Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerコネクタは、Oracle Identity Managerとサード・パーティ製アプリケーションの統合に使用されます。このガイドでは、Oracle Identity ManagerをDatabase User Managementと統合するためのコネクタをデプロイする手順について説明します。
このコネクタは、IBM DB2 UDB、Microsoft SQL Server、Oracle DatabaseおよびSybaseターゲット・システムをサポートしています。
Microsoft SQL ServerおよびSybaseでは、データベース・アクセス・エンティティは次のタイプに分けられます。
ログイン
ユーザー
ターゲット・システムは、これらのエンティティを親(ログイン)および子(ユーザー)要素として扱います。ただし、Oracle Identity Managerの場合、これらのエンティティは個別の独立したエンティティとして扱われます。つまり、Microsoft SQL ServerおよびSybaseの場合、ユーザー・プロビジョニング機能に加えてログイン・プロビジョニングがコネクタにより提供されます。
Oracle DatabaseとIBM DB2 UDBの場合、ログインおよびユーザー・エンティティは単一エンティティとして扱われます。このドキュメントでは、そのようなエンティティをログイン・エンティティと呼びます。
この章では、次の項目について説明します。
注意: このガイドでは、Oracle Identity Managerサーバーという用語は、Oracle Identity Managerがインストールされているコンピュータを意味します。このガイドの一部では、Database User Managementをターゲット・システムと呼んでいます。 |
リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Managerで複製することです。これは、構成したスケジュール済タスクによって開始される自動化プロセスです。
関連項目: リコンシリエーションの構成の概念については、『Oracle Identity Manager Connectorフレームワーク・ガイド』のOracle Identity Managerのデプロイ構成に関する項を参照してください。 |
次の表に、ターゲット・リソースのリコンシリエーション中にデータベースから値が読み取られるターゲット・システムのログイン・エンティティ属性を示します。
ターゲット・システムのログイン属性 | IBM DB2 UDB | Microsoft SQL Server | Oracle Database | Sybase |
---|---|---|---|---|
ログイン名(Microsoft SQL ServerおよびSybaseの場合)
ユーザー名(Oracle DatabaseおよびIBM DB2 UDBの場合) |
○ | ○ | ○ | ○ |
ユーザー・タイプ | ○ | - | - | - |
完全名 | - | - | - | ○ |
デフォルト表領域 | - | - | ○ | - |
一時表領域 | - | - | ○ | - |
アカウント・ステータス | - | - | ○ | - |
プロファイル | - | - | ○ | - |
dbName | ○ | - | - | - |
デフォルト・データベース | - | ○ | - | ○ |
デフォルト言語 | - | ○ | - | ○ |
ロール
注意: これは複数値属性です。 |
- | - | ○ | ○ |
権限
注意: これは複数値属性です。 |
- | - | ○ | - |
スキーマ名
注意: これは複数値属性です。 |
○ | - | - | - |
表領域名
注意: これは複数値属性です。 |
○ | - | - | - |
次の表に、ターゲット・リソースのリコンシリエーション中にデータベースから値が読み取られるターゲット・システムのユーザー・エンティティ属性を示します。
ターゲット・システムのユーザー属性 | Microsoft SQL Server | Sybase |
---|---|---|
ユーザー | ○ | ○ |
グループ | - | ○ |
データベース | ○ | ○ |
ロール
注意: これは複数値属性です。 |
○ | - |
プロビジョニングとは、Oracle Identity Managerを介して、ターゲット・システム上でユーザー・アカウント情報を作成または変更することです。プロビジョニング操作は、Oracle Identity Manager管理およびユーザー・コンソールを使用して実行します。
関連項目: プロビジョニングの概念については、『Oracle Identity Manager Connectorフレームワーク・ガイド』のOracle Identity Managerのデプロイ構成に関する項を参照してください。 |
