2 Salesforceコネクタのデプロイ

コネクタをデプロイする手順は、インストール前、インストール、およびインストール後の3つのステージに分けることができます。

次の項では、これらのステージについて説明します。

• インストール前の作業

• インストール

• インストール後の作業

2.1 インストール前の作業

Salesforceコネクタのインストール前の作業には、クライアント・アプリケーション(つまりSalesforceコネクタ)をターゲット・システムに登録して、ターゲット・システムへの認証のためのクライアントIDおよびクライアント・シークレットを取得することが関係しています。また、ターゲット・システムでコネクタ(またはクライアント)がコネクタ操作を実行するのに使用できるカスタム・プロファイルおよびアカウントを作成することも関係しています。

インストール前の作業では、ターゲット・システムで次の手順を実行します。

ノート:

これらのインストール前タスクを実行する詳細な手順は、Salesforceのマニュアルで説明されています。

1. Salesforceで接続アプリケーションを作成してターゲット・システムにクライアント・アプリケーションを登録します。接続アプリケーションを作成する際には、構成可能な接続アプリケーションにより実行可能な操作を示す、次の表に示すOAuthスコープを選択するようにしてください。接続アプリケーションが作成されたら、クライアントIDおよびクライアント・シークレットの値をノートにとっておいてください。

   OAuthスコープ	説明
   基本情報へのアクセス(id、profile、email、address、phone)	このスコープはアイデンティティURLサービスへのアクセスを許可します。
   データへのアクセスと管理(api)	このスコープは、SCIM APIおよびREST APIなどのAPIを使用したログイン・ユーザーのアカウントへのアクセスを許可します。この値には、Chatter REST APIリソースへのアクセスを許可するchatter_apiも含まれています。
   完全なアクセス(full)	ログイン・ユーザーがアクセス可能なすべてのデータへのアクセスが許可され、その他のすべてのスコープを包含します。fullはリフレッシュ・トークンを返しません。リフレッシュ・トークンを取得するには、明示的にrefresh_tokenスコープを要求する必要があります。

   接続アプリケーションのコンシューマ・キーおよびコンシューマ・シークレット値が生成されます。
2. コンシューマ・キーおよびコンシューマ・シークレット値をノートにとっておいてください。ITリソース・パラメータの構成時に必要になります。コンシューマ・キーはclientIdパラメータに対応し、コンシューマ・シークレットはclientSecretパラメータに対応します。
3. 次の最小限の管理権限セットを持つ標準ユーザー・プロファイルをクローニングしてカスタム・プロファイルを作成します。

   • API Enabled

   • API Only User

   • Assign Permission Sets

   • Chatter Internal User

   • Manage Internal Users

   • Manage IP Addresses

   • Manage Login Access Policies

   • Manage Package Licenses

   • Manage Password Policies

   • Manage Profiles and Permission Sets

   • Manage Roles

   • Manage Sharing

   • Manage Unlisted Groups

   • Manage Users

   • Moderate Chatter

   • Reset User Passwords and Unlock Users

   • View All Users

   • View Help Link

   • View Setup and Configuration

4. 各コネクタ操作中にターゲット・システムに接続するターゲット・システム・ユーザー・アカウントを作成します。

2.2 インストール

Oracle Identity ManagerにSalesforceコネクタをインストールする必要があり、必要に応じてコネクタ・サーバーにコネクタ・コード・バンドルを配置する必要があります。

次の項では、Salesforceコネクタのインストールについて説明します。

• Salesforceコネクタのインストールの理解

• コネクタ・インストーラの実行

• ターゲット・システムのITリソースの構成

2.2.1 Salesforceコネクタのインストールの理解

このコネクタ・コードは、Oracle Identity Managerでローカルに実行することも、コネクタ・サーバーでリモートで実行することもできます。

コネクタ・コード(バンドル)を実行する場所に応じて、コネクタのインストール・オプションは次のようになります。

• Oracle Identity Managerでコネクタ・コードをローカルに実行します。

  このシナリオでは、Oracle Identity Managerにコネクタをデプロイします。Oracle Identity Managerにコネクタをデプロイするには、コネクタ・インストーラの実行およびターゲット・システムのITリソースの構成で説明されている手順を実行します。

