『#Identity セクション』
–
28 ページの『#Permissions セクション』
–
29 ページの『#Role セクション』
– 31 ページの『#Separation of Duty Policy セクション』
–
32 ページの『#User Permission Assignment セクション』
–
32 ページの『#Role User Assignment セクション』
– 32 ページの『#Define Hierarchical Attributes セクション』
#Define Source セクション
スキーマ CSV ファイルのこのセクションは、データのすべてのソースを定義しま
す。ソースの例としては、ID、権限、役割などが挙げられます。
目的
ExtractConfig.xml ファイルには、ソースを定義するためのセクションがありま
す。この定義は 1 次ソースとして機能します。他の属性は、IBM Security Identity
Manager 内のアカウントやグループなどのサービス・エンティティーから抽出でき
ます。これらの属性については、抽出ツールがソースを定義し、さらに属性スキー
マを拡張することによって、ソースごとに属性を追加します。
構成ファイル内のタグ
CSV ファイル内のソース・データは、ExtractConfig.xml で定義された以下のタグ
を使用して生成されます。
<Source-UID> </Source-UID>
<Source-Name> </Source-Name>
<Source-Description> </Source-Description>
<Source-UID>
ソースの UID。UID は固有である必要があります。
<Source-Name>
ソースの名前。URL、アプリケーションの名前、またはソースの簡単な説明を指
定できます。例えば、「IBM Security Identity Manager」などと指定します。
<Source-Description>
ソースの説明。例えば、「My IBM Security Identity Manager v5.1 Production
Server」などと指定します。
出力
ツールによって Import_Schema_Session.csv ファイル内に以下の情報が生成されま
す。
#Define Source
Source UID
22
Source Name
IBM Security Role and Policy Modeler: リファレンス・ガイド
Source Description
#Define Attribute セクション
スキーマ CSV ファイルのこのセクションは、エンティティーに使用するすべての
カスタム属性を定義します。例えば、エンティティーには ID、権限、役割、権限の
割り当てなどが含まれます。
目的
ExtractConfig.xml ファイルには、追加のカスタム属性を定義するためのセクショ
ンがあります。IBM Security Role and Policy Modeler では、一部の属性がコア 属
性として予約されています。これらの属性は明示的に定義する必要がありません。
コア属性以外の属性が必要な場合は、このセクションで定義します。
注: カスタムの役割属性がサポートされるのは、IBM Security Identity Manager バー
ジョン 6.0 上でロード・ツールを実行したときのみです。
構成ファイル内のタグ
以下のタグが ExtractConfig.xml で定義されており、これらのタグによってスキー
マおよびデータ CSV ファイルに属性データが生成されます。
<Attribute>
<Attribute-UID> </Attribute-UID>
<Attribute-Display-Name> </Attribute-Display-Name>
<Attribute-Description> </Attribute-Description>
<Usage> </Usage>
<Type> </Type>
<ITIMAttributeMapping>
<ITIMObjectClass>
<name> </name>
<attribute> </attribute>
</ITIMObjectClass>
</ITIMAttributeMapping>
</Attribute>
注: <Attribute-UID> タグの値および <Attribute-Display-Name> タグの値の前に
キーワード Identity Manager を付けなかった場合は、抽出ツールによって、
Import_Schema_Session.csv ファイルの Attribute UID の値および Attribute
Display Name の値の前に、キーワード Identity Manager が付けられます。データ
CSV ファイルでも、列ヘッダーに対して同様の命名規則が適用されます。データ
CSV ファイルは、スキーマ CSV ファイルから属性名を取得します。
説明
<Attribute-UID>
属性の UID。UID は固有である必要があります。
<Attribute-Display-Name>
IBM Security Role and Policy Modeler ユーザー・インターフェースに表示され
る属性の名前。名前は固有である必要があります。
<Attribute-Description>
属性の説明。
第 2 章 抽出ツールおよびロード・ツール
23
<Usage>
属性の使用法を示すテキスト。例えば、リソースの URI、ID、分析データなど
を表す場合があります。Usage タグの値は、あらかじめ以下のように定義されて
います。
v UserAnalysis
v PermissionAnalysis
v RoleAnalysis
v SoDAnalysis
v UserDisplay1-5
v PermissionDisplay1-5
これらの値のタイプによって、属性タイプが ID、権限、役割、または職務分離
のいずれであるのかが区別されます。
複数の Usage タグを使用することで、複数の使用法を示すことができます。属
性の使用法に、以下のタイプのうち少なくとも 1 つが含まれていない場合は、
属性のデータがフェッチされません。
v UserAnalysis
v PermissionAnalysis
v RoleAnalysis
v SoDAnalysis
属性はスキーマ CSV ファイルには出力されますが、データ CSV ファイルには
出力されません。
<Type>
属性のタイプを定義します。次のいずれかのタイプを指定します。
v ストリング
v 整数
v ID
v 階層
<ITIMAttributeMapping>
<ITIMObjectClass>
<name>
<attribute>
<ITIMAttributeMapping> タグは、複数の使用法を持つ属性を定義します。カス
タム属性名が共通で、ソースが異なっている場合、<ITIMAttributeMapping> タ
グ内に複数の <ITIMObjectClass> タグを追加することで、このタイプの属性を
追加します。<name> タグと <attribute> タグは、異なる使用法ごとに指定しま
す。
属性の使用法に関する注意点:
v ExtractConfig.xml ファイルの <Attribute-Display-Name> タグでは、コア属性
の名前を使用しないでください。コア属性の例としては、Person UID、
Permission UID、Role UID があります。
v 抽出ツールは、スキーマ CSV ファイル内に「Identity Manager roleType」とい
う属性を生成します。この特殊な属性は RoleAnalysis 属性です。この属性の値
24
IBM Security Role and Policy Modeler: リファレンス・ガイド
は、IBM Security Identity Manager で定義されている役割の役割タイプです。値
は「static」または「dynamic」のいずれかです。
v 以下のいずれかの問題があるカスタム属性を ExtractConfig.xml ファイルに定義
する可能性があります。
– 属性が IBM Security Identity Manager に構成されていない
– 属性は構成されているが、値が定義されていない
これらのいずれかの問題が発生すると、抽出ツールが作成するデータ CSV ファ
イルで、カスタム属性のエンティティーに値が抽出されません。これは、作成さ
れるスキーマ CSV ファイルにこれらのカスタム属性の名前がある場合でも該当
します。
v デフォルトの ExtractConfig.xml ファイルでは、タグ <NonLDAPITIMAttributeMapping> </NonLDAP-ITIMAttributeMapping> 内にいくつかの属性
が宣言されています。これらの属性は、IBM Security Identity Manager からの属
性またはオブジェクト・クラスの直接的なマッピングを持たない特殊な属性で
す。抽出ツールは、他の属性に使用する処理とは別に、追加の処理を使用して、
これらの属性の値を抽出します。これらの特殊な属性を手動で
ExtractConfig.xml に追加することはできません。ただし、既存の属性が不要な
場合は、その属性を削除できます。
これらの特殊な属性は以下のとおりです。
Identity Manager Service Name
この属性は、IBM Security Identity Manager で定義されたサービスに関連付け
られたサービス名を抽出するために使用されます。
Identity Manager Service Owner
この属性は、IBM Security Identity Manager で定義されたサービスに関連付け
られたサービス・オーナー情報を抽出するために使用されます。
Identity Manager Resources
この属性は、IBM Security Identity Manager で定義されたサービス・プロファ
イル名を抽出するために使用されます。
Identity Manager Permission Assignment Type
この属性の値は、「group」または「system」のいずれかです。値「group」
は、IBM Security Identity Manager で定義されている管理対象リソースのグル
ープを参照します。値「system」は、IBM Security Identity Manager のグルー
プを参照します。
属性セクションの例
複数の使用法を持つ属性の例を以下に示します。
<Attribute>
<Attribute-UID>uri:attribute-Acount-objectclass</Attribute-UID>
<Attribute-Display-Name>Account Object Classes</Attribute-Display-Name>
<Attribute-Description>Account and support data Object class names</Attribute-Description>
<Usage>UserDisplay3</Usage>
<Usage>PermissionDisplay3</Usage>
<Usage>RoleAnalysis</Usage>
<Usage>SoDAnalysis</Usage>
<Type>String</Type>
<ITIMAttributeMapping>
<ITIMObjectClass>
<name>erPosixSolarisGroup</name>
<attribute>objectclass</attribute>
第 2 章 抽出ツールおよびロード・ツール
25
</ITIMObjectClass>
<ITIMObjectClass>
<name>erSeparationOfDutyRule</name>
<attribute>objectclass</attribute>
</ITIMObjectClass>
<ITIMObjectClass>
<name>erPosixSolarisAccount</name>
<attribute>objectclass</attribute>
</ITIMObjectClass>
<ITIMObjectClass>
<name>erPosixAixAccount</name>
<attribute>objectclass</attribute>
</ITIMObjectClass>
</ITIMAttributeMapping>
</Attribute>
静的と動的の両方の route info カスタム役割属性の値を抽出するように
Attribute セクションを定義する方法を以下の例に示します。
<Attribute>
<Attribute-UID>Identity Manager attribute-Role Route Info</Attribute-UID>
<Attribute-Display-Name>Identity Manager Role Route Info</Attribute-Display-Name>
<Attribute-Description>Type of Custom Role Attribute route info</Attribute-Description>
<Usage>RoleAnalysis</Usage>
<Type>String</Type>
<ITIMAttributeMapping>
<ITIMObjectClass>
<name>erRole</name>
<attribute>routeinfo</attribute>
</ITIMObjectClass>
<ITIMObjectClass>
<name>erDynamicRole</name>
<attribute>routeinfo</attribute>
</ITIMObjectClass>
</ITIMAttributeMapping>
</Attribute>
出力
ツールによってスキーマ CSV ファイル内に以下の情報が生成されます。
#Define
Attribute
Attribute
UID
Attribute
Display
Name
Attribute
Description
タイプ
Usage
Usage
Usage
#Define Role Type セクション
スキーマ CSV ファイルのこのセクションは、IBM Security Identity Manager の役
割分類タイプを表します。これらの役割タイプには、デフォルトのタイプの他に、
IBM Security Identity Manager サーバーで定義されたカスタムのタイプも含まれて
います。
目的
この役割タイプ属性は、ExtractConfig.xml ファイルには含まれていません。
26
IBM Security Role and Policy Modeler: リファレンス・ガイド
出力
ツールによってスキーマ CSV ファイル内に以下の情報が生成されます。
#Define Role Type
Role Type
#Identity セクション
データ CSV ファイルのこのセクションは、IBM Security Identity Manager から抽
出された ID に関する情報で構成されます。各 #Identity セクションに対して 1 つ
