|
| |
| Sun Java™ System Identity Manager 7.0 リソースリファレンス | |
Oracle ERPOracle ERP リソースアダプタは、com.waveset.adapter.OracleERPResourceAdapter クラスで定義されます。このアダプタは、Oracle E-Business Suite (EBS) のバージョン 11.5.9 および 11.5.10 をサポートします。
注
Identity Manager は、Oracle 8i、9i、および 10g をサポートする Oracle リソースアダプタも提供します。このアダプタの詳細については、「Oracle」を参照してください。
リソースを設定する際の注意事項
なし
Identity Manager 上で設定する際の注意事項
Oracle ERP リソースアダプタは、カスタムアダプタです。インストールプロセスを完了するには、次の手順を実行してください。
- Oracle リソースを Identity Manager のリソースリストに追加するには、「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加してください。
com.waveset.adapter.OracleERPResourceAdapter
- thin ドライバを使用して Oracle Real Application Cluster (RAC) に接続する場合は、「リソースパラメータ」ページの「接続 URL」に、次の形式で値を指定します。
jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)
(ADDRESS=(PROTOCOL=TCP)(HOST=host01)(PORT=1521))
(ADDRESS=(PROTOCOL=TCP)(HOST=host02)(PORT=1521))
(ADDRESS=(PROTOCOL=TCP)(HOST=host03)(PORT=1521))
(CONNECT_DATA=(SERVICE_NAME=PROD)))- Oracle Real Application Cluster を使用しない環境で JDBC thin ドライバを使用する場合は、次の手順に従います。
- ほかのドライバを使用する場合は、「リソースパラメータ」ページにドライバと接続 URL を指定します。
Oracle ERP アダプタは、追加変更なしで Oracle E-Business Suite (EBS) のバージョン 11.5.9 をサポートしますが、EBS Version 11.5.10 をサポートするには次の追加変更が必要です。
使用上の注意
ここでは、Oracle ERP アダプタに適用できる次のリソースパラメータについて説明します。
Oracle アプリケーションのユーザー管理セキュリティー
ユーザーのセキュリティーは、Oracle アプリケーション内部の次の 3 レベルで制御されます。
Oracle ERP アダプタは、機能的セキュリティーのみをサポートします。このため、このアダプタでは Oracle のデータオブジェクト、オブジェクトインスタンス、インスタンスセットの作成、更新、削除を一覧表示することはできません。また、ロールオブジェクト、ロール階層、ロールカテゴリの作成、管理もできません。
Oracle クライアント暗号化タイプ
このパラメータには、Oracle がサポートする有効な暗号化アルゴリズム名 (RC4_56、RC4_128 など) のリストを含めることができます。このリストが空の場合は、その Oracle リリースのために Oracle がサポートするすべてのアルゴリズムが使用可能になります。クライアント/サーバーは、Oracle クライアント暗号化レベルの設定に従って、これらのうちどのアルゴリズムを使用するかについてネゴシエーションを行います。
注
このタイプの暗号化をサポートするように Oracle サーバーも設定してください。
サポートされるアルゴリズムの詳細については、『Oracle Advanced Security 管理者ガイド』を参照してください。thin JDBC クライアント用の有効な値のリストについては、「SQLNET.ENCRYPTION_TYPES_CLIENT」セクションを参照してください。
Oracle クライアント暗号化レベル
この値は、サーバー/クライアントがネゴシエーションを行って適用するセキュリティーのレベルを決定します。デフォルト値 (空白のままの場合) は、ACCEPTED です。有効な値は、REJECTED、ACCEPTED、REQUESTED、および REQUIRED です。このパラメータの使用法については、『Oracle Advanced Security 管理者ガイド』および SQLNET.ENCRYPTION_CLIENT の値を参照してください。
また、このタイプの暗号化をサポートするように Oracle サーバーを設定してください。
Oracle E-Business Suite (EBS) 管理ユーザー責任
この値は、Identity Manager Oracle EBS 管理ユーザーが EBS アプリケーションの初期化ルーチンを呼び出すために使用する EBS 責任を決定します。有効な責任のリストは、fnd_responsibility_vl テーブルにあります。詳細については、Oracle EBS のマニュアルも参照してください。
Identity Manager Oracle EBS 管理ユーザーが有効な EBS システムアカウントを持ち、このパラメータの値と一致する責任を持っている場合は、接続中に作成された Oracle セッションで Oracle EBS の監査メカニズムを使用してユーザーのアクションが監査されます。たとえば、fnd_user テーブルオブジェクトの created_by フィールドと last_updated_by フィールドは、Identity Manager Oracle EBS 管理ユーザーのユーザー ID によって正しく更新されます。
