ヘッダーをスキップ
Oracle Fusion Middleware Oracle Identity Management統合ガイド
11
g
リリース1(11.1.1)
B55920-01
索引
次へ
目次
例一覧
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
Oracle Directory Integration Platformの新機能
第I部 Oracle Directory Integration Platformスタート・ガイド
1
Oracle Identity Management統合の概要
Oracle Identity Management統合を行う理由
Oracle Identity Managementのインストール・オプション
同期、プロビジョニングおよび両者の相違点
同期
プロビジョニング
同期とプロビジョニングの相違点
Oracle Identity Management統合に必要なコンポーネント
Oracle Internet Directory
Oracle Directory Integration Platform
Oracle Directory Integration Platform Serverの概要
Oracle Directory Integration Platform Synchronization Serviceの概要
Oracle Directory Integration Platform Provisioning Serviceの概要
Oracle Application Server Single Sign-On
2
Oracle Directory Integration Platformのセキュリティ機能
Oracle Directory Integration Platformでの認証
Secure Sockets LayerとOracle Directory Integration Platform
SSLモードでのOracle Directory Integration Platformの認証
プロファイルの認証
アクセス制御、認可およびOracle Directory Integration Platform
Oracle Directory Integration Platformのアクセス制御
プロファイルのアクセス制御
データ整合性とOracle Directory Integration Platform
データ・プライバシとOracle Directory Integration Platform
ツール・セキュリティとOracle Directory Integration Platform
資格証明の格納
第II部 Oracle Directory Integration Platformの一般管理
3
Oracle Directory Integration Platformの管理ツール
Oracle Directory Integration Platformの管理用グラフィカル・ツール
Fusion Middleware Controlの使用
Oracle Directory Integration Platformホームページ
Oracle Internet Directoryセルフ・サービス・コンソールの使用
Oracle Internet Directoryプロビジョニング・コンソールの使用
Oracle Directory Integration Platformの管理用コマンドライン・ツール
標準LDAPコマンドライン・ツールの使用
4
Oracle Directory Integration Platformの管理
Oracle Directory Integration Platformについての操作情報
ディレクトリ同期プロファイル
Oracle Internet Directoryマルチマスター・レプリケーション環境でのOracle Directory Integration Platformイベント伝播
Oracle Internet Directoryマルチマスター・レプリケーション環境でのディレクトリ同期
Oracle Internet Directoryマルチマスター・レプリケーション環境でのディレクトリ・プロビジョニング
Oracle Directory Integration Platformのステータスおよび登録情報の表示
dipStatusユーティリティを使用したOracle Directory Integration Platformのステータスの表示
dipStatusの構文
dipStatusの引数
dipStatusの例
ldapsearchユーティリティを使用したOracle Directory Integration Platformの登録情報の表示
Fusion Middleware Controlを使用したOracle Directory Integration Platformの管理
Fusion Middleware Controlを使用したOracle Directory Integration Platformのランタイム情報の表示
Fusion Middleware Controlを使用したOracle Directory Integration Platformの起動
Fusion Middleware Controlを使用したOracle Directory Integration Platformの停止
