| Oracle® Fusion Middleware Oracle Identity Managerの管理 11g リリース2 (11.1.2.3.0) E61959-10 |
|
 前 |
 次 |
Oracle Identity Managerでの構成およびカスタマイズにより、あるデプロイメントから別のデプロイメントへ移行できます。たとえば、テスト環境から本番環境へ構成およびカスタマイズを移行する場合があります。これを本番操作テスト(T2P)と言います。
T2Pを実行するには、次の方法があります。
増分T2P: このタイプのT2Pでは、Oracle Identity Managerの構成およびカスタマイズのエクスポートおよびインポートにデプロイメント・マネージャ・ツールを使用します。これは、ターゲット/本番設定がすでに構成されており、ターゲットの設定に特定のアーティファクト/構成を増分ベースで移動する場合に使用します。
完全T2P: このタイプのT2Pには、Fusion Middlewareフレームワーク・ベースの移動スクリプトを使用します。このスクリプトは、環境固有の属性なしで、ある環境のプロパティすべてを別の環境に移動するために使用されるもので、再構成できます。完全T2Pプロセスは、テスト/ソース設定から新しい本番/ターゲット設定を作成する場合に実行します。このプロセス中に、ユーザー、プロビジョニング/調整されたアカウント、リクエスト・データ、リコンシリエーション・データ、監査データなどのすべてのトランザクションおよびインスタンス固有のデータは本番設定に移行されず、残りの構成/データがターゲット設定に移行され、使用可能になります。
|
注意: 移動スクリプトは、Oracle WebLogicアプリケーション・サーバーのみをサポートし、他のアプリケーション・サーバーでのOracle Identity Managerの完全T2Pはサポートされません。 |
この章では、次の各項でT2Pについて説明します。
デプロイメント・マネージャは、Oracle Identity Manager構成のエクスポートおよびインポートに使用するツールです。デプロイメント・マネージャは通常、あるデプロイメントから別のデプロイメントへ、たとえばテスト・デプロイメントから本番デプロイメントへの構成の移行や、システムのバックアップの作成に使用します。
|
重要: デプロイメント・マネージャを使用するには、Oracle Identity System Administrationを実行するコンピュータにJRE 1.4.2以上のバージョンがインストールされている必要があります。 |
構成内のオブジェクトの一部またはすべてを保存することができます。これにより、テスト環境で構成を開発およびテストしてから、テスト済オブジェクトを本番環境にインポートすることができます。オブジェクトとその依存オブジェクトや関連オブジェクトすべてを同時にエクスポートおよびインポートできます。または、各オブジェクトを個別にエクスポートおよびインポートすることも可能です。
デプロイメント・マネージャにより、ソース・システムから構成情報およびバイナリ・データを取り出し、XMLファイルに情報を格納し、それからXMLファイルからターゲット・システムに情報をインポートできます。バイナリ・データには、プラグイン、JARおよびカスタム・リソース・バンドルが含まれています。
あるタイプのリポジトリからエクスポートされたオブジェクトは、それと同じタイプのリポジトリにインポートされます。
|
注意: デプロイメント・マネージャに加えて、サンドボックス機能を使用して、あるデプロイメントから他のデプロイメントへ構成およびカスタマイズを移行できます。サンドボックスの操作の詳細は、『Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のサンドボックスの管理に関する項を参照してください。 |
この項の内容は次のとおりです。
|
注意: デプロイメント・マネージャを使用したデプロイメントのインポートおよびエクスポートは、システム管理者のみが実行できます。 |
Oracle Identity Managerデプロイメントをあるサーバー環境から別のサーバー環境に移行する場合、たとえばテスト環境からステージング環境、あるいはステージング環境から本番環境に移行する場合には、デプロイメント・マネージャを使用します。
デプロイメント・マネージャにより、次のことが可能になります。
デプロイの個々のコンポーネントを、異なるテスト環境で更新します。
エクスポートするコンポーネントに関連するオブジェクトを特定し、リソースに含めることができます。
エクスポート済ファイルの情報を提供します。
コメントを追加します。
デプロイメント・マネージャは、次のタイプの構成アーティファクトを処理します。
アクセス・ポリシー
管理ロール
アプリケーション・インスタンス
承認ポリシー
アテステーション・プロセス
カタログ・メタデータ
証明の構成
証明の定義
カスタム・リソース・バンドル
電子メール定義
エラー・コード
イベント・ハンドラ
汎用テクノロジ・コネクタ(GTC)
GTCプロバイダ
アイデンティティ監査構成
アイデンティティ監査ルール
アイデンティティ監査スキャン定義
ITリソース定義
ITリソース
JARファイル
参照定義
通知テンプレート
組織メタデータ
組織
パスワード・ポリシー
Policies
プラグイン
事前移入アダプタ
プロセス定義
プロセス・フォーム
プロビジョニング・ワークフローおよびプロセス・タスク・アダプタ
リクエスト・データセット
リソース・オブジェクト
リスク構成
ロール・メタデータ
ロール
スケジュール済ジョブ
スケジュール済タスク
システム・プロパティ
ユーザー・メタデータ
|
注意:
|
デプロイメント・マネージャには、次のような制限があります。
マージ・ユーティリティ: デプロイメント・マネージャはマージ・ユーティリティではありません。
本番環境とテスト環境の両方の変更の処理はできません。ターゲット・システムのオブジェクトはXML内のオブジェクトに置き換えられます。
バージョン管理ユーティリティ: デプロイメント・マネージャでは、インポートしたファイルのバージョンを追跡せず、ロールバック機能は提供されません。
環境間でデータを移動する手段としてのみ使用します。
オブジェクトは、Oracle Identity Managerシステムからエクスポートして、XMLファイルに保存できます。デプロイメント・マネージャにあるエクスポート・ウィザードを使用して、エクスポート・ファイルを作成することができます。オブジェクトをタイプ別に、一度に1タイプずつ、たとえばロール、フォーム、プロセスなどの順で追加します。
|
注意: アプリケーション・インスタンスは、データセットなしでエクスポートおよびインポートされます。データセットの移行は、UIのカスタマイズの一部となります。 |
