1. SAP User Management Engineアプリケーションの構成
  2. SAP User Management Engineコネクタの構成後タスクの実行

4 SAP User Management Engineコネクタの構成後タスクの実行

これらは、Oracle Identity Governanceでアプリケーションを作成した後に実行できるタスクです。

4.1 Oracle Identity Governanceの構成

アプリケーションの作成時に、デフォルトのフォームを作成するように選択しなかった場合は、コネクタを使用して作成したアプリケーションのUIフォームを作成する必要があります。

ノート:

この項で説明されている手順は、アプリケーションの作成時にデフォルトのフォームを作成することを選択しなかった場合にのみ実行してください。

4.1.1 サンドボックスの作成およびアクティブ化

カスタマイズおよびフォーム管理機能の使用を開始するには、サンドボックスを作成してアクティブにする必要があります。次に、サンドボックスを公開してそのカスタマイズを他のユーザーが使用できるようにします。

『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』サンドボックスの作成およびサンドボックスのアクティブ化に関する項を参照してください。

4.1.2 UIフォームの新規作成

Oracle Identity System Administrationのフォーム・デザイナを使用して、アプリケーション・インスタンス・フォームを作成および管理できます。

『Oracle Fusion Middleware Oracle Identity Governanceの管理』フォーム・デザイナを使用したフォームの作成に関する項を参照してください。

UIフォームを作成するときは、必ずそのフォームを関連付ける新規作成済アプリケーションに対応するリソース・オブジェクトを選択します。また、「権限フォームの生成」チェック・ボックスを選択します。

4.1.3 サンドボックスの公開

サンドボックスを公開する前に、ベスト・プラクティスとしてこの手順を実行し、このステージまでに行われたすべてのサンドボックスの変更を検証してください(サンドボックスを公開した後に変更を元に戻すことは難しいため)。

  1. アイデンティティ・システム管理で、サンドボックスを非アクティブ化します。

  2. アイデンティティ・システム管理をログアウトします。

  3. xelsysadmユーザー資格証明を使用してIdentity Self Serviceにログインし、ステップ1で非アクティブ化したサンドボックスをアクティブ化します。

  4. カタログで、リソースのアプリケーション・インスタンス・フォームが正しいフィールドとともに表示されていることを確認します。

  5. サンドボックスを公開します。『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』サンドボックスの公開に関する項を参照してください。

4.1.4 アプリケーション・インスタンスの作成

次のように、アプリケーション・インスタンスを作成します

  1. アイデンティティ・システム管理の左ペインの「構成」で、「アプリケーション・インスタンス」.をクリックします「アプリケーション・インスタンス」ページが表示されます。
  2. 「アクション」メニューから、「作成」を選択します。または、ツールバーにある「作成」をクリックします。「アプリケーション・インスタンスの作成」ページが表示されます。
  3. 次のフィールドの値を指定します。

    • 名前: アプリケーション・インスタンスの名前。

    • 表示名: アプリケーション・インスタンスの表示名。

    • 説明: アプリケーション・インスタンスの説明。

    • リソース・オブジェクト: リソース・オブジェクト名。このフィールドの横にある検索アイコンをクリックし、「SAP UME Resource Object」を検索して選択します。

    • ITリソース・インスタンス: ITリソース・インスタンス名。このフィールドの横にある検索アイコンをクリックし、「SAP UME.ITResource」を検索して選択します。

    • フォーム: フォーム名を選択します(「UIフォームの新規作成」)。

  4. 「保存」をクリックします。
    アプリケーション・インスタンスが作成されます。
  5. アプリケーション・インスタンスを組織に公開して、アプリケーション・インスタンスのリクエストとそれに続くユーザーへのプロビジョニングを可能にします。詳しい手順は、『Oracle Fusion Middleware Oracle Identity Managerの管理』アプリケーション・インスタンスに関連付けられた組織の管理に関する項を参照してください。