Oracle Directory Integration Platform Server構成の管理
Fusion Middleware Controlを使用したOracle Directory Integration Platformのロギングの管理
Fusion Middleware Controlを使用したOracle Directory Integration Platformの監査
WLSTを使用したOracle Directory Integration Platformの起動と停止
manageDIPServerConfigを使用したOracle Directory Integration Platformの管理
manageDIPServerConfigの構文
manageDIPServerConfigの属性
manageDIPServerConfigのタスクおよび例
SSLモード2のサーバーのみ認証用のOracle Directory Integration Platformの構成
Oracle Internet Directoryと接続ディレクトリのSSL証明書の管理
高可用性を目的とした場合のOracle Directory Integration Platform
レプリケート環境でのOracle Directory Integration Platformの管理
第III部 Oracle Directory Integration Platformを使用した同期
5
Oracle Directory Synchronization Serviceの概要
Oracleディレクトリの同期に必要なコンポーネント
ディレクトリ同期用のコネクタ
コネクタとサポート対象インタフェースの使用
サポート対象インタフェースなしのコネクタの使用
ディレクトリ同期プロファイル
同期の機能
Oracle Internet Directoryから接続ディレクトリへの同期
接続ディレクトリからOracle Internet Directoryへの同期
Oracle Internet Directoryがサポートしていないインタフェースを持つディレクトリとの同期化
6
ディレクトリ同期の構成
Oracle Directory Integration Platformでのコネクタの登録
同期プロファイルのテンプレート
接続詳細の構成
マッピング・ルールの構成
識別名マッピング
ドメインの除外
属性レベル・マッピング
属性の除外
新しいマッピング・ファイルの手動作成
サポートされている属性マッピング・ルールと例
例: タグ付きファイル・インタフェース用のマッピング・ファイル
例: LDIFインタフェース用のマッピング・ファイル
マッピング・ルールの更新
エントリのマッピング・ルール・ファイルへの追加
マッピング・ルール・ファイル内のエントリの変更
エントリのマッピング・ルール・ファイルからの削除
カスタム・プラグインを使用したマッピングの拡張
マッピング・プラグインの作成
マッピング・プラグインの評価制約
マッピング・プラグインの追加
マッピング・プラグインのアプリケーション
新規のマッピング操作のサポート
複数のリテラル値のサポート
プラグインの使用例
一致フィルタの構成
LDAP検索による変更のフィルタ処理
変更ログからの変更のフィルタ処理
ファイルの場所とネーミング
7
ディレクトリ同期プロファイルの管理
Fusion Middleware Controlを使用した同期プロファイルの管理
同期プロファイルの作成
同期プロファイルの編集
同期プロファイルの有効化と無効化
同期プロファイルの削除
manageSyncProfilesを使用した同期プロファイルの管理
manageSyncProfilesの構文
manageSyncProfilesの属性
manageSyncProfilesのタスクおよび例
同期ステータス属性の変更
同期プロファイルでのNULL値の設定
8
Oracle Directory Integration Platformにおけるディレクトリのブートストラップ
syncProfileBootstrapを使用したディレクトリのブートストラップ
syncProfileBootstrapの構文
syncProfileBootstrapの引数
syncProfileBootstrapのタスクおよび例
ブートストラップの推奨方法
パラメータ・ファイルを使用したブートストラップ
LDIFファイルを使用しないブートストラップ
LDIFファイルを使用したブートストラップ
デフォルト統合プロファイルを使用した直接ブートストラップ
SSLモードでのブートストラップ
9
リレーショナル・データベースの表との同期
追加構成情報ファイルの準備
マッピング・ファイルの準備
ディレクトリ統合プロファイルの準備
例: リレーショナル・データベース表とOracle Internet Directoryの同期化
追加構成情報ファイルの構成
マッピング・ファイルの構成
ディレクトリ統合プロファイルの構成
追加構成情報ファイルとマッピング・ファイルのアップロード
同期プロセス
例に関する注意事項
10
Oracle Human Resourcesとの同期
Oracle Human Resourcesとの同期化の概要
Oracle Human Resourcesからインポートできるデータ
Oracle Human ResourcesとOracle Internet Directory間の同期の管理
タスク1: Oracle Human Resourcesコネクタのディレクトリ統合プロファイルの構成
