A 同期サービスの移行

Microsoft Active Directory (AD)で構成された接続済ディレクトリとしてのIdentity Synchronization for Windows (ISW)およびバックエンドとしてのOracle Directory Server Enterprise Edition (ODSEE)をOracle Directory Integration Platform (DIP)に移行できます。

ディレクトリ・サーバー・ソースが以前にISWで機能していたように機能するために、DIPを構成してディレクトリ・サーバー・ソースを同期する情報を、次の各項に示します。

• Oracle Directory Integration Platformへの移行の理解

• Oracle Directory Integration Platformの移行計画

• 各移行ステップに含まれるコンポーネント

• Oracle Directory Integration Platformへの移行の実行

• 基本的な管理タスク

• Oracle Directory Integration Platformへの移行の後で

A.1 Oracle Directory Integration Platformへの移行の理解

ここで説明する移行プロセスにより、既存のIdentity Synchronization for WindowsのデプロイメントをOracle Directory Integration Platformに置換できます。

次の各項で、この移行を理解し、計画します。

• 移行コンポーネント

• このドキュメントについて

• 移行プロセス

A.1.1 移行コンポーネント

この項にあげられた様々なコンポーネントでの移行プロセスについて学習し、DIP動作保証マトリックスを表示します。

この移行プロセスは、次のコンポーネントをカバーします。

• Identity Synchronization for Windows 6.0サービス・パック1 11gリリース1

  ISWは、Oracle Directory Server Enterprise Edition(ODSEE)、つまり以前のSun Java System Directory Serverのコンポーネントです。ISWには、コア・コンポーネントのセット(構成ディレクトリ、コンソール、コマンドライン・ユーティリティ、システム・マネージャおよび集中ロガー)、個別のコネクタ、コネクタ・サブコンポーネントおよびOracleメッセージ・キューが含まれています。

  ISWは、ODSEEとMicrosoft Active Directoryとの間で、パスワードを含むユーザー・アカウント情報を同期します。ISWでは、2つのディレクトリ・サーバー・インスタンスを必要とし、1つは同期化されたユーザー・データのインスタンス、もう1つはISWの構成データのインスタンスです。

  Oracle Fusion Middlewareインストレーションおよび構成ガイドfor Identity Synchronization for Windows 6.0の製品の理解に関する項を参照してください。

• Oracle Directory Integration Platform 11g リリース1 (11.1.1.9.0)

  DIPは、ご使用のアプリケーションやディレクトリ(サード・パーティのLDAPディレクトリなど)と、ODSEE、Oracle Internet DirectoryまたはOracle Unified Directoryになるマスター・バックエンド・ディレクトリとの統合を可能にします。DIPでは、ODSEEとActive Directoryの間で、単方向と双方向の両方の同期がサポートされます。

  DIPバックエンド・ディレクトリにはDIPのメタデータが格納され、同期のエンドポイントとしても機能します。DIPのメタデータ情報は、DIP固有のスキーマおよびディレクトリ情報ツリー(DIT)から構成されています。

  『Oracle Directory Integration Platform管理者ガイド』のOracle Directory Integration Platformの概要を参照してください。

一般に、次の項のすべてのステップでは、DIP動作保証マトリックスに準拠している必要があります。このマトリックスを表示するには:

1. Oracle Fusion Middlewareのサポートされるシステム構成ページに移動します。

2. Oracle Fusion Middleware 12c (12.2.1.4.0)のシステム要件およびサポートされるプラットフォームを見つけ、xlsファイルを開きます。

3. xlsファイルで、「FMW on WLS - Id&Access」タブをクリックします。

A.1.2 このドキュメントについて

ディレクトリ・サーバーを同期して、以前にISWにあったものと同じ機能を備えるように、DIPを構成できます。

この付録は、DIPへの移行ステップを説明し、DIPで同等のISWの基本的な管理タスクを見つけるのに役立ちます。

この付録では、ISWデプロイメントのDIPへの置換のみを検討します。ODSEEからOUDに移行する必要もある場合は、Oracle Unified Directoryへの移行の理解を参照してください。

A.1.3 移行プロセス

移行の前に、ISWでODSEEとActive Directoryのソース・ディレクトリ間の同期を管理します。ISWでは、同期されたユーザー・データ用に1つのODSEEインスタンスが使用され、ISWの構成データの格納用にもう1つのODSEEインスタンスが使用されます。移行プロセスでは、ISW (およびそのコンポーネント)がDIP (およびそのコンポーネント)で置換され、ISWからDIPに同期機能が移動されます。

移行が終了した後、DIPによりODSEEとActive Directory間の同期が管理されます。DIPは、ユーザー・データおよび同期されたDIPメタデータを格納するODSEEインスタンスのみを使用します。移行前にISWの構成データが格納されていたODSEEインスタンスは使用されなくなります。

A.2 Oracle Directory Integration Platformの移行計画

次の各項の情報を使用して、ISWからDIPへの移行を計画できます。

この項の内容は次のとおりです。

• DIP動作保証マトリックスによる準拠のチェック

• ISWとDIPの機能の比較

• 移行の計画で検討するISWパラメータ

A.2.1 DIP動作保証マトリックスによる準拠のチェック

移行プロセスがDIP動作保証マトリックスに従うことを確認する必要があります。

Oracle Directory Integration Platformへの移行の実行で説明されている移行プロセスは、DIP動作保証マトリックスに準拠している必要があります。

DIP動作保証マトリックスを見つけてチェックするには、移行コンポーネントを参照してください。

A.2.2 ISWとDIPの機能の比較

ISWとDIPの特性および利用可能な機能の比較を理解します。

この項の内容は次のとおりです。

• DIPで使用可能なISWの機能

• DIPで使用不可なISWの機能

• ISWで使用不可なDIPの機能

• プラグインが必要なDIPの機能

A.2.2.1 DIPで使用可能なISWの機能

次の表では、DIPでも使用可能なISWの機能について説明します。

表A-1 Oracle Directory Integration Platformで使用可能なIdentity Synchronization for Windowsの機能

