コネクタは、ターゲット・システムでリコンシリエーションおよびプロビジョニング操作を実行するために使用されるコンポーネントの集合を表す抽象概念です。各コンポーネントは、リコンシリエーション、プロビジョニングまたは両方において特定の役割を果します。カスタム・コネクタを構築するときは、Oracle Identity Manager Design Consoleを使用してこのようなコンポーネントを作成します。事前定義済コネクタでは、このようなコンポーネントの定義がコネクタXMLファイルに含まれています。コネクタのデプロイ時にコネクタXMLファイルをインポートすると、これらのコンポーネントがOracle Identity Managerに自動的に作成されます。この章では、コネクタ・コンポーネントの他に、コネクタのデプロイ時に不可欠な特定のOracle Identity Managerコンポーネントについても説明します。
Oracle Identity Managerおよびコネクタのコンポーネントについて次の項で説明します。
Oracle Identity Managerの次のコンポーネントが、コネクタ操作時に使用されます。
Oracle Identity Manager APIの公開セットには、リコンシリエーションに関連するセットが含まれます。Oracle Identity ManagerはこれらのAPIを使用してリコンシリエーション・イベントを作成します。これらのAPIは、適切なデータをイベントに提供するためのメカニズムを提供します。
関連項目: リコンシリエーションに関連するAPIの詳細は、『Oracle Identity Manager API使用法ガイド』の第2章「新機能」を参照してください。 |
リコンシリエーション・エンジンは、すべてのコンポーネント、データ・プロセッサ、およびこれらのコンポーネントを使用するルール評価機能を使用して、入力データをアクション項目のリストに変換します。これには、アクションをルール・コンテキストに基づいて自動化するかどうかを決定するコンポーネントも含まれます。自動または手動でアクションが実行されるとき、リコンシリエーション・エンジンは適切な更新およびプロビジョニング・アクションを実行します。
リコンシリエーション・マネージャは、Oracle Identity Manager Design Consoleのフォームの1つです。このフォームを使用して、リコンシリエーション・イベントを調べ、イベントのステータスに基づいてアクションを実行することができます。リコンシリエーション・マネージャには、受信したデータ、ルール評価の結果、実行できるアクション、アクションの結果が表示されます。
このフォームのメイン・セクションには、イベント情報(関連するリソース・オブジェクトを含む)、イベントの発生日付、現行ステータスおよびリンクされているエンティティが表示されます。このフォーム内の実行可能なアクションのためのアクション・ボタンを次に示します。
Close Event: 解決せずにイベントをクローズします。
Re-apply Matching Rules: 処理されたデータを受け取って、以前にルールを適用した際の結果を削除することにより、すべてのリコンシリエーション・ルールを再適用します。このアクションはルールが変更されたときに実行する必要があります。
Create User: 提供されたデータに基づくOIMユーザーの作成を有効にします。
Create Organization: 提供されたデータに基づいてOIM組織の作成を有効にします。
リコンシリエーション・マネージャを表示するには、Oracle Identity Manager Design Consoleの左側のペインで「User Management」の下にある「Reconciliation Manager」をクリックする必要があります。イベントのステータスは右側のペインに表示されます。図2-1に、Microsoft Active Directoryのリコンシリエーション・マネージャ・フォームを示します。
Remote Managerは、Oracle Identity Managerがターゲット・システムのローカル・コマンドと相互作用できるようにするアプリケーションです。次のいずれかの状況でRemote Managerを使用できます。
ターゲット・システムがネットワークを認識しない場合。つまり、ネットワークを介して通信するための機能がターゲット・システムによって提供されません。
ターゲット・システムのフィールドが、Oracle Identity Managerのフィールドと互換性のある形式ではない場合。
ネットワークAPIで必要なすべての機能が提供されない場合。
Remote Managerはターゲット・システムのホスト・コンピュータにデプロイされます。
次のコンポーネントはコネクタをデプロイすると作成されます。
ターゲット・システムをOracle Identity Managerでリソース・オブジェクトとして定義すると、リコンシリエーション・フィールドはターゲット・システムの実際のフィールドを表します。
リコンシリエーション・フィールドを表示するには、Oracle Identity Manager Design Consoleの左側のペインで「Resource Management」の下にある「Resource Objects」をクリックし、「Object Reconciliation」タブをクリックします。図2-2に、Microsoft Active Directoryのリコンシリエーション・フィールドのスクリーンショットを示します。
リコンシリエーション・フィールドを定義したら、プロセス・フォームに定義されているフィールドにリコンシリエーション・フィールドをマップする必要があります。リコンシリエーション・フィールド・マッピングによって、ターゲット・システムから受信したデータがプロセス・フォームのフィールドの更新に使用される方法が定義されます。ターゲット・システムの各リコンシリエーション・フィールドが、Oracle Identity Managerのプロセス・フォーム・フィールドにマップされます。
関連項目: 『Oracle Identity Managerデザイン・コンソール・ガイド』の「Process Definition」フォームに関する項を参照してください。 ステータスのリコンシリエーションの詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』の「Reconciliation Field Mappings」タブに関する項を参照してください。 |
リコンシリエーション・フィールド・マッピングを表示するには、Oracle Identity Manager Design Consoleの左側のペインで「Process Manager」の下にある「Process Definition」をクリックし、「Reconciliation Field Mappings」タブをクリックします。図2-3に、Microsoft Active Directoryのリコンシリエーション・フィールド・マッピングのスクリーンショットを示します。
リコンシリエーションの際に、ターゲット・システム・レコードがOracle Identity Managerに送信されると、リコンシリエーション・エンジンはそのレコードとOracle Identity Managerの既存のレコードを照合しようとします。リコンシリエーション・エンジンが一致を検索するために適用するルールが、リコンシリエーション・ルールと呼ばれます。
リコンシリエーション・エンジンがリコンシリエーション・ルールを使用して、ターゲット・システムで新たに検出されたアカウントにOracle Identity Managerが割り当てる必要があるアイデンティティを判別します。リコンシリエーション・エンジンは、新たに検出されたアカウントのユーザーを、ターゲット・システムに関して設定されたよく知られているパターンに基づいて探すことができます。次に例を示します。
ターゲット・システムではすべてのログインIDがユーザーの頭文字と姓から作成されているとします。この場合、ターゲット・システムから受信するログインIDを受け入れるルールを設定して、名がログインIDの最初の文字で始まり、姓がログインIDの残りの部分と同じユーザーを検索することができます。
関連項目: リコンシリエーション・ルールの詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』の「Reconciliation Manager」フォームに関する項を参照してください。 |
ルールおよびアクション・ルールが適用される方法と順序は、「ターゲット・リソースのリコンシリエーション」および「信頼できるソースのリコンシリエーション」を参照してください。
リコンシリエーション・ルールを表示するには、Oracle Identity Manager Design Consoleの左側のペインで「Development Tools」の下にある「Reconciliation Rules」をクリックします。ルールが「Rule Elements」タブに表示されます。図2-4に、Microsoft Active Directoryコネクタに関するターゲット・リソースのリコンシリエーション・ルールのスクリーンショットを示します。
リコンシリエーション・ルールがエンティティ照合に使用されるように、リコンシリエーション照合用キー・フィールドはプロセス照合に使用されます。リコンシリエーション・フィールド・マッピングには、リコンシリエーション照合用キー・フィールドが含まれます。このキー・フィールドは特別な方法でマーキングされており、リコンシリエーション・フィールド・マッピングのリストでハイライト表示することができます。ターゲット・リソースのリコンシリエーション実行時には、プロセス照合が最初に実行されます。一致するプロセスがない場合は、エンティティ照合が実行されます。
