1. Oracle Internet Directoryアプリケーションの構成
  2. Oracle Internet Directoryコネクタの構成後タスクの実行

5 Oracle Internet Directoryコネクタの構成後タスクの実行

ここでは、Oracle Identity Governanceでアプリケーションを作成した後に実行できるタスクについて説明します。

5.1 Oracle Identity Governanceの構成

アプリケーションの作成時に、デフォルト・フォームの作成を選択しなかった場合は、コネクタを使用して作成したアプリケーションに対してUIフォームを作成する必要があります。

ノート:

この項の手順は、アプリケーションの作成時にデフォルト・フォームの作成を選択しなかった場合にのみ実行します。

次の各トピックでは、Oracle Identity Governanceを構成する手順について説明します。

5.1.1 サンドボックスの作成およびアクティブ化

カスタマイズおよびフォーム管理機能の使用を開始するには、サンドボックスを作成してアクティブにする必要があります。次に、サンドボックスを公開してそのカスタマイズを他のユーザーが使用できるようにします。

『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』サンドボックスの作成に関する項およびサンドボックスのアクティブ化に関する項を参照してください。

5.1.2 UIフォームの新規作成

Oracle Identity System Administrationのフォーム・デザイナを使用して、アプリケーション・インスタンス・フォームを作成および管理できます。

『Oracle Fusion Middleware Oracle Identity Governanceの管理』フォーム・デザイナを使用したフォームの作成に関する項を参照してください。

UIフォームを作成するときは、必ずそのフォームを関連付ける新規作成したアプリケーションに対応するリソース・オブジェクトを選択します。また、「権限フォームの生成」チェック・ボックスを選択します。

5.1.3 サンドボックスの公開

サンドボックスを公開する前に、ベスト・プラクティスとして次の手順を実行し、このステージまでに行われたすべてのサンドボックスの変更を検証してください(サンドボックスを公開した後に変更を元に戻すことは難しいため)。

  1. アイデンティティ・システム管理で、サンドボックスを非アクティブ化します。

  2. アイデンティティ・システム管理をログアウトします。

  3. xelsysadmユーザー資格証明を使用してIdentity Self Serviceにログインし、ステップ1で非アクティブ化したサンドボックスをアクティブ化します。

  4. カタログで、リソースのアプリケーション・インスタンス・フォームが正しいフィールドとともに表示されていることを確認します。

  5. サンドボックスを公開します。『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』サンドボックスの公開に関する項を参照してください。

5.1.4 新規フォームによる既存アプリケーション・インスタンスの更新

Identity Self Serviceでアプリケーションのスキーマで行うすべての変更に対して、新しいUIフォームを作成し、アプリケーション・インスタンスでその変更を更新する必要があります。

新規フォームにより既存のアプリケーション・インスタンスを更新するには、次のようにします。

  1. サンドボックスを作成してアクティブ化します。

  2. リソースの新しいUIフォームを作成します。

  3. 既存のアプリケーション・インスタンスを開きます。

  4. 「フォーム」フィールドで、作成した新しいUIフォームを選択します。

  5. アプリケーション・インスタンスを保存します。

  6. サンドボックスを公開します。

関連項目:

5.2 権限および同期カタログの収集

子プロセス・フォーム表から権限割当てスキーマを移入し、ロール、アプリケーション・インスタンスおよび権限をカタログに収集できます。カタログ・メタデータをロードすることもできます。

権限の収集とカタログ同期化を行うには:

  1. 「OIDターゲット・アプリケーション用のリコンシリエーション・ジョブ」または「OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・アプリケーション用のリコンシリエーション・ジョブ」に記載されている権限の参照フィールド同期用のリコンシリエーション・ジョブを実行します。
  2. 権限リスト・スケジュール済ジョブを実行して、子プロセス・フォーム表から権限割当てスキーマを移入します。
  3. カタログ同期化ジョブ・スケジュール済ジョブを実行します。

関連項目:

権限リスト・スケジュール済ジョブおよびカタログ同期化ジョブ・スケジュール済ジョブの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』事前定義済のスケジュール済タスクに関する項を参照してください。

