4 SAP User Managementコネクタの構成後タスクの実行

これらは、Oracle Identity Governanceでアプリケーションを作成した後に実行できるタスクです。

• ターゲット・システムでのポートの構成

• ユーザー・パスワード変更を伝播できるようにするターゲット・システムの構成

• Oracle Identity Governanceの構成

• 権限および同期カタログの収集

• Oracle Identity Governanceでの拡張構成値の設定

• SAP UMコネクタのロギングの管理

• SoD (職務の分離)の構成

• コネクタのAccess Request Management機能の構成

• Oracle Identity Governanceとターゲット・システム間の通信を保護するSNCの構成

• コネクタ・サーバーのITリソースの構成

• SAP GRCからのWSDLファイルのダウンロード

• UIフォームにおけるフィールド・ラベルのローカライズ

• SAPUMプロセス・フォームのフィールド長とターゲットのフィールド長の同期の必要性

4.1 ターゲット・システムでのポートの構成

ターゲット・システムとOracle Identity Governanceとの間の通信を有効にするポートを構成できます。

ターゲット・システムとOracle Identity Governance間の通信を可能にするためには、表4-1に示すポートが開いていることを確認する必要があります。

表4-1 SAPサービスのポート

サービス	ポート番号の形式	デフォルト・ポート
ディスパッチャ	32SYSTEM_NUMBER	3200
ゲートウェイ(SNC以外の通信用)	33SYSTEM_NUMBER	3300
ゲートウェイ(SNC通信用)	48SYSTEM_NUMBER	4800
メッセージ・サーバー	36SYSTEM_NUMBER	3600

これらのポートが開いているかどうかをチェックするには、たとえば、Oracle Identity GovernanceからこれらのポートへのTelnet接続の確立を試みます。

4.2 ユーザー・パスワード変更を伝播できるようにするターゲット・システムの構成

この項では、ユーザー・パスワードの変更をSAP CUA親システムからその子システムへ伝播できるようなターゲット・システムの構成に関する手順について説明します。これらの手順のいくつかは、実行にSAP Basis管理者の支援が必要になる場合があります。

ターゲット・システムの構成には次のタスクがあります。

• 必要な情報の収集

• BAPIF4T表へのエントリの作成

• リクエストのインポート

4.2.1 必要な情報の収集

ターゲット・システムを構成するには、次の情報が必要です。

ノート:

SAPのインストール時に、インストールが実行されているサーバーにシステム番号およびクライアント番号が割り当てられます。このような項目は、次のリストに示されています。

• リクエストのインポートに必要な権限を持つ管理ユーザーのログインの詳細

• リクエストがインポートされるサーバーのクライアント番号

• システム番号

• サーバーのIPアドレス

• サーバー名

• SAPアプリケーション・サーバーへの接続に使用されるアカウントのユーザーID

• SAPアプリケーション・サーバーへの接続に使用されるアカウントのパスワード

4.2.2 BAPIF4T表へのエントリの作成

「ユーザー・グループ」フィールドは、SAPユーザーのデータを保持するフィールドの1つです。F4値は、リストに表示され選択できるフィールドの値です。「ユーザー・グループ」フィールドのF4値を表示するには、SM30トランザクションを実行して、BAPIF4T表にエントリを作成する必要があります。表のエントリに、データ要素としてXUCLASS、ファンクション名としてZXL_PARTNER_BAPI_F4_AUTHORITYが含まれていることを確認します。

4.2.3 リクエストのインポート

SAPシステムに次のカスタム・オブジェクトを作成するには、リクエストをインポートする必要があります。

オブジェクト・タイプ	オブジェクト名
パッケージ	ZXLC
ファンクション・グループ	ZXLCGRP ZXLCHLPVALUES ZXLCPRF ZXLCRL ZXLCUSR
メッセージ・クラス	ZXLCBAPI
プログラム	ZLCF4HLP_DATA_DEFINITIONS ZLCMS01CTCO ZLCMS01CTCO1 ZLCMS01CTP2 ZXLCGRP ZXLCHLPVALUES ZXLCPRF ZXLCRL ZXLCUSR
検索ヘルプ	ZXLC_ROLE ZXLC_SYS
ビジネス・オブジェクト・タイプ	ZXLCGRP ZXLCHLP ZXLCPRF ZXLCRL ZXLCUSR
表	ZXLCBAPIMODE ZXLCBAPIMODM ZXLCGROUPS ZXLCPRF ZXLCROLE ZXLCSTRING ZXLCSYSNAME

xlsapcar.sarファイルには、これらのオブジェクトの定義が含まれます。xlsapcar.sarファイルの内容で表されるリクエストをインポートすると、これらのオブジェクトは自動的にSAPに作成されます。この手順により、既存のSAPの構成が変更されることはありません。

リクエストをSAPにインポートするには、次のようにリクエスト・ファイルを抽出し、リクエスト・インポート操作を実行する必要があります。

1. SAPCARユーティリティを使用して、"xlsapcar.sar"から次の名前でcofileとデータ・ファイルを抽出します。

   xlsapcar.sar file location <Connecter Binaries>/sar

   • K900397.G10

   • R900397.G10

2. 親と子の両方のSAPシステムにリクエストをインポートします。

   ノート:

   トランスポート・リクエストをインポートした後、子システムでCUAの構成中に保持されるユーザー詳細に次の認可があることを確認します。ユーザー詳細は、CUAのWE20で構成されているパートナ・プロファイルから確認できます。
   認可オブジェクトS_RFCの場合:

   • ACTVT: 16
   • RFC_NAME: ZXLCRFC_ZXLCUSR_PW_CHANG
   • RFC_TYPE: FUNC

4.3 Oracle Identity Governanceの構成

アプリケーションの作成時に、デフォルトのフォームを作成するように選択しなかった場合は、コネクタを使用して作成したアプリケーションのUIフォームを作成する必要があります。

ノート:

この項で説明されている手順は、アプリケーションの作成時にデフォルトのフォームを作成することを選択しなかった場合にのみ実行してください。

次の項では、Oracle Identity Governanceを構成する手順を示します。

• サンドボックスの作成およびアクティブ化

• UIフォームの新規作成

• サンドボックスの公開

• アプリケーション・インスタンスの作成

• 新規フォームによる既存アプリケーション・インスタンスの更新

4.3.1 サンドボックスの作成およびアクティブ化

カスタマイズおよびフォーム管理機能の使用を開始するには、サンドボックスを作成してアクティブにする必要があります。次に、サンドボックスを公開してそのカスタマイズを他のユーザーが使用できるようにします。

『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの作成およびサンドボックスのアクティブ化に関する項を参照してください。

4.3.2 UIフォームの新規作成

Oracle Identity System Administrationのフォーム・デザイナを使用して、アプリケーション・インスタンス・フォームを作成および管理できます。

『Oracle Fusion Middleware Oracle Identity Governanceの管理』のフォーム・デザイナを使用したフォームの作成に関する項を参照してください。

UIフォームを作成するときは、必ずそのフォームを関連付ける新規作成済アプリケーションに対応するリソース・オブジェクトを選択します。また、「権限フォームの生成」チェック・ボックスを選択します。

4.3.3 サンドボックスの公開

サンドボックスを公開する前に、ベスト・プラクティスとしてこの手順を実行し、このステージまでに行われたすべてのサンドボックスの変更を検証してください(サンドボックスを公開した後に変更を元に戻すことは難しいため)。

1. アイデンティティ・システム管理で、サンドボックスを非アクティブ化します。

2. アイデンティティ・システム管理をログアウトします。

3. xelsysadmユーザー資格証明を使用してIdentity Self Serviceにログインし、ステップ1で非アクティブ化したサンドボックスをアクティブ化します。

4. カタログで、リソースのアプリケーション・インスタンス・フォームが正しいフィールドとともに表示されていることを確認します。

5. サンドボックスを公開します。『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの公開に関する項を参照してください。

4.3.4 アプリケーション・インスタンスの作成

次のように、アプリケーション・インスタンスを作成します。

1. アイデンティティ・システム管理の左ペインの「構成」で、「アプリケーション・インスタンス」をクリックします。「アプリケーション・インスタンス」ページが表示されます。
2. 「アクション」メニューから、「作成」を選択します。または、ツールバーにある「作成」をクリックします。「アプリケーション・インスタンスの作成」ページが表示されます。
3. 次のフィールドの値を指定します。

   • 名前: アプリケーション・インスタンスの名前。

   • 表示名: アプリケーション・インスタンスの表示名。

   • 説明: アプリケーション・インスタンスの説明。

   • リソース・オブジェクト: リソース・オブジェクト名。このフィールドの横にある検索アイコンをクリックし、「SAP UM Resource Object」を検索して選択します。

   • ITリソース・インスタンス: ITリソース・インスタンス名。このフィールドの横にある検索アイコンをクリックし、「SAP UM IT Resource」を検索して選択します。

   • フォーム: フォーム名を選択します(「UIフォームの新規作成」)。

4. 「保存」をクリックします。
   アプリケーション・インスタンスが作成されます。
5. アプリケーション・インスタンスを組織に公開して、アプリケーション・インスタンスのリクエストとそれに続くユーザーへのプロビジョニングを可能にします。詳しい手順は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のアプリケーション・インスタンスに関連付けられた組織の管理を参照してください。

4.3.5 新規フォームによる既存アプリケーション・インスタンスの更新

Identity Self Serviceでアプリケーションのスキーマに行うすべての変更に対して、新しいUIフォームを作成し、アプリケーション・インスタンスでその変更を更新する必要があります。

新規フォームにより既存のアプリケーション・インスタンスを更新するには、次のようにします。

1. サンドボックスを作成してアクティブ化します。

2. リソースの新しいUIフォームを作成します。

3. 既存のアプリケーション・インスタンスを開きます。

4. 「フォーム」フィールドで、作成した新しいUIフォームを選択します。

5. アプリケーション・インスタンスを保存します。

6. サンドボックスを公開します。

関連項目:

• 『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの作成およびサンドボックスのアクティブ化に関する項

• 『Oracle Fusion Middleware Oracle Identity Governanceの管理』のフォーム・デザイナを使用したフォームの作成

• 『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの公開に関する項

4.4 権限および同期カタログの収集

権限の収集とカタログ同期化を行うには:

1. 参照フィールド同期のスケジュール済ジョブを実行します。
2. 権限リスト・スケジュール済ジョブを実行して、子プロセス・フォーム表から権限割当てスキーマを移入します。
3. カタログ同期化ジョブ・スケジュール済ジョブを実行します。

関連項目:

• 権限に関するジョブのリスト(参照フィールド同期)は、「リコンシリエーション・ジョブ」を参照してください

• 権限リスト・スケジュール済ジョブおよびカタログ同期化ジョブ・スケジュール済ジョブの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』の事前定義済のスケジュール済タスクに関する項を参照してください