のソースが関連付けられます。ID データは、ExtractConfig.xml ファイルで指定さ
れた属性マッピングに基づき、さまざまなソースから抽出されます。
目的
ExtractConfig.xml ファイルで構成する属性マッピングによって、ID 情報のソース
と使用法の両方が定義されます。
構成ファイル内のタグ
ExtractConfig.xml ファイルでは、UserDisplay や UserAnalysis などの <Usage>
サブタグを持つ <Attribute> タグによって、抽出対象となる ID 情報の追加属性が
定義されます。
出力
ツールによってデータ CSV ファイルに以下の情報が生成されます。
#Identity
TIM-Production
Person UID
Identity Manager
Person Object
classes
Source Record
UID
Person Name
Custom Attr1
Person UID
Source Record UID
Person Name
これらは IBM Security Role and Policy Modeler のコア属性です。「Person
UID」が 1 次キーとして機能します。ソースに関するデータは、このソース
からどのような追加属性が抽出されたのかを示すに過ぎません。
ExtractConfig.xml ファイルでは、<PersonUID> タグによって、「Person
UID」として使用する属性を示します。
1 次ソースは IBM Security Identity Manager であるため、Person および
BP Person の属性が、「Person UID」を定義するために使用されます。
Custom Attr1
「Custom Attr1」は、カスタムの ID 属性です。この属性は、
ExtractConfig.xml で <Attribute> タグを使用して定義されている場合に、
CSV ファイルに出力されます。このカスタム属性は複数使用できます。
第 2 章 抽出ツールおよびロード・ツール
27
注: 抽出ツールは、タイプ Person および BPPerson の IBM Security Identity
Manager ユーザーを、ExtractConfig.xml で定義された 1 次ソースの ID として抽
出します。抽出ツールでは、IBM Security Identity Manager ユーザーのアカウント
も ID として抽出できます。
#Permissions セクション
ExtractConfig.xml ファイルのこのセクションは、IBM Security Identity Manager
のグループを表します。これらのグループは、ご使用の管理対象リソース (企業デ
ィレクトリー・サーバー、データベース、アプリケーションなど) で定義されま
す。
目的
データ CSV ファイルのこのセクションには、IBM Security Identity Manager のグ
ループ、およびご使用の管理対象リソース (サービス) で定義されたグループが、権
限として出力されます。この定義は、ExtractConfig.xml ファイルで指定された権
限マッピングに基づいています。すべてのグループの権限の割り当てタイプは、
「グループ」に設定されます。抽出ツールは、IBM Security Identity Manager で定
義されたサービスも権限として扱います。サービスの権限の割り当てタイプは、
「システム」に設定されます。
構成ファイル内のタグ
以下のタグが ExtractConfig.xml で定義されており、これらのタグによってデータ
CSV ファイルに権限データが生成されます。
<ObjectClass type="Permission">
<Mapping>
<Name>erLDAPGroupAccount</Name>
<SourceAttribute>erldapgrouprdn</SourceAttribute>
<AccountAttribute>erldapgroupname</AccountAttribute>
</Mapping>
<ServiceClass>erLDAPRMIService</ServiceClass>
<ServiceAsPermission>true</ServiceAsPermission>
</ObjectClass>
出力
ツールによってデータ CSV ファイルに以下の情報が生成されます。
#Permission
Permission UID Permission
Description
Identity
Manager
Resources
Identity
Manager
Permission
Assignment
Identity
Manager
Permission
Assignment
Type
Permission
Name
Custom Attr1
Permission UID
Permission Description
Permission Name
これらは IBM Security Role and Policy Modeler のコア属性です。抽出ツー
ルは、これらの列の値の生成時に構成入力データを使用しません。
28
IBM Security Role and Policy Modeler: リファレンス・ガイド
Custom Attr1
属性「Custom Attr1」は、カスタムの権限属性です。この属性は、
ExtractConfig.xml ファイルで <Attribute> タグを使用して定義されてい
る場合に、CSV ファイルに出力されます。このカスタム属性は複数使用で
きます。
Identity Manager Service Name
Identity Manager Permission Assignment Type
Identity Manager Resources
デフォルトの ExtractConfig.xml ファイルでのこれらの属性の定義につい
て詳しくは、『#Define Attribute セクション』を参照してください。
#Role セクション
データ CSV ファイルのこのセクションは、IBM Security Identity Manager の役割
情報を表します。Role セクションは、ご使用の管理対象リソースで定義された役割
またはグループを表すこともできます。例として、AIX サービスなどが挙げられま
す。
目的
抽出ツールはデフォルトでは、ExtractConfig.xml ファイルで指定されている特定
の属性マッピングを使用せずに、IBM Security Identity Manager の静的役割および
動的役割を抽出します。ExtractConfig.xml は役割抽出のための構成マッピングを
提供しません。ただし、使用法が RoleAnalysis である属性がいくつか存在します。
これらの属性に対して、抽出ツールは、これらの役割に関連付けられた追加情報を
抽出します。IBM Security Identity Manager 管理対象リソース (サービス) で定義さ
れた役割を抽出するには、タグ <ObjectClass type="Role"> を使用して必要な情報
を指定します。このタグは ExtractConfig.xml ファイルに含まれます。
構成ファイル内のタグ
デフォルトの ExtractConfig.xml ファイルには、使用法が RoleAnalysis である以
下のカスタムの役割属性が含まれています。
ルール定義
この属性は、動的役割のフィルター値を生成します。静的役割の場合、この
値は空になります。
Identity Manager Provisioning Policy Name
IBM Security Identity Manager で定義されたプロビジョニング・ポリシーに
役割が関連付けられている場合、この属性はプロビジョニング・ポリシー名
を抽出します。
Identity Manager Org Unit
この属性は、役割に関連付けられた IBM Security Identity Manager のビジ
ネス単位を抽出します。この属性は、他の使用法にも関連付けられている汎
用属性です。
注: 抽出ツールは、RoleAnalysis 属性である「Identity Manager roleType」を生成
しますが、この属性の値には、IBM Security Identity Manager で定義されたその役
割の役割タイプ (static または dynamic) が設定されます。
第 2 章 抽出ツールおよびロード・ツール
29
出力
ツールによってデータ CSV ファイルに以下の情報が生成されます。
#Role
ソース
Role UID 役割所
有者
Identity
Manager
roleType
役割名
Role
Type
役割の説明 Identity Manager
Rule Definition
Identity
Manager Org
Unit
Parent
Role
Custom
Attr1
Role UID
役割名
役割の説明
Role Type
Parent Role
役割所有者
これらは IBM Security Role and Policy Modeler のコア属性です。
「Role Type」属性の値は、IBM Security Identity Manager サーバーに登録
されている、役割の役割分類属性値にマップされます。
抽出ツールで enableURI パラメーターを指定すると、Role UID 列と
Parent Role 列には、以下が表示されます。
v 以下にあてはまる場合、役割の識別名
– URI がヌルである
– URI がない
– 1 つの役割に対して複数の URI 値が存在する
v 以下にあてはまる場合、役割の URI
– 役割に対して、IBM Security Identity Manager で構成されている単一
の URI 値が存在する
enableURI パラメーターについて詳しくは、以下のトピックを参照してくだ
さい。
v
40 ページの『AIX または Linux オペレーティング・システムでの抽出
ツールの実行』
v
37 ページの『Windows オペレーティング・システムでの抽出ツールの実
行』
Identity Manager roleType
この属性は、スキーマ・ファイル内に存在しますが、カスタマイズできませ
ん。抽出ツールは、この属性の値の生成時に構成入力データを使用しませ
ん。
Custom Attr1
属性「Custom Attr1」は、カスタムの属性です。この属性は、
ExtractConfig.xml ファイルで <Attribute> タグを使用して定義されてい
る場合に、データ CSV ファイルに出力されます。このカスタム属性は複数
使用できます。
30
IBM Security Role and Policy Modeler: リファレンス・ガイド
#Separation of Duty Policy セクション
データ CSV ファイルのこのセクションは、IBM Security Identity Manager の職務
分離ポリシー・ルールを表します。
構成ファイル内のタグ
抽出ツールは、デフォルトでは、ExtractConfig.xml ファイルで指定されている特
定の属性マッピングをいずれも使用せずに、IBM Security Identity Manager の職務
分離ポリシー・ルールを抽出します。しかし、使用法が SoDAnalysis である以下の
属性によって、職務分離ポリシー・ルールに関連付けられた追加情報が抽出されま
す。
Identity Manager SoD Policy Name
この属性の値には、職務分離ポリシー名が設定されます。
Identity Manager Org Unit
この属性は、職務分離ポリシーに関連付けられた IBM Security Identity
Manager のビジネス単位を抽出します。この属性は、他の使用法にも関連付
けられている汎用属性です。
出力
ツールによってデータ CSV ファイルに以下の情報が生成されます。
#Separation
of Duty
Policy
Rule UID
Identity
Manager
SoD Policy
Name
Cardinality
Role UID
Rule
Description
Identity
Manager
Org Unit
Custom
Attr1
Rule UID
Rule Description
Role UID
Cardinality
これらは IBM Security Role and Policy Modeler のコア属性です。
抽出ツールで enableURI パラメーターを指定すると、Role UID 列には、以
下が表示されます。
v 以下にあてはまる場合、役割の識別名
– URI がヌルである
– URI がない
– 1 つの役割に対して複数の URI 値が存在する
v 以下にあてはまる場合、役割の URI
– 役割に対して、IBM Security Identity Manager で構成されている単一
の URI 値が存在する
enableURI パラメーターについて詳しくは、以下のトピックを参照してくだ
さい。
第 2 章 抽出ツールおよびロード・ツール
31
v
40 ページの『AIX または Linux オペレーティング・システムでの抽出
ツールの実行』
v
37 ページの『Windows オペレーティング・システムでの抽出ツールの実
行』
Custom Attr1
この属性は、カスタムの職務分離ルール属性です。これは、
ExtractConfig.xml ファイルで <Attribute> タグを使用して定義されてい
る場合に、CSV ファイルに出力されます。
#User Permission Assignment セクション
データ CSV ファイルのこのセクションは、ユーザーの権限の割り当て情報を表し
ます。
ある IBM Security Identity Manager ユーザーが、管理対象リソース (サービス) で
アカウントを所有しており、そのアカウントが、そのリソース上のグループのメン
バーであるとします。このリソースに対して、ExtractConfig.xml で適切な ID と
権限のマッピングが指定されている場合、データ CSV ファイルには、このリソー
スのユーザーから権限へのマッピングが、以下の 2 つのエントリーとして出力され
ます。
v 管理対象リソースのアカウントからグループへのマッピング
v IBM Security Identity Manager ユーザーから管理対象リソース (サービス) へのマ
ッピング
目的
抽出ツールの構成ファイルには、ユーザーの権限を定義するためのセクションがあ
ります。
#Role User Assignment セクション
データ CSV ファイルのこのセクションは、役割のユーザー割り当て情報を表しま
す。
抽出ツールで指定する -enableURI パラメーターが、このセクションに出現する役
割の UID 値に及ぼす影響について詳しくは、以下のトピックを参照してください。
v
8 ページの『Windows オペレーティング・システムでの抽出ツールのインストー
ルおよび構成』
v
9 ページの『AIX または Linux オペレーティング・システムでの抽出ツールのイ
ンストールおよび構成』
