OID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成

この項で示す手順を使用して、システム管理者は、OID、Sun Java System Directory Server、Oracle Virtual Directory、Active Directory、IBM Tivoli Directory ServerなどのLDAPベースの企業ユーザー・ディレクトリを構成するか、あるいは構成画面に示されないLDAPベースのユーザー・ディレクトリを構成します。

OID、Active Directoryおよび他のLDAPベースのユーザー・ディレクトリを構成するには:

  1. システム管理者としてShared Services Consoleにアクセスします。Shared Services Consoleの起動を参照してください。

  2. 「管理」「ユーザー・ディレクトリの構成」の順に選択します。

    「プロバイダ構成」タブが開きます。この画面には、ネイティブ・ディレクトリを含むすでに構成済のすべてのユーザー・ディレクトリが一覧表示されます。

  3. 「新規」をクリックします。

  4. 「ディレクトリ・タイプ」で、次のいずれかのオプションを選択します:

    • Lightweight Directory Access Protocol(LDAP): Active Directory以外のLDAP対応ユーザー・ディレクトリを構成します。Oracle Virtual Directoryを構成するには、このオプションを選択します。

    • Microsoft Active Directory (MSAD): Active Directoryを構成します。

      Active DirectoryおよびActive Directory Application Mode (ADAM)のみ: カスタムID属性(ObjectGUID以外の属性、たとえばsAMAccountName)をActive DirectoryまたはADAMで使用する場合、「Lightweight Directory Access Protocol (LDAP)」を選択し、ディレクトリ・タイプ「その他」として構成します。

  5. 「次へ」をクリックします。

    Microsoft Active Directoryを外部ユーザー・ディレクトリとして構成するユーザー・ディレクトリ接続情報画面の図
  6. 必要なパラメータを入力します。

    表8. 「接続情報」画面

    ラベル説明
    ディレクトリ・サーバー

    ユーザー・ディレクトリを選択します。ID属性値が、選択した製品の推奨される一定の一意のID属性に変わります。

    手順4でActive Directoryを選択した場合、このプロパティは自動的に選択されます。

    次のシナリオで、「その他」を選択します。

    • リストされていないユーザー・ディレクトリ・タイプ(Oracle Virtual Directoryなど)を構成しています。

    • リストされているLDAP対応ユーザー・ディレクトリ(たとえばOID)を構成していますが、カスタムID属性は使用しません。

    • カスタムID属性を使用するActive DirectoryまたはADAMを構成しています。

    注意:

    Oracle Virtual Directoryでは、LDAPディレクトリとRDMBSデータ・リポジトリの抽象化が仮想化されて1つのディレクトリ・ビューで提供されるため、Oracle Virtual Directoryでサポートされるユーザー・ディレクトリの数やタイプに関係なく、EPM Systemでは1つの外部ユーザー・ディレクトリとみなされます。

    例: Oracle Internet Directory

    名前ユーザー・ディレクトリのわかりやすい名前。複数のユーザー・ディレクトリが構成されている場合は、特定のユーザー・ディレクトリを識別するために使用します。「名前」には、空白とアンダースコア以外の特殊文字を含めることはできません。

    例: Corporate_OID

    DNS検索Active Directoryのみ: このオプションを選択してDNS検索を使用可能にします。DNS検索とホスト名検索を参照してください。DNS検索は、接続が失敗しないように、本番環境でのActive Directoryへの接続方法として構成することをお薦めします。

    注意:

    グローバル・カタログを構成している場合は、このオプションを選択しないでください。

    このオプションを選択すると、次のフィールドが表示されます:
    • ドメイン: Active Directoryフォレストのドメイン名です。

      例: example.comまたはus.example.com

    • ADサイト: Active Directoryサイト名で、通常はActive Directory構成コンテナに保管されているサイト・オブジェクトの相対的な識別名です。一般的にADサイトにより、市、都道府県、地域や国などの地理的な場所が識別されます。