タスク2: Oracle Internet Directoryと同期化される属性のリストの構成
同期化されるOracle Human Resourcesの追加属性の変更
Oracle Human Resourcesの同期化される属性の除外
構成ファイルでのSQL SELECT文の構成による複雑な選択基準のサポート
タスク3: Oracle Human Resourcesコネクタに関するマッピング・ルールの設定
タスク4: Oracle Human ResourcesからOracle Internet Directoryへの同期の準備
同期の準備
同期プロセス
Oracle Human ResourcesからのOracle Internet Directoryのブートストラップ
11
サード・パーティのメタディレクトリ・ソリューションとの同期
変更ログの概要
Oracle Internet Directoryと同期化するためのサード・パーティのメタディレクトリ・ソリューションの有効化
タスク1: 初期ブートストラップの実行
タスク2: Oracle Internet Directoryでのサード・パーティのメタディレクトリ・ソリューション用変更サブスクリプション・オブジェクトの作成
変更サブスクリプション・オブジェクトの概要
変更サブスクリプション・オブジェクトの作成
同期プロセス
接続ディレクトリで初めてOracle Internet Directoryから変更を取得する方法
接続ディレクトリでOracle Internet Directory内のorclLastAppliedChangeNumber属性を更新する方法
変更サブスクリプション・オブジェクトの無効化と削除
変更サブスクリプション・オブジェクトの無効化
変更サブスクリプション・オブジェクトの削除
第IV部 Oracle Directory Integration Platformによるプロビジョニング
12
Oracle Directory Integration Platformでのプロビジョニングの概要
プロビジョニングの概要
Oracle Directory Integration Platform Serviceの構成要素
プロビジョニング概念の概要
同期プロビジョニング
非同期プロビジョニング
プロビジョニングのデータ・フロー
プロビジョニング方式の概要
プロビジョニング・コンソールによるユーザーのプロビジョニング
外部ソースから同期化されたユーザーのプロビジョニング
LDAPコマンドライン・ツールで作成されたユーザーのプロビジョニング
provProfileBulkProvツールを使用したバルク・プロビジョニング
provProfileBulkProvの構文
provProfileBulkProvの引数
provProfileBulkProvのタスクおよび例
オンデマンド・プロビジョニング
アプリケーション・ブートストラップ
Oracle Internet Directoryのユーザー・プロファイルの構成
ディレクトリ情報ツリーのプロビジョニング・エントリの構成
ユーザー・プロビジョニング・ステータスの概要
Oracle Internet Directoryのプロビジョニング・ステータス
プロビジョニング・ステータスの遷移
アップグレードと共存プロビジョニング・ステータス
プロビジョニング・ステータスと例外処理
プロビジョニング・フローの概要
プロビジョニング・コンソールでのユーザーの作成および変更
プロビジョニング・コンソールでのユーザーの削除
Fusion Middleware Controlを使用したプロビジョニング・プロファイルの表示および編集
外部ソースからのユーザー・プロビジョニング
管理権限の委任方法
プロビジョニング管理モデル
Oracle Delegated Administration Services権限
プロビジョニング管理権限
アプリケーション管理権限
Oracle Delegated Administration Services権限とプロビジョニング管理権限
アプリケーション管理権限とOracle Delegated Administration Services権限
アプリケーション管理権限とOracle Delegated Administration Servicesのユーザー作成権限
アプリケーション管理権限とOracle Delegated Administration Servicesのユーザー編集権限
アプリケーション管理権限とOracle Delegated Administration Servicesのユーザー削除権限
プロビジョニング権限とアプリケーション管理権限
Oracle Delegated Administration Services権限、プロビジョニング権限およびアプリケーション管理権限
13
プロビジョニング統合アプリケーションのデプロイ
プロビジョニング統合アプリケーションのデプロイの概要
oidprovtoolを使用したプロビジョニング・プロファイルの管理
oidprovtoolの構文
oidprovtoolの引数
oidprovtoolのタスクおよび例
プロビジョニング・プロファイルの作成
プロビジョニング・プロファイルの変更
プロビジョニング・プロファイルの削除
プロビジョニング・プロファイルの無効化
プロビジョニング用のアプリケーションの登録
アプリケーションのプロビジョニング・プロパティの構成
14
Oracleプロビジョニング・イベント・エンジンの概要
