ヘッダーをスキップ

Oracle Applicationsシステム管理者ガイド - セキュリティ
リリース12
E05069-01		目次へ
目次		前のページへ
前へ		次のページへ
次へ

Oracle Single Sign-Onの統合(オプション)

概要

この章は、企業のシングル・サインオン環境におけるOracle E-Business Suiteリリース12の配置または統合を計画している担当者(特に、プロジェクト・マネージャ、データベース管理者およびシステム管理者)を対象としています。

重要: シングル・サインオン環境へのOracle E-Business Suiteリリース12の統合は、完全にオプションです。

Oracle Application Server 10gは、堅牢で統合されたスケーラブルなID管理インフラストラクチャを提供します。この章では、このインフラストラクチャをOracle E-Business Suiteリリース12で使用して次の機能を提供できるようにするソリューションを説明します。

これらのソリューションには、Oracle Application Server 10gに付属するOracle Single Sign-OnサーバーおよびOracle Internet Directoryコンポーネントが必要です。この章では、Oracle Single Sign-Onサーバー、Oracle Internet DirectoryおよびOracle E-Business Suiteリリース12を統合して、企業単位のシングル・サインオン・ソリューションを提供する方法を説明します。内容は複雑であり、必要な処理の順序は環境が持つ特定の特性やニーズによって異なります。

重要: この章のタスクを実行する前に、『Installing Oracle Application Server 10g with Oracle E-Business Suite Release 12』(OracleMetaLinkノート376811.1)に記載されている一般的なインストール・ステップを完了しておく必要があります。

Oracle Internet DirectoryとOracle Single Sign-Onを配置する際の起点は、実行する必要のあるステップに大きく影響するため、この章は実装に考えられる様々な実行方法について明確に定義された方法を提供するように編成されています。最も単純なタイプから複雑なタイプへと、多数のシナリオを記載しています。様々なシナリオの違いは、開始環境の性質(サード・パーティのユーザー・ディレクトリがあるかどうかなど)と必要な機能にあります。いずれのシナリオも、様々なOracle E-Business Suiteリリース12サイトの現実の要件を反映したものです。

各シナリオを次に示します。

以降の各項では、Oracle Single Sign-Onに関連するプロファイル・オプションとログイン・ページのリファレンスと、特化された各種機能の概要を提供します。

シングル・サインオンの概要

大規模な組織では、通常、ユーザーは、ネットワーク・ベースの多様なリソース(社内のWebサイトや顧客アプリケーションなど)用に多数のユーザーIDを持っています。使用可能なリソースが増えるにつれて、ユーザーとセキュリティ管理者は、様々なシステム間で急増するユーザーIDとパスワードの管理という難問に直面することになります。

企業ID管理ソリューションを使用すると、セキュリティ管理者はLightweight Directory Access Protocol(LDAP)ディレクトリなどの1箇所でユーザーを定義し、その共通ユーザー定義を社内の複数箇所で共有できます。Oracle Identity ManagementはOracle Application Server 10gに付属しており、E-Business Suiteと統合することで、Oracle Internet Directoryを介したユーザーの集中管理をサポートし、Oracle Single Sign-Onを介してシングル・サインオン機能をサポートできます。

デフォルト構成の場合、Oracle E-Business Suiteリリース12では、登録済ユーザーはE-Business Suiteに直接格納された資格証明を使用してログインできます。このデフォルト構成では、登録済E-Business Suiteユーザーのローカル・リポジトリの保守をE-Business Suiteシステム管理者が担当します。

オプションでOracle Application Server 10gと統合することで、E-Business Suiteシステム管理者はユーザー管理とユーザー認証の両方をOracle Application Server 10gに委任するように環境を再構成できます。このようにOracle Application Server 10gと統合するには、Oracle E-Business Suiteリリース12による認証の処理方法を大幅に変更する必要があります。Oracle E-Business Suiteリリース12では、認証がネイティブに実行されるかわりに、この機能がローカルE-Business SuiteのFND_USER表を介してOracle Single Sign-Onサーバーに委任されます。この構成により、Oracle E-Business Suiteリリース12では、未認証ユーザーをID検証のためにOracle Single Sign-Onサーバーにダイレクトし、シングル・サインオン・メカニズムにより認証されたIDを安全に受け入れることができます。

同様に、Oracle Single Sign-OnをMicrosoft Windows(Kerberos)のようなサード・パーティの既存認証システムと統合し、Oracle Internet DirectoryをMicrosoft Active Directoryのようなサード・パーティの既存LDAPディレクトリと統合できます。Oracle Single Sign-Onでは、Oracle Internet Directory(LDAPサーバー)に格納された情報に対して認証が実行されるか、または認証がサード・パーティの認証メカニズムに委任されます。

注意: サード・パーティの認証メカニズムを使用している場合も、Oracle Single Sign-OnサーバーとOracle Internet Directoryが必要になります。この2つは、Oracle E-Business Suiteとサード・パーティのシングル・サインオン・ソリューションをつなぐ機能を提供します。

企業ユーザー管理

Oracle Internet Directoryは、Oracle E-Business Suiteリリース12が企業レベルのユーザー管理に参加できるようにする統合ポイントです。各Oracle E-Business Suiteインスタンスでは、登録済ユーザーのレコードを従来のアプリケーション・アカウントの形式で引き続き保守する必要があります。ただし、企業レベルのユーザーに必要な抽象レベルでは、企業全体でユーザーを一意に識別できるメカニズムが必要です。これは、グローバル一意識別子(GUID)を介して達成されます。Oracle Internet DirectoryとOracle E-Business Suiteリリース12では、企業レベルのユーザーごとにGUID情報が格納されます。GUIDは、Oracle Internet DirectoryとOracle E-Business Suiteリリース12の両方で認識されるIDバッジとみなすことができます。

このような環境におけるもう1つの要件は、適切に定義された場所で1度登録したユーザーが、その後は社内の残りの部分で認識されるということです。次の2つの付加的機能により、企業全体におけるユーザー情報の自動伝播がサポート可能になります。

Oracle E-Business Suiteをシングル・サインオン環境に統合する作業に伴う複雑さの大部分は、以前は分離されていたシステムを統合する従来の場合と同様に、断片化していたり重複しているユーザー・データをシングル・サインオン環境で連結する必要があることに起因します。この章で説明するソリューションは、GUIDを使用して既存のデータを相互にリンクするメカニズムを提供します。また、一括移行ツールが用意されており、シングル・サインオン環境への移行中にOracle Internet DirectoryとOracle E-Business Suiteの間で多数のユーザーを移動できます。

その他のシングル・サインオン機能と制限

拡張機能には、エンティティに関して社内で一連のユーザー・プロファイル情報の同期を自動的に維持する機能や、Oracle Internet DirectoryのアカウントをOracle E-Business Suiteの複数のアプリケーション・アカウントにリンクする機能などもあります。

このリリースでは、Oracle E-Business SuiteからOracle Internet Directoryへのプロビジョニングは同期的です。つまり、Oracle E-Business Suiteで実行されたユーザー管理操作はすべて、Oracle Internet Directoryでも実行されます。ただし、Oracle Internet DirectoryからOracle E-Business Suiteへのプロビジョニングは非同期で実行されます。

ここで説明するソリューションは、承認の問題に対処していません。ユーザーの認証後、Oracle E-Business Suiteリリース12は、ユーザーがログインしたアプリケーション・アカウントに関連付けられている承認情報を取得します。アプリケーション・アカウントの承認情報は、Applicationsの職責を介して管理されます。Oracle E-Business Suiteリリース12では、ユーザー・セッション中に必要に応じて承認チェックが適用されます。

主要なID管理構成オプション
構成オプション 可能な設定 構成手段
ユーザー情報の初期ソース

  1. E-Business Suite

  2. Oracle Internet Directory

  3. サード・パーティLDAPディレクトリ

  4. 前述の組合せ

手動による初期プロビジョニング手順の実行
ユーザー情報更新の真のマスター・ソース

  1. E-Business Suite

  2. Oracle Internet Directory

  3. サード・パーティLDAPディレクトリ

  4. 前述の組合せ

Directory Integration and Provisioning Platformのプロビジョニング・プロファイルを選択
Oracle Internet Directoryで作成された新規ユーザーID

  1. E-Business Suiteで自動的に作成され、ユーザー属性更新用にサブスクライブ

  2. E-Business Suiteで同等のユーザーIDが手動で作成され、初回ログオン時にエンド・ユーザーが手動でリンク

  3. E-Business Suiteで同等のユーザーIDが手動で作成され、初回ログオン時に自動的にリンク

  4. サード・パーティLDAPディレクトリで自動的に作成され、前述の2つのオプションのいずれかと併用

関連するE-Business Suiteプロファイル・オプション: APPS_SSO_OID_IDENTITY、APPS_SSO_AUTO_LINK_USER
E-Business Suiteで作成された新規ユーザーID

  1. Oracle Internet Directoryで自動的に作成され、ユーザー属性更新用にサブスクライブ

  2. Oracle Internet Directoryで同等のユーザーIDが手動で作成され、初回ログオン時にエンド・ユーザーが手動でリンク

  3. Oracle Internet Directoryで同等のユーザーIDが手動で作成され、初回ログオン時に自動的にリンク

関連するE-Business Suiteプロファイル・オプション: APPS_SSO_LDAP_SYNC、APPS_SSO_AUTO_LINK_USER
特定のE-Business SuiteユーザーID

  1. Oracle Single Sign-On 10gを介してE-Business Suiteにログオン

  2. Oracle Single Sign-On 10gをバイパスし、E-Business Suiteに直接ログオン

  3. 前述の両方

APPS_SSO_LOCAL_LOGINプロファイル・オプション
すべてのOracle Internet DirectoryユーザーID

  1. 単一のE-Business SuiteユーザーIDにリンク

  2. 複数のE-Business Suiteアカウントにリンク

APPS_SSO_ALLOW_MULTIPLE_ ACCOUNTSプロファイル・オプション

配置シナリオ0: E-Business Suite + SSOおよびOID

この項では、簡略化された配置シナリオを使用して、技術的な詳細と配置ステップについて説明します。このシナリオでは、既存のOracle E-Business Suiteインスタンスが新規のOracle Single Sign-On/Oracle Internet Directoryインフラストラクチャと統合されます。現実の配置の多くはより複雑ですが、このシナリオは統合作業の核となる概念と手順を具体的に示すことを意図しています。以降の各項では、この基本的なシナリオに基づいて、サード・パーティのシングル・サインオン・ソリューションが存在する場合や、複数のユーザー・リポジトリが存在する場合など、より高度な状況について説明します。目的は、配置に考えられる様々なバリエーションを個別に説明するのではなく、実装者が特定の要件について必要なステップを厳密に導出できるように、代表的な事例を多数提供することです。

前提事項

このシナリオの前提事項は、次のとおりです。

要件は、Oracle E-Business Suiteリリース12をOracle Single Sign-OnおよびOracle Internet Directoryと統合することです。

ソリューションの概要

このソリューションの実装結果は、次のようになります。

図についてはテキストで説明

ユーザー管理オプション

既存のOracle E-Business Suiteリリース12のアプリケーション・アカウントは、Oracle E-Business Suiteのユーザー一括移行ツールを使用してOracle Internet Directoryのシングル・サインオン・アカウントに移行されます。Oracle E-Business Suiteリリース12では、ユーザー情報のローカル・キャッシュが既存のユーザー・ディレクトリ(FND_USER)内で保守されます。移行後、システム管理者は、ユーザー情報の作成場所とプロビジョニング(送信)先に関連する多数のユーザー管理オプションから選択できます。

オプション1: E-Business SuiteからOracle Internet Directoryへのプロビジョニング

すべてのユーザー情報は、Oracle E-Business Suiteで作成されてからOracle Internet Directoryにプロビジョニングされます。Oracle E-Business Suiteリリース12は、Oracle Internet Directoryと統合されたプロビジョニング・アプリケーションとして構成されます。システム管理者は、プロビジョニング・プロファイルを介してプロビジョニング統合を構成します。

Oracle E-Business Suiteで新規アプリケーション・アカウントを作成すると、自動的にOracle Internet Directoryで新規シングル・サインオン・アカウントの作成がトリガーされます。アプリケーション・アカウントの一部のユーザー属性は、アカウント作成中にOracle Internet Directoryのシングル・サインオン・アカウントでプロビジョニングできます。

図についてはテキストで説明

オプション2: Oracle Internet DirectoryからE-Business Suiteへのプロビジョニング

すべてのユーザー情報は、Oracle Internet Directoryで作成されてから、Oracle E-Business Suiteにプロビジョニングされます。Oracle E-Business Suiteリリース12は、Oracle Internet Directoryと統合されたプロビジョニング・アプリケーションとして構成されます。

システム管理者は、プロビジョニング・プロファイルを介してプロビジョニング統合を構成します。Oracle Internet Directoryで新規シングル・サインオン・アカウントを作成すると、自動的にE-Business Suiteで新規アプリケーション・アカウントの作成がトリガーされます。シングル・サインオン・アカウントの一部のユーザー属性は、アカウント作成中にOracle Internet Directoryのアプリケーション・アカウントでプロビジョニングできます。

図についてはテキストで説明

オプション3: E-Business SuiteとOracle Internet Directory間の双方向プロビジョニング

すべてのユーザー情報は、Oracle Internet DirectoryまたはOracle E-Business Suiteリリース12のどちらかで作成されてから、他方のシステムにプロビジョニングされます。Oracle E-Business Suiteリリース12は、Oracle Internet Directoryと統合されたプロビジョニング・アプリケーションとして構成されます。システム管理者は、プロビジョニング・プロファイルを介してプロビジョニング統合を構成します。

E-Business Suiteで新規アプリケーション・アカウントを作成すると、自動的にOracle Internet Directoryで新規シングル・サインオン・アカウントの作成がトリガーされます。Oracle Internet Directoryで新規シングル・サインオン・アカウントを作成すると、自動的にE-Business Suiteで新規アプリケーション・アカウントの作成がトリガーされます。

アプリケーション・アカウントの一部のユーザー属性は、アカウント作成中にOracle Internet Directoryのシングル・サインオン・アカウントでプロビジョニングできます。シングル・サインオン・アカウントの一部のユーザー属性は、アカウント作成中にOracle Internet Directoryのアプリケーション・アカウントでプロビジョニングできます。

図についてはテキストで説明

ユーザー属性の同期化

前述の3つのオプションすべてで、Oracle E-Business SuiteとOracle Internet Directoryの間で事前定義済のユーザー属性セットが同期化されます。

エンド・ユーザーによる操作

この項では、シングル・サインオン環境におけるユーザー操作について説明します。

シングル・サインオン・ユーザーによる操作

Oracle E-Business Suite環境へのアクセスを取得する際に、Oracle Single Sign-Onサーバーで未認証のユーザーにはSingle Sign-Onログイン・ページが表示されます。このページは、個々のサイトにあわせてカスタマイズできます。

図についてはテキストで説明

Single Sign-Onサーバーでの認証後(または前に認証を実行済の場合)、ユーザーはOracle E-Business Suiteリリース12で要求したページまたはユーザーのホームページにリダイレクトされます。

サインアウト・ユーザーによる操作

ユーザーがOracle E-Business Suiteインスタンスからログアウトすると、Oracle Single Sign-Onサーバーからも、Oracle Single Sign-Onと統合済で、このSingle Sign-Onセッションでアクセスした他のアプリケーション(パートナ・アプリケーション)からもログアウトすることになります。ユーザーには、ログアウトした全アプリケーションを示すログアウト・ページが表示されます。

