I ID仮想化のためのアダプタ構成

第8.3項「アイデンティティ・ストア・サービスの構成」で説明しているID仮想化機能では、分割プロファイルをサポートするために追加の構成がいくつか必要です。この付録では、分割プロファイルに使用されるアダプタの作成方法および管理方法について説明します。

この付録の内容は次のとおりです。

• 第I.1項「分割プロファイルについて」

• 第I.2項「分割プロファイルの構成」

• 第I.3項「結合ルールの削除」

• 第I.4項「結合アダプタの削除」

• 第I.5項「アダプタの可視性の変更」

• 第I.6項「Identity Virtualization Libraryに対するアクセス・ログの有効化」

I.1 分割プロファイルについて

ID仮想化機能を使用すると、OPSSで複数のLDAPディレクトリを問い合せることができます。たとえば、Oracle Internet DirectoryとMicrosoft Active Directory両方のデータを1つの問合せでフェッチできます。

ID仮想化では「分割プロファイル」のファイルがサポートされています。分割プロファイルでは、アプリケーションが、2つの異なるソースに格納されている単一IDの属性を使用します。たとえば、ある人間のユーザー名、パスワードおよび従業員IDがMicrosoft Active Directoryに格納されていて、その人間の従業員IDと業務上の役割がOracle Internet Directoryに格納されている場合です。

たとえば、WebCenterアプリケーションが、複数のソース・ディレクトリから単一IDの属性を取得する必要がある場合には、分割プロファイルを使用して、ID仮想化の結合機能を活用します。これらの結合では、標準的な結合アダプタが使用されます。詳細は、次を参照してください:

• 『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のOracle Virtual Directoryのアダプタの理解に関する項

• 『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』の結合ビュー・アダプタの理解に関する項

アダプタ構成はadapters.os_xmlに格納されていますが、ホスト、ポート、バックエンド・ディレクトリの資格証明など、接続に関する詳細はOPSSから取り込まれます。

I.2 分割プロファイルの構成

同じユーザーが両方のアイデンティティ・ストアに存在していて、それぞれのストアでユーザー属性が別々になっています。ユーザー・レコードを問い合せる場合には、両方のストアのデータが必要です。構成タスクは次のとおりです。

1. virtualizeプロパティを使用してアイデンティティ・ストア・サービスを構成し、複数のLDAPストアに対して問合せができるようにします。

   詳細は、第8.3項「アイデンティティ・ストア・サービスの構成」を参照してください。

2. WebLogic管理サーバーに接続してコマンドを実行し、アイデンティティ・ストアの結合アダプタを構成します。使用可能なWLSTコマンドの詳細は、『WebLogic Server WLSTコマンド・リファレンス』のLibrary Oracle Virtual Directory (LibOVD)コマンドに関する説明を参照してください。

   WLSTプロンプトを呼び出す方法の詳細は、『Oracle Fusion Middlewareの管理』のコマンドライン・ツールの使用の概要に関する説明を参照してください。

   情報の参照先

3. プライマリ・アイデンティティ・ストアに結合アダプタを作成します。

   createJoinAdapter(adapterName="Join Adapter Name",  root="Namespace", primaryAdapter="Primary adapter Name")
   

4. セカンダリ・ストアに結合ルールを追加します。

   addJoinRule(adapterName="Join Adapter Name", secondary="Secondary Adapter Name", condition="Join Condition")
   

   
   

   注意: セカンダリ・アイデンティティ・ストアが複数ある場合は、セカンダリ・ストアごとにaddJoinRuleコマンドを実行します。

   
   

5. modifyLDAPAdapterコマンドを実行します。

   modifyLDAPAdapter(adapterName="AuthenticatorName", attribute="Visible", value="Internal")
   

   
   

   注意: セカンダリ・アイデンティティ・ストアが複数ある場合は、セカンダリIDストアごとにmodifyLDAPAdapterコマンドを実行します。

   
   

例

この例では、同じユーザーが2つのストアに存在していて、最初のストアはMicrosoft Active Directory、2番目のストアはOracle Internet Directoryです。この例では、Microsoft Active Directoryがプライマリ・ストア、Oracle Internet Directoryがセカンダリ・ストアと想定しています。

注意: LDAP接続のパラメータを構成するときには、user.create.basesとgroup.create.basesがプライマリ・アダプタのネームスペースに対応している必要があります。パラメータの詳細は、第8.3.1項「構成内容」を参照してください。