5.3 Oracle Internet Directoryコネクタのロギングの管理

Oracle Identity Governanceでは、Oracle Diagnostic Logging (ODL)ロギング・サービスを使用して、コネクタに関連するすべてのタイプのイベントを記録します。

次のトピックでは、ロギングについて詳しく説明します。

5.3.1 ログ・レベルの理解

ロギングを有効化すると、Oracle Identity Governanceはプロビジョニング操作およびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。

ODLはOracle Identity Governanceにより原則的に使用されるロギング・サービスで、java.util.loggerに基づいています。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。

  • SEVERE.intValue()+100

    このレベルでは、致命的エラーに関する情報のロギングが有効化されます。

  • SEVERE

    このレベルでは、Oracle Identity Governanceの実行を続行できる可能性があるエラーに関する情報のロギングが有効化されます。

  • WARNING

    このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。

  • INFO

    このレベルでは、アプリケーションの進行状況を示すメッセージのロギングが有効化されます。

  • CONFIG

    このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。

  • FINE、FINER、FINEST

    これらのレベルでは詳細なイベントに関する情報のロギングが有効化され、FINESTではすべてのイベントに関する情報が記録されます。

表5-2に示すように、これらのメッセージ・タイプはODLメッセージ・タイプとレベルの組合せにマップされています。

表5-1 ログ・レベルおよびODLメッセージ・タイプ: レベルの組合せ

Javaのレベル ODLメッセージ・タイプ:レベル

SEVERE.intValue()+100

INCIDENT_ERROR:1

SEVERE

ERROR:1

WARNING

WARNING:1

INFO

NOTIFICATION:1

CONFIG

NOTIFICATION:16

FINE

TRACE:1

FINER

TRACE:16

表5-2 ログ・レベルおよびODLメッセージ・タイプ: レベルの組合せ

Javaのレベル ODLメッセージ・タイプ:レベル

SEVERE.intValue()+100

INCIDENT_ERROR:1

SEVERE

ERROR:1

WARNING

WARNING:1

INFO

NOTIFICATION:1

CONFIG

NOTIFICATION:16

FINE

TRACE:1

FINER

TRACE:16

FINEST

TRACE:32

OJDLの構成ファイルはlogging.xmlであり、次のパスにあります。

DOMAIN_HOME/config/fmwconfig/servers/OIM_SERVER/logging.xml

ここで、DOMAIN_HOMEOIM_SERVERは、Oracle Identity Governanceのインストール時に指定されたドメイン名とサーバー名です。

5.3.2 ロギングの有効化

DOMAIN_HOME/config/fmwconfig/servers/OIM_SERVERディレクトリにあるlogging.xmlファイルを編集してOracle WebLogic Serverでのロギングを有効にします。

Oracle WebLogic Serverのロギングを有効化するには、次のようにします。

  1. 次のようにしてlogging.xmlファイルを編集します。

    1. ファイル内に次のブロックを追加します。

      <log_handler name='OIMCP.LDAP' level='[LOG_LEVEL]' class='oracle.core.ojdl.logging.ODLHandlerFactory'>
<property name='logreader:' value='off'/>
     <property name='path' value='[FILE_NAME]'/>
     <property name='format' value='ODL-Text'/>
     <property name='useThreadName' value='true'/>
     <property name='locale' value='en'/>
     <property name='maxFileSize' value='5242880'/>
     <property name='maxLogSize' value='52428800'/>
     <property name='encoding' value='UTF-8'/>
   </log_handler>

      <logger name="ORG.IDENTITYCONNECTORS.LDAP" level="[LOG_LEVEL]" useParentHandlers="false">
     <handler name="OIMCP.LDAP"/>
     <handler name="console-handler"/>
   </logger>

    2. 2箇所の[LOG_LEVEL]を、必要なODLのメッセージ・タイプとレベルの組合せで置き換えます。表5-2にサポートされるメッセージ・タイプおよびレベルの組合せを示します。

