Oracle Identity Manager Microsoft Active Directory User Management Connectorガイド リリース9.1.1 B54369-03 |
|
戻る |
次へ |
Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerコネクタは、Oracle Identity Managerと外部アイデンティティ認識アプリケーションの統合に使用されます。このマニュアルでは、Oracle Identity Managerのアイデンティティ・データの管理対象(ターゲット)リソースあるいは認可(信頼できる)ソースとして、Microsoft Active DirectoryまたはMicrosoft Active Directory Application Mode(ADAM)を使用できるようにするコネクタについて説明します。
注意: このマニュアルの一部では、Microsoft Active DirectoryおよびMicrosoft ADAMをターゲット・システムと呼んでいます。 |
コネクタのアカウント管理(ターゲット・リソース)モードにおいて、ターゲット・システムで直接作成または変更されたユーザーに関する情報は、Oracle Identity Managerにリコンサイルできます。また、Oracle Identity Managerを使用して、ターゲット・システムでプロビジョニング操作を実行できます。
コネクタのアイデンティティ・リコンシリエーション(信頼できるソース)構成において、ユーザーはターゲット・システムでのみ作成または変更され、これらのユーザーに関する情報がOracle Identity Managerにリコンサイルされます。
この章では、次の項目について説明します。
ターゲット・システムは、Microsoft Active DirectoryまたはMicrosoft ADAMのいずれかです。表1-1に、両方のターゲット・システムの動作保証されているデプロイ構成を示します。
表1-1 動作保証されているデプロイ構成
項目 | Microsoft Active Directoryの要件 | Microsoft ADAMの要件 |
---|---|---|
Oracle Identity Managerリリース9.1.0.2以上 |
Oracle Identity Managerリリース9.1.0.2以上 |
|
ターゲット・システムは次のいずれか。
|
Microsoft Windows 2003 SP1以上にインストールされたMicrosoft Windows Server 2003 Active Directory Application Mode SP1 注意: SP1がインストールされていないMicrosoft Windows 2003サーバーでは、パスワード変更操作の際にWILL_NOT_PERFORMエラー・メッセージが発生することがあります。このエラーの原因や解決方法は、次に示すMicrosoft Knowledge Base Webサイトを参照してください。 |
|
その他のソフトウェア |
証明書サービス |
証明書サービス |
コネクタでは、次の言語がサポートされています。
アラビア語
中国語(簡体字)
中国語(繁体字)
デンマーク語
英語
フランス語
ドイツ語
イタリア語
日本語
韓国語
ポルトガル語(ブラジル)
スペイン語
関連項目: サポートされる特殊文字の詳細は、『Oracle Identity Managerグローバリゼーション・ガイド』を参照してください。 |
ここでは次の項目について説明します。
コネクタのアーキテクチャ: コネクタのアーキテクチャについて説明します。
信頼できるソースのリコンシリエーション: 信頼できるソース・モードの特徴について説明します。
ここでは次の項目について説明します。
図1-1に、Microsoft Active Directoryのコネクタのアーキテクチャを示します。
コネクタは、次のモードのいずれかで実行されるように構成できます。
アイデンティティ・リコンシリエーションは、認可ソースまたは信頼できるソースのリコンシリエーションとも呼ばれます。この形式のリコンシリエーションでは、ターゲット・システムでのユーザーの作成または更新に対応してOIMユーザーが作成または更新されます。また、このモードでは、ターゲット・システムで作成された組織(OU)のリコンシリエーションもサポートしています。
アカウント管理は、ターゲット・リソース管理とも呼ばれます。コネクタのこのモードでは、次の操作が可能です。
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザーを作成または更新します。Microsoft Active DirectoryリソースをOIMユーザーに割り当てる(プロビジョニングする)と、そのユーザーのアカウントがMicrosoft Active Directoryで作成されます。Oracle Identity Manager関連では、プロビジョニングという用語は、Oracle Identity Managerを使用したターゲット・システム・アカウントに対する更新を意味する場合にも使用されます。
ユーザーおよび組織は、ターゲット・システムで階層形式に編成されます。ターゲット・システムで必要な組織単位(OU)にユーザーをプロビジョニングする(ユーザーを作成する)には、ターゲット・システムで使用されるOUのリストをOracle Identity Managerにフェッチする必要があります。これには、参照同期のスケジュール済タスクを使用します。
コネクタを使用すると、ユーザーのターゲット・システム・グループ・メンバーシップ・プロファイルの設定または変更を行うグループ割当てのプロビジョニング操作が可能になります。また、Windowsの「ターミナル サービスのプロファイル」の属性をプロビジョニング(更新)できます。これらの属性へのアクセスでは、Microsoft Windowsプラットフォームに固有のコンポーネントを使用します。「ターミナル サービスのプロファイル」のフィールドの更新には、Remote Managerが使用されます。
コネクタは、フィルタを適用してターゲット・システムからリコンサイルされるユーザーを検索し、それらのユーザーの属性値をフェッチします。Remote Managerは、プロビジョニングの際に使用すると「ターミナル サービスのプロファイル」のフィールド値を伝播できるようになりますが、リコンシリエーションの際にも使用するとそれらのフィールドから値をフェッチできるようになります。
パスワード同期
このコネクタは、Microsoft Active DirectoryからOracle Identity Managerにパスワード変更を伝播できません。この機能を実装するには、Microsoft Active Directory Password Synchronization Connectorをインストールする必要があります。詳細は、『Oracle Identity Manager Microsoft Active Directory Password Synchronization Connectorガイド』を参照してください。そのマニュアルには、パスワード同期コネクタとこのコネクタの両方をデプロイするシナリオが記載されています。
コネクタの他の主な機能
コネクタの他の主な機能は、次のとおりです。
コネクタでは、複数のドメインにわたるリコンシリエーションおよびプロビジョニング操作がサポートされます。たとえば、あるドメインのユーザーを別のドメインのグループに割り当てることができます。また、ユーザーとそのユーザーのマネージャが異なるドメインに属している場合でも、ユーザー・レコードをリコンサイルできます。詳細は、「複数のドメインにわたるリコンシリエーションおよびプロビジョニング操作の有効化」を参照してください。