シングル・サインオン認証フロー

ユーザーがOracle E-Business Suiteリリース12インスタンスにアクセスを試み、Oracle E-Business SuiteによりアプリケーションCookieが検索されます。Cookieが検出され検証されると、ユーザーは要求したアプリケーション・ページに送られ、この項で示す残りのステップがスキップされます。

アプリケーションCookieが検出されなければ、Oracle E-Business SuiteによりユーザーがOracle Single Sign-Onサーバーにリダイレクトされ、次の一連のステップが実行されます。Oracle Single Sign-Onサーバーにより、ユーザーのブラウザでOracle Single Sign-OnセキュリティCookieが検索されます。Oracle Single Sign-OnセキュリティCookieが検出されない場合、認証を進めるには、ユーザーはOracle Single Sign-Onサーバーの有効なアカウントにログインする必要があります。

Oracle Single Sign-OnサーバーはOracle Internet Directoryに接続し、Oracle Internet Directoryの登録済ユーザー・リストと対照してユーザーの資格証明を認証します。認証に成功すると、Oracle Single Sign-OnサーバーによりユーザーのブラウザにOracle Single Sign-OnセキュリティCookieが設定され、Oracle Internet Directoryからシングル・サインオン・アカウントのユーザー属性が取得されます。

Oracle Single Sign-OnセキュリティCookieが検出または設定されると、次の一連のステップが続行されます。Oracle Single Sign-OnによりユーザーがOracle E-Business Suiteリリース12にリダイレクトされ、ユーザーの属性を含むURLトークンが渡されます。Oracle E-Business SuiteではURLトークンが検証され、アプリケーション・ユーザーが検索され、ユーザーに割り当てられたApplications職責およびロールに基づいてアプリケーション・セッションおよび対応するCookieが作成されます。このプロセスにより、ユーザー認証の処理がOracle Single Sign-Onに委任され、ユーザー認証がE-Business Suiteに委任されます。その後、Oracle E-Business Suiteにより、ユーザーが要求したアプリケーション・ページまたはユーザーのホームページにリダイレクトされます。

シングル・サインアウト・フロー

ステップはOracle E-Business Suiteと他のパートナ・アプリケーションの場合と同様です。E-Business SuiteとOracle Application Server 10gの間でパートナ・アプリケーションが統合された時点で、E-Business Suiteシステム管理者がOracle Single Sign-Onサーバーにログアウト・ルーチンを登録します。これは、単発の登録ステップです。ユーザーが登録済パートナ・アプリケーションのいずれかからログアウトすると、パートナ・アプリケーションからOracle Single Sign-Onサーバーに通知されます。次に、Oracle Single Sign-Onサーバーはログアウト・ルーチンを起動して、このSingle Sign-Onセッションでアクセスされたすべての登録済Oracleパートナ・アプリケーション(Oracle E-Business Suiteを含む)からユーザーをログアウトさせます。

セッション・タイムアウト動作

アプリケーション・セッションとシングル・サインオン・セッションの両方がタイムアウトになると、ユーザーは再認証のためにシングル・サインオン・ログイン・ページに送られます。再認証に成功すると、ユーザーは元のOracle E-Business Suiteにリダイレクトされます。ユーザーに表示されるアプリケーション・ページは、使用中のアプリケーション・テクノロジ・スタックに応じて異なります。後述の表を参照してください。

アプリケーション・セッションが失効しても、シングル・サインオン・セッションが失効しなければ、ユーザーはOracle Single Sign-Onサーバーに送られてから、再認証を求めるプロンプトなしで元のOracle E-Business Suiteリリース12にリダイレクトされます。セッション・タイムアウトの発生時に使用中だったテクノロジ・スタックに応じて、次の表に示すページのいずれかがユーザーに表示されます。

テクノロジ・スタック セッション・タイムアウト動作
Oracle Application Framework アプリケーションのホームページ。
CRM アプリケーション・セッションの失効が検出された時点の現行要求がGETであれば、ユーザーには要求したページが表示されます。現行要求がPOSTであれば、ユーザーには転記ページが表示されますが、転記は実行されていません。
Forms 一連のポップアップ・ウィンドウが表示され、ユーザーがSingle Sign-Onログイン・ページにナビゲートできます。元のフォームは表示されたままで、ユーザーは再認証してポップアップ・ウィンドウをクローズした後で元のフォームに戻ることができます。

最大有効期間に達したため、またはユーザーの無効期間がすぎたために、アプリケーション・セッションが終了すると、Oracle E-Business Suiteによりユーザーが再認証のためにOracle Single Sign-Onにリダイレクトされます。Oracle Single Sign-Onサーバーでは、シングル・サインオンCookieがチェックされ、引き続き有効であればユーザーは元のOracle E-Business Suiteリリース12にリダイレクトされます。シングル・サインオンCookieも失効している場合、Oracle Single Sign-OnサーバーはOracle E-Business Suiteリリース12にリダイレクトする前に、ユーザーに対して再認証を要求します。

アプリケーション・セッションのタイムアウト値は、Oracle Single Sign-Onのタイムアウト設定よりも優先されます。たとえば、アプリケーション・セッションがタイムアウト(またはユーザーが明示的にログアウト)するまでは、Oracle Single Sign-OnのセキュリティCookieが失効しても、ユーザーは引き続きパートナ・アプリケーションにアクセスできます。したがって、E-Business SuiteのApplication Serverのアプリケーション・セッション・タイムアウト値は、Oracle Single Sign-Onサーバーの設定値以下の値に設定することをお薦めします。

ユーザー管理オプション

この項では、シングル・サインオン環境における様々なユーザー管理オプションについて説明します。

Oracle E-Business Suiteへのローカル・アクセス

選択したユーザーには、アプリケーションへの直接ログイン(シングル・サインオン・プロセスのバイパス)を許可できます。これにより、システム管理者などのユーザーは、Oracle Single Sign-Onサーバーが正常に機能しない場合や使用不可能になった場合に、構成のトラブルシューティングを実行できます。このようなローカル・ユーザーは、アプリケーション・ログイン・ページAppsLocalLogin.jspを介してアプリケーションに直接ログインできます。用意されているSYSADMINアカウントは、ローカル・アクセス権限を持つように構成されています。また、SYSADMINアカウントは、Oracle E-Business Suiteへのローカル・アクセス権限を持つように許可される追加ユーザー(存在する場合)を制御できます。この操作には、「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)プロファイル・オプションを使用します。

重要: ユーザー・パスワードのマスター・ソースが混同される可能性を減らすために、「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)プロファイル・オプションを、限られた数の上級ユーザーのみが使用するように指定することをお薦めします。

企業全体でのユーザーの識別

Oracle Single Sign-Onの統合が完了すると、ユーザー情報はOracle Internet DirectoryおよびOracle E-Business Suiteリリースの2箇所に存在することになります。

この共有情報には、次の特性があります。

ユーザーの一括移行

Oracle Internet DirectoryとOracle E-Business Suiteの間で既存のユーザーを一括移行できるように、ツールが用意されています。Oracle Internet DirectoryとOracle E-Business Suiteの両方にコマンドライン・ユーティリティが用意されており、LDIF形式のフラット・テキスト・ファイルを介してユーザーをエクスポートおよびインポートできます。

Oracle E-Business SuiteとOracle Internet Directory間のユーザー・プロビジョニング

一方のシステムで作成された新規ユーザーは、プロビジョニング・プロセスを介して他方にプロビジョニングできます。プロビジョニング・システムは、Oracle Internet DirectoryとOracle E-Business Suiteの両方のコンポーネント(各システムでユーザー・イベントをキューに配置)と、これらのイベントをOracle E-Business Suiteとの間で定期的にプッシュまたはプルするOracle Internet Directoryプロセスで構成されます。プロビジョニング・プロセスにより、プロビジョニングされたアカウント用のGUIDリンクが設定されます。このプロセス中に、シングル・サインオン・アカウントがOracle E-Business Suiteのアプリケーション・アカウントに自動的にリンクされます。

図についてはテキストで説明

プロビジョニングには、次の特性があります。

システム間でプロビジョニングできる属性の詳細は「サポートされている属性」、プロビジョニング・プロセスの詳細は「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」を参照してください。

ユーザー管理方針

配置の開始時には、Oracle E-Business Suiteリリース12はユーザー情報の唯一のリポジトリです。Oracle Single Sign-Onを介したOracle E-Business Suiteリリース12へのアクセスを必要とするユーザーは、すでに存在しているか、Oracle Internet Directoryで作成する必要があります。

重要: ユーザー作成後にOracle E-Business Suiteで有効化された保留中ユーザーの場合は、E-Business SuiteからOracle Internet DirectoryへのIDENTITY_MODIFYイベントを有効化する必要があります。

Oracle Internet Directoryへの既存のE-Business Suiteユーザーの移入

一括移行ツールを使用して、既存のOracle E-Business Suiteリリース12ユーザーをOracle Internet Directoryに移行できます(詳細は、「Oracle E-Business Suiteリリース12とOracle Internet Directoryの間のデータ移行」を参照)。

新規ユーザーの作成

初期移行後に、Oracle Internet DirectoryまたはOracle E-Business Suiteによる新規ユーザーの作成と他方のシステムへのプロビジョニングを許可するかどうかを選択できます。そのためには、Oracle Internet DirectoryからOracle E-Business Suiteリリース12へのSUBSCRIPTION_ADDイベントを有効化するか、Oracle E-Business Suiteリリース12からOracle Internet DirectoryへのIDENTITY_ADDイベントを有効化します。詳細は、「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」を参照してください。

双方向プロビジョニング

または、Oracle Internet DirectoryとOracle E-Business Suiteリリース12の両方で新規ユーザーを作成し、他方のシステムにプロビジョニングするように選択することも可能です。そのためには、Oracle Internet DirectoryからOracle E-Business Suiteリリース12へのSUBSCRIPTION_ADDイベントと、Oracle E-Business Suiteリリース12からOracle Internet DirectoryへのIDENTITY_ADDイベントの両方を有効化します。詳細は、「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」を参照してください。

双方向プロビジョニングは慎重に計画する必要があり、次の制限を伴います。

ユーザー情報の更新

Oracle Internet Directoryのシングル・サインオン・アカウントに格納されたユーザー情報は、通常、Oracle E-Business Suiteリリース12のアプリケーション・アカウントに格納されたユーザー情報から独立して管理されます。

システム管理者は、次のことを決定する必要があります。

次に、システム管理者は適切な属性リストを使用して、IDENTITY_MODIFYイベントを適切な方向で有効化できます。詳細は、「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」を参照してください。

現在は、次の制限があることに注意してください。

ユーザーの退職と終了日設定

Oracle Internet Directoryでシングル・サインオン・アカウントが削除された場合に、Oracle E-Business Suiteで関連アプリケーション・アカウントに終了日が設定されるように、プロビジョニング・プロセスを設定できます。そのためには、プロビジョニング・プロファイルでOracle Internet DirectoryからOracle E-Business SuiteへのIDENTITY_DELETEイベントを有効化します(詳細は、「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」を参照)。

注意: Oracle Internet DirectoryとE-Business Suiteの間では、日付は同期化されません。

組織のセキュリティ・ポリシーおよび監査ポリシーによっては、Oracle Internet Directoryでシングル・サインオン・アカウントを削除するのではなく、無効化する方が望ましい場合があります。これは、後日必要になった場合に、アプリケーション・アカウントを再び有効化できるためです。退職しても再就職する可能性のある契約者の場合は、これが特に役立ちます。

注意: ユーザーの有効化と無効化の詳細は、「ユーザーの有効化と無効化」を参照してください。

パスワード管理

シングル・サインオン統合の主な目的の1つは、Oracle Internet Directoryを使用してユーザー・パスワードを集中管理することです。機能は次のとおりです。

エンド・ユーザーのパスワード変更

大多数のエンド・ユーザーは、Oracle Internet Directoryの標準的な方法を使用してシングル・サインオン・パスワードを変更できるようになります。たとえば、ユーザーは委任管理サービス(Delegated Administration Service: DAS)を使用できます。DASの詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。

システム管理者のパスワード変更および再設定

シングル・サインオン・パスワードを再設定するには、管理者はOracle Internet Directoryで提供される方法に従う必要があります。詳細は、『Oracle Internet Directory管理者ガイド』のディレクトリ・エントリ管理に関する項および委任管理サービスに関する項を参照してください。

パスワード・ポリシー

Oracle Internet Directoryは、パスワードのマスター・ユーザー・ディレクトリとして指定されています。ユーザーのパスワード作成、変更およびOracle Single Sign-Onへのログイン・アクティビティには、パスワードの作成および使用方法を制御するOracle Internet Directoryのルールが適用されます。たとえば、Oracle Internet Directoryシステム管理者は、パスワードの失効、最小長および英数字の併用に関するポリシーを設定できます。サポートされているパスワード・ポリシーについては、『Oracle Internet Directory管理者ガイド』のOracle Internet Directoryのパスワード・ポリシーに関する項を参照してください。

プロビジョニング・プロファイルでアプリケーション・アカウントのパスワードをOracle E-Business Suiteリリース12からOracle Internet Directoryにプロビジョニングするように指定されている場合、Oracle E-Business Suiteリリース12のパスワード・ポリシーはOracle Internet Directoryのパスワード・ポリシーと同程度以上に制限的である必要があります。これにより、Oracle E-Business Suiteリリース12からOracle Internet Directoryのシングル・サインオン・アカウントにパスワードを正常に伝播できます。

Oracle Internet Directoryに格納されるパスワードには、大/小文字区別があります。Oracle E-Business Suiteで大/小文字が併用されているパスワードは、大/小文字区別を保持したまま移行されます。

パスワード管理と「アプリケーションSSOログイン・タイプ」

「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)プロファイルを介してOracle E-Business Suiteへのローカル・アクセス権限が付与されているユーザーの場合、Oracle E-Business Suiteでは関連アプリケーション・アカウントのパスワードが保持されます。これは、Oracle Internet Directoryまたはサード・パーティLDAPディレクトリがパスワードのマスター・ユーザー・ディレクトリとして指定されている場合も同じです。Oracle E-Business Suiteの既存のパスワード関連機能はすべて、ローカル・アカウントに対して同一に保たれます。たとえば、ユーザーはSelf-Serviceの「パスワードの変更」画面(「作業環境」ページ)を使用してパスワードを保守する必要があります。

Oracle E-Business Suiteへのシングル・サインオン・アクセス権限とローカル・アクセス権限の両方を持つユーザーの場合、プロビジョニング・プロファイルが適切に設定されていれば、Oracle E-Business Suiteにおけるローカル・パスワードの変更をOracle Internet Directoryと同期化できます。Oracle E-Business Suiteでは暗号化されたパスワードが格納されますが、Oracle Internet Directoryではパスワードのハッシュのみが格納されるため、逆方向に同期化することはできません。

「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)プロファイルで構成されたアプリケーション・アカウントに適用される特殊なパスワード管理の考慮事項をユーザーに教育するのは困難な場合があるため、このプロファイル・オプションは前述のように限られた数のシステム管理アカウントや他の上級アカウントにのみ使用する必要があります。LDAPにのみ格納されているユーザー・パスワード(APPSパスワードはEXTERNALに設定)もE-Business Suiteにローカルに格納する必要がある場合、システム管理者はFNDCPASSユーティリティを使用してローカル・パスワードを設定する必要があります。

実装に関する重要な決定事項

  1. Oracle Internet Directoryには、強力で柔軟な一連の構成オプションが用意されています。ほとんどのE-Business Suiteシステム管理者およびセキュリティ管理者は、デフォルトのOracle Internet Directory構成を使用できます。高度なセキュリティ要件を持つセキュリティ管理者は、代替Oracle Internet Directory構成を使用するように選択できます。『Oracle Internet Directory管理者ガイド』のディレクトリ配置に関する項を参照してください。Oracle E-Business Suiteの統合に特に重要な項目は、次のとおりです。

