| Oracle® Fusion Middleware Oracle Identity Manager管理者ガイド 11g リリース2 (11.1.2.2.0) B69535-08 |
|
 前 |
 次 |
この章ではアクセス・リクエスト・カタログの概要を示し、アクセス・リクエスト・カタログの主要機能、利点およびユースケースについて説明します。次の項で構成されます。
アクセス・リクエスト・カタログは、ビジネス・ユーザーがロール、アプリケーション・インスタンスおよびアプリケーション内の追加アクセス(権限とも呼ばれる)へのアクセスをリクエストできる、簡単で直感的なWebベースのユーザー・インタフェースを提供します。
アクセス・リクエスト・カタログを使用すると、ビジネスでロール、アプリケーション・インスタンス、カタログに対する権限を分類および公開し、拡張可能なメタデータを使用して追加のビジネス・コンテキストを提供できます。ユーザーは、直感的なユーザー操作性を備えたカタログ検索およびショッピング・カートを使用して、使い慣れたリクエスト・アクセスを自分で使用します。
この項では、アクセス・リクエスト・カタログの概要を示します。次の項で構成されます。
企業は、運営効率の改善およびITコスト削減の一環として、エンド・ユーザーのアイデンティティ・ライフサイクルとアクセス権限の管理プロセスを簡素化し、効率化することを試みてきました。これらの目的を達成するために、企業はエンド・ユーザーに各自のIDとアクセスの管理を可能にする様々なソリューションの導入を試みてきました。ただし、その過程で次のようないくつかの課題に直面しました。
ITの概念と用語を理解し、アクセスをリクエストするITプロセスを使用するために、エンド・ユーザーは研修を受ける必要があります。
新しい従業員が入社すると研修サイクルを繰り返す必要があるため、生産性が低下し、ITコストが増加します。
エンド・ユーザーは、リクエストが適時に満たされず、リクエストのステータスがわからない場合、IT支援を受ける必要があります。
通常、アプリケーション内の追加アクセスは、IT管理者またはアプリケーション管理者によって許可される必要があります。
そのため、ビジネス・ユーザーはITに依存することを強制される一方、利用可能なアクセスの表示が制限され、生産性が制限されます。
アクセス・リクエスト・カタログは、ユーザーが様々なタイプのアクセスを検索および参照し、職務を遂行するために必要なアクセスを選択できる使いやすいWebインタフェースを提供することによってこれらの課題に対処します。これには、次の利点があります。
エンド・ユーザーは、アクセスをリクエストするために技術的な専門用語を覚えたり、ITプロセスに従う必要がありません。カタログでは、よく知られている使いやすい検索とショッピング・カートのパターンによってユーザーにアクセス・リクエスト・プロセスを案内します。
エンド・ユーザーは、特定のアプリケーション・インスタンス、ロールまたは権限の名前を知る必要がありません。カタログには、拡張可能なメタデータ・モデルとタグ付け機能が用意されています。これにより、ビジネス・ユーザーは、特定のアクセスの検索に使用される代替語を指定できます。エンド・ユーザーは必要なアクセスを検索するためのキーワードとワイルドカードの組合せを使用してカタログを検索できます。
この項では、主要なアクセス・リクエスト・カタログの概念について説明します。
カタログ
カタログ(リクエスト・カタログとも呼ばれる)は、一般に使用されるショッピング・カートのパラダイムに従って、ロール、権限およびアプリケーション・インスタンスをリクエストする一貫性のある直感的なリクエスト操作を顧客に提供します。カタログは、独自のメタデータ・セットを含む構造化されたコモディティです。
カタログ項目
カタログ項目は、ユーザーが自身または他のユーザーのためにリクエストできる項目(ロール、権限またはアプリケーション・インスタンス)です。
カテゴリ
カタログ項目カテゴリは、リクエスト・カタログを編成するための方法です。各カタログ項目は1つのカテゴリのみに関連付けられます。カタログ項目ナビゲーション・カテゴリは、カタログ項目の属性です。カタログ管理者はカタログ項目を編集し、カテゴリの値を指定できます。
|
注意: カタログ項目では「カテゴリ」フィールドを空欄にできません。したがって、カテゴリに対する値が存在することを確認する必要があります。 |
アプリケーション・インスタンス
アプリケーション・インスタンスは、特定のターゲットのアカウントを表します。ユーザーがアプリケーション・インスタンスをリクエストする場合、ユーザーは特定のターゲットのアカウントをリクエストしています。アプリケーション・インスタンスは、コネクタを介して履行が自動化されている場合は接続でき、履行が手動の場合は切断できます。アプリケーション・インスタンスには権限を関連付けることができます。
エンタープライズ・ロール
エンタープライズ・ロールは顧客によって定義されます。エンタープライズ・ロールにはポリシーが関連付けられます。ユーザーは、カタログを介してエンタープライズ・ロールをリクエストできます。ロールが付与されると、アプリケーション・インスタンスまたは権限がユーザーにプロビジョニングされます。
権限
権限は、アプリケーションのユーザーがどの操作を実行できるかを制御するアプリケーションの権限です。
カタログ・ユーザー定義フィールド
カタログ・ユーザー定義フィールドは、顧客によってカタログ・エンティティに追加される属性です。
カタログ項目メタデータ
カタログ項目メタデータは、カタログ項目属性の値を意味します。メタデータはカタログ管理者が項目ごとに管理するか、一括して移入できます。
タグ
タグは検索キーワードです。ユーザーがアクセス・リクエスト・カタログを検索する場合、検索はタグに対して実行されます。タグには次の3つのタイプがあります。
自動生成: カタログ同期化プロセスにより、項目タイプ、項目名および項目表示名を使用してカタログ項目が自動的にタグ付けされます。
ユーザー定義: ユーザー定義タグは、カタログ管理者によって入力される追加のキーワードです。
任意のタグ: メタデータの定義時にユーザーがメタデータを検索可能としてマークした場合、そのメタデータもタグの一部になります。
カタログ管理者
カタログ管理者はグローバル・セキュリティ・ロールです。カタログはこのロールのメンバーによってのみ管理されます。
ショッピング・カート
ショッピング・カートは、リクエストされているカタログ項目のコレクションを意味します。ユーザーが任意の指定時間にアクティブ化できるカートは1つのみであり、カートにはロール、アプリケーション・インスタンス、権限またはこの3つの任意の組合せを含めることができます。
カタログ同期化
カタログ同期化とは、ロール、アプリケーション・インスタンスおよび権限をカタログにロードするプロセスのことです。
この項のユースケースでは、アクセス・リクエスト・カタログによって、エンド・ユーザーが職務の遂行に必要なロール、アプリケーション・インスタンスおよび権限をどのようにリクエストしやすくなるかについて説明します。
アクセスのリクエスト
MyCorpのマネージャのMaryは、自分自身と直属の部下のためにMyCorp取引アプリケーションへのアクセスをリクエストしようとしています。そのために、キーワード取引を使用してカタログを検索します。カタログによって、Maryのキーワードに一致し、リクエストが許可されるすべての項目が返されます。Maryは、カテゴリのリストからアプリケーションを選択して検索結果をフィルタリングします。カタログによって、削減された検索結果のセットが返されます。MaryはMyCorp取引アプリケーションをカートに追加し、チェックアウトします。彼女は自分自身と直属の部下をリクエストに追加し、リクエストを送信します。
カタログの管理
カタログ管理者のJimは、新しいアプリケーション・インスタンスとその権限をオンボードし、属性を追加して、カタログ項目の検索可能性を向上させたいと考えています。カタログ同期化ジョブを実行して新しいアプリケーション・インスタンスとその権限を収集します。次に、属性を追加してカタログ・メタデータを拡張し、特定の属性を検索可能に指定します。次に、メタデータとともにカタログをロードし、新しい属性にタグを付けます。特定のカタログ項目について、カタログを検索し、カタログ項目をインプレース編集します。
