Oracle® Fusion Middleware Oracle WebCenter Interactionアップグレード・ガイド 10gリリース4(10.3.3.0.0)for Windows B66151-01 |
|
![]() 前 |
![]() 次 |
Oracle WebCenter Interaction Identity Service for Microsoft Active Directoryをインストールまたはアップグレードした場合、ここに記載されている作業を実行してインストールまたはアップグレードを完了します。
この章には、次の項があります。
この付録には、Oracle WebCenter Interaction Identity Service for Microsoft Active Directoryに関する次の詳細構成のオプションを提供する「詳細構成」という項もあります。
インストール検証のログ・ファイルに移動して、インストールまたはアップグレードを検証します。例: install_dir\WebCenter_Interaction_Identity_Service_for_Active_Directory_InstallLog.log
注意: 移行パッケージをポータルにインポートすると、診断ユーティリティを実行してデプロイ・コンポーネント間の接続を検証することもできます。デプロイメントを検証するには、Webブラウザでリモート・サーバーの診断ユーティリティのURLを開きます。例: http://RemoteServer/adws/install/index.html |
Oracle WebCenter Interaction Identity Service for Microsoft Active Directoryをアップグレードした場合は、次の手順を実行します。
以前にweb.configのsessionstate timeout値を編集していた場合は、新しくインストールされたweb.configファイルで再度その値を編集する必要があります。詳細は、「Web.configファイルの編集」を参照してください。
ポータルで以前に作成したMicrosoft Active Directoryの認証ソースごとに、認証パスワードを再入力します。Oracle WebCenter Interaction Identity Service for Microsoft Active Directoryの各インストールでは、別のキーを使用してこのパスワードが暗号化されます。
Oracle WebCenter Interaction Identity Service for Microsoft Active Directoryを初めてインストールした場合は、次の各項の手順を実行します。
仮想ディレクトリのタイムアウトとセキュリティの設定を編集する手順は次のとおりです。
インターネット・インフォーメーション・サービスを開きます。
IIS階層を必要に応じて開き、adaw仮想ディレクトリを右クリックして「プロパティ」を選択します。
「プロパティ」ダイアログ・ボックスで「構成」をクリックします。
「アプリケーションの構成」ダイアログ・ボックスで、「オプション」タブをクリックします。「ASP のスクリプトのタイムアウト」はデフォルトの90秒のままで構いません。
「セッションのタイムアウト」は、web.configファイルで指定したタイムアウト値と同じ値に設定する必要があります。詳細は、「Web.configファイルの編集」を参照してください。
大きなユーザー・ディレクトリの同期の場合、タイムアウトを120 - 240分に設定することをお薦めします。
「プロパティ」ダイアログ・ボックスに戻り、「ディレクトリ セキュリティ」タブをクリックして、匿名アクセスや認証制御を編集します。匿名アクセスに使用するアカウントは、ローカル・ユーザーでもドメイン・ユーザーでも構いませんが、ほとんどの場合、ローカル・ユーザーIUSRをお薦めします。
操作が終わったら、「プロパティ」ダイアログ・ボックスを閉じます。
Windowsインストール・ディレクトリの設定は、install_dir\ptadaws\10.3.3\webapp\adaws(C:\Oracle\Middleware\wci\ptadaws\10.3.3\webapp\adawsなど)にあります。
Oracle WebCenter Interaction Identity Service for Microsoft Active Directoryとロギングが正しく機能するためには、次のセキュリティ設定が最低限必要です。
ローカルのNETWORK SERVICEユーザーには完全制御権が必要です。NETWORK SERVICEとSYSTEMグループに、フォルダに対する完全制御権を許可します。
匿名アクセスに使用するアカウント(「IIS仮想ディレクトリの設定」で説明)には、フォルダに対する読取り実行権限、フォルダ・コンテンツのリスト表示権限および読取り権限が必要です。これがドメイン・ユーザーでもローカルIUSRユーザーでも、このアカウントは認証されたユーザー・グループのメンバーになります。フォルダに対するこれらの権限を、認証されたユーザーに許可します。
管理者は、フォルダのコンテンツの表示と変更ができる必要があるため、フォルダに対する完全制御権を管理者グループに許可します。
pteファイルのインポート後、認証ソースを作成する必要があります。
管理オブジェクト・ディレクトリで、Active Directoryフォルダを開きます。
「オブジェクトの作成」メニューで、「認証ソース - リモート」をクリックします。
「Webサービスの選択」ダイアログ・ボックスで、Active Directory(インポート時に作成されたWebサービス)を選択して「OK」をクリックします。
リモートActive Directoryエージェントの構成ページで、Active Directoryサーバーに固有の情報を入力します。詳細は、オンライン・ヘルプを参照してください。
認証ソースを実行するジョブを作成します。
管理フォルダを開きます。
「オブジェクトの作成」メニューで、「ジョブ」をクリックします。
ジョブ・エディタを完了します。詳細は、オンライン・ヘルプを参照してください。
