コネクタを自分の要件にかなうように構成したら、コネクタを使用してリコンシリエーションおよびプロビジョニング操作を実行できます。
トピック:
DBATコネクタを使用する前に、参照定義が同期されていることを確認し、信頼できるソースのリコンシリエーションの場合は、ターゲット・システムとOracle Identity Managerの両方で設定されている日付形式が同じであることを確認します。
コネクタを使用する際、次のガイドラインを適用します。
ターゲット・リソースのリコンシリエーションを実行する前に、参照定義がターゲット・システムの子表と同期している必要があります。つまり、ユーザー・リコンシリエーションの実行前に、参照フィールド同期のスケジュール済タスクを実行する必要があります。
信頼できるソース・リコンシリエーションのコネクタを構成した場合、ターゲット・システムとOracle Identity Managerの両方で設定された日付形式が同じであることを確認します。日付形式が一致することを確認するには、次のようにします。
Oracle Identity Managerで日付形式が設定されていることを確認します。これを行うには、次のようにします。
管理およびユーザー・コンソールにログインします。
Oracle Identity Manager管理の「ようこそ」ページの「システム管理」で、「システム構成」をクリックします。または、「システム管理」タブ、「システム構成」の順にクリックすることもできます。
「デフォルトの日付書式」システム・プロパティを検索して開きます。
「システム・プロパティ詳細」ページの「値」フィールドに表示された日付形式に注意してください。
DBATConfiguration.groovy
ファイルで、timestampFormat
プロパティの値がステップ1.1.dの日付形式と同じであることを確認します。
この項では、コネクタのデプロイ後にOracle Identity Managerに作成される参照定義について説明します。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。さらに、要件に合せて、参照定義のエントリをカスタマイズできます。この項では、次の参照定義について説明します。
ノート:
RESOURCEは、ITリソース名のプレースホルダ・テキストとして使用されています。したがって、このガイドにあるRESOURCEのすべての例は、DBATConfiguration.groovyファイルのitResourceNameエントリに指定した値に置き換えてください。DBATConfiguration.groovyファイルのエントリの詳細は、「事前定義済セクションのエントリ」を参照してください。
Lookup.Configuration.RESOURCE参照定義は、リコンシリエーション(信頼できるソースおよびターゲット・リソースの両方)およびプロビジョニング操作で使用されるコネクタ構成エントリを含みます。
表4-1に、この参照定義のエントリを示します。
表4-1 Lookup.Configuration.RESOURCE参照定義のエントリ
コード・キー | デコード | 説明 |
---|---|---|
Bundle Name |
org.identityconnectors.databasetable |
このエントリは、コネクタ・バンドル・クラスの名前を保持します。このエントリは変更しないでください。 |
Bundle Version |
1.2.2 |
このエントリは、コネクタ・バンドル・クラスのバージョンを含みます。このエントリは変更しないでください。 |
Connector Name |
org.identityconnectors.databasetable.DatabasetableConnector |
このエントリは、コネクタ・クラスの名前を含みます。このエントリは変更しないでください。 |
Pool Max Idle |
10 |
このエントリは、プール内のアイドル・オブジェクトの最大数を含みます。 |
Pool Max Size |
10 |
このエントリは、プールで作成できる接続の最大数を含みます。 |
Pool Max Wait |
150000 |
このエントリは、空きオブジェクトが操作で利用可能になるのをプールが待機する必要がある最大時間(ミリ秒)を含みます。 |
プールの最小削除アイドル時間 |
120000 |
このエントリは、アイドル・オブジェクトを追い出すまでにコネクタが待機する必要のある最少時間(ミリ秒)を含みます。 |
Pool Min Idle |
1 |
このエントリは、プール内のアイドル・オブジェクトの最小数を含みます。 |
User Configuration Lookup |
Lookup.RESOURCE.UM.Configuration |
このエントリは、ユーザー・オブジェクト・タイプに固有の構成情報を含む参照定義の名前を含みます。この参照定義の詳細は、Lookup.RESOURCE.UM.Configurationを参照してください。 |
Lookup.RESOURCE.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに特有のエントリを含みます。この参照定義は、事前に構成されています。
表4-2に、ターゲット・システムをターゲット・リソースとして構成している場合の、この構成定義のデフォルトのエントリを示します。
表4-2 ターゲット・リソース構成のLookup.RESOURCE.UM.Configuration参照定義のエントリ
コード・キー | デコード |
---|---|
Provisioning Attribute Map |
Lookup.RESOURCE.UM.ProvAttrMap |
Recon Attribute Map |
Lookup.RESOURCE.UM.ReconAttrMap |
表4-3に、ターゲット・システムを信頼できるソースとして構成している場合の、この構成定義のデフォルトのエントリを示します。
表4-3 信頼できるソース構成のLookup.RESOURCE.UM.Configuration参照定義のエントリ
コード・キー | デコード |
---|---|
Recon Attribute Defaults |
Lookup.RESOURCE.UM.ReconAttrMap.Defaults |
Recon Attribute Map |
Lookup.RESOURCE.UM.ReconAttrMap |
この参照定義にエントリを追加または更新できます。たとえば、コネクタを使用してリコンシリエーションおよびプロビジョニング時のデータの検証を構成する場合、この構成定義にエントリを追加できます。変換および検証にこの参照定義を使用する詳細は、「Database Application Tablesコネクタの機能の拡張」を参照してください。
