Microsoft Active Directory User Managementコネクタのデプロイ

コネクタをデプロイする手順は、インストール前、インストール時、インストール後、Microsoft Active Directory User Managementコネクタのアップグレード、およびMicrosoft Active Directory User Managementコネクタのクローニングという3つの段階に分けられます。

次の項では、これらのステージについて説明します。

• インストール前

• インストール時

• インストール後

• Microsoft Active Directory User Managementコネクタのアップグレード

• Microsoft Active Directory User Managementコネクタのクローニングについて

ノート:

この章に記載されている一部の手順は、ターゲット・システムで実行する必要があります。これらの手順を実行するために必要な最小限の権限は、使用するターゲット・システムによって異なります。

• ターゲット・システムがMicrosoft Active Directoryの場合、必要な権限は、Domain Adminsグループのメンバーに割り当てられます。

• ターゲット・システムがMicrosoft AD LDSの場合、必要な権限は、Administratorsグループのメンバーに割り当てられます。

インストール前の作業

Microsoft Active Directory User Managementコネクタのインストール前の作業では、ターゲット・システムにコネクタのクライアント・アプリケーションを登録します。また、クライアントIDおよびクライアント・シークレットの値を生成してターゲット・システムに認証し、クライアント・アプリケーションへの権限を設定することも関係しています。

AD User Managementコネクタをデプロイするためのインストール前の段階では、次の手順を実行します。

• コネクタ操作のためのターゲット・システムのユーザー・アカウントの作成

• 削除ユーザーのリコンシリエーションの実行を行うための権限の割当て

• 組織単位およびカスタム・オブジェクト・クラスの制御の委任

• コネクタ・サーバーについて

• Microsoft Active Directory User Managementコネクタのロギングの管理

コネクタ操作のためのターゲット・システムのユーザー・アカウントの作成

Oracle Identity Managerでは、リコンシリエーションおよびプロビジョニング操作の際にターゲット・システムにアクセスするためのターゲット・システムのユーザー・アカウントが必要です。Microsoft ADおよびAD LDSのITリソースの構成で説明されている手順を実行する際に、このユーザー・アカウントの資格証明を指定します。

使用するターゲット・システムに応じて、次のいずれかの項で説明する手順を実行します。

• Microsoft Active Directoryでのコネクタ操作用ユーザー・アカウントの作成

• Microsoft AD LDSでのコネクタ操作用ユーザー・アカウントの作成

Microsoft Active Directoryでのコネクタ操作用ユーザー・アカウントの作成

コネクタの操作には、Microsoft Windows 2008 Server (ドメイン・コントローラ)の管理者アカウントを使用できます。あるいは、ユーザー・アカウントを作成して必要最小限の権限を割り当てることができます。

コネクタ操作用のMicrosoft Active Directoryユーザー・アカウントを作成するには、次のようにします。

関連項目:

この手順の実行の詳細は、Microsoft Active Directoryのドキュメントを参照してください。

1. ターゲット・システムでグループ(OIMGroupなど)を作成します。グループを作成する際に、グループの種類として「セキュリティ グループ」を、グループのスコープとして「グローバル」または「ユニバーサル」を選択します。

   ノート:

   親子ドメイン設定では、グループを親ドメインに作成します。

2. このグループをAccount Operatorsグループのメンバーにします。
3. すべての読取り権限をこのグループに割り当てます。フォレストに複数の子ドメインがある場合は、各子ドメインにログインして、各子ドメインのAccount Operatorsグループに前述のグループを追加します。

   ノート:

   読取り権限は、ユーザー・アカウントの「プロパティ」ダイアログ・ボックスの「セキュリティ」タブで割り当てます。このタブは、「拡張機能」ビューでのみ表示されます。このビューに切り替えるには、Microsoft Active Directoryコンソールの「表示」メニューから「拡張機能」を選択します。

4. ターゲット・システムでユーザー(OIMUserなど)を作成します。親子ドメイン設定では、ユーザーを親ドメインに作成します。
5. このユーザーをステップ1で作成したグループ(OIMGroupなど)のメンバーにします。

Microsoft AD LDSでのコネクタ操作用ユーザー・アカウントの作成

コネクタ操作を実行する管理者グループに属するユーザー・アカウントを作成および使用する必要があります。

コネクタ操作用のMicrosoft AD LDSユーザー・アカウントを作成するには、次のようにします。

関連項目:

このステップの詳細は、Microsoft AD LDSのドキュメントを参照してください。

1. Microsoft AD LDSでユーザー・アカウントを作成します。
2. ユーザー・アカウントのパスワードを設定します。
3. msDS-UserAccountDisabledフィールドをfalseに設定して、ユーザー・アカウントを有効にします。
4. userPrincipalNameフィールドに値を入力します。
   値は、user_name@domain_nameという形式で指定する必要があります。たとえば、OIMuser@mydomain.comとなります。
5. ユーザーの識別名をAdministratorsグループに追加します。

   ノート:

   スタンドアロンMicrosoft AD LDSインスタンスにコネクタ操作用のユーザー・アカウントを作成するには、次のようにします。

   1. スタンドアロン・コンピュータにユーザー・アカウントを作成します。

   2. 新しく作成したユーザーをAD LDSのAdministratorsグループ[CN=Administrators,CN=Roles,DC=X]に追加します。

削除ユーザーのリコンシリエーションの実行を行うための権限の割当て

コネクタ操作の実行のために作成したユーザー・アカウントを有効にして、削除リコンシリエーションの実行中に削除されたユーザー・アカウントに関する情報を取得するには、ターゲット・システムの削除されたオブジェクト・コンテナ(CN=DeletedObjects)に権限を割り当てる必要があります。

ノート:

フォレスト環境で、グローバル・カタログ・サーバーを使用してリコンシリエーションを実行する場合は、この項で説明する手順をすべての子ドメインで実行します。

これを行うには、次のようにします。

1. ターゲット・システムに管理者としてログインします。
2. ターミナル・ウィンドウで、次のコマンドを実行します。

   dsacls DELETED_OBJ_DN /takeownership
   

   このコマンドのDELETED_OBJ_DNを、削除されたディレクトリ・オブジェクトの識別名に置き換えます。

   サンプル値:

   dsacls "CN=Deleted Objects,DC=mydomain,dc=com" /takeownership
   

3. ターミナル・ウィンドウで、次のコマンドを実行して、削除ユーザーのリコンシリエーションのスケジュール済ジョブを正常に実行するためのユーザー権限またはグループ権限を付与します。

   dsacls DELETED_OBJ_DN /G USER_OR_GROUP:PERMISSION
   

   このコマンドの次の部分を置き換えます。

   • DELETED_OBJ_DNを削除されたディレクトリ・オブジェクトの識別名に置き換えます。

   • USER_OR_GROUPを権限を割り当てるユーザー名またはグループ名に置き換えます。

   • PERMISSIONを付与する権限に置き換えます。

   サンプル値:

   dsacls "CN=Delet ed Objects,DC=mydomain,dc=com" /G ROOT3\OIMUser:LCRP
   

組織単位およびカスタム・オブジェクト・クラスの制御の委任

デフォルトでは、Account Operatorsグループに属するユーザー・アカウントは、ユーザー・オブジェクトおよびグループ・オブジェクトのみを管理できます。組織単位またはカスタム・オブジェクト・クラスを管理するには、必要な権限をユーザー・アカウントに割り当てる必要があります。言い換えると、組織単位またはカスタム・オブジェクト・クラスの完全な制御をユーザーまたはグループ・オブジェクトに委任する必要があります。また、カスタム・オブジェクト・クラスのプロビジョニングを正常に行うには、これらの権限が必要となります。

これは、オブジェクト制御の委任ウィザードを使用して行います。組織単位の管理の1つの例は、組織単位を作成することです。

ユーザー・アカウントに組織単位またはカスタム・オブジェクト・クラスの制御を委任する手順の詳細は、Microsoft社のドキュメントを参照してください。

コネクタ・サーバーについて

コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。

Active Directory User Managementコネクタをコネクタ・サーバーにリモートでデプロイします。コネクタ・サーバーは、アイデンティティ・コネクタのリモート実行を可能にするMicrosoft Windowsアプリケーションです。

コネクタ・サーバーは、次の2つの実装で使用できます。

• .Netで実装されているアイデンティティ・コネクタにより使用される.Net実装

• Javaベースのアイデンティティ・コネクタにより使用されるJavaコネクタ・サーバー実装

Active Directory User Managementコネクタは.Netに実装されているため、このコネクタは.Netフレームワークベースのコネクタ・サーバーにデプロイする必要があります。

Microsoft .Netコネクタ・サーバーのインストール、構成およびアップグレードの手順の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のMicrosoft .NET Frameworkコネクタ・サーバーの使用に関する項を参照してください。

Microsoft Active Directory User Managementコネクタのロギングの管理

Active Directory User Managementコネクタのロギングは、コネクタ・サーバーをホストするコンピュータで有効化され管理されます。次の各項では、詳細を説明します。

• Microsoft Active Directory User Managementコネクタのロギングの有効化

• ログ・ファイル・ローテーションの構成

Microsoft Active Directory User Managementコネクタのロギングの有効化

Active Directory User Managementコネクタは、.NETフレームワークの組込みロギング・メカニズムを使用します。Active Directory User ManagementコネクタのロギングはOracle Identity Managerに統合されていません。ログ・レベルは、.NETコネクタ・サーバー構成ファイル(ConnectorServer.exe.config)で設定されます。

Active Directory User Managementコネクタのロギングを有効にするには、次の手順を実行します。

1. ConnectorServer.exe.configファイルがインストールされているディレクトリに移動します。デフォルト・ディレクトリはC:\Program Files\Identity Connectors\Connector Server.です

   ConnectorServer.exe.configファイルはこのディレクトリにあります。

2. ConnectorServer.exe.configファイルに、太字で示す次の行を追加します。

   <system.diagnostics>
     <trace autoflush="true" indentsize="4">
       <listeners>
         <remove name="Default" />
         <add name="myListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="c:\connectorserver2.log" traceOutputOptions="DateTime">
           <filter type="System.Diagnostics.EventTypeFilter" initializeData="Information" />
         </add>
       </listeners>
     </trace>
     <switches>
       <add name="ActiveDirectorySwitch" value="4" />
     </switches>
   </system.diagnostics>
   

   value="4"はログ・レベルをVerboseに設定します。この値は、次のログ・レベルのいずれかに設定できます。

   • value="4"またはvalue="Verbose"

     この値は、ログ・レベルを詳細レベルに設定します。これは最も詳細です

   • value="3"またはvalue="Information"