      例: Santa ClaraまたはUS_West_region

    • DNSサーバー: ドメイン・コントローラのDNSサーバー検索をサポートするサーバーのDNS名。

    ホスト名Active Directoryのみ: このオプションを選択して静的なホスト名検索を使用可能にします。DNS検索とホスト名検索を参照してください。

    注意:

    Active Directoryグローバル・カタログを構成している場合は、このオプションを選択します。

    ホスト名ユーザー・ディレクトリ・サーバーのDNS名。SiteMinderからSSOをサポートするためにユーザー・ディレクトリを使用する場合は、完全修飾のドメイン名を使用します。ホスト名は、テスト目的でActive Directory接続を確立する場合にのみ使用することをお薦めします。

    注意:

    Active Directoryグローバル・カタログを構成している場合は、グローバル・カタログ・サーバーのホスト名を指定します。グローバル・カタログを参照してください。

    : MyServer

    ポートユーザー・ディレクトリが実行するポート番号。

    注意:

    Active Directoryグローバル・カタログを構成している場合は、グローバル・カタログ・サーバーが使用するポート(デフォルトは3268)を指定します。グローバル・カタログを参照してください。

    : 389

    SSL使用可能このユーザー・ディレクトリとのセキュア通信を使用可能にするチェック・ボックス。ユーザー・ディレクトリは、セキュア通信として構成する必要があります。
    ベースDNユーザーおよびグループの検索を開始するノードの識別名(DN)。また、「DNのフェッチ」ボタンを使用して、使用可能なベースDNのリストを表示し、そのリストから適切なベースDNを選択できます。

    注意:

    グローバル・カタログを構成している場合は、フォレストのベースDNを指定します。

    特殊文字の使用上の制限については、特殊文字の使用方法を参照してください。

    EPM System製品のすべてのユーザーとグループを含む最下位のDNを選択することをお薦めします。

    例: dc=example,dc=com

    ID属性

    この属性値は、「ディレクトリ・タイプ」「その他」が選択されている場合のみ変更できます。この属性はディレクトリ・サーバー上のユーザーおよびグループ・オブジェクトに存在する共通の属性である必要があります。

    この属性の推奨値が自動的に、OID (orclguid)、SunONE (nsuniqueid)、IBM Directory Server (Ibm-entryUuid)、Novell eDirectory (GUID)およびActive Directory (ObjectGUID)に設定されます。

    例: orclguid

    「ディレクトリ・サーバー」「その他」を選択後、ID属性値を手動で設定する場合(Oracle Virtual Directoryを構成する場合など)、ID属性値は次のようになります:
    • 一意の属性を指します

    • 場所に固有ではありません

    • 時間の経過とともに変わりません

    最大サイズ検索が戻す結果の最大数。ユーザー・ディレクトリ設定でサポートする値よりもこの値が大きい場合は、ユーザー・ディレクトリ値がこの値をオーバーライドします。

    Active Directory以外のユーザー・ディレクトリの場合、このフィールドを空白にすると、検索条件を満たすすべてのユーザーとグループが取得されます。

    Active Directoryの場合、この値を0に設定すると、検索条件を満たすすべてのユーザーとグループが取得されます。

    委任された管理モードでShared Servicesを構成している場合は、この値を0に設定します。
    信頼済このプロバイダが信頼できるSSOソースであることを示すチェック・ボックス。信頼できるソースからのSSOトークンにはユーザーのパスワードは含まれません。
    匿名のバインドShared Servicesで匿名をユーザー・ディレクトリにバインドしてユーザーおよびグループを検索できることを示すチェック・ボックス。ユーザー・ディレクトリが匿名のバインドを許可する場合にのみ使用できます。このオプションを選択しない場合は、ユーザー情報が保管されたディレクトリを検索するのに十分なアクセス権限を持つアカウントをユーザーDNに指定する必要があります。

    匿名のバインドを使用しないことをお薦めします。

    注意:

    匿名のバインドはOIDではサポートされません。

    ユーザーDN

    「匿名のバインド」が選択されている場合、このオプションは使用不可です。

    Shared Servicesがユーザー・ディレクトリとのバインドに使用するユーザーの識別名。このユーザーにはDN内のRDN属性に対する検索権限が必要です。たとえば、dn: cn=John Doe, ou=people, dc=myCompany, dc=comでは、バインド・ユーザーにはcn属性への検索アクセス権が必要です。

