よくある質問

この章では、Microsoft Active Directory User Managementコネクタの機能に関連するよくある質問に回答しています。

  1. コネクタ・サーバーをインストールおよび実行するコンピュータに推奨されるシステム構成を教えてください。

    コネクタ・サーバーをインストールおよび実行するコンピュータは、次の要件を満たしている必要があります。

    • Intel Pentium Dual Core 2 GHz、および8 GBのRAM。

    • Microsoft Windows Server 2003または2008 (32ビットまたは64ビットの両方)、またはMicrosoft Windows Server 2012または2016 (64ビット)。

  2. Active Directory User Managementコネクタのコネクタ・サーバーは、どこにインストールすればよいですか?

    コネクタ・サーバーは、ターゲット・システムのドメインに属するコンピュータにインストールしてください。

  3. Active Directory User Managementコネクタ・リリース11.1.1.5.0には、Oracle Identity Manager 11g リリース1 (1.1.1.5.2)を使用する必要がありますか?

    はい。これは、Active Directory User Managementコネクタ・リリース11.1.1.5.0をインストールおよび使用するために必要な最低限のOracle Identity Managerのバージョンが、Oracle Identity Manager 11gリリース1 (11.1.1.5.2) BP02 (パッチ13684913を適用)以降であるためです。

  4. ターゲット・システムに複数のドメインが含まれている場合は、コネクタ・サーバーを各ドメインにインストールする必要がありますか?

    親子ドメイン環境では、親ドメインのコンピュータに1つのコネクタ・サーバーがインストールされていれば十分です。ただし、接続されていないドメインがあるフォレストでは、各ドメインにコネクタ・サーバーが必要となります。

  5. Active Directory User Managementコネクタ・リリース9.1.xは、Active Directory User Managementコネクタ・リリース11.1.xと共存させることができますか?

    はい。同じコネクタの2つのバージョンが共存できます。これは、Active Directory User Management 11.xコネクタXMLをクローニングして、新規名によるコネクタのインストールに使用することで、達成できます。

  6. Oracle Identity Managerリリース11.1.2.xにActive Directory User Managementコネクタをインストールして使用するための前提条件を教えてください。

    Oracle Identity Managerリリース11.1.2.xにActive Directory User Managementコネクタをインストールして使用するための前提条件は次のとおりです。

    1. パッチ14190610を適用するか、Active Directoryコネクタ・バージョン11.1.1.6.0以降を使用します。

    2. Oracle Identity Managerでフォームを作成します。

    3. (ステップ2で作成した)フォームおよびITリソースに関連付けられたアプリケーション・インスタンスを作成します。

    4. 権限リストおよびカタログ同期化ジョブ・スケジュール済ジョブを実行して、アプリケーション・インスタンスをカタログに移入します。

  7. Active Directory User Managementコネクタ・リリース11.1.1.5とAD LDSインスタンスの接続を確立するにはどうすればよいですか?

    Active Directory User Managementコネクタ・リリース11.1.1.5とAD LDSインスタンスの接続を確立するための手順を次に示します。

    1. ITリソースのIsADLDSパラメータの値をyesに設定します。

    2. ITリソースのADLDSPortパラメータの値を指定します。

    3. Lookup.ActiveDirectory.UM.Configuration参照定義で、Lookup.ActiveDirectory.UM.ProvAttrMapおよびLookup.ActiveDirectory.UM.ReconAttrMapデコード値を見つけ、それぞれLookup.ActiveDirectoryLDS.UM.ProvAttrMapおよびLookup.ActiveDirectoryLDS.UM.ReconAttrMapに置き換えます。

    4. Lookup.ActiveDirectory.GM.Configuration参照定義で、Lookup.ActiveDirectory.GM.ProvAttrMapおよびLookup.ActiveDirectory.GM.ReconAttrMapデコード値を見つけ、それぞれLookup.ActiveDirectoryLDS.GM.ProvAttrMapおよびLookup.ActiveDirectoryLDS.GM.ReconAttrMapに置き換えます。

