| Oracle Identity Manager Database User Management Connectorガイド リリース9.0.4 E05495-02 |
|
 戻る |
 次へ |
Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerコネクタは、Oracle Identity Managerとサード・パーティ製アプリケーションの統合に使用されます。このガイドでは、Oracle Identity ManagerをDatabase User Managementと統合するためのコネクタをデプロイする手順について説明します。
|
注意: Oracle Identity Managerコネクタは、オラクル社がThor Technologies社を企業買収する前はリソース・アダプタと呼ばれていました。 |
この章では、次の項目について説明します。
|
注意: このガイドでは、Oracle Identity Managerサーバーという用語は、Oracle Identity Managerがインストールされているコンピュータを意味します。このガイドの一部では、Database User Managementをターゲット・システムと呼んでいます。 |
リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Managerで複製することです。これは、構成したスケジュール済タスクによって開始される自動化プロセスです。
|
関連資料: リコンシリエーションの構成の概念については、『Oracle Identity Manager Connectorフレームワーク・ガイド』のOracle Identity Managerのデプロイ構成に関する項を参照してください。 |
次の表に、リコンシリエーション中にデータベースから値が読み取られるターゲット・システムの属性を示します。
| フィールド | IBM DB2 UDB | Microsoft SQL Server | Oracle Database | Sybase |
|---|---|---|---|---|
| Login | ○ | ○ | ○ | ○ |
| userType | ○ | - | - | - |
| Full Name | - | - | - | ○ |
| DefaultTablespace | - | - | ○ | - |
| dbName | ○ | - | - | - |
| Roles | - | ○ | ○ | ○ |
| schemaName | ○ | - | - | - |
| tableSpaceName | ○ | - | - | - |
| User | - | ○ | - | ○ |
| Group | - | - | - | ○ |
| Database | - | ○ | - | ○ |
プロビジョニングとは、Oracle Identity Managerを介して、ターゲット・システム上でユーザー・アカウント情報を作成または変更することです。プロビジョニング操作は、Oracle Identity Manager管理およびユーザー・コンソールを使用して実行します。
|
関連資料: プロビジョニングの概念については、『Oracle Identity Manager Connectorフレームワーク・ガイド』のOracle Identity Managerのデプロイ構成に関する項を参照してください。 |
このターゲット・システムでは、プロビジョニング・モジュールは次のように分類されます。
次のフィールドがプロビジョニングされます。
| フィールド | IBM DB2 UDB | Microsoft SQL Server | Oracle Database | Sybase |
|---|---|---|---|---|
| ログイン | ○ | ○ | ○ | ○ |
| パスワード | ○ | ○ | ○ | ○ |
| デフォルトDB | - | - | - | ○ |
| デフォルト言語 | - | ○ | - | ○ |
| 完全名 | - | - | - | ○ |
| 認証タイプ | ○ | - | - | - |
| 表領域 | - | - | ○ | - |
| データファイルのサイズ(MB) | - | - | ○ | - |
| デフォルト・ロール | - | - | - | ○ |
| DB2データベース | ○ | - | - | - |
| DB2ユーザー・タイプ | ○ | - | - | - |
| ロール | - | - | ○ | ○ |
| 表領域名 | ○ | - | - | - |
| スキーマ名 | ○ | - | - | - |
次のフィールドがプロビジョニングされます。
| フィールド | IBM DB2 UDB | Microsoft SQL Server | Oracle Database | Sybase |
|---|---|---|---|---|
| DBユーザー | - | ○ | - | ○ |
| DB名 | - | ○ | - | ○ |
| DBグループ | - | - | - | ○ |
| DBの親ログイン | - | ○ | - | ○ |
| 認証タイプ | - | ○ | - | - |
| ロール | - | - | - | ○ |
Microsoft SQL ServerおよびSybaseでは、データベース・アクセス・エンティティは次のタイプに分けられます。
