SAPは、SAP Employee Reconciliationの従業員アカウントとSAP User Managementのユーザー・レコードとをリンクする機能を提供します。この付録では、SAP Employee ReconciliationとSAP User Management間のこのリンクに関連して、Oracle Identity ManagerとSAPシステムの相互作用から発生するユースケースについて説明します。
注意: この付録で説明する情報は、SAP Employee Reconciliationがリコンシリエーションの信頼できるソースとして、SAP User Managementがターゲット・リソースとして構成されている場合に基づきます。 簡略化するため、この付録では次の頭字語が使用されています。
|
SAP HRとSAP UMの間のリンクは、SAP HRレコードのフィールドの1つである「Infotype 105」フィールドによって実装されます。このinfotypeは、SAP UMのユーザーに割り当てられたユーザーIDを格納します。次の例で、このinfotypeがSAP HRとSAP UMのレコード間のリンクを実装する方法を説明します。
SAP HRにユーザーJohn Doe
のアカウントを作成し、従業員ID jdoe
を割り当てたとします。SAP UMにもこのユーザーのアカウントを作成し、ユーザーID jdoe2
を割り当てます。John Doe
用にSAP HRとSAP UM間でリンクを作成する際に、SAP HRレコードの「Infotype 105」フィールドにユーザーのSAP UMユーザーIDであるjdoe2
が格納されます。SAPシステムは、「Infotype 105」フィールドの値を使用して従業員アカウントjdoe
とユーザー・アカウントjdoe2
をリンクできます。
Oracle Identity Managerは、「USR_UDF_LINKED_USER_ID」フィールドを使用してSAP HRの従業員アカウントとSAP UMのユーザー・アカウントの関係を追跡します。つまり、Oracle Identity Managerの「USR_UDF_LINKED_USER_ID」フィールドの機能は、SAPの「Infotype 105」フィールドの機能と同じです。
プロビジョニングまたはリコンシリエーション時に発生するイベントは、SAP HRとSAP UMのレコードのリンクに「Infotype 105」フィールドを使用するかどうか、またその際のプロビジョニングおよびリコンシリエーションの実行の順序によって異なります。次の項で、これらの条件で発生するユースケースについて説明します。
このユースケースでは、SAP HRとSAP UMのレコードがリンクしている場合に発生するイベントについて説明します。次の例でこれらのイベントについて説明します。
次に初期の条件を示します。
SAP HRにユーザーJohn Doe
の従業員アカウントを作成しました。従業員IDはjdoe
です。
SAP UMにもユーザーJohn Doe
のユーザー・アカウントを作成しました。ユーザーIDはjdoe2
です。
SAPシステムで従業員レコードをユーザー・レコードにリンクしました。つまり、SAP HRレコードの「Infotype 105」フィールドにユーザーID jdoe2
が格納されます。
Oracle Identity ManagerにユーザーJohn Doe
のアカウントはありません。
次に示すイベントは、これらの初期条件の結果です。
SAP HRでの信頼できるソースのリコンシリエーション中に、ユーザーJohn Doe
のSAP HRレコードがOracle Identity Managerに作成されます。Oracle Identity Managerの「USR_UDF_LINKED_USER_ID」フィールドを使用して、「Infotype 105」フィールドの内容が格納されます。この場合、格納される値はjdoe2
で、SAP UMレコードでのユーザーJohn Doe
のユーザーIDです。
次のイベントの発生は、SAP HRでの信頼できるソースのリコンシリエーションの後で、SAP UMでプロビジョニングまたはリコンシリエーションを実行するかどうかによって異なります。
Oracle Identity Managerを使用して、SAP UMのJohn Doe
のプロビジョニングを実行します。
Oracle Identity Managerは「USR_UDF_LINKED_USER_ID」フィールドの値(jdoe2
)を使用して、対応するSAP UMレコードと一致させます。ユーザーID jdoe2
