ヘッダーをスキップ
Oracle Identity Manager管理およびユーザー・コンソール・ガイド
リリース9.1.0.2
B56234-01
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

20 Oracle Identity Managerに含まれている汎用テクノロジ・コネクタの事前定義済プロバイダ

Oracle Identity Managerの現在のリリースには、次の事前定義済プロバイダが含まれています。


注意:

使用するプロバイダ用のパラメータの値を決定する必要があります。この値は、管理およびユーザー・コンソールを使用して汎用テクノロジ・コネクタを作成する間に使用します。

20.1 共有ドライブ・リコンシリエーション・トランスポート・プロバイダ

共有ドライブ・リコンシリエーション・トランスポート・プロバイダは、ステージング・ディレクトリに格納されたフラット・ファイルからデータを読み取り、そのファイルをアーカイブ・ディレクトリに移動します。ステージング・ディレクトリとアーカイブ・ディレクトリを共有して、Oracle Identity Managerサーバーからアクセスできるようにする必要があります。

このプロバイダのパラメータを次に示します。

ステージング・ディレクトリとアーカイブ・ディレクトリに設定する権限

ステージング・ディレクトリとアーカイブ・ディレクトリに必要な権限が設定されていることを確認してください。次の表に、ステージングおよびアーカイブのデータファイルの保持に使用される共有ディレクトリに対する様々な権限の影響を示します。

記憶域エンティティ アクセス権 アクセス権が必要な理由
親データファイルのステージング・ディレクトリ 読取り この権限は、リコンシリエーションの実行に必要です。この権限が適用されない場合、エラー・メッセージがログに記録されます。
親データファイルのステージング・ディレクトリ 書込み この権限は、アーカイブ・プロセスの最後にデータファイルを親ステージング・ディレクトリから削除するために必要です。
親データファイルのステージング・ディレクトリ 実行 適用外
子データファイルのステージング・ディレクトリ 読取り この権限は、子データのリコンシリエーションに必要です。この権限が適用されない場合、エラー・メッセージがログに記録されます。
子データファイルのステージング・ディレクトリ 書込み この権限は、アーカイブ・プロセスの最後にデータファイルを子ステージング・ディレクトリから削除するために必要です。
子データファイルのステージング・ディレクトリ 実行 適用外
アーカイブ・ディレクトリ 書込み この権限は、アーカイブ・プロセス中に親および子データファイルをアーカイブ・ディレクトリにコピーするために必要です。この権限が適用されなくても、次の処理が行われます。
  • 親および子データのリコンシリエーションが実行されます。

  • 親および子ステージング・ディレクトリに必要な権限が設定されていない場合、ファイルはこれらのディレクトリから削除されます。

アーカイブ・ディレクトリ 実行 適用外
ステージング・ディレクトリ内の親または子データファイル 読取り この権限は、ファイル内のデータのリコンシリエーションに必要です。この権限が適用されない場合、エラー・メッセージがログに記録されます。
ステージング・ディレクトリ内の親または子データファイル 書込み この権限は、アーカイブ・プロセスの最後にデータファイルを削除するために必要です。この権限が適用されない場合、エラー・メッセージがログに記録されます。ただし、このファイル内のデータはリコンサイルされます。
ステージング・ディレクトリ内の親または子データファイル 実行 適用外


注意:

ステージング・ディレクトリ内のデータファイルは、いずれかのエディタで開かれていると削除できません。

20.2 CSVリコンシリエーション・フォーマット・プロバイダ

CSVリコンシリエーション・フォーマット・プロバイダは、文字区切り、タブ区切りまたは固定長形式のリコンシリエーション・データをOracle Identity Managerでサポートされている形式に変換します。

CSVリコンシリエーション・フォーマット・プロバイダはスタンドアロン・プロバイダとしてパッケージングされていますが、そのパラメータはすべて共有ドライブ・トランスポート・プロバイダにバンドルされています。「ステップ1: 基本情報の指定」ページで共有ドライブ・トランスポート・プロバイダを選択した場合は、CSVフォーマット・プロバイダを選択する必要があります。このプロバイダを選択すると、そのパラメータが共有ドライブ・トランスポート・プロバイダのパラメータとともに表示されます。

20.3 SPMLプロビジョニング・フォーマット・プロバイダ

SPMLプロビジョニング・フォーマット・プロバイダは、Oracle Identity Manager上でのプロビジョニング操作中に生成されたプロビジョニング・データをSPML対応のターゲット・システムで処理できるSPMLリクエストに変換します。


注意:

各SPMLリクエストはSOAPメッセージで送信されます。SOAPヘッダーには、リクエストの認証情報が含まれます。SPMLリクエストの実際のデータは、SOAPメッセージ本文に含まれます。

SPML-SOAPメッセージの構造の詳細は、『Oracle Identity Manager Toolsリファレンス』のSPML Webサービスに関する項を参照してください。

