アイデンティティ管理診断フレームワークの使用

29 アイデンティティ管理診断フレームワークの使用

アイデンティティ管理診断フレームワーク(IDMDF)の使用には、フレームワークの有効化と構成、IDMDFの動作の理解、ロギングとデバッグの出力の使用が含まれます。

トピック

29.1 アイデンティティ管理診断フレームワークについて

アイデンティティ管理診断フレームワーク(IDMDF)は、最初の発生診断および(サービス・レベル合意) SLAベースの通知を提供するフレームワークです。

IDMDFには、問題をより迅速に解決するための診断フレームワークが用意されています。

このクラスは次の機能を提供します。

事前定義済イベントに対するSLAベースのイベント・モニタリングの有効化/無効化
事前定義済イベントのSLAの更新/設定
SLA違反の詳細なイベント・ロギング
イベント・ログとともにSLA違反の通知
インメモリー・ロギングが有効な場合にのみ、失敗した操作およびSLA違反のトレース・レベル・ログ(まれなケースでのみ使用する必要があります)。

29.2 IDMDFの有効化

IDMDFは、IDMDF: Sysadminによって有効化/無効化システム・プロパティの値を設定することで有効または無効になります。

IDMDFを使用したOracle Identity GovernanceでのSLAベース・モニタリングは、デフォルトで無効になっています。有効にするには:

アイデンティティ・システム管理にログインします。
左のナビゲーション・ペインの「システム構成」で、「構成プロパティ」をクリックします。
「システム構成」タブで、キーワードIDM.Diagnostics.Enabledを使用してIDMDF: Sysadminによって有効化/無効化システム・プロパティを検索します。
システム・プロパティ名をクリックして開きます。
値フィールドで、現在の値をtrueに置き換えます。
「保存」をクリックします。

29.3 IDM診断フレームワークの構成

Oracle Identity Governanceには、SLAベースの監視および通知を制御するために事前定義された多くのシステム・プロパティが用意されています。

システム・プロパティの値を変更して、様々な操作をデバッグする方法を変更できます。表29 -1に、これらのプロパティをリストします。

表29-1 ロギングを制御する構成可能なプロパティ

システム・プロパティ	説明	デフォルト/サンプル値
IDMDF: デバッグ・モード(true/false)	IDMDFフレームワークのログをログ・ファイルに保存するかどうかを決定するためのプロパティ。	デフォルト値はFalseであるため、デバッグ・モードは無効です。 Trueに設定すると、デバッグ・モードが有効になります。
IDMDF: デフォルトSLA	イベントのデフォルトSLAのサイズを決定するためのプロパティ。	600000ミリ秒
IDMDF: SMTPサーバー名	電子メール通知を送信するサーバーを指定するためのプロパティ。	localhost
IDMDF: フラッド制御期間(日数)	フラッド制御最大電子メールの保存期間を日数で示すためのプロパティ。定義された日数が経過すると、フラッド制御最大電子メール・カウンタがリセットされます。	1
IDMDF: Sysadminによって有効化/無効化	IDMDFを有効または無効にするためにシステム管理者によって使用されるプロパティ。	false
IDMDF: 状況依存ログを保持するバッファ・サイズ	製品の詳細ログを保持するキュー内のレコード数を決定するためのプロパティ。	10000
IDMDF: 失敗したレコードを保持するバッファ・サイズ	失敗(機能/SLA)イベントを保持するキュー内のレコード数を決定するためのプロパティ。	1000
IDMDF: 同時に実行できなかったイベントの最大数	イベントを同時に実行し、データベースに配置するスレッド数を決定するためのプロパティ。	2
IDMDF: インメモリー・ロギング	ログをメモリーに格納するかどうかを決定するためのプロパティ。	false
IDMDF: 添付ファイル・パス	添付ファイルを格納するパスを指定するためのプロパティ。	デフォルト値: /scratch/IDMDFAttachment サンプル値: OIM_HOME/IDMDFAttachment/
IDMDF: 通知テンプレート・ファイル名	通知テンプレート・ファイル名を決定するためのプロパティ。	None
IDMDF: 電子メール・メッセージ・テンプレート・パス	電子メール・メッセージ・テンプレートのパスを決定するためのプロパティ。	None
IDMDF: SLAテンプレート・ファイル名	定義済のユース・ケースのSLAのリストを含むファイルを決定するためのプロパティ。	None
IDMDF: IDMDF Rest serviceエンドポイント	IDMDFサービスがデプロイされるURLを決定するためのプロパティ。	http://localhost:PORT/idmeventrecording
IDMDF: 電子メール通知元	通知の送信元の電子メール・アドレスを決定するためのプロパティ。	dummy.dummy@dummy.com
IDMDF: 電子メール通知先	通知の送信先の電子メール・アドレスを決定するためのプロパティ。	dummy.dummy@dummy.com
IDMDF: 通知プロバイダ	通知の送信に使用されるサービスを決定するためのプロパティ。	oracle.idm.diagnostics.notification.service.impl.IdmdfNotifier ノート: デフォルトの通知プロバイダを変更し、カスタム通知プロバイダを使用する場合は、oracle.idm.diagnostics.notification.service.impl.IdmdfNotifierベース・クラスを拡張します。そのためには、「カスタム通知プロバイダの構成」で説明している手順を実行します。
IDMDF: フラッド制御最大電子メール	ユース・ケースごとに許可される通知の最大数を決定するためのプロパティ。	2

