| Oracle Identity Manager Oracle Internet Directory Connectorガイド リリース9.0.4 E05506-04 |
|
 戻る |
 次へ |
コネクタをデプロイするには、次の項で説明する手順を実行します。
使用するOracle Identity Managerのリリースに応じて、次のいずれかの項の手順を実行します。
次の表に、コネクタのデプロイ要件を示します。
ユーザー・ロールのプロビジョニングおよびリコンシリエーションには、Oracle Internet Directoryのスキーマにカスタム・オブジェクト・クラスとカスタム属性を追加する必要があります。また、modifytimestamp属性を検索可能な属性に設定して、増分リコンシリエーションを構成する必要があります。この項では両方の手順を説明します。
カスタム・オブジェクト・クラスとカスタム属性を追加するには、次のようにします。
Oracle Internet Directoryが稼働していることを確認します。
インストール・メディアから、Batch/customディレクトリの内容をターゲットのOracle Internet Directoryサーバーのディレクトリにコピーします。
テキスト・エディタを使用して、custom.batファイルを開きます。
custom.batファイルに示されたコマンドに、ホスト名、ポート、Oracle Internet DirectoryスーパーユーザーDNおよびパスワードを指定します。
次にこれらの値を指定する構文を示します。
ldapmodify -h hostname -p port_number -D SuperUser_DN -w SuperUser_Password -c -f customRoleOccupant.ldif ldapadd -h hostname -p port_number -D SuperUser_DN -w SuperUser_Password -c -f customIndex.ldif ldapmodify -h hostname -p port_number -D SuperUser_DN -w SuperUser_Password -c -f customOrganizationalRole.ldif
次に例を示します。
ldapmodify -h bk2b3f-2809 -p 4389 -D "cn=orcladmin" -w "welcome" -c -f customRoleOccupant.ldif ldapadd -h bk2b3f-2809 -p 4389 -D "cn=orcladmin" -w "welcome" -c -f customIndex.ldif ldapmodify -h bk2b3f-2809 -p 4389 -D "cn=orcladmin" -w "welcome" -c -f customOrganizationalRole.ldif
custom.batファイルを実行します。
Oracle Directory Managerを開き、左ペインの「スキーマ管理」をクリックします。すべてのスキーマの要素が右ペインに表示されます。customOrganizationalRoleオブジェクト・クラスとcustomRoleOccupant属性がスキーマに追加されているかどうかを確認します。
増分リコンシリエーションに対してターゲット・システムを構成するには、次のようにします。
modifytimestampを検索可能な属性にするには、catalog.shファイルを使用してmodifytimestampに索引を付けます。
手順の詳細は、『Oracle Identity Managementユーザー・リファレンス』を参照してください。
Oracle Internet Directoryを再起動して、変更を有効にします。
ldap.jarファイルには、ターゲット・システムへの接続に使用するAPIが含まれます。ldap.jarファイルを使用すると、コネクタでターゲット・システム上のユーザー・レコードに対するLDAPベースの検索が可能になります。次のようにして、このファイルをSun社のWebサイトからダウンロードし、ThirdPartyディレクトリにコピーする必要があります。
次のSun社のWebサイトの「JNDI Downloads」セクションにログオンします。
「JNDI Downloads」ページで、「Download JNDI 1.2.1 & More」をクリックします。
「I agree to the Software License Agreement」チェック・ボックスを選択し、「Continue」を選択します。
「LDAP Service Provider, 1.2.4」を選択します。
jndi-1_2_1.zipをクリックします。
ldap-1_2_4.zipファイルのダウンロード先の一時ディレクトリを指定します。
ldap-1_2_4.zipファイルの内容を抽出します。
ldap-1_2_4.zipファイル内のlibディレクトリから、ldap.jarファイルとldapbp.jarファイルをOIM_HOME/xellerate/ThirdPartyディレクトリにコピーします。
|
注意: Oracle Identity Managerクラスタの場合、このJARファイルをクラスタの各ノードのThirdPartyディレクトリにコピーします。 |
|
注意: このガイドでは、コネクタ・インストーラという用語は、Oracle Identity Manager管理およびユーザー・コンソールのコネクタ・インストーラ機能を示すために使用されます。 |
Oracle Identity Managerリリース9.1.0以上にコネクタをインストールする手順は次のとおりです。
コネクタ・インストーラを実行するには、次のようにします。
コネクタ・インストール・メディアの内容を次のディレクトリにコピーします。
OIM_HOME/xellerate/ConnectorDefaultDirectory
『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』の「コネクタのインストールのためのユーザー・アカウントの作成」で説明されているユーザー・アカウントを使用して、管理およびユーザー・コンソールにログインします。