#Define Hierarchical Attributes セクション
データ CSV ファイルのこのセクションは、IBM Security Identity Manager から階
層属性として抽出された組織構造を表します。
目的
ExtractConfig.xml ファイルには、IBM Security Identity Manager で定義した組織
構造を抽出するために使用される Identity Manager Org Unit という属性が含まれ
ています。
32
IBM Security Role and Policy Modeler: リファレンス・ガイド
抽出ツールの動作の定義
抽出構成 XML ファイルを更新することによって、抽出ツールの動作を定義しま
す。
ExtractConfig.xml ファイル内の以下のセクションを使用して、抽出ツールの動作
を指定します。
v
34 ページの『属性スキーマ』
v
36 ページの『権限と役割』
v 『検索スコープ』
検索スコープ
ExtractConfig.xml ファイルのこのセクションは、抽出ツールが IBM Security
Identity Manager デプロイメントからデータをフェッチする際の適用範囲を定義しま
す。
<SearchScope> セクションの定義
<SearchScope> セクションでは、以下の値を <SearchSource> で指定できます。
注: 以下の値のうちいずれか 1 つを選択する必要があります。このセクションでは
一度に 1 つしか値を指定できません。
Default
Default 検索範囲では、IBM Security Identity Manager デプロイメントのす
べてのデータが、抽出ツールによるフェッチ対象と見なされます。デフォル
トの ExtractConfig.xml ファイルでは、この値が選択されています。
ExtractConfig.xml ファイル内で指定する <SearchSource> タグのフォーマ
ットは以下のとおりです。
<SearchSource>
<Value>Default</Value>
</SearchSource>
OrgContainer
検索範囲として、特定の組織名または特定の組織単位名を指定できます。例
えば、「ou=IBM」などと指定します。このオプションは、ロケーションや管
理ドメインなどの組織コンテナーを指定するときに使用します。範囲を組織
コンテナー名または組織名に設定すると、抽出ツールは、指定されたコンテ
ナーまたはその子コンテナーの ID、権限、役割などのデータに、データ抽
出対象を制限します。子コンテナーにはサブ単位が含まれる場合がありま
す。
ExtractConfig.xml ファイルでの <SearchSource> タグのフォーマットは以
下のとおりです。
<SearchSource>
<Value>OrgContainer</Value>
<OrgContainer>ou=IBM</OrgContainer>
</SearchSource>
<OrgContainer> タグの値は、該当する組織コンテナーの値に置き換えてく
ださい。
第 2 章 抽出ツールおよびロード・ツール
33
v 組織単位、管理ドメイン、ビジネス・パートナー組織などの組織コンテナ
ーの場合は、ou= を使用し、コンテナーの値を指定します。
v ロケーションの場合は l= を使用します。組織ユーザーの場合は o= を使
用し、コンテナーの値を指定します。
同じ名前の組織コンテナーが重複して存在する場合は、抽出ツールが終了
し、重複が存在することがユーザーに通知されます。この場合、該当するコ
ンテナーの識別名 (DN) を代わりに指定できます。
DN
検索範囲として、特定の組織または特定の組織単位の識別名 (DN) を指定で
きます。例えば、以下のとおりです。
DN=erglobalid=8632142593905208516,ou=orgChart,
erglobalid=00000000000000000000,ou=ibm,dc=com
このオプションは、ロケーションや管理ドメインなどの組織コンテナーの
DN 値を指定するときに使用します。組織コンテナーの DN を使用して範
囲を指定すると、抽出ツールは、指定されたコンテナーまたはその子コンテ
ナーのデータに、データ抽出対象を制限します。子コンテナーにはサブ単位
が含まれます。
ExtractConfig.xml ファイルでの <SearchSource> タグのフォーマットは以
下のとおりです。
<SearchSource>
<Value>DN</Value>
<DN>erglobalid=8632142593905208516,ou=orgChart,
erglobalid=00000000000000000000,ou=ibm,dc=com</DN>
</SearchSource>
属性スキーマ
ExtractConfig.xml ファイルのこのセクションは、ID、権限、役割、および 1 次ソ
ースの職務分離ポリシーのソース属性を定義します。また、この属性のフェッチ元
となる IBM Security Identity Manager のすべてのオブジェクト・クラスも定義しま
す。定義された属性のいずれかが、ID によって指定されるエンド・リソースのアカ
ウントのものである場合は、抽出ツールによって属性スキーマとソース情報が更新
されます。
<AttributeSchema> セクションの定義
ソース属性を定義するには、<AttributeSchema> セクション内で以下のタグを使用
します。
<Source-UID>
1 次ソースの UID を定義します。
<Source-Name>
1 次ソースの名前を定義します。
<Source-Description>
ソースの説明を定義します。
<PersonUID>
「Person UID」の生成時に使用する、個人または Person クラスの属性を定
義します。この要素の属性名が有効な属性名でない場合は、デフォルトの属
性名として識別名 (DN) が使用されます。
34
IBM Security Role and Policy Modeler: リファレンス・ガイド
固有でない「Person UID」属性を指定すると、ツールは、同じ個人に対し
て、複数のエントリーをフェッチします。この場合、出力 CSV ファイルに
は、その個人に対して、複数の値を持つ単一のレコードが出力されます。
例えば、CSV ファイルに出力される ID 列の最大数が 6 列と予期されてい
るとします。指定された PersonUID 値によって 2 つのレコードがフェッチ
された場合、出力 CSV ファイルには 12 個の列が含まれます。つまり、予
期される列数に、重複レコードの数を掛けた分の列数がフェッチされます。
出力 CSV ファイルに、予期された列数を超える数の列を持つレコードがあ
る場合は、スキーマを更新して固有の PersonUID を指定する必要がありま
す。ツールを再実行すると、正しい結果が得られます。
<Attribute>
属性を定義します。このセクションで定義された属性が、CSV ファイルの
該当するセクションに出力されます。
<Attribute-UID>
属性 UID を定義します。
<Attribute-Display-Name>
固有の表示名を定義します。この値は CSV ファイルに出力されま
す。
<Attribute-Description>
属性を説明します。
<Usage>
属性の使用法に関する説明です。例えば、リソースの URI または
ID を表す場合や、分析データを示す場合があります。
ExtractConfig.xml ファイルには、Usage タグを指定するための方
法が用意されています。この「Usage」属性を指定する前に、データ
の目的を把握しておいてください。
「Usage」列の値はあらかじめ定義されています。値は以下のとおり
です。
v UserAnalysis
v PermissionAnalysis
v RoleAnalysis
v SoDAnalysis
v UserDisplay1-5
v PermissionDisplay1-5
これらの値によって、属性タイプが ID、権限、役割、または職務分
離のいずれであるのかが区別されます。
<Type> 属性のタイプを定義します。次のいずれかのタイプを指定します。
v ストリング
v 整数
v ID
v 階層
第 2 章 抽出ツールおよびロード・ツール
35
<ITIMAttributeMapping>
IBM Security Identity Manager から属性値を取得するときに使用するオブジ
ェクト・クラス名と属性名を指定します。
権限と役割
ExtractConfig.xml ファイルのこのセクションは、権限と役割を定義します。
IBM Security Identity Manager では、権限と役割を以下の形で表すことができま
す。
v IBM Security Identity Manager の役割
v IBM Security Identity Manager のグループ
v IBM Security Identity Manager で定義された管理対象リソースの役割およびグル
ープ
これらは、エンド・リソースでは、グループ、権限、特権、担当、または役割とし
て呼び出すことができます。IBM Security Identity Manager では、多くの場合、こ
のデータが、アカウント・フォームで属性の値を入力する代わりに選択できるよう
にするためのサポート・データとして使用されています。ツールでは、このデータ
を格納するオブジェクト・クラスと、このデータを使用するアカウント・クラスを
定義します。
ツールは、権限 UID または役割 UID、あるいはその両方を生成し、ID に対するそ
れらの割り当てを取得します。
<PermissionRoleObjectClasses> セクションの定義
<PermissionRoleObjectClasses> セクションには、以下のタグおよび値を含めるこ
とができます。
<ObjectClass type="Permission">
値 Permission または値 Role を指定して、権限または役割のデータを生成
します。デフォルト値は Permission です。
<Mapping>
権限と、個人と権限の間のマッピングを生成します。このタグで定義する要
素は以下のとおりです。
<Name> サポート・データのオブジェクト・クラス名を指定します。
<SourceAttribute>
サポート・データ・オブジェクト・クラスで使用されている属性の
1 つを指定します。
<AccountAttribute>
サポート・データの値を表示するために使用されるアカウント属性
名を指定します。
<ServiceClass>
サービス・クラス名を指定します。
<ServiceAsPermission>true</ServiceAsPermission>
サービス自体を権限として表すかどうかを指定します。サービス自体を権限
36
IBM Security Role and Policy Modeler: リファレンス・ガイド
として表す場合は、値を true に設定します。抽出ツールは、サービスに対
する権限を生成し、このサービスの個人と権限の間のマッピングも生成しま
す。
<ServiceGroup>
サービス・グループを定義します。複数のサービスが同じリソースを参照し
ている場合に、権限と権限マッピングを単一のサービスに対して生成するに
は、<ServiceName> タグを使用して、これらのサービス名を
<ServiceGroup> タグに追加します。
このツールは、このタグで指定されたサービスのリストに記述されている 1
つのサービスに対してのみ、権限と権限マッピングを生成します。
<GroupName>
グループ名を指定します。この値は、permissionUID の生成時に使用されま
す。IBM Security Identity Manager 実装において重複している
permissionUID を識別できます。任意の値、またはサービス名のリストに記
載されたサービス名のうちいずれかを指定できます。
<Format>
フォーマットを定義します。フォーマットは、ソース属性の値の他にアカウ
ント属性内に存在する値の個数と、それらの値を区切る方法を定義します。
フォーマットには値をキーワードとして含める必要があり、区切り文字には
「|」、「,」、「.」などを指定できます。
<RoleType>
役割のタイプを定義します。この属性の値は、Business role、Application
role、または空白のいずれかにすることができます。roleType を指定しな
い場合は、この属性を構成ファイルから削除します。
<Role-Owner>
役割所有者を表すストリングを指定します。
例えば、以下のとおりです。
<Role-Owner>erglobalid=00000000000000000007,
ou=0,ou=people,erglobalid=00000000000000000000,
ou=IBM,dc=com</Role-Owner>
この例では、以下の値が役割所有者として扱われます。
erglobalid=00000000000000000007,ou=0,ou=people,
erglobalid=00000000000000000000,ou=IBM,dc=com
この値は実際に IBM Security Identity Manager ユーザーの LDAP DN で
す。役割に役割所有者が必要でない場合は、この属性を構成ファイルから削
除します。
Windows オペレーティング・システムでの抽出ツールの実行
Extract.cmd を実行して、IBM Security Identity Manager から ID データを取得し
ます。すると、ツールは ExtractConfig.xml ファイルのスキーマ情報を使用して、
スキーマ CSV ファイルとデータ CSV ファイルを作成します。
始める前に
IBM Security Identity Manager が稼働していることを確認します。
第 2 章 抽出ツールおよびロード・ツール
37
8 ページの『Windows オペレーティング・システムでの抽出ツールのインストール
および構成』に記述されているステップを完了してください。
ExtractConfig.xml 構成ファイルを更新します。 20 ページの『抽出構成 XML ファ
イルの更新』を参照してください。
手順
1. コマンド・プロンプトから、抽出ツール・ファイルを抽出したフォルダーにナビ
ゲートします。例えば、C:¥Program
Files¥IBM¥SecurityModeler¥utilities¥extract に移動します。
2. コマンド・プロンプトから Extract.cmd を実行します。
このコマンドは、パラメーターがなければ、抽出ツールを実行しているのと同じ
フォルダーにある ExtractConfig.xml というデフォルト・ファイルを使用しま
す。異なるファイル名またはパスを指定したい場合は、以下のように指定しま
す。Extract.cmd [-enableURI] [-InputFileName="filename"]
[-OutputDir="directoryPath"]
ここで、引数は次を意味します。
enableURI
抽出ツールで URI 情報を使用できるようにします。このオプションを指定