サンプルSOAPメッセージは、次のディレクトリにあります。

OIM_HOME/xellerate/GTC/Samples/spml

SPML仕様の詳細は、OASISのWebサイトの次のWebページを参照してください。

http://www.oasis-open.org/specs/index.php#spmlv2.0


図20-1は、SPMLプロビジョニング・フォーマット・プロバイダがリクエスト局(RA)として機能し、ターゲット・システムがプロビジョニング・サービス・プロバイダ(PSP)およびプロビジョニング・サービス・ターゲット(PST)を提供するシステムの設定を示しています。

図20-1 SPMLプロビジョニング・フォーマット・プロバイダとターゲット・システムの間の通信

図20-1の説明が続きます
「図20-1 SPMLプロビジョニング・フォーマット・プロバイダとターゲット・システムの間の通信」の説明

実際のプロビジョニング中は、SOAP-SPMLリクエストの作成にVelocityテンプレート・エンジンが使用されます。次のプロセスでは、プロバイダがSPML 2.0 DSMLプロファイルに基づいてSOAPリクエストを生成します。

「組織の作成」、「組織の更新」および「組織の削除」はサポートされていません。これは、汎用テクノロジ・コネクタ用に作成されたリソース・オブジェクトでは組織用のプロビジョニング操作がサポートされていないためです。「グループの作成」、「グループの更新」および「グループの削除」操作はサポートされていません。これは、グループのプロビジョニング操作がOracle Identity Managerでサポートされていないためです。

このプロバイダを選択すると、デフォルトでは「ステップ3: コネクタ構成の変更」ページに次のアイデンティティ・フィールドが「ID」フィールドとともに表示されます。

各プロビジョニング・タスク(「ユーザーの作成」や「ユーザーの変更」など)について、このプロバイダによってリクエストが事前定義済の形式で生成されます。

次の各項では、このプロバイダのパラメータについて説明します。

使用するアプリケーション・サーバーによっては、一部のランタイム・パラメータと設計パラメータは必須になり、一部のパラメータは固定値になります。次の各項では、これらのパラメータについて説明します。

20.3.1 ランタイム・パラメータ

SPMLプロビジョニング・フォーマット・プロバイダのランタイム・パラメータを次に示します。

  • ターゲットID

    この値により、プロビジョニング操作のターゲット・システムを一意に識別します。

  • ユーザー名(認証)

    これは、Webサービス・インタフェース(PSP)を介してターゲット・システム(PST)に接続するために必要なアカウントのユーザー名です。

  • ユーザー・パスワード(認証)

    これは、Webサービス・インタフェース(PSP)を介してターゲット・システム(PST)に接続するために必要なユーザー・アカウントのパスワードです。

20.3.2 設計パラメータ

SPMLプロビジョニング・フォーマット・プロバイダの設計パラメータを次に示します。


関連項目:

この項で説明するSOAP要素および属性の詳細は、次のWebサイトを参照してください。

http://www.w3.org/TR/wsdl20/


  • WebサービスのSOAPアクション

    WSDLファイルでは、これはoperation要素のsoapAction属性の値になります。

  • SPML WebサービスのWSSEが構成されていますか。

    WS-Security資格証明を使用して着信リクエストを認証するようにWebサービスが構成されている場合は、このチェック・ボックスを選択します。

  • カスタム認証資格証明ネームスペース


    注意:

    「SPML WebサービスWSSEが構成されていますか。」チェック・ボックスを選択した場合は、このパラメータの値を指定する必要はありません。

    これは、Webサービス用に定義した資格証明ネームスペースの名前です。多くの場合、このネームスペースはターゲット・ネームスペースと同じになります。

  • カスタム認証ヘッダー要素


    注意:

    「SPML WebサービスWSSEが構成されていますか。」チェック・ボックスを選択した場合は、このパラメータの値を指定する必要はありません。

    これは、ターゲット・システムへの接続に使用されるユーザー・アカウントの資格証明が格納される要素の名前です。つまり、SOAPメッセージ・ヘッダーのカスタム認証セクション内の親要素です。

  • ユーザー名を格納するカスタム要素


    注意:

    「SPML WebサービスWSSEが構成されていますか。」チェック・ボックスを選択した場合は、このパラメータの値を指定する必要はありません。

    これは、「ユーザー名(認証)」パラメータの値として指定するユーザー名が格納されるカスタム認証セクション内の要素の名前です。

  • パスワードを格納するカスタム要素


    注意:

    「SPML WebサービスWSSEが構成されていますか。」チェック・ボックスを選択した場合は、このパラメータの値を指定する必要はありません。

    これは、「ユーザー・パスワード(認証)」パラメータの値として指定するユーザー名が格納されるカスタム認証セクション内の要素の名前です。

  • SPML Webサービスのバインディング・スタイル(DOCUMENTまたはRPC)

    WSDLファイルでは、これはbinding要素のstyle属性の値になります。DOCUMENTまたはRPCを入力する必要があります。


    注意:

    DOCUMENTまたはRPCを入力する必要があります。指定する値に小文字は使用しないでください。

  • SPML Webサービスの複合データ型

    WSDLファイルでは、これはcomplexType要素のname属性の値になります。このパラメータは、バインディング・スタイルがDOCUMENTの場合にのみ適用されます。ターゲットWebサービスがOracle Application Server上で実行されている場合は、このパラメータの値を指定する必要があります。

  • SPML Webサービス操作名

    WSDLファイルでは、これはoperation要素のname属性の値になります。このパラメータは、バインディング・スタイルがRPCの場合にのみ適用されます。

  • SPML Webサービスのターゲット・ネームスペース

    WSDLファイルでは、これはdefinition要素のtargetNamespace属性の値になります。

  • SPML WebサービスのSOAPメッセージ本文の接頭辞

    これは、SOAPメッセージ本文を含んでいるカスタム接頭辞要素の名前です。ターゲットWebサービスがOracle WebLogic Server、IBM WebSphere Application Server、JBoss Application ServerまたはOracle Application Server上で実行されている場合は、このパラメータの値を指定する必要はありません。ただし、別のアプリケーション・サーバーを使用している場合は、カスタム接頭辞要素の名前を入力する必要があります。次に、WebサービスがOracle Application Server上で実行されている場合の接頭辞要素を示します。

    <SPMLv2Document xmlns="http://xmlns.oracle.com/OIM/provisioning">
    
  • グループ・メンバーシップ情報を保持している子データセットのID属性

    これは、グループ・メンバーシップ情報を保持している「プロビジョニング・ステージング」子データセットの一意のアイデンティティ・フィールドの名前です。このフィールドを含む子データセットに対するプロビジョニング操作では、SOAPパケットにグループ操作のSPMLコードが含まれます。次に、この型のグループ操作のSPMLコード・ブロックを示します。

    <modification modificationMode="add">
      <capabilityData capabilityURI="urn:oasis:names:tc:SPML:2:0:reference" mustUnderstand="true">
        <reference typeOfReference="memberOf" xmlns="urn:oasis:names:tc:SPML:2:0:reference">
        <toPsoID ID="Groups:1" targeted="120"/>
    </reference>
      </capabilityData>
    </modification>
    

    このフィールドを含まない子データセットに対するプロビジョニング操作では、SOAPパケットに通常のSPMLコードが含まれます。次に、この型のグループ操作のSPMLコード・ブロックを示します。

    <modification>
      <dsml:modification name="Group Membership" operation="add">
        <dsml:value>AdminOra, System Admins, USA</dsml:value>
      </dsml:modification>
    </modification>
    

20.3.3 必須でないパラメータ

使用するアプリケーション・サーバーによっては、次のパラメータ値を指定する必要はありません。

  • Oracle WebLogic Server

    • SPML Webサービスの複合データ型

    • SPML WebサービスのSOAPメッセージ本文の接頭辞

    • グループ・メンバーシップ情報を保持している子データセットのID属性

  • IBM WebSphere Application Server

    • SPML Webサービスの複合データ型

    • SPML WebサービスのSOAPメッセージ本文の接頭辞

    • グループ・メンバーシップ情報を保持している子データセットのID属性

  • JBoss Application Server

    • SPML Webサービスの複合データ型

    • SPML WebサービスのSOAPメッセージ本文の接頭辞

    • グループ・メンバーシップ情報を保持している子データセットのID属性

  • Oracle Application Server

    • SPML WebサービスのSOAPメッセージ本文の接頭辞

    • グループ・メンバーシップ情報を保持している子データセットのID属性

20.3.4 値が事前定義済のパラメータ

使用するアプリケーション・サーバーによっては、次のパラメータに事前定義済の値を指定できます。

  • Oracle WebLogic Server

    • WebサービスURL: http://IP_address:port_number/spmlws/OIMProvisioning

    • SPML Webサービスのバインディング・スタイル(DOCUMENTまたはRPC): RPC

    • SPML Webサービス操作名: processRequest

  • IBM WebSphere Application Server

    • WebサービスURL: http://IP_address:port_number/spmlws/HttpSoap11

    • SPML Webサービスのバインディング・スタイル(DOCUMENTまたはRPC): DOCUMENT

    • SPML Webサービス操作名: processRequest

  • JBoss Application Server

    • WebサービスURL: http://IP_address:port_number/spmlws/services/HttpSoap11

    • SPML Webサービスのバインディング・スタイル(DOCUMENTまたはRPC): RPC

    • SPML Webサービス操作名: processRequest

  • Oracle Application Server

    • WebサービスURL: http://IP_address:port_number/spmlws/HttpSoap11

    • SPML Webサービスのバインディング・スタイル(DOCUMENTまたはRPC): DOCUMENT

    • SPML Webサービスの複合データ型: SPMLv2Document

    • SPML Webサービス操作名: processRequest

20.4 Webサービス・プロビジョニング・トランスポート・プロバイダ

Webサービス・プロビジョニング・トランスポート・プロバイダは、Webサービス・クライアントとして機能し、プロビジョニング・リクエスト・データをOracle Identity Managerからターゲット・システムWebサービスに転送します。

