プライマリ・コンテンツに移動
Oracle® Identity Manager SAP User Management Engineコネクタ・ガイド
11.1.1
B72407-11
次
目次
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
ドキュメントの更新
表記規則
このガイドの最新情報
ソフトウェアの更新
リリース11.1.1.9.0のソフトウェアの更新
リリース11.1.1.8.0のソフトウェアの更新
リリース11.1.1.7.0のソフトウェアの更新
SAP BusinessObjects Access Controlバージョン5.3および10のサポート
リリース11.1.1.6.0のソフトウェアの更新
リリース11.1.1.5.0のソフトウェアの更新
Identity Connector Frameworkのサポート
コネクタ・サーバーを使用したデプロイメントのサポート
複数データ・ソースのサポート
フェデレーテッド・ポータル・ネットワークでのリモート・ロール割当てのサポート
依存参照フィールドのサポート
アカウント・データの変換および検証
削除されたユーザー・レコードのリコンシリエーション
ドキュメント固有の更新
リリース11.1.1.9.0でのドキュメント固有の更新
リリース11.1.1.8.0でのドキュメント固有の更新
リリース11.1.1.7.0でのドキュメント固有の更新
リリース11.1.1.6.0でのドキュメント固有の更新
リリース11.1.1.5.0でのドキュメント固有の更新
1
コネクタについて
1.1
動作保証されているコンポーネント
1.2
使用上の推奨事項
1.3
動作保証されている言語
1.4
コネクタのアーキテクチャおよびサポートされるデプロイメント構成
1.4.1
Access Request Managementを使用したユーザー管理
1.4.2
コネクタのログの監査証跡詳細
1.4.3
SoDを使用したユーザー管理
1.4.4
SoDとAccess Request Managementを両方使用したユーザー管理
1.4.5
デプロイメント構成の使用に関するガイドライン
1.4.5.1
SoDを使用するUser Management EngineとAccess Request Management
1.4.5.2
アカウント管理プロセスのサマリー: SAP BusinessObjects AC Access Risk AnalysisおよびSAP BusinessObjects AC Access Request Managementが有効化された場合
1.4.5.3
Access Request Managementを使用したユーザー管理
1.4.5.4
アカウント・リクエスト管理のサマリー: SAP動作環境でSAP BusinessObjects AC Access Request Managementが構成および有効化された場合
1.4.6
Access Request Managementを有効化する際の考慮事項
1.5
コネクタの機能
1.5.1
SAP BusinessObjects AC Access Request Managementによるプロビジョニング・リクエストのルーティング
1.5.2
権限リクエストのSoD検証
1.5.3
完全リコンシリエーション
1.5.4
制限付き(フィルタ)リコンシリエーション
1.5.5
アカウントの有効化と無効化
1.5.6
複数データ・ソースのサポート
1.5.7
フェデレーテッド・ポータル・ネットワークでのリモート・ロール割当てのサポート
1.5.8
アカウント・データの変換および検証
1.5.9
リコンシリエーションおよびプロビジョニング操作から除外するアカウントの指定
1.5.10
属性のバルク更新のサポート
1.6
コネクタ操作時に使用される参照定義
1.6.1
ターゲット・システムと同期される参照定義
1.6.2
事前構成された参照定義
1.6.2.1
Lookup.SAPUME.Configuration
1.6.2.2
Lookup.SAPUME.UM.Configuration
1.6.2.3
Lookup.SAPUME.UM.ProvAttrMap
1.6.2.4
Lookup.SAPUME.UM.ReconAttrMap
1.6.2.5
Lookup.SAPUME.UM.ReconValidation
1.6.2.6
Lookup.SAPUME.UM.ReconTransformation
1.6.2.7
Lookup.SAPUME.UM.ProvValidation
1.6.2.8
Lookup.SAPUME.UM.SecurityPolicy
1.6.2.9
Lookup.SAPUME.UM.RoleChildformMappings
