B ADSIに対する構成

アイデンティティ・システムとアクセス・システムの両方に、Active Directory Services Interface（ADSI）クライアント・アプリケーションのサポートが用意されています。この章では、Oracle Access ManagerをActive DirectoryフォレストおよびActive Directory Services Interface（ADSI）とともに実行しているときの要件および手順をまとめます。

この付録には次の項があります。

追加情報と手順は、『Oracle Access Managerインストレーション・ガイド』を参照してください。

Oracle Access ManagerでのADSIについて

Active Directoryは、Windows® 2000およびWindows Server 2003ドメイン・コントローラ上で稼働します。ADSIを使用しているクライアント・アプリケーションを作成し、他のWindowsプラットフォームで実行できます。

ADSIは、Active Directoryとの緊密な統合を可能にするCOMインタフェースのセットです。たとえば、ADSIには次の機能があります。

複数のベンダーの異なるディレクトリ・サービスの機能を抽象化して、ネットワーク・リソースを管理するための単一のインタフェースを提示します。
どのネットワーク環境にリソースが含まれているかにかかわらず、管理者および開発者がディレクトリ・サービス内のリソースを管理できるようにします。
管理者が、ユーザーとグループの追加、プリンタの管理、ネットワーク・リソースに対する権限の設定などの一般的なタスクを自動化できるようにします。

重要
ADSIを有効にすると、Oracle Access Managerは、Active Directoryの暗黙的なフェイルオーバーおよびパスワード変更機能を利用できます。

ADSIを使用すると、Oracle Access Managerコンポーネントは、Active Directoryデータにアクセスするために特定のホストおよびポートにバインドする必要がありません。かわりに、ADSIにより、Oracle Access Managerコンポーネントは最も近くにある使用可能ドメイン・コントローラに接続して、任意のユーザー、グループまたはOracle Access Manager構成情報にアクセスできます。

『Oracle Access Managerインストレーション・ガイド』で説明しているように、ADSIの資格証明を使用してフォレスト全体にバインドできます。フォレストには、複数のActive Directoryホストを含めることができます。ユーザー・データおよび構成データが異なるフォレストの異なるActive Directoryホストに格納されている場合は、ADSIを使用してこれらのデータに同時にアクセスすることはできません。

ADSIは、フォレスト内の異なるドメインに対して特定のホストおよびポート番号を必要としません。ADSIは、次のようなLDAP URLを使用してActive Directoryホストに接続します。

LDAP://domain.oblix.com/ou=oblix,dc=domain,dc=oblix,dc=com

インストール時のADSIの有効化の詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。

推奨

Active Directoryは、ツリー構造全体をレプリケートします。レプリケーションが遅延する可能性があるため、Oracle構成データを含むディレクトリ・ツリーはレプリケートしないことをお薦めします。構成データに対する変更は、即時に使用可能にならない場合があります。たとえば、ポリシー・マネージャでユーザーのアクセス権限に対して行った変更は、別のドメイン・コントローラと対話しているアクセス・サーバーから使用できない場合があります。

Oblixツリーをレプリケートする必要がある場合は、Active Directory上のドメイン・コントローラ間のレプリケーション頻度を変更します。

アイデンティティ・システムのADSI構成

Oracle Access Managerは、認証オプションおよびバインド・オプションの選択に関連するADSIおよびLDAPの柔軟な組合せをサポートします。

注意
SSLは、ADSIとOracle Access Managerでは不要です。ただし、業務上の他の理由でSSLが必要になる場合があります。たとえば、ディレクトリ・バインドはクリア・テキストであり、SSLは自動的には提供されません。

この項の内容は次のとおりです。

ADSI認証を行う純粋なADSI

純粋なADSI設定では、Active Directoryツリー内のプライマリ・ドメイン・コントローラに対するアイデンティティ・システムの設定時に単一のADSIデータベース・エージェントが作成されます。各子ドメインに対してエージェントを追加する必要があります。

さらに、ドメイン・ツリーの不連続フォレストがある場合は、図B-1に示すように、プライマリ・ドメイン・コントローラごとに別々のADSIデータベース・エージェントを関連付ける必要があります。

