コネクタをデプロイするには次の手順を実行します。
次の表に、コネクタのデプロイ要件を示します。
項目 | 要件 |
---|---|
Oracle Identity Manager | Oracle Identity Managerリリース9.1.0以上。
注意: 使用するOracle Identity Managerとアプリケーション・サーバーの組合せで、JDK 1.5がサポートされていることを確認する必要があります。コネクタのリリース9.0.4.5以降でSAP JCo 3.0がサポートされている結果、この要件が課されています。動作保証されているOracle Identity Managerの構成については、次のOracle Technology Networkページを参照してください。
|
ターゲット・システム | ターゲット・システムは次のいずれかです。
|
外部コード | 次のSAPカスタム・コード・ファイルです。
Microsoft Windowsの場合:
SolarisおよびLinuxの場合:
|
ターゲット・システムのユーザー・アカウント | Oracle Identity Managerはこのユーザー・アカウントを使用し、ターゲット・システムに接続して通信します。
最小の認可レベルにする場合は、ユーザー・アカウントを作成し、そのアカウントに 最小認可用のプロファイルまたはロールが見つからない場合は、作成したユーザー・アカウントを ITリソースを構成する際に、このユーザー・アカウントの資格証明を指定します。手順はこのガイドで後述します。 このターゲット・システムのユーザー・アカウントに特定の権限が割り当てられていない場合、コネクタ操作の実行中に次のエラー・メッセージが表示されることがあります。
|
注意: クラスタ環境では、JARファイルおよびconnectorResources ディレクトリの内容を、クラスタの各ノードの対応するディレクトリにコピーします。 |
外部コード・ファイルをダウンロードして必要な場所にコピーするには、次のようにします。
次のようにして、SAP Javaコネクタ・ファイルをSAPのWebサイトからダウンロードします。
Webブラウザで次のページを開きます。
「Application Platform」、「Connectivity」、「Connectors」、「SAP Java Connector」、「Tools & Services」を順に選択し、「SAP JAVA Connector」ページを開きます。
「SAP JAVA Connector」ページの右側のペインに、ダウンロード可能なファイルのリンクが表示されます。ダウンロードするSAP JCOリリースのリンクをクリックします。
表示されるダイアログ・ボックスに、ファイルを保存するディレクトリ・パスを指定します。
ダウンロードしたファイルの内容を抽出します。
sapjco3.jar
ファイルをOIM_HOME
/Xellerate/ThirdParty
ディレクトリにコピーします。
RFCファイルを必要なディレクトリにコピーし、このディレクトリへのパスが含まれるように適切な環境変数を変更します。
Microsoft Windowsの場合:
sapjco3.dll
ファイルをwinnt\system32
ディレクトリにコピーします。あるいは、これらのファイルを任意のディレクトリにコピーし、そのディレクトリへのパスをPATH
環境変数に追加することもできます。
SolarisおよびLinuxの場合:
libsapjco3.so
ファイルを/usr/local/jco
ディレクトリにコピーし、このディレクトリへのパスをLD_LIBRARY_PATH
環境変数に追加します。
環境変数への変更を有効にするために、サーバーを再起動します。
注意: このガイドでは、コネクタ・インストーラという用語は、Oracle Identity Manager管理およびユーザー・コンソールのコネクタ・インストーラ機能を示すために使用されます。 |
コネクタをインストールするには次の手順を実行します。
コネクタ・インストーラを実行するには、次のようにします。
コネクタ・インストール・メディアの内容を次のディレクトリにコピーします。
OIM_HOME/xellerate/ConnectorDefaultDirectory
『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』の「コネクタのインストールのためのユーザー・アカウントの作成」で説明されているユーザー・アカウントを使用して、管理およびユーザー・コンソールにログインします。
「デプロイメント管理」→「コネクタのインストール」をクリックします。
「コネクタ・リスト」から次のいずれかのオプションを選択します。
SAP R3 RELEASE_NUMBER
SAP BIW RELEASE_NUMBER
SAP CRM RELEASE_NUMBER
「コネクタ・リスト」には、インストール・ファイルがデフォルト・コネクタ・インストール・ディレクトリにコピーされているコネクタの、名前およびリリース番号が表示されます。
OIM_HOME/xellerate/ConnectorDefaultDirectory
