ヘッダーをスキップ
Oracle Identity Manager SAP User Management Connectorガイド
リリース9.0.4
E05514-06
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

2 コネクタのデプロイ

コネクタをデプロイするには次の手順を実行します。

2.1 デプロイ要件の確認

次の表に、コネクタのデプロイ要件を示します。

項目 要件
Oracle Identity Manager Oracle Identity Managerリリース9.1.0以上。

注意: 使用するOracle Identity Managerとアプリケーション・サーバーの組合せで、JDK 1.5がサポートされていることを確認する必要があります。コネクタのリリース9.0.4.5以降でSAP JCo 3.0がサポートされている結果、この要件が課されています。動作保証されているOracle Identity Managerの構成については、次のOracle Technology Networkページを参照してください。

http://www.oracle.com/technology/software/products/ias/files/idm_certification_101401.html

ターゲット・システム ターゲット・システムは次のいずれかです。
  • SAP R3 4.6c(Basis 4.6C上で動作)

  • SAP R3 4.7(WAS 6.2上で動作)

  • mySAP ERP 2004(ECC 5.0がWAS 6.4上で動作)

  • mySAP ERP 2005(ECC 6.0がWAS 7.0上で動作)

外部コード 次のSAPカスタム・コード・ファイルです。

sapjco3.jar(バージョン3.0)

Microsoft Windowsの場合:

sapjco3.dll(バージョン3.0)

SolarisおよびLinuxの場合:

libsapjco3.so(バージョン3.0)

ターゲット・システムのユーザー・アカウント Oracle Identity Managerはこのユーザー・アカウントを使用し、ターゲット・システムに接続して通信します。

最小の認可レベルにする場合は、ユーザー・アカウントを作成し、そのアカウントにS_CUS_CMPプロファイル、P_ALLプロファイルおよびSAP_BC_USER_ADMINロールを割り当てます。ユーザー・タイプはCommunicationに設定する必要があります。これはユーザー・アカウントのデフォルト設定です。

最小認可用のプロファイルまたはロールが見つからない場合は、作成したユーザー・アカウントをSAP_ALLグループとSAP_NEWグループに割り当てる必要があります。これらは完全認可用のグループです。

ITリソースを構成する際に、このユーザー・アカウントの資格証明を指定します。手順はこのガイドで後述します。

このターゲット・システムのユーザー・アカウントに特定の権限が割り当てられていない場合、コネクタ操作の実行中に次のエラー・メッセージが表示されることがあります。

SAP Connection JCO Exception: User TEST_USER has no RFC authorization for function group SYST


2.2 外部コード・ファイルの使用


注意:

クラスタ環境では、JARファイルおよびconnectorResourcesディレクトリの内容を、クラスタの各ノードの対応するディレクトリにコピーします。

外部コード・ファイルをダウンロードして必要な場所にコピーするには、次のようにします。

  1. 次のようにして、SAP Javaコネクタ・ファイルをSAPのWebサイトからダウンロードします。

    1. Webブラウザで次のページを開きます。

      https://websmp104.sap-ag.de/connectors

    2. 「Application Platform」「Connectivity」「Connectors」「SAP Java Connector」「Tools & Services」を順に選択し、「SAP JAVA Connector」ページを開きます。

    3. 「SAP JAVA Connector」ページの右側のペインに、ダウンロード可能なファイルのリンクが表示されます。ダウンロードするSAP JCOリリースのリンクをクリックします。

    4. 表示されるダイアログ・ボックスに、ファイルを保存するディレクトリ・パスを指定します。

  2. ダウンロードしたファイルの内容を抽出します。

  3. sapjco3.jarファイルをOIM_HOME/Xellerate/ThirdPartyディレクトリにコピーします。

  4. RFCファイルを必要なディレクトリにコピーし、このディレクトリへのパスが含まれるように適切な環境変数を変更します。

    • Microsoft Windowsの場合:

      sapjco3.dllファイルをwinnt\system32ディレクトリにコピーします。あるいは、これらのファイルを任意のディレクトリにコピーし、そのディレクトリへのパスをPATH環境変数に追加することもできます。

    • SolarisおよびLinuxの場合:

      libsapjco3.soファイルを/usr/local/jcoディレクトリにコピーし、このディレクトリへのパスをLD_LIBRARY_PATH環境変数に追加します。

  5. 環境変数への変更を有効にするために、サーバーを再起動します。

2.3 コネクタのインストール


注意:

このガイドでは、コネクタ・インストーラという用語は、Oracle Identity Manager管理およびユーザー・コンソールのコネクタ・インストーラ機能を示すために使用されます。