Lookup.RESOURCE.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性との間のマッピングを保持します。このコネクタで、ターゲット・システム属性は、ターゲット・システムの列名に対応します。ターゲット・システムを信頼できるソースまたはターゲット・リソースのどちらとして構成したかによって、この参照定義は、ターゲット・リソースまたは信頼できるソースのユーザー・リコンシリエーションの実行中にそれぞれ使用されます。
ターゲット・システムをターゲット・リソースとして構成した場合、次のようになります。
この参照定義のコード・キー値とデコード値の形式は次のとおりです。
単一値属性の場合
コード・キー: ターゲット・リソースのユーザー・リコンシリエーションの実行対象となるリソース・オブジェクトのリコンシリエーション属性
デコード: 対応するコネクタ属性名、またはターゲット・システムの列名
複数値属性の場合
コード・キー: RO_ATTR_NAME~ATTR_NAME[LOOKUP]
この書式の意味は次のとおりです。
RO_ATTR_NAMEは子表のリコンシエーション・フィールドを指定します。
ATTR_NAMEは複数値属性の名前です。
[LOOKUP]は、子データが参照から選択されるか、権限として宣言される場合にコード・キー値に追加されるキーワードです。
デコード: チルダ(~)文字で区切った次の要素の組合せ
EMBED_OBJ_NAME~RELATION_TABLE_NAME~ATTR_NAME
この書式の意味は次のとおりです。
EMBED_OBJ_NAMEは別のオブジェクトに組み込まれたターゲット・システム上のオブジェクトの名前(アカウントのアドレスなど)です。
RELATION_TABLE_NAMEはターゲット・システムの子表の名前です。
ATTR_NAMEはコード・キー列の複数値属性に対応する、子表の列の名前です。
ターゲット・システムを信頼できるリソースとして構成した場合、次のようになります。
この参照定義のコード・キー値とデコード値の形式は次のとおりです。
コード・キー: 信頼できるソースのユーザー・リコンシリエーションの実行対象となるリソース・オブジェクトのリコンシリエーション属性
デコード: 対応するターゲット・システムの列名
この参照定義のエントリは、ターゲット・システムで使用できるデータにより異なります。この参照定義のエントリは、DBATConfiguration.groovyファイルの別名エントリに指定された値に基づいて移入されます。aliasエントリの詳細は、「事前定義済セクションのエントリ」を参照してください。
Lookup.RESOURCE.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム列名のマッピングを含みます。この参照定義は、プロビジョニング操作の実行に使用されます。
この参照定義のコード・キー値とデコード値の形式は次のとおりです。
コード・キー: プロセス・フォームのラベルの名前
デコード: 対応するターゲット・システムの列名
子フォーム・フィールドに対応するエントリに対する、コード・キーおよびデコード値の形式を次に示します。
コード・キー: CHILD_FORM_NAME~FIELD_NAME
この書式の意味は次のとおりです。
CHILD_FORM_ NAMEは、子フォームの名前を指定します。
FIELD_NAMEは、管理およびユーザー・コンソールの子フォームのラベルの名前を指定します。
デコード: チルダ(~)文字で区切った次の要素の組合せ
EMBED_OBJ_NAME~RELATION_TABLE_NAME~COL_NAME
この書式の意味は次のとおりです。
EMBED_OBJ_NAMEは別のオブジェクトに組み込まれたターゲット・システム上のオブジェクトの名前(アカウントのアドレスなど)です。
COL_NAMEは、コード・キー列に指定した子フォームに対応する、子表の列の名前です。
RELATION_TABLE_NAMEはターゲット・システムの子表の名前です。
この参照定義のエントリは、ターゲット・システムで使用できるデータにより異なります。この参照定義の値は、DBATConfiguration.groovyファイルの別名エントリに指定された値に基づいて移入されます。aliasエントリの詳細は、「事前定義済セクションのエントリ」を参照してください。
Lookup.RESOURCE.UM.ReconAttrMap.Defaults参照定義は、コネクタ属性にマップされないOIMユーザー・フォームの必須フィールドのデフォルト値を含みます。ターゲット・システムを信頼できるリソースとして構成した場合にのみ、この参照定義が作成されます。
この参照定義が使用されるのは、OIMユーザー・フォームに必須フィールドがあるが、信頼できるソースのリコンシリエーション中にフェッチできる対応する列がターゲット・システムにない場合です。さらに、この参照定義が使用されるのは、OIMユーザー・フォームの必須フィールドに、空かまたはnull値を含む対応する列がある場合です。
この参照定義のコード・キー値とデコード値の形式は次のとおりです。
コード・キー: 管理およびユーザー・コンソールでのユーザー・フィールドの名前。
デコード: 対応するデフォルト値(表示される値)
たとえば、「ロール」フィールドはOIMユーザー・フォームの必須フィールドです。ターゲット・システムには、ユーザー・アカウントのロールに関する情報を格納する列がありません。リコンシリエーションの際に、「ロール」フィールドの値はターゲット・システムからフェッチされません。「ロール」フィールドを空にしておくことはできないため、このフィールドの値を指定する必要があります。このため、「ロール」コード・キーのデコード値が「フルタイム」
に設定されました。これにより、OIMユーザー・フォームの「ロール」フィールドには、ターゲット・システムからリコンサイルされるすべてのユーザー・アカウントに対して「フルタイム」と表示されることが暗黙に指定されます。
表4-4に、この参照定義のデフォルト・エントリを示します。
表4-4 Lookup.RESOURCE.UM.ReconAttrMap.Defaults参照定義のエントリ
コード・キー | デコード |
---|---|
Role |
Full-Time |
Organization Name |
Xellerate Users |
Xellerate Type |
End-User |
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を指定します。たとえば、参照フィールドからロールを選択してユーザーに割り当てられるロールを指定できます。
