1. Microsoft Active Directory User Managementアプリケーションの構築
  2. よくある質問

9 よくある質問

Microsoft Active Directory User Managementコネクタの機能に関連するよくある質問の回答について確認します。

  1. コネクタ・サーバーをインストールおよび実行するコンピュータに推奨されるシステム構成を教えてください。

    コネクタ・サーバーをインストールおよび実行するコンピュータは、次の要件を満たしている必要があります。

    • Intel Pentium Dual Core 2 GHz、および8 GBのRAM。

    • Microsoft Windows Server 2008 (32ビットまたは64ビットの両方)、あるいはMicrosoft Windows Server 2012、2016または2019 (64ビット)。

  2. Active Directory User Managementコネクタのコネクタ・サーバーは、どこにインストールすればよいですか?

    コネクタ・サーバーは、ターゲット・システムのドメインに属するコンピュータにインストールしてください。

  3. ターゲット・システムに複数のドメインが含まれている場合は、コネクタ・サーバーを各ドメインにインストールする必要がありますか?

    親子ドメイン環境では、親ドメインのコンピュータに1つのコネクタ・サーバーがインストールされていれば十分です。また、接続されていないドメインがあるフォレストでは、1つのコネクタ・サーバーがすべてのドメインに必要です。

  4. Active Directory User Managementコネクタ・リリース9.1.xは、Active Directory User Managementコネクタ・リリース12.2.xと共存させることができますか?

    はい。同じコネクタの2つのバージョンが共存できます。これは、Active Directory User Management 12.2.xコネクタXMLをクローニングして、新規名によるコネクタのインストールに使用することで、達成できます。

  5. Active Directory User Managementコネクタ・リリース12.2.1.3.0とAD LDSインスタンスの接続を確立するにはどうすればよいですか?

    Active Directory User Managementコネクタ・リリース12.2.1.3.0とAD LDSインスタンスの接続を確立するための手順を次に示します。

    1. 「基本構成」セクションのAD LDSパラメータの値をyesに設定します。

    2. 「基本構成」セクションのポート・パラメータの値を指定します。

    3. Lookup.ActiveDirectory.GM.Configuration参照定義で、Lookup.ActiveDirectory.GM.ProvAttrMapおよびLookup.ActiveDirectory.GM.ReconAttrMapデコード値を見つけ、それぞれLookup.ActiveDirectoryLDS.GM.ProvAttrMapおよびLookup.ActiveDirectoryLDS.GM.ReconAttrMapに置き換えます。

  6. サービス・アカウントの資格証明が有効であることを確認するためのステップを教えてください。

    サービス・アカウントの資格証明が有効であることを確認するには、LDAPブラウザを使用してターゲット・システムへの接続をテストします。接続がテストされた後で、「基本構成」セクションの詳細を指定します。「基本構成」セクションのパラメータの値を指定することに加えて、次の形式を使用してドメイン名パラメータの値を指定していることを確認します。

    DOMAIN_NAME\USER_NAME

  7. Active Directory User Managementコネクタを使用して、ユーザーをあるOUから別のOUに移動させることができますか?

    はい。両方のOUが同じフォレスト内にある場合は、Active Directory User Managementコネクタを使用して、あるOUから別のOUにユーザーを移動させることができます。言い換えると、組織参照フィールドの同期後に移入された組織参照内に、ユーザーの移動先となるOUが存在する場合は、コネクタを使用して、あるOUから別のOUにユーザーを移動させることができます。

  8. コネクタをカスタマイズしたら、認可アプリケーションの「スキーマ」ページの「ターゲット属性」列の値(たとえば、OIM Employee Type、OIM User Type、__UID__および_PARENTCN__)を変更する必要がありますか。

    いいえ。認可アプリケーションの「スキーマ」ページの「ターゲット属性」列には、ターゲット・システムの属性が表示されます。ターゲット・システムのいくつかの属性(OIM Employee Type、Manager Id、__UID__、__PARENTCN__、__ENABLE__、OIM User Typeなど)は特別な方法で処理されます。したがって、「ターゲット属性」列の値は変更しないでください。「ターゲット属性」列の一部の属性の説明を次に示します。

    • OIM Employee Type: この属性の値は、Active Directory User Trusted Reconスケジュール済ジョブのOIM Employee Type属性の値と同じです。

