| Oracle Identity Manager CA-Top Secret Advanced Connectorガイド リリース9.0.4 E05494-03 |
|
 戻る |
 次へ |
次の項では、Oracle Identity Managerのホスト・コンピュータにLDAP Gatewayをデプロイする手順を説明します。
ターゲット・システムの複数のインストールに対してコネクタを構成する場合は、次の項を参照してください。
|
関連項目: メインフレームでのReconciliation AgentおよびProvisioning Agentのデプロイ手順は、第3章「CA-Top Secretでのコネクタのデプロイ」を参照してください。 |
表2-1に、コネクタ・インストール・メディアの内容を示します。
表2-1 コネクタを構成するファイルおよびディレクトリ
| ファイルおよびディレクトリ | ファイルおよび内容の説明 |
|---|---|
|
etc/LDAP Gateway/ldapgateway.zip |
LDAP Gatewayのデプロイに必要なファイル。 |
|
etc/Provisioning and Reconciliation Connector/ディレクトリにあるファイル |
メインフレームでのProvisioning AgentおよびReconciliation Agentのデプロイに必要なファイル。 |
|
lib/idm.jar |
Oracle Identity ManagerシステムにデプロイされるコネクタのJARファイル。Oracle Identity Managerプロセス・タスク・アダプタ・コードを含みます。 |
|
lib/topsecret-adv-agent-recon.jar lib/topsecretConnection.properties |
Oracle Identity Managerとターゲット・システム間のリアルタイム・リコンシリエーションに必要なファイル。 |
|
resourcesディレクトリにあるファイル |
これらの各リソース・バンドルには、コネクタで使用されるロケール固有の情報が含まれます。 注意: リソース・バンドルは、Oracle Identity Managerのユーザー・インタフェースに表示されるローカライズ・バージョンのテキスト文字列を含むファイルです。これらのテキスト文字列には、管理およびユーザー・コンソールに表示されるGUI要素のラベルおよびメッセージが含まれます。 |
|
scriptsディレクトリにあるファイル:
|
Oracle Identity Managerでの最初の(初期)リコンシリエーションの実行に使用されるファイル。 |
|
scripts/user.txt |
初期リコンシリエーション時に使用されるユーザー・データが含まれているファイルのサンプル。 このファイルの詳細は、「初期リコンシリエーションの実行」を参照してください。 |
|
xml/oimTopSecretAdvancedConnector.xml |
このXMLファイルには、リコンシリエーションとプロビジョニングに関連するコネクタ・コンポーネントの定義が含まれます。コンポーネントは次のとおりです。
|
|
xml/oimTopSecretTrustedXellerateUser.xml |
信頼できるソース・リコンシリエーションのコネクタのコンポーネント定義が含まれるXMLファイル。 |
表2-2に示すように、コネクタ・ファイルをOracle Identity Managerホスト・コンピュータのコピー先ディレクトリにコピーします。
|
注意: これらのファイルの詳細は、「コネクタを構成するファイルおよびディレクトリ」を参照してください。この表に記載されていないファイルはコピーしないでください。これらのファイルは、後のデプロイメント手順で使用します。 |
表2-2 コネクタ・ファイルのコピー
| ファイル | コピー先 |
|---|---|
|
LDAP_INSTALL_DIR LDAP GatewayをインストールするOracle Identity Managerホスト・コンピュータ上のディレクトリです。LDAP Gatewayのインストールの詳細は、「LDAP Gatewayのインストールおよび構成」を参照してください。 |
|
|
lib/topsecret-adv-agent-recon.jar lib/topsecretConnection.properties |
LDAP_INSTALL_DIR/etc |
|
scriptsディレクトリにあるファイル:
|
OIM_HOME/xellerate/JavaTasks/
|
OIM_HOME/xellerate/connectorResources/
|
|
|
xml/oimTopSecretAdvancedConnector.xml xml/oimTopSecretTrustedXellerateUser.xml |
OIM_HOME/xellerate/XLIntegrations/tops/xml/
|
Oracle Identity Managerの構成には、次の手順があります。
|
注意: クラスタ環境では、クラスタの各ノードでこれらのステップを実行する必要があります。 |
「コネクタ・ファイルのコピー」で説明した手順を実行するときは、このコネクタのリソース・バンドルをOIM_HOME/xellerate/connectorResourcesディレクトリにコピーします。connectorResourcesディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュからクリアする必要があります。
コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。
コマンド・ウィンドウで、OIM_HOME/xellerate/bin/ディレクトリに移動します。
|
注意: 手順1を実行してから手順2を実行してください。手順2で次のようにコマンドを実行すると、例外がスローされます。OIM_HOME/xellerate/bin/BATCH_FILE _NAME |
次のいずれかのコマンドを入力します。
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
