この章では、Oracle Identity Navigatorの使用中にエンタープライズ管理者が実行する共通の構成および管理タスクについて説明します。
この章には次のトピックが含まれます:
注意: この項では、サポートされているLDAPベース・ディレクトリ・サーバーでOracle Internet DirectoryまたはOracle Virtual Directoryを使用してドメイン・アイデンティティ・ストアを構成する方法について説明します。サポートされているその他のアイデンティティ・ストアの詳細は、「システム要件と動作保証情報」を参照してください。ご使用の環境でアイデンティティ・ストアを構成する方法の詳細は、ベンダーの製品ドキュメントを参照してください。 |
Oracle Identity Navigatorの「アクセス権限」ペインから検索する場合、ユーザーを表示する前にドメイン・アイデンティティ・ストアを構成する必要があります。アイデンティティ・ストアをメイン認証ソースとして構成するには、Oracle Identity NavigatorがインストールされているOracle WebLogic Serverドメインを構成する必要があります。
構成は、WebLogic Server管理コンソールで実行します。認証プロバイダの制御フラグの属性を設定すると、認証プロバイダの実行順序が決まります。制御フラグ属性に使用可能な値は次のとおりです。
REQUIRED - このLoginModuleは成功する必要があります。失敗した場合でも、認証は、構成された認証プロバイダのLoginModulesリストの下位方向へ進みます。この設定がデフォルトです。
REQUISITE - このLoginModuleは成功する必要があります。他の認証プロバイダが構成されていて、このLoginModuleが成功した場合、認証はLoginModulesリストを下位方向へ進みます。それ以外の場合は、制御がアプリケーションに戻ります。
SUFFICIENT - このLoginModuleは成功する必要はありません。成功した場合、制御はアプリケーションに戻ります。失敗した場合、他の認証プロバイダが構成されていれば、認証はLoginModuleリストを下位方向に進みます。
OPTIONAL - このLoginModuleは成功でも失敗でもかまいません。ただし、JAAS制御フラグがOPTIONALに設定されたセキュリティ・レルムですべての認証プロバイダが構成されている場合は、ユーザーは構成されたいずれかのプロバイダの認証テストに合格する必要があります。
Oracle WebLogic Serverで新しいデフォルトの認証プロバイダを作成する方法の詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのオンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
Oracle WebLogic ServerでOID認証プロバイダを構成するには、次のようにします。
Oracle WebLogic Server管理コンソールにログインし、「チェンジ・センター」で「ロックして編集」をクリックします。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、「myrealm」を選択します。
「プロバイダ」タブを選択し、「認証」サブタブを選択します。
「新規」をクリックし、「新しい認証プロバイダの作成」ページを起動します。次のようにフィールドに入力します。
名前: 認証プロバイダの名前を入力します。たとえば、「MyOIDDirectory」と入力します。
タイプ: リストから、「OracleInternetDirectoryAuthenticator」を選択します。
「OK」をクリックします。認証プロバイダの表が更新されます。
認証プロバイダの表で、新たに追加した認証プロバイダをクリックします。
「設定」で、「構成」タブを選択し、「共通」タブを選択します。
「制御フラグ」を「SUFFICIENT」に設定します。
「保存」をクリックします。
「プロバイダ固有」タブをクリックした後、使用する環境の値を使用して次の必要な設定を入力します。
ホスト: Oracle Internet Directoryサーバーのホスト名。
ポート: Oracle Internet Directoryサーバーがリスニングしているポート番号。
プリンシパル: Oracle Internet Directoryサーバーへの接続に使用されるOracle Internet Directoryユーザーの識別名(DN)。例: cn=OIDUser、cn=users、dc=us、dc=mycompany、dc=com。
資格証明: プリンシパルとして入力されたOracle Internet Directoryユーザーのパスワード。
グループ・ベースDN: グループを含むOracle Internet Directoryサーバー・ツリーのベース識別名(DN)。
ユーザー・ベースDN: ユーザーを含むOracle Internet Directoryサーバー・ツリーのベース識別名(DN)。
