2 Microsoft Exchangeコネクタを使用したアプリケーションの作成

コネクタを使用したアプリケーションのオンボードとそのための前提条件について学習します。

• コネクタを使用したアプリケーション作成のプロセス・フロー

• コネクタを使用したアプリケーション作成の前提条件

• コネクタを使用したアプリケーションの作成

2.1 コネクタを使用したアプリケーション作成のプロセス・フロー

Oracle Identity Governanceリリース12.2.1.3.0以降、コネクタ・デプロイメントはIdentity Self Serviceのアプリケーション・オンボード機能を使用して処理されます。

図2-1は、コネクタのインストール・パッケージを使用してOracle Identity Governanceでアプリケーションを作成するステップの概要を示すフローチャートです。

図2-1 コネクタを使用したアプリケーション作成プロセスの全体フロー

「図2-1 コネクタを使用してアプリケーションを作成するプロセスの全体的なフロー」の説明

2.2 コネクタを使用したアプリケーション作成の前提条件

アプリケーションを作成する前に完了する必要があるタスクについて理解します。

• コネクタのインストール・パッケージのダウンロード

• コネクタ・サーバーのインストールおよび構成

• コネクタ・サーバーでのコネクタ・バンドルのデプロイ

• コネクタ操作のためのターゲット・システムのユーザー・アカウントの作成

• 親アプリケーションの作成

2.2.1 コネクタのインストール・パッケージのダウンロード

コネクタのインストール・パッケージは、Oracle Technology Network (OTN)のWebサイトで取得できます。

コネクタのインストール・パッケージをダウンロードするには:

1. OTNのWebサイト(http://www.oracle.com/technetwork/middleware/id-mgmt/downloads/connectors-101674.html)に移動します。
2. 「OTNライセンス契約」をクリックしてライセンス契約を読みます。
3. 「Accept License Agreement」オプションを選択します。
   インストール・パッケージをダウンロードする前に、ライセンス契約に同意する必要があります。
4. Oracle Identity Governanceをホストしているコンピュータにインストール・パッケージをダウンロードして、任意のディレクトリに保存します。
5. インストール・パッケージの内容を、Oracle Identity Governanceをホストしているコンピュータ上の任意のディレクトリに抽出します。これにより、CONNECTOR_NAME-RELEASE_NUMBERというディレクトリが作成されます。たとえば、このコネクタの場合、ディレクトリ名はactivedirectory-12.2.1.3.0です。
6. CONNECTOR_NAME-RELEASE_NUMBERディレクトリをOIM_HOME/server/ConnectorDefaultDirectoryディレクトリにコピーします。

2.2.2 コネクタ・サーバーのインストールおよび構成

コネクタ・サーバーは、Exchange Serverと同じコンピュータ、またはExchange Serverと同じドメインの別のコンピュータのいずれにもインストールできます。

この項では、次の項目について説明します。

• コネクタ・サーバーの前提条件

• コネクタ・サーバーのインストール

• ロギングの有効化

• ログ・ファイル・ローテーションの構成

2.2.2.1 コネクタ・サーバーの前提条件

コネクタ・サーバーは、次の前提条件および要件を満たす必要があります。

• コネクタ・サーバーをホストするコンピュータは、2GHzのIntel Dual-Coreプロセッサおよび4GBのRAMを搭載しているか、または類似した構成のコンピュータである必要があります。

  コネクタ・サーバー専用のコンピュータの場合は、2GBのRAMで十分です。

• コネクタ・サーバーをインストールする前に、コネクタ・サーバーをインストールするコンピュータに.NET Framework 4.0以降をインストールしておいてください。

  .NETコネクタ・サーバーは、Exchange Serverターゲット・システムにインストールする必要はありません。ExchangeサーバーまたはExchangeサーバーと同じドメインに属しているシステムのいずれにもインストールできます。

2.2.2.2 コネクタ・サーバーのインストール

Oracle Technology Networkサイトからコネクタ・サーバー・パッケージをダウンロードして、ServiceInstall-version.msiファイルを実行することで、.NETコネクタ・サーバーをインストールする必要があります。

コネクタ・サーバーをインストールして構成し、実行する場合は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のMicrosoft .NET Frameworkコネクタ・サーバーの使用に関する項を参照してください。

