| Oracle® Identity Manager SAP User Managementコネクタ・ガイド 11.1.1 E59374-11 |
|
 前 |
 次 |
この章では次の項について説明します。
ノート:
この章に記載されている一部の手順は、ターゲット・システムで実行する必要があります。これらの手順を実行するには、SAP_ALLおよびSAP_NEWプロファイルが割り当てられているSAP管理者アカウントを使用する必要があります。
SAP UMコネクタのインストール前の作業には、ターゲット・システムでの一連のタスクの実行が含まれます。
次の各項では、インストール前の作業について説明します。
SAP Javaコネクタ・ファイルは、SAPと互換性のあるコンポーネントとアプリケーションをJavaで開発するために使用できるミドルウェア・コンポーネントです。このコンポーネントは、実行時にインバンドとアウトバウンドのSAPサーバー通信をサポートするために必要です。
ノート:
バージョン3.0.2以降のsapjco3.jarファイルを使用していることを確認してください。
SAP Webサイトからファイルをダウンロードするには、ソフトウェア・ダウンロード認可を使用して、SAPサービス・マーケットプレイスにアクセスできる必要があります。
外部コード・ファイルをダウンロードして必要な場所にコピーするには、次のようにします。
次のようにして、SAP Javaコネクタ・ファイルをSAPのWebサイトからダウンロードします。
「Application Platform」、「Connectivity」、「Connectors」、「SAP Java Connector」、「Tools & Services」の順に選択して、「SAP JAVA Connector」ページを開きます。
「SAP JAVA Connector」ページの右側のペインに、ダウンロード可能なファイルのリンクが表示されます。ダウンロードするSAP JCoリリースのリンクをクリックします。
表示されるダイアログ・ボックスに、ファイルを保存するディレクトリ・パスを指定します。
ダウンロードしたファイルの内容を抽出します。
次のディレクトリにSAP User Managementコネクタ用のsap-11.1.1.7.0というディレクトリを作成します。
OIM_HOME/server/ConnectorDefaultDirectory/targetsystems-lib/
このディレクトリ内のファイルは他のコネクタと共有されず、共有ライブラリ間でバージョンの競合が起こりません。
sapjco3.jarファイルをOIM_HOME/server/ThirdPartyディレクトリにコピーします。さらに、次のようにそのパスをDOMAIN_HOME\bin\startWebLogicファイルに追加します。
Microsoft Windowsの場合:
テキスト・エディタで、DOMAIN_HOME/bin/startWebLogic.cmdファイルを開いて次のパスを追加します。
set CLASSPATH=MIDDLEWARE_HOME_PATH\Oracle_IDM1\server\ThirdParty\sapjco3.jar;%SAVE_CLASSPATH%
ファイルを保存して閉じます。CLASSPATH変数への変更を有効にするために、サーバーを再起動します。
Linuxの場合:
テキスト・エディタで、DOMAIN_HOME/bin/startWebLogic.shファイルを開いて次のパスを追加します。
CLASSPATH=MIDDLEWARE_HOME_PATH/Oracle_IDM1/server/ThirdParty/sapjco3.jar:"${SAVE_CLASSPATH}"
たとえば、CLASSPATH=/home/shareuser/SYR2PS1BP2O7/Middleware/Oracle_IDM1/server/ThirdParty/sapjco3.jar:"${SAVE_CLASSPATH}"です
ファイルを保存して閉じます。CLASSPATH変数への変更を有効にするために、サーバーを再起動します。
RFCファイルをOracle Identity Managerホスト・コンピュータ上の必要なディレクトリにコピーし、このディレクトリへのパスが含まれるように適切な環境変数を変更します。
Microsoft Windowsの場合:
sapjco3.dllファイルをwinnt\system32ディレクトリにコピーします。あるいは、これらのファイルを任意のディレクトリにコピーし、そのディレクトリへのパスをPATH環境変数に追加することもできます。
SolarisおよびLinuxの場合:
libsapjco3.soファイルを/usr/local/jcoディレクトリにコピーし、このディレクトリへのパスをLD_LIBRARY_PATH環境変数に追加します。
Microsoft Windowsプラットフォームでは、msvcr80.dllおよびmsvcp80.dllファイルがc:\WINDOWS\system32ディレクトリに存在することを確認します。必要に応じて、両方のファイルをインターネット上の様々なソースからダウンロードすることができます。
ノート:
クラスタ設定を使用している場合は、各ノードにCLASSPATHとLD_LIBRARY_PATHを追加します。IBM WebSphere Application Serverを使用している場合、次のステップを実行します。
次のファイルをWEBSPHERE_HOME/AppServer/libにコピーします。
libsapjco3.so
sapidoc3.jar
sapjco3.jar
たとえば、前述のファイルを/home/shareuser/R2PS1ST1WAS/IBM/WebSphere/AppServer/libにコピーします
次の例に示されているように、PROFILE_HOME/bin/setupCmdLine.shファイルを更新します。
WAS_CLASSPATH="$WAS_HOME"/properties:"$WAS_HOME"/lib/startup.jar:"$WAS_HOME"/lib/bootstrap.jar:"$WAS_HOME"/lib/lmproxy.jar:"$WAS_HOME"/lib/urlprotocols.jar:"$WAS_HOME"/lib/sapjco3.jar:"$WAS_HOME"/lib/sapidoc3.jar:"$JAVA_HOME"/lib/tools.jar
環境変数への変更を有効にするために、サーバーを再起動します。
ノート:
すぐにサーバーを再起動することも、コネクタをインストールしてから再起動することもできます。
SAP JCoが正常にインストールされたかどうかをチェックするには、コマンド・ウィンドウで、次のコマンドのいずれかを実行します。
java –jar JCO_DIRECTORY/sapjco3.jar java –classpath JCO_DIRECTORY/sapjco3.jar com.sap.conn.jco.rt.About
JCoクラスおよびJCoライブラリ・パスはこのダイアログ・ボックスに表示されているはずです。
コネクタは、ターゲット・システム・アカウントを使用して、各コネクタ操作中にターゲット・システムに接続します。
このターゲット・システム・アカウントは次のいずれかである必要があります。
SAP HRMSモジュールが有効なターゲット・システムを使用している場合、ターゲット・システム・アカウントは、PLOGおよびP_ORIGIN認証オブジェクトを使用して、カスタマイズされたロール(ZHR_ORG_UMなど)が割り当てられるユーザーである必要があります。P_ORIGIN認証オブジェクトはSAP HRMSモジュールに関連しています。そのため、SAP HRMSモジュールが有効である場合にのみ、P_ORIGIN認証オブジェクトを使用してカスタマイズされたロールを割り当てることができます。
SAP HRMSモジュールが有効になっていないターゲット・システムを使用している場合、ターゲット・システム・アカウントは、次の認証オブジェクトを使用して、カスタマイズされたロール(ZHR_ORG_UMなど)が割り当てられるユーザーである必要があります。
PLOG
各プロビジョニング機能に対応するBAPIを実行する認証オブジェクト。
たとえば、複数値属性(ロールなど)をユーザーに追加するプロビジョニング機能を想定します。コネクタにこのプロビジョニング操作を実行させる場合、PLOG認証オブジェクトおよびロールを作成、変更または表示するBAPIを実行する認証オブジェクトを使用して、カスタマイズされたロールを割り当てるターゲット・システム・ユーザー・アカウントを作成する必要があります。
この項では、次のトピックについて説明します。
Oracle Identity Governanceには、コネクタ操作時にターゲット・システムにアクセスするためのターゲット・システム・ユーザー・アカウントが必要です。
SAP UMターゲットのターゲット・システム・ユーザー・アカウントを作成するには、次のようにします。
コネクタは、ターゲット・システム・アカウントを使用して、リコンシリエーション中にターゲット・システムに接続します。このターゲット・システム・アカウントは、S_IDOC_ALLプロファイル、S_RFC認可オブジェクトおよびPLOG認可オブジェクトを使用してカスタマイズされたロールの割当て先となるCPICユーザーである必要があります。
次の権限を持つCPICタイプのユーザーを作成します:
ノート:
このオブジェクトに割り当てられる値がステップ2から6に示されている値と一致するように、PLOG認可オブジェクトを構成する必要があります。要件に従って、プラン・バージョン(PLVAR)オブジェクトのみを設定できます。Access Request ManagementやAccess Risk Analysisなどのコネクタ操作をSAP Business Objects Access Controlシステムで実行できます。
ノート:
SAP Business Objects Access Controlシステムで作成されるコネクタ名のネーミング規則は、統合するシステムの論理名と同期する必要があります。これを実現するには、<SID>CLNT<XXX>などの標準のネーミング規則に従います。
次の図に、準拠するネーミング規則の例を示します。この例では、ECC、CRM、SRM、S/4 HANAなどのシステムとSAP Business Objects Access Controlシステムとの統合時にコネクタが作成される場合、システムの論理名と同期される標準のネーミング規則に従って、システムのRFC宛先を作成する必要があります。
図2-1 SAP Business Objects Access Controlシステムで作成されるコネクタのネーミング規則
SAP Business Objects Access Controlシステムを使用してAccess Request Management、Access Risk Analysisなどのコネクタ操作を実行する場合は、SAP Business Objects Access Controlのユーザー・アカウントに最小限のロール・セットを割り当てます。
| ロール名 | 説明 |
|---|---|
SAP_BC_WEBSERVICE_CONSUMER |
Webサービス・コンシューマ |
SAP_GRC_NWBC |
ガバナンス、リスクおよびコンプライアンス |
SAP_GRAC_ACCESS_APPROVER |
アクセス要求承認者のロール |
SAP_GRAC_RISK_OWNER |
リスク・メンテナンスおよびリスク分析 |
SAP_GRAC_ROLE_MGMT_ROLE_OWNER |
ロール所有者 |
前の表に示したSAP提供のデフォルト・ロールとは別に、ユーザーに追加の権限を与える必要があります。
GRFN_CONN
GRAC_SYS
GRAC_ROLER
GRAC_RISK
GRAC_REQ
GRAC_RA
S_USER_GRP
GRFN_USER
GRAC_ROLED
GRAC_ROLEP
GRAC_EMPLY
GRAC_USER
S_CTS_ADMI
S_CTS_SADM
GRAC_ACTN
GRAC_FFOWN
パラメータ値は次のように変更します。
ACTVT: 16
GRCFN_CONN: *
ACTVT: 01, 02, 03, 78
GRAC_APPTY: *
GRAC_ENVRM: *
GRAC_SYSID: *
ACTV: 16
GRAC_OUNIT: *
GRAC_ROLE: *
GRAC_ROTYP: *
GRAC_SYSID: *
ACTVT: 16
GRAC_BPROC: *
GRAC_RISK: *
GRAC_RLVL: *
GRAC_RSET: *
GRAC_RTYPE: *
ACTVT: 01, 02, 03
GRAC_BPROC: *
GRAC_FNCAR: *
GRAC_RQFOR: *
GRAC_RQINF: *
GRAC_RQTYPE: *
ACTVT: 16, 70
GRAC_OTYPE: *
GRAC_RAMOD: 1, 2, 3, 4, 5
GRAC_REPT: 01, 02, 03, 04, 05
ACTVT: 03
CLASS: *
ACTVT: *
GRAC_ACTRD: 03, FS
GRAC_BPROC: *
GRAC_LDSCP: *
GRAC_RLSEN: *
GRAC_RLTYP: *
GRAC_ROLE: *
ACTVT: 78
GRAC_BPROC: *
GRAC_OUNIT: *
GRAC_RLTYP: *
GRAC_ROLE: *
GRAC_SYSID: *
ACTVT: 01, 02, 03
GRAC_CLASS: *
GRAC_OUNIT: *
GRAC_SYSID: *
GRAC_USER: *
GRAC_UTYPE: *
ACTVT: 01, 02, 03
GRAC_COMP: *
GRAC_COSTC: *
GRAC_DEPT: *
GRAC_LOCTN: *
ACTVT: *
GRAC_OWN_T: *
