| Oracle Identity Manager Microsoft Active Directory Connectorガイド リリース9.0.4 E05499-05 |
|
 戻る |
 次へ |
コネクタをデプロイしたら、要件に合せて構成する必要があります。この章では、次のコネクタ構成手順を説明します。
|
注意: これらの項では、コネクタの構成に関する概念および手順の両方を説明します。概念情報を確認してから手順を実行することをお薦めします。 |
このガイドで前述したように、リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Managerで複製することです。この項では、リコンシリエーションの構成に関する次の項目について説明します。
コネクタの構成中に、ターゲット・システムを、信頼できるソースまたはターゲット・リソースとして指定できます。ターゲット・システムを信頼できるソースとして指定すると、リコンシリエーションの実行中に次の処理が行われます。
ターゲット・システムで新規作成された各ユーザーに対して、OIMユーザーが作成されます。
ターゲット・システムの各ユーザーに対して行われた更新が、対応するOIMユーザーに伝播されます。
ターゲット・システムをターゲット・リソースとして指定すると、リコンシリエーションの実行中に次の処理が行われます。
ターゲット・システムで作成された各アカウントについて、対応するOIMユーザーにリソースが割り当てられます。
ターゲット・システムの各アカウントに対して行われた更新が、対応するリソースに伝播されます。
|
注意: ターゲット・システムをリコンシリエーションの信頼できるソースとして指定しない場合は、この項を省略してかまいません。 |
信頼できるソースのリコンシリエーション用のXMLファイルをインポートするには、次のようにします。
|
注意: 信頼できるソースとして指定できるのは、1つのターゲット・システムのみです。別の信頼できるソースを構成している状態でxliADXLResourceObject.xml ファイルをインポートした場合、2つのコネクタのリコンシリエーションはいずれも機能しなくなります。 |
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くダイアログ・ボックスが表示されます。
xliADXLResourceObject.xmlファイルを検索して開きます。このファイルはOIM_home/xellerate/XLIntegrations/ActiveDirectory/xmlディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「インポート」をクリックします。
表示されるメッセージで、「インポート」をクリックしてXMLファイルのインポートを確認します。次に、「OK」をクリックします。
信頼できるソースのリコンシリエーション用のXMLファイルをインポートしたら、リコンシリエーションのスケジュール済タスクのTrustedSource属性の値をyesに設定する必要があります。この手順は、「リコンシリエーションのスケジュール済タスクの構成」の項で説明されています。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これを行うには、リコンシリエーション時に適用する問合せを指定します。これらの問合せは、次のスケジュール済タスク属性の値として指定します。
このコネクタでは、「ITリソースの定義」で説明した手順を実行するときに、CustomizedReconQuery属性の値を指定してフィルタを作成します。
次の表に、問合せ条件の作成に使用できるMicrosoft Active Directoryの属性、および対応するOracle Identity Managerの属性を示します。この問合せ条件は、CustomizedReconQuery属性の値として指定します。
| Oracle Identity Managerの属性 | Microsoft Active Directoryの属性 |
|---|---|
| ユーザーID | sAMAccountName |
| 名 | givenName |
| 姓 | sn |
| ミドル・ネーム | initials |
| 完全名 | displayName |
| グループ | memberOf |
CustomizedReconQuery属性は、isNativeQuery属性とともに使用します。isNativeQuery属性を使用して、問合せ条件がネイティブ形式かどうかを指定します。
isNativeQuery属性がyesに設定された場合のCustomizedReconQuery属性値のサンプルを次に示します。
|
注意: これらの問合せは、ネイティブ形式です。 |
(&(objectclass=user)(givenName=John))
この問合せ条件では、userオブジェクト・クラスに属し、名がJohnであるユーザーのレコードがリコンサイルされます。
(&(objectClass=user)(memberOf=CN=grp123,CN=Users,DC=corp,DC=com))
この問合せ条件では、userオブジェクト・クラスとgrp123グループに属するすべてのユーザーのレコードがリコンサイルされます。
(&(&(objectClass=user)(memberOf=CN=group1,CN=Users,DC=corp,DC=com))(givenName=Richard))
この問合せ条件では、group1グループとuserオブジェクト・クラスに属し、名がRichardであるすべてのユーザーのレコードがリコンサイルされます。
(&(objectclass=user)(sn=Roe))
この問合せ条件では、userオブジェクト・クラスに属し、姓がRoeであるすべてのユーザーのレコードがリコンサイルされます。
isNativeQuery属性がnoに設定された場合のCustomizedReconQuery属性値のサンプルを次に示します。
objectClass=user&givenName=John&sn=Doe
この問合せ条件では、userオブジェクト・クラスに属し、名がJohnで、姓がDoeであるユーザーのレコードがリコンサイルされます。
givenName=John|sn=Doe
この問合せ条件では、次の条件のいずれかに合致するユーザーのレコードがリコンサイルされます。
名がJohnである。
姓がDoeである。
objectClass=user&memberOf=CN=grp123,CN=Users,DC=Globalsv,DC=com
この問合せ条件では、grp123グループとuserオブジェクト・クラスに属するすべてのユーザーのレコードがリコンサイルされます。
CustomizedReconQueryパラメータの値が[NONE]の場合、リコンシリエーション時に、ターゲット・システムのすべてのレコードが、既存のOracle Identity Managerレコードと比較されます。
isNativeQuery属性がnoの場合(つまり、非ネイティブ形式の問合せを使用する場合)に、CustomizedReconQueryパラメータの値を指定するには、次のガイドラインに従ってください。