      同様に、記録されるメッセージをロギングするログ・ファイルのフルパスと名前で、[FILE_NAME]を置き換えます。

      次のブロックは、[LOG_LEVEL]および[FILE_NAME]のサンプル値を示しています。 

      <log_handler name='OIMCP.LDAP' level='NOTIFICATION:1' class='oracle.core.ojdl.logging.ODLHandlerFactory'>
<property name='logreader:' value='off'/>
     <property name='path' value='F:\MyMachine\middleware\user_projects\domains\base_domain1\servers\oim_server1\logs\oim_server1-diagnostic-1.log'/>
     <property name='format' value='ODL-Text'/>
     <property name='useThreadName' value='true'/>
     <property name='locale' value='en'/>
     <property name='maxFileSize' value='5242880'/>
     <property name='maxLogSize' value='52428800'/>
     <property name='encoding' value='UTF-8'/>
   </log_handler>

      <logger name="ORG.IDENTITYCONNECTORS.LDAP" level="NOTIFICATION:1" useParentHandlers="false">
     <handler name="OIMCP.LDAP"/>
     <handler name="console-handler"/>
   </logger>

      これらのサンプル値を設定してOracle Identity Governanceを使用すると、このコネクタについて生成される、ログ・レベルがNOTIFICATION:1レベル以上のすべてのメッセージが指定のファイルに記録されます。

  2. ファイルを保存して閉じます。
  3. サーバー・ログをファイルにリダイレクトするには、次の環境変数を設定します。

    Microsoft Windowsの場合:

    set WLS_REDIRECT_LOG=FILENAME

    UNIXの場合:

    export WLS_REDIRECT_LOG=FILENAME

    FILENAMEを、出力のリダイレクト先ファイルの場所と名前に置き換えます。

  4. アプリケーション・サーバーを再起動します。

5.4 コネクタ・サーバーのロギングの管理

confディレクトリにはlogging.propertiesファイルがあり、要件を満たすように編集できます。

次のトピックでは、ロギングについて詳しく説明します。

5.4.1 コネクタ・サーバーでのロギングの理解

ロギングを有効化すると、コネクタ・サーバーでは、プロビジョニングおよびリコンシリエーション操作の過程で様々なステータスに対して発生したイベントに関する情報がログ・ファイルに格納されます。デフォルトでは、コネクタ・サーバー・ログはINFOレベルに設定されています。このレベルは次のいずれかに変更できます。

  • Error

    このレベルでは、コネクタ・サーバーの実行を続行できる可能性があるエラーに関する情報のロギングが有効化されます。

  • WARNING

    このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。

  • INFO

    このレベルでは、操作の進行状況を示すメッセージのロギングが有効化されます。

  • FINE、FINER、FINEST

    これらのレベルでは詳細なイベントに関する情報のロギングが有効化され、FINESTではすべてのイベントに関する情報が記録されます。

5.4.2 コネクタ・サーバーのロギングの有効化

CONNECTOR_SERVER_HOME/Confディレクトリにあるlogging.propertiesファイルを編集してロギングを有効にします。

そのためには、次のようにします。
  1. CONNECTOR_SERVER_HOME/Confディレクトリに移動します。
  2. テキスト・エディタでlogging.propertiesファイルを開きます。
  3. INFOを必要なロギング・レベルで置き換えて、次のエントリを編集します。
    .level=INFO
  4. ファイルを保存して閉じます。
  5. コネクタ・サーバーを再起動します。

5.5 UIフォームにおけるフィールド・ラベルのローカライズ

使用する言語に対応するリソース・バンドルを使用して、UIフォーム・フィールド・ラベルをローカライズできます。リソース・バンドルはコネクタ・インストール・パッケージに用意されています。

ノート:

この項で説明する手順は、Oracle Identity Managerリリース11.1.2.x以降を使用しており、UIフォーム・フィールド・ラベルをローカライズする場合にのみ実行します。

UIフォームに追加されるフィールド・ラベルをローカライズするには、次のようにします。

  1. Oracle Enterprise Managerにログインします。

  2. 左側のペインで、「アプリケーションのデプロイ」を開き、oracle.iam.console.identity.sysadmin.earを選択します。

  3. 右側のペインで、「アプリケーションのデプロイ」リストから、「MDS構成」を選択します。

  4. 「MDS構成」ページで、「エクスポート」をクリックして、ローカル・コンピュータにアーカイブ(oracle.iam.console.identity.sysadmin.ear_V2.0_metadata.zip)を保存します。

