リリース12
E05390-02
目次
前へ
次へ
| Oracle Applications概要 リリース12 E05390-02 | 目次 | 前へ | 次へ |
認証の対象は幅広く、様々なテクノロジおよびコンポーネントが含まれます。ここでは、主要なアーキテクチャの概念と、組織に必要な認証レベルを設定する上で必要な意思決定について概要を説明します。
注意: 関連する認証および承認ドキュメントの詳細なリストは、OracleMetaLinkのNote 380482.1の「Oracle Application Server with Oracle E-Business Suite Release 12 Documentation Roadmap」を参照してください。
Oracle E-Business Suiteユーザーの認証は、従来のFND_USERメカニズムを使用して、複雑な設定が不要の簡単明瞭な構成にできます。あるいは、シングル・サインオンやOracle PortalおよびOracle Discovererなどのオプション製品の使用といった、様々な追加機能および高度化レベルを含めることができます。システム管理者は、設定と保守の単純さ、企業全体のアプリケーションに1箇所からアクセスする必要性の有無、サード・パーティ・ユーザー・ディレクトリとの統合能力、および組織の全体的なセキュリティ要件などの要素を考慮して、インストールに最適なソリューションを選択できます。
簡潔に説明している拡張機能には、ユーザー・プロファイル情報を企業全体で自動的に同期化し続けるためのタスク、およびOracle E-Business Suiteリリース12の複数のアプリケーション・アカウントにOracle Internet Directoryのアカウントをリンクするために必要なステップがあります。
重要: この章で説明するシングル・サインオンなどの拡張認証機能は、Oracle E-Business Suiteリリース12ではオプションです。使用する場合は、後述のようにして必要な追加設定手順を実行する必要があります。
ここで説明しているソリューションでは、承認の問題には触れていません。ユーザーが認証されると、Oracle E-Business Suiteリリース12は、ユーザーがログインしているアプリケーション・アカウントに関連付けられた承認情報を取り出します。アプリケーション・アカウントの承認情報は、Applications職責によって管理されます。Oracle E-Business Suiteリリース12では、ユーザー・セッション中に必要となった場合に承認チェックが適用されます。
Oracle Application Server 10g のオプション・コンポーネントをOracle E-Business Suiteリリース12とともに使用する利点は、次のとおりです。
分散アーキテクチャにより、パフォーマンスの向上、スケーラビリティおよび高可用性が得られます。
複数のリリース12インスタンスで動作するWebプロバイダに単一企業ポータルを接続できます。
すべてのリリース12 Applications製品に対して、シングル・サインオンが一様にサポートされます。
Oracle Internet DirectoryとFND_USERが双方向に同期化されます。
Oracle Internet Directoryのシングル・サインオン・ユーザーIDがリリース12のユーザーIDと異なる環境で、実行中のリンクがサポートされます。
シングル・サインオン・ユーザーIDが1つ以上のリリース12のユーザーIDに関連付けられている可能性がある環境で、1対多がサポートされます。
ブックマーク付けが可能なURLがあり、ここで、アプリケーション・ナビゲータ・ポートレットにより、ユーザーを認証し、必要に応じてApplicationsセッションを作成するリンクが生成されます。
サード・パーティのシングル・サインオン・サービス(Netegrity、Tivoli、Entrustなど)およびSunONE/iPlanetやMicrosoft Active DirectoryなどのLightweight Directory Access Protocol(LDAP)V.3ディレクトリと統合されます。
複数ノードのロード・バランス構成、Oracle Real Application Clusters(Oracle RAC)およびその他の分散アーキテクチャを含む、より高度な配置トポロジもサポートされています。
注意: 追加オプションの詳細は、『Oracle Applicationsシステム管理者ガイド - セキュリティ』の第6章を参照してください。
Oracle Portal(Oracle Application Server 10g の一部)は、企業クラス・ポータルを開発、配置、管理および構成するための、完全なブラウザ・ベース環境です。Oracle Portalでは、完全なポータル構築フレームワークに、ポータル内部でアクセスされる情報の作成と管理を容易にするセルフサービス公開機能が組み込まれています。単純な部門レベルの公開ポータルから、顧客および従業員の両方に対応するインターネットにアクセス可能なポータルまで、様々なポータル・インタフェースおよび構成が可能です。Oracle Application Serverの他のコンポーネントおよびOracleデータベースとの密接な統合により、このソリューションは企業クラスのユーザーに対応できます。