すべてのユーザーのフィルタ: LDAP検索フィルタ。詳細は、「詳細」をクリックします。
名前指定によるユーザー・フィルタ: LDAP検索フィルタ。詳細は、「詳細」をクリックします。
ユーザー名属性: 認証に使用する属性(cn
、uid
、mail
など)。たとえば、ユーザーの電子メール・アドレスを使用して認証を行うには、この値をmail
に設定します。
「保存」をクリックします。
myrealmページの「設定」から、「プロバイダ」タブを選択した後、「認証」タブを選択します。
「並べ替え」をクリックします。
新しい認証プロバイダを選択し、矢印ボタンを使用してこれをリストの最初に移動します。
「OK」をクリックします。
「認証プロバイダ」表の「DefaultAuthenticator」をクリックし、DefaultAuthenticatorの「設定」ページを表示します。
「構成」タブ、「共通」タブの順に選択し、「制御フラグ」リストから「SUFFICIENT」を選択します。
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
Oracle Virtual Directoryをドメイン・アイデンティティ・ストアとして使用するには、次の手順を実行する必要があります。
LDAPベース・サーバーでOracle Virtual Directoryを構成します。詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のLDAPアダプタの作成に関する項を参照してください。
Oracle WebLogic ServerでOVD認証プロバイダを構成します。詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのオンライン・ヘルプを参照してください。
開発環境またはテスト環境での操作では、デフォルトのポリシー・ストア、system-jazn-data.xmlファイルを使用すると便利な場合があります。ただし、本番環境ではドメイン・ポリシー・ストアはLDAPベースにすることをお薦めします。デフォルトのsystem-jazn-data.xmlファイルからのデータは、Oracle Internet DirectoryなどのLDAPベースのポリシー・ストアへの移動時に移行する必要があります。このプロセスは再関連付けと呼ばれます。
Oracle Internet Directoryをポリシー・ストアとして使用するようにドメインを再構成するには、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOPSSセキュリティ・ストアの再関連付けに関する項を参照してください。
注意: 最関連付けを正常に行うために、管理サーバーと管理対象サーバーを再起動することが重要です。 |
エンタープライズ・ロールは、共通管理者ロールをサポートするドメイン・アイデンティティ・ストアで作成する必要があります。LDAPベースのディレクトリ・サーバーで構成されたOracle Internet DirectoryとOracle Virtual Directoryの両方にテンプレートが用意されています。テンプレートはldifmigrator
ツールで使用されます。
共通管理者ロールのエンタープライズ・ロールを構成するための前提条件は、次のとおりです。
ドメイン・アイデンティティ・ストアを構成する必要があります。詳細は、「アイデンティティ・ストアの構成」を参照してください。
ドメイン・ポリシー・ストアを構成する必要があります。詳細は、「ポリシー・ストアの構成」を参照してください。
Oracle Identity Navigatorでサポートされているアイデンティティ・ストアおよびポリシー・ストアの構成の詳細は、「システム要件と動作保証情報」を参照してください。
ドメイン・アイデンティティ・ストアでエンタープライズ・ロールを構成するには、次のようにします。
ORACLE_HOME/common/templatesからご使用の環境に対応するテンプレートを選択します。
Oracle Internet Directory: oinav_template_oid.ldifを使用します。
Oracle Virtual Directory: oinav_template_ovd.ldifを使用します。
ldifmigrator
ツールを使用するには、$JAVA_HOMEを設定し、PATHにJAVA_HOME/binを含めます。
次のように、ldifmigrator
ツールを使用して、<GroupBase>のアイデンティティ・ストアにエンタープライズ・ロールを作成します。<ldif template>はテンプレート名です。
Run java -cp $MIDDLEWARE_HOME/oracle_common/modules/oracle.ldap_11.1.1/ldapjclnt11.jar -DORACLE_HOME=$ORACLE_HOME/oracle_common oracle.ldap.util.LDIFMigration input_file=<ldif template> output_file=<outputfile> namespace=<GroupBase> -load dn=<bindDn> password=<> host=<hostName> port=<portNumber>