4.5 Oracle Identity Governanceでの拡張構成値の設定

アプリケーションを作成するとき、「拡張構成」の設定がOracle Identity Governanceに入力されます。 

次の各項では、「拡張構成」のエントリについて説明します。

• SAP HRMSとSAP ERPまたはSAP CUAアカウントのリンク

• 新たに作成したアカウントのパスワード変更の構成

4.5.1 SAP HRMSとSAP ERPまたはSAP CUAアカウントのリンク

特定のユーザーに対して作成されたSAP HRMSアカウントは、同じユーザーに対して作成されたSAP ERPまたはSAP CUAアカウントにリンクできます。特定のユーザーに対し、SAP HRMSの属性は対応するSAP ERPまたはSAP CUAアカウントのユーザーIDを含みます。

「拡張設定」セクション次のパラメータを使用して、Oracle Identity Governanceでこのリンクを複製できます。

• validatePERNR: 操作環境に複数のSAP HRMSインストールが含まれている場合、この値としてyesを入力します。1つのSAP HRMSインストールしかない場合は、noを入力します。

• overwriteLink: SAP内の既存のリンクをプロビジョニング操作で設定したもので上書きする場合、この値としてyesを入力します。

次の各項では、リンクのプロセスについて詳しく説明します。

• リンクのプロセスについて

• SAP HRMSとSAP R/3またはSAP CUAアカウントのリンクの有効化

4.5.1.1 リンクのプロセスについて

特定のユーザーに対して作成されたSAP HRMSアカウントは、同じユーザーに対して作成されたSAP R/3またはSAP CUAアカウントにリンクできます。特定のユーザーに対し、SAP HRMSの属性は対応するSAP R/3またはSAP CUAアカウントのユーザーIDを含みます。

次の例は、リンク・プロセスの実行方法について説明しています。

1. SAP HRMSを使用した信頼できるソース・リコンシリエーションにより、OIMユーザー・レコードがユーザーJohn Doeに対して作成されます。作成中、ユーザーIDの値がレコードの「ユーザーID」および「従業員番号」属性に入力されます。

   ノート:

   「従業員番号」フィールドはOIMユーザー・フォームで非表示のUDFです。

2. JohnのSAP R/3またはSAP CUAアカウントをプロビジョニングするには、Oracle Identity System Administrationで必要なデータを入力して送信します。

3. コネクタはユーザーのSAP HRMSアカウントを探します。PERNR属性の値としてyesを入力した場合、コネクタはSAP HRMSで「従業員番号」属性に対する一致をチェックします。

4. 既存のSAP HRMSアカウントで一致が検出されると、コネクタは次のいずれかのステップを実行します。

   • overwriteLink拡張設定パラメータがyesの場合、コネクタはSAP R/3またはSAP CUAアカウントのユーザーIDの値をSAP HRMSアカウントの「通信」(0105) infotypeの0001サブタイプにポストします。これはinfotypeに値が含まれているかどうかに関係ありません。

   • overwriteLink拡張設定パラメータがnoの場合、サブタイプに値が含まれていない場合にかぎり、コネクタはSAP R/3またはSAP CUAアカウントのユーザーIDの値をSAP HRMSアカウントの「通信」(0105) infotypeの0001サブタイプにポストします。

「リンクの作成」タスクは、「ユーザーの作成」プロビジョニング操作中に実行されるタスクのうちの1つです。必要に応じて、実行されるタスクのリストに表示されないように、このタスクを削除できます。この操作にはデザイン・コンソールを使用します。

4.5.1.2 SAP HRMSとSAP R/3またはSAP CUAアカウントのリンクの有効化

SAP HRMSとSAP R/3またはSAP CUAアカウントのリンクを有効にするには、次のステップを実行します。

1. デザイン・コンソールで、「プロセス管理」を展開してから、「プロセス定義」をダブルクリックします。
2. SAP UMプロセス・フォームを検索して開きます。
3. 「ユーザーの作成」タスクをダブルクリックして、「タスクの編集: ユーザーの作成」ダイアログ・ボックスを開きます。
4. 次のスクリーンショットに表示されているように、「レスポンス」タブで、SUCCESSレスポンスを選択します。
   
   図link_ac1.gifの説明
5. 「割当て」をクリックします。
6. 次のスクリーンショットに表示されているように、新しいダイアログ・ボックスで、「リンクの作成」タスクを選択します。
   
   図link_ac2.gifの説明
7. 次のスクリーンショットに表示されているように、「リンクの作成」タスクがSUCCESSレスポンスの生成するタスク領域に表示されます。
   
   図link_ac3.gifの説明
8. 変更内容を保存してダイアログ・ボックスを閉じます。

4.5.2 新たに作成したアカウントのパスワード変更の構成

新規作成したアカウントのパスワード変更を構成する方法の詳細は、「新たに作成したアカウントのパスワード変更の構成」を参照してください。

4.6 SAP UMコネクタのロギングの管理

Oracle Identity GovernanceではOracle Diagnostic Logging (ODL)ロギング・サービスを使用して、コネクタに関連するすべてのタイプのイベントを記録します。

次のトピックでは、ロギングについて詳しく説明します。

• ログ・レベルの理解

• ロギングの有効化

4.6.1 ログ・レベルの理解

ロギングを有効化すると、Oracle Identity Governanceはプロビジョニング操作およびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。