認証プロバイダ1
認証プロバイダ名: Microsoft Active Directory (AD)
ユーザー・ベース: cn=users,dc=acme,dc=com
認証プロバイダ2
認証プロバイダ名: Oracle Internet Directory (OID)
ユーザー・ベース: cn=users,dc=oid,dc=com

拡張プロファイルを実装する手順は次のとおりです。

1. 結合アダプタを作成します。

   createJoinAdapter(adapterName="JoinAdapter1", root="dc=acme,dc=com", primaryAdapter="AD")
   

   ここに示したアダプタ名はあくまで例で、実際に使用するときには適切な名前を使用してください。

2. 結合ルールを指定します。

   addJoinRule(adapterName="JoinAdapter1", secondary="OID", condition="uid=cn")
   

   「uid=cn」は前述の例における結合条件で、Oracle Internet Directory(セカンダリ)のユーザーのuidの値がMicrosoft Active Directory(プライマリ)のユーザーのcnの値と一致した場合に属性が組み合されることを示しています。

   条件の左側の属性がセカンダリ・アダプタの属性で、右側の属性がプライマリ・アダプタの属性です。

3. アダプタを変更します。

   modifyLDAPAdapter(adapterName="OID", attribute="Visible", value="Internal")
   
   modifyLDAPAdapter(adapterName="AD", attribute="Visible", value="Internal")
   

   ここで使用されているアダプタ名は認証プロバイダの実際の名前です。プライマリとセカンダリすべてのパラメータにあるアダプタ名は、認証プロバイダ名も参照しています。結合アダプタ名には、どのような名前を選択してもかまいません。

4. WebLogic管理サーバーと管理対象サーバーを再起動します。

I.3 結合ルールの削除

removeJoinRuleコマンドを使用して、結合アダプタから結合ルールを削除します。

構文

removeJoinRule

adapterName ="アダプタ名"

secondary="結合ルールに関連付けられているセカンダリ・アダプタ"

例

removeJoinRule(adapterName="JoinAdapter1", secondary="OID")

I.4 結合アダプタの削除

deleteAdapterコマンドを使用して、結合アダプタを削除します。

構文

deleteAdapter(adapterName="名前")

例

deleteAdapter(adapterName="JoinAdapter1")

I.5 アダプタの可視性の変更

modifyLDAPAdapterコマンドを使用して、アダプタの可視性を変更します。例:

modifyLDAPAdapter(adapterName="AuthenticatorName", attribute="Visible", value="Yes")

I.6 Identity Virtualization Libraryに対するアクセス・ログの有効化

Identity Virtualization Libraryに対してアクセス・ログを有効化すると、Identity Virtualization Libraryを通過するすべてのリクエストおよびレスポンスを捕捉できます。これは、パフォーマンスの問題を選別する場合に大変便利です。

Identity Virtualization Libraryに対してアクセス・ログを有効化する手順は、次のとおりです。

1. デバッグ・モードで前に構成されたIdentity Virtualization Libraryログ出力をすべて削除します。実際のパフォーマンス数値を調べるには、これらのログ出力を削除する必要があります。

2. WebLogic ServerにNOTIFICATIONレベルでoracle.ods.virtualization.accesslogという名前のWebLogicログ出力を作成します。

3. ovd-access.logに類似したファイル名を指定してWebLogicログ・ハンドラを作成し、そのログ・ハンドラを手順2で作成したログ出力と関連付けます。

   このログ・ハンドラは、すべてのOracle Virtual Directoryアクセス・ログ・メッセージを別のファイルに記録します。

4. DOMAIN_HOME/config/fmwconfig/ovd/default/provider.os_xmlファイルのバックアップを作成し、次のXML断片を追加します(それがまだ存在していない場合)。

   <providers ..>
      ...
      <auditLogPublisher>
         <provider name="FMWAuditLogPublisher">
           ...
         </provider>
         <provider name="AccessLogPublisher">
    
   <configClass>oracle.ods.virtualization.config.AccessLogPublisherConfig</configClass>
            <properties>
               <property name="enabled" value="true"/>
            </properties>
         </provider>
      </auditLogPublisher>
      ...
   </providers>
   

5. WebLogic Serverの管理サーバーおよび管理対象サーバーを再起動します。

これで、Oracle Virtual Libraryによってovd-access.logファイルにアクセス・ログを生成できるようになります。