10 Oracle Internet Directory以外のディレクトリの準備

この章では、Oracle Internet Directory以外のディレクトリをアイデンティティ・ストアとして使用するために準備する方法を説明します。Oracle Access Manager固有のスキーマ要素やその他の特定の属性をサポートするために、バックエンドのディレクトリ・スキーマを拡張する必要があります。エンタープライズ・デプロイメントのポリシーではバックエンド・ディレクトリのスキーマ要素の拡張が制限されているため、デフォルトではバックエンド・ディレクトリ・スキーマの拡張は行われません。

バックエンド・ディレクトリのスキーマ拡張が許可されるデプロイメントでは、第10.1項「Oracle Access ManagerおよびOracle Identity Manager用のディレクトリの準備」で説明する方法を使用します。

エンタープライズ・アイデンティティ・ストアのバックエンド・スキーマ拡張が許可されないデプロイメントでは、Oracle Internet Directoryをシャドウ・ディレクトリとして使用し、Oracle Virtual Directoryを使用してディレクトリからのエンティティをマージします。このようなデプロイメントの構成要件については、第10.2項「アイデンティティ・ストアとしての複数ディレクトリの構成: Oracle Virtual Directoryでの分割プロファイル」を参照してください。

デプロイメントによっては、ユーザーとグループが内部と外部の2つの異なるセットに分割される場合があります。このようなデプロイメントの構成要件については、第10.3項「アイデンティティ・ストアとしての複数ディレクトリの構成: 複数ディレクトリに別個のユーザーおよびグループを格納」を参照してください。

この章の項目は次のとおりです。

• 第10.1項「Oracle Access ManagerおよびOracle Identity Manager用のディレクトリの準備」

• 第10.2項「アイデンティティ・ストアとしての複数ディレクトリの構成: Oracle Virtual Directoryでの分割プロファイル」

• 第10.3項「アイデンティティ・ストアとしての複数ディレクトリの構成: 複数ディレクトリに別個のユーザーおよびグループを格納」

10.1 Oracle Access ManagerおよびOracle Identity Manager用のディレクトリの準備

この項では、Active DirectoryとOracle Directory Server Enterprise Edition(あるいはSun Java System Directory ServerまたはSunONE iPlanet)をアイデンティティ・ストアとしてサポートするよう、アイデンティティ管理コンポーネントをデプロイする方法を説明します。

次の項目が含まれます。

• 第10.1.1項「Oracle Access ManagerおよびOracle Identity Managerで使用するためのActive Directoryの構成」

• 第10.1.2項「Oracle Directory Server Enterprise EditionまたはSun Java System Directory Serverの構成」

10.1.1 Oracle Access ManagerおよびOracle Identity Managerで使用するためのActive Directoryの構成

この項では、Active Directoryを構成する方法を説明します。Active Directoryのスキーマを次のように拡張します。

1. 次のファイルを探します。

   IDM_ORACLE_HOME/oam/server/oim-intg/ldif/ad/schema/ADUserSchema.ldif

   IDM_ORACLE_HOME/oam/server/oim-intg/ldif/ad/schema/AD_oam_pwd_schema_add.ldif

2. これらの両ファイルで、domain-dnを適切なdomain-dn値に置き換えます。

3. コマンドラインでldapaddを使用して、次のように2つのLDIFファイルをロードします。

   ldapadd -h activedirectoryhostname -p activedirectoryportnumber -D AD_administrator -q -c -f file
   

   ここで、AD_administratorは、ディレクトリに対するスキーマ拡張権限を持つユーザーです。

   次に例を示します。

   ldapadd -h "activedirectoryhost.mycompany.com" -p 389 -D adminuser –q -c -f ADUserSchema.ldif
   ldapadd -h "activedirectoryhost.mycompany.com" -p 389 -D adminuser -q -c -f AD_oam_pwd_schema_add.ldi
   

   
   

   注意: -Dの後に、DNまたはuser@domain.comのどちらかを指定できます。

   
   

4. 次のディレクトリに移動します。

   MW_HOME/oracle_common/modules/oracle.ovd_11.1.1/oimtemplates

   Active Directoryスキーマを拡張するには、次のコマンドを実行します。

   sh extendadschema.sh -h AD_host -p AD_port -D 'administrator@mydomain.com' -AD "dc=mydomain,dc=com" -OAM true
   

   コマンドは、Windowsではextendadschema.batです。

10.1.2 Oracle Directory Server Enterprise EditionまたはSun Java System Directory Serverの構成

Oracle Directory Server Enterprise Edition、Sun Java System Directory Server、またはSunONE iPlanetの構成は、次の手順で行います。

1. SunOneディレクトリのスキーマを拡張します。

   • oracle_common/modules/oracle.ovd_11.1.1/oimtemplatesに移動します。

   • 次のコマンドを実行してldifファイル(sunOneSchema.ldif)をロードします。

     ldapmodify -h SunOne_Host -p SunOne_Port -D Admin_User -q  -f sunOneSchema.ldif
     

2. コンテナ、ユーザーおよびグループを作成する対象のディレクトリに対する読取り/書込み権限を持つユーザーを作成します。

3. OIM管理ユーザーに正しいACIを割り当てます。

4. http://docs.sun.com/app/docs/doc/820-4809/6ng8g55mn?l=en&a=view#indexterm-278の説明に従って、変更ログ再試行プラグインを使用して変更ログを有効にします。

10.2 アイデンティティ・ストアとしての複数ディレクトリの構成: Oracle Virtual Directoryでの分割プロファイル

この項では、アイデンティティ・ストアとして複数のディレクトリを構成する方法を説明します。エンタープライズ・ディレクトリ・スキーマを拡張しない場合は、これらの属性を格納するシャドウ・ディレクトリとしてOracle Internet Directoryが使用されます。Oracle Virtual Directoryは、これらを一緒にリンクして、単一の統合DITビューをクライアントに提示します。これは分割ディレクトリ構成と呼ばれ、この説明は第1.5.1項「ディレクトリ層の概要」に記載されています。

