Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス 11gリリース1(11.1.1) B55921-01 |
|
戻る |
次へ |
この章では、Oracle Directory Integration and Provisioningの管理に使用できる次のコマンドライン・ツールについて説明します。
oidprovtool(プロビジョニング登録ツール)
注意:
|
DIPサーバーの構成管理ユーティリティ(manageDIPServerConfig
)では、Oracle Directory Integration Platform Serverの構成を管理できます。
manageDIPServerConfig
manageDIPServerConfig {get | set} -h HOST -p PORT -D wlsuser -attribute {sslmode | refreshinterval | quartzthreadcount | keystorelocation | oidhostport } [-value attribute_value] [-help]
get | set
実行する操作を指定します。
get: DIP構成ファイル内の構成パラメータの現行の値を表示します。
set: DIP構成ファイル内の構成パラメータの値を更新します。
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic ManagedServerのリスニング・ポート。
-D | -wlsuser
WebLogic ServerのログインID。
注意: Oracle WebLogic Serverのログイン・パスワードの入力を求められます。コマンドライン引数としてパスワードを指定することはできません。コマンドから入力を求められたときにのみパスワードを入力するのがセキュリティのベスト・プラクティスです。スクリプトからmanageDIPServerConfig を実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトすることができます。ファイル権限を使用してこのファイルを保護し、不要になり次第このファイルを削除してください。 |
-attr | -attribute
manageDIPServerConfig
が操作を実行する属性を指定します。次に、manageDIPServerConfig
が操作を実行できる属性のリストとその説明を示します。
sslmode
: Oracle Directory Integration PlatformがOracle Internet Directoryへの接続に使用するSSLモード。サポートされている値は1と2です。SSLモード1(認証なし)を使用してOracle Internet Directoryに接続するときは、1を使用します。SSLモード2(サーバー認証のみ)を使用してOracle Internet Directoryに接続するときは、2を使用します。
refreshinterval
: Oracle Directory Integration Platformサーバーがプロファイル構成の詳細をリフレッシュする頻度を制御する時間間隔(秒)。
quartzthreadcount
: パラレルでスケジュールできるプロファイル数を制御します。デフォルト値は15です。プロファイル数が15より多い場合は、それに応じてquartzthreadcount
属性の値を増やしてください。
oidhostport
: Oracle Directory Integration Platformに関連付けられているOracle Internet Directoryのホストとポートを指定します。oidhostport属性の値は、host:port
の形式で指定します。
keystorelocation
: Oracle Directory Integration Platformがデプロイされているホストに基づいて、Javaキーストア(JKS)の絶対パスを指定します。keystorelocation
属性の値を指定するときは、適切なパス・セパレータを使用してください(UNIXおよびLinuxプラットフォームの場合は/、Windowsプラットフォームの場合は\)。
-val | -value
属性に設定する値。set操作の場合、このパラメータは必須です。
-help
コマンドの使用方法のヘルプを出力します。
同期プロファイルの管理ユーティリティ(manageSyncProfiles
)では、同期プロファイルを管理できます。
managSyncProfiles
manageSyncProfiles {activate | deactivate | copy | deregister | get | isexists | update | testProfile | validateProfile | validateMapRules | register | updatechgnum |associateProfile | dissociateProfile | getAllAssociatedProfiles | getAssociatedProfile | list } -h HOST -p PORT -D wlsuser [-profile] [-newProfile] [-associateProfile][-file] [-params 'prop1 val1 prop2 val2 ...'] [-conDirHost] [-conDirPort] [-conDirBindDn] [-mode] [-conDirType] [-conDirSSL] [-profileStatus] [-help]
操作
activate
プロファイルの状態を有効(ENABLE)に変更します。
deactivate
プロファイルの状態を無効(DISABLE)に変更します。
copy
既存のプロファイルprofileをプロファイルnewProfileにコピーします。
deregister
OIDから既存のプロファイルを削除します。
get
OIDからプロファイルの詳細を取得します。
isexists
プロファイルprofileがOIDに存在しているかどうかを確認します。
update
OIDの既存のプロファイルprofileを変更します。
testProfile
