2 コネクタのデプロイ

コネクタをデプロイするには次の手順を実行します。

• デプロイ要件の確認

• 外部コード・ファイルの使用

• コネクタのインストール

• Oracle Identity Managerサーバーの構成

• ターゲット・システムの構成

• Oracle Identity Managerとターゲット・システムとの間の通信を保護するためのSNCの構成

2.1 デプロイ要件の確認

次の表に、コネクタのデプロイ要件を示します。

項目	要件
Oracle Identity Manager	Oracle Identity Managerリリース9.1.0以上。 注意: 使用するOracle Identity Managerとアプリケーション・サーバーの組合せで、JDK 1.5がサポートされていることを確認する必要があります。コネクタのリリース9.0.4.5以降でSAP JCo 3.0がサポートされている結果、この要件が課されています。動作保証されているOracle Identity Managerの構成については、次のOracle Technology Networkページを参照してください。 http://www.oracle.com/technology/software/products/ias/files/idm_certification_101401.html
ターゲット・システム	ターゲット・システムは次のいずれかです。 SAP R3 4.6c（Basis 4.6C上で動作） SAP R3 4.7（WAS 6.2上で動作） mySAP ERP 2004（ECC 5.0がWAS 6.4上で動作） mySAP ERP 2005（ECC 6.0がWAS 7.0上で動作）
外部コード	次のSAPカスタム・コード・ファイルです。 sapjco3.jar（バージョン3.0） Microsoft Windowsの場合: sapjco3.dll（バージョン3.0） SolarisおよびLinuxの場合: libsapjco3.so（バージョン3.0）
ターゲット・システムのユーザー・アカウント	Oracle Identity Managerはこのユーザー・アカウントを使用し、ターゲット・システムに接続して通信します。 最小の認可レベルにする場合は、ユーザー・アカウントを作成し、そのアカウントにS_CUS_CMPプロファイルとSAP_BC_USER_ADMINロールを割り当てます。ユーザー・タイプはCommunicationに設定する必要があります。これはユーザー・アカウントのデフォルト設定です。 最小認可用のプロファイルまたはロールが見つからない場合は、作成したユーザー・アカウントをSAP_ALLグループとSAP_NEWグループに割り当てる必要があります。これらは完全認可用のグループです。 ITリソースを構成する際に、このユーザー・アカウントの資格証明を指定します。手順はこのガイドで後述します。 このターゲット・システムのユーザー・アカウントに特定の権限が割り当てられていない場合、コネクタ操作の実行中に次のエラー・メッセージが表示されることがあります。 SAP Connection JCO Exception: User TEST_USER has no RFC authorization for function group SYST

2.2 外部コード・ファイルの使用

注意: クラスタ環境では、JARファイルおよびconnectorResourcesディレクトリの内容を、クラスタの各ノードの対応するディレクトリにコピーします。

外部コード・ファイルをダウンロードして必要な場所にコピーするには、次のようにします。

1. 次のようにして、SAP Javaコネクタ・ファイルをSAPのWebサイトからダウンロードします。

   1. Webブラウザで次のページを開きます。

      https://websmp104.sap-ag.de/connectors

   2. 「Application Platform」、「Connectivity」、「Connectors」、「SAP Java Connector」、「Tools & Services」を順に選択し、「SAP JAVA Connector」ページを開きます。

   3. 「SAP JAVA Connector」ページの右側のペインに、ダウンロード可能なファイルのリンクが表示されます。ダウンロードするSAP JCOリリースのリンクをクリックします。

   4. 表示されるダイアログ・ボックスに、ファイルを保存するディレクトリ・パスを指定します。

2. ダウンロードしたファイルの内容を抽出します。

3. sapjco3.jarファイルをOIM_HOME/Xellerate/ThirdPartyディレクトリにコピーします。

4. RFCファイルを必要なディレクトリにコピーし、このディレクトリへのパスが含まれるように適切な環境変数を変更します。

   • Microsoft Windowsの場合:

     sapjco3.dllファイルをwinnt\system32ディレクトリにコピーします。あるいは、これらのファイルを任意のディレクトリにコピーし、そのディレクトリへのパスをPATH環境変数に追加することもできます。

   • SolarisおよびLinuxの場合:

     libsapjco3.soファイルを/usr/local/jcoディレクトリにコピーし、このディレクトリへのパスをLD_LIBRARY_PATH環境変数に追加します。

5. 環境変数への変更を有効にするために、サーバーを再起動します。

2.3 コネクタのインストール

注意: このガイドでは、コネクタ・インストーラという用語は、Oracle Identity Manager管理およびユーザー・コンソールのコネクタ・インストーラ機能を示すために使用されます。

Oracle Identity Managerリリース9.1.0以上にコネクタをインストールする手順は次のとおりです。

• コネクタ・インストーラの実行

• ITリソースの構成

2.3.1 コネクタ・インストーラの実行

コネクタ・インストーラを実行するには、次のようにします。

1. コネクタ・インストール・メディアの内容を次のディレクトリにコピーします。

   OIM_HOME/xellerate/ConnectorDefaultDirectory
   

2. 『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』の「コネクタのインストールのためのユーザー・アカウントの作成」で説明されているユーザー・アカウントを使用して、管理およびユーザー・コンソールにログインします。

3. 「デプロイメント管理」→「コネクタのインストール」をクリックします。

4. 「コネクタ・リスト」から「SAP CUA RELEASE_NUMBER」を選択します。このリストには、インストール・ファイルがデフォルト・コネクタ・インストール・ディレクトリにコピーされているコネクタの、名前およびリリース番号が表示されます。

   OIM_HOME/xellerate/ConnectorDefaultDirectory
   

   インストール・ファイルを異なるディレクトリにコピーした場合は、次のようにします。

   1. 「代替ディレクトリ」フィールドに、該当するディレクトリのフルパスおよび名前を入力します。

   2. 「リフレッシュ」をクリックして、「コネクタ・リスト」に含まれるコネクタのリストを再移入します。

   3. 「コネクタ・リスト」から「SAP CUA RELEASE_NUMBER」を選択します。

5. 「ロード」をクリックします。

6. 「続行」をクリックして、インストール処理を開始します。

   次のタスクが順番に実行されます。

   1. コネクタ・ライブラリの構成

   2. コネクタのXMLファイルのインポート（デプロイメント・マネージャを使用）

   3. アダプタのコンパイル

   正常に完了したタスクには、チェックマークが表示されます。タスクが失敗すると、Xマークおよび失敗の理由を示すメッセージが表示されます。失敗の理由に応じて必要な修正を行い、次のいずれかの手順を実行します。

   • 「再試行」をクリックしてインストールを再試行します。

   • インストールを取り消して、ステップ1からやりなおします。

7. コネクタのインストール処理の3つのタスクがすべて正常に行われると、インストールが正常に実行されたことを示すメッセージが表示されます。また、インストール後に実行する必要がある手順のリストが表示されます。これらの手順は次のとおりです。

   1. コネクタ使用の前提条件が満たされていることの確認

      
      

      注意: この段階で、コネクタ・リソース・バンドルからのコンテンツを含むサーバー・キャッシュをロードするためのPurgeCacheユーティリティを実行して、前提条件のリストを表示できます。PurgeCacheユーティリティの実行に関する情報は、「サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去」を参照してください。 一部の事前定義済コネクタには、前提条件はありません。

      
      

   2. コネクタのITリソースの構成

      このページに表示されるITリソースの名前を記録します。ITリソースの構成手順は、このガイドで後述します。

   3. コネクタのインストール時に作成されたスケジュール済タスクの構成

      このページに表示されるスケジュール済タスクの名前を記録します。これらのスケジュール済タスクの構成手順は、このガイドで後述します。

8. インストール・メディアのテスト・ディレクトリから次のディレクトリへ、ファイルをコピーします。

   OIM_HOME/xellerate/sapcua/test
   

Oracle Identity Managerクラスタへのコネクタのインストール

クラスタ環境でOracle Identity Managerをインストールする際には、すべてのJARファイルおよびconnectorResourcesディレクトリの内容を、クラスタの各ノードの対応するディレクトリにコピーする必要があります。コピー対象ファイルおよびOracle Identity Managerサーバー上のコピー先に関する情報は、「インストール・メディアのファイルおよびディレクトリ」を参照してください。