注意: Oracle PortalとE-Business Suiteリリース12の統合の詳細は、OracleMetaLinkのNote 380484.1の「Using Oracle Portal 10g with Oracle E-Business Suite Release 12」を参照してください。
組織のすべてのレベルのビジネス・ユーザーが、Discoverer 10.1.2を使用してデータ・マート、データ・ウェアハウスおよびオンライン・トランザクション処理(OLTP)システムの情報に直接アクセスできます。Discoverer 10.1.2により、ビジネス・アナリストは非定型の問合せおよびレポートを作成できます。一時的ユーザーは、広範な事前定義のレポートやグラフを利用して、レポートの対象となる基礎データ構造の複雑性が表面に現れないビジネス・ビューを得ることができます。
Discoverer 10.1.2は、Oracle E-Business Suiteリリース12と緊密に統合されています。リリース12のユーザーは、Discovererを使用して、Financials、Operations、Human Resources、Purchasing、Process Manufacturing、Activity Based Managementなどの選択したビジネス・エリアのデータを分析できます。
Discovererは、Discoverer 10.1.2をOracle Business Intelligence Server 10g リリース2とともにスタンドアロンのアプリケーション層サーバー・ノードにインストールするか、既存のアプリケーション層サーバー・ノード上の独立したOracle Business Intelligence Server 10g リリース2のORACLE_HOMEにインストールすることで、既存のOracle E-Business Suiteリリース12環境に統合できます。
注意: Oracle DiscovererをOracle E-Business Suiteリリース12とともに使用する方法の詳細は、OracleMetaLinkのNote 373634.1の「Using Discoverer 10.1.2 with Oracle E-Business Suite Release 12」を参照してください。
シングル・サインオン機能を使用すると、単一のユーザーIDを使用して、Oracle E-Business Suiteおよびその他のアプリケーションにアクセスできます。個々のアプリケーションに別々にログインする必要はありません。Oracle E-Business Suiteでは、Oracle Single Sign-On、Oracle Internet Directory(OID)およびOracle Portalを利用してシングル・サインオン機能を使用できます。
エンタープライズワイドなシングル・サインオン・ソリューションを実装するには、Oracle E-Business Suiteリリース12ユーザーの認証に使用されるメカニズムに大幅な変更を加える必要があります。FND_USER表を使用した固有の方法で認証を実行するかわりに、この機能はOracle Single Sign-Onに委任されます。Oracle Single Sign-Onでは、次のいずれかを実行できます。
Oracle Internet Directoryに格納された情報と照合してユーザー検証自体を実行します。
サード・パーティのシングル・サインオン・サーバーに検証を委任します。
Oracle E-Business Suiteリリース12では、このいずれかのソリューションを使用して、シングル・サインオン・メカニズムにより保証された識別情報を受け入れます。Oracle Internet Directoryは、Oracle E-Business Suiteリリース12が企業レベル・ユーザー管理に関わることのできる統合ポイントとなることで、補完的な役割を果たしています。
注意: サード・パーティのシングル・サインオン・サーバーが使用中の場合でも、E-Business Suiteリリース12とサード・パーティのシングル・サインオン・ソリューションとの中継用に、Oracle Single Sign-OnおよびOracle Internet Directoryが必要です。