インストール・ファイルを異なるディレクトリにコピーした場合は、次のようにします。
「代替ディレクトリ」フィールドに、該当するディレクトリのフルパスおよび名前を入力します。
「リフレッシュ」をクリックして、「コネクタ・リスト」に含まれるコネクタのリストを再移入します。
「コネクタ・リスト」から次のいずれかのオプションを選択します。
SAP R3 RELEASE_NUMBER
SAP BIW RELEASE_NUMBER
SAP CRM RELEASE_NUMBER
「ロード」をクリックします。
「続行」をクリックして、インストール処理を開始します。
次のタスクが順番に実行されます。
コネクタ・ライブラリの構成
コネクタのXMLファイルのインポート(デプロイメント・マネージャを使用)
アダプタのコンパイル
正常に完了したタスクには、チェックマークが表示されます。タスクが失敗すると、Xマークおよび失敗の理由を示すメッセージが表示されます。失敗の理由に応じて必要な修正を行い、次のいずれかの手順を実行します。
「再試行」をクリックしてインストールを再試行します。
インストールを取り消して、ステップ1からやりなおします。
コネクタのインストール処理の3つのタスクがすべて正常に行われると、インストールが正常に実行されたことを示すメッセージが表示されます。また、インストール後に実行する必要がある手順のリストが表示されます。これらの手順は次のとおりです。
コネクタ使用の前提条件が満たされていることの確認
注意: この段階で、コネクタ・リソース・バンドルからのコンテンツを含むサーバー・キャッシュをロードするためのPurgeCache ユーティリティを実行して、前提条件のリストを表示できます。PurgeCache ユーティリティの実行に関する情報は、「サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去」を参照してください。
一部の事前定義済コネクタには、前提条件はありません。 |
コネクタのITリソースの構成
このページに表示されるITリソースの名前を記録します。ITリソースの構成手順は、このガイドで後述します。
コネクタのインストール時に作成されたスケジュール済タスクの構成
このページに表示されるスケジュール済タスクの名前を記録します。これらのスケジュール済タスクの構成手順は、このガイドで後述します。
インストール・メディアのテスト・ディレクトリから次のディレクトリへ、ファイルをコピーします。
c/xellerate/SAP/test
Oracle Identity Managerクラスタへのコネクタのインストール
クラスタ環境でOracle Identity Managerをインストールする際には、すべてのJARファイルおよびconnectorResources
ディレクトリの内容を、クラスタの各ノードの対応するディレクトリにコピーする必要があります。コピー対象ファイルおよびOracle Identity Managerサーバー上のコピー先に関する情報は、「インストール・メディアのファイルおよびディレクトリ」を参照してください。
注意: コネクタをOracle Identity Managerリリース9.1.0以上にインストールする場合、この手順を実行します。 |
次の手順に従って、SAP UM IT Resource
ITリソースのパラメータの値を指定する必要があります。
管理およびユーザー・コンソールにログインします。
「リソース管理」を開きます。
「ITリソースの管理」をクリックします。
「ITリソースの管理」ページの「ITリソース名」フィールドにSAP UM IT Resource
と入力して、「検索」をクリックします。
ITリソースの「編集」アイコンをクリックします。
ページ上部のリストから、「詳細およびパラメータ」を選択します。
ITリソースのパラメータの値を指定します。次の表に、各パラメータの説明を示します。
パラメータ | 説明 | サンプル値 |
---|---|---|
SAPClient |
SAPのクライアントID。 | 800 |
SAPHost |
SAPのホストIPアドレス。 | 172.20.70.204 |
SAPLanguage |
SAPの言語。 | EN |
SAPUser |
ターゲットSAPシステムのSAPユーザー。 | xellerate |
SAPPassword |
SAPユーザーのパスワード。 | changethis |
SAPsnc_lib |
cryptoライブラリが存在するパス。
このパラメータは、Secure Network Communication(SNC)が有効な場合にのみ必要です。 |
c://usr//sap/sapcrypto.dll |
SAPsnc_mode |
SAPサーバーでSNCが有効な場合は、このフィールドを1に設定します。それ以外の場合は、0(ゼロ)に設定します。
注意: SNCを有効化して、ターゲット・システムとの通信を保護することをお薦めします。 |
0 |
SAPsnc_myname |
SNCのシステム名。
このパラメータは、SNCが有効な場合のみ必要です。 |
p:CN=TST,OU=SAP, O=ORA,c=IN |