  2. 新規ユーザーの作成元。

  3. ユーザー情報の更新内容をプロビジョニングするかどうか。プロビジョニングする場合、プロビジョニング対象のユーザー属性とプロビジョニング方向。

  4. Oracle E-Business Suite12へのローカル・アクセスのみを必要とするユーザー、Oracle Single Sign-Onを介したアクセスのみを必要とするユーザー、および両方のタイプのアクセスを必要とするユーザー。

  5. Oracle Single Sign-Onの設定。

  6. 現行のOracle Internet Directoryホスト、ポートおよび管理アカウント情報。

実装手順の詳細

  1. 『Installing Oracle Application Server 10g with Oracle E-Business Suite Release 12』(OracleMetaLinkノート376811.1)に記載されているステップをすべて完了します。最初に、インストール・プロセスに使用するプロビジョニング・プロファイルの作成用テンプレートを選択します。

  2. Oracle E-Business Suiteへのローカル・ログイン・アクセスのみを必要とするユーザーを識別し、そのユーザーの「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)プロファイルを適切に設定します(「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照)。

  3. Oracle E-Business Suiteリリース12とOracle Single Sign-Onの両方で、セッション・タイムアウト値を構成します。

  4. 該当する場合は、Oracle Internet DirectoryとE-Business Suiteでパスワード・ポリシーを構成します。

  5. Oracle E-Business Suiteのユーザー一括移行ツールを使用して、既存のOracle E-Business SuiteアカウントをOracle Internet Directoryに移行します(「Oracle E-Business Suiteリリース12とOracle Internet Directoryの間のデータ移行」を参照)。

  6. Oracle E-Business Suiteのプロファイル・オプションを設定します(「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照)。

プロファイル名(内部プロファイル・コード) 推奨値
アプリケーションSSOタイプ(APPS_SSO) シングル・サインオン・モードに切り替えるには「SSWA (SSO)」に設定します。
Self Serviceパーソナル・ホームページ・モード(APPLICATIONS_HOME_PAGE) 必要なホームページ・モードに設定します。
アプリケーションSSOログイン・タイプ(APPS_SSO_LOCAL_LOGIN) サイト・レベルで、値を大多数のユーザーの使用モードに設定します。特殊なニーズを持つユーザーについては、ユーザー・レベルで上書きします。
アプリケーション・ローカル・ログインURL(APPS_LOCAL_LOGIN_URL) カスタマイズしたローカル・ログイン・ページを使用している場合は、値をページ名に設定し、それ以外の場合はそのままにしておきます。
アプリケーションSSO自動リンク・ユーザー(APPS_SSO_AUTO_LINK_USER) 必要に応じて設定します。「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照してください。
アプリケーションSSO許可複数アカウント(APPS_SSO_ALLOW_MULTIPLE_ACCOUNTS) そのままにしておきます。
アプリケーションSSO LDAP同期化(APPS_SSO_LDAP_SYNC) サイト・レベルではそのままにしておきます。特殊なニーズを持つユーザーの場合は、ユーザー・レベルで上書きします。
アプリケーション・ローカルのパスワード変更URL(APPS_LOCAL_CHANGE_PWD_URL) Oracle E-Business Suiteリリース12でパスワード変更にカスタマイズしたSelf-Serviceパスワード変更ページを使用している場合を除き、そのままにしておきます。
アプリケーションSSOのパスワード変更URL(APPS_SSO_CHANGE_PWD_URL) Oracle Internet DirectoryのSelf-Serviceパスワード変更ページの絶対URLに設定します。
アプリケーションSSO可能OID ID追加イベント(APPS_SSO_OID_IDENTITY) 必要に応じて設定します。「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照してください。

配置シナリオ1: 複数のE-Business Suiteインスタンス + 中央SSOおよびOIDインスタンス

この項と後続の3つの項では、より高度な配置シナリオについて説明します。現実には配置はすべて一意であるため、記載されているソリューションは確定的な指示ではなく、ガイドラインまたは構築ブロックとして解釈してください。記載されている事例では、ソリューションは前述の基本的なシナリオに基づいており、基本とは異なる処理や付加的な処理のみを強調しています。

前提事項

アーキテクチャ要件

このシナリオは、顧客が複数の新規Oracle E-Business Suiteリリース12環境を単一のOracle Single Sign-Onインスタンスと統合する必要がある場合に適用されます。

ソリューションの概要

ソリューション詳細

Oracle Single Sign-On

必須ステップの詳細は、「配置シナリオ0」を参照してください。

ユーザー管理オプション

このソリューションでは、システム管理者はユーザー登録ポイントおよびユーザー情報の真のソースとなるコンポーネントを決定する必要があります。このロールには、Oracle Internet DirectoryまたはOracle E-Business Suiteインスタンスの1つを選択できます。

  1. Oracle Internet Directoryがユーザー登録ポイントであり真のソースである場合

  2. Oracle E-Business Suiteリリース12インスタンス(Oracle Human Resourcesなど)が、ユーザー登録ポイントおよび真のソース(マスター・インスタンス)として指定されている場合

配置シナリオ2: 新規E-Business Suiteインストール + 既存のサード・パーティID管理ソリューション

この項では、やや複雑ですが一般的な配置シナリオについて説明します。

前提事項

アーキテクチャ要件

Oracle E-Business Suiteリリース12の新規インストールを、既存のサード・パーティ単一認証メカニズムおよびサード・パーティLDAPディレクトリ・インフラストラクチャと統合する必要があります。

ソリューションの概要

エンド・ユーザーによる操作

シングル・サインオン・ユーザーによる操作

シングル・サインオンの技術的アーキテクチャ

未認証ユーザーがOracle E-Business Suiteリリース12へのアクセスを試みると、ユーザー認証はOracle E-Business Suiteリリース12からOracle Single Sign-Onサーバーに委任され、Oracle Single Sign-Onサーバーからサード・パーティの認証メカニズムに委任されます。

注意: サード・パーティの認証メカニズムとの統合の詳細は、『Oracle Application Server Single Sign-On管理者ガイド』の第13章「サードパーティのアクセス管理システムとの統合」を参照してください。

ユーザー管理

Oracle Internet Directoryとサード・パーティLDAPディレクトリ

注意: 詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。

ユーザー管理方針

配置の開始時には、サード・パーティLDAPサーバーが唯一のユーザー・リポジトリです。Oracle E-Business Suiteへのアクセスを必要とする登録済ユーザーの場合、シングル・サインオン・ソリューションではユーザーをOracle Internet DirectoryとOracle E-Business Suiteリリース12に存在させる必要があります。

サード・パーティLDAPディレクトリをユーザー情報の真のマスター・ソースとして保持することをお薦めします。Oracle Internet Directoryの同期化ソリューションを使用して、ユーザーをサード・パーティLDAPディレクトリからOracle Internet Directoryに移行した後、Oracle Internet Directoryのプロビジョニング・ソリューションを使用してユーザーをOracle E-Business Suiteに移動します。

重要: ユーザー作成後にOracle E-Business Suiteで有効化された保留中ユーザーの場合は、E-Business SuiteからOracle Internet DirectoryへのIDENTITY_MODIFYイベントを有効化する必要があります。

E-Business Suiteへのサード・パーティLDAPユーザーの移入

既存のユーザーをサード・パーティLDAPディレクトリからOracle Internet Directoryに移行した後、一括移行ツールを使用してOracle E-Business Suiteに移行できます。

新規ユーザーの作成

システム管理者は、Oracle Internet Directoryをサード・パーティLDAPディレクトリと統合するための同期化プロファイルを作成できます。その結果は次のようになります。

システム管理者は、Oracle E-Business Suiteリリース12をOracle Internet Directoryと統合するためのプロビジョニング・プロファイルを作成することもできます。その結果は次のとおりです。

図についてはテキストで説明

ユーザー情報の更新(オプション)

システム管理者は、ユーザー属性が変更された場合に、サード・パーティLDAPディレクトリにあるシングル・サインオン・アカウントの一部またはすべてのユーザー属性を、Oracle Internet Directoryのシングル・サインオン・アカウントと同期化するように、同期化プロファイルを構成できます。

システム管理者は、ユーザー属性が変更された場合に、Oracle Internet Directoryの一部またはすべてのユーザー属性をOracle E-Business Suiteにプロビジョニングするように、プロビジョニング・プロファイルを構成できます。

ユーザーの退職と終了日設定

同期化プロファイルとプロビジョニング・プロファイルを使用すると、サード・パーティLDAPディレクトリ内でユーザーが退職するとOracle E-Business Suiteでもユーザーに終了日が設定されるようにシステムを構成できます。

パスワード管理

必要な場合は、パスワード管理を統合前と同じ状態で保持できます。つまり、ユーザー・パスワードをサード・パーティLDAPで保持でき、Oracle Internet Directoryで複製する必要はありません。Oracle E-Business Suiteには、Oracle Internet Directoryからプロビジョニングされたユーザーのパスワードが格納されないことに注意してください。

実装に関する重要な決定事項

  1. Oracle Internet Directoryには、強力で柔軟な一連の構成オプションが用意されています。ほとんどのE-Business Suiteシステム管理者およびセキュリティ管理者は、デフォルトのOracle Internet Directory構成を使用できます。高度なセキュリティ要件を持つセキュリティ管理者は、代替Oracle Internet Directory構成を使用するように選択できます。『Oracle Internet Directory管理者ガイド』のディレクトリ配置に関する項を参照してください。Oracle E-Business Suiteの統合に特に重要な項目は、次のとおりです。

  2. Oracle Internet Directoryとサード・パーティLDAPディレクトリとの同期化。

  3. Oracle Internet DirectoryとOracle E-Business Suiteの間のプロビジョニング。

  4. シングル・サインオン設定に関連する決定事項。

  5. Oracle Single Sign-On、サード・パーティ・シングル・サインオンおよびOracle E-Business Suiteリリース12のセッション・タイムアウト。

  6. 現行のサード・パーティLDAPおよびシングル・サインオンの配置情報(ホスト、ポートおよび管理アカウント情報など)。

  7. Oracle Application Server 10gとの統合について記載された、Oracle、サード・パーティLDAPおよびシングル・サインオン製品のベンダーからのマニュアル。

実装手順の詳細

  1. 『Installing Oracle Application Server 10g with Oracle E-Business Suite Release 12』(OracleMetaLinkノート376811.1)に記載されているステップをすべて完了します。インストール・プロセスでは、プロビジョニング・プロファイル作成用のテンプレートを選択する必要があります。

  2. Oracle Single Sign-Onサーバーを、サード・パーティの認証メカニズムを使用するように構成します。

  3. Oracle E-Business Suiteへのアクセスを必要とする既存のアカウントを、サード・パーティLDAPからOracle Internet Directoryに移行します。Oracle Internet Directoryとサード・パーティLDAPの同期化プロセスを構成します。

  4. 既存のOracle Internet DirectoryユーザーをOracle E-Business Suiteに移行します。

  5. セッション・タイムアウト値を構成します。

  6. Oracle E-Business Suiteのプロファイル・オプションを設定します。プロファイル設定は、基本シナリオと同様にする必要があります。すべての関連プロファイル・オプションの詳細は、「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照してください。

このシナリオのバリエーション

このシナリオのバリエーションには、次のような特性が考えられます。

ここでの重要な相違点は、サード・パーティ(Oracle以外)のソフトウェアに関連するステップをすべて無視できることです。

配置シナリオ3: 既存のE-Business Suiteインスタンス + 既存のサード・パーティID管理ソリューション

このシナリオでは、さらに複雑な配置例を示します。一部の大規模組織では、このような配置が必要になることがあります。

前提事項

アーキテクチャ要件

既存のOracle E-Business Suiteリリース12を既存のサード・パーティ・シングル・サインオンおよびユーザー・ディレクトリ・インフラストラクチャと統合する必要があります。

ソリューションの概要

ソリューション詳細

この配置シナリオにおけるシングル・サインオン、サインオフおよびセッション・タイムアウト・プロセスは、シナリオ2の場合と同様ですが、サインオン時に1つ重要な相違点があります。ユーザーがアカウントをサード・パーティLDAPディレクトリとOracle E-Business Suiteに1つずつ持っている場合は(アカウント名は同じでなくても)、次のアプローチに従うことをお薦めします。

図についてはテキストで説明

高度なオプション: ユーザーがサード・パーティLDAPディレクトリとOracle E-Business Suiteの両方にアカウントを持っている場合は、すべてのLDAPアカウント名がOracle E-Business Suiteアカウント名と同一のものとして認識されることがあります。このような場合は、プロファイル「アプリケーションSSO自動リンク・ユーザー」を値「Yes」に設定できます。その後は、Oracle E-Business Suiteがアプリケーション・アカウントをGUIDで検出できなければ、アカウント名での検出を試み、それに成功すると2つのアカウントがGUIDでリンクされます。リンク操作はバックグラウンドで実行され、ユーザーに「リンク・アカウント」ページは表示されません。詳細は、「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照してください。

ユーザー管理オプション

このシナリオにおけるユーザー管理の複雑さの大部分は、サード・パーティLDAPとOracle E-Business Suiteにある既存のユーザー・データを調整するプロセスにあります。シングル・サインオンを介したOracle E-Business Suiteへのアクセスを必要とするユーザーについて、常にサード・パーティLDAPデータをOracle Internet Directoryと同期化する必要があります。Oracle Internet Directoryのシングル・サインオン・アカウントは、サード・パーティLDAPディレクトリのアカウントと同一であることが必要です。詳細がサード・パーティLDAPにあるユーザーや、Oracle E-Business Suiteへのアクセスを必要としないユーザーの場合、処理は不要です。

これ以降は、既存のサード・パーティLDAPユーザー全員がOracle E-Business Suiteへのアクセスを必要としているため、Oracle Internet Directoryに存在する必要があるものと想定します。既存のデータと必要な機能の特性に応じて、様々な可能性があります。

オプション1: ユーザーに対して、常にサード・パーティLDAPディレクトリとOracle E-Business Suiteの両方に、各システムで提供されるユーザー登録方法を介してアカウントを1つずつ作成するように要求します。

この場合、LDAPアカウントはOracle Internet Directoryに移行されます。Oracle Internet DirectoryのアカウントとOracle E-Business Suiteのアカウントは、前述のリンク・オンザフライ・プロセスを介してリンクされます(使用されるプロビジョニング・プロファイルのいずれでも、SUBSCRIPTION_ADDイベントとIDENTITY_ADDイベントは有効化されません)。

オプションで、管理者は、ユーザー属性の変更内容を次の方向で伝播できるように、同期化プロセスとプロビジョニング・プロセスを構成できます。

現在、サポートされているユーザー属性のリストは限定的です。「サポートされている属性」を参照してください。

オプション2: Oracle Internet Directoryを介して、新規アカウントをサード・パーティLDAPディレクトリからOracle E-Business Suiteに伝播します(シナリオ2を参照)。

LDAPまたはOracle E-Business Suite(あるいはその両方)に存在するアカウントを調整する必要があります。ユーザーがLDAPディレクトリとOracle E-Business Suiteの両方に既存のアカウントを持っている場合、リンク・オンザフライ機能を使用して2つのアカウントをリンクでき、他の処理は不要です。ユーザーがOracle E-Business Suiteには既存のアカウントを持っていても、サード・パーティLDAPディレクトリに持っていない場合は、LDAPディレクトリにアカウントを作成し、リンク・オンザフライ機能を使用して2つのアカウントをリンクする必要があります(このステップは、プロビジョニングの構成前に実行する必要があります)。

ユーザーがサード・パーティLDAPディレクトリに既存のアカウントを持っていても、Oracle E-Business Suiteリリース12に持っていない場合は、Oracle E-Business Suiteにアカウントを作成し、リンク・オンザフライ機能を使用して2つのアカウントをリンクする必要があります。