GRAC_SYSID: *
GRAC_USER: *
GRAC_ACTN: HOLD
GRFNMW_PRC: *
CTS_ADMFC: *
DESTSYS: *
DOMAIN: *
CTS_ADMFCT: *
コネクタをOracle Identity Managerにインストールする必要があります。必要に応じて、コネクタをコネクタ・サーバーにインストールすることもできます。
次のトピックでは、SAP UMコネクタのインストールについて詳しく説明します。
コネクタ・コードをOracle Identity Managerでローカルに実行するには、「Oracle Identity Managerへのコネクタのインストール」の手順を実行します。
コネクタ・コードをコネクタ・サーバーでリモートで実行するには、「Oracle Identity Managerへのコネクタのインストール」および「コネクタ・サーバーへのコネクタ・バンドルのデプロイ」に示されている手順を実行します。
このシナリオでは、コネクタ・インストーラを使用してコネクタをOracle Identity Managerにインストールします:
ノート:
ダイレクト・プロビジョニングは、コネクタ・インストーラを実行した後で自動的に有効になります。必要であれば、コネクタでリクエストベースのプロビジョニングを有効にできます。リクエストベースのプロビジョニングを有効にすると、ダイレクト・プロビジョニングは自動的に無効になります。このターゲット・システムでリクエストベースのプロビジョニング機能を使用する場合は、「リクエストベースのプロビジョニングの有効化」を参照してください。
コネクタ・インストーラを実行するには、次のようにします。
Oracle Technology Networkからコネクタ・パッケージ(ZIPファイル)をダウンロードして解凍します。さらに、そのコンテンツを次のディレクトリにコピーします。
OIM_HOME/server/ConnectorDefaultDirectory
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次のステップを実行します:
ユーザー・アカウント(『Oracle Fusion Middleware Oracle Identity Managerの管理』のコネクタをインストールするためのユーザー・アカウントの作成に関する項を参照)を使用して、Oracle Identity System Administrationにログインします。
「Identity Manager拡張管理へようこそ」ページの「システム管理」領域で、「コネクタの管理」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合は、次のステップを実行します:
Oracle Identity System Administrationにログインします。
左ペインの「システム管理」で、「コネクタの管理」をクリックします。
「コネクタの管理」ページで「インストール」をクリックします。
「コネクタ・リスト」リストから、SAP UM RELEASE_NUMBERを選択します。このリストには、ステップ1でインストール・ファイルをデフォルト・コネクタ・インストール・ディレクトリにコピーしたコネクタの、名前およびリリース番号が表示されます。
インストール・ファイルを異なるディレクトリにコピーした場合は、次のようにします。
「代替ディレクトリ」フィールドに、該当するディレクトリのフルパスおよび名前を入力します。
「リフレッシュ」をクリックして、「コネクタ・リスト」に含まれるコネクタのリストを再移入します。
「コネクタ・リスト」リストから、SAP UM RELEASE_NUMBERを選択します。
「ロード」をクリックします。
「続行」をクリックして、インストール処理を開始します。
次のタスクが順番に実行されます。
コネクタ・ライブラリの構成
コネクタのXMLファイルのインポート(デプロイメント・マネージャを使用)
アダプタのコンパイル
正常に完了したタスクには、チェックマークが表示されます。タスクが失敗すると、Xマークおよび失敗の理由を示すメッセージが表示されます。タスクが失敗した場合は、必要な修正を行い、次のいずれかのステップを実行します。
「再試行」をクリックして、インストールを再試行します。
インストールを取り消して、ステップ5から再度実行します。
コネクタのインストール手順の3つのタスクがすべて正常に終了すると、インストールの成功を示すメッセージが表示されます。
また、インストール後に実行するステップのリストが表示されます。これらのステップは次のとおりです。
コネクタの使用の前提条件が満たされていることの確認
ノート:
この段階で、前提条件のリストを表示するために、PurgeCacheユーティリティを実行してコネクタ・リソース・バンドルからコンテンツをサーバー・キャッシュにロードします。PurgeCacheユーティリティの実行の詳細は、サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツのクリアを参照してください。
事前定義されたコネクタには前提条件がない場合があります。
コネクタのITリソースの構成
ITリソースを構成する手順は、このガイドで後述します。
スケジュール済ジョブの構成
これらのスケジュール済タスクを構成する手順は、このガイドで後述します。
このコネクタは、Oracle Identity Managerにローカルにデプロイすることも、コネクタ・サーバーにリモートにデプロイすることもできます。コネクタ・サーバーとは、SAP User Managementコネクタなどのアイデンティティ・コネクタのリモート実行を可能にするアプリケーションです。
ノート:
コネクタ・バンドルをコネクタ・サーバーにリモートにデプロイするには、まず、「Oracle Identity Managerへのコネクタのインストール」の説明に従ってコネクタをOracle Identity Managerにデプロイする必要があります。
関連情報は、「コネクタ・サーバーのITリソースの構成」を参照してください。
この手順は、次の段階に分けることができます。
コネクタ・サーバーは、次の2つの実装で使用できます。
.Netで実装されているアイデンティティ・コネクタにより使用される.Net実装
Java実装として、Javaベースのアイデンティティ・コネクタによって使用されます。
SAP User ManagementコネクタはJavaに実装されているため、このコネクタはJavaコネクタ・サーバーにデプロイできます。
Javaコネクタ・サーバーをインストールおよび構成するには、次のステップを実行します。
ノート:
Javaコネクタ・サーバーをデプロイする前に必ず、Javaコネクタ・サーバーをインストールするコンピュータと同じコンピュータにJDKまたはJREをインストールし、JAVA_HOMEまたはJRE_HOME環境変数がこのインストールを指し示していることを確認してください。
ノート:
Oracle Identity Managerには、コネクタ・サーバー構成のテストのサポートは組み込まれていません。
関連項目:
コネクタ・サーバーのインストールと構成、およびコネクタ・サーバーの実行の詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのアイデンティティ・コネクタ・サーバーの使用を参照してください。
SAP User ManagementコネクタをJavaコネクタ・サーバーにデプロイするには:
コネクタのインストール後の作業には、Oracle Identity Managerの構成、すべてのコネクタ・イベントに関する情報を追跡するためのロギングの有効化、およびSoDの構成が含まれます。また、ターゲット・システムでのポートの構成、OIMでのパスワードのリセット・オプションの有効化、OIMでの構成参照定義の設定、必要な入力ロケールの変更など、いくつかのオプション構成も含まれます。
次の各項では、インストール後のステップについて説明します。
ノート:
ターゲット・システムから取得された属性の値のフィールド長は、SAPUMプロセス・フォームの属性の値の長さの範囲内である必要があります。
ターゲット・システムとOracle Identity Managerとの間の通信を有効にするポートを構成できます。
ターゲット・システムとOracle Identity Manager間の通信を可能にするためには、表2-1に示すポートが開いていることを確認する必要があります。
表2-1 SAPサービスのポート
| サービス | ポート番号の形式 | デフォルト・ポート |
|---|---|---|
ディスパッチャ |
32SYSTEM_NUMBER |
3200 |
ゲートウェイ(SNC以外の通信用) |
33SYSTEM_NUMBER |
3300 |
ゲートウェイ(SNC通信用) |
48SYSTEM_NUMBER |
4800 |
メッセージ・サーバー |
36SYSTEM_NUMBER |
3600 |
これらのポートが開いているかどうかをチェックするには、たとえば、Oracle Identity ManagerからこれらのポートへのTelnet接続の確立を試みます。
この項では、ユーザー・パスワードの変更をSAP CUA親システムからその子システムへ伝播できるようなターゲット・システムの構成に関する手順について説明します。これらの手順のいくつかは、実行にSAP Basis管理者の支援が必要になる場合があります。
ターゲット・システムの構成には次のタスクがあります。
ターゲット・システムを構成するには、次の情報が必要です。
ノート:
SAPのインストール時に、インストールが実行されているサーバーにシステム番号およびクライアント番号が割り当てられます。このような項目は、次のリストに示されています。
リクエストのインポートに必要な権限を持つ管理ユーザーのログインの詳細
リクエストがインポートされるサーバーのクライアント番号
システム番号
サーバーのIPアドレス
サーバー名
SAPアプリケーション・サーバーへの接続に使用されるアカウントのユーザーID
SAPアプリケーション・サーバーへの接続に使用されるアカウントのパスワード
「ユーザー・グループ」フィールドは、SAPユーザーのデータを保持するフィールドの1つです。F4値は、リストに表示され選択できるフィールドの値です。「ユーザー・グループ」フィールドのF4値を表示するには、SM30トランザクションを実行して、BAPIF4T表にエントリを作成する必要があります。表のエントリに、データ要素としてXUCLASS、ファンクション名としてZXL_PARTNER_BAPI_F4_AUTHORITYが含まれていることを確認します。
SAPシステムに次のカスタム・オブジェクトを作成するには、リクエストをインポートする必要があります。
| オブジェクト・タイプ | オブジェクト名 |
|---|---|
パッケージ |
ZXLC |
ファンクション・グループ |
ZXLCGRP ZXLCHLPVALUES ZXLCPRF ZXLCRL ZXLCUSR |
メッセージ・クラス |
ZXLCBAPI |
プログラム |
ZLCF4HLP_DATA_DEFINITIONS ZLCMS01CTCO ZLCMS01CTCO1 ZLCMS01CTP2 ZXLCGRP ZXLCHLPVALUES ZXLCPRF ZXLCRL ZXLCUSR |
検索ヘルプ |
ZXLC_ROLE ZXLC_SYS |
ビジネス・オブジェクト・タイプ |
ZXLCGRP ZXLCHLP ZXLCPRF ZXLCRL ZXLCUSR |
表 |
ZXLCBAPIMODE ZXLCBAPIMODM ZXLCGROUPS ZXLCPRF ZXLCROLE ZXLCSTRING ZXLCSYSNAME |
xlsapcar.sarファイルには、これらのオブジェクトの定義が含まれます。xlsapcar.sarファイルの内容で表されるリクエストをインポートすると、これらのオブジェクトは自動的にSAPに作成されます。この手順により、既存のSAPの構成が変更されることはありません。
リクエストをSAPにインポートするには、次のようにリクエスト・ファイルを抽出し、リクエスト・インポート操作を実行する必要があります。
リコンシリエーションおよびプロビジョニング操作を実行するリソースに対し、UIフォームおよびアプリケーション・インスタンスを作成する必要があります。さらに、権限およびカタログ同期化ジョブを実行する必要があります。
これらの手順について、次の各項で説明します。
カスタマイズおよびフォーム管理機能の使用を開始するには、サンドボックスを作成してアクティブにする必要があります。次に、サンドボックスを公開してそのカスタマイズを他のユーザーが使用できるようにします。
サンドボックスの作成およびアクティブ化の手順は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのサンドボックスの管理を参照してください。
Oracle Identity System Administrationのフォーム・デザイナを使用して、アプリケーション・インスタンス・フォームを作成および管理できます。
UIフォームの新規作成の手順は、『Oracle Fusion Middleware Oracle Identity Managerの管理』のフォームの管理に関する項を参照してください。UIフォームを作成するときは、必ずそのフォームを関連付けるConcurコネクタに対応するリソース・オブジェクトを選択します。また、「権限フォームの生成」チェック・ボックスを選択します。
次のように、アプリケーション・インスタンスを作成します。詳細な手順は、『Oracle Fusion Middleware Oracle Identity Managerの管理』のアプリケーション・インスタンスの管理に関する項を参照してください。
サンドボックスを公開する前に、ベスト・プラクティスとして次の手順を実行し、このステージまでに行われたすべてのサンドボックスの変更を検証してください(サンドボックスを公開した後に変更を元に戻すことは難しいため)。