この構成では、Oracle固有の属性とOracle固有のエンティティがすべて、ポリシー・ストア(OID)ディレクトリ内で作成されます。

この項で説明する項目は、次のとおりです。

• 第10.2.1項「前提条件」

• 第10.2.2項「リポジトリの説明」

• 第10.2.3項「Oracle Internet Directoryのシャドウ・ディレクトリとしての設定」

• 第10.2.4項「ディレクトリ構造の概要-シャドウ結合」

• 第10.2.5項「アダプタおよびプラグインの構成」

10.2.1 前提条件

このデプロイメント・トポロジには、次の前提と規則が適用されます。

• Oracle Internet Directoryは、Fusionアイデンティティ・ストアを格納します。その他のストアはすべて、エンタープライズ・アイデンティティ・ストアと呼ばれます。

• エンタープライズは複数のLDAPディレクトリを含んでいます。それぞれのディレクトリに、別個のユーザーおよびロールのセットが格納されています。

• 拡張属性はすべて、シャドウ・ディレクトリと呼ばれる別個のディレクトリに格納する必要があります。Active Directoryは拡張属性をサポートしないので、このシャドウ・ディレクトリはOracle Internet Directoryであることが必要です。

• ユーザー・ログインIDは、ディレクトリ全体で一意です。これらのディレクトリ間で、ユーザー・ログインIDの重複はありません。

• Oracle Identity Managerは、細分化された認可を行いません。Oracle Identity Managerのマッピング・ルールで、ディレクトリの1つの特定サブツリーを使用することが許可されている場合は、LDAPディレクトリのそのサブツリー内でCRUD(作成、読取り、更新、削除)操作をすべて実行できます。Oracle Identity Managerに対してサブツリー内のユーザー・データの読取りを可能にし、サブツリー内のユーザーの作成または削除を不可にする方法はありません。

• Active Directoryディレクトリの1つに含まれるメンバーがOracle Internet Directoryグループに所属できるように、Oracle Internet Directoryでは参照整合性をオフにする必要があります。ユーザーのグループ・メンバーシップは、参照整合性のあるディレクトリ間では維持されません。

10.2.2 リポジトリの説明

この項では、アイデンティティ・ストアのアーティファクトについて説明し、様々なエンタープライズ・デプロイメントの要件に基づいてActive DirectoryとOracle Internet Directoryの間でアーティファクトを分散する方法を示します。

アイデンティティ・ストアに格納されるアーティファクトは、次のとおりです。

• アプリケーションID: これらは、相互に通信するアプリケーションを認証するために必要なアイデンティティです。

• シードされたエンタープライズ・ロール: これらは、デフォルトの機能に必要なエンタープライズ・ロールまたはLDAPグループ・エントリです。

• Oracle Identity Managerによってプロビジョニングされたエンタープライズ・ロール: これらは実行時ロールです。

• エンタープライズ・ユーザー: これらは、エンタープライズの実際のユーザーです。

• エンタープライズ・グループ: これらは、エンタープライズにすでに存在するロールおよびグループです。

分割プロファイル・デプロイメントでは、Active DirectoryとOracle Internet Directoryの間でアイデンティティ・ストアのアーティファクトを次のように分散できます。

• Oracle Internet Directoryは、エンタープライズ・ロールのリポジトリです。具体的には、Oracle Internet Directoryには次のものが格納されます。

  • アプリケーションID

  • シードされたエンタープライズ・ロール

  • Oracle Identity Managerによってプロビジョニングされたエンタープライズ・ロール

• Active Directoryは次のもののリポジトリです。

  • エンタープライズ・ユーザー

  • エンタープライズ・グループ(Oracle Identity ManagerまたはHCMには認識されない)

次の制限が適用されます。

• Active Directoryユーザーは、Oracle Internet Directoryのメンバーです。つまり、ユーザーがActive Directoryのメンバーであれば、そのユーザーはOracle Internet Directoryのメンバーでもあることが必要です。

• Active Directoryのグループはまったく公開されません。Oracleアプリケーションは、Oracleによって作成されたエンタープライズ・ロールのみを管理します。Active Directoryのグループは、Oracle Identity Managerには認識されません。

10.2.3 Oracle Internet Directoryのシャドウ・ディレクトリとしての設定

属性を格納するためのシャドウ・ディレクトリとしてOracle Internet Directoryを使用する場合は、シャドウ属性を格納するためにOracle Internet Directory内で別個のコンテナを使用します。

• シャドウ・エントリのコンテナ(cn=shadowentries)は、ユーザーおよびグループのコンテナdc=mycompany,dc=comの親とは別個のDITに格納されている必要があります(図10-1を参照)。

• Oracle Internet Directory内でdc=mycompany,dc=comに対して構成されているものと同じACLを、cn=shadowentriesに対しても構成する必要があります。この構成を実行するには、ldapmodifyコマンドを使用します。構文は、次のとおりです。

  ldapmodify -D cn=orcladmin -q -p portNum -h hostname -f ldifFile 
  

  次に、ldapmodifyで使用するためのサンプルLDIFファイルを示します。

  dn: cn=shadowentries
  changetype: modify
  add: orclaci
  orclaci: access to entry by group="cn=RealmAdministrators,cn=groups,cn=OracleContext,dc=mycompany,dc=com" (browse,add,delete)
  orclaci: access to attr=(*) by group="cn=RealmAdministrators,cn=groups,cn=OracleContext,dc=mycompany,dc=com" (read, write, search, compare)
  orclaci: access to entry by group="cn=OIMAdministrators,cn=groups,dc=mycompany,dc=com" (browse,add,delete)
  orclaci: access to attr = (*) by group="cn=OIMAdministrators,cn=groups,dc=mycompany,dc=com" (search,read,compare,write)
  -
  changetype: modify
  add: orclentrylevelaci
  orclentrylevelaci: access to entry by * (browse,noadd,nodelete)
  orclentrylevelaci: access to attr=(*) by * (read,search,nowrite,nocompare)
  

• Oracle Internet Directoryをシャドウ・ディレクトリとして使用するディレクトリが複数ある場合は、ディレクトリごとに異なるシャドウ・コンテナを作成する必要があります。コンテナ名は、これがシャドウ・エントリとなる特定のディレクトリが一意に識別されるように選択できます。