子オブジェクトや依存性を持つオブジェクトを選択した場合は、それらを追加するかどうかを選択できます。1つのタイプのオブジェクトを追加したら、戻って別のオブジェクトをXMLファイルに追加できます。必要なオブジェクトをすべて追加すると、デプロイメント・マネージャによりすべてのオブジェクトが1つのXMLファイルに保存されます。
|
注意: ユーザー定義フィールドが特定のリソース・オブジェクトに関連付けられている場合、エクスポート・プロセス中に、次のいずれかのイベントが発生します。
|
デプロイメントをエクスポートするには:
Oracle Identity System Administrationにログインします。
左側のペインの「システム管理」の下で、「エクスポート」をクリックします。「デプロイメント・マネージャ」が開き、エクスポート・ウィザードのオブジェクトの検索ページが表示されます。
|
注意:
|
オブジェクトの検索ページで、メニューからオブジェクト・タイプを選択し、検索基準を入力します。基準フィールドを空のままにしておくと、自動的にアスタリスク(*)が表示され、選択したタイプのすべてのオブジェクトが検索されます。
デプロイメント・マネージャによって移行がサポートされているすべてのオブジェクトをエクスポートに使用できます。デプロイメント・マネージャによって移行がサポートされているオブジェクトのリストは、「デプロイメント・マネージャの機能」を参照してください。
「検索」をクリックすると、選択したタイプのオブジェクトが検索されます。
オブジェクトを選択するには、オブジェクトのオプションを選択します。
「子の選択」をクリックします。
「子の選択」ページに、選択したオブジェクトとそのすべての子オブジェクトが表示されます。
エクスポートする子オブジェクトを選択します。
項目を選択または削除するには、適切なオプションを選択します。
「戻る」 をクリックすると、オブジェクトの検索ページに戻ります。
「依存性の選択」をクリックします。
「依存性の選択」ページに、選択したオブジェクトで必要とされるすべてのオブジェクトが表示されます。
エクスポートする依存オブジェクトを選択します。
項目を選択または削除するには、項目のオプションを選択します。
「戻る」をクリックすると「子の選択」ページに戻ります。
「確認」をクリックします。
「確認」ページが表示されます。
必要な項目がすべて選択されていることを確認し、「エクスポート用に追加」をクリックします。
「エクスポート用に追加」をクリックした後でも、このエクスポート・ファイルに項目をさらに追加することができます。
さらに追加を選択し、「OK」をクリックして検索オブジェクト・ページに進み、エクスポートするオブジェクトをさらに追加します。
ウィザードを使用して項目をさらに追加し、完了したらウィザードを終了します。目的のオプションを選択し、「OK」をクリックします。
さらに追加を選択した場合は、ステップ3から10を繰り返します。選択していない場合は、「エクスポート」ページが表示されます。
「エクスポート」ページに現在のエクスポート項目が表示されます。選択項目の横にあるアイコンは、選択されているオブジェクトのタイプを示しています。サマリー情報ペインに、エクスポートするオブジェクトが表示されます。「未選択の依存性」ペインには、エクスポート用に選択されなかった依存オブジェクトまたは子オブジェクトのリストが表示されます。
エクスポート・ファイルに変更を加えるには、次の手順を実行します。
フォームをクリアするには「リセット」をクリックします。
アイコン定義を表示するには「凡例」をクリックします。
「オブジェクトの追加」をクリックしてウィザードを再起動し、エクスポート・ファイルにさらに項目を追加します。
オブジェクトを「現在の選択」リストから削除するには:
削除するオブジェクトを右クリックし、ショートカット・メニューから「削除」を選択します。オブジェクトに子オブジェクトがある場合は、ショートカット・メニューから「子も含めて削除」を選択し、子オブジェクトを一度にすべて削除します。
「削除」をクリックして確認します。オブジェクトが、選択した項目の子または依存性の場合は、「未選択の子」または「未選択の依存性」リストに追加されます。
オブジェクトを「未選択の子」または「未選択の依存性」リストから「現在の選択」リストに戻すには、次のようにします。
オブジェクトを右クリックして、「追加」を選択します。
「確認」をクリックします。
「確認」ページが表示されます。
「エクスポート用に追加」をクリックします。
「エクスポート」をクリックします。
説明の追加ダイアログ・ボックスが表示されます。
ファイルの説明を入力します。
この説明は、ファイルがインポートされるときに表示されます。
「エクスポート」をクリックします。
「別名で保存」ダイアログ・ボックスが表示されます。
ファイル名を入力します。
参照してファイルの場所を探すことができます。
「保存」をクリックします。
エクスポート完了ダイアログ・ボックスが表示されます。
「閉じる」をクリックします。
デプロイメント・マネージャを使用してXMLファイルにエクスポートしたオブジェクトは、デプロイメント・マネージャを使用してOracle Identity Managerにインポートできます。XMLファイルの全部または一部をインポートすることも、複数のXMLファイルを同時にインポートすることもできます。デプロイメント・マネージャは、インポートするオブジェクトの依存性が、インポート時に、または使用するシステムで確実に利用できるかどうかを確認します。インポート中、システム内のオブジェクトをインポート中のオブジェクトに置換できます。たとえば、システムのグループをXMLファイル内で指定されているグループに置換できます。
|
注意:
|
XMLファイルをインポートするには:
|
注意: メニュー項目への参照を含むデータをインポートする場合は、まずターゲット・システムでそのメニュー項目を作成してからインポートする必要があります。 |
Oracle Identity System Administrationにログインします。
左側のペインの「システム管理」の下で、「インポート」をクリックします。デプロイメント・マネージャが開きます。
他のセッションからの別のインポートが進行中の場合は、ダイアログ・ボックスが表示されて、「デプロイメント・マネージャのインポート・ユーティリティは、現在別のユーザーが使用しています。」と示されます。「ロックの取得」をクリックしてインポート・プロセスを開始します。
|
注意: Mozilla Firefox Webブラウザを使用して「デプロイメント・マネージャ」を開く場合は、追加認証ダイアログ・ボックスが表示されることがあります。このダイアログ・ボックスで認証が行われると、デプロイメント・マネージャにアクセスできるようになります。この追加認証を回避するには、次のようにします。
Microsoft Internet Explorer、Google ChromeおよびApple Safari Webブラウザを使用してデプロイメント・マネージャを開く場合は、追加認証は必要ありません。 |
ファイルを選択します。
「インポート」ダイアログ・ボックスが表示されます。
「オープン」をクリックします。