機能	Identity Synchronization for Windows	Oracleディレクトリ統合プラットフォーム
同期の有効範囲	ISWでは、最小の同期単位である同期ユーザー・リスト(SUL)がサポートされています。SULには、同期のためにマッピングされているODSEEおよびActive DirectoryからのベースDNが含まれています。単一ドメインの下に1つ以上のSULが作成できます。	DIPでは、複数のドメイン(DIT)をベースDNの下にマッピングできるドメイン・マッピング・ルールがサポートされています。 ISWとは異なり、DIPには、同じフィルタを共有する単一のプロファイルにすべてのドメインがあります。ただし、DIPでは、ユーザーは複数のフィルタが含まれるいくつかのプロファイルを持つこともできます。
同期の方向	ISWでは、単方向と双方向の両方の同期機能がサポートされています。	DIPでは、プロファイルのエクスポートおよびインポートにより、単方向と双方向の両方の同期機能が実現されます。プロファイル(エクスポートまたはインポート)のタイプは、バックエンドに依存します。
同期変更タイプ	ISWでは、追加、変更および削除操作の同期が選択的にサポートされます。この選択は、UIでいつでも変更できます。	DIPでは、すべてのLDAP操作の同期がサポートされますが、同期する操作タイプのサブセットを選択することはできません。
パスワードの同期化	ISWのデフォルトはパスワード同期化です。パスワードの同期化は回避できません。	DIPでは、ユーザーのパスワードを含むすべてのLDAP属性の同期が提供されます。
ユーザー・アカウントの作成、変更および削除の同期	サポートされています	サポートされています
ユーザー・アカウントのアクティブ化および非アクティブ化	ISWでは、Active DirectoryからODSEEに(およびその逆も)アカウントのアクティブ化/非アクティブ化が同期されます。	DIPでは、Active Directoryからバック・エンドに(およびその逆も)アカウントのアクティブ化/非アクティブ化が同期されます。
ユーザー・アカウントのロックアウト/ロックアウト解除の同期	ISWでは、Active DirectoryからODSEEに(およびその逆も)ロックアウト/ロックアウト解除のイベントが同期されます。前提条件として、両方のエンドのパスワード・ポリシーは同じであると想定します。	DIPでは、Active Directoryからバック・エンドに(およびその逆も)ロックアウト/ロックアウト解除のイベントが同期されます。前提条件として、両方のエンドのパスワード・ポリシーは同じであると想定します。
サーバーの冗長性	ISWには1つのインスタンスしかないため、冗長性はありません。	同じエンドポイントを同期させるため、WebLogicドメインでDIPの複数のインスタンスを構成できます。DIPのQuartzスケジューラにより、フェイルオーバーとロード・バランシング機能が提供されます。 しかし、ISWと同様に、DIPも、構成ディレクトリ(バックエンド・ディレクトリ)が使用できない場合は冗長性がありません。
エンドポイントのフェイルオーバー・サポート	サポートされています	DIPでは、ODSEEを使用したフェイルオーバーはサポートされていませんが、OUDを使用したフェイルオーバーはサポートされています。
グループ同期	ISWには、グループ同期用にハードコードされた特別な処理があります。	DIPは、属性マッピング・ルールで明示的に追加される必要があるdnconvert()関数を使用して、この機能を実現します。
複数のActive Directoryドメインとの同期	1つ以上のActive Directoryコネクタは、単一のODSEEドメインと同期するようにインストールできます。	DIPでは、異なるActive Directoryドメインとバックエンドのエンドポイント間で複数のエクスポートおよびインポート・プロファイルを設定することで、この機能が実現されます。 DIPでは、外部セキュリティ・プリンシパルを処理するメカニズムも提供されます。
既存のエントリの調整	ISWでは、ODSEEからActive Directoryに(およびその逆も)既存のエントリを同期させるリフレッシュ操作を実行するため、再同期化機能が使用されます。しかし、この操作では、ユーザーのパスワードは同期されません。	DIPでは、既存のエントリをバックエンドからActive Directoryに(およびその逆も)同期できるように、orclLastAppliedChangeNumber属性を古い値に再設定することでこの機能が実現されます。
SearchFilter	ISWでは、各同期ユーザー・リスト(SUL)の検索フィルタ指定がサポートされています。	DIPでは、プロファイルごとに1つの検索フィルタ指定がサポートされています。検索フィルタでOR演算子を使用して、このフィルタリングを実現できます。異なるドメイン・マッピングと検索フィルタ用に、異なるフィルタを指定することもできます。
ドメイン除外リスト	ISWでは、検索フィルタが使用されます。	DIPでは、DomainExclusionListが提供され、これにより変更の同期化の除外がサポートされます。
ロギング	ISWでは、コネクタごとのログおよびグローバル・ログがサポートされます。	DIPでは、グローバル・ログがサポートされます。

A.2.2.2 DIPで使用不可なISWの機能

DIPでは、ODSEEを使用した高可用性(HA)はサポートされていません。

A.2.2.3 ISWで使用不可なDIPの機能

DIPでは、ISWで使用できない次の機能がサポートされています。

表A-2 ISWで使用不可なDIPの機能

機能	ISW	DIP
属性除外リスト	サポートされていません	DIPでは、属性の指定されたリストを同期することを除外するAttributeExclusionListが提供されます。
マッピング機能	サポートされていません	DIPでは、ソースの属性値を操作して宛先の属性値を導出するためのマッピング機能として、拡張属性マッピングがサポートされています。
マッピング・プラグイン	サポートされていません	DIPでは、Javaプラグイン・メカニズムを使用してマッピング機能を強化できます。

A.2.2.4 プラグインが必要なDIPの機能

次のDIP機能では、ODSEEプラグインが必要です。

• 接続済ディレクトリ(Active Directory)からバックエンド・ディレクトリへのオンデマンドのパスワードの同期化

• バックエンド・ディレクトリから接続済ディレクトリ(Active Directory)へのオンデマンドのパスワードの変換

これらの両方の機能を使用するには、DIPでリリースされたODSEEプラグインをインストールする必要があります。『Oracle Directory Integration Platform管理者ガイド』のOracle Directory Server Enterprise Editionプラグインのインストールを参照してください。

A.2.3 移行の計画で検討するISWパラメータ

移行を開始する前に、次の各項で説明するISWパラメータおよび構成を検討してください。その後、ISWからDIPへの移行によって確実に同じレベルの機能を持つかどうかを把握します。

この項の内容は次のとおりです。

• ISWデプロイメントに関する考慮事項

• 移行計画

ノート:

ISWからDIPへの移行によって同じレベルの機能が提供されるかどうか、またはODSEEからOUDへの移行を検討する必要もあるかどうかを把握できるように、ISWデプロイメントに関する考慮事項および移行計画を注意深く読んでください。

A.2.3.1 ISWデプロイメントに関する考慮事項

移行を開始する前に、次のISWパラメータおよび構成を検討してください。

• パスワードの同期方向

  • パスワードがActive Directoryからディレクトリ・サーバーへ同期されている場合は、オンデマンド・パスワード同期を構成する必要があります。『Oracle Directory Integration Platform管理者ガイド』のパスワードの同期化を参照してください。

  • パスワードがディレクトリ・サーバーからActive Directoryに同期されている場合は、パスワード変換機能を構成する必要があります。『Oracle Directory Integration Platform管理者ガイド』のパスワードの同期化を参照してください。

  • パスワードが双方向に同期されている場合は、両方でオンデマンド・パスワードおよびパスワード変換を構成する必要があります。

  これらの機能には、ODSEEプラグインがインストールおよび構成されている必要があります。ODSEEプラグインは、プラットフォームに応じて、Oracle Identity Management配布パッケージの次のいずれかの場所にあります。

  • Windowsシステムの場合: Disk1\utils\dip-plugin\dip-plugin.dll

  • UNIXまたはLinuxシステムの場合: Disk1/utils/dip-plugin/dip-plugin.so

  『Oracle Directory Integration Platform管理者ガイド』のOracle Directory Server Enterprise Editionプラグインのインストールを参照してください。

• 新規ユーザー作成の同期

  ISWでは、新規ユーザーの作成を同期しないようにできます。DIPでも同様に、同期の際にオブジェクトの作成が考慮されます。オブジェクトが存在しない場合、プロファイルのマッピング・ルールに定義された属性を使用して作成されます。このため、スキーマで必須と定義されたすべての属性は、プロファイルにマッピング・ルールが必要です。そうでない場合は、オブジェクトの最初の同期(つまり作成)が失敗します。

  『Oracle Directory Integration Platform管理者ガイド』のディレクトリ同期の構成を参照してください。

• Windowsドメインの数

  DIPでは制限がありません。多くのプロファイルを作成できます。

• 高可用性 (ISWが停止しても変更は失われません)

  ISWが停止すると、すでに読み取られたすべての変更はメッセージ・キューに保持されます。ISWが再稼働すると、メッセージ・キューとISWの間でISWの停止中に発生した変更が同期されます。

  高可用性をサポートするために、DIPは、クラスタの一部として少なくとも2つのサーバーが存在するOracle WebLogicクラスタにデプロイされます。Oracle WebLogicクラスタは、クラスタ内のDIPを開始、停止および監視します。『高可用性ガイド』のOracle Directory Integration Platformの高可用性を参照してください。

• セキュリティ

  DIPでは、ISWが行うように、SSLを介した接続を管理できます(SSLがデプロイメントに必要な場合)。

• 双方向アカウントのロックアウトおよびロックアウト解除の同期

  この機能を正常に動作させるには、両方のエンドで(ISWでの推奨と同じ)対称なパスワード・ポリシーを構成します。

• 双方向グループ同期

  DIPでは、uniquemenber属性およびマッピング・ルールのdnconvertを使用して、グループ同期を管理できます。

• マルチマスター・レプリケーション(MMR)デプロイメント:

  この項目は、DIPへの移行で影響が生じます。Identity Synchronization for WindowsがMMRデプロイメントとして構成されている場合は、デプロイメント内のディレクトリ・サーバーのマスター、ハブおよび読取り専用レプリカの数を検討してください。

  複数のディレクトリ・サーバーを含むデプロイメントでは、Identity Synchronization for Windows Directory Serverプラグインを各マスター、ハブおよび読取り専用レプリカにインストールする必要があります。Identity Synchronization for Windowsを構成するときに、1つのDirectory Serverマスターを優先マスターとして指定します。ディレクトリ・サーバー・コネクタは、優先マスターが実行中であれば変更を検出し、適用します。優先マスターが停止すると、コネクタは必要に応じて2番目のマスターで変更を適用します。

