Oracle Identity GovernanceとOracle Access ManagerおよびLDAPコネクタとの統合

3 Oracle Identity GovernanceとOracle Access ManagerおよびLDAPコネクタとの統合

Oracle Identity Governance (OIG)をOracle Access Manager (OAM)およびLDAPコネクタと統合します。自動統合スクリプトを実行してOIG-OAM統合を完了させることも、構成操作を個別に実行することもできます。このスクリプトはプロパティ・ファイルからユーザー指定の値を使用して様々な構成を実行します。

この章では、Oracle Access Manager (Access Manager)とOracle Identity Governance (Enterprise Edition)の統合について、ステップ・バイ・ステップのステップを説明しています。統合環境にLDAPコネクタとサード・パーティのアクセス製品が含まれる場合は、統合のための自動スクリプトを使用してください。また、この統合を段階的に実行することもできます。自動統合スクリプトの各タスクを個別に実行してOIG-OAM統合を完了する場合、連続した各ステップの結果を評価できます。必要に応じてステップを再実行するか、またはすべてのステップが正常に完了するまで、順序内の次のステップに進みます。

ノート:

この章の細かい手順は、ユーザー固有のデプロイメントによって異なる場合があります。必要に応じて情報を環境に適応させてください。

この章では、Oracle Identity GovernanceをOracle Access ManageおよびLDAPと統合するステップについて説明します。Oracle Access ManagerとLDAPの統合については説明していません。完全に統合された環境を作成する場合は、この章の統合ステップを実行する前に、「Oracle Access ManagerとLDAPの統合」のステップを実行する必要があります。

この統合手順では、「基本統合トポロジについて」で説明したように、Identity Governanceコンポーネントが別々のOracle WebLogicドメインで構成されていることが前提となります。この統合の例でのコンポーネントのインストールと構成に関する前提条件および詳細については、『Fusion Middleware Oracle Identity and Access Managementのインストールおよび構成』のOracle Identity and Access Managementのインストールと構成の準備に関する項を参照してください。

「基本統合トポロジについて」の説明のように、Oracle Identity Governanceコンポーネントをエンタープライズ統合トポロジでデプロイしている場合は、実装手順について『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のエンタープライズ・デプロイメントの理解に関する項を参照してください。

この章では、次の内容を説明します。

3.1 Oracle Identity GovernanceとOracle Access Managerの統合の概要

この統合シナリオにより、Oracle Identity GovernanceでIDを管理し、Oracle Access Managerでリソースへのアクセスを制御できるようになります。Oracle Identity Governanceは、ユーザー・アカウント管理を自動化する、ユーザーのプロビジョニングおよび管理ソリューションです。一方、Access Managerは集中管理された自動シングル・サインオン(SSO)ソリューションです。

この項では、次の項目について説明します。

3.1.1 Oracle Identity GovernanceとOracle Access Managerの統合について

Oracle Access Manager(OAM)およびOracle Identity Governance(OIG)の統合によって、ユーザーは次の操作が可能になります。

パスワードの期限切れおよびパスワード忘れに対する支援を利用しない、パスワードの作成およびリセット
チャレンジ質問および回答を使用したパスワードのリカバリ
チャレンジ質問および回答の設定
セルフサービス登録の実行
セルフサービス・プロファイル管理の実行
1つの認証ステップによる複数アプリケーションへのセキュアなアクセス

パスワード管理シナリオについてを参照してください。

3.1.2 Oracle Identity GovernanceとOracle Access Managerの単一ノード統合トポロジについて

「基本統合トポロジについて」の説明のように、IdMコンポーネントであるAccess ManagerとOracle Identity Governanceは、別々のWebLogic Serverドメイン(分割ドメイン・トポロジ)かつ別々のOracle Middlewareホームに構成する必要があります。そうしないと、1つの製品のパッチ適用またはアップグレードが、他と共有されているコンポーネント上のバージョン依存性によってブロックされる場合があります。Oracle Identity Governanceコンポーネントを単一WebLogic Serverドメインにインストールすると、ドメイン内にインストール中のコンポーネント(ライブラリ、JAR、ユーティリティ、およびカスタム・プラグイン)が他のコンポーネントと互換性がない可能性があり、結果としてドメイン全体の問題が引き起こされるリスクがあります。

Access Managerでは、ポリシー・データ用にデータベースを使用し、アイデンティティ・データ用にディレクトリ・サーバーを使用します。この統合シナリオでは単一ディレクトリ・サーバーを想定しています。ディレクトリ・サーバーは別のドメインおよび別のMiddlewareホームにも同様にインストールする必要があります。

ノート:

この章の手順では、Oracle Unified Directoryをアイデンティティ・ストアとして使用することを前提としています。

3.1.3 Oracle Identity GovernanceとOracle Access Managerの統合の前提条件

必要な環境が整い、使用可能になっていることを確認します。

ノート:

既存の11gおよび12cのOIGとOAMの統合環境を最新の12c (12.2.1.4.0)リリース・バージョンにアップグレードできます。詳細は、「OIG-OAM統合環境のアップグレード」を参照してください。

次の各項では、表3-1に示すように、必要なコンポーネントが依存関係を含めてすでにインストール済であり、統合の前に環境が構成済であることが前提です。Oracle Identity Managementの統合トポロジの理解を参照してください。

ノート:

OAMおよびOIGには12.2.1.4.0バイナリを使用します。
OUDでは、OIGの増分リコンシリエーションが動作するように変更ログを有効にする必要があります。これが有効になっていない場合、増分リコンシリエーションは動作しません。レプリケートされたOUDインスタンス上で、このインスタンスにディレクトリ・サーバーおよびレプリケーション・サーバーの両方のコンポーネントが含まれている(これはデフォルトです)という条件に応じて、cn=changelogがデフォルトで使用可能です。変更ログには、レプリケーションがすでに稼働中のため、追加コストはありません。

レプリケートされていないOUDインスタンス上では、有用でなければ負担すべきではないコストがディスクおよびCPUにあるため、cn=changelogはデフォルトで使用不可です。これは、次のコマンドで簡単に有効化できます。
```
$ dsreplication enable-changelog -h localhost -p 4444 -D "cn=directory manager" -r 8989 -b "dc=example,dc=com"
```

表3-1 統合シナリオに必要なコンポーネント

コンポーネント	情報
Oracle HTTP ServerとOracle HTTP Server WebGate	Oracle HTTP ServerとOracle HTTP Server WebGateがインストールされていること。 Oracle Webgateは、ユーザーがリクエストしているアクションの実行を許可されていることを確認するために使用されます。Oracle Access Managerは、ユーザーがログインしていること、およびユーザーがリクエストしているリソース(URL)へのアクセスが許可されていることをチェックする責任があります。すべてのトラフィックが認可されるようにするには、すべてのトラフィックが、Oracle WebgateがインストールされているWebプロキシ・サーバーを通過する必要があります。詳細は、「Oracle HTTP ServerのインストールおよびOracle HTTP Server WebGateの構成」を参照してください。
Oracle SOA Suite	Oracle Identity Governanceには、Oracle Identity and Access Management専用のOracle SOA Suite 12.2.1.4.0が必要です。 SOA SuiteはOracle Identity Governanceのための前提条件で、Oracle Identity Governanceと同じドメイン内にインストールする必要があります。SOA Suiteを他の目的に使用する場合は、固有サービス、コンポジット、BPELプロセスなどを実行するために、別のインストールを設定する必要があります。詳細は、『Oracle Identity and Access Managementのインストールおよび構成』のOracle Identity Governanceソフトウェアのインストールおよび構成に関する項を参照してください。
Oracle Unified Directory	Oracle Unified Directory、Oracle Internet DirectoryまたはMicrosft Active Directoryがインストールされていること。『Oracle Unified Directoryのインストール』の「Oracle Unified Directoryソフトウェアのインストール」を参照してください。
Access Manager	Access Managerがすでにインストールされており、バンドル・パッチ12.2.1.4.191223が適用されているか、ご使用のリリースで使用可能な最新のバンドル・パッチが適用されていること。関連項目: 『Oracle Identity and Access Managementのインストールおよび構成』のOracle Access Managementソフトウェアのインストールおよび構成に関する項。最新のバンドル・パッチについては、次のOracle Identity Management Webサイトを参照してください: `https://docs.oracle.com/en/middleware/idm/suite/12.2.1.4/bundlepatch.html` ノート: 12c (12.2.1.4.0)リリース・バージョンにアップグレードする場合は、OAMバンドル・パッチ12.2.1.4.200327が適用されているか、ご使用のリリースで使用可能な最新のバンドル・パッチが適用されていること。アップグレードの詳細は、「OIG-OAM統合環境のアップグレード」を参照してください。
Oracle Identity Governance	Oracle Identity Governance 12.2.1.4.0がすでにインストールされており、使用しているリリース用の最新のバンドル・パッチが適用されていること。『Oracle Identity and Access Managementのインストールおよび構成』のOracle Identity Governanceソフトウェアのインストールおよび構成に関する項を参照してください。ノート: 12c (12.2.1.4.0)リリース・バージョンにアップグレードする場合は、OIMバンドル・パッチ12.2.1.4.200505が適用されているか、ご使用のリリースで使用可能な最新のバンドル・パッチが適用されていること。アップグレードの詳細は、「OIG-OAM統合環境のアップグレード」を参照してください。

環境変数	OIG-OAM統合のために必要な環境変数を設定します。OIG-OAM統合のための環境変数の設定を参照してください。

関連項目:

コネクタ・ベースの統合の前提条件

3.1.4 Oracle Identity GovernanceとOracle Access Managerの統合のロードマップ

表3-2は、Oracle Unified Directoryを使用してAccess ManagerとOracle Identity Governanceを統合するための大まかなタスクをリストしたものです。

ユーザーのインストール・パスによっては、この表に示された統合手順の一部をすでに実行している可能性があります。インストール・ロードマップの詳細は、「インストール・ロードマップの理解」を参照してください。

表3-2 Access ManagerとOracle Identity Governanceの統合フロー

番号	タスク	情報
1	統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。	Oracle Identity GovernanceとOracle Access Managerの統合の前提条件を参照してください。
2	Oracle HTTP Serverをインストールし、Oracle HTTP Server WebGateとOracle Access Managerを構成します。	「Oracle HTTP ServerのインストールおよびOracle HTTP Server WebGateの構成」を参照してください。
3	Oracle Access ManagerをLDAPと統合します	「Oracle Access ManagerとLDAPの統合」を参照してください
4	Access ManagerとOracle Identity Governanceを統合します。ノート: 以前はOIGがなかった既存のOAM/LDAP統合環境にOIGを追加する場合は、OAMログイン・ページにOIGリンクを追加します。これを行うには、パラメータ`OAM11G_OIM_INTEGRATION_REQ`を`true`に設定して、ステップ「自動スクリプトを使用したOAMの構成」を再実行します。	Oracle Identity GovernanceとOracle Access Managerの統合の構成を参照してください
5	Access ManagerおよびOracle Identity GovernanceのOracle WebLogic Server管理対象サーバーを停止します。	『Oracle Fusion Middlewareの管理』の管理サーバーの起動と停止に関する項を参照してください。
6	統合をテストします。	Access ManagerとOracle Identity Governance統合の検証を参照してください

3.2 Oracle HTTP ServerのインストールおよびOracle HTTP Server WebGateの構成

Oracle HTTP Server WebGateは、HTTPリクエストをインターセプトし、それを認証および認可のためにOracle Access Managementインスタンスに転送するWebサーバー・プラグインです。

Oracle HTTP Serverをインストールし、Oracle HTTP Server WebGateを構成するには、次を実行します:

コロケート・モードでOracle HTTP Serverをインストールします。
ノート:
- 必ず、インストール・プロセス中に「インストール・タイプ」として「同じ場所に配置されたHTTPサーバー(WebLogic Server経由で管理)」を選択します。
- OHSは、拡張ドメインとしてインストールおよび構成することも、個別のドメインとして設定することもできます。
詳細は、『Oracle HTTP Serverのインストールと構成』のOracle HTTP Serverソフトウェアのインストールに関する項を参照してください。
Oracle Access ManagementドメインをOracle HTTP Serverで更新します。

Oracle HTTP Serverによる既存のOracle Access Managementドメインの拡張の詳細は、『Oracle HTTP Serverのインストールと構成』の同じ場所に配置されたドメインでのOracle HTTP Serverの構成に関する項を参照してください。

ノート:
必ず、構成プロセス中に、Oracle Access Managementマシンを追加し、「マシンへのシステム・コンポーネントの割当」画面で、選択したマシンにOracle HTTP Serverインスタンスを割り当てます。
Oracle HTTP Server WebGate for Oracle Access Managerを構成します。『Oracle Access Manager WebGatesのインストール』のOracle HTTP Server WebGate for Oracle Access Managerの構成に関する項を参照してください。

3.3 Oracle Identity GovernanceとOracle Access Managerの統合の構成

統合のための自動スクリプトは、Oracle Identity Governance(OIG)とOracle Access Manager(OAM)またはサード・パーティのアクセス製品の間のコネクタ・ベースの統合プロセスを簡略化します。OIGおよびOAMは、Oracle Unified Directory (OUD)、Oracle Internet Directory (OID)、Active Directory (AD)などのディレクトリと統合できます。

この章のトピックは、次のとおりです:

3.3.1 コネクタ・ベースの統合の前提条件

自動統合スクリプトを使用したコネクタ・ベースの統合のために、環境を準備します。システム・レベルの要件が満たされていること、12.2.1.4.0バイナリがインストールされていること、および必要なコネクタがダウンロードされていることを確認します。

環境の確認

必要なパッチをすべて適用して、オペレーティング・システムが最新の状態であることを確認します。
使用するバイナリをマウントします。適用可能なOracleソフトウェアは次のとおりです。
- Oracle Database 12c (12.2.x.x)
- JRF 12.2.1.4.0
- Oracle Identity and Access Management 12c (12.2.1.4.0)
- Oracle Unified Directory 12c (12.2.1.4.0)/Oracle Internet Directory 12c (12.2.1.4.0)
- Oracle Fusion Middleware Infrastructure 12c (12.2.1.4.0)
ノート:
- OAMおよびOIGには12.2.1.4.0バイナリを使用します。
- 統合プロセスを開始する前に、OAMバンドル・パッチ12.2.1.4.191223、またはご使用のリリースで使用可能な最新のバンドル・パッチを適用します。
- OAM-OIG統合環境を11gリリース2 (11.1.2.3.0)または12c (12.2.1.3.0)から最新の12c (12.2.1.4.0)リリース・バージョンにアップグレードする場合は、次のバンドル・パッチを適用します:
  - OAMバンドル・パッチ12.2.1.4.200327
  - OIMバンドル・パッチ12.2.1.4.200505
- Oracle HTTP Serverと12cのWebゲートがインストールされている必要があります。
Oracle Databaseが接続され、アクセス可能であることを確認します。
選択したディレクトリ(OUD/OID/AD)が稼働していることを確認します。
Oracle Access Managerが稼働していることを確認します。
「Oracle Access ManagerとLDAPの統合」の説明に従って、Oracle Access ManagerがLDAPと統合されていることを確認します。
Oracle Identity Governanceが稼働していることを確認します。
「OIG-OAM統合のための環境変数の設定」の説明に従って、環境変数が設定されているかどうかを確認します。
Oracle Access ManagerおよびOracle Identity Governanceが別々のドメインにインストールされていることを確認します。