「ファイル・プレビュー」ページが表示されます。
「ファイルの追加」をクリックします。
「置換」ページが表示されます。
名前を置換するには、置換する項目に隣接した「新しい名前」フィールドをクリックし、名前を入力します。
ターゲット・システムに存在する項目のみ置換できます。
「次へ」をクリックします。ITリソース・インスタンスをエクスポートする場合、「ITリソース・インスタンス・データの提供」ページが表示されます。それ以外の場合は、「確認」ページに切り替わります。
現在のリソース・インスタンスの値を変更して「次へ」をクリックするか、「スキップ」をクリックして現在のリソース・インスタンスをスキップするか、「新規インスタンス」をクリックして新しいリソース・インスタンスを作成します。
「確認」ページが表示されます。
「確認」ページに表示される情報が正しいことを確認します。
戻って変更するには「戻る」をクリックします。それ以外の場合は「選択内容の表示」をクリックします。
デプロイメント・マネージャの「インポート」ページに現在の選択項目が表示されます。
「インポート」ページでは、現在の選択項目の横にアイコンが表示されます。このアイコンは、選択されているオブジェクトのタイプを示しています。右側のアイコンは選択項目のステータスを示しています。選択されたファイルの名前、インポートするオブジェクトのサマリー情報および置換情報がページの左側に表示されます。右側には、「インポートから削除したオブジェクト」リストにインポートされないXML内のすべてのオブジェクトが表示されます。
必要に応じて次の調整を行います。
フォームをクリアするには「リセット」をクリックします。
アイコン定義を表示するには「凡例」をクリックします。
「現在の選択」リストからオブジェクトを削除するには、オブジェクトを右クリックしてショートカット・メニューから「削除」を選択し、「削除」をクリックしてオブジェクトの削除を確認します。
オブジェクトに子オブジェクトがある場合、ショートカット・メニューから「子も含めて削除」を選択し、子オブジェクトを一度にすべて削除します。項目が「インポートから削除したオブジェクト」リストに追加されます。
「現在の選択」リストに項目を戻すには、リストを右クリックして、「追加」をクリックします。
オブジェクトに子オブジェクトがある場合、ショートカット・メニューから「子も含めて追加」を選択してすべての子オブジェクトを一度に追加します。
置換するには、「置換の追加」をクリックします。
別のXMLファイルからオブジェクトを追加するには、「ファイルの追加」をクリックして、ステップ3 - 9を繰り返します。
インポートした情報に関する情報を表示するには、「情報の表示」をクリックします。
「情報」ページが表示されます。
詳細情報を表示するには、「情報レベル・メッセージの表示」オプションを選択し、「メッセージの表示」をクリックします。「閉じる」をクリックして「情報」ページを閉じます。
現在の選択項目をインポートするには、「インポート」をクリックします。
「確認」ダイアログ・ボックスが表示されます。
「インポート」をクリックします。
インポート完了ダイアログ・ボックスが表示されます。
「OK」をクリックします。
オブジェクトがOracle Identity Managerにインポートされます。
デプロイメント・マネージャの使用に関する推奨プラクティスと注意点を次に示します。
リクエスト、Xellerateユーザー、システム管理者などのシステム・オブジェクトのエクスポートまたはインポートは、本当に必要な場合にのみ行ってください。システム・オブジェクトをテスト環境やステージング環境から本番環境にエクスポートすると、問題が発生する場合があります。可能であれば、データのエクスポートまたはインポートの際には、システム・オブジェクトを除外してください。
Xellerateユーザー・リソース・オブジェクトで信頼できるソースのリコンシリエーションを定義する場合などに、システム・オブジェクトをエクスポートまたはインポートすることがあります。
|
注意: デプロイメント・マネージャでは、インポートしたコンポーネントおよび構造を追跡しますが、終了したインポートの追跡は行いません。インポートが完了した後は、前のバージョンにロールバックできません。新たにインポートする必要があります。 |
デプロイメント・マネージャを使用して、関連するオブジェクトをセットにしてエクスポートすることをお薦めします。グループ化する論理項目を1つにまとめて、エクスポートの単位にしてください。
1回の操作でデータベース内のすべてをエクスポートしたり、1回に項目を1つずつエクスポートすることは避けてください。たとえば、プロセス、リソース・オブジェクト、アダプタ、ITリソース・タイプ定義、ITリソース定義、スケジュール済タスクなどを含むターゲット・システムと、Oracle Identity Managerとの間の統合を管理するとします。このような環境では、エクスポートの前に関連するオブジェクトのグループを作成します。
たとえば、複数の統合で同一の電子メール定義を使用する場合、電子メール定義を1つの単位としてエクスポートし、統合は別の単位としてエクスポートする必要があります。これにより、電子メール定義の変更を、ターゲット・システム統合の変更とは別にインポートできます。また、複数のリソースで同一のITリソース・タイプ定義を使用する場合、タイプ定義をその他のデータとは別個にエクスポートおよびインポートできます。
エクスポート済データの1つ以上のセットを一度にインポートできます。たとえば、リソース・オブジェクト定義、電子メール定義およびITリソース・タイプ定義を、1回の操作でインポートできます。
エクスポートする前に、フォームを何度も修正することがあります。「v23」のような一般的な名前で、フォームのバージョンを区別しないでください。「Before Production」または「After Production Verification」など、意味のある名前を作成します。バージョン名には二重引用符などの特殊文字を使用しないでください。
組織階層内のリーフや組織をエクスポートすると、1つの依存性レベルのみがエクスポートされます。組織階層を完全にエクスポートするには、階層のルートをエクスポートする必要があります。
デプロイメント・マネージャでは、エクスポート日、エクスポートの実行者、ソース・データベースなどの一部の情報は自動的に記録されます。また、「xxx属性がリコンシリエーションに追加された後のリソース定義」など、エクスポートのコンテンツのわかりやすい説明も指定する必要があります。ファイルのインポート担当者は、これを元にインポートされるデータのコンテンツを把握します。
本番環境に情報をインポートする場合、インポート操作が完了する前にすべての警告をチェックしてください。すべての警告に慎重に対応します。
右上ペインのウィザードには、ターゲット・システムで使用可能であることが必要なリソースが表示されます。
次のタイプの依存性について考慮します。
ターゲット・システムですでに使用可能なリソースは、エクスポートする必要がありません。
