この章では、リリース9.0.4.16でのMicrosoft Active Directoryコネクタ用のソフトウェアとドキュメントに関する更新の概要を示します。
関連項目: 以前のリリースで更新された内容の詳細は、該当するリリースのこのドキュメントを参照してください。 |
この章で説明する更新内容は、次のカテゴリに分類されます。
この項では、コネクタのソフトウェアに対する更新について説明します。
この項では、このガイドでの主要な変更事項について説明します。この変更はソフトウェアの更新には関係ないものです。
次の各項では、コネクタのリリース9.0.4から現在のリリースまでに行われた更新について説明します。
リリース9.0.4.1_6742854でのソフトウェアの更新は次のとおりです。
スケジュール済タスクの機能が拡張され、セキュリティ・グループと組織の参照フィールド・リコンシリエーションが対象に含まれました。
詳細は、「参照フィールド・リコンシリエーション」を参照してください。これらの参照フィールドのリコンシリエーションを自動化するスケジュール済タスクの詳細は、「参照フィールド・リコンシリエーションのスケジュール済タスク」を参照してください。
コネクタで、次のプロビジョニング操作(機能)がサポートされるようになりました。
Lock User
Unlock User
Update First Name
Update Last Name
Move Group
これらの機能の詳細は、「サポートされている機能」を参照してください。
リコンシリエーション実行の終了時刻をトラッキングするパラメータが、ITリソースに追加されました。以前のリリースでtrue
とfalse
を使用していたパラメータに、yes
とno
を使用できるようになりました。
ITリソース定義にisOrgLookupDN
パラメータが追加されました。このパラメータは、参照リコンシリエーションの際に、Lookup.ADReconciliation.Organization
参照定義にDNと相対DNのどちらを格納するかを指定するために使用します。
詳細は、「ITリソースの定義」を参照してください。
これらのスケジュール済タスクについては、「ユーザー・リコンシリエーションのスケジュール済タスク」の項で説明します。
このリリース以降では、ldapbp.jar
ファイルが、コネクタ操作のために必要とされる唯一の外部コード・ファイルです。
このファイルのダウンロードと使用の詳細は、「コネクタ・ファイルおよび外部コード・ファイルのコピー」を参照してください。
以前のリリースでは、ターゲット・システムに対してネイティブでない演算子を使用した場合、指定した問合せ条件の対象となるリコンシリエーションが限定されました。今回のリリースで、問合せ条件の指定に、ネイティブ演算子と非ネイティブ演算子のどちらでも使用できるようになりました。この目的には、ユーザー・リコンシリエーションのスケジュール済タスクのCustomizedReconQuery
属性とisNativeQuery
属性を使用します。
詳細は、「部分リコンシリエーション」を参照してください。
リコンシリエーションとプロビジョニングでは、新しいターゲット・システム属性をOracle Identity Manager属性にマップすることができます。詳細は、次の項を参照してください。
リリース9.0.4.2から9.0.4.4には、ソフトウェアの更新はありません。
リリース9.0.4.5で解決された問題を次に示します。
Oracle Bug# | 問題 | 解決内容 |
---|---|---|
6989471 | パスワードを忘れた場合のセルフサービス機能を使用してユーザーがパスワードを変更しようとした場合、ユーザーがチャレンジ質問に正しく答えても、試行は常に失敗します。この操作を行うと、有効なユーザーが見つからないというメッセージが表示されます。 | この問題は解決されました。パスワードを忘れた場合の機能を使用してパスワードを変更できるようになりました。 |
リリース9.0.4.6で解決された問題を次に示します。
Oracle Bug# | 問題 | 解決内容 |
---|---|---|
6976717 | Create Userプロビジョニング操作で、「完全名」 フィールドにカンマを入力すると、操作は失敗します。これは、Oracle Identity Managerの「完全名」 フィールドが、ターゲット・システムの「cn 」フィールドにマップされているためです。 |
