29 健全性チェック

この章で説明している健全性テストは、ガイドに詳述されている標準テストに付加するテストです。Oracle Access Management (OAM)およびOracle Identity Manager (OIM)の詳細な機能をテストするように設計されています。

この章の内容は次のとおりです。

Oracle Access Managementの健全性チェック

Oracle Access Management (OAM)に適用可能な健全性チェックについて学習します。

この項では、次の健全性チェックについて説明します:

有効なユーザーに対するOAMエージェント保護アプリケーションのLDAP認証の検証

有効なユーザーに対するOAMエージェント保護アプリケーションのLDAP認証を検証する手順は、次のとおりです。

  1. OAMサーバーに構成されたOAM Webゲートで保護されているアプリケーションにアクセスします。
  2. 認証のためにリダイレクトされているURLがOAMサーバーからのものであることを調査します。
  3. OUD認証フォームから有効なユーザー名とパスワードを指定し、「ログイン」をクリックします。
  4. ブラウザに作成されているCookieを確認します。

予想される結果:

  • 指定した有効な資格証明でOAMエージェント保護アプリケーションにアクセスできます。

  • ObSSOcookieおよびOAM_ID Cookieがブラウザ・セッションに作成されます。

無効なパスワードに対するOAMエージェント保護アプリケーションのLDAP認証失敗の検証

無効なパスワードに対してOAMエージェント保護アプリケーションのLDAP認証が失敗することを検証する手順は、次のとおりです。

  1. OAMサーバーに構成されたOAM Webゲートで保護されているアプリケーションにアクセスします。
  2. 認証のためにリダイレクトされているURLがOAMサーバーからのものであることを調査します。
  3. 認証フォームに有効なユーザー名と無効なパスワードを指定します。

予想される結果:

  • ユーザー認証が失敗します。

  • 適切なエラー・メッセージが表示されます。

  • ユーザーはリソースにアクセスできません。

無効なユーザー名に対するOAMエージェント保護アプリケーションのLDAP認証失敗の検証

無効なユーザー名に対してOAMエージェント保護アプリケーションのLDAP認証が失敗することを検証する手順は、次のとおりです。

  1. OAMサーバーに構成されたOAM Webゲートで保護されているアプリケーションにアクセスします。
  2. 認証のためにリダイレクトされているURLがOAMサーバーからのものであることを調査します。
  3. 認証フォームに無効なユーザー名と任意のパスワードを指定します。

予想される結果:

  • ユーザー認証が失敗します。

  • 適切なエラー・メッセージが表示されます。

  • ユーザーはリソースにアクセスできません。

OAMエージェントで保護される使用不可リソースに対するアクセスの検証

OAMエージェントで保護される使用不可リソースにアクセスすると、指定した資格証明が有効な場合も適切なエラー・メッセージが表示されます。検証する手順は、次のとおりです。

  1. OAMサーバーに構成されたOAM Webゲートで保護されているリソースが使用不可になっているときにそのリソースのURLにアクセスします。
  2. 認証のためにリダイレクトされているURLがOAMサーバーからのものであることを調査します。
  3. 認証フォームに有効なユーザー名とパスワードを指定します。
  4. ブラウザに作成されているCookieを確認します。

予想される結果:

OAM Webゲート保護アプリケーションにアクセスできない状態で、適切なエラー・メッセージが表示されます。

ポリシーから最近削除または置換されたリソースに対するアクセスの検証

ポリシーから最近削除または置換されたリソースにアクセスする場合は、認証不要でアクセス権が付与されます。検証する手順は、次のとおりです。

  1. policy.xmlまたはUIでリソースを削除し、新しいリソースで置換します。
  2. 前のステップで削除または置換したアプリケーションまたはリソースにアクセスします。このアプリケーションは、OAMサーバーに構成されたOAM Webゲートによって保護されている必要があります。
  3. OAM 11g ServerまたはWebLogic Serverを再起動しなくてもユーザーが認証を求められないかどうかを確認します。
  4. ユーザーがリソースにアクセスできるかどうかを確認します。

予想される結果:

ユーザー認証せずに、OAM 11g ServerまたはWebLogic Serverを再起動しないで、リソースまたはアプリケーションにアクセスできます。

Oracle Identity Governanceの健全性チェック

Oracle Identity Governance (OIG)に適用可能な健全性チェックについて学習します。

この項では、次の健全性チェックについて説明します:

組織の作成

組織を作成する手順は、次のとおりです。

  1. 次のURLを使用して、アイデンティティ・コンソールにxelsysadmとしてログインします:

    https://prov.example.com/identity

  2. 「管理」「組織」の順にクリックします。
  3. 「作成」をクリックし、組織名にTestOrgを指定します。
  4. 組織の詳細を入力した後、「保存」をクリックして変更を保存します。