ノート:
自動統合スクリプトOIGOAMIntegration.shは別々のホストおよびドメインにあるOIGおよびOAMと連携して機能します。OIGとOAMが同じドメイン上にある必要はありません。
次のいずれかを実行します。
- Oracle Linux 8 (OEL 8)またはRed Hat Enterprise Linux 8 (RHEL 8)オペレーティング・システムを使用している場合は、OIGOAMIntegration.shスクリプトを実行する前にtmuxをインストールします。
  tmuxパッケージは、OEL 8/RHEL 8ですでに使用可能になっています。たとえば、次のコマンドを実行して、tmuxパッケージをインストールできます。
```
yum install tmux
```
- OEL 8/RHEL 8より前またはそれ以外のオペレーティング・システムを使用している場合は、次のコマンドを実行して、サーバーに画面パッケージがインストールされていることを確認します:
```
rpm -qa | grep screen
```
  このコマンドによって、次の例に示す値が返されます:
```
screen.x86_64 0:4.1.0-0.23.20120314git3c2946.el7_2
```
  このコマンドでスクリーン・パッケージのバージョンに関する情報が返されない場合、次のようにパッケージをインストールします:
  1. rootとしてLinuxサーバーにログインします
  2. yum install screenを実行して、画面パッケージ(screen.x86_64 0:4.1.0-0.23.20120314git3c2946.el7_2など)をインストールします:
```
[root@server]# yum install screen
> Package screen.x86_64 0:4.1.0-0.23.20120314git3c2946.el7_2 will be
installed
Total download size: 552 k
Installed size: 914 k
Is this ok [y/d/N]:

Enter 'y' and press enter.

Downloading packages:
screen-4.1.0-0.23.20120314git3c2946.el7_2.x86_64.rpm

Installed:
screen.x86_64 0:4.1.0-0.23.20120314git3c2946.el7_2
```
OpenLDAPパッケージがインストールされていることを確認します:
```
yum install openldap openldap-clients
```
コマンドwhich ldapsearchを入力して、そのバージョンがご使用のシステムにインストールされているかどうかを確認します。このコマンドによって、次の例に示す値が返されます:
```
/usr/bin/ldapsearch
```
$PATHをLDAPディレクトリ・サーバーのインストール・ディレクトリに更新します。

OIG Metadata Services (MDS)構成に関連するデータソースの更新

OIGのWebLogic管理コンソールにログインします。
左ペインの「ドメイン構造」で、「サービス」を展開して「データ・ソース」をクリックします。
「mds-oim」をクリックし、「接続プール」タブをクリックします。
MDS-OIM接続プールで次のプロパティ値を更新します。
- 「初期容量」を50に設定します
- 「最大容量」を150に設定します
- 「最小容量」を50に設定します
「非アクティブ接続タイムアウト」の値を更新するには、次のようにします:

同じデータソース内で、ページ下部の「詳細」リンクをクリックし、「非アクティブ接続タイムアウト」値を10に設定します。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。

コネクタのダウンロード

アーティファクトリーからコネクタ・バンドルをダウンロードします: コネクタ・バンドルのダウンロード。
- OIDまたはOUDの場合、Oracle Internet Directoryに対応するoid-12.2.1.3.0.zipコネクタ・バンドルをダウンロードします。
- ADの場合、Microsoft Active Directory User Managementに対応するactivedirectory-12.2.1.3.0.zipコネクタ・バンドルをダウンロードします。
ノート:
すべてのディレクトリ・タイプにおいて、OIG-OAM統合に必要なコネクタ・バージョンは12.2.1.3.0です。
OIG Oracleホーム$ORACLE_HOME/idm/server/ConnectorDefaultDirectory以下の適切なコネクタ・パスにコネクタ・バンドルを解凍します。

たとえば:
```
/u01/app/fmw/ORACLE_HOME/idm/server/ConnectorDefaultDirectory
```
ADの場合、OIGおよびコネクタ・サーバーの両方にActive Directory User Managementコネクタをインストールします。

ノート:

アプリケーション作成ステップでコネクタのインストールが実行されます。その他のインストール・ステップは不要です。

重要:

OIG-OAM統合の後、他のITリソース用のターゲット・アプリケーション・インスタンスを作成するためにLDAPコネクタ・バンドルまたはActive Directoryコネクタ・バンドルが使用される場合、アプリケーション・インスタンスの作成に進む前に、ディレクトリ・タイプに対応するpre-config.xmlをSysadmin UIから手動でインポートする必要があります。

OIDの場合:

XML name: OID-pre-config.xml
Location (example): $ORACLE_HOME/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0/xml/OID-pre-config.xml

OUD/ODSEE/LDAPV3の場合:

XML name: ODSEE-OUD-LDAPV3-pre-config.xml
Location (example): $ORACLE_HOME/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0/xml/ODSEE-OUD-LDAPV3-pre-config.xml

ADの場合:

XML name: ad-pre-config.xml
Location (example): $ORACLE_HOME/idm/server/ConnectorDefaultDirectory/activedirectory-12.2.1.3.0/xml//ad-pre-config.xml

pre-config.xmlのインポートについては、コネクタXMLファイルのインポートを参照してください。

LDAPディレクトリおよびOracle Access Managerでのロックアウトしきい値の割当て

ユーザーのアカウントがロックされるまでにユーザーの試行が許可される認証失敗の最大数の値は、LDAPディレクトリとOracle Access Managerで同じである必要があります。

アカウント・ロックアウト期間を設定するには、OAMドメインのDOMAIN_HOME/config/fmwconfigにあるoam-config.xmlを開き、LockoutAttemptsパラメータを更新します。これを行うには、「OAM構成ファイルのエクスポートおよびインポート」のステップに従って、oam-config.xmlファイルをエクスポートおよびインポートします。

関連項目:

『Oracle Internet Directoryの管理』のOID - パスワード・ポリシーの管理に関する項。
『Oracle Unified Directoryの管理』のOUD - パスワード・ポリシーの管理に関する項。
『Windows 2000 Evaluated Configuration Administrators Guide』のAD - アカウント・ロックアウト・ポリシーの構成に関する項。

3.3.2 自動スクリプトを使用したOIG-OAM統合のステップ・バイ・ステップのステップ

自動統合スクリプトのOIGOAMIntegration.shは、OIG-OAMの構成操作の個別実行をサポートします。

ノート:

OIGOAMIntegration.shコマンドはOIGサーバーのみで実行する必要があります。

前提条件

前提条件にリストされているすべてのコンポーネントをインストールします。

各統合タスクを個別に実行することで、OIG-OAM統合環境の構成をステップごとに行います。各ステップの終わりには、出力を確認し、構成操作が正常に完了したことを確認します。構成操作が失敗した場合、統合シーケンスでの次のステップに進む前に、適切な修正を適用し、そのステップを再実行します。

最上位レベルの自動統合スクリプトであるOIGOAMIntegration.shを実行し、OIG-OAM統合のために必要な次の操作を実行します:

3.3.2.1 自動スクリプトを使用したOHSルールの移入

OIGOAMIntegration.sh自動スクリプトを使用してOHSルールを移入します。

OHSルールを移入するには、次のようにします。

(ORACLE_HOME/idm/server/ssointg/configにある) populateOHSRedirectIdmConf.configファイルをOAMおよびOIGサーバーの詳細で更新します。

OIM_HOST
OIM_PORT
OAM_HOST
OAM_PORT

次の表では、populateOHSRedirectIdmConf.configファイルのパラメータについて説明します。

表3-3 populateOHSRedirectIdmConf.configファイルのパラメータ

プロパティ	説明	値の例
`OAM_HOST`	OAMサーバーのURLを入力します。	`oamhost.example.com`
`OAM_PORT`	OAMサーバーのポートを入力します	`14100`
`OIM_HOST`	OIG管理対象サーバーのホスト名を入力します。	`oimhost.example.com`
`OIM_PORT`	OIGサーバーのポートを入力します。	`14000`

(ORACLE_HOME/idm/server/ssointg/binにある) OIG Oracleホーム・ディレクトリからOIGOAMIntegration.shスクリプトを実行して、OHSルールを移入します。
```
OIGOAMIntegration.sh -populateOHSRules
```
ORACLE_HOME/idm/server/ssointg/templatesにoim.confファイルが生成されていることを確認します。
oim.confファイル内の次のパラメータを削除します。
- /Nexaweb
- /xlWebApp
(ORACLE_HOME/idm/server/ssointg/configにある) OIGホーム・ディレクトリのoim.confファイルをOHS_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1/moduleconfにコピーします。
OHSサーバーを再起動します。

Oracle HTTP Serverインスタンスの再起動の詳細は、『Oracle HTTP Serverの管理』のOracle HTTP Serverインスタンスの再起動に関する項を参照してください。

3.3.2.2 自動スクリプトを使用したWLS認証プロバイダの構成

OIG-OAM統合のためのOIGOAMIntegration.sh自動スクリプトを使用して、WLS認証プロバイダを構成します。

WLS認証プロバイダを構成して、OIGドメインのSSOログアウトおよびセキュリティ・プロバイダを設定する必要があります。SSOログインとOIMクライアントベース・ログインが適切に動作するようにします。

たとえば、OIGOAMIntegration.sh -configureWLSAuthnProvidersスクリプトを実行すると、オーセンティケータの順序は次のようになります:

OAMIDAsserter
OIMSignatureAuthenticator
OIMAuthenticationProvider
LDAPAuthenticator
使用しているLDAPディレクトリに応じて:
- OID: OIDAuthenticator
- OUD: OUDAuthenticator
- AD: ADAuthenticator
DefaultAuthenticator
DefaultIdentityAsserter
信頼サービスIDアサータ

自動スクリプトを使用してWLS認証プロバイダを構成するには:

(ORACLE_HOME/idm/server/ssointg/configにある) OIG Oracleホーム・ディレクトリのconfigureWLSAuthnProviders.configファイルをテキスト・エディタで開き、パラメータを更新します。

configureWLSAuthnProviders.configファイルの例

OIM_WLSHOST: oimadminhost.example.com
OIM_WLSPORT: 7001
OIM_WLSADMIN: weblogic
OIM_WLSADMIN_PWD: <password>
OIM_SERVER_NAME: oim_server1
IDSTORE_DIRECTORYTYPE: OID
IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 3060
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_BINDDN_PWD: <password>
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com

次の表では、configureWLSAuthnProviders.configファイルで設定できるパラメータについて説明します。

表3-4 configureWLSAuthnProviders.configファイルのパラメータ

プロパティ	説明	値の例
`OIM_WLSHOST`	OIG管理サーバーのホスト名を入力します。	`oimadminhost.example.com`
`OIM_WLSPORT`	OIG管理サーバーのポートを入力します。	`17001`
`OIM_WLSADMIN`	OIMドメインのWebLogic管理者ユーザーを入力します。	`weblogic`
`OIM_WLSADMIN_PWD`	OIMドメインのWeblogic管理ユーザーのパスワードを入力します。ノート: パスワード・フィールドはすべてオプションです。ファイルに入力しない場合(セキュリティの問題)、スクリプトの実行時に入力を求められます。	`password`
`OIM_SERVER_NAME`	OIGサーバー名を入力します。	`oim_server1`
`IDSTORE_DIRECTORYTYPE`	アイデンティティ・ストアのディレクトリ・タイプを入力します。有効なオプションは、OID、OUDおよびADです。	`OID`
`IDSTORE_HOST`	アイデンティティ・ストアのホスト名を入力します。	`idstore.example.com`
`IDSTORE_PORT`	アイデンティティ・ストアのポートを入力します。	`3060`
`IDSTORE_BINDDN`	Oracle Internet Directory、Oracle Unified DirectoryまたはMicrosoft Active Directory内の管理ユーザー。	OID: `cn=orcladmin` OUD: `cn=oudadmin` AD: `CN=Administrator,CN=Users,DC=example.com,DC=example,dc=com`
`IDSTORE_BINDDN_PWD`	Oracle Internet Directory、Oracle Unified DirectoryまたはMicrosoft Active Directory内の管理ユーザーのパスワードを入力します。ノート: パスワード・フィールドはすべてオプションです。ファイルに入力しない場合(セキュリティの問題)、スクリプトの実行時に入力を求められます。	`password`
`IDSTORE_USERSEARCHBASE`	ユーザーが保存されているディレクトリの場所を入力します。	`cn=users,dc=example,dc=com`
`IDSTORE_GROUPSEARCHBASE`	グループが保存されているディレクトリの場所を入力します。	`cn=groups,dc=example,dc=com`

(ORACLE_HOME/idm/server/ssointg/binにある) OIG Oracleホーム・ディレクトリのOIGOAMIntegration.shスクリプトを実行して、WLS認証プロバイダを構成します:
```
OIGOAMIntegration.sh -configureWLSAuthnProviders
```
WLS認証プロバイダを構成するための自動スクリプトが正常に実行されました。
OIGドメイン・サーバーを再起動します。『Oracle Fusion Middleware Oracle Identity and Access Managementのインストールおよび構成』のサーバーの起動に関する項を参照してください。

3.3.2.3 自動スクリプトを使用したLDAPコネクタの構成

統合のための自動スクリプト、OIGOAMIntegration.shを使用して、LDAPコネクタを構成します。

自動スクリプトは次の操作を実行し、LDAPコネクタを構成します。

アプリケーション・オンボードLDAPテンプレートを、ダウンロードしたコネクタ・バンドルにコピーします。
アプリケーション名、およびLDAPホストやポートなどの他のプロパティ値を構成ファイルから取得します。
アプリケーション・オブジェクト、ターゲット・アプリケーション、および認可アプリケーションを、アンマーシャリングされたLDAPテンプレートから作成します。
アプリケーション・マネージャを使用して、create APIメソッドを実行し、アプリケーション・オブジェクトからアプリケーション・インスタンスを作成します。
次のような構成ファイルから取得した値を使用してITリソース・インスタンスを更新します。
- baseContexts
- プリンシパル
- 資格証明
- ホストとポート
- SSL (trueまたはfalse)
SSO.DefaultCommonNamePolicyImplシステム・プロパティを設定します。
構成ファイルから取得した値を使用してSSOIntegrationMXBeanのプロパティを設定します。
- targetAppInstanceName
- targeITResourceNameForGroup
- directorytype
SSOトラステッド・パラメータおよびターゲット・パラメータでスケジュール済ジョブを更新します。
SSOIntegrationMXBean addContainerRules操作を起動することによって、構成ファイルから取得した値でコンテナ・ルールを更新します。
- ディレクトリ・タイプ
- ユーザー検索ベース
- ユーザー検索ベースの説明
- グループ検索ベース
- グループ検索ベースの説明

ノート:

コネクタを構成するためのスクリプトを実行すると、デフォルトのLDAPコンテナ・ルールのみがMDSにシードされます。カスタム・コンテナ・ルールを使用し、これらをMDSに手動でアップロードできます。

