Oracle Identity Manager Oracle E-Business User Management Connectorガイド リリース9.1.0 B56038-01 |
|
戻る |
次へ |
Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerコネクタは、Oracle Identity Managerと外部のアイデンティティ対応アプリケーションの統合に使用されます。このマニュアルは、Oracle Identity Managerの管理対象(ターゲット)リソースとしてOracle E-Business Suiteを使用できるようにするコネクタについて説明します。
コネクタのアカウント管理(ターゲット・リソース)モードでは、Oracle E-Business Suiteで直接作成または変更されたユーザーに関する情報をOracle Identity Managerにリコンサイルできます。このデータは、リソースのOIMユーザーへのプロビジョニング(割当て)、またはすでにOIMユーザーに割り当てられているリソースの更新に使用されます。また、Oracle Identity Managerを使用して、OIMユーザーに割り当てられたリソースのプロビジョニングまたは更新を行うことができます。Oracle Identity Managerで実行されるこのようなプロビジョニング操作は、対応するターゲット・システム・アカウントの作成または更新に変換されます。
注意: このマニュアルの一部では、Oracle E-Business Suiteをターゲット・システムと呼んでいます。 |
この章では、次の項目について説明します。
表1-1に、このコネクタで動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
コンポーネント | 要件 |
---|---|
Oracle Identity Managerリリース9.1.0.2以上 |
|
Oracle E-Business Suite 11.5.10、12.0.x、12.1.1 これらのアプリケーションは、単一データベースまたはRAC実装のいずれかとしてOracle Database 10gまたはOracle Database 11gで実行できます。 注意: Oracle Identity Managerとターゲット・システムの間の通信では、SSLモードまたは非SSLモードを使用できます。 |
|
SoDエンジン |
Oracle Identity Managerの職務分掌(SoD)機能をこのターゲット・システムで有効にして使用する場合は、Oracle Applications Access Controls Governorリリース8.2.1および最新のパッチ・セットをインストールしてください。 注意: リリース8.2.1用のパッチ・セットの詳細は、Oracleサポート・サービスに問い合せてください。SoD機能の詳細は、1.4.3項「権限プロビジョニングのSoD検証」を参照してください。 |
SSOシステム |
ターゲット・システムでは、次のシングル・サインオン(SSO)ソリューションの1つを使用できます。
|
|
コネクタでは、次の言語がサポートされています。
アラビア語
中国語(簡体字)
中国語(繁体字)
デンマーク語
英語
フランス語
ドイツ語
イタリア語
日本語
韓国語
ポルトガル語(ブラジル)
スペイン語
関連項目: サポートされる特殊文字の詳細は、『Oracle Identity Managerグローバリゼーション・ガイド』を参照してください。 |
コネクタの基本機能は、Oracle Identity Managerを介してOracle E-Business Suiteでのユーザー・データを管理できるようにすることです。つまり、Oracle E-Business Suite(ターゲット・システム)は、Oracle Identity Managerの管理対象リソースまたはターゲット・リソースとして使用されます。プロビジョニングによって、OIMユーザーに対するターゲット・システム・アカウント(リソース)を作成して管理できます。また、新たに作成または変更されたターゲット・システム・アカウントに関連するデータをリコンサイルして、既存のOIMユーザーやプロビジョニングされたリソースにリンクすることができます。
図1-1に、コネクタの基本アーキテクチャを示します。この図に示す様々なコンポーネント間のデータ・フローについては、この章で後から説明します。
コネクタの機能は次のとおりです。
FND_USERレコードは、Oracle E-Business Suiteのアカウントを表します。このレコードが、コネクタを使用して管理できるアカウント・データの主要なコンポーネントです。ターゲット・システムの構成によっては、コネクタで管理する必要がある他のユーザー・データ・コンポーネントが存在することがあります。
Oracle E-Business Suiteのアプリケーションによっては、ユーザーがOracle E-Business HRMSの個人レコードを持つ必要があります。
このユーザーとは、組織のフルタイム従業員、またはフルタイム従業員に提供されるアクセス権と類似したアクセス権が提供されているユーザー(契約社員またはパートタイム従業員など)のいずれかです。たとえば、iExpenseは、ユーザーが個人(HRMS)レコードを保持する必要があるアプリケーションの1つです。
Oracle E-Business Suiteのアプリケーションによっては、ユーザーがOracle E-Business TCAのレコードを持つ必要があるものがあります。
通常、このユーザーは、組織の顧客またはベンダーの代表者または従業員です。たとえば、iStoreやiProcurementは、ユーザーがTCAレコードを保持する必要があるアプリケーションです。
コネクタを使用して、FND_USERレコード、HRMSレコードおよびTCAレコードのいずれか、またはそれらを組み合せたものを管理できます。この目的のために、コネクタの3つのバージョンが提供されています。次の各項では、これら3種類のコネクタについて説明します。
次の項では、3つのコネクタすべてに共通する情報を説明します。
User Managementコネクタでは、コネクタを使用してOIMユーザーのOracle E-Business Suiteアカウント(FND_USERレコード)を作成し、それらのアカウントにロールと職責を付与することができます。新たに作成または変更されたFND_USERレコードをターゲット・システムからリコンサイルすることもできます。これらのリコンサイルされたレコードは、OIMユーザーに割り当てられたOracle E-Business Suiteアカウントの作成や更新に使用されます。このようなプロビジョニングおよびリコンシリエーションの操作が、User Managementコネクタの基本機能です。
プロセス・フォームには、FND_USERレコードのユーザーIDが格納されます。FND_USERレコードに対するその後のすべての更新操作(リコンシリエーションまたはプロビジョニングによる)は、ユーザーIDの値に基づいて実行されます。
必要であれば、FND_USERレコードと既存のHRMS個人レコードをリンクすることもできます。この機能を使用するのは、iExpenseのようなイントラネット・アプリケーションにアクセスするために、FND_USERレコードをHRMS個人レコードとリンクする必要があるときです。
ターゲット・システムでは、個人IDによってFND_USERレコードとHRMS個人レコードのリンクが形成されます。HRMSレコードとリンクされたFND_USERレコードでは、FND_USER表のEMPLOYEE_ID列の値がPER_ALL_PEOPLE_F表のPERSON_ID列の値と同じになります。
すでにプロビジョニングされたOracle E-Business Suiteアカウント(FND_USERレコード)をプロビジョニングまたは変更する際に、FND_USERレコードをリンクしようとするHRMS個人レコードの個人IDを指定できます。一致が見つかると、個人レコードがFND_USERレコードにリンクされます。この個人IDが、FND_USERレコードとHRMS個人レコードの間のリンクを形成します。
User Management with HR Foundationコネクタでは、コネクタを使用してOIMユーザーのFND_USERレコードを作成し、それらのアカウントにロールと職責を付与することができます。新たに作成または変更されたFND_USERレコードをターゲット・システムからリコンサイルすることもできます。これは、User Managementコネクタにおけるコネクタの基本機能と同じです。さらに、Oracle E-Business HRMSでユーザーに対する基本HRMS個人レコードを作成し、そのレコードをFND_USERにリンクできます。この章ですでに説明したように、HRMSレコードの存在は、iExpenseやiRecruitmentなどOracle E-Business Suiteの一部のアプリケーションを使用するための前提条件です。このようなレコードのリンクは、リコンシリエーション時に行うこともできます。
注意: このマニュアルでは、このコネクタによって作成される基本のHRMSレコードをHR Foundationレコードと呼びます。 |
ユーザー作成プロビジョニング操作時には、FND_USERレコードがまず作成されてからパーティ・レコードが作成されます。次に、FND_USERレコードとパーティ・レコードの間のリンクが確立されます。コネクタは、プロビジョニング操作時に提供される「名」と「姓」の値を含む既存のパーティ・レコードのチェックは行いません。
HRMS個人レコードとリンクされたFND_USERレコードでは、FND_USER表のEMPLOYEE_ID列の値がPER_ALL_PEOPLE_F表のPERSON_ID列の値と同じになります。
