| Oracle® Identity Manager SAP User Management Engineコネクタ・ガイド 11.1.1 B72407-11 |
|
 前 |
 次 |
ノート:
このマニュアルの一部では、SAP User Management Engineをターゲット・システムと呼んでいます。
コネクタのアカウント管理(ターゲット・リソース)モードにおいて、ターゲット・システムで直接作成または変更されたユーザーに関するデータは、Oracle Identity Managerにリコンサイルできます。このデータは、新規リソースのOIMユーザーへのプロビジョニング(割当て)、またはすでにOIMユーザーに割り当てられているリソースの更新に使用されます。また、Oracle Identity Managerを使用して、OIMユーザーに割り当てられたSAP User Management Engineリソースのプロビジョニングまたは更新を行うことができます。Oracle Identity Managerで実行されるこのようなプロビジョニング操作は、ターゲット・システム・アカウントの作成または更新に変換されます。
この章では、次の項目について説明します。
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1に、このコネクタで動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
| コンポーネント | 要件 |
|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
ターゲット・システム |
ターゲット・システムは、次のいずれかを指定できます。
ノート: SAP Enterprise PortalなどのSAPアプリケーションをJavaスタックにインストールする場合、コネクタをアプリケーションのSAP User Management Engine (UME)に接続できます。 SAP BWやSAP SRMなどのSAPアプリケーションをABAPスタックにインストールする場合は、アプリケーションのSAP UMEに対してSAP Enterprise Portalを構成する必要があります。この構成の詳細は、それぞれのターゲット・システムのドキュメントを参照してください。 SAP PIなどのSAPアプリケーションをディアル・スタック(ABAPおよびJava)にインストールする場合、コネクタをアプリケーションのSAP UMEに接続できます。ただし、ABAPデータ・ソースの制限事項が適用されます。 |
コネクタ・サーバー |
11.1.2.1.0 |
コネクタ・サーバーJDK |
JDK 1.6 update 24以降およびJDK 1.7以降、またはJRockit 1.6以降 |
SAP Governance, Risk and Compliance Access Control (GRC AC) |
このターゲット・システムのAccess Risk Analysis機能またはAccess Request Management機能を構成および使用する場合は、次をインストールしてください。
|
OpenSPML Toolkit |
OpenSPML Toolkitバージョン0.6 (コネクタ・バンドルに付属しています)。 |
使用しているOracle Identity Managerバージョンに応じて、次のコネクタのいずれかをデプロイして使用する必要があります。
ノート:
Oracle Identity Managerでは、SAP User ManagementコネクタとSAP User Management Engineコネクタの両方をインストールして構成できます。
SAP GRC ACターゲット・システムのコネクタを構成して、Access Risk AnalysisまたはAccess Request Management機能のいずれかを使用できます。
Oracle Identity Managerリリース9.1.0.2以降で、Oracle Identity Manager 11gリリース1 PS1 BP07 (11.1.1.5.7)より前のバージョンを使用している場合は、このコネクタのバージョン9.1.0を使用する必要があります。
Oracle Identity Manager 11gリリース1 PS1 BP07 (11.1.1.5.7)およびこのリリース・トラックでのそれ以降のBP (Oracle Identity Manager 11gリリース1 PS1 BP08 (11.1.1.5.8)以降、Oracle Identity Manager 11gリリース2 BP05 (11.1.2.0.5)など)、またはOracle Identity Manager 11g リリース2 PS3 (11.1.2.3.0)を使用している場合は、このコネクタの最新の11.1.1.xバージョンを使用してください。
コネクタでサポートされている言語は次のとおりです。
アラビア語
中国語(簡体字)
中国語(繁体字)
チェコ語
デンマーク語
オランダ語
英語
フィンランド語
フランス語
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ノルウェー語
ポーランド語
ポルトガル語
ポルトガル語(ブラジル)
ルーマニア語
ロシア語
スロバキア語
スペイン語
スウェーデン語
タイ語
トルコ語
SAP UMEコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
コネクタは、SAP User Management Engineにリンクされているデータ・ソースを使用するアプリケーションにアカウント作成または変更リクエストを送信するためのフロントエンドとして、Oracle Identity Managerを設定します。
データ・ソースで直接実行されたプロビジョニング操作によって追加または変更されたアカウント・データは、SAP User Management Engineを介してOracle Identity Managerにリコンサイルできます。
図1-1に、SAP User Management EngineとOracle Identity Managerを統合するコネクタを示します。
図に示すように、SAP User Management Engineはデータ・ソース(ABAPモジュール、AS Javaデータベース、またはLDAPベースのソリューションのいずれか)に格納されているユーザー・データの管理ツールとして構成されます。SAP User Management Engine UIを介して行われたユーザー・データの変更は、データ・ソースを使用するアプリケーションまたはLDAPベース・ソリューションのUIに反映されます。
コネクタをデプロイすることで、SAP User Management EngineをOracle Identity Managerのターゲット・リソースとして構成します。
Oracle Identity Managerから送信されたプロビジョニング・リクエストは、SPMLサービスを経由して、SAP User Management Engineにリンクされているデータ・ソースを使用するアプリケーションまたはシステムにルーティングされます。プロビジョニング・リクエストによって行われたユーザー・データの変更は、SAP User Management Engine UIを使用して表示できます。リコンシリエーションは、SAP User Management Engineから直接実行されます。
このコネクタは、アカウント管理モードで実行するように構成できます。アカウント管理は、ターゲット・リソース管理とも呼ばれます。アカウント管理モードでは、ターゲット・システムはターゲット・リソースとして使用されます。コネクタのこのモードでは、次の操作が可能です。
プロビジョニング
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザーを作成または更新します。SAP User Management EngineリソースをOIMユーザーに割り当てる(プロビジョニングする)と、その操作の結果として、そのユーザーのアカウントがSAP UMEで作成されます。Oracle Identity Manager関連では、プロビジョニングという用語は、Oracle Identity Managerを使用したターゲット・システム・アカウントに対する更新を意味する場合にも使用されます。
プロビジョニング時には、アダプタがプロセス・フォームを介した送信されたプロビジョニング・データをターゲット・システムに搬送します。SAP User Management EngineのSPMLサービスはアダプタからプロビジョニング・データを受け取り、必要なプロビジョニング操作を実行して、レスポンスをOracle Identity Managerのアダプタに返します。
リコンシリエーション
コネクタによって提供されたスケジュール済タスクがSPMLクライアントとして機能して、SPMLリクエストをアプリケーション・サーバーのSPMLサービスに送信します。
リコンシリエーション時には、スケジュール済タスクによってSPMLサービスとの接続が確立されます。リコンシリエーション基準が、SPMLリクエストを介してこのSPMLサービスに送信されます。SPMLサービスはリクエストを処理して、リコンシリエーション基準に一致するユーザー・レコードを含むSPMLレスポンスを返します。スケジュール済タスクはこれらのレコードをOracle Identity Managerに送信します。
ターゲット・システムからフェッチされた各レコードは、OIMユーザーにすでにプロビジョニングされているSAP User Management Engineリソースと比較されます。一致が見つかった場合、レコードに加えられた更新が、Oracle Identity ManagerのSAP User Management Engineリソースにコピーされます。一致が見つからなかった場合、レコードのユーザーIDが、各OIMユーザーのユーザーIDと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、SAP User Management EngineリソースがOIMユーザーにプロビジョニングされます。
コネクタは、ターゲット・システムとの直接統合を可能にすることに加え、SAP BusinessObjects ACのAccess Risk AnalysisモジュールおよびAccess Request Managementモジュールとのインタフェースとして機能するように使用することもできます。ターゲット・システム(SAP R/3またはSAP CUA)およびSAP BusinessObjects ACのこれら2つのモジュールでは、様々なデプロイメント構成が提供されます。次の各項で、コネクタのサポートされるデプロイメント構成について説明します。