|
注意: カタログ管理者は、カタログ同期化ジョブを実行するためにはシステム構成管理者管理ロールが必要です。 |
これらのユースケースは、アクセス・リクエスト・カタログを使用してアプリケーションおよびアプリケーションとロール内の権限をカタログで表示可能にし、ユーザーが簡単なWebベースのインタフェースを介してそれらへのアクセスをリクエストできるようにする一般的な例です。
この項では、アクセス・リクエスト・カタログの機能と利点およびそのアーキテクチャについて説明します。内容は次のとおりです。
アクセス・リクエスト・カタログは、Oracle Identity Managerでリクエストできる、検索可能な分類されたエンティティのコレクションです。認証されたユーザーは、カタログにアクセスして1つ以上のキーワードと検索演算子を使用してカタログを検索し、ショッピング・カートに1つ以上のカタログ項目を追加して自分自身と他のユーザーのためにリクエストを送信できます。
アクセス・リクエスト・カタログの主要機能は次のとおりです。
拡張可能なカタログ・スキーマにより、管理者は属性の追加や
属性がレンダリングされる方法の指定を簡単なブラウザベースのUIを使用して行うことができる
ロール、アプリケーションおよび権限の自動収集
CSVファイルを使用したカタログ・メタデータの自動ロード
複雑な検索演算子のサポートを含むキーワードを使用した強力な検索
顧客の選択に基づいたカタログ編成を可能にする柔軟な分類モデル
リクエスタのビューア権限に基づいたカタログ検索結果の保護
ワークフローで使用するWebサービスを介してカタログ項目データを利用可能
図17-1に、アクセス・リクエスト・カタログのコンポーネントおよびOracle Identity Managerの他のコンポーネントとの関係を示します。アクセス・リクエスト・カタログは、次のコンポーネントで構成されています。
カタログ表
カタログ・ローダー
カタログ・メタデータ
アイデンティティ・セルフ・サービス・コンソールのカタログ・ユーザー・インタフェース
この項では、アクセス・リクエスト・カタログの基本的な管理について説明します。内容は次のとおりです。
アクセス・リクエスト・カタログは、エンド・ユーザーが職務の遂行に役立つロールや権限へのアクセスをリクエストするために使用します。そのため、カタログが最新であり、豊富なメタデータを含み、ユーザーが適切なアクセスを見つけることができるように編成されることが非常に重要です。これを実現するには、アクセス・リクエスト・カタログを管理するための計画を立てる必要があります。実現のための項では、カタログを管理するために従う必要がある手順を示します。それらの手順を実行するには、特定の前提条件があります。次のものがあります。
カタログ管理者は、システム管理者およびシステム・コンフィギュレータのロールに類似した管理ロールです。Oracle Identity Manager 11gリリース2 (11.1.2.2.0)では、このロールのメンバー(およびシステム管理者ロールのメンバー)は次のアクションを実行できます。
カタログのロード
カタログ項目の管理
リクエスト・プロファイルの管理
このロールはグローバル・ロールであり、組織によって範囲指定されません。
カタログ管理者を付与するには:
Oracle Identity Self Serviceにログインします。
「組織」をクリックします。
最上位組織を検索して開きます。
「管理ロール」タブをクリックします。
カタログ・システム管理者管理ロールを選択して、ツールバーの「割当て」をクリックします。
割り当てるユーザーを検索して選択し、「選択した項目の追加」をクリックします。
「追加」をクリックしてユーザーを追加します。
カタログ・システム管理者ロールの新しいメンバーは、セルフ・サービス・コンソールにログインしてカタログの管理を開始できます。
豊富なカタログ・メタデータは、次の理由により重要です。
エンド・ユーザーは、職務の遂行に必要なものへのアクセスにのみ関心があります。カタログを検索および参照する場合、示される情報はビジネスに関連するものである必要があります。カタログがスパース(最小の属性)である場合、ユーザーには選択すべきアクセスがわかりません。カタログが豊富であるが技術的なものである場合、ユーザーは混乱し、カタログを使用しなくなってしまいます。
リクエスタおよび承認者には、リクエストの送信またはリクエストの承認を行うためにできるだけ多くのコンテキスト情報が必要です。承認者がリクエストを確認するとき、リクエスト対象、理由およびリクエストを承認した場合の影響を理解するのに、カタログ項目の詳細が役立ちます。
承認ワークフローでは、ルーティング・ルールを使用して承認者が正しく決定されます。承認者解決を実行するには、これらのルールに、リクエストされた項目に関する追加コンテキストへのアクセスが必要です。カタログ情報がスパースである場合、ルーティング・ルールには正しい承認者の決定に使用できる十分なデータがありません。
これらの課題に対処するために、カタログには、アクセス(カタログ項目)を正しいビジネス・コンテキストに配置するのに役立つ追加のメタデータが含まれている必要があります。
カタログに1つ以上の属性を追加するには:
Oracle Identity System Administrationコンソールにログインします。
サンドボックスを作成してアクティブ化します。『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のサンドボックスの管理に関する説明を参照してください。
「システム・エンティティ」で、「カタログ」をクリックします。
カスタム新規属性をクリックして属性を追加します。
|
関連項目: フォーム・デザイナとその機能の詳細は、プロセス・フォームの開発に関する説明を、サンドボックスとその機能の詳細は、サンドボックスの管理に関する説明を参照してください。 |
事前定義された属性タイプの1つから選択し、「OK」をクリックします。
必要な情報を入力し、「保存して閉じる」をクリックします。
必要に応じて属性を追加します。
カタログを拡張する最初の手順が完了しました。
カタログ検索結果またはカタログ項目詳細UIを変更しない場合は、変更の確認を依頼して変更内容が承認された後、サンドボックスをエクスポートして公開します。サンドボックスで行った変更をすべて保管する場合は、サンドボックスをエクスポートしてください。
カタログ検索結果およびカタログ項目詳細UIを変更する場合は、続行します。
アイデンティティ・コンソールからログアウトし、システム管理者ロールのメンバーとしてログインします。
新しいサンドボックスを作成してアクティブ化します。
第8.5項「カスタム属性の追加」を参照して、カタログ詳細ページに属性を追加します。
サンドボックスのエクスポートと公開を実行します。
この項では、カタログ管理者によって実行される一般的なタスクについて説明します。次のタスクを説明します。
ユーザーがアクセスを検索およびリクエストできるように、アクセス・リクエスト・カタログにエンタープライズ・ロール、アプリケーション・インスタンスおよび権限を移入する必要があります。最小の管理者操作でエンタープライズ・ロール、アプリケーション・インスタンスおよび権限をカタログに組み込むことができるプロセスを開発する必要があります。この項では、ロール、アプリケーション・インスタンスおよび権限をカタログに組み込むための様々な手順について説明します。
次の組込みチェックリスト項目を使用して、ロール、アプリケーション・インスタンスおよび権限をアクセス・リクエスト・カタログに組み込むための高レベルのプロセスを開発します。後で、ロール、アプリケーション・インスタンスおよび権限の個々のチェックリストに従うことができます。
カタログ管理者を指定します。
カタログ属性を指定および拡張します。
カタログ検索結果UIをカスタマイズします。
カタログ項目詳細UIをカスタマイズします。
ナビゲーション・カテゴリを指定します。
ロールおよびアプリケーションの所有者、認証者、承認者を指定します。
