| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.1.0) B71104-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.1.0) B71104-03 |
|
前 |
次 |
この章では、インストール後にLDAPアイデンティティ・ストアとOracle Identity ManagerのLDAP同期を手動で構成する方法について説明します。ただし、この章で説明しているように、LDAP同期のインストール後の有効化の手順は、インストール時にOracle Identity Manager構成ウィザードによってLDAP同期がすでに有効化されている場合は不要です。
Oracle Identity Managerの以前のリリースでは、Oracle Identity Managerのインストール時にのみLDAP同期を有効化でき、インストール後はLDAP同期を有効化できません。Oracle Identity Manager 11g リリース1 (11.1.1.5.0)以降は、インストール後のLDAP同期の有効化がサポートされています。Oracle Identity Manager 11g リリース2 (11.1.2.1.0)でも、インストール後のLDAP同期の有効化がサポートされています。
|
関連項目: LDAP同期の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のLDAPアイデンティティ・ストアとOracle Identity Managerの統合に関する項を参照してください。 |
インストール中にOracle identity ManagerとともにOracle Internet Directory (OID)、iplanet (ODSEE)、Active Directory (AD)またはOracle Unified Directory (OUD)を選択すると、Oracle Virtual Directory (OVD)の仮想化機能が活用されます。Oracle Identity Managerには、スタンドアロンOVDサーバーのかわりにIdentity Virtualization Library (libOVD)が含まれています。Oracle Identity Managerは、Identity Virtualization Library (libOVD)の有無にかかわらずデプロイできます。Oracle Identity ManagerにIdentity Virtualization Library (libOVD)を含めると、Oracle Identity Managerは独自のOVDインスタンスを実行することなく、この共通ライブラリを使用できます。Identity Virtualization Library (libOVD)がない場合、Oracle Identity ManagerはOVDインスタンスを個別に使用する必要があります。
|
注意: 共通ライブラリは、Oracle Identity Managerと同じJava仮想マシン(JVM)に配置されているIdentity Virtualization Library (libOVD)の定義です。それは、別のサーバーではなく、Oracle Identity Manager内のライブラリです。 |
Oracle Identity ManagerインストーラでLDAP同期を選択するときに、AD、iPlanet (ODSEE)、OID、OVDおよびOUDオプションのいずれかを選択できます。AD、iPlanet (ODSEE)、OIDまたはOUDを選択すると、Oracle Identity ManagerはIdentity Virtualization Library (libOVD)とともにインストールされます。OVDを選択すると、LDAP同期が有効化されるため、LDAP同期を有効化するための手動の構成手順が不要になります。ただし、Oracle Identity Managerのインストール時にLDAP同期が有効化されていない場合は、LDAP同期を有効化するためのインストール後の手動構成が必要です。
この章では、インストール後にLDAP同期を有効にするための次の構成について説明します。
様々なカスタム・オブジェクト・クラスを使用したOracle Identity Managerを介したユーザー作成のカスタマイズ
Identity Virtualization Library (libOVD)アダプタの作成およびOracle Identity Managerとの統合
Identity Virtualization Library (libOVD)とディレクトリ・サーバーの間でのSSLの有効化
さらに、この章には次の項が含まれます。
Oracle Identity Managerをデプロイした後でLDAP同期を有効化するには、次の手順を実行します。
|
注意: Oracle Identity Manager 11g リリース2 (11.1.2.1.0)では、idmConfigToolユーティリティを実行してLDAP同期を事前構成する必要があります。LDAPConfigPreSetupスクリプトを実行してLDAP同期を事前構成すると、エラーが生成されます。idmConfigToolユーティリティの使用方法の詳細は、「idmConfigToolコマンドの使用方法」を参照してください。 idmConfigToolは、エンタープライズ・デプロイメント環境で実行されます。詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。これは、LDAP同期の前提条件をセットアップするもう1つの方法です。 スタンドアロンOracle Identity ManagerデプロイメントにおけるLDAP同期の前提条件のセットアップ手順は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。 idmConfigToolを使用して前提条件をセットアップしていない場合、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のLDAP同期を有効化するための前提条件の完了に関する項に従って、データベース・スキーマを拡張し、他の手順を実行する必要があります。 |
OIM_HOME環境変数に、Oracle Identity Managerがデプロイされているディレクトリを設定します。
次のファイルを、MDSから一時ステージング・ディレクトリ(/tmpなど)にコピーします。
|
注意: 別個のステージング・ディレクトリを作成する必要があります。$OIM_ORACLE_HOME/server/metadataディレクトリには他のファイルが含まれているため、ステージング・ディレクトリとして使用することはできません。これらのファイルを誤ってインポートすると、Oracle Identity Managerインスタンスが破損することがあります。 |
LDAPユーザー、ロール、ロール階層およびロール・メンバーシップ・リコンシリエーションのための、リコンシリエーション・プロファイルおよびリコンシリエーション水平表エンティティ定義の構成に、次のメタデータが使用されます。
/db/LDAPUser
/db/LDAPRole
/db/LDAPRoleHierarchy
/db/LDAPRoleMembership
/db/RA_LDAPROLE.xml