Access Request Managementは、SAP BusinessObjects ACスイート内のモジュールです。SAP環境では、アカウントの作成および変更のプロビジョニング・リクエストを受信するフロント・エンドとしてAccess Request Managementを設定できます。Access Request Managementでは、これらのリクエストを処理するワークフローを構成することが可能で、承認者として指定されたユーザーがこれらのリクエストを処理します。
ノート:
このガイドにおいて、Access Request Managementの構成というフレーズは、Oracle Identity ManagerとSAP BusinessObjects AC Access Request Managementとの統合の構成を意味します。
動作環境によっては、Access Request ManagementモジュールがAccess Risk Analysisモジュールと直接リンク付けされている場合があります。すなわち、プロビジョニング・リクエストは、SoD検証用にまずAccess Request ManagementからAccess Risk Analysisに送信されます。検証プロセスをクリアしたリクエストのみがターゲット・システムに実装されます。このシナリオでは、コネクタのSoD機能は構成しないことをお薦めします。
リコンシリエーションにはSAP BusinessObjects AC Access Request Managementは含まれません。Oracle Identity Managerのスケジュール済タスクでは、ターゲット・システムからのデータがOracle Identity Managerにフェッチされます。
図1-2に、コネクタのこのモードでのデータ・フローを示します。
図1-2 SAP BusinessObjects AC Access Request ManagementをOracle Identity Managerおよびターゲット・システムに統合するコネクタ
プロビジョニング操作中に実行されるステップの詳細なステップは次のとおりです。
プロビジョニング操作が、ダイレクト・プロビジョニング、リクエストベースのプロビジョニングまたはアクセス・ポリシーの変更を介して開始されます。
SPMLユーザーの作成リクエストがターゲット・システムで実行され、次のいずれかが決定されます。
ユーザーの作成操作では、SPMLユーザー作成リクエストがターゲット・システムにユーザーが存在すると判断した場合、エラー・メッセージが表示されます。ユーザーが存在しない場合は、プロビジョニング・データからリクエストが作成され、SAP BusinessObjects AC Access Request Managementに送信されます。
ユーザーの変更操作では、SPMLユーザー作成リクエストがターゲット・システムにユーザーが存在しないと判断した場合、エラー・メッセージが表示されます。ユーザーが存在する場合は、プロビジョニング・データからリクエストが作成され、SAP BusinessObjects AC Access Request Managementに送信されます。
コネクタでは、次のSAP BusinessObjects ACのWebサービスを使用して、リクエストの送信およびレスポンスの受信が行われます。
GRAC_USER_ACCESS_WS: このWebサービスはリクエストの送信に使用されます。
GRAC_REQUEST_STATUS_WS: このWebサービスはリクエスト・ステータスのフェッチに使用されます。
GRAC_AUDIT_LOGS_WS: このWebサービスは、SAP BusinessObjects AC Access Request Managementのログにエラー・メッセージがあるかどうかをチェックするために使用されます。
プロセス・フォームには、基本的なユーザー管理用とAccess Request Management用の両方のフィールドが保持されています。ただし、ユーザーの作成操作では、プロセス・フォームのAccess Request Managementフィールド(属性)のみが使用されます。これらのフィールドのマッピングは、Lookup.SAPAC10UME.UM.ProvAttrMap参照定義に保存されます。これらの参照定義に存在しない属性の値を指定した場合、コネクタはユーザーの作成操作中、これらの属性を無視します。
ノート:
SAP BusinessObjects AC Access Request Managementでは、パスワードは処理されません。したがって、「パスワード」フィールドに入力された値はすべて、「ユーザーの作成」プロビジョニング操作中は無視されます。
Access Request Managementを構成する際のパスワードの設定の詳細は、「プロビジョニング実行のガイドライン」を参照してください。
ユーザーの変更操作では、マッピングがこれらの参照定義に存在する属性に対してのみ、リクエストが作成されます。これらの参照定義に存在しない属性の値を指定した場合、値はコネクタからターゲット・システムに直接送信されます。
ノート:
ユーザーの変更操作では、SAP BusinessObjects AC Access Request Managementでマップされる属性およびターゲット・システムで直接更新される属性の値を指定できます。
SAP BusinessObjects AC Access Request Managementでリクエストが作成されると、Access Request Managementによって送り返されたデータがOracle Identity Managerの次の読取り専用フィールドに保存されます。
ACリクエストID: このフィールドには、SAP BusinessObjects AC Access Request Managementで生成されたリクエストIDが保持されます。「ACリクエストID」は、リクエストの存続期間中変更されません。
ACリクエスト・ステータス: このフィールドには、SAP BusinessObjects AC Access Request Managementでのリクエストのステータスが保持されます。SAP ACリクエスト・ステータス・スケジュール済ジョブを構成および実行し、ターゲット・システムからリクエストの最新ステータスをフェッチします。
ACリクエスト・タイプ: このフィールドには、リクエストのタイプ(アカウントの新規作成、アカウントの変更、アカウントの削除、新規作成、変更など)が保持されます。
リクエストは、SAP BusinessObjects AC Access Request Managementで定義されたワークフローを介して渡されます。次のいずれかの結果になります。
Access Request Managementがリクエストをクリアした場合、ターゲット・システム(SAP UME)でユーザーのアカウントが作成または変更される結果になります。リクエストのステータスは「OK」に設定されます。次に、Oracle Identity Managerのログにメッセージが記録されます。
Access Request Managementでプロビジョニング・リクエストが却下されると、リクエストのステータスは「Failed」に設定されます。次に、Oracle Identity Managerのログにメッセージが記録されます。
Access Request Managementとターゲット・システム間の通信中にエラーが発生した場合、リクエストは「Open」ステータスのままになります。操作が失敗したことを示すメッセージが、リクエストに関連付けられた監査ログに記録されます。エラー・メッセージがコンソールに表示されます。
Access Request Managementを構成すると、コネクタのログで監査証跡詳細を取得できます。
コネクタのログ内の監査証跡のサンプルをいくつか示します。
ユーザーの作成
logAuditTrial : Audit Trial: {Result=[Createdate:20130409,Priority:HIGH,Requestedby:,johndoe (JOHNDOE),Requestnumber:9000001341,Status:Decision pending,Submittedby:,johndoe (JOHNDOE),auditlogData:{,ID:000C290FC2851ED2A899DA29DAA1B1E2,Description:,Display String:Request 9000001341 of type New Account Submitted by johndoe ( JOHNDOE ) for JK1APRIL9 JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH}], Status=0_Data Populated successfully}
リクエスト・ステータス・スケジュール・ジョブ
logAuditTrial : Audit Trial: {Result=[Createdate:20130409,Priority:HIGH,Requestedby:,johndoe (JOHNDOE),Requestnumber:9000001341,Status:Approved,Submittedby:,johndoe (JOHNDOE),auditlogData:{,ID:000C290FC2851ED2A899DA29DAA1B1E2,Description:,Display String:Request 9000001341 of type New Account Submitted by johndoe ( JOHNDOE ) for JK1APRIL9 JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH,ID:000C290FC2851ED2A899DAF9961C91E2,Description:,Display String:Request is pending for approval at path GRAC_DEFAULT_PATH stage GRAC_MANAGER,ID:000C290FC2851ED2A89A1400B60631E2,Description:,Display String:Approved by JOHNDOE at Path GRAC_DEFAULT_PATH and Stage GRAC_MANAGER,ID:000C290FC2851ED2A89A150972D091E2,Description:,Display String:Auto provisioning activity at end of request at Path GRAC_DEFAULT_PATH and Stage GRAC_MANAGER,ID:000C290FC2851ED2A89A150972D111E2,Description:,Display String:Approval path processing is finished, end of path reached,ID:000C290FC2851ED2A89A150972D151E2,Description:,Display String:Request is closed}], Status=0_Data Populated successfully}
