コネクタをデプロイするには次の手順を実行します。
次の表に、コネクタのデプロイ要件を示します。
項目 | 要件 |
---|---|
Oracle Identity Manager | Oracle Identity Managerリリース8.5.3.1以上。 |
ターゲット・システム | Microsoft Active Directoryサーバー(Microsoft Windows 2000、2003) |
ターゲット・システムのホスト・プラットフォーム | ターゲット・システムのホスト・プラットフォームは次のいずれかです。
|
その他のソフトウェア | 証明書サービス |
外部コード | ldapbp.jar |
ターゲット・システムのユーザー・アカウント | Microsoft Windows 2000または2003 Server(ドメイン・コントローラ)の管理者
「ITリソースの定義」の項の手順を実行する際に、このユーザー・アカウントの資格証明を指定します。 指定したユーザー・アカウントが使用されていない場合は、認証エラーのメッセージが表示されます。 |
ターゲット・システムを構成するには、次の手順を実行します。
親組織がターゲット・サーバーにインストールにされていることを確認してください。親組織は、ITリソース定義でRoot Context
パラメータの値として指定されます。このパラメータの詳細は、「ITリソースの定義」を参照してください。
Microsoft Active Directoryでは、「パスワードは、複雑さの要件を満たす必要がある」というポリシー設定を使用して、パスワード・ポリシーを有効化または無効化します。Oracle Identity ManagerとMicrosoft Active Directoryとの間の通信を保護するために、SSLを使用するかどうかを選択できます。
注意: SSLの構成手順は、このガイドで後述します。 |
実行する必要のある手順は、SSLを構成してパスワード・ポリシーを強制するかどうかによって異なります。
SSLを構成せず、Oracle Identity Managerを介してMicrosoft Active Directoryユーザーのプロビジョニングを試行する場合は、Oracle Identity Managerを使用してユーザー・パスワードを更新できません。そのため、通信がSSLで保護されていない場合、Microsoft Active Directoryの既存のパスワード・ポリシーをすべて無効化する必要があります。これは、「パスワードは、複雑さの要件を満たす必要がある」ポリシー設定を無効化することで行います。
SSLを構成し、デフォルトのMicrosoft Windowsパスワード・ポリシーおよびカスタム・パスワード・ポリシーの両方を強制する場合は、「パスワードは、複雑さの要件を満たす必要がある」ポリシー設定を有効化する必要があります。
「パスワードは、複雑さの要件を満たす必要がある」ポリシー設定を有効化または無効化するには、次のようにします。
Active Directoryドメイン・コントローラをホストし、パスワード同期モジュールをインストールしているMicrosoft Windowsコンピュータで、「ドメイン セキュリティ ポリシー」アプリケーションを起動します。
これには、Microsoft Windowsコンピュータで、「スタート」メニュー、「プログラム」、「管理ツール」、「ドメイン セキュリティ ポリシー」の順にクリックします。
Microsoft Active Directory 2003を使用している場合は、次のステップに進んでください。
Microsoft Active Directory 2000を使用している場合は、「ドメイン セキュリティ ポリシー」アプリケーション・ウィンドウの左ペインにある「Windowsの設定」を選択してから、次のステップに進みます。
「セキュリティ設定」を選択し、「アカウント ポリシー」を拡張して「パスワード ポリシー」をクリックします。
「パスワードは、複雑さの要件を満たす必要がある」をダブルクリックします。
「パスワードは、複雑さの要件を満たす必要がある」ダイアログ・ボックスで「このポリシーの設定を定義する」を選択し、次を選択します。
有効: パスワード・ポリシーを有効化する場合
無効: パスワード・ポリシーを有効化しない場合
「OK」をクリックします。
コピーするコネクタのファイルと、コピーする必要があるディレクトリを次の表に示します。
インストール・メディア・ディレクトリのファイル | コピー先ディレクトリ |
---|---|
lib/xliActiveDirectory.jar |
OIM_home/xellerate/JavaTasks
|
lib/xliADRecon.jar |
OIM_home/xellerate/ScheduleTask
|
resources ディレクトリにあるファイル |
OIM_home/xellerate/connectorResources
|
scripts ディレクトリにあるファイル |
OIM_home/xellerate/scripts
install.bat (またはinstall.sh )ファイルをコピーした後で、テキスト・エディタを使用して開き、JDKディレクトリの実際の場所をファイルに指定します。 |
test ディレクトリにあるディレクトリとファイル |
OIM_home/xellerate/test
|
xml ディレクトリにあるファイル |
OIM_home/xellerate/XLIntegrations/ActiveDirectory/xml
|
ldapbp.jar
ファイルを必要なディレクトリにコピーするには、次のようにします。
次のSun社のWebサイトにログオンします。
「Download JNDI 1.2.1 & More」ボタンをクリックします。
表示されるページの表で、ldapbp.jar
