Oracle Identity Manager Microsoft Active Directory Password Synchronization Connectorガイド リリース9.1.1 B54801-02 |
|
![]() 戻る |
![]() 次へ |
Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerコネクタは、Oracle Identity Managerと外部のアイデンティティ対応アプリケーションの統合に使用されます。
Oracle Identity Manager Microsoft Active Directory Password Synchronization Connectorは、ターゲット・システムでのパスワード変更を取得し、Oracle Identity Managerに伝播します。
このマニュアルでは、パスワード同期コネクタについて説明します。
注意: このマニュアルで使用する次の用語の意味を説明します。
|
この章では、次の項目について説明します。
Oracle Identity Managerには、Microsoft Active Directoryとの統合用に次のコネクタが用意されています。
ユーザー管理コネクタは、アイデンティティ・リコンシリエーション(信頼できるソース)モードまたはアカウント管理(ターゲット・リソース)モードのいずれかで実行されるように構成できます。
アイデンティティ・リコンシリエーション・モードでは、Microsoft Active Directoryは信頼できるソースとして使用され、ユーザーが直接作成および変更されます。信頼できるソースからのリコンシリエーション中には、ユーザー管理コネクタにより、それらのターゲット・システム・ユーザーのデータがOracle Identity Managerにフェッチされます。このデータは、対応するOIMユーザーの作成または更新に使用されます。
アカウント管理モードでは、Microsoft Active Directoryはターゲット・リソースとして使用されます。ターゲット・リソースからのリコンシリエーション中に、ユーザー管理コネクタにより、ターゲット・システムで直接作成または変更されたユーザーのOracle Identity Managerデータがフェッチされます。このデータは、OIMユーザーに割り当てられたリソースの追加または変更に使用されます。また、このコネクタを使用するとプロビジョニング操作が可能になり、ユーザー・データの変更がOracle Identity ManagerからMicrosoft Active Directoryに伝播されます。
パスワード同期コネクタは、パスワード変更をMicrosoft Active DirectoryからOracle Identity Managerに伝播します。
ビジネス要件に応じ、これらのコネクタのいずれかまたは両方をデプロイして、Oracle Identity ManagerとMicrosoft Active Directoryを統合できます。
表1-1に、User Management Connectorとパスワード同期コネクタのアーキテクチャを示します。
関連項目: 『Oracle Identity Manager Microsoft Active Directory User Management Connectorガイド』 |
表1-1 User Management Connectorとパスワード同期コネクタの機能
コネクタを使用する際のガイドラインは次のとおりです。
オペレーティング環境でMicrosoft Active Directoryがパスワードの唯一の認可ソースである場合は、Oracle Identity ManagerからMicrosoft Active Directoryにパスワードを伝播しないことをお薦めします。
オペレーティング環境でOracle Identity Managerがパスワードの唯一の認可ソースである場合は、パスワード同期コネクタをインストールしないでください。
オペレーティング環境でOracle Identity ManagerとMicrosoft Active Directoryの両方がパスワードの認可ソースである場合は、Oracle Identity Managerで設定したパスワード・ポリシーと、Microsoft Active Directoryで設定したパスワード・ポリシーは一貫している必要があります。
コネクタのアーキテクチャが、コネクタの機能を決定します。図1-1に、パスワード同期コネクタのアーキテクチャを示します。
この項の内容は次のとおりです。
図1-2に、ターゲット・システムからOracle Identity Managerにパスワードが伝播されるときに発生するイベントの順序を示します。
次に、パスワードの同期中に発生するイベントの順序を示します。
ユーザーにより、Microsoft Active Directoryでユーザーのパスワードが変更されます。ユーザーは次のいずれかの方法でパスワードを変更できます。
Microsoft管理コンソールを使用
[Ctrl]、[Alt]および[Del]を同時に押し、Microsoft Active Directoryサーバーのいずれかのクライアント・コンピュータでパスワードの変更オプションを使用
サード・パーティ・アプリケーション、またはMicrosoft Active Directoryでパスワードを変更するためのカスタム・ユーティリティを使用
パスワードが、Microsoft Active Directoryでのすべてのパスワード・チェックに合格した場合のみ、Microsoft Active Directoryでのパスワードの変更が成功します。
Microsoft Windowsのローカル・セキュリティ認証(LSA)コンポーネントにより、Microsoft Active Directoryでのパスワードの変更が取得され、パスワード(プレーン・テキスト・フォーマットで)および必要なユーザー情報がパスワード・フィルタ(oimadpwdsync10.dllファイル)に渡されます。oimadpwdsync10.dllファイルは、パスワード同期コネクタをインストールする際に、ターゲット・システムにコピーされるファイルの1つです。
パスワードとユーザー情報はパスワード・フィルタによってパスワード変更レコードの中で暗号化され、このレコードはパスワード変更レコード・キューの中に保存されます。
このキューは、Microsoft Active Directoryに対する各パスワードの変更に対応するパスワード変更レコードによって構成されています。パスワード変更レコード・キューはメモリー内で保持されていますが、メモリー内キューとも呼ばれます。
パスワード・フィルタが初期化されるときに、パスワード更新スレッドが作成されます。このスレッドによって、次のタスクが実行されます。
メモリー内キューまたは永続キューからパスワード変更レコードを取得します。
注意: 永続キューは、この項で後述します。 |
パスワード変更レコードを復号化します。
SPMLリクエストを作成し、SOAPパケットの形式でOracle Identity Managerに送信します。
このSPMLリクエストには、Oracle Identity Manager上でパスワードを更新する必要のあるターゲット・システム・ユーザーのsAMAccountNameが格納されています。Oracle Identity Manager上で、sAMAccountNameの値が、コネクタをインストールするときに指定したOIMユーザー属性と比較されます。
関連項目: SPML Webサービスの詳細は、『Oracle Identity Manager Toolsリファレンス』の「SPML Webサービス」を参照してください。 |
次の項では、SPMLリクエストが送信されるときに発生する可能性のあるイベントに関連付けられるプロセスについて説明します。
注意: ターゲット・システムでパスワードが更新されるかどうかは、Oracle Identity Managerでパスワードが受け入れられるかどうか、またはOracle Identity Managerが利用可能であるかどうかに依存しません。 |
ターゲット・システム・ユーザーのsAMAccountNameとの比較に使用されたのに対応するOIMユーザーが存在しない場合は、Oracle Identity Managerによって最初のSPMLリクエストは拒否されます。このイベントが発生した場合は、次のエラー・メッセージがMicrosoft Windowsのイベント・ログのうちアプリケーション・ログに書き込まれます。
Unable to update sAMAccountName
, the user does not exist in OIM
また、次のエラー・メッセージがTIME_STAMPOIMMain.logファイルに書き込まれます。
The user does not exist in OIM
コネクタのログ・ファイルの詳細は、「パスワード同期の無効化および有効化」を参照してください。
ターゲット・システム・ユーザーのsAMAccountNameと比較されたOIMユーザーが見つかった場合は、Oracle Identity Managerによって最初のSPMLリクエストは受け入れられます。OIMユーザーが見つかった後、次のようになります。
SPML Webサービスによって、パスワード更新スレッドに対して成功のレスポンスが送信されます。
パスワード更新スレッドによって、Oracle Identity Manager内のSPML Webサービスに対して2番目のSPMLリクエストが送信されます。このリクエストには、OIMユーザーのパスワードが含まれます。
次の項では、2番目のSPMLリクエストが送信されるときに発生する可能性のあるイベントに関連付けられるプロセスについて説明します。
次のいずれかの理由で、Oracle Identity Managerにより、2番目のSPMLリクエストが拒否されます。
パスワードが、Oracle Identity Manager上で設定されたパスワード・ポリシーを満たさない。
注意: ターゲット・システムに設定されているパスワード・ポリシーと、Oracle Identity Managerに設定されているパスワード・ポリシーは合致していない可能性がある。 |
Oracle Identity Managerでサポートされていない特殊文字がパスワードに含まれている。
OIMユーザーのユーザーIDに、Microsoft Active Directoryシステムの非ネイティブ形式の文字が含まれている。
Oracle Identity Managerにより、2番目のSPMLリクエストが拒否された場合は、次のようになります。
両方のシナリオで、次のエラー・メッセージがMicrosoft Windowsのイベント・ログのうちアプリケーション・ログに書き込まれます。
Unable to update USER_NAME_OF_THE_OIM_USER
. The OIM server rejected the
setPasswordRequest. Please check the OIM server log for more details.