注意: ITリソースの人事レコードの管理パラメータを使用して、HRMS個人レコードとFND_USERレコードのリンクを有効にします。ITリソースについてはこのガイドで後述します。 |
プロセス・フォームには、FND_USERレコードのユーザーIDとHRMSレコードの個人IDが格納されます。FND_USERレコードに対するその後のすべての更新操作(リコンシリエーションまたはプロビジョニングによる)は、ユーザーIDの値に基づいて実行されます。同様に、HRMSレコードに対するその後のすべての更新操作(リコンシリエーションまたはプロビジョニングによる)は、個人IDの値に基づいて実行されます。
User Management with HR Foundationコネクタの選択に関するガイドライン
Oracle E-Business Employee Reconciliationコネクタを使用して、Oracle Identity Managerの信頼できるソースとしてOracle E-Business HRMSを構成します。理論的には、Oracle Identity Managerは信頼できるソースのデータのリコンサイルのみを行います。信頼できるソースでのプロビジョニング(アカウント管理)操作は実行しません。
User Management with HR Foundationコネクタは、Oracle E-Business HRMSにHR Foundationレコードを作成します。これはアカウント作成(すなわちプロビジョニング)操作です。
すでに説明したように、HR Foundationレコードはごく基本的なHRMS個人レコードです。このコネクタでサポートされるのは、この基本HRMS個人レコードの作成と更新のみです。このようなプロビジョニング操作では有効日を指定することはできません。このため、組織が従業員レコードを管理するために使用しているOracle E-Business HRMSインストールではこのコネクタを使用しないでください。つまり、このコネクタは、完全デプロイされたOracle E-Business HRMSインストールでの使用には対応していません。
また、データ・フローの競合を避けるために、特定のOracle E-Business HRMSインストールを次の両方としては構成しないように強くお薦めします。
信頼できるソース(Oracle E-Business Employee Reconciliationコネクタを使用)
ターゲット・リソース(User Management with HR Foundationコネクタを使用)
注意: HRMS個人レコードとFND_USERレコードの間のリンクをコネクタで認識するためには、User Managementコネクタを使用してください。 |
User Management with TCA Foundationコネクタでは、コネクタを使用してOIMユーザーのFND_USERレコードを作成し、それらのアカウントにロールと職責を付与することができます。新たに作成または変更されたFND_USERレコードをターゲット・システムからリコンサイルすることもできます。これは、User Managementコネクタの基本機能と同じです。さらに、Oracle E-Business TCAでユーザーに対する基本TCA個人タイプ・パーティ・レコードを作成し、そのレコードをFND_USERにリンクできます。この章ですでに説明したように、TCAパーティ・レコードの存在は、iStoreなどOracle E-Business Suiteの一部のアプリケーションを使用するための前提条件です。このようなレコードのリンクは、リコンシリエーション時に行うこともできます。
注意: このマニュアルでは、このコネクタによって作成される基本TCA個人タイプ・パーティ・レコードをTCA Foundationレコードと呼びます。 |
特定のOIMユーザーに対するFND_USER作成または変更のプロビジョニング操作の際に、TCAパーティ・レコードが作成されるのは、そのレコードの「名」値と「姓」値を最初に指定したときです。TCAパーティ・レコードを作成するとき、コネクタは、「名」値と「姓」値が同じ別のレコードが存在するかどうかをチェックしません。コネクタがTCAパーティ・レコードを作成すると、Oracle E-Business TCAによって返されるパーティIDを介して確立されるリンクが、その後のTCAパーティ・レコードの更新時に使用されます。
TCAパーティ・レコードとリンクされたFND_USERレコードでは、FND_USER表のPERSON_PARTY_ID列の値がHZ_PARTIES表のPARTY_ID列の値と同じになります。
注意: ITリソースのTCAレコードの管理パラメータを使用して、TCAパーティ・レコードとFND_USERレコードのリンクを有効にします。ITリソースについてはこのガイドで後述します。 |
プロセス・フォームには、FND_USERレコードのユーザーIDとTCAレコードのパーティIDが格納されます。FND_USERレコードに対するその後のすべての更新操作(リコンシリエーションまたはプロビジョニングによる)は、ユーザーIDの値に基づいて実行されます。同様に、TCAレコードに対するその後のすべての更新操作(リコンシリエーションまたはプロビジョニングによる)は、パーティIDの値に基づいて実行されます。
3つのコネクタの類似点は次のとおりです。
基本のプロビジョニング機能およびリコンシリエーション機能は、3つのコネクタすべてで同じです。
コネクタによって、FND_USERレコードの作成と更新が行われます。
コネクタ・オブジェクト(プロセス・フォームやリソース・オブジェクトなど)が、OIMユーザーに割り当てられたターゲット・システム・リソースに関連するデータを格納します。各コネクタには、これらのデータ・オブジェクトの独自のセットがあります。
各コネクタは、他のコネクタとは独立してインストールできます。
コネクタは任意の組合せと順序でインストールできます。
3つのコネクタすべてで、SoDやSSO有効ターゲット・システムとの統合といった標準機能がサポートされます。これらの機能については、この章で後述します。
表1-2に、コネクタの相違点をまとめています。
表1-2 コネクタの相違点
機能 | User Management | User Management with HR Foundation | User Management with TCA Foundation |
---|---|---|---|
基本プロビジョニング機能以外のプロビジョニング機能 |
コネクタは、FND_USERレコードと既存のHRMS個人レコードのリンクを確立することができます。FND_USERの個人IDが、リンクを確立して格納するために使用されます。プロビジョニング操作時に個人IDを指定します。 |
コネクタは、FND_USERレコードとHRMS個人レコードのリンクを確立することができます。 HRMS個人レコードの存在は、HRMS個人レコードの「従業員番号」属性とビジネス・グループID属性によって判別されます。 HRMS個人レコードが存在しない場合、基本HRMS個人レコード(HR Foundationレコード)が作成されて、FND_USERレコードにリンクされます。HRMS個人レコードが存在する場合は、その個人レコードがFND_USERレコードにリンクされます。PER_ALL_PEOPLE_Fの個人IDがリンクを確立するために使用されます。 プロビジョニングされたリソースをプロビジョニングまたは変更するときには、個人IDを指定できません。この値はプロセス・フォームに表示専用フィールドとして表示されます。 |
コネクタは、FND_USERレコードとTCAパーティ(個人タイプ)レコードのリンクを確立することができます。 パーティ(個人タイプ)レコードは、プロビジョニング・プロセスを実行すると常に作成されます。HZ_PARTIESのPARTY_ID列は、APIによってOracle Identity Managerに戻され、FND_USERレコードとのリンクを確立するために使用されます。 プロビジョニングされたリソースをプロビジョニングまたは変更するときには、パーティIDを指定できません。この値はプロセス・フォームに表示専用フィールドとして表示されます。 |
その他のリコンシリエーション機能 |
なし |
リコンシリエーション時に、コネクタが既存のHRMS個人レコードとFND_USERレコードのリンクを検出すると、同じリンクがOracle Identity Manager内で確立されます。 既存のHRMS個人レコードまたはHR Foundationレコードとのリンクが(プロビジョニングまたはリコンシリエーションを介して)確立されると、コネクタはリコンシリエーションの際にFND_USERレコードとHRMS個人レコードまたはHR Foundationレコードへの変更をフェッチします。 |
リコンシリエーション時に、コネクタが既存のTCAパーティ・レコードとFND_USERレコードのリンクを検出すると、同じリンクがOracle Identity Manager内で確立されます。 既存のTCAパーティ・レコードまたはTCA Foundationレコードとのリンクが(プロビジョニングまたはリコンシリエーションを介して)確立されると、コネクタはリコンシリエーションの際にFND_USERレコードとTCAパーティ・レコードまたはTCA Foundationレコードへの変更をフェッチします。 |
その他の機能 |
追加のプロビジョニング機能は常に有効になっています。この機能の有効と無効を切り替えることはできません。 |
追加のプロビジョニング機能とリコンシリエーション機能の有効と無効を切り替えるには、ITリソースの人事レコードの管理パラメータを使用します。 |
追加のプロビジョニング機能とリコンシリエーション機能の有効と無効を切り替えるには、ITリソースのTCAレコードの管理パラメータを使用します。 |
