Oracle Cloud Infrastructureドキュメント

Oracle Access GovernanceとMicrosoft Active Directory間の統合の構成

前提条件

Microsoft Active DirectoryまたはMicrosoft Active Directory Lightweight Directory Services (AD LDS)オーケストレート・システムをインストールして構成する前に、次の前提条件およびタスクを考慮する必要があります。

ユーザーアカウントを作成する

Oracle Access Governanceでは、サービス操作中にMicrosoft Active DirectoryまたはMicrosoft Active Directory Lightweight Directory Services (AD LDS)システムにアクセスするには、ユーザー・アカウントが必要です。使用しているシステムに応じて、管理対象システム内でユーザーを作成し、そのユーザーに特定の権限とロールを割り当てることができます。

Microsoft Active Directoryでのオーケストレート済システム操作のユーザー・アカウントの作成

Microsoft Active Directoryの場合:

Microsoft Windows 2008 Server (ドメイン・コントローラ)の管理者アカウントを使用して操作を実行できます。あるいは、ユーザー・アカウントを作成して必要最小限の権限を割り当てることができます。

操作用のMicrosoft Active Directoryユーザー・アカウントを作成するには:

関連項目:この手順の実行の詳細は、Microsoft Active Directoryのドキュメントを参照してください。

  1. システムにグループ(AGGroupなど)を作成します。グループを作成する際に、グループの種類として「セキュリティ グループ」を、グループのスコープとして「グローバル」または「ユニバーサル」を選択します。
    ノート

    親子ドメイン設定では、グループを親ドメインに作成します。
  2. オーケストレート済システムをマネージド・システム・モードに設定する場合は、このグループをアカウント演算子グループのメンバーにする必要があります。
  3. 管理対象システム・モードでオーケストレートされたシステムを設定する場合は、「Authenticated Users」グループの次の権限を「Allow」に設定します。
    • すべての子オブジェクトの作成
    • すべての子abjectを削除します
  4. すべての読取り権限をこのグループに割り当てます。フォレスト内に複数の子ドメインがある場合は、各子ドメインにログインして、各子ドメインのAccount Operatorsグループに以前のグループを追加します。
    ノート

    読取り権限は、ユーザー・アカウントの「プロパティ」ダイアログ・ボックスの「セキュリティ」タブで割り当てます。このタブは、「拡張機能」ビューでのみ表示されます。このビューに切り替えるには、Microsoft Active Directoryコンソールで「View」メニューから「Advanced Features」を選択します。
  5. ターゲット・システムでユーザー(AGUserなど)を作成します。親子ドメイン設定では、ユーザーを親ドメインに作成します。
  6. このユーザーをステップ1で作成したグループのメンバー(AGGroupなど)にします。

Microsoft Active Directory Lightweight Directory Services (AD LDS)でのオーケストレートされたシステム操作のユーザー・アカウントの作成

Microsoft Active Directory Lightweight Directory Services (AD LDS)の場合:

操作を実行するには、管理者グループのメンバーであるユーザー・アカウントを作成して使用する必要があります。

操作用のMicrosoft Active Directory Lightweight Directory Services (AD LDS)ユーザー・アカウントを作成するには:

関連項目:この手順の実行の詳細は、Microsoft Active Directory Lightweight Directory Services (AD LDS)のドキュメントを参照してください。

  1. Microsoft Active Directory Lightweight Directory Services (AD LDS)でユーザー・アカウントを作成します。
  2. ユーザー・アカウントのパスワードを設定します。
  3. msDS-UserAccountDisabledフィールドをfalseに設定して、ユーザー・アカウントを有効にします。
  4. msDS-UserDontExpirePasswordおよびms-DS-UserPasswordNotRequiredフィールドが使用可能であることを確認します。
  5. userPrincipalNameフィールドに値を入力します。
    ノート

    値はusername@domain_nameの形式である必要があります(例: OAGuser@example.com)。
  6. ユーザーの識別名(DN)を管理者グループに追加します。
ノート

スタンドアロンのMicrosoft Active Directory Lightweight Directory Services (AD LDS)インスタンスで操作を実行するためのユーザー・アカウントを作成するには、次のステップに従います。
  1. スタンドアロン・コンピュータにユーザー・アカウントを作成します。
  2. 新しく作成したユーザーをAD LDS Administratorsグループ(CN=Administrators,CN=Roles,DC=X)に追加します。

構成

接続の詳細を入力することで、Microsoft Active DirectoryとOracle Access Governanceの間の接続を確立できます。これを実現するには、Oracle Access Governanceコンソールで使用可能な調整されたシステム機能を使用します。

「Orchestrated Systems」ページに移動します。

Oracle Access Governanceコンソールの「Orchestrated Systems」ページでは、オーケストレート済システムの構成を開始します。

