Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-01 |
|
前 |
次 |
11gリリース1(11.1.1)では、異なる使用例について最適化された2つの補完的プロビジョニング製品が提供されています。
Oracle Identity Manager: ディレクトリ、データベース、メインフレーム、独自のテクノロジ、フラット・ファイルなどを含む高度な異種テクノロジによる複合環境の管理を目的として設計されたエンタープライズ・プロビジョニング・プラットフォームです。Oracle Identity Managerでは、豊富な一連の監査およびコンプライアンス機能とともに、フル装備のワークフローおよびポリシー機能を提供します。
Oracle Directory Integration Platform(Identity Managementインフラストラクチャのコンポーネント): ディレクトリ中心の環境でディレクトリ同期だけでなくプロビジョニング・タスクも実行するように設計されたメタディレクトリ・テクノロジです。Oracle Directory Integration Platformは、ディレクトリや互換性のあるOracle製品で構成される、より同質的な環境を管理できるように設計されています。Oracle Directory Integration Platformでは、データ同期を使用してプロビジョニング・タスクを実行し、ワークフローやフル機能のポリシー・エンジンが不要な場合には小規模なデプロイ・フットプリントを提供します。
この章では、Oracle Directory Integration Platformプロビジョニングについて説明します。この章の内容は、次のとおりです。
関連項目:
|
プロビジョニングとは、ユーザー、グループ、およびその他のオブジェクトに対し、エンタープライズ環境で使用する可能性のあるアプリケーションや他のリソースへのアクセスを提供するプロセスです。プロビジョニング統合アプリケーションとは、プロビジョニング・イベントに対応できるよう、Oracle Internet Directoryにプロビジョニング統合プロファイルが登録されているアプリケーションです。アプリケーション固有のディレクトリにあるすべてのユーザー・エントリをOracle Internet Directoryのエントリと同期化するだけでなく、特定のアプリケーションをプロビジョニングしてエントリの一部のみに関する通知を受信することが可能です。たとえば、Oracle Human Resources用のディレクトリには、通常、企業のすべての従業員に関するデータが含まれており、一般的にはそのデータすべてをOracle Internet Directoryと同期します。ただし、他のアプリケーション(Oracle Emailなど)をプロビジョニングして、メンバーが特定グループに加入するか、そのグループから脱退した場合にのみ通知を受けることも可能です。
Oracle Identity Managementのデプロイでアプリケーションにユーザー・アカウントをプロビジョニングするには、まずそのアカウントをOracle Internet Directoryに作成しておく必要があります。ユーザー・アカウントは、次のツールまたは方法のいずれかを使用してOracle Internet Directoryに作成します。
Oracle Internet Directoryプロビジョニング・コンソール
Directory Integrationアシスタントのbulkprov
操作
サード・パーティ・ディレクトリとの同期
LDAPコマンドライン・ツール
Oracle Directory Integration Platform Serviceは、Oracle Internet Directoryでのユーザー・エントリの作成方法にかかわらず、任意のエントリに対して起動できます。ただし、Oracle Internet Directoryにユーザー・エントリを作成すれば、Oracle Identity Management環境のすべてのアプリケーションにアクセスできるわけではありません。ユーザー・アカウントは、管理者が手動でプロビジョニングするか、アプリケーションのプロビジョニング・ポリシーに従って自動でプロビジョニングする必要があります。アプリケーションのデフォルト・プロビジョニング・ポリシーは、次のいずれかです。
すべてのユーザーをプロビジョニングします。
ユーザーをプロビジョニングしません。
プロビジョニング・ポリシーの評価後にユーザーをプロビジョニングします。
プロビジョニング・ポリシーは、エンタープライズ環境ごとの要件に全面的に依存します。たとえば、ある組織では、すべてのユーザーを電子メール・アプリケーションにアクセスできるようプロビジョニングする一方で、人事管理アプリケーションにアクセス可能なプロビジョニング・ユーザーを制限することが可能です。
Oracle Directory Integration Platform Serviceの構成要素は、次のとおりです。
Oracle Directory Integration Platform。
Oracle Internet Directoryプロビジョニング・コンソール(Oracle Delegated Administration Servicesを使用すると作成される、すぐに使用できるスタンドアロン・アプリケーション)。プロビジョニング・コンソールは、Oracle Directory Integration Platform管理ツールと密接に連携しています。
関連項目: 『Oracle Fusion Middleware Guide to Delegated Administration for Oracle Identity Management』 |
ユーザーをプロビジョニングする各プロビジョニング統合アプリケーションのプロビジョニング統合プロファイル。oidprovtool
を使用してプロビジョニング統合プロファイルを作成します。
この項では、Oracle Directory Integration Platformプロビジョニングでアプリケーションがどのようにプロビジョニングされるかについて説明します。この項の内容は、次のとおりです。