10.2.4 ディレクトリ構造の概要-シャドウ結合

図10-1は、プライマリ・ストア(Active Directoryとアイデンティティ・ストア(Oracle Internet Directory))のディレクトリ構造を示しています。

図10-1 ディレクトリ構造

図10-2は、ユーザー・アプリケーションまたはクライアント・アプリケーションにDITがどのように現れるかを示しています。

図10-2 DITのクライアント・ビュー

10.2.5 アダプタおよびプラグインの構成

図10-2に示したデータのクライアント側でのビューを作成するには、この項の手順に従って、Oracle Virtual Directory内で複数のアダプタを構成する必要があります。

この項で説明する項目は、次のとおりです。

• 第10.2.5.1項「Active Directoryサーバー用のユーザー・アダプタの作成」

• 第10.2.5.2項「Shadowjoinerユーザー・アダプタの作成」

• 第10.2.5.3項「JoinViewアダプタの作成」

• 第10.2.5.4項「Oracle Internet Directory用のユーザー/ロール・アダプタの作成」

• 第10.2.5.4項「Oracle Internet Directory用のユーザー/ロール・アダプタの作成」

• 第10.2.5.5項「Active Directoryサーバー用の変更ログ・アダプタの作成」

• 第10.2.5.6項「Oracle Internet Directory用の変更ログ・アダプタの作成」

• 第10.2.5.7項「Oracle Virtual Directory変更ログの検証」

• 第10.2.5.8項「グローバル統合変更ログ・プラグインの構成」

Oracle Virtual Directory内のアダプタとプラグインを構成するには、Oracle Directory Services Managerを使用します。図10-3にこれらの概要を示します。

図10-3 アダプタおよびプラグインの構成

以降の項では、アダプタとプラグインを構成する方法を説明します。

10.2.5.1 Active Directoryサーバー用のユーザー・アダプタの作成

Active Directory用に次のアダプタおよびプラグインを作成します。

次の手順に従い、Oracle Directory Services Managerを使用してOracle Virtual Directoryにユーザー・アダプタを作成します。

1. Webブラウザで、Oracle Directory Services Manager(ODSM)にアクセスします。URLの形式は、http://admin.mycompany.com/odsmです。

2. 適切な接続エントリを使用して、各Oracle Virtual Directoryインスタンスに接続します。Active Directoryへの書込み権限を持つユーザーとしてログインする必要があります。

3. 「ホーム」ページで、「アダプタ」タブをクリックします。

4. 「アダプタの作成」をアダプタ・ウィンドウの上部でクリックして、「新規アダプタ・ウィザード」を開始します。

5. 「新規アダプタ・ウィザード」を使用して、次のパラメータで新規アダプタを作成します。

   画面	フィールド	値/手順
   タイプ	アダプタ・タイプ	LDAP
   	アダプタ名	user_AD1
   	アダプタ・テンプレート	FAPrimary_User_ActiveDirectory
   接続	自動検出にDNSを使用	いいえ
   	ホスト	Active Directoryホスト/仮想名
   	ポート	Active Directory SSLポート
   	サーバー・プロキシ・バインドDN	orcladminユーザーのバインドDN
   	プロキシ・パスワード	orcladminユーザーのパスワード
   	ユーザーSSL/TLS	選択
   	SSL認証モード	サーバー認証のみ
   接続テスト		テストが成功することを確認します。
   ネームスペース	リモート・ベース	cn=users,dc=idm,dc=ad,dc=com
   	マップされたネームスペース	dc=idm,dc=ad

   
   

   概要が正しいことを確認してから、「終了」をクリックします。

6. ユーザー・アダプタ・ルーティングが正しく構成されていることを確認します。

   1. 「可視性」は内部に設定する必要があります。

   2. 「バインド・サポート」は有効に設定する必要があります。

7. ユーザー・アダプタのユーザー管理プラグインを次のように編集します。

   1. 「ユーザー・アダプタ」を選択します。

   2. 「プラグイン」タブをクリックします。

   3. 「ユーザー管理」プラグインをクリックしてから、「編集」をプラグイン表でクリックします。プラグイン編集ウィンドウが表示されます。

   4. 「パラメータ」テーブルで、パラメータ値を次のように更新します。

      パラメータ	値	デフォルト
      directoryType	activedirectory	はい
      exclusionMapping	orclappiduser,uid=samaccountname
      mapAttribute	orclguid=objectGuid
      mapAttribute	uniquemember=member
      addAttribute	user,samaccountname=%uid%,%orclshortuid%
      mapAttribute	mail=userPrincipalName
      mapAttribute	ntgrouptype=grouptype
      mapObjectclass	groupofUniqueNames=group
      mapObjectclass	orclidxperson=user
      pwdMaxFailure	10	はい
      oamEnabled	False	はい
      mapObjectClass	inetorgperson=user	はい
      mapPassword	True	はい
      pwdMaxFailure	10	はい
      filterObjectclass	oblixOrgPerson,oblixPersonPwdPolicy,OIMPersonPwdPolicy
      removeAttribute	orclAccountLocked,orclAccountEnabled,orclPwdChangeRequired

      
      
      
      

      注意: 言語サポートを使用するには、ユーザー管理プラグインを編集して、新しい構成パラメータoimLanguagesを追加する必要があります。 たとえば、Oracle Identity Managerのユーザーを作成する際に、表示名の管理対象ローカライゼーションとしてフランス語を選択した場合は、ユーザー管理アダプタ・プラグインのoimLanguagesの値をen,frにする必要があります。他にサポート対象の言語がある場合は、日本語を例にとると、パラメータの値をen,fr,jaにする必要があります。 ユーザー管理プラグインには、次の構成パラメータがあります。 oimLanguages: 属性言語サブタイプに使用される言語コードのカンマ区切りリスト。 このパラメータは、directoryTypeパラメータがactivedirectoryに設定されている場合のみ機能します。

      
      

   5. 「OK」をクリックします。

   6. 「適用」をクリックします。

10.2.5.2 Shadowjoinerユーザー・アダプタの作成

次の手順に従い、Oracle Directory Services Managerを使用してOracle Virtual Directory内でShadowJoinerアダプタを作成します。

