| Oracle Identity Manager RSA Authentication Manager Connectorガイド リリース9.0.4 E05509-02 |
|
 戻る |
 次へ |
コネクタをデプロイしたら、要件に合せて構成する必要があります。この章では、次のコネクタ構成手順を説明します。
|
注意: これらの項では、コネクタの構成に関する概念および手順の両方を説明します。概念情報を確認してから手順を実行することをお薦めします。 |
|
注意: この章では、コネクタのカスタマイズに関する概念および手順の両方を説明します。概念情報を確認してから手順を実行することをお薦めします。 |
このガイドで前述したように、リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの追加および変更を、Oracle Identity Manager内で複製することです。この項では、リコンシリエーションの構成に関する次の項目について説明します。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
このコネクタの場合、フィルタを作成するには、「リコンシリエーションのスケジュール済タスクの構成」で説明されている手順を実行する際に、スケジュール済タスク属性の「CustomReconQuery」、「CompareType」および「GroupTokenizerForCustomReconQuery」に値を指定します。
問合せ条件を作成する際に、次の属性を使用できます。
Last Name
First Name
Default Login
Permanent or Temporary
By Token
By User Extension
Group
次の表に、問合せ条件の例を示します。
| CustomReconQuery | CompareType | 説明 |
|---|---|---|
[none] |
注意: 任意の値を指定できますが、スケジューラでは空白の値からなる属性は許可されていないため、空白の値は指定できません。 | ターゲット・システムで利用できるすべてのユーザーを取得する。 |
Last Name=D |
Begins With |
姓がDで始まるすべてのユーザーを取得する。 |
Last Name=Doe |
Equals To |
姓がDoeであるすべてのユーザーを取得する。 |
Last Name=oe |
Contains |
姓にoeが含まれているすべてのユーザーを取得する。 |
First Name=J |
Begins With |
名がJで始まるすべてのユーザーを取得する。 |
First Name=John |
Equals To |
名がJohnであるすべてのユーザーを取得する。 |
First Name=oh |
Contains |
名にohが含まれているすべてのユーザーを取得する。 |
First Name |
With Empty Value |
名が空白の値であるすべてのユーザーを取得する。 |
First Name |
With Non Empty Value |
名が空白の値ではないすべてのユーザーを取得する。 |
Default Login=j |
Begins With |
デフォルト・ログインがjで始まるすべてのユーザーを取得する。 |
Default Login=john |
Equals To | デフォルト・ログインがjohnであるすべてのユーザーを取得する。 |
Default Login=oh |
Contains |
デフォルト・ログインにohが含まれているすべてのユーザーを取得する。 |
By Token |
Lost Tokens |
トークンのステータスがLostであるすべてのユーザーを取得する。 |
By Token |
All With Passwords |
パスワードが設定済であるすべてのユーザーを取得する。 |
By Token |
All With Expired Tokens |
トークンのステータスがExpiredであるすべてのユーザーを取得する。 |
By User Extension |
All With Extension |
拡張データが設定済であるすべてのユーザーを取得する。 |
By User Extension |
All Without Extension |
拡張データが設定されていないすべてのユーザーを取得する。 |
By User Extension=key1 |
All With Extension Keys |
拡張データが設定済で、キーがkey1であるすべてのユーザーを取得する。 |
By User Extension=key1 |
All Without Extension Keys |
拡張データが設定されていなくて、キーがkey1であるすべてのユーザーを取得する。 |
Permanent or Temporary |
All Permanent |
すべての永久ユーザーを取得する。 |
Permanent or Temporary |
All Temporary |
すべての一時ユーザーを取得する。 |
複数のグループに所属するユーザーをリコンサイルする場合は、CustomReconQueryの値として複数のグループを指定できます。たとえば、CustomReconQuery=grp1,grp2,grp3です。この例では、グループ名をカンマで区切っています。次に示すようにGroupTokenizerForCustomReconQueryの値を指定することにより、セパレータを指定できます。