    ユーザーDNの値に特殊文字を指定する場合はエスケープ文字を使用する必要があります。制限については、特殊文字の使用方法を参照してください。

    例: cn=admin,dc=myCompany,dc=com

    ベースDNの追加

    ベースDNをユーザーDNに追加するためのチェック・ボックス。ディレクトリ・マネージャ・アカウントをユーザーDNとして使用している場合は、ベースDNを追加しないでください。

    「匿名のバインド」オプションが選択されている場合、このチェック・ボックスは使用不可です。

    パスワードユーザーDNパスワード

    「匿名のバインド」オプションが選択されている場合、このボックスは使用不可です。

    例: UserDNpassword

    詳細オプションの表示詳細オプションを表示するチェック・ボックス。
    参照 Active Directoryのみ:

    Active Directoryが構成されている場合は、「従う」を選択すると、LDAP参照に自動的に従います。「無視」を選択すると、参照は使用されません。

    別名の逆参照Shared Servicesの検索で使用するメソッドを選択すると、ユーザー・ディレクトリの別名が逆参照されます。これにより、別名のDNが指すオブジェクトが検索で取得されます。次のいずれかを選択します:
    • 常時: 常に別名を逆参照します。

    • なし: 別名を逆参照しません。

    • 検索中: 名前解決の間にのみ別名を逆参照します。

    • 検索中: 名前解決の後にのみ別名を逆参照します。

    接続読取りタイムアウトこの間隔(秒数)が経過した後も応答がない場合、LDAPプロバイダはLDAP読取り試行を中止します。

    デフォルト: 60秒

    最大接続数接続プール内の最大接続数。LDAPベースのディレクトリ(Active Directoryを含む)の場合、デフォルトは100です。

    デフォルト: 100

    タイムアウトプールから接続を取得するまでのタイムアウト。この期間が過ぎると例外が発生します。

    デフォルト: 300,000ミリ秒(5分)

    削除間隔オプション: 削除プロセスを実行してプールを消去するための間隔。削除プロセスによって、「アイドル状態の接続許容時間」を超えたアイドル状態の接続が除去されます。

    デフォルト: 120分

    アイドル状態の接続許容時間オプション: 削除プロセスがプール内のアイドル状態の接続を除去するまでの許容時間。

    デフォルト: 120分

    接続の拡大このオプションは、接続プールが最大接続数を超える接続を保持できるかどうかを示します。デフォルトで選択されています。接続プールが接続を保持できず、接続がタイムアウトに設定された時間内に使用できない場合、システムはエラーを返します。
    カスタム認証モジュールを使用可能にするカスタム認証モジュールの使用を使用可能にして、このユーザー・ディレクトリで定義されたユーザーを認証するためのチェック・ボックス。認証モジュールの完全修飾Javaクラス名も、「セキュリティ・オプション」画面で入力する必要があります。セキュリティ・オプションの設定を参照してください。

    カスタム認証モジュールの認証は、シン・クライアントおよびシック・クライアントに対して透過的で、クライアントのデプロイメント変更は必要ありません。『Oracle Enterprise Performance Management Systemセキュリティ構成ガイド』のカスタム認証モジュールの使用に関する項を参照してください。

  7. 「次へ」をクリックします。

    Shared Servicesは、「ユーザー構成」画面に設定されたプロパティを使用して、ユーザーの検索を開始するノードの特定に利用されるユーザーURLを作成します。このURLを使用すると、検索効率が向上します。

    注意!