4.1.5 新規フォームによる既存アプリケーション・インスタンスの更新

Identity Self Serviceでアプリケーションのスキーマに行うすべての変更に対して、新しいUIフォームを作成し、アプリケーション・インスタンスでその変更を更新する必要があります。

新規フォームにより既存のアプリケーション・インスタンスを更新するには、次のようにします。

  1. サンドボックスを作成してアクティブ化します。

  2. リソースの新しいUIフォームを作成します。

  3. 既存のアプリケーション・インスタンスを開きます。

  4. 「フォーム」フィールドで、作成した新しいUIフォームを選択します。

  5. アプリケーション・インスタンスを保存します。

  6. サンドボックスを公開します。

関連項目:

4.2 権限および同期カタログの収集

権限の収集とカタログ同期化を行うには:

  1. 参照フィールド同期のスケジュール済ジョブを実行します。
  2. 権限リスト・スケジュール済ジョブを実行して、子プロセス・フォーム表から権限割当てスキーマを移入します。
  3. カタログ同期化ジョブ・スケジュール済ジョブを実行します。

関連項目:

4.3 新たに作成したアカウントのパスワード変更の構成

新たに作成したアカウントを使用してSAPにログインする場合、初回ログオン時にパスワードを変更するよう求められます。Oracle Identity Governanceで作成したアカウントの場合、「拡張設定」セクションのchangePwdFlagおよびdummyPasswordパラメータを使用してパスワード管理を構成できます。

次のいずれかのアプローチをとることができます。

  • 新たに作成したアカウントを持つユーザーの初回ログオン時にパスワードの変更を求めるように、コネクタを構成します。

    これを行うには、「基本構成」セクションでchangePwdFlagパラメータをnoに設定します。このように設定すると、新規ユーザー・アカウントのプロセス・フォームに入力されたパスワードを使用して、ターゲット・システムで新規アカウントのパスワードが設定されます。ユーザーがターゲット・システムにログインすると、パスワードを変更するよう求められます。

  • Oracle Identity Governanceでアカウント作成時に設定されたパスワードが、ターゲット・システムで新規パスワードとして設定されるように、コネクタを構成します。ユーザーは初回ログオン時に、パスワードの変更を求められません。

    それには、changePwdFlagパラメータをyesに設定し、「基本構成」セクションのdummyPasswordパラメータに文字列を入力します。このように設定すると、Oracle Identity Governanceでユーザー・アカウントを作成する際、ユーザーはまずダミー・パスワードを使用して作成されます。その後すぐに、ユーザーのパスワードは、プロセス・フォームに入力されたパスワードに変更されます。ユーザーがターゲット・システムにログインする際、パスワードを変更するよう求められません。

    ノート:

    いくつかのターゲット・システムのセキュリティ・ポリシーでは、ユーザーは1日に1度しかパスワードを変更できません。このような場合、ターゲット・システムではパスワードのリセットのみ可能で、変更はできません。パスワード更新タスクからは、Could not update user NEW_PASSWORD_INVALIDなどのエラー・メッセージがスローされます。

    ターゲット・システムでユーザーのパスワード機能が無効になっている場合は、changePwdFlagパラメータをnoに設定します。

4.4 ロギングの管理

Oracle Identity GovernanceではOracle Diagnostic Logging (ODL)ロギング・サービスを使用して、コネクタに関連するすべてのタイプのイベントを記録します。

次のトピックでは、ロギングについて詳しく説明します。

4.4.1 ログ・レベルの理解

ロギングを有効化すると、Oracle Identity Governanceはプロビジョニング操作およびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。

ODLはOracle Identity Governanceにより原則的に使用されるロギング・サービスで、java.util.loggerに基づいています。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。