コネクタは、高可用性ターゲット・システム環境と互換性があります。バックアップ・ターゲット・システム・ホストに関する情報は、Oracle Identity Managerの参照定義に格納できます。コネクタは、プライマリ・ホストに接続できない場合、参照定義にリストされたホストのいずれかに接続しようとします。
ユーザー定義オブジェクト・クラスとその属性に対してリコンサイルおよびプロビジョニングするように、コネクタを構成できます。ターゲット・システムでは、デフォルトでuserオブジェクト・クラスが使用されます。ターゲット・システムで定義した他のオブジェクト・クラスを受け入れるように、コネクタを構成できます。
図1-2に、Microsoft ADAMのコネクタのアーキテクチャを示します。
コネクタによってMicrosoft ADAMおよびMicrosoft Active Directoryに提供されるサポートには、属性レベルおよび操作上において若干の相違があります。また、Oracle Identity Managerとターゲット・システムとの間に定義されたフィールド・マッピングが異なります。信頼できるソースのリコンシリエーションまたはアカウント管理のためにMicrosoft ADAMを統合するように、コネクタを構成できます。Microsoft ADAMの場合、Microsoft Active Directoryの場合に使用される属性マッピング・ルールとは異なる一連の属性マッピング・ルールがプロビジョニングおよびリコンシリエーションに使用されます。
必要に応じて、このマニュアルにはMicrosoft ADAMに固有の情報および説明が記載されています。
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を指定します。たとえば、「国」参照フィールドを使用し、参照フィールドの国のリストから1つの国を選択します。コネクタをデプロイすると、ターゲット・システムの参照フィールドに対応する参照定義がOracle Identity Managerに作成されます。参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
次に、参照フィールドの同期後にデータ保存に使用されるフォーマットを示します。
Code Key: <IT_RESOURCE_KEY>~<VALUE_FROM_TARGET_SYSTEM>
Decode: <IT_RESOURCE_NAME>~< VALUE_FROM_TARGET_SYSTEM>
たとえば、Lookup.ADReconciliation.GroupLookup参照定義の中では、値は次のフォーマットで保存されます。
Code Key: <IT_RESOURCE_KEY>~<DISTINGUISHED_NAME>
Decode: <IT_RESOURCE_NAME>~<DISTINGUISHED_NAME>
プロビジョニング操作中は、操作の対象として選択したターゲット・システムに対応する値が、参照フィールドに移入されます。
表1-2の「参照定義」列にはOracle Identity Managerの参照定義を、「ターゲット・システム・フィールド」列にはそれに対応するターゲット・システムの参照フィールドを示します。
表1-2 ターゲット・システムと同期される参照定義
参照定義 | ターゲット・システム・フィールド | 同期のスケジュール済タスク |
---|---|---|
グループのdistinguishedNameフィールド |
「AD Group Lookup Recon」スケジュール済タスクを使用してこの参照定義を同期します。このスケジュール済タスクの詳細は、「参照フィールド同期のスケジュール済タスク」を参照してください。 |
|
組織のdistinguishedNameフィールド |
「AD Organization Lookup Recon」スケジュール済タスクを使用してこの参照定義を同期します。このスケジュール済タスクの詳細は、「参照フィールド同期のスケジュール済タスク」を参照してください。 |
表1-3に、コネクタのデプロイ時にOracle Identity Managerに作成されるその他の参照定義の説明を示します。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を入力する必要があります。
表1-3 その他の参照定義
参照定義 | 値の説明 | 参照定義に値を指定する方法 |
---|---|---|
リコンシリエーションおよびプロビジョニング時に使用されるパラメータの値 |
この参照定義は、リコンシリエーション時とプロビジョニング時の両方で使用されるパラメータを指定するために使用します。この参照定義の詳細は、「Lookup.AD.Configuration参照定義の構成」を参照してください。 |
|
国コードおよび名前 |
ターゲット・システムの「国」参照フィールドの値に基づいて、この参照定義にエントリを手動で追加または更新します。この参照定義の詳細は、「Lookup.AD.Country参照定義の構成」を参照してください。 |
|
Microsoft Active Directoryの「ターミナル サービスのプロファイル」のフィールドの名前 注意: この参照定義は、Microsoft ADAMには使用されません。 |
この参照定義には、値が事前移入されます。 この参照定義の名前は、ADITResource ITリソースのRemote Manager Prov Lookupパラメータのデフォルト値です。詳細は、「ターゲット・システムのITリソースの構成」を参照してください。 |
|
高可用性のためにターゲット・システムを構成した場合は、「ターゲット・システムの高可用性の構成」に記載されている手順を実行し、この参照定義に値を指定します。 |
||
Microsoft Active DirectoryとOracle Identity Manager間のユーザー・フィールド・マッピング |
この参照定義には、値が事前移入されます。また、ユーザー・プロビジョニング操作の際に使用されます。 この参照定義には、「プロビジョニング用の新規フィールドの追加」に記載されている手順を実行して値を追加できます。 |
|
Microsoft ADAMとOracle Identity Manager間のユーザー・フィールド・マッピング |
この参照定義には、値が事前移入されます。また、ユーザー・プロビジョニング操作の際に使用されます。 この参照定義には、「プロビジョニング用の新規フィールドの追加」に記載されている手順を実行して値を追加できます。 |
|
Microsoft Active DirectoryとOracle Identity Manager間のユーザー・フィールド・マッピング |
この参照定義には、値が事前移入されます。また、ユーザー・リコンシリエーション操作の際に使用されます。 この参照定義には、「ターゲット・リソースのリコンシリエーション用の新規フィールドの追加」および「信頼できるソースのリコンシリエーション用の新規フィールドの追加」に記載されている手順を実行して値を追加できます。 |
|
Microsoft ADAMとOracle Identity Manager間のユーザー・フィールド・マッピング |
この参照定義には、値が事前移入されます。また、ユーザー・リコンシリエーション操作の際に使用されます。 この参照定義には、「ターゲット・リソースのリコンシリエーション用の新規フィールドの追加」および「信頼できるソースのリコンシリエーション用の新規フィールドの追加」に記載されている手順を実行して値を追加できます。 |
|