次のステップに従って、Oracle Access Governanceコンソールの「Orchestrated Systems」ページにナビゲートします。
  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「Service Administration」→「Orchestrated Systems」を選択します。
  2. ワークフローを開始するには、「オーケストレート済システムの追加」ボタンを選択します。

システムの選択

ワークフローの「システムの選択」ステップで、Oracle Access Governanceと統合するシステムのタイプを指定できます。

「検索」フィールドを使用して、名前で必要なシステムを検索できます。

  1. 「Microsoft Active Directory」を選択します。
  2. 「次へ」を選択します。

詳細の追加

名前、説明、構成モードなどの詳細を追加します。

ワークフローの「詳細の追加」ステップで、オーケストレート済システムの詳細を入力します:
  1. 「名前」フィールドに、接続先のシステムの名前を入力します。
  2. [名称]フィールドにシステムの説明を入力します。
  3. このオーケストレート済システムが信頼できるソースかどうか、および次のチェック・ボックスを設定してOracle Access Governanceが権限を管理できるかどうかを決定します。
    • これは私のアイデンティティの認証ソースです

      次の項目から選択します。

      • アイデンティティとその属性のソース: システムは、ソース・アイデンティティおよび関連する属性として機能します。新しいアイデンティティは、このオプションを使用して作成されます。
      • アイデンティティ属性のソースのみ: 追加のアイデンティティ属性の詳細が取り込まれ、既存のアイデンティティに適用されます。このオプションは、新規アイデンティティ・レコードを取込みまたは作成しません。
    • このシステムの権限を管理します
    各ケースのデフォルト値は「未選択」です。
  4. 「次へ」を選択します。
ノート

Microsoft Active Directoryオーケストレート済システムでは、「このオーケストレート済システムのアイデンティティ・コレクションを管理したい」オプションを使用して、Microsoft Active Directoryでグループを管理できます。選択すると、このチェック・ボックスを使用して、Oracle Access Governance内からMicrosoft Active Directoryグループを管理できます。Microsoft Active Directoryグループに加えられた変更は、Oracle Access Governanceとオーケストレート済システムの間でリコンサイルされます。同様に、Microsoft Active Directoryで行われた変更は、Oracle Access Governanceに反映されます

所有者の追加

オーケストレーションされたシステムにプライマリ所有者と追加の所有者を追加して、リソースを管理できるようにします。

リソース所有権を関連付けるには、プライマリ所有者と追加所有者を追加します。これにより、これらの所有者は所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。デフォルトでは、リソース作成者はリソース所有者として指定されます。1人のプライマリ所有者と最大20人の追加所有者をリソースに割り当てることができます。
ノート

サービス・インスタンスに対して最初のオーケストレート済システムを設定する場合、「アイデンティティの管理」セクションからアイデンティティを有効にした後にのみ所有者を割り当てることができます。
所有者を追加するには:
  1. 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceのアクティブ・ユーザーをプライマリ所有者として選択します。
  2. 「他の所有者は誰ですか。」リストで1つ以上の追加所有者を選択します。リソースに最大20人の追加所有者を追加できます。
リストの「プライマリ所有者」を表示できます。すべての所有者は、所有するリソースを表示および管理できます。

アカウント設定

通知設定を含むオーケストレート済システムを設定する際のアカウント設定の管理方法の詳細と、アイデンティティが組織を移動または離れた場合のデフォルト・アクションの概要を示します。

ワークフローの「アカウント設定」ステップで、システムが管理対象システムとして構成されている場合、Oracle Access Governanceでアカウントを管理する方法を入力します:
  1. 権限が要求され、アカウントがまだ存在しない場合は、このオプションを選択して新しいアカウントを作成します。このオプションはデフォルトで選択されています。選択すると、権限が要求されたときにアカウントが存在しない場合、Oracle Access Governanceによってアカウントが作成されます。このオプションをクリアすると、権限はオーケストレート済システム内の既存のアカウントに対してのみプロビジョニングされます。アカウントが存在しない場合、プロビジョニング操作は失敗します。
  2. アカウント作成時の通知電子メールの受信者を選択します。デフォルトの受信者は「ユーザー」です。受信者が選択されていない場合、アカウントの作成時に通知は送信されません。
    • ユーザー
    • ユーザー・マネージャ
  3. 既存のアカウントの構成
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。
    1. 早期終了開始時のアカウントの処理の選択: 早期終了の開始時に実行する処理を選択します。これは、正式な退職日より前にアイデンティティ・アクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムでアクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
      • アクションなし: アイデンティティにOracle Access Governanceによる早期終了のフラグが付けられている場合、アクションは実行されません。
    2. 退職日のアカウントの処理の選択: 正式な退職時に実行する処理を選択します。これは、正式な退職日にIDアクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムで「削除」アクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
        ノート

