ヘッダーをスキップ
Oracle Identity Manager IBM RACF Advanced Connectorガイド
リリース9.0.4
E05521-02
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

2 Oracle Identity Managerでのコネクタのデプロイ

この章では、次の各項でOracle Identity ManagerシステムにLDAP Gatewayをデプロイする手順について説明します。

ターゲット・システムの複数のインストールに対してコネクタを構成する場合は、次の項を参照してください。


関連項目:

メインフレームでのReconciliation AgentおよびProvisioning Agentのデプロイ手順は、第3章「IBM RACFでのコネクタのデプロイ」を参照してください。

2.1 手順1: デプロイ要件の確認

次の表に示す要件を必ず満たすようにしてください。

項目 要件
Oracle Identity Manager Oracle Identity Managerリリース8.5.3.1以上
ターゲット・システム・アイデンティティ・リポジトリ インストールされているIBM z/OSバージョンに関連付けられたIBM RACFバージョン

サポートされているIBM z/OSバージョン:

IBM z/OSバージョン1.0、IBM z/OSバージョン1.1、IBM z/OSバージョン1.2、IBM z/OSバージョン1.3、IBM z/OSバージョン1.4、IBM z/OSバージョン1.5、IBM z/OSバージョン1.6、IBM z/OSバージョン1.7、IBM z/OSバージョン1.8

注意: これらのz/OSのバージョンの中にはサポート終了期限を過ぎたものがあります。詳細はIBM社のサポート担当者にお問い合せください。

インフラストラクチャ要件: メッセージ・トランスポート・レイヤー AES暗号化を使用するIBM MQ Series、またはAES暗号化を使用するTCP/IP
Oracle Identity Managerのターゲット・システムのユーザー・アカウント SystemAdministrators権限付きのAPF認可アカウント


注意:

LDAP Gatewayでは、Oracle Identity Manager用に作成するターゲット・システム・ユーザー・アカウントが使用されます。このため、このアカウントにはReconciliation AgentおよびProvisioning Agentにアクセスして操作するために必要な権限があります。

2.1.1 メッセージ・トランスポート・レイヤーの要件

Oracle Identity Managerとメインフレーム環境間において、Oracle Identity Managerは、2つのセキュアなメッセージ・トランスポート・レイヤー、IBM MQ SeriesおよびTCP/IPをサポートしています。

MQ Seriesには、LDAP Gatewayレベルでは透過的な独自の内部設定手順があります。第1の要件は、標準MQ Seriesポート1414がメインフレームで有効になっており、LDAP Gatewayで構成されていることです。

TCP/IPメッセージ・トランスポート・レイヤーでは、ポート5190および5790がReconciliation AgentとProvisioning Agentそれぞれのデフォルト・ポートです。これらのエージェントのポートは変更できます。

これらのメッセージ・トランスポート・レイヤーを構成する手順は後で説明します。

2.2 手順2: コネクタ・ファイルのコピー

次のコネクタ・ファイルを、表に示されているOracle Identity Managerシステムのコピー先ディレクトリにコピーします。


注意:

この表に示されていないファイルはコピーしないでください。これらのファイルは後からデプロイ手順で使用されます。次に示すファイルの詳細は、「コネクタを構成するファイルおよびディレクトリ」を参照してください。

ファイル コピー先ディレクトリ
etc/LDAP Gateway/ldapgateway.zip LDAP_INSTALL_DIR

これは、Oracle Identity Managerシステム上のLDAP Gatewayをインストールするディレクトリです。LDAP Gatewayのインストールの詳細は、「手順6: LDAP Gatewayのインストールおよび構成」を参照してください。

lib/racf-adv-agent-recon.jar

lib/racfConnection.properties

LDAP_INSTALL_DIR/etc
lib/idm.jar

scripts/initialRacfAdv.properties

scripts/run_initial_recon_provisioning.sh

scripts/run_initial_recon_provisioning.bat

scripts/racf-adv-initial-recon.jar

OIM_HOME/xellerate/JavaTasks
resourcesディレクトリにあるファイル
OIM_HOME/xellerate/connectorResources
xml/oimRacfAdvConnector.xml

xml/racfTrustedXellerateUser.xml

OIM_HOME/xellerate/XLIntegrations/racf/xml

2.3 手順3: Oracle Identity Managerの構成

Oracle Identity Managerの構成には、次の手順があります。


注意:

クラスタ環境では、クラスタの各ノードでこれらのステップを実行する必要があります。

2.3.1 サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去

コネクタをデプロイすると、リソース・バンドルが、インストール・メディアのリソース・ディレクトリからOIM_HOME/xellerate/connectorResourcesディレクトリにコピーされます。connectorResourcesディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。

コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。

  1. コマンド・ウィンドウで、OIM_HOME/xellerate/binディレクトリに移動します。


    注意:

    ステップ2を実行する前にステップ1を実行する必要があります。ステップ2で説明するコマンドを実行すると次のように例外がスローされます。
    OIM_HOME/xellerate/bin/batch_file_name
    

  2. 次のいずれかのコマンドを入力します。

    • Microsoft Windowsの場合:

      PurgeCache.bat ConnectorResourceBundle
      
    • UNIXの場合:

      PurgeCache.sh ConnectorResourceBundle
      

    注意:

    ステップ2の実行時にスローされる例外は無視できます。この例外はステップ1で説明した例外とは異なります。

    このコマンドのConnectorResourceBundleは、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。

    OIM_HOME/xellerate/config/xlConfig.xml
    

2.3.2 ロギングの有効化

ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。

  • ALL

    このレベルでは、すべてのイベントのロギングが有効化されます。

  • DEBUG

    このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。

  • INFO

    このレベルでは、アプリケーションの進行状況を大まかに示すメッセージのロギングが有効化されます。

  • WARN

    このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。

  • ERROR

    このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。

  • FATAL

    このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。

  • OFF

    このレベルでは、すべてのイベントのロギングが無効化されます。

ログ・レベルを設定するファイルおよびログ・ファイルのパスは、使用するアプリケーション・サーバーによって異なります。

  • BEA WebLogic Server

    ロギングを有効にするには、次のようにします。

    1. OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。

      log4j.logger.COM.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS=LOG_LEVEL
      
    2. この行で、LOG_LEVELを、設定するログ・レベルに置換します。

      次に例を示します。

      log4j.logger.COM.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS=INFO
      

    ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。

    WEBLOGIC_HOME/user_projects/domains/domain_name/server_name/server_name.log
    
  • IBM WebSphereアプリケーション・サーバー

    ロギングを有効にするには、次のようにします。

    1. OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。

      log4j.logger.COM.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS=LOG_LEVEL
      
    2. この行で、LOG_LEVELを、設定するログ・レベルに置換します。

      次に例を示します。

      log4j.logger.COM.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS=INFO
      

    ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。

    WEBSPHERE_HOME/AppServer/logs/server_name/startServer.log
    
  • JBoss Application Server

    ロギングを有効にするには、次のようにします。

    1. JBOSS_HOME/server/default/conf/log4j.xmlファイルで、次の行を探すか追加します。

      <category name="COM.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS">
         <priority value="LOG_LEVEL"/>
      </category>
      
    2. XMLの2行目で、LOG_LEVELを、設定するログ・レベルに置換します。次に例を示します。

      <category name="COM.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS">
         <priority value="INFO"/>
      </category>
      

    ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。

    JBOSS_HOME/server/default/log/server.log
    
  • Oracle Application Server

    ロギングを有効にするには、次のようにします。

    1. OIM_HOME/xellerate/config/log.propertiesファイルに次の行を追加します。

      log4j.logger.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS=LOG_LEVEL
      
    2. この行で、LOG_LEVELを、設定するログ・レベルに置換します。

      次に例を示します。

      log4j.logger.IDENTITYFORGE.ORACLE.INTEGRATION.IDFUSEROPERATIONS=INFO
      

    ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。

    OAS_HOME/opmn/logs/default_group~home~default_group~1.log
    

2.4 手順4: コネクタのXMLファイルのインポート

コネクタのXMLファイルをOracle Identity Managerにインポートするには、次のようにします。

  1. Oracle Identity Manager管理およびユーザー・コンソールを開きます。

  2. 左のナビゲーション・ペインの「デプロイメント管理」リンクをクリックします。

  3. 「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを検索するダイアログ・ボックスが表示されます。

  4. oimRacfAdvConnector.xmlファイルを検索して開きます。このファイルはOIM_HOME/xellerate/XLIntegrations/racf/xmlディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。