GroupTokenizerForCustomReconQuery=,
次の表に、GroupTokenizerForCustomReconQueryの値を指定した問合せ条件の例を示します。
| CustomReconQuery | CompareType | GroupTokenizerForCustomReconQuery | 説明 |
|---|---|---|---|
Group=grpParent,grpChild1
注意: グループ名にカンマが含まれている場合は、$など他の任意のセパレータを指定できます。 |
注意: 任意の値を指定できますが、スケジューラでは属性に対して空白の値は許可されていないため、空白の値は指定できません。 | $ |
grpParent,grpChild1グループに所属するすべてのユーザーを取得する。 |
Group=grpParent,grpChild1$ grpParent,grpChild2 |
任意の値 | $ |
grpParent,grpChild1グループまたはgrpParent,grpChild2グループに所属するすべてのユーザーを取得する。 |
コネクタの構成中に、ターゲット・システムを、信頼できるソースまたはターゲット・リソースとして指定できます。ターゲット・システムを信頼できるソースとして指定すると、新規作成されたユーザー・アカウントと変更されたユーザー・アカウントの両方が、Oracle Identity Managerでリコンサイルされます。ターゲット・システムをターゲット・リソースとして指定すると、変更されたユーザー・アカウントのみがOracle Identity Managerでリコンサイルされます。
|
注意: ターゲット・システムをリコンシリエーションの信頼できるソースとして指定しない場合は、この項を省略してかまいません。 |
信頼できるソースのリコンシリエーションの構成には、次の手順が含まれます。
デプロイメント・マネージャを使用して、信頼できるソースのリコンシリエーション用のXMLファイル(RSAAuthManagerXLResourceObject.xml)をインポートします。この項では、XMLファイルのインポート手順を説明します。
|
注意: 信頼できるソースとして指定できるのは、1つのターゲット・システムのみです。別の信頼できるソースを構成している状態でRSAAuthManagerXLResourceObject.xmlファイルをインポートした場合、2つのコネクタのリコンシリエーションはいずれも機能しなくなります。 |
スケジュール済タスクのIsTrusted属性をTrueに設定します。ユーザー・リコンシリエーションのスケジュール済タスクの構成中に、この属性の値を指定します。これについては、このガイドで後述します。
信頼できるソースのリコンシリエーション用のXMLファイルをインポートするには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを検索するダイアログ・ボックスが表示されます。
RSAAuthManagerXLResourceObject.xmlファイルを検索して開きます。このファイルはOIM_HOME/xellerate/XLIntegrations/AuthManager/xmlディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「インポート」をクリックします。
表示されるメッセージで、「インポート」をクリックしてXMLファイルのインポートを確認します。次に、「OK」をクリックします。
信頼できるソースのリコンシリエーション用のXMLファイルをインポートしたら、リコンシリエーションのスケジュール済タスクのIsTrusted属性の値をTrueに設定する必要があります。この手順は、「リコンシリエーションのスケジュール済タスクの構成」の項で説明されています。
「手順5: コネクタのXMLファイルのインポート」で説明する手順を実行すると、参照フィールドおよびユーザー・リコンシリエーションに対するスケジュール済タスクが、Oracle Identity Managerで自動的に作成されます。このスケジュール済タスクを構成するには、次のようにします。
「Xellerate Administration」フォルダを開きます。
「Task Scheduler」を選択します。
「Find」をクリックします。事前定義されたスケジュール済タスクの詳細が表示されます。
「Max Retries」フィールドに数値を入力します。この数はOracle Identity Managerがタスクを完了するために試行する回数です。この数を超えると、FAILEDステータスがタスクに割り当てられます。
「Disabled」チェック・ボックスと「Stop Execution」チェック・ボックスが選択されていないことを確認します。
「Start」リージョンで「Start Time」フィールドをダブルクリックします。表示される日付時間エディタで、タスクを実行する日付と時間を設定します。
「Interval」リージョンで、次のスケジュール・パラメータを設定します。
タスクを繰り返し実行するように設定するには、「Daily」、「Weekly」、「Recurring Intervals」、「Monthly」または「Yearly」のオプションを選択します。
「Recurring Intervals」オプションを選択した場合は、タスクを繰り返して実行する間隔も指定する必要があります。