        特定のオーケストレート済システムで「無効化」アクションがサポートされていない場合は、アカウントが削除されます。
      • アクションなし: Oracle Access Governanceでは、アカウントおよび権限に対するアクションは実行されません。
  4. アイデンティティが企業を離れたときは、そのアカウントへのアクセス権を削除する必要があります。
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。

    アカウントに対する次のアクションのいずれかを選択します。

    • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
    • 無効化: すべてのアカウントを無効化し、権限を非アクティブとしてマークします。
      • 無効化されたアカウントの権限の削除: アカウントの無効化時に直接割り当てられ、ポリシーで付与された権限を削除して、残存アクセスをゼロにします。
    • アクションなし: アイデンティティが組織を離れるときにアクションを実行しません。
    ノート

    これらのアクションは、オーケストレートされたシステム・タイプでサポートされている場合にのみ使用できます。たとえば、「削除」がサポートされていない場合、「無効化」および「アクションなし」オプションのみが表示されます。
  5. アカウントのすべての権限が削除された場合(アイデンティティが部門間を移動する場合など)、アカウントの処理を決定する必要がある場合があります。オーケストレート済システム・タイプでサポートされている場合、次のいずれかのアクションを選択します。
    • 削除
    • 使用不可
    • 処理なし
  6. アクセス・ガバナンスで作成されていないアカウントの管理: オーケストレート済システムで直接作成されるアカウントを管理する場合に選択します。これにより、既存のアカウントを調整し、Oracle Access Governanceから管理できます。
ノート

システムを管理対象システムとして構成しない場合、ワークフローのこのステップは表示されますが、有効になりません。この場合、ワークフローの「統合設定」ステップに直接進みます。
ノート

オーケストレート済システムで、汎用RESTおよびデータベース・アプリケーション表の統合と同様に動的スキーマ検出が必要な場合は、オーケストレート済システムの作成時に通知電子メールの宛先(ユーザー、Usermanager)のみを設定できます。モーバーおよびリーバの無効化/削除ルールは設定できません。これを行うには、オーケストレート済システムを作成してから、「オーケストレート済システム・アカウント設定の構成」の説明に従ってアカウント設定を更新する必要があります。

統合設定

Microsoft Active Directoryシステムへの接続の詳細を入力します。

  1. ワークフローの「統合設定」ステップで、Microsoft Active Directoryシステムへの接続に必要な詳細を入力します。

    統合設定
    パラメータ名 必須? 説明
    ホスト名は何ですか。 はい Oracle Access Governanceと統合するディレクトリのホスト名またはIPアドレス(example.com, 172.20.55.120など)。
    ポート番号は何ですか。 はい LDAPサーバーとの通信に使用するTCP/IPポート番号の値です。デフォルトは636です。
    プリンシパルは何ですか。 はい LDAPサーバーの認証に使用する識別名です。

    これは、Create a User Accountで作成したユーザーです。
    パスワードは何ですか。 はい ターゲット識別名のパスワード。
    パスワードの確認 はい パスワードを確認します。
    ベース・コンテキストは何ですか。 はい ユーザーおよびグループの検索を開始するベース・コンテキストを入力します。たとえば、OU=new,DC=test,DC=comです。
    アカウント検索フィルタですか? いいえ

    検索結果に含めるために各アカウントが一致する必要があるLDAP検索フィルタを入力します。例をいくつか示します。

    1. デフォルト値: objectClass=*
    2. アカウント名と従業員タイプ「ADM」でアカウント名が「a」で終わるすべての個人アカウントを返します。 
      (&(objectCategory=person)(sAMAccountName=*a)(employeeType=ADM))
    3. 従業員タイプがEMPまたはNONの個人として分類されたすべてのユーザー・アカウントを返します。
      (&(objectCategory=person)(objectClass=user)(|(employeeType=EMP)(employeeType=NON)))
    フェイルオーバー・サーバーは何ですか。 いいえ フェイルオーバー・サーバーのリストを<servername>:<port>, <servername>:<port>, ...の形式で入力します(たとえば、ADExample1:636, ADExample1:636, ...)。
    SSL有効 はい trueが選択されていることを確認します。

    エージェントでSSLを構成するステップは、次のとおりです。

    1. JDKを使用して、エージェントをインストールおよび実行します。
    2. エージェント・インストール・プロセスの一環として、エージェントに使用されるJDKのcacertsをエージェント・インストール・ディレクトリにコピーします。
    3. 次のコマンドを使用して、AD証明書を以前のcacertsファイルにインポートします。
      <%JAVA_HOME%>/bin/keytool -import -alias OIGAD-cert -file <AD-cert-file> -keystore <agent-install-dir>/cacerts
    4. Config.propertiesには、次が含まれる必要があります。
      JAVA_OPTS=-Djavax.net.ssl.trustStore=/app/cacerts-Djavax.net.ssl.trustStorePassword=changeit
    ドメイン名は何ですか。 はい windowsドメインの名前(windowsdomain.mycompany.comなど)。
    グローバル・カタログを使用してフォレスト全体のオブジェクト検索を実行しますか。 はい