LDAPコネクタを構成するには、次のようにします。

(ORACLE_HOME/idm/server/ssointg/configにある) OIG Oracleホーム・ディレクトリのconfigureLDAPConnector.configファイルをテキスト・エディタで開き、パラメータを更新します。

configureLDAPConnector.configファイルの例

IDSTORE_DIRECTORYTYPE=OID
OIM_HOST=oimhost.example.com
OIM_PORT=14000
WLS_OIM_SYSADMIN_USER=<system_administrator_username>
WLS_OIM_SYSADMIN_USER_PWD=<password>
OIM_WLSHOST=oimadminhost.example.com
OIM_WLSPORT=7001
OIM_WLSADMIN=weblogic
OIM_WLSADMIN_PWD=<password>
OIM_SERVER_NAME=oim_server1
IDSTORE_HOST=idstore.example.com
IDSTORE_PORT=3060
IDSTORE_BINDDN=cn=orcladmin
IDSTORE_BINDDN_PWD=<password>
IDSTORE_OIMADMINUSERDN=cn=oimLDAP,cn=systemids,dc=example,dc=com
IDSTORE_OIMADMINUSER_PWD=<password>
IDSTORE_SEARCHBASE=dc=example,dc=com
IDSTORE_USERSEARCHBASE=cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE=cn=Groups,dc=example,dc=com
IDSTORE_USERSEARCHBASE_DESCRIPTION=Default user container
IDSTORE_GROUPSEARCHBASE_DESCRIPTION=Default group container
IDSTORE_EMAIL_DOMAIN=example.com
## For ActiveDirectory use the values of "yes" or "no". i.e. IS_LDAP_SECURE=yes/no
IS_LDAP_SECURE=false
SSO_TARGET_APPINSTANCE_NAME=SSOTarget
## Path to expanded connector bundle: e.g. for OID and OUD
CONNECTOR_MEDIA_PATH=/u01/oracle/products/identity/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0
## Path for AD bundle
# CONNECTOR_MEDIA_PATH=/u01/oracle/products/identity/idm/server/ConnectorDefaultDirectory/activedirectory-12.2.1.3.0
## [ActiveDirectory]
# The following attributes need to be initialized only if Active Directory is the target server
# AD_DIRECTORY_ADMIN_NAME=oimLDAP@example.com
# AD_DIRECTORY_ADMIN_PWD=<password>
# AD_DOMAIN_NAME=example.com
## Active Directory Connector Server details
# AD_CONNECTORSERVER_HOST=192.168.99.100
# AD_CONNECTORSERVER_KEY=<connectorserverkey>
# AD_CONNECTORSERVER_PORT=8759
# AD_CONNECTORSERVER_TIMEOUT=0
## Set to yes if SSL is enabled
# AD_CONNECTORSERVER_USESSL=no

次の表では、configureLDAPConnector.configファイルで設定できるパラメータについて説明します。

表3-5 configureLDAPConnector.configファイルのパラメータ

プロパティ	説明	値の例
`IDSTORE_DIRECTORYTYPE`	アイデンティティ・ストアのディレクトリ・タイプを入力します。有効なオプションは、OID、OUDおよびADです。	`OID`
`OIM_HOST`	OIG管理対象サーバーのホスト名を入力します。	`oimhost.example.com`
`OIM_PORT`	OIGサーバーのポートを入力します。	`14000`
`WLS_OIM_SYSADMIN_USER`	SSOを構成するときにOIGに接続するために使用するシステム管理者ユーザーを入力します。このユーザーはシステム管理者ロールを持っている必要があります。	`xelsysadm`
`WLS_OIM_SYSADMIN_USER_PWD`	OIGシステム管理者ユーザーのパスワードを入力します。ノート: パスワード・フィールドはすべてオプションです。ファイルに入力しない場合(セキュリティの問題)、スクリプトの実行時に入力を求められます。	`password`
`OIM_WLSHOST`	OIG管理サーバーのホスト名を入力します。	`oimadminhost.example.com`
`OIM_WLSPORT`	OIG管理サーバーのポートを入力します。	`17001`
`OIM_WLSADMIN`	OIMドメインのWebLogic管理者ユーザーを入力します。	`weblogic`
`OIM_WLSADMIN_PWD`	OIMドメインのWeblogic管理ユーザーのパスワードを入力します。ノート: パスワード・フィールドはすべてオプションです。ファイルに入力しない場合(セキュリティの問題)、スクリプトの実行時に入力を求められます。	`password`
`OIM_SERVER_NAME`	OIGサーバー名を入力します。ノート: `configureLDAPConnector.config`ファイルに`OIM_SERVER_NAME`プロパティを手動で追加する必要があります。	`oim_server1`
`IDSTORE_HOST`	アイデンティティ・ストアのホスト名を入力します。	`idstore.example.com`
`IDSTORE_PORT`	アイデンティティ・ストアのポートを入力します。	`3060`
`IDSTORE_BINDDN`	Oracle Internet Directory、Oracle Unified Directory、またはActive Directory内の管理ユーザー。	OID: `cn=orcladmin` OUD: `cn=oudadmin` AD: `CN=Administrator, CN=Users, DC=example.com, DC=example, dc=com`
`IDSTORE_BINDDN_PWD`	Oracle Internet Directory、Oracle Unified DirectoryまたはMicrosoft Active Directory内の管理ユーザーのパスワードを入力します。	`password`
`IDSTORE_OIMADMINUSERDN`	システム処理ユーザーが保存されるディレクトリ内のコンテナの場所を入力します。システム処理ユーザーは数人しかおらず、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーとは区別しておきます。たとえば、Oracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Governanceリコンシリエーション・ユーザーがあげられます。	`cn=oimLDAP,cn=systemids,dc=example,dc=com`
`IDSTORE_OIMADMINUSER_PWD`	Oracle Identity Governanceがアイデンティティ・ストアに接続するために使用するユーザーのパスワードを入力します。	`password`
`IDSTORE_SEARCHBASE`	ユーザーおよびグループが保存されるディレクトリの場所を入力します。	`dc=example,dc=com`
`IDSTORE_USERSEARCHBASE`	Access Managerがユーザーを検索するコンテナを入力します。	`cn=users,dc=example,dc=com`
`IDSTORE_GROUPSEARCHBASE`	グループが保存されているディレクトリの場所を入力します。	`cn=groups, dc=example, dc=com`
`IDSTORE_USERSEARCHBASE_DESCRIPTION`	ディレクトリ・ユーザー検索ベースの説明を入力します	デフォルトのユーザー・コンテナ
`IDSTORE_GROUPSEARCHBASE_DESCRIPTION`	ディレクトリ・グループ検索ベースの説明を入力します。	デフォルトのグループ・コンテナ
`IDSTORE_EMAIL_DOMAIN`	電子メールで使用されるドメインを入力します。たとえば、`user@example.com`です。	`example.com`
`IS_LDAP_SECURE`	LDAP通信用のSSLを使用することを示します。ActiveDirectoryの場合は`yes`または`no`を使用します。	`false`
`SSO_TARGET_APPINSTANCE_NAME`	ターゲットLDAPへのアカウントのプロビジョニングに使用されるターゲット・アプリケーション・インスタンス名を入力します。	`SSOTarget`
`CONNECTOR_MEDIA_PATH`	ダウンロードして解凍したコネクタ・バンドルの場所を入力します。Oracle Identity Governanceではこの場所を使用してインストールするコネクタ・バンドルを選択します。	OID/OUD: `ORACLE_HOME/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0` AD: `ORACLE_HOME/idm/server/ConnectorDefaultDirectory/activedirectory-12.2.1.3.0`
`AD_DIRECTORY_ADMIN_NAME`	AD管理者の名前	`oimLDAP@example`
`AD_DIRECTORY_ADMIN_PWD`	ADディレクトリ管理者のパスワードを入力します。	`password`
`AD_DOMAIN_NAME`	Microsoft Active Directoryで構成されているドメイン名を入力します。	`example.com`
`AD_CONNECTORSERVER_HOST`	コネクタ・サーバーのホスト・コンピュータのホスト名またはIPアドレスを入力します。	`192.0.2.1`
`AD_CONNECTORSERVER_KEY`	コネクタ・サーバーのキーを入力します。	<connectorserverkey>
`AD_CONNECTORSERVER_PORT`	コネクタ・サーバーがリスニングしているポートの番号を入力します。	`8759`
`AD_CONNECTORSERVER_TIMEOUT`	コネクタ・サーバーとOracle Identity Governanceとの間の接続がタイムアウトするまでの時間をミリ秒単位で指定する整数値を入力します。`0`という値は、接続がタイムアウトしないことを意味します。	`0`
`AD_CONNECTORSERVER_USESSL`	Oracle Identity GovernanceまたはOracle Unified Directoryとコネクタ・サーバーとの間にSSLを構成するよう指定する場合は、`true`を入力します。それ以外の場合は、`false`を入力します。 Active Directoryの場合、値は`yes`または`no`である必要があります。デフォルト値は`falseです` ノート: SSLを構成してコネクタ・サーバーとの通信を保護することをお薦めします。	`true` (または`false`)

(ORACLE_HOME/idm/server/ssointg/binにある) OIG Oracleホーム・ディレクトリのOIGOAMIntegration.shスクリプトを実行して、LDAPコネクタを構成します:
```
OIGOAMIntegration.sh -configureLDAPConnector
```

LDAPコネクタを構成するための自動スクリプトが正常に実行されました。

LDAPコネクタ構成の確認

次のステップを実行して、LDAPコネクタ構成を確認できます:

ターゲット・アプリケーション・インスタンスが作成されたことを確認します:
1. ブラウザを開き、次のURL形式を使用してOracle Identity Self Serviceのログイン・ページにアクセスします:
  http://OIM_HOST.com:PORT/identity/
2. 「管理」タブをクリックし、「アプリケーション」ボックスをクリックして「アプリケーション」ページを開きます。
3. 「検索」アイコンをクリックします。
  
  検索結果表に、アカウントをターゲットLDAPにプロビジョニングするために使用されるターゲット・アプリケーション・インスタンス名(configureLDAPConnector.configファイルに入力された値)が表示されます。
  
  たとえば、SSOTargetおよびSSOTrusted-for-SSOTargetなどです。
4. 「SSOTarget」を選択し、「設定」をクリックします。
5. 「ユーザー」セクションから、「組織」を選択します。
6. アプリケーションが最上位組織に公開されるように構成されていることを確認します。
ITリソース・インスタンスが、configureLDAPConnector.configファイルで更新した必須のパラメータで更新されていることを確認します:
1. ブラウザを開き、次のURL形式を使用してOracle Identity System管理コンソールにアクセスします:
  http://HOSTNAME:PORT/sysadmin
2. 「プロビジョニング構成」で、「ITリソース」をクリックします。
  
  「ITリソースの管理」ページが表示されます。
3. SSOサーバーのITリソースを検索し、次の属性がconfigureLDAPConnector.configファイルで指定したパラメータで更新されていることを確認します:
  - baseContexts
  - principal
  - credentials
  - host and port
  - SSL (trueまたはfalse)
Oracle Identity System Administrationコンソールを使用して、SSO.DefaultCommonNamePolicyImplシステム・プロパティが値oracle.iam.ssointg.impl.handlers.account.commonname.plugins.impl.FirstNameLastNamePolicyで更新されていることを確認します。
SSOIntegrationMXBeanが、configureLDAPConnector.configファイルで更新した必須のパラメータで更新されていることを確認します:
1. ブラウザを開き、次のURL形式を使用してOIGのOracle Enterprise Manager Fusion Middleware Controlにアクセスします:
  http://ADMINSTRATION_SERVER:PORT/em
2. 「ドメイン」を展開し、「システムMBeanブラウザ」を開きます
3. SSOIntegrationMXBeanという名前のMBeanを検索します
4. 次の属性が、configureLDAPConnector.configファイルで指定したパラメータで更新されていることを確認します:
  - DirectoryType
  - TargetAppInstanceName
  - TargetITResourceNameForGroup

3.3.2.4 自動スクリプトを使用したSSO統合の構成

統合のための自動スクリプト、OIGOAMIntegration.shを使用して、SSO統合を構成します。

OIGOAMIntegration.shを使用して、OIMをOAMのTAPパートナとして登録し、OIG-OAM通信用のリソース・ポリシーを追加し、MDSのSSOIntegrationMXBean値を更新します。

SSO統合を構成するには、次のようにします。

(ORACLE_HOME/idm/server/ssointg/configにある) OIG Oracleホーム・ディレクトリのconfigureSSOIntegration.configファイルをテキスト・エディタで開き、パラメータを更新します。

configureSSOIntegration.configファイルの例

NAP_VERSION: 4
COOKIE_EXPIRY_INTERVAL: 120
OAM_HOST: oamhost.example.com
OAM_PORT: 14100
ACCESS_SERVER_HOST: oamaccesshost.example.com
ACCESS_SERVER_PORT: 5557
OAM_SERVER_VERSION: 11g
WEBGATE_TYPE: ohsWebgate11g
ACCESS_GATE_ID: Webgate_IDM
ACCESS_GATE_PWD: <password>
COOKIE_DOMAIN: .example.com
OAM_TRANSFER_MODE: Open
SSO_ENABLED_FLAG: true
SSO_INTEGRATION_MODE: CQR
OIM_LOGINATTRIBUTE: User Login
OAM11G_IDSTORE_NAME: OAMIDSTORE
OAM11G_WLS_ADMIN_HOST: oamadminhost.example.com
OAM11G_WLS_ADMIN_PORT: 7001
OAM11G_WLS_ADMIN_USER: weblogic
OAM11G_WLS_ADMIN_PASSWD: <password>
## Required if OAM_TRANSFER_MODE is not OPEN
#SSO_KEYSTORE_JKS_PASSWORD: <password>
#SSO_GLOBAL_PASSPHRASE: <passphrase>
OIM_WLSHOST: oimadminhost.example.com
OIM_WLSPORT: 7001
OIM_WLSADMIN: weblogic
OIM_WLSADMIN_PWD: <password>
OIM_SERVER_NAME: oim_server1
IDSTORE_OAMADMINUSER: oamAdmin
IDSTORE_OAMADMINUSER_PWD: <password>
## Required in SSL mode
#OIM_TRUST_LOC=/u01/oracle/products/identity/wlserver/server/lib/DemoTrust.jks
#OIM_TRUST_PWD=<password>
#OIM_TRUST_TYPE=JKS

