2 Microsoft Active Directory User Managementコネクタを使用したアプリケーションの作成

コネクタを使用したアプリケーションのオンボードとそのための前提条件について学習します。

• コネクタを使用したアプリケーション作成のプロセス・フロー
• コネクタを使用したアプリケーション作成の前提条件
• コネクタ・サーバーでのMicrosoft Active Directory User Managementコネクタのインストール
• コネクタを使用したアプリケーションの作成

コネクタを使用したアプリケーション作成のプロセス・フロー

Oracle Identity Governanceリリース12.2.1.3.0以降では、Identity Self Serviceのアプリケーション・オンボード機能を使用してコネクタのデプロイメントが処理されます。

図2-1は、コネクタのインストール・パッケージを使用してOracle Identity Governanceでアプリケーションを作成するステップの概要を示すフローチャートです。

図2-1 コネクタを使用してアプリケーションを作成するプロセスの全体的なフロー

「図2-1 コネクタを使用してアプリケーションを作成するプロセスの全体的なフロー」の説明

コネクタを使用したアプリケーション作成の前提条件

アプリケーションの作成前に完了する必要があるタスクについて学習します。

• コネクタのインストール・パッケージのダウンロード

• コネクタ操作のためのターゲット・システムのユーザー・アカウントの作成

• 削除ユーザーのリコンシリエーションの実行を行うための権限の割当て

• 組織単位およびカスタム・オブジェクト・クラスの制御の委任

コネクタのインストール・パッケージのダウンロード

コネクタのインストール・パッケージは、Oracle Technology Network (OTN)のWebサイトから取得できます。

コネクタのインストール・パッケージをダウンロードするには:

1. OTNのWebサイト(http://www.oracle.com/technetwork/middleware/id-mgmt/downloads/connectors-101674.html)に移動します。
2. 「OTNライセンス契約」をクリックしてライセンス契約を読みます。
3. 「Accept License Agreement」オプションを選択します。
   インストール・パッケージをダウンロードする前に、ライセンス契約に同意する必要があります。
4. Oracle Identity Governanceをホストしているコンピュータにインストール・パッケージをダウンロードして、任意のディレクトリに保存します。
5. インストール・パッケージの内容を、Oracle Identity Governanceをホストしているコンピュータ上の任意のディレクトリに抽出します。これにより、CONNECTOR_NAME-RELEASE_NUMBERというディレクトリが作成されます。たとえば、このコネクタの場合、ディレクトリ名はactivedirectory-12.2.1.3.0です。
6. CONNECTOR_NAME-RELEASE_NUMBERディレクトリをOIM_HOME/server/ConnectorDefaultDirectoryディレクトリにコピーします。

コネクタ操作のためのターゲット・システムのユーザー・アカウントの作成

Oracle Identity Governanceでは、リコンシリエーションおよびプロビジョニング操作の際にターゲット・システムにアクセスするためのターゲット・システムのユーザー・アカウントが必要です。アプリケーションの作成時に、「基本構成」セクションにこのユーザー・アカウントの資格証明を指定します。

使用するターゲット・システムに応じて、次のいずれかの項で説明する手順を実行します。

• Microsoft Active Directoryでのコネクタ操作用ユーザー・アカウントの作成

• Microsoft AD LDSでのコネクタ操作用ユーザー・アカウントの作成

Microsoft Active Directoryでのコネクタ操作用ユーザー・アカウントの作成

コネクタの操作には、Microsoft Windows 2008 Server (ドメイン・コントローラ)の管理者アカウントを使用できます。あるいは、ユーザー・アカウントを作成して必要最小限の権限を割り当てることができます。

コネクタ操作用のMicrosoft Active Directoryユーザー・アカウントを作成するには、次のようにします。

関連項目:

この手順の実行の詳細は、Microsoft Active Directoryのドキュメントを参照してください。

1. ターゲット・システムでグループ(OIMGroupなど)を作成します。グループを作成する際に、グループの種類として「セキュリティ グループ」を、グループのスコープとして「グローバル」または「ユニバーサル」を選択します。

   ノート:

   親子ドメイン設定では、グループを親ドメインに作成します。

2. このグループをAccount Operatorsグループのメンバーにします。
3. すべての読取り権限をこのグループに割り当てます。フォレストに複数の子ドメインがある場合は、各子ドメインにログインして、各子ドメインのAccount Operatorsグループに前述のグループを追加します。

   ノート:

   読取り権限は、ユーザー・アカウントの「プロパティ」ダイアログ・ボックスの「セキュリティ」タブで割り当てます。このタブは、「拡張機能」ビューでのみ表示されます。このビューに切り替えるには、Microsoft Active Directoryコンソールの「表示」メニューから「拡張機能」を選択します。

4. ターゲット・システムでユーザー(OIMUserなど)を作成します。親子ドメイン設定では、ユーザーを親ドメインに作成します。
5. このユーザーをステップ1で作成したグループ(OIMGroupなど)のメンバーにします。

