4 SAP User Managementコネクタの構成後タスクの実行
これらは、Oracle Identity Governanceでアプリケーションを作成した後に実行できるタスクです。
4.1 ターゲット・システムでのポートの構成
ターゲット・システムとOracle Identity Governanceとの間の通信を有効にするポートを構成できます。
ターゲット・システムとOracle Identity Governance間の通信を可能にするためには、表4-1に示すポートが開いていることを確認する必要があります。
表4-1 SAPサービスのポート
サービス | ポート番号の形式 | デフォルト・ポート |
---|---|---|
ディスパッチャ |
32SYSTEM_NUMBER |
3200 |
ゲートウェイ(SNC以外の通信用) |
33SYSTEM_NUMBER |
3300 |
ゲートウェイ(SNC通信用) |
48SYSTEM_NUMBER |
4800 |
メッセージ・サーバー |
36SYSTEM_NUMBER |
3600 |
これらのポートが開いているかどうかをチェックするには、たとえば、Oracle Identity GovernanceからこれらのポートへのTelnet接続の確立を試みます。
4.2 ユーザー・パスワード変更を伝播できるようにするターゲット・システムの構成
この項では、ユーザー・パスワードの変更をSAP CUA親システムからその子システムへ伝播できるようなターゲット・システムの構成に関する手順について説明します。これらの手順のいくつかは、実行にSAP Basis管理者の支援が必要になる場合があります。
ターゲット・システムの構成には次のタスクがあります。
4.2.1 必要な情報の収集
ターゲット・システムを構成するには、次の情報が必要です。
ノート:
SAPのインストール時に、インストールが実行されているサーバーにシステム番号およびクライアント番号が割り当てられます。このような項目は、次のリストに示されています。
-
リクエストのインポートに必要な権限を持つ管理ユーザーのログインの詳細
-
リクエストがインポートされるサーバーのクライアント番号
-
システム番号
-
サーバーのIPアドレス
-
サーバー名
-
SAPアプリケーション・サーバーへの接続に使用されるアカウントのユーザーID
-
SAPアプリケーション・サーバーへの接続に使用されるアカウントのパスワード
4.2.2 BAPIF4T表へのエントリの作成
「ユーザー・グループ」フィールドは、SAPユーザーのデータを保持するフィールドの1つです。F4値は、リストに表示され選択できるフィールドの値です。「ユーザー・グループ」フィールドのF4値を表示するには、SM30トランザクションを実行して、BAPIF4T表にエントリを作成する必要があります。表のエントリに、データ要素としてXUCLASS、ファンクション名としてZXL_PARTNER_BAPI_F4_AUTHORITYが含まれていることを確認します。
4.2.3 リクエストのインポート
SAPシステムに次のカスタム・オブジェクトを作成するには、リクエストをインポートする必要があります。
オブジェクト・タイプ | オブジェクト名 |
---|---|
パッケージ |
ZXLC |
ファンクション・グループ |
ZXLCGRP ZXLCHLPVALUES ZXLCPRF ZXLCRL ZXLCUSR |
メッセージ・クラス |
ZXLCBAPI |
プログラム |
ZLCF4HLP_DATA_DEFINITIONS ZLCMS01CTCO ZLCMS01CTCO1 ZLCMS01CTP2 ZXLCGRP ZXLCHLPVALUES ZXLCPRF ZXLCRL ZXLCUSR |
検索ヘルプ |
ZXLC_ROLE ZXLC_SYS |
ビジネス・オブジェクト・タイプ |
ZXLCGRP ZXLCHLP ZXLCPRF ZXLCRL ZXLCUSR |
表 |
ZXLCBAPIMODE ZXLCBAPIMODM ZXLCGROUPS ZXLCPRF ZXLCROLE ZXLCSTRING ZXLCSYSNAME |
xlsapcar.sarファイルには、これらのオブジェクトの定義が含まれます。xlsapcar.sarファイルの内容で表されるリクエストをインポートすると、これらのオブジェクトは自動的にSAPに作成されます。この手順により、既存のSAPの構成が変更されることはありません。
リクエストをSAPにインポートするには、次のようにリクエスト・ファイルを抽出し、リクエスト・インポート操作を実行する必要があります。
4.3 Oracle Identity Governanceの構成
アプリケーションの作成時に、デフォルトのフォームを作成するように選択しなかった場合は、コネクタを使用して作成したアプリケーションのUIフォームを作成する必要があります。
ノート:
この項で説明されている手順は、アプリケーションの作成時にデフォルトのフォームを作成することを選択しなかった場合にのみ実行してください。4.3.1 サンドボックスの作成およびアクティブ化
カスタマイズおよびフォーム管理機能の使用を開始するには、サンドボックスを作成してアクティブにする必要があります。次に、サンドボックスを公開してそのカスタマイズを他のユーザーが使用できるようにします。
『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの作成およびサンドボックスのアクティブ化に関する項を参照してください。
4.3.2 UIフォームの新規作成
