| Oracle® Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ 11gリリース2 (11.1.2.3.0) E61958-10 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ 11gリリース2 (11.1.2.3.0) E61958-10 |
|
前 |
次 |
ユーザー・プロファイル監査は、ユーザー・プロファイルの属性、ユーザー・メンバーシップ、リソース・プロビジョニング、アクセス・ポリシーおよびリソース・フォームに対する変更を対象としています。
監査エンジンは、Oracle Identity Managerの監査情報を収集します。プロファイルが変更されるたびに、監査エンジンは変更(デルタ)を収集してユーザーおよびロールのプロファイルのスナップショットを更新(存在しない場合は生成)し、これらのスナップショットおよびデルタをXML形式で格納します。また、監査エンジンには、生成されたXMLに基づいて関連データをレポート表に移入するポストプロセッサがあります。高いパフォーマンスを維持するため、デフォルトでは、監査エンジンは、アプリケーション・サーバーに装備されている基礎となるJava Message Service (JMS)を使用して、これらのタスクを非同期オフライン方式で実行します。
この章では、次の項目について説明します。
この章で前述したように、Oracle Identity Managerをインストールすると、デフォルトでユーザー・プロファイル監査機能が有効になり、監査レベルは「リソース・フォーム」に設定されます。監査レベルを変更する場合は、GenerateSnapshot.shスクリプト(UNIXの場合)またはGenerateSnapshot.batスクリプト(Microsoft Windowsの場合)を実行する必要があります。このスクリプトは、IDM_HOME/server/binディレクトリにあります。スクリプトでは、Oracle Identity Managerデータベース内のすべてのユーザーを調査し、新しいスナップショットを新しい監査レベルに基づいて生成します。
|
注意: GenerateSnapshotスクリプトを実行する前に、次の環境変数を設定する必要があります。
|
GenerateSnapshotスクリプトを実行すると、次の情報をの入力を求められます。
[Enter Xellerate admin username :]SYSTEM_ADMINISTRATOR_USERNAME [Enter password for xelsysadm :]SYSTEM_ADMINISTRATOR_PASSWORD [Threads to use [ 8 ]] [Enter serverURL :[t3://OIM_HOST:OIM_PORT] [Enter context Factory :[ weblogic.jndi.WLInitialContextFactory]
|
注意: 監査レベルを変更する場合は、必ずGenerateSnapshotスクリプトを実行してからユーザーにシステムへのアクセスを許可してください。 |
監査エンジンの「監査の詳細のレベル」を構成し、その監査レベルを拡張管理のXL.UserProfileAuditDataCollectionシステム・プロパティの値として指定できます。
|
関連項目: このシステム・プロパティの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのOracle Identity Managerのシステム・プロパティに関する項を参照してください。 |
次の監査レベルがサポートされています。
プロセス・タスク: リソース・ライフサイクル・プロセスでユーザー・プロファイル・スナップショット全体をまとめて監査します。
リソース・フォーム: ユーザー・レコード、ロール・メンバーシップ、プロビジョニングされたリソースおよびリソースに関連付けられたすべてのフォーム・データを監査します。
リソース: ユーザー・レコード、ロール・メンバーシップおよびプロビジョニングされたリソースを監査します。
メンバーシップ: ユーザー・レコードおよびロール・メンバーシップのみを監査します。
コア: ユーザー・レコードのみを監査します。
なし: 監査データは格納されません。
|
注意: 特定の監査レベルを指定すると、下位の優先順位レベルにある監査レベルはすべて自動的に有効になります。たとえば、Membership監査レベルを指定すると、Core監査レベルは自動的に有効になります。監査レベルの指定では、大/小文字が区別されます。監査レベルを指定する際は、監査レベルの大/小文字を変更しないでください。 |
監査者に関する情報は、データベース内の次の表に格納されます。
AUD: この表には、Oracle Identity Managerで定義されたすべての監査者に関するメタデータが格納されます。
aud_jms: この表には、監査エンジンおよび最終的には監査者が使用するデータが格納されます。操作可能な中間ステージング表です。
この表のキーは、JMSに送信されます。Oracle Identity Managerでは、複数の変更が同じユーザーに加えられたときに、この表を使用して変更順序を制御します。スケジュール済タスクIssue Audit Messages Taskを使用すると、処理されていないメッセージの再発行を自動化できます。このスケジュール済タスクの詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のスケジューラの管理に関する説明を参照してください。
Oracle Identity Managerには、監査メッセージの発行タスクというスケジュール済タスクがあります。このスケジュール済タスクは、監査メッセージの詳細をaud_jms表から取り出し、aud_jms表の特定の識別子および監査者のエントリについてJMSメッセージを1つ送信します。MDBで対応する監査メッセージが処理されます。
このタスクの属性は、次のとおりです。
Max Records
Max Records属性を使用し、指定したスケジュール済タスクの実行について処理される監査メッセージの最大数を指定します。この属性のデフォルト値は、400です。
aud_jms表に監査メッセージのバックログがある場合は、Max Records属性の値を増やすことができます。設定する値は、スケジュール済タスクのデフォルトの実行間隔の間にJMSエンジンが処理できるメッセージ数に依存します。その数は、アプリケーション・サーバーおよびデータベースのパフォーマンスによって決まります。Max Records値を増やす前に、アプリケーション・サーバーの管理コンソールを使用するなどして、JMS宛先(oimAuditQueue)での監査メッセージ数の処理にかかる時間を割り出す必要があります。必要な時間がスケジュール済タスクの間隔より短い場合は、Max Records属性の値をその分だけ増やすことができます。