UMXのロールと職責は、ターゲット・システムによって提供される機能の重要な部分です。これらのロールと職責は、ターゲット・システム・ユーザーに付与される権限です。ユーザーは権限を使用して、そのユーザーのジョブ要件を満たすターゲット・システムの機能にアクセスして利用することができます。
注意: ロールは、特定の職責または一連の職責の別名とみなすことができます。ロールと職責の両方を処理するために類似した機能がコネクタによって提供されます。 |
コネクタを使用して次の操作を実行できます。
ユーザーに割当て可能な権限に関するデータを同期します。
詳細は、3.2項「参照フィールド同期のスケジュール済タスク」を参照してください。
ユーザーに割り当てられた権限に関するデータをリコンサイルします。
詳細は、3.3.4項「リコンシリエーションのスケジュール済タスク」を参照してください。
このリリース以降では、Oracle Identity Managerリリース9.1.0.2で導入されたSoD機能がコネクタによってサポートされます。このソフトウェア更新の中心的な内容を次に示します。
SoD起動ライブラリ(SIL)がOracle Identity Managerリリース9.1.0.2にバンドルされています。SILは、すべてのSoDエンジンに対してプラッガブル統合インタフェースとして作動します。
Oracle E-Business User Managementコネクタは、SoDエンジンとしてのOracle Applications Access Controls Governorと一緒に使用できるように事前に構成されています。そのために、コネクタの認証とプロビジョニングのワークフローが変更されました。
SoDエンジンは、コネクタを介して送信されるロールおよび職責権限のリクエストを処理します。ロールと職責の割当てに潜在的な競合がある場合には自動的に検出されます。
注意: この機能は3つのコネクタすべてで使用できます。 |
Oracle E-Business Suiteは、ユーザーの認証にシングル・サインオン・ソリューション(Oracle Single Sign-OnまたはOracle Access Managerなど)を使用するように構成できます。Oracle Single Sign-Onは、ユーザー・レコードを格納するLDAPベース・リポジトリとしてOracle Internet Directoryを使用します。Oracle Access Managerは、LDAPベース・リポジトリとしてMicrosoft Active Directory、Sun Java System DirectoryまたはNovell eDirectoryを使用できます。リコンシリエーションおよびプロビジョニング操作の際にこれらのSSOソリューションの1つと一緒に機能するようにコネクタを構成することができます。
図1-2に、LDAPシステムを含むコネクタのアーキテクチャを示します。この図に示す様々なコンポーネント間のデータ・フローについては、この章で後から説明します。
注意: このマニュアルでは、オペレーティング環境でSSOソリューションによって使用されるLDAPシステムを指すためにLDAPシステムという一般的な語を使用しています。 |
Oracle E-Business Suiteでは、アカウント無効化操作およびアカウント有効化操作で将来の日付を指定できます(有効日指定)。たとえば、ターゲット・システムの管理者は、ユーザーJohn Doeのアカウントを2009年4月1日に無効にする必要があることを指定できます。このためには、アカウントの有効期間終了日にその日付を設定します。この日付は、ターゲット・システムのデータベース表のEND_DATE列に格納されます。同様に、アカウントを取り消す日を前もって設定することができます。このような種類のイベントの日付はEND_DATE列に格納されます。将来の日付が設定された特定の変更については、現在の日付がSTART_DATE列またはEND_DATE列に格納されている日付と一致したときに、ターゲット・システムの個人レコードで適切な変更が行われます。
コネクタは、このような将来の日付が指定されたライフサイクル・イベントを検出し、対応することができます。
どの事前定義済問合せを実行しても、変更がSTART_DATEとEND_DATEの範囲に含まれるレコードのみがOracle Identity Managerにフェッチされます。
同様に、コネクタは、ロールや職責の付与または取消が行われる将来の日付の操作に対応することもできます。
ターゲット・システムでアカウントを有効にすると、ターゲット・システムで有効期間開始日フィールドが現在の日付に設定され、有効期間終了日フィールドがNULLに設定されます。
ターゲット・システムでアカウントを無効にすると、ターゲット・システムで有効期間終了日フィールドが現在の日付に設定されます。
Oracle Identity Managerでプロビジョニング操作を実行しても同じ結果が得られます。また、ターゲット・システムで直接行われたステータスの変更は、リコンシリエーション時にOracle Identity Managerにコピーすることができます。
詳細は、3.6項「SoD有効環境で実行されるプロビジョニング操作」を参照してください。
リコンシリエーションでは、必要なユーザー・アカウント・レコードをOracle Identity Managerにフェッチするために、ターゲット・システム・データベースでSQL問合せが実行されます。事前定義済SQL問合せは、コネクタ・デプロイ・パッケージのファイルに格納されています。リコンシリエーションのためにこれらのSQL問合せを変更したり、独自のSQL問合せを追加したりすることができます。
リコンシリエーション問合せの詳細は、1.5.1項「リコンシリエーション問合せ」を参照してください。
コネクタでは、基本のパスワード管理機能がサポートされています。次のプロセス・フォーム・フィールドを使用して、特定のユーザーについてユーザーのパスワードの有効期限を指定できます。
パスワードの有効期限タイプ
パスワードの有効期限タイプ・フィールドを使用して、パスワード有効期限の値の設定に使用するファクタ(単位)を指定します。パスワードの有効期限タイプとして「アクセス」
または「日」
を選択できます。
パスワードの有効期間
パスワードの有効期間フィールドには、ユーザーがパスワードを使用できるアクセス回数または日数を指定します。
たとえば、パスワードの有効期限タイプ・フィールドに「アクセス」
を指定し、パスワードの有効期間フィールドに20
と入力すると、ユーザーが21回目にログインするときにパスワードの変更を求められます。同様に、パスワードの有効期限タイプ・フィールドに「日」
を指定し、パスワードの有効期間フィールドに100
と入力すると、ユーザーは新しいパスワードを設定してから101日目にパスワードの変更を求められます。
完全リコンシリエーションでは、すべてのユーザー・レコードがターゲット・システムからOracle Identity Managerにフェッチされます。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に新たに追加または変更されたユーザー・レコードが、Oracle Identity Managerにフェッチされます。
最終実行時間および「バッチ・サイズ」の各スケジュール済タスク属性を使用して、完全リコンシリエーションおよび増分リコンシリエーションを実装します。最終実行時間属性が0に設定され、「バッチ・サイズ」属性が0以外の値に設定されている場合は、完全リコンシリエーションが実行されます。最終実行時間属性が0以外の値を含む場合は、増分リコンシリエーションが実行されます。
詳細は、3.3.4項「リコンシリエーションのスケジュール済タスク」を参照してください。
リコンシリエーションの実行時にOracle Identity Managerにフェッチされるレコードを制限すなわちフィルタ処理するために、実行するリコンシリエーション問合せのWHERE句に条件を追加することができます。
詳細は、3.3.3項「制限付きリコンシリエーションの構成」を参照してください。
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。
詳細は、3.3.2項「バッチ・リコンシリエーション」を参照してください。
接続プールは、ターゲットへの物理的な接続を表すオブジェクトのキャッシュです。Oracle Identity Managerコネクタは、これらの接続を使用してターゲット・システムと通信できます。実行時には、アプリケーションがプールに接続をリクエストします。接続が使用可能であれば、コネクタがその接続を使用してからプールに戻します。プールに戻された接続は、コネクタが別の操作のために再びリクエストして使用することができます。接続プールは、接続の再利用を可能にし、ネットワーク待機時間、メモリー割当ておよび認証といった接続作成のオーバーヘッドを減らすことに役立っています。
ITリソースごとに1つの接続プールが作成されます。たとえば、ターゲット・システムの3つのインストールに3つのITリソースがある場合は、ターゲット・システム・インストールごとに1つずつ、3つの接続プールが作成されます。
接続プールの構成プロパティは、ITリソース定義に含まれます。2.3.3.6項「ITリソースの構成」で、接続プールの設定について説明します。
関連項目: ターゲット・リソースのリコンシリエーションの概念は、『Oracle Identity Manager Connector概要』の「リコンシリエーション」を参照してください。 |
コネクタを構成して、ターゲット・システムでのターゲット・リソースのリコンシリエーションを実行するようにします。新たに作成または更新されたターゲット・システム・レコードのデータがOracle Identity Managerに渡されて、OIMユーザーにプロビジョニングされたOracle E-Business Suiteリソースの作成と更新に使用されます。