Microsoft Active Directoryの属性では、この項に示した表と同様に大文字または小文字を使用する必要があります。属性名は大/小文字が区別されるためです。
問合せ条件の演算子と値の間に不要な空白を入れないでください。
値と演算子が空白で区切られている問合せ条件と、値と演算子の間に空白が含まれていない問合せ条件を比較した場合、異なる結果が生じます。たとえば、次の問合せ条件による出力は異なります。
givenname=John&sn=Doe
givenname= John&sn= Doe
2つ目の問合せ条件では、リコンシリエーション・エンジンは冒頭に空白が含まれた名および姓の値を検索します。
問合せ条件には、等号記号(=)、アンパサンド(&)および縦線(|)以外の特殊文字を使用しないでください。
|
注意: 等号記号(=)、アンパサンド(&)および縦線(|)以外の特殊文字を使用すると、例外がスローされます。 |
CustomizedGroupReconQuery属性を使用して、リコンサイルするグループを指定します。この属性の値は、指定するLDAP問合せです。
次のグループ・フィールドから、いずれか1つを使用するか組み合せてLDAP問合せを作成できます。
name
instanceType
groupType
objectSid
sAMAccountType
member
uSNCreated
uSNChanged
objectClass
distinguishedName
objectCategory
sAMAccountName
objectGUID
cn
whenCreated
whenChanged
LDAP問合せのサンプルを次に示します。
|
注意: これらのサンプルに示すように、個々の条件はカッコで囲む必要があります。たとえば、 使用できるのはネイティブLDAP形式の問合せのみです。 |
(&(|(groupType=2)(name=MyGrp))(objectClass=group))
(&(&(groupType=2)(name=MyGrp))(objectClass=group))
(&(objectclass=group)(name=MyGrp))
(|(groupType=2)(name=MyGrp))
リコンシリエーションの実行中に、ターゲット・システム・レコードのすべての変更内容がOracle Identity Managerにリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。
このような問題を避けるため、バッチ・リコンシリエーションを構成できます。
バッチ・リコンシリエーションを構成するには、次のユーザー・リコンシリエーションのスケジュール済タスクの属性に値を指定する必要があります。
StartRecord: この属性を使用して、バッチ・リコンシリエーションを開始するレコード番号を指定します。
BatchSize: この属性を使用して、各バッチに含めるレコード数を指定します。
NumberOfBatches: この属性を使用して、リコンサイルするバッチの総数を指定します。バッチ・リコンシリエーションを使用しない場合は、この属性の値としてAll Availableを指定します。
|
注意: この属性の値としてAll Availableを指定すると、StartRecord属性およびBatchSize属性の値は無視されます。Microsoft Windows 2000では、バッチはサポートされていません。このプラットフォームでは、NumberOfBatchesパラメータの値は常にAll Availableである必要があります。 |
「ユーザー・リコンシリエーションのスケジュール済タスク」で説明する手順に従ってこれらの属性の値を指定してください。
バッチ・リコンシリエーションの構成後、バッチ・リコンシリエーションの実行中にリコンシリエーションが失敗した場合は、ログ・ファイルでリコンシリエーションが失敗したバッチに関する情報を確認してください。
「コネクタのXMLファイルのインポート」で説明する手順を実行すると、参照フィールドおよびユーザー・リコンシリエーションに対するスケジュール済タスクが、Oracle Identity Managerで自動的に作成されます。これらのスケジュール済タスクを構成するには、次のようにします。
「Xellerate Administration」フォルダを開きます。
「Task Scheduler」を選択します。
「Find」をクリックします。事前定義されたスケジュール済タスクの詳細が2つのタブに表示されます。
最初のスケジュール済タスクについて、「Max Retries」フィールドに数値を入力します。この数はOracle Identity Managerがタスクを完了するために試行する回数です。この数を超えると、ERRORステータスがタスクに割り当てられます。
「Disabled」チェック・ボックスと「Stop Execution」チェック・ボックスが選択されていないことを確認します。
「Start」リージョンで「Start Time」フィールドをダブルクリックします。表示される日付時間エディタで、タスクを実行する日付と時間を選択します。
「Interval」リージョンで、次のスケジュール・パラメータを設定します。
タスクを繰り返し実行するように設定するには、「Daily」、「Weekly」、「Recurring Intervals」、「Monthly」または「Yearly」のオプションを選択します。
「Recurring Intervals」オプションを選択した場合は、タスクを繰り返して実行する間隔も指定する必要があります。
タスクを1回のみ実行するように設定するには、「Once」オプションを選択します。
スケジュール済タスクの属性の値を指定します。指定する値の詳細は、「スケジュール済タスク属性の値の指定」を参照してください。
|
関連項目: タスク属性の追加および削除の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
「Save」をクリックします。スケジュール済タスクが作成されます。INACTIVEステータスが「Status」フィールドに表示されますが、これは、タスクが現在実行されていないためです。タスクは手順7で設定した日時に実行されます。
ステップ5〜10を繰り返してもう1つのスケジュール済タスクを作成します。
この項では、次のスケジュール済タスクに指定する属性値について説明します。
次の参照フィールド・リコンシリエーションのスケジュール済タスクには、同じ属性があります。
ADGroupLookupReconTask
AD Security Group Global Lookup Recon
ADOrganizationLookupReconTask
次の表で、これらの属性について説明します。
|
注意:
|
スケジュール済タスク属性に値を指定したら、手順のステップ10に進んでスケジュール済タスクを作成します。
次の表で、ユーザー・リコンシリエーションに関するこれらのスケジュール済タスクの属性を説明します。
ActiveDirectoryReconTask
TrustedADReconTask
|
注意:
|
| 属性 | 説明 | デフォルト/サンプル値 |
|---|---|---|
DeleteRecon |
リコンシリエーションの削除を有効にするかどうかを指定します。
値は リコンシリエーションの削除を有効にする場合、 この属性には値を指定する必要があります。 |