次の表では、configureSSOIntegration.configファイルで設定できるパラメータについて説明します。

表3-6 configureSSOIntegration.configファイルのパラメータ

プロパティ	説明	値の例
`NAP_VERSION`	NAPプロトコル・バージョンを入力します。(4は11g+を示します)	`4`
`OAM11G_IDSTORE_NAME`	OAMで構成されたアイデンティティ・ストアの名前を入力します。これはOAMのデフォルト/システムIDストアとして設定されます。	`OAMIDStore`
`COOKIE_EXPIRY_INTERVAL`	Cookieの有効期限を入力します。	`120`
`OAM_HOST`	OAMサーバーのホスト名を入力します。	`oamhost.example.com`
`OAM_PORT`	OAMサーバーのポートを入力します	`14100`
`ACCESS_SERVER_HOST`	Access Manager OAPホストを入力します。	`oamaccesshost.example.com`
`ACCESS_SERVER_PORT`	Access Manager OAPポートを入力します。	`5575`
`OAM_SERVER_VERSION`	OAM 12cのみがサポートされます。OAM 10gは12c統合でサポートされていません。	11g
`WEBGATE_TYPE`	作成するWebゲート・エージェントのタイプを入力します。10gは12cではサポートされなくなりました。	`ohsWebgate12c`または`ohsWebgate11g`
`ACCESS_GATE_ID`	Webゲートに割り当てられる名前。これはOAM構成時に指定した値です。詳細は、「自動スクリプトを使用したOAMの構成」を参照してください。	`Webgate_IDM`
`ACCESS_GATE_PWD`	アクセス・ゲートIDのパスワードを入力します。	<password>
`COOKIE_DOMAIN`	Webゲートが機能するドメインを入力します。	`.example.com`
`OAM_TRANSFER_MODE`	アクセス・サーバーが機能するセキュリティ・モードを入力します。サポートされている値はOPENおよびSIMPLEですSIMPLEの使用は最小限に抑えることをお薦めします。ノート: CERTモードの統合の切替えを行うには、構成後のステップとしてOAMサーバーとWebゲートを変更します。これは、『Oracle Access Managerの管理』のOAMサーバーとWebゲート間の通信の保護に関する項の説明に従って変更できます。	`SIMPLE`
`SSO_ENABLED_FLAG`	OIG-OAM統合が有効な場合に`true`に設定します。それ以外の場合は、`False`。	`true`
`SSO_INTEGRATION_MODE`	OAMとの統合モードを入力します。チャレンジ質問レスポンス(CQR)モードを使用すると、OIGはパスワード・ポリシーとパスワード操作を処理します。ワンタイム・パスワード(OTP)モードを使用すると、すべてのパスワード操作がOAM自体で処理され、OIGでのパスワードの変更およびリセットは行われません。	`CQR`
`OIM_LOGINATTRIBUTE`	ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性を入力します。ユーザーはログインにこの属性を使用します。たとえば、User Loginなどです。	User Login
`OAM11G_WLS_ADMIN_HOST`	OAMドメインの管理サーバーのホストを入力します。	`oamadminhost.example.com`
`OAM11G_WLS_ADMIN_PORT`	OAMドメインの管理サーバーのポートを入力します。	`7001`
`OAM11G_WLS_ADMIN_USER`	OAMドメインのWebLogic管理者ユーザーを入力します。	`weblogic`
`OAM11G_WLS_ADMIN_PASSWD`	OAMドメインのWeblogic管理ユーザーのパスワードを入力します。ノート: パスワード・フィールドはすべてオプションです。ファイルに入力しない場合(セキュリティの問題)、スクリプトの実行時に入力を求められます。	password
`SSO_KEYSTORE_JKS_PASSWORD`	OAMとのSIMPLEモード通信に必要なキーストアのパスワードを入力します。	password
`SSO_GLOBAL_PASSPHRASE`	Access ManagerとのSIMPLEセキュリティ・モード通信用のランダムなグローバル・パスフレーズ。Access Managerは、デフォルトでOPENセキュリティ・モードを使用するように構成されています。OPENモードのインストール・デフォルトを使用する場合は、この手順をスキップできます。ノート: グローバル・パスフレーズは、保存された接続構成ファイルの`global_passphrase`属性の値から取得されます。この接続構成ファイルの詳細は、「保存された接続構成ファイル」を参照してください。	password
`OIM_WLSHOST`	OIG管理サーバーのホスト名を入力します。	`oimadminhost.example.com`
`OIM_WLSPORT`	OIG管理サーバーのポートを入力します。	`17001`
`OIM_WLSADMIN`	OIMドメインのWebLogic管理者ユーザーを入力します。	`weblogic`
`OIM_WLSADMIN_PWD`	OIMドメインのWeblogic管理ユーザーのパスワードを入力します。	<password>
`OIM_SERVER_NAME`	OIGサーバー名を入力します。	`oim_server1`
`IDSTORE_OAMADMINUSER`	Oracle Access Managementコンソールへのアクセスに使用するユーザーを入力します。	`oamAdmin`
`IDSTORE_OAMADMINUSER_PWD`	Oracle Access Managementコンソールへのアクセスに使用するユーザーのパスワードを入力します。	<password>
`OIM_TRUST_LOC`	OIGトラスト・ストアの場所を入力します。	`ORACLE_HOME/wlserver/server/lib/DemoTrust.jks`
`OIM_TRUST_PWD`	トラスト・ストアにアクセスするためのパスワードを入力します。	<password>
`OIM_TRUST_TYPE`	トラスト・ストアのタイプを入力します。デフォルトはJKSです	JKS

(ORACLE_HOME/idm/server/ssointg/binにある) OIG Oracleホーム・ディレクトリのOIGOAMIntegration.shスクリプトを実行して、SSO統合を構成します:

OIGOAMIntegration.sh -configureSSOIntegration

ノート:

configureSSOIntegrationオプションを指定してOIMOAMIntegration.shスクリプトを実行すると、コマンドが見つからないというエラーが表示されます。ただし、これは無害なエラーであり、スクリプトは示されているとおりに引き続き実行されます:

[2020-09-11 08:26:05]
-----------------------------------------------------------------
[2020-09-11 08:26:05]
[2020-09-11 08:26:05] ==================================================
[2020-09-11 08:26:05] Executing configureSSOIntegration
[2020-09-11 08:26:05] --------------------------------------------------
[2020-09-11 08:26:05]
/scratch/username_folder/interopps4/oimmw/idm/server/ssointg/bin/_OIGOAMIntegration.sh
: line 72: =OAM_IDSTORE_NAME: command not found
[2020-09-11 08:26:05] Now running wlst.sh updateOAMConfigIDStore.py

Initializing WebLogic Scripting Tool (WLST) ...

Welcome to WebLogic Server Administration Scripting Shell

OIGOAMIntegration.shは、次のポリシーをOAMに追加します:

/FacadeWebApp/*
/OIGUI/*
/iam/governance/*
/soa/**
/ucs/**
/reqsvc/**
/workflowservice/**
/HTTPClnt/**
/callbackResponseService/**
/role-sod/**
/sysadmin/**
/oim/**
/admin/**
/spml-xsd/**
/spmlws/**
/sodcheck/**
/SchedulerService-web/**
/jmx-config-lifecycle/**
/integration/**
/identity/**
/provisioning-callback/**
/soa-infra/**
/CertificationCallbackService/**
/identity/faces/firstlogin
/admin/faces/pages/pwdmgmt.jspx
/sysadmin/
/xmlpserver
/sysadmin
/identity/faces/taskdetails
/identity/faces/trackregistrationrequests
/identity/faces/request
/identity/
/identity
/sysadmin/faces/home
/identity/faces/home
/oim/faces/pages/Admin.jspx
/oim/faces/pages/Self.jspx
/admin/faces/pages/Admin.jspx

次のポリシーをOAMに追加します:
1. 次のOracle Access Managementコンソールにログインします。
  http://oam_adminserver_host:oam_adminserver_port/oamconsole
2. 「アプリケーション・セキュリティ」起動パッドから、「Access Manager」セクションで「アプリケーション・ドメイン」をクリックします。
  
  「アプリケーション・ドメインの検索」ページが表示されます。
3. 「検索」ページで「検索」をクリックします。
  
  アプリケーション・ドメインのリストが表示されます。
4. ドメイン「IAMスイート」をクリックします。
5. 「リソース」タブをクリックします。
6. 「作成」をクリックします。
7. 「リソース・タイプ」として「HTTP」を、「ホスト識別子」として「IAMSuiteAgent」を選択します。
8. 次のリソースURLを入力します:
  
  ノート:
  「保護レベル」に「除外」を選択します。
  - /iam/governance/configmgmt/**
  - /iam/governance/scim/v1/**
  - /iam/governance/token/api/v1/**
  - /iam/governance/applicationmanagement/**
  - /iam/governance/adminservice/api/v1/**
  - /iam/governance/selfservice/api/v1/**
9. 「適用」をクリックします。
次のステップを実行して、OIGポリシー・リソースをシードします:
1. $ORACLE_HOME <OIG_INSTALL_LOCATION>/oracle_common/common/binでwlst.shを実行します
2. connect()と入力します
3. OAMドメインの管理ユーザー名を指定します。たとえば、weblogicです
4. OAMドメインの管理パスワードを指定します。
5. OAM管理サーバーのURLを入力します。たとえば、t3://<OAM Host>:<OAM WLS Port>です
6. 次のコマンドを実行します。
```
importPolicyDelta(pathTempOAMPolicyFile="ORACLE_HOME <OAM_INSTALL_LOCATION>/idm/oam/def_import_policies/oim-resource-policy.xml",
isAppDomainUpdate="true")
```
SSOIntegrationMXBeanの属性バージョンを確認します。
1. ブラウザを開き、次のURL形式を使用してOIGのOracle Enterprise Manager Fusion Middleware Controlにアクセスします:
  http://ADMINSTRATION_SERVER:PORT/em
2. 「ドメイン」を展開し、「システムMBeanブラウザ」を開きます
3. SSOIntegrationMXBeanという名前のMBeanを検索します
4. 「SSOIntegrationMXBean」をクリックします。
5. attribute Version = 11gであることを確認します。
  
  ノート:
  前述のステップを実行して、新しい12.2.1.4.0統合環境で自動ログインを有効にしてください。

SSO統合を構成するための自動スクリプトが正常に実行されました。

SSO統合構成の確認

次のステップを実行します。

リソースを確認します
1. 次のOracle Access Managementコンソールにログインします。
  http://oam_adminserver_host:oam_adminserver_port/oamconsole
2. 「アプリケーション・セキュリティ」起動パッドから、「Access Manager」セクションで「アプリケーション・ドメイン」をクリックします。
  
  「アプリケーション・ドメインの検索」ページが表示されます。
3. 「検索」ページで「検索」をクリックします。
  
  アプリケーション・ドメインのリストが表示されます。
4. ドメイン「IAMスイート」をクリックします。
5. 「リソース」タブをクリックし、次のリソースが作成されていることを確認します。
  - /soa/**
  - /jmx-config-lifecycle/**
  - /SchedulerService-web/**
  - /sodcheck/**
  - /spmlws/**
  - /spml-xsd/**
  - /XIMDD/**
  - /admin/**
  - /oim/**
  - /sysadmin/**
  - /role-sod/**
  - /callbackResponseService/**
  - /HTTPClnt/**
  - /iam/governance/*
  - /OIGUI/*
  - /FacadeWebApp/*
  - /provisioning-callback/**
  - /CertificationCallbackService/**
  - /iam/governance/configmgmt/**
  - /iam/governance/scim/v1/**
  - /iam/governance/token/api/v1/**
  - /iam/governance/applicationmanagement/**
  - /iam/governance/adminservice/api/v1/**
  - /iam/governance/selfservice/api/v1/**

oig-oam-integrationログ・ファイル内のproposed valueとSSOIntegrationMXBean内の値が同じであることを確認します。

(ORACLE_HOME/idm/server/ssointg/logsにある) oig-oam-integrationログ・ファイルを開き、proposed valueを検索します。

oig-oam-integrationログ・ファイルの例


OIMIntegrationAutomationTool.connectToDomainRuntime...
Connecting to t3://myhost.us.example.com:7002
OIMIntegrationAutomationTool.getJMXConnector...
mserver: /jndi/weblogic.management.mbeanservers.domainruntime
Connection to domain runtime mbean server established
SSOIntegrationMXBean name: oracle.iam:Location=oim_server1,name=SSOIntegrationMXBean,type=IAMAppRuntimeMBean,Application=oim
sak SSOIntegrationAutomationTool: got SSOIntegrationMXBean...
 sak current value of accessServerHost=myhost.us.example.com
 proposed value of accessServerHost=myhost.us.example.com
  sak new value of accessServerHost=myhost.us.example.com
 sak current value of oamAdminUser=oamAdminUser
 sak proposed value of oamAdminUser=oamAdminUser
 sak new value of oamAdminUser=oamAdminUser
 current value of tapEndpointUrl=http://myhost.us.example.com:14100/oam/server/dap/cred_submit
 sak proposed value of tapEndpointUrl=http://myhost.us.example.com:14100/oam/server/dap/cred_submit
 sak new value of tapEndpointUrl=http://myhost.us.example.com:14100/oam/server/dap/cred_submit
 current value of loginIdAttribute=User Login
 current value of version=12c
 proposed value of version=12c
 new value of version=12c
 current value of accessServerPort=5575
 proposed value of accessServerPort=5575
 new value of accessServerPort=5575
 current value of oamServerPort=14100
 proposed value of oamServerPort=14100
 new value of oamServerPort=5575
 current value of accessGateID=Webgate_IDM
 proposed value of accessGateID=Webgate_IDM
 new value of accessGateID=Webgate_IDM
 current value of napVersion=4
 proposed value of napVersion=4
 new value of napVersion=4
 current value of cookieDomain=.us.example.com
 proposed value of cookieDomain=.us.example.com
 new value of cookieDomain=.us.example.com
 current value of cookieExpiryInterval=120
 proposed value of cookieExpiryInterval=120
 new value of cookieExpiryInterval=120
 current value of transferMode=Open
 proposed value of transferMode=Open
 new value of transferMode=Open
 current value of webgateType=ohsWebgate11g
 proposed value of webgateType=ohsWebgate11g
 new value of webgateType=ohsWebgate11g
 proposed value of SSOEnabled=true
 new value of isSSOEnabled=true
 current value of integrationMode=CQR
 proposed value of integrationMode=CQR
 new value of integrationMode=CQR
 Connection closed sucessfully
 sak configure oam

 Connecting to OAM Domain MBean Server... looking for OAM domain credentials.
 JMX URL : service:jmx:t3://myhost.us.example.com:7001/jndi/weblogic.management.mbeanservers.domainruntime
 sak mbeanObjectNames size: 1
 sak Registering OIM as a TAP partner with OAM...
 sak Registering OIM as a TAP partner with OAM was successful!!
 sak configure oam before strCipherKey=DEC40506366E926CACC9A0D666E94F85
 sak mbeanObjectNames size: 1
 Getting OAM/TAP Endpoint URL...
 Getting OAM/TAP Endpoint URL was successful!!
 MBean server connection closed sucessfully

ブラウザを開き、次のURL形式を使用してOIGのOracle Enterprise Manager Fusion Middleware Controlにアクセスします:
http://ADMINSTRATION_SERVER:PORT/em
「ドメイン」を展開し、「システムMBeanブラウザ」を開きます
SSOIntegrationMXBeanという名前のMBeanを検索します
すべての必須フィールドが、oig-oam-integrationログ・ファイル内のproposed valueで更新されていることを確認します。

OAMドメインのDOMAIN_HOME/config/fmwconfigにあるoam-config.xmlを開き、UserStore属性がconfigureSSOIntegration.config ファイルで指定したアイデンティティ・ストアの名前(OAMIDSTOREなど)を指していることを確認します。

