| Oracle® Fusion Middleware Oracle Identity Governanceの管理 12c (12.2.1.3.3) E88285-04 |
|
 前 |
 次 |
この章のトピックは、次のとおりです:
アクセス・リクエスト・カタログを使用すると、ビジネスでロール、アプリケーション・インスタンス、カタログに対する権限を分類および公開し、拡張可能なメタデータを使用して追加のビジネス・コンテキストを提供できます。ユーザーは、直感的なユーザー操作性を備えたカタログ検索およびショッピング・カートを使用して、使い慣れたリクエスト・アクセスを自分で使用します。
この項では、アクセス・リクエスト・カタログの概要を示します。内容は次のとおりです。
企業は、運営効率の改善およびITコスト削減の一環として、エンド・ユーザーのアイデンティティ・ライフサイクルとアクセス権限の管理プロセスを簡素化し、効率化することを試みてきました。
これらの目的を達成するために、企業はエンド・ユーザーに各自のIDとアクセスの管理を可能にする様々なソリューションの導入を試みてきました。ただし、その過程で次のようないくつかの課題に直面しました。
ITの概念と用語を理解し、アクセスをリクエストするITプロセスを使用するために、エンド・ユーザーは研修を受ける必要があります。
新しい従業員が入社すると研修サイクルを繰り返す必要があるため、生産性が低下し、ITコストが増加します。
エンド・ユーザーは、リクエストが適時に満たされず、リクエストのステータスがわからない場合、IT支援を受ける必要があります。
通常、アプリケーション内の追加アクセスは、IT管理者またはアプリケーション管理者によって許可される必要があります。
そのため、ビジネス・ユーザーはITに依存することを強制される一方、利用可能なアクセスの表示が制限され、生産性が制限されます。
アクセス・リクエスト・カタログは、ユーザーが様々なタイプのアクセスを検索および参照し、職務を遂行するために必要なアクセスを選択できる使いやすいWebインタフェースを提供することによってこれらの課題に対処します。これには、次の利点があります。
エンド・ユーザーは、アクセスをリクエストするために技術的な専門用語を覚えたり、ITプロセスに従う必要がありません。カタログでは、よく知られている使いやすい検索とショッピング・カートのパターンによってユーザーにアクセス・リクエスト・プロセスを案内します。
エンド・ユーザーは、特定のアプリケーション・インスタンス、ロールまたは権限の名前を知る必要がありません。カタログには、拡張可能なメタデータ・モデルとタグ付け機能が用意されています。これにより、ビジネス・ユーザーは、特定のアクセスの検索に使用される代替語を指定できます。エンド・ユーザーは必要なアクセスを検索するためのキーワードとワイルドカードの組合せを使用してカタログを検索できます。
アクセス・リクエスト・カタログに関連する主な概念には、カタログ項目、カタログ・アプリケーション・インスタンス、エンタープライズ・ロール、権限、カタログ項目メタデータ、カタログ同期化などがあります。
この項では、主要なアクセス・リクエスト・カタログの概念について説明します:
カタログ: カタログ(リクエスト・カタログとも呼ばれる)は、一般に使用されるショッピング・カートのパラダイムに従って、ロール、権限およびアプリケーション・インスタンスをリクエストする一貫性のある直感的なリクエスト操作を顧客に提供します。カタログとは、メタデータの独自のセットを持つ構造化されたコモディティです。
カタログ項目: カタログ項目は、ユーザーが自身または他のユーザーのためにリクエストできる項目(ロール、権限またはアプリケーション・インスタンス)です。
カテゴリ: カタログ項目カテゴリは、リクエスト・カタログを編成するための方法です。各カタログ項目は1つのカテゴリのみに関連付けられます。カタログ項目ナビゲーション・カテゴリは、カタログ項目の属性です。カタログ項目の編集とカテゴリ値の指定は、カタログ管理者が実行できます。
注意:
カタログ項目では「カテゴリ」フィールドを空欄にできません。したがって、カテゴリに対する値が存在することを確認する必要があります。
アプリケーション・インスタンス: アプリケーション・インスタンスは、特定のターゲットのアカウントを表します。ユーザーがアプリケーション・インスタンスをリクエストする場合、ユーザーは特定のターゲットのアカウントをリクエストしています。アプリケーション・インスタンスは、コネクタを介して履行が自動化されている場合は接続でき、履行が手動の場合は切断できます。アプリケーション・インスタンスには権限を関連付けることができます。
エンタープライズ・ロール: エンタープライズ・ロールは顧客によって定義されます。エンタープライズ・ロールにはポリシーが関連付けられます。ユーザーは、カタログを介してエンタープライズ・ロールをリクエストできます。ロールが付与されると、アプリケーション・インスタンスまたは権限がユーザーにプロビジョニングされます。
権限: 権限は、アプリケーションのユーザーがどの操作を実行できるかを制御するアプリケーションの権限です。
カタログ・ユーザー定義フィールド: カタログ・ユーザー定義フィールドは、顧客によってカタログ・エンティティに追加される属性です
カタログ項目メタデータ: カタログ項目メタデータは、カタログ項目属性の値を意味します。メタデータはカタログ管理者が項目ごとに管理するか、一括して移入できます。
タグ: タグは検索キーワードです。ユーザーがアクセス・リクエスト・カタログを検索する場合、検索はタグに対して実行されます。タグには次の2つのタイプがあります。
自動生成: カタログ同期化プロセスにより、項目タイプ、項目名および項目表示名を使用してカタログ項目が自動的にタグ付けされます。
ユーザー定義: ユーザー定義タグは、カタログ管理者によって入力される追加のキーワードです。
カタログ管理者: カタログ管理者はグローバル・セキュリティ・ロールです。カタログはこのロールのメンバーによってのみ管理されます。
ショッピング・カート: ショッピング・カートは、リクエストされているカタログ項目のコレクションを意味します。ユーザーが任意の指定時間にアクティブ化できるカートは1つのみであり、カートにはロール、アプリケーション・インスタンス、権限またはこの3つの任意の組合せを含めることができます。
カタログ同期化: カタログ同期化とは、ロール、アプリケーション・インスタンスおよび権限をカタログにロードするプロセスのことです。
アクセス・リクエスト・カタログを使用する一般的なユースケースでは、アプリケーションおよびアプリケーションとロール内の権限をカタログで表示可能にし、ユーザーが簡単なWebベースのインタフェースを介してそれらへのアクセスをリクエストできるようにします。
この項のユースケースでは、アクセス・リクエスト・カタログによって、エンド・ユーザーが職務の遂行に必要なロール、アプリケーション・インスタンスおよび権限をどのようにリクエストしやすくなるかについて説明します。
アクセスのリクエスト
MyCorpのマネージャのMaryは、自分自身と直属の部下のためにMyCorp取引アプリケーションへのアクセスをリクエストしようとしています。そのために、キーワード取引を使用してカタログを検索します。カタログによって、Maryのキーワードに一致し、リクエストが許可されるすべての項目が返されます。Maryは、カテゴリのリストからアプリケーションを選択して検索結果をフィルタリングします。カタログによって、削減された検索結果のセットが返されます。MaryはMyCorp取引アプリケーションをカートに追加し、チェックアウトします。彼女は自分自身と直属の部下をリクエストに追加し、リクエストを送信します。
カタログの管理
カタログ管理者のJimは、新しいアプリケーション・インスタンスとその権限をオンボードし、属性を追加して、カタログ項目の検索可能性を向上させたいと考えています。カタログ同期化ジョブ・スケジュール済ジョブを実行して新しいアプリケーション・インスタンスとその権限を収集します。次に、属性を追加してカタログ・メタデータを拡張し、特定の属性を検索可能に指定します。次に、メタデータとともにカタログをロードし、新しい属性にタグを付けます。特定のカタログ項目について、カタログを検索し、カタログ項目をインプレース編集します。
注意:
カタログ管理者は、カタログ同期化ジョブを実行するためにはシステム構成管理者管理ロールが必要です。
これらのユースケースは、アクセス・リクエスト・カタログを使用してアプリケーションおよびアプリケーションとロール内の権限をカタログで表示可能にし、ユーザーが簡単なWebベースのインタフェースを介してそれらへのアクセスをリクエストできるようにする一般的な例です。