  5. 「ファイルの追加」をクリックします。「置換」ページが表示されます。

  6. 「次へ」をクリックします。「確認」ページが表示されます。

  7. 「次へ」をクリックします。OIMLDAPGatewayResourceType ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。

  8. ITリソースをOIMLDAPGatewayResourceType ITリソース・タイプに基づいて作成します。値を指定する必要があるパラメータの詳細は、「ITリソースの定義」を参照してください。

  9. 「次へ」をクリックします。OIMLDAPGatewayResourceType ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。

  10. 「スキップ」をクリックして、他のITリソースを定義しないことを指定します。「確認」ページが表示されます。

  11. 「選択内容の表示」をクリックします。

    XMLファイルの内容が「インポート」ページに表示されます。ノードの横に十字形のアイコンが表示されることがあります。これらのノードは、冗長なOracle Identity Managerエンティティを示しています。コネクタのXMLファイルをインポートする前に、各ノードを右クリックして「削除」を選択し、これらのエンティティを削除する必要があります。

  12. 「インポート」をクリックします。コネクタのファイルがOracle Identity Managerにインポートされます。

2.4.1 ITリソースの定義

ITリソース・パラメータには、次の表に示す値を指定してください。

パラメータ 説明
AtMap User プロビジョニングで使用される属性マッピングを含む参照定義の名前

値: AtMap.RACF

注意: このパラメータの値は変更しないでください。

idfPrincipalDn LDAP Gatewayに接続するための管理者ID

サンプル値: cn=idfRacfAdmin,dc=racf,dc=com

idfPrincipalPwd LDAP Gatewayに接続するための管理者パスワード
idfRootContext IBM RACFのルート・コンテキスト

値: dc=racf,dc=com

注意: このパラメータの値は変更しないでください。

idfServerHost LDAP Gatewayに接続するためのホスト名

値: localhost

注意: このパラメータの値は変更しないでください。

idfServerPort LDAP Gatewayに接続するためのポート

サンプル値: 5389


これらのITリソース・パラメータの値を指定したら、この手順のステップ9に進んで、コネクタのXMLファイルをインポートします。

2.5 手順5: アダプタのコンパイル

コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。

これらのアダプタをコンパイルする必要があります。

「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。

  1. 「アダプタ・マネージャ」フォームを開きます。

  2. 現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」をクリックします。

    独自のアダプタを作成した場合、またはインストールしたパッチに新しいアダプタが含まれていた場合は、一度に1つのアダプタをコンパイルすることが必要な場合があります。(すべてではないが)複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」をクリックします。

  3. 「開始」をクリックします。指定したアダプタがOracle Identity Managerによってコンパイルされます。

  4. Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_HOME/xellerate/Adapterディレクトリから、コンパイル済のアダプタをクラスタの他のノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。

2.6 手順6: LDAP Gatewayのインストールおよび構成

LDAP Gatewayをインストールして構成するには、次のようにします。

  1. ldapgateway.zipファイルの内容をOracle Identity Managerと同じサーバーのディレクトリに抽出します。このマニュアルでは、ldapgatewayディレクトリの場所(および名前)はLDAP_INSTALL_DIRと表記されます。

  2. テキスト・エディタでracf.propertiesファイルを開きます。このファイルはLDAP_INSTALL_DIR/confディレクトリにあります。このファイルでは、使用するメッセージ・トランスポート・レイヤーの次のプロパティに情報を指定します。

    • TCP/IPの場合、デフォルト値は次のとおりです。これらの値は変更できます。

      _type_=socket
      _isencrypted_=true
      _timeout_=5000
      _authretries_=2
      _host_=HOST_NAME_OR_IP_ADDRESS_OF_MAINFRAME
      _port_=5790
      _agentport_=5190
      
    • MQ Seriesの場合、デフォルト値は次のとおりです。これらの値は変更できます。

      _type_=mq
      _isencrypted_=true
      _timeout_=5000
      _authretries_=2
      _qmgr_=CSQ1
      _qhost_=HOST_NAME_OR_IP_ADDRESS_OF_MAINFRAME
      _qport_=1414
      _qchannel_=CSQ1.PIONEER
      _qname_=PIONEER.REQUEST
      _qreplyname_=PIONEER.REPLY
      