• コネクタ・サーバーでコネクタ・コードをリモートに実行します。

  このシナリオでは、Oracle Identity Managerにコネクタをデプロイしてから、コネクタ・サーバーにコネクタ・バンドルをデプロイします。コネクタ・サーバーのインストール・構成および実行、ならびにコネクタ・サーバーでのコネクタのインストールの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのアイデンティティ・コネクタ・サーバーの使用を参照してください。

2.2.2 コネクタ・インストーラの実行

ノート:

このガイドでは、コネクタ・インストーラという用語は、Oracle Identity System Administrationのコネクタのインストール機能を示すために使用されます。

コネクタ・インストーラを実行するには、次のようにします。

1. コネクタのインストール・メディアから次のディレクトリに内容をコピーします: OIM_HOME/server/ConnectorDefaultDirectory
2. まだ作成していない場合、OIM_HOME/ConnectorDefaultDirectory/targetsystems-libにインストーラ・パッケージと同じ名前のディレクトリを作成します。例: OIM_HOME/server/ConnectorDefaultDirectory/targetsystems-lib/Salesforce-11.1.1.5.0

   ノート:

   初めての場合、バンドルをコネクタ・サーバーのバンドル・ディレクトリに配置します。
3. Oracle Identity System Administrationにログインします。
4. 左ペインの「システム管理」で、「コネクタの管理」をクリックします
5. 「コネクタの管理」ページで「インストール」をクリックします
6. 「コネクタ・リスト」リストから、Salesforce ConnectorRELEASE NUMBERを選択します。このリストには、インストール・ファイルをデフォルト・コネクタ・インストール・ディレクトリ(OIM_HOME/server/ConnectorDefaultDirectory)にコピーしたコネクタの、名前およびリリース番号が表示されます。

   インストール・ファイルを異なるディレクトリにコピーした場合は、次のようにします。

   1. 「代替ディレクトリ」フィールドに、該当するディレクトリのフルパスおよび名前を入力します。

   2. 「リフレッシュ」をクリックして、「コネクタ・リスト」に含まれるコネクタのリストを再移入します。

   3. 「コネクタ・リスト」リストから、Salesforce ConnectorRELEASE NUMBERを選択します。

7. 「ロード」をクリックします。
8. 「続行」をクリックして、インストール処理を開始します。次のタスクが順番に実行されます。

   1. コネクタ・ライブラリの構成

   2. コネクタのXMLファイルのインポート(デプロイメント・マネージャを使用)

   3. アダプタのコンパイル

   正常に完了したタスクには、チェックマークが表示されます。タスクが失敗すると、Xマークおよび失敗の理由を示すメッセージが表示されます。タスクが失敗した場合は、必要な修正を行い、次のいずれかのステップを実行します。

   1. 「再試行」をクリックして、インストールを再試行します

   2. インストールを取り消して、ステップ3から再度実行します。

      図2-1 インストール・ステータス

      
      「図2-1 インストール・ステータス」の説明
9. コネクタのインストール手順の3つのタスクがすべて正常に終了すると、インストールの成功を示すメッセージが表示されます。
   また、インストール後に実行するステップのリストが表示されます。これらのステップは次のとおりです。

   1. コネクタの使用の前提条件が満たされていることの確認

      ノート:

      この段階で、前提条件のリストを表示するために、PurgeCacheユーティリティを実行してコネクタ・リソース・バンドルからコンテンツをサーバー・キャッシュにロードします。事前定義されたコネクタには前提条件がない場合があります。PurgeCacheユーティリティの実行の詳細は、サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツのクリアを参照してください。事前定義されたコネクタには前提条件がない場合があります。