無効のプロファイルprofileの状態をTESTに変更し、プロファイルの同期実行を成功させるために、プロファイルのテストをスケジューリングします。testProfile操作を指定してmanageSyncProfilesコマンドを実行した後、次のログ・ファイルでテスト結果を確認することができます。DOMAIN_HOMEはOracle WebLogic Serverのドメイン・ホーム、ORACLE_WEBLOGIC_MANAGED_SERVER_NAMEはOracle Directory Integration Platformがデプロイされている管理サーバーの名前を表します。
DOMAIN_HOME/servers/ORACLE_WEBLOGIC_MANAGED_SERVER_NAME/logs/ORACLE_WEBLOGIC_MANAGED_SERVER_NAME.log
注意: testProfile操作では、有効な(ENABLE)状態のプロファイルのテストはスケジューリングできません。 |
validateProfile
指定されたプロファイルの構文の値の正確さを検証します。
validateMapRules
指定されたマッピング・ルールを検証します。
register
OIDに新規プロファイルを作成します。
updatechgnum
プロファイル内で最後に適用された変更番号を最新のものに更新します。
associateProfile
associateProfileNameをprofileNameと関連付けて、情報の逆流を防ぎます。
dissociateProfile
profileNameに対するプロファイルの関連付けを解除します。
getAllAssociatedProfiles
プロファイルprofileNameが関連付けられているすべてのプロファイルを一覧表示します。
getAssociatedProfile
プロファイルprofileNameに関連付けられているプロファイル名を表示します。
list
OIDに登録されているすべてのプロファイルを表示します。
option
-h | host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic ManagedServerのリスニング・ポート。
-D | wlsuser
Oracle WebLogic ServerのログインID。
注意: Oracle WebLogic Serverのログイン・パスワードの入力を求められます。コマンドライン引数としてパスワードを指定することはできません。コマンドから入力を求められたときにのみパスワードを入力するのがセキュリティのベスト・プラクティスです。スクリプトからコマンドを実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトすることができます。ファイル権限を使用してこのファイルを保護し、不要になり次第このファイルを削除してください。manageSyncProfiles に複数のパスワードを提供する必要がある場合は、ファイルの別々の行に、接続ディレクトリのバインドDNパスワード、Oracle WebLogic Serverのログイン・パスワードの順に配置してください。 |
-pf | -profile
操作の実行時に使用する同期プロファイルの名前。
-newpf | -newProfile
profileがコピーされる新規プロファイルの名前。
-assopf
profileと関連付けられるプロファイルの名前。
-f | -file
プロパティを含むプロファイル・プロパティ・ファイルのフルパスおよびファイル名。このようなファイルの例は、『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の、同期プロファイルのプロパティ・ファイルの例に関する付録を参照してください。
-params
prop1 val1 prop2 val2 ...
の形式で指定する値。prop
は、プロファイル・プロパティの名前で、val
はそのプロパティの新しい値です。このキーワードは、プロファイルの変更にのみ使用します。キー値は、必要な数だけ指定できます。
-conDirHost
接続ディレクトリ・サーバーが稼働しているホスト。
-conDirPort
接続ディレクトリ・サーバーのリスニング・ポート。
-conDirBindDn
接続ディレクトリ・サーバーのバインドDN。
例:
Active Directory
administrator@idm2003.net
Sun ONEまたはiPlanet
cn=Directory Manager
Oracle Internet Directory
cn=orcladmin
注意: 接続ディレクトリのバインドDNパスワードの入力を求められます。コマンドライン引数としてパスワードを指定することはできません。コマンドから入力を求められたときにのみパスワードを入力するのがセキュリティのベスト・プラクティスです。スクリプトからmanageSyncProfiles を実行する必要がある場合は、接続ディレクトリのバインドDNパスワードを含むファイルから入力をリダイレクトすることができます。ファイル権限を使用してこのファイルを保護し、不要になり次第このファイルを削除してください。manageSyncProfiles に複数のパスワードを提供する必要がある場合は、ファイルの別々の行に、接続ディレクトリのバインドDNパスワード、Oracle WebLogic Serverのログイン・パスワードの順に配置してください。 |
-mode
使用する同期モード・マッピング・ルール(import
または export
)。
-conDirType
接続ディレクトリのタイプ。サポートされている値は、ActiveDirectory
、EDirectory
、iPlanet
、OpenLDAP
、ADAM
、Tivoli
、ExchangeServer2003
およびOID
です。
-conDirSSL
接続ディレクトリ・サーバーへの接続に使用するSSLモードの値。
-prfSt | -profileStatus
プロファイルのステータスを表示します。list
操作と組み合せてのみ使用します。
-help
コマンドの使用方法のヘルプを出力します。
manageSyncProfiles register -h myhost.mycompany.com -p 7005 -D weblogic \ -f /opt/ldap/odip/iPlImport.profile
