Oracle Identity ManagerとSun Java System Directory Serverの統合:ユーザー管理とプロビジョニングの実行

このOracle By Example(OBE)チュートリアルでは、Oracle Identity Managerを使用して、リソースにユーザーをプロビジョニングする方法について説明します。 このチュートリアルでは、ユーザーはRobert La Vallie、リソースはSun Java System Directory Serverとなります。

約2時間

トピック

このOBEチュートリアルでは、以下のトピックについて説明します。

概要
シナリオ
前提条件
コネクタと外部コード・ファイルのコピー
Oracle Identity Manager Server
コネクタのインポート
コネクタの有効化
ユーザーへのコネクタの割当て
リソースへのアクセス
まとめ
関連情報

このアイコンの上にカーソルを置くと、すべてのスクリーンショットがロードし、表示されます。 (警告:すべてのスクリーンショットが同時にロードされるため、ご使用のインターネット接続によってはレスポンス・タイムが遅くなる場合があります。)

注:各手順に関連したスクリーンショットのみを表示する場合は、それぞれの手順にある各アイコンの上にカーソルを置いてください。

スクリーンショットは、ご使用の環境を反映したものではありません。 Oracle Identity Managerの特定の機能がどこにあるのかをわかりやすくするために提供されています。

概要

Oracle Identity Managerは、Oracle Identity and Access Management Suiteのコンポーネントです。 Oracle Identity Managerは、ID管理ライフ・サイクルを通じて企業のリソース全体にわたるユーザーのアクセス権管理タスクを管理し、選択的に自動化します。 具体的には、ユーザーのアクセス権の作成や、ユーザー要件やビジネス要件の変更に伴うアクセス権の大幅な変更、ユーザーのアクセス権の削除をおこなうタスクを処理します。 このようにして、Oracle Identity Managerは、複数のIDストアにわたってユーザーのID情報を処理することで、データの正確性を維持します。

Oracle Identity Managerの機能と利点には、IDとロールの管理(ユーザーとグループ管理、ユーザーのセルフサービス機能、委任管理)、プロビジョニング(承認と要求の管理、構成可能なワークフロー・モデル)、ポリシーに基づく権限、リコンシリエーション、監査とコンプライアンスの認証サポートが含まれます。

トピック・リストに戻る

シナリオ

Lindaは、Mydo Main Corporationのネットワーク管理者です。 彼女はこの会社で、社内ユーザーのIDおよびアクセス管理タスクを担当しています。 こうしたタスクを実行する際には、Oracle Identity Managerを使用してコネクタを割り当てています。 コネクタとは、プロビジョニングされるリソースを表します。

Robertは、Mydo Main Corporationの従業員です。 全従業員にSun Java System Directory Serverへのアクセス権があるため、Lindaはこのコネクタ(リソース)をRobertに割り当てる必要があります。 そのため、Lindaはコネクタに関連する電子フォームに入力します。 フォーム上のフィールドに入力すると、Oracle Identity Managerは対応する値をデータベースに保存し、これらの値を使用してRobertをリソース(ここではSun Java System Directory Server)にプロビジョニングします。

 

トピック・リストに戻る

前提条件

このチュートリアルを始める前に次のことを確認してください。

1.

Sun Java System Directory Server 5.2のインストールおよび構成を完了していること。

2.

OBEの『Oracle Identity Managerのインストール、構成、および起動』を完了していること。

3.

OBEの『管理コンソールのカスタマイズ準備』を完了していること。

4.

OBEの『管理コンソールのブランディング』を完了していること。

5.

OBEの『Oracle Identity Manager 管理コンソールの機能の変更』を完了していること。

6.

OBEの『Oracle Identity Manager デザイン・コンソールのブランディング』を完了していること。

7.

