Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2) B71104-01 |
|
![]() 前 |
![]() 次 |
この章では、Oracle Identity Manager (OIM)と統合するためのOracle Virtual Directoryの構成方法について説明します。
内容は次のとおりです。
idmConfigTool
を使用して、Oracle Internet DirectoryおよびActive DirectoryのOracle Virtual Directory UserアダプタおよびChangelogアダプタを作成できます。Oracle Identity Managerにはアダプタが必要です。Oracle Virtual Directoryを使用してOracle Internet Directoryに接続することを強くお薦めします。ただしこれは必須ではありません。
そのためには、IDMHOST1で次のタスクを実行します。
環境変数MW_HOME
、JAVA_HOME
、IDM_HOME
およびORACLE_HOME
を設定します。
IDM_HOME
をIDM_ORACLE_HOME
に設定します。
ORACLE_HOME
をIAM_ORACLE_HOME
に設定します。
構成しているアダプタのプロパティ・ファイルovd1.props
を作成します。このファイルの内容は、Oracle Internet Directoryアダプタを構成しているのか、Active Directoryアダプタを構成しているのかによって異なります。
Oracle Internet Directoryアダプタ・プロパティ・ファイル:
ovd.host:ovdhost1.mycompany.com ovd.port:8899 ovd.binddn:cn=orcladmin ovd.password:ovdpassword ovd.oamenabled:true ovd.ssl:true ldap1.type:OID ldap1.host:oididstore.myhost.mycompany.com ldap1.port:3060 ldap1.binddn:cn=oimLDAP,cn=systemids,dc=mycompany,dc=com ldap1.password:oidpassword ldap1.ssl:false ldap1.base:dc=mycompany,dc=com ldap1.ovd.base:dc=mycompany,dc=com usecase.type: single
Active Directoryアダプタ・プロパティ・ファイル:
ovd.host:ovdhost1.mycompany.com ovd.port:8899 ovd.binddn:cn=orcladmin ovd.password:ovdpassword ovd.oamenabled:true ovd.ssl:true ldap1.type:AD ldap1.host:adidstore.myhost.mycompany.com ldap1.port:636 ldap1.binddn:cn=adminuser ldap1.password:adpassword ldap1.ssl:true ldap1.base:dc=mycompany,dc=com ldap1.ovd.base:dc=mycompany,dc=com usecase.type: single
次のリストで、プロパティ・ファイルで使用されるパラメータについて説明します。
ovd.host
は、Oracle Virtual Directoryを実行しているサーバーのホスト名です。
ovd.port
は、Oracle Virtual Directoryへのアクセスに使用するHTTPSポートです。
ovd.binddn
は、Oracle Virtual Directoryへの接続に使用するユーザーDNです。
ovd.password
は、Oracle Virtual Directoryへの接続に使用するDNのパスワードです。
ovd.oamenabled
は、Fusion Applicationデプロイメントでは常にtrue
です。
ovd.ssl
は、HTTPSポートを使用している場合、true
に設定されます。
ldap1.type
は、Oracle Internet Directoryバックエンド・ディレクトリの場合はOIDに、Active Directoryバックエンド・ディレクトリの場合はADに設定されます。
ldap1.host
はバックエンド・ディレクトリが存在するホストです。ロード・バランサ名を使用します。
ldap1.port
は、バックエンド・ディレクトリとの通信に使用されるポートです。
ldap1.binddn
は、oimLDAP
ユーザーのバインドDNです。
ldap1.password
は、oimLDAP
ユーザーのパスワードです。
ldap1.ssl
は、バックエンドのSSL接続を使用している場合、true
に設定され、使用していない場合、false
に設定されます。このパラメータは、アダプタをADに対して作成しているときは、常にtrue
に設定します。
ldap1.base
は、ディレクトリ・ツリーのベースの場所です。
ldap1.ovd.base
は、Oracle Virtual Directory内のマップされた場所です。
usecase.type
は、単一ディレクトリ・タイプを使用している場合、Single
に設定されます。
次の場所にあるidmConfigTool
コマンドを使用してアダプタを構成します。
IAM_ORACLE_HOME
/idmtools/bin
注意:
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOVD input_file=configfile [log_file=logfile]
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -configOVD input_file=configfile [log_file=logfile]
次に例を示します。
idmConfigTool.sh -configOVD input_file=ovd1.props
このコマンドでは、入力は必要ありません。次のように出力されます。
The tool has completed its operation. Details have been logged to logfile
プロパティ・ファイルでovd.host
に適切な値を設定して、トポロジ内の各Oracle Virtual Directoryインスタンスに対してこのコマンドを実行します。
このトピックでは、Oracle Virtual DirectoryがOracle Identity Manager統合のコネクタ・ターゲットである場合に使用するように設計されたプラグインについて説明します。
UserManagementプラグインは、Oracle Identity Managerの属性からLDAPディレクトリ・サーバーへのデータ・マッピングを提供します。
UserManagementプラグインには、次の構成パラメータがあります。
追加または変更リクエスト時に削除する必要のあるオブジェクト・クラスのカンマ区切りのリスト。
クライアントに戻される前にエントリから実際に削除される属性のカンマ区切りリスト。
特定のオブジェクト・クラスに対する特定の属性マッピングの除外を定義します。たとえば、値inetorgperson,uid=samaccountname
を持つパラメータを指定すると、オブジェクト・クラスinetorgperson
のエントリ上のuidからsamaccountname
へのマッピングが除外されます。このオプションの複数のインスタンスを使用すると、マッピングに対して複数の除外が可能になります。
属性言語サブタイプで使用される言語コードのカンマ区切りリストこのパラメータは、directoryTypeパラメータがActiveDirectoryに設定されている場合にのみ機能します。
TrueまたはFalse: Oracle Access Management Access Manager (Access Manager)がOracle Identity Managerとともにデプロイされているかどうかを示します。デフォルトでは、Access Managerはデプロイされておらず、したがってこのパラメータのデフォルト設定はfalseです。
注意: UserManagementプラグインとchangelogプラグインのoamEnabledパラメータの値は同一であることが必要です。 |
ソースLDAPディレクトリ・サーバーのタイプを指定します。サポートされている値はOID、ActiveDirectoryおよびSunOneです。デフォルト値はOIDです。
注意: UserManagementプラグインとchangelogプラグインのdirectoryTypeパラメータの値は同一であることが必要です。 |
ssladapterパラメータは、directoryTypeパラメータがActiveDirectoryに設定されている場合にのみ機能し、リクエストにuserPassword
またはunicodePwd
が含まれている場合にUserManagementプラグインによってリクエストがルーティングされる先のアダプタの名前を指定します。unicodePwd
がリクエストに含まれている場合、そのリクエストには、適切な値を持つuseraccountControl属性も含まれている必要があります。
ssladapterパラメータによって指定されるアダプタは、次のようになっている必要があります。
UserManagementプラグインが構成されているアダプタと同じローカル・ベースを持つ
ルーティングの可視性がInternalに設定されている
ssladapterに値が設定されていない場合は、デフォルトで現在のアダプタが使用されます。
OVD-attribute=OIM-attributeの形式の属性変換を定義します。たとえば、orclGUID=objectGuidなどです。mapAttribute構成パラメータを複数回設定して、複数の属性の変換を定義できます。
TrueまたはFalse。directoryType構成パラメータをActiveDirectoryに設定すると、mapPasswordパラメータが、ユーザー・パスワードをunicodePwd属性に変換するかどうかを制御します。デフォルト値はfalseです。
OVD-RDNattribute=OIM-RDNattributeの形式のRDN属性変換を定義します。たとえば、uid=cnなどです。
(このプラグインがデプロイされているアダプタを介して公開されるユーザー・エントリに適用されたパスワード・ポリシーの定義に従い)ソースLDAPディレクトリ・サーバーによってアカウントがロックされるために必要な失敗ログインの最大回数を指定します。
OVD-objectclass=OIM-objectclassの形式のオブジェクト・クラスの値変換を定義します。たとえば、inetorgperson=userなどです。mapObjectclass構成パラメータを複数回設定して、複数のオブジェクト・クラスの変換を定義できます。
注意: UserManagementプラグインとchangelogプラグインのmapObjectclassパラメータの値は同一であることが必要です。 |