manageSyncProfiles deregister -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles updatechgnum -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles activate -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles deactivate -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles get -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles testProfile -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles associateprofile -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile -assopf myProfile1
manageSyncProfiles dissociateprofile -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles getAllAssociatedProfiles -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles getAssociatedProfile -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile
manageSyncProfiles update -h myhost.mycompany.com -p 7005 \ -D weblogic -pf myProfile -f /opt/ldap/odip/iPlImport.profile
manageSyncProfiles validateMapRules -h myhost.mycompany.com -p 7005 \ -D weblogic -f /opt/ldap/odip/iPlImport.map -conDirHost server.example.com \ -conDirPort 8000 -conDirBindDn administrator@idm2003.net -mode IMPORT \ -conDirType IPLANET
manageSyncProfiles isexists -h myhost.mycompany.com -p 7005 -D weblogic \ -pf myProfile
manageSyncProfiles copy -h myhost.mycompany.com -p 7005 -D weblogic \ -pf myProfile -newpf yourProfile
manageSyncProfiles list -h myhost.mycompany.com -p 7005 -D weblogic -profileStatus
同期プロファイル・ブートストラップ・ユーティリティ(syncProfileBootstrap
)は、接続ディレクトリとOracle Internet Directory間で同期プロファイルのデータの初期移行を実行します。
syncProfileBootstrap
syncProfileBootstrap -h HOST -p PORT -D wlsuser {-file |-profile} [-loadParallelism] [-loadRetry][-help]
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic ManagedServerのリスニング・ポート。
-D | wlsuser
Oracle WebLogic ServerのログインID。
注意: Oracle WebLogic Serverのログイン・パスワードの入力を求められます。コマンドライン引数としてパスワードを指定することはできません。コマンドから入力を求められたときにのみパスワードを入力するのがセキュリティのベスト・プラクティスです。スクリプトからsyncProfileBootstrap を実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトすることができます。ファイル権限を使用してこのファイルを保護し、不要になり次第このファイルを削除してください。 |
-f | -file
ブートストラップのプロパティ・ファイル。
-pf | -profile
操作の実行時に使用する同期プロファイルの名前。
-lp | -loadParallelism
Oracle Internet Directoryへのロードが、複数のスレッドを使用してパラレルで実行されることを示します。たとえば、-loadparallelism 5は、5つのスレッドが作成され、各スレッドでOracle Internet Directoryへのエントリのロードがパラレルで実行されることを意味します。
-lr | -loadRetry
宛先へのロードが失敗した場合に再試行する回数。この回数を超えると、エントリは不正エントリとマークされます。
-help
コマンドの使用方法のヘルプを出力します。
Express同期設定ユーティリティ(expressSyncSetup
)では、インポートおよびエクスポート同期プロファイルを作成できます。
expressSyncSetup
expressSyncSetup -h hostName -p PORT -D wlsuser -pf profile -conDirType connectedDirectoryType -conDirURL connected_directory_url -conDirBindDN connected_directory_bind_dn -conDircontainer syncContainer [-enableProfiles {true | false}] [-help]
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic ManagedServerのリスニング・ポート。
-D | wlsuser
Oracle WebLogic ServerのログインID。
