4 LDAPコネクタを使用したOracle Identity GovernanceとOracle Access Managerの統合

LDAPコネクタを使用して、Oracle Identity Governance (OIG)とOracle Access Manager (OAM)を統合します。自動統合スクリプトを実行してOIG-OAM統合を完了させることも、構成操作を個別に実行することもできます。このスクリプトはプロパティ・ファイルからユーザー指定の値を使用して様々な構成を実行します。

この章では、Oracle Access Manager (Access Manager)とOracle Identity Governance (Enterprise Edition)の統合について、ステップ・バイ・ステップのステップを説明しています。統合環境にLDAPコネクタとサード・パーティのアクセス製品が含まれる場合は、統合のための自動スクリプトを使用してください。また、この統合を段階的に実行することもできます。自動統合スクリプトの各タスクを個別に実行してOIG-OAM統合を完了する場合、連続した各ステップの結果を評価できます。必要に応じてステップを再実行するか、またはすべてのステップが正常に完了するまで、順序内の次のステップに進みます。

ノート:

この章の細かい手順は、ユーザー固有のデプロイメントによって異なる場合があります。必要に応じて情報を環境に適応させてください。

この統合手順では、「基本統合トポロジについて」で説明したように、Identity Governanceコンポーネントが別々のOracle WebLogicドメインで構成されていることが前提となります。この統合の例でのコンポーネントのインストールと構成に関する前提条件および詳細については、『Fusion Middleware Oracle Identity and Access Managementのインストールおよび構成』のOracle Identity and Access Managementのインストールと構成の準備に関する項を参照してください。

「基本統合トポロジについて」の説明のように、Oracle Identity Governanceコンポーネントをエンタープライズ統合トポロジでデプロイしている場合は、実装手順について『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のエンタープライズ・デプロイメントの理解に関する項を参照してください。

この章では、次の内容を説明します。

• Oracle Identity GovernanceとAccess Managerの統合の概要

• Oracle Identity GovernanceとOracle Access Managerの統合の構成

• Access ManagerとOracle Identity Governance統合の検証

• Access ManagerとOIMの統合の関する一般的な問題のトラブルシューティング

• OIG-OAM統合のためのスケジュールされたジョブ

• OIG-OAM統合の制限事項

4.1 Oracle Identity GovernanceとOracle Access Managerの統合の概要

この統合シナリオにより、Oracle Identity GovernanceでIDを管理し、Oracle Access Managerでリソースへのアクセスを制御できるようになります。Oracle Identity Governanceは、ユーザー・アカウント管理を自動化する、ユーザーのプロビジョニングおよび管理ソリューションです。一方、Access Managerは集中管理された自動シングル・サインオン(SSO)ソリューションです。

この項では、次の項目について説明します。

• Oracle Identity GovernanceとOracle Access Managerの統合について

• Oracle Identity GovernanceとOracle Access Managerの単一ノード統合トポロジについて

• Oracle Identity GovernanceとOracle Access Managerの統合の前提条件

• Oracle Identity GovernanceとOracle Access Managerの統合のロードマップ

4.1.1 Oracle Identity GovernanceとOracle Access Managerの統合について

Oracle Access Manager(OAM)およびOracle Identity Governance(OIG)の統合によって、ユーザーは次の操作が可能になります。

• パスワードの期限切れおよびパスワード忘れに対する支援を利用しない、パスワードの作成およびリセット

• チャレンジ質問および回答を使用したパスワードのリカバリ

• チャレンジ質問および回答の設定

• セルフサービス登録の実行

• セルフサービス・プロファイル管理の実行

• 1つの認証ステップによる複数アプリケーションへのセキュアなアクセス

パスワード管理シナリオについてを参照してください。

4.1.2 Oracle Identity GovernanceとOracle Access Managerの単一ノード統合トポロジについて

「基本統合トポロジについて」の説明のように、IdMコンポーネントであるAccess ManagerとOracle Identity Governanceは、別々のWebLogic Serverドメイン(分割ドメイン・トポロジ)かつ別々のOracle Middlewareホームに構成する必要があります。そうしないと、1つの製品のパッチ適用またはアップグレードが、他と共有されているコンポーネント上のバージョン依存性によってブロックされる場合があります。Oracle Identity Governanceコンポーネントを単一WebLogic Serverドメインにインストールすると、ドメイン内にインストール中のコンポーネント(ライブラリ、JAR、ユーティリティ、およびカスタム・プラグイン)が他のコンポーネントと互換性がない可能性があり、結果としてドメイン全体の問題が引き起こされるリスクがあります。

Access Managerでは、ポリシー・データ用にデータベースを使用し、アイデンティティ・データ用にディレクトリ・サーバーを使用します。この統合シナリオでは単一ディレクトリ・サーバーを想定しています。ディレクトリ・サーバーは別のドメインおよび別のMiddlewareホームにも同様にインストールする必要があります。

ノート:

この章の手順では、Oracle Unified Directoryをアイデンティティ・ストアとして使用することを前提としています。

4.1.3 Oracle Identity GovernanceとOracle Access Managerの統合の前提条件

必要な環境が整い、使用可能になっていることを確認します。

次の各項では、表4-1に示すように、必要なコンポーネントが依存関係を含めてすでにインストール済であり、統合の前に環境が構成済であることが前提です。Oracle Identity Managementの統合トポロジの理解を参照してください。

ノート:

• OAMおよびOIGには14.1.2.1.0バイナリを使用します。

• OUDでは、OIGの増分リコンシリエーションが動作するように変更ログを有効にする必要があります。これが有効になっていない場合、増分リコンシリエーションは動作しません。レプリケートされたOUDインスタンス上で、このインスタンスにディレクトリ・サーバーおよびレプリケーション・サーバーの両方のコンポーネントが含まれている(これはデフォルトです)という条件に応じて、cn=changelogがデフォルトで使用可能です。変更ログには、レプリケーションがすでに稼働中のため、追加コストはありません。

  レプリケートされていないOUDインスタンス上では、有用でなければ負担すべきではないコストがディスクおよびCPUにあるため、cn=changelogはデフォルトで使用不可です。これは、次のコマンドで簡単に有効化できます。

  $ dsreplication enable-changelog -h localhost -p 4444 -D "cn=directory manager" -r 8989 -b "dc=example,dc=com"

表4-1統合シナリオに必要なコンポーネント

コンポーネント	情報
Oracle HTTP ServerとOAM Webゲート	Oracle HTTP ServerとOAM Webゲートがインストールされていること。
Oracle SOA Suite	Oracle Identity Governanceには、Oracle Identity and Access Management専用のOracle SOA Suite 14.1.2.1.0が必要です。 SOA SuiteはOracle Identity Governanceのための前提条件で、Oracle Identity Governanceと同じドメイン内にインストールする必要があります。SOA Suiteを他の目的に使用する場合は、固有サービス、コンポジット、BPELプロセスなどを実行するために、別のインストールを設定する必要があります。 『Oracle Identity and Access Managementのインストールおよび構成』の「Oracle Identity and Access Managementソフトウェアのインストール」を参照してください。
Oracle Unified Directory	Oracle Unified Directoryがインストールされます。
Access Manager	Access Managerがすでにインストール済であること。 『Oracle Fusion Middleware Oracle Identity and Access Managementのインストールおよび構成』のOracle Access Managementドメインの構成に関する項
Oracle Identity Governance	Oracle Identity Governance 14.1.2.1.0がすでにインストール済であること。 『Oracle Fusion Middleware Oracle Identity and Access Managementのインストールおよび構成』のOracle Identity and Access Managementソフトウェアのインストールに関する項およびOracle Identity Governanceドメインの構成に関する項を参照してください。
環境変数	OIG-OAM統合のために必要な環境変数を設定します。OIG-OAM統合のための環境変数の設定を参照してください。

関連項目:

コネクタ・ベースの統合の前提条件

4.1.4 Oracle Identity GovernanceとOracle Access Managerの統合のロードマップ

表4-2は、Oracle Unified Directoryを使用してAccess ManagerとOracle Identity Governanceを統合するための大まかなタスクをリストしたものです。

ユーザーのインストール・パスによっては、この表に示された統合手順の一部をすでに実行している可能性があります。インストール・ロードマップの詳細は、「インストール・ロードマップの理解」を参照してください。

表4-2 Access ManagerとOracle Identity Governanceの統合フロー

番号	タスク	情報
1	統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。	Oracle Identity GovernanceとOracle Access Managerの統合の前提条件を参照してください。
2	Oracle Identity Governance上のリソースをフロントエンドするためのOracle HTTP Serverの構成	Oracle Identity Governance上のリソースをフロントエンドするためのOracle HTTP Serverの構成を参照してください
3	Access ManagerとOracle Identity Governanceを統合します。	Oracle Identity GovernanceとOracle Access Managerの統合の構成を参照してください
4	Access ManagerおよびOracle Identity GovernanceのOracle WebLogic Server管理対象サーバーを停止します。	『Oracle Fusion Middlewareの管理』の管理サーバーの起動と停止に関する項を参照してください。
5	統合をテストします。	Access ManagerとOracle Identity Governance統合の検証を参照してください

4.2 Oracle HTTP ServerのインストールおよびOracle HTTP Server WebGateの構成

Oracle HTTP Serverのインストールの詳細は、「Oracle HTTP Serverのインストール」を参照してください。

Oracle HTTP Server WebGateの構成の詳細は、「Oracle HTTP Server WebGate for Oracle Access Managerの構成」を参照してください。

Oracle HTTP Serverをインストールし、Oracle HTTP Server WebGateを構成するには、次を実行します:

1. コロケート・モードでOracle HTTP Serverをインストールします。

   詳細は、『Oracle HTTP Serverのインストールと構成』のOracle HTTP Serverソフトウェアのインストールに関する項を参照してください。

2. Oracle HTTP Server WebGate for Oracle Access Managerを構成します。『Oracle Access Manager WebGatesのインストール』のOracle HTTP Server WebGate for Oracle Access Managerの構成に関する項を参照してください。

4.3 Oracle Identity GovernanceとOracle Access Managerの統合の構成

統合のための自動スクリプトは、Oracle Identity Governance(OIG)とOracle Access Manager(OAM)またはサード・パーティのアクセス製品の間のコネクタ・ベースの統合プロセスを簡略化します。OIGおよびOAMは、Oracle Unified Directory (OUD)、Oracle Internet Directory (OID)、Active Directory (AD)などのディレクトリと統合できます。

この章のトピックは、次のとおりです:

• コネクタ・ベースの統合の前提条件

• 自動スクリプトを使用したOIG-OAM統合のステップ・バイ・ステップのステップ

4.3.1 コネクタ・ベースの統合の前提条件

自動統合スクリプトを使用したコネクタ・ベースの統合のために、環境を準備します。システム・レベルの要件が満たされていること、14.1.2.1.0バイナリがインストールされていること、OIG-MDSが更新されていること、および必要なコネクタがダウンロードされていることを確認します。

環境の確認

• 必要なパッチをすべて適用して、オペレーティング・システムが最新の状態であることを確認します。

• 使用するバイナリをマウントします。適用可能なOracleソフトウェアは次のとおりです。

  • Oracle Database 19+

  • JRF 14.1.2.1.0

  • Oracle Identity and Access Management 14c (14.1.2.1.0)

  • Oracle Unified Directory 14c (14.1.2.1.0)/Oracle Internet Directory 14c (14.1.2.1.0)

  ノート:

  • OAMおよびOIGには14.1.2.1.0バイナリを使用します。

  • 統合プロセスを開始する前に、OAMバンドル・パッチ12.2.1.4.191223、またはご使用のリリースで使用可能な最新のバンドル・パッチを適用します。
  • OAM-OIG統合環境を最新の14c (14.1.2.1.0)リリース・バージョンにアップグレードする場合は、次のバンドル・パッチを適用します。
    • OAMバンドル・パッチ12.2.1.4.200327
    • OIMバンドル・パッチ12.2.1.4.200505

  • Oracle HTTP Serverと12cのWebゲートがインストールされている必要があります。

• Oracle Databaseが構成および実行されていることを確認します。

• 選択したディレクトリ(OUD/OID/AD)が稼働していることを確認します。

• Oracle Access Managerが稼働していることを確認します。

• Oracle Access ManagerがLDAPと統合されていることを確認します。

• Oracle Identity Governanceが稼働していることを確認します。

• 「OIG-OAM統合のための環境変数の設定」の説明に従って、環境変数が設定されているかどうかを確認します。

• Oracle Access ManagerおよびOracle Identity Governanceが別々のドメインにインストールされていることを確認します。

• 次のコマンドを実行して、サーバーにスクリーン・パッケージがインストールされていることを確認します:

  rpm -qa | grep screen

  このコマンドによって、次の例に示す値が返されます:

  screen.x86_64 0:4.1.0-0.23.20120314git3c2946.el7_2

  このコマンドでスクリーン・パッケージのバージョンに関する情報が返されない場合、次のようにパッケージをインストールします:

  1. rootとしてLinuxサーバーにログインします
  2. yum install screenを実行して、画面パッケージ(screen.x86_64 0:4.1.0-0.23.20120314git3c2946.el7_2など)をインストールします:

     [root@server]# yum install screen
     > Package screen.x86_64 0:4.1.0-0.23.20120314git3c2946.el7_2 will be
     installed
     Total download size: 552 k
     Installed size: 914 k
     Is this ok [y/d/N]:
     
     Enter 'y' and press enter.
     