Oracle Identity System Administrationのフォーム・デザイナを使用して、アプリケーション・インスタンス・フォームを作成および管理できます。
『Oracle Fusion Middleware Oracle Identity Governanceの管理』のフォーム・デザイナを使用したフォームの作成に関する項を参照してください。
UIフォームを作成するときは、必ずそのフォームを関連付ける新規作成済アプリケーションに対応するリソース・オブジェクトを選択します。また、「権限フォームの生成」チェック・ボックスを選択します。
4.3.3 サンドボックスの公開
サンドボックスを公開する前に、ベスト・プラクティスとしてこの手順を実行し、このステージまでに行われたすべてのサンドボックスの変更を検証してください(サンドボックスを公開した後に変更を元に戻すことは難しいため)。
-
アイデンティティ・システム管理で、サンドボックスを非アクティブ化します。
-
アイデンティティ・システム管理をログアウトします。
-
xelsysadmユーザー資格証明を使用してIdentity Self Serviceにログインし、ステップ1で非アクティブ化したサンドボックスをアクティブ化します。
-
カタログで、リソースのアプリケーション・インスタンス・フォームが正しいフィールドとともに表示されていることを確認します。
-
サンドボックスを公開します。『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの公開に関する項を参照してください。
4.3.5 新規フォームによる既存アプリケーション・インスタンスの更新
Identity Self Serviceでアプリケーションのスキーマに行うすべての変更に対して、新しいUIフォームを作成し、アプリケーション・インスタンスでその変更を更新する必要があります。
新規フォームにより既存のアプリケーション・インスタンスを更新するには、次のようにします。
-
サンドボックスを作成してアクティブ化します。
-
リソースの新しいUIフォームを作成します。
-
既存のアプリケーション・インスタンスを開きます。
-
「フォーム」フィールドで、作成した新しいUIフォームを選択します。
-
アプリケーション・インスタンスを保存します。
-
サンドボックスを公開します。
関連項目:
-
『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの作成およびサンドボックスのアクティブ化に関する項
-
『Oracle Fusion Middleware Oracle Identity Governanceの管理』のフォーム・デザイナを使用したフォームの作成
-
『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの公開に関する項
4.4 権限および同期カタログの収集
権限の収集とカタログ同期化を行うには:
- 参照フィールド同期のスケジュール済ジョブを実行します。
- 権限リスト・スケジュール済ジョブを実行して、子プロセス・フォーム表から権限割当てスキーマを移入します。
- カタログ同期化ジョブ・スケジュール済ジョブを実行します。
関連項目:
-
権限に関するジョブのリスト(参照フィールド同期)は、「リコンシリエーション・ジョブ」を参照してください
-
権限リスト・スケジュール済ジョブおよびカタログ同期化ジョブ・スケジュール済ジョブの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』の事前定義済のスケジュール済タスクに関する項を参照してください
4.5 Oracle Identity Governanceでの拡張構成値の設定
アプリケーションを作成するとき、「拡張構成」の設定がOracle Identity Governanceに入力されます。
次の各項では、「拡張構成」のエントリについて説明します。
4.5.1 SAP HRMSとSAP ERPまたはSAP CUAアカウントのリンク
特定のユーザーに対して作成されたSAP HRMSアカウントは、同じユーザーに対して作成されたSAP ERPまたはSAP CUAアカウントにリンクできます。特定のユーザーに対し、SAP HRMSの属性は対応するSAP ERPまたはSAP CUAアカウントのユーザーIDを含みます。
「拡張設定」セクション次のパラメータを使用して、Oracle Identity Governanceでこのリンクを複製できます。
-
validatePERNR: 操作環境に複数のSAP HRMSインストールが含まれている場合、この値として
yes
を入力します。1つのSAP HRMSインストールしかない場合は、noを入力します。 -
overwriteLink: SAP内の既存のリンクをプロビジョニング操作で設定したもので上書きする場合、この値として
yes
を入力します。
次の各項では、リンクのプロセスについて詳しく説明します。
4.5.1.1 リンクのプロセスについて
特定のユーザーに対して作成されたSAP HRMSアカウントは、同じユーザーに対して作成されたSAP R/3またはSAP CUAアカウントにリンクできます。特定のユーザーに対し、SAP HRMSの属性は対応するSAP R/3またはSAP CUAアカウントのユーザーIDを含みます。
次の例は、リンク・プロセスの実行方法について説明しています。
-
SAP HRMSを使用した信頼できるソース・リコンシリエーションにより、OIMユーザー・レコードがユーザーJohn Doeに対して作成されます。作成中、ユーザーIDの値がレコードの「ユーザーID」および「従業員番号」属性に入力されます。
