プロビジョニングマニュアル¶
1. 概要¶
本書は、ID管理システム(IAM)である「midPoint」を用いた、ユーザーおよび組織情報の効率的なデプロイ手順、ならびに「IDApex IAM」との連携による認証基盤の統合構築手法について解説したマニュアルです。
アイデンティティ管理の中核となるmidPointと、認証・認可の標準プロトコルに対応したIDApex IAMを組み合わせることで、高度なガバナンスと利便性を両立したID管理環境の迅速な立ち上げを目的としています。
1.1 目的¶
エンタープライズ環境において、多数のユーザーや複雑な組織構造を正確かつ迅速に管理システムへ反映することは、運用負荷およびセキュリティの観点から極めて重要です。
以下の3点を主な目的としてID連携システムの構築を行っています。
- 効率的なデータデプロイの実現 CSV等のフラットファイルや簡易的なコネクタを活用し、大量のユーザー・組織データをmidPointへ一括登録する最短の手順を確立します。
- 認証基盤(IDApex IAM)とのシームレスな連携 midPointを「情報のソース(信頼できる情報源)」、**IDApex IAM**を「認証の入り口」として位置づけ、両者を連携させることでシングルサインオン(SSO)環境の土台を構築します。
- 統合的なパスワード・ライフサイクル管理 midPoint上で一元管理されたパスワード情報を**IDApex IAM**へ同期することにより、ユーザーの利便性を損なうことなく、一貫したパスワードポリシーの適用とセキュアなアカウント運用を実現します。
1.2 前提条件¶
本書記載の作業を開始するための前提条件です。
インターネットに接続されていること。
midPointの管理画面にログインできること。
1.3 全体の流れ¶
本システムのデプロイメントは、定義情報のインポートから始まり、データ連携、外部基盤へのプロビジョニングへと段階的に実施します。全体のフローは以下の通りです。
1. 設定情報のインポート(スキーマ・リソース定義)
まず、midPointの管理環境を構築するための定義ファイル(XML形式)をインポートします。これに
より、ユーザー属性の拡張や、CSVおよびIDApex IAMと通信するためのリソース設定がシステム内
に構成されます。
2. ソースデータの準備とアップロード
登録対象となるユーザーおよび組織情報を記載したCSVデータを作成します。作成後、専用のバッチ
ファイルを実行することで、ローカル環境からmidPointサーバーの特定ディレクトリへ安全にファ
イルアップロードを行います。
3. midPoint オブジェクトの生成(インバウンド同期)
midPointの管理画面(UI)よりインポート・タスクを実行します。システムがアップロードされたCSV
ファイルを読み取り、各行のデータを「ユーザー」および「組織」オブジェクトとしてリポジトリ内へ
自動生成・登録します。
4. IDApex IAM連携と外部プロビジョニング(アウトバウンド同期)
生成された組織オブジェクトに対して、IDApex IAM連携用のコネクタ(プロジェクション設定)を
付与します。これにより、midPoint上のユーザー情報およびパスワード情報がIDApex IAMへリアル
タイムで連携され、認証基盤としての利用が可能となります。
2. プロビジョニングの前準備¶
ここではmidPointにプロビジョニングするのに必要なリソースをデプロイするため、
XMLファイルのインポート方法について説明します。
2.1 XMLファイルのインポート¶
- midPointのUI画面にログインします。
-
「オブジェクトのインポート」を開きます。
-
「ファイルの選択」を押下し、インポートするXMLファイルを選択します。
- 「オブジェクトのインポート」を押下します。 インポートが必要なXMLファイル一覧を下記にまとめた。
表2-1
| XMLファイル名 | 種類 | 説明 |
|---|---|---|
| TASK-IMPORT-USER-CSV-UT.xml | タスク | ユーザーのmidPointへのインポート用タスク |
| TASK-IMPORT-ORG-CSV-TEST1-UT.xml | タスク | 組織のmidPointへのインポート用タスク |
| ReconciliationTask-RES-KC-USER-R-TEST1-UT.xml | タスク | midPointからIDApex IAMへのデータ再読み込み用タスク |
| TASK-Cleanup.xml | タスク | クリーンアップ用タスク |
| TASK-Recomptation.xml | タスク | 再計算用タスク |
| TASK-SBA-COMMON-CSV-WRITE.xml | タスク | オブジェクトからCSVファイルを書き出す処理 |
| TASK-DISABLED-USER-CLEANUP | タスク | ユーザーが無効化されている場合、無効化されてから一定の日が経過したものを自動削除。定期的に実行する運用を想定。 |
| RES-CSV-USER-TEST1-UT.xml | リソース | ユーザーデータ用リソース |
| RES-CSV-ORG-TEST1-UT.xml | リソース | 組織データ用リソース |
| RES-KC-USER-R-TEST1-UT.xml | リソース | midPointからIDApex IAMへのデータコネクタ |
| ROLE-BR-SYS-CSVUPLOAD.xml | ロール | CSVアップロード許可を持つロール |
| SA-kanri.xml | ユーザー | CSVアップロードAPI実行用サービスアカウント |
3. CSVファイルのインポート¶
ここではmidPointにプロビジョニングするユーザー及び組織情報をまとめるCSVファイルの作成について説明します。
3.1 インポートするCSVファイルの作成¶
下記CSVファイルを作成します。
列名を下記一覧にまとめております。
CSVファイル①: users-ut.csv ※ユーザーデプロイ用CSVファイルになります。
表 3-1
| 列 | 説明 |
|---|---|
| 社員番号 | midPoint、IDApex IAM内部でユーザー識別のために割り当てる番号をご記載ください。 |
| 例: HR0001 | |