事前定義済のIDMDFシステム・プロパティの詳細は、「Oracle Identity Governanceのデフォルトのシステム・プロパティ」を参照してください。

システム・プロパティの変更の詳細は、「システム・プロパティの編集」を参照してください。

29.4 SLAモニタリングのワークフローについて

IDMDFによるロギングおよび通知の優先順位は、カスタム・システム・プロパティ、事前定義済SLA値、すべてのイベントのデフォルトSLA値の順です。

IDMDFを有効化すると、SLAモニタリングと通知は次のように動作します。

Oracle Identity Governanceでは、操作またはイベントのSLA値を設定できます。これは、IDMDF:EVENT_NAMEという形式のキーワードを使用してシステム・プロパティを定義し、適切な値を指定することで実行できます。「事前定義済操作のSLA」にリストされているように、事前定義済イベントAPIおよび対応するSLA値のリストを参照して、イベント名を判別できます。

たとえば、検索カタログ・イベントの場合、作成するシステム・プロパティにキーワードIDMDF.Search.Catalogを指定し、値を50000に設定します(ミリ秒単位)。ここでは、事前定義済イベントAPI名はSearch Catalog-APIです。システム・プロパティに指定した値により、事前定義済のSLA値(60000ミリ秒)がオーバーライドされます。そのため、検索カタログの操作が完了するまでに50000ミリ秒より長くかかる場合、診断情報を含む通知が管理者に送信されます。

ノート:

システム・プロパティの作成の詳細は、「システム・プロパティの追加」を参照してください。

IDMDFの出力および通知が送信されるメール形式の詳細は、「出力の理解」を参照してください。

イベントに対してプロパティが定義されていて、その適切な値が設定されている場合、IDMDFはそのプロパティを使用して通知をログに記録および送信します。
イベントに対してシステム・プロパティを定義しない場合、そのイベントAPIのデフォルトのSLA値は、SLAモニタリングと通知の送信のためにIDMDFで考慮されます。
イベントに対してSLA値が事前定義されていない場合、そのイベントのSLA値はIDMDF: デフォルトSLAシステム・プロパティによって決定されます。IDMDF: デフォルトSLAシステム・プロパティの詳細は、「Oracle Identity Governanceのデフォルトのシステム・プロパティ」を参照してください。