コネクタをデプロイすると、空の参照定義(Lookup.RESOURCE.Example)が作成されます。Lookup.RESOURCE.Example参照定義を使用して、プロビジョニング時に参照フィールドに表示する必要のある子表の値を保存します。環境により、要件に合せてLookup.RESOURCE.Example参照定義をカスタマイズできます。または、参照フィールドに表示する値を保存するための固有の参照定義を作成できます。参照フィールドの設定の詳細は、「参照定義の使用」を参照してください。
参照フィールド同期では、最新の値がターゲット・システムの特定の表からOracle Identity Managerの参照定義(Lookup.RESOURCE.Exampleなどの参照フィールド用の入力ソースとして使用される)に取得されます。
RESOURCE Target Lookup Reconciliationスケジュール済ジョブを使用して、これらの参照定義の値とターゲット・システムの表が同期されます。RESOURCE Target Lookup Reconciliationスケジュール済ジョブの構成中に、Lookup Name属性の値として同期する参照定義の名前を指定します。このスケジュール済タスクの詳細は、「参照フィールド同期のためのスケジュール済ジョブ」を参照してください。
参照定義の同期後、データは次の形式で保存されます。
コード・キー値: IT_RESOURCE_KEY~LOOKUP_FIELD_ID
この書式の意味は次のとおりです。
IT_RESOURCE_KEYは、Oracle Identity Managerの各ITリソースに割り当てられる数値コードです。
LOOKUP_FIELD_IDは、各参照フィールド・エントリに割り当てられるターゲット・システム・コードです。この値はRESOURCE Lookup Reconciliationスケジュール済ジョブのCode Key属性に指定した列名に基づき移入されます。
サンプル値: 1~SA
デコード値: IT_RESOURCE_NAME~LOOKUP_FIELD_ID
この書式の意味は次のとおりです。
IT_RESOURCE_NAMEは、Oracle Identity ManagerのITリソースの名前です。
LOOKUP_FIELD_IDは、各参照フィールド・エントリに割り当てられるターゲット・システム・コードです。この値はRESOURCE Lookup Reconciliationスケジュール済ジョブのDecode属性に指定した列名に基づき移入されます。
サンプル値: DBAT Lookup~SYS_ADMIN
コネクタ・インストーラを実行すると、Oracle Identity Managerにスケジュール済ジョブが自動的に作成されます。
この項では、次の項目について説明します。
RESOURCE Lookup Reconciliationスケジュール済ジョブは、参照フィールドの同期に使用されます。このスケジュール済ジョブの属性に値を指定する必要があります。
表4-5に、RESOURCE Lookup Reconciliationスケジュール済ジョブの属性の説明を示します。スケジュール済ジョブを構成する手順は、「DBATコネクタのスケジュール済ジョブの構成について」を参照してください。
ノート:
属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。
すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。
表4-5 RESOURCE Lookup Reconciliationスケジュール済ジョブの属性
属性 | 説明 |
---|---|
Code Key Attribute |
参照定義のコード・キー列に移入するために使用する属性の名前を入力します(Lookup Name属性の値として指定)。値は次の形式で指定する必要があります。
|
Decode Attribute |
参照定義のデコード列に移入するために使用する属性の名前を入力します(Lookup Name属性の値として指定)。値は次の形式で指定する必要があります。
|
IT Resource Name |
レコードをリコンサイルするターゲット・システム・インストールのITリソースの名前を入力します。 デフォルト値: |
Lookup Name |
ターゲット・システムからフェッチした値を移入するOracle Identity Managerの参照定義の名前を入力します。 デフォルト値: ノート: 参照フィールド同期を実行する前に、指定する参照定義の名前がOracle Identity Managerに存在する必要があります。 |
Object Type |
リコンサイルするオブジェクトのタイプを入力します。 デフォルト値: ノート: 参照フィールド同期では、オブジェクト・タイプは、"User"以外の任意のオブジェクトである必要があります。 |
この項では、次のスケジュール済ジョブの属性について説明します。
コネクタを生成した後、ユーザー・データ・リコンシリエーション用のスケジュール済タスクがOracle Identity Managerに自動的に作成されます。スケジュール済ジョブは、このスケジュール済タスクのインスタンスで、ターゲット・システムからのユーザー・データをリコンサイルする目的で使用されます。次に、ユーザー・データのリコンシリエーションに使用されるスケジュール済ジョブを示します。
RESOURCE Target Resource User Reconciliation
このスケジュール済ジョブは、コネクタのターゲット・リソース(アカウント管理)モードでユーザー・データをリコンサイルするために使用されます。
RESOURCE Trusted Resource User Reconciliation
このスケジュール済ジョブは、コネクタの信頼できるソース(アイデンティティ管理)モードでユーザー・データをリコンサイルするために使用します。
ユーザー・リコンシリエーションのスケジュール済ジョブの属性値を指定する必要があります。表4-6に、この2つのスケジュール済ジョブの属性の説明を示します。
表4-6 ユーザー・リコンシリエーションのスケジュール済ジョブの属性
属性 | 説明 |
---|---|
Filter |
リコンシリエーションの実行時にターゲット・システムからフェッチされるレコードの検索フィルタを入力します。 詳細は、「制限付きリコンシリエーションの実行について」を参照してください。 |
ITResource Name |
ユーザー・レコードのリコンサイル元のターゲット・システム・インストールの、ITリソース名を入力します。 サンプル値: |
Object Type |