    5. Lookup.ActiveDirectory.UM.Configuration.Trustedデコード値を検索して、Lookup.ActiveDirectoryLDS.UM.Configuration.Trustedに置き換えることによって、Lookup.ActiveDirectory.UM.Configuration.Trusted参照定義を変更します。

  8. サービス・アカウントの資格証明が有効であることを確認するためのステップを教えてください。

    サービス・アカウントの資格証明が有効であることを確認するには、LDAPブラウザを使用してターゲット・システムへの接続をテストします。接続をテストした後に、ITリソースに詳細を指定します。ITリソース・パラメータの値を指定することに加えて、次の形式を使用してDirectoryAdminNameパラメータの値を指定していることを確認します。

    DOMAIN_NAME\USER_NAME

  9. Active Directory User Managementコネクタを使用して、ユーザーをあるOUから別のOUに移動させることができますか?

    はい。両方のOUが同じフォレスト内にある場合は、Active Directory User Managementコネクタを使用して、あるOUから別のOUにユーザーを移動させることができます。言い換えると、組織参照フィールドの同期後に移入された組織参照内に、ユーザーの移動先となるOUが存在する場合は、コネクタを使用して、あるOUから別のOUにユーザーを移動させることができます。

  10. コネクタをカスタマイズしたら、Lookup.ActiveDirectory.UM.ReconAttrMap.Trusted参照定義のデコード列の値(たとえば、OIM Employee Type、OIM User Type、__UID__および_PARENTCN__)を変更する必要がありますか?

    いいえ。Lookup.ActiveDirectory.UM.ReconAttrMap.Trusted参照定義のデコード列には、ターゲット・システムの属性が表示されます。ターゲット・システムのいくつかの属性(OIM Employee Type、Manager Id、__UID__、__PARENTCN__、__ENABLE__、OIM User Typeなど)は特別な方法で処理されます。このため、デコード列の値を変更しないでください。デコード列の各属性の説明を次に示します。

    • OIM Employee Type: この属性の値は、Active Directory User Trusted Reconスケジュール済ジョブのOIM Employee Type属性の値と同じです。

    • OIM User Type: この属性の値は、Active Directory User Trusted Reconスケジュール済ジョブのOIM User Type属性の値と同じです。

    • Manager Id: Oracle Identity Managerでは、異なる方法でManager Id属性が処理されます。ターゲット・システムのマネージャ属性と同じではありません。Manager Id属性には、マネージャのDNではなく、ユーザーのマネージャのsAMAccountNameが含まれています。

    • __UID__: この属性はユーザーのUIDを取得します。

    • __PARENTCN__: この属性はユーザーのコンテナを取得します。この属性は、ターゲット・システムで保持されているのと同じ組織階層をOracle Identity Managerで保持する場合に使用します。

    • __ENABLE__: この属性は、ターゲット・システム内のユーザーが有効であるかどうかを指定します。

    ノート:

    信頼できるソースのリコンシリエーションに新しい属性を追加した場合は、新しく追加した属性のエントリを作成することによって、Lookup.ActiveDirectory.UM.ReconAttrMap.Trusted参照定義を更新することが予想されます。この新しいエントリのデコード列に、新しく追加したターゲット・システム属性の名前を指定します(たとえば、middleNameおよびc)。信頼できるソースのリコンシリエーション用の新規フィールドの追加の詳細は、信頼できるソースのリコンシリエーション用の新規フィールドを参照してください。

  11. Oracle Identity Managerをホストしているコンピュータで、コネクタ操作に対応するログ・ファイルが見つからないのはなぜですか?

    Active Directory User Managementコネクタは、.NETフレームワークの組込みロギング・メカニズムを使用します。このため、すべてのコネクタ・ログは、コネクタ・サーバーをホストするコンピュータに生成されます。詳細は、Microsoft Active Directory User Managementコネクタのロギングの管理を参照してください。