図B-1 ADSIでの不連続フォレスト

複数のディレクトリ・プロファイルおよびDBエージェントの詳細は、「ディレクトリ・サーバー・プロファイルの管理」を参照してください。

LDAP認証を行う混在ADSI

ADSI認証は、LDAPよりも低速な場合があります。このため、読取り、書込み、検索などの他の操作がADSIで処理される場合に、認証にLDAPを使用することが必要な場合があります。ADSIエージェントは、すべてのドメインと関連付ける必要があります。

ADSIエージェントをすべてのドメインと関連付ける手順

アイデンティティ・システム・コンソールの「ディレクトリ・サーバー・プロファイルの作成」ページにある「Microsoft Active Directory(ADSIを使用)」の横の「認証にLDAPを使用」チェック・ボックスを選択します。
複数のディレクトリ・プロファイルおよびDBエージェントの詳細は、「ディレクトリ・サーバー・プロファイルの管理」を参照してください。

必要に応じて繰り返します。

注意
このリリースでは、Global Catalogは不要です。

詳細は、「アクセス・サーバーのバインド・メカニズム」および「Oracle Access Manager ADSI構成ファイル」を参照してください。

アイデンティティ・サーバーのバインド・メカニズム

ADSIは、Active Directoryにバインドする複数の方法をアイデンティティ・サーバーに提供します。ある特定の方法に有利な点はありません。利点は、使用する資格証明に依存します。次に例を示します。

暗黙的: 現在のプロセスの資格証明を使用します。これはアイデンティティ・サーバーに対するデフォルトです。

これは、アイデンティティ・サーバーのサービス・ログオン資格証明に対応します。暗黙的バインドの場合、adsi_params.xmlファイル内のuseImplicitBindフラグは0に設定する必要があります。詳細は、「Oracle Access Manager ADSI構成ファイル」を参照してください。

注意
Active Directoryにバインドするにはアイデンティティ・サーバーのアカウントを作成する必要があります。

アイデンティティ・サーバーがActive Directoryにバインドできるようにするためのアカウントは、アイデンティティ・サーバーの設定時に指定したルートDNと等価である必要があります。これには、Oracle Access Managerを使用して実行する操作の管理権限がすべて必要です。Active Directoryフォレストでは、フォレスト内の他のすべてのドメインの制御をこのユーザーに委任する必要があります。
ユーザーのDNを使用して明示的: adsi_params.xmlファイル内のuseImplicitBindフラグを1に設定する必要があります。adsi_params.xmlファイルにあるadsiCredentialパラメータでユーザーDNを指定する必要があります。詳細は、「Oracle Access Manager ADSI構成ファイル」を参照してください。
userPrincipleNameを使用して明示的: adsi_params.xmlファイル内のuseImplicitBindフラグを2に設定する必要があります。adsi_params.xmlファイル内のadsiUPNパラメータでUPNを指定する必要があります。詳細は、「Oracle Access Manager ADSI構成ファイル」を参照してください。

Oracle Access Manager ADSI構成ファイル

ADSI構成パラメータは、次の2つのファイルでメンテナンスされます。

¥IdentityServer_install_dir¥identity¥oblix¥apps¥common¥bin¥globalparams.xml 
¥IdentityServer_install_dir¥identity¥oblix¥config¥adsi_params.xml

IdentityServer_install_dirは、アイデンティティ・サーバーをインストールしたディレクトリです。

globalparamsについて

この項では、サンプルのglobalparams.xmlファイルと、パラメータ値の表を示します。

¥IdentityServer_install_dir¥identity¥oblix¥apps¥common¥bin¥ globalparams.xmlのインストール・プログラムは、デフォルトのディレクトリ・プロファイルに対してADSIを有効にする場合に、adsiEnableパラメータを作成してその値をtrueに設定します。このパラメータは、Oracle構成データを格納するシステム・レベルのディレクトリ・プロファイルを参照します。