ODLはOracle Identity Governanceにより原則的に使用されるロギング・サービスで、java.util.loggerに基づいています。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。

• SEVERE.intValue()+100

  このレベルでは、致命的エラーに関する情報のロギングが有効化されます。

• SEVERE

  このレベルでは、Oracle Identity Governanceの実行を続行できる可能性があるエラーに関する情報のロギングが有効化されます。

• WARNING

  このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。

• INFO

  このレベルでは、アプリケーションの進行状況を示すメッセージのロギングが有効化されます。

• CONFIG

  このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。

• FINE、FINER、FINEST

  これらのレベルでは詳細なイベントに関する情報のロギングが有効化され、FINESTではすべてのイベントに関する情報が記録されます。

これらのメッセージ・タイプは、表4-2に示すようなODLメッセージ・タイプとレベルの組合せにマップされます。

表4-2 ログ・レベルおよびODLメッセージ・タイプ: レベルの組合せ

Javaのレベル	ODLメッセージ・タイプ:レベル
SEVERE.intValue()+100	INCIDENT_ERROR:1
SEVERE	ERROR:1
WARNING	WARNING:1
INFO	NOTIFICATION:1
CONFIG	NOTIFICATION:16
FINE	TRACE:1
FINER	TRACE:16
FINEST	TRACE:32

OJDLの構成ファイルはlogging.xmlであり、次のパスにあります。

DOMAIN_HOME/config/fmwconfig/servers/OIM_SERVER/logging.xml

ここで、DOMAIN_HOMEとOIM_SERVERは、それぞれOracle Identity Governanceのインストール時に指定されたドメイン名とサーバー名です。

4.6.2 ロギングの有効化

Oracle WebLogic Serverのロギングを有効化するには、次のようにします。

1. 次のようにしてlogging.xmlファイルを編集します。

   1. ファイル内に次のブロックを追加します。

      <log_handler name='sap-handler' level='[LOG_LEVEL]' class='oracle.core.ojdl.logging.ODLHandlerFactory'>
      <property name='logreader:' value='off'/>
           <property name='path' value='[FILE_NAME]'/>
           <property name='format' value='ODL-Text'/>
           <property name='useThreadName' value='true'/>
           <property name='locale' value='en'/>
           <property name='maxFileSize' value='5242880'/>
           <property name='maxLogSize' value='52428800'/>
           <property name='encoding' value='UTF-8'/>
         </log_handler>
      

      <logger name="ORG.IDENTITYCONNECTORS.SAP" level="[LOG_LEVEL]" useParentHandlers="false">
           <handler name="sap-handler"/>
           <handler name="console-handler"/>
         </logger>
      

      SAP GRCを使用している場合、次のブロックを追加します。

      <logger name="ORG.IDENTITYCONNECTORS.SAPAC" level="[Log_LEVEL]" useParentHandlers="false">
           <handler name="sap-handler"/>
           <handler name="console-handler"/>
      </logger>
      

      アプリケーション・オンボードを使用している場合、次のブロックを追加します。

      <logger name='oracle.iam.application' level="[Log_LEVEL]" useParentHandlers='false'>
           <handler name='sap-handler'/>
           <handler name='console-handler'/>  
      </logger>

   2. 2箇所の[LOG_LEVEL]を、必要なODLのメッセージ・タイプとレベルの組合せで置き換えます。表4-2に、サポートされているメッセージ・タイプとレベルの組合せを示します。

      同様に、記録されるメッセージをロギングするログ・ファイルのフルパスと名前で、[FILE_NAME]を置き換えます。

      次のブロックは、[LOG_LEVEL]および[FILE_NAME]のサンプル値を示しています。

      <log_handler name='sap-handler' level='NOTIFICATION:1' class='oracle.core.ojdl.logging.ODLHandlerFactory'>
      <property name='logreader:' value='off'/>
           <property name='path' value='F:\MyMachine\middleware\user_projects\domains\base_domain1\servers\oim_server1\logs\oim_server1-diagnostic-1.log'/>
           <property name='format' value='ODL-Text'/>
           <property name='useThreadName' value='true'/>
           <property name='locale' value='en'/>
           <property name='maxFileSize' value='5242880'/>
           <property name='maxLogSize' value='52428800'/>
           <property name='encoding' value='UTF-8'/>
         </log_handler>
      

      <logger name="ORG.IDENTITYCONNECTORS.SAP" level="NOTIFICATION:1" useParentHandlers="false">
           <handler name="sap-handler"/>
           <handler name="console-handler"/>
         </logger>
      

      SAP GRCを使用している場合、次のブロックを追加します。

      <logger name="ORG.IDENTITYCONNECTORS.SAPAC" level="NOTIFICATION:1" useParentHandlers="false">
           <handler name="sap-handler"/>
           <handler name="console-handler"/>
      </logger>
      

      アプリケーション・オンボードを使用している場合、次のブロックを追加します。

      <logger name='oracle.iam.application' level="NOTIFICATION:1" useParentHandlers='false'>
           <handler name='sap-handler'/>
           <handler name='console-handler'/>  
      </logger>
      </logger>

      これらのサンプル値を設定してOracle Identity Governanceを使用すると、このコネクタについて生成される、ログ・レベルがNOTIFICATION:1レベル以上のすべてのメッセージが指定のファイルに記録されます。