ログイン(親)
ユーザー(子)
コネクタはこれら2つのRDBMSでユーザー・プロビジョニング機能を提供する必要があるため、各データベース・アクセス・エンティティは、個別のプロビジョニング機能とリコンシリエーション機能を使用して処理されます。
ただし、Oracle DatabaseとIBM DB2 UDBの場合は、ユーザーのアカウントを作成するためにCreate Login機能で十分です。このため、Create User機能はこれらのRDBMSでは使用されません。
次の項では、各データベース・アクセス・エンティティ・タイプに対してコネクタでサポートされるプロビジョニング機能とリコンシリエーション機能の情報を示します。
次の表に、ログイン・データベース・アクセス・エンティティ・タイプに対応するコネクタの機能を示します。
|
注意: これらの機能のほとんどは、4つのRDBMS(IBM DB2 UDB、Microsoft SQL Server、Oracle DatabaseおよびSybase)すべてでサポートされます。 |
| 機能 | タイプ | 説明 | サポートされるRDBMS |
|---|---|---|---|
| Create Login | プロビジョニング | データベースにログインを作成する。
注意: Oracle Databaseでこの機能を実行すると、ユーザーが作成されるが、ユーザーに権限は付与されない。必要な権限を指定するには、CONNECT、RESOURCEおよびSELECT ANY TABLEという値を指定してAdd Role or Grant機能を実行。 詳細は、Add Role or Grant機能の説明を参照。 |
すべて |
| Delete Login | プロビジョニング | プロビジョニング済ログインを削除する。 | すべて |
| Enable Login | プロビジョニング | 無効なログインを有効にする。 | IBM DB2 UDB |
| Disable Login | プロビジョニング | ログインを無効化する。 | IBM DB2 UDB |
| Default DB Updated | プロビジョニング | デフォルトDBの更新属性の変更に基づいてデータベースのログイン・プロパティを更新する。
次の参照定義に適切な参照コード(有効なデータベース名に対応)を追加する必要がある。
|
Microsoft SQL ServerおよびSybase |
| Full Name Updated | プロビジョニング | 「完全名」属性の変更に基づいてデータベースのログイン・プロパティを更新する。 | Sybase |
| Default Role Updated | プロビジョニング | デフォルト・ロール属性の変更に基づいてデータベースのログイン・プロパティを更新する。
この機能が作動するのは、関連するロールがSybaseログインにすでに割り当てられている場合のみ。 次の参照定義に適切な参照コード(有効なロールに対応)を追加する必要がある。 Lookup.DB Role: たとえば、
|
Sybase |
| Default Language Updated | プロビジョニング | 「デフォルト言語」属性の変更に基づいてデータベースのログイン・プロパティを更新する。
次の参照定義に適切な参照コード(有効なロールに対応)を追加する必要がある。 UD_Lookup.Def_Lang: たとえば、
|
Microsoft SQL ServerおよびSybase |
| Password Updated | プロビジョニング | 「パスワードが更新されました」属性の変更に基づいてデータベースのログイン・プロパティを更新する。
この機能は、プロセス・フォームのパスワードが変更されると実行される。 Sybaseの場合:
|
Microsoft SQL Server、Oracle DatabaseおよびSybase |
| Add Role or Grant | プロビジョニング | データベースの既存ログインにロールを追加する。
必要なロールはターゲット・システムで定義され有効であることが必要。 次の参照定義に適切な参照コード(有効なロール名に対応)を追加する必要がある。
|
Oracle DatabaseおよびSybase |
| Revoke Role | プロビジョニング | データベースの既存ログインのロールを失効させる。 | Oracle DatabaseおよびSybase |
| Add Tablespace | プロビジョニング | データベースの既存ログインに表領域を追加する。
必要な表領域はターゲット・システムで定義され有効であることが必要。 次の参照定義に適切な参照コード(有効な表領域に対応)を追加する必要がある。 UD_Lookup.DB_Tablespacenames: たとえば、 コード・キー: デコード: 言語: 国: |
IBM DB2 UDB |
| Delete Tablespace | プロビジョニング | データベースの既存ログインの表領域を失効させる。 | IBM DB2 UDB |
| Add Schema | プロビジョニング | データベースの既存ログインにスキーマを追加する。
必要なスキーマはターゲット・システムで定義され有効であることが必要。 次の参照定義に適切な参照コード(有効なスキーマ名に対応)を追加する必要がある。 UD_Lookup.DB_Schemas: たとえば、 コード・キー: デコード: 言語: 国: |