2.2.2.3 ロギングの有効化

Exchangeコネクタでは.NETフレームワークの組込みロギング・メカニズムを使用します。ExchangeコネクタのロギングはOracle Identity Governanceと統合されていません。ログ・レベルは、.NETコネクタ・サーバー構成ファイル(ConnectorServer.exe.config)で設定されます。

デフォルトでは、ロギングはコネクタに対して有効になっていません。ロギングを有効化するには:

1. CONNECTOR_SERVER_HOMEディレクトリに移動します。デフォルト・ディレクトリはC:\Program Files\Identity Connectors\Connector Server.です

   ConnectorServer.exe.configファイルは、このディレクトリに存在している必要があります。

2. <listeners>タグの下のタグ<add name="myListener" を検索して見つけます。
3. コネクタは、initializeDataパラメータで指定されたファイルにすべての情報をロギングします。デフォルト値はc:\connectorserver.logです。

   この値はデプロイメントのニーズに基づいて編集します。コネクタ・サーバーはサービス・アカウントを使用して実行するため、サービス・アカウントにログの場所およびログ・ファイルへの書込み権限があることを確認してください。そうでない場合は、ロギングを有効化してもログは生成されません。

4. ConnectorServer.exe.configファイルに、太字で示す次の行を追加します。

   <system.diagnostics>
     <trace autoflush="true" indentsize="4">
       <listeners>
         <remove name="Default" />
         <add name="myListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="c:\connectorserver.log" traceOutputOptions="DateTime">
           <filter type="System.Diagnostics.EventTypeFilter" initializeData="Information" />
         </add>
       </listeners>
     </trace>
     <switches>
       <add name="ExchangeSwitch" value="4" />
     </switches>
   </system.diagnostics>
   

   value="4"はログ・レベルをVerboseに設定します。この値は次のように設定できます。

   表2-1 ログ・レベル

   値	ログ・レベル
   value="4"またはvalue="Verbose"	詳細レベル。最も詳細です。
   value="3"またはvalue="Information"	情報レベル。
   value="2"またはvalue="Warning"	警告レベル。
   value="1"またはvalue="Error"	エラー・レベル。
   value="0"	ロギングは行われません。

2.2.2.4 ログ・ファイル・ローテーションの構成

リコンシリエーションおよびプロビジョニング操作の過程で発生するイベントについての情報はログ・ファイルに格納されます。コネクタを使用して時間が経過すると、ログ・ファイルに書き込まれる情報の量が増加します。ローテーションを実行しないと、ログ・ファイルは大きくなります。

そのような状況を避けるために、この項で説明するプロシージャを実行して、ログ・ファイルのローテーションを構成します。

日次単位でログ・ファイルのローテーションを構成するには、次のようにします。

1. コネクタ・サーバーをホストしているコンピュータにログインします。
2. コネクタ・サーバーを停止します。
3. ConnectorServer.exe.configファイルのバックアップを作成します。このファイルのデフォルトの場所はC:\Program Files\Identity Connectors\Connector Serverです。
4. テキスト・エディタで編集するためにConnectorServer.exe.configファイルを開きます。
5. <listeners>および</listeners>要素を検索し、これらの要素の間のテキストを次のテキストで置き換えます。

   <remove name="Default" />
   <add name="FileLog" type="Microsoft.VisualBasic.Logging.FileLogTraceListener,Microsoft.VisualBasic,Version=8.0.0.0,Culture=neutral,PublicKeyToken=b03f5f7f11d50a3a"
   initializeData="FileLogWriter"
   traceOutputOptions="DateTime"
   BaseFileName="ConnectorServerDaily"
   Location="Custom"
   CustomLocation="C:\ConnectorServerLog\"
   LogFileCreationSchedule="Daily">
   <filter type="System.Diagnostics.EventTypeFilter" initializeData="Information"/>
   </add>
   

6. ファイルを保存して閉じます。
7. コネクタ・サーバーを起動します。

関連項目:

ログ・ファイルのローテーションの構成の詳細は、次のURLを参照してください。

http://msdn.microsoft.com/en-us/library/microsoft.visualbasic.logging.filelogtracelistener.aspx