カタログ項目/用語集の真のソースを指定します。
カタログ項目/用語集を生成およびロードする手順を作成します。
タグの用語集およびタグを維持するプロセスを作成します。
エンタープライズ・ロールを組み込む手順はありません。OIMロール以外のロール・カテゴリに属するロールは、作成されたときに直接カタログに公開されます。
ユーザーがロールを編集し、そのカテゴリを「OIMロール」からそれ以外のカテゴリに変更した場合は、カタログ同期化というスケジュール済ジョブを実行して、そのロールをカタログ内で検索可能にする必要があります。
エンド・ユーザーがアプリケーション・インスタンスをリクエストできるようにするには、追加構成を行う必要があります。次のチェックリスト項目を使用して、アプリケーション・インスタンスの組込みに必要な構成を実行したことを確認します。
コネクタが(新しいターゲットに対して)インストールされていることを確認します。
Oracle Identity Managerをリリース9.1.xや11gリリース1から11gリリース2 (11.1.2.2.0)にアップグレードする場合は、必須のアップグレード後手順について、『Oracle Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド』のOracle Identity Manager 11gリリース1 (11.1.1.x.x)環境のアップグレードに関する項を参照してください。
プロセス・フォームにITリソース・フィールドがあることを確認します。
フォーム・フィールド・プロパティを正しく定義したことを確認します。
アプリケーション・インスタンスを適切な表示名と説明で作成したことを確認します。
アカウント・リクエストに必要なフォームを作成したことを確認します。
アプリケーション・インスタンスを関連する組織に公開したことを確認します。
接続なしアプリケーションに対して、アプリケーション・インスタンスを作成したことを確認します。手順の詳細は、10.2.1項「接続なしアプリケーション・インスタンスの作成」を参照してください。
チェックリストの手順を確認したら、次の手順に従ってアプリケーション・インスタンスを組み込みます。
アプリケーション・インスタンスを組み込む手順
システム管理コンソールにシステム管理者ロールのメンバーとしてログインします。
「スケジューラ」をクリックします。
カタログ同期化ジョブを検索します。
アプリケーション・インスタンスの処理パラメータをチェックします。
パラメータの「モード」を「増分」に設定します。
次のチェックリスト項目を使用して、権限の組込みに必要な構成を実行したことを確認します。
|
注意: カタログ同期化ジョブを実行する前にジョブ権限リスト・ローダーを実行する必要があります。 |
コネクタが(新しいターゲットに対して)インストールされていることを確認します。
Oracle Identity Managerをリリース9.1.xや11gリリース1から11gリリース2 (11.1.2.2.0)にアップグレードする場合は、必須のアップグレード後手順について、『Oracle Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド』のOracle Identity Manager 11gリリース1 (11.1.1.x.x)環境のアップグレードに関する項を参照してください。
プロセス・フォームにITリソース・フィールドがあることを確認します。
フォーム・フィールド・プロパティを正しく定義したことを確認します。
親フォームと子フォームを正しく関連付けたことを確認します。
ICFベースのターゲットに対して共通参照リコンシリエーション・ジョブを実行したことを確認します。
非ICFベースのコネクタに対してコネクタ固有の参照リコンシリエーション・ジョブを実行したことを確認します。
参照リコンシリエーション・ジョブで指定されたリソース・オブジェクトとITリソース・インスタンスに対応して、アプリケーション・インスタンスを正しく作成したことを確認します。
権限を関連する組織に公開したことを確認します。
データをent_list表に移入できるように権限リスト・ローダー・ジョブを実行したことを確認します。
チェックリストの手順を確認したら、次の手順に従って権限を組み込みます。
権限を組み込む手順
Oracle Identity System Administrationコンソールにシステム管理者ロールのメンバーとしてログインします。
「スケジューラ」をクリックします。
カタログ同期化ジョブを検索します。
権限の処理パラメータをチェックします。
パラメータの「モード」を「増分」に設定します。
|
注意:
|
ブートストラップとは、カタログに最初に移入するプロセスのことです。多数のエンティティをブートストラップした後、ベース表の統計を収集できます。この項では、Oracle Identity Manager 11gリリース2 (11.1.2.2.0)をインストールした後のカタログのブートストラップについて説明します。Oracle Identity Manager 9.1.xまたは11gリリース1からアップグレードする場合は、『Oracle Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド』の「Oracle Identity Manager 11gリリース(11.1.1.5.0)環境のアップグレード」を参照してください。
前提条件
第17.3.1.2項「カタログ・メタデータの定義」の手順に従い、カタログ・システム・エンティティを使用してカタログを拡張しておきます。
カタログにユーザー定義フィールドを追加するときに必要なUIカスタマイズ手順を実行しておきます。
ロールによってカタログをブートストラップするには2つの方法があります。
Oracle Identity Analyticsカスタマを使用していない場合のロールによるカタログのブートストラップ
Oracle Identity Manager 11g R2では、ロールは、作成後にOIMロール・カテゴリ以外のロール・カテゴリが割り当てられると、即座にカタログに公開されます。ロール・カテゴリに変更を加えた場合、またはエンタープライズ・ロールとカタログを同期化する必要がある場合は、次の手順に従います。
ロールによってカタログをブートストラップするには:
Oracle Identity System Administrationコンソールにシステム管理者ロールのメンバーとしてログインします。
「スケジューラ」をクリックします。
カタログ同期化ジョブを検索します。
ロールの処理パラメータをチェックします。
パラメータの「モード」を「完全」に設定します。
|
注意: ジョブを初めて実行する際に「モード」が「完全」に設定されている場合、「更新日」パラメータで値を指定しないでください。 |
「即時実行」をクリックしてジョブを即座に実行するか、ジョブを後で実行する日時を指定します。
エンタープライズ・ロールのライフサイクルを管理するためにOracle Identity Analyticsを使用している場合のロールによるカタログのブートストラップ
アプリケーション・インスタンスによってカタログをブートストラップするには、追加の手順を実行する必要があります。17.3.2.1.3項「アプリケーション・インスタンスの組込み」にあるチェックリストを使用して、前提条件を満たしていることを確認します。
前提条件を満たしたら、次の手順に従ってアプリケーション・インスタンスを組み込みます。
Oracleアイデンティティ・システム管理コンソールにシステム管理者ロールのメンバーとしてログインします。
「スケジューラ」をクリックします。
カタログ同期化ジョブを検索します。
アプリケーション・インスタンスの処理パラメータをチェックします。
パラメータの「モード」を「完全」に設定します。
|
注意: ジョブを初めて実行する際に「モード」が「完全」に設定されている場合、「更新日」パラメータで値を指定しないでください。 |
「即時実行」をクリックしてジョブを即座に実行するか、ジョブを後で実行する日時を指定します。