Microsoft Active DirectoryとOracle Identity Manager間のグループ・フィールド・マッピング |
この参照定義には、値が事前移入されます。また、グループ・プロビジョニング操作の際に使用されます。 この参照定義には、「プロビジョニング用の新規フィールドの追加」に記載されている手順を実行して値を追加できます。 |
|
Microsoft ADAMとOracle Identity Manager間のグループ・フィールド・マッピング |
この参照定義には、値が事前移入されます。また、グループ・プロビジョニング操作の際に使用されます。 この参照定義には、「プロビジョニング用の新規フィールドの追加」に記載されている手順を実行して値を追加できます。 |
|
コネクタを構成するJavaクラスの中で定義されている定数と変数の名前。 |
この参照定義の中では、事前定義された値を変更しないでください。 |
|
Microsoft Active DirectoryとOracle Identity Manager間のグループ・フィールド・マッピング |
この参照定義には、値が事前移入されます。また、グループ・リコンシリエーション操作の際に使用されます。 この参照定義には、「ターゲット・リソースのリコンシリエーション用の新規フィールドの追加」に記載されている手順を実行して値を追加できます。 |
|
Microsoft ADAMとOracle Identity Manager間のグループ・フィールド・マッピング |
この参照定義には、値が事前移入されます。また、グループ・リコンシリエーション操作の際に使用されます。 この参照定義には、「ターゲット・リソースのリコンシリエーション用の新規フィールドの追加」に記載されている手順を実行して値を追加できます。 |
|
Microsoft Active Directoryの「ターミナル サービスのプロファイル」のフィールドを表現するために使用される定数の名前。 注意: この参照定義は、Microsoft ADAMには使用されません。 |
Microsoft Active Directoryの「ターミナル サービスのプロファイル」のフィールドを表現するために使用される定数の名前を保持する参照定義。 この参照定義の中では、事前定義された値を変更しないでください。 |
ターゲット・リソースのリコンシリエーションでは、ターゲット・システムで新規作成または変更されたアカウントに関するデータをフェッチし、そのデータを使用してOIMユーザーに割り当てられたリソースを追加または変更します。
「AD User Target Recon」スケジュール済タスクは、ターゲット・リソースのリコンシリエーションの実行開始に使用されます。このスケジュール済タスクの詳細は、「ターゲット・リソースのリコンシリエーションのスケジュール済タスク」を参照してください。
関連項目: ターゲット・リソースのリコンシリエーションの概念は、『Oracle Identity Manager Connector概要』の「リコンシリエーション」を参照してください。 |
ここでは次の項目について説明します。
表1-4に、ターゲット・リソースのリコンシリエーションの実行時に値がフェッチされるユーザー・アイデンティティ・フィールドを示します。Remote Managerは、「ターミナル サービスのプロファイル」のフィールドのリコンシリエーションの実行に使用されます。
表1-4 ターゲット・リソース・リコンシリエーション用のユーザー・フィールド
プロセス・フォームのフィールド | ターゲット・システム・フィールド | 説明 |
---|---|---|
ユーザーは次のログオン時にパスワードを変更する必要があります チェック・ボックスです。 |
|
ユーザーが次回ログオン時にパスワードを変更する必要があるかどうかを示すフラグ。 値が |
パスワードの有効期限なし チェック・ボックスです。 |
|
「パスワードの有効期限なし」プロパティを制御するフラグ |
アカウントの有効期限 日付フィールドです。 |
accountExpires Microsoft ADAM 2003では、この値はタイムスタンプ・フォーマットで保存されます。たとえば、 Microsoft ADAM 2008では、この値は日付フォーマットで保存されます。たとえば、 必須フィールドです。Microsoft ADAM 2003では、アカウントを作成するときに0を入力できます。 |
アカウントの有効期限の日付 |
名 |
givenName 必須フィールドです。 |
名 |
姓 必須フィールドです。 |
sn 必須フィールドです。 |
姓 |
ミドル・ネーム |
initials |
ユーザーのミドル・ネームのイニシャル |
完全名 必須フィールドです。 |
displayName 必須フィールドです。 |
氏名 |
電話番号 |
telephoneNumber |
電話番号 |
電子メール |
|
電子メール・アドレス |
私書箱 |
postOfficeBox |
私書箱 |
都道府県 |
st |
都道府県 |
郵便番号 |
postalCode |
郵便番号 |
自宅電話番号 |
homePhone |
自宅の電話番号 |
ページャ |
pager |
ページャ番号 |
モバイル |
mobile |
モバイル番号 |
FAX |
facsimileTelephoneNumber |
FAX番号 |
IP電話 |
ipPhone |
IP電話番号 |
部門 |
department |
部門 |
役職 |
title |
役職 |
会社 |
company |
会社 |
国 参照フィールドです。 |
c |
国 |
番地 |
StreetAddress |
番地 |
マネージャ名 |
manager |
マネージャ名 |
勤務先 |
physicalDeliveryOfficeName |
勤務先の場所 |
市区町村 |
l |
市区町村 |
ユーザーID 必須フィールドです。 |
sAMAccountName Microsoft Active Directoryでは、必須フィールドです。Microsoft ADAMには存在しません。 |
ユーザーのログオン名 |
ターミナル・ホーム・ディレクトリ 文字列データ型フィールドです。 |
userParametersフィールドに格納されるデータの一部 注意: Microsoft ADAMには存在しません。 |
ターミナル・サーバー・ユーザーのホーム・ディレクトリのフルパス 注意: Remote Managerにより、このフィールドの値のリコンシリエーションは可能になります。 |
ターミナル・プロファイル・パス 文字列データ型フィールドです。 |
userParametersフィールドに格納されるデータの一部 注意: Microsoft ADAMには存在しません。 |
ユーザーがターミナル・サーバーにログオンする際に使用されるプロファイル プロファイルは、ローミングまたは必須にすることが可能です。ローミング・プロファイルは、ユーザーがログインに使用したコンピュータに関係なく同じままです。ローミング・プロファイルは変更できますが、必須プロファイルは変更できません。必須プロファイルを使用してログインしているときにユーザーが行った変更は、そのターミナル・サービス・セッション中しか保持されません。ユーザーが別のターミナル・サービス・セッションを開始すると、変更は失われます。 注意: Remote Managerにより、このフィールドの値のリコンシリエーションは可能になります。 |
ターミナル・サービスへのログインを許可 チェック・ボックスです。 |
userParametersフィールドに格納されるデータの一部 注意: Microsoft ADAMには存在しません。 |
