Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.2.0) B71104-05 |
|
前 |
次 |
この付録では、インストール後にLDAPアイデンティティ・ストアとOracle Identity ManagerのLDAP同期を手動で構成する方法について説明します。
注意: インストール時にOracle Identity Manager構成ウィザードでLDAP同期を有効化した場合、インストール後にLDAP同期を有効化する必要はないため、この付録をスキップできます。 |
Oracle Identity Managerの以前のリリースでは、Oracle Identity Managerのインストール時にのみLDAP同期を有効化でき、インストール後はLDAP同期を有効化できません。Oracle Identity Manager 11g リリース1 (11.1.1.5.0)以降は、インストール後のLDAP同期の有効化がサポートされています。Oracle Identity Manager 11g リリース2 (11.1.2.2.0)でも、インストール後のLDAP同期の有効化がサポートされています。
関連項目: LDAP同期の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のLDAPアイデンティティ・ストアとOracle Identity Managerの統合に関する項を参照してください。 |
インストール中にOracle identity ManagerとともにOracle Internet Directory (OID)、iplanet (ODSEE)、Active Directory (AD)またはOracle Unified Directory (OUD)を選択すると、Oracle Virtual Directory (OVD)の仮想化機能が活用されます。Oracle Identity Managerには、スタンドアロンOVDサーバーのかわりにIdentity Virtualization Library (libOVD)が含まれています。Oracle Identity Managerは、Identity Virtualization Library (libOVD)の有無にかかわらずデプロイできます。Oracle Identity ManagerにIdentity Virtualization Library (libOVD)を含めると、Oracle Identity Managerは独自のOVDインスタンスを実行することなく、この共通ライブラリを使用できます。Identity Virtualization Library (libOVD)がない場合、Oracle Identity ManagerはOVDインスタンスを個別に使用する必要があります。
注意: 共通ライブラリは、Oracle Identity Managerと同じJava仮想マシン(JVM)に配置されているIdentity Virtualization Library (libOVD)の定義です。それは、別のサーバーではなく、Oracle Identity Manager内のライブラリです。 |
Oracle Identity ManagerインストーラでLDAP同期を選択するときに、AD、iPlanet (ODSEE)、OID、OVDおよびOUDオプションのいずれかを選択できます。AD、iPlanet (ODSEE)、OIDまたはOUDを選択すると、Oracle Identity ManagerはIdentity Virtualization Library (libOVD)とともにインストールされます。OVDを選択すると、LDAP同期が有効化されるため、LDAP同期を有効化するための手動の構成手順が不要になります。ただし、Oracle Identity Managerのインストール時にLDAP同期が有効化されていない場合は、LDAP同期を有効化するためのインストール後の手動構成が必要です。
この付録では、インストール後にLDAP同期を有効にするための次の構成について説明します。
様々なカスタム・オブジェクト・クラスを使用したOracle Identity Managerを介したユーザー作成のカスタマイズ
LDAP同期が有効化されている場合に、LDAPにおいてではなくOracle Identity Managerでユーザーを作成
Identity Virtualization Library (libOVD)アダプタの作成およびOracle Identity Managerとの統合
Identity Virtualization Library (libOVD)とディレクトリ・サーバーの間でのSSLの有効化
また、この付録の内容は次のとおりです。
Oracle Identity Managerをデプロイした後でLDAP同期を有効化するには、次の手順を実行します。
注意: Oracle Identity Manager 11g リリース2 (11.1.2.2.0)では、idmConfigToolユーティリティを実行してLDAP同期を事前構成する必要があります。LDAPの事前構成とは、LDAPディレクトリにデフォルト・コンテナ、管理者、およびOracle Identity Managerが正しく動作するためのアクセス制御リスト(ACL)の設定準備をすることです。これを行うための手順は、Oracle Fusion Middleware Identity and Access Managementに関するインストレーション・ガイドのアイデンティティ・ストアの事前構成に関する説明に記載されています。 idmConfigToolユーティリティ使用の詳細は、付録D「idmConfigToolコマンドの使用方法」を参照してください。 idmConfigToolは、エンタープライズ・デプロイメント環境で実行されます。詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。これは、LDAP同期の前提条件をセットアップするもう1つの方法です。 スタンドアロンOracle Identity ManagerデプロイメントにおけるLDAP同期の前提条件のセットアップ手順は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。 idmConfigToolを使用して前提条件をセットアップしていない場合、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のLDAP同期を有効化するための前提条件の完了に関する項に従って、データベース・スキーマを拡張し、他の手順を実行する必要があります。 |
OIM_HOME環境変数に、Oracle Identity Managerがデプロイされているディレクトリを設定します。
次のファイルを、MDSから一時ステージング・ディレクトリ(/tmpなど)にコピーします。
注意: 別個のステージング・ディレクトリを作成する必要があります。$OIM_ORACLE_HOME/server/metadataディレクトリには他のファイルが含まれているため、ステージング・ディレクトリとして使用することはできません。これらのファイルを誤ってインポートすると、Oracle Identity Managerインスタンスが破損することがあります。 |
LDAPユーザー、ロール、ロール階層およびロール・メンバーシップ・リコンシリエーションのための、リコンシリエーション・プロファイルおよびリコンシリエーション水平表エンティティ定義の構成に、次のメタデータが使用されます。
/db/LDAPUser
/db/LDAPRole
/db/LDAPRoleHierarchy
/db/LDAPRoleMembership
/db/RA_LDAPROLE.xml
/db/RA_LDAPROLEHIERARCHY.xml
/db/RA_LDAPROLEMEMBERSHIP.xml
/db/RA_LDAPUSER.xml
/db/RA_MLS_LDAPROLE.xml
/db/RA_MLS_LDAPUSER.xml
これらのファイルは、インポート前に一時的な場所にコピーする必要があります。このようにしないと、同じ場所にoim-config.xmlも存在することになるため、インスタンスが破損することがあります。
LDAPイベント・ハンドラ。事前定義済イベント・ハンドラは、/db/ldapMetadata/EventHandlers.xmlファイル内にあります。
作成するユーザーおよびロールのコンテナ情報で構成されるLDAPContainerRules.xml。
注意: ディレクトリにマップされているこれらの属性のみを使用して、LdapContainerRules.xmlファイルにルールを含めることができます。外部オブジェクトからの属性またはエンティティの一部ではない属性を使用して、ルールを記述することはできません。これはユーザー・エンティティとロール・エンティティの両方に当てはまります。たとえば、「ロールの電子メール」はロールのルールには使用できず、ユーザーの「組織名」はユーザー・エンティティに使用できません。 |
LDAPContainerRules.xmlを編集します。これを行うには、LDAPContainerRules.xmlを開き、$DefaultUserContainer$と$DefaultRoleContainer$を適切なユーザー・コンテナ値とロール・コンテナ値で置換します。たとえば、次のように置換します。
$DefaultUserContainer$をcn=ADRUsers,cn=Users,dc=us,dc=oracle,dc=comなどの値で置換
$DefaultRoleContainer$をcn=ADRGroups,cn=Groups,dc=us,dc=oracle,dc=comなどの値で置換
Oracle Enterprise Managerを使用することでインポートを実行します。MDSからのメタデータ・ファイルのインポートの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のユーザーが修正可能なメタデータ・ファイルの移行に関する項を参照してください。
注意: MDSにインポートするときに、EventHandlers.xmlが/db/ldapMetadata/ディレクトリに存在することを確認してください。 |
Oracle Identity ManagerでITリソース構成を編集します。これを行うには、次の手順を実行します。
Oracle Identity System Administrationにシステム管理者としてログインします。
左のナビゲーション・ペインで、構成の下の「ITリソース」をクリックします。「ITリソースの管理」ページが表示されます。
Directory Server
ITリソースを探します。
このITリソースを「検索ベース」および予約コンテナの値で更新します。