リコンサイルするオブジェクトのタイプを入力します。 サンプル値: ノート: ユーザーはサポートされる唯一のオブジェクトです。そのため、属性の値は変更しないでください。 |
Resource Object Name |
リコンシリエーションに使用されるリソース・オブジェクトの名前を入力します。 サンプル値: |
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 RESOURCE Target Resource User Reconciliationスケジュール済ジョブのこの属性のデフォルト値は、RESOURCE RESOURCE Trusted User Reconciliationスケジュール済ジョブのこの属性のデフォルト値は、 |
コネクタを生成した後、削除されたユーザー・レコードに関するデータのリコンシリエーション用のスケジュール済タスクがOracle Identity Managerに自動的に作成されます。スケジュール済ジョブは、このスケジュール済タスクのインスタンスで、ターゲット・システムからのユーザー・データをリコンサイルする目的で使用されます。次に、削除されたユーザー・レコード・データのリコンシリエーションに使用されるスケジュール済ジョブを示します。
RESOURCE Target Resource User Delete Reconciliation
このスケジュール済ジョブは、コネクタのターゲット・リソース(アカウント管理)モードで削除されたユーザー・レコードに関するデータをリコンサイルするために使用します。
RESOURCE Trusted User Delete Reconciliation
このスケジュール済ジョブは、コネクタの信頼できるリソース(アイデンティティ管理)モードで削除されたユーザー・レコードに関するデータをリコンサイルするために使用します。
ユーザー・リコンシリエーションのスケジュール済ジョブの属性値を指定する必要があります。表4-7に、この2つのスケジュール済ジョブの属性の説明を示します。
表4-7 Delete User Reconciliationスケジュール済ジョブの属性
属性 | 説明 |
---|---|
Filter |
フィルタには値を入力しないでください。 |
ITResource Name |
ユーザー・レコードのリコンサイル元のターゲット・システム・インストールの、ITリソース名を入力します。 サンプル値: |
Object Type |
リコンサイルするオブジェクトのタイプを入力します。 サンプル値: ノート: ユーザーはサポートされる唯一のオブジェクトです。そのため、属性の値は変更しないでください。 |
Resource Object Name |
リコンシリエーションに使用されるリソース・オブジェクトの名前を入力します。 サンプル値: |
DBATConfiguration.groovyファイルの構成時に、changeLogColumnプロパティに値を指定した場合、コネクタをインストールしたときに、増分リコンシリエーション用のスケジュール済ジョブがOracle Identity Managerに自動的に作成されます。コネクタのインストール前にchangeLogColumnプロパティに値を指定しなかった場合、「増分リコンシリエーションのためのコネクタの構成」に示されている手順を実行し、増分リコンシリエーション用のスケジュール済ジョブを作成します。
次に、増分リコンシリエーションに使用されるスケジュール済ジョブを示します。
RESOURCE Target Incremental Resource User Reconciliation
このスケジュール済ジョブは、コネクタのターゲット・リソース(アカウント管理)モードで増分リコンシリエーションを実行するために使用します。
RESOURCE Trusted Incremental Resource User Reconciliation
このスケジュール済ジョブは、コネクタの信頼できるソース(アイデンティティ管理)モードで増分リコンシリエーションを実行するために使用します。
表4-6に、この2つのスケジュール済ジョブの属性の説明を示します。
表4-8 増分リコンシリエーションのためのスケジュール済ジョブの属性
属性 | 説明 |
---|---|
ITResource Name |
ユーザー・レコードのリコンサイル元のターゲット・システム・インストールの、ITリソース名を入力します。 サンプル値: |
Object Type |
リコンサイルするオブジェクトのタイプを入力します。 デフォルト値: ノート: ユーザーはサポートされる唯一のオブジェクトです。そのため、属性の値は変更しないでください。 |
Resource Object Name |
リコンシリエーションに使用されるリソース・オブジェクトの名前を入力します。 サンプル値: |
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 デフォルト値: |
Sync Token |
DBATConfiguration.groovyファイルのConfigエントリのchangeLogColumnプロパティに指定した値に応じて、この属性には次の値のいずれかが含まれます。
サンプル値: ノート: - この属性には値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 - この属性にはXMLシリアル化形式で格納されます。 |
前述のとおり、DBATConfiguration.groovyファイルの構成時に、changeLogColumnプロパティに値を指定した場合、コネクタをインストールしたときに、増分リコンシリエーション用のスケジュール済ジョブがOracle Identity Managerに自動的に作成されます。コネクタのインストール前にchangeLogColumnプロパティに値を指定しなかった場合でも、増分リコンシリエーション用のスケジュール済ジョブを作成するようにコネクタを構成できます。これを行うには、次のようにします。
テキスト・エディタで、編集のためにDBATConfiguration.groovyファイルを開きます。このファイルは、コネクタ・インストールZIPのdbat-RELEASE_NUMBER/generator/dbat-generator-RELEASE_NUMBERディレクトリにあります。
changeLogColumnプロパティの値を設定します。このプロパティに指定できる値の詳細は、表2-1の「changeLogColumn」行を参照してください。
DBATジェネレータを実行します。DBATジェネレータの実行の詳細は、「スキーマの検出とコネクタの生成」を参照してください。IT_RES_DEF-ConnectorConfig.xmlファイルを含むコネクタ・パッケージが生成されます。このファイルには、ITリソース、参照定義、スケジュール済タスク、プロセス・フォーム、リソース・オブジェクトなどのコネクタ・コンポーネントの定義が含まれます。