|
注意: 手順2の実行時にスローされる例外は無視できます。この例外は、手順1で示した例外とは異なります。 |
このコマンドのConnectorResourceBundleは、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。
OIM_HOME/xellerate/config/xlConfig.xml
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ALL
このレベルでは、すべてのイベントのロギングが有効化されます。
DEBUG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を大まかに示すメッセージのロギングが有効化されます。
WARN
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
ERROR
このレベルでは、アプリケーションを続行できる可能性があるエラー・イベントに関する情報のロギングが有効化されます。
FATAL
このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。
OFF
このレベルでは、すべてのイベントのロギングが無効化されます。
ログ・レベルを設定するファイルおよびログ・ファイルのパスは、使用するアプリケーション・サーバーによって異なります。
JBoss Application Server
ロギングを有効にするには、次のようにします。
JBOSS_HOME/server/default/conf/log4j.xmlファイルで、次の行を追加します。
<category name="IdfTopsUserOperations">
<priority value="LOG_LEVEL"/>
</category>
2行目で、LOG_LEVELを、設定するログ・レベルに置換します。次に例を示します。
<category name="IdfTopsUserOperations">
<priority value="INFO"/>
</category>
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
JBOSS_HOME/server/default/log/server.log
IBM WebSphere Application Server:
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルで、次の行を追加します。
log4j.logger.IdfTopsUserOperations=LOG_LEVEL
この行で、LOG_LEVELを、設定するログ・レベルに置換します。次に例を示します。
log4j.logger.IdfTopsUserOperations=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WEBSPHERE_HOME/AppServer/logs/SERVER_NAME/SystemOut.log
BEA WebLogic Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルで、次の行を追加します。
log4j.logger.IdfTopsUserOperations=LOG_LEVEL
この行で、LOG_LEVELを、設定するログ・レベルに置換します。次に例を示します。
log4j.logger.IdfTopsUserOperations=INFO
ロギングを有効化すると、ログ情報がサーバー・コンソールに表示されます。
Oracle Application Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルで、次の行を追加します。
log4j.logger.IdfTopsUserOperations=LOG_LEVEL
この行で、LOG_LEVELを、設定するログ・レベルに置換します。次に例を示します。
log4j.logger.IdfTopsUserOperations=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
OAS_HOME/opmn/logs/default_group~home~default_group~1.log
コネクタのXMLファイルをOracle Identity Managerにインポートするには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを検索するダイアログ・ボックスが表示されます。
oimTopSecretAdvancedConnector.xmlファイルを探して開きます。これは、OIM_HOME/xellerate/XLIntegrations/tops/xml/ディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「次へ」をクリックします。TopSecretResource ITリソースの「ITリソース・インスタンス・データの提供」ページが表示されます。
OIMTopSecretResourceObject ITリソースのパラメータの値を指定します。表2-3に、指定する値を示します。
表2-3 ITリソースの定義
| パラメータ | 説明 |
|---|---|
|
AtMap User |
プロビジョニングに使用される属性マッピングが含まれている参照定義の名前 値: 注意: このパラメータの値を変更しないでください。 |
|
idfPrincipalDn |
LDAP Gatewayに接続するための管理者ID サンプル値: |
|
idfPrincipalPwd |
LDAP Gatewayに接続するための管理者パスワード |
|
idfRootContext |
CA-Top Secretのルート・コンテキスト 値: 注意: このパラメータの値を変更しないでください。 |
|
idfServerHost |
LDAP Gatewayに接続するためのホスト名 値: 注意: このパラメータの値を変更しないでください。 |
|
idfServerPort |
LDAP Gatewayに接続するためのポート サンプル値: |
