| Oracle Identity Manager SAP User Management Connectorガイド リリース9.0.4 E05514-06 |
|
 戻る |
 次へ |
コネクタをデプロイしたら、要件に合せて構成する必要があります。この章では、次のコネクタ構成手順を説明します。
|
注意: これらの項では、コネクタの構成に関する概念および手順の両方を説明します。概念情報を確認してから手順を実行することをお薦めします。 |
このガイドで前述したように、リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Managerで複製することです。この項では、リコンシリエーションの構成に関する次の項目について説明します。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
このコネクタの場合、ITリソースを構成する際にCustomizedReconQuery ITリソース・パラメータに値を指定して、フィルタを作成できます。手順はこのガイドで前述しています。
次の表に、問合せ条件の作成に使用できるSAP User Managementの属性、および対応するOracle Identity Managerの属性を示します。この問合せ条件は、CustomizedReconQueryパラメータの値として指定します。
| Oracle Identity Managerの属性 | SAP User Managementの属性 |
|---|---|
| ユーザーID | userid |
| 名 | firstname |
| 姓 | lastname |
| 言語 | langcomm |
| ユーザー・タイプ | usertype |
| 部門 | department |
| 職務 | function |
| 国 | country |
| ユーザー・グループ | usergroup |
| ユーザー・プロファイル | userprofile |
| ユーザー・ロール | userrole |
次に、問合せ条件の例を示します。
firstname=John&lastname=Doe
この問合せ条件では、名前がJohnで姓がDoeであるユーザーのレコードがリコンサイルされます。
firstname=John&lastname=Doe|usergroup=contractors
この問合せ条件では、次の条件のいずれかに合致するユーザーのレコードがリコンサイルされます。
ユーザーの名がJohnであるか、姓がDoeである。
ユーザーがcontractorsユーザー・グループに属している。
CustomizedReconQueryパラメータの値を指定しないと、リコンシリエーション中に、ターゲット・システムのすべてのレコードが既存のOracle Identity Managerレコードと比較されます。
CustomizedReconQueryパラメータの値を指定する際に従う必要のあるガイドラインを次に示します。
ターゲット・システムの属性では、この項に示した表と同様に大文字または小文字を使用する必要があります。属性名は大/小文字が区別されるためです。
問合せ条件の演算子と値の間に不要な空白を入れないでください。
値と演算子が空白で区切られている問合せ条件と、値と演算子の間に空白が含まれていない問合せ条件を比較した場合、異なる結果が生じます。たとえば、次の問合せ条件による出力は異なります。
firstname=John&lastname=Doe
firstname= John&lastname= Doe
2つ目の問合せ条件では、リコンシリエーション・エンジンは冒頭に空白が含まれた名および姓の値を検索します。
問合せ条件には、等号記号(=)、アンパサンド(&)および縦線(|)以外の特殊文字を使用しないでください。
|
注意: 等号記号(=)、アンパサンド(&)および縦線(|)以外の特殊文字を使用すると、例外がスローされます。 |
問合せ条件の式にはカッコを使用しないでください。
複数値のロールやグループに基づくユーザーの検索はサポートされていません。ロールやプロファイルについては一度に1つの値の問合せしかできません。たとえば、問合せ条件がUsergroup=a,b,cの問合せはエラーになります。
4つ以上のユーザー属性に基づくユーザー検索はサポートされていません。たとえば、問合せ条件がuserid=JOHN&firstname=John&lastname=Doe&country=USの問合せはエラーになります。
ITリソースの構成時に、CustomizedReconQueryパラメータの値を指定します。手順はこのガイドで後述します。
リコンシリエーションの実行中に、ターゲット・システム・レコードのすべての変更内容がOracle Identity Managerにリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。
このような問題を避けるため、バッチ・リコンシリエーションを構成できます。
バッチ・リコンシリエーションを構成するには、次のユーザー・リコンシリエーションのスケジュール済タスクの属性に値を指定する必要があります。
StartRecord: この属性を使用して、バッチ・リコンシリエーションを開始するレコード番号を指定します。
BatchSize: この属性を使用して、各バッチに含めるレコード数を指定します。
NumberOfBatches: この属性を使用して、リコンサイルするバッチの総数を指定します。バッチ・リコンシリエーションを使用しない場合は、この属性の値としてAll Availableを指定します。
|