   2. コネクタのITリソースの構成。このページに表示されるITリソースの名前を記録します。ITリソースを構成する手順は、このガイドで後述します。

   3. コネクタのインストール時に作成されたスケジュール済タスクの構成

      このページに表示されるスケジュール済タスクの名前を記録します。これらのスケジュール済タスクを構成する手順は、このガイドで後述します。

   コネクタ・インストーラを実行すると、コネクタ・ファイルおよび外部コード・ファイルがOracle Identity Managerホスト・コンピュータ上のコピー先ディレクトリにコピーされます。インストール・メディアのファイルおよびディレクトリに、これらのファイルを示します。

2.2.3 ターゲット・システムのITリソースの構成

ターゲット・システムのITリソースは、コネクタのインストール時に作成されます。このITリソースには、ターゲット・システムに関する接続情報が含まれます。Oracle Identity Managerは、リコンシリエーションおよびプロビジョニング時にこの情報を使用します。

Salesforce ITリソースは、コネクタ・インストーラを実行すると自動的に作成されます。ITリソースのパラメータ値を指定する必要があります。

ITリソースのパラメータ値を指定するには:

1. Oracle Identity System Administrationにログインします。
2. サンドボックスを作成してアクティブ化します。
3. 左側のペインの「構成」で、「ITリソース」をクリックします。
4. 「ITリソースの管理」ページの「ITリソース名」フィールドにSalesforceと入力し、「検索」をクリックします。
5. ITリソースの「編集」をクリックします。
6. ページ上部のリストから、「詳細およびパラメータ」を選択します。
7. ITリソースのパラメータの値を指定します。表2-1に、各パラメータの説明を示します。

   ノート:

   この表のエントリは、パラメータ値のアルファベット順になっています。

   表2-1 ITリソースのパラメータ

   パラメータ	説明
   acceptType	リクエスト本文をどのように解析する必要があるかを示す、ヘッダーの受入タイプ。コンテンツ・タイプ・ヘッダーがapplication/jsonの場合、リクエスト本文はJSONとしてのみ解析されます。
   authenticationServerUrl	クライアントIDおよびクライアント・シークレットを検証する認証サーバーのURL。 サンプル値: https://$HOTSNAME$.salesforce.com/services/oauth2/token?
   baseURI	ターゲット・システムの基本相対URI。 たとえば、version1 (v1)を使用している場合、baseURIは/services/scim/v1となります。同様に、version2 (v2)を使用している場合、baseURIは/services/scim/v2となります。
   clientId	インストール前の作業で実行される登録処理中に認証サーバーによってドメインに対して発行されるクライアント識別子(一意の文字列)。 サンプル値: 3MVG9Z8h6Bxz0zc6gU3lDg8zQflDLyyydUdH151g9VVT7O.ys_WFNz5q0EDkFWDAjDeavV5.XWVP6Hyhdg6zS
   clientSecret	ドメインのアイデンティティを認証するのに使用される値。この値はインストール前の作業で説明されている手順の実行中に取得されます。 サンプル値: 6551799938364196225
   Configuration Lookup	リコンシリエーションおよびプロビジョニング時に使用される構成情報を格納する参照定義の名前。デフォルト値: Lookup.Salesforce.Configuration
   ConnectorServer Name	Javaコネクタ・サーバーでSalesforceコネクタを使用している場合は、コネクタ・サーバーITリソースの名前を指定します。
   contentType	このエントリは、ヘッダーの、ターゲット・システムが予期するコンテンツ・タイプを含みます。デフォルト値: application/json
   grantType	ターゲット・システムで使用される認証のタイプ。SCIMコードでサポートされるgrantTypesは、basic、jwt、client_credentials、passwordおよびcustomです。ただし、SalesforceでサポートされるgrantTypeはpasswordのみです。 デフォルト値: password
   Host	ターゲット・システムのホストであるコンピュータのSalesforceホスト名またはIPアドレス。 サンプル値: www.*****.salesforce.com
   Password	「インストール前の作業」に記載されている手順を実行して作成した(コネクタ操作用の)ターゲット・システム・ユーザー・アカウントのパスワードを入力します。
   sslEnabled	ターゲット・システムでSSL接続が必要な場合、このパラメータの値をtrueに設定します。そうではない場合、値をfalseに設定します。
   proxyHost	外部ターゲットに接続するのに使用されるプロキシ・ホストの名前。 サンプル値: www.example.com
   proxyPassword	ターゲット・システムに接続するために、Oracle Identity Managerにより使用されるターゲット・システム・ユーザー・アカウントのプロキシ・ユーザーIDのパスワード。
   proxyPort	プロキシ・ポート番号。 サンプル値: 80
   proxyUser	ターゲット・システムに接続するために、Oracle Identity Managerにより使用されるターゲット・システム・ユーザー・アカウントのプロキシ・ユーザー名。
   Username	「インストール前の作業」に記載されている手順を実行して作成した(コネクタ操作の実行用の)ターゲット・システム・ユーザー・アカウントのユーザー名を入力します。

