3 Oracle Identity GovernanceとOracle Access ManagerおよびLDAPコネクタとの統合
Oracle Identity Governance (OIG)をOracle Access Manager (OAM)およびLDAPコネクタと統合します。自動統合スクリプトを実行してOIG-OAM統合を完了させることも、構成操作を個別に実行することもできます。このスクリプトはプロパティ・ファイルからユーザー指定の値を使用して様々な構成を実行します。
ノート:
この章の細かい手順は、ユーザー固有のデプロイメントによって異なる場合があります。必要に応じて情報を環境に適応させてください。
この章では、Oracle Identity GovernanceをOracle Access ManageおよびLDAPと統合するステップについて説明します。Oracle Access ManagerとLDAPの統合については説明していません。完全に統合された環境を作成する場合は、この章の統合ステップを実行する前に、「Oracle Access ManagerとLDAPの統合」のステップを実行する必要があります。
この統合手順では、「基本統合トポロジについて」で説明したように、Identity Governanceコンポーネントが別々のOracle WebLogicドメインで構成されていることが前提となります。この統合の例でのコンポーネントのインストールと構成に関する前提条件および詳細については、『Fusion Middleware Oracle Identity and Access Managementのインストールおよび構成』のOracle Identity and Access Managementのインストールと構成の準備に関する項を参照してください。
「基本統合トポロジについて」の説明のように、Oracle Identity Governanceコンポーネントをエンタープライズ統合トポロジでデプロイしている場合は、実装手順について『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のエンタープライズ・デプロイメントの理解に関する項を参照してください。
この章では、次の内容を説明します。
3.1 Oracle Identity GovernanceとOracle Access Managerの統合の概要
この統合シナリオにより、Oracle Identity GovernanceでIDを管理し、Oracle Access Managerでリソースへのアクセスを制御できるようになります。Oracle Identity Governanceは、ユーザー・アカウント管理を自動化する、ユーザーのプロビジョニングおよび管理ソリューションです。一方、Access Managerは集中管理された自動シングル・サインオン(SSO)ソリューションです。
この項では、次の項目について説明します。
3.1.1 Oracle Identity GovernanceとOracle Access Managerの統合について
Oracle Access Manager(OAM)およびOracle Identity Governance(OIG)の統合によって、ユーザーは次の操作が可能になります。
-
パスワードの期限切れおよびパスワード忘れに対する支援を利用しない、パスワードの作成およびリセット
-
チャレンジ質問および回答を使用したパスワードのリカバリ
-
チャレンジ質問および回答の設定
-
セルフサービス登録の実行
-
セルフサービス・プロファイル管理の実行
-
1つの認証ステップによる複数アプリケーションへのセキュアなアクセス
パスワード管理シナリオについてを参照してください。
3.1.2 Oracle Identity GovernanceとOracle Access Managerの単一ノード統合トポロジについて
「基本統合トポロジについて」の説明のように、IdMコンポーネントであるAccess ManagerとOracle Identity Governanceは、別々のWebLogic Serverドメイン(分割ドメイン・トポロジ)かつ別々のOracle Middlewareホームに構成する必要があります。そうしないと、1つの製品のパッチ適用またはアップグレードが、他と共有されているコンポーネント上のバージョン依存性によってブロックされる場合があります。Oracle Identity Governanceコンポーネントを単一WebLogic Serverドメインにインストールすると、ドメイン内にインストール中のコンポーネント(ライブラリ、JAR、ユーティリティ、およびカスタム・プラグイン)が他のコンポーネントと互換性がない可能性があり、結果としてドメイン全体の問題が引き起こされるリスクがあります。
Access Managerでは、ポリシー・データ用にデータベースを使用し、アイデンティティ・データ用にディレクトリ・サーバーを使用します。この統合シナリオでは単一ディレクトリ・サーバーを想定しています。ディレクトリ・サーバーは別のドメインおよび別のMiddlewareホームにも同様にインストールする必要があります。
ノート:
この章の手順では、Oracle Unified Directoryをアイデンティティ・ストアとして使用することを前提としています。
3.1.3 Oracle Identity GovernanceとOracle Access Managerの統合の前提条件
必要な環境が整い、使用可能になっていることを確認します。
ノート:
既存の11gおよび12cのOIGとOAMの統合環境を最新の12c (12.2.1.4.0)リリース・バージョンにアップグレードできます。詳細は、「OIG-OAM統合環境のアップグレード」を参照してください。次の各項では、表3-1に示すように、必要なコンポーネントが依存関係を含めてすでにインストール済であり、統合の前に環境が構成済であることが前提です。Oracle Identity Managementの統合トポロジの理解を参照してください。
ノート:
-
OAMおよびOIGには12.2.1.4.0バイナリを使用します。
-
OUDでは、OIGの増分リコンシリエーションが動作するように変更ログを有効にする必要があります。これが有効になっていない場合、増分リコンシリエーションは動作しません。レプリケートされたOUDインスタンス上で、このインスタンスにディレクトリ・サーバーおよびレプリケーション・サーバーの両方のコンポーネントが含まれている(これはデフォルトです)という条件に応じて、
cn=changelog
がデフォルトで使用可能です。変更ログには、レプリケーションがすでに稼働中のため、追加コストはありません。レプリケートされていないOUDインスタンス上では、有用でなければ負担すべきではないコストがディスクおよびCPUにあるため、
cn=changelog
はデフォルトで使用不可です。これは、次のコマンドで簡単に有効化できます。$ dsreplication enable-changelog -h localhost -p 4444 -D "cn=directory manager" -r 8989 -b "dc=example,dc=com"
表3-1 統合シナリオに必要なコンポーネント
コンポーネント | 情報 |
---|---|
Oracle HTTP ServerとOracle HTTP Server WebGate |
Oracle HTTP ServerとOracle HTTP Server WebGateがインストールされていること。 Oracle Webgateは、ユーザーがリクエストしているアクションの実行を許可されていることを確認するために使用されます。Oracle Access Managerは、ユーザーがログインしていること、およびユーザーがリクエストしているリソース(URL)へのアクセスが許可されていることをチェックする責任があります。すべてのトラフィックが認可されるようにするには、すべてのトラフィックが、Oracle WebgateがインストールされているWebプロキシ・サーバーを通過する必要があります。 詳細は、「Oracle HTTP ServerのインストールおよびOracle HTTP Server WebGateの構成」を参照してください。 |
Oracle SOA Suite |
Oracle Identity Governanceには、Oracle Identity and Access Management専用のOracle SOA Suite 12.2.1.4.0が必要です。 SOA SuiteはOracle Identity Governanceのための前提条件で、Oracle Identity Governanceと同じドメイン内にインストールする必要があります。SOA Suiteを他の目的に使用する場合は、固有サービス、コンポジット、BPELプロセスなどを実行するために、別のインストールを設定する必要があります。 詳細は、『Oracle Identity and Access Managementのインストールおよび構成』のOracle Identity Governanceソフトウェアのインストールおよび構成に関する項を参照してください。 |
Oracle Unified Directory |
Oracle Unified Directory、Oracle Internet DirectoryまたはMicrosft Active Directoryがインストールされていること。 『Oracle Unified Directoryのインストール』の「Oracle Unified Directoryソフトウェアのインストール」を参照してください。 |
Access Manager |
Access Managerがすでにインストールされており、バンドル・パッチ12.2.1.4.191223が適用されているか、ご使用のリリースで使用可能な最新のバンドル・パッチが適用されていること。 関連項目:
ノート: 12c (12.2.1.4.0)リリース・バージョンにアップグレードする場合は、OAMバンドル・パッチ12.2.1.4.200327が適用されているか、ご使用のリリースで使用可能な最新のバンドル・パッチが適用されていること。 アップグレードの詳細は、「OIG-OAM統合環境のアップグレード」を参照してください。 |
Oracle Identity Governance |
Oracle Identity Governance 12.2.1.4.0がすでにインストールされており、使用しているリリース用の最新のバンドル・パッチが適用されていること。 『Oracle Identity and Access Managementのインストールおよび構成』のOracle Identity Governanceソフトウェアのインストールおよび構成に関する項を参照してください。 ノート: 12c (12.2.1.4.0)リリース・バージョンにアップグレードする場合は、OIMバンドル・パッチ12.2.1.4.200505が適用されているか、ご使用のリリースで使用可能な最新のバンドル・パッチが適用されていること。 アップグレードの詳細は、「OIG-OAM統合環境のアップグレード」を参照してください。 |
環境変数 |
OIG-OAM統合のために必要な環境変数を設定します。OIG-OAM統合のための環境変数の設定を参照してください。 |
関連項目:
コネクタ・ベースの統合の前提条件3.1.4 Oracle Identity GovernanceとOracle Access Managerの統合のロードマップ
表3-2は、Oracle Unified Directoryを使用してAccess ManagerとOracle Identity Governanceを統合するための大まかなタスクをリストしたものです。
ユーザーのインストール・パスによっては、この表に示された統合手順の一部をすでに実行している可能性があります。インストール・ロードマップの詳細は、「インストール・ロードマップの理解」を参照してください。
表3-2 Access ManagerとOracle Identity Governanceの統合フロー
番号 | タスク | 情報 |
---|---|---|
1 |
統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。 |
Oracle Identity GovernanceとOracle Access Managerの統合の前提条件を参照してください。 |
2 |
Oracle HTTP Serverをインストールし、Oracle HTTP Server WebGateとOracle Access Managerを構成します。 |
「Oracle HTTP ServerのインストールおよびOracle HTTP Server WebGateの構成」を参照してください。 |
3 |
Oracle Access ManagerをLDAPと統合します |
「Oracle Access ManagerとLDAPの統合」を参照してください |
4 |
Access ManagerとOracle Identity Governanceを統合します。 ノート: 以前はOIGがなかった既存のOAM/LDAP統合環境にOIGを追加する場合は、OAMログイン・ページにOIGリンクを追加します。これを行うには、パラメータ |
Oracle Identity GovernanceとOracle Access Managerの統合の構成を参照してください |
5 |
Access ManagerおよびOracle Identity GovernanceのOracle WebLogic Server管理対象サーバーを停止します。 |
『Oracle Fusion Middlewareの管理』の管理サーバーの起動と停止に関する項を参照してください。 |
6 |
統合をテストします。 |
3.2 Oracle HTTP ServerのインストールおよびOracle HTTP Server WebGateの構成
Oracle HTTP Server WebGateは、HTTPリクエストをインターセプトし、それを認証および認可のためにOracle Access Managementインスタンスに転送するWebサーバー・プラグインです。
Oracle HTTP Serverをインストールし、Oracle HTTP Server WebGateを構成するには、次を実行します:
-
コロケート・モードでOracle HTTP Serverをインストールします。
ノート:
- 必ず、インストール・プロセス中に「インストール・タイプ」として「同じ場所に配置されたHTTPサーバー(WebLogic Server経由で管理)」を選択します。
- OHSは、拡張ドメインとしてインストールおよび構成することも、個別のドメインとして設定することもできます。
詳細は、『Oracle HTTP Serverのインストールと構成』のOracle HTTP Serverソフトウェアのインストールに関する項を参照してください。
-
Oracle Access ManagementドメインをOracle HTTP Serverで更新します。
Oracle HTTP Serverによる既存のOracle Access Managementドメインの拡張の詳細は、『Oracle HTTP Serverのインストールと構成』の同じ場所に配置されたドメインでのOracle HTTP Serverの構成に関する項を参照してください。
ノート:
必ず、構成プロセス中に、Oracle Access Managementマシンを追加し、「マシンへのシステム・コンポーネントの割当」画面で、選択したマシンにOracle HTTP Serverインスタンスを割り当てます。 -
Oracle HTTP Server WebGate for Oracle Access Managerを構成します。『Oracle Access Manager WebGatesのインストール』のOracle HTTP Server WebGate for Oracle Access Managerの構成に関する項を参照してください。
3.3 Oracle Identity GovernanceとOracle Access Managerの統合の構成
統合のための自動スクリプトは、Oracle Identity Governance(OIG)とOracle Access Manager(OAM)またはサード・パーティのアクセス製品の間のコネクタ・ベースの統合プロセスを簡略化します。OIGおよびOAMは、Oracle Unified Directory (OUD)、Oracle Internet Directory (OID)、Active Directory (AD)などのディレクトリと統合できます。
3.3.1 コネクタ・ベースの統合の前提条件
環境の確認
-
必要なパッチをすべて適用して、オペレーティング・システムが最新の状態であることを確認します。
-
使用するバイナリをマウントします。適用可能なOracleソフトウェアは次のとおりです。
-
Oracle Database 12c (12.2.x.x)
-
JRF 12.2.1.4.0
-
Oracle Identity and Access Management 12c (12.2.1.4.0)
-
Oracle Unified Directory 12c (12.2.1.4.0)/Oracle Internet Directory 12c (12.2.1.4.0)
-
Oracle Fusion Middleware Infrastructure 12c (12.2.1.4.0)
ノート:
-
OAMおよびOIGには12.2.1.4.0バイナリを使用します。
- 統合プロセスを開始する前に、OAMバンドル・パッチ12.2.1.4.191223、またはご使用のリリースで使用可能な最新のバンドル・パッチを適用します。
- OAM-OIG統合環境を11gリリース2 (11.1.2.3.0)または12c (12.2.1.3.0)から最新の12c (12.2.1.4.0)リリース・バージョンにアップグレードする場合は、次のバンドル・パッチを適用します:
- OAMバンドル・パッチ12.2.1.4.200327
- OIMバンドル・パッチ12.2.1.4.200505
-
Oracle HTTP Serverと12cのWebゲートがインストールされている必要があります。
-
-
Oracle Databaseが接続され、アクセス可能であることを確認します。
-
選択したディレクトリ(OUD/OID/AD)が稼働していることを確認します。
-
Oracle Access Managerが稼働していることを確認します。
-
「Oracle Access ManagerとLDAPの統合」の説明に従って、Oracle Access ManagerがLDAPと統合されていることを確認します。
-
Oracle Identity Governanceが稼働していることを確認します。
-
「OIG-OAM統合のための環境変数の設定」の説明に従って、環境変数が設定されているかどうかを確認します。
-
Oracle Access ManagerおよびOracle Identity Governanceが別々のドメインにインストールされていることを確認します。
ノート:
自動統合スクリプトOIGOAMIntegration.sh
は別々のホストおよびドメインにあるOIGおよびOAMと連携して機能します。OIGとOAMが同じドメイン上にある必要はありません。 - 次のいずれかを実行します。
-
Oracle Linux 8 (OEL 8)またはRed Hat Enterprise Linux 8 (RHEL 8)オペレーティング・システムを使用している場合は、
OIGOAMIntegration.sh
スクリプトを実行する前にtmux
をインストールします。tmux
パッケージは、OEL 8/RHEL 8ですでに使用可能になっています。たとえば、次のコマンドを実行して、tmux
パッケージをインストールできます。yum install tmux
-
OEL 8/RHEL 8より前またはそれ以外のオペレーティング・システムを使用している場合は、次のコマンドを実行して、サーバーに画面パッケージがインストールされていることを確認します:
rpm -qa | grep screen
このコマンドによって、次の例に示す値が返されます:
screen.x86_64 0:4.1.0-0.23.20120314git3c2946.el7_2
このコマンドでスクリーン・パッケージのバージョンに関する情報が返されない場合、次のようにパッケージをインストールします:
- rootとしてLinuxサーバーにログインします
yum install screen
を実行して、画面パッケージ(screen.x86_64 0:4.1.0-0.23.20120314git3c2946.el7_2
など)をインストールします:[root@server]# yum install screen > Package screen.x86_64 0:4.1.0-0.23.20120314git3c2946.el7_2 will be installed Total download size: 552 k Installed size: 914 k Is this ok [y/d/N]: Enter 'y' and press enter. Downloading packages: screen-4.1.0-0.23.20120314git3c2946.el7_2.x86_64.rpm Installed: screen.x86_64 0:4.1.0-0.23.20120314git3c2946.el7_2
-
-
OpenLDAPパッケージがインストールされていることを確認します:
yum install openldap openldap-clients
コマンド
which ldapsearch
を入力して、そのバージョンがご使用のシステムにインストールされているかどうかを確認します。このコマンドによって、次の例に示す値が返されます:/usr/bin/ldapsearch
$PATH
をLDAPディレクトリ・サーバーのインストール・ディレクトリに更新します。
OIG Metadata Services (MDS)構成に関連するデータソースの更新
-
OIGのWebLogic管理コンソールにログインします。
-
左ペインの「ドメイン構造」で、「サービス」を展開して「データ・ソース」をクリックします。
-
「mds-oim」をクリックし、「接続プール」タブをクリックします。
-
MDS-OIM接続プールで次のプロパティ値を更新します。
-
「初期容量」を50に設定します
-
「最大容量」を150に設定します
-
「最小容量」を50に設定します
-
-
「非アクティブ接続タイムアウト」の値を更新するには、次のようにします:
同じデータソース内で、ページ下部の「詳細」リンクをクリックし、「非アクティブ接続タイムアウト」値を10に設定します。
-
「保存」をクリックします。
-
「変更のアクティブ化」をクリックします。
コネクタのダウンロード
-
アーティファクトリーからコネクタ・バンドルをダウンロードします: コネクタ・バンドルのダウンロード。
-
OIDまたはOUDの場合、Oracle Internet Directoryに対応する
oid-12.2.1.3.0.zip
コネクタ・バンドルをダウンロードします。 -
ADの場合、Microsoft Active Directory User Managementに対応する
activedirectory-12.2.1.3.0.zip
コネクタ・バンドルをダウンロードします。
ノート:
すべてのディレクトリ・タイプにおいて、OIG-OAM統合に必要なコネクタ・バージョンは12.2.1.3.0です。 -
-
OIG Oracleホーム
$ORACLE_HOME/idm/server/ConnectorDefaultDirectory
以下の適切なコネクタ・パスにコネクタ・バンドルを解凍します。たとえば:
/u01/app/fmw/ORACLE_HOME/idm/server/ConnectorDefaultDirectory
-
ADの場合、OIGおよびコネクタ・サーバーの両方にActive Directory User Managementコネクタをインストールします。
ノート:
アプリケーション作成ステップでコネクタのインストールが実行されます。その他のインストール・ステップは不要です。重要:
OIG-OAM統合の後、他のITリソース用のターゲット・アプリケーション・インスタンスを作成するためにLDAPコネクタ・バンドルまたはActive Directoryコネクタ・バンドルが使用される場合、アプリケーション・インスタンスの作成に進む前に、ディレクトリ・タイプに対応するpre-config.xml
をSysadmin UIから手動でインポートする必要があります。
-
OIDの場合:
XML name: OID-pre-config.xml Location (example): $ORACLE_HOME/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0/xml/OID-pre-config.xml
-
OUD/ODSEE/LDAPV3の場合:
XML name: ODSEE-OUD-LDAPV3-pre-config.xml Location (example): $ORACLE_HOME/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0/xml/ODSEE-OUD-LDAPV3-pre-config.xml
-
ADの場合:
XML name: ad-pre-config.xml Location (example): $ORACLE_HOME/idm/server/ConnectorDefaultDirectory/activedirectory-12.2.1.3.0/xml//ad-pre-config.xml
pre-config.xml
のインポートについては、コネクタXMLファイルのインポートを参照してください。
LDAPディレクトリおよびOracle Access Managerでのロックアウトしきい値の割当て
ユーザーのアカウントがロックされるまでにユーザーの試行が許可される認証失敗の最大数の値は、LDAPディレクトリとOracle Access Managerで同じである必要があります。
アカウント・ロックアウト期間を設定するには、OAMドメインのDOMAIN_HOME/config/fmwconfig
にあるoam-config.xml
を開き、LockoutAttempts
パラメータを更新します。これを行うには、「OAM構成ファイルのエクスポートおよびインポート」のステップに従って、oam-config.xml
ファイルをエクスポートおよびインポートします。
関連項目:
-
『Oracle Internet Directoryの管理』のOID - パスワード・ポリシーの管理に関する項。
-
『Oracle Unified Directoryの管理』のOUD - パスワード・ポリシーの管理に関する項。
-
『Windows 2000 Evaluated Configuration Administrators Guide』のAD - アカウント・ロックアウト・ポリシーの構成に関する項。
3.3.2 自動スクリプトを使用したOIG-OAM統合のステップ・バイ・ステップのステップ
自動統合スクリプトのOIGOAMIntegration.sh
は、OIG-OAMの構成操作の個別実行をサポートします。
ノート:
OIGOAMIntegration.sh
コマンドはOIGサーバーのみで実行する必要があります。
-
前提条件にリストされているすべてのコンポーネントをインストールします。
OIGOAMIntegration.sh
を実行し、OIG-OAM統合のために必要な次の操作を実行します:
3.3.2.1 自動スクリプトを使用したOHSルールの移入
OIGOAMIntegration.sh
自動スクリプトを使用してOHSルールを移入します。
OHSルールを移入するには、次のようにします。
-
(
ORACLE_HOME/idm/server/ssointg/config
にある)populateOHSRedirectIdmConf.config
ファイルをOAMおよびOIGサーバーの詳細で更新します。OIM_HOST OIM_PORT OAM_HOST OAM_PORT
次の表では、
populateOHSRedirectIdmConf.config
ファイルのパラメータについて説明します。表3-3
populateOHSRedirectIdmConf.config
ファイルのパラメータプロパティ 説明 値の例 OAM_HOST
OAMサーバーのURLを入力します。
oamhost.example.com
OAM_PORT
OAMサーバーのポートを入力します
14100
OIM_HOST
OIG管理対象サーバーのホスト名を入力します。
oimhost.example.com
OIM_PORT
OIGサーバーのポートを入力します。
14000
-
(
ORACLE_HOME/idm/server/ssointg/bin
にある) OIG Oracleホーム・ディレクトリからOIGOAMIntegration.sh
スクリプトを実行して、OHSルールを移入します。OIGOAMIntegration.sh -populateOHSRules
-
ORACLE_HOME/idm/server/ssointg/templates
にoim.conf
ファイルが生成されていることを確認します。 -
oim.conf
ファイル内の次のパラメータを削除します。/Nexaweb
/xlWebApp
-
(
ORACLE_HOME/idm/server/ssointg/config
にある) OIGホーム・ディレクトリのoim.conf
ファイルをOHS_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1/moduleconf
にコピーします。 -
OHSサーバーを再起動します。
Oracle HTTP Serverインスタンスの再起動の詳細は、『Oracle HTTP Serverの管理』のOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
3.3.2.2 自動スクリプトを使用したWLS認証プロバイダの構成
OIG-OAM統合のためのOIGOAMIntegration.sh
自動スクリプトを使用して、WLS認証プロバイダを構成します。
WLS認証プロバイダを構成して、OIGドメインのSSOログアウトおよびセキュリティ・プロバイダを設定する必要があります。SSOログインとOIMクライアントベース・ログインが適切に動作するようにします。
たとえば、OIGOAMIntegration.sh -configureWLSAuthnProviders
スクリプトを実行すると、オーセンティケータの順序は次のようになります:
-
OAMIDAsserter
-
OIMSignatureAuthenticator
-
OIMAuthenticationProvider
-
LDAPAuthenticator
使用しているLDAPディレクトリに応じて:- OID: OIDAuthenticator
- OUD: OUDAuthenticator
- AD: ADAuthenticator
-
DefaultAuthenticator
-
DefaultIdentityAsserter
- 信頼サービスIDアサータ
自動スクリプトを使用してWLS認証プロバイダを構成するには:
-
(
ORACLE_HOME/idm/server/ssointg/config
にある) OIG Oracleホーム・ディレクトリのconfigureWLSAuthnProviders.config
ファイルをテキスト・エディタで開き、パラメータを更新します。configureWLSAuthnProviders.config
ファイルの例OIM_WLSHOST: oimadminhost.example.com OIM_WLSPORT: 7001 OIM_WLSADMIN: weblogic OIM_WLSADMIN_PWD: <password> OIM_SERVER_NAME: oim_server1 IDSTORE_DIRECTORYTYPE: OID IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 3060 IDSTORE_BINDDN: cn=orcladmin IDSTORE_BINDDN_PWD: <password> IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
次の表では、
configureWLSAuthnProviders.config
ファイルで設定できるパラメータについて説明します。表3-4
configureWLSAuthnProviders.config
ファイルのパラメータプロパティ 説明 値の例 OIM_WLSHOST
OIG管理サーバーのホスト名を入力します。
oimadminhost.example.com
OIM_WLSPORT
OIG管理サーバーのポートを入力します。
17001
OIM_WLSADMIN
OIMドメインのWebLogic管理者ユーザーを入力します。
weblogic
OIM_WLSADMIN_PWD
OIMドメインのWeblogic管理ユーザーのパスワードを入力します。
ノート:
パスワード・フィールドはすべてオプションです。ファイルに入力しない場合(セキュリティの問題)、スクリプトの実行時に入力を求められます。
password
OIM_SERVER_NAME
OIGサーバー名を入力します。
oim_server1
IDSTORE_DIRECTORYTYPE
アイデンティティ・ストアのディレクトリ・タイプを入力します。有効なオプションは、OID、OUDおよびADです。
OID
IDSTORE_HOST
アイデンティティ・ストアのホスト名を入力します。
idstore.example.com
IDSTORE_PORT
アイデンティティ・ストアのポートを入力します。
3060
IDSTORE_BINDDN
Oracle Internet Directory、Oracle Unified DirectoryまたはMicrosoft Active Directory内の管理ユーザー。
- OID:
cn=orcladmin
- OUD:
cn=oudadmin
- AD:
CN=Administrator,CN=Users,DC=example.com,DC=example,dc=com
IDSTORE_BINDDN_PWD
Oracle Internet Directory、Oracle Unified DirectoryまたはMicrosoft Active Directory内の管理ユーザーのパスワードを入力します。
ノート:
パスワード・フィールドはすべてオプションです。ファイルに入力しない場合(セキュリティの問題)、スクリプトの実行時に入力を求められます。
password
IDSTORE_USERSEARCHBASE
ユーザーが保存されているディレクトリの場所を入力します。
cn=users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE
グループが保存されているディレクトリの場所を入力します。
cn=groups,dc=example,dc=com
- OID:
-
(
ORACLE_HOME/idm/server/ssointg/bin
にある) OIG Oracleホーム・ディレクトリのOIGOAMIntegration.sh
スクリプトを実行して、WLS認証プロバイダを構成します:OIGOAMIntegration.sh -configureWLSAuthnProviders
WLS認証プロバイダを構成するための自動スクリプトが正常に実行されました。
- OIGドメイン・サーバーを再起動します。『Oracle Fusion Middleware Oracle Identity and Access Managementのインストールおよび構成』のサーバーの起動に関する項を参照してください。
3.3.2.3 自動スクリプトを使用したLDAPコネクタの構成
統合のための自動スクリプト、OIGOAMIntegration.sh
を使用して、LDAPコネクタを構成します。
-
アプリケーション・オンボードLDAPテンプレートを、ダウンロードしたコネクタ・バンドルにコピーします。
-
アプリケーション名、およびLDAPホストやポートなどの他のプロパティ値を構成ファイルから取得します。
-
アプリケーション・オブジェクト、ターゲット・アプリケーション、および認可アプリケーションを、アンマーシャリングされたLDAPテンプレートから作成します。
-
アプリケーション・マネージャを使用して、create APIメソッドを実行し、アプリケーション・オブジェクトからアプリケーション・インスタンスを作成します。
-
次のような構成ファイルから取得した値を使用してITリソース・インスタンスを更新します。
-
baseContexts
-
プリンシパル
-
資格証明
-
ホストとポート
-
SSL (
true
またはfalse
)
-
-
SSO.DefaultCommonNamePolicyImplシステム・プロパティを設定します。
-
構成ファイルから取得した値を使用してSSOIntegrationMXBeanのプロパティを設定します。
-
targetAppInstanceName
-
targeITResourceNameForGroup
-
directorytype
-
-
SSOトラステッド・パラメータおよびターゲット・パラメータでスケジュール済ジョブを更新します。
-
SSOIntegrationMXBean addContainerRules操作を起動することによって、構成ファイルから取得した値でコンテナ・ルールを更新します。
-
ディレクトリ・タイプ
-
ユーザー検索ベース
-
ユーザー検索ベースの説明
-
グループ検索ベース
-
グループ検索ベースの説明
-
ノート:
コネクタを構成するためのスクリプトを実行すると、デフォルトのLDAPコンテナ・ルールのみがMDSにシードされます。カスタム・コンテナ・ルールを使用し、これらをMDSに手動でアップロードできます。LDAPコネクタを構成するには、次のようにします。
-
(
ORACLE_HOME/idm/server/ssointg/config
にある) OIG Oracleホーム・ディレクトリのconfigureLDAPConnector.config
ファイルをテキスト・エディタで開き、パラメータを更新します。configureLDAPConnector.config
ファイルの例IDSTORE_DIRECTORYTYPE=OID OIM_HOST=oimhost.example.com OIM_PORT=14000 WLS_OIM_SYSADMIN_USER=<system_administrator_username> WLS_OIM_SYSADMIN_USER_PWD=<password> OIM_WLSHOST=oimadminhost.example.com OIM_WLSPORT=7001 OIM_WLSADMIN=weblogic OIM_WLSADMIN_PWD=<password> OIM_SERVER_NAME=oim_server1 IDSTORE_HOST=idstore.example.com IDSTORE_PORT=3060 IDSTORE_BINDDN=cn=orcladmin IDSTORE_BINDDN_PWD=<password> IDSTORE_OIMADMINUSERDN=cn=oimLDAP,cn=systemids,dc=example,dc=com IDSTORE_OIMADMINUSER_PWD=<password> IDSTORE_SEARCHBASE=dc=example,dc=com IDSTORE_USERSEARCHBASE=cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE=cn=Groups,dc=example,dc=com IDSTORE_USERSEARCHBASE_DESCRIPTION=Default user container IDSTORE_GROUPSEARCHBASE_DESCRIPTION=Default group container IDSTORE_EMAIL_DOMAIN=example.com ## For ActiveDirectory use the values of "yes" or "no". i.e. IS_LDAP_SECURE=yes/no IS_LDAP_SECURE=false SSO_TARGET_APPINSTANCE_NAME=SSOTarget ## Path to expanded connector bundle: e.g. for OID and OUD CONNECTOR_MEDIA_PATH=/u01/oracle/products/identity/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0 ## Path for AD bundle # CONNECTOR_MEDIA_PATH=/u01/oracle/products/identity/idm/server/ConnectorDefaultDirectory/activedirectory-12.2.1.3.0 ## [ActiveDirectory] # The following attributes need to be initialized only if Active Directory is the target server # AD_DIRECTORY_ADMIN_NAME=oimLDAP@example.com # AD_DIRECTORY_ADMIN_PWD=<password> # AD_DOMAIN_NAME=example.com ## Active Directory Connector Server details # AD_CONNECTORSERVER_HOST=192.168.99.100 # AD_CONNECTORSERVER_KEY=<connectorserverkey> # AD_CONNECTORSERVER_PORT=8759 # AD_CONNECTORSERVER_TIMEOUT=0 ## Set to yes if SSL is enabled # AD_CONNECTORSERVER_USESSL=no
