4 EBS User Managementコネクタの構成後タスクの実行

これらは、Oracle Identity Governanceでアプリケーションを作成した後に実行する必要があるタスクです。

• ターゲット・システムとOracle Identity Governance間のセキュアな通信の構成

• Oracle Identity Governanceの構成

• 権限および同期カタログの収集

• ロギングの管理

• SSO用コネクタの構成

• UIフォームにおけるフィールド・ラベルのローカライズ

4.1 ターゲット・システムとOracle Identity Governance間のセキュアな通信の構成

Oracle DatabaseとOracle Identity Governanceの間の通信を保護するには、次の手順の一方、または両方を実行します。

ノート:

この項で説明する手順を実行するには、TNSリスナー構成ファイルを変更するための権限を持つ必要があります。

• Oracle Databaseにおけるデータ暗号化および整合性の構成

• Oracle DatabaseにおけるSSL通信の構成

4.1.1 Oracle Databaseにおけるデータ暗号化および整合性の構成

データの暗号化および整合性の構成の詳細は、『Oracle Database Advanced Security管理者ガイド』のデータの暗号化に関する項を参照してください。

4.1.2 Oracle DatabaseにおけるSSL通信の構成

Oracle DatabaseおよびOracle Identity Governance間でSSL通信を有効化するには、次のようにします。

1. Oracle DatabaseとOracle Identity Governanceの間のSSL通信を有効化する方法の詳細は、『Oracle Database Advanced Security管理者ガイド』のセキュア・ソケット・レイヤーに関する項を参照してください。
2. Oracle Databaseのホスト・コンピュータに証明書をエクスポートします。
3. Oracle Identity Governanceに証明書をコピーします。
4. Oracle Identity Governanceが実行されているアプリケーション・サーバーのJVM証明書ストアに証明書をインポートします。

   証明書ストアに証明書をインポートするには、次のコマンドを実行します。

   keytool -import -file FILE_LOCATION -keystore TRUSTSTORE_LOCATION -storepass TRUSTSTORE_PASSWORD -trustcacerts -alias ALIAS
   

   コマンドの説明は次のとおりです。

   • FILE_LOCATIONは、証明書ファイルのフルパスおよび名前に置き換えます。

   • ALIASは、証明書の別名に置き換えます。

   • TRUSTSTORE_PASSWORDは、証明書ストアのパスワードに置き換えます。

   • TRUSTSTORE_LOCATIONは、表4-1の証明書ストア・パスのいずれかに置き換えます。この表には、サポートされている各アプリケーション・サーバーの証明書ストアの場所が示されています。

   ノート:

   Oracle Identity Governanceクラスタでは、クラスタの各ノードの証明書ストアにファイルをインポートする必要があります。

   表4-1 証明書ストアの場所

   アプリケーション・サーバー	証明書ストアの場所
   Oracle WebLogic Server	Oracle jrockit_R27.3.1-jdkを使用している場合、証明を次のディレクトリにコピーします。 JROCKIT_HOME/jre/lib/security デフォルトのOracle WebLogic Server JDKを使用している場合、証明を次のディレクトリにコピーします。 WEBLOGIC_HOME/java/jre/lib/security/cacerts
   IBM WebSphereアプリケーション・サーバー	サポートされているIBM WebSphere Application Serverのいずれかのリリースの非クラスタ構成の場合、証明書を次の証明書ストアにインポートします。 WEBSPHERE_HOME/java/jre/lib/security/cacerts IBM WebSphere Application Server 6.1.xの場合、cacerts証明書ストアに加え、証明書を次の証明書ストアにインポートする必要があります。 WEBSPHERE_HOME/Web_Sphere/profiles/SERVER_NAME/config/cells/CELL_NAME/nodes/NODE_NAME/trust.p12 例: C:/Web_Sphere/profiles/AppSrv01/config/cells/tcs055071Node01Cell/nodes/tcs055071Node0/trust.p12 IBM WebSphere Application Server 5.1.xの場合、cacerts証明書ストアに加え、証明書を次の証明書ストアにインポートする必要があります。 WEBSPHERE_HOME/etc/DummyServerTrustFile.jks
   JBoss Application Server	JAVA_HOME/jre/lib/security/cacerts
   Oracle Application Server	ORACLE_HOME/jdk/jre/lib/security/cacerts