/db/RA_LDAPROLEHIERARCHY.xml
/db/RA_LDAPROLEMEMBERSHIP.xml
/db/RA_LDAPUSER.xml
/db/RA_MLS_LDAPROLE.xml
/db/RA_MLS_LDAPUSER.xml
これらのファイルは、インポート前に一時的な場所にコピーする必要があります。このようにしないと、同じ場所にoim-config.xmlも存在することになるため、インスタンスが破損することがあります。
LDAPイベント・ハンドラ。事前定義済イベント・ハンドラは、/db/ldapMetadata/EventHandlers.xmlファイル内にあります。
作成するユーザーおよびロールのコンテナ情報で構成されるLDAPContainerRules.xml。
|
注意: ディレクトリにマップされているこれらの属性のみを使用して、LdapContainerRules.xmlファイルにルールを含めることができます。外部オブジェクトからの属性またはエンティティの一部ではない属性を使用して、ルールを記述することはできません。これはユーザー・エンティティとロール・エンティティの両方に当てはまります。たとえば、「ロールの電子メール」はロールのルールには使用できず、ユーザーの「組織名」はユーザー・エンティティに使用できません。 |
LDAPContainerRules.xmlを編集します。これを行うには、LDAPContainerRules.xmlを開き、$DefaultUserContainer$と$DefaultRoleContainer$を適切なユーザー・コンテナ値とロール・コンテナ値で置換します。たとえば、次のように置換します。
$DefaultUserContainer$をcn=ADRUsers,cn=Users,dc=us,dc=oracle,dc=comなどの値で置換
$DefaultRoleContainer$をcn=ADRGroups,cn=Groups,dc=us,dc=oracle,dc=comなどの値で置換
Oracle Enterprise Managerを使用することでインポートを実行します。MDSからのメタデータ・ファイルのインポートの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のユーザーが修正可能なメタデータ・ファイルの移行に関する項を参照してください。
|
注意: MDSにインポートするときに、EventHandlers.xmlが/db/ldapMetadata/ディレクトリに存在することを確認してください。 |
Oracle Identity ManagerでITリソース構成を編集します。これを行うには、次のようにします。
Oracle Identity System Administrationにシステム管理者としてログインします。
左のナビゲーション・ペインで、構成の下の「ITリソース」をクリックします。「ITリソースの管理」ページが表示されます。
Directory Server ITリソースを探します。
このITリソースを「検索ベース」および予約コンテナの値で更新します。
「検索ベース」の推奨値は、ルート接尾辞またはベースDN (dc=us,dc=oracle,dc=comなど)です。
OVDサーバーでOracle Identity Managerを構成する場合は、「サーバーURL」にOVDサーバーのホストおよびポートの詳細を入力します。
Identity Virtualization Library (libOVD)でOracle Identity Managerを構成する場合は、「サーバーURL」に値を入力しないでください。空白にする必要があります。
バインド資格証明の値を次のように入力します。
管理ログイン: cn=oimadmin
管理パスワード: 1111111111
|
注意: Oracle Identity Managerプロキシ・ユーザーDNは、次の形式です。 PROXY_USER,cn=system,ROOT_SUFFIX 例: cn=oimadmin,cn=system, dc=us,dc=oracle,dc=com |
予約コンテナの値が、cn=reserve,VALUE_OF_THE_ROOT_SUFFIXであることを確認します。次に例を示します。
予約コンテナ: cn=reserve,dc=us,dc=oracle,dc=com
リコンシリエーション・ジョブでは、LDAPリコンシリエーションのスケジュール済ジョブをOracle Identity Managerスキーマの一部であるクォーツ表にシードします。前提条件で行ったように、OIM_ORACLE_HOME環境変数を設定します。次に例を示します。
Microsoft Windowsでは、次のコマンドを実行してOIM_ORACLE_HOME環境変数を、C:\Oracle\Middleware\Oracle_IDM1ディレクトリに設定します。
set OIM_ORACLE_HOME=C:\Oracle\Middleware\Oracle_IDM
UNIXでは、次のコマンドを実行します。
setenv OIM_ORACLE_HOME /u01/mwhome/Oracle_IDM
LDAPリコンシリエーションのスケジュール済ジョブのシードは、次のいずれかの方法で実行できます。
次のパラメータを使用した、LDAPリコンシリエーションのスケジュール済ジョブのシード
$OIM_ORACLE_HOME/server/setup/deploy-filesディレクトリに移動します。
antホームを設定します。次にantホーム設定のためのコマンドの例を示します。
UNIXの場合:
setenv ANT_HOME /u01/mwhome/modules/org.apache.ant_1.7.1
Microsoft Windowsの場合:
set ANT_HOME=/u01/mwhome/modules/org.apache.ant_1.7.1
|
注意: ANTがインストールされていない場合は、次のURLに移動してOracle Technology Network (OTN)のWebサイトからANTをダウンロードします。
ANTをインストールして、ANT_HOMEを設定します。$ANT_HOME/bin/ant/ディレクトリに、実行可能なファイルが存在することを確認してください。 |
次のパラメータを使用して、antコマンドを実行します。
$ANT_HOME/bin/ant -f setup.xml seed-ldap-recon-jobs -DoperationsDB.driver=oracle.jdbc.OracleDriver -DoperationsDB.user=SCHEMA_OWNER_USERNAME -DOIM.DBPassword=SCHEMA_OWNER_PASSWORD -DoperationsDB.host=SCHEMA_HOST_ADDRESS -DoperationsDB.port=SCHEMA_PORT_NUMBER -DoperationsDB.serviceName=SCHEMA_SERVICE_NAME -Dssi.provisioning=ON -Dweblogic.server.dir=WEBLOGIC_SERVER_LOCATION -Dojdbc.location=OJDBC_LOCATION -Dwork.dir=seed_logs
次に例を示します。
