Oracle Applicationsシステム管理者ガイド - セキュリティ リリース12 E05069-01 | 目次 | 前へ | 次へ |
この章は、企業のシングル・サインオン環境におけるOracle E-Business Suiteリリース12の配置または統合を計画している担当者(特に、プロジェクト・マネージャ、データベース管理者およびシステム管理者)を対象としています。
重要: シングル・サインオン環境へのOracle E-Business Suiteリリース12の統合は、完全にオプションです。
Oracle Application Server 10gは、堅牢で統合されたスケーラブルなID管理インフラストラクチャを提供します。この章では、このインフラストラクチャをOracle E-Business Suiteリリース12で使用して次の機能を提供できるようにするソリューションを説明します。
ユーザーは、1回のログイン(シングル・サインオン)のみで複数のOracle E-Business Suiteリリース12のインスタンス(またはOracle E-Business Suiteリリース12と他のシングル・サインオン対応アプリケーションの混在環境)にアクセスできます。
管理者とユーザーは、アカウントの作成、削除などのユーザー管理アクティビティを企業レベルで実行できます。
これらのソリューションには、Oracle Application Server 10gに付属するOracle Single Sign-OnサーバーおよびOracle Internet Directoryコンポーネントが必要です。この章では、Oracle Single Sign-Onサーバー、Oracle Internet DirectoryおよびOracle E-Business Suiteリリース12を統合して、企業単位のシングル・サインオン・ソリューションを提供する方法を説明します。内容は複雑であり、必要な処理の順序は環境が持つ特定の特性やニーズによって異なります。
重要: この章のタスクを実行する前に、『Installing Oracle Application Server 10g with Oracle E-Business Suite Release 12』(OracleMetaLinkノート376811.1)に記載されている一般的なインストール・ステップを完了しておく必要があります。
Oracle Internet DirectoryとOracle Single Sign-Onを配置する際の起点は、実行する必要のあるステップに大きく影響するため、この章は実装に考えられる様々な実行方法について明確に定義された方法を提供するように編成されています。最も単純なタイプから複雑なタイプへと、多数のシナリオを記載しています。様々なシナリオの違いは、開始環境の性質(サード・パーティのユーザー・ディレクトリがあるかどうかなど)と必要な機能にあります。いずれのシナリオも、様々なOracle E-Business Suiteリリース12サイトの現実の要件を反映したものです。
各シナリオを次に示します。
配置シナリオ0(ベース・シナリオ): 既存のOracle E-Business Suiteインストールと新規のOracle Single Sign-OnおよびOracle Internet Directoryインフラストラクチャの統合
配置シナリオ1: 複数の新規Oracle E-Business Suiteインストールと新規のOracle Single Sign-OnおよびOracle Internet Directoryインフラストラクチャの統合
配置シナリオ2: 新規Oracle E-Business Suiteインストールと既存のサード・パーティ・シングル・サインオンおよびユーザー・ディレクトリ・インフラストラクチャの統合
配置シナリオ3: 既存のOracle E-Business Suiteインストールと既存のサード・パーティ・シングル・サインオンおよびユーザー・ディレクトリ・インフラストラクチャの統合
配置シナリオ4: 複数の既存Oracle E-Business Suiteインストールと新規のOracle Single Sign-OnおよびOracle Internet Directoryインフラストラクチャの統合
以降の各項では、Oracle Single Sign-Onに関連するプロファイル・オプションとログイン・ページのリファレンスと、特化された各種機能の概要を提供します。
大規模な組織では、通常、ユーザーは、ネットワーク・ベースの多様なリソース(社内のWebサイトや顧客アプリケーションなど)用に多数のユーザーIDを持っています。使用可能なリソースが増えるにつれて、ユーザーとセキュリティ管理者は、様々なシステム間で急増するユーザーIDとパスワードの管理という難問に直面することになります。
企業ID管理ソリューションを使用すると、セキュリティ管理者はLightweight Directory Access Protocol(LDAP)ディレクトリなどの1箇所でユーザーを定義し、その共通ユーザー定義を社内の複数箇所で共有できます。Oracle Identity ManagementはOracle Application Server 10gに付属しており、E-Business Suiteと統合することで、Oracle Internet Directoryを介したユーザーの集中管理をサポートし、Oracle Single Sign-Onを介してシングル・サインオン機能をサポートできます。
デフォルト構成の場合、Oracle E-Business Suiteリリース12では、登録済ユーザーはE-Business Suiteに直接格納された資格証明を使用してログインできます。このデフォルト構成では、登録済E-Business Suiteユーザーのローカル・リポジトリの保守をE-Business Suiteシステム管理者が担当します。
オプションでOracle Application Server 10gと統合することで、E-Business Suiteシステム管理者はユーザー管理とユーザー認証の両方をOracle Application Server 10gに委任するように環境を再構成できます。このようにOracle Application Server 10gと統合するには、Oracle E-Business Suiteリリース12による認証の処理方法を大幅に変更する必要があります。Oracle E-Business Suiteリリース12では、認証がネイティブに実行されるかわりに、この機能がローカルE-Business SuiteのFND_USER表を介してOracle Single Sign-Onサーバーに委任されます。この構成により、Oracle E-Business Suiteリリース12では、未認証ユーザーをID検証のためにOracle Single Sign-Onサーバーにダイレクトし、シングル・サインオン・メカニズムにより認証されたIDを安全に受け入れることができます。
同様に、Oracle Single Sign-OnをMicrosoft Windows(Kerberos)のようなサード・パーティの既存認証システムと統合し、Oracle Internet DirectoryをMicrosoft Active Directoryのようなサード・パーティの既存LDAPディレクトリと統合できます。Oracle Single Sign-Onでは、Oracle Internet Directory(LDAPサーバー)に格納された情報に対して認証が実行されるか、または認証がサード・パーティの認証メカニズムに委任されます。
注意: サード・パーティの認証メカニズムを使用している場合も、Oracle Single Sign-OnサーバーとOracle Internet Directoryが必要になります。この2つは、Oracle E-Business Suiteとサード・パーティのシングル・サインオン・ソリューションをつなぐ機能を提供します。
Oracle Internet Directoryは、Oracle E-Business Suiteリリース12が企業レベルのユーザー管理に参加できるようにする統合ポイントです。各Oracle E-Business Suiteインスタンスでは、登録済ユーザーのレコードを従来のアプリケーション・アカウントの形式で引き続き保守する必要があります。ただし、企業レベルのユーザーに必要な抽象レベルでは、企業全体でユーザーを一意に識別できるメカニズムが必要です。これは、グローバル一意識別子(GUID)を介して達成されます。Oracle Internet DirectoryとOracle E-Business Suiteリリース12では、企業レベルのユーザーごとにGUID情報が格納されます。GUIDは、Oracle Internet DirectoryとOracle E-Business Suiteリリース12の両方で認識されるIDバッジとみなすことができます。
このような環境におけるもう1つの要件は、適切に定義された場所で1度登録したユーザーが、その後は社内の残りの部分で認識されるということです。次の2つの付加的機能により、企業全体におけるユーザー情報の自動伝播がサポート可能になります。
Oracle Internet Directoryとサード・パーティLDAPサーバー間の同期化プロセス
Oracle Internet DirectoryとOracle E-Business Suite間のプロビジョニング・プロセス
Oracle E-Business Suiteをシングル・サインオン環境に統合する作業に伴う複雑さの大部分は、以前は分離されていたシステムを統合する従来の場合と同様に、断片化していたり重複しているユーザー・データをシングル・サインオン環境で連結する必要があることに起因します。この章で説明するソリューションは、GUIDを使用して既存のデータを相互にリンクするメカニズムを提供します。また、一括移行ツールが用意されており、シングル・サインオン環境への移行中にOracle Internet DirectoryとOracle E-Business Suiteの間で多数のユーザーを移動できます。
拡張機能には、エンティティに関して社内で一連のユーザー・プロファイル情報の同期を自動的に維持する機能や、Oracle Internet DirectoryのアカウントをOracle E-Business Suiteの複数のアプリケーション・アカウントにリンクする機能などもあります。
このリリースでは、Oracle E-Business SuiteからOracle Internet Directoryへのプロビジョニングは同期的です。つまり、Oracle E-Business Suiteで実行されたユーザー管理操作はすべて、Oracle Internet Directoryでも実行されます。ただし、Oracle Internet DirectoryからOracle E-Business Suiteへのプロビジョニングは非同期で実行されます。
ここで説明するソリューションは、承認の問題に対処していません。ユーザーの認証後、Oracle E-Business Suiteリリース12は、ユーザーがログインしたアプリケーション・アカウントに関連付けられている承認情報を取得します。アプリケーション・アカウントの承認情報は、Applicationsの職責を介して管理されます。Oracle E-Business Suiteリリース12では、ユーザー・セッション中に必要に応じて承認チェックが適用されます。
構成オプション | 可能な設定 | 構成手段 |
---|---|---|
ユーザー情報の初期ソース |
| 手動による初期プロビジョニング手順の実行 |
ユーザー情報更新の真のマスター・ソース |
| Directory Integration and Provisioning Platformのプロビジョニング・プロファイルを選択 |
Oracle Internet Directoryで作成された新規ユーザーID |
| 関連するE-Business Suiteプロファイル・オプション: APPS_SSO_OID_IDENTITY、APPS_SSO_AUTO_LINK_USER |
E-Business Suiteで作成された新規ユーザーID |
| 関連するE-Business Suiteプロファイル・オプション: APPS_SSO_LDAP_SYNC、APPS_SSO_AUTO_LINK_USER |
特定のE-Business SuiteユーザーID |
| APPS_SSO_LOCAL_LOGINプロファイル・オプション |
すべてのOracle Internet DirectoryユーザーID |
| APPS_SSO_ALLOW_MULTIPLE_ ACCOUNTSプロファイル・オプション |
この項では、簡略化された配置シナリオを使用して、技術的な詳細と配置ステップについて説明します。このシナリオでは、既存のOracle E-Business Suiteインスタンスが新規のOracle Single Sign-On/Oracle Internet Directoryインフラストラクチャと統合されます。現実の配置の多くはより複雑ですが、このシナリオは統合作業の核となる概念と手順を具体的に示すことを意図しています。以降の各項では、この基本的なシナリオに基づいて、サード・パーティのシングル・サインオン・ソリューションが存在する場合や、複数のユーザー・リポジトリが存在する場合など、より高度な状況について説明します。目的は、配置に考えられる様々なバリエーションを個別に説明するのではなく、実装者が特定の要件について必要なステップを厳密に導出できるように、代表的な事例を多数提供することです。
このシナリオの前提事項は、次のとおりです。
Oracle E-Business Suiteリリース12がインストール済で、ユーザーが存在していること。
Oracle Single Sign-OnとOracle Internet Directoryを含むOracle Application Server 10gが別のマシンにインストールされていること。
Oracle Internet Directoryには、シード済ユーザーのみが存在し、他のユーザーが存在しないこと。
Oracle Portalが実装されていないこと。
要件は、Oracle E-Business Suiteリリース12をOracle Single Sign-OnおよびOracle Internet Directoryと統合することです。
このソリューションの実装結果は、次のようになります。
Oracle E-Business SuiteからOracle Single Sign-Onサーバーに、ユーザー・サインオンおよび認証が委任されます。
Oracle Single Sign-Onサーバーでは、Oracle Internet Directoryのユーザー・エントリと対照してユーザー資格証明が認証されます。
Oracle Internet Directoryには、各ユーザーのシングル・サインオン・アカウントIDおよびパスワードが格納されます。
既存のOracle E-Business Suiteリリース12のアプリケーション・アカウントは、Oracle E-Business Suiteのユーザー一括移行ツールを使用してOracle Internet Directoryのシングル・サインオン・アカウントに移行されます。Oracle E-Business Suiteリリース12では、ユーザー情報のローカル・キャッシュが既存のユーザー・ディレクトリ(FND_USER)内で保守されます。移行後、システム管理者は、ユーザー情報の作成場所とプロビジョニング(送信)先に関連する多数のユーザー管理オプションから選択できます。
すべてのユーザー情報は、Oracle E-Business Suiteで作成されてからOracle Internet Directoryにプロビジョニングされます。Oracle E-Business Suiteリリース12は、Oracle Internet Directoryと統合されたプロビジョニング・アプリケーションとして構成されます。システム管理者は、プロビジョニング・プロファイルを介してプロビジョニング統合を構成します。
Oracle E-Business Suiteで新規アプリケーション・アカウントを作成すると、自動的にOracle Internet Directoryで新規シングル・サインオン・アカウントの作成がトリガーされます。アプリケーション・アカウントの一部のユーザー属性は、アカウント作成中にOracle Internet Directoryのシングル・サインオン・アカウントでプロビジョニングできます。
すべてのユーザー情報は、Oracle Internet Directoryで作成されてから、Oracle E-Business Suiteにプロビジョニングされます。Oracle E-Business Suiteリリース12は、Oracle Internet Directoryと統合されたプロビジョニング・アプリケーションとして構成されます。
システム管理者は、プロビジョニング・プロファイルを介してプロビジョニング統合を構成します。Oracle Internet Directoryで新規シングル・サインオン・アカウントを作成すると、自動的にE-Business Suiteで新規アプリケーション・アカウントの作成がトリガーされます。シングル・サインオン・アカウントの一部のユーザー属性は、アカウント作成中にOracle Internet Directoryのアプリケーション・アカウントでプロビジョニングできます。
すべてのユーザー情報は、Oracle Internet DirectoryまたはOracle E-Business Suiteリリース12のどちらかで作成されてから、他方のシステムにプロビジョニングされます。Oracle E-Business Suiteリリース12は、Oracle Internet Directoryと統合されたプロビジョニング・アプリケーションとして構成されます。システム管理者は、プロビジョニング・プロファイルを介してプロビジョニング統合を構成します。
E-Business Suiteで新規アプリケーション・アカウントを作成すると、自動的にOracle Internet Directoryで新規シングル・サインオン・アカウントの作成がトリガーされます。Oracle Internet Directoryで新規シングル・サインオン・アカウントを作成すると、自動的にE-Business Suiteで新規アプリケーション・アカウントの作成がトリガーされます。
アプリケーション・アカウントの一部のユーザー属性は、アカウント作成中にOracle Internet Directoryのシングル・サインオン・アカウントでプロビジョニングできます。シングル・サインオン・アカウントの一部のユーザー属性は、アカウント作成中にOracle Internet Directoryのアプリケーション・アカウントでプロビジョニングできます。
前述の3つのオプションすべてで、Oracle E-Business SuiteとOracle Internet Directoryの間で事前定義済のユーザー属性セットが同期化されます。
この項では、シングル・サインオン環境におけるユーザー操作について説明します。
Oracle E-Business Suite環境へのアクセスを取得する際に、Oracle Single Sign-Onサーバーで未認証のユーザーにはSingle Sign-Onログイン・ページが表示されます。このページは、個々のサイトにあわせてカスタマイズできます。
Single Sign-Onサーバーでの認証後(または前に認証を実行済の場合)、ユーザーはOracle E-Business Suiteリリース12で要求したページまたはユーザーのホームページにリダイレクトされます。
ユーザーがOracle E-Business Suiteインスタンスからログアウトすると、Oracle Single Sign-Onサーバーからも、Oracle Single Sign-Onと統合済で、このSingle Sign-Onセッションでアクセスした他のアプリケーション(パートナ・アプリケーション)からもログアウトすることになります。ユーザーには、ログアウトした全アプリケーションを示すログアウト・ページが表示されます。
ユーザーがOracle E-Business Suiteリリース12インスタンスにアクセスを試み、Oracle E-Business SuiteによりアプリケーションCookieが検索されます。Cookieが検出され検証されると、ユーザーは要求したアプリケーション・ページに送られ、この項で示す残りのステップがスキップされます。
アプリケーションCookieが検出されなければ、Oracle E-Business SuiteによりユーザーがOracle Single Sign-Onサーバーにリダイレクトされ、次の一連のステップが実行されます。Oracle Single Sign-Onサーバーにより、ユーザーのブラウザでOracle Single Sign-OnセキュリティCookieが検索されます。Oracle Single Sign-OnセキュリティCookieが検出されない場合、認証を進めるには、ユーザーはOracle Single Sign-Onサーバーの有効なアカウントにログインする必要があります。
Oracle Single Sign-OnサーバーはOracle Internet Directoryに接続し、Oracle Internet Directoryの登録済ユーザー・リストと対照してユーザーの資格証明を認証します。認証に成功すると、Oracle Single Sign-OnサーバーによりユーザーのブラウザにOracle Single Sign-OnセキュリティCookieが設定され、Oracle Internet Directoryからシングル・サインオン・アカウントのユーザー属性が取得されます。
Oracle Single Sign-OnセキュリティCookieが検出または設定されると、次の一連のステップが続行されます。Oracle Single Sign-OnによりユーザーがOracle E-Business Suiteリリース12にリダイレクトされ、ユーザーの属性を含むURLトークンが渡されます。Oracle E-Business SuiteではURLトークンが検証され、アプリケーション・ユーザーが検索され、ユーザーに割り当てられたApplications職責およびロールに基づいてアプリケーション・セッションおよび対応するCookieが作成されます。このプロセスにより、ユーザー認証の処理がOracle Single Sign-Onに委任され、ユーザー認証がE-Business Suiteに委任されます。その後、Oracle E-Business Suiteにより、ユーザーが要求したアプリケーション・ページまたはユーザーのホームページにリダイレクトされます。
ステップはOracle E-Business Suiteと他のパートナ・アプリケーションの場合と同様です。E-Business SuiteとOracle Application Server 10gの間でパートナ・アプリケーションが統合された時点で、E-Business Suiteシステム管理者がOracle Single Sign-Onサーバーにログアウト・ルーチンを登録します。これは、単発の登録ステップです。ユーザーが登録済パートナ・アプリケーションのいずれかからログアウトすると、パートナ・アプリケーションからOracle Single Sign-Onサーバーに通知されます。次に、Oracle Single Sign-Onサーバーはログアウト・ルーチンを起動して、このSingle Sign-Onセッションでアクセスされたすべての登録済Oracleパートナ・アプリケーション(Oracle E-Business Suiteを含む)からユーザーをログアウトさせます。
アプリケーション・セッションとシングル・サインオン・セッションの両方がタイムアウトになると、ユーザーは再認証のためにシングル・サインオン・ログイン・ページに送られます。再認証に成功すると、ユーザーは元のOracle E-Business Suiteにリダイレクトされます。ユーザーに表示されるアプリケーション・ページは、使用中のアプリケーション・テクノロジ・スタックに応じて異なります。後述の表を参照してください。
アプリケーション・セッションが失効しても、シングル・サインオン・セッションが失効しなければ、ユーザーはOracle Single Sign-Onサーバーに送られてから、再認証を求めるプロンプトなしで元のOracle E-Business Suiteリリース12にリダイレクトされます。セッション・タイムアウトの発生時に使用中だったテクノロジ・スタックに応じて、次の表に示すページのいずれかがユーザーに表示されます。
テクノロジ・スタック | セッション・タイムアウト動作 |
---|---|
Oracle Application Framework | アプリケーションのホームページ。 |
CRM | アプリケーション・セッションの失効が検出された時点の現行要求がGETであれば、ユーザーには要求したページが表示されます。現行要求がPOSTであれば、ユーザーには転記ページが表示されますが、転記は実行されていません。 |
Forms | 一連のポップアップ・ウィンドウが表示され、ユーザーがSingle Sign-Onログイン・ページにナビゲートできます。元のフォームは表示されたままで、ユーザーは再認証してポップアップ・ウィンドウをクローズした後で元のフォームに戻ることができます。 |
最大有効期間に達したため、またはユーザーの無効期間がすぎたために、アプリケーション・セッションが終了すると、Oracle E-Business Suiteによりユーザーが再認証のためにOracle Single Sign-Onにリダイレクトされます。Oracle Single Sign-Onサーバーでは、シングル・サインオンCookieがチェックされ、引き続き有効であればユーザーは元のOracle E-Business Suiteリリース12にリダイレクトされます。シングル・サインオンCookieも失効している場合、Oracle Single Sign-OnサーバーはOracle E-Business Suiteリリース12にリダイレクトする前に、ユーザーに対して再認証を要求します。
アプリケーション・セッションのタイムアウト値は、Oracle Single Sign-Onのタイムアウト設定よりも優先されます。たとえば、アプリケーション・セッションがタイムアウト(またはユーザーが明示的にログアウト)するまでは、Oracle Single Sign-OnのセキュリティCookieが失効しても、ユーザーは引き続きパートナ・アプリケーションにアクセスできます。したがって、E-Business SuiteのApplication Serverのアプリケーション・セッション・タイムアウト値は、Oracle Single Sign-Onサーバーの設定値以下の値に設定することをお薦めします。
この項では、シングル・サインオン環境における様々なユーザー管理オプションについて説明します。
選択したユーザーには、アプリケーションへの直接ログイン(シングル・サインオン・プロセスのバイパス)を許可できます。これにより、システム管理者などのユーザーは、Oracle Single Sign-Onサーバーが正常に機能しない場合や使用不可能になった場合に、構成のトラブルシューティングを実行できます。このようなローカル・ユーザーは、アプリケーション・ログイン・ページAppsLocalLogin.jspを介してアプリケーションに直接ログインできます。用意されているSYSADMINアカウントは、ローカル・アクセス権限を持つように構成されています。また、SYSADMINアカウントは、Oracle E-Business Suiteへのローカル・アクセス権限を持つように許可される追加ユーザー(存在する場合)を制御できます。この操作には、「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)プロファイル・オプションを使用します。
重要: ユーザー・パスワードのマスター・ソースが混同される可能性を減らすために、「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)プロファイル・オプションを、限られた数の上級ユーザーのみが使用するように指定することをお薦めします。
Oracle Single Sign-Onの統合が完了すると、ユーザー情報はOracle Internet DirectoryおよびOracle E-Business Suiteリリースの2箇所に存在することになります。
この共有情報には、次の特性があります。
GUIDにより、ユーザーが複数のシステム間で一意に識別されます。
Oracle Internet DirectoryとOracle E-Business Suiteの両方に、各シングル・サインオン・ユーザーのGUID情報が格納されます。
Oracle Internet DirectoryとOracle E-Business Suiteリリース12の間の認証ハンドシェイク中に、Oracle Single Sign-OnからOracle E-Business Suiteに認証済ユーザー情報がGUIDの形式で渡され、Oracle E-Business SuiteではGUIDを使用して対応するアプリケーション・アカウントが検索されます。
GUIDが生成されてOracle Internet Directoryのシングル・サインオン・アカウントとOracle E-Business Suiteリリース12のアプリケーション・アカウントの両方に格納されると、2つのアカウントはリンク済となります。
このリンクは、多数のプロセスを使用して確立されます。次に説明するのは最も一般的に使用されるプロセスで、他のプロセスについてはより高度な配置シナリオで説明します。
Oracle Internet DirectoryとOracle E-Business Suiteの間で既存のユーザーを一括移行できるように、ツールが用意されています。Oracle Internet DirectoryとOracle E-Business Suiteの両方にコマンドライン・ユーティリティが用意されており、LDIF形式のフラット・テキスト・ファイルを介してユーザーをエクスポートおよびインポートできます。
一方のシステムで作成された新規ユーザーは、プロビジョニング・プロセスを介して他方にプロビジョニングできます。プロビジョニング・システムは、Oracle Internet DirectoryとOracle E-Business Suiteの両方のコンポーネント(各システムでユーザー・イベントをキューに配置)と、これらのイベントをOracle E-Business Suiteとの間で定期的にプッシュまたはプルするOracle Internet Directoryプロセスで構成されます。プロビジョニング・プロセスにより、プロビジョニングされたアカウント用のGUIDリンクが設定されます。このプロセス中に、シングル・サインオン・アカウントがOracle E-Business Suiteのアプリケーション・アカウントに自動的にリンクされます。
プロビジョニングには、次の特性があります。
リンク後は、一方のシステムで行われたユーザー変更の内容を他方にプロビジョニングできます。
Oracle Internet Directoryと各Oracle E-Business Suiteインスタンスの間のプロビジョニング・プロセスは、プロビジョニング・プロファイルにより決定されます。
プロビジョニング・プロファイルにより、プロビジョニングされるユーザー・イベント、プロビジョニング方向および各イベントに含まれるユーザー属性が制御されます。
Oracle E-Business Suiteは、プロビジョニング・プロファイルが作成されると、Oracle Internet Directoryと統合されたプロビジョニング・アプリケーションと呼ばれます。
システム間でプロビジョニングできる属性の詳細は「サポートされている属性」、プロビジョニング・プロセスの詳細は「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」を参照してください。
配置の開始時には、Oracle E-Business Suiteリリース12はユーザー情報の唯一のリポジトリです。Oracle Single Sign-Onを介したOracle E-Business Suiteリリース12へのアクセスを必要とするユーザーは、すでに存在しているか、Oracle Internet Directoryで作成する必要があります。
重要: ユーザー作成後にOracle E-Business Suiteで有効化された保留中ユーザーの場合は、E-Business SuiteからOracle Internet DirectoryへのIDENTITY_MODIFYイベントを有効化する必要があります。
一括移行ツールを使用して、既存のOracle E-Business Suiteリリース12ユーザーをOracle Internet Directoryに移行できます(詳細は、「Oracle E-Business Suiteリリース12とOracle Internet Directoryの間のデータ移行」を参照)。
初期移行後に、Oracle Internet DirectoryまたはOracle E-Business Suiteによる新規ユーザーの作成と他方のシステムへのプロビジョニングを許可するかどうかを選択できます。そのためには、Oracle Internet DirectoryからOracle E-Business Suiteリリース12へのSUBSCRIPTION_ADDイベントを有効化するか、Oracle E-Business Suiteリリース12からOracle Internet DirectoryへのIDENTITY_ADDイベントを有効化します。詳細は、「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」を参照してください。
または、Oracle Internet DirectoryとOracle E-Business Suiteリリース12の両方で新規ユーザーを作成し、他方のシステムにプロビジョニングするように選択することも可能です。そのためには、Oracle Internet DirectoryからOracle E-Business Suiteリリース12へのSUBSCRIPTION_ADDイベントと、Oracle E-Business Suiteリリース12からOracle Internet DirectoryへのIDENTITY_ADDイベントの両方を有効化します。詳細は、「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」を参照してください。
双方向プロビジョニングは慎重に計画する必要があり、次の制限を伴います。
Oracle Internet DirectoryからOracle E-Business Suiteへのプロビジョニング・プロセスは非同期的です。
Oracle E-Business SuiteからOracle Internet Directoryへのプロビジョニング・プロセスは同期的です。
同じユーザー名を持つユーザーが他方のシステムで同時に作成された場合、またはユーザーのプロファイル(パスワードなど)が他方のシステムで設定されたポリシーと一致しない場合、このプロビジョニングを受け持つイベントは失敗します。
現在、イベントをトリガーしたシステム上で当初の変更をロールバックするメカニズムはないため、失敗によりシステム全体が不安定状態になる可能性があります。
したがって、このオプションを選択する場合は、関係する全システムでアカウント・ポリシーを調整し、ユーザー作成プロセスに適切な安全策を設ける必要があります。
たとえば、あるシステムで直接作成されるユーザー名は、シングル・サインオン環境全体で使用される名前のコンテキストで選択される必要があります。
新規ユーザーがOracle Internet DirectoryまたはOracle E-Business Suiteリリース12のどちらで作成された場合も、そのユーザーがE-Business Suite機能にアクセスするには、アプリケーションのユーザー管理画面でロールまたは職責(あるいはその両方)を付与される必要があります。
Oracle Internet Directoryのシングル・サインオン・アカウントに格納されたユーザー情報は、通常、Oracle E-Business Suiteリリース12のアプリケーション・アカウントに格納されたユーザー情報から独立して管理されます。
システム管理者は、次のことを決定する必要があります。
Oracle E-Business Suiteリリース12インスタンスとOracle Internet Directoryの間でプロビジョニングするユーザー属性。
指定した属性の真のマスター・ソースとなるシステム。これにより、その属性のプロビジョニング方向が決定されます。
次に、システム管理者は適切な属性リストを使用して、IDENTITY_MODIFYイベントを適切な方向で有効化できます。詳細は、「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」を参照してください。
現在は、次の制限があることに注意してください。
Oracle Internet Directoryで更新されたEメールIDをE-Business Suite(TCAのHZ_CONTACT_POINTS)に正しく反映させるには、FND_USER表でPERSON_PARTY_ID外部キーが定義されている必要があります。また、PERSON_PARTY_IDが変更された場合、ユーザーはTCAで別の個人にリンクされているため、OIDに格納された情報により、リンク先の個人の情報がプロビジョニング中に上書きされる可能性があります。
Trading Community Architecture(TCA)からOracle Internet Directoryへのプロビジョニングはサポートされていません。
Oracle Human ResourcesからOracle Internet Directoryへのデータのプロビジョニングは、Oracle Human Resources Agentを介してサポートされます。このエージェントは、Oracle Internet Directoryユーティリティ・スイートの一部としてリリースされます。Oracle Internet Directory付属のOracle Human Resources Agentは単一方向であることに注意してください。つまり、Oracle Internet DirectoryはOracle Human Resourcesと確実に同期化されます。そのため、Oracle Human Resourcesでユーザー・データに変更があると、Oracle Internet Directoryで対応するデータが更新されます。ただし、Oracle Internet Directoryでユーザー・データに変更があっても、Oracle Human Resourcesコネクタはこれらの変更内容をOracle Human Resourcesと同期化しません。双方向コネクタは将来ビルドされる予定です。
Oracle Internet Directoryでシングル・サインオン・アカウントが削除された場合に、Oracle E-Business Suiteで関連アプリケーション・アカウントに終了日が設定されるように、プロビジョニング・プロセスを設定できます。そのためには、プロビジョニング・プロファイルでOracle Internet DirectoryからOracle E-Business SuiteへのIDENTITY_DELETEイベントを有効化します(詳細は、「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」を参照)。
注意: Oracle Internet DirectoryとE-Business Suiteの間では、日付は同期化されません。
組織のセキュリティ・ポリシーおよび監査ポリシーによっては、Oracle Internet Directoryでシングル・サインオン・アカウントを削除するのではなく、無効化する方が望ましい場合があります。これは、後日必要になった場合に、アプリケーション・アカウントを再び有効化できるためです。退職しても再就職する可能性のある契約者の場合は、これが特に役立ちます。
注意: ユーザーの有効化と無効化の詳細は、「ユーザーの有効化と無効化」を参照してください。
シングル・サインオン統合の主な目的の1つは、Oracle Internet Directoryを使用してユーザー・パスワードを集中管理することです。機能は次のとおりです。
Oracle Single Sign-Onを介してOracle E-Business Suiteにアクセスする場合、Oracle E-Business Suiteではパスワードは不要です。認証には、Oracle Internet Directoryに格納されているパスワードで十分です。
Oracle E-Business Suiteリリース12のアプリケーション・アカウントへのアクセスについて許可されている方法が(通常のように)Oracle Single Sign-Onを使用することのみであれば、そのアプリケーション・アカウントのパスワードは予約済キーワードEXTERNALで置き換えられます。
このようなユーザーのパスワード管理は、全面的にOracle Internet Directoryで実行されます。
大多数のエンド・ユーザーは、Oracle Internet Directoryの標準的な方法を使用してシングル・サインオン・パスワードを変更できるようになります。たとえば、ユーザーは委任管理サービス(Delegated Administration Service: DAS)を使用できます。DASの詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。
シングル・サインオン・パスワードを再設定するには、管理者はOracle Internet Directoryで提供される方法に従う必要があります。詳細は、『Oracle Internet Directory管理者ガイド』のディレクトリ・エントリ管理に関する項および委任管理サービスに関する項を参照してください。
Oracle Internet Directoryは、パスワードのマスター・ユーザー・ディレクトリとして指定されています。ユーザーのパスワード作成、変更およびOracle Single Sign-Onへのログイン・アクティビティには、パスワードの作成および使用方法を制御するOracle Internet Directoryのルールが適用されます。たとえば、Oracle Internet Directoryシステム管理者は、パスワードの失効、最小長および英数字の併用に関するポリシーを設定できます。サポートされているパスワード・ポリシーについては、『Oracle Internet Directory管理者ガイド』のOracle Internet Directoryのパスワード・ポリシーに関する項を参照してください。
プロビジョニング・プロファイルでアプリケーション・アカウントのパスワードをOracle E-Business Suiteリリース12からOracle Internet Directoryにプロビジョニングするように指定されている場合、Oracle E-Business Suiteリリース12のパスワード・ポリシーはOracle Internet Directoryのパスワード・ポリシーと同程度以上に制限的である必要があります。これにより、Oracle E-Business Suiteリリース12からOracle Internet Directoryのシングル・サインオン・アカウントにパスワードを正常に伝播できます。
Oracle Internet Directoryに格納されるパスワードには、大/小文字区別があります。Oracle E-Business Suiteで大/小文字が併用されているパスワードは、大/小文字区別を保持したまま移行されます。
「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)プロファイルを介してOracle E-Business Suiteへのローカル・アクセス権限が付与されているユーザーの場合、Oracle E-Business Suiteでは関連アプリケーション・アカウントのパスワードが保持されます。これは、Oracle Internet Directoryまたはサード・パーティLDAPディレクトリがパスワードのマスター・ユーザー・ディレクトリとして指定されている場合も同じです。Oracle E-Business Suiteの既存のパスワード関連機能はすべて、ローカル・アカウントに対して同一に保たれます。たとえば、ユーザーはSelf-Serviceの「パスワードの変更」画面(「作業環境」ページ)を使用してパスワードを保守する必要があります。
Oracle E-Business Suiteへのシングル・サインオン・アクセス権限とローカル・アクセス権限の両方を持つユーザーの場合、プロビジョニング・プロファイルが適切に設定されていれば、Oracle E-Business Suiteにおけるローカル・パスワードの変更をOracle Internet Directoryと同期化できます。Oracle E-Business Suiteでは暗号化されたパスワードが格納されますが、Oracle Internet Directoryではパスワードのハッシュのみが格納されるため、逆方向に同期化することはできません。
「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)プロファイルで構成されたアプリケーション・アカウントに適用される特殊なパスワード管理の考慮事項をユーザーに教育するのは困難な場合があるため、このプロファイル・オプションは前述のように限られた数のシステム管理アカウントや他の上級アカウントにのみ使用する必要があります。LDAPにのみ格納されているユーザー・パスワード(APPSパスワードはEXTERNALに設定)もE-Business Suiteにローカルに格納する必要がある場合、システム管理者はFNDCPASSユーティリティを使用してローカル・パスワードを設定する必要があります。
Oracle Internet Directoryには、強力で柔軟な一連の構成オプションが用意されています。ほとんどのE-Business Suiteシステム管理者およびセキュリティ管理者は、デフォルトのOracle Internet Directory構成を使用できます。高度なセキュリティ要件を持つセキュリティ管理者は、代替Oracle Internet Directory構成を使用するように選択できます。『Oracle Internet Directory管理者ガイド』のディレクトリ配置に関する項を参照してください。Oracle E-Business Suiteの統合に特に重要な項目は、次のとおりです。
ID管理レルム
DIT構造
「ニックネーム」属性として選択される属性
新規ユーザーの作成元。
Oracle Internet Directoryのみ
Oracle E-Business Suiteリリース12のみ
Oracle E-Business SuiteとOracle Internet Directoryの両方
ユーザー情報の更新内容をプロビジョニングするかどうか。プロビジョニングする場合、プロビジョニング対象のユーザー属性とプロビジョニング方向。
Oracle E-Business Suite12へのローカル・アクセスのみを必要とするユーザー、Oracle Single Sign-Onを介したアクセスのみを必要とするユーザー、および両方のタイプのアクセスを必要とするユーザー。
Oracle Single Sign-Onの設定。
Oracle E-Business SuiteとOracle Single Sign-Onサーバー両方のセッション・タイムアウト値
Oracle E-Business SuiteとOracle Single Sign-Onサーバー両方のパスワード・ポリシー
現行のOracle Internet Directoryホスト、ポートおよび管理アカウント情報。
『Installing Oracle Application Server 10g with Oracle E-Business Suite Release 12』(OracleMetaLinkノート376811.1)に記載されているステップをすべて完了します。最初に、インストール・プロセスに使用するプロビジョニング・プロファイルの作成用テンプレートを選択します。
配置時にOracle Internet Directoryからのみ新規ユーザーを作成する場合は、テンプレートProvOIDToApps.tmpから始めます。
配置時にOracle E-Business Suiteからのみ新規ユーザーを作成する場合は、テンプレートProvAppsToOID.tmpから始めます。
配置時にOracle Internet DirectoryとOracle E-Business Suiteの両方から新規ユーザーを作成する場合は、テンプレートProvBiDirection.tmpから始めます。このプロビジョニング・プロファイルはデフォルトで選択されます。
プロビジョニングする必要のあるイベントと属性に基づいて、さらにテンプレートのカスタマイズが必要になる場合があります。テンプレートと構成プロセスの詳細は、「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」を参照してください。
Oracle E-Business Suiteへのローカル・ログイン・アクセスのみを必要とするユーザーを識別し、そのユーザーの「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)プロファイルを適切に設定します(「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照)。
Oracle E-Business Suiteリリース12とOracle Single Sign-Onの両方で、セッション・タイムアウト値を構成します。
該当する場合は、Oracle Internet DirectoryとE-Business Suiteでパスワード・ポリシーを構成します。
Oracle E-Business Suiteのユーザー一括移行ツールを使用して、既存のOracle E-Business SuiteアカウントをOracle Internet Directoryに移行します(「Oracle E-Business Suiteリリース12とOracle Internet Directoryの間のデータ移行」を参照)。
Oracle E-Business Suiteのプロファイル・オプションを設定します(「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照)。
プロファイル名(内部プロファイル・コード) | 推奨値 |
---|---|
アプリケーションSSOタイプ(APPS_SSO) | シングル・サインオン・モードに切り替えるには「SSWA (SSO)」に設定します。 |
Self Serviceパーソナル・ホームページ・モード(APPLICATIONS_HOME_PAGE) | 必要なホームページ・モードに設定します。 |
アプリケーションSSOログイン・タイプ(APPS_SSO_LOCAL_LOGIN) | サイト・レベルで、値を大多数のユーザーの使用モードに設定します。特殊なニーズを持つユーザーについては、ユーザー・レベルで上書きします。 |
アプリケーション・ローカル・ログインURL(APPS_LOCAL_LOGIN_URL) | カスタマイズしたローカル・ログイン・ページを使用している場合は、値をページ名に設定し、それ以外の場合はそのままにしておきます。 |
アプリケーションSSO自動リンク・ユーザー(APPS_SSO_AUTO_LINK_USER) | 必要に応じて設定します。「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照してください。 |
アプリケーションSSO許可複数アカウント(APPS_SSO_ALLOW_MULTIPLE_ACCOUNTS) | そのままにしておきます。 |
アプリケーションSSO LDAP同期化(APPS_SSO_LDAP_SYNC) | サイト・レベルではそのままにしておきます。特殊なニーズを持つユーザーの場合は、ユーザー・レベルで上書きします。 |
アプリケーション・ローカルのパスワード変更URL(APPS_LOCAL_CHANGE_PWD_URL) | Oracle E-Business Suiteリリース12でパスワード変更にカスタマイズしたSelf-Serviceパスワード変更ページを使用している場合を除き、そのままにしておきます。 |
アプリケーションSSOのパスワード変更URL(APPS_SSO_CHANGE_PWD_URL) | Oracle Internet DirectoryのSelf-Serviceパスワード変更ページの絶対URLに設定します。 |
アプリケーションSSO可能OID ID追加イベント(APPS_SSO_OID_IDENTITY) | 必要に応じて設定します。「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照してください。 |
