| Oracle Application Server Microsoft Officeとの相互運用性開発者ガイド 10gリリース3(10.1.3.1.0) B31842-01 |
|
 戻る |
 次へ |
この章では、次の操作を行う方法について説明します。
識別情報がMicrosoft Outlook連絡先に統合されている従業員について、その最新情報を取得します。
ユーザー識別情報が変更されたときに送信される組織アラートを作成および受信します。
内容は次のとおりです。
ユーザー情報がMicrosoft Active DirectoryとOracle Internet Directoryのどちらに格納されているかにかかわらず、Microsoft Outlook連絡先の情報が常に最新であることが期待されます。営業支援システムや人事管理システムなどのエンタープライズ・アプリケーションで変更を行った場合、ディレクトリに対する更新をMicrosoft Outlook連絡先に即時に反映する必要があります。また、組織的な変更に関するアラートを、発生後すぐに送信することが必要な場合があります。
Oracle Identity Managementを使用すると、サード・パーティのLDAPディレクトリなどのアプリケーションおよびディレクトリをOracle Internet Directoryと統合することにより、管理の時間とコストを削減できます。これには、Oracle Directory Integration Platformが使用されます。
統合プロセス全体にわたって、Oracle Directory Integration Platformは、アプリケーションおよびその他のディレクトリが信頼できる方法で必要な情報をやり取りできることを保証します。オラクル社は、コンポーネントをOracle Identity Managementと統合することにより、集中セキュリティ管理を提供します。同様に、Microsoft社は、MicrosoftアプリケーションをMicrosoft Active Directoryと統合することにより、Microsoft Windowsでの集中セキュリティ管理を提供します。使用環境でOracle Identity ManagementとMicrosoft Active Directoryの両方を使用する場合に、2つのシステム間の相互運用性を確保するには、両方のデータを同期する必要があります。この同期は、OracleのActive Directory Connectorを使用して行います。
この章では、Microsoft ExchangeとMicrosoft Active Directoryの両方がOracle Internet Directoryとともに使用されている環境で、Microsoft Outlook連絡先の連絡先データが常に最新であることを保証するために行う必要のあることについて説明します。両方が同じ最新の連絡先データを持つようにするには、Microsoft Active DirectoryとOracle Internet Directoryを同期(統合)する必要があります。この章では、正確で適時なディレクトリ同期を実行する方法について説明します。
また、この章では、Oracleソリューションを使用して組織的な変更に関するアラートを送信する場合に実行する必要のある手順についても説明します。これらの手順には、Oracle Internet Directoryのユーザー識別情報が変更されるたびに組織アラートを生成するためのOracle Directory Integration PlatformおよびOracle BPEL Process Managerの構成が含まれます。
エンタープライズ・アプリケーションでユーザー識別情報が変更されると、Oracle Internet Directoryがこの情報で更新されます。Active Directory Connectorを使用して、Microsoft Active DirectoryとOracle Internet Directoryを同期すると、Microsoft Outlookの連絡先データが常に最新であることが保証されます。
|
注意: Oracle Collaboration SuiteアプリケーションをMicrosoft Outlookとともに使用している場合は、Oracle Connector for Outlookを使用して、Oracle Collaboration Suiteアプリケーションの管理タスクをMicrosoft Outlookと相互運用できるようにする必要があります。詳細は、第9章「Microsoft Outlookでの仕事の管理およびコラボレーション」を参照してください。 |
次の各トピックでは、Oracle Identity ManagementとMicrosoft Active Directoryとの間の相互運用性を実現するために使用されるコンポーネントと、いくつかの関連概念について説明します。
Oracle Internet Directory
Oracle Internet Directoryは、Oracle Application Server管理およびセキュリティ・インフラストラクチャの非常に重要なコンポーネントです。これにより、LDAPバージョン3規格を使用して、ユーザー・アカウントおよびグループを確実に集中管理できます。Oracle Application Serverを使用して、ユーザー・アカウントおよびグループをOracle Internet Directoryで集中的に作成し、Oracle Application Serverのすべてのコンポーネントで共有できます。ユーザーは、ログインし、Oracle Internet Directory資格証明に対してOracle Application Server Single Sign-Onによって認証されると、複数のアプリケーションにシームレスにアクセスできるようになります。
Oracle Directory Integration Platform
Oracle Directory Integration Platformを使用すると、ユーザーは様々なディレクトリとOracle Internet Directoryの間でデータを同期できます。Oracle Directory Integration Platformは、サード・パーティのディレクトリおよびその他のエンタープライズ・リポジトリとの同期ソリューションを開発できるようにするサービスおよびインタフェースのセットです。Oracle Directory Integration Platformには、Microsoft Active Directoryとの同期をすぐに利用できるようにする、Active Directory Connectorと呼ばれるコネクタが含まれています。