権限によってカタログをブートストラップするには、追加の手順を実行する必要があります。17.3.2.1.4項「権限の組込み」にあるチェックリストを使用して、前提条件を満たしていることを確認します。
前提条件を満たしたら、次の手順に従って権限を組み込みます。
Oracle Identity System Administrationコンソールにシステム管理者ロールのメンバーとしてログインします。
「スケジューラ」をクリックします。
カタログ同期化ジョブを検索します。
権限の処理パラメータをチェックします。
パラメータの「モード」を「完全」に設定します。
|
注意: ジョブを初めて実行する際に「モード」が「完全」に設定されている場合、「更新日」パラメータで値を指定しないでください。 |
「即時実行」をクリックしてジョブを即座に実行するか、ジョブを後で実行する日時を指定します。
ロール、アプリケーション・インスタンスおよび権限の同期化プロセスを自動化するために、次の方法でカタログ同期化ジョブを構成できます。
Oracle Identity System Administrationコンソールにシステム管理者ロールのメンバーとしてログインします。
「スケジューラ」をクリックします。
カタログ同期化ジョブを検索します。
ロールの処理、アプリケーション・インスタンスの処理および権限の処理パラメータをチェックします。
パラメータの「モード」を「増分」に設定します。
ジョブを後で実行する日時を指定します。
ジョブの頻度を5分ごとに実行されるように設定します。
カタログの拡充は、情報がエンド・ユーザーに表示されるようにアクセス・リクエスト・カタログにデータを移入するプロセスを示します。追加のデータは、エンド・ユーザーがカタログ項目に関連付けられたビジネス・コンテキストを理解するのに役立ちます。追加のデータを承認ワークフローの一部として利用して、カタログ項目に関するデータに基づいたインテリジェント・ルーティング・デシジョンをワークフローで行うこともできます。
カタログを拡充するには次の2つの方法があります。
前提条件
第17.3.1.2項「カタログ・メタデータの定義」の手順に従い、カタログ・システム・エンティティを使用してカタログを拡張しておきます。
カタログにユーザー定義フィールドを追加するときに必要なUIカスタマイズを追加しておきます。ユーザー定義フィールドを追加しUIをカスタマイズして、ユーザー定義フィールドをUIで表示する方法の詳細は、第8章「カスタム属性の構成」を参照してください。
17.3.1.1項「カタログ管理者の設定」に示されているように、カタログ管理者ロールを作成し、ユーザーを割り当てておきます。
Oracle Identity Managerセルフ・サービス・コンソールを使用してオンラインでカタログ項目を編集するには:
|
注意: 名前、表示名および説明はカタログ画面で編集できません。これらはベース・レベルの属性であり、カタログUIから編集できません。カタログ項目を編集する際、値リスト(LOV)・タイプのフィールドでは、関連付けられているリストから値を選択および指定することをお薦めします(このフィールドに値を直接入力しないようにしてください)。 |
Oracle Identity Managerセルフ・サービス・コンソールにカタログ管理者ロールのメンバーとしてログインします。
「カタログ」をクリックしてカタログにアクセスします。
1つ以上のキーワードを入力し、「検索」をクリックします。
「検索の絞込み」を使用して、編集するカタログ項目を検索します。
編集するカタログ項目を選択します。
「詳細情報」セクションで、「カタログ項目」を編集して「適用」をクリックします。確認メッセージを確認します。
カタログ管理者はOracle Identity Managerセルフ・サービス・コンソールの堅牢なカタログ項目編集機能を使用できますが、データを外部ソースから一括してロードする必要があるシナリオがあります。一括更新の例は、次のとおりです。
MyCorpは、IT CMDBシステムまたは企業資産管理システムからユーザーに資産情報を提供します。CMDBまたはAMSシステムは定期的に更新されるため、情報を手動で入力することはできません。このようなシナリオでは、MyCorpにはカタログを一括して更新する方法が必要です。
MyCorpは、Oracle Identity Manager 11g R2を導入する前は自社製のアクセス・リクエスト・アプリケーションを使用していました。このアプリケーションには、用語集およびロール、アプリケーション・インスタンス、権限に関するその他の関連情報が含まれています。Oracle Identity Manager 11g R2への移行の一環として、MyCorpのカタログ管理者はカタログ項目情報をレガシー・システムから移行しようとしています。
次の手順に従って外部ソースからカタログにデータをロードします。
ロードするデータをカンマ区切り値形式ファイルにエクスポートします。
ファイルの最初の行にカタログ属性名が含まれていることを確認します。
Oracle Identity Managerがデプロイされているサーバーからアクセス可能なファイル・システムにファイルを移行します。
Oracle Identity System Administrationコンソールにシステム管理者ロールまたはシステム・コンフィギュレータ・ロールのメンバーとしてログインします。
「スケジューラ」をクリックします。
カタログ同期化ジョブを検索します。
ファイルのフルパスをパラメータ・ファイル・パスに入力します。
パラメータの「モード」の値を「メタデータ」に設定します。表17-1は、パラメータ詳細例を示しています。
「即時実行」をクリックしてジョブを即座に実行するか、日付を選択し、「適用」をクリックして後でジョブを実行します。
この項の項目は次のとおりです。
ロール・カタログ項目を削除するには:
Oracle Identity Self Serviceにログインします。
削除するロールを検索し、ロールを削除します。
関連付けられたカタログ項目はソフト削除とマークされ、カタログに表示されません。
多数のロールを削除する場合は、APIを使用してロールを削除します。データベース技術を使用してロールを削除することはお薦めしません。
アプリケーション・インスタンスは、ほとんどすべてのユースケースで、ターゲット・システム(エンドポイントと呼ばれる場合がある)およびターゲット・システムのアカウントを表します。アプリケーション・インスタンスを削除すると、ターゲット・システムはOracle Identity Managerから実質的に廃止されます。デプロイメントの規模およびターゲット・システムにプロビジョニングされたアカウントの数によっては、アプリケーション・インスタンスの削除はエンド・ユーザーとそのアクセスに大きな影響を及ぼすことがあります。
アプリケーション・インスタンス・カタログ項目を削除するには:
Oracle Identity System Administrationにログインします。
「アプリケーション・インスタンス」をクリックします。
アプリケーション・インスタンスを検索します。
1つ以上のアプリケーション・インスタンスを選択します。削除および確認を行います。
「スケジューラ」をクリックします。
カタログ同期化ジョブを検索します。
「モード」を「増分」に設定します。
「即時実行」をクリックしてジョブを即座に実行するか、特定の時間に実行されるように設定します。
アプリケーション・インスタンスの削除の詳細は、「アプリケーション・インスタンスの削除」を参照してください。
権限カタログ項目を削除するには:
権限を削除するには、Oracle Identity System Administrationコンソールにログインします。
「参照」をクリックします。
「コード」列に、権限を含む参照定義の名前を入力します。参照定義の名前を見つけるには、コネクタのドキュメントを参照してください。
1つ以上の権限値を削除します。
「スケジューラ」をクリックします。
「権限リスト・ロード」ジョブを検索します。
「即時実行」をクリックします。
カタログ同期化ジョブを検索します。
「モード」を「増分」に設定します。
「即時実行」をクリックしてジョブを即座に実行するか、特定の時間に実行されるように設定します。