(ターゲット・システムにない)新規のリソースは、エクスポートする必要があります。
再利用される参照、ITリソース定義またはその他のリソースがターゲット・システムに含まれていない場合は、必要に応じてインポートできるように、データを記録して別個のファイルでエクスポートします。
|
注意: リソースをエクスポートする際に、そのフォームに対してデータ・オブジェクト権限を持つグループはリソースと一緒にエクスポートされません。 |
スケジュール済タスクが正しく実行されるかどうかは、特定のパラメータに依存します。スケジュール済タスクのパラメータを、本番サーバーにインポートできます。表21-1に、スケジュール済タスクのインポート方法を決定するためのルールを示します。パラメータは、ターゲット・システムに存在しないタスクでも使用できる場合があります。
スケジュール済タスクは、デプロイメント・マネージャを使用してインポートできるオブジェクトの1つです。通常、スケジュール済タスクをOracle Identity Manager環境にインポートし、実際の本番環境にあわせて後からスケジュールされた属性の値を変更します。ただし、同じOracle Identity Managerサーバーに同一のスケジュール済タスクをインポートするのが2回目である場合、デプロイメント・マネージャはデータベースにある属性値を上書きしません。その場合、デプロイメント・マネージャは再インポートしたXMLファイルの属性値を、対応するデータベース内の属性値と比較します。
次の表に、スケジュール済タスクの再インポート時にデプロイメント・マネージャによって実行される動作についてまとめます。
| スケジュール済タスクのインポートするXMLファイルに属性値があるか | 対応する属性値がデータベースにあるか | デプロイメント・マネージャの動作 |
|---|---|---|
| はい | いいえ | 属性値をデータベースに格納します |
| いいえ | はい | データベース内の既存の属性値を削除します |
| はい | はい(タイムスタンプで示される新しい属性値) | データベースは変更されません |
| はい(タイムスタンプで示される新しい属性値) | はい | 新しい属性値でデータベースを更新します。 |
インポート操作の後、アダプタは再コンパイルするように設定され、スケジュール済タスクは無効化されます。クラスをインポートしてタスク属性を調整してから、手動でアダプタを再コンパイルし、スケジュール済タスクを有効化してください。
ロールをエクスポートする際に、異なるデータ・オブジェクトに対するロール権限もエクスポートされます。ただし、データをインポートする際は、欠落しているデータ・オブジェクトに対する権限はすべて無視されます。ロール権限の設定をエクスポートする手段としてロールをエクスポートする場合は、権限の要件が満たされるように、警告を慎重にチェックしてください。たとえば、ロールにオブジェクトA、B、Cに対する権限があるが、ターゲット・システムにはオブジェクトA、Bしかない場合、オブジェクトCの権限は無視されます。後でオブジェクトCを追加した場合、Cのロール権限を手動で追加するか、ロールを再インポートする必要があります。
特定のレポートの表示権限を持つロールのエクスポートでは、そのレポートがターゲット環境に存在することを確認してください。レポートがない場合、ロールのエクスポートの前に権限を削除することを考慮してください。
データを本番環境にインポートする前に、データベースをバックアップします。これにより、インポートで問題が発生しても、データをリストアできます。データベースをバックアップしておくことは、大きな変更を行う前の大切な予防措置です。
|
注意: フォームおよびユーザー定義フィールドをインポートする際は、データベースにエントリを追加します。これらのデータベース・エントリは、ロールバックまたは削除できません。各インポート操作の前に、フォームの正しいバージョンがアクティブになっていることを確認してください。 |
インポート操作はスキーマの変更を伴うため、単一のトランザクションでは完了できません。これらの変更は、現在システムで実行中のトランザクションに影響を与えます。インポート操作の影響を抑えるためには、一般使用のためのWebアプリケーションを一時的に無効化し、システムのアクティビティが低下する夜間などに操作を行うようにしてください。
デプロイメント・マネージャは、大量のデータの移動や移行用のツールではありません。デプロイメント・マネージャを使用してオブジェクトをエクスポート/インポートする際はご自身の判断に従ってください。特にデータ・ボリュームが大きい場合、ユーザー、組織、およびロールなどのエンティティは他のバルク・ツールを使用してエクスポート/インポートする必要があります。
また、ユーザー、組織、およびロールは、依存性としてエクスポート/インポートしないように、必ず、ポリシー、ルール、アプリケーション・インスタンス、およびコネクタ構成などの構成オブジェクトを移動する前にロードまたは同期化(あるいはその両方)してください。
|
注意: 大量のデータをエクスポート/インポートする場合は、UIでタイムアウトが発生する可能性があります。 |
デプロイメント・マネージャを使用してエンティティをエクスポート/インポートする場合、以前にエンティティに関連付けられたパブリケーションがすべて削除され、パブリケーションをエクスポートしない場合、デフォルトではパブリケーションは割り当てられません。たとえば、ソース環境で組織に公開された管理ロールをインポートする場合、管理ロールのパブリケーション情報はターゲット環境では失われます。したがって、管理ロールとともにエンティティ・パブリケーションをインポートする必要があります。
この項の内容は次のとおりです。
デプロイメント・マネージャを使用したデータのインポート中に、インポートの失敗に関する次の情報がUIに表示されます。
インポートが失敗したエンティティ
インポートが失敗したエンティティのタイプ
例外オブジェクト固有のエラー・メッセージ
この情報は、例外トレースとともにログでも出力されます。
図21-1に、デプロイメント・マネージャのインポートの失敗時に表示されるサンプルのエラー・メッセージを示します。
これは、ユーザーが、失敗したエンティティおよびその原因の識別するために役立ち、ユーザーは、その特定のエンティティを削除し、ターゲット・システムでインポートする必要がない場合は、インポートを再試行できます。これは、サポート・チームおよび開発者が問題の発生時に問題を識別するために役立ちます。
表21-2に、障害が発生した場合に実行できるトラブルシューティングの手順を示します。
表21-2 デプロイメント・マネージャのトラブルシューティング
| 問題 | 解決策 |
|---|---|
|