3.3.2.5 自動スクリプトを使用したOAM通知の有効化

OIG-OAM統合のためのOIGOAMIntegration.sh自動スクリプトを使用して、OAM通知を有効にします。

ユーザー・セッションを停止するためにはイベント・ハンドラが必要です。OAM通知ハンドラはデフォルトではロードされません。OIGOAMIntegration.sh -enableOAMsessionDeletionを実行してOAM通知ハンドラをインポートし、OIGシステム管理者を登録してOAM REST APIを使用します。

OAM通知を有効にするには、次のようにします。

(ORACLE_HOME/idm/server/ssointg/configにある) OIG Oracleホーム・ディレクトリのenableOAMSessionDeletion.configファイルをテキスト・エディタで開き、パラメータを更新します。

enableOAMSessionDeletion.configファイルの例

OIM_WLSHOST: oimadminhost.example.com
OIM_WLSPORT: 7001
OIM_WLSADMIN: weblogic
OIM_WLSADMIN_PWD: <password>
OIM_SERVER_NAME: oim_server1
IDSTORE_DIRECTORYTYPE: OID
IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 3060
## Specify the IDStore admin credentials below
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_BINDDN_PWD: <password>
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
IDSTORE_OAMADMINUSER: oamAdmin
IDSTORE_OAMSOFTWAREUSER: oamLDAP

次の表では、enableOAMSessionDeletion.configファイルで設定できるパラメータについて説明します。

表3-7 enableOAMSessionDeletion.configファイルのパラメータ

プロパティ	説明	値の例
`OIM_WLSHOST`	OIG管理サーバーのホスト名を入力します。	`oimadminhost.example.com`
`OIM_WLSPORT`	OIG管理サーバーのポートを入力します。	`17001`
`OIM_WLSADMIN`	OIMドメインのWebLogic管理者ユーザーを入力します。	`weblogic`
`OIM_WLSADMIN_PWD`	OIMドメインのWeblogic管理ユーザーのパスワードを入力します。	`password`
`OIM_SERVER_NAME`	OIGサーバー名を入力します。ノート: `enableOAMSessionDeletion.config`ファイルに`OIM_SERVER_NAME`プロパティを手動で追加する必要があります。	`oim_server1`
`IDSTORE_DIRECTORYTYPE`	アイデンティティ・ストアのディレクトリ・タイプを入力します。有効なオプションは、OID、OUDおよびADです。	`OID`
`IDSTORE_HOST`	アイデンティティ・ストアのホスト名を入力します。	`idstore.example.com`
`IDSTORE_PORT`	アイデンティティ・ストアのポートを入力します。	`3060`
`IDSTORE_BINDDN`	Oracle Internet Directory、Oracle Unified Directory、またはActive Directory内の管理ユーザー。	OID: `cn=orcladmin` OUD: `cn=oudadmin` AD: `CN=Administrator,CN=Users,DC=example.com,DC=example,dc=com`
`IDSTORE_BINDDN_PWD`	Oracle Internet Directory、Oracle Unified DirectoryまたはMicrosoft Active Directory内の管理ユーザーのパスワードを入力します。	`password`
`IDSTORE_USERSEARCHBASE`	ユーザーが保存されているディレクトリの場所を入力します。	`cn=users,dc=example,dc=com`
`IDSTORE_GROUPSEARCHBASE`	グループが保存されているディレクトリの場所を入力します。	`cn=groups,dc=example,dc=com`
`IDSTORE_SYSTEMIDBASE`	システム処理ユーザーが保存されるディレクトリ内のコンテナの場所を入力します。システム処理ユーザーは限られており、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーとは区別しておきます。たとえば、Oracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Governanceリコンシリエーション・ユーザーがあげられます。	`cn=systemids,dc=example,dc=com`
`IDSTORE_OAMADMINUSER`	Oracle Access Managementコンソールへのアクセスに使用するユーザーを入力します。	`oamAdmin`
`IDSTORE_OAMSOFTWAREUSER`	LDAPサーバーとの対話に使用するユーザーを入力します。	`oamLDAP`

ノート:

クラスタ内の管理対象サーバーのリストにWebLogicClusterパラメータを手動で追加する必要があります:

(ORACLE_HOME/idm/server/ssointg/binにある) OIG Oracleホーム・ディレクトリのOIGOAMIntegration.shスクリプトを実行して、OAM通知を有効にします:
```
OIGOAMIntegration.sh -enableOAMSessionDeletion
```
OAM通知を有効にするための自動スクリプトが正常に実行されました。
構成を確認するには、OIG MDSに移動して、次のイベント・ハンドラが/db/ssointg/に存在していることを確認します:
- EventHandlers.xml
- ldapconnector_sso_eventhandlers.xml

3.3.2.6 サーバーの再起動

OIG-OAM統合プロセスを実行するための自動スクリプトの実行後に、すべてのサーバーを再起動します。

サーバーを再起動する前に、OAMは管理サーバー内に格納されているMBeanにアクセスする必要があります。LDAPユーザーがWebLogicコンソールとFusion Middleware Controlにログインできるようにするには、WebLogic管理権限をユーザーに割り当てる必要があります。OAMでこれらのMbeanを呼び出すには、OAMAdministratorsグループのユーザーがWebLogic管理権限を持っている必要があります。LDAPグループOAMAdministratorsおよびWLSAdministratorsをWebLogic管理者に追加するには:
1. WebLogic管理サーバー・コンソールにデフォルト管理ユーザーとしてログインします。たとえば、weblogicなどです。
2. コンソールの左ペインで「セキュリティ・レルム」をクリックします。
3. 「セキュリティ・レルムのサマリー」ページの表「レルム」で「myrealm」をクリックします。
4. 「myrealm」の「設定」ページで、「ロールとポリシー」タブをクリックします。
5. 「レルム・ロール」ページの表「ロール」の「グローバル・ロール」エントリを開きます。
6. 「ロール」リンクをクリックして、「グローバル・ロール」ページに移動します。
7. 「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページに移動します。
8. 「グローバル・ロールの編集」ページで、「ロール条件」表の「条件の追加」ボタンをクリックします。
9. 「述部の選択」ページで、条件のドロップダウン・リストから「グループ」を選択し、「次へ」をクリックします。
10. 「引数の編集」ページのグループ引数フィールドにOAMAdministratorsを指定し、「追加」をクリックします。
11. グループWLSAdministratorsについても同様に繰り返します。
12. 「終了」をクリックして、「グローバル・ロールの編集」ページに戻ります。
13. 「ロール条件」表には、グループOAMAdministratorsまたはWLSAdministratorsがロール条件として表示されます。
14. 「保存」をクリックして、OAMAdministratorsおよびIDM Administratorsグループへの管理ロールの追加を終了します。
OHSサーバーを再起動します。詳細は、『Oracle HTTP Serverの管理』のOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
OAMドメインを再起動します。詳細は、『Oracle Identity and Access Managementのインストールおよび構成』のサーバーの起動に関する項を参照してください。
OIGドメインを再起動します。詳細は、『Oracle Identity and Access Managementのインストールおよび構成』のサーバーの起動に関する項を参照してください。

自動スクリプトが正常に実行され、OIG-OAM統合プロセスが完了しました。

統合設定の検証に進みます。OIG-OAM統合の検証を参照してください。

3.4 Access ManagerとOracle Identity Governance統合の検証

次の健全性チェックを実行する(統合環境を検証する)ことにより、実行時に発生する可能性のあるいくつかの一般的な問題を回避できます。

このリリースでは、Oracle Identity Governanceは、OIGOAMIntegration.shスクリプトを使用してAccess Managerと統合されます。Oracle Identity GovernanceがOracle Access Managerと統合されると、次の構成設定およびファイルが更新されます:

OIGメタデータ・ストアに格納されているoim-config.xmlファイル内のSSOConfigセクション。
OIM_DOMAIN_HOME/config.xml内のレルム・セキュリティ・プロバイダ。
OIM_DOMAIN_HOME/config/fmwconfig/cwallet.sso内のOIGドメイン資格証明ストア。
OIGメタデータ・ストアに格納されているEventhandler.xml内の、SSO統合に必要となる編成イベント・ハンドラ。
OIM_DOMAIN_HOME/config/fmwconfig/jps-config.xml内のSSOログアウト構成。

関連項目:

3.4.1 Oracle Identity Governance SSO構成設定の検証

この手順では、oim-config.xml内のSSOConfig設定を検証する方法について説明します。

関連項目:

Oracle Fusion Middlewareの管理のFusion Middleware Control MBeanブラウザの使用に関するスタート・ガイド。

Oracle Enterprise Manager Fusion Middleware Controlにログインします。
「WebLogicドメイン」を選択し、ドメイン名を右クリックします。
システムMBeanブラウザを開き、SSOIntegrationMXBeanを検索します。
OIGOAMIntegration.shの実行後に次の属性設定が正しいことを確認します。必要に応じて値を更新します。
- OAM管理対象サーバーのポート、oamServerPortが更新されています。
- OAMの管理ユーザー、oamAdminUserが更新されています。
- SsoEnabled属性は書込み専用です。確実にtrueに設定するには、Mbeanブラウザで手動で設定します。
  
  属性値をチェックするには、次のようにします:
  1. 「操作」タブを開き、isSsoEnabled属性を選択します。
  2. 「呼出し」ボタンをクリックして、現在の値を表示します。
- TAP通信を使用している場合、TapEndpointURL属性が存在します。
- Oracle Access Protocol (OAP)通信を使用している場合、AccessGateID、AccessServerHost、AccessServerPort、CookieDomain、CookieExpiryInterval、NapVersion、TransferModeおよびWebgateTypeの属性が存在します。
- Versionが11gに設定されている場合、TapEndpointURL属性が有効なURLに設定されていることを確認してください。。
- IntegrationModeがCQRに設定されています。
- DirectoryTypeがOID、OUD、またはADに設定されています。
- TargetITResourceNameForGroupがSSO Serverに設定されています
- TargetApplicationInstanceNameがOIGOAMIntegration.shの実行中に使用されるアプリケーション・インスタンス名に設定されています。

3.4.2 Oracle Identity Governanceセキュリティ・プロバイダ構成の検証

この手順では、Oracle Identity Governanceセキュリティ・プロバイダ構成を検証する方法について説明します。

WebLogic Server管理コンソールで、OIGドメインにナビゲートします。
「セキュリティ・レルム」→「myrealm」にナビゲートして、「プロバイダ」タブをクリックします。

認証プロバイダが次のように構成されていることを確認します。

認証プロバイダ	制御フラグ
OAMIDAsserter	REQUIRED
OIMSignatureAuthenticator	SUFFICIENT
OIMAuthenticationProvider	SUFFICIENT
LDAPオーセンティケータ	SUFFICIENT
DefaultAuthenticator	SUFFICIENT
DefaultIdentityAsserter	該当なし
信頼サービスIDアサータ	該当なし

LDAPオーセンティケータ名は、使用しているLDAPプロバイダによって異なる場合があります。たとえば、Oracle Unified Directoryの場合はOUDAuthenticatorです。「ユーザーとグループ」タブを選択し、「ユーザー」タブにLDAPユーザーがリストされていることを確認することで、これが正しく構成されていることを検証します。

3.4.3 Access Managerセキュリティ・プロバイダ構成の検証

この手順では、Access Managerセキュリティ・プロバイダ構成を検証する方法について説明します。

WebLogic Server管理コンソールで、OAMドメインにナビゲートします。
「セキュリティ・レルム」→「myrealm」にナビゲートします。次に「プロバイダ」タブをクリックします。

認証プロバイダが次のように構成されていることを確認します。

認証プロバイダ	制御フラグ
信頼サービスIDアサータ	該当なし
OAMIDAsserter	必須
DefaultAuthenticator	SUFFICIENT
LDAPオーセンティケータ	SUFFICIENT
DefaultIdentityAsserter	該当なし

LDAPオーセンティケータは、使用されているLDAPプロバイダによって異なります。「ユーザーとグループ」タブをクリックし、「ユーザー」タブにLDAPユーザーがリストされていることを確認することで、これが正しく構成されていることを検証します。

3.4.4 Oracle Identity Governanceドメイン資格証明ストアの検証

Oracle Identity GovernanceとAccess Manager間の通信の際に使用されるすべてのパスワードと資格証明は、ドメイン資格証明ストア内に格納されています。

通信に使用されるパスワードと資格証明を検証するには:

OIGドメインのOracle Enterprise Manager Fusion Middleware Controlにログインし、「WebLogicドメイン」を選択します。
「WebLogicドメイン」ドロップダウンから「セキュリティ」に移動し、「資格証明」をクリックします。
「oim」インスタンスを開きます。次の資格証明を検証します。
- SSOAccessKey: OPENモードのみ
- SSOKeystoreKey: SIMPLEモードのみ
- SSOGobalPP: SIMPLEモードのみ
- OIM_TAP_PARTNER_KEY
- OAMAdminPassword

3.4.5 SSO用に構成されたOracle Identity Governanceイベント・ハンドラの検証

ユーザーステータスの変更後、セッションの終了をサポートするため、イベント・ハンドラ・セットがOracle Identity Governance MDSにアップロードされます。これらのイベント・ハンドラは、ユーザー・ステータスが変更されるとAccess Managerに通知し、これによってユーザー・セッションが終了します。これらは、EventHandlers.xmlファイル(/db/ssointg/EventHandlers.xml)の一部としてMDSにアップロードされます。

関連項目:

Oracle Fusion Middlewareの管理のFusion Middleware Control MBeanブラウザの使用に関するスタート・ガイド。
Applications for Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズのカスタマイズのデプロイおよびアンデプロイに関する項。

すべてのイベント・ハンドラが正しく構成されていることを確認するには、Oracle Enterprise Manager Fusion Middleware Controlを使用してEventHandlers.xmlファイルをエクスポートします。

OIGドメインのOracle Enterprise Manager Fusion Middleware Controlにログインします。
左側の「ターゲット・ナビゲーション」アイコンをクリックし、「Identity And Access」を展開し、「アクセス」を展開して、「OIM」をクリックします。
右クリックして「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBean」の下で、Oracle.mds.lcm、Server:oim_server1、Application:OIM、MDSAppRuntimeのそれぞれを展開し、MDSAppRuntimeをクリックします。
「操作」タブをクリックし、次にexportMetadataをクリックします。
toLocationに、/tmpまたは別のディレクトリの名前を入力します。これは、ファイルがエクスポートされるディレクトリです。
docsフィールドで、「編集」、続いて「追加」をクリックしてから、完全なファイルの場所を要素として入力します。
```
/db/oim-config.xml
/db/ssointg/EventHandlers.xml
/db/LDAPContainerRules.xml
```
「excludeAllCust」、「excludeBaseDocs」および「excludeExtendedMetadata」に「false」を選択します。
「起動」をクリックすると、docsフィールドで指定されたファイルがtoLocationフィールドで指定されたディレクトリにエクスポートされます。