     Downloading packages:
     screen-4.1.0-0.23.20120314git3c2946.el7_2.x86_64.rpm
     
     Installed:
     screen.x86_64 0:4.1.0-0.23.20120314git3c2946.el7_2

• OpenLDAPパッケージがインストールされていることを確認します:

  yum install openldap openldap-clients

  コマンドwhich ldapsearchを入力して、そのバージョンがご使用のシステムにインストールされているかどうかを確認します。このコマンドによって、次の例に示す値が返されます:

  /usr/bin/ldapsearch

  $PATHをLDAPディレクトリ・サーバーのインストール・ディレクトリに更新します。

コネクタのダウンロード

1. アーティファクトリーからコネクタ・バンドルをダウンロードします: コネクタ・バンドルのダウンロード。

   • OIDまたはOUDの場合、Oracle Internet Directoryに対応するoid-12.2.1.3.0.zipコネクタ・バンドルをダウンロードします。

   • ADの場合、Microsoft Active Directory User Managementに対応するactivedirectory-12.2.1.3.0.zipコネクタ・バンドルをダウンロードします。

   ノート:

   すべてのディレクトリ・タイプにおいて、OIG-OAM統合に必要なコネクタ・バージョンは12.2.1.3.0です。

2. OIG Oracleホーム$ORACLE_HOME/idm/server/ConnectorDefaultDirectory以下の適切なコネクタ・パスにコネクタ・バンドルを解凍します。

   たとえば:

   ORACLE_HOME/idm/server/ConnectorDefaultDirectory

3. ADの場合、OIGおよびコネクタ・サーバーの両方にActive Directory User Managementコネクタをインストールします。

ノート:

アプリケーション作成ステップでコネクタのインストールが実行されます。その他のインストール・ステップは不要です。

重要:

OIG-OAM統合の後、他のITリソース用のターゲット・アプリケーション・インスタンスを作成するためにLDAPコネクタ・バンドルまたはActive Directoryコネクタ・バンドルが使用される場合、アプリケーション・インスタンスの作成に進む前に、ディレクトリ・タイプに対応するpre-config.xmlをSysadmin UIから手動でインポートする必要があります。

• OIDの場合:

  XML name: OID-pre-config.xml
  Location (example): $ORACLE_HOME/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0/xml/OID-pre-config.xml

• OUD/ODSEE/LDAPV3の場合:

  XML name: ODSEE-OUD-LDAPV3-pre-config.xml
  Location (example): $ORACLE_HOME/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0/xml/ODSEE-OUD-LDAPV3-pre-config.xml

• ADの場合:

  XML name: ad-pre-config.xml
  Location (example): $ORACLE_HOME/idm/server/ConnectorDefaultDirectory/activedirectory-12.2.1.3.0/xml//ad-pre-config.xml

pre-config.xmlのインポートについては、コネクタXMLファイルのインポートを参照してください。

LDAPディレクトリおよびOracle Access Managerでのロックアウトしきい値の割当て

ユーザーのアカウントがロックされるまでにユーザーの試行が許可される認証失敗の最大数の値は、LDAPディレクトリとOracle Access Managerで同じである必要があります。

アカウント・ロックアウト期間を設定するには、OAMドメインのDOMAIN_HOME/config/fmwconfigにあるoam-config.xmlを開き、LockoutAttemptsパラメータを更新します。これを行うには、「OAM構成ファイルのエクスポートおよびインポート」のステップに従って、oam-config.xmlファイルをエクスポートおよびインポートします。

関連項目:

• 『Oracle Internet Directoryの管理』のOID - パスワード・ポリシーの管理に関する項。

• 『Oracle Unified Directoryの管理』のOUD - パスワード・ポリシーの管理に関する項。

• 『Windows 2000 Evaluated Configuration Administrators Guide』のAD - アカウント・ロックアウト・ポリシーの構成に関する項。

4.3.2 自動スクリプトを使用したOIG-OAM統合のステップ・バイ・ステップのステップ

様々な統合アクションを実行するには、OIGOAMIntegration.shスクリプトを使用します。これ以降では、一度に1つ実行する統合の各ステップを説明します。

また、すべての操作を一度に実行することも可能です。これを行うには、ファイルssointg-config.propertiesを更新して、実行するアクションを指定します。

ノート:

1つずつ実行する場合も、一括で実行する場合も、次に説明するようにプロパティ・ファイルを移入する必要があります。

前提条件

• 前提条件にリストされているすべてのコンポーネントをインストールします。

各統合タスクを個別に実行することで、OIG-OAM統合環境の構成をステップごとに行います。各ステップの終わりには、出力を確認し、構成操作が正常に完了したことを確認します。構成操作が失敗した場合、統合シーケンスでの次のステップに進む前に、適切な修正を適用し、そのステップを再実行します。

最上位レベルの自動統合スクリプトであるOIGOAMIntegration.shを実行し、OIG-OAM統合のために必要な次の操作を実行します:

• 自動スクリプトを使用したOHSルールの移入

• 自動スクリプトを使用したWLS認証プロバイダの構成

• 自動スクリプトを使用したLDAPコネクタの構成

• 自動スクリプトを使用したSSO統合の構成

• 自動スクリプトを使用したOAM通知の有効化

• サーバーの再起動

• JDK引数の追加

ssointg-config.propertiesファイル($ORACLE_HOME/idm/server/ssointg/config/にある)は、OIGとOAMの統合のために必要な構成情報を提供します。自動統合スクリプトによって実行された構成操作は、ssointg-config.propertiesファイルによって管理されます。

4.3.2.1 自動スクリプトを使用したOHSルールの移入

Oracle HTTP Server構成でリダイレクト・ルールを作成する必要がある場合は、次のステップに従います。Oracle HTTP Serverリダイレクト・ルールの構成は通常手動で実行されるため、このステップはオプションです。

開始する前に、oim.confファイルを更新したことを確認します。Oracle Identity上のリソースをフロントエンドするためのOracle HTTP Serverの構成を参照してください。

OHSルールを移入するには、次のようにします。

1. populateOHSRedirectIdmConf.configファイルを更新します。(ORACLE_HOME/idm/server/ssointg/configにある)

   OIM_HOST
   OIM_PORT
   OAM_HOST
   OAM_PORT

   次の表では、populateOHSRedirectIdmConf.configファイルのパラメータについて説明します。

   表4-3 populateOHSRedirectIdmConf.configファイルのパラメータ

   プロパティ	説明	値の例
   OAM_HOST	OAMサーバーのURLを入力します。	oamhost.example.com
   OAM_PORT	OAMサーバーのポートを入力します	14100
   OIM_HOST	OIG管理対象サーバーのホスト名を入力します。	oimhost.example.com
   OIM_PORT	OIGサーバーのポートを入力します。	14000

2. OIG-OAM統合のための自動スクリプトを実行してOHSルールを移入します。

   OIGOAMIntegration.sh -populateOHSRules

   OHSルールの移入のための自動スクリプトが正常に実行されました。

3. OHSサーバーを再起動します。

4.3.2.2 自動スクリプトを使用したWLS認証プロバイダの構成

OIG-OAM統合のためのOIGOAMIntegration.sh自動スクリプトを使用して、WLS認証プロバイダを構成します。

OIMのSSOログアウトを構成します。OIMドメイン内でセキュリティ・プロバイダを構成し、SSOログインとOIMクライアント・ベース・ログインの両方を適切に機能させる必要があります。

たとえば、OIGOAMIntegration.sh -configureWLSAuthnProvidersスクリプトを実行すると、OIDでは認証プロバイダの順序は次のようになります:

1. OAMIDAsserter

2. OIMAuthenticationProvider

3. OIDAuthenticator

4. DefaultAuthenticator

5. DefaultIdentityAsserter

6. 信頼サービスIDアサータ

自動スクリプトを使用してWLS認証プロバイダを構成するには:

1. configureWLSAuthnProviders.configファイル(ORACLE_HOME/idm/server/ssointg/configにある)を更新します。

   OIM_WLSHOST: oighost1example.com
   OIM_WLSPORT: 9002
   OIM_WLSADMIN: weblogic
   OIM_WLSADMIN_PWD: password
   OIM_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
   WLS_IS_SSLENABLED: true
   WLS_TRUSTSTORE: /u01/oracle/config/keystores/idmTrustStore.p12
   WLS_TRUSTSTORE_PASSWORD:password
   WLS_SSL_HOST_VERIFICATION: true
   IDSTORE_DIRECTORYTYPE: OUD
   IDSTORE_HOST: idstore.example.com
   IDSTORE_PORT: 1636
   IDSTORE_SSL_ENABLED: true
   IDSTORE_KEYSTORE_FILE: /u01/oracle/config/keystores/idmTrustStore.p12
   IDSTORE_KEYSTORE_PASSWORD: password
   IDSTORE_BINDDN: cn=oimLDAP,cn=systemids,dc=example,dc=com
   IDSTORE_BINDDN_PWD: password
   IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
   IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com

   次の表では、WLS認証プロバイダの構成に関連するパラメータについて説明します。

   表4-4 configureWLSAuthnProviders.configファイルのパラメータ

   プロパティ	説明	値の例
   OIM_WLSHOST	OIG管理サーバーのホスト名を入力します。	oighost1example.com
   OIM_WLSPORT	OIG管理サーバーのポートを入力します。	9002
   OIM_WLSADMIN	OIMドメインのWebLogic管理者ユーザーを入力します。	weblogic
   OIM_WLSADMIN_PWD	OIMドメインのWeblogic管理ユーザーのパスワードを入力します。	<password>
   OIM_IDSTORE_ROLE_SECURITY_ADMIN	WebLogic管理アクセスを割り当てるLDAPディレクトリ内のグループ。	WLSAdministrators
   IDSTORE_DIRECTORYTYPE	アイデンティティ・ストアのディレクトリ・タイプを入力します。有効なオプションは、OID、OUDおよびADです。	OUD
   IDSTORE_HOST	アイデンティティ・ストアのホスト名を入力します。	idstore.example.com
   IDSTORE_PORT	アイデンティティ・ストアのポートを入力します。	1636
   IDSTORE_SSL_ENABLED	アイデンティティ・ストアへのSSLが有効化されているかどうか。有効な値: true | false	true
   IDSTORE_KEYSTORE_FILE	アイデンティティ・ストア資格証明が含まれているキーストア・ファイルの場所。Oracle Unified Directoryアイデンティティ・ストアに適用され、かつこれを必須とします。	/u01/oracle/config/keystores/idmTrustStore.p12
   IDSTORE_KEYSTORE_PASSWORD	アイデンティティ・ストア・ディレクトリ管理者のパスワード。プレーンテキストではありません。Oracle Unified Directoryアイデンティティ・ストアに適用され、かつこれを必須とします。	password
   IDSTORE_BINDDN_PWD	Oracle Internet DirectoryまたはOracle Unified Directory内の管理ユーザーのパスワードを入力します。	<password>
   IDSTORE_BINDDN	Oracle Internet Directory、Oracle Unified Directory、またはActive Directory内の管理ユーザー。	cn=oimLDAP,cn=systemids,dc=example,dc=com
   IDSTORE_USERSEARCHBASE	Access Managerがユーザーを検索するコンテナを入力します。	cn=users,dc=example,dc=com
   IDSTORE_GROUPSEARCHBASE	グループが保存されているディレクトリの場所を入力します。	cn=groups,dc=example,dc=com

2. OIG-OAM統合のための自動スクリプトを実行してWLS認証プロバイダを構成します。

   OIGOAMIntegration.sh -configureWLSAuthnProviders

   WLS認証プロバイダを構成するための自動スクリプトが正常に実行されました。

3. OIGドメイン・サーバーを再起動します。『Oracle Fusion Middleware Oracle Identity and Access Managementのインストールおよび構成』のサーバーの起動に関する項を参照してください。

4.3.2.3 自動スクリプトを使用したLDAPコネクタの構成

統合のための自動スクリプト、OIGOAMIntegration.shを使用して、LDAPコネクタを構成します。

自動スクリプトは次の操作を実行し、LDAPコネクタを構成します。

1. アプリケーション・オンボードLDAPテンプレートを、ダウンロードしたコネクタ・バンドルにコピーします。

2. アプリケーション名、およびLDAPホストやポートなどの他のプロパティ値を構成ファイルから取得します。

3. アプリケーション・オブジェクト、ターゲット・アプリケーション、および認可アプリケーションを、アンマーシャリングされたLDAPテンプレートから作成します。

4. アプリケーション・マネージャを使用して、create APIメソッドを実行し、アプリケーション・オブジェクトからアプリケーション・インスタンスを作成します。

5. 次のような構成ファイルから取得した値を使用してITリソース・インスタンスを更新します。

   • baseContexts

   • プリンシパル

   • 資格証明

   • ホストとポート

   • SSL (trueまたはfalse)

6. SSO.DefaultCommonNamePolicyImplシステム・プロパティを設定します。

7. 構成ファイルから取得した値を使用してSSOIntegrationMXBeanのプロパティを設定します。

   • targetAppInstanceName

   • targeITResourceNameForGroup

   • directorytype

8. SSOトラステッド・パラメータおよびターゲット・パラメータでスケジュール済ジョブを更新します。

9. SSOIntegrationMXBean addContainerRules操作を起動することによって、構成ファイルから取得した値でコンテナ・ルールを更新します。

   • ディレクトリ・タイプ

   • ユーザー検索ベース

   • ユーザー検索ベースの説明

   • グループ検索ベース

   • グループ検索ベースの説明

ノート:

コネクタを構成するためのスクリプトを実行すると、デフォルトのLDAPコンテナ・ルールのみがMDSにシードされます。カスタム・コンテナ・ルールを使用し、これらをMDSに手動でアップロードできます。

LDAPコネクタを構成するには、次のようにします。

1. configureLDAPConnector.configファイル(ORACLE_HOME/idm/server/ssointg/configにある)を更新します。

   IDSTORE_DIRECTORYTYPE: OUD
   IDSTORE_HOST: idstore.example.com
   IDSTORE_PORT: 1636
   IDSTORE_BINDDN: cn=oudadmin
   IDSTORE_BINDDN_PWD: password
   IDSTORE_SSL_ENABLED: true
   IDSTORE_KEYSTORE_FILE: /u01/oracle/config/keystores/idmTrustStore.p12
   IDSTORE_KEYSTORE_PASSWORD: password
   IDSTORE_OIMADMINUSERDN: cn=oimLDAP,cn=systemids,dc=example,dc=com
   IDSTORE_OIMADMINUSER_PWD: password
   IDSTORE_SEARCHBASE: dc=example,dc=com
   IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
   IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
   IDSTORE_USERSEARCHBASE_DESCRIPTION: Default user container
   IDSTORE_GROUPSEARCHBASE_DESCRIPTION: Default group container
   IDSTORE_EMAIL_DOMAIN: edg.com
   OIM_HOST: oighost1.example.com
   OIM_PORT: 14000
   WLS_OIM_SYSADMIN_USER: xelsysadm
   WLS_OIM_SYSADMIN_USER_PWD: password
   OIM_WLSHOST: oighost1.example.com
   OIM_WLSPORT: 9200
   WLS_IS_SSLENABLED: true
   WLS_TRUSTSTORE: /u01/oracle/config/keystores/idmTrustStore.p12
   WLS_TRUSTSTORE_PASSWORD: password
   OIM_WLSADMIN: weblogic
   OIM_SERVER_NAME: oim_server1
   CONNECTOR_MEDIA_PATH: /u01/oracle/products/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0
   SSO_TARGET_APPINSTANCE_NAME: SSOTarget