注意
パラメータを変更した後は、アイデンティティ・サーバーを再起動する必要があります。ただし、ADSIEnabledパラメータ値は変更しないでください。

<SimpleList> 
<NameValPair ParamName="ActiveDirectory" Value="true" /> 
</SimpleList> 
<SimpleList> 
<NameValPair ParamName="ADSIEnabled" Value="true" /> 
</SimpleList>

表B-1 globalparamsファイルのパラメータと値

globalparamsのパラメータ	値
ActiveDirectory	true \| false マスター管理者がアイデンティティ・サーバーの構成時にディレクトリ・サーバー・タイプとしてActive Directoryを選択した場合はtrueです。
ADSIEnabled	true \| false マスター管理者がアイデンティティ・サーバーの構成時にADSIを有効にした場合はtrueです。

globalparamsのパラメータ

値

ActiveDirectory

true | false

マスター管理者がアイデンティティ・サーバーの構成時にディレクトリ・サーバー・タイプとしてActive Directoryを選択した場合はtrueです。

ADSIEnabled

true | false

マスター管理者がアイデンティティ・サーバーの構成時にADSIを有効にした場合はtrueです。

adsi_paramsについて

この項では、サンプルのadsi_params.xmlファイルと、パラメータ値の表を示します。デフォルトでは、次の例に示すように、adsi_params.xmlにはadsiCredentialパラメータの値とパスワードが含まれます。これにより、初期設定後にバインド・メカニズムを「明示的」に変更できます。

adsiPasswordは暗号化され、設定時にOracle Access Managerでのみ生成できます。次に、このファイルの例を示します。

<?xml version="1.0" ?>
 - <ParamsCtlg xmlns="http://www.oblix.com" CtlgName="adsi_params">
  - <CompoundList ListName="adsi_params">
    - <ValNameList ListName="adsi_params">
      <NameValPair ParamName="sizeLimit" Value="0" />
      <NameValPair ParamName="timeLimit" Value="0" />
      <NameValPair ParamName="pagesize" Value="100" />
      <NameValPair ParamName="useImplicitBind" Value="0" />
      <NameValPair ParamName="adsiCredential"
Value="cn=Administrator,cn=users,dc=goodwill,dc=oblix,dc=com" />
      <NameValPair ParamName="adsiPassword" Value="0243455B5B5F5C4C5651595D41" />
      <NameValPair ParamName="useGCForAuthn" Value="false" />
      <NameValPair ParamName="encryption" Value="false" />
      <NameValPair ParamName="asynchronousSearch" Value="true" />
      <NameValPair ParamName="useDNSPrefixedLDAPPaths" Value="false" />
      </ValNameList>
    </CompoundList>
..</ParamsCtlg>

デフォルトでは、暗号化はadsi_params.xmlでfalseに設定されます。オープン・モードで実行しているときにこれをtrueに設定し、アイデンティティ・サーバーを再起動すると、アイデンティティ・サーバーが動作しなくなります。

注意
パラメータを変更した後は、アイデンティティ・サーバーを再起動する必要があります。

表B-2に、adsi_paramsファイル内のパラメータと値を説明します。

表B-2 adsi_paramsファイルのパラメータと値

adsi_paramsのパラメータ	値
sizeLimit	認証に対して返される問合せ結果の数を制限する整数値。
timeLimit	問合せがタイムアウトになるまでの秒数を制限する整数値。
pageSize	ADSIがサーバーにリクエストする結果のページ・サイズ。
useImplicitBind	0 = 暗黙的な資格証明 1 = 明示的な資格証明 2 = userPrincipalNameを使用
adsiCredential	cn=Administrator,cn=users,dc=myhost,dc=mydomain,dc=comなど、ユーザーのLDAP指定。
adsiPassword	LDAPユーザーのパスワードを表すエンコードされたテキスト文字列。
useGCForAuthn	true/false
aynchronousSearch	true/false デフォルトでは、ADSIは非同期検索を実行できます。falseに設定されている場合は、同期検索を実行します。
adsiUPN	このパラメータは、useImplicitBindが2に設定されている場合に追加する必要があります。パラメータの値は、ユーザーのUPN（userPrincipalName）にする必要があります。
chaseReferral	このフラグをfalseに設定すると、LDAP参照がオフになります。