アクセス・リクエスト・カタログは、Oracle Identity Managerでリクエストできる、検索可能な分類されたエンティティのコレクションです。認証されたユーザーは、カタログにアクセスして1つ以上のキーワードと検索演算子を使用してカタログを検索し、ショッピング・カートに1つ以上のカタログ項目を追加して自分自身と他のユーザーのためにリクエストを送信できます。
アクセス・リクエスト・カタログの主要機能は次のとおりです。
拡張可能なカタログ・スキーマにより、管理者は属性の追加や
属性がレンダリングされる方法の指定を簡単なブラウザベースのUIを使用して行うことができる
ロール、アプリケーションおよび権限の自動収集
CSVファイルを使用したカタログ・メタデータの自動ロード
複雑な検索演算子のサポートを含むキーワードを使用した強力な検索
顧客の選択に基づいたカタログ編成を可能にする柔軟な分類モデル
リクエスタのビューア権限に基づいたカタログ検索結果の保護
ワークフローで使用するWebサービスを介してカタログ項目データを利用可能
アクセス・リクエスト・カタログのアーキテクチャ・コンポーネントには、カタログ表、カタログ・ローダー、カタログ・メタデータ、およびアイデンティティ・セルフ・サービスのカタログ・ユーザー・インタフェースが含まれます。
図12-1に、アクセス・リクエスト・カタログのコンポーネントおよびOracle Identity Managerの他のコンポーネントとの関係を示します。
アクセス・リクエスト・カタログを構成するには、属性をカタログ検索フォームに追加し、権限検索でアプリケーション選択制限を構成し、カスタム検索フォームを使用するようにカタログを構成します。
この項では、アクセス・カタログのための次の構成について説明します。
カタログ検索フォームには属性を追加できます。
検索可能としてマークされている属性は、デフォルトの検索フォームのテキスト・フィールドとして自動的に表示されます。これらの属性は、カスタマイズを介してカート詳細フォームに追加する必要があります。カスタム属性の定義の詳細は、「カスタム属性の構成」を参照してください。
権限検索中にデフォルトの検索フォームで選択可能なアプリケーションの数を構成できます。
検索制限は、「カタログ拡張検索最大アプリケーション」システム・プロパティを使用して構成できます。このシステム・プロパティの詳細は、「Oracle Identity Governanceのデフォルトのシステム・プロパティ」を参照してください。
アクセス・リクエスト・カタログを管理するには、カタログ管理の前提条件を設定し、一般的な管理タスクを実行し、カタログ監査と権限の階層属性を構成し、データベースとText索引の最適化に関連するベスト・プラクティスを実装します。
この項では、アクセス・リクエスト・カタログの基本的な管理について説明します。内容は次のとおりです。
カタログ管理の前提条件には、カタログ管理者の設定、カタログ・メタデータの定義、およびカタログへの属性の追加が含まれます。
アクセス・リクエスト・カタログは、エンド・ユーザーが職務の遂行に役立つロールや権限へのアクセスをリクエストするために使用します。そのため、カタログが最新であり、豊富なメタデータを含み、ユーザーが適切なアクセスを見つけることができるように編成されることが非常に重要です。これを実現するには、アクセス・リクエスト・カタログを管理するための計画を立てる必要があります。実現のための項では、カタログを管理するために従う必要がある手順を示します。それらの手順を実行するには、特定の前提条件があります。次のものがあります。
カタログ管理者は、システム管理者およびシステム・コンフィギュレータのロールに類似した管理ロールです。このロールのメンバー(およびシステム管理者ロールのメンバー)は次のアクションを実行できます。
カタログのロード
カタログ項目の管理
リクエスト・プロファイルの管理
このロールはグローバル・ロールであり、組織によって範囲指定されません。
カタログ管理者を付与するには:
カタログ・システム管理者ロールの新しいメンバーは、セルフ・サービス・コンソールにログインしてカタログの管理を開始できます。
豊富なカタログ・メタデータは、次の理由により重要です。
エンド・ユーザーは、職務の遂行に必要なものへのアクセスにのみ関心があります。カタログを検索および参照する場合、示される情報はビジネスに関連するものである必要があります。カタログがスパース(最小の属性)である場合、ユーザーには選択すべきアクセスがわかりません。カタログが豊富であるが技術的なものである場合、ユーザーは混乱し、カタログを使用しなくなってしまいます。
リクエスタおよび承認者には、リクエストの送信またはリクエストの承認を行うためにできるだけ多くのコンテキスト情報が必要です。承認者がリクエストを確認するとき、リクエスト対象、理由およびリクエストを承認した場合の影響を理解するのに、カタログ項目の詳細が役立ちます。
承認ワークフローでは、ルーティング・ルールを使用して承認者が正しく決定されます。承認者解決を実行するには、これらのルールに、リクエストされた項目に関する追加コンテキストへのアクセスが必要です。カタログ情報がスパースである場合、ルーティング・ルールには正しい承認者の決定に使用できる十分なデータがありません。
これらの課題に対処するために、カタログには、アクセス(カタログ項目)を正しいビジネス・コンテキストに配置するのに役立つ追加のメタデータが含まれている必要があります。
カタログ管理者によって実行される一般的なタスクには、アプリケーションとロールの組込みと組込みの自動化、カタログのブートストラップと拡充、カタログ項目の管理などがあります。
この項では、カタログ管理者によって実行される一般的なタスクについて説明します。次のタスクを説明します。
ユーザーがアクセスを検索およびリクエストできるように、アクセス・リクエスト・カタログにエンタープライズ・ロール、アプリケーション・インスタンスおよび権限を移入する必要があります。最小の管理者操作でエンタープライズ・ロール、アプリケーション・インスタンスおよび権限をカタログに組み込むことができるプロセスを開発する必要があります。この項では、ロール、アプリケーション・インスタンスおよび権限をカタログに組み込むための様々な手順について説明します。
次の組込みチェックリスト項目を使用して、ロール、アプリケーション・インスタンスおよび権限をアクセス・リクエスト・カタログに組み込むための高レベルのプロセスを開発します。後で、ロール、アプリケーション・インスタンスおよび権限の個々のチェックリストに従うことができます。
カタログ管理者を指定します
カタログ属性を指定および拡張します。
カタログ検索結果UIをカスタマイズします。
カタログ項目詳細UIをカスタマイズします。
ナビゲーション・カテゴリを指定します
ロールおよびアプリケーションの所有者、認証者、承認者を指定します。
カタログ項目/用語集の真のソースを指定します。
カタログ項目/用語集を生成およびロードする手順を作成します。
タグの用語集およびタグを維持するプロセスを作成します。
エンタープライズ・ロールを組み込む手順はありません。Oracle Identity Managerロール以外のロール・カテゴリに属するロールは、作成されたときに直接カタログに公開されます。
ユーザーがロールを編集し、そのカテゴリをOracle Identity Managerロールからそれ以外のカテゴリに変更した場合は、カタログ同期化ジョブ・スケジュール済ジョブを実行して、そのロールをカタログ内で検索可能にする必要があります。
エンド・ユーザーがアプリケーション・インスタンスをリクエストできるようにするには、追加構成を行う必要があります。次のチェックリスト項目を使用して、アプリケーション・インスタンスの組込みに必要な構成を実行したことを確認します。
コネクタが(新しいターゲットに対して).インストールされていることを確認します。
Oracle Identity Managerをリリース11gからアップグレードしている場合は、必要なアップグレード後の手順について、Oracle Identity and Access ManagementのアップグレードのOracle Identity Manager 11gのアップグレードに関する項を参照してください。
プロセス・フォームにITリソース・フィールドがあることを確認します。
フォーム・フィールド・プロパティを正しく定義したことを確認します。
アプリケーション・インスタンスを適切な表示名と説明で作成したことを確認します。
アカウント・リクエストに必要なフォームを作成したことを確認します。
