| Oracle Identity Manager Microsoft Active Directory Connectorガイド リリース9.0.3 E05112-02 |
|
 戻る |
 次へ |
コネクタをデプロイするには次の手順を実行します。
Microsoft Active Directoryの複数のインストールに対応するようにコネクタを構成する場合は、次の手順を実行します。
Microsoft Active Directoryのパスワード同期モジュールをインストールして使用する場合は、次の手順を実行します。
Oracle Identity Managerリリース9.0.1.3を使用している場合は、次の手順を実行します。
次の表に、コネクタのデプロイ要件を示します。
| 要件 | |
|---|---|
| Oracle Identity Manager | Oracle Identity Managerリリース8.5.3以上 |
| ターゲット・システム | Microsoft Active Directoryサーバー(Microsoft Windows 2000または2003) |
| ターゲット・システムのホスト・プラットフォーム | ターゲット・システムのホスト・プラットフォームは次のいずれかです。
|
| その他のソフトウェア | 証明書サービス |
| 外部コード | JNDI LDAP Boosterパッケージ(ldapsdk-4.1.jar) |
| ターゲット・システムのユーザー・アカウント | Microsoft Windows 2000または2003 Server(ドメイン・コントローラ)の管理者
「ITリソースの定義」の項の手順を実行する際に、このユーザー・アカウントの資格証明を指定します。 |
親組織がターゲット・サーバーにインストールにされていることを確認してください。親組織は、対応するITリソースでRoot Contextパラメータの値として指定されます。このパラメータの詳細は、「ITリソースの定義」を参照してください。
コピーするコネクタのファイルと外部コードのファイル、およびコピーする必要があるディレクトリを次の表に示します。
|
注意: この表の最初の列に示すディレクトリ・パスは、インストール・メディアの次のディレクトリでのコネクタ・ファイルの場所に対応しています。Directory Servers\Microsoft Active Directory\Microsoft Active Directory Base これらのファイルの詳細は、「コネクタを構成するファイルおよびディレクトリ」の項を参照してください。 |
| コピー先ディレクトリ | |
|---|---|
extディレクトリにあるファイル |
OIM_home\xellerate\ThirdParty
|
lib\xliActiveDirectory.jar |
OIM_home\xellerate\JavaTasks OIM_home\xellerate\ScheduleTask |
lib\xliADRecon.jar |
OIM_home\xellerate\JavaTasks OIM_home\xellerate\ScheduleTask |
resourcesディレクトリのファイル |
OIM_home\xellerate\connectorResources
|
scriptsディレクトリにあるファイル |
OIM_home\xellerate\scripts
install.bat(またはinstall.sh)ファイルをコピーした後で、テキスト・エディタを使用して開き、JDKディレクトリの実際の場所をファイルに指定します。 |
testディレクトリにあるディレクトリとファイル |
OIM_home\xellerate\test
|
xmlディレクトリにあるファイル |
OIM_home\xellerate\XLIntegrations\ActiveDirectory\xml
|
|
注意: Oracle Identity Managerをクラスタ環境にインストールするときは、インストール・ディレクトリの内容をクラスタの各ノードにコピーします。同じく、connectorResourcesディレクトリとJARファイルも、クラスタの各ノードの対応するディレクトリにコピーする必要があります。 |
Oracle Identity Managerサーバーの構成には、次の手順があります。
|
注意: クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。 |
必要な入力ロケール(言語および国の設定)に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。
必要な入力ロケールを設定するには、次のようにします。
|
注意: 使用しているオペレーティング・システムによっては、この手順の実行方法が異なる場合があります。 |
「コントロール パネル」を開きます。
「地域のオプション」をダブルクリックします。
「地域のオプション」ダイアログ・ボックスの「入力ロケール」タブで、使用する入力ロケールを追加してから、その入力ロケールに切り替えます。
OIM_home\xellerate\connectorResourcesディレクトリ内に新しいリソース・バンドルを追加するたび、または既存のリソース・バンドルで変更を行うたびに、コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去する必要があります。
サーバー・キャッシュからのコネクタ・リソース・バンドルに関連するコンテンツを消去するには、次のようにします。
コマンド・ウィンドウで、OIM_home\xellerate\binディレクトリに移動します。
次のいずれかのコマンドを入力します。
|
注意: このステップを実行する前にステップ1を実行する必要があります。コマンドを次のように実行すると、例外がスローされます。OIM_home\xellerate\bin\batch_file_name |
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
このコマンドのConnectorResourceBundleは、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。
OIM_home\xellerate\config\xlConfig.xml
|
注意: ステップ2の実行時にスローされる例外は無視できます。 |
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ALL
このレベルでは、すべてのイベントのロギングが有効化されます。
DEBUG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を粗密に選択した情報メッセージのロギングが有効化されます。
WARN
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
ERROR
このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。
FATAL
このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。