8. 「更新」をクリックして、値を保存します。

2.3 インストール後の作業

次の各項では、インストール後の作業について説明します。

• Oracle Identity Managerの構成

• UIフォームにおけるフィールド・ラベルのローカライズ

• サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツのクリア

• Salesforceコネクタのロギングの管理

• ロールのGUIDの取得

2.3.1 Oracle Identity Managerの構成

リコンシリエーションおよびプロビジョニング操作を実行するリソースに対し、UIフォームおよびアプリケーション・インスタンスを作成する必要があります。さらに、権限およびカタログ同期化ジョブを実行する必要があります。

次の項では、Oracle Identity Managerを構成する手順を示します。

• サンドボックスの作成およびアクティブ化

• UIフォームの新規作成

• アプリケーション・インスタンスの作成

• サンドボックスの公開

• 権限および同期カタログの収集

• 新規フォームによる既存アプリケーション・インスタンスの更新

2.3.1.1 サンドボックスの作成およびアクティブ化

サンドボックスの作成およびアクティブ化の手順は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのサンドボックスの管理を参照してください。

2.3.1.2 UIフォームの新規作成

UIフォームの新規作成の手順は、Oracle Fusion Middleware Oracle Identity Managerの管理のフォームの管理を参照してください。UIフォームを作成するときは、必ずそのフォームを関連付けるSalesforceコネクタに対応するリソース・オブジェクトを選択します。

2.3.1.3 アプリケーション・インスタンスの作成

次のようにして、アプリケーション・インスタンスを作成します。

詳しい手順は、Oracle Fusion Middleware Oracle Identity Managerの管理のアプリケーション・インスタンスの管理を参照してください。

1. アイデンティティ・システム管理の左ペインの「構成」で、「アプリケーション・インスタンス」をクリックします。「アプリケーション・インスタンス」ページが表示されます。
2. 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。
   「アプリケーション・インスタンスの作成」ページが表示されます。
3. 次のフィールドの値を指定します。

   • 名前: アプリケーション・インスタンスの名前。

   • 表示名: アプリケーション・インスタンスの表示名。

   • 説明: アプリケーション・インスタンスの説明。

   • リソース・オブジェクト: リソース・オブジェクト名。このフィールドの横にある検索アイコンをクリックして検索し、「Salesforce User」を選択します。