「デプロイメント管理」→「コネクタのインストール」をクリックします。
「コネクタ・リスト」リストで、Oracle Internet Directory RELEASE_NUMBERを選択します。このリストには、インストール・ファイルがデフォルト・コネクタ・インストール・ディレクトリにコピーされているコネクタの、名前およびリリース番号が表示されます。
OIM_HOME/xellerate/ConnectorDefaultDirectory
インストール・ファイルを異なるディレクトリにコピーした場合は、次のようにします。
「代替ディレクトリ」フィールドに、該当するディレクトリのフルパスおよび名前を入力します。
「リフレッシュ」をクリックして、「コネクタ・リスト」に含まれるコネクタのリストを再移入します。
「コネクタ・リスト」リストで、Oracle Internet Directory RELEASE_NUMBERを選択します。
「ロード」をクリックします。
「続行」をクリックして、インストール処理を開始します。
次のタスクが順番に実行されます。
コネクタ・ライブラリの構成
コネクタのXMLファイルのインポート(デプロイメント・マネージャを使用)
アダプタのコンパイル
正常に完了したタスクには、チェックマークが表示されます。タスクが失敗すると、Xマークおよび失敗の理由を示すメッセージが表示されます。失敗の理由に応じて必要な修正を行い、次のいずれかの手順を実行します。
「再試行」をクリックしてインストールを再試行します。
インストールを取り消して、ステップ1からやりなおします。
コネクタのインストール処理の3つのタスクがすべて正常に行われると、インストールが正常に実行されたことを示すメッセージが表示されます。また、インストール後に実行する必要がある手順のリストが表示されます。これらの手順は次のとおりです。
コネクタ使用の前提条件が満たされていることの確認
|
注意: この段階で、コネクタ・リソース・バンドルからのコンテンツを含むサーバー・キャッシュをロードするためのPurgeCacheユーティリティを実行して、前提条件のリストを表示できます。PurgeCacheユーティリティの実行に関する情報は、「サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去」を参照してください。
一部の事前定義済コネクタには、前提条件はありません。 |
コネクタのITリソースの構成
このページに表示されるITリソースの名前を記録します。ITリソースの構成手順は、このガイドで後述します。
コネクタのインストール時に作成されたスケジュール済タスクの構成
このページに表示されるスケジュール済タスクの名前を記録します。これらのスケジュール済タスクの構成手順は、このガイドで後述します。
Oracle Identity Managerクラスタへのコネクタのインストール
クラスタ環境でOracle Identity Managerをインストールする際には、すべてのJARファイルおよびconnectorResourcesディレクトリの内容を、クラスタの各ノードの対応するディレクトリにコピーする必要があります。コピー対象ファイルおよびOracle Identity Managerサーバー上のコピー先に関する情報は、「インストール・メディアのファイルおよびディレクトリ」を参照してください。
|
注意: コネクタをOracle Identity Managerリリース9.1.0以上にインストールする場合、この手順を実行します。 |
次のようにして、OID Server ITリソースのパラメータ値を指定する必要があります。
管理およびユーザー・コンソールにログインします。
「リソース管理」を開きます。
「ITリソースの管理」をクリックします。
ITリソースの編集アイコンをクリックします。
ページ上部のリストから、「詳細およびパラメータ」を選択します。
ITリソースのパラメータの値を指定します。次の表に、各パラメータの説明を示します。
| パラメータ | 説明 |
|---|---|
Admin Id |
Oracle Internet Directoryサーバーで管理者の権限を持つユーザーのDN値。
サンプル値: |
Admin Password |
ターゲットのOracle Internet Directoryサーバーで管理者の権限を持つユーザーのパスワード。 |
Server Address |
Oracle Internet DirectoryサーバーのIPアドレス。 |
Port |
Oracle Internet Directoryサーバーに接続するためのポート番号。
サンプル値: |
Root DN |
すべてのユーザーの操作が実行されるベースDN。
サンプル値:
dc=host_name, dc=com
ここで、 |
SSL |
このパラメータをtrueに設定すると、Oracle Identity ManagerとOracle Internet Directoryサーバー間の通信をセキュアにするためにSSLが使用されます。この場合、Oracle Internet Directoryサーバーの認証証明書はOracle Identity Managerサーバーへインポートする必要があります。
このパラメータを 注意: SSLを有効化してターゲット・システムとの通信を保護することをお薦めします。 |
Prov Attribute Lookup Code |
プロビジョニングに必要なターゲット属性マッピングを持つ参照定義名。
値は |
Recon Attribute Lookup Code |
リコンシリエーションに必要なターゲット属性マッピングを持つ参照定義名。
値は |
Use XL Org Structure |
trueに設定すると、Oracle Identity Managerの組織構造はプロビジョニングとリコンシリエーションの際に使用されます。
プロビジョニングの際、Oracle Identity Managerのデフォルトの ou=org1,dc=corp,dc=company,dc=com このサンプルでは、 このサンプルでは、参照を特定の組織値で移入する必要があります。最初に 全体リコンシリエーションを実行しない場合、まず組織を手動で作成してからユーザーをプロビジョニングする必要があります。エンティティの名前は、ターゲット・システム内の名前と同一で、大/小文字が一致している必要があります。 リコンシリエーションの際、この属性を