$ANT_HOME/bin/ant -f setup.xml seed-ldap-recon-jobs -DoperationsDB.driver=oracle.jdbc.OracleDriver -DoperationsDB.user=schemaowner1_OIM -DOIM.DBPassword=SCHEMA_OWNER_PASSWORD -DoperationsDB.host=myhost.mycompany.com -DoperationsDB.port=1234 -DoperationsDB.serviceName=oimdb.regress.rdbms.mycompany.com -Dssi.provisioning=ON -Dweblogic.server.dir=MW_HOME/wlserver_10.3 -Dojdbc.location=MW_HOME/oracle_common/inventory/Scripts/ext/jlib/ojdbc6.jar -Dwork.dir=seed_logs
次のプロファイル・ファイルを使用した、LDAPリコンシリエーションのスケジュール済ジョブのシード
次の環境変数を設定します。
OIM_ORACLE_HOMEをOIM_HOMEディレクトリに設定します。
ANT_HOMEをANTがインストールされているディレクトリに設定します。
|
注意: ANTがインストールされていない場合は、次のURLに移動してOracle Technology Network (OTN)のWebサイトからANTをダウンロードします。
ANTをインストールして、ANT_HOMEを設定します。$ANT_HOME/bin/ant/ディレクトリに、実行可能なファイルが存在することを確認してください。 |
$OIM_ORACLE_HOME/server/bin/ディレクトリに移動します。
表3-1に示すプロパティを使用して、プロパティ・ファイルを作成します。
|
注意: 新しいプロパティ・ファイルを作成せずに、appserver.profileファイルを使用することもできます。この手順で示されたプロパティが、値を持って存在するようにしてください。 |
表3-1 プロパティ・ファイルのパラメータ
| パラメータ | 説明 |
|---|---|
|
operationsDB.user |
Oracle Identity Managerデータベース・スキーマの所有者。 |
|
operationsDB.driver |
|
|
operationsDB.host |
Oracle Identity Managerデータベース・スキーマのホスト・アドレス。 |
|
OIM.DBPassword |
Oracle Identity Managerデータベース・スキーマの所有者のパスワード。 |
|
operationsDB.serviceName |
Oracle Identity Managerデータベース・スキーマのサービス名。たとえば、 |
|
operationsDB.port |
Oracle Identity Managerデータベース・スキーマのポート番号。 |
|
ssi.provisioning |
値は |
|
weblogic.server.dir |
Oracle WebLogic Serverのインストール先のディレクトリ。たとえば、 |
|
ojdbc.location |
JDBCのインストール先のディレクトリ。たとえば、 |
|
work.dir |
ログ・ファイルの作成先の任意のディレクトリ。 ターゲットの正常終了後は、$WORK_DIR/seed_logs/ldap/SeedSchedulerData.logファイルでログを確認できます。 |
$OIM_ORACLE_HOME/server/setup/deploy-filesディレクトリに移動します。
次のコマンドを実行します。
$ANT_HOME/bin/ant -f setup.xml seed-ldap-recon-jobs -propertyfile $OIM_ORACLE_HOME/server/bin/PROPERTY_FILE_NAME
新しいユーザーを作成する際に、カスタム属性をOracle Identity Managerのユーザー定義フィールド(UDF)として追加することで、またはMDSのLDAPUser.xmlに追加することで、カスタム・オブジェクト・クラスおよびカスタム属性を追加できます。前提条件として、1つ以上の属性を持つカスタム・オブジェクト・クラスを作成し、OIDにロードする必要があります。
カスタム属性をOracle Identity ManagerのUDFまたはMDSのLDAPUser.xmlとして追加する手順は、次のとおりです。
『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のカスタム属性の作成に関する項に従って、Oracle Identity Managerのユーザー属性にカスタム属性を追加します。
『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のユーザーが修正可能なメタデータ・ファイルの移行に関する項に従って、リポジトリから/metadata/iam-features-ldap-sync/LDAPUser.xmlメタデータ・ファイルをエクスポートします。
LDAPUser.xmlファイルを更新し、custom attribute1カスタム属性およびcustomObjectClassカスタム・オブジェクト・クラスを追加します。
createでさらにオブジェクト・クラスを追加するには、LDAPUser.xmlを編集し、さらに<value>エントリを<parameter name="objectclass">ノードに追加します。次に例を示します。
<parameter name="objectclass"> <value>orclIDXPerson</value> <value>customObjectClass</value> </parameter>
カスタム属性をLDAPUser.xmlファイルの3つのセクションに追加します。これを行うには、次のようにします。
その属性エントリを<entity-attributes>タグの終わりに追加します。次に例を示します。
<entity-attributes> ................... ................... <attribute name="custom attribute1"> <type>string</type> <required>false</required> <attribute-group>Basic</attribute-group> <searchable>true</searchable> </attribute> </entity-attributes>
その属性エントリを<target-fields>タグの終わりに追加します。次に例を示します。
<target-fields> ................... ................... <field name="customattr1"> <type>string</type> <required>false</required> </field> </target-fields>
その属性エントリを<attribute-maps>タグの終わりに追加します。次に例を示します。
