4 Microsoft Active Directory User Managementコネクタの構成後タスクの実行

これらは、Oracle Identity Governanceでアプリケーションを作成した後に実行する必要があるタスクです。

• Oracle Identity Governanceの構成

• ターゲット・システムのITリソースの構成

• コネクタ・サーバーのITリソースの構成

• 権限および同期カタログの収集

• Microsoft Active Directory User Managementコネクタのロギングの有効化

• UIフォームにおけるフィールド・ラベルのローカライズ

• 組織のプロビジョニングのためのコネクタの構成

• 「複雑さの要件を満たす必要があるパスワード」ポリシー設定の有効化および無効化

• Microsoft Active DirectoryとMicrosoft AD LDSでのSSLの構成

• Ignore Event API用の参照定義の設定

4.1 Oracle Identity Governanceの構成

アプリケーションの作成時に、デフォルトのフォームを作成するように選択しなかった場合は、コネクタを使用して作成したアプリケーションのUIフォームを作成する必要があります。

ノート:

この項の手順は、アプリケーションの作成時にデフォルトのフォームを作成するように選択しなかった場合にのみ実行します。

次の各トピックでは、Oracle Identity Governanceを構成する手順を示します。

• サンドボックスの作成およびアクティブ化

• UIフォームの新規作成

• サンドボックスの公開

• 新規フォームによる既存アプリケーション・インスタンスの更新

4.1.1 サンドボックスの作成およびアクティブ化

カスタマイズおよびフォーム管理機能の使用を開始するには、サンドボックスを作成してアクティブにする必要があります。次に、サンドボックスを公開してそのカスタマイズを他のユーザーが使用できるようにします。

『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの作成に関する項およびサンドボックスのアクティブ化に関する項を参照してください。

4.1.2 UIフォームの新規作成

Oracle Identity System Administrationのフォーム・デザイナを使用して、アプリケーション・インスタンス・フォームを作成および管理できます。

『Oracle Fusion Middleware Oracle Identity Governanceの管理』のフォーム・デザイナを使用したフォームの作成に関する項を参照してください。

UIフォームを作成するときは、必ずそのフォームを関連付ける新しく作成されたアプリケーションに対応するリソース・オブジェクトを選択します。また、「権限フォームの生成」チェック・ボックスを選択します。

4.1.3 サンドボックスの公開

サンドボックスを公開する前に、ベスト・プラクティスとしてこの手順を実行し、このステージまでに行われたすべてのサンドボックスの変更を検証してください(サンドボックスを公開した後に変更を元に戻すことは難しいため)。

1. アイデンティティ・システム管理で、サンドボックスを非アクティブ化します。

2. アイデンティティ・システム管理をログアウトします。

3. xelsysadmユーザー資格証明を使用してIdentity Self Serviceにログインし、ステップ1で非アクティブ化したサンドボックスをアクティブ化します。

4. カタログで、リソースのアプリケーション・インスタンス・フォームが正しいフィールドとともに表示されていることを確認します。

5. サンドボックスを公開します。『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの公開に関する項を参照してください。

4.1.4 新規フォームによる既存アプリケーション・インスタンスの更新

Identity Self Serviceでアプリケーションのスキーマに行うすべての変更に対して、新しいUIフォームを作成し、アプリケーション・インスタンスでその変更を更新する必要があります。

新規フォームにより既存のアプリケーション・インスタンスを更新するには、次のようにします。

1. サンドボックスを作成してアクティブ化します。

2. リソースの新しいUIフォームを作成します。

3. 既存のアプリケーション・インスタンスを開きます。

4. 「フォーム」フィールドで、作成した新しいUIフォームを選択します。

5. アプリケーション・インスタンスを保存します。

6. サンドボックスを公開します。

関連項目:

• 『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの作成に関する項およびサンドボックスのアクティブ化に関する項を参照してください

• 『Oracle Fusion Middleware Oracle Identity Governanceの管理』のフォーム・デザイナを使用したフォームの作成

• 『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のサンドボックスの公開に関する項を参照してください