OBEの『Generic Technology Connector(GTC)フレームワークの使用:フラット・ファイル・リコンシリエーションの実行』を完了していること。

 

トピック・リストに戻る

コネクタと外部コード・ファイルのコピー

まずは、Oracle Identity Managerのコネクタ・ファイルとSun Java System Directory Serverの外部コード・ファイルをOracle Identity Manager Server上のフォルダに移します。 そうすれば関連コネクタがOracle Identity Managerとともに機能するようになるため、そのコネクタを使用してRobertを該当するリソース(ここではSun Java System Directory Server)にプロビジョニングできます。

コネクタと外部コード・ファイルをコピーするには、以下の手順を実行します。

1.

Oracle Identity Manager Server、管理コンソール、およびデザイン・コンソールを停止します。

注:Oracle Identity Managerの起動と停止の詳細については、OBEの『Oracle Identity Managerのインストール、構成、および起動』を参照してください。

 

2.

一時ディレクトリにこのファイルを解凍します。

 

3.

一時ディレクトリにあるldap.jarファイル、ldapbp.jarファイル、およびldapsdk-4.1.jarファイルをコピーします。

 

4.

これらのファイルをC:\OIM91_server\xellerate\ThirdPartyディレクトリに貼り付けます。

注:C:\OIM91_serverは、Oracle Identity Manager Serverのベース・ディレクトリです。 このディレクトリは、OBEの『Oracle Identity Managerのインストール、構成、および起動』で作成されています。

 

5.

C:\stage\Oracle Identity Manager Connector Pack 9.1.0\Directory Servers\Sun Java System Directory Server\libディレクトリにあるSJSDSProv.jarファイルをコピーします。

注:C:\stage\Oracle Identity Manager Connector Pack 9.1.0は、Oracle Identity Managerの全コネクタ・ファイルのベース・ディレクトリです。

 

6.

このファイルをC:\OIM91_server\xellerate\JavaTasksディレクトリに貼り付けます。

 

7.

手順2で作成した一時ディレクトリにあるxlScheduler.jarファイルをコピーします。

 

8.

このファイルをC:\OIM91_server\xellerate\ScheduleTaskディレクトリに貼り付けます。

 

9.

C:\stage\Oracle Identity Manager Connector Pack 9.1.0\Directory Servers\Sun Java System Directory Server\libディレクトリにあるSJSDSRecon.jarファイルをコピーします。

 

10.

このファイルをC:\OIM91_server\xellerate\ScheduleTaskディレクトリに貼り付けます。

 

11.

C:\stage\Oracle Identity Manager Connector Pack 9.1.0\Directory Servers\Sun Java System Directory Server\resourcesディレクトリにある全ファイルをコピーします。

 

12.

これらのファイルをC:\OIM91_server\xellerate\connectorResourcesディレクトリに貼り付けます。

 

13.

C:\OIM91_server\xellerateディレクトリ内にSJSDSサブディレクトリを作成します。

 

14.

C:\stage\Oracle Identity Manager Connector Pack 9.1.0\Directory Servers\Sun Java System Directory Server\testディレクトリをコピーします。

 

15.

このディレクトリをC:\OIM91_server\xellerate\SJSDSディレクトリに貼り付けます。

こうして、testディレクトリとディレクトリ内のファイルとサブディレクトリのすべてがC:\OIM91_server\xellerate\SJSDSディレクトリにネストされます。

 

16.

C:\stage\Oracle Identity Manager Connector Pack 9.1.0\Directory Servers\Sun Java System Directory Server\xmlディレクトリをコピーします。

 

17.