1.6.2.10
Lookup.SAPUME.UM.RoleDatasource
1.6.2.11
Lookup.SAPUME.UM.GroupDatasource
1.6.2.12
Lookup.SAPUME.UM.TimeZone
1.6.2.13
Lookup.SAPUME.UM.Lock
1.6.2.14
Lookup.SAPUME.UM.Locale
1.6.2.15
Lookup.SAPUME.UM.Country
1.6.2.16
Lookup.SAPUME.UM.Group
1.6.2.17
Lookup.SAPUME.UM.Role
1.6.2.18
除外リストの参照定義
1.6.3
SAP BusinessObjects AC 10用に事前定義された参照定義
1.6.3.1
Lookup.SAPAC10UME.Configuration
1.6.3.2
Lookup.SAPAC10UME.UM.Configuration
1.6.3.3
Lookup.SAPAC10UME.UM.ProvAttrMap
1.6.3.4
Lookup.SAPAC10UME.UM.ReconAttrMap
1.6.3.5
Lookup.SAPAC10UME.UM.ProvValidation
1.6.3.6
Lookup.SAPAC10UME.UM.ReconTransformation
1.6.3.7
Lookup.SAPAC10UME.UM.ReconValidation
1.6.3.8
Lookup.Lookup.SAPAC10UME.ItemProvAction
1.6.3.9
Lookup.SAPAC10UME.RequestType
1.7
リコンシリエーション時に使用されるコネクタ・オブジェクト
1.7.1
リコンシリエーションのユーザー属性
1.7.2
リコンシリエーション・ルール
1.7.2.1
リコンシリエーション・ルール
1.7.2.2
Design Consoleでのリコンシリエーション・ルールの表示
1.7.3
リコンシリエーション・アクション・ルール
1.7.3.1
リコンシリエーションのリコンシリエーション・アクション・ルール
1.7.3.2
Design Consoleでのリコンシリエーション・アクション・ルールの表示
1.8
プロビジョニング時に使用されるコネクタ・オブジェクト
1.8.1
ユーザー・プロビジョニング機能
1.8.2
プロビジョニングのユーザー属性
1.9
コネクタのデプロイおよび使用のロードマップ
2
コネクタのデプロイ
2.1
インストール前の作業
2.1.1
コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成
2.1.2
コネクタ・サーバーのインストールおよび構成
2.1.3
コネクタ・サーバーの実行
2.2
インストール
2.2.1
Oracle Identity Managerへのコネクタのインストール
2.2.2
コネクタ・サーバーへのコネクタ・バンドルのデプロイ
2.3
インストール後の作業
2.3.1
Oracle Identity Manager 11.1.2以降の構成
2.3.1.1
サンドボックスの作成およびアクティブ化
2.3.1.2
新しいUIフォームの作成
2.3.1.3
アプリケーション・インスタンスの作成
2.3.1.4
サンドボックスの公開
2.3.1.5
権限および同期カタログの収集
2.3.1.6
新規フォームによる既存アプリケーション・インスタンスの更新
2.3.2
Oracle Identity Manager 11.1.2.1.0以降での「パスワードのリセット」オプションの有効化
2.3.3
新たに作成したアカウントのパスワード変更の構成
2.3.4
必要な入力ロケールへの変更
2.3.5
サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツのクリア
2.3.6
ロギングの管理
2.3.6.1
ログ・レベルの理解
2.3.6.2
ロギングの有効化
2.3.7
Lookup.SAPUME.UM.RoleDataSource参照定義の設定
2.3.7.1
Oracle Identity Managerリリース11.1.1.
x
によるLookup.SAPUME.UM.RoleDataSource参照定義へのロール・データソース名の追加
2.3.7.2
Oracle Identity Managerリリース11.1.2.
x
によるLookup.SAPUME.UM.RoleDataSource参照定義へのロール・データソース名の追加
2.3.8
Lookup.SAPUME.UM.GroupDataSource参照定義の設定
2.3.8.1
Oracle Identity Managerリリース11.1.1.
