7Microsoft Active Directoryのブリッジの操作
この章の内容は次のとおりです。
Microsoft Active Directoryのブリッジの概要
Microsoft Active Directoryのブリッジは、Oracle Applications CloudとMicrosoft Active Directoryとの間でユーザー・アカウント情報を同期化します。ブリッジを使用して、Oracle Applications Cloud (ソースとして)からActive Directory (ターゲットとして)へ、またはその逆方向にユーザーまたはロールの詳細をコピーできます。データ同期化を計画している方向に応じて、それらの一方をソース、もう一方をターゲットとして指定できます。
ブリッジの現在の構成では、単一ドメイン・コントローラ・トポロジを使用する単一のActive Directoryフォレストがサポートされています。ブリッジは、HTTPS経由でREST API (Representational State Transfer)を使用してOracle Applications Cloudと通信し、LDAP (Lightweight Directory Access Protocol)を使用してActive Directoryサーバーと通信します。Microsoft Active Directoryサーバーに企業ファイアウォールの外部から到達できない場合でも、ブリッジをホストするコンピュータからはアクセスできるようにしておく必要があります。
前提条件
Active DirectoryとOracle Applications Cloud間にブリッジを設定する前に、次を実行する必要があります。
-
Java Runtime environment (JRE)をインストールする。ブリッジはJREバージョン6、7、および8と互換します。
-
Active Directoryサーバーに接続できるコンピュータにブリッジをインストールする。
-
Oracle Applications CloudとActive Directoryインスタンス間でシングル・サインオン(SSO)を有効にする。
ブリッジのシステム要件:
-
Windows Serverバージョン: 2008および2012
-
RAMおよびCPU: OS要件に従う
-
ディスク領域: 最小10 GBの空き領域
Microsoft Active Directoryのブリッジの設定
Active Directoryのブリッジを使用してOracle Applications CloudとActive Directoryとの間で情報を同期化するには、次のステップを実行します。
-
セキュリティ・コンソールの「管理」タブで関連するオプションを設定して、構成を完了します。
-
Active Directoryのブリッジをダウンロードして、インストールします。
-
同期用にソース・アプリケーションとターゲット・アプリケーション間で属性をマッピングします。
-
ユーザーの初期同期を実行します。
-
ソース・アプリケーションとターゲット・アプリケーションでデータの整合性を維持するために手動または自動同期を定期的に実行します。
Active Directory同期化
Active Directoryのブリッジは、Oracle Applications CloudとMicrosoft Active Directoryとの間でユーザー・アカウント情報を同期化します。
ブリッジ構成の詳細を指定した後、Active Directoryに対してブリッジをインストールして実行します。Active DirectoryおよびOracle Fusionアプリケーションにアクセスするための資格証明を保存し、セキュリティ・コンソールのADブリッジ設定に戻ってユーザー・アカウント・マッピング構成を完了します。マッピングが完了したら、ブリッジ・アプリケーションに戻り、ソース・アプリケーションとターゲット・アプリケーションの間でユーザーの初期同期を開始します。
同期中に、ブリッジはソース・アプリケーションとターゲット・アプリケーションからデータを抽出し、データを比較して、一貫性を保つためにターゲット・アプリケーションで実行する必要があるタスクを識別します。
同期が完了すると、ブリッジはターゲット・アプリケーションで必要なタスクを実行します。同期中に発生したエラーは、レビューおよび修正のためにログ・ファイルに記録されます。
初期同期が完了すると、ソースとターゲットの間の変更を定期的またはオンデマンドで同期するようにブリッジを構成できます。
Active Directoryのブリッジでは、次のことを実行できます。
-
完全同期
-
増分同期
完全同期
次のいずれかの条件が満たされた場合に、ブリッジは完全同期または完全消込を開始します。
-
ソース・アプリケーションとターゲット・アプリケーションが初めて同期される。
-
Active Directoryのブリッジ構成が変更されている。
-
「完全同期の実行」ボタンがクリックされた。
完全同期を手動で実行するには:
-
セキュリティ・コンソールの「管理」ページの「Active Directory用ブリッジ」タブをクリックします。
-
「ユーザー属性マッピング」をクリックします。
-