  12. すべてのコネクタ操作はICFINTGレイヤーを使用して実行されます。ICFINTGのロギングを有効にするために使用するロガー名を教えてください。

    ICFINTGのロギングを有効にするために使用するロガー名は、ORACLE.IAM.CONNECTORS.ICFCOMMONです。このロガー名では大文字と小文字が区別されます。

  13. スケジュール済ジョブのフィルタ属性の値を指定することによって、信頼できるソースおよびターゲット・リソースのリコンシリエーションの実行を行いまいた。コネクタ・サーバーのログには、コネクタがオブジェクトを返したことを示す情報が表示されました。ただし、Oracle Identity Managerにリコンサイルされたユーザー・レコードは見当たらず、Oracle Identity Managerのログもありません。何が問題なのでしょうか?

    フィルタ属性の値を指定することによって、リコンシリエーションの実行を行った(つまり、制限付きリコンシリエーションを実行した)場合、コネクタはフィルタ構文をLDAPフィルタ構文に変換し、フィルタ基準に一致するレコードを検索します。この時点での検索では、大文字と小文字が区別されません。

    コネクタは、検索によって取得したレコードをICFに返します。これらのレコードをOracle Identity Managerのリコンシリエーション・エンジンに渡す前に、ICFはコネクタによって返されたレコードに同じフィルタ基準を適用します。ただし、この時点では、ICFは大文字と小文字を区別する検索を行います。このため、ICFによってレコードが削除され、リコンシリエーション・エンジンに返されないことがあります。

    次の例に、この使用例を示します。

    姓(sn)が「Doe」および「Doel」のレコードがターゲットに存在するとします。リコンシリエーション中にフィルタ属性の値として「startsWith('sn','do')」を指定した場合、コネクタは検索を行い、姓が「do」で始まるすべてのレコードをICFに返します(この例では、コネクタは姓が「Doe」および「Doel」のレコードを返します)。コネクタによって返されたレコードをOracle Identity Managerのリコンシリエーション・エンジンに渡す前に、ICFは検索レコードに対して同じフィルタを適用します。ただし、ICFが大文字と小文字を区別する検索を実行して2レコードが削除されたため、リコンシリエーション・イベントは生成されません。

  14. このリリースのActive Directory User Managementコネクタを使用したTerminal Service属性のプロビジョニングおよびリコンサイルにはRemote Managerが必要ですか?

    いいえ。このコネクタの11.1.1.xバージョンの場合は、Active Directoryドメイン内のコンピュータに.NETコネクタ・サーバーをデプロイする必要があります。ドメイン・コントローラ、またはターゲット・システムをホストするコンピュータに、コネクタ・サーバーをデプロイする必要はありません。これ以外には、Terminal Services属性をプロビジョニングおよびリコンサイルするための前提条件はありません。つまり、ドメイン・コントローラにRemote Managerまたは別のコネクタ・サーバーは必要ありません。Terminal Service属性のプロビジョニングおよびリコンシリエーションは、他の属性のプロビジョニングまたはリコンシリエーションと同じです。

  15. ターゲット・システムのユーザーにパスワードを設定する場合、SSLは必須ですか?UseSSL ITリソース・パラメータの値にnoを設定した場合、ユーザーのパスワードを設定できますか?

    ユーザーのパスワードを設定する場合、SSLは必須ではありません。UseSSL ITリソース・パラメータの値にnoを設定した場合でも、ユーザーのパスワードを設定できます。

    UseSSLパラメータの値にyesを設定した場合、コネクタ・サーバーとターゲット・システムの間のチャネルは暗号化されます。また、証明書を使用してセキュアな通信が設定されます。

    UseSSLパラメータの値にnoを設定した場合、コネクタ・サーバーとターゲット・システムの間のチャネルは、ADSIの「セキュア」モード通信を使用して暗号化されます。