このパラメータは、attribute=value pairsの形式でget操作結果を戻す前に追加する属性を指定します。属性名の前にobjectclass,
を追加すると、属性と値を特定のオブジェクト・クラスに追加できます。また、値を%
で囲んで他の属性を参照することもできます。たとえば、値user,samaccountname=%cn%
を指定すると、エントリがobjectclass=userである場合にcnの値がsamaccountnameに代入されます。値samaccountname=jdoe
を指定すると、値jdoeを持つ属性samaccountnameがすべてのエントリに追加されます。
この単一のChangelogプラグインをデプロイする際は、次のことが必要です。
アダプタの「リモート・ベース」を空の値に、つまり空白にします。
アダプタの「マップされたネームスペース」をcn=changelog
に設定します。
バックエンドがOracle Directory Server Enterprise Editionである場合、Oracle Directory Server Enterprise Edition上のロギングの変更を必ず有効化してください。
11.1.1.4.0より前にリリースされたバージョンのOracle Virtual Directoryを使用している場合、次のchangelogプラグインを使用して、changelog情報をソース・ディレクトリからOracle Identity Managerに適した形式に標準化してください。
注意: これらのプラグインはOracle Virtual Directoryリリース1.1.1.4.0では機能しません。 |
Oracle Internet Directoryの場合
Oracle Internet Directoryではoidchangelogプラグインを使用します。
oidchangelogプラグインをデプロイする場合は、アダプタの「リモート・ベース」を空の値に、つまり空白にします。
Oracle Directory Server Enterprise Editionの場合
Oracle Directory Server Enterprise Editionでは、sunonechangelogプラグインを使用します。
sunonechangelogプラグインをデプロイする際は、次のことが必要です。
アダプタの「リモート・ベース」を空の値に、つまり空白にします。
Oracle Directory Server Enterprise Editionで変更ログが有効化されていることを確認します。
アダプタの「マップされたネームスペース」をcn=changelog
に設定します。
Microsoft Active Directoryの場合
Microsoft Active Directoryではadchangelogプラグインを使用します。
adchangelogプラグインをデプロイする際は、次のことが必要です。
アダプタの「リモート・ベース」を空の値に、つまり空白にします。
アダプタの「マップされたネームスペース」をcn=changelog
に設定します。
各changelogプラグインには、次の構成パラメータがあります。
クライアントに戻される前にエントリから実際に削除される属性のカンマ区切りリスト。
属性言語サブタイプで使用される言語のカンマ区切りリスト。
TrueまたはFalse。falseに設定されていて、破損したchangelogエントリがプラグインによって検出された場合、プラグインはDirectoryExceptionをスローし、changelogエントリのそれ以降の処理を停止します。trueに設定されている場合、プラグインは例外をスローせずにエラーを記録し、このchangelogをスキップして、次のchangelogの処理を続行します。デフォルト値はfalseです。
TrueまたはFalse: Access ManagerがOracle Identity Managerとともにデプロイされているかどうかを示します。デフォルトでは、Access Managerはデプロイされておらず、したがってこのパラメータのデフォルト設定はfalseです。
注意: UserManagementプラグインとchangelogプラグインのoamEnabledパラメータの値は同一であることが必要です。 |
ソースLDAPディレクトリ・サーバーのタイプを指定します。サポートされている値はOID、ActiveDirectoryおよびSunOneです。デフォルト値はOIDです。
注意: UserManagementプラグインとchangelogプラグインのdirectoryTypeパラメータの値は同一であることが必要です。 |
OIM-objectclass=Source-Directory-objectclassの形式のオブジェクト・クラスの値変換を定義します。たとえば、inetorgperson=userなどです。mapObjectclass構成パラメータを複数回設定して、複数のオブジェクト・クラスの変換を定義できます。
Oracle Identity Managerのユース・ケースでは、次のパラメータがすぐに使用できるように構成されています。
Active Directoryの場合: inetorgperson=user, orclidxperson=user, and groupOfUniqueNames=group
Oracle Directory Server Enterprise Editionの場合: container=nsContainer and changelog=changelogentry