ユーザー名の作成

ユーザーを作成する手順は、次のとおりです。

  1. 次のURLを使用して、アイデンティティ・コンソールにxelsysadmとしてログインします:

    https://prov.example.com/identity

  2. 「管理」「ユーザー」の順にクリックします。
  3. 「作成」をクリックし、ユーザー名にRahul Dravidを指定します。
  4. OrgにTestOrgを選択します。
  5. ユーザー・パスワードを設定および確認します。
  6. Rahul Dravidとしてログインします。
  7. チャレンジ質問および回答を設定します。
  8. アイデンティティ・コンソールにログインし、ユーザー名を確認します。

ロールの作成

ロールを作成する手順は、次のとおりです。

  1. 次のURLを使用して、アイデンティティ・コンソールにxelsysadmとしてログインします:

    https://prov.example.com/identity

  2. 「管理」をクリックしてから、「ロールとアクセス・ポリシーの管理」 > 「ロール」をクリックします。
  3. 「作成」をクリックして、必須属性(名前、表示名)を指定して、Coachという名前のロールを作成します。
  4. 「組織にロールを公開」ページが表示されるまで、「次」を繰り返しクリックします。
  5. 「組織」ページで、「組織の追加」をクリックします。組織名にTestOrgを指定し、「検索」をクリックします。
  6. 組織TestOrgを選択し、「選択した項目の追加」をクリックします。「選択」をクリックします。
  7. 「次へ」をクリックして、「完了」をクリックします。

サンドボックスの管理

次の操作の多くには、サンドボックスの作成が必要です。サンドボックスとは、実際に使用する前に作成したものを試せる非アクティブな領域です。

サンドボックスの作成

システム管理コンソールまたはアイデンティティ・コンソールからサンドボックスを作成できます。ステップは同じです。次に、システム管理コンソールでサンドボックスを作成する例を示します。

サンドボックスを作成するには:

  1. 次のURLを使用して、システム管理コンソールにxelsysadmとしてログインします:

    http://IGDADMIN.example.com/sysadmin

  2. 「サンドボックス」をクリックします。
  3. 「サンドボックスの作成」をクリックします。
  4. 「サンドボックスの作成」ウィンドウに次の詳細を入力します。

    表29-1 「サンドボックス」ウィンドウのプロパティ

    属性

    名前

    TestSandbox

    説明

    説明を入力します

    「サンドボックスのアクティブ化」を選択します。

  5. 「保存して閉じる」をクリックします。

サンドボックスの公開

変更に問題がなくなったら、サンドボックスを公開して本稼働にします。そのためには、次のステップを実行します。

  1. 次のURLを使用して、システム管理コンソールにxelsysadmとしてログインします:

    http://IGDADMIN.example.com/sysadmin

  2. 「サンドボックス」をクリックします。
  3. サンドボックスのリストを含むウィンドウが表示されます。
  4. サンドボックスをクリックします。たとえば: Test Sandbox
  5. 「サンドボックスの公開」をクリックして、変更をアクティブにします。

ユーザーのユーザー定義フィールド(UDF)の追加

ユーザー定義フィールド(UDF)を追加するには:

  1. 次のURLを使用して、システム管理コンソールにxelsysadminとしてログインします:

    http://IGDADMIN.example.com/sysadmin

  2. サンドボックスを作成し、アクティブにします。
  3. 「システム・エンティティ」の下の「ユーザー」フォームを開きます。
  4. 「アクション」「作成」をクリックします。
  5. 「テキスト」を選択して、「OK」をクリックします。
  6. 「表示ラベル」「名前」を入力して、「検索可能」を選択して、「保存して閉じる」をクリックします。指定した名前を持つユーザー定義フィールド(UDF)を作成しました。
  7. サンドボックスを公開します。
  8. 次のURLを使用して、アイデンティティ・コンソールにxelsysadmとしてログインします:

    http://prov.example.com/identity

  9. 「サンドボックス」を作成し、アクティブにします。
  10. 「管理」をクリックして、管理メニューを表示します。
  11. 「ユーザー」ページを開き、「作成」をクリックします。
  12. 画面の右上の「カスタマイズ」をクリックします。
  13. 次に示すすべての属性の詳細を入力します。

    表29-2 ユーザー定義フィールドのプロパティ

    属性 説明

    名前(たとえば、John)を入力します

    姓(たとえば、Doe)を入力します

    電子メール

    電子メール・アドレス(たとえば、john.doe@example.com)を入力します

    組織

    組織(たとえば、TestOrg)を入力または検索します

    ユーザー・タイプ

    ドロップダウン・リストからユーザーのタイプを選択します。

    ユーザー・ログイン

    ユーザーのログイン名(たとえば、JohnDoe)を入力します

    パスワード

    使用するユーザーの初期パスワードを入力します。

  14. 画面の左上にある「構造」タブに移動します。
  15. ユーザー入力画面が表示されます。「基本情報」セクションが表示されるまで、スクロール・ダウンします。画面を下に移動すると、ボックスによって特定の領域が強調表示されます。タイトルを含めて「基本情報」セクション全体が強調表示されたら、それをクリックします。タスク・フローの編集を確認するダイアログ・ボックスが表示されます。「編集」をクリックします。右側に構造ウィンドウが表示されます。
  16. 「PanelFormレイアウト」をクリックします。
  17. 「コンテンツの追加」をクリックします。
  18. データ・コンポーネント - カタログを選択し、UserVOをクリックします。
  19. ステップ6で作成したユーザー定義フィールドを検索し、「追加」をクリックします。「ラベル付ADF入力テキスト」を選択します。ユーザー定義フィールドが「ユーザー」画面の「基本情報」セクションに表示されるようになります。
  20. 「コンテンツの追加」選択画面を閉じます。
  21. 画面の上部にある「閉じる」 をクリックして、編集ウィンドウを閉じます。
  22. アイデンティティ・コンソール・ウィンドウの右上隅にある「閉じる」をクリックして構造フォームを閉じます。
  23. サンドボックスを公開します。
  24. ログアウトした後に再度ログインします。
  25. 「ユーザーの詳細」ページを開きます。
  26. ステップ6で作成したユーザー定義フィールドに移入するユーザー名を作成し、「ユーザーの詳細」ページに適切に表示されることを確認します。

切断アプリケーションの作成およびプロビジョニング

切断アプリケーションを作成してプロビジョニングするには:

  1. 次のステップを完了して参照を作成します。

    1. 次のURLを使用して、システム管理コンソールにxelsysadmとしてログインします:

      http://igdadmin.example.com/sysadmin

    2. 「システム構成」タブに移動し、「参照」をクリックします。

    3. 「アクション」ドロップダウン・リストの「作成」をクリックします。

    4. 「意味」にLookup.Disc、「コード」にLookup.Discを入力します。

    5. 「アクション」ドロップダウン・リストの「リンクの作成」をクリックします。

    6. 「意味」に値HDD、「コード」にHDDを入力します。

    7. 「意味」にCD、「コード」にCDの値を使用して繰り返します。

    8. 「保存」をクリックします。

    9. 「意味」にLookup.Disc、「コード」にLookup.Discの値を入力し、「検索」をクリックします。

    10. HDDおよびCDの値が表示されます。「OK」をクリックします。

  2. 次のステップを完了して切断アプリケーション・インスタンスを作成します。

    1. 次のURLを使用して、システム管理コンソールにxelsysadmとしてログインします:

      http://igadmin.example.com/sysadmin

    2. 「サンドボックス」リンク、「サンドボックスの作成」の順にクリックします。

    3. 「名前」にDiscを入力し、「保存」「閉じる」の順にクリックします。「OK」をクリックして続行します。サンドボックスがアクティブ化されます。

    4. 「プロビジョニング構成」に移動し、「アプリケーション・インスタンス」をクリックします。

    5. 「作成」をクリックします。「属性」タブを有効にすることで、「アプリケーション・インスタンスの作成」ページが表示されます。

    6. 「名前」にDisc、「説明」にDiscを入力し、「切断」チェック・ボックスを選択します。「保存」をクリックします。「OK」をクリックして確定します。Discというアプリケーション・インスタンスが正常に作成されたことを確認するフィードバック・メッセージが表示されます。

    7. 同じページで「属性」タブに移動します。Discという名前でフォーム・フィールドが追加されます。フォーム・フィールドの横にある「編集」をクリックします。

      このステップにより、「Discの管理」タブをそのサブタブである「フィールド」とともに開くことができます。「フィールド」タブの横にある「子オブジェクト」をクリックします。

    8. 「追加」をクリックして、「名前」にchdisc、「説明」にchdiscを入力し、「OK」をクリックします。

    9. 「chdisc」をクリックします。これによって、「フィールド」タブを有効にして、別のページが開きます。

    10. 「アクション」ドロップダウン・リストの「リンクの作成」をクリックし、フィールドタイプに「参照」を選択し、「OK」をクリックします。

    11. 表示ラベルと名前にDiscを入力して、「検索可能」を選択します。「参照タイプ」をクリックし、「検索」または参照アイコン(拡大鏡アイコン)をクリックします。「意味」にLookup.Discを入力します。

    12. 「検索」をクリックします。HDDおよびCDの値が表示されます。「OK」をクリックします。「参照」が選択されている必要があります。単一のデフォルト値ラベル・ドロップダウンが追加されます。クリックすると、「HDD」および「CD」の値が表示されます。

