Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerコネクタは、Oracle Identity Managerとサード・パーティ製アプリケーションの統合に使用されます。このガイドでは、Oracle Identity ManagerをMicrosoft Active Directoryと統合するためのコネクタをデプロイする手順について説明します。
注意: Oracle Identity Managerコネクタは、オラクル社がThor Technologies社を企業買収する前はリソース・アダプタと呼ばれていました。 |
この章では、次の項目について説明します。
注意: このガイドでは、Oracle Identity Managerサーバーという用語は、Oracle Identity Managerがインストールされているコンピュータを意味します。このガイドの一部では、Microsoft Active Directoryをターゲット・システムと呼んでいます。 |
リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Managerで複製することです。これは、構成したスケジュール済タスクによって開始される自動化プロセスです。
関連項目: リコンシリエーションの構成の概念については、『Oracle Identity Manager Connectorフレームワーク・ガイド』のOracle Identity Managerのデプロイ構成に関する項を参照してください。 |
ターゲット・システムからリコンサイルされるデータのタイプによって、リコンシリエーションは次のタイプに分類できます。
Lookup.ADReconliation.GroupLookup
参照定義に移入するために、次のADグループのフィールドがリコンサイルされます。
sAMAccountName
objectGUID
Lookup.AD.PrimaryGroupList
参照定義に移入するために、次のADグループのフィールドがリコンサイルされます。
sAMAccountName
primaryGroupToken
Lookup.ADReconciliation.Organization
参照定義に移入するために、次のAD組織の各フィールドがリコンサイルされます。
distinguishedName
リコンシリエーション・モジュールは、ADグループ・リコンシリエーション・イベント・レコードを構成するためにターゲット・システムから、次の要素を抽出します。
sAMAccountName
objectGUID
Organization Name
instanceType
cn
リコンシリエーションでマップされるフィールドは、構成するリコンシリエーションのタイプによって異なります。
リコンサイル対象のリソース・オブジェクト・フィールド
ターゲット・リソース・リコンシリエーションを行うためにコネクタを構成する場合は、次のフィールドがリコンサイルされます。
注意: リコンシリエーションを行うために、ターゲット・システムの他のフィールドをマップすることも拡張できます。手順はこのガイドで後述します。 |
sAMAccountName
注意: sAMAccountNameフィールドは、ユーザー・リコンシリエーション時にターゲット・システムからリコンサイルする必要があります。 |
objectGUID
name
memberOf
sn
cn
Initials
リコンサイル対象のXellerateユーザー・フィールド
信頼できるソースのリコンシリエーションを行うためにコネクタを構成する場合は、次のフィールドがリコンサイルされます。
ユーザー・ログイン(必須フィールド)
名(必須フィールド)
姓(必須フィールド)
Xellerateタイプ(必須フィールド)
組織名(必須フィールド)
ミドル・ネーム
ロール
パスワード
開始日
終了日
電子メール
ステータス
プロビジョニングとは、Oracle Identity Managerを介して、ターゲット・システム上でユーザー・アカウント権限を作成または変更することです。プロビジョニング操作は、Oracle Identity Manager管理およびユーザー・コンソールを使用して実行します。
関連項目: プロビジョニングの概念については、『Oracle Identity Manager Connectorフレームワーク・ガイド』のOracle Identity Managerのデプロイ構成に関する項を参照してください。 |
このターゲット・システムでは、プロビジョニングは次のタイプに分類されます。
次のフィールドがプロビジョニングされます。
USN作成
USN変更
objectGUID
組織名
これは、Oracle Identity Manager管理およびユーザー・コンソールの「組織の作成」フォームにある「名前」フィールドの値です。
次のフィールドがプロビジョニングされます。
ユーザーID
注意: Microsoft Active Directoryでは、ユーザーIDフィールドの文字数が20文字以内に制限されています。このため、Oracle Identity Managerでユーザーをプロビジョニングする際に、このフィールドに20文字を超える文字を入力しないでください。 |
パスワード
objectGUID
組織名
名
姓
ミドル・ネーム
ユーザーは次のログオン時にパスワードを変更する必要があります
パスワードの有効期限なし
アカウントの有効期限
完全名
グループ名
次の表に、プロセス・フォーム・フィールドに使用できる特殊文字を示します。
注意: 次の特殊文字は、プロセス・フォーム・フィールドに使用できません。
|
文字の名前 | 文字 |
---|---|
アンパサンド | & |
アスタリスク | * |
アットマーク | @ |
カレット | ^ |
カンマ | , |
ドル記号 | $ |
等号 | = |
感嘆符 | ! |
ハイフン | - |
左中カッコ | { |
左大カッコ | [ |
左カッコ | ( |
番号記号 | # |
パーセント記号 | % |
ピリオド | . |
プラス記号 | + |
疑問符 | ? |
右中カッコ | } |
右大カッコ | ] |
右カッコ | ) |
スラッシュ | / |
アンダースコア | _ |
次の表に、このコネクタで使用可能な機能を示します。
機能 | タイプ | 説明 |
---|---|---|
Create User | プロビジョニング | ユーザーを作成します。 |
Move User | プロビジョニング | ある組織のユーザーを別の組織に移動します。 |
Delete User | プロビジョニング | ユーザーを削除します。 |
Enable User | プロビジョニング | 無効なユーザーを有効にします。 |
Disable User | プロビジョニング | ユーザーを無効にします。 |
Get Organization USN | プロビジョニング | 組織のUSNを取得します。 |
Create Organization | プロビジョニング | 組織を作成します。 |
Get Organization USN Changed | プロビジョニング | 更新された組織のUSNを取得します。 |
Delete Organization | プロビジョニング | 組織を削除します。 |
