2.4.6 Groupmax Workflow Server for Active Directoryでの設定

Groupmax Workflow Server for Active Directoryを使用する場合は,Workflowで環境設定をした後,Active Directoryで各種設定をします。

<この項の構成>
(1) ディレクトリアクセスアカウントの定義
(2) 対象ドメインの定義
(3) ディレクトリ情報のキャッシュの設定
(4) スキーマの拡張
(5) 役職の登録
(6) 組織の登録
(7) ユーザの登録
(8) 環境設定の削除

(1) ディレクトリアクセスアカウントの定義

ワークフローディレクトリサービス及びユーザ定義コマンドがActive Directoryへアクセスできるようにするために,Active Directoryへアクセスする権限を持っているユーザのアカウント情報(ユーザプリンシパル名及びパスワード)をWorkflowサーバに定義する必要があります。ユーザプリンシパル名とは,ユーザプロパティのアカウントタブのユーザログオン名のことです。アカウント情報は,ディレクトリアクセスアカウント定義ユティリティ(WFdefacc)を実行して定義します。

ディレクトリアクセスアカウント定義ユティリティの詳細は,「4.2.25 ディレクトリアクセスアカウント定義ユティリティ」を参照してください。

ワークフローディレクトリサービス及びユーザ定義コマンドは,定義されたアカウント情報を起動時に読み込み,このユーザアカウントでActive Directoryにアクセスします。

(2) 対象ドメインの定義

Workflowサーバが処理対象とするActive Directoryのドメインを対象ドメイン定義ファイルに指定します。

対象ドメイン定義ファイルは,テキスト形式のファイルです。汎用テキストエディタを使って作成します。

Workflowサーバは,対象ドメイン定義ファイルで指定されたドメイン中の組織及びユーザの中で,Workflowの組織IDが指定された組織,及びWorkflowのユーザIDが指定されたユーザを対象に,ワークフローシステムのデータベース情報及びキャッシュ情報を生成します。

対象ドメイン定義の変更は,ワークフローシステムの運用やリソース(データベースエリアサイズやキャッシュサイズ)を十分考慮して実施してください。特に,対象ドメインを削除すると,そのドメイン中の該当する組織及びユーザが,ワークフローシステムのデータベース情報及びキャッシュ情報から削除されるので,注意してください。

(a) 対象ドメイン定義ファイルの格納場所

次のディレクトリに「ad_domain」という名称で格納します。

  %WFdir%¥SVetc

「%WFdir%」はWorkflowインストールディレクトリを示します。

(b) 対象ドメイン定義ファイルの作成

1レコードごとに,次に示す形式で設定します。

ドメインの識別子

(c) レコード指定時の注意事項

(3) ディレクトリ情報のキャッシュの設定

Active Directoryに登録されたWorkflowのユーザ情報は,ワークフローディレクトリサービスによってキャッシュに読み込まれます。Workflowの各プログラムは,ワークフローディレクトリサービスを経由して,必要なユーザ情報を取得します。

(a) キャッシュパラメタファイルの作成

キャッシュパラメタファイルは,ディレクトリ情報のキャッシュを定義するファイルです。サンプルファイル(%WFdir%¥SVsample¥wfrsinfo)を必要に応じて%WFdir%¥SVetc¥wfrsinfoにコピーし,テキストエディタなどで編集すると,キャッシュパラメタファイルを作成できます。「%WFdir%」はWorkflowインストール先ディレクトリを示します。

キャッシュパラメタファイルの記述形式及び注意事項を次に示します。

行の先頭,末尾,及び区切り文字の「=」や「/」の前後に,空白,タブなどは使用できません。また,コメント行は指定できません。

[CACHE_COMP=キャッシュメモリサイズ]

(b) キャッシュに関する注意事項

キャッシュの不足によって,対象ドメインのすべてのWorkflow対象ユーザ情報が読み込めないときは,ワークフローディレクトリサービスはエラーとなり起動されないか,又はキャッシュローディング処理を中止します。その場合,所要サイズを示すメッセージが出力されます。CACHE_COMPのキャッシュメモリサイズを所要サイズ以上に設定し直して,ワークフローディレクトリサービスのスタートアップパラメタに「-r」を指定して再起動してください。