  • SEVERE.intValue()+100

    このレベルでは、致命的なエラーに関する情報のロギングが有効化されます。

  • SEVERE

    このレベルでは、Oracle Identity Governanceの実行を続行できる可能性があるエラーに関する情報のロギングが有効化されます。

  • WARNING

    このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。

  • INFO

    このレベルでは、アプリケーションの進行状況を示すメッセージのロギングが有効化されます。

  • CONFIG

    このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。

  • FINE、FINER、FINEST

    これらのレベルでは、詳細なイベントに関する情報のロギングが有効化され、FINESTではすべてのイベントに関する情報がロギングされます。

これらのメッセージ・タイプは、表4-1に示すようなODLメッセージ・タイプとレベルの組合せにマップされます。

表4-1 ログ・レベルおよびODLメッセージ・タイプ: レベルの組合せ

Javaのレベル ODLのメッセージ・タイプ: レベル

SEVERE.intValue()+100

INCIDENT_ERROR:1

SEVERE

ERROR:1

WARNING

WARNING:1

INFO

NOTIFICATION:1

CONFIG

NOTIFICATION:16

FINE

TRACE:1

FINER

TRACE:16

FINEST

TRACE:32

OJDLの構成ファイルはlogging.xmlで、次のパスにあります。

DOMAIN_HOME/config/fmwconfig/servers/OIM_SERVER/logging.xml

ここで、DOMAIN_HOMEOIM_SERVERは、それぞれOracle Identity Governanceのインストール時に指定されたドメイン名とサーバー名です。

4.4.2 ロギングの有効化

Oracle WebLogic Serverでロギングを有効化するには:

  1. logging.xmlファイルを次のように編集します。

    1. ファイルに次のブロックを追加します。

      <log_handler name='sap-handler' level='[LOG_LEVEL]' class='oracle.core.ojdl.logging.ODLHandlerFactory'>
<property name='logreader:' value='off'/>
     <property name='path' value='[FILE_NAME]'/>
     <property name='format' value='ODL-Text'/>
     <property name='useThreadName' value='true'/>
     <property name='locale' value='en'/>
     <property name='maxFileSize' value='5242880'/>
     <property name='maxLogSize' value='52428800'/>
     <property name='encoding' value='UTF-8'/>
   </log_handler>
      <logger name="ORG.IDENTITYCONNECTORS.SAPUME" level="[LOG_LEVEL]" useParentHandlers="false">
     <handler name="sap-handler"/>
     <handler name="console-handler"/>
   </logger>

      SAP GRCを使用している場合、次のブロックを追加します。

      <logger name="ORG.IDENTITYCONNECTORS.SAPAC" level="[Log_LEVEL]" useParentHandlers="false">
     <handler name="sap-handler"/>
     <handler name="console-handler"/>
</logger>

      アプリケーション・オンボードを使用している場合、次のブロックを追加します。

      <logger name='oracle.iam.application' level="[Log_LEVEL]" useParentHandlers='false'>
     <handler name='sap-handler'/>
     <handler name='console-handler'/>
</logger>

    2. 2箇所の[LOG_LEVEL]を、必要なODLのメッセージ・タイプとレベルの組合せで置き換えます。サポートされているメッセージ・タイプとレベルの組合せは、ログ・レベルの理解に示されています。

      同様に、記録されるメッセージをロギングするログ・ファイルのフルパスと名前で、[FILE_NAME]を置き換えます。

      次のブロックは、[LOG_LEVEL]および[FILE_NAME]のサンプル値を示しています。 

      <log_handler name='sap-handler' level='NOTIFICATION:1' class='oracle.core.ojdl.logging.ODLHandlerFactory'>
<property name='logreader:' value='off'/>
     <property name='path' value='F:\MyMachine\middleware\user_projects\domains\base_domain1\servers\oim_server1\logs\oim_server1-diagnostic-1.log'/>
     <property name='format' value='ODL-Text'/>
     <property name='useThreadName' value='true'/>
     <property name='locale' value='en'/>
     <property name='maxFileSize' value='5242880'/>
     <property name='maxLogSize' value='52428800'/>
     <property name='encoding' value='UTF-8'/>
   </log_handler>

