5 構成後タスクの実行
これらは、Oracle Identity Governanceでアプリケーションを作成した後に実行できるタスクです。
5.1 Oracle Identity Governanceの構成
アプリケーションの作成時に、デフォルトのフォームの作成を選択しなかった場合、コネクタを使用して作成したアプリケーション用のUIフォームを作成する必要があります。
ノート:
この項で説明されている手順は、アプリケーションの作成時にデフォルトのフォームを作成することを選択しなかった場合にのみ実行してください。次の項では、Oracle Identity Governanceを構成する手順を示します。
5.1.1 サンドボックスの作成およびアクティブ化
カスタマイズおよびフォーム管理機能の使用を開始するには、サンドボックスを作成してアクティブにする必要があります。次に、サンドボックスを公開してそのカスタマイズを他のユーザーが使用できるようにします。
『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの作成およびサンドボックスのアクティブ化に関する項を参照してください。
5.1.2 UIフォームの新規作成
Oracle Identity System Administrationのフォーム・デザイナを使用して、アプリケーション・インスタンス・フォームを作成および管理できます。
『Oracle Fusion Middleware Oracle Identity Governanceの管理』のフォーム・デザイナを使用したフォームの作成に関する項を参照してください。
UIフォームを作成するときは、必ずそのフォームを関連付ける新規作成済アプリケーションに対応するリソース・オブジェクトを選択します。また、「権限フォームの生成」チェック・ボックスを選択します。
5.1.3 サンドボックスの公開
サンドボックスを公開する前に、ベスト・プラクティスとしてこの手順を実行し、このステージまでに行われたすべてのサンドボックスの変更を検証してください(サンドボックスを公開した後に変更を元に戻すことは難しいため)。
-
アイデンティティ・システム管理で、サンドボックスを非アクティブ化します。
-
アイデンティティ・システム管理をログアウトします。
-
xelsysadmユーザー資格証明を使用してIdentity Self Serviceにログインし、ステップ1で非アクティブ化したサンドボックスをアクティブ化します。
-
カタログで、リソースのアプリケーション・インスタンス・フォームが正しいフィールドとともに表示されていることを確認します。
-
サンドボックスを公開します。『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの公開に関する項を参照してください。
5.1.4 新規フォームによる既存アプリケーション・インスタンスの更新
Identity Self Serviceでアプリケーションのスキーマに対して行うすべての変更に対して、新しいUIフォームを作成し、アプリケーション・インスタンスでその変更を更新する必要があります。
新規フォームにより既存のアプリケーション・インスタンスを更新するには、次のようにします。
-
サンドボックスを作成してアクティブ化します。
-
リソースの新しいUIフォームを作成します。
-
既存のアプリケーション・インスタンスを開きます。
-
「フォーム」フィールドで、作成した新しいUIフォームを選択します。
-
アプリケーション・インスタンスを保存します。
-
サンドボックスを公開します。
関連項目:
-
『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの作成およびサンドボックスのアクティブ化に関する項
-
『Oracle Fusion Middleware Oracle Identity Governanceの管理』のフォーム・デザイナを使用したフォームの作成
-
『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの公開に関する項
5.2 権限および同期カタログの収集
子プロセス・フォーム表から権限割当てスキーマを移入し、ロール、アプリケーション・インスタンスおよび権限をカタログに収集できます。カタログ・メタデータをロードすることもできます。
権限の収集とカタログ同期化を行うには:
-
次のように、使用しているターゲット・システムに応じて、参照フィールド同期用のスケジュール済ジョブを実行します。
Oracle Databaseの場合: 「Oracle Databaseのリコンシリエーション・ジョブ」にリストされている権限のリコンシリエーション・ジョブを実行します。
MySQLの場合: 「MySQLのリコンシリエーション・ジョブ」にリストされている権限のリコンシリエーション・ジョブを実行します。
-
権限リスト・スケジュール済ジョブを実行して、子プロセス・フォーム表から権限割当てスキーマを移入します。
-
カタログ同期化ジョブ・スケジュール済ジョブを実行します。
関連項目:
権限リスト・スケジュール済ジョブおよびカタログ同期化ジョブ・スケジュール済ジョブの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』の事前定義済のスケジュール済タスクに関する項を参照してください5.3 Oracle Identity Governanceのロギングの管理
Oracle Identity GovernanceではOracle Diagnostic Logging (ODL)ロギング・サービスを使用して、コネクタに関連するすべてのタイプのイベントを記録します。
次のトピックでは、ロギングについて詳しく説明します。
5.3.1 ログ・レベルの理解
