| Oracle® Identity Manager SAP User Management Engineコネクタ・ガイド 11.1.1 B72407-11 |
|
 前 |
 次 |
次のトピックでは、これらのステージについて詳しく説明します。
インストール前の作業では、コネクタ操作のためのターゲット・システム・ユーザー・アカウントを作成します。
次の各項では、インストール前の作業について説明します。
コネクタはターゲット・システム・アカウントを使用して、ターゲット・システムに接続し、ターゲット・システムで操作を実行します。
このターゲット・システム・アカウントを作成するには:
これらのインストール前のタスクの詳細は、SAPのドキュメントを参照してください。
SAP User Management Engineコネクタは、Oracle Identity Managerにローカルに、またはコネクタ・サーバーにリモートでデプロイできます。コネクタ・サーバーは、アイデンティティ・コネクタのリモート実行を可能にするMicrosoft Windowsアプリケーションです。
コネクタ・サーバーは、2つの実装で使用できます。
.Netに実装されているアイデンティティ・コネクタによって使用される.Net実装として
Javaベースのアイデンティティ・コネクタにより使用されるJavaコネクタ・サーバー実装
SAP User Management EngineコネクタはJavaに実装されているため、このコネクタはJavaコネクタ・サーバーにデプロイできます。
Javaコネクタ・サーバーをインストールおよび構成するには、次のステップを使用します。
ノート:
Javaコネクタ・サーバーをデプロイする前に、Javaコネクタ・サーバーをインストールするコンピュータにJDKまたはJREがインストールされ、JAVA_HOMEまたはJRE_HOME環境変数がこのインストールを指定していることを確認してください。
ノート:
Oracle Identity Managerにはコネクタ・サーバーをサポートする機能は組み込まれていないため、構成をテストすることはできません。
このコネクタ・コードは、Oracle Identity Managerでローカルに実行することも、コネクタ・サーバーでリモートで実行することもできます。
コネクタ・コード(バンドル)を実行する場所に応じて、次のインストール・オプションが提供されています。
コネクタ・コードをOracle Identity Managerでローカルに実行するには、「Oracle Identity Managerへのコネクタのインストール」の手順を実行します。
コネクタ・コードをコネクタ・サーバーでリモートで実行するには、「Oracle Identity Managerへのコネクタのインストール」および「コネクタ・サーバーへのコネクタ・バンドルのデプロイ」に示されている手順を実行します。
このシナリオでは、コネクタ・インストーラを使用してコネクタをOracle Identity Managerにインストールします。
コネクタ・インストーラを実行するには、次のようにします。
コネクタ・インストール・メディア・ディレクトリの内容を次のディレクトリにコピーします。
ノート:
Oracle Identity Managerクラスタでは、このJARファイルをクラスタの各ノードにコピーします。
OIM_HOME/server/ConnectorDefaultDirectory
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次のステップを実行します:
管理およびユーザー・コンソールにログインします。
「Identity Manager拡張管理へようこそ」ページの「システム管理」領域で、「コネクタの管理」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合は、次のステップを実行します:
Oracle Identity System Administrationにログインします。
左ペインの「システム管理」で、「コネクタの管理」をクリックします。
「コネクタの管理」ページで「インストール」をクリックします。
「コネクタ・リスト」リストから、SAP UME Connector RELEASE_NUMBERを選択します。
ノート:
SAP BusinessObjects ACシステムを使用している場合、「コネクタ・リスト」のリストから、SAPACUME Connector RELEASE_NUMBERを選択します
このリストには、ステップ1でインストール・ファイルをデフォルト・コネクタ・インストール・ディレクトリにコピーしたコネクタの、名前およびリリース番号が表示されます。
インストール・ファイルを異なるディレクトリにコピーした場合は、次のようにします。
「代替ディレクトリ」フィールドに、該当するディレクトリのフルパスおよび名前を入力します。
「リフレッシュ」をクリックして、「コネクタ・リスト」に含まれるコネクタのリストを再移入します。
「コネクタ・リスト」リストから、SAP UME Connector RELEASE_NUMBERを選択します。
ノート:
SAP BusinessObjects ACシステムを使用している場合、「コネクタ・リスト」のリストから、SAPACUME Connector RELEASE_NUMBERを選択します
「ロード」をクリックします。
「続行」をクリックして、インストール処理を開始します。
次のタスクが順番に実行されます。
コネクタ・ライブラリの構成
コネクタのXMLファイルのインポート(デプロイメント・マネージャを使用)
アダプタのコンパイル
正常に完了したタスクには、チェックマークが表示されます。タスクが失敗すると、Xマークおよび失敗の理由を示すメッセージが表示されます。失敗の理由に応じて必要な修正を行い、次のいずれかのステップを実行します。
「再試行」をクリックして、インストールを再試行します。
インストールを取り消して、ステップ1から再度実行します。
コネクタのインストール手順の3つのタスクがすべて正常に終了すると、インストールの成功を示すメッセージが表示されます。また、インストール後に実行するステップのリストが表示されます。これらのステップは次のとおりです。
コネクタ使用の前提条件が満たされていることの確認
ノート:
この段階で、前提条件のリストを表示するには、Oracle Identity Manager PurgeCacheユーティリティを実行し、サーバー・キャッシュにコネクタ・リソース・バンドルの内容をロードします。PurgeCacheユーティリティの実行の詳細は、サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツのクリアを参照してください。
事前定義されたコネクタには前提条件がない場合があります。
コネクタのITリソースの構成
このページに表示されるITリソースの名前を記録します。ITリソースを構成する手順は、このガイドで後述します。
コネクタのインストール時に作成されたスケジュール済タスクの構成
このページに表示されるスケジュール済タスクの名前を記録します。これらのスケジュール済タスクを構成する手順は、このガイドで後述します。
コネクタ・インストーラを実行すると、コネクタ・ファイルおよび外部コード・ファイルがOracle Identity Managerホスト・コンピュータ上のコピー先ディレクトリにコピーされます。表A-1に、これらのファイルを示します。
このコネクタは、Oracle Identity Managerにローカルにデプロイすることも、コネクタ・サーバーにリモートにデプロイすることもできます。コネクタ・サーバーとは、SAP User Managementコネクタなどのアイデンティティ・コネクタのリモート実行を可能にするアプリケーションです。
コネクタ・バンドルをコネクタ・サーバーにリモートでデプロイするには、まず「Oracle Identity Managerへのコネクタのインストール」に説明されているとおりにコネクタをOracle Identity Managerにデプロイする必要があります。
ノート:
コネクタ・サーバーは、Oracle Technology NetworkのWebページからダウンロードできます。
関連情報は、「コネクタ・サーバーのITリソースの構成」を参照してください。
コネクタ・サーバーのインストール、構成および実行の詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのアイデンティティ・コネクタ・サーバーの使用を参照してください。
コネクタをコネクタ・サーバーにインストールするには:
コネクタのインストール後の作業には、Oracle Identity Managerの構成、すべてのコネクタ・イベントに関する情報を追跡するためのロギングの有効化、およびSSLの構成が含まれます。また、パスワードのリセット・オプションの有効化、新しく作成されたアカウントに対するパスワード変更の構成、除外リスト用の参照定義の設定など、いくつかのオプション構成の実行も含まれます。
次の各項では、インストール後の作業について説明します。
リコンシリエーションおよびプロビジョニング操作を実行するリソースに対し、UIフォームおよびアプリケーション・インスタンスを作成する必要があります。さらに、権限とカタログの同期ジョブを実行する必要があります。