OFF
このレベルでは、すべてのイベントのロギングが無効化されます。
ログ・レベルおよびログ・ファイル・パスを設定するファイルは、使用する次のアプリケーション・サーバーによって異なります。
JBoss Application Serverの場合
ロギングを有効にするには、次のようにします。
次の行をOIM_home\xellerate\config\log.propertiesファイルに追加します。
log4j.logger.XELLERATE=log_level
この行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO
ロギングを有効にすると、ログ情報は次のファイルに書き込まれます。
JBoss_home\server\default\log\server.log
IBM WebSphereの場合
ロギングを有効にするには、次のようにします。
次の行をOIM_home\xellerate\config\log.propertiesファイルに追加します。
log4j.logger.XELLERATE=log_level
この行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO
ロギングを有効にすると、ログ情報は次のファイルに書き込まれます。
WebSphere_home\AppServer\logs\server_name\startServer.log
BEA WebLogicの場合
ロギングを有効にするには、次のようにします。
次の行をOIM_home\xellerate\config\log.propertiesファイルに追加します。
log4j.logger.XELLERATE=log_level
この行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO
ロギングを有効にすると、ログ情報は次のファイルに書き込まれます。
WebLogic_home\user_projects\domains\domain_name\server_name\server_name.log
OC4Jの場合
ロギングを有効にするには、次のようにします。
次の行をOIM_home\xellerate\config\log.propertiesファイルに追加します。
log4j.logger.XELLERATE=log_level
この行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.XELLERATE=INFO
ロギングを有効にすると、ログ情報は次のファイルに書き込まれます。
OC4J_home\opmn\logs\default_group~home~default_group~1.log
コネクタのXMLファイルを次の順序でインポートしてください。
xliADOrganizationObject_DM.xml
xliADGroupObject_DM.xml
xliADUserObject_DM.xml
XliActiveDirectoryScheduleTask_DM.xml
|
注意: コネクタ・ファイルを指定した順序でインポートしないと、コネクタが機能しない場合があります。 |
コネクタのXMLファイルをOracle Identity Managerにインポートするには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを検索するダイアログ・ボックスが表示されます。
xliADOrganizationObject_DM.xmlファイルを検索して開きます。このファイルはOIM_home\xellerate\XLIntegrations\ActiveDirectory\xmlディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「次へ」をクリックします。AD Server ITリソースの「ITリソース・インスタンス・データの提供」ページが表示されます。
AD Server ITリソースのパラメータの値を指定します。指定する値の詳細は、「ITリソースの定義」で、オペレーティング・システムがMicrosoft Windows 2000かMicrosoft Windows 2003かに応じて、該当する表を参照してください。
「次へ」をクリックします。AD Server ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
「スキップ」をクリックして、他のITリソースを定義しないことを指定します。「確認」ページが表示されます。
|
関連資料: その他のITリソースを定義する場合、手順は『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
「選択内容の表示」をクリックします。
XMLファイルの内容が「インポート」ページに表示されます。ノードの横に十字形のアイコンが表示されることがあります。各ノードを右クリックして「削除」を選択し、それらのノードを削除します。
「インポート」をクリックします。コネクタのファイルがOracle Identity Managerにインポートされます。
同じ手順を実行し、コネクタの残りのXMLファイルを指定の順序でインポートします。
|
注意: どのXMLファイルをインポートする場合でも、定義する必要のあるITリソースは同じです。したがって、ITリソースの定義は、インポートする最初のXMLファイルで行うのみで十分です。 |
コネクタのXMLファイルをインポートしたら、「手順6: リコンシリエーションの構成」の項に進みます。
この項では、次のオペレーティング・システムのITリソース・パラメータ値を示します。
次の表に、Microsoft Windows 2000の場合の、AD Server ITリソースのパラメータの値を示します。
| 説明 | |
|---|---|
Admin FQDN |
管理者に対応する完全修飾ドメイン名。
書式: サンプル値: |
Admin Login |
OU/ユーザーの作成に使用される管理者アカウントのユーザーID。 |
Admin Password |
OU/ユーザーの作成に使用される管理者アカウントのパスワード。 |
Root Context |
親またはルート組織の完全修飾ドメイン名。
たとえば、ルートの接尾辞などです。 書式: サンプル値: |
Server Address |
Microsoft Active DirectoryがインストールされているターゲットMicrosoft Windows 2000コンピュータのホスト名またはIPアドレス。
サンプル値: |
Last Modified Time Stamp |
最後にADユーザー・リコンシリエーションの実行が完了した日付と時間。
リコンシリエーション・エンジンは、ADユーザー・リコンシリエーションの各実行時、この属性に自動的に値を埋め込みます。 デフォルト値: |
Last Modified Time Stamp Group |
最後にADグループ・リコンシリエーションの実行が完了した日付と時間。
リコンシリエーション・エンジンは、ADグループ・リコンシリエーションの各実行時、この属性に自動的に値を埋め込みます。 デフォルト値: |
User SSL |