29.5 事前定義済操作のSLA

Oracle Identity Governanceには、様々な操作に対するデフォルトのSLA値が用意されています。

表29-2に、事前定義済の操作またはイベントとそれに対応するSLA値を示します。

表29-2 事前定義済のイベントとSLA値

カテゴリ	イベント	SLA (ミリ秒)
カタログAPI	Find Catalog-API	60000
カタログAPI	Search Catalog-API	60000
カタログAPI	Catalog Item Details-API	60000
カタログAPI	Catalog Details In Bulk-API	60000
カタログAPI	Catalog Details As Metadata-API	60000
カタログUI	Find Catalog-UI	60000
カタログUI	Catalog Item Details-UI	60000
自己登録API	Self Registration-API	60000
自己登録UI	Self Registration-UI	60000
リクエストのトラッキングAPI	Get Request Data-API	60000
リクエストのトラッキングAPI	Withdraw Request_API	60000
リクエストのトラッキングAPI	Close Request-API	60000
リクエストのトラッキングAPI	Get Requests-API	60000
リクエストのトラッキングUI	Track Request-UI	60000
リクエストのトラッキングUI	Withdraw Request-UI	60000
リクエストのトラッキングUI	Close Request-UI	60000
リクエストのトラッキングUI	Get Requests-UI	60000
アプリケーション・オンボーディング	Create Application-REST	60000
アプリケーション・オンボーディング	Create Application-API	60000
アプリケーション・オンボーディング	Create Application Instance-API	60000
リコンシリエーション	Create Reconciliation Event-API	60000
プロビジョニング	Account Provision-API	60000
プロビジョニング	Revoke Account-API	60000
プロビジョニング	Revoke Entitlement-API	60000
ロールAPI	Create Role-API	60000
ロールAPI	Update Role-API	60000
ロールAPI	Modify Role Based On SearchCriteria-API	60000
ロールAPI	Delete Role-API	60000
ロールAPI	Delete Bulk Role-API	60000
ロールUI	Delete Bulk Role-API	60000
アクセス・ポリシーAPI	Evaluate Policies For User-API	60000
アクセス・ポリシーAPI	Initiate Policy Evaluation-API	60000
アクセス・ポリシーAPI	Create Access Policy-API	60000
アクセス・ポリシーAPI	Update Access Policy-API	60000
アクセス・ポリシーAPI	Delete Access Policy-API	60000
アクセス・ポリシーUI	Update Access Policy-UI	60000
アクセス・ポリシーUI	Delete Access Policy-UI	60000
アクセス・ポリシーUI	Create Access Policy-UI	60000
本人情報UI	Update MyInfo Changes-UI	60000
本人情報UI	Apply Changes For ChallengeQuestion-UI	60000
本人情報UI	MyInformation Change User Password-UI	60000
本人情報UI	Apply Proxy Add/Update-UI	60000
本人情報UI	Remove Proxy-UI	60000
本人情報UI	Remove All Proxy-UI	60000
本人情報API	Change password-API	60000
本人情報API	Set challenge values-API	60000
本人情報API	Modify Profile Details-API	60000
本人情報API	Add Proxy For User-API	60000
本人情報API	Update Proxy For User-API	60000
本人情報API	Remove Proxy-API	60000
本人情報API	Remove All Proxies For User-API	60000
パスワード・ポリシーUI	Delete Password Policy-UI	60000
パスワード・ポリシーUI	Apply Create/Update Password Policy-UI	60000
パスワード・ポリシーAPI	Delete Password Policy-API	60000
パスワード・ポリシーAPI	Update Password Policy-API	60000
パスワード・ポリシーAPI	Create Password Policy-API	60000
証明API	Complete Certification-API	60000
証明API	Certify Users-API	60000
証明API	Reassign Items Phase60000-API	60000
証明API	Save Certification Definition-API	60000
証明API	Create Certification Job-API	60000
証明API	Update Certification-API	60000
SoD API	Initiate SoD Check=-API	60000
SoD API	Get Result For Synchronous SoD Check-API	60000
SoD API	Execute Sod Async Provisioning Task-API	60000
SoD API	Execute Sod Async Task-API	60000
該当なし	Create User-API	60000
該当なし	Delete User-API	60000
該当なし	Delete User by search criteria-API	60000
該当なし	Delete Users in Bulk-API	60000
該当なし	Update Audit Profile	60000
該当なし	Update Audit Records	60000
該当なし	Initialize IAuditor	60000
該当なし	Create Auditor	60000
該当なし	Create Audit Event	60000
該当なし	Create Audit Event in Bulk	60000
該当なし	Delete AuditEvent Group	60000
該当なし	Create Fresh Profile	60000
該当なし	Create AuditEvent Group	60000
該当なし	Create and Modify Organization-UI	60000
該当なし	Delete Organization-UI	60000
該当なし	Modify User-API	60000
該当なし	Modify User by search criteria-API	60000
該当なし	Modify Users in bulk-API	60000
該当なし	Create and Modify AdminRole-UI	60000
該当なし	Save AdminRole-UI	60000
該当なし	Delete the AdminRole-UI	60000
該当なし	Approval Callback-UI	60000
該当なし	Submit Request-UI	60000
該当なし	Create User-REST	60000
該当なし	Submit OIM Operation-API	60000
該当なし	Submit Request-API	60000
該当なし	Approval Callback-API	60000
該当なし	Post Approval Callback-API	60000
該当なし	Start Orchestration-API	60000
該当なし	Create Organization-API	60000
該当なし	Authorize Access-API	60000
該当なし	Refresh Entity Cache-API	60000
該当なし	Delete Organization-API	60000
該当なし	Execute OIM Event	60000
該当なし	Search Organization To Modify-API	60000
該当なし	Modify Organization-API	60000
該当なし	Send Notification-API	60000
該当なし	Send Bulk Notification-API	60000
該当なし	Create Admin Role-API	60000
該当なし	Modify Admin Role-API	60000
該当なし	Delete Admin Role-API	60000
該当なし	Submit OIM Operation-API	60000
該当なし	Async Processing-API	60000
該当なし	Create Entity-API	60000
該当なし	Modify Entity-API	60000
該当なし	Delete Entity-API	60000
該当なし	Find Entities-API	60000
該当なし	Find Entity-API	60000

