このリリースのコネクタに関連する既知の問題は、次のとおりです。
Microsoft Active Directoryユーザーを、異なるMicrosoft Windows Server(2000または2003)ドメイン・コントローラの間で移行できます。ただし、異なるドメイン間でユーザーを移動する場合は、組織を変更しないでください。
ユーザー・ログインに使用するXellerateユーザー・リコンシリエーション・フィールド・フォームで定義されるフィールド名はsAMAccountName
で、これはMicrosoft Active Directoryのエントリと合致している必要があります。
Microsoft Windows 2003にインストールしたMicrosoft Active DirectoryでOracle Identity Managerユーザーをプロビジョニングしたときに、ユーザー・アカウントに対してパスワードの複雑性が設定されていると、問題が発生する場合があります。この場合、Oracle Identity Managerからプロビジョニングされるユーザー・アカウントのパスワードは、Microsoft Active Directoryで設定されたパスワード・ポリシーに従う必要があります。
Microsoft Active Directoryでは、パスワード・ポリシーがパスワードの複雑性ルールで制御されます。パスワードの変更または作成時に複雑性の要件が適用されます。
関連資料: パスワード・ガイドラインの詳細は、Microsoft TechNet Webサイトの次のページを参照してください。 |
Microsoft Windows 2003を使用したMicrosoft Active Directoryで、Oracle Identity Managerユーザーをプロビジョニングすると、問題が発生する場合があります。「パスワードの有効期限なし」を選択するか、「アカウント有効期限」フィールドで有効な日付を指定してください。これを実行しないと、ユーザーは作成した直後に無効になります。
リコンシリエーション中に、実際のMicrosoft Active Directoryユーザー・パスワードはリコンサイルされません。そのかわり、プロセス・フォームの「ユーザー・パスワード」フィールドにダミー値が挿入されます。
Oracle Identity ManagerとMicrosoft Active Directoryの間でパスワードを同期する場合は、Microsoft Active Directoryのパスワード同期モジュールをインストールして使用できます。
関連資料: 『Oracle Identity Manager Password Synchronization Module for Microsoft Active Directoryインストレーションおよび構成ガイド』 |
Create User機能は制限されています。ユーザー定義プロセス・フォームの「ユーザーは次のログオン時にパスワードを変更する必要があります」チェック・ボックスが選択されている場合、この機能を実行しても該当する変更がMicrosoft Active Directoryに反映されません。
Microsoft Active Directoryにユーザーが作成され、Create User機能が正常に実行されると、ターゲット・システムの同じチェック・ボックスの選択は解除されたままになります。
次の手順を実行し、この設定をMicrosoft Active Directoryユーザーに正しく構成してください。
ユーザー定義プロセス・フォームのデフォルト設定を使用して、Create User機能を実行します。
Microsoft Active Directoryユーザーをプロセス・フォームで作成してから、「ユーザーは次のログオン時にパスワードを変更する必要があります」チェック・ボックスを選択し、「保存」をクリックします。これにより関連する更新タスクが起動し、設定がMicrosoft Active Directoryに正しく構成されます。
Use SSL
ITリソース・パラメータをfalse
に設定するとします。Oracle Identity Managerを介してMicrosoft Active Directoryユーザーをプロビジョニングする場合、Oracle Identity Managerを使用してパスワードを更新できません。Microsoft Active Directoryに既存のパスワード・ポリシーがあり、通信がSSLで保護されていない場合は、パスワード・ポリシーを無効にしてください。
この制限を解決するために実行する必要のある手順の詳細は、「Microsoft Active Directoryでのパスワード・ポリシーの有効化または無効化」を参照してください。
この制限については、「トラブルシューティング」でも説明しています。
ADユーザーまたはADグループのプロビジョニングで、組織が選択されていない場合は、ユーザーまたはグループが静的コンテナCN=Users
に作成されます。
オペレーティング環境にMicrosoft Active Directoryインストールが含まれ、Microsoft Active Directoryインストールと同じサーバーにMicrosoft Exchangeもインストールされているとします。Microsoft Active Directoryでのリコンシリエーションによりバイナリ値を含むユーザー・フィールドが処理される場合、リコンシリエーション・レコードがOracle Identity Managerに渡される前にこれらのフィールドを抑止する必要があります。Oracle Identity Managerではバイナリ値を含むフィールドを処理できないためです。