ノート:
「従業員番号」フィールドはOIMユーザー・フォームで非表示のUDFです。
-
JohnのSAP R/3またはSAP CUAアカウントをプロビジョニングするには、Oracle Identity System Administrationで必要なデータを入力して送信します。
-
コネクタはユーザーのSAP HRMSアカウントを探します。PERNR属性の値として
yes
を入力した場合、コネクタはSAP HRMSで「従業員番号」属性に対する一致をチェックします。 -
既存のSAP HRMSアカウントで一致が検出されると、コネクタは次のいずれかのステップを実行します。
-
overwriteLink拡張設定パラメータが
yes
の場合、コネクタはSAP R/3またはSAP CUAアカウントのユーザーIDの値をSAP HRMSアカウントの「通信」(0105) infotypeの0001サブタイプにポストします。これはinfotypeに値が含まれているかどうかに関係ありません。 -
overwriteLink拡張設定パラメータが
no
の場合、サブタイプに値が含まれていない場合にかぎり、コネクタはSAP R/3またはSAP CUAアカウントのユーザーIDの値をSAP HRMSアカウントの「通信」(0105) infotypeの0001サブタイプにポストします。
-
「リンクの作成」タスクは、「ユーザーの作成」プロビジョニング操作中に実行されるタスクのうちの1つです。必要に応じて、実行されるタスクのリストに表示されないように、このタスクを削除できます。この操作にはデザイン・コンソールを使用します。
4.6 SAP UMコネクタのロギングの管理
Oracle Identity GovernanceではOracle Diagnostic Logging (ODL)ロギング・サービスを使用して、コネクタに関連するすべてのタイプのイベントを記録します。
次のトピックでは、ロギングについて詳しく説明します。
4.6.1 ログ・レベルの理解
ロギングを有効化すると、Oracle Identity Governanceはプロビジョニング操作およびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。
ODLはOracle Identity Governanceにより原則的に使用されるロギング・サービスで、java.util.loggerに基づいています。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
-
SEVERE.intValue()+100
このレベルでは、致命的エラーに関する情報のロギングが有効化されます。
-
SEVERE
このレベルでは、Oracle Identity Governanceの実行を続行できる可能性があるエラーに関する情報のロギングが有効化されます。
-
WARNING
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
-
INFO
このレベルでは、アプリケーションの進行状況を示すメッセージのロギングが有効化されます。
-
CONFIG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
-
FINE、FINER、FINEST
これらのレベルでは詳細なイベントに関する情報のロギングが有効化され、FINESTではすべてのイベントに関する情報が記録されます。
これらのメッセージ・タイプは、表4-2に示すようなODLメッセージ・タイプとレベルの組合せにマップされます。
表4-2 ログ・レベルおよびODLメッセージ・タイプ: レベルの組合せ
Javaのレベル | ODLメッセージ・タイプ:レベル |
---|---|
SEVERE.intValue()+100 |
INCIDENT_ERROR:1 |
SEVERE |
ERROR:1 |
WARNING |
WARNING:1 |
INFO |
NOTIFICATION:1 |
CONFIG |
NOTIFICATION:16 |
FINE |
TRACE:1 |
FINER |
TRACE:16 |
FINEST |
TRACE:32 |
OJDLの構成ファイルはlogging.xmlであり、次のパスにあります。
DOMAIN_HOME/config/fmwconfig/servers/OIM_SERVER/logging.xml
ここで、DOMAIN_HOMEとOIM_SERVERは、それぞれOracle Identity Governanceのインストール時に指定されたドメイン名とサーバー名です。
4.6.2 ロギングの有効化
Oracle WebLogic Serverのロギングを有効化するには、次のようにします。
-
次のようにしてlogging.xmlファイルを編集します。
-
ファイル内に次のブロックを追加します。
<log_handler name='sap-handler' level='[LOG_LEVEL]' class='oracle.core.ojdl.logging.ODLHandlerFactory'> <property name='logreader:' value='off'/> <property name='path' value='[FILE_NAME]'/> <property name='format' value='ODL-Text'/> <property name='useThreadName' value='true'/> <property name='locale' value='en'/> <property name='maxFileSize' value='5242880'/> <property name='maxLogSize' value='52428800'/> <property name='encoding' value='UTF-8'/> </log_handler>