このディレクトリをC:\OIM91_server\xellerate\SJSDSディレクトリに貼り付けます。

こうして、xmlディレクトリとディレクトリ内のファイルのすべてがC:\OIM91_server\xellerate\SJSDSディレクトリにネストされます。

これで、Oracle Identity Managerのコネクタ・ファイルとSun Java System Directory Serverの外部コード・ファイルがOracle Identity Manager Server上のフォルダにコピーされました。 次は、関連コネクタがOracle Identity Managerとともに機能し、Lindaがこのコネクタを使用してRobertを該当リソース(ここではSun Java System Directory Server)にプロビジョニングできるようにOracle Identity Manager Serverを構成します。

 

トピック・リストに戻る

Oracle Identity Manager Serverの構成

前項では、Oracle Identity Managerのコネクタ・ファイルとSun Java System Directory Serverの外部コード・ファイルをOracle Identity Manager Server上のフォルダに移しました。 これで、関連コネクタがOracle Identity Managerとともに機能するように、また、このコネクタを使用してRobertを該当リソース(ここではSun Java System Directory Server)にプロビジョニングできるようにOracle Identity Manager Serverを構成する準備が整いました。

Oracle Identity Manager Serverを構成するには、以下の手順を実行します。

Oracle Identity Manager Serverを構成するには、以下の手順を実行します。

1.

DOSウィンドウを開きます。 DOSウィンドウを開くには、Windowsの「スタート」メニューで「ファイル名を指定して実行」を選択します。

 

2.

「名前を指定して実行」ウィンドウで、名前フィールドにcmdと入力して「OK」をクリックします。

 

3.

DOSウィンドウで、C:\OIM91_server\xellerate\binディレクトリに移動します。

 

4.

DOSプロンプトで、PurgeCache.bat ConnectorResourceBundleと入力します。

 

5.

Enterキーを押します。 サーバー・キャッシュからコンテンツが消去されます。 キャッシュが消去されると、DOSプロンプトが表示されます。

注:キャッシュは参照ポイントと一緒に消去されるため、java.lang.NullPointerExceptionメッセージが表示されます。

これで、サーバー・キャッシュからコネクタ・ファイルに関連するコンテンツが消去されました。 次は、Oracle Identity Manager Serverのロギングを有効にします。

 

6.

Windows Explorerで、C:\OIM91_server\xellerate\configディレクトリに移動します。

 

7.

Microsoftのメモ帳で、log.propertiesファイルを開きます。

 

8.

log4j.logger.XELLERATE=WARNというコード行を検索します。

 

9.

ファイルに次のコード行を追加します。

log4j.logger.XL_INTG.SJSDS=WARN

注:Sun Java System Directory Server(SJSDS)のログ・レベルを設定すれば、このリソースのプロビジョニングとリコンシリエーションの実行中に発生したイベントが設定したログ・レベルでロギングされます。

 

10.

log.propertiesファイルを保存して閉じます。

これで、サーバー・キャッシュからコネクタ・ファイルに関連するコンテンツを消去してサーバーのログ・レベルを設定することにより、Oracle Identity Manager Serverが構成されました。

次は、Sun Java System Directory Server用のコネクタを表すXMLファイルを社内のOracle Identity Manager環境にインポートします。 これにより、Robertにこのコネクタを割り当てて、関連リソース(ここではSun Java System Directory Server)にプロビジョニングできるようになります。

 

トピック・リストに戻る

コネクタのインポート

OBEの『Generic Technology Connector(GTC)フレームワークの使用:フラット・ファイル・リコンシリエーションの実行』では、トラステッド・ソース・リコンシリエーション・ワークフローの作成と管理をおこないました。 それによりOracle Identity Managerは、信頼できるソース(フラット・ファイル)からRobert La Vallieのユーザー・レコードを受信しました。

RobertはMydo Main Corporationの従業員であるため、Sun Java System Directory Serverへのアクセス権を付与する必要があります。 Robertがこのリソースを使用するためには、Sun Java System Directory Serverを表すXMLファイルを社内のOracle Identity Manager環境にインポートする必要があります。 その後、このコネクタをRobertに割り当てることで、このリソースにプロビジョニングできます。

コネクタをインポートするには、以下の手順を実行します。

1.

Oracle Identity Manager Serverと管理コンソールを再起動します。

 

2.