DIP (WebLogicクラスタ経由)は高可用性(HA)モードで構成できますが、同じODSEEインスタンスと通信します。しかし、DIPでは2つのOUDインスタンスを扱うことができるので、第2のマスターを管理するには、ISWからDIPへの移行と同時にODSEEからOUDへの移行も計画する必要があります。

次の表では、高可用性(HA)およびマルチマスター・レプリケーション(MMR)デプロイメントでのISWとDIPの違いについて説明します。

表A-3 HAおよびMMRデプロイメントでのISWとDIPの違い

機能	Identity Synchronization for Windows	Oracleディレクトリ統合プラットフォーム
高可用性(HA)	ISWでは、真の意味でのHAはサポートされていません。ISWのインスタンスは1つのみであり、それが停止した場合、同期は達成できません。その他の場合は、ISWでは未適用の変更を保存するメッセージ・キューが使用されます。	Oracle WebLogicクラスタにデプロイされたDIPは、HAモードで構成できます。『高可用性ガイド』のOracle Directory Integration Platformの高可用性を参照してください。
マルチマスター・レプリケーション(MMR)	ISWの構成では、優先およびセカンダリのマスター・サーバーを指定できます。ISWは、優先サーバーがダウンしたときにセカンダリ・サーバーに切り替え可能です。	DIP構成では、2つのODSEEサーバーを指定できません。ただし、OUDがバック・エンドの場合、DIPではロード・バランサの背後の2つのOUDインスタンスがサポートされます。

A.2.3.2 移行計画

この時点で、次のどちらのケースであるかを把握し、それに応じて移行を計画できます。

• ISW構成がレプリケートされたディレクトリ・ソースを使用していないため、計画は、ISWからDIPへの移行のみになります。Oracle Directory Integration Platformへの移行の実行を参照してください。

• ODSEEおよびISWの構成が複数レプリケートされたディレクトリ・ソースにあるため、次の2つの選択肢があります。

  • DIPはディレクトリ・サーバー・マスターのみと通信するため、計画は、ISWからDIPへの移行のみになります(前述のケースと同じ)。

  • 2つのディレクトリ・サーバー・インスタンスを持つ構成が必要であるため、ODSEEからOUDに移行する必要もあり、これはISWからDIPへの移行の前に行う必要があります。DIPは、バックエンドとしてOUDを使用して構成されます。

次の表では、移行の選択について説明します。

表A-4 ISWからDIPへの移行の計画

ISW構成	DIP構成	計画する移行
レプリケートされたディレクトリ・ソースなし	レプリケートされたディレクトリ・ソースなし	ISWからDIPへ
レプリケートされたディレクトリ・ソース	レプリケートされたディレクトリ・ソースなし	ISWからDIPへ
レプリケートされたディレクトリ・ソース	レプリケートされたディレクトリ・ソース	ODSEEからOUDへ および ISWからDIPへ

ODSEEからOUDへの移行については、Oracle Unified Directoryへの移行の理解で説明しています。

ISWからDIPへの移行については、Oracle Directory Integration Platformへの移行の実行で説明しています。

A.3 各移行ステップに含まれるコンポーネント

選択したISWの構成および移行ケースにより、移行ステップに含まれる異なるコンポーネントが決まります。

ISW構成および選択した移行のケース(「移行計画」を参照)に応じて、移行に含まれるコンポーネントは異なります。これは、バックエンド・ディレクトリがODSEEまたはOUDのいずれかになるためです。

バックエンド・ディレクトリがODSEEの場合:

図A-1に示すように、次のコンポーネントが移行に含まれます:

• 同期する必要があるソース・ディレクトリ: ODSEE (バックエンド・ディレクトリ)およびActive Directory (接続済ディレクトリ)

• DIP (およびそのコンポーネント)で置換されるISW (およびそのコンポーネント)

移行の後、同期はDIPによって管理され、ISWによって管理されなくなります。ディレクトリ・サーバーは変更されません。

図A-1 バックエンド・ディレクトリがODSEEの場合にISWからDIPへの移行に含まれるコンポーネント

「図A-1 バックエンド・ディレクトリがODSEEの場合にISWからDIPへの移行に含まれるコンポーネント」の説明

バックエンド・ディレクトリがOUDの場合:

バックエンド・ディレクトリがOUDの場合、ODSEEからOUDへの移行はすでに行われており、ISWがActive DirectoryとODSEE間の変更を同期している中間の状況です。ODSEEは、Oracle Unified Directoryへの移行の理解で説明されたストラテジの1つを使用してOUDへレプリケートされます。DIPは、OUDをバックエンド・ディレクトリとして構成され、コンポーネントと移行プロセスはディレクトリ・バックエンド・ディレクトリを除いて前述と同じです。

A.4 Oracle Directory Integration Platformへの移行の実行

Identity Synchronization for WindowsからOracle Directory Integration Platformへ移行するには、特定のタスクを実行する必要があります。

この項では、そのようなタスクについて説明します。

• Identity Synchronization for Windowsの情報の収集

• バックエンド・ディレクトリ・データのバックアップ

• Oracle Directory Integration Platformのインストール

• Oracle Directory Integration Platformの構成

• 同期プロファイルの作成

• 既存のODSEEエントリのメタデータ作成用のプロファイルの作成

• Identity Synchronization for Windows上での同期の停止

• ODSEEのIdentity Synchronization for Windowsプラグインのアンインストール

• DIPテスター・ユーティリティの実行によるODSEE内のメタデータの更新

• DIPのプロファイルの有効化

• Identity Synchronization for Windowsの残りの変更のチェック

• Identity Synchronization for Windowsの同期のチェック

A.4.1 Identity Synchronization for Windowsの情報の収集

DIPを構成するために必要なすべてのISW情報を収集できます。次の各項の表に入力して、データを順序付けし、DIPプロファイルを作成できるようにします。

この項の内容は次のとおりです。

• Identity Synchronization for Windowsコンソール

• ISWサーバーの接続情報

• 同期ユーザー・リスト

• ISW構成: ユーザー属性のマッピング

• アカウントの無効化

• 同期フロー

• ISW構成データの統合

A.4.1.1 Identity Synchronization for Windowsコンソール

Identity Synchronization for Windowsでは、ISW構成と管理タスクを一元化する管理コンソールが提供されます。ISWコンソールを使用すると、次のことが可能です。

• 同期されるディレクトリ・ソースの構成

• パスワードに加えて、同期されるユーザー・エントリ属性のマッピングの定義

• 同期される、またはされないディレクトリまたはドメイン・トポロジ内のユーザーおよび属性の指定

• システム・ステータスの監視

• 同期の開始および停止

ISWコンソールにログインするには、管理サーバーURL (ホスト名、ドメイン名およびポート)、管理者(管理)資格証明(ユーザーIDおよびパスワード)、およびISW構成パスワードを把握している必要があります。

ログインすると、移行中にDIPの構成に必要なISW情報を収集するための様々なISWタスクおよび構成タブにアクセスできます。

A.4.1.2 ISWサーバーの接続情報

ISWコンソールに関する情報が必要な場合、Identity Synchronization for Windowsコンソールを参照してください。

ISWコンソールで、次のISWディレクトリ・ソースを識別します。

• DIPバックエンド・ディレクトリ(ODSEE)用のISW上のSun Directory Server: ホスト、ポート、ユーザーおよびパスワード。

• DIP接続済ディレクトリ(Active Directory)用のISW上のActive Directory: ホスト、ポート、ユーザーDNおよびパスワード。

ノート:

クリアテキスト・パスワードはISWから取得でいないため、他の方法で取得する必要があります。

DIPへの移行のため、表にこの情報を保存します。次に例を示します。

表A-5 移行用のディレクトリ・サーバー

DIPサーバー	ホスト	非SSLポート	SSLポート	管理ユーザー	パスワード
バックエンド・ディレクトリ(ODSEEまたはOUD)	odsee-host	5389	5636	cn=Directory Manager	password1
接続済ディレクトリ(Active Directory)	ad-host	389	636	cn=Administrator,cn=Users,dc=example,dc=com	password2

A.4.1.3 同期ユーザー・リスト

ISWの各同期ユーザー・リスト(SUL)は、次を識別します。

• Sun Directory Server (ODSEE)では、ベースDN: ou=people,dc=example,dc=comを識別します。

• Windows Directory Source (Active Directory)では、ベースDN: cn=users,dc=ad,dc=com同期リストを識別します。