EventHandlers.xmlで次のハンドラのリストを確認します。

<postprocess-handler class="oracle.iam.sso.eventhandlers.UserLockedNotificationHandler" entity-type="User" operation="LOCK" name="UserLockedNotificationHandler" order="FIRST" stage="postprocess" sync="TRUE"/>
<postprocess-handler class="oracle.iam.sso.eventhandlers.UserLockedNotificationHandler" entity-type="User" operation="UNLOCK" name="UserLockedNotificationHandler" order="FIRST" stage="postprocess" sync="TRUE"/>
<postprocess-handler class="oracle.iam.sso.eventhandlers.UserStatusNotificationHandler" entity-type="User" operation="ENABLE" name="UserStatusNotificationHandler" order="FIRST" stage="postprocess" sync="TRUE"/>
<postprocess-handler class="oracle.iam.sso.eventhandlers.UserStatusNotificationHandler" entity-type="User" operation="DISABLE" name="UserStatusNotificationHandler" order="FIRST" stage="postprocess" sync="TRUE"/>
<postprocess-handler class="oracle.iam.sso.eventhandlers.UserUpdatedNotificationHandler" entity-type="User" operation="MODIFY" name="UserUpdatedNotificationHandler" order="FIRST" stage="postprocess" sync="TRUE"/>
<postprocess-handler class="oracle.iam.sso.eventhandlers.UserUpdatedNotificationHandler" entity-type="User" operation="DELETE" name="UserUpdatedNotificationHandler" order="FIRST" stage="postprocess" sync="TRUE"/>
<action-handler class="oracle.iam.sso.eventhandlers.RoleGrantNotificationHandler" entity-type="RoleUser" operation="CREATE" name="RoleGrantNotification" order="FIRST" stage="postprocess" sync="TRUE"/>
<action-handler class="oracle.iam.sso.eventhandlers.RoleGrantNotificationHandler" entity-type="RoleUser" operation="MODIFY" name="RoleGrantNotification" order="FIRST" stage="postprocess" sync="TRUE"/>
<action-handler class="oracle.iam.sso.eventhandlers.RoleGrantNotificationHandler" entity-type="RoleUser" operation="DELETE" name="RoleGrantNotification" order="FIRST" stage="postprocess" sync="TRUE"/>

3.4.6 Oracle Identity GovernanceのSSOログアウト構成の検証

Oracle Identity Governanceログアウトは、統合の完了後、シングル・ログアウトを使用するように構成されます。ユーザーは、Oracle Identity Governanceからログアウトすると、Access Managerで保護されたすべてのアプリケーションからもログアウトされます。

シングル・ログアウトの構成を検証するには、次の手順を実行します。

現在の作業ディレクトリから、次のディレクトリに移動します。
```
OIM_DOMAIN_HOME/config/fmwconfig 
```
jps-config.xmlファイルを開きます。

jps-config.xmlファイルの<propertySet name="props.auth.uri.0">要素に次の例のようなエントリが含まれることを確認します。

<propertySet name="props.auth.uri.0">
<property name="logout.url" value="/oamsso/logout.html"/>
<property name="autologin.url" value="/obrar.cgi"/>
<property name="login.url.BASIC" value="/${app.context}/adfAuthentication"/>
<property name="login.url.FORM" value="/${app.context}/adfAuthentication"/>
<property name="login.url.ANONYMOUS" value="/${app.context}/adfAuthentication"/>
</propertySet>

3.4.7 Access ManagerとOracle Identity Governanceの統合の機能的なテスト

最後のタスクとして、Access ManagerとOracle Identity Governanceの統合を検証します。

次の表に示されているステップを順に実行します。

表3-8 Access ManagerとOracle Identity Governanceの統合の検証

ステップ	説明	予想される結果
1	Oracle Access Managementコンソールに、次のURLを使用して`weblogic_idm`ユーザーとしてログインします。 http://admin_server_host:admin_server_port/oamconsole	管理コンソールにアクセスします。
2	次のURLを使用して、Oracle Identity Governance管理ページにアクセスします。 Oracle Identity Self Serviceの場合: http://hostname:port/identity Oracle Identity System Administrationの場合: http://hostname:port/sysadmin ここでhostname:portは、ドメイン・エージェントまたはWebゲートのどちらが使用されているかによって、Oracle Identity ManagementまたはOHSのいずれかを対象とします。	Access Manager管理対象サーバーのOracle Access Managementログイン・ページが表示されます。ログイン・ページに「パスワードを忘れた場合」、「新規アカウントの登録」および「ユーザー登録のトラッキング」機能のリンクが表示されることを確認します。各リンクが機能することを確認してください。これらの機能の詳細は、「パスワード管理シナリオについて」を参照してください。
3	`xelsysadm` (Oracle Identity Governance管理者)としてログインします。	Oracle Identity Governanceの管理ページにアクセスできます。
4	Oracle Identity Self Serviceを使用して新しいユーザーを作成します。ブラウザを閉じ、OIGアイデンティティ・ページにアクセスしてみます。ログインのプロンプトが表示されたら、新しく作成したユーザーの有効な資格証明を指定します。	Oracle Identity Governanceにリダイレクトされ、パスワードを再設定するように求められます。パスワードを再設定し、チャレンジ質問を設定すると、自動的にアプリケーションにログインされます。自動ログインが機能します。
5	ブラウザを閉じ、Oracle Identity Self Serviceにアクセスします。	Access Manager管理対象サーバーのOracle Access Managementログイン・ページが表示されます。ログイン・ページに「パスワードを忘れた場合」、「新規アカウントの登録」および「ユーザー登録のトラッキング」機能のリンクが表示されることを確認します。各リンクが機能することを確認してください。これらの機能の詳細は、「パスワード管理シナリオについて」を参照してください。
6	ブラウザを開き、テスト・ユーザーとしてログインすることで、ロック/無効化機能が機能することを検証します。別のブラウザ・セッションで管理者としてログインし、テスト・ユーザー・アカウントをロックまたは無効化します。	ユーザーは、どのリンクにアクセスしてもログイン・ページにリダイレクトされる必要があります。
7	テスト・ユーザーまたはシステム管理者としてOracle Identity Self Serviceにログインすることによって、SSOログアウト機能が機能することを検証します。	ページからログアウトすると、SSOログアウト・ページにリダイレクトされます。

3.4.8 統合構成の検証

DOMAIN_HOME/config/fmwconfigにあるOAMドメイン内のoam-config.xmlに、OAMの構成時に指定されたIDStore、すなわちOAMIDSTOREが含まれることを検証します。XMLノードのSessionRuntime>UserStoreはUserIdentityStore1ではなく、OAMIDSTOREである必要があります。

次のスケジュールされたジョブが存在するかどうかを検証します。
- SSOグループ作成および更新の完全リコンシリエーション
- SSOグループ作成および更新の増分リコンシリエーション
- SSOグループ削除の完全リコンシリエーション
- SSOグループ削除の増分リコンシリエーション
- SSOグループ階層同期化完全リコンシリエーション
- SSOグループ階層同期化増分リコンシリエーション
- SSOグループ・メンバーシップ完全リコンシリエーション
- SSOグループ・メンバーシップ増分リコンシリエーション
- SSO有効後のLDAPへのロール階層のプロビジョン
- SSO有効後のLDAPへのロールのプロビジョン
- SSO有効後のLDAPへのユーザーのプロビジョン
- SSOユーザー増分リコンシリエーション
- SSOユーザー完全リコンシリエーション
- SSO有効後のLDAPへのロール・メンバーシップのプロビジョン
ITリソースが適切に更新または作成されているかどうかを検証します。
- 「プロビジョニング構成」>「ITリソース」にナビゲートします。
- OIDコネクタタイプのITリソースを検索します。
- SSOTargetApp、SSOTrusted-for-SSOTargetAppなどのITリソースに、適切なパラメータ値が指定されていることを確認します。

$ORACLE_HOME/idm/server/ssointg/logs/oig-oam-integration_*.logのログに次の内容が含まれていることを確認します。

[2017-12-22 02:25:13] Seeding OIM Resource Policies into OAM
[2017-12-22 02:25:13] Loading xml... /scratch/userid/devtools/Middleware///idm/server/ssointg/templates/Resources.xml
[2017-12-22 02:25:14] Loading xml... /scratch/userid/devtools/Middleware///idm/server/ssointg/templates/AuthnPolicies.xml
[2017-12-22 02:25:14] Loading xml... /scratch/userid/devtools/Middleware///idm/server/ssointg/templates/AuthzPolicies.xml
[2017-12-22 02:25:14] Getting Application Domains...
[2017-12-22 02:25:14] WebResourceClient::getAppDomainResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/appdomain
[2017-12-22 02:25:15] Authenticating using {oamAdmin:******}
[2017-12-22 02:25:15] Getting Resources from domain 'IAM Suite'
[2017-12-22 02:25:15] WebResourceClient::getResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/resource
[2017-12-22 02:25:16] Getting Resources from domain 'Fusion Apps Integration'
[2017-12-22 02:25:16] WebResourceClient::getResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/resource
[2017-12-22 02:25:16] Getting Authentication Policies from domain 'IAM Suite'
[2017-12-22 02:25:16] WebResourceClient::getAuthenticationPolicyResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/authnpolicy
[2017-12-22 02:25:16] Getting Authorization Policies from domain 'IAM Suite'
[2017-12-22 02:25:16] WebResourceClient::getAuthorizationPolicyResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/authzpolicy
[2017-12-22 02:25:16] Resources Seeded!!

3.4.9 Active Directory統合でのパスワードのリセットのパフォーマンスの向上

Active Directory (AD)統合でのパスワードのリセット操作のパフォーマンスを向上させるには、次のステップを実行します:

ノート:

これらのステップは、ADにのみ適用されます。OUD/OIDのパスワード・リセットのパフォーマンス操作を向上させるために、個別のプロセスは必要ありません。

SSO.RESETPASSWORDONTARGETBYPASSINGCONNECTORシステム・プロパティを作成し、trueに設定します。
AD証明書をOracle Identity Governance (OIG)にインポートします:
- デモ・アイデンティティおよびトラスト・ストアが使用されている場合は、AD証明書をデモ信頼キーストアにインポートします:
```
$JAVA_HOME/jre/bin/keytool -import -alias ad_trusted_cert -file $CERT_FILE
-keystore $MW_HOME/wlserver/server/lib/DemoTrust.jks -storepass
DemoTrustKeyStorePassPhrase
```
- カスタム・アイデンティティおよびトラスト・ストアが使用されている場合は、AD証明書をカスタム信頼キーストアにインポートします:
```
$JAVA_HOME/jre/bin/keytool -import -alias ad_trusted_cert -file $CERT_FILE
-keystore $DOMAIN_HOME/config/fmwconfig/<CUSTOM_TRUST_STORE>.jks -storepass
<CustomTrustKeyStorePassPhrase>
```
  ノート:
  カスタム信頼キーストアは、$DOMAIN_HOME/config/fmwconfigの下に配置し、ファイルベースにする必要があります。

3.5 OIG-OAM統合のためのスケジュールされたジョブ

OIGには、LDAPと同期するために、リコンシリエーション・ジョブとSSO有効後ジョブというスケジュール済ジョブのセットが2つ用意されています。

リコンシリエーション・ジョブ

次のリコンシリエーション・ジョブが提供されます。

SSOユーザー完全リコンシリエーション
SSOユーザー増分リコンシリエーション
SSOユーザー削除リコンシリエーション

ノート:

SSOユーザー削除リコンシリエーション・スケジュール済ジョブは、OIMバンドル・パッチ12.2.1.4.200505を適用した後に使用可能になります。
SSOグループ作成および更新の完全リコンシリエーション
SSOグループ作成および更新の増分リコンシリエーション
SSOグループ削除の完全リコンシリエーション
SSOグループ削除の増分リコンシリエーション
SSOグループ・メンバーシップ完全リコンシリエーション
SSOグループ・メンバーシップ増分リコンシリエーション
SSOグループ階層同期化完全リコンシリエーション
SSOグループ階層同期化増分リコンシリエーション

ノート:
SSOグループ階層同期化増分リコンシリエーションは、Oracle Internet DirectoryおよびOracle Unified Directoryについてのみでサポートされています。