プロビジョニング統合アプリケーションでは、Oracle Internet Directoryまたはサード・パーティ・リポジトリでユーザー情報を管理できます。Oracle Internet Directoryでユーザー情報を管理するアプリケーションでは、データ・アクセスJavaプラグインを使用して、Oracle Internet Directoryに変更が発生するたびにユーザー・エントリを作成、変更および削除できます。
関連項目: データ・アクセスJavaプラグインの詳細は、『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』を参照してください。 |
データ・アクセスJavaプラグインは、プロビジョニング・コンソールまたはLDAPコマンドライン・ツールなど、Oracle Identity Managementから、直接起動することができます。このため、データ・アクセスJavaプラグインを使用してプロビジョニングできるアプリケーションは同期的にプロビジョニングされ、個別のプロビジョニング・イベントをOracle Directory Integration Platformからアプリケーションに送信する必要はありません。データ・アクセスJavaプラグインは、Oracle Directory Integration PlatformにSUCCESS
またはFAILURE
のいずれかを返します。実行ステータスSUCCESS
がデータ・アクセスJavaプラグインに返される場合、プロビジョニング・ステータスも返され、特定のプロビジョニング統合アプリケーション用にOracle Internet Directoryのユーザーのプロビジョニング・ステータス属性に記録されます。ステータスFAILURE
が新しいユーザー割当てリクエストに返される場合、ユーザーのプロビジョニング・ステータスは、値PROVISIONING_FAILURE
に割り当てられます。プロビジョニング・ステータスのリストの詳細は、「Oracle Internet Directoryのプロビジョニング・ステータス」を参照してください。
プロビジョニング・コンソール、provProfileBulkProvコマンドによるバルク・プロビジョニング、およびサード・パーティ・ディレクトリを使用したOracle Directory Integration Platform Serviceの同期プロビジョニングは、次のプロセスに従います。
次のソースのいずれかに基づいて、Oracle Internet Directoryに新規ユーザー・エントリが作成されます。
Oracle Internet Directoryプロビジョニング・コンソール
Directory Integrationアシスタントによるバルク・プロビジョニング
サード・パーティ・ディレクトリとの同期
新規ユーザー・エントリを作成したOracle Identity Managementコンポーネントは、データ・アクセスJavaプラグインを起動します。
データ・アクセスJavaプラグインは、アプリケーションに新規ユーザー・アカウントをプロビジョニングします。
図12-1に、LDAPコマンドライン・ツールを使用してアプリケーションが同期的にプロビジョニングされる場合のプロセスを示します。
LDAPコマンドライン・ツールを使用した同期プロビジョニングは、次のプロセスに従います。
LDAPコマンドライン・ツールによって、Oracle Internet Directoryに新規ユーザー・エントリが作成されます。
次にスケジュールされた同期間隔で、Oracle Directory Integration Platformは、プロビジョニングの必要な新規ユーザー・エントリがOracle Internet Directoryに存在することを確認します。
Oracle Directory Integration Platformは、データ・アクセスJavaプラグインを起動します。
データ・アクセスJavaプラグインは、アプリケーションに新規ユーザー・アカウントをプロビジョニングします。
Oracle Directory Integration Platformは、PL/SQLイベントをプロビジョニング統合アプリケーションに伝播します。次に、このアプリケーションがイベントを処理するためにPL/SQLプラグインを実行します。PL/SQLプラグインの実行は、アプリケーション・リポジトリ内で発生し、任意のOracle Identity Managementコンポーネントのアドレス空間では発生しません。プロビジョニングは、任意のOracle Identity ManagementのコンポーネントではなくPL/SQLプラグインによって処理されるため、PL/SQLプラグインを実装するプロビジョニング統合アプリケーションは、非同期的にプロビジョニングされます。PL/SQLプラグインは、Oracle Directory Integration PlatformにSUCCESS
またはFAILURE
のステータスを返します。ステータスSUCCESS
がPL/SQLプラグインに返される場合、プロビジョニング・ステータスも返され、特定のプロビジョニング統合アプリケーション用にOracle Internet Directoryのユーザーのプロビジョニング・ステータス属性に記録されます。ステータスFAILURE
が新しいユーザー割当てリクエストに返される場合、ユーザーのプロビジョニング・ステータスは、値PROVISIONING_FAILURE
に割り当てられます。プロビジョニング・ステータスのリストの詳細は、「Oracle Internet Directoryのプロビジョニング・ステータス」を参照してください。
プロビジョニング・コンソール、provProfileBulkProvコマンドによるバルク・プロビジョニング、およびサード・パーティ・ディレクトリを使用した非同期プロビジョニングは、次のプロセスに従います。
次のソースのいずれかに基づいて、Oracle Internet Directoryに新規ユーザー・エントリとアプリケーション固有のユーザー・プリファレンスを含む関連エントリが作成されます。
Oracle Internet Directoryプロビジョニング・コンソール
provProfileBulkProvコマンドによるバルク・プロビジョニング
サード・パーティ・ディレクトリとの同期
次にスケジュールされた同期間隔で、Oracle Directory Integration Platformは、プロビジョニングの必要な新規ユーザー・エントリがOracle Internet Directoryに存在することを確認します。