これらの2つのベースDNは、ドメイン・ルールのソースと宛先としてDIPで変換されます。DIPへの移行のため、表にこの情報を保存します。次に例を示します。

表A-6 移行用の同期ユーザー・リスト

SUL	ソース・ドメイン名	宛先ドメイン名
SUL1	ou=people,dc=example,dc=com	cn=users,dc=ad,dc=com
SUL2	ou=people2,dc=example,dc=com	ou=isw-people2,dc=ad,dc=com

ou=people,dc=example,dc=comおよびou=people,dc=example,dc=comの下の各エントリが同期されます。このコンテナの下で同期化されたオブジェクトのタイプは、次の項で説明するDNマッピング・ルールに従う属性レベルのマッピング・ルールによって決定されます。

また、マップ・ファイルにDomainExclusionListヘッダーを追加することで、同期中に除外されるドメインを識別することもできます。

A.4.1.4 ISW構成: ユーザー属性のマッピング

ISWでは、次の2種類の属性がサポートされています。

• Significant: ユーザー・エントリを作成または変更したときにシステム間で同期される属性。

• Creation: ユーザー・エントリを作成したときのみシステム間で同期される属性。

DIPでは、ユーザー・エントリを作成または変更したときにシステム間で属性を同期します。参照オブジェクト・クラスに、特定の属性が存在する必要がある場合、属性が同期されていないと、オブジェクトの作成は失敗します。この失敗は、マッピング・ルールが属性のプロファイルに定義されていないときに発生します。属性は、マッピング・ルールで定義されると、同期され、オブジェクトの作成は成功します。

この項の目的は、ISWタイプ(作成および変更)のすべての属性マッピングを独立して収集し、それらをDIPプロファイルの作成に役立つ方法でソートすることです。そのため、ISWの構成では、次のユーザー属性のマッピングを検討してください。

• 同期用の属性のマップ

• 同期フロー

• 属性の変更

• グループ同期

A.4.1.4.1 同期用の属性のマップ

ISWコンソールに関する情報が必要な場合、Identity Synchronization for Windowsコンソールを参照してください。

ISWコンソールの「属性」タブにリストされる各属性に対して、次の表に示すように属性をマップします。

表A-7 同期用にマップする属性

ディレクトリ・サーバーの属性	Active Directoryの属性
uniquemember	member
cn	cn
sn	sn
uid	SAMAccountName
userpassword	unicodepwd

パスワード(オンデマンド・パスワードまたは変換パスワード)を同期している場合は、ODSEEのバックエンドで、DIP配信の一部であるODSEEプラグインをインストールする必要があります。

DIPの場合は、同期する各属性用のマッピング・ルールを記述する必要があります。属性マッピング・ルールの形式の定義を次に示します。

srcAttrName:[ReqAttrSeq]:[SrcAttrType]:[SrcObjectClass]:[dstAttrName]:[DstAttrType]:[DstObjectClass]:[MappingFuntion]

ノート:

属性マッピング・ルールは1行で記述する必要があります。前述の定義がブラウザまたはビューアに2行で表示されている場合、フォーマット目的でのみ、そうなっています。

『Oracle Directory Integration Platform管理者ガイド』のマッピング・ルールの構成を参照してください。

『Oracle Directory Integration Platform管理者ガイド』のサポートされている属性マッピング・ルールと例も参照してください。

A.4.1.4.2 同期フロー

ISWコンソールに関する情報が必要な場合、Identity Synchronization for Windowsコンソールを参照してください。

ISWコンソールの「オブジェクト作成」タブで、同期フローを確認し、次のような表を作成します。

• バックエンド(ODSEEまたはOUD)からActive Directoryでは、エクスポート・プロファイルを作成する必要があります。作成する属性をエクスポート表に入力します。

• Active Directoryからバックエンド(ODSEEまたはOUD)では、インスポート・プロファイルを作成する必要があります。作成する属性をインポート表に入力します。

次の表に、作成する属性およびそのobjectclassを入力します。

表A-8 エクスポート表: ODSEEまたはOUDからActive Directoryへ

ODSEEまたはOUD属性	Active Directoryの属性
cn	cn
uid	SAMAccountName
userpassword	unicodepwd

表A-9 インポート表: Active DirectoryからODSEEまたはOUDへ

Active Directoryの属性	ODSEEまたはOUD属性
cn	cn
SAMAccountName	uid
unicodepwd	userpassword

A.4.1.4.3 属性の変更

ISWコンソールに関する情報が必要な場合、Identity Synchronization for Windowsコンソールを参照してください。

ISWコンソールの「属性の変更」タブで、各属性の同期フローをチェックして、どの表(エクスポート、インポートまたはその両方)で属性マッピングを追加する必要があるかを決定します。

特殊なケース: Active DirectoryでのObjectのアクティブ化/非アクティブ化

ISWでは、Active Directoryでオブジェクトのアクティブ化/非アクティブ化を同期させるための3つのオプションがあります。

• ディレクトリ・サーバー・ツールと​​の相互運用

• ディレクトリ・サーバーのnsAccountLock属性の直接変更

• ディレクトリ・サーバーのカスタム・メソッドの使用

DIPでは、アカウントのアクティブ化および非アクティブ化は、アカウントの無効化機能を使用して構成されます。『Oracle Directory Integration Platform管理者ガイド』のアカウントの無効化の同期を参照してください。

A.4.1.4.4 グループ同期

ISWを、Active Directoryの「ドメイン・グローバル・セキュリティ」および「ドメイン・グローバル配置」のグループと連動するように構成できます。

DIPでは(ISWと同様に)、次の構成を使用する必要があります。次のディレクトリ・サーバーの属性をActive Directoryにマッピングします。

• ディレクトリ・サーバーのuidをActive DirectoryのSAMAccountNameに

• ディレクトリ・サーバーのcnをActive Directoryのcnに

ISWグループ同期が有効な場合、特定のマッピング・ルールがDIP構成に存在する必要があります。

# Mapping rules to map groups
cn           : : : groupofuniquenames:cn           : : groupofuniquenames :
member       : : : groupofuniquenames:member       : : orclgroup          :
uniquemember : : : groupofuniquenames:uniquemember : : orclgroup          :  
owner        : : : groupofuniquenames:owner        : : orclgroup          :

この時点で、次の表に属性マッピングが入力されている必要があります。

• バック・エンドからActive Directoryに同期された属性を含むエクスポート表(表A-8)。

• Active Directoryからバック・エンドに同期された属性を含むインポート表(表A-9)。

属性が両方向で同期されている場合、行は両方の表に存在します。

A.4.1.5 アカウントの無効化

アカウントの無効化機能がISWで有効な場合、特定のマッピング・ルールがDIPに追加されます。

『Oracle Directory Integration Platform管理者ガイド』のアカウントの無効化の同期を参照してください。

A.4.1.6 同期フロー

DIPで作成する必要があるプロファイルのデータの同期フローを識別し、プロファイルに名前を指定してプロファイルを識別します。次に例を示します。

表A-10 DIPプロファイルのデータの同期フロー

ISWでのフロー同期	入力する表タイプ	プロファイル名	ソース	宛先
バックエンド・ディレクトリから接続済ディレクトリへ	エクスポート	例: ODSEEToAD	バックエンド・ディレクトリ	接続済ディレクトリ
接続済ディレクトリからバックエンド・ディレクトリへ	インポート	例: ADToODSEE	接続済ディレクトリ	バックエンド・ディレクトリ

A.4.1.7 ISW構成データの統合

ISWデータは収集され、DIPプロファイルを準備するためにソートされる準備ができています。入力する必要がある様々な表を次に示します。

表A-11 DIPのプロファイル・データ

ISWでのフロー同期	入力する表タイプ	ソース	宛先
ODSEE (またはOUD)からActive Directoryへ	エクスポート	odsee-host	ad-host
Active DirectoryからODSEE (またはOUD)へ	インポート	ad-host	odsee-host

エクスポート表では、次の情報を識別します。

表A-12 エクスポート表の情報

項目	ODSEEソース(バックエンド)	Active Directory宛先(接続済ディレクトリ)
サーバー名: host	odsee-host	ad-host
サーバー名: port	5389	389
サーバー名: SSLport	5636	636
サーバー名: password	odsee-host-password	ad-host-password
サーバー名: user	cn=Directory Manager	cn=Administrator,cn=Users,dc=ad,dc=com
ドメイン・ルール	ou=people,dc=example,dc=com	ou=isw-ou,dc=ad,dc=com
ドメイン除外リスト