Oracle Identity Managerリリース11.1.2以降を使用している場合は、UIフォームやアプリケーション・インスタンスなどの追加のメタデータを作成する必要があります。さらに、権限およびカタログ同期化ジョブを実行する必要があります。これらの手順について、次の各項で説明します。
カスタマイズおよびフォーム管理機能の使用を開始するには、サンドボックスを作成してアクティブにする必要があります。次に、サンドボックスを公開してそのカスタマイズを他のユーザーが使用できるようにします。
サンドボックスの作成およびアクティブ化の手順は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのサンドボックスの管理を参照してください。
Oracle Identity System Administrationのフォーム・デザイナを使用して、アプリケーション・インスタンス・フォームを作成および管理できます。
UIフォームの新規作成の手順は、Oracle Fusion Middleware Oracle Identity Managerの管理のフォームの管理を参照してください。UIフォームを作成するときは、必ずそのフォームを関連付けるConcurコネクタに対応するリソース・オブジェクトを選択します。また、「権限フォームの生成」チェック・ボックスを選択します。
次のように、アプリケーション・インスタンスを作成します。詳細な手順は、『Oracle Fusion Middleware Oracle Identity Managerの管理』のアプリケーション・インスタンスの管理に関する項を参照してください。
サンドボックスを公開する前に、ベスト・プラクティスとして次の手順を実行し、このステージまでに行われたすべてのサンドボックスの変更を検証してください(サンドボックスを公開した後に変更を元に戻すことは難しいため)。
権限の収集とカタログ同期化を行うには:
フォーム・デザイナで行うすべての変更に対して、新しいUIフォームを作成し、アプリケーション・インスタンスでその変更を更新する必要があります。新規フォームにより既存のアプリケーション・インスタンスを更新するには、次のようにします。
Oracle Identity Managerリリース11.1.2.1.0以降では、ユーザーとしてログインした後で、「マイ・アクセス」の「アカウント」タブにナビゲートしてアカウントのパスワードをリセットできます。
「パスワードのリセット」オプションは、アカウントがパスワード・フィールドのUD_FORMNAME_PASSWORD命名規則に従っている場合のみ、有効化されます。それ以外の場合、次のサンプル・スクリーンショットに示すように、このオプションは無効化されます。
Oracle Identity Managerリリース11.1.2.1.0以降で「パスワードのリセット」オプションを有効化するには:
次のスクリーンショットに示すように、パスワード・フィールドはAccountPassword = trueプロパティでタグ付けされています。
新たに作成したアカウントを使用してSAPにログインする場合、初回ログオン時にパスワードを変更するよう求められます。Oracle Identity Managerで作成したアカウントの場合、ITリソースのchangePwdFlagおよびdummyPasswordパラメータを使用してパスワード管理を構成できます。
次のいずれかのアプローチをとることができます。
新たに作成したアカウントを持つユーザーの初回ログオン時にパスワードの変更を求めるように、コネクタを構成します。
それには、ITリソースのchangePwdFlagパラメータをnoに設定します。このように設定すると、新規ユーザー・アカウントのプロセス・フォームに入力されたパスワードを使用して、ターゲット・システムで新規アカウントのパスワードが設定されます。ユーザーがターゲット・システムにログインすると、パスワードを変更するよう求められます。
Oracle Identity Managerでアカウント作成時に設定されたパスワードが、ターゲット・システムで新規パスワードとして設定されるように、コネクタを構成します。ユーザーは初回ログオン時に、パスワードの変更を求められません。
それには、changePwdFlagパラメータをyesに設定し、ITリソースのdummyPasswordパラメータに文字列を入力します。このように設定すると、Oracle Identity Managerでユーザー・アカウントを作成する際、ユーザーはまずダミー・パスワードを使用して作成されます。その後すぐに、ユーザーのパスワードは、プロセス・フォームに入力されたパスワードに変更されます。ユーザーがターゲット・システムにログインする際、パスワードを変更するよう求められません。
ノート:
いくつかのターゲット・システムのセキュリティ・ポリシーでは、ユーザーは1日に1度しかパスワードを変更できません。このような場合、ターゲット・システムではパスワードのリセットのみ可能で、変更はできません。パスワード更新タスクからは、Could not update user NEW_PASSWORD_INVALIDなどのエラー・メッセージがスローされます。
ターゲット・システムでユーザーのパスワード機能が無効になっている場合は、changePwdFlagパラメータをnoに設定します。
必要な入力ロケール(言語および国の設定)に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。
必要な入力ロケールに変更するため、システム管理者の支援が必要となる場合があります。
コネクタのデプロイ時には、インストール・メディアのresourcesディレクトリからOracle Identity Managerデータベースにリソース・バンドルがコピーされます。connectorResourcesディレクトリに新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。
コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュからクリアするには、次のようにします。
Oracle Identity Managerでは、コネクタに関連するすべてのタイプのイベントを記録するために、Oracle Diagnostic Logging (ODL)のロギング・サービスを使用します。
次のトピックでは、ロギングについて詳しく説明します。
Oracle Identity Managerリリース11.1.xでは、ロギングにOracle Java Diagnostic Logging (OJDL)を使用します。OJDLはjava.util.loggerに基づいています。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
SEVERE.intValue()+100
このレベルでは、致命的なエラーに関する情報のロギングが有効化されます。
SEVERE
このレベルでは、Oracle Identity Managerを続行できる可能性があるエラーに関する情報のロギングが有効化されます。
WARNING
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を示すメッセージのロギングが有効化されます。
CONFIG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
FINE、FINER、FINEST
これらのレベルでは、詳細なイベントに関する情報のロギングが有効化され、FINESTではすべてのイベントに関する情報がロギングされます。
表2-1に示すように、これらのメッセージ・タイプはODLメッセージ・タイプとレベルの組合せにマップされています。
表2-1 ログ・レベルおよびODLメッセージ・タイプ: レベルの組合せ
| Javaのレベル | ODLのメッセージ・タイプ: レベル |
|---|---|
SEVERE.intValue()+100 |
INCIDENT_ERROR:1 |
SEVERE |
ERROR:1 |
WARNING |
WARNING:1 |
INFO |
NOTIFICATION:1 |
CONFIG |
NOTIFICATION:16 |
FINE |
TRACE:1 |
FINER |
TRACE:16 |
FINEST |
TRACE:32 |
OJDLの構成ファイルはlogging.xmlで、次のパスにあります。
DOMAIN_HOME/config/fmwconfig/servers/OIM_SERVER/logging.xml
ここで、DOMAIN_HOMEとOIM_SEVERは、Oracle Identity Managerのインストール時に指定されたドメイン名とサーバー名です。
Oracle WebLogic Serverでロギングを有効化するには:
logging.xmlファイルを次のように編集します。
ファイルに次のブロックを追加します。
