7 Microsoft Active Directory User Managementコネクタのアップグレード

このコネクタのバージョン11.1.1.6.0をすでにデプロイしている場合は、コネクタをバージョン12.2.1.3.0にアップグレードできます。

ノート:

• バージョン11.1.1.6.0から12.2.1.3.0へのコネクタのアップグレードは、CIベース・モードのみでサポートされています。

• アップグレード手順を実行する前に、Oracle Identity Governanceデータベースのバックアップを作成することを強くお薦めします。バックアップの作成の詳細は、データベースのドキュメントを参照してください。

• ベスト・プラクティスとして、アップグレード手順はまずテスト環境で実行してください。

• アップグレード前のステップ

• アップグレードのステップ

• アップグレード後のステップ

7.1 アップグレード前のステップ

次のアップグレード前ステップを実行して、コネクタのアップグレードのために環境を準備する必要があります。

1. リコンシリエーションを実行して、Oracle Identity Governanceに対するすべての最新更新をフェッチします。

2. 『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタ・ライフサイクルの管理に関する項に記載されているアップグレード前の手順を実行します。

3. ターゲット・システムでuSNChanged属性の最大値を次のように取得します。

   1. 複数のドメインに対してコネクタを使用している場合は、グローバル・カタログ・サーバーが実行しているドメイン・コントローラで、RootDSEにナビゲートしてRootDSEプロパティを探します。

   2. 1つのドメインでコネクタを使用している場合は、リコンシリエーションで使用されるドメイン・コントローラで、RootDSEにナビゲートしてRootDSEプロパティを探します。

   3. RootDSEプロパティ・ダイアログ・ボックスでhighestCommittedUSN属性を検索し、その値をノートにとっておきます。この値の使用については、この章で後述します。highestCommittedUSN属性が表示されているRootDSEプロパティ・ダイアログ・ボックスを示します。

      図7-1 RootDSEプロパティ・ダイアログ・ボックス

      
      「図7-1 RootDSEプロパティ・ダイアログ・ボックス」の説明

4. Oracle Identity Governanceで、ソース・コネクタ(アップグレードする必要がある以前のリリースのコネクタ)を定義します。ソース・コネクタを定義して、コネクタに対して行われたすべてのカスタマイズ変更でデプロイメント・マネージャXMLファイルを更新します。詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタ・ライフサイクルの管理に関する項を参照してください。

7.2 アップグレードのステップ

これは、ステージング環境と本番環境の両方のコネクタをアップグレードする手順のサマリーです。

コネクタをアップグレードする環境に応じて、次のいずれかのステップを実行します。

• 開発環境

  ウィザード・モードを使用してアップグレード手順を実行します。

• ステージングまたは本番環境

  サイレント・モードを使用してアップグレード手順を実行します。サイレント・モードでは、開発環境からエクスポートしたsilent.xmlファイルを使用します。

ウィザードおよびサイレント・モードの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタ・ライフサイクルの管理に関する項を参照してください。

7.3 アップグレード後のステップ

アップグレード後のステップでは、新しいコネクタjarをアップロードして、ソース・コネクタのアップグレード済ITリソースを構成して、コネクタ・サーバーをデプロイして、スケジュール済ジョブの最新トークンの値を構成します。

次の項では、アップグレード操作後に実行する必要がある手順について説明します。

• アップグレード後のステップの実行

• FromVersion属性およびToVersion属性の値の判別

• 正しいプロセス・フォームがリソース・オブジェクトに関連付けられているかどうかの確認

7.3.1 アップグレード後のステップの実行

アップグレード後のステップでは、次の手順を実行してアップグレード操作を完了します。

1. 『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタ・ライフサイクルの管理に関する項に記載されているアップグレード後の手順を実行します。

2. Oracle Identity Governanceリリース11.1.2.xを使用している場合は、次のようにして、Design Consoleのフォーム・デザイナに加えられたすべての変更を新しいUIフォームに適用する必要があります。

   1. Oracle Identity System Administrationにログインします。

   2. サンドボックスを作成してアクティブ化します。詳細は、サンドボックスの作成およびアクティブ化を参照してください。

   3. アップグレードされたフィールドを表示するためのUIフォームを新規作成します。UIフォームの作成の詳細は、UIフォームの新規作成を参照してください。

   4. 新たに作成したUIフォームを、ターゲット・システムのアプリケーション・インスタンスと関連付けます。そのためには、リソースに対する既存のアプリケーション・インスタンスを開いて、「フォーム」フィールドからフォーム(ステップ2.cで作成済)を選択し、アプリケーション・インスタンスを保存します。