     この値は、ログ・レベルを情報レベルに設定します。

   • value="2"またはvalue="Warning"

     この値は、ログ・レベルを警告レベルに設定します。

   • value="1"またはvalue="Error"

     この値は、ログ・レベルをエラー・レベルに設定します。

   • value="0"

     値が"0"に設定されている場合、ロギングは構成されません。

   ただし、ロギング・レベルは.NETコネクタ・サーバーのパフォーマンスに直接影響することに注意してください。

3. 構成の変更を行った後で、.NETコネクタ・サーバー・サービスを停止してから再起動します。または、次のコマンドを使用して.NETコネクタ・サーバーを再起動することもできます。

   ConnectorServer.exe /run

ログ・ファイル・ローテーションの構成

リコンシリエーション操作およびプロビジョニング操作の過程で発生するイベントの情報がログ・ファイルに格納されます。コネクタを一定期間使用するにつれて、ログ・ファイルに書き込まれる情報の容量が増加します。ローテーションを行わないと、ログ・ファイルが巨大になります。

これを回避するために、この項で説明する手順を実行してログ・ファイルのローテーションを構成します。

1日単位のログ・ファイルのローテーションを構成するには、次の手順を実行します。

1. コネクタ・サーバーをホストしているコンピュータにログインします。
2. コネクタ・サーバーを停止します。
3. ConnectorServer.exe.configファイルのバックアップを作成します。このファイルのデフォルトの場所はC:\Program Files\Identity Connectors\Connector Serverです。
4. テキスト・エディタで編集するためにConnectorServer.exe.configファイルを開きます。
5. <listeners>および</listeners>要素を検索し、これらの要素の間のテキストを次のテキストで置き換えます。

   <remove name="Default" />
   <add name="FileLog" type="Microsoft.VisualBasic.Logging.FileLogTraceListener,Microsoft.VisualBasic,Version=8.0.0.0,Culture=neutral,PublicKeyToken=b03f5f7f11d50a3a"
   initializeData="FileLogWriter"
   traceOutputOptions="DateTime"
   BaseFileName="ConnectorServerDaily"
   Location="Custom"
   CustomLocation="C:\ConnectorServerLog\"
   LogFileCreationSchedule="Daily">
   <filter type="System.Diagnostics.EventTypeFilter" initializeData="Information"/>
   </add>
   

6. ファイルを保存して閉じます。
7. コネクタ・サーバーを起動します。

関連項目:

ログ・ファイル・ローテーションの構成の詳細は、次のURLを参照してください。

http://msdn.microsoft.com/en-us/library/microsoft.visualbasic.logging.filelogtracelistener.aspx

インストール

Oracle Identity ManagerにActive Directory User Managementコネクタをインストールする必要があり、必要に応じてコネクタ・サーバーにコネクタ・コード・バンドルを配置する必要があります。

次の各トピックでは、Active Directory User Managementコネクタのインストールについて説明します。

• Oracle Identity ManagerでのMicrosoft Active Directory User Managementコネクタのインストール

• コネクタ・サーバーでのMicrosoft Active Directory User Managementコネクタのインストール

Oracle Identity ManagerでのMicrosoft Active Directory User Managementコネクタのインストール

Oracle Identity Managerでのインストール時の作業では、次の手順を実行します。

• コネクタ・インストーラの実行

• Microsoft ADおよびAD LDSのITリソースの構成

ノート:

.NETコネクタ・サーバーの構成の詳細は、.NETコネクタ・サーバーの構成に関する項を参照してください。

コネクタ・インストーラの実行

ノート:

このマニュアルでは、コネクタ・インストーラという用語は、管理およびユーザー・コンソールのコネクタ・インストーラ機能を指しています。

コネクタ・インストーラを実行するには、次のようにします。

1. コネクタ・インストール・メディア・ディレクトリの内容を次のディレクトリにコピーします。

   OIM_HOME/server/ConnectorDefaultDirectory

2. 使用しているOracle Identity Managerのリリースに応じて、次のいずれかのステップを実行します。

   • Oracle Identity Managerリリース11.1.1.xの場合:

     1. 管理およびユーザー・コンソールにログインします。

     2. 「Identity Manager拡張管理へようこそ」ページの「システム管理」領域で、「コネクタの管理」をクリックします。

   • Oracle Identity Managerリリース11.1.2.x以降の場合:

     1. Oracle Identity System Administrationにログインします。

     2. 左ペインの「システム管理」で、「コネクタの管理」をクリックします。

3. 「コネクタの管理」ページで「インストール」をクリックします。

4. 「コネクタ・リスト」リストから、ActiveDirectory RELEASE_NUMBERを選択します。このリストには、ステップ1でインストール・ファイルをデフォルト・コネクタ・インストール・ディレクトリにコピーしたコネクタの、名前およびリリース番号が表示されます。

   インストール・ファイルを異なるディレクトリにコピーした場合は、次のようにします。

   1. 「代替ディレクトリ」フィールドに、該当するディレクトリのフルパスおよび名前を入力します。

   2. 「リフレッシュ」をクリックして、「コネクタ・リスト」に含まれるコネクタのリストを再移入します。

   3. 「コネクタ・リスト」リストから、ActiveDirectory RELEASE_NUMBERを選択します。

5. 「ロード」をクリックします。

6. 「続行」をクリックして、インストール処理を開始します。

   次のタスクを順に実行します。

   1. コネクタ・ライブラリの構成

   2. コネクタのXMLファイルのインポート(デプロイメント・マネージャを使用)

   3. アダプタのコンパイル

   正常に完了したタスクには、チェックマークが表示されます。タスクが失敗すると、Xマークと失敗した理由を示すメッセージが表示されます。失敗の理由に応じて必要な修正を行い、次のいずれかのステップを実行します。

   • 「再試行」をクリックして、インストールを再試行します。

   • インストールを取り消して、ステップ1から再度実行します。

7. コネクタのインストール手順の3つのタスクがすべて正常に終了すると、インストールの成功を示すメッセージが表示されます。また、インストール後に実行する必要があるステップが一覧表示されます。これらのステップは次のとおりです。

   1. コネクタの使用の前提条件が満たされていることの確認

      ノート:

      この段階で、前提条件のリストを表示するには、Oracle Identity Manager PurgeCacheユーティリティを実行し、サーバー・キャッシュにコネクタ・リソース・バンドルの内容をロードします。PurgeCacheユーティリティの実行の詳細は、サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去を参照してください。

      事前定義されたコネクタには前提条件がない場合があります。

   2. コネクタのITリソースの構成

      ITリソースを構成する手順は、このガイドで後述します。

   3. スケジュール済ジョブの構成

      これらのスケジュール済ジョブを構成する手順は、このガイドで後述します。

コネクタ・インストーラを実行すると、コネクタ・ファイルおよび外部コード・ファイルがOracle Identity Managerホスト・コンピュータ上のコピー先ディレクトリにコピーされます。これらのファイルは、表2-1に示しています。

Microsoft ADおよびAD LDSのITリソースの構成

ノート:

ターゲット・システムを信頼できるソースとして構成した場合は、Active DirectoryタイプのITリソースを作成します。たとえば、Active Directory Trustedです。このITリソースのパラメータは、この項のMicrosoft ADおよびAD LDSのITリソースの構成で示されているITリソースのパラメータと同じです。ITリソースの作成の詳細は、『Oracle Identity Managerの管理』のITリソースの作成に関する項を参照してください。

ターゲット・システムのITリソースは、コネクタのインストール時に作成されます。このITリソースには、ターゲット・システムに関する接続情報が含まれます。Oracle Identity Managerは、リコンシリエーションおよびプロビジョニング時にこの情報を使用します。

次の手順に従って、Active Directory ITリソースのパラメータの値を指定する必要があります。

1. 使用しているOracle Identity Managerのリリースに応じて、次のいずれかのステップを実行します。

   • Oracle Identity Managerリリース11.1.1.xの場合:

     管理およびユーザー・コンソールにログインします。

   • Oracle Identity Managerリリース11.1.2.x以降の場合:

     Oracle Identity System Administrationにログインします。

2. Oracle Identity Managerリリース11.1.1.xを使用している場合:

   1. 「ようこそ」ページでページの右上の「拡張」をクリックします。

   2. 「Oracle Identity Manager拡張管理へようこそ」ページの「構成」リージョンで、「ITリソースの管理」をクリックします。

3. Oracle Identity Managerリリース11.1.2.x以降を使用している場合、左ペインの「構成」で、「ITリソース」をクリックします。

4. 「ITリソースの管理」ページの「ITリソース名」フィールドにActive Directoryと入力して、「検索」をクリックします。図2-1に、「ITリソースの管理」ページを示します。

   図2-1 「ITリソースの管理」ページ

   
   「図2-1 「ITリソースの管理」ページ」の説明

5. Active Directory ITリソースに対応する編集アイコンをクリックします。

6. ページ上部のリストから、「詳細およびパラメータ」を選択します。

7. Active Directory ITリソースのパラメータの値を指定します。図2-2に、「ITリソースの詳細およびパラメータの編集」ページを示します。

   図2-2 Active Directory ITリソースの「ITリソースの詳細およびパラメータの編集」ページ

   
   「図2-2 Active Directory ITリソースの「ITリソースの詳細およびパラメータの編集」ページ」の説明

   次のリストに、Active Directory ITリソースの各パラメータの説明を示します。

   • ADLDSPort

     Microsoft AD LDSがリスニングを行うポートの番号を入力します。

     サンプル値: 50001

     ノート:

     Microsoft Active Directoryをターゲット・システムとして使用している場合は、このパラメータの値を入力しないでください。

   • BDCHostNames

     プライマリ・ドメイン・コントローラが使用できなくなった場合に、Oracle Identity Managerが切り替える必要があるバックアップ・ドメイン・コントローラのホスト名を入力します。

     サンプル値: mydc1;mydc2;mydc3

     ノート:

     複数のバックアップ・ドメイン・コントローラは、セミコロン(;)で区切る必要があります。

   • Configuration Lookup

     このパラメータは、リコンシリエーションとプロビジョニングの際に使用される構成情報を格納する参照定義の名前を含みます。

     ターゲット・システムをターゲット・リソースとして構成した場合は、Lookup.Configuration.ActiveDirectoryを入力します。

     ターゲット・システムを信頼できるソースとして構成した場合は、Lookup.Configuration.ActiveDirectory.Trustedを入力します。