(4) スキーマの拡張

Workflowの運用時に必要となるユーザや役職などの情報は,Active Directory標準の情報ではないため,Active Directoryのスキーマを拡張してこれらの情報を定義する必要があります。

スキーマの拡張は,次の手順で実行します。

  1. スキーマ拡張機能をActive Directoryのスキーママスタドメインコントローラ上にインストールする
    Active DirectoryのスキーママスタドメインコントローラとWorkflowサーバが同じ場合は,Workflowサーバをインストールすれば一緒にインストールされます。
  2. Active Directory Schema Adminsグループ及び実行マシンのAdministratorsグループに属するメンバがスキーマ拡張ユティリティ(WFadschema)を実行する

スキーマ拡張ユティリティの詳細は,「4.2.23 Active Directoryスキーマ拡張ユティリティ」を参照してください。

スキーマ拡張ユティリティを実行すると,次の属性が追加されます。

OUオブジェクト:組織ID,組織略称

ユーザオブジェクト:ユーザID,役職,所属サーバ名,上長ユーザID,上長役職

役職定義スキーマ

(5) 役職の登録

Workflow独自の役職情報をActive Directoryに登録します。Workflowの役職を登録しておくと,ユーザの属性を定義するときに,ユーザのプロパティダイアログボックスの役職コンボボックスから,登録した役職を選択できるようになります。また,ビジネスプロセス定義の作業机の作業権限の設定で,役職を指定できるようになります。

役職は,役職登録ユティリティ(WFposition)を実行して,Active Directoryに登録します。

役職登録ユティリティの詳細は,「4.2.24 役職登録ユティリティ」を参照してください。

役職の登録後,ユーザのプロパティダイアログボックスに役職名を表示できるようになります。また,ワークフローディレクトリサービスの起動,WFcacheコマンドの実行,又はWFregusrの実行によって,ディレクトリ情報のキャッシュを更新した後,ビジネスプロセス定義の作業机の作業権限の設定で役職名を表示できるようになります。

複数ドメイン構成時の役職定義
複数ドメインで構成される場合,役職定義は次のようになります。
  • 役職定義は,同一役職一覧の場合でも,各ドメインで登録してください。
  • コンボボックスに表示されるのは,自ドメインの役職一覧です。
  • Workflowでは,対象ドメインを複数指定した場合は,対象ドメイン定義の先頭に指定したドメインの役職定義を採用します。

(6) 組織の登録

Workflowで使用する組織を登録します。組織が階層構造を持つ場合と持たない場合とで登録方法が異なります。

(a) 階層構造を持つ場合

Workflowで使用する組織について,Workflow用の組織ID及び組織略称を登録します。ダイアログボックスで登録する方法とバッチ登録する方法があります。それぞれについて説明します。

ダイアログボックスで登録する方法
Windows 2000管理ツールの「Active Directoryユーザーとコンピュータ」のダイアログボックスの「Hitachi Workflow組織」タブで,組織ID及び組織略称を設定します。

「Hitachi Workflow組織」タブを次に示します。

[図データ]

[OK]ボタン又は[適用]ボタンをクリックすると,必須項目が設定されているかどうかがチェックされます。組織ID及び組織略称がユニークな値であるかどうかをチェックするには,Active Directoryツール(LDIFDE)を使用します。

新しく組織IDを設定する場合は,その上位のオブジェクトが,ドメインのトップであるか又は組織IDが指定された組織である必要があります。また,既存の組織IDを未設定の状態に変更した場合は,その組織下の組織ID階層は無効となり,その組織下のユーザはデフォルト組織に移動されます。

バッチ登録する方法
Active Directoryの組織を定義する際に,Workflow用の組織ID及び組織略称をバッチ登録用の定義ファイルに定義します。組織ID及び組織略称は,サーバが対象とするドメイン内でユニークな値にします。定義後,Active Directoryのバッチ登録ユティリティでActive Directoryデータベースに登録します。
なお,組織ID及び組織略称がユニークな値であるかどうかをチェックするには,Active Directoryツール(LDIFDE)を使用します。
Workflow用の組織ID及び組織略称の属性名を次に示します。詳細は,「付録I スキーマの属性」を参照してください。
 組織ID :hitachiWFOUID
 組織略称:hitachiWFAbbrOUName
(b) 階層構造を持たない場合