2.2.3 コネクタ・サーバーでのコネクタ・バンドルのデプロイ

コネクタ・バンドルをコネクタ・サーバーにデプロイするには、コネクタ・バンドルをコピーしてコネクタ・サーバーに抽出し、コネクタ・サーバーにITリソースを構成する必要があります。

• コネクタ・サーバーへのコネクタ・バンドルのコピーと抽出

• コネクタ・サーバーのためのITリソースの作成

2.2.3.1 コネクタ・サーバーへのコネクタ・バンドルのコピーと抽出

コネクタ・サーバーへコネクタ・バンドルをコピーおよび抽出するには、次のようにします。

ノート:

単一のコネクタ・サーバーがActive DirectoryコネクタとExchangeコネクタの両方に使用されていて、コネクタ・サーバーにすでにActive DirectoryコネクタのDLLがある場合、Exchangeコネクタ・バンドルZIPファイルの一部として提供されたActive DirectoryコネクタのDLLを使用して、コネクタ・サーバーを更新しないでください。

1. コネクタ・サーバーを停止します。
2. インストール・メディアから、bundle/Exchange.Connector-12.3.0.0.zipファイルをCONNECTOR_SERVER_HOMEディレクトリにコピーして、内容を抽出します。
3. コネクタ・サーバーを起動します。

2.2.3.2 コネクタ・サーバーのためのITリソースの作成

Identity System Administrationから、コネクタ・サーバーのITリソースを作成します。

ITリソースを作成するには:

1. Identity System Administrationにログインして、左側のペインの「プロビジョニング構成」で「ITリソース」をクリックします。
2. 「ITリソースの管理」ページで、「作成」アイコンをクリックします。
3. 「ITリソースの作成」ページで:
   1. 「ITリソース名」フィールドにITリソースの名前を入力します。これは、ターゲット・アプリケーションの作成中に「基本構成」セクションで指定する名前です。
   2. 「ITリソース・タイプ」」ドロップダウン・リストから、「コネクタ・サーバー」を選択します。
   3. 「パラメータ値」セクションで、ITリソース・パラメータの値を指定し、「接続性のテスト」をクリックして接続をテストしてから、「終了」をクリックします。

      表2-2に、ITリソースのパラメータの説明を示します。

      表2-2 コネクタ・サーバーのITリソースのパラメータ

      パラメータ	説明
      ホスト	コネクタ・サーバーのホスト・コンピュータのホスト名またはIPアドレスを入力します。 サンプル値: RManager
      キー	Javaコネクタ・サーバーのキーを入力します。
      ポート	コネクタ・サーバーがリスニングしているポートの番号を入力します。 デフォルト値: 8759
      タイムアウト	コネクタ・サーバーとOracle Identity Managerとの間の接続がタイムアウトするまでの秒数を指定する整数値を入力します。 サンプル値: 300
      UseSSL	Oracle Identity Managerとコネクタ・サーバーとの間にSSLを構成するよう指定する場合は、trueを入力します。それ以外の場合は、falseを入力します。 デフォルト値: false ノート: SSLを構成してコネクタ・サーバーとの通信を保護することをお薦めします。SSLを構成する場合は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のコネクタ・サーバーとOIMのSSLの設定に関する項を参照してください。

コネクタ・サーバーのITリソースが作成されます。

2.2.4 コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成

Oracle Identity Governanceでは、リコンシリエーションおよびプロビジョニングの操作中にターゲット・システムに接続してアクセスするために、ターゲット・システムのユーザー・アカウントが必要です。このターゲット・システムのユーザー・アカウントは、コネクタ操作用の適切な権限を付与して作成する必要があります。

受信者(UserMailboxおよびMailUser)を管理するためにExchange 2016のサービス・アカウントに必要な最小権限は、次のとおりです。

サービス・アカウントは、Recipient Managementグループのメンバーである必要があります。

詳細は、https://docs.microsoft.com/en-us/Exchange/permissions/permissions?view=exchserver-2016を参照してください。

2.2.5 親アプリケーションの作成

Exchangeターゲット・システム用のアプリケーションを作成する前に、Oracle Identity Governanceで親アプリケーション(Microsoft Active Directoryターゲット・システム用のアプリケーション)を作成する必要があります。