「検索ベース」の推奨値は、ルート接尾辞またはベースDN (dc=us,dc=oracle,dc=comなど)です。
OVDサーバーでOracle Identity Managerを構成する場合は、「サーバーURL」にOVDサーバーのホストおよびポートの詳細を入力します。
Identity Virtualization Library (libOVD)でOracle Identity Managerを構成する場合は、「サーバーURL」に値を入力しないでください。空白にする必要があります。
バインド資格証明の値を次のように入力します。
管理ログイン: cn=oimadmin
管理パスワード: 1111111111
注意: Oracle Identity Managerプロキシ・ユーザーDNは、次の形式です。 PROXY_USER,cn=system,ROOT_SUFFIX 例: cn=oimadmin,cn=system, dc=us,dc=oracle,dc=com |
予約コンテナの値が、cn=reserve,VALUE_OF_THE_ROOT_SUFFIXであることを確認します。次に例を示します。
予約コンテナ: cn=reserve,dc=us,dc=oracle,dc=com
リコンシリエーション・ジョブでは、LDAPリコンシリエーションのスケジュール済ジョブをOracle Identity Managerスキーマの一部であるクォーツ表にシードします。前提条件で行ったように、OIM_ORACLE_HOME環境変数を設定します。次に例を示します。
Microsoft Windowsの場合は、次のコマンドを実行してOIM_ORACLE_HOME環境変数をC:\Oracle\Middleware\Oracle_IDM1ディレクトリに設定します。
set OIM_ORACLE_HOME=C:\Oracle\Middleware\Oracle_IDM
UNIXでは、次のコマンドを実行します。
setenv OIM_ORACLE_HOME /u01/mwhome/Oracle_IDM
LDAPリコンシリエーション・スケジュール済ジョブのシードは、次の内の1つの方法で実行できます。
LDAPリコンシリエーション・スケジュール済ジョブのパラメータによるシード
$OIM_ORACLE_HOME/server/setup/deploy-filesディレクトリに移動します。
antのホームを設定します。次に、antのホームを設定するコマンドの例を示します。
UNIXの場合:
setenv ANT_HOME /u01/mwhome/modules/org.apache.ant_1.7.1
Microsoft Windowsの場合:
set ANT_HOME=/u01/mwhome/modules/org.apache.ant_1.7.1
注意: ANTがインストールされていない場合は、次のURLに移動してOracle Technology Network (OTN)のWebサイトからANTをダウンロードします。
ANTをインストールして、ANT_HOMEを設定します。ant実行ファイルが、$ANT_HOME/bin/ant/ディレクトリにあることを確認します。 |
パラメータを設定してantコマンドを実行します。
$ANT_HOME/bin/ant -f setup.xml seed-ldap-recon-jobs -DoperationsDB.driver=oracle.jdbc.OracleDriver -DoperationsDB.user=SCHEMA_OWNER_USERNAME -DOIM.DBPassword=SCHEMA_OWNER_PASSWORD -DoperationsDB.host=SCHEMA_HOST_ADDRESS -DoperationsDB.port=SCHEMA_PORT_NUMBER -DoperationsDB.serviceName=SCHEMA_SERVICE_NAME -Dssi.provisioning=ON -Dweblogic.server.dir=WEBLOGIC_SERVER_LOCATION -Dojdbc.location=OJDBC_LOCATION -Dwork.dir=seed_logs
次に例を示します。
$ANT_HOME/bin/ant -f setup.xml seed-ldap-recon-jobs -DoperationsDB.driver=oracle.jdbc.OracleDriver -DoperationsDB.user=schemaowner1_OIM -DOIM.DBPassword=SCHEMA_OWNER_PASSWORD -DoperationsDB.host=myhost.mycompany.com -DoperationsDB.port=1234 -DoperationsDB.serviceName=oimdb.regress.rdbms.mycompany.com -Dssi.provisioning=ON -Dweblogic.server.dir=MW_HOME/wlserver_10.3 -Dojdbc.location=MW_HOME/oracle_common/inventory/Scripts/ext/jlib/ojdbc6.jar -Dwork.dir=seed_logs
LDAPリコンシリエーション・スケジュール済ジョブのプロファイル・ファイルによるシード
次の環境変数を設定します。
OIM_ORACLE_HOMEをOIM_HOMEディレクトリ。
ANT_HOMEをANTがインストールされているディレクトリに設定します。
注意: ANTがインストールされていない場合は、次のURLのOracle Technology Network (OTN) WebサイトからANTをダウンロードします。
ANTをインストールして、ANT_HOMEを設定します。ant実行ファイルが、$ANT_HOME/bin/ant/ディレクトリにあることを確認します。 |
$OIM_ORACLE_HOME/server/bin/ディレクトリに移動します。
表E-1に示すプロパティを使用して、プロパティ・ファイルを作成します。
注意: プロパティ・ファイルを新規に作成するかわりに、appserver.profileを使用することもできます。この手順にリストされたプロパティに値が設定されていることを確認します。 |
表E-1 プロパティ・ファイルのパラメータ
パラメータ | 説明 |
---|---|
operationsDB.user |
Oracle Identity Managerデータベース・スキーマの所有者 |
operationsDB.driver |
|
operationsDB.host |
Oracle Identity Managerデータベース・スキーマのホスト・アドレス |
OIM.DBPassword |
Oracle Identity Managerデータベース・スキーマの所有者のパスワード |
operationsDB.serviceName |
Oracle Identity Managerデータベース・スキーマのサービス名。たとえば、 |
operationsDB.port |
Oracle Identity Managerデータベース・スキーマのポート番号。 |
ssi.provisioning |
値は |
weblogic.server.dir |
Oracle WebLogic Serverのインストール先のディレクトリ。たとえば、 |
ojdbc.location |
JDBCのインストール先のディレクトリ。たとえば、 |
work.dir |
ログ・ファイルを作成する任意のディレクトリ。 ターゲットの完了後に、$WORK_DIR/seed_logs/ldap/SeedSchedulerData.logファイルでログをチェックできます。 |
$OIM_ORACLE_HOME/server/setup/deploy-files/ディレクトリに移動します。
次のコマンドを実行します。
$ANT_HOME/bin/ant -f setup.xml seed-ldap-recon-jobs -propertyfile $OIM_ORACLE_HOME/server/bin/PROPERTY_FILE_NAME
新しいユーザーを作成する際に、カスタム属性をOracle Identity Managerのユーザー定義フィールド(UDF)として追加することで、またはMDSのLDAPUser.xmlに追加することで、カスタム・オブジェクト・クラスおよびカスタム属性を追加できます。前提条件として、1つ以上の属性を持つカスタム・オブジェクト・クラスを作成し、OIDにロードする必要があります。
カスタム属性をOracle Identity ManagerのUDFまたはMDSのLDAPUser.xmlとして追加する手順は、次のとおりです。
『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のカスタム属性の作成に関する項に従って、Oracle Identity Managerのユーザー属性にカスタム属性を追加します。
『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のユーザーが修正可能なメタデータ・ファイルの移行に関する項に従って、リポジトリから/metadata/iam-features-ldap-sync/LDAPUser.xmlメタデータ・ファイルをエクスポートします。
LDAPUser.xmlファイルを更新し、custom attribute1
カスタム属性およびcustomObjectClass
カスタム・オブジェクト・クラスを追加します。
createでさらにオブジェクト・クラスを追加するには、LDAPUser.xmlを編集し、さらに<value>エントリを<parameter name="objectclass">ノードに追加します。次に例を示します。
<parameter name="objectclass"> <value>orclIDXPerson</value> <value>customObjectClass</value> </parameter>
カスタム属性をLDAPUser.xmlファイルの3つのセクションに追加します。これを行うには、次の手順を実行します。
その属性エントリを<entity-attributes>タグの終わりに追加します。次に例を示します。
<entity-attributes> ................... ................... <attribute name="custom attribute1"> <type>string</type> <required>false</required> <attribute-group>Basic</attribute-group> <searchable>true</searchable> </attribute> </entity-attributes>