注意: Oracle WebLogic Serverのログイン・パスワードの入力を求められます。コマンドライン引数としてパスワードを指定することはできません。コマンドから入力を求められたときにのみパスワードを入力するのがセキュリティのベスト・プラクティスです。スクリプトからexpressSyncSetup を実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトすることができます。ファイル権限を使用してこのファイルを保護し、不要になり次第このファイルを削除してください。expressSyncSetup に複数のパスワードを提供する必要がある場合は、ファイルの別々の行に、接続ディレクトリのバインドDNパスワード、Oracle WebLogic Serverのログイン・パスワードの順に配置してください。 |
-pf | -profile
プロファイル名。
-conDirType
接続ディレクトリのタイプ。サポートされている値は、ActiveDirectory
、EDirectory
、iPlanet
、OpenLDAP
、ADAM
、Tivoli
、ExchangeServer2003
およびOID
です。
-conDirUrl
接続ディレクトリが実行されているURL。書式は host:portです。
-conDirBindDN
接続ディレクトリ・サーバーのバインドDN。次に例を示します。
administrator@idm2003.net
cn=orcladmin
, cn=Directory Manager
注意: 接続ディレクトリのバインドDNパスワードの入力を求められます。コマンドライン引数としてパスワードを指定することはできません。コマンドから入力を求められたときにのみパスワードを入力するのがセキュリティのベスト・プラクティスです。スクリプトからexpressSyncSetup を実行する必要がある場合は、接続ディレクトリのバインドDNパスワードを含むファイルから入力をリダイレクトすることができます。ファイル権限を使用してこのファイルを保護し、不要になり次第このファイルを削除してください。expressSyncSetup に複数のパスワードを提供する必要がある場合は、ファイルの別々の行に、接続ディレクトリのバインドDNパスワード、Oracle WebLogic Serverのログイン・パスワードの順に配置してください。 |
-conDirContainer
同期コンテナ。次に例を示します。
ou=sales,dc=us,dc=com
OU=Groups,DC=imtest,DC=com
CN=Users,DC=imtest,DC=com
-enableProfiles
作成されたプロファイルを有効にするにはtrue
を指定します。無効にする場合はfalse
を指定します。
-help
コマンドの使用方法のヘルプを出力します。
expressSyncSetup -h myhost.mycompany.com -p 7005 -D weblogic -pf myProfile \ -conDirType ACTIVEDIRECTORY -conDirUrl server.mycompany.com:5432 \ -conDirBindDN administrator@idm2003.net -conDirContainer ou=sales,dc=us,dc=com \ -enableProfiles false \
expressSyncSetup -help
プロビジョニング・プロファイル・バルク・ユーティリティ(provProfileBulkProv
)は、プロビジョニング・プロファイルのデータのLDIFファイルからOracle Internet Directoryへの初期移行を実行します。
provProfileBulkProv
provProfileBulkProv -h HOST -p PORT -D wlsuser -file ldif_file -realm realm_dn \ [-encoding input_encoding] [-help]
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic ManagedServerのリスニング・ポート。
-D | -wlsuser
Oracle WebLogic ServerのログインID。
注意: Oracle WebLogic Serverのログイン・パスワードの入力を求められます。コマンドライン引数としてパスワードを指定することはできません。コマンドから入力を求められたときにのみパスワードを入力するのがセキュリティのベスト・プラクティスです。スクリプトからprovProfileBulkProv を実行する必要がある場合は、Oracle WebLogic Serverのログイン・パスワードを含むファイルから入力をリダイレクトすることができます。ファイル権限を使用してこのファイルを保護し、不要になり次第このファイルを削除してください。 |
-f | -file
移行するデータを含むLDIFファイル。
-realm
ユーザーがプロビジョニングされるレルム。
-encoding
入力ファイルのエンコーディング。
-help
コマンドの使用方法のヘルプを出力します。
プロビジョニング機能を使用すると、ディレクトリの変更(ユーザーまたはグループ情報の変更など)をアプリケーションに確実に通知できます。これらの変更は、アプリケーションのプロセスやリソースに対するユーザー・アクセスを許可するかどうかという決定に影響を与える可能性があります。
プロビジョニングする予定のアプリケーションをインストールしたら、プロビジョニング登録ツール(oidprovtool
)を使用してプロビジョニング統合プロファイルを作成する必要があります。
プロビジョニング登録ツールを使用すると、次のことができます。
新規プロビジョニング・プロファイルの作成。新規プロビジョニング・プロファイルを作成し、Oracle Directory Integration Platformで処理できるように有効化します。
既存のプロビジョニング・プロファイルの無効化。
無効化されたプロビジョニング・プロファイルの有効化。
既存のプロビジョニング・プロファイルの変更。
既存のプロビジョニング・プロファイルの削除。
指定したプロビジョニング・プロファイルの現在の状態の取得。
既存のプロビジョニング・プロファイルのすべてのエラーの消去。
プロビジョニング登録ツールにより、プロビジョニング・プロファイル・エントリの場所およびスキーマの詳細がツールのコール元から保護されます。コール元の観点からすると、アプリケーションとレルムの組合せにより、プロビジョニング・プロファイルを一意に識別できます。システム上の制約により、各レルムの1つのアプリケーションに対して割り当てることができるのは、1つのプロビジョニング・プロファイルのみです。
