目次

タイトルおよび著作権情報

はじめに

対象読者

ドキュメントのアクセシビリティについて

関連ドキュメント

表記規則

サポートおよびサービス

Oracle Access Managerの新機能

製品とコンポーネントの名称変更

グローバリゼーション

パスワード・ポリシーとロスト・パスワード管理

複数の検索ベースの構成

サブスクリプションを受け入れるグループの構成

ワークフローの構成

Group Managerの構成

Org. Managerの構成

監査

ロギング

ディレクトリ・サーバーの構成

Active Directory

トラブルシューティング

第I部 Oracle Access Manager管理の概要

1 管理の準備

前提条件

アイデンティティ・システムの構成および管理について

アイデンティティ・システムのコンポーネント

アイデンティティ・システムのインストールおよび設定の確認

アイデンティティ・システムの構成について

アイデンティティ・システムの管理について

Oracle Access Managerの使用方法の概要

ログイン

アイデンティティ・システムへのログイン

アクセス・システムへのログイン

ページ上の機能領域

ナビゲーション要素

検索機能

セレクタ

オンライン・ヘルプ

「バージョン情報」ページ・リンク

ログアウト

ログアウトの手順

2 アイデンティティ・システム管理者の指定

アイデンティティ・システム管理者について

管理者の指定

管理者の削除

管理の委任

管理の委任について

委任管理モデル

エクストラネット・モデル

イントラネット・モデル

ASPモデル

委任管理者の追加

代替管理者の追加

第II部 アイデンティティ・システムの構成

3 アイデンティティ・システムでのスキーマ・データの使用

オブジェクト・クラスの概要

テンプレート・オブジェクトを使用した外部システムへのデータの送信

スキーマ・データを構成するためのプロセス

インストール時に構成されるオブジェクト

アイデンティティ・システムの構造化オブジェクト・クラスと補助オブジェクト・クラス

テンプレート・オブジェクト・クラス

オブジェクト・クラス・タイプ

オブジェクト・クラスの表示

オブジェクト・クラスの変更

クラス属性の選択

構造化オブジェクト・クラスの変更

オブジェクト・クラスの追加

補助クラスの用途

オブジェクト・クラスの削除

オブジェクト・クラス属性の概要

属性構成の概要

属性のデータ型

属性のセマンティク型

システム設定時に定義されるセマンティク型

プロファイル・ページで使用されるセマンティク型

Group Managerで使用されるセマンティク型

「ロケーション座標」セマンティク型

ロスト・パスワード管理のためのセマンティク型

その他のセマンティク型

属性の表示タイプ

属性の表示

属性の構成

ルールとリストの使用方法

ルールの定義

リストの定義

属性表示名のローカライズ

「オブジェクト・セレクタ」表示タイプの検索フィルタ

「オブジェクト・セレクタ」表示タイプの検索フィルタの作成

複数のターゲット・オブジェクト・クラスの検索フィルタ

検索フィルタの削除

ルールとフィルタの使用方法

静的LDAP検索フィルタ

ワイルド・カードを使用した静的検索

複数のターゲット・オブジェクト・クラスを使用した静的検索

置換構文: ログイン・ユーザーのDNに一致するターゲットを戻す方法

動的LDAP検索フィルタの例

ワイルド・カードを使用した動的検索

複数値を使用した動的検索

NOT演算子の使用方法

その他の表示タイプの構成

導出属性の構成: 異なる属性間で一致する値

導出属性の例

User Managerタブへの導出属性の割当て

導出属性の権限

アプリケーション別の属性の構成

4 User Manager、Group ManagerおよびOrganization Managerの構成

User Manager、Group ManagerおよびOrganization Managerの概要

タブの構成

タブ構成情報の表示と変更

タブのローカライズ

Organization Managerへのタブの追加

タブの検索属性の指定

検索結果に表示される属性の表示、変更およびローカライズ

User ManagerまたはOrganization Managerタブへの補助オブジェクト・クラスおよびテンプレート・オブジェクト・クラスの追加

Group Managerタブへの補助オブジェクト・クラスおよびテンプレート・オブジェクト・クラスの追加

Group Managerタブのオプションの構成

Organization Managerでのタブの削除

Organization Managerでのタブの並べ替え

タブのプロファイル・ページおよびパネルの構成

パネルでのLDAPオブジェクトおよびテンプレート・オブジェクトの使用

ヘッダー・パネルの構成

エンド・ユーザー・アプリケーションに構成されているパネルの表示

パネルの追加、変更、ローカライズおよび削除