4.2 ターゲット・システムのITリソースの構成

ターゲット・システムを使用した場合は、Active Directory ITリソースのパラメータの値を構成する必要があります。

グループの管理または組織単位の管理にコネクタを使用している場合は、Active Directory ITリソースのパラメータの値を構成する必要があります。

ターゲット・システムにアプリケーションを作成したら、ターゲット・システムのデフォルトのITリソースが作成されます。このデフォルトのITリソースの名前はActive Directoryです。

Oracle Identity System Administrationで、Active Directory ITリソースを検索および編集して、表4-1に示すITリソースのパラメータの値を指定します。ITリソースの検索およびそのパラメータの更新の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のITリソースの管理に関する項を参照してください。

表4-1 ターゲット・システムのActive Directory ITリソースのパラメータ

パラメータ	説明
ADLDSPort	Microsoft AD LDSがリスニングを行うポートの番号を入力します。 サンプル値: 50001 ノート: Microsoft Active Directoryをターゲット・システムとして使用している場合は、このパラメータの値を入力しないでください。
BDCHostNames	プライマリ・ドメイン・コントローラが使用できなくなった場合に、Oracle Identity Governanceが切り替える必要があるバックアップ・ドメイン・コントローラのホスト名を入力します。 サンプル値: mydc1;mydc2;mydc3 ノート: 複数のバックアップ・ドメイン・コントローラはセミコロン(;)で区切る必要があります。
Configuration Lookup	このパラメータは、リコンシリエーションとプロビジョニングの際に使用される構成情報を格納する参照定義の名前を含みます。 ターゲット・システムをターゲット・リソースとして構成した場合は、Lookup.Configuration.ActiveDirectoryを入力します。 ターゲット・システムを信頼できるソースとして構成した場合は、Lookup.Configuration.ActiveDirectory.Trustedを入力します。 デフォルト値: Lookup.Configuration.ActiveDirectory
コネクタ・サーバー名	Connector ServerタイプのITリソースの名前。 ノート: このパラメータの値を入力するのは、Active Directory User Managementコネクタをコネクタ・サーバーにデプロイした場合のみです。 デフォルト値: Active Directory Connector Server
コンテナ	Oracle Identity Governanceのプロビジョニングまたはリコンシリエーションを行う必要があるユーザー・コンテナの完全修飾ドメイン名をそれぞれ入力します。 サンプル値: DC=example,DC=com
DirectoryAdminName	「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」に記載されている手順を実行して作成したアカウントのユーザー名を入力します。 このパラメータの値は次の形式で入力します。 DOMAIN_NAME\USER_NAME サンプル値: mydomain\admin ノート: AD LDSをターゲット・システムとして使用しており、かつこのコンピュータがワークグループに属している場合は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」で作成したアカウントのユーザー名を入力してください。 このパラメータの値は次の形式で入力します。 USER_NAME サンプル値: admin
DirectoryAdminPassword	「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」に記載されている手順を実行して作成したユーザー・アカウントのパスワードを入力します。
DomainName	コネクタのインストール先であるMicrosoft Active Directoryドメイン・コントローラに対応するドメイン名を入力します。 サンプル値: example.com ノート: Microsoft Active Directoryをターゲット・システムとして使用している場合、これは必須パラメータです。
isADLDS	ターゲット・システムがMicrosoft AD LDSであることを指定する場合は、yesと入力します。 ターゲット・システムがMicrosoft Active Directoryであることを指定する場合は、noと入力します。
LDAPHostName	Microsoft Active DirectoryがインストールされているMicrosoft Windowsコンピュータ(ターゲット・システムのホスト・コンピュータ)のホスト名、IPアドレスまたはドメイン名を入力します。 ノート: このパラメータとBDCHostNamesパラメータ(この表の前の部分を参照)の値を指定しない場合、サーバーレス・バインディングが使用されます。コネクタはADSIを活用してドメインのドメイン・コントローラを判別し、ディレクトリ・エントリを作成します。したがって、ターゲット・システムとのすべての相互作用はドメイン・コントローラに固有のものではありません。 ホスト名を判別するには、ターゲット・システムをホストするコンピュータで「コンピューター」を右クリックして「プロパティ」を選択します。「システムのプロパティ」ダイアログ・ボックスの「コンピューター名」タブで、ホスト名が「フル コンピューター名」フィールドの値として示されます。 サンプル値: w2khost 172.20.55.120 example.com
SyncDomainController	ユーザー・アカウントをリコンサイルする必要があるドメイン・コントローラの名前を入力します。 ノート: このパラメータに指定される値が使用されるのは、SearchChildDomains参照エントリの値がnoに設定されている場合です。SyncDomainControllerパラメータに値が指定されず、SearchChildDomains参照エントリがnoに設定されている場合、コネクタはターゲット・システムのドメイン・コントローラを自動的に検出して、そのドメイン・コントローラからユーザーをリコンサイルします。 サンプル値: mynewdc
SyncGlobalCatalogServer	グローバル・カタログ・サーバーが配置されているホストを入力します。 ノート: このパラメータに指定される値が使用されるのは、SearchChildDomains参照エントリの値がyesに設定されている場合です。SyncGlobalCatalogServerパラメータに値が指定されず、SearchChildDomains参照エントリがyesに設定されている場合、コネクタはターゲット・システムのグローバル・カタログ・サーバーを自動的に検出して、そのグローバル・カタログ・サーバーが実行しているドメイン・コントローラからユーザー・アカウントをリコンサイルします。 SearchChildDomains参照エントリをyesに設定した場合は、このパラメータの値を指定することをお薦めします。 サンプル値: myglobalcatalogdc
UseSSL	ターゲット・システムがSSLに対応するように構成されている場合は、yesを入力します。これにより、コネクタ・サーバーとターゲット・システムの間のセキュアな通信が実現します。それ以外の場合は、noを入力します。 デフォルト値: no ノート: プロビジョニング操作の際にユーザー・パスワードをリセットするため、ターゲット・システムとの通信はセキュアであることが必要です。.NETコネクタ・サーバーとMicrosoft Active Directory間のデフォルト通信はセキュアです。したがって、このパラメータの値をnoに設定しても、プロビジョニング操作でユーザー・パスワードをリセットすることが可能です。デフォルト通信がセキュアであるためです。 .NETコネクタ・サーバーとMicrosoft AD LDS間のデフォルト通信はセキュアではありません(「Microsoft Active DirectoryとMicrosoft AD LDSでのSSLの構成」)。したがって、パスワード・リセット・プロビジョニング操作を有効にするには、このパラメータの値をyesに設定して、Microsoft AD LDSとの通信を保護する必要があります。SSLの構成の詳細は、「Microsoft Active DirectoryとMicrosoft AD LDSでのSSLの構成」を参照してください。