      <logger name="ORG.IDENTITYCONNECTORS.SAPUME" level="NOTIFICATION:1" useParentHandlers="false">
     <handler name="sap-handler"/>
     <handler name="console-handler"/>
   </logger>

      SAP GRCを使用している場合、次のブロックを追加します。

      <logger name="ORG.IDENTITYCONNECTORS.SAPAC" level="NOTIFICATION:1" useParentHandlers="false">
     <handler name="sap-handler"/>
     <handler name="console-handler"/>
</logger>

      アプリケーション・オンボードを使用している場合、次のブロックを追加します。

      <logger name='oracle.iam.application' level="NOTIFICATION:1" useParentHandlers='false'>
     <handler name='sap-handler'/>
     <handler name='console-handler'/>
</logger>
</logger>

      これらのサンプル値を設定してOracle Identity Governanceを使用すると、このコネクタについて生成される、ログ・レベルがNOTIFICATION:1レベル以上のすべてのメッセージが指定のファイルに記録されます。

  2. ファイルを保存して閉じます。

  3. サーバー・ログをファイルにリダイレクトするには、次の環境変数を設定します。

    Microsoft Windowsの場合:

    set WLS_REDIRECT_LOG=FILENAME

    UNIXの場合:

    export WLS_REDIRECT_LOG=FILENAME

    FILENAMEを、出力のリダイレクト先ファイルの場所と名前に置き換えます。

  4. アプリケーション・サーバーを再起動します。

4.5 ターゲット・システムとOracle Identity Governance間の通信を保護するためのSSLの構成

Oracle Identity Governanceとターゲット・システムの間のデータ通信を保護するためにSSLを構成します。

ターゲット・システムとOracle Identity Governance間にSSLを構成するには:

  1. ターゲット・システムで証明書を生成します。

    手順の詳細は、ターゲット・システムのドキュメントを参照してください。

  2. Oracle Identity Governanceに証明書をインポートするには:

    1. Oracle Identity Governanceホスト・コンピュータにターゲット・システム証明書をコピーします。

    2. コマンド・ウィンドウで証明書ファイルのコピー先ディレクトリに移動し、次のようなコマンドを入力します。

      keytool -import -alias ALIAS -file CER_FILE -keystore MY_CACERTS -storepass PASSWORD

      コマンドの説明は次のとおりです。

      ALIASは、証明書の別名です(たとえば、サーバー名など)。

      CER_FILEは、証明書(cer.)ファイルのフルパスおよび名前です。

      表4-2に、サポートされるアプリケーション・サーバーの証明書ストアの場所を示します。

      次に、サンプル・コマンドを示します。

      keytool -import -alias ibm1-cert140 -file C:\syaug24\Middleware\ibm1-cert.cer -keystore C:\syaug24\Middleware\jrockit_160_24_D1.1.2-4\jre\lib\security\cacerts -storepass changeit

      表4-2 証明書ストアの場所

      アプリケーション・サーバー 証明書ストアの場所

      Oracle WebLogic Server

      • Oracle jrockit_R27.3.1-jdkを使用している場合、証明を次のディレクトリにコピーします。

        JROCKIT_HOME/jre/lib/security/cacerts

      • デフォルトのOracle WebLogic Server JDKを使用している場合、証明を次のディレクトリにコピーします。

        WEBLOGIC_HOME/java/jre/lib/security/cacerts

    3. 次のようなコマンドを入力し、証明書のインポートが成功しているかどうかを確認します。

      keytool -list -alias ALIAS -keystore MY_CACERTS -storepass PASSWORD

      次に例を示します。

      keytool -list -alias MyAlias -keystore C:\mydir\java\jre\lib\security\cacerts -storepass changeit