Oracle Directory Integration PlatformからPL/SQLプラグインにプロビジョニング・イベントが送信されます。
図12-2に、LDAPコマンドライン・ツールを使用してアプリケーションが非同期的にプロビジョニングされる場合のプロセスを示します。
図12-2に示されているとおり、LDAPコマンドライン・ツールを使用した非同期プロビジョニングは、次のプロセスに従います。
LDAPコマンドライン・ツールを使用して、Oracle Internet Directoryに新規ユーザー・エントリが作成されます。
次にスケジュールされた同期間隔で、Oracle Directory Integration Platformは、プロビジョニングの必要な新規ユーザー・エントリがOracle Internet Directoryに存在することを確認し、アプリケーション固有のユーザー・プリファレンスを含む関連エントリを作成します。
Oracle Directory Integration PlatformからPL/SQLプラグインにプロビジョニング・イベントが送信されます。
プロビジョニングが同期的か非同期的かにかかわらず、アプリケーションでは、プロビジョニング・インテリジェンス機能を拡張してビジネス・ポリシーを実装するために、プレデータ・エントリ・プラグインとポストデータ・エントリ・プラグインを起動できます。どちらのプラグインも、Oracle Internet Directoryプロビジョニング・コンソールなどのOracle Identity Managementコンポーネントや、provProfileBulkProvコマンドによるバルク・プロビジョニングによって起動されます。
プレデータ・エントリ・プラグインは、プロビジョニング・ポリシーに基づいてフィールドの移入を行います。このプラグインの主な目的は、アプリケーションにユーザーをプロビジョニングするかどうかを決定することです。たとえば、財務管理アプリケーションにはマネージャのみをプロビジョニングするというポリシーを持つ組織の場合、プレデータ・エントリ・プラグインを使用することで、どのユーザー・エントリをプロビジョニングするかを判別できます。共通のユーザー属性はこのプラグインの起動時にすでに移入されているため、プロビジョニングの決定を行うための十分な情報がすでに存在していることになります。
ポストデータ・エントリ・プラグインは、主に、ユーザーによって入力された共通属性とアプリケーション固有属性に関するデータを検証します。プロビジョニングを続けるためには、このプラグインでの検証に成功する必要があります。
図12-3に、プレデータ・エントリおよびポストデータ・エントリ・プラグインを使用したプロビジョニングのデータ・フローを示します。
図12-3に示されているとおり、プロビジョニングのデータ・フローは、次のプロセスに従います。
ベース・ユーザー情報が作成されます。
プレデータ・エントリ・プラグインが起動し、ポリシーに基づいてフィールドの移入が行われます。
ポストデータ・エントリ・プラグインが起動し、ユーザーが入力したデータが検証されます。
プロビジョニング方式に応じて、非同期または同期プロビジョニング・プロシージャが起動します。
プロビジョニング・コンソールでプロビジョニングを実行する場合、管理者は、プレデータ・エントリ・プラグインが起動した後で、ポストデータ・エントリ・プラグインが起動する前にアプリケーション属性を変更できます。
この項では、Oracle Identity Managementでユーザーをプロビジョニングする手順について説明します。この項の内容は、次のとおりです。
プロビジョニング・コンソールを使用すると、1人以上のユーザーのプロビジョニングおよびプロビジョニング解除を同時に集中管理できます。このコンソールには、個別ユーザーを作成、変更および削除する場合と、任意のプロビジョニング統合アプリケーションに対してユーザーを選択的にプロビジョニングおよびプロビジョニング解除する場合に役立つウィザードベースのインタフェースがあります。プロビジョニング・コンソールは、LDIFファイルを使用したユーザーのバルク作成、変更および削除にも対応しています。詳細は、「provProfileBulkProvツールを使用したバルク・プロビジョニング」を参照してください。
Oracle Internet Directoryが中央リポジトリとして使用され、エンタープライズ・ユーザー・エントリがサード・パーティ・ディレクトリからOracle Internet Directoryに同期化される場合、各ユーザー・アイデンティティは、プロビジョニング統合アプリケーションごとのデフォルト・プロビジョニング・ポリシーに従って自動的にプロビジョニングされます。
オラクル社、または標準のLDAPコマンドライン構文を利用するサード・パーティ・ベンダーによって開発された任意のツールを使用して、Oracle Internet Directoryにユーザー・エントリを作成できます。外部ソースから同期化されたユーザー・エントリの場合と同様に、LDAPコマンドライン・ツールまたはその他の方法によって作成されたユーザー・エントリは、プロビジョニング統合アプリケーションごとのデフォルト・プロビジョニング・ポリシーに従ってプロビジョニングされます。
ORACLE_HOME/binディレクトリにあるprovProfileBulkProv
ユーティリティを使用して、プロビジョニング・プロファイルのために、LDIFファイルからOracle Internet Directoryへの初期のデータ移行を実行します。
注意:
|
provProfileBulkProv
provProfileBulkProv -h HOST -p PORT -D wlsuser -file LDIF_FILE -realm REALM_DN [-ssl -keystorePath PATH_TO_KEYSTORE -keystoreType TYPE] [-encoding INPUT_ENCODING] [-help]
-h | -host
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverホスト。
-p | -port
Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Managed Serverのリスニング・ポート。
-D | -wlsuser
Oracle WebLogic ServerのログインID。