次のタイプのターゲット・システムWebサービスがサポートされています。

Webサービス・プロビジョニング・トランスポート・プロバイダのパラメータを次に示します。

WebサービスURL

このパラメータを使用して、ターゲット・システムへのプロビジョニング・リクエストの送信に使用するWebサービスのURLを指定します。これはランタイム・パラメータです。WSDLファイルでは、WebサービスURLはwsdlsoap:address要素のlocation属性の値になります。

作成する汎用テクノロジ・コネクタにWebサービス・プロビジョニング・トランスポート・プロバイダを含める場合は、ターゲット・システムとOracle Identity Managerの間にSecure Sockets Layer(SSL)通信を構成する場合があります。次の項では、この手順の詳細を説明します。

20.4.1 Oracle Identity Managerとターゲット・システムWebサービスの間のSSL通信の構成

この項では、Oracle Identity Managerがインストールされているアプリケーション・サーバーをSSL通信用に構成する手順について説明します。

この項で説明する手順は、次の両方の条件を満たす場合にのみ実行できます。

  • 作成する汎用テクノロジ・コネクタにWebサービス・プロビジョニング・トランスポート・プロバイダを含める場合。

  • ターゲットWebサービスがSSL対応アプリケーション・サーバー上で実行されている場合。

Oracle Identity Managerとターゲット・システムWebサービスの間のSSL通信を構成するには、次の手順を実行します。


注意:

この手順は、汎用テクノロジ・コネクタを作成する前でも実行できます。

  1. 次のようにしてターゲット・アプリケーション・サーバーの証明書をエクスポートします。

    • JBoss Application Server、Oracle WebLogic ServerまたはOracle Application Server上にデプロイされているターゲット・システムWebサービスの場合は、次のコマンドを実行します。

      JAVA_HOME/jre/bin/keytool -export -alias default -file 
      exported-certificate-file -keystore 
      app-server-specific-keystore  -storetype jks –storepass keystore-password –provider 
      sun.security.provider.Sun
      

      このコマンドでは、次のように指定します。

      • JAVA_HOMEを、SUN JDKディレクトリのフルパスに置換します。

      • exported-certificate-fileを、エクスポートした証明書を格納するファイルの名前に置換します。

      • app-server-specific-keystoreを、アプリケーション・サーバーのキーストアのパスに置換します。

      • keystore-passwordを、キーストアのパスワードに置換します。

    • IBM WebSphere Application ServerまたはAIX上のOracle Application Server上にデプロイされているターゲット・システムWebサービスの場合は、次のコマンドを実行します。

      JAVA_HOME/jre/bin/keytool -export -alias default -file 
      exported-certificate-file -keystore app-server-specific-keystore -storetype 
      jks –storepass keystore-password -provider com.ibm.crypto.provider.IBMJCE
      

      このコマンドでは、次のように指定します。

      • JAVA_HOMEを、IBM JDKディレクトリのフルパスに置換します。

      • exported-certificate-fileを、エクスポートした証明書を格納するファイルの名前に置換します。

      • app-server-specific-keystoreを、アプリケーション・サーバーのキーストアのパスに置換します。

      • keystore-passwordを、キーストアのパスワードに置換します。

      コマンドを実行すると、エクスポートされた証明書ファイルはexported-certificate-fileの値で指定したファイルに格納されます。

  2. 次のようにして、前の手順でエクスポートした証明書ファイルをOracle Identity Managerのトラストストアにインポートします。

    1. 前の手順でエクスポートした証明書ファイルを、Oracle Identity Managerサーバーの一時ディレクトリにコピーします。

    2. 次のコマンドを実行します。

      JAVA_HOME/jre/bin/keytool -import -trustcacerts -alias servercert -noprompt 
      -keystore OIM_HOME\config\.xlkeystore -file certificate_file
      

      このコマンドでは、次のように指定します。

      • JAVA_HOMEを、JDKディレクトリのフルパスに置換します。IBM WebSphere Application ServerにデプロイされているOracle Identity Management Serverの場合は、IBM JDKディレクトリのパスにする必要があります。JBoss Application Server、Oracle WebLogic ServerまたはOracle Application ServerにデプロイされているOracle Identity Managerの場合は、SUN JDKディレクトリのパスにする必要があります。

      • OIM_HOMEを、Oracle Identity Managerホーム・ディレクトリのパスに置換します。

      • certificate_fileを、証明書ファイルをコピーした一時ディレクトリのパスに置換します。


    注意:

    アプリケーション・サーバーで一方向SSL通信が有効化されている場合は、残りの手順を実行する必要はありません。

  3. 次のようにして、Oracle Identity Managerの証明書をターゲット・システム・アプリケーション・サーバーのトラストストアにインポートします。


    注意:

    次の手順は、アプリケーション・サーバーで双方向SSL通信が有効化されている場合にのみ実行します。

    1. Oracle Identity Managerの証明書ファイルをエクスポートします。

      JBoss Application Server、Oracle WebLogic ServerまたはOracle Application ServerにデプロイされているOracle Identity Managerの場合は、次のコマンドを実行します。