ファイルを含むファイルを選択してダウンロードします。
ldapbp.jar
ファイルを、Oracle Identity ManagerサーバーのOIM_home
/xellerate/ThirdParty
ディレクトリにコピーします。
注意: Oracle Identity Managerをクラスタ環境にインストールするときは、インストール・ディレクトリの内容をクラスタの各ノードにコピーします。同じく、connectorResources ディレクトリの内容とJARファイルも、クラスタの各ノードの対応するディレクトリにコピーする必要があります。 |
Oracle Identity Managerサーバーを構成するには、次の手順を実行します。
注意: クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。 |
必要な入力ロケール(言語および国の設定)に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。
必要な入力ロケールに変更するため、システム管理者の支援が必要となる場合があります。
「コネクタ・ファイルおよび外部コード・ファイルのコピー」の項で説明した手順を実行する一方で、インストール・メディアのresources
ディレクトリにあるファイルを、OIM_home
/xellerate/connectorResources
ディレクトリにコピーします。connectorResources
ディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。
コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。
コマンド・ウィンドウで、OIM_home
/xellerate/bin
ディレクトリに移動します。
注意: ステップ1を実行してからステップ2を実行してください。ステップ2で次のようにコマンドを実行すると、例外がスローされます。OIM_home/xellerate/bin/batch_file_name |
次のいずれかのコマンドを入力します。
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
注意: ステップ2の実行時にスローされる例外は無視できます。 |
このコマンドのConnectorResourceBundle
は、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。
OIM_home/xellerate/config/xlConfig.xml
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ALL
このレベルでは、すべてのイベントのロギングが有効化されます。
DEBUG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を大まかに示す情報メッセージのロギングが有効化されます。
WARN
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
ERROR
このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。
FATAL
このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。
OFF
このレベルでは、すべてのイベントのロギングが無効化されます。
ログ・レベルを設定するファイルおよびログ・ファイルのパスは、使用するアプリケーション・サーバーによって異なります。
BEA WebLogic
ロギングを有効にするには、次のようにします。
OIM_home
/xellerate/config/log.properties
ファイルに次の行を追加します。
log4j.logger.XELLERATE=log_level log4j.logger.XL_INTG.ACTIVEDIRECTORY=log_level
これらの行で、log_level
を、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO log4j.logger.XL_INTG.ACTIVEDIRECTORY=INFO
ロギングを有効化すると、ログ情報がサーバー・コンソールに表示されます。
IBM WebSphere
ロギングを有効にするには、次のようにします。
OIM_home
/xellerate/config/log.properties
ファイルに次の行を追加します。
log4j.logger.XELLERATE=log_level log4j.logger.XL_INTG.ACTIVEDIRECTORY=log_level
これらの行で、log_level
を、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO log4j.logger.XL_INTG.ACTIVEDIRECTORY=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WEBSPHERE_HOME/AppServer/logs/SERVER_NAME/SystemOut.log
JBoss Application Server
ロギングを有効にするには、次のようにします。
JBoss_home
/server/default/conf/log4j.xml
ファイルに次の行を追加します。ただし、すでにこれらの行が存在する場合は不要です。
<category name="XELLERATE">
<priority value="log_level"/>
</category>
<category name="XL_INTG.ACTIVEDIRECTORY">
<priority value="log_level"/>