タスクを1回のみ実行するように設定するには、「Once」オプションを選択します。
スケジュール済タスクのユーザーによる構成が可能な属性の値を指定します。指定する値の詳細は、次の表を参照してください。
|
関連項目: タスク属性の追加および削除の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
| 属性 | 説明 | サンプル値 |
|---|---|---|
IsTrusted |
リコンシリエーションを信頼できるモードで実行する必要があるかどうかを指定します。 | TrueまたはFalse |
Server |
ITリソースの名前 | ACE Server Remote |
Target System Recon - Resource Object name |
RSA Authentication Managerユーザーに対応するターゲット・システムのリソース・オブジェクトの名前。 | Auth Manager User |
Target System Recon - Token Resource Object name |
ユーザーに対して割り当てられたRSA Authentication Managerユーザー・トークンに対応するターゲット・システムのリソース・オブジェクトの名前。 | Auth Manager Token |
Trusted Source Recon - Resource Object name |
信頼できるソース・リソース・オブジェクトの名前。 | Xellerate User |
IsDeleteAllowed |
ターゲット・システムから削除されたユーザーをOracle Identity Managerから削除するかどうかを指定します。 | TrueまたはFalse |
Start Record |
CustomReconQueryとCompareTypeに対応するリコンシリエーションを開始する必要のあるレコード番号を指定します。
10000個のレコードをリコンサイルした後、スケジュール済タスクが失敗する場合は、 |
1 |
BatchSize |
バッチに含めてリコンサイルするレコードの数を指定します。
注意: |
1000 |
FieldMapForCustomQuery |
CustomReconQueryのフィールド名と、ターゲット・システム側でそのフィールド名に対応する番号の間のマッピングを含む参照定義の名前を指定します。
RSA ACE Server APIはこれらの番号を受け入れて、ターゲット・システム内のフィールド名を示します。 |
UD_Lookup.Ace.CustomRecon.FieldMap |
CompareTypeMapForCustomQuery |
CompareTypeと、ターゲット・システム側でそれに対応する番号の間のマッピングを含む参照定義の名前を指定します。CompareTypeは、タスク・スケジューラの中で示されます。
RSA ACE Serverは番号を受け入れて、マッピングの目的でフィールドに対する検索を行う演算子を示します。 |
UD_Lookup.Ace.CustomRecon.CompareTypeMap |
CustomReconQuery |
リコンシリエーションの基となる問合せ条件
この属性に問合せ条件を追加すると、問合せ条件に基づいてターゲット・システム・レコードが検索されます。 すべてのターゲット・システム・レコードをリコンサイルする場合は、この属性の値として[None]を指定します。 このパラメータの詳細は、「制限付きリコンシリエーション」を参照してください。 |
[None] |
CompareType |
CustomReconQueryの問合せ条件で使用する比較のタイプを指定します。 | Equals To |
NumberOfCharactersInEachUser |
Cのコード内で各ユーザーに割り当てるメモリーを表します。
注意: |
500 |
Organization |
信頼できるソースのリコンシリエーション時に、ユーザーの作成場所となる組織の名前を指定します。 | Xellerate Users |
Xellerate Type |
信頼できるソースのリコンシリエーション時に作成されるユーザー・タイプを指定します。
信頼できるモードでユーザーをリコンサイルする場合は、この属性には値を指定する必要があります。 |
End-User |
Role |
信頼できるソースのリコンシリエーション時にユーザーの雇用タイプを指定します。 | Full-Time |
TrustedDeleteReconObjectStatusList |
信頼できるモードで削除リコンシリエーションを実行するときに削除する必要のあるユーザーからなるリストのステータスを示します。
信頼できるモードで削除リコンシリエーションを実行する場合は、それぞれをカンマで区切ってステータスを指定する必要があります。 |
Enabled、Disabled、Active |
TargetDeleteReconObjectStatusList |
ターゲット・リソースのリコンシリエーション時に削除する必要のあるユーザーからなるリストのステータスを示します。
ターゲット・リソースのリコンシリエーション時にユーザーを削除する場合は、それぞれをカンマで区切ってステータスを指定する必要があります。 |
Enabled、Disabled、Provisioned |