注意: OUD LDAPディレクトリを使用している場合は、カスタム属性名に空白を含めることはできません。OUDでは、属性名に空白が含まれているカスタム属性を作成できません。 |
その属性エントリを<target-fields>タグの終わりに追加します。次に例を示します。
<target-fields> ................... ................... <field name="customattr1"> <type>string</type> <required>false</required> </field> </target-fields>
その属性エントリを<attribute-maps>タグの終わりに追加します。次に例を示します。
<attribute-maps> ................... ................... <attribute-map> <entity-attribute>custom attribute1</entity-attribute> <target-field>customattr1</target-field> </attribute-map> </attribute-maps>
LDAPUser.xmlファイルを保存して閉じます。
『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のユーザーが修正可能なメタデータ・ファイルの移行に関する項に従って、リポジトリに/metadata/iam-features-ldap-sync/LDAPUser.xmlメタデータ・ファイルをインポートします。
(オプション)cnのRDN属性を変更する場合は、<parameter name="rdnattribute">タグを新しいディレクトリ属性名に更新し、/metadata/iam-features-ldap-sync/LDAPUser.xmlメタデータ・ファイルをリポジトリに再インポートします。次に例を示します。
<parameter name="rdnattribute"> <value>companyid</value> </parameter>
Oracle Identity Managerを介して新しいユーザーを作成することで構成をテストします。
LDAP同期増分リコンシリエーション・ジョブが実行されるときには、変更ログ問合せによって、変更ログ・リコンシリエーション中に、LDAPサーバーにおけるユーザー/ロール・アカウントまたはエントリの増分変更が、Oracle Identity Managerデータベースに返されます。ただしLDAP同期化増分リコンシリエーション・ジョブの実行時に、変更ログのリコンシリエーション中にルールまたはフィルタに基づき、LDAPの一部のエントリについて、Oracle Identity Managerデータベースに変更を返さないことを選択できます。これを行うために、フィルタ・タグまたはフィルタ・パラメータとしてincludeEntriesFilterをLDAPUser.xmlファイルで使用して、不要なエントリをフィルタによって除外し、ルールに基づいて必要なエントリのみを持ちこんでから、そのデータをリコンシリエーション・エンジンに送信できます(この結果、そのようなエントリはOracle Identity Managerデータベースに格納されなくなります)。すなわち、属性レベルのフィルタリングへのサポートが提供されます。
次の例は、LDAPUser.xmlファイルにおける属性レベルのフィルタリングの指定方法を示しています。
<parameter name="includeEntriesFilter"> <value>employeeNumber=123456</value> </parameter>
この<value>タグには、LDAP属性employeeNumberと、それに対応する値が含まれます。これで、LDAPサーバー内にある変更ログ・エントリまたはユーザー・エントリのうち、基準employeeNumber=123456と一致するものがすべてフィルタによって除外され、ユーザーのリコンシリエーション・エンジンに送信されて、Oracle Identity Managerデータベースでリコンサイルされます。このフィルタと一致しない他の変更ログ・エントリは、Oracle Identity Managerデータベースへリコンサイルするためのリコンシリエーション・エンジンに送信されなくなります。
次に、includeEntriesFilterフィルタ・パラメータの使用例を示します。
(!(LDAP_attribute=val1)(LDAP_attribute=val2)(LDAP_attribute=val3)...)
値が変数の場合は、フィルタはObjectClass=*とする必要があります。ユーザーごとに属性値が異なるように、LDAP_attributeに変数値を指定する必要があります。
LDAP同期が有効化されると、LDAPで作成されたユーザー・エントリをフィルタで除外するために、LDAPUser.xmlファイルでフィルタ・パラメータexcludeEntityFilterを構成できます(ただしOracle Identity Managerにのみ存在可能です)。任意のOracle Identity Managerの属性およびその値に基づき、LDAP同期が有効化モードであるにもかかわらず、LDAPサーバーにプッシュすることなくOracle Identity Managerにユーザーを作成できます。
注意: この機能は、ユーザー・エンティティに対してのみサポートされます。 |
たとえば、act_key=2のOracle Identity ManagerアカウントをLDAPには作成しない場合、次の手順を実行します。
MDSからLDAPUser.xmlファイルをインポートします。
次のフィルタをLDAPUser.xmlに追加します。
<parameter name="excludeEntityFilter"> <value>act_key=2</value> </parameter> <parameter name="excludeEntityActions"> <value>ALL</value> </parameter>
LDAPUser.xmlファイルをMDSにエクスポートします。
組織のact_keyを2にして、Oracle Identity Managerにユーザーを作成します。同じユーザーはLDAPには作成されません。Oracle Identity Managerで作成され、2以外のact_keyで組織に割り当てられたユーザーは、正常にLDAPに作成されることに注意してください。
他の例は、ユーザーのロールがFull-Timeと一致する場合に、Oracle Identity Managerにのみユーザーを作成してLDAP同期が有効化モードになっているLDAPサーバーには作成しないというものです。これを行うには、次のフィルタ・パラメータを使用します。
<parameter name="excludeEntityFilter"> <value>Role=Full-Time</value> </parameter> <parameter name="excludeEntityActions"> <value>ALL</value> </parameter>
この例では、フィルタおよびアクションに基づき、一部のOracle Identity ManagerのユーザーがLDAPで許可されません。デフォルトでは、操作を無効化するためにALLが設定され、このようなユーザーにはCRUD操作はできません。これは次のようになります。
<parameter name="excludeEntityActions"> <value>ALL</value> </parameter>
LDAPUser.xmlファイルで指定したフィルタが評価され、LDAP同期ハンドラに進むかどうかを決定するためにブール値が返されます。
これらのパラメータについては、この製品ではスキーマ・ファイルが利用できます。これをカスタマイズする場合、LDAPUser.xmlファイルで構成を完了する必要があります(これをMDSにエクスポートする必要があります)。
libOVDに関連するスクリプトまたはテンプレート・ファイルを使用することでIdentity Virtualization Library (libOVD)アダプタを構成できます。表E-2は、Identity Virtualization Library (libOVD)アダプタの構成に使用するファイルを示しています。
表E-2 Identity Virtualization Library (libOVD)アダプタの構成ファイル
ファイル | 説明 |
---|---|
$MIDDLEWARE_HOME/oracle_common/modules/oracle.ovd_11.1.1/ディレクトリ内のファイル |
Identity Virtualization Library (libOVD)に関連するファイル |
$MIDDLEWARE_HOME/oracle_common/bin/ディレクトリ内のファイル: libovdadapterconfig.sh libovdconfig.sh libovdadapterconfig.bat libovdconfig.bat |
Identity Virtualization Library (libOVD)を構成するためのスクリプト・ファイル |
$MIDDLEWARE_HOME/Oracle_IDM/libovd/ディレクトリのファイル: adapter_template_oim_ldap.xml adapter_template_oim.xml |
Identity Virtualization Library (libOVD)を構成するための一時ファイル |
$MIDDLEWARE_HOME/user_projects/domains/DOMAIN_NAME/config/fmwconfig/ovd/ADAPTER_NAME/ディレクトリのファイル: adapters.os_xml デフォルトでは、ADAPTER_NAMEの値はoimです。 |
Identity Virtualization Library (libOVD)を構成した後の構成ファイル |
Identity Virtualization Library (libOVD)アダプタを構成し、Oracle Identity Managerと統合する手順は、次のとおりです。
スクリプトを実行してIdentity Virtualization Library (libOVD)を構成する前に、次の環境変数を設定します。
MIDDLEWARE_HOMEを適切なミドルウェア・ホーム・ディレクトリに設定
ORACLE_HOMEを$MIDDLEWARE_HOME/oracle_commonに設定
WL_HOMEを$MIDDLEWARE_HOME/wlserver_10.3に設定