ロギングを有効化すると、Oracle Identity Governanceはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。
ODLはOracle Identity Governanceにより原則的に使用されるロギング・サービスで、java.util.loggerに基づいています。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
-
SEVERE.intValue()+100
このレベルでは、致命的エラーに関する情報のロギングが有効化されます。
-
SEVERE
このレベルでは、Oracle Identity Governanceの実行を続行できる可能性があるエラーに関する情報のロギングが有効化されます。
-
WARNING
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
-
INFO
このレベルでは、アプリケーションの進行状況を示すメッセージのロギングが有効化されます。
-
CONFIG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
-
FINE、FINER、FINEST
これらのレベルでは詳細なイベントに関する情報のロギングが有効化され、FINESTではすべてのイベントに関する情報が記録されます。
表5-2に示すように、これらのメッセージ・タイプはODLメッセージ・タイプとレベルの組合せにマップされています。
表5-1 ログ・レベルおよびODLメッセージ・タイプ: レベルの組合せ
Javaレベル | ODLメッセージ・タイプ:レベル |
---|---|
SEVERE.intValue()+100 |
INCIDENT_ERROR:1 |
SEVERE |
ERROR:1 |
WARNING |
WARNING:1 |
INFO |
NOTIFICATION:1 |
CONFIG |
NOTIFICATION:16 |
FINE |
TRACE:1 |
FINER |
TRACE:16 |
表5-2 ログ・レベルおよびODLメッセージ・タイプ: レベルの組合せ
Javaレベル | ODLメッセージ・タイプ:レベル |
---|---|
SEVERE.intValue()+100 |
INCIDENT_ERROR:1 |
SEVERE |
ERROR:1 |
WARNING |
WARNING:1 |
INFO |
NOTIFICATION:1 |
CONFIG |
NOTIFICATION:16 |
FINE |
TRACE:1 |
FINER |
TRACE:16 |
FINEST |
TRACE:32 |
OJDLの構成ファイルはlogging.xmlであり、次のパスにあります。
DOMAIN_HOME/config/fmwconfig/servers/OIM_SERVER/logging.xml
ここで、DOMAIN_HOMEとOIM_SERVERは、それぞれOracle Identity Governanceのインストール時に指定されたドメイン名とサーバー名です。
5.3.2 ロギングの有効化
logging.xmlファイルを更新することにより、Oracle WebLogic Serverでロギングを有効化できます。
ロギングを有効化するには、次のようにします。
-
次のようにしてlogging.xmlファイルを編集します。
-
ファイル内に次のブロックを追加します。
<log_handler name='db-um-handler' level='[LOG_LEVEL]' class='oracle.core.ojdl.logging.ODLHandlerFactory'> <property name='logreader:' value='off'/> <property name='path' value='[FILE_NAME]'/> <property name='format' value='ODL-Text'/> <property name='useThreadName' value='true'/> <property name='locale' value='en'/> <property name='maxFileSize' value='5242880'/> <property name='maxLogSize' value='52428800'/> <property name='encoding' value='UTF-8'/> </log_handler>
<logger name="ORG.IDENTITYCONNECTORS.DBUM" level="[LOG_LEVEL]" useParentHandlers="false"> <handler name="db-um-handler"/> <handler name="console-handler"/> </logger>
-
出現するすべての
[LOG_LEVEL]
を、必要なODLメッセージ・タイプとレベルの組合せで置き換えます。表5-2にサポートされるメッセージ・タイプおよびレベルの組合せを示します。同様に、
[FILE_NAME]
は、ログ・メッセージを記録するログ・ファイルのフルパスおよび名前で置き換えます。次のブロックは、
[LOG_LEVEL]
および[FILE_NAME]