注意: リコンシリエーション・プロセスは、3つのコネクタすべてで同じです。スケジュール済タスクは、コネクタごとに1つずつ3つあります。 |
ターゲット・リソースのリコンシリエーションで行われる手順の概要を次に示します。
SQL問合せが使用され、リコンシリエーション時にターゲット・システムのレコードがフェッチされます。すべての事前定義済SQL問合せはプロパティ・ファイルに格納されています。ファイル内の各問合せは名前で識別されます。3.3.4項「リコンシリエーションのスケジュール済タスク」の説明に従ってスケジュール済タスクを構成するときに、実行する問合せの名前を「問合せの名前」属性の値として指定します。
指定した時刻(間隔)にスケジュール済タスクが実行されます。このスケジュール済タスクには、実行するリコンシリエーションのモードの詳細が含まれます。
スケジュール済タスクによってターゲット・システムとの接続が確立されます。
スケジュール済タスクは、タスク属性に設定された値を読み取り、タスク属性をリコンシリエーション問合せのパラメータにマップし、問合せのフォーマットを整え、ターゲット・システム・データベースで問合せを実行します。
SQL問合せはターゲット・システムのデータベースで実行されます。問合せの基準を満たすターゲット・システム・レコードがOracle Identity Managerにフェッチされます。さらに、次の処理が行われます。
ターゲット・システムがSSO有効の場合、USER_GUID値が最初にターゲット・システム・レコードから読み取られます。次に、このUSER_GUID値が使用されて、LDAPシステムからSSOユーザーID値がフェッチされます。
注意: USER_GUID値とSSOユーザーID値は、コネクタ内部の問合せによってフェッチされます。リコンシリエーション問合せはこの目的には使用されません。 |
User Management with HR Foundationコネクタを使用している場合は、HRMSユーザーとリンクしているすべてのFND_USERユーザーに対して、HRMS個人レコードのHRMS Foundationデータもフェッチされます。
User Management with TCA Foundationコネクタを使用している場合は、TCAユーザーとリンクしているすべてのFND_USERユーザーに対して、TCAパーティ・レコードのTCA Foundationデータもフェッチされます。
ターゲット・システムからフェッチされた各ユーザー・レコードが、OIMユーザーに割り当てられている既存のターゲット・システム・リソースと比較されます。この比較プロセスでリコンシリエーション・ルールが適用されます。
プロセスの次の手順は、比較の結果によって異なります。
ターゲット・システムのレコードとOIMユーザーにプロビジョニングされたリソースが一致する場合、ターゲット・システム・レコードに対する変更内容でリソースが更新されます。
一致しない場合、ターゲット・システムのユーザー・レコードが既存のOIMユーザーと比較されます。次の手順は、比較の結果によって異なります。
一致する場合、ターゲット・システムのレコードが使用され、リソースがOIMユーザーのためにプロビジョニングされます。
一致しない場合、リコンシリエーション・イベントのステータスが「一致するものが見つかりません」に設定されます。
この後の項では、リコンシリエーション時に使用されるコネクタ・オブジェクトについて説明します。
この章の前半で説明したように、リコンシリエーション時にターゲット・システムのレコードをフェッチするためにSQL問合せを使用します。すべての事前定義済SQL問合せはebsUMQuery.propertiesファイルに格納されています。
注意: 要件によって異なりますが、既存の問合せを変更するか、プロパティ・ファイルに独自の問合せを追加することができます。あるいは、独自のプロパティ・ファイルを作成して使用することもできます。4.1項「コネクタの機能拡張に関するガイドライン」で詳しく説明します。 |
事前定義済問合せは、最終実行時間スケジュール済タスク属性と組み合せて使用されます。この属性には、前回のリコンシリエーション実行が開始したときのタイムスタンプが格納されます。次のリコンシリエーション実行が開始すると、LAST_UPDATE_DATE列の値が最終実行時間属性の値よりも後のターゲット・システム・レコードのみが、Oracle Identity Managerにフェッチされます。つまり、前回のリコンシリエーションの実行開始後に追加または変更されたレコードのみが、現在のリコンシリエーション実行の対象になります。
注意: ユーザーに付与されている職責の有効期間終了日が、ターゲット・システムで直接変更されても、そのアカウントのその他の属性も変更されていないかぎり、そのアカウントは次回のリコンシリエーション実行ではリコンサイルされません。 |
最終実行時間属性には値を指定できます。詳細は、3.3.1項「リコンシリエーションのタイムスタンプ」を参照してください。
ebsUMQuery.propertiesファイルの事前定義済問合せを次に示します。
UM_USER_RECON
この問合せを使用して、ユーザーのFND_USERレコードをフェッチします。User Managementコネクタで使用されます。
UM_USER_HRMS_RECON
この問合せを使用して、ユーザーのFND_USERレコードとHRMS個人レコードをフェッチします。User Management with HR Foundationコネクタで使用されます。
UM_USER_TCA_RECON
この問合せを使用して、ユーザーのFND_USERレコードとTCAパーティ・レコードをフェッチします。User Management with TCA Foundationコネクタで使用されます。
UM_USER_RESPONSIBILITIES
この問合せを使用して、ユーザーの職責権限に関するデータをフェッチします。
UM_USER_ROLES
この問合せを使用して、ユーザーのロール権限に関するデータをフェッチします。
権限に関する列を除き、各事前定義済問合せのSELECT句の列は、Oracle Identity Managerの参照定義によってプロセス・フォーム・フィールドに直接マップされます。
User Managementコネクタについて、ターゲット・システム列とリコンシリエーションのためにマップされているプロセス・フォーム・フィールドを表1-3に示します。これらのマッピングは、Lookup.EBS.UM.UserRecon参照定義に保存されます。
表1-3 User Managementコネクタでのリコンシリエーションの属性マッピング
プロセス・フォーム・フィールド | ターゲット・システム列 | 説明 |
---|---|---|
個人ID |
PERSON_ID |
個人ID |
ユーザーID |
USER_ID |
ユーザーID これは必須属性です。 |
ユーザー名 |
USER_NAME |
ユーザー名 これは必須属性です。 |
説明 |
DESCRIPTION |
説明 |
電子メール |
EMAIL_ADDRESS |
電子メール・アドレス |
FAX |
FAX |
FAX番号 |
有効期間開始日 |
START_DATE |
アカウントがアクティブになる最初の日 これは必須属性です。 |
有効期間終了日 |
END_DATE |
アカウントがアクティブである最後の日 |
User Management with HR Foundationコネクタについて、ターゲット・システム列とリコンシリエーションのためにマップされているプロセス・フォーム・フィールドを表1-4に示します。これらのマッピングは、Lookup.EBS.UM.UserHRMSRecon参照定義に保存されます。
表1-4 User Management with HR Foundationコネクタでのリコンシリエーションの属性マッピング
プロセス・フォーム・フィールド | ターゲット・システム列 | 説明 |
---|---|---|
ユーザーID |
USER_ID |
ユーザーID これは必須属性です。 |
ユーザー名 |
USER_NAME |
ユーザー名 これは必須属性です。 |
説明 |
DESCRIPTION |
説明 |
電子メール |
EMAIL_ADDRESS |
電子メール・アドレス |
FAX |
FAX |
FAX番号 |
有効期間開始日 |
START_DATE |
アカウントの開始日 これは必須属性です。 |
有効期間終了日 |
END_DATE |
アカウントの終了日 |
注意: この表のこれから先に示す属性はHR Foundationレコードの属性です。 |
||
従業員番号 |
EMPLOYEE_NUMBER |
従業員番号 |
名 |
FIRST_NAME |
名 |
姓 |
LAST_NAME |
姓 |
性別 |
SEX |
性別 |
個人タイプID |
PERSON_TYPE_ID |
個人タイプID |
ビジネス・グループID |
BUSINESS_GROUP_ID |
ビジネス・グループID |
入社日 |
ORIGINAL_DATE_OF_HIRE |
入社日 |
個人ID |
PERSON_ID |
個人ID |
User Management with TCA Foundationコネクタについて、ターゲット・システム列とリコンシリエーションのためにマップされているプロセス・フォーム・フィールドを表1-5に示します。これらのマッピングは、Lookup.EBS.UM.UserTCARecon参照定義に保存されます。
表1-5 User Management with TCA Foundationコネクタでのリコンシリエーションの属性マッピング
プロセス・フォーム・フィールド | ターゲット・システム列 | 説明 |
---|---|---|
ユーザーID |