Oracle Identity ManagerとMicrosoft Active Directoryとの間の通信を保護するために、SSLを使用するかどうかを指定します。
デフォルト値: 関連項目: このパラメータを 注意: SSLを有効化してターゲット・システムとの通信を保護することをお薦めします。 |
SSL Port Number |
Microsoft Active DirectoryサーバーでSSLが実行されているポート。
デフォルト値: |
AtMap ADUser |
Microsoft Active Directoryユーザーの属性マップ名。
デフォルト値: |
AtMap Group |
Microsoft Active Directoryグループの属性マップ名。
デフォルト値: |
Target Locale: Country |
国コード
デフォルト値: 注意: 値は大文字で指定してください。 |
Target Locale: Language |
言語コード
デフォルト値: 注意: 値は小文字で指定してください。 |
CustomizedReconQuery |
リコンシリエーションのカスタマイズに使用するLDAP問合せを指定します。リコンシリエーション・エンジンはこのLDAP問合せを使用して、ターゲット・システムからフェッチする必要があるレコードをフィルタします。
サンプル値: 注意: この値は、「ユーザー・リコンシリエーション・スケジュール済タスク」で定義する |
ADDisableAttr Lookup Definition |
Microsoft Active Directoryで定義した必須でないユーザー属性を示した参照表の名前を指定します。この属性は、Use Disable Attrパラメータとともに使用します。
注意: Microsoft Active Directoryの必須でない属性はプロビジョニングの際に 参照定義の作成の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Use Disable Attr |
ユーザーがプロビジョニング操作で無効になった場合に、Microsoft Active Directoryで定義した必須でない属性をNULLに設定するかどうかを指定します。このパラメータの値はTrueまたはFalseです。デフォルト値は、Falseです。
注意: このパラメータは、 |
AD Sync installed (yes/no) |
Microsoft Active Directoryのパスワード同期モジュールをインストールして使用する場合は、このパラメータの値にyesを指定します。それ以外の場合は、noを指定します。デフォルト値は、noです。 |
OIM User UDF |
Oracle Identity Managerで作成するユーザー定義フィールドの名前を指定します。
注意: 指定するのは列名で、Oracle Identity Managerでカスタム属性を追加する際に入力するフィールド・ラベルではありません。たとえば、ラベル |
Custom Attribute Name |
Microsoft Active Directoryで作成するカスタム属性の名前を指定します。
|
これらのITリソース・パラメータの値を指定したら、この手順のステップ9に進んで、コネクタのXMLファイルをインポートします。
次の表に、Microsoft Windows 2003の場合の、AD Server ITリソースのパラメータの値を示します。
| 説明 | |
|---|---|
Admin FQDN |
管理者に対応する完全修飾ドメイン名。
書式: サンプル値: |
Admin Login |
OU/ユーザーの作成に使用される管理者アカウントのユーザーID。 |
Admin Password |
OU/ユーザーの作成に使用される管理者アカウントのパスワード。 |
Root Context |
通常、これは親またはルート組織の完全修飾ドメイン名です。
たとえば、ルートの接尾辞などです。 書式: サンプル値: |
Server Address |
Microsoft Active DirectoryがインストールされているターゲットMicrosoft Windows 2003コンピュータのホスト名またはIPアドレス。
サンプル値: |
Last Modified Time Stamp |
最後にADユーザー・リコンシリエーションの実行が完了した日付と時間。
リコンシリエーション・エンジンは、ADユーザー・リコンシリエーションの各実行時、この属性に自動的に値を埋め込みます。 デフォルト値: |
Last Modified Time Stamp Group |
最後にADグループ・リコンシリエーションの実行が完了した日付と時間。
リコンシリエーション・エンジンは、ADグループ・リコンシリエーションの各実行時、この属性に自動的に値を埋め込みます。 デフォルト値: |
User SSL |
Oracle Identity ManagerとMicrosoft Active Directoryとの間の通信を保護するために、SSLを使用するかどうかを指定します。
デフォルト値: 関連項目: このパラメータを 注意: SSLを有効化してターゲット・システムとの通信を保護することをお薦めします。 |
SSL Port Number |
Microsoft Active DirectoryサーバーでSSLが実行されているポート。
デフォルト値: |
AtMap ADUser |
Microsoft Active Directoryユーザーの属性マップ名。
デフォルト値: |
AtMap Group |
Microsoft Active Directoryグループの属性マップ名。
デフォルト値: |
Country |
国コード
デフォルト値: 注意: 値は大文字で指定してください。 |
Language |
言語コード
デフォルト値: 注意: 値は小文字で指定してください。 |
CustomizedReconQuery |
リコンシリエーションのカスタマイズに使用するLDAP問合せを指定します。リコンシリエーション・エンジンはこのLDAP問合せを使用して、ターゲット・システムからフェッチする必要があるレコードをフィルタします。
サンプル値: 注意: この値は、「ユーザー・リコンシリエーション・スケジュール済タスク」で定義するGroupObject属性とともに使用できます。 |
ADDisableAttr Lookup Definition |
Microsoft Active Directoryで定義した必須でないユーザー属性を示した参照表の名前を指定します。この属性は、Use Disable Attrパラメータとともに使用します。
注意: Microsoft Active Directoryの必須でない属性はプロビジョニングの際に 参照定義の作成の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Use Disable Attr |
ユーザーがプロビジョニング操作で無効になった場合に、Microsoft Active Directoryで定義した必須でない属性をNULLに設定するかどうかを指定します。このパラメータの値はTrueまたはFalseです。
注意: このパラメータは、 |
AD Sync installed (yes/no) |