SAPsnc_partnername |
SAPサーバーのドメイン名。
このパラメータは、SNCが有効な場合のみ必要です。 |
p:CN=I47,OU=SAP, O=ORA, c=IN |
SAPsnc_qop |
データが送信される保護レベル(保護の質(QOP))を指定します。
デフォルト値は3です。値は次のいずれかです。
このパラメータは、SNCが有効な場合のみ必要です。 |
3 |
SAPSystemNo |
SAPシステム番号。 | 00 |
SAPType |
SAPシステムのタイプ。
このパラメータは任意です。 |
R3 |
TimeStamp |
最初のリコンシリエーションの実行では、タイムスタンプ値は設定されていません。後続のリコンシリエーション処理では、前のリコンシリエーション処理が完了した時刻がこのパラメータに保存されます。 | サンプルのタイムスタンプ値は次のとおりです。
英語: フランス語: 日本語: |
CustomizedReconQuery |
リコンシリエーションの基となる問合せ条件
このパラメータに問合せ条件を追加すると、問合せ条件に基づいてターゲット・システム・レコードが検索されます。 すべてのターゲット・システム・レコードをリコンサイルする場合は、このパラメータの値を指定しないでください。 問合せには、論理演算子AND(&)およびOR(|)を使用できます。 このパラメータの詳細は、「部分リコンシリエーション」を参照してください。 |
firstname=John |
「更新」をクリックして値を保存します。
Oracle Identity Managerサーバーを構成するには、次の手順を実行します。
注意: クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。 |
必要な入力ロケール(言語および国の設定)に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。
必要な入力ロケールに変更するため、システム管理者の支援が必要となる場合があります。
コネクタ・インストーラは、リソース・バンドルをOIM_home
/xellerate/connectorResources
ディレクトリにコピーします。connectorResources
ディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。
コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。
コマンド・ウィンドウで、OIM_home
/xellerate/bin
ディレクトリに移動します。
注意: ステップ1を実行してからステップ2を実行してください。ステップ2で次のようにコマンドを実行すると、例外がスローされます。OIM_home/xellerate/bin/batch_file_name |
次のいずれかのコマンドを入力します。
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
注意: ステップ2の実行時にスローされる例外は無視できます。 |
このコマンドのConnectorResourceBundle
は、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。
OIM_home/xellerate/config/xlConfig.xml
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ALL
このレベルでは、すべてのイベントのロギングが有効化されます。
DEBUG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を大まかに示す情報メッセージのロギングが有効化されます。
WARN
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
ERROR
このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。
FATAL
このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。
OFF
このレベルでは、すべてのイベントのロギングが無効化されます。
ログ・レベルを設定するファイルおよびログ・ファイルのパスは、使用するアプリケーション・サーバーによって異なります。
BEA WebLogic
ロギングを有効にするには、次のようにします。
OIM_home
/xellerate/config/log.properties
ファイルに次の行を追加します。
log4j.logger.XELLERATE=log_level log4j.logger.XL_INTG.SAPUSERMANAGEMENT=log_level
これらの行で、log_level
を、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO log4j.logger.XL_INTG.SAPUSERMANAGEMENT=INFO
