| Oracle® Fusion Middleware Oracle Identity Manager開発者ガイド 11g リリース2 (11.1.2.2.0) B69536-07 |
|
 前 |
 次 |
Oracle Identity Managerでの構成およびカスタマイズにより、あるデプロイメントから別のデプロイメントへ移行できます。たとえば、テスト環境から本番環境へ構成およびカスタマイズを移行する場合があります。これを本番操作テスト(T2P)と言います。
T2Pを実行するには、次の方法があります。
増分T2P: このタイプのT2Pでは、Oracle Identity Managerの構成およびカスタマイズのエクスポートおよびインポートにデプロイメント・マネージャ・ツールを使用します。デプロイメント・マネージャを使用すると、Oracle Identity Manager構成を形成しているオブジェクトをエクスポートできます。詳細は、「デプロイメント・マネージャの使用方法」を参照してください。
完全T2P: このタイプのT2Pには、Fusion Middlewareフレームワーク・ベースの移動スクリプトを使用します。このスクリプトは、環境固有の属性なしで、ある環境のプロパティすべてを別の環境に移動するために使用されるもので、再構成できます。詳細は、「移動スクリプトを使用したテスト環境から新たな本番環境への移動」を参照してください。
|
注意: 移動スクリプトではOracle WebLogic Application Serverのみがサポートされており、IBM WebSphere Application ServerにおけるOracle Identity Managerの完全T2Pはサポートされていません。 |
ポリシー移行: Oracle Platform Securityによって提供されるコマンド行ユーティリティを使用して、あるOracle Identity Managerデプロイメントから別のデプロイメント(たとえば、テスト環境から本番環境)へポリシーを移行できます。詳細は、「ポリシーの移行」を参照してください。
この章は、次の項で構成されています。
デプロイメント・マネージャは、Oracle Identity Manager構成およびカスタマイズのエクスポートおよびインポートに使用するツールです。デプロイメント・マネージャを使用すると、Oracle Identity Manager構成を形成しているオブジェクトをエクスポートできます。デプロイメント・マネージャは通常、あるデプロイメントから別のデプロイメントへ、たとえばテスト・デプロイメントから本番デプロイメントへの構成の移行や、システムのバックアップの作成に使用します。
|
重要:
|
構成内のオブジェクトの一部またはすべてを保存することができます。これにより、テスト環境で構成を開発およびテストしてから、テスト済オブジェクトを本番環境にインポートすることができます。オブジェクトとその依存オブジェクトや関連オブジェクトすべてを同時にエクスポートおよびインポートできます。または、各オブジェクトを個別にエクスポートおよびインポートすることも可能です。
デプロイメント・マネージャにより、ソース・システムから構成情報およびバイナリ・データを取り出し、XMLファイルに情報を格納し、それからXMLファイルからターゲット・システムに情報をインポートできます。バイナリ・データには、プラグイン、JARおよびカスタム・リソース・バンドルが含まれています。デプロイメント・マネージャにより、Oracle Identity Managerデータベース、メタデータ・ストア(MDS)リポジトリまたはAPIリポジトリからデータをインポートできます。結果として、これらのリポジトリから、システム・プロパティ、ジョブ、スケジュール済タスクなど、同じリポジトリにないあらゆるタイプのオブジェクトをインポートできます。たとえば、データベースのかわりにMDSリポジトリにあるスケジュール済タスクをインポートすることも可能です。
あるタイプのリポジトリからエクスポートされたオブジェクトは、それと同じタイプのリポジトリにインポートされます。たとえば、スケジュール済タスクがMDSリポジトリからエクスポートされた場合、そのスケジュール済タスクはターゲット・システムの同じリポジトリ、つまりMDSにインポートされます。
|
注意: デプロイメント・マネージャに加えて、サンドボックス機能を使用して、あるデプロイメントから他のデプロイメントへ構成およびカスタマイズを移行できます。サンドボックスの使用の詳細は、「サンドボックスの管理」を参照してください。 |
この項の内容は次のとおりです。
Oracle Identity Managerデプロイメントをあるサーバー環境から別のサーバー環境に移行する場合、たとえばテスト環境からステージング環境、あるいはステージング環境から本番環境に移行する場合には、デプロイメント・マネージャを使用します。
デプロイメント・マネージャにより、次のことが可能になります。
デプロイの個々のコンポーネントを、異なるテスト環境で更新します。
エクスポートするコンポーネントに関連するオブジェクトを特定し、リソースに含めることができます。
エクスポート済ファイルの情報を提供します。
コメントを追加します。
デプロイメント・マネージャは、次のタイプの情報を処理します。
アプリケーション・インスタンス
カタログ定義
プラグイン
JARファイル
カスタム・リソース・バンドル
ロール
組織
アクセス・ポリシー
アテステーション・プロセス
ユーザー・メタデータ
ロール・メタデータ
組織メタデータ
スケジュール済タスク
スケジュール済ジョブ
ITリソース
リソース・オブジェクト
参照定義
プロセス・フォーム
プロビジョニング・ワークフローおよびプロセス・タスク・アダプタ
データ・オブジェクト定義
ルール
通知テンプレート
汎用テクノロジ・コネクタ(GTC)
GTCプロバイダ
エラー・コード
システム・プロパティ
電子メール定義
パスワード・ポリシー
ITリソース定義
リクエスト・データセット
承認ポリシー
イベント・ハンドラ
事前移入アダプタ
プロセス定義
リスク構成
証明の定義
|
注意: ソース側では、エクスポートされる証明の定義に特定のユーザー、ロール、アプリケーション・インスタンス、権限または組織への参照が含まれている場合があります。これらの特定の参照は、証明の定義がエクスポートされ、ターゲット設定にインポートされる間に消去されます。ターゲットでこれらのエンティティが選択されるように、定義をターゲットの証明の定義管理UIで開き、更新する必要があります。更新しなければその定義を使用することはできず、そのままで使用すればエラーが発生します。特定の参照が含まれない汎用の定義は、インポート後にそのまま使用できます。 |