ターミナル・サーバーへのログオンをユーザーに許可するかどうかを指定します。 注意: Remote Managerにより、このフィールドの値のリコンシリエーションは可能になります。 ターゲット・システムがMicrosoft Windows 2003の場合、「ターミナル サーバーへのログオンを許可する」チェック・ボックスが使用されます。リコンシリエーションの実行時に、ターゲット・システムのチェック・ボックスが選択されていると、対応するプロセス・フォームのチェック・ボックスが選択されます。 ターゲット・システムがMicrosoft Windows 2003 SP2の場合、「すべてのターミナル サーバーにおいて、このユーザーがログオンするためのアクセス許可を拒否する」チェック・ボックスが使用されます。リコンシリエーションの実行時に、ターゲット・システムのチェック・ボックスが選択されていると、対応するプロセス・フォームのチェック・ボックスの選択が解除されます。 |
アカウントをロックアウト チェック・ボックスです。 |
lockoutTime |
ユーザー・アカウントをロックするか、ロックを解除するかを指定します。 |
グループ名 この複数値フィールドは、プロセス・フォームの参照フィールドです。 |
memberOf |
ユーザーが属するグループの識別名 |
ユーザー・プリンシパル名 必須フィールドです。 |
userPrincipalName ターゲット・システムでは、必須フィールドです。 |
ユーザー・プリンシパル名は、ドメイン固有のユーザー名です。 フォーマットは次のとおりです。
|
共通名 必須フィールドです。 |
cn 必須フィールドです。 |
ターゲット・システム上での共通名。 このフィールドの値は変更可能です。 |
組織名 |
組織名は、distinguishedNameの値から抽出されます。 |
ターゲット・システム上での組織名。 |
表1-8に、リコンシリエーション時にターゲット・システムから値がフェッチされるグループ・フィールドを示します。「AD Group Recon」スケジュール済タスクは、グループ・データをリコンサイルする目的で使用されます。
注意: Microsoft ADAM上でグループを作成する場合は、cnフィールドとdisplayNameフィールドに値を指定する必要があります。Microsoft ADAMでは、必須フィールドです。 |
表1-5 リコンシリエーション用のグループ・フィールド
Oracle Identity Managerのグループ・フィールド | Microsoft Active Directoryのフィールド | Microsoft ADAMのフィールド | 説明 |
---|---|---|---|
組織名 |
グループのdistinguishedNameから抽出されたou |
グループのdistinguishedNameから抽出されたou |
組織名 |
グループのobjectGUID |
objectGUID |
objectGUID |
グループのobjectGUID |
グループ・タイプ |
groupType |
groupType |
グループ・タイプ |
グループ名 必須フィールドです。 |
sAMAccountName 必須フィールドです。 |
displayName 必須フィールドです。 |
グループ名 |
グループ表示名 |
cn |
cn |
グループの共通名。 |
これらのフィールド・マッピングは、次の参照定義の中に保存されます。
Microsoft Active Directoryの場合: Lookup.ADGroupReconciliation.FieldMap
Microsoft ADAMの場合: Lookup.ADAMGroupReconciliation.FieldMap
関連項目: リコンシリエーション一致ルールおよびアクション・ルールに関する一般的な情報は、『Oracle Identity Manager Connector概要』を参照してください。 |
次に、プロセス一致ルールを示します。
ルール名: Target Resource Recon Rule
ルール要素: (ObjectGUID Equals objectGUID) OR (User Login Equals User ID)
最初のルール・コンポーネント内には、次のものがあります。
「Equals」の左にあるObjectGUIDは、OIMユーザーに割り当てるリソースのobjectGUIDです。
「Equals」の右にあるObjectGUIDは、ターゲット・システム上にあるリソースのobjectGUIDです。
2番目のルール・コンポーネント内には、次のものがあります。
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
User IDは、Microsoft Active DirectoryのsAMAccountNameフィールドまたはMicrosoft ADAMのuserPrincipalNameフィールドです。
このルールでは、次のシナリオがサポートされます。
Oracle Identity Manager上で、またはターゲット・システム上で直接、複数のMicrosoft Active Directoryリソースを同じOIMユーザーに割り当てることもできます。
ターゲット・システムでユーザーのユーザーIDを変更できます。
次の使用例で説明します。
使用例1: ADアカウントをOIMユーザーに割り当て(プロビジョニング)、ターゲット・システム上でもそのユーザーに対応するアカウントを作成します。
最初のルール条件が適用された時点では、一致するものは見つかりません。次に、2番目のルール条件を適用した時点で、ターゲット・システム上で2番目のアカウントがユーザーに割り当てられていることが特定されます。リコンシリエーション・エンジンによって、この2番目のアカウントがOIMユーザーに関連付けられます。
使用例2: あるOIMユーザーにはADアカウントがあります。ターゲット・システムでこのユーザーのユーザーIDを変更できます。
次のリコンシリエーションを実行する際に、最初のルール条件を適用すると、リソースをレコードと比較するのに役立ちます。
コネクタのデプロイ後、次の手順を実行して、ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールを表示できます。
注意: 次の手順は、コネクタのデプロイ後にのみ実行してください。 |
Oracle Identity Manager Design Consoleにログインします。
「Development Tools」を展開します。
「Reconciliation Rules」をダブルクリックします。
Target Resource Recon Ruleを検索します。図1-3に、ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールを示します。
表1-6に、ターゲット・リソース・リコンシリエーションのアクション・ルールを示します。
表1-6 ターゲット・リソースのリコンシリエーション用のアクション・ルール
ルール条件 | アクション |
---|---|
一致しない場合 |
最小ロードの管理者への割当て |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
注意: このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。リコンシリエーション・アクション・ルールの変更または作成の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
コネクタのデプロイ後に次の手順を実行すると、ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルールを表示できます。
Oracle Identity Manager Design Consoleにログインします。