のリソース・オブジェクトがOracle Identity Managerに作成され、SAP UMで更新されます。
Oracle Identity Managerを使用して、SAP UMのJohn Doeのリコンシリエーションを実行します。
SAP UMユーザーIDはjdoe2
です。同じ値が「USR_UDF_LINKED_USER_ID」フィールドに格納されています。リコンシリエーション・エンジンは、SAP UMユーザーIDと「USR_UDF_LINKED_USER_ID」フィールド値とを比較して、Oracle Identity Managerのユーザー・レコードをSAP UMレコードと一致させます。
注意: SAP HRとSAP UMのレコード間にリンクがある場合、「USR_UDF_LINKED_USER_ID」フィールド値とSAP UMユーザーIDを比較するリコンシリエーション・ルールは、Oracle Identity ManagerユーザーIDとSAP UMユーザーIDを比較するリコンシリエーション・ルールより優先されます。 |
このユースケースでは、SAP HRとSAP UMのレコード間でリンクが存在しない場合に発生するイベントについて説明します。次の例でこれらのイベントについて説明します。
次に初期の条件を示します。
SAP HRにユーザーJohn Doe
の従業員アカウントを作成しました。従業員IDはjdoe
です。
SAP UMにもユーザーJohn Doeのユーザー・アカウントを作成しました。ユーザーIDはjdoe2
です。
SAPシステムで従業員レコードをユーザー・レコードにリンクしていません。つまり、SAP HRレコードの「Infotype 105」フィールドは空です。
Oracle Identity ManagerにユーザーJohn Doe
のアカウントはありません。
次に示すイベントは、これらの初期条件の結果です。
SAP HRでの信頼できるソースのリコンシリエーション中に、ユーザーJohn Doe
のSAP HRレコードがOracle Identity Managerに作成されます。Oracle Identity Managerの「USR_UDF_LINKED_USER_ID」フィールドを使用して、「Infotype 105」フィールドの内容が格納されます。この場合、「Infotype 105」フィールドが空なので「USR_UDF_LINKED_USER_ID」フィールドには何も格納されません。
次のイベントの発生は、SAP HRでの信頼できるソースのリコンシリエーションの後で、SAP UMでプロビジョニングまたはリコンシリエーションを実行するかどうかによって異なります。
Oracle Identity Managerを使用して、SAP UMのJohn Doe
のプロビジョニングを実行します。
Oracle Identity Managerは、SAP UMのjdoe2
アカウントとOracle Identity Managerのjdoe
アカウントが同じユーザーを意味していることを判断できません。そのため、SAP UMにユーザーID jdoe
で新しいアカウントが作成されます。
SAP HRの従業員アカウントおよびSAP UMのユーザー・アカウントに同じユーザーIDを割り当てた場合(jdoe
など)、「ユーザーはすでに存在します」エラーが発生するためプロビジョニングは失敗します。
Oracle Identity Managerを使用して、SAP UMのJohn Doeのリコンシリエーションを実行します。
SAP HRとSAP UMのアカウント間にリンクがなく、Oracle Identity ManagerでSAP UMレコードが作成されません。そのため、SAP UMでのターゲット・リソースのリコンシリエーションは実行されません。
注意: 前の項で説明したように、「USR_UDF_LINKED_USER_ID」フィールド値とSAP UMユーザーIDを比較するリコンシリエーション・ルールは、Oracle Identity ManagerユーザーIDとSAP UMユーザーIDを比較するリコンシリエーション・ルールより優先されます。SAP HRとSAP UMの間にリンクがない場合には、カスタム・リコンシリエーション・ルールを作成して、他のすべてのリコンシリエーション・ルールより優先させることができます。たとえば、OIMユーザー・アカウントの電子メール・アドレスをSAP UMユーザーIDにマップするリコンシリエーション・ルールを作成できます。 リコンシリエーション・ルールの作成については、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |