Identity Manager/Access Manager/Directory Server/Active Directory を連携したデモです。

Active Directoryに関してのデモを、Demo IDMAMDS HowtoOperate に追加しています。
ここでは、デモを実施する人向けの操作方法を説明します。

準備：各種アプリケーションの稼動確認および起動。

1. MySQL
   サービスから起動していることを確認します。
   
2. Identity Manager
   Application Server を起動します。(Identity ManagerはMySQLをレポジトリとして使用します。MySQLが起動していることを確認してから、Idnetity Managerを起動して下さい。）
   
   
3. Directory Server
   Directory Server を起動します。
   
4. Access Manager
   Access Manager を起動します。(Access ManagerはDiretory Serverをレポジトリとして使用します。Directory Serverが起動したとを確認してから、Access Managerを起動して下さい。）
   
   
5. WebProxy Server
   WebProxy Server を起動します。（今回はデモ用のアプリケーションとして使用します。）
   

Identity Managerによる CSVからのデータの読み込み及び、AD,LDAP(Access Manager),DataBaseへの情報の伝搬

1. 全体の流れをプレゼン資料で説明。
2. 読み込む CSV ファイルを説明。
   
   
   
3. Identity Managerの管理コンソールから読み込むユーザがまだいないことを説明。
   
4. MySQL 上の 2つのテーブルにも、読み込むユーザがまだいないことを説明。
   
   
5. Directory Server上にも読み込むユーザがまだいないことを説明。
   
6. Active Directory上にも読み込むユーザがまだいないことを説明。
   
   
7. Identity Manager のGUI から Flat File Active Sync を起動させる。
   
   
8. Identity Manager中にユーザが作成されていることを確認。
   
9. Active Directory上にもユーザが作成されていることを確認。
   
10. リモートデスクトップでログインしてみます。(リモートデスクトップがよくわからない人は省略してください。）
    
    
11. Directory Server上にもユーザが作成されていることを確認。
    
    1. eigyo1 の情報（属性）を確認。（営業部ロールが付いていることを説明。）
       
       
    2. keiri1 の情報（属性）を確認。（経理部ロールが付いていることを説明。）
       
12. MySQL 上の 2つのテーブルにも、ユーザが作成されていることを確認。
    

Access Managerでのアクセス制御とシングルサインオン

1. 全体の動きと設定を説明。（プレゼン資料で）
2. portal にアクセス。
   
3. Access Managerのログイン画面にリダイレクトされるので、eigyo1 でログイン。
   
   1. Portal 画面が表示される。
   2. 営業部 リンクをクリックすると営業部ロールをもっているので営業部用のコンテンツが表示される。
   3. 給与システム(経理部社員のみが） リンクをクリック。
   4. 経理部社員ではないので（経理部ロールを持っていないので）表示できない。
      
4. 別のブラウザでportal にアクセス。
   
5. Access Managerのログイン画面にリダイレクトされるので、keir1 でログイン
   
   1. Portal 画面が表示される。
   2. 営業部 リンクをクリックすると営業部ロールをもっていないので表示できない。
      
   3. 給与システム(経理部社員のみが） リンクをクリック。
   4. 経理部ロールを持っているので表示される。
6. keiri1,eigyo1 ともログアウトしておく。

Identity Manager とAccess Managerの連携（所属が変わることで、アクセスできる場所を変更する。）

1. 流れを説明。（プレゼン資料で）
2. eigyo1 の部署を 営業部 から 経理部 に変更して、保存。（保存を忘れないように！！）
   
3. Identity Manager のGUI から Flat File Active Sync を起動させる。
   
   
4. Identity Manager上にeigyo1 が所属する組織が変わっていることを確認。
   
5. portal にアクセス。
   
6. Access Managerのログイン画面にリダイレクトされるので、eigyo1 でログイン。
   
   1. Portal 画面が表示される。
   2. 営業部 リンクや、給与システム(経理部社員のみが） リンクをクリックして、アクセス可能な範囲が変わっていることを確認。
   3. 確認後ログアウトしておく。

Active Directory上の不正なアカウントをIdentity Managerから検知

1. Identity Managerにログインして、レポート タブ -> リスク分析 の実行 タブと進む。
   
2. 不正なアカウントがないかちゃっくするActive Directory上のコンテナ（場所）を確認。無効化されて×がついているユーザなんかを確認しておくといいでしょう。）
   
