ユーザアプリケーションをインストールすると、ユーザアプリケーション環境設定パラメータを設定できます。インストールすると、これらのパラメータの多くはconfigupdate.shまたはconfigupdate.batでも編集可能です。例外はパラメータ説明に記述されています。
クラスタの場合は、クラスタの各メンバーに同じユーザアプリケーション環境設定パラメータを指定します。
表 4-1で説明されている、基本のユーザアプリケーション環境設定パラメータを設定してから、ステップ 2に進みます。
表 4-1 ユーザアプリケーション環境設定: 基本パラメータ
設定のタイプ |
フィールド |
説明 |
---|---|---|
eDirectory接続設定 |
|
必須。LDAPサーバのホスト名またはIPアドレスと、そのセキュアポートを指定します。 たとえば、次のようにします。 myLDAPhost |
|
LDAPサーバの非セキュアポートを指定します。たとえば、「389」のように指定してください。 |
|
|
LDAPサーバのセキュアポートを指定します。 たとえば、「636」のように指定してください。 |
|
|
必須。 LDAP管理者の資格情報を指定します。 このユーザは既に存在している必要があります。 ユーザアプリケーションは、このアカウントを使用して識別ボールドへの管理接続を行います。 この値は、マスタキーに基づいて暗号化されます。 |
|
|
必須。 LDAP管理者パスワードを指定します。 このパスワードは、マスタキーに基づいて暗号化されます。 |
|
|
ログインしていないユーザに、LDAPパブリック匿名アカウントへのアクセスを許可します。 |
|
|
ログインしていないユーザに、許可されたポートレットへのアクセスを許可します。 このユーザアカウントは、識別ボールトにすでに存在している必要があります。[LDAPゲスト]を有効にするには、 の選択を解除する必要があります。[ゲストユーザ]を無効にするには、 を選択します。 |
|
|
LDAPゲストパスワードを指定します。 |
|
|
このオプションを選択すると、管理者アカウントを使用したすべての通信でセキュアソケットを使用する必要があります(このオプションを使用すると、パフォーマンスに悪影響を及ぼすことがあります)。この設定を行うと、SSLを必要としない他の処理ではSSLを使用せずに処理を実行できるようになります。 |
|
|
このオプションを選択すると、ログインユーザのアカウントを使用したすべての通信でセキュアソケットを使用する必要があります(このオプションを使用すると、パフォーマンスに悪影響を及ぼすことがあります)。この設定を行うと、SSLを必要としない他の処理ではSSLを使用せずに処理を実行できるようになります。 |
|
eDirectory DN |
|
必須。 ルートコンテナのLDAP識別名を指定します。 これは、ディレクトリ抽象化層で検索ルートが指定されない場合に、デフォルトのエンティティ定義検索ルートとして使用されます。 |
|
必須。 前述のセクション 3.1, iManagerでのユーザアプリケーションドライバの作成で作成したユーザアプリケーションドライバの識別名を指定します。 たとえば、ドライバがUserApplicationDriverでドライバセットの名前がmyDriverSetであり、ドライバセットがo=myCompanyのコンテキストにある場合は、次の値を入力します。 cn=UserApplicationDriver,cn=myDriverSet,o=myCompany |
|
|
必須。 指定されたユーザアプリケーションのユーザコンテナについての管理タスクを実行する権限のある、識別ボールト内の既存のユーザ。 このユーザは、ユーザアプリケーションの[ ]タブを使用してポータルを管理できます。ユーザアプリケーション管理者が、iManager、Novell Designer for identity Manager、またはユーザアプリケーション(IDMユーザアプリケーション: 管理ガイドを参照してください。 タブ)に公開されているワークフロー管理タスクに参加する場合は、この管理者に、ユーザアプリケーションドライバに含まれるオブジェクトインスタンスに対する適切なトラスティ権限を与える必要があります。詳細は、ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの ページを使用する必要があります。 |
|
|
プロビジョニングアプリケーション管理者は、 タブ( タブの下)を使用して、プロビジョニングワークフロー機能を管理します。これらの機能は、ユーザアプリケーションの[ ]タブでユーザが使用可能です。 このユーザは、プロビジョニングアプリケーション管理者に指定される前に、識別ボールトに存在する必要があります。ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの ページを使用する必要があります。 |