Oracle Identity Manager 管理コンソールのログイン・ページのフィールドに以下の値を入力して、「Login」をクリックします。

フィールド
User ID xelsysadm
Password abcd1234

 

3.

Importフォームを開きます(Oracle Identity Manager ExplorerのDeployment Managementフォルダにあります)。

注:Popup Blockerメッセージが表示されたら、Webブラウザのポップアップを有効にします。 その後、手順2と3を繰り返します。

 

4.

Warning – Securityウィンドウで、「Yes」をクリックします。

 

5.

Select a file for importウィンドウで、インポート・ファイルのあるフォルダ・パスとXMLファイルの名前を選択します。 ここでは、C:\OIM91_server\xellerate\SJSDS\xmlディレクトリにある「iPlanetResourceObject.xml」ファイルを選択します。

注:iPlanetResourceObject.xmlファイルは、社内のOracle Identity Manage環境にインポートするSun Java System Directory Server用のコネクタを表します。

 

6.

iPlanetResourceObject.xmlファイルを選択したら、「Open」をクリックします。

 

7.

Deployment Managerウィンドウで、「Add File」をクリックします。

 

8.

Deployment Manager – Importウィンドウで、「Next」をクリックします。

 

9.

Confirmationウィンドウで、「Next」をクリックします。

 

10.

Deployment Managerウィンドウで、「Skip」をクリックします。

 

11.

Deployment Managerウィンドウで、「Skip」をクリックします。

注:このOBEの「コネクタの有効化」の項で、プロビジョニングを目的とし、Sun Java System Directory Serverに管理者としてアクセスする際にOracle Identity Managerが使用する値がすでに指定されています。 そのため、ここではDeployment Managerウィンドウでパラメータ値を入力する必要はありません。

 

12.

Confirmationウィンドウで、「View Selections」をクリックします。

 

13.

Deployment Manager – Importウィンドウで、「Import」をクリックします。

 

14.

Confirmationウィンドウで、「Import」をクリックします。

 

15.

Successウィンドウで、「OK」をクリックします。

重要: Mydo Main CorporationのOracle Identity Manager環境を構成するコンピュータのRAMでは、この手順の完了に最大5分かかります。

注:Successウィンドウが表示されれば、XMLファイル(ここではiPlanetResourceObject.xmlファイル)が正しくインポートされています。 よって、このファイルが表すSun Java System Directory Server用のコネクタもインポートされています。

 

16.

Deployment Manager - Importウィンドウを閉じます。

これで、Sun Java System Directory Server用のコネクタがインポートされました。次に、社内のOracle Identity Manager環境内で操作できるようにコネクタを構成します。

 

トピック・リストに戻る

コネクタの有効化

前項では、Sun Java System Directory Server用のコネクタを社内のOracle Identity Manager環境にインポートしました。 次に、環境内で操作できるようにこのコネクタを構成する必要があります。

これには以下のタスクの実行が必要です。

このコネクタを有効化するには、以下の手順を実行します。

1.

Oracle Identity Manager デザイン・コンソールを再起動します。

 

2.

Oracle Identity Manager デザイン・コンソールのログイン・ページのフィールドに以下の値を入力して、「Login」をクリックします。

フィールド
User ID xelsysadm
Password abcd1234

Oracle Identity Manager デザイン・コンソールが表示されます。

 

3.

Adapter Manager」フォームをダブルクリックします(Oracle Identity Manager ExplorerのDevelopment Toolsフォルダにあります)。

アダプタの一覧が表示されます。

注:このOBEの「コネクタのインポート」の項で、これらのアダプタをインポートしました。

 

4.