注意: Oracle WebLogic Serverのログイン・パスワードを要求されます。パスワードをコマンドライン引数として指定することはできません。最良のセキュリティ・プラクティスは、コマンドからの要求への応答としてのみ、パスワードを入力することです。スクリプトからprovProfileBulkProv を実行する必要がある場合、Oracle WebLogic Serverパスワードを含むファイルから、入力をリダイレクトできます。ファイル権限を使用してファイルを保護し、不要になったら権限を削除します。 |
-f | -file
移行されるデータを含むLDIFファイル。
-realm
ユーザーがプロビジョニングされるレルム。
-ssl
SSLモードでコマンドを実行します。
注意: Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Managed Serverは、SSLモードでこのコマンドを実行するようにSSLに対して構成されている必要があります。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「SSLの構成」を参照してください。 |
-keystorePath
キーストアへのフルパス。
-keystoreType
-keystorePath
で識別されるキーストアのタイプ。たとえば、-keystorePath jks
または-keystorePath PKCS12
などです。
-encoding
入力ファイル・エンコーディング。
-help
コマンドの使用方法のヘルプを提供します。
オンデマンド・プロビジョニングは、ユーザーがアプリケーションにアクセスし、そのアプリケーションのリポジトリにユーザーの情報が存在しない場合に発生します。アプリケーションは、デフォルト・プロビジョニング・ポリシーに基づいてユーザー・アカウントをプロビジョニングするかどうかを決定します。リポジトリにユーザー・アカウントをプロビジョニングした後、アプリケーションは、Oracle Internet Directoryのユーザー・エントリのプロビジョニング・ステータスを更新します。
この項では、Oracle Internet Directoryのユーザー・プロファイルの構成について説明します。この項の内容は、次のとおりです。
Oracle Directory Integration Platformプロビジョニングは、個人情報と、ユーザーがプロビジョニングされる様々なアプリケーション用の設定を含む属性で構成されるディレクトリ情報ツリー(DIT)のユーザー・プロファイルに依存します。Oracle Directory Integration Platform Serviceのこれらのユーザー属性は、次のように分類されます。
すべてのユーザー・エントリで使用されるベース属性
ユーザーがアプリケーションにプロビジョニングされる場合にのみ使用されるアプリケーション固有属性
ベース・ユーザー属性は、主にorganizationalPerson
やinetOrgPerson
などの標準LDAPオブジェクト・クラスに属し、氏名、電子メール・アドレスおよび電話番号を含む個人の詳細情報で構成されます。ベース・ユーザー属性は、orclUserV2
補助クラスに属するOracleアプリケーション固有の属性でも構成されます。
Oracle Internet Directoryは、ベース属性およびアプリケーション固有属性の両方のプライマリ・リポジトリです。両方のタイプの属性は、各ユーザーのプロファイルに格納されています。ただし、アプリケーションは、プロビジョニング・イベント通知サービスで更新されるユーザー属性をキャッシュできます。図 12-4に示すように、ユーザー属性はDITの2つの場所に格納されています。ベース・ユーザー・エントリ(inetorgperson
およびorcluserv2
に属す属性を含む)は、cn=users
,Realm DN
に格納されます。各ユーザー・エントリのプロビジョニング・ステータスも、ベース・ユーザー・エントリに格納されています。アプリケーション固有の属性は、アプリケーション・コンテナの個別のエントリに存在します。アプリケーション固有の属性定義に関連するLDAPスキーマおよびオブジェクト・クラスは、インストール処理またはアップグレード処理で作成されます。アプリケーション固有の属性は補助オブジェクト・クラスで修飾されるため、エントリのアプリケーション固有のユーザー・プロパティの検索が有効になります。デフォルトでは、アプリケーション固有のエントリは、cn=User Properties, cn=
Application Type
, cn=Products,cn=OracleContext,
Realm DN
コンテナにorclOwnerGUID=
GUID of the Base User
として格納されています。一部のアプリケーションは、自身のアプリケーション属性を管理してデータ・アクセスJavaプラグインを実装します(詳細は、「プロビジョニング概念の概要」で説明しています)。Oracle Directory Integration Platformサービスは、ベース・ユーザー属性またはアプリケーション固有の属性が変更される場合、常にこのプラグインを起動します。
この項では、Oracle Internet Directoryのユーザー・プロビジョニング・ステータスについて説明します。この項の内容は、次のとおりです。
Oracleプロビジョニング・サービスでは、プロビジョニング統合アプリケーションごとに、Oracle Internet Directoryにユーザーのプロビジョニング・ステータスが記録されます。プロビジョニング・ステータスは、Oracle Directory Integration Platform、provProfileBulkProvコマンドによるバルク・プロビジョニング、またはプロビジョニング統合アプリケーションによって設定されます。表12-1に、プロビジョニング・ステータスのリストを示します。
表12-1 Oracle Internet Directoryのプロビジョニング・ステータス
内部ステータス | GUIステータス | 説明 |
---|---|---|
プロビジョニング・ステータス |
||
|
保留 |
プロビジョニングが必要です。このステータスは、管理者が選択するか、アプリケーションのプロビジョニング・ポリシーに従って設定されます。このステータスにより、ユーザーがプロビジョニングされているかどうかが決定することに注意してください。 |