4.3 コネクタ・サーバーのITリソースの構成

コネクタ・サーバーを使用した場合は、コネクタ・サーバーITリソースのパラメータの値を構成する必要があります。

ターゲット・システムにアプリケーションを作成したら、ターゲット・システムのデフォルトのITリソースが作成されます。このデフォルトのITリソースの名前はActive Directory Connector Serverです。

Oracle Identity System Administrationで、Active Directoryコネクタ・サーバーITリソースを検索および編集して、表4-2に示すITリソースのパラメータの値を指定します。ITリソースの検索およびそのパラメータの更新の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のITリソースの管理に関する項を参照してください。

表4-2 Active Directoryコネクタ・サーバーITリソースのパラメータ

パラメータ	説明
Host	コネクタ・サーバーのホスト・コンピュータのホスト名またはIPアドレスを入力します。 サンプル値: myhost.com
Key	コネクタ・サーバーのキーを入力します。
ポート	コネクタ・サーバーがリスニングしているポートの番号を入力します。 デフォルト値: 8759
Timeout	コネクタ・サーバーとOracle Identity Governanceの間の接続がタイムアウトになるまでの時間(ミリ秒)を指定する整数値を入力します。 サンプル値: 0 値0では、接続はタイムアウトしません。
UseSSL	Oracle Identity Governanceとコネクタ・サーバーとの間にSSLを構成するよう指定する場合は、trueを入力します。それ以外の場合は、falseを入力します。 デフォルト値: false ノート: SSLを構成してコネクタ・サーバーとの通信を保護することをお薦めします。Oracle Identity Governanceとコネクタ・サーバーの間でSSLを構成するには、「Oracle Identity Governanceとコネクタ・サーバーの間でのSSLの構成」を参照してください。

4.4 権限および同期カタログの収集

子プロセス・フォーム表から権限割当てスキーマを移入し、ロール、アプリケーション・インスタンスおよび権限をカタログに収集できます。カタログ・メタデータをロードすることもできます。