<log_handler name='sap-handler' level='[LOG_LEVEL]' class='oracle.core.ojdl.logging.ODLHandlerFactory'> <property name='logreader:' value='off'/> <property name='path' value='[FILE_NAME]'/> <property name='format' value='ODL-Text'/> <property name='useThreadName' value='true'/> <property name='locale' value='en'/> <property name='maxFileSize' value='5242880'/> <property name='maxLogSize' value='52428800'/> <property name='encoding' value='UTF-8'/> </log_handler>
<logger name="ORG.IDENTITYCONNECTORS.SAPUME" level="[LOG_LEVEL]" useParentHandlers="false">
<handler name="sap-handler"/>
<handler name="console-handler"/>
</logger>
SAP GRCを使用している場合、次のブロックを追加します。
<logger name="ORG.IDENTITYCONNECTORS.SAPAC" level="[Log_LEVEL]" useParentHandlers="false">
<handler name="sap-handler"/>
<handler name="console-handler"/>
</logger>
アプリケーション・オンボードを使用している場合、次のブロックを追加します。
<logger name='oracle.iam.application' level="[Log_LEVEL]" useParentHandlers='false'>
<handler name='sap-handler'/>
<handler name='console-handler'/>
</logger>
2箇所の[LOG_LEVEL]を、必要なODLのメッセージ・タイプとレベルの組合せで置き換えます。表2-1に、サポートされているメッセージ・タイプとレベルの組合せを示します。
同様に、記録されるメッセージをロギングするログ・ファイルのフルパスと名前で、[FILE_NAME]を置き換えます。
次のブロックは、[LOG_LEVEL]および[FILE_NAME]のサンプル値を示しています。
<log_handler name='sap-handler' level='NOTIFICATION:1' class='oracle.core.ojdl.logging.ODLHandlerFactory'> <property name='logreader:' value='off'/> <property name='path' value='F:\MyMachine\middleware\user_projects\domains\base_domain1\servers\oim_server1\logs\oim_server1-diagnostic-1.log'/> <property name='format' value='ODL-Text'/> <property name='useThreadName' value='true'/> <property name='locale' value='en'/> <property name='maxFileSize' value='5242880'/> <property name='maxLogSize' value='52428800'/> <property name='encoding' value='UTF-8'/> </log_handler>
<logger name="ORG.IDENTITYCONNECTORS.SAPUME" level="NOTIFICATION:1" useParentHandlers="false">
<handler name="sap-handler"/>
<handler name="console-handler"/>
</logger>
SAP GRCを使用している場合、次のブロックを追加します。
<logger name="ORG.IDENTITYCONNECTORS.SAPAC" level="NOTIFICATION:1" useParentHandlers="false">
<handler name="sap-handler"/>
<handler name="console-handler"/>
</logger>
アプリケーション・オンボードを使用している場合、次のブロックを追加します。
<logger name='oracle.iam.application' level="NOTIFICATION:1" useParentHandlers='false'>
<handler name='sap-handler'/>
<handler name='console-handler'/>
</logger>
</logger>
Oracle Identity Managerを使用している場合、これらのサンプル値を使用すると、このコネクタに生成されたログ・レベルがNOTIFICATION:1レベル以上のすべてのメッセージが、指定したファイルに記録されます。
ファイルを保存して閉じます。
サーバー・ログをファイルにリダイレクトするには、次の環境変数を設定します。
Microsoft Windowsの場合:
set WLS_REDIRECT_LOG=FILENAME
UNIXの場合:
export WLS_REDIRECT_LOG=FILENAME
FILENAMEを、出力のリダイレクト先ファイルの場所と名前に置き換えます。
アプリケーション・サーバーを再起動します。
Lookup.SAPUME.UM.RoleDataSource参照定義は、ロール・オブジェクト・クラスのデータソース名を保持するために使用されます。デフォルトでは、この参照定義には、すべてのSAP構成に共通するUME_ROLE_PERSISTENCEロール・データソースのエントリが含まれます。環境に固有のロール・データソースがある場合は、それらのデータソース用にLookup.SAPUME.UM.RoleDataSource参照定義を更新する必要があります。
ノート:
SAP BusinessObjects ACシステムを使用している場合、Lookup.SAPACUME.RoleDatasourceをアップデートする必要があります。
SAP User Management Engineに管理者としてログインし、環境のロール・データソースのリストを表示および定義する必要があります。
ロール・データソースの名前は、「一意ID」フィールドの一部として入手できます。「Unique ID」フィールドの値は、次の形式です。
ROLE.DATA_SOURCE_NAME.AUTO_GENERATED_VALUE
次に、「一意ID」フィールドのシンプル値を示します。
ROLE.PCD_ROLE_PERSISTENCE.YJ1ku1NfcgCd1ZoMDG78ocBzkA=
この値で、PCD_ROLE_PERSISTENCEがロール・データソースの名前です。
環境で使用可能なすべてのロール・データソースの名前を特定したら、次の手順で、Lookup.SAPUME.UM.RoleDataSource参照定義にエントリを作成して、各データソース名を追加します:
Oracle Identity Managerリリース11.1.1.xの場合:
Lookup.SAPUME.UM.GroupDataSource参照定義は、グループ・オブジェクト・クラスのデータソース名を保持するために使用されます。デフォルトでは、この参照定義には、すべてのSAP構成に共通するPRIVATE_DATASOURCEグループ・データソースのエントリが含まれます。環境に固有のグループ・データソースがある場合は、それらのデータソース用にLookup.SAPUME.UM.GroupDataSource参照定義を更新する必要があります。
ノート:
SAP BusinessObjects ACシステムを使用している場合、Lookup.SAPACUME.GroupDatasource参照定義をアップデートする必要があります。
SAP User Management Engineでは、組込みのグループ・アダプタ・データソースからグループを追加することはできません。このため、このデータソースをこの参照定義に追加することはできません。SAP User Management EngineがSAP ABAPベース・システムでR3_ROLE_DSなどのデータソースとして構成されている場合、User Management Engineで、ABAPロールをユーザーに割り当てるグループを追加できるかどうかを確認します。可能かどうかは、SAP User Management Engineの「Identity Management」ページで確認できます。グループを追加できる場合、データソースR3_ROLE_DSをLookup.SAPUME.UM.GroupDataSource参照定義に追加します
SAP User Management Engineに管理者としてログインし、環境のグループ・データソースのリストを表示および定義する必要があります。
グループ・データソースの名前は、「一意ID」フィールドの一部として入手できます。