   • ITリソース・インスタンス: ITリソース・インスタンス名。このフィールドの横にある検索アイコンをクリックして検索し、「Salesforce」を選択します。

   • フォーム: フォーム名(UIフォームの新規作成で作成済)を選択します。

4. 「保存」をクリックします。
   アプリケーション・インスタンスが作成されます。
5. アプリケーション・インスタンスを組織に公開して、アプリケーション・インスタンスのリクエストとそれに続くユーザーへのプロビジョニングを可能にします。詳しい手順は、Oracle Fusion Middleware Oracle Identity Managerの管理のアプリケーション・インスタンスに関連付けられた組織の管理を参照してください。

2.3.1.4 サンドボックスの公開

サンドボックスを公開する前に、ベスト・プラクティスとして次の手順を実行し、このステージまでに行われたすべてのサンドボックスの変更を検証してください(サンドボックスを公開した後に変更を元に戻すことは難しいため)。

1. アイデンティティ・システム管理で、サンドボックスを非アクティブ化します。
2. アイデンティティ・システム管理をログアウトします。
3. xelsysadmユーザー資格証明を使用してアイデンティティ・セルフ・サービスにログインし、ステップ1で非アクティブ化したサンドボックスをアクティブ化します。
4. カタログで、Salesforceアプリケーション・インスタンス・フォームが正しいフィールドとともに表示されていることを確認します。
5. サンドボックスを公開します。Oracle Fusion Middleware Oracle Identity Managerのアプリケーションの開発とカスタマイズのサンドボックスの公開に関する項を参照してください。

2.3.1.5 権限および同期カタログの収集

権限の収集とカタログ同期化を行うには:

1. 参照フィールド同期のスケジュール済ジョブに記載されている、参照フィールド同期のスケジュール済ジョブを実行します。
2. 権限リスト・スケジュール済ジョブを実行して、子プロセス・フォーム表から権限割当てスキーマを移入します。このスケジュール済ジョブの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理の事前定義済のスケジュール済タスクを参照してください。
3. カタログ同期化ジョブ・スケジュール済ジョブを実行します。このスケジュール済ジョブの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理の事前定義済のスケジュール済タスクを参照してください。

2.3.1.6 新規フォームによる既存アプリケーション・インスタンスの更新

フォーム・デザイナで行うすべての変更に対して、新しいUIフォームを作成し、アプリケーション・インスタンスでその変更を更新する必要があります。新規フォームにより既存のアプリケーション・インスタンスを更新するには、次のようにします。

1. サンドボックスの作成およびアクティブ化の説明に従って、サンドボックスを作成し、これをアクティブ化します。
2. UIフォームの新規作成の説明に従って、リソースの新しいUIフォームを作成します。
3. 既存のアプリケーション・インスタンスを開きます。
4. 「フォーム」フィールドで、作成した新しいUIフォームを選択します。
5. アプリケーション・インスタンスを保存します。
6. サンドボックスの公開の説明に従って、サンドボックスを公開します。

2.3.2 UIフォームにおけるフィールド・ラベルのローカライズ

使用する言語に対応するリソース・バンドルを使用して、UIフォーム・フィールド・ラベルをローカライズできます。リソース・バンドルはコネクタ・インストール・メディアに用意されています。

UIフォームに追加されるフィールド・ラベルをローカライズするには、次のようにします。

1. Oracle Enterprise Managerにログインします。
2. 左側のペインで、「アプリケーションのデプロイ」を開き、oracle.iam.console.identity.sysadmin.earを選択します
3. 右側のペインで、「アプリケーションのデプロイ」リストから、「MDS構成」を選択します
4. 「MDS構成」ページで、「エクスポート」をクリックして、ローカル・コンピュータにアーカイブを保存します。
5. アーカイブの内容を解凍して、テキスト・エディタで次のファイルを開きます。
   SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle_en.xlf
6. BizEditorBundle.xlfファイルを次の方法で編集します。

   1. 次のテキストを検索します。

      <file source-language="en" 
      original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" 
      datatype="x-oracle-adf">

   2. 次のテキストで置き換えます。

      <file source-language="en" 
      target-language="LANG_CODE"original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" 
      datatype="x-oracle-adf">