    • OIM User Type: この属性の値は、Active Directory User Trusted Reconスケジュール済ジョブのOIM User Type属性の値と同じです。

    • Manager Id: Oracle Identity Governanceでは、異なる方法でManager Id属性が処理されます。ターゲット・システムのマネージャ属性と同じではありません。Manager Id属性には、マネージャのDNではなく、ユーザーのマネージャのsAMAccountNameが含まれています。

    • __UID__: この属性はユーザーのUIDを取得します。

    • __PARENTCN__: この属性はユーザーのコンテナを取得します。この属性は、ターゲット・システムで保持されているのと同じ組織階層をOracle Identity Governanceで保持する場合に使用します。

    • __ENABLE__: この属性は、ターゲット・システム内のユーザーが有効であるかどうかを指定します。

  9. Oracle Identity Governanceをホストしているコンピュータで、コネクタ操作に対応するログ・ファイルが見つからないのはなぜですか。

    Active Directory User Managementコネクタは、.NETフレームワークの組込みロギング・メカニズムを使用します。このため、すべてのコネクタ・ログは、コネクタ・サーバーをホストするコンピュータに生成されます。詳細は、「Microsoft Active Directory User Managementコネクタのロギングの有効化」を参照してください。

  10. すべてのコネクタ操作はICFINTGレイヤーを使用して実行されます。ICFINTGのロギングを有効にするために使用するロガー名を教えてください。

    ICFINTGのロギングを有効にするために使用するロガー名は、ORACLE.IAM.CONNECTORS.ICFCOMMONです。このロガー名では大文字と小文字が区別されます。

  11. スケジュール済ジョブのフィルタ属性の値を指定することによって、信頼できるソースおよびターゲット・リソースのリコンシリエーションの実行を行いまいた。コネクタ・サーバーのログには、コネクタがオブジェクトを返したことを示す情報が表示されました。ただし、Oracle Identity Governanceにリコンサイルされたユーザー・レコードは見当たらず、Oracle Identity Governanceのログもありません。何が問題なのでしょうか?

    フィルタ属性の値を指定することによって、リコンシリエーションの実行を行った(つまり、制限付きリコンシリエーションを実行した)場合、コネクタはフィルタ構文をLDAPフィルタ構文に変換し、フィルタ基準に一致するレコードを検索します。この時点での検索では、大文字と小文字が区別されません。

    コネクタは、検索によって取得したレコードをICFに返します。これらのレコードをOracle Identity Governanceのリコンシリエーション・エンジンに渡す前に、ICFはコネクタによって返されたレコードに同じフィルタ基準を適用します。ただし、この時点では、ICFは大文字と小文字を区別する検索を行います。このため、ICFによってレコードが削除され、リコンシリエーション・エンジンに返されないことがあります。

    次の例に、この使用例を示します。

    姓(sn)が「Doe」および「Doel」のレコードがターゲットに存在するとします。Filter属性の値としてstartsWith('sn','do')を指定した場合、リコンシリエーション中に、コネクタは検索を行い、姓がdoで始まるすべてのレコードをICFに返します(この例では、コネクタは姓がDoeおよびDoelのレコードを返します)。コネクタによって返されたレコードをOracle Identity Governanceのリコンシリエーション・エンジンに渡す前に、ICFは検索レコードに対して同じフィルタを適用します。ただし、ICFが大文字と小文字を区別する検索を実行して2レコードが削除されたため、リコンシリエーション・イベントは生成されません。

  12. このリリースのActive Directory User Managementコネクタを使用したTerminal Service属性のプロビジョニングおよびリコンサイルにはRemote Managerが必要ですか?

    いいえ。このコネクタの11.1.1.xバージョン以降では、Active Directoryドメイン内のコンピュータに.NETコネクタ・サーバーをデプロイする必要があります。ドメイン・コントローラ、またはターゲット・システムをホストするコンピュータに、コネクタ・サーバーをデプロイする必要はありません。これ以外には、Terminal Services属性をプロビジョニングおよびリコンサイルするための前提条件はありません。つまり、ドメイン・コントローラにRemote Managerまたは別のコネクタ・サーバーは必要ありません。Terminal Service属性のプロビジョニングおよびリコンシリエーションは、他の属性のプロビジョニングまたはリコンシリエーションと同じです。