アクセス・システムのADSI構成

アイデンティティ・システムと同様に、アクセス・システムでは、ADSIと、LDAP認証を行うADSIの両方がサポートされます。

アクセス・システムでは、複数のActive Directoryドメインもサポートされ、Oracle Access Managerの設定時に作成したデフォルトのディレクトリ・プロファイルに対してADSIを有効にする手順を実行する必要があります。

この項の内容は次のとおりです。

ADSI認証を行う純粋なADSI

アクセス・サーバーは、ADSIを使用してActive Directoryを認証します。これは、これらのコンポーネントでADSIを有効にする場合のデフォルトです。

ポリシー・マネージャは、アイデンティティ・サーバーと同じ認証モードを使用します。それでも、ポリシー・マネージャに対してADSIを有効にする必要があります。

詳細は、「アクセス・システムに対するADSIの構成」を参照してください。
アクセス・サーバーは、フォレスト内のすべてのディレクトリ・サーバーと直接通信でき、LDAP認証にGlobal Catalogは不要です。

ADSIのインストールおよび設定の考慮事項のリストは、『Oracle Access Managerインストレーション・ガイド』のActive Directoryでのインストールに関する付録を参照してください。

認証メカニズム

ユーザーがActive Directoryに対して認証される場合、メカニズムはドメイン・コントローラであり、ADSIでの認証にそれぞれのドメイン・コントローラを使用します。

詳細は、「アクセス・システムADSI構成ファイル」を参照してください。

アクセス・サーバーのバインド・メカニズム

ADSIは、Active Directoryにバインドする複数の方法をアクセス・サーバーおよびポリシー・マネージャに提供します。ある特定の方法に有利な点はありません。利点は、使用する資格証明に依存します。

暗黙的: 現在のプロセスの資格証明を使用します（アクセス・サーバーに対するデフォルト）。

これは、アクセス・サーバーのサービス・ログオン資格証明に対応します。暗黙的バインドの場合、adsi_params.xmlファイル内のuseImplicitBindフラグは0に設定する必要があります。詳細は、「アクセス・システムADSI構成ファイル」を参照してください。

注意
Active DirectoryにバインドするにはAccess Serviceのアカウントを作成する必要があります。このアカウントは、アクセス・サーバーの設定時に指定するルートDNと等価である必要がります。これには、Oracle Access Managerを使用して実行する操作の管理権限がすべて必要です。Active Directoryフォレストでは、フォレスト内の他のすべてのドメインの制御をこのユーザーに委任する必要があります。

ユーザーのDNを使用して明示的: adsi_params.xmlファイル内のuseImplicitBindフラグを1に設定する必要があります。

ユーザーDNは、adsi_params.xmlファイルにあるadsiCredentialパラメータで指定する必要があります。詳細は、「アクセス・システムADSI構成ファイル」を参照してください。

userPrincipleNameを使用して明示的: adsi_params.xmlファイル内のuseImplicitBindフラグを2に設定する必要があります。

UPNは、adsi_params.xmlファイル内のadsiUPNパラメータで指定する必要があります。詳細は、「アクセス・システムADSI構成ファイル」を参照してください。

マルチドメインActive Directoryフォレストでは、サポートされる明示的バインド・メカニズムはuserPrincipleNameのみです。ポリシー・マネージャはこのメカニズムのみサポートします。

アクセス・システムADSI構成ファイル

ポリシー・マネージャとアクセス・サーバーの両方に、ADSI関連のパラメータを変更するための2つの構成ファイルがあります。ファイルは異なる場所でメンテナンスでき、コンポーネントごとに別々に変更する必要がありますが、それらのコンテンツは同じです。ポリシー・マネージャおよびアクセス・サーバーの構成ファイルは次のとおりです。

¥PolicyManager_install_dir¥access¥oblix¥apps¥common¥bin¥globalparams.xml 
¥PolicyManager_install_dir¥access¥oblix¥config¥adsi_params.xml