アプリケーション・インスタンスを関連する組織に公開したことを確認します。
接続なしアプリケーションに対して、アプリケーション・インスタンスを作成したことを確認します。手順の詳細は、「接続なしリソースの管理」を参照してください。
チェックリストの手順を確認したら、次の手順に従ってアプリケーション・インスタンスを組み込みます。
関連項目:
アプリケーション・インスタンスの管理の詳細は、「アプリケーション・インスタンスの管理」を参照してください
アプリケーション・インスタンスを組み込むには:
アプリケーション・インスタンスの処理パラメータをチェックします。「モード」を「増分」に設定します。次のチェックリスト項目を使用して、権限の組込みに必要な構成を実行したことを確認します。
注意:
カタログ同期化ジョブ・スケジュール済ジョブを実行する前にジョブ権限リスト・ローダーを実行する必要があります。
コネクタが(新しいターゲットに対して).インストールされていることを確認します。
Oracle Identity Managerをリリース11gからアップグレードしている場合は、必要なアップグレード後の手順について、Oracle Identity and Access ManagementのアップグレードのOracle Identity Manager 11gのアップグレードに関する項を参照してください。
プロセス・フォームにITリソース・フィールドがあることを確認します。
フォーム・フィールド・プロパティを正しく定義したことを確認します。
親フォームと子フォームを正しく関連付けたことを確認します。
ICFベースのターゲットに対して共通参照リコンシリエーション・ジョブを実行したことを確認します。
非ICFベースのコネクタに対してコネクタ固有の参照リコンシリエーション・ジョブを実行したことを確認します。
参照リコンシリエーション・ジョブで指定されたリソース・オブジェクトとITリソース・インスタンスに対応して、アプリケーション・インスタンスを正しく作成したことを確認します。
権限を関連する組織に公開したことを確認します。
データをent_list表に移入できるように権限リスト・ローダー・ジョブを実行したことを確認します。
チェックリストの手順を確認したら、「権限の組込み」の手順に従って権限を組み込みます。
この項では、カタログのブートストラップについて説明します。内容は次のとおりです。
ブートストラップとは、カタログに最初に移入するプロセスのことです。多数のエンティティをブートストラップした後、ベース表の統計を収集できます。この項では、Oracle Identity Manager 12c (12.2.1.3.0)をインストールした後のカタログのブートストラップについて説明します。
Oracle Identity Manager 11gからアップグレードしている場合は、『Oracle Identity and Access Managementアップグレード・ガイド』のOracle Identity Manager単一ノード環境のアップグレードに関する項を参照してください。
カタログのブートストラップの前提条件を次に示します。
「カタログ・メタデータの定義」の手順に従い、カタログ・システム・エンティティを使用してカタログを拡張しておきます。
カタログにユーザー定義フィールドを追加するときに必要なUIカスタマイズ手順を実行しておきます。
ロールによってカタログをブートストラップするには2つの方法があります。
Oracle Identity Analyticsカスタマを使用していない場合のロールによるカタログのブートストラップ
ロールは、作成後にOracle Identity Managerロール・カテゴリ以外のロール・カテゴリが割り当てられると、即座にカタログに公開されます。ロール・カテゴリに変更を加えた場合、またはエンタープライズ・ロールとカタログを同期化する必要がある場合は、「ロールによるカタログのブートストラップ」の手順を実行します。
エンタープライズ・ロールのライフサイクルを管理するためにOracle Identity Analyticsを使用している場合のロールによるカタログのブートストラップ
アプリケーション・インスタンスによってカタログをブートストラップするには、追加の手順を実行する必要があります。「アプリケーション・インスタンスの組込みについて」にあるチェックリストを使用して、前提条件を満たしていることを確認します。
権限によってカタログをブートストラップするには、追加の手順を実行する必要があります。「権限の組込みについて」にあるチェックリストを使用して、前提条件を満たしていることを確認します。
ロール、アプリケーション・インスタンスおよび権限の組込みプロセスを自動化するために、次の方法でカタログ同期化ジョブ・スケジュール済ジョブを構成できます。
ロールの処理、アプリケーション・インスタンスの処理および権限の処理パラメータをチェックします。「モード」を「増分」に設定します。この項では、カタログを拡充する方法を説明します。内容は次のとおりです。
カタログの拡充は、情報がエンド・ユーザーに表示されるようにアクセス・リクエスト・カタログにデータを移入するプロセスを示します。追加のデータは、エンド・ユーザーがカタログ項目に関連付けられたビジネス・コンテキストを理解するのに役立ちます。追加のデータを承認ワークフローの一部として利用して、カタログ項目に関するデータに基づいたインテリジェント・ルーティング・デシジョンをワークフローで行うこともできます。
前提条件を次に示します。
「カタログ・メタデータの定義」の手順に従い、カタログ・システム・エンティティを使用してカタログを拡張しておきます。
カタログにユーザー定義フィールドを追加するときに必要なUIカスタマイズを追加しておきます。ユーザー定義フィールドを追加しUIをカスタマイズして、ユーザー定義フィールドをUIで表示する方法の詳細は、「カスタム属性の構成」を参照してください。
「カタログ管理者の設定」に示されているように、カタログ管理者ロールを作成し、ユーザーを割り当てておきます。
Oracle Identity Self Serviceを使用してオンラインでカタログ項目を編集するには:
注意:
名前、表示名および説明はカタログ画面で編集できません。これらはベース・レベルの属性であり、カタログUIから編集できません。
カタログ項目を編集する際、値リスト(LOV)・タイプのフィールドでは、関連付けられているリストから値を選択および指定することをお薦めします(このフィールドに値を直接入力しないようにしてください)。
カタログ管理者はOracle Identity Self Serviceの堅牢なカタログ項目編集機能を使用できますが、データを外部ソースから一括してロードする必要があるシナリオがあります。一括更新の例は、次のとおりです。
MyCorpは、IT CMDBシステムまたは企業資産管理システムからユーザーに資産情報を提供します。CMDBまたはAMSシステムは定期的に更新されるため、情報を手動で入力することはできません。このようなシナリオでは、MyCorpにはカタログを一括して更新する方法が必要です。
MyCorpは、Oracle Identity Manager 11g R2を導入する前は自社製のアクセス・リクエスト・アプリケーションを使用していました。このアプリケーションには、用語集およびロール、アプリケーション・インスタンス、権限に関するその他の関連情報が含まれています。Oracle Identity Managerの移行の一環として、MyCorpのカタログ管理者はカタログ項目情報をレガシー・システムから移行しようとしています。
この項では、カタログ項目の管理について説明します。内容は次のとおりです。
ロール・カタログ項目を削除するには:
アプリケーション・インスタンスは、ほとんどすべてのユースケースで、ターゲット・システム(エンドポイントと呼ばれる場合がある)およびターゲット・システムのアカウントを表します。アプリケーション・インスタンスを削除すると、ターゲット・システムはOracle Identity Managerから実質的に廃止されます。デプロイメントの規模およびターゲット・システムにプロビジョニングされたアカウントの数によっては、アプリケーション・インスタンスの削除はエンド・ユーザーとそのアクセスに大きな影響を及ぼすことがあります。
アプリケーション・インスタンス・カタログ項目を削除するには:
アプリケーション・インスタンスの削除の詳細は、「アプリケーション・インスタンスの削除の理解」を参照してください。
権限カタログ項目を削除するには:
UIからアクセス・リクエスト・カタログに変更を加えたユーザーと、その変更の日時および内容を追跡するように、カタログ監査を構成します。