権限の収集とカタログ同期化を行うには:
フォーム・デザイナで行うすべての変更に対して、新しいUIフォームを作成し、アプリケーション・インスタンスでその変更を更新する必要があります。新規フォームにより既存のアプリケーション・インスタンスを更新するには、次のようにします。
Oracle Identity Managerリリース11.1.2.1.0以降では、ユーザーとしてログイン後に「マイ・アクセス」の「アカウント」タブに移動して、アカウントのパスワードをリセットできます。
「パスワードのリセット」オプションは、パスワード・フィールドにおいてUD_FORMNAME_PASSWORD命名規則に従ったアカウントにのみ有効になります。それ以外の場合は、次のサンプル・スクリーンショットで示すように、このオプションは無効になります。
Oracle Identity Managerリリース11.1.2.1.0以降で「パスワードのリセット」オプションを有効にするには、次のようにします。
次のスクリーンショットに示すように、パスワード・フィールドがAccountPassword = trueプロパティにタグ付けされています。
コネクタをデプロイすると、構成参照定義がOracle Identity Managerに作成されます。
次の項では、Lookup.SAPABAP.UM.Configuration参照定義内のエントリについて説明します。
特定のユーザーに対して作成されたSAP HRMSアカウントは、同じユーザーに対して作成されたSAP R/3またはSAP CUAアカウントにリンクできます。特定のユーザーに対し、SAP HRMSの属性は対応するSAP R/3またはSAP CUAアカウントのユーザーIDを含みます。
「拡張設定」セクションの次のパラメータを使用して、Oracle Identity Managerでこのリンクを複製できます:
validatePERNR: 操作環境に複数のSAP HRMSインストールが含まれている場合、この値としてyesを入力します。1つのSAP HRMSインストールしかない場合は、noを入力します。
overwriteLink: SAP内の既存のリンクをプロビジョニング操作で設定したもので上書きする場合、この値としてyesを入力します。
次の各項では、リンクのプロセスについて詳しく説明します。
特定のユーザーに対して作成されたSAP HRMSアカウントは、同じユーザーに対して作成されたSAP R/3またはSAP CUAアカウントにリンクできます。特定のユーザーに対し、SAP HRMSの属性は対応するSAP R/3またはSAP CUAアカウントのユーザーIDを含みます。
次の例は、リンク・プロセスの実行方法について説明しています。
SAP HRMSを使用した信頼できるソース・リコンシリエーションにより、OIMユーザー・レコードがユーザーJohn Doeに対して作成されます。作成中、ユーザーIDの値がレコードの「ユーザーID」および「従業員番号」属性に入力されます。
ノート:
「従業員番号」フィールドはOIMユーザー・フォームで非表示のUDFです。
JohnのSAP R/3またはSAP CUAアカウントをプロビジョニングするには、Oracle Identity System Administrationで必要なデータを入力して送信します。
コネクタはユーザーのSAP HRMSアカウントを探します。PERNR属性の値としてyesを入力した場合、コネクタはSAP HRMSで「従業員番号」属性に対する一致をチェックします。
既存のSAP HRMSアカウントで一致が検出されると、コネクタは次のいずれかのステップを実行します。
overwriteLink拡張設定パラメータがyesの場合、コネクタはSAP R/3またはSAP CUAアカウントのユーザーIDの値をSAP HRMSアカウントの「通信」(0105) infotypeの0001サブタイプにポストします。これはinfotypeに値が含まれているかどうかに関係ありません。
overwriteLink拡張設定パラメータがnoの場合、サブタイプに値が含まれていない場合にかぎり、コネクタはSAP R/3またはSAP CUAアカウントのユーザーIDの値をSAP HRMSアカウントの「通信」(0105) infotypeの0001サブタイプにポストします。
「リンクの作成」タスクは、「ユーザーの作成」プロビジョニング操作中に実行されるタスクのうちの1つです。必要に応じて、実行されるタスクのリストに表示されないように、このタスクを削除できます。この操作にはデザイン・コンソールを使用します。
新たに作成したアカウントを使用してSAPにログインする場合、初回ログオン時にパスワードを変更するよう求められます。Oracle Identity Governanceで作成したアカウントの場合、「拡張設定」セクションのchangePasswordAtNextLogonパラメータを使用してパスワード管理を構成できます。
次のいずれかのアプローチをとることができます。
新たに作成したアカウントを持つユーザーの初回ログオン時にパスワードの変更を求めるように、コネクタを構成します。
これには、changePasswordAtNextLogonパラメータをyesに設定します。このように設定すると、新規ユーザー・アカウントのプロセス・フォームに入力されたパスワードを使用して、ターゲット・システムで新規アカウントのパスワードが設定されます。ユーザーがターゲット・システムにログインすると、パスワードを変更するよう求められます。
Oracle Identity Governanceでアカウント作成時に設定されたパスワードが、ターゲット・システムで新規パスワードとして設定されるように、コネクタを構成します。ユーザーは初回ログオン時に、パスワードの変更を求められません。
これには、changePasswordAtNextLogonパラメータの値をnoに設定し、「基本構成」セクションのdummyPasswordパラメータに文字列を入力します。このように設定すると、Oracle Identity Governanceでユーザー・アカウントを作成する際、ユーザーはまずダミー・パスワードを使用して作成されます。その後すぐに、ユーザーのパスワードは、プロセス・フォームに入力されたパスワードに変更されます。ユーザーがターゲット・システムにログインする際、パスワードを変更するよう求められません。
デフォルトではこのコネクタはICF接続プーリングを使用します。表2-2に、接続プーリング・プロパティ、その説明、およびICFでのデフォルト値セットを示します。
表2-2 接続プーリング・プロパティ
| プロパティ | 説明 |
|---|---|
プールの最大アイドル数 |
プール内のアイドル状態のオブジェクトの最大数。 デフォルト値: |
プールの最大サイズ |
プールで作成できる接続の最大数。 デフォルト値: |
プールの最大待機時間 |
プールが空きオブジェクトを操作に使用できるようになるまで待機する必要のある最大時間(ミリ秒)。 デフォルト値: |
プールの最小削除アイドル時間 |
コネクタがアイドル状態のオブジェクトを削除するまで待機する必要のある最小時間(ミリ秒)。 デフォルト値: |
プールの最小アイドル数 |
プール内のアイドル状態のオブジェクトの最小数。 デフォルト値: |
接続プーリング・プロパティを変更して環境の要件に適した値を使用する場合は、次のようにします。
リクエストベースのプロビジョニングでは、エンドユーザーがOracle Identity System Administrationを使用して、リソースまたは権限のリクエストを作成します。管理者または他のユーザーは、特定のユーザーのためにリクエストを作成できません。リクエストを確認して承認できるのは、Oracle Identity Managerで指名された承認者です。
ノート:
この項の手順は、Oracle Identity Managerリリース11.1.1.xを使用している場合のみ実行します。
コネクタのダイレクト・プロビジョニング機能を使用する場合は、リクエストベースのプロビジョニングを有効化しないでください。
リクエストベースのプロビジョニングの機能は次のとおりです。
1ユーザーにプロビジョニングできるのはターゲット・システムの1リソース(アカウント)のみです。
リクエストベースのプロビジョニングを有効にすると、ダイレクト・プロビジョニングは使用できません。
次の各項では、リクエストベースのプロビジョニングを有効化するために実行するステップについて説明します。
リクエスト・データセットは、プロビジョニング操作中にリクエスタにより送信される情報を指定するXMLファイルです。これらのリクエスト・データセットで、リクエストベースのプロビジョニング操作中にリクエスタにより送信される必要のある属性のデフォルト・セットの情報を指定します。
デプロイメント・マネージャを使用してリクエスト・データセットXMLファイルをインポートするには、次のようにします。
自動保存フォーム機能を有効化するには:
メタデータ・カテゴリに属するコンテンツをサーバー・キャッシュからクリアするには、PurgeCacheユーティリティを実行します。手順は、「サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツのクリア」を参照してください。
リクエストベースのプロビジョニングを有効にする手順は、このステップで終了です。
ノート:
Oracle Identity Managerクラスタで、クラスタのノードごとにこの手順を実行します。その後、各ノードを再起動します。
必要な入力ロケールに変更するため、システム管理者の支援が必要となる場合があります。
ノート:
Oracle Identity Managerクラスタで、クラスタのノードごとにこのステップを実行する必要があります。その後、各ノードを再起動します。
コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュからクリアするには、次のようにします。
Oracle Identity Managerでは、コネクタに関連するすべてのタイプのイベントを記録するために、Oracle Diagnostic Logging (ODL)のロギング・サービスを使用します。
次のトピックでは、ロギングについて詳しく説明します。
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。
Oracle Identity Managerリリース11.1.xでは、ロギングにOracle Java Diagnostic Logging (OJDL)を使用します。OJDLはjava.util.loggerに基づいています。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
SEVERE.intValue()+100
このレベルでは、致命的エラーに関する情報のロギングが有効化されます。
SEVERE
このレベルでは、Oracle Identity Managerの実行を続行できる可能性があるエラーに関する情報のロギングが有効化されます。
WARNING
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を示すメッセージのロギングが有効化されます。
CONFIG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
FINE、FINER、FINEST
これらのレベルでは詳細なイベントに関する情報のロギングが有効化され、FINESTではすべてのイベントに関する情報が記録されます。
表2-3に示すように、これらのメッセージ・タイプはODLメッセージ・タイプとレベルの組合せにマップされています。
表2-3 ログ・レベルおよびODLメッセージ・タイプとレベルの組合せ
| Javaのレベル | ODLメッセージ・タイプ:レベル |
|---|---|
SEVERE.intValue()+100 |
INCIDENT_ERROR:1 |
SEVERE |
ERROR:1 |
WARNING |
WARNING:1 |
INFO |
NOTIFICATION:1 |
CONFIG |
NOTIFICATION:16 |
FINE |
TRACE:1 |
FINER |
TRACE:16 |
FINEST |
TRACE:32 |
OJDLの構成ファイルはlogging.xmlであり、次のパスにあります。
DOMAIN_HOME/config/fmwconfig/servers/OIM_SERVER/logging.xml
ここで、DOMAIN_HOMEとOIM_SEVERは、Oracle Identity Managerのインストール時に指定されたドメイン名とサーバー名です。
Oracle WebLogic Serverのロギングを有効化するには、次のようにします。
次のようにしてlogging.xmlファイルを編集します。
ファイル内に次のブロックを追加します。
<log_handler name='sap-handler' level='[LOG_LEVEL]' class='oracle.core.ojdl.logging.ODLHandlerFactory'> <property name='logreader:' value='off'/> <property name='path' value='[FILE_NAME]'/> <property name='format' value='ODL-Text'/> <property name='useThreadName' value='true'/> <property name='locale' value='en'/> <property name='maxFileSize' value='5242880'/> <property name='maxLogSize' value='52428800'/> <property name='encoding' value='UTF-8'/> </log_handler>