¥AccessServer_install_dir¥access¥oblix¥apps¥common¥bin¥globalparams.xml 
¥AccessServer_install_dir¥access¥oblix¥config¥adsi_params.xml

これらのファイルについて、次の各項で説明します。

ポリシー・マネージャADSI構成

この項では、サンプルのglobal-parameters構成ファイルと、パラメータ値の表を示します。

注意
ポリシー・マネージャとアクセス・サーバーをインストールする際に、ADSIオプションを選択しないと、globalparams.xmlにADSIEnabledパラメータがありません。一方、ADSIEnabledがないとuseLDAPBindパラメータは何も目的を果しませんが、このパラメータは存在します。

BEGIN:vCompoundList
...
useLDAPBind:false
ADSIEnabled:true
ActiveDirectory:true
END:vCompoundList

パラメータとその値について、表B-3で説明します。

表B-3 globalparamsファイルのパラメータと値

globalparamsのパラメータ	値
useLDAPBind	true \| false マスター管理者がポリシー・マネージャの構成時に「Microsoft Active Directory（LDAPを使用）」を選択した場合はtrueです。このフラグを有効にするには、ADSIEnabledフラグがtrueである必要があります。デフォルトはfalseです。
ADSIEnabled	true \| false マスター管理者がポリシー・マネージャの構成時にADSIを有効にした場合はtrueです。
ActiveDirectory	true \| false マスター管理者がポリシー・マネージャの構成時にディレクトリ・サーバー・タイプとしてActive Directoryを選択した場合はtrueです。

globalparamsのパラメータ

値

useLDAPBind

true | false

マスター管理者がポリシー・マネージャの構成時に「Microsoft Active Directory（LDAPを使用）」を選択した場合はtrueです。このフラグを有効にするには、ADSIEnabledフラグがtrueである必要があります。デフォルトはfalseです。

ADSIEnabled

true | false

マスター管理者がポリシー・マネージャの構成時にADSIを有効にした場合はtrueです。

ActiveDirectory

true | false

マスター管理者がポリシー・マネージャの構成時にディレクトリ・サーバー・タイプとしてActive Directoryを選択した場合はtrueです。

アクセス・サーバーのADSI構成

この項では、サンプルのadsiパラメータ構成ファイルと、パラメータ値を示す表B-4を示します。

表B-4 adsi_paramsファイルのパラメータと値

adsi_paramsのパラメータ	値
sizeLimit	認証に対して返される問合せ結果の数を制限する整数値。
timeLimit	問合せがタイムアウトになるまでの秒数を制限する整数値。
pageSize	ADSIがサーバーにリクエストする結果のページ・サイズ。デフォルトは0です。
useImplicitBind	0 = 暗黙的な資格証明 1 = 明示的な資格証明 2 = UserPrincipalNameを使用
adsiCredential	cn=Administrator,cn=users,dc=myhost,dc=mydomain,dc=comなど、ユーザーのLDAP指定。
adsiPassword	LDAPユーザーのパスワードを表すエンコードされたテキスト文字列。
adsiUPN	ImplicitBind=2を使用する場合のUserPrincipalNameのテキスト文字列です。UPN文字列は、通常はuser@company.comの形式の電子メール・アドレスです。
useGCForAuthn	True/False useGCForAuthenticationパラメータをfalseに変更します。
asynchronousSearch	True/False デフォルトでは、ADSIは非同期検索を実行できます。falseに設定されている場合は、同期検索を実行します。
asynchronousSearch	adsiUPNこのパラメータは、useImplicitBindが2に設定されている場合に追加する必要があります。パラメータの値は、ユーザーのUPN（userPrincipalName）にする必要があります。

アイデンティティ・システムに対するADSIの構成

アイデンティティ・システムに対するADSIの構成には、複数のタスクが関係します。詳細は、『Oracle Access Managerインストレーション・ガイド』に記載されています。

タスクの概要: アイデンティティ・システムに対するADSIの構成

Microsoftドキュメントと『Oracle Access Managerインストレーション・ガイド』の説明に従って、Active Directoryを準備します。
『Oracle Access Managerインストレーション・ガイド』の説明に従って、Oracle Access Managerのインストールおよび設定時にADSIを指定します。