パネルでのLDAPおよびテンプレート属性

パネルでの複数言語

パネルの作成

パネルの表示、変更およびローカライズ

パネルの並べ替え

グループ・タイプ・パネルの表示

グループ・タイプ・パネルの追加、変更、ローカライズおよび削除

パネルに表示される属性の変更とローカライズ

ユーザーによるLDAPデータの表示および変更の許可

検索ベースの概要

検索ベースを設定する際のガイドライン

検索ベースを変更する必要がある場合

索引付けと検索ベース

Oracle Internet Directoryの索引付け要件

検索ベースの設定

グループの検索ベースを設定する場合

非結合検索ベースの構成と削除

クエリー・ビルダーを使用したLDAPフィルタの記述

一致を取得するための方法

クエリー・ビルダーを使用した拡張LDAPフィルタの作成

表示権限と変更権限の概要

LDAP属性権限の設定と変更

複数の属性を選択するためのキー

LDAP属性権限の評価

アプリケーション構成の例

ユーザー・プロファイルでの写真の表示

ディレクトリへの写真のインポートと格納

ファイル・システム内の写真の参照

デフォルトの写真イメージ

Organization Managerでの「ロケーション」タブの有効化

Group Managerでグループを作成する権限の割当ての詳細

サブスクリプションを受け入れるグループの構成

Group Managerのエンド・ユーザーの使用例

Group Managerでのグループ・メンバーの管理

グループ・メンバーの検索

グループ・メンバーの削除

グループ・メンバーの追加

グループ・サブスクリプションの管理

グループへのサブスクライブ

監査ポリシーの構成

監査ポリシーの表示

監査ポリシーの変更

レポートの生成

レポートの構成

レポートの表示、変更、ローカライズおよび削除

拡張構成

動的グループの拡張

検索ベースのデフォルト有効範囲の変更

グループの簡易属性権限

簡易権限の実装

gscaclparams.xmlファイルの例

簡易権限の予約語

Organization Managerでのコンテナ制限の設定

コンテナ制限のコピー

コンテナ制限の変更

5 ID機能とワークフローの連携

ワークフローの概要

ワークフローの開始方法

典型的なワークフローの例

拡張ワークフロー・オプション

ワークフロー・タイプ

ワークフローの作成

アイデンティティ・システム・アプリケーションでユーザーがワークフローにアクセスする方法

ワークフロー・チケットの概要

ワークフローの使用例

ワークフローでのLDAP属性とテンプレート属性の比較

ワークフローのタイプ、ステップおよびアクション

ワークフロー・ステップの概要

ステップ・アクションの概要

ステップ・アクションの説明

サブフローの概要

クイックスタート・ツールの使用方法

クイックスタート・ツールを使用した自己登録ワークフローの作成

ワークフロー・アプレットの使用方法

新規ワークフロー定義の開始

オブジェクトの作成ワークフローのLDAPターゲットの定義

ワークフローの最初のステップの定義

ステップ属性の定義

後続のステップの定義

ワークフロー・ステップのコミット

ワークフローの有効化

ワークフローのテスト

ワークフロー定義の例

サブフローの定義

サブフローとワークフローの関連付け

サブフロー・ステップの承認

拡張ワークフロー・チケット・ルーティング

拡張チケット・ルーティングのためのワークフロー・アクションの構成

新規に割り当てられたステップ参加者への通知

動的参加者の指定

ワークフロー参加者の概要

ワークフロー・チケット・ルーティングの概要

動的参加者の概要

静的参加者の概要

「静的参加者が使用不可」ボタンの概要

動的参加者の有効化

サロゲートの指定

時間ベース・エスカレーションの有効化

非同期操作の実行

非同期ワークフローに関する留意事項

ワークフローの使用方法

ワークフローの起動

チケットの検索と処理

ユーザーの非アクティブ化と再アクティブ化

非アクティブなユーザーの再アクティブ化

ワークフローのモニタリング

リクエストのアーカイブ

リクエストの削除

他の管理者がワークフロー・チケットを操作できないようにする方法

ワークフローの管理

ワークフロー・サマリーの表示とエクスポート

ワークフローのコピー

ワークフローの変更

ワークフローの削除

ワークフローのエクスポート

ワークフロー・パネル設定の表示

ワークフロー・パネルの外観の変更

ワークフロー・パネルのローカライズ

ワークフロー・パフォーマンス

ID管理者の変更権限

拡張ワークフロー・オプション

事前アクションと事後アクション

外部アクション

ワークフローのデータおよびアクションのカスタマイズ

ワークフローへのロールの追加

自己登録ワークフローの作成

ロケーション・ワークフローの作成

6 外部アプリケーションへの非LDAPデータの送信

非LDAPデータの構成の概要

ワークフローで非LDAPデータを使用する方法の概要