     デフォルト値: Lookup.Configuration.ActiveDirectory

   • Connector Server Name

     Connector ServerタイプのITリソースの名前。コネクタ・サーバーのITリソースは、「コネクタ・サーバーのITリソースの構成」に従って作成します。

     ノート:

     このパラメータの値を入力するのは、Active Directory User Managementコネクタをコネクタ・サーバーにデプロイした場合のみです。

     デフォルト値: Active Directory Connector Server

   • Container

     Oracle Identity Managerのプロビジョニングまたはリコンシリエーションを行う必要があるユーザー・コンテナの完全修飾ドメイン名をそれぞれ入力します。

     サンプル値: DC=example,DC=com

   • DirectoryAdminName

     「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」に記載されている手順を実行して作成したアカウントのユーザー名を入力します。

     このパラメータの値は次の形式で入力します。

     DOMAIN_NAME\USER_NAME

     サンプル値: mydomain\admin

     ノート:

     AD LDSをターゲット・システムとして使用しており、かつこのコンピュータがワークグループに属している場合は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」で作成したアカウントのユーザー名を入力してください。

     このパラメータの値は次の形式で入力します。

     USER_NAME

     サンプル値: admin

   • DirectoryAdminPassword

     「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」に記載されている手順を実行して作成したユーザー・アカウントのパスワードを入力します。

   • DomainName

     コネクタのインストール先であるMicrosoft Active Directoryドメイン・コントローラに対応するドメイン名を入力します。

     サンプル値: example.com

     ノート:

     Microsoft Active Directoryをターゲット・システムとして使用している場合、これは必須パラメータです。

   • isADLDS

     ターゲット・システムがMicrosoft AD LDSであることを指定する場合は、yesと入力します。

     ターゲット・システムがMicrosoft Active Directoryであることを指定する場合は、noと入力します。

   • LDAPHostName

     Microsoft Active DirectoryがインストールされているMicrosoft Windowsコンピュータ(ターゲット・システムのホスト・コンピュータ)のホスト名、IPアドレスまたはドメイン名を入力します。

     ノート:

     このパラメータとBDCHostNamesパラメータ(この表の前の部分を参照)の値を指定しない場合、サーバーレス・バインディングが使用されます。コネクタはADSIを活用してドメインのドメイン・コントローラを判別し、ディレクトリ・エントリを作成します。したがって、ターゲット・システムとのすべての相互作用はドメイン・コントローラに固有のものではありません。

     ホスト名を判別するには、ターゲット・システムをホストするコンピュータで「コンピューター」を右クリックして「プロパティ」を選択します。「システムのプロパティ」ダイアログ・ボックスの「コンピューター名」タブで、ホスト名が「フル コンピューター名」フィールドの値として示されます。

     サンプル値:

     w2khost

     172.20.55.120

     example.com

   • SyncDomainController

     ユーザー・アカウントをリコンサイルする必要があるドメイン・コントローラの名前を入力します。

     ノート:

     このパラメータに指定される値が使用されるのは、SearchChildDomains参照エントリの値がnoに設定されている場合です。SyncDomainControllerパラメータに値が指定されず、SearchChildDomains参照エントリがnoに設定されている場合、コネクタはターゲット・システムのドメイン・コントローラを自動的に検出して、そのドメイン・コントローラからユーザーをリコンサイルします。

     サンプル値: mynewdc

   • SyncGlobalCatalogServer

     グローバル・カタログ・サーバーが配置されているホストを入力します。

     ノート:

     このパラメータに指定される値が使用されるのは、SearchChildDomains参照エントリの値がyesに設定されている場合です。SyncGlobalCatalogServerパラメータに値が指定されず、SearchChildDomains参照エントリがyesに設定されている場合、コネクタはターゲット・システムのグローバル・カタログ・サーバーを自動的に検出して、そのグローバル・カタログ・サーバーが実行しているドメイン・コントローラからユーザー・アカウントをリコンサイルします。

     SearchChildDomains参照エントリをyesに設定した場合は、このパラメータの値を指定することをお薦めします。

     サンプル値: myglobalcatalogdc

   • UseSSL

     ターゲット・システムがSSLに対応するように構成されている場合は、yesを入力します。これにより、コネクタ・サーバーとターゲット・システムの間のセキュアな通信が実現します。それ以外の場合は、noを入力します。

     デフォルト値: no

     ノート:

     • プロビジョニング操作の際にユーザー・パスワードをリセットするため、ターゲット・システムとの通信はセキュアであることが必要です。.NETコネクタ・サーバーとMicrosoft Active Directory間のデフォルト通信はセキュアです。したがって、このパラメータの値をnoに設定しても、プロビジョニング操作でユーザー・パスワードをリセットすることが可能です。デフォルト通信がセキュアであるためです。SSLの構成の詳細は、「Microsoft Active DirectoryとMicrosoft AD LDSでのSSLの構成」を参照してください。

     • .NETコネクタ・サーバーとMicrosoft AD LDS間のデフォルト通信はセキュアではありません。したがって、パスワード・リセット・プロビジョニング操作を有効にするには、このパラメータの値をyesに設定して、Microsoft AD LDSとの通信を保護する必要があります。SSLの構成の詳細は、「コネクタ・サーバーとMicrosoft AD LDS間のSSLの構成」を参照してください。

8. 値を保存するには、「更新」をクリックします。

コネクタ・サーバーでのMicrosoft Active Directory User Managementコネクタのインストール

コネクタ・サーバーでのインストール時の作業では、次の手順を実行します。

• コネクタ・サーバーへのコネクタ・バンドルのコピーと抽出

• コネクタ・サーバーのITリソースの構成

コネクタ・サーバーへのコネクタ・バンドルのコピーと抽出

コネクタ・バンドルをコネクタ・サーバーにコピーして抽出するには、次の手順を実行します。

1. コネクタ・サーバーを停止します。

   ノート:

   必要なコネクタ・サーバーをOracle Technology Network Webページからダウンロードできます。

2. インストール・メディアからbundle/ActiveDirectory.Connector-1.1.0.6380.zipファイルをCONNECTOR_SERVER_HOMEディレクトリにコピーして、内容を抽出します。
3. コネクタ・サーバーを起動すると、コネクタ・バンドルがコネクタ・サーバーによって選択されます。

コネクタ・サーバーのITリソースの構成

ノート:

コネクタをインストールすると、Active Directory Connector Serverという名前のコネクタ・サーバー用の事前定義済ITリソースが使用できるようになります。この事前定義済ITリソースのパラメータは、表2-1のパラメータと同じです。

Active Directory ITリソースの構成に加えて、コネクタ・サーバーのITリソースを次のように構成する必要があります。

1. 使用しているOracle Identity Managerのリリースに応じて、次のいずれかのステップを実行します。

   • Oracle Identity Managerリリース11.1.1.xの場合:

     管理およびユーザー・コンソールにログインします。

   • Oracle Identity Managerリリース11.1.2.x以降の場合:

     Oracle Identity System Administrationにログインします。

2. Oracle Identity Managerリリース11.1.1.xを使用している場合:

   1. 「ようこそ」ページでページの右上の「拡張」をクリックします。

   2. 「Oracle Identity Manager拡張管理へようこそ」ページの「構成」リージョンで、「ITリソースの管理」をクリックします。

3. Oracle Identity Managerリリース11.1.2.x以降を使用している場合、左ペインの「構成」で、「ITリソース」をクリックします。

4. 「ITリソースの管理」ページの「ITリソース名」フィールドにActive Directory Connector Serverと入力して、「検索」をクリックします。

5. Active Directoryコネクタ・サーバーのITリソースに対応する編集アイコンをクリックします。

6. ページ上部にあるリストから、「詳細およびパラメータ」を選択します。

7. 表2-1のように、Active Directoryコネクタ・サーバーITリソースのパラメータの値を指定します。

   表2-1 Active Directoryコネクタ・サーバーITリソースのパラメータ

   パラメータ	説明
   Host	コネクタ・サーバーのホスト・コンピュータのホスト名またはIPアドレスを入力します。 サンプル値: myhost.com
   Key	コネクタ・サーバーのキーを入力します。
   Port	コネクタ・サーバーがリスニングしているポートの番号を入力します。 デフォルト値: 8759
   Timeout	コネクタ・サーバーとOracle Identity Managerとの間の接続がタイムアウトするまでの秒数を指定する整数値を入力します。 サンプル値: 0 値0では、接続はタイムアウトしません。
   UseSSL	Oracle Identity Managerとコネクタ・サーバーとの間にSSLを構成するよう指定する場合は、trueを入力します。それ以外の場合は、falseを入力します。 デフォルト値: false ノート: SSLを構成してコネクタ・サーバーとの通信を保護することをお薦めします。Oracle Identity Managerとコネクタ・サーバーの間でSSLを構成するには、「Oracle Identity Managerとコネクタ・サーバーの間でのSSLの構成」を参照してください。

8. 「更新」をクリックして値を保存します。

インストール後の作業

次の各項では、インストール後のステップを詳しく説明します。

• Oracle Identity Manager 11.1.2以降の構成

• UIフォームにおけるフィールド・ラベルのローカライズ

• サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去

• 接続プーリングの参照定義の設定

• Ignore Event API用の参照定義の設定

• Microsoft AD LDSターゲット・システムでのコネクタの構成

• リクエストベース・プロビジョニングのためのOracle Identity Managerの構成

• 組織のプロビジョニングのためのコネクタの構成

• Microsoft Active Directoryでのパスワード・ポリシーの有効化または無効化

• Microsoft Active DirectoryとMicrosoft AD LDSでのSSLの構成

Oracle Identity Manager 11.1.2以降の構成

Oracle Identity Managerリリース11.1.2以降を使用している場合は、UIフォームやアプリケーション・インスタンスなどの追加のメタデータを作成する必要があります。さらに、権限およびカタログ同期化ジョブを実行する必要があります。これらの手順について、次の各項で説明します。

• サンドボックスの作成およびアクティブ化

• UIフォームの新規作成

• アプリケーション・インスタンスの作成

• サンドボックスの公開

• 権限および同期カタログの収集

サンドボックスの作成およびアクティブ化

次のようにして、サンドボックスを作成し、アクティブ化します。手順の詳細は、Oracle Identity Managerの管理のサンドボックスの管理を参照してください。