<logger name="ORG.IDENTITYCONNECTORS.SAP" level="[LOG_LEVEL]" useParentHandlers="false">
<handler name="sap-handler"/>
<handler name="console-handler"/>
</logger>
SAP BusinessObjects ACを使用している場合、次のブロックを追加します。
<logger name="ORG.IDENTITYCONNECTORS.SAPAC" level="[Log_LEVEL]" useParentHandlers="false">
<handler name="sap-handler"/>
<handler name="console-handler"/>
</logger>
2箇所の[LOG_LEVEL]を、必要なODLのメッセージ・タイプとレベルの組合せで置き換えます。表2-3に、サポートされているメッセージ・タイプとレベルの組合せを示します。
同様に、記録されるメッセージをロギングするログ・ファイルのフルパスと名前で、[FILE_NAME]を置き換えます。
次のブロックは、[LOG_LEVEL]および[FILE_NAME]のサンプル値を示しています。
<log_handler name='sap-handler' level='NOTIFICATION:1' class='oracle.core.ojdl.logging.ODLHandlerFactory'> <property name='logreader:' value='off'/> <property name='path' value='F:\MyMachine\middleware\user_projects\domains\base_domain1\servers\oim_server1\logs\oim_server1-diagnostic-1.log'/> <property name='format' value='ODL-Text'/> <property name='useThreadName' value='true'/> <property name='locale' value='en'/> <property name='maxFileSize' value='5242880'/> <property name='maxLogSize' value='52428800'/> <property name='encoding' value='UTF-8'/> </log_handler>
<logger name="ORG.IDENTITYCONNECTORS.SAP" level="NOTIFICATION:1" useParentHandlers="false">
<handler name="sap-handler"/>
<handler name="console-handler"/>
</logger>
SAP BusinessObjects ACを使用している場合、次のブロックを追加します。
<logger name="ORG.IDENTITYCONNECTORS.SAPAC" level="NOTIFICATION:1" useParentHandlers="false">
<handler name="sap-handler"/>
<handler name="console-handler"/>
</logger>
これらのサンプル値を設定すると、Oracle Identity Managerを使用するときに、このコネクタについて生成される、ログ・レベルがNOTIFICATION:1レベル以上のすべてのメッセージが指定のファイルに記録されます。
ファイルを保存して閉じます。
サーバー・ログをファイルにリダイレクトするには、次の環境変数を設定します。
Microsoft Windowsの場合:
set WLS_REDIRECT_LOG=FILENAME
UNIXの場合:
export WLS_REDIRECT_LOG=FILENAME
FILENAMEを、出力のリダイレクト先ファイルの場所と名前に置き換えます。
アプリケーション・サーバーを再起動します。
ノート:
Oracle Identity Governanceクラスタで、クラスタのノードごとにこのステップを実行します。Access Request Managementは、SAP BusinessObjects ACスイート内のモジュールです。SAP環境では、アカウントの作成および変更のプロビジョニング・リクエストを受信するフロント・エンドとしてAccess Request Managementを設定できます。Access Request Managementでは、これらのリクエストを処理するワークフローを構成することが可能で、承認者として指定されたユーザーがこれらのリクエストを処理します。
Oracle Identity Managerは、SAP BusinessObjects AC Access Request Managementに送信するための媒体としてプロビジョニング・リクエストを構成できます。Oracle Identity ManagerからのリクエストはAccess Request Managementに送信され、そこからリクエストに含まれているプロビジョニング・データがターゲット・システム(SAP R/3またはSAP CUA)に転送されます。結果として、ターゲット・システムでユーザー・アカウントが作成または変更されます。
ノート:
Access Request Management機能を構成する前に、「デプロイメント構成の使用に関するガイドライン」に記載されているガイドラインを参照することをお薦めします
次の項目で、Access Request Management機能の構成について説明します。
GRC-ITRes ITリソースには、SAP BusinessObjects AC Access Request Managementとの通信中に使用される情報が含まれています。このITリソースのパラメータに値を設定するには:
使用しているOracle Identity Managerのリリースに応じて、次のいずれかのステップを実行します。
Oracle Identity Managerリリース11.1.1.xの場合:
Oracle Identity System Administrationにログインします。
Oracle Identity Managerリリース11.1.2.xの場合:
Oracle Identity System Administrationにログインします。
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次の手順を実行します。
「ようこそ」ページで、ページの右上隅にある「拡張」をクリックします。
「Oracle Identity Manager拡張管理へようこそ」ページの「構成」リージョンで、「ITリソースの管理」をクリックします。
Oracle Identity Managerリリース11.1.2.x,を使用している場合、左ペインの「構成」で、「ITリソース」をクリックします。
「ITリソースの管理」ページの「ITリソース名」フィールドにGRC-ITResと入力して、「検索」をクリックします。
ITリソースの編集アイコンをクリックします。
ページ上部のリストから、「詳細およびパラメータ」を選択します。
ITリソースのパラメータの値を指定します。
表2-4に、GRC-ITRes ITリソースのパラメータを示します。
表2-4 GRC-ITRes ITリソースのパラメータ
| パラメータ | 説明 |
|---|---|
構成参照 |
構成参照定義の名前を入力します。 SAP BusinessObjects AC 10の場合: |
language |
ターゲット・システムで設定された言語を表す2文字のコードを入力します。 サンプル値: |
コネクタ・サーバー名 |
Connector ServerタイプのITリソースの名前。Connector ServerのITリソースは、 「コネクタ・サーバーのITリソースの構成」で作成します。 ノート: このパラメータの値を入力するのは、SAPユーザー管理コネクタをコネクタ・サーバーにデプロイした場合のみです。 |
password |
Access Request Managementシステムで作成されたアカウントのパスワードを入力します。 |
port |
Access Request Managementシステムがリスニングしているポートの番号を入力します。 サンプル値: |
server |
Access Request Managementシステムがリスニングしているホスト・コンピュータのIPアドレスを入力します。 サンプル値: |
username |
Access Request Managementシステムで作成されたアカウントのユーザー名を入力します。このアカウントは、リクエスト検証中に使用されるAccess Request ManagementシステムAPIをコールするために使用されます。 サンプル値: |
「更新」をクリックして、値を保存します。
SoDは、1ユーザーにビジネス・プロセスの1モジュールのみのアクセス権を与えて、不正やエラーのリスクを減らすために、他のモジュールにアクセスできないようにするためのプロセスです。
この項の内容は次のとおりです。
ノート:
ALL USERSグループには、UD_SAP、UD_SAPRLおよびUD_SPUM_PROプロセス・フォームに対するINSERT、UPDATEおよびDELETE権限があります。これは次のプロセスを有効にするために必要です。
権限リクエストのSoD検証では、データはまずダミー・オブジェクト・フォームからダミー・プロセス・フォームに移されます。そのフォームからデータが検証のためにSoDエンジンに送信されます。リクエストがSoD検証をクリアすると、データがダミー・プロセス・フォームから実際のプロセス・フォームに移されます。データはAPIを介して実際のプロセス・フォームに移されるため、ALL USERSグループには3つのプロセス・フォームに対するINSERT、UPDATEおよびDELETE権限が必要です。
Lookup.SAPABAP.Configuration参照定義で、SOD構成参照エントリのデコード値を変更する必要があります。
デフォルトで、このエントリのデコード値はLookup.SAPAC10ABAP.Configurationです。
SoDエンジンとして機能するようにSAP BusinessObjects ACを構成するには、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド 11gリリース1 (11.1.2)』の職務の分離の使用に関する項を参照してください。
GRC-ITRes ITリソースには、SoD操作中にコネクタによって使用される情報が含まれています。このITリソースは、両方のOracle Identity ManagerのAccess Request Management機能によって使用されるものと同じです。
このITリソースのパラメータに値を設定する手順は、「GRC-ITRes ITリソースの値の指定」を参照してください。
参照フィールドの同期を実行するときに、Lookup.SAPABAP.System参照定義に自動的にシステム名が移入されます。同期後、この参照定義を開き、SoD検証プロセスに使用するシステム用のエントリのみがこの表に含まれていることを確認する必要があります。
TopologyName ITリソース・パラメータには、SoD検証のために使用する次の要素を組み合せた名前を指定します。
Oracle Identity Managerインストール
SAP BusinessObjects ACインストール
SAP ERPインストール
sodgrcをTopologyNameパラメータの値として入力します。
この要素の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド 11gリリース1 (11.1.2.0)』の職務の分離の使用に関する項を参照してください。
ITリソースのパラメータに値を指定する方法の詳細は、「ITリソースの構成」を参照してください。
この項では、Oracle Identity GovernanceでSoDを無効化および有効化する手順を説明します。
SoDを無効化するには:
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次のステップを実行します:
Oracle Identity System Administrationにログインします。
「ようこそ」ページで、ページの右上隅にある「拡張」をクリックします。
「Oracle Identity Manager拡張管理へようこそ」ページの「システム管理」タブで、「システム構成」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合は、次のステップを実行します:
Oracle Identity System Administrationにログインします。
左ペインの「システム管理」の下で、「システム構成」をクリックします。
「システム構成の検索」ボックスにXL.SoDCheckRequiredと入力し、「検索」をクリックします。
検索基準に一致するリストが検索結果表に表示されます。
XL.SoDCheckRequiredプロパティ名をクリックします。
SoDのシステム・プロパティが右側のペインに表示されます。
「値」ボックスにFALSEと入力し、SoDを無効化します。
「保存」をクリックします。
Oracle Identity Managerを再起動します。
SoDを有効化するには:
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次のステップを実行します:
Oracle Identity System Administrationにログインします。