    パスワード・リセット・プロビジョニング操作を実行する場合は、通信チャネルを暗号化する必要があります。ターゲット・システムとしてMicrosoft ADを使用している場合、前の段落で説明したように、コネクタ・サーバーとターゲット・システムの間のチャネルは暗号化されます。このため、SSLを構成しなくても、パスワード・リセット・プロビジョニング操作を実行できます。

    ターゲット・システムとしてMicrosoft AD LDSを使用している場合、コネクタ・サーバーとターゲット・システムの間のデフォルトの通信チャネルは「セキュア」ではありません。したがって、パスワード・リセット機能が正常に動作するためには、コネクタ・サーバーとMicrosoft AD LDSの間にSSLを構成する必要があります。

  16. Active Directory User Managementコネクタ・バージョン11.1.1.5.0は、Windowsのローカル・アカウントを管理できますか?

    いいえ。

  17. Active Directory User Managementコネクタ・ガイドの最新バージョンはどこにありますか?

    Active Directory User Managementコネクタ・ガイドの最新バージョンおよび他のすべてのICFコネクタ・ガイドは次の場所にあります。

    http://docs.oracle.com/cd/E22999_01/index.htm

  18. コネクタ・バンドルのコンテンツをCONNECTOR_SERVER_HOMEディレクトリに解凍した後に、いくつかのDLLを見つけました。コネクタ・サーバーをホストしているコンピュータが、32ビットまたは64ビットのどちらであるかは問題になりますか?

    いいえ。32ビットのコンピュータおよび64ビットのコンピュータの両方で同じDLLを使用できます。

  19. プロビジョニングおよびプロビジョニング解除のために、特定のActive Directoryグループにユーザーを追加または削除したいのですが、ユーザー・オブジェクトを変更する権限を割り当てたくありません。このコネクタをインストールして、メンバーの属性を変更するためにグループ・オブジェクトのみに対する制限された権限で、グループのメンバーシップ管理部分のみを使用することはできますか?このコネクタに必要な最低限の権限を教えてください。

    ユーザーグループ・メンバーシップのみの管理を可能にするには、Active Directory Connector ITリソースの次のタスクについて、(ターゲット・システムのオブジェクト制御の委任ウィザードを使用して)制御を委任されたユーザーの資格証明を指定します。

    • すべてのユーザー情報の読取り

    • グループの作成、削除および管理

    • グループのメンバーシップの変更

    これらの資格証明があれば、グループのリコンシリエーション、参照および管理を実行できますが、ユーザー属性の作成または更新を行うことはできません。

  20. Active Directory User Managementコネクタは、1つのアプリケーション・インスタンスまたはITリソースのみを使用して、1つの親ドメインと多数の子ドメインを含むフォレストを管理できますか?

    はい。次のステップを実行することによって、1つのアプリケーション・インスタンスで可能となります。

    • Lookup.Configuration.ActiveDirectory参照定義のSearchChildDomainsエントリの値にYesを設定します。詳細は、Lookup.Configuration.ActiveDirectoryのSearchChildDomainsの行を参照してください。

    • これらのサブ・ドメインすべてにおいて「Account Operators」役割を持つアカウントのユーザー名を、ITリソースのDirectoryAdminNameパラメータの値として指定してください。

  21. ITリソースのDirectoryAdminNameパラメータには、ユーザーの識別名が含まれている必要がありますか?

    いいえ。このパラメータの値を指定するには、次の形式を使用する必要があります。

    DOMAIN_NAME\USER_NAME

    DirectoryAdminName ITリソース・パラメータの詳細は、Microsoft ADおよびAD LDSのITリソースの構成のステップ7を参照してください。

  22. ターゲット・システムで削除されたユーザーは、DeletedObjectsコンテナに格納されます。Active Directory User Managementコネクタを使用した場合、同じ動作を期待できますか?

    はい。

  23. 1つのコネクタ・サーバーを使用して、Active Directory User Managementコネクタ・バンドルとExchangeコネクタ・バンドルをデプロイできますか?