<attribute-maps> ................... ................... <attribute-map> <entity-attribute>custom attribute1</entity-attribute> <target-field>customattr1</target-field> </attribute-map> </attribute-maps>
LDAPUser.xmlファイルを保存して閉じます。
『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のユーザーが修正可能なメタデータ・ファイルの移行に関する項に従って、リポジトリに/metadata/iam-features-ldap-sync/LDAPUser.xmlメタデータ・ファイルをインポートします。
(オプション)cnのRDN属性を変更する場合は、<parameter name="rdnattribute">タグを新しいディレクトリ属性名に更新し、/metadata/iam-features-ldap-sync/LDAPUser.xmlメタデータ・ファイルをリポジトリに再インポートします。次に例を示します。
<parameter name="rdnattribute"> <value>companyid</value> </parameter>
Oracle Identity Managerを介して新しいユーザーを作成することで構成をテストします。
libOVDに関連するスクリプトまたはテンプレート・ファイルを使用することでIdentity Virtualization Library (libOVD)アダプタを構成できます。表3-2は、Identity Virtualization Library (libOVD)アダプタの構成に使用するファイルを示しています。
表3-2 Identity Virtualization Library (libOVD)アダプタの構成ファイル
| ファイル | 説明 |
|---|---|
|
$MIDDLEWARE_HOME/oracle_common/modules/oracle.ovd_11.1.1/ディレクトリ内のファイル |
Identity Virtualization Library (libOVD)に関連するファイル |
|
$MIDDLEWARE_HOME/oracle_common/bin/ディレクトリ内のファイル: libovdadapterconfig.sh libovdconfig.sh libovdadapterconfig.bat libovdconfig.bat |
Identity Virtualization Library (libOVD)を構成するためのスクリプト・ファイル |
|
$MIDDLEWARE_HOME/Oracle_IDM/libovd/ディレクトリのファイル: adapter_template_oim_ldap.xml adapter_template_oim.xml |
Identity Virtualization Library (libOVD)を構成するための一時ファイル |
|
$MIDDLEWARE_HOME/user_projects/domains/DOMAIN_NAME/config/fmwconfig/ovd/ADAPTER_NAME/ディレクトリのファイル: adapters.os_xml デフォルトでは、ADAPTER_NAMEの値はoimです。 |
Identity Virtualization Library (libOVD)を構成した後の構成ファイル |
Identity Virtualization Library (libOVD)アダプタを構成し、Oracle Identity Managerと統合する手順は、次のとおりです。
スクリプトを実行してIdentity Virtualization Library (libOVD)を構成する前に、次の環境変数を設定します。
MIDDLEWARE_HOMEを適切なミドルウェア・ホーム・ディレクトリに設定
ORACLE_HOMEを$MIDDLEWARE_HOME/oracle_commonに設定
WL_HOMEを$MIDDLEWARE_HOME/wlserver_10.3に設定
JAVA_HOMEを適切なjdk6 path ../jdk6に設定
Identity Virtualization Library (libOVD)を構成する手順は、次のとおりです。
|
注意: コマンド内のホスト・コンピュータおよびディレクトリ・パスの該当する情報を置換し、Identity Virtualization Library (libOVD)を構成するためのスクリプトを実行します。 |
libOVD構成ファイルを作成し、ディレクトリ構造をレイアウトするには、次のコマンドを実行します。
sh $MW_HOME/oracle_common/bin/libovdconfig.sh -domainPath FULL_PATH_OF_DOMAIN -contextName oim -host ADMINSERVER_HOST -port ADMINSERVER_PORT -userName ADMINSERVER_USERNAME
次に例を示します。
sh $MW_HOME/oracle_common/bin/libovdconfig.sh -domainPath $MIDDLEWARE_HOME/user_projects/domains/base_domain -contextName oim -host myhost.mycompany.com -port 7001 -userName weblogic
このコマンドによって、Oracle Identity ManagerにOVD構成ファイルを含むディレクトリ構造が作成され、構成ファイル・テンプレートがコピーされます。この例では、contextNameはoimと想定されます。したがって、OVD構成ファイルはDOMAIN_HOME/config/fmwconfig/ovd/oim/ディレクトリに作成されます。ここで、DOMAIN_HOMEは、自身のドメインのホーム・ディレクトリとして使用しているディレクトリです。
|
注意: Identity Virtualization Library (libOVD)はOracle Identity Managerに組み込まれているため、どちらも同じWebコンテナにデプロイされます。したがって、管理サーバー・ホストと管理サーバー・ポートは、OIDがインストールされているコンピュータではなくOracle Identity Managerがインストールされているものと同じコンピュータのものであることが必要です。 |
コマンドを実行すると、次のものが表示されます。必要な場合にはパスワードを入力します。
Enter AdminServer Password: Successfully created OVD config files CSF Credential creation successful Permission Grant successful Successfully configured OVD MBeans
ユーザー・アダプタおよび変更ログ・アダプタを作成するには、次のコマンドを実行します。