|
Last Recon TimeStamp |
最初のリコンシリエーションの実行では、タイムスタンプ値は設定されていません。後続のリコンシリエーション処理では、前のリコンシリエーション処理が完了した時刻がこのパラメータに保存されます。
このパラメータに値を指定する必要はありません。 サンプル値: |
CustomizedReconQuery |
リコンシリエーションの基となる問合せ条件。
このパラメータに問合せ条件を追加すると、問合せ条件に基づいてターゲット・システム・レコードが検索されます。 すべてのターゲット・システム・レコードをリコンサイルする場合は、このパラメータの値を指定しないでください。 問合せには、AND(&)およびOR(│)論理演算子を使用できます。 サンプル値: このパラメータの詳細は、「部分リコンシリエーション」を参照してください。 |
「更新」をクリックして値を保存します。
Oracle Identity Managerリリース8.5.3.1〜9.0.3にコネクタをインストールする手順は、次のとおりです。
コピーするコネクタのファイルと、コピーする必要があるディレクトリを次の表に示します。
| インストール・メディア・ディレクトリのファイル | コピー先ディレクトリ |
|---|---|
Batch/customディレクトリにあるファイル |
これらのファイルをコピーする手順は、「ターゲット・システムの構成」を参照してください。 |
lib/OIDProv.jar |
OIM_HOME/xellerate/JavaTasks
|
lib/OIDRecon.jar |
OIM_HOME/xellerate/ScheduleTasks
|
resourcesディレクトリにあるファイル |
OIM_HOME/xellerate/connectorResources
|
test/troubleshootディレクトリにあるファイル |
OIM_HOME/xellerate/test/troubleshoot
|
xmlディレクトリにあるファイル |
OIM_HOME/xellerate/OID/xml
|
|
注意: クラスタ環境では、JARファイルおよびconnectorResourcesディレクトリの内容を、クラスタの各ノードの対応するディレクトリにコピーします。 |
「インストール・メディアのファイルおよびディレクトリ」で説明したように、コネクタのXMLファイルには、コネクタのコンポーネントの定義が含まれています。コネクタのXMLファイルをインポートすることで、Oracle Identity Managerにこれらのコンポーネントを作成します。
コネクタのXMLファイルをインポートするには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くダイアログ・ボックスが表示されます。
oimOIDUser.xmlファイルを検索して開きます。このファイルはOIM_HOME/xellerate/OID/xmlディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「次へ」をクリックします。OID Server ITリソースの「ITリソース・インスタンス・データの提供」ページが表示されます。
OID Server ITリソースのパラメータの値を指定します。指定する値に関する情報は、次の表を参照してください。
| パラメータ | 説明 |
|---|---|
Admin Id |
Oracle Internet Directoryサーバーで管理者の権限を持つユーザーのDN値。
サンプル値: |
Admin Password |
ターゲットのOracle Internet Directoryサーバーで管理者の権限を持つユーザーのパスワード。 |
Server Address |
Oracle Internet DirectoryサーバーのIPアドレス。 |
Port |
Oracle Internet Directoryサーバーに接続するためのポート番号。
サンプル値: |
Root DN |
すべてのユーザーの操作が実行されるベースDN。
サンプル値:
dc=host_name, dc=com
ここで、 |
SSL |
このパラメータをtrueに設定すると、Oracle Identity ManagerとOracle Internet Directoryサーバー間の通信をセキュアにするためにSSLが使用されます。この場合、Oracle Internet Directoryサーバーの認証証明書はOracle Identity Managerサーバーへインポートする必要があります。
このパラメータを 注意: SSLを有効化してターゲット・システムとの通信を保護することをお薦めします。 |
Prov Attribute Lookup Code |
プロビジョニングに必要なターゲット属性マッピングを持つ参照定義名。
値は |
Recon Attribute Lookup Code |
リコンシリエーションに必要なターゲット属性マッピングを持つ参照定義名。
値は |
Use XL Org Structure |
trueに設定すると、Oracle Identity Managerの組織構造はプロビジョニングとリコンシリエーションの際に使用されます。
プロビジョニングの際、Oracle Identity Managerのデフォルトの ou=org1,dc=corp,dc=company,dc=com このサンプルでは、 このサンプルでは、参照を特定の組織値で移入する必要があります。最初に 全体リコンシリエーションを実行しない場合、まず組織を手動で作成してからユーザーをプロビジョニングする必要があります。エンティティの名前は、ターゲット・システム内の名前と同一で、大/小文字が一致している必要があります。 リコンシリエーションの際、この属性を
|
Last Recon TimeStamp |
最初のリコンシリエーションの実行では、タイムスタンプ値は設定されていません。後続のリコンシリエーション処理では、前のリコンシリエーション処理が完了した時刻がこのパラメータに保存されます。