    問合せを単一のドメインに制限するのではなく、Microsoft Active Directoryフォレスト全体でオブジェクト(ユーザー、グループ、リソースなど)を検索できます。

    • いいえ、グローバル・カタログを使用しません: 親ドメインからのみオブジェクトを取得し、フォレスト内の子ドメインは除外します。

    • Yes、 use global catalog over non ssl: セキュアでない接続を使用して、親ドメインと子ドメインの両方(フォレスト全体)を検索できます。これは、グローバル・ポート3268を使用したデータ・ロード操作中にのみ適用されます。

    • Yes、 use global catalog over ssl: セキュアな接続を使用して、親ドメインと子ドメインの両方(フォレスト全体)を検索できます。これは、グローバル・ポート3269を使用したデータ・ロード操作中にのみ適用されます。
    アカウント・オブジェクト・クラスは何ですか。 はい LDAPツリーでのユーザー・オブジェクトの作成に使用される1つ以上のオブジェクト・クラス。
    組織オブジェクト・クラスは何ですか。 はい Microsoft Active Directoryで、組織、組織単位およびコンテナのオブジェクト・クラスを指定します。
    LDAP検索のスコープ・レベルは何ですか。 はい

    • ベース・オブジェクト(OBJECT)の検索: 指定したベース・オブジェクトのみに検索を制限します。これは、単一のディレクトリ・オブジェクトを取得または検証する必要がある場合に使用します。

    • ベース・オブジェクトの即時子の検索(ONE_LEVEL): 子コンテナを含めずに、ベース・コンテキストで指定されたコンテナのみを検索します。たとえば、検索ベースがOU=abc,DC=corp,DC=comの場合、abc OUのみが検索されます。

    • すべての子オブジェクトおよびベース・オブジェクト(SUBTREE)の検索: ベース・オブジェクトとそのすべての子孫をディレクトリ内で検索します。たとえば、ベース・コンテキストをOU=abc,DC=corp,DC=comに設定すると、検索対象はabc OUおよびすべての子OUとなります。
    紹介のタイプは何ですか。 はい

    リフェラルを使用すると、複数のLDAPサーバーに問合せをルーティングできます。これは、プロビジョニングおよびアカウント管理操作に役立ちます。

    • 紹介を無視: 紹介は追跡されず、プロビジョニングは親ドメイン内でのみ実行されます。

    • リフェラルを自動的に実行: Oracle Access Governance統合によってすべてのリフェラルが追跡され、単一のフォレスト内の複数のサブドメインにわたるデータ・ロードおよびプロビジョニング操作がサポートされます。

    • リフェラルが検出されたときに例外をスロー: LDAP問合せによって返されたリフェラルをエラーとしてレポートする必要がある場合は、このオプションを選択します。
    カスタム日付タイプのターゲット属性名は何ですか。 いいえ

    構文タイプが大きい整数で、LDAP互換の数値形式への変換が必要なカスタム・ターゲット・システム属性名のリストを入力します。
    このActive DirectoryはLightweight Directory Services(AD LDS)環境ですか。 いいえ これをActive Directory Lightweight Directory Services (AD LDS)インスタンスとして構成する場合は、このチェック・ボックスを選択します。

    デフォルトでは、falseです。

    ノート: AD LDSにはスキーマ属性の前提条件があります。「デフォルトのサポートされている属性」を確認する必要があります。
  2. 「追加」を選択して、オーケストレート済システムを作成します。

完了

さらにカスタマイズを実行するか、データ・ロードをアクティブ化して実行するかの詳細を指定して、オーケストレート済システムの構成を終了します。

ワークフローの最後のステップは、「終了」です。

ワークフローの「終了」ステップで、Oracle Access GovernanceとMicrosoft Active Directory間のインタフェースに使用するエージェントをダウンロードするように求められます。「ダウンロード」リンクを選択して、エージェントが実行される環境にエージェント・zipファイルをダウンロードします。

エージェントをダウンロードしたら、エージェント管理の記事で説明されている手順に従います。

最後に、データ・ロードを実行する前にオーケストレート済システムをさらに構成するか、デフォルト構成を受け入れてデータ・ロードを開始するかを選択できます。次の中から1つ選択します。
  • システムでデータ・ロードを有効化する前にカスタマイズします
  • 指定されたデフォルトで、データ・ロードのアクティブ化と準備を行います

構成後処理

Microsoft Active Directoryシステムに関連付けられた構成後ステップはありません。