sh $MW_HOME/oracle_common/bin/libovdadapterconfig.sh -domainPath FULL_PATH_OF_DOMAIN -contextName oim -host ADMINSERVER_HOST -port ADMINSERVER_PORT -userName ADMINSERVER_USERNAME -adapterName ADAPTER_NAME -adapterTemplate adapter_template_oim.xml -bindDN LDAP_BIND_DN -createChangelogAdapter -dataStore LDAP_DIRECTORY_TYPE -ldapHost LDAP_HOST -ldapPort LDAP_PORT -remoteBase REMOTE_BASE -root VIRTUAL_BASE
ここで、テンプレートはoimテンプレートです。これにより、このスクリプトを実行したときに、Oracle Identity Managerテンプレートに基づいて、指定した情報を使用してアダプタが作成されます。この手順で示すコマンドの例では、contextNameはoimであると想定しています。
|
注意:
|
バックエンドLDAPサーバー・ポートがSSLを使用するように構成されている場合、Oracle Identity Managerユーザーはkeytoolを使用して信頼できる証明書をLDAPサーバーからIdentity Virtualization Library (libOVD)キーストアにインポートする必要があります。これを行うには、「Identity Virtualization Library (libOVD)とディレクトリ・サーバーの間でのSSLの有効化」を参照してください。
非SSL LDAPサーバー・ポートを使用した例:
sh $MW_HOME/oracle_common/bin/libovdadapterconfig.sh -domainPath $MW_HOME/user_projects/domains/base_domain -contextName oim -host myadminserver.mycompany.com -port 7001 -userName weblogic -adapterName LDAP1 -adapterTemplate adapter_template_oim.xml -bindDN "cn=orcladmin" -createChangelogAdapter -dataStore OID -ldapHost myldaphost.mycompany.com -ldapPort 3060 -remoteBase "dc=us,dc=oracle,dc=com" -root "dc=us,dc=oracle,dc=com" Enter AdminServer Password: Enter LDAP Server Password:
SSLを使用するように構成されたLDAPサーバー・ポートを使用した例:
|
注意: LDAPポートにSSLポートを使用する場合は、libovdadapterconfig.shまたはlibovdadapterconfig.batコマンドで-enableSSLパラメータを指定します。 |
sh $MW_HOME/oracle_common/bin/libovdadapterconfig.sh -domainPath $MW_HOME/user_projects/domains/base_domain -contextName oim -host myadminserver.mycompany.com -port 7001 -userName weblogic -adapterName LDAP1 -adapterTemplate adapter_template_oim.xml -bindDN "cn=orcladmin" -createChangelogAdapter -dataStore OID -ldapHost myldaphost.mycompany.com -ldapPort 3161 -enableSSL -remoteBase "dc=us,dc=oracle,dc=com" -root "dc=us,dc=oracle,dc=com" Enter AdminServer Password: Enter LDAP Server Password:
次のコマンドを実行することで、WebコンテナおよびOracle Identity Managerを再起動します。
cd $MIDDLEWARE_HOME/user_projects/domains/DOMAIN_NAME/bin/ ./stopManagedWebLogic.sh oim_server1 ./stopWebLogic.sh ./startWebLogic.sh ./startManagedWebLogic.sh oim_server1
Oracle Identity ManagerをOracle Identity Virtualization (libOVD)に統合する手順は、次のとおりです。
Oracle Identity System Administrationにログインします。
左のペインで、構成の下の「ITリソース」をクリックします。別のウィンドウに「ITリソースの管理」ページが表示されます。
「ITリソース・タイプ」リストから「ディレクトリ・サーバー」を選択し、「検索」をクリックします。
ディレクトリ・サーバーITリソースについては、「編集」をクリックします。「ITリソースの詳細およびパラメータの編集」ページが表示されます。
「検索ベース」フィールドに、たとえばdc=oracle,dc=comのように値を入力します。
「ユーザー予約コンテナ」フィールドに、たとえば、cn=reserve,dc=us,dc=oracle,dc=comのように値を入力します。
Oracle Identity ManagerがデプロイされているWebLogicサーバーを再起動します。
サーバーにアクセスし、Oracle Identity System Administrationを介してユーザーおよびロールの管理を試みます。
-dataStoreオプションを使用して構成されたLDAPサーバーでデータが管理されていることを検証するには、ldapclientツールを直接使用してLDAPサーバーに接続します。
SSLのために、次の項の説明に従って、ディレクトリ・サーバーからサーバー側の証明書をエクスポートし、Identity Virtualization Library (libOVD)にインポートする必要があります。
Active Directoryからサーバー側の証明書をエクスポートし、Identity Virtualization Library (libOVD)にインポートするには、次の手順を実行します。
次のMicrosoft TechNet WebサイトURLの指示を参照して、Active Directoryサーバーから証明書をエクスポートします。
http://technet.microsoft.com/en-us/library/cc732443%28WS.10%29.aspx
http://technet.microsoft.com/en-us/library/cc772898%28WS.10%29.aspx
CA署名証明書を取得し、ファイルに保存します。これを行うには、次のようにします。
ドメイン管理者としてActive Directoryドメイン・サーバーにログインします。
「スタート」、「コントロール パネル」、「管理ツール」、「証明機関」の順にクリックし、証明機関用のMicrosoft管理コンソール(MMC)を表示します。
CAコンピュータを右クリックし、CAのプロパティを選択します。
「全般」メニューから、「証明書の表示」を選択します。