yes |
FieldLookupCode |
カスタム・リコンシリエーションで使用される参照定義の名前。
この属性の詳細は、付録B「リコンシリエーションのスケジュール済タスクの属性」を参照してください。 |
Lookup.ADReconliation.FieldMap |
MaintainHierarchy |
組織階層をMicrosoft Active Directoryで継続して使用するかどうかを指定します。
この属性の詳細は、付録B「リコンシリエーションのスケジュール済タスクの属性」を参照してください。 デフォルト値は、 注意: この属性は、 |
no |
XellerateObject |
信頼できるソースのリコンシリエーションが実行されるOracle Identity ManagerのOIM Userリソース・オブジェクト名。
信頼できるソースのリコンシリエーションを実行する場合は、値を この属性には値を指定する必要があります。 注意: この属性は、 |
' |
XellerateOrg |
リコンサイルされたユーザーが作成されるOracle Identity Manager組織。
注意: この属性は、 |
Xellerate Users |
Object |
リコンシリエーションが実行されるOracle Identity ManagerのADユーザー・リソース・オブジェクト名。
デフォルト値は、 注意: この属性は、 |
AD User |
Server |
Microsoft Active Directoryサーバーを意味するITリソース・インスタンス名。
この属性には値を指定する必要があります。 |
ADITResource |
TransformLookupCode |
参照表に格納された変換クラス・マップの参照コード。
この属性の詳細は、付録B「リコンシリエーションのスケジュール済タスクの属性」を参照してください。 この属性は、 |
Lookup.ADReconliation.TransformationMap |
UseTransformMapping |
TransformLookupCode属性を使用してアクセスする変換マッピングを使用する必要があるかどうかを指定します。
値は |
yes |
MultiValueAttributes |
リコンサイルするMicrosoft Active Directoryのすべての複数値属性のカンマ区切りリスト。
AD Groupリコンシリエーションの場合は、 この属性の詳細は、付録B「リコンシリエーションのスケジュール済タスクの属性」を参照してください。 この属性には値を指定する必要があります。 |
member |
GroupObject |
ターゲット・リソースのリコンシリエーションの場合:
グループのリコンシリエーションが実行されるOracle Identity ManagerのADグループ・リソース・オブジェクト名。 ADグループのリコンシリエーションを実行する場合は、値を この属性には値を指定する必要があります。値は 信頼できるソースのリコンシリエーションの場合: デフォルト値( |
no |
LastTimeStampAttrName |
この属性には、このスケジュール済タスクの実行後に更新されるITリソース・タイムスタンプ・パラメータの名前が保持されます。たとえば、ITリソース・タイムスタンプ・パラメータがLast Modified TimeStampTrustedADの場合は、この属性の値として、Last Modified TimeStampTrustedADを指定します。 |
Last Modified Time Stamp TrustedAD |
CustomizedReconQuery |
リコンシリエーションのカスタマイズに使用するLDAP問合せを指定します。リコンシリエーション・エンジンはこのLDAP問合せを使用して、ターゲット・システムからフェッチする必要があるレコードをフィルタします。
この属性の詳細は、「部分リコンシリエーション」を参照してください。 サンプル値:
|
[NONE] |
isNativeQuery |
yesを入力すると、CustomizedReconQuery属性の値は、ネイティブLDAP形式と解釈されます。noを入力すると、CustomizedReconQuery属性の値は、ネイティブLDAP形式と解釈されます。 |
yes |
StartRecord |
バッチ・プロセスの開始レコードを指定します。
デフォルト値は この属性については、「バッチ・リコンシリエーション」の項で説明します。 |
1 |
BatchSize |
バッチに含めるレコード数を指定します。
デフォルト値は この属性については、「バッチ・リコンシリエーション」の項で説明します。 |
3 |
NumberOfBatches |
リコンサイルするバッチ数を指定します。
デフォルト値( この属性については、「バッチ・リコンシリエーション」の項で説明します。 |
デフォルト値: All Available(すべてのユーザーのリコンサイル)
サンプル値: |
LookupForPrimaryGroup |
プライマリ・グループ・リコンシリエーションで使用される参照定義の名前。
この属性は、 注意: この属性は、 |
Lookup.AD.PrimaryGroupList |
isReconPrimaryGroups |
LookupForPrimaryGroup属性を使用してアクセスするプライマリ・グループを使用する必要があるかどうかを指定します。
注意: この属性は、 |
yes |
UseOrgNameForGroupRecon |
この属性は、グループ・リコンシリエーションでのみ使用されます。この属性の値は、次のいずれかに設定できます。
|
No |
OrganizationNameForGroupRecon |
この属性は、グループ・リコンシリエーションでのみ使用されます。
|
[NONE] |
CustomizedGroupReconQuery |
リコンサイルする必要があるグループの判別に使用するLDAP問合せを指定します。
この属性の詳細は、「部分リコンシリエーション」を参照してください。 注意: 使用できるのはネイティブLDAP形式の問合せのみです。 サンプル値:
|
[NONE] |
GroupMultiValueAttributes |
リコンサイルする複数値グループ属性のカンマ区切りリストを指定します。
注意: この属性は、 サンプル値: |
[NONE] |
スケジュール済タスク属性に値を指定したら、手順のステップ10に進んでスケジュール済タスクを作成します。
Oracle Identity Managerリリース9.0.1を使用している場合は、次の手順を実行してリコンシリエーションを有効にする必要があります。
|
関連項目: 『Oracle Identity Managerデザイン・コンソール・ガイド』 |
「Design Console」を開きます。
「Process Management」フォルダを開きます。
ADユーザーの「Process Definition」フォームを開きます。
「Reconciliation Field Mappings」タブをクリックします。
ITリソース・タイプの各フィールドで次の操作を行います。
フィールドをダブルクリックして、そのフィールドの「Edit Reconciliation Field Mapping」ウィンドウを開きます。