LDAPベースのディレクトリ・サーバーでOracle Virtual Directoryを使用する場合、host
、port
、dn
およびgroupbase
は、LDAPサーバーではなくOracle Virtual Directoryを参照します。
デフォルトでは、Oracle Access Manager 11gエージェントは、Oracle Identity Navigatorおよび次のアイデンティティ管理コンソールにシングル・サインオン機能を提供します。
Oracle Identity Manager
Oracle Access Manager
Oracle Adaptive Access Manager
Oracle Authorization Policy Manager
Oracle Access Managerエージェントが保護できるのは、単一のドメイン内のコンソールのみです。ご使用の環境が複数のドメインにまたがる場合、Oracle HTTP Server 11gにOracle Access Manager 11g WebGateを使用できます。WebGateベースのシングル・サインオン用にOracle Identity Navigatorを構成する方法は、『Oracle Fusion Middleware Oracle Access Manager統合ガイド』の「Oracle Identity Navigatorとの統合」の章を参照してください。
web.xmlファイルは、Oracle Identity NavigatorなどのWebアプリケーションに構成およびデプロイメントに関する情報を提供します。Oracle Identity Navigatorのweb.xmlファイルはoinav.earにあります。web.xmlに含まれるオプションの<user-data-constraint>
要素を使用すると、コンテンツが不安定な方法で送信されるのを防ぐトランスポート保証を指定できます。<user-data-constraint>
タグ内の<transport-guarantee>
タグは、通信の処理方法を定義します。このタグには次の3種類の値を指定できます。
NONE – アプリケーションはトランスポート保証を必要としません。
INTEGRAL – アプリケーションは、クライアントとサーバー間で遷移中にデータが変更されないような方法でデータ送信が行われることを要求します。
CONFIDENTIAL – アプリケーションは、他のエンティティによって転送内容が参照されることを防ぐ方法でデータが送信されることを要求します。
Oracle Identity Navigatorはコンポーネント・コンソールへのSSL接続と非SSL接続の両方をサポートしているため、web.xml属性<user-data-constraint>
はデフォルト値NONE
に設定されます。つまり、Oracle Identity Navigatorはデフォルトではトランスポート保証の制約をサポートしていません。このような保証が必要な場合は、<user-data-constraint>
タグ内の<transport-guarantee>
タグをINTEGRAL
またはCONFIDENTIAL
に変更できます。
WebLogic管理サーバーを起動します。
ブラウザに次のURLを入力します。
http://host:port/oinav
portは管理サーバーのポートです。
管理者のユーザー名とパスワードを指定します。管理者アカウントは、アイデンティティ・ストアに存在している必要があり、Oracle Identity Navigator Administratorロールが必要です。
「ログイン」をクリックします。
次のタスクを実行するには、適切な権限が必要です。
コンポーネント・カテゴリの構成。「製品ランチャーの管理」を参照してください。次に、コンポーネントを手動または検出を使用して追加します。「製品の検出を使用した製品ランチャーへのコンポーネント・リンクの追加」を参照してください。
このタスクを実行するには、Oracle Identity Navigator管理者であるか、「アプリケーション構成者」共通管理者ロールを持っている必要があります。
BI Publisherの構成。「Oracle Business Intelligence Publisherの構成」を参照してください。
このタスクを実行するには、Oracle Identity Navigator管理者であるか、「アプリケーション構成者」共通管理者ロールを持っている必要があります。
RSSフィードがファイアウォールの外側にある場合は、プロキシを構成します。「ニュース・フィードにアクセスするためのプロキシの構成」を参照してください。
このタスクを実行するには、管理者である必要があります。