Oracle Application Server Single Sign-On
OracleAS Single Sign-Onを使用すると、ユーザーは、1回ログインするだけでOracle Webベースの各コンポーネントにアクセスできます。Oracleコンポーネントはログイン機能をOracleAS Single Sign-Onサーバーに委任します。ユーザーがOracleコンポーネントに初めてログインしたときに、コンポーネントはログインをOracleAS Single Sign-Onサーバーに指示します。OracleAS Single Sign-Onサーバーは、ユーザーが入力した資格情報をOracle Internet Directoryに格納されている情報と比較します。資格情報を確認した後で、OracleAS Single Sign-Onサーバーは、ユーザーが現在のセッション全体を通して使用を許可されるすべてのコンポーネントへのアクセス権をユーザーに付与します。
OracleAS Single Sign-Onでは、ユーザーのKerberos資格情報を使用してMicrosoft Windows環境のネイティブ認証を使用可能にします。
|
関連資料: Windowsネイティブ認証の構成の詳細は、『Oracle Identity Management統合ガイド』を参照してください。 |
ディレクトリ同期
Oracle Directory Integration Platformのサービスである同期により、Oracle Internet Directoryと、Microsoft Active Directoryなどの接続先ディレクトリとの間で変更を永続化できます。すべてのディレクトリが最新のデータのみ使用および提供するためには、接続されている他のディレクトリで行われた変更を各ディレクトリに通知する必要があります。同期により、ディレクトリ情報に対する変更の一貫性が保持されます。
ディレクトリ同期用のコネクタ
Oracle Internet Directoryと接続ディレクトリ間を同期するために、Oracle Directory Integration Platformはコネクタと呼ばれる事前にパッケージ化された接続ソリューションに依存します。最低でも、このコネクタは、同期に必要な次のような構成情報をすべて含むディレクトリ統合プロファイルから構成されます。
同期の方向
インタフェースのタイプ
マッピング・ルールと形式
接続されているディレクトリの接続の詳細
その他の情報
Active Directory Connector
Oracle Directory Integration Platformには、Oracle Internet Directoryを他のLDAPディレクトリまたは識別情報ストアと同期するためのコネクタが含まれます。そのコネクタの1つであるActive Directory Connectorは、Oracle Internet DirectoryをMicrosoft Active Directoryと同期するように設計されています。
Active Directory Connectorにより、次の処理を行うことができます。
Microsoft Active Directoryとの1方向または双方向同期の確立。
属性の特定サブセットの同期。この処理を行うには、適切なマッピング・ルールをコネクタ・プロファイルに構成します。
複数のMicrosoft Active Directoryドメインとの同期。Microsoft Global Catalog Serverを使用して、変更を個々のドメインまたはMicrosoft Active Directory環境全体と同期します。
Microsoft ExchangeのプロビジョニングのためのActive Directory Connectorの使用方法
Oracle Identity Managementリリース10.1.2の一部として入手できるActive Directory Connectorを使用して、ユーザーをMicrosoft Exchangeにプロビジョニングできます。このことは、識別情報ストアとしてMicrosoft Active Directory Server 2000以上を持つデプロイに適用できます。Microsoft Exchange Serverにユーザーをプロビジョニングするには、対応するMicrosoft Active Directoryに、Microsoft Exchange固有のユーザー属性でユーザー・アカウントを作成します。これらの属性には、Microsoft Exchange Server、メール転送エージェント、プロキシ・アドレスなどに関する詳細が含まれます。Microsoft Exchangeへのプロビジョニングを構成するために、Active Directory Connectorのデフォルトのマッピング・ルールが拡張され、Microsoft Exchange固有のマッピング・ルールが含まれています。
この章に記載されているシナリオでは、Microsoft Active Directoryをバックエンド・リポジトリとし、Microsoft Office(具体的にはMicrosoft Outlook)を電子メール・クライアントとしてMicrosoft Exchange 2000以上をデプロイしたことを前提としています。シナリオでは、次のOracleソフトウェア・コンポーネントがインストールされていることを想定しています。
Oracle Application Server Infrastructure 10gリリース2(10.1.2.0.2)
Oracle Directory Integration Platformパッチ
このパッチは、エクスプレス構成でMicrosoft Exchange固有のマッピングを実行するために必要です。パッチをインストールするには、次の手順を実行します。
バグ5066404用のAutomated Release Update(ARU)をダウンロードします。
ARUは、OracleMetalink(http://metalink.oracle.com)からダウンロードできます。
パッチのReadmeに記載されている指示に従います。
(オプション)Oracle BPEL Process Manager 10gリリース2(10.1.2.0.2)
10.3.2項「手順2: BPELベースの組織アラートの構成」に示すようにOracle BPEL Process Managerを使用して組織アラートを構成するには、次のソフトウェアがインストールされている必要があります。