1. Oracle Identity System Administrationにログインします。
2. ページの右上にある、「サンドボックス」リンクをクリックします。

   「サンドボックスの管理」ページが表示されます。

3. ツールバーで、「サンドボックスの作成」をクリックします
4. 「サンドボックスの作成」ダイアログ・ボックスで、次の各フィールドに値を入力します。

   • サンドボックス名: サンドボックスの名前を入力します。

   • サンドボックスの説明: サンドボックスの説明を入力します。

5. 「保存して閉じる」をクリックします
6. 表示されている確認メッセージで、「OK」をクリックします。

   サンドボックスが作成され、「サンドボックスの管理」ページの「使用可能なサンドボックス」セクションに表示されます。

7. 「サンドボックスの管理」ページの使用可能なサンドボックスが表示される表から、アクティブにする新規作成されたサンドボックスを選択します。
8. ツールバーで、「サンドボックスのアクティブ化」をクリックします

   サンドボックスがアクティブ化されます。

UIフォームの新規作成

次のようにして、UIフォームを新規作成します。手順の詳細は、Oracle Identity Managerの管理のフォームの管理を参照してください。

1. 左ペインの「構成」で、「フォーム・デザイナ」をクリックします「フォーム・デザイナ」ページが表示されます。
2. 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「フォームの作成」ページが表示されます。
3. 「フォームの作成」ページで、次の各UIフィールドに値を入力します。

   • リソース・タイプ: フォームを関連付けるリソース・オブジェクトを選択します。たとえば、ADユーザー。

   • フォーム名: フォームの名前を入力します。

4. 「作成」をクリックします。

   フォームが作成されたことを示すメッセージが表示されます。

アプリケーション・インスタンスの作成

次のようにして、アプリケーション・インスタンスを作成します。手順の詳細は、Oracle Identity Managerの管理のアプリケーション・インスタンスの管理を参照してください。

1. システム管理コンソールの左ペインの「構成」で、「アプリケーション・インスタンス」をクリックします「アプリケーション・インスタンス」ページが表示されます。
2. 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「アプリケーション・インスタンスの作成」ページが表示されます。
3. 次のフィールドの値を指定します。

   • 名前: アプリケーション・インスタンスの名前。

   • 表示名: アプリケーション・インスタンスの表示名。

   • 説明: アプリケーション・インスタンスの説明。

   • リソース・オブジェクト: リソース・オブジェクト名。このフィールドの横にある検索アイコンをクリックして検索し、ADユーザーを選択します。

   • ITリソース・インスタンス: ITリソース・インスタンス名。このフィールドの横にある検索アイコンをクリックして検索し、「Active Directory」を選択します。

   • フォーム: フォーム名(「UIフォームの新規作成」で作成済)を選択します。

4. 「保存」をクリックします。アプリケーション・インスタンスが作成されます。
5. アプリケーション・インスタンスを組織に公開して、アプリケーション・インスタンスのリクエストとそれに続くユーザーへのプロビジョニングを可能にします。手順の詳細は、Oracle Identity Managerの管理のアプリケーション・インスタンスに関連付けられた組織の管理を参照してください。

サンドボックスの公開

サンドボックスの作成およびアクティブ化で作成したサンドボックスを公開するには、次のようにします。

1. 開いているすべてのタブおよびページを閉じます。
2. ページの右上にある、「サンドボックス」リンクをクリックします。

   「サンドボックスの管理」ページが表示されます。

3. 「サンドボックスの管理」ページの使用可能なサンドボックスが表示される表から、サンドボックスの作成およびアクティブ化で作成したサンドボックスを選択します。
4. ツールバーで、「サンドボックスの公開」をクリックします確認を求めるメッセージが表示されます。
5. 「はい」をクリックして確認します。サンドボックスが公開され、それに含まれるカスタマイズがメインラインとマージされます。

権限および同期カタログの収集

権限の収集とカタログ同期化を行うには、次の手順を実行します。

1. 参照フィールド同期のスケジュール済ジョブに記載されている、参照フィールド同期のスケジュール済ジョブを実行します。
2. 権限リスト・スケジュール済ジョブを実行して、子プロセス・フォーム表から権限割当てスキーマを移入します。このスケジュール済ジョブの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理の事前定義済のスケジュール済タスクを参照してください。
3. カタログ同期化ジョブ・スケジュール済ジョブを実行します。このスケジュール済ジョブの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理の事前定義済のスケジュール済タスクに関する項を参照してください。

UIフォームにおけるフィールド・ラベルのローカライズ

ノート:

この項で説明する手順は、Oracle Identity Managerリリース11.1.2.x以降を使用しており、UIフォーム・フィールド・ラベルをローカライズする場合にのみ実行します。

UIフォームで追加するフィールド・ラベルをローカライズするには:

1. Oracle Enterprise Managerにログインします。

2. 左側のペインで、「アプリケーションのデプロイ」を開き、oracle.iam.console.identity.sysadmin.earを選択します。

3. 右側のペインで、「アプリケーションのデプロイ」リストから、「MDS構成」を選択します。

4. 「MDS構成」ページで、「エクスポート」をクリックして、ローカル・コンピュータにアーカイブを保存します。

5. アーカイブの内容を抽出し、テキスト・エディタで次のいずれかのファイルを開きます。

   • Oracle Identity Manager 11gリリース2 PS2 (11.1.2.2.0)の場合:

     SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle_en.xlf

   • Oracle Identity Manager 11gリリース2 PS2 (11.1.2.2.0)より前のリリースの場合:

     SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle.xlf

6. BizEditorBundle.xlfファイルを次の方法で編集します。

   1. 次のテキストを検索します。

      <file source-language="en"  
      original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
      datatype="x-oracle-adf">
      

   2. 次のテキストで置き換えます。

      <file source-language="en" target-language="LANG_CODE"
      original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
      datatype="x-oracle-adf">
      

      このテキストで、LANG_CODEを、フォーム・フィールド・ラベルをローカライズする言語のコードに置き換えます。フォーム・フィールド・ラベルを日本語でローカライズする場合の値の例を次に示します。

      <file source-language="en" target-language="ja"
      original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
      datatype="x-oracle-adf">
      

   3. アプリケーション・インスタンスのコードを検索します。この手順では、Microsoft Active Directoryアプリケーション・インスタンスの編集例を示します。元のコードは次のとおりです。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.<Field_Name>__c_description']}">
      <source><Field_Label></source>
      <target/>
      </trans-unit>
      <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.ad11.entity.<UI_Form_NaME>EO.<Field_Name>__c_LABEL">
      <source><Field_Label></source>
      <target/>
      </trans-unit>
      

      コードの編集例を次に示します。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_ADUSER_FULLNAME__c_description']}">
      <source>Full Name</source>
      <target/>
      </trans-unit>
      <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.ad11.entity.ad11EO.UD_ADUSER_FULLNAME__c_LABEL">
      <source>Full Name</source>
      <target/>
      </trans-unit>
      

   4. コネクタ・パッケージに入っているリソース・ファイル(たとえば、ActiveDirectoryIdC_ja.properties)を開き、そのファイルから属性の値(たとえば、global.udf.UD_ADUSER_FULLNAME=\u6C0F\u540D)を取得します。

   5. ステップ6.cに示されている元のコードを、次のものに置き換えます。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_<Field_Name>__c_description']}">
      <source>< Field_Label></source>
      <target>global.udf.<UD_<Field_Name></target>
      </trans-unit>
      <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.<UI_Form_Name>.entity. <UI_Form_Name>EO.UD_<Field_Name>__c_LABEL">
      <source><Field_Label></source>
      <target><global.udf.UD_Field_Name></target>
      </trans-unit>
      

      Full Nameの場合のコード例を次に示します。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_ADUSER_FULLNAME__c_description']}">
      <source>Full Name</source>
      <target>\u6C0F\u540D</target>
      </trans-unit>
      <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.ad11.entity.ad11EO.UD_ADUSER_FULLNAME__c_LABEL">
      <source>Full Name</source>
      <target>\u6C0F\u540D</target>
      </trans-unit>
      

   6. プロセス・フォームのすべての属性に対し、ステップ6.aから6.dを繰り返します。

   7. ファイルをBizEditorBundle_LANG_CODE.xlfとして保存します。このファイル名で、LANG_CODEを、ローカライズする言語のコードに置き換えます。

      サンプル・ファイル名: BizEditorBundle_ja.xlf.

7. ZIPファイルを再パッケージしてMDSにインポートします。

   関連項目:

   メタデータ・ファイルのエクスポートおよびインポートの詳細は、『Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』の「カスタマイズのデプロイおよびデプロイ解除」を参照してください。

8. Oracle Identity Managerからログアウトしてから、ログインします。

サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去

コネクタをデプロイすると、リソース・バンドルがインストール・メディアのresourcesディレクトリからOracle Identity Managerデータベースにコピーされます。connectorResourcesディレクトリに新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。

コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。

1. コマンド・ウィンドウでOIM_HOME/server/binディレクトリに切り替えます。

   ノート:

   ステップ2を実行する前にステップ1を実行する必要があります。ステップ2で説明するコマンドを実行すると次のように例外がスローされます。

   OIM_HOME/server/bin/SCRIPT_FILE_NAME
   

2. 次のいずれかのコマンドを入力します。

   ノート:

   コンテンツ・カテゴリのキャッシュをパージするには、PurgeCacheユーティリティを使用できます。Microsoft WindowsではPurgeCache.bat CATEGORY_NAME、UNIXではPurgeCache.sh CATEGORY_NAMEを実行します。CATEGORY_NAME引数は、パージする必要のあるコンテンツ・カテゴリの名前を表します。

   たとえば、次のコマンドを実行すると、サーバー・キャッシュからメタデータ・エントリがパージされます。

   PurgeCache.bat MetaData

   PurgeCache.sh MetaData

   Microsoft Windowsの場合: PurgeCache.bat All

   UNIXの場合: PurgeCache.sh All

   プロンプトが表示されたら、SYSTEM ADMINISTRATORSグループに属するアカウントのユーザー名とパスワードを入力します。さらに、次の書式でサービスURLを入力するように求められます。

   t3://OIM_HOST_NAME:OIM_PORT_NUMBER
   

   この書式の詳細は次のとおりです。

   • OIM_HOST_NAMEは、Oracle Identity Managerホスト・コンピュータのホスト名またはIPアドレスで置き換えます。

   • OIM_PORT_NUMBERは、Oracle Identity Managerがリスニングを行うポートで置き換えます。

接続プーリングの参照定義の設定

接続プーリングにより、物理接続の再利用およびアプリケーションのオーバーヘッドの削減が可能です。コネクタ・プーリングの参照定義の設定手順は、次の各項に分けることができます。