Oracle Identity NavigatorはOracle BI Publisherと統合されています。インタフェースでは、BI Publisher単独の場合よりも強力なカスタマイズがサポートされています。Oracle Identity Navigatorインタフェースを使用すると、各管理者は必要に応じてダッシュボードをカスタマイズできます。レポート・ツリーはBI Publisher単独の場合よりも浅いため、少ない回数のクリックでレポートにアクセスできます。
注意: 1つのOracle Identity Navigatorインスタンスに接続できるのは、1つのOracle Business Intelligence Publisherインスタンスのみです。 |
Oracle Identity NavigatorとBI Publisherのインスタンスの間の接続を作成する前に、BI Publisherをインストールし、レポート・テンプレートを構成する必要があります。オプションで、BI PublisherをSSL用に構成できます。
次のコンポーネントをインストールする必要があります。
関連項目: Oracle BI Publisherのインストールの詳細は、Oracle Business Intelligence Publisher Enterpriseバージョン10.1.3.4ドキュメント・ライブラリの『Oracle Business Intelligence Publisherインストレーション・ガイド』を参照してください。 |
Oracle Identity Management BI Publisherレポート・テンプレートは、zipファイルとしてOracleホーム・ディレクトリにインストールされます。11gR1コンポーネントの場合、すべてのテンプレートが1つのzipファイルに含まれています。これらはすべて、監査レポート・テンプレートです。
11gR1+コンポーネントの場合、テンプレートzipファイルは、コンポーネントのOracleホームの下の特定のディレクトリにあります。次に例を示します。
コンポーネント | Oracleホームの下のディレクトリ |
---|---|
Oracle Adaptive Access Manager | oaam/reports |
Oracle Access Manager |
oam/server/reports |
Oracle Identity Manager |
server/reports |
監査レポートzipファイルを、BI Publisherレポート・ルート・フォルダの下の監査レポート・フォルダにコピーして解凍します。その他のレポートzipファイルを、BI Publisherレポート・ルート・フォルダにコピーして解凍します。レポート・データベースでデータ・ソースを構成するには、BI Publisher Webインタフェースを使用します。
関連項目:
|
Oracle Identity NavigatorとBI Publisherの間でSSL接続を使用する場合は、Oracle Business Intelligence Publisher Enterpriseバージョン10.1.3.4ドキュメント・ライブラリにある『Oracle Business Intelligence Publisher管理者および開発者ガイド』の「Secure Socket Layer (SSL)接続用のBI Publisherの構成」に説明されているように、BI PublisherをSSL用に構成する必要があります。
BI PublisherをSSL用に構成する以外に、SSLを経由してBI Publisherに接続できるように、CA証明書をOracle Identity Navigatorにプロビジョニングする必要があります。次の手順を実行します。
keytool
コマンドを使用して、BI Publisher CA証明書をOracle WebLogic Serverトラスト・ストアにインポートします。
keytool -keystore trust_store -export -alias alias -file certificate_file
次に例を示します。
keytool -keystore truststore.jks -export -alias cacert -file cacert.cer
keystore
コマンドの発行時にホスト名検証エラーが発生した場合は、ファイルsetDomainEnv.sh
のEXTRA_JAVA_PROPERTIES
にこのフラグを追加することで、ホスト名検証を無効にします。
-Dweblogic.security.SSL.ignoreHostnameVerification=true
その後、keystore
コマンドを再発行します。
Weblogicサーバーを再起動します。
関連項目: Oracle WebLogic ServerでSSLを構成する方法の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。 |
接続を作成するには、次のようにします。
「管理」タブをクリックします。
「BI Publisher」を展開します。
右側のペインで、「ホスト」、「ポート」、「ユーザー」および「パスワード」に値を入力します。