4.2 Oracle Identity Governanceの構成

アプリケーションの作成中に、デフォルト・フォームを作成することを選択しなかった場合は、コネクタを使用して作成したアプリケーション用にUIフォームを作成する必要があります。

ノート:

この項の手順は、アプリケーションの作成時にデフォルトのフォームを作成するように選択しなかった場合にのみ実行します。

次の各トピックでは、Oracle Identity Governanceを構成する手順を示します。

• サンドボックスの作成およびアクティブ化

• UIフォームの新規作成

• サンドボックスの公開

• 新規フォームによる既存アプリケーション・インスタンスの更新

4.2.1 サンドボックスの作成およびアクティブ化

カスタマイズおよびフォーム管理機能の使用を開始するには、サンドボックスを作成してアクティブにする必要があります。次に、サンドボックスを公開してそのカスタマイズを他のユーザーが使用できるようにします。

『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの作成に関する項およびサンドボックスのアクティブ化に関する項を参照してください。

4.2.2 UIフォームの新規作成

Oracle Identity System Administrationのフォーム・デザイナを使用して、アプリケーション・インスタンス・フォームを作成および管理できます。

『Oracle Fusion Middleware Oracle Identity Governanceの管理』のフォーム・デザイナを使用したフォームの作成に関する項を参照してください。

UIフォームを作成するときは、必ずそのフォームを関連付ける新しく作成されたアプリケーションに対応するリソース・オブジェクトを選択します。また、「権限フォームの生成」チェック・ボックスを選択します。

4.2.3 サンドボックスの公開

サンドボックスを公開する前に、ベスト・プラクティスとしてこの手順を実行し、このステージまでに行われたすべてのサンドボックスの変更を検証してください(サンドボックスを公開した後に変更を元に戻すことは難しいため)。

1. アイデンティティ・システム管理で、サンドボックスを非アクティブ化します。

2. アイデンティティ・システム管理をログアウトします。

3. xelsysadmユーザー資格証明を使用してIdentity Self Serviceにログインし、ステップ1で非アクティブ化したサンドボックスをアクティブ化します。

4. カタログで、リソースのアプリケーション・インスタンス・フォームが正しいフィールドとともに表示されていることを確認します。

5. サンドボックスを公開します。『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの公開に関する項を参照してください。

4.2.4 新規フォームによる既存アプリケーション・インスタンスの更新

Identity Self Serviceでアプリケーションのスキーマで行うすべての変更に対して、新しいUIフォームを作成し、アプリケーション・インスタンスでその変更を更新する必要があります。

新規フォームにより既存のアプリケーション・インスタンスを更新するには、次のようにします。

1. サンドボックスを作成してアクティブ化します。

2. リソースの新しいUIフォームを作成します。

3. 既存のアプリケーション・インスタンスを開きます。

4. 「フォーム」フィールドで、作成した新しいUIフォームを選択します。

5. アプリケーション・インスタンスを保存します。

6. サンドボックスを公開します。

関連項目:

• 『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの作成に関する項およびサンドボックスのアクティブ化に関する項を参照してください

• 『Oracle Fusion Middleware Oracle Identity Governanceの管理』のフォーム・デザイナを使用したフォームの作成

• 『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの公開に関する項を参照してください

4.3 権限および同期カタログの収集

子プロセス・フォーム表から権限割当てスキーマを移入し、ロール、アプリケーション・インスタンスおよび権限をカタログに収集できます。カタログ・メタデータをロードすることもできます。

権限の収集とカタログ同期化を行うには:

1. 「リコンシリエーション・ジョブ」にリストされている参照フィールド同期のスケジュール済ジョブを実行します。
2. 権限リスト・スケジュール済ジョブを実行して、子プロセス・フォーム表から権限割当てスキーマを移入します。
3. カタログ同期化ジョブ・スケジュール済ジョブを実行します。

関連項目:

権限リスト・スケジュール済ジョブおよびカタログ同期化ジョブ・スケジュール済ジョブの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』の事前定義済のスケジュール済タスクに関する項を参照してください

4.4 ロギングの管理

Oracle Identity Governanceでは、Oracle Diagnostic Logging (ODL)ロギング・サービスを使用して、コネクタに関連するすべてのタイプのイベントを記録します。