2.3.2 ITリソースの構成

注意: コネクタをOracle Identity Managerリリース9.1.0以上にインストールする場合、この手順を実行します。

次の手順に従って、SAP CUA IT Resource ITリソースのパラメータの値を指定する必要があります。

1. 管理およびユーザー・コンソールにログインします。

2. 「リソース管理」を開きます。

3. 「ITリソースの管理」をクリックします。

4. 「ITリソースの管理」ページの「ITリソース名」フィールドにSAP CUA IT Resourceと入力して、「検索」をクリックします。

5. ITリソースの「編集」アイコンをクリックします。

6. ページ上部のリストから、「詳細およびパラメータ」を選択します。

7. ITリソースのパラメータの値を指定します。次の表に、各パラメータの説明を示します。

   パラメータ	説明	デフォルト/サンプル値
   SAPChangePasswordSystem	値Xまたは' 'をとるフラグ。 値がXの場合は、パスワードはマスター・システムでのみ変更されます。値が' 'の場合は、パスワードはマスター・システムと子システムの両方で変更されます。このパラメータは、Reset Password機能で使用されます。	X 注意: Xと入力する場合は、大文字で入力します。
   SAPClient	SAPのクライアントID。	800
   SAPHost	SAPのホストIPアドレス。	172.20.70.204
   SAPLanguage	SAPの言語。 値は次のいずれかです。 EN（英語の場合） JA（日本語の場合） FR（フランス語の場合）	EN
   SAPMasterSystem	SAP CUAマスター・システム。	CUA47
   SAPPassword	SAPユーザーのパスワード。	changethis
   SAPsnc_lib	cryptoライブラリが存在するパス。 このパラメータは、Secure Network Communication（SNC）が有効な場合にのみ必要です。	c://usr//sap//sapcrypto.dll
   SAPsnc_mode	Oracle Identity Managerとターゲット・システムとの間の通信を保護するために、SNCを使用するかどうかを指定します。 SNCが有効な場合、値は1です。それ以外の場合、値は0です。SNCの他の値は、このパラメータが1に設定された場合にのみ必要です。 注意: SNCを有効化して、ターゲット・システムとの通信を保護することをお薦めします。	0
   SAPsnc_myname	SNCのシステム名。 このパラメータは、SNCが有効な場合のみ必要です。	p:CN=TST,OU=SAP, O=ORA,c=IN
   SAPsnc_partnername	SAPサーバーのドメイン名。 このパラメータは、SNCが有効な場合のみ必要です。	p:CN=I47,OU=SAP, O=ORA, c=IN
   SAPsnc_qop	データが送信される保護レベル（保護の質（QOP））。 デフォルト値は3です。有効な値は次のとおりです。 1: 認証のみを保護 2: データ整合性保護 3: データ・プライバシ保護 8: パラメータの値を使用 9: 使用可能な最大値を使用 このパラメータは、SNCが有効な場合のみ必要です。	3
   SAPSystemNo	SAPシステム番号。	00
   SAPType	SAPシステムのタイプ。	CUA
   SAPUser	SAPユーザー。	Xellerate
   TimeStamp	最初のリコンシリエーションの実行では、タイムスタンプ値は設定されていません。後続のリコンシリエーション処理では、前のリコンシリエーション処理が完了した時刻がこのパラメータに保存されます。	サンプルのタイムスタンプ値は次のとおりです。 英語: Jun 01, 2006 at 10:00:00 GMT+05:30 フランス語: juin. 01, 2006 at 10:00:00 GMT+05:30 日本語: 6 01, 2006 at 10:00:00 GMT+05:30
   CustomizedReconQuery	リコンシリエーションの基となる問合せ条件 このパラメータに問合せ条件を追加すると、問合せ条件に基づいてターゲット・システム・レコードが検索されます。 すべてのターゲット・システム・レコードをリコンサイルする場合は、このパラメータの値を指定しないでください。 問合せには、論理演算子AND（&）およびOR（|）を使用できます。 このパラメータの詳細は、「部分リコンシリエーション」を参照してください。	firstname=Test&lastname=CUAuser

   
   

8. 「更新」をクリックして値を保存します。

2.4 Oracle Identity Managerサーバーの構成

Oracle Identity Managerサーバーを構成するには、次の手順を実行します。

注意: クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。

• 必要な入力ロケールへの変更

• サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去

• ロギングの有効化

2.4.1 必要な入力ロケールへの変更

必要な入力ロケール（言語および国の設定）に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。

必要な入力ロケールに変更するため、システム管理者の支援が必要となる場合があります。

2.4.2 サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去

コネクタ・インストーラは、リソース・バンドルをOIM_HOME/xellerate/connectorResourcesディレクトリにコピーします。connectorResourcesディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。

コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。

1. コマンド・ウィンドウで、OIM_HOME/xellerate/binディレクトリに移動します。

   
   

   注意: ステップ1を実行してからステップ2を実行してください。ステップ2で次のようにコマンドを実行すると、例外がスローされます。 OIM_HOME/xellerate/bin/batch_file_name

   
   

2. 次のいずれかのコマンドを入力します。

   • Microsoft Windowsの場合:

     PurgeCache.bat ConnectorResourceBundle
     

   • UNIXの場合:

     PurgeCache.sh ConnectorResourceBundle
     

   
   

   注意: ステップ2の実行時にスローされる例外は無視できます。

   
   

   このコマンドのConnectorResourceBundleは、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。

   OIM_HOME/xellerate/config/xlConfig.xml
   

2.4.3 ロギングの有効化

ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。

• ALL

  このレベルでは、すべてのイベントのロギングが有効化されます。

• DEBUG

  このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。

• INFO

  このレベルでは、アプリケーションの進行状況を大まかに示す情報メッセージのロギングが有効化されます。

• WARN

  このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。

• ERROR

  このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。

• FATAL

  このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。

• OFF

  このレベルでは、すべてのイベントのロギングが無効化されます。

ログ・レベルを設定するファイルおよびログ・ファイルのパスは、使用するアプリケーション・サーバーによって異なります。

• BEA WebLogic

  ロギングを有効にするには、次のようにします。

  1. OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。

     log4j.logger.XELLERATE=log_level
     log4j.logger.XL_INTG.SAPCUA=log_level
     

  2. これらの行で、log_levelを、設定するログ・レベルに置換します。

     次に例を示します。

     log4j.logger.XELLERATE=INFO
     log4j.logger.XL_INTG.SAPCUA=INFO
     

  ロギングを有効化すると、ログ情報がサーバー・コンソールに表示されます。

• IBM WebSphere

  ロギングを有効にするには、次のようにします。

  1. OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。

     log4j.logger.XELLERATE=log_level
     log4j.logger.XL_INTG.SAPCUA=log_level
     

  2. これらの行で、log_levelを、設定するログ・レベルに置換します。

     次に例を示します。

     log4j.logger.XELLERATE=INFO
     log4j.logger.XL_INTG.SAPCUA=INFO
     

  ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。

  WEBSPHERE_HOME/AppServer/logs/SERVER_NAME/SystemOut.log
  

• JBoss Application Server

  ロギングを有効にするには、次のようにします。

  1. JBoss_home/server/default/conf/log4j.xmlファイルに次の行を追加します。ただし、すでにこれらの行が存在する場合は不要です。

     <category name="XELLERATE">
        <priority value="log_level"/>
     </category>
     

     <category name="XL_INTG.SAPCUA">
        <priority value="log_level"/>
     </category>
     

  2. 各セットのXMLコードの2行目で、log_levelを、設定するログ・レベルに置換します。次に例を示します。

     <category name="XELLERATE">
        <priority value="INFO"/>
     </category>
     

     <category name="XL_INTG.SAPCUA">
        <priority value="INFO"/>
     </category>
     

  ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。

  JBoss_home/server/default/log/server.log
  

• Oracle Application Server

  1. OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。

     log4j.logger.XELLERATE=log_level
     log4j.logger.XL_INTG.SAPCUA=log_level
     

  2. これらの行で、log_levelを、設定するログ・レベルに置換します。

     次に例を示します。

     log4j.logger.XELLERATE=INFO
     log4j.logger.XL_INTG.SAPCUA=INFO
     

  ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。

  ORACLE_HOME/opmn/logs/default_group~home~default_group~1.log
  

2.5 ターゲット・システムの構成

この項では、ターゲット・システムの構成に関わる手順を説明します。これらの手順のいくつかは、実行にSAP Basis管理者の支援が必要になる場合があります。

ターゲット・システムの構成には次のタスクがあります。

• 必要な情報の収集

• BAPIF4T表へのエントリの作成

• リクエストのインポート

2.5.1 必要な情報の収集

ターゲット・システムを構成するには、次の情報が必要です。

注意: SAPのインストール時に、インストールが実行されているサーバーにシステム番号およびクライアント番号が割り当てられます。このような項目は、次のリストに示されています。