|
eDirectory DN(続き) |
|
この役割は、Novell Identity Manager役割ベースプロビジョニングモジュールで利用可能です。この役割を使用すると、そのメンバーはすべての役割の作成、削除、変更、およびユーザ、グループ、またはコンテナへの役割の付与または取り消しを行うことができます。さらに役割のメンバーは、任意のユーザに対してレポートを実行できます。デフォルトでは、この役割にはユーザアプリケーション管理者が割り当てられています。 ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの ページを使用します。 |
|
必須。 ユーザコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。 これにより、ユーザおよびグループの検索スコープが定義されます。 このコンテナ内(およびその下)のユーザが、ユーザアプリケーションにログインできます。 重要:ユーザがワークフローを実行できるようにする場合は、ユーザアプリケーションドライバの設定中に指定したユーザアプリケーション管理者は、このコンテナ内に存在する点に注意してください。 |
|
|
必須。 グループコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。 ディレクトリ抽象化レイヤ内のエンティティ定義で使用します。 |
|
eDirectory証明書 |
|
必須。 アプリケーションサーバが実行に使用しているのJDKのキーストア(cacerts)ファイルへのフルパスを指定するか、小さな参照ボタンをクリックしてcacertsファイルに移動します。 LinuxまたはSolarisでは、ユーザにはこのファイルへの書き込み許可が必要です。 |
|
必須。 cacertsのパスワードを指定します。 デフォルトは、「changeit」です。 |
|
電子メール |
|
Identity Managerユーザアプリケーションをホストしているアプリケーションサーバを指定します。 たとえば、次のようにします。 myapplication serverServer この値は、電子メールテンプレートの$HOST$トークンと置き換えられます。 作成されるurlは、プロビジョニング要求タスクと承認通知へのリンクです。 |
|
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PORT$トークンの置き換えに使用されます。 |
|
|
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PORT$トークンの置き換えに使用します。 |
|
|
プロビジョニング電子メール内のユーザから電子メールが送信されるように指定します。 |
|
|
プロビジョニング電子メールを使用しているSMTP電子メールホストを指定します。 これは、IPアドレスまたはDNS名が可能です。 |
|
パスワード管理 |
|
この機能によって、外部の[パスワードを忘れた場合]のWarにある[パスワードを忘れた場合]ページと、外部の[パスワードを忘れた場合]のWARがWebサービスを経由してユーザアプリケーションを呼び戻すのに使用するURLを指定できます。 を選択する場合は、 および に値を指定する必要があります。 /jsps/pwdmgt/ForgotPassword.jsf(最初はhttp(s)プロトコルなし)。 これは、ユーザを、外部WARではなく、ユーザアプリケーションに組み込まれた[パスワードを忘れた場合]機能にリダイレクトします。 を選択しない場合は、デフォルトの内部パスワード管理機能が使用されます。 |
|
このURLは[パスワードを忘れた場合]機能ページを指します。 外部または内部のパスワード管理WARにあるForgotPassword.jsfファイルを指定します。 詳細については、パスワードWARの使用を参照してください。 |
|
|
外部のパスワード管理WARを使用している場合は、外部の[パスワード管理WAR]がWebサービス、たとえばhttps:// idmhost:sslport/idm を経由してユーザアプリケーションを呼び戻すのに使用するパスを指定します。 |
追加ユーザアプリケーション環境設定パラメータに設定する場合は、[詳細オプションの表示]をクリックします。(スクロールしてパネル全体を表示します。)表 4-2は、詳細オプションのパラメータについて説明します。
このステップで説明した追加パラメータを設定しない場合は、スキップしてステップ 3に進みます。
表 4-2 ユーザアプリケーション環境設定: すべてのパラメータ
設定のタイプ |
フィールド |
説明 |
---|---|---|
eDirectory接続設定 |
|