  3. racf.propertiesファイルでは、次のプロパティを使用して、プロビジョニング操作Disable Userの実行時にアクセス権を取り消すか、ユーザーを削除するかを指定できます。

    # DEFAULT ACTION WHEN DELETE FUNCTION USED
    _defaultDelete_=delete
    

    プロビジョニング操作Delete Userの結果として、ターゲット・システムでユーザーを無効にするには、このプロパティの値にrevokeを設定します。

    プロビジョニング操作Delete Userの結果として、ターゲット・システムからユーザーを削除するには、このプロパティの値にdeleteを設定します。

  4. racf.propertiesファイルでは、_nameFormat_プロパティを使用して「完全名」属性の形式を指定します。

    次の形式を使用して指定できます。

    • fnは名を表します。

    • spは空白文字を表します。

    • lnは姓を表します。

    • カンマ(,)はカンマを表します。

    • ピリオド(.)はピリオドを表します。

    • 縦棒(|)はコンポーネントの区切りです。

    次の行は、_nameFormat_プロパティのサンプル値です。

    _nameFormat_=fn|sp|ln

  5. LDAP_INSTALL_DIR/etc/racfConnection.propertiesファイルを開き、次のプロパティを編集します。


    注意:

    この変更はinitialRacfAdv.propertiesファイルでも行う必要があります。このファイルは、OIM_HOME/xellerate/JavaTasksディレクトリにあります。

    _itResource_=Name_of_the_new_IT_resource
    

    Name_of_the_new_IT_resourceを、「手順4: コネクタのXMLファイルのインポート」のステップ8の説明に従って作成したITリソースの名前で置換します。

  6. LDAP_INSTALL_DIR/dist/idfserver.jarファイルからbeans.xmlファイルを抽出し、エディタで開いて次の値を設定します。

    • ターゲット・システムの管理者資格証明

      beans.xmlファイルの次の行に設定されている管理者資格証明を変更する必要があります。


      注意:

      これらの行では、太字で強調されている部分が変更可能な値です。beans.xmlファイルに入力する値は、racfConnection.propertiesおよびinitialRacfAdv.propertiesファイルでITリソース・パラメータやプロパティに指定する値と同じにする必要があります。

      <property name="adminUserDN" value="cn=ximRACFAdmin,dc=RACF,dc=com"/>
      <property name="adminUserPassword" value="ximRACFPwd"/>
      
    • LDAP Gatewayと、コネクタのインストールに使用するメインフレームLPARとの間の通信に使用するポート

      ポートのプロパティのデフォルト値は、5389です。この値を変更する場合は、beans.xmlファイル内に定義されているportプロパティの値を編集してください。

      <property name="port" value="5389"/>
      
  7. beans.xmlファイルに加えた変更を保存して、idfserver.jarファイルを再作成します。

  8. メッセージ・トランスポート・レイヤーにIBM MQ Seriesを使用している場合は、次のファイルをIBMのWebサイトからダウンロードして、LDAP_INSTALL_DIR/libディレクトリにコピーします。

    • com.ibm.mq.jar

    • com.ibm.mqbind.jar

    • com.ibm.mqjms.jar

    • fscontext.jar

    • providerutil.jar


注意:

コネクタの使用を開始すると、LDAP GatewayのログがLDAP_INSTALL_DIR/logsディレクトリに作成されます。

2.7 手順7: Oracle Identity Managerアプリケーション・サーバーと連携して機能するコネクタの構成

Oracle Identity Managerがデプロイされているアプリケーション・サーバーとコネクタが連携して機能するようにするには、次のようにします。

  1. テキスト・エディタで次のスクリプトを開きます。

    • LDAP_INSTALL_DIR/binディレクトリのrunスクリプトを開きます。

    • OIM_HOME/Xellerate/JavaTasksディレクトリのrun_initial_recon_provisioningスクリプトを開きます。

  2. 両方のスクリプトで、使用している特定のアプリケーション・サーバーに関連する行を非コメント化します。さらに、アプリケーション・サーバー・ディレクトリの実際の場所を示すパスを変更します。

    run.shファイルの内容を次に示します。


    注意:

    run_initial_recon_provisioningスクリプトの内容も類似しています。このスクリプトでも同じ変更を行う必要があります。

    SET CLASSPATH VARIABLES
    ##### SET ENVIRONMENT VARIABLES #######
    APP_HOME=/opt/ldapgateway
    TMPDIR=/opt/ldapgateway/temp
    OIM_HOME=/opt/OIM/xellerate
    OIM_CLIENT_LIB=/opt/OIM/client/xlclient/lib
    