エクスポート表のデータを識別し、表A-13を更新します。

表A-13 エクスポート属性マッピング

ソース(バックエンド) ODSEEまたはOUD属性名	ソース属性オブジェクト・クラス	宛先(接続済ディレクトリ) Active Directory属性名	宛先属性オブジェクト・クラス
ou	organizationalUnit	ou	organizationalUnit
cn	inetorgperson	cn	inetorgperson
uid	inetorgperson	SAMAccountName	user
mail	inetorgperson	mail	user
sn	person	sn	user

表A-14を使用して、DIPのマッピング・ルールで変換する必要がある機能がISWで有効な場合に、その機能をリストします。

表A-14 バックエンドからActive Directoryへの方向(エクスポート)で有効なISW機能

ISWで有効な機能	はい/いいえ
パスワードの同期化	はい
グループ同期	いいえ
アカウントのアクティブ化/非アクティブ化	はい

インポート表では、次の情報を識別します。

表A-15 インポート表の情報

項目	Active Directoryソース(接続済ディレクトリ)	ODSEE宛先(バックエンド)
サーバー名: host	ad-host	odsee-host
サーバー名: port	389	5389
サーバー名: SSLport	636	5636
サーバー名: password	ad-host-password	odsee-host-password
サーバー名: user	cn=Administrator,cn=Users,dc=ad,dc=com	cn=Directory Manager
ドメイン・ルール	ou=isw-ou,dc=ad,dc=com	ou=people,dc=example,dc=com
ドメイン除外リスト

インポート表のデータを識別し、表A-16を更新します。

表A-16 インポート属性マッピング

ソースActive Directory (接続済ディレクトリ)属性名	ソースActive Directoryオブジェクト・クラス	宛先バックエンド(ODSEEまたはOUD)属性名	宛先バックエンド(ODSEEまたはOUD)オブジェクト・クラス
cn	user	cn	inetorgperson
SAMAccountName	user	uid	inetorgperson
sn	user	sn	person

表A-17を使用して、DIPのマッピング・ルールで変換する必要がある機能がISWで有効な場合に、その機能をリストします。

表A-17 Active Directoryからバックエンドへの方向(インポート)で有効なISW機能

ISWで有効な機能	はい/いいえ
パスワードの同期化	はい
グループ同期	いいえ
アカウントのアクティブ化/非アクティブ化	はい

これで、ISWおよびODSEE構成に関連するすべての情報が収集され、次の項で説明されているように、DIPをインストールおよび構成する必要があります。

A.4.2 バックエンド・ディレクトリ・データのバックアップ

バックエンド・ディレクトリ・データは、backupコマンドを使用してODSEEサーバー・インスタンスを停止することによりバックアップできます。バックアップ後は、サーバーを再起動する必要があります。

注意:

移行ステップの後では、DIP構成によりスキーマが変更され、元に戻す操作はできません。したがって、続行する前に、既存のバックエンド・データをバックアップすることをお薦めします。

バックアップ操作は、バックエンド・サービスの可用性に影響を与える可能性があります。

既存のODSEEデータをバックアップするには:

1. ODSEEサーバー・インスタンスを停止します。

   $ dsadm stop odsee-instance
   

2. ODSEEデータをバックアップします。

   $ dsadm backup odsee-instance ./backup-IDATA
   

3. バックアップが完了したら、ODSEEサーバー・インスタンスを起動します。

   $ dsadm start odsee-instance
   

後でデータを復元する場合は、dsadm restoreを使用します。

ODSEEの詳細は、『Oracle Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド』のディレクトリ・サーバーの管理を参照してください。

OUDデータをバックアップするには、backupコマンドを使用します。詳細は、『Oracle Unified Directoryの管理』のデータのバックアップとリストアを参照してください。

A.4.3 Oracle Directory Integration Platformのインストール

Oracle Directory Integration Platformをインストールするには、Oracle Internet Directoryバイナリをインストールする必要があります。

Oracle Internet Directoryのインストールと構成のOracle Internet Directoryソフトウェアのインストールに関する項を参照してください。

A.4.4 Oracle Directory Integration Platformの構成

このトピックに提供された手順を使用して、Oracle Directory Integration Platformを構成します。dipConfigurator setupコマンドを実行して、Oracle Directory Integration Platformプラグインを構成する必要があります。

Oracle Directory Integration Platformを構成するには:

1. OracleホームのbinディレクトリのdipConfigurator setupコマンドを、次に示された引数で実行します。

   • wlshost

     Oracle Directory Integration PlatformがデプロイされているOracle WebLogic Serverのホスト名。

   • wlsport

     Oracle Directory Integration PlatformがデプロイされているOracle WebLogic管理対象サーバーのリスニング・ポート番号。

   • wlsuser

     Oracle WebLogic Serverのログイン・ユーザー名。

   • ldaphost

     Oracle Directory Server Enterprise Editionのホスト名(odsee-host)。

   • ldapport

     Oracle Directory Server Enterprise Editionサーバーのポート番号。デフォルト値は、636です。

   • isldapssl

     trueまたはfalseを指定して、ldapportがSSLであるかどうかを指定します。

   • ldapuser

     Oracle Directory Server Enterprise Editionに接続するバインドDN。

   • isclustered <BOOLEAN>

     Oracle Directory Integration Platformのインスタンスがクラスタ環境かどうかを指定します。

   • clustercheckininterval <INT>

     あるインスタンスがクラスタの他のインスタンスでサーバー・ステータス(障害インスタンスの検出など)を確認する頻度(ミリ秒)を指定します。

   たとえば、LinuxおよびUNIXシステムで次のように指定します。

   $ ORACLE_HOME/bin/dipConfigurator setup -wlshost localhost -wlsport 7001 \ 
   -wlsuser weblogic -ldaphost odseehost -ldapport 389 -ldapuser \ 
   "cn=Directory Manager" -isldapssl true
   

   または、Windowsシステムでは次の手順を実行します。

   C:\> ORACLE_HOME\bin\dipConfigurator setup -wlshost localhost -wlsport 7001 \
   -wlsuser weblogic -ldaphost odseehost -ldapport 389 -ldapuser \
   "cn=Directory Manager" -isldapssl true
   

2. コマンド行からdipConfigurator setupPluginコマンドを実行して、Oracle Directory Integration Platformプラグインを構成します。

   $ ORACLE_HOME/bin/dipConfigurator setupPlugin -wlshost localhost \
   -wlsport 7001 -wlsuser weblogic -ldaphost odseehost -ldapport 636 -ldapuser \
   "cn=Directory Manager" -isldapssl true
   

   ノート:

   ORACLE_HOME /ldap/log/dipConfig.logにあるdipConfig.logファイルを表示できます。

3. Oracle Directory Server Enterprise Editionインスタンスを起動します。次に例を示します。

   $ dsadm start instance-path
   

4. ldapmodifyコマンドを使用して、ACIを追加します。以前に収集した情報から、サフィックス(例ではdn: dc=example,dc=com)を導出できます。たとえば、LDIFファイルを使用すると、次のようになります

   $ ldapmodify -h localhost -p 389 -D "cn=Directory Manager" -w password <<EOF
   dn: dc=example,dc=com
   changetype: modify
   add: aci
   aci: (target="ldap:///dc=example,dc=com")(version 3.0; acl "Entry-level DIP permissions"; allow (all,proxy) groupdn="ldap:///cn=dipadmingrp,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext"; allow (all,proxy) groupdn="ldap:///cn=odipigroup,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext"; )
   -
   add: aci
   aci: (targetattr="*")(version 3.0; acl "Attribute-level DIP permissions"; allow (all,proxy) groupdn="ldap:///cn=dipadmingrp,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext"; allow (all,proxy) groupdn="ldap:///cn=odipigroup,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=oraclecontext";)
   EOF

A.4.5 同期プロファイルの作成

CLIまたはGUIのいずれかを使用してこれらのプロファイルを作成することで、同期プロファイルを作成できます。

この項では、Identity Synchronization for Windowsの情報の収集の表で収集した情報を使用した、同期プロファイルの作成を説明します。同期プロファイルを作成するには、次の各項を参照してください。