証明の構成
マージ・ユーティリティ: デプロイメント・マネージャはマージ・ユーティリティではありません。
本番環境とテスト環境の両方の変更の処理はできません。ターゲット・システムのオブジェクトはXML内のオブジェクトに置き換えられます。
バージョン管理ユーティリティ: デプロイメント・マネージャでは、インポートしたファイルのバージョンを追跡せず、ロールバック機能は提供されません。
環境間でデータを移動する手段としてのみ使用します。
オブジェクトは、Oracle Identity Managerシステムからエクスポートして、XMLファイルに保存できます。デプロイメント・マネージャにあるエクスポート・ウィザードを使用して、エクスポート・ファイルを作成することができます。オブジェクトをタイプ別に、一度に1タイプずつ、たとえばロール、フォーム、プロセスなどの順で追加します。
|
注意: アプリケーション・インスタンスは、データセットなしでエクスポートおよびインポートされます。データセットは、UIカスタマイズの一部として移行されます。 |
子オブジェクトや依存性を持つオブジェクトを選択した場合は、それらを追加するかどうかを選択できます。1つのタイプのオブジェクトを追加したら、戻って別のオブジェクトをXMLファイルに追加できます。必要なオブジェクトをすべて追加すると、デプロイメント・マネージャによりすべてのオブジェクトが1つのXMLファイルに保存されます。
|
注意: ユーザー定義フィールドが特定のリソース・オブジェクトに関連付けられている場合、エクスポート・プロセス中に、次のいずれかのイベントが発生します。
|
デプロイメントをエクスポートするには:
Oracle Identity System Administrationにログインします。
左側のペインの「システム管理」の下で、「エクスポート」をクリックします。「デプロイメント・マネージャ」が開き、エクスポート・ウィザードのオブジェクトの検索ページが表示されます。
|
注意: Mozilla Firefox Webブラウザを使用して「デプロイメント・マネージャ」を開く場合は、追加認証ダイアログ・ボックスが表示されることがあります。このダイアログ・ボックスで認証が行われると、デプロイメント・マネージャにアクセスできるようになります。この追加認証を回避するには、次のようにします。
Microsoft Internet Explorer、Google ChromeおよびApple Safari Webブラウザを使用してデプロイメント・マネージャを開く場合は、追加認証は必要ありません。 |
オブジェクトの検索ページで、メニューからオブジェクト・タイプを選択し、検索基準を入力します。基準フィールドを空のままにしておくと、自動的にアスタリスク(*)が表示され、選択したタイプのすべてのオブジェクトが検索されます。
デプロイメント・マネージャによって移行がサポートされているすべてのオブジェクトをエクスポートに使用できます。デプロイメント・マネージャによって移行がサポートされているオブジェクトのリストは、「デプロイメント・マネージャの機能」を参照してください。
「検索」をクリックすると、選択したタイプのオブジェクトが検索されます。
オブジェクトを選択するには、オブジェクトのオプションを選択します。
「子の選択」をクリックします。
「子の選択」ページに、選択したオブジェクトとそのすべての子オブジェクトが表示されます。
エクスポートする子オブジェクトを選択します。
項目を選択または削除するには、適切なオプションを選択します。
「戻る」 をクリックすると、オブジェクトの検索ページに戻ります。
「依存性の選択」をクリックします。
「依存性の選択」ページに、選択したオブジェクトで必要とされるすべてのオブジェクトが表示されます。
エクスポートする依存オブジェクトを選択します。
項目を選択または削除するには、項目のオプションを選択します。
「戻る」をクリックすると「子の選択」ページに戻ります。
「確認」をクリックします。
確認ページが表示されます。
必要な項目がすべて選択されていることを確認し、「エクスポート用に追加」をクリックします。
「エクスポート用に追加」をクリックした後でも、このエクスポート・ファイルに項目をさらに追加することができます。
さらに追加を選択し、「OK」をクリックして検索オブジェクト・ページに進み、エクスポートするオブジェクトをさらに追加します。
ウィザードを使用して項目をさらに追加し、完了したらウィザードを終了します。目的のオプションを選択し、「OK」をクリックします。
さらに追加を選択した場合は、ステップ3から10を繰り返します。選択していない場合は、「エクスポート」ページが表示されます。
「エクスポート」ページに現在のエクスポート項目が表示されます。選択項目の横にあるアイコンは、選択されているオブジェクトのタイプを示しています。サマリー情報ペインに、エクスポートするオブジェクトが表示されます。「未選択の依存性」ペインには、エクスポート用に選択されなかった依存オブジェクトまたは子オブジェクトのリストが表示されます。
エクスポート・ファイルに変更を加えるには、次の手順を実行します。
フォームをクリアするには「リセット」をクリックします。
アイコン定義を表示するには「凡例」をクリックします。
「オブジェクトの追加」をクリックしてウィザードを再起動し、エクスポート・ファイルにさらに項目を追加します。
オブジェクトを「現在の選択」リストから削除するには:
削除するオブジェクトを右クリックし、ショートカット・メニューから「削除」を選択します。オブジェクトに子オブジェクトがある場合は、ショートカット・メニューから「子も含めて削除」を選択し、子オブジェクトを一度にすべて削除します。
「削除」をクリックして確認します。オブジェクトが、選択した項目の子または依存性の場合は、「未選択の子」または「未選択の依存性」リストに追加されます。
オブジェクトを「未選択の子」または「未選択の依存性」リストから「現在の選択」リストに戻すには、次のようにします。
オブジェクトを右クリックして、「追加」を選択します。
「確認」をクリックします。
確認ページが表示されます。
「エクスポート用に追加」をクリックします。
「エクスポート」をクリックします。
説明の追加ダイアログ・ボックスが表示されます。
ファイルの説明を入力します。