プロファイルを一度作成したら、modify
操作を使用してそのモード(INBOUND、OUTBOUNDまたはBOTH)を変更することはできません。モードを変更するには、プロファイルを削除して再作成する必要があります。
Oracle Directory Integration Platform Serverにより、Oracle Internet Directoryでのプロビジョニング・プロファイル構成の変更(プロビジョニング・プロファイルの作成、変更、削除など)は自動的に監視されます。そのため、プロビジョニング・プロファイルを手動で有効化または無効化する必要はありません。
注意: セキュリティ上の理由から、コマンドラインでのパスワードの入力は行わないでください。oidprovtool コマンドでは、コマンドラインにパスワードを指定しない場合、パスワードの入力を求められます。 |
oidprovtool
oidprovtool operation=[create|modify] ldap_host=oid_hostname ldap_port=port ldap_user_dn="bindDN" ldap_user_password=password [profile_mode=INBOUND|OUTBOUND|BOTH] application_dn="DN" application_type=type [application_name=name] [application_display_name=display name] organization_dn=DN [application_isdasvisible=TRUE|FALSE] [manage_application_defaults=TRUE|FALSE] [enable_bootstrap=TRUE|FALSE] [user_data_location=DN] [default_provisioning_policy=PROVISIONING_REQUIRED|PROVISIONING_NOT_REQUIRED] interface_name=SCHEMA.PACKAGE [interface_type=PLSQL|JAVA] interface_version=1.1|2.0|3.0] interface_connect_info=connection_string schedule=number_seconds lastchangenumber=number max_prov_failure_limit=number max_events_per_schedule=number max_events_per_invocation=number event_mapping_rules="OBJECT_TYPE:FILTER:DOMAIN" event_permitted_operations="OBJECT:DOMAIN:OPERATION(attributes,...)" event_subscription="USER|GROUP:DOMAIN:OPERATION(attributes,...)" max_events_per_schedule=number max_retries=number profile_group=number profile_status=ENABLED | DISABLED profile_debug=debug_level oidprovtool {operation=enable|disable|delete|status|reset} application_dn=DN [organization_dn=DN] [ldap_host=oid_hostname] [ldap_port=port] [ldap_user_dn=bindDN] [ldap_user_password=password] [profile_debug=debug_level]
operation=create | modify | enable | disable | delete | status | reset
必須。oidprovtool
を使用して実行する操作。一度に1つの操作のみ実行できます。操作は次のとおりです。
create: 新規プロビジョニング・プロファイルの作成
modify: 既存のプロビジョニング・プロファイルの指定プロパティの変更
enable: プロビジョニング・プロファイルの有効化
disable: プロビジョニング・プロファイルの無効化
delete: プロビジョニング・プロファイルの削除
status: 指定したプロビジョニング・プロファイルの現在のステータスの表示
reset: プロビジョニング・プロファイルのすべてのエラーの消去
ldap_host=oid_hostname
オプション。Oracle Internet Directoryサーバーのホスト名。指定しない場合、ローカル・ホストの名前が使用されます。
ldap_port=port
オプション。Oracle Internet DirectoryのLDAPリスニング・ポート。デフォルトは3060です。
ldap_user_dn=bindDN
必須。スーパーユーザーのDN、またはプロビジョニング登録操作を実行するのに十分な権限を保持するユーザーのDN。デフォルトはcn=orcladmin
です。
ldap_user_password=password
オプション。ディレクトリへのバインドに使用するユーザー・パスワード。コマンドラインでパスワードを指定しない場合、パスワードの入力を求められます。入力を求められたときにパスワードを入力するのがセキュリティのベスト・プラクティスです。
profile_mode=OUTBOUND | INBOUND | BOTH
create
操作でのみオプション。プロビジョニング・イベントの方向。デフォルトはOUTBOUNDです(データはOracle Internet Directoryからアプリケーションへとプロビジョニングされます)。
application_dn=DN
必須。プロビジョニングの登録先となるアプリケーションの識別名。アプリケーションDNと組織DNの組合せにより、プロビジョニング・プロファイルが一意に識別されます。たとえば、PortalのアプリケーションDNは、次のとおりです。
"orclApplicationCommonName=PORTAL,cn=Portal,cn=Products,cn=OracleContext"
application_type=type