この項と後続の3つの項では、より高度な配置シナリオについて説明します。現実には配置はすべて一意であるため、記載されているソリューションは確定的な指示ではなく、ガイドラインまたは構築ブロックとして解釈してください。記載されている事例では、ソリューションは前述の基本的なシナリオに基づいており、基本とは異なる処理や付加的な処理のみを強調しています。
Rapid Installウィザードを使用して、複数の新規Oracle E-Business Suiteリリース12環境がインストール済であること。リリース12のデフォルトのシード済管理アカウント以外には、ユーザー・アカウントが登録されていないこと。
シングル・サインオン・インフラストラクチャが存在しないこと。
Oracle Portalが実装されていないこと。
このシナリオは、顧客が複数の新規Oracle E-Business Suiteリリース12環境を単一のOracle Single Sign-Onインスタンスと統合する必要がある場合に適用されます。
目的とする統合には、Oracle Single Sign-OnとOracle Internet Directoryを含むOracle Application Server 10gが必要です。Oracle E-Business Suiteリリース12のすべてのインストールにより、ユーザー・サインオンおよび認証がOracle Single Sign-Onサーバーに委任されます。
Oracle Single Sign-Onサーバーでは、Oracle Internet Directoryのユーザー・エントリと対照してユーザー資格証明が認証されます。Oracle Internet Directoryには、各ユーザーのシングル・サインオン・アカウントIDとパスワードが格納されます。
Oracle Internet DirectoryまたはOracle E-Business Suiteリリース12インスタンスの1つを、ユーザー登録のソースとして指定できます。Oracle Internet Directoryがソースの場合は、プロビジョニング・プロセスを介してユーザー・アカウントの詳細を各Oracle E-Business Suiteインスタンスに伝播できます。Oracle E-Business Suiteインスタンスがソースの場合、プロビジョニング・プロセスでは、そのインスタンスからOracle Internet Directoryにユーザー・アカウントが伝播してから、他のOracle E-Business Suiteインスタンスに伝播します。
オプション: Oracle E-Business Suiteリリース12インスタンスのユーザー・プロファイル情報とOracle Internet Directoryの情報の同期を維持できます。
必須ステップの詳細は、「配置シナリオ0」を参照してください。
このソリューションでは、システム管理者はユーザー登録ポイントおよびユーザー情報の真のソースとなるコンポーネントを決定する必要があります。このロールには、Oracle Internet DirectoryまたはOracle E-Business Suiteインスタンスの1つを選択できます。
Oracle Internet Directoryがユーザー登録ポイントであり真のソースである場合
Oracle Internet Directoryでユーザーが作成された後、プロビジョニング・プロセスを介してユーザーIDを各Oracle E-Business Suiteインスタンスに伝播できます。そのためには、各Oracle E-Business Suiteリリース12インスタンスのプロビジョニング・プロファイルで、Oracle Internet DirectoryからOracle E-Business Suiteリリース12へのSUBSCRIPTION_ADDイベントを有効化する必要があります。
オプション: Oracle Internet Directoryでのユーザー・プロファイル情報の変更が各Oracle E-Business Suiteリリース12インスタンスに伝播するように、プロビジョニング・プロファイルを構成することもできます。そのためには、各Oracle E-Business Suiteリリース12インスタンスのプロビジョニング・プロファイルで、Oracle Internet DirectoryからOracle E-Business Suiteリリース12へのIDENTITY_MODIFYイベントを有効化する必要があります。
Oracle E-Business Suiteリリース12インスタンス(Oracle Human Resourcesなど)が、ユーザー登録ポイントおよび真のソース(マスター・インスタンス)として指定されている場合
マスターOracle E-Business Suiteリリース12インスタンスからユーザーが作成された後、プロビジョニング・プロセスを使用して、最初にOracle Internet Directoryに、次に他のOracle E-Business Suiteリリース12インスタンスにユーザーIDを伝播できます。そのためには、マスターOracle E-Business Suiteリリース12インスタンスのプロビジョニング・プロファイルで、Oracle E-Business Suiteリリース12からOracle Internet DirectoryへのIDENTITY_ADDイベントを有効化する必要があります。残りのOracle E-Business Suiteリリース12インスタンスのプロビジョニング・プロファイルでは、Oracle Internet DirectoryからOracle E-Business Suiteリリース12へのSUBSCRIPTION_ADDイベントを有効化する必要があります。
オプション: また、マスターOracle E-Business Suiteリリース12インスタンスでのユーザー・プロファイル情報の変更を、Oracle Internet Directoryに伝播してから他のOracle E-Business Suiteリリース12インスタンスに伝播するように、プロビジョニング・プロファイルを構成することも可能です。
この項では、やや複雑ですが一般的な配置シナリオについて説明します。
Rapid Installウィザードを使用して、新規Oracle E-Business Suiteリリース12がインストール済であること。リリース12のデフォルトのシード済管理アカウント以外には、ユーザー・アカウントが登録されていないこと。
Microsoft Windows KerberosやCA eTrust SiteMinder(旧称Netegrity SiteMinder)など、サード・パーティの認証メカニズムを、会社のシングル・サインオン・ソリューションとして使用中であること。
Microsoft Active DirectoryやSunONE/iPlanetなど、サード・パーティのLDAPディレクトリを会社のユーザー・ディレクトリとして使用中であること。
Oracle Portalが実装されていないこと。
Oracle E-Business Suiteリリース12の新規インストールを、既存のサード・パーティ単一認証メカニズムおよびサード・パーティLDAPディレクトリ・インフラストラクチャと統合する必要があります。
Oracle Application Server 10g(Oracle Single Sign-OnとOracle Internet Directoryを含む)は、サード・パーティの認証メカニズムやサード・パーティのLDAPディレクトリと統合する際に必須の前提条件です。
E-Business Suiteをサード・パーティの認証メカニズムやサード・パーティのLDAPディレクトリと直接統合する方法は、サポートされていません。
Oracle E-Business SuiteとOracle Single Sign-Onを、Oracle E-Business SuiteがOracle Single Sign-Onに認証を委任できるように設定する必要があります。これにより、Oracle Single Sign-Onからサード・パーティのシングル・サインオン認証メカニズムに機能が委任されます。
Oracle Internet Directoryは、サード・パーティLDAPディレクトリとの統合時に最小限のユーザー属性セットを同期化するように設定する必要があります。この統合の実行方法の詳細は、『Oracle Internet Directory管理者ガイド』のOracle Directory Integration and Provisioning Platformに関する項を参照してください。
Oracle E-Business Suiteにシングル・サインオンを介してアクセスするユーザー全員に関する、サード・パーティLDAPディレクトリからのユーザー情報。Oracle Internet Directoryは、Oracle E-Business Suiteにユーザーをプロビジョニングするようにも設定する必要があります。
サード・パーティLDAPの既存ユーザーは、Oracle Internet Directoryに一括移行してから、Oracle E-Business Suiteに一括移行できます。
オプション: Oracle E-Business Suiteの一連のユーザー・プロファイル情報とサード・パーティLDAPディレクトリ内の情報との同期を維持できます。
サインオン・プロセス: サインオン・ユーザーによる操作は、基本シナリオの場合と同じですが、ログイン・ページはサード・パーティの認証メカニズムから提供されます。
サインアウト・プロセス: ユーザーがOracle E-Business Suiteリリース12からログアウトすると、そのユーザーはOracle Single Sign-Onサーバーにより登録済のすべてのOracleパートナ・アプリケーションからログアウトされます。また、サード・パーティのシングル・サインオン・ソリューションからもログアウトされます。
セッション・タイムアウト: セッション・タイムアウト時のユーザー操作は、基本シナリオの場合と同じですが、ユーザーが再認証を要求されるのはアプリケーション・セッション、Oracle Single Sign-Onセッションおよびサード・パーティ・セッションがすべて無効になった場合のみです。
未認証ユーザーがOracle E-Business Suiteリリース12へのアクセスを試みると、ユーザー認証はOracle E-Business Suiteリリース12からOracle Single Sign-Onサーバーに委任され、Oracle Single Sign-Onサーバーからサード・パーティの認証メカニズムに委任されます。
注意: サード・パーティの認証メカニズムとの統合の詳細は、『Oracle Application Server Single Sign-On管理者ガイド』の第13章「サードパーティのアクセス管理システムとの統合」を参照してください。
Oracle Internet Directoryでは、同期化プロセスを介してユーザー情報をサード・パーティLDAPサーバーと同期化できます。
Oracle Internet Directoryには、サード・パーティLDAPサーバーとの間でユーザーを一括移行するためのツールが組み込まれています。
注意: 詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。
配置の開始時には、サード・パーティLDAPサーバーが唯一のユーザー・リポジトリです。Oracle E-Business Suiteへのアクセスを必要とする登録済ユーザーの場合、シングル・サインオン・ソリューションではユーザーをOracle Internet DirectoryとOracle E-Business Suiteリリース12に存在させる必要があります。
サード・パーティLDAPディレクトリをユーザー情報の真のマスター・ソースとして保持することをお薦めします。Oracle Internet Directoryの同期化ソリューションを使用して、ユーザーをサード・パーティLDAPディレクトリからOracle Internet Directoryに移行した後、Oracle Internet Directoryのプロビジョニング・ソリューションを使用してユーザーをOracle E-Business Suiteに移動します。
重要: ユーザー作成後にOracle E-Business Suiteで有効化された保留中ユーザーの場合は、E-Business SuiteからOracle Internet DirectoryへのIDENTITY_MODIFYイベントを有効化する必要があります。
既存のユーザーをサード・パーティLDAPディレクトリからOracle Internet Directoryに移行した後、一括移行ツールを使用してOracle E-Business Suiteに移行できます。
システム管理者は、Oracle Internet Directoryをサード・パーティLDAPディレクトリと統合するための同期化プロファイルを作成できます。その結果は次のようになります。
サード・パーティLDAPディレクトリで新規のシングル・サインオン・アカウントを作成すると、自動的にOracle Internet Directoryで新規のシングル・サインオン・アカウントの作成がトリガーされます。
同期化するユーザーと、Oracle Internet Directoryでそのユーザーについて作成する属性を指定できます。
Oracle Internet Directoryに作成されるユーザーごとにGUID属性が作成されます。
システム管理者は、Oracle E-Business Suiteリリース12をOracle Internet Directoryと統合するためのプロビジョニング・プロファイルを作成することもできます。その結果は次のとおりです。
Oracle Internet Directoryで新規アカウントを作成すると、自動的にOracle E-Business Suiteリリース12で新規アプリケーション・アカウントの作成がトリガーされます。
Oracle E-Business Suiteで作成するユーザー属性を指定できます。
システム管理者は、ユーザー属性が変更された場合に、サード・パーティLDAPディレクトリにあるシングル・サインオン・アカウントの一部またはすべてのユーザー属性を、Oracle Internet Directoryのシングル・サインオン・アカウントと同期化するように、同期化プロファイルを構成できます。
システム管理者は、ユーザー属性が変更された場合に、Oracle Internet Directoryの一部またはすべてのユーザー属性をOracle E-Business Suiteにプロビジョニングするように、プロビジョニング・プロファイルを構成できます。
同期化プロファイルとプロビジョニング・プロファイルを使用すると、サード・パーティLDAPディレクトリ内でユーザーが退職するとOracle E-Business Suiteでもユーザーに終了日が設定されるようにシステムを構成できます。
必要な場合は、パスワード管理を統合前と同じ状態で保持できます。つまり、ユーザー・パスワードをサード・パーティLDAPで保持でき、Oracle Internet Directoryで複製する必要はありません。Oracle E-Business Suiteには、Oracle Internet Directoryからプロビジョニングされたユーザーのパスワードが格納されないことに注意してください。
エンド・ユーザー・タスク: ほとんどのエンド・ユーザーは、パスワード保守機能についてサード・パーティLDAPディレクトリで提供される方法を使用する必要があります。
システム管理者タスク: シングル・サインオン・パスワードを再設定するには、管理者はサード・パーティLDAPディレクトリで提供される方法に従う必要があります。
パスワード管理ポリシー: ユーザーのパスワード作成、変更およびシングル・サインオン・ログイン・アクティビティには、パスワードの作成および使用方法を制御するサード・パーティLDAPのルールが適用されます。
Oracle Internet Directoryには、強力で柔軟な一連の構成オプションが用意されています。ほとんどのE-Business Suiteシステム管理者およびセキュリティ管理者は、デフォルトのOracle Internet Directory構成を使用できます。高度なセキュリティ要件を持つセキュリティ管理者は、代替Oracle Internet Directory構成を使用するように選択できます。『Oracle Internet Directory管理者ガイド』のディレクトリ配置に関する項を参照してください。Oracle E-Business Suiteの統合に特に重要な項目は、次のとおりです。
ID管理レルム
DIT構造
「ニックネーム」属性として選択される属性
Oracle Internet Directoryとサード・パーティLDAPディレクトリとの同期化。
Oracle E-Business Suiteリリース12へのアクセスを必要とするユーザーの識別。このユーザーをサード・パーティLDAPディレクトリからOracle Internet Directoryへと同期化する必要があります。
サード・パーティLDAPディレクトリからOracle Internet Directoryへと同期化するユーザー属性。
Oracle Internet DirectoryとOracle E-Business Suiteの間のプロビジョニング。
アカウント作成中にプロビジョニングする属性。
Oracle Internet DirectoryからOracle E-Business Suiteリリース12にユーザー変更内容をプロビジョニングするかどうか。プロビジョニングする場合は、プロビジョニング対象の属性。
シングル・サインオン設定に関連する決定事項。
Oracle Single Sign-On、サード・パーティ・シングル・サインオンおよびOracle E-Business Suiteリリース12のセッション・タイムアウト。
現行のサード・パーティLDAPおよびシングル・サインオンの配置情報(ホスト、ポートおよび管理アカウント情報など)。
Oracle Application Server 10gとの統合について記載された、Oracle、サード・パーティLDAPおよびシングル・サインオン製品のベンダーからのマニュアル。
『Installing Oracle Application Server 10g with Oracle E-Business Suite Release 12』(OracleMetaLinkノート376811.1)に記載されているステップをすべて完了します。インストール・プロセスでは、プロビジョニング・プロファイル作成用のテンプレートを選択する必要があります。
テンプレートProvOIDToApps.tmpから始めます。
この配置では、プロビジョニング・プロセス(特にプロビジョニング対象の属性)を構成するために、テンプレート・ファイルの詳細なカスタマイズが必要になることがあります。テンプレートと構成プロセスの詳細は、「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」を参照してください。
Oracle Single Sign-Onサーバーを、サード・パーティの認証メカニズムを使用するように構成します。
Oracle E-Business Suiteへのアクセスを必要とする既存のアカウントを、サード・パーティLDAPからOracle Internet Directoryに移行します。Oracle Internet Directoryとサード・パーティLDAPの同期化プロセスを構成します。
既存のOracle Internet DirectoryユーザーをOracle E-Business Suiteに移行します。
セッション・タイムアウト値を構成します。
Oracle E-Business Suiteのプロファイル・オプションを設定します。プロファイル設定は、基本シナリオと同様にする必要があります。すべての関連プロファイル・オプションの詳細は、「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照してください。
このシナリオのバリエーションには、次のような特性が考えられます。
Oracle E-Business Suiteのフレッシュ・インストールが関係する場合。
Oracle Single Sign-OnとOracle Internet Directoryのインフラストラクチャが存在する場合。
サード・パーティの認証メカニズムやサード・パーティのLDAPディレクトリが関係しない場合。
ここでの重要な相違点は、サード・パーティ(Oracle以外)のソフトウェアに関連するステップをすべて無視できることです。
このシナリオでは、さらに複雑な配置例を示します。一部の大規模組織では、このような配置が必要になることがあります。
Oracle E-Business Suiteリリース12を使用中で、最新のFND_USERリポジトリに既存のユーザーを移入済であること。
Microsoft Windows KerberosやCA eTrust SiteMinder(旧称Netegrity SiteMinder)など、サード・パーティの認証メカニズムを、会社のシングル・サインオン・ソリューションとして使用中であること。
Microsoft Active DirectoryやSunONE/iPlanetなど、サード・パーティのLDAPディレクトリを会社のユーザー・ディレクトリとして使用中であること。
実装開始時に、Oracle E-Business Suiteリリース12とサード・パーティLDAPディレクトリの両方にユーザーが存在すること。ユーザー名が両方で同一であっても異なっていてもかまいません。
Oracle Portalが実装されていないこと。
既存のOracle E-Business Suiteリリース12を既存のサード・パーティ・シングル・サインオンおよびユーザー・ディレクトリ・インフラストラクチャと統合する必要があります。
統合にはOracle Application Server 10g(Oracle Single Sign-OnとOracle Internet Directoryを含む)が必要です。Oracle E-Business SuiteとOracle Single Sign-Onは、Oracle E-Business SuiteからOracle Single Sign-Onに認証を委任し、この機能をOracle Single Sign-Onから使用中のサード・パーティの認証メカニズムに委任できるように設定する必要があります。
Oracle Internet Directoryは、シングル・サインオンを介してOracle E-Business Suiteにアクセスするユーザーに関して、サード・パーティLDAPディレクトリからの最小限の情報セットを同期化するように構成する必要があります。
サード・パーティLDAPディレクトリ内の既存のユーザーは、Oracle Internet Directoryに一括移行できます。
E-Business Suiteとサード・パーティLDAPの両方に存在するアカウントをリンクできます。適切な計画を作成すれば、新規ユーザーをサード・パーティLDAPディレクトリからOracle Internet Directoryに同期化し、さらにOracle E-Business Suiteに同期化できます。
オプション: Oracle E-Business Suiteのユーザー・プロファイル情報とサード・パーティLDAPディレクトリ内の情報との同期を維持できます。
この配置シナリオにおけるシングル・サインオン、サインオフおよびセッション・タイムアウト・プロセスは、シナリオ2の場合と同様ですが、サインオン時に1つ重要な相違点があります。ユーザーがアカウントをサード・パーティLDAPディレクトリとOracle E-Business Suiteに1つずつ持っている場合は(アカウント名は同じでなくても)、次のアプローチに従うことをお薦めします。
一括移行ツール(既存アカウントの場合)または同期化プロセス(新規アカウントの場合)を介して、サード・パーティLDAPのアカウントをOracle Internet Directoryに移行します。
リンク・オンザフライ機能を使用して、Oracle Internet Directoryのシングル・サインオン・アカウントをOracle E-Business Suiteリリース12のアプリケーション・アカウントとリンクします。この処理は次のように進行します。
Oracle Single Sign-Onは、シングル・サインオン・ハンドシェイク中に(基本シナリオの説明を参照)、認証済ユーザーのGUIDをOracle E-Business Suiteリリース12に戻します。
Oracle E-Business Suiteリリース12は、GUIDを使用してユーザーのOracle E-Business Suiteアプリケーション・アカウントを検索します。
ユーザーがOracle E-Business Suiteリリース12インスタンスに初めてアクセスする場合、関連アプリケーション・アカウントは検出されません。これは、Oracle Single Sign-Onが統合されるまで、ユーザーのOracle E-Business SuiteアカウントにはGUID情報がないためです。
ユーザーが「リンク・アカウント」ページ(次のスクリーンショットを参照)に送られます。このページでOracle E-Business Suiteリリース12アプリケーション・アカウントのユーザー名とパスワードを入力します。
アプリケーション・アカウント情報の検証に成功すると、ユーザーは要求したOracle E-Business Suiteリリース12のページまたはユーザーのホームページにリダイレクトされます。その他のロジックは、次のとおりです。
シングル・サインオン・アカウントとアプリケーション・アカウント(GUID)の関連付けは保持されます。
以降のアクセス時には、ユーザーは「リンク・アカウント」ページにリダイレクトされません。
アプリケーション・アカウント情報が検証されない場合、ユーザーは元の「リンク・アカウント」ページに送られます。
このプロセス全体を次のダイアグラムに示します。