「次へ」をクリックします。TopSecretResource ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
「スキップ」をクリックして、他のITリソースを定義しないことを指定します。「確認」ページが表示されます。
「選択内容の表示」をクリックします。
XMLファイルの内容が「インポート」ページに表示されます。ノードの横に十字形のアイコンが表示されることがあります。これらのノードは、冗長なOracle Identity Managerエンティティを示しています。コネクタのXMLファイルをインポートする前に、各ノードを右クリックして「削除」を選択し、これらのエンティティを削除する必要があります。
「インポート」をクリックします。コネクタのファイルがOracle Identity Managerにインポートされます。
アダプタは、プロビジョニング機能を実装するために使用されます。コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。
CreateTopsUser
OnBoardUser
ResetTopsPassword
ChangeTopsUserPassword
DeleteTopsUser
RevokeTopsUser
ResumeTopsUser
AddTopsUserToGroup
RemoveTopsUserFromGroup
AddTopsUserToDataset
RemoveTopsUserFromDataset
AddTopsUserToFacility
RemoveTopsUserFromFacility
ModifyTopsUser
RevokeTopsUserUntil
ResumeTopsUserUntil
これらのアダプタは、プロビジョニング操作で使用する前にコンパイルする必要があります。「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
「アダプタ・マネージャ」フォームを開きます。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」をクリックします。
独自のアダプタを作成した場合や、インストールしたパッチに新しいアダプタが同梱されていた場合は、アダプタを1つずつコンパイルする必要があります。(すべてではないが)複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」をクリックします。
「開始」をクリックします。指定したアダプタがOracle Identity Managerによってコンパイルされます。
Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_HOME/xellerate/Adapterディレクトリから、コンパイル済のアダプタをクラスタの他の各ノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。
LDAP Gatewayをインストールして構成するには、次のようにします。
ldapgateway.zipファイルの内容を、Oracle Identity Managerがインストールされているコンピュータのディレクトリに抽出します。
|
注意: このドキュメントでは、ldapgatewayディレクトリの場所(および名前)をLDAP_INSTALL_DIRと表します。 |
テキスト・エディタで次のスクリプトを開きます。
LDAP_INSTALL_DIR/bin/ディレクトリから、run.shスクリプトまたはrun.batスクリプトを開きます。
OIM_HOME/Xellerate/JavaTasksディレクトリから、run_initial_recon_provisioningスクリプトを開きます。
runスクリプトの中で、次のようにします。
次のようにしてJAVA_HOMEプロパティを設定します。
JAVA_HOME=DIRECTORY_LOCATION\j2sdj1.4.2_13
DIRECTORY_LOCATIONをディレクトリのフルパスに置き換えます。
単一のLinux環境またはSolaris環境で複数のLDAP Gatewayを実行することを計画し、サーバーで必要なすべてのポートを開くために十分な数のソケット・ファイル記述子が存在していない場合は、次の行を追加します。
-Djava.nio.channels.spi.SelectorProvider=sun.nio.ch.PollSelectorProvider
runスクリプトおよびrun_initial_recon_provisioningスクリプトで、アプリケーション・サーバー・ディレクトリに関連する行を非コメント化します。さらに、アプリケーション・サーバー・ディレクトリの実際の場所を反映するようにパスを変更します。
|
注意: runスクリプトおよびrun_initial_recon_provisioningスクリプトの内容は類似しています。両方のスクリプトで同じ変更を行う必要があります。 |
次のように番号記号(#)で始まる行はコメントです。
##### SET JBOSS HOME ################## #APPSERVER_HOME=/opt/ldapgateway/lib/jboss-4.0.2
この行を非コメント化するには、番号記号を削除します。たとえば、コネクタがJBoss Application Serverで機能するように、この行を次のように変更します。
##### SET JBOSS HOME ################## APPSERVER_HOME=/opt/ldapgateway/lib/jboss-4.0.2
テキスト・エディタでLDAP_INSTALL_DIR/conf/TOPS.propertiesファイルを開きます。このファイルに、使用するメッセージ・トランスポート・レイヤーの次のプロパティの情報を指定します。
TCP/IPの場合、デフォルト値は次のとおりです。
_type_=socket
_isencrypted_=true
_timeout_=5000
_authretries_=2
_host_=HOST_NAME_OR_IP_ADDRESS_OF_MAINFRAME
_port_=5790