各E-Business Suiteインスタンスでは、登録済ユーザーのレコードが、従来のアプリケーション・アカウントの形式で保守されている必要があります。ただし、企業レベル・ユーザーに必要な抽象化レベルには、企業全体でユーザーを一意に識別できるメカニズムが必要です。これは、Global Unique Identifier(GUID)によって実現します。Oracle Internet DirectoryおよびOracle E-Business Suiteには、企業レベル・ユーザーごとにGUID情報が格納されています。GUIDは、Oracle Internet DirectoryおよびOracle E-Business Suiteの両方で認識される識別バッジとみなすことができます。
こうした環境のもう1つの要件は、明確に定義された場所でユーザー登録を1回のみ実行し、ユーザーがその後で企業のその他のユーザーに認識されることです。2つの追加機能により、次のことが可能になります。
Oracle Internet Directoryとサード・パーティのLDAPサーバーとの間の同期化プロセスによる、企業全体におけるアプリケーション情報の自動伝播のサポート。
Oracle Internet DirectoryとOracle E-Business Suiteリリース12との間の供給プロセスによる、企業全体におけるユーザー情報の自動伝播のサポート。
外部または第三者のユーザー・ディレクトリにあるユーザー情報は、LDAPプロトコルを使用したOracle Internet Directoryとの同期化が可能です。Oracle Internet Directoryを使用すると、集中保管場所にあるOracle E-Business Suiteを含む、様々なアプリケーション・システムが参照可能なユーザー情報を管理および公開できます。
Oracle E-Business Suiteをシングル・サインオン環境に統合する際に生じる複雑さの大部分は、以前独立していたシステムを統合した結果として、シングル・サインオン環境の断片化または重複したユーザー・データを連結する必要があることが原因です。
ここで説明しているソリューションは、GUIDを使用して既存のデータをまとめてリンク付けするメカニズムを提供します。さらに、統合されたシングル・サインオン環境へ移行するときに、バルク移行ツールを使用して、Oracle Internet DirectoryとE-Business Suiteの間で多数のユーザーを移動できます。
Oracle Internet DirectoryとE-Business Suiteリリース12の間でユーザー証明書を完全に同期化するには、関連するOracle Application Server 10g コンポーネントを配置する必要があるので注意してください。
注意: Oracle Single Sign-OnおよびOracle Internet Directoryによってシングル・サインオンを実装する方法の詳細は、『Oracle Applicationsシステム管理者ガイド - セキュリティ』の第6章およびOracleMetaLinkのNote 376811.1の「Using Oracle Application Server 10g with Oracle E-Business Suite Release 12」を参照してください。
Application Server 10g は統合ハブとして機能することができ、これによって、Oracle E-Business Suiteをその他の企業ソフトウェア(サード・パーティ・ベンダーのソフトウェアを含む)と連動させることができます。
図8-1 Application Server統合アーキテクチャ
デフォルトで、リリース12では引き続きローカルのE-Business Suiteユーザー・ディレクトリ(FND_USER)をユーザー認証に使用します。オプションで、リリース12のユーザー認証を、外部で動作しているSingle Sign-On 10g とOracle Internet Directory 10g に委任できます。
リリース12を、サード・パーティのLDAP(Microsoft Active DirectoryまたはSunONE/iPlanet)あるいはサード・パーティのシングル・サインオン・ソリューション(Microsoft Windows KerberosまたはNetegrity SiteMinderなど)に統合できます。これには、前述のダイアグラムに示されているように、選択したサード・パーティのソリューションを外部のOracle Application Server 10g インスタンスを介して統合する必要があります。リリース12では、ユーザー認証をOracle Single Sign-Onに委任し、Oracle Single Sign-Onはサード・パーティのシングル・サインオン・ソリューションに認証を委任します。
逆に、サード・パーティのLDAPのユーザー情報はOracle Internet Directory 10g と同期化する必要があり、これがそのユーザーをE-Business SuiteのFND_USERディレクトリと同期化します。同期化はOracle Directory Integration Platformにより処理されます。