ユーザーの変更
logAuditTrial : Audit Trial: {Result=[Createdate:20130409,Priority:HIGH,Requestedby:,johndoe (JOHNDOE),Requestnumber:9000001342,Status:Decision pending,Submittedby:,johndoe (JOHNDOE),auditlogData:{,ID:000C290FC2851ED2A89A3ED3B1D7B1E2,Description:,Display String:Request 9000001342 of type Change Account Submitted by johndoe ( JOHNDOE ) for JK1FirstName JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH}], Status=0_Data Populated successfully}
SAP動作環境で、SAP GRCのAccess Risk Analysisモジュールが職務の分離(SoD)を実装するように構成されている場合、Oracle Identity GovernanceとSoDモジュール間のインタフェースとしてコネクタを使用できます。コネクタは、SAP GRC Access Risk AnalysisのSoD検証を介してOracle Identity Governanceから送信されたプロビジョニング・リクエストを最初に処理するように構成できます。この検証プロセスをクリアしたプロビジョニング・リクエストは、Oracle Identity Governanceからターゲット・システムへと伝搬されます。
リコンシリエーションにはSAP GRC Access Risk Analysisは含まれません。ターゲット・システムで直接実行されたプロビジョニング操作によって追加または変更されたアカウント・データは、Oracle Identity Governanceにリコンサイルできます。
このガイドにおいて、SoDの構成というフレーズは、Oracle Identity GovernanceとSAP GRC Access Risk Analysisとの統合の構成を意味します。
図1-3に、コネクタのこのモードでのデータ・フローを示します。
プロビジョニング操作中に実行されるステップの概要は次のとおりです。
プロビジョニング操作が、ダイレクト・プロビジョニング、リクエストベースのプロビジョニングまたはアクセス・ポリシーの変更を介して開始されます。
このリクエストは、Oracle Identity Governanceのリソース承認ワークフローからSoDエンジン(SAP GRC Access Risk Analysis)に送信されます。
SoDエンジンでは、事前定義のルールを使用して、権限割当てがSoD違反につながるかどうかをチェックします。このチェックの結果はOracle Identity Governanceに送り返されます。
リクエストがSoD検証に失敗した場合、改善ステップが行われるように承認ワークフローを構成できます。ユーザーのリクエストがSoD検証にパスし、Oracle Identity Governanceの承認者がリクエストを承認した場合、リソース・プロビジョニング・ワークフローが開始されます。
このリソース・プロビジョニング・ワークフローは、SoD検証を再度実行するように構成できます。これは、権限割当てがターゲット・システムにプロビジョニングされる直前に、権限割当てのSoDコンプライアンスを確認するためです。また、この検証がリソース承認ワークフローで通過した場合、リソース・プロビジョニング・ワークフローのSoD検証チェックをバイパスするように構成することもできます。
ターゲット・システムで必要な変更がリソース・プロビジョニング・ワークフローで実行され、操作の結果がOracle Identity Governanceに送り返されて保存されます。
SAP動作環境でSAP GRC Access Risk AnalysisとAccess Request Managementの両方が構成されている場合、Access Risk AnalysisとAccess Request Managementモジュールが動作環境内で個別に構成されている(つまり、リンクされていない)モジュールである場合にかぎり、SoDとAccess Request Managementの両方のコネクタ機能を同時に構成します。
ノート:
プロビジョニング・リクエストをSoD検証用にSAP GRC Access Risk Analysisに送信するようにSAP GRC Access Request Managementが構成されている場合、コネクタのSoD機能を構成することはできません。
Oracle Identity Governanceでのプロビジョニング操作からのデータは、まずSoD検証のためにSAP GRC Access Risk Analysisモジュールに送信されます。
SoD検証チェックをクリアしたプロビジョニング・リクエストは、SAP GRC Access Request Managementに送信されます。
リクエストがSAP GRC Access Request Managementワークフローをクリアすると、プロビジョニング・リクエストがターゲット・システムに実装されます。
Oracle Identity Governanceから実行されるスケジュール済タスクによって、ターゲット・システムからの操作結果がOracle Identity Governanceにリコンサイルされます。
ここでは、デプロイメント構成を使用する際に適用する必要があるガイドラインを示します。
Oracle Identity ManagerをSAP動作環境に統合する場合、次の要件のいずれかを想定していると考えられます。
Oracle Identity ManagerをSAPリソースでのアカウント管理のプロビジョニング・ソースとして使用。
SAP BusinessObjects AC Access Request Managementで構成されたワークフローおよびアクセス・ポリシーを利用し、Oracle Identity ManagerをSAPリソースでのアカウント管理のプロビジョニング・ソースとして使用。
SAP BusinessObjects AC Access Risk AnalysisをSoDの実行用に、SAP BusinessObjects AC Access Request ManagementをOracle Identity Managerを介して送信されるプロビジョニング・リクエストのユーザー承認用に使用。SAPリソースでの全体的なアカウント管理はOracle Identity Managerを介して実行します。
次の各項で、サポートされるデプロイメント構成のガイドラインを説明します。
ノート:
基本的なユーザー管理構成およびSoDを使用するUser Management Engine構成に関する特別なガイドラインはありません。
次のデプロイメント・ガイドラインは、SAP BusinessObjects AC Access Risk AnalysisとSAP BusinessObjects AC Access Request Managementが有効化され、個別に構成されたモジュールであるシナリオで適用してください。
コネクタのSoD機能とAccess Request Management機能を両方構成します。
SAP BusinessObjects AC Access Request Managementで、アカウント作成に対するステージなしの承認を構成します。すなわち、アカウント作成リクエストはAccess Request Managementで自動的に承認される必要があります。
ロールまたはプロファイルがOracle Identity Managerでプロビジョニングされ、SAP BusinessObjects AC Access Request Managementで拒否された場合、そのロールまたはプロファイルは次回のユーザー・リコンシリエーション実行の最後にOracle Identity Managerから削除されます。このため、ロール・プロビジョニング・リクエストの承認ワークフローをSAP BusinessObjects AC Access Request Managementで定義できます。
アカウント管理プロセスの概要:
Oracle Identity Managerでのプロビジョニング操作からのデータは、まずSoD検証のためにSAP BusinessObjects AC Access Risk Analysisモジュールに送信されます。
SoD検証チェックをクリアしたプロビジョニング・リクエストは、SAP BusinessObjects AC Access Request Managementに送信されます。
リクエストがSAP BusinessObjects AC Access Request Managementワークフローをクリアすると、プロビジョニング・リクエストがターゲット・システムに実装されます。
Oracle Identity Managerから実行されるスケジュール済タスクによって、ターゲット・システムからの操作結果がOracle Identity Managerにリコンサイルされます。
次のデプロイメント・ガイドラインは、SAP動作環境でSAP BusinessObjects AC Access Request Managementが構成され、有効化されているシナリオで適用してください。
ノート:
SAP BusinessObjects AC Access Risk Analysisは、SAP BusinessObjects AC Access Request Managementにリンク付けされたモジュールとして構成されているか、またはまったく使用されていません。
SAP BusinessObjects AC Access Request Managementで、アカウント作成に対するステージなしの承認を構成します。すなわち、アカウント作成リクエストはAccess Request Managementで自動的に承認される必要があります。
このガイドラインについては、この項で前述したシナリオを参照してください。
コネクタのAccess Request Management機能を構成します。
コネクタのSoD機能は構成しないでください。
アカウント管理プロセスの概要:
Oracle Identity Managerでのプロビジョニング操作からのデータは、SAP BusinessObjects AC Access Request Managementに送信されます。
SAP BusinessObjects AC Access Request Managementで定義されたワークフローによって、リクエストがSoD検証のためにSAP BusinessObjects AC Access Risk Analysisモジュールに送信されます。
SoD検証チェックをクリアした後、プロビジョニング・リクエストがターゲット・システムに実装されます。
Oracle Identity Managerから実行されるスケジュール済タスクによって、ターゲット・システムからの操作結果がOracle Identity Managerにリコンサイルされます。
コネクタのAccess Request Management機能を有効化する際は、次の事項を考慮してください。
プロビジョニング操作によっては、Oracle Identity Managerから複数のリクエストが生成される場合があります。たとえば、特定のプロビジョニング操作で、あるユーザーに複数のロールを割り当てると、ロールごとに1つのリクエストが作成され、Access Request Managementに送信されます。
アカウントによって、Oracle Identity Managerが最新のリクエスト以外を記録しない場合があります。たとえば、あるアカウントの複数の属性が別個のプロビジョニング操作で変更された場合、Oracle Identity Managerでは最後の操作に関連したデータのみが記録されます。
ユーザーの変更操作によって、複数のプロセス・フォーム・フィールドまたは子フォーム・フィールドに変更が及ぶ場合があります。変更されるフィールドごとにリクエストが1つ作成され、SAP BusinessObjects AC Access Request Managementに送信されます。Access Request Managementに送信された最後のリクエストに関する情報のみがOracle Identity Managerに保存されます。
1回の操作で送信できるのは、親フォーム・リクエストまたは子フォーム・リクエストのいずれかです。親フォーム・リクエストと子フォーム・リクエストの両方を同時に送信することはできません。
コネクタの機能には、権限リクエストのSoD検証、完全リコンシリエーション、制限付きリコンシリエーション、その他の機能(複数データ・ソースのサポート、フェデレーテッド・ポータル・ネットワーク(FDN)でのリモート・ロール割当てのサポートなど)が含まれます。
コネクタの機能は次のとおりです。
SAP BusinessObjects AC Access Request Managementとともに機能するようにコネクタを構成できます。この機能の詳細は、「Access Request Managementを使用したユーザー管理」を参照してください。
コネクタは、Oracle Identity Managerリリース9.1.0.2で導入されたSoD機能をサポートします。このソフトウェア更新の主な点は次のとおりです。
SoD起動ライブラリ(SIL)は、Oracle Identity Managerにバンドルされています。SILは、任意のSoDエンジンとのプラガブル統合インタフェースとして機能します。
コネクタは、SoDエンジンとしてのSAP BusinessObjects ACとともに機能できます。そのために、コネクタの認証とプロビジョニングのワークフローが変更されました。
ノート:
デフォルトで、承認ワークフローおよび関連オブジェクト・フォームはSAP BusinessObjects ACのSoD検証機能用に構成されています。これらを使用して、独自の承認ワークフローおよびオブジェクト・フォームを作成できます。
Oracle Identity Managerリリース11.1.1では、オブジェクト・フォームはリクエスト・データ・セットによって置き換えられました。リクエスト・データセットとは、プロビジョニング操作時にリクエスタが送信する情報を指定するXMLファイルのことです。事前定義済リクエスト・データセットはコネクタに同梱されています。デフォルトで、承認ワークフローおよび関連リクエスト・データセットはSAP BusinessObjects ACのSoD検証機能用に構成されています。これらを使用して、独自の承認ワークフローおよびリクエスト・データセットを作成できます。
SoDエンジンは、コネクタを介して送信されるロール権限のリクエストを処理します。この予防シミュレーション方法は、リクエストされた権限がユーザーに割り当てられる前に、ユーザーへの権限割当てで競合する可能性のあるものを特定し、修正するうえで役立ちます。
関連項目:
このガイドの「SoD (職務の分離)の構成」
ノート:
SODを使用したSAPユーザー管理を使用している場合は、「権限」タブから権限をリクエストしてください。
ノート:
SPML UME APIは、最終変更日の値が指定日より後のレコードは戻しません。このため、コネクタは増分リコンシリエーションをサポートできません。このことは、「ターゲット・システムの機能に関連するコネクタの制限事項」にも記載されています。
完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Managerにフェッチされます。リコンシリエーション時には、SPMLリクエストがターゲット・システムに送信され、SAPで許可された有効な文字で始まるユーザーIDを持つユーザー・アカウントがフェッチされます。すべての有効な文字のリストは、表2-3のlogonNameInitialSubstringエントリを参照してください。
完全リコンシリエーション時には、ターゲット・システム・アカウントごとに1つのリコンシリエーション・イベントが生成されます。
リコンシリエーション実行時に、Oracle Identity Managerにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
詳細は、制限付きリコンシリエーションを参照してください。
有効期限開始と有効期限終了は、ターゲット・システムの2つのユーザー属性です。SAPの特定ユーザーの有効期限終了日が現在の日付より前の場合、アカウントは無効状態です。それ以外の場合、アカウントは有効状態です。同じ動作が、リコンシリエーションを介してOracle Identity Managerで複製されます。また、プロビジョニング操作を介して、有効期限終了日の値を現在の日付または過去の日付に設定することもできます。
ノート:
アカウントの有効状態または無効状態は、アカウントのロック状態またはロック解除状態とは関係ありません。
SAP User Management Engineコネクタは、ユーザー関連データと複数データ・ソース(Lightweight Directory Access Protocol (LDAP)ディレクトリ、SAP NetWeaver Application Server Javaのシステム・データベース、Application Server ABAPのユーザー管理など)とのプロビジョニングおよびリコンサイル用に構成および使用できます。すなわち、データ・ソース構成に関係なく、ユーザー管理エンジンからユーザー管理操作を実行するように、このコネクタを構成できます。
フェデレーテッド・ポータル・ネットワーク(FPN)によって、SAPおよびSAP以外の複数のポータルを持つ組織は、独立したポータル間でコンテンツを共有できます。FPNでは、プロデューサがアプリケーションを保持および実行します。コンシューマは、プロデューサ・ポータルへのリダイレクトを管理します。FPN構成では、リモート・ロール割当てコンテンツ使用状況モードを使用して、コンテンツをネットワーク全体で共有できます。コンシューマは、プロデューサから提供されたロールを割り当てることができます。FPN構成でリモート・ロール割当てをサポートするようにSAP User Management Engineコネクタを使用できます。
リコンシリエーションおよびプロビジョニング時に、Oracle Identity Managerに送信された、またはOracle Identity Managerから送信されたアカウント・データの検証を構成できます。また、リコンシリエーション時にOracle Identity Managerに送信されたアカウント・データの変換も構成できます。詳細は、次の項を参照してください。
すべてのリコンシリエーションおよびプロビジョニング操作から除外する必要のあるアカウントのリストを指定できます。除外リストで指定したユーザーIDのアカウントは、リコンシリエーションおよびプロビジョニング操作の影響を受けません。
「除外リストの参照定義」で、リコンシリエーションおよびプロビジョニング操作時に除外するユーザーIDを指定する参照定義について説明します。
「除外リストの参照定義の設定」で、これらの参照定義にエントリを追加する手順について説明します。
リコンシリエーションおよびプロビジョニング時に使用される参照定義は事前構成されます。コネクタをデプロイしたら、事前構成済参照定義がOracle Identity Managerで自動的に作成されます。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。
コネクタ操作中に使用される参照定義は、次のように分類できます。
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を指定します。たとえば、ロール参照フィールドを使用して、ターゲット・システムで定義されたロールのリストからロールを選択します。コネクタをデプロイすると、ターゲット・システムの参照フィールドに対応する参照定義が、Oracle Identity Managerに自動的に作成されます。参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
ノート:
ターゲット・システムでは、参照フィールドで特殊文字を使用できます。ただし、Oracle Identity Managerでは、参照定義で特殊文字はサポートされません。
次の参照定義に、参照フィールド同期スケジュール済ジョブによってターゲット・システムからフェッチされた値が移入されます。
Lookup.SAPUME.UM.Group
Lookup.SAPUME.UM.Role
SAP UMEグループ参照リコンシリエーションまたはSAP UMEロール参照リコンシリエーション・スケジュール済ジョブを使用して、これらの参照定義の値とターゲット・システムが同期されます。「参照フィールド同期のためのスケジュール済ジョブ」で、これらのスケジュール済ジョブについて詳しく説明します。
参照定義の同期後、データは次の形式で保存されます。