このパラメータに値を指定する必要はありません。 サンプル値: |
CustomizedReconQuery |
リコンシリエーションの基となる問合せ条件。
このパラメータに問合せ条件を追加すると、問合せ条件に基づいてターゲット・システム・レコードが検索されます。 すべてのターゲット・システム・レコードをリコンサイルする場合は、このパラメータの値を指定しないでください。 問合せには、AND(&)およびOR(│)論理演算子を使用できます。 サンプル値: このパラメータの詳細は、「部分リコンシリエーション」を参照してください。 |
「次へ」をクリックします。LDAP Server ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
「スキップ」をクリックして、他のITリソースを定義しないことを指定します。「確認」ページが表示されます。
|
関連項目: その他のITリソースを定義する場合、手順は『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』を参照してください。 |
「選択内容の表示」をクリックします。
XMLファイルの内容が「インポート」ページに表示されます。ノードの横に十字形のアイコンが表示されることがあります。これらのノードは、冗長なOracle Identity Managerエンティティを示しています。コネクタのXMLファイルをインポートする前に、各ノードを右クリックして「削除」を選択し、これらのエンティティを削除する必要があります。
「インポート」をクリックします。コネクタのXMLファイルがOracle Identity Managerにインポートされます。
Oracle Identity Managerサーバーを構成するには、次の手順を実行します。
|
注意: クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。 |
xlconfig.xmlファイルでは、checkouttimeout属性に50,000以上の高い値を指定する必要があります。このXMLファイルはOIM_HOME/xellerate/configディレクトリにあります。コネクタのXMLファイルが正しくインポートされていることを確認するために、checkouttimeout属性値を変更する必要があります。
必要な入力ロケール(言語および国の設定)に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。
必要な入力ロケールに変更するため、システム管理者の支援が必要となる場合があります。
「コネクタ・ファイルのコピー」の項で説明した手順を実行する一方で、インストール・メディアのresourcesディレクトリにあるファイルを、OIM_HOME/xellerate/connectorResourcesディレクトリにコピーします。connectorResourcesディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。
コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。
コマンド・ウィンドウで、OIM_HOME/xellerate/binディレクトリに移動します。
|
注意: ステップ1を実行してからステップ2を実行してください。ステップ2で次のようにコマンドを実行すると、例外がスローされます。OIM_HOME/xellerate/bin/batch_file_name |
次のいずれかのコマンドを入力します。
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
|
注意: ステップ2の実行時にスローされる例外は無視できます。 |
このコマンドのConnectorResourceBundleは、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。
OIM_HOME/xellerate/config/xlConfig.xml
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ALL
このレベルでは、すべてのイベントのロギングが有効化されます。
DEBUG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を大まかに示すメッセージのロギングが有効化されます。
WARN
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
ERROR
このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。
FATAL
このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。
OFF
このレベルでは、すべてのイベントのロギングが無効化されます。
ログ・レベルを設定するファイルおよびログ・ファイルのパスは、使用するアプリケーション・サーバーによって異なります。
BEA WebLogic Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.XELLERATE=log_level log4j.logger.XL_INTG.OID=log_level
これらの行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO log4j.logger.XL_INTG.OID=INFO
ロギングを有効化すると、ログ情報がサーバー・コンソールに表示されます。
IBM WebSphere Application Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.XELLERATE=log_level log4j.logger.XL_INTG.OID=log_level
これらの行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO log4j.logger.XL_INTG.OID=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WEBSPHERE_HOME/AppServer/logs/SERVER_NAME/SystemOut.log