pteファイルをインポートしてリモート認証ソースを作成したら、リモート・プロファイル・ソースを作成する必要があります。
管理オブジェクト・ディレクトリで、Active Directoryフォルダを開きます。
「オブジェクトの作成」メニューで、「プロファイル・ソース - リモート」をクリックします。
「Webサービスの選択」ダイアログ・ボックスで、Active Directory (2)(インポート時に作成されたWebサービス)を選択して「OK」をクリックします。
リモートActive Directoryの構成ページで、Active Directoryサーバーに固有の情報を入力します。詳細は、オンライン・ヘルプを参照してください。
プロファイル・ソースを実行するジョブを作成します。
管理フォルダを開きます。
「オブジェクトの作成」メニューで、「ジョブ」をクリックします。
ジョブ・エディタを完了します。詳細は、オンライン・ヘルプを参照してください。
ユーザー、グループまたはユーザーのプロファイル情報をインポートするには、認証ソースまたはプロファイル・ソースをジョブに関連付け、ジョブを実行する必要があります。ジョブを作成して実行するには、ポータルの管理オブジェクト・ディレクトリのOracle WebCenter Interaction Identity Service for Microsoft Active Directoryフォルダで次の手順を実行します。
「オブジェクトの作成」メニューから、「ジョブ」を選択します。
「操作の追加」をクリックします。
作成した認証ソースまたはプロファイル・ソースを選択します。
ジョブのスケジュール値を選択して、「終了」をクリックします。
ジョブに名前を付け、「OK」をクリックします。
ジョブの作成が終了したら、Oracle WebCenter Interaction Identity Service for Microsoft Active Directoryフォルダが自動化サービスと関連付けられていることを確認します。詳細は、「ユーティリティの選択」→「自動化サービス」のオンライン・ヘルプを参照してください。
この付録では、Oracle WebCenter Interaction Identity Service for Microsoft Active Directoryに関する次の詳細構成のオプションについて説明します。
Web.configファイルにはいくつかの構成可能な設定があり、この設定は、一般的なエラーの回避やロギング・パラメータの定義に役立ちます。Web.configファイルを編集する場合、このファイルは、install_dir\ptadaws\10.3.3\webapp\adaws(C:\Oracle\Middleware\wci\ptadaws\10.3.3\webapp\adaws\Web.configなど)にあります。
Web.configファイル内で、log4net
セクションを探します。ほとんどの場合、このセクションのパラメータのデフォルト設定で十分ですが、いくつかの設定を変更できます。
log4net.dllで作成されたログ・ファイルは、次のパラメータに基づいて自己クリーニングを行います。
MaximumFileSize
: RollingStyleをSizeに設定する場合、新しいファイルにロールオーバーする前のログ・ファイルの最大サイズを指定します。
MaxSizeRollBackups
: 保存されるロールオーバー・ファイルの数を設定します。
その他のlog4net: 設定は次のパラメータに基づきます。
AppendToFile
: ログ・ファイルの書込みをファイルの最後に追加するか、ファイルを上書きするかを決定します。これはtrueに設定してください。
RollingStyle
: SizeまたはDateに設定できます。
StaticLogFileName
: trueに設定した場合、アクティブなファイル名は常にADAWSLog.txtになります。ロールオーバー・ファイルの名前は、.1、.2、.3のような拡張子で変更されます。これはtrueに設定してください。
デフォルトの設定では、ロギングで使用される最大ディスク容量は100MBです。
ログ・レベルは、INFO、ERRORまたはFATALに設定できます。デフォルト設定のINFOの場合、失敗やその理由のロギングとともに、Webサービスをコールする時期や提供されるパラメータの内容について説明する情報が提供されます。ERRORに設定すると、失敗のみがログに記録されます。FATALに設定すると、サイレントに実行されます。
ログ・レベルをINFOに設定した場合でも、1回の同期実行のロギングが10MBを超えることはありません。
注意: log4net.dllは、すべてのログ・ファイルの作成と削除を処理します。log4netで作成されたロールオーバー・ファイルをその実行中に削除すると、log4netが失敗し、さらにOracle WebCenter Interaction Identity Service for Microsoft Active Directoryも機能しなくなります。このため、ロールオーバー・ファイルを手動で削除しないでください。手動で削除した場合、IISを再起動してlog4netが引き続き適切に実行されることを確認します。ロールオーバー・ファイルは、特に悪影響を受けずに表示およびコピーできます。 |
ロギングの実施を設定する場合、ロールオーバー・ファイルを削除したり変更したりしないでください。ログ・ファイルの操作はlog4netで行うようにします。次の3つの項で、使用環境でのベスト・プラクティスについて説明します。
複数の同期ジョブが一日に実行される場合、各ログ・ファイルが大きくなりすぎないようにRollingStyle
をSize
に設定できます。同期ジョブの実行が一日1回以下の場合、RollingStyle
をDate
に設定するように選択できます。ログ・ファイルには1回の実行が含まれ、1回の実行のログが2つのファイルにわかれることはないため(ジョブが真夜中を越えて実行されないかぎり)、ログ・ファイルが大きくなりすぎることはありません。Date
に基づいてロールオーバーするように選択した場合、MaximumFileSize
設定は有効ではありません。
同期ジョブが真夜中を越えて実行される場合、Date