      このテキストで、LANG_CODEを、フォーム・フィールド・ラベルをローカライズする言語のコードに置き換えます。フォーム・フィールド・ラベルを日本語でローカライズする場合の値の例を次に示します。

      <file source-language="en" 
      target-language="ja" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" 
      datatype="x-oracle-adf">

   3. アプリケーション・インスタンスのコードを検索します。この手順は、Oracle Databaseアプリケーション・インスタンスの編集の例を示しています。元のコードは次のとおりです。

      <trans-unit 
      id="${adfBundle['oracle.adf.businesseditor.model.util
      .BaseRuntimeResourceBundle']['persdef.sessiondef.orac
      le.iam.ui.runtime.form.model.user.entity.use 
      rEO.UD_SF_USERNAME__c_description']}">
      
      <source>Username</source>
      
      </target> </trans-unit> <trans-unit
      
      id="sessiondef.oracle.iam.ui.runtime.form.model.Sales
      force.entity. sEO.UD_SF_USR_USERNAME__c">
      
      <source>Username</source>
      
      </target> </trans-unit>

   4. コネクタ・パッケージに入っているリソース・ファイル(たとえば、Salesforce_ja.properties)を開き、そのファイルから属性の値(たとえば、global.udf.UD_SF_USR_USERNAME=\u30A2\u30AB\u30A6\u30F3 \u30C8\u540D)を取得します。

   5. ステップ6.cに示されている元のコードを、次のものに置き換えます。

      <trans-unitid="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.
      runtime.form.model.user.entity.userEO.UD_SF_USR_USERNAME__c_description']}">
      
      <source>User Name</source> 
      <target>u30A2\u30AB\u30A6\u30F3\u30C8\u540D</target>
      </trans-unit> 
      <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.Salesforce.entity sEO.UD_SF_USR_USERNAME__c_LABEL
      ">
      <source>Account Name</source> <target>\u30A2\u30AB\u30A6\u30F3\u30C8\u540D</target> </trans-unit>

   6. プロセス・フォームのすべての属性に対し、ステップ6.aから6.dを繰り返します。

   7. ファイルをBizEditorBundle_LANG_CODE.xlfとして保存します。このファイル名で、LANG_CODE を、ローカライズする言語のコードに置き換えます。サンプル・ファイル名: BizEditorBundle_ja.xlf

7. ZIPファイルを再パッケージしてMDSにインポートします。

   関連項目:

   メタデータ・ファイルのエクスポートおよびインポートの詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のカスタマイズのデプロイおよびアンデプロイに関する項を参照してください。

8. Oracle Identity Managerからログアウトしてから、ログインします。

2.3.3 サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツのクリア

コネクタをデプロイすると、リソース・バンドルがインストール・メディアのresourcesディレクトリからOracle Identity Managerデータベースにコピーされます。connectorResourcesディレクトリに新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。

コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュからクリアするには、次のようにします。

1. コマンド・ウィンドウでOIM_HOME/server/binディレクトリに切り替えます。
2. 次のいずれかのコマンドを入力します。

   • Microsoft Windows: PurgeCache.bat All

   • UNIX: PurgeCache.sh All

   ノート:

   コンテンツ・カテゴリのキャッシュをパージするには、PurgeCacheユーティリティを使用できます。Microsoft WindowsではPurgeCache.bat CATEGORY_NAMEを実行し、UNIXではPurgeCache.sh CATEGORY_NAMEを実行します。CATEGORY_NAME引数は、消去するコンテンツ・カテゴリの名前を表します。