この説明は、ファイルがインポートされるときに表示されます。
「エクスポート」をクリックします。
「別名で保存」ダイアログ・ボックスが表示されます。
ファイル名を入力します。
参照してファイルの場所を探すことができます。
「保存」をクリックします。
エクスポート完了ダイアログ・ボックスが表示されます。
「閉じる」をクリックします。
デプロイメント・マネージャを使用してXMLファイルにエクスポートしたオブジェクトは、デプロイメント・マネージャを使用してOracle Identity Managerにインポートできます。XMLファイルの全部または一部をインポートすることも、複数のXMLファイルを同時にインポートすることもできます。デプロイメント・マネージャは、インポートするオブジェクトの依存性が、インポート時に、または使用するシステムで確実に利用できるかどうかを確認します。インポート中、システム内のオブジェクトをインポート中のオブジェクトに置換できます。たとえば、システムのグループをXMLファイル内で指定されているグループに置換できます。
|
注意:
|
XMLファイルをインポートするには:
|
注意: メニュー項目への参照を含むデータをインポートする場合は、まずターゲット・システムでそのメニュー項目を作成してからインポートする必要があります。 |
Oracle Identity System Administrationにログインします。
左側のペインの「システム管理」の下で、「インポート」をクリックします。デプロイメント・マネージャが開きます。
他のセッションからの別のインポートが進行中の場合は、ダイアログ・ボックスが表示されて、「デプロイメント・マネージャのインポート・ユーティリティは、現在別のユーザーが使用しています。」と示されます。ユーティリティは一度に1人のユーザーのみ使用できるため、ロックがある場合は他の開発者に確認します。他のすべてのユーザーがロックを解放したら、「ロックの取得」をクリックしてインポート・プロセスを開始します。
|
注意: Mozilla Firefox Webブラウザを使用して「デプロイメント・マネージャ」を開く場合は、追加認証ダイアログ・ボックスが表示されることがあります。このダイアログ・ボックスで認証が行われると、デプロイメント・マネージャにアクセスできるようになります。この追加認証を回避するには、次のようにします。
Microsoft Internet Explorer、Google ChromeおよびApple Safari Webブラウザを使用してデプロイメント・マネージャを開く場合は、追加認証は必要ありません。 |
ファイルを選択します。
「インポート」ダイアログ・ボックスが表示されます。
「開く」をクリックします。
「ファイル・プレビュー」ページが表示されます。
「ファイルの追加」をクリックします。
「置換」ページが表示されます。
名前を置換するには、置換する項目に隣接した「新しい名前」フィールドをクリックし、名前を入力します。
ターゲット・システムに存在する項目のみ置換できます。
「次へ」をクリックします。ITリソース・インスタンスをエクスポートする場合、「ITリソース・インスタンス・データの提供」ページが表示されます。それ以外の場合は、「確認」ページに切り替わります。
現在のリソース・インスタンスの値を変更して「次へ」をクリックするか、「スキップ」をクリックして現在のリソース・インスタンスをスキップするか、「新規インスタンス」をクリックして新しいリソース・インスタンスを作成します。
確認ページが表示されます。
「確認」ページに表示される情報が正しいことを確認します。
戻って変更するには「戻る」をクリックします。それ以外の場合は「選択内容の表示」をクリックします。
デプロイメント・マネージャの「インポート」ページに現在の選択項目が表示されます。
「インポート」ページでは、現在の選択項目の横にアイコンが表示されます。このアイコンは、選択されているオブジェクトのタイプを示しています。右側のアイコンは選択項目のステータスを示しています。選択されたファイルの名前、インポートするオブジェクトのサマリー情報および置換情報がページの左側に表示されます。右側には、「インポートから削除したオブジェクト」リストにインポートされないXML内のすべてのオブジェクトが表示されます。
必要に応じて次の調整を行います。
フォームをクリアするには「リセット」をクリックします。
アイコン定義を表示するには「凡例」をクリックします。
「現在の選択」リストからオブジェクトを削除するには、オブジェクトを右クリックしてショートカット・メニューから「削除」を選択し、「削除」をクリックしてオブジェクトの削除を確認します。
オブジェクトに子オブジェクトがある場合、ショートカット・メニューから「子も含めて削除」を選択し、子オブジェクトを一度にすべて削除します。項目が「インポートから削除したオブジェクト」リストに追加されます。
「現在の選択」リストに項目を戻すには、リストを右クリックして、「追加」をクリックします。
オブジェクトに子オブジェクトがある場合、ショートカット・メニューから「子も含めて追加」を選択してすべての子オブジェクトを一度に追加します。
置換するには、「置換の追加」をクリックします。
別のXMLファイルからオブジェクトを追加するには、「ファイルの追加」をクリックして、ステップ3 - 9を繰り返します。
インポートした情報に関する情報を表示するには、「情報の表示」をクリックします。
「情報」ページが表示されます。
詳細情報を表示するには、「情報レベル・メッセージの表示」オプションを選択し、「メッセージの表示」をクリックします。「閉じる」をクリックして「情報」ページを閉じます。
現在の選択項目をインポートするには、「インポート」をクリックします。
「確認」ダイアログ・ボックスが表示されます。
「インポート」をクリックします。
インポート完了ダイアログ・ボックスが表示されます。
「OK」をクリックします。
オブジェクトがOracle Identity Managerにインポートされます。
デプロイメント・マネージャの使用に関する推奨プラクティスと注意点を次に示します。
リクエスト、Xellerateユーザー、システム管理者などのシステム・オブジェクトのエクスポートまたはインポートは、本当に必要な場合にのみ行ってください。システム・オブジェクトをテスト環境やステージング環境から本番環境にエクスポートすると、問題が発生する場合があります。可能であれば、データのエクスポートまたはインポートの際には、システム・オブジェクトを除外してください。