この項では、カタログ監査について説明します。内容は次のとおりです。
カタログ監査では、アクセス・リクエスト・カタログ内の変更のフットプリントを維持します。カタログ監査を有効にすると、UIからアクセス・リクエスト・カタログに変更を加えたユーザーと、その変更の日時および内容を追跡できます。
カタログ監査では、アクセス・リクエスト・カタログ内での次に示す変更のフットプリントを保管します。
カタログUDFの値の変更。
カタログUIまたはその他のカスタムUIから変更されたカタログ項目属性の値。
次に、統合されたカタログ属性のリストを示します。これらの属性は、カタログ項目の更新時に監査に含まれます。
カテゴリ、監査目的、承認者ユーザー、承認者ロール、履行ユーザー、履行ロール、証明者ユーザー、証明者ロール、項目のリスク、証明可能
注意:
監査は、カタログUIから変更できるエンティティに対してのみ実施されます。同期によってカタログ内で変更されるエンティティには、監査は行われません。また、ユーザー定義タグに対する監査はサポートされていません。
カタログ監査を構成するには:
noneです。この値は、カタログ監査の無効化を指定しています。catalogに設定します。これにより、カタログ監査が有効になります。カタログ監査を有効にすると、アクセス・リクエスト・カタログ内の変更が監査されます。アクセス・リクエスト・カタログ内の変更(ロールのリスク・レベルの変更など)の場合、変更のフットプリントは、監査メッセージ発行タスク・スケジュール済ジョブを実行するデータベースのCPA_CATALOG表とCPA_CATALOG_FIELDS表に格納されます。このスケジュール済ジョブの詳細は、「事前定義済のスケジュール済タスク」を参照してください。
注意:
子の権限は、アクセス・カタログでリクエストできません。階層権限機能は表示専用です。追加詳細または階層属性は、読取り専用の情報です。この情報は、Oracle Identity ManagerでシードされるXMLの形式で提供する必要があります。技術用語集は、データベースで挿入および置換されます。次に、階層属性のXMLコード例を示します。
<oim>
<applicationInstances>
<applicationInstance>SampleEBS</applicationInstance><!-- Application Name for which entitlements are seeded-->
</applicationInstances>
<attributes>
<attribute name="Responsibility Name"><!-- Label name of the field which is marked Entitlement field in Child form-->
<entitlementValues>
<entitlementValue><!-- Below is the Hierarchical data XML for Entitlement and Entitlement Display Name is used to denote entitlement -->
<value>Payables Menu</value>
<attributes>
<attribute name="Menu">
<entitlementValues>
<entitlementValue>
<value>ALR_OAM_NAV_GUI_USER_NAME</value>
<description>Alerts Manager View</description>
<attributes>
<attribute name="Function Code">
<entitlementValues>
<entitlementValue>
<value>ALR_OBJ_ACTIVATE_ACCT</value>
<description>Create, Activate, Deactive User Account</description>
</entitlementValue>
<entitlementValue>
<value>ALR_OBJ_EDIT_FORM</value>
</entitlementValue>
<entitlementValue>
<value>ALR_OBJ_VIEW_PERSON</value>
</entitlementValue>
</entitlementValues>
</attribute>
</attributes>
</entitlementValue>
<entitlementValue>
<value>EMPLOYEE_W2_MENU</value>
<description>Alerts Manager View</description>
<attributes>
<attribute name="Function Code">
<entitlementValues>
<entitlementValue>
<value>Employee_OBJ_ACTIVATE_ACCT</value>
<description>Create, Activate, Deactive User Account</description>
</entitlementValue>
<entitlementValue>
<value>Employee_OBJ_EDIT_FORM</value>
</entitlementValue>
<entitlementValue>
<value>Employee_OBJ_VIEW_PERSON</value>
</entitlementValue>
</entitlementValues>
</attribute>
</attributes>
</entitlementValue>
<entitlementValue>
<value>VISION_OAM_NAV_GUI</value>
<description>Alerts Manager View</description>
<attributes>
</attributes>
</entitlementValue>
</entitlementValues>
</attribute>
</attributes>
</entitlementValue>
</entitlementValues>
</attribute>
</attributes>
</oim>
Oracle Databaseでは階層データの格納に、RDBMS機能(Securefile LOBやOracle XML DBなど)が使用されます。Securefileは、新しい再アーキテクチャであり、完全に新規のディスク・フォーマット、ネットワーク・プロトコル、領域管理、REDOおよびUNDOフォーマット、バッファ・キャッシュ、およびインテリジェントI/Oサブシステムという特徴を備えています。これにより、Oracle Database内に存在する非構造化データに対して、大幅なパフォーマンスの向上と記憶域の最適化が実現されます(LOB記憶域構造と比較した場合)。Oracle XML DBは、高性能なネイティブXML記憶域と取得テクノロジを提供します。これにより、W3C XMLデータ・モデルをOracle Databaseに取り込んで、XMLのナビゲートおよび問合せの新しい標準アクセス方式が提供されます。さらに、リレーショナル・データベース・テクノロジとXMLの利点を同時に活用できるようになります
アクセス・リクエスト・カタログ内の権限の追加詳細を表示できるようにするには:
Oracle Identity Managerで追加階層データをシードします。これを行うには、権限に関する追加詳細をすべて含むXSDごとに1つのXMLファイルを作成します。XSDは、データベースにXMLスキーマを登録するために使用します。
XMLファイルをOracle Identity Managerサーバーのディレクトリに格納します。このディレクトリに対する読取りおよび書込み権限が必要です。
カタログ同期化ジョブ・スケジュール済ジョブで技術用語集の詳細を指定します。これを行うには、次のようにします。
Oracle Identity System Administrationにログインします。
「システム構成」で、「スケジューラ」をクリックします。
カタログ同期化ジョブ・スケジュール済ジョブを検索して開きます。
「パラメータ」セクションの「モード」フィールドに、Technical Glossaryと入力します。
「ファイル・パス」フィールドに、XMLファイルのディレクトリ・パスを入力します。
「適用」をクリックします。
カタログ同期化ジョブ・スケジュール済ジョブを実行すると、技術用語集の詳細という新しいリンクが、権限のカタログ詳細リンクの直前に表示されます。このリンクをクリックすると、別のタブが開いて技術用語集の追加情報が表示されます。XMLファイルは処理後にディレクトリから削除され、ファイル名にタイム・スタンプが追加された状態でアーカイブ・ディレクトリに移動されます。
失敗したレコードは、xmlprocessedlogsディレクトリにあるファイルにログ記録されます。このログ・ファイルには、XMLファイルの名前にタイム・スタンプが付加された名前が付けられます。
アクセス・リクエスト・カタログのためのデータベースのベスト・プラクティスには、Text索引の最適化や、カタログに関連するデータベース使用方法のよくある質問の対処などがあります。
次の項は、Oracle Identity Manager管理者とデータベース管理者にこの点に関する詳細を提供することを目的としています。
アクセス・リクエスト・カタログでは、Oracle databaseのテキスト検索機能のOracle Textオプションが使用されます。Oracle Textは、Oracle Databaseに統合されている、高速で正確な全テキスト検索テクノロジです。
カタログ項目を含むCATALOG表は、Oracle TextのCONTEXT索引タイプを使用して索引付けされます。Oracle Text索引は通常のデータベース索引と同様に機能しますが、Text索引の背後のアーキテクチャと処理では、Text索引の作成時および進行中のメンテナンスで、ベスト・プラクティスの重要性が強調されます。
Oracle Identity Managerをインストールすると、アクセス・リクエスト・カタログのText索引ができるだけ最適化された状態で作成されます。ただし、Oracle Textには、デプロイメントの特質に基づいてより適切に適用されるその他の最適化があります。アクセス・リクエスト・カタログの検索パフォーマンスを向上させるために適用を検討する必要がある最適化を次に示します。これらの適用時にはアクセス・リクエスト・カタログを使用できないことに注意することが重要であり、これらはスケジュールされたメンテナンス・ウィンドウで実行することをお薦めします。
注意:
これらの1回かぎりの最適化を適用するときは、カタログ同期化ジョブとアクセス・リクエスト・カタログを停止する必要があります。
Oracle Text索引は、Oracle Identity Managerスキーマのデフォルトの表領域に現在存在するリレーショナル表(DR$)に格納されます。これらを独自の表領域に分けることをお薦めします。これを行うには、次のコマンドを使用します。これらの手順について十分に理解し、必要に応じて変更を加えることをお薦めします。
Text索引は、進行中のカタログ同期化のために断片化されることがあります。Text索引を定期的に最適化することにより、古いデータを削除し、断片化を最小限に抑え、アクセス・リクエスト・カタログの検索パフォーマンスを向上させることができます。これを実行するために、Oracle Identity Managerには次のOracle Databaseスケジューラ・ジョブが導入されています。
FAST_OPTIMIZE_CAT_TAGS
REBUILD_OPTIMIZE_CAT_TAGS
注意:
次の問合せを実行して、Oracle Identity Managerスキーマにログインしたジョブをチェックします。SELECT * FROM user_scheduler_jobs;
これらのジョブは、Oracle Identity Managerデータベース・スキーマ内にあり、これらはデフォルトでは無効です。これらのジョブを表示し、必要に応じてスケジュール変更を行い、有効化することをお薦めします。スケジュールを変更するときは、新しいスケジュールが同じ行にデフォルトのスケジュールとして設定されることを確認します。
FAST_OPTIMIZE_CAT_TAGSは、頻繁に実行することが想定されています。デフォルトでは、1日に1回午前1時に実行されるようにスケジュールされます。REBUILD_OPTIMIZE_CAT_TAGSでは完全最適化が実行され、Text索引が再構築されます。REBUILD_OPTIMIZE_CAT_TAGSは、頻繁に実行することは想定されていません。デフォルトでは、REBUILD_OPTIMIZE_CAT_TAGSは毎週日曜日の午前2時に実行されるようにスケジュールされます。Text索引が大きい場合は、最適化に時間がかかる場合があることに注意してください。
デフォルトのスケジュール(FASTは毎日午前1時、REBUILDは毎日曜日の午前2時)が、環境に受入れ可能であることを確認します。そうでない場合は、スケジュールを変更します。確かでない場合は、デフォルトのスケジュールのままにして、必要に応じて後で変更します。
注意:
Text索引の最適化は、サーバーが起動中で、アクセス・リクエスト・カタログの検索が実行されているときに行うことができます。
アクセス・リクエスト・カタログのよくある質問には、カタログ検索、サポートされるカタログ操作、Text索引に関連するものがあります。
この項では、アクセス・リクエスト・カタログのよくある質問に答えます。
アクセス・リクエスト・カタログとは何ですか。
アクセス・リクエスト・カタログは、Oracle Identity Managerでリクエストできる、検索可能な分類されたエンティティのコレクションです。認証されたユーザーは、カタログにアクセスして1つ以上のキーワードと検索演算子を使用してカタログを検索し、ショッピング・カートにカタログ項目を追加して自分自身と他のユーザーのためにリクエストを送信できます。
Oracle Text索引とは何ですか。
RDBMS Oracle Textコンポーネントに構築されるOracle Text (以前のInterMedia TextおよびConText)は、包括的な完全テキスト索引テクノロジです。これを使用して、フリー・テキストを効率よく問い合せることができ、ドキュメント分類アプリケーションを作成できます。Oracle Textは、テキスト用の索引付け、語とテーマの検索および表示機能を提供します。Oracle Textにはドメインベースの索引のための様々なオプションがあります。
ConText
CatSearch
CtxRule
これらのうち、ConTextのみがOracle Identity ManagerのOracle Textで使用できます。
Oracle Identity Managerでサポートされる検索演算子は何ですか。
「カタログ」フィールドを使用して、キーワード(大/小文字を区別)を指定して、リクエスト・カタログを検索または参照します。次の検索演算子がサポートされています:
1つ以上のキーワード(サンプル値: administrator)
この検索条件では、administratorという単語を含むすべてのカタログ項目が検索されます
複数のキーワードのサンプル値: web administrator
この検索条件では、webとadministratorという単語を含むすべてのカタログ項目が検索されます。キーワード間の空白文字はAND演算子として機能するため、この検索では検索キーワードにAND演算子が自動的に適用されます。かわりに、&演算子を使用して、AND関係を明示的に表すこともできます。たとえば、web administratorとweb & administratorは、webとadministratorの両方が含まれているカタログ項目を返します。
フレーズ
入力したとおりのフレーズが含まれているカタログ項目を検索するには、検索条件を二重引用符(")で囲んで指定する必要があります。
たとえば、web administratorを検索すると、web administratorというフレーズを含むカタログ項目が返されます。
OR [|]検索
検索キーワードのいずれかが含まれるカタログ項目を検索するには、OR [|]演算子を使用します。
サンプル値1: web | administratorこの検索条件では、webまたはadministratorのいずれかの単語を含むカタログ項目が返されます。
サンプル値2: vision purchasing | administrator。この検索条件では、vision purchasingというフレーズ、またはadministratorという単語を含むカタログ項目が返されます。
検索操作ではワイルドカードとしてアスタリスク(*)記号を使用できます。ただし、カタログ検索の場合、アスタリスク(*)記号で始まる検索条件はサポートされていません。
*のみの検索では、ロール、権限、アプリケーション・インスタンス、またはすべての中から選択されたオプションに基づき、すべての項目が返されます。