   次の表では、configureLDAPConnector.configファイルの例にある各パラメータについて説明します。

   表4-5 configureLDAPConnector.configファイルのパラメータ

   プロパティ	説明	値の例
   IDSTORE_DIRECTORYTYPE	アイデンティティ・ストアのディレクトリ・タイプを入力します。有効なオプションは、OID、OUDおよびADです。	OUD
   IDSTORE_HOST	アイデンティティ・ストアのホスト名を入力します。	idstore.example.com
   IDSTORE_PORT	アイデンティティ・ストアのポートを入力します。	OUD: 1389 or 1636 OID: 3060
   IDSTORE_BINDDN	Oracle Internet Directory、Oracle Unified Directory、またはActive Directory内の管理ユーザー。	OID: cn=orcladmin OUD: cn=oudadmin AD: CN=Administrator, CN=Users, DC=example.com, DC=example, dc=com
   IDSTORE_BINDDN_PWD	Oracle Internet DirectoryまたはOracle Unified Directory内の管理ユーザーのパスワードを入力します。	<password>
   IDSTORE_SSL_ENABLED	アイデンティティ・ストアへのSSLが有効化されているかどうか。有効な値: true | false	true
   IDSTORE_KEYSTORE_FILE	アイデンティティ・ストア資格証明が含まれているキーストア・ファイルの場所。Oracle Unified Directoryアイデンティティ・ストアに適用され、かつこれを必須とします。	/u01/oracle/config/keystores/idmTrustStore.p12
   IDSTORE_KEYSTORE_PASSWORD	アイデンティティ・ストア・ディレクトリ管理者のパスワード。プレーンテキストではありません。Oracle Unified Directoryアイデンティティ・ストアに適用され、かつこれを必須とします。	password
   IDSTORE_OIMADMINUSERDN	システム処理ユーザーが保存されるディレクトリ内のコンテナの場所を入力します。システム処理ユーザーは数人しかおらず、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーとは区別しておきます。 たとえば、Oracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Governanceリコンシリエーション・ユーザーがあげられます。	cn=oimLDAP, cn=systemids, dc=example, dc=com
   IDSTORE_OIMADMINUSER_PWD	Oracle Identity Governanceがアイデンティティ・ストアに接続するために使用するユーザーのパスワードを入力します。	<password>
   IDSTORE_SEARCHBASE	ユーザーおよびグループが保存されるディレクトリの場所を入力します。	dc=example,dc=com
   IDSTORE_USERSEARCHBASE	Access Managerがユーザーを検索するコンテナを入力します。	cn=users,dc=example,dc=com
   IDSTORE_GROUPSEARCHBASE	グループが保存されているディレクトリの場所を入力します。	cn=Groups, dc=example, dc=com
   IDSTORE_USERSEARCHBASE_DESCRIPTION	ディレクトリ・ユーザー検索ベースの説明を入力します	デフォルトのユーザー・コンテナ
   IDSTORE_GROUPSEARCHBASE_DESCRIPTION	ディレクトリ・グループ検索ベースの説明を入力します。	デフォルトのグループ・コンテナ
   IDSTORE_EMAIL_DOMAIN	電子メールで使用されるドメインを入力します。たとえば、user@example.comです。	edg.com
   OIM_HOST	OIM管理対象サーバーのホスト名を入力します。	oighost1.example.com
   OIM_PORT	OIMサーバーのポートを入力します。	14000
   WLS_OIM_SYSADMIN_USER	SSOを構成するときにOIGに接続するために使用するシステム管理者ユーザーを入力します。このユーザーはシステム管理者ロールを持っている必要があります。	xelsysadm
   WLS_OIM_SYSADMIN_USER_PWD	OIGシステム管理者ユーザーのパスワードを入力します。	<password>
   OIM_WLSHOST	OIM管理サーバーのホスト名を入力します。	oighost1.example.com
   OIM_WLSPORT	OIM管理サーバーのポートを入力します。	管理ポート有効化ドメインの場合は9002。 非セキュア・モードのデプロイメントの場合は7001。
   WLS_IS_SSLENABLED	Weblogic Serverに対してSSLを有効にするかどうか。有効な値はtrue|falseです。	true
   WLS_TRUSTSTORE	WLSトラスト・ストアの場所を入力します。	/u01/oracle/config/keystores/idmTrustStore.p12
   WLS_TRUSTSTORE_PASSWORD	WLSトラスト・ストアのパスワードを入力します。	password
   OIM_WLSADMIN	OIMドメインのWebLogic管理者ユーザーを入力します。	weblogic
   OIM_SERVER_NAME	OIGサーバー名を入力します。	oim_server1
   CONNECTOR_MEDIA_PATH	ダウンロードして解凍したコネクタ・バンドルの場所を入力します。Oracle Identity Governanceではこの場所を使用してインストールするコネクタ・バンドルを選択します。	OID/OUD = /u01/oracle/products/identity/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0 AD = /u01/oracle/products/identity/idm/server/ConnectorDefaultDirectory/activedirectory-12.2.1.3.0
   SSO_TARGET_APPINSTANCE_NAME	ターゲットLDAPへのアカウントのプロビジョニングに使用されるターゲット・アプリケーション・インスタンス名を入力します。	SSOTarget

   次の表では、Active Directoryに適用できるパラメータについて説明します。

   表4-6 Active Directoryのパラメータ

   プロパティ	説明	値の例
   AD_CONNECTORSERVER_HOST	コネクタ・サーバーのホスト・コンピュータのホスト名またはIPアドレスを入力します。	192.0.2.1
   AD_CONNECTORSERVER_KEY	コネクタ・サーバーのキーを入力します。	<connectorserverkey>
   AD_CONNECTORSERVER_PORT	コネクタ・サーバーがリスニングしているポートの番号を入力します。	8759
   AD_CONNECTORSERVER_TIMEOUT	コネクタ・サーバーとOracle Identity Governanceとの間の接続がタイムアウトするまでの時間をミリ秒単位で指定する整数値を入力します。0という値は、接続がタイムアウトしないことを意味します。	0
   AD_CONNECTORSERVER_USESSL	Oracle Identity GovernanceまたはOracle Unified Directoryとコネクタ・サーバーとの間にSSLを構成するよう指定する場合は、trueを入力します。それ以外の場合は、falseを入力します。 Active Directoryの場合、値はyesまたはnoである必要があります。デフォルト値はfalseです ノート: SSLを構成してコネクタ・サーバーとの通信を保護することをお薦めします。	true (or false)
   AD_DOMAIN_NAME	Microsoft Active Directoryで構成されているドメイン名を入力します。	example.com
   IS_LDAP_SECURE	LDAP通信用のSSLを使用することを示します。ActiveDirectoryの場合は、yesまたはnoを使用します。	false

2. OIG-OAM統合のための自動スクリプトを実行してLDAPコネクタを構成します。

   OIGOAMIntegration.sh -configureLDAPConnector

LDAPコネクタを構成するための自動スクリプトが正常に実行されました。

4.3.2.4 自動スクリプトを使用したSSO統合の構成

統合のための自動スクリプト、OIGOAMIntegration.shを使用して、SSO統合を構成します。

OIGOAMIntegration.shを使用して、OIMをOAMのTAPパートナとして登録し、OIG-OAM通信用のリソース・ポリシーを追加し、MDSのSSOIntegrationMXBean値を更新します。

SSO統合を構成するには、次のようにします。

1. (ORACLE_HOME/idm/server/ssointg/configにある) OIG Oracleホーム・ディレクトリのconfigureSSOIntegration.configファイルをテキスト・エディタで開き、パラメータを更新します。

   configureSSOIntegration.configファイルの例

   OAM_HOST: oamhost.example.com
   OAM_PORT: 14101
   ACCESS_SERVER_HOST: oamaccesshost.example.com
   ACCESS_SERVER_PORT: 5557
   ACCESS_GATE_ID: Webgate_IDM
   ACCESS_GATE_PWD: <password>
   COOKIE_DOMAIN: .example.com
   OAM_TRANSFER_MODE: Open
   SSO_ENABLED_FLAG: true
   SSO_INTEGRATION_MODE: CQR
   OIM_LOGINATTRIBUTE: User Login
   ## Required if OAM_TRANSFER_MODE is not OPEN
   #SSO_KEYSTORE_JKS_PASSWORD: <password>
   #SSO_GLOBAL_PASSPHRASE: <passphrase>
   OIM_WLSHOST: oimadminhost.example.com
   OAM_WLS_IS_SSLENABLED: true
   OIM_WLSPORT: 7002
   OIM_WLS_IS_SSLENABLED: true
   OIM_WLSADMIN: weblogic
   OIM_WLSADMIN_PWD: <password>
   OIM_SERVER_NAME: oim_server1
   IDSTORE_OAMADMINUSER: oamAdmin
   IDSTORE_OAMADMINUSER_PWD: <password>
   ## Required in SSL mode
   #OIM_TRUST_LOC=/u01/oracle/products/identity/wlserver/server/lib/DemoTrust.jks
   #OIM_TRUST_PWD=<password>
   #OIM_TRUST_TYPE=JKS
   #OIM_WLS_SSL_IGNORE_HOST_VERIFICATION: true

   次の表では、configureSSOIntegration.configファイルで設定できるパラメータについて説明します。

   表4-7 configureSSOIntegration.configファイルのパラメータ

   プロパティ	説明	値の例
   OAM_IDSTORE_NAME	OAMで構成されたアイデンティティ・ストアの名前を入力します。これはOAMのデフォルト/システムIDストアとして設定されます。	OAMIDStore
   COOKIE_EXPIRY_INTERVAL	Cookieの有効期限を入力します。 これはオプションです。	120
   OAM_HOST	OAMサーバーのホスト名を入力します。	oamhost.example.com
   OAM_PORT	OAMサーバーのポートを入力します	14100または14102 (SSL)
   ACCESS_SERVER_HOST	Access Manager OAPホストを入力します。	oamhost.example.com
   ACCESS_SERVER_PORT	Access Manager OAPポートを入力します。	5575
   WEBGATE_TYPE	作成するWebゲート・エージェントのタイプを入力します。	ohsWebgate14c (デフォルト)、ohsWebgate12c
   ACCESS_GATE_ID	Webゲートに割り当てられる名前。これはOAM構成時に指定した値です。詳細は、「自動スクリプトを使用したOAMの構成」を参照してください。	Webgate_IDM
   ACCESS_GATE_PWD	アクセス・ゲートIDのパスワードを入力します。	<password>
   COOKIE_DOMAIN	Webゲートが機能するドメインを入力します。	.example.com
   OAM_TRANSFER_MODE	アクセス・サーバーが機能するセキュリティ・モードを入力します。サポートされる値はOPENです。 ノート: CERTモードの統合の切替えを行うには、構成後のステップとしてOAMサーバーとWebゲートを変更します。これは、『Oracle Access Managerの管理』のOAMサーバーとWebゲート間の通信の保護に関する項の説明に従って変更できます。	OPEN
   SSO_ENABLED_FLAG	OIG-OAM統合が有効な場合にtrueに設定します。それ以外の場合は、False。	true
   SSO_INTEGRATION_MODE	OAMとの統合モードを入力します。チャレンジ質問レスポンス(CQR)モードを使用すると、OIGはパスワード・ポリシーとパスワード操作を処理します。ワンタイム・パスワード(OTP)モードを使用すると、すべてのパスワード操作がOAM自体で処理され、OIGでのパスワードの変更およびリセットは行われません。	CQR
   OIM_LOGINATTRIBUTE	ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性を入力します。ユーザーはログインにこの属性を使用します。	uid
   OIM_WLS_IS_SSLENABLED	OAMドメインをSSL対応にするかどうかを指定します	trueまたはfalse
   OAM_WLS_ADMIN_USER	OAMドメインのWebLogic管理者ユーザーを入力します。	weblogic
   OAM_WLS_ADMIN_PASSWD	OAMドメインのWeblogic管理ユーザーのパスワードを入力します。 ノート: パスワード・フィールドはすべてオプションです。ファイルに入力しない場合(セキュリティの問題)、スクリプトの実行時に入力を求められます。	password
   SSO_GLOBAL_PASSPHRASE	Access ManagerとのSIMPLEセキュリティ・モード通信用のランダムなグローバル・パスフレーズ。Access Managerは、デフォルトでOPENセキュリティ・モードを使用するように構成されています。OPENモードのインストール・デフォルトを使用する場合は、この手順をスキップできます。 ノート: グローバル・パスフレーズは、保存された接続構成ファイルのglobal_passphrase属性の値から取得されます。この接続構成ファイルの詳細は、「保存された接続構成ファイル」を参照してください。	password
   OIM_WLSHOST	OIG管理サーバーのホスト名を入力します。	oighost1.example.com
   OIM_WLS_IS_SSLENABLED	OIG管理サーバーをSSL対応にするかどうかを指定します。	true
   WLS_TRUSTSTORE	ドメイン・トラスト・ストア・ファイルの場所。SSL接続に必要です。	/u01/oracle/config/keystores/idmTrustStore.p12
   WLS_TRUSTSTORE_PASSWORD	トラストストアのパスワード。	password
   OIM_WLSPORT	OIGドメインで管理ポートが有効になっている場合は、これを管理サーバー9102の管理ポートに設定し、それ以外の場合は、管理サーバー・ポート7101または7102 (SSL)に設定します	9102
   OIM_WLSADMIN	OIMドメインのWebLogic管理者ユーザーを入力します。	weblogic
   OIM_WLSADMIN_PWD	OIMドメインのWeblogic管理ユーザーのパスワードを入力します。	<password>
   OIM_SERVER_NAME	OIGサーバー名を入力します。	oim_server1
   IDSTORE_OAMADMINUSER	Oracle Access Managementコンソールへのアクセスに使用するユーザーを入力します。	oamAdmin
   IDSTORE_OAMADMINUSER_PWD	Oracle Access Managementコンソールへのアクセスに使用するユーザーのパスワードを入力します。	<password>
   OIM_WLS_IS_SSLENABLED	OIGドメインをSSL対応にするかどうかを指定します。	trueまたはfalse
   OIM_TRUST_LOC	OIGトラスト・ストアの場所を入力します。	ORACLE_HOME/wlserver/server/lib/DemoTrust.jks
   OIM_TRUST_PWD	トラスト・ストアにアクセスするためのパスワードを入力します。	<password>
   OIM_TRUST_TYPE	トラスト・ストアのタイプを入力します。JKSまたはPKCS12	JKSまたはPKCS12
   OIM_WLS_SSL_IGNORE_HOST_VERIFICATION	SSLホスト名の検証を無視するかどうかを指定します。多くの場合、ワイルドカード証明書が使用されます。	trueまたはfalse