• 接続プーリングのプロパティ

• 接続プーリングのプロパティの追加

接続プーリング・プロパティ

デフォルトではこのコネクタはICF接続プーリングを使用します。表2-2に、接続プーリング・プロパティ、その説明、およびICFでのデフォルト値セットを示します。

表2-2 接続プーリング・プロパティ

プロパティ	説明
Pool Max Idle	プール内のアイドル状態のオブジェクトの最大数。 デフォルト値: 10
Pool Max Size	プールで作成できる接続の最大数。 デフォルト値: 10
Pool Max Wait	プールが空きオブジェクトを操作に使用できるようになるまで待機する必要のある最大時間(ミリ秒)。 デフォルト値: 150000
プールの最小削除アイドル時間	コネクタがアイドル状態のオブジェクトを削除するまで待機する必要のある最小時間(ミリ秒)。 デフォルト値: 120000
Pool Min Idle	プール内のアイドル状態のオブジェクトの最小数。 デフォルト値: 1

接続プーリングのプロパティの追加

ご使用の環境の要件に合う値を使用するように接続プーリング・プロパティを追加する場合は、次の手順を実行します。

1. Design Consoleにログインします。
2. 「Administration」,を開き、「Lookup Definition」をダブルクリックします
3. 次のいずれかの参照定義を検索して開きます。

   信頼できるソース・モードの場合: Lookup.Configuration.ActiveDirectory.Trusted

   ターゲット・リソース・モードの場合: Lookup.Configuration.ActiveDirectory

4. 参照コード情報タブで「追加」をクリックします。

   新しい行が追加されます。

5. 新しい行のコード・キー列に、Pool Max Idleと入力します。
6. 新しい行のデコード 列に、プールの最大アイドル数プロパティに対応する値を入力します。
7. ステップ4から6までを繰り返して、表2-2に示されている接続プーリング・プロパティをそれぞれ追加します。
8. 「保存」アイコンをクリックします。

Ignore Event API用の参照定義の設定

このセクションのトピックは次のとおりです:

• Ignore Event Disabledエントリの理解

• Ignore Event Disabledエントリの追加

Ignore Event Disabledエントリの理解

「Ignore Event Disabled」エントリを構成参照定義(Lookup.Configuration.ActiveDirectory.TrustedおよびLookup.Configuration.ActiveDirectory、それぞれ信頼できるソースおよびターゲット・リソース・モード用)に追加して、すでにOracle Identity Managerに存在するターゲット・システム・レコードに対してリコンシリエーション・イベントを作成する必要があるかどうかを指定できます。

Ignore Event Disabledエントリの値をtrueに設定した場合、Oracle Identity Managerに存在するかどうかに関係なく、ターゲット・システムからフェッチされているすべてのレコードに対して、リコンシリエーション・イベントが作成されます。このエントリの値をfalseに設定した場合、Oracle Identity Managerにすでに存在しているターゲット・システム・レコードに対して、リコンシリエーション・イベントは作成されません。

Ignore Event Disabledエントリの追加

Ignore Event Disabledエントリを追加して、Oracle Identity Managerにすでに存在するターゲット・システム・レコードに対してリコンシリエーション・イベントを作成する必要があるかどうかを指定します。これを行うには、次のようにします。

1. Design Consoleにログインします。
2. 「Administration」,を開き、「Lookup Definition」をダブルクリックします
3. 次のいずれかの参照定義を検索して開きます。

   信頼できるソース・モードの場合: Lookup.Configuration.ActiveDirectory.Trusted

   ターゲット・リソース・モードの場合: Lookup.Configuration.ActiveDirectory

4. 参照コード情報タブで「追加」をクリックします。

   新しい行が追加されます。

5. 新しい行のCode Key列に、Ignore Event Disabledを入力します。
6. 新しい行のDecode列に、要件に応じて、trueまたはfalseを入力します。
7. 「保存」アイコンをクリックします。

Microsoft AD LDSターゲット・システムでのコネクタの構成

ノート:

ターゲット・システムとしてAD LDSを使用している場合のみ、この項で説明する手順を実行します。

AD LDSターゲット・システムに対してコネクタの使用を開始する前に、次の手順を実行する必要があります。

1. Design Consoleにログインします。

2. 「Administration」を開き、「Lookup Definition」をダブルクリックします。

3. Lookup.ActiveDirectory.UM.Configuration参照定義を次のように変更します。

   1. Lookup.ActiveDirectory.UM.Configuration参照定義を検索して開きます。

   2. Lookup.ActiveDirectory.UM.ProvAttrMapのデコード値をLookup.ActiveDirectoryLDS.UM.ProvAttrMapに変更します。

   3. Lookup.ActiveDirectory.UM.ReconAttrMapのデコード値をLookup.ActiveDirectoryLDS.UM.ReconAttrMapに変更します。

4. Lookup.ActiveDirectory.GM.Configuration参照定義を次のように変更します。

   1. Lookup.ActiveDirectory.GM.Configuration参照定義を検索して開きます。

   2. Lookup.ActiveDirectory.GM.ProvAttrMapのデコード値をLookup.ActiveDirectoryLDS.GM.ProvAttrMapに変更します。

   3. Lookup.ActiveDirectory.GM.ReconAttrMapのデコード値をLookup.ActiveDirectoryLDS.GM.ReconAttrMapに変更します。

5. Lookup.ActiveDirectory.UM.Configuration.Trusted参照定義を次のように変更します。

   1. Lookup.ActiveDirectory.UM.Configuration.Trusted参照定義を検索して開きます。

   2. Lookup.ActiveDirectory.UM.Configuration.Trustedのデコード値をLookup.ActiveDirectoryLDS.UM.Configuration.Trustedに変更します。

6. ターゲット・システムをターゲット・リソースとして構成した場合は、Lookup.ActiveDirectory.UM.ProvAttrMapおよびLookup.ActiveDirectory.UM.ReconAttrMap参照定義からターミナル・サービス・フィールド固有のエントリを削除します。たとえば、「Terminal Home Directory」エントリと「Terminal Profile Path」エントリです。

7. 「Save」アイコンをクリックします。

8. ターミナル・サービス・フィールド固有のプロセス・フォーム・フィールドとプロセス・タスクを削除します。

リクエストベース・プロビジョニングのためのOracle Identity Managerの構成

ノート:

この項の手順は、Oracle Identity Managerリリース11.1.1.xを使用している場合のみ実行します。

リクエストベースのプロビジョニングでは、エンド・ユーザーが管理およびユーザー・コンソールを使用して、リソースのリクエストを作成します。管理者または他のユーザーが、特定のユーザーのためにリクエストを作成することもできます。リソース上の特定のリソースのリクエストを確認して承認できるのは、Oracle Identity Managerで指名された承認者です。

次の各項では、リクエストベースのプロビジョニングの構成について詳細を説明します。

• リクエストベースのプロビジョニングの機能

• リクエスト・データセットについて

• 事前定義済のリクエスト・データセットのコピー

• リクエスト・データセットのインポート

• 自動保存フォーム機能の有効化

• PurgeCacheユーティリティの実行

リクエストベースのプロビジョニングの機能

リクエストベースのプロビジョニングの機能は次のとおりです。

• 1ユーザーにプロビジョニングできるのはターゲット・システムの1リソース(アカウント)のみです。

  ノート:

  ダイレクト・プロビジョニングでは、ターゲット・システムで複数のMicrosoft Active Directoryアカウントのプロビジョニングを行えるようになります。

• リクエストベースのプロビジョニングを有効にすると、ダイレクト・プロビジョニングは使用できません。

リクエスト・データセットについて

リクエストベースのプロビジョニングは、リクエスト・データセットを使用して実行されます。リクエスト・データセットは、プロビジョニング操作中にリクエスタにより送信される情報を指定するXMLファイルです。事前定義済リクエスト・データセットはコネクタに同梱されています。これらのリクエスト・データセットで、リクエストベースのプロビジョニング操作中にリクエスタにより送信される必要のある属性のデフォルト・セットの情報を指定します。インストール・メディアのデータセット・ディレクトリで使用可能な事前定義済リクエスト・データセットのリストを次に示します。

Microsoft Active Directoryの場合:

• ProvisionResourceADUser.xml

• ModifyResourceADUser.xml

Microsoft AD LDSの場合:

• ProvisionResourceADLDSUser.xml

• ModifyResourceADLDSUser.xml

事前定義済のリクエスト・データセットのコピー

事前定義済リクエスト・データセット・ファイルを、インストール・メディアからOracle Identity Managerホスト・コンピュータの任意のディレクトリにコピーします。次の構造のディレクトリを作成することをお薦めします。

/custom/connector/RESOURCE_NAME

たとえば:

E:\MyDatasets\custom\connector\AD

ノート:

リクエストベースのプロビジョニングを構成する手順が完了するまでは、このディレクトリ構造を作成する親ディレクトリ内に、他のファイルやディレクトリがないようにしてください。前の例では、E:\MyDatasetsディレクトリ内に他のファイルやディレクトリがないようにします。

データセット・ファイルのコピー先のディレクトリ構造は、Oracle Identity Manager MDSインポート・ユーティリティを実行した後で、これらのファイルがインポートされるMDSの場所です。データセット・ファイルをインポートする手順は次の項で説明します。

要件によってはリクエスト・データセットのファイル名を変更できます。リクエスト・データセット内の情報を変更することもできます。

リクエスト・データセットのインポート

リクエスト・データセットをインポートするには次の2つの方法があります。

• MDSインポート・ユーティリティを使用したリクエスト・データセットのインポート

• デプロイメント・マネージャを使用したリクエスト・データセットのインポート

ノート:

MDSにインポートされるリクエスト・データセットとデプロイメント・マネージャを使用してインポートされるリクエスト・データセットは同じです。

MDSインポート・ユーティリティを使用したリクエスト・データセットのインポート

すべてのリクエスト・データセットは、メタデータ・ストア(MDS)にインストールする必要があります。これは、Oracle Identity Manager MDSインポート・ユーティリティを使用して行うことができます。

リクエスト・データセット定義をMDSにインポートするには、次の手順を実行します。

1. MDSインポート・ユーティリティを実行する環境が次のように設定されていることを確認します。

   1. 環境変数: OIM_ORACLE_HOME環境変数をMiddlewareホーム・ディレクトリ内のOracle Identity ManagementのOracleホーム・ディレクトリに設定します。たとえば、Microsoft Windowsの場合は、OIM_ORACLE_HOME環境変数をC:\Oracle\Middleware\Oracle_IDM1\ディレクトリに設定します。