新規ユーザーにアカウントのリンク機能を使用しなくてもよいように、Oracle Internet Directoryの同期化およびプロビジョニング・プロセスを介して、サード・パーティLDAPディレクトリからOracle E-Business Suiteに新規アカウントを伝播できます。この方法では、新規ユーザーが複数回登録する必要もなくなります。ただし、このプロセスを有効化する前に、システム管理者は、サード・パーティLDAPディレクトリに作成された新規アカウント名がOracle E-Business Suiteの既存アカウント名と競合しないことを確認する手順を設定する必要があります。

オプションで、管理者は、ユーザー属性の変更内容をOracle Internet Directory経由でサード・パーティLDAPディレクトリからOracle E-Business Suiteリリース12に伝播できるように、同期化およびプロビジョニング・プロセスを構成できます。

図についてはテキストで説明

パスワード管理

Oracle Internet Directoryのシングル・サインオン・アカウントがOracle E-Business Suiteリリース12のアプリケーション・アカウントにリンクされると、前述のように、Oracle E-Business Suiteのアプリケーション・アカウント用パスワードが予約済キーワードEXTERNALで置換されます。認証には、パスワードのマスター・ユーザー・ディレクトリに格納されているパスワードで十分です。

ユーザー認証がOracle Single Sign-Onサーバーからサード・パーティのシングル・サインオン・ソリューションに委任され、そこでサード・パーティLDAPディレクトリと対照してユーザーが認証されることに注意してください。その結果、Oracle Internet Directoryのパスワードは無視されるため、Oracle Internet Directoryにパスワードを保持しないことをお薦めします。

この場合、サード・パーティLDAPディレクトリの主な役割は、次のダイアグラムのように表すことができます。

図についてはテキストで説明

実装に関する重要な決定事項

  1. Oracle Internet Directoryには、強力で柔軟な一連の構成オプションが用意されています。ほとんどのE-Business Suiteシステム管理者およびセキュリティ管理者は、デフォルトのOracle Internet Directory構成を使用できます。高度なセキュリティ要件を扱うセキュリティ管理者は、代替のOracle Internet Directory構成を使用するように選択できます。『Oracle Internet Directory管理者ガイド』の「ディレクトリ配置」を参照してください。Oracle E-Business Suiteの統合に特に重要な項目は、次のとおりです。

  2. Oracle Internet Directoryとサード・パーティLDAPディレクトリの間の同期化。特に重要な項目は次のとおりです。

  3. 前述のユーザー管理オプションのどれを使用するか。

  4. シングル・サインオン設定(特にセッション・タイムアウト)関連の決定事項。

  5. 現行のサード・パーティLDAPおよびシングル・サインオン配置情報(ホスト、ポートおよび管理アカウント情報など)。この場合、Oracle Application Serverリリース10gとの統合に関して記載されている、Oracle、サード・パーティLDAPおよびシングル・サインオン製品のベンダーからのマニュアルの参照が必要になる可能性があります。

実装手順の詳細

  1. ユーザー管理オプションに応じて、Oracle E-Business Suiteリリース12とサード・パーティLDAPの既存のアカウントを調整する方法を開発します。

  2. 『Installing Oracle Application Server 10g with Oracle E-Business Suite Release 12』(OracleMetaLinkノート376811.1)に記載されているステップをすべて完了します。インストール・プロセスでは、プロビジョニング・プロファイル作成用のテンプレートを選択する必要があります。

  3. Oracle Single Sign-Onサーバーを、サード・パーティの認証メカニズムを使用するように構成します。

  4. 既存のサード・パーティLDAPアカウントをOracle Internet Directoryに移行し、サード・パーティLDAPとOracle Internet Directoryの間の同期化を構成します。

  5. セッション・タイムアウト設定を構成します。

  6. Oracle E-Business Suiteのプロファイル・オプションを設定します。すべての関連プロファイル・オプションの詳細は、「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照してください。

このシナリオのバリエーション

このシナリオのバリエーションには、次のような特性が考えられます。

ここでの重要な相違点は、サード・パーティ(Oracle以外)のソフトウェアに関連するステップをすべて無視できることです。

配置シナリオ4: 複数のE-Business Suiteインスタンスと一意のユーザー

前提事項

アーキテクチャ要件

このシナリオは、複数のOracle E-Business Suiteリリース12インスタンスを使用していて、Oracle Single Sign-Onインフラストラクチャが存在しないサイトに適用されます。要件は、Oracle Single Sign-Onを複数のOracle E-Business Suiteインスタンスに対して有効化することです。

ソリューションの概要

ソリューション詳細

シングル・サインオン・アーキテクチャは、基本シナリオで説明したものと同じです。また、シナリオ3で説明したリンク・オンザフライ機能も使用できます。

ユーザー管理オプション

このシナリオにおけるユーザー管理のオプションは、複数のOracle E-Business Suiteインスタンスの既存ユーザー・データの特性に応じて異なります。

オプション1: 現在、Oracle E-Business Suiteインスタンスの1つ(Oracle Human Resourcesシステムなど)が、すべてのOracle E-Business Suiteインスタンスに対してユーザー情報の真のソースとして機能している場合は、これを2段階のプロセスに変更できます。まず一括移行ツールを使用して、そのOracle E-Business SuiteインスタンスからOracle Internet Directoryに既存のユーザーを移行します。次に、そのOracle E-Business Suiteインスタンスで追加作成される新規ユーザーがOracle Internet Directoryに自動的にプロビジョニングされるように、プロビジョニング・プロセスを構成します。

オプション2: 既存のどのOracle E-Business Suiteインスタンスもユーザー情報の真のマスター・ソースでない場合は、すべてのOracle E-Business Suiteインスタンスの既存アカウントをOracle Internet Directoryに移行できますが、既存データには次の制限が適用されます。

移行後は、Oracle Internet Directoryで新規ユーザーを作成し、Oracle E-Business Suiteインスタンスに選択的にプロビジョニングできます。

オプション3: 前述のオプションが実現できない配置では、アカウント作成をプロビジョニング・プロセスに依存しないように選択できます(プロビジョニング・プロファイルではSUBSCRIPTION_ADDイベントもIDENTITY_ADDイベントも有効化しません)。Oracle E-Business Suiteへのシングル・サインオン・アクセスを必要とする各ユーザーは、各システムで提供されるユーザー登録方法を介して、Oracle Internet Directoryでシングル・サインオン・アカウントを作成し、Oracle E-Business Suiteリリース12インスタンスでアプリケーション・アカウントを作成する必要があります。Oracle Internet DirectoryアカウントとOracle E-Business Suiteアカウントは、ユーザーがOracle E-Businessインスタンスに初めてアクセスするときに、リンク・オンザフライ・プロセスを介してリンクされます。

拡張機能

単一Oracle Single Sign-Onアカウントへの複数アプリケーション・アカウントのリンク

ほとんどの場合、Oracle Internet Directoryにあるユーザーのシングル・サインオン・アカウントは、Oracle E-Business Suiteリリース12の単一のアプリケーション・アカウントに対応します。ただし、ユーザーがOracle Internet Directoryにシングル・サインオン・アカウントを持ち、Oracle E-Business Suiteリリース12に複数のアプリケーション・アカウントを持つ特殊ケースが考えられます。Oracle Internet Directoryにある単一のシングル・サインオン・アカウントを、Oracle E-Business Suiteリリース12の複数のアプリケーション・アカウントに関連付けることができます。

図についてはテキストで説明

システム管理者は、プロファイル・オプション(「アプリケーションSSO許可複数アカウント」)を介して、この機能を有効化できます。この機能を利用する手順は、次のとおりです。

  1. Oracle Internet Directoryで有効なシングル・サインオン・アカウントを使用して、Oracle E-Business Suiteにログインします。

  2. ログイン後に、「作業環境」ページで「アカウント設定」ボタンをクリックして「シングル・サインオン・アカウント設定」ページにアクセスします。

    図についてはテキストで説明

  3. 追加のアプリケーション・アカウントを既存のシングル・サインオン・アカウントに関連付けるには、「アカウントの追加」を選択し、プロンプトに対して新規アプリケーション・アカウントのユーザー名とパスワードを入力します。

  4. 新規アプリケーション・アカウント情報の検証が完了すると、元の「シングル・サインオン・アカウント設定」ページにリダイレクトされ、新しくリンクされたアカウントが表示されます。

  5. 新規アカウント情報の検証に失敗すると、「アカウントの追加」ページにリダイレクトされます。

図についてはテキストで説明

最初にリンクされたアプリケーション・アカウントは、シングル・サインオン・アカウント用のデフォルト・アプリケーション・アカウントとしてマークされ、Oracle Single Sign-On認証後にユーザーがログインするアカウントとなります。必要な場合は、「シングル・サインオン・アカウント設定」ページで適切な選択を行ってデフォルト・アカウントを変更できます。

Oracle Single Sign-Onを介してOracle E-Business Suiteにログインしたユーザーは、「シングル・サインオン・アカウント設定」ページを使用して現在リンクされているアプリケーション・アカウントをすべて表示し、必要な場合は、アカウントを選択して「現在のアカウントに設定」をクリックすることで別のリンク済アプリケーション・アカウントに切り替えることができます。この機能をシステム管理者が無効化している場合、「シングル・サインオン・アカウント設定」ページには「アカウントの追加」ボタンが表示されず、ユーザーが自分のシングル・サインオン・アカウントに複数のアプリケーション・アカウントをリンクすることはできません。

Oracle Internet Directoryのシングル・サインオン・アカウントのうち、Oracle E-Business Suiteリリース12の指定のアプリケーション・アカウントに一度にリンクできるアカウントは1つのみです。複数のシングル・サインオン・アカウントを1つのアプリケーション・アカウントに同時にリンクする操作はサポートされていません。

複数言語のサポート

Oracle Single Sign-Onサーバーのログイン・ページを介してログインしたユーザーは、ブラウザから必要な言語設定を選択できます。この設定は、Oracle Single Sign-OnサーバーからOracle E-Business Suiteリリース12に渡され、その言語がサポートされている場合は言語オプションとなります。

タイムゾーンのサポート

Oracle Application Server 10gとOracle E-Business Suiteデータベース・サーバーのシステム・クロックは正確で、同期状態を保つ必要があります。クロックが不正確であったり同期化されていないと、ユーザー・プロビジョニング・フローに影響する可能性があります。

注意事項は次のとおりです。

元のローカル認証へのユーザーの切替え

特定のユーザーについて、ユーザー管理マスターをOracle Internet DirectoryからE-Business Suiteに切り替える操作が必要になる場合があります。このユーザーの資格証明は、ローカル認証でFND_USERにより認証されるように切り替える必要があります。「FNDユーザー」フォームと「ユーザー作業環境」画面では、EXTERNALに設定されたパスワードを変更できないため、この切替えには特別な手順が必要です。

パスワードを保持し、ユーザーにAppsLocalLogin.jspを介したE-Business Suiteへのローカル・ログインを許可する手順は、次のとおりです。

  1. ローカル・アクセスを維持するユーザーについて、プロファイル・オプション「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)が「ローカル」または「両方」に設定されていることを確認します。

  2. FNDCPASSユーティリティを使用して、ユーザーのパスワードを再設定します。新規のパスワードをユーザーにEメールで送信する必要があります。

次に例を示します。

FNDCPASS apps/apps 0 Y system/manager USER VISION WELCOME

FNDCPASSユーティリティの詳細は、『Oracle Applicationsシステム管理者ガイド - 構成』のアプリケーションDBAの職務に関する項を参照してください。

ニックネーム(ログイン属性)の推奨設定

ログインに使用されるデフォルトのニックネームはuidで、これはOracle Internet Directory Delegated Administration Serviceの「構成」画面の「ログイン名の属性」フィールドで確認できます。uidは、Oracle Internet Directory Delegated Administration Serviceの「ユーザーの作成」画面の「ユーザー名」に対応します。

通常、ニックネーム属性を変更することはお薦めしませんが、他の一意の属性(Eメール・アドレスなど)を使用できる特殊な場合があります。現在、E-Business Suiteではニックネーム(ログイン属性)についてサポートされている設定は「uid」または「mail」のいずれかです。

Oracle Internet Directoryでニックネームとして設定された属性は、E-Business SuiteのFND_USER.USER_NAME列にマップされます。Oracle Internet Directoryでのニックネーム属性設定は、E-Business Suiteではキャッシュされます。Oracle Internet Directoryでニックネームが変更された場合は、E-Business Suiteデータベースを再起動して強制的にリフレッシュする必要があります。

シングル・サインオン・プロファイル・オプション

Oracle Single Sign-Onが統合された環境では、ユーザーがOracle E-Business Suiteへのアクセスを承認されるログオン・プロセスが大幅に変更されます。この項では、重要な変更点、特にプロファイル・オプションの使用について説明します。

認証プロセス

スタンドアロンE-Business Suite環境では、すべてのユーザーおよびシステム管理者はE-Business Suiteの「AppsLogin」ページを介してE-Business Suiteに接続します。ユーザーは「AppsLogin」ページからE-Business Suiteのログイン・ページにリダイレクトされ、そこでユーザーIDとパスワードがE-Business SuiteのFND_USER表と対照して認証されます。次に、E-Business SuiteでE-Business SuiteのFND_USER表のエントリと対照してアプリケーション職責が参照され、ユーザーの承認が決定されます。

E-Business Suiteが外部のOracle Application Server 10gインスタンス、Oracle Single Sign-OnおよびOracle Internet Directoryと統合されている環境では、このプロセスが次のように変更されます。

ログイン・ページの概要

スタンドアロンE-Business Suite環境では、すべてのユーザーおよびシステム管理者はE-Business Suiteの「AppsLogin」ページを介して接続します。ユーザーは、このページからE-Business Suiteのログイン・ページにリダイレクトされ、そこでユーザーIDとパスワードがFND_USER表と対照して認証されます。次に、E-Business SuiteでFND_USER表のエントリと対照してアプリケーション職責が参照され、ユーザーの承認が決定されます。

E-Business Suiteが外部のOracle Application Server 10gインスタンス、Oracle Single Sign-OnおよびOracle Internet Directoryと統合されている環境では、次の重要事項が適用されます。

ログイン・プロセスは、E-Business Suiteのプロファイル・オプション・グループで制御されます。各プロファイル・オプションの詳細は後述します。

ログイン・プロセスに関係する主要コンポーネントは、次のとおりです。

AppsLogin

<http://[host]:[port]/OA_HTML/AppsLogin.jsp>

ログイン・ルートは、プロファイル・オプション「アプリケーションSSOタイプ」(APPS_SSO)により決定されます。E-BusinessインスタンスがOracle Single Sign-Onと統合されている場合は、これを「SSWA (SSO)」に設定する必要があります。ユーザーはOracle Single Sign-Onサーバーのログイン・ページにリダイレクトされ、資格証明(ユーザー名とパスワード)の入力後にLDAPサーバーと対照して認証されます。

AppsLocalLogin

<http://[host]:[port]/OA_HTML/AppsLocalLogin.jsp>

ログイン・ルートは、プロファイル・オプション「アプリケーションSSOタイプ」(APPS_SSO)により決定されます。このサイト・レベルのプロファイルが「SSWA」に設定されている場合、ユーザーにはログイン・ページが表示され、資格証明(ユーザー名とパスワード)を入力すると、E-Businessインスタンスと対照して認証されます。

リリース11iでは、「ローカル・ログイン・マスク」プロファイル・オプションを使用してログイン・ページをカスタマイズできます。リリース12では、このプロファイル・オプションが廃止されています。新規のログイン・ページはOracle Frameworkベースのページであるため、Frameworkのパーソナライズを使用してリージョンがパーソナライズされます。管理者は、プロファイルFND_PERSONALIZATION_REGION_LINK_ENABLEDを「Yes」に設定して、ページをパーソナライズできます。