Oracle Identity Manager 11g リリース2 (11.1.2.3.0)では、スケジュール済ジョブはスケジュール済タスクに依存しています。したがって、スケジュール済ジョブの前にスケジュール済タスクをインポートする必要があります。この結果、XMLファイルでスケジュール済タスク・エントリより前にスケジュール済ジョブ・エントリがある場合、デプロイメント・マネージャを使用したXMLのインポートが失敗し、次のエラー・メッセージが表示されます。 [exec] Caused By: oracle.iam.scheduler.exception.SchedulerException: InvalidScheduleTask definition [exec] com.thortech.xl.ddm.exception.DDMException |
XMLファイルを開き、すべてのスケジュール済タスク・エントリをスケジュール済ジョブ・エントリの上に移動します。 |
|
デプロイメント・マネージャで、エクスポートがいずれのオブジェクトに対しても失敗します。ユーザーには「エクスポートに失敗しました」ダイアログ・ボックスが表示されますが、サーバー・ログに例外は見つかりません。 JREコンソールを確認すると、次のように表示されています。 java.security.AccessControlException: access denied (java.io.FilePermission PATH_AND_NAME_OF_THE_FILE) |
次のステップを実行します:
|
|
XMLファイルのインポート中に次のエラーが発生します。 Caused by: oracle.iam.reconciliation.exception.ConfigException: Profile :Xellerate User InvalidAttributes : |
次のいずれかを実行します。
|
|
承認ポリシーのインポートにより、次のエラーが発生することがあります。
weblogic.kernel.Default (self-tuning)'] [userId: xelsysadm] [ecid:
f9e72ab2a292a346:-188377b2:12f96ae9676:-8000-0000000000000047,0] [APP:
oim#11.1.1.3.0] Exception thrown {0}[[
oracle.iam.platform.entitymgr.ProviderException: USER_NOT_FOUND
|
承認ポリシー・ルールは、Oracle Identity Managerに存在しないエンティティ(ユーザーまたは組織)を指す場合、無効です。これらの無効な承認ルールは、インポートする前に有効なエンティティ(ユーザーまたは組織)を指すように修正する必要があります。 |
デプロイメント・マネージャのロギングを有効化するには:
次のディレクトリ・パスにあるlogging.xmlファイルを編集して、デプロイメント・マネージャに新しいロガーを追加します。
DOMAIN_NAME/config/fmwconfig/servers/SERVER_NAME/
インスタンスで、デプロイメント・マネージャに通知レベルのロギングを有効化するには、<loggers>セクション内に次のロガーを追加します。
<logger name='XELLERATE.DDM' level='NOTIFICATION:1' />
関連する<log_handler>で定義されたログ・レベルを変更します。
Oracle Identity Managerは、Fusion Middleware環境の一部です。テスト環境から本番環境へOracle Identity Managerを移動するには、移動スクリプトを使用します。このスクリプトは、Oracle Identity Managerのバイナリ、アーティファクトおよび構成をコピーし、新たなエンドポイントのある本番Oracle Identity Managerを構成します。移動スクリプトは、テスト環境および本番環境でOracle Identity Managerアーティファクトと相互に作用し、本番環境を更新してOracle Identity Managerを本番環境で機能させます。移動スクリプトの詳細は、『Oracle Fusion Middleware管理者ガイド』のテスト環境から本番環境への移動に関する項を参照してください。Oracle Identity Managerコンポーネントを移動するための手順の詳細は、『Oracle Fusion Middleware管理者ガイド』の新規ターゲット環境へのIdentity Managementコンポーネントの移動に関する項を参照してください。
|
注意: Oracle Identity Managerのソース設定からターゲット設定への移行を進める前に、『Oracle Fusion Middlewareリリース・ノート』の「ソース環境からターゲット環境への移行に関する制限事項」で、テスト環境から本番環境への移行に関連した制限事項および既知の問題の詳細を参照できます。さらに、Oracle Identity Managerのソース設定を移行する際に発生する可能性のある問題、および考えられる解決策の詳細は、「移動スクリプトを使用したテスト環境から新たな本番環境への移動のトラブルシューティング」を参照してください。アップグレード後の環境に該当するT2P問題のトラブルシューティングの詳細は、表21-3「移動スクリプトを使用したテスト環境から本番環境への移動のトラブルシューティング」の6、7および8行目を参照してください。 |
Oracle Identity Managerのソース設定をターゲット設定に移行する手順は次のとおりです。
『Oracle Fusion Middleware管理者ガイド』のアイデンティティ管理の新しいターゲット環境への移行に関する項の「作業4 Oracle Identity Manager用の前提条件作業の実行」の説明に従って、ソースからターゲットのDBホストにOracle Identity Managerデータベース・スキーマのデータおよび埋込みBI Publisherデータを移行します。
|
注意: SOA、MDSおよびOPSSなどのコンポーネントのデータの移行は、ここで説明するプロセス全体の一部として自動化され、各コンポーネントで特に指定のない限り、これらのために別の手順を実行する必要はありません。 |
FMW T2Pユーティリティを使用して、ターゲット設定を作成します。これを行うには、次のようにします。
ORACLE_COMMON_HOME/bin/ディレクトリから次のコマンドを実行します。
|
注意:
|