2. (ORACLE_HOME/idm/server/ssointg/binにある) OIG Oracleホーム・ディレクトリのOIGOAMIntegration.shスクリプトを実行して、SSO統合を構成します:

   export DOMAIN_HOME=/u01/oracle/config/domains/oim
   export ORACLE_HOME=/u01/oracle/products/idm
   export JAVA_HOME=/u01/oracle/products/jdk
   
   LOGDIR=/home/oracle/scripts/logs
   
   cd $ORACLE_HOME/idm/server/ssointg/bin
   ./OIGOAMIntegration.sh -configureSSOIntegration

   ノート:

   configureSSOIntegrationオプションを指定してOIMOAMIntegration.shスクリプトを実行すると、コマンドが見つからないというエラーが表示されます。ただし、これは無害なエラーであり、スクリプトは示されているとおりに引き続き実行されます:

   [2020-09-11 08:26:05]
   -----------------------------------------------------------------
   [2020-09-11 08:26:05]
   [2020-09-11 08:26:05] ==================================================
   [2020-09-11 08:26:05] Executing configureSSOIntegration
   [2020-09-11 08:26:05] --------------------------------------------------
   [2020-09-11 08:26:05]
   /scratch/username_folder/interopps4/oimmw/idm/server/ssointg/bin/_OIGOAMIntegration.sh
   : line 72: =OAM_IDSTORE_NAME: command not found
   [2020-09-11 08:26:05] Now running wlst.sh updateOAMConfigIDStore.py
   
   Initializing WebLogic Scripting Tool (WLST) ...
   
   Welcome to WebLogic Server Administration Scripting Shell

   OIGOAMIntegration.shは、次のポリシーをOAMに追加します:

   /FacadeWebApp/*
   /OIGUI/*
   /iam/governance/*
   /soa/**
   /ucs/**
   /reqsvc/**
   /workflowservice/**
   /HTTPClnt/**
   /callbackResponseService/**
   /role-sod/**
   /sysadmin/**
   /oim/**
   /admin/**
   /spml-xsd/**
   /spmlws/**
   /sodcheck/**
   /SchedulerService-web/**
   /jmx-config-lifecycle/**
   /integration/**
   /identity/**
   /provisioning-callback/**
   /soa-infra/**
   /CertificationCallbackService/**
   /identity/faces/firstlogin
   /admin/faces/pages/pwdmgmt.jspx
   /sysadmin/
   /xmlpserver
   /sysadmin
   /identity/faces/taskdetails
   /identity/faces/trackregistrationrequests
   /identity/faces/request
   /identity/
   /identity
   /sysadmin/faces/home
   /identity/faces/home
   /oim/faces/pages/Admin.jspx
   /oim/faces/pages/Self.jspx
   /admin/faces/pages/Admin.jspx

SSO統合を構成するための自動スクリプトが正常に実行されました。

SSO統合構成の確認

次のステップを実行します。

1. リソースを確認します

   1. 次のOracle Access Managementコンソールにログインします。

      http://oam_adminserver_host:oam_adminserver_port/oamconsole

   2. 「アプリケーション・セキュリティ」起動パッドから、「Access Manager」セクションで「アプリケーション・ドメイン」をクリックします。

      「アプリケーション・ドメインの検索」ページが表示されます。

   3. 「検索」ページで「検索」をクリックします。

      アプリケーション・ドメインのリストが表示されます。

   4. ドメイン「IAMスイート」をクリックします。

   5. 「リソース」タブをクリックし、次のリソースが作成されていることを確認します。

      • /soa/**
      • /jmx-config-lifecycle/**
      • /SchedulerService-web/**
      • /sodcheck/**
      • /spmlws/**
      • /spml-xsd/**
      • /XIMDD/**
      • /admin/**
      • /oim/**
      • /sysadmin/**
      • /role-sod/**
      • /callbackResponseService/**
      • /HTTPClnt/**
      • /iam/governance/*
      • /OIGUI/*
      • /FacadeWebApp/*
      • /provisioning-callback/**
      • /CertificationCallbackService/**
      • /iam/governance/configmgmt/**
      • /iam/governance/scim/v1/**
      • /iam/governance/token/api/v1/**
      • /iam/governance/applicationmanagement/**
      • /iam/governance/adminservice/api/v1/**
      • /iam/governance/selfservice/api/v1/**

2. oig-oam-integrationログ・ファイル内のproposed valueとSSOIntegrationMXBean内の値が同じであることを確認します。

   1. (ORACLE_HOME/idm/server/ssointg/logsにある) oig-oam-integrationログ・ファイルを開き、proposed valueを検索します。

      oig-oam-integrationログ・ファイルの例

      
      OIMIntegrationAutomationTool.connectToDomainRuntime...
      Connecting to t3://myhost.us.example.com:7002
      OIMIntegrationAutomationTool.getJMXConnector...
      mserver: /jndi/weblogic.management.mbeanservers.domainruntime
      Connection to domain runtime mbean server established
      SSOIntegrationMXBean name: oracle.iam:Location=oim_server1,name=SSOIntegrationMXBean,type=IAMAppRuntimeMBean,Application=oim
      sak SSOIntegrationAutomationTool: got SSOIntegrationMXBean...
       sak current value of accessServerHost=myhost.us.example.com
       proposed value of accessServerHost=myhost.us.example.com
        sak new value of accessServerHost=myhost.us.example.com
       sak current value of oamAdminUser=oamAdminUser
       sak proposed value of oamAdminUser=oamAdminUser
       sak new value of oamAdminUser=oamAdminUser
       current value of tapEndpointUrl=http://myhost.us.example.com:14100/oam/server/dap/cred_submit
       sak proposed value of tapEndpointUrl=http://myhost.us.example.com:14100/oam/server/dap/cred_submit
       sak new value of tapEndpointUrl=http://myhost.us.example.com:14100/oam/server/dap/cred_submit
       current value of loginIdAttribute=User Login
       current value of version=12c
       proposed value of version=12c
       new value of version=12c
       current value of accessServerPort=5575
       proposed value of accessServerPort=5575
       new value of accessServerPort=5575
       current value of oamServerPort=14100
       proposed value of oamServerPort=14100
       new value of oamServerPort=5575
       current value of accessGateID=Webgate_IDM
       proposed value of accessGateID=Webgate_IDM
       new value of accessGateID=Webgate_IDM
       current value of napVersion=4
       proposed value of napVersion=4
       new value of napVersion=4
       current value of cookieDomain=.us.example.com
       proposed value of cookieDomain=.us.example.com
       new value of cookieDomain=.us.example.com
       current value of cookieExpiryInterval=120
       proposed value of cookieExpiryInterval=120
       new value of cookieExpiryInterval=120
       current value of transferMode=Open
       proposed value of transferMode=Open
       new value of transferMode=Open
       current value of webgateType=ohsWebgate14c
       proposed value of webgateType=ohsWebgate14c
       new value of webgateType=ohsWebgate14c
       proposed value of SSOEnabled=true
       new value of isSSOEnabled=true
       current value of integrationMode=CQR
       proposed value of integrationMode=CQR
       new value of integrationMode=CQR
       Connection closed sucessfully
       sak configure oam
      
       Connecting to OAM Domain MBean Server... looking for OAM domain credentials.
       JMX URL : service:jmx:t3://myhost.us.example.com:7001/jndi/weblogic.management.mbeanservers.domainruntime
       sak mbeanObjectNames size: 1
       sak Registering OIM as a TAP partner with OAM...
       sak Registering OIM as a TAP partner with OAM was successful!!
       sak configure oam before strCipherKey=DEC40506366E926CACC9A0D666E94F85
       sak mbeanObjectNames size: 1
       Getting OAM/TAP Endpoint URL...
       Getting OAM/TAP Endpoint URL was successful!!
       MBean server connection closed sucessfully

   2. ブラウザを開き、次のURL形式を使用してOIGのOracle Enterprise Manager Fusion Middleware Controlにアクセスします:

      http://ADMINSTRATION_SERVER:PORT/em

   3. 「ドメイン」を展開し、「システムMBeanブラウザ」を開きます

   4. SSOIntegrationMXBeanという名前のMBeanを検索します

   5. すべての必須フィールドが、oig-oam-integrationログ・ファイル内のproposed valueで更新されていることを確認します。

3. OAMドメインのDOMAIN_HOME/config/fmwconfigにあるoam-config.xmlを開き、UserStore属性がconfigureSSOIntegration.config ファイルで指定したアイデンティティ・ストアの名前(OAMIDSTOREなど)を指していることを確認します。

4.3.2.5 自動スクリプトを使用したOAM通知の有効化

OIG-OAM統合のための自動スクリプトであるOIGOAMIntegration.shを使用して、OAM通知を有効にします。

ユーザー・セッションを停止するためにはイベント・ハンドラが必要です。OAM通知ハンドラはデフォルトではロードされません。OIGOAMIntegration.sh -enableOAMsessionDeletionを実行してOAM通知ハンドラをインポートし、OIGシステム管理者を登録してOAM REST APIを使用します。

OAM通知を有効にするには、次のようにします。

1. enableOAMSessionDeletion.configファイル(ORACLE_HOME/idm/server/ssointg/configにある)を更新します。

   OIM_WLSHOST: oighost1.example.com
   OIM_WLSPORT: 7002
   WLS_IS_SSLENABLED: true
   WLS_TRUSTSTORE: /u01/oracle/config/keystores/idmTrustStore.p12
   WLS_TRUSTSTORE_PASSWORD: password
   WLS_SSL_HOST_VERIFICATION: true
   OIM_WLSADMIN: weblogic
   OIM_WLSADMIN_PWD: password
   IDSTORE_DIRECTORYTYPE: OUD
   IDSTORE_HOST: ldaphost1.example.com
   IDSTORE_PORT: 1636
   IDSTORE_KEYSTORE_FILE: /u01/oracle/config/keystores/idmTrustStore.p12
   IDSTORE_KEYSTORE_PASSWORD: password
   IDSTORE_SSL_ENABLED: true
   IDSTORE_BINDDN: cn=oudadmin
   IDSTORE_BINDDN_PWD: password
   IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
   IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
   IDSTORE_OAMADMINUSER: oamadmin
   IDSTORE_OAMSOFTWAREUSER: oamLDAP
   IDSTORE_PWD_OAMSOFTWAREUSER: password
   IDSTORE_PWD_OAMADMINUSER: password
   IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
   OIM_SERVER_NAME: oim_server1

   次の表では、enableOAMSessionDeletion.configファイルの例にあるOAM通知の有効化に関連するパラメータについて説明します。

   表4-8 enableOAMSessionDeletion.configファイルのパラメータ

   プロパティ	説明	値の例
   OIM_WLSHOST	OIG管理サーバーのホスト名を入力します。	oighost1.example.com
   OIM_WLSPORT	OIGドメインで管理ポートが有効になっている場合は、これを管理サーバー9102の管理ポートに設定し、それ以外の場合は、管理サーバー・ポート7101または7102 (SSL)に設定します。	9102
   WLS_IS_SSLENABLED	WLSが有効かどうか。有効な値: true | false	true
   WLS_TRUSTSTORE	WLSトラスト・ストアの場所を入力します。	/u01/oracle/config/keystores/idmTrustStore.p12
   WLS_TRUSTSTORE_PASSWORD	WLSトラスト・ストアのパスワードを入力します。	password
   WLS_SSL_HOST_VERIFICATION	WLS SSLホストの検証が有効かどうか。有効な値: true | false	true
   OIM_WLSADMIN	OIMドメインのWebLogic管理者ユーザーを入力します。	weblogic
   OIM_WLSADMIN_PWD	OIMドメインのWeblogic管理ユーザーのパスワードを入力します。	<password>
   IDSTORE_DIRECTORYTYPE	アイデンティティ・ストアのディレクトリ・タイプを入力します。有効なオプションは、OID、OUDおよびADです。	OUD
   IDSTORE_HOST	アイデンティティ・ストアのホスト名を入力します。	idstore.example.com
   IDSTORE_PORT	アイデンティティ・ストアのポートを入力します。	OUDの場合は1289または1636 (SSL)
   IDSTORE_KEYSTORE_FILE	アイデンティティ・ストア資格証明が含まれているキーストア・ファイルの場所。	/u01/oracle/config/keystores/idmTrustStore.p12
   IDSTORE_KEYSTORE_PASSWORD	アイデンティティ・ストア・ディレクトリ管理者のパスワード。プレーンテキストではありません。	password
   IDSTORE_SSL_ENABLED	アイデンティティ・ストアへのSSLが有効化されているかどうか。有効な値: true | false	true
   IDSTORE_BINDDN	Oracle Internet Directory、Oracle Unified Directory、またはActive Directory内の管理ユーザー。	cn=oudadmin
   IDSTORE_BINDDN_PWD	Oracle Internet DirectoryまたはOracle Unified Directory内の管理ユーザーのパスワードを入力します。	<password>
   IDSTORE_GROUPSEARCHBASE	グループが保存されているディレクトリの場所を入力します。	cn=Groups,dc=example,dc=com
   IDSTORE_SYSTEMIDBASE	システム処理ユーザーが保存されるディレクトリ内のコンテナの場所を入力します。システム処理ユーザーは限られており、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーとは区別しておきます。 たとえば、Oracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Governanceリコンシリエーション・ユーザーがあげられます。	cn=systemids,dc=example,dc=com
   IDSTORE_OAMADMINUSER	Oracle Access Managementコンソールへのアクセスに使用するユーザーを入力します。	oamAdmin
   IDSTORE_OAMSOFTWAREUSER	LDAPサーバーとの対話に使用するユーザーを入力します。	oamLDAP
   IDSTORE_PWD_OAMSOFTWAREUSER	Access Managerアイデンティティ・ストア接続を確立するパスワードを入力します。	password
   IDSTORE_PWD_OAMADMINUSER	Access Manager管理者のパスワードを入力して、Access Managerアイデンティティ・ストア接続を確立します。	password
   IDSTORE_USERSEARCHBASE	Access Managerがユーザーを検索するコンテナを入力します。	cn=users,dc=example,dc=com
   OIM_SERVER_NAME	OIGサーバー名を入力します。	oim_server1