この項では、既存のOracle E-Business Suiteインスタンスが新規Oracle Single Sign-OnおよびOracle Internet Directoryインフラストラクチャに統合される単純な配置シナリオについて、概略を説明します。それに続く説明では、サード・パーティのシングル・サインオン・ソリューションの有無または複数のユーザー・リポジトリの有無など、追加要素を考慮しています。
注意: この項では、すべてのインストールに適用される共通タスクの高レベルな概要を説明しています。特定のサイトの要件に必要となる正確なステップは、さらに詳細なものになります。
このシナリオの開始点は、既存のOracle E-Business Suiteリリース12インストールと、別のマシン上にある新規のOracle Application Server 10g インストール(Oracle Single Sign-OnおよびOracle Internet Directoryを含む)です。
Oracle Internet Directoryには現在、事前シード済のユーザー以外に既存のユーザーは存在せず、Oracle Portalは実装されていません。Oracle E-Business Suiteリリース12を、Oracle Single Sign-OnおよびOracle Internet Directoryに統合する必要があります。
主な目標
Oracle E-Business Suiteリリース12が、ユーザー・サインオンおよび認証をOracle Single Sign-Onに委任します。
Oracle Single Sign-Onが、Oracle Internet Directoryのユーザー・エントリと照合してユーザー証明書を認証します。
Oracle Internet Directoryが、すべてのユーザーのシングル・サインオン・アカウントIDおよびパスワードを格納します。
図8-2 Oracle Single Sign-OnおよびOracle Internet Directoryと組み合せたE-Business Suiteの配置
ユーザー管理オプション
既存のOracle E-Business Suiteリリース12アプリケーション・アカウントは、バルク移行ツールを使用して、Oracle Internet Directoryのシングル・サインオン・アカウントに移行されます。移行の後、システム管理者には、ユーザー情報の作成場所およびユーザー情報の供給(送信)先に関連する、数多くのユーザー管理オプションが用意されています。
オプション1
ユーザー情報はすべて、Oracle E-Business Suiteリリース12で作成され、Oracle Internet Directoryに供給されます。
図8-3 E-Business SuiteからOracle Internet Directoryへのユーザー情報の供給
Oracle E-Business Suiteリリース12で新規アプリケーション・アカウントを作成すると、Oracle Internet Directoryで新規シングル・サインオン・アカウントの作成が自動的にトリガーされます。アプリケーション・アカウントのユーザー属性の一部は、アカウントの作成時にOracle Internet Directoryのシングル・サインオン・アカウントに供給される場合があります。
オプション2
ユーザー情報はすべて、Oracle Internet Directoryで作成され、Oracle E-Business Suiteリリース12に供給されます。
Oracle E-Business Suiteリリース12は、供給統合アプリケーションとして、Oracle Internet Directoryとともに構成されます。
図8-4 Oracle Internet DirectoryからE-Business Suiteへのユーザー情報の供給
Oracle Internet Directoryで新規アプリケーション・アカウントを作成すると、Oracle E-Business Suiteリリース12で新規シングル・サインオン・アカウントの作成が自動的にトリガーされます。シングル・サインオン・アカウントのユーザー属性の一部は、アカウントの作成時にOracle Internet Directoryのアプリケーション・アカウントに供給される場合があります。
オプション3
ユーザー情報はすべて、Oracle Internet DirectoryまたはOracle E-Business Suiteリリース12のいずれかで作成され、その他のシステムに供給されます。
Oracle E-Business Suiteリリース12は、供給統合アプリケーションとして、Oracle Internet Directoryとともに構成されます。
システム管理者は、供給プロファイルによって供給統合を構成します。
図8-5 E-Business SuiteとOracle Internet Directoryの間のユーザー情報の供給
