Oracle Identity Manager Password Synchronization Module for Microsoft Active Directoryインストレーションおよび構成ガイド リリース9.0.4 E05520-04 |
|
![]() 戻る |
![]() 次へ |
Oracle Identity Managerは、エンタープライズ・アプリケーションや管理対象システムへのアクセス権の付与および取消しを自動化するための、高度なユーザー・アカウント・プロビジョニング・システムです。Oracle Identity Managerのモジュール・アーキテクチャでは、既存のインフラストラクチャ、ポリシーまたは手順を変更することなく、大部分のIT要件に対応できます。
この章では、次の項目について説明します。
Oracle Identity Managerには、Microsoft Active Directoryにリンクするために、次のコンポーネントが用意されています。
Microsoft Active Directory用のコネクタ
Password Synchronization Module for Microsoft Active Directory
それぞれのユーザーの必要に応じて、これらのコンポーネントのいずれかまたは両方を、Oracle Identity ManagerおよびMicrosoft Active Directoryにデプロイできます。(LDAP over SSLとともに)両方のコンポーネントをデプロイすると、コネクタおよびPassword Synchronization Moduleにより、パスワードを含むすべてのユーザー属性の完全で双方向の同期が可能になります。
Microsoft Active Directory用のコネクタでは、ユーザー・アカウント属性が双方向に更新できます。ただし、パスワード変更が更新されるのはOracle Identity Managerでパスワードが変更された場合のみで、Microsoft Active Directoryで変更された場合には更新されません。
一方、Password Synchronization Module for Microsoft Active Directoryでは、Microsoft Active Directoryで変更されたパスワードによるOracle Identity Managerの更新が行われます。
次の表で、両方のツールによって提供されている機能を比較します。
機能 | Module | コネクタ |
---|---|---|
Oracle Identity Managerで変更したユーザー・アカウント属性(パスワードを除く)を使用したMicrosoft Active Directoryの更新 | X | ○ |
Microsoft Active Directoryで変更したユーザー・アカウント属性(パスワードを除く)を使用したOracle Identity Managerの更新 | X | ○ |
Oracle Identity Managerで変更したパスワードを使用したMicrosoft Active Directoryの更新(LDAP over SSLが必要) | X | ○ |
Microsoft Active Directoryで変更されたパスワードによるOracle Identity Managerの更新 | ○ | X |
Password Synchronization Moduleがインストールされている場合、次の使用例がサポートされます。
ターゲット・システムが信頼できるソースとして構成されている場合、ターゲット・システムでパスワードが変更されると、OIMユーザー・フォームに伝播されます。
ターゲット・システムがターゲット・リソースとして構成されている場合、ターゲット・システムでパスワードが変更されると、プロセス・フォームに伝播されます。
OIMユーザー・フォームでパスワードが変更されると、ターゲット・システムに伝播されます。
「パスワードを忘れた場合」オプションを使用してパスワードが変更されると、OIMユーザー・フォームおよびターゲット・システムに伝播されます。
注意: Password Synchronization Moduleがインストールされている場合、プロセス・フォームでパスワードが変更されてもターゲット・システムに伝播されません。 |
Password Synchronization Moduleは、Microsoft Active Directoryでのパスワード変更イベントを取得して、Oracle Identity Managerに新しいパスワードを送信します。ここで、パスワードがパスワード・ポリシーに対応していないなどの理由で、Oracle Identity Managerでのパスワード変更に失敗した場合は、そのパスワード変更はMicrosoft Active Directoryで許可されません。ただし、Oracle Identity Managerでのパスワード変更に成功した場合は、そのパスワード変更はMicrosoft Active Directoryで許可されます。
「USR_UDF_PWDCHANGEDINDICATION
」フィールドは、パスワード変更のトラッキング用に使用され、Oracle Identity Managerからターゲット・システムへのパスワード変更がまたOracle Identity Managerに伝播される(逆の場合も同様)ループバック状態を防止します。
関連項目: このフィールドの作成方法の詳細は、『Oracle Identity Manager Microsoft Active Directory User Management Connectorガイド』を参照してください。 |
Oracle Identity Managerでパスワードを変更する場合、次のようになります。
Oracle Identity Managerにより、「USR_UDF_PWDCHANGEDINDICATION
」フィールドの値が1に設定されます。
新しいパスワードがターゲット・システムに伝播されます。
Password Synchronization Moduleによりパスワードの変更が検出されます。
Password Synchronization Moduleにより、「USR_UDF_PWDCHANGEDINDICATION
」フィールドの値が確認され、フィールドは0に設定されます。これ以上の処理は実行されません。
注意: Create Userプロビジョニング操作を実行する場合、フィールドの値はNULLです。Password Synchronization ModuleによりNULL値は1の値と同様に処理されます。 |
ターゲット・システムでパスワードを変更する場合、次のようになります。
Password Synchronization Moduleにより、「USR_UDF_PWDCHANGEDINDICATION
」フィールドの値が1に設定されます。
新しいパスワードがUSR表に設定されます。
Oracle Identity Managerによりパスワードの変更が検出されます。
Oracle Identity Managerにより、「USR_UDF_PWDCHANGEDINDICATION
」フィールドの値が確認され、フィールドは0に設定されます。これ以上の処理は実行されません。
モジュールのインストール・ファイルは、インストール・メディアの次のディレクトリにあります。
Directory Servers/Microsoft Active Directory/Microsoft Active Directory Password Sync
これらのファイルとディレクトリを次の表に示します。
インストール・メディア・ディレクトリのファイル | 説明 |
---|---|
setup_ad.exe |
このファイルは、Password Synchronization Moduleのインストールに使用されます。 |
set_ad.jar |
このJARファイルは、インストール・プロセスで使用されます。 |
com/oracle/xl/installer ディレクトリにあるファイル |
これらの各リソース・バンドル・ファイルには、コネクタで使用される言語固有の情報が含まれます。
注意: リソース・バンドルは、Oracle Identity Managerのユーザー・インタフェースに表示されるローカライズ・バージョンのテキスト文字列を含むファイルです。これらのテキスト文字列には、管理およびユーザー・コンソールに表示されるGUI要素のラベルおよびメッセージが含まれます。 |
jpclient/lib ディレクトリにあるファイル |
パスワード同期ライブラリのファイルです。 |
xlhome/ext ディレクトリにあるファイル |
サード・パーティJARファイルです。 |
xlhome/install ディレクトリにあるファイル |
これらのJARファイルは、Password Synchronization Moduleのインストーラに必要です。 |
既存のPassword Synchronization Moduleのリリース番号を確認するには、次のようにします。
xliADSync.jar
ファイルの内容を抽出します。このファイルは、第2章で説明されているインストール・プロセスを実行した後に、ADSYNC_HOME
/lib
ディレクトリにコピーされます。
テキスト・エディタでmanifest.mf
ファイルを開きます。manifest.mf
ファイルは、xliADSync.jar
ファイル内にバンドルされているファイルの1つです。
manifest.mf
ファイルで、コネクタのリリース番号がVersion
プロパティの値として表示されます。