</category>
各セットのXMLコードの2行目で、log_level
を、設定するログ・レベルに置換します。次に例を示します。
<category name="XELLERATE"> <priority value="INFO"/> </category>
<category name="XL_INTG.ACTIVEDIRECTORY"> <priority value="INFO"/> </category>
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
JBoss_home/server/default/log/server.log
OC4J
ロギングを有効にするには、次のようにします。
OIM_home
/xellerate/config/log.properties
ファイルに次の行を追加します。
log4j.logger.XELLERATE=log_level log4j.logger.XL_INTG.ACTIVEDIRECTORY=log_level
これらの行で、log_level
を、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO log4j.logger.XL_INTG.ACTIVEDIRECTORY=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
OC4J_home/opmn/logs/default_group~home~default_group~1.log
「インストール・メディア上のファイルおよびディレクトリ」で説明したように、コネクタのXMLファイルには、コネクタのコンポーネントの定義が含まれています。コネクタのXMLファイルをインポートすることで、Oracle Identity Managerにこれらのコンポーネントを作成します。
コネクタのXMLファイルをOracle Identity Managerにインポートするには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くダイアログ・ボックスが表示されます。
xliADResourceObject.xml
ファイルを検索して開きます。このファイルはOIM_home
/xellerate/XLIntegrations/ActiveDirectory/xml
ディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「次へ」をクリックします。ADITResource
ITリソースの「ITリソース・インスタンス・データの提供」ページが表示されます。
ADITResource
ITリソースのパラメータの値を指定します。指定する値の詳細は、「ITリソースの定義」で、オペレーティング・システムがMicrosoft Windows 2000かMicrosoft Windows 2003かに応じて、該当する表を参照してください。
「次へ」をクリックします。AD Server
ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
「スキップ」をクリックして、他のITリソースを定義しないことを指定します。「確認」ページが表示されます。
関連項目: その他のITリソースを定義する場合、手順は『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
「選択内容の表示」をクリックします。
XMLファイルの内容が「インポート」ページに表示されます。ノードの横に十字形のアイコンが表示されることがあります。これらのノードは、冗長なOracle Identity Managerエンティティを示しています。コネクタのXMLファイルをインポートする前に、各ノードを右クリックして「削除」を選択し、これらのエンティティを削除する必要があります。
「インポート」をクリックします。コネクタのファイルがOracle Identity Managerにインポートされます。
コネクタのXMLファイルをインポートしたら、「SSLの構成」に進みます。
次の表に、ADITResource
ITリソースのパラメータの値を示します。
パラメータ | 説明 |
---|---|
Admin FQDN |
管理者に対応する完全修飾ドメイン名。
書式1: サンプル値1: 書式2: サンプル値2: |
Admin Password |
OU/ユーザーの作成に使用される管理者アカウントのパスワード。 |
Root Context |
親またはルート組織の完全修飾ドメイン名。
たとえば、ルートの接尾辞などです。 書式: サンプル値: |
Server Address |
Microsoft Active DirectoryがインストールされているターゲットMicrosoft Windows 2000コンピュータのホスト名またはIPアドレス。
サンプル値: |
Last Modified Time Stamp AD |
最後にADユーザー・リコンシリエーションの実行が完了した日付と時間。
リコンシリエーション・エンジンは、ADユーザー・リコンシリエーションの各実行時、この属性に自動的に値を埋め込みます。 デフォルト値: |
Last Modified Time Stamp Group |
最後にADグループ・リコンシリエーションの実行が完了した日付と時間。
リコンシリエーション・エンジンは、ADグループ・リコンシリエーションの各実行時、この属性に自動的に値を埋め込みます。 デフォルト値: |
Last Modified Time Stamp TrustedAD |
最後にADユーザーの信頼できるソースのリコンシリエーションの実行が完了した日付と時間。
リコンシリエーション・エンジンは、ADユーザー・リコンシリエーションの各実行時、この属性に自動的に値を埋め込みます。 デフォルト値: |
User SSL |