カタログ監査では、アクセス・リクエスト・カタログ内の変更のフットプリントを維持します。カタログ監査を有効にすると、UIからアクセス・リクエスト・カタログに変更を加えたユーザーと、その変更の日時および内容を追跡できます。
カタログ監査では、アクセス・リクエスト・カタログ内での次に示す変更のフットプリントを保管します。
カタログUDFの値の変更。
カタログUIまたはその他のカスタムUIから変更されたカタログ項目属性の値。
次に、統合されたカタログ属性のリストを示します。これらの属性は、カタログ項目の更新時に監査に含まれます。
カテゴリ、監査目的、承認者ユーザー、承認者ロール、履行ユーザー、履行ロール、証明者ユーザー、証明者ロール、項目のリスク、証明可能
|
注意: 監査は、カタログUIから変更できるエンティティに対してのみ実施されます。同期によってカタログ内で変更されるエンティティには、監査は行われません。また、ユーザー定義タグに対する監査はサポートされていません。 |
カタログ監査を構成するには:
Oracle Identity System Administrationにログインします。
「システム管理」の下で、「システム構成」をクリックします。
キーワードに「XL.CatalogAuditDataCollection」を指定して、「カタログ監査データ収集」システム・プロパティを検索します。このプロパティのデフォルト値はnoneです。この値は、カタログ監査の無効化を指定しています。
「XL.CatalogAuditDataCollection」システム・プロパティの値をcatalogに設定します。これにより、カタログ監査が有効になります。
「保存」をクリックします。
カタログ監査を有効にすると、アクセス・リクエスト・カタログ内の変更が監査されます。アクセス・リクエスト・カタログ内の変更(ロールのリスク・レベルの変更など)の場合、変更のフットプリントは、監査メッセージ発行タスク・スケジュール済ジョブを実行するデータベースのCPA_CATALOG表とCPA_CATALOG_FIELDS表に格納されます。このスケジュール済ジョブの詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』の事前定義済のスケジュール済タスクに関する項を参照してください。
リクエスタ、承認者および証明者が権限の階層属性を表示できるようにすると、カタログ詳細の画面で権限(階層属性)の追加詳細を確認できるようになります。権限の追加詳細は、技術用語集と呼ばれます。技術用語集は、リスト・ビューで表示されます。このビューの最上部にはナビゲーション・パスを示すブレッドクラムが表示されます。カタログ詳細の画面に追加詳細を表示する方法は、『Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイド』の権限の階層属性の表示に関する項を参照してください。
追加詳細または階層属性は、読取り専用の情報です。この情報は、Oracle Identity ManagerでシードされるXMLの形式で提供する必要があります。技術用語集は、データベースで挿入および置換されます。次に、階層属性のXMLコード例を示します。
<oim>
<applicationInstances>
<applicationInstance>SampleEBS</applicationInstance><!-- Application Name for which entitlements are seeded-->
</applicationInstances>
<attributes>
<attribute name="Responsibility Name"><!-- Label name of the field which is marked Entitlement field in Child form-->
<entitlementValues>
<entitlementValue><!-- Below is the Hierarchical data XML for Entitlement and Entitlement Display Name is used to denote entitlement -->
<value>Payables Menu</value>
<attributes>
<attribute name="Menu">
<entitlementValues>
<entitlementValue>
<value>ALR_OAM_NAV_GUI_USER_NAME</value>
<description>Alerts Manager View</description>
<attributes>
<attribute name="Function Code">
<entitlementValues>
<entitlementValue>
<value>ALR_OBJ_ACTIVATE_ACCT</value>
<description>Create, Activate, Deactive User Account</description>
</entitlementValue>
<entitlementValue>
<value>ALR_OBJ_EDIT_FORM</value>
</entitlementValue>
<entitlementValue>
<value>ALR_OBJ_VIEW_PERSON</value>
</entitlementValue>
</entitlementValues>
</attribute>
</attributes>
</entitlementValue>
<entitlementValue>
<value>EMPLOYEE_W2_MENU</value>
<description>Alerts Manager View</description>
<attributes>
<attribute name="Function Code">
<entitlementValues>
<entitlementValue>
<value>Employee_OBJ_ACTIVATE_ACCT</value>
<description>Create, Activate, Deactive User Account</description>
</entitlementValue>
<entitlementValue>
<value>Employee_OBJ_EDIT_FORM</value>
</entitlementValue>
<entitlementValue>
<value>Employee_OBJ_VIEW_PERSON</value>
</entitlementValue>
</entitlementValues>
</attribute>
</attributes>
</entitlementValue>
<entitlementValue>
<value>VISION_OAM_NAV_GUI</value>
<description>Alerts Manager View</description>
<attributes>
</attributes>
</entitlementValue>
</entitlementValues>
</attribute>
</attributes>
</entitlementValue>
</entitlementValues>
</attribute>
</attributes>
</oim>
Oracle Databaseでは階層データの格納に、RDBMS機能(Securefile LOBやOracle XML DBなど)が使用されます。Securefileは、新しい再アーキテクチャであり、完全に新規のディスク・フォーマット、ネットワーク・プロトコル、領域管理、REDOおよびUNDOフォーマット、バッファ・キャッシュ、およびインテリジェントI/Oサブシステムという特徴を備えています。これにより、Oracle Database内に存在する非構造化データに対して、大幅なパフォーマンスの向上と記憶域の最適化が実現されます(LOB記憶域構造と比較した場合)。Oracle XML DBは、高性能なネイティブXML記憶域と取得テクノロジを提供します。これにより、W3C XMLデータ・モデルをOracle Databaseに取り込んで、XMLのナビゲートおよび問合せの新しい標準アクセス方式が提供されます。さらに、リレーショナル・データベース・テクノロジとXMLの利点を同時に活用できるようになります