  13. ターゲット・システムのユーザーにパスワードを設定する場合、SSLは必須ですか?「基本構成」セクションのUseSSLパラメータの値をnoに設定した場合に、ユーザーのパスワードを設定できますか。

    ユーザーのパスワードを設定する場合、SSLは必須ではありません。UseSSL基本構成パラメータの値にnoを設定した場合でも、ユーザーのパスワードを設定できます。

    UseSSLパラメータの値にyesを設定した場合、コネクタ・サーバーとターゲット・システムの間のチャネルは暗号化されます。また、証明書を使用してセキュアな通信が設定されます。

    UseSSLパラメータの値にnoを設定した場合、コネクタ・サーバーとターゲット・システムの間のチャネルは、通信にADSIのセキュア・モードを使用して暗号化されます。

    パスワード・リセット・プロビジョニング操作を実行する場合は、通信チャネルを暗号化する必要があります。ターゲット・システムとしてMicrosoft ADを使用している場合、前の段落で説明したように、コネクタ・サーバーとターゲット・システムの間のチャネルは暗号化されます。このため、SSLを構成しなくても、パスワード・リセット・プロビジョニング操作を実行できます。

    ターゲット・システムとしてMicrosoft AD LDSを使用している場合、コネクタ・サーバーとターゲット・システムの間のデフォルトの通信チャネルは「セキュア」ではありません。したがって、パスワード・リセット機能が正常に動作するためには、コネクタ・サーバーとMicrosoft AD LDSの間にSSLを構成する必要があります。

  14. Active Directory User Managementコネクタ・バージョン12.2.1.3.0は、Windowsのローカル・アカウントを管理できますか?

    いいえ。

  15. Active Directory User Managementコネクタ・ガイドの最新バージョンはどこにありますか?

    Active Directory User Managementコネクタ・ガイドの最新バージョンおよび他のすべてのICFコネクタ・ガイドは次の場所にあります。

    https://docs.oracle.com/middleware/oig-connectors-12213/docs.htm

  16. コネクタ・バンドルのコンテンツをCONNECTOR_SERVER_HOMEディレクトリに解凍した後に、いくつかのDLLを見つけました。コネクタ・サーバーをホストしているコンピュータが、32ビットまたは64ビットのどちらであるかは問題になりますか?

    いいえ。32ビットのコンピュータおよび64ビットのコンピュータの両方で同じDLLを使用できます。

  17. プロビジョニングおよびプロビジョニング解除のために、特定のActive Directoryグループにユーザーを追加または削除したいのですが、ユーザー・オブジェクトを変更する権限を割り当てたくありません。このコネクタをインストールして、メンバーの属性を変更するためにグループ・オブジェクトのみに対する制限された権限で、グループのメンバーシップ管理部分のみを使用することはできますか?このコネクタに必要な最低限の権限を教えてください。

    ユーザーグループ・メンバーシップのみの管理を可能にするには、「基本構成」セクションの次のタスクについて、(ターゲット・システムのオブジェクト制御の委任ウィザードを使用して)制御を委任されたユーザーの資格証明を指定します。

    • すべてのユーザー情報の読取り

    • グループの作成、削除および管理

    • グループのメンバーシップの変更

    これらの資格証明があれば、グループのリコンシリエーション、参照および管理を実行できますが、ユーザー属性の作成または更新を行うことはできません。

  18. Active Directory User Managementコネクタは、単一のAOBアプリケーションのみを使用して、1つの親ドメインと多数の子ドメインを含むフォレストを管理できますか。

    はい。次のステップを実行することによって、1つのアプリケーション・インスタンスで可能となります。

    • 「拡張設定」セクションで、子ドメインの検索パラメータの値をYesに設定します。詳細は、「拡張設定パラメータ」の「子ドメインの検索」の行を参照してください。

    • これらのサブ・ドメインすべてにおいてAccount Operatorsロールを持つアカウントのユーザー名を、基本構成の管理ユーザー名パラメータの値として指定してください。

  19. 「基本構成」セクションの管理ユーザー名パラメータには、ユーザーの識別名が含まれている必要がありますか。

    いいえ。このパラメータの値を指定するには、次の形式を使用する必要があります。

    DOMAIN_NAME\USER_NAME

    基本構成の管理ユーザー名パラメータの詳細は、「基本構成パラメータ」を参照してください。

  20. ターゲット・システムで削除されたユーザーは、DeletedObjectsコンテナに格納されます。Active Directory User Managementコネクタを使用した場合、同じ動作を期待できますか?