Microsoft AD LDSでのコネクタ操作用ユーザー・アカウントの作成

コネクタ操作を実行するために、Administratorsグループに属するユーザー・アカウントを作成して使用する必要があります。

コネクタ操作用のMicrosoft AD LDSユーザー・アカウントを作成するには、次のようにします。

関連項目:

このステップの詳細は、Microsoft AD LDSのドキュメントを参照してください。

1. Microsoft AD LDSでユーザー・アカウントを作成します。
2. ユーザー・アカウントのパスワードを設定します。
3. msDS-UserAccountDisabledフィールドをfalseに設定して、ユーザー・アカウントを有効にします。
4. userPrincipalNameフィールドに値を入力します。
   値は、user_name@domain_nameという形式で指定する必要があります。たとえば、OIMuser@example.comとなります。
5. ユーザーの識別名をAdministratorsグループに追加します。

   ノート:

   スタンドアロンMicrosoft AD LDSインスタンスにコネクタ操作用のユーザー・アカウントを作成するには、次のようにします。

   1. スタンドアロン・コンピュータにユーザー・アカウントを作成します。

   2. 新しく作成したユーザーをAD LDSのAdministratorsグループ[CN=Administrators,CN=Roles,DC=X]に追加します。

削除ユーザーのリコンシリエーションの実行を行うための権限の割当て

コネクタ操作の実行のために作成したユーザー・アカウントを有効にして、削除リコンシリエーションの実行中に削除されたユーザー・アカウントに関する情報を取得するには、ターゲット・システム内の削除されたオブジェクト・コンテナ(CN=DeletedObjects)に権限を割り当てる必要があります。

ノート:

フォレスト環境で、グローバル・カタログ・サーバーを使用してリコンシリエーションを実行する場合は、この項で説明する手順をすべての子ドメインで実行します。

これを行うには、次のようにします。

1. ターゲット・システムに管理者としてログインします。
2. ターミナル・ウィンドウで、次のコマンドを実行します。

   dsacls DELETED_OBJ_DN /takeownership
   

   このコマンドのDELETED_OBJ_DNを、削除されたディレクトリ・オブジェクトの識別名に置き換えます。

   サンプル値:

   dsacls "CN=Deleted Objects,DC=mydomain,dc=com" /takeownership
   

3. ターミナル・ウィンドウで、次のコマンドを実行して、削除ユーザーのリコンシリエーションのスケジュール済ジョブを正常に実行するためのユーザー権限またはグループ権限を付与します。

   dsacls DELETED_OBJ_DN /G USER_OR_GROUP:PERMISSION
   

   このコマンドの次の部分を置き換えます。

   • DELETED_OBJ_DNを削除されたディレクトリ・オブジェクトの識別名に置き換えます。

   • USER_OR_GROUPを権限を割り当てるユーザー名またはグループ名に置き換えます。

   • PERMISSIONを付与する権限に置き換えます。

   サンプル値:

   dsacls "CN=Delet ed Objects,DC=mydomain,dc=com" /G ROOT3\OIMUser:LCRP
   

組織単位およびカスタム・オブジェクト・クラスの制御の委任

デフォルトでは、Account Operatorsグループに属するユーザー・アカウントは、ユーザー・オブジェクトおよびグループ・オブジェクトのみを管理できます。組織単位またはカスタム・オブジェクト・クラスを管理するには、必要な権限をユーザー・アカウントに割り当てる必要があります。言い換えると、組織単位またはカスタム・オブジェクト・クラスの完全な制御をユーザーまたはグループ・オブジェクトに委任する必要があります。また、カスタム・オブジェクト・クラスのプロビジョニングを正常に行うには、これらの権限が必要となります。

これは、オブジェクト制御の委任ウィザードを使用して行います。組織単位の管理の1つの例は、組織単位を作成することです。

組織単位またはカスタム・オブジェクト・クラスの制御をユーザー・アカウントに委任するには:

ノート:

親子デプロイメント環境またはフォレスト・トポロジでは、この手順をすべての子ドメインで実行します。

1. 「Active Directory ユーザーとコンピュータ」ウィンドウのナビゲーション・ツリーで、制御を委任する組織単位を右クリックして、「制御の委任」をクリックします
   オブジェクト制御の委任ウィザードが表示されます。

   ノート:

   ルート・コンテキストの下のすべての組織単位の制御を委任する場合は、ルート・コンテキスト・レベルの制御を委任します。

2. 「オブジェクト制御の委任ウィザードの開始」ページで、「次へ」をクリックします
3. 「ユーザーまたはグループ」ページで、制御を委任するユーザーまたはグループを選択します。
   1. 「追加」をクリックします。
   2. 「ユーザー、コンピュータ、またはグループの選択」ダイアログ・ボックスで、ユーザー名またはグループ名を入力します。たとえば、OIMUserと入力します
   3. 「名前の確認」をクリックします。
   4. 「OK」をクリックし、ダイアログ・ボックスを閉じます。
4. 「次」をクリックします。
5. 「委任するタスク」ページで、「委任するカスタム タスクを作成する」オプションを選択して「次へ」をクリックします
6. 「Active Directory オブジェクトの種類」ページで、「フォルダ内の次のオブジェクトのみ」、組織単位オブジェクトの順に選択しますカスタム・オブジェクト・クラスの制御を委任する場合は、制御を委任するカスタム・オブジェクト・クラスを選択します。
7. 「選択されたオブジェクトをこのフォルダに作成する」オプションおよび「選択されたオブジェクトをこのフォルダから削除する」オプションを選択して「次へ」をクリックします。
8. 「権限」ページで、

