問題タブ [identity-management]

ご存じない方のために説明すると、Lotus Notes は優れたシステムであり、非常に強力なデータベース複製機能と、非常に強力な証明書管理と署名を備えています。

ただし、その強力な証明書の使用自体は、Notes の欠点の 1 つです。

Notes クライアント経由で Lotus Notes にログインする場合、使用するパスワードはどこにも保存されません。ただし、ローカル ワークステーションの Notes ID ファイルに保存されている秘密鍵の暗号化/復号化キーとしてのみ使用されます。

これが意味することは、このファイルの 15 のコピーを 15 の異なるパスワードで持つことができ、一致するパスワードを持っている限り、それぞれが有効であるということです。

ID 管理システムの場合、パスワード変更イベントにアクセスするためのサーバー側コンポーネントがなく、完全にクライアント ベースであり、サーバーはそれが発生したことをほとんど通知できないため、これはかなりの障害となります。

私が聞いた噂によると、Lotus Notes/Domino の今後のリリースでは、この ID ファイル ベースの認証が変更され始めています。

何が、どのように、どのバージョンで変更されているかについて、明確な説明を見つけるのに苦労しています。(8.5? 9? 後?)

この質問の 2 番目の部分は、Active Directory 統合に関して何が起こっているかということです。IDファイル認証の代わりにAD認証が使えるようになるのではないかと噂されています。その点についての私の推測では、サーバーに保存されている ID ファイルは引き続き認証に使用されますが、Active Directory 認証が成功すると、アクセスのロックが解除されますか? それとも他のモデルですか？

すでにこれを理解している誰かの視点を探しています！

余談ですが、Notes の Web メールにアクセスするときに使用される 2 番目のパスワード (httpPassword) があります。これは、もちろん、ユーザーが認証するときにサーバーがローカル ID ファイルにアクセスできないためです。これは、他の形式の認証に移行するモデルであると想定していますが、ご存知のように、それは悪い計画です!

対応するFacebookアプリと強く結びつくサイトで働き始めています。コンテンツをすべての人が無料で閲覧できるようにしたいのですが、登録ユーザーのみがコンテンツを編集できます（実際にはserverfaultと非常によく似ています）。

私のユーザーのほとんどはFacebookにログインすると思うので、Open-Id登録がここで機能するのと同じように、Facebookの資格情報を使用して自分のサイトにログインしたいと思います。

これはできますか？

ありがとう、

ウディパスモン

Salesforce.com 用の Novell Identity Manager ドライバを開発しており、Salesforce.com プラットフォームをよりよく理解しようとしています。

私は今まで本当に良い成功を収めてきました。SFDC からほとんど任意のオブジェクト クラスを読み取り、それらの eDirectory オブジェクトを作成できます。これはすべて完了し、うまく機能しています。(パブリッシャー チャネル)。クエリ イベントをマッピングすると、ほとんどすべてがパブリッシャー チャネルで機能し始めました。

現在、eDirectory で変更が発生したときにイベントを SFDC (加入者チャネル) に送り返す作業を行っています。

私は SOAP API で upsert() 関数を使用しています。Novell Identity Manager を使用すると、基本的に SOAP ドキュメントを作成し、作成した結果を確認できます。(XSLT で実行するか、さまざまな許可されたトークンを使用して、DirXML スクリプトでドキュメントを作成できます。私はこれまでのところうまく機能している DirXML スクリプトを使用しています。)

そのコメントの結論は、SOAP ドキュメントを作成して、それを見て、正しく理解していることを確認できるということです。これは通常、サンプル コードが通常提供する Java/C++ アプローチとは異なります。この方法ではるかに視覚的に。

upsert() について、私が完全には理解していないことがいくつかあります。そのようなイベントが発生した場合、値を空白にする方法を知っています。ノード内に、次の<urn:sObjects>ようなノードを追加します (名前空間が既に宣言されていると仮定します)。

<urn1:fieldsToNull>FieldName</urn1:fieldsToNull>

値 (AttrValue) を属性 (FieldName) に追加する方法を知っています。次のようなノードを追加します。

<FieldName>AttrValue</FieldName>

これはすべて機能し、非常に簡単です。

私が持っている質問は、SFDC の値を多値にできるかということです。eDirectory では、変更される複数の値を持つ属性は、次の 2 つの方法で発生する可能性があります。

• すべての値を削除して、新しいセットを再度追加できます。
• 削除された単一の値は、その種のイベント (remove-value) として送信されるか、1 回の操作で多くの値が削除されます。

SFDC を見ると、単一のエントリ : または ; に格納されているように見えるマルチピックリスト属性しか表示されません。区切られています。SFDC で異なる方法で管理される別の種類の多値属性はありますか? もしそうなら、SOAP API を介してどのように操作するのでしょうか?

これらの複数選択リストを単一の文字列にマップするか、文字列の複数値属性にマップするかを決定する必要があります。最初の方法の方が簡単で、2 番目の方法の方が便利です...うーん...選択肢...

参考文献:

• ドキュメントがどのように見えるべきかを理解するために、サンプル SOAP メッセージのページを使用してきました。
• Apex Explorerは、データベースを参照してクエリをテストするためのキック ツールです。DBVisualizerが JDBC 接続データベースに対して行うのと同じように。これがなかったらもっと大変だったでしょう！
• SoapUiも必要で、素敵なツールです!