権限の収集とカタログ同期化を行うには:

1. 参照フィールド同期のスケジュール済ジョブに記載されている、参照フィールド同期のスケジュール済ジョブを実行します
2. 権限リスト・スケジュール済ジョブを実行して、子プロセス・フォーム表から権限割当てスキーマを移入します。
3. カタログ同期化ジョブ・スケジュール済ジョブを実行します。

関連項目:

権限リスト・スケジュール済ジョブおよびカタログ同期化ジョブ・スケジュール済ジョブの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』の事前定義済のスケジュール済タスクに関する項を参照してください

4.5 Microsoft Active Directory User Managementコネクタのロギングの有効化

Active Directory User Managementコネクタは、.NETフレームワークの組込みロギング・メカニズムを使用します。Active Directory User ManagementコネクタのロギングはOracle Identity Governanceに統合されていません。ログ・レベルは、.NETコネクタ・サーバー構成ファイル(ConnectorServer.exe.config)で設定されます。

Active Directory User Managementコネクタのロギングを有効にするには、次の手順を実行します。

1. ConnectorServer.exe.configファイルがインストールされているディレクトリに移動します。デフォルト・ディレクトリはC:\Program Files\Identity Connectors\Connector Server.です

   ConnectorServer.exe.configファイルはこのディレクトリにあります。

2. ConnectorServer.exe.configファイルに、太字で示す次の行を追加します。

   <system.diagnostics>
     <trace autoflush="true" indentsize="4">
       <listeners>
         <remove name="Default" />
         <add name="myListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="c:\connectorserver2.log" traceOutputOptions="DateTime">
           <filter type="System.Diagnostics.EventTypeFilter" initializeData="Information" />
         </add>
       </listeners>
     </trace>
     <switches>
       <add name="ActiveDirectorySwitch" value="4" />
     </switches>
   </system.diagnostics>
   

   value="4"はログ・レベルをVerboseに設定します。この値は、次のログ・レベルのいずれかに設定できます。

   • value="4"またはvalue="Verbose"

     この値は、ログ・レベルを詳細レベルに設定します。これは最も詳細です

   • value="3"またはvalue="Information"

     この値は、ログ・レベルを情報レベルに設定します。

   • value="2"またはvalue="Warning"

     この値は、ログ・レベルを警告レベルに設定します。

   • value="1"またはvalue="Error"

     この値は、ログ・レベルをエラー・レベルに設定します。

   • value="0"

     値が"0"に設定されている場合、ロギングは構成されません。

   ただし、ロギング・レベルは.NETコネクタ・サーバーのパフォーマンスに直接影響することに注意してください。

3. 構成の変更を行った後で、.NETコネクタ・サーバー・サービスを停止してから再起動します。または、次のコマンドを使用して.NETコネクタ・サーバーを再起動することもできます。

   ConnectorServer.exe /run

4.5.1 ログ・ファイル・ローテーションの構成

リコンシリエーション操作およびプロビジョニング操作の過程で発生するイベントの情報がログ・ファイルに格納されます。コネクタを一定期間使用するにつれて、ログ・ファイルに書き込まれる情報の容量が増加します。ローテーションを行わないと、ログ・ファイルが巨大になります。

これを回避するために、この項で説明する手順を実行してログ・ファイルのローテーションを構成します。

1日単位のログ・ファイルのローテーションを構成するには:

1. コネクタ・サーバーをホストしているコンピュータにログインします。
2. コネクタ・サーバーを停止します。
3. ConnectorServer.exe.configファイルのバックアップを作成します。このファイルのデフォルトの場所はC:\Program Files\Identity Connectors\Connector Serverです。
4. テキスト・エディタで編集するためにConnectorServer.exe.configファイルを開きます。
5. <listeners>および</listeners>要素を検索し、これらの要素の間のテキストを次のテキストで置き換えます。

   <remove name="Default" />
   <add name="FileLog" type="Microsoft.VisualBasic.Logging.FileLogTraceListener,Microsoft.VisualBasic,Version=8.0.0.0,Culture=neutral,PublicKeyToken=b03f5f7f11d50a3a"
   initializeData="FileLogWriter"
   traceOutputOptions="DateTime"
   BaseFileName="ConnectorServerDaily"
   Location="Custom"
   CustomLocation="C:\ConnectorServerLog\"
   LogFileCreationSchedule="Daily">
   <filter type="System.Diagnostics.EventTypeFilter" initializeData="Information"/>
   </add>
   