ロギングを有効化すると、ログ情報がサーバー・コンソールに表示されます。
IBM WebSphere
ロギングを有効にするには、次のようにします。
OIM_home
/xellerate/config/log.properties
ファイルに次の行を追加します。
log4j.logger.XELLERATE=log_level log4j.logger.XL_INTG.SAPUSERMANAGEMENT=log_level
これらの行で、log_level
を、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO log4j.logger.XL_INTG.SAPUSERMANAGEMENT=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WEBSPHERE_HOME/AppServer/logs/SERVER_NAME/SystemOut.log
JBoss Application Server
ロギングを有効にするには、次のようにします。
JBoss_home
/server/default/conf/log4j.xml
ファイルに次の行を追加します。ただし、すでにこれらの行が存在する場合は不要です。
<category name="XELLERATE">
<priority value="log_level"/>
</category>
<category name="XL_INTG.SAPUSERMANAGEMENT">
<priority value="log_level"/>
</category>
各セットのXMLコードの2行目で、log_level
を、設定するログ・レベルに置換します。次に例を示します。
<category name="XELLERATE"> <priority value="INFO"/> </category>
<category name="XL_INTG.SAPUSERMANAGEMENT"> <priority value="INFO"/> </category>
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
JBOSS_HOME/server/default/log/server.log
Oracle Application Server
ロギングを有効にするには、次のようにします。
OIM_home
/xellerate/config/log.properties
ファイルに次の行を追加します。
log4j.logger.XELLERATE=log_level log4j.logger.XL_INTG.SAPUSERMANAGEMENT=log_level
これらの行で、log_level
を、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO log4j.logger.XL_INTG.SAPUSERMANAGEMENT=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
ORACLE_HOME/opmn/logs/default_group~home~default_group~1.log
この項では、ターゲット・システムの構成に関わる手順を説明します。これらの手順のいくつかは、実行にSAP Basis管理者の支援が必要になる場合があります。
ターゲット・システムの構成には次のタスクがあります。
ターゲット・システムを構成するには、次の情報が必要です。
注意: SAPのインストール時に、インストールが実行されているサーバーにシステム番号およびクライアント番号が割り当てられます。このような項目は、次のリストに示されています。 |
リクエストのインポートに必要な権限を持つ管理ユーザーのログインの詳細
リクエストがインポートされるサーバーのクライアント番号
システム番号
サーバーのIPアドレス
サーバー名
SAPアプリケーション・サーバーへの接続に使用されるアカウントのユーザーID
SAPアプリケーション・サーバーへの接続に使用されるアカウントのパスワード
「ユーザー・グループ」フィールドは、SAPユーザーのデータを保持するフィールドの1つです。F4値は、リストに表示され選択できるフィールドの値です。「ユーザー・グループ」フィールドのF4値を表示できるようにするには、BAPIF4T表にエントリを作成する必要があります。このエントリをBAPIF4T表に作成するには、次のようにします。
SM30トランザクションをSAPシステムで実行します。
表名としてBAPIF4T
と入力し、「Maintain」をクリックします。表示される警告またはメッセージは無視します。
「New Entries」をクリックします。
データ要素としてXUCLASS
、ファンクション名としてZXL_PARTNER_BAPI_F4_AUTHORITY
と入力します。
注意: XUCLASS データ要素に対してエントリがすでに存在する場合は、その値を変更しないでください。 |
作成したエントリを保存し、終了します。