./copyBinary.sh -javaHome PATH_TO_JDK -al ARCHIVE_LOCATION -smw SOURCE_MW_HOME -idw true -ipl PATH_TO_ORACLE_INVENTORY_POINTER -silent true -ldl PATH_TO_LOG_DIRECTORY ./copyConfig.sh -javaHome PATH_TO_JDK -archiveLoc ARCHIVE_LOCATION -sourceDomainLoc SOURCE_DOMAIN_LOCATION -sourceMWHomeLoc MIDDLEWARE_HOME_LOCATION -domainHostName DOMAIN_HOST_NAME -domainPortNum DOMAIN_PORT_NUMBER -domainAdminUserName DOMAIN_ADMIN_USERNAME -domainAdminPasswordFile DOMAIN_ADMIN_PASSWORD_FILE -silent true -ldl PATH_TO_LOG_DIRECTORY ./extractMovePlan.sh -javaHome PATH_TO_JDK -archiveLoc ARCHIVE_LOCATION -planDirLoc MOVE_PLAN_DIRECTORY
extractMovePlanスクリプトとpasteConfigスクリプトの実行の間に、ターゲットを構成するための新しい値にmoveplanを更新します。moveplanの一般的な変更の詳細は、『Oracle Fusion Middleware管理者ガイド』の移行プランの変更に関する項を参照してください。moveplanプロパティの説明は、『Oracle Fusion Middleware管理者ガイド』の表20-22 Oracle Identity ManagerのMove Planプロパティを参照してください。
|
注意:
|
ターゲット・ホスト上で新しいディレクトリを作成して、SOURCE_MACHINE/Middleware/oracle_common/bin/ディレクトリからpasteBinary.shをコピーします。さらに、SOURCE_MACHINE/Middleware/oracle_common/jlib/ディレクトリからターゲット・ホストにcloningclient.jarファイルをコピーします。これらの2つのファイルは、同じ場所に配置してください(たとえば、/scratch/aime1/scriptsなど)。続けて、次のコマンドを実行します。
./pasteBinary.sh -javaHome PATH_TO_JDK -al ARCHIVE_LOCATION -tmw TARGET_MW_HOME -idw true -esp true -ipl PATH_TO_ORACLE_INVENTORY_POINTER -ldl PATH_TO_LOG_DIRECTORY -silent true
TARGET_MIDDLEWARE_HOME/bin/ディレクトリに移動して、次のコマンドを実行します。
./pasteConfig.sh -javaHome PATH_TO_JDK -archiveLoc ARCHIVE_LOCATION -targetDomainLoc TARGET_DOMAIN_PATH -targetMWHomeLoc TARGET_MIDDLEWARE_HOME_PATH -movePlanLoc MOVE_PLAN_PATH -domainAdminPasswordFile DOMAIN_ADMIN_PASSWORD_FILE -silent true -ldl PATH_TO_LOG_DIRECTORY
|
注意:
|
完全T2Pの移行後、次の構成を確認または変更します。
xlclient.cmdファイルでは、Design Consoleを使用してソースで構成されたJDKライブラリがターゲットでアクセスできない場合、JDKパスを更新します。
config/xlconfig.xmlファイルでは、アプリケーションJNDI URLを更新して、ソース・アプリケーションのURLではなくターゲット・アプリケーションのURLを指定します。
ITリソース構成は、T2P手順のmoveplanの一部ではありません。T2P手順の完了後およびターゲット設定でサーバーを起動後、本番設定ごとにITリソース・パラメータを構成できます。Oracle Identity System Administrationの「構成」で、「ITリソース」をクリックします。「ITリソースの管理」ページで、変更するITリソースの編集アイコンをクリックします。
T2P手順の間、トランザクション・データと見なされるため、ソースからターゲットへ移行されないエンティティ(ユーザーやプロビジョニングされたアカウントなど)もあります。そのため、ユーザーのパーソナライズ設定(ソート順序、保存済の検索、レイアウト変更など)は、ターゲット設定では見つかりません。
ロール所有者など一部のユーザーは、Oracle Identity Managerの多くの場所で参照されます。完全T2Pの移行後、そのようなユーザーへの参照は、SYSTEM_ADMINISTRATOR_USERNAME (Oracle Identity Managerシステム管理者)への参照に置換されます。
T2Pプロセスの完了後、ターゲット設定に関する次の機能を確認します。
ユーザーの作成、アクセス・ポリシーに関連付けられた既存のロールを割り当てる(ソースから移行されたロールおよびアクセス・ポリシー)
ロールの作成、エンタープライズ・ロールおよび管理ロール
リクエスト作成および承認ワークフローの開始
トポロジで統合が定義されている場合は、基本のOIM-OAMおよびOIM-OAAMの統合ユースケース
LDAP同期構成のカスタマイズ(たとえば、ロール・カテゴリ・コンテナ・ルールは移行後にT2P環境で構成する必要がある)。
表21-3に、移動スクリプトを使用したテスト環境から本番環境への移動に関して問題が発生した場合に実行できるトラブルシューティングの手順を示します。
表21-3 移動スクリプトを使用したテスト環境から本番環境への移動のトラブルシューティング
| # |
問題 | 解決策 |
|---|---|---|
|
1 |
Oracle Identity Managerのクラスタ・デプロイメント間で移行した後、SOAサーバーは動作しますがsoa-infraにアクセスできません。これは、Coherence設定でソースが指定されているためです。 |
『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のOracle Coherenceで使用するホスト名の指定に関する項を参照して、coherence設定を適宜変更した後、SOAサーバーを再起動します。 |
|
2 |