リリース12で新規アプリケーション・アカウントを作成すると、Oracle Internet Directoryの新規シングル・サインオン・アカウントの作成が自動的にトリガーされ、Oracle Internet Directoryで新規シングル・サインオン・アカウントを作成すると、リリース12の新規アプリケーション・アカウントの作成が自動的にトリガーされます。
アカウントの作成時に、アプリケーション・アカウントのユーザー属性の一部がOracle Internet Directoryのシングル・サインオン・アカウントに供給される場合があり、シングル・サインオン・アカウントのユーザー属性の一部がOracle Internet Directoryのアプリケーション・アカウントに供給される場合があります。
ユーザー属性の同期化
前述の3つのオプションのすべてについて、ユーザー属性セットがどちらかのシステムから更新されるときに、オプションでOracle E-Business Suiteリリース12とOracle Internet Directoryの間で同期化できます。これは、供給プロファイルを設定して行います。
サインオン
Oracle E-Business Suiteリリース12環境にアクセスを試みた場合、Oracle Single Sign-Onで認証されていないユーザーは、Single Sign-Onログイン・ページに誘導されます。このページは、個々のサイトにあわせてカスタマイズできます。
Oracle Single Sign-Onにより認証された後(または以前に認証が実行済である場合)、ユーザーは、要求されたページまたはOracle E-Business Suiteリリース12のユーザーのホーム・ページに再度誘導されます。
サインアウト
ユーザーがOracle E-Business Suiteインスタンスをログアウトした場合、このユーザーは、Oracle Single Sign-OnおよびOracle Single Sign-Onに統合されたパートナ・アプリケーションからもログアウトします。ユーザーには、正常にログアウトしたすべてのアプリケーションがリストされたログアウト・ページが表示されます。
セッション・タイムアウト
シングル・サインオン環境における異なるセッションのタイムアウトの動作について理解し、適切なセキュリティ・レベルが保守されるようにすることが重要です。
ユーザーのアプリケーション・セッションがタイムアウトになり、シングル・サインオン・セッションがタイムアウトになっていない場合、Oracle Single Sign-Onに誘導され、その後Oracle E-Business Suiteに戻ります。再認証を要求するプロンプトは表示されません。
ユーザーのアプリケーション・セッションおよびシングル・サインオン・セッションが両方ともタイムアウトになった場合、ユーザーは再認証するためのシングル・サインオン・ログイン・ページに誘導され、その後Oracle E-Business Suiteに戻ります。
ユーザーのアプリケーション・セッションがタイムアウトになる(または明示的にログアウトする)までは、Oracle Single Sign-OnセキュリティCookieが失効した場合でも、引き続きパートナ・アプリケーションにアクセスできます。アプリケーション・セッションのタイムアウト値は、Single Sign-Onのタイムアウト設定より優先されるため、アプリケーション・セッションのタイムアウト値を、Oracle Single Sign-Onのタイムアウト値以下に設定することをお薦めします。
この項では、他の4つの配置シナリオについて概略を説明します。現実の配置はすべて一意であり、詳細な計画が必要であるため、ここで示すガイドラインは、決定的な指示ではなく高レベルな戦略を示したものとして考える必要があります。解決策の概略は、前述の基本的なシナリオに基づいています。
シナリオ1
要件: Oracle E-Business Suiteリリース12でOracle Single Sign-Onを使用可能にする必要があります。
開始時の環境
複数の新規Oracle E-Business Suiteリリース12環境がインストールされています。
デフォルトの管理アカウントを除いて、ユーザー・アカウントは登録されていません。
Oracle Portalは実装されていません。
シングル・サインオン・インフラストラクチャが所定の位置にありません。
解決策
必要な統合を行うには、Oracle Application Server 10gおよびOracle Single Sign-OnとOracle Internet Directoryが必要です。
Oracle E-Business Suiteリリース12が、ユーザー・サインオンおよび認証をOracle Single Sign-Onに委任します。
Oracle Single Sign-Onが、Oracle Internet Directoryのユーザー・エントリと照合してユーザー証明書を認証します。