たとえば、admin*を指定すると、administratorやadministrationのようにadminで始まるカタログ項目が返されます。
Oracle Text索引の1回かぎりの最適化を実行するのはなぜですか。
Oracle Identity Managerをインストールすると、アクセス・リクエスト・カタログのText索引ができるだけ最適化された状態で作成されます。ただし、Oracle Textには、デプロイメントの特質に基づいてより適切に適用される、その他のRDBMS推奨の最適化があります。Oracle Text索引の1回かぎりの最適化は、Oracle Identity Managerにデフォルトでシードされています。Oracle Identity Managerのアップグレード済デプロイメントがある場合は、1回かぎりの最適化を手動で適用する必要があります(まだ適用されていない場合)。
Oracle Text索引の進行中のメンテナンスには何が必要ですか。
Text索引は、進行中のカタログ同期化のために断片化されることがあります。Text索引を定期的に最適化することにより、古いデータを削除し、断片化を最小限に抑え、アクセス・リクエスト・カタログの検索パフォーマンスを向上させることができます。
FAST_OPTIMIZE_CAT_TAGSとREBUILD_OPTIMIZE_CAT_TAGSは、Text索引のメンテナンスで実行されるOracle Databaseスケジューラ・ジョブです。
Oracle Text索引の1回かぎりの最適化を適用するための前提条件は何ですか。
1回かぎりの最適化を適用するときは、カタログ同期化ジョブ・スケジュール済ジョブとアクセス・リクエスト・カタログを停止する必要があります。
Text索引の最適化を適用するための前提条件は何ですか。
Text索引の最適化は、サーバーが起動中で、アクセス・リクエスト・カタログが検索されているときに行うことができます。
Oracle Textのエラーはどのようにトラブルシューティングすればよいですか。
CTX_USER_INDEX_ERRORSビューに、ソース表の失敗した行の行IDが表示されます。この行IDを使用して、ソース表内の失敗した行を更新します。
具体的には、Text索引が含まれる列に対してダミー更新を実行します(update table x set columnx = columnx where rowid = ?)。これによってCTX_USER_PENDINGビューに行が生成されます。
次に、CTX_DDL.SYNC_INDEXを実行し、CTX_USER_PENDINGビューの行に索引を設定します。
SELECT err_timestamp, err_text FROM ctx_user_index_errors ORDER BY err_timestamp DESC;
保留中のDML要求は、CTX_PENDINGビューとCTX_USER_PENDINGビューを使用して問い合せることができます。
DMLエラーは、CTX_INDEX_ERRORSビューまたはCTX_USER_INDEX_ERRORSビューを使用して問い合せることができます。
SELECT pnd_index_name, pnd_rowid, TO_CHAR( pnd_timestamp, 'dd-mon-yyyy hh24:mi:ss' ) TIMESTAMP FROM ctx_user_pending;
カタログのText索引を再作成するにはどうすればよいですか。
なんらかの理由によりCAT_TAGS索引がデータベースにINVALIDステータスとして存在していることがわかり、Text索引を再作成しようとする場合は、次の手順を実行します。
Oracle Identity Managerスキーマに接続し、次のSQLコマンドを実行してCAT_TAGS索引の現在のステータスをチェックします。
SELECT index_name,table_name,status, parameters, domidx_status,domidx_opstatus FROM user_indexes WHERE index_type='DOMAIN';
出力では、CAT_TAGSドメイン索引がINVALIDステータスになっているはずです。
Oracle Identity Managerスキーマに接続し、次のPL/SQLブロックを順序どおりに実行します。
Text索引CAT_TAGSを削除して再作成します。
SET SERVEROUTPUT ON
DECLARE
P_DROPINDEX NUMBER;
P_CREATEINDEX NUMBER;
STRERRMESSAGE_OUT VARCHAR2(200);
BEGIN
P_DROPINDEX := 1;
P_CREATEINDEX := 0;
OIM_PKG_CATALOG_INDEX.OIM_SP_CREATEDROPCATALOGINDEX(
P_DROPINDEX => P_DROPINDEX,
P_CREATEINDEX => P_CREATEINDEX,
STRERRMESSAGE_OUT => STRERRMESSAGE_OUT
);
DBMS_OUTPUT.PUT_LINE('STRERRMESSAGE_OUT = ' || STRERRMESSAGE_OUT);
END;
/
Text索引を再作成します。
SET SERVEROUTPUT ON
DECLARE
P_DROPINDEX NUMBER;
P_CREATEINDEX NUMBER;
STRERRMESSAGE_OUT VARCHAR2(200);
BEGIN
P_DROPINDEX := 0;
P_CREATEINDEX := 1;
OIM_PKG_CATALOG_INDEX.OIM_SP_CREATEDROPCATALOGINDEX(
P_DROPINDEX => P_DROPINDEX,
P_CREATEINDEX => P_CREATEINDEX,
STRERRMESSAGE_OUT => STRERRMESSAGE_OUT
);
DBMS_OUTPUT.PUT_LINE('STRERRMESSAGE_OUT = ' || STRERRMESSAGE_OUT);
END;
/
手順1のSQLコマンドを再び実行します。次の出力が表示されます。
CAT_TAGS CATALOG VALID sync (on commit) stoplist CTXSYS.EMPTY_STOPLIST lexer CATALOG_PREFERENCE VALID VALID
カタログ検索でストップワード(a、d、I、s、tなど)を使用と、非常に処理が遅くなったり、場合によってはUIの操作ができなくなったりすることがありますか。
My Oracle Supportドキュメント「OIMのCAT_TAGS Text索引からストップワードを削除する方法」(Doc ID 2217118.1)の手順を実行して、ストップワードをCAT_TAGS Oracle Text索引から削除します。
"_" (アンダースコア)記号を含む権限のカタログ検索が、正常に表示されなかったり、正しくない結果が返されたりします。
My Oracle Supportドキュメント「OIMのCAT_TAGS Text索引からストップワードを削除する方法」(Doc ID 2217118.1)の手順を実行して、ストップワードをCAT_TAGS Oracle Text索引から削除します。
大容量のデータ一致結果が生成されるワイルドカード検索でエラーが発生します。
これはinterMedia (Oracle Text)のデフォルト機能です。検索文字列にワイルドカード(%または*)を使用することはできません。Oracle Textは検索文字列そのものをワイルドカードとして認識し、%のみを使用して検索した場合のようにすべての結果を返そうとします。このためOracle Textでエラーが生成されます。
Oracle Database 11gでは、エラーを生成せずにワイルドカードと照合できる個別のトークン(行でなない)の最大数は50,000です。Oracle Database 11gで20,000を超える個別トークン、Oracle Database 10g R2で5,000を超える個別トークンを返すようにするには、wordlistのwildcard_maxtermsプロパティを使用できます。
wildcard_maxtermsプロパティで、ワイルドカード(%)を拡張するための語数の最大数を指定します。このパラメータを使用して、ワイルド・カード問合せパフォーマンスを受入れ可能な制限内に保持します。ワイルドカード問合せの拡張がこの数値を超えると、エラーが返されます。ソリューションを実装するには、次の手順を実行します。