「Unique ID」フィールドの値は、次の形式です。
GRUP.DATA_SOURCE_NAME.AUTO_GENERATED_VALUE
次に、「Unique ID」フィールドのサンプル値を示します。
GRUP.PRIVATE_DATASOURCE.un:Guests
この値で、PRIVATE_DATASOURCEがグループ・データソースの名前です。
環境で使用可能なすべてのグループ・データソースの名前を特定したら、次の手順で、Lookup.SAPUME.UM.GroupDataSource参照定義にエントリを作成して、各データソース名を追加します:
Oracle Identity Managerリリース11.1.1.xの場合:
Lookup.SAPUME.UM.ProvExclusionListおよびLookup.SAPUME.UM.ReconExclusionList参照定義では、プロビジョニングおよびリコンシリエーション操作を実行しないターゲット・システム・アカウントのユーザーIDを入力します。これらの参照のエントリの形式については、「除外リストの参照定義」を参照してください。
ノート:
Lookup.SAPUME.UM.ProvExclusionListおよびLookup.SAPUME.UM.ReconExclusionList参照定義はオプションで、デフォルトでは存在しません。
プロビジョニングおよびリコンシリエーション操作時に除外を有効にするには、これらの参照をLookup.SAPUME.UM.Configuration参照定義に追加する必要があります。詳細は、「Lookup.SAPUME.UM.Configuration」を参照してください。
プロビジョニング操作中に除外する参照にエントリを追加するには:
ノート:
リコンシリエーション操作時に除外するユーザーIDを指定するには、Lookup.SAPUME.UM.ReconExclusionList参照にエントリを追加します。
リクエストベースのプロビジョニングでは、エンドユーザーが管理およびユーザー・コンソールを使用して、リソースのリクエストを作成します。管理者または他のユーザーが、特定のユーザーのためにリクエストを作成することもできます。特定のリソースのリクエストを確認して承認できるのは、Oracle Identity Managerで指名された承認者です。
ノート:
この項の手順は、Oracle Identity Managerリリース11.1.1.xを使用している場合のみ実行します。
リクエストベースのプロビジョニングを有効にすると、コネクタのダイレクト・プロビジョニング機能は自動的に無効になります。このため、ダイレクト・プロビジョニングを使用する場合は、リクエストベースのプロビジョニングを有効にしないでください。
リクエストベースのプロビジョニングを構成するには、次の手順を実行します。
リクエスト・データセット(事前定義済または生成済)は、デプロイメント・マネージャ(DM)を使用してインポートできます。事前定義済のリクエスト・データセットは、インストール・メディアのxml/SAPUME-Datasets.xmlファイルに保存されています。
デプロイメント・マネージャを使用してリクエスト・データセット定義をインポートするには:
リクエスト・データセットがMDSにインポートされます。
自動保存フォーム機能を有効化するには:
PurgeCacheユーティリティを実行して、メタデータ・カテゴリに属するコンテンツをサーバー・キャッシュからクリアします。手順は、「サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツのクリア」を参照してください。
リクエストベースのプロビジョニングを構成する手順は、このステップで終了です。
Oracle Identity Managerとターゲット・システムの間のデータ通信を保護するためにSSLを構成する必要があります。
ターゲット・システムとOracle Identity Manager間にSSLを構成するには:
ターゲット・システムで証明書を生成します。
手順の詳細は、ターゲット・システムのドキュメントを参照してください。
Oracle Identity Managerに証明書をインポートするには:
Oracle Identity Managerホスト・コンピュータにターゲット・システム証明書をコピーします。
コマンド・ウィンドウで証明書ファイルのコピー先ディレクトリに移動し、次のようなコマンドを入力します。
keytool -import -alias ALIAS -file CER_FILE -keystore MY_CACERTS -storepass PASSWORD
コマンドの説明は次のとおりです。
ALIASは、証明書の別名です(たとえば、サーバー名など)。
CER_FILEは、証明書(cer.)ファイルのフルパスおよび名前です。
表2-2に、サポートされるアプリケーション・サーバーの証明書ストアの場所を示します。
次に、サンプル・コマンドを示します。
keytool -import -alias ibm1-cert140 -file C:\syaug24\Middleware\ibm1-cert.cer -keystore C:\syaug24\Middleware\jrockit_160_24_D1.1.2-4\jre\lib\security\cacerts -storepass changeit
表2-2 証明書ストアの場所
| アプリケーション・サーバー | 証明書ストアの場所 |
|---|---|
Oracle WebLogic Server |
|
次のようなコマンドを入力し、証明書のインポートが成功しているかどうかを確認します。
keytool -list -alias ALIAS -keystore MY_CACERTS -storepass PASSWORD
次に例を示します:
keytool -list -alias MyAlias -keystore C:\mydir\java\jre\lib\security\cacerts -storepass changeit
ITリソースには、ターゲット・システムに関する接続情報が含まれます。Oracle Identity Managerは、リコンシリエーションおよびプロビジョニング時にこの情報を使用します。
SAPUME IT Resourceが、コネクタ・インストーラを実行すると自動的に作成されます。ITリソースのパラメータ値を指定する必要があります。
ノート:
SAP BusinessObjects ACシステムを使用している場合、SAP AC UME ITリソースはコネクタ・インストーラを実行するときに自動的に作成されます。
ノート:
SAP BusinessObjects ACシステムを使用している場合、SAP AC UME ITリソースはコネクタ・インストーラを実行するときに自動的に作成されます。
ALL USERSグループには、デフォルトのITリソースのINSERT、UPDATEおよびDELET権限があります。これは、リクエストベースのプロビジョニングの際にエンドユーザーがITリソースを選択できるようにするためです。別のITリソースを作成する場合は、そのITリソースにALL USERSグループのINSERT、UPDATEおよびDELETE権限を割り当てる必要があります。
ITリソースのパラメータ値を指定するには:
使用しているOracle Identity Managerのリリースに応じて、次のいずれかのステップを実行します。
Oracle Identity Managerリリース11.1.1.xの場合:
管理およびユーザー・コンソールにログインします。
Oracle Identity Managerリリース11.1.2.xの場合:
Oracle Identity System Administrationにログインします。
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次の手順を実行します。
「ようこそ」ページの右上隅で、「拡張」をクリックします。
「Oracle Identity Manager拡張管理へようこそ」ページの「構成」リージョンで、「ITリソースの管理」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合、左ペインの「構成」で、「ITリソース」をクリックします。
「ITリソースの管理」ページの「ITリソース名」フィールドにSAPUME IT Resourceと入力して、「検索」をクリックします。
ITリソースの編集アイコンをクリックします。
ページ上部のリストから、「詳細およびパラメータ」を選択します。
ITリソースのパラメータの値を指定します。表2-3はSAP UME ITリソースのパラメータについて、表2-4はSAP AC UME ITリソースのパラメータについて説明しています。
ノート:
この表のエントリは、パラメータ値のアルファベット順になっています。
表2-3 SAP UME ITリソースのパラメータ
| パラメータ | 説明 |
|---|---|
Configuration Lookup |
このパラメータは、構成情報を含む参照定義の名前を保持します。 値: |
ConnectorServerName |