「Key Field for Reconciliation Matching」の選択を解除します。
|
注意: この項ではオプションの手順を説明します。プロビジョニング用の新しい属性を追加しない場合は、この手順を実行する必要はありません。 |
デフォルトでは、「リコンシリエーション・モジュール」で示した属性が、Oracle Identity Managerとターゲット・システム間のリコンシリエーション用にマップされます。必要に応じて、追加の属性をリコンシリエーション用にマップできます。
ターゲット・リソースのリコンシリエーション用に新しいフィールドを追加する場合、先にフィールドのターゲット・システム名を次のようにして特定する必要があります。
ターゲット・システムのスキーマがまだインストールされていない場合は、インストールします。
スキーマのインストールの詳細は、Microsoft社のWebサイトを参照してください。
|
注意: ADSIEditツールを使用すると、ターゲット・システムのスキーマをインストールして使用しなくても、追加するフィールドの名前を決定できます。このツールの使用方法の詳細は、Microsoft社のWebサイトを参照してください。 |
ターゲット・システムのスキーマを開きます。
「コンソール ルート」フォルダを展開し、ターゲット・システムのスキーマを展開し、続いて「クラス」をダブルクリックします。
「ユーザー」を右クリックし、「プロパティ」を選択します。
「属性」タブに、ターゲット・システム上で現在使用中の属性(つまり、フィールド)が表示されます。
追加するフィールドの名前を書き留め、「キャンセル」をクリックします。
たとえば、リコンシリエーション用に「Employee ID」フィールドを追加する場合は、employeeIDを書き留めます。
ターゲット・リソースのリコンシリエーション用に新しいフィールドを追加するには、次のようにします。
|
関連項目: これらの手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Oracle Identity Manager Design Consoleにログインします。
次のようにして、プロセス・フォームに新しいフィールドを追加します。
「Development Tools」を展開します。
「Form Designer」をダブルクリックします。
UD_ADUSERプロセス・フォームを検索し、開きます。
「Create New Version」をクリックし、「Add」をクリックします。
フィールドの詳細を入力します。
たとえば、「Employee ID」フィールドを追加する場合は、「Name」フィールドにUD_ADUSER_EMPLOYEE_IDを入力し、続いて他の詳細(変数の型、長さ、フィールド・ラベル、フィールド・タイプなど)を入力します。
「Save」をクリックし、「Make Version Active」をクリックします。
リソース・オブジェクトのリコンシリエーション・フィールドのリストに、次のようにして、新しいフィールドを追加します。
「Resource Management」を展開します。
「Resource Objects」をダブルクリックします。
AD Userリソース・オブジェクトを検索し、開きます。
「Object Reconciliation」タブで、「Add field」をクリックします。
フィールドの詳細を入力します。
たとえば、「Field Name」フィールドにEmployee IDを入力し、フィールド・タイプのリストから「string」を選択します。
この手順でこの後、リコンシリエーションのための参照定義の中に作成するエントリのデコード値として、フィールド名を入力します。
「Save」をクリックします。
プロビジョニング処理の一部として、新しいフィールドのリコンシリエーション・フィールド・マッピングを、次のようにして作成します。
「Process Management」を展開します。
「Process Definition」をダブルクリックします。
AD Userプロビジョニング処理を検索し、開きます。
AD Userプロビジョニング処理の「Reconciliation Field Mappings」タブで、「Add Field Map」をクリックします。
「Field Name」フィールドで、追加するフィールドの値を選択します。
「Process Data Field」フィールドをダブルクリックし、「UD_ADUSER_EMPLOYEE_ID」を選択します。
「Save」をクリックします。
リコンシリエーションの参照定義で、次のようにして、フィールドのエントリを作成します。
「administration」を展開します。
「Lookup Definition」をダブルクリックします。
「Lookup.ADReconciliation.FieldMap」を開きます。
「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。コード・キー値は、この手順の最初に特定した、ターゲット・システムのフィールド名である必要があります。デコード値は、手順3.eでリコンシリエーション・フィールドに入力した名前です。
たとえば、「Code Key」フィールドにemployeeIDを入力し、「Decode」フィールドに従業員IDを入力します。
「Save」をクリックします。
このガイドで前述したように、プロビジョニングとは、Oracle Identity Managerを介して、ターゲット・システム上でユーザー・アカウント情報を作成または変更することです。
|
注意: このターゲット・システムに対してOracle Identity Managerのプロビジョニング機能を使用する場合は、この項で説明する手順を実行する必要があります。 |
プロビジョニングの構成とは、プロビジョニング機能を実装するために使用するアダプタのコンパイルです。
コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。
Chk Process Parent Org
AD Move OU
AD Get USNChanged
AD Get OU USNCR
Update AD Group Details
Get Group ObjectGUID Created
AD Delete Group
AD Create Group
Prepopulate AD Group Name
check process organization
AD Set User Password
AD Set User CN Standard
AD Set Account Exp Date
AD remove User From Group
AD Pwd Never Expires
AD Must Change PWD
AD Move User
AD Get ObjectGUID
AD Enable User
AD Disable User
AD Delete User
AD Create User
AD Change Attribute
AD Change User Password
AD Add User To Group
AD Prepopulate User Last Name
AD Prepopulate User Login
AD Prepopulate User Full Name
