29 アイデンティティ管理診断フレームワークの使用
アイデンティティ管理診断フレームワーク(IDMDF)の使用には、フレームワークの有効化と構成、IDMDFの動作の理解、ロギングとデバッグの出力の使用が含まれます。
29.1 アイデンティティ管理診断フレームワークについて
アイデンティティ管理診断フレームワーク(IDMDF)は、最初の発生診断および(サービス・レベル合意) SLAベースの通知を提供するフレームワークです。
IDMDFには、問題をより迅速に解決するための診断フレームワークが用意されています。
このクラスは次の機能を提供します。
- 事前定義済イベントに対するSLAベースのイベント・モニタリングの有効化/無効化
- 事前定義済イベントのSLAの更新/設定
- SLA違反の詳細なイベント・ロギング
- イベント・ログとともにSLA違反の通知
- インメモリー・ロギングが有効な場合にのみ、失敗した操作およびSLA違反のトレース・レベル・ログ(まれなケースでのみ使用する必要があります)。
29.2 IDMDFの有効化
IDMDFは、IDMDF: Sysadminによって有効化/無効化
システム・プロパティの値を設定することで有効または無効になります。
- アイデンティティ・システム管理にログインします。
- 左のナビゲーション・ペインの「システム構成」で、「構成プロパティ」をクリックします。
- 「システム構成」タブで、キーワード
IDM.Diagnostics.Enabled
を使用してIDMDF: Sysadminによって有効化/無効化
システム・プロパティを検索します。 - システム・プロパティ名をクリックして開きます。
- 値フィールドで、現在の値を
true
に置き換えます。 - 「保存」をクリックします。
29.3 IDM診断フレームワークの構成
Oracle Identity Governanceには、SLAベースの監視および通知を制御するために事前定義された多くのシステム・プロパティが用意されています。
システム・プロパティの値を変更して、様々な操作をデバッグする方法を変更できます。表29 -1に、これらのプロパティをリストします。
表29-1 ロギングを制御する構成可能なプロパティ
システム・プロパティ | 説明 | デフォルト/サンプル値 |
---|---|---|
IDMDF: デバッグ・モード(true/false) | IDMDFフレームワークのログをログ・ファイルに保存するかどうかを決定するためのプロパティ。 | デフォルト値はFalseであるため、デバッグ・モードは無効です。
Trueに設定すると、デバッグ・モードが有効になります。 |
IDMDF: デフォルトSLA | イベントのデフォルトSLAのサイズを決定するためのプロパティ。 | 600000ミリ秒 |
IDMDF: SMTPサーバー名 | 電子メール通知を送信するサーバーを指定するためのプロパティ。 | localhost |
IDMDF: フラッド制御期間(日数) | フラッド制御最大電子メールの保存期間を日数で示すためのプロパティ。定義された日数が経過すると、フラッド制御最大電子メール・カウンタがリセットされます。 | 1 |
IDMDF: Sysadminによって有効化/無効化 | IDMDFを有効または無効にするためにシステム管理者によって使用されるプロパティ。 | false |
IDMDF: 状況依存ログを保持するバッファ・サイズ | 製品の詳細ログを保持するキュー内のレコード数を決定するためのプロパティ。 | 10000 |
IDMDF: 失敗したレコードを保持するバッファ・サイズ | 失敗(機能/SLA)イベントを保持するキュー内のレコード数を決定するためのプロパティ。 | 1000 |
IDMDF: 同時に実行できなかったイベントの最大数 | イベントを同時に実行し、データベースに配置するスレッド数を決定するためのプロパティ。 | 2 |
IDMDF: インメモリー・ロギング | ログをメモリーに格納するかどうかを決定するためのプロパティ。 | false |
IDMDF: 添付ファイル・パス | 添付ファイルを格納するパスを指定するためのプロパティ。 | デフォルト値: /scratch/IDMDFAttachment
サンプル値: OIM_HOME/IDMDFAttachment/ |
IDMDF: 通知テンプレート・ファイル名 | 通知テンプレート・ファイル名を決定するためのプロパティ。 | None |
IDMDF: 電子メール・メッセージ・テンプレート・パス | 電子メール・メッセージ・テンプレートのパスを決定するためのプロパティ。 | None |
IDMDF: SLAテンプレート・ファイル名 | 定義済のユース・ケースのSLAのリストを含むファイルを決定するためのプロパティ。 | None |
IDMDF: IDMDF Rest serviceエンドポイント | IDMDFサービスがデプロイされるURLを決定するためのプロパティ。 | http://localhost:PORT/idmeventrecording |
IDMDF: 電子メール通知元 | 通知の送信元の電子メール・アドレスを決定するためのプロパティ。 | dummy.dummy@dummy.com |
IDMDF: 電子メール通知先 | 通知の送信先の電子メール・アドレスを決定するためのプロパティ。 | dummy.dummy@dummy.com |
IDMDF: 通知プロバイダ | 通知の送信に使用されるサービスを決定するためのプロパティ。 | oracle.idm.diagnostics.notification.service.impl.IdmdfNotifier