x
によるLookup.SAPUME.UM.GroupDataSource参照定義へのグループ・データソース名の追加
2.3.8.2
Oracle Identity Managerリリース11.1.1.
x
によるLookup.SAPUME.UM.GroupDataSource参照定義へのグループ・データソース名の追加
2.3.9
除外リストの参照定義の設定
2.3.10
リクエストベースのプロビジョニング用のOracle Identity Managerの構成
2.3.10.1
デプロイメント・マネージャを使用したリクエスト・データセットのインポート
2.3.10.2
自動保存フォーム機能の有効化
2.3.10.3
PurgeCacheユーティリティの実行
2.3.11
ターゲット・システムとOracle Identity Manager間の通信を保護するためのSSLの構成
2.3.12
ターゲット・システムのITリソースの構成
2.3.13
コネクタ・サーバーのITリソースの構成
2.3.14
コネクタのAccess Request Management機能の構成
2.3.14.1
GRC UME-ITRes ITリソースの値の指定
2.3.14.2
SAP BusinessObjects AC Access Request Managementでのリクエスト・タイプおよびワークフローの構成
2.3.15
SoD (職務の分離)の構成
2.3.15.1
SAP GRCをSoDエンジンとして機能させるための構成
2.3.15.2
GRC UME-ITRes ITリソースの値の指定
2.3.15.3
TopologyName ITリソース・パラメータの値の指定
2.3.15.4
SoDの無効化および有効化
2.3.15.4.1
Oracle Identity ManagerでのSoDの無効化
2.3.15.4.2
Oracle Identity ManagerでのSoDの有効化
2.3.16
SAP BusinessObjects ACからのWSDLファイルのダウンロード
2.3.17
UIフォームにおけるフィールド・ラベルのローカライズ
2.3.18
SAPUMEプロセス・フォームおよびSAP AC UMEプロセス・フォームとターゲット・システムのフィールド長の同期化
2.4
コネクタのアップグレード
2.4.1
コネクタのアップグレードの前提条件
2.4.2
コネクタのアップグレード
2.4.3
アップグレード後のステップの実行
2.4.3.1
リリース9.
x
、11.1.1.5.0および11.1.1.6.0のSAP User Management Engine Connectorのアップグレード後のステップの実行
2.4.3.2
リリース11.1.1.8.0以降のSAP User Management Engine Connectorのアップグレード後のステップの実行
2.4.3.2.1
基本的なユーザー管理エンジン構成をリリース11.1.1.8.0からリリース11.1.1.9.0にアップグレードする際のアップグレード後のステップ
2.4.3.2.2
SAP BusinessObjects AC Access Risk AnalysisのSoD検証をリリース11.1.1.8.0からリリース11.1.1.9.0にアップグレードする際のアップグレード後のステップ
2.4.3.2.3
SAP BusinessObjects AC Access Request Managementをリリース11.1.1.8.0からリリース11.1.1.9.0にアップグレードする際のアップグレード後のステップ
3
コネクタの使用
3.1
完全リコンシリエーションの実行
3.2
参照フィールド同期のスケジュール済ジョブ
3.3
SAP BusinessObjects AC参照フィールド同期のスケジュール済ジョブ
3.4
リコンシリエーションの構成
3.4.1
完全リコンシリエーション
3.4.2
制限付きリコンシリエーション
3.4.3
リコンシリエーション・スケジュール済ジョブ
3.4.3.1
SAP UMEターゲット・ユーザー・リコンシリエーションおよびSAP AC UMEターゲット・ユーザー・リコンシリエーション
3.4.3.2
SAP UMEターゲット・ユーザー削除リコンシリエーションおよびSAP AC UMEターゲット・ユーザー削除リコンシリエーション
3.4.3.3
SAP ACリクエスト・ステータス
3.5
スケジュール済ジョブの構成
3.6
プロビジョニング実行のガイドライン
3.6.1
サポートされるデプロイメント構成でプロビジョニング操作を実行する際のガイドライン
3.6.2
コネクタのAccess Request Management機能の構成後にプロビジョニング操作を実行する際のガイドライン
3.7
Oracle Identity Managerリリース11.1.1.