デフォルトでは、ログイン・ページのリージョンがすべて表示されます。次の項目をパーソナライズできます。

カスタム・ログイン・ページ

システム管理者は、カスタム・ログイン・ページを作成できます。カスタム・ページはサーブレットAuthenticateUserに転記する必要があり、2つの属性(ユーザー名およびパスワード)を必要とします。ユーザー認証に成功すると、サーブレットによりユーザーがrequestUrlで定義された宛先またはデフォルトのAPPSHOMEPAGEにリダイレクトされます。認証に失敗すると、サーブレットによりユーザーがログイン・ページにリダイレクトされ、パラメータerrCodeにエラー・メッセージが表示されます。

カスタム・ログイン・ページを配置する手順は、次のとおりです。

  1. 新規サーブレットをOA_HTMLディレクトリに置きます。

  2. 新機能(FND_FORM_FUNCTION)を作成します。この機能のweb_html値に、新規ログイン・ページのファイル名を移入する必要があります。APPS_LOGINで始まる機能コードを使用してください。

  3. この機能をAPPS_LOGIN_DEFAULTメニューに割り当てます。このメニューは全ユーザー(guestを含む)に付与されているため、付与フラグは不要です。

  4. プロファイル・オプションAPPS_LOGIN_FUNCTIONを新規の機能名で更新します。このプロファイルのドロップダウンで問合せされるのは、APPS_LOGINで始まる機能コードのみです。

注意: 「パーソナル・ホームページ」ログイン(ICXINDEX.htm)は廃止され、AppsLocalLogin.jspで置き換えられています。

CRMLoginサーブレットとjtflogin.jsp

<http://[host]:[port]/oa_servlets/CRMLogin.jsp>
http://[host]:[port]/OA_HTML/jtflogin.jsp

CRM System Administrator Consoleには、新しい推奨ログイン・フローが存在します。ログインにサーブレットCRMLoginを使用できます。このサーブレットでは、システムがSSO対応かどうかがチェックされ、ユーザーが適切なログイン・ページに送られます。古いログイン・ページjtflogin.jspも引き続きサポートされていますが、jtflogin.jspがカスタマイズされている場合にのみ使用することをお薦めします。

OAMLogin

http://[host]:[port]/servlets/weboam/oam/oamLogin

プロンプトでApplicationsユーザー・アカウントおよびパスワードを要求されます。ログインに成功すると、OAMコンソールから接続したApplicationsシステムが表示されます。「システム管理者」およびSelf-Serviceシステム管理者職責を持つApplicationsユーザーとしてログインする必要があります。

プロファイルとプロファイル・カテゴリ

ログイン・プロセスは、E-Business Suiteのプロファイル・オプション・グループにより決定されます。各プロファイルは、後述のように複数のカテゴリにわかれています。ログオン・プロセスに関係する主要コンポーネントは、次のとおりです。

ログインおよびログアウト関連のプロファイル

このカテゴリで説明するプロファイルは、すべてログインおよびログアウト・プロセスに関連しています。

アプリケーションSSOタイプ(APPS_SSO)

このプロファイルの機能は、次のとおりです。

このプロファイルにより、ユーザーのログインおよび認証操作全体が次のように決定されます。

プロファイル値 ログイン・ページ 認証 ユーザー・ディレクトリ 統合モデル 前提条件 ホームページ
SSWA (SSO) SSOログイン・ページ SSOサーバー OID EBSはOracle SSOのパートナ・アプリケーションです。 SSO SDKがEBSインスタンスにインストール済であること。 APPLICATIONS_
HOME_PAGEプロファイルにより設定
ポータル (SSO) SSOログイン・ページ SSOサーバー OID EBSとPortalはSSOのパートナ・アプリケーションです。 SSO SDKがEBSインスタンスにインストール済であること。 Portalホームページ
SSWA EBSログイン・ページ EBS FND_USER 該当なし 該当なし APPLICATIONS_
HOME_PAGEプロファイルにより設定

注意: この表で、EBSはOracle E-Business Suite、OIDはOracle Internet Directory、SSOはOracle Single Sign-On、SSWAはSelf-Service Webアプリケーションです。

Self Serviceパーソナル・ホームページ・モード(APPLICATIONS_HOME_PAGE)

Oracle Portalを使用していない場合、このプロファイルによりアプリケーションのデフォルト・ホームページが決定されます。これは、Oracle E-Business Suiteリリース12にログインしたユーザーに最初に表示されるページです。

このプロファイルの機能は、次のとおりです。

このプロファイルの機能は、次のとおりです。

プロファイル値 説明
フレームワークのみ 新しいOracle E-Business Suiteリリース12ホームページにナビゲートします。
パーソナル・ホームページ 既存のパーソナル・ホームページにナビゲートします。
フレームワーク付きパーソナル・ホームページ 既存のパーソナル・ホームページにナビゲートします。職責のいずれかをクリックすると、新しいOracle E-Business Suiteリリース12ホームページの一部である「ナビゲータ」コンポーネントが表示されます。

アプリケーション・ローカル・ログインURL(APPS_LOCAL_LOGIN_URL)

このプロファイルでは、Oracle E-Business Suiteへのローカル・アクセスの実行に使用するログイン・ページを指定します。「アプリケーションSSOタイプ」プロファイルが「SSWA」に設定されている場合は、アプリケーション・ログイン・サーブレット(AppsLogin)により、このプロファイルで指定したログイン・ページにユーザーがリダイレクトされます。

このプロファイルの機能は、次のとおりです。

Applicationsポータル(APPS_PORTAL)

このプロファイルを使用して、Portal関連の設定を指定します。

注意: E-Business SuiteとOracle Portalの併用の詳細は、『Using Oracle Portal 10g with Oracle E-Business Suite Release 12』(OracleMetaLinkノート380484.1)を参照してください。

このプロファイルの機能は、次のとおりです。

アカウント・リンク用プロファイル

このカテゴリで説明するプロファイル・オプションにより、E-Business Suiteユーザー・アカウントをシングル・サインオン・アカウントにリンクする方法を制御します。

アプリケーションSSO自動リンク・ユーザー(APPS_SSO_AUTO_LINK_USER)

このプロファイルでは、Oracle E-Business Suiteリリース12で、ログイン時にユーザーに対してプロンプトでアプリケーション・アカウントの認証情報を要求せずに、認証済シングル・サインオン・アカウントを同じアカウント名のアプリケーション・アカウントに自動的にリンクするかどうかを指定します。

このプロファイルの機能は、次のとおりです。

アプリケーションSSO許可複数アカウント(APPS_SSO_ALLOW_MULTIPLE_ACCOUNTS)

このプロファイルでは、Oracle E-Business Suiteリリース12インスタンスで、単一のOracle Internet Directoryユーザーを複数のOracle E-Business Suiteユーザー・アカウントにリンク可能にするかどうかを指定します。

このプロファイルの機能は、次のとおりです。

追加アカウントのリンク操作では、このプロファイルを使用します。これは次のことを意味します。

パスワード設定用プロファイル

このカテゴリのプロファイル・オプションでは、Single Sign-On E-Business Suite環境におけるパスワードの管理方法を指定します。

アプリケーションSSOログイン・タイプ(APPS_SSO_LOCAL_LOGIN)

このプロファイルの機能は、次のとおりです。

有効な値は、参照タイプFND_SSO_LOCAL_LOGINで定義されます。

サイト・レベルのデフォルト値はBOTHです。SYSADMINおよびGUESTアカウントのユーザー・レベルの値はLOCALに設定されます。

SYSADMINユーザーとGUESTユーザーのプロファイル・オプションは変更しないでください。sysadminユーザーは、ローカル・ログインにのみ使用可能な標準アカウントであり、Single Sign-Onへのログインには使用できません。Oracle E-Business SuiteでパスワードがEXTERNALに設定された後は、元のパスワードを使用してローカルにログインできなくなります。プロファイルがLOCALアクセスを許可するように変更された場合にパスワードを変更するには、システム管理者がFNDCPASSユーティリティを実行する必要があります。

アプリケーション・ローカルのパスワード変更URL(APPS_LOCAL_CHANGE_PWD_URL)

このプロファイルには、Self-ServiceユーザーがOracle E-Business Suiteパスワードを変更できるページの場所が格納されます。指定するページでは、APPS_SSO_LOCAL_LOGINプロファイルの値が(SSOではなく)BOTHまたはLOCALになっているユーザーにのみ、パスワード変更を許可する必要があります。

このプロファイルの機能は、次のとおりです。

アプリケーションSSOのパスワード変更URL(APPS_SSO_CHANGE_PWD_URL)

このプロファイルは、パスワード変更用のLDAPセルフ・サービス・ユーザー・インタフェースを指します。Oracle E-Business Suite Self-Serviceの「パスワードの変更」ページで、ユーザーのパスワードがLDAPに格納されていると判別された場合は、このプロファイルに格納されている場所にユーザーをリダイレクトできます。

たとえば、パスワードがOracle Internet Directoryに格納されている場合、Oracle Internet DirectoryのDelegated Administration Service(DAS)の「パスワードの変更」ページを、http://<oid_host_name>[:<port>]/oiddas/ui/oracle/ldap/das/mypage/ChgPwdMyPageのように指定できます。

このプロファイルの機能は、次のとおりです。

プロビジョニング設定用プロファイル

このカテゴリのプロファイル・オプションでは、Single Sign-On E-Business Suite環境におけるプロビジョニング(ユーザー・アカウントの自動更新)の実行方法を指定します。

アプリケーションSSO LDAP同期化(APPS_SSO_LDAP_SYNC)

このプロファイルでは、特定のFND_USERアカウントについてプロビジョニングを有効化するかどうかを指定します。FND_USERアカウントに関連付けられているユーザー情報は、ユーザーのAPPS_SSO_LDAP_SYNCプロファイルが「Yes」に設定されている場合にのみ、Oracle Internet Directoryでプロビジョニングされます。

このプロファイルの機能は、次のとおりです。

サイト・レベルの値は、各ユーザーがユーザー・レベルの値を定義しなくてもよいように提供されます。重要な特性は、次のとおりです。

単一のエンタープライズ・ユーザー・アカウントを複数のOracle E-Business Suite(FND_USER)ユーザー・アカウントにリンクすると、一方のアプリケーションのデータにより他方のアプリケーションのデータが上書きされるなど、望ましくない結果を生じる可能性があります。したがって、最初のFND_USERアカウントがリンクされると、それ以降に同じエンタープライズ・アカウントにリンクされる全アカウントについては、APPS_SSO_LDAP_SYNCユーザー・レベル・プロファイル値が「No」に設定されます。このプロファイルのユーザー・レベル値をそれでも変更する必要のあるユーザーは、「シングル・サインオン・アカウント設定」ページを使用して変更できます。

アプリケーションSSO可能OID ID追加イベント(APPS_SSO_OID_IDENTITY)

このプロファイルでは、Oracle Internet Directoryで作成されたユーザーをE-Businessで自動的に作成し、指定のE-Businessインスタンスにサブスクライブするかどうかを指定します。このプロファイルを有効化すると、Oracle Internet Directoryで作成されたユーザーの自動サブスクリプションを許可できます。

このプロファイルの機能は、次のとおりです。

サイト・レベルの値は、各ユーザーがユーザー・レベルの値を定義しなくてもよいように提供されます。重要な特性は、次のとおりです。

プロファイル「アプリケーションSSO可能OID ID追加イベント」の値が「使用不可」の場合、Oracle Internet Directoryで作成されたユーザーは自動的にE-Businessで作成されます。E-Businessで作成(およびサブスクライブ)するには、provsubtoolまたはOIDDASの「サービス受信者の編集」ページを使用して、既存のユーザーを特定のE-Businessインスタンスにサブスクライブしておく必要があります。provsubtoolの詳細は、「provsubtoolを使用した手動サブスクリプション管理」を参照してください。

アプリケーションSSOユーザー作成および更新許可(APPS_SSO_USER_CREATE_UPDATE)

このプロファイルはOracle内部専用で、顧客は使用しません。

ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成

この項では、Oracle E-Business Suiteリリース12インスタンスを、Oracle Internet Directoryリリース10gと統合されたプロビジョニング・アプリケーションとして構成する方法について説明します。目的は、Oracle Internet DirectoryとOracle E-Business Suiteリリース12の間でユーザー情報の同期を保つことです。

プロビジョニング・プロファイルの構成と作成

Oracle E-Business SuiteとOracle Internet Directoryの間の双方向プロビジョニングは、Oracle Directory Integration Platformを介して構築されます。詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。

このソリューションの主機能は、アカウント作成またはユーザー属性の変更の自動プロビジョニング(システム間での更新)を可能にするプロビジョニング統合サービスです。各Oracle E-Business SuiteインスタンスとOracle Internet Directoryの間のプロビジョニング・プロセスは、プロビジョニング・プロファイルにより制御されます。

Oracle Internet Directoryで行われた変更がアプリケーションのプロビジョニング・プロファイルのイベント・サブスクリプション基準に一致している場合、プロビジョニング統合サービスは、そのアプリケーションに新規の関連データを送信するエージェントとなります。反対方向では、プロビジョニング統合サービスはアプリケーションからの変更を(アプリケーションのプロビジョニング・プロファイルの許可されるイベントの基準に従って)フィルタし、適用可能な変更をOracle Internet Directoryに送信します。

このソリューションのメリットの1つは、配置時の高度な柔軟性にあります。つまり、プロビジョニング・プロファイルには高度なカスタマイズが可能です。プロファイルの構成を実行するには、Oracle Application Server 10gでoidprovtoolを使用する方法と、特定の配置の前提となる値を含んだLDIFテンプレート・ファイルを実装する方法があります。

Oracle E-Business SuiteのSingle Sign-On Interoperability Patchには、多数のサンプル・テンプレート・ファイルが付属しています。

プロファイル作成の前提条件

プロファイルを作成する前に、関連するOracle E-Business SuiteインスタンスをOracle Internet Directoryに登録する必要があります。そのためには、Oracle Internet Directoryにインスタンスを表す一意のアプリケーションIDを作成します。

Oracle E-Business Suiteインスタンスは、ディレクトリ情報ツリー(DIT)の“cn=E-Business,cn=Products,cn=OracleContext, <Identity Management Realm>"に作成されます。

作成したアプリケーションID(dnおよびパスワード)を、Oracle E-Business Suiteにも格納する必要があります。アプリケーション管理者は、登録済のアプリケーションIDとパスワードを使用してOracle Internet Directoryに接続し、このアプリケーション・インスタンスとOracle Internet Directoryの間で特定のタスク(プロビジョニング・プロファイル詳細の問合せなど)を実行できることに注意してください。

プロビジョニング・プロファイル: プロビジョニング・イベントの構成

CREATION、MODIFICATIONおよびDELETIONの各イベントを個別に有効化または無効化できます。現在は、次の4つのイベント・タイプが使用されています。

ここでは各イベント・タイプについて個別に説明します。

SUBSCRIPTION_ADD

このイベントは、Oracle Internet DirectoryまたはOracle E-Business Suiteリリース12により生成されます。

Oracle Internet Directoryでは、登録された各Oracle E-Businessインスタンスのサブスクリプション・リストが保守されます。このサブスクリプション・リストでは、関連Oracle E-Business Suiteインスタンスへのアクセスを必要とする、すべてのSingle Sign-Onユーザー・アカウントのリストが保守されます。