4.6 コネクタ・サーバーのITリソースの構成

コネクタ・サーバーを使用した場合は、コネクタ・サーバーITリソースのパラメータの値を構成する必要があります。

ターゲット・システムのアプリケーションを作成した後に、『Oracle Fusion Middleware Oracle Identity Governanceの管理』ITリソースの作成に関する項の説明に従ってコネクタ・サーバーのITリソースを作成する必要があります。ITリソースを作成するときは、必ず「ITリソース・タイプ」リストから「コネクタ・サーバー」を選択します。さらに、表4-3に記載されているコネクタ・サーバーのITリソースのパラメータの値を指定します。ITリソースの検索とそのパラメータの更新の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』ITリソースの管理に関する項を参照してください。

表4-3 コネクタ・サーバーのITリソースのパラメータ

パラメータ 説明

ホスト

コネクタ・サーバーのホスト・コンピュータのホスト名またはIPアドレスを入力します。

サンプル値: RManager

キー

Javaコネクタ・サーバーのキーを入力します。

ポート

コネクタ・サーバーがリスニングしているポートの番号を入力します。

デフォルト値: 8759

タイムアウト

コネクタ・サーバーとOracle Identity Governanceの間の接続がタイムアウトになるまでの時間(ミリ秒)を指定する整数値を入力します。

サンプル値: 300

UseSSL

Oracle Identity Governanceとコネクタ・サーバーとの間にSSLを構成するよう指定する場合は、trueを入力します。それ以外の場合は、falseを入力します。

デフォルト値: false

ノート: connectorserver.usesslプロパティをtrueに設定し、ターゲット・システムの証明書をコネクタ・サーバーのJDKキーストアにインポートして、SSLを使用してコネクタ・サーバーと通信するようにコネクタを構成した場合、ターゲット・システムにアクセスしようとしたり、コネクタ・サーバーを実行しようとすると、エラーが返されます。

4.7 コネクタのAccess Request Management機能の構成

プロビジョニング・リクエストをSAP GRC Access Request Managementに送信するための媒体としてOracle Identity Governanceを構成できます。Oracle Identity GovernanceからのリクエストはAccess Request Managementに送信され、そこからリクエストに含まれているプロビジョニング・データがターゲット・システム(SAP NetWeaver Java Application Server)に転送されます。結果として、ターゲット・システムでユーザー・アカウントが作成または変更されます。

ノート:

Access Request Management機能を構成する前に、「アプリケーション構成の使用に関するガイドライン」に記載されているガイドラインを参照することをお薦めします。

プロビジョニング操作用にSAP GRC Access Request Managementでリクエスト・タイプとワークフローを作成および構成する必要があります。

  1. SAP GRC Access Request Managementでリクエスト・タイプを作成します。

    リエクストの処理時に実行されるアクションは、SAP GRC Access Request Managementのリクエスト・タイプによって定義されます。Oracle Identity Governanceはリクエスタです。SAP GRC Access Request Managementで定義されたリクエスト・タイプと連動して機能します。アプリケーションの拡張構成では、Oracle Identity Governanceを介して送信されたプロビジョニング操作にリクエスト・タイプがマップされます。

  2. アクセス・リクエスト・ワークフローをMSMP (Multi Step Multi process) Workflowエンジンを使用して作成します。

4.8 SoD (職務の分離)の構成

SoDは、1ユーザーにビジネス・プロセスの1モジュールのみのアクセス権を与えて、不正やエラーのリスクを減らすために、他のモジュールにアクセスできないようにするためのプロセスです。

この項の内容は次のとおりです。

ノート:

ALL USERSグループには、UD_SAPUMEおよびUD_UME_ROLEの各プロセス・フォームに対するINSERT、UPDATEおよびDELETE権限があります。権限リクエストのSoD検証では、データはまずダミー・オブジェクト・フォームからダミー・プロセス・フォームに移されます。そのフォームからデータが検証のためにSoDエンジンに送信されます。リクエストがSoD検証をクリアすると、データがダミー・プロセス・フォームから実際のプロセス・フォームに移されます。データはAPIを介して実際のプロセス・フォームに移されるため、ALL USERSグループには3つのプロセス・フォームに対するINSERT、UPDATEおよびDELETE権限が必要です。