Microsoft Active Directoryのパスワード同期モジュールをインストールして使用する場合は、このパラメータの値にyesを指定します。それ以外の場合は、noを指定します。デフォルト値は、noです。 |
OIM User UDF |
Oracle Identity Managerで作成するユーザー定義フィールドの名前を指定します。
注意: 指定するのは列名で、Oracle Identity Managerでカスタム属性を追加する際に入力するフィールド・ラベルではありません。たとえば、ラベル |
Custom Attribute Name |
Microsoft Active Directoryで作成するカスタム属性の名前を指定します。
|
これらのITリソース・パラメータの値を指定したら、この手順のステップ9に進んで、コネクタのXMLファイルをインポートします。
リコンシリエーションのスケジュール済タスクは、XliActiveDirectoryScheduleTask_DM.xmlファイルを「手順5: コネクタのXMLファイルのインポート」でインポートしたときに作成されます。
リコンシリエーションの構成のために実行する必要があるその他のタスクについて、次の項で説明します。
Oracle Identity Managerリリース9.0.1を使用している場合は、次の手順を実行してリコンシリエーションを有効にする必要があります。
リコンサイルする必要のあるフィールドを選択できます。これには次の手順を実行します。
Oracle Identity Manager Design Consoleを開きます。
「Xellerate Administration」フォルダを開きます。
「Lookup Definition」をダブルクリックします。
Lookup.ADReconciliation.FieldMap参照定義を検索するために、この名前を「Code」フィールドに入力して、「Query」アイコンをクリックします。
Lookup.ADReconciliation.FieldMapフィールド・マップを開くには、「Lookup.ADReconciliation.FieldMap」をダブルクリックします。
必要なフィールドをLookup.ADReconciliation.FieldMapフィールド・マップに追加します。
次のフィールドがLookup.ADReconciliation.FieldMapフィールド・マップにデフォルトとして提供されます。
memberOf
instanceType
Organization
givenName
sAMAccountName
IT Resource
objectGUID
name
password
sn
cn
whenChanged
distinguishedName
initials
displayName
|
注意: whenChangedフィールドは必須フィールドです。フィールド・マップに必ず指定してください。 |
|
注意: この手順のこのステップは、信頼できるソース・リコンシリエーションを構成する場合にのみ実行します。信頼できるソース・リコンシリエーションに構成できるのは、1つのコネクタのみです。信頼できるソースが別に構成されている場合に、信頼できるソース・リコンシリエーションをこのコネクタで構成すると、両方のコネクタでリコンシリエーションが機能しなくなります。リコンシリエーションの構成の概念の詳細は、『Oracle Identity Manager Connectorフレームワーク・ガイド』を参照してください。 |
Oracle Identity Manager Design Consoleを使用して、信頼できるソース・リコンシリエーションを次のように構成します。
「Resource Objects」フォームで、リコンサイルするフィールドを次のように選択します。
「Resource Management」フォルダを開きます。
「Resource Objects」をダブルクリックします。
Xellerate Userを「Name」フィールドに入力し、「Query」アイコンをクリックします。
表示されるリストの「Xellerate User」をダブルクリックします。
「Object Reconciliation」タブで、必要なリコンシリエーション・フィールドを追加します。「Xellerate User」フォームの必須フィールドへの入力を指定するために必要なすべてのリコンシリエーション・フィールドを追加してください。たとえば、「User Login」や「First Name」などのフィールドです。ただし、「Password」フィールドは必須フィールドですが、値を指定する必要はありません。
「Process Definition」フォームで、リコンシリエーション・フィールド・マッピングを次のように作成します。
「Process Management」フォルダを開きます。
「Process Definition」をダブルクリックします。
Xellerate Userを「Name」フィールドに入力し、「Query」アイコンをクリックします。
「Reconciliation Field Mappings」タブで、必要なリコンシリエーション・フィールド・マッピングを追加します。「User Defined Process」フォームのすべての必須フィールドをマッピングしてください。
「Reconciliation Rules」フォームで、Xellerate Userオブジェクトのルールを次のように作成します。
「Development Tools」フォルダを開きます。
「Reconciliation Rules」フォームをダブルクリックします。
Xellerate Userオブジェクトのルールと必要なルール要素を作成します。
|
関連資料: 詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
「Active」チェック・ボックスを選択して、ルールを有効にします。
リコンシリエーションのスケジュール済タスクを作成するには、次のようにします。
「Xellerate Administration」フォルダを開きます。
「Task Scheduler」を選択します。
「Find」をクリックします。事前定義されたスケジュール済タスクの詳細が2つのタブに表示されます。
最初のスケジュール済タスクについて、「Max Retries」フィールドに数値を入力します。この数はOracle Identity Managerがタスクを完了するために試行する回数です。この数を超えると、ERRORステータスがタスクに割り当てられます。
「Disabled」チェック・ボックスと「Stop Execution」チェック・ボックスが選択されていないことを確認します。
「Start」リージョンで「Start Time」フィールドをダブルクリックします。表示される日付時間エディタで、タスクを実行する日付と時間を選択します。
「Interval」リージョンで、次のスケジュール・パラメータを設定します。
タスクを繰り返し実行するように設定するには、「Daily」、「Weekly」、「Recurring Intervals」、「Monthly」または「Yearly」のオプションを選択します。