      「権限」を有効にした場合は、「検索可能」および「「検索可能」ピックリスト」も選択されていることを確認します。残りはデフォルト値のままにします。

    13. 「保存して閉じる」をクリックします。

    14. 「親オブジェクトに戻る」「ビューの再生成」の順にクリックします。

    15. 「親フォーム + 子表(マスター/詳細)」を有効にし、デフォルトの設定を保持します。「OK」をクリックします。

    16. 「アプリケーション・インスタンス」タブに移動します。アプリケーション・インスタンスDiscを検索します。

    17. 「リフレッシュ」をクリックし、Discフォームで「適用」をクリックします。

    18. 左側のナビゲーション・ウィンドウで、「システム構成」「スケジューラ」に移動します。

    19. 「スケジュール済ジョブの検索」フィールドにEnt*の値を入力し、「検索」または「移動」ボタンをクリックします。

    20. 結果が表示されます。権限リスト・ジョブ名をクリックします。

    21. 「即時実行」をクリックします。ジョブが実行されていることを示す確認メッセージが表示されます。

    22. 「リフレッシュ」をクリックします。実行ステータスが「成功」であることを確認します。ウィンドウを閉じます。

    23. アプリケーション・インスタンスの「権限」タブに移動します。「HDD」および「CD」の2つの権限が表示されます。2つのいずれかを選択し、次のウィンドウから「割当て」+をクリックします。

    24. 「Top」の値を入力して「検索」をクリックし、組織名を検索します。

    25. 「Top」組織が表示されます。該当する行/組織を選択し、「選択した項目の追加」をクリックします。選択した組織が正常に追加されます。

    26. 「権限に適用」を選択し、「選択」をクリックします。選択した組織が正常に追加されます。

    27. 「割当て」をクリックします。

    28. CD行に対して、ステップx、y、zおよびaaを繰り返します。
    29. 組織名TestOrgを検索し、「検索」をクリックします。

    30. TestOrg組織が表示されます。該当する行/組織を選択し、「選択した項目の追加」をクリックします。

    31. 選択した組織が正常に追加されます。「権限に適用」を選択し、「選択」をクリックします。選択した組織が正常に追加されます。

    32. アプリケーション・インスタンスの「属性」タブに移動します。「適用」をクリックします。アプリケーション・インスタンス「disc」が正常に変更されたことを示すメッセージが表示されます。

    33. 「サンドボックス」をクリックします。

    34. 同じサンドボックスDiscを選択します。「サンドボックスのエクスポート」ボタンをクリックします。サンドボックスをエクスポートすると、sandbox_disc.zipという.zipファイルが生成されます。「OK」ボタンをクリックします。Zipファイルが保存および生成されます。

    35. エクスポートが正常に完了した後、「サンドボックスの公開」ボタンをクリックします。「はい」をクリックして確定します。

    36. 公開すると、「サンドボックスの公開」リンクにそのサンドボックスがリストされます。

  3. 次のステップを完了して、切断アプリケーション・インスタンスおよび権限をユーザーにプロビジョニングします。

    1. 次のURLを使用して、アイデンティティ・コンソールにxelsysadmとしてログインします:

      https://prov.example.com/identity

    2. 「管理」「ユーザー」の順にクリックします。

    3. ユーザー名Rahul Dravidを検索し、「検索」をクリックします。

    4. ユーザー「Rahul Dravid」が表示されます。そのユーザー・リンクをクリックします。ユーザーの詳細が表示されます。

    5. 「アカウント」タブ、「アカウントのリクエスト」タブの順に移動します。アカウントのアクセス・リクエスト・ページが表示されます。有効な追加アクセスを選択し、「カタログ」タブに移動します。使用可能なアプリケーション・インスタンスがすべて表示されます。

    6. Disc切断アプリケーション・インスタンスの「カートに追加」をクリックし、「次へ」をクリックします。カートの詳細ページが表示されます。

    7. 「リクエストの詳細」ペインでペン・アイコンをクリックします。

    8. アカウントのロギング名にRahul Dravid_123、パスワードに<password>を入力します。「更新」をクリックします。

    9. 「送信」をクリックします。リクエストおよび「アクセスのリクエストが正常に完了しました」メッセージが生成されます。

    10. 「セルフ・サービス」タブに移動します。「プロビジョニング・タスク」をクリックし、「手動履行」タブに移動します。「手動履行」ページが表示されます。

    11. 該当するリクエストをクリックします。リクエストの詳細が表示されます。データを確認します。「完了」「リフレッシュ」の順にクリックします。

    12. 「管理」タブ、「ユーザー」タブの順に移動します。同じユーザー「Rahul Dravid」を開きます。

    13. 「アカウント」タブに移動します。「リフレッシュ」をクリックします。アカウント・ステータスが「プロビジョニング済」であることを確認します。

    14. 同じアカウント名「Rahul Dravid_123」を選択し、「権限のリクエスト」ボタンをクリックします。「権限アクセス・リクエスト」ページが表示されます。「アクセス権限の追加」を使用可能にし、「カタログ」タブに移動します。

