コネクタをデプロイするには次の手順を実行します。
次の表に、コネクタのデプロイ要件を示します。
項目 | 要件 |
---|---|
Oracle Identity Manager | Oracle Identity Managerリリース8.5.3以上。 |
ターゲット・システム | z/OS 1.4のIBM RACF。 |
ターゲット・システムのホスト・プラットフォーム | z/OS 1.4。 |
外部コード | IBM Host On-Demand(HOD)バージョン9.0から取得するHost Access Class Library(HACL)クラス・ファイルを次に示します。
|
ターゲット・システムのユーザー・アカウント | 「手順4: ターゲット・システムの構成」で、必要な権限を持つIBM RACFユーザー・アカウントを作成する手順を説明しています。
「ITリソースの定義」の項の手順を実行する際に、このユーザー・アカウントの資格証明を指定します。 ユーザー・アカウントに特定の権限が割り当てられていない場合は、Oracle Identity Managerがターゲット・システムとデータを交換しようとすると、「認証に失敗しました」のメッセージが表示されます。 |
コピーするコネクタのファイルと、コピーする必要があるディレクトリを次の表に示します。
注意: この表の1列目のディレクトリ・パスは、インストール・メディアの次に示すZIPファイル内にあるコネクタ・ファイルの場所に対応しています。Security Applications/IBM RACF/IBM RACF Standard これらのファイルの詳細は、「コネクタを構成するファイルおよびディレクトリ」を参照してください。 |
インストール・メディア・ディレクトリのファイル | コピー先ディレクトリ |
---|---|
config ディレクトリにあるファイル |
OIM_home/xellerate/ThirdParty
|
lib/JavaTask/xlUtilHostAccess.jar |
|
lib/ScheduleTask/xlReconRACF.jar |
OIM_home/xellerate/ScheduleTask
|
lib/ext ディレクトリにあるファイル |
OIM_home/xellerate/ThirdParty
|
scripts ディレクトリにあるファイル |
OIM_home/xellerate/XLIntegrations/RACFScripts
|
resources ディレクトリにあるファイル |
OIM_home/xellerate/connectorResources
|
xml ディレクトリにあるファイル |
OIM_home/xlclient
|
注意: Oracle Identity Managerをクラスタ環境にインストールするときは、インストール・ディレクトリの内容をクラスタの各ノードにコピーします。同じく、connectorResources ディレクトリとJARファイルの内容も、クラスタの各ノードの対応するディレクトリにコピーする必要があります。 |
Oracle Identity Managerサーバーの構成には、次の手順があります。
注意: クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。 |
必要な入力ロケール(言語および国の設定)に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。
必要な入力ロケールに変更するため、システム管理者の支援が必要となる場合があります。
「手順2: コネクタ・ファイルのコピー」の項で説明されている手順を実行する際には、インストール・メディアのresources
ディレクトリにあるファイルを、OIM_home
/xellerate/connectorResources
ディレクトリにコピーします。connectorResources
ディレクトリ内に新しいリソース・バンドルを追加したり、既存のリソース・バンドルに変更を加えた場合は、コネクタ・リソース・バンドルに関連するコンテンツをその都度サーバー・キャッシュから消去する必要があります。
コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去するには、次のようにします。
コマンド・ウィンドウで、OIM_home
/xellerate/bin
ディレクトリに移動します。
注意: ステップ1を実行してからステップ2を実行してください。ステップ2で次のようにコマンドを実行すると、例外がスローされます。OIM_home/xellerate/bin/batch_file_name |
次のいずれかのコマンドを入力します。
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
注意: ステップ2の実行時にスローされる例外は無視できます。 |
このコマンドのConnectorResourceBundle
は、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。
OIM_home/xellerate/config/xlConfig.xml
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ALL
このレベルでは、すべてのイベントのロギングが有効化されます。
DEBUG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を大まかに示す情報メッセージのロギングが有効化されます。
WARN
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
ERROR
このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。
FATAL
このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。
OFF
このレベルでは、すべてのイベントのロギングが無効化されます。
ログ・レベルを設定するファイルは、使用するアプリケーション・サーバーによって異なります。
BEA WebLogic
ロギングを有効にするには、次のようにします。
OIM_home
/xellerate/config/log.properties
ファイルに次の行を追加します。
log4j.logger.Adapter.RACFAdapterLogger=log_level
この行で、log_level
を、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.Adapter.RACFAdapterLogger=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WebLogic_home/user_projects/domains/domain_name/server_name/server_name.log