• エクスポート・プロファイルの作成

• インポート・プロファイルの作成

• DIPプロファイルの概説

DIPをインストールすると、ODSEEなどの様々なディレクトリ・タイプとの同期のためのテンプレート・プロファイルが作成されます。テンプレート・プロファイル、プロパティ・ファイルやマッピング・ファイルの作成に使用されるファイルは、次のディレクトリで入手できます。

ORACLE_HOME/ldap/odi/conf

ノート:

これらのプロファイルの作成後に、プロファイルを有効化しないでください。後続のステップで有効化します。

『Oracle Directory Integration Platform管理者ガイド』の同期プロファイルの作成を参照してください。

『Oracle Directory Integration Platform管理者ガイド』のパスワードの同期メカニズムも参照してください。

A.4.5.1 エクスポート・プロファイルの作成

ORACLE_HOME/ldap/odi/confディレクトリのテンプレート・ファイルを使用して、エクスポート・プロファイルを作成するには:

1. エクスポート・プロファイル・テンプレート・ファイルactiveexport.properties、activeexp.cfg.masterおよびactiveexp.map.masterのコピーを作成し、その名前をそれぞれODSEEToAD.properties、ODSEEToAD.cfgおよびODSEEToAD.mapに変更します。
2. 次のように、ODSEEToAD.propertiesファイルを更新します。

   • プロファイル名: ODSEEToAD

   • Active Directoryサーバーに関連する情報(ホストやポートなど):

     • odip.profile.condirurl: ad-examplehost.com:636:2

     • odip.profile.condiraccount: cn=Administrator,cn=Users,dc=mat,dc=com

     この情報を表A-12からコピーします。

   • ODSEEToAD.cfgおよびODSEEToAD.mapのファイル名:

     • odip.profile.configfile = ODSEEToAD.cfg

     • odip.profile.mapfile = ODSEEToAD.map

   • odip.profile.oidfilter = (no value)

3. 次のように、ODSEEToAD.cfgファイルを編集します。

   Writer: oracle.ldap.odip.gsi.ActiveWriter

4. ODSEEToAD.mapファイルを正しいドメイン・ルールで更新します。マップ・ファイルの構造を次に示します。

   DomainRules
   %USERBASE%:%USERBASE%:
   AttributeRules
   srcAttrName:[ReqAttrSeq]:[SrcAttrType]:[SrcObjectClass]:[dstAttrName]:[DstAttrType]:[DstObjectClass]:[MappingFuntion]
   

   DomainRulesセクションの%USERBASE%には、エクスポート・プロファイルに必要なマッピング・ルールの表A-12で収集された情報が入力されます。

   次に例を示します。

   DomainRules:
   ou=people,dc=example,dc=com :ou=isw-ou,dc=mat,dc=com:
   

   各ISW SULに1つのプロファイルを作成できますが、プロファイルには多くのドメイン・ルールが含まれているため、同じマッピング・ルールを持つ多くのSULに1つのプロファイルを作成できます。

   AttributesRulesセクションの行はマッピング・ルールです。DIPの場合、ODSEE (またはOUD)からActive Directoryに同期する各属性に対して、マッピング・ルールの形式を使用して、マッピング・ルールを記述する必要があります。『Oracle Directory Integration Platform管理者ガイド』のマッピング・ルールの構成を参照してください。

   『Oracle Directory Integration Platform管理者ガイド』のサポートされている属性マッピング・ルールと例も参照してください。

A.4.5.2 エクスポート・プロファイルに必要なマッピング・ルール

ISW構成から収集したデータに対して、表A-18の各行のマッピング・ルールが存在する必要があります。

表A-18 エクスポート・プロファイルに必要なマッピング・ルール

ソース(バックエンド) ODSEEまたはOUD属性名	ソース属性オブジェクト・クラス	宛先(接続済ディレクトリ) Active Directory属性名	宛先属性オブジェクト・クラス
ou	organizationalUnit	ou	organizationalUnit
cn	inetorgperson	cn	inetorgperson
uid	inetorgperson	SAMAccountName	user
mail	inetorgperson	mail	user
sn	person	sn	user

たとえば、この表のマッピング・ルールを次に示します。

# Organizational unit mapping
ou    : : :organizationalunit:ou        : :organizationalunit :
cn    : : :inetorgperson:cn             : :inetorgperson      :
uid   : : :inetorgperson:SAMAccountName : :user               :
mail  : : :inetorgperson:givenname      : :user               :
sn    : : :person:sn                    : :user               :

表A-14にマッピング・ルールを記述する際の考慮事項を次に示します。

• パスワードの同期化

  マッピング・ルールは、マッピング関数passwordtranslateを使用しているため、具体的です。

  orclodiptranslatepassword : : : :unicodepwd : : user :passwordtranslate(orclodiptranslatepassword)
  

  『Oracle Directory Integration Platform管理者ガイド』のパスワードの同期メカニズムを参照してください。

  パスワード(変換パスワード)を同期している場合は、ODSEEのバックエンドで、DIP配信の一部であるODSEEプラグインをインストールする必要があります。(OUDの場合、プラグインはOUDの一部です)。Oracle Directory Integration Platformの構成を参照してください。

• グループ同期

  次のマッピング・ルールを追加する必要があります。

  # Mapping rules to map groups
  cn           : : :groupofuniquenames:cn           : : groupofuniquenames :
  member       : : :groupofuniquenames:member       : : orclgroup          :
  uniquemember : : :groupofuniquenames:uniquemember : : orclgroup          :
  owner        : : :groupofuniquenames:owner        : : orclgroup          :
  

  『Oracle Directory Integration Platform管理者ガイド』のサポートされている属性マッピング・ルールと例を参照してください。

• アカウントのアクティブ化/非アクティブ化

  マッピング・ルールは、マッピング関数AccountDisable ****を使用しているため、具体的です。これはバックエンドに依存します(属性名は異なります)。

  バックエンドがODSEEの場合:

  nsAccountLock:1:::userAccountControl::user:AccountDisable(nsAccountLock, "544")
  

  バックエンドがOUDの場合:

  ds-pwp-account-disabled:1:::userAccountControl::user:AccountDisable(ds-pwp-account-disabled, "544")
  

  『Oracle Directory Integration Platform管理者ガイド』のアカウントの無効化の同期を参照してください。

A.4.5.3 インポート・プロファイルの作成

ORACLE_HOME/ldap/odi/confディレクトリのサンプル・ファイルを使用して、インポート・プロファイルを作成するには:

1. ORACLE_HOME/ldap/odi/confにあるインポート・プロファイル・テンプレート・ファイルactivechgimp.properties、activechgimp.cfgおよびactivechgimp.mapのコピーを作成し、その名前をそれぞれADToODSEE.properties、ADToODSEE.cfgおよびADToODSEE.mapに変更します。
2. 次のように、ADToODSEE.propertiesファイルを更新します。

   • プロファイル名: ADToODSEE

   • Active Directoryサーバーに関連する情報(ホストやポートなど):

     • odip.profile.condirurl: ad-examplehost.com:636:2

     • odip.profile.condiraccount: cn=Administrator,cn=Users,dc=mat,dc=com

       この情報を表A-15からコピーします。

   • ADToODSEE.cfgおよびADToODSEE.mapのファイル名:

     • odip.profile.configfile = ADToODSEE.cfg

     • odip.profile.mapfile = ADToODSEE.map

   • odip.profile.oidfilter = orclObjectGUID

3. 次のように、ADToODSEE.cfgファイルを編集します。

   Reader: oracle.ldap.odip.gsi.ActiveChgReader

4. ADToODSEE.mapファイルを正しいドメイン・ルールで編集します。

   DomainRulesセクションの%USERBASE%には、表A-17で収集した情報が入力されます。次に例を示します。

   DomainRules
   ou=isw-ou,dc=mat,dc=com:ou=people, dc=example, dc=com :
   

   AttributeRulesセクションのマッピング・ルールには、表A-17からの内容が入力されます。次に例を示します。

   AttributeRules
   # Attribute rules for Windows organizationalunit
   objectguid     : :binary:top  :orclobjectguid:string:orclADObject   :bin2b64(objectguid)
   cn             : :      : User:cn            :      : inetorgperson :
   sAMAccountName : :      : User:uid           :      : inetorgperson :
   sn             : :      : User:sn            :      : person        :
   