「ようこそ」ページで、ページの右上隅にある「拡張」をクリックします。
「Oracle Identity Manager拡張管理へようこそ」ページの「システム管理」タブで、「システム構成」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合は、次のステップを実行します:
Oracle Identity System Administrationにログインします。
左ペインの「システム管理」の下で、「システム構成」をクリックします。
「システム構成の検索」ボックスにXL.SoDCheckRequiredと入力し、「検索」をクリックします。
検索基準に一致するリストが検索結果表に表示されます。
XL.SoDCheckRequiredプロパティ名をクリックします。
SoDのシステム・プロパティが右側のペインに表示されます。
「値」ボックスにTRUEと入力し、SoDを有効化します。
「保存」をクリックします。
Oracle Identity Managerを再起動します。
Oracle Identity ManagerはJavaアプリケーション・サーバーを使用します。SAPシステム・アプリケーション・サーバーに接続するために、このJavaアプリケーション・サーバーがSAP Javaコネクタ(JCo).を使用します必要に応じて、Secure Network Communication (SNC)を使用してOracle Identity ManagerとSAPシステムとの間の通信を保護できます。
ノート:
詳細は、SAP SNCのドキュメントを参照してください。この項の内容は次のとおりです。
SNCを使用するためにコネクタを構成する前提条件は、次のとおりです。
SNCは、SAPアプリケーション・サーバーでアクティブである必要があります。
SNCインフラストラクチャに精通している必要があります。また、アプリケーション・サーバーでSNCに使用するPersonal Security Environment(PSE)を把握しておく必要があります。
Oracle Identity Managerで使用されるJavaアプリケーション・サーバーでセキュリティ・パッケージをインストールするには、次のようにします。
SNCを構成するには:
PSEを作成するか、SAPアプリケーション・サーバーのSNC PSEをSECUDIRディレクトリにコピーします。Javaアプリケーション・サーバーのSNC PSEを作成するには、次のようにsapgenpse.exeコマンドライン・ツールを使用します。
SECUDIRディレクトリの場所を特定するには、コマンド・オプションを指定せずにsapgenpseコマンドを実行します。SECUDIRディレクトリのライブラリ・バージョンや場所などの情報が表示されます。
次のようなコマンドを入力してPSEを作成します。
sapgenpse get_pse -p PSE_Name -x PIN Distinguished_Name
サンプルの識別名を次に示します。
CN=SAPJ2EE, O=MyCompany, C=US
sapgenpseコマンドにより、PSEがSECUDIRディレクトリに作成されます。
Javaアプリケーション・サーバーの資格証明を作成します。
Javaアプリケーション・サーバーには、PSEにアクセスするために実行時にアクティブな資格証明が必要です。この条件を満たしているかどうかを確認するには、次のコマンドをSECUDIRディレクトリの親ディレクトリに入力します。
Sapgenpse seclogin
次に、次のコマンドを入力してサーバーのPSEを開き、credentials.sapgenpseファイルを作成します。
seclogin -p PSE_Name -x PIN -O [NT_Domain\]user_ID
指定するuser_IDには、管理者権限が必要です。PSE_NAMEは、PSEファイルの名前です。
-Oオプションで指定されたユーザーの資格証明ファイルcred_v2がSECUDIRディレクトリに作成されます。
次のようにして、2つのサーバーの公開キー証明書を交換します。
ノート:
SAPサーバーの証明書ごとに個別のPSEを使用する場合は、SAPサーバーの証明書ごとにこの手順を1回実行する必要があります。つまり、この手順を実行する回数はPSEの数と同じです。
次のコマンドを入力してOracle Identity Managerの証明書をエクスポートします。
sapgenpse export_own_cert -o filename.crt -p PSE_Name -x PIN
Oracle Identity Managerの証明書をSAPアプリケーション・サーバーにインポートします。このステップの実行には、SAP管理者の支援が必要になる場合があります。
次のいずれかの方法を使用して、SAPアプリケーション・サーバーにSNCを設定します。
各ユーザーを証明書にマップせず、バッチ処理を使用する場合は、一般的なルールベースの証明書マッピングを定義して、NetWeaverマップ・ユーザー証明書を自動的に有効にします。
SAPアプリケーション・サーバーの証明書をエクスポートします。このステップの実行には、SAP管理者の支援が必要になる場合があります。
次のコマンドを入力してSAPアプリケーション・サーバーの証明書をOracle Identity Managerにインポートします。
sapgenpse maintain_pk -a serverCertificatefile.crt -p PSE_Name -x PIN
SAP UM ITResource ITリソース・オブジェクトの次のパラメータを構成します。
sncLib
sncName
sncPartnerName
sncProtectionLevel
useSNC
ターゲット・システムのITリソースは、コネクタのインストール後に作成されます。このITリソースを構成することで、コネクタによりOracle Identity Managerをターゲット・システムと接続できます。
ここでは、ITリソースを使用して有効にできる機能についての情報を提供します。
次の項では、ITリソースのパラメータについて説明しています。
SAPでは、ログオン・グループを負荷分散メカニズムとして使用します。ユーザーがログオン・グループにログオンすると、システムはその接続リクエストを最小ロードのログオン・グループ・メンバーに内部的にルーティングします。
ITリソースの次のパラメータがこの機能を有効化するために使用されます。これらのパラメータは表2-5で説明しています。
jcoGroup
loadBalance
msHost
msServ
さらに、Oracle Identity Managerホスト・コンピュータで「SAP JCo接続の有効化」に記載されている手順を実行して、SAP JCo接続を有効にします。
Secure Network Communication (SNC)は、SAPとSAPが対話するアプリケーションとの間の通信を保護するためのSAP固有のメカニズムです。SNCベース通信の有効化の詳細は、「Oracle Identity Managerとターゲット・システムとの間の通信を保護するためのSNCの構成」を参照してください。SNCパラメータの名前は先頭にSNCが付きます。
プロビジョニング操作中、特定のユーザーの複数値属性(ロールなど)を更新する、複数回のユーザー試行が発生する可能性があります。ITリソースの次のパラメータが同時更新試行を自動的に管理するために使用されます。
タイムアウト数: ターゲット・システムで複数値属性を更新する操作を再試行する前に、コネクタが待機する必要がある時間(ミリ秒単位)を入力します。
タイムアウト再試行回数: ターゲット・システムで複数値属性の更新の再試行の最大回数を入力します。
SAP UM ITResource ITリソースは、コネクタ・インストーラを実行すると自動的に作成されます。ITリソースのパラメータ値を指定する必要があります。
ノート:
ALL USERSグループには、デフォルトのITリソースのINSERT、UPDATEおよびDELET権限があります。これは、リクエストベースのプロビジョニングの際にエンドユーザーがITリソースを選択できるようにするためです。別のITリソースを作成する場合は、そのITリソースにALL USERSグループのINSERT、UPDATEおよびDELETE権限を割り当てる必要があります。
ITリソースを構成するには、Oracle Identity System Administrationを使用する必要があります。接続プーリングのパラメータに設定した値は、Design Consoleを使用してITリソースを構成すると有効になりません。
ITリソースのパラメータ値を指定するには:
使用しているOracle Identity Managerのリリースに応じて、次のいずれかのステップを実行します。
Oracle Identity Managerリリース11.1.1.xの場合:
Oracle Identity System Administrationにログインします。
Oracle Identity Managerリリース11.1.2.xの場合:
Oracle Identity System Administrationにログインします。
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次の手順を実行します。
「ようこそ」ページで、ページの右上隅にある「拡張」をクリックします。
「Oracle Identity Manager拡張管理へようこそ」ページの「構成」リージョンで、「ITリソースの管理」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合、左ペインの「構成」で、「ITリソース」をクリックします。
「ITリソースの管理」ページの「ITリソース名」フィールドにSAP UM ITResourceと入力して、「検索」をクリックします。
ITリソースの編集アイコンをクリックします。
ページ上部のリストから、「詳細およびパラメータ」を選択します。
ITリソースのパラメータの値を指定します。表2-5ではSAP UM ITリソースのパラメータについて、表2-6ではSAP AC UM ITリソースのパラメータについて説明しています。
表2-5 SAP UM ITリソースのパラメータ
| パラメータ | 説明 | 必須 |
|---|---|---|
client |
SAPクライアントの設定 デフォルト値: |
〇 |
構成参照 |
構成情報を含む参照定義の名前 デフォルト値: |
〇 |
configureConnectionTuning |
SAP接続先を構成するときに接続プロパティのカスタマイズを許可 デフォルト値: |
× |
connectionMaxGetTime |
接続まで待機する最大時間(ミリ秒単位で指定) |
× |
connectionPoolActiveTime |
同時に接続先に対して作成できるアクティブ接続の最大数 |
× |
connectionPoolCapacity |
接続先によりオープンされたままにできるアイドル接続の最大数 |
× |
connectionPoolExpirationPeriod |
この期間待機した後で、解放された接続の有効期限がチェックされます(ミリ秒単位で指定) |
× |
connectionPoolExpirationTime |
この時間の後で、接続先により保有される解放された接続を閉じることができます(ミリ秒単位で指定) |
× |
コネクタ・サーバー名 |
Connector ServerタイプのITリソースの名前。コネクタ・サーバーのITリソースは、「コネクタ・サーバーのITリソースの構成」に従って作成します。 ノート: このパラメータの値を入力するのは、SAPユーザー管理コネクタをコネクタ・サーバーにデプロイした場合のみです。 |
× |
destination |
この値は一意である必要があります。これは、SAPJCoがSAPシステムと対話するために必要な必須接続パラメータです。 サンプル値: 指定した値は、ITリソースの各インスタンスで一意である必要があります。 |
〇 |
dummyPassword |
ユーザー作成プロビジョニング操作時にコネクタで使用するダミー・パスワードを入力します。コネクタはまずパスワードをこの値に設定してから、プロセス・フォームで指定されたパスワードに変更します。このパラメータの詳細は、「新たに作成したアカウントのパスワード変更の構成」を参照してください。 |
必須 |
host |
リソースのホスト名 |
必須 |
jcoGroup |
SAPアプリケーション・サーバーのグループ |
オプション |
jcoSAPRouter |
ファイアウォールで保護されるシステムに使用するSAPルーター文字列 |
オプション |
jcoTrace |
有効にするSAP JCOトレースのレベル。最大10の、0または正の整数を入力します。 デフォルト値: |
オプション |
jcoTraceDir |
トレース・ファイルが作成されるディレクトリへの絶対パス。 |
オプション |
language |
ターゲット・システムで設定された言語を表す2文字のコードを入力します。 デフォルト値: |
オプション |
loadBalance |
ログオン・グループの使用を有効にするには デフォルト値: |
オプション |
masterSystem |
SAPシステムの識別に使用されるRFC宛先の値を入力します。この値は論理システム名と同じである必要があります。 サンプル値: このサンプル値はSAPシステムで使用される次の形式に基づきます。 <SYSTEM_ID>CLNT<CLIENT_NUM> このサンプル値では、EH6はターゲット・システムのシステムIDで、001はクライアント番号です。 |
必須 |
maxBAPIRetries |
BAPI実行の最大再試行回数 デフォルト値: |
オプション |
msHost |
メッセージ・サーバーのホスト名を入力します |
オプション |
msServ |