SAP HRMSでは、ユーザーのマスター・データに加えられた変更のログを履歴表に保持できます。Oracle Identity Managerは、この変更ログを使用して、ユーザーのマスター・データに加えられた変更をフェッチします。
変更ログを有効にするには、T585A
、T585B
およびT585C
の3つの構成表に変更を加えます。
注意: 変更ログがすでに有効になっている場合は、この項の手順を実行する必要はありません。 |
変更ログを有効にするには、次のようにします。
SAPシステム上でSPRO
トランザクションを実行します。
「Personnel Management」、「Personal Administration」、「Tools」、「Revision」および「Set up Change Document」の順に選択します。
どのinfotypeについて変更を記録するかを指定するために、次のようにして、必要なエントリをT585A
表内に作成します。
「HR documents: Infotypes to be logged」
アクティビティを開きます。
ここでは、infotype 0002(個人データ)
に対応するエントリを作成するとします。次の情報を入力します。
Tr Class: A
Infotype: 0002
変更を記録するすべてのinfotypeについてステップbを実行します。
infotypeのどのフィールドについて変更を記録するかを指定するために、次のようにして、必要なエントリをT585B
表内に作成します。
「HR documents: Field group definition」
アクティビティを開きます。
ここでは、infotype 0002(個人データ)
に対応するエントリを作成するとします。次の情報を入力します。
Infotype: 0002
Field Group: 01
Field name: *(*は、infotypeに含まれるすべてのフィールドを意味する)
各infotypeの、変更を記録するすべてのフィールドについてステップbを実行します。
特定のinfotypeに対応して生成されるドキュメントのタイプ(短期または長期)を指定するために、次のようにして、必要なエントリをT585C
表内に作成します。
「HR documents: Field group characteristics」
アクティビティを開きます。
ここでは、infotype 0002(個人データ)
に対応するエントリを作成するとします。次の情報を入力します。
Tr Class: A
Infotype: 0002
Field Group: 01
Doc Type: SまたはL
変更を記録するすべてのinfotypeについてステップbを実行します。
SAPシステムに次のカスタム・オブジェクトを作成するには、リクエストをインポートする必要があります。
オブジェクト・タイプ | オブジェクト名 |
---|---|
パッケージ | ZBAPI |
ファンクション・グループ | ZXLGROUP
ZXLHELPVALUES ZXLPROFILE ZXLROLE ZXLUSER |
メッセージ・クラス | ZXLBAPI |
プログラム | ZF4HLP_DATA_DEFINITIONS
ZMS01CTCO ZMS01CTCO1 ZMS01CTP2 ZXLGROUP ZXLHELPVALUES ZXLPROFILE ZXLROLE ZXLUSER |
ビジネス・オブジェクト・タイプ | ZXLGROUP
ZXLHELP ZXLPROFILE ZXLROLE ZXLUSER |
表 | ZXLBAPIMODE
ZXLBAPIMODM ZXLSTRING |
xlsapcar.sar
ファイルには、これらのオブジェクトの定義が含まれます。xlsapcar.sar
ファイルの内容で表されるリクエストをインポートすると、これらのオブジェクトは自動的にSAPに作成されます。この手順により、既存のSAPの構成が変更されることはありません。
SAPへのリクエストのインポートには次の手順があります。
リクエストを構成する2つのファイル、データファイルとCofileがxlsapcar.sar
に圧縮されています。SAPCARユーティリティを使用してこれらのファイルを抽出できます。
SAPCARユーティリティをSAPヘルプのWebサイトからダウンロードするには、次のようにします。
次のURLからSAPのWebサイトにログオンします。
「OK」をクリックして、表示される証明書がSAPインストールに割り当てられた証明書であることを確認します。
SAPユーザー名およびパスワードを入力してSAPサービス・マーケットプレイスに接続します。
「Downloads」、「SAP Support Packages」、「Entry by Application Group」、「Additional Components」を順にクリックします。
「SAPCAR」、「SAPCAR 6.20」を順に選択し、オペレーティング・システムを選択します。ダウンロード・オブジェクトが表示されます。
「Object」チェック・ボックスを選択し、「Add to Download Basket」をクリックします。
SAPCARユーティリティをダウンロードするディレクトリを指定します。たとえば、C:/xlsapcar