「Recurring Intervals」オプションを選択した場合は、タスクを繰り返して実行する間隔も指定する必要があります。
タスクを1回のみ実行するように設定するには、「Once」オプションを選択します。
スケジュール済タスクの属性の値を指定します。指定する値の詳細は、「スケジュール済タスク属性の値の指定」を参照してください。
|
関連資料: タスク属性の追加および削除の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
「Save」をクリックします。スケジュール済タスクが作成されます。INACTIVEステータスが「Status」フィールドに表示されますが、これは、タスクが現在実行されていないためです。タスクはステップ7で設定した日時に実行されます。
ステップ5〜10を繰り返してもう1つのスケジュール済タスクを作成します。
2つのスケジュール済タスクを定義したら、「Oracle Identity Managerリリース9.0.1のリコンシリエーションの有効化」に進みます。
この項では、次のスケジュール済タスクに指定する属性値について説明します。
参照フィールド・リコンシリエーション・スケジュール済タスクの次の属性に値を指定する必要があります。
|
注意: 属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。 |
| 説明 | デフォルト/サンプル値 | |
|---|---|---|
Server |
Microsoft Active DirectoryサーバーのITリソース・インスタンス名 | AD Server |
LookupCodeName |
リコンサイルされたすべてのグループ名と対応するオブジェクトGUIDを含む参照コード | Lookup.ADReconliation.GroupLookup |
スケジュール済タスク属性に値を指定したら、手順のステップ10に進んでスケジュール済タスクを作成します。
ユーザー・リコンシリエーション・スケジュール済タスクの次の属性に値を指定する必要があります。
スケジュール済タスク属性に値を指定したら、手順のステップ10に進んでスケジュール済タスクを作成します。
Oracle Identity Managerリリース9.0.1を使用している場合は、次の手順を実行してリコンシリエーションを有効にする必要があります。
|
関連資料: 『Oracle Identity Managerデザイン・コンソール・ガイド』 |
「Design Console」を開きます。
「Process Management」フォルダを開きます。
ADユーザーの「Process Definition」フォームを開きます。
「Reconciliation Field Mappings」タブをクリックします。
ITリソース・タイプの各フィールドで次の操作を行います。
フィールドをダブルクリックして、そのフィールドの「Edit Reconciliation Field Mapping」ウィンドウを開きます。
「Key Field for Reconciliation Matching」の選択を解除します。
コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。
Chk Process Parent Org
AD Move OU
AD Get USNChanged
AD Get OU USNCR
Update AD Group Details
Get Group ObjectGUID Created
AD Delete Group
AD Create Group
Prepopulate AD Group Display Name
Prepopulate AD Group Name
check process organization
AD Set User Password
AD Set User CN Standard
AD Set Account Exp Date
AD remove User From Group
AD Pwd Never Expires
AD Must Change PWD
AD Move User New
AD Move User
AD Get ObjectGUID
AD Enable User
AD Disable User
AD Delete User
AD Create User
AD Change Attribute
AD Add User To Group
AD Prepopulate User Last Name
AD Prepopulate User Login
AD Prepopulate User Full Name
AD Prepopulate User Middle Name
AD Prepopulate User First Name
これらのアダプタを使用してターゲット・システムでアカウントをプロビジョニングするには、前もってアダプタをコンパイルする必要があります。
「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
「アダプタ・マネージャ」フォームを開きます。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」を選択します。
(すべてではないが)複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」を選択します。
|
注意: 正常にコンパイルされなかったアダプタのみを再コンパイルするには、「以前の失敗分をコンパイル」をクリックします。そのようなアダプタはコンパイルのステータスがOKになっていません。 |
「開始」をクリックします。選択したアダプタがOracle Identity Managerによってコンパイルされます。
Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_home\xellerate\Adapterディレクトリから、コンパイル済のアダプタをクラスタの他の各ノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。
アダプタの詳細情報を表示するには、次のようにします。
「アダプタ・マネージャ」フォームでアダプタをハイライト表示します。
アダプタの行ヘッダーをダブルクリックするか、アダプタを右クリックします。
表示されるショートカット・メニューで「アダプタの起動」を選択します。アダプタの詳細が表示されます。
|
注意: これはデプロイのオプションの手順です。この項では、Microsoft Active DirectoryでSSLを有効化する手順について説明します。 |
次のタスクを実行して、Oracle Identity ManagerとターゲットのMicrosoft Active Directoryサーバーとの間のSSL接続を構成します。
コネクタを使用するには、ホスト・コンピュータで証明書サービスを実行する必要があります。証明書サービスをインストールするには、次のようにします。
オペレーティング・システムのインストール・メディアをCD-ROMドライブまたはDVDドライブにセットします。
「スタート」、「設定」、「コントロール パネル」の順にクリックします。
「プログラムの追加と削除」をダブルクリックします。
「Windowsコンポーネントの追加と削除」をクリックします。