• リクエストのインポートに必要な権限を持つ管理ユーザーのログインの詳細

• リクエストがインポートされるサーバーのクライアント番号

• システム番号

• サーバーのIPアドレス

• サーバー名

• SAPアプリケーション・サーバーへの接続に使用されるアカウントのユーザーID

• SAPアプリケーション・サーバーへの接続に使用されるアカウントのパスワード

2.5.2 BAPIF4T表へのエントリの作成

「ユーザー・グループ」フィールドは、SAPユーザーのデータを保持するフィールドの1つです。F4値は、リストに表示され選択できるフィールドの値です。「ユーザー・グループ」フィールドのF4値を表示できるようにするには、BAPIF4T表にエントリを作成する必要があります。このエントリをBAPIF4T表に作成するには、次のようにします。

1. SM30トランザクションをSAPシステムで実行します。

2. 表名としてBAPIF4Tと入力し、「Maintain」をクリックします。表示される警告またはメッセージは無視します。

3. 「New Entries」をクリックします。

4. データ要素としてXUCLASS、ファンクション名としてZXL_PARTNER_BAPI_F4_AUTHORITYと入力します。

   
   

   注意: XUCLASSデータ要素に対してエントリがすでに存在する場合は、その値を変更しないでください。

   
   

5. 作成したエントリを保存し、終了します。

2.5.3 リクエストのインポート

SAPシステムにいくつかのカスタム・オブジェクトを作成するには、リクエストをインポートする必要があります。これらのオブジェクトは、付録Bに示されています。

xlsapcuacar.sarファイルには、これらのオブジェクトの定義が含まれます。xlsapcuacar.sarファイルの内容で表されるリクエストをインポートすると、これらのオブジェクトは自動的にSAPに作成されます。この手順により、既存のSAPの構成が変更されることはありません。

リクエストのインポートには次の手順があります。

• SAPCARユーティリティのダウンロード

• リクエスト・ファイルの抽出

• リクエスト・インポート操作の実行

2.5.3.1 SAPCARユーティリティのダウンロード

リクエストを構成する2つのファイル、データファイルとCofileがxlsapcuacar.sarファイルに圧縮されています。SAPCARユーティリティを使用してこれらのファイルを抽出できます。

SAPCARユーティリティをSAPヘルプのWebサイトからダウンロードするには、次のようにします。

1. 次のURLからSAPのWebサイトにログオンします。

   https://service.sap.com/swdc

2. 「OK」をクリックして、表示される証明書がSAPインストールに割り当てられた証明書であることを確認します。

3. SAPユーザー名およびパスワードを入力してSAPサービス・マーケットプレイスに接続します。

4. 「Downloads」、「SAP Support Packages」、「Entry by Application Group」、「Additional Components」を順にクリックします。

5. 「SAPCAR」、「SAPCAR 6.20」を順に選択し、オペレーティング・システムを選択します。ダウンロード・オブジェクトが表示されます。

6. 「Object」チェック・ボックスを選択し、「Add to Download Basket」をクリックします。

7. SAPCARユーティリティをダウンロードするディレクトリを指定します。たとえば、C:/xlsapcuacarです。

2.5.3.2 リクエスト・ファイルの抽出

リクエストの構成要素であるデータファイルおよびCofileを抽出するには、次のようにします。

1. SAPCARユーティリティをダウンロードしたディレクトリにxlsapcuacar.sarファイルをコピーします。

   xlsapcuacar.sarファイルは、インストール・メディア・ディレクトリ内のBAPIディレクトリにあります。

2. コマンド・ウィンドウで、ディレクトリをSAPCARユーティリティおよびxlsapcuacar.sarファイルが格納されるディレクトリに変更します。

3. 次のコマンドを入力して、リクエストの構成要素であるデータファイルおよびCofileを抽出します。

   sapcar -xvf xlsapcuacar.sar
   

   抽出されたファイルは、次のような形式です。

   K900866.I47（Cofile）

   R900866.I47（データファイル）

2.5.3.3 リクエスト・インポート操作の実行

リクエスト・インポート操作を実行するには、次のようにします。

注意: 次のステップを実行するには、SAP Basis管理者の支援が必要になります。

1. データファイルおよびCofileをSAPサーバーの必要な場所にコピーします。

2. リクエストをSAPにインポートします。

3. ログ・ファイルを確認して、インポートが成功したかどうかを判断します。

   ログ・ファイルを表示するには、次のようにします。

   1. STMSトランザクションを実行します。

      トランスポート・リクエストのリストが表示されます。

   2. インポートしたリクエストに対応するトランスポート・リクエスト番号を選択します。

      トランスポート・リクエスト番号は、Cofileまたはデータファイルの名前の数値部分と同じです。前述の手順のステップ3におけるサンプルのCofile（K900866.I47）およびデータファイル（R900866.I47）の場合、トランスポート・リクエスト番号は900866です。

   3. ログ・ファイルのアイコンをクリックします。

      ログ・ファイルに表示されるリターン・コードが4の場合、インポートは終了していますが警告が発生したことを示します。これは、オブジェクトが上書きされたか、SAPシステムにすでに存在する場合に発生します。リターン・コードが8以上の場合、インポート時にエラーが発生したことを示します。

4. SE80トランザクションを実行してABAPオブジェクトのZXLCパッケージをチェックし、リクエストのインポートを確認します。

2.6 Oracle Identity Managerとターゲット・システムとの間の通信を保護するためのSNCの構成

Oracle Identity ManagerはJavaアプリケーション・サーバーを使用します。SAPシステム・アプリケーション・サーバーに接続するために、このJavaアプリケーション・サーバーではJavaコネクタ（sapjco.jar）およびRFC（librfccmファイルとlibsapjcorfcファイル）を使用します。必要な場合には、Secure Network Communication（SNC）を使用してこのような接続を保護できます。

注意: Oracle Identity Managerで使用されるJavaアプリケーション・サーバーには、IBM WebSphere、BEA WebLogic、JBoss Application Serverがあります。

ここでは次の項目について説明します。

• SNCを使用するためのコネクタの構成の前提条件

• セキュリティ・パッケージのインストール

• SNCの構成

2.6.1 SNCを使用するためのコネクタの構成の前提条件

SNCを使用するためにコネクタを構成する前提条件は、次のとおりです。

• SNCは、SAPアプリケーション・サーバーでアクティブである必要があります。

• SNCインフラストラクチャに精通している必要があります。また、アプリケーション・サーバーでSNCに使用するPersonal Security Environment（PSE）を把握しておく必要があります。

2.6.2 セキュリティ・パッケージのインストール

Oracle Identity Managerで使用されるJavaアプリケーション・サーバーでセキュリティ・パッケージをインストールするには、次のようにします。

1. SAP Cryptographic Libraryインストール・パッケージの内容を抽出します。

   SAP Cryptographic Libraryインストール・パッケージは、次のSAPサービス・マーケットプレイスのWebサイトで認可された顧客に提供されています。

   http://service.sap.com/download

   このパッケージには次のファイルが含まれます。

   • SAP Cryptographic Library（Microsoft Windowsの場合はsapcrypto.dll、UNIXの場合はlibsapcrypto.ext）

   • 対応するライセンス・チケット（ticket）

   • 構成ツールsapgenpse.exe

2. ライブラリおよびsapgenpse.exeファイルをローカル・ディレクトリにコピーします。たとえば、C:/usr/sapです。

3. ファイル権限を確認します。Javaアプリケーション・サーバーを実行しているユーザーが、ライブラリおよびsapgenpse.exeファイルをコピーするディレクトリでライブラリ機能を実行できることを確認します。

4. secディレクトリをライブラリおよびsapgenpse.exeファイルをコピーするディレクトリ内に作成します。

   
   

   注意: 作成するディレクトリには任意の名前を使用できます。しかし、SAPでは、C:\usr\sap\sec（または/usr/sap/sec）ディレクトリの作成を推奨しています。

   
   

5. ticketファイルをsecディレクトリにコピーします。このディレクトリは、Personal Security Environment（PSE）およびJavaアプリケーション・サーバーの資格証明が生成されるディレクトリでもあります。

   
   

   関連項目: 「SNCの構成」

   
   

6. Javaアプリケーション・サーバーのユーザーのSECUDIR環境変数をsecディレクトリに設定します。

   
   

   注意: これ以降、「SECUDIRディレクトリ」という用語は、SECUDIR環境変数に定義されているパスのディレクトリを表す場合に使用します。

   
   