バイナリ値を含むフィールドの例を次に示します。
msExchMailboxSecurityDescriptor
msExchMailboxGuid
showInAddressBook
msExchPoliciesIncluded
textEncodedORAddress
proxyAddresses
このようなフィールドを抑止するためにLookup.ADReconciliation.FieldMap
フィールド・マップを使用する方法の詳細は、「リコンシリエーション用のカスタム属性の追加」を参照してください。
値true
を持つMaintainHeirarchy
オプションにより、Microsoft Active Directoryの組織単位がリコンサイルされます。親属性がou
のルート・コンテキストで、このオプションを使用してください。つまり、ルート・コンテキストのDNはou=
で開始される必要があります。dc=
のような要素で開始されるルート・コンテキストに対して、MaintainHeirarchy
オプションは要求どおりに動作しません。
Move User機能を使用する前に、次の前提条件を満たしていることを確認してください。
ユーザーを移動する移動先組織は、ターゲットMicrosoft Active Directoryと同じ階層構造をOracle Identity Manager内に持っている必要があります。たとえば、ユーザーの移動先組織がou=AcmeWidgets, ou=Integrations
の場合、Oracle Identity ManagerのIntegrations
組織内に、AcmeWidgets
組織がある必要があります。
次に、Oracle Identity Managerのユーザー・フォームではなくADのプロセス・フォームで組織名を更新します。
アジア言語の中には、マルチバイト・キャラクタ・セットを使用するものがあります。ターゲット・システムのフィールドの文字数制限がバイト単位で指定されている場合、特定のフィールドに入力できるアジア言語の文字数は、同じフィールドに入力可能な英語言語の文字数より少なくなります。次の例でこの制限について説明します。
ターゲット・システムの「User Last Name」フィールドに英語50文字を入力できるとします。使用しているのが日本語で、ターゲット・システムのそのフィールドの文字数制限がバイト単位で指定されている場合、そのフィールドに入力できるのは25文字までです。
このコネクタでは、英語以外の文字を含むセキュリティ証明書の使用はサポートされていません。
Microsoft Active Directoryでユーザー・アカウントを直接作成するとき、「First Name」や「Last Name」といった一部のユーザー・フィールドには値を指定する必要がありません。ただし、Microsoft Active DirectoryのユーザーをOracle Identity Managerでプロビジョニングする際に、ADユーザーのフォーム(ユーザー・プロセス・フォーム)の「ユーザーID」、「名」、「姓」および「完全名」のフィールドに値を入力する必要があります。
また、事前移入済の値を変更する場合は、「完全名」フィールドの値は、「名」、「ミドル・ネーム」、「姓」のフィールドの値を空白で区切ったものにする必要があります。書式は次のようになります。
First_Name Middle_Name Last_Name
Microsoft Active Directoryのユーザーに「名」フィールドまたは「姓」フィールドの値が割り当てられていない場合、リコンシリエーションの際に、Oracle Identity Managerのこれらのフィールドが「完全名」フィールドの値で更新されます。Microsoft Active Directoryの「Full Name」フィールドは必須フィールドであるため、このようになります。
Service Pack 1がインストールされていないMicrosoft Windows 2003サーバーでは、パスワード変更操作の際にWILL_NOT_PERFORMエラー・メッセージが発生することがあります。このエラーの原因や解決方法は、次に示すMicrosoft Knowledge Base Webサイトを参照してください。
Microsoft Active DirectoryではOracle Identity Managerを使用して組織をプロビジョニングできます。ただし、この組織の名前はOracle Identity Managerでは変更できません。
日本語のユーザーをプロビジョニングするとき、名は姓よりも先に示されます。姓が名より先に示されることはありません。
Microsoft Active Directoryでは、ユーザーIDフィールドの文字数が20文字以内に制限されています。このため、ユーザーをOracle Identity Managerでプロビジョニングする際に、20文字を超えるユーザーIDを入力すると、Microsoft Active Directorで作成されるユーザーIDは最初の20文字に切り捨てられます。
Microsoft Active Directory内のユーザーのグループ・メンバーシップを変更(グループへの割当てまたはグループからの割当て解除)した場合、グループ・メンバーシップのその変更点は、次回のリコンシリエーション実行時にはOracle Identity Managerにリコンサイルされません。これは、リコンシリエーション・スケジュール済タスクではグループ・メンバーシップの変更を検出できないためです。この既知の問題は、Oracle Identity Managerの今後のリリースで対応がとられる予定です。