「証明書サービス」を選択します。
指示に従い、証明書サービスを開始します。
ターゲットのMicrosoft Active Directoryサーバーでは、LDAP over SSL(LDAPS)を有効にする必要があります。次の手順で証明書を作成して、LDAPSを有効にします。
|
注意: 次の手順を実行する場合、エンタープライズCAオプションを使用してください。 |
「Active Directoryユーザーとコンピュータ」コンソールで、ドメイン・ノードを右クリックし、「プロパティ」を選択します。
「グループ ポリシー」タブをクリックします。
「既定のドメイン ポリシー」を選択します。
「編集」をクリックします。
「コンピュータの構成」、「Windowsの設定」、「セキュリティ設定」、「公開キーのポリシー」の順にクリックします。
「自動証明書要求の設定」を右クリックし、「新規」を選択して、「自動証明書要求」を選択します。ウィザードが開始します。
ウィザード上で、「ドメイン コントローラ」テンプレートを適用してポリシーを追加します。
この手順が完了すると、証明書が作成され、LDAPがSSLを使用してポート636で有効になります。
Microsoft Active Directory証明書が発行されていない、または認証局(CA)から証明されていない場合は、信頼できる証明書として設定します。このためには、まず証明書をエクスポートしてから、Oracle Identity Managerサーバーのキーストアに信頼できる認証局(CA)の証明書としてインポートしてください。
Microsoft Active Directory証明書をエクスポートするには、次のようにします。
「スタート」、「プログラム」、「管理ツール」、「証明機関」の順にクリックします。
作成する認証局を右クリックし、「プロパティ」を選択します。
「全般」タブで、「証明書の表示」をクリックします。
「詳細」タブで、「ファイルにコピー」をクリックします。
ウィザード上で、BASE64エンコーディングを使用して証明書(.cer)ファイルを作成します。
Microsoft Active Directory証明書をOracle Identity Managerサーバーの証明書ストアにインポートするには、次のようにします。
|
注意: クラスタ環境では、クラスタのすべてのノードでこの手順を実行する必要があります。 |
証明書をOracle Identity Managerサーバーにコピーします。
IBM WebSphereを使用している場合は、次のファイルもコピーする必要があります。
非クラスタ構成のIBM WebSphereの場合は、次のようにします。
jsse.jarファイルをWS_home\java\jre\lib\extディレクトリにコピーします。
クラスタ構成のIBM WebSphereの場合は、次のようにします。
jnet.jar、jsse.jarおよびjcert.jarファイルをWS_home\java\jre\lib\extディレクトリにコピーします。
これらのJARファイルは次のSun Webサイトからダウンロードできます。
証明書ファイルのコピー先のディレクトリに移動し、次のようなコマンドを入力します。
keytool -import -alias alias -file cer_file -keystore my_cacerts -storepass password
コマンドの説明は次のとおりです。
aliasは証明書の別名です(たとえば、サーバー名です)。
cer_fileは証明書(.cer)ファイルのフルパスと名前です。
my_cacertsは証明書ストアのフルパスと名前です(デフォルトはcacertsです)。
アプリケーション・サーバー別の証明書ストアのパスを、次の表に示します。
| 証明書ストアの場所 | |
|---|---|
| JBoss Application Server |
JBoss_home\jre\lib\security\cacerts
|
| BEA WebLogic |
BEA_home\java\jre\lib\security\cacerts
|
| IBM WebSphere | 非クラスタ構成のIBM WebSphereの場合は、ファイルを次の証明書ストアにインポートする必要があります。
WS_home\java\jre\lib\security\cacerts
クラスタ構成のIBM WebSphereの場合は、クラスタの各ノードにある次の証明書ストアにファイルをインポートする必要があります。 WS_home\java\jre\lib\security\cacerts WS_home\etc\DummyServerTrustFile.jks |
| Oracle Containers for J2EE (OC4J) |
OC4J_home\jdk\jre\lib\security\cacerts
|
passwordはキーストア・パスワードです(デフォルトはchangeitです)。
次に例を示します。
keytool -import -alias thorADCert -file c:\thor\ActiveDir.cer -keystore C:\mydir\java\jre\lib\security\cacerts -storepass changeit
|
注意: changeitは、Sun JVMに格納されるcacertsファイルのデフォルト・パスワードです。これは、使用するJVMによって異なります。 |
コマンド・プロンプト・ウィンドウで、この証明書を信頼するかどうか求められたら、YESと入力します。
次のようなコマンドを入力し、証明書のインポートが成功しているかどうかを確認します。
keytool -list -alias alias -keystore mycacerts -storepass password
ステップ2の例では、次のコマンドを使用し、キーストアに証明書をインポートしたときに使用した証明書名(thorADCert)を検索して、証明書のインポートが成功しているかどうかを確認します。
keytool -list -alias thorADCert -keystore C:\mydir\java\jre\lib\security\cacerts -storepass changeit
証明書ファイルを新しい証明書ストアに登録する場合のみ、この手順を実行してください。
次の行をjre\lib\security\java.securityファイルに追加します。
security.provider.N=com.sun.net.ssl.internal.ssl.Provider
この行のNはファイルで使用されていない任意の番号です。
アプリケーション・サーバーを再起動します。
|
注意: ユーザー・パスワードは、128ビットのSSLを使用しないと設定できません。また、Microsoft Active DirectoryがインストールされたコンピュータでMicrosoft Windows 2000 Service Pack 2(またはそれ以上)またはMicrosoft Windows 2003が実行されている必要があります。 |
|
注意: この手順は、Microsoft Active Directoryの複数のインストールに対応するようにコネクタを構成する場合のみ実行します。この手順の各ステップ実行の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