    はい。1つのコネクタ・サーバーを使用して、Active Directory User Managementコネクタ・バンドルとExchangeコネクタ・バンドルをデプロイできますActive Directory User Managementコネクタにパッチが適用されている場合は、Exchangeコネクタをデプロイするときに、既存のActiveDirectory.Connector.dllファイルを置き換えないようにしてください。

  24. 自動プロビジョニング中に(LDAPHostName ITリソース・パラメータの値として指定された)コンピュータが使用不可になった場合はどうなりますか?高可用性(HA)ターゲット・システム環境と互換性を持つようにコネクタを構成するにはどうすればよいですか?

    (LDAPHostName ITリソース・パラメータの値として指定された)コンピュータが使用不可になると、コネクタは次のいずれかの動作を実行します。

    • BDCHostNames ITリソース・パラメータに値が指定されている場合、コネクタはBDCHostNamesパラメータに指定されているバックアップ・ドメイン・コントローラに接続しようとします。HAターゲット・システム環境と互換性を持つようにコネクタを構成するには、BDCHostNames ITリソース・パラメータに値を指定します。

    • LDAPHostNameおよびBDCHostName ITリソース・パラメータに値が指定されていない場合、コネクタは同じドメイン内の使用できるドメイン・コントローラのいずれかに接続します。これは、サーバーレス・バインディングと呼ばれます。

  25. Active Directory ITリソースに指定されているコネクタ・サーバーが使用不可になった場合はどうなりますか?

    HAにコネクタ・サーバーが構成されていない場合、コネクタ・サーバーは使用不可になり、「接続が拒否されました」というエラーが発生します。

    HAのためにコネクタ・サーバーを構成するには、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのコネクタ・ロード・バランサの構成の項を参照してください。

  26. ターゲット・システムとしてMicrosoft Active Directoryを使用している場合に、ADLDSPortパラメータに値を指定すると、何か問題はありますか?

    いいえ。これは、コネクタがisADLDSパラメータの値を最初にチェックするためです。isADLDSパラメータの値がyesの場合、コネクタはADLDSPortパラメータの値を使用します。ただし、ターゲット・システムとしてMicrosoft Active Directoryを使用している場合は、ADLDSPortパラメータの値を指定しないことをお薦めします。

  27. Oracle Identity ManagerとMicrosoft Active Directoryの間にSSLを構成せずに、ユーザー・プロビジョニング操作を実行できますか?また、すべてのプロビジョニング操作(パスワード変更を含む)を実行するには、Oracle Identity Managerおよびコネクタに、Microsoft Active DirectoryのSSL証明書が存在する必要がありますか?

    ターゲット・システムとしてMicrosoft Active Directoryを使用している場合、SSLは必須ではありません。Active Directory User Managementコネクタは、すべてのプロビジョニング操作(パスワード変更プロビジョニング操作を含む)にADSIセキュア・モードを使用します。このため、Oracle Identity ManagerとMicrosoft Active Directoryの間にSSLを構成しなくても、パスワード変更プロビジョニング操作を処理できます。ただし、ターゲット・システムとしてAD LDSを使用している場合、パスワード変更プロビジョニング操作を実行するためにはSSLが必要となります。

  28. ADグループでのユーザーの変更は、増分リコンシリエーション中にリコンサイルされますか?

    いいえ。グループ・メンバーシップの変更は、増分リコンシリエーション中にリコンサイルされません。これはターゲット・システムの制限です。

  29. ITリソースのSyncDomaincontrollerパラメータおよびSyncGlobalCatalogパラメータの適切な使用方法を説明してください。

    SyncDomaincontrollerおよびSyncGlobalCatalog ITリソース・パラメータは、リコンシリエーション中にのみ使用されます。リコンシリエーションをドメイン・コントローラに対して実行する必要がある場合は、SynDomainControllerパラメータを使用します。

    リコンシリエーションをグローバル・カタログ・サーバーに対して実行する必要がある場合は、SyncGlobalCatalogパラメータを使用します。これらのパラメータを使用するために実行するステップを次に示します。