   • 組織単位の場合は、「フル コントロール」を選択して「次へ」、「完了」の順にクリックします。

   • カスタム・オブジェクト・クラスの場合は、必要な権限を選択して「次へ」、「完了」の順にクリックします。

コネクタ・サーバーでのMicrosoft Active Directory User Managementコネクタのインストール

コネクタ・サーバーでのインストールでは、コネクタ・サーバーへのコネクタ・バンドルのコピーと抽出、およびITリソースの構成を行います。

コネクタ・バンドルをコネクタ・サーバーにコピーして抽出するには、次の手順を実行します。

1. コネクタ・サーバーを停止します。

   ノート:

   必要なコネクタ・サーバーをOracle Technology Network Webページからダウンロードできます。
2. インストール・メディアからbundle/ActiveDirectory.Connector-12.3.0.0.zipファイルをCONNECTOR_SERVER_HOMEディレクトリにコピーして、内容を抽出します。
3. Shell-ScriptExecutorFactory.dllファイルの名前をShell.ScriptExecutorFactory.dllに変更します。
4. コネクタ・サーバーを起動すると、コネクタ・バンドルがコネクタ・サーバーによって選択されます。

ノート:

• コネクタ・サーバーのITリソースの構成の詳細は、コネクタ・サーバーのITリソースの構成を参照してください。

• .NETコネクタ・サーバーの構成の詳細は、.NETコネクタ・サーバーの構成に関する項を参照してください。

コネクタを使用したアプリケーションの作成

ターゲット・アプリケーションを作成して、コネクタ・パッケージからOracle Identity Governanceにアプリケーションをオンボードできます。これを行うには、Identity Self Serviceにログインして、「管理」タブで「アプリケーション」ボックスを選択する必要があります。

次に、コネクタを使用してアプリケーションを作成する手順の概要を示します。

ノート:

この手順の各ステップの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションの作成に関する項を参照してください。

1. Identity Self Serviceでアプリケーションを作成します。高度なステップは次のとおりです。
   1. システム管理アカウントまたはApplicationInstanceAdministrator管理ロールを持つアカウントを使用して、Identity Self Serviceにログインします。
   2. アプリケーションの作成時に「コネクタ・パッケージ」オプションが選択されている状態にします。
   3. 接続関連情報が含まれるように、基本構成パラメータを更新します。
   4. 必要に応じて、拡張設定パラメータを更新して、コネクタ操作に関連する構成エントリを更新します。
   5. デフォルトのユーザー・アカウントの属性マッピングを確認します。必要に応じて、新しい属性を追加したり、既存の属性を編集または削除できます。
   6. アプリケーションのプロビジョニング、リコンシリエーション、組織およびカタログの設定を確認し、必要に応じてカスタマイズします。たとえば、必要に応じてアプリケーションのデフォルトの相関ルールをカスタマイズできます。
   7. アプリケーションの詳細を確認し、「終了」をクリックしてアプリケーションの詳細を発行します。
      Oracle Identity Governanceでアプリケーションが作成されます。
   8. デフォルトのリクエスト・フォームを作成するかどうかの確認を求められたら、「はい」または「いいえ」をクリックします。
      「はい」をクリックすると、デフォルトのフォームが自動的に作成されて、新しく作成されたアプリケーションにアタッチされます。デフォルトのフォームは、アプリケーションと同じ名前で作成されます。デフォルト・フォームは、後から変更することはできません。そのため、これをカスタマイズする場合は、「いいえ」をクリックして、手動で新しいフォームを作成してアプリケーションにアタッチします。
2. 新しく作成されたアプリケーションで、リコンシリエーション操作およびプロビジョニング操作を確認します。

ノート:

「テスト接続」オプションを使用して接続を検証およびテストできるのは、次のアクションが完了した後のみです:

• AOBのインストール
• 抽出されたbundle/ActiveDirectory.Connector-12.3.0.0.zipをコネクタ・サーバーのホーム・ディレクトリにコピー
• コネクタ・サーバーのITリソースを構成
• ターゲット・システムのITリソースを構成

関連項目:

• このコネクタに事前定義されている基本構成パラメータと拡張設定パラメータ、デフォルトのユーザー・アカウントの属性マッピング、デフォルトの相関ルールおよびリコンシリエーション・ジョブの詳細は、「Microsoft Active Directory User Managementコネクタの構成」を参照してください

• デフォルトのフォームを作成しないことを選択した場合の新しいフォームの作成とそのアプリケーションへの関連付けの詳細は、「Oracle Identity Governanceの構成」を参照してください