次のトピックでは、ロギングについて詳しく説明します。

• ログ・レベルの理解

• ロギングの有効化

4.4.1 ログ・レベルの理解

ロギングを有効化すると、Oracle Identity Governanceはプロビジョニング操作およびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。

ODLはOracle Identity Governanceにより原則的に使用されるロギング・サービスで、java.util.loggerに基づいています。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。

• SEVERE.intValue()+100

  このレベルでは、致命的エラーに関する情報のロギングが有効化されます。

• SEVERE

  このレベルでは、Oracle Identity Governanceの実行を続行できる可能性があるエラーに関する情報のロギングが有効化されます。

• WARNING

  このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。

• INFO

  このレベルでは、アプリケーションの進行状況を示すメッセージのロギングが有効化されます。

• CONFIG

  このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。

• FINE、FINER、FINEST

  これらのレベルでは詳細なイベントに関する情報のロギングが有効化され、FINESTではすべてのイベントに関する情報が記録されます。

表4-2に示すように、これらのメッセージ・タイプはODLメッセージ・タイプとレベルの組合せにマップされています。

表4-2 ログ・レベルおよびODLメッセージ・タイプ: レベルの組合せ

Javaのレベル	ODLメッセージ・タイプ:レベル
SEVERE.intValue()+100	INCIDENT_ERROR:1
SEVERE	ERROR:1
WARNING	WARNING:1
INFO	NOTIFICATION:1
CONFIG	NOTIFICATION:16
FINE	TRACE:1
FINER	TRACE:16
FINEST	TRACE:32

OJDLの構成ファイルはlogging.xmlであり、次のパスにあります。

DOMAIN_HOME/config/fmwconfig/servers/OIM_SERVER/logging.xml

ここで、DOMAIN_HOMEとOIM_SERVERは、それぞれOracle Identity Governanceのインストール時に指定されたドメイン名とサーバー名です。

4.4.2 ロギングの有効化

Oracle WebLogic Serverのロギングを有効化するには、次のようにします。

1. 次のようにしてlogging.xmlファイルを編集します。

   1. ファイル内に次のブロックを追加します。

      <log_handler name="ebs-um-handler" level='[LOG_LEVEL]' class='oracle.core.ojdl.logging.ODLHandlerFactory'>
      <property name='logreader:' value='off'/>
           <property name='path' value='[FILE_NAME]'/>
           <property name='format' value='ODL-Text'/>
           <property name='useThreadName' value='true'/>
           <property name='locale' value='en'/>
           <property name='maxFileSize' value='5242880'/>
           <property name='maxLogSize' value='52428800'/>
           <property name='encoding' value='UTF-8'/>
         </log_handler>
      

      <logger name='ORG.IDENTITYCONNECTORS.EBS' level='[LOG_LEVEL]' useParentHandlers='false'>
           <handler name='ebs-um-handler'/>
           <handler name='console-handler'/>
         </logger>
      

   2. [LOG_LEVEL]が出現したら両方を必要なODLのメッセージ・タイプとレベルの組合せに置き換えます。表4-2にサポートされるメッセージ・タイプおよびレベルの組合せを示します。

      同様に、[FILE_NAME]は、ログ・メッセージを記録するログ・ファイルのフルパスおよび名前で置き換えます。

      次のブロックは、[LOG_LEVEL]および[FILE_NAME] のサンプル値を示しています。

      <log_handler name='ebs-um-handler' level='NOTIFICATION:1' class='oracle.core.ojdl.logging.ODLHandlerFactory'>
      <property name='logreader:' value='off'/>
           <property name='path' value='F:\MyMachine\middleware\user_projects\domains\base_domain1\servers\oim_server1\logs\oim_server1-diagnostic-1.log'/>
           <property name='format' value='ODL-Text'/>
           <property name='useThreadName' value='true'/>
           <property name='locale' value='en'/>
           <property name='maxFileSize' value='5242880'/>
           <property name='maxLogSize' value='52428800'/>
           <property name='encoding' value='UTF-8'/>
         </log_handler>
       
      <logger name='ORG.IDENTITYCONNECTORS.EBS' level='NOTIFICATION:1' useParentHandlers='false'>
           <handler name='ebs-um-handler'/>
           <handler name='console-handler'/>
         </logger>
      

   Oracle Identity Governanceをこれらのサンプル値とともに使用すると、このコネクタに対して生成された、ログ・レベルがNOTIFICATION:1レベル以上のすべてのメッセージが、指定したファイルに記録されます。

2. ファイルを保存して閉じます。

3. サーバー・ログをファイルにリダイレクトするには、次の環境変数を設定します。

   Microsoft Windowsの場合:

   set WLS_REDIRECT_LOG=FILENAME
   

   UNIXの場合:

   export WLS_REDIRECT_LOG=FILENAME
   

   FILENAMEを、出力のリダイレクト先ファイルの場所と名前に置き換えます。

4. アプリケーション・サーバーを再起動します。

4.5 SSO用コネクタの構成

ノート:

• リコンシリエーションおよびプロビジョニング操作時に、シングル・サインオン・ソリューションと一緒に機能するようにコネクタを構成する場合にのみ、この項で説明されている手順を実行してください。

• この手順を実行する前に、シングル・サインオン・ソリューションのLDAPベース・リポジトリ用コネクタが本番環境にインストールされていることを確認してください。

SSO用コネクタを構成するには、次のステップを実行する必要があります。

1. Design Consoleにログインします。

2. リソース・オブジェクトを次のように変更します。

   1. 「リソース管理」を開いて、「リソース・オブジェクト」をダブルクリックします。

   2. 「名前」フィールドにOracle EBS User Managementと入力し、「検索」をクリックします。

   3. 「依存先」タブで、「割当て」をクリックします。

   4. SSOターゲットに対応するリソース・オブジェクト(例: 「OIDユーザー」など)を選択して「OK」をクリックします。

   5. 「Save」アイコンをクリックします。

3. 「SSO属性の更新」プロセス・タスクを変更して、次のようにイベント・ハンドラを割り当てます。

   1. 「プロセス管理」を開いて、「プロセス定義」をダブルクリックします。

   2. 「Oracle EBS UMユーザー」プロセス定義を検索して開きます。

   3. 「タスク」タブで、「SSO属性の更新」プロセス・タスクをダブルクリックします。

   4. 「タスクの編集: SSO属性の更新」ダイアログ・ボックスの「統合」タブで、「追加」をクリックします。

      Handler Selection ダイアログ・ボックスが表示されます。

   5. 「ハンドラ・タイプ」リージョンで「システム」オプションを選択してから、「ハンドラ名」リージョンからCopyProcessFormDataイベント・ハンドラを選択します。

   6. 「Save」アイコンをクリックします。

   7. 表示される確認ダイアログ・ボックスで、「OK」をクリックします。

      CopyProcessFormDataイベント・ハンドラがプロセス・タスクに割り当てられます。

4. 「EBSユーザーの作成」プロセス・タスクを変更して、次のようにイベント・ハンドラを割り当てます。

   1. 「Oracle EBS UMユーザー」プロセス定義の「タスク」タブで、「EBSユーザーの作成」プロセス・タスクをダブルクリックします。

      「タスクの編集: EBSユーザーの作成」ダイアログ・ボックスが表示されます。

   2. 「レスポンス」タブで、レスポンス・コードSUCCESSを選択します。

   3. 生成するタスク・リージョンで、「割当て」をクリックします。

   4. 表示されるダイアログ・ボックスで、右側の列から左側の列に「SSO属性の更新」タスク名を移動して、「OK」をクリックします。

      「SSO属性の更新」タスクがプロセス・タスクに割り当てられます。

   5. 「保存」アイコンをクリックして、「タスクの編集: EBSユーザーの作成」ダイアログ・ボックスを閉じます。

5. 使用しているLDAPサーバーに対応する参照定義が存在し、適切なエントリが含まれていることを確認します。たとえば、OIDを使用している場合、Lookup.Objects.OID User.Oracle EBS User Management.CopyAttributesMapが存在し、これに次のエントリが含まれていることを確認します。

   • コード・キー: orclGuid

   • デコード: SSO GUID

   LDAPサーバーに対応する参照定義のリストについては、「コネクタ操作中に使用される参照定義」を参照してください。

6. 次のように、Oracle EBS UMアプリケーション・インスタンスを変更します。

   1. システム管理コンソールにログインします。

   2. サンドボックスを作成してアクティブ化します。サンドボックスの作成およびアクティブ化の手順は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のサンドボックスの管理に関する項を参照してください