Connector ServerタイプのITリソースの名前。コネクタ・サーバーのITリソースは、「コネクタ・サーバーのITリソースの構成」に従って作成します。 ノート: このパラメータの値を入力するのは、SAP User Management Engineをコネクタ・サーバーにデプロイした場合のみです。 |
changePwdFlag |
このパラメータに指定する値については、「新たに作成したアカウントのパスワード変更の構成」を参照してください。 デフォルト値: |
dummyPassword |
ユーザー作成プロビジョニング操作時にコネクタで使用するダミー・パスワードを入力します。コネクタはまずパスワードをこの値に設定してから、プロセス・フォームで指定されたパスワードに変更します。このパラメータの詳細は、「新たに作成したアカウントのパスワード変更の構成」を参照してください。 |
enableDate |
ユーザーを有効化する場合に設定する日付を入力します(YYYY-MM-DD形式で)。 サンプル値: |
logonNameInitialSubstring |
英語の完全リコンシリエーションをサポートする、一連の文字を入力します。他の言語の場合は、その言語のすべての文字を入力します。 サンプル値: |
logSPMLRequest |
ターゲット・システムに送信されるSPMLリクエストをログ・ファイルに書き込む場合は、 |
pwdHandlingSupport |
SAP User Management EngineがLDAPベース・データソースで書込み可能モードで構成されている場合、パスワード管理には、SAP User Management EngineとLDAPベース・データソース間のSSL構成が必須です。このシナリオで、SAP User Management EngineとLDAPベース・データソース間にSSLが構成されておらず、SAP User Management Engineからパスワードを管理する必要がない場合は、このパラメータの値を デフォルト値: |
TopologyName |
ターゲット・システムをホストしているコンピュータのトポロジ名を入力します。 |
umePassword |
コネクタ操作に作成する、ターゲット・システムのユーザー・アカウントのパスワードを入力します。 |
umeUrl |
|
umeUserId |
コネクタ操作に作成する、ターゲット・システムのユーザー・アカウントのユーザーIDを入力します。 |
表2-4 SAP AC UME ITリソースのパラメータ
| パラメータ | 説明 |
|---|---|
changePwdFlag |
このパラメータに指定する値については、「新たに作成したアカウントのパスワード変更の構成」を参照してください。 デフォルト値: |
Configuration Lookup |
このパラメータは、構成情報を含む参照定義の名前を保持します。 値: |
ConnectorServerName |
Connector ServerタイプのITリソースの名前。コネクタ・サーバーのITリソースは、「コネクタ・サーバーのITリソースの構成」に従って作成します。 ノート: このパラメータの値を入力するのは、SAP User Management Engineをコネクタ・サーバーにデプロイした場合のみです。 |
dummyPassword |
ユーザー作成プロビジョニング操作時にコネクタで使用するダミー・パスワードを入力します。コネクタはまずパスワードをこの値に設定してから、プロセス・フォームで指定されたパスワードに変更します。このパラメータの詳細は、「新たに作成したアカウントのパスワード変更の構成」を参照してください。 |
enableDate |
ユーザーを有効化する場合に設定する日付を入力します(YYYY-MM-DD形式で)。 サンプル値: |
grcLanguage |
このパラメータでgrcの言語を定義します。 値: |
grcPassword |
このパラメータは、ユーザー・アクセスを認証するために使用されます。 |
grcUsername |
このパラメータはgrcシステムにアクセスするためのGrcUsernameを保持します。 |
logonNameInitialSubstring |
英語の完全リコンシリエーションをサポートする、一連の文字を入力します。他の言語の場合は、その言語のすべての文字を入力します。 サンプル値: |
logSPMLRequest |
ターゲット・システムに送信されるSPMLリクエストをログ・ファイルに書き込む場合は、 |
pwdHandlingSupport |
SAP User Management EngineがLDAPベース・データソースで書込み可能モードで構成されている場合、パスワード管理には、SAP User Management EngineとLDAPベース・データソース間のSSL構成が必須です。このシナリオで、SAP User Management EngineとLDAPベース・データソース間にSSLが構成されておらず、SAP User Management Engineからパスワードを管理する必要がない場合は、このパラメータの値を デフォルト値: |
umePassword |
コネクタ操作に作成する、ターゲット・システムのユーザー・アカウントのパスワードを入力します。 |
umeUrl |
|
umeUserId |
コネクタ操作に作成する、ターゲット・システムのユーザー・アカウントのユーザーIDを入力します。 |
「更新」をクリックして、値を保存します。
ITリソースには、ターゲット・システムに関する接続情報が含まれます。Oracle Identity Managerは、リコンシリエーションおよびプロビジョニング時にこの情報を使用します。
この項で説明する手順を実行するのは、「コネクタ・サーバーへのコネクタ・バンドルのデプロイ」の説明に従ってコネクタ・サーバーにコネクタ・バンドルがインストールされている場合のみです。コネクタ・サーバーに個別のITリソースを作成する必要があります。
コネクタ・サーバーのITリソースを作成するには:
使用しているOracle Identity Managerのリリースに応じて、次のいずれかのステップを実行します。
Oracle Identity Managerリリース11.1.1.xの場合:
管理およびユーザー・コンソールにログインします。
Oracle Identity Managerリリース11.1.2.xの場合:
Oracle Identity System Administrationにログインします。
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次の手順を実行します。
「ようこそ」ページの右上隅で、「拡張」をクリックします。
「Oracle Identity Manager拡張管理へようこそ」ページの「構成」リージョンで、「ITリソースの作成」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合:
左ペインの「構成」で、「ITリソース」をクリックします。
ノート:
Oracle Identity Managerリリース11.1.2.3.x以降を使用している場合、左ペインの「プロビジョニング構成」で、「ITリソース」をクリックします。
「ITリソースの管理」ページで、「ITリソースの作成」をクリックします。
ノート: ステップ1: ITリソース情報の入力ページで、次のステップを実行します:
ITリソース名: ITリソースの名前を入力します。
ITリソース・タイプ: 「ITリソース・タイプ」リストから「コネクタ・サーバー」を選択します。
Remote Manager: このフィールドには値を入力しないでください。
「続行」をクリックします。図2-1に、「ITリソースの作成」ページで追加されたITリソース値を示します。
「ステップ2: ITリソース・パラメータ値の指定」ページで、ITリソースのパラメータに値を指定して、「続行」をクリックします。図2-2に、「ステップ2: ITリソース・パラメータ値の指定」ページを示します。
表2-5に、ITリソース・パラメータの説明を示します。
表2-5 コネクタ・サーバーのITリソースのパラメータ
| パラメータ | 説明 |
|---|---|
ホスト |
コネクタ・サーバーのホスト・コンピュータのホスト名またはIPアドレスを入力します。 サンプル値: |
キー |
Javaコネクタ・サーバーのキーを入力します。 |
ポート |
コネクタ・サーバーがリスニングしているポートの番号を入力します。 デフォルト値: |
タイムアウト |
コネクタ・サーバーとOracle Identity Managerとの間の接続がタイムアウトするまでのミリ秒数を指定する整数値を入力します。 サンプル値: |
UseSSL |
Oracle Identity Managerとコネクタ・サーバーとの間にSSLを構成するよう指定する場合は、 デフォルト値: ノート: connectorserver.usesslプロパティをtrueに設定し、ターゲット・システムの証明書をコネクタ・サーバーのJDKキーストアにインポートして、SSLを使用してコネクタ・サーバーと通信するようにコネクタを構成した場合、ターゲット・システムにアクセスしようとしたり、コネクタ・サーバーを実行しようとすると、エラーが返されます。 |