|
進行中 |
プロビジョニングが進行中です。スケジュールされた間隔でアプリケーションによりプロビジョニングが実行される場合、現行のステータスがこのステータスであれば、ユーザーはアプリケーションにアクセスできます。アプリケーションでは、ユーザーをオンデマンドでプロビジョニングすることが可能です。 |
|
成功 |
プロビジョニングに成功しました。このステータスは、Oracle Directory Integration Platform、provProfileBulkProvコマンドによるバルク・プロビジョニング、またはプロビジョニング統合アプリケーションによって自動的に更新されます。 |
|
リクエストなし |
プロビジョニングは必要ありません。このステータスは、管理者が選択するか、アプリケーションのプロビジョニング・ポリシーに従って設定されます。このステータスにより、ユーザーが今後プロビジョニングされるかどうかが決定することに注意してください。 |
|
失敗 |
プロビジョニングに失敗しました。このステータスは、Oracle Directory Integration Platform、provProfileBulkProvコマンドによるバルク・プロビジョニング、またはプロビジョニング統合アプリケーションによって自動的に更新されます。このステータスである場合、ユーザーはアプリケーションにアクセスできません。 |
プロビジョニング解除ステータス |
||
|
プロビジョニング解除が保留中です |
プロビジョニング解除が必要です。このステータスである場合、ユーザーはまだプロビジョニングされています。 |
|
プロビジョニング解除が進行中です |
プロビジョニング解除が進行中です。 |
|
正常にプロビジョニング解除されました |
プロビジョニング解除に成功しました。このステータスである場合、ユーザーはアプリケーションにアクセスできません。 |
|
プロビジョニング解除に失敗しました |
プロビジョニング解除に失敗しました。このステータスである場合、ユーザーはまだプロビジョニングされています。 |
アップグレード・ステータス |
||
|
アップグレードが保留中です |
プロビジョニングのアップグレードが保留中です。 |
|
アップグレードが進行中です |
プロビジョニングのアップグレードが進行中です。 |
|
アップグレードに失敗しました |
プロビジョニングのアップグレードに失敗しました。 |
各アプリケーションのプロビジョニング・ステータスは、ユーザー・エントリのorclUserApplnProvStatus
属性に格納されます。この属性は、Oracle Internet Directoryで索引付けされており、検索可能です。プロビジョニング統合アプリケーションごとに、サブタイプのorclUserApplnProvStatus
属性が作成されます。たとえば、次の文には、電子メール・アプリケーションとスケジュール・アプリケーションに対するユーザーのプロビジョニング・ステータスが格納されています。電子メール・アプリケーションに対するユーザーのプロビジョニング・ステータスはPROVISIONING_SUCCESS
ですが、スケジュール・アプリケーションに対するプロビジョニング・ステータスはPROVISIONING_FAILURE
です。
orclUserApplnProvStatus;CORP-MAIL_E-MAIL:PROVISIONING_SUCCESS orclUserApplnProvStatus;CORP-SCHEDULE_CALENDAR:PROVISIONING_FAILURE
アプリケーションのユーザーのプロビジョニング・ステータスについての追加情報はorclUserApplnProvStatusDesc
属性に格納され、各アプリケーションのプロビジョニングの失敗アカウントはorclUserApplnProvFailureCount
属性に格納されています。orclUserApplnProvStatus
属性と同様に、個別のorclUserApplnProvStatusDesc
属性およびorclUserApplnProvFailureCount
属性は、各プロビジョニング統合アプリケーション用に作成されます。orclUserApplnProvStatusDesc
属性の書式はorclUserApplnProvStatus
属性と同じですが、次のように、タイムスタンプおよび説明文がアプリケーション名およびタイプに追加されます。
orclUserApplnProvStatusDesc;CORP-MAIL_E-MAIL:20040101010101^Missing employee ID
orclUserApplnProvStatus
、orclUserApplnProvStatusDesc
およびorclUserApplnProvFailureCount
属性は、オプション属性としてorclUserProvStatus
オブジェクト・クラスに格納されます。
表12-2に、有効なプロビジョニング・ステータスの遷移を示します。
表12-2 Oracle Internet Directoryでの有効なプロビジョニング・ステータスの遷移
内部ステータス | GUIステータス | 有効な遷移元 |
---|---|---|
プロビジョニング・ステータス |
||
|
保留 |
初期不明状態
|
|
進行中 |
|
|
成功 |
|
|
リクエストなし |
初期不明状態 |
|
失敗 |
|
プロビジョニング解除ステータス |
||
|
プロビジョニング解除が保留中です |
|
|
プロビジョニング解除が進行中です |
|
|
正常にプロビジョニング解除されました |
|
|
プロビジョニング解除に失敗しました |
|
図12-5に、有効なプロビジョニング・ステータスの遷移を示します。
Oracle Identity Management 11gリリース1(11.1.1)では、Oracle Internet Directory内の1つのユーザー・エントリが、複数のLDAPエントリによって物理的に示されることがあります。ベース・ユーザー・エントリ以外に、プロビジョニング統合アプリケーションごとに複数の独立したLDAPエントリが存在する可能性があります。
Oracle Identity Managementの通常のアップグレードでは、複数の中間層は同時にアップグレードされません。つまり、Oracle Identity Managementのアップグレード後も、旧バージョンの中間層とアップグレード・バージョンの中間層を同時に実行する必要がある場合があります。中間層をアップグレードすると、アプリケーションのメタデータ・リポジトリに格納されていたユーザーのアプリケーション固有データは、すべて必要に応じて移行されます。Oracle Directory Integration Platformは、アップグレード前からOracle Internet Directoryに存在しているユーザー・エントリごとに新規ユーザー・イベントを起動し、各ユーザー・エントリにPENDING_UPGRADE
というプロビジョニング・ステータスを割り当てます。新規ユーザー・エントリが、古い中間層や一部のサポートされない手順(標準のLDAP SDKを使用した既存アプリケーションなど)によって作成されると、プロビジョニング・ステータス属性は失われます。この場合も、Oracle Directory Integration Platformは、新規ユーザー・イベントを起動し、各ユーザー・エントリにPENDING_UPGRADE
というプロビジョニング・ステータスを割り当てます。
イベントを受信したプロビジョニング統合アプリケーションは、ユーザーがプロビジョニングされているかどうかを示すレスポンスをOracle Directory Integration Platformに返します。Oracle Directory Integration Platformは、そのレスポンスに従ってユーザー・エントリのプロビジョニング・ステータスを更新します。
プロビジョニング・コンソールで作成されたか、外部データソースを使用した同期を通して作成された新しいユーザー・エントリが、特定のアプリケーションでユーザーをプロビジョニングするための十分な情報を含まない場合、プロビジョニングは失敗する場合があります。プロビジョニングは、その他の様々な理由で失敗する可能性もあります。Oracle Directory Integration Platform Serviceは、ユーザー・プロビジョニングの失敗を例外として識別します。アプリケーションがUSER_ADD
イベントに失敗のステータスで応答する場合、Oracle Directory Integration Platformは常にユーザーのプロビジョニング・ステータスをPROVISIONING_FAILURE
に変更します。次に、Oracle Directory Integration Platformは、この失敗を新しいユーザーの場合と同様にアプリケーションに通知します。これは、プロビジョニング要求の再試行として機能します。ユーザーのプロビジョニング・ステータスは、プロビジョニング・コンソールに表示されます。管理者は問題の修正に必要な変更を行うことができ、プロビジョニングは自動的に再試行されます。これによって、プロビジョニングが同期的な場合にデータ・アクセス・プラグインが起動されます。一方、プロビジョニングが非同期的な場合はイベントが伝播されます。この一連のステップはユーザーが正常にプロビジョニングされない間再試行されます。
この項では、様々なプロビジョニング・シナリオでの情報および制御のフローについて説明します。この項の内容は、次のとおりです。
プロビジョニング・コンソールを使用して、Oracle Internet Directoryに新規ユーザー・エントリを作成およびプロビジョニングできます。コンソールでは、ウィザードベースのインタフェースを使用して、次の手順を実行します。
初期ユーザー作成画面に、必要なベース・ユーザー属性のリストが表示されます。ベース・ユーザー属性は、プロビジョニング・コンソールによるプレデータ・エントリ・プラグインの起動後に移入されます。ユーザー作成の場合、プラグインによってベース・ユーザー属性が処理され、アプリケーションのデフォルト・プロビジョニング・ポリシーおよび属性が生成されます。ユーザー変更の場合、プロビジョニング・コンソールによりOracle Internet Directoryのユーザー情報が取得され、プラグインによりアプリケーション情報が取得されます。
ウィザードの次のステップでは、アプリケーションのデフォルト・プロビジョニング・ポリシーに基づいて、各アプリケーションでのユーザーのプロビジョニング方法が表示されます。ユーザー変更の場合、このステップで、ユーザーが現在プロビジョニングされているアプリケーションのリストと、ユーザーをプロビジョニング可能なアプリケーションのリストが表示されます。ユーザーがまだプロビジョニングされていないアプリケーションには、次のいずれかの値を選択できます。
「ユーザー・ポリシー」。このフィールドに選択される値は、各アプリケーションのデフォルト・プロビジョニング・ポリシーに基づいています。このフィールドには、Provision
またはDo Not Provision
の 2 つの値のうちのいずれかが表示されます。
「ポリシーを上書きしてプロビジョニングを実行する」。このオプションを選択すると、アプリケーションのデフォルト・ポリシーを上書きして、ユーザーをプロビジョニングします。
「ポリシーを上書きしてプロビジョニングを実行しない」。このオプションを選択すると、アプリケーションのデフォルト・ポリシーを上書きして、ユーザーをプロビジョニングしません。
ユーザーが現在プロビジョニングされているアプリケーションでは、ユーザーのプロビジョニングを解除するオプションが表示されます。
ユーザーがプロビジョニングされていないアプリケーションでは、ウィザードの次のステップで、プレデータ・エントリ・プラグインから返されたデフォルト値とともにプロビジョニング対象のアプリケーションの属性が表示されます。ユーザーがプロビジョニングされているアプリケーションでは、現在のアプリケーション情報がリストされます。このステップでは、「次へ」をクリックする前に属性に必要な変更を加えることができます。「次へ」をクリックすると、ポストデータ・エントリ・プラグインが起動され、入力したデータが検証されます。
ウィザードの最後のステップで、アプリケーション属性および値を確認できます。「終了」をクリックします。「終了」をクリックすると、プロビジョニング・コンソールによりOracle Internet Directory内のユーザー情報が作成または更新され、アプリケーションを作成または更新するために同期的にプロビジョニングされるアプリケーションにデータ・アクセスJavaプラグインが起動されます。