Oracleプロビジョニング・イベントとは
Oracleプロビジョニング・イベント・エンジンの操作
カスタム・イベント・オブジェクト定義の作成
カスタム・イベント生成ルールの定義
15
Oracle E-Business Suiteとのプロビジョニング・データの統合
第V部 サード・パーティ・ディレクトリとの統合
16
サード・パーティ・ディレクトリ統合の概念と考慮事項
サード・パーティ・ディレクトリ統合の概念とアーキテクチャ
サード・パーティ・ディレクトリとの統合に関するOracle Identity Managementコンポーネント
サード・パーティ・ディレクトリとの同期用のOracle Internet Directoryスキーマ要素
サード・パーティ・ディレクトリとの統合におけるディレクトリ情報ツリー
Oracle Internet Directoryのレルムの概要
デプロイの計画
例: 単一のサード・パーティ・ディレクトリ・ドメインとの統合
統合環境の計画
サード・パーティ・ディレクトリとの統合に関する予備的な考慮事項
企業の中央ディレクトリとなるディレクトリの選択
企業の中央ディレクトリとしてのOracle Internet Directory
企業の中央ディレクトリとしてのサード・パーティ・ディレクトリ
LDAPスキーマのカスタマイズ
パスワードの格納場所の選択
1つのディレクトリにのみパスワードを格納する場合の長所と短所
両方のディレクトリにパスワードを格納する場合の長所と短所
ディレクトリ情報ツリーの構造の選択
両方のディレクトリ上での同一ディレクトリ情報ツリー構造の作成
識別名のマッピングおよび制限
ログイン名の属性の選択
ユーザー検索ベースの選択
グループ検索ベースの選択
セキュリティ問題に対処する方法の決定
Oracle Access Managerによるデプロイの管理
Microsoft Active Directory統合の概念
Microsoft Active DirectoryからOracle Internet Directoryへの同期
WebDAVプロトコルの使用要件
Windowsネイティブ認証
Windowsネイティブ認証の概要
複数のMicrosoft Active Directoryドメインに対するユーザーの認証
Windowsネイティブ認証によるアプリケーション認証メカニズムの上書き
Microsoft Active Directory用のOracle Internet Directoryスキーマ要素
複数のMicrosoft Active Directoryドメイン・コントローラとの統合
複数ドメインMicrosoft Active Directory環境との同期化
Microsoft Active DirectoryからOracle Internet Directoryへのインポートに必要な構成
Microsoft Active Directory Lightweight Directory ServiceからOracle Internet Directoryへのインポートに必要な構成
Oracle Internet DirectoryからMicrosoft Active Directoryへのエクスポートに必要な構成
例: 複数のサード・パーティ・ディレクトリ・ドメインとの統合
外部セキュリティ・プリンシパル
Sun Java System Directory Server統合の概念
Sun Java System Directory ServerからOracle Directory Integration Platformへの同期
Sun Java System Directory Server用のOracle Internet Directoryスキーマ要素
IBM Tivoli Directory Server統合の概念
IBM Tivoli Directory Serverでのディレクトリ・オブジェクトの変更
IBM Tivoli Directory Server用のOracle Internet Directoryスキーマ要素
Novell eDirectoryおよびOpenLDAP統合の概念
Novell eDirectoryまたはOpenLDAPからOracle Internet Directoryへの同期
Novell eDirectory用のOracle Internet Directoryスキーマ要素
OpenLDAP用のOracle Internet Directoryスキーマ要素
Oracle Directory Integration Platform 11
g
リリース1(11.1.1)でのサード・パーティ統合の制限事項
17
サード・パーティ・ディレクトリとの同期の構成
同期要件の確認
expressSyncSetupを使用したインポートおよびエクスポートの同期プロファイルの作成
expressSyncSetupの構文
expressSyncSetupの引数
expressSyncSetupのタスクおよび例
expressSyncSetupコマンドの概要
拡張統合オプションの構成
レルムの構成
Access制御リストのカスタマイズ
インポート・プロファイル用ACLのカスタマイズ
エクスポート・プロファイル用ACLのカスタマイズ
その他のOracleコンポーネント用ACL
マッピング・ルールのカスタマイズ
SSLモードでの同期用サード・パーティ・ディレクトリ・コネクタの構成
Oracle Internet Directoryからサード・パーティ・ディレクトリへのパスワードの同期の有効化