USER_ID |
ユーザーID これは必須属性です。 |
ユーザー名 |
USER_NAME |
ユーザー名 これは必須属性です。 |
説明 |
DESCRIPTION |
説明 |
電子メール |
EMAIL_ADDRESS |
電子メール・アドレス |
FAX |
FAX |
FAX番号 |
有効期間開始日 |
START_DATE |
アカウントの開始日 これは必須属性です。 |
有効期間終了日 |
END_DATE |
アカウントの終了日 |
注意: この表のこれから先に示す属性はTCA Foundationレコードの属性です。 |
||
名 |
PERSON_FIRST_NAME |
名 |
姓 |
PERSON_LAST_NAME |
姓 |
パーティID |
PERSON_PARTY_ID |
パーティID |
3つのコネクタすべてについて、ターゲット・システムで定義されている職責に関するターゲット・システム列とプロセス・フォーム・フィールドのマッピングを表1-6に示します。
表1-6 職責のプロセス・フォーム・フィールドとターゲット・システム・データ・フィールドの関係
プロセス・フォーム・フィールド | ターゲット・システム列 | 説明 |
---|---|---|
アプリケーション名 |
値の書式: IT_RESOURCE_KEY~APPLICATION_ID サンプル値: 1~810 |
ターゲット・システムのITリソース・キーとアプリケーションIDの組合せ 注意: ITリソース・キーは数値です。 |
職責名 |
値の書式: IT_RESOURCE_KEY~APPLICATION_ID~RESPONSIBILITY_ID サンプル値: 1~810~2751 |
ターゲット・システムのITリソース・キー、アプリケーションIDおよび職責IDの組合せ |
有効期間開始日 |
START_DATE |
職責割当ての開始日 |
有効期間終了日 |
END_DATE |
職責割当ての終了日 |
3つのコネクタすべてについて、ターゲット・システムで定義されているロールに関するターゲット・システム列とプロセス・フォーム・フィールドのマッピングを表1-7に示します。
表1-7 ロールのプロセス・フォーム・フィールドとターゲット・システム・データ・フィールドの関係
プロセス・フォーム・フィールド | ターゲット・システム列 | 説明 |
---|---|---|
アプリケーション名 |
値の書式: IT_RESOURCE_KEY~APPLICATION_ID サンプル値: 1~260 |
ターゲット・システムのITリソース・キーとアプリケーションIDの組合せ 注意: ITリソース・キーは数値です。 |
ロール名 |
値の書式: IT_RESOURCE_KEY~APPLICATION_ID~ROLE_ID サンプル値: 1~260~UMX|UMX_TEST_ROLE |
ターゲット・システムのITリソース・キー、アプリケーションIDおよびロールIDの組合せ |
開始日 |
start_date |
ロール割当ての開始日 |
有効期限 |
expiration_date |
ロール割当ての終了日 |
関連項目: リコンシリエーション一致ルールおよびアクション・ルールに関する一般的な情報は、『Oracle Identity Manager Connector概要』を参照してください。 |
次に、リコンシリエーション・ルールを示します。
User Managementコネクタのルール名:
EBS UM Target Resource
User Management with HR Foundationコネクタのルール名:
EBS UM HRMS Target Resource
User Management with TCA Foundationコネクタのルール名:
EBS UM TCA Target Resource
3つのコネクタすべてのルール要素: User Login Equals User Name
このルールの意味は次のとおりです。
User Loginは、OIMユーザー・フォームのフィールドです。
User Nameは、ターゲット・システムのフィールドです。
コネクタのデプロイ後、次の手順を実行して、ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールを表示できます。
注意: 次の手順は、コネクタのデプロイ後にのみ実行してください。 |
Oracle Identity Manager Design Consoleにログインします。
「Development Tools」を展開します。
「Reconciliation Rules」をダブルクリックします。
ルール名を検索します。
表1-8に、ターゲット・リソース・リコンシリエーションのアクション・ルールを示します。
表1-8 ターゲット・リソースのリコンシリエーションのアクション・ルール
ルール条件 | Action |
---|---|
No Matches Found |
最小ロードの管理者への割当て |
One Entity Match Found |
リンクの確立 |
One Process Match Found |
リンクの確立 |
注意: このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。リコンシリエーション・アクション・ルールの変更または作成の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
コネクタのデプロイ後に次の手順を実行すると、ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルールを表示できます。
Oracle Identity Manager Design Consoleにログインします。
「Resource Management」を展開します。
「Resource Objects」をダブルクリックします。
リソース・オブジェクトを検索して開きます。次に、各コネクタのリソース・オブジェクトの名前を示します。
User Managementコネクタのリソース・オブジェクト:
eBusiness Suite User
User Management with HR Foundationコネクタのリソース・オブジェクト:
eBusiness Suite User HR Foundation
User Management with TCA Foundationコネクタのリソース・オブジェクト:
eBusiness Suite User TCA Foundation
「Object Reconciliation」タブ、「Reconciliation Action Rules」タブの順にクリックします。「Reconciliation Action Rules」タブに、このコネクタに定義されているアクション・ルールが表示されます。
関連項目: プロビジョニングの概念は、『Oracle Identity Manager Connector概要』のプロビジョニングに関する項を参照してください。 |
プロビジョニングでは、ユーザー・アカウントの管理とターゲット・システムのユーザーへの職責とロールの割当てが行われます。Oracle E-Business SuiteリソースをOIMユーザーに割り当てる(プロビジョニングする)と、その操作の結果として、そのユーザーのアカウントがOracle E-Business Suiteで作成されます。同様に、Oracle Identity Managerでリソースを更新すると、ターゲット・システムのアカウントが同じように更新されます。
ロールと職責のプロビジョニングの検証のために、Oracle Identity Managerの職務分掌(SoD)機能を有効にすることができます。SoDを有効にしたとき、ロールまたは職責がOIMユーザーのリソース(アカウント)に付与されるのは、ロールまたは職責のリクエストがSoD検証プロセスを通過した後になります。競合するロールまたは職責がSoDエンジンによって検出されると、そのロールまたは職責のリクエストは拒否されます。
注意: SoD検証プロセスは非同期です。SoDエンジンのレスポンスは、スケジュール済タスクによってOracle Identity Managerに渡される必要があります。 |
プロビジョニング・プロセスは次のいずれかのイベントを介して開始できます。
ダイレクト・プロビジョニング
ユーザーが管理およびユーザー・コンソールを使用して、別のユーザーのターゲット・システム・アカウントを作成します。
リクエストベースのプロビジョニング
ユーザーがターゲット・システム・アカウント、ロールまたは職責のリクエストを作成し、別のユーザーがそのリクエストを承認します。
アクセス・ポリシーの変更によって引き起こされるプロビジョニング
ターゲット・システムのアカウントに関連するアクセス・ポリシーが変更されます。変更されたアクセス・ポリシーは、適用対象のすべてのユーザーについて再評価されます。
次に、プロビジョニング・プロセスの概要を示します。
プロビジョニング・プロセスは、ダイレクト・プロビジョニング、リクエストベースのプロビジョニングまたはアクセス・ポリシーの変更によって開始されます。
ターゲット・システムがOracle Single Sign-Onと一緒に機能するように構成されている場合は、次のようになります。
注意: ターゲット・システムでユーザーを作成するには、そのユーザーのGUIDがLDAPシステムに前もって存在していることが必要です。つまり、プロビジョニング操作の実行対象のユーザーは、LDAPシステムにレコードを持つ必要があります。 |
まずコネクタが、Oracle Single Sign-Onで使用されるLDAPシステムとの接続を確立します。コネクタは接続を確立するために、LDAPシステムに関してITリソースに格納されている情報を使用します。
