| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-03 |
|
前 |
次 |
この章では、Oracleバックエンド・ディレクトリと接続ディレクトリをリンクする同期プロファイルとコネクタについて説明します。内容は次のとおりです。
この項では、Oracleディレクトリの同期に必要なコンポーネントについて説明します。内容は次のとおりです。
Oracleバックエンド・ディレクトリと接続ディレクトリを同期化するため、Oracle Directory Integration Platformはコネクタと呼ばれるあらかじめパッケージされた接続ソリューションを使用します。このコネクタは最小でも、同期に必要な全設定情報を含む1つのディレクトリ統合プロファイルで構成されます。
Oracleバックエンド・ディレクトリと接続ディレクトリを同期化するとき、Oracle Directory Integration Platformは、DB、LDAP、タグ付きまたはLDIFのいずれかのインタフェースを使用します。接続ディレクトリがこれらのインタフェースの1つを使用するときにコネクタに必要なものは、同期させるためのディレクトリ統合プロファイルのみです。たとえば、Oracle Internet Directoryとともに提供されるOracle Directory Server Enterprise Editionコネクタは、LDAPインタフェースを使用して、Oracle Directory Server Enterprise Editionから変更を読み取ります。この変更は、Oracle Directory Server Enterprise Editionに固有の形式であり、Oracle Directory Server Enterprise Edition内でldapsearchを実行することによって判別できます。
接続ディレクトリでは、Oracle Directory Integration Platformによってサポートされているインタフェースの1つを使用できない場合、ディレクトリ統合プロファイルに加えてエージェントが必要です。エージェントは、Oracle Directory Integration Platformがサポートする書式の1つから、接続ディレクトリがサポートする書式に、データを変換します。Oracle Human Resourcesコネクタは一例です。これには、事前パッケージ済の統合プロファイルおよびOracle Human Resourcesエージェントの両方があります。エージェントは、Oracleバックエンド・ディレクトリとの通信に、Oracle Directory Integration Platformがサポートするタグ付きファイル形式を使用します。Oracle Human Resourcesシステムとの通信には、SQLを使用します(OCIインタフェース経由)。
ディレクトリ同期プロファイルと呼ばれる同期用のディレクトリ統合プロファイルには、次のような同期化に必要な設定情報がすべて含まれます。
同期の方向
一部の接続ディレクトリは、Oracleバックエンド・ディレクトリからのデータの受信のみを行います(つまり、エクスポート操作のみに関与します)。その他は、Oracleバックエンド・ディレクトリへのデータの供給のみを行います(つまり、インポート操作のみに関与します)。インポート操作およびエクスポート操作の両方に関与するものもあります。
プロファイルは、方向ごとに(つまり、接続ディレクトリからOracleバックエンド・ディレクトリへの情報用に1つ、Oracleバックエンド・ディレクトリから接続ディレクトリへの情報用に1つ)個別に使用されます。
インタフェースのタイプ
一部の接続ディレクトリは、Oracle Directory Integration Platformに組み込まれているインタフェースのいずれかでデータを受け取ることができます。LDAP、タグ付き、DB(読取り専用)、LDIFなどのインタフェースがあります。これらの接続ディレクトリについては、プロファイルに格納されている情報を使用してOracle Directory Synchronization Serviceが同期そのものを直接実行します。
ディレクトリ同期環境では、あるドメインの典型的なエントリ・セットを別のドメインに移動できます。同様に、ある属性のセットを別の属性のセットにマップすることができます。
マッピング・ルールは、接続ディレクトリとOracleバックエンド・ディレクトリ間の属性の変換を制御します。各コネクタでは、その同期プロファイルのorclodipAttributeMappingRules属性に一連のマッピング・ルールが格納されています。Oracle Directory Integration Platformはこれらのルールを使用し、ディレクトリからエクスポートする場合、および接続ディレクトリまたはファイルからインポートしたデータを変換する場合に、必要に応じて属性をマップします。Oracle Directory Integration Platformでは、変更をOracleバックエンド・ディレクトリにインポートする場合、マッピング・ルールに従って接続ディレクトリの変更レコードをLDAP変更レコードに変換します。同様に、エクスポート時は、コネクタがOracleバックエンド・ディレクトリでの変更内容を接続ディレクトリが理解できる形式に変換します。
接続ディレクトリの接続詳細
この詳細には、ホスト、ポート、接続モード(SSLまたは非SSL)などの接続ディレクトリについての情報や、接続ディレクトリの資格証明が含まれます。
その他の情報