外部認証プラグインの構成
複数のドメインに対する外部認証の構成
カスタム同期コネクタの記述
インバウンド・コネクタ
サンプル・リーダー
アウトバウンド・コネクタ
サンプル・ライター
18
Microsoft Active Directoryとの統合
Microsoft Active Directoryの同期要件の確認
Microsoft Active Directoryとの基本同期の構成
Microsoft Active Directoryとの拡張統合の構成
手順1: 統合の計画
手順2: レルムの構成
手順3: Microsoft Active Directoryから情報を取得する検索フィルタのカスタマイズ
手順4: ACLのカスタマイズ
手順5: 属性マッピングのカスタマイズ
手順6: 複数のMicrosoft Active Directoryドメインとの同期
手順7: Microsoft Active Directoryからの削除の同期化
手順8: SSLモードでの同期
手順9: パスワードの同期化
手順10: Microsoft Active Directory外部認証プラグインの構成
手順11: 構成後タスクおよび管理タスクの実行
インポート操作変更追跡でのDirsync方式の使用
Windowsネイティブ認証の構成
Windowsネイティブ認証のシステム要件
外部ユーザーに対するHTTP-401エラーおよびログイン・チャレンジの繰返しの回避
単一のMicrosoft Active DirectoryドメインでのWindowsネイティブ認証の構成
複数のMicrosoft Active DirectoryドメインまたはフォレストでのWindowsネイティブ認証の構成
フォールバック認証の実装
可能なログインの例
Oracle Internet Directory外部セキュリティ・プリンシパル参照とMicrosoft Active Directoryとの同期の構成
同一ドメイン内の異なるMicrosoft Active Directoryドメイン・コントローラへの切替え
Microsoft Active Directory Lightweight Directory Service用のMicrosoft Active Directoryコネクタの構成
Microsoft Exchange Server用のMicrosoft Active Directoryコネクタの構成
19
Oracle Password Filter for Microsoft Active Directoryのデプロイ
Oracle Password Filter for Microsoft Active Directoryの概要
Oracle Password Filter for Microsoft Active Directoryの概要
Oracle Password Filter for Microsoft Active Directoryの動作
取得されるクリアテキストのパスワードの変更
Oracle Internet Directoryが使用不可の際に格納されるパスワードの変更
Microsoft Active DirectoryユーザーがOracle Identity Managementと同期化されるまで遅延されるパスワードの同期
パスワードのブートストラッピング
Oracle Password Filter for Microsoft Active Directoryのデプロイ方法
SSLサーバー側認証でのOracle Internet Directoryの構成およびテスト
Microsoft Active Directoryドメイン・コントローラへの信頼できる証明書のインポート
Oracle Internet DirectoryとMicrosoft Active Directory間のSSL通信のテスト
Oracle Password Filter for Microsoft Active Directoryのインストールおよび再構成
Oracle Password Filter for Microsoft Active Directoryのインストール
Oracle Password Filter for Microsoft Active Directoryの再構成
Oracle Password Filter for Microsoft Active Directoryの削除
20
Sun Java System Directory Serverとの統合
Sun Java System Directory Serverの同期要件の確認
Sun Java System Directory Serverとの基本同期の構成
Sun Java System Directory Serverとの拡張統合の構成
手順1: 統合の計画
手順2: レルムの構成
手順3: ACLのカスタマイズ
手順4: 属性マッピングのカスタマイズ
手順5: 削除を同期化するためのSun Java System Directory Serverコネクタのカスタマイズ
手順6: パスワードの同期化
手順7: SSLモードでの同期
手順8: Sun Java System Directory Server外部認証プラグインの構成
手順9: 構成後タスクおよび管理タスクの実行
21
IBM Tivoli Directory Serverとの統合
IBM Tivoli Directory Serverの同期要件の確認
