このトピックでは、Tivoli® Federated Identity Manager (TFIM) V6.1 を使用して許可を行えるように Tivoli Access Manager (TAM) を構成する方法について説明します。
TFIM からの許可要求を処理するように TAM を構成するには、以下のステップを実行します。 ここでは、TAM バージョン 6.01 pdadmin ユーティリティーの場合を例としてとりあげます。
- TFIM 許可モジュールで使用する action group が使用可能かどうかを確認します。 使用するアクション・グループは WebService です。
action group list
WebService がリストされない場合は、次のようにして作成します。
action group create WebService
- TFIM 許可モジュールで使用するアクション・グループの action を表示します。 使用するアクションは "i" です。
action list WebService
アクション "i" <label> 0 がリストされない場合は、作成します。 <label> の値は変更できます。
action create i <label> 0 WebService
- 1 つ以上のメッセージ・フローにアクセス権限を付与する際に使用する Access Control List (ACL) を作成します。 最初に ACL を作成してから、それに管理者権限を付与します。 この例では、iv-admin が管理グループで、sec_master がメインの管理者です。
acl create <AclName>
acl modify <AclName> set Group iv-admin TcmdbsvaBRxl[WebService]i
acl modify <AclName> set User sec_master TcmdbsvaBRxl[WebService]i
- すべての認証済みユーザー、または特定のグループへのアクセス権限の付与は、それらを ACL に追加することによって行います。 任意の認証済み ID にアクセス権限を付与するには、次のようにします。
acl modify <AclName> set Any-other Trx[WebService]i
特定のグループを追加する場合は、次のようにします。
acl modify <AclName> set group <GroupName> Trx[WebService]i
- TAM 内の保護オブジェクト・スペースをメッセージ・フローの許可用に定義します。
- 保護オブジェクト・スペースのルートとして、application container object を作成します。 この名前は、TFIM AuthorizationSTSModule のインスタンス (モジュール・チェーン内) を TAM オブジェクト・スペースへリンクさせるのに使用されます。 コンテナー・オブジェクト名は、TFIM 許可モジュールの Web Service protected object name パラメーターと一致するように指定します。
objectspace create /<ContainerObjectName> <Description> 14
- 許可の処理が実行中の各ブローカー・メッセージ・フローのツリー内に、コンテナー・オブジェクトを作成します。 TFIM は、付加された ACL を介し、メッセージ・フロー名を使用して TAM オブジェクト・スペース・ツリー内で許可のポイントを特定します。 メッセージ・フロー名は、WS-Trust 要求の PortType として TFIM に渡されます。 許可する各フローを表すオブジェクト・ツリー・ノードを作成するには、次のコマンドを使用します。
object create /<ContainerObjectName>/<FlowName> <Description> 11 ispolicyattachable yes
ispolicyattachable パラメーターはすべてのレベルに適用されるため、ACL はどのレベルに付加することもできます。
- メッセージ・フローへのアクセス権限を付与する許可オブジェクトを表す、リーフ・オブジェクトを作成します。 これは、WS-Trust 要求への TFIM OperationName 拡張を介してブローカーから TFIM に送信される、固定ストリング MessageFlowAccess です。 入力ノード側のブローカーからはフローが実行しようとしている操作が分からないことがあるため、
実際の操作名の代わりに固定の名前 (MessageFlowAccess) が使用されます。
コマンド構文は次のとおりです。
object create /<ContainerObjectName>/<FlowName>/MessageFlowAccess <Description> 12 ispolicyattachable yes
<FlowName> は、直前のステップで作成したものを示します。
- 保護オブジェクト・スペース・ツリー内の関係するノードに ACL を付加します。 オブジェクト・スペース内の各ノードは親から ACL を継承し、低いレベルの ACL は高いレベルの ACL をオーバーライドすることがあります。 オブジェクト・スペース内のノードに ACL を付加するには、次のコマンド構文を使用します。
acl attach /<ObjectSpacePath> <AclName>
リーフ・ノードに ACL を付加するには、次のようにします。
acl attach /<ContainerObjectName>/<FlowName>/MessageFlowAccess <AclName>