1. Webブラウザで、Oracle Directory Services Manager(ODSM)にアクセスします。

2. Oracle Virtual Directoryに接続します。

3. 「ホーム」ページで、「アダプタ」タブをクリックします。

4. 「アダプタの作成」をアダプタ・ウィンドウの上部でクリックして、「新規アダプタ・ウィザード」を開始します。

5. 「新規アダプタ・ウィザード」を使用して、次のパラメータで新規アダプタを作成します。

   画面	フィールド	値/手順
   タイプ	アダプタ・タイプ	LDAP
   	アダプタ名	Shadow4AD1
   	アダプタ・テンプレート	FAjoiner_User_OID
   接続	自動検出にDNSを使用	いいえ
   	ホスト	Oracle Internet Directoryホスト/仮想名
   	ポート	Oracle Internet Directoryポート
   	サーバー・プロキシ・バインドDN	orcladminユーザーのバインドDN
   	プロキシ・パスワード	orcladminのパスワード
   	ユーザーSSL/TLS
   	SSL認証モード
   接続テスト		テストが成功することを確認します。
   ネームスペース	リモート・ベース	cn=shadowentries
   	マップされたネームスペース	dc=shadows

   
   

   概要が正しいことを確認してから、「終了」をクリックします。

6. ユーザー・アダプタ・ルーティングが正しく構成されていることを確認します。

   1. 「可視性」は内部に設定する必要があります。

   2. 「バインド・サポート」は有効に設定する必要があります。

7. ユーザー・アダプタを次のように編集します。

   1. ユーザー・アダプタを選択します。

   2. 「プラグイン」タブをクリックします。

   3. 「ユーザー管理」プラグインをクリックしてから、「編集」をプラグイン表でクリックします。プラグイン編集ウィンドウが表示されます。

   4. 「パラメータ」表で、パラメータ値を次のように更新します。

      パラメータ	値	デフォルト
      directoryType	oid	はい
      mapObjectclass	container=orclContainer
      pwdMaxFailure	10	はい
      oamEnabled	True
      oimDateFormat	yyyyMMddHHmmss'z'

      
      
      
      

      注意: 言語サポートを使用するには、ユーザー管理プラグインを編集して、新しい構成パラメータoimLanguagesを追加する必要があります。 たとえば、Oracle Identity Managerのユーザーを作成する際に、表示名の管理対象ローカライゼーションとしてフランス語を選択した場合は、ユーザー管理アダプタ・プラグインのoimLanguagesの値をen,frにする必要があります。他にサポート対象の言語がある場合は、日本語を例にとると、パラメータの値をen,fr,jaにする必要があります。 ユーザー管理プラグインには、次の構成パラメータがあります。 oimLanguages: 属性言語サブタイプに使用される言語コードのカンマ区切りリスト。

      
      

   5. 「OK」をクリックします。

   6. 「適用」をクリックします。

10.2.5.3 JoinViewアダプタの作成

次の手順に従い、Oracle Directory Services Managerを使用してOracle Virtual Directoryにユーザー・アダプタを作成します。

1. Webブラウザで、Oracle Directory Services Manager(ODSM)ページにアクセスします。

2. Oracle Virtual Directoryに接続します。

3. 「ホーム」ページで、「アダプタ」タブをクリックします。

4. 「アダプタの作成」をアダプタ・ウィンドウの上部でクリックして、「新規アダプタ・ウィザード」を開始します。

5. 「新規アダプタ・ウィザード」を使用して、次のパラメータで新規アダプタを作成します。

   画面	フィールド	値/手順
   タイプ	アダプタ・タイプ	結合
   	アダプタ名	user_J1
   	アダプタ・テンプレート	デフォルト
   新規結合アダプタ・ウィザード	アダプタ接尾辞/ネームスペース	cn=users,dc=idm,dc=mycompany,dc=com
   	プライマリ・アダプタ	user_AD1
   	バインド・アダプタ	user_AD1

   
   

   概要が正しいことを確認してから、「終了」をクリックします。

6. アダプタを次のように編集します。

   1. アダプタ・ツリーでアダプタ名をクリックします。

   2. 「一般」タブをクリックします。

   3. 結合関係の下にある「作成」をクリックします。

   4. 「結合済アダプタ」を選択し、値ShadowAD1を入力します。

   5. 結合関係タイプShadowJoinerを選択します。

   6. 「条件」フィールドに、cnと入力します。

   7. 「OK」をクリックします。

   8. 「適用」をクリックします。

10.2.5.4 Oracle Internet Directory用のユーザー/ロール・アダプタの作成

次の手順に従い、Oracle Directory Services Managerを使用してOracle Virtual Directoryにユーザー・アダプタを作成します。

1. Webブラウザで、Oracle Directory Services Manager(ODSM)にアクセスします。

2. Oracle Virtual Directoryに接続します。

3. 「ホーム」ページで、「アダプタ」タブをクリックします。

4. 「アダプタの作成」をアダプタ・ウィンドウの上部でクリックして、「新規アダプタ・ウィザード」を開始します。

5. 「新規アダプタ・ウィザード」を使用して、次のパラメータで新規アダプタを作成します。

   画面	フィールド	値/手順
   タイプ	アダプタ・タイプ	LDAP
   	アダプタ名	User Adapter
   	アダプタ・テンプレート	User_OID
   接続	自動検出にDNSを使用	いいえ
   	ホスト	oidstore.mycompany.com
   	ポート	OIDポート番号
   	サーバー・プロキシ・バインドDN	oimLDAPユーザーのバインドDN
   	プロキシ・パスワード	oimLDAPユーザーのパスワード
   接続テスト		テストが成功することを確認します。
   ネームスペース	リモート・ベース	dc=mycompany,dc=com
   	マップされたネームスペース	dc=mycompany,dc=com

   
   