    はい。

  21. 1つのコネクタ・サーバーを使用して、Active Directory User Managementコネクタ・バンドルとExchangeコネクタ・バンドルをデプロイできますか?

    はい。1つのコネクタ・サーバーを使用して、Active Directory User Managementコネクタ・バンドルとExchangeコネクタ・バンドルをデプロイできますActive Directory User Managementコネクタにパッチが適用されている場合は、Exchangeコネクタをデプロイするときに、既存のActiveDirectory.Connector.dllファイルを置き換えないようにしてください。

  22. 自動プロビジョニング中に(LDAPホスト名基本構成パラメータの値として指定された)コンピュータが使用不可になった場合はどうなりますか。高可用性(HA)ターゲット・システム環境と互換性を持つようにコネクタを構成するにはどうすればよいですか?

    (「基本構成」セクションのLDAPホスト名パラメータの値として指定された)コンピュータが使用不可になると、コネクタは次のいずれかの動作を実行します。

    • 「基本構成」セクションのバックアップ・ホスト名パラメータに値が指定されている場合は、バックアップ・ホスト名パラメータで指定された、いずれかのバックアップ・ドメイン・コントローラへの接続が試行されます。HAターゲット・システム環境と互換性を持つようにコネクタを構成するには、バックアップ・ホスト名パラメータに値を指定します。

    • LDAPホスト名パラメータとバックアップ・ホスト名パラメータに値が指定されていない場合は、同じドメインの使用可能ないずれかのドメイン・コントローラに接続されます。これは、サーバーレス・バインディングと呼ばれます。

  23. 「基本構成」セクションに指定されているコネクタ・サーバーが使用不可になった場合はどうなりますか。

    HAにコネクタ・サーバーが構成されていない場合、コネクタ・サーバーは使用不可になり、「接続が拒否されました」というエラーが発生します。

    HAのためにコネクタ・サーバーを構成するには、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』コネクタ・ロード・バランサの構成に関する項を参照してください。

  24. ターゲット・システムとしてMicrosoft Active Directoryを使用している場合に、「基本構成」セクションのポート・パラメータに値を指定すると、何か問題はありますか。

    いいえ。これは、コネクタがAD LDSパラメータの値を最初にチェックするためです。AD LDSパラメータの値がyesの場合、コネクタはポート・パラメータの値を使用します。ただし、ターゲット・システムとしてMicrosoft Active Directoryを使用している場合は、ポート・パラメータの値を指定しないことをお薦めします。

  25. Oracle Identity GovernanceとMicrosoft Active Directoryの間にSSLを構成せずに、ユーザー・プロビジョニング操作を実行できますか。また、すべてのプロビジョニング操作(パスワード変更を含む)を実行するには、Oracle Identity Governanceおよびコネクタに、Microsoft Active DirectoryのSSL証明書が存在する必要がありますか。

    ターゲット・システムとしてMicrosoft Active Directoryを使用している場合、SSLは必須ではありません。Active Directory User Managementコネクタは、すべてのプロビジョニング操作(パスワード変更プロビジョニング操作を含む)にADSIセキュア・モードを使用します。このため、Oracle Identity GovernanceとMicrosoft Active Directoryの間にSSLを構成しなくても、パスワード変更プロビジョニング操作を処理できます。ただし、ターゲット・システムとしてAD LDSを使用している場合、パスワード変更プロビジョニング操作を実行するためにはSSLが必要となります。

  26. ADグループでのユーザーの変更は、増分リコンシリエーション中にリコンサイルされますか?

    はい。Active Directory Group Membership Reconで、グループ・メンバーシップの変更を、増分リコンシリエーション中にリコンサイルできます。

  27. 「基本構成」セクションのドメイン・コントローラ・パラメータとグローバル・カタログ・サーバー・パラメータの適切な使用を説明してください。

    「基本構成」セクションのドメイン・コントローラ・パラメータとグローバル・カタログ・サーバー・パラメータは、リコンシリエーション中にのみ使用されます。コネクタでドメイン・コントローラに対してリコンシリエーションを実行する必要がある場合は、ドメイン・コントローラ・パラメータを使用します。