AD Prepopulate User Middle Name
AD Prepopulate User First Name
これらのアダプタは、プロビジョニング操作で使用する前にコンパイルする必要があります。
「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
「アダプタ・マネージャ」フォームを開きます。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」を選択します。
(すべてではないが)複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」を選択します。
|
注意: 正常にコンパイルされなかったアダプタのみを再コンパイルするには、「以前の失敗分をコンパイル」をクリックします。そのようなアダプタはコンパイルのステータスがOKになっていません。 |
「開始」をクリックします。選択したアダプタがOracle Identity Managerによってコンパイルされます。
Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_home/xellerate/Adapterディレクトリから、コンパイル済のアダプタをクラスタの他の各ノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。
一度に1つのアダプタをコンパイルする場合は、「アダプタ・ファクトリ」フォームを使用します。
|
関連項目: 「アダプタ・ファクトリ」フォームおよび「アダプタ・マネージャ」フォームの使用方法の詳細は、『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
アダプタの詳細情報を表示するには、次のようにします。
「アダプタ・マネージャ」フォームでアダプタをハイライト表示します。
アダプタの行ヘッダーをダブルクリックするか、アダプタを右クリックします。
表示されるショートカット・メニューで「アダプタの起動」を選択します。アダプタの詳細が表示されます。
|
注意: この項ではオプションの手順を説明します。プロビジョニング用の新しい属性を追加しない場合は、この手順を実行する必要はありません。 |
デフォルトでは、「プロビジョニング・モジュール」で示した属性が、Oracle Identity Managerとターゲット・システム間のプロビジョニング用にマップされます。必要に応じて、追加の属性をプロビジョニング用にマップできます。
プロビジョニング用に新しいフィールドを追加する場合、先にフィールドのターゲット・システム名を次のように特定する必要があります。
ターゲット・システムのスキーマがまだインストールされていない場合は、インストールします。
スキーマのインストールの詳細は、Microsoft社のWebサイトを参照してください。
|
注意: ADSIEditツールを使用すると、ターゲット・システムのスキーマをインストールして使用しなくても、追加するフィールドの名前を決定できます。このツールの使用方法の詳細は、Microsoft社のWebサイトを参照してください。 |
ターゲット・システムのスキーマを開きます。
「コンソール ルート」フォルダを展開し、ターゲット・システムのスキーマを展開し、続いて「クラス」をダブルクリックします。
「ユーザー」を右クリックし、「プロパティ」を選択します。
「属性」タブに、ターゲット・システム上で現在使用中の属性(つまり、フィールド)が表示されます。
追加するフィールドの名前を書き留め、「キャンセル」をクリックします。
たとえば、リコンシリエーション用に「Employee ID」フィールドを追加する場合は、employeeIDを書き留めます。
プロビジョニング用に新しいフィールドを追加するには、次のようにします。
|
関連項目: これらの手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Oracle Identity Manager Design Consoleにログインします。
次のようにして、プロセス・フォームに新しいフィールドを追加します。
「Development Tools」を展開します。
「Form Designer」をダブルクリックします。
UD_ADUSERプロセス・フォームを検索し、開きます。
「Create New Version」をクリックし、「Add」をクリックします。
フィールドの詳細を入力します。
たとえば、「Employee ID」フィールドを追加する場合は、「Name」フィールドにUD_ADUSER_EMPLOYEE_IDを入力し、続いてこのフィールドの残りの詳細を入力します。
「Save」をクリックし、「Make Version Active」をクリックします。
プロビジョニングの参照定義で、次のようにして、フィールドのエントリを作成します。
「administration」を展開します。
「Lookup Definition」をダブルクリックします。
追加するフィールドが環境フィールド、リモート制御フィールドまたはセッション・フィールドでない場合は、AtMap.AD参照定義を検索し、開きます。
「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。デコード値は、この手順の最初に特定した、ターゲット・システムのフィールド名である必要があります。
たとえば、「Code Key」フィールドにUD_ADUSER_EMPLOYEE_IDを入力し、「Decode」フィールドにemployeeIDを入力します。
プロビジョニング用の新規フィールドの有効化
プロビジョニング用にフィールドを追加したら、フィールド上で更新操作を有効にする必要があります。この手順を実行しない場合、Create Userプロビジョニング操作でフィールドの値を設定した後で、値を変更できなくなります。
プロビジョニング用の新しいフィールドの更新を有効にするには、次のようにします。
|
関連項目: これらの手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Oracle Identity Manager Design Consoleにログインします。
プロビジョニング処理で、フィールドを更新する新しいタスクを、次のようにして作成します。
「Process Management」を展開します。
「Process Definition」をダブルクリックし、AD Userプロビジョニング処理を開きます。
「Add」をクリックし、タスク名とタスクの説明を入力します。
「Task Properties」セクションで、次のフィールドを選択します。
Conditional
Required for Completion
Allow Cancellation While Pending
Allow Multiple Instances
「Save」をクリックします。
AD Userプロビジョニング処理で、次のようにして、「Handler Type」セクションでアダプタ名を選択します。
「Integration」タブに移動し、「Add」をクリックして、「Adapter」を選択します。
「Handler Type」セクションで、「adpADCSCHANGEATTRIBUTE」を選択します。