セキュリティー設定属性の追加
securingAttrs アカウント属性は、Oracle E-business Suite のセキュリティー設定属性機能をサポートします。Identity Manager の「ユーザーの作成」ページでセキュリティー設定属性を設定するには、次の手順を実行します。
- 「Add Securing Attribute」チェックボックスを選択します。
- 「Enter Securing Attribute Search Pattern」テキストボックスに、使用可能な属性の選択肢を絞り込むための検索パターンを入力します。ワイルドカードとして「%」を使用します。次に、「Load Securing Attributes」ボタンをクリックします。これで「Oracle Securing Attributes」選択ボックスに属性が読み込まれます。
- ドロップダウンメニューから属性を選択すると、その属性が「Securing Attributes」テーブルに追加されます。
テーブルから削除する属性を選択して「Remove Selected Securing Attribute」ボタンをクリックすることにより、セキュリティー設定属性を削除できます。
ユーザーの有効化
Oracle EBS ユーザーを有効にするには、owner 属性の値を指定する必要があります。有効化フォームに特定の値が追加されて有効化ビューを介して送信されないかぎり、デフォルトで値 CUST が使用されます。次のコーディング例では、デフォルトの所有者を MYOWNER に変更しています。
ユーザー責任の取得
listResourceObjects の呼び出しを使用して、ユーザーの責任およびその他の Oracle EBS オブジェクトを取得できます。次の表に、サポートされるオブジェクトタイプに関する情報を示します。
Object
サポートされるオプション
コメント
auditorResps
id、activeRespsOnly
ユーザーの監査責任のリストを返します。
id は、そのリソース ID の責任が返されることを示す文字列です。
activeRespsOnly を true に設定すると、アクティブな責任のみが返されます。デフォルトは false です。
responsibilities
id、activeRespsOnly
ユーザーの責任を返します。11.5.9 でのみ有効です。
directResponsibilities
id、activeRespsOnly
ユーザーの直接的な責任を返します。11.5.10 でのみ有効です。
indirectResponsibilities
id、activeRespsOnly
ユーザーの間接的な責任を返します。11.5.10 でのみ有効です。
responsibilityNames
なし
ユーザーに割り当てられた責任名のリストを返します。
applications
responsibilityName
責任名が指定されていない場合は、ユーザーに割り当てられたすべてのアプリケーションが返されます。
securityGroups
application
アプリケーションが指定されていない場合は、ユーザーに割り当てられたすべてのセキュリティーグループが返されます。
account
activeAccountsOnly
ユーザーのアカウントのリストを返します。true に設定すると、アクティブなアカウントのみが返されます。デフォルトは false です。
securingAttrs
searchPattern
指定された検索パターンと一致するセキュリティー設定属性のリストを返します。パターンが指定されなかった場合は、すべてのセキュリティー設定属性が返されます。
次のコーディング例では、ユーザーフォームにアクティブな責任を返すフィールドを追加しています。USER_NAME と RESOURCE_NAME は有効な値に置き換えてください。auditorResps は、responsibilities、directResponsibilities、または indirectResponsibilites に置き換えることができます。
<Field name='respNames' type='string'>
<Display class='Text'>
<Property name='title' value='Oracle ERP Responsibilities'/>
</Display>
<Expansion>
<invoke name='listResourceObjects' class='com.waveset.ui.FormUtil'>
<ref>display.session</ref>
<s>auditorResps</s>
<s>RESOURCE_NAME</s>
<map>
<s>id</s>
<s>USER_NAME</s>
<s>activeRespsOnly</s>
<s>true</s>
<s>attrsToGet</s>
<list>
<s>name</s>
</list>
</map>
<s>null</s>
</invoke>
</Expansion>
</Field>
責任の監査
ユーザーに割り当てられた責任のサブ項目 (フォーム、機能など) を監査するには、スキーママップに auditorObject を追加します。auditorObject は、一連の responsibility オブジェクトを含む複合属性です。次の属性は、常に責任オブジェクトに返されます。
「SOB または組織、あるいはその両方を返す」リソースパラメータを TRUE に設定すると、次の属性も返されます。