BPELプロセスを構成するには、Oracle BPEL Process Managerのスタンドアロン・バージョンの一部であるOracle JDeveloper BPEL Designerを使用する必要があります。これは、インストール時に「BPEL Process Manager for Developers」オプションを選択することによりインストールできます。
10.3.2項「手順2: BPELベースの組織アラートの構成」で説明しているサンプルBPELプロセスをデプロイするには、Oracle Application Server中間層のBPEL Process Managerをインストールする必要があります。そのためには、Oracle Application Server 10gリリース2(10.1.2.0.2)のJ2EEおよびWebキャッシュ・インストール・タイプが同じOracleホーム・ディレクトリに必要です。また、Oracle Application Serverメタデータ・リポジトリがインストールされている必要もあります。
|
関連資料: 次のURLにあるOTNのOracle BPEL Process Managerページの『Oracle BPEL Process Managerインストレーション・ガイド』 |
identitymanagementデモ・フォルダにあるサポート・ファイルおよびフォルダ。デモ・サポート・ファイルの詳細は、「はじめに」の「デモ・サポート・ファイルへのアクセス」を参照してください。表10-1に、これらのファイルおよびフォルダをリストし、説明します。
表10-1 ID管理ファイルおよびフォルダ
| ファイルまたはフォルダ | 説明 |
|---|---|
|
|
|
|
|
スキーマ、および組織アラートを伝播するための対応するパッケージを作成するSQLスクリプトを含むフォルダ。 |
|
|
組織アラートのスキーマを作成するために使用されるSQLスクリプト・ファイル。 |
|
注意: identitymanagementフォルダの内容を、BPEL_ORACLE_HOME\integration\orabpel\samples\demosフォルダの下にあるidentitymanagementという名前の新しいフォルダ(たとえば、C:\OraBPELPM_1\integration\orabpel\samples\demos\identitymanagement\)にダウンロードします。 |
この項では、データ例に基づいて次の手順を説明します。
ユーザー識別情報がOracle Internet DirectoryとMicrosoft Exchangeとの間で常に一貫し、最新であるエンタープライズ環境を構成します。
Oracle Directory Integration PlatformおよびOracle BPEL Process Managerを使用して、ユーザー識別情報が変更されたときに送信される組織アラートを作成および受信します。
ユーザー識別情報は多くの場所に格納できますが、一般的なディレクトリはOracle Internet DirectoryおよびMicrosoft Active Directoryです。Microsoft Exchangeバージョン2000以上では、Microsoft Active Directoryを識別情報ストアとして使用します。この手順では、Oracle Internet DirectoryをMicrosoft Active Directoryと同期する方法を示します。
非常に一般的なエンタープライズ・シナリオを図10-1に示します。人事管理システムなどのエンタープライズ・アプリケーションは、Oracle Internet Directory内のユーザー識別情報を更新します。Oracle Directory Integration Platformは、Active Directory Connectorを使用して、Oracle Internet DirectoryとMicrosoft Active Directoryとの間でユーザー識別情報を同期します。Microsoft Active Directoryは、Microsoft Exchangeによって識別情報ストアとして使用されます。企業内のユーザーは、Microsoft Outlookを使用して、電子メールを読んだり最新の連絡先情報を取得したりします。Microsoft Active Directory同期を設定する他に、いくつかの追加構成を実行してMicrosoft Exchange固有の属性をプロビジョニングする必要があります。
図10-1 Microsoft Active DirectoryおよびMicrosoft ExchangeとのOracle Internet Directoryの相互運用性
後続の例では、Microsoft ExchangeおよびMicrosoft Active DirectoryをどのようにしてOracle Internet Directoryと同期する必要があるかを説明します。
この例のコンテキストは、数百人の従業員がいるUnion Loan Companyです。Union Loan Companyは、エンタープライズ・アプリケーション用のOracle Application Server、集中ID管理用のOracle Internet Directory、および電子メールと連絡先情報用のMicrosoft Exchange ServerとMicrosoft Active Directoryを使用します。従業員はMicrosoft Outlookを使用します。
Union Loan Companyが新たなローン承認者としてJohn Steinbeckを雇用するとします。Johnの個人情報は人事管理システムに入力され、Oracle Internet Directoryにプロビジョニングされます。Oracle Internet DirectoryとMicrosoft Active Directoryの間にはディレクトリ同期が設定されます。追加の構成変更により、Microsoft Exchange固有の属性がすべて適切に変更されたことが保証されます。その結果、JohnのプロファイルがMicrosoft Outlookに表示され、Johnの上司と同僚がJohnの電話番号を迅速に検索できるようになります。ディレクトリ統合により、Johnの電話番号の変更などのユーザー識別情報の変更は、全員のMicrosoft Outlook連絡先でほぼ即時に表示可能になります。
Microsoft Exchangeでユーザーをプロビジョニングするには、つまりOracle Internet DirectoryからMicrosoft Active Directoryにデータをプッシュするには、Active Directory Connectorを使用して、交換されるデータの属性をすべて同期する必要があります。図10-1は、この相互運用性の動作を示しています。ただし、このデータをMicrosoft Exchangeから使用できるようにするには、マッピング・ルールに変更を加える必要があります。Oracle Internet DirectoryとMicrosoft Active Directoryとの間を同期するには、Microsoft Exchangeとの同期に必要なすべての構成情報を含む、同期用のディレクトリ統合プロファイルを作成する必要があります。この作業を行うには、次の各項の手順を実行します。