テンプレート・オブジェクトの概要

テンプレート・オブジェクト・データとワークフローの概要

オブジェクト・テンプレートの構成

オブジェクト・テンプレート・ファイルの形式

アイデンティティ・システムでのテンプレート・オブジェクトの表示

オブジェクト・テンプレート・ファイルの要素

オブジェクト・テンプレート・ファイルの例

テンプレート属性用のIDイベント・プラグインの作成

7 グローバル設定の構成

アイデンティティ・システム・アプリケーションのスタイルの構成

スタイルの表示

カスタム・スタイル・ディレクトリの追加

スタイルの配布

スタイル名の変更

スタイルの変更

スタイルの削除

デフォルト・スタイルの設定

Oracle Access Managerでの複数の言語の構成

管理ページ用言語の選択

エンド・ユーザー・アプリケーションでの言語の評価順序

アイデンティティ・サーバー設定の構成

セッション・タイムアウトの構成

電子メール宛先のカスタマイズ

メール・サーバーの構成

キャッシュの管理

複数言語の管理

アイデンティティ・サーバーの管理

複数のアイデンティティ・サーバーの設定

アイデンティティ・サーバーの追加

アイデンティティ・サーバー・パラメータの表示と変更

アイデンティティ・サーバー・パラメータの削除

コマンドラインによるアイデンティティ・サーバー・サービスの管理

ディレクトリ・サーバー・プロファイルの管理

LDAPディレクトリ・サーバー・プロファイルの概要

ディレクトリ・サーバー・プロファイルの場所

LDAPディレクトリ・サーバー・プロファイルの作成

LDAPディレクトリ・サーバー・プロファイルの表示

LDAPディレクトリ・サーバー・プロファイルの変更

手動によるシステム設定の再実行

アイデンティティ・システム設定の再実行

ポリシー・マネージャ設定の再実行

アクセス・サーバーの再構成

LDAPディレクトリ・サーバー・プロファイルへのデータベース・インスタンスの追加

LDAP参照

LDAPディレクトリ・サーバー・インスタンスの削除

複数のディレクトリ検索ベースの操作

RDBMSプロファイルの管理

RDBMSプロファイルの追加または変更

RDBMSデータベース・インスタンスの追加または変更

WebPassの構成

構成済のWebPassの表示

WebPassの追加または変更

WebPassの削除

コマンドラインによるWebPassの変更

アイデンティティ・サーバーとWebPassの関連付けの管理

WebPassに関連付けられているアイデンティティ・サーバーを表示する手順

WebPassに対するアイデンティティ・サーバーの接続を変更する手順

アイデンティティ・サーバーをWebPassに関連付ける手順

応答しないアイデンティティ・サーバーへの再試行回数を構成する手順

アイデンティティ・サーバーとWebPassの関連付けの解除

WebPassポーリング追跡パラメータの構成

パスワード・ポリシーの構成

パスワード・ポリシーの評価順序

パスワード・ポリシーの管理

パスワード・ポリシーの表示

異なるタイプのパスワード・ポリシーのデフォルトまたはグローバル設定の設定

特定ドメイン用のパスワード・ポリシーの作成

パスワード・ポリシーの変更

パスワード・ポリシーの削除

ロスト・パスワード管理

ロスト・パスワード管理URLの構文

ユーザーへのチャレンジ・フレーズの表示

チャレンジおよびレスポンス・ページのその他の要素

ロスト・パスワード管理でユーザーに複数のチャレンジが表示される場合

ロスト・パスワード管理ポリシーの表示と構成

アクセス・システムでのパスワード・ポリシーの実施

認証スキームを変更してパスワード・ポリシーを含める方法

パスワードのリダイレクトURLの構成

パスワード期限切れ後にパスワード・リセット・ページにリダイレクトするための構成

パスワード期限切れ警告のリダイレクトURLの設定

アカウント・ロックアウトのリダイレクトURLの設定

アクセス・サーバー・キャッシュの更新

アイデンティティ・システムのAccess Manager SDKの構成

コンポーネントのクローニングと同期化

第III部 共通管理タスクの実行

8 トランスポート・セキュリティ・モードの変更

トランスポート・セキュリティ・モードについて

コンポーネント間のトランスポート・セキュリティ・モード

CA証明書について

アイデンティティ・システムのトランスポート・セキュリティの変更

アイデンティティ・システムのトランスポート・セキュリティ・モードの変更

簡易トランスポート・セキュリティ・モードへの変更

証明書トランスポート・セキュリティ・モードへの変更

アクセス・システムのトランスポート・セキュリティ・モードの変更

アクセス・システムのトランスポート・セキュリティ・モードの変更

オープン・トランスポート・セキュリティ・モードへの変更

簡易トランスポート・セキュリティ・モードへの変更

証明書トランスポート・セキュリティ・モードへの変更

ディレクトリ・サーバーのトランスポート・セキュリティの変更