(オプション)デフォルトのsapmsのかわりに使用するSAPメッセージ・サーバー・ポート |
オプション |
password |
通常の認証を使用している場合、ユーザー・アカウントのパスワード |
必須 |
r3Name |
SAP R/3またはSAP CUAシステムのホスト名を入力します |
オプション |
retryWaitTime |
接続再試行の待機時間 デフォルト値: |
オプション |
sncLib |
ターゲット・システムのホスト・コンピュータ上のcryptoライブラリのフルパスおよび名前を入力します このパラメータは、SNCが有効な場合のみ必要です。 サンプル値: |
オプション |
sncName |
SNCのシステム名 ターゲット・システムとOracle Identity Manager間のSNC通信を有効にする場合にのみ、このパラメータに値を指定します。 サンプル値: |
オプション |
sncPartnerName |
ターゲット・システムのホスト・コンピュータ上のドメイン名を入力します ターゲット・システムとOracle Identity Manager間のSNC通信を有効にする場合にのみ、このパラメータに値を指定します。 サンプル値: |
オプション |
sncProtectionレベル |
データが送信される保護レベル(保護の質(QOP))を入力します。 値は、次のいずれかの数値です。
ターゲット・システムとOracle Identity Manager間のSNC通信を有効にする場合にのみ、このパラメータに値を指定します。 デフォルト値: |
オプション |
sncX509Cert |
SNCを使用している場合のBEGIN CERTIFICATEまたはEND CERTIFICATE文字列を含まないX509証明書 ノート: 証明書から改行文字をすべて削除する必要があります。 |
オプション |
systemNumber |
SAPシステム番号 デフォルト値: |
必須 |
TopologyName |
ターゲット・システムのホスト・コンピュータのトポロジ名 デフォルト値 |
オプション |
user |
通常の認証を使用している場合、新しいアカウントを作成する権限を持つユーザー名 |
必須 |
useSNC |
Oracle Identity Managerとターゲット・システムの間の安全な通信を構成する場合は、 デフォルト値: |
オプション |
表2-6 SAP AC UM ITリソースのパラメータ
| パラメータ | 説明 |
|---|---|
client |
SAPクライアントの設定 デフォルト値: |
構成参照 |
構成情報を含む参照定義の名前 デフォルト値: |
configureConnectionTuning |
SAP接続先を構成するときに接続プロパティのカスタマイズを許可 デフォルト値: |
connectionMaxGetTime |
接続まで待機する最大時間(ミリ秒単位で指定) |
connectionPoolActiveTime |
同時に接続先に対して作成できるアクティブ接続の最大数 |
connectionPoolCapacity |
接続先によりオープンされたままにできるアイドル接続の最大数 |
connectionPoolExpirationPeriod |
この期間待機した後で、解放された接続の有効期限がチェックされます(ミリ秒単位で指定) |
connectionPoolExpirationTime |
この時間の後で、接続先により保有される解放された接続を閉じることができます(ミリ秒単位で指定) |
コネクタ・サーバー名 |
Connector ServerタイプのITリソースの名前。コネクタ・サーバーのITリソースは、「コネクタ・サーバーのITリソースの構成」に従って作成します。 ノート: このパラメータの値を入力するのは、SAPユーザー管理コネクタをコネクタ・サーバーにデプロイした場合のみです。 |
destination |
この値は一意である必要があります。これは、SAPJCoがSAPシステムと対話するために必要な必須接続パラメータです。 サンプル値: 指定した値は、ITリソースの各インスタンスで一意である必要があります。 |
dummyPassword |
ユーザー作成プロビジョニング操作時にコネクタで使用するダミー・パスワードを入力します。コネクタはまずパスワードをこの値に設定してから、プロセス・フォームで指定されたパスワードに変更します。このパラメータの詳細は、「新たに作成したアカウントのパスワード変更の構成」を参照してください。 |
grcLanguage |
GRCシステムで設定された言語を表す2文字のコードを入力します。 サンプル値: |
grcPassword |
GRCシステムのパスワードを入力します。 |
grcUsername |
GRCシステムのユーザー名を入力します。 |
host |
リソースのホスト名 |
jcoGroup |
SAPアプリケーション・サーバーのグループ |
jcoSAPRouter |
ファイアウォールで保護されるシステムに使用するSAPルーター文字列 |
jcoTrace |
有効にするSAP JCOトレースのレベル。最大10の、0または正の整数を入力します。 デフォルト値: |
jcoTraceDir |
トレース・ファイルが作成されるディレクトリへの絶対パス。 |
language |
ターゲット・システムで設定された言語を表す2文字のコードを入力します。 デフォルト値: |
loadBalance |
ログオン・グループの使用を有効にするには デフォルト値: |
masterSystem |
SAPシステムの識別に使用されるRFC宛先の値を入力します。この値は論理システム名と同じである必要があります。 サンプル値: このサンプル値はSAPシステムで使用される次の形式に基づきます。 <SYSTEM_ID>CLNT<CLIENT_NUM> このサンプル値では、EH6はターゲット・システムのシステムIDで、001はクライアント番号です。 |
maxBAPIRetries |
BAPI実行の最大再試行回数 デフォルト値: |
msHost |
メッセージ・サーバーのホスト名を入力します |
msServ |
(オプション)デフォルトのsapmsのかわりに使用するSAPメッセージ・サーバー・ポート |
password |
通常の認証を使用している場合、ユーザー・アカウントのパスワード |
r3Name |
SAP R/3またはSAP CUAシステムのホスト名を入力します |
retryWaitTime |
接続再試行の待機時間 デフォルト値: |
sncLib |
ターゲット・システムのホスト・コンピュータ上のcryptoライブラリのフルパスおよび名前を入力します このパラメータは、SNCが有効な場合のみ必要です。 サンプル値: |
sncName |
SNCのシステム名 ターゲット・システムとOracle Identity Manager間のSNC通信を有効にする場合にのみ、このパラメータに値を指定します。 サンプル値: |
sncPartnerName |
ターゲット・システムのホスト・コンピュータ上のドメイン名を入力します ターゲット・システムとOracle Identity Manager間のSNC通信を有効にする場合にのみ、このパラメータに値を指定します。 サンプル値: |
sncProtectionレベル |
データが送信される保護レベル(保護の質(QOP))を入力します。 値は、次のいずれかの数値です。
ターゲット・システムとOracle Identity Manager間のSNC通信を有効にする場合にのみ、このパラメータに値を指定します。 デフォルト値: |
sncX509Cert |
SNCを使用している場合のBEGIN CERTIFICATEまたはEND CERTIFICATE文字列を含まないX509証明書 ノート: 証明書から改行文字をすべて削除する必要があります。 |
systemNumber |
SAPシステム番号 デフォルト値: |
TopologyName |
ターゲット・システムのホスト・コンピュータのトポロジ名 デフォルト値 |
user |
通常の認証を使用している場合、新しいアカウントを作成する権限を持つユーザー名 |
useSNC |
Oracle Identity Managerとターゲット・システムの間の安全な通信を構成する場合は、 デフォルト値: |
「更新」をクリックして、値を保存します。
コネクタのインストール時に、SAP UMのコネクタ・サーバーのデフォルトのITリソースが、SAP UM IT Resourceの名前で作成されます。
コネクタ・サーバーのITリソースを作成するには:
使用しているOracle Identity Managerのリリースに応じて、次のいずれかのステップを実行します。
Oracle Identity Managerリリース11.1.1.xの場合:
Oracle Identity System Administrationにログインします。
Oracle Identity Managerリリース11.1.2.xの場合:
Oracle Identity System Administrationにログインします。
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次の手順を実行します。
「ようこそ」ページで、ページの右上隅にある「拡張」をクリックします。
「Identity Manager拡張管理へようこそ」ページの「構成」リージョンで、「ITリソースの作成」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合:
左ペインの「構成」で、「ITリソース」をクリックします。
「ITリソースの管理」ページで、「ITリソースの作成」をクリックします。
「ステップ1: ITリソース情報の入力」ページで、次のステップを実行します。
ITリソース名: ITリソースの名前を入力します。
ITリソース・タイプ: 「ITリソース・タイプ」リストから「コネクタ・サーバー」を選択します。
Remote Manager: このフィールドには値を入力しないでください。
「続行」をクリックします。図2-2に、「ITリソースの作成」ページで追加されたITリソース値を示します。
「ステップ2: ITリソース・パラメータ値の指定」ページで、ITリソースのパラメータに値を指定して、「続行」をクリックします。図2-3に、「ステップ2: ITリソース・パラメータ値の指定」ページを示します。
表2-7に、ITリソース・パラメータの説明を示します。
ノート:
ITリソースのパラメータに指定する値の詳細は、「コネクタ・サーバーのインストールおよび構成」のステップ8を参照してください。
表2-7 コネクタ・サーバーのITリソースのパラメータ
| パラメータ | 説明 |
|---|---|
ホスト |
コネクタ・サーバーのホスト・コンピュータのホスト名またはIPアドレスを入力します。 サンプル値: |
キー |
コネクタ・サーバーのキーを入力します。 |
ポート |
コネクタ・サーバーがリスニングしているポートの番号を入力します。 デフォルト値: |
タイムアウト |
コネクタ・サーバーとOracle Identity Managerとの間の接続がタイムアウトするまでの秒数を指定する整数値を入力します。 サンプル値: 値0では、接続はタイムアウトしません。 |
UseSSL |
Oracle Identity Managerとコネクタ・サーバーとの間にSSLを構成するよう指定する場合は、 デフォルト値: ノート: SSLを構成してコネクタ・サーバーとの通信を保護することをお薦めします。Oracle Identity Managerとコネクタ・サーバー間のSSLを構成するには、「Oracle Identity Managerとターゲット・システムとの間の通信を保護するためのSNCの構成」を参照してください。 |
「ステップ3: ITリソースへのアクセス権限の設定」ページの、作成中のITリソースに対する読取り、書込みおよび削除の権限を持つグループのリストに、SYSTEM ADMINISTRATORSグループがデフォルトで表示されます。
ノート:
このステップはオプションです。
グループをITリソースに割り当て、グループに対してアクセス権限を設定する場合は、次のようにします。
「グループの割当て」をクリックします。
ITリソースに割り当てるグループについて、「割当て」を選択し、設定するアクセス権限を選択します。たとえば、ALL USERSグループを割り当て、読取りおよび書込み権限をこのグループに設定する場合は、このグループの行で「割当て」チェック・ボックスを選択し、それぞれの権限のチェック・ボックスを選択する必要があります。
「割当て」をクリックします。
「ステップ3: ITリソースへのアクセス権限の設定」ページで、ITリソースに割り当てられたグループのアクセス権限を変更する場合は、次のようにします。
ノート:
このステップはオプションです。
SYSTEM ADMINISTRATORSグループのアクセス権限は変更できません。アクセス権限を変更できるのは、ITリソースに割り当てた他のグループのみです。
「権限の更新」をクリックします。
このページに表示されるグループに対して特定のアクセス権限を設定するか削除するかに応じて、対応するチェック・ボックスを選択または選択解除します。
「更新」をクリックします。
「ステップ3: ITリソースへのアクセス権限の設定」ページで、ITリソースからグループの割当てを解除する場合は、次のようにします。
ノート:
このステップはオプションです。
SYSTEM ADMINISTRATORSグループの割当ては解除できません。割当てを解除できるのは、ITリソースに割り当てた他のグループのみです。
割当てを解除するグループの「割当て解除」チェック・ボックスを選択します。
「割当て解除」をクリックします。
「続行」をクリックします。図2-4に、「ステップ3: ITリソースへのアクセス権限の設定」ページを示します。
「ステップ4: ITリソースの詳細の確認」ページで、1ページ目、2ページ目、3ページ目で指定した情報を確認します。ページに入力したデータを変更する場合は、「戻る」をクリックしてそのページを戻り、必要な変更を行います。