次のセクションが、クローニングのエラー・ログに記録されます。 NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Sep 24, 2013 10:26:55 PM oracle.security.jps.internal.config.xml.XmlConfigurationFactory initDefaultConfiguration SEVERE: java.io.FileNotFoundException: ./config/jps-config.xml (No such file or directory) Sep 24, 2013 10:26:55 PM oracle.mds NOTIFICATION: Auditing is disabled for component MDS. Sep 24, 2013 10:26:55 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Sep 24, 2013 10:26:55 PM oracle.security.jps.internal.config.xml.XmlConfigurationFactory initDefaultConfiguration SEVERE: java.io.FileNotFoundException: ./config/jps-config.xml (No such file or directory) Sep 24, 2013 10:26:55 PM oracle.mds NOTIFICATION: Auditing is disabled for component MDS. Sep 24, 2013 10:26:55 PM oracle.mds |
クローニングのエラー・ログのこのセクションは無害であり、無視しても問題ありません。 |
|
3 |
Oracle Identity Managerを新しい環境に移行した後、次の操作のうち、1つまたは複数を試行した場合に、データベース接続関連のエラーがスローされます。
|
チューニング・パラメータを、次のように設定します。
JAVA_OPTIONS="-Djbo.ampool.doampooling=true -Djbo.ampool.minavailablesize=1
-Djbo.ampool.maxavailablesize=120 -Djbo.recyclethreshold=60
-Djbo.ampool.timetolive=-1 -Djbo.load.components.lazily=true
-Djbo.doconnectionpooling=true -Djbo.txn.disconnect_level=1
-Djbo.connectfailover=false -Djbo.max.cursors=5
-Doracle.jdbc.implicitStatementCacheSize=5
-Doracle.jdbc.maxCachedBufferSize=19 ${JAVA_OPTIONS}"
これらのチューニング・パラメータの詳細は、『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』のアプリケーション・モジュール・プーリングに関する項を参照してください。 |
|
4 |
次のようなエラーが発生します。 Caused By: java.sql.SQLIntegrityConstraintViolationException: ORA-00001: unique constraint (SOURCE_OIM.PK_ORD) violated |
impdpログをチェックして、そこに |
|
5 |
次のエラーが発生します。 UserConfigDataMigrationException: oracle.bpel.services.workflow.util.tools.wfUserConfigDataMigrator.UserConfigDa taMigrationException: ORABPEL-30511 Verification Service cannot resolve user identity. User weblogic cannot be found in the identity repository. Workflow Context token cannot be null in request. |
Oracle Identity Managerスキーマの移行時に、必要なパラメータおよびパラメータ・ファイルを使用しているかどうかを確認します。 |
|
6 |
ターゲット環境に移行した後、ユーザーの作成またはロール操作中に次のエラーが発生します。 UIでのエラー: An Error Occured while deleting LDAP User in the compensate stage ログでのエラー:
An error occurred while removing the entity in LDAP, and the corresponding
error is - {0}[[
oracle.iam.platform.entitymgr.vo.ConnectivityException:
java.lang.IllegalArgumentException: Null input buffer
at
oracle.iam.ldapsync.impl.repository.ITResourceRepository.getConnection(ITResou
rceRepository.java:40)
at
oracle.iam.platform.entitymgr.provider.ldap.LDAPDataProvider.remove(LDAPDataPr
ovider.java:1170)
at
oracle.iam.platform.entitymgr.impl.EntityManagerImpl.deleteEntity(EntityManage
rImpl.java:704)
at
oracle.iam.platform.entitymgr.impl.EntityManagerImpl.deleteEntity(EntityManage
rImpl.java:675)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at
sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
at
sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.j
ava:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at
org.springframework.aop.support.AopUtils.invokeJoinpointUsingReflection(AopUti
ls.java:307)
at
org.springframework.aop.framework.ReflectiveMethodInvocation.invokeJoinpoint(R
eflectiveMethodInvocation.java:182)
at
org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(Reflectiv
eMethodInvocation.java:149)
at
oracle.iam.platform.utils.DMSMethodInterceptor.invoke(DMSMethodInterceptor.jav
a:35)
...
...