注意: この属性の値としてAll Availableを指定すると、StartRecord属性およびBatchSize属性の値は無視されます。 |
これらの属性に値を指定する際には、「スケジュール済タスク属性の値の指定」に記載されている説明に従ってください。
バッチ・リコンシリエーションの構成後、バッチ・リコンシリエーションの実行中にリコンシリエーションが失敗した場合は、ログ・ファイルでリコンシリエーションが失敗したバッチに関する情報を確認してください。
コネクタの構成中に、ターゲット・システムを、信頼できるソースまたはターゲット・リソースとして指定できます。ターゲット・システムを信頼できるソースとして指定すると、リコンシリエーションの実行中に次の処理が行われます。
ターゲット・システムで新規作成された各ユーザーに対して、OIMユーザーが作成されます。
ターゲット・システムの各ユーザーに対して行われた更新が、対応するOIMユーザーに伝播されます。
ターゲット・システムをターゲット・リソースとして指定すると、リコンシリエーションの実行中に次の処理が行われます。
ターゲット・システムで作成された各アカウントについて、対応するOIMユーザーにリソースが割り当てられます。
ターゲット・システムの各アカウントに対して行われた更新が、対応するリソースに伝播されます。
|
注意: ターゲット・システムをリコンシリエーションの信頼できるソースとして指定しない場合は、この項を省略してください。 |
信頼できるソースのリコンシリエーションの構成には、次の手順が含まれます。
デプロイメント・マネージャを使用し、使用するターゲット・システムに応じて、信頼できるソースのリコンシリエーション用のXMLファイル(SAPR3XLResourceObject.xml、SAPBIWXLResourceObject.xmlまたはSAPCRMXLResourceObject.xml)をインポートします。この項では、XMLファイルのインポート手順を説明します。
スケジュール済タスクのIsTrusted属性をTrueに設定します。ユーザー・リコンシリエーションのスケジュール済タスクの構成中に、この属性の値を指定します。これについては、このガイドで後述します。
信頼できるソースのリコンシリエーション用のXMLファイルをインポートするには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くダイアログ・ボックスが表示されます。
使用するターゲット・システムに応じて、SAPR3XLResourceObject.xml、SAPBIWXLResourceObject.xmlまたはSAPCRMXLResourceObject.xmlファイルを探して開きます。これらのファイルはOIM_home/Xellerate/sap/xmlディレクトリにあります。選択したXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「インポート」をクリックします。
表示されるメッセージで、「インポート」をクリックしてXMLファイルのインポートを確認します。次に、「OK」をクリックします。
信頼できるソースのリコンシリエーション用のXMLファイルをインポートしたら、リコンシリエーションのスケジュール済タスクのIsTrusted属性の値をTrueに設定する必要があります。この手順は、「リコンシリエーションのスケジュール済タスクの構成」の項で説明されています。
コネクタをデプロイすると、参照フィールドおよびユーザー・リコンシリエーションのスケジュール済タスクが、Oracle Identity Managerで自動的に作成されます。このスケジュール済タスクを構成するには、次のようにします。
「Xellerate Administration」フォルダを開きます。
「Task Scheduler」を選択します。
「Find」をクリックします。事前定義されたスケジュール済タスクの詳細が2つのタブに表示されます。
最初のスケジュール済タスクについて、「Max Retries」フィールドに数値を入力します。この数はOracle Identity Managerがタスクを完了するために試行する回数です。この数を超えると、ERRORステータスがタスクに割り当てられます。
「Disabled」チェック・ボックスと「Stop Execution」チェック・ボックスが選択されていないことを確認します。
「Start」リージョンで「Start Time」フィールドをダブルクリックします。表示される日付時間エディタで、タスクを実行する日付と時間を選択します。
「Interval」リージョンで、次のスケジュール・パラメータを設定します。
タスクを繰り返し実行するように設定するには、「Daily」、「Weekly」、「Recurring Intervals」、「Monthly」または「Yearly」のオプションを選択します。
「Recurring Intervals」オプションを選択した場合は、タスクを繰り返して実行する間隔も指定する必要があります。
タスクを1回のみ実行するように設定するには、「Once」オプションを選択します。
スケジュール済タスクの属性の値を指定します。指定する値の詳細は、「スケジュール済タスク属性の値の指定」を参照してください。
|
関連項目: タスク属性の追加および削除の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
「Save」をクリックします。スケジュール済タスクが作成されます。INACTIVEステータスが「Status」フィールドに表示されますが、これは、タスクが現在実行されていないためです。タスクは手順7で設定した日時に実行されます。