「オンデマンド同期」セクションを展開し、「完全同期の実行」をクリックします。
ノート: 強制的な完全同期を無効にするには、「完全同期の取消」をクリックします。
増分同期
次のいずれかの条件が満たされた場合に、ブリッジは増分同期を開始します。
-
ソースとターゲットが以前同期されていた。
-
Active Directoryのブリッジ構成が変更されていない。
-
「完全同期化の実行」ボタンがクリックされていない。
増分同期は、オンデマンド(手動)または定期的(自動)のいずれかになります。
ユーザー・アカウント属性マッピング
ブリッジをインストールして構成した後、Oracle Applications CloudとMicrosoft Active Directory間のユーザー・アカウント属性をマップします。マッピングが完了した場合にのみ、ソース・アプリケーションとターゲット・アプリケーション間のユーザーの初期同期を開始できます。
次のユーザー属性をマップします。
-
ユーザー・アカウント属性
-
上級ユーザー・アカウント属性
-
グループ属性
ユーザー属性のマッピング
Oracle Fusion Applicationsユーザー・アカウントの次の属性は、Active Directoryユーザー・アカウントの対応する属性にマップされます。
-
displayName: ユーザー・アカウントの表示名 -
emails.value: ユーザー・アカウントに関連付けられたプライマリEメール -
name.familyName: ユーザーの姓 -
name.givenName: ユーザーの名 -
userName: ユーザー・アカウントに関連付けられたユーザー名
同期中に、ソースの属性値はマップされたターゲット属性にコピーされます。一部のActive Directory属性にはサイズ制限があります。たとえば、sAMAccountName属性の長さは、ユーザー属性として使用される場合は20文字、グループ名の指定に使用される場合は64文字に制限されます。ユーザー名の値が構成されているActive Directory属性より大きい場合、同期は失敗します。
次の表に、Oracle Fusion Applicationがソースである場合の属性の一般的なマッピングを示します。
| ソースとしてのOracle Cloudアプリケーション | ターゲットとしてのMicrosoft Active Directory |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
次の表に、Microsoft Active Directoryがソースである場合の属性の一般的なマッピングを示します。
| ソースとしてのMicrosoft Active Directory | ターゲットとしてのOracle Cloudアプリケーション |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
セキュリティ・コンソールで、「管理」→「Active Directory用ブリッジ」タブ→「ユーザー属性マッピング」をクリックします。ソース・アプリケーションとターゲット・アプリケーションの属性間のマッピングを追加または更新するには、「追加」をクリックします。
拡張属性のマッピング
このオプションは、Active Directoryがソースの場合に使用します。ユーザー・ステータスの同期を選択して、「使用不可」などのアカウント・ステータスを有効にし、Oracle Applications Cloudに伝播します。
Microsoft Active Directoryのブリッジの使用
Microsoft Active Directoryと接続するためのOracle Applications Cloudの準備
次の手順に従って、Microsoft Active Directoryのブリッジを構成します。「ITセキュリティ・マネージャ」(ORA_FND_IT_SECURITY_MANAGER_JOB)ロールを持つ管理者として、Oracle Applications Cloud環境にサインインします。
-
「ナビゲータ」→「ツール」→「セキュリティ・コンソール」をクリックします。
-
「管理」ページで、「Active Directory用ブリッジ」タブをクリックします。
-
「構成」をクリックします。
-
「基本構成」セクションを展開し、次の詳細を指定します。
フィールド 説明 真のソース
Oracle Fusion ApplicationsやActive Directoryなど、ソースを選択します。
同期間隔(時間)
ブリッジが同期を自動的に開始するために使用する時間間隔(時間単位)を入力します。デフォルト値は1時間です。
同期ページング・サイズ
1回の操作で同期されるアカウントの数を入力します。デフォルト値は100レコードです。
同期化エラーしきい値
同期中に発生可能なエラーの最大数を入力します。制限に達すると、同期は失敗し、停止します。デフォルトでは、50個のエラーが発生すると同期が停止します。
スケジューラ
同期を自動的にスケジュールするかどうかを指定します。有効にすると、同期は指定されたスケジュールおよび間隔に従って自動的に実行されます。
ロール統合
ロール統合を使用するかどうかを指定します。これは、Active Directoryがソースの場合に適用されます。有効にすると同期化プロセスにより、Active Directoryでユーザーが直接または間接的に割り当てられているグループが読み取られます。グループ・マッピングのグループに対してユーザーの割当てまたは削除を行うと、Oracle Applications Cloudの対応するユーザーが、Oracle Applications Cloudの対応するマップ済ロールに追加または削除されます。
APPIDパスワードのリセット
新しいパスワードを入力します。同期中、ブリッジはこのパスワードを使用してOracle Applications Cloudに接続します。
-
「ロギング構成」セクションを展開し、次の詳細を指定します。
フィールド 説明 ファイル名
ログ・ファイルの名前を入力します。このファイルは、Active DirectoryブリッジがインストールされているコンピュータのActive Directoryフォルダに作成されます。デフォルト値は
ad_fa_synch.logです。ログ・レベル
同期中にメッセージをロギングする必要があるレベルを指定します。デフォルト・レベルは「情報」に設定されています。
最大ログ・サイズ
ログ・ファイルの最大サイズを指定します。デフォルト値は4 GBです。最大サイズに達すると、新しいログ・ファイルが作成されます。
-
「Active Directory構成」セクションを展開し、次の詳細を指定します。ブリッジはこの情報を使用してActive Directoryサーバーに接続します。
フィールド 説明 ホスト
Active Directoryサーバーのホスト・アドレスを入力します。
ポート
Active Directoryサーバーのポートを入力します。デフォルトの非SSLポートは389です。
SSL使用可能
Active Directoryサーバーとのセキュアな通信には、このオプションを選択します。このオプションを選択すると、デフォルト・ポートが636に変更されます。
同期化方針
同期に使用する必要があるアルゴリズムを選択します。「ディレクトリ同期」または「連番の更新」を選択できます。デフォルト値は、「ディレクトリ同期」です。
ノート: 初期構成の後に連番を変更すると、同期プロセスはリセットされます。ユーザー・ベースDN
ユーザー・アカウントがブリッジによって作成または取得されるActive Directory内の場所の識別名を入力します。
検索ベース
ユーザー・ベースDNと同じ値を入力します。
ユーザー検索フィルタ
ブリッジがActive Directoryからユーザー・アカウント・オブジェクトを取得するために使用するLDAP問合せを入力します。たとえば、
(&(objectClass=user)(!(objectClass=computer)))です。グループ・ベースDN
ブリッジがグループを取得するActive Directory内の場所の識別名を入力します。
ノート: このフィールドは、Active Directoryがソースの場合にのみ適用されます。グループ検索フィルタ
Active Directoryサーバーからロールを取得するために使用するLDAP問合せを入力します。たとえば、(objectClass=group)です。
ノート: このフィールドは、Active Directoryがソースの場合にのみ適用されます。 -
「ネットワーク・プロキシ構成」セクションを展開し、詳細を指定します。
ノート: これらの詳細は、Active Directoryがソースであり、ブリッジがプロキシを使用してActive Directoryサーバーに接続する場合にのみ指定します。フィールド 説明 プロキシ設定使用可能
Oracle Applications CloudとActive Directoryブリッジ間でプロキシを介した通信を有効にするには、このオプションを選択します。分離されたネットワーク・ホストから接続する必要がある場合は、このオプションを使用します。
ホスト
プロキシのホスト名およびアドレスを入力します。
ポート
プロキシのポートを入力します。
SSL使用可能
プロキシとのセキュアな通信には、このオプションを選択します。
-
「ハートビート」セクションを展開し、次の詳細を更新します。
フィールド 説明 ハートビート間隔
ブリッジがアクティブであることを通知するためにブリッジからOracle Applications Cloudにハートビート通知が送信される時間間隔を秒単位で入力します。デフォルトでは60秒に設定されています。
-
「保存」をクリックして、「OK」をクリックします。
Active Directoryのブリッジのダウンロードおよびインストール
ブリッジの構成の詳細を設定したら、ネットワークに接続されているコンピュータにActive Directoryのブリッジをダウンロードします。このコンピュータは、Oracle Applications CloudとMicrosoft Active Directoryサーバー・インスタンスの両方に接続する必要があります。ブリッジを構成してインストールする前に、ITセキュリティ・マネージャ・ロールの(ORA_FND_IT_SECURITY_MANAGER_JOB)アクセス権を持っていることを確認します。
-