しない場合、識別名が使用されます。
注: enableURI パラメーターが使用可能なのは、IBM Security Identity
Manager バージョン 6.0 以降のみです。また、抽出ツールで認識するのは役
割の URI のみです。
抽出ツールに enableURI パラメーターを指定する場合、ロード・ツールにも
このパラメーターを指定する必要があります。これにより、IBM Security
Identity Manager と IBM Security Role and Policy Modeler との間でデータ
の一貫性が保持されます。
IBM Security Identity Manager では、1 つの役割に単一の URI を割り当て
ることも複数の URI を割り当てることもできます。さらに、役割の URI は
必須属性ではないため、一部の役割についてヌルにすることもできます。役
割の URI は固有ではないため、複数の役割の URI が同じになる場合もあり
ます。
役割に関連付けられている URI に応じて抽出される値を表 5 に示します。
表 5. enableURI パラメーターを使用して抽出される値
役割に関連付けられてい
る URI
38
抽出される値
値を格納するデータ CSV
ファイル内のセクション
役割に関連付けられてい
る URI がない
識別名
Role、Role User
Assignment、および
Separation of Duty Policy
固有の URI が役割に関
連付けられている
役割の URI
Role、Role User
Assignment、および
Separation of Duty Policy
IBM Security Role and Policy Modeler: リファレンス・ガイド
表 5. enableURI パラメーターを使用して抽出される値 (続き)
役割に関連付けられてい
る URI
値を格納するデータ CSV
ファイル内のセクション
抽出される値
複数の役割に同じ URI
が関連付けられている
Role、Role User
役割の URI
Assignment、および
注: IBM Security Role and Policy
Modeler へのインポート時は、同じ Separation of Duty Policy
URI を持つこれらの役割のうち、1
つのみがインポートされ、その他は
無視されます。この件について、抽
出ツールのログ・ファイルにメッセ
ージは記録されません。インポート
時の IBM Security Role and Policy
Modeler のメッセージで、役割がス
キップしたことが示されます。
複数の URI が役割に関
連付けられている
識別名
Role、Role User
Assignment、および
Separation of Duty Policy
InputFileName
入力構成ファイルのパスおよびファイル名を定義します。このパラメーター
を指定しない場合、抽出ツール・ファイルを抽出したディレクトリーが使用
されます。デフォルトの入力構成ファイルは ExtractConfig.xml です。
OutputDir
CSV ファイルが生成される出力ディレクトリーを定義します。このパラメー
ターを指定しない場合、抽出ツール・ファイルを抽出したディレクトリーが
使用されます。
このコマンドのいくつかの例を以下に示します。
Extract.cmd
Extract.cmd -OutputDir="F:¥MyDir"
Extract.cmd -enableURI -InputFileName="F:¥Inputfile¥ExtractConfig.xml"
-OutputDir="F:¥OutputDir"
3. データの抽出元となる IBM Security Identity Manager サーバーのユーザー名お
よびパスワードを入力します。このユーザーは、このユーティリティーを実行す
る管理権限を持つシステム・ユーザーでなければなりません。ユーザーに管理権
限がない場合、ツールはエラー・メッセージを表示し、実行を停止します。
タスクの結果
8 ページの『Windows オペレーティング・システムでの抽出ツールのインストール
および構成』で HOME_DIR に指定したディレクトリーに、以下のファイルが作成
されます。
v Extract.log – 各トランザクションをリストするログ・ファイル。
v Import_Data_Session.csv – ID、役割、権限などの IBM Security Identity
Manager データを含む CSV ファイル。
v Import_Schema_Session.csv -- IBM Security Identity Manager のカスタム表示属
性および分析属性のスキーマ定義を含む CSV ファイル。
第 2 章 抽出ツールおよびロード・ツール
39
次のタスク
Extract.log ファイルで、エラーおよびその他の処理情報があるかどうかを調べて
ください。
IBM Security Role and Policy Modeler 管理コンソールを使用して、データをインポ
ートし、モデル化します。ステップ 4 (5 ページ) を参照してください。
AIX または Linux オペレーティング・システムでの抽出ツールの
実行
Extract.sh を実行して、IBM Security Identity Manager から ID データを取得しま
す。すると、ツールは ExtractConfig.xml ファイルのスキーマ情報を使用して、ス
キーマ CSV ファイルとデータ CSV ファイルを作成します。
始める前に
IBM Security Identity Manager が稼働していることを確認します。
9 ページの『AIX または Linux オペレーティング・システムでの抽出ツールのイン
ストールおよび構成』に記述されているステップを完了してください。
ExtractConfig.xml 構成ファイルを更新します。 20 ページの『抽出構成 XML ファ
イルの更新』を参照してください。
手順
1. コマンド・プロンプトから、抽出ツール・ファイルを抽出したフォルダーにナビ
ゲートします。例えば、/opt/IBM/SecurityModeler/utilities/extract に移動
します。
2. コマンド・プロンプトから Extract.sh を実行します。
このコマンドは、パラメーターがなければ、抽出ツールを実行しているのと同じ
フォルダーにある ExtractConfig.xml というデフォルト・ファイルを使用しま
す。異なるファイル名またはパスを指定したい場合は、以下のように指定しま
す。Extract.sh [-enableURI] [-InputFileName="filename"]
[-OutputDir="directoryPath"]
ここで、引数は次を意味します。
enableURI
抽出ツールで URI 情報を使用できるようにします。このオプションを指定
しない場合、識別名が使用されます。
注: enableURI パラメーターが使用可能なのは、IBM Security Identity
Manager バージョン 6.0 以降のみです。また、抽出ツールで認識するのは役
割の URI のみです。
抽出ツールに enableURI パラメーターを指定する場合、ロード・ツールにも
このパラメーターを指定する必要があります。これにより、IBM Security
Identity Manager と IBM Security Role and Policy Modeler との間でデータ
の一貫性が保持されます。
40
IBM Security Role and Policy Modeler: リファレンス・ガイド
IBM Security Identity Manager では、1 つの役割に単一の URI を割り当て
ることも複数の URI を割り当てることもできます。さらに、役割の URI は
必須属性ではないため、一部の役割についてヌルにすることもできます。役
割の URI は固有ではないため、複数の役割の URI が同じになる場合もあり
ます。
役割に関連付けられている URI に応じて抽出される値を表 6 に示します。
表 6. enableURI パラメーターを使用して抽出される値
役割に関連付けられてい
る URI
値を格納するデータ CSV
ファイル内のセクション
抽出される値
役割に関連付けられてい
る URI がない
識別名
Role、Role User
Assignment、および
Separation of Duty Policy
固有の URI が役割に関
連付けられている
役割の URI
Role、Role User
Assignment、および
Separation of Duty Policy
複数の役割に同じ URI
が関連付けられている
Role、Role User
役割の URI
Assignment、および
注: IBM Security Role and Policy
Modeler へのインポート時は、同じ Separation of Duty Policy
URI を持つこれらの役割のうち、1
つのみがインポートされ、その他は
無視されます。この件について、抽
出ツールのログ・ファイルにメッセ
ージは記録されません。インポート
時の IBM Security Role and Policy
Modeler のメッセージで、役割がス
キップしたことが示されます。
複数の URI が役割に関
連付けられている
識別名
Role、Role User
Assignment、および
Separation of Duty Policy
InputFileName
入力構成ファイルのパスおよびファイル名を定義します。このパラメーター
を指定しない場合、抽出ツール・ファイルを抽出したディレクトリーが使用
されます。デフォルトの入力構成ファイルは ExtractConfig.xml です。
OutputDir
CSV ファイルが生成される出力ディレクトリーを定義します。このパラメー
ターを指定しない場合、抽出ツール・ファイルを抽出したディレクトリーが
使用されます。
このコマンドのいくつかの例を以下に示します。
Extract.sh
Extract.sh -OutputDir="/MyDir"
Extract.sh -enableURI -InputFileName="/Inputfile/ExtractConfig.xml"
-OutputDir="/OutputDir"
3. データの抽出元となる IBM Security Identity Manager サーバーのユーザー名お
よびパスワードを入力します。このユーザーは、このユーティリティーを実行す
第 2 章 抽出ツールおよびロード・ツール
41
る管理権限を持つシステム・ユーザーでなければなりません。ユーザーに管理権
限がない場合、ツールはエラー・メッセージを表示し、実行を停止します。
タスクの結果
9 ページの『AIX または Linux オペレーティング・システムでの抽出ツールのイン
ストールおよび構成』で HOME_DIR に指定したディレクトリーに、以下のファイ
ルが作成されます。
v Extract.log -- 各トランザクションをリストするログ・ファイル。
v Import_Data_Session.csv – ID、役割、権限などの IBM Security Identity
Manager データを含む CSV ファイル。
v Import_Schema_Session.csv – IBM Security Identity Manager スキーマを含む
CSV ファイル。
次のタスク
Extract.log ファイルで、エラーおよびその他の処理情報があるかどうかを調べて
ください。
IBM Security Role and Policy Modeler 管理コンソールを使用して、データをインポ
ートし、モデル化します。ステップ 4 (5 ページ) を参照してください。
抽出ツールのシナリオ
ExtractConfig.xml ファイル内の特定のタグを使用して、特定のデータ・セットを
抽出する必要があるシナリオがいくつかあります。
これらのシナリオについては、以下のトピックで説明しています。
v 『特定の組織コンテナーからのデータの抽出』
v 『管理対象リソースからの権限および ID の抽出』
v
43 ページの『単一のサービスの役割および権限の抽出』
v
44 ページの『役割の URI データの抽出』
特定の組織コンテナーからのデータの抽出
データの抽出元とする IBM Security Identity Manager コンテナーの名前または識別
名 (DN) を指定できます。抽出構成 XML ファイルでタグのセットを指定すること
によって、データのサブセットを取得することができます。
このタスクについて
詳しくは、 33 ページの『検索スコープ』を参照してください。
管理対象リソースからの権限および ID の抽出
ID が IBM Security Identity Manager サーバーからのものである場合に管理対象リ
ソースから権限データを抽出するには、抽出構成 XML ファイルで適切なタグを指
定します。
42
IBM Security Role and Policy Modeler: リファレンス・ガイド
手順
ExtractConfig.xml ファイルの <PermissionRoleObjectClasses> セクションを使用
して、管理対象リソースの権限および役割データのみを指定します。
v 例えば、デフォルトの ExtractConfig.xml ファイルを使用すると、LDAP グルー
プ用に提供される権限マッピングが存在します。
<ObjectClass type="Permission">
<Mapping>
<Name>erLDAPGroupAccount</Name>
<SourceAttribute>erldapgrouprdn</SourceAttribute>
<AccountAttribute>erldapgroupname</AccountAttribute>
</Mapping>
<ServiceClass>erLDAPRMIService</ServiceClass>
<ServiceAsPermission>true</ServiceAsPermission>
</ObjectClass>
この <ObjectClass type="Permission"> タグの全体を削除した場合、LDAP グル
ープは権限として抽出されません。
同様に、特定のサービス用に独自の属性タグを追加して、そのサービスからグル
ープを権限として抽出することができます。
v その管理対象リソースの ID データを抽出したい場合は、<AttributeSchema> セ
クションを使用して属性マッピングを指定します。
例えば、ご使用の IBM Security Identity Manager デプロイメントが LDAP アカ
ウント管理用の LDAP サービスで構成されている場合に、LDAP アカウントを
ID として抽出するには、以下の属性を指定します。
<Attribute>
<Attribute-UID>attribute-LDAP-Account-UID</Attribute-UID>
<Attribute-Display-Name>LDAP Account UID</Attribute-Display-Name>