   3. Oracle EBS UMアプリケーション・インスタンスを変更して、親インスタンスとしてSSOターゲット(例: OID)のアプリケーション・インスタンスを指定します。アプリケーション・インスタンスを変更する手順は、Oracle Fusion Middleware Oracle Identity Managerの管理のアプリケーション・インスタンス属性の変更に関する項を参照してください。

   4. サンドボックスを公開します。サンドボックスの公開の手順は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のサンドボックスの公開に関する項を参照してください。

4.6 UIフォームにおけるフィールド・ラベルのローカライズ

使用する言語に対応するリソース・バンドルを使用して、UIフォーム・フィールド・ラベルをローカライズできます。リソース・バンドルはコネクタのインストール・パッケージに用意されています。

UIフォームに追加されるフィールド・ラベルをローカライズするには、次のようにします。

1. Oracle Enterprise Governanceにログインします。

2. 左側のペインで、「アプリケーションのデプロイ」を開き、oracle.iam.console.identity.sysadmin.earを選択します。

3. 右側のペインで、「アプリケーションのデプロイ」リストから、「MDS構成」を選択します。

4. 「MDS構成」ページで、「エクスポート」をクリックして、ローカル・コンピュータにアーカイブを保存します。

5. アーカイブの内容を解凍して、テキスト・エディタで次のファイルを開きます。

   SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle_en.xlf

   ノート:

   BizEditorBundle.xlfを表示できるようにするには、ターゲット・システムへのアプリケーションの作成を完了するか、UDFを作成するなどのカスタマイズを実行します。

6. BizEditorBundle.xlfファイルを次の方法で編集します。

   1. 次のテキストを検索します。

      <file source-language="en"  
      original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
      datatype="x-oracle-adf">
      

   2. 次のテキストで置き換えます。

      <file source-language="en" target-language="LANG_CODE"
      original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
      datatype="x-oracle-adf">
      

      このテキストで、LANG_CODEを、フォーム・フィールド・ラベルをローカライズする言語のコードに置き換えます。フォーム・フィールド・ラベルを日本語でローカライズする場合の値の例を次に示します。

      <file source-language="en" target-language="ja"
      original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
      datatype="x-oracle-adf">
      

   3. アプリケーション・インスタンスのコードを検索します。このプロシージャは、Oracle E-Business Suiteアプリケーション・インスタンス用の編集の例を示しています。元のコードは次のとおりです。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_EBS_UM_USRNAME__c_description']}">
      <source>User Name</source>
      <target/>
      </trans-unit>
      <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.EBSUMForm11.entity.EBSUMForm11EO.UD_EBS_UM_USRNAME__c_LABEL">
      <source>User Name</source>
      <target/>
      </trans-unit>
      

   4. 使用しているコネクタに応じて、コネクタ・パッケージからリソース・ファイル(例: EBS-UM.properties)を開き、ファイルから属性値(例: global.udf.UD_EBS_UM_USER_NAME=\u4567d)を取得します。

   5. ステップ6.cに示されている元のコードを、次のものに置き換えます。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_EBS_UM_USRNAME__c_description']}">
      <source>User Name</source>
      <target>\u4567d</target>
      </trans-unit>
      <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.EBSUMForm11.entity.EBSUMForm11EO.UD_EBS_UM_USRNAME__c_LABEL">
      <source>User Name</source>
      <target>\u4567d</target>
      </trans-unit>
      

   6. プロセス・フォームのすべての属性に対し、ステップ6.aから6.dを繰り返します。

   7. ファイルをBizEditorBundle_LANG_CODE.xlfとして保存します。このファイル名で、LANG_CODEを、ローカライズする言語のコードに置き換えます。

      サンプル・ファイル名: BizEditorBundle_ja.xlf.

7. ZIPファイルを再パッケージしてMDSにインポートします。

   関連項目:

   メタデータ・ファイルのエクスポートおよびインポートの詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のカスタマイズのデプロイおよびアンデプロイに関する項を参照してください

8. Oracle Identity Governanceからログアウトしてから、ログインします。