4.8.1 GRC UME-ITRes ITリソースの値の指定

GRC UME-ITRes ITリソースには、SAP GRC Access Request Managementとの通信中に使用される情報が保持されています。このITリソースのパラメータに値を設定するには:

  1. Oracle Identity Governance 12.2.1.3.0の場合は、Oracle Identity System Administrationにログインします。

  2. 左ペインの「構成」で、「ITリソース」をクリックします。

  3. 「ITリソースの管理」ページの「ITリソース名」フィールドにGRC UME-ITResと入力して、「検索」をクリックします。

  4. ITリソースの編集アイコンをクリックします。

  5. ページ上部のリストから、「詳細およびパラメータ」を選択します。

  6. ITリソースのパラメータの値を指定します。

    表4-4に、GRC UME-ITRes ITリソースのパラメータを示します。

    表4-4 GRC UME-ITRes ITリソースのパラメータ

    パラメータ 説明

    構成参照

    構成参照定義の名前を入力します。

    Lookupの値

    Lookup.SAPUME.Configuration

    コネクタ・サーバー名

    Connector ServerタイプのITリソースの名前。

    言語

    ターゲット・システムで設定された言語を表す2文字のコードを入力します。

    サンプル値: EN

    パスワード

    Access Request Managementシステムで作成されたアカウントのパスワードを入力します。

    ポート

    Access Request Managementシステムがリスニングしているポートの番号を入力します。

    サンプル値: 8090

    サーバー

    Access Request Managementシステムがリスニングしているホスト・コンピュータのIPアドレスを入力します。

    サンプル値: 10.231.231.231

    ユーザー名

    Access Request Managementシステムで作成されたアカウントのユーザー名を入力します。このアカウントは、リクエスト検証中に使用されるAccess Request ManagementシステムAPIをコールするために使用されます。

    サンプル値: jdoe

  7. 「更新」をクリックして、値を保存します。

4.8.2 SAP GRCをSoDエンジンとして機能させるための構成

SoDエンジンとして機能するようにSAP GRCを構成するには、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド 11g リリース1 (11.1.2)』のUsing Segregation of Duties (SoD)に関する項を参照してください。

4.8.3 TopologyName基本構成パラメータの値の指定

TopologyName ITリソース・パラメータには、SoD検証のために使用する次の要素を組み合せた名前を指定します。

  • Oracle Identity Governanceインストール

  • SAP GRCインストール

  • SAP ERPインストール

GRC-ITRes ITリソースはデフォルトで登録されています。ただし、GRC UME-ITRes ITリソースは手動で登録し、TopologyName ITリソース・パラメータの値として新しいトポロジ名を入力する必要があります。

GRC UME-ITRes ITリソースを登録するには:

  1. 次のコマンドを実行し、SAPおよびGRCのインスタンス名を追加します。

    Microsoft Windowsの場合: OIM_HOME\server\bin>registration.bat

    UNIXベースのコンピュータの場合: OIM_HOME/server/bin/./registration.sh

    このコマンドを実行した後、次のサンプル出力に示すようなオプションを入力します。

    Do you want to proceed with registration? (y/n) y
Register System Instance for type OIM ?(y/n) n
Register System Instance for type EBS ?(y/n) n
Register System Instance for type PSFT ?(y/n) n
Register System Instance for type OAACG ?(y/n) n
Register System Instance for type SAP ?(y/n) y
Provide instance name sap1
Register System Instance for type GRC ?(y/n) y
Provide instance name grc1
GRC ITResource Instance Name: GRC UME-ITRes
Register System Instance for type OIM SDS ?(y/n) n
Register System Instance for type OIA ?(y/n) n
  2. 次のコマンドを実行し、前述のインスタンス名の登録IDを確認します。