「詳細」ビューを選択し、ウィンドウの右下隅にある「ファイルにコピー」をクリックします。
次のコマンドを実行して、証明書のエクスポート・ウィザードを使用し、CA証明書をファイルに保存します。
certutil -ca.cert OutCACertFile
|
注意: CA証明書は、DER Encoded Binary X-509形式またはBased-64 Encoded X-509形式で保存できます。 |
次のコマンドを実行して、手順3fで作成したActive Directoryサーバー証明書を、Identity Virtualization Library (libOVD)キーストアに信頼できるエントリとしてインポートします。
$ORACLE_HOME/jdk/jre/bin/keytool -importcert -keystore $DOMAIN_HOME/config/fmwconfig/ovd/CONTEXT/keystores/adapters.jks -storepass password -alias alias -file OutCACertFile -noprompt
Identity Virtualization Library (libOVD)とiPlanet (ODSEE)の間でのSSLを有効化するために、iPlanet (ODSEE)から証明書をエクスポートしてIdentity Virtualization Library (libOVD)にインポートするには、次の手順を実行します。
iPlanet (ODSEE)から証明書をエクスポートするには、次のコマンドを実行します。
dsadm export-cert -o OUTPUT_FILE INSTANCE_PATH CERT_ALIAS
次に例を示します。
./dsadm export-cert -o /tmp/server-cert /scratch/aime1/iPlanet/dsInst/ defaultCert Choose the PKCS#12 file password: Confirm the PKCS#12 file password: ls -lrt /tmp -rw------- 1 aime1 svrtech 1684 Jan 20 00:39 server-cert
ステップ1で作成したiPlanet (ODSEE)証明書を、信頼できるエントリとしてIdentity Virtualization Library (libOVD)キーストアにインポートするには、次のコマンドを実行します。
ORACLE_HOME/jdk/jre/bin/keytool -importcert -keystore $DOMAIN_HOME/config/fmwconfig/ovd/CONTEXT/keystores/adapters.jks -storepass PASSWORD -alias ALIAS_VALUE_USED_FOR_EXPORT -file SERVER-CERT_FILENAME -noprompt
|
注意: 証明書をインポートする際は、-aliasパラメータに対して、その証明書をエクスポートしたときに指定したものと同じ証明書の別名を指定します。次に例を示します。 ORACLE_HOME/jdk/jre/bin/keytool -importcert -keystore $DOMAIN_HOME/config/fmwconfig/ovd/CONTEXT/keystores/adapters.jks -storepass password -alias defaultCert -file server-cert -noprompt さらに、次のURLにあるODSEEドキュメントの説明に従って証明書をエクスポートおよびインポートします。
|
OIDからサーバー側の証明書をエクスポートしてIdentity Virtualization Library (libOVD)にインポートするには、次の手順を実行します。
次のコマンドを使用して、Oracle Internet Directoryサーバーの証明書をBase64形式でエクスポートします。
orapki wallet export -wallet LOCATION_OF_OID_WALLET -dn DN_FOR_OID_SERVER_CERTIFICATE -cert ./b64certificate.txt
|
注意: orapkiコマンドで証明書別名を使用する場合、その別名がすべて小文字でないと、エラーが生成されます。 |
次のコマンドを使用して、ステップ2で作成したOracle Internet Directoryサーバー証明書を、Identity Virtualization Library (libOVD)キーストアに信頼できるエントリとしてインポートします。
$ORACLE_HOME/jdk/jre/bin/keytool -importcert -keystore $DOMAIN_HOME/config/fmwconfig/ovd/CONTEXT/keystores/adapters.jks -storepass password -alias alias -file OutCACertFile -noprompt
LDAPを同期していないOracle Identity Managerデプロイメントでユーザーとロールを作成した後で、LDAP同期を有効化することを決めた場合、LDAP同期を有効化する前に作成したユーザーとロールを、同期の有効化後にLDAPと同期する必要があります。LDAPに対するユーザー、ロール、ロール・メンバーシップおよびロール階層のプロビジョニングは、LDAP用に事前定義された次のスケジュール済ジョブで達成できます。
LDAPSync Post Enable Provision Users to LDAP
LDAPSync Post Enable Provision Roles to LDAP
LDAPSync Post Enable Provision Role Memberships to LDAP
LDAPSync Post Enable Provision Role Hierarchy to LDAP
これらのスケジュール済ジョブの詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』の事前定義済のスケジュール済タスクに関する項を参照してください。
Oracle Identity ManagerデプロイメントでLDAP同期を無効化するには、次の手順を実行します。
Oracle Enterprise Managerを使用してMDSから/db/ldapMetadata/EventHandlers.xmlファイルを削除します。MDSからのメタデータ・ファイルの削除の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のユーザーが修正可能なメタデータ・ファイルの移行に関する項を参照してください。
Oracle Identity System Administrationにシステム管理者としてログインします。
「LDAP同期を有効化する前に作成したユーザーおよびロールのLDAPへのプロビジョニング」で説明しているスケジュール済ジョブすべてを無効化します。
Oracle Identity Managerのインストール中にOID、ODSEEまたはADを選択する場合、そのときにLDAP同期が有効化されていると、Identity Virtualization Library (libOVD)アダプタがバックエンドで生成されます。