<Attribute-Description>Account UIDs of LDAP service</Attribute-Description>
<Usage>UserAnalysis</Usage>
<Type>String</Type>
<ITIMAttributeMapping>
<ITIMObjectClass>
<name>erLDAPUserAccount</name>
<attribute>eruid</attribute>
</ITIMObjectClass>
</ITIMAttributeMapping>
</Attribute>
v ExtractConfig.xml ファイルに管理対象リソースのマッピングが含まれていない
場合は、その特定のリソースから ID データは抽出されません。
単一のサービスの役割および権限の抽出
複数のサービスが同じリソースを指しているとき、単一のサービス用の権限と役割
のマッピングを生成したい場合は、抽出構成 XML ファイルで適切なタグを指定し
て、サービス名をサービス・グループに追加します。
このタスクについて
抽出ツールは、サービス・グループに記載されたサービスのリストから任意の単一
のサービス用の権限と役割のマッピングを生成します。
第 2 章 抽出ツールおよびロード・ツール
43
手順
ExtractConfig.xml ファイルの <ServiceGroup> セクションを使用して、単一のサ
ービス用の権限と役割を生成します。
以下の例では、<ServiceName> タグ内のサービスは、同じ管理対象リソースを指し
ており、サポート・データの調整後は同じデータを含んでいます。
<ServiceGroup>
<ServiceName>Posix Solaris Service</ServiceName>
<ServiceName>PosixSolaris Duplicate service 1</ServiceName>
<ServiceName>PosixSolaris Duplicate service 2</ServiceName>
<GroupName>Posix-Solaris</GroupName>
</ServiceGroup>
役割の URI データの抽出
IBM Security Identity Manager 6.0 では、役割の URI 属性を使用できます。このた
め、IBM Security Identity Manager から URI データを抽出し、それを IBM
Security Role and Policy Modeler 内の URI にマップできます。
IBM Security Identity Manager 5.1 では、役割 DN が IBM Security Role and Policy
Modeler 内の役割の URI にマップされます。
このマッピングを使用するには、-enableURI オプションを IBM Security Identity
Manager 6.0 データに対して指定して抽出ツールを実行します。-enableURI オプシ
ョンの使用方法とその結果について詳しくは、以下のトピックを参照してくださ
い。
v
37 ページの『Windows オペレーティング・システムでの抽出ツールの実行』
v
40 ページの『AIX または Linux オペレーティング・システムでの抽出ツールの
実行』
ロード・ツールの概要
IBM Security Role and Policy Modeler を使用してモデル化されたデータをロードし
て IBM Security Identity Manager に戻すには、ロード・ツールを使用します。
Config.properties ファイルには、リモートまたはローカルの IBM Security
Identity Manager 環境でロード・ツールを実行するために必要な入力パラメーターが
含まれています。 15 ページの『ロード・ツール用の Config.properties 入力ファイル
の更新』を参照してください。
ロード・ツールを使用する場合、以下のトピックで説明するようにパラメーターを
指定します。
v
48 ページの『Windows オペレーティング・システムでのロード・ツールの実
行』
v
51 ページの『AIX または Linux オペレーティング・システムでのロード・ツー
ルの実行』
注: ロード・ツールは、WebSphere Application Server 内部で稼働している IBM
Security Identity Manager アプリケーションに接続する WebSphere Application
Server シン・クライアント・アプリケーションとして機能します。WebSphere
44
IBM Security Role and Policy Modeler: リファレンス・ガイド
Application Server で追加セキュリティー構成が定義されている場合は、シン・クラ
イアント・アプリケーションとの接続について WebSphere Application Server の資
料を参照してください。
サポートされる操作と属性
ロード・ツールは、IBM Security Identity Manager での以下の操作をサポートしま
す。
v 静的役割の作成
v 静的役割の更新
v 動的役割の更新
v 職務分離ポリシーの作成
ロード・ツールは、IBM Security Role and Policy Modeler から作成されて XML
ファイルの形式でエクスポートされた職務分離制約について、IBM Security
Identity Manager での職務分離ポリシーの追加をサポートします。
v 職務分離ポリシーの更新
ロード・ツールは、IBM Security Identity Manager 内の既存の職務分離ポリシー
からのポリシー・ルールの更新をサポートします。
注: IBM Security Identity Manager サーバーは、動的役割と職務分離ポリシーとの関
連付けを許可しません。IBM Security Role and Policy Modeler からエクスポートさ
れた職務分離制約に、1 つ以上の動的役割が含まれている場合、以下のようになり
ます。
v プレビュー・モードでは、エラー・メッセージが表示されます。
v 通常モードでは、ロードにおいて、指定された職務分離制約での追加または変更
操作の実行に失敗します。
IBM Security Identity Manager で静的役割を作成または更新する場合、ロード・ツ
ールは以下に示す役割属性をサポートします。
v 役割名
v 役割の説明
v 役割の分類
v 役割メンバーまたはユーザー・メンバーの割り当てまたは削除
v 親役割の割り当てまたは削除
v 役割カスタム属性
v 役割の Universal Resource Identifier (erURI) 属性
erURI 属性は、バージョン 6.0 の IBM Security Identity Manager サーバー
で、-enableURI オプションを指定してロード・ツールを実行する場合にサポート
されます。
IBM Security Identity Manager で動的役割を更新する場合、ロード・ツールは以下
に示す役割属性をサポートします。
v 役割名
v 役割の説明
第 2 章 抽出ツールおよびロード・ツール
45
v 役割の分類
v 役割カスタム属性
v 役割の Universal Resource Identifier (erURI) 属性
erURI 属性は、バージョン 6.0 の IBM Security Identity Manager サーバー
で、-enableURI オプションを指定してロード・ツールを実行する場合にサポート
されます。
注: ロード・ユーティリティーによる動的役割の更新のサポートには制限がありま
す。動的役割の場合、IBM Security Identity Manager は、役割メンバーシップ設定
と役割階層設定の更新をサポートしません。IBM Security Role and Policy Modeler
からエクスポートされた役割に、これらの設定のいずれかが含まれている場合、プ
レビュー・モードでも通常モードでも警告メッセージが表示されます。
職務分離ポリシーの作成または更新時には、ロード・ツールは以下に示す属性をサ
ポートします。
v ルールの説明
v ルール内で関連付けられた役割
v 許容される役割数を表すカウント
ロード構成 XML ファイルの更新
ロード構成 XML ファイルを更新して、ロード・ツールへの入力として使用するカ
スタム属性を定義します。ロード・ツールで認識するカスタムの役割属性は、この
構成ファイルで定義する属性のみです。
始める前に
ロード・ツールとともにインストールされた LoadConfig.xml ファイルを見つけま
す。詳しくは、以下のいずれかのトピックを参照してください。
v
11 ページの『Windows オペレーティング・システムでのロード・ツールのイン
ストールおよび構成』
v
12 ページの『AIX または Linux オペレーティング・システムでのロード・ツー
ルのインストールおよび構成』
このタスクについて
LoadConfig.xml ファイルには、カスタム属性のスキーマ要素を定義します。このフ
ァイルは、IBM Security Identity Manager サーバーから抽出されたデータを使用し
ます。このファイルはカスタマイズできます。これにより、IBM Security Identity
Manager サーバーにロードするカスタム属性を識別しやすくなります。
カスタムの役割属性がサポートされるのは、IBM Security Identity Manager バージ
ョン 6.0 上でロード・ツールを実行したときのみです。
構成ファイルの更新に使用できる方法は 2 つあります。定義するカスタム属性が、
抽出構成ツールに定義する属性と同じ場合は、以下の 1 つめのオプションを使用し
ます。
46
IBM Security Role and Policy Modeler: リファレンス・ガイド
手順
以下のいずれかの手順を使用して、ロード構成ファイルを更新します。
v 抽出構成ファイルを使用する場合:
1. ExtractConfig.xml ファイルを、LoadConfig.xml ファイルが格納されている
フォルダーにコピーします。 20 ページの『抽出構成 XML ファイルの更新』
を参照してください。
2. LoadConfig.xml ファイルをバックアップします。
3. コピーした ExtractConfig.xml ファイルの名前を LoadConfig.xml に変更し
ます。
v LoadConfig.xml ファイルを手動で更新する場合:
1. エディターで LoadConfig.xml ファイルを開きます。
2. タグ付けを追加または更新して、『ロード・ツールの動作の定義』で説明され
ている指定内容を使用して、ロード・ツールの動作を定義します。
3. このファイルを保管します。
次のタスク
ロード・ツールを使用して、この構成ファイルを使用してデータをロードします。
詳しくは、以下のいずれかのトピックを参照してください。
v
48 ページの『Windows オペレーティング・システムでのロード・ツールの実
行』
v
51 ページの『AIX または Linux オペレーティング・システムでのロード・ツー
ルの実行』
ロード・ツールの動作の定義
ロード構成 XML ファイルを更新することによって、ロード・ツールの動作を定義
します。
LoadConfig.xml ファイル内の以下のセクションを使用して、ロード・ツールの動作
を指定します。
v 『属性スキーマ』
属性スキーマ
LoadConfig.xml ファイルのこのセクションには、ID、権限、役割、および 1 次ソ
ースの職務分離ポリシーのカスタムのソース属性を定義します。このカスタム属性
のフェッチ対象の IBM Security Identity Manager からのすべてのオブジェクト・ク
ラスも定義します。
<AttributeSchema> セクションの定義
注: ロード・ツールは、<AttributeSchema> セクション内のカスタム役割属性のみ
を認識します。このため、Usage に RoleAnalysis が定義されているカスタム役割属
性のみが認識されます。
カスタムのソース属性を定義するには、<AttributeSchema> セクション内で以下の
タグを使用します。
第 2 章 抽出ツールおよびロード・ツール
47
<Attribute>
カスタム属性を定義します。ゼロ以上のカスタム属性を定義できます。
<Attribute-UID>
属性 UID を定義します。このタグはオプションです。ゼロ以上の属性 UID
を定義できます。
<Attribute-Display-Name>
固有の表示名を定義します。このタグは必須です。このタグは 1 回定義し
ます。
<Attribute-Description>
属性を定義します。このタグはオプションです。ゼロ以上の属性を定義でき
ます。
<Usage>
属性の使用法に関する説明です。例えば、リソースの URI または ID を表
す場合や、分析データを示す場合があります。LoadConfig.xml ファイル
に、Usage タグを指定するための規定があります。この Usage 属性を使用
する前に、データの目的を把握しておいてください。「Usage」列の値はあ
らかじめ定義されています。値は以下のとおりです。
v UserAnalysis
v PermissionAnalysis
v RoleAnalysis
v SoDAnalysis
v UserDisplay1-5
v PermissionDisplay1-5
これらの値によって、属性タイプが ID、権限、役割、または職務分離のい
ずれであるのかが区別されます。このタグは必須です。1 つ以上の Usage
タグを定義できます。
<Type>
属性のタイプを定義します。次のいずれかのタイプを指定します。
v ストリング
v 整数
v ID
v 階層
このタグはオプションです。ゼロ以上の Type タグを定義できます。Type
タグがない場合、デフォルトで String タグが使用されます。
<ITIMAttributeMapping>
IBM Security Identity Manager から属性値を取得するときに使用するオブジ
ェクト・クラス名と属性名を指定します。
Windows オペレーティング・システムでのロード・ツールの実行
Load.cmd を実行して、IBM Security Role and Policy Modeler の役割と職務分離制
約データを IBM Security Identity Manager にロードします。
48
IBM Security Role and Policy Modeler: リファレンス・ガイド
始める前に
IBM Security Identity Manager が稼働していることを確認します。
11 ページの『Windows オペレーティング・システムでのロード・ツールのインス
トールおよび構成』に記述されているステップを完了してください。
ロード・ツールのパラメーターを定義する Config.properties ファイルを更新しま
す。詳しくは、 15 ページの『ロード・ツール用の Config.properties 入力ファイルの