   5. サンドボックスを公開します。詳細は、サンドボックスの公開を参照してください。

3. Oracle Identity Governanceリリース11.1.2.x以降を使用していて、リリース11.1.1.5.0から11.1.1.6.0にアップグレードする場合は、次の手順を実行して、アップグレードの後に残っている補助クラス子フォームを(ADユーザー・フォームから)削除します。

   1. アップグレードされたADユーザー・フォームの新しいバージョンを作成します。

   2. UD_ADUSRCLS子フォームを削除して、バージョンをアクティブにします。

   3. この新しく作成したフォームを使用してFVCユーティリティを実行します。FVCユーティリティの実行の詳細は、ステップ4を参照してください。

4. アップグレード操作の後に、フォーム・バージョン制御(FVC)ユーティリティを実行してフォームでのユーザー・データの変更を管理します。これを行うには、次のようにします。

   1. テキスト・エディタでOIM_DC_HOMEディレクトリにあるfvc.propertiesファイルを開いて、次のエントリを追加します。

      ResourceObject;AD User
      FormName;UD_ADUSER
      FromVersion;SPECIFY_THE_VERSION_OF_THE_FORM_USED_BY_USER_ACCOUNTS_CREATED_BY_USING_THE_SOURCE_CONNECTOR
      ToVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_IS_IN_THE_ACTIVE_STATUS_AFTER_THE_UPGRADE
      ParentParent;UD_ADUSER_AD;UD_ADUSER_SERVER
      

      ノート:

      FromVersion属性およびToVersion属性の値を判別するには、FromVersion属性およびToVersion属性の値の判別を参照してください。

      リソース・オブジェクトに関連付けられている正しいプロセス・フォームを指定しているかどうかを確認するには、正しいプロセス・フォームがリソース・オブジェクトに関連付けられているかどうかの確認に記載されている手順を実行します。

   2. FVCユーティリティを実行します。このユーティリティは、Design Consoleをインストールすると次のディレクトリにコピーされます。

      Microsoft Windowsの場合:

      OIM_DC_HOME/fvcutil.bat

      UNIXの場合:

      OIM_DC_HOME/fvcutil.sh

      このユーティリティを実行すると、Oracle Identity Governance管理者のログイン資格証明と、ロガー・レベルおよびログ・ファイルの場所を入力するように求められます。

5. アップグレード操作後にADグループ・フォームの変更を管理するには、次の情報を使用してステップ4.aおよび4.bのステップを行い、FVCユーティリティを実行します。

   ステップ4.aを実行するときに、ステップ4.aで追加するエントリを次の情報に置き換えます。

   ResourceObject;AD Group
   FormName;UD_ADGRP
   FromVersion;SPECIFY_THE_VERSION_OF_THE_FORM_USED_BY_USER_ACCOUNTS_CREATED_BY_USING_THE_SOURCE_CONNECTOR
   ToVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_IS_IN_THE_ACTIVE_STATUS_AFTER_THE_UPGRADE
   ParentParent;UD_ADGRP_ADSERVER;UD_ADGRP_SERVER
   

6. アップグレード操作後にAD組織単位フォームの変更を管理するには、次の情報を使用してステップ4.aおよび4.bのステップを行い、FVCユーティリティを実行します。

   ステップ4.aを実行するときに、ステップ4.aで追加するエントリを次の情報に置き換えます。

   ResourceObject;AD Organizational Unit
   FormName;UD_OU
   FromVersion;SPECIFY_THE_VERSION_OF_THE_FORM_USED_BY_USER_ACCOUNTS_CREATED_BY_USING_THE_SOURCE_CONNECTOR
   ToVersion;SPECIFY_THE_VERSION_OF_FORM_THAT_IS_IN_THE_ACTIVE_STATUS_AFTER_THE_UPGRADE
   ParentParent;UD_OU_AD;UD_OU_SERVER
   

7. リリース11.1.1.5.0から11.1.1.6.0にコネクタをアップグレードする場合は、PostUpgradeScript.sqlスクリプトを次のように実行します。

   ノート:

   • コネクタをリリース9.1.xから11.1.1.6.0に直接アップグレードする場合は、このステップの実行をスキップします。

   • 最初にリリース9.1.xから11.1.1.5.0にアップグレードを実行して、次にリリース11.1.1.5.0から11.1.1.6.0にアップグレードする場合は、PostUpgradeScript.sqlファイル内の「ADOU」を「OU」に置き換えて、スクリプトを実行します。

   1. OIMユーザー資格証明を使用して、Oracle Identity Governanceデータベースに接続します。

   2. ConnectorDefaultDir/AD_PACKAGE/upgradeディレクトリにあるPostUpgradeScript.sqlを実行します。

8. コネクタ・サーバーをデプロイします。

9. ソース・コネクタ(アップグレードする必要がある以前のリリースのコネクタ)のITリソースを再構成します。

10. スケジュール済ジョブの最新トークンの値を次のように構成します。

    次のスケジュール済ジョブにはLatest Token属性が含まれます。

    Active Directory User Target Recon

    Active Directory User Trusted Recon

    Active Directory Group Recon

    Active Directory Organization Recon

    コネクタをアップグレードした後で、完全リコンシリエーションまたは増分リコンシリエーションを実行できます。増分リコンシリエーションを実行するには、Latest Token属性の値としてhighestCommittedUSN属性の値(「アップグレード前のステップ」でメモした値)を指定します。こうすることで、最後のリコンシリエーション実行(「アップグレード前のステップ」で実行したリコンシリエーション)後に作成または変更されたレコードがOracle Identity Governanceに確実にフェッチされます。次のリコンシリエーションからは、リコンシリエーション・エンジンがLatest Token属性の値を自動的に入力します。

    完全リコンシリエーションまたは増分リコンシリエーションの実行の詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。

11. スケジュール済ジョブの同期トークンの値を次のように構成します。

    次のスケジュール済ジョブにはSync Token属性が含まれます。

    Active Directory User Target Delete Recon

    Active Directory User Trusted Delete Recon

    Active Directory Group Delete Recon

    コネクタをアップグレードした後で、完全削除リコンシリエーションまたは増分削除リコンシリエーションを実行できます。完全削除リコンシリエーションを実行するには、スケジュール済ジョブのSync Token属性の値を指定しないでください。増分削除リコンシリエーションを実行するには、次の形式でSync Token属性の値を指定する必要があります。

    <String>0|{uSNChanged}|{True/False}|{DOMAIN_CONTROLLER}</String>

    この形式で、次の処理を行います。

    • {uSNChanged}に対して、「アップグレード前のステップ」でメモしたhighestCommittedUSN属性の値。

    • {True/False}については、次のいずれかの値:

      • True (削除リコンシリエーションの実行でグローバル・カタログ・サーバーが使用される場合)

      • False (削除リコンシリエーションの実行でグローバル・カタログ・サーバーが使用されない場合)

    • {DOMAIN_CONTROLLER}に対して、「アップグレード前のステップ」の手順を実行するときにRootDSEを見つけたドメイン・コントローラの名前。

7.3.2 FromVersion属性およびToVersion属性の値の判別

FromVersion属性およびToVersion属性の値を判別するには:

1. Design Consoleにログインします。
2. 「開発ツール」を開き、「フォーム・デザイナ」をダブルクリックします。
3. バージョンを判別しようとしているフォームを検索して開きます。たとえば、UD_ADUSERなどです。
4. バージョン情報リージョンで、アクティブ・バージョン・フィールドの値を検索してノートにとります(たとえば、initial version)。これはToVersion属性の値です。
5. 操作リージョンで、現行バージョンのリストをクリックして、リスト内の2番目に高い値をノートにとります(たとえば、Immediate Version)。これはFromVersion属性の値です。

7.3.3 正しいプロセス・フォームがリソース・オブジェクトに関連付けられているかどうかの確認

fvc.propertiesファイル内に、プロセス・フォーム名を指定することもできます。リソース・オブジェクトに関連付けられている正しいプロセス・フォームを使用しているかどうかを確認するには:

1. Design Consoleにログインします。
2. 「Process Management」を開き、「Process Definition」をダブルクリックします。
3. リソース・オブジェクトに関連付けられているプロセス・フォームを検索して開きます。
4. 「フォームの割当て」リージョンで、「表名」フィールドの値をノートにとります。この値は、プロセス定義およびリソース・オブジェクトにリンクされているプロセス・フォームの名前です。