   表A-17にマッピング・ルールを記述する際の考慮事項を次に示します。

   • パスワードの同期化

     次のマッピング・ルールは、マッピング関数OnDemandPasswordを使用しているため、具体的です。

     pwdLastSet : : : user : orclODIPPwdLastSet : : top : onDemandPassword(pwdLastSet)
     

     orclSourceObjectDN属性は、プラグインで必要です。これは、いくつかのオブジェクト・クラスorclSunOneObject、orclADObject、orclNDSObject、orclOpenLDAPObjectおよびorclTDSObjectに属しています。この値を割り当てているルールは、すでにテンプレートに含まれていますが、(インポート)プロファイルに含まれている必要があります。次に例を示します。

     targetdn: : :top:orclSourceObjectDN: :orclADObject:
     

     『Oracle Directory Integration Platform管理者ガイド』のパスワードの同期メカニズムを参照してください。

     パスワード(オンデマンド・パスワード機能)を同期している場合は、ODSEEのバックエンドで、DIP配信の一部であるODSEEプラグインをインストールする必要があります。(OUDの場合、プラグインはOUDの一部です)。Oracle Directory Integration Platformの構成を参照してください。

   • グループ同期

     次のマッピング・ルールを追加する必要があります。

     # Mapping rules to map groups
     cn           : : :groupofuniquenames:cn           : :groupofuniquenames :
     member       : : :groupofuniquenames:member       : :orclgroup          :
     uniquemember : : :groupofuniquenames:uniquemember : :orclgroup          :
     owner        : : :groupofuniquenames:owner        : :orclgroup          :
     

     『Oracle Directory Integration Platform管理者ガイド』のサポートされている属性マッピング・ルールと例を参照してください。

   • アカウントのアクティブ化/非アクティブ化

     マッピング・ルールは、マッピング関数AccountDisable ****を使用しているため、具体的です。これはバックエンドに依存します。

     バックエンドがODSEEの場合:

     userAccountControl:1:::nsAccountLock::top:AccountDisable(userAccountControl)
     

     バックエンドがOUDの場合:

     userAccountControl:1:::ds-pwp-account-disabled::top:AccountDisable(userAccountControl)
     

     『Oracle Directory Integration Platform管理者ガイド』のアカウントの無効化の同期を参照してください。

A.4.5.4 DIPプロファイルの概説

DIPプロファイルに関する考慮事項は、次のとおりです。

• 1つのISW同期ユーザー・リスト(SUL)に1つのDIPプロファイルを作成する必要があります。

• 1つのDIPプロファイルは、1つの方向(ソースから宛先)用です。同期が両方向で行われている場合、2つのプロファイルを作成し、関連付ける必要があります。

A.4.6 既存のODSEEエントリのメタデータ作成用のプロファイルの作成

このプロファイルは、ODSEEの既存のエントリでDIPにより使用されるすべてのメタデータを作成するために使用されます。通常、メタデータは同期中またはブートストラップ中に作成されます。しかし、ODSEEのメタデータはこれらのいずれかの操作で作成されないため、既存のエントリで追加する必要があります。このプロファイルは、ISWでの同期停止直後およびDIPでの同期開始前に一度使用するために作成します。このプロファイルは、ISWと同期されたエントリにメタデータを追加します。

DIPをインストールすると、ODSEEなどの様々なディレクトリ・タイプとの同期のためのテンプレート・プロファイルが作成されます。テンプレート・プロファイル、プロパティ・ファイルやマッピング・ファイルの作成に使用されるファイルは、次のディレクトリで入手できます。

ORACLE_HOME/ldap/odi/conf

ORACLE_HOME/ldap/odi/confディレクトリのテンプレート・ファイルを使用してメタデータのプロファイルを作成するには:

1. テンプレート・プロファイル・ファイルactivechgimp.properties、activechgimp.cfgおよびactivechgimp.mapのコピーを作成し、その名前をそれぞれMetaDataImp.properties、MetaDataImp.cfgおよびMetaDataImp.mapに変更します。
2. 次のように、MetaDataImp.propertiesファイルを更新します。

   • プロファイル名: MetaDataImp

   • MetaDataImp.cfgファイルおよびMetaDataImp.mapファイルのパス

   • 次のフラグ:

     odip.profile.updateChangeNumberatCreate = false
     

     このフラグがtrueに設定されている場合は、最終変更番号の属性が現在のタイム・スタンプで更新されます。

3. 次のように、MetaDataImp.cfgファイルを変更します。

   [INTERFACEDETAILS]
   Reader: oracle.ldap.odip.gsi.ActiveChgReader
   

4. MetaDataImp.mapファイルで、表A-15で収集したデータおよび要件に基づいてドメイン・マッピング・ルールを変更します。マッピング・ルールの形式を次に示します。

   DomainRules
   %USERBASE%:%USERBASE%:
   AttributeRules
   srcAttrName:[ReqAttrSeq]:[SrcAttrType]:[SrcObjectClass]:[dstAttrName]:[DstAttrType]:[DstObjectClass]:[MappingFuntion]
   

プロファイルは多くのドメイン・ルールを持つことができるため、多くのSULに1つのプロファイルを作成できます。

DIPの場合、ODSEE (またはOUD)からActive Directoryに同期する各属性に対して、マッピング・ルールの形式を使用して、マッピング・ルールを記述する必要があります。

『Oracle Directory Integration Platform管理者ガイド』のマッピング・ルールの構成を参照してください。

『Oracle Directory Integration Platform管理者ガイド』のサポートされている属性マッピング・ルールと例も参照してください。

そのため、ISW構成から収集したデータに関して、表A-15の各行のマッピング・ルールが存在する必要があります。

ノート:

• ISW構成から収集したデータで、ドメイン・ルールを更新する必要があります。

  DomainRulesセクションの%USERBASE%には、表A-15で収集した情報が入力されます。次に例を示します。

  DomainRules
  ou=isw-ou,dc=ad,dc=com:ou=people,dc=example,dc=com
  

• 次のマッピング・ルールは必須です。

  objectguid: :binary:top:orclobjectguid:string:orclADObject:bin2b64(objectguid)
  distinguishedName: : :top:orclSourceObjectDN: :orclADObject:
  

• odip.profile.updateChangeNumberatCreateフラグはfalseに設定すべきです。

ISWでの同期が停止した後、プロファイルが有効になります。

A.4.7 Identity Synchronization for Windows上での同期の停止

ISWサーバーを停止することを強くお薦めします。少なくとも、Active DirectoryおよびODSEEの両方でアクティビティを下げることを計画し、ISW上の同期を停止します。

ノート:

適用された最終変更番号の値は、変更が失われていないことを確認するために最後のステップで使用されるため、必ず書き留めておいてください。

同期を停止するには、ターミナル・ウィンドウ(またはコマンド・ウィンドウ)を開き、idsync stopsyncコマンドを入力します。次に例を示します。

$ idsync stopsync -w admin-password -q configuration_password

A.4.8 ODSEEのIdentity Synchronization for Windowsプラグインのアンインストール

ISWプラグインをアンインストールする前に、まだバインド(オンデマンド・パスワード同期)を必要とするODSEEのすべての既存のエントリをチェックします。これらのエントリを検出するには、ldapsearchを使用してuserPassword属性およびdspswvalidate属性をチェックします。

ldapsearchを使用して、次をチェックします。

• userPassword属性が次の値を持つもの。

  userPassword: {PSWSYNC}*ON-DEMAND*SYNCHRONIZATION*REQUIRED*
  

  または(あるいは両方)

• dspswvalidate属性がtrueに設定されているもの。

まだバインドを必要とするエントリを見つけた場合、dspswvalidate属性がtrueに設定されているすべてのエントリにorclODIPInvalidPassword属性を追加します(値をtrueで)。これで、DIPのODSEEプラグインによりバインドが実行されます。

その後、ISWプラグインをアンインストールできます。

ISWプラグインを構成解除するには、ターミナル・ウィンドウ(またはコマンドウィンドウ)を開き、idsync dspluginconfigコマンドを入力します。次に例を示します。