2. OIG-OAM統合のための自動スクリプトを実行してOAM通知を有効にします。

   export DOMAIN_HOME=/u01/oracle/config/domains/oim
   export ORACLE_HOME=/u01/oracle/products/idm
   export JAVA_HOME=/u01/oracle/products/jdk
   
   LOGDIR=/home/oracle/scripts/logs
   
   cd $ORACLE_HOME/idm/server/ssointg/bin
   ./OIGOAMIntegration.sh --enableOAMSessionDeletion

3. oam-config.xmlファイル内のSettingを更新します。

   1. oam-config.xmlファイルをdbstoreからエクスポートします。詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOAM構成の更新に関する項を参照してください。
   2. セクション<Setting Name="SessionRuntime" Type="htf:map">を探します
   3. Setting名であるUserStoreの値がoam-oig統合の際に作成されるユーザー・アイデンティティ・ストアの名前と同じになるように更新します。

      たとえば、デフォルトではSetting名は次のように表示されます:

      <Setting Name="UserStore" Type="xsd:string">UserIdentityStore1</Setting>

      Settingを次のように更新します:

      <Setting Name="UserStore" Type="xsd:string">OAMIDStore</Setting>

      ここで、OAMIDStoreは、oam-oig統合中に作成されたユーザー・アイデンティティ・ストアの名前です。

   4. oam-config.xmlファイルをdbstoreにインポートして戻します。詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOAM構成の更新に関する項を参照してください。

OAM通知を有効にするための自動スクリプトが正常に実行されました。

4.3.2.6 サーバーの再起動

OIG-OAM統合プロセスを実行するための自動スクリプトの実行後に、すべてのサーバーを再起動します。

1. oim.confファイルをORACLE_HOME/server/ssointg/templates/oim.confからOHS_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1/moduleconfにコピーします。

2. OHSサーバーを再起動します。

3. OIGおよびOAMドメインを再起動します。

自動スクリプトが正常に実行され、OIG-OAM統合プロセスが完了しました。

統合設定の検証に進みます。OIG-OAM統合の検証を参照してください。

4.3.2.7 JDK引数の追加

統合環境では、ノードに直接アクセスすると、ブラウザで次のエラーが発生します:

ADF_FACES-30200: For more information, please see the server's error log for an entry beginning with: The UIViewRoot is null. Fatal exception during PhaseId: RESTORE_VIEW 1.

ただし、このエラーは複数回試行すると表示されなくなります。

この問題を解決するには、<IDENTITYDOMAIN>/binフォルダにあるスクリプト./startManagedServer.shに次のJDKパラメータを追加します。その後、変更を保存してサーバーを再起動します:

-Dadf.security.clearCache.enabled=false

4.4 Access ManagerとOracle Identity Governance統合の検証

次の健全性チェックを実行する(統合環境を検証する)ことにより、実行時に発生する可能性のあるいくつかの一般的な問題を回避できます。

このリリースでは、Oracle Identity Governanceは、OIGOAMIntegration.shスクリプトを使用してAccess Managerと統合されます。Oracle Identity GovernanceがOracle Access Managerと統合されると、次の構成設定およびファイルが更新されます:

• OIGメタデータ・ストアに格納されているoim-config.xmlファイル内のSSOConfigセクション。

• OIM_DOMAIN_HOME/config.xml内のレルム・セキュリティ・プロバイダ。

• OIM_DOMAIN_HOME/config/fmwconfig/cwallet.sso内のOIGドメイン資格証明ストア。

• OIGメタデータ・ストアに格納されているEventhandler.xml内の、SSO統合に必要となる編成イベント・ハンドラ。

• OIM_DOMAIN_HOME/config/fmwconfig/jps-config.xml内のSSOログアウト構成。

関連項目:

• Oracle Identity ManagerのSSO構成設定の検証

• Oracle Identity Governanceセキュリティ・プロバイダ構成の検証

• Access Managerセキュリティ・プロバイダ構成の検証

• SSO用に構成されたOracle Identity Governanceイベント・ハンドラの検証

• Oracle Identity GovernanceのSSOログアウト構成の検証

• Access ManagerとOracle Identity Governanceの統合の機能的なテスト

• 統合構成の検証

4.4.1 Oracle Identity Governance SSO構成設定の検証

この手順では、oim-config.xml内のSSOConfig設定を検証する方法について説明します。

関連項目:

Oracle Fusion Middlewareの管理のFusion Middleware Control MBeanブラウザの使用に関するスタート・ガイド。

1. Oracle Enterprise Manager Fusion Middleware Controlにログインします。
2. 「WebLogicドメイン」を選択し、ドメイン名を右クリックします。
3. システムMBeanブラウザを開き、SSOIntegrationMXBeanを検索します。
4. OIGOAMIntegration.shの実行後に次の属性設定が正しいことを確認します。必要に応じて値を更新します。

   • OAM管理対象サーバーのポート、oamServerPortが更新されています。

   • OAMの管理ユーザー、oamAdminUserが更新されています。

   • SsoEnabled属性は書込み専用です。確実にtrueに設定するには、Mbeanブラウザで手動で設定します。

     属性値をチェックするには、次のようにします:

     1. 「操作」タブを開き、isSsoEnabled属性を選択します。

     2. 「呼出し」ボタンをクリックして、現在の値を表示します。

   • TAP通信を使用している場合、TapEndpointURL属性が存在します。

   • Oracle Access Protocol (OAP)通信を使用している場合、AccessGateID、AccessServerHost、AccessServerPort、CookieDomain、CookieExpiryInterval、NapVersion、TransferModeおよびWebgateTypeの属性が存在します。

   • Versionが11gに設定されている場合、TapEndpointURL属性が有効なURLに設定されていることを確認してください。。

   • IntegrationModeがCQRに設定されています。

   • DirectoryTypeがOID、OUD、またはADに設定されています。

   • TargetITResourceNameForGroupがSSO Serverに設定されています

   • TargetApplicationInstanceNameがOIGOAMIntegration.shの実行中に使用されるアプリケーション・インスタンス名に設定されています。

4.4.2 Oracle Identity Governanceセキュリティ・プロバイダ構成の検証

この手順では、Oracle Identity Governanceセキュリティ・プロバイダ構成を検証する方法について説明します。

1. WebLogic Server管理コンソールで、OIGドメインにナビゲートします。
2. 「セキュリティ・レルム」→「myrealm」にナビゲートして、「プロバイダ」タブをクリックします。
3. 認証プロバイダが次のように構成されていることを確認します。

   認証プロバイダ	制御フラグ
   OAMIDAsserter	REQUIRED
   OIMSignatureAuthenticator	SUFFICIENT
   OIMAuthenticationProvider	SUFFICIENT
   LDAPオーセンティケータ	SUFFICIENT
   DefaultAuthenticator	SUFFICIENT
   DefaultIdentityAsserter	該当なし
   信頼サービスIDアサータ	該当なし

4. LDAPオーセンティケータ名は、使用しているLDAPプロバイダによって異なる場合があります。たとえば、Oracle Unified Directoryの場合はOUDAuthenticatorです。「ユーザーとグループ」タブを選択し、「ユーザー」タブにLDAPユーザーがリストされていることを確認することで、これが正しく構成されていることを検証します。

4.4.3 Access Managerセキュリティ・プロバイダ構成の検証

この手順では、Access Managerセキュリティ・プロバイダ構成を検証する方法について説明します。

1. WebLogic Server管理コンソールで、OAMドメインにナビゲートします。
2. 「セキュリティ・レルム」→「myrealm」にナビゲートします。次に「プロバイダ」タブをクリックします。
3. 認証プロバイダが次のように構成されていることを確認します。

   認証プロバイダ	制御フラグ
   信頼サービスIDアサータ	該当なし
   OAMIDAsserter	必須
   DefaultAuthenticator	SUFFICIENT
   LDAPオーセンティケータ	SUFFICIENT
   DefaultIdentityAsserter	該当なし

4. LDAPオーセンティケータは、使用されているLDAPプロバイダによって異なります。「ユーザーとグループ」タブをクリックし、「ユーザー」タブにLDAPユーザーがリストされていることを確認することで、これが正しく構成されていることを検証します。

4.4.4 Oracle Identity Governanceドメイン資格証明ストアの検証

Oracle Identity GovernanceとAccess Manager間の通信の際に使用されるすべてのパスワードと資格証明は、ドメイン資格証明ストア内に格納されています。

通信に使用されるパスワードと資格証明を検証するには:

1. OIGドメインのOracle Enterprise Manager Fusion Middleware Controlにログインし、「WebLogicドメイン」を選択します。
2. 「WebLogicドメイン」ドロップダウンから「セキュリティ」に移動し、「資格証明」をクリックします。
3. 「oim」インスタンスを開きます。次の資格証明を検証します。

   • SSOAccessKey: OPENモードのみ

   • OIM_TAP_PARTNER_KEY

   • OAMAdminPassword

4.4.5 SSO用に構成されたOracle Identity Governanceイベント・ハンドラの検証

ユーザーステータスの変更後、セッションの終了をサポートするため、イベント・ハンドラ・セットがOracle Identity Governance MDSにアップロードされます。これらのイベント・ハンドラは、ユーザー・ステータスが変更されるとAccess Managerに通知し、これによってユーザー・セッションが終了します。これらは、EventHandlers.xmlファイル(/db/ssointg/EventHandlers.xml)の一部としてMDSにアップロードされます。

関連項目:

• Oracle Fusion Middlewareの管理のFusion Middleware Control MBeanブラウザの使用に関するスタート・ガイド。

• Applications for Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズのカスタマイズのデプロイおよびアンデプロイに関する項。

すべてのイベント・ハンドラが正しく構成されていることを確認するには、Oracle Enterprise Manager Fusion Middleware Controlを使用してEventHandlers.xmlファイルをエクスポートします。

1. OIGドメインのOracle Enterprise Manager Fusion Middleware Controlにログインします。
2. 左側の「ターゲット・ナビゲーション」アイコンをクリックし、「Identity And Access」を展開し、「アクセス」を展開して、「OIM」をクリックします。
3. 右クリックして「システムMBeanブラウザ」に移動します。
4. 「アプリケーション定義のMBean」の下で、Oracle.mds.lcm、Server:oim_server1、Application:OIM、MDSAppRuntimeのそれぞれを展開し、MDSAppRuntimeをクリックします。
5. 「操作」タブをクリックし、次にexportMetadataをクリックします。
6. toLocationに、/tmpまたは別のディレクトリの名前を入力します。これは、ファイルがエクスポートされるディレクトリです。
7. docsフィールドで、「編集」、続いて「追加」をクリックしてから、完全なファイルの場所を要素として入力します。

   /db/oim-config.xml
   /db/ssointg/EventHandlers.xml
   /db/LDAPContainerRules.xml

8. 「excludeAllCust」、「excludeBaseDocs」および「excludeExtendedMetadata」に「false」を選択します。
9. 「起動」をクリックすると、docsフィールドで指定されたファイルがtoLocationフィールドで指定されたディレクトリにエクスポートされます。
10. EventHandlers.xmlで次のハンドラのリストを確認します。

    <postprocess-handler class="oracle.iam.sso.eventhandlers.UserLockedNotificationHandler" entity-type="User" operation="LOCK" name="UserLockedNotificationHandler" order="FIRST" stage="postprocess" sync="TRUE"/>
    <postprocess-handler class="oracle.iam.sso.eventhandlers.UserLockedNotificationHandler" entity-type="User" operation="UNLOCK" name="UserLockedNotificationHandler" order="FIRST" stage="postprocess" sync="TRUE"/>
    <postprocess-handler class="oracle.iam.sso.eventhandlers.UserStatusNotificationHandler" entity-type="User" operation="ENABLE" name="UserStatusNotificationHandler" order="FIRST" stage="postprocess" sync="TRUE"/>
    <postprocess-handler class="oracle.iam.sso.eventhandlers.UserStatusNotificationHandler" entity-type="User" operation="DISABLE" name="UserStatusNotificationHandler" order="FIRST" stage="postprocess" sync="TRUE"/>
    <postprocess-handler class="oracle.iam.sso.eventhandlers.UserUpdatedNotificationHandler" entity-type="User" operation="MODIFY" name="UserUpdatedNotificationHandler" order="FIRST" stage="postprocess" sync="TRUE"/>
    <postprocess-handler class="oracle.iam.sso.eventhandlers.UserStatusNotificationHandler" entity-type="User" operation="DELETE" name="UserStatusNotificationHandler" order="FIRST" stage="postprocess" sync="TRUE"/>
    <action-handler class="oracle.iam.sso.eventhandlers.RoleGrantNotificationHandler" entity-type="RoleUser" operation="CREATE" name="RoleGrantNotification" order="FIRST" stage="postprocess" sync="TRUE"/>
    <action-handler class="oracle.iam.sso.eventhandlers.RoleGrantNotificationHandler" entity-type="RoleUser" operation="MODIFY" name="RoleGrantNotification" order="FIRST" stage="postprocess" sync="TRUE"/>
    <action-handler class="oracle.iam.sso.eventhandlers.RoleGrantNotificationHandler" entity-type="RoleUser" operation="DELETE" name="RoleGrantNotification" order="FIRST" stage="postprocess" sync="TRUE"/>