    コネクタでグローバル・カタログ・サーバーに対してリコンシリエーションを実行する必要がある場合は、グローバル・カタログ・サーバー・パラメータを使用します。これらのパラメータを使用するために実行するステップを次に示します。

    1. 「拡張設定」セクションの子ドメインの検索パラメータの値をyesに設定します。

    2. 「基本構成」セクションのグローバル・カタログ・サーバー・パラメータの値として、グローバル・カタログ・サーバーのホスト名を入力します。

    詳細は、複数のドメインにわたるリコンシリエーションおよびプロビジョニング操作の有効化を参照してください。

  28. ターゲット・システムから削除されたユーザーのレコードをフェッチする場合に、ユーザーに割り当てる最低限の権限を教えてください。

    デフォルトでは、Account Operators役割を持つサービス・アカウントには、Delete Objectsコンテナから情報を読み取るための権限がありません。詳細は、削除ユーザーのリコンシリエーションの実行を行うための権限の割当てを参照してください。

  29. コネクタのインストールのログ・ファイルはどこにありますか?

    コネクタのインストールのログ・ファイル、Oracle Identity Governanceのサーバー・ログおよび診断ログは、次の場所にあります。

    DOMAIN_HOME/servers/oim_server1/logs

  30. ターゲット・システムの特定のOUにユーザーを作成するにはどのようにすればよいですか?

    ADユーザー・フォーム・ページの「組織名」参照フィールドから値を選択することによって、プロビジョニング中に、ターゲット・システムの特定のOUにユーザーを作成できます。

  31. ターゲット・システムにグループまたはOUが作成された場合、Oracle Identity Governanceに親組織は表示されますか。

    ターゲット・システムにグループまたはOUが作成された場合、Oracle Identity Governanceには親組織は表示されません。親組織は別にリコンサイルする必要があります。ただし、組織階層は維持されません。親組織は、Active Directory Organization Reconスケジュール済ジョブを実行することによってリコンサイルできます。

  32. ターゲット・システムのグループまたはOUの名前を変更すると、新しいグループまたはOUがOracle Identity Governanceに作成されますか。

    はい。

  33. Oracle Identity Governanceとコネクタ・サーバーの間にSSLが構成されている場合に、エクスポートする必要がある証明書を教えてください。

    Oracle Identity Governanceとコネクタ・サーバーの間にSSLが構成されている場合は、コネクタ・サーバーをホストしているコンピュータからSSL証明書(.cerファイル)をエクスポートして、同じコンピュータの新しい証明書ストアにそれを追加します。新しい証明書ストアには、1つの証明書のみが含まれている必要があります。ConnectorServer.exe.Configファイルに新しい証明書ストアの詳細を構成した後に、エクスポートされた証明書をOracle Identity Governanceが実行されているマシンにコピーします。証明書をOracle Identity Governance JDKストアおよびOracle WebLogicキーストアに追加します。詳細は、Microsoft Active DirectoryとMicrosoft AD LDSでのSSLの構成を参照してください。

  34. Oracle Identity Governanceからターゲット・システムへのトラフィックはすべてコネクタ・サーバーを通過するので、直接アクセスのためにファイアウォールのポートを開いておく必要はないというのは正しいですか。

    はい、そのとおりです。

  35. Oracle Identity Governanceとターゲット・システムとの通信に使用されるプロトコルは何ですか。

    TCPプロトコルがOracle Identity Governanceとターゲット・システムとの通信に使用されます。

  36. 「コネクタのアーキテクチャ」に、.NETコネクタ・サーバーとターゲット・システムの間のデフォルトの通信はセキュアであるという記述があります。これは、どのようにして達成されているのですか。

    このコネクタで使用されるADSI APIでは、使用される認証のタイプを指定できるようになっています。詳細は、次に示すMicrosoft Developer Networkのページを参照してください。

    http://msdn.microsoft.com/en-us/library/system.directoryservices.directoryentry.authenticationtype%28v=vs.90%29.aspx

    「基本構成」セクションのUseSSLパラメータの値をnoに設定した場合は、次のページの説明に従って認証を保護します。

    http://msdn.microsoft.com/en-us/library/system.directoryservices.authenticationtypes%28v=vs.90%29.aspx