更新』を参照してください。
IBM Security Role and Policy Modeler からエクスポートしたプロジェクトの XML
ファイルのファイルおよびパス情報を把握するか、ファイルをロード・ツール・フ
ォルダーにコピーします。
このタスクについて
Load.cmd を実行するときに、ツールの入力は、IBM Security Role and Policy
Modeler からエクスポートされた役割および職務分離制約データを含む XML ファ
イルから取り込まれます。
次にロード・ユーティリティーは、IBM Security Identity Manager に接続し、役割
および職務分離制約データを IBM Security Identity Manager にロードします。
手順
1. コマンド・プロンプトから、ロード・ツール・ファイルを抽出したフォルダーに
ナビゲートします。例えば、C:¥Program
Files¥IBM¥SecurityModeler¥utilities¥load に移動します。
2. コマンド・プロンプトから Load.cmd を実行します。 このコマンドには、以下
のオプション・パラメーターを使用します。
Load.cmd [-enableURI] [-PreviewMode=value] [-InputFileName="filename"]
[-ConfigFileName="filename"]
ここで、引数は次を意味します。
enableURI
ロード・ツールで URI 情報を使用できるようにします。このオプションを
指定しない場合、識別名が使用されます。
抽出ツールに enableURI パラメーターを指定する場合、ロード・ツールにも
このパラメーターを指定する必要があります。これにより、IBM Security
Identity Manager と IBM Security Role and Policy Modeler との間でデータ
の一貫性が保持されます。
注: enableURI パラメーターが使用可能なのは、IBM Security Identity
Manager バージョン 6.0 以降のみです。また、ロード・ツールで認識するの
は役割の URI のみです。
PreviewMode
追加または変更される可能性のある役割および職務分離制約の総数を示す統
第 2 章 抽出ツールおよびロード・ツール
49
計のみをプレビューするには、true を指定します。追加および変更のロー
ド・アクションを実行するには、false を指定します。デフォルト値は true
です。
プレビュー・モードの統計には、IBM Security Identity Manager サーバーで
実行される変更の数が表示されますが、実際には変更は実行されていませ
ん。さらに、これらの操作が原因となって発生したエラーがあれば、プレビ
ューに表示されます。
InputFileName
IBM Security Role and Policy Modeler からエクスポートされた XML ファ
イルのパスおよびファイル名を指定します。このファイルには、IBM
Security Identity Manager にインポートされる役割および職務分離制約データ
が含まれています。
ConfigFileName
ロード構成 XML ファイルのパスおよびファイル名を指定します。
このパラメーターを指定しない場合、ロード・ツール・ファイルの抽出元の
ディレクトリーが使用されます。デフォルトの入力構成ファイルは、
LoadConfig.xml です。
コマンド行で指定した値は、Config.properties ファイルで指定した値をオーバ
ーライドします。Config.properties ファイルで指定したパラメーターを使用す
るには、パラメーターを指定せずにコマンドを実行します。
以下の例は、このコマンドの実行方法を示しています。
Load.cmd
Load.cmd -enableURI -PreviewMode=true
-InputFileName="E:¥Adapter Installers¥RaPM¥Identity-Manager-Load¥Project1.xml"
Load.cmd -PreviewMode=true
-InputFileName="E:¥Adapter Installers¥RaPM¥Identity-Manager-Load¥Project1.xml"
-ConfigFileName="E:¥Adapter Installers¥RaPM¥Identity-Manager-Load¥LoadConfig.xml"
3. Config.properties ファイルで WAS_GlobalSecurity_Enabled = true と設定し
た場合、ロード・ツールは WebSphere Application Server のユーザー名とパスワ
ードの入力を求めるプロンプトを表示します。データのロード元となる IBM
Security Identity Manager サーバーのユーザー名およびパスワードを入力しま
す。このユーザーは、管理権限を持つシステム・ユーザーでなければなりませ
ん。ユーザーに管理権限がない場合、ユーティリティーはエラー・メッセージを
表示し、終了します。
WAS_GlobalSecurity_Enabled = true、および WebSphere Application Server の
ユーザー名とパスワードは、IBM Security Identity Manager 5.1 に対してのみ該
当します。これらは、IBM Security Identity Manager6.0 には適用されません。
タスクの結果
Load.log ファイルで、エラーおよびその他の処理情報があるかどうかを調べてくだ
さい。
これで役割および職務分離制約データが IBM Security Identity Manager にロードさ
れます。
50
IBM Security Role and Policy Modeler: リファレンス・ガイド
AIX または Linux オペレーティング・システムでのロード・ツー
ルの実行
Load.sh を実行して、IBM Security Role and Policy Modeler の役割と職務分離制約
データを IBM Security Identity Manager にロードします。
始める前に
IBM Security Identity Manager が稼働していることを確認します。
12 ページの『AIX または Linux オペレーティング・システムでのロード・ツール
のインストールおよび構成』に記述されているステップを完了してください。
ロード・ツールのパラメーターを定義する config.properties ファイルを更新しま
す。 15 ページの『ロード・ツール用の Config.properties 入力ファイルの更新』を参
照してください。
IBM Security Role and Policy Modeler からエクスポートしたプロジェクトの XML
ファイルのファイルおよびパス情報を把握するか、ファイルをロード・ツール・フ
ォルダーにコピーします。
このタスクについて
Load.sh を実行するときに、ツールの入力は、IBM Security Role and Policy
Modeler の役割および職務分離制約データを含む XML ファイルから取り込まれま
す。
次にロード・ユーティリティーは、IBM Security Identity Manager に接続し、役割
および職務分離制約データを IBM Security Identity Manager にロードします。
手順
1. コマンド・プロンプトから、ロード・ツール・ファイルを抽出したフォルダーに
ナビゲートします。例えば、/opt/IBM/SecurityModeler/load に移動します。
2. コマンド・プロンプトから Load.sh を実行します。 このコマンドには、以下の
オプション・パラメーターを使用します。
Load.sh [-enableURI] [-PreviewMode=value] [-InputFileName="filename"]
[-ConfigFileName="filename"]
ここで、引数は次を意味します。
enableURI
ロード・ツールで URI 情報を使用できるようにします。このオプションを
指定しない場合、識別名が使用されます。
抽出ツールに enableURI パラメーターを指定する場合、ロード・ツールにも
このパラメーターを指定する必要があります。これにより、IBM Security
Identity Manager と IBM Security Role and Policy Modeler との間でデータ
の一貫性が保持されます。
注: enableURI パラメーターが使用可能なのは、IBM Security Identity
Manager バージョン 6.0 以降のみです。また、ロード・ツールで認識するの
は役割の URI のみです。
第 2 章 抽出ツールおよびロード・ツール
51
PreviewMode
追加または変更される可能性のある役割および職務分離制約の総数を示す統
計のみをプレビューするには、true を指定します。追加および変更のロー
ド・アクションを実行するには、false を指定します。デフォルト値は true
です。
プレビュー・モードの統計には、IBM Security Identity Manager サーバーで
実行される変更の数が表示されますが、実際には変更は実行されていませ
ん。さらに、これらの操作が原因となって発生したエラーがあれば、プレビ
ューに表示されます。
InputFileName
IBM Security Role and Policy Modeler からエクスポートされた XML ファ
イルのパスおよびファイル名を指定します。このファイルには、IBM
Security Identity Manager にインポートされる役割および職務分離制約データ
が含まれています。
ConfigFileName
ロード構成 XML ファイルのパスおよびファイル名を指定します。
このパラメーターを指定しない場合、ロード・ツール・ファイルの抽出元の
ディレクトリーが使用されます。デフォルトの入力構成ファイルは、
LoadConfig.xml です。
コマンド行で指定した値は、Config.properties ファイルで指定した値をオーバ
ーライドします。Config.properties ファイルで指定したパラメーターを使用す
るには、パラメーターを指定せずにコマンドを実行します。
このコマンドを使用するいくつかの例を以下に示します。
Load.sh
Load.sh -enableURI -PreviewMode=true
-InputFileName="/Adapter Installers/RaPM/Identity-Manager-Load/Project1.xml"
Load.sh -PreviewMode=true
-InputFileName="/Adapter Installers/RaPM/Identity-Manager-Load/Project1.xml"
-ConfigFileName="/Adapter Installers/RaPM/Identity-Manager-Load/LoadConfig.xml"
3. Config.properties ファイルで WAS_GlobalSecurity_Enabled = true と設定し
た場合、ロード・ツールは WebSphere Application Server のユーザー名とパスワ
ードの入力を求めるプロンプトを表示します。データのロード元となる IBM
Security Identity Manager サーバーのユーザー名およびパスワードを入力しま
す。このユーザーは、管理権限を持つシステム・ユーザーでなければなりませ
ん。ユーザーに管理権限がない場合、ユーティリティーはエラー・メッセージを
表示し、終了します。
WAS_GlobalSecurity_Enabled = true、および WebSphere Application Server の
ユーザー名とパスワードは、IBM Security Identity Manager 5.1 に対してのみ該
当します。これらは、IBM Security Identity Manager6.0 には適用されません。
タスクの結果
Load.log ファイルで、エラーおよびその他の処理情報があるかどうかを調べてくだ
さい。
52
IBM Security Role and Policy Modeler: リファレンス・ガイド
これで役割および職務分離制約データが IBM Security Identity Manager にロードさ
れます。
ロード・ツール統計
ロード・ツールは、IBM Security Identity Manager サーバーで実行された変更の統
計を表示します。
プレビュー・モードでは、ロード・ツールは、IBM Security Identity Manager サー
バーで実行される予定の変更の統計を表示します。通常モードでは、ロード・ツー
ルは、IBM Security Identity Manager サーバーで実行された実際の変更の統計を表
示します。
注: プレビュー・モードが false に設定されている場合、通常モードが使用されま
す。
変更の原因となるのは以下の操作です。
v 役割および職務分離制約の作成または変更
v 役割階層の変更
v ユーザーから役割へのメンバーシップの追加または削除
通常モードでは、特定の操作が失敗した場合、ロード・ツールは失敗の統計を表示
します。例えば、失敗した役割変更の総数が表示されます。
ロード・ツールのシナリオ
ここでは、ロード・ツールがさまざまなシナリオを扱う方法を説明します。
v IBM Security Role and Policy Modeler で作成された、追加または変更する職務分
離制約がある場合、ロード・ツールは以下のアクションを実行します。
– enableURI パラメーターを指定してロード・ツールを実行すると、検索は、
Config.properties ファイルに定義されている組織下での役割の URI に基づ
いて実行されます。このシナリオには、以下のアクションもあてはまります。
- 組織が指定されていない場合、ロード・ツールはデフォルトの組織下で検索
します。
- 役割が見つからない場合、ロード・ツールの検索操作は、役割名または職務
分離制約名に基づいて実行されます。
- 役割または職務分離制約が見つからない場合、ロード・ツールは追加操作を
実行します。見つかった場合、ロード・ツールは変更操作を実行します。
- 同じ組織下に同じ名前の複数の役割または職務分離制約が存在する場合、ロ
ード・ツールはエラーを報告します。これは、役割または職務分離制約ごと
に適用されます。
– enableURI パラメーターを指定せずにロード・ツールを実行すると、検索操作
は、Config.properties ファイルに定義されている組織下での役割名または職
務分離制約名に基づいて実行されます。このシナリオには、以下のアクション
もあてはまります。
- 組織が指定されていない場合、ロード・ツールはデフォルトの組織下で検索
します。
第 2 章 抽出ツールおよびロード・ツール
53
- 役割または職務分離制約が見つからない場合、ロード・ツールは追加操作を