コネクタによるOracleバックエンド・ディレクトリと接続ディレクトリの同期に必要なほとんどの情報は、同期プロファイルに格納されますが、コネクタによっては、さらに多くの情報が必要な場合があります。これは、操作によっては実行時に追加構成情報が必要となるためです。
追加のコネクタ構成情報は、任意の場所に任意の方法で格納できます。ただし、Oracle Directory Integration Platformでは、これをorclODIPAgentConfigInfoと呼ばれる属性として同期プロファイルに格納できます。これを使用するかどうかは任意であり、コネクタでこのような情報が必要ない場合は、この属性を空のままにします。
この構成情報は、コネクタまたは接続ディレクトリ(あるいはその両方)に関連付けることができます。Oracleバックエンド・ディレクトリおよびOracle Directory Integration Platformは、この情報を変更しません。コネクタの起動時に、Oracle Directory Integration Platformは、この属性の情報を一時ファイルとしてコネクタに提供します。
|
関連項目: ディレクトリ統合プロファイル内の属性のリストおよび説明は、『Oracle Identity Managementユーザー・リファレンス』の属性リファレンスに関する章を参照してください。 |
変更が行われたかどうかによって、次の方向で同期がとられます。
接続ディレクトリからOracleバックエンド・ディレクトリ
Oracleバックエンド・ディレクトリから接続ディレクトリ
両方向
データが流れる方向に関係なく、次のことを前提としています。
同期時に、一方のディレクトリに対する増分変更が他方のディレクトリに伝播されます。
同期の完了後、両方のディレクトリには同じ方法で情報が維持されています。
この項の内容は次のとおりです。
Oracleバックエンド・ディレクトリでは、ディレクトリ・オブジェクトに対する増分変更が保存される変更ログが管理されます。これには、変更ログ番号に基づいて連続的に変更が保存されます。
Oracleバックエンド・ディレクトリから接続ディレクトリへの同期は、この変更ログを活用します。このため、Oracle Directory Integration Platformの実行時には、変更ロギングが有効化されているデフォルト設定を使用してOracleバックエンド・ディレクトリを起動する必要があります。
Oracle Directory Synchronization Serviceは、同期プロファイルを処理するたびに、次のように動作します。
すべての変更が適用済である、最新の変更ログ番号を検索します。
その番号より新しい各変更ログ・エントリをチェックします。
プロファイル内のフィルタリング・ルールを使用して、接続ディレクトリと同期化する変更を選択します。
エントリに対してマッピング・ルールを適用し、接続ディレクトリ内で必要な変更を行います。
次に、その接続ディレクトリ内の適切なエントリまたは属性が更新されます。接続ディレクトリで、DB、LDAP、タグ付きまたはLDIFの各形式が直接使用されていない場合は、プロファイルに指定されているエージェントが起動されます。正常に使用された最終ログ番号がプロファイルに保存されます。
Oracleバックエンド・ディレクトリは、すべてのプロファイルが必要な変更ログを使用した後、変更ログをパージして、後続の同期の開始位置を示します。
|
注意: 同期されるエントリなど、同期プロファイルのすべての情報を記録するには、Oracle Enterprise Manager Fusion Middleware Controlを使用して、プロファイルのログ・レベルを「すべて」に設定するか、 |
接続ディレクトリで、DB、LDAP、タグ付きまたはLDIFの各形式が直接使用されている場合、そのエントリまたは属性への変更は、Oracle Directory Synchronization Serviceによって自動的に同期化されます。それ以外の場合、コネクタは同期プロファイル内にエージェントを持ち、エージェントがLDIFまたはタグ付き形式でファイルへの変更を書き込みます。次に、Oracle Directory Synchronization Serviceは、この接続ディレクトリ・データのファイルを使用して、Oracleバックエンド・ディレクトリを更新します。
一部の接続ディレクトリは、Oracleバックエンド・ディレクトリでサポートされているどのインタフェースを使用してもデータを受信できません。このタイプのディレクトリに対するプロファイルには、「エージェント」と呼ばれる、同期用の個別のプログラムを識別する属性が含まれています。エージェントは接続ディレクトリの固有な形式と同期データが入っているDB、LDAP、タグ付きまたはLDIFファイルとの間の変換を行います。プロファイル内で識別されているとおり、エージェントはOracle Directory Synchronization Serviceによって起動されます。
Oracleバックエンド・ディレクトリからこのタイプの接続ディレクトリへデータをエクスポートする場合、Oracle Directory Synchronization Serviceは、必要なファイルをタグ付き形式またはLDIF形式で作成します。次にエージェントは、そのファイルを読み込んで、データを受信する接続ディレクトリに適した形式に変換し、そのディレクトリにデータを格納します。
このタイプの接続ディレクトリからOracleバックエンド・ディレクトリへデータをインポートする場合、エージェントは必要なファイルをタグ付きまたはLDIF形式で作成します。次に、Oracle Directory Synchronization Serviceは、このファイル・データを使用して、Oracleバックエンド・ディレクトリを更新します。