TrustedDeleteReconExemptedUserIDs |
信頼できる削除リコンシリエーションから除外する必要のあるユーザーIDからなるリストを指定します。 | XELOPERATOR、XELSELFREG、XELSYSADM |
GroupTokenizerForCustomReconQuery |
CustomReconQueryの中で入力したグループに対応するトークンを指定します。
|
$ |
IsEnableLog |
リコンシリエーションを実行するときにログを生成するかどうかを指定します。
注意: ログ・ファイルは必ず既存のログ・ファイルに追加されます。その結果、ファイル・サイズがディスク領域を上回る可能性があります。したがって、デバッグを希望する場合のみ、 この値を |
YesまたはNo |
LogFileLocationInRemoteManager |
ログ・ファイルの生成先となる、Remote Manager内の場所を指定します。
デフォルト値は 注意: Remote Managerの絶対パスは、Remote Managerの |
D:\RM\log |
「Save」をクリックします。スケジュール済タスクが作成されます。INACTIVEステータスが「Status」フィールドに表示されますが、これは、タスクが現在実行されていないためです。タスクは、ステップ7で設定した日時に実行されます。
リコンシリエーションの停止
コネクタのユーザー・リコンシリエーションのスケジュール済タスクが実行中であり、ユーザー・レコードがリコンサイルされているとします。リコンシリエーション・プロセスを停止する場合は、次のようにします。
ステップ1〜4を実行して、リコンシリエーションのスケジュール済タスクを構成します。
タスク・スケジューラで「Stop Execution」チェック・ボックスを選択します。
「Save」をクリックします。
このガイドで前述したように、プロビジョニングとは、Oracle Identity Managerを介して、ターゲット・システム上でユーザー・アカウント情報を作成または変更することです。このコネクタで使用できるプロビジョニング機能のリストについては、「サポートされている機能」を参照してください。
この項では、プロビジョニングの構成に関する次の項目について説明します。
|
注意: このターゲット・システムに対してOracle Identity Managerのプロビジョニング機能を使用する場合は、これらの手順を実行する必要があります。 |
アダプタは、プロビジョニング機能を実装するために使用されます。コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。
ACE ASSIGN TO GROUP
ACE DELETE USER
ACE CREATE USER
SetRSAUserAttribute
ACE PrePop DefLogin
ACE PrePop FirstName
ACE PrePop GrpLogin
ACE PrePop LastName
ACE ASSIGN TOKEN
ACE REMOVE TOKEN
ACE DISABLE TOKEN
ACE SET PIN
ACE SET PIN TO NTC
ACE TRACK LOST TOKEN
ACE ENABLE TOKEN
ACE TEST LOGIN
ACE ADD USER EXTENSION DATA TO USER
ACE UPDATE USER EXTENSION DATA FOR USER
ACE DEL USER EXTENSION DATA TO USER
Set Temporary User
これらのアダプタは、プロビジョニング操作で使用する前にコンパイルする必要があります。
「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
「アダプタ・マネージャ」フォームを開きます。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」を選択します。
(すべてではないが)複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」を選択します。
|
注意: 正常にコンパイルされなかったアダプタのみを再コンパイルするには、「以前の失敗分をコンパイル」をクリックします。そのようなアダプタはコンパイルのステータスがOKになっていません。 |
「開始」をクリックします。選択したアダプタがOracle Identity Managerによってコンパイルされます。
Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_HOME/xellerate/Adapterディレクトリから、コンパイル済のアダプタをクラスタの他の各ノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。
一度に1つのアダプタをコンパイルする場合は、「アダプタ・ファクトリ」フォームを使用します。
|
関連項目: 「アダプタ・ファクトリ」フォームおよび「アダプタ・マネージャ」フォームの使用方法の詳細は、『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
アダプタの詳細情報を表示するには、次のようにします。
「アダプタ・マネージャ」フォームでアダプタをハイライト表示します。