このターゲット・システムでは、プロビジョニング・モジュールは次のように分類されます。
注意: この項で説明する内容は、サポートされている4つのターゲット・システムすべてに適用されます。 |
次のターゲット・システム属性がプロビジョニングされます。
ターゲット・システムのログイン/ユーザー属性 | IBM DB2 UDB | Microsoft SQL Server | Oracle Database | Sybase |
---|---|---|---|---|
ログイン名(Microsoft SQL ServerおよびSybaseの場合)
ユーザー名(Oracle DatabaseおよびIBM DB2 UDBの場合) |
○ | ○ | ○ | ○ |
パスワード | ○ | ○ | ○ | ○ |
デフォルト・データベース | - | ○
注意: ターゲット・システムがMicrosoft SQL Server 2000の場合は、プロビジョニング時にデフォルト・データベースを選択する必要があります。 |
- | ○ |
デフォルト言語 | - | ○ | - | ○ |
完全名 | - | - | - | ○ |
認証タイプ | - | ○ | - | - |
デフォルト表領域 | - | - | ○ | - |
一時表領域 | - | - | ○ | - |
割当て制限 | - | - | ○ | - |
デフォルト・ロール | - | - | - | ○ |
データベース | ○ | - | - | - |
ユーザー・タイプ | ○ | - | - | - |
プロファイル | - | - | ○ | - |
アカウント・ステータス | - | - | ○ | - |
ロール
注意: これは複数値属性です。 |
- | - | ○ | ○ |
表領域名
注意: これは複数値属性です。 |
○ | - | - | - |
スキーマ名
注意: これは複数値属性です。 |
○ | - | - | - |
権限
注意: これは複数値属性です。 |
- | - | ○ | - |
注意: この項で説明する内容は、Microsoft SQL ServerおよびSybaseターゲット・システムに適用されます。 |
次のターゲット・システム属性がプロビジョニングされます。
ターゲット・システムのユーザー属性 | Microsoft SQL Server | Sybase |
---|---|---|
ユーザー | ○ | ○ |
データベース名 | ○ | ○ |
データベース・グループ | ○ | ○ |
親ログイン | ○ | ○ |
認証タイプ | ○ | - |
ロール
注意: これは複数値属性です。 |
○ | - |
次の項では、各データベース・アクセス・エンティティ・タイプに対してコネクタでサポートされるプロビジョニング機能とリコンシリエーション機能の情報を示します。
次の表に、ログイン・データベース・アクセス・エンティティ・タイプに対応するコネクタの機能を示します。
注意: この項で説明する内容は、サポートされている4つのターゲット・システムすべてに適用されます。機能をサポートしているターゲット・システムは、表の「サポートされるRDBMS」列に示されています。 |
機能 | タイプ | 説明 | サポートされるRDBMS |
---|---|---|---|
Create Login | プロビジョニング | データベースにログインを作成する。
注意: Oracle Databaseでこのプロビジョニング操作を実行すると、ユーザーが作成されるが、ユーザーに権限は付与されない。つまり、プロビジョニング済のユーザーはデータベースにログインできない。プロビジョニング済のユーザーに必要な権限を指定するには、CONNECT、RESOURCEおよびSELECT ANY TABLEという値を指定してAdd Role or Grant Privilegeプロビジョニング操作を実行。 詳細は、この表のAdd Role or Grant機能の説明を参照。 |
すべて |
Delete Login | プロビジョニング | プロビジョニング済ログインを削除する。 | すべて |
Enable Login | プロビジョニング | 無効なログインを有効にする。 | IBM DB2 UDB |
Disable Login | プロビジョニング | ログインを無効化する。 | IBM DB2 UDB |
Default Database Updated | プロビジョニング | デフォルト・データベース属性の変更に基づいてデータベースのログイン・プロパティを更新する。
ターゲット・システム値をリコンサイルして次の参照定義を移入するには、スケジュール済タスクを構成することが必要。
|
Microsoft SQL ServerおよびSybase |
Full Name Updated | プロビジョニング | 「完全名」属性の変更に基づいてデータベースのログイン・プロパティを更新する。 | Sybase |
Default Role Updated | プロビジョニング | デフォルト・ロール属性の変更に基づいてデータベースのログイン・プロパティを更新する。
この機能が作動するのは、関連するロールがSybaseログインにすでに割り当てられている場合のみ。 この参照定義を移入するには、ターゲット・システム内のロール名に対応する参照コードを追加することが必要。 |
Sybase |
Default Language Updated | プロビジョニング | 「デフォルト言語」属性の変更に基づいてデータベースのログイン・プロパティを更新する。
ターゲット・システム値をリコンサイルして次の参照定義を移入するには、スケジュール済タスクを構成することが必要。
|
Microsoft SQL ServerおよびSybase |
Password Updated | プロビジョニング | 「パスワード」属性の変更に基づいてデータベースのログイン・プロパティを更新する。
この機能は、プロセス・フォームのパスワードが変更されると実行される。 Sybaseの場合:
|
Microsoft SQL Server、Oracle DatabaseおよびSybase |
Add Role or Grant | プロビジョニング | データベースの既存ログインにロールを追加する。
必要なロールはターゲット・システムで定義され有効であることが必要。 ターゲット・システム値をリコンサイルして次の参照定義を移入するには、スケジュール済タスクを構成することが必要。
|
Oracle DatabaseおよびSybase |
Revoke Role | プロビジョニング | データベースの既存ログインのロールを失効させる。 | Oracle DatabaseおよびSybase |
Add Tablespace | プロビジョニング | データベースの既存ログインに表領域を追加する。
IBM DB2 UDBから値をフェッチして 詳細は、「参照フィールドのリコンシリエーションに対するスケジュール済タスクの構成」を参照してください。 |
IBM DB2 UDB |
Delete Tablespace | プロビジョニング | データベースの既存ログインの表領域を失効させる。 | IBM DB2 UDB |
Add Schema | プロビジョニング | データベースの既存ログインにスキーマを追加する。
IBM DB2 UDBから値をフェッチして 詳細は、「参照フィールドのリコンシリエーションに対するスケジュール済タスクの構成」を参照してください。 |
IBM DB2 UDB |
Delete Schema | プロビジョニング | データベースの既存ログインのスキーマを失効させる。 | IBM DB2 UDB |
Add Privileges | プロビジョニング | データベースの既存ログインに権限を追加または付与する。
Oracle Databaseから値をフェッチして 詳細は、「参照フィールドのリコンシリエーションに対するスケジュール済タスクの構成」を参照してください。 |
Oracle Database |
Revoke Privilege | プロビジョニング | データベースの既存ログインの権限を失効させる。 | Oracle Database |
Profile Name Updated | プロビジョニング | 「プロファイル名」属性の変更に基づいてデータベースのログイン・プロパティを更新する。
Oracle Databaseから値をフェッチして 詳細は、「参照フィールドのリコンシリエーションに対するスケジュール済タスクの構成」を参照してください。 |
Oracle Database |
Account Status Updated | プロビジョニング | 「アカウント・ステータス」属性の変更に基づいてデータベースのログイン・プロパティを更新する。 | Oracle Database |
Trusted Reconciliation for Login | リコンシリエーション | データベースからのリコンサイル済ログインに対応するXellerateユーザー(OIMユーザー)を作成する。 | すべて |
Target Resource Reconciliation for Login | リコンシリエーション | Oracle Identity Managerのターゲット・システムのログイン・データをリコンサイルする。
このデータは、OIMユーザーに割り当てたターゲット・システム・リソース(アカウント)の作成および更新に使用される。 |
すべて |
次の表に、ユーザー・データベース・アクセス・エンティティ・タイプに対応するコネクタの機能を示します。
注意: 次の機能はMicrosoft SQL ServerおよびSybaseのみでサポートされます。 |
機能 | タイプ | 説明 | サポートされるRDBMS |
---|---|---|---|
Create User | プロビジョニング | データベースの既存ログインに対応するユーザーを作成する。
ユーザーを作成するときは、「データベース名」フィールドに必要な値を指定することが必要。 ターゲット・システム値をリコンサイルして次の参照定義を移入するには、スケジュール済タスクを構成することが必要。