次の表では、
configureLDAPConnector.config
ファイルで設定できるパラメータについて説明します。表3-5
configureLDAPConnector.config
ファイルのパラメータプロパティ 説明 値の例 IDSTORE_DIRECTORYTYPE
アイデンティティ・ストアのディレクトリ・タイプを入力します。有効なオプションは、OID、OUDおよびADです。
OID
OIM_HOST
OIG管理対象サーバーのホスト名を入力します。
oimhost.example.com
OIM_PORT
OIGサーバーのポートを入力します。
14000
WLS_OIM_SYSADMIN_USER
SSOを構成するときにOIGに接続するために使用するシステム管理者ユーザーを入力します。このユーザーはシステム管理者ロールを持っている必要があります。
xelsysadm
WLS_OIM_SYSADMIN_USER_PWD
OIGシステム管理者ユーザーのパスワードを入力します。
ノート:
パスワード・フィールドはすべてオプションです。ファイルに入力しない場合(セキュリティの問題)、スクリプトの実行時に入力を求められます。
password
OIM_WLSHOST
OIG管理サーバーのホスト名を入力します。
oimadminhost.example.com
OIM_WLSPORT
OIG管理サーバーのポートを入力します。
17001
OIM_WLSADMIN
OIMドメインのWebLogic管理者ユーザーを入力します。
weblogic
OIM_WLSADMIN_PWD
OIMドメインのWeblogic管理ユーザーのパスワードを入力します。
ノート:
パスワード・フィールドはすべてオプションです。ファイルに入力しない場合(セキュリティの問題)、スクリプトの実行時に入力を求められます。
password
OIM_SERVER_NAME
OIGサーバー名を入力します。
ノート:
configureLDAPConnector.config
ファイルにOIM_SERVER_NAME
プロパティを手動で追加する必要があります。oim_server1
IDSTORE_HOST
アイデンティティ・ストアのホスト名を入力します。
idstore.example.com
IDSTORE_PORT
アイデンティティ・ストアのポートを入力します。
3060
IDSTORE_BINDDN
Oracle Internet Directory、Oracle Unified Directory、またはActive Directory内の管理ユーザー。
- OID:
cn=orcladmin
- OUD:
cn=oudadmin
- AD:
CN=Administrator, CN=Users, DC=example.com, DC=example, dc=com
IDSTORE_BINDDN_PWD
Oracle Internet Directory、Oracle Unified DirectoryまたはMicrosoft Active Directory内の管理ユーザーのパスワードを入力します。
password
IDSTORE_OIMADMINUSERDN
システム処理ユーザーが保存されるディレクトリ内のコンテナの場所を入力します。システム処理ユーザーは数人しかおらず、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーとは区別しておきます。
たとえば、Oracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Governanceリコンシリエーション・ユーザーがあげられます。
cn=oimLDAP,cn=systemids,dc=example,dc=com
IDSTORE_OIMADMINUSER_PWD
Oracle Identity Governanceがアイデンティティ・ストアに接続するために使用するユーザーのパスワードを入力します。
password
IDSTORE_SEARCHBASE
ユーザーおよびグループが保存されるディレクトリの場所を入力します。
dc=example,dc=com
IDSTORE_USERSEARCHBASE
Access Managerがユーザーを検索するコンテナを入力します。
cn=users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE
グループが保存されているディレクトリの場所を入力します。
cn=groups, dc=example, dc=com
IDSTORE_USERSEARCHBASE_DESCRIPTION
ディレクトリ・ユーザー検索ベースの説明を入力します
デフォルトのユーザー・コンテナ
IDSTORE_GROUPSEARCHBASE_DESCRIPTION
ディレクトリ・グループ検索ベースの説明を入力します。
デフォルトのグループ・コンテナ
IDSTORE_EMAIL_DOMAIN
電子メールで使用されるドメインを入力します。たとえば、
user@example.com
です。example.com
IS_LDAP_SECURE
LDAP通信用のSSLを使用することを示します。ActiveDirectoryの場合は
yes
またはno
を使用します。false
SSO_TARGET_APPINSTANCE_NAME
ターゲットLDAPへのアカウントのプロビジョニングに使用されるターゲット・アプリケーション・インスタンス名を入力します。
SSOTarget
CONNECTOR_MEDIA_PATH
ダウンロードして解凍したコネクタ・バンドルの場所を入力します。Oracle Identity Governanceではこの場所を使用してインストールするコネクタ・バンドルを選択します。
- OID/OUD:
ORACLE_HOME/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0
- AD:
ORACLE_HOME/idm/server/ConnectorDefaultDirectory/activedirectory-12.2.1.3.0
AD_DIRECTORY_ADMIN_NAME
AD管理者の名前
oimLDAP@example
AD_DIRECTORY_ADMIN_PWD
ADディレクトリ管理者のパスワードを入力します。
password
AD_DOMAIN_NAME
Microsoft Active Directoryで構成されているドメイン名を入力します。
example.com
AD_CONNECTORSERVER_HOST
コネクタ・サーバーのホスト・コンピュータのホスト名またはIPアドレスを入力します。
192.0.2.1
AD_CONNECTORSERVER_KEY
コネクタ・サーバーのキーを入力します。
<connectorserverkey>
AD_CONNECTORSERVER_PORT
コネクタ・サーバーがリスニングしているポートの番号を入力します。
8759
AD_CONNECTORSERVER_TIMEOUT
コネクタ・サーバーとOracle Identity Governanceとの間の接続がタイムアウトするまでの時間をミリ秒単位で指定する整数値を入力します。0という値は、接続がタイムアウトしないことを意味します。
0
AD_CONNECTORSERVER_USESSL
Oracle Identity GovernanceまたはOracle Unified Directoryとコネクタ・サーバーとの間にSSLを構成するよう指定する場合は、
true
を入力します。それ以外の場合は、false
を入力します。Active Directoryの場合、値はyesまたはnoである必要があります。デフォルト値は
falseです
ノート:
SSLを構成してコネクタ・サーバーとの通信を保護することをお薦めします。true
(またはfalse
) - OID:
-
(
ORACLE_HOME/idm/server/ssointg/bin
にある) OIG Oracleホーム・ディレクトリのOIGOAMIntegration.sh
スクリプトを実行して、LDAPコネクタを構成します:OIGOAMIntegration.sh -configureLDAPConnector
LDAPコネクタを構成するための自動スクリプトが正常に実行されました。
LDAPコネクタ構成の確認
次のステップを実行して、LDAPコネクタ構成を確認できます:
-
ターゲット・アプリケーション・インスタンスが作成されたことを確認します:
-
ブラウザを開き、次のURL形式を使用してOracle Identity Self Serviceのログイン・ページにアクセスします:
http://OIM_HOST.com:PORT/identity/
-
「管理」タブをクリックし、「アプリケーション」ボックスをクリックして「アプリケーション」ページを開きます。
-
「検索」アイコンをクリックします。
検索結果表に、アカウントをターゲットLDAPにプロビジョニングするために使用されるターゲット・アプリケーション・インスタンス名(
configureLDAPConnector.config
ファイルに入力された値)が表示されます。たとえば、SSOTargetおよびSSOTrusted-for-SSOTargetなどです。
-
「SSOTarget」を選択し、「設定」をクリックします。
-
「ユーザー」セクションから、「組織」を選択します。
-
アプリケーションが最上位組織に公開されるように構成されていることを確認します。
-
-
ITリソース・インスタンスが、
configureLDAPConnector.config
ファイルで更新した必須のパラメータで更新されていることを確認します:-
ブラウザを開き、次のURL形式を使用してOracle Identity System管理コンソールにアクセスします:
http://HOSTNAME:PORT/sysadmin
-
「プロビジョニング構成」で、「ITリソース」をクリックします。
「ITリソースの管理」ページが表示されます。
-
SSOサーバーのITリソースを検索し、次の属性が
configureLDAPConnector.config
ファイルで指定したパラメータで更新されていることを確認します:baseContexts
principal
credentials
host and port
SSL (trueまたはfalse)
-
-
Oracle Identity System Administrationコンソールを使用して、SSO.DefaultCommonNamePolicyImplシステム・プロパティが値oracle.iam.ssointg.impl.handlers.account.commonname.plugins.impl.FirstNameLastNamePolicyで更新されていることを確認します。
-
SSOIntegrationMXBean
が、configureLDAPConnector.config
ファイルで更新した必須のパラメータで更新されていることを確認します:-
ブラウザを開き、次のURL形式を使用してOIGのOracle Enterprise Manager Fusion Middleware Controlにアクセスします:
http://ADMINSTRATION_SERVER:PORT/em
-
「ドメイン」を展開し、「システムMBeanブラウザ」を開きます
-
SSOIntegrationMXBean
という名前のMBeanを検索します -
次の属性が、
configureLDAPConnector.config
ファイルで指定したパラメータで更新されていることを確認します:DirectoryType
TargetAppInstanceName
TargetITResourceNameForGroup
-
3.3.2.4 自動スクリプトを使用したSSO統合の構成
統合のための自動スクリプト、OIGOAMIntegration.sh
を使用して、SSO統合を構成します。
OIGOAMIntegration.sh
を使用して、OIMをOAMのTAPパートナとして登録し、OIG-OAM通信用のリソース・ポリシーを追加し、MDSのSSOIntegrationMXBean値を更新します。
SSO統合を構成するには、次のようにします。
-
(
ORACLE_HOME/idm/server/ssointg/config
にある) OIG Oracleホーム・ディレクトリのconfigureSSOIntegration.config
ファイルをテキスト・エディタで開き、パラメータを更新します。configureSSOIntegration.config
ファイルの例NAP_VERSION: 4 COOKIE_EXPIRY_INTERVAL: 120 OAM_HOST: oamhost.example.com OAM_PORT: 14100 ACCESS_SERVER_HOST: oamaccesshost.example.com ACCESS_SERVER_PORT: 5557 OAM_SERVER_VERSION: 11g WEBGATE_TYPE: ohsWebgate11g ACCESS_GATE_ID: Webgate_IDM ACCESS_GATE_PWD: <password> COOKIE_DOMAIN: .example.com OAM_TRANSFER_MODE: Open SSO_ENABLED_FLAG: true SSO_INTEGRATION_MODE: CQR OIM_LOGINATTRIBUTE: User Login OAM11G_IDSTORE_NAME: OAMIDSTORE OAM11G_WLS_ADMIN_HOST: oamadminhost.example.com OAM11G_WLS_ADMIN_PORT: 7001 OAM11G_WLS_ADMIN_USER: weblogic OAM11G_WLS_ADMIN_PASSWD: <password> ## Required if OAM_TRANSFER_MODE is not OPEN #SSO_KEYSTORE_JKS_PASSWORD: <password> #SSO_GLOBAL_PASSPHRASE: <passphrase> OIM_WLSHOST: oimadminhost.example.com OIM_WLSPORT: 7001 OIM_WLSADMIN: weblogic OIM_WLSADMIN_PWD: <password> OIM_SERVER_NAME: oim_server1 IDSTORE_OAMADMINUSER: oamAdmin IDSTORE_OAMADMINUSER_PWD: <password> ## Required in SSL mode #OIM_TRUST_LOC=/u01/oracle/products/identity/wlserver/server/lib/DemoTrust.jks #OIM_TRUST_PWD=<password> #OIM_TRUST_TYPE=JKS
次の表では、
configureSSOIntegration.config
ファイルで設定できるパラメータについて説明します。表3-6
configureSSOIntegration.config
ファイルのパラメータプロパティ 説明 値の例 NAP_VERSION
NAPプロトコル・バージョンを入力します。(4は11g+を示します)
4
OAM11G_IDSTORE_NAME
OAMで構成されたアイデンティティ・ストアの名前を入力します。これはOAMのデフォルト/システムIDストアとして設定されます。
OAMIDStore
COOKIE_EXPIRY_INTERVAL
Cookieの有効期限を入力します。
120
OAM_HOST
OAMサーバーのホスト名を入力します。
oamhost.example.com
OAM_PORT
OAMサーバーのポートを入力します
14100
ACCESS_SERVER_HOST
Access Manager OAPホストを入力します。
oamaccesshost.example.com
ACCESS_SERVER_PORT
Access Manager OAPポートを入力します。
5575
OAM_SERVER_VERSION
OAM 12cのみがサポートされます。OAM 10gは12c統合でサポートされていません。
11g
WEBGATE_TYPE
作成するWebゲート・エージェントのタイプを入力します。10gは12cではサポートされなくなりました。
ohsWebgate12c
またはohsWebgate11g
ACCESS_GATE_ID
Webゲートに割り当てられる名前。これはOAM構成時に指定した値です。詳細は、「自動スクリプトを使用したOAMの構成」を参照してください。
Webgate_IDM
ACCESS_GATE_PWD
アクセス・ゲートIDのパスワードを入力します。
<password>
COOKIE_DOMAIN
Webゲートが機能するドメインを入力します。
.example.com
OAM_TRANSFER_MODE
アクセス・サーバーが機能するセキュリティ・モードを入力します。サポートされている値はOPENおよびSIMPLEですSIMPLEの使用は最小限に抑えることをお薦めします。
ノート:
CERTモードの統合の切替えを行うには、構成後のステップとしてOAMサーバーとWebゲートを変更します。これは、『Oracle Access Managerの管理』のOAMサーバーとWebゲート間の通信の保護に関する項の説明に従って変更できます。
SIMPLE
SSO_ENABLED_FLAG
OIG-OAM統合が有効な場合に
true
に設定します。それ以外の場合は、False
。true
SSO_INTEGRATION_MODE
OAMとの統合モードを入力します。チャレンジ質問レスポンス(CQR)モードを使用すると、OIGはパスワード・ポリシーとパスワード操作を処理します。ワンタイム・パスワード(OTP)モードを使用すると、すべてのパスワード操作がOAM自体で処理され、OIGでのパスワードの変更およびリセットは行われません。
CQR
OIM_LOGINATTRIBUTE
ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性を入力します。ユーザーはログインにこの属性を使用します。たとえば、User Loginなどです。
User Login
OAM11G_WLS_ADMIN_HOST
OAMドメインの管理サーバーのホストを入力します。
oamadminhost.example.com
OAM11G_WLS_ADMIN_PORT
OAMドメインの管理サーバーのポートを入力します。
7001
OAM11G_WLS_ADMIN_USER
OAMドメインのWebLogic管理者ユーザーを入力します。
weblogic
OAM11G_WLS_ADMIN_PASSWD
OAMドメインのWeblogic管理ユーザーのパスワードを入力します。
ノート:
パスワード・フィールドはすべてオプションです。ファイルに入力しない場合(セキュリティの問題)、スクリプトの実行時に入力を求められます。
password
SSO_KEYSTORE_JKS_PASSWORD
OAMとのSIMPLEモード通信に必要なキーストアのパスワードを入力します。
password
SSO_GLOBAL_PASSPHRASE
Access ManagerとのSIMPLEセキュリティ・モード通信用のランダムなグローバル・パスフレーズ。Access Managerは、デフォルトでOPENセキュリティ・モードを使用するように構成されています。OPENモードのインストール・デフォルトを使用する場合は、この手順をスキップできます。
ノート:
グローバル・パスフレーズは、保存された接続構成ファイルのglobal_passphrase
属性の値から取得されます。この接続構成ファイルの詳細は、「保存された接続構成ファイル」を参照してください。password
OIM_WLSHOST
OIG管理サーバーのホスト名を入力します。
oimadminhost.example.com
OIM_WLSPORT
OIG管理サーバーのポートを入力します。
17001
OIM_WLSADMIN
OIMドメインのWebLogic管理者ユーザーを入力します。
weblogic
OIM_WLSADMIN_PWD
OIMドメインのWeblogic管理ユーザーのパスワードを入力します。
<password>
OIM_SERVER_NAME
OIGサーバー名を入力します。
oim_server1
IDSTORE_OAMADMINUSER
Oracle Access Managementコンソールへのアクセスに使用するユーザーを入力します。
oamAdmin
IDSTORE_OAMADMINUSER_PWD
Oracle Access Managementコンソールへのアクセスに使用するユーザーのパスワードを入力します。
<password>
OIM_TRUST_LOC
OIGトラスト・ストアの場所を入力します。
ORACLE_HOME/wlserver/server/lib/DemoTrust.jks
OIM_TRUST_PWD
トラスト・ストアにアクセスするためのパスワードを入力します。
<password>
OIM_TRUST_TYPE
トラスト・ストアのタイプを入力します。デフォルトはJKSです
JKS
-
(
ORACLE_HOME/idm/server/ssointg/bin
にある) OIG Oracleホーム・ディレクトリのOIGOAMIntegration.sh
スクリプトを実行して、SSO統合を構成します:OIGOAMIntegration.sh -configureSSOIntegration
ノート:
configureSSOIntegration
オプションを指定してOIMOAMIntegration.sh
スクリプトを実行すると、コマンドが見つからないというエラーが表示されます。ただし、これは無害なエラーであり、スクリプトは示されているとおりに引き続き実行されます:[2020-09-11 08:26:05] ----------------------------------------------------------------- [2020-09-11 08:26:05] [2020-09-11 08:26:05] ================================================== [2020-09-11 08:26:05] Executing configureSSOIntegration [2020-09-11 08:26:05] -------------------------------------------------- [2020-09-11 08:26:05] /scratch/username_folder/interopps4/oimmw/idm/server/ssointg/bin/_OIGOAMIntegration.sh : line 72: =OAM_IDSTORE_NAME: command not found [2020-09-11 08:26:05] Now running wlst.sh updateOAMConfigIDStore.py Initializing WebLogic Scripting Tool (WLST) ... Welcome to WebLogic Server Administration Scripting Shell
OIGOAMIntegration.sh
は、次のポリシーをOAMに追加します:/FacadeWebApp/* /OIGUI/* /iam/governance/* /soa/** /ucs/** /reqsvc/** /workflowservice/** /HTTPClnt/** /callbackResponseService/** /role-sod/** /sysadmin/** /oim/** /admin/** /spml-xsd/** /spmlws/** /sodcheck/** /SchedulerService-web/** /jmx-config-lifecycle/** /integration/** /identity/** /provisioning-callback/** /soa-infra/** /CertificationCallbackService/** /identity/faces/firstlogin /admin/faces/pages/pwdmgmt.jspx /sysadmin/ /xmlpserver /sysadmin /identity/faces/taskdetails /identity/faces/trackregistrationrequests /identity/faces/request /identity/ /identity /sysadmin/faces/home /identity/faces/home /oim/faces/pages/Admin.jspx /oim/faces/pages/Self.jspx /admin/faces/pages/Admin.jspx
-
次のポリシーをOAMに追加します:
-
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
-
「アプリケーション・セキュリティ」起動パッドから、「Access Manager」セクションで「アプリケーション・ドメイン」をクリックします。
「アプリケーション・ドメインの検索」ページが表示されます。
-
「検索」ページで「検索」をクリックします。
アプリケーション・ドメインのリストが表示されます。
-
ドメイン「IAMスイート」をクリックします。
-
「リソース」タブをクリックします。
-
「作成」をクリックします。
-
「リソース・タイプ」として「HTTP」を、「ホスト識別子」として「IAMSuiteAgent」を選択します。
-
次のリソースURLを入力します:
ノート:
「保護レベル」に「除外」を選択します。/iam/governance/configmgmt/**
/iam/governance/scim/v1/**
/iam/governance/token/api/v1/**
/iam/governance/applicationmanagement/**
/iam/governance/adminservice/api/v1/**
/iam/governance/selfservice/api/v1/**
-
「適用」をクリックします。
-
-
次のステップを実行して、OIGポリシー・リソースをシードします:
$ORACLE_HOME <OIG_INSTALL_LOCATION>/oracle_common/common/bin
でwlst.sh
を実行しますconnect()
と入力します- OAMドメインの管理ユーザー名を指定します。たとえば、
weblogic
です - OAMドメインの管理パスワードを指定します。
- OAM管理サーバーのURLを入力します。たとえば、
t3://<OAM Host>:<OAM WLS Port>
です - 次のコマンドを実行します。
importPolicyDelta(pathTempOAMPolicyFile="ORACLE_HOME <OAM_INSTALL_LOCATION>/idm/oam/def_import_policies/oim-resource-policy.xml", isAppDomainUpdate="true")
-
SSOIntegrationMXBean
の属性バージョンを確認します。-
ブラウザを開き、次のURL形式を使用してOIGのOracle Enterprise Manager Fusion Middleware Controlにアクセスします:
http://ADMINSTRATION_SERVER:PORT/em
-
「ドメイン」を展開し、「システムMBeanブラウザ」を開きます
-
SSOIntegrationMXBean
という名前のMBeanを検索します -
「SSOIntegrationMXBean」をクリックします。
-
attribute Version = 11gであることを確認します。
ノート:
前述のステップを実行して、新しい12.2.1.4.0統合環境で自動ログインを有効にしてください。
-
SSO統合を構成するための自動スクリプトが正常に実行されました。
SSO統合構成の確認
次のステップを実行します。
-
リソースを確認します
-
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
-
「アプリケーション・セキュリティ」起動パッドから、「Access Manager」セクションで「アプリケーション・ドメイン」をクリックします。
「アプリケーション・ドメインの検索」ページが表示されます。
-
「検索」ページで「検索」をクリックします。
アプリケーション・ドメインのリストが表示されます。
-
ドメイン「IAMスイート」をクリックします。
-
「リソース」タブをクリックし、次のリソースが作成されていることを確認します。
/soa/**
/jmx-config-lifecycle/**
/SchedulerService-web/**
/sodcheck/**
/spmlws/**
/spml-xsd/**
/XIMDD/**
/admin/**
/oim/**
/sysadmin/**
/role-sod/**
/callbackResponseService/**
/HTTPClnt/**
/iam/governance/*
/OIGUI/*
/FacadeWebApp/*
/provisioning-callback/**
/CertificationCallbackService/**
/iam/governance/configmgmt/**
/iam/governance/scim/v1/**
/iam/governance/token/api/v1/**
/iam/governance/applicationmanagement/**
/iam/governance/adminservice/api/v1/**
/iam/governance/selfservice/api/v1/**
-
-
oig-oam-integration
ログ・ファイル内のproposed value
とSSOIntegrationMXBean
内の値が同じであることを確認します。-
(
ORACLE_HOME/idm/server/ssointg/logs
にある)oig-oam-integration
ログ・ファイルを開き、proposed value
を検索します。oig-oam-integration
ログ・ファイルの例OIMIntegrationAutomationTool.connectToDomainRuntime... Connecting to t3://myhost.us.example.com:7002 OIMIntegrationAutomationTool.getJMXConnector... mserver: /jndi/weblogic.management.mbeanservers.domainruntime Connection to domain runtime mbean server established SSOIntegrationMXBean name: oracle.iam:Location=oim_server1,name=SSOIntegrationMXBean,type=IAMAppRuntimeMBean,Application=oim sak SSOIntegrationAutomationTool: got SSOIntegrationMXBean... sak current value of accessServerHost=myhost.us.example.com proposed value of accessServerHost=myhost.us.example.com sak new value of accessServerHost=myhost.us.example.com sak current value of oamAdminUser=oamAdminUser sak proposed value of oamAdminUser=oamAdminUser sak new value of oamAdminUser=oamAdminUser current value of tapEndpointUrl=http://myhost.us.example.com:14100/oam/server/dap/cred_submit sak proposed value of tapEndpointUrl=http://myhost.us.example.com:14100/oam/server/dap/cred_submit sak new value of tapEndpointUrl=http://myhost.us.example.com:14100/oam/server/dap/cred_submit current value of loginIdAttribute=User Login current value of version=12c proposed value of version=12c new value of version=12c current value of accessServerPort=5575 proposed value of accessServerPort=5575 new value of accessServerPort=5575 current value of oamServerPort=14100 proposed value of oamServerPort=14100 new value of oamServerPort=5575 current value of accessGateID=Webgate_IDM proposed value of accessGateID=Webgate_IDM new value of accessGateID=Webgate_IDM current value of napVersion=4 proposed value of napVersion=4 new value of napVersion=4 current value of cookieDomain=.us.example.com proposed value of cookieDomain=.us.example.com new value of cookieDomain=.us.example.com current value of cookieExpiryInterval=120 proposed value of cookieExpiryInterval=120 new value of cookieExpiryInterval=120 current value of transferMode=Open proposed value of transferMode=Open new value of transferMode=Open current value of webgateType=ohsWebgate11g proposed value of webgateType=ohsWebgate11g new value of webgateType=ohsWebgate11g proposed value of SSOEnabled=true new value of isSSOEnabled=true current value of integrationMode=CQR proposed value of integrationMode=CQR new value of integrationMode=CQR Connection closed sucessfully sak configure oam Connecting to OAM Domain MBean Server... looking for OAM domain credentials. JMX URL : service:jmx:t3://myhost.us.example.com:7001/jndi/weblogic.management.mbeanservers.domainruntime sak mbeanObjectNames size: 1 sak Registering OIM as a TAP partner with OAM... sak Registering OIM as a TAP partner with OAM was successful!! sak configure oam before strCipherKey=DEC40506366E926CACC9A0D666E94F85 sak mbeanObjectNames size: 1 Getting OAM/TAP Endpoint URL... Getting OAM/TAP Endpoint URL was successful!! MBean server connection closed sucessfully
-
ブラウザを開き、次のURL形式を使用してOIGのOracle Enterprise Manager Fusion Middleware Controlにアクセスします:
http://ADMINSTRATION_SERVER:PORT/em
-
「ドメイン」を展開し、「システムMBeanブラウザ」を開きます
-
SSOIntegrationMXBean
という名前のMBeanを検索します -
すべての必須フィールドが、
oig-oam-integration
ログ・ファイル内のproposed value
で更新されていることを確認します。
-
-
OAMドメインの
DOMAIN_HOME/config/fmwconfig
にあるoam-config.xml
を開き、UserStore
属性がconfigureSSOIntegration.config
ファイルで指定したアイデンティティ・ストアの名前(OAMIDSTORE
など)を指していることを確認します。
3.3.2.5 自動スクリプトを使用したOAM通知の有効化
OIG-OAM統合のためのOIGOAMIntegration.sh
自動スクリプトを使用して、OAM通知を有効にします。
ユーザー・セッションを停止するためにはイベント・ハンドラが必要です。OAM通知ハンドラはデフォルトではロードされません。OIGOAMIntegration.sh -enableOAMsessionDeletion
を実行してOAM通知ハンドラをインポートし、OIGシステム管理者を登録してOAM REST APIを使用します。
OAM通知を有効にするには、次のようにします。
-
(
ORACLE_HOME/idm/server/ssointg/config
にある) OIG Oracleホーム・ディレクトリのenableOAMSessionDeletion.config
ファイルをテキスト・エディタで開き、パラメータを更新します。enableOAMSessionDeletion.config
ファイルの例OIM_WLSHOST: oimadminhost.example.com OIM_WLSPORT: 7001 OIM_WLSADMIN: weblogic OIM_WLSADMIN_PWD: <password> OIM_SERVER_NAME: oim_server1 IDSTORE_DIRECTORYTYPE: OID IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 3060 ## Specify the IDStore admin credentials below IDSTORE_BINDDN: cn=orcladmin IDSTORE_BINDDN_PWD: <password> IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_OAMADMINUSER: oamAdmin IDSTORE_OAMSOFTWAREUSER: oamLDAP
次の表では、
enableOAMSessionDeletion.config
ファイルで設定できるパラメータについて説明します。表3-7
enableOAMSessionDeletion.config
ファイルのパラメータプロパティ 説明 値の例 OIM_WLSHOST
OIG管理サーバーのホスト名を入力します。
oimadminhost.example.com
OIM_WLSPORT
OIG管理サーバーのポートを入力します。
17001
OIM_WLSADMIN
OIMドメインのWebLogic管理者ユーザーを入力します。
weblogic
OIM_WLSADMIN_PWD
OIMドメインのWeblogic管理ユーザーのパスワードを入力します。
password
OIM_SERVER_NAME
OIGサーバー名を入力します。
ノート:
enableOAMSessionDeletion.config
ファイルにOIM_SERVER_NAME
プロパティを手動で追加する必要があります。oim_server1
IDSTORE_DIRECTORYTYPE
アイデンティティ・ストアのディレクトリ・タイプを入力します。有効なオプションは、OID、OUDおよびADです。
OID
IDSTORE_HOST
アイデンティティ・ストアのホスト名を入力します。
idstore.example.com
IDSTORE_PORT
アイデンティティ・ストアのポートを入力します。
3060
IDSTORE_BINDDN
Oracle Internet Directory、Oracle Unified Directory、またはActive Directory内の管理ユーザー。
- OID:
cn=orcladmin
- OUD:
cn=oudadmin
- AD:
CN=Administrator,CN=Users,DC=example.com,DC=example,dc=com
IDSTORE_BINDDN_PWD
Oracle Internet Directory、Oracle Unified DirectoryまたはMicrosoft Active Directory内の管理ユーザーのパスワードを入力します。
password
IDSTORE_USERSEARCHBASE
ユーザーが保存されているディレクトリの場所を入力します。
cn=users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE
グループが保存されているディレクトリの場所を入力します。
cn=groups,dc=example,dc=com
IDSTORE_SYSTEMIDBASE
システム処理ユーザーが保存されるディレクトリ内のコンテナの場所を入力します。システム処理ユーザーは限られており、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーとは区別しておきます。
たとえば、Oracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Governanceリコンシリエーション・ユーザーがあげられます。
cn=systemids,dc=example,dc=com
IDSTORE_OAMADMINUSER
Oracle Access Managementコンソールへのアクセスに使用するユーザーを入力します。
oamAdmin
IDSTORE_OAMSOFTWAREUSER
LDAPサーバーとの対話に使用するユーザーを入力します。
oamLDAP
ノート:
クラスタ内の管理対象サーバーのリストにWebLogicClusterパラメータを手動で追加する必要があります: - OID:
-
(
ORACLE_HOME/idm/server/ssointg/bin
にある) OIG Oracleホーム・ディレクトリのOIGOAMIntegration.sh
スクリプトを実行して、OAM通知を有効にします:OIGOAMIntegration.sh -enableOAMSessionDeletion
OAM通知を有効にするための自動スクリプトが正常に実行されました。
-
構成を確認するには、OIG MDSに移動して、次のイベント・ハンドラが
/db/ssointg/
に存在していることを確認します:EventHandlers.xml
ldapconnector_sso_eventhandlers.xml
3.3.2.6 サーバーの再起動
OIG-OAM統合プロセスを実行するための自動スクリプトの実行後に、すべてのサーバーを再起動します。
-
サーバーを再起動する前に、OAMは管理サーバー内に格納されているMBeanにアクセスする必要があります。LDAPユーザーがWebLogicコンソールとFusion Middleware Controlにログインできるようにするには、WebLogic管理権限をユーザーに割り当てる必要があります。OAMでこれらのMbeanを呼び出すには、OAMAdministratorsグループのユーザーがWebLogic管理権限を持っている必要があります。LDAPグループ
OAMAdministrators
およびWLSAdministrators
をWebLogic管理者に追加するには:- WebLogic管理サーバー・コンソールにデフォルト管理ユーザーとしてログインします。たとえば、
weblogic
などです。 - コンソールの左ペインで「セキュリティ・レルム」をクリックします。
- 「セキュリティ・レルムのサマリー」ページの表「レルム」で「myrealm」をクリックします。
- 「myrealm」の「設定」ページで、「ロールとポリシー」タブをクリックします。
- 「レルム・ロール」ページの表「ロール」の「グローバル・ロール」エントリを開きます。
- 「ロール」リンクをクリックして、「グローバル・ロール」ページに移動します。
- 「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページに移動します。
- 「グローバル・ロールの編集」ページで、「ロール条件」表の「条件の追加」ボタンをクリックします。
- 「述部の選択」ページで、条件のドロップダウン・リストから「グループ」を選択し、「次へ」をクリックします。
- 「引数の編集」ページのグループ引数フィールドにOAMAdministratorsを指定し、「追加」をクリックします。
- グループWLSAdministratorsについても同様に繰り返します。
- 「終了」をクリックして、「グローバル・ロールの編集」ページに戻ります。
- 「ロール条件」表には、グループOAMAdministratorsまたはWLSAdministratorsがロール条件として表示されます。
- 「保存」をクリックして、OAMAdministratorsおよびIDM Administratorsグループへの管理ロールの追加を終了します。
- WebLogic管理サーバー・コンソールにデフォルト管理ユーザーとしてログインします。たとえば、
-
OHSサーバーを再起動します。詳細は、『Oracle HTTP Serverの管理』のOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
-
OAMドメインを再起動します。詳細は、『Oracle Identity and Access Managementのインストールおよび構成』のサーバーの起動に関する項を参照してください。
-
OIGドメインを再起動します。詳細は、『Oracle Identity and Access Managementのインストールおよび構成』のサーバーの起動に関する項を参照してください。
自動スクリプトが正常に実行され、OIG-OAM統合プロセスが完了しました。
統合設定の検証に進みます。OIG-OAM統合の検証を参照してください。
3.4 Access ManagerとOracle Identity Governance統合の検証
次の健全性チェックを実行する(統合環境を検証する)ことにより、実行時に発生する可能性のあるいくつかの一般的な問題を回避できます。
このリリースでは、Oracle Identity Governanceは、OIGOAMIntegration.sh
スクリプトを使用してAccess Managerと統合されます。Oracle Identity GovernanceがOracle Access Managerと統合されると、次の構成設定およびファイルが更新されます:
-
OIGメタデータ・ストアに格納されている
oim-config.xml
ファイル内のSSOConfig
セクション。 -
OIM_DOMAIN_HOME
/config.xml
内のレルム・セキュリティ・プロバイダ。 -
OIM_DOMAIN_HOME
/config/fmwconfig/cwallet.sso
内のOIGドメイン資格証明ストア。 -
OIGメタデータ・ストアに格納されている
Eventhandler.xml
内の、SSO統合に必要となる編成イベント・ハンドラ。 -
OIM_DOMAIN_HOME
/config/fmwconfig/jps-config.xml
内のSSOログアウト構成。
3.4.2 Oracle Identity Governanceセキュリティ・プロバイダ構成の検証
この手順では、Oracle Identity Governanceセキュリティ・プロバイダ構成を検証する方法について説明します。
3.4.4 Oracle Identity Governanceドメイン資格証明ストアの検証
Oracle Identity GovernanceとAccess Manager間の通信の際に使用されるすべてのパスワードと資格証明は、ドメイン資格証明ストア内に格納されています。
通信に使用されるパスワードと資格証明を検証するには:
3.4.5 SSO用に構成されたOracle Identity Governanceイベント・ハンドラの検証
EventHandlers.xml
ファイル(/db/ssointg/EventHandlers.xml
)の一部としてMDSにアップロードされます。
関連項目:
- Oracle Fusion Middlewareの管理のFusion Middleware Control MBeanブラウザの使用に関するスタート・ガイド。
-
Applications for Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズのカスタマイズのデプロイおよびアンデプロイに関する項。
すべてのイベント・ハンドラが正しく構成されていることを確認するには、Oracle Enterprise Manager Fusion Middleware Controlを使用してEventHandlers.xml
ファイルをエクスポートします。
3.4.6 Oracle Identity GovernanceのSSOログアウト構成の検証
Oracle Identity Governanceログアウトは、統合の完了後、シングル・ログアウトを使用するように構成されます。ユーザーは、Oracle Identity Governanceからログアウトすると、Access Managerで保護されたすべてのアプリケーションからもログアウトされます。
シングル・ログアウトの構成を検証するには、次の手順を実行します。
3.4.7 Access ManagerとOracle Identity Governanceの統合の機能的なテスト
最後のタスクとして、Access ManagerとOracle Identity Governanceの統合を検証します。
次の表に示されているステップを順に実行します。
表3-8 Access ManagerとOracle Identity Governanceの統合の検証
ステップ | 説明 | 予想される結果 |
---|---|---|
1 |
Oracle Access Managementコンソールに、次のURLを使用して http://admin_server_host:admin_server_port/oamconsole |
管理コンソールにアクセスします。 |
2 |
次のURLを使用して、Oracle Identity Governance管理ページにアクセスします。
ここでhostname:portは、ドメイン・エージェントまたはWebゲートのどちらが使用されているかによって、Oracle Identity ManagementまたはOHSのいずれかを対象とします。 |
Access Manager管理対象サーバーのOracle Access Managementログイン・ページが表示されます。 ログイン・ページに「パスワードを忘れた場合」、「新規アカウントの登録」および「ユーザー登録のトラッキング」機能のリンクが表示されることを確認します。各リンクが機能することを確認してください。これらの機能の詳細は、「パスワード管理シナリオについて」を参照してください。 |
3 |
|
Oracle Identity Governanceの管理ページにアクセスできます。 |
4 |
Oracle Identity Self Serviceを使用して新しいユーザーを作成します。 ブラウザを閉じ、OIGアイデンティティ・ページにアクセスしてみます。ログインのプロンプトが表示されたら、新しく作成したユーザーの有効な資格証明を指定します。 |
Oracle Identity Governanceにリダイレクトされ、パスワードを再設定するように求められます。 パスワードを再設定し、チャレンジ質問を設定すると、自動的にアプリケーションにログインされます。自動ログインが機能します。 |
5 |
ブラウザを閉じ、Oracle Identity Self Serviceにアクセスします。 |
Access Manager管理対象サーバーのOracle Access Managementログイン・ページが表示されます。 ログイン・ページに「パスワードを忘れた場合」、「新規アカウントの登録」および「ユーザー登録のトラッキング」機能のリンクが表示されることを確認します。各リンクが機能することを確認してください。これらの機能の詳細は、「パスワード管理シナリオについて」を参照してください。 |
6 |
ブラウザを開き、テスト・ユーザーとしてログインすることで、ロック/無効化機能が機能することを検証します。 別のブラウザ・セッションで管理者としてログインし、テスト・ユーザー・アカウントをロックまたは無効化します。 |
ユーザーは、どのリンクにアクセスしてもログイン・ページにリダイレクトされる必要があります。 |
7 |
テスト・ユーザーまたはシステム管理者としてOracle Identity Self Serviceにログインすることによって、SSOログアウト機能が機能することを検証します。 |
ページからログアウトすると、SSOログアウト・ページにリダイレクトされます。 |
3.4.8 統合構成の検証
DOMAIN_HOME/config/fmwconfig
にあるOAMドメイン内のoam-config.xml
に、OAMの構成時に指定されたIDStore、すなわちOAMIDSTOREが含まれることを検証します。XMLノードのSessionRuntime>UserStoreはUserIdentityStore1ではなく、OAMIDSTOREである必要があります。
-
次のスケジュールされたジョブが存在するかどうかを検証します。
-
SSOグループ作成および更新の完全リコンシリエーション
-
SSOグループ作成および更新の増分リコンシリエーション
-
SSOグループ削除の完全リコンシリエーション
-
SSOグループ削除の増分リコンシリエーション
-
SSOグループ階層同期化完全リコンシリエーション
-
SSOグループ階層同期化増分リコンシリエーション
-
SSOグループ・メンバーシップ完全リコンシリエーション
-
SSOグループ・メンバーシップ増分リコンシリエーション
-
SSO有効後のLDAPへのロール階層のプロビジョン
-
SSO有効後のLDAPへのロールのプロビジョン
-
SSO有効後のLDAPへのユーザーのプロビジョン
-
SSOユーザー増分リコンシリエーション
-
SSOユーザー完全リコンシリエーション
-
SSO有効後のLDAPへのロール・メンバーシップのプロビジョン
-
-
ITリソースが適切に更新または作成されているかどうかを検証します。
-
「プロビジョニング構成」>「ITリソース」にナビゲートします。
-
OIDコネクタタイプのITリソースを検索します。
-
SSOTargetApp、SSOTrusted-for-SSOTargetAppなどのITリソースに、適切なパラメータ値が指定されていることを確認します。
-
-
$ORACLE_HOME/idm/server/ssointg/logs/oig-oam-integration_*.log
のログに次の内容が含まれていることを確認します。[2017-12-22 02:25:13] Seeding OIM Resource Policies into OAM [2017-12-22 02:25:13] Loading xml... /scratch/userid/devtools/Middleware///idm/server/ssointg/templates/Resources.xml [2017-12-22 02:25:14] Loading xml... /scratch/userid/devtools/Middleware///idm/server/ssointg/templates/AuthnPolicies.xml [2017-12-22 02:25:14] Loading xml... /scratch/userid/devtools/Middleware///idm/server/ssointg/templates/AuthzPolicies.xml [2017-12-22 02:25:14] Getting Application Domains... [2017-12-22 02:25:14] WebResourceClient::getAppDomainResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/appdomain [2017-12-22 02:25:15] Authenticating using {oamAdmin:******} [2017-12-22 02:25:15] Getting Resources from domain 'IAM Suite' [2017-12-22 02:25:15] WebResourceClient::getResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/resource [2017-12-22 02:25:16] Getting Resources from domain 'Fusion Apps Integration' [2017-12-22 02:25:16] WebResourceClient::getResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/resource [2017-12-22 02:25:16] Getting Authentication Policies from domain 'IAM Suite' [2017-12-22 02:25:16] WebResourceClient::getAuthenticationPolicyResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/authnpolicy [2017-12-22 02:25:16] Getting Authorization Policies from domain 'IAM Suite' [2017-12-22 02:25:16] WebResourceClient::getAuthorizationPolicyResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/authzpolicy [2017-12-22 02:25:16] Resources Seeded!!