コード・キー形式: IT_RESOURCE_KEY~LOOKUP_FIELD_ID
この形式で、次の操作を行います:
IT_RESOURCE_KEYは、Oracle Identity ManagerでITリソースに割り当てられた数値コードです。
LOOKUP_FIELD_IDは、参照フィールドのエントリに割り当てられたターゲット・システム・コードで、次の形式になります。
OBJ_CLASS_NAME.DATASOURCE_NAME.AUTO_GEN_VALUE
この形式で、次の操作を行います:
OBJ_CLASS_NAMEはオブジェクト・クラスの名前です。グループの場合、オブジェクト・クラス名はGRUPです。同様に、ロールのオブジェクト・クラス名はROLEです。
DATASOURCE_NAMEは、値のフェッチ元のターゲット・システムのデータ・ソース名です。
AUTO_GEN_VALUEは、自動生成された値です。
サンプル値: 1~ROLE.UME_ROLE_PERSISTENCE.un:SAP_SLD_CONFIGURATOR
デフォルト形式: IT_RESOURCE_NAME~LOOKUP_FIELD_ENTRY
この形式で、次の操作を行います:
IT_RESOURCE_NAMEは、Oracle Identity ManagerのITリソース名です。
LOOKUP_FIELD_ENTRYは、ターゲット・システムの参照フィールド・エントリの値または説明です。
サンプル値: SAPUME IT Resource~Configurator role
Oracle Identity Self Serviceでプロビジョニング操作を実行する際、操作を実行するターゲット・システムのITリソースを選択します。このアクションを実行すると、ページの参照定義に、選択したITリソース(ターゲット・システム・インスタンス)に対応する値が自動的に移入されます。
参照フィールドの同期中、参照定義の既存のエントリ・セットに新規エントリが追加されます。ITリソース・キーは各参照定義で作成された各エントリの一部であるため、プロビジョニング操作中に選択されたITリソースに固有の参照フィールド・エントリのみが表示されます。
この項では、コネクタのデプロイ時にOracle Identity Managerで作成されるその他の参照定義について説明します。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。その他の参照定義は、次のとおりです。
Lookup.SAPUME.Configuration参照定義は、リコンシリエーションおよびプロビジョニング操作時に使用されるコネクタ構成エントリを保持します。
表1-2に、この参照定義のデフォルト・エントリを示します。
表1-2 Lookup.SAPUME.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
バンドル名 |
org.identityconnectors.sapume |
このエントリは、コネクタ・バンドル・パッケージの名前を保持します。このエントリは変更しないでください。 |
バンドルのバージョン |
1.0.111100 |
このエントリは、コネクタ・バンドルクラスのバージョンを保持します。このエントリは変更しないでください。 |
コネクタ名 |
org.identityconnectors.sapume.SAPUMEConnector |
このエントリは、コネクタ・クラスの名前を保持します。このエントリは変更しないでください。 |
entitlementRiskAnalysisAccessURL |
なし |
このエントリには、Entitlement Risk Analysis WebサービスのWSDL URLが保持されます。 |
entitlementRiskAnalysisWS |
oracle.iam.grc.sod.scomp.impl.grcsap.util.webservice.sap.ac10.RiskAnalysisWithoutNo |
リクエスト番号なしでリスク分析を実行するWebサービス・クライアント |
グループ属性名 |
GROUPNAME |
SILで使用されるロール職務の名前 |
グループ・フォーム名 |
UD_UME_GRP |
ダイレクトおよびリクエストベースのプロビジョニング中に使用されるすべてのグループ子フォーム名のリスト |
RoleAttributeLabel |
Role |
子フォームのロールIDフィールドのラベル名 |
ロール属性名 |
ROLENAME |
SILで使用されるロール職務の名前 |
ロール・フォーム名 |
UD_UMERC_P;UD_UME_ROLE |
ダイレクトおよびリクエストベースのプロビジョニング中に使用されるすべてのロール子フォーム名のリスト |
SOD構成参照 |
Lookup.SAPUME.Configuration |
このエントリは、SoDの構成プロパティを含む参照定義の名前を保持します。 |
SODSystemKey |
なし |
Lookup.SAPUME.ReqInitSystem参照定義から、SAP UMEコネクタをホストしているコンピュータの名前を指定します |
ユーザー構成参照 |
Lookup.SAPUME.UM.Configuration |
このエントリは、ユーザー固有の構成プロパティを含む参照定義の名前を保持します。このエントリは変更しないでください。 |
wsdlFilePath |
<wsdlファイル・ディレクトリ> |
ローカル・マシン上の次のファイルを含むディレクトリの絶対パスを入力します: GRAC_RISK_ANALYSIS_WOUT_NO_WS.WSDL ノート: コネクタ・サーバーを使用している場合、コネクタ・サーバーを実行しているシステムにWSDLファイルがコピーされている必要があります。WSDLファイルの場所は、コネクタ・サーバーを実行しているローカル・マシンで入手できます。 |
前に説明したように、Lookup.SAPUME.UM.Configuration参照定義はユーザー・オブジェクト・タイプに固有の構成エントリを保持します。この参照定義は、ユーザー管理操作の際に使用されます。
表1-3に、この参照定義のデフォルト・エントリを示します。
表1-3 Lookup.SAPUME.UM.Configurationのエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
プロビジョニング属性マップ |
Lookup.SAPUME.UM.ProvAttrMap |
このエントリは、プロセス・フォームのフィールドとターゲット・システムの属性をマップする参照定義の名前を保持します。この参照定義の詳細は、Lookup.SAPUME.UM.ProvAttrMapを参照してください。 |
リコンシリエーション属性マップ |
Lookup.SAPUME.UM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマップする参照定義の名前を保持します。この参照定義の詳細は、Lookup.SAPUME.UM.ReconAttrMapを参照してください。 |
リコンシリエーション変換参照 |
Lookup.SAPUME.UM.ReconTransformation |
このエントリは、ユーザーのリコンシリエーション時にターゲット・システムからフェッチされた属性値の変換を構成するための参照定義の名前を保持します。この参照定義へのエントリの追加の詳細は、「ユーザー・リコンシリエーション時のデータ変換の構成」を参照してください。 |
リコンシリエーション検証参照 |
Lookup.SAPUME.UM.ReconValidation |
このエントリは、リコンシリエーション時にターゲット・システムからフェッチされた属性値の検証を構成するための参照定義の名前を保持します。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
プロビジョニング検証参照 |
Lookup.SAPUME.UM.ProvValidation |
このエントリは、プロビジョニング操作時にプロセス・フォームに入力された属性値の検証を構成するための参照定義の名前を保持します。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
プロビジョニング除外リスト |
Lookup.SAPUME.UM.ProvExclusionList |
このエントリはオプションです。このエントリを追加することで、プロビジョニング操作時の除外を有効化できます。 このエントリは、プロビジョニング時に除外を指定するための参照定義の名前を保持します。この参照定義へのエントリの追加の詳細は、「除外リストの参照定義」を参照してください。 |
リコンシリエーション除外リスト |
Lookup.SAPUME.UM.ReconExclusionList |
このエントリはオプションです。このエントリを追加することで、リコンシリエーション操作時の除外を有効化できます。 このエントリは、リコンシリエーション時に除外を指定するための参照定義の名前を保持します。この参照定義へのエントリの追加の詳細は、「除外リストの参照定義」を参照してください。 |
Lookup.SAPUME.UM.ProvAttrMap参照定義は、プロセス・フォームのフィールドとターゲット・システムの属性との間のマッピングを保持します。この参照定義は、プロビジョニング時に使用されます。この参照定義は、事前に構成されています。表1-12に、デフォルト・エントリを示します。
プロビジョニング用の新規ターゲット・システム属性をマップする場合、この参照定義にエントリを追加できます。詳細は、「コネクタの機能拡張」を参照してください。
Lookup.SAPUME.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性との間のマッピングを保持します。この参照定義は、リコンシリエーション時に使用されます。この参照定義は、事前に構成されています。表1-8に、デフォルト・エントリを示します。
リコンシリエーション用の新規ターゲット・システム属性をマップする場合、この参照定義にエントリを追加できます。詳細は、「コネクタの機能拡張」を参照してください。
Lookup.SAPUME.UM.ReconValidation参照定義は、リコンシリエーション時にターゲット・システムからフェッチされた属性値の検証を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
Lookup.SAPUME.UM.ReconnTransformation参照定義は、ユーザーのリコンシリエーション時にターゲット・システムからフェッチされた属性値の変換を構成するために使用されます。この参照定義へのエントリの追加の詳細は、「ユーザー・リコンシリエーション時のデータ変換の構成」を参照してください。
Lookup.SAPUME.UM.ProvValidation参照定義は、プロビジョニング操作時にプロセス・フォームに入力された属性値の検証を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
Lookup.SAPUME.UM.SecurityPolicy参照定義は、Oracle Identity Managerで作成したユーザー・アカウントに選択できるセキュリティ・ポリシーの情報を保持します。この参照定義は、事前に構成されています。この参照定義にエントリを追加または更新することはできません。
Lookup.SAPUME.UM.RoleChildformMappings参照定義には、ロール権限のリクエストベースのプロビジョニング中に使用される実際およびダミーの子フォーム・マップ・フィールドに関する情報が含まれています。この参照定義は、事前に構成されています。この参照定義のエントリを追加または変更することはできません。
権限のリクエストベースのプロビジョニング用にクローン・コネクタを使用する場合、この参照定義の子フォーム・フィールド名をそれぞれ手動で更新する必要があります。
この参照定義には次のエントリが含まれています。
| コード・キー | デコード |
|---|---|
UD_UMERC_P_DATASOURCE |
UD_UME_ROLE_DATASOURCE |
UD_UMERC_P_ROLENAME |
UD_UME_ROLE_ROLENAME |
Lookup.SAPUME.UM.RoleDatasource参照定義は、Oracle Identity Managerで作成したユーザー・アカウントに選択できるロール・オブジェクト・クラスのデータ・ソース名を保持します。詳細は、「Lookup.SAPUME.UM.RoleDataSource参照定義の設定」を参照してください。
Lookup.SAPUME.UM.GroupDatasource参照定義は、Oracle Identity Managerで作成したユーザー・アカウントに選択できるグループ・オブジェクト・クラスのデータ・ソース名を保持します。詳細は、「Lookup.SAPUME.UM.GroupDataSource参照定義の設定」を参照してください。
Lookup.SAPUME.UM.TimeZone参照定義には、Oracle Identity Managerで作成したユーザー・アカウントに選択できるタイムゾーンの情報が含まれます。この参照定義は、事前に構成されています。この参照定義にエントリを追加または更新することはできません。
Lookup.SAPUME.UM.Lock参照定義には、Oracle Identity Managerで作成したユーザー・アカウントに選択できるステータス(ロックまたはロック解除)の情報が含まれます。この参照定義は、事前に構成されています。この参照定義にエントリを追加または更新することはできません。
Lookup.SAPUME.UM.Locale参照定義には、Oracle Identity Managerで作成したユーザー・アカウントに選択できるロケールの情報が含まれます。
Lookup.SAPUME.UM.Country参照定義には、Oracle Identity Managerで作成したユーザー・アカウントに選択できる国の情報が含まれます。
Lookup.SAPUME.UM.Group参照には、グループについての情報が含まれています。SAPUME Group Lookup Reconciliationスケジュール済ジョブは、値をこの参照のターゲット・システムと同期するために使用されます。
Lookup.SAPUME.UM.Role参照には、ロールについての情報が含まれています。SAPUME Role Lookup Reconciliationスケジュール済ジョブは、値をこの参照のターゲット・システムと同期するために使用されます。
Lookup.SAPUME.UM.ProvExclusionListおよびLookup.SAPUME.UM.ReconExclusionList参照定義は、プロビジョニングおよびリコンシリエーション操作を実行しないターゲット・システム・アカウントのユーザーIDを保持します。
ノート:
Lookup.SAPUME.UM.ProvExclusionListおよびLookup.SAPUME.UM.ReconExclusionList参照定義はオプションで、デフォルトでは存在しません。
プロビジョニングおよびリコンシリエーション操作時に除外を有効にするには、これらの参照をLookup.SAPUME.UM.Configuration参照定義に追加する必要があります。詳細は、「Lookup.SAPUME.UM.Configuration」を参照してください。
これらの参照に格納されている値の形式は次のとおりです。
| コード・キー | デコード | サンプル値 |
|---|---|---|
Logon Nameリソース・オブジェクト・フィールド名 |
ユーザーのUser ID |
コード・キー: Logon Name デコード: User001 |
[PATTERN]接尾辞を持つLogon Nameリソース・オブジェクト・フィールド名 |
|
コード・キー: Logon Name[PATTERN] ユーザーID User001、User002、User088のいずれかに一致するユーザーを除外するには: デコード: User001|User002|User088 ユーザーIDが00012で始まるユーザーを除外するには: デコード: 00012* 関連項目: サポートされるパターンの詳細は、 |
「除外リストの参照定義の設定」で、これらの参照定義にエントリを追加する手順について説明します。
この項では、コネクタのデプロイ時にOracle Identity Managerに作成されるSAP BusinessObjects AC 10用の参照定義について説明します。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。
参照定義は次のとおりです。
Lookup.SAPAC10UME.Configuration参照定義は、ターゲット・リソースのリコンシリエーションおよびプロビジョニング操作時に使用されるコネクタ構成エントリを含みます。
表1-4に、この参照定義のデフォルト・エントリを示します。
表1-4 Lookup.SAPAC10UME.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
appLookupAccessURL |
なし |
Application Lookup WebサービスのWSDL URL |
appLookupWS |
oracle.iam.ws.sap.ac10.SelectApplication |
SAP BusinessObjects ACで構成されたすべてのアプリケーションを取得するWebサービス・クライアント |
assignRoleReqType |
002~Change Account~002~006 |
SAP BusinessObjects ACでロールの割当てリクエストに使用されるリクエスト・タイプの名前 |
auditLogsAccessURL |
なし |
Audit Logs WebサービスのWSDL URL |
auditLogsWS |
oracle.iam.ws.sap.ac10.AuditLogs |
監査ログを取得するWebサービス・クライアント |
バンドル名 |
org.identityconnectors.sapacume |
コネクタ・バンドル・パッケージの名前 |
バンドルのバージョン |
1.0.111100 |
コネクタ・バンドル・クラスのバージョン |
コネクタ名 |
org.identityconnectors.sapacume.SAPACUMEConnector |
コネクタ・クラスの名前 |
ConnectorImplType |
SAPUME |
この値を入力するとSODでSAP UMEロールが有効化されます |
createUserReqType |
001~New Account~001 |
SAP BusinessObjects ACでユーザーの作成リクエストに使用されるリクエスト・タイプの名前 |
deleteUserReqType |
003~Delete Account~003 |
SAP BusinessObjects ACでユーザーの削除リクエストに使用されるリクエスト・タイプの名前 |
ignoreOpenStatus |
〇 |
あるユーザーの最後のリクエストがオープン・ステータスであっても、そのユーザーの新規リクエストを送信できるかどうかを指定します |
lockUserReqType |
004~Lock Account~004 |
SAP BusinessObjects ACでユーザーのロック・リクエストに使用されるリクエスト・タイプの名前 |
logAuditTrial |
〇 |
ステータス・リエクストWebサービスが呼び出されるたびに完全な監査証跡を記録する必要があるかどうかを指定します |
modifyUserReqType |
002~Change Account~002 |
SAP BusinessObjects ACでユーザーの変更リクエストに使用されるリクエスト・タイプの名前 |
otherLookupAccessURL |
なし |
Other Lookup WebサービスのWSDL URL |
otherLookupWS |
oracle.iam.ws.sap.ac10.SearchLookup |
その他の参照フィールド詳細を取得するWebサービス・クライアント |
provActionAttrName |
provAction;ReqLineItem |
Provision Actionターゲット・システム属性の名前 |
provItemActionAttrName |
provItemAction;ReqLineItem |
Provision Item Actionターゲット・システム属性の名前 |
removeRoleReqType |
002~Change Account~002~009 |
SAP BusinessObjects ACでユーザーの削除リクエストに使用されるリクエスト・タイプの名前 |
requestStatusAccessURL |
なし |
Status Request WebサービスのWSDL URL |
requestStatusValue |
OK |
このエントリは、プロセス・フォームのステータスを更新するSAP UME ACリクエスト・ステータス・スケジュール・ジョブで使用されます。 |
requestStatusWS |
oracle.iam.ws.sap.ac10.RequestStatus |
プロビジョニング・リクエストのステータスを取得するWebサービス・クライアント |
requestTypeAttrName |
Reqtype;Header |