Xellerateユーザー・リソース・オブジェクトで信頼できるソースのリコンシリエーションを定義する場合などに、システム・オブジェクトをエクスポートまたはインポートすることがあります。
|
注意: デプロイメント・マネージャでは、インポートしたコンポーネントおよび構造を追跡しますが、終了したインポートの追跡は行いません。インポートが完了した後は、前のバージョンにロールバックできません。新たにインポートする必要があります。 |
デプロイメント・マネージャを使用して、関連するオブジェクトをセットにしてエクスポートすることをお薦めします。グループ化する論理項目を1つにまとめて、エクスポートの単位にしてください。
1回の操作でデータベース内のすべてをエクスポートしたり、1回に項目を1つずつエクスポートすることは避けてください。たとえば、プロセス、リソース・オブジェクト、アダプタ、ITリソース・タイプ定義、ITリソース定義、スケジュール済タスクなどを含むターゲット・システムと、Oracle Identity Managerとの間の統合を管理するとします。このような環境では、エクスポートの前に関連するオブジェクトのグループを作成します。
たとえば、複数の統合で同一の電子メール定義を使用する場合、電子メール定義を1つの単位としてエクスポートし、統合は別の単位としてエクスポートする必要があります。これにより、電子メール定義の変更を、ターゲット・システム統合の変更とは別にインポートできます。また、複数のリソースで同一のITリソース・タイプ定義を使用する場合、タイプ定義をその他のデータとは別個にエクスポートおよびインポートできます。
エクスポート済データの1つ以上のセットを一度にインポートできます。たとえば、リソース・オブジェクト定義、電子メール定義およびITリソース・タイプ定義を、1回の操作でインポートできます。
定義データおよび操作データは、別々のグループに分けてエクスポートしてください。
定義データはテスト環境およびステージング環境で構成します。定義データには、リソース・オブジェクト、プロセスおよびルールが含まれます。
一般的に、操作データは、本番環境で構成します。操作データには、グループおよびグループ権限が含まれます。テスト・サーバーおよびステージング・サーバーには、通常このデータは含まれません。
変更される場所に応じてデータをグループ化すると、どのデータがテストおよびステージングに属し、どのデータが本番に属するかを判別できます。たとえば、本番で承認プロセスが変更された場合、承認プロセスをグループ化してその他の操作データと一緒にエクスポートします。
エクスポートする前に、フォームを何度も修正することがあります。「v23」のような一般的な名前で、フォームのバージョンを区別しないでください。「Before Production」または「After Production Verification」など、意味のある名前を作成します。バージョン名には二重引用符などの特殊文字を使用しないでください。
組織階層内のリーフや組織をエクスポートすると、1つの依存性レベルのみがエクスポートされます。組織階層を完全にエクスポートするには、階層のルートをエクスポートする必要があります。
デプロイメント・マネージャでは、エクスポート日、エクスポートの実行者、ソース・データベースなどの一部の情報は自動的に記録されます。また、「xxx属性がリコンシリエーションに追加された後のリソース定義」など、エクスポートのコンテンツのわかりやすい説明も指定する必要があります。ファイルのインポート担当者は、これを元にインポートされるデータのコンテンツを把握します。
右上ペインのウィザードには、ターゲット・システムで使用可能であることが必要なリソースが表示されます。
次のタイプの依存性について考慮します。
ターゲット・システムですでに使用可能なリソースは、エクスポートする必要がありません。
(ターゲット・システムにない)新規のリソースは、エクスポートする必要があります。
再利用される参照、ITリソース定義またはその他のリソースがターゲット・システムに含まれていない場合は、必要に応じてインポートできるように、データを記録して別個のファイルでエクスポートします。
|
注意: リソースをエクスポートする際に、そのフォームに対してデータ・オブジェクト権限を持つグループはリソースと一緒にエクスポートされません。 |
スケジュール済タスクが正しく実行されるかどうかは、特定のパラメータに依存します。スケジュール済タスクのパラメータを、本番サーバーにインポートできます。表38-1に、スケジュール済タスクのインポート方法を決定するためのルールを示します。パラメータは、ターゲット・システムに存在しないタスクでも使用できる場合があります。
スケジュール済タスクは、デプロイメント・マネージャを使用してインポートできるオブジェクトの1つです。通常、スケジュール済タスクをOracle Identity Manager環境にインポートし、実際の本番環境にあわせて後からスケジュールされた属性の値を変更します。ただし、同じOracle Identity Managerサーバーに同一のスケジュール済タスクをインポートするのが2回目である場合、デプロイメント・マネージャはデータベースにある属性値を上書きしません。その場合、デプロイメント・マネージャは再インポートしたXMLファイルの属性値を、対応するデータベース内の属性値と比較します。
次の表に、スケジュール済タスクの再インポート時にデプロイメント・マネージャによって実行される動作についてまとめます。
| スケジュール済タスクのインポートするXMLファイルに属性値があるか | 対応する属性値がデータベースにあるか | デプロイメント・マネージャの動作 |
|---|---|---|
| はい | いいえ | 属性値をデータベースに格納します |
| いいえ | はい | データベース内の既存の属性値を削除します |
| はい | はい(タイムスタンプで示される新しい属性値) | データベースは変更されません |
| はい(タイムスタンプで示される新しい属性値) | はい | 新しい属性値でデータベースを更新します。 |
インポート操作の後、アダプタは再コンパイルするように設定され、スケジュール済タスクは無効化されます。クラスをインポートしてタスク属性を調整してから、手動でアダプタを再コンパイルし、スケジュール済タスクを有効化してください。