リコンシリエーション・ジョブのパラメータ値

表3-9 リコンシリエーション・ジョブのパラメータ値

リコンシリエーション・ジョブ	パラメータ名	パラメータ値	説明
SSOユーザー完全リコンシリエーション	リソース・オブジェクト名	SSOTarget	リコンシリエーションを実行する必要のあるターゲット・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はターゲット・アプリケーション・インスタンス名に一致します。
SSOユーザー完全リコンシリエーション	ITリソース名	SSOTarget	コネクタがデータのリコンサイルに使用する必要があるターゲットITリソース・インスタンスの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はターゲット・アプリケーション・インスタンス名に一致します。
SSOユーザー完全リコンシリエーション	オブジェクト・タイプ	ユーザー	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOユーザー完全リコンシリエーション	トラステッド・リソース・オブジェクト名	SSOTrusted-for-SSOTarget	リコンシリエーションを実行する必要のあるトラステッド・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)。
SSOユーザー完全リコンシリエーション	トラステッドITリソース名	SSOTrusted-for-SSOTarget	コネクタがデータのリコンサイルに使用すべき、信頼できるITリソース・インスタンスの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)。
SSOユーザー完全リコンシリエーション	スケジュール済タスク名	SSOユーザー完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOユーザー完全リコンシリエーション	増分リコンシリエーション属性	なし	この属性は、SSOユーザー完全リコンシリエーション・ジョブについては空のままにする必要があります
SSOユーザー完全リコンシリエーション	Latest Token	なし	この属性は、SSOユーザー完全リコンシリエーション・ジョブについては空のままにする必要があります
SSOユーザー完全リコンシリエーション	Sync Token	なし	この属性は、SSOユーザー完全リコンシリエーション・ジョブについては空のままにする必要があります
SSOユーザー完全リコンシリエーション	Filter	なし	このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なしこの式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。
SSOユーザー増分リコンシリエーション	リソース・オブジェクト名	SSOTarget	リコンシリエーションを実行する必要のあるターゲット・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はターゲット・アプリケーション・インスタンス名に一致します。
SSOユーザー増分リコンシリエーション	ITリソース名	SSOTarget	コネクタがデータのリコンサイルに使用する必要があるターゲットITリソース・インスタンスの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はターゲット・アプリケーション・インスタンス名と同じです。
SSOユーザー増分リコンシリエーション	オブジェクト・タイプ	ユーザー	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOユーザー増分リコンシリエーション	トラステッド・リソース・オブジェクト名	SSOTrusted-for-SSOTarget	リコンシリエーションを実行する必要のあるトラステッド・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)。
SSOユーザー増分リコンシリエーション	トラステッドITリソース名	SSOTrusted-for-SSOTarget	コネクタがデータのリコンサイルに使用すべき、信頼できるITリソース・インスタンスの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)。
SSOユーザー増分リコンシリエーション	スケジュール済タスク名	SSOユーザー完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOユーザー増分リコンシリエーション	増分リコンシリエーション属性		直前のリコンシリエーション実行が開始した変更番号を保持する、ターゲット・システムの属性名。この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。この値は固定されています。
SSOユーザー増分リコンシリエーション	Latest Token		この属性は、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。ノート: :リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性よりも大きいグループのみがリコンサイルされます。デフォルト値: なし
SSOユーザー増分リコンシリエーション	Sync Token		このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。この属性は、次のいずれかの形式で値を格納します。使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。 <Integer>VALUE</Integer> サンプル値: <Integer>476</Integer> 使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。 <String>VALUE</String> サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし
SSOユーザー増分リコンシリエーション	Filter		デフォルト値: なしこのスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なしこの式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。
SSOユーザー削除リコンシリエーション	リソース・オブジェクト名	SSOTarget	リコンシリエーションを実行する必要のあるターゲット・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルされるターゲット・アカウントに対応しています。この値はターゲット・アプリケーション・インスタンス名に一致します。
SSOユーザー削除リコンシリエーション	ITリソース名	SSOTarget	コネクタがデータのリコンサイルに使用する必要があるターゲットITリソース・インスタンスの名前。これは、ユーザーについてリコンサイルされるターゲット・アカウントに対応しています。この値はターゲット・アプリケーション・インスタンス名に一致します。
SSOユーザー削除リコンシリエーション	オブジェクト・タイプ	ユーザー	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOユーザー削除リコンシリエーション	トラステッド・リソース・オブジェクト名	SSOTrusted-for-SSOTarget	リコンシリエーションを実行する必要のあるトラステッド・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルされるターゲット・アカウントに対応しています。この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)
SSOユーザー削除リコンシリエーション	トラステッドITリソース名	SSOTrusted-for-SSOTarget	コネクタがデータのリコンサイルに使用すべき、信頼できるITリソース・インスタンスの名前。これは、ユーザーについてリコンサイルされるターゲット・アカウントに対応しています。この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)
SSOユーザー削除リコンシリエーション	スケジュール済タスク名	SSOコネクタ統合ユーザー削除リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOグループ作成および更新の完全リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。この値は固定されています。
SSOグループ作成および更新の完全リコンシリエーション	オブジェクト・タイプ	グループ	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ作成および更新の完全リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。
SSOグループ作成および更新の完全リコンシリエーション	スケジュール済タスク名	SSOグループ作成および更新の完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOグループ作成および更新の完全リコンシリエーション	Filter		このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なしこの式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。
SSOグループ作成および更新の完全リコンシリエーション	Organization Name	Top	このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。リコンサイルされたロールをプロビジョニングする対象のOIG組織。この値は固定されています。
SSOグループ作成および更新の完全リコンシリエーション	Organization Type	会社	このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。リコンサイルされたロールをプロビジョニングする対象の組織のタイプ。この属性は、コネクタのリコンシリエーション・スコープでのみ使用され、OIGで意味を持つわけではありません。この値は固定されています。
SSOグループ作成および更新の増分リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。この値は固定されています。
SSOグループ作成および更新の増分リコンシリエーション	オブジェクト・タイプ	グループ	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ作成および更新の増分リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。
SSOグループ作成および更新の増分リコンシリエーション	スケジュール済タスク名	SSOグループ作成および更新の増分リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は、固定されています。
SSOグループ作成および更新の増分リコンシリエーション	Filter		このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なしこの式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。
SSOグループ作成および更新の増分リコンシリエーション	Sync Token		このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。この属性は、次のいずれかの形式で値を格納します。使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。 <Integer>VALUE</Integer> サンプル値: <Integer>476</Integer> 使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。 <String>VALUE</String> サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし
SSOグループ作成および更新の増分リコンシリエーション	増分リコンシリエーション属性	uSNChanged	このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。直前のリコンシリエーション実行が開始した変更番号を保持する、ターゲット・システムの属性名。この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。この値は固定されています。
SSOグループ作成および更新の増分リコンシリエーション	Latest Token		この属性は、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。ノート: :リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性よりも大きいグループのみがリコンサイルされます。デフォルト値: なし
SSOグループ作成および更新の増分リコンシリエーション	Organization Name	Top	このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。リコンサイルされたロールをプロビジョニングする対象のOIG組織。この値は固定されています。
SSOグループ作成および更新の増分リコンシリエーション	Organization Type	会社	このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。リコンサイルされたロールをプロビジョニングする対象の組織のタイプ。この属性は、コネクタのリコンシリエーション・スコープでのみ使用され、OIGで意味を持つわけではありません。この値は固定されています。
SSOグループ削除の完全リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。
SSOグループ削除の完全リコンシリエーション	オブジェクト・タイプ	グループ	このパラメータは、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ削除の完全リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるグループ・リソース・オブジェクトの名前。この値は固定されています。
SSOグループ削除の完全リコンシリエーション	スケジュール済タスク名	SSOグループ削除の完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOグループ削除の完全リコンシリエーション	Delete Recon	yes	このパラメータは、Active DirectoryについてのSSOグループ削除リコンシリエーションでのみ存在します。この値は固定されています。
SSOグループ削除の完全リコンシリエーション	Organization Name		このパラメータは、Active DirectoryについてのSSOグループ削除リコンシリエーションでのみ存在します。この値は空のままにしておくこともできます。
SSOグループ削除の増分リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。
SSOグループ削除の増分リコンシリエーション	オブジェクト・タイプ	グループ	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ削除の増分リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるグループ・リソース・オブジェクトの名前。この値は固定されています。
SSOグループ削除の増分リコンシリエーション	スケジュール済タスク名	SSOグループ削除の完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOグループ削除の増分リコンシリエーション	Sync Token		このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。この属性は、次のいずれかの形式で値を格納します。使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。 <Integer>VALUE</Integer> サンプル値: <Integer>476</Integer> 使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。 <String>VALUE</String> サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし
SSOグループ削除の増分リコンシリエーション	Delete Recon	yes	このパラメータは、Active DirectoryについてのSSOグループ削除リコンシリエーションでのみ存在します。この値は固定されています。
SSOグループ削除の増分リコンシリエーション	Organization Name		このパラメータは、Active DirectoryについてのSSOグループ削除リコンシリエーションでのみ存在します。この値は空のままにしておくこともできます。
SSOグループ・メンバーシップ完全リコンシリエーション	Application Name	SSOTarget	レコードをリコンサイルするターゲット・アプリケーションの名前
SSOグループ・メンバーシップ完全リコンシリエーション	オブジェクト・タイプ	ユーザー	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ・メンバーシップ完全リコンシリエーション	ITリソース名	SSOTarget	レコードをリコンサイルする、ターゲット・アプリケーション・インスタンスによって使用されるITリソースの名前。
SSOグループ・メンバーシップ完全リコンシリエーション	スケジュール済タスク名	SSOグループ・メンバーシップ完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOグループ・メンバーシップ完全リコンシリエーション	Filter	<空>	このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なしこの式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。
SSOグループ・メンバーシップ増分リコンシリエーション	Application Name	SSOTarget	レコードをリコンサイルするターゲット・アプリケーションの名前
SSOグループ・メンバーシップ増分リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるグループ・リソース・オブジェクトの名前。この値は固定されています。
SSOグループ・メンバーシップ増分リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。
SSOグループ・メンバーシップ増分リコンシリエーション	ユーザーITリソース名	SSOTarget	レコードをリコンサイルする、ターゲット・アプリケーション・インスタンス・インストールによって使用されるITリソースの名前。これはターゲット・アプリケーション・インスタンスと同じになります。
SSOグループ・メンバーシップ増分リコンシリエーション	ユーザー・リソース・オブジェクト名	SSOTarget	ターゲット・アプリケーション・インスタンスに対応するリソース・オブジェクト名。これはターゲット・アプリケーション・インスタンスと同じになります。
SSOグループ・メンバーシップ増分リコンシリエーション	スケジュール済タスク名	SSOグループ・メンバーシップ増分リコンシリエーション	このジョブでは固定されています。変更できません
SSOグループ・メンバーシップ増分リコンシリエーション	オブジェクト・タイプ	グループ	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ・メンバーシップ増分リコンシリエーション	Sync Token		このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。この属性は、次のいずれかの形式で値を格納します。使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。 <Integer>VALUE</Integer> サンプル値: <Integer>476</Integer> 使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。 <String>VALUE</String> サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし
SSOグループ・メンバーシップ増分リコンシリエーション	増分リコンシリエーション属性	uSNChanged	このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。直前のリコンシリエーション実行が開始した変更番号を保持する、ターゲット・システムの属性名。この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。この値は固定されています。
SSOグループ・メンバーシップ増分リコンシリエーション	Latest Token		この属性は、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。ノート: :リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性よりも大きいグループのみがリコンサイルされます。デフォルト値: なし
SSOグループ・メンバーシップ増分リコンシリエーション	Filter		このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なしこの式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。
SSOグループ階層完全リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。この値は固定されています。
SSOグループ階層完全リコンシリエーション	オブジェクト・タイプ	グループ	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ階層完全リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ階層完全リコンシリエーション	スケジュール済タスク名	SSOグループ階層完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOグループ階層完全リコンシリエーション	Sync Token		この値はSSOグループ階層完全リコンシリエーションの場合は常に空にする必要があります
SSOグループ階層増分リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。この値は固定されています。
SSOグループ階層増分リコンシリエーション	オブジェクト・タイプ	グループ	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ階層増分リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。
SSOグループ階層増分リコンシリエーション	スケジュール済タスク名	SSOグループ階層完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOグループ階層増分リコンシリエーション	Sync Token		このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。この属性は、次のいずれかの形式で値を格納します。使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。 <Integer>VALUE</Integer> サンプル値: <Integer>476</Integer> 使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。 <String>VALUE</String> サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし

SSO有効後ジョブ

OIGでは、各アイデンティティとそれらの関係をOIGからLDAPにシードするための有効後ジョブが用意されています。

有効後ジョブは、OIGがすでに一定時間デプロイされ、OIGがこれからOAMおよびLDAPと統合されるというデプロイメント・シナリオで使用されます。このようなシナリオでは、OIG内のデータとLDAPを同期化するために、既存のユーザーおよびロールとOIG内でのそれらの関係をシードする必要があります。OIG-OAM統合構成が実行された後、これらのジョブを1回実行して、ユーザー、ロールおよびそれらの関連をLDAPにシードする必要があります。

次の有効後ジョブが提供されています。

SSO有効後のLDAPへのユーザーのプロビジョン:
このジョブは、OIG内のユーザーごとにLDAPにユーザーを作成し、そのユーザーにSSOターゲット・アプリケーション・インスタンスをプロビジョニングします。
SSO有効後のLDAPへのロールのプロビジョン:
このジョブは、OIG内のロールごとにLDAPにロールを作成し、その後参照、権限、および権限のためのカタログ・エントリを作成します。
SSO有効後のLDAPへのロール・メンバーシップのプロビジョン:
このジョブは、ユーザーに付与されたロールごとにLDAPで(ロールに対応した)権限を付与し、次にユーザーのメンバーシップを付与します。
SSO有効後のLDAPへのロール階層のプロビジョン
このジョブは、OIG内の各ロール間の関係ごとに、それらのグループの関係をLDAPに追加します。

リコンシリエーションの動作

ユーザー・リコンシリエーション

ユーザー・リコンシリエーションは、LDAPからのユーザー(およびアカウント)をリコンサイルします。リコンサイルされたユーザーごとに、SSOターゲット・アプリケーション・インスタンスをプロビジョニングします。ユーザー・リコンシリエーション・ジョブは、次のオブジェクト・クラスを持つユーザーをリコンサイルします:

InetOrgPerson
orclIDXPerson
OblixOrgPerson
OblixPersonPwdPolicy
OIMPersonPwdPolicy

ユーザー・リコンシリエーションの場合、次の2つの必須属性、snおよびuidの値を設定します。

ユーザー一致ルールは次のとおりです。

ユーザー・リコンシリエーション・ジョブでは、OIG内のユーザーの作成または更新のために次のリコンシリエーション一致ルールが使用されます。

<matchingRule>((UPPER(USR.usr_ldap_guid)=UPPER(RA_SSOTRUSTEDFORSSAEC4C34A.RA_LDAPGUID94FE1B62)) OR (UPPER(USR.usr_login)=UPPER(RA_SSOTRUSTEDFORSSAEC4C34A.RA_USERLOGIN7C7B96D4)))</matchingRule>

アカウント一致ルールは次のとおりです。

ユーザー・リコンシリエーション・ジョブでは、OIG内のユーザーにSSOターゲット・アプリケーション・インスタンス・アカウントをプロビジョニングするために次のリコンシリエーション一致ルールが使用されます:

<matchingRule>((UPPER(USR.usr_login)=UPPER(RA_SSOTARGE.RA_USERLOGIN7C7B96D4)) OR (UPPER(USR.usr_ldap_guid)=UPPER(RA_SSOTARGE.RA_ORCLGUID)))</matchingRule>

グループ・リコンシリエーション

グループ・リコンシリエーション・ジョブは、次の2つのオブジェクトクラスを持つグループをリコンサイルします。

groupOfUniqueNames - OIDおよびOUDの場合
group - ADの場合

グループ・リコンシリエーション・ジョブでは、グループ名がOIG内で一意であることが必要です。つまり、「ビジネス管理者」という名前を持つグループの作成変更ログをこのジョブがリコンサイルし、OIGがすでに「ビジネス管理者」という名前のロールを持っていた場合、ビジネス管理者グループはOIGで再作成されず、リコンサイルされたロールは処理されずにスキップされます。

あるいは、OIG内に存在するグループが、LDAPからリコンサイルされるグループと一致するGUIDを持つ場合、リコンシリエーション・エンジンはOIG内の既存グループの更新を実行します。

グループ一致ルールは次のとおりです。

<matchingRule>(UD_SSO_GR.UD_SSO_GR_SERVER=RA_SSOGROUP4DF6ECEE.RA_ITRESOURCENAME70C9F928 and UD_SSO_GR.UD_SSO_GR_ORCLGUID=RA_SSOGROUP4DF6ECEE.RA_ORCLGUID)</matchingRule>

グループ・メンバーシップのリコンシリエーション

グループ・メンバーシップのリコンシリエーションは、LDAP内のユーザーに対する現在のロールの付与をリコンサイルします。リコンシリエーションに成功すると、ユーザーに付与された各ロールについて、ロールに対応する権限がユーザーのSSOアカウントに割り当てられます。

リコンシリエーション中のユーザーへの権限割当ては、子フォーム表のデータベース・トリガーによって実行されます。この子フォーム表には、ユーザー(アカウントなど)へのメンバーシップ付与が格納されます。状況によっては、権限割当てトリガーが実行されていない可能性があるため、ロール付与リコンシリエーションに対応するユーザーの権限割当てがまだ実行されていない場合があります。このような場合、「権限割当て」ジョブを実行して権限を割り当てます。

グループ階層のリコンシリエーション

グループ階層のリコンシリエーション・ジョブでは、LDAPからの現在のロールの関係がレコンサイルされます。

リコンシリエーション・ジョブ・エラーおよび是正処置

グループ・メンバーシップのリコンシリエーション
グループ階層のリコンシリエーション

グループ・メンバーシップのリコンシリエーション

グループ・メンバーシップの完全リコンシリエーション

リコンサイルされているユーザー・エントリは、そのGUIDに対応するOIG内で検索されます。一致するユーザーが見つからない場合は、そのユーザー・エントリに対するリコンシリエーション・イベントの作成はスキップされ、スキップされたユーザー・エントリに対応するエラー・メッセージがジョブのエラー・メッセージに追加されます。
ユーザー・エントリが存在するが、ロールDNが一致するいずれかの親ロールがOIGに存在していない場合、そのユーザー・エントリのリコンシリエーション・イベントの作成はスキップされ、スキップされたユーザー・エントリに対応するエラー・メッセージがジョブのエラー・メッセージに追加されます。