「続行」をクリックして、ITリソースの作成を続行します。図2-5に、「ステップ4: ITリソースの詳細の確認」ページを示します。
「ステップ5: ITリソースの接続結果」ページに、ITリソース情報を使用して実行された接続テストの結果が表示されます。テストが成功した場合は、「続行」をクリックします。テストが失敗した場合は、次のステップのいずれかを実行できます。
「戻る」をクリックして前のページに戻り、ITリソースの作成情報を修正します。
「取消」をクリックして手順を中止し、ステップ1から始めます。
図2-6に、「ステップ5: ITリソースの接続結果」ページを示します。
「終了」をクリックします。図2-7に、「作成されたITリソース」ページを示します。
SAP BusinessObjects AC 10では、Webサービスを構成する前にSAP BusinessObjects ACからWSDLファイルをダウンロードする必要があります。
コネクタはBasic認証しかポートしないため、OIMでサポートされている次のウェブサービスではユーザーID/パスワードのチェック・ボックスを選択します。
| WSDL | 説明 |
|---|---|
GRAC_AUDIT_LOGS_WS |
監査ログWebサービス |
GRAC_LOOKUP_WS |
検索サービス |
GRAC_REQUEST_STATUS_WS |
リクエスト・ステータスWebサービス |
GRAC _RISK_ANALYSIS_WOUT_NO_WS |
リクエスト番号のないリスク分析ノート: このWSDLの場合、ReportFormatはSP17以降で必須フィールドです。 |
GRAC_SELECT_APPL_WS |
アプリケーションWebサービスを選択 |
GRAC_USER_ACCES_WS |
ユーザー・アクセス・リクエスト・サービス |
GRAC_SEARCH_ROLES_W |
ロールWebサービスを検索 |
WSDLをダウンロードするときには、必ずSOA管理ページで示されているのと同じ名前で保存してください。また、WSDLファイルを格納するフォルダに読取り権限があることを確認してください。
使用する言語に対応するリソース・バンドルを使用して、UIフォーム・フィールド・ラベルをローカライズできます。リソース・バンドルはコネクタ・インストール・メディアに用意されています。
ノート:
この項で説明する手順は、Oracle Identity Managerリリース11.1.2.x以降を使用しており、UIフォーム・フィールド・ラベルをローカライズする場合にのみ実行します。
UIフォームに追加されるフィールド・ラベルをローカライズするには、次のようにします。
Oracle Enterprise Managerにログインします。
左側のペインで、「アプリケーションのデプロイ」を開き、oracle.iam.console.identity.sysadmin.earを選択します。
右側のペインで、「アプリケーションのデプロイ」リストから、「MDS構成」を選択します。
「MDS構成」ページで、「エクスポート」をクリックして、ローカル・コンピュータにアーカイブを保存します。
アーカイブの内容を抽出し、テキスト・エディタで次のいずれかのファイルを開きます。
Oracle Identity Manager 11gリリース2 PS2以降の場合(11.1.2.2.0):
SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle_en.xlf
Oracle Identity Manager 11gリリース2 PS2 (11.1.2.2.0)より前のリリースの場合:
SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle.xlf
BizEditorBundle.xlfファイルを次の方法で編集します。
次のテキストを検索します。
<file source-language="en" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
次のテキストで置き換えます。
<file source-language="en" target-language="LANG_CODE"
original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
datatype="x-oracle-adf">
このテキストのLANG_CODEを、フォーム・フィールド・ラベルをローカライズする言語のコードに置き換えます。フォーム・フィールド・ラベルを日本語でローカライズする場合の値の例を次に示します。
<file source-language="en" target-language="ja" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
アプリケーション・インスタンスのコードを検索します。この手順では、SAP User Managementアプリケーション・インスタンス用の編集サンプルを示します。元のコードは次のとおりです。
<trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_SAP_TITLE__c_description']}">
<source>Title</source>
</target>
</trans-unit>
<trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.umform.entity.umformEO.UD_SAP_TITLE__c_LABEL">
<source>Title</source>
</target>
</trans-unit>
コネクタ・パッケージに入っているリソース・ファイル(例: SAPUM_ja.properties)を開き、そのファイルの属性の値を取得します。例: global.udf.UD_SAP_TITLE = \u5F79\u8077。
ステップ6.bに示されている元のコードを、次のものに置き換えます。
<trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_SAP_TITLE__c_description']}">
<source>Title</source>
<target>\u5F79\u8077</target>
</trans-unit>
<trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.umform.entity.umformEO.UD_SAP_TITLE__c_LABEL">
<source>Title</source>
<target>\u5F79\u8077</target>
</trans-unit>
プロセス・フォームのすべての属性に対し、ステップ6.aから6.dを繰り返します。
ファイルをBizEditorBundle_LANG_CODE.xlfとして保存します。このファイル名のLANG_CODEを、ローカライズしている言語のコードに置き換えます。
サンプル・ファイル名: BizEditorBundle_ja.xlf.
ZIPファイルを再パッケージしてMDSにインポートします。
関連項目:
メタデータ・ファイルのエクスポートおよびインポートの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのカスタマイズのデプロイおよびアンデプロイを参照してください。
Oracle Identity Managerからログアウトしてから、ログインします。
このコネクタの以前のリリースをすでにデプロイしている場合は、現在のリリースにコネクタをアップグレードします。
本番中にダウンタイムなしでSAP User Managementコネクタをアップグレードできます。カスタマイズはそのまま保持され、アップグレードはユーザーには見えません。すべてのフォーム・フィールド名は、レガシー・コネクタから保持されます。
SAP User Managementコネクタをアップグレードするには、次の項で説明する手順を実行します。
ノート:
アップグレード手順を実行する前に、Oracle Identity Managerデータベースのバックアップを作成することを強くお薦めします。バックアップの作成の詳細は、データベースのドキュメントを参照してください。
ベスト・プラクティスとして、アップグレード手順はまずテスト環境で実行してください。
リリース9.xのコネクタをリリース11.1.1.7.0以降に直接アップグレードすることはできません。まず、リリース9.xをリリース11.1.1.6.0にアップグレードしてから、リリース11.1.1.7.0以降にアップグレードする必要があります。
アップグレード操作、またはいずれかのアップグレード手順を実行する前に、次のアクションを実行する必要があります。
リコンシリエーションを実行して、Oracle Identity Managerに対するすべての最新更新をフェッチします。
Oracle Identity Managerでソース・コネクタ(アップグレードする必要がある旧リリースのコネクタ)を定義します。ソース・コネクタを定義して、コネクタに対して行われたすべてのカスタマイズ変更でデプロイメント・マネージャXMLファイルを更新します。
Oracle Identity Manager JAR削除ユーティリティを実行して、Oracle Identity Managerデータベースへの古いコネクタ・バンドルを削除します。
関連項目:
JAR削除ユーティリティの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのJAR削除のアップロード・ユーティリティに関する項を参照してください。
コネクタをアップグレードする環境に応じて、次のいずれかのステップを実行します。
ステージング環境
ウィザード・モードを使用してアップグレード手順を実行します。
本番環境
サイレント・モードを使用してアップグレード手順を実行します。
関連項目:
ウィザードとサイレント・モードの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のコネクタ・ライフサイクルの管理を参照してください。
アップグレード後に必要なステップを完了するには、この項で説明する手順を実行します。
関連項目:
JARアップロード・ユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のJARアップロード・ユーティリティに関する項を参照してください
コネクタがコネクタ・サーバーにデプロイされている場合は、次のようにします。
コネクタ・サーバーを停止します。
CONNECTOR_SERVER_HOME/bundlesディレクトリとCONNECTOR_SERVER_HOME/libディレクトリ内の既存のコネクタ・バンドルおよびライブラリJARを、コネクタのインストール・メディアの新しいコネクタ・バンドル(bundle/org.identityconnectors.sapacum-12.3.0.jarおよびbundle/org.identityconnectors.sapum-12.3.0.jar)とライブラリJAR (lib/sapac-oim-integration.jarおよびlib/sapum-oim-integration.jar)で置き換えます。
コネクタ・サーバーを起動します。
コネクタのITリソースを再構成します。
このユーティリティを実行すると、Oracle Identity Manager管理者のログイン資格証明と、ロガー・レベルおよびログ・ファイルの場所を入力するように求められます。
新しいバージョンのプロセス・フォームを作成します。
Oracle Identity System Administrationにログインします。
サンドボックスを作成してアクティブ化します。「サンドボックスの作成およびアクティブ化」を参照してください。
アップグレードされたフィールドを表示するためのUIフォームを新規作成します。UIフォームの新規作成を参照してください。
新たに作成したUIフォームをターゲット・システムのアプリケーション・インスタンスに関連付けます。それを行うには、「フォーム」フィールドの、リソースの既存のアプリケーション・インスタンスを開き、(前のステップで作成した)フォームを選択して、アプリケーション・インスタンスを保存します。
サンドボックスを公開します。サンドボックスの公開
完全リコンシリエーションを実行します。
この操作により、「一意のID」リソース・オブジェクト・フィールドとユーザーのロック・ステータスが更新されます。このロック・ステータスは、リリース9.xからリリース11.1.1.5.0のコネクタの場合、fvc.propertiesファイルで指定した値に基づいて更新されます。
このステップの詳細は、「完全リコンシリエーションおよび増分リコンシリエーション」を参照してください。
『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタのライフサイクルの管理に関する項を参照して、アップグレード後の手順を実行します。
コネクタをアップグレードすると、削除リコンシリエーションを実行できます。
削除リコンシリエーションの詳細は、「SAP UMコネクタのリコンシリエーション・スケジュール済ジョブ」を参照してください。
アップグレード操作後に、フォームのデータ変更を管理するには、フォーム・バージョン制御(FVC)ユーティリティを実行します。
そのためには、テキスト・エディタで、OIM_DC_HOMEディレクトリにあるfvc.propertiesファイルを開きます。
リリース9xのコネクタを使用している場合、次のエントリを含めます。