エンティティ・アダプタを変更すると、エンティティ・アダプタのみが更新され、使用方法は更新されません。エンティティ・アダプタの使用方法をエクスポートする場合は、データ・オブジェクトをエクスポートすることにより、各使用方法をデータ・オブジェクトとともに個別にエクスポートする必要があります。データ・オブジェクトをエクスポートすると、オブジェクトにアタッチされたすべてのアダプタとイベント・ハンドラ、およびオブジェクトに対する権限がエクスポートされます。データ・オブジェクトのエクスポートには、細心の注意が必要です。たとえば、フォームをエクスポートする場合、フォームに関連するデータ・オブジェクトも必ず追加するようにしてください。これにより、関連付けられたエンティティ・アダプタでフォームを使用できます。
ロールをエクスポートする際に、異なるデータ・オブジェクトに対するロール権限もエクスポートされます。ただし、データをインポートする際は、欠落しているデータ・オブジェクトに対する権限はすべて無視されます。ロール権限の設定をエクスポートする手段としてロールをエクスポートする場合は、権限の要件が満たされるように、警告を慎重にチェックしてください。たとえば、ロールにオブジェクトA、B、Cに対する権限があるが、ターゲット・システムにはオブジェクトA、Bしかない場合、オブジェクトCの権限は無視されます。後でオブジェクトCを追加した場合、Cのロール権限を手動で追加するか、ロールを再インポートする必要があります。
特定のレポートの表示権限を持つロールのエクスポートでは、そのレポートがターゲット環境に存在することを確認してください。レポートがない場合、ロールのエクスポートの前に権限を削除することを考慮してください。
データを本番環境にインポートする前に、データベースをバックアップします。これにより、インポートで問題が発生しても、データをリストアできます。データベースをバックアップしておくことは、大きな変更を行う前の大切な予防措置です。
|
注意: フォームおよびユーザー定義フィールドをインポートする際は、データベースにエントリを追加します。これらのデータベース・エントリは、ロールバックまたは削除できません。各インポート操作の前に、フォームの正しいバージョンがアクティブになっていることを確認してください。 |
インポート操作はスキーマの変更を伴うため、単一のトランザクションでは完了できません。これらの変更は、現在システムで実行中のトランザクションに影響を与えます。インポート操作の影響を抑えるためには、一般使用のためのWebアプリケーションを一時的に無効化し、システムのアクティビティが低下する夜間などに操作を行うようにしてください。
SDK表には、ユーザー定義データ・オブジェクトのメタデータ定義が含まれます。XMLファイルからSDK表にデータをインポートすると、SDK_SCHEMA列の値は、XMLファイルが作成されたソース・システムのスキーマ名で変更されることがあります。このため、XMLファイルからSDK表にデータをインポートした後には、SDK_SCHEMA列のスキーマ名をチェックし、必要に応じてOracle Identity Managerデータベースが稼働しているターゲット・システムのスキーマ名に手動で変更してください。SDK_SCHEMA列のスキーマ名を更新するには、Oracle Databaseインストール環境でSQL*Plusを使用するか、Microsoft SQL Serverインストール環境でSQL Query Analyzerを使用して、次のようなSQL問合せを実行します。
UPDATE SDK SET SDK_SCHEMA='target system schema name'
SDK_SCHEMA列のスキーマ名を更新しない場合は、ユーザー定義フィールド(UDF)の定義を変更する別のXMLファイルのインポート時に次のようなエラーが生成されることがあります。
CREATE SEQUENCE UGP_SEQ java.sql.SQLException: ORA-00955: name is already used by an existing object
イベント・ハンドラを依存性としてインポートする場合、デプロイメント・マネージャでは、データ・オブジェクト・フィールドを含むイベント・ハンドラはインポートされません。このため、デプロイメント・マネージャを使用して、依存性としてインポートする必要があるすべてのイベント・ハンドラからデータ・オブジェクト・フィールドを削除してください。
この項には次のトピックが含まれます:
デプロイメント・マネージャを使用したデータのインポート中に、インポートの失敗に関する次の情報がUIに表示されます。
インポートが失敗したエンティティ
インポートが失敗したエンティティのタイプ
例外オブジェクト固有のエラー・メッセージ
この情報は、例外トレースとともにログでも出力されます。
図38-1に、デプロイメント・マネージャのインポートの失敗時に表示されるサンプルのエラー・メッセージを示します。
これは、ユーザーが、失敗したエンティティおよびその原因の識別するために役立ち、ユーザーは、その特定のエンティティを削除し、ターゲット・システムでインポートする必要がない場合は、インポートを再試行できます。これは、サポート・チームおよび開発者が問題の発生時に問題を識別するために役立ちます。
表38-2に、障害が発生した場合に実行できるトラブルシューティングの手順を示します。
表38-2 デプロイメント・マネージャのトラブルシューティング
| 問題 | 解決策 |
|---|---|
|
Oracle Identity Manager 11g リリース2 (11.1.2.2.0)では、スケジュール済ジョブはスケジュール済タスクに依存しています。したがって、スケジュール済ジョブの前にスケジュール済タスクをインポートする必要があります。この結果、XMLファイルでスケジュール済タスク・エントリより前にスケジュール済ジョブ・エントリがある場合、デプロイメント・マネージャを使用したXMLのインポートが失敗し、次のエラー・メッセージが表示されます。 [exec] Caused By: oracle.iam.scheduler.exception.SchedulerException: InvalidScheduleTask definition [exec] com.thortech.xl.ddm.exception.DDMException |
XMLファイルを開き、すべてのスケジュール済タスク・エントリをスケジュール済ジョブ・エントリの上に移動します。 |
|
デプロイメント・マネージャで、エクスポートがいずれのオブジェクトに対しても失敗します。ユーザーには「エクスポートに失敗しました」ダイアログ・ボックスが表示されますが、サーバー・ログに例外は見つかりません。 JREコンソールを確認すると、次のように表示されています。 java.security.AccessControlException: access denied (java.io.FilePermission PATH_AND_NAME_OF_THE_FILE) |
次のステップを実行します。
|
|
XMLファイルのインポート中に次のエラーが発生します。 Caused by: oracle.iam.reconciliation.exception.ConfigException: Profile :Xellerate User InvalidAttributes : |
次のいずれかを実行します。
|
|
承認ポリシーのインポートにより、次のエラーが発生することがあります。
weblogic.kernel.Default (self-tuning)'] [userId: xelsysadm] [ecid:
f9e72ab2a292a346:-188377b2:12f96ae9676:-8000-0000000000000047,0] [APP:
oim#11.1.1.3.0] Exception thrown {0}[[
oracle.iam.platform.entitymgr.ProviderException: USER_NOT_FOUND
|
承認ポリシー・ルールは、Oracle Identity Managerに存在しないエンティティ(ユーザーまたは組織)を指す場合、無効です。これらの無効な承認ルールは、インポートする前に有効なエンティティ(ユーザーまたは組織)を指すように修正する必要があります。 |
デプロイメント・マネージャのロギングを有効化するには:
次のディレクトリ・パスにあるlogging.xmlファイルを編集して、デプロイメント・マネージャに新しいロガーを追加します。
DOMAIN_NAME/config/fmwconfig/servers/SERVER_NAME/
インスタンスで、デプロイメント・マネージャに通知レベルのロギングを有効化するには、<loggers>セクション内に次のロガーを追加します。
<logger name='XELLERATE.DDM' level='NOTIFICATION:1' />
関連する<log_handler>で定義されたログ・レベルを変更します。
|
関連項目: Oracle Identity Managerのロギング・レベルおよびログ・ハンドラの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのロギングの構成に関する説明を参照してください。 |
Oracle Dynamic Monitoring Service (DMS)を使用してパフォーマンス・メトリックを表示できます。次のDMSメトリックがデプロイメント・マネージャのパフォーマンスの監視に関連するものです。
DeploymentManager: インポート/エクスポート操作Beanで異なるメソッド・コールにかかった時間を示すメトリック。
DeploymentManager_APIManager: インポート/エクスポートでAPIHandlerに対する異なるメソッド・コールにかかった時間を示すメトリック。
DMSの詳細は、『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』のOracle Dynamic Monitoring Serviceの理解に関する項を参照してください。
Oracle Identity Managerは、Fusion Middleware環境の一部です。テスト環境から本番環境へOracle Identity Managerを移動するには、移動スクリプトを使用します。このスクリプトは、Oracle Identity Managerのバイナリ、アーティファクトおよび構成をコピーし、新たなエンドポイントのある本番Oracle Identity Managerを構成します。移動スクリプトは、テスト環境および本番環境でOracle Identity Managerアーティファクトと相互に作用し、本番環境を更新してOracle Identity Managerを本番環境で機能させます。移動スクリプトの詳細は、『Oracle Fusion Middleware管理者ガイド』のテスト環境から本番環境への移動に関する項を参照してください。Oracle Identity Managerコンポーネントを移動するための手順の詳細は、『Oracle Fusion Middleware管理者ガイド』の新規ターゲット環境へのIdentity Managementコンポーネントの移動に関する項を参照してください。
|
注意: Oracle Identity Managerのソース設定からターゲット設定への移行を進める前に、『Oracle Fusion Middlewareリリース・ノート』の「ソース環境からターゲット環境への移行に関する制限事項」で、テスト環境から本番環境への移行に関連した制限事項および既知の問題の詳細を参照できます。さらに、Oracle Identity Managerのソース設定を移行する際に発生する可能性のある問題、および考えられる解決策の詳細は、「移動スクリプトを使用したテスト環境から新たな本番環境への移動のトラブルシューティング」を参照してください。 |
Oracle Identity Managerのソース設定をターゲット設定に移行する手順は次のとおりです。
『Oracle Fusion Middleware管理者ガイド』の新規ターゲット環境へのID管理の移動に関する項の「タスク4 Oracle Identity Managerの前提タスクの実行」の説明に従って、expdp/impdp (Data Pumpユーティリティ)を使用して、ソースからターゲットのDBホストにOracle Identity Managerデータベース・スキーマのデータを移行します。
FMW T2Pユーティリティを使用して、ターゲット設定を作成します。これを行うには、次の手順を実行します。
ORACLE_COMMON_HOME/bin/ディレクトリから次のコマンドを実行します。
|
注意:
|