Oracle Directory Integration Platformサーバーには、Directory Integration and Provisioningアシスタントで実行できるエクスプレス構成オプションが含まれます。このタイプの構成は、特定の事前定義値を使用し、Microsoft Active Directoryを指す2つの同期コネクタ・プロファイルを作成します。1つはインポート用で、1つはエクスポート用です。
|
関連資料: エクスプレス構成の詳細は、『Oracle Identity Management統合ガイド』を参照してください。 |
次のように、Directory Integration and Provisioningアシスタント・ツールを使用してエクスプレス構成を実行します。
次のコマンドを入力して、Oracle Directory Integration Platform Server管理ツールを起動します。
INFRA_ORACLE_HOME/bin/dipassistant expressconfig –h <oid_host> -p <oid_non-SSL_port> -configset <DIP_configuration_set> -3rdpartyds adforexchange
DIP_configuration_setは、Oracle Directory Integration Platformの構成セットを表します。デフォルト値は1です。たとえば、次のようになります。
INFRA_ORACLE_HOME/bin/dipassistant expressconfig –h m1.abc.com \
-p 389 -configset 1 -3rdpartyds adforexchange
設定に関する情報の入力を求められます。表10-2に説明する適切な値を入力します。
表10-2 dipassistantツールを実行するためのパラメータ
| パラメータ | 説明 |
|---|---|
|
OIDユーザー名 |
Oracle Internet Directoryユーザー名。
|
|
OIDパスワード |
Oracle Internet Directoryユーザーのパスワード。 |
|
Active Directoryホスト |
Microsoft Active Directoryのホスト名。 |
|
Active Directoryポート |
Microsoft Active Directoryのポート番号。 |
|
アカウント名 |
権限が付与されたMicrosoft Active Directoryユーザーのユーザー名。 注意: 削除を同期するには、 |
|
アカウント・パスワード |
Microsoft Active Directoryのパスワード。 |
|
コネクタ名 |
コネクタの名前。ここで指定した名前に応じて、2つのプロファイル(インポート・プロファイルとエクスポート・プロファイル)がそれぞれ たとえば、名前 |
|
ACLを構成するためのオプション |
ACL構成オプション。Oracleコンポーネントに必要なアクセス権を付与するには、 |
エクスプレス構成を実行すると、Microsoft Active Directoryを指す2つの同期コネクタ・プロファイルが作成されます。<Connectorname>IMPORTプロファイルは、Microsoft Active DirectoryからOracle Internet Directoryにユーザー識別情報をインポートするための構成情報を保持し、<Connectorname>EXPORTプロファイルは、Oracle Internet DirectoryからMicrosoft Active Directoryに変更をエクスポートするための構成詳細を保持します。デフォルトでは、どちらのプロファイルも接続されているディレクトリ間でデータを1分間隔で同期するように構成されています。エクスプレス構成の最後に、ユーザーをOracle Internet DirectoryからMicrosoft Active Directoryにエクスポートする場合にMicrosoft Active DirectoryおよびMicrosoft Exchange固有の属性を処理するために必要なマッピング・ルールが構成されます。
ここで、次の手順を実行することにより、エクスポートおよびインポート・プロファイルを有効にする必要があります。
ユーザー識別情報の変更が人事管理システムでのみ行われ、人事管理システムの識別情報がOracle Internet Directoryと同期される場合、ユーザーはOracle Internet DirectoryからMicrosoft Active Directoryに同期されます。この場合は、modifyprofileオプションを指定してOracle Directory Integration Platform Server管理ツールを使用することにより、エクスポート同期プロファイルを有効にします。次のOracle Directory Integration Platformアシスタント・コマンドで、エクスポート・プロファイルを有効にします。
INFRA_ORACLE_HOME/bin/dipassistant modifyprofile -profile <profile_name> [-host <oid_host>] [-port <oid_port>] [-dn "<oid_bindDN>"] [-passwd <oid_bindDN_password>] odip.profile.status=ENABLE
次に、testExportという名前のエクスポート・プロファイルを有効にするために使用されるコマンド例を示します。
INFRA_ORACLE_HOME/bin/dipassistant modifyprofile –profile testExport \ -host m1.abc.com -port 389 \ -dn "cn=orcladmin" -passwd welcome1 odip.profile.status=ENABLE