    15. 権限HDDに対応する「カートに追加」をクリックします。「次」をクリックします。

    16. 「送信」をクリックします。リクエストおよび「アクセスのリクエストが正常に完了しました」メッセージが生成されます。

    17. 「セルフ・サービス」タブに移動します。「プロビジョニング・タスク」をクリックし、「手動履行」タブに移動します。「手動履行」ページが表示されます。

    18. 該当するリクエストをクリックします。リクエストの詳細が表示されます。データを確認します。「完了」「リフレッシュ」の順にクリックします。

    19. 「管理」タブ、「ユーザー」タブの順に移動します。同じユーザー「Rahul Dravid」の詳細を開きます。

    20. 「権限」タブに移動します。「リフレッシュ」をクリックします。権限ステータスが「プロビジョニング済」であることを確認します。

DBユーザー管理のインポートおよび構成

データベース・ユーザー管理をインポートして構成するには:

  1. Oracle Technology Network (OTN)で次のOracle Identity Manager Connectorのダウンロード・ページから、最新のDatabase User Management Connectorをダウンロードします。
  2. 次のURLを使用して、システム管理コンソールにxelsysadminとしてログインします:

    http://igdadmin.example.com/sysadmin

  3. 「システム構成」タブに移動し、「インポート」をクリックします。
  4. DBUserManagement-Oracle-ConnectorConfig.xmlというファイルを選択します。サンプルの場所: D:\DBUM-12.2.1.4.0\xml
  5. 「開く」をクリックします。
  6. 「次」をクリックします。ITResource詳細は今すぐに、または後で指定できます。同じものを後で指定するには、「次へ」をクリックします。
  7. 「選択されたエンティティ」をクリックして選択を表示し、「インポート」をクリックします。インポートが正常に完了した後、「OK」をクリックします。
  8. ターゲット・システムのサード・パーティjarをIGD_ORACLE_HOME/idm/server/ConnectorDefaultDirectory/targetsystems-lib/DBUM-12.2.1.4.0ディレクトリにコピーします。

    ノート:

    ターゲットがOracleデータベースの場合、ドライバjarは必要ありません。

  9. 信頼できるソースのリコンシリエーションを構成するには、新しいITリソースを作成して構成します。たとえば、Oracle DBUMタイプのOracle DB Trustedなどを構成します。
  10. 構成参照で、信頼できる構成参照名をLookup.DBUM.Oracle.Configuration.Trustedとして更新します。これによって、ターゲット・システムのITResourceが構成されます。
  11. ITResourceを作成して次の詳細を指定するか、次のように指定されている「Oracle DB」という既存のITResourceを開きます。

    ITResourceの詳細:

    Configuration Lookup = Lookup.DBUM.Oracle.Configuration

    Connector Server Name =

    Connection Properties =ターゲット・システム・データベースの接続プロパティを指定します。

    Database Name =このフィールドはデータベース・タイプ(OracleやMSSQLなど)を指定し、各スクリプトをロードするために使用されます。サンプル値: Oracle

    JDBC Driver = oracle.jdbc.driver.OracleDriver

    JDBC URL = Oracleの場合: jdbc:oracle:thin:@host:port:sid

    Login Password =コネクタ操作に使用するターゲット・システム・アカウントのユーザー名のパスワードを入力します。

    Login User = sys as sysdba

アクセス・ポリシーの作成およびプロビジョニング

アクセス・ポリシーを作成してプロビジョニングするには:

  1. 次のURLを使用して、アイデンティティ・コンソールにxelsysadmとしてログインします: https://prov.example.com/identity
  2. 「管理」をクリックします。
  3. 「ロールとアクセス・ポリシー」 -> 「ロール」をクリックします。
  4. DBUMRoleという名前のロールを作成します。
  5. 「ホーム」タブをクリックして、メイン管理オプションを選択します。
  6. 「ユーザー」をクリックします。
  7. 「作成」をクリックします。
  8. Jean Wilsonという名前のユーザーを作成します。
  9. 「ホーム」タブをクリックします。
  10. 「ロールとアクセス・ポリシー」 -> 「ロール」をクリックします。
  11. ロールDBUMRoleを選択します。
  12. ロール・ページが表示されます。「メンバー」をクリックします。
  13. 「追加」をクリックします。
  14. 「メンバーの追加」ダイアログ・ボックスで、ユーザーJean Wilsonを検索します。
  15. ユーザーJean Wilsonをクリックします。
  16. 「選択した項目の追加」をクリックします。
  17. 「適用」をクリックします。
  18. Patrick Morganという名前の別のユーザーを作成し、ユーザー・ロールDBUMRoleを割り当てます。
  19. 「管理」をクリックして、「ホーム」タブをクリックします。
  20. Jean Wilsonユーザーの詳細ページを開き、「アカウント」タブをクリックします。DBUMアカウントはプロビジョニング済の状態になっています。
  21. 「権限」タブに移動し、追加した子データすべてが表示されていることを確認します。
  22. ユーザーPatrick Morganに対して前の2つのステップを繰り返します。