Oracle Identity Managerスキーマにログインし、次の文を実行します。
BEGIN
ctx_ddl.create_preference('<Pref_name>','BASIC_WORDLIST');
ctx_ddl.set_attribute('<Pref_name>','WILDCARD_MAXTERMS', 50000);
END;
/
ALTER INDEX cat_tags rebuild parameters ('replace metadata wordlist <Pref_name>');
検索を繰り返します。
ここで、データベース・バージョンが10.2.0.3未満の場合は15,000、データベース・バージョンが10.2.0.3以上の場合は50,000が最大数です。数は5,000 (デフォルト値)と15,000または50,000 (データベース・バージョンによる)の間で設定できます。どの数でも検索が正常に行われます。ただし、設定する値が大きくなるほど、使用されるメモリーが増加します。
Oracle Text索引で改行文字やエスケープ文字はどのように処理されますか。
\)を使用して、特殊な意味を持つ文字をエスケープし、通常のテキストとして扱うことができます。次のコマンドをOracle Identity Managerスキーマから実行します。BEGIN
CTX_DDL.CREATE_PREFERENCE ('my_lexer', 'BASIC_LEXER');
CTX_DDL.SET_ATTRIBUTE ('my_lexer', 'PRINTJOINS', '~!@$%^&*()-_=+|;:,"./');
--OR
CTX_DDL.SET_ATTRIBUTE ('my_lexer', 'SKIPJOINS', '`-=[];''\,./~!@#$%^&*()_+{}:"|?§'"½¼¾¤Φ£€©™®');
END;
/
Oracle Text索引の診断データはどのように収集すればよいですか。
診断データを収集するには、次のSQLコマンドをOracle Identity Managerスキーマから実行します。
Oracle Text索引のサイズを設定するには、次のコマンドを実行します。
SELECT ctx_report.index_size('CAT_TAGS') FROM dual;
Oracle Text索引の説明を表示するには、次のコマンドを実行します。
SELECT ctx_report.describe_size('CAT_TAGS') FROM dual;
Oracle Text索引の統計を収集するには、次のコマンドを実行します。
CREATE TABLE output(result CLOB);
DECLARE
x CLOB := NULL;
BEGIN
ctx_report.index_stats('CAT_TAGS',x);
INSERT INTO output VALUES(x);
COMMIT;
dbms_lob.freetemporary(x);
END;
/
SELECT * FROM output;
Oracle Text索引のスクリプトを作成するには、次のコマンドを実行します。
SELECT ctx_report.create_index_script('CAT_TAGS') FROM dual;
単一文字の検索は、ストップワードを削除した後でも遅くなりますか。
最小と最大の長さを設定した同一キー索引を作成します(推奨)。このためには、Oracle Identity Managerスキーマから次のSQLコマンドを実行します。
新しいプリファレンスを作成するには、次のコマンドを実行します。
BEGIN
ctx_ddl.create_preference('mywordlist', 'BASIC_WORDLIST');
ctx_ddl.set_attribute('mywordlist','PREFIX_INDEX','TRUE');
ctx_ddl.set_attribute('mywordlist','PREFIX_MIN_LENGTH',1);
ctx_ddl.set_attribute('mywordlist','PREFIX_MAX_LENGTH',3);
END;
/
パラメータを再構築するには、次のコマンドを実行します。
ALTER INDEX cat_tags REBUILD PARAMETERS('replace wordlist mywordlist');
Text索引を再構築するには、次のコマンドを実行します。
BEGIN
dbms_scheduler.run_job ('REBUILD_OPTIMIZE_CAT_TAGS');
END;
/
テスト環境内でカタログの拡張、カタログUIのカスタマイズ、カスタマイズの開発とテストを行い、最終的にカスタマイズを本番環境にロール・アウトできます。
この項では、カタログのカスタマイズをテスト環境から本番環境に移行する方法について説明します。次のトピックが含まれています:
アクセス・リクエスト・カタログでは堅牢かつ多彩なデフォルト機能が提供されますが、カタログを拡張し、ビジネス・ニーズにあわせてカスタマイズするシナリオが必要になることもあります。
次のシナリオでは、カタログのカスタマイズが必要な可能性がある一般的なシナリオについて説明します。
MyCorpでは、リクエストされた項目が許可されたときにライン・オブ・ビジネスに生じるコストに関する情報をリクエスタに提供するために、ライン・オブ・ビジネスに対するコスト、必要なライセンスなどの属性を追加しようとしています。このシナリオをサポートするために、カタログ・システム管理者はカタログを拡張し、ライン・オブ・ビジネスに対するコストおよび必要なライセンスという2つの属性を追加します。次に、管理者はカタログ検索結果およびカタログ項目詳細のページをカスタマイズします。
注意:
リクエスト・カタログでは、文字列型のUDFのみを作成できます。その属性を検索可能属性としてマークした場合、そのサイズは256 Charになります。検索可能属性でない場合、サイズは2000 Charになります。検索可能でない属性を検索可能としてマークすることはできません。
MyCorpは、権限に関連付けられたリスクをカタログ検索結果の一部として表示しようとしています。このシナリオをサポートするために、カタログ・システム管理者はカタログ検索結果をカスタマイズし、項目リスクをイメージ・ウィジェットとして追加します。
これらのカスタマイズはシステム・インテグレータまたはカスタマ独自のITスタッフによって実装され、テストから本番に移行される必要があります。図12-2に、カタログのカスタマイズをテストから本番に移行する高レベルのプロセスを示します。
カタログのカスタマイズには次の3つの構成要素があります。
ADFカスタマイズ
ADFカスタマイズには、検索結果、項目詳細、カート詳細、フォーム・デザイナを使用して追加または変更されたカタログ属性などのカタログUIのカスタマイズが含まれます。これらのカスタマイズはサンドボックス・セッション内で実行する必要があります。サンドボックスの詳細は、「カタログのカスタマイズのテストから本番への手順」を参照してください
Oracle Identity Managerメタデータ・カスタマイズ
カタログ・エンティティに新規属性を追加したり、既存の属性を変更してそのプロパティを変更すると、Oracle Identity Managerで追加のメタデータが生成されます。たとえば、カタログ・システム・エンティティを使用して新規属性第2承認者がカタログ・エンティティに追加された場合、Oracle Identity Managerでは属性に対応するデータベース列が追加されます。属性が検索可能である場合、Oracle Identity Managerは追加のメタデータを格納します。これらのカスタマイズは、デプロイメント・マネージャを使用してテストから本番に移行する必要があります。
データの移行
カタログをビジネスで使いやすいものにし、ユーザーがカタログを効率的に使用できるように十分な情報を提供するためにカタログの属性を追加/変更した後、カタログに関連情報を移入する必要があります。用語集とも呼ばれるこの追加情報は、確認および承認された後、本番に移行される必要があります。
カタログのカスタマイズは、サンドボックスとデプロイメント・マネージャを使用してインポートおよびエクスポートできます。
この項では、カタログ定義をテストから本番に移行するために実行する手順について説明します。これには次の手順が含まれます。
実行したカスタマイズのタイプに応じて、一方または両方の手順を実行する必要があります。表12-2を使用して、実行する手順を決定してください。