|
両方 |
Delete User | プロビジョニング | データベースの既存ログインに対応するプロビジョニング済ユーザーを削除する。
この機能(プロビジョニング操作)を実行するには、Oracle Identity Managerの「リクエスト」フォームを使用してリクエストの取消し機能を実行する。 |
両方 |
Disable User | プロビジョニング | データベースの既存ユーザーを無効にする。
この機能によって、指定したユーザーのすべての表へのアクセスを失効させる。 |
Sybase |
Enable User | プロビジョニング | データベースの無効な既存ユーザーを有効にする。
プロビジョニング済アカウントは、デフォルトでは特定の表のセットのみにアクセスできる。 この機能によって、指定されたデータベースのすべてのシステム定義表とユーザー定義表に対するすべてのタイプのアクセス権限が、アカウントに付与される。 |
Sybase |
Database Group Updated | プロビジョニング | データベース・グループ属性の変更に基づいてデータベースのユーザーの構成を更新する。
Microsoft SQL Server Oracle Identity Managerのグループは、Microsoft SQL Serverのロールと同様。 Microsoft SQL Server参照フィールドから値をフェッチしてこの参照定義にコピーするには、 注意: このリリースでは、Update Database Groupプロビジョニング操作はMicrosoft SQL Serverでサポートされていません。これについては、「既知の問題」のOracle Bug#8274794でも説明されています。 Sybase プロセス・フォームの「ユーザー・グループ」フィールドに入力がない場合は、プロビジョニング済ユーザーはSybaseデータベースのデフォルト・グループ 必要なグループはSybaseデータベースで定義され有効であることが必要。
たとえば、
|
両方 |
Add Role | プロビジョニング | データベースの既存ユーザーにロールを追加する。
Microsoft SQL Serverから値をフェッチして |
Microsoft SQL Server |
Revoke Role | プロビジョニング | データベースの既存ユーザーのロールを失効させる。 | Microsoft SQL Server |
Target Resource Reconciliation for User | リコンシリエーション | Oracle Identity Managerのターゲット・システムのユーザー・データをリコンサイルする。
このデータは、OIMユーザーに割り当てたターゲット・システム・リソースの作成および更新に使用される。ユーザー・エンティティ・リコンシリエーションの個別のスケジュール済タスクはない。ユーザー・エンティティは、Microsoft SQL ServerおよびSybaseのログイン・リコンシリエーションのスケジュール済タスクが実行される際に、ログインとともにリコンサイルされる。 注意: 信頼できるソースのリコンシリエーションは、Microsoft SQL ServerおよびSybaseへのログインでのみサポートされている。これらのターゲット・システムのユーザーは、OIMユーザーとしてリコンサイルされない。 |
両方 |
コネクタでは、次の言語がサポートされています。
アラビア語
簡体字中国語
繁体字中国語
デンマーク語
英語
フランス語
ドイツ語
イタリア語
日本語
韓国語
ポルトガル語(ブラジル)
スペイン語
関連項目: サポートされる特殊文字の詳細は、『Oracle Identity Managerグローバリゼーション・ガイド』を参照してください。 |
インストール・メディアのファイルおよびディレクトリを次の表に示します。
インストール・メディア・ディレクトリのファイル | 説明 |
---|---|
configuration/DatabaseAccess-CI.xml |
このXMLファイルには、コネクタのインストール時に使用される構成情報が含まれます。 |
lib/xliDatabaseAccess.jar |
このファイルには、プロビジョニングとリコンシリエーションの実行に必要なクラス・ファイルが含まれる。コネクタのデプロイ中に、このファイルは次のディレクトリにコピーされます。
OIM_HOME/xellerate/JavaTasks OIM_HOME/xellerate/ScheduleTask |
resources ディレクトリにあるファイル |
これらの各リソース・バンドルには、コネクタで使用される言語固有の情報が含まれます。特定の言語に対して、各データベース・アクセス・エンティティ(ログインおよびユーザー)に1つ、計2つのリソース・バンドルがある。コネクタのデプロイ中に、これらのリソース・バンドルが次のディレクトリにコピーされます。
OIM_HOME/xellerate/connectorResources