29.6 出力の理解

IDMDFは、SLA失敗ごとに電子メール通知を送信します。

電子メールには、イベントおよび破綻したSLAに関する情報とともに、詳細ログおよびイベント・ツリーXMLファイルの2つの添付が含まれています。

通知電子メール

表29-3に、通知電子メールの内容を示します。

表29-3 IDMDF電子メール通知

フィールド	サンプル値	説明
ユーザー	4	ログインしているユーザーのユーザーID。
製品名	OIG	イベントが発生したアイデンティティ管理製品。IDMDFでは、Oracle Identity Governance (OIG)およびOracle Access Management (OAM)でのイベント・ロギングがサポートされます。
SLA	2 ms	デフォルトまたは定義済のSLA値(ミリ秒単位)。
開始時間	2019-03-01 01:18:24.99	イベントが開始した日時。
終了時間	2019-03-01 01:18:24.994	イベントが終了した日時。
実績所要時間	4 ms	イベントが完了するまでにかかった実際の時間(ミリ秒単位)。
ECID (イベント識別子)	dced1e07-1e20-4342-b8fb-3bc819b904df-0000000a	イベントの一意識別子。

詳細ログ

表29-4に、電子メール通知の詳細ログ添付内の情報を示します。

表29-4 詳細ログ

フィールド	サンプル値	説明
ログ・レベル	FINEST	診断ログ・レベル(INFO、FINE、FINEST、NONEのいずれか)。診断レベルの詳細は、「フレームワークで提供される構成可能な診断レベル」を参照してください。
ログ時間	Jan 14,2019 02:11:33.831	ログの日時。
ログ・メッセージ	Number of invocations of loginSessionCreated is 6	問題を示すエラーまたは警告メッセージ。
パラメータ	[getRunAsUser, configurationInstance, []]	ログのパラメータ。
ソース・クラス名	AuthenticationContextUtilForEJB	例外が発生したクラス、またはSLA違反が発生したソース・クラス。
ソース・メソッド名	setAuthenticationContextInEJB	実行に時間がかかるメソッド名。
スタック・トレース	該当なし	間に実行されるイベントの詳細を含むトレース。

イベント・ツリーXML

イベント・ツリーXMLファイルには、イベント実行に関する情報が含まれます。サンプルのイベント・ツリーXMLファイルの内容は、次のとおりです。

<structure>
   <thread>
      <threadId>25</threadId>
      <event name="Find Entities-API" startTime="Jan 14,2019 02:11:33.991" endTime="Jan 14,2019 02:11:34.002" status="SUCCESS">
         <eventDetails>find/lookup for a list of entites</eventDetails>
      </event>
      <event name="Authorize Access-API" startTime="Jan 14,2019 02:11:34.115" endTime="Jan 14,2019 02:11:34.115" status="SUCCESS">
         <eventDetails>Check if action is authorized for the user.</eventDetails>
      </event>
      <event name="Find Entity-API" startTime="Jan 14,2019 02:11:34.117" endTime="Jan 14,2019 02:11:34.131" status="SUCCESS">
         <eventDetails>find/lookup an entity</eventDetails>
      </event>
   </thread>
</structure>