Oracle Internet Directoryに、すべてのユーザーのシングル・サインオン・アカウントIDおよびパスワードが含まれます。
Oracle Internet Directoryまたは1つのOracle E-Business Suiteリリース12インスタンスを、ユーザー登録のソースとして指定できます。この場合、次の影響があります。
Oracle Internet Directoryがソースの場合、ユーザー・アカウントの詳細は、供給プロセスによって各Oracle E-Business Suiteインスタンスに伝播できます。
Oracle E-Business Suiteインスタンスがソースの場合、供給プロセスによって、ユーザー・アカウントがそのインスタンスからOracle Internet Directoryに伝播され、その後に他のOracle E-Business Suiteインスタンスに伝播されます。
オプションで、Oracle E-Business Suiteリリース12インスタンスのユーザー・プロファイル情報は、Oracle Internet Directoryの情報と同期化された状態を保持できます。
シナリオ2
要件: Oracle E-Business Suiteリリース12の新規インストールを、既存のサード・パーティのシングル・サインオンおよびユーザー・ディレクトリ・インフラストラクチャに統合する必要があります。
開始時の環境
Oracle E-Business Suiteリリース12が、Rapid Installウィザードを使用して新規にインストールされています。
デフォルトの管理アカウントを除いて、ユーザー・アカウントは登録されていません。
Oracle Portalは実装されていません。
Netegrity SiteMinderなどのサード・パーティのシングル・サインオン・ソリューションが、企業のシングル・サインオン・ソリューションとして使用されています。
SunONE/iPlanetなどのサード・パーティのLDAPディレクトリが、企業のユーザー・ディレクトリとして使用されています。
解決策
統合には、Oracle Application Server 10g(Oracle Single Sign-OnおよびOracle Internet Directoryを含む)が必要です。
Oracle E-Business Suiteが認証をOracle Single Sign-Onに委任し、Oracle Single Sign-Onが認証機能を使用中のサード・パーティのシングル・サインオン・サーバーに委任するように、Oracle E-Business SuiteおよびOracle Single Sign-Onを設定する必要があります。
Oracle Internet Directoryは、シングル・サインオンによりOracle E-Business Suiteにアクセスするすべてのユーザーに関して、サード・パーティのLDAPディレクトリからの最小限の情報セットを同期化するように設定する必要があります。
また、Oracle Internet Directoryは、Oracle Internet DirectoryのユーザーをOracle E-Business Suiteに提供するよう設定する必要があります。
図8-6 E-Business Suiteのサード・パーティのシングル・サインオンおよびユーザー・ディレクトリとの統合
サード・パーティのLDAPディレクトリに含まれる既存のユーザーは、Oracle Internet Directoryへバルク移行し、その後Oracle E-Business Suiteにバルク移行できます。
オプションで、Oracle E-Business Suiteのユーザー・プロファイル情報は、サード・パーティのLDAPディレクトリの情報と同期化された状態を保持できます。
シナリオ3
要件: 既存のOracle E-Business Suiteリリース12を、既存のサード・パーティのシングル・サインオンおよびユーザー・ディレクトリ・インフラストラクチャに統合する必要があります。
開始時の環境
Oracle E-Business Suiteリリース12が使用されており、最新のユーザー・リポジトリが含まれます。
Oracle Portalは実装されていません。
Netegrity SiteMinderなどのサード・パーティの企業シングル・サインオン・ソリューションが使用されており、そのまま保持されます。
SunONE/iPlanetなどのサード・パーティのLDAPディレクトリが、企業のユーザー・ディレクトリとして配置されており、そのまま保持されます。
実装の開始時は、Oracle E-Business Suiteリリース12およびサード・パーティのLDAPディレクトリの両方に特定のユーザーが存在する場合があり、どちらのユーザー名も同じであるか、それぞれ別のユーザー名となります。
解決策