注意: リソース・バンドルは、Oracle Identity Managerのユーザー・インタフェースに表示されるローカライズ・バージョンのテキスト文字列を含むファイルです。これらのテキスト文字列には、管理およびユーザー・コンソールに表示されるGUI要素のラベルおよびメッセージが含まれます。 |
scripts/procGrantAllToUser.sql |
このファイルには、コネクタ操作で必要なロールをSybaseユーザーに作成および付与するストアド・プロシージャが含まれる。このファイルの使用方法の詳細は、「Sybaseの構成」を参照。 |
scripts/procRevokeAllFromUser.sql |
このファイルには、コネクタ操作のためにSybaseユーザーに付与されたロールを取り消すストアド・プロシージャが含まれる。このファイルの使用方法の詳細は、「Sybaseの構成」を参照。 |
scripts/OimUser.sql |
このファイルには、コネクタ操作のためのOracle Databaseユーザーを作成するSQLコマンドが含まれる。 |
scripts/OimUserGrants.sql |
このファイルには、コネクタ操作で必要なロールをOracle Databaseユーザーに付与するSQLコマンドが含まれる。 |
scripts/OIM.bat |
Microsoft Windowsプラットフォームの場合、このBATファイルを使用して、Oracle DatabaseのITリソース・ユーザーを作成する。このBATファイルが実行されると、OimUser.sql およびOimUserGrants.sql ファイルがコールされる。 |
scripts/OIM.sh |
UNIXプラットフォームの場合、このスクリプト・ファイルを使用して、Oracle DatabaseのITリソース・ユーザーを作成する。このスクリプト・ファイルが実行されると、OimUser.sql およびOimUserGrants.sql ファイルがコールされる。 |
config/LookUpQuery.properties |
このファイルには、DBAccessLookupReconTask スケジュール済タスクを使用してリコンサイルされる参照フィールドの一覧が含まれる。それぞれの参照フィールドには、SQLコマンドが関連付けられている。このスケジュール済タスクでは、SQLコマンドを使用してターゲット・システム・フィールドから値をフェッチし、Oracle Identity Managerの対応する参照定義を移入する。 |
test/config/config.properties |
このテスト・ユーティリティ・ファイルには、ターゲット・システムに接続し、プロビジョニング操作を実行するためのOracle Identity Managerの属性が含まれる。 |
test/config/log.properties |
このファイルはテスト・ユーティリティの実行時に生成されるロギング・メッセージの格納に使用される。 |
test/scripts/DBAccess.bat test/scripts/DBAccess.sh |
このファイルはテスト・ユーティリティを起動するために使用されます。 |
xml/xliDBAccessLogin_DM Nontrusted.xml |
このXMLファイルには、Database Access(ログイン)のプロビジョニングに関連するコネクタ・コンポーネントの定義が含まれる。コンポーネントは次のとおりです。
|
xml/xliDBAccessUser_DM Nontrusted.xml |
このXMLファイルには、Database Access(ユーザー)のプロビジョニングに関連するコネクタ・コンポーネントの定義が含まれる。コンポーネントは次のとおりです。
|
xml/xelluserDbAccess Trusted.xml |
このXMLファイルには、Xellerateユーザー(OIMユーザー)の構成が含まれます。このファイルをインポートする必要があるのは、信頼できるソースのリコンシリエーション・モードでコネクタを使用する場合のみです。 |
注意: test ディレクトリのファイルは、コネクタでテストを実行するためにのみ使用します。 |
以前のリリースのコネクタがすでにデプロイされていることがあります。最新のリリースをデプロイする一方で、以前のリリースのリリース番号を確認しておくことができます。デプロイ済のコネクタのリリース番号を確認するには、次のようにします。
一時ディレクトリに、次のJARファイルの内容を抽出します。
OIM_HOME/xellerate/JavaTasks/xliDatabaseAccess.jar
テキスト・エディタでmanifest.mf
ファイルを開きます。manifest.mf
ファイルは、xliDatabaseAccess.jar
ファイルにバンドルされているファイルの1つです。
manifest.mf
ファイルで、コネクタのリリース番号が「バージョン」プロパティの値として表示されます。