6. ファイルを保存して閉じます。
7. コネクタ・サーバーを起動します。

関連項目:

ログ・ファイル・ローテーションの構成の詳細は、次のURLを参照してください。

http://msdn.microsoft.com/en-us/library/microsoft.visualbasic.logging.filelogtracelistener.aspx

4.6 UIフォームにおけるフィールド・ラベルのローカライズ

使用する言語に対応するリソース・バンドルを使用して、UIフォーム・フィールド・ラベルをローカライズできます。リソース・バンドルはコネクタのインストール・パッケージに用意されています。

UIフォームで追加するフィールド・ラベルをローカライズするには:

1. Oracle Enterprise Governanceにログインします。

2. 左側のペインで、「アプリケーションのデプロイ」を開き、oracle.iam.console.identity.sysadmin.earを選択します。

3. 右側のペインで、「アプリケーションのデプロイ」リストから、「MDS構成」を選択します。

4. 「MDS構成」ページで、「エクスポート」をクリックして、ローカル・コンピュータにアーカイブ(oracle.iam.console.identity.sysadmin.ear_V2.0_metadata.zip)を保存します。

5. アーカイブの内容を解凍して、テキスト・エディタで次のファイルを開きます。

   SAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle.xlf

   ノート:

   BizEditorBundle.xlfを表示できるようにするには、ターゲット・システムへのアプリケーションの作成を完了するか、UDFを作成するなどのカスタマイズを実行します。

6. BizEditorBundle.xlfファイルを次の方法で編集します。

   1. 次のテキストを検索します。

      <file source-language="en"  
      original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
      datatype="x-oracle-adf">
      

   2. 次のテキストで置き換えます。

      <file source-language="en" target-language="LANG_CODE"
      original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
      datatype="x-oracle-adf">
      

      このテキストで、LANG_CODEを、フォーム・フィールド・ラベルをローカライズする言語のコードに置き換えます。フォーム・フィールド・ラベルを日本語でローカライズする場合の値の例を次に示します。

      <file source-language="en" target-language="ja"
      original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
      datatype="x-oracle-adf">
      

   3. アプリケーション・インスタンスのコードを検索します。この手順では、Microsoft Active Directoryアプリケーション・インスタンスの編集例を示します。元のコードは次のとおりです。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.<Field_Name>__c_description']}">
      <source><Field_Label></source>
      <target/>
      </trans-unit>
      <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.ad11.entity.<UI_Form_NaME>EO.<Field_Name>__c_LABEL">
      <source><Field_Label></source>
      <target/>
      </trans-unit>
      

      コードの編集例を次に示します。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_ADUSER_FULLNAME__c_description']}">
      <source>Full Name</source>
      <target/>
      </trans-unit>
      <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.ad11.entity.ad11EO.UD_ADUSER_FULLNAME__c_LABEL">
      <source>Full Name</source>
      <target/>
      </trans-unit>
      

   4. コネクタ・パッケージに入っているリソース・ファイル(たとえば、ActiveDirectoryIdC_ja.properties)を開き、そのファイルから属性の値(たとえば、global.udf.UD_ADUSER_FULLNAME=\u6C0F\u540D)を取得します。

   5. ステップ6.cに示されている元のコードを、次のものに置き換えます。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_<Field_Name>__c_description']}">
      <source>< Field_Label></source>
      <target>global.udf.<UD_<Field_Name></target>
      </trans-unit>
      <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.<UI_Form_Name>.entity. <UI_Form_Name>EO.UD_<Field_Name>__c_LABEL">
      <source><Field_Label></source>
      <target><global.udf.UD_Field_Name></target>
      </trans-unit>
      

      Full Nameの場合のコード例を次に示します。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_ADUSER_FULLNAME__c_description']}">
      <source>Full Name</source>
      <target>\u6C0F\u540D</target>
      </trans-unit>
      <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.ad11.entity.ad11EO.UD_ADUSER_FULLNAME__c_LABEL">
      <source>Full Name</source>
      <target>\u6C0F\u540D</target>
      </trans-unit>
      

   6. プロセス・フォームのすべての属性に対し、ステップ6.aから6.dを繰り返します。

   7. ファイルをBizEditorBundle_LANG_CODE.xlfとして保存します。このファイル名で、LANG_CODEを、ローカライズする言語のコードに置き換えます。

      サンプル・ファイル名: BizEditorBundle_ja.xlf.