    OIM_HOME\server\bin>registration printRegistrationIDs

  3. metadata/iam-features-sil/db/SILConfig.xmlファイルをMDSからインポートし、<Topology>要素をステップ2で確認したIDとともに追加します。

    サンプル要素を次に示します。

    <Topology>
    <name>sodgrcume</name>
    <IdmId>1</IdmId>
    <SodId>24</SodId>
    <SDSId>23</SDSId>
</Topology>
  4. metadata/iam-features-sil/db/SILConfig.xmlファイルをMDSにエクスポートし、サーバーを再起動します。

基本構成のパラメータの値を指定する方法の詳細は、「基本構成パラメータ」を参照してください。

4.8.4 SoDの無効化および有効化

この項では、Oracle Identity GovernanceでSoDを無効化および有効化する手順を説明します。

4.8.4.1 Oracle Identity GovernanceでのSoDの無効化

SoDを無効化するには、次のようにします。

  1. Oracle Identity Governanceリリース12.2.1.3.0の場合は、Oracle Identity System Administrationにログインします。

  2. 左ペインの「システム管理」の下で、「システム構成」をクリックします。

  3. 「システム構成の検索」ボックスにXL.SoDCheckRequiredと入力し、「検索」をクリックします。

    検索基準に一致するリストが検索結果表に表示されます。

  4. XL.SoDCheckRequiredプロパティ名をクリックします。

    SoDのシステム・プロパティが右側のペインに表示されます。

  5. 「値」ボックスにFALSEと入力し、SoDを無効化します。

  6. 「保存」をクリックします。

  7. Oracle Identity Governanceを再起動します。

4.8.4.2 Oracle Identity GovernanceでのSoDの有効化

SoDを有効化するには、次のようにします。

  1. Oracle Identity Governanceリリース12.2.1.3.0の場合は、Oracle Identity System Administrationにログインします。

  2. 左ペインの「システム管理」の下で、「システム構成」をクリックします。

  3. 「システム構成の検索」ボックスにXL.SoDCheckRequiredと入力し、「検索」をクリックします。

    検索基準に一致するリストが検索結果表に表示されます。

  4. XL.SoDCheckRequiredプロパティ名をクリックします。

    SoDのシステム・プロパティが右側のペインに表示されます。

  5. 「値」ボックスにTRUEと入力し、SoDを有効化します。

  6. 「保存」をクリックします。

  7. Oracle Identity Governanceを再起動します。

4.9 SAP GRCからのWSDLファイルのダウンロード

SAP GRCでは、Webサービスを構成する前にSAP GRCからWSDLファイルをダウンロードする必要があります。コネクタがSAPのWebサービスに接続するにはWSDLが必要です。

コネクタでは基本の認証のみがサポートされるため、OIGからサポートされている次のWebサービスの「ユーザーID/パスワード」チェック・ボックスを選択します。

WSDL 説明

GRAC_AUDIT_LOGS_WS

監査ログWebサービス

GRAC_LOOKUP_WS

参照サービス

GRAC_REQUEST_STATUS_WS

リクエスト・ステータスWebサービス

GRAC_SELECT_APPL_WS

アプリケーション選択Webサービス

GRAC_USER_ACCESS_WS

ユーザー・アクセス・リクエスト・サービス

GRAC_SEARCH_ROLES_WS

ロール検索Webサービス

WSDLファイルをダウンロードする場合、必ずSOA管理ページに記載されているのと同じ名前で保存してください。さらに、WSDLファイルを格納するフォルダに読取り権限があることを確認してください。

4.10 UIフォームにおけるフィールド・ラベルのローカライズ

使用する言語に対応するリソース・バンドルを使用して、UIフォーム・フィールド・ラベルをローカライズできます。リソース・バンドルはコネクタ・インストール・メディアに用意されています。