Oracle Identity ManagerとMicrosoft Active Directoryとの間の通信を保護するために、SSLを使用するかどうかを指定します。
デフォルト値: 関連項目: このパラメータを 注意: SSLを有効化してターゲット・システムとの通信を保護することをお薦めします。 |
SSL Port Number |
Microsoft Active DirectoryサーバーでSSLが実行されているポート。
デフォルト値: |
AtMap ADUser |
Microsoft Active Directoryユーザーの属性マップ名。
デフォルト値: |
AtMap Group |
Microsoft Active Directoryグループの属性マップ名。
デフォルト値: |
Target Locale: Country |
国コード
デフォルト値: 注意: 値は大文字で指定してください。 |
Target Locale: Language |
言語コード
デフォルト値: 注意: 値は小文字で指定してください。 |
ADDisableAttr Lookup Definition |
Microsoft Active Directoryで定義した必須でないユーザー属性を示した参照表の名前を指定します。この属性は、Use Disable Attr パラメータとともに使用します。
注意: Microsoft Active Directoryの必須でない属性はプロビジョニングの際に 参照定義の作成の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Use Disable Attr |
ユーザーがプロビジョニング操作で無効になった場合に、Microsoft Active Directoryで定義した必須でない属性をNULL に設定するかどうかを指定します。このパラメータの値はyes またはno です。デフォルト値は、no です。
注意: このパラメータは、 |
AD Sync installed (yes/no) |
Microsoft Active Directoryのパスワード同期モジュールをインストールして使用する場合は、このパラメータの値にyes を指定します。それ以外の場合は、no を指定します。デフォルト値は、no です。 |
OIM User UDF |
Oracle Identity Managerで作成するユーザー定義フィールドの名前を指定します。
注意: 指定するのは列名で、Oracle Identity Managerでカスタム属性を追加する際に入力するフィールド・ラベルではありません。たとえば、ラベル |
isOrgLookupDN |
参照フィールドを同期する際に、Lookup.ADReconciliation.Organization 参照定義に、識別名(DN)と相対DNのどちらが移入されるようにするかを指定します。
|
ADGroup LookUp Definition |
このパラメータには、グループ参照を同期する際にグループ・フィールド名の格納先となる参照定義の名前が保持されます。
値: この値は、 注意: このパラメータ値は変更しないでください。 |
Target Locale: TimeZone |
ターゲット・システムのタイムゾーンを指定します。例: GMT-08:00 およびGMT+05:30
プロビジョニング操作時に、コネクタはこのタイムゾーン情報を使用して、プロセス・フォームで入力した日時の値をターゲット・システムのタイムゾーンに関する日時の値に変換します。 デフォルト値: |
これらのITリソース・パラメータの値を指定したら、この手順のステップ9に進んで、コネクタのXMLファイルをインポートします。
注意: これはデプロイ手順のオプションの手順ですが、Microsoft Active DirectoryとOracle Identity Manager間にはSSL通信を構成することをお薦めします。 |
次のタスクを実行して、Oracle Identity ManagerとターゲットのMicrosoft Active Directoryサーバーとの間のSSL接続を構成します。
コネクタを使用するには、ホスト・コンピュータで証明書サービスを実行する必要があります。証明書サービスをインストールするには、次のようにします。
オペレーティング・システムのインストール・メディアをCD-ROMドライブまたはDVDドライブにセットします。
「スタート」、「設定」、「コントロール パネル」の順にクリックします。
「プログラムの追加と削除」をダブルクリックします。
「Windowsコンポーネントの追加と削除」をクリックします。
「証明書サービス」を選択します。
指示に従い、証明書サービスを開始します。
ターゲットのMicrosoft Active Directoryサーバーでは、LDAP over SSL(LDAPS)を有効にする必要があります。次の手順で証明書を作成して、LDAPSを有効にします。
注意: 次の手順を実行する場合、エンタープライズCAオプションを使用してください。 |
「Active Directoryユーザーとコンピュータ」コンソールで、ドメイン・ノードを右クリックし、「プロパティ」を選択します。
「グループ ポリシー」タブをクリックします。
「既定のドメイン ポリシー」を選択します。
「編集」をクリックします。
「コンピュータの構成」、「Windowsの設定」、「セキュリティ設定」、「公開キーのポリシー」の順にクリックします。
「自動証明書要求の設定」を右クリックし、「新規」を選択して、「自動証明書要求」を選択します。ウィザードが開始します。
ウィザード上で、「ドメイン コントローラ」テンプレートを適用してポリシーを追加します。
この手順が完了すると、証明書が作成され、LDAPがSSLを使用してポート636で有効になります。