    ユーザーURLは別名をポイントできません。EPM Systemのセキュリティでは、ユーザーURLが実際のユーザーをポイントすることを求められます。

    画面の「自動構成」領域を使用して、必要な情報を取得することをお薦めします。

    「ユーザー構成」画面の図

    注意:

    ユーザー構成で使用できる特殊文字のリストについては、特殊文字の使用方法を参照してください。

  8. 「自動構成」に、フォーマットattribute=identifierを使用して、一意のユーザー識別子を入力します。例: uid=jdoe

    ユーザーの属性は、「ユーザー構成」領域に表示されます。

    OIDを構成している場合は、OIDのルートDSEがネーミング・コンテキスト属性内にエントリを含まないため、ユーザー・フィルタを自動的に構成できません。『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』ネーミング・コンテキストの管理に関する項を参照してください。

    注意:

    「ユーザー構成」領域のテキスト・ボックスに、必要なユーザー属性を手動で入力できます。

    表9. 「ユーザー構成」画面

    ラベル説明[1]
    ユーザーRDNユーザーの相対的な識別名。DNの各コンポーネントはRDNと呼ばれ、ディレクトリ・ツリー内の分岐を表します。ユーザーのRDNは一般に、uidまたはcnと同じです。

    制限については、特殊文字の使用方法を参照してください。

    例: ou=People

    ログイン属性ユーザーのログオン名を保管する一意の属性(カスタム属性も可能)。ユーザーは、EPM System製品にログインするとき、この属性の値をユーザー名として使用します。

    ユーザーID (「ログイン属性」の値)は、すべてのユーザー・ディレクトリにわたって一意である必要があります。たとえば、SunONE構成とActive Directory構成の「ログイン属性」として、それぞれuidsAMAccountNameを使用できます。これらの属性の値は、ネイティブ・ディレクトリを含むすべてのユーザー・ディレクトリにわたって一意である必要があります。

    注意:

    ユーザーIDでは、大文字と小文字が区別されません。

    注意:

    Kerberos環境のOracle Application ServerにデプロイされたEPM System製品の外部ユーザー・ディレクトリとしてOIDを構成している場合は、このプロパティをuserPrincipalNameに設定する必要があります。

    デフォルト

    • Active Directory: cn

    • Active Directory以外のLDAPディレクトリ: uid

    名の属性ユーザーの名を保管する属性

    デフォルト: givenName

    姓の属性ユーザーの姓を保管する属性

    デフォルト: sn

    電子メール属性オプション: ユーザーの電子メール・アドレスを保管する属性

    デフォルト: mail

    オブジェクト・クラス

    ユーザーのオブジェクト・クラス(ユーザーに関連付けられる必須とオプションの属性)。Shared Servicesは、この画面に表示されたオブジェクト・クラスを検索フィルタで使用します。これらのオブジェクト・クラスを使用して、Shared Servicesは、プロビジョニングされたすべてのユーザーを検索する必要があります。

    注意:

    ユーザー・ディレクトリ・タイプ「その他」としてActive DirectoryまたはADAMを、カスタムID属性を使用するように構成している場合、この値をuserに設定する必要があります。

    オブジェクト・クラスは、必要に応じて手動で追加できます。オブジェクト・クラスを追加するには、「オブジェクト・クラス」ボックスにオブジェクト・クラス名を入力し、「追加」をクリックします。

    オブジェクト・クラスを削除するには、オブジェクト・クラスを選択し、「削除」をクリックします。

    デフォルト

    • Active Directory: user

    • Active Directory以外のLDAPディレクトリ: person, organizationalPerson, inetorgperson

    ユーザーを制限するフィルタ

    EPM System製品の役割がプロビジョニングされるユーザーのみを取得するLDAP問合せ。たとえば、LDAP問合せ(uid=Hyp*)は、名前がHypで始まるユーザーのみを取得します。

    ユーザー構成画面はユーザーRDNを検証します。必要な場合は、ユーザー・フィルタの使用をお薦めします。

    ユーザー・フィルタは、問合せで戻されるユーザー数を制限します。ユーザーRDNによって識別されるノードが、プロビジョニングされる必要のない多くのユーザーを含む場合に特に重要です。ユーザー・フィルタは、プロビジョニングされる必要のないユーザーを除外するために使用できます。これにより、パフォーマンスが向上します。

    複数属性のRDN用のユーザー検索属性Active Directory以外のLDAP対応ユーザー・ディレクトリのみ: ディレクトリ・サーバーが複数属性のRDNを使用するように構成される場合にのみ、この値を設定します。設定した値はいずれかのRDN属性である必要があります。指定した属性の値は一意で、属性は検索可能である必要があります。