トランスポート・セキュリティ・パスワードの変更

複数のCA証明書のインポート

アクセス・サーバーのセキュリティ・パスワードの変更

9 レポート

レポートについて

レポート・タイプ

データ・ソース

データ出力

出力構成

データの用途

レポート機能のサマリー

10 ロギング

ロギング、ログ・レベルおよびログ出力について

ログ・レベルについて

ログ・ファイルのスタック・トレース・データの取得について

ログ出力について

ログ構成ファイルのパスおよび内容について

ログ構成ファイルのパスおよび名前

ログ構成ファイルの内容

ファイルに対する変更が有効化した場合

ログ・ファイル内のコメントについて

ファイルまたはシステム・ファイルへのログ出力の送信について

ログ構成ファイルの構造

ログ構成ファイルのヘッダー

最初の複合リスト

単純なリスト、ロギングしきい値およびアイデンティティ・システム・コンソールの同期

2番目の複合リストおよびログ・ハンドラ

モジュール固有のロギングのリスト

XML要素の順序について

ロギング・レベルのアクティブ化および抑制について

ログ・ハンドラの優先順位について

ログ構成パラメータ

デフォルトのログ構成ファイルの設定

デフォルトのログ構成ファイルの設定の説明

アイデンティティ・システム・コンソールでのログの構成

異なるデータのタイプへの異なるしきい値レベルの構成

MODULE_CONFIGセクションについて

ログ構成ファイルのモジュール固有ロギング・セクションの場所

ログを記録できるモジュールのリスト

機能またはモジュールに対するログ・レベルしきい値の構成

リクエストの処理に要する時間のロギング

リクエスト時間ログで取得されるコールについて

ログでのリクエスト時間の解析について

外部リクエストの時間データを取得するためのログ・ファイルの構成

11 監査

監査について

監査出力の考慮事項

監査セキュリティの考慮事項

監査パフォーマンスの考慮事項

静的監査レポート

動的監査レポート

監査出力の制御

監査オプションについて

監査要件

監査の要件

データベースの監査の要件

データベース監査のための特別なコンポーネント

サポートされているバージョンおよびプラットフォームへの更新

データベースの監査のアーキテクチャ

OCI設定について

Oracle Access Manager 10.1.4.0.1のOCI構成

Oracle Access Manager 10.1.4.2のOCI構成

ODBCデータ・ソース定義について

ODBCドライバについて

Windows ODBCドライバについて

データベース監査用のRDBMSプロファイルについて

ODBC接続タイプを使用するデータベースのプロファイルについて

OCI接続タイプを使用するデータベースのプロファイルについて

監査データベースについて

Crystalリポジトリについて

監査レポートについて

ファイルベース監査の設定

データベース監査の設定

データベース監査用のシステムの設定

SQL Serverのインストールについて（Windows）

監査データベースの作成

監査スキーマのチューニング

監査スキーマのアップロード

アクセス・サーバーとアイデンティティ・サーバーの監査データベースへの接続の有効化

監査の構成

監査レポートの設定

12 SNMPモニタリング

前提条件

Oracle Access Manager SNMPモニタリングおよびエージェントについて

SNMPエージェント

Oracle Access Manager MIBおよびオブジェクトについて

MIB索引フィールド

アイデンティティ・サーバーのMIBオブジェクト

アクセス・サーバーのMIBオブジェクト

Oracle Enterprise Manager 10g Identity Managementとの統合について

SNMPモニタリングの有効化および無効化

SNMPエージェントおよびトラップの宛先の設定

SNMP構成設定の変更

SNMPのロギング

SNMPメッセージ

Netstat値とSNMP値の差異

停止間隔の構成

第IV部 付録

A Active Directoryでのデプロイ

ディレクトリ・プロファイルと検索ベースの設定

他のドメインのディレクトリ・サーバー・プロファイルの定義

非結合検索ベースの設定

非結合検索ベースの削除について

グループ検索読取り操作の構成（オプション）

Active Directoryでの認証および認可

親子認証

親子認可

ObMyGroupsアクション属性

credential_mappingプラグインの構成

Active Directoryで使用するシングル・サインオンの構成

検索フィルタについて

SAMAccountNameの長さについて

.NET機能の構成

トラブルシューティング

Microsoftリソース

B ADSIに対する構成

Oracle Access ManagerでのADSIについて

推奨

アイデンティティ・システムのADSI構成