$ idsync dspluginconfig -U -w admin password -q configuration_password

または、ldapmodifyを次のように使用します。

$ ldapmodify -h host.example.com -p 5389 -D "cn=Directory Manager" -w admin-password
dn: cn=pswsync,cn=plugins,cn=config
changetype: modify
replace: nsslapd-pluginEnabled
nsslapd-pluginEnabled:off

ISWサーバーを再起動し、エントリからdspswvalidate属性を削除します。

A.4.9 DIPテスター・ユーティリティの実行によるODSEE内のメタデータの更新

ISWで行われた同期によって作成されたODSEEエントリには、DIPで必要なメタデータが含まれていません。

ノート:

一般的なDIP/ODSEE構成では、エントリは同期中またはブートストラップ中に作成され、エントリにはDIPで必要なメタデータが含まれています。現在のケースでは、ユーザー・エントリはこれらの操作の1つで作成されませんでしたが、ISWと同期されました。そのため、メタデータが含まれていません。

このメタデータを追加するには、プロファイルを作成し、一度使用する必要があります。同期によってこのプロファイルが実行されることはないため、Oracle Enterprise Manager Fusion Middleware ControlまたはCLI (manageSyncProfile -testProfileを使用)のいずれかを介して、DIPテスターを実行する必要があります。また、このプロファイルは最初に登録する必要があります。

manageSyncProfilesを使用して、プロファイルを登録します。

$ manageSyncProfiles register -h $WLSHOST -p 7005 -D weblogic -f MetaDataImp.properties -pf MetaDataImp

次のいずれかのOracle Enterprise Manager Fusion Middleware Controlを使用して、DIPテスターを実行します。

• 「拡張」タブで、lastChangeNumberを0に設定します。

• 「フィルタリング」タブで、「ソースの一致フィルタ」および宛先の一致フィルタを設定解除する必要があります。

または、コマンド行からmanageSyncProfileを実行します。

$ manageSyncProfile -testProfile -h $WLSHOST -p 7005 -D weblogic -pf MetaDataImp -changenumber 0

以前にISWと同期されたエントリは、現在DIPと同期する準備ができており、プロファイルは削除できます。

詳細は、『Oracle Directory Integration Platform管理者ガイド』のDIPテスターを使用した同期プロファイルのトラブルシューティング、およびmanageSyncProfilesを使用した同期プロファイルの管理を参照してください。

A.4.10 DIPのプロファイルの有効化

プロファイルが登録され、有効になっているとき、DIPで同期がアクティブ化されます。

プロファイルの登録、関連付けおよび有効化を行うには、次の手順を実行します。

1. プロファイルを登録します。

   $ ORACLE_HOME/bin/manageSyncProfiles register -h $myWLSHOST -p 7005 \
   -wlsuser weblogic -pf ODSEEToAD -file ODSEEToAD.properties
   
   $ ORACLE_HOME/bin/manageSyncProfiles register -h $myWLSHOST -p 7005 \
   -wlsuser weblogic -pf ADToODSEE -file ADToODSEE.properties
   

2. データが両方向に同期され、同じソースおよび宛先のエクスポートおよびインポートのプロファイルがある場合は、2つのプロファイルを関連付ける必要もあります。この関連付けは、あるディレクトリから開始された変更がその同じディレクトリに戻るという、双方向同期で発生するループを防止します。

   プロファイルを関連付けます。

   $ ORACLE_HOME/bin/manageSyncProfiles associateProfile -h $myWLSHOST -p 7005 \
   -wlsuser weblogic -pf ODSEEToAD -assopf ADToODSEE
   
   $ ORACLE_HOME/bin/manageSyncProfiles associateProfile -h $myWLSHOST -p 7005 \
   -wlsuser weblogic -pf ADToODSEE -assopf ODSEEToAD
   

3. プロファイルを有効化します(プロファイルを有効化すると、同期が開始されます)。

   $ ORACLE_HOME/bin/manageSyncProfiles activate -pf ODSEEToAD
   
   $ ORACLE_HOME/bin/manageSyncProfiles activate -pf ADToODSEE
   

『Oracle Directory Integration Platform管理者ガイド』のディレクトリ同期プロファイルの管理を参照してください。

A.4.11 Identity Synchronization for Windowsの残りの変更のチェック

ISW同期が停止している間に、いくつかの変更が発生している可能性があります。ソースの最終変更番号が宛先に適用されていることを確認してください。DIPテスターによって、同期のテストを実行し、テスト中に生成される詳細なログ・メッセージを返すことができます。

『Oracle Directory Integration Platform管理者ガイド』のDIPテスターを使用した同期プロファイルのトラブルシューティングを参照してください。

A.4.12 Identity Synchronization for Windowsの同期のチェック

同期が正しく機能していることを確認するには、あるサーバーで属性を変更し、それが別のサーバーで正しく同期されていることをチェックします。

ノート:

オンデマンド・パスワード同期機能は、ISWで機能していたときと同じ方法で機能している必要があります。Active Directoryでパスワードが変更されると、orclODIPInvalidPassword属性が追加され、ODSEEエントリでtrueに設定され、userPassword属性を更新するためにバインドが必要です。

A.5 基本的な管理タスク

ISWの基本的な管理タスクと同等のタスクがDIPにあります。

表A-19では、ISWでのいくつかの基本的な管理タスク、およびDIPでそれと同等のタスクを実行する方法について説明します。この表のDIPタスクを実行するためのドキュメントのリファレンスを次に示します。

• Enterprise Managerは、Oracle Enterprise Manager Fusion Middleware Controlを参照します。『Oracle Directory Integration Platform管理者ガイド』のFusion Middleware Controlを使用したOracle Directory Integration Platformの管理を参照してください。

• manageSyncProfilesの詳細は、『Oracle Directory Integration Platform管理者ガイド』のmanageSyncProfilesを使用した同期プロファイルの管理を参照してください。

• WebLogic Scripting Toolの詳細は、WebLogic Scripting Toolの理解のWebLogic Scripting Toolの理解を参照してください。

• WebLogic管理コンソールについては、Oracle WebLogic Server管理コンソール・オンライン・ヘルプを参照してください。

表A-19 ISWおよびDIPでの基本的な管理タスク

ISWタスク	同等のDIPタスク	コマンド行	GUI
ディレクトリ・ソースの構成	プロファイルの編集または作成	manageSyncProfiles	Enterprise Manager
同期設定の構成	プロファイルの編集または作成	manageSyncProfiles	Enterprise Manager
属性設定の構成	プロファイルの編集または作成	manageSyncProfiles	Enterprise Manager
属性変更設定の構成	プロファイルの編集または作成	manageSyncProfiles	Enterprise Manager
グループ同期設定の構成	プロファイルの編集または作成	manageSyncProfiles	Enterprise Manager
同期ユーザー・リスト(SUL)の構成	プロファイルの編集または作成	manageSyncProfiles	Enterprise Manager
コネクタのインストールおよびデータの初期化(idsyncコマンド)	該当なし	該当なし	該当なし
同期の開始と停止	プロファイルの登録およびアクティブ化	manageSyncProfiles	Enterprise Manager
サービスの開始と停止(ISWおよびメッセージ・キュー)	WebLogic Serverの起動と停止	WebLogic Scripting Tool、スクリプト	WebLogic管理コンソール

DIPには、同期プロファイルをテストする次のツールがあります。

• DIPテスター: このユーティリティを使用して同期のテストを実行すると、テスト中に生成される詳細なログ・メッセージが戻されます。『Oracle Directory Integration Platform管理者ガイド』のDIPテスターを使用した同期プロファイルのトラブルシューティングを参照してください。

• ログ・レベル: Oracle Enterprise Manager Fusion Middleware Controlを使用して同期プロファイルをデバッグするためのログ・レベルを指定します。『Oracle Directory Integration Platform管理者ガイド』の同期プロファイルの作成を参照してください。

A.6 Oracle Directory Integration Platformへの移行の後で

DIPへの移行のみを検討していて、バックエンドがODSEEのままの場合、第2のステップでODSEEからOUDへの移行を再検討する可能性があります。

ODSEEからOUDへの移行では、OUDは新規インストールとみなされ、ODSEEにかわるサーバーとしてOUDで新しいプロファイルを作成する必要があります。新規プロファイルはODSEEのプロファイルに似ていますが、主にサーバー名やポート番号などの接続情報が異なります。いくつかの属性名および値を更新する必要がある場合もあります。

Oracle Unified Directoryへの移行の理解を参照してください。