「Save」をクリックします。
「Variable Name」フィールドをダブルクリックして値を取得し、アダプタ変数を「Response Code」にマップします。
「Variable Name」フィールドをダブルクリックして値を取得し、アダプタ変数をプロセス・データ・フィールドにマップします。
「Variable Name」フィールドをダブルクリックして値を取得し、アダプタ変数をプロセス・データ・フィールドにマップします。
「Variable Name」フィールドをダブルクリックして値を取得し、アダプタ変数を、ターゲット・システム上の対応するフィールドにマップします。たとえば、従業員IDを更新するためには、employeeIDを入力します。
「Save」をクリックします。
デフォルトで、ターゲット・システム上に新しく作成されたユーザーは、userオブジェクト・クラスに割り当てられます。userオブジェクト・クラスは、Atmap.AD参照定義のLdapUserObjectClassフィールドの値です。追加のオブジェクト・クラスに新しいユーザーを割り当てる場合は、このフィールドの「Decode」列に、オブジェクト・クラスのリストを入力します。指定する値で、オブジェクト・クラス名を区切るには、縦線(|)を使用します。
LdapUserObjectClassエントリのサンプル値を次に示します。
user
coperson
user|coperson
3つ目のサンプル値では、縦棒(|)がデリミタ文字として使用されています。
このパラメータは、プロビジョニング時のみ使用されます。
|
注意:
|
|
注意: この項ではオプションの手順を説明します。リコンシリエーション用に新しい複数値フィールドを追加する場合のみ、この手順を実行します。 リコンシリエーション用に追加する新しいフィールドに文字列形式のデータのみが格納されていることを確認する必要があります。Oracle Identity Managerにはバイナリ・フィールドを送信しないでください。 |
必要に応じて、ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加できます。
ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加するには、次のようにします。
Oracle Identity Manager Design Consoleにログインします。
次のようにして、複数値フィールド用のフォームを作成します。
「Development Tools」を展開します。
「Form Designer」をダブルクリックします。
表の名前および説明を指定してフォームを作成し、「Save」をクリックします。
「Add」をクリックしてフィールドの詳細を入力します。
「Save」をクリックし、「Make Version Active」をクリックします。
次のようにして、複数値フィールド用に作成されたフォームをプロセス・フォームの子フォームとして追加します。
UD_ADUSERまたはUD_ADGROUPプロセス・フォームを検索し、開きます。
「Create New Version」をクリックします。
「Child Table(s)」タブをクリックします。
「Assign」をクリックします。
「Assign Child Tables」ダイアログ・ボックスで、新規作成した子フォームを選択して右矢印をクリックした後、「OK」をクリックします。
「Save」をクリックし、「Make Version Active」をクリックします。
リソース・オブジェクトのリコンシリエーション・フィールドのリストに、次のようにして、新しいフィールドを追加します。
「Resource Management」を展開します。
「Resource Objects」をダブルクリックします。
AD UserまたはAD Groupリソース・オブジェクトを検索し、開きます。
「Object Reconciliation」タブで、「Add field」をクリックします。
「Add Reconciliation Fields」ダイアログ・ボックスに、フィールドの詳細を入力します。
たとえば、「Field Name」フィールドにcarLicenseと入力し、「Field Type」リストから「Multi Valued Attribute」を選択します。
「Save」をクリックしてダイアログ・ボックスを閉じます。
新規作成したフィールドを右クリックします。
「Define Property Fields」を選択します。
「Add Reconciliation Fields」ダイアログ・ボックスに、新規作成したフィールドの詳細を入力します。
たとえば、「Field Name」フィールドにcarLicenseと入力し、「Field Type」リストから「String」を選択します。
「Save」をクリックしてダイアログ・ボックスを閉じます。
次のようにして、新しいフィールド用のリコンシリエーション・フィールド・マッピングを作成します。
「Process Management」を展開します。
「Process Definition」をダブルクリックします。
AD UserまたはAD Groupプロセス定義を検索し、開きます。
AD User(またはAD Group)プロセス定義の「Reconciliation Field Mappings」タブで、「Add Table Map」をクリックします。
「Add Reconciliation Table Mapping」ダイアログ・ボックスで、リストからフィールド名および表名を選択し、「Save」をクリックしてダイアログ・ボックスを閉じます。
新規作成したフィールドを右クリックして、「Define Property Field Map」を選択します。
「Field Name」フィールドで、追加するフィールドの値を選択します。
「Process Data Field」フィールドをダブルクリックし、追加する列、たとえば「UD_CAR_LICENSE」を選択します。
「Key Field for Reconciliation Field Matching」を選択して「Save」をクリックします。
リコンシリエーションの参照定義で、次のようにして、フィールドのエントリを作成します。
「administration」を展開します。
「Lookup Definition」をダブルクリックします。
Lookup.ADReconciliation.FieldMap参照定義を検索して開きます。
「Add」をクリックしてフィールドの「Code Key」および「Decode」に値を入力し、「Save」をクリックします。コード・キー値は、ターゲット・システムの属性フィールドの名前にする必要があります。
たとえば、「Code Key」フィールドにはcarLicense、「Decode」フィールドにはcarLicenseと入力します。
|
注意: この項ではオプションの手順を説明します。リコンシリエーション用に新しい複数値フィールドを追加する場合のみ、この手順を実行します。 |
プロビジョニング用に新しい複数値フィールドを追加するには、次のようにします。
|
注意: 次の手順を始める前に、「ターゲット・リソースのリコンシリエーション用の新規複数値フィールドの追加」に記載されているステップ1〜3を実行してください。ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加する際にこれらのステップを実行した場合は、繰り返し実行する必要はありません。 |