SSL接続を使用するようにOracle Identity NavigatorおよびBI Publisherを構成している場合は、「SSL」を選択します。
「BI Publisherレポート・コンポーネントの指定」で、「作成」をクリックします。
コンポーネントを選択し、名前とパスを指定します。
接続エントリを、コンポーネントに使用できるレポートのサブセットに制限するには、「ファインダ」アイコンをクリックし、目的のパスに移動します。1つのコンポーネントに複数のパスを使用できます。この方法でパスを使用すると、ダッシュボード上のレポート名に関連付けられたテキストの量を少なくできます。
追加するその他のコンポーネントについてこの手順を繰り返します。
「テスト」をクリックして、入力した接続情報を確認します。接続が成功したかどうか、または接続が失敗した理由を通知するダイアログが表示されます。
テストが成功した場合は、「適用」をクリックして構成を完了します。テストに失敗した場合は、サイトの該当する管理者に問い合せてください。
コンポーネントを削除するには、コンポーネントを選択し、「削除」、「適用」の順にクリックします。
BI Publisherの構成が完了すると、「ダッシュボード」ページの「マイ・レポート」セクションにリンク「レポートを作成するにはここをクリックしてください」が追加されます。
注意: コンポーネントの名前またはパスを変更すると、新しい名前またはパスが新しいレポートに適用されます。すでに保存されているレポートは変更されません。 |
Oracle Identity Navigatorがファイアウォール内からOracleニュース・フィードにアクセスできるように、プロキシを指定する必要がある場合があります。そのためには、setDomainEnv
スクリプトに行を追加します。このスクリプトは、WebLogicドメインのbin
ディレクトリにあります。次に例を示します。
$MIDDLEWARE_HOME/user_projects/domains/base_domain/bin/setDomainEnv.sh
ファイル名は、LinuxおよびUNIXシステムの場合はsetDomainEnv.sh
、Windowsシステムの場合はsetDomainEnv.cmd
です。スクリプトにより、WebLogic Serverインスタンスを起動および実行するためのドメイン全体の環境変数が設定されます。startWebLogic
およびstopWebLogic
コマンドによって呼び出されます。
少なくとも、setDomainEnv
ファイル内のEXTRA_JAVA_PROPERTIES
に次の行を追加する必要があります。
-Dhttp.proxyHost=proxy_server_host -Dhttp.proxyPort=proxy_server_port -Dhttp.nonProxyHosts=non_proxy_hosts
次に例を示します。
Oracle Identity Navigatorを含むOracle Identity Managementコンポーネントは、Oracle WebLogic Serverドメインmycompany.com
にデプロイされます。ドメインにはマシンstajz18.mycompany.com
およびadc2170219.mycompany.com
も含まれます。
ファイアウォールは、mycompany.com
内のドメインとOracleニュース・フィード・サーバーの間に存在します。ニュース・フィード・リクエストは、Oracle Identity Navigatorからプロキシ・サーバーを経由してファイアウォールの外側のOracleニュース・フィード・サイトに転送する必要があります。
サーバーstajz18.mycompany.com
およびadc2170219.mycompany.com
に送信されるHTTPリクエストをプロキシ・サーバーに転送する必要はありません。
WebLogic管理サーバー上のsetDomainEnv.sh
ファイルに次の行を追加することもできます。
EXTRA_JAVA_PROPERTIES="-Dhttp.proxyHost=www-proxy.mycompany.com -Dhttp.proxyPort=80 -Dhttp.nonProxyHosts=stajz18.mycompany.com|adc2170219.mycompany.com ${EXTRA_JAVA_PROPERTIES}" export EXTRA_JAVA_PROPERTIES
完全を期すために、次の行を追加することもできます。
-DftpProxyHost=ftp_host -DftpProxyPort=FTP_proxy_server_port -DsocksProxyHost=SOCKS_proxy_server_host -DsocksProxyPort=SOCKS_proxy_server_port
変更を有効にするには、WebLogic管理サーバーを再起動する必要があります。
管理者は、「製品ランチャー」ページに表示されるカテゴリおよびコンポーネントのリストを変更できます。
次の2つのいずれかの方法を使用して、カテゴリ内のコンポーネントを追加できます。