x
でのプロビジョニングの構成
3.7.1
SoD有効環境でのプロビジョニング操作の概要
3.7.2
ダイレクト・プロビジョニング
3.7.3
SoD有効環境でのダイレクト・プロビジョニング
3.7.3.1
前提条件
3.7.3.2
ダイレクト・プロビジョニングの実行
3.7.4
リクエストベースのプロビジョニング
3.7.4.1
エンド・ユーザーによるリクエストベースのプロビジョニングの作成
3.7.4.2
リクエストベースのプロビジョニングの承認
3.7.5
SoD有効環境でのリクエストベース・プロビジョニング
3.7.5.1
エンドユーザーによるリクエストベース・プロビジョニングの作成
3.7.5.2
リクエストベースのプロビジョニングの承認
3.7.6
リクエストベースのプロビジョニングとダイレクト・プロビジョニングとの切替え
3.7.6.1
リクエストベースのプロビジョニングからダイレクト・プロビジョニングへの切替え
3.7.6.2
ダイレクト・プロビジョニングからリクエストベースのプロビジョニングへの切替え
3.8
Oracle Identity Managerリリース11.1.2.
x
でのプロビジョニングの構成
3.9
コネクタのアンインストール
4
コネクタの機能拡張
4.1
ターゲット・システム属性の名前の決定
4.2
リコンシリエーションの新規属性の追加
4.2.1
新しいバージョンのプロセス・フォームの作成
4.2.2
リソース・オブジェクトのリコンシリエーション・フィールドのリストへの新規属性の追加
4.2.3
新規属性のリコンシリエーション・フィールド・マッピングの作成
4.2.4
リコンシリエーション用の参照定義での属性のエントリの作成
4.2.5
コネクタの定義
4.2.6
新規属性を表示するための新規UIフォームの作成
4.3
プロビジョニングへの新規属性の追加
4.3.1
新しいバージョンのプロセス・フォームの作成
4.3.2
プロビジョニング用の参照定義での属性のエントリの作成
4.3.3
リクエスト・データセットの更新
4.3.4
リクエスト・データセットに関連するコンテンツをクリアするためのPurgeCacheユーティリティの実行
4.3.5
デプロイメント・マネージャを使用した変更済リクエスト・データセットのインポート
4.3.6
ユーザーをプロビジョニングするための新規属性の更新
4.3.7
コネクタの定義
4.3.8
新規属性を表示するための新規UIフォームの作成
4.4
プロビジョニング用の新規標準SAP BusinessObjects AC Access Request Management属性の追加
4.4.1
新しいバージョンのプロセス・フォームの作成
4.4.2
参照定義での属性のエントリの作成
4.4.3
プロビジョニング操作中に属性を更新するためのプロセス・タスクの作成
4.4.4
新規属性を表示するための新規UIフォームの作成とアプリケーション・インスタンスへの添付
4.5
プロセス・フォームからのSAP BusinessObjects AC Access Request Management属性の削除
4.5.1
SAP BusinessObjects AC Access Request Management属性
4.6
リコンシリエーションおよびプロビジョニング中のデータ検証の構成
4.7
ユーザー・リコンシリエーション中のデータ変換の構成
4.8
プロセス・フォームのフィールド長の変更
4.9
ターゲット・システムの複数のインストールに対するコネクタの構成
4.10
コネクタの定義
5
既知の問題、制限事項およびFAQ
5.1
既知の問題
5.2
ターゲット・システムの機能に関連するコネクタの制限事項
5.2.1
コネクタのAS ABAPデータ・ソースの制限事項
5.2.2
AS ABAPロールを表すグループの制限事項
5.2.3
コネクタでのロール管理の制限事項
5.3
よくある質問(FAQ)
A
インストール・パッケージのファイルおよびディレクトリ
B
参照フィールド同期およびリコンシリエーションのスケジュール済ジョブ