統合には、Oracle Application Server 10g(Oracle Single Sign-OnおよびOracle Internet Directoryを含む)が必要です。
Oracle E-Business Suiteが認証をOracle Single Sign-Onに委任し、Oracle Single Sign-Onが認証機能をサード・パーティのシングル・サインオン・サーバーに委任するように、Oracle E-Business SuiteおよびOracle Single Sign-Onを設定する必要があります。
Oracle Internet Directoryは、シングル・サインオンによりOracle E-Business Suiteにアクセスするユーザーに関して、サード・パーティのLDAPディレクトリからの最小限の情報セットを同期化するように設定する必要があります。
サード・パーティのLDAPディレクトリに含まれる既存のユーザーは、Oracle Internet Directoryへバルク移行できます。
Oracle E-Business Suiteおよびサード・パーティのLDAPディレクトリの既存のアカウントをリンク付けできます。
適切な計画により、新規ユーザーをサード・パーティのLDAPディレクトリからOracle Internet Directoryへ同期化し、その後Oracle E-Business Suiteに同期化できます。
オプションで、Oracle E-Business Suiteのユーザー・プロファイル情報は、サード・パーティのLDAPディレクトリの情報と同期化された状態を保持できます。
サード・パーティのシングル・サインオンまたはLDAPディレクトリが関係していない場合、このシナリオより単純なシナリオが発生します。既存のOracle E-Business Suiteリリース12インストールと、Oracle Single Sign-OnおよびOracle Internet Directoryインフラストラクチャのみが存在します。このような場合、サード・パーティ(非Oracle)ソフトウェアに関連するすべてのステップを無視できます。
シナリオ4
要件: Oracle Single Sign-Onインフラストラクチャが現在配置されていない複数のOracle E-Business Suiteリリース12インストールで、Oracle Single Sign-Onを使用可能にする必要があります。
開始時の環境
複数のOracle E-Business Suiteリリース12インスタンスが実装されており、それぞれに既存のユーザー移入があります。
Oracle Portalは実装されていません。
既存のOracle Single Sign-Onインフラストラクチャが所定の位置にありません。
解決策
統合には、Oracle Application Server 10g(Oracle Single Sign-OnおよびOracle Internet Directoryを含む)が必要です。
各Oracle E-Business Suiteインスタンスが、ユーザー・サインオンおよび認証をOracle Single Sign-Onに委任します。
Oracle Single Sign-Onが、Oracle Internet Directoryのユーザー・エントリと照合してユーザー証明書を認証します。
Oracle Internet Directoryに、すべてのユーザーのシングル・サインオン・アカウントIDおよびパスワードが含まれます。
Oracle Internet Directoryのすべてのユーザーに対して、シングル・サインオン・アカウントを作成する必要があります。
Oracle E-Business Suiteインスタンスの既存のアプリケーション・アカウントを、シングル・サインオン・アカウントにリンク付けする必要があります。
オプションで、Oracle E-Business Suiteのユーザー・プロファイル情報は、Oracle Internet Directoryの情報と同期化された状態を保持できます。
特殊な状況で使用される可能性がある高度なオプションが数多く存在します。その一例をここで説明します。
単一のOracle Single Sign-Onアカウントに対する複数のアプリケーション・アカウントのリンク付け
通常、Oracle Internet Directoryのシングル・サインオン・アカウントは、Oracle E-Business Suiteリリース12の単一のアプリケーション・アカウントに対応します。ただし、特殊なケースでは、ユーザーがOracle Internet Directoryにシングル・サインオン・アカウントを持ち、Oracle E-Business Suiteリリース12に複数のアプリケーション・アカウントを持つことが必要な場合があります。
図8-7 シングル・サインオン・アカウントおよび複数のアプリケーション・アカウント
必要に応じて、システム管理者がプロファイル・オプション「アプリケーションSSO許可複数アカウント」によりこの機能を有効にできます。