IT_RES_DEF-ConnectorConfig.xmlファイルから、増分リコンシリエーションに対応するスケジュール済ジョブおよびタスクをインポートします。これを行うには、次のようにします。
ノート:
この項で説明されている各ステップの実行の詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのデプロイメントのインポートに関する項を参照してください。
システム管理コンソールにログインします。
インポートのためにIT_RES_DEF-ConnectorConfig.xmlファイルをデプロイメント・マネージャに追加します。
増分リコンシリエーションのスケジュール済ジョブおよびタスクを除き、IT_RES_DEF-ConnectorConfig.xmlファイルから他のすべてのアーティファクトを削除します。
IT_RES_DEF-ConnectorConfig.xmlファイルをインポートします。
changeLogColumnパラメータの値をステップ2で入力した値に設定して、ITリソースを更新します。
これで、増分リコンシリエーション用のスケジュール済ジョブをOracle Identity Managerにインポートする手順が完了しました。
この項では、スケジュール済ジョブの構成手順について説明します。この手順は、参照フィールド同期およびリコンシリエーションのためのスケジュール済ジョブを構成する場合に適用できます。
表4-9に、構成できるスケジュール済ジョブをリストします。
表4-9 参照フィールド同期およびリコンシリエーションのためのスケジュール済ジョブ
スケジュール済タスク | 説明 |
---|---|
RESOURCE Lookup Reconciliation |
このスケジュール済ジョブは、参照フィールドの同期に使用されます。このスケジュール済ジョブの詳細は、「参照フィールド同期のためのスケジュール済ジョブ」を参照してください。 |
RESOURCE Target Resource User Reconciliation |
このスケジュール済ジョブは、ターゲット・システムがターゲット・リソースとして構成されているときのユーザー・リコンシリエーションに使用されます。詳細は、「ユーザー・レコードのリコンシリエーションのためのスケジュール済ジョブ」を参照してください。 |
RESOURCE Trusted Resource User Reconciliation |
このスケジュール済ジョブは、ターゲット・システムが信頼できるソースとして構成されているときのユーザー・リコンシリエーションに使用されます。詳細は、「ユーザー・レコードのリコンシリエーションのためのスケジュール済ジョブ」を参照してください。 |
RESOURCE Target Resource User Delete Reconciliation |
このスケジュール済ジョブは、ターゲット・システムがターゲット・リソースとして構成されているときの削除されたユーザー・レコードのリコンシリエーションに使用されます。詳細は、「削除されたユーザー・レコードのリコンシリエーションのスケジュール済ジョブ」を参照してください。 |
RESOURCE Trusted Resource User Delete Reconciliation |
このスケジュール済ジョブは、ターゲット・システムが信頼できるソースとして構成されているときの削除されたユーザー・レコードのリコンシリエーションに使用されます。詳細は、「削除されたユーザー・レコードのリコンシリエーションのスケジュール済ジョブ」を参照してください。 |
RESOURCE Target Incremental Resource User Reconciliation |
このスケジュール済ジョブは、ターゲット・システムがターゲット・リソースとして構成されているときに増分リコンシリエーションを実行するために使用されます。詳細は、「増分リコンシリエーションのためのスケジュール済ジョブ」を参照してください。 |
RESOURCE Trusted Incremental Resource User Reconciliation |
このスケジュール済ジョブは、ターゲット・システムが信頼できるリソースとして構成されているときに増分リコンシリエーションを実行するために使用されます。詳細は、「増分リコンシリエーションのためのスケジュール済ジョブ」を参照してください。 |
スケジュール済ジョブを構成するには:
Oracle Identity System Administrationにログインします。
左ペインの「システム管理」で、「スケジューラ」をクリックします。
次のようにスケジュール済タスクを検索して開きます。
左ペインの「検索」フィールドに、スケジュール済ジョブの名前を検索基準として入力します。「拡張検索」をクリックして検索基準を指定することもできます。
左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
「ジョブの詳細」タブでは、次のパラメータを変更できます。
再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。
ノート:
スケジュール・タイプの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のジョブの作成を参照してください。
ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。
「ジョブの詳細」タブの「パラメータ」リージョンで、スケジュール済タスクの属性の値を指定します。
ノート:
属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。
すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。
スケジュール済タスクの属性については、「スケジュール済ジョブの属性について」を参照してください。
「適用」をクリックして変更を保存します。
ノート:
「実行停止」オプションが、管理およびユーザー・コンソールで使用できます。「スケジューラのステータス」ページを使用して、スケジューラを起動、停止または再初期化できます。
リコンシリエーションでは、ターゲット・システムでのユーザー・アカウントの作成および変更がOracle Identity Managerで複製されます。
この項では、リコンシリエーションの構成に関する次の項目について説明します。