アカウント、権限およびロールに対するエンド・ユーザー・リクエストの作成

ロールについてエンド・ユーザー・リクエストを作成する手順は、次のとおりです。

  1. ユーザーArthur Hillを作成します。

  2. Arthur Hillとしてログインし、「マイ・アクセス」ページ、「ロール」の順に開きます。

  3. カタログで「リクエスト」をクリックし、DBUMRoleをカートに追加します。

  4. リクエストを送信します。

  5. 管理者としてログインし、「保留中の承認」を開きます。

  6. リクエストを開いて承認します。

  7. Arthur Hillとして、ロールが正常に割り当てられていることを確認します。

アカウントについてエンド・ユーザー・リクエストを作成する手順は、次のとおりです。

  1. ユーザーBruce Parkerを作成します。

  2. Bruce Parkerとしてログインし、「マイ・アクセス」ページ、「ロール」の順に開きます。

  3. 「リクエスト」をクリックします。

  4. カタログからDBUM Appを選択し、カートに追加します。

  5. 「次へ」をクリックして、「送信」をクリックしてリクエストを送信します。

  6. 管理者としてログインし、受信ボックスを開きます。

  7. リクエストを開いて詳細を確認し、リクエストを承認します。

  8. Bruce Parkerとして、アカウントが正常にプロビジョニングされていることを確認します。

権限についてエンド・ユーザー・リクエストを作成する手順は、次のとおりです。

  1. Jean Wilsonとしてログインします。
  2. 「マイ・アクセス」ページを開き、「アカウント」タブに移動します。
  3. DBUM appを選択し、「アクション」の下の「権限のリクエスト」をクリックします。
  4. 権限をカートに追加してリクエストを送信します。
  5. 管理者としてログインし、受信ボックスを開きます。
  6. リクエストを開いて承認します。
  7. Jean Wilsonとして、権限が正常にプロビジョニングされていることを確認します。

アカウント・パスワードのリセット

アカウント・パスワードをリセットするには:

  1. アイデンティティ・コンソールにJean Wilsonとしてログインします。
  2. 「マイ・アクセス」をクリックし、「アカウント」タブに移動します。
  3. SSOTargetを選択して、「アクション」の「パスワードのリセット」をクリックします。
  4. 新しいパスワードを指定し、発行します。
  5. ログアウトした後、xelsysadmとして再度ログインします。
  6. 「管理」「ユーザー」の順にクリックします。
  7. 「Jean Wilson」を検索し、ユーザーの詳細ページを開きます。
  8. 「アカウント」タブに移動し、DBUM Appを選択します。
  9. 「アクション」の下の「リソース履歴」をクリックし、更新されたパスワード・タスクがトリガーされて「完了」ステータスになっているかどうかを確認します。

証明の作成および承認

証明を作成して承認するには、次の前提条件を完了します:

  1. アイデンティティ・コンソールにxelsysadmとしてログインします。

  2. システム管理コンソールを起動します。

  3. 「システム構成」タブに移動し、「構成プロパティ」をクリックします。

  4. 次のシステム・プロパティを探します。

    Property name = Identity Auditor Feature Set Availability

    Keyword = OIG.IsIdentityAuditorEnabled

    Value = TRUE

  5. 設定を保存します。

  6. OIMサーバーを再起動し、アイデンティティ・コンソールに「コンプライアンス」タブを表示します。

証明を作成して承認するには:

  1. アイデンティティ・コンソールにxelsysadmとしてログインします。
  2. 「コンプライアンス」「アイデンティティの証明」「定義」の順に移動します。
  3. 次の情報を使用してユーザー・タイプ証明を作成します。
    • 「一般の詳細」ページ: 「名前」= UserCertification、「タイプ」= userを入力します。説明を入力して「次へ」をクリックします。

    • 「基本選択」ページ: 「選択した組織のユーザーのみ」を選択し、組織(TestOrg)を追加します。追加した組織が表示されます。「リスク・レベル」に「任意のレベルのリスクを持つユーザー」を選択し、「次へ」をクリックします。