    ##### SET JBOSS HOME ##################
    # APPSERVER_HOME=/opt/ldapgateway/lib/jboss-4.0.2
    
    ##### SET WEBSPHERE HOME ##################
    #APPSERVER_HOME=/opt/WebSphere/AppServer/lib
    
    ##### SET WEBLOGIC HOME ##################
    # APPSERVER_HOME=/opt/bea/
    
    ##### SET OC4J HOME ##################
    #APPSERVER_HOME=/opt/oracle/oc4j
    

    run.shファイルで、シャープ記号(#)が先頭にある行はコメントです。行を非コメント化するにはシャープ記号を削除します。たとえば、コネクタがJBoss Application Serverと連携して機能するようにするには、次の行を非コメント化します。

    ##### SET JBOSS HOME ##################
    APPSERVER_HOME=/opt/ldapgateway/lib/jboss-4.0.2
    

2.8 ターゲット・システムの複数インストールに対するコネクタの構成

ターゲット・システムの複数のインストールに対してコネクタを構成することができます。また、複数の論理パーティション(LPAR)がターゲット・システムに構成されており、それらが最初のLPARに関連付けられていないというシナリオで、コネクタを構成することもできます。

ターゲット・システムのインストールごとにITリソースを作成して、LDAP Gatewayの追加インスタンスを構成します。

ターゲット・システムの2番目のインストールに対してコネクタを構成するには、次のようにします。


注意:

ターゲット・システムの各インストールで同じ手順を実行します。

  1. ITリソースをOIMLDAPGatewayResourceType ITリソース・タイプに基づいて作成します。

    ITリソースの作成の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。ITリソースのパラメータの詳細は、「ITリソースの定義」を参照してください。

  2. 現在のLDAP_INSTALL_DIRディレクトリをすべてのサブディレクトリを含めて新しい場所にコピーします。


    注意:

    この手順の残りのステップでは、LDAP_INSTALL_DIRは新たにコピーされたディレクトリを指します。

  3. LDAP_INSTALL_DIR/dist/idfserver.jarファイルの内容を抽出します。

  4. beans.xmlファイルで、LDAP Gatewayの最初のインスタンスで使用されるポートとは別の値になるように、<property name="port" value="xxxx"/>行のポートの値を変更します。デフォルトのポート番号を次の例に示します。

    <bean id="listener" class="com.identityforge.idfserver.nio.Listener">
    <constructor-arg><ref bean="bus"/></constructor-arg>
    <property name="admin"><value>false</value></property>
    <property name="config"><value>../conf/listener.xml</value></property>
    <property name="port" value="5389"/>
    </bean>
    

    ポート番号を変更する場合は、作成するITリソースのidfServerPortパラメータの値も同じように変更する必要があります。

  5. bean.xmlファイルを保存して閉じます。

  6. LDAP_INSTALL_DIR/conf/racf.propertiesファイルを開き、次のパラメータを編集します。

    • _host_=IP_address_or_host_name_of_the_mainframe

    • _port_=Port_of_the_second_instance_of_the_Provisioning_Agent

    • _agentPort_=Port_of_the_second_instance_of_the_Reconciliation_Agent


      注意:

      最初のLPARと関連付けられていない第2のLPARがターゲット・システムに構成される場合、_agentPort_パラメータの値は、最初のインスタンスと同じにならないようにしてください。それぞれIBM RACFが稼働している2つのメインフレーム・サーバーがある場合は、この値をidfServerPortパラメータの値と同じにすることができます。

  7. LDAP_INSTALL_DIR/etc/racfConnection.propertiesファイルを開き、次のプロパティを編集します。

    _itResource_=Name_of_the_new_IT_resource