JBoss Application Server
ロギングを有効にするには、次のようにします。
JBOSS_HOME/server/default/conf/log4j.xmlファイルに次の行が存在していない場合は追加します。
<category name="XELLERATE">
<priority value="log_level"/>
</category>
<category name="XL_INTG.OID">
<priority value="log_level"/>
</category>
各セットのXMLコードの2行目で、log_levelを、設定するログ・レベルに置換します。次に例を示します。
<category name="XELLERATE"> <priority value="INFO"/> </category>
<category name="XL_INTG.OID"> <priority value="INFO"/> </category>
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
JBOSS_HOME/server/default/log/server.log
Oracle Application Server
ロギングを有効にするには、次のようにします。
OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.XELLERATE=log_level log4j.logger.XL_INTG.OID=log_level
これらの行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO log4j.logger.XL_INTG.OID=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
ORACLE_HOME/opmn/logs/default_group~home~default_group~1.log
コネクタをデプロイすると次の参照定義がOracle Identity Managerに作成されます。
global.AttrName.Prov.Map.OID.Location
プロビジョニング操作で、この参照定義を使用してユーザーの場所を指定します。
global.AttrName.Prov.Map.OID.Preferred-Language
プロビジョニング操作で、この参照定義を使用してユーザーの言語を指定します。
global.AttrName.Prov.Map.OID.Time-Zone
プロビジョニング操作で、この参照定義を使用してユーザーのタイムゾーンを指定します。
プロビジョニング操作で使用する前にこれらの参照定義に値を入力する必要があります。参照定義に値を入力するには、次のようにします。
Design Consoleにログインします。
「Administration」を開き、「Lookup Definition」をダブルクリックします。
参照定義を検索して開きます。
「Code Key」および「Decode」の各エントリに値を入力します。
どのような値でも入力できます。ただし、「Code Key」および「Decode」列の両方に同一の値を入力する必要があります。
「Save」をクリックします。
部分リコンシリエーションを有効にするために、「ターゲット・システムの構成」で説明する手順を実行して、modifytimestampを検索可能な属性にしました。これに加え、ldapTargetResourceTimeStampFieldコード・キーのデコード値を[NONE]からmodifytimestampに変更して、AttrName.Recon.Map.OID参照定義を変更する必要があります。
|
注意: これはデプロイのオプションの手順です。 コネクタでは、Oracle Internet Directoryへのモード1のセキュア接続のみがサポートされています。 |
Oracle Identity ManagerとOracle Internet Directoryサーバー間のSSL接続を設定するには、次のようにします。
Oracle Internet DirectoryでSSLを構成してから、Wallet Managerを使用してOracle Internet Directoryサーバー証明書をエクスポートします。
詳細な手順は、『Oracle Internet Directory管理者ガイド』のSecure Sockets Layerおよびディレクトリに関する章を参照してください。
|
注意: モード1のセキュア接続では、「SSL認証」として「SSLサーバー認証」を選択する必要があります。デフォルトの非SSLポートは389です。デフォルトのSSLポートは636です。Oracle Internet Directoryの構成セットを作成する場合、Oracle Identity ManagerとのSSL通信用には別のポート(たとえば、1636など)を選択することをお薦めします。 |
Oracle Internet DirectoryサーバーがSSLポートでリスニングしているかどうか確認してください。そうでない場合は、SSLポート(デフォルトSSLポートは636)に設定します。次にサーバーを再起動します。
次のように、ターゲット・システムから証明書をJSDK(Oracle Identity Managerのインストールのときに使用したJSDK)cacertsキーストアへインポートします。
keytool -import –alias alias_name -file certificate_file_name_with_complete_path –keystore java_home/jre/lib/security/cacerts
Oracle Identity Managerサーバーを再起動します。
OID Server ITリソース定義内で、次のようにします。
SSLパラメータ値をtrueに設定します。
Portパラメータ値をSSLのポート番号に設定します。通常、この番号は636です。