アクセス・リクエスト・カタログ内の権限の追加詳細を表示できるようにするには:
Oracle Identity Managerで追加階層データをシードします。これを行うには、権限に関する追加詳細をすべて含むXSDごとに1つのXMLファイルを作成します。XSDは、データベースにXMLスキーマを登録するために使用します。XMLスキーマの登録に使用するXSD構造の詳細は、付録D「XMLスキーマの登録用XSD」を参照してください。
XMLファイルをOracle Identity Managerサーバーのディレクトリに格納します。このディレクトリに対する読取りおよび書込み権限が必要です。
カタログ同期化ジョブ・スケジュール済ジョブで技術用語集の詳細を指定します。これを行うには、次のようにします。
Oracle Identity System Administrationにログインします。
「システム管理」で「スケジューラ」をクリックします。
カタログ同期化ジョブ・スケジュール済ジョブを検索して開きます。
「パラメータ」セクションの「モード」フィールドに、Technical Glossaryと入力します。
「ファイル・パス」フィールドに、XMLファイルのディレクトリ・パスを入力します。
「適用」をクリックします。
カタログ同期化ジョブ・スケジュール済ジョブを実行すると、技術用語集の詳細という新しいリンクが、権限のカタログ詳細リンクの直前に表示されます。このリンクをクリックすると、別のタブが開いて技術用語集の追加情報が表示されます。XMLファイルは処理後にディレクトリから削除され、ファイル名にタイム・スタンプが追加された状態でアーカイブ・ディレクトリに移動されます。
失敗したレコードは、xmlprocessedlogsディレクトリにあるファイルにログ記録されます。このログ・ファイルには、XMLファイルの名前にタイム・スタンプが付加された名前が付けられます。
アクセス・リクエスト・カタログでは、Oracle databaseのテキスト検索機能のOracle Textオプションが使用されます。Oracle Textは、Oracle Databaseに統合されている、高速で正確な全テキスト検索テクノロジです。
カタログ項目を含むCATALOG表は、Oracle TextのCONTEXT索引タイプを使用して索引付けされます。Oracle Text索引は通常のデータベース索引と同様に機能しますが、Text索引の背後のアーキテクチャと処理では、Text索引の作成時および進行中のメンテナンスで、ベスト・プラクティスの重要性が強調されます。
次の項は、Oracle Identity Manager管理者とデータベース管理者にこの点に関する詳細を提供することを目的としています。
Oracle Identity Managerをインストールすると、アクセス・リクエスト・カタログのText索引ができるだけ最適化された状態で作成されます。ただし、Oracle Textには、デプロイメントの特質に基づいてより適切に適用されるその他の最適化があります。アクセス・リクエスト・カタログの検索パフォーマンスを向上させるために適用を検討する必要がある最適化を次に示します。これらの適用時にはアクセス・リクエスト・カタログを使用できないことに注意することが重要であり、これらはスケジュールされたメンテナンス・ウィンドウで実行することをお薦めします。
|
注意: これらの1回かぎりの最適化を適用するときは、カタログ同期化ジョブとアクセス・リクエスト・カタログを停止する必要があります。 |
Text索引の保存
Oracle Text索引は、OIMスキーマのデフォルトの表領域に現在存在するリレーショナル表(DR$)に格納されます。これらを独自の表領域に分けることをお薦めします。これを行うには、次のコマンドを使用します。これらの手順について十分に理解し、必要に応じて変更を加えることをお薦めします。
SYSスキーマにログインし、text索引の内部表を保持する新規表領域を作成します。そのために、次のサンプル・コマンドを使用します。DATA_DIRを、データファイルを格納するディレクトリで置き換え、必要に応じてサイズなどのパラメータを環境にあわせて調整します。
CREATE TABLESPACE catalog_text_ind_tables DATAFILE 'DATA_DIR/catalog_text_ind_tables_01.dbf' SIZE 2048M REUSE EXTENT MANAGEMENT LOCAL SEGMENT SPACE MANAGEMENT AUTO;
OIMスキーマを使用してデータベースに接続します。
次のコマンドを使用して記憶域プリファレンスを作成します。Oracle TextのBASIC_STORAGE句についてよく理解し、必要に応じてさらに記憶域句を追加することをお薦めします。BASIC_STORAGEの詳細は、Oracle Textリファレンス・ドキュメントを参照してください。
Begin
Ctx_Ddl.Create_Preference('cat_storage', 'BASIC_STORAGE');
End;
/
Begin
ctx_ddl.set_attribute('cat_storage','I_TABLE_CLAUSE','tablespace catalog_text_ind_tables storage (initial 5M next 5M)');
End;
/
Begin
ctx_ddl.set_attribute('cat_storage', 'K_TABLE_CLAUSE','tablespace catalog_text_ind_tables storage (initial 5M next 5M)');
End;
/
Begin
ctx_ddl.set_attribute('cat_storage', 'R_TABLE_CLAUSE','tablespace catalog_text_ind_tables storage (initial 1M) lob (data) store as (cache)');
End;
/
Begin
ctx_ddl.set_attribute('cat_storage', 'N_TABLE_CLAUSE','tablespace catalog_text_ind_tables storage (initial 1M)');
End;
/
Begin
ctx_ddl.set_attribute('cat_storage', 'I_INDEX_CLAUSE','tablespace catalog_text_ind_tables storage (initial 1M) compress 2');
End;
/
次のコマンドを使用して新しい記憶域プリファレンスを適用します。この手順の後にText索引のステータスが有効であることを確認します。
ALTER INDEX CAT_TAGS rebuild parameters ('replace storage cat_storage');
USER_SEGMENTS表を問い合せて、前述の表が新しい表領域に移動されたことを確認します。
Text索引のKEEPプール設定:
アクセス・リクエスト・カタログ検索のパフォーマンスを向上させるために、Text索引を構成するすべての表をデータベースKEEPプールに置くことをお薦めします。これらのText索引表とその他のOIMオブジェクトがKEEPプールに保持されるように、KEEPプール(DB_KEEP_CACHE_SIZE)のサイズを正しく設定する必要があります。これを行うには、次のようにします。
OIMスキーマを使用してデータベースに接続します。
次の問合せを使用してtext索引のサイズを計算し、それを使用してDB_KEEP_CACHE_SIZEを適宜設定/調整します。
SELECT ctx_report.index_size('CAT_TAGS') FROM dual;
OIMスキーマ・ユーザーとして次のコマンドを実行し、表をKEEPプールに置きます。