   Oracle Application Serverの場合:

   1. Windows環境変数が設定されている場合、この変数からSECUDIRエントリを削除します。

   2. 次のようにしてORACLE_HOME\opmn\config\opmn.xmlファイルを編集します。

      変更対象部分は次のとおりです。

      <ias-instance id="home.BMPHKTF120" name="home.BMPHKTF120">
        <environment>
          <variable id="TMP" value="C:\DOCUME~1\login user\LOCALS~1\Temp"/>
        </environment>
      

      これを次のように変更します。

      <ias-instance id="home.BMPHKTF120" name="home.BMPHKTF120">
        <environment>
          <variable id="TMP" value="C:\DOCUME~1\login user\LOCALS~1\Temp"/>
          <variable id="SECUDIR" value="D:\snc\usr\sec"/>
        </environment>
      

      
      

      注意: Oracle Application Serverにより、インストール場所のコンピュータのオペレーティング・システムに基づいて自動的に一時フォルダが作成されます。

      
      

   3. Oracle Application Serverを再起動します。

7. Javaアプリケーション・サーバーのユーザーのSNC_LIB環境変数を、secディレクトリの親ディレクトリである暗号ライブラリ・ディレクトリに設定します。

2.6.3 SNCの構成

SNCを構成するには次のようにします。

1. PSEを作成するか、SAPアプリケーション・サーバーのSNC PSEをSECUDIRディレクトリにコピーします。Javaアプリケーション・サーバーのSNC PSEを作成するには、次のようにsapgenpse.exeコマンドライン・ツールを使用します。

   1. SECUDIRディレクトリの場所を特定するには、コマンド・オプションを指定せずにsapgenpseコマンドを実行します。SECUDIRディレクトリのライブラリ・バージョンや場所などの情報が表示されます。

   2. 次のようなコマンドを入力してPSEを作成します。

      sapgenpse get_pse -p PSE_Name -x PIN Distinguished_Name
      

      サンプルの識別名を次に示します。

      CN=SAPJ2EE, O=MyCompany, C=US
      

      sapgenpseコマンドにより、PSEがSECUDIRディレクトリに作成されます。

2. Javaアプリケーション・サーバーの資格証明を作成します。

   Javaアプリケーション・サーバーには、PSEにアクセスするために実行時にアクティブな資格証明が必要です。この条件を満たしているかどうかを確認するには、次のコマンドをSECUDIRディレクトリの親ディレクトリに入力します。

   seclogin
   

   次に、次のコマンドを入力してサーバーのPSEを開き、credentials.sapgenpseファイルを作成します。

   seclogin -p PSE_Name -x PIN -O [NT_Domain\]user_ID
   

   指定するuser_IDには、管理者権限が必要です。PSE_NAMEは、PSEファイルの名前です。

   -Oオプションで指定されたユーザーの資格証明ファイルcred_v2がSECUDIRディレクトリに作成されます。

3. 次のようにして、2つのサーバーの公開鍵証明書を交換します。

   
   

   注意: SAPサーバーの証明書ごとに個別のPSEを使用する場合は、SAPサーバーの証明書ごとにこの手順を1回実行する必要があります。つまり、この手順を実行する回数はPSEの数と同じです。

   
   

   1. 次のコマンドを入力してOracle Identity Managerの証明書をエクスポートします。

      sapgenpse export_own_cert -o filename.crt -p PSE_Name -x PIN
      

   2. Oracle Identity Managerの証明書をSAPアプリケーション・サーバーにインポートします。このステップの実行には、SAP管理者の支援が必要になる場合があります。

   3. SAPアプリケーション・サーバーの証明書をエクスポートします。このステップの実行には、SAP管理者の支援が必要になる場合があります。

   4. 次のコマンドを入力してSAPアプリケーション・サーバーの証明書をOracle Identity Managerにインポートします。

      sapgenpse maintain_pk -a serverCertificatefile.crt -p PSE_Name -x PIN
      

4. SAP CUA ITリソース・オブジェクトの次のパラメータを構成します。

   • SAPsnc_lib

   • SAPsnc_mode

   • SAPsnc_myname

   • SAPsnc_partnername

   • SAPsnc_qop

   
   

   関連項目: この章で前述したITリソースのパラメータに関する情報