| Oracle Identity Manager Database User Management Connectorガイド リリース9.0.4 E05495-04 |
|
 戻る |
 次へ |
コネクタをデプロイしたら、要件に合せて構成する必要があります。この章では、次のコネクタ構成手順を説明します。
|
注意: これらの項では、コネクタの構成に関する概念および手順の両方を説明します。概念情報を確認してから手順を実行することをお薦めします。 |
このガイドで前述したように、リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Managerで複製することです。この項では、リコンシリエーションの構成に関する次の項目について説明します。
|
注意: この機能に関する問題については、「既知の問題」の章のOracle Bug#8274800を参照してください。 |
デフォルトでは、リコンシリエーションの実行中に、すべてのターゲット・システム・レコードがOracle Identity Managerにフェッチされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
フィルタの作成とは、スケジュール済タスクのLogin Name属性に値を指定することです。この値は、SELECT基準の問合せで、Login Nameフィールドの値がスケジュール済タスクのLogin Name属性の値に一致するターゲット・システム・レコードをリコンサイルするために使用されます。
たとえば、スケジュール済タスクのLogin Name属性値としてjdoeを指定すると、ログイン名がjdoeであるすべての新規または更新されたターゲット・システム・レコードがリコンサイルされます。
コネクタのデプロイ中に、「リコンシリエーションのスケジュール済タスクの構成」の手順に従って、スケジュール済タスクのLogin Name属性に値を指定してください。
|
注意: この機能に関する問題については、「既知の問題」の章のOracle Bug#8274800を参照してください。 |
リコンシリエーションの実行中に、ターゲット・システム・レコードのすべての変更内容がOracle Identity Managerにリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。
リコンシリエーションを試行する場合に、ユーザー・リコンシリエーションのスケジュール済タスクのRecord Size属性を使用して、リコンサイルするレコード数を指定できます。この属性に割り当てる数値は、リコンサイルする必要のあるレコード数を表します。Record Size属性のデフォルト値はAllです。これは、すべてのレコードがリコンサイルされることを意味します。
この機能を使用して、リコンシリエーションを試行できます。
「リコンシリエーションのスケジュール済タスクの構成」で説明する手順に従って、Record Size属性に値を指定してください。
コネクタの構成中に、ターゲット・システムを、信頼できるソースまたはターゲット・リソースとして指定できます。ターゲット・システムを信頼できるソースとして指定すると、リコンシリエーションの実行中に次の処理が行われます。
ターゲット・システムで新規作成された各ユーザーに対して、OIMユーザーが作成されます。
ターゲット・システムの各ユーザーに対して行われた更新が、対応するOIMユーザーに伝播されます。
ターゲット・システムをターゲット・リソースとして指定すると、リコンシリエーションの実行中に次の処理が行われます。
ターゲット・システムで作成された各アカウントについて、対応するOIMユーザーにリソースが割り当てられます。
ターゲット・システムの各アカウントに対して行われた更新が、対応するリソースに伝播されます。
|
注意: ターゲット・システムをリコンシリエーションの信頼できるソースとして指定しない場合は、この項を省略してかまいません。 |
信頼できるソースのリコンシリエーションの構成には、次の手順が含まれます。
デプロイメント・マネージャを使用して、信頼できるソースのリコンシリエーション用のXMLファイル(xelluserDbAccess Trusted.xml)をインポートします。この項では、XMLファイルのインポート手順を説明します。
|
注意: 信頼できるソースとして指定できるのは、1つのターゲット・システムのみです。他に信頼できるソースを構成している場合にxelluserDbAccess Trusted.xmlファイルをインポートすると、両方のコネクタでリコンシリエーションが停止します。 |
スケジュール済タスクDatabase Reconciliation Task - Trustedの属性に値を指定します。この手順はこのガイドで後述します。
信頼できるソースのリコンシリエーション用のXMLファイルをインポートするには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くダイアログ・ボックスが表示されます。
xelluserDbAccess Trusted.xmlファイルを検索して開きます。このファイルはOIM_HOME/xellerate/XLIntegrations/DatabaseAccess/xmlディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「インポート」をクリックします。
表示されるメッセージで、「インポート」をクリックしてXMLファイルのインポートを確認します。次に、「OK」をクリックします。
|
注意: 信頼できるソースのリコンシリエーション用のXMLファイルをインポートしたら、信頼できるソースのリコンシリエーションに対するスケジュール済タスクを構成する必要があります。手順はこの章で後述します。 |
「コネクタのXMLファイルのインポート」で説明する手順を実行すると、参照フィールド、信頼できるソース・ユーザー、およびターゲット・リソースのユーザーのリコンシリエーションに対するスケジュール済タスクが、Oracle Identity Managerで自動的に作成されます。信頼できるソースまたはターゲット・リソースのリコンシリエーションに対するスケジュール済タスクを構成するには、次のようにします。
Oracle Identity Manager Design Consoleを開きます。