前述のとおり、ターゲット・リソースのリコンシリエーションには、ターゲット・システムで新しく作成または変更されたユーザーに関するデータのフェッチや、そのデータを使用した、OIMユーザーに割り当てられたリソースの追加または変更が含まれます。プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでアカウント・データを作成または変更します。
ターゲット・リソースのリコンシリエーションの実行の開始に使用するスケジュール済ジョブは、コネクタの作成時に自動的に作成されます。
関連項目:
コネクタ・リコンシリエーションの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のリコンシリエーションの管理に関する項を参照してください。
この項では、次の項目について説明します。
表4-10に、ターゲット・リソースのリコンシリエーションおよびプロビジョニング用の必須ユーザー属性のマッピングに関する情報を示します。プロビジョニングおよびリコンシリエーションのユーザー属性マッピングの残りは、DBATConfiguration.groovyファイルで指定された別名マッピングに基づいて作成されます。つまり、ターゲット・システムの列から動的に取得されるその他のすべての属性は、Oracle Identity Managerの対応するフィールドにマップされる必要があります。このマッピングは、DBATConfiguration.groovyファイルの別名エントリに値を指定することにより行われます。ターゲット・システムをターゲット・リソースとして構成するためのセクション内のalias要素の詳細は、「事前定義済セクションのエントリ」を参照してください。
表4-10 ターゲット・リソースのリコンシリエーションおよびプロビジョニング用のユーザー属性
プロセス・フォームのフィールド | コネクタ属性 | 説明 | 必須 |
---|---|---|---|
ユーザーID |
__NAME__ |
ユーザー・アカウントの一意のID |
はい |
一意のID |
__UID__ |
ユーザー・アカウントの一意のID これはコネクタ属性です。 ノート: これは非表示のフィールドです。このフィールドの値はコネクタにより使用されてユーザーIDが更新されます。 |
はい |
パスワード |
__PASSWORD__ |
ユーザー・アカウントのパスワード |
はい、対応するターゲット・システム列が必須の場合。 |
ステータス |
__ENABLE__ |
このフィールドには、ユーザー・アカウントのステータスが格納されます。 |
はい、ターゲット・システムには、ユーザー・アカウントのステータスを格納する列があります。 |
コネクタでは、ターゲット・リソースのリコンシリエーションの実行時に、次のアクションがサポートされています。
ターゲット・システムで作成された各アカウントに対し、リコンシリエーション・イベントが生成されます。リコンシリエーションの一致ルールにより、リソースが対応するOIMユーザーに割り当てられます。
ターゲット・システムで各アカウントが更新されると、更新リコンシリエーション・イベントが生成されます。これらの更新が対応するOracleリソースに伝播されます。
ターゲット・システムのアカウントから子データを削除すると、リソースから同じデータが削除されます。たとえば、ターゲット・システムのLeave ApproversグループからユーザーJohn Doeを削除すると、OIMユーザーJohn Doeに割り当てられたリソースで同じアクションが実行されます。
関連項目:
リコンシリエーションの一致ルールおよびアクション・ルールの詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のリコンシリエーション・メタデータに関する項を参照してください
次の項目で、このコネクタのリコンシリエーション・ルールについて説明します。
リコンシリエーション・ルールはDatabase Applications Tableコネクタを作成するときに自動的に作成されます。プロセス一致ルールを次に示します。
ルール名: RESOURCE User
ルール要素: User Login Equals User ID
ルール名で、RESOURCEはDBATConfiguration.groovyファイルのitResourceNameエントリに指定するITリソースの名前(DB1など)です。
ルール要素で、
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
User IDはコネクタの__NAME__属性です。
次の項目で、このコネクタのリコンシリエーション・ルールについて説明します。
表4-11に、ターゲット・リソース・リコンシリエーションのアクション・ルールを示します。
表4-11 ターゲット・リソースのリコンシリエーション用のアクション・ルール
ルール条件 | アクション |
---|---|
一致が見つからなかった場合 |
最小ロードの認可者への割当て |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
ノート:
このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。リコンシリエーション・アクション・ルールの変更または作成の詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのリコンシリエーション・アクション・ルールの設定に関する項を参照してください。
プロビジョニングは、Oracle Identity Managerを使用した、ターゲット・システムでのユーザー・データの作成または変更に関連します。
コネクタでは、次のプロビジョニング機能がサポートされています。
ユーザーの作成
ユーザーの更新
ユーザーの有効化
ユーザーの無効化
ユーザーの失効
権限の付与
権限の失効
ノート:
「ユーザーの有効化」または「ユーザーの無効化」プロビジョニング操作は、ターゲット・システムにユーザー・アカウント・ステータスを格納する列があり、ステータス列、enable値、およびdisable値列に値が設定されている場合にのみサポートされます。
信頼できるソースのリコンシリエーションでは、ターゲット・システムで直接新規作成または変更されたユーザーに関するデータをフェッチし、そのデータを使用してOIMユーザーを作成または更新します。
信頼できるソースのリコンシリエーションの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理の信頼できるソースのリコンシリエーションに関する項を参照してください。
この項では、次の項目について説明します。