Compile All」オプションを選択します。 「Start」をクリックします。

Oracle Identity Managerでアダプタの再コンパイルが開始されます。

すべてのアダプタが再コンパイルされると、OKメッセージが各アダプタのStatus列に表示されます。 これで、アダプタが正常に再コンパイルされ、Mydo Main CorporationのOracle Identity Manager環境で使用できるようになります。

重要:アダプタのステータスとして(OKではなく)Recompileが表示された場合は、手順4を繰り返します。インポートされたアダプタのすべてにOKステータスが表示されることを確認してください。

 

5.

IT Resources」フォームをダブルクリックします(Oracle Identity Manager ExplorerのResource Managementフォルダにあります)。

 

6.

NameフィールドにiPlanet IT Resourceと入力します。

 

7.

Typeテキスト・フィールドの「Type」参照フィールドをダブルクリックします。 表示されるLookupウィンドウから「LDAP Server」を選択します。 「OK」をクリックします。

 

8.

Save」をクリックします。 ITリソースのパラメータが表示されます。

 

9.

ITリソースのパラメータに、以下の値を入力します(各Valueフィールドをダブルクリックして、値を入力します)。

パラメータ
Admin Id cn=Directory Manager
Admin Password dead_line
CustomizedReconQuery [空欄のままにします]
Last Recon TimeStamp 20070801170000Z
Port 53016
Prov Attribute Lookup Code AttrName.Prov.Map.iPlanet
Recon Attribute Lookup Code AttrName.Recon.Map.iPlanet
Root DN dc=oracle,dc=com
SSL false
Server Address localhost
Use XL Org Structure false

注:セキュリティ保護のため、パスワードはアスタリスクで表示されます。 iPlanet IT Resourceの詳細については、『Oracle Identity Manager Connector Guide for Sun Java System Directory Server』を参照してください。

 

10.

Save」をクリックします。

これで、Sun Java System Directory Server用のITリソースが定義されます。

重要:先に進む前に、アプリケーションを起動する必要があります。 これは、次の手順で実行します。

  1. Windows Explorerで、「startconsole.exe」ファイルをダブルクリックします(C:\Program Files\Sun\MPSディレクトリにあります)。 このディレクトリは、Sun Java System Directory Serverのインストール時に作成されています。


  2. Sun ONE Server Console Loginウィンドウに以下の値を入力して、「OK」をクリックします。


  3. フィールド
    User ID admin
    Password dead_line
    Administration URL http://localhost:53017

    注:セキュリティ保護のため、パスワードはアスタリスクで表示されます。

    Sun ONE Server Consoleが表示されます。

    Sun Java System Directory Serverが起動しました。

これで、社内のOracle Identity Manager環境内で操作できるSun Java System Directory Server用のコネクタが構成されました。 次は、このコネクタをRobertに割り当てます。Robertは、OBEの『Generic Technology Connector(GTC)フレームワークの使用:フラット・ファイル・リコンシリエーションの実行』でOracle Identity Managerに移したユーザーです。

Robertにコネクタを割り当てたら、次はコネクタに関連する電子フォームに入力します。 その後、Oracle Identity Managerは対応する値をデータベースに保存し、これらの値を使用してRobertをリソース(ここではSun Java System Directory Server)にプロビジョニングします。

 

トピック・リストに戻る

ユーザーへのコネクタの割当て

前項では、Mydo Main CorporationのOracle Identity Manager環境内で操作できるようにSun Java System Directory Serverを構成しました。 次は、このコネクタをRobertに割り当てます。Robertは、OBEの『Generic Technology Connector(GTC)フレームワークの使用:フラット・ファイル・リコンシリエーションの実行』でOracle Identity Managerに移したユーザーです。

Robertにコネクタを割り当てたら、次はコネクタに関連する電子フォームに入力します。 その後、Oracle Identity Managerは対応する値をデータベースに保存し、これらの値を使用してRobertをリソース(ここではSun Java System Directory Server)にプロビジョニングします。

コネクタをユーザーに割り当てるには、以下の手順を実行します。

1.