Oracle Identity Managerのインストール中にLDAP同期を有効化せず、Oracle Identity Managerのインストール後にLDAP同期を有効化する場合は、libOVDアダプタを作成し、構成する必要があります。詳細は、「Identity Virtualization Library (libOVD)アダプタの作成およびOracle Identity Managerとの統合」および「Identity Virtualization Library (libOVD)アダプタの管理」を参照してください。
OVDサーバーを構成してあり、Oracle Identity Managerをインストールした後にLDAP同期を有効化する場合は、ディレクトリ・サーバーITリソース・タイプの「ITリソース」ページをOVDサーバーの詳細で構成する必要があります。「インストール後のLDAP同期の有効化」の手順5を参照してください。
OVDサーバーがアダプタに対して構成されていない場合、様々なデフォルトLDAPサーバーに対してOVDアダプタを作成する必要があります。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Virtual Directoryでのアダプタの作成に関する項を参照してください。
|
関連項目: Oracle Identity Managerと統合するためのOVDの構成の詳細は、「Oracle Identity Managerと統合するためのOracle Virtual Directoryの構成」 を参照してください。 |
LDAP同期が有効でAD、iPlanet (ODSEE)またはOIDがディレクトリ・サーバーであるOracle Identity Managerデプロイメントでは、WLSTコマンドを使用してIdentity Virtualization Library (libOVD)アダプタを管理します。
|
関連項目: Library Oracle Virtual Directory (LibOVD)アダプタを管理するためのWLSTコマンドの詳細は、Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンスのLibrary Oracle Virtual Directory (LibOVD)コマンドに関する項を参照してください。 |
Virtualization Library (libOVD)を管理するには、次の手順を実行します。
WLSTコンソールを起動します。これを行うには、$FMW_ROOT/Oracle_IDM1/common/bin/wlst.shを実行します。このパスは、$OIM_ORACLE_HOME/common/bin/wlst.shとして参照できます。
ここで、$FMW_ROOTは、自身の$MW_HOMEディレクトリを指しています。たとえば、このバイナリの場所の場合、/u01/apps/mwhome/ディレクトリを指すことができます。
$OIM_ORACLE_HOMEはOracle Identity Managerがデプロイされているディレクトリを指しています。たとえば、/u01/apps/mwhome/Oracle_IDM1/はOIM_ORACLE_HOMEを指している必要があります。
WLSTコマンドラインで、次のコマンドを実行します。
connect()
入力を求められたときに、WLSTのユーザー名、パスワードおよびt3 URLを入力します。
次のコマンドを実行し、Identity Virtualization Library (libOVD)のWLSTコマンドのリストを表示します。
help('OracleLibOVDConfig')
これで、Identity Virtualization Library (libOVD)、LDAPおよび結合アダプタを作成、削除および変更するためのコマンドがリストされます。次のコマンドは、パラメータとして渡される特定のOPSSコンテキストと関連付けられているIdentity Virtualization Library (libOVD)構成で動作します。
addJoinRule: 指定のOPSSコンテキストと関連付けられたIdentity Virtualization Library (libOVD)の既存の結合アダプタに、結合ルールを追加します。
addLDAPHost: 既存のLDAPアダプタに、新しいホストを追加します。
|
注意: High Availability (HA)シナリオ用に複数のリモート・ホストを追加する例を次に示します。 addLDAPHost(adapterName='ldap1', host='myhost.example.domain.com', port=389, contextName='myContext') HAの詳細は、『Oracle Fusion Middleware高可用性ガイド』を参照してください。 |
addPlugin: 既存のアダプタに、またはグローバル・レベルで、プラグインを追加します。
|
関連項目: Oracle Identity Managerにおけるプラグインの開発の詳細は、Oracle Fusion Middleware Oracle Identity Manager開発者ガイドのプラグインの開発に関する説明を参照してください。 |
addPluginParam: 既存のアダプタ・レベルのプラグインまたはグローバル・プラグインに、新しいパラメータ値を追加します。
createJoinAdapter: 指定のOPSSコンテキストと関連付けられたIdentity Virtualization Library (libOVD)に、新しい結合アダプタを作成します。
createLDAPAdapter: 指定のOPSSコンテキストと関連付けられたIdentity Virtualization Library (libOVD)に、新しいLDAPアダプタを作成します。
deleteAdapter: 指定のOPSSコンテキストと関連付けられたIdentity Virtualization Library (libOVD)の、既存のアダプタを削除します。
getAdapterDetails: 指定のOPSSコンテキストと関連付けられたIdentity Virtualization Library (libOVD)に構成されている、既存のアダプタの詳細を表示します。
istAdapters: 指定のOPSSコンテキストと関連付けられたこのIdentity Virtualization Library (libOVD)に構成されている、すべてのアダプタの名前とタイプをリストします。
modifyLDAPAdapter: 既存のLDAPアダプタ構成を変更します。
removeJoinRule: 指定のOPSSコンテキストと関連付けられたIdentity Virtualization Library (libOVD)に構成された結合アダプタから、結合ルールを削除します。
removeLDAPHost: 既存のLDAPアダプタ構成から、リモート・ホストを削除します。
removePlugin: 既存のアダプタから、またはグローバル・レベルで、プラグインを削除します。
removePluginParam: 構成済のアダプタ・レベルのプラグインまたはグローバル・プラグインから、既存のパラメータを削除します。
使用方法を表示するには、次のように個々のコマンドに対してhelpを実行します。
help('addPluginParam')
マルチ言語サポート(MLS)のためにoimLanguages属性のADユーザー管理アダプタを更新する例を次に示します。
addPluginParam:
このコマンドを次のように使用して、ADユーザー・アダプタのUserManagementプラグインに、oimLanguageパラメータを追加できます。
add PluginParam(adapterName='ldap1', pluginName='UserManagement', paramKeys='oimLanguages', paramValues='fr,zh-CN', contextName='oim')
removePluginParam:
このコマンドを次のように使用して、ADユーザー・アダプタのUserManagementプラグインから、oimLanguageパラメータを削除できます。
removePluginParam(adapterName='ldap1', pluginName='UserManagement', paramKey='oimLanguages', contextName='oim')
removePluginParam:
このコマンドを次のように使用して、Changelogプラグインから、modifierDNFilterパラメータを削除できます。
removePluginParam(adapterName='CHANGELOG_ldap1', pluginName='Changelog', paramKey='modifierDNFilter', contextName='oim')
|
関連項目: Oracle Identity Managerの変更ログおよびユーザー管理のための、OVDアダプタの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOracle Virtual Directoryでのアダプタの作成に関する説明を参照してください。 |
Identity Virtualization Library (libOVD)に対してアクセス・ログを有効化すると、Identity Virtualization Library (libOVD)を通過するすべてのリクエストおよびレスポンスを捕捉できます。これは、パフォーマンスの問題を選別する場合に大変便利です。
Identity Virtualization Library (libOVD)に対してアクセス・ログを有効化する手順は、次のとおりです。
デバッグ・モードで前に構成されたIdentity Virtualization Library (libOVD)ロガーをすべて削除します。実際のパフォーマンス数値を調べるには、これらのロガーを削除する必要があります。
WLSにNOTIFICATIONレベルでoracle.ods.virtualization.accesslogという名前のWLSロガーを作成します。
ovd-access.logに類似したファイル名を指定してWLSログ・ハンドラを作成し、そのログ・ハンドラを手順2で作成したロガーと関連付けます。
このログ・ハンドラは、すべてのOracle Virtual Directoryアクセス・ログ・メッセージを別のファイルに記録します。
DOMAIN_HOME/config/fmwconfig/ovd/default/provider.os_xmlファイルのバックアップを作成し、次のXML断片を追加します(それがまだ存在していない場合)。
<providers ..>
...
<auditLogPublisher>
<provider name="FMWAuditLogPublisher">
...
</provider>
<provider name="AccessLogPublisher">
<configClass>oracle.ods.virtualization.config.AccessLogPublisherConfig</configClass>
<properties>
<property name="enabled" value="true"/>
</properties>
</provider>
</auditLogPublisher>
...
</providers>
WLS管理および管理対象サーバーを再起動します。
これで、Oracle Virtual Directoryによってovd-access.logファイルにアクセス・ログを生成できるようになります。
LDAP同期が有効な場合に認証にLDAPを使用できるようにするには、次の手順を実行します。
|
注意: この手順では、次の機能は有効になりません。
|
WLSでLDAPオーセンティケータを構成します。これを行うには、次のようにします。
WebLogic管理コンソールにログインします。
「セキュリティ・レルム」、myrealm、「プロバイダ」に進みます。
「新規」をクリックします。名前を指定し、タイプとしてOracleInternetDirectoryAuthenticatorを選択します。
「制御フラグ」をSUFFICIENTに設定します。
「プロバイダ固有」設定をクリックし、OID接続の詳細を設定します。
「動的グループ」セクションで、次の値を入力します。
動的グループ名属性: cn
動的グループ・オブジェクト・クラス: orcldynamicgroup
動的メンバーURL属性: labeleduri
ユーザー動的グループDN属性: GroupOfUniqueNames
「プロバイダ」タブをクリックします。セキュリティ・プロバイダのリストからOIMオーセンティケータを削除します。これは、ユーザーがOracle Identity Managerデータベースでロックされないようにするためです。
そのレルムでOIMSignatureAuthenticatorセキュリティ・プロバイダを構成します。これを行うには、次のようにします。
i) WebLogic管理コンソールにログインします。
ii) 「セキュリティ・レルム」→「myrealm」→「セキュリティ・プロバイダ」→「認証」→「新規」に移動します。
iii) ドロップダウンから「OIMSignatureAuthenticator」を選択し、プロバイダ名として「OIMSignatureAuthenticator」を選択します。
iv) 変更内容を保存します。
「順序変更」をクリックします。次の表にリストされたとおりにセキュリティ・プロバイダを並べ替えます。
| 認証プロバイダ | 制御フラグ |
|---|---|
|
デフォルトのオーセンティケータ |
SUFFICIENT |
|
OIMシグネチャ・オーセンティケータ |
SUFFICIENT |
|
LDAPオーセンティケータ |
SUFFICIENT |
|
デフォルトのIDアサーション・プロバイダ |
値なし |
すべてのサーバーを再起動します。
ロール・メンバーシップを検証します。
WebLogic管理コンソールにログインします。
「セキュリティ・レルム」→myrealm→「ユーザー」→「グループ」に進みます。
「ユーザー」をクリックし、LDAPユーザー検索ベースですべてのユーザーを表示します。LDAPユーザーが表示されない場合は、LDAP接続にエラーがあることを意味しており、OIDオーセンティケータで詳細が指定されます(プロバイダ固有の設定)。
任意のユーザーをクリックし、対応するグループ・エントリを表示します。リストされるエントリにOimusersが含まれている必要があります。この検証に失敗した場合は、LDAPオーセンティケータのプロバイダ固有の詳細を確認してください。