また、人事管理システムで作成されたユーザー・エントリをMicrosoft Active DirectoryおよびMicrosoft Exchange Serverから変更できる場合は、Microsoft Active DirectoryからOracle Internet Directoryにデータを同期する必要があります。この場合は、インポート・プロファイルを有効にする必要があります。次のOracle Directory Integration Platformアシスタント・コマンドで、インポート・プロファイルを有効にします。
INFRA_ORACLE_HOME/bin/dipassistant modifyprofile -profile <profile_name> [-host <oid_host>] [-port <oid_port>] [-dn "<oid_bindDN>"] [-passwd <oid_bindDN_password>] odip.profile.status=ENABLE
次に、testImportという名前のインポート・プロファイルを有効にするために使用されるコマンド例を示します。
INFRA_ORACLE_HOME/bin/dipassistant modifyprofile –profile testImport \
-host m1.abc.com -port 389 \
-dn "cn=orcladmin" -passwd welcome1 odip.profile.status=ENABLE
Microsoft Exchangeプロファイルを含む構成セットでOracle Directory Integration Platformサーバーを実行していない場合は、次のようにこのサーバーを起動します。
oidctl connect=<oid_metadatarep_connect_string> server=odisrv instance=<instance_number> configset=<configuration_set_number> [flags="flagname=<value> ..."] {start | stop | restart}
たとえば、次のようになります。
oidctl connect=dbs1 server=odisrv instance=1 configset=1 \ flags="host=ldaphost.company.com port=389" start
Oracle Internet DirectoryとMicrosoft Active Directoryとの間の同期が正しく動作していることを確認するには、次の手順を実行します。
プロファイルを有効にした後で、次のコマンドを実行して同期の状態を確認できます(変更同期のデフォルトの間隔は1分です)。
INFRA_ORACLE_HOME/bin/ldapsearch -h <oid_host> -p <oid_port> -D "<DN of privileged oid user>" -w "<password of privileged oid user>" -b "orclodipagentname=testExport,cn=subscriber profile, cn=changelog subscriber,cn=oracle internet directory" -s base "objectclass=*" orclodipsynchronizationstatus orclodiplastsuccessfulexecutiontime
たとえば、次のようになります。
INFRA_ORACLE_HOME/bin/ldapsearch -h m1.abc.com -p 389 -D "cn=orcladmin" \
-w "welcome1"
-b "orclodipagentname=testExport,cn=subscriber profile,\
cn=changelog subscriber,cn=oracle internet directory" \
-s base "objectclass=*" \
orclodipsynchronizationstatus orclodiplastsuccessfulexecutiontime
同期が正常に開始している場合は、次のようになります。
orclodipsynchronizationstatus属性の値がSynchronization Successfulになります。
orclodiplastsuccessfulexecutiontime属性の値はその実行日時になります。この日時が現在の日時に近いことに注意してください。
次に、正常な同期を示す結果の例を示します。
orclodipsynchronizationstatus=Synchronization Successful orclodiplastsuccessfulexecutiontime=20060302170214
同期が開始したことを確認した後で、次の手順を実行して、Oracle Internet DirectoryのエントリがMicrosoft Active Directoryと実際に同期しているかどうかを確認します。
「スタート」→「プログラム」→「Microsoft Exchange」→「Active Directory Users and Computers」の順にクリックします。
Active DirectoryドメインのUsersコンテナで、エントリを検索します。
Microsoft Outlookで常に最新の情報が使用可能であると便利ですが、情報に変更があった場合、電子メールによる通知を希望することがあります。たとえば、人事管理システムでJohn Steinbeckの電話番号が変更された場合、Johnがこの変更の通知を希望することがあります。
図10-1に示したようなエンタープライズ環境でOracle Internet DirectoryおよびMicrosoft Active Directoryを使用している場合は、Oracle BPEL Process Managerと組み合せてOracle Directory Integration Platformの性能を最適化し、ディレクトリ内のユーザー識別情報に対して発生した変更に基づいて組織アラートを生成する堅牢なアラート・システムを作成できます。
Oracle Internet Directoryのユーザー識別情報は、次のような理由で変更されます。
人事管理システムで変更が発生し、Oracle Internet Directoryに同期される場合
Oracle Delegated Administration ServicesやOracle COREid管理サービスなど、デプロイされている他のディレクトリ管理コンポーネントからOracle Internet Directoryに変更が直接適用される場合
Microsoft Active Directoryがエンタープライズ・ディレクトリであるデプロイ環境で、Microsoft Active DirectoryまたはMicrosoft Exchangeに変更が行われた場合