IDENTITY_ADD

このイベントは、新規ユーザーの作成時にOracle E-Business SuiteまたはOracle Internet Directoryにより生成されます。このイベントがOracle E-Business SuiteからOracle Internet Directoryという方向で有効化されている場合、Oracle Internet Directoryはこのイベントを受信すると、Oracle Internet DirectoryにOracle Single Sign-Onアカウントを作成し、それをOracle E-Business Suiteリリース12インスタンスのサブスクリプション・リストに追加します。これに対して、このイベントがOracle Internet DirectoryからE-Business Suiteという方向で有効化されており、プロファイル「アプリケーションSSO可能OID ID追加イベント」が「使用可能」に設定されている場合は、Oracle Internet Directoryにより生成されたSUBSCRIPTION_ADDイベントと同じ結果になります。

IDENTITY_MODIFY

このイベントは、ユーザー・アカウントの変更時にOracle Internet DirectoryまたはOracle E-Business Suiteにより生成されます。このイベントがいずれかの方向で有効化されている場合、受信側システムはそのシステム上のアカウントに変更内容を適用します。

IDENTITY_DELETE

このイベントは、Oracle Single Sign-Onアカウントの削除時にOracle Internet Directoryにより生成されます。このイベントがOracle Internet DirectoryからOracle E-Business Suiteという方向で有効化されている場合、Oracle E-Business Suiteリリース12インスタンスは、このイベントを受信した後、Oracle Single Sign-Onアカウントにリンクされているアプリケーション・アカウントに終了日を設定します。

プロビジョニング方向

各イベントは、次の方向で有効化できます。

属性リスト

プロビジョニングされる属性のリストは、必要に応じて方向ごと、イベント・タイプごとにカスタマイズできます(属性リストから属性を削除すると、その属性は送信不可になります)。各方向で現在サポートされている属性のリストと、Oracle Internet Directory属性とアプリケーション表および列名のマッピングについては、「サポートされている属性」を参照してください。

ポーリング間隔

デフォルトでは、Oracle Internet Directoryからプロビジョニング・イベントが60秒間隔で送信されます。この値を増減させるには、oidprovtoolを使用する方法と、プロビジョニング・テンプレート(後述)でorclodipprofileschedule属性の値を編集する方法があります。ポーリング間隔は慎重に設定する必要があります。プロビジョニング頻度がサイト・アクティビティに十分でなければ操作に影響する可能性がありますが、必要以上に頻度が高いと不要なネットワーク通信量が発生する結果となります。

プロファイルの作成

プロファイルについて構成可能な変数の値を決定した後、Oracle Internet Directoryでプロファイルを作成するには2つの方法があります。第1のオプションは、oidProvToolです(『Oracle Internet Directory管理者ガイド』の付録Aを参照)。このツールは、Oracle Application Server 10gインスタンスで起動する必要があります。第2のオプションは、構成の選択内容を取得するLDIFテンプレートをインスタンス化することです。インスタンス化したテンプレートは、ldapmodifyコマンドを使用してOracle Internet Directoryにロードできます。この方法は、Oracle E-Business Suiteで使用するOracle Application Server 10gインスタンスでも実行できます。ここではテンプレートを使用する方法を説明します。

プロビジョニング・テンプレートからのプロファイル作成

プロビジョニング・プロファイルを作成する手順は、次のとおりです。

  1. 選択した配置に基づいて適切なテンプレートを作成します。付属のサンプル・テンプレートを例および出発点として使用できます。

  2. 配置固有の値を指定してテンプレートをインスタンス化し、LDIFファイルを生成します。

  3. LDIFファイルをOracle Internet Directoryにロードします。

LDIFファイルがロードされると、Oracle Internet Directoryにより、プロファイルが作成されたOracle E-Business Suiteインスタンスとの間で、プロビジョニング・イベントの送信とポーリングが開始されます。プロビジョニング・サービスにより新規プロファイルの追加または既存プロファイルの変更が検出されるまでに、約2分かかります。その後、新規プロファイルまたは更新されたプロファイルがサービスにより読み取られます。

Oracle E-Business Suite Single Sign-On Consolidated Patchsetには、最も一般的な配置シナリオに基づいてプロビジョニング・プロファイルを作成するための、4つのサンプル・テンプレートが含まれています。

適切な使用テンプレートを決定するために、Oracle E-Business Suite管理者は、プロビジョニング方向と各方向で有効化する必要のあるプロビジョニング・イベントを決定する必要があります。この項で説明する配置シナリオを参考として使用できます。

たとえば、Oracle E-Business SuiteインスタンスがOracle Internet Directoryにイベントを送信するのみでよい場合は、INBOUNDプロビジョニング・プロファイルを作成する必要があります。Oracle E-Business SuiteインスタンスがOracle Internet Directoryからプロビジョニング・イベントを受信するのみでよい場合は、OUTBOUNDプロファイルを作成する必要があります。

プロビジョニング・イベントを双方向に送信する必要がある場合は、双方向プロファイル(BOTH)を作成します。

可能な場合は、E-Business Suiteに用意されているベース・プロビジョニング・プロファイル・テンプレートを使用することをお薦めします。オラクル社は、使用可能なOracleリソースと専門知識に従って、標準的なプロビジョニング・プロファイル・テンプレートのカスタマイズをサポートするために最善の努力を傾けています。特定のカスタマイズ環境のあらゆる側面を再現することは困難なため、特定のカスタマイズの要件と問題点については、Oracle Consultingに問い合せてください。機能の追加が必要な場合は、この統合の将来のリリース用に拡張の要求として記録することができます。

サンプル・テンプレート・ファイル

双方向プロビジョニング・プロファイル用の次のテンプレート・ファイルには、テンプレート・ファイルの構造とその他の構成オプションを理解しやすいように、コメントと空白が追加されています。

# This section contains the MAIN profile entry.
#
dn: orclODIPProfileName=%s_GUID_IdentityRealm%_%s_GUID_Application%, cn=Provisioning Profiles, cn=Changelog Subscriber, cn=Oracle Internet Directory
#                -- DN of the main profile.
#
changetype: add
#
orclodipprovisioningorgguid: %s_GUID_IdentityRealm%        -- GUID of the realm DN.
#
orclodipprofileexecgroupid: 0                       -- For scalability issues. Not used
#                        -- by default.
#
orclodipprofileschedule: 60                          -- Sets event propagation interval in
#                        -- seconds.
#
orclodipprofilemaxeventsperschedule: 100           -- Maximum number of events allowed in #                        -- one schedule.
#
orclodipprofileinterfacename: %PACKAGE_NAME%        -- Package in which the procedures are #                        -- installed.
#
orclversion: 2.0                       -- Internal identifier. DO NOT CHANGE.
#
orclstatus: ENABLED             -- Used to temporarily enable or disable a profile.
#
orclodipprofileinterfaceconnectinformation: %DBHOST%:%DBLSNRPORT%:%DBSID%:%DBUSER%:%DBPASSWORD%        -- Remote database
#                                -- connection information
#
orclodipprofileinterfacetype: PLSQL                  -- Interface type, always PLSQL.
orclodipprovisioningappname: %s_AppName%             -- Application name of the
#                        -- Oracle E-Business Suite instance
#
orclodipprovisioningorgname: %s_IdentityRealmName% -- Realm name
#
orclodipprofilename: %s_GUID_IdentityRealm%_%s_GUID_Application% -- Profile name.
#
orclodipprofilemaxretries: 5        -- Maximum retries before giving up as failure.
#
orclodipprofilemaxerrors: 50        -- Maximum errors before giving up as failure.
#
orclodipprofiledebuglevel: 0        -- Specify level of tracing of this profile.
#
orclodipprofilemaxeventsperinvocation: 1                     -- Not used at present.
#
orclodipprofileinterfaceversion: 2.0          -- Internal identifier. DO NOT CHANGE.
#
orclodipprovisioningappguid: %s_GUID_Application%        -- GUID of the Oracle #                                -- E-Business Suite Release 12 #                                -- application DN.
objectclass: top
objectclass: orclODIPProvisioningIntegrationProfileV2
objectclass: orclODIPIntegrationProfile
#
# The following section contains the INBOUND properties of the profile.
# It is a child of the MAIN profile entry.
#
# It is possible to selectively turn the INBOUND capability ON or OFF by modifying
# the “orclstatus” attribute of the INBOUND profile only.
#
# The attribute “orclodipprovisioningeventpermittedoperations” indicates the list of # events allowed for this profile. If the Oracle E-Business Suite instance sends any # other event, it will be rejected. This capability is used by the administrator to
# assign different privileges to the different Oracle E-Business Suite instances. For # example, the profile of the HR instance might be given the privilege to accept
# IDENTITY_ADD/MODIFY/DELETE events, but the Financials instance might not be given
# these privileges. The administrator needs to decide the privileges needed by each
# Oracle E-Business Suite instance, and set up the profile accordingly.
#
# This attribute is meant for INBOUND Events only (multi-valued), and is used to
# define the types of EVENT an application is privileged to send to the Provisioning # Integration Service.
#
# Format:
# Event_Object: Affected Domain:Operation(Attributes,…)
# Example (1) IDENTITY:cn=users,dc=acme,dc=com:ADD(*)
# This means that IDENTITY_ADD event is allowed for the specified domain and all
# attributes are also allowed.
#
# Example (2) IDENTITY:cn=users,dc=acme,dc=com:MODIFY(cn,sn.mail,telephonenumber)
# This means that IDENTITY_MODIFY is allowed only for the attributes in the list.
# Any extra attributes will be silently ignored.
#
# The attribute “orclodipprovisioningeventmappingrules” is used to organize
# categories of Oracle Internet Directory user into separate containers, if this is
# required. Specifically, it maps the type of object received from an application
# with a qualifying filter condition, in order to determine the domain of interest
# for this event. It is a multi-valued attribute, for use with INBOUND events only.
#
# Format:
# OBJECT_TYPE: Filter condition: Domain Of Interest
# Multiple rules are allowed.
#
# Example 1
# FND:cn=usersdc=us,dc=oracle,dc=com
# This means that if the object type received is “FND”, the event is meant for the
# domain “cn=users,dc=us,dc=oracle,dc=com”.
#
# Example 2
# EMP:l=AMERICA:l=AMER,cn=users,dc=acme,dc=com
# This means that if the object type received is “EMP”, and the event has the
# attribute l (locality) # and its value is “AMERICA” , the event is meant for the
# domain “l=AMER,cn=users,dc=acme,dc=com”.
#
dn: cn=ApplicationToOID,
orclODIPProfileName=%s_GUID_IdentityRealm%_%s_GUID_Application%,cn=Provisioning Profiles, cn=Changelog Subscriber, cn=Oracle Internet Directory
#                                -- DN of the INBOUND profile
changetype: add
orclodipprovisioningeventpermittedoperations:
IDENTITY:%s_IdentityRealm%:ADD(cn,sn,mail,userpassword,description)
#                                -- Attributes allowed for IDENTITY_ADD event
#
orclodipprovisioningeventpermittedoperations:
IDENTITY:%s_IdentityRealm%:MODIFY(cn,sn,mail,userpassword,description)
#                                -- Attributes allowed for IDENTITY_MODIFY event
#
orclodipprovisioningeventpermittedoperations:
IDENTITY:%s_IdentityRealm%:DELETE
#                             -- IDENTITY_DELETE event
#
orclodipprovisioningeventpermittedoperations:
SUBSCRIPTION:%s_IdentityRealm%:ADD(*)
#                             -- SUBSCRIPTION_ADD event
#
orclodipprovisioningeventpermittedoperations: SUBSCRIPTION:%s_IdentityRealm%:MODIFY(*)
#                                –- NOT USED
#
orclodipprovisioningeventpermittedoperations:
SUBSCRIPTION:%s_IdentityRealm%:DELETE
#                                -- NOT USED
#
orclstatus: ENABLE                -- Used to temporarily enable or disable the
#                                -- INBOUND profile.
#
objectclass: top
objectclass: orclODIPProvisioningIntegrationInBoundProfileV2
orclodipprofilelastappliedappeventid: 0
orclodipprovisioningeventmappingrules: FND::cn=users,%s_IdentityRealm%
orclodipprovisioningeventmappingrules: HR::cn=users,%s_IdentityRealm%
orclodipprovisioningeventmappingrules: TCA::cn=users,%s_IdentityRealm%
orclodipprovisioningappguid: %s_GUID_Application%
cn: ApplicationToOID
#
# The following section contains the OUTBOUND properties of the profile.
# Like the INBOUND section, it is a child of the MAIN profile entry.
#
# It is possible to selectively turn the OUTBOUND capability ON or OFF by modifying
# the “orclstatus” attribute of the OUTBOUND profile only.
#
# The attribute “orclodipprovisioningeventsubscription” lists the events and
# attributes for this profile. It is for use with multi-valued OUTBOUND events for
# which the DIP server should send notification to this application. Oracle Internet # Directory will transfer only those events and attributes specified in the profile. # This attribute is for use by the administrator.
#
# The format of this string is:
# "[USER]GROUP]:[Domain of interest>]:[DELETE]ADD]MODIFY(<comma-separated list of
# attributes>)]"
#
# Multiple values may be specified by listing the parameter multiple times, each with # a different value. There are no default values.
#
dn: cn=OIDToApplication, orclODIPProfileName=%s_GUID_IdentityRealm%_%s_GUID_Application%,cn=Provisioning Profiles, cn=Changelog Subscriber, cn=Oracle Internet Directory
#                                                -- DN of the OUTBOUND profile
changetype: add
orclsubscriberdisable: 0
orclodipprovisioningeventsubscription: IDENTITY:%s_IdentityRealm%:ADD(cn,sn,mail,userpassword,description)
orclodipprovisioningeventsubscription: IDENTITY:%s_IdentityRealm%:MODIFY(cn,sn,mail,userpassword,description)
orclodipprovisioningeventsubscription: IDENTITY:%s_IdentityRealm%:DELETE
orclodipprovisioningeventsubscription: SUBSCRIPTION:%s_IdentityRealm%:ADD(*)
orclodipprovisioningeventsubscription: SUBSCRIPTION:%s_IdentityRealm%:MODIFY(*)
orclodipprovisioningeventsubscription: SUBSCRIPTION:%s_IdentityRealm%:DELETE
orcllastappliedchangenumber: %s_LastChange%         -- Event number. All events up to this
#                                                -- number have already been sent.
orclodipprovisioningappguid: %s_GUID_Application%
orclstatus: ENABLED
objectclass: top
objectclass: orclODIPProvisioningIntegrationOutBoundProfileV2
objectclass: orclChangeSubscriber
cn: OIDToApplication

プロビジョニング・プロセスの管理

プロビジョニング・プロセスのモニター・タスクや他の管理タスクは、通常、Oracle Internet Directoryシステム管理者が行います。詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。

DIPサーバーのログ・ファイルの保守

メインDIPログ・ファイルは、$ORACLE_HOME/ldap/log/odisrv<instance number>.logディレクトリにあります。<instance number>は一意の整数ID(1など)です。このIDは、システム管理者がDIPサーバーの起動に使用するoidctlコマンドラインの一部としてインスタンス・パラメータを指定するときに割り当てます。

プロビジョニング・プロファイルのログは、$ORACLE_HOME/ldap/odi/logディレクトリにあります。各ログ・ファイル名の書式は<ApplicationName>_<RealmName>_[I/E].[trc/aud]です。

各項目の意味は、次のとおりです。

注意: 詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。

プロファイルの有効化または無効化

oidProvToolを使用します。このツールの使用方法は、『Oracle Internet Directory管理者ガイド』を参照してください。

既存のプロファイル特性の変更

プロビジョニング・プロファイルのプロパティを変更する場合は、次の手順を実行する必要があります。

  1. oidProvToolを使用して既存のプロファイルを削除します。

  2. oidProvToolを使用して、現行の要件を満たす新規プロファイルを作成します。

DIPサーバーがプロビジョニング・プロファイル・エントリの変更を検出するまでに、約2分かかります。この間に、新規プロファイル構成エントリが読み取られ、新規構成に基づいてイベントの処理が開始されます。