4.4.6 Oracle Identity GovernanceのSSOログアウト構成の検証

Oracle Identity Governanceログアウトは、統合の完了後、シングル・ログアウトを使用するように構成されます。ユーザーは、Oracle Identity Governanceからログアウトすると、Access Managerで保護されたすべてのアプリケーションからもログアウトされます。

シングル・ログアウトの構成を検証するには、次の手順を実行します。

1. 現在の作業ディレクトリから、次のディレクトリに移動します。

   OIM_DOMAIN_HOME/config/fmwconfig 
   

2. jps-config.xmlファイルを開きます。
3. jps-config.xmlファイルの<propertySet name="props.auth.uri.0">要素に次の例のようなエントリが含まれることを確認します。

   <propertySet name="props.auth.uri.0">
   <property name="logout.url" value="/oamsso/logout.html"/>
   <property name="autologin.url" value="/obrar.cgi"/>
   <property name="login.url.BASIC" value="/${app.context}/adfAuthentication"/>
   <property name="login.url.FORM" value="/${app.context}/adfAuthentication"/>
   <property name="login.url.ANONYMOUS" value="/${app.context}/adfAuthentication"/>
   </propertySet>

4.4.7 Access ManagerとOracle Identity Governanceの統合の機能的なテスト

最後のタスクとして、Access ManagerとOracle Identity Governanceの統合を検証します。

次の表に示されているステップを順に実行します。

表4-9 Access ManagerとOracle Identity Governanceの統合の検証

ステップ	説明	予想される結果
1	Oracle Access Managementコンソールに、次のURLを使用してweblogic_idmユーザーとしてログインします。 http://admin_server_host:admin_server_port/oamconsole	管理コンソールにアクセスします。
2	次のURLを使用して、Oracle Identity Governance管理ページにアクセスします。 Oracle Identity Self Serviceの場合: http://hostname:port/identity/faces/home Oracle Identity System Administrationの場合: http://hostname:port/sysadmin/faces/home ここでhostname:portは、ドメイン・エージェントまたはWebゲートのどちらが使用されているかによって、Oracle Identity ManagementまたはOHSのいずれかを対象とします。	Access Manager管理対象サーバーのOracle Access Managementログイン・ページが表示されます。 ログイン・ページに「パスワードを忘れた場合」、「新規アカウントの登録」および「ユーザー登録のトラッキング」機能のリンクが表示されることを確認します。各リンクが機能することを確認してください。これらの機能の詳細は、「パスワード管理シナリオについて」を参照してください。
3	xelsysadm (Oracle Identity Governance管理者)としてログインします。	Oracle Identity Governanceの管理ページにアクセスできます。
4	Oracle Identity Self Serviceを使用して新しいユーザーを作成します。 ブラウザを閉じ、OIGアイデンティティ・ページにアクセスしてみます。ログインのプロンプトが表示されたら、新しく作成したユーザーの有効な資格証明を指定します。	Oracle Identity Governanceにリダイレクトされ、パスワードを再設定するように求められます。 パスワードを再設定し、チャレンジ質問を設定すると、自動的にアプリケーションにログインされます。自動ログインが機能します。
5	ブラウザを閉じ、Oracle Identity Self Serviceにアクセスします。	Access Manager管理対象サーバーのOracle Access Managementログイン・ページが表示されます。 ログイン・ページに「パスワードを忘れた場合」、「新規アカウントの登録」および「ユーザー登録のトラッキング」機能のリンクが表示されることを確認します。各リンクが機能することを確認してください。これらの機能の詳細は、「パスワード管理シナリオについて」を参照してください。
6	ブラウザを開き、テスト・ユーザーとしてログインすることで、ロック/無効化機能が機能することを検証します。 別のブラウザ・セッションで管理者としてログインし、テスト・ユーザー・アカウントをロックまたは無効化します。	ユーザーは、どのリンクにアクセスしてもログイン・ページにリダイレクトされる必要があります。
7	テスト・ユーザーまたはシステム管理者としてOracle Identity Self Serviceにログインすることによって、SSOログアウト機能が機能することを検証します。	ページからログアウトすると、SSOログアウト・ページにリダイレクトされます。

4.4.8 統合構成の検証

DOMAIN_HOME/config/fmwconfigにあるOAMドメイン内のoam-config.xmlに、OAMの構成時に指定されたIDStore、すなわちOAMIDSTOREが含まれることを検証します。XMLノードのSessionRuntime>UserStoreはUserIdentityStore1ではなく、OAMIDSTOREである必要があります。

• 次のスケジュールされたジョブが存在するかどうかを検証します。

  • SSOグループ作成および更新の完全リコンシリエーション

  • SSOグループ作成および更新の増分リコンシリエーション

  • SSOグループ削除の完全リコンシリエーション

  • SSOグループ削除の増分リコンシリエーション

  • SSOグループ階層同期化完全リコンシリエーション

  • SSOグループ階層同期化増分リコンシリエーション

  • SSOグループ・メンバーシップ完全リコンシリエーション

  • SSOグループ・メンバーシップ増分リコンシリエーション

  • SSO有効後のLDAPへのロール階層のプロビジョン

  • SSO有効後のLDAPへのロールのプロビジョン

  • SSO有効後のLDAPへのユーザーのプロビジョン

  • SSOユーザー増分リコンシリエーション

  • SSOユーザー完全リコンシリエーション

  • SSO有効後のLDAPへのロール・メンバーシップのプロビジョン

• ITリソースが適切に更新または作成されているかどうかを検証します。

  • 「プロビジョニング構成」>「ITリソース」にナビゲートします。

  • OIDコネクタタイプのITリソースを検索します。

  • SSOTargetApp、SSOTrusted-for-SSOTargetAppなどのITリソースに、適切なパラメータ値が指定されていることを確認します。

• $ORACLE_HOME/idm/server/ssointg/logs/oig-oam-integration_*.logのログに次の内容が含まれていることを確認します。

  [2017-12-22 02:25:13] Seeding OIM Resource Policies into OAM
  [2017-12-22 02:25:13] Loading xml... /scratch/userid/devtools/Middleware///idm/server/ssointg/templates/Resources.xml
  [2017-12-22 02:25:14] Loading xml... /scratch/userid/devtools/Middleware///idm/server/ssointg/templates/AuthnPolicies.xml
  [2017-12-22 02:25:14] Loading xml... /scratch/userid/devtools/Middleware///idm/server/ssointg/templates/AuthzPolicies.xml
  [2017-12-22 02:25:14] Getting Application Domains...
  [2017-12-22 02:25:14] WebResourceClient::getAppDomainResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/appdomain
  [2017-12-22 02:25:15] Authenticating using {oamAdmin:******}
  [2017-12-22 02:25:15] Getting Resources from domain 'IAM Suite'
  [2017-12-22 02:25:15] WebResourceClient::getResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/resource
  [2017-12-22 02:25:16] Getting Resources from domain 'Fusion Apps Integration'
  [2017-12-22 02:25:16] WebResourceClient::getResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/resource
  [2017-12-22 02:25:16] Getting Authentication Policies from domain 'IAM Suite'
  [2017-12-22 02:25:16] WebResourceClient::getAuthenticationPolicyResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/authnpolicy
  [2017-12-22 02:25:16] Getting Authorization Policies from domain 'IAM Suite'
  [2017-12-22 02:25:16] WebResourceClient::getAuthorizationPolicyResource(): http://host:port/oam/services/rest/11.1.2.0.0/ssa/policyadmin/authzpolicy
  [2017-12-22 02:25:16] Resources Seeded!!

4.4.9 Active Directory統合でのパスワードのリセットのパフォーマンスの向上

Active Directory (AD)統合でのパスワードのリセット操作のパフォーマンスを向上させるには、次のステップを実行します:

ノート:

これらのステップは、ADにのみ適用されます。OUD/OIDのパスワード・リセットのパフォーマンス操作を向上させるために、個別のプロセスは必要ありません。

1. SSO.RESETPASSWORDONTARGETBYPASSINGCONNECTORシステム・プロパティを作成し、trueに設定します。
2. AD証明書をOracle Identity Governance (OIG)にインポートします:
   • デモ・アイデンティティおよびトラスト・ストアが使用されている場合は、AD証明書をデモ信頼キーストアにインポートします:

     $JAVA_HOME/jre/bin/keytool -import -alias ad_trusted_cert -file $CERT_FILE
     -keystore $MW_HOME/wlserver/server/lib/DemoTrust.jks -storepass
     DemoTrustKeyStorePassPhrase

   • カスタム・アイデンティティおよびトラスト・ストアが使用されている場合は、AD証明書をカスタム信頼キーストアにインポートします:

     $JAVA_HOME/jre/bin/keytool -import -alias ad_trusted_cert -file $CERT_FILE
     -keystore $DOMAIN_HOME/config/fmwconfig/<CUSTOM_TRUST_STORE>.jks -storepass
     <CustomTrustKeyStorePassPhrase>

     ノート:

     カスタム信頼キーストアは、$DOMAIN_HOME/config/fmwconfigの下に配置し、ファイルベースにする必要があります。

4.5 OIG-OAM統合のためのスケジュールされたジョブ

OIGには、LDAPと同期するために、リコンシリエーション・ジョブとSSO有効後ジョブというスケジュール済ジョブのセットが2つ用意されています。

リコンシリエーション・ジョブ

次のリコンシリエーション・ジョブが提供されます。

• SSOユーザー完全リコンシリエーション

• SSOユーザー増分リコンシリエーション

• SSOグループ作成および更新の完全リコンシリエーション

• SSOグループ作成および更新の増分リコンシリエーション

• SSOグループ削除の完全リコンシリエーション

• SSOグループ削除の増分リコンシリエーション

• SSOグループ・メンバーシップ完全リコンシリエーション

• SSOグループ・メンバーシップ増分リコンシリエーション

• SSOグループ階層同期化完全リコンシリエーション

• SSOグループ階層同期化増分リコンシリエーション

  ノート:

  SSOグループ階層同期化増分リコンシリエーションは、Oracle Internet DirectoryおよびOracle Unified Directoryについてのみでサポートされています。