「Resource Management」を展開します。
「Resource Objects」をダブルクリックします。
AD Userリソース・オブジェクトを検索し、開きます。
「Object Reconciliation」タブ、「Reconciliation Action Rules」タブの順にクリックします。「Reconciliation Action Rules」タブに、コネクタに定義されているアクション・ルールが表示されます。図1-4に、ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルールを示します。
図1-4 ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルール
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザー・データを作成または変更します。
関連項目: プロビジョニングの概念は、『Oracle Identity Manager Connector概要』の「プロビジョニング」を参照してください。 |
ここでは次の項目について説明します。
表1-7に、サポートされるユーザー・プロビジョニング機能と、これらの機能を実行するアダプタを示します。表に示す機能は、1つまたは複数のプロセス・タスクに対応しています。
関連項目: プロセス・タスクおよびアダプタの一般的な情報は、『Oracle Identity Manager Connector概要』を参照してください。 |
表1-7 コネクタでサポートされるユーザー・プロビジョニング機能
機能 | アダプタ |
---|---|
ユーザー・アカウントの作成 |
ADCS Create User ユーザーが正常に作成されると、次のアダプタがトリガーされます。
注意: ユーザー作成プロビジョニング操作の際に、ADCS Execute Remote Scriptアダプタを実行しない場合は、「ExecuteRemoteScriptsプロセス・タスクの削除」を参照してください。ADCS Execute Remote Scriptアダプタは、Microsoft ADAMでは使用されません。 |
同じドメイン内の組織間でのユーザー・アカウントの移動 |
ADCS Move User |
ユーザー・アカウントの削除 |
ADCS Delete User |
無効なユーザー・アカウントの有効化 |
ADCS Enable User |
ユーザー・アカウントの無効化 |
ADCS Disable User |
ユーザー・アカウントのロック |
ADCS Lock_Unlock User |
ユーザー・アカウントのロック解除 |
ADCS Lock_Unlock User |
「ユーザーは次のログオン時にパスワードを変更する必要があります」フラグの更新 |
ADCS Must Change PWD |
アカウントの有効期限の更新 |
ADCS Set Account Exp Date |
「パスワードの有効期限なし」フラグの更新 |
ADCS Pwd Never Expires |
ユーザーIDの更新 |
ADCS Change Attribute |
名の更新 |
ADCS Change Attribute |
姓の更新 |
ADCS Change Attribute |
共通名の更新 |
ADCS Rename User Account |
パスワードの更新 注意: パスワードは、Oracle Identity Managerとターゲット・システムとの間にSSL通信が構成されている場合のみ、変更できます。SSLの構成手順は、このマニュアルで後述します。 |
ADCS Set User Password |
グループへのユーザー・アカウントの追加 |
ADCS ADD User To Group |
グループからのユーザー・アカウントの削除 |
ADCS Remove User From Group |
リダイレクション電子メール・アドレスの更新 |
ADCS Update Redirect Mail ID |
ミドルネームの更新 |
ADCS Change Attribute |
市の更新 |
ADCS Change Attribute |
会社の更新 |
ADCS Change Attribute |
国の更新 |
ADCS Change Attribute |
部門の更新 |
ADCS Change Attribute |
電子メール・アドレスの更新 |
ADCS Change Attribute |
FAX番号の更新 |
ADCS Change Attribute |
IP電話番号の更新 |
ADCS Change Attribute |
マネージャ名の更新 |
ADCS Change Attribute |
モバイル番号の更新 |
ADCS Change Attribute |
勤務先の電話番号の更新 |
ADCS Change Attribute |
組織単位の作成 |
ADCS Create OU |
組織単位の名前の変更 |
ADCS Change Org Name |
組織単位の移動 |
ADCS Move OU |
組織単位の削除 |
ADCS Delete OU |
表1-8に、プロビジョニング操作時に値を指定または変更できるターゲット・システムのユーザー・アイデンティティ・フィールドを示します。Remote Managerは、「ターミナル サービスのプロファイル」のフィールドのプロビジョニングの実行に使用されます。
注意: 表の「アダプタ」列に示すアダプタは、ユーザー更新プロビジョニング操作の際に使用されます。ユーザー作成プロビジョニング操作の際には、すべてのターゲット・システム・ユーザー・フィールドへの値の移入に、ADCS Create Userアダプタが使用されます。 |
表1-8 プロビジョニング用のユーザー・フィールド
プロセス・フォームのフィールド | ターゲット・システム・フィールド | 説明 | アダプタ |
---|---|---|---|
パスワード このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。OIMユーザー・フォームでは、必須フィールドです。 プロビジョニング操作では、プロセス・フォームの「パスワード」フィールドに、OIMユーザー・フォームの「パスワード」フィールドに入力された値が事前移入されます。 Oracle Identity Managerとターゲット・システムとの間にSSL通信が構成されている場合、プロセス・フォームの「パスワード」フィールドは必須フィールドです。 |
unicodePwd |
UTF-8フォーマットのユーザーのパスワード |
ADCS Set User Password |
ユーザーは次のログオン時にパスワードを変更する必要があります チェック・ボックスです。 |
|
ユーザーが次回ログオン時にパスワードを変更する必要があるかどうかを示すフラグ。 値が |
ADCS Must Change PWD |
パスワードの有効期限なし チェック・ボックスです。 |
|
「パスワードの有効期限なし」プロパティを制御するフラグ |
ADCS Pwd Never Expires |
アカウントの有効期限 日付フィールドです。 |
accountExpires Microsoft ADAMでユーザーを作成する場合、次のようになります。
|
アカウントの有効期限の日付 |
ADCS Set Account Exp Date |
オブジェクトGUID プロセス・フォームとOIMユーザー・フォームの両方にある非表示フィールドです。 |
objectGUID |
ユーザーのオブジェクトGUID |
ADCS Get ObjectGUID |
組織名 参照フィールドです。 |
組織の識別名 |
組織の名前 |
ADCS Move User |