必須。 LDAPサーバのホスト名またはIPアドレスを指定します。たとえば、次のようにします。 myLDAPhost |
|
LDAPサーバの非セキュアポートを指定します。たとえば、「389」のように指定してください。 |
|
|
LDAPサーバのセキュアポートを指定します。 たとえば、「636」のように指定してください。 |
|
|
必須。 LDAP管理者の資格情報を指定します。 このユーザは既に存在している必要があります。 ユーザアプリケーションは、このアカウントを使用して識別ボールドへの管理接続を行います。 この値は、マスタキーに基づいて暗号化されます。 |
|
|
必須。 LDAP管理者パスワードを指定します。 このパスワードは、マスタキーに基づいて暗号化されます。 |
|
|
ログインしていないユーザに、LDAPパブリック匿名アカウントへのアクセスを許可します。 |
|
|
ログインしていないユーザに、許可されたポートレットへのアクセスを許可します。 このユーザアカウントは、識別ボールトにすでに存在している必要があります。[LDAPゲスト]を有効にするには、[ ]の選択を解除する必要があります。[ゲストユーザ]を無効にするには、[ ]を選択します。 |
|
|
LDAPゲストパスワードを指定します。 |
|
|
このオプションを選択すると、管理者アカウントを使用したすべての通信でセキュアソケットを使用する必要があります(このオプションを使用すると、パフォーマンスに悪影響を及ぼすことがあります)。この設定を行うと、SSLを必要としない他の処理ではSSLを使用せずに処理を実行できるようになります。 |
|
|
このオプションを選択すると、ログインユーザのアカウントを使用したすべての通信でセキュアソケットを使用する必要があります(このオプションを使用すると、パフォーマンスに深刻な悪影響を及ぼすことがあります)。この設定を行うと、SSLを必要としない他の処理ではSSLを使用せずに処理を実行できるようになります。 |
|
eDirectory DN |
|
必須。 ルートコンテナのLDAP識別名を指定します。 これは、ディレクトリ抽象化層で検索ルートが指定されない場合に、デフォルトのエンティティ定義検索ルートとして使用されます。 |
|
必須。 前述のセクション 3.1, iManagerでのユーザアプリケーションドライバの作成で作成したユーザアプリケーションドライバの識別名を指定します。 たとえば、ドライバがUserApplicationDriverでドライバセットの名前がmyDriverSetであり、ドライバセットがo=myCompanyのコンテキストにある場合は、次の値を入力します。 cn=UserApplicationDriver,cn=myDriverSet,o=myCompany |
|
|
必須。 指定されたユーザアプリケーションのユーザコンテナについての管理タスクを実行する権限のある、識別ボールト内の既存のユーザ。 このユーザは、ユーザアプリケーションの[ ]タブを使用してポータルを管理できます。ユーザアプリケーション管理者が、iManager、Novell Designer for identity Manager、またはユーザアプリケーション(IDMユーザアプリケーション: 管理ガイドを参照してください。 タブ)に公開されているワークフロー管理タスクに参加する場合は、この管理者に、ユーザアプリケーションドライバに含まれるオブジェクトインスタンスに対する適切なトラスティ権限を与える必要があります。詳細は、ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの ページを使用する必要があります。 |
|
|
プロビジョニングアプリケーション管理者は、ユーザアプリケーションの タブを使用して利用可能なプロビジョニングワークフロー機能を管理します。このユーザは、プロビジョニングアプリケーション管理者に指定される前に、識別ボールトに存在する必要があります。ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの ページを使用する必要があります。 |
|
メタディレクトリユーザID |
|
必須。 ユーザコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。 これにより、ユーザおよびグループの検索スコープが定義されます。 このコンテナ内(およびその下)のユーザが、ユーザアプリケーションにログインできます。 重要:ユーザがワークフローを実行できるようにする場合は、ユーザアプリケーションドライバの設定中に指定したユーザアプリケーション管理者は、このコンテナ内に存在する点に注意してください。 |
|
LDAPユーザオブジェクトクラス(通常はinetOrgPerson)。 |
|
|
ユーザのログイン名を表すLDAP属性(たとえばCN)。 |
|
|