実行します。見つかった場合、ロード・ツールは変更操作を実行します。
- 同じ組織下に同じ名前の複数の役割または職務分離制約が存在する場合、ロ
ード・ツールはエラーを報告します。これは、特定の役割または職務分離制
約ごとに適用されます。
v 変更対象の IBM Security Identity Manager 役割および職務分離制約がある場合、
ロード・ツールは以下のアクションを実行します。
– enableURI パラメーターを指定してロード・ツールを実行すると、ロード・ツ
ールは、役割の URI に基づいて検索操作を実行します。このシナリオには、
以下のアクションもあてはまります。
- 役割が見つからない場合、ロード・ツールは、XML ファイルに定義されて
いる役割 DN または職務分離制約 DN に基づいて検索操作を実行します。
- ロード・ツールが変更を実行するのは、XML ファイルに定義されている属
性値が、IBM Security Identity Manager LDAP の属性値と異なる場合のみで
す。これは、特定の役割または職務分離制約ごとに適用されます。
– enableURI パラメーターを指定せずにロード・ツールを実行すると、ロード・
ツールは、XML ファイルに指定されている役割 DN または職務分離制約 DN
に基づいて検索操作を実行します。このシナリオには、以下のアクションもあ
てはまります。
- ロード・ツールが変更を実行するのは、XML ファイルに定義されている属
性値が、IBM Security Identity Manager LDAP の属性値と異なる場合のみで
す。これは、特定の役割または職務分離制約ごとに適用されます。
v 変更対象の IBM Security Role and Policy Modeler 役割および職務分離制約があ
る場合、ロード・ツールは以下のアクションを実行します。
– ロード・ツールは、Config.properties ファイルに定義されている組織下の役
割または職務分離制約に基づいて検索操作を実行します。
–
組織が指定されていない場合、ロード・ツールはデフォルトの組織下で検索
します。
– ロード・ツールが変更を実行するのは、XML ファイルに定義されている属性
値が、IBM Security Identity Manager LDAP の属性値と異なる場合のみです。
これは、特定の役割または職務分離制約ごとに適用されます。
– 同じ組織の下に同じ名前の複数の役割または職務分離制約が存在する場合、ユ
ーティリティーはエラーを生成します。
役割およびポリシーが多数存在する場合のロード・ツールの調整
多数のエクスポート済み役割およびポリシーに対してロード・ツールを使用する場
合は、Java 仮想マシンのメモリーを増やすことによってパフォーマンスを最適化し
ます。
コンピューターに物理メモリーが追加されていても、ロード・ツールが Java 仮想マ
シンのメモリーを使い尽くしてしまうことがあります。IBM Security Identity
Manager からエクスポートされた役割およびポリシーを多数含む XML ファイル
を、ロード・ツールを使用して処理する場合は、JVM ヒープ・サイズを増やすこと
を検討してください。
54
IBM Security Role and Policy Modeler: リファレンス・ガイド
JVM ヒープ・サイズを増やすには、ロード・ツール・アプリケーションを起動する
スクリプト・ファイルを更新します。
1. ロード・ツールのインストール・ディレクトリーで、Load スクリプト・ファイ
ルを開きます。
表 7. ロード・ツールのファイル名
オペレーティング・システム
ファイル名
UNIX
Load.sh
Windows
Load.cmd
2. スクリプト・コードを編集してヒープ・サイズのパラメーターを指定します。デ
プロイメント状況に応じて以下の値を設定します。
表 8. ヒープ・サイズ・パラメーター
パラメーター
説明
-Xms
初期ヒープ・サイズ (バイト数)
-Xmx
最大ヒープ・サイズ (バイト数)
例えば、下の表に示すようにコマンド行引数 -Xms254m -Xmx1024m を追加しま
す。
注: コマンドに対する変更は、-Xms および -Xmx の値の追加のみです。
表 9. UNIX および Linux プラットフォームの例
デフォルトのスクリプト・コマンド:
"$JAVA_HOME/bin/java" "-Dcom.ibm.CORBA.Debug.Output=/dev/null" $WAS_LOGGING
-classpath $CP "-Djava.security.auth.login.config=jaas.conf"
-Djava.ext.dirs="$JAVA_JRE/lib/ext:$WAS_EXT_DIRS:$WAS_HOME/plugins:$WAS_HOME/lib/WMQ/java/lib"
"$SERVER_ROOT" "$CLIENTSAS" "$CLIENTSSL" com.ibm.security.modeling.load.SODxmlParser $HOME_DIR $*
更新後のコマンド (新規引数を太字で表記):
"$JAVA_HOME/bin/java" -Xms254m -Xmx1024M "-Dcom.ibm.CORBA.Debug.Output=/dev/null"
$WAS_LOGGING -classpath $CP "-Djava.security.auth.login.config=jaas.conf"
-Djava.ext.dirs="$JAVA_JRE/lib/ext:$WAS_EXT_DIRS:$WAS_HOME/plugins:$WAS_HOME/lib/WMQ/java/lib"
"$SERVER_ROOT" "$CLIENTSAS" "$CLIENTSSL" com.ibm.security.modeling.load.SODxmlParser $HOME_DIR $*
表 10. Windows プラットフォームの例
デフォルトのスクリプト・コマンド:
"%JAVA_HOME%¥bin¥java" "-Dcom.ibm.CORBA.Debug.Output=NUL"
%WAS_LOGGING% -Djava.endorsed.dirs="%WAS_ENDORSED_DIRS%"
"-Djava.security.auth.login.config=jaas.conf" -classpath "%CP%"
-Djava.ext.dirs="%JAVA_JRE%¥lib¥ext;%WAS_EXT_DIRS%;%WAS_HOME%¥plugins;%WAS_HOME%¥installedConnectors"
"%CLIENTSAS%" "%CLIENTSSL%" com.ibm.security.modeling.load.SODxmlParser "%HOME_DIR%" %*
更新後のコマンド (新規引数を太字で表記):
"%JAVA_HOME%¥bin¥java" -Xms254m -Xmx1024M "-Dcom.ibm.CORBA.Debug.Output=NUL"
%WAS_LOGGING% -Djava.endorsed.dirs="%WAS_ENDORSED_DIRS%"
"-Djava.security.auth.login.config=jaas.conf" -classpath "%CP%"
-Djava.ext.dirs="%JAVA_JRE%¥lib¥ext;%WAS_EXT_DIRS%;%WAS_HOME%¥plugins;%WAS_HOME%¥installedConnectors"
"%CLIENTSAS%" "%CLIENTSSL%" com.ibm.security.modeling.load.SODxmlParser "%HOME_DIR%" %*
第 2 章 抽出ツールおよびロード・ツール
55
56
IBM Security Role and Policy Modeler: リファレンス・ガイド
付録 A. 本書の規則
本書の情報には、特殊な用語と操作、およびオペレーティング・システム依存のコ
マンドとパスを表記するための、いくつかの規則があります。
書体の規則
本書では、書体について以下のような規則があります。
太字
v 周囲のテキストと見分けがつきにくい小文字のコマンドおよび大/小文字
混合のコマンド
v インターフェース・コントロール (チェック・ボックス、プッシュボタ
ン、ラジオ・ボタン、スピン・ボタン、フィールド、フォルダー、アイコ
ン、リスト・ボックス、リスト・ボックス内の項目、複数列のリスト、コ
ンテナー、メニュー選択項目、メニュー名、タブ、プロパティー・シー
ト)、ラベル (ヒント:、オペレーティング・システムの考慮事項: など)
v テキスト内のキーワードおよびパラメーター
イタリック
v 引用 (例: 資料、ディスケット、および CD のタイトル)
v テキスト内で定義された単語 (例: 非交換回線は Point-to-Point 回線 と呼
ばれます)
v 単語と文字の強調 (語単位の強調の例: 「語 that は制限節を導くために
使用します。」、文字単位の強調の例:「LUN アドレスは L という文字
で開始する必要があります。」)
v テキスト内の新規用語 (定義リスト内は除く): ビュー は、データを含む
ワークスペース内のフレームです。
v 指定する必要のある変数と値: ... ここで myname は、.... を表します。
モノスペース
v 例およびコード例
v 周囲のテキストと見分けがつきにくいファイル名、プログラミングのキー
ワード、およびその他のエレメント
v ユーザー宛のメッセージ・テキストおよびプロンプト
v ユーザーが入力する必要があるテキスト
v 引数またはコマンド・オプションの値
太字モノスペース
v コマンド名、またはコマンドとして入力できるマクロおよびユーティリテ
ィーの名前
v テキスト内の環境変数名
v キーワード
© Copyright IBM Corp. 2011, 2012
57
v テキスト内のパラメーター名: API 構造体パラメーター、コマンド・パラ
メーターと引数、および構成パラメーター
v プロセス名
v テキスト内のレジストリー変数名
v スクリプト名
HOME およびその他のディレクトリー変数の定義
この表には、IBM Security Role and Policy Modeler インフォメーション・センター
およびガイドで使用されるデフォルトの定義が含まれています。これらの定義は、
さまざまな製品インストール・パスの HOME ディレクトリー・レベルを表します。
HOME ディレクトリーは、特定の要件に応じてカスタマイズできます。次の表のデフ
ォルト・ディレクトリー・インストール・ロケーションは、管理者または root ユー
ザーのいずれかに提供されます。
非管理者または非 root ユーザーの場合は、以下のパスを user_home に置き換えま
す。
v Windows オペレーティング・システム: drive:¥Program Files
v Linux: /opt
v UNIX、または AIX: /usr
表 11. ホーム・ディレクトリー変数の定義
パス変数
デフォルトの定義
説明
SM_HOME
v Windows オペレーティング・シス
テム: C:¥Program
Files¥IBM¥SecurityModeler
IBM Security Role and Policy Modeler
および資料を含む基本ディレクトリ
ー。
v
DB_HOME
Linux、UNIX、または AIX:
/opt/IBM/SecurityModeler
v Windows オペレーティング・シス
テム: C:¥Program
Files¥IBM¥SQLLIB
デフォルトの DB2 ホーム・ディレク
トリー。
v Linux: /opt/ibm/db2/V9.7
v UNIX または AIX:
/opt/IBM/db2/V9.7
WAS_HOME
v Windows オペレーティング・シス
テム: C:¥Program
Files¥IBM¥WebSphere¥
AppServer
v Linux: /opt/IBM/WebSphere/
AppServer
v UNIX または AIX:
/usr/IBM/WebSphere/AppServer
58
IBM Security Role and Policy Modeler: リファレンス・ガイド
デフォルトの WebSphere Application
Server ホーム・ディレクトリー。
表 11. ホーム・ディレクトリー変数の定義 (続き)
パス変数
デフォルトの定義
説明
TIP_PROFILE_HOME
v Windows オペレーティング・シス
テム: WAS_HOME¥
profiles¥TIPProfile
デフォルトの Tivoli® Integrated Portal
ホーム・ディレクトリー。
v Linux、UNIX、または AIX:
WAS_HOME/profiles/TIPProfile
TCR_COMPONENT_HOME
v Windows オペレーティング・シス
テム: C:¥Program
Files¥IBM¥WebSphere¥
AppServerComponents¥
TCRComponent
Tivoli Common Reporting のホーム・
ディレクトリー。
v Linux: /opt/IBM/WebSphere/
AppServerComponents/TCRComponent
v UNIX または AIX:
/usr/IBM/WebSphere/
AppServerComponents/TCRComponent
付録 A. 本書の規則
59
60
IBM Security Role and Policy Modeler: リファレンス・ガイド
付録 B. IBM Security Role and Policy Modeler のアクセシビ
リティー機能
アクセシビリティー機能は、運動障害や視覚障害など、身体に障害を持つユーザー
が情報技術製品を快適に使用できるようにサポートします。
アクセシビリティー機能
以下のリストに、IBM Security Role and Policy Modeler の主なアクセシビリティー
機能を示します。
v キーボードだけを使用する操作
v スクリーン・リーダー (読み上げソフトウェア) によって通常使用されるインター
フェース
v タッチによって認識されるが、タッチによってアクティブにならないキー
v ポートとコネクター用の業界標準デバイス
v 代替入出力装置の接続
IBM Security Role and Policy Modeler インフォメーション・センターおよびその関
連資料は、アクセシビリティーに対応しています。
キーボード・ナビゲーション
この製品は、キーボードでの操作が可能です。
インターフェース情報
階層ビューはキーボードでアクセスできない
役割およびポリシー・モデルの階層ビューは、キーボードでアクセスするこ
とはできません。ただし、役割およびポリシー・モデルのテーブル・ビュー
は、キーボードでアクセスすることができます。キーボードでアクセス可能
な役割およびポリシー・モデルが必要な場合は、「役割およびポリシー」ウ
ィンドウのテーブル・ビューを使用することができます。
分析グラフはキーボードでアクセスできない
同じデータの代替表現として、分析ウィンドウの一致と不一致テーブルの形