E-Business Suiteデータベース・アカウント・パスワードの変更

APPSデータベース・アカウント・パスワードは、特定のE-Business SuiteインスタンスについてOracle Internet Directoryにプロビジョニング・プロファイルを登録する際に使用されます。そのインスタンスのAPPSデータベース・アカウント・パスワードがE-Business SuiteのFNDCPASSユーティリティを使用して変更された場合は、Oracle Internet Directoryのプロビジョニング・プロファイルを新規情報で更新する必要があります。この更新は、Oracle Internet Directoryのoidprovtoolコマンドライン・ユーティリティを使用して実行できます。

oidprovtoolの使用方法

このツールのコマンド構文は、次のとおりです。

oidprovtool operation=modify \
ldap_host=<OID Server hostname> ldap_port=<OID Server Port> \
ldap_user_dn="cn=orcladmin" ldap_user_password=<orcladmin Password> \
application_dn="<The LDAP distinguished name of the application>" \
interface_connect_info=<E-Business Suite connect info of the format, host:port:Sid:username:password>

次に例を示します。

oidprovtool operation=modify \
ldap_host=infra30qa  ldap_port=3060 \
ldap_user_dn=cn="orcladmin"  ldap_user_password=welcome1 \
application_dn="orclApplicationCommonName=ebizqa,cn=EBusiness,cn=Products,cn=OracleContext,dc=us,dc=oracle,dc=com" \
interface_connect_info=ebiz30qa:1521:ebizqa:apps:welcome2

次に出力例を示します。

orclODIPProfileName=EA3EFF8640819A51F0301990304E5D0B_EA960F743D5D7552F0301990304E34B3, cn=Provisioning Profiles, cn=Changelog Subscriber,cn=Oracle Internet Directory
The Provisioning Profile for the Application has been modified.

oidprovtoolユーティリティの詳細は、『Oracle Internet Directory管理者ガイド』の付録Aを参照してください。

Provsubtoolを使用した手動サブスクリプション管理

Provsubtoolサブスクリプション管理ツール

E-Business Suiteのシングル・サインオン・プロファイル・オプションの構成によっては、一部のユーザーのサブスクリプションの手動管理が必要になる場合があります。

Oracle Internet Directoryでアプリケーション固有のサブスクリプション・リストを管理するには、provsubtoolコマンドライン・ユーティリティを使用します。このツールを使用できるのは、アプリケーション管理者またはID管理レルム管理者(orcladminなど)です。

$ORACLE_HOME/ldap/odi/bin/provsubtool.orcとして出荷されるツールの実行権限を持っていない場合は、このファイルを$ORACLE_HOME/binにコピーするか、書込み権限と実行権限の両方を持っている他の適切な場所にコピーする必要があります。

このツール固有の用途では次の操作を実行します。

コマンドライン・パラメータ

パラメータ名 必須
または
オプション 		デフォルト値 パラメータの説明
LDAP_HOST オプション Local host LDAPサーバーのホスト。
LDAP_PORT オプション 389 LDAPサーバーのポート。
APP_DN 必須 なし アプリケーションIDのDN(例: orclapplicationcommonname=Financials,cn=EBusiness,cn=Products,cn=OracleContext,<Identity Realm>)。
APP_PWD 必須 なし アプリケーションDNのパスワード。
REALM_DN 必須 なし ID管理レルムのDN(例: dc=ganseycorp,dc=com)。
LIST_NAME オプション ACCOUNTS サブスクリプション・リスト名。デフォルトでは、Oracle E-Business Suiteインスタンス用にACCOUNTSが作成されます。
OPERATION 必須 なし ADD、REMOVE、LIST。LISTオプションを指定すると、サブスクリプション・リストの現行メンバーがすべてリストされます。
FILE_NAME オプション members.lst ユーザー・リストが単純名またはDNとして含まれているファイル。
FILE_TYPE オプション 0 0 = 単純名
1 = DN
LOG_FILE オプション report.log 出力ログ・ファイル。コマンドの出力は、パラメータLOG_FILEで指定したファイルに書き込まれます。ファイル名を指定しなければ、デフォルトのreport.logが使用されます。
DEBUG オプション 0 デバッグのオン/オフ(0または1)。
MAX_ERRORS オプション 1000 この数のエラーが発生すると、操作が異常終了します。エラー数がMAX_ERRORSパラメータで指定した値を(多数のユーザーをバッチで追加する際のバルク操作中に)超えると、コマンドは失敗します。

手動によるユーザーの追加と削除

Oracle Internet DirectoryでIDレルムdc=ganseycorp,dc=comについてorclapplicationcommonname=Financials,cn=EBusiness,cn=Products,cn=OracleContext,<Identity Realm>として登録されているFinancials E-Business Suiteインスタンスを考えてみます。

ニックネームjohn.smithを持つユーザーをデフォルトのサブスクリプション・リストACCOUNTSに追加するには、入力ファイル(この場合はデフォルト名members.lstを使用)にjohn.smithという行を追加して、次のコマンドを実行します。

provsubtool ldap_host=LDAP_HOST ldap_port=LDAP_PORT \
app_dn="orclapplicationcommonname=Financials,cn=EBusiness,\
cn=Products,cn=OracleContext,dc=ganseycorp,dc=com" \
realm_dn=”dc=ganseycorp,dc=com”
list_name=ACCOUNTS \
operation=ADD \
file_name=members.lst
file_type=0 \
app_pwd=tea4two

ユーザーを削除するには、単に操作ADDを操作REMOVEに置き換えて、同じ手順に従います。

provsubtool ldap_host=LDAP_HOST ldap_port=LDAP_PORT \
app_dn="orclapplicationcommonname=Financials,cn=EBusiness,cn=Products,cn=OracleContext,dc=ganseycorp,dc=com" \
realm_dn=”dc=ganseycorp,dc=com”
list_name=ACCOUNTS \
operation=REMOVE \
file_name=members.lst
file_type=0 \
app_pwd=tea4two

Oracle E-Business Suiteリリース12とOracle Internet Directoryの間のデータ移行

Oracle E-Business Suiteリリース12のユーザー移行ユーティリティには、次のツールが組み込まれています。

Oracle E-Business Suiteリリース12とOracle Internet Directoryの間の移行プロセスとこれらのツールの使用方法の詳細は、次の項を参照してください。

Oracle E-Business Suiteリリース12からOracle Internet Directoryへの既存アプリケーション・アカウントの移行

Oracle E-Business Suite管理者はAppsUserExportを使用して、選択した一連のアプリケーション・アカウントを、Oracle E-Business Suiteリリース12システム固有のユーザー・ディレクトリ(FND_USER)から中間LDIFファイルにエクスポートできます。次に、Oracle Internet Directory管理者が、Oracle Internet Directoryについて選択した配置に基づき、Oracle Internet Directoryのldifmigratorユーティリティを使用して、この中間LDIFファイルを最終LDIFファイルに変換します。次に、Oracle Internet Directory管理者が最終LDIFファイルをOracle Internet Directoryにロードします。

図についてはテキストで説明

移行プロセス全体と中間LDIFファイルの形式の詳細は、『Oracle Internet Directory管理者ガイド』の他のディレクトリからのデータの移行に関する項を参照してください。ldifmigratorツールについては、『Oracle Internet Directory管理者ガイド』の付録A「LDIFとコマンドライン・ツールの構文」を参照してください。次の項では、アプリケーション固有のタスクを中心に説明します。

タスク1: 中間LDIFファイルへのアプリケーション・アカウントのエクスポート

アプリケーション管理者は、エクスポートするアカウントを決定した後、次のプロファイルを使用してアカウントを移行するかどうかを指定できます。

Oracle E-Business Suiteには、SYSADMINやGUESTなどの標準アカウントが多数用意されています。これらのアカウントは移行しないでください。これを規定するために、SYSADMINおよびGUESTアカウントは「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)が「LOCAL」、「アプリケーションSSO LDAP同期化」(APPS_SSO_LDAP_SYNC)が「No」に設定された状態で事前シードされています。管理者は、他に移行対象外にする必要のあるアカウント、特にuser_idが10未満のアカウントがあるかどうかをチェックする必要があります。user_idをチェックするには、user_id<10のFND_USERからuser_nameを選択します。これらの標準アカウントを使用できるのはローカル・ログインのみで、Single Sign-Onへのログインには使用できません。

AppsUserExportを使用したユーザー情報の抽出

AppsUserExportツールを使用して、アプリケーション・ユーザー情報を中間LDIFファイルに抽出します。このツールはコマンドラインから起動します。

注意: E-Business SuiteからOracle Internet Directoryに移行する属性のリストは、現在、「サポートされている属性」に示す属性に制限されています。

AppsUserExportツールを起動するには、環境が正しく設定されていること($APPL_TOP/javaがCLASSPATH環境変数に含まれていること)を確認し、次の構文を使用します。必要に応じて同じコマンドラインにすべてのパラメータを入力できることに注意してください。次の例では、わかりやすいように各パラメータが(UNIXの継続文字「\」を使用して)個別の行に示されています。

java oracle.apps.fnd.oid.AppsUserExport \ [-v]
–dbc <dbcfile> \
-o <outputfile> \
-pwd <apps schema pwd> \
-g
[-l <logfile>]

各項目の意味は、次のとおりです。

[-v]: 詳細モードで実行します。

<dbcfile>: Applicationsのdbcfileへのフルパスです。

<outputfile>: 中間LDIFファイルです。

<apps schema pwd>: Appsスキーマのパスワードです。

-g: ユーザーのGUIDを作成してOIDにコピーします。

<logfile>: ログ・ファイル(デフォルトは<outputfile>.log)です。

次に例を示します。

java oracle.apps.fnd.oid.AppsUserExport \
-v \
-dbc $FND_TOP/secure/myebiz.dbc \
-o users.txt \
-pwd welcome \
-g \
-l users.log

警告: 生成されたデータ・ファイルとログ・ファイルには、ユーザーのアカウントの開始日と終了日などの機密情報が含まれている場合があるため、適切に保護する必要があります。

タスク2: 中間LDIFファイルから最終LDIFファイルへの変換

データをOracle Internet Directoryにロードする前に、Oracle Internet Directory管理者は次のことを確認する必要があります。

中間LDIFファイルを最終LDIF形式に変換する手順は、次のとおりです。

  1. oidprovtoolでoperation=DISABLEを指定して、移行開始前にプロファイルを無効化します。次に例を示します。

    oidprovtool operation=disable \
ldap_host=beta.ganseycorp.com \
ldap_port=3060 \
ldap_user_dn=cn=orcladmin \
ldap_user_password=l1ghth0use \
application_dn=”orclApplicationCommonName=beta,cn=EBusiness,cn=Products,cn=OracleContext,dc=us,dc=ganseycorp,dc=com” \
profile_mode=BOTH

    重要: application_dnパラメータでは、カンマの後に空白を挿入しないでください。

  2. 移行完了後に、プロファイルのlastchangenumber属性を更新します。

    まず、ldapsearchコマンドを使用してOracle Internet Directoryの現行の最終変更番号を検索します。

    $ORACLE_HOME/bin/ldapsearch -h <host> -p <port> -D <bindDN> -w <bindDN pwd> -s base -b "" "objectclass=*" lastchangenumber$ORACLE_HOME/bin/ldapsearch –h <host> \

    次に、oidprovtoolコマンドを使用して、lastchangenumber属性を前述の手順で検出した番号に更新します。

    oidprovtool operation=MODIFY \
ldap_host=<ldap_host> \
ldap_port=<ldap_port> \
ldap_user_dn=<user to connect to LDAP> \
ldap_user_password=<user password> \
application_dn=<dn of the registered app for which the profile is modified> \
orclLastAppliedChangeNumber=<n>

    次に例を示します。

    oidprovtool operation=MODIFY \
ldap_host=beta.ganseycorp.com \
ldap_port=3060 \
ldap_user_dn=cn=orcladmin \
ldap_user_password=l1ghth0use \ application_dn=”orclApplicationCommonName=beta,cn=EBusiness,cn=Products,cn=OracleContext,dc=ganseycorp,dc=com” \
orclLastAppliedChangeNumber=100

  3. oidprovtoolでoperation=ENABLEを指定して、プロファイルを有効化します。

  4. AppsUserExportにより作成された中間LDIFファイルには、Oracle Internet Directory管理者がOracle Internet Directoryのldifmigratorユーティリティを使用してインスタンス化する必要のある2つの変数が含まれています。

    次に例を示します。

    ldifmigrator "input_file=data.txt" \
"output_file=data.ldif" \
"s_UserContainerDN=cn=users,dc=us,dc=oracle,dc=com" \
"s_UserNicknameAttribute=uid"

重要: 前述の変数名には大/小文字区別があることに注意してください。

Oracle Internet Directoryコマンドライン・ツール(oidprovtoolやldapsearchなど)の実行中に問題が発生した場合の詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。

タスク3: Oracle Internet Directoryへの最終LDIFファイルのロード

最終LDIFファイルの生成が完了すると、Oracle Internet Directoryのbulkloadツールを使用してユーザー・データをOracle Internet Directoryにロードできます。この項では、このタスクの実行に必要な最小限のコマンドライン・オプションについて説明しますが、さらに高度な要件がある場合は他にも使用可能なオプションがあります。

注意: このツールの使用方法の詳細は、『Oracle Internet Directory管理者ガイド』の一括操作用コマンドライン・ツールの構文に関する項を参照してください。

bulkload.shを実行してバルクロードを実行する前に、実行中のOIDプロセス(odisrvなど)がないことを確認する必要があります。

バルクロード対象のLDIFファイルに含まれるユーザー・ネームスペースは、一意でオーバーラップしていない必要があります。ユーザーをOIDにバルクロードする際に衝突(重複ユーザー)が存在する可能性があります。衝突が発生するのは、単一のOIDインスタンスに複数のソースを統合する場合、または同じLDIFファイルに対してbulkloadユーティリティを2度以上実行する場合です。様々な問題の原因となるため、衝突が発生しないことを次の手順で確認してください。

  1. -checkおよび-generateオプションを指定してbulkloadユーティリティを実行し、重複ユーザーが存在しないことを確認します。次に例を示します。

    bulkload.sh –connect <connect string> -check –generate <fully qualified path to LDIF file>

  2. ログ・ファイルで重複ユーザーの有無をチェックします。

  3. ログ・ファイルが重複ユーザーの存在を示している場合は、そのユーザーを手動でLDIFファイルから削除します。

  4. 手順1を再実行して、重複がすべて正常に削除されたことを確認します。

  5. すべての重複が削除された後、-loadオプションを指定してbulkloadユーティリティを実行し、ユーザーをロードします。

    次に例を示します。

    bulkload.sh –connect <connect string> –load <fully qualified path to LDIF file>

複数のLDIFファイルのインポート

bulkloadを使用すると、複数のLDIFファイルをインポートできます。最も一般的な使用例は、異なるAppsインスタンスから複数のLDIFファイルが生成される場合です。各Appsインスタンスのユーザー情報を1つのOracle Internet Directoryに連結すると、複数のユーザー・リポジトリの管理に伴うシステム管理上のオーバーヘッドを軽減できる可能性があります。

各AppsインスタンスのLDIFファイルからのユーザー・ネームスペースは、一意でオーバーラップしていない必要があります。たとえば、AppsインスタンスAからインポートするLDIFファイルに存在するJohn.Brownは、AppsインスタンスBからインポートするLDIFファイルには存在できません。これらのユーザー名が同じユーザーに対応していない場合は、AppsインスタンスBのユーザー名を更新する必要があります。これにより、2人のユーザーが区別され、重複がなくなります。それ以外の場合は、インスタンスBのLDIFファイルから重複を削除する必要があります。