です。
リクエストの構成要素であるデータファイルおよびCofileを抽出するには、次のようにします。
SAPCARユーティリティをダウンロードしたディレクトリにxlsapcar.sar
ファイルをコピーします。
xlsapcar.sar
ファイルは、インストール・メディア・ディレクトリ内のBAPI
ディレクトリにあります。
コマンド・ウィンドウで、ディレクトリをSAPCARユーティリティおよびxlsapcar.sar
ファイルが格納されるディレクトリに変更します。
次のコマンドを入力して、リクエストの構成要素であるデータファイルおよびCofileを抽出します。
sapcar -xvf xlsapcar.sar
抽出されたファイルは、次のような形式です。
K900863.I47
(Cofile)
R900863.I47
(データファイル)
リクエスト・インポート操作を実行するには、次のようにします。
注意: 次のステップを実行するには、SAP Basis管理者の支援が必要になります。 |
データファイルおよびCofileをSAPサーバーの必要な場所にコピーします。
リクエストをSAPにインポートします。
ログ・ファイルを確認して、インポートが成功したかどうかを判断します。
ログ・ファイルを表示するには、次のようにします。
STMSトランザクションを実行します。
トランスポート・リクエストのリストが表示されます。
インポートしたリクエストに対応するトランスポート・リクエスト番号を選択します。
トランスポート・リクエスト番号は、Cofileまたはデータファイルの名前の数値部分と同じです。前述の手順のステップ3におけるサンプルのCofile(K900863.I47
)およびデータファイル(R900863.I47
)の場合、トランスポート・リクエスト番号は900863
です。
ログ・ファイルのアイコンをクリックします。
ログ・ファイルに表示されるリターン・コードが4の場合、インポートは終了していますが警告が発生したことを示します。これは、オブジェクトが上書きされたか、SAPシステムにすでに存在する場合に発生します。リターン・コードが8以上の場合、インポート時にエラーが発生したことを示します。
SE80トランザクションを実行してABAPオブジェクトのZBAPIパッケージをチェックし、リクエストのインポートを確認します。
Change Password機能を構成して、ターゲット・システムのユーザー・プロファイルがロックされたり、有効期限が切れたりした場合のパスワードの動作を変更できます。このような場合、ロックされたり有効期限が切れたユーザー・プロファイルのパスワードを管理者がリセットできないようにシステムを構成できます。これより、Oracle Identity Managerとターゲット・システムのデータ間に矛盾が発生しないようにすることができます。
Change Password機能を構成するには、次のようにします。
関連項目: 『Oracle Identity Managerデザイン・コンソール・ガイド』 |
Oracle Identity Manager Design Consoleを開きます。
「Process Management」フォルダを開きます。
「Process Definition」フォームを開きます。
SAP R3 Process
プロセス定義を選択します。
「Password Updated」タスクをダブルクリックします。
「Integration」タブで、次のパラメータの値を指定します。
validityChange
: 値true
またはfalse
を割り当てることができるフラグです。
true
: ユーザーの有効期限が切れた場合、validityDate
パラメータに指定された日付まで延長されます。
false
: ユーザーの有効期限が切れた場合、有効期限は延長されず、ユーザーのパスワードは変更できません。
lockChange
: 値true
またはfalse
を割り当てることができるフラグです。
true
: ユーザーが(管理者以外によって)ロックされた場合、そのユーザーはパスワードが変更される前にロック解除されます。ユーザーが管理者によってロックされた場合、パスワードは変更できません。
false
: ユーザーがロックされた場合、パスワードは変更できません。
validityDate
: ユーザーの有効期限の延長日です。日付書式は次のとおりです。
Dec 28, 2005 at 11:25:00 GMT+05:30
このフィールドが空の場合、ユーザーの有効期間は無期限になります。
userGroupCheck
: 次の形式の文字列リテラルです。
user_group_to_check, flag(1|0), user_group_to_be_updated_after_reset_password
このパラメータは、パスワードのリセット時にチェックするグループがない場合、空の文字列となります。
パスワードを変更し、ユーザーがそのグループに属する場合、このフラグの値は1
です。パスワードを変更せず、ユーザーがそのグループに属する場合、このフラグの値は0
です。