AtMap.AD 参照定義では、ターゲット・システムの「cn」フィールドが、Oracle Identity Managerの「User ID」 フィールドにマップされています。必要な場合、cn フィールドが、異なるOracle Identity Managerフィールドにマップされるように、参照定義でこのマッピングを変更することができます。
参照定義の変更方法の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
リリース9.0.4.7ではソフトウェアの更新はありません。
リリース9.0.4.8ではソフトウェアの更新はありません。
リリース9.0.4.9には、ソフトウェアの更新がありません。
リリース9.0.4.10で解決された問題を次に示します。
Oracle Bug# | 問題 | 解決内容 |
---|---|---|
7031943 | ターゲット・システムに、親子ペアとして構成されている2つのドメインが含まれているとします。この親ドメインと子ドメインに、それぞれ、グループgrp1 とgrp2 が作成されています。ユーザーJohn Doeは、両方のグループのメンバーです。grp1 とgrp2 は、Oracle Identity Managerで、グループ・リコンシリエーションを介して作成されました。
ユーザー・リコンシリエーションの際、ユーザーの照合が |
この問題は解決されました。リコンシリエーション時のユーザーの照合が、ユーザーのDNに基づいて行われるようになりました。このため、ユーザーが、親と子の関係にあるMicrosoft Active Directoryドメイン上のグループ両方のメンバーであっても、ユーザー・リコンシリエーションは成功します。 |
リリース9.0.4.10.1で解決された問題を次に示します。
Oracle Bug# | 問題 | 解決内容 |
---|---|---|
7112864 | リコンシリエーションを介してOracle Identity Managerで作成されたOUの名前が、小文字に変換されていました。たとえば、ターゲット・システム上にMyOrg というOUを作成した場合、リコンシリエーションを介してOracle Identity Managerで作成されるOUは、myorg という名前でした。
それ以降のユーザー・リコンシリエーション実行の際、ターゲット・システムのOUは、対応するOracle Identity ManagerのOUと一致しませんでした。このため、このOUに属しているユーザーのリコンシリエーションは失敗しました。 |
この問題は解決されました。リコンシリエーションを介してOracle Identity Managerに作成されるOUの名前における大/小文字の区別は、ターゲット・システム上のOU名でも同じです。 |
リリース9.0.4.11で解決された問題を次に示します。
Oracle Bug# | 問題 | 解決内容 |
---|---|---|
7314549 | 「完全名」フィールドにスラッシュ文字(/)を入力すると、プロビジョニング操作が失敗していました。 | この問題は解決されました。プロビジョニング操作の際、「完全名」フィールドにスラッシュ文字を入力できるようになりました。 |
リリース9.0.4.12で解決された問題を次に示します。
Oracle Bug# | 問題 | 解決内容 |
---|---|---|
7336488 | グループ参照リコンシリエーションの際、ターゲット・システムの複数のグループが、Oracle Identity Managerでは1つの組織の下にリコンサイルされていました。 | 各ターゲット・システム・グループをそれ自身の組織にリコンサイルするか、あるいはすべてのターゲット・システム・グループを単一の組織にリコンサイルするかを指定することができるようになりました。
この機能を実装するため、
これらの属性の詳細は、「ユーザー・リコンシリエーションのスケジュール済タスク」を参照してください。 |
また、サポートされている言語のリストに、アラビア語とデンマーク語が追加されました。
リリース9.0.4.13で解決された問題を次に示します。
Oracle Bug# | 問題 | 解決内容 |
---|---|---|
7449155 | Create Userプロビジョニング操作で、「完全名」 フィールドにカンマを入力すると、操作は失敗します。これは、Oracle Identity Managerの「完全名」 フィールドが、ターゲット・システムの「cn 」フィールドにマップされているためです。 |
この問題は解決されました。「完全名」フィールドでサポートされている特殊文字の詳細は、「ユーザー・プロビジョニング」を参照してください。 |