7. ZIPファイルを再パッケージしてMDSにインポートします。

   関連項目:

   メタデータ・ファイルのエクスポートおよびインポートの詳細は、『Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』の「カスタマイズのデプロイおよびアンデプロイ」を参照してください

8. Oracle Identity Governanceからログアウトしてから、ログインします。

4.7 組織のプロビジョニングのためのコネクタの構成

組織をルートDNにプロビジョニングする場合は、この項で説明する手順を実行します。

組織をルートDNにプロビジョニングする前に、次のようにDNをLookup.ActiveDirectory.OrganizationalUnits参照定義に追加する必要があります。

1. Design Consoleにログインします。
2. 「Administration」を開き、「Lookup Definition」をダブルクリックします
3. Lookup.ActiveDirectory.OrganizationalUnits参照定義を検索して開きます。
4. ルートDNのエントリを追加します。コード・キーとデコードのサンプル値は次のとおりです。

   コード・キー: 150~DC=childtest,DC=test,DC=idm,DC=central,DC=example,DC=com

   デコード: SamAD~DC=childtest,DC=test,DC=idm,DC=central,DC=example,DC=com

5. 「保存」をクリックします

4.8 「複雑さの要件を満たす必要があるパスワード」ポリシー設定の有効化および無効化

Microsoft Active Directoryでは、「パスワードは、複雑さの要件を満たす必要がある」というポリシー設定を使用して、パスワード・ポリシーを有効化または無効化します。

実行する手順は、次の目的の一方を達成するか両方を達成するかによって異なります。

• パスワード・ポリシーを有効にする

• Oracle Identity Governanceとターゲット・システムとの間にSSLを構成する

ノート:

SSLの構成手順は、このガイドで後述します。

SSLを構成し、デフォルトのMicrosoft Windowsパスワード・ポリシーとカスタム・パスワード・ポリシーの両方を有効にする場合は、「パスワードは、複雑さの要件を満たす必要がある」ポリシー設定を有効にする必要があります。

ノート:

Microsoft ADAMをドメイン・コントローラにインストールすると、同じドメイン・コントローラにインストールされたMicrosoft Active Directoryのポリシーがすべて取得されます。Microsoft ADAMをワークグループにインストールすると、ローカル・システム・ポリシーが適用されます。

「複雑さの要件を満たす必要があるパスワード」ポリシー設定を有効または無効にするには、パスワード・ポリシー設定を確認して、パスワード・ポリシーを有効にする場合は「有効」、パスワード・ポリシーを無効にする場合は「無効」を選択します。

「複雑さの要件を満たす必要があるパスワード」ポリシーの有効化および無効化の詳細は、Microsoft Active Directory User Managementドキュメントを参照してください。

4.9 Microsoft Active DirectoryとMicrosoft AD LDSでのSSLの構成

この項には、Oracle Identity Governanceとターゲット・システムの間のSSL通信の構成について説明する次の項目が含まれます。

ノート:

• この項では、Microsoft ADAMとMicrosoft AD LDSの両方をMicrosoft AD LDSと呼びます。

• Microsoft AD LDSを使用している場合、すべてのコネクタ操作を予期したとおりに動作させるには、SSLを構成する必要があります。

• 手順の詳細は、Microsoft Active Directory User Managementドキュメントを参照してください。

• 前提条件

• コネクタ・サーバーとMicrosoft Active Directory間のSSLの構成

• コネクタ・サーバーとMicrosoft AD LDS間のSSLの構成

• Oracle Identity Governanceとコネクタ・サーバーの間でのSSLの構成

4.9.1 前提条件

公開キー証明書は、ソフトウェア・セキュリティ・システムのクライアントのIDおよび認証性を判断するために使用されます。証明書サービスは、公開キー証明書を作成および管理します。これにより、組織がこれらの証明書を作成、管理および配布するための信頼できるセキュアな方法が確保されます。