<logger name="ORG.IDENTITYCONNECTORS.SAP" level="[LOG_LEVEL]" useParentHandlers="false"> <handler name="sap-handler"/> <handler name="console-handler"/> </logger>
SAP GRCを使用している場合、次のブロックを追加します。
<logger name="ORG.IDENTITYCONNECTORS.SAPAC" level="[Log_LEVEL]" useParentHandlers="false"> <handler name="sap-handler"/> <handler name="console-handler"/> </logger>
アプリケーション・オンボードを使用している場合、次のブロックを追加します。
<logger name='oracle.iam.application' level="[Log_LEVEL]" useParentHandlers='false'> <handler name='sap-handler'/> <handler name='console-handler'/> </logger>
-
2箇所の[LOG_LEVEL]を、必要なODLのメッセージ・タイプとレベルの組合せで置き換えます。表4-2に、サポートされているメッセージ・タイプとレベルの組合せを示します。
同様に、記録されるメッセージをロギングするログ・ファイルのフルパスと名前で、[FILE_NAME]を置き換えます。
次のブロックは、[LOG_LEVEL]および[FILE_NAME]のサンプル値を示しています。
<log_handler name='sap-handler' level='NOTIFICATION:1' class='oracle.core.ojdl.logging.ODLHandlerFactory'> <property name='logreader:' value='off'/> <property name='path' value='F:\MyMachine\middleware\user_projects\domains\base_domain1\servers\oim_server1\logs\oim_server1-diagnostic-1.log'/> <property name='format' value='ODL-Text'/> <property name='useThreadName' value='true'/> <property name='locale' value='en'/> <property name='maxFileSize' value='5242880'/> <property name='maxLogSize' value='52428800'/> <property name='encoding' value='UTF-8'/> </log_handler>
<logger name="ORG.IDENTITYCONNECTORS.SAP" level="NOTIFICATION:1" useParentHandlers="false"> <handler name="sap-handler"/> <handler name="console-handler"/> </logger>
SAP GRCを使用している場合、次のブロックを追加します。
<logger name="ORG.IDENTITYCONNECTORS.SAPAC" level="NOTIFICATION:1" useParentHandlers="false"> <handler name="sap-handler"/> <handler name="console-handler"/> </logger>
アプリケーション・オンボードを使用している場合、次のブロックを追加します。
<logger name='oracle.iam.application' level="NOTIFICATION:1" useParentHandlers='false'> <handler name='sap-handler'/> <handler name='console-handler'/> </logger> </logger>
これらのサンプル値を設定してOracle Identity Governanceを使用すると、このコネクタについて生成される、ログ・レベルがNOTIFICATION:1レベル以上のすべてのメッセージが指定のファイルに記録されます。
-
-
ファイルを保存して閉じます。
-
サーバー・ログをファイルにリダイレクトするには、次の環境変数を設定します。
Microsoft Windowsの場合:
set WLS_REDIRECT_LOG=FILENAME
UNIXの場合:
export WLS_REDIRECT_LOG=FILENAME
FILENAMEを、出力のリダイレクト先ファイルの場所と名前に置き換えます。
-
アプリケーション・サーバーを再起動します。
ノート:
Oracle Identity Governanceクラスタで、クラスタのノードごとにこのステップを実行します。4.7 コネクタのAccess Request Management機能の構成
Access Request Managementは、SAP GRCスイート内のモジュールです。SAP環境では、アカウントの作成および変更のプロビジョニング・リクエストを受信するフロント・エンドとしてAccess Request Managementを設定できます。Access Request Managementでは、これらのリクエストを処理するワークフローを構成することが可能で、承認者として指定されたユーザーがこれらのリクエストを処理します。
Oracle Identity Governanceは、SAP GRC Access Request Managementに送信するための媒体としてプロビジョニング・リクエストを構成できます。Oracle Identity GovernanceからのリクエストはAccess Request Managementに送信され、そこからリクエストに含まれているプロビジョニング・データがターゲット・システム(SAP ERPまたはSAP CUA)に転送されます。結果として、ターゲット・システムでユーザー・アカウントが作成または変更されます。
ノート:
Access Request Management機能を構成する前に、「デプロイメント構成の使用に関するガイドライン」に記載されているガイドラインを参照することをお薦めします
Access Request Management機能の構成の詳細は、「SAP GRC Access Request Managementでのリクエスト・タイプおよびワークフローの構成」を参照してください。
4.8 SoD (職務の分離)の構成
SoDは、1ユーザーにビジネス・プロセスの1モジュールのみのアクセス権を与えて、不正やエラーのリスクを減らすために、他のモジュールにアクセスできないようにするためのプロセスです。
この項では、次の手順について説明します。
ノート:
ALL USERSグループには、UD_SAP、UD_SAPRLおよびUD_SPUM_PROプロセス・フォームに対するINSERT、UPDATEおよびDELETE権限があります。これは次のプロセスを有効にするために必要です。
権限リクエストのSoD検証では、データはまずダミー・オブジェクト・フォームからダミー・プロセス・フォームに移されます。そのフォームからデータが検証のためにSoDエンジンに送信されます。リクエストがSoD検証をクリアすると、データがダミー・プロセス・フォームから実際のプロセス・フォームに移されます。データはAPIを介して実際のプロセス・フォームに移されるため、ALL USERSグループには3つのプロセス・フォームに対するINSERT、UPDATEおよびDELETE権限が必要です。
4.8.1 GRC-ITRes ITリソースの値の指定
GRC-ITRes ITリソースには、SAP GRC Access Request Managementとの通信中に使用される情報が含まれています。このITリソースのパラメータに値を設定するには:
-
Oracle Identity Governance 12.2.1.3.0の場合は、Oracle Identity System Administrationにログインします。
-
左ペインの「構成」で、「ITリソース」をクリックします。
-
「ITリソースの管理」ページの「ITリソース名」フィールドに
GRC-ITRes
と入力して、「検索」をクリックします。 -
ITリソースの編集アイコンをクリックします。
-
ページ上部のリストから、「詳細およびパラメータ」を選択します。
-
ITリソースのパラメータの値を指定します。
表4-3に、GRC-ITRes ITリソースのパラメータを示します。
表4-3 GRC-ITRes ITリソースのパラメータ
パラメータ 説明 language
ターゲット・システムで設定された言語を表す2文字のコードを入力します。
サンプル値:
EN
コネクタ・サーバー名
Connector ServerタイプのITリソースの名前。Connector ServerのITリソースは、
「コネクタ・サーバーのITリソースの構成」で作成します。
ノート: このパラメータの値を入力するのは、SAPユーザー管理コネクタをコネクタ・サーバーにデプロイした場合のみです。
password
Access Request Managementシステムで作成されたアカウントのパスワードを入力します。
port
Access Request Managementシステムがリスニングしているポートの番号を入力します。
サンプル値:
8090
server
Access Request Managementシステムがリスニングしているホスト・コンピュータのIPアドレスを入力します。
サンプル値:
10.231.231.231
username
Access Request Managementシステムで作成されたアカウントのユーザー名を入力します。このアカウントは、リクエスト検証中に使用されるAccess Request ManagementシステムAPIをコールするために使用されます。
サンプル値:
jdoe
-
「更新」をクリックして、値を保存します。
4.8.2 SAP GRCをSoDエンジンとして機能させるための構成
SoDエンジンとして機能するようにSAP GRCを構成するには、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド 11gリリース1 (11.1.2)』の職務の分離の使用に関する項を参照してください。