ResourceObject;SAPUM Resource Object FormName;UD_SAP FromVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_WAS_IN_THE_ACTIVE_STATUS_BEFORE_THE_UPGRADE ToVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_IS_IN_THE_ACTIVE_STATUS_AFTER_THE_UPGRADE Parent;UD_SAPUSER
例:
ResourceObject;SAPUM Resource Object FormName;UD_SAP FromVersion;V_9.1.2.6 ToVersion;v_11.1.1.5.0 Parent;UD_SAPUSER
リリース11.1.1xのコネクタを使用している場合、次のエントリを含めます。
ResourceObject;SAPUM Resource Object FormName;UD_SAP FromVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_WAS_IN_THE_ACTIVE_STATUS_BEFORE_THE_UPGRADE ToVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_IS_IN_THE_ACTIVE_STATUS_AFTER_THE_UPGRADE Parent;UD_SAPUSER
例:
ResourceObject;SAPUM Resource Object FormName;UD_SAP FromVersion;V_11.1.1.5.0 ToVersion;v_11.1.1.6.0 Parent;UD_SAPUSER
アップグレードするコネクタのタイプに応じて、次のいずれかの手順を実行します。
アップグレード操作後に、フォームのデータ変更を管理するには、フォーム・バージョン制御(FVC)ユーティリティを実行します。そのためには、テキスト・エディタで、OIM_DC_HOMEディレクトリにあるfvc.propertiesファイルを開きます。
リリース11.1.1.6.0のコネクタを使用している場合、次のエントリを含めます。
ResourceObject;SAPUM Resource Object FormName;UD_SAP FromVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_WAS_IN_THE_ACTIVE_STATUS_BEFORE_THE_UPGRADE ToVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_IS_IN_THE_ACTIVE_STATUS_AFTER_THE_UPGRADE
例:
ResourceObject;SAPUM Resource Object FormName;UD_SAP FromVersion;V_11.1.1.6.0 ToVersion;v_11.1.1.7.0
ノート:
コネクタのアップグレード中に、次の情報が表示されます。次のアダプタとイベント・ハンドラを手動で削除する必要があります。
「sapacum ac remove child」および「sapacum add child」アダプタ
「adpSAPACUMREMOVECHILD」および「adpSAPACUMADDCHILD」イベント・ハンドラ
SAP BusinessObjects AC Access Risk AnalysisのSoD検証について、アップグレード後のステップを完了するには、この項で説明する手順を実行します:
SAP BusinessObjects AC Access Request Managementについて、アップグレード後のステップを完了するには、この項で説明する手順を実行します。
SAPUM IT Resource ITリソースを再構成します。
Lookup.SAPAC10ABAP.Configuration参照定義で、次のエントリのデコード値を手動でNoneに更新する必要があります。
roleLookupAccessURL
otherLookupAccessURL
auditLogsAccessURL
appLookupAccessURL
wsdlFilePath
userAccessAccessURL
requestStatusAccessURL
PostUpgradeScript_SAPUM.sqlスクリプトを次のように実行します。
OIM DBユーザーの資格証明を使用してOracle Identity Managerデータベースにログインします。
PostUpgradeScript_SAPUM.sqlを実行します。このスクリプトは、インストール・メディアのUpgradeディレクトリにあります。
ノート:
アップグレード後に、バルク・アダプタのタスク名を変更する必要があります。たとえば、「UD_SAPACUM Updated」というタスク名を「UD_SAPUM Updated」に置き換えます。
次の参照を実行します。
SAP AC UM BusinessProcess参照リコンシリエーション
SAP AC UM CommType参照リコンシリエーション
SAP AC UM Company参照リコンシリエーション
SAP AC UM ContractUserType参照リコンシリエーション
SAP AC UM DateFormat参照リコンシリエーション
SAP AC UM DecimalNot参照リコンシリエーション
SAP AC UM FunctionalArea参照リコンシリエーション
SAP AC UM ItemProvAction参照リコンシリエーション
SAP AC UM LangComm参照リコンシリエーション
SAP AC UM Parameter参照リコンシリエーション
SAP AC UM Priority参照リコンシリエーション
SAP AC UM ReqInitSystem参照リコンシリエーション
SAP AC UM RequestType参照リコンシリエーション
SAP AC UM Role参照リコンシリエーション
SAP AC UM TimeZone参照リコンシリエーション
SAP AC UM Title参照リコンシリエーション
SAP AC UM UserGroup参照リコンシリエーション
SAP AC UM UserType参照リコンシリエーション
アップグレード操作後に、フォームのデータ変更を管理するには、フォーム・バージョン制御(FVC)ユーティリティを実行します。そのためには、テキスト・エディタで、OIM_DC_HOMEディレクトリにあるfvc.propertiesファイルを開きます。リリース11.1.1.6.0のコネクタを使用している場合、次のエントリを含めます。
ResourceObject;SAP AC UM Resource Object FormName;UD_SAP FromVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_WAS_IN_THE_ACTIVE_STATUS_BEFORE_THE_UPGRADE ToVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_IS_IN_THE_ACTIVE_STATUS_AFTER_THE_UPGRADE FromVersion;V_11.1.1.6.0 ToVersion;v_11.1.1.7.0 ParentParent;UD_SAP_AC_MANAGER_FIRST_NAME;UD_SAP_AC_MNGR_FIRSTNAME ParentParent;UD_SAP_AC_MANAGER_LAST_NAME;UD_SAP_AC_MNGR_LASTNAME ParentParent;UD_SAP_AC_MANAGER_EMAIL;UD_SAP_AC_MNGR_EMAIL
例:
ResourceObject;SAP AC UM Resource Object FormName;UD_SAP FromVersion;V_11.1.1.6.0 ToVersion;v_11.1.1.7.0 ParentParent;UD_SAP_AC_MANAGER_FIRST_NAME;UD_SAP_AC_MNGR_FIRSTNAME ParentParent;UD_SAP_AC_MANAGER_LAST_NAME;UD_SAP_AC_MNGR_LASTNAME ParentParent;UD_SAP_AC_MANAGER_EMAIL;UD_SAP_AC_MNGR_EMAIL
コネクタを構成するオブジェクトのいくつかに新しい名前を設定することによって、このコネクタをクローニングできます。この処理により、新しいコネクタXMLファイルが生成されます。リソース・オブジェクト、プロセス定義、プロセス・フォーム、ITリソース・タイプ定義、ITリソース・インスタンス、参照定義、アダプタ、リコンシリエーション・ルールなど、新しいコネクタXMLファイル内のほとんどのコネクタ・オブジェクトの名前が新しくなります。
ノート:
コネクタのクローニングおよびクローニング後のステップの詳細は、『Oracle Fusion Middleware Oracle Identity Managerの管理』の「コネクタのライフサイクルの管理」を参照してください。
コネクタ・オブジェクトの新しい名前を設定することによってコネクタのコピーを作成した後、一部のオブジェクトに以前のコネクタ・オブジェクトの詳細が含まれていることがあります。このため、次のOracle Identity Managerオブジェクトを変更して、ベース・コネクタのアーティファクトまたは属性参照を、対応するクローニングされるアーティファクトまたは属性と置き換える必要があります。
ITリソース
クローニングされたコネクタには、それ自身のITリソース・セットが必要です。クローニング済コネクタのITリソースを構成し、クローニング済コネクタの構成参照定義を使用する必要があります。
スケジュール済ジョブ
クローニング済コネクタのスケジュール済ジョブのリソース・オブジェクト名属性および「ITリソース」属性は、ベース・コネクタの値を参照します。したがって、これらの値(ベース・コネクタを参照するスケジュール済ジョブのリソース・オブジェクト名属性および「ITリソース」属性)を、クローニング済コネクタの新しいアーティファクトで置き換える必要があります。
アダプタ
sapum updateアダプタの変数リストのitResourceFieldName(リテラル値)を変更する必要があります。たとえば、UD_SAP_ITRESOURCECLONEをクローニングされたITリソース名にするには、クローニング後にitResourceFieldName(リテラル値)をフォーム名(例: UD_SAP_ITRESOURCECLONE)で更新します。
参照定義
Lookup.SAPABAP.Configuration参照定義に対応するクローニングされた参照定義(Lookup.SAPABAP.ConfigurationCLONEなど)には、古い子フォーム・フィールドにマップされている子フォーム・フィールドに関連するコード・キーまたはデコード・キー・エントリがあります。これらのコード・キー・エントリの値を変更して、クローニング済子フォーム・フィールドにマップする必要があります。
たとえば、UD_CloneSAPRLおよびUD_CloneSAP_PROが、それぞれUD_SAPRLおよびUD_SAP_PRO子フォームのクローニングされた子フォームであるとします。クローニング後、Lookup.SAPABAP.ConfigurationCLONE参照定義には、古い子フォームであるUD_SAPRLおよびUD_SAP_PROのフィールドにそれぞれ対応するコード・キー・エントリが含まれます。コード・キー・エントリがクローニングされた子フォーム(UD_CloneSAPRLおよびUD_CloneSAP_PRO)のフィールドを指すようにするには、対応するコード・キー列またはデコード・キー列に次の値を指定します:
UD_SPUMPC_P; UD_CloneSAP_PRO
UD_SPUMRC_P; UD_CloneSAPRL
ノート:
必要な参照定義で、それぞれの子フォーム・フィールド名を手動で更新する必要があります。たとえば、Lookup.SAPABAP.UM.ProvAttrMapCloneです。プロセス・タスク
次のプロセス・タスクで、childTableNameアダプタ変数のリテラル値をUD_SAPRLおよびUD_SAP_PROからクローニングされたフォーム名UD_CLONESAPRLおよびUD_CLONESAP_PROにそれぞれ変更する必要があります:
ロールの追加
ロールの更新
ロールの削除
プロファイルの追加
プロファイルの削除
グループの追加
グループの削除
パラメータの追加
パラメータの削除
パラメータの更新
バルク・アダプタ・プロセス・タスクのUD_SAPで、親フォームのリテラル値をUD_SAPからクローニングされたフォーム名UD_SAPCLONEDに変更する必要があります。
ローカライゼーション・プロパティ
コネクタのクローニング後に、ユーザー・ロケールのリソース・バンドルを、適切な変換を行うためのプロセス・フォーム属性の新しい名前で更新する必要があります。コネクタ・バンドルのresourcesディレクトリにあるロケールのpropertiesファイルを変更できます。
たとえば、プロセス・フォーム(UD_SAP)属性は、日本語のプロパティ・ファイルSAPUM_ja.propertiesでglobal.udf.UD_SAP_FIRST_NAMEとして参照されます。クローニング時に、プロセス・フォーム名をUD_SAPCLからglobal.udf.UD_SAPCL_FIRST_NAMEに変更した場合は、プロセス・フォーム属性をglobal.udf.UD_SAP_FIRST_NAMEに追加する必要があります。
フォーム・デザイナに行われた変更を新しいUIフォームに複製します。
これを行うには、「コネクタのリリース11.1.1.6.0のアップグレード後のステップ」で説明されている手順を実行します。