   概要が正しいことを確認してから、「終了」をクリックします。

6. ユーザー・アダプタを次のように編集します。

   1. ユーザー・アダプタを選択します。

   2. 「プラグイン」タブをクリックします。

   3. 「プラグイン」テーブルの「ユーザー管理」プラグインをクリックし、「編集」をクリックします。プラグイン編集ウィンドウが表示されます。

   4. 「パラメータ」表で、パラメータ値を次のように更新します。

      パラメータ	値	デフォルト
      directoryType	oid	はい
      pwdMaxFailure	10	はい
      oamEnabled	true
      mapObjectclass	container=orclContainer	はい
      oimDateFormat	yyyyMMddHHmmss'z'

      
      

   5. 「OK」をクリックします。

   6. 「適用」をクリックします。

10.2.5.5 Active Directoryサーバー用の変更ログ・アダプタの作成

変更ログ・アダプタは、Oracle Identity Managerを実装している場合のみ必要です。

次の手順に従って、Oracle Directory Services Managerを使用し、Oracle Virtual Directory内で変更ログ・アダプタを作成します。

1. Webブラウザで、Oracle Directory Services Manager(ODSM)にアクセスします。

2. Oracle Virtual Directoryに接続します。

3. 「ホーム」ページで、「アダプタ」タブをクリックします。

4. 「アダプタの作成」をアダプタ・ウィンドウの上部でクリックして、「新規アダプタ・ウィザード」を開始します。

5. 「新規アダプタ・ウィザード」を使用して、次のパラメータで新規アダプタを作成します。

   画面	フィールド	値/手順
   タイプ	アダプタ・タイプ	LDAP
   	アダプタ名	changelog_AD1
   	アダプタ・テンプレート	Changelog_ActiveDirectory
   接続	自動検出にDNSを使用	いいえ
   	ホスト	Active Directoryホスト/仮想名
   	ポート	389
   	サーバー・プロキシ・バインドDN	oimLDAPユーザーのバインドDN
   	プロキシ・パスワード	oimLDAPユーザーのパスワード
   接続テスト		テストが成功することを確認します。
   ネームスペース	リモート・ベース	(割り当てません。)
   	マップされたネームスペース	cn=changelog
   概要		概要に誤りがないことを確認し、「終了」をクリックします。

   
   

6. 次の手順に従って変更ログ・アダプタを編集します。

   1. 「Changelog Adapter」を選択します。

   2. 「プラグイン」タブをクリックします。

   3. 「デプロイ済プラグイン」表で、「変更ログ」プラグインをクリックしてから、「編集」をプラグイン表でクリックします。プラグイン編集ウィンドウが表示されます。

   4. 「パラメータ」表で、パラメータ値を更新します。

      変更ログ・アダプタを編集してプロパティを追加または変更し、それらが次の表に示す値に一致するようにします。sizeLimitおよびtargetDNFilterのプロパティをアダプタに追加する必要があります。

      パラメータ	値	コメント
      directoryType	activedirectory	デフォルト
      mapAttribute	targetGUID=objectGUID	デフォルト
      requiredAttribute	samaccountname	デフォルト
      sizeLimit	1000	作成
      targetDNFilter	cn=users,dc=idm,dc=ad,dc=com Active Directory内のユーザー・コンテナ	作成
      mapUserState	true	更新
      oamEnabled	true
      virtualDITAdapterName	user_J1;user_AD1	作成

      
      
      
      

      注意: virtualDITAdapterNameは、対応するユーザー・プロファイル・アダプタ名を示します。たとえば、単一ディレクトリ・デプロイメントの場合は、このパラメータ値をUser Adapter (ユーザー・アダプタ名)に設定できます分割ユーザー・プロファイルのシナリオでは、このパラメータをJ1;A2に設定できます。ここで、J1はビュー・アダプタ名、A2はJ1内の対応するユーザー・アダプタです。

      
      

   5. 「OK」をクリックします。

   6. 「適用」をクリックします。

10.2.5.6 Oracle Internet Directory用の変更ログ・アダプタの作成

変更ログ・アダプタを使用するには、まず接続されたディレクトリ上で変更ログを有効にする必要があります。ディレクトリで変更ログが有効かどうかをテストするには、次のように入力します。

ldapsearch -h directory_host -p ldap_port -D bind_dn -q -b '' -s base 'objectclass=*' lastchangenumber

例:

ldapsearch -h oidhost1 -p 389 -D "cn=orcladmin" -q -b '' -s base 'objectclass=*' lastchangenumber

lastchangenumberに値が指定されている場合、これは有効です。有効でない場合は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のコマンドラインを使用した変更ログ生成の有効化および無効化に関する項の説明に従って、有効にしてください。

次の手順に従って、Oracle Directory Services Managerを使用し、Oracle Virtual Directory内で変更ログ・アダプタを作成します。

1. Webブラウザで、Oracle Directory Services Manager(ODSM)にアクセスします。

2. Oracle Virtual Directoryインスタンスに接続します。

3. 「ホーム」ページで、「アダプタ」タブをクリックします。

4. 「アダプタの作成」をアダプタ・ウィンドウの上部でクリックして、「新規アダプタ・ウィザード」を開始します。

5. 「新規アダプタ・ウィザード」を使用して、次のパラメータで新規アダプタを作成します。

   画面	フィールド	値/手順
   タイプ	アダプタ・タイプ	LDAP
   	アダプタ名	Changelog Adapter
   	アダプタ・テンプレート	Changelog_OID
   接続	自動検出にDNSを使用	いいえ
   	ホスト	oididstore.mycompany.com
   	ポート	OIDポート
   	サーバー・プロキシ・バインドDN	oimLDAPユーザーのバインドDN
   	プロキシ・パスワード	oimLDAPユーザーのパスワード
   接続テスト		テストが成功することを確認します。
   ネームスペース	リモート・ベース	(割り当てません。)
   	マップされたネームスペース	cn=changelog
   概要		概要に誤りがないことを確認し、「終了」をクリックします。

   
   