リコンシリエーション・ジョブのパラメータ値

表4-10 リコンシリエーション・ジョブのパラメータ値

リコンシリエーション・ジョブ	パラメータ名	パラメータ値	説明
SSOユーザー完全リコンシリエーション	リソース・オブジェクト名	SSOTarget	リコンシリエーションを実行する必要のあるターゲット・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はターゲット・アプリケーション・インスタンス名に一致します。
SSOユーザー完全リコンシリエーション	ITリソース名	SSOTarget	コネクタがデータをリコンサイルするために使用する必要があるターゲットITリソース・インスタンスの名前。これは、ユーザーに対してリコンサイルする必要があるターゲット・アカウントに対応します。この値はターゲット・アプリケーション・インスタンス名に一致します。
SSOユーザー完全リコンシリエーション	オブジェクト・タイプ	ユーザー	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOユーザー完全リコンシリエーション	トラステッド・リソース・オブジェクト名	SSOTrusted-for-SSOTarget	リコンシリエーションを実行する必要のあるトラステッド・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)。
SSOユーザー完全リコンシリエーション	トラステッドITリソース名	SSOTrusted-for-SSOTarget	コネクタがデータをリコンサイルするために使用する必要があるトラステッドITリソース・インスタンスの名前。これは、ユーザーに対してリコンサイルする必要があるターゲット・アカウントに対応します。 この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)。
SSOユーザー完全リコンシリエーション	スケジュール済タスク名	SSOユーザー完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOユーザー完全リコンシリエーション	増分リコンシリエーション属性	なし	この属性は、SSOユーザー完全リコンシリエーション・ジョブについては空のままにする必要があります
SSOユーザー完全リコンシリエーション	Latest Token	なし	この属性は、SSOユーザー完全リコンシリエーション・ジョブについては空のままにする必要があります
SSOユーザー完全リコンシリエーション	Sync Token	なし	この属性は、SSOユーザー完全リコンシリエーション・ジョブについては空のままにする必要があります
SSOユーザー完全リコンシリエーション	Filter	なし	このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。
SSOユーザー増分リコンシリエーション	リソース・オブジェクト名	SSOTarget	リコンシリエーションを実行する必要のあるターゲット・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はターゲット・アプリケーション・インスタンス名に一致します。
SSOユーザー増分リコンシリエーション	ITリソース名	SSOTarget	コネクタがデータをリコンサイルするために使用する必要があるターゲットITリソース・インスタンスの名前。これは、ユーザーに対してリコンサイルする必要があるターゲット・アカウントに対応します。  この値はターゲット・アプリケーション・インスタンス名と同じです。
SSOユーザー増分リコンシリエーション	オブジェクト・タイプ	ユーザー	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOユーザー増分リコンシリエーション	トラステッド・リソース・オブジェクト名	SSOTrusted-for-SSOTarget	リコンシリエーションを実行する必要のあるトラステッド・リソース・オブジェクトの名前。これは、ユーザーについてリコンサイルする必要のあるターゲット・アカウントに対応しています。この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)。
SSOユーザー増分リコンシリエーション	トラステッドITリソース名	SSOTrusted-for-SSOTarget	コネクタがデータをリコンサイルするために使用する必要があるトラステッドITリソース・インスタンスの名前。これは、ユーザーに対してリコンサイルする必要があるターゲット・アカウントに対応します。 この値はトラステッド・アプリケーション・インスタンス名に一致します(OIGOAMIntegrationScript.shによって自動生成されます)。
SSOユーザー増分リコンシリエーション	スケジュール済タスク名	SSOユーザー完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOユーザー増分リコンシリエーション	増分リコンシリエーション属性		直前のリコンシリエーション実行が開始した変更番号を保持する、ターゲット・システムの属性名。この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。この値は固定されています。
SSOユーザー増分リコンシリエーション	Latest Token		この属性は、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。ノート: :リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性よりも大きいグループのみがリコンサイルされます。デフォルト値: なし
SSOユーザー増分リコンシリエーション	Sync Token		このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。 最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。 この属性は、次のいずれかの形式で値を格納します。     使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。     <Integer>VALUE</Integer>     サンプル値: <Integer>476</Integer>     使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。    <String>VALUE</String>     サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし
SSOユーザー増分リコンシリエーション	Filter		デフォルト値: なし このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。
SSOグループ作成および更新の完全リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。この値は固定されています。
SSOグループ作成および更新の完全リコンシリエーション	オブジェクト・タイプ	グループ	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ作成および更新の完全リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。
SSOグループ作成および更新の完全リコンシリエーション	スケジュール済タスク名	SSOグループ作成および更新の完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOグループ作成および更新の完全リコンシリエーション	Filter		このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。
SSOグループ作成および更新の完全リコンシリエーション	Organization Name	Top	このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。リコンサイルされたロールをプロビジョニングする対象のOIG組織。この値は固定されています。
SSOグループ作成および更新の完全リコンシリエーション	Organization Type	会社	このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。リコンサイルされたロールをプロビジョニングする対象の組織のタイプ。この属性は、コネクタのリコンシリエーション・スコープでのみ使用され、OIGで意味を持つわけではありません。この値は固定されています。
SSOグループ作成および更新の増分リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。この値は固定されています。
SSOグループ作成および更新の増分リコンシリエーション	オブジェクト・タイプ	グループ	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ作成および更新の増分リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。
SSOグループ作成および更新の増分リコンシリエーション	スケジュール済タスク名	SSOグループ作成および更新の増分リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は、固定されています。
SSOグループ作成および更新の増分リコンシリエーション	Filter		このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。
SSOグループ作成および更新の増分リコンシリエーション	Sync Token		このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。 最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。この属性は、次のいずれかの形式で値を格納します。     使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。     <Integer>VALUE</Integer>     サンプル値: <Integer>476</Integer>     使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。     <String>VALUE</String>     サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし
SSOグループ作成および更新の増分リコンシリエーション	増分リコンシリエーション属性	uSNChanged	このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。直前のリコンシリエーション実行が開始した変更番号を保持する、ターゲット・システムの属性名。 この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。 この値は固定されています。
SSOグループ作成および更新の増分リコンシリエーション	Latest Token		この属性は、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。 ノート: :リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性よりも大きいグループのみがリコンサイルされます。 デフォルト値: なし
SSOグループ作成および更新の増分リコンシリエーション	Organization Name	Top	このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。リコンサイルされたロールをプロビジョニングする対象のOIG組織。この値は固定されています。
SSOグループ作成および更新の増分リコンシリエーション	Organization Type	会社	このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。リコンサイルされたロールをプロビジョニングする対象の組織のタイプ。この属性は、コネクタのリコンシリエーション・スコープでのみ使用され、OIGで意味を持つわけではありません。この値は固定されています。
SSOグループ削除の完全リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。
SSOグループ削除の完全リコンシリエーション	オブジェクト・タイプ	グループ	このパラメータは、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ削除の完全リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるグループ・リソース・オブジェクトの名前。この値は固定されています。
SSOグループ削除の完全リコンシリエーション	スケジュール済タスク名	SSOグループ削除の完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOグループ削除の完全リコンシリエーション	Delete Recon	yes	このパラメータは、Active DirectoryについてのSSOグループ削除リコンシリエーションでのみ存在します。この値は固定されています。
SSOグループ削除の完全リコンシリエーション	Organization Name		このパラメータは、Active DirectoryについてのSSOグループ削除リコンシリエーションでのみ存在します。この値は空のままにしておくこともできます。
SSOグループ削除の増分リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。
SSOグループ削除の増分リコンシリエーション	オブジェクト・タイプ	グループ	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ削除の増分リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるグループ・リソース・オブジェクトの名前。この値は固定されています。
SSOグループ削除の増分リコンシリエーション	スケジュール済タスク名	SSOグループ削除の完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOグループ削除の増分リコンシリエーション	Sync Token		このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。 最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。 この属性は、次のいずれかの形式で値を格納します。     使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。     <Integer>VALUE</Integer>     サンプル値: <Integer>476</Integer>     使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。     <String>VALUE</String>     サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし
SSOグループ削除の増分リコンシリエーション	Delete Recon	yes	このパラメータは、Active DirectoryについてのSSOグループ削除リコンシリエーションでのみ存在します。この値は固定されています。
SSOグループ削除の増分リコンシリエーション	Organization Name		このパラメータは、Active DirectoryについてのSSOグループ削除リコンシリエーションでのみ存在します。この値は空のままにしておくこともできます。
SSOグループ・メンバーシップ完全リコンシリエーション	Application Name	SSOTarget	レコードをリコンサイルするターゲット・アプリケーションの名前
SSOグループ・メンバーシップ完全リコンシリエーション	オブジェクト・タイプ	ユーザー	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ・メンバーシップ完全リコンシリエーション	ITリソース名	SSOTarget	レコードをリコンサイルする、ターゲット・アプリケーション・インスタンスによって使用されるITリソースの名前。
SSOグループ・メンバーシップ完全リコンシリエーション	スケジュール済タスク名	SSOグループ・メンバーシップ完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOグループ・メンバーシップ完全リコンシリエーション	Filter	<空>	このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。 サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。
SSOグループ・メンバーシップ増分リコンシリエーション	Application Name	SSOTarget	レコードをリコンサイルするターゲット・アプリケーションの名前
SSOグループ・メンバーシップ増分リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるグループ・リソース・オブジェクトの名前。この値は固定されています。
SSOグループ・メンバーシップ増分リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。
SSOグループ・メンバーシップ増分リコンシリエーション	ユーザーITリソース名	SSOTarget	レコードをリコンサイルする、ターゲット・アプリケーション・インスタンス・インストールによって使用されるITリソースの名前。これはターゲット・アプリケーション・インスタンスと同じになります。
SSOグループ・メンバーシップ増分リコンシリエーション	ユーザー・リソース・オブジェクト名	SSOTarget	ターゲット・アプリケーション・インスタンスに対応するリソース・オブジェクト名。これはターゲット・アプリケーション・インスタンスと同じになります。
SSOグループ・メンバーシップ増分リコンシリエーション	スケジュール済タスク名	SSOグループ・メンバーシップ増分リコンシリエーション	このジョブでは固定されています。変更できません
SSOグループ・メンバーシップ増分リコンシリエーション	オブジェクト・タイプ	グループ	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ・メンバーシップ増分リコンシリエーション	Sync Token		このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。 最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。 この属性は、次のいずれかの形式で値を格納します。     使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。     <Integer>VALUE</Integer>     サンプル値: <Integer>476</Integer>     使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。     <String>VALUE</String>     サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし
SSOグループ・メンバーシップ増分リコンシリエーション	増分リコンシリエーション属性	uSNChanged	このジョブ・パラメータは、ターゲット・ディレクトリがActive Directoryである場合のみ存在します。 直前のリコンシリエーション実行が開始した変更番号を保持する、ターゲット・システムの属性名。 この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。 この値は固定されています。
SSOグループ・メンバーシップ増分リコンシリエーション	Latest Token		この属性は、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。ノート: :リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性よりも大きいグループのみがリコンサイルされます。デフォルト値: なし
SSOグループ・メンバーシップ増分リコンシリエーション	Filter		このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文については、Oracle Identity GovernanceとのICFの統合ドキュメントの7.8項のICFフィルタ構文に関する項を参照してください。
SSOグループ階層完全リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。この値は固定されています。
SSOグループ階層完全リコンシリエーション	オブジェクト・タイプ	グループ	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ階層完全リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ階層完全リコンシリエーション	スケジュール済タスク名	SSOグループ階層完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOグループ階層完全リコンシリエーション	Sync Token		この値はSSOグループ階層完全リコンシリエーションの場合は常に空にする必要があります
SSOグループ階層増分リコンシリエーション	リソース・オブジェクト名	SSOグループ	リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。この値は固定されています。
SSOグループ階層増分リコンシリエーション	オブジェクト・タイプ	グループ	この属性は、リコンサイルするオブジェクトのタイプを保持します。この値は固定されています。
SSOグループ階層増分リコンシリエーション	ITリソース名	SSOサーバー	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。この値は固定されています。
SSOグループ階層増分リコンシリエーション	スケジュール済タスク名	SSOグループ階層完全リコンシリエーション	この属性は、スケジュール済ジョブの名前を保持します。この値は固定されています。
SSOグループ階層増分リコンシリエーション	Sync Token		このジョブ・パラメータは、ターゲット・ディレクトリがOracle Internet DirectoryまたはOracle Unified Directoryである場合のみ存在します。 最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。 この属性は、次のいずれかの形式で値を格納します。     使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。    <Integer>VALUE</Integer>     サンプル値: <Integer>476</Integer>     使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。     <String>VALUE</String>     サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String> デフォルト値: なし

SSO有効後ジョブ

OIGでは、各アイデンティティとそれらの関係をOIGからLDAPにシードするための有効後ジョブが用意されています。

有効後ジョブは、OIGがすでに一定時間デプロイされ、OIGがこれからOAMおよびLDAPと統合されるというデプロイメント・シナリオで使用されます。このようなシナリオでは、OIG内のデータとLDAPを同期化するために、既存のユーザーおよびロールとOIG内でのそれらの関係をシードする必要があります。OIG-OAM統合構成が実行された後、これらのジョブを1回実行して、ユーザー、ロールおよびそれらの関連をLDAPにシードする必要があります。

次の有効後ジョブが提供されています。

• SSO有効後のLDAPへのユーザーのプロビジョン:

  このジョブは、OIG内のユーザーごとにLDAPにユーザーを作成し、そのユーザーにSSOターゲット・アプリケーション・インスタンスをプロビジョニングします。

• SSO有効後のLDAPへのロールのプロビジョン:

  このジョブは、OIG内のロールごとにLDAPにロールを作成し、その後参照、権限、および権限のためのカタログ・エントリを作成します。

• SSO有効後のLDAPへのロール・メンバーシップのプロビジョン:

  このジョブは、ユーザーに付与されたロールごとにLDAPで(ロールに対応した)権限を付与し、次にユーザーのメンバーシップを付与します。

• SSO有効後のLDAPへのロール階層のプロビジョン

  このジョブは、OIG内の各ロール間の関係ごとに、それらのグループの関係をLDAPに追加します。

リコンシリエーションの動作

ユーザー・リコンシリエーション

ユーザー・リコンシリエーションは、LDAPからのユーザー(およびアカウント)をリコンサイルします。リコンサイルされたユーザーごとに、SSOターゲット・アプリケーション・インスタンスをプロビジョニングします。ユーザー・リコンシリエーション・ジョブは、次のオブジェクト・クラスを持つユーザーをリコンサイルします。

• InetOrgPerson

• orclIDXPerson

• OblixOrgPerson

• OblixPersonPwdPolicy

• OIMPersonPwdPolicy

ユーザー・リコンシリエーションの場合、次の2つの必須属性、snおよびuidの値を設定します。

ユーザー一致ルールは次のとおりです。

ユーザー・リコンシリエーション・ジョブでは、OIG内のユーザーの作成または更新のために次のリコンシリエーション一致ルールが使用されます。

<matchingRule>((UPPER(USR.usr_ldap_guid)=UPPER(RA_SSOTRUSTEDFORSSAEC4C34A.RA_LDAPGUID94FE1B62)) OR (UPPER(USR.usr_login)=UPPER(RA_SSOTRUSTEDFORSSAEC4C34A.RA_USERLOGIN7C7B96D4)))</matchingRule>

アカウント一致ルールは次のとおりです。

ユーザー・リコンシリエーション・ジョブでは、OIG内のユーザーにSSOターゲット・アプリケーション・インスタンス・アカウントをプロビジョニングするために次のリコンシリエーション一致ルールが使用されます。

<matchingRule>((UPPER(USR.usr_login)=UPPER(RA_SSOTARGE.RA_USERLOGIN7C7B96D4)) OR (UPPER(USR.usr_ldap_guid)=UPPER(RA_SSOTARGE.RA_ORCLGUID)))</matchingRule>

グループ・リコンシリエーション

グループ・リコンシリエーション・ジョブは、次の2つのオブジェクトクラスを持つグループをリコンサイルします。

• groupOfUniqueNames - OIDおよびOUDの場合

• group - ADの場合

グループ・リコンシリエーション・ジョブでは、グループ名がOIG内で一意であることが必要です。つまり、「ビジネス管理者」という名前を持つグループの作成変更ログをこのジョブがリコンサイルし、OIGがすでに「ビジネス管理者」という名前のロールを持っていた場合、ビジネス管理者グループはOIGで再作成されず、リコンサイルされたロールは処理されずにスキップされます。

あるいは、OIG内に存在するグループが、LDAPからリコンサイルされるグループと一致するGUIDを持つ場合、リコンシリエーション・エンジンはOIG内の既存グループの更新を実行します。

グループ一致ルールは次のとおりです。

<matchingRule>(UD_SSO_GR.UD_SSO_GR_SERVER=RA_SSOGROUP4DF6ECEE.RA_ITRESOURCENAME70C9F928 and UD_SSO_GR.UD_SSO_GR_ORCLGUID=RA_SSOGROUP4DF6ECEE.RA_ORCLGUID)</matchingRule>

グループ・メンバーシップのリコンシリエーション

グループ・メンバーシップのリコンシリエーションは、LDAP内のユーザーに対する現在のロールの付与をリコンサイルします。リコンシリエーションに成功すると、ユーザーに付与された各ロールについて、ロールに対応する権限がユーザーのSSOアカウントに割り当てられます。

リコンシリエーション中のユーザーへの権限割当ては、子フォーム表のデータベース・トリガーによって実行されます。この子フォーム表には、ユーザー(アカウントなど)へのメンバーシップ付与が格納されます。状況によっては、権限割当てトリガーが実行されていない可能性があるため、ロール付与リコンシリエーションに対応するユーザーの権限割当てがまだ実行されていない場合があります。このような場合、「権限割当て」ジョブを実行して権限を割り当てます。