「ステップ3: ITリソースへのアクセス権限の設定」ページの、作成中のITリソースに対する読取り、書込みおよび削除の権限を持つグループのリストに、SYSTEM ADMINISTRATORSグループがデフォルトで表示されます。
ノート:
このステップはオプションです。
グループをITリソースに割り当て、グループに対してアクセス権限を設定する場合は、次のようにします。
「グループの割当て」をクリックします。
ITリソースに割り当てるグループについて、「割当て」を選択し、設定するアクセス権限を選択します。たとえば、ALL USERSグループを割り当て、読取りおよび書込み権限をこのグループに設定する場合は、このグループの行で「割当て」チェック・ボックスを選択し、それぞれの権限のチェック・ボックスを選択する必要があります。
「割当て」をクリックします。
「ステップ3: ITリソースへのアクセス権限の設定」ページで、ITリソースに割り当てられたグループのアクセス権限を変更する場合は、次のようにします。
ノート:
このステップはオプションです。
SYSTEM ADMINISTRATORSグループのアクセス権限は変更できません。アクセス権限を変更できるのは、ITリソースに割り当てた他のグループのみです。
「権限の更新」をクリックします。
このページに表示されるグループに対して特定のアクセス権限を設定するか削除するかに応じて、対応するチェック・ボックスを選択または選択解除します。
「更新」をクリックします。
「ステップ3: ITリソースへのアクセス権限の設定」ページで、ITリソースからグループの割当てを解除する場合は、次のようにします。
ノート:
このステップはオプションです。
SYSTEM ADMINISTRATORSグループの割当ては解除できません。割当てを解除できるのは、ITリソースに割り当てた他のグループのみです。
割当てを解除するグループの「割当て解除」チェック・ボックスを選択します。
「割当て解除」をクリックします。
「続行」をクリックします。図2-3に、「ステップ3: ITリソースへのアクセス権限の設定」ページを示します。
「ステップ4: ITリソースの詳細の確認」ページで、1ページ目、2ページ目、3ページ目で指定した情報を確認します。ページに入力したデータを変更する場合は、「戻る」をクリックしてそのページを戻り、必要な変更を行います。
「続行」をクリックして、ITリソースの作成を続行します。図2-4に、「ステップ4: ITリソースの詳細の確認」ページを示します。
「ステップ5: ITリソースの接続結果」ページに、ITリソース情報を使用して実行された接続テストの結果が表示されます。テストが成功した場合は、「続行」をクリックします。テストが失敗した場合は、次のステップのいずれかを実行できます。
「戻る」をクリックして前のページに戻り、ITリソースの作成情報を修正します。
「取消」をクリックして手順を中止し、ステップ1から始めます。
図2-5に、「ステップ5: ITリソースの接続結果」ページを示します。
「終了」をクリックします。図2-6に、「作成されたITリソース」ページを示します。
Oracle Identity Managerは、SAP BusinessObjects AC Access Request Managementに送信するための媒体としてプロビジョニング・リクエストを構成できます。Oracle Identity ManagerからのリクエストはAccess Request Managementに送信され、そこからリクエストに含まれているプロビジョニング・データがターゲット・システム(SAP R/3またはSAP CUA)に転送されます。結果として、ターゲット・システムでユーザー・アカウントが作成または変更されます。
ノート:
Access Request Management機能を構成する前に、「デプロイメント構成の使用に関するガイドライン」に記載されているガイドラインを参照することをお薦めします
次の項目で、Access Request Management機能の構成について説明します。
GRC UME-ITRes ITリソースには、SAP BusinessObjects AC Access Request Managementとの通信中に使用される情報が保持されています。このITリソースのパラメータに値を設定するには:
使用しているOracle Identity Managerのリリースに応じて、次のいずれかのステップを実行します。
Oracle Identity Managerリリース11.1.1.xの場合:
管理およびユーザー・コンソールにログインします。
Oracle Identity Managerリリース11.1.2.xの場合:
Identity System Administrationにログインします。
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次の手順を実行します。
「ようこそ」ページの右上隅で、「拡張」をクリックします。
「Oracle Identity Manager拡張管理へようこそ」ページの「構成」リージョンで、「ITリソースの管理」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合、左ペインの「構成」で、「ITリソース」をクリックします。
「ITリソースの管理」ページの「ITリソース名」フィールドにGRC UME-ITResと入力して、「検索」をクリックします。
ITリソースの編集アイコンをクリックします。
ページ上部のリストから、「詳細およびパラメータ」を選択します。
ITリソースのパラメータの値を指定します。
表2-6に、GRC UME-ITRes ITリソースのパラメータを示します。
表2-6 GRC UME-ITRes ITリソースのパラメータ
| パラメータ | 説明 |
|---|---|
Configuration Lookup |
構成参照定義の名前を入力します。 Lookupの値
|
コネクタ・サーバー名 |
Connector ServerタイプのITリソースの名前。 |
language |
ターゲット・システムで設定された言語を表す2文字のコードを入力します。 サンプル値: |
password |
Access Request Managementシステムで作成されたアカウントのパスワードを入力します。 |
port |
Access Request Managementシステムがリスニングしているポートの番号を入力します。 サンプル値: |
server |
Access Request Managementシステムがリスニングしているホスト・コンピュータのIPアドレスを入力します。 サンプル値: |
username |
Access Request Managementシステムで作成されたアカウントのユーザー名を入力します。このアカウントは、リクエスト検証中に使用されるAccess Request ManagementシステムAPIをコールするために使用されます。 サンプル値: |
「更新」をクリックして、値を保存します。
SoDは、1ユーザーにビジネス・プロセスの1モジュールのみのアクセス権を与えて、不正やエラーのリスクを減らすために、他のモジュールにアクセスできないようにするためのプロセスです。
この項の内容は次のとおりです。
ノート:
ALL USERSグループには、UD_SAPUMEおよびUD_UME_ROLEの各プロセス・フォームに対するINSERT、UPDATEおよびDELETE権限があります。権限リクエストのSoD検証では、データはまずダミー・オブジェクト・フォームからダミー・プロセス・フォームに移されます。そのフォームからデータが検証のためにSoDエンジンに送信されます。リクエストがSoD検証をクリアすると、データがダミー・プロセス・フォームから実際のプロセス・フォームに移されます。データはAPIを介して実際のプロセス・フォームに移されるため、ALL USERSグループには3つのプロセス・フォームに対するINSERT、UPDATEおよびDELETE権限が必要です。
SoDエンジンとして機能するようにSAP GRCを構成するには、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド 11g リリース1 (11.1.2)』のUsing Segregation of Duties (SoD)に関する項を参照してください。
GRC UME-ITRes ITリソースには、SoD操作中にコネクタによって使用される情報が保持されています。このITリソースは、両方のOracle Identity ManagerのAccess Request Management機能によって使用されるものと同じです。
このITリソースのパラメータ値を設定するには、「 GRC UME-ITRes ITリソースの値の指定」を参照してください。
TopologyName ITリソース・パラメータには、SoD検証のために使用する次の要素を組み合せた名前を指定します。
Oracle Identity Managerインストール
SAP BusinessObjects ACインストール
SAP ERPインストール
GRC-ITRes ITリソースはデフォルトで登録されています。ただし、GRC UME-ITRes ITリソースは手動で登録し、TopologyName ITリソース・パラメータの値として新しいトポロジ名を入力する必要があります。
GRC UME-ITRes ITリソースを登録するには:
ITリソースのパラメータに値を指定する方法の詳細は、「ターゲット・システムのITリソースの構成」を参照してください。
この項では、Oracle Identity ManagerでSoDを無効化および有効化する手順を説明します。
SoDを無効化するには:
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次のステップを実行します:
管理およびユーザー・コンソールにログインします。
「ようこそ」ページの右上隅で、「拡張」をクリックします。
「Oracle Identity Manager拡張管理へようこそ」ページの「システム管理」タブで、「システム構成」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合は、次のステップを実行します:
Identity System Administrationにログインします。
左ペインの「システム管理」の下で、「システム構成」をクリックします。
「システム構成の検索」ボックスにXL.SoDCheckRequiredと入力し、「検索」をクリックします。
検索基準に一致するリストが検索結果表に表示されます。
XL.SoDCheckRequiredプロパティ名をクリックします。
SoDのシステム・プロパティが右側のペインに表示されます。
「値」ボックスにFALSEと入力し、SoDを無効化します。
「保存」をクリックします。
Oracle Identity Managerを再起動します。
SoDを有効化するには:
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次のステップを実行します:
管理およびユーザー・コンソールにログインします。
「ようこそ」ページの右上隅で、「拡張」をクリックします。
「Oracle Identity Manager拡張管理へようこそ」ページの「システム管理」タブで、「システム構成」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合は、次のステップを実行します:
Identity System Administrationにログインします。
左ペインの「システム管理」の下で、「システム構成」をクリックします。
「システム構成の検索」ボックスにXL.SoDCheckRequiredと入力し、「検索」をクリックします。
検索基準に一致するリストが検索結果表に表示されます。
XL.SoDCheckRequiredプロパティ名をクリックします。
SoDのシステム・プロパティが右側のペインに表示されます。
「値」ボックスにTRUEと入力し、SoDを有効化します。
「保存」をクリックします。
Oracle Identity Managerを再起動します。
SAP BusinessObjects ACでは、Webサービスを構成する前にSAP BusinessObjects ACからWSDLファイルをダウンロードする必要があります。コネクタがSAPのWebサービスに接続するにはWSDLが必要です。
コネクタでは基本の認証のみがサポートされるため、OIMからサポートされている次のWebサービスのユーザーID/パスワードチェック・ボックスを選択します。
| WSDL | 説明 |
|---|---|
GRAC_AUDIT_LOGS_WS |
監査ログWebサービス |
GRAC_LOOKUP_WS |
参照サービス |
GRAC_REQUEST_STATUS_WS |
リクエスト・ステータスWebサービス |
GRAC _RISK_ANALYSIS_WOUT_NO_WS |
リクエスト番号なしでのリスク分析 |
GRAC_SELECT_APPL_WS |
アプリケーション選択Webサービス |
GRAC_USER_ACCESS_WS |
ユーザー・アクセス・リクエスト・サービス |
GRAC_SEARCH_ROLES_WS |
ロール検索Webサービス |
WSDLファイルをダウンロードする場合、必ずSOA管理ページに記載されているのと同じ名前で保存してください。さらに、WSDLファイルを格納するフォルダに読取り権限があることを確認してください。
使用する言語に対応するリソース・バンドルを使用して、UIフォーム・フィールド・ラベルをローカライズできます。リソース・バンドルはコネクタ・インストール・メディアに用意されています。
ノート:
この項で説明する手順は、Oracle Identity Managerリリース11.1.2.x以降を使用しており、UIフォーム・フィールド・ラベルをローカライズする場合にのみ実行します。
UIフォームで追加するフィールド・ラベルをローカライズするには:
Oracle Enterprise Managerにログインします。
左側のペインで、「アプリケーションのデプロイ」を開き、oracle.iam.console.identity.sysadmin.earを選択します。
右側のペインで、「アプリケーションのデプロイ」リストから、「MDS構成」を選択します。
「MDS構成」ページで、「エクスポート」をクリックして、ローカル・コンピュータにアーカイブを保存します。
アーカイブの内容を解凍して、テキスト・エディタで次のいずれかのファイルを開きます。
Oracle Identity Manager 11gリリース2 PS2 (11.1.2.2.0)の場合
SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle_en.xlf
Oracle Identity Manager 11gリリース2 PS2 (11.1.2.2.0)より前のリリースの場合
SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle.xlf
BizEditorBundle.xlfファイルを次の方法で編集します。
次のテキストを検索します。
<file source-language="en" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
次のテキストで置き換えます。
<file source-language="en" target-language="LANG_CODE"
original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
datatype="x-oracle-adf">
このテキストのLANG_CODEを、フォーム・フィールド・ラベルをローカライズする言語のコードに置き換えます。フォーム・フィールド・ラベルを日本語でローカライズする場合の値の例を次に示します。
<file source-language="en" target-language="ja" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
アプリケーション・インスタンスのコードを検索します。この手順では、SAP User Management Engineアプリケーション・インスタンス用の編集サンプルを示します。元のコードは次のとおりです。
<trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_SAPUME_DEPARTMENT__c_description']}">
<source>Department</source>
</target>
</trans-unit>
<trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.SAPUMEFORM.entity.SAPUMEFORMEO.UD_SAPUME_DEPARTMENT__c_LABEL">
<source>Department</source>
</target>
</trans-unit>
コネクタ・パッケージに入っているリソース・ファイル(例、SAPUME_ja.properties)を開き、そのファイルの属性の値(例、global.udf.UD_SAPUME_DEPARTMENT=\u90E8\u9580)を取得します。
ステップ6.bに示されている元のコードを、次のものに置き換えます。
<trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_SAPUME_DEPARTMENT__c_description']}">
<source>Department</source>
<target>\u90E8\u9580</target>
</trans-unit>
<trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.SAPUMEFORM.entity.SAPUMEFORMEO.UD_SAPUME_DEPARTMENT__c_LABEL">
<source>Department</source>
<target>\u90E8\u9580</target>
</trans-unit>
プロセス・フォームのすべての属性に対し、ステップ6.aから6.dを繰り返します。
ファイルをBizEditorBundle_LANG_CODE.xlfとして保存します。このファイル名のLANG_CODEを、ローカライズしている言語のコードに置き換えます。
サンプル・ファイル名: BizEditorBundle_ja.xlf.