responsibility 属性、setOfBooksName 属性、setOfBooksId 属性、organizationalUnitId 属性、および organizationalUnitName 属性を除き、属性名はスキーママップに追加できるアカウント属性名と一致します。アカウント属性には、ユーザーに割り当てられた値の集合が含まれています。responsibility オブジェクトに含まれている属性は、その責任に固有のものです。
auditorResps[] ビューは、responsibility 属性へのアクセスを提供します。次に示すフォームの部分は、ユーザーに割り当てられたすべてのアクティブな責任 (およびそれらの属性) を返します。
<defvar name='audObj'>
<invoke name='get'>
<ref>accounts[Oracle ERP 11i VIS].auditorObject</ref>
</invoke>
</defvar>
<!-- this returns list of responsibility objects -->
<defvar name='respList'>
<invoke name='get'>
<ref>audObj</ref>
<s>auditorResps[*]</s>
</invoke>
</defvar>
たとえば、次のようにします。
セキュリティーに関する注意事項
ここでは、サポートされる接続と特権の要件について説明します。
サポートされる接続
Identity Manager は、次のいずれかのドライバを使用して Oracle アダプタと通信できます。
Oracle アプリケーションのストアドプロシージャーでは、プロビジョニングで使用される一部のストアドプロシージャーに暗号化されていないパスワードを渡す必要があるため、Identity Manager と Oracle アプリケーションリソースの間に暗号化された通信を実装するようにしてください。
特定のバージョンの Oracle RDBMS およびドライバが提供する暗号化のサポートレベルを検証するには、Oracle のマニュアル『Oracle Advanced Security 管理者ガイド』および使用している JDBC ドライバのマニュアルをお読みください。
Oracle EBS のアクセス権
Oracle E-Business Suite では、次のテーブルとストアドプロシージャーに対するアクセス権が必要です。
テーブル
ストアドプロシージャー
apps.ak_attributes
apps.ak_attributes_tl
apps.ak_web_user_sec_attr_values
apps.fnd_application
apps.fnd_application_tl
apps.fnd_application_vl
apps.fnd_profile
apps.fnd_responsibility
apps.fnd_responsibility_vl
apps.fnd_security_groups
apps.fnd_security_groups_tl
apps.app_exception.raise_exception
apps.fnd_global.apps_initialize
apps.fnd_global.user_id
apps.fnd_message.get
apps.fnd_message.get_token
apps.fnd_message.set_name
apps.fnd_message.set_token
apps.fnd_profile.get
apps.fnd_user_pkg.AddResp
apps.fnd_user_pkg.CreateUser
apps.fnd_user_pkg.DisableUser
apps.fnd_security_groups_vl
apps.fnd_user
apps.fnd_user_resp_groups
apps.icx_parameters
apps.fnd_user_pkg.DelResp
apps.fnd_user_pkg.UpdateUser
apps.fnd_user_pkg.user_synch
apps.fnd_user_pkg.validatelogin
apps.fnd_user_resp_groups_api.assignment_exists
apps.fnd_user_resp_groups_api.insert_assignment
apps.fnd_user_resp_groups_api.update_assignment
apps.fnd_web_sec.change_password
apps.fnd_web_soc.create_user
apps.fnd_web_sec.validation_login
apps.icx_user_sec_attr_pub.create_user_sec_attr
apps.icx_user_sec_attr_pub.delete_user_sec_attr
Oracle によれば、Oracle EBS システム (fnd_user_pkg ストアドプロシージャーを含む) は、ORACLE EBS システムを APPS ユーザーとして管理するのに使用するように設計されました。Oracle は、代替管理ユーザーの作成を推奨していません。ただし、APPS 以外のユーザーで Oracle EBS を管理する必要がある場合は、Oracle にお問い合わせください。
代替管理ユーザーには、APPS ユーザーがすべての Oracle データ (テーブル、ビュー、ストアドプロシージャーを含む) に対して持っているのと同じアクセス権を与えてください。
また、そのユーザーにシノニムを設定して、APPS ユーザーがアクセス権を持っているテーブルにアクセスできるようにする必要があります。別のユーザーを使用し、そのユーザーに必要な許可とシノニムがまだない場合は、次のエラーが発生する可能性があります。
Error: ORA-00942: table or view does not exist
エラーを修正するには、必要な許可とシノニムを与えます。次のディレクトリに、サンプルの SQL*Plus スクリプトがあります。
$WSHOME/sample/other/CreateLHERPAdminUser.oracle
このスクリプトは、必要に応じて変更して、代替 Oracle EBS 管理ユーザーを作成するために使用できます。使用手順は、スクリプトの先頭部分のコメントに記載されています。
パススルー手順の場合のみ、次の SQL コマンドを実行するために権限が必要です。
create or replace function wavesetValidateFunc1 (username IN varchar2, password IN varchar2)
RETURN varchar2 IS ret_val boolean;
BEGIN ret_val := apps.FND_USER_PKG.ValidateLogin(username, password);
IF ret_val = TRUE THEN RETURN 'valid';
ELSE RETURN NULL;
END IF;
END wavesetValidateFunc1;プロビジョニングに関する注意事項
次の表に、このアダプタのプロビジョニング機能の概要を示します。このアダプタは、サポートされるプロビジョニング操作中に直接的なテーブル更新を発行しません。
機能
サポート状況
ユーザーの作成。
使用可
開始日と終了日の設定。
使用可
パスワードアクセス制限の設定。
使用可
パスワード有効期限の設定。
使用可
パスワードの変更またはリセット。
使用可。
ユーザーレコードに対する従業員 ID (HRMS リンク) の設定。
使用可
ユーザーアカウントの Email 属性および Fax 属性の設定。
使用可
ユーザーレコードに対する顧客 ID またはサプライヤ ID の設定。
使用可
ユーザーに対する 1 つ以上の直接的な責任の割り当て。
使用可
ユーザーアカウントに対するセキュリティー設定属性の割り当て。
使用可
ユーザーに割り当てられた責任の削除または編集。
使用可。
注意: 責任は、実際には削除されるのではなく、期限切れ (無効) になります。
アカウントの無効化。
使用可
アカウントの再有効化。
使用可
アカウントの削除。
使用可。アカウントは、実際には期限切れ (無効) になります。
パススルー認証。
使用可
データ読み込みメソッド: 調整、ファイルへの抽出、リソースから読み込み、ファイルから読み込み。
調整
リソースから読み込み
FND_USER テーブルのプロビジョニング。
使用可
Oracle HRMS のプロビジョニング。
使用不可
create における FND_USER レコードの Oracle HRMS へのリンク。
使用可
メニュー定義または個々の責任の管理。
使用不可
間接的な責任の割り当て。
使用不可。間接的な責任は読み取れますが、割り当てられません。
ユーザーセッション制限の設定 (ICX: Session Timeout、ICX: Limit Time、ICX: Limit Connect)。
使用不可
RBAC オブジェクトと割り当て。
使用不可
特定のデータオブジェクト、データオブジェクトインスタンス、またはインスタンスセットに対するアクセス権セットの許可の使用。
使用不可
前アクションと後アクション。
使用不可
アカウントの名前変更。
使用不可
アカウント属性
デフォルトの属性
次の表に、デフォルトの Oracle ERP アカウント属性の一覧を示します。すべての属性が省略可能です。
リソースユーザー属性
データの種類
説明
owner
String
アカウントを作成した管理者。
start_date
String
アカウントが有効になる日付。
end_date
String
アカウントが期限切れになる日付。
アカウントを無効にするには、日付を過去の日付に設定します。
有効期限がないことを示すには、NULL 値を指定します。
Oracle EBS サーバーのローカル時間を使用してユーザーの有効期限を指定するには、end_date とともに sysdate または SYSDATE キーワードを使用します。
description
String
ユーザーの説明 (フルネームなど)。
password_date
String
最後にパスワードを変更した日付スタンプ。
Oracle ERP アダプタは、password_lifespan_days 属性の値を評価するときに、この日付スタンプを使用できます。たとえば、password_lifespan_days 属性に 90 を設定した場合、Oracle ERP は最後のパスワード変更日付 (password_date) に 90 日を加算して、パスワードが期限切れかどうかを判定します。
Oracle ERP アダプタは、パスワードの変更を行うたびに password_date を現在の日付に設定します。
password_accesses_left
String
ユーザーが現在のパスワードを使用できる回数。
password_lifespan_accesses
String
パスワードの有効期間中のアクセス数。
password_lifespan_days
String
パスワードの有効期間の合計日数。
employee_id
String
アプリケーションユーザー名が割り当てられた従業員の ID。
employee_number
String
per_people_f テーブルの employee_number を表します。