Oracle Internet Directoryの場合: container=orclContainer
注意: UserManagementプラグインとchangelogプラグインのmapObjectclassパラメータの値は同一であることが必要です。 |
戻されるchangelogエントリの最大数を指定します。
ゼロ(0)または負の値は、サイズ制限がないことを意味します。
受信する検索リクエストでサイズの制約が指定されている場合、小さいほうの値が使用されます。たとえば、プラグインのsizeLimitを100に指定してあり、検索リクエストのカウント制限が200である場合は、リクエストの実際のサイズ制限は100にリセットされます。
Source-Directory-attribute=OIM-attributeの形式の属性変換を定義します。たとえば、orclGUID=objectGuidなどです。mapAttribute構成パラメータを複数回設定して、複数の属性の変換を定義できます。
変更の取得元となるコンテナを指定します。このパラメータは複数回設定して、変更の取得元となるコンテナを複数指定できます。複数回設定した場合、targetDNフィルタは次の例のようになります。このtargetDNフィルタは受信フィルタにandで結合されます。
"(|(targetDN=*cn=users,dc=mycom1)(targetDN=*,cn=groups,dc=mycom2))"
次に値の例を示します。
*,cn=xxx,dc=yyy
*cn=xxx,dc=yyy
cn=xxx,dc=yyy (virtualDITAdapterNameで指定されているアダプタのローカル・ベースの子であることが必要です。)
これらの例はすべて同じ意味を持ちます。
Oracle Virtual Directoryへのchangelog問合せに対して指定されている戻り属性リストに関係なく、ソースLDAPディレクトリ・サーバーから常に取得される属性のカンマ区切りリスト。
正規化されているchangelogエントリに追加される属性のカンマ区切りリスト。たとえば、orclContainerOC=1, changelogSupported=1などです。ここで、=1はchangelogをサポートしているソース・ディレクトリから取得される変更を示します。
TrueまたはFalse。このパラメータは、ディレクトリ固有のアカウント属性からOracle Virtual Directoryの仮想アカウント属性へのマッピングを有効化または無効化します。
modifiersNameに対するLDAPフィルタを定義する単一の値を持つ構成パラメータ。このパラメータは、受信フィルタにandで結合されます。値の例としては、(modifiersName=cn=myadmin,cn=users,dc=mycom)があります。
注意: この構成は、directoryType=ActiveDirectoryの場合は無効です。 |
対応するユーザー・プロファイル・アダプタ名を指定します。
たとえば、単一ディレクトリ・デプロイメントでは、このパラメータの値をA1に設定できます。これはユーザー・アダプタ名です。分割ユーザー・プロファイルのシナリオでは、このパラメータをJ1;A2に設定できます。ここでJ1はJoinViewアダプタ名であり、A2はJ1における対応するユーザー・アダプタです。
このパラメータは複数値を取ることができます。これは、changelogアダプタと同じバックエンド・ディレクトリ・サーバーに対して構成されている複数のベース・エントリ・アダプタがあることを意味します。
このパラメータをA1に設定する場合、このプラグインはアダプタA1のUserManagementPluginのmapAttributeおよびmapObjectclass構成をフェッチするため、ユーザーがそれらの構成を複製する必要はありません。
この項では、Oracle Virtual Directoryでデバッグを有効化する方法について説明します。これは、Oracle Identity ManagerとOracle Virtual Directoryの統合のトラブルシューティングが必要な場合に役立ちます。
デバッグを有効化するには、次の手順を実行します。
コマンド・ウィンドウを開き、次の場所に移動します。
OVD ORACLE_INSTANCE/config/OVD/ovd1
ovd-logging.xml
ファイルのコピーを保存します。
次のようにovd-logging.xml
ファイルを編集します。
25行目にある
<logger name='com.octetstring.vde' level='NOTIFICATION:1
' useParentHandlers='false'>
を次のように変更します。
<logger name='com.octetstring.vde' level='TRACE:32
' useParentHandlers='false'>
28行目にある
<logger name='com.octetstring.accesslog' level='ERROR:1
' useParentHandlers='false'>
を次のように変更します。
<logger name='com.octetstring.accesslog' level='NOTIFICATION:1
' useParentHandlers='false'>
次のように入力することでOracle Virtual Directoryを再起動します。
cd ORACLE_INSTANCE/bin ./opmnctl stopproc ias-component=ovd1 ./opmnctl startproc ias-component=ovd1