グループ階層のリコンシリエーション

グループ階層のリコンシリエーション・ジョブでは、LDAPからの現在のロールの関係がレコンサイルされます。

リコンシリエーション・ジョブ・エラーおよび是正処置

• グループ・メンバーシップのリコンシリエーション

• グループ階層のリコンシリエーション

グループ・メンバーシップのリコンシリエーション

グループ・メンバーシップの完全リコンシリエーション

• リコンサイルされているユーザー・エントリは、そのGUIDに対応するOIG内で検索されます。一致するユーザーが見つからない場合は、そのユーザー・エントリに対するリコンシリエーション・イベントの作成はスキップされ、スキップされたユーザー・エントリに対応するエラー・メッセージがジョブのエラー・メッセージに追加されます。

• ユーザー・エントリが存在するが、ロールDNが一致するいずれかの親ロールがOIGに存在していない場合、そのユーザー・エントリのリコンシリエーション・イベントの作成はスキップされ、スキップされたユーザー・エントリに対応するエラー・メッセージがジョブのエラー・メッセージに追加されます。

ユーザー・エントリの親ロールが欠落していない場合は、そのユーザー・エントリに対するリコンシリエーション・イベントが作成され、バッチ・リコンシリエーション・サービスに追加されます。リコンシリエーション・ジョブが完了すると、ジョブIDに対してエラー・メッセージが設定されます。

グループ・メンバーシップの増分リコンシリエーション

グループ・メンバーシップの増分リコンシリエーションは、グループ・メンバーシップの完全リコンシリエーションと同じ動作になります。エラー・メッセージをレポートすることに加えて、増分リコンシリエーションは最新の増分トークンを更新しません。これは、ジョブが再実行されたとき(ユーザーまたはグループのリコンシリエーション・ジョブの実行などの修正処理を実行した後)、次のエラーのない実行中に、以前スキップされたユーザー・エントリにリコンシリエーション・イベントが割り当てられるようにするためです。

お客様がエラーが発生したユーザー・エントリをバイパスして、最新の増分トークンを使用して増分リコンシリエーションを実行することにした場合、ジョブUIからのスケジュール・ジョブのエラー・メッセージをチェックすることでこの操作を行うことができます。最新のトークンはエラー・メッセージの最後に出力されます。「ユーザーまたはロールの欠落によるリコンシリエーション・エラーの例」を参照してください。

グループ階層のリコンシリエーション

グループ階層の完全リコンシリエーション

• リコンサイルされているロール・エントリは、そのGUIDに対応するOIG内で検索されます。一致するロールが見つからない場合は、そのロール・エントリに対するリコンシリエーション・イベントの作成はスキップされ、スキップされたユーザー・エントリに対応するエラー・メッセージがジョブのエラー・メッセージに追加されます。

• ロール・エントリが存在するが、ロールDNが一致するいずれかの子ロールがOIGに存在していない場合、その親ロール・エントリのリコンシリエーション・イベントの作成はスキップされ、スキップされたユーザー・エントリに対応するエラー・メッセージがジョブのエラー・メッセージに追加されます。

親または子のロールが欠落していない場合は、その親のロール・エントリに対するリコンシリエーション・イベントが作成され、バッチ・リコンシリエーション・サービスに追加されます。

リコンシリエーション・ジョブが完了すると、ジョブIDに対するエラー・メッセージが設定されます。

グループ階層の増分リコンシリエーション

グループ階層の増分リコンシリエーションは、グループ階層の完全リコンシリエーションと同じ動作になります。dataErrorDetectedがtrueの場合にエラー・メッセージをレポートすることに加えて、増分リコンシリエーションは最新の増分トークンを更新しません。これは、修正処理を実行した後でジョブが再実行された際に、次のエラーのない実行時に、以前スキップされたロール・エントリにリコンシリエーション・イベントが割り当てられるようにするためです。

お客様がエラーが発生したロール・エントリをバイパスして、最新の増分トークンを使用して階層増分リコンシリエーションを実行することにした場合、ジョブUIからのスケジュール・ジョブのエラー・メッセージをチェックすることでこの操作を行うことができます。最新のトークンはエラー・メッセージの最後に出力されます。

ユーザーまたはロールの欠落によるリコンシリエーション・エラーの例

グループ・メンバーシップの増分リコンシリエーションが実行され、スケジュール済タスクによって、リコンサイルされるメンバーシップを持つ一部のグループがOIGにまだ存在していないことが識別されたと仮定します。このようなシナリオでは、スケジュール済タスクはロールのリコンシリエーション・イベントの作成をスキップし、ロールのGUIDをデータ・エラー・メッセージのリストに追加します。すべてのグループ変更ログが処理されると、スケジュール済タスクは、このようなエラーが発生しなかった(つまりOIGに存在しないロールまたはユーザーが見つからなかった)ロールに対するバッチ・リコンシリエーションの発行を続行します。エラーが発生したロールの場合、スケジュール済タスクはエラー・メッセージを作成し、例外をスローします。結果は次のとおりです。

The scheduled job status would be failed.

失敗したジョブの場合、スキップされたロールのリストは「エラーの詳細を表示」に示されます。メッセージの最後の行は、スケジュール済タスクによって処理された最新の増分トークンが含まれます。エラー・メッセージのサンプル:

oracle.iam.connectors.icfcommon.exceptions.OIMException:
Role with GUID 54A78A7F44E41C39E053211CF50A7639 does not exist in OIM. Skipping group membership incremental reconciliation for the role
Role with GUID 5E750AB0341F16D3E053211CF50A866D does not exist in OIM. Skipping group membership incremental reconciliation for the role
Role with GUID 5E750AB0342016D3E053211CF50A866D does not exist in OIM. Skipping group membership incremental reconciliation for the role
Role with GUID 5E750AB0346116D3E053211CF50A866D does not exist in OIM. Skipping group membership incremental reconciliation for the role
Role with GUID 5E750AB0346216D3E053211CF50A866D does not exist in OIM. Skipping group membership incremental reconciliation for the role
Role with DN cn=SYSTEM ADMINISTRATORS,cn=Groups,dc=us,dc=oracle,dc=com is not found in OIM - Skipping group membership reconciliation for the user with GUID: 5376289A3A766EE7E053211CF50A8B24.
Latest Token value: <Integer>4204</Integer>

リコンシリエーション・エラーの修正処置

• お客様は「SSOグループの作成または更新のリコンシリエーション」ジョブを実行して、前述のエラーを修正し、グループ・メンバーシップの増分リコンシリエーション・ジョブを再実行できます。同様に、「ユーザーがOIGに存在しない」ことに関連するエラー・メッセージが出る場合、「SSOユーザーのリコンシリエーション」ジョブを実行します。

• あるいは、お客様がこれらのロールに対するエラーを無視し、今後増分リコンシリエーションを使用して処理を続行する場合は、エラー・メッセージに示されている最新のトークン値にSync Tokenジョブ・パラメータの値を設定できます。たとえば、前述のサンプル・メッセージの場合、Sync Tokenジョブ・パラメータ値は<Integer>4204</Integer>のようになります。

• グループ・メンバーシップの完全リコンシリエーションまたはグループ階層の完全リコンシリエーションの場合、リコンサイルされるユーザーまたはグループ(あるいはその両方)のいずれかがOIG内に存在しなければ、ジョブは後続のすべての実行で、ユーザーまたはグループ(あるいはその両方)の欠落を示す不合格ステータスがレポートされます。

子フォーム表とのID表データ同期の実行

グループ・メンバーシップのリコンシリエーションとグループ階層のリコンシリエーションの実行中、リコンシリエーション・エンジンは、リコンシリエーション・バッチ内のリコンシリエーション・イベント・データに対応する子フォーム表を更新します。リコンシリエーション・エンジンが、各リコンシリエーション・バッチの後処理オーケストレーションをトリガーすると、後処理ハンドラは各リコンシリエーション・イベントに対応する子フォーム・エントリを一括でフェッチし、OIGのアイデンティティ・リレーション表を更新します。

リコンシリエーション後処理ハンドラがID表と子フォーム・データの同期に失敗した場合、次のジョブを実行することによって、表の間でのデータの非一貫性を修正することもできます。

• グループ・メンバーシップとSSOフォーム表の同期:

  親フォーム内の各ユーザーに関して、このジョブはメンバーシップの子フォーム・データをUSG表と同期します。このジョブは、グループ・メンバーシップの子フォーム表の名前を入力パラメータとして受け入れ、デフォルト値が割り当てられます。メンバーシップの子フォーム表の名前がお客様のデプロイメントで異なる場合、このパラメータに適切な値を割り当てる必要があります。

• グループ階層とSSOフォーム表の同期:

  親フォームの各ロールについて、このジョブはロール関連データをGPG表と同期します。ロール関係用の子フォーム表の名前はデプロイメント用に固定されているため、このジョブは入力として子フォームの表名を受け入れません。

4.6 ユーザー定義フィールドの構成

この項では、次の項目について説明します。

• SSOを使用したユーザー定義フィールドの構成

• ロールUDFの構成

4.6.1 SSOを使用したユーザー定義フィールドの構成

SSOを使用してカスタム属性またはユーザー定義フィールド(UDF)を構成できます。

それには、次のステップを実行します。

1. OIGにUDFを作成します。詳細は、「カスタム属性の作成」を参照してください。

   ノート:

   テキスト・フィールドの作成ページでLDAP属性の値を指定しないでください。

2. 「ユーザーの作成フォーム」にUDFを追加します。詳細は、『Oracle Identity Governanceの管理』の「ユーザーの作成フォーム」へのカスタム属性カテゴリの追加に関する項を参照してください。

3. SSOターゲット・アプリケーション・インスタンスにUDFを追加します。詳細は、『Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の属性の追加に関する項を参照してください。

4. SSOの信頼できるアプリケーション・インスタンスにUDFを追加します。詳細は、『Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の認可アプリケーションのスキーマ情報の指定に関する項を参照してください。

4.6.2 ロールUDFの構成

ロールUDFの構成の拡張は、次の統合でサポートされています:

• OIGのOAMおよびLDAPコネクタとの統合を使用して作成されたOIM-OAM統合設定。
• ドキュメントID 2833544.1 (https://support.oracle.com)を使用した非OAMインストールのLDAPコネクタ同期サポート。

ノート:

ロールUDFを構成する前に、リリースで使用可能な最新のバンドル・パッチを適用します。

ロールUDFを構成するには、次のステップを実行します:

1. OIGロール・エンティティ用のUDFを作成します。詳細は、「カスタム属性の構成」を参照してください。
2. 作成したロールUDFのリコンシリエーション・マッピングを定義します。表4-11に、リコンシリエーション・マッピングの定義時に使用する正確なエンティティ名を示します。

   ノート:

   • ADのリコンシリエーション・マッピングの定義の詳細は、グループおよび組織単位のターゲット・リソースのリコンシリエーション用のカスタム・フィールドの追加に関する項を参照してください。
   • OUD/OIDのリコンシリエーション・マッピングの定義の詳細は、リソース・オブジェクトのリコンシリエーション・フィールドへのカスタム・フィールドの追加に関する項を参照してください。
3. このロールUDFのプロビジョニング・マッピングを定義します。表4-11に、プロビジョニング・マッピングの定義時に使用する正確なエンティティ名を示します。

   ノート:

   • ADのプロビジョニング・マッピングの定義の詳細は、プロビジョニング・グループおよび組織単位のカスタム・フィールドの追加に関する項を参照してください。
   • OUD/OIDのプロビジョニング・マッピングの定義の詳細は、プロセス・フォームへの新規フィールドの追加に関する項を参照してください。
4. Oracle Identity System Administrationにログインします。
5. Lookup.RoleAttrFormField.Mapファイルを開き、「コード」および「意味」フィールドの値を設定します。ここでは:
   • コード - OIMロール・エンティティの属性(UDF)を示します。
   • 意味 - 設計コンソールで定義された「プロセス・フォーム」フィールド名を示します。

   ノート:

   • Lookup.RoleAttrFormField.Mapの「コード」および「意味」は、フォームおよびロールUDFで作成されたものと同じである必要があります。
   • 参照ファイルが存在しない場合は、新しい参照ファイルを作成し、値を更新します。参照の作成および更新の詳細は、「参照の管理」を参照してください。

   ここで必要なすべてのマッピングが実行され、ロールUDFがターゲット・フィールドにマップされます。

表4-11 リコンシリエーションとプロビジョニングのマッピング

LDAPディレクトリ	リソース・オブジェクト名	UAD表名	プロビジョニング参照	リコンシリエーション参照	アダプタ
AD	SSOグループ	UD_SSOGRP	Lookup.SSO.GM.ProvAttrMap	Lookup.SSO.GM.ReconAttrMap	adpSSOADIDCUPDATEATTRIBUTEVALUE
OUD	SSOグループ	UD_SSO_GR	Lookup.SSO.Group.ProvAttrMap	Lookup.SSO.Group.ReconAttrMap	adpSSOLDAPUPDATE
OID	SSOグループ	UD_SSO_GR	Lookup.SSO.Group.ProvAttrMap	Lookup.SSO.Group.ReconAttrMap	adpSSOOIDUPDATE

異なるデータ型でロールUDFを構成する場合は、次の点を考慮する必要があります:

• チェック・ボックス・タイプUDFフィールドのロールUDFマッピングを作成していて、ターゲットLDAPでマップされた属性がブール・フィールドの値を'True'または'False'として格納している場合は、リコンシリエーションが成功するために値'True'を'1'、'False'を'0'に変換するリコンシリエーション変換スクリプトを追加します。変換スクリプトを作成するステップの詳細は、変換スクリプトに関する項を参照してください。
• ターゲット・フィールドのDate型にマップされるロールUDFのDate型をサポートするには:
  • フィールド・フラグ[DATE]をプロビジョニングおよびリコンシリエーション属性マップに追加します。たとえば、Joining Date[DATE]です。
  • OID/OUD統合の場合は、参照Lookup.SSO.Configurationの属性dateFormatおよびdateTypeAttrNamesを更新します。
  • AD統合の場合、参照Lookup.Configuration.SSOの属性CustomDateAttributesを更新します。

4.7 OIG-OAM統合の既知の制限事項と回避方法

Oracle Identity Governanceの統合の問題と回避策については、『Oracle Identity Managementのリリース・ノート』の統合の問題および回避策に関する項を参照してください。