JAVA_HOMEを適切なjdk6 path ../jdk6に設定
Identity Virtualization Library (libOVD)を構成する手順は、次のとおりです。
注意: コマンド内のホスト・コンピュータおよびディレクトリ・パスの該当する情報を置換し、Identity Virtualization Library (libOVD)を構成するためのスクリプトを実行します。 |
libOVD構成ファイルを作成し、ディレクトリ構造をレイアウトするには、次のコマンドを実行します。
sh $MW_HOME/oracle_common/bin/libovdconfig.sh -domainPath FULL_PATH_OF_DOMAIN -contextName oim -host ADMINSERVER_HOST -port ADMINSERVER_PORT -userName ADMINSERVER_USERNAME
次に例を示します。
sh $MW_HOME/oracle_common/bin/libovdconfig.sh -domainPath $MIDDLEWARE_HOME/user_projects/domains/base_domain -contextName oim -host myhost.mycompany.com -port 7001 -userName weblogic
このコマンドによって、Oracle Identity ManagerにOVD構成ファイルを含むディレクトリ構造が作成され、構成ファイル・テンプレートがコピーされます。この例では、contextNameはoimと想定されます。したがって、OVD構成ファイルはDOMAIN_HOME/config/fmwconfig/ovd/oim/ディレクトリに作成されます。ここで、DOMAIN_HOMEは、自身のドメインのホーム・ディレクトリとして使用しているディレクトリです。
注意: Identity Virtualization Library (libOVD)はOracle Identity Managerに組み込まれているため、どちらも同じWebコンテナにデプロイされます。したがって、管理サーバー・ホストと管理サーバー・ポートは、OIDがインストールされているコンピュータではなくOracle Identity Managerがインストールされているものと同じコンピュータのものであることが必要です。 |
コマンドを実行すると、次のものが表示されます。必要な場合にはパスワードを入力します。
Enter AdminServer Password: Successfully created OVD config files CSF Credential creation successful Permission Grant successful Successfully configured OVD MBeans
ユーザー・アダプタおよび変更ログ・アダプタを作成するには、次のコマンドを実行します。
sh $MW_HOME/oracle_common/bin/libovdadapterconfig.sh -domainPath FULL_PATH_OF_DOMAIN -contextName oim -host ADMINSERVER_HOST -port ADMINSERVER_PORT -userName ADMINSERVER_USERNAME -adapterName ADAPTER_NAME -adapterTemplate adapter_template_oim.xml -bindDN LDAP_BIND_DN -createChangelogAdapter -dataStore LDAP_DIRECTORY_TYPE -ldapHost LDAP_HOST -ldapPort LDAP_PORT -remoteBase REMOTE_BASE -root VIRTUAL_BASE
ここで、テンプレートはoimテンプレートです。これにより、このスクリプトを実行したときに、Oracle Identity Managerテンプレートに基づいて、指定した情報を使用してアダプタが作成されます。この手順で示すコマンドの例では、contextNameはoimであると想定しています。
注意:
|
バックエンドLDAPサーバー・ポートがSSLを使用するように構成されている場合、Oracle Identity Managerユーザーはkeytoolを使用して信頼できる証明書をLDAPサーバーからIdentity Virtualization Library (libOVD)キーストアにインポートする必要があります。これを行うには、「Identity Virtualization Library (libOVD)とディレクトリ・サーバーの間でのSSLの有効化」を参照してください。
非SSL LDAPサーバー・ポートを使用した例:
sh $MW_HOME/oracle_common/bin/libovdadapterconfig.sh -domainPath $MW_HOME/user_projects/domains/base_domain -contextName oim -host myadminserver.mycompany.com -port 7001 -userName weblogic -adapterName LDAP1 -adapterTemplate adapter_template_oim.xml -bindDN "cn=orcladmin" -createChangelogAdapter -dataStore OID -ldapHost myldaphost.mycompany.com -ldapPort 3060 -remoteBase "dc=us,dc=oracle,dc=com" -root "dc=us,dc=oracle,dc=com" Enter AdminServer Password: Enter LDAP Server Password:
SSLを使用するように構成されたLDAPサーバー・ポートを使用した例:
注意: LDAPポートにSSLポートを使用する場合は、libovdadapterconfig.shまたはlibovdadapterconfig.batコマンドで-enableSSLパラメータを指定します。 |
sh $MW_HOME/oracle_common/bin/libovdadapterconfig.sh -domainPath $MW_HOME/user_projects/domains/base_domain -contextName oim -host myadminserver.mycompany.com -port 7001 -userName weblogic -adapterName LDAP1 -adapterTemplate adapter_template_oim.xml -bindDN "cn=orcladmin" -createChangelogAdapter -dataStore OID -ldapHost myldaphost.mycompany.com -ldapPort 3161 -enableSSL -remoteBase "dc=us,dc=oracle,dc=com" -root "dc=us,dc=oracle,dc=com" Enter AdminServer Password: Enter LDAP Server Password:
次のコマンドを実行することで、WebコンテナおよびOracle Identity Managerを再起動します。
cd $MIDDLEWARE_HOME/user_projects/domains/DOMAIN_NAME/bin/ ./stopManagedWebLogic.sh oim_server1 ./stopWebLogic.sh ./startWebLogic.sh ./startManagedWebLogic.sh oim_server1
Oracle Identity ManagerをOracle Identity Virtualization (libOVD)に統合する手順は、次のとおりです。
Oracle Identity System Administrationにログインします。
左のペインで、構成の下の「ITリソース」をクリックします。別のウィンドウに「ITリソースの管理」ページが表示されます。
「ITリソース・タイプ」リストから「ディレクトリ・サーバー」を選択し、「検索」をクリックします。
ディレクトリ・サーバーITリソースについては、「編集」をクリックします。「ITリソースの詳細およびパラメータの編集」ページが表示されます。
「検索ベース」フィールドに、たとえばdc=oracle,dc=com
のように値を入力します。
「ユーザー予約コンテナ」フィールドに、たとえば、cn=reserve,dc=us,dc=oracle,dc=com
のように値を入力します。
Oracle Identity ManagerがデプロイされているWebLogicサーバーを再起動します。
サーバーにアクセスし、Oracle Identity System Administrationを介してユーザーおよびロールの管理を試みます。
-dataStoreオプションを使用して構成されたLDAPサーバーでデータが管理されていることを検証するには、ldapclientツールを直接使用してLDAPサーバーに接続します。
SSLのために、次の項の説明に従って、ディレクトリ・サーバーからサーバー側の証明書をエクスポートし、Identity Virtualization Library (libOVD)にインポートする必要があります。
Active Directoryからサーバー側の証明書をエクスポートし、Identity Virtualization Library (libOVD)にインポートするには、次の手順を実行します。
次のMicrosoft TechNetのドキュメントの指示を参照して、Active Directoryサーバーから証明書をエクスポートします。
http://technet.microsoft.com/en-us/library/cc732443%28WS.10%29.aspx http://technet.microsoft.com/en-us/library/cc772898%28WS.10%29.aspx
CA署名証明書を取得し、ファイルに保存します。これを行うには、次の手順を実行します。
ドメイン管理者としてActive Directoryドメイン・サーバーにログインします。
「スタート」、「コントロール パネル」、「管理ツール」、「証明機関」の順にクリックし、証明機関用のMicrosoft管理コンソール(MMC)を表示します。
CAコンピュータを右クリックし、CAのプロパティを選択します。
「全般」メニューから、「証明書の表示」を選択します。
「詳細」ビューを選択し、ウィンドウの右下隅にある「ファイルにコピー」をクリックします。