Get User objectGUID | プロビジョニング | ユーザーのobjectGUIDを取得します。 |
User Must Change Password at Next Logon Updated | プロビジョニング | 「ユーザーは次のログオン時にパスワードを変更する必要があります」属性の変更に基づいてユーザーのプロファイルを更新します。 |
Set Account Expiration Date | プロビジョニング | 「アカウントの有効期限」属性の変更に基づいてユーザーのプロファイルを更新します。 |
Password Never Expires Updated | プロビジョニング | 「パスワードの有効期限なし」属性の変更に基づいてユーザーのプロファイルを更新します。 |
Update User ID | プロビジョニング | 「ユーザーID」属性の変更に基づいてユーザーのプロファイルを更新します。 |
Add User to Group | プロビジョニング | ユーザーをグループに追加します。 |
Remove User from Group | プロビジョニング | ユーザーをグループから削除します。 |
Create AD Group | プロビジョニング | ADグループを作成します。 |
Delete AD Group | プロビジョニング | ADグループを削除します。 |
Update Group Name | プロビジョニング | ADグループ名を更新します。 |
Get Group objectGUID | プロビジョニング | グループのobjectGUIDを取得します。 |
Lock User | プロビジョニング | ユーザーをロックします。 |
Unlock User | プロビジョニング | ユーザーをロック解除します。 |
Update First Name | プロビジョニング | 「名」属性の変更に基づいてユーザーのプロファイルを更新します。 |
Update Last Name | プロビジョニング | 「姓」属性の変更に基づいてユーザーのプロファイルを更新します。 |
Move Group | プロビジョニング | ある組織のグループを別の組織に移動します。 |
Trusted Reconciliation for User | リコンシリエーション | リコンサイルしたMicrosoft Active Directoryアカウントに対応するOIM Userアカウントを作成します。 |
Create User | リコンシリエーション | Microsoft Active Directoryアカウントをリコンサイルします。 |
Create Organization | リコンシリエーション | リコンサイルしたMicrosoft Active Directoryアカウント(およびそのルート組織)に対応するOracle Identity Managerのユーザーを含む組織を作成します。 |
Create Group | リコンシリエーション | リコンサイルしたMicrosoft Active Directoryアカウント(およびその親グループ)に対応するOracle Identity Managerのユーザーを含むグループを作成します。 |
コネクタでは、次の言語がサポートされています。
アラビア語
簡体字中国語
繁体字中国語
デンマーク語
英語
フランス語
ドイツ語
イタリア語
日本語
韓国語
ポルトガル語(ブラジル)
スペイン語
関連項目: サポートされる特殊文字の詳細は、『Oracle Identity Managerグローバリゼーション・ガイド』を参照してください。 |
インストール・メディアのファイルおよびディレクトリを次の表に示します。
インストール・メディア・ディレクトリのファイル | 説明 |
---|---|
lib/xliActiveDirectory.jar |
このJARファイルには、プロビジョニングに必要なクラス・ファイルが含まれます。 |
lib/xliADRecon.jar |
このJARファイルには、リコンシリエーションに必要なクラス・ファイルが含まれます。 |
resources ディレクトリにあるファイル |
これらの各リソース・バンドル・ファイルには、コネクタで使用される言語固有の情報が含まれます。
注意: リソース・バンドルは、Oracle Identity Managerのユーザー・インタフェースに表示されるローカライズ・バージョンのテキスト文字列を含むファイルです。これらのテキスト文字列には、管理およびユーザー・コンソールに表示されるGUI要素のラベルおよびメッセージが含まれます。 |
scripts/install.bat |
Oracle Identity ManagerがMicrosoft Windowsオペレーティング・システムにインストールされている場合、このバッチ・ファイルを使用してキーストアに証明書を追加します。 |
scripts/install.sh |
Oracle Identity ManagerがUNIXベースのシステムにインストールされている場合、このファイルを使用してキーストアに証明書を追加します。 |
test/config/config.properties |
このファイルを使用して、コネクタ・テスト・スイートに入力テスト・データを設定します。 |
test/lib/xliADTest.jar |
このJARファイルには、コネクタ・テスト・スイートに必要なクラス・ファイルが含まれます。 |
test/scripts/runADTest.bat |
このファイルを使用して、コネクタ・テスト・スイートでテストを実行します。 |
xml/xliADResourceObject.xml |
このXMLファイルには、リコンシリエーションとプロビジョニングに関連するコネクタ・コンポーネントの定義が含まれます。コンポーネントは次のとおりです。
|
xml/xliADXLResourceObject.xml |
このXMLファイルには、Xellerate User(OIM User)やXellerate Organizationなど、信頼できるソースに固有のオブジェクトの構成が含まれます。このファイルをインポートする必要があるのは、信頼できるソースのリコンシリエーション・モードでコネクタを使用する場合のみです。 |
注意: test ディレクトリのファイルは、コネクタでテストを実行するためにのみ使用します。 |
「コネクタ・ファイルおよび外部コード・ファイルのコピー」で、これらのファイルを必要なディレクトリにコピーする方法を説明します。
以前のリリースのコネクタがすでにデプロイされていることがあります。最新のリリースをデプロイする一方で、以前のリリースのリリース番号を確認しておくことができます。デプロイ済のコネクタのリリース番号を確認するには、次のようにします。
一時ディレクトリに、次のJARファイルの内容を抽出します。
OIM_HOME
/xellerate/JavaTasks/xliActiveDirectory.jar
テキスト・エディタでmanifest.mf
ファイルを開きます。manifest.mf
ファイルは、xliActiveDirectory.jar
ファイルにバンドルされているファイルの1つです。
manifest.mf
ファイルで、コネクタのリリース番号が「バージョン」プロパティの値として表示されます。