階層構造を持たない場合は,デフォルト組織の下に,すべてのワークフローユーザを所属させます。

デフォルト組織の組織IDは「_DefOrg」で,組織名と組織略称は,環境設定ユティリティの次のパラメタで設定します。

環境設定パラメタ名:「デフォルトの組織名」
Workflowの組織に所属していないワークフローユーザ,又はUsersコンテナの下のユーザを所属させる組織名を指定します。
(c) 組織IDに関する注意事項

組織の登録時に指定する組織ID(8バイト)は,対象ドメインの範囲でユニークでなければなりません。IDが重複している場合は,ディレクトリサービスが起動されないか,又はディレクトリサービスのキャッシュが再ローディングされません。この場合,警告メッセージ(KDWD0127-W)が出力されるとともに,ログファイルが出力されます(%WFdir%¥WFspool¥WFunique.log)。メッセージを参照し,対処してください。

(d) 組織の移動に関する注意事項

Windows 2000管理ツールの[Active Directoryユーザーとコンピュータ]のダイアログボックスの[操作]-[移動]コマンドを使用して,組織IDを指定しているOU(組織単位)を移動する場合は,次の点に注意してください。

(7) ユーザの登録

Workflowで使用するユーザについて,Workflow用のユーザIDや所属サーバ名などを登録します。ダイアログボックスで登録する方法とバッチ登録する方法があります。また,Active Directoryにユーザを登録した後,ワークフローデータベースにユーザを登録します。それぞれについて説明します。

(a) ダイアログボックスで登録する方法

Windows 2000管理ツールの「Active Directoryユーザーとコンピュータ」のダイアログボックスの「Hitachi Workflowユーザ」タブで,ユーザ情報を設定します。

「Hitachi Workflowユーザ」タブを次に示します。

[図データ]

[OK]ボタン又は[適用]ボタンをクリックすると,必須項目が設定されているかどうかがチェックされます。ユーザIDがユニークな値であるかどうかをチェックするには,Windows 2000 ServerのLDIFDEツールでActive Directoryに登録されているユーザIDを抽出した後,例えば表計算ソフトを使用して重複をチェックします。

(b) バッチ登録する方法

Active Directoryのユーザを定義する際に,Workflow用のユーザID,所属サーバ名,役職,上長ユーザID及び上長役職をバッチ登録用の定義ファイルに定義します。定義後,Active Directoryのバッチ登録ユティリティでActive Directoryデータベースに登録します。

なお,ユーザIDがユニークな値であるかどうかをチェックするには,Active Directoryツール(LDIFDE)を使用します。

Workflow用のユーザID,所属サーバ名,役職,上長ユーザID及び上長役職の属性名を次に示します。詳細は,「付録I スキーマの属性」を参照してください。

ユーザID  :hitachiWFUserID

所属サーバ名 :hitachiWFServerNameList

役職     :hitachiWFPositionName

上長ユーザID:hitachiWFSuperiorUserID

上長役職   :hitachiWFSuperiorPositionName

(c) ワークフローデータベースへの登録

Active Directoryにユーザを登録した後,ワークフローデータベースにユーザトレーを作成します。ユーザトレーの作成方法には次の三つがあります。

それぞれの方法について説明します。なお,対象ドメイン定義ファイルを定義している場合は,グローバルカタログサーバ及び指定しているドメインのドメインコントローラが稼働していなければなりません。

スタートアップパラメタに「-r」を指定してワークフローディレクトリサービスを起動する方法
スタートアップパラメタに「-r」を指定してワークフローディレクトリサービスを起動すると,Active Directoryに登録されたユーザ情報を基に,ディレクトリ情報のキャッシュが生成されます。キャッシュの生成が正常に実行されると,キャッシュの情報を基にワークフローデータベースにユーザトレーが作成されます。
ユーザ定義ユティリティ(WFregusr)を実行する方法
ユーザ定義ユティリティは,ワークフローディレクトリサービスを起動してから実行します。ユーザ定義ユティリティを実行すると,ワークフローディレクトリサービスに対してキャッシュの更新が要求されます。ワークフローディレクトリサービスはキャッシュの更新要求を受け付け,Active Directoryに登録されたユーザ情報を基にキャッシュの情報を更新します。ユーザ定義ユティリティはキャッシュの更新が正常に終了すると,キャッシュの情報を基にワークフローデータベースにユーザトレーを作成又は更新します。
ユーザ定義ユティリティの詳細は,「4.2.10 ユーザ定義ユティリティ」を参照してください。
キャッシュローディングユティリティ(WFcache)を実行する方法
キャッシュローディングユティリティは,ワークフローディレクトリサービスを起動してから実行します。キャッシュローディングユティリティを実行すると,ワークフローディレクトリサービスに対してキャッシュの更新が要求され,終了します。ワークフローディレクトリサービスはキャッシュの更新要求を受け付け,Active Directoryに登録されたユーザ情報を基にキャッシュの情報を更新します。ワークフローディレクトリサービスはキャッシュの更新が正常に終了すると,キャッシュの情報を基にワークフローデータベースにユーザトレーを作成又は更新します。
キャッシュローディングユティリティの詳細は,「4.2.16 キャッシュローディングユティリティ」を参照してください。
(d) ドメイン管理者の設定

ドメイン管理者を登録するには,ユーザ定義更新ユティリティ(WFdefusr)を実行します。したがって,systemユーザはActive Directoryには登録しないでください。

ユーザ定義更新ユティリティの詳細は,「4.2.11 ユーザ定義更新ユティリティ」を参照してください。

(e) ワークフロー運用管理者及びビジネスプロセス管理者の設定

Active Directoryに登録したユーザから,ワークフロー運用管理者及びビジネスプロセス管理者として設定するユーザを選択し,Groupmax Workflow Definerで設定します。ワークフロー運用管理者及びビジネスプロセス管理者は,ドメイン管理者が設定します。

ワークフロー運用管理者及びビジネスプロセス管理者には,組織ごとに,ユーザ情報の更新権限を与えます。ユーザ情報の更新権限をワークフロー運用管理者及びビジネスプロセス管理者に与えることで,ドメイン管理者の負担を軽減できます。

また,ワークフロー運用管理者及びビジネスプロセス管理者にユーザ情報の更新権限を与えないことで,すべてのユーザ情報をドメイン管理者が集中的に管理することもできます。

ユーザを設定する場合は,Workflow管理サーバ及び設定するユーザのホームサーバを起動しておいてください。

なお,Groupmax Workflow Definerの代わりに,ユーザ定義更新ユティリティを使ってワークフロー運用管理者及びビジネスプロセス管理者を設定できます。ユーザ定義更新ユティリティの詳細は,「4.2.11 ユーザ定義更新ユティリティ」を参照してください。

(f) ユーザ属性の設定

Active Directoryに登録したユーザの属性を,Groupmax Workflow Definerで設定します。

なお,(d),(e)及び(f)の設定をサーバで一括して実行できます。サーバで一括して実行するには,Groupmax Workflow Definerの代わりに,各Workflowサーバ上でユーザ定義更新ユティリティを実行してください。ユーザ定義更新ユティリティの詳細は,「4.2.11 ユーザ定義更新ユティリティ」を参照してください。

(g) リアルタイムの更新

Active Directoryのユーザ情報の変更を定期的にワークフローデータベースに反映させるには,WindowsシステムのScheduleサービス(ATコマンド)又はJP1/Automatic Job Schedulerを使って,ユーザ登録ユティリティ(WFregusr)を定期的に実行させてください。ただし,どちらの方法でも,ワークフローディレクトリサービスを起動しておく必要があります。また,対象ドメイン定義ファイルを定義している場合は,グローバルカタログサーバ及び指定しているドメインのドメインコントローラが稼働していなければなりません。

(h) Active Directoryへユーザを登録する場合の注意事項
(i) [Active Directoryユーザーとコンピュータ]ダイアログボックスの操作に関する注意事項

Windows 2000管理ツールの[Active Directoryユーザーとコンピュータ]のダイアログボックスでの操作に関する注意事項を次に示します。

(8) 環境設定の削除

Active Directoryに設定したWorkflowの環境設定の内容を削除する手順は,次のようになります。

  1. 属性値の削除
    OU及びユーザのWorkflow属性値の設定を削除します。
  2. 役職定義の削除
    役職登録ユティリティを使って,役職の定義を各ドメインで削除します。
  3. スキーマ定義の削除
    Workflowを使用するドメインが一つもない場合は,スキーマ拡張ユティリティを使って,拡張したスキーマを削除(無効化)します。