  5. アーカイブの内容を解凍して、テキスト・エディタで次のファイルを開きます。

    SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle.xlf

    ノート:

    ターゲット・システムのアプリケーションの作成を完了するか、UDFの作成などのカスタマイズを実行する場合を除いて、BizEditorBundle.xlfを表示することはできません。

  6. BizEditorBundle.xlfファイルを次の方法で編集します。

    1. 次のテキストを検索します。

      <file source-language="en"  
original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
datatype="x-oracle-adf">

    2. 次のテキストで置き換えます。

      <file source-language="en" target-language="LANG_CODE"
original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
datatype="x-oracle-adf">

      このテキストで、LANG_CODEを、フォーム・フィールド・ラベルをローカライズする言語のコードに置き換えます。フォーム・フィールド・ラベルを日本語でローカライズする場合の値の例を次に示します。 

      <file source-language="en" target-language="ja"
original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
datatype="x-oracle-adf">

    3. アプリケーション・インスタンスのコードを検索します。このプロシージャは、Oracle Internet Directoryアプリケーション・インスタンス用の編集の例を示しています。元のコードは次のとおりです。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_OID_USR_FNAME__c_description']}">
<source>Username</source>
</target>
</trans-unit>
<trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.adform.entity.oidformEO.UD_OID_USR_FNAME__c_LABEL">
<source>Username</source>
</target>
</trans-unit>

    4. コネクタ・パッケージに入っているリソース・ファイル(たとえば、OID_ja.properties)を開き、そのファイルの属性の値(たとえば、global.udf.UD_OID_USR_FNAME=\u540D)を取得します。

    5. ステップ6.bに示されている元のコードを、次のものに置き換えます。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_OID_USR_FNAME__c_description']}">
<source>Username</source>
<target>\u30E6\u30FC\u30B6\u30FC\u540D</target>
</trans-unit>
<trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.OracleDBForm.entity.OracleDBForm.UD_OID_USR_FNAME__c_LABEL">
<source>Username</source>
<target>\u30E6\u30FC\u30B6\u30FC\u540D</target>
</trans-unit>

    6. プロセス・フォームのすべての属性に対し、ステップ6.aから6.dを繰り返します。

    7. ファイルをBizEditorBundle_LANG_CODE.xlfとして保存します。このファイル名で、LANG_CODEを、ローカライズする言語のコードに置き換えます。

      サンプル・ファイル名: BizEditorBundle_ja.xlf.

  7. ZIPファイルを再パッケージしてMDSにインポートします。

    関連項目:

    メタデータ・ファイルのエクスポートおよびインポートの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』「カスタマイズのデプロイおよびアンデプロイ」を参照してください。

  8. Oracle Identity Governanceからログアウトし、再度ログインします。

5.6 コネクタ・サーバーのITリソースの構成

コネクタ・サーバーを使用している場合は、コネクタ・サーバーのITリソースのパラメータに値を構成する必要があります。

ターゲット・システムのアプリケーションを作成した後に、『Oracle Fusion Middleware Oracle Identity Governanceの管理』ITリソースの作成に関する項の説明に従ってコネクタ・サーバーのITリソースを作成する必要があります。ITリソースを作成するときは、必ず「ITリソース・タイプ」リストから「コネクタ・サーバー」を選択します。
さらに、表5-3に記載されているコネクタ・サーバーのITリソースのパラメータの値を指定します。

表5-3 LDAPコネクタ・サーバーのITリソースのパラメータ

パラメータ 説明

Host

コネクタ・サーバーのホスト・コンピュータのホスト名またはIPアドレスを入力します。

サンプル値: myhost.com

Key

コネクタ・サーバーのキーを入力します。

Port

コネクタ・サーバーがリスニングしているポートの番号を入力します。

デフォルトでは、この値は空です。コネクタ・サーバーを開始するときに、端末に表示されるポート番号を入力する必要があります。

たとえば: 8759

Timeout

コネクタ・サーバーとOracle Identity Governanceの間の接続がタイムアウトになるまでの時間(ミリ秒)を指定する整数値を入力します。

推奨値: 0

値0では、接続はタイムアウトしません。

UseSSL

Oracle Identity Governanceとコネクタ・サーバーとの間にSSLを構成するよう指定する場合は、trueと入力します。それ以外の場合は、falseと入力します。