必須。プロビジョニングするアプリケーションのタイプ。
application_name=name
オプション。プロビジョニングするアプリケーションの名前。指定しない場合、デフォルトでapplication_dn
に割り当てられた識別名が使用されます。
application_display_name=name
オプション。プロビジョニングするアプリケーションの表示名。指定しない場合、デフォルトでapplication_name
に割り当てられた値が使用されます。
organization_dn=DN
オプション。指定しない場合、デフォルト・アイデンティティ管理レルムが使用されます。プロビジョニングの登録先となる組織の識別名です(dc=company,dc=com
など)。アプリケーションDNと組織DNの組合せにより、プロビジョニング・プロファイルが一意に識別されます。
application_isdasvisible=TRUE | FALSE
オプション。アプリケーションをOracle Internet Directoryプロビジョニング・コンソールにプロビジョニング統合アプリケーションとして表示するかどうかを指定します。デフォルト値はTRUEです。
manage_application_default=TRUE | FALSE
オプション。Oracle Internet Directoryプロビジョニング・コンソールでアプリケーションのデフォルト値を管理するかどうかを指定します。デフォルト値はTRUEです。
enable_bootstrap=TRUE | FALSE
オプション。アプリケーションのプロビジョニング統合プロファイルを作成する前からOracle Internet Directoryに存在しているユーザーのプロビジョニング・イベントを、アプリケーションで受信するかどうかを指定します。デフォルト値はFALSEです。
user_data_location=DN
オプション。アプリケーション固有のユーザー情報を格納するコンテナのDNを指定します。
default_provisioning_policy=PROVISIONING_REQUIRED | PROVISIONING_NOT_REQUIRED
オプション。アプリケーションのデフォルト・プロビジョニング・ポリシーを指定します。デフォルト値はPROVISIONING_REQUIREDです。
interface_name=SCHEMA.PACKAGE
create
またはmodify
操作の場合は必須。PLSQLパッケージのデータベース・スキーマ名。値の形式は、schema.package_name
です。たとえば、Portal用のスキーマおよびPLSQLパッケージ情報は、次のようになります。
interface_name=PORTAL.WWSEC_OID_SYNC
interface_version=1.1 | 2.0 | 3.0
インタフェース・プロトコルのバージョン。使用可能な値は、1.1、2.0または3.0です。デフォルト値は2.0です。
interface_type=PLSQL | JAVA
オプション。イベントを伝播するインタフェースのタイプ。デフォルトはPLSQLです。
interface_connect_info=connection_string
create
またはmodify
操作の場合は必須。Oracleデータベースに接続してイベントを伝播するには、接続文字列として次のいずれかの形式を使用します。
DBURL=ldap://ldaphost:ldapport/service:username:password(推奨)
host:port:sid:username:password
DBSVC=service:username:password
schedule=number_seconds
create
およびmodify
操作でのみオプション。このプロファイルの実行間隔を示す秒数。デフォルトは3600であり、プロファイルは1時間ごとに実行されます。
lastchangenumber=number
OUTBOUND
イベントのcreate
およびmodify
操作でのみオプション。Oracle Internet Directoryの最終変更番号であり、この番号より後の適切なすべてのイベントがアプリケーションにプロビジョニングされます。デフォルトは、最新の現行変更番号です。
max_prov_failure_limit=number
オプション。Oracleプロビジョニング・システムでユーザーのプロビジョニングを試行する回数を指定します。デフォルトは1です。
max_events_per_schedule=number
create
およびmodify
操作でのみオプション。プロビジョニング・プロファイルの1回の実行でOracle Directory Integration Platform Serverからアプリケーションに送信するイベントの最大数。デフォルトは100です。
max_events_per_invocation=number
create
およびmodify
操作でのみオプション。インタフェースの1回の起動でパッケージ化してターゲットに送信するイベントの最大数。
event_mapping_rules="OBJECT_TYPE:FILTER:DOMAIN"
INBOUND
イベントのcreate
およびmodify
操作でのみ必須。このルールにより、(オプションのフィルタ条件を使用して)アプリケーションから取得したオブジェクト・タイプをOracle Internet Directoryのドメインにマップします。1つのプロビジョニング・プロファイルに複数のマッピング・ルールを定義できます。
次の例は、2つのマッピング・ルールを示しています。1番目のルールでは、地域属性がアメリカに等しい(l=AMERICA
)従業員オブジェクト(EMP
)が、ドメインl=AMER,cn=users,dc=company,dc=com
にマップされます。2番目のルールでは、フィルタ条件なしで、従業員オブジェクト(EMP
)がドメインcn=users,dc=company,dc=com
にマップされます。
event_mapping_rules="EMP:l=AMERICA:l=AMER,cn=users,dc=company,dc=com" event_mapping_rules="EMP::cn=users,dc=company,dc=com"
event_permitted_operations="OBJECT:DOMAIN:OPERATION(attributes,...)