./copyBinary.sh -javaHome PATH_TO_JDK -al ARCHIVE_LOCATION -smw SOURCE_MW_HOME -silent false -idw true -ipl PATH_TO_ORACLE_INVENTORY_POINTER -silent true -ldl PATH_TO_LOG_DIRECTORY ./copyConfig.sh -javaHome PATH_TO_JDK -archiveLoc ARCHIVE_LOCATION -sourceDomainLoc SOURCE_DOMAIN_LOCATION -sourceMWHomeLoc MIDDLEWARE_HOME_LOCATION -domainHostName DOMAIN_HOST_NAME -domainPortNum DOMAIN_PORT_NUMBER -domainAdminUserName DOMAIN_ADMIN_USERNAME -domainAdminPasswordFile DOMAIN_ADMIN_PASSWORD_FILE -silent true -ldl PATH_TO_LOG_DIRECTORY ./extractMovePlan.sh -javaHome PATH_TO_JDK -archiveLoc ARCHIVE_LOCATION -planDirLoc MOVE_PLAN_DIRECTORY
extractMovePlanスクリプトとpasteConfigスクリプトの実行の間に、ターゲットを構成するための新しい値にmoveplanを更新します。moveplanの一般的な変更の詳細は、『Oracle Fusion Middleware管理者ガイド』の移行プランの変更に関する項を参照してください。moveplanプロパティの説明は、『Oracle Fusion Middleware管理者ガイド』の表20-22 Oracle Identity ManagerのMove Planプロパティを参照してください。
|
注意:
|
ターゲット・ホスト上で新しいディレクトリを作成して、SOURCE_MACHINE/Middleware/oracle_common/bin/ディレクトリからpasteBinary.shをコピーします。さらに、SOURCE_MACHINE/Middleware/oracle_common/jlib/ディレクトリからターゲット・ホストにcloningclient.jarファイルをコピーします。これらの2つのファイルは、同じ場所に配置してください(たとえば、/scratch/aime1/scriptsなど)。続けて、次のコマンドを実行します。
./pasteBinary.sh -javaHome PATH_TO_JDK -al ARCHIVE_LOCATION -tmw TARGET_MW_HOME -silent false -idw true -esp true -ipl PATH_TO_ORACLE_INVENTORY_POINTER -ldl PATH_TO_LOG_DIRECTORY -silent true
TARGET_MIDDLEWARE_HOME/bin/ディレクトリに移動して、次のコマンドを実行します。
./pasteConfig.sh -javaHome PATH_TO_JDK -archiveLoc ARCHIVE_LOCATION -targetDomainLoc TARGET_DOMAIN_PATH -targetMWHomeLoc TARGET_MIDDLEWARE_HOME_PATH -movePlanLoc MOVE_PLAN_PATH -domainAdminPasswordFile DOMAIN_ADMIN_PASSWORD_FILE -silent true -ldl PATH_TO_LOG_DIRECTORY
|
注意:
|
完全T2Pの移行後、次の構成を確認または変更します。
xlclient.cmdファイルでは、Design Consoleを使用してソースで構成されたJDKライブラリがターゲットでアクセスできない場合、JDKパスを更新します。
config/xlconfig.xmlファイルでは、アプリケーションJNDI URLを更新して、ソース・アプリケーションのURLではなくターゲット・アプリケーションのURLを指定します。
ITリソース構成は、T2P手順のmoveplanの一部ではありません。T2P手順の完了後およびターゲット設定でサーバーを起動後、本番設定ごとにITリソース・パラメータを構成できます。Oracle Identity System Administrationの「構成」で、「ITリソース」をクリックします。「ITリソースの管理」ページで、変更するITリソースの編集アイコンをクリックします。
T2P手順の間、トランザクション・データと見なされるため、ソースからターゲットへ移行されないエンティティ(ユーザーやプロビジョニングされたアカウントなど)もあります。そのため、ユーザーのパーソナライズ設定(ソート順序、保存済の検索、レイアウト変更など)は、ターゲット設定では見つかりません。
ロール所有者など一部のユーザーは、Oracle Identity Managerの多くの場所で参照されます。完全T2Pの移行後、そのようなユーザーへの参照は、SYSTEM_ADMINISTRATOR_USERNAME (Oracle Identity Managerシステム管理者)への参照に置換されます。
表38-3に、移動スクリプトを使用したテスト環境から本番環境への移動に関して問題が発生した場合に実行できるトラブルシューティングの手順を示します。
表38-3 移動スクリプトを使用したテスト環境から本番環境への移動のトラブルシューティング
| 問題 | 解決策 |
|---|---|
|
Oracle Identity Managerのクラスタ・デプロイメント間で移行した後、SOAサーバーは動作しますがsoa-infraにアクセスできません。これは、Coherence設定でソースが指定されているためです。 |
『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のOracle Coherenceで使用するホスト名の指定に関する項を参照して、coherence設定を適宜変更した後、SOAサーバーを再起動します。 |
|