高度なオプション: ユーザーがサード・パーティLDAPディレクトリとOracle E-Business Suiteの両方にアカウントを持っている場合は、すべてのLDAPアカウント名がOracle E-Business Suiteアカウント名と同一のものとして認識されることがあります。このような場合は、プロファイル「アプリケーションSSO自動リンク・ユーザー」を値「Yes」に設定できます。その後は、Oracle E-Business Suiteがアプリケーション・アカウントをGUIDで検出できなければ、アカウント名での検出を試み、それに成功すると2つのアカウントがGUIDでリンクされます。リンク操作はバックグラウンドで実行され、ユーザーに「リンク・アカウント」ページは表示されません。詳細は、「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照してください。
このシナリオにおけるユーザー管理の複雑さの大部分は、サード・パーティLDAPとOracle E-Business Suiteにある既存のユーザー・データを調整するプロセスにあります。シングル・サインオンを介したOracle E-Business Suiteへのアクセスを必要とするユーザーについて、常にサード・パーティLDAPデータをOracle Internet Directoryと同期化する必要があります。Oracle Internet Directoryのシングル・サインオン・アカウントは、サード・パーティLDAPディレクトリのアカウントと同一であることが必要です。詳細がサード・パーティLDAPにあるユーザーや、Oracle E-Business Suiteへのアクセスを必要としないユーザーの場合、処理は不要です。
これ以降は、既存のサード・パーティLDAPユーザー全員がOracle E-Business Suiteへのアクセスを必要としているため、Oracle Internet Directoryに存在する必要があるものと想定します。既存のデータと必要な機能の特性に応じて、様々な可能性があります。
オプション1: ユーザーに対して、常にサード・パーティLDAPディレクトリとOracle E-Business Suiteの両方に、各システムで提供されるユーザー登録方法を介してアカウントを1つずつ作成するように要求します。
この場合、LDAPアカウントはOracle Internet Directoryに移行されます。Oracle Internet DirectoryのアカウントとOracle E-Business Suiteのアカウントは、前述のリンク・オンザフライ・プロセスを介してリンクされます(使用されるプロビジョニング・プロファイルのいずれでも、SUBSCRIPTION_ADDイベントとIDENTITY_ADDイベントは有効化されません)。
オプションで、管理者は、ユーザー属性の変更内容を次の方向で伝播できるように、同期化プロセスとプロビジョニング・プロセスを構成できます。
Oracle Internet Directoryを介してサード・パーティLDAPディレクトリからOracle E-Business Suiteに
Oracle Internet Directoryを介してOracle E-Business Suiteからサード・パーティLDAPディレクトリに
両方向
現在、サポートされているユーザー属性のリストは限定的です。「サポートされている属性」を参照してください。
オプション2: Oracle Internet Directoryを介して、新規アカウントをサード・パーティLDAPディレクトリからOracle E-Business Suiteに伝播します(シナリオ2を参照)。
LDAPまたはOracle E-Business Suite(あるいはその両方)に存在するアカウントを調整する必要があります。ユーザーがLDAPディレクトリとOracle E-Business Suiteの両方に既存のアカウントを持っている場合、リンク・オンザフライ機能を使用して2つのアカウントをリンクでき、他の処理は不要です。ユーザーがOracle E-Business Suiteには既存のアカウントを持っていても、サード・パーティLDAPディレクトリに持っていない場合は、LDAPディレクトリにアカウントを作成し、リンク・オンザフライ機能を使用して2つのアカウントをリンクする必要があります(このステップは、プロビジョニングの構成前に実行する必要があります)。
ユーザーがサード・パーティLDAPディレクトリに既存のアカウントを持っていても、Oracle E-Business Suiteリリース12に持っていない場合は、Oracle E-Business Suiteにアカウントを作成し、リンク・オンザフライ機能を使用して2つのアカウントをリンクする必要があります。
新規ユーザーにアカウントのリンク機能を使用しなくてもよいように、Oracle Internet Directoryの同期化およびプロビジョニング・プロセスを介して、サード・パーティLDAPディレクトリからOracle E-Business Suiteに新規アカウントを伝播できます。この方法では、新規ユーザーが複数回登録する必要もなくなります。ただし、このプロセスを有効化する前に、システム管理者は、サード・パーティLDAPディレクトリに作成された新規アカウント名がOracle E-Business Suiteの既存アカウント名と競合しないことを確認する手順を設定する必要があります。
オプションで、管理者は、ユーザー属性の変更内容をOracle Internet Directory経由でサード・パーティLDAPディレクトリからOracle E-Business Suiteリリース12に伝播できるように、同期化およびプロビジョニング・プロセスを構成できます。
Oracle Internet Directoryのシングル・サインオン・アカウントがOracle E-Business Suiteリリース12のアプリケーション・アカウントにリンクされると、前述のように、Oracle E-Business Suiteのアプリケーション・アカウント用パスワードが予約済キーワードEXTERNALで置換されます。認証には、パスワードのマスター・ユーザー・ディレクトリに格納されているパスワードで十分です。
ユーザー認証がOracle Single Sign-Onサーバーからサード・パーティのシングル・サインオン・ソリューションに委任され、そこでサード・パーティLDAPディレクトリと対照してユーザーが認証されることに注意してください。その結果、Oracle Internet Directoryのパスワードは無視されるため、Oracle Internet Directoryにパスワードを保持しないことをお薦めします。
この場合、サード・パーティLDAPディレクトリの主な役割は、次のダイアグラムのように表すことができます。
Oracle Internet Directoryには、強力で柔軟な一連の構成オプションが用意されています。ほとんどのE-Business Suiteシステム管理者およびセキュリティ管理者は、デフォルトのOracle Internet Directory構成を使用できます。高度なセキュリティ要件を扱うセキュリティ管理者は、代替のOracle Internet Directory構成を使用するように選択できます。『Oracle Internet Directory管理者ガイド』の「ディレクトリ配置」を参照してください。Oracle E-Business Suiteの統合に特に重要な項目は、次のとおりです。
ID管理レルム
DIT構造
「ニックネーム」属性として選択される属性
Oracle Internet Directoryとサード・パーティLDAPディレクトリの間の同期化。特に重要な項目は次のとおりです。
Oracle E-Business Suiteリリース12へのアクセスを必要とするため、サード・パーティLDAPディレクトリとOracle Internet Directoryの間で同期化する必要のあるユーザーの識別
Oracle Internet Directoryとサード・パーティLDAPディレクトリの間の同期化に使用する属性
前述のユーザー管理オプションのどれを使用するか。
シングル・サインオン設定(特にセッション・タイムアウト)関連の決定事項。
Oracle Single Sign-On
サード・パーティのシングル・サインオン・コンポーネント
Oracle E-Business Suiteリリース12
現行のサード・パーティLDAPおよびシングル・サインオン配置情報(ホスト、ポートおよび管理アカウント情報など)。この場合、Oracle Application Serverリリース10gとの統合に関して記載されている、Oracle、サード・パーティLDAPおよびシングル・サインオン製品のベンダーからのマニュアルの参照が必要になる可能性があります。
ユーザー管理オプションに応じて、Oracle E-Business Suiteリリース12とサード・パーティLDAPの既存のアカウントを調整する方法を開発します。
『Installing Oracle Application Server 10g with Oracle E-Business Suite Release 12』(OracleMetaLinkノート376811.1)に記載されているステップをすべて完了します。インストール・プロセスでは、プロビジョニング・プロファイル作成用のテンプレートを選択する必要があります。
リンク・オンザフライ機能のみに依存する場合は、テンプレートProvBiDiNoCreation.tmpから始めます。それ以外の場合は、テンプレートProvOIDToApps.tmpから始めます。
この配置では、プロビジョニング・プロセス(特に同期化対象の属性)を構成するために、テンプレート・ファイルの詳細なカスタマイズが必要になることがあります。テンプレートと構成プロセスの詳細は、「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」を参照してください。
Oracle Single Sign-Onサーバーを、サード・パーティの認証メカニズムを使用するように構成します。
既存のサード・パーティLDAPアカウントをOracle Internet Directoryに移行し、サード・パーティLDAPとOracle Internet Directoryの間の同期化を構成します。
セッション・タイムアウト設定を構成します。
Oracle E-Business Suiteのプロファイル・オプションを設定します。すべての関連プロファイル・オプションの詳細は、「Oracle E-Business Suiteリリース12のシングル・サインオン・プロファイル・オプション」を参照してください。
このシナリオのバリエーションには、次のような特性が考えられます。
Oracle E-Business Suiteリリース12インストールの存在。
Oracle Single Sign-OnとOracle Internet Directoryのインフラストラクチャの存在。
サード・パーティの単一認証メカニズムやサード・パーティのLDAPディレクトリの関与なし。
ここでの重要な相違点は、サード・パーティ(Oracle以外)のソフトウェアに関連するステップをすべて無視できることです。
複数のOracle E-Business Suiteリリース12インスタンスが実装済で、それぞれにユーザーが存在していること。
Oracle Single Sign-Onインフラストラクチャが存在しないこと。
Oracle Portalが実装されていないこと。
このシナリオは、複数のOracle E-Business Suiteリリース12インスタンスを使用していて、Oracle Single Sign-Onインフラストラクチャが存在しないサイトに適用されます。要件は、Oracle Single Sign-Onを複数のOracle E-Business Suiteインスタンスに対して有効化することです。
統合には、Oracle Application Server 10g(Oracle Single Sign-OnとOracle Internet Directoryを含む)が必要です。各Oracle E-Business Suiteインスタンスにより、ユーザー・サインオンおよび認証がOracle Single Sign-Onサーバーに委任されます。
Oracle Single Sign-Onサーバーでは、Oracle Internet Directoryのユーザー・エントリと対照してユーザー資格証明が認証されます。Oracle Internet Directoryには、各ユーザーのシングル・サインオン・アカウントIDとパスワードが格納されます。
Oracle Internet Directoryのユーザーごとにシングル・サインオン・アカウントを作成する必要があります。Oracle E-Business Suiteインスタンスの既存アプリケーション・アカウントを、シングル・サインオン・アカウントにリンクする必要があります。
オプション: Oracle E-Business Suiteのユーザー・プロファイル情報とOracle Internet Directoryの情報の同期を維持できます。
シングル・サインオン・アーキテクチャは、基本シナリオで説明したものと同じです。また、シナリオ3で説明したリンク・オンザフライ機能も使用できます。
このシナリオにおけるユーザー管理のオプションは、複数のOracle E-Business Suiteインスタンスの既存ユーザー・データの特性に応じて異なります。
オプション1: 現在、Oracle E-Business Suiteインスタンスの1つ(Oracle Human Resourcesシステムなど)が、すべてのOracle E-Business Suiteインスタンスに対してユーザー情報の真のソースとして機能している場合は、これを2段階のプロセスに変更できます。まず一括移行ツールを使用して、そのOracle E-Business SuiteインスタンスからOracle Internet Directoryに既存のユーザーを移行します。次に、そのOracle E-Business Suiteインスタンスで追加作成される新規ユーザーがOracle Internet Directoryに自動的にプロビジョニングされるように、プロビジョニング・プロセスを構成します。
すでに他のOracle E-Business Suiteインスタンスにアカウントを持っているユーザーは、リンク・オンザフライ・メカニズムを使用して、自分のシングル・サインオン・アカウントをそのインスタンスのアプリケーション・アカウントにリンクします。
Oracle Internet Directoryにプロビジョニングされる新規ユーザーを、他のOracle E-Business Suiteインスタンスに選択的にプロビジョニングできます。
オプション2: 既存のどのOracle E-Business Suiteインスタンスもユーザー情報の真のマスター・ソースでない場合は、すべてのOracle E-Business Suiteインスタンスの既存アカウントをOracle Internet Directoryに移行できますが、既存データには次の制限が適用されます。
2人のユーザーがすべてのOracle E-Business Suiteインスタンス間で同じアカウント名を持つことはできません。
ユーザーが複数のOracle E-Business Suiteインスタンスにアカウントを持っている場合、そのアカウントの名前は同一である必要があります。
移行後は、Oracle Internet Directoryで新規ユーザーを作成し、Oracle E-Business Suiteインスタンスに選択的にプロビジョニングできます。
オプション3: 前述のオプションが実現できない配置では、アカウント作成をプロビジョニング・プロセスに依存しないように選択できます(プロビジョニング・プロファイルではSUBSCRIPTION_ADDイベントもIDENTITY_ADDイベントも有効化しません)。Oracle E-Business Suiteへのシングル・サインオン・アクセスを必要とする各ユーザーは、各システムで提供されるユーザー登録方法を介して、Oracle Internet Directoryでシングル・サインオン・アカウントを作成し、Oracle E-Business Suiteリリース12インスタンスでアプリケーション・アカウントを作成する必要があります。Oracle Internet DirectoryアカウントとOracle E-Business Suiteアカウントは、ユーザーがOracle E-Businessインスタンスに初めてアクセスするときに、リンク・オンザフライ・プロセスを介してリンクされます。
ほとんどの場合、Oracle Internet Directoryにあるユーザーのシングル・サインオン・アカウントは、Oracle E-Business Suiteリリース12の単一のアプリケーション・アカウントに対応します。ただし、ユーザーがOracle Internet Directoryにシングル・サインオン・アカウントを持ち、Oracle E-Business Suiteリリース12に複数のアプリケーション・アカウントを持つ特殊ケースが考えられます。Oracle Internet Directoryにある単一のシングル・サインオン・アカウントを、Oracle E-Business Suiteリリース12の複数のアプリケーション・アカウントに関連付けることができます。
システム管理者は、プロファイル・オプション(「アプリケーションSSO許可複数アカウント」)を介して、この機能を有効化できます。この機能を利用する手順は、次のとおりです。
Oracle Internet Directoryで有効なシングル・サインオン・アカウントを使用して、Oracle E-Business Suiteにログインします。
ログイン後に、「作業環境」ページで「アカウント設定」ボタンをクリックして「シングル・サインオン・アカウント設定」ページにアクセスします。
追加のアプリケーション・アカウントを既存のシングル・サインオン・アカウントに関連付けるには、「アカウントの追加」を選択し、プロンプトに対して新規アプリケーション・アカウントのユーザー名とパスワードを入力します。
新規アプリケーション・アカウント情報の検証が完了すると、元の「シングル・サインオン・アカウント設定」ページにリダイレクトされ、新しくリンクされたアカウントが表示されます。
新規アカウント情報の検証に失敗すると、「アカウントの追加」ページにリダイレクトされます。
最初にリンクされたアプリケーション・アカウントは、シングル・サインオン・アカウント用のデフォルト・アプリケーション・アカウントとしてマークされ、Oracle Single Sign-On認証後にユーザーがログインするアカウントとなります。必要な場合は、「シングル・サインオン・アカウント設定」ページで適切な選択を行ってデフォルト・アカウントを変更できます。
Oracle Single Sign-Onを介してOracle E-Business Suiteにログインしたユーザーは、「シングル・サインオン・アカウント設定」ページを使用して現在リンクされているアプリケーション・アカウントをすべて表示し、必要な場合は、アカウントを選択して「現在のアカウントに設定」をクリックすることで別のリンク済アプリケーション・アカウントに切り替えることができます。この機能をシステム管理者が無効化している場合、「シングル・サインオン・アカウント設定」ページには「アカウントの追加」ボタンが表示されず、ユーザーが自分のシングル・サインオン・アカウントに複数のアプリケーション・アカウントをリンクすることはできません。
Oracle Internet Directoryのシングル・サインオン・アカウントのうち、Oracle E-Business Suiteリリース12の指定のアプリケーション・アカウントに一度にリンクできるアカウントは1つのみです。複数のシングル・サインオン・アカウントを1つのアプリケーション・アカウントに同時にリンクする操作はサポートされていません。
Oracle Single Sign-Onサーバーのログイン・ページを介してログインしたユーザーは、ブラウザから必要な言語設定を選択できます。この設定は、Oracle Single Sign-OnサーバーからOracle E-Business Suiteリリース12に渡され、その言語がサポートされている場合は言語オプションとなります。
Oracle Application Server 10gとOracle E-Business Suiteデータベース・サーバーのシステム・クロックは正確で、同期状態を保つ必要があります。クロックが不正確であったり同期化されていないと、ユーザー・プロビジョニング・フローに影響する可能性があります。
注意事項は次のとおりです。
Oracle Application Server 10gでは、すべての時間がGMTに変換されます。orclStartDate属性がデフォルト設定されている場合は、システム日付が選択されてGMTに変換されます。
Oracle Internet Directoryでは、日付の時間部分がサポートされていません。日付を明示的に指定すると、GMTタイムゾーンの指定日の午前0時とみなされます。
Oracle E-Business Suiteデータベース・サーバーはローカル・タイムゾーンで稼働するため、日付にもローカル・タイムゾーンが使用されます。
ユーザーがOracle Internet Directoryからプロビジョニングされる場合、日付はローカル・タイムゾーンに変換されます。
特定のユーザーについて、ユーザー管理マスターをOracle Internet DirectoryからE-Business Suiteに切り替える操作が必要になる場合があります。このユーザーの資格証明は、ローカル認証でFND_USERにより認証されるように切り替える必要があります。「FNDユーザー」フォームと「ユーザー作業環境」画面では、EXTERNALに設定されたパスワードを変更できないため、この切替えには特別な手順が必要です。
パスワードを保持し、ユーザーにAppsLocalLogin.jspを介したE-Business Suiteへのローカル・ログインを許可する手順は、次のとおりです。
ローカル・アクセスを維持するユーザーについて、プロファイル・オプション「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)が「ローカル」または「両方」に設定されていることを確認します。
FNDCPASSユーティリティを使用して、ユーザーのパスワードを再設定します。新規のパスワードをユーザーにEメールで送信する必要があります。
次に例を示します。
FNDCPASS apps/apps 0 Y system/manager USER VISION WELCOME
FNDCPASSユーティリティの詳細は、『Oracle Applicationsシステム管理者ガイド - 構成』のアプリケーションDBAの職務に関する項を参照してください。
ログインに使用されるデフォルトのニックネームはuidで、これはOracle Internet Directory Delegated Administration Serviceの「構成」画面の「ログイン名の属性」フィールドで確認できます。uidは、Oracle Internet Directory Delegated Administration Serviceの「ユーザーの作成」画面の「ユーザー名」に対応します。
通常、ニックネーム属性を変更することはお薦めしませんが、他の一意の属性(Eメール・アドレスなど)を使用できる特殊な場合があります。現在、E-Business Suiteではニックネーム(ログイン属性)についてサポートされている設定は「uid」または「mail」のいずれかです。
Oracle Internet Directoryでニックネームとして設定された属性は、E-Business SuiteのFND_USER.USER_NAME列にマップされます。Oracle Internet Directoryでのニックネーム属性設定は、E-Business Suiteではキャッシュされます。Oracle Internet Directoryでニックネームが変更された場合は、E-Business Suiteデータベースを再起動して強制的にリフレッシュする必要があります。
Oracle Single Sign-Onが統合された環境では、ユーザーがOracle E-Business Suiteへのアクセスを承認されるログオン・プロセスが大幅に変更されます。この項では、重要な変更点、特にプロファイル・オプションの使用について説明します。
スタンドアロンE-Business Suite環境では、すべてのユーザーおよびシステム管理者はE-Business Suiteの「AppsLogin」ページを介してE-Business Suiteに接続します。ユーザーは「AppsLogin」ページからE-Business Suiteのログイン・ページにリダイレクトされ、そこでユーザーIDとパスワードがE-Business SuiteのFND_USER表と対照して認証されます。次に、E-Business SuiteでE-Business SuiteのFND_USER表のエントリと対照してアプリケーション職責が参照され、ユーザーの承認が決定されます。
E-Business Suiteが外部のOracle Application Server 10gインスタンス、Oracle Single Sign-OnおよびOracle Internet Directoryと統合されている環境では、このプロセスが次のように変更されます。
エンド・ユーザーは、E-Business Suiteの「AppsLogin」ページを介してE-Business Suiteに接続し、そこからOracle Single Sign-Onのログイン・ページにリダイレクトされます。Oracle Single Sign-Onでは、E-Business SuiteユーザーのユーザーIDとパスワードがOracle Internet Directoryと対照して認証され、ユーザーが元のE-Business Suiteにリダイレクトされます。その後、E-Business Suiteでは、E-Business SuiteのFND_USER表のエントリと対照してアプリケーション職責が参照され、ユーザーの承認が決定されます。
システム管理者および選択された他のユーザーは、E-Business Suiteの「AppsLocalLogin」ページを介してE-Business Suiteに接続し、そこでユーザーIDとパスワードがE-Business SuiteのFND_USER表と対照して認証されます。次に、E-Business SuiteのFND_USER表のエントリと対照してアプリケーション職責が参照され、ユーザーの承認が決定されます。この特殊なユーザー・グループに該当するユーザーの資格証明は、外部のOracle Single Sign-OnおよびOracle Internet Directoryではなく、E-Business Suiteでローカルに認証されています。