SAPUMCREATEアダプタからのリクエスト・フローを区別するために使用されるリクエスト・タイプ属性の名前 |
RiskLevel |
高 |
SAP BusinessObjects ACでは、ビジネス・リスクにそれぞれ重大性レベルが割り当てられます。リスク・レベルを指定することにより、SAP BusinessObjectsから返されるリスク分析データを制御できます。 |
roleLookupAccessURL |
なし |
Role Lookup WebサービスのWSDL URL |
roleLookupWS |
oracle.iam.ws.sap.ac10.SearchRoles |
すべてのロールを取得するWebサービス・クライアント |
ステータス構成 |
Lookup.SAPACUME.Status.Configuration |
ステータス構成 |
unlockUserReqType |
005~unlock user~005 |
SAP BusinessObjects ACでユーザーのロック解除リクエストに使用されるリクエスト・タイプの名前 |
userAccessAccessURL |
なし |
User Access WebサービスのWSDL URL |
userAccessWS |
oracle.iam.ws.sap.ac10.UserAccess |
ユーザー・アクセスのステータスを取得するWebサービス・クライアント |
ユーザー構成参照 |
Lookup.SAPAC10UME.UM.Configuration |
ユーザー特有の構成プロパティを含む参照定義の名前 |
wsdlFilePath |
WSDLファイル・ディレクトリ |
ローカル・マシン上の次のファイルを含むディレクトリの絶対パスを入力します:
ノート: コネクタ・サーバーを使用している場合、コネクタ・サーバーを実行しているシステムにWSDLファイルがコピーされている必要があります。WSDLファイルの場所は、コネクタ・サーバーを実行しているローカル・マシンで入手できます。 |
Lookup.SAPAC10UME.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、ユーザー管理操作で使用されます。
表1-5に、この参照定義のデフォルト・エントリを示します。
表1-5 Lookup.SAPAC10UME.UM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
プロビジョニング属性マップ |
Lookup.SAPAC10UME.UM.ProvAttrMap |
このエントリは、プロセス・フォームのフィールドとターゲット・システムの属性をマップする参照定義の名前を保持します。この参照定義の詳細は、Lookup.SAPAC10UME.UM.ProvAttrMapを参照してください。 |
プロビジョニング検証参照 |
Lookup.SAPAC10UME.UM.ProvValidation |
このエントリは、プロビジョニング操作時にプロセス・フォームに入力された属性値の検証を構成するための参照定義の名前を保持します。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
リコンシリエーション属性マップ |
Lookup.SAPAC10UME.UM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマップする参照定義の名前を保持します。この参照定義の詳細は、Lookup.SAPAC10UME.UM.ReconAttrMapを参照してください。 |
リコンシリエーション変換参照 |
Lookup.SAPAC10UME.UM.ReconTransformation |
このエントリは、ユーザーのリコンシリエーション時にターゲット・システムからフェッチされた属性値の変換を構成するための参照定義の名前を保持します。この参照定義へのエントリの追加の詳細は、「ユーザー・リコンシリエーション時のデータ変換の構成」を参照してください。 |
リコンシリエーション検証参照 |
Lookup.SAPAC10UME.UM.ReconValidation |
このエントリは、リコンシリエーション時にターゲット・システムからフェッチされた属性値の検証を構成するための参照定義の名前を保持します。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
Lookup.SAPAC10UME.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、プロビジョニング時に使用されます。この参照定義は、事前に構成されています。表1-6に、デフォルト・エントリを示します。
プロビジョニング用の新規ターゲット・システム属性をマップする場合、この参照定義にエントリを追加できます。詳細は、「コネクタの機能拡張」を参照してください。
表1-6 Lookup.SAPAC10UME.UM.ProvAttrMap参照定義のエントリ
| コード・キー | デコード |
|---|---|
ACビジネス・プロセス[参照] |
bproc;Header |
アカウント番号 |
accno;UserInfo |
AC機能領域[参照] |
funcarea;Header |
ACマネージャ |
manager;UserInfo |
ACマネージャの電子メール |
managerEmail;UserInfo |
ACマネージャの名 |
managerFirstname;UserInfo |
ACマネージャの姓 |
managerLastname;UserInfo |
AC優先度[参照] |
priority;Header |
ACリクエスト・タイプの期日[日付] |
reqDueDate;Header |
ACリクエストID[WRITEBACK] |
RequestId |
ACリクエスタの電子メール |
email;Header |
ACリクエスタID |
requestorId;Header |
ACリクエストの理由 |
requestReason;Header |
ACリクエスト・ステータス[WRITEBACK] |
RequestStatus |
ACリクエスト・タイプ[WRITEBACK] |
RequestType |
ACシステム[参照] |
reqInitSystem;Header |
市区町村 |
city |
国 |
country |
部門 |
department;UserInfo |
電子メール・アドレス |
email;UserInfo |
アカウント有効期限最終日[日付] |
validTo;UserInfo |
FAX |
fax;UserInfo |
名 |
fname;UserInfo |
アドレス書式 |
personnelarea;UserInfo |
言語 |
logonLang;UserInfo |
姓 |
lname;UserInfo |
ログオン名 |
userId;UserInfo |
モバイル |
personnelno;UserInfo |
名前 |
displayname |
パスワード |
__PASSWORD__ |
担当 |
empposition;UserInfo |
セキュリティ・ポリシー |
securitypolicy |
アカウント有効期限開始日[日付] |
validFrom;UserInfo |
都道府県 |
state |
番地 |
streetaddress |
電話 |
telnumber;UserInfo |
タイムゾーン |
timezone |
役職 |
title;UserInfo |
UD_ACUMEGRP~Group[Lookup] |
itemName;ReqLineItem |
UD_ACUMEROL~Role[Lookup] |
itemName;ReqLineItem |
UniqueID |
__UID__ |
ユーザー・アカウントのロック |
userLock;None |
郵便番号 |
zip |
Lookup.SAPAC10UME.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、リコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。表1-7に、デフォルト・エントリを示します。
リコンシリエーション用の新規ターゲット・システム属性をマップする場合、この参照定義にエントリを追加できます。詳細は、「コネクタの機能拡張」を参照してください。
表1-7 Lookup.SAPAC10UME.ReconAttrMap参照定義のエントリ
| コード・キー | デコード |
|---|---|
市区町村 |
city |
国 |
country |
部門 |
department |
電子メール・アドレス |
|
アカウント有効期限最終日[日付] |
validto |
FAX |
fax |
名 |
firstname |
アドレス書式 |
salutation |
Groups~Group[Lookup] |
assignedgroups |
言語 |
locale |
姓 |
lastname |
ログオン名 |
logonname |
モバイル |
mobile |
名前 |
displayname |
担当 |
jobtitle |
Roles~Role[Lookup] |
assignedroles |
セキュリティ・ポリシー |
securitypolicy |
アカウント有効期限開始日[日付] |
validfrom |
都道府県 |
state |
ステータス |
__ENABLE__ |
番地 |
streetaddress |
電話 |
telephone |
タイムゾーン |
timezone |
役職 |
title |
UniqueID |
id |
ユーザー・アカウントのロック |
islocked |
郵便番号 |
zip |
Lookup.SAPAC10UME.UM.ProvValidation参照定義は、プロビジョニング操作時にプロセス・フォームに入力された属性値の検証を構成するために使用されます。詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
Lookup.SAPAC10UME.UM.ReconTransformation参照定義は、ユーザーのリコンシリエーション時にターゲット・システムからフェッチされた属性値の変換を構成するために使用されます。この参照定義へのエントリの追加の詳細は、「ユーザー・リコンシリエーション時のデータ変換の構成」を参照してください
Lookup.SAPAC10UME.UM.ReconValidationlookup参照定義は、リコンシリエーション時にターゲット・システムからフェッチされた属性値の検証を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください
Lookup.SAPAC10UME.ItemProvActionは、スケジューラ・ジョブが実行されItemProvAction参照が移入されたときにWebサービスを使用してGRCシステムからリクエスト・タイプを取得するために使用されます。
アダプタなどのコネクタ・オブジェクトは、ターゲット・システムでリコンシリエーション操作を実行するために使用されます。これらのアダプタは、リコンシリエーション用の参照定義で定義されたフィールド上でリコンシリエーション機能を実行します。
SAP UMEユーザー・リコンシリエーション・スケジュール済タスクは、リコンシリエーションの実行開始に使用されます。このスケジュール済タスクは、「リコンシリエーション・スケジュール済ジョブ」で説明されています。
関連項目:
リコンシリエーションの概念については、『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のリコンシリエーションの管理に関する項を参照してください
この項では、次の項目について説明します。
Lookup.SAPUME.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。この参照定義は、ターゲット・リソースのユーザー・リコンシリエーションを実行するために使用されます。
表1-8に、この参照定義のエントリを示します。
表1-8 Lookup.SAPUME.UM.ReconAttrMap参照定義のエントリ
| リソース・オブジェクト・フィールド(コード・キー) | ターゲット・システムの属性(デコード) |
|---|---|
市区町村 |
city |
国 |
country |
部門 |
department |
電子メール・アドレス |
|
アカウント有効期限最終日[日付] |
validto |
FAX |
fax |
名 |
firstname |
アドレス書式 |
salutation |
Groups~Group[Lookup] |
assignedgroups |
言語 |
locale |
姓 |
lastname |
ログオン名 |
logonname |
モバイル |
mobile |
名前 |
displayname |
担当 |
jobtitle |
Roles~Role[Lookup] |
assignedroles |
セキュリティ・ポリシー |
securitypolicy |
アカウント有効期限開始日[日付] |
validfrom |
都道府県 |
state |
ステータス |
__ENABLE__ |
番地 |
streetaddress |
電話 |
telephone |
タイムゾーン |
timezone |
役職 |
title |
一意のID |
id |
ユーザー・アカウントのロック |
islocked |
郵便番号 |
zip |
リコンシリエーション・ルールは、SAP UMEコネクタを生成するときに自動的に作成されます。
関連項目:
リコンシリエーションの一致ルールとアクション・ルールの概要は、『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のリコンシリエーション・エンジンに関する項を参照してください
次の項目で、このコネクタのリコンシリエーション・ルールについて説明します。
次に、プロセス一致ルールを示します。
ルール名: SAPUME Recon Rule
ルール要素: User Login Equals Logon Name
ノート:
次の手順は、コネクタのデプロイ後にのみ実行してください。SAP BusinessObjects ACシステムを使用している場合、次のルールを参照してください。
ルール名: SAP AC UME Recon Rule
ルール要素: User Login Equals Logon Name
このルール要素では、次のようになります。
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
Logon Nameは、SAPアカウントのlogonnameです。
コネクタのデプロイ後、次のステップを実行して、リコンシリエーションのリコンシリエーション・ルールを表示できます。
ノート:
次の手順は、コネクタのデプロイ後にのみ実行してください。
ノート:
SAP BusinessObjects ACシステムを使用している場合。SAP AC UME Recon Ruleルールを検索して開きます。
図1-4に、このリコンシリエーション・ルールを示します。
リコンシリエーション・アクション・ルールでは、ユーザーに対して定義されたリコンシリエーション・ルールに基づいてコネクタが実行する必要があるアクションが定義されます。
ノート:
このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。関連項目
リコンシリエーション・アクション・ルールの設定(Javaを使用したアイデンティティ・コネクタの開発)に関する項
リコンシリエーション・アクション・ルールの設定(.netを使用したアイデンティティ・コネクタの開発)に関する項
リコンシリエーション・アクション・ルールの設定の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』の前述の項を参照してください。
次の項目で、このコネクタのリコンシリエーション・ルールについて説明します。
表1-9に、リコンシリエーションのアクション・ルールを示します。
表1-9 リコンシリエーションのアクション・ルール
| ルール条件 | アクション |
|---|---|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
コネクタのデプロイ後、次のステップを実行して、リコンシリエーションのリコンシリエーション・アクション・ルールを表示できます。
アダプタなどのコネクタ・オブジェクトは、ターゲット・システムでプロビジョニング操作を実行するために使用されます。これらのアダプタは、プロビジョニング用の参照定義で定義されたフィールド上でプロビジョニング機能を実行します。
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザー・データを作成または変更します。
関連項目:
プロビジョニングの概念については、『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のプロビジョニングの管理に関する項を参照
この項では、次の項目について説明します。
コネクタでサポートされるプロビジョニング機能と、これらの機能を実行するアダプタを示します。
表1-10および表1-12に、SAP UMEおよびSAP AC UMEコネクタでサポートされるユーザー・プロビジョニング機能、およびこれらの機能を実行するアダプタを示します。表に示す機能は、1つまたは複数のプロセス・タスクに対応しています。
表1-10 SAP UMEコネクタでサポートされるユーザー・プロビジョニング機能
| 機能 | アダプタ |
|---|---|
ユーザー・アカウントの作成 |
adpSAPUMECREATE |
ユーザー・アカウントの変更 |
adpSAPUMEUPDATE |
ユーザー・アカウントの削除 |
adpSAPUMEDELETE |
ユーザー・アカウントの有効化 |
adpSAPUMEENABLE |
ユーザー・アカウントの無効化 |
adpSAPUMEDISABLE |
複数値属性の追加 |
adpSAPUMEADDCHILD |
SAPUMEフォームの事前移入 |
adpPREPOPULATESAPUMEFORM |
複数値属性の削除 |
adpSAPUMEREMOVECHILD |
SAPUMEリクエストENTITLEMENT |
adpSAPUMEREQUESTENTITLEMENT |
SAPUMEの更新 |
adpSAPUMEUPDATE |
子SAPUMEの更新 |
adpSAPUMEUPDATECHILD |
SODCheckの開始 |
InitiateSODCheck |
表1-11 SAP AC UMEコネクタでサポートされるユーザー・プロビジョニング機能
| 機能 | アダプタ |
|---|---|
ユーザー・アカウントの作成 |
adpSAPACUMCREATEUSER |
ユーザー・アカウントの変更 |
adpSAPACUMEUPDATE |
ユーザー・アカウントの削除 |
adpSAPACUMEDELETE |
ユーザー・アカウントの有効化 |
adpSAPACUMEENABLE |
ユーザー・アカウントの無効化 |
adpSAPACUMEDISABLE |
複数値属性の追加 |
adpSAPACUMEADDCHILD |
複数値属性の削除 |
adpSAPACUMEREMOVECHILD |
SAPACUMEの事前移入 |
adpPREPOPULATESAPACUME |
コネクタでは、Oracle Identity Managerとターゲット・システム間のプロビジョニング用に属性マッピングのデフォルト・セットが提供されています。必要な場合には、プロビジョニング用に新規ユーザー属性を追加できます。
Lookup.SAPUME.UM.ProvAttrMa参照定義は、プロセス・フォームのフィールドとターゲット・システムの属性をマップします。この参照定義は、プロビジョニング操作の実行に使用されます。
表1-12に、この参照定義のデフォルト・エントリを示します。
表1-12 Lookup.SAPUME.UM.ProvAttrMap参照定義のエントリ
| プロセス・フォームのフィールド | ターゲット・システムの属性 |
|---|---|
単一値フィールド |
|
市区町村 |
city |
国 |
country |
部門 |
department |
電子メール・アドレス |
|
アカウント有効期限最終日[日付] |
validto |
FAX |
fax |
名 |
firstname |
言語 |
locale |
姓 |
lastname |
ログオン名 |
__NAME__ |
モバイル |
mobile |
名前 |
displayname |
パスワード |
__PASSWORD__ |
担当 |
jobtitle |
セキュリティ・ポリシー |
securitypolicy |
アカウント有効期限開始日[日付] |
validfrom |
都道府県 |
state |
番地 |
streetaddress |
電話 |
telephone |
タイムゾーン |
timezone |
役職 |
title |
一意のID |
__UID__ |
ユーザー・アカウントのロック |
islocked |
郵便番号 |
zip |
複数値フィールド |
|
UD_UME_GRP~Group[Lookup] |
assignedgroups |
UD_UME_ROLE~Role[Lookup] |
assignedroles |
次に、このマニュアルの次の章以降の構成を示します。