Caused by: java.lang.IllegalArgumentException: Null input buffer
at javax.crypto.Cipher.doFinal(DashoA13*..)
at
com.thortech.xl.crypto.tcDefaultDBEncryptionImpl.decrypt(tcDefaultDBEncryption
Impl.java:222)
at com.thortech.xl.crypto.tcCryptoUtil.decrypt(tcCryptoUtil.java:122)
at com.thortech.xl.crypto.tcCryptoUtil.decrypt(tcCryptoUtil.java:163)
at
com.oracle.oim.gcp.pool.ConnectionServiceUtility.getITResourceDetails(Connecti
onServiceUtility.java:656)
at
com.oracle.oim.gcp.pool.ConnectionServiceUtility.getITResourcePoolConfig(Conne
ctionServiceUtility.java:413)
at
com.oracle.oim.gcp.pool.ConnectionServiceUtility.getPoolConfiguration(Connecti
onServiceUtility.java:65)
at
com.oracle.oim.gcp.pool.ConnectionService.getConnection(ConnectionService.java
:38)
at
com.oracle.oim.gcp.pool.ConnectionService.getConnection(ConnectionService.java
:176)
at
oracle.iam.ldapsync.impl.repository.ITResourceRepository.getConnection(ITResou
rceRepository.java:36)
|
次のステップを実行します:
|
|
7 |
ターゲット環境に移行した後、ロールの更新の実行中に次のエラーが発生します。 UIでのエラー: IAM-3056030 : An exception occurred while performing the operation. ログでのエラー:
[2015-04-01T22:57:17.451-07:00] [oim_server1] [WARNING] []
[oracle.adf.controller.faces.lifecycle.Utils] [tid: [ACTIVE].ExecuteThread:
'3' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: xelsysadm]
[ecid: 0000Klsh7XMFW7KpISP5if1L6xnV0000^G,0] [APP:
oracle.iam.console.identity.self-service.ear#V2.0] [DSID:
0000Klsbh6yFW7KpISP5if1L6xnV0000Yj] ADF: Adding the following JSF error
message: IAM-3056030 : An exception occurred while performing the
operation.[[
oracle.iam.ui.platform.exception.OIMRuntimeException: IAM-3056030 : An
exception occurred while performing the operation.
at
oracle.iam.ui.platform.exception.OIMErrorHandler.reportServiceException(OIMErr
orHandler.java:178)
at
oracle.iam.ui.platform.exception.OIMErrorHandler.reportException(OIMErrorHandl
er.java:66)
at
oracle.adf.model.binding.DCDataControl.reportException(DCDataControl.java:413)
.
at
oracle.adf.model.binding.DCBindingContainer.reportException(DCBindingContainer
.java:425)
at
oracle.adf.model.binding.DCBindingContainer.reportException(DCBindingContainer
.java:480)
at
oracle.adf.model.binding.DCControlBinding.reportException(DCControlBinding.jav
a:201)
at
oracle.jbo.uicli.binding.JUCtrlActionBinding.reportException(JUCtrlActionBindi
ng.java:2101)
at
oracle.jbo.uicli.binding.JUCtrlActionBinding.doIt(JUCtrlActionBinding.java:173
3)
at
oracle.adf.model.binding.DCDataControl.invokeOperation(DCDataControl.java:2188
)
at
oracle.jbo.uicli.binding.JUCtrlActionBinding.invoke(JUCtrlActionBinding.java:7
89)
at
oracle.adf.controller.v2.lifecycle.PageLifecycleImpl.executeEvent(PageLifecycl
eImpl.java:410)
at
oracle.adfinternal.view.faces.model.binding.FacesCtrlActionBinding._execute(Fa
cesCtrlActionBinding.java:252)
at
oracle.adfinternal.view.faces.model.binding.FacesCtrlActionBinding.execute(Fac
esCtrlActionBinding.java:210)
at
oracle.iam.ui.platform.utils.FacesUtils.executeOperationBinding(FacesUtils.jav
a:182)
at
oracle.iam.ui.role.view.backing.RolesCRUDEventsBean.loadRoleDetails(RolesCRUDE
ventsBean.java:3494)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at
sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
at
sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.j
ava:25)
|
Oracle Identity Managerデータベース・スキーマに接続し、次のSQL問合せを実行します。 update ugp set ugp_role_owner_key = (select usr_key from usr where usr_login = 'XELSYSADM' ) where ugp_role_owner_key is null; |
|
8 |
ターゲット環境に移行した後、リクエスト作成に失敗し、次のエラーが発生します。 UIでのエラー: Request not raised, no other error seen as such ログでのエラー:
<Apr 1, 2015 5:28:17 AM PDT> <Error> <oracle.iam> <BEA-000000> <
ORABPEL-30509
.
Insufficient privileges to authenticate on behalf of another user.
User weblogic cannot authenticate on behalf of user xelsysadm without admin
privileges.
Only users with admin privileges can authenticate on behalf of another user.
.
at weblogic.rjvm.ResponseImpl.unmarshalReturn(ResponseImpl.java:237)
at
weblogic.rmi.cluster.ClusterableRemoteRef.invoke(ClusterableRemoteRef.java:348
)
at
weblogic.rmi.cluster.ClusterableRemoteRef.invoke(ClusterableRemoteRef.java:259
)
at
oracle.bpel.services.workflow.query.ejb.TaskQueryService_oz1ipg_EOImpl_1036_WL
Stub.authenticateOnBehalfOf(Unknown Source)
at
oracle.bpel.services.workflow.query.client.TaskQueryServiceRemoteClient.authen
ticateOnBehalfOf(TaskQueryServiceRemoteClient.java:63)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at
sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
at
sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.j
ava:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at
oracle.bpel.services.workflow.client.WFClientRetryInvocationHandler.invokeTarg
et(WFClientRetryInvocationHandler.java:144)
at
oracle.bpel.services.workflow.client.WFClientRetryInvocationHandler.invoke(WFC
lientRetryInvocationHandler.java:82)
at $Proxy436.authenticateOnBehalfOf(Unknown Source)
|
Oracle Identity Managerデータベース・スキーマに接続し、次のSQL問合せを実行します。 update usg set ugp_key = (select ugp_key from ugp where ugp_name = 'Administrators' ) where usr_key = ( select usr_key from usr where usr_login = 'WEBLOGIC') and ugp_key != (select ugp_key from ugp where ugp_name = 'ALL USERS') and ugp_key not in (select ugp_key from ugp); |