次のコマンドを実行して、証明書のエクスポート・ウィザードを使用し、CA証明書をファイルに保存します。
certutil -ca.cert OutCACertFile
注意: CA証明書は、DER Encoded Binary X-509形式またはBased-64 Encoded X-509形式で保存できます。 |
次のコマンドを実行して、手順3fで作成したActive Directoryサーバー証明書を、Identity Virtualization Library (libOVD)キーストアに信頼できるエントリとしてインポートします。
$ORACLE_HOME/jdk/jre/bin/keytool -importcert -keystore $DOMAIN_HOME/config/fmwconfig/ovd/CONTEXT/keystores/adapters.jks -storepass password -alias alias -file OutCACertFile -noprompt
Identity Virtualization Library (libOVD)とiPlanet (ODSEE)の間でのSSLを有効化するために、iPlanet (ODSEE)から証明書をエクスポートしてIdentity Virtualization Library (libOVD)にインポートするには、次の手順を実行します。
iPlanet (ODSEE)から証明書をエクスポートするには、次のコマンドを実行します。
dsadm export-cert -o OUTPUT_FILE INSTANCE_PATH CERT_ALIAS
次に例を示します。
./dsadm export-cert -o /tmp/server-cert /scratch/aime1/iPlanet/dsInst/ defaultCert Choose the PKCS#12 file password: Confirm the PKCS#12 file password: ls -lrt /tmp -rw------- 1 aime1 svrtech 1684 Jan 20 00:39 server-cert
ステップ1で作成したiPlanet (ODSEE)証明書を、信頼できるエントリとしてIdentity Virtualization Library (libOVD)キーストアにインポートするには、次のコマンドを実行します。
ORACLE_HOME/jdk/jre/bin/keytool -importcert -keystore $DOMAIN_HOME/config/fmwconfig/ovd/CONTEXT/keystores/adapters.jks -storepass PASSWORD -alias ALIAS_VALUE_USED_FOR_EXPORT -file SERVER-CERT_FILENAME -noprompt
注意: 証明書をインポートする際は、-aliasパラメータに対して、その証明書をエクスポートしたときに指定したものと同じ証明書の別名を指定します。次に例を示します。 ORACLE_HOME/jdk/jre/bin/keytool -importcert -keystore $DOMAIN_HOME/config/fmwconfig/ovd/CONTEXT/keystores/adapters.jks -storepass password -alias defaultCert -file server-cert -noprompt さらに、次のURLにあるODSEEドキュメントの説明に従って証明書をエクスポートおよびインポートします。
|
OIDからサーバー側の証明書をエクスポートしてIdentity Virtualization Library (libOVD)にインポートするには、次の手順を実行します。
次のコマンドを使用して、Oracle Internet Directoryサーバーの証明書をBase64形式でエクスポートします。
orapki wallet export -wallet LOCATION_OF_OID_WALLET -dn DN_FOR_OID_SERVER_CERTIFICATE -cert ./b64certificate.txt
注意: orapkiコマンドで証明書別名を使用する場合、その別名がすべて小文字でないと、エラーが生成されます。 |
次のコマンドを使用して、ステップ2で作成したOracle Internet Directoryサーバー証明書を、Identity Virtualization Library (libOVD)キーストアに信頼できるエントリとしてインポートします。
$ORACLE_HOME/jdk/jre/bin/keytool -importcert -keystore $DOMAIN_HOME/config/fmwconfig/ovd/CONTEXT/keystores/adapters.jks -storepass password -alias alias -file OutCACertFile -noprompt
LDAPを同期していないOracle Identity Managerデプロイメントでユーザーとロールを作成した後で、LDAP同期を有効化することを決めた場合、LDAP同期を有効化する前に作成したユーザーとロールを、同期の有効化後にLDAPと同期する必要があります。LDAPに対するユーザー、ロール、ロール・メンバーシップおよびロール階層のプロビジョニングは、LDAP用に事前定義された次のスケジュール済ジョブで達成できます。
LDAPSync Post Enable Provision Users to LDAP
LDAPSync Post Enable Provision Roles to LDAP
LDAPSync Post Enable Provision Role Memberships to LDAP
LDAPSync Post Enable Provision Role Hierarchy to LDAP
これらのスケジュール済ジョブの詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』の事前定義済のスケジュール済タスクに関する項を参照してください。
Oracle Identity ManagerデプロイメントでLDAP同期を無効化するには、次の手順を実行します。
Oracle Enterprise Managerを使用してMDSから/db/ldapMetadata/EventHandlers.xmlファイルを削除します。MDSからのメタデータ・ファイルの削除の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のユーザーが修正可能なメタデータ・ファイルの移行に関する項を参照してください。
Oracle Identity System Administrationにシステム管理者としてログインします。
「LDAP同期を有効化する前に作成したユーザーおよびロールのLDAPへのプロビジョニング」で説明しているスケジュール済ジョブすべてを無効化します。
Oracle Identity Managerのインストール中にOID、ODSEEまたはADを選択する場合、そのときにLDAP同期が有効化されていると、Identity Virtualization Library (libOVD)アダプタがバックエンドで生成されます。
Oracle Identity Managerのインストール中にLDAP同期を有効化せず、Oracle Identity Managerのインストール後にLDAP同期を有効化する場合は、libOVDアダプタを作成し、構成する必要があります。詳細は、「Identity Virtualization Library (libOVD)アダプタの作成およびOracle Identity Managerとの統合」および「Identity Virtualization Library (libOVD)アダプタの管理」を参照してください。
OVDサーバーを構成してあり、Oracle Identity Managerをインストールした後にLDAP同期を有効化する場合は、ディレクトリ・サーバーITリソース・タイプの「ITリソース」ページをOVDサーバーの詳細で構成する必要があります。「インストール後のLDAP同期の有効化」の手順5を参照してください。
OVDサーバーがアダプタに対して構成されていない場合、様々なデフォルトLDAPサーバーに対してOVDアダプタを作成する必要があります。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Virtual Directoryでのアダプタの作成に関する項を参照してください。
Oracle Identity Managerとの統合のためにOVDを構成している場合は、OIDとAD用のOVDアダプタ作成の詳細に関して次のトピックを参照してください。
UserManagementプラグインを使用すると、Oracle Internet DirectoryおよびActive Directory用のOracle Virtual Directoryユーザーおよび変更ログ・アダプタを作成できます。Oracle Identity Managerにはアダプタが必要です。Oracle Virtual Directoryを使用してOracle Internet Directoryに接続することを強くお薦めします。ただしこれは必須ではありません。
そのためには、IDMHOST1で次のタスクを実行します。
第D.2項「環境変数の設定」の説明に従って、必要なすべての環境変数が設定されていることを確認します。
Oracle Internet Directoryアダプタのプロパティ・ファイル(名称: ovd1.props
)を、次のように作成します。
注意:
|
ovd.host:ovdhost1.mycompany.com ovd.port:8899 ovd.binddn:cn=orcladmin ovd.password:ovdpassword ovd.oamenabled:true ovd.ssl:true ldap1.type:OID ldap1.host:oididstore.myhost.mycompany.com ldap1.port:3060 ldap1.binddn:cn=orcladmin,cn=systemids,dc=mycompany,dc=com ldap1.password:oidpassword ldap1.ssl:false ldap1.base:dc=mycompany,dc=com ldap1.ovd.base:dc=mycompany,dc=com usecase.type: single
次の表で、プロパティ・ファイルで使用されるパラメータについて説明します。
パラメータ | 説明 |
---|---|
|
Oracle Virtual Directoryを実行するサーバーのホスト名。 |
|