を使用すると、1つの同期ジョブのログが(真夜中のロールオーバーが原因で)2つのファイルにわかれてしまいます。したがって、Size
を使用し、1回の実行の標準的なログ・サイズに基づいてMaximumFileSize
を設定することをお薦めします。
MaxSizeRollBackups
値に設定するロールオーバー・ファイルの数は、ログ・ファイルに充てるディスク容量によって異なります。RollingStyle
をSize
に設定した場合、使用される容量の計算は簡単です。設定したMaximumFileSize
にMaxSizeRollBackups
の値を乗算します。Date
に基づいてロールオーバーする場合、1回の同期実行で作成されるログの平均サイズを調べて、ディスク容量の合計がどのくらいになるかを判断する必要があります。同期が週に一度実行される場合、MaxSizeRollBackups
を10に設定すると、約2ヶ月分のジョブ履歴が表示されます。同期が毎日実行される場合、ロールオーバー・ファイルの数を増やして10日を超える履歴を保持できます。
すべてのログの永続アーカイブを別のコンピュータで保持したり、MaxSizeRollBackups
設定で決めた値よりも多くの履歴を保持できます。ロールオーバーの制限に達して上書きされる前にファイルを手動でコピーできます。ファイルを別の場所にコピーする繰返しタスクも設定できます。このタスクの頻度は、同期実行の頻度やロギングの設定で決まります。
注意: IISを再起動せずにロールオーバー・ファイルの削除や移動を行わないでください。 |
大規模な同期では、ポータルは、Oracle WebCenter Interaction Identity Service for Microsoft Active Directoryで戻されるすべてのユーザーとグループのデータベース・オブジェクトを作成する必要があります。このため、GetGroups
、GetUsers
およびGetMembers
のコールでIISセッションがタイムアウトする場合があります。
このタイムアウト・エラーを回避するには、sessionState
オブジェクトのタイムアウト値を増やします。この大規模なタイムアウトが認証コールと同期コールのどちらからも起こらないようにするには、Oracle WebCenter Interaction Identity Service for Microsoft Active Directoryの2つのディレクトリを作成します。ディレクトリをコピーして、別の名前を付けます。
一方のファイルで、同期のタイムアウトの値をかなり多めの分数に設定します。もう一方のファイルでは、認証のタイムアウトをデフォルトのままにするか、5分に減らします。
2つの仮想ディレクトリを作成します。一方のディレクトリが、大きなタイムアウト値の物理ディレクトリを指し示すようにします。このディレクトリは、同期URLに使用されます。もう一方のディレクトリは、タイムアウト値が小さい方の物理ディレクトリを指し示します。この仮想ディレクトリは、認証URLに使用されます。
IISセッションの詳細は、リリース・ノートを参照してください。
注意: Web.configのタイムアウト設定が、仮想ディレクトリのセッション・タイムアウトと一致している必要があります。このタイムアウト値の設定の詳細は、「IIS仮想ディレクトリの設定」を参照してください。 |
特に大量の問合せ基準や難しい問合せフィルタの同期中にActive Directoryサーバーがタイムアウトする可能性があります。Microsoft DirectoryServices.dllの不具合が原因でこのタイムアウトが発生します。この不具合の影響で例外がスローされることはありませんが、かわりに一部のリストが戻されます。影響の詳細は、リリース・ノートを参照してください。Microsoft(MSホットフィックス番号Q833789)パッチは、Oracle WebCenter Interaction Identity Service for Microsoft Active Directoryリリース・パッケージに含まれています。
パッチをインストールすると、DirectoryServices.dllは、タイムアウト例外をWeb.configファイルに正しく渡します。
configSections
の上部で、セクション名= "system.directoryservices"
の行を非コメント化する必要があります。この行には、設定する必要があるPublicKeyToken
値も含まれています。これは、System.DirectoryServices.dllの公開鍵です。この鍵を検索するには、強力な名前ツールsn.exe -T system.directoryservices.dll
を使用します。
また、web.configファイルでsystem.directoryservicesセクションも非コメント化してwaitForPagedSearchData
をtrueに設定する必要があります。この処理を行った場合、すべての結果がActive Directoryサーバーから戻されるまでOracle WebCenter Interaction Identity Service for Microsoft Active Directoryは待機してブロックすることに注意してください。
Active Directoryでは、特定のグループのメンバーを取得しようとするとエラーが報告される場合があります。このエラーは、サーバーが他のドメインの特定のグループへのアクセス権がない場合、一時的に使用できない場合、または特定のグループに不正なメンバーシップ属性がある場合の結果として表示されます。通常、これらのActive Directoryエラーは、Oracle WebCenter Interaction Identity Service for Microsoft Active Directoryで捕捉されて渡されます。同期ジョブでこのエラーが発生した場合、失敗と終了が報告されます。
GetMembers
時にActive Directoryエラーが生じたグループを単純にスキップしてジョブが引き続き他のグループを処理できるようにする場合は、Web.configファイルでGetMembersActionOnError
キーをFailではなくSkipに設定します。