create で値を入力すると、アダプタは per_people_f テーブルでユーザーレコードを検索し、person_id を取得して create API に渡し、fnd_user テーブルの employee_id 列に person_id を挿入しようとします。
create で employee_number を入力しなかった場合、リンクは行われません。
create で employee_number を入力し、その番号が見つからない場合、アダプタは例外をスローします。
employee_number がアダプタのスキーマにある場合、アダプタは、getUser で employee_number を返そうとします。
email_address
String
ユーザーの電子メールアドレス。
fax
String
ユーザーのファックス番号。
customer_id
String
ユーザーの顧客 ID。
supplier_id
String
ユーザーのサプライヤ ID。
responsibilities
String
ユーザーに割り当てられた責任の名前。Oracle EBS 11.5.9 でのみ有効です。
Oracle EBS サーバーのローカル時間を使用して責任の有効期限を指定するには、to_date とともに sysdate または SYSDATE キーワードを使用します。
responsibilityKeys
String
ユーザーの責任のリストに関連付けられたキー。
securingAttrs
String
セキュリティー設定属性のサポートを追加します。
expirePassword
Boolean
パスワードが期限切れになるかどうかを示します。
directResponsibilities
String
ユーザーの直接的な責任を返します。11.5.10 でのみ有効です。
indirectResponsibilities
String
ユーザーの間接的な責任を返します。11.5.10 でのみ有効です。
追加属性
Oracle ERP アダプタでは、Identity Manager が責任の変更を監査するために使用できる複数の読み取り専用属性を追加できます。auditorResps 属性に返される値は、そのユーザーのアクティブな責任です。次の表に示す auditorObject 以外のすべての属性は、各責任のサブ項目から、存在する可能性があるメニューや機能をすべて差し引いた集合です。
auditorObject 属性も追加できます。この属性の詳細については、「責任の監査」を参照してください。
次の表に、スキーママップに追加できる属性の一覧を示します。
属性
説明
auditorResps
ユーザーのアクティブな責任のリスト。
formIds
すべてのフォーム ID を連結します。readOnlyFormIds および readWriteOnlyFormIds によって返される値を含んでいます。
formNames
すべてのフォーム名を連結します。readOnlyFormNames および readWriteOnlyFormNames によって返される値を含んでいます。
functionIds
すべての機能 ID を連結します。
functionNames
すべての機能名を連結します。
menuIds
すべてのメニュー ID を連結します。
readOnlyFormIds
すべての読み取り専用フォーム ID を連結します。
readOnlyFormNames
すべての読み取り専用フォーム名を連結します。
readOnlyFunctionNames
すべての読み取り専用機能名を連結します。
readOnlyUserFormNames
すべての読み取り専用ユーザーフォーム名を連結します。
readWriteOnlyFormIds
すべての読み取り/書き込み専用フォーム ID を連結します。
readWriteOnlyFormNames
すべての読み取り/書き込み専用フォーム名を連結します。
readWriteOnlyFunctionNames
すべての読み取り/書き込み専用機能名を連結します。
readWriteOnlyUserFormNames
すべての読み取り/書き込み専用ユーザーフォーム名を連結します。
userFormNames
すべてのユーザーフォーム名を連結します。readOnlyUserFormNames および readWriteOnlyUserFormNames によって返される値を含んでいます。
userFunctionNames
すべてのユーザー機能名を連結します。
userMenuNames
すべてのユーザーメニュー名を連結します。
リソースオブジェクトの管理
Identity Manager は、次のネイティブオブジェクトをサポートしています。
リソースオブジェクト
サポートされる機能
管理対象オブジェクト
responsibilityNames
更新
name、userMenuNames、menuIds、userFunctionNames、functionIds、formIds、formNames、userFormNames、readOnlyFormIds、readWriteOnlyFormIds、readOnlyFormNames、readOnlyUserFormNames、readWriteOnlyFormNames、readWriteOnlyUserFormNames、functionNames、readOnlyFunctionNames、readWriteOnlyFunctionNames
アイデンティティーテンプレート
$accountId$
サンプルフォーム
組み込みのフォーム
なし
その他の利用可能なフォーム
OracleERPUserForm.xml
トラブルシューティング
Identity Manager のデバッグページを使用して、次のクラスにトレースオプションを設定します。