IBM DB2 UDB |
| Delete Schema | プロビジョニング | データベースの既存ログインのスキーマを失効させる。 | IBM DB2 UDB |
| Trusted Reconciliation for Login | リコンシリエーション | データベースからのリコンサイル済ログインに対応するログイン・アカウントをOracle Identity Managerに作成する。 | すべて |
| Create Login | リコンシリエーション | ログインをリコンサイルする。 | すべて |
| Update Login | リコンシリエーション | Oracle Identity Managerに存在するログインの属性をリコンサイルする。 | Microsoft SQL ServerおよびSybase |
| Default DB Updated | リコンシリエーション | Oracle Identity Managerに存在するログインのデフォルトDB属性の変更内容をリコンサイルする。 | Microsoft SQL ServerおよびSybase |
| Full Name Updated | リコンシリエーション | Oracle Identity Managerに存在するログインの「完全名」属性の変更内容をリコンサイルする。 | Sybase |
| Default Role Updated | リコンシリエーション | Oracle Identity Managerに存在するログインのデフォルト・ロール属性の変更内容をリコンサイルする。 | Microsoft SQL ServerおよびSybase |
| Default Language Updated | リコンシリエーション | Oracle Identity Managerに存在するログインの「デフォルト言語」属性の変更内容をリコンサイルする。 | Microsoft SQL ServerおよびSybase |
| Add Role or Grant | リコンシリエーション | Oracle Identity Managerに存在するログインの新規追加ロールをリコンサイルする。 | Oracle DatabaseおよびSybase |
| Add Tablespace | リコンシリエーション | Oracle Identity Managerに存在するログインの新規追加表領域をリコンサイルする。 | IBM DB2 UDB |
| Add Schema | リコンシリエーション | Oracle Identity Managerに存在するログインの新規追加スキーマをリコンサイルする。 | IBM DB2 UDB |
次の表に、ユーザー・データベース・アクセス・エンティティ・タイプに対応するコネクタの機能を示します。
|
注意: 次の機能はMicrosoft SQL ServerおよびSybaseのみでサポートされます。 |
| 機能 | タイプ | 説明 | サポートされるRDBMS |
|---|---|---|---|
| Create User | プロビジョニング | データベースの既存ログインに対応するユーザーを作成する。
この機能を実行するときは、DB名フィールドに必要な値を指定する必要がある。 必要なスキーマはターゲット・システムで定義され有効であることが必要。 次の参照定義に適切な参照コード(有効なスキーマ名に対応)を追加する必要がある。
|
両方 |
| Delete User | プロビジョニング | データベースの既存ログインに対応するプロビジョニング済ユーザーを削除する。
この機能を実行するには、Oracle Identity Managerの「リクエスト」フォームを使用してリクエストの取消し機能を実行する。 |
両方 |
| Disable User | プロビジョニング | データベースの既存ユーザーを無効にする。
この機能によって、指定したユーザーのすべての表へのアクセスを失効させる。 |
Sybase |
| Enable User | プロビジョニング | データベースの無効な既存ユーザーを有効にする。
プロビジョニング済アカウントは、デフォルトでは特定の表のセットのみにアクセスできる。 この機能によって、指定されたデータベースのすべてのシステム定義表とユーザー定義表に対するすべてのタイプのアクセス権限が、アカウントに付与される。 |
Sybase |
| DB Group Updated | プロビジョニング | 「DBグループ」属性の変更に基づいてデータベースのユーザーの構成を更新する。
プロセス・フォームの「ユーザー・グループ」フィールドに入力がない場合は、プロビジョニング済ユーザーはSybaseデータベースのデフォルト・グループ 必要なグループはSybaseデータベースで定義され有効であることが必要。 次の参照定義に適切な参照コード(有効なグループ名に対応)を追加する必要がある。 UD_Lookup.DB_Group: たとえば、
|
Sybase |
| Add Role | プロビジョニング | データベースの既存ユーザーにロールを追加する。
必要なロールはターゲットのMicrosoft SQL Serverデータベースで定義され有効であることが必要。 次の参照定義に適切な参照コード(有効なロール名に対応)を追加する必要がある。 Lookup.DB Role-MSSQL: たとえば、
|
Microsoft SQL Server |
| Revoke Role | プロビジョニング | データベースの既存ユーザーのロールを失効させる。 | Microsoft SQL Server |
| Create User | リコンシリエーション | データベースで作成されるユーザーをリコンサイルする。 | 両方 |
| DB Group Updated | リコンシリエーション | Oracle Identity Managerの既存ユーザーの更新済「DBグループ」属性をリコンサイルする。 | Sybase |
| Add Role | リコンシリエーション | Oracle Identity Managerの既存ログインの新規追加ロールをリコンサイルする。 | Microsoft SQL Server |
コネクタでは、次の言語がサポートされています。
簡体字中国語
繁体字中国語
英語
フランス語
ドイツ語
イタリア語
日本語
韓国語
ポルトガル語(ブラジル)
スペイン語
|
関連資料: サポートされる特殊文字の詳細は、『Oracle Identity Managerグローバリゼーション・ガイド』を参照してください。 |
このコネクタを構成するファイルとディレクトリは、インストール・メディアの次のディレクトリにあります。
Database Servers/Database User Management
これらのファイルとディレクトリを次の表に示します。
| インストール・メディア・ディレクトリのファイル | 説明 |
|---|---|
lib/xliDatabaseAccess.jar |
このファイルには、プロビジョニングとリコンシリエーションの実行に必要なクラス・ファイルが含まれる。 |
resourcesディレクトリにあるファイル |
これらの各リソース・バンドル・ファイルには、コネクタで使用される言語固有の情報が含まれる。特定の言語に対して、各データベース・アクセス・エンティティ(ログインおよびユーザー)に1つ、計2つのリソース・バンドル・ファイルがある。
注意: リソース・バンドルは、Oracle Identity Managerのユーザー・インタフェースで表示されるローカライズ・バージョンのテキスト文字列を含むファイルである。これらのテキスト文字列には、管理およびユーザー・コンソールに表示されるGUI要素のラベルおよびメッセージが含まれる。 |
scripts/procGrantAllToUser.sql |
このファイルには、Enable User機能を実装するストアド・プロシージャのコードが含まれる。 |
scripts/procRevokeAllFromUser.sql |
このファイルには、Disable User機能を実装するストアド・プロシージャのコードが含まれる。 |
test/config/config.properties |
このファイルには、ターゲット・システムに接続し、プロビジョニング操作を実行するためのOracle Identity Managerの属性が含まれる。 |
test/config/log.properties |
このファイルはロギング・メッセージの格納に使用される。 |
test/scripts/DBAccess.bat test/scripts/DBAccess.sh |
このファイルはテスト・ユーティリティの起動に使用される。 |
xml/xliDBAccessLogin_DM Nontrusted.xml |
このXMLファイルには、Database Access(ログイン)のプロビジョニングに関連するコネクタ・コンポーネントの定義が含まれる。コンポーネントは次のとおり。
|
xml/xliDBAccessUser_DM Nontrusted.xml |
このXMLファイルには、Database Access(ユーザー)のプロビジョニングに関連するコネクタ・コンポーネントの定義が含まれる。コンポーネントは次のとおり。
|
xml/xelluserDbAcess Trusted.xml |
このXMLファイルには、Xellerate Userの構成が含まれる。このファイルをインポートする必要があるのは、信頼できるソースのリコンシリエーション・モードでコネクタを使用する場合のみである。 |
|
注意: testディレクトリのファイルは、コネクタでテストを実行するためにのみ使用します。 |
「手順3: コネクタ・ファイルおよび外部コード・ファイルのコピー」で、これらのファイルを必要なディレクトリにコピーする方法を説明します。
次の方法のいずれかを使用して、コネクタのリリース番号を確認できます。
コネクタのリリース番号を確認するには、次のようにします。
xliDatabaseAccess.jarファイルの内容を抽出します。このファイルは、インストール・メディアの次のディレクトリにあります。
Database Servers/Database User Management/lib
テキスト・エディタでmanifest.mfファイルを開きます。manifest.mfファイルは、xliDatabaseAccess.jarファイルにバンドルされているファイルの1つです。
manifest.mfファイルで、コネクタのリリース番号がVersionプロパティの値として表示されます。
|
注意: デプロイ後もxliDatabaseAccess.jarファイルのコピーを保持している場合、いつでもこの方法を使用してコネクタのリリース番号を確認できます。コネクタをデプロイした後は、次の項で説明する「デプロイ後」の方法を使用することをお薦めします。 |