名 このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。OIMユーザー・フォームでは、必須フィールドです。 プロビジョニング操作では、プロセス・フォームの「名」フィールドに、OIMユーザー・フォームの「名」フィールドに入力された値が事前移入されます。 |
givenName |
名 |
ADCS Change Attribute |
姓 このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。OIMユーザー・フォームでは、必須フィールドです。 プロビジョニング操作では、プロセス・フォームの「姓」フィールドに、OIMユーザー・フォームの「姓」フィールドに入力された値が事前移入されます。 |
sn |
姓 |
ADCS Change Attribute |
ミドル・ネーム このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。 プロビジョニング操作では、プロセス・フォームの「ミドル・ネーム」フィールドに、OIMユーザー・フォームの「ミドル・ネーム」フィールドに入力された値が事前移入されます。 |
initials |
ユーザーのミドル・ネームのイニシャル |
ADCS Change Attribute |
完全名 プロセス・フォームでは、必須フィールドです。 |
cn, displayName |
ユーザーの表示名 ユーザー作成プロビジョニング操作では、cnおよびdisplayNameフィールドに、OIMユーザー・フォームに入力されたユーザーの名、ミドル・ネームのイニシャルおよび姓を組み合せた値が移入されます。 完全名は、次の形式でプロセス・フォームに表示されます。 FIRSTNAME MIDDLE_INITIAL.LASTNAME 例: ミドル・ネームのイニシャルが入力されない場合、名前は 更新プロビジョニング操作では、displayNameフィールドの値のみが更新されます。 |
ADCS Change Attribute |
電話番号 |
telephoneNumber |
電話番号 |
ADCS Change Attribute |
電子メール このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。 |
|
電子メール・アドレス |
ADCS Change Attribute |
私書箱 |
postOfficeBox |
私書箱 |
ADCS Change Attribute |
都道府県 |
st |
都道府県 |
ADCS Change Attribute |
郵便番号 |
postalCode |
郵便番号 |
ADCS Change Attribute |
自宅電話番号 |
homePhone |
自宅の電話番号 |
ADCS Change Attribute |
ページャ |
pager |
ページャ番号 |
ADCS Change Attribute |
モバイル |
mobile |
モバイル番号 |
ADCS Change Attribute |
FAX |
facsimileTelephoneNumber |
FAX番号 |
ADCS Change Attribute |
IP電話 |
ipPhone |
IP電話番号 |
ADCS Change Attribute |
部門 |
department |
部門 |
ADCS Change Attribute |
役職 |
title |
役職 |
ADCS Change Attribute |
会社 |
company |
会社 |
ADCS Change Attribute |
国 参照フィールドです。 |
c |
国 |
ADCS Change Attribute |
番地 |
StreetAddress |
番地 |
ADCS Change Attribute |
マネージャ名 |
manager |
マネージャ名 マネージャ名はDN形式で入力する必要があります。次に例を示します。
|
ADCS Change Attribute |
勤務先 |
physicalDeliveryOfficeName |
勤務先の場所 |
ADCS Change Attribute |
市区町村 |
l |
市区町村 |
ADCS Change Attribute |
リダイレクト・メールID |
ProxyAddresses |
ユーザーに送信された電子メールの転送先となる電子メール・アドレス この電子メール・アドレスは、電子メール・フィールドに設定された電子メール・アドレスに優先します。 |
ADCS Update Redirect Mail ID |
アカウントをロックアウト チェック・ボックスです。 |
lockoutTime |
ユーザー・アカウントをロックするか、ロックを解除するかを指定します。 |
ADCS Lock_Unlock User |
ユーザーID このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。必須フィールドです。 プロビジョニング操作では、プロセス・フォームの「ユーザーID」フィールドに、OIMユーザー・フォームの「ユーザーID」フィールドに入力された値が事前移入されます。 |
sAMAccountName Microsoft Active Directoryでは、必須フィールドです。Microsoft ADAMには存在しません。 |
ユーザーのログオン名 |
ADCS Change Attribute |
グループ名 この複数値フィールドは、プロセス・フォームの参照フィールドです。 |
memberOf |
ユーザーが属するグループの識別名 |
次のアダプタは、memberOfフィールドの変更を行うプロビジョニング操作用です。 ADCS ADD User To Group ADCS Remove User From Group |
共通名 |
cn |
ユーザーの共通名。 |
ADCS Rename User Account |
userParametersフィールドに格納されるデータの一部 注意: Microsoft ADAMには存在しません。このフィールドに入力した値は、Microsoft ADAMでのプロビジョニング操作の際に無視されます。 |
ターミナル・サーバー・ユーザーのホーム・ディレクトリのフルパス サンプル値: プロビジョニング操作では、サンプル値に示すように、ホーム・ディレクトリの完全な絶対パスを入力する必要があります。 注意: Remote Managerを使用すると、このフィールドに対するプロビジョニング操作が可能になります。 |
ADCS ExecuteRemote Script |
|
userParametersフィールドに格納されるデータの一部 注意: Microsoft ADAMには存在しません。このフィールドに入力した値は、Microsoft ADAMでのプロビジョニング操作の際に無視されます。 |
ユーザーがターミナル・サーバーにログオンする際に使用されるプロファイル プロファイルは、ローミングまたは必須にすることが可能です。ローミング・プロファイルは、ユーザーがログインに使用したコンピュータに関係なく同じままです。ローミング・プロファイルは変更できますが、必須プロファイルは変更できません。必須プロファイルを使用してログインしているときにユーザーが行った変更は、そのターミナル・サービス・セッション中しか保持されません。ユーザーが別のターミナル・サービス・セッションを開始すると、変更は失われます。 注意: Remote Managerを使用すると、このフィールドに対するプロビジョニング操作が可能になります。 |
ADCS ExecuteRemote Script |
|
チェック・ボックスです。 |