      JAVA_HOME/jre/bin/keytool -export -alias xell -file 
      OIM_HOME\config\xell.cert -keystore OIM_HOME\config\.xlkeystore -storetype 
      jks –provider sun.security.provider.Sun
      

      このコマンドでは、次のように指定します。

      - JAVA_HOMEを、SUN JDKディレクトリのフルパスに置換します。

      - OIM_HOMEを、Oracle Identity Managerホーム・ディレクトリのパスに置換します。

      IBM WebSphere Application ServerにデプロイされているOracle Identity Managerの場合は、次のコマンドを実行します。

      JAVA_HOME/jre/bin/keytool -export -alias xell -file 
      OIM_HOME\config\xell.cert -keystore OIM_HOME\config\.xlkeystore -storetype 
      jks -provider com.ibm.crypto.provider.IBMJCE
      

      このコマンドでは、次のように指定します。

      - JAVA_HOMEを、IBM JDKディレクトリのフルパスに置換します。

      - OIM_HOMEを、Oracle Identity Managerホーム・ディレクトリのパスに置換します。

    2. 次のようにして、手順3でエクスポートした証明書ファイルをアプリケーション・サーバーのトラストストアにインポートします。

      エクスポートしたOracle Identity Managerの証明書ファイルを、ターゲット・アプリケーション・サーバー上の一時ディレクトリにコピーします。

      次に、ターゲット・アプリケーション・サーバーで次のコマンドを実行します。

      • ターゲット・アプリケーション・サーバーがJBoss Application Server、Oracle WebLogic ServerまたはOracle Application Serverである場合は、次のコマンドを実行します。

        JAVA_HOME/jre/bin/keytool –import –alias alias -trustcacerts  
        -file OIM-certificate-file -keystore app-server-specific-truststore  
        -storetype jks –storepass truststore-password –provider 
        sun.security.provider.Sun
        

        このコマンドでは、次のように指定します。

        * JAVA_HOMEを、SUN JDKディレクトリのフルパスに置換します。

        * aliasを、ターゲット・アプリケーション・サーバーのトラストストアにある証明書の別名に置換します。

        * OIM-certificate-fileを、エクスポートしたOracle Identity Manager証明書ファイルの名前に置換します。

        * app-server-specific-truststoreを、ターゲット・アプリケーション・サーバーのトラストストアのパスに置換します。

        * truststore-passwordを、ターゲット・アプリケーション・サーバーのトラストストアのパスワードに置換します。

      • ターゲット・アプリケーション・サーバーがIBM WebSphere Application Serverである場合は、次のコマンドを実行します。

        JAVA_HOME/jre/bin/keytool -import -alias alias -trustcacerts -file 
        OIM-certificate-file -keystore app-server-specific-truststore 
        -storetype pkcs12 –storepass truststore-password 
        -provider com.ibm.crypto.provider.IBMJCE
        

        このコマンドでは、次のように指定します。

        * JAVA_HOMEを、SUN JDKディレクトリのフルパスに置換します。

        * aliasを、ターゲット・トラストストアにある証明書の別名に置換します。

        * OIM-certificate-fileを、エクスポートしたOracle Identity Manager証明書ファイルの名前に置換します。

        * app-server-specific-truststoreを、ターゲット・アプリケーション・サーバーのトラストストアのパスに置換します。

        * truststore-passwordを、ターゲット・アプリケーション・サーバーのトラストストアのパスワードに置換します。


      関連項目:

      ターゲット・アプリケーション・サーバーについては、SSL構成のドキュメントを参照してください。

20.5 変換プロバイダ


注意:

この項に示す情報は、「「ステップ3: コネクタ構成の変更」ページ」に記載されている手順を実行するときに使用してください。

変換プロバイダは、次の表に示すソース・データセットと宛先データセット間で移動中のユーザー・データを変換するために使用されます。

ソース・データセット 宛先データセット 変換の目的
ソース リコンシリエーション・ステージング リコンシリエーション・イベントの作成に使用する前にデータを変換します。
OIM プロビジョニング・ステージング ターゲット・システムに送信されるプロビジョニング・リクエストの作成に使用する前にデータを変換します。

Oracle Identity Managerの現在のリリースには、次の事前定義済変換プロバイダが含まれています。

20.5.1 連結変換プロバイダ

連結変換プロバイダは、データセットの2つのフィールドの値を連結して、別のデータセットの単一フィールドへの入力を作成するために使用します。

次の例では、このプロバイダの出力形式について説明します。

入力値が「ソース」データセットの次のフィールドであるとします。

  • 名: John

  • 姓: Doe

連結変換プロバイダをこの2つのフィールドに適用すると、出力値は次のようになります。

John Doe


注意:

前述の例に示すように、連結変換プロバイダでは2つの入力フィールドの値の間に空白を追加します。

次の手順では、汎用テクノロジ・コネクタの作成中に連結変換プロバイダを追加する方法について説明します。


注意:

この手順では、「データセットのフィールドの追加または編集」の手順5に記載されている手順を詳しく説明しています。ここでは、「ステップ1: フィールド情報」ページの「アクションのマッピング」リストから「連結」オプションをすでに選択し、このセクションのステップ2と3をすでに実行したことを前提にしています。

ポップアップ・ウィンドウの「ステップ2: マッピング」ページで、次の手順を実行します。

  1. 「入力1」リージョンの「データセット」リストから、連結する最初のフィールドを含むデータセットを選択します。次に、「フィールド名」リストから最初のフィールドを選択します。または、「リテラル」オプションを使用してリテラル(固定)値を最初の連結入力として指定することも可能です。

    前述の例の場合は、「入力1」リージョンの「データセット」リストから、「名」フィールドを含むデータセットを選択します。次に、「フィールド名」リストから「名」を選択します。

  2. 「入力2」リージョンの「データセット」リストから、連結する2番目のフィールドを含むデータセットを選択します。次に、「フィールド名」リストから2番目のフィールドを選択します。または、「リテラル」オプションを使用してリテラル(固定)値を2番目の連結入力として指定することも可能です。

    前述の例の場合は、「入力2」リージョンの「データセット」リストから、「姓」フィールドを含むデータセットを選択します。次に、「フィールド名」リストから「姓」を選択します。

20.5.2 翻訳変換プロバイダ

変換操作では、特定の(リテラル)値を入力として受け入れ、それを別の値に変換します。

次に変換操作の例を示します。

「ソース」データセットに「国」フィールドが含まれており、このフィールドに格納されているデータ値が次のいずれかの値を取ることができるとします。

  • オーストリア

  • フランス

  • ドイツ

  • インド

  • 日本

これらの値を「リコンシリエーション・ステージング」データセットに伝播する場合、それぞれの値を次のように変換するとします。

  • AT

  • FR

  • DE

  • IN

  • JP

この変換を自動化するには、翻訳変換プロバイダを使用できます。

翻訳変換プロバイダを使用するには、次の手順を実行します。

  1. Design Consoleを使用して、入力およびデコード値を格納する参照定義を作成します。


    関連項目:

    参照定義の作成方法の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。


    注意:

    参照定義を「Lookup Definition」フォームで作成する場合は、Field TypeオプションではなくLookup Typeオプションを選択する必要があります。

    前述の「国」フィールドの例では、コード・キーおよびデコードは次の表に示す値になります。

    コード・キー デコード
    オーストリア AT
    フランス FR
    ドイツ DE
    インド IN
    日本 JP

  2. 変換対象の入力フィールドと出力フィールドの間の変換マッピングを定義します。前述のとおり、変換は次のデータセットのペア間で設定できます。

    • 「ソース」と「リコンシリエーション・ステージング」

    • 「OIM」と「プロビジョニング・ステージング」


    注意:

    この手順では、「データセットのフィールドの追加または編集」の手順5に記載されている手順を詳しく説明しています。ここでは、「ステップ1: フィールド情報」ページの「アクションのマッピング」リストから「連結」オプションをすでに選択し、このセクションのステップ2と3をすでに実行したことを前提にしています。

    1. 「ステップ3: マッピング」ページで、「入力」リージョンの「データセット」リストから、変換操作を行う入力値を提供するフィールドのあるデータセットを選択します。次に、「フィールド名」リストからフィールド自体を選択します。

      前述の「国」フィールドの例では、「国」フィールドのあるデータセットを選択してから、「国」フィールドを選択します。

    2. 「参照コード名」リージョンで、「リテラル」を選択し、前の手順で作成した参照定義の名前を入力します。


      注意:

      「参照コード名」リージョンではデータセット名およびフィールドを指定しないでください。データセット名およびフィールドの選択を無効にする検証は行われませんが、実際のリコンシリエーションまたはプロビジョニングの操作時に変換操作に失敗します。

      これについては、「マッピング」にも記載されています。


      前述の「国」フィールドの例では、「リテラル」を選択してから、手順1で作成した参照定義を選択します。

20.5.2.1 アカウント・ステータスのリコンシリエーションの構成

ユーザー・アカウント・ステータス情報は、ターゲット・システム・アカウントの所有者がそのアカウントへのアクセスおよび使用を許可されているかどうかをトラッキングする場合に使用されます。必要に応じて、翻訳変換プロバイダを使用してアカウント・ステータス情報をリコンサイルできます。


注意:

Design Consoleでは、アカウント・ステータスのリコンシリエーションを構成する別の方法が提供されます。この方法では、汎用テクノロジ・コネクタは使用しません。この方法の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』のアカウント・ステータスのリコンシリエーションに関する項を参照してください。

翻訳変換プロバイダを使用する必要があるのは、ターゲット・システムで使用されるアカウント・ステータスの値が、Oracle Identity Managerで使用される値と同じでない場合のみです。ターゲット・リソースに対して、Oracle Identity Managerでは次の値が使用されます。

  • 有効状態: Enabled

  • 無効状態: Disabled

信頼できるソースに対しては、Oracle Identity Managerでは次の値が使用されます。

  • 有効状態: Active

  • 無効状態: Disabled

次に、アカウント・ステータスのリコンシリエーションを構成する手順を簡単に説明します。


注意:

これらの手順の詳しい説明はこの項で後述します。

  1. ターゲット・システムで使用されるステータス値とOracle Identity Managerで使用される値をマップする参照定義を作成します。

  2. 汎用テクノロジ・コネクタを作成する際に、翻訳変換プロバイダを使用して、「ソース」データセットと「リコンシリエーション・ステージング」データセットのアカウント・ステータス値を含むフィールド間に変換マッピングを作成します。

    次に、実行する必要があるアクションの例を示します。

    アカウント・ステータス値を保持するために次のフィールドが使用されているとします。

    • 「ソース」データセットの「ユーザー・ステータス」フィールドには、True(Enabled状態のユーザー)とFalse(Disabled状態のユーザー)の値が含まれます。

    • 「リコンシリエーション・ステージング」データセットの「ユーザー・ステータス」フィールドは、次のいずれかの組合せの値を保持する必要があります。

      • ターゲット・リソースのリコンシリエーションでは、このフィールドはEnabledまたはDisabledを含む必要があります。

      • 信頼できるソースのリコンシリエーションでは、このフィールドはActiveまたはDisabledを含む必要があります。

    「ソース」データセットの「ユーザー・ステータス」フィールドのTrue/False値をEnabled/Disabled値またはActive/Disabled値に変換する変換マッピングを作成する必要があります。リコンシリエーション時には、これらの変換された値が「リコンシリエーション・ステージング」データセットの「ユーザー・ステータス」フィールドに送信されます。

  3. 「リコンシリエーション・ステージング」データセットのアカウント・ステータス値を保持するフィールドと次のいずれかのフィールド間のマッピングを作成します。

    • 「OIM - アカウント」データセットの「OIMオブジェクト・ステータス」フィールド(ターゲット・リソースのリコンシリエーションの場合)

    • 「OIM - ユーザー」データセットの「ステータス」フィールド(信頼できるソースのリコンシリエーションの場合)

    リコンシリエーション時には、このマッピングが使用されて、「リコンシリエーション・ステージング」データセットのステータス値が「OIM - アカウント」または「OIM - ユーザー」データセットに伝播されます。

アカウント・ステータスのリコンシリエーションを構成する詳しい手順を次に示します。

  1. ターゲット・システムで使用されるステータス値とOracle Identity Managerで使用される値をマップする参照定義を作成します。


    関連項目:

    『Oracle Identity Managerデザイン・コンソール・ガイド』の「Lookup Definition」フォームに関する項

    参照定義のコード・キーの値は、ターゲット・システムでアカウント・ステータスを表すために使用されている値と同じである必要があります。信頼できるリソースとターゲット・リソースの両方のリコンシリエーションのコード・キーおよびデコードの値を次の表に示します。

    コード・キー デコード(信頼できるソースのリコンシリエーションの場合) デコード(ターゲット・リソースのリコンシリエーションの場合)
    Enabled状態のユーザー・アカウントのターゲット・システム・ステータス値 Active Enabled
    Disabled状態のユーザー・アカウントのターゲット・システム・ステータス値 Disabled Disabled

    コード・キー値の例には、True/FalseYes/Noおよび1/0があります。デコードの値は、表に示すとおり(大/小文字も含めて)正確に設定する必要があります。


    注意:

    参照定義を「Lookup Definition」フォームで作成する場合は、Field TypeオプションではなくLookup Typeオプションを選択する必要があります。

  2. 汎用テクノロジ・コネクタを作成する手順は、第22章で説明します。汎用テクノロジ・コネクタを作成するときは、次の手順を「ステップ3: コネクタ構成の変更」ページで実行します。


    注意:

    次の手順は、「データセットのフィールドの追加または編集」に示された手順を簡略にまとめたものです。ここで説明している用語やGUI要素の詳細は、この項を参照してください。

    1. ターゲット・システムのステータス・フィールドが「ステップ3: コネクタ構成の変更」ページに表示されている場合は、「リコンシリエーション・ステージング」データセットのフィールドに対する「編集」アイコンをクリックします。

      フィールドが表示されていない場合は、「リコンシリエーション・ステージング」データセットの「追加」アイコンをクリックします。

    2. 「ステップ1: フィールド情報」ページで次のGUI要素の値を指定します。

      • フィールド名: フィールドを追加する場合は、そのフィールドの名前を指定します。非ASCII文字は使用できないため、指定するフィールド名にはASCII文字のみを使用します。