コンポーネント・コンソール情報を指定します。
ホスト情報を指定し、製品の検出を使用して使用可能なコンポーネント・コンソールを判断します。
「管理」タブから、製品の検出を使用して、Oracle WebLogic Serverコンソール、Oracle Enterprise Manager Fusion Middleware Controlなど、ドメイン内のアクティブなJava EEコンポーネントをすべて検出できます。
「管理」タブをクリックします。
「製品登録」で、「製品の検出」を選択します。右側のペインに製品の検出ウィザードの「ドメインの選択」ページが表示されます。
コンポーネントの検出元になるサーバーの「ホスト」、「ポート」、「ユーザー」および「パスワード」を指定します。SSLポートを使用している場合は、「SSL」を選択します。
「次へ」をクリックします。
「使用可能な製品」ページで、Oracle Identity Navigatorに追加するコンポーネント・コンソールを選択します。選択したコンポーネントごとに、「表示名」を指定します。カテゴリが自動的に選択されていない場合は、「カテゴリ」リストからカテゴリを選択します。
「次へ」をクリックします。
「削除された製品」ページで、以前に検出されたコンポーネントをオプションで削除対象として選択することもできます。
「次へ」をクリックします。
「確認」ページでリンクのステータスを確認します。必要に応じて、「戻る」をクリックしてエラーを修正します。「確認」ページが正しい場合は、「終了」をクリックします。
次のようにしてリンクを追加します。
「管理」タブをクリックします。
「製品登録」で、「製品リンクの作成」アイコンをクリックするか、「アクション」リストから「製品リンクの作成」を選択します。
「新規製品登録」ダイアログで、追加するコンポーネントのタイプを選択します。
「カテゴリ」、「表示名」、「タイプ」、「バージョン」、「ホスト」、「ポート」および「URL」に値を指定します。
「OK」をクリックしてリンクを追加するか、「取消」をクリックしてリンクの追加を中止します。
次のようにしてリンクを編集します。
「管理」タブをクリックします。
「製品登録」で、編集する製品をクリックします。
「製品登録」画面で、目的の変更を行います。
「適用」をクリックして変更を適用するか、「元に戻す」をクリックして加えた変更を削除します。
次のようにしてリンクを削除します。
「管理」タブをクリックします。
「製品登録」で、削除する項目を強調表示します。
「製品リンクの削除」アイコンをクリックするか、「アクション」リストから「製品リンクの削除」を選択します。
「確認」ダイアログで、「OK」をクリックして続行するか、または「取消」をクリックして削除を取り消します。
製品の検出インタフェースを使用して、複数のリンクを同時に削除することもできます。
次のようにしてコンポーネント・カテゴリを追加します。
「管理」タブをクリックします。
「製品登録」で、「アクション」リストから「カテゴリの作成」を選択します。
右側のペインにコンポーネント・カテゴリ名を入力します。
「保存」をクリックします。
新しいカテゴリが左側のペインに追加されたことを確認します。
次のようにしてカテゴリを編集します。
「管理」タブをクリックします。
「製品登録」で、製品カテゴリを選択します。製品カテゴリ情報が右側のペインに表示されます。
必要な変更を行います。
「適用」をクリックします。
ユーザーに共通管理者ロールを割り当てたり、ロール割当を表示するには、「アクセス権限」ページを使用します。「アクセス権限」ページの左側のペインには、ユーザーまたは共通管理者ロールを検索できる「検索」ペインがあります。検索を行って検索結果を選択すると、そのユーザーまたはロールのデータが右側のペインに表示されます。
ドメイン・アイデンティティ・ストアを認証ソースとして構成した後は、ユーザーの表示のみが可能です。詳細は、「アイデンティティ・ストアの構成」を参照してください。
「アクセス権限」ページを使用して、特定のユーザーのアクセス権限を表示、設定および変更できます。共通管理者ロールの場合、コンポーネントごとにそのロールに割り当てられているユーザーを表示できます。
ユーザーを操作すると、共通管理者ロールが右側の表の行に表示されます。表の列にコンポーネントが表示されます。
「アクセス権限」ページを表示するには、次のようにします。
「管理」をクリックします。
ナビゲーション・パネルの「アクセス権限」をクリックします。
「アクセス権限」ページの「検索」ペインからユーザーまたはロールを検索します。
ユーザーを検索するには、次のようにします。
「タイプ」リストから「ユーザー」を選択します。
検索文字列を指定します。検索文字列には、ユーザー名、ユーザーID、電子メール・アドレス、部分文字列またはこれらのいずれかを指定できます。
矢印をクリックします。Oracle Identity Navigatorにより、基準に一致するすべてのユーザーが表示されます。
結果リストから、アクセス権限を表示、設定または変更するユーザーを選択します。右側に情報が表示されます。
共通管理者ロールを検索するには、次のようにします。