    1. Lookup.Configuration.ActiveDirectory参照定義のSearchChildDomainエントリにyesを設定します。

    2. SyncGlobalCatalog ITリソース・パラメータの値として、グローバル・カタログ・サーバーのホスト名を入力します。

    詳細は、複数のドメインにわたるリコンシリエーションおよびプロビジョニング操作の有効化を参照してください。

  30. ターゲット・システムから削除されたユーザーのレコードをフェッチする場合に、ユーザーに割り当てる最低限の権限を教えてください。

    デフォルトでは、Account Operators役割を持つサービス・アカウントには、Delete Objectsコンテナから情報を読み取るための権限がありません。詳細は、削除ユーザーのリコンシリエーションの実行を行うための権限の割当てを参照してください。

  31. コネクタのインストールのログ・ファイルはどこにありますか?

    コネクタのインストールのログ・ファイル、Oracle Identity Managerのサーバー・ログおよび診断ログは、次の場所にあります。

    DOMAIN_HOME/servers/oim_server1/logs

  32. ターゲット・システムの特定のOUにユーザーを作成するにはどのようにすればよいですか?

    ADユーザー・フォーム・ページの「組織名」参照フィールドから値を選択することによって、プロビジョニング中に、ターゲット・システムの特定のOUにユーザーを作成できます。

  33. ターゲット・システムにグループまたはOUが作成された場合、Oracle Identity Managerに親組織は表示されますか?

    ターゲット・システムにグループまたはOUが作成された場合、Oracle Identity Managerには親組織は表示されません。親組織は別にリコンサイルする必要があります。ただし、組織階層は維持されません。親組織は、Active Directory Organization Reconスケジュール済ジョブを実行することによってリコンサイルできます。

  34. ターゲット・システムのグループまたはOUの名前を変更すると、新しいグループまたはOUがOracle Identity Managerに作成されますか?

    はい。

  35. Oracle Identity Managerとコネクタ・サーバーの間にSSLが構成されている場合に、エクスポートする必要がある証明書を教えてください。

    Oracle Identity Managerとコネクタ・サーバーの間にSSLが構成されている場合は、コネクタ・サーバーをホストしているコンピュータからSSL証明書(.cerファイル)をエクスポートして、同じコンピュータの新しい証明書ストアにそれを追加します。新しい証明書ストアには、1つの証明書のみが含まれている必要があります。ConnectorServer.exe.Configファイルに新しい証明書ストアの詳細を構成した後に、エクスポートされた証明書をOracle Identity Managerが実行されているマシンにコピーします。証明書をOracle Identity Manager JDKストアおよびOracle WebLogicキーストアに追加します。詳細は、Microsoft Active DirectoryとMicrosoft AD LDSでのSSLの構成を参照してください。

  36. Oracle Identity Managerからターゲット・システムへのトラフィックはすべてコネクタ・サーバーを通過するので、直接アクセスのためにファイアウォールのポートを開いておく必要はないというのは正しいですか。

    はい、そのとおりです。

  37. Oracle Identity Managerとターゲット・システムとの通信に使用されるプロトコルは何ですか。

    TCPプロトコルがOracle Identity Managerとターゲット・システムとの通信に使用されます。

  38. Microsoft Active Directory User Managementコネクタのアーキテクチャでは、.NETコネクタ・サーバーとターゲット・システムとの間のデフォルトの通信がセキュアであると示されています。これは、どのようにして達成されているのですか。

    このコネクタで使用されるADSI APIでは、使用される認証のタイプを指定できるようになっています。詳細は、次に示すMicrosoft Developer Networkのページを参照してください。

    http://msdn.microsoft.com/en-us/library/system.directoryservices.directoryentry.authenticationtype%28v=vs.90%29.aspx

    ITリソースのUseSSLパラメータの値をnoに設定する場合は、次に示すページでの説明に従って認証のセキュリティを確保してください。

    http://msdn.microsoft.com/en-us/library/system.directoryservices.authenticationtypes%28v=vs.90%29.aspx