複数のユーザーをチェックするには、各ユーザーのレコードをこの文字列に追加します。デリミタとしてセミコロン(;)を使用します。次に例を示します。
user_group_to_check, flag(1|0), user_group_to_be_updated_after_reset_password; user_group_to_check, flag(1|0), user_group_to_be_updated_after_reset_password
たとえば、パスワードの変更時にチェックされるInactive
というユーザー・グループがあり、ユーザーがそのグループに割り当てられている場合、このユーザーをパスワードの変更後にActive
グループに移動する必要があります。
この場合、userGroupCheck
パラメータの設定は次のとおりです。
INACTIVE,1,ACTIVE;
パスワードの変更時にチェックされるTerminated
というグループがあり、ユーザーがそのグループに割り当てられている場合、パスワードの変更を許可しない必要があります。この場合、userGroupCheck
パラメータの設定は次のとおりです。
TERMINATED,0,;
userGroupCheck
構成パラメータには、次の2種類のユーザー・グループ・レコードしかありません。
パスワードの変更がユーザー・グループの更新とともに実行されるユーザー・グループ
INACTIVE,1,ACTIVE;
パスワードの変更が実行されないユーザー・グループ
TERMINATED,0,;
ユーザーがuserGroupCheck
パラメータに指定されていないグループに割り当てられている場合、パスワードは変更されます。パスワードの変更は、構成パラメータの値に指定されていないユーザー・グループすべてに対して許可されます。
注意: 指定する値は、大/小文字が区別されるため、SAPシステムでの大/小文字と一致する必要があります。 |
Oracle Identity ManagerはJavaアプリケーション・サーバーを使用します。SAPシステム・アプリケーション・サーバーに接続するために、このJavaアプリケーション・サーバーではJavaコネクタ(sapjco.jar
)およびRFC(librfccm
ファイルとlibsapjcorfc
ファイル)を使用します。必要な場合には、Secure Network Communication(SNC)を使用してこのような接続を保護できます。
注意: Oracle Identity Managerで使用されるJavaアプリケーション・サーバーには、IBM WebSphere、BEA WebLogic、JBoss Application Serverがあります。 |
ここでは次の項目について説明します。
SNCを使用するためにコネクタを構成する前提条件は、次のとおりです。
SNCは、SAPアプリケーション・サーバーでアクティブである必要があります。
SNCインフラストラクチャに精通している必要があります。また、アプリケーション・サーバーでSNCに使用するPersonal Security Environment(PSE)を把握しておく必要があります。
Oracle Identity Managerで使用されるJavaアプリケーション・サーバーでセキュリティ・パッケージをインストールするには、次のようにします。
SAP Cryptographic Libraryインストール・パッケージの内容を抽出します。
SAP Cryptographic Libraryインストール・パッケージは、次のSAPサービス・マーケットプレイスのWebサイトで認可された顧客に提供されています。
http://service.sap.com/download
このパッケージには次のファイルが含まれます。
SAP Cryptographic Library(Microsoft Windowsの場合はsapcrypto.dll
、UNIXの場合はlibsapcrypto.ext
)
対応するライセンス・チケット(ticket
)
構成ツールsapgenpse.exe
ライブラリおよびsapgenpse.exe
ファイルをローカル・ディレクトリにコピーします。たとえば、C:/usr/sap
です。
ファイル権限を確認します。Javaアプリケーション・サーバーを実行しているユーザーが、ライブラリおよびsapgenpse.exe
ファイルをコピーするディレクトリでライブラリ機能を実行できることを確認します。
sec
ディレクトリをライブラリおよびsapgenpse.exe
ファイルをコピーするディレクトリ内に作成します。
注意: 作成するディレクトリには任意の名前を使用できます。しかし、SAPでは、C:\usr\sap\sec (または/usr/sap/sec )ディレクトリの作成を推奨しています。 |
ticketファイルをsec
ディレクトリにコピーします。このディレクトリは、Personal Security Environment(PSE)およびJavaアプリケーション・サーバーの資格証明が生成されるディレクトリでもあります。
Javaアプリケーション・サーバーのユーザーのSECUDIR
環境変数をsec
ディレクトリに設定します。