ターゲット・システムの複数のインストールに対してコネクタを構成するには、次のようにします。
各ターゲット・システム・インストールに対して1つのリソースを作成して構成します。
「IT Resources」フォームは「Resource Management」フォルダにあります。ITリソースは、コネクタのXMLファイルをインポートすると作成されます。このITリソースは、同じリソース・タイプの、残りのITリソース作成用のテンプレートとして使用できます。
各ターゲット・システム・インストールについてリコンシリエーションを構成します。手順は、「手順6: リコンシリエーションの構成」の項を参照してください。ITリソースの指定に使用される属性の変更と、ターゲット・システム・インストールを信頼できるソースとして設定するかどうかの指定のみが必要です。
Microsoft Active Directoryの単独インストールと複数インストールのいずれも信頼できるソースとして指定できます。
必要であれば、Xellerate Userリソース・オブジェクトに対してリコンサイルされるフィールドを変更します。
管理およびユーザー・コンソールを使用してプロビジョニングを実行するときは、ユーザーをプロビジョニングするMicrosoft Active Directoryインストールに対応するITリソースを指定できます。
Microsoft Active Directoryのコネクタは、次の機能を実行します。
Oracle Identity Managerで変更したユーザー・アカウント属性(パスワードを除く)を使用したMicrosoft Active Directoryの更新
Microsoft Active Directoryで変更したユーザー・アカウント属性(パスワードを除く)を使用したOracle Identity Managerの更新
Oracle Identity Managerで変更したパスワードを使用したMicrosoft Active Directoryの更新(LDAP over SSLが必要)
Microsoft Active Directoryのパスワード同期モジュールは、Microsoft Active Directoryで変更したパスワードを使用してOracle Identity Managerを更新します。
コネクタはOracle Identity Managerサーバーにデプロイされ、モジュールはMicrosoft Active Directoryサーバーにデプロイされます。これらが一緒にデプロイされると(LDAP over SSLとともに)、コネクタおよびパスワード同期モジュールにより、パスワードを含むすべてのユーザー属性の完全な双方向の同期が実現します。
|
関連資料: 『Oracle Identity Manager Password Synchronization Module for Microsoft Active Directoryインストレーションおよび構成ガイド』 |
この項の説明は、リリース9.0.3のコネクタおよびパスワード同期モジュールで確認された問題を解決することを目的としています。
Microsoft Active Directoryでカスタム属性を作成して、Oracle Identity Managerで行われたパスワード変更をトラッキングするフラグとして機能するようにする必要があります。
次の項では、この手順について説明します。
カスタム属性を作成するにはMicrosoft Active Directoryスキーマ・スナップインが必要です。カスタム属性を作成する前に、このスナップインがインストールされているかどうか確認する必要があります。
スナップインのインストールを確認するには、次のようにします。
Microsoft Active Directoryサーバーで、「スタート」、「ファイル名を指定して実行」の順にクリックします。
次のコマンドを入力して、「OK」をクリックします。
mmc /a
Microsoft Active Directoryスキーマ・スナップインがすでにインストールされている場合は、このコマンドを実行する際にそのコンソールが表示されます。
コンソールが表示されない場合は、Microsoft Active Directoryスキーマ・スナップインを次のようにインストールする必要があります。
Microsoft Active Directoryサーバーに管理者としてログインします。
Windows 2000サーバーのコンパクト・ディスクをコンパクト・ディスク・ドライブに挿入し、「このCDを参照」をクリックします。
「I386」フォルダ、「Adminpak」の順にダブルクリックして、Windows 2000管理ツールのセットアップ・ウィザードに表示される説明に従います。
Microsoft Active Directoryスキーマ・スナップインのコンソールを次のように開きます。
「スタート」、「ファイル名を指定して実行」の順にクリックします。
次のコマンドを入力して、「OK」をクリックします。
mmc /a
「コンソール」メニューで、「スナップインの追加と削除」、「追加」の順にクリックします。
「Active Directoryスキーマ」をダブルクリックし、「閉じる」をクリックします。
スナップインを他に追加しない場合は、「OK」をクリックします。
変更を保存するには、「保存」をクリックします。
Microsoft Active Directoryスキーマ・スナップインがインストールされたことを確認したら、次のようにMicrosoft Active Directoryでカスタム属性を追加します。
Active Directoryスキーマ・スナップインを次のように開きます。
Microsoft Active Directoryサーバーで、「スタート」、「ファイル名を指定して実行」の順にクリックします。
次のコマンドを入力して、「OK」をクリックします。
mmc /a
コンソール ツリーで「属性」、「属性の作成」の順にクリックします。
属性タイプをIntegerに設定します。
コンソール ツリーで「クラス」を選択します。
「ユーザー」を右クリックし、「プロパティ」を選択します。
「属性」タブで、「追加」を選択して、ユーザー・クラスに属性を追加します。
Oracle Identity Managerでカスタム属性を作成して、Microsoft Active Directoryで行われたパスワード変更をトラッキングするフラグとして機能するようにする必要があります。
Oracle Identity Managerでカスタム属性(ユーザー定義フィールド)を作成するには、次のようにします。
|
関連資料: 『Oracle Identity Managerデザイン・コンソール・ガイド』 |
「Design Console」を開きます。
「Administration」フォルダを開きます。
「User Defined Field Definition」を選択します。
検索アイコンをクリックします。
表示された結果から「USR」を選択し、「Add」をクリックします。
「User Defined Fields」ダイアログ・ボックスで次の値を入力します。
Label: フィールドのラベルを入力します。例: PWDCHANGEDINDICATION