   2. プロパティ・ファイルのセットアップ: ユーティリティと同じフォルダにあるweblogic.propertiesファイルで必要なプロパティを設定します。

      ノート:

      weblogic.propertiesファイルの設定時に、metadata_from_locプロパティの値が/custom/connector/RESOURCE_NAMEディレクトリの親ディレクトリであることを確認します。たとえば、「事前定義済リクエスト・データセットのコピー」の手順を実行中に、ファイルをE:\MyDatasets\custom\connector\Exchngディレクトリにコピーする場合、metada_from_locプロパティの値はE:\MyDatasetsに設定します。

      プロパティ名	説明	ノート
      wls_servername	Oracle Identity ManagerがデプロイされているOracle WebLogic Serverの名前。
      application_name	アプリケーション名	値は次のとおりです。 oim: すぐに使用できるイベント・ハンドラをインポート/エクスポートする場合。 OIMMetadata: カスタマイズ可能メタデータの場合。 カスタム・データをインポートまたはエクスポートする場合は、application_nameをOIMMetadataに設定します。
      metadata_from_loc	XMLファイルのインポート元となるディレクトリの場所。このプロパティは、weblogicImportMetadata.shスクリプトで使用されます。	Microsoft Windowsのパスには、ファイルまたはディレクトリのセパレータとして//が含まれます。
      metadata_to_loc	XMLファイルのインポート元となるディレクトリの場所。このプロパティは、weblogicExportMetadata.shスクリプトで使用されます。	Microsoft Windowsのパスには、ファイルまたはディレクトリのセパレータとして//が含まれます。
      metadata_files	XMLファイルのフルパスと名前。このプロパティは、weblogicExportMetadata.shスクリプトおよびweblogicDeleteMetadata.shスクリプトで使用されます。	たとえば、/file/User.xmlを指定して、ユーザー・エンティティ定義をエクスポートします。複数のxmlファイルをカンマ区切りの値として指定できます。

2. コマンド・ウィンドウで、OIM_HOME\server\binディレクトリに移動します。
3. 次のいずれかのコマンドを実行します。

   • Microsoft Windowsの場合

     weblogicImportMetadata.bat
     

   • UNIXの場合

     weblogicImportMetadata.sh
     

4. プロンプトが表示されたら、次の値を入力します。

   • ユーザー名を入力してください[weblogic]

     WebLogicサーバーへのログインに使用したユーザー名を入力します。

     サンプル値: WL_User

   • パスワードを入力してください[weblogic]

     WebLogicサーバーへのログインに使用したパスワードを入力します。

   • サーバーURLを入力してください[t3://localhost:7001]

     アプリケーション・サーバーのURLを次の形式で入力します。

     t3://HOST_NAME_IP_ADDRESS:PORT

     この書式では、HOST_NAME_IP_ADDRESSはOracle Identity Managerがインストールされているコンピュータのホスト名またはIPアドレスで、PORTはOracle Identity Managerがリスニングしているポートで置き換えます。

   リクエスト・データセットがMDSにインポートされます。

デプロイメント・マネージャを使用するリクエスト・データセットのインポート

リクエスト・データセット(事前定義済または生成されたもの)は、デプロイメント・マネージャ(DM)を使用してインポートすることもできます。事前定義済リクエスト・データセットはインストール・メディアのxmlディレクトリに格納されています。

リクエスト・データセット定義をデプロイメント・マネージャを使用してインポートするには、次の手順を実行します。

1. Oracle Identity Manager管理およびユーザー・コンソールにログインします。
2. 「ようこそ」ページでページの右上の「拡張」をクリックします。
3. 「Oracle Identity Manager拡張管理へようこそ」ページの「システム管理」リージョンで「デプロイメント・マネージャ・ファイルのインポート」をクリックします。ファイルを開くダイアログ・ボックスが表示されます。
4. 使用しているターゲット・システムによっては、次のいずれかのファイルを探して開きます(インストール・メディアのxmlディレクトリにあります)。

   ADの場合: ActiveDirectory-Datasets.xml

   AD LDSの場合: ActiveDirectoryLDS-Datasets.xml

   このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。

5. 「ファイルの追加」をクリックします。「置換」ページが表示されます。
6. 「次へ」をクリックします。確認ページが表示されます。
7. 「インポート」をクリックします。
8. メッセージが表示されたら、「インポート」をクリックしてXMLファイルをインポートすることを確認し、「OK」をクリックします。

   リクエスト・データセットがMDSにインポートされます。

自動保存フォーム機能の有効化

自動保存フォーム機能を有効化するには:

1. Design Consoleにログインします。
2. 「Process Management」を開き、「Process Definition」をダブルクリックします
3. AD Userプロセス定義を検索して開きます。
4. 「Auto Save Form」チェック・ボックスを選択します。
5. 「保存」アイコンをクリックします。

PurgeCacheユーティリティの実行

メタデータ・カテゴリに属するコンテンツをサーバー・キャッシュから消去するには、PurgeCacheユーティリティを実行します。手順は、「サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去」を参照してください。

リクエストベースのプロビジョニングを構成する手順はこのステップで終了です。

組織のプロビジョニングのためのコネクタの構成

組織をルートDNにプロビジョニングする場合は、この項で説明する手順を実行します。

組織をルートDNにプロビジョニングする前に、次のようにDNをLookup.ActiveDirectory.OrganizationalUnits参照定義に追加する必要があります。

1. Design Consoleにログインします。
2. 「Administration」を開き、「Lookup Definition」をダブルクリックします
3. Lookup.ActiveDirectory.OrganizationalUnits参照定義を検索して開きます。
4. ルートDNのエントリを追加します。コード・キーとデコードのサンプル値は次のとおりです。

   コード・キー: 150~DC=childtest,DC=test,DC=idm,DC=central,DC=example,DC=com

   デコード: SamAD~DC=childtest,DC=test,DC=idm,DC=central,DC=example,DC=com

5. 「保存」をクリックします。

Microsoft Active Directoryでのパスワード・ポリシーの有効化または無効化

Microsoft Active Directoryでは、「パスワードは、複雑さの要件を満たす必要がある」というポリシー設定を使用して、パスワード・ポリシーを有効化または無効化します。

実行する手順は、次の目的の一方を達成するか両方を達成するかによって異なります。

• パスワード・ポリシーを有効にする。

• Oracle Identity Managerとターゲット・システムとの間にSSLを構成する。

  ノート:

  SSLの構成手順は、このガイドで後述します。

SSLを構成し、デフォルトのMicrosoft Windowsパスワード・ポリシーとカスタム・パスワード・ポリシーの両方を有効にする場合は、「パスワードは、複雑さの要件を満たす必要がある」ポリシー設定を有効にする必要があります。

「パスワードは、複雑さの要件を満たす必要がある」というポリシー設定を有効または無効にする手順の詳細は、Microsoft社のドキュメントを参照してください。

ノート:

Microsoft ADAMをドメイン・コントローラにインストールすると、同じドメイン・コントローラにインストールされたMicrosoft Active Directoryのポリシーがすべて取得されます。Microsoft ADAMをワークグループにインストールすると、ローカル・システム・ポリシーが適用されます。

Microsoft Active DirectoryとMicrosoft AD LDSでのSSLの構成

この項には、Oracle Identity Managerとターゲット・システムの間のSSL通信の構成について説明する次の項目が含まれます。

ノート:

• この項では、Microsoft ADAMとMicrosoft AD LDSの両方をMicrosoft AD LDSと呼びます。このため、ターゲット・システムとしてMicrosoft Windows Server 2003を使用している場合は、この項で説明されている手順を実行するときに、Microsoft AD LDSという用語をMicrosoft ADAMとみなす必要があります。必要な場合は、Microsoft ADAMおよびMicrosoft AD LDSに固有な手順を区別して記述しています。

• Microsoft AD LDSを使用している場合、すべてのコネクタ操作を予期したとおりに動作させるには、SSLを構成する必要があります。

• 手順の詳細は、Microsoft社のドキュメントを参照してください。

• 前提条件

• コネクタ・サーバーとMicrosoft Active Directory間のSSLの構成

• コネクタ・サーバーとMicrosoft AD LDS間のSSLの構成

• Oracle Identity Managerとコネクタ・サーバーの間でのSSLの構成

前提条件

公開キー証明書は、ソフトウェア・セキュリティ・システムのクライアントのIDおよび認証性を判断するために使用されます。証明書サービスは、公開キー証明書を作成および管理します。これにより、組織がこれらの証明書を作成、管理および配布するための信頼できるセキュアな方法が確保されます。

ノート:

• Active Directory証明書サービス(AD CS)をインストールする前に、ターゲット・システムをホストするコンピュータにインターネット・インフォーメーション・サービス(IIS)がインストールされていることを確認する必要があります。

• 対応するWindows Serverに証明書サービスをインストールするステップの詳細は、Microsoft社のドキュメントを参照してください。

SSLを構成する前に、使用しているターゲット・システムに応じて、Windows Server (2003、2008または2012)に証明書サービスをインストールしてから、次のことを確認する必要があります。

• Windows Server 2003に証明書サービスをインストールする場合は、ホスト・コンピュータにActive DirectoryまたはADAMがインストールされていることを確認します。

• Windows Server 2008に証明書サービスをインストールする場合は、コネクタ・サーバーを実行しているコンピュータ上のサーバー・マネージャ・コンソールを使用して、次の機能を追加してください。

  • 「リモート サーバー管理ツール」

  • 「役割管理ツール」

  • 「Active Directory 証明書サービス ツール」

  • 「AD DS および AD LDS ツール」

コネクタ・サーバーとMicrosoft Active Directory間のSSLの構成

Microsoft Active Directoryをホストするコンピュータで、SSLを介したLDAP (LDAPS)を有効にすると、コネクタ・サーバーとMicrosoft Active Directoryとの間のSSLを構成できます。

ノート:

SSLを構成するには、ターゲット・システムをホストしているコンピュータおよびコネクタ・サーバーが実行されているコンピュータが、同じドメインにある必要があります。

LDAPSを有効にするには、自動証明書要求セットアップ・ウィザードを使用して、新しい証明書をリクエストします。

コネクタ・サーバーとMicrosoft AD LDS間のSSLの構成

コネクタ・サーバーとMicrosoft AD LDSとの間でSSLを構成するには、ADAMでSSLを有効にする必要があります。

コネクタ・サーバーとMicrosoft AD LDSの間でSSLを構成するには、次の手順を実行します。

1. Microsoft AD LDSがコネクタ・ドメイン内にデプロイされているかスタンドアロン・デプロイメントとして使用されている場合は、証明書をリクエストします。

   ノート:

   • この手順は、コネクタ・サーバーが実行されているコンピュータ、またはターゲット・システムをホストしているコンピュータで実行できます。

   • 証明書を生成する前に、インターネット インフォーメーション サービス(IIS)がターゲット・システムのホスト・コンピュータにインストールされていることを確認する必要があります。