2. ファイルを保存して閉じます。

3. サーバー・ログをファイルにリダイレクトするには、次の環境変数を設定します。

   Microsoft Windowsの場合:

   set WLS_REDIRECT_LOG=FILENAME
   

   UNIXの場合:

   export WLS_REDIRECT_LOG=FILENAME
   

   FILENAMEを、出力のリダイレクト先ファイルの場所と名前に置き換えます。

4. アプリケーション・サーバーを再起動します。

ノート:

Oracle Identity Governanceクラスタで、クラスタのノードごとにこのステップを実行します。

4.7 コネクタのAccess Request Management機能の構成

Access Request Managementは、SAP GRCスイート内のモジュールです。SAP環境では、アカウントの作成および変更のプロビジョニング・リクエストを受信するフロント・エンドとしてAccess Request Managementを設定できます。Access Request Managementでは、これらのリクエストを処理するワークフローを構成することが可能で、承認者として指定されたユーザーがこれらのリクエストを処理します。

Oracle Identity Governanceは、SAP GRC Access Request Managementに送信するための媒体としてプロビジョニング・リクエストを構成できます。Oracle Identity GovernanceからのリクエストはAccess Request Managementに送信され、そこからリクエストに含まれているプロビジョニング・データがターゲット・システム(SAP ERPまたはSAP CUA)に転送されます。結果として、ターゲット・システムでユーザー・アカウントが作成または変更されます。

ノート:

Access Request Management機能を構成する前に、「デプロイメント構成の使用に関するガイドライン」に記載されているガイドラインを参照することをお薦めします

Access Request Management機能の構成の詳細は、「SAP GRC Access Request Managementでのリクエスト・タイプおよびワークフローの構成」を参照してください。

4.7.1 SAP GRC Access Request Managementでのリクエスト・タイプおよびワークフローの構成

プロビジョニング操作用にSAP GRC Access Request Managementでリクスト・タイプとワークフローを作成および構成する必要があります。

1. SAP GRC Access Request Managementでリクエスト・タイプを作成します。

   リエクストの処理時に実行されるアクションは、SAP GRC Access Request Managementのリクエスト・タイプによって定義されます。Oracle Identity Governanceはリクエスタです。SAP GRC Access Request Managementで定義されたリクエスト・タイプと連動して機能します。アプリケーションの拡張構成は、Oracle Identity Governanceを介して送信されたプロビジョニング操作にリクエスト・タイプをマップします。

2. MSMP (Multi Step Multi process)ワークフロー・エンジンを使用して、アクセス・リクエスト・フローを作成します。

4.8 SoD (職務の分離)の構成

SoDは、1ユーザーにビジネス・プロセスの1モジュールのみのアクセス権を与えて、不正やエラーのリスクを減らすために、他のモジュールにアクセスできないようにするためのプロセスです。

この項では、次の手順について説明します。

• GRC-ITRes ITリソースの値の指定

• SAP GRCをSoDエンジンとして機能させるための構成

• Lookup.SAPABAP.System参照定義で作成したエンティティの検証

• TopologyName基本構成パラメータの値の指定

• SoDの無効化および有効化

ノート:

ALL USERSグループには、UD_SAP、UD_SAPRLおよびUD_SPUM_PROプロセス・フォームに対するINSERT、UPDATEおよびDELETE権限があります。これは次のプロセスを有効にするために必要です。

権限リクエストのSoD検証では、データはまずダミー・オブジェクト・フォームからダミー・プロセス・フォームに移されます。そのフォームからデータが検証のためにSoDエンジンに送信されます。リクエストがSoD検証をクリアすると、データがダミー・プロセス・フォームから実際のプロセス・フォームに移されます。データはAPIを介して実際のプロセス・フォームに移されるため、ALL USERSグループには3つのプロセス・フォームに対するINSERT、UPDATEおよびDELETE権限が必要です。

4.8.1 GRC-ITRes ITリソースの値の指定

GRC-ITRes ITリソースには、SAP GRC Access Request Managementとの通信中に使用される情報が含まれています。このITリソースのパラメータに値を設定するには:

1. Oracle Identity Governance 12.2.1.3.0の場合は、Oracle Identity System Administrationにログインします。

2. 左ペインの「構成」で、「ITリソース」をクリックします。

3. 「ITリソースの管理」ページの「ITリソース名」フィールドにGRC-ITResと入力して、「検索」をクリックします。

4. ITリソースの編集アイコンをクリックします。

5. ページ上部のリストから、「詳細およびパラメータ」を選択します。

6. ITリソースのパラメータの値を指定します。

   表4-3に、GRC-ITRes ITリソースのパラメータを示します。

   表4-3 GRC-ITRes ITリソースのパラメータ

   パラメータ	説明
   language	ターゲット・システムで設定された言語を表す2文字のコードを入力します。 サンプル値: EN
   コネクタ・サーバー名	Connector ServerタイプのITリソースの名前。Connector ServerのITリソースは、 「コネクタ・サーバーのITリソースの構成」で作成します。 ノート: このパラメータの値を入力するのは、SAPユーザー管理コネクタをコネクタ・サーバーにデプロイした場合のみです。
   password	Access Request Managementシステムで作成されたアカウントのパスワードを入力します。
   port	Access Request Managementシステムがリスニングしているポートの番号を入力します。 サンプル値: 8090
   server	Access Request Managementシステムがリスニングしているホスト・コンピュータのIPアドレスを入力します。 サンプル値: 10.231.231.231
   username	Access Request Managementシステムで作成されたアカウントのユーザー名を入力します。このアカウントは、リクエスト検証中に使用されるAccess Request ManagementシステムAPIをコールするために使用されます。 サンプル値: jdoe

7. 「更新」をクリックして、値を保存します。

4.8.2 SAP GRCをSoDエンジンとして機能させるための構成

SoDエンジンとして機能するようにSAP GRCを構成するには、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド 11gリリース1 (11.1.2)』の職務の分離の使用に関する項を参照してください。

4.8.3 Lookup.SAPABAP.System参照定義で作成したエンティティの検証

参照フィールドの同期を実行するときに、Lookup.SAPABAP.System参照定義に自動的にシステム名が移入されます。同期後、この参照定義を開き、SoD検証プロセスに使用するシステム用のエントリのみがこの表に含まれていることを確認する必要があります。

4.8.4 TopologyName基本構成パラメータの値の指定

TopologyName ITリソース・パラメータには、SoD検証のために使用する次の要素を組み合せた名前を指定します。

• Oracle Identity Governanceインストール

• SAP GRCインストール

• SAP ERPインストール

sodgrcをTopologyNameパラメータの値として入力します。

この要素の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド 11gリリース1 (11.1.2.0)』の職務の分離の使用に関する項を参照してください。

基本構成のパラメータに値を指定する方法の詳細は、「基本構成パラメータ」を参照してください。

4.8.5 SoDの無効化および有効化

この項では、Oracle Identity GovernanceでSoDを無効化および有効化する手順を説明します。

• Oracle Identity GovernanceでのSoDの無効化

• Oracle Identity GovernanceでのSoDの有効化

4.8.5.1 Oracle Identity GovernanceでのSoDの無効化

SoDを無効化するには、次のようにします。

1. Oracle Identity Governanceリリース12.2.1.3.0の場合は、Oracle Identity System Administrationにログインします。

2. 左ペインの「システム管理」の下で、「システム構成」をクリックします。

3. 「システム構成の検索」ボックスにXL.SoDCheckRequiredと入力し、「検索」をクリックします。

   検索基準に一致するリストが検索結果表に表示されます。

4. XL.SoDCheckRequiredプロパティ名をクリックします。

   SoDのシステム・プロパティが右側のペインに表示されます。

5. 「値」ボックスにFALSEと入力し、SoDを無効化します。

6. 「保存」をクリックします。

7. Oracle Identity Governanceを再起動します。

4.8.5.2 Oracle Identity GovernanceでのSoDの有効化

SoDを有効化するには、次のようにします。

1. Oracle Identity Governanceリリース12.2.1.3.0の場合は、Oracle Identity System Administrationにログインします。

2. 左ペインの「システム管理」の下で、「システム構成」をクリックします。

3. 「システム構成の検索」ボックスにXL.SoDCheckRequiredと入力し、「検索」をクリックします。

   検索基準に一致するリストが検索結果表に表示されます。

4. XL.SoDCheckRequiredプロパティ名をクリックします。

   SoDのシステム・プロパティが右側のペインに表示されます。

5. 「値」ボックスにTRUEと入力し、SoDを有効化します。

6. 「保存」をクリックします。

7. Oracle Identity Governanceを再起動します。

4.9 Oracle Identity Governanceとターゲット・システム間の通信を保護するSNCの構成

Oracle Identity GovernanceはJavaアプリケーション・サーバーを使用します。SAPシステム・アプリケーション・サーバーに接続するために、このJavaアプリケーション・サーバーがSAP Javaコネクタ(JCo).を使用します必要に応じて、Secure Network Communication (SNC)を使用してOracle Identity GovernanceとSAPシステムとの間の通信を保護できます。

この項では、次のトピックについて説明します。

• SNCを使用するためのコネクタの構成の前提条件

• セキュリティ・パッケージのインストール

• SNCの構成

4.9.1 SNCを使用するためのコネクタの構成の前提条件

SNCを使用するためにコネクタを構成する前提条件は、次のとおりです。

• SNCは、SAPアプリケーション・サーバーでアクティブである必要があります。

• SNCインフラストラクチャに精通している必要があります。また、アプリケーション・サーバーでSNCに使用するPersonal Security Environment(PSE)を把握しておく必要があります。

4.9.2 セキュリティ・パッケージのインストール

Oracle Identity Governanceで使用されるJavaアプリケーション・サーバーでセキュリティ・パッケージをインストールするには、次のようにします。

1. Oracle Identity Governanceとの暗号化された通信のためにSAP Cryptolibをダウンロードします。

   サードパーティ・ソフトウェアの暗号化された通信に必要なSAP Cryptolibは、SAPサービス・マーケットプレイスから直接ダウンロードできます。

2. SAP Cryptographic Libraryインストール・パッケージの内容を抽出します。このパッケージには次のファイルが含まれます。

   • SAP Cryptographic Library(Microsoft Windowsの場合はsapcrypto.dll、UNIXの場合はlibsapcrypto.ext)

   • 対応するライセンス・チケット(ticket)

   • 構成ツールsapgenpse.exe

3. ライブラリおよびsapgenpse.exeファイルをローカル・ディレクトリにコピーします。たとえば: C:/usr/sap
4. ファイル権限を確認します。Javaアプリケーション・サーバーを実行しているユーザーが、ライブラリおよびsapgenpse.exeファイルをコピーするディレクトリでライブラリ機能を実行できることを確認します。
5. secディレクトリをライブラリおよびsapgenpse.exeファイルをコピーするディレクトリ内に作成します。

   ノート:

   作成するディレクトリには任意の名前を使用できます。しかし、SAPでは、C:\usr\sap\sec(または/usr/sap/sec)ディレクトリの作成を推奨しています。

6. ticketファイルをsecディレクトリにコピーします。このディレクトリは、Personal Security Environment(PSE)およびJavaアプリケーション・サーバーの資格証明が生成されるディレクトリでもあります。

   関連項目:

   SNCの構成

7. Oracle WebLogic Application ServerのユーザーのSECUDIR環境変数をsecディレクトリに設定します。

   ノート:

   これ以降、SECUDIRディレクトリという用語は、パスがSECUDIR環境変数に定義されたディレクトリのことを示すために使用されます。

8. Javaアプリケーション・サーバーのユーザーのSNC_LIBおよびPATH環境変数を、secディレクトリの親ディレクトリである暗号ライブラリ・ディレクトリに設定します。

   Linuxの場合: LD_LIBRARY_PATHおよびPATCHをエクスポート

4.9.3 SNCの構成

SNCを構成するには:

1. PSEを作成するか、SAPアプリケーション・サーバーのSNC PSEをSECUDIRディレクトリにコピーします。Javaアプリケーション・サーバーのSNC PSEを作成するには、次のようにsapgenpse.exeコマンドライン・ツールを使用します。

   1. SECUDIRディレクトリの場所を特定するには、コマンド・オプションを指定せずにsapgenpseコマンドを実行します。SECUDIRディレクトリのライブラリ・バージョンや場所などの情報が表示されます。

   2. 次のようなコマンドを入力してPSEを作成します。

      sapgenpse get_pse -p PSE_Name -x PIN Distinguished_Name
      

      サンプルの識別名を次に示します。

      CN=SAPJ2EE, O=MyCompany, C=US 
      

      sapgenpseコマンドにより、PSEがSECUDIRディレクトリに作成されます。

2. Javaアプリケーション・サーバーの資格証明を作成します。

   Javaアプリケーション・サーバーには、PSEにアクセスするために実行時にアクティブな資格証明が必要です。この条件を満たしているかどうかを確認するには、次のコマンドをSECUDIRディレクトリの親ディレクトリに入力します。

   Sapgenpse seclogin
   

   次に、次のコマンドを入力してサーバーのPSEを開き、credentials.sapgenpseファイルを作成します。

   seclogin -p PSE_Name -x PIN -O [NT_Domain\]user_ID 
   

   指定するuser_IDには、管理者権限が必要です。PSE_NAMEは、PSEファイルの名前です。

   -Oオプションで指定されたユーザーの資格証明ファイルcred_v2がSECUDIRディレクトリに作成されます。

3. 次のようにして、2つのサーバーの公開キー証明書を交換します。

   ノート:

   SAPサーバーの証明書ごとに個別のPSEを使用する場合は、SAPサーバーの証明書ごとにこの手順を1回実行する必要があります。つまり、この手順を実行する回数はPSEの数と同じです。

   1. 次のコマンドを入力してOracle Identity Governance証明書をエクスポートします。

      sapgenpse export_own_cert -o filename.crt -p PSE_Name -x PIN
      

   2. Oracle Identity Governanceの証明書をSAPアプリケーション・サーバーにインポートします。このステップの実行には、SAP管理者の支援が必要になる場合があります。

      次のいずれかの方法を使用して、SAPアプリケーション・サーバーにSNCを設定します。

      • 証明書マッピングまたはユーザー・マッピング
      • ルール・ベースの証明書マッピング

      各ユーザーを証明書にマップせず、バッチ処理を使用する場合は、一般的なルールベースの証明書マッピングを定義して、NetWeaverマップ・ユーザー証明書を自動的に有効にします。

   3. SAPアプリケーション・サーバーの証明書をエクスポートします。このステップの実行には、SAP管理者の支援が必要になる場合があります。

   4. 次のコマンドを入力してSAPアプリケーション・サーバーの証明書をOracle Identity Governanceにインポートします。

      sapgenpse maintain_pk -a serverCertificatefile.crt -p PSE_Name -x PIN
      

4. SAP UM ITResource ITリソース・オブジェクトの次のパラメータを構成します。

   • SAP lib

   • SAP mode

   • SAP myname

   • SAP partnername

   • SAP qop

4.10 コネクタ・サーバーのITリソースの構成

コネクタ・サーバーを使用した場合は、コネクタ・サーバーITリソースのパラメータの値を構成する必要があります。

ターゲット・システムのアプリケーションを作成した後に、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のITリソースの作成に関する項の説明に従ってコネクタ・サーバーのITリソースを作成する必要があります。ITリソースを作成するときは、必ず「ITリソース・タイプ」リストから「コネクタ・サーバー」を選択します。さらに、表4-4に記載されているコネクタ・サーバーのITリソースのパラメータの値を指定します。ITリソースの検索とそのパラメータの更新の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のITリソースの管理に関する項を参照してください。

表4-4 SAP UMコネクタ・サーバーのITリソースのパラメータ

パラメータ	説明
ホスト	コネクタ・サーバーのホスト・コンピュータのホスト名またはIPアドレスを入力します。 サンプル値: myhost.com
キー	コネクタ・サーバーのキーを入力します。
ポート	コネクタ・サーバーがリスニングしているポートの番号を入力します。 デフォルト値: 8759
タイムアウト	コネクタ・サーバーとOracle Identity Governanceの間の接続がタイムアウトになるまでの時間(ミリ秒)を指定する整数値を入力します。 値が0の場合、または値を指定しない場合、タイムアウトは無制限です。 推奨値: 0
UseSSL	Oracle Identity Governanceとコネクタ・サーバーとの間にSSLを構成するよう指定する場合は、trueを入力します。それ以外の場合はfalseを入力します。 デフォルト値: false ノート: SSLを構成してコネクタ・サーバーとの通信を保護することをお薦めします。SSLを構成するには、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のJavaコネクタ・サーバーのSSLの構成に関する項を参照してください。