管理コンソールの「Manage User」フォームを開きます(Oracle Identity Manager ExplorerのUsersフォルダにあります)。

 

2.

RLAVALLIの問合せを実行します。このユーザーは、OBEの『Generic Technology Connector(GTC)フレームワークの使用:フラット・ファイル・リコンシリエーションの実行』でOracle Identity Managerに移したユーザーです。 問合せを実行するには、このフォームのコンボ・ボックスで、「User ID」を選択します。 コンボ・ボックスの右側のテキスト・ボックスにRLAVALLIと入力します。 「Search User」をクリックします。

 

3.

結果セットで、RLAVALLIのIDが含まれるリンクをクリックします。

 

4.

User Detailフォームのコンボ・ボックスで、「Resource Profile」を選択します。

 

5.

Resource Profileフォームの「Provision New Resource」をクリックします。

注:この時点ではOracle Identity Managerコネクタがユーザーに割り当てられていないため、“Resources Not Found”メッセージが表示されます。

 

6.

Select a Resourceパネルで、「iPlanet User」コネクタを選択します。 「Continue」をクリックします。

注:iPlanet Userコネクタは、Sun Java System Directory Serverリソースを表します。

次は、このコネクタのカスタム・プロセス・フォームのフィールドに入力して、この情報をデータベースに保存します。 これにより、Oracle Identity Managerで対象ユーザーに該当リソース(ここではSun Java System Directory Server)へのアクセス権を付与できるようになります。

 

7.

Verify Resource Selectionパネルで、「Continue」をクリックします。

 

8.

カスタム・プロセス・フォームに以下の値を入力して、「Continue」をクリックします。

フィールド
Password rlavalli
Server iPlanet IT Resource

注:セキュリティ保護のため、パスワードはアスタリスクで表示されます。

 

9.

iPlanet User Roleパネルで、「Continue」をクリックします。

 

10.

iPlanet User Groupパネルで、「Continue」をクリックします。

 

11.

Verify Process Dataパネルで、「Continue」をクリックします。

 

12.

Back to User Resource Profile」リンクをクリックします。

Resource Profileフォームが表示されます。

iPlanet UserコネクタのステータスProvisionedがResource ProfileフォームのStatus列に表示されます。 これで、RobertにSun Java System Directory Serverへのアクセス権が付与されました。

次に、カスタム・プロセス・フォームで設定したこのユーザーのログイン資格証明を確認します。このログイン資格証明はリソースへのアクセス時に使用されます。

 

トピック・リストに戻る

リソースへのアクセス

これまでの項では、Oracle Identity Managerを使用して、リソース(ここではSun Java System Directory Server)にカスタム・プロセス・フォームでログイン資格証明を設定したユーザーをプロビジョニングしました。

次に、ユーザーがリソースにプロビジョニングされていることを確認する必要があります。 ここでは、Sun ONE Server Consoleを使用して確認します。

リソースにアクセスするには、以下の手順を実行します。

1.

Sun ONE Server Consoleで、「localhost.oracle.com」ノードを展開します。 次に「Server Group」ノードを展開し、「Directory Server」項目を選択します。

 

2.

Open」をクリックします。 「Directory」タブをクリックします。

 

3.

dc=oracle,dc=com」ノードを展開し、「People」組織を選択します。

関連ペインにRLAVALLIが表示されます。 これで、このユーザーがSun Java System Directory Serverにプロビジョニングされていることが確認できました。

 

トピック・リストに戻る

このレッスンで学習した内容は次のとおりです。

コネクタと外部コード・ファイルのコピー
Oracle Identity Manager Serverの構成
コネクタのインポート
コネクタの有効化
ユーザーへのコネクタの割当て
リソースへのアクセス

トピック・リストに戻る

このOBEチュートリアルについての質問は、OBE Discussion Forumに投稿してください。

トピック・リストに戻る

このアイコンの上にカーソルを置くと、すべてのスクリーンショットが非表示になります。