7328972 | プロビジョニング操作の際、ユーザーを、名前に特殊文字が含まれるグループのメンバーにすることができませんでした。 | この問題は解決されました。「グループ名」フィールドでサポートされている特殊文字の詳細は、「ユーザー・プロビジョニング」を参照してください。 |
7320836 | 多数のレコードをリコンサイルする際、リコンシリエーション実行が自動的に停止し、エラーがスローされないことがありました。また、リコンシリエーション実行を再開するための接続の再確立も試みられませんでした。 | この問題は解決されました。リコンサイルされるレコードの数は、リコンシリエーション実行の開始時に確認されます。リコンシリエーション実行で接続が失敗すると常に、接続の再確立と、リコンシリエーションの再開が試みられます。リコンサイルされたレコードの数が、実行開始時にリコンシリエーション対象として確認されたレコードの数と等しくなるまで、この処理が繰り返されます。 |
7235815 | 「完全名」フィールドにカンマが含まれていると、ユーザー・レコードのリコンシリエーションに失敗していました。 | この問題は解決されました。「完全名」フィールドにカンマが含まれていてもレコードをリコンサイルできるようになりました。 |
7450317 | ターゲット・システムで、ユーザーのアカウントに有効期限を設定しない場合、有効期限フィールドにNever と入力します。この操作は有効期限を1-Jan-1970 に設定することと同じです。同様に、Oracle Identity Managerで、ユーザーのターゲット・システム・アカウントの有効期限を設定しない場合、有効期限プロセス・フォーム・フィールドを空のままにします。
クライアント・コンピュータとターゲット・システムが異なるタイムゾーンに設定されている場合、ターゲット・システム・データベースに値を保存する前に、コネクタはクライアント・コンピュータから送信されるタイムスタンプ値をGMT-相対タイムスタンプ値に変換します。この変換により、値 |
Target Locale: TimeZone パラメータがITリソースに追加されました。このパラメータを使用してターゲット・システムのタイムゾーンを指定します。このパラメータの詳細は、「ITリソースの定義」を参照してください。 |
7502026 | 次に示すのは、リコンシリエーション時に各ターゲット・システムのレコードに適用されるタイムスタンプ・フィルタの書式です。
timestamp_record_updated >= last_reconciliation_run_timestamp このフィルタが適用された場合、リコンシリエーション実行が終了した時点で追加または変更されたレコードもリコンサイルされました。ただし、タイムスタンプ・フィルタの適用により、次のリコンシリエーション実行時に同じレコードがリコンサイルされることがありました。 |
この問題は解決されました。
次のようにタイムスタンプ・フィルタを変更することはできません。 timestamp_record_updated > last_reconciliation_run_timestamp 解決策として、リコンシリエーション時にフィルタが適用される前に、ITリソースに記録されるタイムスタンプに1秒加算します。つまり、次のようにフィルタは変更されます。 timestamp_record_updated + 1 second >= last_reconciliation_run_timestamp このフィルタを適用すると、リコンシリエーション実行の最後にリコンサイルされたレコードは、次のリコンシリエーション実行時にリコンサイルされません。 |
7314549 | 「完全名」フィールドにカンマ(,)またはスラッシュ文字(/)を入力すると、プロビジョニング操作が失敗していました。 | この問題は解決されました。プロビジョニング操作時に、「完全名」フィールドに特殊文字を入力できるようになりました。 |
リリース9.0.4.14で解決された問題を次に示します。
Oracle Bug# | 問題 | 解決内容 |
---|---|---|
7509116 | このコネクタとともにパスワード同期モジュールを使用していた場合、以前のリリースでは次の問題が発生していました。
Oracle Identity Managerから送信されるパスワード変更をトラッキングするため、Microsoft Active Directoryでカスタム属性を作成していました。この属性は機能しませんでした。 |
この問題は解決されました。このパッチ・セットをデプロイすると、Oracle Identity Managerで作成されるカスタム属性により、Microsoft Active DirectoryおよびOracle Identity Managerから発生するパスワード変更イベントが捕捉されます。Microsoft Active Directoryでカスタム属性を作成する必要はありません。