コネクタは、プロビジョニング操作の実行対象であるユーザーのGUIDをLDAPシステムから読み取り、ターゲット・システムに渡すプロビジョニング・データにそのGUIDを追加します。
コネクタは、ターゲット・システムとの接続を確立し、プロビジョニング・データをターゲット・システムのFND APIに渡します。
ターゲット・システムAPIは、プロビジョニング・データを使用して、必要な処理(ユーザーの作成または更新)を実行します。実際に実行されるステップは、使用しているコネクタによって次のように異なります。
User Managementコネクタでは、FND_USERレコードが作成または更新されます。個人IDがプロセス・フォームに指定されており、同じ個人IDのレコードがターゲット・システムに存在する場合、そのレコードがFND_USERレコードとリンクされます。
User Management with HR Foundationコネクタでは次のようになります。
HRMS個人レコード(HRMS Foundationデータのみを含む)が作成または更新されます。
FND_USERレコードが作成または更新されます。
注意: HRMSレコードが作成される場合、PER_ALL_PEOPLE_F表のPerson_ID列の値がFND_USER表のEmployee_ID列にコピーされます。 |
User Management with TCA Foundationコネクタでは次のようになります。
FND_USERレコードが作成または更新されます。
TCAパーティ・レコード(TCA Party Foundationデータのみを含む)が作成または更新されます。
注意: TCAレコードが作成される場合、HZ_PARTIES表のPARTY_ID列の値がFND_USER表のPERSON_PARTY_ID列にコピーされます。 |
ターゲット・システムAPIが操作のステータスをコネクタに返します。
コネクタは、FND APIによって返されるステータス・メッセージを変換して表示(またはロギング)します。
SoD有効Oracle Identity Managerシステムでは、コネクタは、プロビジョニングされたユーザー・アカウントにロールまたは職責を直接付与することはできません。ユーザーがロールまたは職責をプロビジョニングする手順を実行するとき、権限リクエスト(ダイレクト・プロビジョニングまたはリクエストベースのプロビジョニングによって送信)の詳細が競合分析のためにSoDエンジンに送られます。権限リクエストは、SoD検証プロセスの結果に基づいて承認または拒否されます。
この後の項では、プロビジョニング時に使用されるコネクタ・オブジェクトについて説明します。
ターゲット・システムで定義されているロールと職責は、ユーザー作成プロビジョニング操作でユーザーに割り当てることができる権限です。また、既存のユーザーは職責とロールのリクエストを作成することができます。Oracle Identity ManagerインストールでSoDを有効にした場合、権限が付与されるのは、権限のリクエストがSoD検証を通過した後になります。ユーザーは自分自身のための権限リクエストを作成できます。または、管理者がユーザーのために権限リクエストを送信することができます。
注意: コネクタでは、複数の職責に対して1つのリクエストを作成し、リクエスト全体に1人の承認者を割り当てることが可能です。 |
職責のリクエストベースのプロビジョニングでは次の手順が実行されます。
ロールまたは職責のリクエストが作成されます。
3.6項「SoD有効環境で実行されるプロビジョニング操作」で、リクエストの作成手順を説明しています。
リクエスト・データがオブジェクト・フォームに書き込まれます。
オブジェクト・フォームにデータが移入され、承認のために送信されます。
標準の承認プロセスの後で、SoDチェッカ・プロセス・タスクがトリガーされます。このプロセス・タスクは、タスク・スケジューラからGetSODCheckResultApprovalスケジュール済タスクを実行することで完了します。
注意: 承認者は、リクエストの承認中にこのタスクを手動で承認または拒否しないでください。 |
SoDチェッカ・プロセス・タスクが実行され、SoDチェック結果が渡された後で、管理者承認タスク(定義されている場合)がトリガーされます。
リクエストが承認プロセスを通過すると、リクエストされたデータがプロセス・フォームに送信されます。このデータがターゲット・システムに届くと、職責がユーザーに割り当てられます。
注意: SoDが有効になっていない場合、またはプロビジョニング操作に権限のプロビジョニングが含まれない場合は、SODCheckStatusフィールドはSODCheckNotInitiated 状態のままになります。 |
リクエストが承認プロセスを通過しない場合、リクエストのステータスは拒否に設定されます。
表1-9に、プロビジョニング操作時に値を指定または変更できるターゲット・システムのユーザー・アイデンティティ・フィールドを示します。この表の第3列には、該当する機能がサポートされているコネクタを示します。
注意: ユーザー作成プロビジョニング操作の際には、すべてのターゲット・システム属性への値の移入にEBS Create Userアダプタが使用されます。同じく、ユーザー更新プロビジョニング操作の際には、EBS Update Userによってこの機能が実行されます。 |
表1-9 プロビジョニングの属性マッピング
プロセス・フォームの属性 | ターゲット・システムの属性 | コネクタ | 必須 |
---|---|---|---|
ユーザー名 |
ユーザー名 |
すべて |
○ |
パスワード |
パスワード |
すべて |
○ |
説明 |
説明 |
すべて |
|
電子メール |
電子メール |
すべて |
|
FAX |
FAX |
すべて |
|
パスワードの有効期限タイプ 参照フィールドです。 |
パスワードの有効期限タイプ |
すべて |
|
パスワードの有効期間 |
パスワードの有効期間 |
すべて |
|
有効期間開始日 |
有効期間開始日 |
すべて |
○ |
有効期間終了日 |
有効期間終了日 |
すべて |
|
個人ID 注意: このフィールドは、User Managementコネクタで編集できます。User Management with HR Foundationコネクタでは表示専用フィールドです。 |
個人ID 注意: HRMS個人レコードの個人IDに対応するフルネームは、 |
User ManagementおよびUser Management with HR Foundation |
|
SSOユーザーID |
LDAPシステムのSSOユーザーID 注意: この属性は、ターゲット・システムのユーザー・インタフェースには表示されません。 |
すべて |
|
ユーザーID これは表示専用フィールドです。 |
ユーザーID 注意: この属性は、ターゲット・システムのユーザー・インタフェースには表示されません。 |
すべて |
|
SSO GUID これは表示専用フィールドです。 |
Oracle Single Sign-Onで使用されるLDAPシステムからフェッチされるGUID この値は、FND_USER表のUSER_GUID列に格納されます。 注意: この属性は、ターゲット・システムのユーザー・インタフェースには表示されません。 |
すべて |
|
従業員番号 |
従業員番号 |
User Management with HR Foundation |
|
名 |
名(User Management with HR Foundationコネクタ) 名(User Management with TCA Foundationコネクタ) |
User Management with HR FoundationおよびUser Management with TCA Foundation |
|
姓 |
姓(User Management with HR Foundationコネクタ) 姓(User Management with TCA Foundationコネクタ) |
User Management with HR FoundationおよびUser Management with TCA Foundation |
|
性別 参照フィールドです。 |
性別 |
User Management with HR Foundation |
|
個人タイプID |
個人タイプ |
User Management with HR Foundation |
|
ビジネス・グループID |
ビジネス・グループID 注意: この属性は、ターゲット・システムのユーザー・インタフェースには表示されません。 |
User Management with HR Foundation |
|
パーティID これは表示専用フィールドです。 |
パーティID 注意: TCAパーティ・レコードのパーティIDに対応するフルネームは、 |
User Management with TCA Foundation |
|
入社日 |
最新開始日 |
User Management with HR Foundation |
|
「職責」子フォームのフィールド(3つのコネクタすべて) |
|||
アプリケーション名 |
IT_RESOURCE_KEY~APPLICATION_ID |
すべて |
|
職責名 |
IT_RESOURCE_KEY~APPLICATION_ID~RESPONSIBILITY_ID |
すべて |
○ |
有効期間開始日 |
有効期間開始日 |
すべて |
|
有効期間終了日 |
有効期間終了日 |
すべて |
|
「ロール」子フォームのフィールド(3つのコネクタすべて) |
|||
アプリケーション名 |
IT_RESOURCE_KEY~APPLICATION_ID |
すべて |
|
ロール名 |
IT_RESOURCE_KEY~APPLICATION_ID~ROLE_ID |
すべて |
○ |
開始日 |
開始日 |
すべて |
|
有効期限 |
有効期限 |
すべて |
