委任管理サービス API
ディレクトリ管理は stmndr ユーザ ディレクトリ内のオブジェクトを管理することから構成されます。たとえば、ディレクトリ管理アプリケーションのユーザは組織を作成し、組織にグループを追加し、グループにエンド ユーザを追加できます。アプリケーションは、DMS API でディレクトリ管理操作を実行します。
sm1252sp1jjp
ディレクトリ管理は
CA Single Sign-on
ユーザ ディレクトリ内のオブジェクトを管理することから構成されます。たとえば、ディレクトリ管理アプリケーションのユーザは組織を作成し、組織にグループを追加し、グループにエンド ユーザを追加できます。アプリケーションは、DMS API でディレクトリ管理操作を実行します。分散代行管理サービス(DMS) API を使用すると、LDAP および ODBC ディレクトリ上でディレクトリ管理操作を実行できます。
LDAP ディレクトリでは、特定の権限を持つユーザが以下のタスク(これだけに制限されない)を実行するのを許可するクライアント アプリケーションを記述するのに DMS API を使用できます。
- 組織の作成
- グループの作成
- 組織へのグループの追加
- グループへのユーザの追加
- ユーザのプロファイルの変更
ODBC ディレクトリでは、多くの DMS API 操作を実行できますが、一部の操作は実行できません。
注
: DMS API (Java のみで利用可能)の機能は、DMS Workflow API (C/C++ のみで利用可能)とは異なっています。DMS API を使用すると、CA Single Sign-on
DMS 製品と同様の操作を実行するディレクトリ管理アプリケーションを開発できます。DMS Workflow API は、DMS と共に動作し、特定のプリプロセスおよびポストプロセス DMS イベントが発生した場合に起動します。これにより、これらのイベントの前または後に追加の機能を実行するアプリケーションを開発できます。DMS API には、ポリシー サーバへのローカルまたはリモート アクセス タイプがあります。
必要な JAR ファイル
JAR ファイル smjavasdk2.jar は委任管理アプリケーションの構築および実行に必要です。JAR ファイルは以下の場所に保存されます。
- Windows プラットフォーム:<install_path>\sdk\java
- UNIX プラットフォーム:<install_path>/sdk/java
CA Single Sign-on
ユーザ ディレクトリCA Single Sign-on
ユーザ ディレクトリは、大規模のエンティティ(企業など)内の単一の組織単位(エンジニアリングまたは人事など)の概念的なビューです。ユーザ ディレクトリは、ディレクトリをより小さく、管理しやすい、論理的に関連するセグメントに分けることで、ディレクトリ構造全体の管理を簡素化します。カスタム DMS アプリケーション内のメソッドは、一意の組織 DN を指定することで、特定のユーザ ディレクトリを参照します。組織 DN は、ユーザ ディレクトリの反転されたツリー構造のルートまたはトップレベル、またはサブレベルのいずれかをポイントします。
DMS 要求はすべて組織 DN を参照します。以下の図では、2 つのユーザ ディレクトリが破線のボックスで囲まれています。ディレクトリは、組織 DN の ou=eng、o=swdev.com (エンジニアリング組織単位を表す)、および ou=hr、o=swdev.com (人事組織単位を表す)で識別されます。

CA Single Sign-on
ユーザ ディレクトリは他の CA Single Sign-on
ユーザ ディレクトリ内に存在できます。前の図で、エンジニアリング組織単位内には 3 つの CA Single Sign-on
ユーザ ディレクトリがあります。これらには属性および組織名 ou=dev、ou=qa および ou=doc があります。人事組織単位内には、ou=benefits および ou=recruit の 2 つの CA Single Sign-on
ユーザ ディレクトリがあります。CA Single Sign-on
ユーザ ディレクトリ コンテナ通常、
CA Single Sign-on
ユーザ ディレクトリ内の組織 DN には 1 つ以上のサブ DN があります。サブ DN には情報のリストが含まれるため、「コンテナ」とも呼ばれます。これらのコンテナのデフォルトの名前、およびそれらに含まれる情報は次のとおりです。- people --Siteminder ユーザ ディレクトリ内のエンド ユーザ。