スタンドアロンE-Business Suite環境では、すべてのユーザーおよびシステム管理者はE-Business Suiteの「AppsLogin」ページを介して接続します。ユーザーは、このページからE-Business Suiteのログイン・ページにリダイレクトされ、そこでユーザーIDとパスワードがFND_USER表と対照して認証されます。次に、E-Business SuiteでFND_USER表のエントリと対照してアプリケーション職責が参照され、ユーザーの承認が決定されます。
E-Business Suiteが外部のOracle Application Server 10gインスタンス、Oracle Single Sign-OnおよびOracle Internet Directoryと統合されている環境では、次の重要事項が適用されます。
エンド・ユーザーは、E-Business Suiteの「AppsLogin」ページを介してE-Business Suiteに接続し、そこからOracle Single Sign-Onのログイン・ページにリダイレクトされます。Oracle Single Sign-Onでは、E-Business SuiteユーザーのユーザーIDとパスワードがOracle Internet Directoryと対照して認証され、ユーザーが元のE-Business Suiteにリダイレクトされます。その後、E-Business Suiteでは、E-Business SuiteのFND_USER表のエントリと対照してアプリケーション職責が参照され、ユーザーの承認が決定されます。
システム管理者および選択された他のユーザーは、E-Business Suiteの「AppsLocalLogin」ページを介してE-Business Suiteに接続し、そこでユーザーIDとパスワードがFND_USER表と対照して認証されます。次に、E-Business SuiteではFND_USER表のエントリと対照してアプリケーション職責が参照され、ユーザーの承認が決定されます。この特殊なユーザー・グループに該当するユーザーの資格証明は、外部のOracle Single Sign-OnおよびOracle Internet Directoryではなく、E-Business Suiteでローカルに認証されています。
ログイン・プロセスは、E-Business Suiteのプロファイル・オプション・グループで制御されます。各プロファイル・オプションの詳細は後述します。
ログイン・プロセスに関係する主要コンポーネントは、次のとおりです。
AppsLogin
<http://[host]:[port]/OA_HTML/AppsLogin.jsp>
ログイン・ルートは、プロファイル・オプション「アプリケーションSSOタイプ」(APPS_SSO)により決定されます。E-BusinessインスタンスがOracle Single Sign-Onと統合されている場合は、これを「SSWA (SSO)」に設定する必要があります。ユーザーはOracle Single Sign-Onサーバーのログイン・ページにリダイレクトされ、資格証明(ユーザー名とパスワード)の入力後にLDAPサーバーと対照して認証されます。
AppsLocalLogin
<http://[host]:[port]/OA_HTML/AppsLocalLogin.jsp>
ログイン・ルートは、プロファイル・オプション「アプリケーションSSOタイプ」(APPS_SSO)により決定されます。このサイト・レベルのプロファイルが「SSWA」に設定されている場合、ユーザーにはログイン・ページが表示され、資格証明(ユーザー名とパスワード)を入力すると、E-Businessインスタンスと対照して認証されます。
リリース11iでは、「ローカル・ログイン・マスク」プロファイル・オプションを使用してログイン・ページをカスタマイズできます。リリース12では、このプロファイル・オプションが廃止されています。新規のログイン・ページはOracle Frameworkベースのページであるため、Frameworkのパーソナライズを使用してリージョンがパーソナライズされます。管理者は、プロファイルFND_PERSONALIZATION_REGION_LINK_ENABLEDを「Yes」に設定して、ページをパーソナライズできます。
デフォルトでは、ログイン・ページのリージョンがすべて表示されます。次の項目をパーソナライズできます。
ユーザー名
パスワード
「ログイン」ボタン
「取消」ボタン
「ログイン支援」リンク
「ここで登録」リンク
アクセシビリティ
言語オプション
システム管理者は、カスタム・ログイン・ページを作成できます。カスタム・ページはサーブレットAuthenticateUserに転記する必要があり、2つの属性(ユーザー名およびパスワード)を必要とします。ユーザー認証に成功すると、サーブレットによりユーザーがrequestUrlで定義された宛先またはデフォルトのAPPSHOMEPAGEにリダイレクトされます。認証に失敗すると、サーブレットによりユーザーがログイン・ページにリダイレクトされ、パラメータerrCodeにエラー・メッセージが表示されます。
カスタム・ログイン・ページを配置する手順は、次のとおりです。
新規サーブレットをOA_HTMLディレクトリに置きます。
新機能(FND_FORM_FUNCTION)を作成します。この機能のweb_html値に、新規ログイン・ページのファイル名を移入する必要があります。APPS_LOGINで始まる機能コードを使用してください。
この機能をAPPS_LOGIN_DEFAULTメニューに割り当てます。このメニューは全ユーザー(guestを含む)に付与されているため、付与フラグは不要です。
プロファイル・オプションAPPS_LOGIN_FUNCTIONを新規の機能名で更新します。このプロファイルのドロップダウンで問合せされるのは、APPS_LOGINで始まる機能コードのみです。
注意: 「パーソナル・ホームページ」ログイン(ICXINDEX.htm)は廃止され、AppsLocalLogin.jspで置き換えられています。
CRMLoginサーブレットとjtflogin.jsp
<http://[host]:[port]/oa_servlets/CRMLogin.jsp>
http://[host]:[port]/OA_HTML/jtflogin.jsp
CRM System Administrator Consoleには、新しい推奨ログイン・フローが存在します。ログインにサーブレットCRMLoginを使用できます。このサーブレットでは、システムがSSO対応かどうかがチェックされ、ユーザーが適切なログイン・ページに送られます。古いログイン・ページjtflogin.jspも引き続きサポートされていますが、jtflogin.jspがカスタマイズされている場合にのみ使用することをお薦めします。
OAMLogin
http://[host]:[port]/servlets/weboam/oam/oamLogin
プロンプトでApplicationsユーザー・アカウントおよびパスワードを要求されます。ログインに成功すると、OAMコンソールから接続したApplicationsシステムが表示されます。「システム管理者」およびSelf-Serviceシステム管理者職責を持つApplicationsユーザーとしてログインする必要があります。
ログイン・プロセスは、E-Business Suiteのプロファイル・オプション・グループにより決定されます。各プロファイルは、後述のように複数のカテゴリにわかれています。ログオン・プロセスに関係する主要コンポーネントは、次のとおりです。
このカテゴリで説明するプロファイルは、すべてログインおよびログアウト・プロセスに関連しています。
このプロファイルの機能は、次のとおりです。
使用できるのはサイト・レベルのみです(ユーザーに対する個別設定はできません)。
更新できるのはシステム管理者のみです。
参照タイプAPPS_SSO_TYPEにより定義されます。
デフォルト値は「SSWA」です。
このプロファイルにより、ユーザーのログインおよび認証操作全体が次のように決定されます。
プロファイル値 | ログイン・ページ | 認証 | ユーザー・ディレクトリ | 統合モデル | 前提条件 | ホームページ |
---|---|---|---|---|---|---|
SSWA (SSO) | SSOログイン・ページ | SSOサーバー | OID | EBSはOracle SSOのパートナ・アプリケーションです。 | SSO SDKがEBSインスタンスにインストール済であること。 | APPLICATIONS_ HOME_PAGEプロファイルにより設定 |
ポータル (SSO) | SSOログイン・ページ | SSOサーバー | OID | EBSとPortalはSSOのパートナ・アプリケーションです。 | SSO SDKがEBSインスタンスにインストール済であること。 | Portalホームページ |
SSWA | EBSログイン・ページ | EBS | FND_USER | 該当なし | 該当なし | APPLICATIONS_ HOME_PAGEプロファイルにより設定 |
注意: この表で、EBSはOracle E-Business Suite、OIDはOracle Internet Directory、SSOはOracle Single Sign-On、SSWAはSelf-Service Webアプリケーションです。
Oracle Portalを使用していない場合、このプロファイルによりアプリケーションのデフォルト・ホームページが決定されます。これは、Oracle E-Business Suiteリリース12にログインしたユーザーに最初に表示されるページです。
このプロファイルの機能は、次のとおりです。
使用できるのはサイト・レベルのみです(ユーザーに対する個別設定はできません)。
更新できるのはシステム管理者のみです。
デフォルト値は「フレームワークのみ」です。
このプロファイルの機能は、次のとおりです。
プロファイル値 | 説明 |
---|---|
フレームワークのみ | 新しいOracle E-Business Suiteリリース12ホームページにナビゲートします。 |
パーソナル・ホームページ | 既存のパーソナル・ホームページにナビゲートします。 |
フレームワーク付きパーソナル・ホームページ | 既存のパーソナル・ホームページにナビゲートします。職責のいずれかをクリックすると、新しいOracle E-Business Suiteリリース12ホームページの一部である「ナビゲータ」コンポーネントが表示されます。 |
このプロファイルでは、Oracle E-Business Suiteへのローカル・アクセスの実行に使用するログイン・ページを指定します。「アプリケーションSSOタイプ」プロファイルが「SSWA」に設定されている場合は、アプリケーション・ログイン・サーブレット(AppsLogin)により、このプロファイルで指定したログイン・ページにユーザーがリダイレクトされます。
このプロファイルの機能は、次のとおりです。
使用できるのはサイト・レベルのみです(ユーザーに対する個別設定はできません)。
更新できるのはシステム管理者のみです。
デフォルト値は「AppsLocalLogin.jsp」です。
このプロファイルを使用して、Portal関連の設定を指定します。
注意: E-Business SuiteとOracle Portalの併用の詳細は、『Using Oracle Portal 10g with Oracle E-Business Suite Release 12』(OracleMetaLinkノート380484.1)を参照してください。
このプロファイルの機能は、次のとおりです。
使用できるのはサイト・レベルのみです(ユーザーに対する個別設定はできません)。
更新できるのはシステム管理者のみです。
Portalのエントリ・ページを定義します。
このカテゴリで説明するプロファイル・オプションにより、E-Business Suiteユーザー・アカウントをシングル・サインオン・アカウントにリンクする方法を制御します。
このプロファイルでは、Oracle E-Business Suiteリリース12で、ログイン時にユーザーに対してプロンプトでアプリケーション・アカウントの認証情報を要求せずに、認証済シングル・サインオン・アカウントを同じアカウント名のアプリケーション・アカウントに自動的にリンクするかどうかを指定します。
このプロファイルの機能は、次のとおりです。
使用できるのはサイト・レベルのみです(ユーザーに対する個別設定はできません)。
更新できるのはシステム管理者のみです。
可能な値は次のとおりです。
「使用可能」: 自動リンク可能です。
「使用不可」: 自動リンクできません(デフォルト)。
ユーザー作成とリンク: 必要に応じてユーザーを作成し、リンクします。
このプロファイルでは、Oracle E-Business Suiteリリース12インスタンスで、単一のOracle Internet Directoryユーザーを複数のOracle E-Business Suiteユーザー・アカウントにリンク可能にするかどうかを指定します。
このプロファイルの機能は、次のとおりです。
使用できるのはサイト・レベルのみです(ユーザーに対する個別設定はできません)。
更新できるのはシステム管理者のみです。
可能な値は次のとおりです。
「Yes」: 複数のアカウントをリンクできます。
「No」: 複数のアカウントをリンクすることはできません(デフォルト)。
追加アカウントのリンク操作では、このプロファイルを使用します。これは次のことを意味します。
「シングル・サインオン・アカウント設定」ページ(「ユーザー作業環境」ページからアクセス可能)でAPPS_SSO_ALLOW_MULTIPLE_ACCOUNTSプロファイルが「Yes」に設定されている場合は、「アカウントの追加」ボタンが表示されます。
このプロファイルがデフォルト値の「No」に設定されている場合、「アカウントの追加」ボタンは表示されないため、「リンク・アカウント」ページでは複数のアカウントをリンクできません。
このカテゴリのプロファイル・オプションでは、Single Sign-On E-Business Suite環境におけるパスワードの管理方法を指定します。
このプロファイルの機能は、次のとおりです。
サイト・レベルとユーザー・レベルの両方で使用できます(ユーザーに対して個別に設定できます)。
更新できるのはシステム管理者のみです。
ユーザー・パスワードの管理対象を指定します。
Oracle Internet Directory外部
Oracle E-Business Suiteリリース12でローカル
Oracle Internet DirectoryとOracle E-Business Suiteの両方
有効な値は、参照タイプFND_SSO_LOCAL_LOGINで定義されます。
SSO: ログインは、シングル・サインオンを介してのみ許可されます。シングル・サインオン・アカウントとアプリケーション・アカウントがリンクされた後、パスワードはEXTERNALに設定されます。
LOCAL: ログインはOracle E-Business Suiteローカル・ログインを介してのみ許可されます。パスワードをOracle E-Business Suiteで保持する必要があり、アカウントをOracle Internet Directoryユーザーにリンクすることはできません。
BOTH: シングル・サインオンとOracle E-Business Suiteの両方を介してログインできます。Oracle E-Business Suiteパスワードの変更をOracle Internet Directoryと同期化できますが、逆方向では、ユーザーのSingle Sign-OnパスワードがOracle E-Business Suiteパスワードと同期化されない場合があります。
サイト・レベルのデフォルト値はBOTHです。SYSADMINおよびGUESTアカウントのユーザー・レベルの値はLOCALに設定されます。
SYSADMINユーザーとGUESTユーザーのプロファイル・オプションは変更しないでください。sysadminユーザーは、ローカル・ログインにのみ使用可能な標準アカウントであり、Single Sign-Onへのログインには使用できません。Oracle E-Business SuiteでパスワードがEXTERNALに設定された後は、元のパスワードを使用してローカルにログインできなくなります。プロファイルがLOCALアクセスを許可するように変更された場合にパスワードを変更するには、システム管理者がFNDCPASSユーティリティを実行する必要があります。
このプロファイルには、Self-ServiceユーザーがOracle E-Business Suiteパスワードを変更できるページの場所が格納されます。指定するページでは、APPS_SSO_LOCAL_LOGINプロファイルの値が(SSOではなく)BOTHまたはLOCALになっているユーザーにのみ、パスワード変更を許可する必要があります。
このプロファイルの機能は、次のとおりです。
使用できるのはサイト・レベルのみです(ユーザーに対する個別設定はできません)。
更新できるのはシステム管理者のみです。
デフォルト値は「AppsChangePassword.jsp」です。
このプロファイルは、パスワード変更用のLDAPセルフ・サービス・ユーザー・インタフェースを指します。Oracle E-Business Suite Self-Serviceの「パスワードの変更」ページで、ユーザーのパスワードがLDAPに格納されていると判別された場合は、このプロファイルに格納されている場所にユーザーをリダイレクトできます。
たとえば、パスワードがOracle Internet Directoryに格納されている場合、Oracle Internet DirectoryのDelegated Administration Service(DAS)の「パスワードの変更」ページを、http://<oid_host_name>[:<port>]/oiddas/ui/oracle/ldap/das/mypage/ChgPwdMyPageのように指定できます。
このプロファイルの機能は、次のとおりです。
使用できるのはサイト・レベルのみです(ユーザーに対する個別設定はできません)。
更新できるのはシステム管理者のみです。
このカテゴリのプロファイル・オプションでは、Single Sign-On E-Business Suite環境におけるプロビジョニング(ユーザー・アカウントの自動更新)の実行方法を指定します。
このプロファイルでは、特定のFND_USERアカウントについてプロビジョニングを有効化するかどうかを指定します。FND_USERアカウントに関連付けられているユーザー情報は、ユーザーのAPPS_SSO_LDAP_SYNCプロファイルが「Yes」に設定されている場合にのみ、Oracle Internet Directoryでプロビジョニングされます。
このプロファイルの機能は、次のとおりです。
サイト・レベルとユーザー・レベルで使用できます(ユーザーに対して個別に設定できます)。
システム管理者は、サイト・レベルとユーザー・レベルの両方で設定を変更できます。
エンド・ユーザーが設定を変更できるのは、ユーザー・レベル(「アカウント設定」ページから)のみです。
サイト・レベルのデフォルト値は「Yes」です。
SYSADMINアカウントとGUESTアカウントのユーザー・レベルの値は、「No」に設定されます。
サイト・レベルの値は、各ユーザーがユーザー・レベルの値を定義しなくてもよいように提供されます。重要な特性は、次のとおりです。
サイト・レベルの値を(「Yes」または「No」に)設定すると、プロビジョニングはグローバルに有効化(または無効化)されません。
Oracle Internet Directoryでのプロビジョニングは最も一般的な配置シナリオであるため、このプロファイルのサイト・レベルのデフォルト値は出荷時に「Yes」になっています。
プロビジョニング対象外のユーザー・アカウントの場合は、このプロファイルをユーザー・レベルの値「No」で上書きする必要があります。
新規ユーザーは、このプロファイル値に関係なく、E-BusinessとOracle Internet Directoryの間で(プロビジョニング・プロファイルに基づいて)プロビジョニングされます。このプロファイルにより決定されるのは、既存ユーザーの変更内容をE-BusinessとOracle Internet Directoryの間でプロビジョニングするかどうかのみです。
既存ユーザーのAPPS_SSO_LOCAL_LOGINプロファイルの値が「LOCAL」の場合は、このプロファイル値に関係なくユーザー変更の内容はプロビジョニングされません。プロファイルAPPS_SSO_LOCAL_LOGINは、ユーザー・レベルのAPPS_SSO_LDAP_SYNCよりも優先されます。
単一のエンタープライズ・ユーザー・アカウントを複数のOracle E-Business Suite(FND_USER)ユーザー・アカウントにリンクすると、一方のアプリケーションのデータにより他方のアプリケーションのデータが上書きされるなど、望ましくない結果を生じる可能性があります。したがって、最初のFND_USERアカウントがリンクされると、それ以降に同じエンタープライズ・アカウントにリンクされる全アカウントについては、APPS_SSO_LDAP_SYNCユーザー・レベル・プロファイル値が「No」に設定されます。このプロファイルのユーザー・レベル値をそれでも変更する必要のあるユーザーは、「シングル・サインオン・アカウント設定」ページを使用して変更できます。
このプロファイルでは、Oracle Internet Directoryで作成されたユーザーをE-Businessで自動的に作成し、指定のE-Businessインスタンスにサブスクライブするかどうかを指定します。このプロファイルを有効化すると、Oracle Internet Directoryで作成されたユーザーの自動サブスクリプションを許可できます。
このプロファイルの機能は、次のとおりです。
使用できるのはサイト・レベルのみです。
システム管理者は、設定をサイト・レベルで変更できます。
サイト・レベルのデフォルト値は「使用不可」です。
サイト・レベルの値は、各ユーザーがユーザー・レベルの値を定義しなくてもよいように提供されます。重要な特性は、次のとおりです。
通常、Oracle Internet Directoryでは絶えず様々なソースから多数のユーザーが作成されるため、このプロファイルのサイト・レベルのデフォルト値は出荷時には「使用不可」になっています。
プロファイル「アプリケーションSSO可能OID ID追加イベント」の値が「使用可能」の場合、Oracle Internet Directoryで作成されたユーザーは自動的に、1) E-Businessで作成され、2) E-Businessインスタンスにサブスクライブされます。
プロファイル「アプリケーションSSO可能OID ID追加イベント」の値が「使用不可」の場合、Oracle Internet Directoryで作成されたユーザーは自動的にE-Businessで作成されます。E-Businessで作成(およびサブスクライブ)するには、provsubtoolまたはOIDDASの「サービス受信者の編集」ページを使用して、既存のユーザーを特定のE-Businessインスタンスにサブスクライブしておく必要があります。provsubtoolの詳細は、「provsubtoolを使用した手動サブスクリプション管理」を参照してください。
このプロファイルはOracle内部専用で、顧客は使用しません。
この項では、Oracle E-Business Suiteリリース12インスタンスを、Oracle Internet Directoryリリース10gと統合されたプロビジョニング・アプリケーションとして構成する方法について説明します。目的は、Oracle Internet DirectoryとOracle E-Business Suiteリリース12の間でユーザー情報の同期を保つことです。
Oracle E-Business SuiteとOracle Internet Directoryの間の双方向プロビジョニングは、Oracle Directory Integration Platformを介して構築されます。詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。
このソリューションの主機能は、アカウント作成またはユーザー属性の変更の自動プロビジョニング(システム間での更新)を可能にするプロビジョニング統合サービスです。各Oracle E-Business SuiteインスタンスとOracle Internet Directoryの間のプロビジョニング・プロセスは、プロビジョニング・プロファイルにより制御されます。
Oracle Internet Directoryで行われた変更がアプリケーションのプロビジョニング・プロファイルのイベント・サブスクリプション基準に一致している場合、プロビジョニング統合サービスは、そのアプリケーションに新規の関連データを送信するエージェントとなります。反対方向では、プロビジョニング統合サービスはアプリケーションからの変更を(アプリケーションのプロビジョニング・プロファイルの許可されるイベントの基準に従って)フィルタし、適用可能な変更をOracle Internet Directoryに送信します。
このソリューションのメリットの1つは、配置時の高度な柔軟性にあります。つまり、プロビジョニング・プロファイルには高度なカスタマイズが可能です。プロファイルの構成を実行するには、Oracle Application Server 10gでoidprovtoolを使用する方法と、特定の配置の前提となる値を含んだLDIFテンプレート・ファイルを実装する方法があります。
Oracle E-Business SuiteのSingle Sign-On Interoperability Patchには、多数のサンプル・テンプレート・ファイルが付属しています。
プロファイルを作成する前に、関連するOracle E-Business SuiteインスタンスをOracle Internet Directoryに登録する必要があります。そのためには、Oracle Internet Directoryにインスタンスを表す一意のアプリケーションIDを作成します。
Oracle E-Business Suiteインスタンスは、ディレクトリ情報ツリー(DIT)の“cn=E-Business,cn=Products,cn=OracleContext, <Identity Management Realm>"に作成されます。
作成したアプリケーションID(dnおよびパスワード)を、Oracle E-Business Suiteにも格納する必要があります。アプリケーション管理者は、登録済のアプリケーションIDとパスワードを使用してOracle Internet Directoryに接続し、このアプリケーション・インスタンスとOracle Internet Directoryの間で特定のタスク(プロビジョニング・プロファイル詳細の問合せなど)を実行できることに注意してください。
CREATION、MODIFICATIONおよびDELETIONの各イベントを個別に有効化または無効化できます。現在は、次の4つのイベント・タイプが使用されています。
SUBSCRIPTION_ADD
IDENTITY_ADD
IDENTITY_MODIFY
IDENTITY_DELETE
ここでは各イベント・タイプについて個別に説明します。
SUBSCRIPTION_ADD
このイベントは、Oracle Internet DirectoryまたはOracle E-Business Suiteリリース12により生成されます。
Oracle Internet Directoryでは、登録された各Oracle E-Businessインスタンスのサブスクリプション・リストが保守されます。このサブスクリプション・リストでは、関連Oracle E-Business Suiteインスタンスへのアクセスを必要とする、すべてのSingle Sign-Onユーザー・アカウントのリストが保守されます。
Oracle Internet Directoryと関連Oracle E-Business Suiteインスタンスでは、サブスクリプション・リストの正確さが共同で保守されます。
Oracle Internet DirectoryでSingle Sign-Onアカウントが作成され、Oracle E-Business Suiteインスタンスのサブスクリプション・リストに追加された後(方法については「Provsubtoolを使用した手動サブスクリプション管理」を参照)、Oracle Internet DirectoryでSUBSCRIPTION_ADDイベントが生成されます。このイベントがOracle Internet DirectoryでOracle E-Business Suite方向へと有効化されている場合は、新規アプリケーション・アカウントが作成されてシングル・サインオン・アカウントにリンクされます。
Oracle Internet Directoryは、Oracle E-Business SuiteインスタンスからIDENTITY_ADDイベント(後述)を受信すると、ユーザーをそのOracle E-Business Suiteインスタンスのサブスクリプション・リストに追加します。
Oracle E-Business Suiteリリース12インスタンスでリンク・オンザフライが実行されると、Oracle E-Business SuiteインスタンスからOracle Internet DirectoryにSUBSCRIPTION_ADDイベントが送信されます。
Oracle Internet Directoryでは、IDENTITY_MODIFY(後述)イベントの生成時に、すべての登録済Oracle E-Business Suiteリリース12インスタンスのサブスクリプション・リストがチェックされ、変更されたユーザーがサブスクリプション・リストに含まれている場合にのみ、イベントがOracle E-Business Suiteリリース12インスタンスに送信されます。
IDENTITY_ADD
このイベントは、新規ユーザーの作成時にOracle E-Business SuiteまたはOracle Internet Directoryにより生成されます。このイベントがOracle E-Business SuiteからOracle Internet Directoryという方向で有効化されている場合、Oracle Internet Directoryはこのイベントを受信すると、Oracle Internet DirectoryにOracle Single Sign-Onアカウントを作成し、それをOracle E-Business Suiteリリース12インスタンスのサブスクリプション・リストに追加します。これに対して、このイベントがOracle Internet DirectoryからE-Business Suiteという方向で有効化されており、プロファイル「アプリケーションSSO可能OID ID追加イベント」が「使用可能」に設定されている場合は、Oracle Internet Directoryにより生成されたSUBSCRIPTION_ADDイベントと同じ結果になります。
IDENTITY_MODIFY
このイベントは、ユーザー・アカウントの変更時にOracle Internet DirectoryまたはOracle E-Business Suiteにより生成されます。このイベントがいずれかの方向で有効化されている場合、受信側システムはそのシステム上のアカウントに変更内容を適用します。
IDENTITY_DELETE
このイベントは、Oracle Single Sign-Onアカウントの削除時にOracle Internet Directoryにより生成されます。このイベントがOracle Internet DirectoryからOracle E-Business Suiteという方向で有効化されている場合、Oracle E-Business Suiteリリース12インスタンスは、このイベントを受信した後、Oracle Single Sign-Onアカウントにリンクされているアプリケーション・アカウントに終了日を設定します。
プロビジョニング方向
各イベントは、次の方向で有効化できます。
一方向
Oracle Internet DirectoryからOracle E-Business Suiteへの一方向のみ
Oracle E-Business SuiteからOracle Internet Directoryへの一方向のみ
双方向
Oracle Internet DirectoryからOracle E-Business Suiteへ
Oracle E-Business SuiteからOracle Internet Directoryへ
属性リスト
プロビジョニングされる属性のリストは、必要に応じて方向ごと、イベント・タイプごとにカスタマイズできます(属性リストから属性を削除すると、その属性は送信不可になります)。各方向で現在サポートされている属性のリストと、Oracle Internet Directory属性とアプリケーション表および列名のマッピングについては、「サポートされている属性」を参照してください。
ポーリング間隔
デフォルトでは、Oracle Internet Directoryからプロビジョニング・イベントが60秒間隔で送信されます。この値を増減させるには、oidprovtoolを使用する方法と、プロビジョニング・テンプレート(後述)でorclodipprofileschedule属性の値を編集する方法があります。ポーリング間隔は慎重に設定する必要があります。プロビジョニング頻度がサイト・アクティビティに十分でなければ操作に影響する可能性がありますが、必要以上に頻度が高いと不要なネットワーク通信量が発生する結果となります。
プロファイルについて構成可能な変数の値を決定した後、Oracle Internet Directoryでプロファイルを作成するには2つの方法があります。第1のオプションは、oidProvToolです(『Oracle Internet Directory管理者ガイド』の付録Aを参照)。このツールは、Oracle Application Server 10gインスタンスで起動する必要があります。第2のオプションは、構成の選択内容を取得するLDIFテンプレートをインスタンス化することです。インスタンス化したテンプレートは、ldapmodifyコマンドを使用してOracle Internet Directoryにロードできます。この方法は、Oracle E-Business Suiteで使用するOracle Application Server 10gインスタンスでも実行できます。ここではテンプレートを使用する方法を説明します。
プロビジョニング・テンプレートからのプロファイル作成
プロビジョニング・プロファイルを作成する手順は、次のとおりです。
選択した配置に基づいて適切なテンプレートを作成します。付属のサンプル・テンプレートを例および出発点として使用できます。
配置固有の値を指定してテンプレートをインスタンス化し、LDIFファイルを生成します。
LDIFファイルをOracle Internet Directoryにロードします。
LDIFファイルがロードされると、Oracle Internet Directoryにより、プロファイルが作成されたOracle E-Business Suiteインスタンスとの間で、プロビジョニング・イベントの送信とポーリングが開始されます。プロビジョニング・サービスにより新規プロファイルの追加または既存プロファイルの変更が検出されるまでに、約2分かかります。その後、新規プロファイルまたは更新されたプロファイルがサービスにより読み取られます。
Oracle E-Business Suite Single Sign-On Consolidated Patchsetには、最も一般的な配置シナリオに基づいてプロビジョニング・プロファイルを作成するための、4つのサンプル・テンプレートが含まれています。
ProvAppsToOID.tmp: CREATION、MODIFICATIONおよびDELETIONイベントを使用し、Oracle Internet Directory(INBOUND)プロファイルにOracle E-Business Suiteを作成するためのテンプレート。
ProvOIDToApps.tmp: CREATION、MODIFICATIONおよびDELETIONイベントを使用し、Oracle E-Business Suite(OUTBOUND)プロファイルにOracle Internet Directoryを作成するためのテンプレート。
ProvBiDirection.tmp: CREATION、MODIFICATIONおよびDELETIONイベントを使用し、双方向(BOTH)プロビジョニング・プロファイルを作成するためのテンプレート。
ProvBiDiNoCreation.tmp: MODIFICATIONイベントとDELETIONイベントのみを使用し、双方向プロファイルを作成するためのテンプレート。
適切な使用テンプレートを決定するために、Oracle E-Business Suite管理者は、プロビジョニング方向と各方向で有効化する必要のあるプロビジョニング・イベントを決定する必要があります。この項で説明する配置シナリオを参考として使用できます。
たとえば、Oracle E-Business SuiteインスタンスがOracle Internet Directoryにイベントを送信するのみでよい場合は、INBOUNDプロビジョニング・プロファイルを作成する必要があります。Oracle E-Business SuiteインスタンスがOracle Internet Directoryからプロビジョニング・イベントを受信するのみでよい場合は、OUTBOUNDプロファイルを作成する必要があります。
プロビジョニング・イベントを双方向に送信する必要がある場合は、双方向プロファイル(BOTH)を作成します。
可能な場合は、E-Business Suiteに用意されているベース・プロビジョニング・プロファイル・テンプレートを使用することをお薦めします。オラクル社は、使用可能なOracleリソースと専門知識に従って、標準的なプロビジョニング・プロファイル・テンプレートのカスタマイズをサポートするために最善の努力を傾けています。特定のカスタマイズ環境のあらゆる側面を再現することは困難なため、特定のカスタマイズの要件と問題点については、Oracle Consultingに問い合せてください。機能の追加が必要な場合は、この統合の将来のリリース用に拡張の要求として記録することができます。
サンプル・テンプレート・ファイル
双方向プロビジョニング・プロファイル用の次のテンプレート・ファイルには、テンプレート・ファイルの構造とその他の構成オプションを理解しやすいように、コメントと空白が追加されています。
# This section contains the MAIN profile entry.
#
dn: orclODIPProfileName=%s_GUID_IdentityRealm%_%s_GUID_Application%, cn=Provisioning Profiles, cn=Changelog Subscriber, cn=Oracle Internet Directory
# -- DN of the main profile.
#
changetype: add
#
orclodipprovisioningorgguid: %s_GUID_IdentityRealm% -- GUID of the realm DN.
#
orclodipprofileexecgroupid: 0 -- For scalability issues. Not used
# -- by default.
#
orclodipprofileschedule: 60 -- Sets event propagation interval in
# -- seconds.
#
orclodipprofilemaxeventsperschedule: 100 -- Maximum number of events allowed in # -- one schedule.
#
orclodipprofileinterfacename: %PACKAGE_NAME% -- Package in which the procedures are # -- installed.
#
orclversion: 2.0 -- Internal identifier. DO NOT CHANGE.
#
orclstatus: ENABLED -- Used to temporarily enable or disable a profile.
#
orclodipprofileinterfaceconnectinformation: %DBHOST%:%DBLSNRPORT%:%DBSID%:%DBUSER%:%DBPASSWORD% -- Remote database
# -- connection information
#
orclodipprofileinterfacetype: PLSQL -- Interface type, always PLSQL.
orclodipprovisioningappname: %s_AppName% -- Application name of the
# -- Oracle E-Business Suite instance
#
orclodipprovisioningorgname: %s_IdentityRealmName% -- Realm name
#
orclodipprofilename: %s_GUID_IdentityRealm%_%s_GUID_Application% -- Profile name.
#
orclodipprofilemaxretries: 5 -- Maximum retries before giving up as failure.
#
orclodipprofilemaxerrors: 50 -- Maximum errors before giving up as failure.
#
orclodipprofiledebuglevel: 0 -- Specify level of tracing of this profile.
#
orclodipprofilemaxeventsperinvocation: 1 -- Not used at present.
#
orclodipprofileinterfaceversion: 2.0 -- Internal identifier. DO NOT CHANGE.
#
orclodipprovisioningappguid: %s_GUID_Application% -- GUID of the Oracle # -- E-Business Suite Release 12 # -- application DN.
objectclass: top
objectclass: orclODIPProvisioningIntegrationProfileV2
objectclass: orclODIPIntegrationProfile
#
# The following section contains the INBOUND properties of the profile.
# It is a child of the MAIN profile entry.
#
# It is possible to selectively turn the INBOUND capability ON or OFF by modifying
# the “orclstatus” attribute of the INBOUND profile only.
#
# The attribute “orclodipprovisioningeventpermittedoperations” indicates the list of # events allowed for this profile. If the Oracle E-Business Suite instance sends any # other event, it will be rejected. This capability is used by the administrator to
# assign different privileges to the different Oracle E-Business Suite instances. For # example, the profile of the HR instance might be given the privilege to accept
# IDENTITY_ADD/MODIFY/DELETE events, but the Financials instance might not be given
# these privileges. The administrator needs to decide the privileges needed by each
# Oracle E-Business Suite instance, and set up the profile accordingly.
#
# This attribute is meant for INBOUND Events only (multi-valued), and is used to
# define the types of EVENT an application is privileged to send to the Provisioning # Integration Service.
#
# Format:
# Event_Object: Affected Domain:Operation(Attributes,…)
# Example (1) IDENTITY:cn=users,dc=acme,dc=com:ADD(*)
# This means that IDENTITY_ADD event is allowed for the specified domain and all
# attributes are also allowed.
#
# Example (2) IDENTITY:cn=users,dc=acme,dc=com:MODIFY(cn,sn.mail,telephonenumber)
# This means that IDENTITY_MODIFY is allowed only for the attributes in the list.
# Any extra attributes will be silently ignored.
#
# The attribute “orclodipprovisioningeventmappingrules” is used to organize
# categories of Oracle Internet Directory user into separate containers, if this is
# required. Specifically, it maps the type of object received from an application
# with a qualifying filter condition, in order to determine the domain of interest
# for this event. It is a multi-valued attribute, for use with INBOUND events only.
#
# Format:
# OBJECT_TYPE: Filter condition: Domain Of Interest
# Multiple rules are allowed.
#
# Example 1
# FND:cn=usersdc=us,dc=oracle,dc=com
# This means that if the object type received is “FND”, the event is meant for the
# domain “cn=users,dc=us,dc=oracle,dc=com”.
#
# Example 2
# EMP:l=AMERICA:l=AMER,cn=users,dc=acme,dc=com
# This means that if the object type received is “EMP”, and the event has the
# attribute l (locality) # and its value is “AMERICA” , the event is meant for the
# domain “l=AMER,cn=users,dc=acme,dc=com”.
#
dn: cn=ApplicationToOID,
orclODIPProfileName=%s_GUID_IdentityRealm%_%s_GUID_Application%,cn=Provisioning Profiles, cn=Changelog Subscriber, cn=Oracle Internet Directory
# -- DN of the INBOUND profile
changetype: add
orclodipprovisioningeventpermittedoperations:
IDENTITY:%s_IdentityRealm%:ADD(cn,sn,mail,userpassword,description)
# -- Attributes allowed for IDENTITY_ADD event
#
orclodipprovisioningeventpermittedoperations:
IDENTITY:%s_IdentityRealm%:MODIFY(cn,sn,mail,userpassword,description)
# -- Attributes allowed for IDENTITY_MODIFY event
#
orclodipprovisioningeventpermittedoperations:
IDENTITY:%s_IdentityRealm%:DELETE
# -- IDENTITY_DELETE event
#
orclodipprovisioningeventpermittedoperations:
SUBSCRIPTION:%s_IdentityRealm%:ADD(*)
# -- SUBSCRIPTION_ADD event
#
orclodipprovisioningeventpermittedoperations: SUBSCRIPTION:%s_IdentityRealm%:MODIFY(*)
# –- NOT USED
#
orclodipprovisioningeventpermittedoperations:
SUBSCRIPTION:%s_IdentityRealm%:DELETE
# -- NOT USED
#
orclstatus: ENABLE -- Used to temporarily enable or disable the
# -- INBOUND profile.
#
objectclass: top
objectclass: orclODIPProvisioningIntegrationInBoundProfileV2
orclodipprofilelastappliedappeventid: 0
orclodipprovisioningeventmappingrules: FND::cn=users,%s_IdentityRealm%
orclodipprovisioningeventmappingrules: HR::cn=users,%s_IdentityRealm%
orclodipprovisioningeventmappingrules: TCA::cn=users,%s_IdentityRealm%
orclodipprovisioningappguid: %s_GUID_Application%
cn: ApplicationToOID
#
# The following section contains the OUTBOUND properties of the profile.
# Like the INBOUND section, it is a child of the MAIN profile entry.
#
# It is possible to selectively turn the OUTBOUND capability ON or OFF by modifying
# the “orclstatus” attribute of the OUTBOUND profile only.
#
# The attribute “orclodipprovisioningeventsubscription” lists the events and
# attributes for this profile. It is for use with multi-valued OUTBOUND events for
# which the DIP server should send notification to this application. Oracle Internet # Directory will transfer only those events and attributes specified in the profile. # This attribute is for use by the administrator.