表1-10に、プロビジョニング機能と対応するアダプタを示します。
表1-10 プロビジョニング機能
プロビジョニング機能 | アダプタ | ラッパー・パッケージのストアド・プロシージャ |
---|---|---|
ユーザーの作成 |
EBS Create User |
OIM_FND_USER_PKG.CreateUser |
SSO有効ユーザーの作成 |
EBS Create User |
OIM_FND_USER_PKG.CreateUser |
ユーザーの無効化 |
EBS Disable User |
OIM_FND_USER_PKG.DisableUser |
電子メールの更新 |
EBS Update User |
OIM_FND_USER_PKG.UpdateUser |
FAXの更新 |
EBS Update User |
OIM_FND_USER_PKG.UpdateUser |
パスワードの更新 |
EBS Update User |
OIM_FND_USER_PKG.UpdateUser |
説明の更新 |
EBS Update User |
OIM_FND_USER_PKG.UpdateUser |
有効期間開始日の更新 |
EBS Update User |
OIM_FND_USER_PKG.UpdateUser |
有効期間終了日の更新 |
EBS Update User |
OIM_FND_USER_PKG.UpdateUser |
SSOユーザーIDの更新 |
EBS Update User |
OIM_FND_USER_PKG.UpdateUser |
パスワードの有効期限タイプの更新 |
EBS Update User |
OIM_FND_USER_PKG.UpdateUser |
パスワードの有効期間の更新 |
EBS Update User |
OIM_FND_USER_PKG.UpdateUser |
個人IDの更新 注意: これは、User Managementコネクタのみに適用されます。 |
EBS Update User |
OIM_FND_USER_PKG.UpdateUser |
ユーザーの有効化 |
EBS Enable User |
OIM_FND_USER_PKG.EnableUser |
職責の追加 |
EBS Add Responsibility |
OIM_FND_USER_PKG.AddResp |
職責の更新 |
EBS Update Responsibility |
OIM_FND_USER_PKG.AddResp |
職責の削除 |
EBS Revoke Responsibility |
OIM_FND_USER_PKG.DelResp |
ロールの追加 |
EBS Add Role |
WF_LOCAL_SYNCH_PKG.PropagateUserRole |
ロールの更新 |
EBS Update Role |
WF_LOCAL_SYNCH_PKG.PropagateUserRole |
ロールの削除 |
EBS Revoke Role |
WF_LOCAL_SYNCH_PKG.PropagateUserRole |
ユーザー名の更新 |
EBS Update Username |
OIM_FND_USER_PKG.change_user_name |
User Management with HR Foundationコネクタ固有の機能 |
||
従業員の作成 |
EBS Create User HRMS |
OIM_EMPLOYEE_WRAPPER.create_emp_api |
名の更新 |
EBS Update Employee |
OIM_EMPLOYEE_WRAPPER.update_person_api |
姓の更新 |
EBS Update Employee |
OIM_EMPLOYEE_WRAPPER.update_person_api |
性別の更新 |
EBS Update Employee |
OIM_EMPLOYEE_WRAPPER.update_person_api |
個人IDタイプの更新 |
EBS Update Employee |
OIM_EMPLOYEE_WRAPPER.update_person_api |
ビジネス・グループIDの更新 |
EBS Update Employee |
OIM_EMPLOYEE_WRAPPER.update_person_api |
入社日の更新 |
EBS Update Employee |
OIM_EMPLOYEE_WRAPPER.update_person_api |
User Management with TCA Foundationコネクタ固有の機能 |
||
個人タイプのパーティの作成 |
EBS Create User TCA |
OIM_TCA_WRAPPER.create_person_party_api |
名の更新 |
EBS Update Party |
OIM_TCA_WRAPPER.update_person_party_api |
姓の更新 |
EBS Update Party |
OIM_TCA_WRAPPER.update_person_party_api |
コネクタをデプロイすると、次のタイプの参照定義がOracle Identity Managerに作成されます。
ターゲット・システムの参照フィールドに対応する参照定義
構成情報を含む参照定義
次の項では、コネクタで使用される参照定義について説明します。
表1-11に、3つのコネクタすべてに共通する参照定義を示します。
表1-11 3つのコネクタすべてに共通する参照定義
参照定義 | コード・キー | デコード | 入力ソース |
---|---|---|---|
Lookup.EBS.Application |
次の要素の組合せ:
サンプル値: この例では、1がターゲット・システム・インストールのITリソースに割り当てられている値で、694はターゲット・システムでアプリケーションに割り当てられているアプリケーションIDです。 |
ターゲット・システムでのアプリケーションの短縮名 サンプル値: |
eBusiness UM参照定義のリコンシリエーション・スケジュール済タスクを構成して実行し、この参照定義にターゲット・システムの値を移入します。 |
Lookup.EBS.Responsibility |
次の要素の組合せ:
サンプル値: 1~694~20903 この例では、1がターゲット・システム・インストールのITリソースに割り当てられている値、694はアプリケーションID、20903は職責IDです。 |
ターゲット・システムでの対応するアプリケーションの職責名 サンプル値: |
eBusiness UM参照定義のリコンシリエーション・スケジュール済タスクを構成して実行し、この参照定義にターゲット・システムの値を移入します。 |
Lookup.EBS.UMX.Roles |
次の3つの要素の組合せ:
サンプル値: この例では、1がターゲット・システム・インストールのITリソースに割り当てられている値、FND-UMXはアプリケーションの短縮名、UMX_EXT_ADMNはロール名です。 |
ターゲット・システムでのロールの表示名 サンプル値: |
eBusiness UM参照定義のリコンシリエーション・スケジュール済タスクを構成して実行し、この参照定義にターゲット・システムの値を移入します。 |
Lookup.EBS.PasswordExpirationType |
パスワードの有効期限タイプを指定するための単位 値は次のいずれかです。 Accesses Days None |
パスワードの有効期限タイプを指定するための単位 値は次のいずれかです。 Accesses Days None |
この参照定義は、事前に構成されています。この参照定義は変更しないでください。 |
表1-12に、User Managementコネクタ固有の参照定義を示します。
表1-12 User Managementコネクタ固有の参照定義
参照定義 | コード・キー | デコード | 入力ソース |
---|---|---|---|
Lookup.EBS.UM.UserProvisioning |
プロセス・フォーム・フィールド名 サンプル値: UD_EBS_USER_USRNAME |
ユーザー・プロビジョニングに使用されるストアド・プロシージャの対応する引数 サンプル値: x_user_name,1,varchar2,IN |
この参照定義は、事前に構成されています。この参照定義を変更するのは、プロビジョニングの属性を追加または削除する場合のみです。第4章「コネクタの機能拡張」でこの手順について説明します。 |
Lookup.EBS.UM.UserRecon |
リソース・オブジェクトのリコンシリエーション・フィールド サンプル値: User Name |
リコンシリエーション問合せで使用される、対応する列名または列別名 サンプル値: USER_NAME |
この参照定義は、事前に構成されています。この参照定義を変更するのは、リコンシリエーションの属性を追加または削除する場合のみです。第4章「コネクタの機能拡張」でこの手順について説明します。 |
Lookup.EBS.Responsibility.Mapping 注意: この参照定義は、権限のプロビジョニングに使用されます。 |
eBusiness Suite User Responsibilityリソース・オブジェクトにおける職責属性のプロセス・フォーム列の名前 |
eBusiness Suite Userリソース・オブジェクトにおける職責属性のプロセス・フォーム列の名前 |
この参照定義は、事前に構成されています。この参照定義は変更しないでください。 |
Lookup.EBS.Role.Mapping |
eBusiness Suite User Roleリソース・オブジェクトにおけるロール属性のプロセス・フォーム列の名前 |
eBusiness Suite Userリソース・オブジェクトにおけるロール属性のプロセス・フォーム列の名前 |