コネクタをインストールするには次の手順を実行します。

2.3.1 コネクタ・インストーラの実行

コネクタ・インストーラを実行するには、次のようにします。

  1. コネクタ・インストール・メディアの内容を次のディレクトリにコピーします。

    OIM_HOME/xellerate/ConnectorDefaultDirectory
    
  2. 『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』の「コネクタのインストールのためのユーザー・アカウントの作成」で説明されているユーザー・アカウントを使用して、管理およびユーザー・コンソールにログインします。

  3. 「デプロイメント管理」「コネクタのインストール」をクリックします。

  4. 「コネクタ・リスト」から次のいずれかのオプションを選択します。

    • SAP R3 RELEASE_NUMBER

    • SAP BIW RELEASE_NUMBER

    • SAP CRM RELEASE_NUMBER

    「コネクタ・リスト」には、インストール・ファイルがデフォルト・コネクタ・インストール・ディレクトリにコピーされているコネクタの、名前およびリリース番号が表示されます。

    OIM_HOME/xellerate/ConnectorDefaultDirectory
    

    インストール・ファイルを異なるディレクトリにコピーした場合は、次のようにします。

    1. 「代替ディレクトリ」フィールドに、該当するディレクトリのフルパスおよび名前を入力します。

    2. 「リフレッシュ」をクリックして、「コネクタ・リスト」に含まれるコネクタのリストを再移入します。

    3. 「コネクタ・リスト」から次のいずれかのオプションを選択します。

      • SAP R3 RELEASE_NUMBER

      • SAP BIW RELEASE_NUMBER

      • SAP CRM RELEASE_NUMBER

  5. 「ロード」をクリックします。

  6. 「続行」をクリックして、インストール処理を開始します。

    次のタスクが順番に実行されます。

    1. コネクタ・ライブラリの構成

    2. コネクタのXMLファイルのインポート(デプロイメント・マネージャを使用)

    3. アダプタのコンパイル

    正常に完了したタスクには、チェックマークが表示されます。タスクが失敗すると、Xマークおよび失敗の理由を示すメッセージが表示されます。失敗の理由に応じて必要な修正を行い、次のいずれかの手順を実行します。

    • 「再試行」をクリックしてインストールを再試行します。

    • インストールを取り消して、ステップ1からやりなおします。

  7. コネクタのインストール処理の3つのタスクがすべて正常に行われると、インストールが正常に実行されたことを示すメッセージが表示されます。また、インストール後に実行する必要がある手順のリストが表示されます。これらの手順は次のとおりです。

    1. コネクタ使用の前提条件が満たされていることの確認


      注意:

      この段階で、コネクタ・リソース・バンドルからのコンテンツを含むサーバー・キャッシュをロードするためのPurgeCacheユーティリティを実行して、前提条件のリストを表示できます。PurgeCacheユーティリティの実行に関する情報は、「サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去」を参照してください。

      一部の事前定義済コネクタには、前提条件はありません。


    2. コネクタのITリソースの構成

      このページに表示されるITリソースの名前を記録します。ITリソースの構成手順は、このガイドで後述します。

    3. コネクタのインストール時に作成されたスケジュール済タスクの構成

      このページに表示されるスケジュール済タスクの名前を記録します。これらのスケジュール済タスクの構成手順は、このガイドで後述します。

  8. インストール・メディアのテスト・ディレクトリから次のディレクトリへ、ファイルをコピーします。

    c/xellerate/SAP/test
    

Oracle Identity Managerクラスタへのコネクタのインストール

クラスタ環境でOracle Identity Managerをインストールする際には、すべてのJARファイルおよびconnectorResourcesディレクトリの内容を、クラスタの各ノードの対応するディレクトリにコピーする必要があります。コピー対象ファイルおよびOracle Identity Managerサーバー上のコピー先に関する情報は、「インストール・メディアのファイルおよびディレクトリ」を参照してください。

2.3.2 ITリソースの構成


注意:

コネクタをOracle Identity Managerリリース9.1.0以上にインストールする場合、この手順を実行します。

次の手順に従って、SAP UM IT Resource ITリソースのパラメータの値を指定する必要があります。

  1. 管理およびユーザー・コンソールにログインします。

  2. 「リソース管理」を開きます。

  3. 「ITリソースの管理」をクリックします。

  4. 「ITリソースの管理」ページの「ITリソース名」フィールドにSAP UM IT Resourceと入力して、「検索」をクリックします。

  5. ITリソースの「編集」アイコンをクリックします。

  6. ページ上部のリストから、「詳細およびパラメータ」を選択します。

  7. ITリソースのパラメータの値を指定します。次の表に、各パラメータの説明を示します。

    パラメータ 説明 サンプル値
    SAPClient SAPのクライアントID。 800
    SAPHost SAPのホストIPアドレス。 172.20.70.204
    SAPLanguage SAPの言語。 EN
    SAPUser ターゲットSAPシステムのSAPユーザー。 xellerate
    SAPPassword SAPユーザーのパスワード。 changethis
    SAPsnc_lib cryptoライブラリが存在するパス。