userParametersフィールドに格納されるデータの一部 注意: Microsoft ADAMには存在しません。このフィールドに入力した値は、Microsoft ADAMでのプロビジョニング操作の際に無視されます。 |
ターミナル・サーバーへのログオンをユーザーに許可するかどうかを指定します。 注意: Remote Managerを使用すると、このフィールドに対するプロビジョニング操作が可能になります。 ターゲット・システムがMicrosoft Windows 2003の場合、「ターミナル サーバーへのログオンを許可する」チェック・ボックスが使用されます。プロビジョニング操作時に、プロセス・フォームのチェック・ボックスが選択されていると、ターゲット・システムのチェック・ボックスが選択されます。 ターゲット・システムがMicrosoft Windows 2003 SP2の場合、「すべてのターミナル サーバーにおいて、このユーザーがログオンするためのアクセス許可を拒否する」チェック・ボックスが使用されます。プロビジョニング操作時に、プロセス・フォームのチェック・ボックスが選択されていると、ターゲット・システムのチェック・ボックスの選択が解除されます。 |
ADCS ExecuteRemote Script |
ユーザー・プリンシパル名 必須フィールドです。 |
userPrincipalName 必須フィールドです。 注意: UserPrincipalNameの値は、次の例に示す形式で入力する必要があります。 ルート・コンテキストが |
ユーザー・プリンシパル名は、ドメイン固有のユーザー名です。このフィールドは、管理およびユーザー・コンソールで事前移入されます。 フォーマットは次のとおりです。 USER_ID_VALUE@UPN_DOMAIN_VALUE 注意: このフィールドを更新するときに、ユーザーIDの部分を変更できますが、ドメイン名は変更しないでください。ドメイン名を変更した場合は、ターゲット・システムでユーザーが比較されなくなります。 |
ADCS Change Attribute |
表1-9に、プロセス・フォーム・フィールドでサポートされている特殊文字を示します。
注意: 次の特殊文字は、プロセス・フォーム・フィールドに使用できません。
|
表1-8に、プロビジョニング操作時に値を指定または変更できるターゲット・システムのグループ・フィールドを示します。
注意: 表の「アダプタ」列に示すアダプタは、グループ更新プロビジョニング操作の際に使用されます。ユーザー作成プロビジョニング操作の際には、すべてのターゲット・システム・ユーザー・フィールドへの値の移入に、ADCS Create Groupアダプタが使用されます。 |
表1-10 プロビジョニング用のグループ・フィールド
Oracle Identity Managerのグループ・フィールド | ターゲット・システム・フィールド | 説明 | アダプタ |
---|---|---|---|
組織名 |
ou |
組織名 |
ADCS Move User |
グループ名 |
Microsoft Active Directoryの場合: sAMAccountName Microsoft ADAMの場合: displayName |
グループ名 |
ADCS Change Group Attribute |
グループのobjectGUID |
objectGUID |
グループのobjectGUID |
ADCS Get Group ObjectGUID Created |
グループ表示名 |
cn |
グループ表示名 |
ADCS Rename Group |
グループ・タイプ |
groupType |
グループ・タイプ |
既存のユーザーには該当しません |
これらのフィールド・マッピングは、次の参照定義の中に保存されます。
Microsoft Active Directoryの場合: AtMap.ADGroup
Microsoft ADAMの場合: AtMap.ADAMGroup
信頼できるソースのリコンシリエーションでは、ターゲット・システムで新規作成または変更されたアカウントに関するデータをフェッチし、そのデータを使用してOIMユーザーを作成または更新します。
「AD User Trusted Recon」スケジュール済タスクは、信頼できるソースのリコンシリエーションの実行開始に使用されます。このスケジュール済タスクの詳細は、「信頼できるソースのリコンシリエーションのスケジュール済タスク」を参照してください。
関連項目: 信頼できるソースのリコンシリエーションの概念は、『Oracle Identity Manager Connector概要』の「リコンシリエーション」を参照してください。 |
ここでは次の項目について説明します。
表1-11に、信頼できるソースのリコンシリエーションの実行時にターゲット・システムから値がフェッチされるユーザー・アイデンティティ・フィールドを示します。
注意: Microsoft ADAM上でユーザーを作成する場合は、userPrincipalName、sn、givenName、displayName、cnおよびaccountExpiresの各フィールドに値を指定する必要があります。Microsoft ADAMでは、必須フィールドです。Microsoft ADAM 2003では、accountExpiresフィールドのデフォルト値として0を入力します。 |
表1-11 信頼できるソースのユーザー・リコンシリエーション用のユーザー・フィールド
OIMユーザー・フォームのフィールド | ターゲット・システム・フィールド | 説明 |
---|---|---|
ユーザーID 必須フィールドです。 |
|
ユーザーのログオン名 |
名 必須フィールドです。 |
givenName 必須フィールドです。 |
名 |
姓 必須フィールドです。 |
sn 必須フィールドです。 |
姓 |
ミドル・ネーム |
initials |
ミドルネーム |
組織 必須フィールドです。 |
組織の名前は、組織の識別名から抽出されます。 |
これは、「AD User Trusted Recon」スケジュール済タスクの構成時にMaintainHierarchy属性の値を MaintainHierarchyを |
電子メール |
|
電子メール・アドレス |
ステータス |
|
このフィールドには、ユーザー・アカウントのステータスが格納されます。 Microsoft ADAMでのこのフィールドに関するガイドラインの詳細は、「リコンシリエーションの構成に関するガイドライン」を参照してください。 |
関連項目: リコンシリエーション一致ルールおよびアクション・ルールに関する一般的な情報は、『Oracle Identity Manager Connector概要』を参照してください。 |
次に、エンティティ一致ルールを示します。
ルール名: Trusted Source Recon Rule
ルール: User Login Equals User ID
このルールの意味は次のとおりです。
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
User IDは、Microsoft Active DirectoryのsAMAccountNameフィールドまたはMicrosoft ADAMのuserPrincipalNameフィールドです。
コネクタのデプロイ後に次の手順を実行すると、信頼できるソースのリコンシリエーションのリコンシリエーション・ルールを表示できます。
Oracle Identity Manager Design Consoleにログインします。
「Development Tools」を展開します。
「Reconciliation Rules」をダブルクリックします。