最初の例が適用された場合、人事管理システムなどのエンタープライズ・アプリケーションは、Oracle Internet Directory内のユーザー識別情報を更新します。Oracle Directory Integration Platformは、Active Directory Connectorを使用して、Oracle Internet DirectoryとMicrosoft Active Directoryとの間でユーザー識別情報を同期します。BPELプロセスを企業のOracle Application Server中間層にデプロイして、特定のユーザー識別情報属性が特定のドメインで変更された場合に組織アラートを送信できます。
図10-2に、BPELプロセスがディレクトリ同期プロセスにどのように統合されるかを示します。
図10-2 Oracle BPEL Process Managerを使用した組織アラートの生成
この例は、10.3.1項「手順1: エンタープライズ識別情報の同期」を拡張したものです。Johnの電話番号が変更されると、人事管理システムで更新され、Oracle Internet Directoryと同期されます。Johnは、最新の変更を電子メールで受信することを希望します。
Oracle Directory Integration PlatformおよびOracle BPEL Process Managerを使用すると、エンタープライズ・アプリケーションは、Oracle Internet Directoryでの変更に基づいてこの種の組織アラートを作成できます。
このシナリオの手順の概要を次に示します。
Union Loanの人事管理システムで変更が行われます。たとえば、John Steinbeckの電話番号が変更されます。
Johnのプロファイルでのこの変更が、Oracle Internet Directoryに記録されます。Oracle Internet Directoryのtelephonenumber属性がJohnの新しい電話番号で更新されます。
Oracle Directory Integration Platformは、変更を検出し、この変更をデータベース表に書き込みます。
同じデータベース表の変更をチェックするように構成されているBPELプロセスが、この変更を取得し、Johnに組織アラートを送信します。
この例では、Oracle Internet Directoryでのユーザー識別情報の変更をチェックするようにOracle Directory Integration Platformを構成する必要があります。これらの変更を、OracleASメタデータ・リポジトリのEXCHGSYNCスキーマにプロビジョニングする必要があります。具体的には、変更をORG_ALERTS表に書き込む必要があります。
|
注意: また、EXCHGSYNCスキーマは任意のOracle Databaseに存在できます。 |
ORG_ALERTS表の変更をチェックし、変更された属性に応じて組織アラートを対象者に送信するようにBPELプロセスを構成する必要があります。
次の各項で、ユーザー情報が変更された場合に起動する組織アラートの作成および送信方法を示します。
サンプルのBPELプロセスIdentityNotification、ORG_ALERTS表でEXCHGSYNCスキーマを作成するためのSQLスクリプト、および属性変更を表に伝播するための対応するパッケージは、10.2項「前提条件」で説明したデモ・フォルダにあります。BPELプロセスは、表EXCHGSYNC.ORG_ALERTS内でユーザー識別情報の変更をチェックし、電話番号などの特定の属性が変更された場合にユーザーに組織アラートを送信します。
スキーマを設定し、BPELプロセスIdentityNotificationを構成およびテストするには、次の各項の手順を実行する必要があります。
EXCHGSYNCスキーマのインストール
EXCHGSYNCスキーマをインストールするには、次の手順を実行する必要があります。
notificationsetup.sqlスクリプトを探します。このスクリプトは、10.2項「前提条件」で説明したidentitymanagement/sqlフォルダ内のZIPファイル例にあります。
次のようにnotificationsetup.sqlスクリプトを実行します。
sqlplus "sys/<sys pwd>@<DB connect string> as SYSDBA" @notificationsetup.sql
次の手順を実行して、データベース・ユーザーEXCHGSYNCのパスワードを設定します。
データベースにSYSユーザーとして接続します。
次のようにalterコマンドを実行します。
alter user EXCHGSYNC identified by <password>
BPELプロセスでのデータベース・アダプタの構成
Oracle BPEL Process Managerをインストールした後で、データベース・アダプタのoc4j-ra.xmlファイルを編集して、接続するデータベースの接続詳細を入力する必要があります。eis/DB/IdNotifySampleという新しい接続を作成する必要があります。この接続で、OracleASメタデータ・リポジトリまたはカスタム・データベースのEXCHGSYNCスキーマに対してサンプルを実行します。
OracleASメタデータ・リポジトリのEXCHGSYNCスキーマに接続するには、次の手順を実行します。
oc4j-ra.xmlファイルを開きます。このファイルはBPEL_ORACLE_HOME/j2ee/OC4J_BPEL/application-deployments/default/DbAdapterディレクトリにあります。
ここで、BPEL_ORACLE_HOMEは、BPEL Process Managerを含むOracle Application Server中間層のOracleホームです。
例10-1に示すように、eis/DB/IdNotifySampleという新しいコネクタ・ファクトリ要素を追加します。
例10-1 oc4j-ra.xmlファイル内の新しい接続文字列の詳細
<connector-factory location="eis/DB/IdNotifySample" connector-name="Database Adapter">
<config-property name="driverClassName" value="oracle.jdbc.driver.OracleDriver"/>
<config-property name="connectionString" value=" jdbc:oracle:thin:@abc.unionloan.com:1521:iasdb "/>