- roles -- ユーザ ディレクトリで使用されるロール。
- groups -- ユーザ ディレクトリで使用されるグループ。
- orgadmin-- 組織単位を管理できる管理者に対するグループ。
サブ DN はクラス SmDmsConfig によって管理されます。SmDmsConfig オブジェクトを作成する場合、デフォルトの サブ DN名を維持するか、または新しい名前を割り当てることができます。
組織管理者は orgadmin コンテナでリスト表示されます。階層組織では、特定の orgadmin コンテナにリストされる組織管理者は、そのコンテナと関連付けられる組織単位およびその下のあらゆる組織単位を管理することができます。
属性ベースの委任
階層組織に加えて、DMS はまた、フラットなディレクトリ構造を実装したサイトに対して管理モデルを提供します。このモデルでは、委任は階層レベルの代わりにユーザ プロファイル内の属性に基づいています。
フラットなディレクトリで、DMS は属性/値のペアをユーザ プロファイルに追加し、ユーザをグループ化します。一度ユーザがグループ化されたら、別の属性/値のペアがどのユーザがグループを管理できるかを決定します。
DMS はユーザ プロファイルに属性/値ペアを追加することで、ユーザを組織にグループ化します。たとえば、組織 East Bank に属するユーザがプロファイルに
ou
=East Bank という属性/値ペアを持つとします。ここで ou
はユーザが所属する組織を示す属性です。組織管理者は、組織管理者のプロファイルにリストされる組織のみを管理できます。組織のリストは、SmDmsConfig コンストラクタで指定するプロファイル属性に割り当てられます。たとえば、組織管理者が管理できる組織を含む属性として departmentnumber を指定した場合、属性/値のペア
departmentnumber
=East Bank は、組織の管理者が East Bank 組織のみを管理できることを意味しています。以下の図は、属性ベースの委任が実装される方法について説明しています。

この例では、Donna Gibson は East Bank および North Bank の組織管理者です。Edward Johnson および Carrie Winham は Donna のユーザ プロファイル内の departmentnumber 属性にリストされる組織に属するため、Donna による管理が可能です。
属性ベースの委任の設定
SmDmsConfig コンストラクタ内の属性ベースの委任を有効にする属性を指定します。以下の情報を識別するのに 3 つの属性が必要です。
- 組織管理者としてのユーザ。この属性は、LDAP ディレクトリ内の、他の情報の保存に使用していない任意の属性、たとえば o とすることが可能です。以下の例のように、コンストラクタのOrgAdminSubDnパラメータを通してユーザを組織管理者として指定できます。OrgAdminSubDn="(title=OrgAdmin)";
- 組織管理者が管理できる組織。デフォルトで、DMS は管理された組織の保存に departmentnumber 属性を使用します。コンストラクタのOrgAdminOrgsパラメータによってこの属性を指定します。たとえば、以下のようにします。OrgAdminOrgs="departmentnumber";
- ユーザが属する組織。デフォルトで、DMS は ou 属性を使用します。コンストラクタのDnOrgsパラメータによってこの属性を指定します。たとえば、以下のようにします。DnOrgs="ou";
DMS ユーザ
DMS ユーザには、ディレクトリ管理権限の以下のカテゴリのいずれかが割り当てられます。カテゴリは、低いものから高いもの順番で以下にリストされています。
- エンド ユーザ -- ユーザのパスワードの変更およびユーザがメンバーであるロールの表示(追加はできません)などのエンド ユーザ自身のアカウントに関する特定の情報を管理できます。
- 組織管理者 -- 全組織およびその下の任意の組織を管理できます。
- CA Single Sign-on管理者 - 1 つ以上のドメイン内のディレクトリを管理できます。CA Single Sign-on管理者権限はさまざまです。DMS では、管理者はシステム レベルのユーザ管理権限が必要で、少なくとも 1 つのドメインの中に存在する必要があります。
- スーパー管理者 -- すべてのドメインのディレクトリをすべて管理できます。
DMS ユーザの異なるカテゴリにログインするには異なる login() メソッドを使用します。