このエラー・メッセージは、TIME_STAMPOIMMain.logファイルにも記録されます。また、例外スタック・トレースがOracle Identity Managerのデバッグ・ログ・ファイルに記録されます。スタック・トレースによって、パスワード変更が拒否された理由の詳細が提供されます。コネクタのログ・ファイルの詳細は、「パスワード同期の無効化および有効化」を参照してください。
SPML Webサービスによって、パスワード更新操作が失敗したことを示すSPMLレスポンスが送信されます。
パスワード変更レコード(パスワードがユーザー情報とともに暗号化済フォーマットで含まれている)が、永続キューに保持されます。このキューは、Microsoft Active Directoryのou=oimpwdsyncDOMAIN_NAME,BASE_DNコンテナの中に配置されています。
パスワード更新スレッドによって、パスワード変更レコードの再試行回数が1増やされ、SPMLリクエストがOracle Identity Managerに再送信されます。
注意: 再試行カウントの値は、コネクタのインストール時に指定されます。 |
Oracle Identity Managerによってパスワード変更が受け入れられた場合は、パスワード変更レコードは永続キューから削除されます。この項で説明する残りのステップは実行されません。
Oracle Identity Managerによってパスワード変更が拒否された場合は、再試行回数が再試行最大回数に達するまで、パスワード更新スレッドによってSPMLリクエストが引き続き再送信されます。
Oracle Identity Managerによってパスワードが拒否された後、拒否されたパスワードの最大再試行回数に達する前に、Oracle Identity Managerが使用不可になった場合は、次のようになります。
パスワードは、ユーザー情報とともに暗号化済フォーマットで永続キューに保存されます。
パスワード更新スレッドによって、再試行回数を増やすことなく、対応するOIMユーザーのパスワードの更新が再試行されます。Oracle Identity Managerが使用可能になった場合は、この再試行は続行され、これ以降、再試行回数の増加が再開されます。
再試行回数が再試行最大回数に達した場合は、次のようになります。
パスワード変更レコードは永続キューから削除されます。
次のエラー・メッセージがMicrosoft Windowsのイベント・ログのうちアプリケーション・ログに書き込まれます。
Unable to update USER_NAME_OF_THE_OIM_USER. The OIM server rejected the
setPasswordRequest. Please check the OIM server log for more details.
このエラー・メッセージは、TIME_STAMPOIMMain.logファイルにも記録されます。また、例外スタック・トレースがOracle Identity Managerのデバッグ・ログ・ファイルに記録されます。スタック・トレースによって、パスワード変更が拒否された理由の詳細が提供されます。コネクタのログ・ファイルの詳細は、「パスワード同期の無効化および有効化」を参照してください。
Oracle Identity Managerによって2番目のSPMLリクエスト(パスワード変更を含む)が受け入れられた場合は、OIMユーザーのパスワードが正常に更新されます。プロセスはここで終了します。
最初のSPMLリクエストが受け入れられた後、2番目のSPMLリクエストが送信される前にOracle Identity Managerが使用不可になった場合に発生するイベントの詳細は、「Oracle Identity Managerが使用不可」を参照してください。
パスワード同期操作の開始時にOracle Identity Managerが使用不可である場合は、次のようになります。
次のエラー・メッセージがMicrosoft Windowsのイベント・ログのうちアプリケーション・ログに書き込まれます。
Unable to update sAMAccountName. The OIM SPML Web Service is unreachable.
Please verify the availability of the web service or the configuration parameters.
このエラー・メッセージは、TIME_STAMPOIMMain.logファイルにも記録されます。
パスワードは、ユーザー情報とともに暗号化され、永続キューに保存されます。
パスワード更新スレッドによって、パスワード変更レコードが永続キューから取得され、(再試行回数が増やされることなく)SPMLリクエストがOracle Identity Managerに再送信されます。
Oracle Identity Managerが使用不可である間は、最初のSPMLリクエストがOracle Identity Managerに送信されるまで、ステップ2および3 が繰り返されます。
Oracle Identity Managerが使用可能になった場合は、最初のSPMLリクエストが送信されます。次のステップの順序は、次のイベントのうちどれが発生するかに基づきます。
複数ドメイン・コントローラ環境では、ドメイン・コントローラのいずれかが使用不可になり、パスワード変更リクエストがそのドメイン・コントローラに送信された場合は、パスワード変更リクエストは使用可能であるドメイン・コントローラに再ルーティングされます。その後、利用可能であるドメイン・コントローラはパスワードをOIMユーザーに送信します。
注意: ドメイン・コントローラのメモリー・キュー内に保存されているパスワード変更リクエストは、そのドメイン・コントローラがクラッシュした場合は失われます。この動作が発生した場合は、パスワード変更リクエストを取得できません。 |
次の例では、複数ドメイン・コントローラ環境でのコネクタの動作方法を示します。
オペレーティング環境が、DC1およびDC2という2台のドメイン・コントローラで構成されているとします。DC1が使用不可になり、たとえば、ユーザーJohn Doeが自分のパスワードをターゲット・システム上で変更した場合は、DC2上のコネクタは新しいパスワードを、対応するOIMユーザーに伝播します。
次に、このマニュアルの残りの部分で説明する内容の概略を示します。
第2章「コネクタのデプロイ」では、コネクタのデプロイの各ステージにおいて、Oracle Identity Managerおよびターゲット・システムで実行する必要のある手順を説明します。
第3章「コネクタの削除」では、コネクタをアンインストールする手順を説明します。
第4章「既知の問題」では、このリリースのコネクタに関連する既知の問題を示します。
付録A「パスワードに使用できる特殊文字」では、ターゲット・システムおよびOracle Identity Managerのパスワード・フィールドで使用可能な特殊文字に関する情報を説明します。