表4-12に、信頼できるソースのリコンシリエーション用の必須ユーザー属性のマッピングに関する情報を示します。リコンシリエーション用の残りのユーザー属性のマッピングは作成する必要があります。つまり、ターゲット・システムの列から動的に取得されるその他のすべての属性は、Oracle Identity Managerの対応するフィールドにマップされる必要があります。このマッピングは、DBATConfiguration.groovyファイルの別名エントリに値を指定することにより行われます。ターゲット・システムを信頼できるソースとして構成するためのセクション内のalias要素の詳細は、「事前定義済セクションのエントリ」を参照してください。
表4-12に、信頼できるソース・リコンシリエーションのユーザー属性を示します。
表4-12 信頼できるソース・リコンシリエーションのユーザー属性
OIMユーザー・フォームのフィールド | コネクタまたはターゲット・システム属性 | 説明 |
---|---|---|
User Login |
__UID__ |
ユーザー・アカウントのユーザー・ログイン。 これはコネクタ属性です。 ノート: これは非表示のフィールドです。このフィールドの値はコネクタにより使用されてユーザーIDが更新されます。 |
Last Name |
__NAME__ |
ユーザー・アカウントの一意のID |
ステータス |
__ENABLE__ |
ユーザー・アカウントのステータス これはコネクタ属性です。ターゲット・システムにユーザー・アカウントのステータスを格納する列がある場合、この属性は必須です。 |
関連項目:
リコンシリエーションの一致ルールおよびアクション・ルールの詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のリコンシリエーション・メタデータに関する項を参照してください
リコンシリエーション・ルールはDatabase Applications Tableコネクタを作成するときに自動的に作成されます。プロセス一致ルールを次に示します。
ルール名: RESOURCE Trusted User
ルール要素: User Login Equals User ID
ルール名で、RESOURCEはDBATConfiguration.groovyファイルのitResourceNameエントリに指定するITリソースの名前(DBATなど)です。
ルール要素で、
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
User IDはコネクタの__NAME__属性です。
コネクタのデプロイ後、次のステップを実行して、ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールを表示できます。
ノート:
次の手順は、コネクタのデプロイ後にのみ実行してください。
次の各項では、このコネクタのリコンシリエーション・アクション・ルールに関する情報を提供します。
表4-13に、信頼できるソースのリコンシリエーションのアクション・ルールを示します。
表4-13 信頼できるソースのリコンシリエーションのアクション・ルール
ルール条件 | アクション |
---|---|
一致が見つからなかった場合 |
ユーザーの作成 |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
ノート:
このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。リコンシリエーション・アクション・ルールの変更または作成の詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのリコンシリエーション・アクション・ルールの設定に関する項を参照してください。
完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Managerへリコンサイルします。コネクタをデプロイしたら、最初の完全リコンシリエーションを実行する必要があります。さらに、すべてのターゲット・システム・レコードをOracle Identity Managerで確実にリコンサイルする必要がある場合には、いつでも増分リコンシリエーションを完全リコンシリエーションに切り替えることができます。
完全リコンシリエーションは、次のいずれかの方法で実行できます。
ユーザー・データ・リコンシリエーション用のスケジュール済ジョブのFilter属性に値が指定されていないことを確認します。Filter属性の詳細は、「ユーザー・レコードのリコンシリエーションのためのスケジュール済ジョブ」を参照してください。
増分リコンシリエーション用のスケジュール済ジョブのSync Token属性に値が含まれていないことを確認します。Sync Token属性の詳細は、「増分リコンシリエーションのためのスケジュール済ジョブ」を参照してください。
増分リコンシリエーションでは、最後のリコンシリエーションが実行された最終日付/タイムスタンプ後に作成または変更されたレコードのみがリコンシリエーションの対象とみなされます。増分リコンシリエーションを実行するには、増分リコンシリエーション用のスケジュール済ジョブを構成および実行します。増分リコンシリエーション用のスケジュール済ジョブを最初に実行すると、完全リコンシリエーションが実行されることに注意してください。増分リコンシリエーション用のスケジュール済ジョブは、DBATConfiguration.groovyファイルのchangeLogColumnプロパティに最終更新列の値を指定する場合にのみ生成されることに注意してください。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
次のいずれかの項で説明している手順を実行することにより、制限付きリコンシリエーションを構成できます。
リコンシリエーション・モジュールのフィルタを作成して、制限付きリコンシリエーションを実行できます。このコネクタは、いずれかのDatabase Application Tablesリソースの属性を使用して、ターゲット・システム・レコードをフィルタするFilter属性(スケジュール済タスクの属性)を提供します。
Filter属性に値を指定すると、フィルタ基準に一致するターゲット・システム・レコードのみがOracle Identity Managerにリコンサイルされます。Filter属性に値を指定しないと、ターゲット・システムのすべてのレコードがOracle Identity Managerにリコンサイルされます。
ユーザー・リコンシリエーション・スケジュール済ジョブの構成中に、Filter属性に値を指定します。
フィルタの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのICFフィルタ構文を参照してください。