    このパラメータは、Secure Network Communication(SNC)が有効な場合にのみ必要です。

    c://usr//sap/sapcrypto.dll
    SAPsnc_mode SAPサーバーでSNCが有効な場合は、このフィールドを1に設定します。それ以外の場合は、0(ゼロ)に設定します。

    注意: SNCを有効化して、ターゲット・システムとの通信を保護することをお薦めします。

    0
    SAPsnc_myname SNCのシステム名。

    このパラメータは、SNCが有効な場合のみ必要です。

    p:CN=TST,OU=SAP, O=ORA,c=IN
    SAPsnc_partnername SAPサーバーのドメイン名。

    このパラメータは、SNCが有効な場合のみ必要です。

    p:CN=I47,OU=SAP, O=ORA, c=IN
    SAPsnc_qop データが送信される保護レベル(保護の質(QOP))を指定します。

    デフォルト値は3です。値は次のいずれかです。

    • 1: 認証のみを保護

    • 2: データ整合性保護

    • 3: データ・プライバシ保護

    • 8: パラメータの値を使用

    • 9: 使用可能な最大値を使用

    このパラメータは、SNCが有効な場合のみ必要です。

    3
    SAPSystemNo SAPシステム番号。 00
    SAPType SAPシステムのタイプ。

    R3BIWCRMなどです。

    このパラメータは任意です。

    R3
    TimeStamp 最初のリコンシリエーションの実行では、タイムスタンプ値は設定されていません。後続のリコンシリエーション処理では、前のリコンシリエーション処理が完了した時刻がこのパラメータに保存されます。 サンプルのタイムスタンプ値は次のとおりです。

    英語: Jun 01, 2006 at 10:00:00 GMT+05:30

    フランス語: juin. 01, 2006 at 10:00:00 GMT+05:30

    日本語: 6 01, 2006 at 10:00:00 GMT+05:30

    CustomizedReconQuery リコンシリエーションの基となる問合せ条件

    このパラメータに問合せ条件を追加すると、問合せ条件に基づいてターゲット・システム・レコードが検索されます。

    すべてのターゲット・システム・レコードをリコンサイルする場合は、このパラメータの値を指定しないでください。

    問合せには、論理演算子AND(&)およびOR(|)を使用できます。

    このパラメータの詳細は、「部分リコンシリエーション」を参照してください。

    firstname=John

  8. 「更新」をクリックして値を保存します。

2.4 Oracle Identity Managerサーバーの構成

Oracle Identity Managerサーバーを構成するには、次の手順を実行します。


注意:

クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。

2.4.1 必要な入力ロケールへの変更

必要な入力ロケール(言語および国の設定)に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。

必要な入力ロケールに変更するため、システム管理者の支援が必要となる場合があります。

2.4.2 サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去

コネクタ・インストーラは、リソース・バンドルをOIM_home/xellerate/connectorResourcesディレクトリにコピーします。connectorResourcesディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。

コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。

  1. コマンド・ウィンドウで、OIM_home/xellerate/binディレクトリに移動します。


    注意:

    ステップ1を実行してからステップ2を実行してください。ステップ2で次のようにコマンドを実行すると、例外がスローされます。
    OIM_home/xellerate/bin/batch_file_name
    

  2. 次のいずれかのコマンドを入力します。

    • Microsoft Windowsの場合:

      PurgeCache.bat ConnectorResourceBundle
      
    • UNIXの場合:

      PurgeCache.sh ConnectorResourceBundle
      

    注意:

    ステップ2の実行時にスローされる例外は無視できます。

    このコマンドのConnectorResourceBundleは、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。