「タイプ」から「共通管理者ロール」を選択します。
ロールのリストが表示されます。
ロールに割り当てられているユーザーを表示するには、結果リストからそのロールを選択します。右側に情報が表示されます。
表2-1に、Oracle Identity Navigatorの共通管理者ロール、および各ロールが提供するアクセス権の要約を示します。
表2-1 Oracle Identity Navigatorの共通管理者ロール
共通管理者ロール名 | 権限 |
---|---|
セキュリティ管理 |
|
セキュリティ監査者 |
|
アプリケーション構成者 |
|
ユーザーに共通管理者ロールを割り当てるには、次のようにします。
「コンポーネント」列でそのロールのボックスを選択します。
新しい設定する場合は「適用」をクリックし、破棄する場合は「元に戻す」をクリックします。
ある環境から別の環境にOracle Fusion Middlewareコンポーネントを移動する方法の詳細は、『Oracle Fusion Middleware管理者ガイド』のテスト環境から本番環境への移動に関する項を参照してください。
Oracle Identity Navigatorを含むIdentity Managementコンポーネントをテスト環境から本番環境に移動する方法の詳細は、『Oracle Fusion Middleware管理者ガイド』の本番環境へのIdentity Managementコンポーネントの移動に関する項を参照してください。
コンポーネント管理者は、特定のIdentity Managementアプリケーションのレポートを管理するために必要な権限を持っています。各コンポーネント管理者は独自の「ダッシュボード」ページをカスタマイズできます。コンポーネント管理者はOracle Identity Navigatorの「管理」ページにアクセスすることはできません。
表2-2に、Identity Managementコンポーネント固有のOracle Identity Navigator管理ロール、および各ロールが持つアクセス権を示します。
コンポーネント固有のOracle Identity Navigator管理者ロール名 | 付与されているアクセス権 |
---|---|
OIM_ADMIN |
|
OAM_ADMIN |
|
OAAM_ADMIN |
|
OWSM_ADMIN |
|
これらのロールにより、すべてのレポートに対するファイングレイン・アクセス制御が可能になります。エンタープライズ・ロールの使用を開始する前に、次のエンタープライズ・ロールをドメイン・アイデンティティ・ストア内に作成する必要があります。
OAM_ADMIN
OIM_ADMIN
OAAM_ADMIN
OWSM_ADMIN
リストされているエンタープライズ・ロールのメンバーであり、適切なアクセス権限を持つユーザーまたはグループ。
この項では、Oracle Identity Navigatorを構成または使用しているときに発生する可能性があるいくつかの問題について説明します。
問題
Oracle Identity NavigatorのURLをブラウザに入力し、アクセスを試行します。エラー・メッセージが表示されます。
解決策
IPv4とIPv6のデュアルスタック環境では、ブラウザから一部のURLにアクセスできません。詳細は、ネットワーク管理者に問い合せてください。
問題
解決策
Oracle WebLogic ServerおよびBI Publisherサーバーが実行中であることを確認してください。
問題
レポートを作成または実行できません。
解決策
ログイン・アカウントが異なるとロールも異なる可能性があることに注意してください。たとえば、Oracle Access Manager管理者ロールを持っていないユーザーとしてログインした場合、Oracle Access Managerレポートを作成することはできません。
Oracle WebLogic Server、BI PublisherサーバーおよびOracle Databaseが実行中であることを確認してください。
BI Publisher自体からBI Publisherレポートにアクセスすることは可能です。これにより、構成の問題の原因がOracle Identity NavigatorとBI Publisherのどちらにあるかを判断できます。
Oracle WebLogic Serverログを参照してください。
問題
Adobe Readerを使用してPDFレポートをブラウザに表示できません。
解決策
新しいバージョンのReaderにアップグレードするか、またはReaderをブラウザ内の組込みの機能としてではなく直接実行するように構成してください。詳細は、Adobe Readerのドキュメントを参照してください。
問題
MHTML形式のレポートを表示できません。
解決策
レポートをHTML形式で開きます。
問題
Oracle Identity Navigatorユーザー・インタフェースに共通管理者ロールを表示できません。
解決策
共通管理者ロールをサポートするエンタープライズ・ロールが作成されていることを確認してください。詳細は、「エンタープライズ・ロールの構成」を参照してください。