INBOUND
イベントのcreate
およびmodify
操作でのみ必須。このプロパティを使用して、Oracle Directory Integration Platformサービスへの送信をアプリケーションに許可するイベントのタイプを定義します。1つのプロビジョニング・プロファイルに複数の許可操作を定義できます。
たとえば、ユーザー・オブジェクトが追加または削除された場合、または特定の属性が変更された場合にアプリケーションがイベントを送信することを許可するには、次のような3つの許可操作を定義します。
event_permitted_operations="USER:dc=mycompany,dc=com:ADD(*)" event_permitted_operations="USER:dc=mycompany,dc=com:MODIFY(cn,sn,mail,password)" event_permitted_operations="USER:dc=mycompany,dc=com:DELETE(*)"
event_subscription="USER | GROUP:DOMAIN:OPERATION(attributes,...)"
OUTBOUND
イベントのcreate
およびmodify
操作でのみ必須。このプロパティを使用して、Oracle Directory Integration Platformサービスからアプリケーションに送信するイベントのタイプを定義します。1つのプロビジョニング・プロファイルに複数のイベント・サブスクリプションを定義できます。
たとえば、ユーザーまたはグループ・オブジェクトが追加または削除された場合にディレクトリ統合サーバーからアプリケーションにイベントを送信するには、次のような4つのイベント・サブスクリプションを定義します。
event_subscription="GROUP:dc=mycompany,dc=com:ADD(*)" event_subscription="GROUP:dc=mycompany,dc=com:DELETE(*)" event_subscription="USER:dc=mycompany,dc=com:ADD(*)" event_subscription="USER:dc=mycompany,dc=com:DELETE(*)"
max_events_per_schedule=number
create
およびmodify
操作でのみオプション。1回のスケジュールでプロビジョニングするイベントの最大数。デフォルトは100です。
max_retries=number
create
およびmodify
操作でのみオプション。失敗したイベントを再試行する回数。デフォルトは5です。
profile_group=number
create
およびmodify
操作でのみ必須。プロファイルのグループ番号。デフォルトはDEFAULTです。この引数は、異なるOracle Directory Integration Platform Serverインスタンスを使用して様々な選択グループを実行する場合に発生するスケーラビリティの問題に対処するために必要です。
profile_status=ENABLED | DISABLED
create操作でのみ必須。プロファイルの有効化または無効化を指定します。デフォルトはENABLEDです。
profile_debug=debug_level
必須。プロファイルのデバッグ・レベル。
プロビジョニング登録ツール(oidprovtool
)を使用すると、次のタスクを実行できます。
次の例では、Oracle Internet Directoryで管理されているユーザーおよびグループ情報の更新をPortalで認識できるように、新規プロビジョニング・プロファイルを作成します。
例:
oidprovtool operation=create ldap_host=myhost.mycompany.com ldap_port=3060 \ ldap_user_dn="cn=orcladmin" application_dn="orclApplicationCommonName=PORTAL,cn=Portal,cn=Products,cn=OracleContext" \ organization_dn="dc=us,dc=mycompany,dc=com" interface_name=PORTAL.WWSEC_OID_SYNC \ interface_type=PLSQL interface_connect_info=myhost:1521:iasdb:PORTAL:password \ schedule=360 event_subscription="USER:dc=us,dc=mycompany,dc=com:DELETE" \ event_subscription="GROUP:dc=us,dc=mycompany,dc=com:DELETE" \ event_subscription="USER:dc=us,dc=mycompany,dc=com:MODIFY(orclDefaultProfileGroup,userpassword)" \ event_subscription="GROUP:dc=us,dc=mycompany,dc=com:MODIFY(uniqueMember)" \ profile_mode=OUTBOUND
次の例では、Portalアプリケーションの既存のプロビジョニング・プロファイルを変更します。ユーザー・エントリの変更時にプロビジョニングされる属性のイベント・サブスクリプションを変更します。
例:
oidprovtool operation=modify ldap_host=myhost.mycompany.com ldap_port=3060 \ ldap_user_dn="cn=orcladmin" application_dn="orclApplicationCommonName=PORTAL,cn=Portal,cn=Products,cn=OracleContext" \ organization_dn="dc=us,dc=mycompany,dc=com" \ subscription="USER:dc=us,dc=mycompany,dc=com:MODIFY(orclDefaultProfileGroup,userpassword,mail,cn,sn)"