#
# The format of this string is:
# "[USER]GROUP]:[Domain of interest>]:[DELETE]ADD]MODIFY(<comma-separated list of
# attributes>)]"
#
# Multiple values may be specified by listing the parameter multiple times, each with # a different value. There are no default values.
#
dn: cn=OIDToApplication, orclODIPProfileName=%s_GUID_IdentityRealm%_%s_GUID_Application%,cn=Provisioning Profiles, cn=Changelog Subscriber, cn=Oracle Internet Directory
# -- DN of the OUTBOUND profile
changetype: add
orclsubscriberdisable: 0
orclodipprovisioningeventsubscription: IDENTITY:%s_IdentityRealm%:ADD(cn,sn,mail,userpassword,description)
orclodipprovisioningeventsubscription: IDENTITY:%s_IdentityRealm%:MODIFY(cn,sn,mail,userpassword,description)
orclodipprovisioningeventsubscription: IDENTITY:%s_IdentityRealm%:DELETE
orclodipprovisioningeventsubscription: SUBSCRIPTION:%s_IdentityRealm%:ADD(*)
orclodipprovisioningeventsubscription: SUBSCRIPTION:%s_IdentityRealm%:MODIFY(*)
orclodipprovisioningeventsubscription: SUBSCRIPTION:%s_IdentityRealm%:DELETE
orcllastappliedchangenumber: %s_LastChange% -- Event number. All events up to this
# -- number have already been sent.
orclodipprovisioningappguid: %s_GUID_Application%
orclstatus: ENABLED
objectclass: top
objectclass: orclODIPProvisioningIntegrationOutBoundProfileV2
objectclass: orclChangeSubscriber
cn: OIDToApplication
プロビジョニング・プロセスのモニター・タスクや他の管理タスクは、通常、Oracle Internet Directoryシステム管理者が行います。詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。
メインDIPログ・ファイルは、$ORACLE_HOME/ldap/log/odisrv<instance number>.logディレクトリにあります。<instance number>は一意の整数ID(1など)です。このIDは、システム管理者がDIPサーバーの起動に使用するoidctlコマンドラインの一部としてインスタンス・パラメータを指定するときに割り当てます。
プロビジョニング・プロファイルのログは、$ORACLE_HOME/ldap/odi/logディレクトリにあります。各ログ・ファイル名の書式は<ApplicationName>_<RealmName>_[I/E].[trc/aud]です。
各項目の意味は、次のとおりです。
I = INBOUNDプロビジョニング・イベント(Oracle E-Business SuiteからOracle Internet Directoryへ)。
E = OUTBOUNDプロビジョニング・イベント(Oracle Internet DirectoryからOracle E-Business Suiteへ)。
.trc = トレース・ファイル。このファイルのサイズは、約10MBまで大きくなります。最大ファイル・サイズに達すると、現行のトレース・ファイルのバックアップが作成(およびタイムスタンプが追加)され、新規のトレース・ファイルが始まります。古いトレース・ファイルは、すべて同じディレクトリに保持されます。
.aud = 監査ファイル。このファイルには、プロファイルの作成時以降に発生したイベントがすべて記録されるため、継続的に大きくなります。そのため、このファイルの定期的なアーカイブが必要です。システム管理者は、監査ファイルのバックアップおよびアーカイブ・ポリシーを設定する必要があります。そのためには、プロファイルを一時的に無効化し、監査ファイルをアーカイブしてから、プロファイルを再び有効化します。アーカイブが不要な場合は、単に古い監査ファイルを削除できます。
注意: 詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。
oidProvToolを使用します。このツールの使用方法は、『Oracle Internet Directory管理者ガイド』を参照してください。
プロビジョニング・プロファイルのプロパティを変更する場合は、次の手順を実行する必要があります。
oidProvToolを使用して既存のプロファイルを削除します。
oidProvToolを使用して、現行の要件を満たす新規プロファイルを作成します。
DIPサーバーがプロビジョニング・プロファイル・エントリの変更を検出するまでに、約2分かかります。この間に、新規プロファイル構成エントリが読み取られ、新規構成に基づいてイベントの処理が開始されます。
APPSデータベース・アカウント・パスワードは、特定のE-Business SuiteインスタンスについてOracle Internet Directoryにプロビジョニング・プロファイルを登録する際に使用されます。そのインスタンスのAPPSデータベース・アカウント・パスワードがE-Business SuiteのFNDCPASSユーティリティを使用して変更された場合は、Oracle Internet Directoryのプロビジョニング・プロファイルを新規情報で更新する必要があります。この更新は、Oracle Internet Directoryのoidprovtoolコマンドライン・ユーティリティを使用して実行できます。
このツールのコマンド構文は、次のとおりです。
oidprovtool operation=modify \
ldap_host=<OID Server hostname> ldap_port=<OID Server Port> \
ldap_user_dn="cn=orcladmin" ldap_user_password=<orcladmin Password> \
application_dn="<The LDAP distinguished name of the application>" \
interface_connect_info=<E-Business Suite connect info of the format, host:port:Sid:username:password>
次に例を示します。
oidprovtool operation=modify \
ldap_host=infra30qa ldap_port=3060 \
ldap_user_dn=cn="orcladmin" ldap_user_password=welcome1 \
application_dn="orclApplicationCommonName=ebizqa,cn=EBusiness,cn=Products,cn=OracleContext,dc=us,dc=oracle,dc=com" \
interface_connect_info=ebiz30qa:1521:ebizqa:apps:welcome2
次に出力例を示します。
orclODIPProfileName=EA3EFF8640819A51F0301990304E5D0B_EA960F743D5D7552F0301990304E34B3, cn=Provisioning Profiles, cn=Changelog Subscriber,cn=Oracle Internet Directory
The Provisioning Profile for the Application has been modified.
oidprovtoolユーティリティの詳細は、『Oracle Internet Directory管理者ガイド』の付録Aを参照してください。
E-Business Suiteのシングル・サインオン・プロファイル・オプションの構成によっては、一部のユーザーのサブスクリプションの手動管理が必要になる場合があります。
Oracle Internet Directoryでアプリケーション固有のサブスクリプション・リストを管理するには、provsubtoolコマンドライン・ユーティリティを使用します。このツールを使用できるのは、アプリケーション管理者またはID管理レルム管理者(orcladminなど)です。
$ORACLE_HOME/ldap/odi/bin/provsubtool.orcとして出荷されるツールの実行権限を持っていない場合は、このファイルを$ORACLE_HOME/binにコピーするか、書込み権限と実行権限の両方を持っている他の適切な場所にコピーする必要があります。
このツール固有の用途では次の操作を実行します。
アプリケーション固有のサブスクリプション・リストに対して、一括モードまたはバッチ・モードでユーザーを追加または削除します。
「アプリケーションSSO可能OID ID追加イベント」プロファイル値が「使用不可」の場合に、アプリケーション固有のサブスクリプション・リストにユーザーを追加します。このプロファイルにより、Oracle Internet Directoryで作成されたユーザーの自動サブスクリプションが制御されます。
アプリケーションの特定のサブスクリプション・リストのメンバーシップをリストします。
ファイルから単純ユーザー・ログイン名(ニックネーム属性の値)またはユーザーDNのリストを読み取り、指定された適切なサブスクリプション・リストに対して追加または削除します。
パラメータ名 | 必須 または オプション | デフォルト値 | パラメータの説明 |
---|---|---|---|
LDAP_HOST | オプション | Local host | LDAPサーバーのホスト。 |
LDAP_PORT | オプション | 389 | LDAPサーバーのポート。 |
APP_DN | 必須 | なし | アプリケーションIDのDN(例: orclapplicationcommonname=Financials,cn=EBusiness,cn=Products,cn=OracleContext,<Identity Realm>)。 |
APP_PWD | 必須 | なし | アプリケーションDNのパスワード。 |
REALM_DN | 必須 | なし | ID管理レルムのDN(例: dc=ganseycorp,dc=com)。 |
LIST_NAME | オプション | ACCOUNTS | サブスクリプション・リスト名。デフォルトでは、Oracle E-Business Suiteインスタンス用にACCOUNTSが作成されます。 |
OPERATION | 必須 | なし | ADD、REMOVE、LIST。LISTオプションを指定すると、サブスクリプション・リストの現行メンバーがすべてリストされます。 |
FILE_NAME | オプション | members.lst | ユーザー・リストが単純名またはDNとして含まれているファイル。 |
FILE_TYPE | オプション | 0 | 0 = 単純名 1 = DN |
LOG_FILE | オプション | report.log | 出力ログ・ファイル。コマンドの出力は、パラメータLOG_FILEで指定したファイルに書き込まれます。ファイル名を指定しなければ、デフォルトのreport.logが使用されます。 |
DEBUG | オプション | 0 | デバッグのオン/オフ(0または1)。 |
MAX_ERRORS | オプション | 1000 | この数のエラーが発生すると、操作が異常終了します。エラー数がMAX_ERRORSパラメータで指定した値を(多数のユーザーをバッチで追加する際のバルク操作中に)超えると、コマンドは失敗します。 |
Oracle Internet DirectoryでIDレルムdc=ganseycorp,dc=comについてorclapplicationcommonname=Financials,cn=EBusiness,cn=Products,cn=OracleContext,<Identity Realm>として登録されているFinancials E-Business Suiteインスタンスを考えてみます。
ニックネームjohn.smithを持つユーザーをデフォルトのサブスクリプション・リストACCOUNTSに追加するには、入力ファイル(この場合はデフォルト名members.lstを使用)にjohn.smithという行を追加して、次のコマンドを実行します。
provsubtool ldap_host=LDAP_HOST ldap_port=LDAP_PORT \
app_dn="orclapplicationcommonname=Financials,cn=EBusiness,\
cn=Products,cn=OracleContext,dc=ganseycorp,dc=com" \
realm_dn=”dc=ganseycorp,dc=com”
list_name=ACCOUNTS \
operation=ADD \
file_name=members.lst
file_type=0 \
app_pwd=tea4two
ユーザーを削除するには、単に操作ADDを操作REMOVEに置き換えて、同じ手順に従います。
provsubtool ldap_host=LDAP_HOST ldap_port=LDAP_PORT \
app_dn="orclapplicationcommonname=Financials,cn=EBusiness,cn=Products,cn=OracleContext,dc=ganseycorp,dc=com" \
realm_dn=”dc=ganseycorp,dc=com”
list_name=ACCOUNTS \
operation=REMOVE \
file_name=members.lst
file_type=0 \
app_pwd=tea4two
Oracle E-Business Suiteリリース12のユーザー移行ユーティリティには、次のツールが組み込まれています。
Oracle E-Business Suiteリリース12から中間LDIFファイルに既存のアプリケーション・アカウントをエクスポートするためのツール(AppsUserExport)。このツールはコマンドラインから起動します。
LDIFファイルを読み取り、必要に応じて新規Oracle E-Business Suiteアプリケーション・アカウントを作成してデータをインポートするためのツール(LDAPUserImport)。このツールはコマンドラインから起動します。LDAPUserImportは、既存のOracle Internet DirectoryアカウントをOracle E-Business Suiteリリース12に一括移行できるように用意されています。
Oracle E-Business Suiteリリース12とOracle Internet Directoryの間の移行プロセスとこれらのツールの使用方法の詳細は、次の項を参照してください。
Oracle E-Business Suite管理者はAppsUserExportを使用して、選択した一連のアプリケーション・アカウントを、Oracle E-Business Suiteリリース12システム固有のユーザー・ディレクトリ(FND_USER)から中間LDIFファイルにエクスポートできます。次に、Oracle Internet Directory管理者が、Oracle Internet Directoryについて選択した配置に基づき、Oracle Internet Directoryのldifmigratorユーティリティを使用して、この中間LDIFファイルを最終LDIFファイルに変換します。次に、Oracle Internet Directory管理者が最終LDIFファイルをOracle Internet Directoryにロードします。
移行プロセス全体と中間LDIFファイルの形式の詳細は、『Oracle Internet Directory管理者ガイド』の他のディレクトリからのデータの移行に関する項を参照してください。ldifmigratorツールについては、『Oracle Internet Directory管理者ガイド』の付録A「LDIFとコマンドライン・ツールの構文」を参照してください。次の項では、アプリケーション固有のタスクを中心に説明します。
タスク1: 中間LDIFファイルへのアプリケーション・アカウントのエクスポート
アプリケーション管理者は、エクスポートするアカウントを決定した後、次のプロファイルを使用してアカウントを移行するかどうかを指定できます。
アプリケーションSSOログイン・タイプ(APPS_SSO_LOCAL_LOGIN): アカウントのユーザー・レベルのプロファイル値が「LOCAL」(ローカル・アカウント)の場合、アカウントは移行されません。
アプリケーションSSO LDAP同期化(APPS_SSO_LDAP_SYNC): アカウントのユーザー・レベルのプロファイル値が「No」の場合、つまりOracle Internet Directoryと同期化しないようにマークされている場合、アカウントは移行されません。
Oracle E-Business Suiteには、SYSADMINやGUESTなどの標準アカウントが多数用意されています。これらのアカウントは移行しないでください。これを規定するために、SYSADMINおよびGUESTアカウントは「アプリケーションSSOログイン・タイプ」(APPS_SSO_LOCAL_LOGIN)が「LOCAL」、「アプリケーションSSO LDAP同期化」(APPS_SSO_LDAP_SYNC)が「No」に設定された状態で事前シードされています。管理者は、他に移行対象外にする必要のあるアカウント、特にuser_idが10未満のアカウントがあるかどうかをチェックする必要があります。user_idをチェックするには、user_id<10のFND_USERからuser_nameを選択します。これらの標準アカウントを使用できるのはローカル・ログインのみで、Single Sign-Onへのログインには使用できません。
AppsUserExportを使用したユーザー情報の抽出
AppsUserExportツールを使用して、アプリケーション・ユーザー情報を中間LDIFファイルに抽出します。このツールはコマンドラインから起動します。
注意: E-Business SuiteからOracle Internet Directoryに移行する属性のリストは、現在、「サポートされている属性」に示す属性に制限されています。
AppsUserExportツールを起動するには、環境が正しく設定されていること($APPL_TOP/javaがCLASSPATH環境変数に含まれていること)を確認し、次の構文を使用します。必要に応じて同じコマンドラインにすべてのパラメータを入力できることに注意してください。次の例では、わかりやすいように各パラメータが(UNIXの継続文字「\」を使用して)個別の行に示されています。
java oracle.apps.fnd.oid.AppsUserExport \ [-v]
–dbc <dbcfile> \
-o <outputfile> \
-pwd <apps schema pwd> \
-g
[-l <logfile>]
各項目の意味は、次のとおりです。
[-v]: 詳細モードで実行します。
<dbcfile>: Applicationsのdbcfileへのフルパスです。
<outputfile>: 中間LDIFファイルです。
<apps schema pwd>: Appsスキーマのパスワードです。
-g: ユーザーのGUIDを作成してOIDにコピーします。
<logfile>: ログ・ファイル(デフォルトは<outputfile>.log)です。
次に例を示します。
java oracle.apps.fnd.oid.AppsUserExport \
-v \
-dbc $FND_TOP/secure/myebiz.dbc \
-o users.txt \
-pwd welcome \
-g \
-l users.log
警告: 生成されたデータ・ファイルとログ・ファイルには、ユーザーのアカウントの開始日と終了日などの機密情報が含まれている場合があるため、適切に保護する必要があります。
タスク2: 中間LDIFファイルから最終LDIFファイルへの変換
データをOracle Internet Directoryにロードする前に、Oracle Internet Directory管理者は次のことを確認する必要があります。
抽出したデータ・ファイルをOracle E-Business SuiteインスタンスからOracle Internet Directoryにコピーしたこと。
Oracle E-Business Suiteインスタンス用のプロビジョニング・プロファイルが設定されており、プロファイル・モードがOUTBOUNDまたはBOTHの場合(Oracle Internet DirectoryからOracle E-Business Suiteへのプロビジョニング・イベントを有効化している場合)、移行プロセス中にプロファイルを一時的に無効化する必要があります。
中間LDIFファイルを最終LDIF形式に変換する手順は、次のとおりです。
oidprovtoolでoperation=DISABLEを指定して、移行開始前にプロファイルを無効化します。次に例を示します。
oidprovtool operation=disable \
ldap_host=beta.ganseycorp.com \
ldap_port=3060 \
ldap_user_dn=cn=orcladmin \
ldap_user_password=l1ghth0use \
application_dn=”orclApplicationCommonName=beta,cn=EBusiness,cn=Products,cn=OracleContext,dc=us,dc=ganseycorp,dc=com” \
profile_mode=BOTH
重要: application_dnパラメータでは、カンマの後に空白を挿入しないでください。
移行完了後に、プロファイルのlastchangenumber属性を更新します。
まず、ldapsearchコマンドを使用してOracle Internet Directoryの現行の最終変更番号を検索します。
$ORACLE_HOME/bin/ldapsearch -h <host> -p <port> -D <bindDN> -w <bindDN pwd> -s base -b "" "objectclass=*" lastchangenumber$ORACLE_HOME/bin/ldapsearch –h <host> \
次に、oidprovtoolコマンドを使用して、lastchangenumber属性を前述の手順で検出した番号に更新します。
oidprovtool operation=MODIFY \
ldap_host=<ldap_host> \
ldap_port=<ldap_port> \
ldap_user_dn=<user to connect to LDAP> \
ldap_user_password=<user password> \
application_dn=<dn of the registered app for which the profile is modified> \
orclLastAppliedChangeNumber=<n>
次に例を示します。
oidprovtool operation=MODIFY \
ldap_host=beta.ganseycorp.com \
ldap_port=3060 \
ldap_user_dn=cn=orcladmin \
ldap_user_password=l1ghth0use \ application_dn=”orclApplicationCommonName=beta,cn=EBusiness,cn=Products,cn=OracleContext,dc=ganseycorp,dc=com” \
orclLastAppliedChangeNumber=100
oidprovtoolでoperation=ENABLEを指定して、プロファイルを有効化します。
AppsUserExportにより作成された中間LDIFファイルには、Oracle Internet Directory管理者がOracle Internet Directoryのldifmigratorユーティリティを使用してインスタンス化する必要のある2つの変数が含まれています。
s_UserContainerDN: すべてのユーザーが追加されるエントリのDN(cn=users,dc=us,dc=oracle,dc=comなど)
s_UserNicknameAttribute: サブスクライバでユーザー・エントリに使用されるニックネーム属性(uidなど)
次に例を示します。
ldifmigrator "input_file=data.txt" \
"output_file=data.ldif" \
"s_UserContainerDN=cn=users,dc=us,dc=oracle,dc=com" \
"s_UserNicknameAttribute=uid"
重要: 前述の変数名には大/小文字区別があることに注意してください。
Oracle Internet Directoryコマンドライン・ツール(oidprovtoolやldapsearchなど)の実行中に問題が発生した場合の詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。