ユーザまたはグループをルックアップする際にIDとして使用するLDAP属性これはログイン属性と同じではありません。ログイン属性はログイン中にのみ使用し、ユーザおよびグループの検索中には使用しません。 |
|
|
オプション。ユーザのグループメンバーシップを表すLDAP属性です。 この名前にはスペースを使用しないでください。 |
|
|
この役割は、Novell Identity Manager役割ベースプロビジョニングモジュールで利用可能です。この役割を使用すると、そのメンバーはすべての役割の作成、削除、変更、およびユーザ、グループ、またはコンテナへの役割の付与または取り消しを行うことができます。さらに役割のメンバーは、任意のユーザに対してレポートを実行できます。デフォルトでは、この役割にはユーザアプリケーション管理者が割り当てられています。 ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの ページを使用します。 |
|
メタディレクトリユーザグループ |
|
必須。 グループコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。 ディレクトリ抽象化レイヤ内のエンティティ定義で使用します。 |
|
LDAPオブジェクトクラス(通常はgroupofNames)。 |
|
|
ユーザのグループメンバーシップを表す属性です。 この名前にはスペースを使用しないでください。 |
|
|
ダイナミックグループを使用する場合は、このオプションを選択します。 |
|
|
LDAPダイナミックグループオブジェクトクラス(通常はdynamicGroup)。 |
|
eDirectory証明書 |
|
必須。 アプリケーションサーバが実行に使用しているのJREのキーストア(cacerts)ファイルへのフルパスを指定するか、小さな参照ボタンをクリックしてcacertsファイルに移動します。 ユーザアプリケーションのインストールによって、キーストアファイルが変更されます。 LinuxまたはSolarisでは、ユーザにはこのファイルへの書き込み許可が必要です。 |
|
必須。 cacertsのパスワードを指定します。 デフォルトは、「changeit」です。 |
|
プライベートキーストア |
|
プライベートキーストアには、ユーザアプリケーションのプライベートキーおよび証明書が含まれます。予約済み。 入力しない場合は、このパスはデフォルトで/jre/lib/security/cacertsになります。 |
|
このパスワードは、別のパスワードを指定するまではchangeitです。このパスワードは、マスタキーに基づいて暗号化されます。 |
|
|
この別名は、別の別名を指定するまではnovellIDMUserAppです。 |
|
|
このパスワードは、別のパスワードを指定するまではnove1lIDMです。このパスワードは、マスタキーに基づいて暗号化されます。 |
|
トラステッドキーストア |
|
トラステッドキーストアには、有効なデジタル署名に使用するすべてのトラステッド署名者の証明書が含まれます。入力しない場合は、ユーザアプリケーションはシステムプロパティjavax.net.ssl.trustStoreからパスを取得します。パスがそこではない場合は、jre/lib/security/cacertsだと推測されます。 |
|
このフィールドを入力しない場合は、ユーザアプリケーションはシステムプロパティjavax.net.ssl.trustStorePasswordからパスワードを取得します。値がそこではない場合は、changeitが使用されます。このパスワードは、マスタキーに基づいて暗号化されます。 |
|
Novell Auditデジタル署名および証明書キー |
Novell Auditデジタル署名キーおよび証明書が含まれます。 |
|
|
デジタル署名証明書が表示されます。 |
|
|
デジタル署名秘密鍵が表示されます。このキーは、マスタキーに基づいて暗号化されます。 |
|
Access ManagerおよびiChainの設定 |
|
このオプションが選択されている場合は、ユーザアプリケーションによってユーザアプリケーションおよびNovell Access ManagerまたはiChainの同時ログアウトがサポートされます。Novell Access Manager™またはiChain®はログアウト時にCookieをチェックし、Cookieが存在する場合は、ユーザを[同時ログアウト]ページに再ルーティングします。 |
|
Novell Access ManagerまたはiChainログアウトページへのURL。URLはNovell Access ManagerまたはiChainが期待するホスト名です。同時ログアウトが有効な場合は、ユーザはユーザアプリケーションからログアウトし、ユーザはこのページに再ルーティングされます。ご使用の環境に応じて、次の2つのURLのいずれかにより、同時ログアウト機能が正しいページに移動します。 Access Manager: https://yourAccessGatewayServer/AGLogout iChain: https://youriChainServer/cmd/ICSLogout |