4.11 SAP GRCからのWSDLファイルのダウンロード

SAP GRC 10以降では、Webサービスを構成する前にSAP GRCからWSDLファイルをダウンロードする必要があります。

コネクタはBasic認証しかポートしないため、OIGでサポートされている次のWebサービスではユーザーID/パスワードのチェック・ボックスを選択します。

WSDL	説明
GRAC_AUDIT_LOGS_WS	監査ログWebサービス
GRAC_LOOKUP_WS	検索サービス
GRAC_REQUEST_STATUS_WS	リクエスト・ステータスWebサービス
GRAC _RISK_ANALYSIS_WOUT_NO_WS	リクエスト番号のないリスク分析ノート: このWSDLの場合、ReportFormatはSP17以降で必須フィールドです。
GRAC_SELECT_APPL_WS	アプリケーションWebサービスを選択
GRAC_USER_ACCES_WS	ユーザー・アクセス・リクエスト・サービス
GRAC_SEARCH_ROLES_W	ロールWebサービスを検索

WSDLをダウンロードするときには、必ずSOA管理ページで示されているのと同じ名前で保存してください。また、WSDLファイルを格納するフォルダに読取り権限があることを確認してください。

4.12 UIフォームにおけるフィールド・ラベルのローカライズ

使用する言語に対応するリソース・バンドルを使用して、UIフォーム・フィールド・ラベルをローカライズできます。リソース・バンドルはコネクタ・インストール・メディアに用意されています。

UIフォームに追加されるフィールド・ラベルをローカライズするには、次のようにします。

1. Oracle Enterprise Managerにログインします。

2. 左側のペインで、「アプリケーションのデプロイ」を開き、oracle.iam.console.identity.sysadmin.earを選択します。

3. 右側のペインで、「アプリケーションのデプロイ」リストから、「MDS構成」を選択します。

4. 「MDS構成」ページで、「エクスポート」をクリックして、ローカル・コンピュータにアーカイブ(oracle.iam.console.identity.sysadmin.ear_V2.0_metadata.zip)を保存します。

5. アーカイブの内容を抽出し、テキスト・エディタで次のいずれかのファイルを開きます。

   SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle_en.xlf

   ノート:

   ターゲット・システムのアプリケーションの作成を完了するか、UDFの作成などのカスタマイズを実行する場合を除いて、BizEditorBundle.xlfを表示することはできません。

6. BizEditorBundle.xlfファイルを次の方法で編集します。

   1. 次のテキストを検索します。

      <file source-language="en"  
      original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
      datatype="x-oracle-adf">
      

   2. 次のテキストで置き換えます。

      <file source-language="en" target-language="LANG_CODE"
      original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
      datatype="x-oracle-adf">
      

      このテキストのLANG_CODEを、フォーム・フィールド・ラベルをローカライズする言語のコードに置き換えます。フォーム・フィールド・ラベルを日本語でローカライズする場合の値の例を次に示します。

      <file source-language="en" target-language="ja"
      original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
      datatype="x-oracle-adf">
      

   3. アプリケーション・インスタンスのコードを検索します。この手順では、SAP User Managementアプリケーション・インスタンス用の編集サンプルを示します。元のコードは次のとおりです。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_SAP_TITLE__c_description']}">
      <source>Title</source>
      </target>
      </trans-unit>
      <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.umform.entity.umformEO.UD_SAP_TITLE__c_LABEL">
      <source>Title</source>
      </target>
      </trans-unit>
      

   4. コネクタ・パッケージに入っているリソース・ファイル(たとえば、SAPUM_ja.properties)を開き、そのファイルの属性の値を取得します。たとえば、global.udf.UD_SAP_TITLE = \u5F79\u8077。

   5. ステップ6.bに示されている元のコードを、次のものに置き換えます。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_SAP_TITLE__c_description']}">
      <source>Title</source>
      <target>\u5F79\u8077</target>
      </trans-unit>
      <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.umform.entity.umformEO.UD_SAP_TITLE__c_LABEL">
      <source>Title</source>
      <target>\u5F79\u8077</target>
      </trans-unit>
      

   6. プロセス・フォームのすべての属性に対し、ステップ6.aから6.dを繰り返します。

   7. ファイルをBizEditorBundle_LANG_CODE.xlfとして保存します。このファイル名のLANG_CODEを、ローカライズしている言語のコードに置き換えます。

      サンプル・ファイル名: BizEditorBundle_ja.xlf.

7. ZIPファイルを再パッケージしてMDSにインポートします。

   関連項目:

   メタデータ・ファイルのエクスポートおよびインポートの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのカスタマイズのデプロイおよびアンデプロイを参照してください。

8. Oracle Identity Governanceからログアウトしてから、ログインします。

4.13 SAPUMプロセス・フォームのフィールド長とターゲットのフィールド長の同期の必要性

ターゲット・システムから取得された属性の値のフィールド長は、SAPUMプロセス・フォームの属性の値の長さの範囲内になるようにしてください。