Oracle Virtual Directoryにアクセスするために使用されるhttpsポート。 |
|
Oracle Virtual Directoryに接続するために使用されるUser DN。 |
|
Oracle Virtual Directoryに接続するために使用されるDN用のパスワード。 |
|
次の場合は常にtrueです。
|
|
httpsポートを使用している場合はtrueに設定します。 |
|
Oracle Internet Directoryバックエンド・ディレクトリの場合はOIDに、Active Directoryバックエンド・ディレクトリの場合はADに設定されます。 |
|
バックエンド・ディレクトリが存在するホスト。ロード・バランサ名を使用します。 |
|
バックエンド・ディレクトリとの通信に使用されるポート。 |
|
oimLDAPユーザーのバインドDN。 |
|
oimLDAPユーザーのパスワード。 |
|
バックエンドのSSL接続を使用している場合はtrueに、それ以外の場合はfalseに設定します。AD用にアダプタを作成する場合、このパラメータを常にtrueに設定します。 |
|
ディレクトリ・ツリーにおけるベースの場所。 |
|
Oracle Virtual Directoryでマップされた場所。 |
|
単一ディレクトリ・タイプを使用している場合、Singleに設定します。 |
次の場所にあるidmConfigTool
コマンドを使用してアダプタを構成します。
IAM_ORACLE_HOME
/idmtools/bin
注意:
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOVD input_file=configfile [log_file=logfile]
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -configOVD input_file=configfile [log_file=logfile]
次に例を示します。
idmConfigTool.sh -configOVD input_file=ovd1.props
このコマンドでは、入力は必要ありません。次のように出力されます。
The tool has completed its operation. Details have been logged to logfile
プロパティ・ファイルでovd.host
に適切な値を設定して、トポロジ内の各Oracle Virtual Directoryインスタンスに対してこのコマンドを実行します。
このトピックでは、Oracle Virtual DirectoryがOracle Identity Manager統合のコネクタ・ターゲットである場合に使用するように設計されたプラグインについて説明します。
UserManagementプラグインは、Oracle Identity Managerの属性からLDAPディレクトリ・サーバーへのデータ・マッピングを提供します。
UserManagementプラグインには、次の構成パラメータがあります。
追加または変更リクエスト時に削除する必要のあるオブジェクト・クラスのカンマ区切りのリスト。
クライアントに戻される前にエントリから実際に削除される属性のカンマ区切りリスト。
特定のオブジェクト・クラスに対する特定の属性マッピングの除外を定義します。たとえば、値inetorgperson,uid=samaccountname
を持つパラメータを指定すると、オブジェクト・クラスinetorgperson
のエントリ上のuidからsamaccountname
へのマッピングが除外されます。このオプションの複数のインスタンスを使用すると、マッピングに対して複数の除外が可能になります。
属性言語サブタイプで使用される言語コードのカンマ区切りリストこのパラメータは、directoryTypeパラメータがActiveDirectoryに設定されている場合にのみ機能します。
TrueまたはFalse: Oracle Access Management Access Manager (Access Manager)がOracle Identity Managerとともにデプロイされているかどうかを示します。デフォルトでは、Access Managerはデプロイされておらず、したがってこのパラメータのデフォルト設定はfalseです。
注意: UserManagementプラグインとchangelogプラグインのoamEnabledパラメータの値は同一であることが必要です。 |
ソースLDAPディレクトリ・サーバーのタイプを指定します。サポートされている値はOID、ActiveDirectoryおよびSunOneです。デフォルト値はOIDです。
注意: UserManagementプラグインとchangelogプラグインのdirectoryTypeパラメータの値は同一であることが必要です。 |
ssladapterパラメータは、directoryTypeパラメータがActiveDirectoryに設定されている場合にのみ機能し、リクエストにuserPassword
またはunicodePwd
が含まれている場合にUserManagementプラグインによってリクエストがルーティングされる先のアダプタの名前を指定します。unicodePwd
がリクエストに含まれている場合、そのリクエストには、適切な値を持つuseraccountControl属性も含まれている必要があります。
ssladapterパラメータによって指定されるアダプタは、次のようになっている必要があります。
UserManagementプラグインが構成されているアダプタと同じローカル・ベースを持つ
ルーティングの可視性がInternalに設定されている
ssladapterに値が設定されていない場合は、デフォルトで現在のアダプタが使用されます。
OVD-attribute=OIM-attributeの形式の属性変換を定義します。たとえば、orclGUID=objectGuidなどです。mapAttribute構成パラメータを複数回設定して、複数の属性の変換を定義できます。
TrueまたはFalse。directoryType構成パラメータをActiveDirectoryに設定すると、mapPasswordパラメータが、ユーザー・パスワードをunicodePwd属性に変換するかどうかを制御します。デフォルト値はfalseです。
OVD-RDNattribute=OIM-RDNattributeの形式のRDN属性変換を定義します。たとえば、uid=cnなどです。
(このプラグインがデプロイされているアダプタを介して公開されるユーザー・エントリに適用されたパスワード・ポリシーの定義に従い)ソースLDAPディレクトリ・サーバーによってアカウントがロックされるために必要な失敗ログインの最大回数を指定します。
注意: XL.MaxLoginAttempts、pwdMaxFailureおよびロックアウト回数のパラメータ値は、LDAP対応の設定と同じである必要があります。LDAP対応環境では動作を一貫させるために、ロックとロック解除に関してこれらの属性に指定された値の一貫性を保つ必要があります。たとえば、libOVDとOUDのLDAP対応環境において、XL.MaxLoginAttemptsシステム・プロパティの値を10に設定し、adapters.os_xmlのpwdMaxFailureを10に設定します。ただし、OUD lockout-failure-countは25に設定します。ロックとロック解除が一貫して動作するために、OUDおよびadapters.os_xmlの属性値は同じにする必要があります。 |
OVD-objectclass=OIM-objectclassの形式のオブジェクト・クラスの値変換を定義します。たとえば、inetorgperson=userなどです。mapObjectclass構成パラメータを複数回設定して、複数のオブジェクト・クラスの変換を定義できます。
注意: UserManagementプラグインとchangelogプラグインのmapObjectclassパラメータの値は同一であることが必要です。 |
このパラメータは、attribute=value pairsの形式でget操作結果を戻す前に追加する属性を指定します。属性名の前にobjectclass,
を追加すると、属性と値を特定のオブジェクト・クラスに追加できます。また、値を%
で囲んで他の属性を参照することもできます。たとえば、値user,samaccountname=%cn%
を指定すると、エントリがobjectclass=userである場合にcnの値がsamaccountnameに代入されます。値samaccountname=jdoe
を指定すると、値jdoeを持つ属性samaccountnameがすべてのエントリに追加されます。
この単一のChangelogプラグインをデプロイする際は、次のことが必要です。
アダプタの「リモート・ベース」を空の値に、つまり空白にします。
アダプタの「マップされたネームスペース」をcn=changelog
に設定します。
バックエンドがOracle Directory Server Enterprise Editionである場合、Oracle Directory Server Enterprise Edition上のロギングの変更を必ず有効化してください。
11.1.1.4.0より前にリリースされたバージョンのOracle Virtual Directoryを使用している場合、次のchangelogプラグインを使用して、changelog情報をソース・ディレクトリからOracle Identity Managerに適した形式に標準化してください。
注意: これらのプラグインはOracle Virtual Directoryリリース11.1.1.4.0では機能しません。 |
Oracle Internet Directoryの場合
Oracle Internet Directoryではoidchangelogプラグインを使用します。
oidchangelogプラグインをデプロイする場合は、アダプタの「リモート・ベース」を空の値に、つまり空白にします。
Oracle Directory Server Enterprise Editionの場合
Oracle Directory Server Enterprise Editionでは、sunonechangelogプラグインを使用します。
sunonechangelogプラグインをデプロイする際は、次のことが必要です。
アダプタの「リモート・ベース」を空の値に、つまり空白にします。
Oracle Directory Server Enterprise Editionで変更ログが有効化されていることを確認します。
アダプタの「マップされたネームスペース」をcn=changelog
に設定します。
Microsoft Active Directoryの場合