のサンプル値を示しています。<log_handler name='db-um-handler' level='NOTIFICATION:1' class='oracle.core.ojdl.logging.ODLHandlerFactory'> <property name='logreader:' value='off'/> <property name='path' value='F:\MyMachine\middleware\user_projects\domains\base_domain1\servers\oim_server1\logs\oim_server1-diagnostic-1.log'/> <property name='format' value='ODL-Text'/> <property name='useThreadName' value='true'/> <property name='locale' value='en'/> <property name='maxFileSize' value='5242880'/> <property name='maxLogSize' value='52428800'/> <property name='encoding' value='UTF-8'/> </log_handler> <logger name="oracle.iam.connectors.icfcommon" level="NOTIFICATION:1" useParentHandlers="false"> <handler name="db-um-handler"/> </logger> <logger name="ORG.IDENTITYCONNECTORS.DBUM" level="NOTIFICATION:1" useParentHandlers="false"> <handler name="db-um-handler"/> </logger>
Oracle Identity Governanceをこれらのサンプル値とともに使用すると、このコネクタに対して生成された、ログ・レベルが
NOTIFICATION:1
レベル以上のすべてのメッセージが、指定したファイルに記録されます。 -
-
保存してファイルを閉じます。
-
アプリケーション・サーバーを再起動します。
5.4 コネクタ・サーバーのITリソースの構成
コネクタ・サーバーを使用している場合、コネクタ・サーバーのITリソースのパラメータに値を構成する必要があります。
ノート:
この手順はオプションであり、コネクタ・サーバーを使用する場合にのみ必須です。
コネクタ・サーバーのITリソースを構成または変更するには、次のようにします。
-
Oracle Identity System Administrationにログインします。
-
サンドボックスを作成してアクティブ化します。
-
左側のペインの「構成」で、「ITリソース」をクリックします
-
「ITリソースの管理」ページの「ITリソース名」フィールドに
DBUM Connector Server
と入力し、「検索」をクリックします。図5-1に、「ITリソースの管理」ページを示します。 -
コネクタ・サーバーのITリソースに対応する編集アイコンをクリックします。
-
ページ上部のリストから、「詳細およびパラメータ」を選択します。
-
コネクタ・サーバーのITリソースのパラメータに値を指定します。図5-2に、「ITリソースの詳細およびパラメータの編集」ページを示します。
表5-3に、ITリソース・パラメータの説明を示します。
表5-3 Database User Managementコネクタ・サーバーのITリソースのパラメータ
パラメータ 説明 Host
コネクタ・サーバーのホスト・コンピュータのホスト名またはIPアドレスを入力します。
サンプル値:
HostName
Key
コネクタ・サーバーのキーを入力します。
Port
コネクタ・サーバーがリスニングしているポートの番号を入力します。
デフォルト値:
8763
Timeout
コネクタ・サーバーとOracle Identity Governanceの間の接続がタイムアウトになるまでの時間(ミリ秒)を指定する整数値を入力します。
値が0の場合、または値を指定しない場合、タイムアウトは無制限です。
サンプル値:
0
(推奨値)UseSSL
Oracle Identity Governanceとコネクタ・サーバーとの間にSSLを構成するよう指定する場合は、
true
を入力します。それ以外の場合は、false
を入力します。デフォルト値:
false
関連項目: SSLの有効化の詳細は、「ターゲット・システムとOracle Identity Governance間のセキュアな通信の構成」を参照してください。
-
「更新」をクリックして、値を保存します。
5.5 Oracle Database Vaultでの管理者アカウントの作成
Oracle Database Vaultで管理者アカウントを作成する必要があります。このアカウントは、Oracle Database Vaultレルムでリコンシリエーションおよびプロビジョニング操作を実行するためにコネクタによって使用されます。
ノート:
この項で説明する手順は、Oracle Database Vaultがインストールされていて、Oracle Database Vaultレルムへの認可をプロビジョニングおよびリコンサイルするためにコネクタを構成する必要がある場合にのみ実行してください。
Oracle Database Vaultで管理者アカウントを作成するには、次のようにします。
5.6 Database User ManagementコネクタのUIフォームでのフィールド・ラベルのローカライズ
使用する言語に対応するリソース・バンドルを使用して、UIフォーム・フィールド・ラベルをローカライズできます。リソース・バンドルはコネクタ・インストール・メディアに用意されています。
ノート:
この項で説明する手順は、Oracle Identity Managerリリース11.1.2.x以降を使用しており、UIフォーム・フィールド・ラベルをローカライズする場合にのみ実行します。
UIフォームで追加するフィールド・ラベルをローカライズするには:
-
Oracle Enterprise Managerにログインします。
-
左側のペインで、「アプリケーションのデプロイ」を開き、oracle.iam.console.identity.sysadmin.earを選択します