(この質問はプログラミングに関するものではなく、プログラミングを避ける方法に関するものです。また、ここには多くの用語が含まれています。答えを知っている人は、その意味をすでに知っていると思います。)

背景: 「フェデレーション ID」を使用する環境でシングル サインオンに取り組んでいます。フェデレーション対応の製品がいくつかあり (WS-Federation または SAML プロトコルを使用し、.NET 上の WIF や Java 上の Fedlet などで実装されます)、それらは SaaS モデルを使用して顧客に提供されます。これらの顧客の多くは、ユーザー名/パスワードの独自のストアを持っていないため、「ID プロバイダー」を自分で実行することはありません。

質問: そのような製品はありますか?

• SaaS プロバイダーにインストールできます。

• SaaS 提供のアプリケーションに対して IdP/STS (つまり、フェデレーション環境での ID プロバイダー) の役割を果たします。

• SaaS 顧客 (「テナント」) ごとに個別に、独自のユーザー名/パスワード ストアがあります。

• SaaS プロバイダーの支援を必要とせずに、SaaS の顧客が独自のユーザー管理を行うことができます。

(たとえば、ユーザー管理画面を備えた WIF 上のカスタム STS として、これを自分で構築することもできますが、それを避けようとしています。実際には、それは私たちのコア ビジネスではありません。)

IdentityManagerとシームに問題があります。私は私の問題を説明します：

私のアプリケーションには、役割に権限を追加するためのページがあります。保存する方法は次のとおりです。

この方法ではすべて正常に機能します。権限がデータベースに追加されます。

ただし、保存権限を取得した後、アプリケーションは、権限を持つ役割を一覧表示するページでユーザーをリダイレクトします。

このページでは、新しい権限は表示されません。問題を調査した後、identityManagerがデータベースから権限をロードしていないようです。

だから私の質問は：

IdentityManagerを更新して、データを強制的に更新するにはどうすればよいですか？

ありがとう。

Identity Management や IDm を提供するフレームワークについてよく耳にします。しかし、それは正確には何ですか？PKIと比較した場合の違いは何ですか? なぜ IDM ソリューションを提供する企業がこれほど有利なのか? 最終的に、そのようなソリューションを提供する暗号化についてほとんどの人が知っていることではないでしょうか?

Active Directory パスワード同期エージェントは、Tivoli Identity Manager アプリケーションと統合されたエンタープライズ アプリケーションとパスワードを同期するために IBM tivoli が提供するツールです。このエージェントは、インフラストラクチャーのすべてのドメイン コントローラーにインストールされます。ユーザーまたは管理者がパスワードを変更するたびに、このモジュールは単純なパスワードを取得し、それを tivoli ID マネージャー プラットフォームに送信します。この Active Directory パスワードの場合、同期エージェントは ITIM (IBM tivoli ID Manager) ユーザーとその資格情報を使用して、パスワードを ITIM に伝搬します。また、ITIM には、パスワードが数日で期限切れになるというパスワード規則があります。この AD エージェントの ITIM ユーザーも、有効期限が切れたときに変更する必要があります。

テスト システムでは、ITIM でユーザーのパスワードを変更し、AD パスワード エージェントを新しいパスワードで構成するだけです。

運用システムで、このパスワードの変更をすべての Active Directory ドメインに伝達する方法はありますか? この状況をどのように処理しますか?

ユーザーアカウントの作成と認証を処理するためにSeamIdentityManagerとコンポーネントを活用するJBossSeamアプリがあります。JpaIdentityStore私のcomponents.xmlファイルは正しく設定さIdentityManagerれており、問題なくアカウントを作成するために使用できます。

アカウントの有効化/無効化など、基本的なアカウントのメンテナンスを実行できるページを作成しました。isUserEnabled(String username)ただし、でメソッドを呼び出すと、IdentityManager常にfalseが返されます。の対応するメソッドJpaIdentityStoreもfalseを返します。データベースでアカウントが有効になっていることがわかりますが、両方とも発生します。私のユーザーアカウントクラスには、次のように注釈が付けられています。

クラスの他の側面IdentityManager（パスワードの変更、アカウントの作成/削除など）に問題はありません。発生する唯一のエラーは、ユーザーが有効かどうかを判断しようとしたときです。例外やエラーメッセージは表示されません。間違った結果が返されるだけです。

他の誰かがこれに遭遇しましたか？この問題のトラブルシューティングを開始するための最善の方法はありますか？

編集：いくつかの追加情報...

を呼び出すとdisableUser(String username)、データベースがENABLED列にそれを反映しているのが実際にわかります。さらに、電話をかけるとenableUser(String username)、アカウントが有効になっていることがすぐにわかります。ただし、別のページに移動してから戻って電話をかけるとisUserEnabled()、それでもfalseが表示されます。

Oracle OIM 11g api (パッケージ oracle.iam 内) を使用しています。クラス oracle.iam.platform.OIMClient を使用して、UserManager などのすべての OIM クライアント サービスを取得します。

プロビジョニング ワークフローで取得したリソースを見つける必要があります。どのサービスを利用できますか? OIM API を使用するにはどうすればよいですか?

Microsoft azure と .net を使用して、ロール ベースのアクセス制御を備えた ID 管理システムを構築しようとしています。

誰かがそれについていくつかの指針を提供できるかどうか疑問に思っていました. 管理者などのユーザーの役割に応じたアクセス制御を使用して、認証を設定したいと考えています。

どんな助けでも大歓迎です。