このコネクタを使用すると、IBM RACFのユーザー・データのリアルタイム・リコンシリエーションが可能です。コネクタをデプロイして、ターゲット・システムの既存のユーザー・データをOracle Identity Managerにインポートした後は、ターゲット・システムに対するリコンシリエーションの実行を開始するためにスケジュール済タスクを利用する必要はありません。
この章では次の項目について説明します。
注意: この項の手順を行うと、初期リコンシリエーションの実行でもそれ以降のリアルタイム・リコンシリエーションの実行でも、信頼できるソースのリコンシリエーションが有効になります。 |
信頼できるソースのリコンシリエーションのためのXMLファイルracfTrustedXellerateUser.xml
には、信頼できるソースのリコンシリエーションで使用されるコネクタ・コンポーネントの定義が含まれます。このXMLファイルをインポートするには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くためのダイアログ・ボックスが表示されます。
racfTrustedXellerateUser.xml
ファイルを検索して開きます。このファイルはOIM_HOME
/xellerate/XLIntegrations/racf/xml
ディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「インポート」をクリックします。
メッセージが表示されたら、「インポート」をクリックしてXMLファイルをインポートすることを確認し、「OK」をクリックします。
初期リコンシリエーションの実行では、コネクタをデプロイした直後にターゲット・システムからOracle Identity Managerにユーザー・データをインポートします。
初期リコンシリエーションの実行を開始するには、次のようにします。
run
スクリプトとrun_initial_recon_provisioning
スクリプトに共通するプロパティの値が同じであることを確認します。
run
スクリプトはLDAP_INSTALL_DIR
/bin
ディレクトリにあります。run_initial_recon_provisioning
スクリプトはOIM_HOME
/xellerate/JavaTasks
ディレクトリにあります。
テキスト・エディタでinitialRacfAdv.properties
ファイルを開きます。このファイルは次のディレクトリにあります。
OIM_HOME/xellerate/JavaTasks
initialRacfAdv.properties
ファイルで、初期リコンシリエーション・スクリプトを制御するプロパティの値を指定します。
注意: initialRacfAdv.properties ファイルとracfConnection.properties ファイルに共通するプロパティの値が同じであることを確認します。 |
このファイルの一部のプロパティについて次に説明します。
idfTrusted
このプロパティの値としてはtrue
を入力し、信頼できるソースのリコンシリエーションをターゲット・システムに対して実行することを指定します。
userFile
リコンサイルするターゲット・システム・ユーザーのユーザーIDを格納しているTXTファイルの名前を入力します。このファイルは次のディレクトリに配置する必要があります。
OIM_HOME/xellerate/JavaTasks
このファイルの詳細は、インストール・メディアのscripts
ディレクトリにあるサンプルuser.txt
ファイルを参照してください。
initialRacfAdv.properties
ファイルのプロパティのサンプル値を次に示します。
xlAdminId:xelsysadm idfTrusted:false _resourceObject_:OIMRacfResourceObject _itResource_:RacfResource _dummyPwd_:Pwd123 isFileRecon:true userFile:user.txt #REMOVED: sn,givenName,revoke,passwordExpire, reconAttrs:uid,cn,userPassword,revokeDate,resumeDate,defaultGroup,owner,instdata,omvsUid,omvsHome,omvsProgram,waaccnt,waaddr1,waaddr2,waaddr3,waaddr4,wabldg,wadept,waname,waroom tsoReconAttrs:tsoAcctNum,tsoProc,tsoSize,tsoUnit,tsoUserdata,tsoCommand,tsoDest,tsoHoldclass,tsoMsgclass,tsoMaxSize,tsoSysoutclass,tsoJobclass idfServerUrl:ldap://localhost:5389 idfAdminDn:cn=idfRacfAdmin, dc=racf,dc=com idfAdminPwd:idfRacfPwd ouPeople:ou=People ouGroups:ou=Groups ouDatasets:ou=Datasets ouResources:ou=Resources ouFacilities:ou=Facilities ouBaseDn:dc=racf,dc=com idfSystemAdminDn:cn=Directory Manager, dc=system,dc=backend idfSystemAdminPwd:testpass idfSystemDn:dc=system,dc=backend