ALTER INDEX DR$CAT_TAGS$X STORAGE (buffer_pool keep); ALTER TABLE DR$CAT_TAGS$R STORAGE (buffer_pool keep); ALTER TABLE DR$CAT_TAGS$R STORAGE (buffer_pool keep) MODIFY lob (data) (STORAGE (buffer_pool keep)); ALTER TABLE DR$CAT_TAGS$K STORAGE (buffer_pool keep); ALTER TABLE DR$CAT_TAGS$I STORAGE (buffer_pool keep);
Text索引は進行中のカタログ同期化によって断片化されることがありますが、text索引を定期的に最適化することにより、古いデータを削除し、断片化を最小限に抑え、アクセス・リクエスト・カタログの検索パフォーマンスを向上させることができます。これを実行するために、Oracle Identity Managerには次のOracle Databaseスケジューラ・ジョブが導入されています。
FAST_OPTIMIZE_CAT_TAGS
REBUILD_OPTIMIZE_CAT_TAGS
これらのジョブはOIMデータベース・スキーマに存在し、デフォルトで無効化されています。これらのジョブを表示し、必要に応じてスケジュール変更を行い、有効化することをお薦めします。スケジュールを変更するときは、新しいスケジュールが同じ行にデフォルトのスケジュールとして設定されることを確認します。
FAST_OPTIMIZE_CAT_TAGSは、頻繁に実行することが想定されています。デフォルトでは、1日に1回午前1時に実行されるようにスケジュールされます。REBUILD_OPTIMIZE_CAT_TAGSでは完全最適化が実行され、Text索引が再構築されます。REBUILD_OPTIMIZE_CAT_TAGSは、頻繁に実行することは想定されていません。デフォルトでは、REBUILD_OPTIMIZE_CAT_TAGSは毎週日曜日の午前2時に実行されるようにスケジュールされます。Text索引が大きい場合は、最適化に時間がかかる場合があることに注意してください。
スケジュールを変更したり、これらのジョブを有効化するには、次の手順を実行します。
デフォルトのスケジュール(FASTは毎日午前1時、REBUILDは毎日曜日の午前2時)が、環境に受入れ可能であることを確認します。そうでない場合は、スケジュールを変更します。確かでない場合は、デフォルトのスケジュールのままにして、必要に応じて後で変更します。
次のコマンドを使用してジョブを有効化します。
BEGIN
DBMS_SCHEDULER.ENABLE ('FAST_OPTIMIZE_CAT_TAGS');
END;
/
BEGIN
DBMS_SCHEDULER.run_job ('REBUILD_OPTIMIZE_CAT_TAGS');
END;
/
|
注意: Text索引の最適化は、サーバーが起動中で、アクセス・リクエスト・カタログの検索が実行されているときに行うことができます。 |
この項では、カタログのカスタマイズをテスト環境から本番環境に移行する方法について説明します。テスト環境内でカタログの拡張、カタログUIのカスタマイズ、カスタマイズの開発とテストを行い、最終的にカスタマイズを本番環境にロール・アウトできます。
この項の内容は次のとおりです。
Oracle Identity Manager 11g R2のアクセス・リクエスト・カタログはすぐに使用できる堅牢かつ多彩な機能を提供しますが、カタログを拡張し、ビジネス・ニーズにあわせてカスタマイズする必要があるというシナリオもあり得ます。
次のシナリオでは、カタログのカスタマイズが必要な可能性がある一般的なシナリオについて説明します。
MyCorpでは、リクエストされた項目が許可されたときにライン・オブ・ビジネスに生じるコストに関する情報をリクエスタに提供するために、ライン・オブ・ビジネスに対するコスト、必要なライセンスなどの属性を追加しようとしています。このシナリオをサポートするために、カタログ管理者はカタログを拡張し、ライン・オブ・ビジネスに対するコストおよび必要なライセンス(ブール属性)という2つの属性を追加します。次に、管理者はカタログ検索結果およびカタログ項目詳細のページをカスタマイズします。
|
注意: リクエスト・カタログでは、文字列型のUDFのみを作成できます。その属性を検索可能属性としてマークした場合、そのサイズは256 Charになります。検索可能属性でない場合、サイズは2000 Charになります。検索可能でない属性を検索可能としてマークすることはできません。 |
MyCorpは、権限に関連付けられたリスクをカタログ検索結果の一部として表示しようとしています。このシナリオをサポートするために、カタログ管理者はカタログ検索結果をカスタマイズし、項目リスクをイメージ・ウィジェットとして追加します。
これらのカスタマイズはシステム・インテグレータまたはカスタマ独自のITスタッフによって実装され、テストから本番に移行される必要があります。
図17-1に、カタログのカスタマイズをテストから本番に移行する高レベルのプロセスを示します。カタログのカスタマイズには次の3つの構成要素があります。
ADFカスタマイズ
ADFカスタマイズには、検索結果、項目詳細、カート詳細、フォーム・デザイナを使用して追加または変更されたカタログ属性などのカタログUIのカスタマイズが含まれます。これらのカスタマイズはサンドボックス・セッション内で実行する必要があります。サンドボックスの詳細は、17.4.2項「カタログのカスタマイズのテストから本番への手順」を参照してください。
Oracle Identity Managerメタデータ・カスタマイズ
カタログ・エンティティに新規属性を追加したり、既存の属性を変更してそのプロパティを変更すると、Oracle Identity Managerで追加のメタデータが生成されます。たとえば、カタログ・システム・エンティティを使用して新規属性第2承認者がカタログ・エンティティに追加された場合、Oracle Identity Managerでは属性に対応するデータベース列が追加されます。属性が検索可能である場合、Oracle Identity Managerは追加のメタデータを格納します。これらのカスタマイズは、デプロイメント・マネージャを使用してテストから本番に移行する必要があります。
データの移行
カタログをビジネスで使いやすいものにし、ユーザーがカタログを効率的に使用できるように十分な情報を提供するためにカタログの属性を追加/変更した後、カタログに関連情報を移入する必要があります。用語集とも呼ばれるこの追加情報は、確認および承認された後、本番に移行される必要があります。
この項では、カタログ定義をテストから本番に移行するために実行する手順について説明します。これには次の手順が含まれます。
実行したカスタマイズのタイプに応じて、一方または両方の手順を実行する必要があります。表17-2を使用して、実行する手順を決定してください。
表17-2 カタログのカスタマイズの手順
| カスタマイズ | サンドボックスが必要 | デプロイメント・マネージャが必要 |
|---|---|---|
|
シードされたカタログ属性の追加/変更 |
はい |
はい |
|
カタログUDFの追加/変更 |
はい |
はい |
|
カタログUIのカスタマイズ |
はい |
いいえ |
|
カタログの移入 |
いいえ |
いいえ |
|
関連項目:
|
サンドボックスを使用してエクスポートするには
ADFカスタマイズをテストから本番に移行するには、次の手順に従います。
Oracle Identity System Administrationコンソールにシステム管理者ロールのメンバーとしてログインします。
|
注意: セルフ・サービス(またはアイデンティティ)コンソールとシステム管理コンソールを切り替える必要があり、Oracle Identity Manager 11g R2デプロイメントがシングル・サインオンによって保護されていないシナリオでは、別のコンソールにログインする前に1つのコンソールからログアウトする必要があります。 |
「サンドボックス」をクリックし、エクスポートするサンドボックスを選択します。
「サンドボックスのエクスポート」をクリックします。サンドボックスは、ファイルとしてのパッケージ化が必要なトランスポート、共有およびその他の使用のためのファイルとしてエクスポートできます。
作成されたzipファイルのファイルの場所を指定します。
デプロイメント・マネージャを使用してエクスポートするには
|
注意: ブラウザでポップアップ・ブロッカを有効化していないこと、およびサポートされているJavaランタイム環境(JRE)をブラウザにインストールしていることを確認します。これは、デプロイメント・マネージャでポップアップ・ウィンドウが使用されるため、およびブラウザにJREがインストールされている必要があるためです。 |
Oracle Identity Managerメタデータをテストから本番にエクスポートするには、次の手順に従います。
Oracle Identity System Administrationコンソールにシステム管理者ロールまたはシステム・コンフィギュレータ・ロールのメンバーとしてログインします。
「エクスポート」をクリックします。
エクスポートするオブジェクトとして「カタログ・メタデータ」を選択します。
検索フィールドに*を入力し、「検索」をクリックします。
デプロイメント・マネージャXMLを生成する手順に従います。
|
注意: ベスト・プラクティスとして次のオプションの手順を実行します。
|
カスタマイズのインポートは逆の順序で実行する必要があります。このことが必要となるのは、ADFカスタマイズがインポートされるときに、ADFカスタマイズではOracle Identity Managerメタデータが存在すると想定されるためです。
デプロイメント・マネージャを使用してインポートするには
Oracle Identity Managerメタデータをテストから本番にインポートするには:
Oracle Identity System Administrationコンソールにシステム管理者ロールまたはシステム・コンフィギュレータ・ロールのメンバーとしてログインします。
「インポート」をクリックします。
ファイル・ブラウザ・ポップアップで、インポートする「デプロイメント・マネージャ」XMLファイルを選択します。
ウィザードの手順に従ってXMLをインポートします。
サンドボックスを使用してインポートするには
ADFカスタマイズをテストから本番に移行するには:
アイデンティティまたはOracle Identity System Administrationコンソールにシステム管理者ロールのメンバーとしてログインします。
|
注意: セルフ・サービス(またはアイデンティティ)コンソールとシステム管理コンソールを切り替える必要があり、Oracle Identity Manager 11g R2デプロイメントがシングル・サインオンによって保護されていないシナリオでは、別のコンソールにログインする前に1つのコンソールからログアウトする必要があります。 |
「サンドボックス」をクリックし、次に「サンドボックスのインポート」をクリックします。
ダイアログで、インポートするファイルを選択します。
「インポート」をクリックします。
サンドボックス・マネージャで、サンドボックスを選択し、「サンドボックスの公開」をクリックします。
ログアウトしてからログインし、変更内容を表示して確認します。
カタログのテストから本番へのプロセスには、次のような制限があります。
すべてのADFカスタマイズは単一のサンドボックス・セッション内で実行する必要があります。複数のサンドボックスを使用できますが、一度にアクティブ化できるサンドボックスは1つのみであり、その結果、システム管理コンソールでの変更(カタログ・エンティティの拡張)およびアイデンティティ・コンソールで行われる変更(カタログUIのカスタマイズ)は、同じサンドボックス内で行われる必要があります。
サンドボックスの外部で、あるいはサンドボックスの作成またはアクティブ化の前後に行われる変更は、サンドボックスには表示されません。
サンドボックスは、公開後にエクスポートしたり元に戻すことはできません。このため、サンドボックスは有効化されかつ公開されていない間にエクスポートし、カスタマイズはサンドボックスをインポートおよび公開する前に元に戻す必要があります。
デプロイメント・マネージャのインポートは即座にコミットされます。デプロイメント・マネージャにはロールバック機能はありません。
この項では、アクセス・リクエスト・カタログの問題を解決するときに実行するトラブルシューティングの手順について説明します。内容は次のとおりです。
カタログ同期化の問題は、ロール、アプリケーション・インスタンスおよび権限がアクセス・リクエスト・カタログで表示されない場合に発生します。次のフロー・チャートを使用して、リクエストできる3つのカタログ項目タイプのそれぞれについて同期化の問題をトラブルシューティングします。
|
注意: ジョブを収集すると、「更新日」パラメータに基づいて収集のためのデータが選択されます。更新が空欄の場合、すべてのレコードが処理用にフェッチされます。ただし、ユーザーが日付を「更新日」パラメータで指定した場合、指定した日付の後に作成されたり更新されたデータのみが処理されます。 |
ロールとカタログの同期化のトラブルシューティング
ロールとカタログの同期化は、本来リアルタイムです。ロールが作成されると、OIMロール・カテゴリに属している場合を除き、即座にカタログに公開されます。
|
注意: OIMロールのロール・カテゴリは、OIMの使用のみを目的としています。顧客はエンタープライズ・ロールにこのカテゴリを使用することはできません。 |
新しいOracle Identity Manager 11g R2インストールでは、顧客によって作成されたエンタープライズ・ロールをカタログで使用でき、可視性は組織の範囲指定に基づきます。アップグレードされた環境では、顧客はカタログ同期化ジョブをブートストラップ・モードで実行し、既存のロールをカタログに公開する必要があります。アップグレード後に作成された新しいロールは、カタログですぐに使用できます。
図17-3に、顧客が、Oracle Identity Managerで作成されたロールがカタログに表示されないシナリオのトラブルシューティングに使用できる診断フロー・チャートを示します。
アプリケーション・インスタンスとカタログの同期化のトラブルシューティング
アプリケーション・インスタンスとカタログの同期化は、カタログ同期化ジョブによって制御されます。アプリケーション・インスタンスには(エンタープライズ・ロールよりも)多くの構成が必要であるため、カタログと即座には同期化されません。
図17-4に、アプリケーション・インスタンスとカタログの同期化に関連する問題をトラブルシューティングするときに従う診断フロー・チャートを示します。
権限とカタログの同期化のトラブルシューティング
カタログ・セキュリティは次の2つの要因によって推進されます。
ユーザー、ロール、アプリケーション・インスタンスおよび権限の組織ベースの範囲指定を使用するセキュリティ・モデル。このセキュリティ・モデルは、リクエスタがカタログ検索結果で表示できる項目およびターゲット・ユーザーとして追加できるユーザーを制御します。
組織によって範囲指定されず、カタログ管理者などのグローバル管理者ロールに対して使用されるセキュリティ・モデル。
カタログ・セキュリティの典型的な問題は次のとおりです。
リクエスタは正しい検索キーワードを入力した場合にもカタログ項目を表示できません。
リクエスタはリクエストにターゲット・ユーザーを追加できません。
リクエスタはアプリケーション・インスタンス・リクエストに追加情報を提供できません。
リクエスタは「承認者ユーザー」、「承認者ロール」、「履行ユーザー」、「履行ロール」などのカタログ項目の詳細を表示できません。
編集モードでカタログ項目がカタログ管理者に表示されないため、カタログ項目を編集できません。
カタログ管理者はリクエスト・プロファイルを作成できません。
図17-6に、カタログ・セキュリティの問題をトラブルシューティングするために従う診断フロー・チャートを示します。