「Administration」フォルダを開きます。
「Task Scheduler」を選択します。
「Find」オプションを使用してDatabase Reconciliation Task - Non TrustedまたはDatabase Reconciliation Task - Trustedスケジュール済タスクのいずれかを検索します。タスクを選択して詳細を表示します。
「Max Retries」フィールドに数値を入力します。この数はOracle Identity Managerがタスクを完了するために試行する回数です。この数を超えると、FAILEDステータスがタスクに割り当てられます。
「Disabled」チェック・ボックスと「Stop Execution」チェック・ボックスが選択されていないことを確認します。
「Start」リージョンで「Start Time」フィールドをダブルクリックします。表示される日付時間エディタで、タスクを実行する日付と時間を選択します。
「Interval」リージョンで、次のスケジュール・パラメータを設定します。
タスクを繰り返し実行するように設定するには、「Daily」、「Weekly」、「Recurring Intervals」、「Monthly」または「Yearly」のオプションを選択します。
「Recurring Intervals」オプションを選択した場合は、タスクを繰り返して実行する間隔も指定する必要があります。
タスクを1回のみ実行するように設定するには、「Once」オプションを選択します。
信頼できるソースとターゲット・リソースのどちらのリコンシリエーションを実装するかによって、次のスケジュール済タスクのいずれかの属性に値を指定する必要があります。
Database Reconciliation Task - Trusted(信頼できるソースのリコンシリエーションに対するスケジュール済タスク)
Database Reconciliation Task - Non Trusted(ターゲット・リソースのリコンシリエーションに対するスケジュール済タスク)
次の表で、両方のスケジュール済タスクの属性を説明します。
|
注意:
|
| 属性 | 説明 | サンプル値 |
|---|---|---|
Server |
ITリソースの名前 | Oracle |
isTrusted |
信頼できるモードでリコンシリエーションを実行するかどうかを指定 | 信頼できるソースのリコンシリエーションの場合は、この属性の値をYesに設定する。
ターゲット・リソースのリコンシリエーションの場合は、この属性の値を |
Target System Login Recon - Resource Object name |
ターゲット・システムの親リソース・オブジェクトの名前 |
|
Target System User Recon - Resource Object name |
ターゲット・システムの子リソース・オブジェクトの名前 |
|
Trusted Source Recon - Resource Object name |
信頼できるソース・リソース・オブジェクトの名前 | 信頼できるソースのリコンシリエーションの場合:
ターゲット・リソースのリコンシリエーションの場合:
|
DBName |
IBM DB2 UDB、Microsoft SQL ServerおよびSybaseの場合、データがリコンサイルされるターゲット・データベースの名前を指定する。
Oracleデータベースの場合、この属性の値として |
TESTDB |
Login Name |
これはフィルタ属性です。
この属性を使用して、リコンサイルするレコードのユーザーのログイン名を指定します。 使用しない場合は 関連項目: 「部分リコンシリエーション」 |
Jdoe |
Record Size |
リコンサイルするレコード数の指定
値はゼロより大きい任意の整数です。 |
この属性のデフォルト値はAll。 |
ExcludeSystemUsers |
リコンシリエーションから除外するログインの指定
この属性を使用して、Oracle Identity Managerにリコンサイルしないシステム・ログインを指定できます。 |
ログインのカンマで区切られたリスト。 |
ReconcileLockedUser |
Oracle Identity ManagerでLocked状態のユーザーをリコンサイルするかどうかを指定
リコンシリエーションの実行中にターゲット・システムのLocked状態のユーザーをリコンサイルする場合、 |
デフォルト値はyes。 |
|
関連項目: タスク属性の追加および削除の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
「Save」をクリックします。スケジュール済タスクが作成されます。INACTIVEステータスが「Status」フィールドに表示されますが、これは、タスクが現在実行されていないためです。タスクは手順7で設定した日時に実行されます。
参照フィールドのリコンシリエーションに対するスケジュール済タスクを構成するには、次のようにします。
「リコンシリエーションのスケジュール済タスクの構成」で説明している手順1〜8の手順を実行します。手順4を実行する際、DBAccessLookupReconTaskスケジュール済タスクを検索します。
手順9を実行する際、次の表に示す情報を使用します。
| 属性 | 説明 | サンプル値 |
|---|---|---|
Server |
ITリソースの名前 | Oracle |
LookupFieldName |
リコンシリエーションを実行する参照定義の名前を指定
サポートされている実行可能なリコンシリエーションの参照定義のリストは、 |
UD_Lookup.DB_ORA_Roles |
Exclusion List |
対応する参照にリコンサイルしないターゲット・システムの属性値を指定
たとえば、 |
ターゲット・システムのプロパティ名のカンマで区切られたリスト |
手順10を実行して、リコンシリエーションに対するスケジュール済タスクを構成する手順を実行します。
Oracle Identity Managerリリース9.0.1を使用している場合は、次の手順を実行してリコンシリエーションを有効にする必要があります。
|
関連項目: 『Oracle Identity Managerデザイン・コンソール・ガイド』 |