Microsoft Active Directoryではadchangelogプラグインを使用します。
adchangelogプラグインをデプロイする際は、次のことが必要です。
アダプタの「リモート・ベース」を空の値に、つまり空白にします。
アダプタの「マップされたネームスペース」をcn=changelog
に設定します。
各changelogプラグインには、次の構成パラメータがあります。
クライアントに戻される前にエントリから実際に削除される属性のカンマ区切りリスト。
属性言語サブタイプで使用される言語のカンマ区切りリスト。
TrueまたはFalse。falseに設定されていて、破損したchangelogエントリがプラグインによって検出された場合、プラグインはDirectoryExceptionをスローし、changelogエントリのそれ以降の処理を停止します。trueに設定されている場合、プラグインは例外をスローせずにエラーを記録し、このchangelogをスキップして、次のchangelogの処理を続行します。デフォルト値はfalseです。
TrueまたはFalse: Access ManagerがOracle Identity Managerとともにデプロイされているかどうかを示します。デフォルトでは、Access Managerはデプロイされておらず、したがってこのパラメータのデフォルト設定はfalseです。
注意: UserManagementプラグインとchangelogプラグインのoamEnabledパラメータの値は同一であることが必要です。 |
ソースLDAPディレクトリ・サーバーのタイプを指定します。サポートされている値はOID、ActiveDirectoryおよびSunOneです。デフォルト値はOIDです。
注意: UserManagementプラグインとchangelogプラグインのdirectoryTypeパラメータの値は同一であることが必要です。 |
OIM-objectclass=Source-Directory-objectclassの形式のオブジェクト・クラスの値変換を定義します。たとえば、inetorgperson=userなどです。mapObjectclass構成パラメータを複数回設定して、複数のオブジェクト・クラスの変換を定義できます。
Oracle Identity Managerのユース・ケースでは、次のパラメータがすぐに使用できるように構成されています。
Active Directoryの場合: inetorgperson=user, orclidxperson=user, and groupOfUniqueNames=group
Oracle Directory Server Enterprise Editionの場合: container=nsContainer and changelog=changelogentry
Oracle Internet Directoryの場合: container=orclContainer
注意: UserManagementプラグインとchangelogプラグインのmapObjectclassパラメータの値は同一であることが必要です。 |
戻されるchangelogエントリの最大数を指定します。
ゼロ(0)または負の値は、サイズ制限がないことを意味します。
受信する検索リクエストでサイズの制約が指定されている場合、小さい方の値が使用されます。たとえば、プラグインのsizeLimitを100に指定してあり、検索リクエストのカウント制限が200である場合は、リクエストの実際のサイズ制限は100にリセットされます。
Source-Directory-attribute=OIM-attributeの形式の属性変換を定義します。たとえば、orclGUID=objectGuidなどです。mapAttribute構成パラメータを複数回設定して、複数の属性の変換を定義できます。
変更の取得元となるコンテナを指定します。このパラメータは複数回設定して、変更の取得元となるコンテナを複数指定できます。複数回設定した場合、targetDNフィルタは次の例のようになります。このtargetDNフィルタは受信フィルタにandで結合されます。
"(|(targetDN=*cn=users,dc=mycom1)(targetDN=*,cn=groups,dc=mycom2))"
次に値の例を示します。
*,cn=xxx,dc=yyy
*cn=xxx,dc=yyy
cn=xxx,dc=yyy (virtualDITAdapterNameで指定されているアダプタのローカル・ベースの子であることが必要です。)
これらの例はすべて同じ意味を持ちます。
Oracle Virtual Directoryへのchangelog問合せに対して指定されている戻り属性リストに関係なく、ソースLDAPディレクトリ・サーバーから常に取得される属性のカンマ区切りリスト。
正規化されているchangelogエントリに追加される属性のカンマ区切りリスト。たとえば、orclContainerOC=1, changelogSupported=1などです。ここで、=1はchangelogをサポートしているソース・ディレクトリから取得される変更を示します。
TrueまたはFalse。このパラメータは、ディレクトリ固有のアカウント属性からOracle Virtual Directoryの仮想アカウント属性へのマッピングを有効化または無効化します。
modifiersNameに対するLDAPフィルタを定義する単一の値を持つ構成パラメータ。このパラメータは、受信フィルタにandで結合されます。値の例としては、(modifiersName=cn=myadmin,cn=users,dc=mycom)があります。
注意: この構成は、directoryType=ActiveDirectoryの場合は無効です。 |
対応するユーザー・プロファイル・アダプタ名を指定します。
たとえば、単一ディレクトリ・デプロイメントでは、このパラメータの値をA1に設定できます。これはユーザー・アダプタ名です。分割ユーザー・プロファイルのシナリオでは、このパラメータをJ1;A2に設定できます。ここでJ1はJoinViewアダプタ名であり、A2はJ1における対応するユーザー・アダプタです。
このパラメータは複数値を取ることができます。これは、changelogアダプタと同じバックエンド・ディレクトリ・サーバーに対して構成されている複数のベース・エントリ・アダプタがあることを意味します。
このパラメータをA1に設定する場合、このプラグインはアダプタA1のUserManagementPluginのmapAttributeおよびmapObjectclass構成をフェッチするため、ユーザーがそれらの構成を複製する必要はありません。
このトピックでは、Oracle Virtual Directoryでデバッグを有効化する方法について説明します(これは、Oracle Identity ManagerとOracle Virtual Directoryの統合のトラブルシューティングが必要な場合に役立ちます)。
デバッグを有効化するには、次の手順を実行します。
コマンド・ウィンドウを開き、次の場所に移動します。
OVD ORACLE_INSTANCE/config/OVD/ovd1
ovd-logging.xml
ファイルのコピーを保存します。
次のようにovd-logging.xml
ファイルを編集します。
25行目にある
<logger name='com.octetstring.vde' level='NOTIFICATION:1
' useParentHandlers='false'>
次のように変更します。
<logger name='com.octetstring.vde' level='TRACE:32
' useParentHandlers='false'>
28行目にある
<logger name='com.octetstring.accesslog' level='ERROR:1
' useParentHandlers='false'>
次のように変更します。
<logger name='com.octetstring.accesslog' level='NOTIFICATION:1
' useParentHandlers='false'>
次のように入力することでOracle Virtual Directoryを再起動します。
cd ORACLE_INSTANCE/bin ./opmnctl stopproc ias-component=ovd1 ./opmnctl startproc ias-component=ovd1
LDAP同期が有効でAD、iPlanet (ODSEE)またはOIDがディレクトリ・サーバーであるOracle Identity Managerデプロイメントでは、WLSTコマンドを使用してIdentity Virtualization Library (libOVD)アダプタを管理します。
関連項目: Library Oracle Virtual Directory (LibOVD)アダプタを管理するためのWLSTコマンドの詳細は、Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンスのLibrary Oracle Virtual Directory (LibOVD)コマンドに関する項を参照してください。 |
Virtualization Library (libOVD)を管理するには、次の手順を実行します。
WLSTコンソールを起動します。これを行うには、$FMW_ROOT/Oracle_IDM1/common/bin/wlst.shを実行します。このパスは、$OIM_ORACLE_HOME/common/bin/wlst.shとして参照できます。
ここで、$FMW_ROOTは、自身の$MW_HOMEディレクトリを指しています。たとえば、このバイナリの場所の場合、/u01/apps/mwhome/ディレクトリを指すことができます。
$OIM_ORACLE_HOMEはOracle Identity Managerがデプロイされているディレクトリを指しています。たとえば、/u01/apps/mwhome/Oracle_IDM1/はOIM_ORACLE_HOMEを指している必要があります。
WLSTコマンド行で、次のコマンドを実行します。
connect()
入力を求められたときに、WLSTのユーザー名、パスワードおよびt3 URLを入力します。
次のコマンドを実行し、Identity Virtualization Library (libOVD)のWLSTコマンドのリストを表示します。
help('OracleLibOVDConfig')
これで、Identity Virtualization Library (libOVD)、LDAPおよび結合アダプタを作成、削除および変更するためのコマンドがリストされます。次のコマンドは、パラメータとして渡される特定のOPSSコンテキストと関連付けられているIdentity Virtualization Library (libOVD)構成で動作します。