    OIM_home/xellerate/config/xlConfig.xml
    

2.4.3 ロギングの有効化

ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。

  • ALL

    このレベルでは、すべてのイベントのロギングが有効化されます。

  • DEBUG

    このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。

  • INFO

    このレベルでは、アプリケーションの進行状況を大まかに示す情報メッセージのロギングが有効化されます。

  • WARN

    このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。

  • ERROR

    このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。

  • FATAL

    このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。

  • OFF

    このレベルでは、すべてのイベントのロギングが無効化されます。

ログ・レベルを設定するファイルおよびログ・ファイルのパスは、使用するアプリケーション・サーバーによって異なります。

  • BEA WebLogic

    ロギングを有効にするには、次のようにします。

    1. OIM_home/xellerate/config/log.propertiesファイルに次の行を追加します。

      log4j.logger.XELLERATE=log_level
      log4j.logger.XL_INTG.SAPUSERMANAGEMENT=log_level
      
    2. これらの行で、log_levelを、設定するログ・レベルに置換します。

      次に例を示します。

      log4j.logger.XELLERATE=INFO
      log4j.logger.XL_INTG.SAPUSERMANAGEMENT=INFO
      

    ロギングを有効化すると、ログ情報がサーバー・コンソールに表示されます。

  • IBM WebSphere

    ロギングを有効にするには、次のようにします。

    1. OIM_home/xellerate/config/log.propertiesファイルに次の行を追加します。

      log4j.logger.XELLERATE=log_level
      log4j.logger.XL_INTG.SAPUSERMANAGEMENT=log_level
      
    2. これらの行で、log_levelを、設定するログ・レベルに置換します。

      次に例を示します。

      log4j.logger.XELLERATE=INFO
      log4j.logger.XL_INTG.SAPUSERMANAGEMENT=INFO
      

    ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。

    WEBSPHERE_HOME/AppServer/logs/SERVER_NAME/SystemOut.log
    
  • JBoss Application Server

    ロギングを有効にするには、次のようにします。

    1. JBoss_home/server/default/conf/log4j.xmlファイルに次の行を追加します。ただし、すでにこれらの行が存在する場合は不要です。

      <category name="XELLERATE">
         <priority value="log_level"/>
      </category>
      
      <category name="XL_INTG.SAPUSERMANAGEMENT">
         <priority value="log_level"/>
      </category>
      
    2. 各セットのXMLコードの2行目で、log_levelを、設定するログ・レベルに置換します。次に例を示します。

      <category name="XELLERATE">
         <priority value="INFO"/>
      </category>
      
      <category name="XL_INTG.SAPUSERMANAGEMENT">
         <priority value="INFO"/>
      </category>
      

    ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。

    JBOSS_HOME/server/default/log/server.log
    
  • Oracle Application Server

    ロギングを有効にするには、次のようにします。

    1. OIM_home/xellerate/config/log.propertiesファイルに次の行を追加します。

      log4j.logger.XELLERATE=log_level
      log4j.logger.XL_INTG.SAPUSERMANAGEMENT=log_level
      
    2. これらの行で、log_levelを、設定するログ・レベルに置換します。

      次に例を示します。

      log4j.logger.XELLERATE=INFO
      log4j.logger.XL_INTG.SAPUSERMANAGEMENT=INFO
      

    ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。

    ORACLE_HOME/opmn/logs/default_group~home~default_group~1.log
    

2.5 ターゲット・システムの構成

この項では、ターゲット・システムの構成に関わる手順を説明します。これらの手順のいくつかは、実行にSAP Basis管理者の支援が必要になる場合があります。

ターゲット・システムの構成には次のタスクがあります。

2.5.1 必要な情報の収集

ターゲット・システムを構成するには、次の情報が必要です。


注意:

SAPのインストール時に、インストールが実行されているサーバーにシステム番号およびクライアント番号が割り当てられます。このような項目は、次のリストに示されています。

  • リクエストのインポートに必要な権限を持つ管理ユーザーのログインの詳細

  • リクエストがインポートされるサーバーのクライアント番号

  • システム番号

  • サーバーのIPアドレス

  • サーバー名

  • SAPアプリケーション・サーバーへの接続に使用されるアカウントのユーザーID

  • SAPアプリケーション・サーバーへの接続に使用されるアカウントのパスワード

2.5.2 BAPIF4T表へのエントリの作成

「ユーザー・グループ」フィールドは、SAPユーザーのデータを保持するフィールドの1つです。F4値は、リストに表示され選択できるフィールドの値です。「ユーザー・グループ」フィールドのF4値を表示できるようにするには、BAPIF4T表にエントリを作成する必要があります。このエントリをBAPIF4T表に作成するには、次のようにします。

  1. SM30トランザクションをSAPシステムで実行します。

  2. 表名としてBAPIF4Tと入力し、「Maintain」をクリックします。表示される警告またはメッセージは無視します。

  3. 「New Entries」をクリックします。

  4. データ要素としてXUCLASS、ファンクション名としてZXL_PARTNER_BAPI_F4_AUTHORITYと入力します。


    注意:

    XUCLASSデータ要素に対してエントリがすでに存在する場合は、その値を変更しないでください。

  5. 作成したエントリを保存し、終了します。

2.5.3 SAP変更ログの有効化

SAP HRMSでは、ユーザーのマスター・データに加えられた変更のログを履歴表に保持できます。Oracle Identity Managerは、この変更ログを使用して、ユーザーのマスター・データに加えられた変更をフェッチします。

変更ログを有効にするには、T585AT585BおよびT585Cの3つの構成表に変更を加えます。


注意:

変更ログがすでに有効になっている場合は、この項の手順を実行する必要はありません。

変更ログを有効にするには、次のようにします。

  1. SAPシステム上でSPROトランザクションを実行します。

  2. 「Personnel Management」「Personal Administration」「Tools」「Revision」および「Set up Change Document」の順に選択します。

  3. どのinfotypeについて変更を記録するかを指定するために、次のようにして、必要なエントリをT585A表内に作成します。

    1. 「HR documents: Infotypes to be logged」アクティビティを開きます。

    2. ここでは、infotype 0002(個人データ)に対応するエントリを作成するとします。次の情報を入力します。

      • Tr Class: A

      • Infotype: 0002

    変更を記録するすべてのinfotypeについてステップbを実行します。

  4. infotypeのどのフィールドについて変更を記録するかを指定するために、次のようにして、必要なエントリをT585B表内に作成します。

    1. 「HR documents: Field group definition」アクティビティを開きます。

    2. ここでは、infotype 0002(個人データ)に対応するエントリを作成するとします。次の情報を入力します。

      • Infotype: 0002

      • Field Group: 01

      • Field name: *(*は、infotypeに含まれるすべてのフィールドを意味する)

    各infotypeの、変更を記録するすべてのフィールドについてステップbを実行します。

  5. 特定のinfotypeに対応して生成されるドキュメントのタイプ(短期または長期)を指定するために、次のようにして、必要なエントリをT585C表内に作成します。

    1. 「HR documents: Field group characteristics」アクティビティを開きます。

    2. ここでは、infotype 0002(個人データ)に対応するエントリを作成するとします。次の情報を入力します。

      • Tr Class: A

      • Infotype: 0002

      • Field Group: 01

      • Doc Type: SまたはL

    変更を記録するすべてのinfotypeについてステップbを実行します。

2.5.4 リクエストのインポート

SAPシステムに次のカスタム・オブジェクトを作成するには、リクエストをインポートする必要があります。

オブジェクト・タイプ オブジェクト名
パッケージ ZBAPI
ファンクション・グループ ZXLGROUP

ZXLHELPVALUES

ZXLPROFILE

ZXLROLE

ZXLUSER

メッセージ・クラス ZXLBAPI
プログラム ZF4HLP_DATA_DEFINITIONS

ZMS01CTCO

ZMS01CTCO1

ZMS01CTP2

ZXLGROUP

ZXLHELPVALUES

ZXLPROFILE

ZXLROLE

ZXLUSER

ビジネス・オブジェクト・タイプ ZXLGROUP

ZXLHELP

ZXLPROFILE

ZXLROLE

ZXLUSER

ZXLBAPIMODE

ZXLBAPIMODM

ZXLSTRING


xlsapcar.sarファイルには、これらのオブジェクトの定義が含まれます。xlsapcar.sarファイルの内容で表されるリクエストをインポートすると、これらのオブジェクトは自動的にSAPに作成されます。この手順により、既存のSAPの構成が変更されることはありません。

SAPへのリクエストのインポートには次の手順があります。

2.5.4.1 SAPCARユーティリティのダウンロード

リクエストを構成する2つのファイル、データファイルとCofileがxlsapcar.sarに圧縮されています。SAPCARユーティリティを使用してこれらのファイルを抽出できます。

SAPCARユーティリティをSAPヘルプのWebサイトからダウンロードするには、次のようにします。

  1. 次のURLからSAPのWebサイトにログオンします。

    https://service.sap.com/swdc

  2. 「OK」をクリックして、表示される証明書がSAPインストールに割り当てられた証明書であることを確認します。

  3. SAPユーザー名およびパスワードを入力してSAPサービス・マーケットプレイスに接続します。

  4. 「Downloads」「SAP Support Packages」「Entry by Application Group」「Additional Components」を順にクリックします。