注意: これ以降、「SECUDIRディレクトリ」という用語は、SECUDIR 環境変数に定義されているパスのディレクトリを表す場合に使用します。 |
Oracle Application Serverの場合:
Windows環境変数が設定されている場合、この変数からSECUDIR
エントリを削除します。
次のようにしてORACLE_HOME
\opmn\config\opmn.xml
ファイルを編集します。
変更対象部分は次のとおりです。
<ias-instance id="home.BMPHKTF120" name="home.BMPHKTF120">
<environment>
<variable id="TMP" value="C:\DOCUME~1\login user\LOCALS~1\Temp"/>
</environment>
これを次のように変更します。
<ias-instance id="home.BMPHKTF120" name="home.BMPHKTF120">
<environment>
<variable id="TMP" value="C:\DOCUME~1\login user\LOCALS~1\Temp"/>
<variable id="SECUDIR" value="D:\snc\usr\sec"/>
</environment>
注意: Oracle Application Serverにより、インストール場所のコンピュータのオペレーティング・システムに基づいて自動的に一時フォルダが作成されます。 |
Oracle Application Serverを再起動します。
Javaアプリケーション・サーバーのユーザーのSNC_LIB
環境変数を、sec
ディレクトリの親ディレクトリである暗号ライブラリ・ディレクトリに設定します。
SNCを構成するには次のようにします。
PSEを作成するか、SAPアプリケーション・サーバーのSNC PSEをSECUDIR
ディレクトリにコピーします。Javaアプリケーション・サーバーのSNC PSEを作成するには、次のようにsapgenpse.exe
コマンドライン・ツールを使用します。
SECUDIR
ディレクトリの場所を特定するには、コマンド・オプションを指定せずにsapgenpse
コマンドを実行します。SECUDIR
ディレクトリのライブラリ・バージョンや場所などの情報が表示されます。
次のようなコマンドを入力してPSEを作成します。
sapgenpse get_pse -p PSE_Name -x PIN Distinguished_Name
サンプルの識別名を次に示します。
CN=SAPJ2EE, O=MyCompany, C=US
sapgenpse
コマンドにより、PSEがSECUDIR
ディレクトリに作成されます。
Javaアプリケーション・サーバーの資格証明を作成します。
Javaアプリケーション・サーバーには、PSEにアクセスするために実行時にアクティブな資格証明が必要です。この条件を満たしているかどうかを確認するには、次のコマンドをSECUDIR
ディレクトリの親ディレクトリに入力します。
seclogin
次に、次のコマンドを入力してサーバーのPSEを開き、credentials.sapgenpse
ファイルを作成します。
seclogin -p PSE_Name -x PIN -O [NT_Domain\]user_ID
指定するuser_ID
には、管理者権限が必要です。PSE_NAME
は、PSEファイルの名前です。
-O
オプションで指定されたユーザーの資格証明ファイルcred_v2
がSECUDIR
ディレクトリに作成されます。
次のようにして、2つのサーバーの公開鍵証明書を交換します。
注意: SAPサーバーの証明書ごとに個別のPSEを使用する場合は、SAPサーバーの証明書ごとにこの手順を1回実行する必要があります。つまり、この手順を実行する回数はPSEの数と同じです。 |
次のコマンドを入力してOracle Identity Managerの証明書をエクスポートします。
sapgenpse export_own_cert -o filename.crt -p PSE_Name -x PIN
Oracle Identity Managerの証明書をSAPアプリケーション・サーバーにインポートします。このステップの実行には、SAP管理者の支援が必要になる場合があります。
SAPアプリケーション・サーバーの証明書をエクスポートします。このステップの実行には、SAP管理者の支援が必要になる場合があります。
次のコマンドを入力してSAPアプリケーション・サーバーの証明書をOracle Identity Managerにインポートします。
sapgenpse maintain_pk -a serverCertificatefile.crt -p PSE_Name -x PIN
SAP R3 IT Resource
ITリソース・オブジェクトの次のパラメータを構成します。
SAPsnc_lib
SAPsnc_mode
SAPsnc_myname
SAPsnc_partnername
SAPsnc_qop
関連項目: この章で前述したITリソースのパラメータに関する情報 |