テキスト・エディタでrun_initial_recon_provisioning
スクリプトを開きます。このファイルは次のディレクトリにあります。
OIM_HOME/xellerate/JavaTasks
信頼できるソースのリコンシリエーションを実行するには、次のようにします。
注意: ターゲット・リソースのリコンシリエーションのみを実行する場合、ステップ5は無視してください。 |
このスクリプトのJVパラメータの値を、Xellerateユーザーのリコンサイルを行う-Xに設定します。
スクリプトを実行します。
スクリプトを実行すると、ユーザー・データを含むファイル(ファイル名はuserFileプロパティの値)が開き、リコンサイルするユーザーのユーザーIDが読み取られます。次に、初期ロード・スクリプトであるローダーがLDAP Gatewayに接続し、ターゲット・システムから必要なユーザー・データをフェッチするコマンドを発行します。このデータはLDAP Gatewayキャッシュにロードされ、リコンシリエーション・イベントがOracle Identity Managerに送信されます。initialRacfAdv.propertiesファイルのuserFileプロパティによって識別されるすべてのターゲット・システム・ユーザーに対して、Xellerateユーザーが作成されます。
run_initial_recon_provisioningスクリプトのJVパラメータの値を、ターゲット・リソースのリコンシリエーションを実行する-R
に変更します。
再びスクリプトを実行します。
スクリプトのJVパラメータの値を-R
に設定したため、スクリプトを実行すると、ターゲット・リソースのリコンシリエーションが実行されます。最初にスクリプトを実行したときに作成された各OIMユーザーにリソースが割り当てられます。
ターゲット・リソースのリコンシリエーションのみを実行するには、次のようにします。
注意: 信頼できるソースのリコンシリエーションを実行する場合、ステップ6は無視してください。 |
テキスト・エディタでinitialRacfAdv.propertiesファイルを開いて、idfTrustedプロパティの値としてfalse
を入力し、ターゲット・システムに対してターゲット・リソースのリコンシリエーションを実行することを指定します。
racfConnection.propertiesファイルも同様に変更します。
run_initial_recon_provisioningスクリプトのJVパラメータの値を、ターゲット・リソースのリコンシリエーションを実行する-P
に変更します。
再びスクリプトを実行します。
スクリプトのJVパラメータの値を-P
に設定したため、スクリプトを実行すると、ターゲット・リソースのリコンシリエーションが実行されます。
この初期リコンシリエーションの実行が終了すると、以降のリコンシリエーションはリアルタイムに実行され、新しく作成または変更されたユーザー・データがOracle Identity Managerに自動的にリコンサイルされていきます。
ターゲット・システムでユーザーが無効または有効になると、そのユーザーがリコンサイルされ、変更されたステータスがOracle Identity Managerに反映されます。ユーザーのステータスが変更された後でメインフレーム・システムでユーザーをリコンサイルするには、次の構成手順を実行します。
LDAP_INSTALL_DIR
ディレクトリで、racfConnection.properties
のreconAttrs
セクションにステータス属性の名前を追加します。
initialRacfAdv.properties
ファイルでも同じ変更を行います。このファイルは、OIM_HOME
/xellerate/JavaTasks
ディレクトリにあります。
変更を有効にするためにLDAP Gatewayを再起動します。
Design Consoleで次のようにします。
関連項目: 次の手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
OIMRacfResourceObject
リソース・オブジェクトに、ステータス属性を表すフィールドを作成します。
OIMRacfProvisioningProcess
プロセス定義で、ステータス属性のフィールドをOIM_OBJECT_STATUS
フィールドにマップします。