IBM WebSphere
ロギングを有効にするには、次のようにします。
OIM_home
/xellerate/config/log.properties
ファイルに次の行を追加します。
log4j.logger.Adapter.RACFAdapterLogger=log_level
この行で、log_level
を、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.Adapter.RACFAdapterLogger=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WebSphere_home/AppServer/logs/server_name/startServer.log
JBoss Application Server
ロギングを有効にするには、次のようにします。
JBoss_home
/server/default/conf/log4j.xml
ファイルで、次の行を検索します。
<category name="Adapter.RACFAdapterLogger">
<priority value="log_level"/>
</category>
XMLコードの2行目で、log_level
を、設定するログ・レベルに置換します。次に例を示します。
<category name="Adapter.RACFAdapterLogger"> <priority value="INFO"/> </category>
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
JBoss_home/server/default/log/server.log
OC4J
ロギングを有効にするには、次のようにします。
OIM_home
/xellerate/config/log.properties
ファイルに次の行を追加します。
log4j.logger.Adapter.RACFAdapterLogger=log_level
この行で、log_level
を、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.Adapter.RACFAdapterLogger=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
OC4J_home/opmn/logs/default_group~home~default_group~1.log
ターゲット・システムを構成するには、次のようにします。
TCP/IPプロファイル・ファイルに指定したTelnetおよびSSLポート番号を記録します。「ITリソースの定義」の手順を実行する際に、ITリソース定義の一部としてこれらのポート番号の指定が必要です。
FTPを使用し、メンバー(スクリプト)をOIM_home
/xellerate/XLIntegrations/RACFScripts
ディレクトリから、レコード長80およびレコード形式固定ブロック
のパーティション化したデータセットにアップロードします。
次のファイルを、レコード長80およびレコード形式固定ブロック
でフラット・ファイルまたは順次データセット(PS)ファイルとしてアップロードします。
OIM_home/xellerate/XLIntegrations/RACFScripts/SYSTMDAT
SYSTMDAT
ファイルに次の情報を指定する必要があります。
IBM RACFデータベース・データセットの名前
バックグラウンド・ジョブの一部を構成するジョブ・ヘッダー
ジョブ・ヘッダーが、次の形式のNOTIFY
パラメータを含んでいることを確認します。
NOTIFY=&SYSUID
IBM RACFサーバーのパーティション化したデータセットにアップロードするRACFスクリプト(この手順のステップ2を参照)を含むRACFソース・データセットの名前
リージョン・サイズおよび動的なリソース割当て値
コネクタが作成および削除できる10個の一時PSファイルの名前
Special
属性が割り当てられた既存のユーザー・アカウントを使用して、TSOアクセスを介してIBMメインフレーム・サーバーにユーザーを作成します。
ユーザーにSpecial
属性を指定します。
メインフレーム・ユーザーの作成に使用するユーザー・アカウントを使用して、IBMメインフレーム・サーバーのTSOにログオンします。
READY
プロンプトに次のコマンドを入力します。
Altuser NewUserIDCreated Special
READYプロンプトに次のRACFコマンドを入力し、メインフレーム・ユーザーにRACFスクリプトを格納するディレクトリのALTER権限を指定します。
ADDSD RACF_Source UACC(NONE) PERMIT RACF_Source ACCESS(ALTER) ID(new_mainframe_userid) SETROPTS GENERIC(DATASET) REFRESH
次のようにして、メインフレーム・ユーザーのMsgid
をON
に設定します。
作成するメインフレーム・ユーザー・アカウントを使用して、IBMメインフレーム・サーバーのTSOにログオンします。
READYプロンプトに次のコマンドを入力します。
profile msgid
外部コード・ファイルをコピーする手順には次のステップがあります。
WellKnownTrustedCAs.class
およびWellKnownTrusted.p12
ファイルを含むJARファイルを作成します。HODが<../IBM>ディレクトリにインストールされていることを前提とすると、これらのファイルはHODインストールの一部として次のディレクトリにあります。
<IBM/HostOnDemand/HOD>
ステップ1で作成したJARファイルと、HODインストール・ディレクトリ(<.IBM/HostOnDemand/HOD
>)にある外部JARファイル(hoddbg2.jar、
hacp.jar、
habasen2.jar
およびhasslite2.jar
)をOracle Identity Managerインストールの次のディレクトリにコピーします。
OIM_home/xellerate/ThirdParty
ターゲットの構成に基づいて変更(必要な場合)を行った後で、InitialLoginSequence.txt、
LogOutSequence.txt、
およびInputFields.txt
ファイルを次のディレクトリにコピーします。
OIM_home/xellerate/ThirdParty
コネクタのXMLファイルをOracle Identity Managerにインポートするには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。 A dialog box for opening files is displayed.
OIM_home
/xlclient
ディレクトリにあるRACFnonTrusted.xml
ファイルを検索して開きます。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「次へ」をクリックします。RACF Server
ITリソースの「ITリソース・インスタンス・データの提供」ページが表示されます。
RACF Server
ITリソースのパラメータの値を指定します。指定する値の詳細は、「ITリソースの定義」を参照してください。
「次へ」をクリックします。RACF Server
ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
「スキップ」をクリックして、他のITリソースを定義しないことを指定します。「確認」ページが表示されます。
関連資料: その他のITリソースを定義する場合、手順は『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
「選択内容の表示」をクリックします。
XMLファイルの内容が「インポート」ページに表示されます。ノードの横に十字形のアイコンが表示されることがあります。これらのノードは、冗長なOracle Identity Managerエンティティを示しています。コネクタのXMLファイルをインポートする前に、各ノードを右クリックして「削除」を選択し、これらのエンティティを削除する必要があります。
「インポート」をクリックします。コネクタのXMLファイルがOracle Identity Managerにインポートされます。
コネクタのXMLファイルをインポートしたら、「手順7: SSLの構成」に進みます。
RACF Server
ITリソース・パラメータには、次の表に示す値を指定してください。
パラメータ | パラメータの説明 |
---|---|
Admin |
IBM RACFサーバーの管理者ID |
AdminCredential |
管理者IDアカウントのパスワード |
Application |
管理ユーザーがログインするTSO値
サンプル値: |
Host |
メインフレーム・システムのIPアドレスまたはコンピュータ名 |
Port |
サーバーがリスニングするポート番号 |
LoginMacro |
IBMメインフレーム・サーバーのREADY プロンプトに到達するために使用するファイルの名前およびディレクトリ・パス
値:
OIM_home/xellerate/ThirdParty/InitialLoginSequence.txt
|
AutoRetry |
AutoRetry機能
値は |
AmountRetry |
AutoRetry機能の再試行回数
サンプル値: |
WaitTime |
連続した再試行間の待機時間
サンプル値: |
IsSecure |
Oracle Identity ManagerおよびIBM RACF間の接続をSSLを使用して保護する必要があるかどうかを指定
値は 注意: SSLを有効化してターゲット・システムとの通信を保護することをお薦めします。 |
LogoutMacro |
IBMメインフレーム・サーバーのREADY プロンプトを終了するために使用するファイルの名前およびディレクトリ・パス
値:
OIM_home/xellerate/ThirdParty/LogOutSequence.txt
|
IsDebug |
デバッグを実行する必要があるかどうかを指定
値は |
これらのITリソース・パラメータの値を指定したら、この手順のステップ9に進んで、コネクタのXMLファイルをインポートします。
注意: これはデプロイのオプションの手順です。 |
CustomizedCAs.p12
ファイルはSSL接続の確立に使用するサーバー証明書のコンテナです。このファイルは、CustomizedCAs.jar
ファイル内に圧縮されています。CustomizedCAs.p12
ファイルのパスワードはhod
です。IBMメインフレーム・サーバーにVerisignまたはThawte以外のCAが署名した証明書がある場合は、そのCAのroot証明書をCustomizedCAs.p12
ファイルに追加して、SSL接続を確立する必要があります。
証明書は、PKCS12
形式のファイルをサポートする鍵管理ユーティリティーを使用してCustomizedCAs.p12
ファイルに追加できます。証明書の追加に使用できるツールの1つにGSKkit7.0
があります。このツールは、IBM Host On-demand Serverバージョン9.0に含まれます。
Oracle Identity ManagerとIBMメインフレーム・サーバー間のSSL接続を設定するには、次のようにします。
ITリソースのIsSecure
パラメータをYES
に指定します。
ターゲット・システムを構成して、SSL接続に必要なポートを有効にします。
証明書がThawteまたはその他の有名なCAによって発行されている場合は、WellKnownTrustedCertificatesCAs.jar
ファイルを次のディレクトリにコピーします。
OIM_home/xellerate/lib/ThirdParty
CustomizedCAs.p12
ファイルに証明書をインポートするには、次のようにします。
CustomizedCAs.jar
ファイルの内容を抽出します。このファイルは次のディレクトリにあります。
OIM_home/xellerate/lib/ThirdParty
CustomizedCAs.p12
ファイルにSSL証明書を追加します。
更新したCustomizedCAs.p12
およびCustomizedCAs.class
ファイルでCustomizedCAs.jar
ファイルを作成します。
更新したJARファイルを次のディレクトリにコピーします。
OIM_home/Xellerate/ThirdParty