Exchange用のアプリケーションの作成中に、この親アプリケーション(Microsoft Active Directory)を「基本情報」ページの「親アプリケーション名」ドロップダウンの値として指定する必要があります。そうすることで、新しいアプリケーション(Exchange用)はその親アプリケーション(Microsoft Active Directory)のすべてのプロパティを継承します。

親アプリケーションを作成する場合は、Oracle® Identity Governance Microsoft Active Directory User Managementアプリケーションの構成のMicrosoft Active Directory User Managementコネクタを使用したアプリケーションの作成に関する項を参照してください。

2.3 コネクタを使用したアプリケーションの作成

ターゲット・アプリケーションを作成することによって、コネクタ・パッケージからOracle Identity Governanceにアプリケーションをオンボードできます。これを行うには、Identity Self Serviceにログインして、「管理」タブで「アプリケーション」ボックスを選択する必要があります。

次に、コネクタを使用してアプリケーションを作成する手順の概要を示します。

ノート:

この手順の各ステップの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションの作成に関する項を参照してください。

1. Identity Self Serviceでアプリケーションを作成します。高度なステップは次のとおりです。
   1. システム管理アカウントまたはApplicationInstanceAdministrator管理ロールを持つアカウントを使用して、Identity Self Serviceにログインします。
   2. アプリケーションの作成時に「コネクタ・パッケージ」オプションが選択されている状態にします。
   3. 「親アプリケーション名」」ドロップダウンから、Microsoft Active Directoryターゲット・システム用に作成したアプリケーションを必ず選択します。「親アプリケーション名」ドロップダウンでの値の指定は必須です。この値によって、作成しようとしているExchangeアプリケーションが、親アプリケーションであるMicrosoft Active Directoryアプリケーションにリンクされるためです。
   4. 接続関連情報が含まれるように、基本構成パラメータを更新します。
   5. 必要に応じて拡張設定パラメータを更新し、コネクタ操作に関連する構成を更新します。
   6. デフォルトのユーザー・アカウントの属性マッピングを確認します。必要に応じて、新しい属性を追加したり、既存の属性を編集または削除できます。
      リモート・メールボックスのプロビジョニングを実行する場合は、Remote Routing Address属性とRecipient Type Details属性を既存の属性マッピングのリストに追加します。
   7. アプリケーションのプロビジョニング、リコンシリエーション、組織およびカタログの設定を確認し、必要に応じてカスタマイズします。たとえば、必要に応じてアプリケーションのデフォルトの相関ルールをカスタマイズできます。
   8. アプリケーションの詳細を確認し、「終了」をクリックしてアプリケーションの詳細を発行します。
      Oracle Identity Governanceでアプリケーションが作成されます。
   9. デフォルトのリクエスト・フォームを作成するかどうかの確認を求められたら、「はい」または「いいえ」をクリックします。
      「はい」をクリックすると、デフォルトのフォームが自動的に作成されて、新しく作成されたアプリケーションにアタッチされます。デフォルト・フォームは、アプリケーションと同じ名前で作成されます。デフォルト・フォームは、後から変更できません。そのため、これをカスタマイズする場合は、「いいえ」をクリックして、手動で新しいフォームを作成してアプリケーションにアタッチします。
2. Identity Self Serviceからログアウトしてログインし、新しく作成したアプリケーションに対するリコンシリエーション操作とプロビジョニング操作を確認します。

関連項目:

• Remote Routing Address属性とRecipient Type Details属性を追加して、Oracle Identity Governanceからのリモート・メールボックスのプロビジョニングをサポートする方法の詳細は、「AOBアプリケーションに対するリモート・メールボックスのプロビジョニングの設定」を参照してください

• 基本構成および拡張設定のパラメータ、デフォルトのユーザー・アカウント属性マッピング、デフォルトの相関ルール、およびこのコネクタ用に事前定義されているリコンシリエーション・ジョブの詳細は、「Microsoft Exchangeコネクタの構成」を参照してください

• デフォルトのフォームを作成しないことを選択した場合の新しいフォームの作成とそのアプリケーションへの関連付けの詳細は、「Oracle Identity Governanceの構成」を参照してください