4.8.3 Lookup.SAPABAP.System参照定義で作成したエンティティの検証
参照フィールドの同期を実行するときに、Lookup.SAPABAP.System参照定義に自動的にシステム名が移入されます。同期後、この参照定義を開き、SoD検証プロセスに使用するシステム用のエントリのみがこの表に含まれていることを確認する必要があります。
4.8.4 TopologyName基本構成パラメータの値の指定
TopologyName ITリソース・パラメータには、SoD検証のために使用する次の要素を組み合せた名前を指定します。
-
Oracle Identity Governanceインストール
-
SAP GRCインストール
-
SAP ERPインストール
sodgrcをTopologyNameパラメータの値として入力します。
この要素の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド 11gリリース1 (11.1.2.0)』の職務の分離の使用に関する項を参照してください。
基本構成のパラメータに値を指定する方法の詳細は、「基本構成パラメータ」を参照してください。
4.8.5 SoDの無効化および有効化
この項では、Oracle Identity GovernanceでSoDを無効化および有効化する手順を説明します。
4.8.5.1 Oracle Identity GovernanceでのSoDの無効化
SoDを無効化するには、次のようにします。
-
Oracle Identity Governanceリリース12.2.1.3.0の場合は、Oracle Identity System Administrationにログインします。
-
左ペインの「システム管理」の下で、「システム構成」をクリックします。
-
「システム構成の検索」ボックスに
XL.SoDCheckRequired
と入力し、「検索」をクリックします。検索基準に一致するリストが検索結果表に表示されます。
-
XL.SoDCheckRequiredプロパティ名をクリックします。
SoDのシステム・プロパティが右側のペインに表示されます。
-
「値」ボックスに
FALSE
と入力し、SoDを無効化します。 -
「保存」をクリックします。
-
Oracle Identity Governanceを再起動します。
4.8.5.2 Oracle Identity GovernanceでのSoDの有効化
SoDを有効化するには、次のようにします。
-
Oracle Identity Governanceリリース12.2.1.3.0の場合は、Oracle Identity System Administrationにログインします。
-
左ペインの「システム管理」の下で、「システム構成」をクリックします。
-
「システム構成の検索」ボックスに
XL.SoDCheckRequired
と入力し、「検索」をクリックします。検索基準に一致するリストが検索結果表に表示されます。
-
XL.SoDCheckRequiredプロパティ名をクリックします。
SoDのシステム・プロパティが右側のペインに表示されます。
-
「値」ボックスに
TRUE
と入力し、SoDを有効化します。 -
「保存」をクリックします。
-
Oracle Identity Governanceを再起動します。
4.9 Oracle Identity Governanceとターゲット・システム間の通信を保護するSNCの構成
Oracle Identity GovernanceはJavaアプリケーション・サーバーを使用します。SAPシステム・アプリケーション・サーバーに接続するために、このJavaアプリケーション・サーバーがSAP Javaコネクタ(JCo).を使用します必要に応じて、Secure Network Communication (SNC)を使用してOracle Identity GovernanceとSAPシステムとの間の通信を保護できます。
この項では、次のトピックについて説明します。
4.9.1 SNCを使用するためのコネクタの構成の前提条件
SNCを使用するためにコネクタを構成する前提条件は、次のとおりです。
-
SNCは、SAPアプリケーション・サーバーでアクティブである必要があります。
-
SNCインフラストラクチャに精通している必要があります。また、アプリケーション・サーバーでSNCに使用するPersonal Security Environment(PSE)を把握しておく必要があります。
4.9.2 セキュリティ・パッケージのインストール
Oracle Identity Governanceで使用されるJavaアプリケーション・サーバーでセキュリティ・パッケージをインストールするには、次のようにします。
4.9.3 SNCの構成
SNCを構成するには:
-
PSEを作成するか、SAPアプリケーション・サーバーのSNC PSEをSECUDIRディレクトリにコピーします。Javaアプリケーション・サーバーのSNC PSEを作成するには、次のようにsapgenpse.exeコマンドライン・ツールを使用します。
-
SECUDIRディレクトリの場所を特定するには、コマンド・オプションを指定せずにsapgenpseコマンドを実行します。SECUDIRディレクトリのライブラリ・バージョンや場所などの情報が表示されます。
-
次のようなコマンドを入力してPSEを作成します。