addJoinRule: 指定のOPSSコンテキストと関連付けられたIdentity Virtualization Library (libOVD)の既存の結合アダプタに、結合ルールを追加します。
addLDAPHost: 既存のLDAPアダプタに、新しいホストを追加します。
注意: High Availability (HA)シナリオ用に複数のリモート・ホストを追加する例を次に示します。 addLDAPHost(adapterName='ldap1', host='myhost.example.domain.com', port=389, contextName='myContext') HAの詳細は、『Oracle Fusion Middleware高可用性ガイド』を参照してください。 |
addPlugin: 既存のアダプタに、またはグローバル・レベルで、プラグインを追加します。
関連項目: Oracle Identity Managerにおけるプラグインの開発の詳細は、Oracle Fusion Middleware Oracle Identity Manager開発者ガイドのプラグインの開発に関する説明を参照してください。 |
addPluginParam: 既存のアダプタ・レベルのプラグインまたはグローバル・プラグインに、新しいパラメータ値を追加します。
createJoinAdapter: 指定のOPSSコンテキストと関連付けられたIdentity Virtualization Library (libOVD)に、新しい結合アダプタを作成します。
createLDAPAdapter: 指定のOPSSコンテキストと関連付けられたIdentity Virtualization Library (libOVD)に、新しいLDAPアダプタを作成します。
deleteAdapter: 指定のOPSSコンテキストと関連付けられたIdentity Virtualization Library (libOVD)の、既存のアダプタを削除します。
getAdapterDetails: 指定のOPSSコンテキストと関連付けられたIdentity Virtualization Library (libOVD)に構成されている、既存のアダプタの詳細を表示します。
istAdapters: 指定のOPSSコンテキストと関連付けられたこのIdentity Virtualization Library (libOVD)に構成されている、すべてのアダプタの名前とタイプをリストします。
modifyLDAPAdapter: 既存のLDAPアダプタ構成を変更します。
removeJoinRule: 指定のOPSSコンテキストと関連付けられたIdentity Virtualization Library (libOVD)に構成された結合アダプタから、結合ルールを削除します。
removeLDAPHost: 既存のLDAPアダプタ構成から、リモート・ホストを削除します。
removePlugin: 既存のアダプタから、またはグローバル・レベルで、プラグインを削除します。
removePluginParam: 構成済のアダプタ・レベルのプラグインまたはグローバル・プラグインから、既存のパラメータを削除します。
使用方法を表示するには、次のように個々のコマンドに対してhelpを実行します。
help('addPluginParam')
マルチ言語サポート(MLS)のためにoimLanguages属性のADユーザー管理アダプタを更新する例を次に示します。
addPluginParam:
このコマンドを次のように使用して、ADユーザー・アダプタのUserManagementプラグインに、oimLanguageパラメータを追加できます。
add PluginParam(adapterName='ldap1', pluginName='UserManagement', paramKeys='oimLanguages', paramValues='fr,zh-CN', contextName='oim')
removePluginParam:
このコマンドを次のように使用して、ADユーザー・アダプタのUserManagementプラグインから、oimLanguageパラメータを削除できます。
removePluginParam(adapterName='ldap1', pluginName='UserManagement', paramKey='oimLanguages', contextName='oim')
removePluginParam:
このコマンドを次のように使用して、Changelogプラグインから、modifierDNFilterパラメータを削除できます。
removePluginParam(adapterName='CHANGELOG_ldap1', pluginName='Changelog', paramKey='modifierDNFilter', contextName='oim')
関連項目: Oracle Identity Managerの変更ログおよびユーザー管理のための、OVDアダプタの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOracle Virtual Directoryでのアダプタの作成に関する説明を参照してください。 |
Identity Virtualization Library (libOVD)に対してアクセス・ログを有効化すると、Identity Virtualization Library (libOVD)を通過するすべてのリクエストおよびレスポンスを捕捉できます。これは、パフォーマンスの問題を選別する場合に大変便利です。
Identity Virtualization Library (libOVD)に対してアクセス・ログを有効化する手順は、次のとおりです。
デバッグ・モードで前に構成されたIdentity Virtualization Library (libOVD)ロガーをすべて削除します。実際のパフォーマンス数値を調べるには、これらのロガーを削除する必要があります。
WLSにNOTIFICATIONレベルでoracle.ods.virtualization.accesslog
という名前のWLSロガーを作成します。
ovd-access.logに類似したファイル名を指定してWLSログ・ハンドラを作成し、そのログ・ハンドラを手順2で作成したロガーと関連付けます。
このログ・ハンドラは、すべてのOracle Virtual Directoryアクセス・ログ・メッセージを別のファイルに記録します。
DOMAIN_HOME/config/fmwconfig/ovd/default/provider.os_xmlファイルのバックアップを作成し、次のXML断片を追加します(それがまだ存在していない場合)。
<providers ..> ... <auditLogPublisher> <provider name="FMWAuditLogPublisher"> ... </provider> <provider name="AccessLogPublisher"> <configClass>oracle.ods.virtualization.config.AccessLogPublisherConfig</configClass> <properties> <property name="enabled" value="true"/> </properties> </provider> </auditLogPublisher> ... </providers>
WLS管理および管理対象サーバーを再起動します。
これで、Oracle Virtual Directoryによってovd-access.logファイルにアクセス・ログを生成できるようになります。
LDAP同期が有効な場合に認証にLDAPを使用できるようにするには、次の手順を実行します。
注意: この手順では、次の機能は有効になりません。
|
WLSでLDAPオーセンティケータを構成します。これを行うには、次の手順を実行します。
WebLogic管理コンソールにログインします。
「セキュリティ・レルム」、myrealm、「プロバイダ」に進みます。
「新規」をクリックします。名前を指定し、タイプとしてOracleInternetDirectoryAuthenticatorを選択します。
「制御フラグ」をSUFFICIENTに設定します。
「プロバイダ固有」設定をクリックし、OID接続の詳細を設定します。
「動的グループ」セクションで、次の値を入力します。
動的グループ名属性: cn
動的グループ・オブジェクト・クラス: orcldynamicgroup
動的メンバーURL属性: labeleduri
ユーザー動的グループDN属性: GroupOfUniqueNames
「プロバイダ」タブをクリックします。セキュリティ・プロバイダのリストからOIMオーセンティケータを削除します。これは、ユーザーがOracle Identity Managerデータベースでロックされないようにするためです。
そのレルムでOIMSignatureAuthenticatorセキュリティ・プロバイダを構成します。これを行うには、次の手順を実行します。
i) WebLogic管理コンソールにログインします。
ii) 「セキュリティ・レルム」→「myrealm」→「セキュリティ・プロバイダ」→「認証」→「新規」に移動します。
iii) ドロップダウンから「OIMSignatureAuthenticator」を選択し、プロバイダ名として「OIMSignatureAuthenticator」を選択します。
iv) 変更内容を保存します。
「並替え」をクリックします。次の表にリストされたとおりにセキュリティ・プロバイダを並べ替え、制御フラグを設定します。
認証プロバイダ | 制御フラグ |
---|---|
デフォルト・オーセンティケータ |
SUFFICIENT |
OIMシグネチャ・オーセンティケータ |
SUFFICIENT |
LDAPオーセンティケータ |
SUFFICIENT |
デフォルトIDアサーション・プロバイダ |
N/A |
すべてのサーバーを再起動します。
ロール・メンバーシップを検証します。
WebLogic管理コンソールにログインします。
「セキュリティ・レルム」→myrealm→「ユーザー」→「グループ」に進みます。
「ユーザー」をクリックし、LDAPユーザー検索ベースですべてのユーザーを表示します。LDAPユーザーが表示されない場合は、LDAP接続にエラーがあることを意味しており、OIDオーセンティケータで詳細が指定されます(プロバイダ固有の設定)。
任意のユーザーをクリックし、対応するグループ・エントリを表示します。リストされるエントリにOimusersが含まれている必要があります。この検証に失敗した場合は、LDAPオーセンティケータのプロバイダ固有の詳細を確認してください。