   たとえば、次のコマンドを実行すると、サーバー・キャッシュからメタデータ・エントリがパージされます。

   • PurgeCache.bat MetaData

   • PurgeCache.sh MetaData

   PurgeCacheユーティリティを実行する前に、WL_HOMEおよびJAVA_HOME環境変数が設定されていることを確認します。

   プロンプトが表示されたら、SYSTEM ADMINISTRATORSグループに属するアカウントのユーザー名とパスワードを入力します。さらに、次の書式でサービスURLを入力するように求められます。

   t3://OIM_HOST_NAME:OIM_PORT_NUMBER

   この形式の詳細は次のとおりです。

   • OIM_HOST_NAMEは、Oracle Identity Managerホスト・コンピュータのホスト名またはIPアドレスで置き換えます。

   • OIM_PORT_NUMBERは、Oracle Identity Managerがリスニングを行うポートで置き換えます。

2.3.4 Salesforceコネクタのロギングの管理

Oracle Identity ManagerではOracle Diagnostic Logging (ODL)ロギング・サービスを使用して、コネクタに関連するすべてのタイプのイベントを記録します。

次のトピックでは、ロギングについて詳しく説明します。

• ログ・レベルの理解

• ロギングの有効化

2.3.4.1 ログ・レベルの理解

ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ODLはOracle Identity Managerにより原則的に使用されるロギング・サービスで、java.util.Loggerに基づいています。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。

• SEVERE.intValue()+100

  このレベルでは、致命的エラーに関する情報のロギングが有効化されます。

• SEVERE

  このレベルでは、Oracle Identity Managerの実行を続行できる可能性があるエラーに関する情報のロギングが有効化されます。

• WARNING

  このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。

• INFO

  このレベルでは、アプリケーションの進行状況を示すメッセージのロギングが有効化されます。

• CONFIG

  このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。

• FINE、FINER、FINEST

  これらのレベルでは詳細なイベントに関する情報のロギングが有効化され、FINESTではすべてのイベントに関する情報が記録されます。

これらのログ・レベルは、表2-2に示すODLメッセージ・タイプとレベルの組合せにマップされます。

表2-2 ログ・レベルおよびODLメッセージ・タイプ: レベルの組合せ

ログ・レベル	ODLメッセージ・タイプ:レベル
SEVERE.intValue()+100	INCIDENT_ERROR:1
SEVERE	ERROR:1
WARNING	WARNING:1
INFO	NOTIFICATION:1
CONFIG	NOTIFICATION:16
FINE	TRACE:1
FINER	TRACE:16
FINEST	TRACE:32

OJDLの構成ファイルはlogging.xmlであり、次のパスにあります。

DOMAIN_HOME/config/fmwconfig/servers/OIM_SERVER/logging.xml

ここで、DOMAIN_HOMEとOIM_SERVERは、Oracle Identity Managerのインストール時に指定されたドメイン名とサーバー名です。

2.3.4.2 ロギングの有効化

Oracle WebLogic Serverでロギングを有効化するには、次のようにします。

1. 次のようにしてlogging.xmlファイルを編集します。
   1. ファイル内に次のブロックを追加します。

      <log_handler name='Salesforce-handler' level='[LOG_LEVEL]' class='oracle.core.ojdl.logging.ODLHandlerFactory'>
      <property name='logreader:' value='off'/>
          <property name='path' value='[FILE_NAME]'/>
          <property name='format' value='ODL-Text'/>
          <property name='useThreadName' value='true'/> 
          <property name='locale' value='en'/> 
          <property name='maxFileSize' value='5242880'/> 
          <property name='maxLogSize' value='52428800'/>
          <property name='encoding' value='UTF-8'/>
      </log_handler>
      
      <logger name="ORG.IDENTITYCONNECTORS.GENERICSCIM" level="[LOG_LEVEL]" useParentHandlers="false">
          <handler name="Salesforce-handler"/> 
          <handler name="console-handler"/>
        </logger>

   2. [LOG_LEVEL]が出現したら両方を必要なODLのメッセージ・タイプとレベルの組合せに置き換えます。表2-2に、サポートされるメッセージ・タイプとレベルの組合せを示しています。
      同様に、記録されるメッセージをロギングするログ・ファイルのフルパスと名前で、[FILE_NAME]を置き換えます。
      次のブロックは、[LOG_LEVEL]と[FILE_NAME]のサンプル値を示します。