sapgenpse get_pse -p PSE_Name -x PIN Distinguished_Name
サンプルの識別名を次に示します。
CN=SAPJ2EE, O=MyCompany, C=US
sapgenpseコマンドにより、PSEがSECUDIRディレクトリに作成されます。
-
-
Javaアプリケーション・サーバーの資格証明を作成します。
Javaアプリケーション・サーバーには、PSEにアクセスするために実行時にアクティブな資格証明が必要です。この条件を満たしているかどうかを確認するには、次のコマンドをSECUDIRディレクトリの親ディレクトリに入力します。
Sapgenpse seclogin
次に、次のコマンドを入力してサーバーのPSEを開き、credentials.sapgenpseファイルを作成します。
seclogin -p PSE_Name -x PIN -O [NT_Domain\]user_ID
指定する
user_ID
には、管理者権限が必要です。PSE_NAME
は、PSEファイルの名前です。-O
オプションで指定されたユーザーの資格証明ファイルcred_v2がSECUDIRディレクトリに作成されます。 -
次のようにして、2つのサーバーの公開キー証明書を交換します。
ノート:
SAPサーバーの証明書ごとに個別のPSEを使用する場合は、SAPサーバーの証明書ごとにこの手順を1回実行する必要があります。つまり、この手順を実行する回数はPSEの数と同じです。
-
次のコマンドを入力してOracle Identity Governance証明書をエクスポートします。
sapgenpse export_own_cert -o filename.crt -p PSE_Name -x PIN
-
Oracle Identity Governanceの証明書をSAPアプリケーション・サーバーにインポートします。このステップの実行には、SAP管理者の支援が必要になる場合があります。
次のいずれかの方法を使用して、SAPアプリケーション・サーバーにSNCを設定します。- 証明書マッピングまたはユーザー・マッピング
- ルール・ベースの証明書マッピング
各ユーザーを証明書にマップせず、バッチ処理を使用する場合は、一般的なルールベースの証明書マッピングを定義して、NetWeaverマップ・ユーザー証明書を自動的に有効にします。
-
SAPアプリケーション・サーバーの証明書をエクスポートします。このステップの実行には、SAP管理者の支援が必要になる場合があります。
-
次のコマンドを入力してSAPアプリケーション・サーバーの証明書をOracle Identity Governanceにインポートします。
sapgenpse maintain_pk -a serverCertificatefile.crt -p PSE_Name -x PIN
-
-
SAP UM ITResource ITリソース・オブジェクトの次のパラメータを構成します。
-
SAP lib
-
SAP mode
-
SAP myname
-
SAP partnername
-
SAP qop
-
4.10 コネクタ・サーバーのITリソースの構成
コネクタ・サーバーを使用した場合は、コネクタ・サーバーITリソースのパラメータの値を構成する必要があります。
表4-4 SAP UMコネクタ・サーバーのITリソースのパラメータ
パラメータ | 説明 |
---|---|
ホスト |
コネクタ・サーバーのホスト・コンピュータのホスト名またはIPアドレスを入力します。 サンプル値: |
キー |
コネクタ・サーバーのキーを入力します。 |
ポート |
コネクタ・サーバーがリスニングしているポートの番号を入力します。 デフォルト値: |
タイムアウト |
コネクタ・サーバーとOracle Identity Governanceの間の接続がタイムアウトになるまでの時間(ミリ秒)を指定する整数値を入力します。 値が0の場合、または値を指定しない場合、タイムアウトは無制限です。 推奨値: |
UseSSL |
Oracle Identity Governanceとコネクタ・サーバーとの間にSSLを構成するよう指定する場合は、 デフォルト値: ノート: SSLを構成してコネクタ・サーバーとの通信を保護することをお薦めします。SSLを構成するには、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のJavaコネクタ・サーバーのSSLの構成に関する項を参照してください。 |
4.11 SAP GRCからのWSDLファイルのダウンロード
SAP GRC 10以降では、Webサービスを構成する前にSAP GRCからWSDLファイルをダウンロードする必要があります。
コネクタはBasic認証しかポートしないため、OIGでサポートされている次のWebサービスではユーザーID/パスワードのチェック・ボックスを選択します。
WSDL | 説明 |
---|---|
GRAC_AUDIT_LOGS_WS |
監査ログWebサービス |
GRAC_LOOKUP_WS |
検索サービス |
GRAC_REQUEST_STATUS_WS |
リクエスト・ステータスWebサービス |
GRAC _RISK_ANALYSIS_WOUT_NO_WS |
リクエスト番号のないリスク分析ノート: このWSDLの場合、ReportFormatはSP17以降で必須フィールドです。 |
GRAC_SELECT_APPL_WS |
アプリケーションWebサービスを選択 |
GRAC_USER_ACCES_WS |
ユーザー・アクセス・リクエスト・サービス |
