| Oracle Identity Manager CA-ACF2 Advanced Connectorガイド リリース9.0.4 E05493-02 |
|
 戻る |
 次へ |
コネクタを使用すると、ターゲット・システムからのユーザー・データのリアルタイム・リコンシリエーションが可能になります。コネクタをデプロイし、ターゲット・システムからOracle Identity Managerに既存のユーザー・データをインポートすれば、ターゲット・システムでリコンシリエーションの実行を開始するためにスケジュール済タスクに依存する必要がなくなります。
この章では次の項目について説明します。
|
注意: この項で説明する手順により、初期リコンシリエーション実行と後続のリアルタイム・リコンシリエーション実行の両方で、信頼できるソースのリコンシリエーションが可能になります。 |
信頼できるソースのリコンシリエーション用のXMLファイル(oimAcf2TrustedXellerateUser.xml)には、信頼できるソースのリコンシリエーションに使用されるコネクタ・コンポーネントの定義が含まれています。このXMLファイルをインポートするには、次のようにします。
左のナビゲーション・ペインの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くダイアログ・ボックスが表示されます。
oimAcf2TrustedXellerateUser.xmlファイルを検索して開きます。このファイルはOIM_HOME/xellerate/XLIntegrations/acf2/xml/ディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「インポート」をクリックします。
表示されるメッセージで、「インポート」をクリックしてXMLファイルのインポートを確認します。次に、「OK」をクリックします。
初期リコンシリエーション実行では、コネクタをデプロイした直後に、ターゲット・システムからOracle Identity Managerへのユーザー・データのインポートが行われます。
初期リコンシリエーション実行を開始するには、次のようにします。
runスクリプトおよびrun_initial_recon_provisioningスクリプトの両方に共通のプロパティの値が同一であることを確認します。
runスクリプトは、LDAP_INSTALL_DIR/binディレクトリにあります。run_initial_recon_provisioningスクリプトは、OIM_HOME/Xellerate/JavaTasksディレクトリにあります。
テキスト・エディタで、OIM_HOME/xellerate/JavaTasks/initialAcf2Adv.propertiesファイルを開きます。
initialAcf2Adv.propertiesファイルで、初期リコンシリエーション・スクリプトを制御するプロパティに値を指定します。
|
注意: initialAcf2Adv.propertiesファイルおよびlib/acf2Connection.propertiesファイルに共通のプロパティの値が同一であることを確認してください。 |
初期リコンシリエーションを制御するファイルのプロパティは次のとおりです。
xlAdminId: Oracle Identity Managerの管理者ID。
idfTrusted: このプロパティの値としてtrueを入力し、ターゲット・システムで信頼できるソースのリコンシリエーションを実行することを指定します。ターゲット・リソースのリコンシリエーションを指定する場合は、falseを入力します。
_resourceObject_: リコンシリエーションのリソース・オブジェクト。
_itResource_: ターゲット・リソースのリコンシリエーションのITリソース。
_dummyPwd_: 初期リコンシリエーションの仮パスワード。
isFileRecon: 値はtrueで、ファイルベースの初期リコンシリエーションを指定します。この値は変更できません。
userFile: リコンサイルするターゲット・システム・ユーザーのユーザーIDを格納したTXTファイルの名前を入力します。このファイルは、次のディレクトリに配置する必要があります。
OIM_HOME/xellerate/JavaTasks
このファイルの詳細は、インストール・メディアのscriptsディレクトリにあるサンプルのuser.txtファイルを参照してください。
#REMOVED: このプロパティは無視します。
reconAttrs: リコンサイルされるフィールド。
tsoReconAttrs: リコンサイルされるTSOフィールド。
idfServerUrl: LDAP Gatewayのホストおよびポートを入力します。
initialAcf2Adv.propertiesファイルのその他のプロパティ値は変更できません。
次に、initialAcf2Adv.propertiesファイルのプロパティのサンプル値を示します。
xlAdminId:xelsysadm idfTrusted:false _resourceObject_:OIMAcf2ResourceObject _itResource_:Acf2Resource _dummyPwd_:Pwd123 isFileRecon:true userFile:user.txt #REMOVED: sn,givenName,revoke,identificationUID,cicsid,minDays,maxDays,prefix, reconAttrs:uid,cn,userPassword,activeDate,passwordExpire,accessCnt,accessDate, accessSrce,accessTime,kerbVio,kerbCurv,pswdDate,pswdInv,pswdTod,pswdVio,defaultGroup,secVio,updTod tsoReconAttrs:tsoDftPfx,tsoAcctNum,tsoProc,tsoSize,tsoRba,tsoUnit,tsoPerf,tsoCommand,tsoDest, tsoHoldclass,tsoMsgclass,tsoMaxSize,tsoSysoutclass,tsoSubmitclass,tsoMail,tsoAcctPriv, tsoAllCmds,tsoJcl,tsoWtp,tsoFscrn,tsoMount,tsoOperator,tsoNotices,tsoPrompt,tsoLgnAcct, tsoLgnMsg,tsoLgnPerf,tsoLgnProc,tsoLgnTime,tsoLgnRcvr,tsoLgnSize,tsoLgnUnit,tsoIntercom idfServerUrl:ldap://localhost:5389 idfAdminDn:cn=idfAcf2Admin, dc=acf2,dc=com idfAdminPwd:idfAcf2Pwd ouPeople:ou=People ouGroups:ou=Groups ouDatasets:ou=Datasets ouResources:ou=Resources ouFacilities:ou=Facilities ouBaseDn:dc=acf2,dc=com idfSystemAdminDn:cn=Directory Manager, dc=system,dc=backend idfSystemAdminPwd:testpass idfSystemDn:dc=system,dc=backend