3.4.9 Active Directory統合でのパスワードのリセットのパフォーマンスの向上
ノート:
これらのステップは、ADにのみ適用されます。OUD/OIDのパスワード・リセットのパフォーマンス操作を向上させるために、個別のプロセスは必要ありません。SSO.RESETPASSWORDONTARGETBYPASSINGCONNECTOR
システム・プロパティを作成し、true
に設定します。- AD証明書をOracle Identity Governance (OIG)にインポートします:
- デモ・アイデンティティおよびトラスト・ストアが使用されている場合は、AD証明書をデモ信頼キーストアにインポートします:
$JAVA_HOME/jre/bin/keytool -import -alias ad_trusted_cert -file $CERT_FILE -keystore $MW_HOME/wlserver/server/lib/DemoTrust.jks -storepass DemoTrustKeyStorePassPhrase
- カスタム・アイデンティティおよびトラスト・ストアが使用されている場合は、AD証明書をカスタム信頼キーストアにインポートします:
$JAVA_HOME/jre/bin/keytool -import -alias ad_trusted_cert -file $CERT_FILE -keystore $DOMAIN_HOME/config/fmwconfig/<CUSTOM_TRUST_STORE>.jks -storepass <CustomTrustKeyStorePassPhrase>
ノート:
カスタム信頼キーストアは、$DOMAIN_HOME/config/fmwconfig
の下に配置し、ファイルベースにする必要があります。
- デモ・アイデンティティおよびトラスト・ストアが使用されている場合は、AD証明書をデモ信頼キーストアにインポートします:
3.5 OIG-OAM統合のためのスケジュールされたジョブ
OIGには、LDAPと同期するために、リコンシリエーション・ジョブとSSO有効後ジョブというスケジュール済ジョブのセットが2つ用意されています。
リコンシリエーション・ジョブ
次のリコンシリエーション・ジョブが提供されます。
-
SSOユーザー完全リコンシリエーション
-
SSOユーザー増分リコンシリエーション
-
SSOユーザー削除リコンシリエーション
ノート:
SSOユーザー削除リコンシリエーション・スケジュール済ジョブは、OIMバンドル・パッチ12.2.1.4.200505を適用した後に使用可能になります。
-
SSOグループ作成および更新の完全リコンシリエーション
-
SSOグループ作成および更新の増分リコンシリエーション
-
SSOグループ削除の完全リコンシリエーション
-
SSOグループ削除の増分リコンシリエーション
-
SSOグループ・メンバーシップ完全リコンシリエーション
-
SSOグループ・メンバーシップ増分リコンシリエーション
-
SSOグループ階層同期化完全リコンシリエーション
-
SSOグループ階層同期化増分リコンシリエーション
ノート:
SSOグループ階層同期化増分リコンシリエーションは、Oracle Internet DirectoryおよびOracle Unified Directoryについてのみでサポートされています。
リコンシリエーション・ジョブのパラメータ値
表3-9 リコンシリエーション・ジョブのパラメータ値
リコンシリエーション・ジョブ | パラメータ名 | パラメータ値 | 説明 |
---|---|---|---|
SSOユーザー完全リコンシリエーション |
リソース・オブジェクト名 |
SSOTarget |
リコンシリエーションを実行する必要のあるターゲット・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はターゲット・アプリケーション・インスタンス名に一致します。 |
SSOユーザー完全リコンシリエーション |
ITリソース名 |
SSOTarget |
コネクタがデータのリコンサイルに使用する必要があるターゲットITリソース・インスタンスの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はターゲット・アプリケーション・インスタンス名に一致します。 |
SSOユーザー完全リコンシリエーション |
オブジェクト・タイプ |
ユーザー |
この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。 |
SSOユーザー完全リコンシリエーション |
トラステッド・リソース・オブジェクト名 |
SSOTrusted-for-SSOTarget |
リコンシリエーションを実行する必要のあるトラステッド・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)。 |
SSOユーザー完全リコンシリエーション |
トラステッドITリソース名 |
SSOTrusted-for-SSOTarget |
コネクタがデータのリコンサイルに使用すべき、信頼できるITリソース・インスタンスの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。 この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)。 |
SSOユーザー完全リコンシリエーション |
スケジュール済タスク名 |
SSOユーザー完全リコンシリエーション |
この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。 |
SSOユーザー完全リコンシリエーション |
増分リコンシリエーション属性 |
なし |
この属性は、SSOユーザー完全リコンシリエーション・ジョブについては空のままにする必要があります |
SSOユーザー完全リコンシリエーション |
Latest Token |
なし |
この属性は、SSOユーザー完全リコンシリエーション・ジョブについては空のままにする必要があります |
SSOユーザー完全リコンシリエーション |
Sync Token |
なし |
この属性は、SSOユーザー完全リコンシリエーション・ジョブについては空のままにする必要があります |
SSOユーザー完全リコンシリエーション |
Filter |
なし |
このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。 |
SSOユーザー増分リコンシリエーション |
リソース・オブジェクト名 |
SSOTarget |
リコンシリエーションを実行する必要のあるターゲット・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はターゲット・アプリケーション・インスタンス名に一致します。 |
SSOユーザー増分リコンシリエーション |
ITリソース名 |
SSOTarget |
コネクタがデータのリコンサイルに使用する必要があるターゲットITリソース・インスタンスの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。 この値はターゲット・アプリケーション・インスタンス名と同じです。 |
SSOユーザー増分リコンシリエーション |
オブジェクト・タイプ |
ユーザー |
この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。 |
SSOユーザー増分リコンシリエーション |
トラステッド・リソース・オブジェクト名 |
SSOTrusted-for-SSOTarget |
リコンシリエーションを実行する必要のあるトラステッド・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)。 |
SSOユーザー増分リコンシリエーション |
トラステッドITリソース名 |
SSOTrusted-for-SSOTarget |
コネクタがデータのリコンサイルに使用すべき、信頼できるITリソース・インスタンスの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。 この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)。 |
SSOユーザー増分リコンシリエーション |
スケジュール済タスク名 |
SSOユーザー完全リコンシリエーション |
この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。 |
SSOユーザー増分リコンシリエーション |
増分リコンシリエーション属性 |
直前のリコンシリエーション実行が開始した変更番号を保持する、ターゲット・システムの属性名。この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。この値は固定されています。 |
|
SSOユーザー増分リコンシリエーション |
Latest Token |
この属性は、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。ノート: :リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性よりも大きいグループのみがリコンサイルされます。デフォルト値: なし |
|
SSOユーザー増分リコンシリエーション |
Sync Token |
このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。 最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。 この属性は、次のいずれかの形式で値を格納します。 使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。 <Integer>VALUE</Integer> サンプル値: <Integer>476</Integer> 使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。 <String>VALUE</String> サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし |
|
SSOユーザー増分リコンシリエーション |
Filter |
デフォルト値: なし このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。 |
|
SSOユーザー削除リコンシリエーション |
リソース・オブジェクト名 |
SSOTarget |
リコンシリエーションを実行する必要のあるターゲット・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルされるターゲット・アカウントに対応しています。この値はターゲット・アプリケーション・インスタンス名に一致します。 |
SSOユーザー削除リコンシリエーション |
ITリソース名 |
SSOTarget |
コネクタがデータのリコンサイルに使用する必要があるターゲットITリソース・インスタンスの名前。これは、ユーザーについてリコンサイルされるターゲット・アカウントに対応しています。この値はターゲット・アプリケーション・インスタンス名に一致します。 |
SSOユーザー削除リコンシリエーション |
オブジェクト・タイプ |
ユーザー |
この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。 |
SSOユーザー削除リコンシリエーション |
トラステッド・リソース・オブジェクト名 |
SSOTrusted-for-SSOTarget |
リコンシリエーションを実行する必要のあるトラステッド・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルされるターゲット・アカウントに対応しています。この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます) |
SSOユーザー削除リコンシリエーション |
トラステッドITリソース名 |
SSOTrusted-for-SSOTarget |
コネクタがデータのリコンサイルに使用すべき、信頼できるITリソース・インスタンスの名前。これは、ユーザーについてリコンサイルされるターゲット・アカウントに対応しています。この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます) |
SSOユーザー削除リコンシリエーション |
スケジュール済タスク名 |
SSOコネクタ統合ユーザー削除リコンシリエーション |
この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。 |
SSOグループ作成および更新の完全リコンシリエーション |
リソース・オブジェクト名 |
SSOグループ |
リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。この値は固定されています。 |
SSOグループ作成および更新の完全リコンシリエーション |
オブジェクト・タイプ |
グループ |
この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。 |
SSOグループ作成および更新の完全リコンシリエーション |
ITリソース名 |
SSOサーバー |
コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。 |
SSOグループ作成および更新の完全リコンシリエーション |
スケジュール済タスク名 |
SSOグループ作成および更新の完全リコンシリエーション |
この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。 |
SSOグループ作成および更新の完全リコンシリエーション |
Filter |
このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。 |
|
SSOグループ作成および更新の完全リコンシリエーション |
Organization Name |
Top |
このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。リコンサイルされたロールをプロビジョニングする対象のOIG組織。この値は固定されています。 |
SSOグループ作成および更新の完全リコンシリエーション |
Organization Type |
会社 |
このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。リコンサイルされたロールをプロビジョニングする対象の組織のタイプ。この属性は、コネクタのリコンシリエーション・スコープでのみ使用され、OIGで意味を持つわけではありません。この値は固定されています。 |
SSOグループ作成および更新の増分リコンシリエーション |
リソース・オブジェクト名 |
SSOグループ |
リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。この値は固定されています。 |
SSOグループ作成および更新の増分リコンシリエーション |
オブジェクト・タイプ |
グループ |
この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。 |
SSOグループ作成および更新の増分リコンシリエーション |
ITリソース名 |
SSOサーバー |
コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。 |
SSOグループ作成および更新の増分リコンシリエーション |
スケジュール済タスク名 |
SSOグループ作成および更新の増分リコンシリエーション |
この属性は、スケジュール済ジョブの名前を保持します。この値は、固定されています。 |
SSOグループ作成および更新の増分リコンシリエーション |
Filter |
このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。 |
|
SSOグループ作成および更新の増分リコンシリエーション |
Sync Token |
このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。 最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。この属性は、次のいずれかの形式で値を格納します。 使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。 <Integer>VALUE</Integer> サンプル値: <Integer>476</Integer> 使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。 <String>VALUE</String> サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし |
|
SSOグループ作成および更新の増分リコンシリエーション |
増分リコンシリエーション属性 |
uSNChanged |
このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。直前のリコンシリエーション実行が開始した変更番号を保持する、ターゲット・システムの属性名。 この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。 この値は固定されています。 |
SSOグループ作成および更新の増分リコンシリエーション |
Latest Token |
この属性は、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。 ノート: :リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性よりも大きいグループのみがリコンサイルされます。 デフォルト値: なし |
|
SSOグループ作成および更新の増分リコンシリエーション |
Organization Name |
Top |
このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。リコンサイルされたロールをプロビジョニングする対象のOIG組織。この値は固定されています。 |
SSOグループ作成および更新の増分リコンシリエーション |
Organization Type |
会社 |
このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。リコンサイルされたロールをプロビジョニングする対象の組織のタイプ。この属性は、コネクタのリコンシリエーション・スコープでのみ使用され、OIGで意味を持つわけではありません。この値は固定されています。 |
SSOグループ削除の完全リコンシリエーション |
ITリソース名 |
SSOサーバー |
コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。 |
SSOグループ削除の完全リコンシリエーション |
オブジェクト・タイプ |
グループ |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。 |
SSOグループ削除の完全リコンシリエーション |
リソース・オブジェクト名 |
SSOグループ |
リコンシリエーションを実行する必要のあるグループ・リソース・オブジェクトの名前。この値は固定されています。 |
SSOグループ削除の完全リコンシリエーション |
スケジュール済タスク名 |
SSOグループ削除の完全リコンシリエーション |
この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。 |
SSOグループ削除の完全リコンシリエーション |
Delete Recon |
yes |
このパラメータは、Active DirectoryについてのSSOグループ削除リコンシリエーションでのみ存在します。この値は固定されています。 |
SSOグループ削除の完全リコンシリエーション |
Organization Name |