次の例では、Portalアプリケーションのプロビジョニング・プロファイルを無効化します。
例:
oidprovtool operation=delete ldap_host=myhost.mycompany.com ldap_port=3060 \ ldap_user_dn="cn=orcladmin" application_dn="orclApplicationCommonName=PORTAL,cn=Portal,cn=Products,cn=OracleContext" \ organization_dn="dc=us,dc=mycompany,dc=com"
次の例では、Portalアプリケーションのプロビジョニング・プロファイルを無効化します。
例:
oidprovtool operation=disable ldap_host=myhost.mycompany.com ldap_port=3060 \ ldap_user_dn="cn=orcladmin" application_dn="orclApplicationCommonName=PORTAL,cn=Portal,cn=Products,cn=OracleContext" \ organization_dn="dc=us,dc=mycompany,dc=com"
dipStatus
ユーティリティでは、Oracle Directory Integration Platformのステータスと、Oracle Directory Integration Platformが登録されているかどうかを確認できます。
-h | -host
Oracle Directory Integration Platformがデプロイされている管理サーバーが稼働しているWebLogic Serverのホスト名。
-p | -port
Oracle Directory Integration PlatformアプリケーションがデプロイされているOracle WebLogic ManagedServerのリスニング・ポート。
-D | -wlsuser
WebLogic ServerのログインID。
注意: WebLogic Serverのログイン・パスワードの入力を求められます。コマンドライン引数としてパスワードを指定することはできません。コマンドから入力を求められたときにのみパスワードを入力するのがセキュリティのベスト・プラクティスです。スクリプトから |
-help
コマンドの使用方法のヘルプを出力します。
schemasync
ユーティリティでは、Oracle Internet Directoryサーバーとサード・パーティのLDAPディレクトリ間でスキーマ要素(属性とオブジェクトクラス)の同期をとることができます。
スキーマの同期中に発生するエラーは、次のファイルに記録されます。
ORACLE_HOME
/ldap/odi/log/attributetypes.log
ORACLE_HOME
/ldap/odi/log/objectclasses.log
schemasync
schemasync -srchost hostname -srcport port -srcdn bindDN -srcpwd password -dsthost hostname -dstport port -dstdn bindDN -dstpwd password [-ldap]
-srchost hostname
必須。ソース・ディレクトリ・サーバーのホスト名。
-srcport port
必須。ソース・ディレクトリ・サーバーのLDAPリスニング・ポート(3060など)
-srcdn bindDN
必須。ソース・ディレクトリへのバインドに使用するユーザーのDN。このユーザーは、スーパーユーザー(cn=orcladmin
)のように、ディレクトリ・スキーマを変更する権限を保持している必要があります。
-srcpwd password
オプション。ソース・ディレクトリへのバインドに使用するユーザー・パスワード。コマンドラインでパスワードを指定しない場合、パスワードの入力を求められます。入力を求められたときにパスワードを入力するのがセキュリティのベスト・プラクティスです。
-dsthost hostname
必須。宛先となるディレクトリ・サーバーのホスト名。
-dstport port
必須。宛先となるディレクトリ・サーバーのLDAPリスニング・ポート(3060など)
-dstdn bindDN
オプション。宛先となるディレクトリへのバインドに使用するユーザーのDN。このユーザーは、スーパーユーザーのように、ディレクトリ・スキーマを変更する権限を保持している必要があります。
-dstpwd password
必須。宛先となるディレクトリへのバインドに使用するユーザー・パスワード。コマンドラインでパスワードを指定しない場合、パスワードの入力を求められます。入力を求められたときにパスワードを入力するのがセキュリティのベスト・プラクティスです。
-ldap
オプション。指定する場合、スキーマ変更は、ソースLDAPディレクトリから宛先となるLDAPディレクトリに直接適用されます。指定しない場合、スキーマ変更は、次のLDIFファイルに配置されます。
ORACLE_HOME/ldap/odi/data/attributetypes.ldif: このファイルは、新しい属性の定義を持ちます。
ORACLE_HOME/ldap/odi/data/objectclasses.ldif: このファイルは、新しいオブジェクト・クラス定義を持ちます。
-ldap
を指定しない場合は、「ldapmodify」を使用して、属性のタイプ、オブジェクト・クラスの順に、これらの2つのファイルから定義をアップロードする必要があります。
schemasync
コマンドライン・ツールを使用すると、次のタスクを実行できます。
次の例は、Oracle Internet Directoryとサード・パーティのディレクトリ・サーバー間でスキーマの同期をとる方法を示しています。
例:
schemasync -srchost myhost1.mycompany.com -srcport 3060 -srcdn "cn=orcladmin" \ -dsthost myhost2.mycompany.com -dstport 3060 \ -dstdn "uid=superuser,ou=people,dc=mycompany,dc=com" -ldap