    たとえば、SunONEディレクトリ・サーバーが、cn (cn=John Doe)およびuid (uid=jDoe12345)属性を組み合わせるように構成され、次のような複数属性のRDNを作成するとします:

    cn=John Doe+uid=jDoe12345, ou=people,
     dc=myCompany, dc=com

    この場合、これらの属性が次の条件を満たしている場合には、cnまたはuidのいずれかを使用できます:

    • この属性は「接続情報」タブにファイルされたユーザーDNで識別されたユーザーにより検索可能です

    • この属性はユーザー・ディレクトリ全体で一意の値に設定する必要があります

    カスタム・プライマリ・グループの解決Active Directoryのみ: 効果的な役割を決定するためにユーザーのプライマリ・グループを識別するかどうかを示すチェック・ボックスです。このチェック・ボックスはデフォルトで選択されています。この設定は変更しないことをお薦めします。
    ユーザー・パスワードの期限が次の日数以内に切れる場合に警告を表示Active Directoryのみ: Active Directoryユーザーのパスワードが指定した日数以内に期限切れになる場合に警告メッセージを表示するかどうかを示すチェック・ボックス。

    1 EPM Systemセキュリティでは、構成値がオプションの一部のフィールドにデフォルト値が使用されます。そのようなフィールドに値を入力しない場合、デフォルト値が実行時に使用されます。

  9. 「次へ」をクリックします。

    「グループ構成」画面が開きます。Shared Servicesは、この画面に設定されたプロパティを使用して、グループの検索を開始するノードを特定するグループURLを作成します。このURLを使用すると、検索効率が向上します。

    注意!

    グループURLは別名をポイントできません。EPM Systemのセキュリティでは、グループURLが実際のグループをポイントすることを求められます。グループの別名を使用するNovell eDirectoryを構成している場合、グループURL内でグループの別名とグループ・アカウントを使用できる必要があります。

    注意:

    「グループ構成」画面のデータ入力はオプションです。グループURLの設定を入力しない場合、Shared Servicesは、ベースDN内を検索してグループを見つけます。これは特に、ユーザー・ディレクトリに多くのユーザーが含まれている場合に悪影響をパフォーマンスに及ぼします。

    「グループ構成」画面の図
  10. 組織で、グループのプロビジョニングを予定していない場合、またはユーザーがユーザー・ディレクトリでループに分類されない場合は、「グループのサポート」をクリアします。このオプションをクリアすると、この画面のフィールドは使用不可になります。

    グループをサポートしている場合は、自動構成機能を使用して、必要な情報を取得することをお薦めします。

    OIDをユーザー・ディレクトリとして構成している場合は、自動構成機能を使用できません。理由は、OIDのルートDSEがネーミング・コンテキスト属性内にエントリを含まないからです。『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』ネーミング・コンテキストの管理に関する項を参照してください。

  11. 「自動構成」テキスト・ボックスに、一意のグループ識別子を入力し、「検索」をクリックします。

    グループ識別子は、フォーマットattribute=identifierで指定する必要があります。例: cn=western_region

    グループの属性は、「グループ構成」領域に表示されます。

    注意:

    必要なグループ属性は、「グループ構成」テキスト・ボックスに入力できます。

    注意!

    ノード名に/ (スラッシュ)または\ (円記号(バックスラッシュ))を含むユーザー・ディレクトリにグループURLが設定されていない場合、ユーザーおよびグループの検索は失敗します。たとえば、ユーザーおよびグループが存在するノード内(OU=child\ou,OU=parent/ouまたはOU=child/ou,OU=parent \ ouなど)のユーザー・ディレクトリにグループURLが指定されていない場合、ユーザーまたはグループを表示する操作は失敗します。