      <log_handler name='Salesforce-handler' level='NOTIFICATION:1' class='oracle.core.ojdl.logging.ODLHandlerFactory'> 
      <property name='logreader:' value='off'/>
          <property name='path' value='F:\MyMachine\middleware\user_projects\domains\base_domain1\servers\oim_server1\logs\
           oim_server1-diagnostic-1.log'/>
          <property name='format' value='ODL-Text'/> 
          <property name='useThreadName' value='true'/> 
          <property name='locale' value='en'/> 
          <property name='maxFileSize' value='5242880'/> 
          <property name='maxLogSize' value='52428800'/> 
          <property name='encoding' value='UTF-8'/> 
        </log_handler> 
      
      <logger name="ORG.IDENTITYCONNECTORS.GENERICSCIM" level="NOTIFICATION:1" useParentHandlers="false"> 
          <handler name="Salesforce-handler"/> 
          <handler name="console-handler"/> 
        </logger>

      これらのサンプル値を設定すると、Oracle Identity Managerを使用するときに、このコネクタについて生成される、ログ・レベルがNOTIFICATION:1レベル以上のすべてのメッセージが指定のファイルに記録されます。
2. ファイルを保存して閉じます。
3. サーバー・ログをファイルにリダイレクトするには、次の環境変数を設定します。

   Microsoft Windowsの場合: set WLS_REDIRECT_LOG=FILENAME

   UNIXの場合: export WLS_REDIRECT_LOG=FILENAME

   FILENAMEを、出力のリダイレクト先ファイルの場所と名前に置き換えます。

4. アプリケーション・サーバーを再起動します。

2.3.5 ロールのGUIDの取得

ターゲット・システムからロールのGUIDを取得して、Lookup.Salesforce.Roles参照定義のコード・キー値を移入する必要があります。

Salesforce.comにより公開されるSCIMサービスでは、ロールGUIDをプログラム的にフェッチするエンドポイントは提供されません。したがって、ユーザーのプロビジョニング・ロールを管理するには、Lookup.Salesforce.Roles参照を手動で移入する必要があります。

ロールのGUIDを取得するには、組織のロール階層から、GUIDを判別するロールをクリックします。GUIDはURLの一部として取得できます。たとえば次のURLでは、00E800000016mYが選択されたロールのGUIDです。

https://cs40.salesforce.com.00E800000016mY.setupid=Roles

2.3.6 コネクタに対するSSLの構成

Oracle Identity ManagerとSalesforceの間のデータ通信を保護するためにSSLを構成します。

ノート:

このコネクタをコネクタ・サーバーとともに使用している場合、SSLを構成する必要はありません。この項はスキップできます。

Salesforceにより、クライアント・システム日付がSSL証明書(Salesforceアプリケーションにより発行される証明書)の日付と同期されていることが検証されます。差異がある場合、ターゲット・システムによりエラーが返される場合があります。クライアント・マシンの日付は証明書のタイムスタンプ範囲と同期されている必要があります。ターゲット・システムからSSL証明書を取得します。

証明書のインポート

keytoolコマンドを使用して、ターゲット・システムからOracle Identity Managerのアイデンティティ・キーストアにSSL証明書をインポートします。

keytool -import -alias alias -trustcacerts -file file-to-import -keystore keystore-name -storepass keystore-password

この例では、証明書ファイルsupportcert.pemがパスワードweblogic1を使用してアイデンティティ・キーストアclient_store.jksにインポートされます。

keytool -import -alias serverwl -trustcacerts -file supportcert.pem -keystore client_store.jks -storepass weblogic1

ノート:

keytoolコマンドに渡すパラメータ値は、個別の要件に応じて変更してください。keytoolの引数には改行が含まれないようにしてください。