ADSI認証を行う純粋なADSI

LDAP認証を行う混在ADSI

アイデンティティ・サーバーのバインド・メカニズム

Oracle Access Manager ADSI構成ファイル

globalparamsについて

adsi_paramsについて

アクセス・システムのADSI構成

ADSI認証を行う純粋なADSI

アクセス・システムADSI構成ファイル

アイデンティティ・システムに対するADSIの構成

デフォルトのディレクトリ・プロファイルに対するADSIの有効化

その他のディレクトリ・プロファイルに対するADSIの有効化

アクセス・システムに対するADSIの構成

pageSizeパラメータの変更

トラブルシューティング

C LDAPを使用するActive Directoryに対する構成

概要

LDAPに対するポリシー・マネージャの設定

LDAPに対するアクセス・サーバーの設定

LDAPでのActive Directoryタイムアウトの設定

ADSIでのLDAP認証の有効化

D .NET機能の実装

あいまいな名前の解決

ANR属性、検索および結果について

ANRに対する構成

構成データの更新

アイデンティティ・システム・パネルでのANRの構成

ANR属性アクセス制御の検証

アイデンティティ・システム検索でのANRの使用方法

動的にリンクされた補助クラスの構成

属性の動的な追加

グループの属性の追加

アクセス・システム認証のファスト・バインドの有効化

暗号化の有効化

統合Windows認証の設定

WebGate WebサーバーでのIWAの有効化

IWAに対するWebGateの構成

Oracle Access ManagerでのIWA認証スキームの作成

IWA実装のテスト

アクセス・システム・パスワード管理の使用方法

管理コードとヘルパー・クラスの使用方法

Authorization Managerサービスとの統合

スマートカード認証との統合

Security Connector for ASP.NETとの統合

トラブルシューティング

Microsoftリソース

E Oracle Access Managerパラメータ・ファイル

ファイルのカテゴリ

パラメータ・ファイルの詳細情報

F Oracle Access Managerのトラブルシューティング

ディレクトリおよびデータベースの問題と解決策

アイデンティティ・サーバーとActive Directory間のSSLの設定に問題がある

ディレクトリ・サーバーが実行中または応答中であるかどうかを確認するエラー・メッセージが表示される

eDirectory 8.7.3のアクセス制御および検索ベースのサポート

問題

解決策

ディレクトリ・サーバー・プロファイルを保存できない

問題

解決策

Active Directory: メンバーを追加するとグループ・サイズが縮小する

ディレクトリ・プロファイルに対してADSIを有効にできない

問題

解決策

データベースの検証に失敗する

問題

解決策

その他の問題と解決策

アイデンティティ・システムの監査の動作が停止する

問題

解決策

スタイルシートが見つからない場合、アイデンティティ・サーバーがクラッシュする

問題

解決策

RDNが変更されると、アイデンティティ・システムでユーザー・エントリが削除される

問題

解決策

JPEG写真イメージが更新されない

問題

解決策

ディレクトリ・サーバー・プロファイルの構成後にアイデンティティ・サーバーのメモリー使用量が増える

問題

解決策

簡易トランスポート・セキュリティのパスフレーズが失われる

コンポーネント・パフォーマンスが遅い

問題

解決策

ASCIIではない文字を使用したレポートが、正しくExeclにインポートされない

問題

解決策

簡易トランスポート・セキュリティ・モードが1年後に期限切れになる

問題

解決策

スタイルシートの検証に失敗する

問題

解決策

パスワードにマルチバイト文字が含まれる場合、ユーザー作成に失敗する

関連付けられているアイデンティティ・サーバーにWebPassで接続できない

問題

解決策

エラー・メッセージおよびその処理に対する推奨

ワークフローを使用しているときに「xenroll.cabが見つかりません」エラーが発生する

問題

解決策

ワークフローを使用しているときに「有効化に失敗しました」エラーが発生する

問題

解決策

「この種類のグループに対してプロファイルが構成されていません。」エラーが発生する。

問題

解決策

「警告: ページが期限切れです」エラーが発生する

問題

解決策

診断情報の取得

Oracle Access Manager診断について

診断情報の収集

診断出力の解析

診断出力の解析（listパラメータを使用した場合）

診断出力の解析（detailパラメータを使用した場合）

キャッシュの診断データの解析

コア・ダンプ後のログ・ファイルへのスタック・トレースの自動的な書き込み

スタック・トレースの手動でのリクエスト

詳細情報

索引