2. 「Microsoft Active Directory証明書サービス」ウィンドウで、以前にMicrosoft AD LDSをコネクタ・ドメイン内にデプロイしたときにリクエストした証明書を発行します。

3. Microsoft管理コンソールで、証明書をMicrosoft AD LDSサービスの個人ストアに追加します。

4. 証明書キーが含まれているMachineKeysフォルダに権限を割り当てます。これを行うには、次のグループとユーザーを追加してから、すべての制御権限を与えます。

   • 管理者

   • 全ユーザー

   • NETWORK SERVICE

   • Microsoft ADAMのインストールに使用されたアカウントのユーザー名

   • SYSTEM

   MachineKeysフォルダへのパスは次のようになることに注意してください。

   C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys

   同じグループおよびユーザーを証明書に割り当てます。

5. 変更を有効にするためにMicrosoft AD LDSインスタンスを再起動します。

6. AD LDSツールのコマンド・プロンプト・ウィンドウから証明書をテストします。SSLが正常に構成されている場合は、接続に関するステータス・メッセージがLDAPSウィンドウに表示されます。

Oracle Identity Managerとコネクタ・サーバーの間でのSSLの構成

次の項には、Oracle Identity Managerとコネクタ・サーバーの間でのSSLの構成に関する情報が含まれます。

• 証明書のエクスポート

• SSLに対応するコネクタ・サーバーの構成

• SSLに対応するOracle Identity Managerの構成

証明書のエクスポート

ノート:

コネクタ・サーバーをホストするコンピュータで、この手順を実行します。

Microsoft管理コンソールからリクエストされ発行された証明書をエクスポートするには、証明書のエクスポートウィザードに移動し開きます。証明書を必ずBase-64 encoded X.509(.CER)ファイル形式でエクスポートしてください。

SSLに対応するコネクタ・サーバーの構成

ノート:

• コネクタ・サーバーをホストするコンピュータで、この手順を実行します。

• Connector Server 12c (12.2.1.3.0)は、古いバージョンのコネクタとともに使用できます。

SSLに対応するコネクタ・サーバーを構成する手順の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』の.NETコネクタ・サーバーの構成に関する項を参照してください。

SSLに対応するOracle Identity Managerの構成

SSLに対応するようにOracle Identity Managerを構成する手順を次に示します。

1. 「証明書のエクスポート」で生成した証明書を、Oracle Identity Managerが実行されているコンピュータにコピーします。
2. 次のコマンドを実行して、(Oracle WebLogic Application Serverで実行されている) Oracle Identity Managerが使用するJDKにターゲット・システムの証明書をインポートします。

   keytool -import -keystore MY_CACERTS -file CERT_FILE_NAME -storepass PASSWORD

   コマンドの説明は次のとおりです。

   • MY_CACERTSは証明書ストアのフルパスと名前(デフォルトはcacerts)です。

   • CERT_FILE_NAMEは、証明書ファイルのフルパスと名前です。

   • PASSWORDは、キーストアのパスワードです。

   次に、サンプル・コマンドを示します。

   keytool -import -keystore /home/testoc4j/OIM/jrockit_160_14_R27.6.5-32/jre/lib/security/cacerts -file /home/ADSSLCer.cer -storepass changeit

3. 次のコマンドを実行して、アプリケーション・サーバーのキーストアにターゲット・システムの証明書をインポートします。

   keytool -import -keystore MY_CACERTS -file CERT_FILE_NAME -storepass PASSWORD

   コマンドの説明は次のとおりです。

   • MY_CACERTSは、証明書ストアのフルパスと名前です(デフォルトはWEBLOGIC_HOME/server/lib/DemoTrust.jksです)。

   • CERT_FILE_NAMEは、証明書ファイルのフルパスと名前です。

   • PASSWORDは、キーストアのパスワードです。

   次に、サンプル・コマンドを示します。

   keytool -import -keystore WEBLOGIC_HOME/server/lib/DemoTrust.jks -file /home/ADSSLCer.cer -storepass DemoTrustKeyStorePassPhrase

4. コネクタ・サーバーITリソースのUseSSLパラメータの値をtrueに設定します。

Microsoft Active Directory User Managementコネクタのアップグレード

このコネクタの以前のリリースをすでにデプロイしている場合は、現在のリリースにコネクタをアップグレードします。

次の項では、コネクタをアップグレードする手順について説明します。

ノート:

• リリース9.1.xから11.1.1.xへのコネクタのアップグレードがサポートされています。

• アップグレード手順を実行する前に、Oracle Identity Managerデータベースのバックアップを作成することを強くお薦めします。バックアップの作成の詳細は、データベースのドキュメントを参照してください。

• ベスト・プラクティスとして、アップグレード手順はまずテスト環境で実行してください。

• アップグレード前のステップ

• アップグレードのステップ

• アップグレード後のステップ

アップグレード前のステップ

次のアップグレード前ステップを実行して、コネクタのアップグレードのために環境を準備する必要があります。

1. リコンシリエーションを実行して、Oracle Identity Managerに対するすべての最新更新をフェッチします。

2. Oracle Identity Managerの管理のコネクタのライフサイクルの管理に記載されているアップグレード前手順を実行します。

3. ターゲット・システムでuSNChanged属性の最大値を次のように取得します。

   1. 複数のドメインに対してコネクタを使用している場合は、グローバル・カタログ・サーバーが実行しているドメイン・コントローラで、RootDSEにナビゲートしてRootDSEプロパティを探します。

   2. 1つのドメインでコネクタを使用している場合は、リコンシリエーションで使用されるドメイン・コントローラで、RootDSEにナビゲートしてRootDSEプロパティを探します。

   3. RootDSEプロパティ・ダイアログ・ボックスでhighestCommittedUSN属性を検索し、その値ノートにとっておきます。この値の使用方法については、この章で後述します。図2-3に、highestCommittedUSN属性が表示されているRootDSEプロパティ・ダイアログ・ボックスを示します。

      図2-3 RootDSEプロパティ・ダイアログ・ボックス

      
      「図2-3 RootDSEプロパティ・ダイアログ・ボックス」の説明

4. Oracle Identity Managerで、ソース・コネクタ(アップグレードする必要がある以前のリリースのコネクタ)を定義します。ソース・コネクタを定義して、コネクタに対して行われたすべてのカスタマイズ変更でデプロイメント・マネージャXMLファイルを更新します。詳細は、Oracle Identity Managerの管理のコネクタのライフサイクルの管理を参照してください。

アップグレード・ステップ

コネクタをアップグレードする環境に応じて、次のいずれかのステップを実行します。

• 開発環境

  ウィザード・モードを使用してアップグレード手順を実行します。

• ステージングまたは本番環境

  サイレント・モードを使用してアップグレード手順を実行します。サイレント・モードでは、開発環境からエクスポートしたsilent.xmlファイルを使用します。

ウィザードおよびサイレント・モードの詳細は、Oracle Identity Managerの管理のコネクタのライフサイクルの管理を参照してください。

アップグレード後のステップ

アップグレード後のステップには、新しいコネクタJARのアップロード、ソース・コネクタのアップグレードされたITリソースの構成、コネクタ・サーバーのデプロイ、およびスケジュール済ジョブの最新トークンの値の構成が含まれます。

次の項では、アップグレード操作後に実行する必要がある手順について説明します。

• アップグレード後のステップの実行

• FromVersion属性およびToVersion属性の値の判別

• 正しいプロセス・フォームがリソース・オブジェクトに関連付けられているかどうかの確認

アップグレード後のステップの実行

アップグレード後のステップでは、次の手順を実行してアップグレード操作を完了します。

1. Oracle Fusion Middleware Oracle Identity Managerの管理のコネクタのライフサイクルの管理に記載されているアップグレード後の手順を実行します。

2. Oracle Identity Managerリリース11.1.2.x以降を使用している場合、次のようにして、Design Consoleの「フォーム・デザイナ」に加えられたすべての変更を、新しいUIフォームで実行する必要があります。

   1. Oracle Identity System Administrationにログインします。

   2. サンドボックスを作成してアクティブ化します。詳細は、サンドボックスの作成およびアクティブ化を参照してください。

   3. アップグレードされたフィールドを表示するためのUIフォームを新規作成します。UIフォームの作成の詳細は、UIフォームの新規作成を参照してください。

   4. 新たに作成したUIフォームを、ターゲット・システムのアプリケーション・インスタンスと関連付けます。そのためには、リソースに対する既存のアプリケーション・インスタンスを開いて、「フォーム」フィールドからフォーム(ステップ2.cで作成済)を選択し、アプリケーション・インスタンスを保存します。

   5. サンドボックスを公開します。詳細は、サンドボックスの公開を参照してください。

3. Oracle Identity Managerリリース11.1.2.x以降を使用していて、リリース11.1.1.5.0から11.1.1.6.0にアップグレードする場合は、次の手順を実行して、アップグレードの後に残っている補助クラス子フォームを(ADユーザー・フォームから)削除します。

   1. アップグレードされたADユーザー・フォームの新しいバージョンを作成します。

   2. UD_ADUSRCLS子フォームを削除して、バージョンをアクティブにします。

   3. この新しく作成したフォームを使用してFVCユーティリティを実行します。FVCユーティリティの実行の詳細は、ステップ4を参照してください。

4. アップグレード操作の後に、フォーム・バージョン制御(FVC)ユーティリティを実行してフォームでのユーザー・データの変更を管理します。これを行うには、次のようにします。

   1. テキスト・エディタでOIM_DC_HOMEディレクトリにあるfvc.propertiesファイルを開いて、次のエントリを追加します。

      ResourceObject;AD User
      FormName;UD_ADUSER
      FromVersion;SPECIFY_THE_VERSION_OF_THE_FORM_USED_BY_USER_ACCOUNTS_CREATED_BY_USING_THE_SOURCE_CONNECTOR
      ToVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_IS_IN_THE_ACTIVE_STATUS_AFTER_THE_UPGRADE
      ParentParent;UD_ADUSER_AD;UD_ADUSER_SERVER
      

      ノート:

      FromVersion属性およびToVersion属性の値を判別するには、FromVersion属性およびToVersion属性の値の判別を参照してください。

      リソース・オブジェクトに関連付けられている正しいプロセス・フォームを指定しているかどうかを確認するには、正しいプロセス・フォームがリソース・オブジェクトに関連付けられているかどうかの確認に記載されている手順を実行します。

   2. FVCユーティリティを実行します。このユーティリティは、Design Consoleをインストールすると次のディレクトリにコピーされます。

      Microsoft Windowsの場合:

      OIM_DC_HOME/fvcutil.bat

      UNIXの場合:

      OIM_DC_HOME/fvcutil.sh

      このユーティリティを実行すると、Oracle Identity Manager管理者のログイン資格証明と、ロガー・レベルおよびログ・ファイルの場所を入力するように求められます。

      関連項目:

      FVCユーティリティの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のフォーム・バージョン制御ユーティリティの使用を参照してください

5. アップグレード操作後にADグループ・フォームの変更を管理するには、次の情報を使用してステップ4.aおよび4.bのステップを行い、FVCユーティリティを実行します。

   ステップ4.aを実行するときに、ステップ4.aで追加するエントリを次の情報に置き換えます。

   ResourceObject;AD Group
   FormName;UD_ADGRP
   FromVersion;SPECIFY_THE_VERSION_OF_THE_FORM_USED_BY_USER_ACCOUNTS_CREATED_BY_USING_THE_SOURCE_CONNECTOR
   ToVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_IS_IN_THE_ACTIVE_STATUS_AFTER_THE_UPGRADE
   ParentParent;UD_ADGRP_ADSERVER;UD_ADGRP_SERVER
   

6. アップグレード操作後にAD組織単位フォームの変更を管理するには、次の情報を使用してステップ4.aおよび4.bのステップを行い、FVCユーティリティを実行します。

   ステップ4.aを実行するときに、ステップ4.aで追加するエントリを次の情報に置き換えます。

   ResourceObject;AD Organizational Unit
   FormName;UD_OU
   FromVersion;SPECIFY_THE_VERSION_OF_THE_FORM_USED_BY_USER_ACCOUNTS_CREATED_BY_USING_THE_SOURCE_CONNECTOR
   ToVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_IS_IN_THE_ACTIVE_STATUS_AFTER_THE_UPGRADE
   ParentParent;UD_OU_AD;UD_OU_SERVER
   

7. リリース11.1.1.5.0から11.1.1.6.0にコネクタをアップグレードする場合は、PostUpgradeScript.sqlスクリプトを次のように実行します。

   ノート:

   • コネクタをリリース9.1.xから11.1.1.6.0に直接アップグレードする場合は、このステップの実行をスキップします。

   • 最初にリリース9.1.xから11.1.1.5.0にアップグレードを実行して、次にリリース11.1.1.5.0から11.1.1.6.0にアップグレードする場合は、PostUpgradeScript.sqlファイル内の「ADOU」を「OU」に置き換えて、スクリプトを実行します。

   1. OIMユーザー資格証明を使用して、Oracle Identity Managerデータベースに接続します。

   2. ConnectorDefaultDir/AD_PACKAGE/upgradeディレクトリにあるPostUpgradeScript.sqlを実行します。

8. コネクタ・サーバーをデプロイします。

9. ソース・コネクタ(アップグレードする必要がある以前のリリースのコネクタ)のITリソースを再構成します。

10. スケジュール済ジョブの最新トークンの値を次のように構成します。

    次のスケジュール済ジョブにはLatest Token属性が含まれます。

    Active Directory User Target Recon

    Active Directory User Trusted Recon

    Active Directory Group Recon

    Active Directory Organization Recon

    コネクタをアップグレードした後で、完全リコンシリエーションまたは増分リコンシリエーションを実行できます。増分リコンシリエーションを実行するには、Latest Token属性の値としてhighestCommittedUSN属性の値(「アップグレード前のステップ」でメモした値)を指定します。こうすることで、最後のリコンシリエーション実行(「アップグレード前のステップ」で実行したリコンシリエーション)後に作成または変更されたレコードがOracle Identity Managerに確実にフェッチされます。次のリコンシリエーションからは、リコンシリエーション・エンジンがLatest Token属性の値を自動的に入力します。

    完全リコンシリエーションまたは増分リコンシリエーションの実行の詳細は、完全リコンシリエーションおよび増分リコンシリエーションを参照してください。

11. スケジュール済ジョブの同期トークンの値を次のように構成します。

    次のスケジュール済ジョブにはSync Token属性が含まれます。

    Active Directory User Target Delete Recon

    Active Directory User Trusted Delete Recon

    Active Directory Group Delete Recon

    コネクタをアップグレードした後で、完全削除リコンシリエーションまたは増分削除リコンシリエーションを実行できます。完全削除リコンシリエーションを実行するには、スケジュール済ジョブのSync Token属性の値を指定しないでください。増分削除リコンシリエーションを実行するには、次の形式でSync Token属性の値を指定する必要があります。

    <String>0|{uSNChanged}|{True/False}|{DOMAIN_CONTROLLER}</String>

    この形式で、次の処理を行います。

    • {uSNChanged}に対して、「アップグレード前のステップ」でメモしたhighestCommittedUSN属性の値。

    • {True/False}については、次のいずれかの値:

      • True (削除リコンシリエーションの実行でグローバル・カタログ・サーバーが使用される場合)

      • False (削除リコンシリエーションの実行でグローバル・カタログ・サーバーが使用されない場合)

    • {DOMAIN_CONTROLLER}に対して、「アップグレード前のステップ」の手順を実行するときにRootDSEを見つけたドメイン・コントローラの名前。

FromVersion属性およびToVersion属性の値の判別

FromVersion属性およびToVersion属性の値を判別するには、次の手順を実行します。

1. Design Consoleにログインします。
2. 「開発ツール」を開き、「フォーム・デザイナ」をダブルクリックします。
3. バージョンを判別しようとしているフォームを検索して開きます。たとえば、UD_ADUSERなどです。
4. バージョン情報リージョンで、アクティブ・バージョン・フィールドの値を検索してノートにとります(たとえば、initial version)。これはToVersion属性の値です。
5. 操作リージョンで、現行バージョンのリストをクリックして、リスト内の2番目に高い値をノートにとります(たとえば、Immediate Version)。これはFromVersion属性の値です。

正しいプロセス・フォームがリソース・オブジェクトに関連付けられているかどうかの確認

fvc.propertiesファイル内に、プロセス・フォーム名を指定することもできます。リソース・オブジェクトに関連付けられている正しいプロセス・フォームを使用しているかどうかを確認するには、次の手順を実行します。

1. Design Consoleにログインします。
2. 「Process Management」を開き、「Process Definition」をダブルクリックします。
3. リソース・オブジェクトに関連付けられているプロセス・フォームを検索して開きます。
4. 「フォームの割当て」リージョンで、「表名」フィールドの値をノートにとります。この値は、プロセス定義およびリソース・オブジェクトにリンクされているプロセス・フォームの名前です。

Microsoft Active Directory User Managementコネクタのクローニングについて

Microsoft Active Directory User Managementコネクタをクローニングするには、コネクタを構成するオブジェクトのいくつかに新しい名前を設定します。

この処理により、新しいコネクタXMLファイルが生成されます。リソース・オブジェクト、プロセス定義、プロセス・フォーム、ITリソース・タイプ定義、ITリソース・インスタンス、参照定義、アダプタ、リコンシリエーション・ルールなど、新しいコネクタXMLファイル内のほとんどのコネクタ・オブジェクトの名前が新しくなります。

関連項目:

コネクタのクローニングとこの項で説明するステップの詳細は、Oracle Identity Managerの管理のコネクタのライフサイクルの管理を参照してください。

コネクタ・オブジェクトの新しい名前を設定することによってコネクタのコピーを作成した後、一部のオブジェクトに以前のコネクタ・オブジェクトの詳細が含まれていることがあります。このため、次のOracle Identity Managerオブジェクトを変更して、ベース・コネクタのアーティファクトまたは属性参照を、対応するクローニングされるアーティファクトまたは属性と置き換える必要があります。

• ITリソース

  クローニングされたコネクタには、それ自身のITリソース・セットが必要です。クローニングされた両方のITリソース、Active Directoryおよびコネクタ・サーバーを構成し、クローニングされたコネクタ・サーバーITリソースの参照を、クローニングされたActive Directory ITリソースに指定する必要があります。必ず、クローニング済コネクタの構成参照定義を使用してください。

• スケジュール済タスク

  クローニングされたコネクタのスケジュール済タスクのResource Object Name属性とIT Resource属性の値は、ベース・コネクタの値を参照します。したがって、これらの値(ベース・コネクタを参照するスケジュール済タスクのResource Object Name属性とIT Resource属性の値)は、新たにクローニングされるコネクタ・アーティファクトで置き換える必要があります。

• 参照定義

  すべての参照定義の参照エントリに、古いプロセス・フォームへの参照がないことを確認します。参照がある場合は、対応する新しいフォームに変更します。

  たとえば、クローニング後に、Lookup.ActiveDirectory.UM.ProvAttrMap参照定義に、子表(UD_ADUSRC~Group Name[LOOKUP]など)への参照が含まれています。新しい値が含まれるようにこれを変更する必要があります(たとえば、UD_ADUSRC2~Group Name[LOOKUP])。

• プロセス・タスク

  クローニングの後では、プロセス・タスクにアタッチされたすべてのイベント・ハンドラがクローンされたハンドラになります。このため、親フォームでのプロセス・タスクの変更は必要ありません。親フォームに関連するすべてのプロセス・タスクのアダプタ・マッピングが、クローニングされたアーティファクトによって更新されるためです。

  ただし、クローニングされたAD IDC Child Table Updateアダプタに関連付けられているすべてのプロセス・タスクについて、childTableNameアダプタ変数のマッピングは更新する必要があります。次の事前定義済プロセス・タスクがAD IDC Child Table Updateアダプタに関連付けられています。

  • グループ・メンバーシップの削除

  • グループ・メンバーシップの挿入

  • グループ・メンバーシップの更新

  • オブジェクト・クラスの削除

  • オブジェクト・クラスの挿入

  • オブジェクト・クラスの更新

• ローカライゼーション・プロパティ

  コネクタのクローニング後に、ユーザー・ロケールのリソース・バンドルを、適切な変換を行うためのプロセス・フォーム属性の新しい名前で更新する必要があります。コネクタ・バンドルのresourcesディレクトリにあるロケールのpropertiesファイルを変更できます。

  たとえば、プロセス・フォーム属性は、日本語プロパティ・ファイルActiveDirectoryIdC_ja.propertiesでglobal.udf.UD_ADUSER_FULLNAMEとして参照されます。クローニング時に、プロセス・フォーム名をUD_ADUSERからUD_ADUSER1に変更した場合、プロセス・フォームの属性をglobal.udf.UD_ADUSER1_FULLNAMEに更新する必要があります。