ノート:

• Active Directory証明書サービス(AD CS)をインストールする前に、ターゲット・システムをホストするコンピュータにインターネット・インフォーメーション・サービス(IIS)がインストールされていることを確認する必要があります。

• 対応するWindows Serverに証明書サービスをインストールするステップの詳細は、Microsoft社のドキュメントを参照してください。

Windows Server 2008に証明書サービスをインストールする場合は、コネクタ・サーバーを実行しているコンピュータ上のサーバー・マネージャ・コンソールを使用して、次の機能を追加してください。

• 「リモート サーバー管理ツール」

• 「役割管理ツール」

• 「Active Directory 証明書サービス ツール」

• 「AD DS および AD LDS ツール」

4.9.2 コネクタ・サーバーとMicrosoft Active Directory間のSSLの構成

Microsoft Active DirectoryをホストするコンピュータでSSLを介したLDAP (LDAPS)が有効になるようにして、コネクタ・サーバーとMicrosoft Active Directoryとの間のSSLを構成できます。

ノート:

SSLを構成するには、ターゲット・システムをホストしているコンピュータおよびコネクタ・サーバーが実行されているコンピュータが、同じドメインにある必要があります。

LDAPSを有効にするには、自動証明書要求セットアップ・ウィザードを使用して、新しい証明書をリクエストします。

4.9.3 コネクタ・サーバーとMicrosoft AD LDS間のSSLの構成

コネクタ・サーバーとMicrosoft AD LDSの間でSSLを構成するには、ADAMがSSL対応になるようにします。

コネクタ・サーバーとMicrosoft AD LDSの間でSSLを構成するには、次の手順を実行します。

1. Microsoft AD LDSがコネクタ・ドメイン内にデプロイされているかスタンドアロン・デプロイメントとして使用されている場合は、証明書をリクエストします。

   ノート:

   • この手順は、コネクタ・サーバーが実行されているコンピュータ、またはターゲット・システムをホストしているコンピュータで実行できます。

   • 証明書を生成する前に、インターネット インフォーメーション サービス(IIS)がターゲット・システムのホスト・コンピュータにインストールされていることを確認する必要があります。

2. 「Microsoft Active Directory証明書サービス」ウィンドウで、以前にMicrosoft AD LDSをコネクタ・ドメイン内にデプロイしたときにリクエストした証明書を発行します。

3. Microsoft管理コンソールで、証明書をMicrosoft AD LDSサービスの個人ストアに追加します。

4. 証明書キーが含まれているMachineKeysフォルダに権限を割り当てます。これを行うには、次のグループとユーザーを追加してから、すべての制御権限を与えます。

   • Administrators

   • Everyone

   • NETWORK SERVICE

   • Microsoft ADAMのインストールに使用されたアカウントのユーザー名

   • SYSTEM

   MachineKeysフォルダへのパスは次のようになることに注意してください。

   C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys

   同じグループおよびユーザーを証明書に割り当てます。

5. 変更を有効にするためにMicrosoft AD LDSインスタンスを再起動します。

6. AD LDSツールのコマンド・プロンプト・ウィンドウから証明書をテストします。SSLが正常に構成されている場合は、接続に関するステータス・メッセージがLDAPSウィンドウに表示されます。

4.9.4 Oracle Identity Governanceとコネクタ・サーバーの間でのSSLの構成

以降の項で、Oracle Identity Governanceとコネクタ・サーバーの間でのSSLの構成について説明します。

• 証明書のエクスポート

• SSLに対応するコネクタ・サーバーの構成

• SSLに対応するOracle Identity Governanceの構成

4.9.4.1 証明書のエクスポート

ノート:

コネクタ・サーバーをホストするコンピュータで、この手順を実行します。

Microsoft管理コンソールからリクエストされ発行された証明書をエクスポートするには、証明書のエクスポートウィザードに移動し開きます。証明書を必ずBase-64 encoded X.509(.CER)ファイル形式でエクスポートしてください。

4.9.4.2 SSLに対応するコネクタ・サーバーの構成

ノート:

• コネクタ・サーバーをホストするコンピュータで、この手順を実行します。

• Connector Server 12c (12.2.1.3.0)は、古いバージョンのコネクタとともに使用できます。

SSLに対応するコネクタ・サーバーを構成する手順の詳細は、Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズの.NETコネクタ・サーバーの構成を参照してください。