IBM Tivoli Directory Serverとの基本同期の構成
IBM Tivoli Directory Serverとの拡張統合の構成
手順1: 統合の計画
手順2: レルムの構成
手順3: ACLのカスタマイズ
手順4: 属性マッピングのカスタマイズ
手順5: 削除を同期化するためのIBM Tivoli Directory Serverコネクタのカスタマイズ
手順6: パスワードの同期化
手順7: SSLモードでの同期
手順8: IBM Tivoli Directory Server外部認証プラグインの構成
手順9: 構成後タスクおよび管理タスクの実行
22
Novell eDirectoryまたはOpenLDAPとの統合
Novell eDirectoryまたはOpenLDAPの同期要件の確認
Novell eDirectoryまたはOpenLDAPとの基本同期の構成
eDirectoryまたはOpenLDAPから1つのOracle Internet Directoryコンテナへの複数のプロファイルの同期化
Novell eDirectoryまたはOpenLDAPとの拡張統合の構成
手順1: 統合の計画
手順2: レルムの構成
手順3: Novell eDirectoryまたはOpenLDAPから情報を取得する検索フィルタのカスタマイズ
手順4: ACLのカスタマイズ
手順5: 属性マッピングのカスタマイズ
手順6: 削除を同期化するためのNovell eDirectoryまたはOpenLDAPコネクタのカスタマイズ
リコンシリエーション・ルールの定義方法
リコンシリエーション・ルールを使用して削除を同期化する方法
手順7: 拡張構成情報属性用の同期パラメータの指定
手順8: パスワードを同期化するためのOpenLDAPコネクタの構成
手順9: SSLモードでの同期
手順10: Novell eDirectoryまたはOpenLDAP外部認証プラグインの構成
手順11: 構成後タスクおよび管理タスクの実行
23
サード・パーティ・ディレクトリとの統合の管理
サード・パーティ・ディレクトリでの構成後のタスク
サード・パーティ・ディレクトリとの統合の一般的な管理
ディレクトリ間でのデータのブートストラップ
サード・パーティ・ディレクトリ外部認証プラグインの管理
サード・パーティ・ディレクトリ外部認証プラグインの削除
サード・パーティの外部認証プラグインの無効化
サード・パーティの外部認証プラグインの再有効化
第VI部 付録
A
Oracle Directory Integration Platform 11gリリース1(11.1.1)と10gリリース(10.1.4.x)の比較
プロセス管理
構成ファイル
マッピング・ファイル、構成ファイルおよびプロパティ・ファイルのテンプレート
ログ・ファイル
グラフィカル・ユーザー・インタフェース
コマンドライン・ツール
監査の構成
監査ログの場所
B
同期プロファイルのプロパティ・ファイルの例
同期プロファイルのプロパティ・ファイルの例
C
Oracleスタックの起動と停止
スタックの起動
スタックの停止
D
事例: Oracle Directory Integration Platformのデプロイ
企業MyCompany内のコンポーネント
企業MyCompanyの要件
企業MyCompany内の全体的なデプロイ
企業MyCompanyでのユーザーの作成とプロビジョニング
企業MyCompanyでのユーザー・プロパティの変更
企業MyCompanyでのユーザーの削除
E
Oracle Directory Integration Platformのトラブルシューティング
Oracle Directory Integration Platformのトラブルシューティング用チェックリスト
DIP Testerユーティリティ
問題と解決策
プロビジョニングのエラーと問題
同期のエラーと問題
Windowsネイティブ認証のエラーと問題
Novell eDirectoryとOpenLDAPの同期のエラーと問題
Oracle Password Filter for Microsoft Active Directoryのエラーと問題
プロビジョニングに関するトラブルシューティング
診断設定の表示
プロビジョニング統合アプリケーションがプロビジョニング・コンソールに表示されない場合
ユーザーを作成できない場合
データ・エントリ・プラグインのトラブルシューティング
プロビジョニング・プラグインのトラブルシューティング
プロビジョニング・ステータスを使用した問題の識別
アカウント作成後にユーザーがログインできない場合
Fusion Middleware Controlによるプロビジョニング実行ステータスの監視
同期に関するトラブルシューティング
Oracle Directory Integration Platformの同期プロセスの流れ
インポート・プロファイルに関するOracle Directory Integration Platformの同期プロセスの流れ
エクスポート・プロファイルに関するOracle Directory Integration Platformの同期プロセスの流れ
同期プロファイルの登録の概要
diagnostic.logファイルの概要
Microsoft Active Directoryとの統合に関するトラブルシューティング
Windowsネイティブ認証のデバッグ
Oracle Internet Directoryの使用不可期間後の変更の同期
それでも解決しない場合
用語集
索引