Oracle Identity Manager Design Consoleにログインします。
「Process Management」を展開します。
次のようにして、プロセス定義にプロビジョニングの複数値属性用のタスクを追加します。
「Process Definition」をダブルクリックします。
AD UserまたはAD Groupプロセス定義を検索し、開きます。
「Add」をクリックしてタスクの名前および説明を入力します。
「Task Properties」セクションで、次のフィールドを選択します。
Conditional
Required for Completion
Allow Cancellation while Pending
Allow Multiple Instances
子表の名前: 「Child Table」リストから選択
Insert: データを追加する場合に「Trigger Type」リストから選択
Delete: データを削除する場合に「Trigger Type」リストから選択
「Save」をクリックします。
次のようにしてアダプタを選択します。
AD UserまたはAD Groupプロビジョニング・プロセスの「Integration」タブで、「Add」をクリックして「Adapter」を選択します。アダプタのリストで、次のようにします。
複数値データを追加する場合は、「adpADCSAddMultiAttributeData」を選択して「Save」をクリックします。
複数値データを削除する場合は、「adpADCSRemoveMultiAttributeData」を選択して「Save」をクリックします。
アダプタ変数をダブルクリックしてプロセス・データ・フィールドにマップし、「Save」をクリックします。
アダプタ変数をダブルクリックしてリテラルにマップし、「Literal Value」フィールドに更新対象となる属性の名前を指定した後、「Save」をクリックします。
アダプタ変数をダブルクリックして新規作成したフォームのプロセス・データ・フィールドにマップします。属性を削除する場合は、「Old Value」を選択して「Save」をクリックします。
アダプタ変数をダブルクリックしてプロセス・データ・フィールドにマップし、「Save」をクリックします。
アダプタ変数をダブルクリックしてレスポンス・コード・フィールドにマップし、「Save」をクリックします。
プロセス・タスクで「Save」をクリックします。
|
注意: プロビジョニング操作時に、複数値フィールドの値を追加または削除できます。これらの値は更新できません。 |
|
注意: この手順は、Oracle Identity Managerリリース9.0.1.3を使用している場合にのみ必要です。 |
Oracle Identity Managerリリース9.0.1.3では、信頼できない(ターゲット・リソース)リコンシリエーションの際に、無効または有効にされているユーザー・アカウントはOracle Identity Managerに正確にリコンサイルされません。このリリースのOracle Identity Managerを使用している場合は、次の手順を実行してこの問題を解決する必要があります。
Design Consoleにログインします。
次のようにして、「AD User」リソース・オブジェクトに「userAccountControl」リコンシリエーション・フィールドを作成します。
「Resource Management」フォルダを開きます。
「Resource Objects」フォームを開きます。
「Search」ボタンをクリックします。
表示されるリソース・オブジェクトのリストから、「AD User」をダブルクリックします。
「Object Reconciliation」タブで、「Reconciliation Fields」タブを選択します。
「Reconciliation Fields」タブで、「ADD Field」をクリックして、次の値を入力します。
Field Name: userAccountControlを入力します。
Field Type: 「String」を選択します。
Required: このチェック・ボックスを選択します。
変更内容を保存します。
次のようにして、「userAccountControl」リコンシリエーション・フィールドを「OIM_OBJECT_STATUS」フィールドにマップします。
「Process Management」フォルダを開きます。
「Process Definition」フォームを開きます。
「Search」ボタンをクリックします。
表示されるプロセス定義のリストから、「AD User」プロセス定義をダブルクリックします。
「Reconciliation Field Mappings」タブで、「userAccountControl」をダブルクリックして、次の値を入力します。
Field Name: 「userAccountControl」を選択します。
Field Type: 「String」を選択します。
Process Data Field: OIM_OBJECT_STATUSを入力します。
変更内容を保存します。
|
注意: この手順は、Microsoft Active Directoryの複数のインストールに対応するようにコネクタを構成する場合のみ実行します。 |
Microsoft Active Directoryの複数のインストールに対してコネクタを構成する場合があります。次の例でこの要件について説明します。
Acme Multinational Inc.の東京、ロンドンおよびニューヨークの事業所には、独自にMicrosoft Active Directoryがインストールされています。最近、この会社では、Oracle Identity Managerをインストールし、これを構成してインストールされたすべてのMicrosoft Active Directoryをリンクしようとしています。
このような例で示される要件に対応するには、Microsoft Active Directoryの複数のインストールに対するコネクタを構成する必要があります。
ターゲット・システムの複数のインストールに対してコネクタを構成するには、次のようにします。
各ターゲット・システム・インストールに対して1つのリソースを作成して構成します。
「IT Resources」フォームは「Resource Management」フォルダにあります。ITリソースは、コネクタのXMLファイルをインポートすると作成されます。このITリソースは、同じリソース・タイプの、残りのITリソース作成用のテンプレートとして使用できます。
各ターゲット・システム・インストールについてリコンシリエーションを構成します。手順は、「リコンシリエーションの構成」を参照してください。ITリソースの指定に使用される属性の変更と、ターゲット・システム・インストールを信頼できるソースとして設定するかどうかの指定のみが必要です。
Microsoft Active Directoryの単独インストールと複数インストールのいずれも信頼できるソースとして指定できます。
必要であれば、Xellerate Userリソース・オブジェクトに対してリコンサイルされるフィールドを変更します。
|