Microsoft Active Directory証明書が発行されていない、または認証局(CA)から証明されていない場合は、信頼できる証明書として設定します。このためには、まず証明書をエクスポートしてから、Oracle Identity Managerサーバーのキーストアに信頼できる認証局(CA)の証明書としてインポートしてください。
Microsoft Active Directory証明書をエクスポートするには、次のようにします。
「スタート」、「プログラム」、「管理ツール」、「証明機関」の順にクリックします。
作成する認証局を右クリックし、「プロパティ」を選択します。
「全般」タブで、「証明書の表示」をクリックします。
「詳細」タブで、「ファイルにコピー」をクリックします。
ウィザード上で、BASE64エンコーディングを使用して証明書(.cer
)ファイルを作成します。
Microsoft Active Directory証明書をOracle Identity Managerサーバーの証明書ストアにインポートするには、次のようにします。
注意: クラスタ環境では、クラスタのすべてのノードでこの手順を実行する必要があります。 |
証明書をOracle Identity Managerサーバーにコピーします。
IBM WebSphereを使用している場合は、次のファイルもコピーする必要があります。
非クラスタ構成のIBM WebSphereの場合は、次のようにします。
jsse.jar
ファイルをWS_home
/java/jre/lib/ext
ディレクトリにコピーします。
クラスタ構成のIBM WebSphereの場合は、次のようにします。
jnet.jar
、jsse.jar
およびjcert.jar
ファイルをWS_home
/java/jre/lib/ext
ディレクトリにコピーします。
これらのJARファイルは次のSun社のWebサイトからダウンロードできます。
証明書ファイルのコピー先のディレクトリに移動し、次のようなコマンドを入力します。
keytool -import -alias alias -file cer_file -keystore my_cacerts -storepass password
コマンドの説明は次のとおりです。
alias
は証明書の別名です(たとえば、サーバー名です)。
cer_file
は証明書(.cer
)ファイルのフルパスと名前です。
my_cacerts
は証明書ストアのフルパスと名前です(デフォルトはcacerts
です)。
アプリケーション・サーバー別の証明書ストアのパスを、次の表に示します。
アプリケーション・サーバー | 証明書ストアの場所 |
---|---|
JBoss Application Server |
JBoss_home/jre/lib/security/cacerts
|
BEA WebLogic |
BEA_home/java/jre/lib/security/cacerts
|
IBM WebSphere | 非クラスタ構成のIBM WebSphereの場合は、ファイルを次の証明書ストアにインポートする必要があります。
WS_home/java/jre/lib/security/cacerts
クラスタ構成のIBM WebSphereの場合は、クラスタの各ノードにある次の証明書ストアにファイルをインポートする必要があります。 WS_home/java/jre/lib/security/cacerts WS_home/etc/DummyServerTrustFile.jks |
Oracle Application Server |
ORACLE_HOME/jdk/jre/lib/security/cacerts
|
password
はキーストア・パスワードです(デフォルトはchangeit
です)。
次に例を示します。
keytool -import -alias thorADCert -file c:\thor\ActiveDir.cer -keystore C:\mydir\java\jre\lib\security\cacerts -storepass changeit
注意: changeit は、Sun JVMに格納されるcacerts ファイルのデフォルト・パスワードです。これは、使用するJVMによって異なります。 |
コマンド・プロンプト・ウィンドウで、この証明書を信頼するかどうか求められたら、YES
と入力します。
次のようなコマンドを入力し、証明書のインポートが成功しているかどうかを確認します。
keytool -list -alias alias -keystore mycacerts -storepass password
ステップ2の例では、次のコマンドを使用し、キーストアに証明書をインポートしたときに使用した証明書名、thorADCert
を検索して、証明書のインポートが成功しているかどうかを確認します。
keytool -list -alias thorADCert -keystore C:\mydir\java\jre\lib\security\cacerts -storepass changeit
証明書ファイルを新しい証明書ストアに登録する場合のみ、この手順を実行してください。
次の行をjre\lib\security\java.security
ファイルに追加します。
security.provider.N=com.sun.net.ssl.internal.ssl.Provider
この行のN
はファイルで使用されていない任意の番号です。
アプリケーション・サーバーを再起動します。
注意: ユーザー・パスワードは、128ビットのSSLを使用しないと設定できません。また、Microsoft Active DirectoryがインストールされたコンピュータでMicrosoft Windows 2000 Service Pack 2(またはそれ以上)またはMicrosoft Windows 2003が実行されている必要があります。 |