デフォルトでは、これにより純粋なADSI構成が作成されます。この構成では、単一のADSIディレクトリ・プロファイル（DBエージェント）により、関連アイデンティティ・サーバーが、暗黙的バインドを使用してActive Directoryツリー内のプライマリ・ドメイン・コントローラですべての操作を実行できます。
『Oracle Access Managerインストレーション・ガイド』の説明に従って、Active Directory属性を設定し、パスワードの変更権限を有効にします。
「デフォルトのディレクトリ・プロファイルに対するADSIの有効化」の説明に従ってデフォルトのディレクトリ・プロファイルを構成します。
必要に応じて、「その他のディレクトリ・プロファイルに対するADSIの有効化」の説明に従って、追加のディレクトリ・プロファイルに対してADSIを有効にします。

デフォルトのディレクトリ・プロファイルに対するADSIの有効化

アイデンティティ・システムは、インストール時にデフォルトのディレクトリ・プロファイルを自動的に作成します。アイデンティティ・システムの設定時にデフォルト・プロファイルに対してADSIを有効にできます。

デフォルトのデータベース・エージェントには、default-ois-machine nameという表記法を使用して名前が自動的に割り当てられます。ユーザーが認証時にこの名前を入力する必要があるため、この名前をそれぞれのドメイン名に変更する必要があります。

その他のディレクトリ・プロファイルに対するADSIの有効化

ドメイン・ツリーの不連続フォレストがある場合は、プライマリ・ドメイン・コントローラごとに別々のADSIデータベース・エージェントを関連付ける必要があります。次の手順で概説し、第2章「アイデンティティ・システム管理者の指定」で説明するように、追加のディレクトリ・プロファイルはアイデンティティ・システムのインストールおよび設定後に構成します。

追加のディレクトリ・プロファイルに対してADSIを有効にする手順

アイデンティティ・システム・コンソールにナビゲートします。

http://hostname:port/identity/oblix
アイデンティティ・システム・コンソールで、「システム構成」サブタブをクリックし、次に左側のナビゲーション・ペインの「ディレクトリ・プロファイル」リンクをクリックします。
「追加」ボタンをクリックして、「ディレクトリ・サーバー・プロファイルの作成」ページを表示します。

ユーザーが認証時にプロファイル名を入力する必要があるため、プロファイル名としてそれぞれのドメイン名を使用することをお薦めします。

このディレクトリ・プロファイルの名前を入力します。

各ドメイン・コントローラおよびサブドメイン・コントローラのディレクトリ・プロファイルを構成する必要があります。詳細は、「アイデンティティ・システムに対するADSIの構成」を参照してください。

このディレクトリ・プロファイルのネームスペースを入力します。

ディレクトリ・タイプには複数の選択肢があります。ADSIを有効にしないでActive Directoryを使用するには、「Microsoft Active Directory」を選択する必要があります。

注意
パスワードの変更に対してADSIまたはSSLを有効にするオプションもあります。また、セカンダリ・チェック・ボックス「認証にLDAPを使用」を選択して、LDAPを有効にできます。LDAPが有効になっている場合、ADSI DBエージェントはプライマリ・ドメイン・コントローラに関連付けます。認証に使用するサブドメイン・コントローラに対してLDAPエージェントを構成する必要があります。

適切なディレクトリ・タイプを選択します。次に例を示します。

次のように、このディレクトリ・プロファイルに対してサポートされる操作を選択します。

このディレクトリ・プロファイルがドメイン・コントローラに対して構成されている場合は、すべての操作を選択します。

通常どおり、他のディレクトリ・プロファイルを完成して保存します。

ディレクトリ・プロファイルの構成の詳細は、「ディレクトリ・サーバー・プロファイルの管理」を参照してください。複数のディレクトリ・プロファイル（DBエージェント）の詳細は、「ディレクトリ・サーバー・プロファイルの管理」も参照してください。

アクセス・システムに対するADSIの構成

ポリシー・マネージャは、認証にアイデンティティ・サーバーを使用します。したがって、ログイン操作では、通信先のアイデンティティ・サーバーと同じモード（ADSIまたはLDAP）を使用します。ポリシー・マネージャの設定時に、デフォルトでは、明示的なバインドを使用して、ポリシー・マネージャとアクセス・システム・コンソールがActive Directoryツリー内で認証を除くすべての操作を実行できるようにします。

注意
SSLは、Oracle Access ManagerでのADSI構成には不要です。ただし、業務上の他の理由でSSLが必要になる場合があります。たとえば、ディレクトリ・バインドはクリア・テキストであり、SSLは自動的には提供されません。

デフォルトでは、アクセス・サーバーに対してADSIを有効にすると、純粋なADSI構成が作成されます。この構成では、アクセス・サーバーが、暗黙的バインドを使用してActive Directoryツリー内のプライマリ・ドメイン・コントローラですべての操作を実行します。

アクセス・システムでのADSIサポートの構成には、次のタスクが含まれます。

タスクの概要: アクセス・システムに対するADSIの構成

『Oracle Access Managerインストレーション・ガイド』の付録の説明に従って、設定を検証します。
『Oracle Access Managerインストレーション・ガイド』の説明に従って、ポリシー・マネージャをインストールおよび設定します。
『Oracle Access Managerインストレーション・ガイド』の説明に従って、アクセス・サーバーをインストールし、ADSIを設定します。
『Oracle Access Managerインストレーション・ガイド』の説明に従って、WebGateをインストールします。
必要に応じて、「アクセス・サーバーに対するLDAP認証の有効化」の説明に従って、アクセス・サーバーに対してLDAP認証を有効にします。

アクセス・サーバーに対するLDAP認証の有効化

ADSI認証は、LDAPよりも低速な場合があります。このため、認証や監査などの他の操作をADSIで処理する一方で、認証にLDAPを使用することが必要な場合があります。

アクセス・サーバーに対するLDAP認証の有効化の手順

テキスト・エディタで、AccessServer_install_dir¥access¥oblix¥apps¥common¥bin¥globalparams.xmlを開きます。
useLDAPBindの値をtrueに変更します。
globalparams.xmlを保存します。
AccessServer_install_dir¥access¥oblix¥config¥ and name it AppDBfailover.xmlにあるConfigDBfailover.xmlのコピーを作成します。

両方のファイルが同じディレクトリに存在する必要があります。
保存します。
アクセス・サーバーを再起動します。

pageSizeパラメータの変更

Active Directoryフォレストのデプロイに基づいて、adsi_paramsファイル内のpage-sizeパラメータを変更することが必要な場合があります。たとえば、図B-2では、Active Directoryドメイン間に親子関係があり、親ドメインと子ドメインの両方に同じsamaccountnameを持つユーザーがいます。

図B-2 親ドメインと子ドメインの両方にいるユーザー

認証スキームがActive Directoryフォレスト用のOracle Access and Identityであると想定します。この場合は、次のようになります。

user1k1がChild1ドメインにログインする場合、ユーザーはユーザーIDをChidl1¥user1k1として入力できます。
user1k2がChild2ドメインにログインする場合、ユーザーはユーザーIDをChild2¥user1k2として入力できます。

ただし、pageSizeパラメータが0に設定されている場合、親ドメインのuser1k1がParent¥user1k1と入力してログインすると、「ログインに使用される資格認証(Parent¥user1k1)が、アイデンティティ・システム内の複数のユーザー・プロファイルに対応しています。対応は一意である必要があります。」というエラーが発生します。

その理由は、ページ・サイズが0に設定されている場合、ADSIはサブドメインを検索するため、基準を満たす2人のユーザーが見つかるからです。user1k1とuser1k2が親ドメインにログインする場合は、pageSizeパラメータを有限値に設定する必要があります。100を使用することをお薦めします。

トラブルシューティング

トラブルシューティングの詳細は、付録F「Oracle Access Managerのトラブルシューティング」を参照してください。