ステップ5〜10を繰り返してもう1つのスケジュール済タスクを作成します。
両方のスケジュール済タスクを作成したら、「プロビジョニングの構成」の項に進みます。
この項では、次に示すスケジュール済タスクに指定する値の詳細を説明します。
R3LookUpRecon参照フィールド・リコンシリエーション・スケジュール済タスクの次の属性に値を指定する必要があります。
|
注意:
|
| 属性 | 説明 | サンプル値 |
|---|---|---|
ITResource |
SAP User Managementサーバーへの接続を設定するためのITリソースの名前 | SAP R3 IT Resource |
Server |
SAPサーバーのタイプ
値は |
R3 |
これらのタスク属性の値を指定したら、ステップ10に進んで、スケジュール済タスクを作成します。
R3 Reconユーザー・リコンシリエーション・スケジュール済タスクの次の属性に値を指定する必要があります。
|
注意:
|
| 属性 | 説明 | サンプル値 |
|---|---|---|
Organization |
新しいユーザーに割り当てられるデフォルトの組織 | Xellerate Users |
Role |
新しいユーザーに割り当てられるデフォルトのロール | Consultant |
Xellerate Type |
新しいユーザーに割り当てられるデフォルトのタイプ | End-User Administrator |
ITResource |
SAP User Managementサーバーへの接続を設定するためのITリソースの名前 | SAP R3 IT Resource |
ResourceObject |
ユーザーをリコンサイルする必要があるリソース・オブジェクトの名前
この属性値が、 関連項目: 参照定義の変更については、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
SAP R3 Resource Object |
IsTrusted |
信頼できる/信頼できないターゲットに対する構成
|
False |
Server |
SAPサーバーのタイプ
値は |
R3 |
StartRecord |
バッチ・プロセスの開始レコード
この属性については、「バッチ・リコンシリエーション」の項で説明します。 |
1 |
BatchSize |
バッチに含めるレコード数
この属性については、「バッチ・リコンシリエーション」の項で説明します。 |
3 |
NumberOfBatches |
リコンサイルするバッチ数
この属性については、「バッチ・リコンシリエーション」の項で説明します。 |
デフォルト値: All Available(すべてのユーザーのリコンサイル)
サンプル値: |
OIMServerTimeZone |
Oracle Identity Managerのホスト・コンピュータのタイムゾーン
たとえば、ターゲット・システムがアメリカ合衆国のアリゾナ州にある場合、 |
デフォルト値: GMT
サンプル値: |
これらのタスク属性の値を指定したら、ステップ10に進んで、スケジュール済タスクを作成します。
リコンシリエーションの停止
コネクタのユーザー・リコンシリエーションのスケジュール済タスクが実行中であり、ユーザー・レコードがリコンサイルされているとします。リコンシリエーション・プロセスを停止する場合は、次のようにします。
ステップ1〜4を実行して、リコンシリエーションのスケジュール済タスクを構成します。
タスク・スケジューラで「Stop Execution」チェック・ボックスを選択します。
「Save」をクリックします。
このガイドで前述したように、プロビジョニングとは、Oracle Identity Managerを介して、ターゲット・システム上でユーザー・アカウント情報を作成または変更することです。
|
注意: 次のいずれかに該当する場合は、この項を省略してください。
|
アダプタは、プロビジョニング機能を実装するために使用されます。コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。
SAP R3 Create User
SAP R3 Modify User
SAP R3 Modify UserX
SAP R3 Password Change
SAP R3 Lock UnLock User
SAP R3 Delete User
SAP R3 Add Role
SAP R3 Delete Role
SAP R3 Add Profile
SAP R3 Remove Profile
PrePopulate SAP Form
PrepopulateR3UserId
これらのアダプタは、プロビジョニング操作で使用する前にコンパイルする必要があります。
「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
「アダプタ・マネージャ」フォームを開きます。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」を選択します。
(すべてではないが)複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」を選択します。
|
注意: 正常にコンパイルされなかったアダプタのみを再コンパイルするには、「以前の失敗分をコンパイル」をクリックします。そのようなアダプタはコンパイルのステータスがOKになっていません。 |
「開始」をクリックします。選択したアダプタがOracle Identity Managerによってコンパイルされます。
Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_home/xellerate/Adapterディレクトリから、コンパイル済のアダプタをクラスタの他の各ノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。
一度に1つのアダプタをコンパイルする場合は、「アダプタ・ファクトリ」フォームを使用します。
|
関連項目: 「アダプタ・ファクトリ」フォームおよび「アダプタ・マネージャ」フォームの使用方法の詳細は、『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
アダプタの詳細情報を表示するには、次のようにします。
「アダプタ・マネージャ」フォームでアダプタをハイライト表示します。
アダプタの行ヘッダーをダブルクリックするか、アダプタを右クリックします。
表示されるショートカット・メニューで「アダプタの起動」を選択します。アダプタの詳細が表示されます。
|
注意: この手順は、SAP User Managementの複数のインストールに対してコネクタを構成する場合にのみ実行します。 |
状況によっては、コネクタをSAP User Managementの複数のインストールに対して構成する必要が生じることもあるでしょう。次の例でこの要件について説明します。
Acme Multinational Inc.では、東京、ロンドンおよびニューヨークの事業所で、それぞれ独自にSAP User Managementがインストールされています。この会社は最近Oracle Identity Managerをインストールしたため、それを構成して、インストールされたすべてのSAP User Managementをリンクさせようとしています。
これを実現するには、コネクタをSAP User Managementの複数のインストールに対して構成する必要があります。
ターゲット・システムの複数のインストールに対してコネクタを構成するには、次のようにします。
|
関連項目: この手順の各ステップ実行の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
ターゲット・システム・インストールごとに1つずつリソース・オブジェクトを作成して構成します。
「Resource Objects」フォームは、「Resource Management」フォルダ内にあります。コネクタのXMLファイルをインポートすると、SAP R3 Resource Objectリソース・オブジェクトが作成されます。このリソース・オブジェクトは、残りのリソース・オブジェクトを作成するためのテンプレートとして使用できます。
リソース・オブジェクトごとに1つずつITリソースを作成して構成します。
「IT Resources」フォームは「Resource Management」フォルダにあります。コネクタのXMLファイルをインポートすると、SAP R3 IT Resource ITリソースが作成されます。このITリソースは、同じリソース・タイプの、残りのITリソース作成用のテンプレートとして使用できます。
プロセス定義ごとに1つずつプロセス・フォームを設計します。
「Form Designer」フォームは、「Development Tools」フォルダ内にあります。コネクタのXMLファイルをインポートすると、次のプロセス・フォームが作成されます。
UD_SAPR3(SAP R3)
UD_SAPR3ROL(SAP R3ロール・フォーム)
UD_SAPR3PRO(SAP R3プロファイル・フォーム)
これらのプロセス・フォームは、残りのプロセス・フォームを作成するためのテンプレートとして使用できます。
リソース・オブジェクトごとに1つずつプロセス定義を作成して構成します。
「Process Definition」フォームは、「Process Management」フォルダ内にあります。コネクタのXMLファイルをインポートすると、SAP R3 Processプロセス定義が作成されます。このプロセス定義は、残りのプロセス定義を作成するためのテンプレートとして使用できます。
ターゲット・システム・インストールごとにプロセス定義を作成するとき、実行する必要のある次の手順は、それぞれのプロセス定義の作成に関連しています。
「Object Name」参照フィールドから、手順1で作成したリソース・オブジェクトを選択します。
「Table Name」参照フィールドから、手順3で作成したプロセス・フォームを選択します。
「IT Resource」データ型のアダプタ変数をマッピングするときは必ず、手順2で作成したITリソースを「Qualifier」リストから選択してください。
各ターゲット・システム・インストールについてリコンシリエーションを構成します。手順は、「リコンシリエーションの構成」を参照してください。リコンシリエーションのスケジュール済タスクごとに、次の属性の値のみを変更する必要がありますので注意してください。
ITResource
ResourceObject
IsTrusted
信頼できるソースとして指定するSAP User ManagementインストールのIsTrusted属性をTrueに設定します。
必要であれば、Xellerate Userリソース・オブジェクトに対してリコンサイルされるフィールドを変更します。
管理およびユーザー・コンソールを使用してプロビジョニングを実行する際には、特定のSAP User Managementインストールに対応するITリソースを指定することによって、ユーザーのプロビジョニング先を選択することもできます。