関連項目: この手順の各ステップ実行の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
管理およびユーザー・コンソールを使用してプロビジョニングを実行するときは、ユーザーをプロビジョニングするMicrosoft Active Directoryインストールに対応するITリソースを指定できます。
Microsoft Active Directoryのコネクタは、次の機能を実行します。
Oracle Identity Managerで変更したユーザー・アカウント属性(パスワードを除く)を使用したMicrosoft Active Directoryの更新
Microsoft Active Directoryで変更したユーザー・アカウント属性(パスワードを除く)を使用したOracle Identity Managerの更新
Oracle Identity Managerで変更したパスワードを使用したMicrosoft Active Directoryの更新(LDAP over SSLが必要)
Microsoft Active Directoryのパスワード同期モジュールは、Microsoft Active Directoryで変更したパスワードを使用してOracle Identity Managerを更新します。
コネクタはOracle Identity Managerサーバーにデプロイされ、パスワード同期モジュールはMicrosoft Active Directoryサーバーにデプロイされます。これらが一緒にデプロイされると(LDAP over SSLとともに)、コネクタおよびパスワード同期モジュールにより、パスワードを含むすべてのユーザー属性の完全な双方向の同期が実現します。
|
関連項目: 『Oracle Identity Manager Password Synchronization Module for Microsoft Active Directoryインストレーションおよび構成ガイド』 |
この項の説明は、リリース9.0.3のコネクタおよびパスワード同期モジュールで確認された問題を解決することを目的としています。
Oracle Identity Managerでカスタム属性を作成して、Microsoft Active Directoryで行われたパスワード変更をトラッキングするフラグとして機能するようにする必要があります。
Oracle Identity Managerでカスタム属性(ユーザー定義フィールド)を作成するには、次のようにします。
|
関連項目: 『Oracle Identity Managerデザイン・コンソール・ガイド』 |
「Design Console」を開きます。
「Administration」フォルダを開きます。
「User Defined Field Definition」を選択します。
検索アイコンをクリックします。
表示された結果から「USR」を選択し、「Add」をクリックします。
「User Defined Fields」ダイアログ・ボックスで次の値を入力します。
Label: フィールドのラベルを入力します。例: PWDCHANGEDINDICATION
Field Size: 20
作成するユーザー定義フィールドは、ADSYNC_TRUEまたはADSYNC_FALSEのいずれかを保持します。
DataType: 文字列
Column Name: フィールドの列名を入力します。
「Label」フィールドで入力した値と同じ値を入力することをお薦めします。例: PWDCHANGEDINDICATION
Oracle Identity Managerは、指定した列名に自動的にUSR_UDF_を追加します。たとえば、列名にPWDCHANGEDINDICATIONを指定すると、実際の列名はUSR_UDF_PWDCHANGEDINDICATIONに変更されます。
「Save」をクリックします。
「ITリソースの定義」で説明されている手順を行う際に、次のパラメータの値を指定する必要があります。
AD Sync installed (yes/no)
Microsoft Active Directoryのパスワード同期モジュールをインストールして使用する場合は、このパラメータの値にyesを指定します。それ以外の場合は、noを指定します。デフォルト値は、noです。
OIM User UDF
Oracle Identity Managerで作成するユーザー定義フィールドの名前を指定します。
AD Sync installed (yes/no)パラメータの値にyesを指定した場合にのみこのパラメータの値を指定してください。
注意: 指定するのは列名で、Oracle Identity Managerでカスタム属性を追加する際に入力するフィールド・ラベルではありません。たとえば、ラベルPWDCHANGEDINDICATIONを入力した場合に指定する列名はUSR_UDF_PWDCHANGEDINDICATIONです。Oracle Identity Managerは、列を作成するときに接頭辞USR_UDF_を追加します。
この項では、パスワード変更の操作の際に行われるイベントの順序について説明します。
Oracle Identity Managerでパスワードを変更する場合、次のようになります。
Oracle Identity Managerにより、「USR_UDF_PWDCHANGEDINDICATION」フィールドの値が1に設定されます。
新しいパスワードがターゲット・システムに伝播されます。
Password Synchronization Moduleによりパスワードの変更が検出されます。
Password Synchronization Moduleにより、「USR_UDF_PWDCHANGEDINDICATION」フィールドの値が確認され、フィールドは0に設定されます。これ以上の処理は実行されません。
|
注意: Create Userプロビジョニング操作を実行する場合、フィールドの値はNULLです。パスワード同期モジュールによりNULL値は1の値と同様に処理されます。 |
ターゲット・システムでパスワードを変更する場合、次のようになります。
Password Synchronization Moduleにより、「USR_UDF_PWDCHANGEDINDICATION」フィールドの値が1に設定されます。
新しいパスワードがUSR表に設定されます。
Oracle Identity Managerによりパスワードの変更が検出されます。
Oracle Identity Managerにより、「USR_UDF_PWDCHANGEDINDICATION」フィールドの値が確認され、フィールドは0に設定されます。これ以上の処理は実行されません。
Microsoft Active Directoryコネクタをインストールした後で、コネクタのプロパティを反映するためにパスワード同期のxlconfig.xmlを変更する必要があります。
これは、パスワード同期モジュールに対するインストール手順の一部です。これについては、『Oracle Identity Manager Password Synchronization Module for Microsoft Active Directoryインストレーションおよび構成ガイド』の「コネクタのインストール後のxlconfig.xmlファイルの構成」の項で説明されています。