_agentport_=5190
_nameFormat_=fn|sp|ln
_configSegment_=METADIR
_configAttrs_=ATTR1|ATTR2
構成可能なプロパティを次に示します。
_type_: トランスポート・タイプ。TCP/IP(ソケット)です。
_host_: メインフレームのホスト名またはIPアドレス。
|
注意: Oracle Identity ManagerがインストールされているコンピュータでLDAP Gatewayを構成する場合は、_host_プロパティの値としてlocalhostを指定します。別のコンピュータ上でLDAP Gatewayを構成する場合は、そのコンピュータのホスト名およびIPアドレスを_host_プロパティの値として指定します。ただし、LDAP GatewayをOracle Identity Managerと同じコンピュータにインストールすることをお薦めします。 |
_port_: Pioneer Provisioning Agentのポート。
_agentport_: メッセージを送信するためにReconciliation Agentが使用するポート。
_nameFormat_: 「完全名」属性の形式を指定するために使用されるプロパティ。
_configSegment_: セグメントの名前を指定するために使用されるプロパティ。セグメントによって、CA-Top Secretでプロファイル情報が分離されます。METADIRはセグメントの例です。デフォルト・セグメントの例は、PASSWORDおよびCICSです。
_configAttrs_: リコンシリエーションのために、CA-Top Secretフィールドの名前と一致するカスタム・フィールドをTOPS.propertiesファイルの_configAttrs_プロパティに追加します。
TOPS.propertiesファイルで、次のプロパティを使用して、「ユーザーの無効化」プロビジョニング操作の実行時に、アクセス権を取り消すかユーザーを削除するかを指定します。
# DEFAULT ACTION WHEN DELETE FUNCTION USED
_defaultDelete_=delete
「ユーザーの無効化」プロビジョニング操作の結果としてターゲット・システムでユーザーを無効にする場合は、このプロパティの値をrevokeに設定します。
「ユーザーの無効化」プロビジョニング操作の結果としてターゲット・システムからユーザーを削除する場合は、このプロパティの値をdeleteに設定します。
TOPS.propertiesファイルで、_nameFormat_プロパティを使用して、「完全名」属性の形式を指定します。
指定する形式のコンポーネントとして次の要素を使用できます。
名を表すにはfnを使用します。
空白文字を表すにはspを使用します。
姓を表すにはlnを使用します。
カンマを表すにはカンマ(,)を使用します。
ピリオドを表すにはピリオド(.)を使用します。
コンポーネントの区切りとして縦線(|)を使用します。
次の行は、_nameFormat_プロパティのサンプル値です。
_nameFormat_=fn|sp|ln
LDAP_INSTALL_DIR/etc/topsecretConnection.propertiesファイルを開き、次のプロパティを編集します。
|
注意: OIM_HOME/xellerate/JavaTasksディレクトリにあるinitialTopSecretAdv.propertiesファイルでも、この変更を行う必要があります。 |
_itResource_=NAME_OF_THE_NEW_IT_RESOURCE
NAME_OF_THE_NEW_IT_RESOURCEを「コネクタのXMLファイルのインポート」の手順8で作成したITリソースの名前に置換します。
LDAP_INSTALL_DIR/dist/idfserver.jarファイルからbeans.xmlファイルを抽出し、エディタで開いて次のように値を設定します。
ターゲット・システムの管理者資格証明
beans.xmlファイルの次の行に含まれている管理者資格証明を変更する必要があります。
|
注意: これらの行の、太字フォントで強調されている値を変更できます。beans.xmlファイルに入力する値は、ITリソース・パラメータに対して指定した値およびtopsecretConnection.propertiesファイルとinitialTopSecretAdv.propertiesファイルのプロパティと同じにする必要があります。beans.xmlファイルにパスワードを入力する前に、パスワードを暗号化する手順の詳細は、「beans.xmlファイルの中で使用するパスワードの暗号化」を参照してください。 |
<property name="adminUserDN" value="cn=oimTOPSAdmin,dc=TOPS,dc=com"/> <property name="adminUserPassword" value="password"/>
LDAP Gatewayとコネクタのインストールに使用するメインフレーム論理分割(LPAR)の間の通信用ポート
ポート・プロパティのデフォルト値は5389です。この値を変更する場合は、beans.xmlファイル内に定義されているportプロパティの値を編集してください。
<property name="port" value="5389"/>
LDAP Gatewayサーバーでロギングを有効にするには、次のようにします。
LDAP_INSTALL_DIR/dist/idfserver.jarファイルからlog4j.propertiesファイルを抽出します。
log4j.rootLogger変数が次のように設定されていることを確認します。
log4j.rootLogger=DEBUG, A1
ファイルを保存して閉じます。
コネクタの使用を開始すると、次のLDAP Gatewayのログ・ファイルがLDAP_INSTALL_DIR/logsディレクトリに生成されます。
idfserver.log.0: これはメイン・ログ・ファイルです。
topsecret-agent-recon.log: これは継続的なリコンシリエーション・ログ・ファイルであり、Oracle Identity Managerのリコンシリエーション・メッセージを保存します。