式が用意されています。
アクセシビリティー用にサポートされるブラウザー
Mozilla FireFox 3.6.22
Microsoft Internet Explorer 8。このブラウザーでの既知のアクセシビリティ
ーの問題については、IBM Security Role and Policy Modeler インフォメー
ション・センターを参照してください。
レポートはアクセシビリティー対応である
レポートは、HTML 形式と PDF 形式でアクセシビリティー対応になってい
ます。詳しくは、IBM Security Role and Policy Modeler インフォメーショ
ン・センターの『レポートの支援技術』のトピックを参照してください。
© Copyright IBM Corp. 2011, 2012
61
IBM Security Role and Policy Modeler 内部でオンライン・ヘルプを開く
Microsoft Internet Explorer では、Alt+6+Enter を押します。
Mozilla FireFox では、Shift+Alt+6 を押します。
IBM とアクセシビリティー
IBM のアクセシビリティーに対する取り組みの詳細については、IBM Human
Ability and Accessibility Center を参照してください。
62
IBM Security Role and Policy Modeler: リファレンス・ガイド
特記事項
本書は米国 IBM が提供する製品およびサービスについて作成したものです。
本書に記載の製品、サービス、または機能が日本においては提供されていない場合
があります。日本で利用可能な製品、サービス、および機能については、日本 IBM
の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービス
に言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能
であることを意味するものではありません。これらに代えて、IBM の知的所有権を
侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用す
ることができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの
評価および検証は、お客様の責任で行っていただきます。
IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を
保有している場合があります。本書の提供は、お客様にこれらの特許権について実
施権を許諾することを意味するものではありません。実施権についてのお問い合わ
せは、書面にて下記宛先にお送りください。
〒103-8510
東京都中央区日本橋箱崎町19番21号
日本アイ・ビー・エム株式会社
法務・知的財産
知的財産権ライセンス渉外
以下の保証は、国または地域の法律に沿わない場合は、適用されません。IBM およ
びその直接または間接の子会社は、本書を特定物として現存するままの状態で提供
し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべ
ての明示もしくは黙示の保証責任を負わないものとします。国または地域によって
は、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を
受けるものとします。
この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的
に見直され、必要な変更は本書の次版に組み込まれます。IBM は予告なしに、随
時、この文書に記載されている製品またはプログラムに対して、改良または変更を
行うことがあります。
本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のた
め記載しただけであり、決してそれらの Web サイトを推奨するものではありませ
ん。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありませ
ん。それらの Web サイトは、お客様の責任でご使用ください。
IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うこと
のない、自ら適切と信ずる方法で、使用もしくは配布することができるものとしま
す。
© Copyright IBM Corp. 2011, 2012
63
本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプロ
グラム (本プログラムを含む) との間での情報交換、および (ii) 交換された情報の
相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする
方は、下記に連絡してください。
IBM Corporation
J46A/G4
555 Bailey Avenue
San Jose, CA 95141-1003
U.S.A.
本プログラムに関する上記の情報は、適切な使用条件の下で使用することができま
すが、有償の場合もあります。
本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、
IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれ
と同等の条項に基づいて、IBM より提供されます。
この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定された
ものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。
一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値
が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一
部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があ
ります。お客様は、お客様の特定の環境に適したデータを確かめる必要がありま
す。
IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公
に利用可能なソースから入手したものです。 IBM は、それらの製品のテストは行
っておりません。したがって、他社製品に関する実行性、互換性、またはその他の
要求については確証できません。IBM 以外の製品の性能に関する質問は、それらの
製品の供給者にお願いします。
IBM の将来の方向性および指針に関するすべての記述は、予告なく変更または撤回
される場合があります。これらは目標および目的を提示するものにすぎません。
本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。よ
り具体性を与えるために、それらの例には、個人、企業、ブランド、あるいは製品
などの名前が含まれている場合があります。これらの名称はすべて架空のものであ
り、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎませ
ん。
著作権使用許諾:
本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を
例示するサンプル・アプリケーション・プログラムがソース言語で掲載されていま
す。お客様は、サンプル・プログラムが書かれているオペレーティング・プラット
フォームのアプリケーション・プログラミング・インターフェースに準拠したアプ
リケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式
においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することが
できます。このサンプル・プログラムは、あらゆる条件下における完全なテストを
経ていません。従って IBM は、これらのサンプル・プログラムについて信頼性、
64
IBM Security Role and Policy Modeler: リファレンス・ガイド
利便性もしくは機能性があることをほのめかしたり、保証することはできません。
これらのサンプル・プログラムは特定物として現存するままの状態で提供されるも
のであり、いかなる保証も提供されません。 IBM は、お客様の当該サンプル・プ
ログラムの使用から生ずるいかなる損害に対しても一切の責任を負いません。
それぞれの複製物、サンプル・プログラムのいかなる部分、またはすべての派生し
た創作物にも、次のように、著作権表示を入れていただく必要があります。「© (お
客様の会社名) (西暦年)」このコードの一部は、IBM Corp. のサンプル・プログラム
から取られています。© Copyright IBM Corp. 2004, 2012. All rights reserved.
この情報をソフトコピーでご覧になっている場合は、写真やカラーの図表は表示さ
れない場合があります。
商標
IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International
Business Machines Corporation の商標です。他の製品名およびサービス名等は、それ
ぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リスト
については、http://www.ibm.com/legal/copytrade.shtml をご覧ください。
Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation
の米国およびその他の国における商標です。
Java およびすべての Java 関連の商標およびロゴは Oracle やその関連会社の米国お
よびその他の国における商標または登録商標です。
Adobe、Adobe ロゴ、PostScript、PostScript ロゴは、Adobe Systems Incorporated の
米国およびその他の国における登録商標または商標です。
UNIX は The Open Group の米国およびその他の国における登録商標です。
特記事項
65
66
IBM Security Role and Policy Modeler: リファレンス・ガイド
索引
日本語, 数字, 英字, 特殊文字の
順に配列されています。なお, 濁
音と半濁音は清音と同等に扱われ
ています。
アクセシビリティー
資料
ロケーション 58
本製品のアクセシビリティー機能
[マ行]
57
本製品用のリスト
スキーマ
vii
抽出ツールの更新
21
問題判別
#Define Role Type
12
#Define Source 22
#Identity 27
#Permissions 28
オンライン
資料 vii
用語集 vii
管理対象リソース
権限および ID の抽出 43
ソフトウェア要件
抽出ツール 6
ロード・ツール
[サ行]
シナリオ
抽出ツールの使用 42
ロード・ツールの使用 53
状態管理 1
セッション・ルール 1
© Copyright IBM Corp. 2011, 2012
26
#User Permission Assignment
Source 32
組織コンテナー
データの抽出
技術研修 viii
規則
書体 57
権限
単一のサービスの場合の抽出 43
研修 viii
参照: 技術研修
構成
抽出ツール
AIX および Linux 9
Windows 8
リモート IBM Security Identity
Manager サーバー 13
ロード・ツール
AIX または Linux 12
Windows 11
32
#Role 29
#Role User Assignment 32
#Separation of Duty Policy 31
[カ行]
viii
[ヤ行]
21
9
61
vii
#Define Attribute 23
#Define Hierarchical Attributes
8
ロード・ツール
AIX または Linux
Windows 11
ホーム・ディレクトリー
3
57
vii
要素
18
インストール
抽出ツール
AIX および Linux
Windows
書体の規則
規則
viii
アンインストール
抽出ツール 11
ロード・ツール
ファイル・ルール 4
プロジェクト・ルール
アクセス、オンライン
オンライン vii
[ア行]
[ハ行]
状態管理 (続き)
役割
単一のサービスの場合の抽出
43
要件
ソフトウェア
抽出ツール 6
ロード・ツール
用語集 vii
7
[ラ行]
リモート IBM Security Identity Manager
サーバー
42
構成 13
ロード・ツール
6
[タ行]
抽出ツール
アンインストール 11
インストール
AIX および Linux 9
Windows 8
概要 19
構成 XML ファイルの更新 21
実行
AIX または Linux 40
Windows 37
シナリオ 42
ソフトウェア要件 6
プロセス 5
ログ・ファイル・パラメーターの設定
18
ディレクトリー
変数 58
ホーム 58
特記事項 63
トラブルシューティング viii
アンインストール 18
インストール
AIX または Linux 12
Windows 11
概要 44
構成
リモート IBM Security Identity
Manager サーバー 13
実行
AIX または Linux 51
Windows 49
シナリオ 53
ソフトウェア要件 7
統計 53
パフォーマンスの調整 54
プロセス 5
ログ・ファイル・パラメーターの設定
18
Config.properties の更新 15
ログ・ファイル・パラメーター
抽出ツールおよびロード・ツールのた
めの設定 18
ロケーション
ホーム・ディレクトリー 58
67
A
AttributeSchema セクション
34
C
Config.properties ファイル
ロード・ツールの更新
15
E
ExtractConfig.xml ファイル
更新
21
I
IBM
ソフトウェア・サポート
Support Assistant
viii
viii
P
PermissionRoleObjectClasses セクション
36
S
SearchScope セクション
33
T
Terminology Web サイト viii
[特殊文字]
#Define Attribute セクション 23
#Define Hierarchical Attributes セクション
32
#Define Role Type セクション 26
#Define Source セクション 22
#Identity セクション 27
#Permissions セクション 28
#Role User Assignment セクション 32
#Role セクション 29
#Separation of Duty Policy セクション
31
#User Permission Assignment セクション
32
68
IBM Security Role and Policy Modeler: リファレンス・ガイド
Printed in Japan
SA88-4799-01
Fly UP