次のセクションが、クローニングのエラー・ログに記録されます。 NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Sep 24, 2013 10:26:55 PM oracle.security.jps.internal.config.xml.XmlConfigurationFactory initDefaultConfiguration SEVERE: java.io.FileNotFoundException: ./config/jps-config.xml (No such file or directory) Sep 24, 2013 10:26:55 PM oracle.mds NOTIFICATION: Auditing is disabled for component MDS. Sep 24, 2013 10:26:55 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Sep 24, 2013 10:26:55 PM oracle.security.jps.internal.config.xml.XmlConfigurationFactory initDefaultConfiguration SEVERE: java.io.FileNotFoundException: ./config/jps-config.xml (No such file or directory) Sep 24, 2013 10:26:55 PM oracle.mds NOTIFICATION: Auditing is disabled for component MDS. Sep 24, 2013 10:26:55 PM oracle.mds |
クローニングのエラー・ログのこのセクションは無害であり、無視しても問題ありません。 |
|
Oracle Identity Managerを新しい環境に移行した後、次の操作のうち、1つまたは複数を試行した場合に、データベース接続関連のエラーがスローされます。
|
チューニング・パラメータを、次のように設定します。
JAVA_OPTIONS="-Djbo.ampool.doampooling=true -Djbo.ampool.minavailablesize=1
-Djbo.ampool.maxavailablesize=120 -Djbo.recyclethreshold=60
-Djbo.ampool.timetolive=-1 -Djbo.load.components.lazily=true
-Djbo.doconnectionpooling=true -Djbo.txn.disconnect_level=1
-Djbo.connectfailover=false -Djbo.max.cursors=5
-Doracle.jdbc.implicitStatementCacheSize=5
-Doracle.jdbc.maxCachedBufferSize=19 ${JAVA_OPTIONS}"
これらのチューニング・パラメータの詳細は、『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』のアプリケーション・モジュール・プーリングに関する項を参照してください。 |
Oracle Platform Securityによって提供されるmigrateSecurityStore WLSTコマンド・ユーティリティを使用して、あるOracle Identity Managerデプロイメントから他のデプロイメント(たとえば、テスト環境から本番環境)へポリシーを移行できます。たとえば、Oracle Identity Managerのすべての承認ポリシーをソースからターゲットへ移行するには、WLSTプロンプトから上書きモードで次の移行コマンドを実行します。
migrateSecurityStore(type="appPolicies",configFile="<configuration file path>", src="DBsourceContext", dst="DBdestinationContext", srcApp="OIM", dstApp="OIM", overWrite="true")
migrateSecurityStoreコマンドで使用される様々なパラメータおよびユーティリティの使用オプションの詳細は、Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス11gリリース2 (11.1.2)のインフラストラクチャ・セキュリティ・カスタムWLSTコマンドに関する説明を参照してください。
構成ファイルの構成の詳細は、『Oracle Fusion Middlewareアプリケーション・ガイド11gリリース1 (11.1.1)』の手動でのポリシーの移行に関する説明を参照してください。
|
注意: Oracle Identity Managerポリシーの移行用に構成ファイルを作成する際、ソース・システムおよびターゲット・システムに次のプロパティが設定されていることを確認してください。<property value="cn=mySourceDomain" name="oracle.security.jps.farm.name"/> <property value="cn=mySourceRootName" name="oracle.security.jps.ldap.root.name"/> 次のディレクトリ・パスのドメインのjps-config.xmlファイルから、これらの値を取得できます。 DOMAIN_HOME/config/fmwconfig/ ドメイン・ホームのjps-config.xmlでプロパティ名を検索して、この構成ファイルに値をコピーします。 ソース・システム値をソース・システムのドメイン・ホームで検索して、同様にターゲット・システムでも検索します。 |
表38-4にポリシーの移行に関する問題が発生した場合に実行できるトラブルシューティング手順を示します。
表38-4 ポリシー移行のトラブルシューティング
| 問題 | 解決策 |
|---|---|
|
次のエラーが表示されます。 oracle.security.jps.service.policystore.PolicyStoreIncompatibleVersionException: JPS-06100: Policy Store version 11.0 and Oracle Platform Security Services Version 11.1.1.6.0 are not compatible |
このエラー・メッセージの原因として、ポリシー・ストアに接続できないまたは見つからないということは考えられます。この問題をトラブルシューティングするには、構成ファイルで、データベースの接続性の詳細、ルート名およびソースおよびターゲットのファーム名を確認します。 |