テキスト・エディタで、OIM_HOME/xellerate/JavaTasks/run_initial_recon_provisioningスクリプトを開きます。
信頼できるソースのリコンシリエーションを実行するには、次のようにします。
|
注意: ターゲット・リソースのリコンシリエーションのみを実行する場合は、手順5を無視してください。 |
スクリプトのJVパラメータの値を–Xに設定し、Xellerate Userをリコンサイルします。
スクリプトを実行します。
スクリプトを実行すると、ユーザー・データが含まれるファイル(名前はuserFileプロパティの値)が開かれ、リコンサイルするユーザーのユーザーIDが読み取られます。その後、初期ロード・スクリプトであるローダーがLDAP Gatewayに接続され、ターゲット・システムから必要なユーザー・データをフェッチするためのコマンドが発行されます。このデータはLDAP Gatewayキャッシュにロードされ、Oracle Identity Managerにリコンシリエーション・イベントが送信されます。initialAcf2Adv.propertiesファイルのuserFileプロパティで識別されるすべてのターゲット・システム・ユーザーに、Xellerate Userが作成されます。
run_initial_recon_provisioningスクリプトで、JVパラメータの値を-Rに変更し、ターゲット・リソースのリコンシリエーションを実行します。
再度スクリプトを実行します。
スクリプトでJVパラメータの値を-Rに設定したため、ターゲット・リソースのリコンシリエーションはスクリプトの実行時に実行されます。最初にスクリプトを実行した際に作成された各OIMユーザーに、リソースが割り当てられます。
ターゲット・リソースのリコンシリエーションのみを実行するには、次のようにします。
|
注意: 信頼できるソースのリコンシリエーションを実行する場合は、手順6を無視してください。 |
テキスト・エディタでinitialAcf2Adv.propertiesファイルを開き、idfTrustedプロパティの値としてfalseを入力し、ターゲット・システムでターゲット・リソースのリコンシリエーションを実行することを指定します。
acf2Connection.propertiesファイルにも必ず同様の変更を行います。
run_initial_recon_provisioningスクリプトで、JVパラメータの値を-Pに変更し、ターゲット・リソースのリコンシリエーションを実行します。
再度スクリプトを実行します。
スクリプトでJVパラメータの値を-Pに設定したため、ターゲット・リソースのリコンシリエーションはスクリプトの実行時に実行されます。
この初期リコンシリエーション実行が完了したら、以降のリコンシリエーションはリアルタイムに実行され、新しく作成または変更されたユーザー・データがOracle Identity Managerに自動的にリコンサイルされていきます。
フォルト・トレランスに問題があり、LDAP GatewayとReconciliation Agentが長時間停止している場合は、ユーザー・データが失われている可能性があるため、完全リコンシリエーションを実行します。
ターゲット・システムでユーザーのアカウントが無効化または有効化されている場合、ユーザーがリコンサイルされ、変更されたステータスがOracle Identity Managerに反映されます。アカウント・ステータス・データのリコンシリエーションを構成するには、次のようにします。
LDAP_INSTALL_DIR/acf2Connection.propertiesファイルで、reconAttrsセクションにステータス・フィールドの名前を追加します。
OIM_HOME/xellerate/JavaTasksディレクトリにある、initialAcf2Adv.propertiesファイルにも同じ変更を行います。
変更内容が反映されるようにLDAP Gatewayを再起動します。
Design Consoleで次の操作を実行します。
|
関連項目: 次の手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
OIMAcf2ResourceObjectリソース・オブジェクトに、リコンシリエーション・フィールド「Status」を作成します。
OIMAcf2ProvisioningProcessプロセス定義で、「Status」フィールドをOIM_OBJECT_STATUSフィールドにマップします。
プロビジョニングの新規フィールドをCA-ACF2に追加するには、次のようにします。
|
関連項目: この手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Oracle Identity Manager Design Consoleにログインします。
「Development Tools」フォルダを開きます。
「Form Designer」をダブルクリックします。
UD_ACF2_ADV_MODELプロセス・フォームなど、CA-ACF2メイン・プロセス・フォームを検索して開きます。
「Create New Version」→「Add」をクリックします。
フィールドの詳細を入力します。たとえば、uidフィールドを追加している場合は、「Name」フィールドにUSERと入力し、このフィールドのその他の詳細を入力します。
「Save」をクリックして、「Make Version Active」をクリックします。
「Administration」フォルダを開きます。
「Lookup Definition」をダブルクリックします。
AtMap.ACF2参照定義に新規の「Attribute Form Column Name」を追加します。たとえば、「Code Key」値はUD_ACF2_ADV_MODELで、「Decode」値はmodelです。「Code Key」値はACF2メイン・プロセス・フォームの列名で、「Decode」値は、対応するLDAPフィールド名にマップする、ターゲットCA-ACF2システムのフィールド名です。
Oracle Identity Managerの新規カスタム・フィールドに更新プロセス・タスクを追加する場合は、CA-ACF2のadpMODIFYUSERアダプタを使用して、Oracle Identity Managerフィールドに関連付けられている新規プロセス・タスクを作成します。