リコンシリエーション・アクション・ルールでは、リコンシリエーション・ルールに基づいて実行する必要があるアクションが定義されます。これらのアクション・ルールはコネクタをデプロイする際に作成されます。リコンシリエーション・アクション・ルールを使用して、リコンシリエーション・エンジンがリコンシリエーション・ルールの評価に基づいて自動的に実行する必要がある次のアクションを定義できます。
管理者へのイベントの割当て
Oracle Identity Managerでの新しいプロビジョニング済リソースの作成、対応する所有者のアイデンティティへの関連付け
Oracle Identity Managerでの一致するプロビジョニング済リソースの更新
Oracle Identity Managerでの一致するプロビジョニング済リソースの削除
Oracle Identity Managerでの新しいユーザーの作成
Oracle Identity Managerでの既存ユーザーの更新
Oracle Identity Managerでの既存ユーザーの削除
関連項目: リコンシリエーション・アクション・ルールの詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』の「Resource Objects」フォームに関する項を参照してください。 |
リコンシリエーション・アクション・ルールを表示するには、Oracle Identity Manager Design Consoleの左側のペインで「Resource Management」の下にある「Resource Objects」をクリックし、「Reconciliation Action Rules」タブをクリックします。図2-5に、Microsoft Active Directoryコネクタに関するターゲット・リソースのリコンシリエーション・アクション・ルールのスクリーンショットを示します。
ターゲット・リソースのリコンシリエーションでは、プロビジョニングされたリソースの既存インスタンスにイベントがリンクされている場合、そのリソース・インスタンスのプロセス・フォームが更新されます。
注意: 信頼できるソースのリコンシリエーションでは、かわりにユーザー・レコードが更新されます。 |
リコンシリエーション実行の前にアカウントがOracle Identity Managerに存在していない場合は、デフォルトのプロビジョニング・プロセスが開始し、アダプタが抑制され、すべての無条件タスクが自動的に完了します。
どちらの場合も、プロビジョニングされるリソース(またはユーザー)のためにマーカー・タスクがプロビジョニング・プロセスに追加されます。マーカー・タスクは、「受信したリコンシリエーションの挿入」または「受信したリコンシリエーションの更新」のいずれかです。これらのタスクにはプロビジョニングを開始するためのアダプタが付いていることがあります。アダプタがタスクに付いていない場合は、「イベントが処理されました」というレスポンス・コードがそのタスクに割り当てられます。このレスポンス・コードに基づいて、リコンシリエーション・イベントのためにプロビジョニング・フローを開始する追加のプロビジョニング・プロセス・タスクが生成されることがあります。このメカニズムを利用して、複数のターゲットに対する同期プロセスを開始することができます。
ITリソースは、ターゲット・システムに関する接続やその他の汎用情報を格納するパラメータで構成されます。Oracle Identity Managerはこの情報を使用して、ターゲット・システムの特定のインストールまたはインスタンスに接続します。これらのITリソース・パラメータに格納される情報には次のものが含まれます。
ターゲット・システムのホストであるコンピュータのホスト名またはIPアドレス
Oracle Identity Managerがターゲット・システムに接続するために使用するターゲット・システム・アカウントのユーザー名とパスワード
ターゲット・システムとOracle Identity Managerの間でSSL通信が有効かどうか
ターゲット・システムのインストールまたはインスタンスごとに1つのITリソースが必要です。たとえば、ある組織の東京事務所のMicrosoft Active Directoryインストールには独自のITリソースがあります。これは、この組織のロンドン事務所のMicrosoft Active Directoryインストールで使用されるITリソースとは異なります。
コネクタをデプロイするときに、ITリソースのパラメータ値として接続情報を指定します。
ITリソースのパラメータを表示するには、Oracle Identity Manager Design Consoleの左側のペインで「Resource Management」の下にある「IT Resources」をクリックし、ITリソースの名前を入力するかITリソースを検索します。パラメータが「Parameters」タブに表示されます。図2-6に、1つのMicrosoft Active Directory ITリソースのパラメータのスクリーンショットを示します。
ターゲット・システムの接続情報を構成するパラメータの数とタイプは、ターゲット・システムによって異なります。ITリソース・タイプには、特定のターゲット・システムの接続パラメータの定義が格納されます。ITリソースは、ITリソース・タイプのインスタンスです。つまり、特定のターゲット・システムの複数のインストールまたはインスタンスのITリソースは、同じITリソース・タイプに属します。たとえば、ある組織のロンドン事務所と東京事務所のITリソースは、同じITリソース・タイプから作成されます。
ITリソース・タイプはプロセス・フォームとリンクしています。ITリソース・タイプのパラメータを表示するには、Oracle Identity Manager Design Consoleの左側のペインで「Resource Management」の下にある「IT Resources Type Definition」をクリックします。パラメータが「IT Resource Type Parameters」タブの下に表示されます。図2-7に、Microsoft Active DirectoryのITリソース・タイプのスクリーンショットを示します。
参照定義は、プロビジョニング操作の実行時に選択するための値リストのリポジトリです。コネクタをデプロイすると、ターゲット・システムの参照フィールドに対応する参照定義がOracle Identity Managerに作成されます。プロビジョニング操作時には、これらの値が定義からフェッチされて、参照フィールドに表示されます。参照フィールドの例には、「国」、「通貨コード」および「言語コード」があります。
参照定義を表示するには、Oracle Identity Manager Design Consoleの左側のペインで「Process Management」の下にある「Process Definition」をクリックします。参照定義が「Lookup Code Information」タブに表示されます。図2-8に、Microsoft Active Directoryの参照定義のスクリーンショットを示します。
スケジュール済タスクは、指定した時刻に特定のアクションを開始するために使用されます。たとえば、Oracle Identity Managerのパスワード警告タスク・スケジュール済タスクは、タスクの実行時にパスワード警告日付が過ぎているユーザーに電子メールを送信します。
参照フィールド同期のスケジュール済タスクは、プロビジョニング操作時に参照フィールドの値を同期するために使用されます。
リコンシリエーションのスケジュール済タスクは、Oracle Identity Managerでのリコンシリエーションのためにターゲット・システムからデータをフェッチするために使用されます。
ほとんどの事前定義済コネクタには、参照フィールドの同期とユーザー・データのリコンシリエーションのためのスケジュール済タスクが含まれます。一部のターゲット・システムでは、ユーザー・データだけでなくグループ・データのリコンシリエーションのためのタスクも必要です。
スケジュール済タスクを構成するときは、タスクを実行する必要がある時刻を構成し、タスクの属性の値を指定します。
参照フィールド同期のスケジュール済タスク属性の値として指定する情報の一部を次に示します。
ITリソースの名前
ターゲット・システムで検索するデータのタイプ
リコンサイルする参照データが格納されるファイルのパス
Oracle Identity Manager参照定義の既存の値を削除するかどうか、またはそれらの値をターゲット・システムの参照フィールドに対する変更で更新するかどうか
リコンシリエーションのスケジュール済タスク属性の値として指定する情報の一部を次に示します。
ITリソースの名前
リソース・オブジェクトの名前
リコンシリエーションを実行するかどうか
完全リコンシリエーションと増分リコンシリエーションのどちらを実行するか
スケジュール済タスクの属性を表示するには、Oracle Identity Manager Design Consoleの左側のペインで「Administration」の下にある「Task Scheduler」をクリックします。スケジュール済タスクの属性が「Task Attributes」タブに表示されます。図2-9に、Microsoft Active Directoryにおける「AD User Target Recon」スケジュール済タスクの属性のスクリーンショットを示します。
リソース・オブジェクトは、ターゲット・システムの仮想表現です。リソース・オブジェクトには、リコンシリエーション時に値がフェッチされるターゲット・システム属性(リコンシリエーション・フィールド)の詳細が含まれます。この他に、ターゲット・システムに固有の構成情報もリソース・オブジェクトに格納されます。1つのコネクタはリソース・オブジェクトを1つのみ持つことができます。