この参照定義は、事前に構成されています。この参照定義は変更しないでください。 |
Lookup.EBS.UM.QueryFilters |
リコンシリエーションSQL問合せに追加するフィルタ・パラメータ |
デコード値の詳細は、3.3.3項「制限付きリコンシリエーションの構成」を参照してください。 |
この参照定義の詳細は、3.3.3項「制限付きリコンシリエーションの構成」を参照してください。 |
Lookup.EBS.UM.Configurations |
リコンシリエーションとプロビジョニングの両方でコネクタによって使用される構成可能なデータ・アイテム |
構成可能なパラメータの値 |
この参照定義の一部のエントリを変更できます。詳細は、3.1項「Oracle Identity Managerでの参照定義の設定」を参照してください。 |
表1-13に、User Management with HR Foundationコネクタ固有の参照定義を示します。
表1-13 User Management with HR Foundationコネクタ固有の参照定義
参照定義 | コード・キー | デコード | 入力ソース |
---|---|---|---|
Lookup.EBS.Gender |
性別のコード サンプル値: |
性別の表示名 サンプル値: |
この参照定義は、事前に構成されています。この参照定義は変更しないでください。 |
Lookup.EBS.UM.UserHRMSProvisioning |
プロセス・フォーム・フィールド名 サンプル値: |
ユーザー・プロビジョニングに使用されるストアド・プロシージャの対応する引数の情報 サンプル値: |
この参照定義は、事前に構成されています。この参照定義を変更するのは、プロビジョニングの属性を追加または削除する場合のみです。第4章「コネクタの機能拡張」でこの手順について説明します。 |
Lookup.EBS.UM.UserHRMSRecon |
リソース・オブジェクトのリコンシリエーション・フィールド サンプル値: |
リコンシリエーション問合せで使用される列名または列別名 サンプル値: |
この参照定義は、事前に構成されています。この参照定義を変更するのは、リコンシリエーションの属性を追加または削除する場合のみです。第4章「コネクタの機能拡張」でこの手順について説明します。 |
Lookup.EBS.UM.CreateEmployee |
プロセス・フォーム・フィールド名 サンプル値: |
HRMS個人レコードのプロビジョニングに使用されるストアド・プロシージャの対応する引数の情報 サンプル値: |
この参照定義は、事前に構成されています。この参照定義を変更するのは、プロビジョニングの属性を追加または削除する場合のみです。第4章「コネクタの機能拡張」でこの手順について説明します。 |
Lookup.EBS.UM.UpdateEmployee |
プロセス・フォーム・フィールド名 サンプル値: |
HRMS個人レコードのプロビジョニングに使用されるストアド・プロシージャの対応する引数の情報 サンプル値: |
この参照定義は変更しないでください。 |
Lookup.EBS.HRMSResponsibility.Mapping 注意: この参照定義は、リクエストベースの職責のプロビジョニングに使用されます。 |
eBusiness Suite User HR Foundation Responsibilityリソース・オブジェクトにおける職責属性のプロセス・フォーム列の名前 |
eBusiness Suite User HR Foundationリソース・オブジェクトにおける職責属性のプロセス・フォーム列の名前 |
この参照定義は変更しないでください。 |
Lookup.EBS. HRMSRoles.Mapping 注意: この参照定義は、リクエストベースのロールのプロビジョニングに使用されます。 |
eBusiness Suite User HR Foundation Roleリソース・オブジェクトにおけるロール属性のプロセス・フォーム列の名前 |
eBusiness Suite User HR Foundationリソース・オブジェクトにおけるロール属性のプロセス・フォーム列の名前 |
この参照定義は変更しないでください。 |
Lookup.EBS.UMHRMS.QueryFilters |
リコンシリエーションSQL問合せに追加するフィルタ・パラメータ |
デコード値の詳細は、3.3.3項「制限付きリコンシリエーションの構成」を参照してください。 |
この参照定義の詳細は、3.3.3項「制限付きリコンシリエーションの構成」を参照してください。 |
Lookup.EBS.UMHRMS.EmployeeInfoMapping |
HR Foundation個人レコードに関する情報のプロセス・フォーム列の名前 |
ターゲット・システム・データベースから個人レコード・データをフェッチするために使用される列の名前 |
この参照定義は、事前に構成されています。この参照定義を変更するのは、プロビジョニングの属性を追加または削除する場合のみです。第4章「コネクタの機能拡張」でこの手順について説明します。 |
Lookup.EBS.UMHRMS.Configurations |
リコンシリエーションとプロビジョニングの両方でコネクタによって使用される構成可能なデータ・アイテム |
構成可能なパラメータの値 |
この参照定義の一部のエントリを変更できます。詳細は、3.1項「Oracle Identity Managerでの参照定義の設定」を参照してください。 |
表1-14に、User Management with TCA Foundationコネクタ固有の参照定義を示します。
表1-14 ターゲット・システムと同期される参照定義
参照定義 | コード・キー | デコード | 入力ソース |
---|---|---|---|
Lookup.EBS.UM.UserTCAProvisioning |
プロセス・フォーム・フィールド名 サンプル値: |
ユーザー・プロビジョニングに使用されるストアド・プロシージャの対応する引数の情報 サンプル値: |
この参照定義は、事前に構成されています。この参照定義を変更するのは、プロビジョニングの属性を追加または削除する場合のみです。第4章「コネクタの機能拡張」でこの手順について説明します。 |
Lookup.EBS.UM.PartyProvisioning |
プロセス・フォーム・フィールド名 サンプル値: |
HRMS個人のプロビジョニングに使用されるストアド・プロシージャの対応する引数の情報 サンプル値: |
この参照定義は、事前に構成されています。この参照定義を変更するのは、プロビジョニングの属性を追加または削除する場合のみです。第4章「コネクタの機能拡張」でこの手順について説明します。 |
Lookup.EBS.UM.UserTCARecon |
リソース・オブジェクトのリコンシリエーション・フィールド サンプル値: |
リコンシリエーション問合せで使用される列名または列別名 サンプル値: |
この参照定義は、事前に構成されています。この参照定義を変更するのは、リコンシリエーションの属性を追加または削除する場合のみです。第4章「コネクタの機能拡張」でこの手順について説明します。 |
Lookup.EBS.UserTCAResponsibility.Mapping 注意: この参照定義は、権限のプロビジョニングに使用されます。 |
eBusiness Suite User TCA Foundation Responsibilityリソース・オブジェクトにおける職責属性のプロセス・フォーム列の名前 |
eBusiness Suite User TCA Foundationリソース・オブジェクトにおける職責属性のプロセス・フォーム列の名前 |
この参照定義は変更しないでください。 |
Lookup.EBS. TCARoles.Mapping |
eBusiness Suite User TCA Foundation Roleリソース・オブジェクトにおけるロール属性のプロセス・フォーム列の名前 |
eBusiness Suite User TCA Foundationリソース・オブジェクトにおけるロール属性のプロセス・フォーム列の名前 |
この参照定義は変更しないでください。 |
Lookup.EBS.UMTCA.QueryFilters |
TCA Foundation個人レコードに関する情報のプロセス・フォーム列の名前 |
ターゲット・システム・データベースから個人レコード・データをフェッチするために使用される列の名前 |
この参照定義の詳細は、3.3.3項「制限付きリコンシリエーションの構成」を参照してください。 |
Lookup.EBS.UMTCA.Configurations |
リコンシリエーションとプロビジョニングの両方でコネクタによって使用される構成可能なデータ・アイテム |
構成可能なパラメータの値 |
この参照定義の一部のエントリを変更できます。詳細は、3.1項「Oracle Identity Managerでの参照定義の設定」を参照してください。 |
次に、このマニュアルの次の章以降の構成を示します。
第2章「コネクタのデプロイ」: コネクタのデプロイの各段階で、Oracle Identity Managerおよびターゲット・システムで実行する必要がある手順について説明します。
第3章「コネクタの使用」: コネクタの使用に関するガイドラインと、リコンシリエーションの実行を構成する手順およびプロビジョニング操作を実行する手順について説明します。
第4章「コネクタの機能拡張」: コネクタの機能を拡張する場合に実行できる手順について説明します。
第5章「テストおよびトラブルシューティング」: コネクタをテストするために、コネクタ・テスト・ユーティリティおよび診断ダッシュボードを使用する手順について説明します。
第6章「既知の問題」: このリリースのコネクタに関連する既知の問題を示します。