6. 変更アダプタを編集する手順は次のとおりです。

   1. 「Changelog Adapter」を選択します。

   2. 「プラグイン」タブをクリックします。

   3. 「デプロイ済プラグイン」表で、「変更ログ」プラグインをクリックしてから、プラグイン表で「編集」をクリックします。プラグイン編集ウィンドウが表示されます。

   4. 「パラメータ」表で、パラメータ値を更新します。

      変更ログ・アダプタを編集してプロパティを追加または変更し、それらが次の表に示す値に一致するようにします。modifierDNFilter、sizeLimit、およびtargetDNFilterのプロパティをアダプタに追加する必要があります。

      パラメータ	値	コメント
      directoryType	oid	デフォルト
      mapAttribute	targetGUID=orclguid	デフォルト
      requiredAttribute	orclGUID	デフォルト
      modifierDNFilter	cn=orcladmin	作成
      sizeLimit	1000	作成
      targetDNFilter	dc=mycompany,dc=com	作成
      targetDNFilter	cn=shadowentries	作成
      mapUserState	true	更新
      oamEnabled	true	更新
      virtualDITAdapterName	user_J1;shadow4AD1	作成
      virtualDITAdapterName	User Adapter(ユーザー・アダプタの名前)	作成

      
      

   5. 「OK」をクリックします。

   6. 「適用」をクリックします。

10.2.5.7 Oracle Virtual Directory変更ログの検証

変更ログ・アダプタが機能していることを検証するには、次のコマンドを実行します。

$IDM_ORACLE_HOME/bin/ldapsearch -p 6501 -D cn=orcladmin -q -b 'cn=changelog' -s base 'objectclass=*' lastchangenumber

このコマンドは、次のような変更ログの結果を戻します。

Please enter bind password:
cn=Changelog
lastChangeNumber=changelog_OID:190048;changelog_AD1:363878

ldapsearchが変更ログの結果を戻さない場合は、変更ログ・アダプタの構成を再確認してください。

10.2.5.8 グローバル統合変更ログ・プラグインの構成

すべての変更ログ・アダプタからの変更ログ・エントリを処理するために、グローバル・レベル統合変更ログ・プラグインをデプロイします。

1. Webブラウザで、Oracle Directory Services Manager(ODSM)にアクセスします。

2. Oracle Virtual Directoryインスタンスに接続します。

3. ホーム・ページで、「拡張」タブをクリックします。拡張ナビゲーション・ツリーが表示されます。

4. 「グローバル・プラグイン」を展開します。

5. 「プラグインの作成」ボタンをクリックします。「プラグイン」ダイアログ・ボックスが表示されます。

6. 「名前」フィールドにプラグインの名前を入力します。

7. リストからプラグイン・クラスConsolidatedChglogPluginを選択します。

8. 「OK」をクリックします。

9. 「適用」をクリックします。

10.3 アイデンティティ・ストアとしての複数ディレクトリの構成: 複数ディレクトリに別個のユーザーおよびグループを格納

この構成では、Oracle固有のエントリがOracle Internet Directoryに格納されます。エンタープライズ固有のエントリは、Active Directoryに格納されます。

注意: 使用されるOracle Internet Directoryは、ポリシー・ストアのOracle Internet Directoryであるとは限りません。理論的には、Active Directory以外のディレクトリを第2のディレクトリとして使用できます。便宜上、ここではポリシー・ストアのOracle Internet Directoryについて説明します。

次のような条件であるとします。

• エンタープライズ・ディレクトリ・アイデンティティ・データが、1つ以上のディレクトリ内にあります。ユーザー/グループのアプリケーション固有の属性は、エンタープライズ・ディレクトリに格納されます。

• アプリケーション固有のエントリは、アプリケーション・ディレクトリに格納されます。(AppIDおよびエンタープライズ・ロールが、アプリケーション・ディレクトリに格納されます)

この項で説明する項目は、次のとおりです。

• 第10.3.1項「ディレクトリ構造の概要(内部-外部)」

• 第10.3.2項「Oracle Virtual Directoryアダプタおよびプラグインの構成」

10.3.1 ディレクトリ構造の概要(内部-外部)

図10-4は、内部ディレクトリおよび外部ディレクトリのディレクトリ構造を示しています。

図10-4 ディレクトリ構造

Oracle Virtual Directoryでは、図10-5に示すように、複数のディレクトリがユーザーまたはクライアント・アプリケーションには単一のDITのように表示されます。

図10-5 DITのクライアント・ビュー

10.3.2 Oracle Virtual Directoryアダプタおよびプラグインの構成

図10-6は、構成の概要を示しています。

図10-6 構成の概要

OVDHOST1とOVDHOST2上で実行されているOracle Virtual Directoryインスタンスそれぞれにユーザー・アダプタを作成します。Oracle Directory Services Managerを使用してOracle Virtual Directoryでユーザー・アダプタを作成する手順は、次のとおりです。

1. まだ実行していない場合は、第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーとWLS_ODSM管理対象サーバーを起動します。

2. Webブラウザで、次のアドレスを指定してOracle Directory Services Manager(ODSM)にアクセスします。

   http://admin.mycompany.com/odsm

3. OVDHOST1とOVDHOST2上で実行されているOracle Virtual Directoryインスタンスそれぞれへの接続がまだ存在していない場合は、作成します。

4. 適切な接続エントリを使用して、各Oracle Virtual Directoryインスタンスに接続します。

5. 「ホーム」ページで、「アダプタ」タブをクリックします。

6. 「アダプタの作成」をアダプタ・ウィンドウの上部でクリックして、「新規アダプタ・ウィザード」を開始します。

7. 「新規アダプタ・ウィザード」で、次の表に示すパラメータを指定して、新しいアダプタを作成します。

10.3.2.1 ユーザー/ロール・アダプタA1

表10-1 ユーザー/ロール・アダプタA1

画面	フィールド	値
タイプ	アダプタ・タイプ	LDAP
	名前	User_Adapter_A1
	アダプタ・テンプレート	User_OID User_ActiveDirectory User_SunOne 接続しているLDAPディレクトリに応じた正しいテンプレートを選択します。
接続	自動検出にDNSを使用	いいえ
	ホスト	ディレクトリ・ホストのホスト名または仮想名を入力します(例: ad.mycompany.com)。
	ポート	LDAPディレクトリへの接続に使用するポートを入力します。
	SSL/TLSの使用	SSLを使用してLDAPディレクトリに接続する場合、またはActive Directoryを使用している場合は、この値を選択します。
	SSL認証モード	SSLを使用してLDAPディレクトリに接続する場合は、認証モードを選択します。Active Directoryを使用している場合は、「サーバー認証のみ/相互認証」を選択します。
	サーバー・プロキシ・バインドDN	Oracle Virtual Directoryが、Active Directoryへの接続とすべての操作の実行に使用できるユーザーのDN。このために使用されるoimLDAPというユーザーが、第11.4項「アイデンティティ・ストアの準備」で作成されます。
	プロキシ・パスワード	サーバー・プロキシ・アカウントのパスワード
接続テスト		テストが正常に行われることを確認します。
ネームスペース	リモート・ベース	dc=us,dc=mycompany,dc=com
	マップされたネームスペース脚注 1	dc=us,dc=mycompany,dc=com