GRAC_SEARCH_ROLES_W |
ロールWebサービスを検索 |
WSDLをダウンロードするときには、必ずSOA管理ページで示されているのと同じ名前で保存してください。また、WSDLファイルを格納するフォルダに読取り権限があることを確認してください。
4.12 UIフォームにおけるフィールド・ラベルのローカライズ
使用する言語に対応するリソース・バンドルを使用して、UIフォーム・フィールド・ラベルをローカライズできます。リソース・バンドルはコネクタ・インストール・メディアに用意されています。
UIフォームに追加されるフィールド・ラベルをローカライズするには、次のようにします。
-
Oracle Enterprise Managerにログインします。
-
左側のペインで、「アプリケーションのデプロイ」を開き、oracle.iam.console.identity.sysadmin.earを選択します。
-
右側のペインで、「アプリケーションのデプロイ」リストから、「MDS構成」を選択します。
-
「MDS構成」ページで、「エクスポート」をクリックして、ローカル・コンピュータにアーカイブ(oracle.iam.console.identity.sysadmin.ear_V2.0_metadata.zip)を保存します。
-
アーカイブの内容を抽出し、テキスト・エディタで次のいずれかのファイルを開きます。
SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle_en.xlf
ノート:
ターゲット・システムのアプリケーションの作成を完了するか、UDFの作成などのカスタマイズを実行する場合を除いて、BizEditorBundle.xlfを表示することはできません。 -
BizEditorBundle.xlfファイルを次の方法で編集します。
-
次のテキストを検索します。
<file source-language="en" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
-
次のテキストで置き換えます。
<file source-language="en" target-language="LANG_CODE" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
このテキストのLANG_CODEを、フォーム・フィールド・ラベルをローカライズする言語のコードに置き換えます。フォーム・フィールド・ラベルを日本語でローカライズする場合の値の例を次に示します。
<file source-language="en" target-language="ja" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
-
アプリケーション・インスタンスのコードを検索します。この手順では、SAP User Managementアプリケーション・インスタンス用の編集サンプルを示します。元のコードは次のとおりです。
<trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_SAP_TITLE__c_description']}"> <source>Title</source> </target> </trans-unit> <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.umform.entity.umformEO.UD_SAP_TITLE__c_LABEL"> <source>Title</source> </target> </trans-unit>
-
コネクタ・パッケージに入っているリソース・ファイル(たとえば、SAPUM_ja.properties)を開き、そのファイルの属性の値を取得します。たとえば、global.udf.UD_SAP_TITLE = \u5F79\u8077。
-
ステップ6.bに示されている元のコードを、次のものに置き換えます。
<trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_SAP_TITLE__c_description']}"> <source>Title</source> <target>\u5F79\u8077</target> </trans-unit> <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.umform.entity.umformEO.UD_SAP_TITLE__c_LABEL"> <source>Title</source> <target>\u5F79\u8077</target> </trans-unit>
-
プロセス・フォームのすべての属性に対し、ステップ6.aから6.dを繰り返します。
-
ファイルをBizEditorBundle_LANG_CODE.xlfとして保存します。このファイル名のLANG_CODEを、ローカライズしている言語のコードに置き換えます。
サンプル・ファイル名: BizEditorBundle_ja.xlf.
-
-
ZIPファイルを再パッケージしてMDSにインポートします。
関連項目:
メタデータ・ファイルのエクスポートおよびインポートの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのカスタマイズのデプロイおよびアンデプロイを参照してください。
-
Oracle Identity Governanceからログアウトしてから、ログインします。