    • 「コンテンツ選択」ページ: デフォルト値のままにして「次へ」をクリックします。

    • 「構成」ページ: デフォルトのままにして「次へ」をクリックします。

    • ユーザー(たとえば、MSDhoni)を検索することでレビューアを選択し、「次へ」をクリックします。

    • 「増分」を無効にして「次へ」をクリックします。

    • 「サマリー」ページ: 「作成」をクリックし、確認のために「はい」をクリックします。証明が正常に作成されます。

  4. システム管理コンソールにxelsysadmとしてログインします。
  5. 「スケジューラ」をクリックします。
  6. 証明cert_UserCertificationを検索します。ジョブが正常に実行されたことを確認します。
  7. アイデンティティ・コンソールにxelsysadmとしてログインし、ログアウトします。
  8. アイデンティティ・コンソールにレビューア(MSDhoni)としてログインします。
  9. 「セルフ・サービス」に移動し、「証明」をクリックします。
  10. 同じ証明UserCertification [ MSDhoni ]を開きます。
  11. 証明の詳細が表示されます。Rahul Dravidというユーザーが表示されています。
  12. ユーザーRahul Dravidを選択します。
  13. 「ロール」- Coach、「アカウント」- Disc、「権限」- HDDであることを確認します。
  14. すべての行を選択し、「完了」アクションを実行します。サインオフ・ポップアップが表示されます。
  15. パスワードを入力します(ユーザー名= MSDhoni、パスワード= <password>)。「OK」をクリックします。証明が正常に完了します。受信ボックスに反映されます。
  16. アイデンティティ・コンソールにMSDhoni / Xelsysadmとしてログインします。
  17. 「コンプライアンス」「アイデンティティの証明」「ダッシュボード」の順に移動します。ダッシュボードの詳細が表示されます。
  18. 「ラベルの表示」から「完了」を選択します。これによって、完了したすべての証明が表示されます。

アイデンティティ監査スキャン定義の作成およびその結果の表示

アイデンティティ監査スキャン定義を作成するには、次の前提条件を完了します:

  1. アイデンティティ・コンソールにxelsysadmとしてログインします。

  2. システム管理コンソールを起動します。

  3. 「システム構成」タブに移動し、「構成プロパティ」をクリックします。

  4. 次のシステム・プロパティを探します。

    Property name = Identity Auditor Feature Set Availability

    Keyword = OIG.IsIdentityAuditorEnabled

    Value = TRUE

  5. 設定を保存します。

  6. OIMサーバーを再起動し、アイデンティティ・コンソールに「コンプライアンス」タブを表示します。

ルールを作成するには:

  1. アイデンティティ・コンソールにxelsysadmとしてログインします。

  2. 「コンプライアンス」「アイデンティティ監査」の順にクリックします。

  3. 「ルール」を選択し、「作成」をクリックします。

  4. 次の条件ビルダーで、アイデンティティ・ルールIdentity Rule 1を作成します。

    user.Display Name; Equals ; Rahul Dravid

  5. 「作成」をクリックします。ルールが作成されます。

ポリシーを作成するには:

  1. アイデンティティ・コンソールにxelsysadmとしてログインします。

  2. 「コンプライアンス」「アイデンティティ監査」の順にクリックします。

  3. 「ポリシー」「作成」の順にクリックします。

  4. ルールIdentity Rule 1を追加することで、ポリシーIdentity Policy 1を作成します。

  5. 「作成」をクリックします。

スキャン定義を作成するには:

  1. 次のURLを使用して、アイデンティティ・コンソールにxelsysadmとしてログインします:

    https://prov.example.com/identity

  2. 「コンプライアンス」「アイデンティティ監査」の順にクリックします。

  3. 「スキャン定義」「作成」の順にクリックします。

  4. ポリシーIdentity Policy 1を追加することで、スキャン定義Identity Scan 1を作成します。

  5. 「基本選択」ページで、すべてのユーザーを選択します。

  6. 「構成」ページは、デフォルト値のままにします。

  7. 「サマリー」ページで「終了」をクリックします。スキャン定義が正常に追加されます。

  8. Identity Scan 1を選択して「即時実行」をクリックし、スキャン定義を実行します。スキャン定義が正常に実行されたことを確認します。

  9. 次の手順を実行してスキャン定義の結果をプレビューします。

    1. スキャン定義を実行した後、スキャン定義の行またはレコードIdentity Scan 1を選択します。

    2. 「スキャンの表示」をクリックします。スキャン定義の結果が表示されます。

アイデンティティ監査のテスト

Oracle Identity Managerで監査機能を使用可能にするには、次のステップを実行します。

  1. システム管理コンソールにログインします。
  2. 「システム構成」「システム・プロパティ」をクリックします。
  3. プロパティOIG.IsIdentityAuditorEnabledを検索し、プロパティ値をTRUEに更新します。
  4. 変更内容を有効にするためにOracle Identity Manager管理対象サーバーを再起動します。
  5. 次のURLを使用して、アイデンティティ・コンソールにxelsysadmとしてログインします:

    https://prov.example.com/identity

  6. 「コンプライアンス」「レポート」の順にクリックします。

    「レポート」ページが正常に開くことを確認します。

Oracle Advanced Authenticationの健全性チェック

Oracle Advanced Authentication (OAA)に適用可能な健全性チェックについて学習します。

Oracle Advanced Authenticationが機能していることを確認するには:

  1. HTTPテスト・ページを作成します。
  2. OAAテスト・ユーザーを作成します。
  3. OAAを使用してテスト・ページを保護します。

テスト・ページにアクセスすると、ログインするように求められ、OAAにリダイレクトされた後、電子メールで受信したワンタイムPINを入力するように求められます。PINを入力すると、テスト・ページが表示されます。

