EIM の構成

エンタープライズ ID 管理 (EIM) は、企業内の個人やエンティティーを、企業内のさまざまなレジストリーにある適切なユーザー ID にマップする (つまり関連付ける) メカニズムです。EIM により、管理者やアプリケーション開発者は、企業内の複数のユーザー・レジストリーを容易かつ効率的に管理することができます。複数のユーザー・レジストリーがある場合は、企業内の各ユーザーやエンティティーは、レジストリーごとに別々の ID が必要になります。複数のユーザー・レジストリーが必要になると、ユーザー、管理者、およびアプリケーションの開発者に影響を及ぼす、大きな管理上の問題が生じる可能性があります。

EIM により、企業内の個人に対するさまざまなユーザー・レジストリーにあるさまざまなユーザー ID 間で、アソシエーションと呼ばれる ID マッピングのシステムを作成することができます。EIM はまた、一組の API も提供します。これは、ユーザー ID 間の関係を調べるために作成する ID マッピングを使用できるアプリケーションを開発するために複数のプラットフォーム間で共通に使用できるものです。EIM をネットワーク認証サービス (NAS) と一緒に使用して、シングル・サインオン環境を使用可能にできます。

保護されたアプリケーションの場合は、IBM i システムでプログラムを実行するようにユーザーが LDAP レジストリーに対して認証されます。シングル・サインオンを使用するには、2 つのアソシエーション (LDAP レジストリーへのソース・アソシエーション、およびプログラムを実行する IBM i システムへのターゲット・アソシエーション) を持つ EIM の ID を作成する必要があります。

IBM i ナビゲーターによって EIM を構成および管理することができます。 IBM i サーバーは、EIM を使用して、NAS を使用しているユーザーを IBM i インターフェースが認証できるようにします。EIM を構成するには、以下のステップが必要です。
  1. EIM ドメインの作成
  2. ドメイン管理へのドメインの追加
  3. EIM のソース・ユーザー・レジストリー定義の作成
  4. EIM のターゲット・ユーザー・レジストリー定義の作成
  5. EIM のユーザー ID の作成する
  6. ユーザー ID に対する EIM のアソシエーションの作成

EIM を構成するには、以下のステップに従ってください。

  1. IBM i ナビゲーターの左側のナビゲーション・パネルから、「ご使用のシステム」 > 「ネットワーク」 > 「エンタープライズ ID マッピング」 > 「ドメイン管理」 > 「ドメイン」 > 「構成」を選択します。
  2. 「構成」オプションを右クリックして選択します。すると、EIM ドメインを作成し、ご使用のシステムをそのドメインに参加させる構成ウィザードが開始されます。

    次に、新規ドメインをドメイン管理に追加します。

  3. IBM i ナビゲーターの左側のナビゲーション・パネルから、「ご使用のシステム」 > 「ネットワーク」 > 「エンタープライズ ID マッピング」 > 「ドメイン管理」を選択します。
  4. 「ドメインの追加」オプションを右クリックして選択します。すると、作成したドメインをドメイン管理に追加する構成ウィザードが開始されます。

    ID トークン・コネクターには、WAS が認証のために使用しているレジストリー (ローカル OS レジストリーまたは LDAP レジストリーのいずれか) を表す EIM のソース・ユーザー・レジストリー定義エントリーが必要になります。

  5. IBM i ナビゲーターの左側のナビゲーション・パネルから、「ご使用のシステム」 > 「ネットワーク」 > 「エンタープライズ ID マッピング」 > 「ドメイン管理」 > 「ドメイン」 > 「ユーザー・レジストリー」を選択します。
  6. 「レジストリーの追加」オプションを右クリックして選択します。すると、ドメインにレジストリーを追加する構成ウィザードが開始されます。アプリケーション・サーバーは LDAP レジストリーを使用するように構成されているので、EIM レジストリー・タイプとして LDAP - ショート・ネームを選択してください (LDAP - ショート・ネームが使用可能でない場合は、1.3.18.02.33.14-caseIgnore を使用します)。 ここで指定した名前 (例えば、System_A_WAS) は、WAS セキュリティーの構成時も使用されます。

    ID トークン・コネクターには、アプリケーションのユーザーを表す EIM のユーザー ID エントリーが必要になります。

  7. IBM i ナビゲーターの左側のナビゲーション・パネルから、「ご使用のシステム」 > 「ネットワーク」 > 「エンタープライズ ID マッピング」 > 「ドメイン管理」 > 「ドメイン」 > 「ID」を選択します。
  8. 「新規 ID...」を右クリックして選択します。
  9. ユーザーのフルネーム (例えば、John Day) などの ID 名を入力し、「OK」をクリックします。

    あるユーザー ID から他のユーザー ID へのマッピングをサポートするには、EIM のアソシエーションを作成する必要があります。これらのアソシエーションは、LDAP レジストリーで認証されたユーザーを、IBM i システムでのアプリケーションの実行に必要なユーザー・プロファイルにマップするものです。

  10. ターゲット IBM i システム上のユーザー・プロファイルを表すターゲット・アソシエーションを作成します。
    1. IBM i ナビゲーターの左側のナビゲーション・パネルから、「ご使用のシステム」 > 「ネットワーク」 > 「エンタープライズ ID マッピング」 > 「ドメイン管理」 > 「ドメイン」 > 「ID」を選択します。
    2. 関連付けたいユーザーの ID をダブルクリックします。
    3. 「アソシエーション」タブをクリックします。
    4. 「追加」をクリックし、ターゲット・アソシエーションの次の値を入力します。
      • EIM ID - この例では、John Day が事前に入力されています。
      • レジストリー - ターゲット・レジストリー (例えば、System_B)。
      • ユーザー - ターゲット・レジストリー内のユーザー ID (例えば、jsd1)。
      • アソシエーション・タイプ - 「ターゲット」を選択します。
    5. OK」をクリックします。 このターゲット・アソシエーションは、アプリケーションを実行する際に使用されるユーザー ID およびレジストリーを表します。
  11. WAS に対する認証 (ログイン) の際に使用されるユーザー ID を表すソース・アソシエーションを作成します。
    1. 「追加」をクリックし、ソース・アソシエーションの次の値を入力します。
      • EIM ID - この例では、John Day が事前に入力されています。
      • レジストリー - ソース・レジストリー (例えば、System_A_WAS)。
      • ユーザー - ソース・レジストリー内のユーザー ID (例えば、johnday)。
      • アソシエーション・タイプ - 「ソース」を選択します。
    2. 「OK」をクリックして新規アソシエーションを追加します。 このソース・アソシエーションは、WebSphere® Application Server に対して認証されるユーザーを表します。
  12. 「OK」をクリックしてアソシエーションを保存します。