  5. 「SAPCAR」「SAPCAR 6.20」を順に選択し、オペレーティング・システムを選択します。ダウンロード・オブジェクトが表示されます。

  6. 「Object」チェック・ボックスを選択し、「Add to Download Basket」をクリックします。

  7. SAPCARユーティリティをダウンロードするディレクトリを指定します。たとえば、C:/xlsapcarです。

2.5.4.2 リクエスト・ファイルの抽出

リクエストの構成要素であるデータファイルおよびCofileを抽出するには、次のようにします。

  1. SAPCARユーティリティをダウンロードしたディレクトリにxlsapcar.sarファイルをコピーします。

    xlsapcar.sarファイルは、インストール・メディア・ディレクトリ内のBAPIディレクトリにあります。

  2. コマンド・ウィンドウで、ディレクトリをSAPCARユーティリティおよびxlsapcar.sarファイルが格納されるディレクトリに変更します。

  3. 次のコマンドを入力して、リクエストの構成要素であるデータファイルおよびCofileを抽出します。

    sapcar -xvf xlsapcar.sar
    

    抽出されたファイルは、次のような形式です。

    K900863.I47(Cofile)

    R900863.I47(データファイル)

2.5.4.3 リクエスト・インポート操作の実行

リクエスト・インポート操作を実行するには、次のようにします。


注意:

次のステップを実行するには、SAP Basis管理者の支援が必要になります。

  1. データファイルおよびCofileをSAPサーバーの必要な場所にコピーします。

  2. リクエストをSAPにインポートします。

  3. ログ・ファイルを確認して、インポートが成功したかどうかを判断します。

    ログ・ファイルを表示するには、次のようにします。

    1. STMSトランザクションを実行します。

      トランスポート・リクエストのリストが表示されます。

    2. インポートしたリクエストに対応するトランスポート・リクエスト番号を選択します。

      トランスポート・リクエスト番号は、Cofileまたはデータファイルの名前の数値部分と同じです。前述の手順のステップ3におけるサンプルのCofile(K900863.I47)およびデータファイル(R900863.I47)の場合、トランスポート・リクエスト番号は900863です。

    3. ログ・ファイルのアイコンをクリックします。

      ログ・ファイルに表示されるリターン・コードが4の場合、インポートは終了していますが警告が発生したことを示します。これは、オブジェクトが上書きされたか、SAPシステムにすでに存在する場合に発生します。リターン・コードが8以上の場合、インポート時にエラーが発生したことを示します。

  4. SE80トランザクションを実行してABAPオブジェクトのZBAPIパッケージをチェックし、リクエストのインポートを確認します。

2.6 SAP Change Password機能の構成

Change Password機能を構成して、ターゲット・システムのユーザー・プロファイルがロックされたり、有効期限が切れたりした場合のパスワードの動作を変更できます。このような場合、ロックされたり有効期限が切れたユーザー・プロファイルのパスワードを管理者がリセットできないようにシステムを構成できます。これより、Oracle Identity Managerとターゲット・システムのデータ間に矛盾が発生しないようにすることができます。

Change Password機能を構成するには、次のようにします。


関連項目:

『Oracle Identity Managerデザイン・コンソール・ガイド』

  1. Oracle Identity Manager Design Consoleを開きます。

  2. 「Process Management」フォルダを開きます。

  3. 「Process Definition」フォームを開きます。

  4. SAP R3 Processプロセス定義を選択します。

  5. 「Password Updated」タスクをダブルクリックします。

  6. 「Integration」タブで、次のパラメータの値を指定します。

    • validityChange: 値trueまたはfalseを割り当てることができるフラグです。

      • true: ユーザーの有効期限が切れた場合、validityDateパラメータに指定された日付まで延長されます。

      • false: ユーザーの有効期限が切れた場合、有効期限は延長されず、ユーザーのパスワードは変更できません。

    • lockChange: 値trueまたはfalseを割り当てることができるフラグです。

      • true: ユーザーが(管理者以外によって)ロックされた場合、そのユーザーはパスワードが変更される前にロック解除されます。ユーザーが管理者によってロックされた場合、パスワードは変更できません。

      • false: ユーザーがロックされた場合、パスワードは変更できません。

    • validityDate: ユーザーの有効期限の延長日です。日付書式は次のとおりです。

      Dec 28, 2005 at 11:25:00 GMT+05:30
      

      このフィールドが空の場合、ユーザーの有効期間は無期限になります。

    • userGroupCheck: 次の形式の文字列リテラルです。

      user_group_to_check, flag(1|0), user_group_to_be_updated_after_reset_password
      

      このパラメータは、パスワードのリセット時にチェックするグループがない場合、空の文字列となります。

      パスワードを変更し、ユーザーがそのグループに属する場合、このフラグの値は1です。パスワードを変更せず、ユーザーがそのグループに属する場合、このフラグの値は0です。