ZIPファイルを再パッケージしてMDSにインポートします。
関連項目:
メタデータ・ファイルのエクスポートおよびインポートの詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のカスタマイズのデプロイおよびアンデプロイに関する項を参照してください
Oracle Identity Managerからログアウトしてから、ログインします。
本番中に停止時間なしでSAP User Management Engineコネクタをアップグレードできます。カスタマイズはそのまま保持され、アップグレードはユーザーには見えません。すべてのフォーム・フィールド名は、レガシー・コネクタから保持されます。
SAP User Management Engineコネクタをアップグレードするには、次の項で説明する手順を実行します。
ノート:
アップグレード手順を実行する前に、Oracle Identity Managerデータベースのバックアップを作成することを強くお薦めします。バックアップの作成については、データベースのドキュメントを参照してください。
最初にテスト環境でアップグレード手順を実行することをお薦めします。
アップグレード操作または任意のアップグレード手順を実行する前に、次の処理を実行する必要があります。
リコンシリエーションを実行して、Oracle Identity Managerに対するすべての最新更新をフェッチします。
Oracle Identity Managerでソース・コネクタ(アップグレードする必要のある前のリリースのコネクタ)を定義します。コネクタに加えられたすべてのカスタマイズ変更をデプロイメント・マネージャXMLファイルに反映させるように、ソース・コネクタを定義します。
Oracle Identity Manager JAR削除ユーティリティを実行して、Oracle Identity Managerデータベースに対する古いコネクタ・バンドルを削除します。
関連項目:
JAR削除ユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のJAR削除ユーティリティに関する項を参照してください
コネクタをアップグレードする環境に応じて、次のいずれかのステップを実行します。
ステージング環境
ウィザード・モードを使用して、アップグレード手順を実行します。
本番環境
サイレント・モードを使用して、アップグレード手順を実行します。
関連項目:
ウィザードおよびサイレント・モードの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のコネクタ・ライフサイクルの管理を参照してください
この項で説明された手順を実行して、アップグレード後に必要なステップを完了します。
フォーム・バージョン制御(FVC)ユーティリティを実行して、アップグレード操作後のフォームでのデータ変更を管理します。
このためには、テキスト・エディタで、OIM_DC_HOMEディレクトリにあるfvc.propertiesファイルを開きます。
リリース9xのコネクタを使用している場合、次のエントリを含めます。
ResourceObject;SAPUME Resource Object FormName;UD_SAPEP FromVersion;V_9.0.4.12 ToVersion;v_11.1.1.8.0 Parent;UD_SAPEP_IS_LOCK;false
リリース11.1.1.xのコネクタを使用している場合、次のエントリを含めます。
ResourceObject;SAPUME Resource Object FormName;UD_SAPUME FromVersion;V_11.1.1.5.0 ToVersion;v_11.1.1.8.0 Parent;UD_SAPUME_IS_LOCK;false
アップグレードに選択したコネクタのタイプに応じて、次のいずれかの手順を実行します。
フォーム・バージョン制御(FVC)ユーティリティを実行して、アップグレード操作後のフォームでのデータ変更を管理します。このためには、テキスト・エディタで、OIM_DC_HOMEディレクトリにあるfvc.propertiesファイルを開きます。
リリース11.1.1.8.0のコネクタを使用している場合、次のエントリを含めます。
ResourceObject;SAPUME Resource Object FormName;UD_SAPUME FromVersion;V_11.1.1.8.0 ToVersion;v_11.1.1.9.0
ノート:
コネクタのアップグレード中に、次の情報が表示されます。次のアダプタおよびイベント・ハンドラを手動で削除する必要があります。
「sapume ac remove child」および「sapume ac add child」アダプタ。
「adpSAPUMEACREMOVECHIL」および「adpSAPUMEACADDCHILD」イベント・ハンドラ。
この項で説明された手順を実行して、SAP BusinessObjects AC Access Risk AnalysisのSoD検証用のアップグレード後のステップを完了します。
この項で説明された手順を実行して、SAP BusinessObjects AC Access Request Managementのアップグレード後のステップを完了します。
SAPUME IT Resource ITリソースをGRC資格証明で再構成します。
"Lookup.SAPAC10UME.Configuration"参照定義の次のエントリのデコード値を手動で更新する必要があります。
roleLookupAccessURL
otherLookupAccessURL
auditLogsAccessURL
appLookupAccessURL
wsdlFilePath
userAccessAccessURL
requestStatusAccessURL
ノート: コネクタのアップグレードで参照内に重複したエントリが生成されます。これらの重複エントリを手動で削除する必要があります。
Oracle Fusion Middleware Oracle Identity Managerの管理のコネクタ・ライフサイクルの管理で説明されているアップグレード後の手順を実行します。
フォーム・バージョン制御(FVC)ユーティリティを実行して、アップグレード操作後のフォームでのデータ変更を管理します。これを行うには:
テキスト・エディタで、OIM_DC_HOMEディレクトリにあるfvc.propertiesファイルを開きます。リリース11.1.1.8.0のコネクタを使用している場合、次のエントリを含めます。
ResourceObject;SAP AC UME Resource Object FormName;UD_SAPUME FromVersion;v_11.1.1.8.0 ToVersion;v_11.1.1.9.0
FVCユーティリティを実行します。Design Consoleをインストールすると、このユーティリティは次のディレクトリにコピーされます。
Microsoft Windowsの場合:
OIM_DC_HOME/fvcutil.bat
UNIXの場合:
OIM_DC_HOME/fvcutil.sh
このユーティリティを実行すると、Oracle Identity Manager管理者のログイン資格証明、ロガー・レベルおよびログ・ファイルの場所を入力するよう求められます。
関連項目:
FVCユーティリティの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のフォーム・バージョン制御ユーティリティの使用を参照してください
次のように、PostUpgradeScript_SAPUME.sqlスクリプトを実行します。
OIM DBユーザー資格証明を使用して、Oracle Identity Managerデータベースに接続します。
PostUpgradeScript_SAPUME.sqlを実行します。このスクリプトは、インストール・メディアのUpgradeディレクトリにあります。
ノート:
アップグレード後にバルク・アダプタのタスク名を変更します。例: Replace UD_SAPACUME Updated with UD_SAPUME Updated。
新しいバージョンのプロセス・フォームを作成します。
Oracle Identity Managerリリース11.1.2.xを使用している場合は、次のようにして、Design Consoleのフォーム・デザイナに加えられたすべての変更を新しいUIフォームに適用する必要があります。
Oracle Identity System Administrationにログインします。
サンドボックスを作成してアクティブ化します。詳細は、サンドボックスの作成およびアクティブ化を参照してください。
アップグレードされたフィールドを表示するためのUIフォームを新規作成します。UIフォームの作成の詳細は、UIフォームの新規作成を参照してください。
新たに作成したUIフォームをターゲット・システムのアプリケーション・インスタンスに関連付けます。そのためには、「フォーム」フィールドの、リソースの既存のアプリケーション・インスタンスを開き、(以前のステップで作成した)フォームを選択して、アプリケーション・インスタンスを保存します。
サンドボックスを公開します。詳細は、サンドボックスの公開を参照してください。
SAP BusinessObjects AC参照フィールド同期に使用された、次のすべてのスケジュール済ジョブを実行します。
ノート:
これらのスケジュール済ジョブの属性の値を指定できます。表3-2に、これらのスケジュール済ジョブの属性の説明を示します。スケジュール済ジョブの構成に、スケジュール済ジョブの構成手順を示します。
SAP AC UMEロール参照リコンシリエーション
SAP AC UMEグループ参照リコンシリエーション
SAP AC UME BusinessProcess参照リコンシリエーション
SAP AC UME FunctionalArea参照リコンシリエーション
SAP AC UME ItemProvAction参照リコンシリエーション
SAP AC UME Priority参照リコンシリエーション
SAP AC UME ReqInitSystem参照リコンシリエーション
SAP AC UME RequestType参照リコンシリエーション
完全リコンシリエーションを実行します。
この操作により、「一意のID」リソース・オブジェクト・フィールドとユーザーのロック・ステータスが更新されます。ロック・ステータスは、ステップ5aのfvc.propertiesファイルで指定された値に従って更新されます。
このステップの詳細は、「完全リコンシリエーションの実行」を参照してください。
コネクタをアップグレードした後、削除リコンシリエーションを実行できます。
削除リコンシリエーションの詳細は、「リコンシリエーション・スケジュール済ジョブ」を参照してください。
コネクタ・サーバーを使用している場合は、コネクタ・サーバーにコネクタ・バンドルをデプロイします。詳細は、「コネクタ・サーバーへのコネクタ・バンドルのデプロイ」を参照してください。