ノート:

この項で説明する手順は、Oracle Identity Managerリリース11.1.2.x以降を使用しており、UIフォーム・フィールド・ラベルをローカライズする場合にのみ実行します。

UIフォームで追加するフィールド・ラベルをローカライズするには:

  1. Oracle Enterprise Managerにログインします。

  2. 左側のペインで、「アプリケーションのデプロイ」を開き、oracle.iam.console.identity.sysadmin.earを選択します。

  3. 右側のペインで、「アプリケーションのデプロイ」リストから、「MDS構成」を選択します。

  4. 「MDS構成」ページで、「エクスポート」をクリックして、ローカル・コンピュータにアーカイブ(oracle.iam.console.identity.sysadmin.ear_V2.0_metadata.zip)を保存します。

  5. アーカイブの内容を抽出し、テキスト・エディタでSAVED_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle_en.xlfファイルを開きます。

    ノート:

     ターゲット・システムのアプリケーションの作成を完了するか、UDFの作成などのカスタマイズを実行する場合を除いて、BizEditorBundle.xlfを表示することはできません。

  6. BizEditorBundle.xlfファイルを次の方法で編集します。

    1. 次のテキストを検索します。

      <file source-language="en"  
original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
datatype="x-oracle-adf">

    2. 次のテキストで置き換えます。

      <file source-language="en" target-language="LANG_CODE"
original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
datatype="x-oracle-adf">

      このテキストのLANG_CODEを、フォーム・フィールド・ラベルをローカライズする言語のコードに置き換えます。フォーム・フィールド・ラベルを日本語でローカライズする場合の値の例を次に示します。

      <file source-language="en" target-language="ja"
original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf"
datatype="x-oracle-adf">

    3. アプリケーション・インスタンスのコードを検索します。この手順では、SAP User Management Engineアプリケーション・インスタンス用の編集サンプルを示します。元のコードは次のとおりです。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_SAPUME_DEPARTMENT__c_description']}">
<source>Department</source>
</target>
</trans-unit>
<trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.SAPUMEFORM.entity.SAPUMEFORMEO.UD_SAPUME_DEPARTMENT__c_LABEL">
<source>Department</source>
</target>
</trans-unit>

    4. コネクタ・パッケージに入っているリソース・ファイル(例、SAPUME_ja.properties)を開き、そのファイルの属性の値(例、global.udf.UD_SAPUME_DEPARTMENT=\u90E8\u9580)を取得します。

    5. ステップ6.bに示されている元のコードを、次のものに置き換えます。

      <trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_SAPUME_DEPARTMENT__c_description']}">
<source>Department</source>
<target>\u90E8\u9580</target>
</trans-unit>
<trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.SAPUMEFORM.entity.SAPUMEFORMEO.UD_SAPUME_DEPARTMENT__c_LABEL">
<source>Department</source>
<target>\u90E8\u9580</target>
</trans-unit>

    6. プロセス・フォームのすべての属性に対し、ステップ6.aから6.dを繰り返します。

    7. ファイルをBizEditorBundle_LANG_CODE.xlfとして保存します。このファイル名のLANG_CODEを、ローカライズしている言語のコードに置き換えます。

      サンプル・ファイル名: BizEditorBundle_ja.xlf.

  7. ZIPファイルを再パッケージしてMDSにインポートします。

    関連項目:

    メタデータ・ファイルのエクスポートおよびインポートの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』カスタマイズのデプロイおよびアンデプロイに関する項を参照してください

  8. Oracle Identity Governanceからログアウトしてから、ログインします。

4.11 SAPUMEプロセス・フォームおよびSAP AC UMEプロセス・フォームとターゲット・システムのフィールド長の同期化

ターゲット・システムの属性値のフィールド長は、SAPUMEプロセス・フォーム・フィールドおよびSAP AC UMEプロセス・フォーム・フィールドの値のフィールド長と同じである必要があります。