ユーザーの削除前に、プロビジョニング・コンソールにベース・ユーザーとアプリケーション属性をリストした読取り専用ページが表示されます。ユーザーによる削除の確認後、プロビジョニング・コンソールによって、ベース・ユーザー情報とアプリケーション固有情報が削除されるか、同期的にプロビジョニングされるアプリケーション用のデータ・アクセスJavaプラグインが起動されます。非同期アプリケーションの場合、USER_DELETE
イベントが伝播されます。
11gリリース1(11.1.1)の時点では、次の手順に従って、Oracle Enterprise Manager Fusion Middleware Controlを使用してプロビジョニング・プロファイルを表示および編集します。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか展開し、続いて、表示または編集するプロファイルを含むDIPコンポーネントを選択します。
「DIPサーバー」メニューから「管理」→「プロビジョニング・プロファイル」を選択します。「プロビジョニング・プロファイルの管理」画面が表示され、既存のプロビジョニング・プロファイルが表示されます。
表示されるプロビジョニング・プロファイルの属性を変更するには、「表示」→「列」をクリックして、表示または非表示にする属性を選択します。また、「表示」→「列の並替え」をクリックすると、プロビジョニング・プロファイルの列を並べ替えることができます。
プロビジョニング・プロファイルを有効または無効にするには、適切なプロファイルをクリックして「有効化」または「無効化」をクリックします。
プロビジョニング・プロファイルを編集するには、編集するプロファイルをクリックして「編集」をクリックします。プロファイルの属性が表示されます。必要に応じて設定を編集し、「OK」をクリックして変更を保存します。表12-3に、プロビジョニング・プロファイルのフィールドおよび説明を示します。
表12-3 プロビジョニング・プロファイルのフィールド
フィールド名 | 説明 |
---|---|
プロファイル名 |
編集するプロファイルの名前。作成後にプロファイル名を編集することはできません。このフィールドは、編集するプロファイルを識別するためにのみ提供されています。 |
アプリケーション名 |
プロビジョニング・プロファイルが適用されるアプリケーションの名前。 |
プロファイルのバージョン |
プロビジョニング・プロファイルのバージョン。 |
アプリケーションからOIDへ |
アプリケーションからOracle Internet Directoryへの関係において、プロビジョニング・プロファイルを「構成済」または「有効」に設定するためのオプション。 |
OIDからアプリケーションへ |
Oracle Internet Directoryからアプリケーションへの関係において、プロビジョニング・プロファイルを「構成済」または「有効」に設定するためのオプション。 |
スケジュール済の間隔(HH: MM: SS) |
接続ディレクトリとOracle Internet Directoryのプロビジョニングの、試行間隔の時間数、分数および秒数を指定します。 |
最終実行 |
前回のプロビジョニング試行のステータス(「成功」または「失敗」)および実行時間を表示します。 |
デプロイでは、多くの場合サード・パーティのエンタープライズ・ユーザー・リポジトリなどの外部ソースからユーザーをプロビジョニングすると予想されます。このようなタイプのデプロイでは、サード・パーティ・リポジトリによってOracle Internet Directoryがブートストラップされます。Oracle Directory Integration Platformでは、Oracle Internet Directoryとサード・パーティ・リポジトリの間で継続的に同期が実行されます。サード・パーティ・ユーザー・リポジトリの例には、Oracle Human Resourcesや、Microsoft Active Directory、Oracle Directory Server Enterprise Edition(旧称Sun Java System Directory Server)、Novell eDirectory、IBM Tivoli Directory ServerおよびOpenLDAPなどのLDAPディレクトリがあります。
Oracle Directory Synchronization Serviceにより、Oracle Internet Directoryにユーザー・エントリが作成されます。外部ソースから取得される情報は、様々なアプリケーションにユーザーをプロビジョニングするには不十分である可能性があるため、アプリケーション情報の作成にはアプリケーションのデフォルトが使用されます。Oracle Directory Synchronization Serviceでは、次のようにユーザーが作成されます。
Oracle Directory Synchronization Serviceは、アプリケーションで指定されたプロビジョニング・ポリシーを評価し、ユーザーをアプリケーションにプロビジョニングするかどうかを決定します。
Oracle Directory Synchronization Serviceは、アプリケーションに登録されているその他のプラグインを評価します。
Oracle Directory Integration Platform Serviceは、PL/SQLプラグインまたはデータ・アクセスJavaプラグインを起動して、ユーザー情報をアプリケーションに送信します。
イベント・インタフェースの使用により、アプリケーションからユーザーのプロビジョニング・ステータスが返されます。
Oracle Directory Integration Platform Serviceは、アプリケーション用のユーザーのプロビジョニング・ステータスを更新します。
Oracle Delegated Administration Servicesの管理権限は、各管理者に委任される権限によって異なります。管理者は、次のシナリオで説明されているように、ユーザーの管理およびプロビジョニング、またはアプリケーションの管理を行う権限を付与されるか、またはこれらの権限の組み合わせたものを付与されます。