Trusted Source Recon Ruleを検索します。図1-5に、信頼できるソースのリコンシリエーションのリコンシリエーション・ルールを示します。
注意: Microsoft Active Directoryでは、sAMAccountName 属性は一意の必須フィールドです。 |
表1-12に、信頼できるソースのリコンシリエーションのアクション・ルールを示します。
表1-12 信頼できるソースのリコンシリエーションのアクション・ルール
ルール条件 | アクション |
---|---|
一致しない場合 |
Create User |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
注意: このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。リコンシリエーション・アクション・ルールの変更または作成の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
コネクタのデプロイ後に次の手順を実行すると、ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルールを表示できます。
Oracle Identity Manager Design Consoleにログインします。
「Resource Management」を展開します。
「Resource Objects」をダブルクリックします。
AD Userリソース・オブジェクトを探します。
「Object Reconciliation」タブ、「Reconciliation Action Rules」タブの順にクリックします。「Reconciliation Action Rules」タブに、コネクタに定義されているアクション・ルールが表示されます。図1-6に、信頼できるソースのリコンシリエーションのリコンシリエーション・アクション・ルールを示します。
前述したように、信頼できるソースのリコンシリエーションでは、ターゲット・システム・ユーザーに関するデータをOracle Identity Managerにフェッチします。このデータを使用して、OIMユーザーのレコードを作成および更新します。新規作成されたOIMユーザーがターゲット・システムのユーザーの組織に対応するOIM組織に配置されるように、信頼できるソースのリコンシリエーションを構成できます。この機能を有効にするには、信頼できるソースのリコンシリエーションのスケジュール済タスク(AD User Trusted Recon)のMaintainHierarchy属性をyes
に設定します。
ターゲット・システムの組織に対応するOIM組織を作成し、信頼できるソースのリコンシリエーションの実行時にフェッチされるユーザー・データを受け入れることができるようにするには、信頼できるソースのリコンシリエーションのスケジュール済タスクの前に、組織リコンシリエーションのスケジュール済タスク(AD Organization Recon)を実行する必要があります。「AD Organization Recon」スケジュール済タスクが実行されると、ターゲット・システムの組織に関するデータがフェッチされ、そのデータを使用してOIM組織が作成されます。
OIM組織は、次の理由からターゲット・システムでの組織構造を完全にモデル化することはできません。
Oracle Identity Managerでは組織間の親子階層関係がサポートされていますが、OIM組織のネームスペースはフラットなネームスペースです。そのため、同じ名前を持つ2つのターゲット・システムのOUは、親OUが異なる場合でも、Oracle Identity Managerに作成できません。
Oracle Identity Managerでは、組織名に等号(=)やカンマ(,)などの特殊記号を含めることができません。このため、ターゲット・システムのOUの完全修飾識別名(FQDN)はOracle Identity Managerにリコンサイルできません。
組織リコンシリエーションでは、ターゲット・システムの既存の組織に対する更新のリコンシリエーションを行いません。ターゲット・システムで組織の名前を変更すると、Oracle Identity Managerでは新しい組織としてリコンサイルされます。
表1-13に、組織リコンシリエーション時にターゲット・システムから値がフェッチされる組織フィールドを示します。
表1-13 信頼できるソースの組織リコンシリエーション用の組織フィールド
Xellerate組織フォームのフィールド | ターゲット・システム・フィールド | 説明 |
---|---|---|
組織名 |
Organization |
組織の識別名 |
親組織名 |
親組織の識別名 |
組織の親の名前 |
組織タイプ |
- |
このフィールドは、対応するMicrosoft Active Directoryフィールドがないため、実際にはリコンサイルされません。組織リコンシリエーションの際に、このフィールドの値は |
次に、組織リコンシリエーションのリコンシリエーション・ルールを示します。
ルール名: Organization Recon
ルール: Organization Name Equals Organizations.Organization Name
このルールの意味は次のとおりです。
Organization Nameは、Xellerate組織フォームの「組織名」フィールドです。
Organizations.Organization Nameは、Microsoft Active DirectoryまたはMicrosoft ADAMのOrganization Nameフィールドです。
表1-14に、組織リコンシリエーションのアクション・ルールを示します。
次に、このマニュアルの次の章以降の構成を示します。
第2章「コネクタのデプロイ」: コネクタのデプロイの各段階で、Oracle Identity Managerおよびターゲット・システムで実行する必要がある手順について説明します。
第4章「コネクタの機能拡張」: コネクタの機能を拡張する場合に実行できる手順について説明します。
第3章「コネクタの使用」: コネクタの使用に関するガイドラインと、リコンシリエーションの実行を構成する手順およびプロビジョニング操作を実行する手順について説明します。
第5章「コネクタのテスト」: コネクタをテストするために、コネクタ・テスト・ユーティリティおよび診断ダッシュボードを使用する手順について説明します。
第6章「既知の問題」: このリリースのコネクタに関連する既知の問題を示します。
付録A「ターゲット・システム・フィールドとプロセス・フォーム・フィールドの文字長」: ターゲット・システム・フィールドとプロセス・フォーム・フィールドの長さの相違について説明します。また、プロセス・フォーム・フィールドの長さを変更する手順についても説明します。
付録B「パスワードに使用できる特殊文字」: ターゲット・システムとOracle Identity Managerのパスワード・フィールドで使用できる特殊文字を示します。
付録C「リコンシリエーションおよびプロビジョニング用の「ターミナル サービスのプロファイル」のフィールド名」: 特殊なMicrosoft Active Directoryフィールドの名前を示します。これらのフィールドのいずれかをリコンシリエーションまたはプロビジョニングに追加する場合は、これらの名前を使用します。
付録D「サンプル変換クラス」: サンプルJavaクラスのコードを示します。このサンプル・クラスを使用すると、要件に応じて、リコンサイルされるデータを変換するためのクラスを作成できます。
付録E「サンプル検証クラス」: サンプルJavaクラスのコードを示します。このサンプル・クラスを使用すると、要件に応じて、リコンサイルされるデータを変換するためのクラスを作成できます。