^脚注 1 マップされたネームスペースは、ターゲット・ディレクトリ内にある場所です。この例では、ターゲット・ディレクトリの構造が、Oracle Virtual Directoryに現れる構造と同じであることを前提としています。そうでない場合は、適切に修正してください。

ユーザー/ロール・アダプタA1を編集する手順は次のとおりです。

1. OIMユーザー・アダプタを選択します。

2. 「プラグイン」タブをクリックします。

3. 「ユーザー管理」プラグインをクリックしてから、「編集」をプラグイン表でクリックします。プラグイン編集ウィンドウが表示されます。

4. 「パラメータ」表で、パラメータ値を次のように更新します。

   パラメータ	値	デフォルト
   directoryType	activedirectory	はい
   exclusionMapping	orclappiduser,uid=samaccountname
   mapAttribute	orclguid=objectGuid
   mapAttribute	uniquemember=member
   addAttribute	user,samaccountname=%uid%,%orclshortuid%
   mapAttribute	mail=userPrincipalName
   mapAttribute	ntgrouptype=grouptype
   mapObjectclass	groupofUniqueNames=group
   mapObjectclass	orclidxperson=user
   pwdMaxFailure	10	はい
   oamEnabled	True脚注 1
   mapObjectClass	inetorgperson=user	はい
   mapPassword	True	はい
   oimLanguages	言語コードのカンマ区切りリスト(例: en,fr,ja)

   
   

   ^脚注 1 Oracle Access Managerを使用している場合のみ、oamEnabledをtrueに設定します。

   
   

   注意: 言語サポートを使用するには、ユーザー管理プラグインを編集して、新しい構成パラメータoimLanguagesを追加する必要があります。 たとえば、Oracle Identity Managerのユーザーを作成する際に、表示名の管理対象ローカライゼーションとしてフランス語を選択した場合は、ユーザー管理アダプタ・プラグインのoimLanguagesの値をen,frにする必要があります。他にサポート対象の言語がある場合は、日本語を例にとると、パラメータの値をen,fr,jaにする必要があります。 ユーザー管理プラグインには、次の構成パラメータがあります。 oimLanguages: 属性言語サブタイプに使用される言語コードのカンマ区切りリスト。 このパラメータは、directoryTypeパラメータがactivedirectoryに設定されている場合のみ機能します。

   
   

5. 「OK」をクリックします。

6. 「適用」をクリックします。

10.3.2.2 ユーザー/ロール・アダプタA2

表10-2 ユーザー/ロール・アダプタA2

画面	フィールド	値
タイプ	アダプタ・タイプ	LDAP
	名前	User_Adapter_A2
	アダプタ・テンプレート	User_OID FAPrimary_User_SunOne 接続しているLDAPディレクトリに応じた正しいテンプレートを選択します。
接続	自動検出にDNSを使用	いいえ
	ホスト	ディレクトリ・ホストのホスト名または仮想名を入力します(例: ldap.mycompany.com)。
	ポート	LDAPディレクトリへの接続に使用するポートを入力します。
	SSL/TLSの使用	SSLを使用してLDAPディレクトリに接続する場合、またはActive Directoryを使用している場合は、この値を選択します。
	SSL認証モード	SSLを使用してLDAPディレクトリに接続する場合は、認証モードを選択します。Active Directoryを使用している場合は、「サーバー認証のみ/相互認証」を選択します。
	サーバー・プロキシ・バインドDN	Oracle Virtual Directoryが、Active Directoryへの接続とすべての操作の実行に使用できるユーザーのDN。第11.4項「アイデンティティ・ストアの準備」で作成されるユーザーoimLDAPを、この目的で使用できます。
	プロキシ・パスワード	サーバー・プロキシ・アカウントのパスワード
接続テスト		テストが正常に行われることを確認します。
ネームスペース	リモート・ベース	dc=uk,dc=mycompany,dc=com
	マップされたネームスペース脚注 1	dc=uk,dc=mycompany,dc=com

^脚注 1 マップされたネームスペースは、ターゲット・ディレクトリ内にある場所です。この例では、ターゲット・ディレクトリの構造が、Oracle Virtual Directoryに現れる構造と同じであることを前提としています。そうでない場合は、適切に修正してください。

ユーザー/ロール・アダプタA2を編集する手順は次のとおりです。

1. ユーザー・アダプタを選択します。

2. 「プラグイン」タブをクリックします。

3. 「プラグイン」テーブルの「ユーザー管理」プラグインをクリックし、「編集」をクリックします。プラグイン編集ウィンドウが表示されます。

4. 「パラメータ」表で、パラメータ値を次のように更新します。

   パラメータ	値	デフォルト
   directoryType	oid	はい
   pwdMaxFailure	10	はい
   oamEnabled	true脚注 1
   mapObjectclass	container=orclContainer	はい

   
   