このパラメータは、Active DirectoryについてのSSOグループ削除リコンシリエーションでのみ存在します。この値は空のままにしておくこともできます。 |
|
SSOグループ削除の増分リコンシリエーション |
ITリソース名 |
SSOサーバー |
コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。 |
SSOグループ削除の増分リコンシリエーション |
オブジェクト・タイプ |
グループ |
この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。 |
SSOグループ削除の増分リコンシリエーション |
リソース・オブジェクト名 |
SSOグループ |
リコンシリエーションを実行する必要のあるグループ・リソース・オブジェクトの名前。この値は固定されています。 |
SSOグループ削除の増分リコンシリエーション |
スケジュール済タスク名 |
SSOグループ削除の完全リコンシリエーション |
この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。 |
SSOグループ削除の増分リコンシリエーション |
Sync Token |
このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。 最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。 この属性は、次のいずれかの形式で値を格納します。 使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。 <Integer>VALUE</Integer> サンプル値: <Integer>476</Integer> 使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。 <String>VALUE</String> サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし |
|
SSOグループ削除の増分リコンシリエーション |
Delete Recon |
yes |
このパラメータは、Active DirectoryについてのSSOグループ削除リコンシリエーションでのみ存在します。この値は固定されています。 |
SSOグループ削除の増分リコンシリエーション |
Organization Name |
このパラメータは、Active DirectoryについてのSSOグループ削除リコンシリエーションでのみ存在します。この値は空のままにしておくこともできます。 |
|
SSOグループ・メンバーシップ完全リコンシリエーション |
Application Name |
SSOTarget |
レコードをリコンサイルするターゲット・アプリケーションの名前 |
SSOグループ・メンバーシップ完全リコンシリエーション |
オブジェクト・タイプ |
ユーザー |
この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。 |
SSOグループ・メンバーシップ完全リコンシリエーション |
ITリソース名 |
SSOTarget |
レコードをリコンサイルする、ターゲット・アプリケーション・インスタンスによって使用されるITリソースの名前。 |
SSOグループ・メンバーシップ完全リコンシリエーション |
スケジュール済タスク名 |
SSOグループ・メンバーシップ完全リコンシリエーション |
この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。 |
SSOグループ・メンバーシップ完全リコンシリエーション |
Filter |
<空> |
このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。 サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。 |
SSOグループ・メンバーシップ増分リコンシリエーション |
Application Name |
SSOTarget |
レコードをリコンサイルするターゲット・アプリケーションの名前 |
SSOグループ・メンバーシップ増分リコンシリエーション |
リソース・オブジェクト名 |
SSOグループ |
リコンシリエーションを実行する必要のあるグループ・リソース・オブジェクトの名前。この値は固定されています。 |
SSOグループ・メンバーシップ増分リコンシリエーション |
ITリソース名 |
SSOサーバー |
コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。 |
SSOグループ・メンバーシップ増分リコンシリエーション |
ユーザーITリソース名 |
SSOTarget |
レコードをリコンサイルする、ターゲット・アプリケーション・インスタンス・インストールによって使用されるITリソースの名前。これはターゲット・アプリケーション・インスタンスと同じになります。 |
SSOグループ・メンバーシップ増分リコンシリエーション |
ユーザー・リソース・オブジェクト名 |
SSOTarget |
ターゲット・アプリケーション・インスタンスに対応するリソース・オブジェクト名。これはターゲット・アプリケーション・インスタンスと同じになります。 |
SSOグループ・メンバーシップ増分リコンシリエーション |
スケジュール済タスク名 |
SSOグループ・メンバーシップ増分リコンシリエーション |
このジョブでは固定されています。変更できません |
SSOグループ・メンバーシップ増分リコンシリエーション |
オブジェクト・タイプ |
グループ |
この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。 |
SSOグループ・メンバーシップ増分リコンシリエーション |
Sync Token |
このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。 最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。 この属性は、次のいずれかの形式で値を格納します。 使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。 <Integer>VALUE</Integer> サンプル値: <Integer>476</Integer> 使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。 <String>VALUE</String> サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし |
|
SSOグループ・メンバーシップ増分リコンシリエーション |
増分リコンシリエーション属性 |
uSNChanged |
このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。 直前のリコンシリエーション実行が開始した変更番号を保持する、ターゲット・システムの属性名。 この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。 この値は固定されています。 |
SSOグループ・メンバーシップ増分リコンシリエーション |
Latest Token |
この属性は、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。ノート: :リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性よりも大きいグループのみがリコンサイルされます。デフォルト値: なし |
|
SSOグループ・メンバーシップ増分リコンシリエーション |
Filter |
このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。 |
|
SSOグループ階層完全リコンシリエーション |
リソース・オブジェクト名 |
SSOグループ |
リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。この値は固定されています。 |
SSOグループ階層完全リコンシリエーション |
オブジェクト・タイプ |
グループ |
この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。 |
SSOグループ階層完全リコンシリエーション |
ITリソース名 |
SSOサーバー |
コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。 |
SSOグループ階層完全リコンシリエーション |
スケジュール済タスク名 |
SSOグループ階層完全リコンシリエーション |
この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。 |
SSOグループ階層完全リコンシリエーション |
Sync Token |
この値はSSOグループ階層完全リコンシリエーションの場合は常に空にする必要があります |
|
SSOグループ階層増分リコンシリエーション |
リソース・オブジェクト名 |
SSOグループ |
リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。この値は固定されています。 |
SSOグループ階層増分リコンシリエーション |
オブジェクト・タイプ |
グループ |
この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。 |
SSOグループ階層増分リコンシリエーション |
ITリソース名 |
SSOサーバー |
コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。 |
SSOグループ階層増分リコンシリエーション |
スケジュール済タスク名 |
SSOグループ階層完全リコンシリエーション |
この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。 |
SSOグループ階層増分リコンシリエーション |
Sync Token |
このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。 最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。 この属性は、次のいずれかの形式で値を格納します。 使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。 <Integer>VALUE</Integer> サンプル値: <Integer>476</Integer> 使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。 <String>VALUE</String> サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし |
SSO有効後ジョブ
OIGでは、各アイデンティティとそれらの関係をOIGからLDAPにシードするための有効後ジョブが用意されています。
有効後ジョブは、OIGがすでに一定時間デプロイされ、OIGがこれからOAMおよびLDAPと統合されるというデプロイメント・シナリオで使用されます。このようなシナリオでは、OIG内のデータとLDAPを同期化するために、既存のユーザーおよびロールとOIG内でのそれらの関係をシードする必要があります。OIG-OAM統合構成が実行された後、これらのジョブを1回実行して、ユーザー、ロールおよびそれらの関連をLDAPにシードする必要があります。
次の有効後ジョブが提供されています。
-
SSO有効後のLDAPへのユーザーのプロビジョン:
このジョブは、OIG内のユーザーごとにLDAPにユーザーを作成し、そのユーザーにSSOターゲット・アプリケーション・インスタンスをプロビジョニングします。 -
SSO有効後のLDAPへのロールのプロビジョン:
このジョブは、OIG内のロールごとにLDAPにロールを作成し、その後参照、権限、および権限のためのカタログ・エントリを作成します。 -
SSO有効後のLDAPへのロール・メンバーシップのプロビジョン:
このジョブは、ユーザーに付与されたロールごとにLDAPで(ロールに対応した)権限を付与し、次にユーザーのメンバーシップを付与します。 -
SSO有効後のLDAPへのロール階層のプロビジョン
このジョブは、OIG内の各ロール間の関係ごとに、それらのグループの関係をLDAPに追加します。
リコンシリエーションの動作
ユーザー・リコンシリエーション
-
InetOrgPerson
-
orclIDXPerson
-
OblixOrgPerson
-
OblixPersonPwdPolicy
-
OIMPersonPwdPolicy
ユーザー・リコンシリエーションの場合、次の2つの必須属性、snおよびuidの値を設定します。
ユーザー一致ルールは次のとおりです。
<matchingRule>((UPPER(USR.usr_ldap_guid)=UPPER(RA_SSOTRUSTEDFORSSAEC4C34A.RA_LDAPGUID94FE1B62)) OR (UPPER(USR.usr_login)=UPPER(RA_SSOTRUSTEDFORSSAEC4C34A.RA_USERLOGIN7C7B96D4)))</matchingRule>
アカウント一致ルールは次のとおりです。
<matchingRule>((UPPER(USR.usr_login)=UPPER(RA_SSOTARGE.RA_USERLOGIN7C7B96D4)) OR (UPPER(USR.usr_ldap_guid)=UPPER(RA_SSOTARGE.RA_ORCLGUID)))</matchingRule>
グループ・リコンシリエーション
-
groupOfUniqueNames - OIDおよびOUDの場合
-
group - ADの場合
グループ・リコンシリエーション・ジョブでは、グループ名がOIG内で一意であることが必要です。つまり、「ビジネス管理者」という名前を持つグループの作成変更ログをこのジョブがリコンサイルし、OIGがすでに「ビジネス管理者」という名前のロールを持っていた場合、ビジネス管理者グループはOIGで再作成されず、リコンサイルされたロールは処理されずにスキップされます。
あるいは、OIG内に存在するグループが、LDAPからリコンサイルされるグループと一致するGUIDを持つ場合、リコンシリエーション・エンジンはOIG内の既存グループの更新を実行します。
グループ一致ルールは次のとおりです。<matchingRule>(UD_SSO_GR.UD_SSO_GR_SERVER=RA_SSOGROUP4DF6ECEE.RA_ITRESOURCENAME70C9F928 and UD_SSO_GR.UD_SSO_GR_ORCLGUID=RA_SSOGROUP4DF6ECEE.RA_ORCLGUID)</matchingRule>
グループ・メンバーシップのリコンシリエーション
グループ・メンバーシップのリコンシリエーションは、LDAP内のユーザーに対する現在のロールの付与をリコンサイルします。リコンシリエーションに成功すると、ユーザーに付与された各ロールについて、ロールに対応する権限がユーザーのSSOアカウントに割り当てられます。
リコンシリエーション中のユーザーへの権限割当ては、子フォーム表のデータベース・トリガーによって実行されます。この子フォーム表には、ユーザー(アカウントなど)へのメンバーシップ付与が格納されます。状況によっては、権限割当てトリガーが実行されていない可能性があるため、ロール付与リコンシリエーションに対応するユーザーの権限割当てがまだ実行されていない場合があります。このような場合、「権限割当て」ジョブを実行して権限を割り当てます。
グループ階層のリコンシリエーション
グループ階層のリコンシリエーション・ジョブでは、LDAPからの現在のロールの関係がレコンサイルされます。
リコンシリエーション・ジョブ・エラーおよび是正処置
-
グループ・メンバーシップのリコンシリエーション
-
グループ階層のリコンシリエーション
グループ・メンバーシップのリコンシリエーション
グループ・メンバーシップの完全リコンシリエーション
-
リコンサイルされているユーザー・エントリは、そのGUIDに対応するOIG内で検索されます。一致するユーザーが見つからない場合は、そのユーザー・エントリに対するリコンシリエーション・イベントの作成はスキップされ、スキップされたユーザー・エントリに対応するエラー・メッセージがジョブのエラー・メッセージに追加されます。
-
ユーザー・エントリが存在するが、ロールDNが一致するいずれかの親ロールがOIGに存在していない場合、そのユーザー・エントリのリコンシリエーション・イベントの作成はスキップされ、スキップされたユーザー・エントリに対応するエラー・メッセージがジョブのエラー・メッセージに追加されます。
ユーザー・エントリに欠落している親ロールがない場合は、そのユーザー・エントリに対してリコンシリエーション・イベントが作成され、バッチ・リコンシリエーション・サービスに追加されます。リコンシリエーション・ジョブが完了すると、ジョブIDに対してエラー・メッセージが設定されます。
グループ・メンバーシップの増分リコンシリエーション
グループ・メンバーシップの増分リコンシリエーションは、グループ・メンバーシップの完全リコンシリエーションと同じ動作になります。エラー・メッセージをレポートすることに加えて、増分リコンシリエーションは最新の増分トークンを更新しません。これは、ジョブが再実行されたとき(ユーザーまたはグループのリコンシリエーション・ジョブの実行などの修正処理を実行した後)、次のエラーのない実行中に、以前スキップされたユーザー・エントリにリコンシリエーション・イベントが割り当てられるようにするためです。
お客様がエラーが発生したユーザー・エントリをバイパスして、最新の増分トークンを使用して増分リコンシリエーションを実行することにした場合、ジョブUIからのスケジュール・ジョブのエラー・メッセージをチェックすることでこの操作を行うことができます。最新のトークンはエラー・メッセージの最後に出力されます。「ユーザーまたはロールの欠落によるリコンシリエーション・エラーの例」を参照してください。
グループ階層のリコンシリエーション
グループ階層の完全リコンシリエーション
-
リコンサイルされているロール・エントリは、そのGUIDに対応するOIG内で検索されます。一致するロールが見つからない場合は、そのロール・エントリに対するリコンシリエーション・イベントの作成はスキップされ、スキップされたユーザー・エントリに対応するエラー・メッセージがジョブのエラー・メッセージに追加されます。
-
ロール・エントリが存在するが、ロールDNが一致するいずれかの子ロールがOIGに存在していない場合、その親ロール・エントリのリコンシリエーション・イベントの作成はスキップされ、スキップされたユーザー・エントリに対応するエラー・メッセージがジョブのエラー・メッセージに追加されます。
親または子のロールが欠落していない場合は、その親のロール・エントリに対するリコンシリエーション・イベントが作成され、バッチ・リコンシリエーション・サービスに追加されます。
リコンシリエーション・ジョブが完了すると、ジョブIDに対するエラー・メッセージが設定されます。
グループ階層の増分リコンシリエーション
グループ階層の増分リコンシリエーションは、グループ階層の完全リコンシリエーションと同じ動作になります。dataErrorDetectedがtrueの場合にエラー・メッセージをレポートすることに加えて、増分リコンシリエーションは最新の増分トークンを更新しません。これは、修正処理を実行した後でジョブが再実行された際に、次のエラーのない実行時に、以前スキップされたロール・エントリにリコンシリエーション・イベントが割り当てられるようにするためです。
お客様がエラーが発生したロール・エントリをバイパスして、最新の増分トークンを使用して階層増分リコンシリエーションを実行することにした場合、ジョブUIからのスケジュール・ジョブのエラー・メッセージをチェックすることでこの操作を行うことができます。最新のトークンはエラー・メッセージの最後に出力されます。
ユーザーまたはロールの欠落によるリコンシリエーション・エラーの例
The scheduled job status would be failed.
oracle.iam.connectors.icfcommon.exceptions.OIMException: Role with GUID 54A78A7F44E41C39E053211CF50A7639 does not exist in OIM. Skipping group membership incremental reconciliation for the role Role with GUID 5E750AB0341F16D3E053211CF50A866D does not exist in OIM. Skipping group membership incremental reconciliation for the role Role with GUID 5E750AB0342016D3E053211CF50A866D does not exist in OIM. Skipping group membership incremental reconciliation for the role Role with GUID 5E750AB0346116D3E053211CF50A866D does not exist in OIM. Skipping group membership incremental reconciliation for the role Role with GUID 5E750AB0346216D3E053211CF50A866D does not exist in OIM. Skipping group membership incremental reconciliation for the role Role with DN cn=SYSTEM ADMINISTRATORS,cn=Groups,dc=us,dc=oracle,dc=com is not found in OIM - Skipping group membership reconciliation for the user with GUID: 5376289A3A766EE7E053211CF50A8B24. Latest Token value: <Integer>4204</Integer>
リコンシリエーション・エラーの修正処置
-
お客様は「SSOグループの作成または更新のリコンシリエーション」ジョブを実行して、前述のエラーを修正し、グループ・メンバーシップの増分リコンシリエーション・ジョブを再実行できます。同様に、「ユーザーがOIGに存在しない」ことに関連するエラー・メッセージが出る場合、「SSOユーザーのリコンシリエーション」ジョブを実行します。
-
あるいは、お客様がこれらのロールに対するエラーを無視し、今後増分リコンシリエーションを使用して処理を続行する場合は、エラー・メッセージに示されている最新のトークン値にSync Tokenジョブ・パラメータの値を設定できます。たとえば、前述のサンプル・メッセージの場合、Sync Tokenジョブ・パラメータ値は<Integer>4204</Integer>のようになります。
-
グループ・メンバーシップの完全リコンシリエーションまたはグループ階層の完全リコンシリエーションの場合、リコンサイルされるユーザーまたはグループ(あるいはその両方)のいずれかがOIG内に存在しなければ、ジョブは後続のすべての実行で、ユーザーまたはグループ(あるいはその両方)の欠落を示す不合格ステータスがレポートされます。
子フォーム表とのID表データ同期の実行
グループ・メンバーシップのリコンシリエーションとグループ階層のリコンシリエーションの実行中、リコンシリエーション・エンジンは、リコンシリエーション・バッチ内のリコンシリエーション・イベント・データに対応する子フォーム表を更新します。リコンシリエーション・エンジンが、各リコンシリエーション・バッチの後処理オーケストレーションをトリガーすると、後処理ハンドラは各リコンシリエーション・イベントに対応する子フォーム・エントリを一括でフェッチし、OIGのアイデンティティ・リレーション表を更新します。
-
グループ・メンバーシップとSSOフォーム表の同期:
親フォーム内の各ユーザーに関して、このジョブはメンバーシップの子フォーム・データをUSG表と同期します。このジョブは、グループ・メンバーシップの子フォーム表の名前を入力パラメータとして受け入れ、デフォルト値が割り当てられます。メンバーシップの子フォーム表の名前がお客様のデプロイメントで異なる場合、このパラメータに適切な値を割り当てる必要があります。 -
グループ階層とSSOフォーム表の同期:
親フォームの各ロールについて、このジョブはロール関連データをGPG表と同期します。ロール関係用の子フォーム表の名前はデプロイメント用に固定されているため、このジョブは入力として子フォームの表名を受け入れません。
3.6 ユーザー定義フィールドの構成
この項では、次の項目について説明します。
3.6.1 SSOを使用したユーザー定義フィールドの構成
SSOを使用してカスタム属性またはユーザー定義フィールド(UDF)を構成できます。
それには、次のステップを実行します。
-
OIGにUDFを作成します。詳細は、「カスタム属性の作成」を参照してください。
ノート:
テキスト・フィールドの作成ページでLDAP属性の値を指定しないでください。 -
「ユーザーの作成フォーム」にUDFを追加します。詳細は、『Oracle Identity Governanceの管理』の「ユーザーの作成フォーム」へのカスタム属性カテゴリの追加に関する項を参照してください。
-
SSOターゲット・アプリケーション・インスタンスにUDFを追加します。詳細は、『Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の属性の追加に関する項を参照してください。
-
SSOの信頼できるアプリケーション・インスタンスにUDFを追加します。詳細は、『Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の認可アプリケーションのスキーマ情報の指定に関する項を参照してください。
3.6.2 ロールUDFの構成
- OIGのOAMおよびLDAPコネクタとの統合を使用して作成されたOIM-OAM統合設定。
ドキュメントID 2833544.1
(https://support.oracle.com)を使用した非OAMインストールのLDAPコネクタ同期サポート。
ノート:
ロールUDFを構成する前に、リリースで使用可能な最新のバンドル・パッチを適用します。ロールUDFを構成するには、次のステップを実行します:
- OIGロール・エンティティ用のUDFを作成します。詳細は、「カスタム属性の構成」を参照してください。
- 作成したロールUDFのリコンシリエーション・マッピングを定義します。表3 - 10に、リコンシリエーション・マッピングの定義時に使用する正確なエンティティ名を示します。
ノート:
- ADのリコンシリエーション・マッピングの定義の詳細は、グループおよび組織単位のターゲット・リソースのリコンシリエーション用のカスタム・フィールドの追加に関する項を参照してください。
- OUD/OIDのリコンシリエーション・マッピングの定義の詳細は、リソース・オブジェクトのリコンシリエーション・フィールドへのカスタム・フィールドの追加に関する項を参照してください。
- このロールUDFのプロビジョニング・マッピングを定義します。表3 - 10に、プロビジョニング・マッピングの定義時に使用する正確なエンティティ名を示します。
ノート:
- ADのプロビジョニング・マッピングの定義の詳細は、プロビジョニング・グループおよび組織単位のカスタム・フィールドの追加に関する項を参照してください。
- OUD/OIDのプロビジョニング・マッピングの定義の詳細は、プロセス・フォームへの新規フィールドの追加に関する項を参照してください。
- Oracle Identity System Administrationにログインします。
- Lookup.RoleAttrFormField.Mapファイルを開き、「コード」および「意味」フィールドの値を設定します。ここでは:
- コード - OIMロール・エンティティの属性(UDF)を示します。
- 意味 - 設計コンソールで定義された「プロセス・フォーム」フィールド名を示します。
ノート:
- Lookup.RoleAttrFormField.Mapの「コード」および「意味」は、フォームおよびロールUDFで作成されたものと同じである必要があります。
- 参照ファイルが存在しない場合は、新しい参照ファイルを作成し、値を更新します。参照の作成および更新の詳細は、「参照の管理」を参照してください。
ここで必要なすべてのマッピングが実行され、ロールUDFがターゲット・フィールドにマップされます。
表3 - 10 リコンシリエーションとプロビジョニングのマッピング
LDAPディレクトリ | リソース・オブジェクト名 | UAD表名 | プロビジョニング参照 | リコンシリエーション参照 | アダプタ |
---|---|---|---|---|---|
AD | SSOグループ | UD_SSOGRP | Lookup.SSO.GM.ProvAttrMap | Lookup.SSO.GM.ReconAttrMap | adpSSOADIDCUPDATEATTRIBUTEVALUE |
OUD | SSOグループ | UD_SSO_GR | Lookup.SSO.Group.ProvAttrMap | Lookup.SSO.Group.ReconAttrMap | adpSSOLDAPUPDATE |
OID | SSOグループ | UD_SSO_GR | Lookup.SSO.Group.ProvAttrMap | Lookup.SSO.Group.ReconAttrMap | adpSSOOIDUPDATE |
- チェック・ボックス・タイプUDFフィールドのロールUDFマッピングを作成していて、ターゲットLDAPでマップされた属性がブール・フィールドの値を'True'または'False'として格納している場合は、リコンシリエーションが成功するために値'True'を'1'、'False'を'0'に変換するリコンシリエーション変換スクリプトを追加します。変換スクリプトを作成するステップの詳細は、変換スクリプトに関する項を参照してください。
- ターゲット・フィールドの
Date
型にマップされるロールUDFのDate
型をサポートするには:- フィールド・フラグ
[DATE]
をプロビジョニングおよびリコンシリエーション属性マップに追加します。たとえば、Joining Date[DATE]
です。 - OID/OUD統合の場合は、参照Lookup.SSO.Configurationの属性
dateFormat
およびdateTypeAttrNames
を更新します。 - AD統合の場合、参照Lookup.Configuration.SSOの属性
CustomDateAttributes
を更新します。
- フィールド・フラグ
3.7 OIG-OAM統合の既知の制限事項と回避方法
OIG-OAM統合の既知の問題および制限事項についてさらに学習します。
OIG-OAM統合に関する既知の制限事項の一部を示します:
- SSOターゲット・アプリケーションをリクエストしないでください。
- アクセス・ポリシーにSSOターゲット・アプリケーションを使用しないでください。
- SSOターゲット・アプリケーションを無効化したり、手動で削除しないでください。
- OIG-OAM統合環境では、SSOターゲット・アプリケーションに関連付けられている権限の追加、変更または削除を、ユーザー詳細ページまたは「マイ・アクセス」ページの「権限」タブから行わないでください。ロールの追加、変更または削除は、ユーザー詳細ページまたは「マイ・アクセス」ページの「ロール」タブから行ってください。
- SSOターゲット・アプリケーションのUIフォームは即時利用可能ではありません。これらはOracle Identity System Administrationコンソールから生成できます。
- SSOターゲット・アプリケーションをクローニングする場合、プロビジョニングおよびリコンシリエーション操作に新しいクローン・アプリケーションを使用できます。SSO統合をサポートするためにSSOターゲット・アプリケーションをクローニングしないでください。
- ロール・ユーザー定義フィールド(UDF)はサポートされていません。
-
AD、OUDまたはOIDをLDAPとして統合環境が設定されている場合、LDAPコネクタはアプリケーション・インスタンス名
SSOTarget
で構成されます。アプリケーション・インスタンス名は構成可能で、configureLDAPConnector.config
ファイルのSSO_TARGET_APPINSTANCE_NAME
プロパティ値で入力として使用されます。このため、OAM-OIG統合の後、スケジューラでSSOユーザー削除リコンシリエーション・スケジュール済ジョブを開き、統合中に指定したアプリケーション名で次のパラメータ値を更新します:- ITリソース名
- リソース・オブジェクト名
- トラステッドITリソース名
- トラステッド・リソース・オブジェクト名
Oracle Identity Governanceの統合の問題および回避策の詳細は、Oracle Identity Managementのリリース・ノートの統合の問題および回避策に関する項を参照してください。