3. AD 非アクティブアカウントスキャンレポート（パスワード変更日） の 実行 ボタンをクリックしてレポートを実行すると、スキャンが行なわれて結果が表示される。(この後にパスワード変更するユーザ(keiri1)のパスワード変更日時をチェックしておきましょう。）
   
4. AD 非アクティブアカウントスキャンレポート（一度もログインされていないアカウント） の 実行 ボタンをクリックしてレポートを実行すると、スキャンが行なわれて結果が表示される。(さっきログインしたeigyo1が表示されないことを確認しましょう。）
   
5. AD 非アクティブアカウントスキャンレポート（最終ログイン日） の 実行 ボタンをクリックしてレポートを実行すると、スキャンが行なわれて結果が表示される。(さっきログインしたeigyo1のログイン時間が表示されていることを確認しましょう。これポイントです。その場でリソースにスキャンが実行されるIdentity Managerならではの結果なので。あと、keiri1 は作成はされたけど、Active Directoryへはログインしていないので、表示されないことも確認しておきましょう。）
   

Identity Manager を使用したパスワード変更とリソースへのパスワード伝搬。

1. 流れを説明。（プレゼン資料で）
2. Identity Manager のエンドユーザ用GUIにアクセスして、keiri1 でログイン。
   
3. エンドユーザに対していろいろな処理を公開することができることを説明。（セルフサービスによる、管理工数の低減とユーザ利便性の向上という利点も説明しましょう。）
   
4. パスワード変更画面でパスワードを変更。
   
5. keiri1 のアカウントがある Active Directory,LDAP(Access Manager),Database x2　及び Identity Managerでパスワードが変更される。
   
6. portal にアクセス。
   
7. Access Managerのログイン画面にリダイレクトされるので、変更したパスワードで keir1 でログイン
   
   1. Portal 画面が表示される。
   2. Active Directory 上でもパスワードが変更されていることを確認。(Active Directoryのユーザ管理画面で、更新日時を表示するようにして確認します。)
      
   3. Identity Managerのリスクレポート( AD 非アクティブアカウントスキャンレポート（パスワード変更日） )でも確認。
      
   4. MySQLのテーブルでも確認。（ここではパスワードが平文（プレーンテキスト）で表示されていますが、わかりやすいようにするためにそのようにしているだけすので、本番環境ではちゃんと暗号化したりアクセス制御をかけましょう。）
      
   5. LDAPでも確認。(Directory Server の6.x からは、pwdchangedtime という属性が入っていますので、パスワードに限った更新日時がわかります。)
      

Active Directoryの属性をIdentity Managerから制御

1. pwdLastSet（ユーザは次回ログオン時にパスワード変更が必要）を制御
   1. eigyo1 の属性変更画面で、pwdLastSet を 0 にします。
      
   2. Active Directory上でどのようになっているか確認します。( ユーザは次回ログオン時にパスワード変更が必要 がチェックされています。 pwdLastSet はこの設定を制御するために使用されている属性になります。Identity Managerではこの属性を柔軟に制御できるので、例えばユーザを作るときにこの値を設定してユーザがXPやVISTAに最初にログインをしたときにパスワード変更をさせることも可能です。（UserAccountControl フラグを使用してユーザー アカウント プロパティを操作する方法参照）
      
   3. 実際にパスワード変更メッセージが表示されるか、eigyo1 でログインしてみてみましょう。
      
      
2. userAccountControl(ここでは、無効化）を制御
   1. keiri1 の属性変更画面で、userAccountControl を 512から514に変更にします。
      
   2. Active Directory上でどのようになっているか確認します。( ×がついています。アカウント画面では、アカウントは無効 がチェックされています。 userAccountControl はアカウントタブの各種チェックを制御するために使用されます。2進数でそのぞれの桁にビットがたっているかたっていないかでチェックするかどうかを制御しています。Identity Managerではこの属性を柔軟に制御できるので、例えばユーザを作るときにユーザを無効な状態で作成するといったことも可能です。（UserAccountControl フラグを使用してユーザー アカウント プロパティを操作する方法参照）
      
      

Identity Manager を使用したユーザの削除。

1. 流れを説明。（プレゼン資料で）
2. eigyo1 のSTATUSを Active から retired に変更して、保存。（保存を忘れないように！！）
   
3. Identity Manager のGUI から Flat File Active Sync を起動させる。
   
   
4. Identity Manager 上から削除されていることを確認。
   
5. Active Directory 上からも削除されていることを確認。
   
6. MySQL 上の 2つのテーブルからも削除されていることを確認。
   
7. Directory Server上からも削除されていることを確認。