<config-property name="userName" value=" EXCHGSYNC "/>
<config-property name="password" value="secret"/>
<config-property name="minConnections" value="1"/>
<config-property name="maxConnections" value="5"/>
<config-property name="minReadConnections" value="1"/>
<config-property name="maxReadConnections" value="5"/>
<config-property name="usesExternalConnectionPooling" value="false"/>
<config-property name="dataSourceName" value=""/>
<config-property name="usesExternalTransactionController" value="false"/>
<config-property name="platformClassName" value="oracle.toplink.internal.databaseaccess.OraclePlatform"/>
<config-property name="usesNativeSequencing" value="true"/>
<config-property name="sequencePreallocationSize" value="50"/>
</connector-factory>
connectionStringおよびpassword(太字部分)の値を、それぞれOracleASメタデータ・リポジトリまたはカスタム・データベース内のEXCHGSYNCスキーマの接続文字列、およびEXCHGSYNCパスワードで置換します。
ファイルを編集した後で、Oracle BPEL Process Managerサーバーを停止し、再起動します。再起動するには、「スタート」→「プログラム」→「Oracle - ORACLE_BPEL_HOME」→「Oracle BPEL Process Manager 10.1.2」→「Stop BPEL PM Server」→「Start BPEL PM Server」の順にクリックします。
組織アラートを有効にするための電子メール・サーバー設定の構成
デフォルトの電子メール・アカウントを使用して、組織アラート電子メール・メッセージを送信します。このため、アカウントDefaultの電子メール・サーバー設定を構成する必要があります。これには、次の手順を実行します。
電子メール・サーバー構成ファイルORACLE_HOME/integration/orabpel/system/services/config/ns_emails.xmlを編集し、例10-2に太字で示されているパラメータを変更します。
例10-2 電子メール構成ファイルのパラメータ
<EmailAccount>
<Name>Default</Name>
<GeneralSettings>
<FromName>Oracle BPM</FromName>
<FromAddress>bpm1@m1.abc.com</FromAddress>
</GeneralSettings>
<OutgoingServerSettings>
<SMTPHost>m1.abc.com</SMTPHost>
<SMTPPort>225</SMTPPort>
</OutgoingServerSettings>
<IncomingServerSettings>
<Server>m1.abc.com</Server>
<Port>2110</Port>
<Protocol>pop3</Protocol>
<UserName>bpm1</UserName>
<Password ns0:encrypted="false" xmlns:ns0="http://xmlns.oracle.com/ias/pcbpel/NotificationService">welcome</Password>
<UseSSL>false</UseSSL>
<Folder>Inbox</Folder>
<PollingFrequency>1</PollingFrequency>
<PostReadOperation>
<MarkAsRead/>
</PostReadOperation>
</IncomingServerSettings>
</EmailAccount>
IdentityNotification BPELプロセスのコンパイルおよびデプロイ
BPELプロセスをコンパイルし、Oracle Application Server中間層のOracle BPEL Process Managerにデプロイするには、次の手順を実行します。
|
注意: Oracle BPEL Process Managerのデータベース・コネクタ機能では、Oracle Internet Directoryと接続するためにOracle Application ServerバージョンのOracle BPEL Process Managerが必要です。この機能にはスタンドアロン・バージョンのOracle BPEL Process Managerを使用できません。 |
JDeveloper BPEL Designerを開きます。「スタート」→「すべてのプログラム」→「Oracle - ORACLE_HOME」→「Oracle BPEL Process Manager 10.1.2」→「JDeveloper BPEL Designer」の順にクリックします。
JDeveloper BPEL DesignerでIdentityNotification.jprファイルを開きます。このファイルには、図10-3に示すIdentityNotification BPELプロセスが含まれています。
IdentityNotification.jprファイルは、10.2項「前提条件」で説明したidentitymanagement/IdentityNotificationフォルダ内のZIPファイル例にあります。
JDeveloper BPEL Designerのナビゲータ・ペインで、「プロジェクト」ノードを右クリックし、「デプロイ」をクリックします。
「デプロイメント・ツールの起動」をクリックします。
「デプロイ・プロパティ」ダイアログ・ボックスで、「新規」をクリックします。BPEL Process Manager接続ウィザードが表示されます。
接続名を指定し、「次へ」をクリックします。
図10-4に示すように、Oracle Application Server中間層のホスト名およびポート番号を使用して、認証の詳細を指定します。