ネイティブSQL問合せを使用して異なる表から取得している値をフィルタする場合、customizedQueryプロパティを使用して制限付きリコンシリエーションを構成します。制限付きリコンシリエーションを構成するには、customizedQueryプロパティの値をDBATConfiguration.groovyファイルまたはcustomizedQuery ITリソース・パラメータに指定します。
customizedQueryパラメータの値としてリコンサイルする必要のある、新しく追加または変更されたレコードのサブセットを指定するWHERE句を指定する必要があります。たとえば、customizedQueryパラメータの値として次のWHERE句を指定すると、名がJohnであるすべてのユーザー・レコードが返されます。
WHERE FIRST_NAME='JOHN'
以下に、場所に"land"が含まれるすべてのユーザー・レコードを返すWHERE句の別の例を示します。
WHERE LOCATION LIKE '%LAND'
ノート:
customizedQueryプロパティを使用して制限付きリコンシリエーションを構成している場合、ステージング・サーバーでこれを実行することで、問合せを最初にテストして、本番サーバーでのデータが期待どおりに変更されていることを確認します。
ITリソースのcustomizedQueryパラメータの値を変更することで、いつでもWHERE句を変更できます。DBATConfiguration.groovyファイルの値を変更してコネクタを再生成する必要はありません。
「ユーザーの作成」ページを使用して、Identity Self Serviceに新規ユーザーを作成します。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。
Oracle Identity Managerでプロビジョニング操作を実行するには、次のようにします。
Oracle Identity管理およびユーザー・コンソールにログインします。
ユーザーを作成します。ユーザー作成の詳細は、Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行のユーザーの管理を参照してください。
「アカウント」タブで、「アカウントのリクエスト」をクリックします。
「カタログ」ページで、ITリソースに対して作成されたアプリケーション・インスタンス(「アプリケーション・インスタンスの作成」)を検索してカートに追加し、「チェックアウト」をクリックします。
アプリケーション・フォームのフィールドに値を指定します。親フォームの値を指定することに加え、子の値を追加する場合、子フォームのフィールドに値を指定できます。
ノート:
いくつかの従属フィールドがあるので、参照タイプ・フィールドに適切な値を確実に選択します。このようなフィールドに間違った値を選択すると、プロビジョニングが失敗する恐れがあります。
「送信準備ができています」をクリックします。
「送信」をクリックします。
権限をプロビジョニングする場合は、次の手順を実行します。
「権限」タブで、「権限のリクエスト」をクリックします。
「カタログ」ページで、権限を検索してカートに追加し、「チェックアウト」をクリックします。
「送信」をクリックします。
アカウント・プロビジョニング操作の作成、更新または削除の前または後に実行するようにアクション・スクリプトを構成できます。
この項では、アクション・スクリプトについて次の各項で説明します。
アクションは、アカウントの作成、更新または削除のプロビジョニング操作の前または後に実行するように構成できるスクリプトです。たとえば、ユーザー作成の前に実行するスクリプトを構成できます。
すべてのコネクタは、サポートするスクリプト言語とターゲットを指定する必要があります。Database Application Tablesコネクタでは次のスクリプトがサポートされます。
CMD: Windowsバッチ・スクリプト
GROOVY: Groovyスクリプト
ターゲットとは、スクリプトが実行される場所です。ターゲットがコネクタの場合、スクリプトはコネクタがデプロイされたコンピュータ(JVMまたは.Netランタイム)で実行されます。たとえば、コネクタ・サーバーにコネクタをデプロイした場合、スクリプトはそのコンピュータで実行されます。
つまり、コネクタをOIMにデプロイしている場合、スクリプトはJVMで実行されます。コネクタをコネクタ・サーバーにリモートでデプロイしている場合、スクリプトはリモートのJVMまたは.Netランタイムで実行されます。
ノート:
このコネクタでは、コネクタ・ターゲットのみがサポートされます。つまり、このコネクタでは、コネクタがデプロイされたコンピュータでのアクション・スクリプトの実行がサポートされます。しかし、ターゲット・システムでのアクション・スクリプトは、カスタムGroovyスクリプトまたはプロシージャを使用して処理されるストアド・プロシージャおよびGroovyスクリプト用のコネクタを構成できます。詳細情報を参照してください。
表4-14に、アクション・スクリプトを実行するためにLookup.RESOURCE.UM.Configuration参照定義に追加されるエントリを示します。
表4-14 アクション・スクリプトを実行するための参照エントリ
コード・キー | デコード |
---|---|
SCHEDULE Action Language |
実行するスクリプトのスクリプト言語。 デコード値として |
SCHEDULE Action File |
実行するスクリプトを含むファイルのフル・パスと名前。 スクリプトを含むファイルは、Oracle Identity Managerが実行しているコンピュータに存在する必要があります。 |
SCHEDULE Action Target |
実行する必要があるスクリプトのコンテキスト。 デコード値として |
この表のSCHEDULEはアクションをいつ実行する必要があるかを定義します。アクションを起動できるのは、作成、更新または削除プロビジョニング操作の前か後です。つまり、SCHEDULEは次のいずれかの値で置き換えることができます。
Before Create
Before Update
Before Delete
After Create
After Update
After Delete
表4-14のすべてのエントリを合せてアクションが定義されます。したがって、アクション・スクリプトを構成するには、すべてのエントリを定義する必要があります。そうしないとアクションは実行されません。
例として、次のプロシージャで、作成操作前にコマンド・スクリプトを実行するステップを説明します。
これで、ユーザーを作成するたびにこのアクションが実行されるようになります。実行するアクションごとに、これらの3つの値を構成する必要があります。