-
右側のペインで、「アプリケーションのデプロイ」リストから、「MDS構成」を選択します
-
「MDS構成」ページで、「エクスポート」をクリックして、ローカル・コンピュータにアーカイブを保存します。
-
アーカイブの内容を解凍して、テキスト・エディタで次のファイルを開きます。
SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle.xlf
-
BizEditorBundle.xlfファイルを次の方法で編集します。
-
次のテキストを検索します。
<file source-language="en" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
-
次のテキストで置き換えます。
<file source-language="en" target-language="LANG_CODE" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
このテキストで、LANG_CODEを、フォーム・フィールド・ラベルをローカライズする言語のコードに置き換えます。フォーム・フィールド・ラベルを日本語でローカライズする場合の値の例を次に示します。
<file source-language="en" target-language="ja" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
-
アプリケーション・インスタンスのコードを検索します。この手順は、Oracle Databaseアプリケーション・インスタンスの編集の例を示しています。元のコードは次のとおりです。
<trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_DB_ORA_U_USERNAME__c_description']}"> <source>Username</source> </target> </trans-unit> <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.OracleDBForm.entity.OracleDBForm.UD_DB_ORA_U_USERNAME__c_LABEL"> <source>Username</source> </target> </trans-unit>
-
コネクタ・パッケージに入っているリソース・ファイル(たとえば、DB-UM_ja.properties)を開き、そのファイルの属性の値(たとえば、global.udf.UD_DB_ORA_U_USERNAME=\u30E6\u30FC\u30B6\u30FC\u540D)を取得します。
-
ステップ6.bに示されている元のコードを、次のものに置き換えます。
<trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_DB_ORA_U_USERNAME__c_description']}"> <source>Username</source> <target>\u30E6\u30FC\u30B6\u30FC\u540D</target> </trans-unit> <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.OracleDBForm.entity.OracleDBForm.UD_DB_ORA_U_USERNAME__c_LABEL"> <source>Username</source> <target>\u30E6\u30FC\u30B6\u30FC\u540D</target> </trans-unit>
-
プロセス・フォームのすべての属性に対し、ステップ6.aから6.dを繰り返します。
-
ファイルをBizEditorBundle_LANG_CODE.xlfとして保存します。このファイル名で、LANG_CODEを、ローカライズする言語のコードに置き換えます。
サンプル・ファイル名: BizEditorBundle_ja.xlf.
-
-
ZIPファイルを再パッケージしてMDSにインポートします。
関連項目:
メタデータ・ファイルのエクスポートおよびインポートの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のカスタマイズのデプロイおよびアンデプロイに関する項を参照してください
-
Oracle Identity Governanceからログアウトしてから、ログインします。
5.7 ターゲット・システムとOracle Identity Governance間のセキュアな通信の構成
ターゲット・システムとOracle Identity Governanceの間の通信を保護するためにSSLを構成する必要があります。
5.7.1 Oracle DatabaseとOracle Identity Governanceの間のセキュアな通信の構成
この項で説明されている手順を実行し、Oracle DatabaseとOracle Identity Governanceの間のセキュアな通信を構成することをお薦めします。
Oracle DatabaseとOracle Identity Governanceの間の通信を保護するには、次の手順の一方、または両方を実行します。
5.7.1.1 Oracle Databaseにおけるデータ暗号化および整合性の構成
アクティブな攻撃からデータを保護し、データ・プライバシを確保するには、Oracle Advanced SecurityについてOracle Net Services固有のデータの暗号化および整合性を構成します。
データの暗号化および整合性を構成するには、『Oracle Database Advanced Security管理者ガイド』のデータの暗号化に関する項を参照してください。