Field Size: 20
作成するユーザー定義フィールドは、ADSYNC_TRUEまたはADSYNC_FALSEのいずれかを保持します。
DataType: 文字列
Column Name: フィールドの列名を入力します。
「Label」フィールドで入力した値と同じ値を入力することをお薦めします。例: PWDCHANGEDINDICATION
Oracle Identity Managerは、指定した列名に自動的にUSR_UDF_を追加します。たとえば、列名にPWDCHANGEDINDICATIONを指定すると、実際の列名はUSR_UDF_PWDCHANGEDINDICATIONに変更されます。
「Save」をクリックします。
「ITリソースの定義」で説明されている手順を行う際に、次のパラメータの値を指定する必要があります。
AD Sync installed (yes/no)
Microsoft Active Directoryのパスワード同期モジュールをインストールして使用する場合は、このパラメータの値にyesを指定します。それ以外の場合は、noを指定します。デフォルト値は、noです。
OIM User UDF
Oracle Identity Managerで作成するユーザー定義フィールドの名前を指定します。
AD Sync installed (yes/no)パラメータの値にyesを指定した場合にのみこのパラメータの値を指定してください。
注意: 指定するのは列名で、Oracle Identity Managerでカスタム属性を追加する際に入力するフィールド・ラベルではありません。たとえば、ラベルPWDCHANGEDINDICATIONを入力した場合に指定する列名はUSR_UDF_PWDCHANGEDINDICATIONです。Oracle Identity Managerは、列を作成するときに接頭辞USR_UDF_を追加します。
Custom Attribute Name
Microsoft Active Directoryで作成するカスタム属性の名前を指定します。
AD Sync installed (yes/no)パラメータの値にyesを指定した場合にのみこのパラメータの値を指定してください。
この項では、パスワード変更の操作の際に行われるイベントの順序について説明します。
たとえば、John DoeがMicrosoft Active Directoryでパスワードを変更するとします。このイベントで発生するのは、次のような順序のイベントです。
パスワード同期モジュールがOracle Identity Managerでユーザーのパスワードを変更します。
パスワード同期モジュールがOracle Identity Managerのユーザー定義フィールド値をADSYNC_TRUEに変更します。
Oracle Identity Managerのユーザー定義フィールド値はADSYNC_TRUEのため、Password Updatedプロセス・タスクでMicrosoft Active Directoryのパスワードは変更されません。
パスワード同期モジュールがOracle Identity Managerのユーザー定義フィールド値をADSYNC_FALSEに戻します。
たとえば、Jane DoeがOracle Identity Managerでパスワードを変更するとします。このイベントで発生するのは、次のような順序のイベントです。
Password Updatedプロセス・タスクで、Microsoft Active Directoryのユーザーのパスワードが変更されます。
Password Updatedプロセス・タスクは、Microsoft Active Directoryのカスタム属性の値を1に変更します。
Microsoft Active Directoryのカスタム属性の値は1のため、パスワード同期モジュールは、Oracle Identity Managerのパスワードを変更しません。
Password Updatedプロセス・タスクは、Microsoft Active Directoryのカスタム属性の値を0に戻します。
Microsoft Active Directoryコネクタをインストールした後で、コネクタのプロパティを反映するためにパスワード同期のxlconfig.xmlを変更する必要があります。
これは、パスワード同期モジュールに対するインストール手順の一部です。『Oracle Identity Manager Password Synchronization Module for Microsoft Active Directoryインストレーションおよび構成ガイド』では、コネクタ・インストール後のxlconfig.xmlファイルの構成について説明されています。
|
注意: この手順は、Oracle Identity Managerリリース9.0.1.3を使用している場合にのみ必要です。 |
Oracle Identity Managerリリース9.0.1.3では、信頼されていない(ターゲット・リソース)リコンシリエーションの際に、無効または有効にされているユーザー・アカウントはOracle Identity Managerに正確にリコンサイルされません。このリリースのOracle Identity Managerを使用している場合は、次の手順を実行してこの問題を解決する必要があります。
Design Consoleにログインします。
次のようにして、「AD User」リソース・オブジェクトに「userAccountControl」リコンシリエーション・フィールドを作成します。
「Resource Management」フォルダを開きます。
「Resource Objects」フォームを開きます。
「Search」ボタンをクリックします。
表示されるリソース・オブジェクトのリストから、「AD User」をダブルクリックします。
「Object Reconciliation」タブで、「Reconciliation Fields」タブを選択します。
「Reconciliation Fields」タブで、「ADD Field」をクリックして、次の値を入力します。
Field Name: userAccountControlを入力します。
Field Type: 「String」を選択します。
Required: このチェック・ボックスを選択します。
変更を保存します。
次のようにして、「userAccountControl」リコンシリエーション・フィールドを「OIM_OBJECT_STATUS」フィールドにマップします。
「Process Management」フォルダを開きます。
「Process Definition」フォームを開きます。
「Search」ボタンをクリックします。
表示されるプロセス定義のリストから、「AD User」プロセス定義をダブルクリックします。
「Reconciliation Field Mappings」タブで、「userAccountControl」をダブルクリックして、次の値を入力します。
Field Name: 「userAccountControl」を選択します。
Field Type: 「String」を選択します。
Process Data Field: OIM_OBJECT_STATUSを入力します。
変更を保存します。