topsagent.log.0: このファイルは現時点では冗長であり、将来のリリースでは削除される予定です。
beans.xmlファイルへの変更を保存し、idfserver.jarファイルを再作成します。
|
注意:
|
beans.xmlファイルの中で使用するパスワードの暗号化
beans.xmlファイルに入力するパスワードを暗号化するには、次のようにします。
インストール・メディアから一時ディレクトリに次のスクリプト・ファイルのいずれかをコピーし、テキスト・エディタでそのスクリプト・ファイルを開きます。
Microsoft Windowsの場合:
/scripts/propertyEncrypt.bat
UNIXの場合:
/scripts/propertyEncrypt.sh
ファイルの次のプロパティに値を指定します。
SET CLASSPATH=DIRECTORY_LOCATION\idfserver.jar
DIRECTORY_LOCATIONを、コネクタをデプロイしたときにidfserver.jarファイルをコピーしたディレクトリのフルパスに置き換えます。
次に例を示します。
SET CLASSPATH=C:\software\identityforge\ldapgateway\dist\idfserver.jar
%JAVACMD% %JVM_OPTS% -cp %CLASSPATH% com.identityforge.idfserver.util.AESCipherUtil PLAINTEXT_PASSWORD
PLAINTEXT_PASSWORDを、暗号化に使用するパスワードに置き換えます。
次に例を示します。
%JAVACMD% %JVM_OPTS% -cp %CLASSPATH% com.identityforge.idfserver.util.AESCipherUtil idfTopsPwd
propertyEncrypt.batまたはpropertyEncrypt.shスクリプト・ファイルに加えた変更を保存します。
スクリプトを実行します。
指定したパスワードがこのスクリプトによって暗号化され、コマンド・ウィンドウに表示されます。
次のように、暗号化済のパスワードをbeans.xmlディレクトリにコピーします。
LDAP_INSTALL_DIR/dist/idfserver.jarファイルからbeans.xmlファイルを抽出します。
このファイルで、次の文字列を検索します。
<property name="adminUserPassword"
このプロパティの値を、暗号化済のパスワードに置き換えます。
次に例を示します。
<property name="adminUserPassword" value="468018DD1CDBE82E515EBF78A41C428E"/>
ターゲット・システムの複数のインストールに対してコネクタを構成できます。また、最初の論理分割(LPAR)に関連付けられていない複数のLPARがターゲット・システムで構成されているシナリオのコネクタも構成できます。
ターゲット・システムの各インストールに対し、ITリソースを作成して、LDAP Gatewayの追加のインスタンスを構成します。
ターゲット・システムの2番目のインストールのコネクタを構成するには、次のようにします。
|
注意: ターゲット・システムのインストールごとに、同じ手順を実行してください。 |
OIMLDAPGatewayResourceType ITリソース・タイプに基づくITリソースを作成します。
|
関連項目:
|
現行のLDAP_INSTALL_DIRディレクトリおよびすべてのサブディレクトリを新しい場所にコピーします。
|
注意: 後続の手順のLDAP_INSTALL_DIRは、新しくコピーされたディレクトリを指します。 |
LDAP_INSTALL_DIR/dist/idfserver.jarファイルの内容を抽出します。
beans.xmlファイルで、<property name="port" value="xxxx"/>内のポートの値を変更し、LDAP Gatewayの最初のインスタンスに使用するものと異なるポートを指定します。次の例ではデフォルトのポート番号が使用されています。
<bean id="listener" class="com.identityforge.idfserver.nio.Listener">
<constructor-arg><ref bean="bus"/></constructor-arg>
<property name="admin"><value>false</value></property>
<property name="config"><value>../conf/listener.xml</value></property>
<property name="port" value="5389"/>
</bean>
ポート番号を変更した場合は、作成したITリソースのidfServerPortパラメータの値でも同じ変更を行う必要があります。
beans.xmlファイルを保存して閉じます。
LDAP_INSTALL_DIR/conf/TOPS.propertiesファイルを開き、次のパラメータを編集します。
_host_=IP_ADDRESS_OR_HOST_NAME_OF_THE_MAINFRAME
_port_=PORT_OF_THE_SECOND_INSTANCE_OF_THE_PROVISIONING_AGENT
_agentPort_=PORT_OF_THE_SECOND_INSTANCE_OF_THE_RECONCILIATION_AGENT
|
注意: 最初のLPARと関連付けられていない2番目のLPARがターゲット・システムで構成されている場合は、_agentPort_パラメータの値を最初のインスタンスの値と同じにしないでください。2台のメインフレーム・サーバーがあり各サーバーでCA-Top Secretが実行されている場合は、この値をidfServerPortパラメータの値と同じにすることができます。 |
LDAP_INSTALL_DIR/etc/TopSecretConnection.propertiesファイルを開き、次のプロパティを編集します。
_itResource_=NAME_OF_THE_NEW_IT_RESOURCE