ノート: デフォルトの通知プロバイダを変更し、カスタム通知プロバイダを使用する場合は、oracle.idm.diagnostics.notification.service.impl.IdmdfNotifierベース・クラスを拡張します。そのためには、「カスタム通知プロバイダの構成」で説明している手順を実行します。 |
IDMDF: フラッド制御最大電子メール | ユース・ケースごとに許可される通知の最大数を決定するためのプロパティ。 | 2 |
事前定義済のIDMDFシステム・プロパティの詳細は、「Oracle Identity Governanceのデフォルトのシステム・プロパティ」を参照してください。
システム・プロパティの変更の詳細は、「システム・プロパティの編集」を参照してください。
29.4 SLAモニタリングのワークフローについて
IDMDFによるロギングおよび通知の優先順位は、カスタム・システム・プロパティ、事前定義済SLA値、すべてのイベントのデフォルトSLA値の順です。
29.5 事前定義済操作のSLA
Oracle Identity Governanceには、様々な操作に対するデフォルトのSLA値が用意されています。
表29-2に、事前定義済の操作またはイベントとそれに対応するSLA値を示します。
表29-2 事前定義済のイベントとSLA値
カテゴリ | イベント | SLA (ミリ秒) |
---|---|---|
カタログAPI | Find Catalog-API | 60000 |
カタログAPI | Search Catalog-API | 60000 |
カタログAPI | Catalog Item Details-API | 60000 |
カタログAPI | Catalog Details In Bulk-API | 60000 |
カタログAPI | Catalog Details As Metadata-API | 60000 |
カタログUI | Find Catalog-UI | 60000 |
カタログUI | Catalog Item Details-UI | 60000 |
自己登録API | Self Registration-API | 60000 |
自己登録UI | Self Registration-UI | 60000 |
リクエストのトラッキングAPI | Get Request Data-API | 60000 |
リクエストのトラッキングAPI | Withdraw Request_API | 60000 |
リクエストのトラッキングAPI | Close Request-API | 60000 |
リクエストのトラッキングAPI | Get Requests-API | 60000 |
リクエストのトラッキングUI | Track Request-UI | 60000 |
リクエストのトラッキングUI | Withdraw Request-UI | 60000 |
リクエストのトラッキングUI | Close Request-UI | 60000 |
リクエストのトラッキングUI | Get Requests-UI | 60000 |
アプリケーション・オンボーディング | Create Application-REST | 60000 |
アプリケーション・オンボーディング | Create Application-API | 60000 |
アプリケーション・オンボーディング | Create Application Instance-API | 60000 |
リコンシリエーション | Create Reconciliation Event-API | 60000 |
プロビジョニング | Account Provision-API | 60000 |
プロビジョニング | Revoke Account-API | 60000 |
プロビジョニング | Revoke Entitlement-API | 60000 |
ロールAPI | Create Role-API | 60000 |
ロールAPI | Update Role-API | 60000 |
ロールAPI | Modify Role Based On SearchCriteria-API | 60000 |
ロールAPI | Delete Role-API | 60000 |
ロールAPI | Delete Bulk Role-API | 60000 |
ロールUI | Delete Bulk Role-API | 60000 |
アクセス・ポリシーAPI | Evaluate Policies For User-API | 60000 |
アクセス・ポリシーAPI | Initiate Policy Evaluation-API | 60000 |
アクセス・ポリシーAPI | Create Access Policy-API | 60000 |
アクセス・ポリシーAPI | Update Access Policy-API | 60000 |
アクセス・ポリシーAPI | Delete Access Policy-API | 60000 |
アクセス・ポリシーUI | Update Access Policy-UI | 60000 |
アクセス・ポリシーUI | Delete Access Policy-UI | 60000 |
アクセス・ポリシーUI | Create Access Policy-UI | 60000 |
本人情報UI | Update MyInfo Changes-UI | 60000 |
本人情報UI | Apply Changes For ChallengeQuestion-UI | 60000 |
本人情報UI | MyInformation Change User Password-UI | 60000 |