    表10. 「グループ構成」画面

    ラベル説明[1]
    グループRDNグループの相対DN。この値は、ベースDNの相対パスで、グループURLとして使用されます。

    グループRDNを指定します。これにより、プロビジョニングする予定のすべてのグループが使用可能な最下位のユーザー・ディレクトリ・ノードが識別されます。

    プロビジョニングにActive Directoryプライマリ・グループを使用する場合、プライマリ・グループがグループRDN下にあることを確認します。Shared Servicesでは、グループURLのスコープ外のプライマリ・グループは取得されません。

    グループRDNはログインと検索のパフォーマンスに重大な影響を及ぼします。グループRDNはすべてのグループ検索の開始点であるため、EPM System製品のすべてのグループが使用可能な最下位ノードを識別する必要があります。最適なパフォーマンスを保証するには、グループRDN内に存在するグループのメンバーが10,000を超えないようにする必要があります。これより多くのグループが存在する場合は、グループ・フィルタを使用して、プロビジョニングするグループのみを取得します。

    注意:

    グループURL内の使用可能なグループ数が10,000を超えると、Shared Servicesは警告を表示します。

    制限については、特殊文字の使用方法を参照してください。

    例: ou=Groups

    名前の属性グループの名前を保管する属性

    デフォルト

    • Active Directoryを含むLDAPディレクトリ: cn

    • ネイティブ・ディレクトリ: cssDisplayNameDefault

    オブジェクト・クラス

    グループのオブジェクト・クラス。Shared Servicesは、この画面に表示されたオブジェクト・クラスを検索フィルタで使用します。これらのオブジェクト・クラスを使用して、Shared Servicesは、ユーザーに関連付けられたすべてのグループを検索する必要があります。

    注意:

    ユーザー・ディレクトリ・タイプ「その他」としてActive DirectoryまたはADAMを、カスタムID属性を使用するように構成している場合、この値をgroup?memberに設定する必要があります。

    オブジェクト・クラスは、必要に応じて手動で追加できます。オブジェクト・クラスを追加するには、「オブジェクト・クラス」テキスト・ボックスにオブジェクト・クラス名を入力し、「追加」をクリックします。

    オブジェクト・クラスを削除するには、オブジェクト・クラスを選択し、「削除」をクリックします。

    デフォルト

    • Active Directory: group?member

    • Active Directory以外のLDAPディレクトリ: groupofuniquenames?uniquemember, groupOfNames?member

    • ネイティブ・ディレクトリ: groupofuniquenames?uniquemember, cssGroupExtend?cssIsActive

    グループを制限するフィルタ

    EPM System製品の役割がプロビジョニングされるグループのみを取得するLDAP問合せ。たとえば、LDAP問合せ(|(cn=Hyp*)(cn=Admin*))は、名前がHypまたはAdminで始まるグループのみを取得します。

    グループ・フィルタは、問合せで戻されるグループ数を制限するために使用します。グループRDNによって識別されるノードが、プロビジョニングされる必要のない多くのグループを含む場合に特に重要です。フィルタは、プロビジョニングされる必要のないグループを除外するために使用できます。これにより、パフォーマンスが向上します。

    プロビジョニングにActive Directoryプライマリ・グループを使用する場合、設定したグループ・フィルタがグループURLのスコープ内に含まれるプライマリ・グループを取得できることを確認します。たとえば、フィルタ(|(cn=Hyp*)(cn=Domain Users))は、名前がHypで始まるグループとDomain Usersという名前のプライマリ・グループを取得します。

    1 EPM Systemセキュリティでは、構成値がオプションの一部のフィールドにデフォルト値が使用されます。そのようなフィールドに値を入力しない場合、デフォルト値が実行時に使用されます。

  12. 「終了」をクリックします。

    Shared Servicesは構成を保存して、「定義済ユーザー・ディレクトリ」画面に戻ります。この画面には、今構成したユーザー・ディレクトリが表示されます。

  13. 構成をテストします。ユーザー・ディレクトリの接続のテストを参照してください。

  14. 必要に応じて、検索順の割当てを変更します。詳細は、ユーザー・ディレクトリの検索順の管理を参照してください。

  15. 必要に応じて、セキュリティ・オプションを指定します。セキュリティ・オプションの設定を参照してください。

  16. Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。