|
電子メール |
|
Identity Managerユーザアプリケーションをホストしているアプリケーションサーバを指定します。 たとえば、次のようにします。 myapplication serverServer この値は、電子メールテンプレートの$HOST$トークンと置き換えられます。 作成されるurlは、プロビジョニング要求タスクと承認通知へのリンクです。 |
|
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PORT$トークンの置き換えに使用されます。 |
|
|
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PORT$トークンの置き換えに使用します。 |
|
|
非セキュアプロトコル、HTTPを参照してください。プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PROTOCOL$トークンの置き換えに使用します。 |
|
|
セキュアプロトコル、HTTPを参照してください。プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PROTOCOL$トークンの置き換えに使用されます。 |
|
|
プロビジョニング電子メール内のユーザからの電子メールを指定します。 |
|
|
プロビジョニング電子メールを使用しているSMTP電子メールホストを指定します。 これは、IPアドレスまたはDNS名が可能です。 |
|
パスワード管理 |
|
|
|
この機能によって、外部の[パスワードを忘れた場合]のWarにある[パスワードを忘れた場合]ページと、外部の[パスワードを忘れた場合]のWARがWebサービスを経由してユーザアプリケーションを呼び戻すのに使用するURLを指定できます。 を選択する場合は、 および に値を指定する必要があります。 /jsps/pwdmgt/ForgotPassword.jsf(最初はhttp(s)プロトコルなし)。 これは、ユーザを、外部WARではなく、ユーザアプリケーションに組み込まれた[パスワードを忘れた場合]機能にリダイレクトします。 を選択しない場合は、デフォルトの内部パスワード管理機能が使用されます。 |
|
|
このURLは[パスワードを忘れた場合]機能ページを指します。 外部または内部のパスワード管理WARにあるForgotPassword.jsfファイルを指定します。 詳細については、パスワードWARの使用を参照してください。 |
|
|
|
外部のパスワード管理WARを使用している場合は、外部の[パスワード管理WAR]がWebサービス、たとえばhttps:// idmhost:sslport/idm を経由してユーザアプリケーションを呼び戻すのに使用するパスを指定します。 |
その他 |
|
アプリケーションセッションのタイムアウト。 |
|
クライアントインストールがOn-Line Certificate Status Protocol (OCSP)を使用する場合は、Uniform Resource Identifier (URI)を指定します。たとえば、フォーマットはhttp://host:port/ocspLocalです。OCSP URIによって、トラステッド証明書オンラインの状態は更新されます。 |
|
|
許可環境設定ファイルの完全修飾名。 |
|
コンテナオブジェクト |
|
使用する各コンテナオブジェクトタイプを選択します。 |
|
地域、国、部門、組織、およびドメインの規格コンテナから選択します。iManager内で自分のコンテナを定義でき、これを[ ]の下に追加できます。 |
|
|
コンテナオブジェクトタイプに関連する属性タイプ名をリストします。 |
|
|
コンテナとして使用できる識別ボールトからオブジェクトクラスのLDAP名を指定します。 コンテナの詳細については、『Novell iManager 2.6管理ガイド』を参照してください。 |
|
|
コンテナオブジェクトの属性名を指定します。 |
メモ:インストール後には、このファイルでほとんどの設定を編集できます。 編集するには、インストールサブディレクトリにあるconfigupdate.shスクリプトまたはWindows configupdate.batファイルを実行します。クラスタ内でこれを記憶します。このファイルの設定はクラスタのすべてのメンバーで同じである必要があります。
設定で環境設定を完了したら、[OK]をクリックして、セクション 4.16, 選択を確認してインストールに進みます。