本人情報UI | Apply Proxy Add/Update-UI | 60000 |
本人情報UI | Remove Proxy-UI | 60000 |
本人情報UI | Remove All Proxy-UI | 60000 |
本人情報API | Change password-API | 60000 |
本人情報API | Set challenge values-API | 60000 |
本人情報API | Modify Profile Details-API | 60000 |
本人情報API | Add Proxy For User-API | 60000 |
本人情報API | Update Proxy For User-API | 60000 |
本人情報API | Remove Proxy-API | 60000 |
本人情報API | Remove All Proxies For User-API | 60000 |
パスワード・ポリシーUI | Delete Password Policy-UI | 60000 |
パスワード・ポリシーUI | Apply Create/Update Password Policy-UI | 60000 |
パスワード・ポリシーAPI | Delete Password Policy-API | 60000 |
パスワード・ポリシーAPI | Update Password Policy-API | 60000 |
パスワード・ポリシーAPI | Create Password Policy-API | 60000 |
証明API | Complete Certification-API | 60000 |
証明API | Certify Users-API | 60000 |
証明API | Reassign Items Phase60000-API | 60000 |
証明API | Save Certification Definition-API | 60000 |
証明API | Create Certification Job-API | 60000 |
証明API | Update Certification-API | 60000 |
SoD API | Initiate SoD Check=-API | 60000 |
SoD API | Get Result For Synchronous SoD Check-API | 60000 |
SoD API | Execute Sod Async Provisioning Task-API | 60000 |
SoD API | Execute Sod Async Task-API | 60000 |
該当なし | Create User-API | 60000 |
該当なし | Delete User-API | 60000 |
該当なし | Delete User by search criteria-API | 60000 |
該当なし | Delete Users in Bulk-API | 60000 |
該当なし | Update Audit Profile | 60000 |
該当なし | Update Audit Records | 60000 |
該当なし | Initialize IAuditor | 60000 |
該当なし | Create Auditor | 60000 |
該当なし | Create Audit Event | 60000 |
該当なし | Create Audit Event in Bulk | 60000 |
該当なし | Delete AuditEvent Group | 60000 |
該当なし | Create Fresh Profile | 60000 |
該当なし | Create AuditEvent Group | 60000 |
該当なし | Create and Modify Organization-UI | 60000 |
該当なし | Delete Organization-UI | 60000 |
該当なし | Modify User-API | 60000 |
該当なし | Modify User by search criteria-API | 60000 |
該当なし | Modify Users in bulk-API | 60000 |
該当なし | Create and Modify AdminRole-UI | 60000 |
該当なし | Save AdminRole-UI | 60000 |
該当なし | Delete the AdminRole-UI | 60000 |
該当なし | Approval Callback-UI | 60000 |
該当なし | Submit Request-UI | 60000 |
該当なし | Create User-REST | 60000 |
該当なし | Submit OIM Operation-API | 60000 |
該当なし | Submit Request-API | 60000 |
該当なし | Approval Callback-API | 60000 |
該当なし | Post Approval Callback-API | 60000 |
該当なし | Start Orchestration-API | 60000 |
該当なし | Create Organization-API | 60000 |
該当なし | Authorize Access-API | 60000 |
該当なし | Refresh Entity Cache-API | 60000 |
該当なし | Delete Organization-API | 60000 |