プロビジョニング・プロセスを開きます。
「Reconciliation Field Mappings」タブをクリックします。
ITリソース・タイプの各フィールドで次の操作を行います。
フィールドをダブルクリックして、そのフィールドの「Edit Reconciliation Field Mapping」ウィンドウを開きます。
「Key Field for Reconciliation Matching」の選択を解除します。
このガイドで前述したように、プロビジョニングとは、Oracle Identity Managerを介して、ターゲット・システム上でユーザー・アカウント情報を作成または変更することです。
|
注意: このターゲット・システムに対してOracle Identity Managerのプロビジョニング機能を使用する場合は、この項で説明する手順を実行する必要があります。「Oracle Identity Managerリリース9.1.0以上へのコネクタのインストール」に記載されている手順を実行した場合は、アダプタのコンパイルの手順を実行する必要はありません。 |
アダプタは、プロビジョニング機能を実装するために使用されます。コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。
DB Revoke Role
DB Modify Password
DB Modify Login
DB Enable login
DB Disable login
DB Delete Login
DB Create Login
DB Add TableSpace
DB Add Schema
DB Add Role
DB2 Delete TableSpace
DB Prepopulate UserLogin
DB Update Group
DB EnableSybaseUser
DB DisableSybaseUser
DB Delete User
DB Create User
DBPrepopulateUserFullName
DB Add Privilege
DB Revoke Privilege
DBPreventModify
DB2 Delete Schema
これらのアダプタは、プロビジョニング操作で使用する前にコンパイルする必要があります。
「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
「アダプタ・マネージャ」フォームを開きます。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」を選択します。
(すべてではないが)複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」を選択します。
|
注意: 正常にコンパイルされなかったアダプタのみを再コンパイルするには、「以前の失敗分をコンパイル」をクリックします。そのようなアダプタはコンパイルのステータスがOKになっていません。 |
「開始」をクリックします。選択したアダプタがOracle Identity Managerによってコンパイルされます。
Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_HOME/xellerate/Adapterディレクトリから、コンパイル済のアダプタをクラスタの他の各ノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。
一度に1つのアダプタをコンパイルする場合は、「アダプタ・ファクトリ」フォームを使用します。
|
関連項目: 「アダプタ・ファクトリ」フォームおよび「アダプタ・マネージャ」フォームの使用方法の詳細は、『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
アダプタの詳細情報を表示するには、次のようにします。
「アダプタ・マネージャ」フォームでアダプタをハイライト表示します。
アダプタの行ヘッダーをダブルクリックするか、アダプタを右クリックします。
表示されるショートカット・メニューで「アダプタの起動」を選択します。アダプタの詳細が表示されます。
|
注意: この手順は、ターゲット・システムの複数のインストールに対応するようにコネクタを構成する場合のみ実行します。 |
ターゲット・システムの複数のインストールに対してコネクタを構成する場合があります。次の例でこの要件について説明します。
Example Multinational Inc.の東京、ロンドンおよびニューヨークの事業所には、独自にターゲット・システムがインストールされています。最近、この会社では、Oracle Identity Managerをインストールし、これを構成してインストールされたすべてのターゲット・システムをリンクしようとしています。
このような例で示される要件に対応するには、ターゲット・システムの複数のインストールに対するコネクタを構成する必要があります。
ターゲット・システムの複数のインストールに対してコネクタを構成するには、次のようにします。
|
関連項目: この手順の各ステップ実行の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
各ターゲット・システム・インストールに対して1つのリソースを作成して構成します。
「IT Resources」フォームは「Resource Management」フォルダにあります。ITリソースは、コネクタのXMLファイルをインポートすると作成されます。このITリソースは、同じITリソース・タイプの、残りのITリソース作成用のテンプレートとして使用できます。
各ターゲット・システム・インストールについてリコンシリエーションを構成します。手順は、「リコンシリエーションの構成」を参照してください。ITリソースの指定に使用される属性の変更と、ターゲット・システム・インストールを信頼できるソースとして設定するかどうかの指定のみが必要です。
必要であれば、Xellerate Userリソース・オブジェクトに対してリコンサイルされるフィールドを変更します。
管理およびユーザー・コンソールを使用してプロビジョニングを実行する場合、ユーザーのプロビジョニング先のターゲット・システム・インストールに対応するITリソースを指定できます。