「ナビゲータ」→「ツール」→「セキュリティ・コンソール」をクリックします。
-
「管理」ページで、「Active Directory用ブリッジ」タブをクリックします。
-
「起動」をクリックします。
-
表示されるメッセージを確認して、「OK」をクリックします。
-
通知を受け入れて、ブリッジ・ファイル
(adbridge.jnlp)をダウンロードします。 -
Webブラウザからブリッジ・ファイル
(adbridge.jnlp)を開きます。 -
「ユーザー名」と「パスワード」を入力してサインインします。Oracle Applications Cloudの資格証明を使用してサインインできます。
-
「OK」をクリックします。
Active Directoryのブリッジがインストールされます。ブリッジをインストールすると、そのブリッジを開くことができます。
-
「実行」をクリックしてブリッジを開始します。
-
ユーザー名とパスワードを入力します。Oracle Applications Cloudの資格証明を使用してサインインできます。
-
「OK」をクリックします。
-
Active Directoryのブリッジを開きます。ブリッジには、セキュリティ・コンソールで構成された必要な情報が自動的に表示されます。
-
「構成」タブをクリックします
-
「Active Directory」セクションで、Active Directoryサーバーのユーザー名とパスワードを入力します。
-
「Oracle Applications Cloud」セクションで、Oracle Applications Cloudホストのパスワードを入力します。ブリッジの構成中に指定した「APPIDパスワードのリセット」を使用します。
-
Oracle Applications Cloudのネットワーク設定は変更できます。「ネットワーク設定」をクリックして詳細を更新します。
-
「保存」をクリックして、「クローズ」をクリックします。
ブリッジにより、設定情報がActive Directory (属性、グループ)からOracle Applications Cloudに更新されます。この設定情報を使用して、セキュリティ・コンソールでマッピングを実行します。
同期のための属性とグループのマッピング
セキュリティ・コンソールからブリッジの構成詳細を設定したら、ネットワークに接続されているコンピュータにブリッジをダウンロードします。このコンピュータは、Oracle Applications CloudとMicrosoft Active Directoryサーバー・インスタンスの両方に接続する必要があります。
-
「ナビゲータ」→「ツール」→「セキュリティ・コンソール」をクリックします。
-
「管理」ページで、「Active Directory用ブリッジ」タブをクリックします。
-
「ユーザー属性マッピング」をクリックします。
-
2つの属性がデフォルトで表示されます。リストからソースおよびターゲットの使用属性を選択します。「追加」をクリックし、ソースとターゲットの間でさらに多くの属性をマップします。
-
「ソース・ユーザー属性」リストからソース属性を選択します。
-
「ターゲット・ユーザー属性」リストからターゲット属性を選択します。
-
「OK」をクリックします。
-
ステップ4から7を繰り返して、さらに属性をマップします。
-
「保存」をクリックします。
-
「拡張属性マッピング」セクションを展開します。
-
「ユーザー・アカウント・ステータスの同期」を有効または無効に設定して、アカウントを同期するかどうかを決定します。
-
「保存」をクリックします。
-
「グループ・マッピング」をクリックして、Active DirectoryグループをOracle Cloudアプリケーションロールにマップします。
-
「追加」をクリックして、新しいグループをロール・マッピングに追加するか、既存のマッピングを選択して「処理」ドロップダウン・リストをクリックします。
-
「ロール・マッピングの追加」ダイアログ・ボックスで、「グループ」および「ロール」を選択します。Active Directoryのグループにユーザー・アカウントを追加または削除すると、対応するOracle Cloudアプリケーションのユーザー・アカウントがOracle Cloudアプリケーションのマップ済ロールに追加または削除されます。
-
「OK」をクリックします。
-
「保存」をクリックします。
初期同期の実行
ユーザーの初期同期を実行するには、次のステップを実行します。
-
Active Directoryのブリッジを起動します。
-
Oracle Fusion Applicationsのログイン資格証明を使用してブリッジにサインインします。
-
「同期」タブをクリックします。
-
「即時実行」をクリックします。
-
「ログ・ファイルの表示」をクリックして、エラーがないかどうかログ・ファイルを確認します。
-
「クローズ」をクリックします。
同期の実行
初期同期では、データはソース・アプリケーションからターゲット・アプリケーションにコピーされます。初期同期が完了したら、オンデマンド(手動)または定期的(自動)のいずれかで、ソース・アプリケーションとターゲット・アプリケーション間の変更を同期するようブリッジを構成できます。
手動同期