該当なし | Execute OIM Event | 60000 |
該当なし | Search Organization To Modify-API | 60000 |
該当なし | Modify Organization-API | 60000 |
該当なし | Send Notification-API | 60000 |
該当なし | Send Bulk Notification-API | 60000 |
該当なし | Create Admin Role-API | 60000 |
該当なし | Modify Admin Role-API | 60000 |
該当なし | Delete Admin Role-API | 60000 |
該当なし | Submit OIM Operation-API | 60000 |
該当なし | Async Processing-API | 60000 |
該当なし | Create Entity-API | 60000 |
該当なし | Modify Entity-API | 60000 |
該当なし | Delete Entity-API | 60000 |
該当なし | Find Entities-API | 60000 |
該当なし | Find Entity-API | 60000 |
29.6 出力の理解
IDMDFは、SLA失敗ごとに電子メール通知を送信します。
電子メールには、イベントおよび破綻したSLAに関する情報とともに、詳細ログおよびイベント・ツリーXMLファイルの2つの添付が含まれています。
通知電子メール
表29-3に、通知電子メールの内容を示します。
表29-3 IDMDF電子メール通知
フィールド | サンプル値 | 説明 |
---|---|---|
ユーザー |
4 |
ログインしているユーザーのユーザーID。 |
製品名 |
OIG |
イベントが発生したアイデンティティ管理製品。IDMDFでは、Oracle Identity Governance (OIG)およびOracle Access Management (OAM)でのイベント・ロギングがサポートされます。 |
SLA |
2 ms |
デフォルトまたは定義済のSLA値(ミリ秒単位)。 |
開始時間 |
2019-03-01 01:18:24.99 |
イベントが開始した日時。 |
終了時間 |
2019-03-01 01:18:24.994 |
イベントが終了した日時。 |
実績所要時間 |
4 ms |
イベントが完了するまでにかかった実際の時間(ミリ秒単位)。 |
ECID (イベント識別子) |
dced1e07-1e20-4342-b8fb-3bc819b904df-0000000a |
イベントの一意識別子。 |
詳細ログ
表29-4に、電子メール通知の詳細ログ添付内の情報を示します。
表29-4 詳細ログ
フィールド | サンプル値 | 説明 |
---|---|---|
ログ・レベル |
FINEST |
診断ログ・レベル(INFO、FINE、FINEST、NONEのいずれか)。診断レベルの詳細は、「フレームワークで提供される構成可能な診断レベル」を参照してください。 |
ログ時間 |
Jan 14,2019 02:11:33.831 |
ログの日時。 |
ログ・メッセージ |
Number of invocations of loginSessionCreated is 6 |
問題を示すエラーまたは警告メッセージ。 |
パラメータ |
[getRunAsUser, configurationInstance, []] |
ログのパラメータ。 |
ソース・クラス名 |
AuthenticationContextUtilForEJB |
例外が発生したクラス、またはSLA違反が発生したソース・クラス。 |
ソース・メソッド名 |
setAuthenticationContextInEJB |
実行に時間がかかるメソッド名。 |
スタック・トレース |
該当なし | 間に実行されるイベントの詳細を含むトレース。 |
イベント・ツリーXML
イベント・ツリーXMLファイルには、イベント実行に関する情報が含まれます。サンプルのイベント・ツリーXMLファイルの内容は、次のとおりです。
<structure>
<thread>
<threadId>25</threadId>
<event name="Find Entities-API" startTime="Jan 14,2019 02:11:33.991" endTime="Jan 14,2019 02:11:34.002" status="SUCCESS">
<eventDetails>find/lookup for a list of entites</eventDetails>
</event>
<event name="Authorize Access-API" startTime="Jan 14,2019 02:11:34.115" endTime="Jan 14,2019 02:11:34.115" status="SUCCESS">
<eventDetails>Check if action is authorized for the user.</eventDetails>
</event>
<event name="Find Entity-API" startTime="Jan 14,2019 02:11:34.117" endTime="Jan 14,2019 02:11:34.131" status="SUCCESS">
<eventDetails>find/lookup an entity</eventDetails>
</event>
</thread>
</structure>