      • アクションのマッピング: このリストで「変換ありでマッピングの作成」を選択します。

      • 一致のみ: このチェック・ボックスは選択しないでください。

      • エンドツーエンド・マッピングの作成: フィールドを追加している場合は、このチェック・ボックスを選択します。

      • 複数値フィールド: このチェック・ボックスは選択しないでください。

      • データ型: フィールドのデータ型を選択します。

      • 長さ: フィールドの文字の長さを指定します。

      • 必須: フィールドに値が常に入力されるようにするには、このチェック・ボックスを選択します。

      • 暗号化: このチェック・ボックスは選択しないでください。

      • パスワード・フィールド: このチェック・ボックスは選択しないでください。

    3. 「続行」をクリックします。

    4. 「ステップ3: マッピング情報の指定」ページで次の手順を実行します。

      「入力」リージョンで次のようにします。

      • 「データセット」リストで「ソース」を選択します。

      • 「フィールド名」リストで、ステータス値を含むフィールドを選択します。

      「参照コード名」リージョンで、「リテラル」を選択し、手順1で作成した参照定義の名前を入力します。

    5. 必要な場合は、フィールドの検証チェックを選択して「追加」をクリックします。つまり、使用する検証プロバイダを選択します。

    6. 「続行」をクリックし、「閉じる」をクリックします。

  3. 「リコンシリエーション・ステージング」データセットのステータス・フィールドと、「OIM - アカウント」データセットの「OIMオブジェクト・ステータス」フィールドまたは「OIM - ユーザー」データセットの「ステータス」フィールドのいずれかの間で次のようにマッピングを作成します。


    注意:

    次の手順は、「データセットのフィールドの追加または編集」に示された手順を簡略にまとめたものです。

    1. ターゲット・リソースのリコンシリエーションの場合は、「OIM - アカウント」データセットの「OIMオブジェクト・ステータス」フィールドの編集アイコンをクリックします。

      ターゲット・リソースのリコンシリエーションの場合は、「OIM - ユーザー」データセットの「ステータス」フィールドの編集アイコンをクリックします。


      注意:

      「リコンシリエーション・ステージング」データセットのステータス・フィールドと、「OIMオブジェクト・ステータス」フィールドまたは「ステータス」フィールドの間にマッピングがすでに存在する場合は、必要な場合にのみこの手順を使用します。

    2. 「ステップ1: フィールド情報」ページで次のGUI要素の値を指定します。

      • アクションのマッピング: このリストで「変換なしでマッピングの作成」を選択します。

      • 一致のみ: このチェック・ボックスは選択しないでください。

    3. 「続行」をクリックします。

    4. 「ステップ3: マッピング」ページの「入力」リージョンで、「リコンシリエーション・ステージング」データセットのステータス・フィールドを選択します。

    5. 「続行」をクリックし、さらに「続行」をクリックしてから「閉じる」をクリックします。

    6. 「ステップ3: コネクタ構成の変更」ページに表示されるその他のフィールドを追加または編集するには、「データセットのフィールドの追加または編集」に示された手順を実行します。

20.6 検証プロバイダ

表20-1に、Oracle Identity Managerの現在のリリースに含まれている検証プロバイダを示します。


注意:

日付書式の検証プロバイダを除き、この表のすべてのプロバイダはApache Jakarta Commons APIのGenericValidatorクラスのメソッドの実装です。

表20-1 検証プロバイダ

検証プロバイダ 説明

IsNotBlankOrNull

フィールド値がNULLまたは空白かどうかをチェックします。

IsValidDate

フィールド値が使用ロケールに対して有効な日付かどうかをチェックします。

注意: 日付書式はロケールによって異なります。このプロバイダを選択する場合は、検証に使用する日付書式のあるロケールも指定してください。

IsInRange

フィールド値が最小値と最大値のペアで指定された範囲内かどうかをチェックします。

IsByte

フィールド値を基本型byteに変換できるかどうかをチェックします。

IsDouble

フィールド値を基本型doubleに変換できるかどうかをチェックします。

IsFloat

フィールド値を基本型floatに変換できるかどうかをチェックします。

IsInteger

フィールド値を基本型integerに変換できるかどうかをチェックします。

IsLong

フィールド値を基本型longに変換できるかどうかをチェックします。

IsShort

フィールド値を基本型shortに変換できるかどうかをチェックします。

MatchRegexp

フィールド値が指定の正規表現と一致するかどうかをチェックします。

注意: 正規表現は、一連の文字列を特定の構文ルールに従って記述または一致させるために使用する文字列です。

MaxLength

フィールド値の長さが指定値以下かどうかをチェックします。

MinLength

フィールド値の長さが指定値以上かどうかをチェックします。

日付書式の検証

ターゲット・システム・レコード内の日付値を、Oracle Identity Managerへのリコンサイル前に検証します。

「ソース日付書式」パラメータの値が検証の基礎として使用されます。この検証プロバイダは、「ステップ2: パラメータ値の指定」ページで「ソース日付書式」パラメータの値を指定した場合、このプロバイダを「ステップ3: コネクタ構成の変更」ページで選択するかどうかに関係なく適用されます。

注意: この表の他のプロバイダとは異なり、「日付書式の検証」はApache Jakarta Commons APIのGenericValidatorクラスのメソッドの実装ではありません。