初期同期後にソース・アプリケーションとターゲット・アプリケーションを同期する場合は、手動で同期を実行します。データを手動で同期するには、ブリッジで次のステップを実行します。
-
セキュリティ・コンソールに移動し、「Active Directory」タブをクリックします。
-
「同期」タブをクリックして、「即時実行」をクリックします。
自動同期
Microsoft Windowsサービスとして定期的に同期を実行するようにブリッジを構成できます。次のステップを実行して自動同期を構成します。
-
ブリッジを起動します。
-
「サービスのインストール」をクリックします。
-
サービスの実行に使用されるアカウントのユーザー名およびパスワードを入力します。アカウントには、管理権限とサービスとしてログオン権限が必要です。
-
「Windowsサービスのインストール」をクリックします。
インストールが正常に完了すると、ブリッジはActive Directoryのブリッジという名前のサービスとして登録されます。
同期間隔の指定
ブリッジをWindowsサービスとして実行するように設定すると、ブリッジにより同期が定期的に実行されます。同期間隔はセキュリティ・コンソールで指定し、ブリッジをダウンロードする前に指定する必要があります。
-
「ナビゲータ」 →「ツール」 →「セキュリティ・コンソール」を選択します。
-
「管理」タブをクリックします。
-
「Active Directory用ブリッジ」をクリックします。
-
「構成」タブに移動して、「同期間隔(時間)」を指定します。
Active Directoryのブリッジのアンインストール
不要になった場合は、Active Directoryのブリッジをアンインストールできます。Active Directory Bridgeに関連付けられたWindowsサービスがインストールされている場合は、Active Directoryのブリッジをアンインストールする前にそのサービスをアンインストールする必要があります。
Windowsサービスのアンインストール
-
ブリッジ・アプリケーションを開き、サービスのアンインストール・タブのWindowsサービスのアンインストールをクリックします。
-
表示される確認メッセージを確認して、「OK」をクリックします。
-
ブリッジ・アプリケーションを閉じます。
Active Directoryのブリッジのアンインストール
-
「コントロール パネル」→「プログラムと機能」に移動します。
-
Active Directory用ブリッジを選択し、「アンインストール」をクリックします。
-
表示されるメッセージを確認して、「OK」をクリックします。
-
ユーザー名とパスワードを入力します。Oracle Applications Cloudへのサインインに使用した資格証明と同じ資格証明を使用します。
-
「OK」をクリックしてアンインストール・プロセスを終了します。
-
フォルダAPPDATA\Oracle\AD Bridgeを削除して、Active Directory Bridgeのすべてのトレースを削除します。
Microsoft Active Directoryのブリッジの操作に関するFAQ
ブリッジは他のLDAPディレクトリをサポートできますか。
いいえ、ブリッジはOracle CloudアプリケーションとMicrosoft Active Directoryとの同期にのみ使用できます。
情報を同期化できる頻度はどれくらいですか。
Microsoft Windowsサービスを使用すると、定期的に同期を実行するようにブリッジを構成できます。2つの同期間の最小間隔は、1時間にする必要があります。
どのようなActive Directoryオブジェクト同期化できますか。
Active Directoryのユーザーおよびグループを同期できます。
次の同期オプションを使用します。
-
ユーザーをOracle Applications Cloudのユーザー・アカウントと同期します。
-
グループをOracle Applications Cloudロールと同期します。
ソースがOracle Applications CloudまたはActive Directoryのいずれかの場合に、ユーザーを同期できます。ただし、ソースがActive Directoryのみの場合はグループを同期できます。
どの属性を同期できますか。
次のOracle Applications Cloudの事前定義済属性とActive Directory属性を同期できます。
| 属性 | 説明 |
|---|---|
|
|
ユーザー・アカウントの表示名。 |
|
|
ユーザー・アカウントに関連付けられたプライマリEメール・アドレス。 |
|
|
ユーザーの姓。 |
|
|
ユーザーの名。 |
|
|
ユーザーに関連付けられたユーザー名(サインインの名前)。 |
同期中に属性を変更または書式設定することはできません。
ログ・ファイルを表示するにはどうすればよいですか。
ログ・ファイルを表示するには、ブリッジ・アプリケーションの「同期」タブをクリックし、「ログ・ファイルの表示」リンクをクリックします。
それぞれの同期に関する情報はログ・ファイルに記録されます。Windowsオペレーティング・システム上のログ・ファイルへのパスは、%APPDATA%\Oracle\AD Bridge\logです。