ユーザー・エントリに欠落している親ロールがない場合は、そのユーザー・エントリに対してリコンシリエーション・イベントが作成され、バッチ・リコンシリエーション・サービスに追加されます。リコンシリエーション・ジョブが完了すると、ジョブIDに対してエラー・メッセージが設定されます。

グループ・メンバーシップの増分リコンシリエーション

グループ・メンバーシップの増分リコンシリエーションは、グループ・メンバーシップの完全リコンシリエーションと同じ動作になります。エラー・メッセージをレポートすることに加えて、増分リコンシリエーションは最新の増分トークンを更新しません。これは、ジョブが再実行されたとき(ユーザーまたはグループのリコンシリエーション・ジョブの実行などの修正処理を実行した後)、次のエラーのない実行中に、以前スキップされたユーザー・エントリにリコンシリエーション・イベントが割り当てられるようにするためです。

お客様がエラーが発生したユーザー・エントリをバイパスして、最新の増分トークンを使用して増分リコンシリエーションを実行することにした場合、ジョブUIからのスケジュール・ジョブのエラー・メッセージをチェックすることでこの操作を行うことができます。最新のトークンはエラー・メッセージの最後に出力されます。「ユーザーまたはロールの欠落によるリコンシリエーション・エラーの例」を参照してください。

グループ階層のリコンシリエーション

グループ階層の完全リコンシリエーション

リコンサイルされているロール・エントリは、そのGUIDに対応するOIG内で検索されます。一致するロールが見つからない場合は、そのロール・エントリに対するリコンシリエーション・イベントの作成はスキップされ、スキップされたユーザー・エントリに対応するエラー・メッセージがジョブのエラー・メッセージに追加されます。
ロール・エントリが存在するが、ロールDNが一致するいずれかの子ロールがOIGに存在していない場合、その親ロール・エントリのリコンシリエーション・イベントの作成はスキップされ、スキップされたユーザー・エントリに対応するエラー・メッセージがジョブのエラー・メッセージに追加されます。

親または子のロールが欠落していない場合は、その親のロール・エントリに対するリコンシリエーション・イベントが作成され、バッチ・リコンシリエーション・サービスに追加されます。

リコンシリエーション・ジョブが完了すると、ジョブIDに対するエラー・メッセージが設定されます。

グループ階層の増分リコンシリエーション

グループ階層の増分リコンシリエーションは、グループ階層の完全リコンシリエーションと同じ動作になります。dataErrorDetectedがtrueの場合にエラー・メッセージをレポートすることに加えて、増分リコンシリエーションは最新の増分トークンを更新しません。これは、修正処理を実行した後でジョブが再実行された際に、次のエラーのない実行時に、以前スキップされたロール・エントリにリコンシリエーション・イベントが割り当てられるようにするためです。

お客様がエラーが発生したロール・エントリをバイパスして、最新の増分トークンを使用して階層増分リコンシリエーションを実行することにした場合、ジョブUIからのスケジュール・ジョブのエラー・メッセージをチェックすることでこの操作を行うことができます。最新のトークンはエラー・メッセージの最後に出力されます。

ユーザーまたはロールの欠落によるリコンシリエーション・エラーの例

グループ・メンバーシップの増分リコンシリエーションが実行され、スケジュール済タスクによって、リコンサイルされるメンバーシップを持つ一部のグループがOIGにまだ存在していないことが識別されたと仮定します。このようなシナリオでは、スケジュール済タスクはロールのリコンシリエーション・イベントの作成をスキップし、ロールのGUIDをデータ・エラー・メッセージのリストに追加します。すべてのグループ変更ログが処理されると、スケジュール済タスクは、このようなエラーが発生しなかった(つまりOIGに存在しないロールまたはユーザーが見つからなかった)ロールに対するバッチ・リコンシリエーションの発行を続行します。エラーが発生したロールの場合、スケジュール済タスクはエラー・メッセージを作成し、例外をスローします。結果は次のとおりです。

The scheduled job status would be failed.

失敗したジョブの場合、スキップされたロールのリストは「エラーの詳細を表示」に示されます。メッセージの最後の行は、スケジュール済タスクによって処理された最新の増分トークンが含まれます。エラー・メッセージのサンプル:

oracle.iam.connectors.icfcommon.exceptions.OIMException:
Role with GUID 54A78A7F44E41C39E053211CF50A7639 does not exist in OIM. Skipping group membership incremental reconciliation for the role
Role with GUID 5E750AB0341F16D3E053211CF50A866D does not exist in OIM. Skipping group membership incremental reconciliation for the role
Role with GUID 5E750AB0342016D3E053211CF50A866D does not exist in OIM. Skipping group membership incremental reconciliation for the role
Role with GUID 5E750AB0346116D3E053211CF50A866D does not exist in OIM. Skipping group membership incremental reconciliation for the role
Role with GUID 5E750AB0346216D3E053211CF50A866D does not exist in OIM. Skipping group membership incremental reconciliation for the role
Role with DN cn=SYSTEM ADMINISTRATORS,cn=Groups,dc=us,dc=oracle,dc=com is not found in OIM - Skipping group membership reconciliation for the user with GUID: 5376289A3A766EE7E053211CF50A8B24.
Latest Token value: <Integer>4204</Integer>

リコンシリエーション・エラーの修正処置

お客様は「SSOグループの作成または更新のリコンシリエーション」ジョブを実行して、前述のエラーを修正し、グループ・メンバーシップの増分リコンシリエーション・ジョブを再実行できます。同様に、「ユーザーがOIGに存在しない」ことに関連するエラー・メッセージが出る場合、「SSOユーザーのリコンシリエーション」ジョブを実行します。
あるいは、お客様がこれらのロールに対するエラーを無視し、今後増分リコンシリエーションを使用して処理を続行する場合は、エラー・メッセージに示されている最新のトークン値にSync Tokenジョブ・パラメータの値を設定できます。たとえば、前述のサンプル・メッセージの場合、Sync Tokenジョブ・パラメータ値は<Integer>4204</Integer>のようになります。
グループ・メンバーシップの完全リコンシリエーションまたはグループ階層の完全リコンシリエーションの場合、リコンサイルされるユーザーまたはグループ(あるいはその両方)のいずれかがOIG内に存在しなければ、ジョブは後続のすべての実行で、ユーザーまたはグループ(あるいはその両方)の欠落を示す不合格ステータスがレポートされます。

子フォーム表とのID表データ同期の実行

グループ・メンバーシップのリコンシリエーションとグループ階層のリコンシリエーションの実行中、リコンシリエーション・エンジンは、リコンシリエーション・バッチ内のリコンシリエーション・イベント・データに対応する子フォーム表を更新します。リコンシリエーション・エンジンが、各リコンシリエーション・バッチの後処理オーケストレーションをトリガーすると、後処理ハンドラは各リコンシリエーション・イベントに対応する子フォーム・エントリを一括でフェッチし、OIGのアイデンティティ・リレーション表を更新します。

リコンシリエーション後処理ハンドラがID表と子フォーム・データの同期に失敗した場合、次のジョブを実行することによって、表の間でのデータの非一貫性を修正することもできます:

グループ・メンバーシップとSSOフォーム表の同期:
親フォーム内の各ユーザーに関して、このジョブはメンバーシップの子フォーム・データをUSG表と同期します。このジョブは、グループ・メンバーシップの子フォーム表の名前を入力パラメータとして受け入れ、デフォルト値が割り当てられます。メンバーシップの子フォーム表の名前がお客様のデプロイメントで異なる場合、このパラメータに適切な値を割り当てる必要があります。
グループ階層とSSOフォーム表の同期:
親フォームの各ロールについて、このジョブはロール関連データをGPG表と同期します。ロール関係用の子フォーム表の名前はデプロイメント用に固定されているため、このジョブは入力として子フォームの表名を受け入れません。

3.6 ユーザー定義フィールドの構成

この項では、次の項目について説明します。

3.6.1 SSOを使用したユーザー定義フィールドの構成

SSOを使用してカスタム属性またはユーザー定義フィールド(UDF)を構成できます。

それには、次のステップを実行します。

OIGにUDFを作成します。詳細は、「カスタム属性の作成」を参照してください。

ノート:
テキスト・フィールドの作成ページでLDAP属性の値を指定しないでください。
「ユーザーの作成フォーム」にUDFを追加します。詳細は、『Oracle Identity Governanceの管理』の「ユーザーの作成フォーム」へのカスタム属性カテゴリの追加に関する項を参照してください。
SSOターゲット・アプリケーション・インスタンスにUDFを追加します。詳細は、『Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の属性の追加に関する項を参照してください。
SSOの信頼できるアプリケーション・インスタンスにUDFを追加します。詳細は、『Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の認可アプリケーションのスキーマ情報の指定に関する項を参照してください。

3.6.2 ロールUDFの構成

ロールUDFの構成の拡張は、次の統合でサポートされています:

OIGのOAMおよびLDAPコネクタとの統合を使用して作成されたOIM-OAM統合設定。
ドキュメントID 2833544.1 (https://support.oracle.com)を使用した非OAMインストールのLDAPコネクタ同期サポート。

ノート:

ロールUDFを構成する前に、リリースで使用可能な最新のバンドル・パッチを適用します。

ロールUDFを構成するには、次のステップを実行します:

OIGロール・エンティティ用のUDFを作成します。詳細は、「カスタム属性の構成」を参照してください。
作成したロールUDFのリコンシリエーション・マッピングを定義します。表3 - 10に、リコンシリエーション・マッピングの定義時に使用する正確なエンティティ名を示します。
ノート:
- ADのリコンシリエーション・マッピングの定義の詳細は、グループおよび組織単位のターゲット・リソースのリコンシリエーション用のカスタム・フィールドの追加に関する項を参照してください。
- OUD/OIDのリコンシリエーション・マッピングの定義の詳細は、リソース・オブジェクトのリコンシリエーション・フィールドへのカスタム・フィールドの追加に関する項を参照してください。
このロールUDFのプロビジョニング・マッピングを定義します。表3 - 10に、プロビジョニング・マッピングの定義時に使用する正確なエンティティ名を示します。
ノート:
- ADのプロビジョニング・マッピングの定義の詳細は、プロビジョニング・グループおよび組織単位のカスタム・フィールドの追加に関する項を参照してください。
- OUD/OIDのプロビジョニング・マッピングの定義の詳細は、プロセス・フォームへの新規フィールドの追加に関する項を参照してください。
Oracle Identity System Administrationにログインします。
Lookup.RoleAttrFormField.Mapファイルを開き、「コード」および「意味」フィールドの値を設定します。ここでは:
- コード - OIMロール・エンティティの属性(UDF)を示します。
- 意味 - 設計コンソールで定義された「プロセス・フォーム」フィールド名を示します。
ノート:
- Lookup.RoleAttrFormField.Mapの「コード」および「意味」は、フォームおよびロールUDFで作成されたものと同じである必要があります。
- 参照ファイルが存在しない場合は、新しい参照ファイルを作成し、値を更新します。参照の作成および更新の詳細は、「参照の管理」を参照してください。
ここで必要なすべてのマッピングが実行され、ロールUDFがターゲット・フィールドにマップされます。

表3 - 10 リコンシリエーションとプロビジョニングのマッピング

LDAPディレクトリ	リソース・オブジェクト名	UAD表名	プロビジョニング参照	リコンシリエーション参照	アダプタ
AD	SSOグループ	UD_SSOGRP	Lookup.SSO.GM.ProvAttrMap	Lookup.SSO.GM.ReconAttrMap	adpSSOADIDCUPDATEATTRIBUTEVALUE
OUD	SSOグループ	UD_SSO_GR	Lookup.SSO.Group.ProvAttrMap	Lookup.SSO.Group.ReconAttrMap	adpSSOLDAPUPDATE
OID	SSOグループ	UD_SSO_GR	Lookup.SSO.Group.ProvAttrMap	Lookup.SSO.Group.ReconAttrMap	adpSSOOIDUPDATE

異なるデータ型でロールUDFを構成する場合は、次の点を考慮する必要があります:

チェック・ボックス・タイプUDFフィールドのロールUDFマッピングを作成していて、ターゲットLDAPでマップされた属性がブール・フィールドの値を'True'または'False'として格納している場合は、リコンシリエーションが成功するために値'True'を'1'、'False'を'0'に変換するリコンシリエーション変換スクリプトを追加します。変換スクリプトを作成するステップの詳細は、変換スクリプトに関する項を参照してください。
ターゲット・フィールドのDate型にマップされるロールUDFのDate型をサポートするには:
- フィールド・フラグ[DATE]をプロビジョニングおよびリコンシリエーション属性マップに追加します。たとえば、Joining Date[DATE]です。
- OID/OUD統合の場合は、参照Lookup.SSO.Configurationの属性dateFormatおよびdateTypeAttrNamesを更新します。
- AD統合の場合、参照Lookup.Configuration.SSOの属性CustomDateAttributesを更新します。

3.7 OIG-OAM統合の既知の制限事項と回避方法

OIG-OAM統合の既知の問題および制限事項についてさらに学習します。

OIG-OAM統合に関する既知の制限事項の一部を示します:

SSOターゲット・アプリケーションをリクエストしないでください。
アクセス・ポリシーにSSOターゲット・アプリケーションを使用しないでください。
SSOターゲット・アプリケーションを無効化したり、手動で削除しないでください。
OIG-OAM統合環境では、SSOターゲット・アプリケーションに関連付けられている権限の追加、変更または削除を、ユーザー詳細ページまたは「マイ・アクセス」ページの「権限」タブから行わないでください。ロールの追加、変更または削除は、ユーザー詳細ページまたは「マイ・アクセス」ページの「ロール」タブから行ってください。
SSOターゲット・アプリケーションのUIフォームは即時利用可能ではありません。これらはOracle Identity System Administrationコンソールから生成できます。
SSOターゲット・アプリケーションをクローニングする場合、プロビジョニングおよびリコンシリエーション操作に新しいクローン・アプリケーションを使用できます。SSO統合をサポートするためにSSOターゲット・アプリケーションをクローニングしないでください。
ロール・ユーザー定義フィールド(UDF)はサポートされていません。
AD、OUDまたはOIDをLDAPとして統合環境が設定されている場合、LDAPコネクタはアプリケーション・インスタンス名SSOTargetで構成されます。アプリケーション・インスタンス名は構成可能で、configureLDAPConnector.configファイルのSSO_TARGET_APPINSTANCE_NAMEプロパティ値で入力として使用されます。このため、OAM-OIG統合の後、スケジューラでSSOユーザー削除リコンシリエーション・スケジュール済ジョブを開き、統合中に指定したアプリケーション名で次のパラメータ値を更新します:
- ITリソース名
- リソース・オブジェクト名
- トラステッドITリソース名
- トラステッド・リソース・オブジェクト名

Oracle Identity Governanceの統合の問題および回避策の詳細は、Oracle Identity Managementのリリース・ノートの統合の問題および回避策に関する項を参照してください。