AppsインスタンスAのLDIFファイルをOIDにバルクロードした後、AppsインスタンスBのLDIFファイルに対して同じ手順を実行する必要があります。LDIFファイルから重複ユーザーを削除することで、AppsインスタンスBからOIDに一意のユーザーのみをバルクロードします。第3のAppsインスタンスをバルクロードする場合は、同じ手順を実行します。LDIFファイルから重複ユーザーが削除された後、AppsインスタンスCに対して一意のユーザーのみがOIDにバルクロードされます。

代替ロード方法

データが少量の場合は、bulkloadツールのかわりにldapaddツールを使用できます。このツールの使用方法の詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。例: ldapadd -h <ldaphost> -p <ldapport> -D "cn=orcladmin" -w <password> -f data.ldif -v

ヒント: この2つのツールの主な違いは、bulkloadは多数(数10万など)のユーザーID変更を高速処理できるように最適化されているのに対して、ldapaddは少数の変更を1つずつ行うように意図していることです。

中間LDIFファイルのサンプル

次のサンプルは、中間LDIFファイルから抜粋したものです。

# user name = 001
dn:: Y249MDAxLCAlc19Vc2VyQ29udGFpbmVyRE4l
sn:: MDAx
%s_UserNicknameAttribute%:: MDAx
description:: VGVzdGluZyBPSUQgc3luYw==
mail:: MDAxQG9yYWNsZS5jb20=
facsimileTelephoneNumber:: NjUwLTU1NS0xMTEx
orclActiveStartDate: 2003040316242131
orclIsEnabled: ENABLED
userPassword: {MD5}IB8AtcpdZaHBGOXjJDFRTA==
orclGuid: B9A5009B1603A500E030028A9F9E7C98
objectClass: inetOrgPerson
objectClass: orclUserV2

パスワードとバルクロード

タスク4: バルクロードしたユーザー用のサブスクリプションの作成

bulkloadツールによりユーザーが親E-Businessインスタンスに自動的にサブスクライブされることはありません。バルクロードしたユーザー用のサブスクリプションを作成するには、E-Businessデータベースで次のSQL文を実行します。

select user_name from FND_USER where
FND_profile.VALUE_SPECIFIC('APPS_SSO_LOCAL_LOGIN', user_id)<>'LOCAL' and
FND_profile.VALUE_SPECIFIC('APPS_SSO_LDAP_SYNC', user_id)='Y'

さらに、SQLクライアント機能を使用して結果をtxtファイルに保存します。たとえば、SQLナビゲータでは、引用符に<none>を使用し、.lst拡張子を持つ区切り付きファイルに結果を保存できます。provsubtoolを実行し、これらのユーザーをサブスクリプション・リストに追加する方法の詳細は、「Provsubtoolを使用した手動サブスクリプション管理」を参照してください。

Oracle Internet DirectoryからOracle E-Business Suiteリリース12への既存アカウントの移行

LDAPUserImportコマンドライン・ユーティリティは、Oracle Internet Directoryから生成されたLDIFファイルを使用して、適切なデータをE-Business Suiteスキーマに挿入します。このユーティリティを使用すると、Oracle Internet DirectoryからOracle E-Business Suiteに既存のアカウントを一括移行できます。LDAPUserImportにより、FNDスキーマとTCAスキーマの両方が更新されます。

警告: ユーザー・アカウントと関連情報をE-Business Suiteにインポートするのは、長時間かかる可能性のあるリソース集中型の操作です。これは、プロセスで大量のビジネス・イベントとDML文が発行されるためです。

タスク1: ldifwriteを使用したLDIFファイルへのOracle Internet Directoryユーザーのエクスポート

Oracle Internet Directoryのldifwriteコマンドライン・ユーティリティを使用すると、LDAPUserImportコマンドライン・ユーティリティを介してE-Business Suiteスキーマにロード可能なLDIFファイルを作成できます。

ldifwriteの構文と使用方法の詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。

一般的なコマンド構文は、次のとおりです。

ldifwrite –c <db connect string> -b <base dn> -f <LDIF file>

例: ldifwrite -c asdb -b "cn=Users,dc=us,dc=oracle,dc=com" -f output.ldif

注意: 次のタスク2に進むまでは、出力ファイルoutput.ldifを変更しないでください。

タスク2: LDAPUserImportを使用したOracle E-Business SuiteへのLDAPユーザーのインポート

LDAPUserImportツールは、次の手順でコマンドラインから実行します。

注意: Oracle Internet DirectoryからE-Business Suiteに移行する属性のリストは、後述の「サポートされている属性」に示す属性に制限されています。

  1. 環境が適切に設定されていることを確認します。$APPL_TOP/javaがCLASSPATH環境変数に含まれている必要があります。

  2. 次の構文でLDAPUserImportツールを起動します。すべてのパラメータを同じコマンドラインに入力できることに注意してください。ここでは、わかりやすいように(UNIXの継続文字「\」を使用して)個別の行に示されています。

java oracle.apps.fnd.oid.LDAPUserImport \
[-v] \
–dbc <dbcfile> \
-f <ldiffile> \
-n <nicknameattribute> \
[-l <logfile>]

各項目の意味は、次のとおりです。

[-v]: 詳細モードで実行します。

<dbcfile>: Applicationsのdbcファイルへのフルパスです。

<ldiffile>: LDIFファイルです。

<nicknameattribute>: OIDでニックネーム属性として使用する属性の名前です。

<logfile>: ログ・ファイル(デフォルトはLDAPUserImport.log)です。

次に例を示します。

java oracle.apps.fnd.oid.LDAPUserImport \
-v \
-dbc $FND_TOP/secure/myebiz.dbc \
-f users.ldif \
-n uid \
-l users.log

OIDユーザーがE-Businessインスタンスに存在する場合、重複レコードは無視され、ログ・ファイルが重複レコードへの参照で更新され、処理は次のOIDレコードに進みます。

ユーザーの有効化と無効化

Oracle Internet DirectoryとE-Business Suiteでは、ユーザーの有効化および無効化イベントの起動および消費方法が異なります。

Oracle E-Business SuiteからOracle Internet Directoryへ

現在、開始日が先日付になっているか終了日が過去の日付になっている新規ユーザー・アカウントは、E-BusinessからOracle Internet Directoryにプロビジョニングされません。このように保留中のユーザー・アカウントについては、対応するプレースホルダ・レコードがOracle Internet Directoryに作成されます。このレコードは、アカウント要求が処理された後に削除されるか有効化されます。

重要: ユーザーを承認時に有効化できるように、Oracle Internet DirectoryでIDENTITY_MODIFYイベントを有効化する必要があります。

Oracle Internet DirectoryからOracle E-Business Suiteへ

Oracle Internet Directoryでのアカウントのステータスは、Oracle E-Business Suiteに「使用可能」または「使用不可」として伝播します。アプリケーション・アカウントの開始日と終了日は更新されず、アプリケーションへのローカル・アクセス権限を持つユーザーには影響しません。

Oracle Internet Directoryから削除されたユーザー・アカウントについては、監査証跡を保守するためにOracle E-Business Suiteで終了日が設定されます。

サポートされている属性

次の2つの表に、Oracle Internet DirectoryとOracle E-Business Suiteの間でプロビジョニング可能な属性を示します。これは、プロビジョニング・テンプレートにリストされる属性のサブセットです。将来のリリースに備えて、その他にも属性が計画されています。

Oracle Internet DirectoryからOracle E-Business Suiteにプロビジョニングされる属性

Oracle Internet Directoryの属性名 FND_USERの列名 TCAの表および列名
UIDおよび[nickname]* USER_NAME  
DESCRIPTION DESCRIPTION  
FACSIMILETELEPHONENUMBER FAX  
MAIL EMAIL_ADDRESS HZ_CONTACT_POINTS.EMAIL_ADDRESS(CONTACT_POINT_TYPEは'EMAIL’)
SN   HZ_PARTIES.PERSON_LAST_NAME
TELEPHONENUMBER   HZ_CONTACT_POINTS.RAW_PHONE_NUMBER(CONTACT_POINT_TYPEは‘PHONE’、CONTACT_POINT_PURPOSEは‘BUSINESS’)
STREET   HZ_LOCATIONS. ADDRESS1
POSTALCODE   HZ_LOCATIONS.POSTAL_CODE
PHYSICALDELIVERYOFFICENAME   HZ_PARTY_SITES.MAILSTOP
ST   HZ_LOCATIONS.STATE
L   HZ_LOCATIONS.CITY
GIVENNAME   HZ_PARTIES.PERSON_FIRST_NAME
HOMEPHONE   HZ_CONTACT_POINTS.PHONE_NUMBER(CONTACT_POINT_TYPEは‘PHONE’、CONTACT_POINT_PURPOSEは'PERSONAL')
C   HZ_LOCATIONS.COUNTRY

* 詳細は、「ニックネーム(ログイン属性)の推奨設定」を参照してください。

Oracle E-Business SuiteからOracle Internet Directoryにプロビジョニングされる属性

FND_USER Oracle Internet Directory
USER_NAME UIDおよび[nickname]*
DESCRIPTION DESCRIPTION
EMAIL_ADDRESS MAIL
FAX FACSIMILETELEPHONENUMBER
END_DATE ORCLACTIVEENDDATE
START_DATE ORCLACTIVESTARTDATE
START_DATE/END_DATE ORCLISENABLED
ENCRYPTED_USER_PASSWORD USERPASSWORD

* 詳細は、「ニックネーム(ログイン属性)の推奨設定」を参照してください。プロビジョニング・プロセスの詳細は、「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」も参照してください。

参考情報およびリソース

この項では、追加情報のリソースについて説明します。

『Installing Oracle Application Server 10g with Oracle E-Business Suite Release 12』

『Oracle Application Server 10g with Oracle E-Business Suite Release 12 Troubleshooting Guide』

『Oracle Application Server with Oracle E-Business Suite Release 12 Documentation Roadmap』

用語集

CN

共通名。ユーザー名を含めることができます。

DN

識別名。DNにより、ディレクトリ内のユーザーが一意に識別されます。DNは、ルートに達するまでの親エントリのすべての個別名で構成されます。

DIP

ディレクトリ統合プラットフォーム(Directory Integration Platform)。Oracle Internet Directory、Oracle E-Business Suiteリリース12およびサード・パーティLDAPサーバー間で双方向でユーザー情報の同期を保つインフラストラクチャ。

DIT

ディレクトリ情報ツリー(Directory information tree)。エントリのDNで構成される階層ツリー形式の構造。

GUID

Global Unique Identifier。シングル・サインオンおよびエンタープライズ・レベルのユーザー管理プロセス中に、ユーザーのアカウントを複数システムで識別するために使用されるトークン。

ID管理レルム(Identity Management Realm)

いずれも同じ管理ポリシーで制御されるIDの集合。企業では、イントラネットへのアクセス権限を持つ従業員全員が1つのレルムに属し、企業の公開アプリケーションにアクセスする外部ユーザー全員が別のレルムに属している場合があります。ディレクトリでは、ID管理レルムは特殊なオブジェクト・クラスが関連付けられた特定のエントリで表されます。

LDAP

Lightweight Directory Access Protocolは、ユーザー・ディレクトリ用のインターネット標準プロトコルおよびスキーマであり、広範な支持を得ています。LDAPは、適切に構成されたクライアントとサーバー間の通信に使用する標準的で拡張可能なディレクトリ・アクセス・プロトコルとみなされています。ディレクトリ・サービスに関する国際標準化機構(ISO)X.500規格の軽量実装として、LDAPがクライアント側に必要とするネットワーク・ソフトウェアは最小限であるため、インターネット・ベースのthinクライアント・アプリケーションには特に魅力的です。現在、Oracle E-Business Suiteリリース12は、Oracle Internet Directoryとのみ直接同期化することが動作保証されています。ただし、Oracle Internet Directory自体は、1つ以上の外部サード・パーティ・ユーザー・ディレクトリと同期化できます。

Oracle Internet Directory

Oracle Internet Directoryは、Oracleデータベース上でアプリケーションとして動作する汎用ディレクトリ・サービスであり、散在するユーザーおよびネットワーク・リソースに関する情報の取得を可能にします。Oracle Internet Directoryにより、LDAPバージョン3がOracleデータベースの高パフォーマンス、拡張性、堅牢性および可用性と結合されます。Oracle Internet Directoryは、Oracleのオペレーティング・システムに依存しないデータベース接続性ソリューションであるOracle Netを介して、同一オペレーティング・システム上または異なるオペレーティング・システム上のデータベースと通信します。Oracle E-Business Suiteは、Oracle Internet Directoryとのみ直接同期化することが動作保証されていますが、Oracle Internet Directory自体は1つ以上の外部サード・パーティ・ユーザー・ディレクトリと同期化できます。詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。

Oracle Single Sign-Onサーバー(Oracle Single Sign-On Server)

オラクル社のシングル・サインオン・ソリューション。Oracle E-Business Suiteリリース12などのWebベース・アプリケーションに対するサポートを提供します。

シングル・サインオン(Single Sign-On)

ユーザーが各アプリケーションに個別にサインオンするかわりに、1度のサインオンで複数のアプリケーションへのアクセスを取得できるようにするテクノロジ。Oracle E-Business Suiteリリース12のコンテキストでは、システム固有のFND_USER表ではなくOracle Single Sign-Onサーバーを使用して認証を実行することを指します。

ニックネーム属性(Nickname Attribute)

ディレクトリ全体でユーザーを一意に識別するための属性。デフォルト値はuidです。アプリケーションでは、この属性を使用して単純ユーザー名が完全識別名に解決されます。ユーザー・ニックネーム属性に複数の値を指定することはできません。つまり、指定のユーザーの複数のニックネームを同じ属性名で格納することはできません。

パートナ・アプリケーション(Partner Application)

Oracle Single Sign-Onサーバー・フレームワーク内で動作するアプリケーション。この種のアプリケーションは、ユーザー認証の役割をOracle Single Sign-Onサーバーに委任するように設計(または変更)されています。Oracle E-Business Suiteリリース12は、パートナ・アプリケーションとして配置できます。

プロビジョニング(Provisioning)

Oracle Internet DirectoryとOracle E-Business Suiteの間でユーザー情報を同期化するプロセス。プロビジョニングの設定方法は、サイトの要件と使用中の構成に応じて異なります。

プロビジョニング・プロファイル(Provisioning Profile)

Oracle Internet DirectoryとOracle E-Business Suiteインスタンス間のプロビジョニング・プロセスの詳細を制御するメタデータ。プロビジョニング・プロファイルは、Oracle Internet Directoryとの間でプロビジョニング・イベントを送受信する各アプリケーションに必要です。

ユーザー(Users)

特定の企業で1つ以上のソフトウェア・アプリケーションへのアクセス権限を持つ個人。ユーザーはグローバル・エンティティです。つまり、ユーザーと属性は、特定のソフトウェア・アプリケーションのコンテキスト外に存在します。

ユーザー・ディレクトリ(User Directory)

ユーザーと属性のリストを格納するソフトウェア・サービス。現在、Oracle E-Business Suiteには独自のユーザー・ディレクトリ(FND_USER表)があります。また、ユーザー情報を管理し、標準インタフェースを介して統合アプリケーションに公開する汎用ユーザー・ディレクトリも存在します。

Lightweight Directory Access Protocol(LDAP、定義は前述)は、ユーザー・ディレクトリの一例です。

目次   |   前へ   |   ページの先頭へ   |   次へ

Oracleロゴ
Copyright © 1994, 2006, Oracle. All rights reserved.