| 姓 | 姓を漢字でご記載ください。 |
| 名 | 名前を漢字でご記載ください。 |
| 姓カナ | 姓をカタカナでご記載ください。 |
| 名カナ | 名前をカタカナでご記載ください。 |
| 生年月日 | YYYY-MM-DDでご記載ください。 |
| 入社日 | YYYY-MM-DDでご記載ください。 |
| 退職日 | YYYY-MM-DDでご記載ください。 |
| 性別 | 男性もしくは女性を記載してください。 |
| メールアドレス | ご自身で使用されているメールアドレスをご記載ください。 |
| 部門コード1 | 組織に割り当てているコードをご記載ください。 |
| 役職コード1 | 組織に割り振られている役職コードをご記載ください。 |
| 所属開始日1 | 組織に所属を開始した日付をご記載ください。 |
| 部門コード2 | 組織に割り当てているコードをご記載ください。 |
| 役職コード2 | 組織に割り振られている役職コードをご記載ください。 |
| 所属開始日2 | 組織に所属を開始した日付をご記載ください。 |
CSVファイル②: org-ut.csv ※組織デプロイ用CSVファイルになります。
表 3-2
| 列 | 説明 |
|---|---|
| 部門コード | midPoint内で識別するために、 |
| 部門に割り振るコードをご記入ください。 | |
| 部門名 | 例: 営業第一課 |
| 親部門コード | 例: 2001 |
3.2 スクリプトの実行¶
- MpCsvApi.exeをダウンロードしてください。
- 下記のファイルを同じフォルダー内に格納してください。
| 列 | 説明 |
|---|---|
| users-ut.csv | ユーザー情報をまとめております。 |
| org-ut.csv | 組織情報をまとめております。 |
| MpCsvApi.exe | MidPointサーバーにユーザー、組織CSVを格納するためのスクリプトです。 |
- PowerShellを起動し、MpCsvApi.exeの存在するフォルダーに移動してください。
- 下記のコマンドを一部置き換えて実行してください。
Note
※ユーザー用CSV、組織用CSVでそれぞれ実行します。
.\MpCsvApi.exe --host "https://midPointtenant5.XXXX.com" --port 443 --csv "./users-ut.csv" -out "users-ut.csv" --auth "administrator:TestUser12345"
表 3-4
| オプション | 入力内容 | 例 |
|---|---|---|
| --host | midPointのURL ※変更対象 | https://midPointtenant5.XXXX.com |
| --port | ポート番号 | 443 |
| --csv | ユーザーCSV | ./users-ut.csv ./org-ut.csv |
| -out | 同名CSV | users-ut.csv org-ut.csv |
| --auth | ユーザー名: PW ※変更対象 | administrator:TestUser12345 |
下記のようになれば、完了です。
3.3 タスク実行¶
ここでは、CSVファイルの記載内容をmidPointにユーザー、組織として取り込むタスクを
実行する方法について説明します。
-
midPointのUI上で「サーバー・タスク」> 「インポート・タスク」を押下します。
-
下記タスク2つのボタンをそれぞれ押下し、開きます。 ・TASK-IMPORT-USER-CSV-UT
・TASK-IMPORT-ORG-TEST1-UT
「今すぐ実行」を押下します。
- 下記の画面を確認します。 「ユーザー」>「すべてのユーザー」
「組織構造」>「すべての組織」
ユーザー、組織が作成されていることが確認できます。
・作成されたユーザーの例
・作成された組織の例
4. midPointとIDApex IAMの連携¶
ここでは、midPointに登録されているユーザー情報をIDApex IAMに連携する方法を説明します。
4.1 リソース付与¶
- midPointホームページを開きます。
- 「組織構造」―「すべての組織」-「組織名」―「インデュースメント」>「すべて」を押下します。
-
アイコンを押下し、「リソース」タブから、下記のリソースを選択し、右下の「追加」を押下します。 ・RES-KC-USER-R-TEST1-UT
-
下記のようになっていれば正常に組織に追加できております。
4.2 タスク実行¶
- 「サーバー・タスク」> 「インポート・タスク」を押下します。 以下のタスクを開きます。
Reconciliation task: RES-KC-USER-R-TEST1-UT: アカウント/default
Note
※midPointのユーザー情報がIDApex IAMに連携されていない場合、本操作を再度行ってください。
- 「今すぐ実行」を押下します。
-
IDApex IAMにログインします。
-
「ユーザー」を押下し、midPointに登録したユーザーが表示されることを確認します。
5. お問い合わせ¶
5.1 お問い合わせ先¶
当サービスへのお問い合わせは、メールでの問い合わせのみとなります。
お問い合わせに対し、一時回答は遅くとも翌営業日までには返信いたします。
以下のメールアドレスにお客様の企業名または団体名を添えて、お問い合わせ内容を記載ください。
メールアドレス: support@canday-town.com
6. オープンソフトウェア(OSS)の利用¶
本書が対象とするシステムには、オープンソースコミュニティによって開発されたソフトウェアが含まれています。
6.1 対象ソフトウェア¶
本書では、以下の OSSを使用したソフトウェアの利用手順を説明しています。
表 6-1
| 項目 | 内容 |
|---|---|
| ソフトウェア名 | midPoint |
| バージョン | 1.8.9 |
| ライセンス名 | Apache License, Version 2.0 |
| URL | https://www.apache.org/licenses/LICENSE-2.0 |
| 配布元 | https://github.com/Evolveum/midpoint |