注意: Oracle Directory Integration Platform 11gリリース1(11.1.1)は、Oracle Delegated Administration Servicesリリース10.1.4.3.0以上をサポートしており、相互運用できます。 |
次のタイプのプロビジョニング情報は、Oracle Internet Directoryで管理されます。
ベース・ユーザー情報。
アプリケーション固有情報。
各プロビジョニング統合アプリケーションのユーザー・プロビジョニング・ステータス。この情報は、ベース・ユーザー・エントリに格納されますが、個別に管理されます。
管理者とユーザーには、それぞれ次のタイプの権限が必要です。
管理者は、ベース・ユーザー属性とアプリケーション固有情報を管理するための権限が必要です。
ユーザーは、自分自身のベース属性とアプリケーション固有情報を管理するための権限が必要です。
管理権限を保持するユーザー・アカウントは、cn=User Provisioning Admins,cn=Groups,cn=OracleContext
というグループ・エントリによって示されます。アプリケーション固有情報を管理するため、アプリケーションでは、cn=User Provisioning Admins,cn=Groups,cn=OracleContext
グループに権限を付与する必要があります。アプリケーションですでに管理権限を保持するグループを定義している場合は、その権限を保持するグループのメンバーとしてこのグループを追加する必要があります。
Oracle Delegated Administration Servicesの管理権限を保持する管理者の場合、プロビジョニング・コンソールで「作成」、「削除」、「編集」の各ボタンが使用可能になり、ユーザーを作成、削除および変更できます。Oracle Delegated Administration Servicesの管理権限のみを保持する管理者がこれらのボタンのいずれかをクリックすると、その機能を実行するために単一ステップのプロシージャが使用されます。
プロビジョニング権限を保持する管理者の場合、プロビジョニング・コンソールで「作成」、「削除」、「編集」の各ボタンが使用可能になり、ユーザーを作成、削除および変更できます。ただし、プロビジョニング権限を保持する管理者の場合、Oracle Delegated Administration Services権限を保持する管理者に使用される単一ステップのプロシージャではなく、ウィザードベースのプロシージャによって作成および変更処理は実行されます。ユーザーの削除は、「Oracle Delegated Administration Services権限」に説明のあるOracle Delegated Administration Services権限の場合と同じ単一ステップのプロシージャに基づいて実行されます。
アプリケーション管理権限を保持し、Oracle Delegated Administration Services権限またはプロビジョニング権限を保持しない管理者の場合、プロビジョニング・コンソールで「作成」および「削除」ボタンは使用できません。ただし、「プロビジョニング管理権限」に説明のあるプロビジョニング管理権限の場合と同じウィザードを起動する「編集」ボタンがあります。アプリケーション管理者がプロビジョニング権限を持たない場合、一般ユーザー・プロビジョニングで使用するウィザードの最初のページは読取り専用になります。ただし、アプリケーション管理者は、ウィザードの他のページで使用できるアプリケーション・プロビジョニング属性を変更できます。
Oracle Delegated Administration Services権限とプロビジョニング権限を保持する管理者は、「プロビジョニング管理権限」に説明のあるプロビジョニング管理権限の場合と同じ権限を保持します。
この項では、管理者に様々なOracle Delegated Administration Services権限が割り当てられており、同時に管理権限も割り当てられている場合、各権限がどのように委任されるかについて説明します。
Oracle Delegated Administration Servicesのユーザー作成権限を保持し、ユーザー編集またはユーザー削除権限を保持しないアプリケーション管理者の場合、プロビジョニング・コンソールで「作成」および「編集」ボタンは使用できますが、「削除」ボタンは使用できません。ユーザーの作成は、「プロビジョニング管理権限」に説明のあるプロビジョニング管理権限の場合と同じウィザードベースのプロシージャに基づいて実行されます。ユーザーの編集権限は、「アプリケーション管理権限」に説明のあるアプリケーション管理権限の場合と同じです。
Oracle Delegated Administration Servicesのユーザー編集権限を保持し、ユーザー作成またはユーザー削除権限を保持しないアプリケーション管理者の場合、プロビジョニング・コンソールで「編集」ボタンは使用できますが、「作成」ボタンまたは「削除」ボタンは使用できません。ユーザーの編集は、「プロビジョニング管理権限」に説明のあるプロビジョニング管理権限の場合と同じウィザードベースのプロシージャに基づいて実行されます。
Oracle Delegated Administration Servicesのユーザー削除権限を保持し、ユーザー作成またはユーザー変更権限を保持しないアプリケーション管理者の場合、プロビジョニング・コンソールで「削除」および「編集」ボタンは使用できますが、「作成」ボタンは使用できません。ユーザーの削除は、「Oracle Delegated Administration Services権限」に説明のあるOracle Delegated Administration Services権限の場合と同じ単一ステップのプロシージャに基づいて実行されます。ユーザーの編集は、「プロビジョニング管理権限」に説明のあるプロビジョニング管理権限の場合と同じウィザードベースのプロシージャに基づいて実行されます。
プロビジョニング権限とアプリケーション管理権限を保持する管理者は、「プロビジョニング管理権限」に説明のあるプロビジョニング管理権限の場合と同じ権限を保持します。
Oracle Delegated Administration Services権限とアプリケーション管理権限を保持する管理者は、「アプリケーション管理権限」に説明のあるプロビジョニング管理権限の場合と同じ権限を保持します。