タスク3: Oracle Internet Directoryへの最終LDIFファイルのロード
最終LDIFファイルの生成が完了すると、Oracle Internet Directoryのbulkloadツールを使用してユーザー・データをOracle Internet Directoryにロードできます。この項では、このタスクの実行に必要な最小限のコマンドライン・オプションについて説明しますが、さらに高度な要件がある場合は他にも使用可能なオプションがあります。
注意: このツールの使用方法の詳細は、『Oracle Internet Directory管理者ガイド』の一括操作用コマンドライン・ツールの構文に関する項を参照してください。
bulkload.shを実行してバルクロードを実行する前に、実行中のOIDプロセス(odisrvなど)がないことを確認する必要があります。
次のコマンドを入力して、すべてのOIDプロセスを停止できます。
$ORACLE_HOME/opmn/bin/opmnctl stopall
OIDパスワードは、インスタンスおよびorcladminのパスワードと同じである必要があることに注意してください。ユーティリティの実行時には、パスワード・プロンプトが表示されます。
OIDプロセスがoidmonコマンドまたはoidctlコマンドを使用して手動で開始された場合は、後述の適切な手動手順に従って、プロセスが停止されたことを確認する必要があります。
UNIXの場合は、コマンド$ORACLE_HOME/ldap/bin/ldapcheckを実行します。
Windowsの場合は、「タスク マネージャ」を使用してプロセスを表示し、必要に応じて停止します。
まだ実行中の他のOIDプロセスが見つかった場合は、次のコマンドを使用して手動で停止できます。
oidctl connect=<SID> server=<servername> instance=<#> stop
バルクロード対象のLDIFファイルに含まれるユーザー・ネームスペースは、一意でオーバーラップしていない必要があります。ユーザーをOIDにバルクロードする際に衝突(重複ユーザー)が存在する可能性があります。衝突が発生するのは、単一のOIDインスタンスに複数のソースを統合する場合、または同じLDIFファイルに対してbulkloadユーティリティを2度以上実行する場合です。様々な問題の原因となるため、衝突が発生しないことを次の手順で確認してください。
-checkおよび-generateオプションを指定してbulkloadユーティリティを実行し、重複ユーザーが存在しないことを確認します。次に例を示します。
bulkload.sh –connect <connect string> -check –generate <fully qualified path to LDIF file>
ログ・ファイルで重複ユーザーの有無をチェックします。
ログ・ファイルが重複ユーザーの存在を示している場合は、そのユーザーを手動でLDIFファイルから削除します。
手順1を再実行して、重複がすべて正常に削除されたことを確認します。
すべての重複が削除された後、-loadオプションを指定してbulkloadユーティリティを実行し、ユーザーをロードします。
次に例を示します。
bulkload.sh –connect <connect string> –load <fully qualified path to LDIF file>
複数のLDIFファイルのインポート
bulkloadを使用すると、複数のLDIFファイルをインポートできます。最も一般的な使用例は、異なるAppsインスタンスから複数のLDIFファイルが生成される場合です。各Appsインスタンスのユーザー情報を1つのOracle Internet Directoryに連結すると、複数のユーザー・リポジトリの管理に伴うシステム管理上のオーバーヘッドを軽減できる可能性があります。
各AppsインスタンスのLDIFファイルからのユーザー・ネームスペースは、一意でオーバーラップしていない必要があります。たとえば、AppsインスタンスAからインポートするLDIFファイルに存在するJohn.Brownは、AppsインスタンスBからインポートするLDIFファイルには存在できません。これらのユーザー名が同じユーザーに対応していない場合は、AppsインスタンスBのユーザー名を更新する必要があります。これにより、2人のユーザーが区別され、重複がなくなります。それ以外の場合は、インスタンスBのLDIFファイルから重複を削除する必要があります。
AppsインスタンスAのLDIFファイルをOIDにバルクロードした後、AppsインスタンスBのLDIFファイルに対して同じ手順を実行する必要があります。LDIFファイルから重複ユーザーを削除することで、AppsインスタンスBからOIDに一意のユーザーのみをバルクロードします。第3のAppsインスタンスをバルクロードする場合は、同じ手順を実行します。LDIFファイルから重複ユーザーが削除された後、AppsインスタンスCに対して一意のユーザーのみがOIDにバルクロードされます。
代替ロード方法
データが少量の場合は、bulkloadツールのかわりにldapaddツールを使用できます。このツールの使用方法の詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。例: ldapadd -h <ldaphost> -p <ldapport> -D "cn=orcladmin" -w <password> -f data.ldif -v
ヒント: この2つのツールの主な違いは、bulkloadは多数(数10万など)のユーザーID変更を高速処理できるように最適化されているのに対して、ldapaddは少数の変更を1つずつ行うように意図していることです。
中間LDIFファイルのサンプル
次のサンプルは、中間LDIFファイルから抜粋したものです。
# user name = 001
dn:: Y249MDAxLCAlc19Vc2VyQ29udGFpbmVyRE4l
sn:: MDAx
%s_UserNicknameAttribute%:: MDAx
description:: VGVzdGluZyBPSUQgc3luYw==
mail:: MDAxQG9yYWNsZS5jb20=
facsimileTelephoneNumber:: NjUwLTU1NS0xMTEx
orclActiveStartDate: 2003040316242131
orclIsEnabled: ENABLED
userPassword: {MD5}IB8AtcpdZaHBGOXjJDFRTA==
orclGuid: B9A5009B1603A500E030028A9F9E7C98
objectClass: inetOrgPerson
objectClass: orclUserV2
パスワードとバルクロード
Oracle Internet Directoryに格納されたパスワードには、大/小文字区別があります。以前のリリースのOracle E-Business Suiteリリース12でサポートされていたのは大/小文字区別のないパスワードのみで、この種のパスワードはOracle Internet Directoryに小文字で移行されます。E-Business Suiteで大/小文字が併用されているパスワードは、大/小文字区別を保持したままで移行されます。
LDIFファイル内のパスワードは、MD5ハッシュ方式を使用して暗号化されます。LDIFファイルをOIDにインポートする間にエラーが発生すると、OIDで使用されているハッシュ方式がチェックされます。MD5でない場合は、ODMを使用してインポート・ハッシュ方式をMD5に再設定してから、LDIFファイルをインポートしてみてください。
E-Business SuiteからユーザーをエクスポートしてLDIFファイルを作成すると、パスワードは暗号化されるため、バルク・ローダーはパスワードがOIDのパスワード・ポリシーに従っているかどうかを確認できません。ユーザーがOracle Internet Directoryにバルクロードされる場合、パスワード・ポリシーは規定されません。
タスク4: バルクロードしたユーザー用のサブスクリプションの作成
bulkloadツールによりユーザーが親E-Businessインスタンスに自動的にサブスクライブされることはありません。バルクロードしたユーザー用のサブスクリプションを作成するには、E-Businessデータベースで次のSQL文を実行します。
select user_name from FND_USER where
FND_profile.VALUE_SPECIFIC('APPS_SSO_LOCAL_LOGIN', user_id)<>'LOCAL' and
FND_profile.VALUE_SPECIFIC('APPS_SSO_LDAP_SYNC', user_id)='Y'
さらに、SQLクライアント機能を使用して結果をtxtファイルに保存します。たとえば、SQLナビゲータでは、引用符に<none>を使用し、.lst拡張子を持つ区切り付きファイルに結果を保存できます。provsubtoolを実行し、これらのユーザーをサブスクリプション・リストに追加する方法の詳細は、「Provsubtoolを使用した手動サブスクリプション管理」を参照してください。
LDAPUserImportコマンドライン・ユーティリティは、Oracle Internet Directoryから生成されたLDIFファイルを使用して、適切なデータをE-Business Suiteスキーマに挿入します。このユーティリティを使用すると、Oracle Internet DirectoryからOracle E-Business Suiteに既存のアカウントを一括移行できます。LDAPUserImportにより、FNDスキーマとTCAスキーマの両方が更新されます。
警告: ユーザー・アカウントと関連情報をE-Business Suiteにインポートするのは、長時間かかる可能性のあるリソース集中型の操作です。これは、プロセスで大量のビジネス・イベントとDML文が発行されるためです。
タスク1: ldifwriteを使用したLDIFファイルへのOracle Internet Directoryユーザーのエクスポート
Oracle Internet Directoryのldifwriteコマンドライン・ユーティリティを使用すると、LDAPUserImportコマンドライン・ユーティリティを介してE-Business Suiteスキーマにロード可能なLDIFファイルを作成できます。
ldifwriteの構文と使用方法の詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。
一般的なコマンド構文は、次のとおりです。
ldifwrite –c <db connect string> -b <base dn> -f <LDIF file>
例: ldifwrite -c asdb -b "cn=Users,dc=us,dc=oracle,dc=com" -f output.ldif
注意: 次のタスク2に進むまでは、出力ファイルoutput.ldifを変更しないでください。
タスク2: LDAPUserImportを使用したOracle E-Business SuiteへのLDAPユーザーのインポート
LDAPUserImportツールは、次の手順でコマンドラインから実行します。
注意: Oracle Internet DirectoryからE-Business Suiteに移行する属性のリストは、後述の「サポートされている属性」に示す属性に制限されています。
環境が適切に設定されていることを確認します。$APPL_TOP/javaがCLASSPATH環境変数に含まれている必要があります。
次の構文でLDAPUserImportツールを起動します。すべてのパラメータを同じコマンドラインに入力できることに注意してください。ここでは、わかりやすいように(UNIXの継続文字「\」を使用して)個別の行に示されています。
java oracle.apps.fnd.oid.LDAPUserImport \
[-v] \
–dbc <dbcfile> \
-f <ldiffile> \
-n <nicknameattribute> \
[-l <logfile>]
各項目の意味は、次のとおりです。
[-v]: 詳細モードで実行します。
<dbcfile>: Applicationsのdbcファイルへのフルパスです。
<ldiffile>: LDIFファイルです。
<nicknameattribute>: OIDでニックネーム属性として使用する属性の名前です。
<logfile>: ログ・ファイル(デフォルトはLDAPUserImport.log)です。
次に例を示します。
java oracle.apps.fnd.oid.LDAPUserImport \
-v \
-dbc $FND_TOP/secure/myebiz.dbc \
-f users.ldif \
-n uid \
-l users.log
OIDユーザーがE-Businessインスタンスに存在する場合、重複レコードは無視され、ログ・ファイルが重複レコードへの参照で更新され、処理は次のOIDレコードに進みます。
Oracle Internet DirectoryとE-Business Suiteでは、ユーザーの有効化および無効化イベントの起動および消費方法が異なります。
現在、開始日が先日付になっているか終了日が過去の日付になっている新規ユーザー・アカウントは、E-BusinessからOracle Internet Directoryにプロビジョニングされません。このように保留中のユーザー・アカウントについては、対応するプレースホルダ・レコードがOracle Internet Directoryに作成されます。このレコードは、アカウント要求が処理された後に削除されるか有効化されます。
重要: ユーザーを承認時に有効化できるように、Oracle Internet DirectoryでIDENTITY_MODIFYイベントを有効化する必要があります。
Oracle Internet Directoryでのアカウントのステータスは、Oracle E-Business Suiteに「使用可能」または「使用不可」として伝播します。アプリケーション・アカウントの開始日と終了日は更新されず、アプリケーションへのローカル・アクセス権限を持つユーザーには影響しません。
Oracle Internet Directoryから削除されたユーザー・アカウントについては、監査証跡を保守するためにOracle E-Business Suiteで終了日が設定されます。
次の2つの表に、Oracle Internet DirectoryとOracle E-Business Suiteの間でプロビジョニング可能な属性を示します。これは、プロビジョニング・テンプレートにリストされる属性のサブセットです。将来のリリースに備えて、その他にも属性が計画されています。
Oracle Internet DirectoryからOracle E-Business Suiteにプロビジョニングされる属性
Oracle Internet Directoryの属性名 | FND_USERの列名 | TCAの表および列名 |
---|---|---|
UIDおよび[nickname]* | USER_NAME | |
DESCRIPTION | DESCRIPTION | |
FACSIMILETELEPHONENUMBER | FAX | |
EMAIL_ADDRESS | HZ_CONTACT_POINTS.EMAIL_ADDRESS(CONTACT_POINT_TYPEは'EMAIL’) | |
SN | HZ_PARTIES.PERSON_LAST_NAME | |
TELEPHONENUMBER | HZ_CONTACT_POINTS.RAW_PHONE_NUMBER(CONTACT_POINT_TYPEは‘PHONE’、CONTACT_POINT_PURPOSEは‘BUSINESS’) | |
STREET | HZ_LOCATIONS. ADDRESS1 | |
POSTALCODE | HZ_LOCATIONS.POSTAL_CODE | |
PHYSICALDELIVERYOFFICENAME | HZ_PARTY_SITES.MAILSTOP | |
ST | HZ_LOCATIONS.STATE | |
L | HZ_LOCATIONS.CITY | |
GIVENNAME | HZ_PARTIES.PERSON_FIRST_NAME | |
HOMEPHONE | HZ_CONTACT_POINTS.PHONE_NUMBER(CONTACT_POINT_TYPEは‘PHONE’、CONTACT_POINT_PURPOSEは'PERSONAL') | |
C | HZ_LOCATIONS.COUNTRY |
* 詳細は、「ニックネーム(ログイン属性)の推奨設定」を参照してください。
Oracle E-Business SuiteからOracle Internet Directoryにプロビジョニングされる属性
FND_USER | Oracle Internet Directory |
---|---|
USER_NAME | UIDおよび[nickname]* |
DESCRIPTION | DESCRIPTION |
EMAIL_ADDRESS | |
FAX | FACSIMILETELEPHONENUMBER |
END_DATE | ORCLACTIVEENDDATE |
START_DATE | ORCLACTIVESTARTDATE |
START_DATE/END_DATE | ORCLISENABLED |
ENCRYPTED_USER_PASSWORD | USERPASSWORD |
* 詳細は、「ニックネーム(ログイン属性)の推奨設定」を参照してください。プロビジョニング・プロセスの詳細は、「ディレクトリ統合プラットフォームのプロビジョニング・テンプレートの構成」も参照してください。
この項では、追加情報のリソースについて説明します。
『Installing Oracle Application Server 10g with Oracle E-Business Suite Release 12』(OracleMetaLinkノート376811.1)。
Oracle Application Server 10gとE-Business Suiteとの統合に必要な必須インストール・ステップ。この章で説明するステップを実行する前に、このノートに記載されているステップをすべて完了する必要があります。
『Oracle Application Server 10g with Oracle E-Business Suite Release 12 Troubleshooting』(OracleMetaLinkノート380487.1)。
このドキュメントには、既存のOracle E-Business Suiteリリース12環境にOracle Application Server 10g(OracleAS 10g)をインストールする際に発生する可能性のある問題が記載されています。これらの問題の解決策または回避策に加えて、企業シングル・サインオン環境における管理アクティビティに役立つ一般的な問題解決のヒントが提供されています。
『Oracle Application Server 10g with Oracle E-Business Suite Release 12 Documentation Roadmap』(OracleMetaLinkノート380482.1)。
このドキュメントには、Oracle E-Business Suiteリリース12環境でOracle Application Serverをインストールまたはアップグレードする際に役立つ情報が記載されています。
CN
共通名。ユーザー名を含めることができます。
DN
識別名。DNにより、ディレクトリ内のユーザーが一意に識別されます。DNは、ルートに達するまでの親エントリのすべての個別名で構成されます。
DIP
ディレクトリ統合プラットフォーム(Directory Integration Platform)。Oracle Internet Directory、Oracle E-Business Suiteリリース12およびサード・パーティLDAPサーバー間で双方向でユーザー情報の同期を保つインフラストラクチャ。
DIT
ディレクトリ情報ツリー(Directory information tree)。エントリのDNで構成される階層ツリー形式の構造。
GUID
Global Unique Identifier。シングル・サインオンおよびエンタープライズ・レベルのユーザー管理プロセス中に、ユーザーのアカウントを複数システムで識別するために使用されるトークン。
ID管理レルム(Identity Management Realm)
いずれも同じ管理ポリシーで制御されるIDの集合。企業では、イントラネットへのアクセス権限を持つ従業員全員が1つのレルムに属し、企業の公開アプリケーションにアクセスする外部ユーザー全員が別のレルムに属している場合があります。ディレクトリでは、ID管理レルムは特殊なオブジェクト・クラスが関連付けられた特定のエントリで表されます。
LDAP
Lightweight Directory Access Protocolは、ユーザー・ディレクトリ用のインターネット標準プロトコルおよびスキーマであり、広範な支持を得ています。LDAPは、適切に構成されたクライアントとサーバー間の通信に使用する標準的で拡張可能なディレクトリ・アクセス・プロトコルとみなされています。ディレクトリ・サービスに関する国際標準化機構(ISO)X.500規格の軽量実装として、LDAPがクライアント側に必要とするネットワーク・ソフトウェアは最小限であるため、インターネット・ベースのthinクライアント・アプリケーションには特に魅力的です。現在、Oracle E-Business Suiteリリース12は、Oracle Internet Directoryとのみ直接同期化することが動作保証されています。ただし、Oracle Internet Directory自体は、1つ以上の外部サード・パーティ・ユーザー・ディレクトリと同期化できます。
Oracle Internet Directory
Oracle Internet Directoryは、Oracleデータベース上でアプリケーションとして動作する汎用ディレクトリ・サービスであり、散在するユーザーおよびネットワーク・リソースに関する情報の取得を可能にします。Oracle Internet Directoryにより、LDAPバージョン3がOracleデータベースの高パフォーマンス、拡張性、堅牢性および可用性と結合されます。Oracle Internet Directoryは、Oracleのオペレーティング・システムに依存しないデータベース接続性ソリューションであるOracle Netを介して、同一オペレーティング・システム上または異なるオペレーティング・システム上のデータベースと通信します。Oracle E-Business Suiteは、Oracle Internet Directoryとのみ直接同期化することが動作保証されていますが、Oracle Internet Directory自体は1つ以上の外部サード・パーティ・ユーザー・ディレクトリと同期化できます。詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。
Oracle Single Sign-Onサーバー(Oracle Single Sign-On Server)
オラクル社のシングル・サインオン・ソリューション。Oracle E-Business Suiteリリース12などのWebベース・アプリケーションに対するサポートを提供します。
シングル・サインオン(Single Sign-On)
ユーザーが各アプリケーションに個別にサインオンするかわりに、1度のサインオンで複数のアプリケーションへのアクセスを取得できるようにするテクノロジ。Oracle E-Business Suiteリリース12のコンテキストでは、システム固有のFND_USER表ではなくOracle Single Sign-Onサーバーを使用して認証を実行することを指します。
ニックネーム属性(Nickname Attribute)
ディレクトリ全体でユーザーを一意に識別するための属性。デフォルト値はuidです。アプリケーションでは、この属性を使用して単純ユーザー名が完全識別名に解決されます。ユーザー・ニックネーム属性に複数の値を指定することはできません。つまり、指定のユーザーの複数のニックネームを同じ属性名で格納することはできません。
パートナ・アプリケーション(Partner Application)
Oracle Single Sign-Onサーバー・フレームワーク内で動作するアプリケーション。この種のアプリケーションは、ユーザー認証の役割をOracle Single Sign-Onサーバーに委任するように設計(または変更)されています。Oracle E-Business Suiteリリース12は、パートナ・アプリケーションとして配置できます。
プロビジョニング(Provisioning)
Oracle Internet DirectoryとOracle E-Business Suiteの間でユーザー情報を同期化するプロセス。プロビジョニングの設定方法は、サイトの要件と使用中の構成に応じて異なります。
プロビジョニング・プロファイル(Provisioning Profile)
Oracle Internet DirectoryとOracle E-Business Suiteインスタンス間のプロビジョニング・プロセスの詳細を制御するメタデータ。プロビジョニング・プロファイルは、Oracle Internet Directoryとの間でプロビジョニング・イベントを送受信する各アプリケーションに必要です。
ユーザー(Users)
特定の企業で1つ以上のソフトウェア・アプリケーションへのアクセス権限を持つ個人。ユーザーはグローバル・エンティティです。つまり、ユーザーと属性は、特定のソフトウェア・アプリケーションのコンテキスト外に存在します。
ユーザー・ディレクトリ(User Directory)
ユーザーと属性のリストを格納するソフトウェア・サービス。現在、Oracle E-Business Suiteには独自のユーザー・ディレクトリ(FND_USER表)があります。また、ユーザー情報を管理し、標準インタフェースを介して統合アプリケーションに公開する汎用ユーザー・ディレクトリも存在します。
Lightweight Directory Access Protocol(LDAP、定義は前述)は、ユーザー・ディレクトリの一例です。