4.9.4.3 SSLに対応するOracle Identity Governanceの構成

SSLに対応するようにOracle Identity Governanceを構成する手順を次に示します。

1. 「証明書のエクスポート」で生成した証明書を、Oracle Identity Governanceが実行されているコンピュータにコピーします。
2. 次のコマンドを実行して、(Oracle WebLogic Application Serverで実行されている) Oracle Identity Governanceが使用するJDKにターゲット・システムの証明書をインポートします。

   keytool -import -keystore MY_CACERTS -file CERT_FILE_NAME -storepass PASSWORD

   このコマンドの説明は次のとおりです。

   • MY_CACERTSは証明書ストアのフルパスと名前(デフォルトはcacerts)です。

   • CERT_FILE_NAMEは、証明書ファイルのフルパスと名前です。

   • PASSWORDは、キーストアのパスワードです。

   次に、サンプル・コマンドを示します。

   keytool -import -keystore /home/testoc4j/OIM/jrockit_160_14_R27.6.5-32/jre/lib/security/cacerts -file /home/ADSSLCer.cer -storepass sample_password

3. 次のコマンドを実行して、アプリケーション・サーバーのキーストアにターゲット・システムの証明書をインポートします。

   keytool -import -keystore MY_CACERTS -file CERT_FILE_NAME -storepass PASSWORD

   このコマンドの説明は次のとおりです。

   • MY_CACERTSは、証明書ストアのフルパスと名前です(デフォルトはWEBLOGIC_HOME/server/lib/DemoTrust.jksです)。

   • CERT_FILE_NAMEは、証明書ファイルのフルパスと名前です。

   • PASSWORDは、キーストアのパスワードです。

   次に、サンプル・コマンドを示します。

   keytool -import -keystore WEBLOGIC_HOME/server/lib/DemoTrust.jks -file /home/ADSSLCer.cer -storepass DemoTrustKeyStorePassPhrase

4. 基本構成パラメータのUseSSLパラメータの値をtrueに設定します。

4.10 Ignore Event API用の参照定義の設定

このセクションのトピックは次のとおりです:

• Ignore Event Disabledエントリの理解

• Ignore Event Disabledエントリの追加

4.10.1 Ignore Event Disabledエントリの理解

「Ignore Event Disabled」エントリを構成参照定義(Lookup.Configuration.ActiveDirectory.TrustedおよびLookup.Configuration.ActiveDirectory、それぞれ信頼できるソースおよびターゲット・リソース・モード用)に追加して、すでにOracle Identity Managerに存在するターゲット・システム・レコードに対してリコンシリエーション・イベントを作成する必要があるかどうかを指定できます。

Ignore Event Disabledエントリの値をtrueに設定した場合、Oracle Identity Managerに存在するかどうかに関係なく、ターゲット・システムからフェッチされているすべてのレコードに対して、リコンシリエーション・イベントが作成されます。このエントリの値をfalseに設定した場合、Oracle Identity Managerにすでに存在しているターゲット・システム・レコードに対して、リコンシリエーション・イベントは作成されません。

4.10.2 Ignore Event Disabledエントリの追加

Ignore Event Disabledエントリを追加して、Oracle Identity Managerにすでに存在するターゲット・システム・レコードに対してリコンシリエーション・イベントを作成する必要があるかどうかを指定します。これを行うには、次のようにします。

1. Design Consoleにログインします。
2. 「Administration」,を開き、「Lookup Definition」をダブルクリックします
3. 次のいずれかの参照定義を検索して開きます。

   信頼できるソース・モードの場合: Lookup.Configuration.ActiveDirectory.Trusted

   ターゲット・リソース・モードの場合: Lookup.Configuration.ActiveDirectory

4. 参照コード情報タブで「追加」をクリックします。

   新しい行が追加されます。

5. 新しい行のCode Key列に、Ignore Event Disabledを入力します。
6. 新しい行のDecode列に、要件に応じて、trueまたはfalseを入力します。
7. 「保存」アイコンをクリックします。

ノート:

AOBインストール設定でIgnore Event Disabledエントリを追加する場合は、「拡張設定」セクションを開き、ステップ4以降のみを実行します。