デフォルト値: false

ノート: SSLを構成してコネクタ・サーバーとの通信を保護することをお薦めします。SSLを構成するには、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』Oracle Identity Governance用にSSLを使用するJavaコネクタ・サーバーの構成に関する項を参照してください。

5.7 コネクタのSSLの構成

Oracle Identity Governanceとターゲット・システムの間の通信を保護するためにSSLを構成する必要があります。

この項では、コネクタのSSLの構成について説明します。

注意:

SSLの構成はオプションの手順ですが、SSLを構成することをお薦めします。SSLを構成しないと、ネットワーク上でパスワードがクリア・テキストで送信されます。たとえば、ユーザーを作成するとき、またはユーザーのパスワードを作成するときに、この問題が発生することがあります。

5.7.1 ターゲット・システムでのSSLの構成

ターゲット・システムでのSSLの構成では、証明書を生成して公開キーをエクスポートした後、証明書をターゲット・システムのJREにインポートします。

  1. ターゲット・システムで、SSLが有効になっており、ディレクトリ・サーバーがLDAPSクライアントの接続を受け入れるポートが指定されていることを確認します。

    詳細は、特定のターゲット・システムのドキュメントを参照してください。

  2. 自己署名付き証明書を生成します。
  3. 前のステップで生成した証明書の公開キーをエクスポートします。

    たとえば、OUDターゲット・システムでは次のようにします。

    keytool -exportcert -alias server-cert -file config/server-cert.txt -rfc 
-keystore config/keystore -storetype JKS

    または、ODSEEターゲット・システムでは次のようにします。

    odsee-instance/bin/dsadm export-cert -o /tmp/odsee.cert . defaultCert

    または、eDirectoryターゲット・システムでは、eDirectoryがインストールされているJDKキー・ストアから信頼証明書をエクスポートできます。

    keytool -J-ns -import -alias ALIAS_NAME -file FULL_PATH\trustedrootcert.der -keystore sys:java\lib\security\cacerts

    PKCS#12ファイル・パスワードを選択して確認します。

  4. サーバー証明書をターゲット・システムのJREにインポートします。

    たとえば、OUDターゲット・システムでは次のようにします。

    keytool -importcert -alias server-cert -file config/server-cert.txt  
-keystore config/truststore -storetype JKS

5.7.2 SSL用のOracle Identity Governanceの構成

Oracle Identity GovernanceでのSSLの構成では、ターゲット・システムの証明書をOracle Identity Governanceで使用されるJDKとOracle WebLogic Serverのキーストアの両方にインポートします。

  1. ターゲット・システムの証明書を、Oracle Identity Governanceで使用されるJDK (またはJRE)にインポートします。たとえば:
    keytool -import -keystore my_cacerts -file cert_file_name -storepass password

    このコマンドの説明は次のとおりです。

    • my_cacertsは、証明書ストアのフルパスと名前です(デフォルトはcacertsです)。

    • cert_file_nameは、証明書ファイルのフルパスと名前です。

    • passwordは、キーストアのパスワードです。

    たとえば:

    keytool -import -keystore /home/OIM/java/jdk/lib/security/cacerts 
-file /home/target.cert -storepass kspassword
  2. ターゲット・システムの証明書をOracle WebLogic Serverキーストアにインポートします。たとえば:
    keytool -import -keystore WEBLOGIC_HOME/server/lib/DemoTrust.jks 
-file cert_file_name -storepass password

    このコマンドの説明は次のとおりです。

    • cert_file_nameは、証明書ファイルのフルパスと名前です。

    • passwordは、キーストアのパスワードです。

    たとえば:

    keytool -import -keystore WEBLOGIC_HOME/server/lib/DemoTrust.jks
-file /home/target.cert -storepass DemoTrustKeyStorePassPhrase