表12-2 カタログのカスタマイズの手順
| カスタマイズ | サンドボックスが必要 | デプロイメント・マネージャが必要 |
|---|---|---|
シードされたカタログ属性の追加/変更 |
はい |
はい |
カタログUDFの追加/変更 |
はい |
はい |
カタログUIのカスタマイズ |
はい |
いいえ |
カタログの移入 |
いいえ |
いいえ |
関連項目:
デプロイメント・マネージャの詳細は、「デプロイメント・マネージャを使用した増分移行」を参照してください
サンドボックスの詳細は、Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズのサンドボックスの管理に関する項を参照してください
複数のユーザーがサンドボックスを使用し、並行性の問題に対してトラブルシューティングを行うことによってアプリケーションをカスタマイズするときの並行性競合の扱いについては、Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズの並行性競合の扱いに関する項を参照してください。
この項では、サンドボックスとDeployment Mangerを使用したカタログ定義のエクスポートについて説明します。内容は次のとおりです。
Oracle Identity Managerメタデータをテストから本番にエクスポートするには、次の手順に従います。
注意:
ベスト・プラクティスとして次のオプションの手順を実行します。
サンドボックスzipファイルおよびデプロイメント・マネージャXMLを、Subversion、SourceSafeなどのソース・コード制御システムに単一のファイルとしてバックアップ/チェックインします。
前述の手順をターゲット(本番)環境で繰り返し、カタログ・エンティティおよびカタログUIのバックアップをとります。
カタログのテストから本番への移行プロセスの制限の一部は、サンドボックスの使用方法とデプロイメント・マネージャに関連します。
カタログのテストから本番へのプロセスには、次のような制限があります。
すべてのADFカスタマイズは単一のサンドボックス・セッション内で実行する必要があります。複数のサンドボックスを使用できますが、一度にアクティブ化できるサンドボックスは1つのみであり、その結果、システム管理コンソールでの変更(カタログ・エンティティの拡張)およびアイデンティティ・コンソールで行われる変更(カタログUIのカスタマイズ)は、同じサンドボックス内で行われる必要があります。
サンドボックスの外部で、あるいはサンドボックスの作成またはアクティブ化の前後に行われる変更は、サンドボックスには表示されません。
サンドボックスは、公開後にエクスポートしたり元に戻すことはできません。このため、サンドボックスは有効化されかつ公開されていない間にエクスポートし、カスタマイズはサンドボックスをインポートおよび公開する前に元に戻す必要があります。
デプロイメント・マネージャのインポートは即座にコミットされます。デプロイメント・マネージャにはロールバック機能はありません。
アクセス・リクエスト・カタログのトラブルシューティング要件の一部は、カタログ同期化、カタログ・セキュリティ、カタログ検索およびリクエストの失敗に関連するものです。
この項では、アクセス・リクエスト・カタログの問題を解決するときに実行するトラブルシューティングの手順について説明します。次の項目が含まれます。
カタログ同期化の問題は、ロール、アプリケーション・インスタンスおよび権限がアクセス・リクエスト・カタログで表示されない場合に発生します。
次のフロー・チャートを使用して、リクエストできる3つのカタログ項目タイプのそれぞれについて同期化の問題をトラブルシューティングします。
注意:
ジョブを収集すると、「更新日」パラメータに基づいて収集のためのデータが選択されます。更新が空欄の場合、すべてのレコードが処理用にフェッチされます。ただし、ユーザーが日付を「更新日」パラメータで指定した場合、指定した日付の後に作成されたり更新されたデータのみが処理されます。
ロールとカタログの同期化のトラブルシューティング
ロールとカタログの同期化は、本来リアルタイムです。ロールが作成されると、Oracle Identity Managerロール・カテゴリに属している場合を除き、即座にカタログに公開されます。
注意:
Oracle Identity Managerロールのロール・カタログは、Oracle Identity Managerでの使用専用です。顧客はエンタープライズ・ロールにこのカテゴリを使用することはできません。
新しいOracle Identity Managerインストールでは、顧客によって作成されたエンタープライズ・ロールをカタログで使用でき、可視性は組織の範囲指定に基づきます。アップグレードされた環境では、顧客はカタログ同期化ジョブをブートストラップ・モードで実行し、既存のロールをカタログに公開する必要があります。アップグレード後に作成された新しいロールは、カタログですぐに使用できます。
図12-3に、顧客が、Oracle Identity Managerで作成されたロールがカタログに表示されないシナリオのトラブルシューティングに使用できる診断フロー・チャートを示します。
アプリケーション・インスタンスとカタログの同期化のトラブルシューティング
アプリケーション・インスタンスとカタログの同期化は、カタログ同期化ジョブによって制御されます。アプリケーション・インスタンスには(エンタープライズ・ロールよりも)多くの構成が必要であるため、カタログと即座には同期化されません。
図12-4に、アプリケーション・インスタンスとカタログの同期化に関連する問題をトラブルシューティングするときに従う診断フロー・チャートを示します。
権限とカタログの同期化のトラブルシューティング
カタログ・セキュリティの問題が発生するのは、デプロイメントに使用されるセキュリティ・モデルのタイプが原因です。
カタログ・セキュリティは次の2つの要因によって推進されます。
ユーザー、ロール、アプリケーション・インスタンスおよび権限の組織ベースの範囲指定を使用するセキュリティ・モデル。このセキュリティ・モデルは、リクエスタがカタログ検索結果で表示できる項目およびターゲット・ユーザーとして追加できるユーザーを制御します。
組織によって範囲指定されず、カタログ管理者などのグローバル管理者ロールに対して使用されるセキュリティ・モデル。
カタログ・セキュリティの典型的な問題は次のとおりです。
リクエスタは正しい検索キーワードを入力した場合にもカタログ項目を表示できません。
リクエスタはリクエストにターゲット・ユーザーを追加できません。
リクエスタはアプリケーション・インスタンス・リクエストに追加情報を提供できません。
リクエスタは「承認者ユーザー」、「承認者ロール」、「履行ユーザー」、「履行ロール」などのカタログ項目の詳細を表示できません。
編集モードでカタログ項目がカタログ管理者に表示されないため、カタログ項目を編集できません。
カタログ管理者はリクエスト・プロファイルを作成できません。
図12-6に、カタログ・セキュリティの問題をトラブルシューティングするために従う診断フロー・チャートを示します。
カタログ検索の問題にはテキストの構文やテキストの索引設定に関連するものがあります。
図12-7に、カタログ検索の問題をトラブルシューティングするために従う診断フロー・チャートを示します。
リクエストに指定されている関連操作の実行に失敗した場合、リクエストは保留中の操作を取り消して「リクエストに失敗しました」ステージに移動します。「リクエストに失敗しました」ハイパーリンクをクリックすると、リクエスト失敗の理由が表示されます。
リクエストの失敗には、次のいずれかの理由が考えられます。
ロールをリクエストしている場合、職務分掌違反によりリクエストが失敗する可能性があります。
アプリケーション・インスタンスをリクエストしており、そのアプリケーション・インスタンスが別のアプリケーション・インスタンスに依存する場合、親アプリケーション・インスタンスがプロビジョニングされていないため、リクエストは「承認済リクエスト履行が保留中です」ステータスに進みます。たとえば、ユーザーにMicrosoft Exchangeアカウントを正常にプロビジョニングするためには、ユーザーは、Exchange Serverのユーザーを管理しているドメイン・コントローラでMicrosoft Active Directoryアカウントを所有している必要があります。
前述の理由の他に、誤ったパスワード、パスワード・ポリシー違反、ターゲット・システムが使用不可能であるなどの理由で、失敗することがあります。