      複数のユーザーをチェックするには、各ユーザーのレコードをこの文字列に追加します。デリミタとしてセミコロン(;)を使用します。次に例を示します。

      user_group_to_check, flag(1|0), user_group_to_be_updated_after_reset_password;
      user_group_to_check, flag(1|0), user_group_to_be_updated_after_reset_password
      

      たとえば、パスワードの変更時にチェックされるInactiveというユーザー・グループがあり、ユーザーがそのグループに割り当てられている場合、このユーザーをパスワードの変更後にActiveグループに移動する必要があります。

      この場合、userGroupCheckパラメータの設定は次のとおりです。

      INACTIVE,1,ACTIVE;
      

      パスワードの変更時にチェックされるTerminatedというグループがあり、ユーザーがそのグループに割り当てられている場合、パスワードの変更を許可しない必要があります。この場合、userGroupCheckパラメータの設定は次のとおりです。

      TERMINATED,0,;
      

      userGroupCheck構成パラメータには、次の2種類のユーザー・グループ・レコードしかありません。

      • パスワードの変更がユーザー・グループの更新とともに実行されるユーザー・グループ

        INACTIVE,1,ACTIVE;
        
      • パスワードの変更が実行されないユーザー・グループ

        TERMINATED,0,;
        

      ユーザーがuserGroupCheckパラメータに指定されていないグループに割り当てられている場合、パスワードは変更されます。パスワードの変更は、構成パラメータの値に指定されていないユーザー・グループすべてに対して許可されます。


    注意:

    指定する値は、大/小文字が区別されるため、SAPシステムでの大/小文字と一致する必要があります。

2.7 Oracle Identity Managerとターゲット・システムとの間の通信を保護するためのSNCの構成

Oracle Identity ManagerはJavaアプリケーション・サーバーを使用します。SAPシステム・アプリケーション・サーバーに接続するために、このJavaアプリケーション・サーバーではJavaコネクタ(sapjco.jar)およびRFC(librfccmファイルとlibsapjcorfcファイル)を使用します。必要な場合には、Secure Network Communication(SNC)を使用してこのような接続を保護できます。


注意:

Oracle Identity Managerで使用されるJavaアプリケーション・サーバーには、IBM WebSphere、BEA WebLogic、JBoss Application Serverがあります。

ここでは次の項目について説明します。

2.7.1 SNCを使用するためのコネクタの構成の前提条件

SNCを使用するためにコネクタを構成する前提条件は、次のとおりです。

  • SNCは、SAPアプリケーション・サーバーでアクティブである必要があります。

  • SNCインフラストラクチャに精通している必要があります。また、アプリケーション・サーバーでSNCに使用するPersonal Security Environment(PSE)を把握しておく必要があります。

2.7.2 セキュリティ・パッケージのインストール

Oracle Identity Managerで使用されるJavaアプリケーション・サーバーでセキュリティ・パッケージをインストールするには、次のようにします。

  1. SAP Cryptographic Libraryインストール・パッケージの内容を抽出します。

    SAP Cryptographic Libraryインストール・パッケージは、次のSAPサービス・マーケットプレイスのWebサイトで認可された顧客に提供されています。

    http://service.sap.com/download

    このパッケージには次のファイルが含まれます。

    • SAP Cryptographic Library(Microsoft Windowsの場合はsapcrypto.dll、UNIXの場合はlibsapcrypto.ext

    • 対応するライセンス・チケット(ticket

    • 構成ツールsapgenpse.exe

  2. ライブラリおよびsapgenpse.exeファイルをローカル・ディレクトリにコピーします。たとえば、C:/usr/sapです。

  3. ファイル権限を確認します。Javaアプリケーション・サーバーを実行しているユーザーが、ライブラリおよびsapgenpse.exeファイルをコピーするディレクトリでライブラリ機能を実行できることを確認します。

  4. secディレクトリをライブラリおよびsapgenpse.exeファイルをコピーするディレクトリ内に作成します。


    注意:

    作成するディレクトリには任意の名前を使用できます。しかし、SAPでは、C:\usr\sap\sec(または/usr/sap/sec)ディレクトリの作成を推奨しています。

  5. ticketファイルをsecディレクトリにコピーします。このディレクトリは、Personal Security Environment(PSE)およびJavaアプリケーション・サーバーの資格証明が生成されるディレクトリでもあります。