アダプタの行ヘッダーをダブルクリックするか、アダプタを右クリックします。
表示されるショートカット・メニューで「アダプタの起動」を選択します。アダプタの詳細が表示されます。
このコネクタを使用してソフトウェア・トークンに固有のプロビジョニング機能を実行する際には、Token Codeなどの必須入力パラメータを指定する必要があります。
これらのトークン固有のパラメータの値は、RSAソフトウェア・トークン・アプリケーションをOracle Identity ManagerサーバーまたはOracle Identity Managerサーバー以外のユーザー・コンピュータにインストールした後にのみ決定できます。
RSA SecurIDソフトウェア・トークンを使用する場合は、次のようにします。
RSA SecurID Token for Windows Desktops 3.0.5を次のURLからダウンロードします。
ファイルをOracle Identity Managerサーバーにインストールします。
RSA SecurIDソフトウェア・トークン・ファイルをOracle Identity Managerサーバーの適切な場所にコピーします。コピーするファイルは、RSA Authentication Managerインストール・ディレクトリにあります。このファイルのコピー先となるディレクトリ・パスの形式は、次のとおりです。
target_dir_location/Token1File/
|
注意: ソフトウェア・トークンをACEユーザーに割り当てる際、このファイルの名前と完全な場所を(db_file_location/file_name.sdtid形式で)「ソフトウェア・トークンのファイル名」プロセス・フォーム・フィールドに指定する必要があります。 |
次のように、.sdtidファイルをRSA SecurIDトークン・ソフトウェア・アプリケーションにインポートします。
「スタート」をクリックした後、「プログラム」を選択します。
「RSA SecurID Software Token」をクリックして、「RSA SecurID Software Token」サブカテゴリを選択します。
トークン画面が表示されます。
「File」メニューをクリックした後、「Import Tokens」を選択します。表示されるダイアログ・ボックスで、ステップ3で説明した.sdtidファイルを選択します。
次に例を示します。
target_dir_location/Token1File/file_name.sdtid
トークンのシリアル番号を選択し、「Transfer Selected Tokens to Hard Drive」をクリックします。ソフトウェア・トークンがインポートされます。
表示される画面で、「View」をクリックした後、「Advanced View」を選択します。
表示される画面で、「View」をクリックした後、「Token View」を選択してソフトウェア・トークン番号を表示します。
|
注意: この手順は、RSA Authentication Managerの複数のインストールに対してコネクタを構成する場合にのみ実行します。 |
状況によっては、コネクタをRSA Authentication Managerの複数のインストールに対して構成する必要が生じることもあるでしょう。次の例でこの要件について説明します。
Example Multinational Inc.では、東京、ロンドンおよびニューヨークの事業所で、それぞれ独自にRSA Authentication Managerがインストールされています。この会社は最近Oracle Identity Managerをインストールしたため、それを構成して、インストールされたすべてのRSA Authentication Managerをリンクさせようとしています。
これを実現するには、コネクタをRSA Authentication Managerの複数のインストールに対して構成する必要があります。
ターゲット・システムの複数のインストールに対してコネクタを構成するには、次のようにします。
|
関連項目: この手順の各ステップ実行の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
各ターゲット・システム・インストールに対して1つのリソースを作成して構成します。
「IT Resources」フォームは「Resource Management」フォルダにあります。ITリソースは、コネクタのXMLファイルをインポートすると作成されます。このITリソースは、同じリソース・タイプの、残りのITリソース作成用のテンプレートとして使用できます。
各ターゲット・システム・インストールについてリコンシリエーションを構成します。手順は、「リコンシリエーションの構成」を参照してください。ITリソースの指定に使用される属性のみの変更と、ターゲット・システム・インストールを信頼できるソースとして設定するかどうかの指定が必要です。
RSA Authentication Managerの単一インストールと複数インストールのいずれも信頼できるソースとして指定できます。
必要であれば、Xellerate Userリソース・オブジェクトに対してリコンサイルされるフィールドを変更します。
管理およびユーザー・コンソールを使用してプロビジョニングを実行する際には、特定のRSA Authentication Managerインストールに対応するITリソースを指定することによって、ユーザーのプロビジョニング先を選択することもできます。