リソース・オブジェクトの詳細を表示するには、Oracle Identity Manager Design Consoleの左側のペインで「Resource Management」の下にある「Resource Objects」をクリックします。様々なタブに格納されているリソース・オブジェクトの様々なパラメータが、「Resource Object」タブに表示されます。図2-10に、Microsoft Active Directoryのリソース・オブジェクトのスクリーンショットを示します。
プロセス・フォームにはターゲット・システムのアイデンティティ属性の詳細が含まれます。プロビジョニング操作時にはOracle Identity Managerがアイデンティティ属性に対してデータを書き込み、リコンシリエーション時にはOracle Identity Managerがアイデンティティ属性からデータを読み取ります。ITリソースの名前はプロセス・フォームでは属性として格納されます。複数値のターゲット・システム・フィールドがある場合は、複数値フィールドごとに1つの子フォームが含まれ、すべての子フォームが親プロセス・フォームにリンクされます。
プロセス・フォームで使用される様々な属性を表示するには、Oracle Identity Manager Design Consoleの左側のペインで「Development Tools」の下にある「Form Designer」をクリックします。様々な属性の詳細が右側のペインに表示されます。図2-11に、Microsoft Active Directoryのプロセス・フォーム構成のスクリーンショットを示します。
プロセス・フォームとプロビジョニング・プロセスには1対1のリレーションシップがあります。
各コネクタには、特定のデフォルト・プロセス・フォームが同梱されています。追加またはカスタムのプロセス・フォームを手動で作成できます。
プロセス・フォームに定義された属性は、Oracle Identity Manager管理およびユーザー・コンソールのページに表示されます。このページは、Oracle Identity Managerのエンティティにターゲット・システム・リソースをプロビジョニングするために使用されます。このページにアクセスするには、Oracle Identity Manager管理およびユーザー・コンソールの左側のペインで「ユーザー」の下にある「管理」をクリックし、右側のペインでページをナビゲートして該当ページを表示します。
図2-12に、OIMユーザーにMicrosoft Active DirectoryリソースをプロビジョニングするためのOracle Identity Manager管理およびユーザー・コンソールのページのスクリーンショットを示します。
プロビジョニング・プロセスは、プロビジョニング操作のワークフローを表します。プロビジョニング・プロセスは、リソース・オブジェクトとプロセス・フォームの間にリンクを形成します。このプロセスはプロセス・タスクによって構成されます。プロセス・タスクは、プロビジョニング操作時に特定の機能を実行します。たとえば、次のプロビジョニング操作ごとに1つのプロセス・タスクがあります。
Create User
Modify User Attribute
Delete User
必要であれば、1つのプロビジョニング操作に対して一連のプロセス・タスクを使用することもできます。たとえば、「Create User」プロビジョニング操作は、「Create Login for User」プロセス・タスクと「Assign Privileges to User」プロセス・タスクの組合せによって実行できます。
アダプタは、ターゲット・システムで特定のプロビジョニング操作を実行するためにコードをコールします。アダプタ自体はプロセス・タスクによってコールされます。アダプタとプロセス・タスクには1対1のリレーションシップがあります。アダプタによってコールされるコードは、他のシステムで開始されたプロビジョニング操作を実行するためにターゲット・システムが提供する機能と互換性を持つようにカスタム構築されます。たとえば、SAPコネクタのアダプタは、SAPのアプリケーション・プログラミング・インタフェース(API)とやりとりします。
プロセス・タスクとアダプタのマッピングを表示するには、Oracle Identity Manager Design Consoleの左側のペインで「Process Management」の下にある「Process Definition」をクリックします。プロセス・タスクの詳細が「Tasks」タブに表示されます。図2-13に、Microsoft Active Directoryコネクタのプロビジョニング・プロセスのスクリーンショットを示します。プロセス・タスクとアダプタのマッピングが「Tasks」タブに表示されています。
プロビジョニング・プロセスには、リソース・オブジェクトに定義されたリコンシリエーション・フィールドとプロセス・フォームに定義された属性のマッピングも含まれます。これらのマッピングは図2-3に示しています。