    関連項目:

    「SNCの構成」

  6. Javaアプリケーション・サーバーのユーザーのSECUDIR環境変数をsecディレクトリに設定します。


    注意:

    これ以降、「SECUDIRディレクトリ」という用語は、SECUDIR環境変数に定義されているパスのディレクトリを表す場合に使用します。

    Oracle Application Serverの場合:

    1. Windows環境変数が設定されている場合、この変数からSECUDIRエントリを削除します。

    2. 次のようにしてORACLE_HOME\opmn\config\opmn.xmlファイルを編集します。

      変更対象部分は次のとおりです。

      <ias-instance id="home.BMPHKTF120" name="home.BMPHKTF120">
        <environment>
          <variable id="TMP" value="C:\DOCUME~1\login user\LOCALS~1\Temp"/>
        </environment>
      

      これを次のように変更します。

      <ias-instance id="home.BMPHKTF120" name="home.BMPHKTF120">
        <environment>
          <variable id="TMP" value="C:\DOCUME~1\login user\LOCALS~1\Temp"/>
          <variable id="SECUDIR" value="D:\snc\usr\sec"/>
        </environment>
      

      注意:

      Oracle Application Serverにより、インストール場所のコンピュータのオペレーティング・システムに基づいて自動的に一時フォルダが作成されます。

    3. Oracle Application Serverを再起動します。

  7. Javaアプリケーション・サーバーのユーザーのSNC_LIB環境変数を、secディレクトリの親ディレクトリである暗号ライブラリ・ディレクトリに設定します。

2.7.3 SNCの構成

SNCを構成するには次のようにします。

  1. PSEを作成するか、SAPアプリケーション・サーバーのSNC PSEをSECUDIRディレクトリにコピーします。Javaアプリケーション・サーバーのSNC PSEを作成するには、次のようにsapgenpse.exeコマンドライン・ツールを使用します。

    1. SECUDIRディレクトリの場所を特定するには、コマンド・オプションを指定せずにsapgenpseコマンドを実行します。SECUDIRディレクトリのライブラリ・バージョンや場所などの情報が表示されます。

    2. 次のようなコマンドを入力してPSEを作成します。

      sapgenpse get_pse -p PSE_Name -x PIN Distinguished_Name
      

      サンプルの識別名を次に示します。

      CN=SAPJ2EE, O=MyCompany, C=US
      

      sapgenpseコマンドにより、PSEがSECUDIRディレクトリに作成されます。

  2. Javaアプリケーション・サーバーの資格証明を作成します。

    Javaアプリケーション・サーバーには、PSEにアクセスするために実行時にアクティブな資格証明が必要です。この条件を満たしているかどうかを確認するには、次のコマンドをSECUDIRディレクトリの親ディレクトリに入力します。

    seclogin
    

    次に、次のコマンドを入力してサーバーのPSEを開き、credentials.sapgenpseファイルを作成します。

    seclogin -p PSE_Name -x PIN -O [NT_Domain\]user_ID
    

    指定するuser_IDには、管理者権限が必要です。PSE_NAMEは、PSEファイルの名前です。

    -Oオプションで指定されたユーザーの資格証明ファイルcred_v2SECUDIRディレクトリに作成されます。

  3. 次のようにして、2つのサーバーの公開鍵証明書を交換します。


    注意:

    SAPサーバーの証明書ごとに個別のPSEを使用する場合は、SAPサーバーの証明書ごとにこの手順を1回実行する必要があります。つまり、この手順を実行する回数はPSEの数と同じです。

    1. 次のコマンドを入力してOracle Identity Managerの証明書をエクスポートします。

      sapgenpse export_own_cert -o filename.crt -p PSE_Name -x PIN
      
    2. Oracle Identity Managerの証明書をSAPアプリケーション・サーバーにインポートします。このステップの実行には、SAP管理者の支援が必要になる場合があります。

    3. SAPアプリケーション・サーバーの証明書をエクスポートします。このステップの実行には、SAP管理者の支援が必要になる場合があります。

    4. 次のコマンドを入力してSAPアプリケーション・サーバーの証明書をOracle Identity Managerにインポートします。

      sapgenpse maintain_pk -a serverCertificatefile.crt -p PSE_Name -x PIN
      
  4. SAP R3 IT Resource ITリソース・オブジェクトの次のパラメータを構成します。

    • SAPsnc_lib

    • SAPsnc_mode

    • SAPsnc_myname

    • SAPsnc_partnername

    • SAPsnc_qop


    関連項目:

    この章で前述したITリソースのパラメータに関する情報