次の各項では、前述の各ステップを詳しく説明します:

テスト・ページの作成

テスト・ページを作成するには:
  1. 次の内容を含むtest_page.htmlというファイルを作成します:
    <!DOCTYPE html>
    <html>
    <body>
    
    <h1>This is a Test Page</h1>
    
    </body>
    </html>
  2. Oracle HTTP Serverのhtdocsフォルダにファイルをコピーします。例: /u02/private/oracle/config/domains/ohsDomain/config/fmwconfig/components/OHS/ohs1/htdocs

OAAテスト・ユーザーの作成

OAAテスト・ユーザーを作成するには:

  1. 次の内容を含むtest_user.ldifというファイルを作成します:
    dn: cn=<OAA_USER>,<LDAP_USER_SEARCHBASE>
    changetype: add
    objectClass: orclUserV2
    objectClass: oblixorgperson
    objectClass: person
    objectClass: inetOrgPerson
    objectClass: organizationalPerson
    objectClass: oblixPersonPwdPolicy
    objectClass: orclAppIDUser
    objectClass: orclUser
    objectClass: orclIDXPerson
    objectClass: top
    objectClass: OIMPersonPwdPolicy
    givenName: <OAA_USER>
    uid: <OAA_USER>
    orclIsEnabled: ENABLED
    sn: <OAA_USER>
    userPassword: <OAA_USER_PWD>
    mail: <OAA_USER_EMAIL>
    orclSAMAccountName: <OAA_USER>
    cn: <OAA_USER>
    postalCode: <OAA_USER_POSTCODE>
    obpasswordchangeflag: false
    ds-pwp-password-policy-dn: cn=FAPolicy,cn=pwdPolicies,cn=Common,cn=Products,cn=OracleContext,<LDAP_SEARCHBASE>
    
    dn:cn=<OAA_USER_GROUP>,<LDAP_GROUP_SEARCHBASE>
    changetype: modify
    add: uniqueMember
    uniqueMember: cn=<OAA_USER>,<LDAP_USER_SEARCHBASE>

    表29-3 属性とその説明

    属性 説明

    OAAUSER

    作成するユーザーの名前。例: oaauser

    USER_SEARCHBASE

    ユーザー名が格納されるLDAP内の場所。たとえば: cn=Users,dc=example,dc=com

    OAA_USER_PWD

    ユーザーに割り当てるパスワード。

    OAA_USER_EMAIL

    ワンタイムPINの送信先の有効な電子メール・アドレス。

    OAA_USER_POSTCODE

    郵便番号のエントリ。これは、Oracle Mobile Authenticatorを介して認証を検証する場合に必要です。

    OAA_USER_GROUP

    OAAユーザーに作成したLDAPグループ。例: OAA-App-Userunresolvable-reference.html#GUID-278C0CB3-9CC1-400C-B06B-B5DF8603B2ECを参照してください。

    GROUP_SEARCH_BASE

    ユーザー・グループが格納されるディレクトリ内の場所。例: cn=Groups,dc=example,dc=com

  2. ファイルをLDAPサーバーにコピーします。たとえば:
    kubectl cp test_user.ldif oudns/edg-oud-ds-rs-0:/u01/oracle/config-input
  3. ldifファイルをLDAPディレクトリにロードします。
    /u01/oracle/oud/bin/ldapmodify -h <OUD_POD_PREFIX>-oud-ds-rs-lbr-ldap.<OUDNS>.svc.cluster.local -p 1389 -D <LDAP_ADMIN_USER> -w <LDAP_ADMIN_PWD> -f /u01/oracle/config-input/test_user.ldif
    たとえば:
    /u01/oracle/oud/bin/ldapmodify -h edg-oud-ds-rs-lbr-ldap.oudns.svc.cluster.local -p 1389 -D cn=oudadmin -w <password> -f /u01/oracle/config-input/test_user.ldif
    

テスト・ページの保護ポリシーの作成

テスト・ページのOAM保護ポリシーを作成するには:
  1. URL http://iadadmin.example.com/oamconsoleを使用してOAM管理コンソールにログインします。
  2. 起動画面の「アクセス・マネージャ」セクションで、「アプリケーション・ドメイン」をクリックします。
  3. 「検索」をクリックしてから、「IAMスイート」をクリックします。
  4. 「リソース」タブをクリックします。
  5. 「リソース」画面で、「作成」をクリックし、次の情報を入力します:
    • タイプ: http
    • リソースURL: /test_page.html
    • 保護レベル: 保護
    • 認証ポリシー: OAA_MFA-Policy
    • 認可ポリシー: Protected Resource Policy
  6. 「適用」をクリックします。

https://login.example.com/test_page.htmlのテスト・ページにアクセスして、OAAが機能していることを確認します。