「次へ」をクリックします。
接続をテストし、「終了」をクリックします。
パスワードを入力し、「OK」をクリックします。
これで、BPELプロセスをリモートのOracle Application Server中間層にデプロイする準備ができました。
この機能を有効にするには、次のコマンドを実行してOracle Directory Integration Platformを構成する必要があります。
dipassistant exchgalertcfg -h <oid_host> -p <oid_non-ssl_port> -profile <profile_name>
たとえば、次のようになります。
dipassistant exchgalertcfg -h stadd63 -profile testExport
スクリプトにより、次の情報を求めるプロンプトが表示されます。質問に対するデフォルトの回答はカッコ内に表示されます。デフォルト値を受け入れるには[Enter]を押します。
Account DN:(default: cn=orclAdmin) >
cn=orcladminであるスーパー・ユーザーを指定するか、Directory Integration and Provisioning Administratorsグループのメンバーである任意のユーザー(cn=dipadmingrp、cn=odi、cn=oracle internet directory)を指定します。
Account Password >
アカウント・パスワードを入力します。
User login attribute name:(default: uid) >
ログインIDがユーザーIDと異なる場合は、ログインIDを指定します。
Oracle Database URL for Alert Notification: >
データベースにアクセスするためのURLを指定します。このURLは、localhost:port:iasdb.us.oracle.comの書式にする必要があります。
Oracle Database User for Alert Notification:(default: EXCHGSYNC) >
組織アラートを受信する必要のあるデータベース・ユーザーを指定します。デフォルト値のEXCHGSYNCは「EXCHGSYNCスキーマのインストール」で作成したユーザーであるため、この値を受け入れます。
Oracle Database Password for Alert Notification: >
EXCHGSYNCユーザー・パスワードを指定します。これは、「EXCHGSYNCスキーマのインストール」で設定したパスワードです。
Microsoft Exchange Attributes to be propagated for Alert Notification:(default: mail, telephonenumber) >
組織アラートを生成する必要のある属性のカンマ区切りリストを指定します。この例では、デフォルト値のメールおよび電話番号を受け入れます。
これで、Oracle Directory Integration Platformは、Oracle Internet Directoryでユーザーのメール情報および電話番号に対する変更をチェックするようになります。BPELプロセスがこの情報を使用できるようにするには、次の項の説明に従って構成する必要があります。
IdentityNotification BPELプロセスを構成、コンパイルおよびデプロイした後で、これらの手順が正しいかどうか、またサンプルのBPELプロセスが動作しているかどうかをテストできます。これには、次の手順を実行します。
次のコマンドを実行することにより、Oracle Directory ManagerにOracle Internet Directory管理者としてログインします。
UNIXの場合:
ORACLE_HOME/bin/oidadmin
Windowsの場合:
「スタート」メニューで、「プログラム」→「ORACLE_HOME」→「Integrated Management」→「Oracle Directory Manager」の順に選択します。
同期するように設定されているコンテナ内の新しい電話番号でtelephonenumber属性を更新します。これには、次の手順を実行します。
「エントリ管理」をクリックし、変更するエントリを特定します。エントリの検索も実行できます。
|
関連資料: 『Oracle Internet Directory管理者ガイド』 |
タブ・ページの一番上で、「プロパティの表示: すべて」を選択します。
telephonenumberプロパティを検索し、変更します。
「適用」をクリックします。
適切なユーザーがこの変更に関する組織アラート電子メール・メッセージを受信するかどうかを確認します。
Oracle BPEL Controlにアクセスします。URLの書式は次のとおりです。
http://<BPEL_Host>:<BPEL_Port>/BPELConsole
telephonenumber属性の値が変更されたときに起動されたBPELプロセスを探します。
『Oracle Identity Management統合ガイド』の付録「Oracle Directory Integration and Provisioningのトラブルシューティング」を参照してください。
次に、Oracle Identity ManagementとMicrosoft Active Directoryの同期およびプロビジョニングに関する詳細情報が記載されたドキュメントへの参照のリストを示します。
Oracle Internet DirectoryとMicrosoft Active Directoryの間の同期の詳細は、『Oracle Identity Management統合ガイド』の「Oracle Directory Synchronization Service」の章
『Oracle Identity Managementインフラストラクチャ管理者ガイド』のWindows環境におけるOracle Identity Managementの統合モデルに関する項
『Oracle Identity Management統合ガイド』の「マッピング・ルールの構成」
『Oracle Identity Management統合ガイド』の「Microsoft Active Directoryとの統合用配置オプション」の章で説明されているMicrosoft Exchangeのシナリオ
次のURLにあるOTNのOracle BPEL Process Managerページの『Oracle BPEL Process Managerインストレーション・ガイド』