   ^脚注 1 Oracle Access Managerを使用している場合のみ、oamEnabledをtrueに設定します。

5. 「OK」をクリックします。

6. 「適用」をクリックします。

10.3.2.3 変更ログ・アダプタC1

表10-3 変更ログ・アダプタC1

画面	フィールド	値
タイプ	アダプタ・タイプ	LDAP
	名前	Changelog_Adapter_C1
	アダプタ・テンプレート	Changelog_OID Changelog_ActiveDirectory Changelog_SunOne 接続しているLDAPディレクトリに応じた正しいテンプレートを選択します。
接続	自動検出にDNSを使用	いいえ
	ホスト	ディレクトリ・ホストのホスト名または仮想名を入力します(例: ad.mycompany.com)。
	ポート	LDAPディレクトリへの接続に使用するポートを入力します。
	プロキシ・パスワード	サーバー・プロキシ・アカウントのパスワード
接続テスト		テストが正常に行われることを確認します。
ネームスペース	リモート・ベース
	マップされたネームスペース脚注 1	cn=changelog

^脚注 1 マップされたネームスペースは、ターゲット・ディレクトリ内にある場所です。この例では、ターゲット・ディレクトリの構造が、Oracle Virtual Directoryに現れる構造と同じであることを前提としています。そうでない場合は、適切に修正してください。

変更ログ・アダプタC1を編集する手順は次のとおりです。

1. OIM変更ログ・アダプタ「Changelog_Adapter_C1」を選択します。

2. 「プラグイン」タブをクリックします。

3. 「デプロイ済プラグイン」表で、「変更ログ」プラグインをクリックし、プラグイン表で「編集」をクリックします。プラグイン編集ウィンドウが表示されます。

4. 「パラメータ」表で、変更ログ・アダプタを編集してプロパティを追加または変更し、それらが次の表に示す値に一致するようにします。modifierDNFilter、sizeLimit、およびtargetDNFilterプロパティをアダプタに追加する必要があります。

   Active Directoryを選択した場合については、すでに第9.8.2.2項「Active Directoryの変更ログ・アダプタ」で説明しています。

   表10-4 「パラメータ」表の値

   パラメータ	値	コメント
   modifierDNFilter	ディレクトリ・サーバーに対する管理権限を持つバインドDN。形式は次のとおりです。 "!(modifiersname=cn=BindDN)" 次に例を示します。 "!(modifiersname=cn=orcladmin,cn=systemids,dc=mycompany,dc=com)"	作成
   sizeLimit	1000	作成
   targetDNFilter	dc=us,dc=mycompany,dc=com	作成
   mapUserState	true	更新
   oamEnabled	true	更新
   virtualDITAdapterName	ユーザー/ロール・アダプタA1のアダプタ名: User_Adapter_A1	作成

   
   

10.3.2.4 変更ログ・アダプタC2

表10-5 変更ログ・アダプタC2

画面	フィールド	値
タイプ	アダプタ・タイプ	LDAP
	名前	Changelog_Adapter_C2
	アダプタ・テンプレート	Changelog_OID Changelog_SunOne 接続しているLDAPディレクトリに応じた正しいテンプレートを選択します。
接続	自動検出にDNSを使用	いいえ
	ホスト	ディレクトリ・ホストのホスト名または仮想名を入力します(例: ad.mycompany.com)。
	ポート	LDAPディレクトリへの接続に使用するポートを入力します。
	プロキシ・パスワード	サーバー・プロキシ・アカウントのパスワード
接続テスト		テストが正常に行われることを確認します。
ネームスペース	リモート・ベース
	マップされたネームスペース脚注 1	cn=changelog

^脚注 1 マップされたネームスペースは、ターゲット・ディレクトリ内にある場所です。この例では、ターゲット・ディレクトリの構造が、Oracle Virtual Directoryに現れる構造と同じであることを前提としています。そうでない場合は、適切に修正してください。

変更ログ・アダプタC2を編集する手順は次のとおりです。

1. OIM変更ログ・アダプタ「Changelog_Adapter_C2」を選択します。

2. 「プラグイン」タブをクリックします。

3. 「デプロイ済プラグイン」表で、「変更ログ」プラグインをクリックし、プラグイン表で「編集」をクリックします。プラグイン編集ウィンドウが表示されます。

4. 「パラメータ」表で、変更ログ・アダプタを編集してプロパティを追加または変更し、それらが次の表に示す値に一致するようにします。modifierDNFilter、sizeLimit、およびtargetDNFilterプロパティをアダプタに追加する必要があります。

   表10-6 「パラメータ」表の値

   パラメータ	値	コメント
   modifierDNFilter	ディレクトリ・サーバーに対する管理権限を持つバインドDN。形式は次のとおりです。 "!(modifiersname=cn=BindDN)" 次に例を示します。 "!(modifiersname=cn=orcladmin,dc=mycompany,dc=com)"脚注 1	作成
   sizeLimit	1000	作成
   targetDNFilter	dc=uk,dc=mycompany,dc=com	作成
   mapUserState	true	更新
   oamEnabled	true	更新
   virtualDITAdapterName	ユーザー/ロール・アダプタA2のアダプタ名: User_Adapter_A2	作成

   
   

   ^脚注 1 これは、第11.4.8項「Oracle Internet Directory以外のディレクトリでのアクセス制御リストの作成」で変更されます。

10.3.2.5 Oracle Virtual Directoryグローバル・プラグインの作成

グローバルOracle Virtual Directoryプラグインを作成する手順は次のとおりです。

1. Webブラウザで、次のアドレスを指定してOracle Directory Services Manager(ODSM)にアクセスします。

   http://admin.mycompany.com/odsm

2. OVDHOST1とOVDHOST2上で実行されているOracle Virtual Directoryインスタンスそれぞれへの接続がまだ存在していない場合は、作成します。

3. 適切な接続エントリを使用して、各Oracle Virtual Directoryインスタンスに接続します。

4. 「ホーム」ページで、「アダプタ」タブをクリックします。

5. 左ペインの「グローバル・プラグイン」の隣にある+をクリックします。

6. 「プラグインの作成」をクリックします。

7. 次のようにしてグローバル統合変更ログ・プラグインを作成します。

   次の値を入力してグローバル統合プラグインを作成します。

   • 名前: Global Consolidated Changelog

   • クラス: 「選択」をクリックしてから、ConsolidatedChangelogを選択します。

   終了したら、「OK」をクリックします。

これで、Oracle Virtual Directoryをアイデンティティ・ストアとして使用するように環境を構成する準備ができました。