注意: この解決方法の実装の詳細は、パスワード同期モジュールのリリース9.0.4.14のreadmeを参照してください。 |
7449155 | ターゲット・システム・レコードの「cn」フィールドにカンマが含まれていると、組織名が正しくリコンサイルされませんでした。 | この問題は解決されました。使用できる特殊文字の詳細は、「ユーザー・プロビジョニング」を参照してください。 |
「既知の問題」の章に次の記述が追加されています。
Oracle Bug#7612861
指定した姓がカンマ(,)で終了している場合、次のCreate Userプロビジョニング操作のタスクは失敗します。
User must change password at next logon Updated
Password never expires Updated
リリース9.0.4.15のソフトウェア更新を次に示します。
このリリース以降、LDAP問合せを使用してリコンサイルするグループを指定できます。ActiveDirectoryReconTask
スケジュール済タスクのCustomizedGroupReconQuery
属性の値として、LDAP問合せを指定します。この属性の詳細は、「CustomizedGroupReconQuery属性」を参照してください。
リリース9.0.4.16で解決された問題を次に示します。
Oracle Bug# | 問題 | 解決内容 |
---|---|---|
7719525および7685400 | コネクタでは、複数値属性のリコンシリエーションまたはプロビジョニングをサポートしていませんでした。 | この問題は解決されました。コネクタでは、複数値属性のリコンシリエーションおよびプロビジョニングをサポートするようになりました。
複数値属性のプロビジョニングを有効にするために、 複数値属性のリコンシリエーションを有効にするために、 この属性の詳細は、「ユーザー・リコンシリエーションのスケジュール済タスク」を参照してください。 また、リコンシリエーション用とプロビジョニング用に新しい複数値フィールドを追加できるようになりました。詳細は、次の項を参照してください。 |
7722041 | このコネクタをOracle Identity Managerリリース9.0.3.xにインストールできませんでした。 | この問題は解決されました。このコネクタはOracle Identity Managerリリース9.0.3.x以降にインストールできるようになりました。 |
8216540 | Lookup.ADReconciliation.FieldMap 参照定義の「Code Key」列で属性名の大文字と小文字のチェックが実行されていました。属性名の大文字と小文字がターゲット・システム上での属性名の大文字と小文字に一致していない場合は、リコンシリエーションが失敗していました。 |
この問題は解決されました。
|
8236103 | 信頼できるソースのリコンシリエーション時に、「Xellerate User」 の「Email ID」 フィールドが更新されませんでした。 |
この問題は解決されました。信頼できるソースのリコンシリエーション時に、「Xellerate User」 の「Email ID」 フィールドが更新されるようになりました。 |
このガイドでのドキュメント固有の更新は、次のとおりです。
次の各項で、外部JARファイルの1つについて、バージョンがldapsdk-4.17.jar
からldapsdk-4.1.jar
に変更されています。
「ユーザー・リコンシリエーションのスケジュール済タスク」の項で、Object
属性の説明が変更されています。
「既知の問題」の章に次の記述が追加されています。
Microsoft Active Directory内のユーザーのグループ・メンバーシップを変更(グループへの割当てまたはグループからの割当て解除)した場合、グループ・メンバーシップのその変更点は、次回のリコンシリエーション実行時にはOracle Identity Managerにリコンサイルされません。これは、リコンシリエーション・スケジュール済タスクではグループ・メンバーシップの変更を検出できないためです。この既知の問題は、Oracle Identity Managerの今後のリリースで対応がとられる予定です。
「ユーザー・リコンシリエーション」の項で、ターゲット・リソースと信頼できるソースのリコンシリエーション時にリコンサイルされるフィールドのリストが追加されています。