| Oracle Identity Manager Sun Java System Directory Connectorガイド リリース9.0.4 E05516-04 |
|
 戻る |
 次へ |
コネクタをデプロイしたら、要件に合せて構成する必要があります。この章では、次のコネクタ構成手順を説明します。
|
注意: これらの項では、コネクタの構成に関する概念および手順の両方を説明します。概念情報を確認してから手順を実行することをお薦めします。 |
このガイドで前述したように、リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Managerで複製することです。この項では、リコンシリエーションの構成に関する次の項目について説明します。
|
注意: デフォルトでは、ターゲット・システムのサーバーにはデータをリコンサイルできる最大ユーザー数の制限があります。ターゲット・システムのServerで許可される最大制限を超える大量のユーザー・データをリコンサイルする場合、次の手順を実行します。
|
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
このコネクタの場合、ユーザー・リコンシリエーションに関するスケジュール済タスクを構成する際にsearchfilter属性に値を指定して、フィルタを作成できます。
問合せ条件を作成する際に、Sun Java System Directory属性を使用できます。この問合せ条件は、searchfilter属性の値として指定します。
次に、searchfilter属性の値として指定できる問合せ条件の例を示します。
(&(objectClass=inetOrgPerson)(givenname=John))
(&(objectClass=inetOrgPerson)(sn=Doe))
(&(&(sn=Doe)(givenname=John))(objectClass=inetOrgPerson))
(|(|(sn=lastname)(givenname=firstname))(objectClass=inetOrgPerson))
cn、uidおよびmailのような他のターゲット・システムの属性も問合せ条件の作成に使用できます。
searchfilter attribute属性に値を指定する場合は、次の条件の両方に合致するレコードのみがリコンサイルされます。
searchfilterパラメータで指定された条件に合致するレコード
タイムスタンプITリソース・パラメータで指定されたタイムスタンプ値よりも後に追加または更新されたレコード
|
注意: このガイドで前述したように、タイムスタンプITリソース・パラメータの値は、Oracle Identity Managerによって自動的に更新されます。このパラメータ値は変更しないでください。 |
searchfilterパラメータの値を指定する際に従う必要のあるガイドラインを次に示します。
Sun Java System Directoryの属性では、ターゲット・システムで指定されているのと同じ大文字または小文字を使用する必要があります。属性名は大/小文字が区別されるためです。
問合せ条件の演算子と値の間に不要な空白を入れないでください。
値と演算子が空白で区切られている問合せ条件と、値と演算子の間に空白が含まれていない問合せ条件を比較した場合、異なる結果が生じます。
問合せ条件には、等号記号(=)、アンパサンド(&)、縦線(|)およびカッコ(())以外の特殊文字を使用しないでください。
|
注意: 前述以外の特殊文字を使用すると、例外がスローされます。 |
前述のように、ユーザー・リコンシリエーションに関するスケジュール済タスクを構成する際にsearchfilter属性に値を指定して、フィルタを作成できます。
リコンシリエーションの実行中に、ターゲット・システム・レコードのすべての変更内容がOracle Identity Managerにリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。
このような問題を避けるため、バッチ・リコンシリエーションを構成できます。
バッチ・リコンシリエーションを構成するには、ユーザー・リコンシリエーションのスケジュール済タスクの属性BatchSizeを使用します。この属性を使用して、ターゲット・システムからフェッチされる各バッチに含めるレコード数を指定します。
|
注意:
値として0を指定する場合は、すべてのレコードがターゲット・システムからフェッチされます。つまり、バッチ・リコンシリエーションは実行されません。 |
|
注意: 削除済ユーザーのリコンシリエーションを実行するには、デフォルト値である0をそのまま使用する必要があります。この値を変更した場合は、既存ユーザーのレコードはOracle Identity Managerから削除されます。 |
「ユーザー・リコンシリエーションのスケジュール済タスク」で説明されている手順の実行中に、BatchSize属性の値を指定します。
バッチ・リコンシリエーションの構成後、バッチ・リコンシリエーションの実行中にリコンシリエーションが失敗した場合は、ログ・ファイルでリコンシリエーションが失敗したバッチに関する情報を確認してください。ログ・ファイルには、バッチ・リコンシリエーションに関する次の情報があります。
正常にリコンサイルされたバッチのシリアル番号
正常にリコンサイルされた各バッチのレコードに関連付けられたユーザーID
(バッチ・リコンシリエーションが失敗した場合)失敗したバッチのシリアル番号
コネクタの構成中に、ターゲット・システムを、信頼できるソースまたはターゲット・リソースとして指定できます。ターゲット・システムを信頼できるソースとして指定すると、リコンシリエーションの実行中に次の処理が行われます。
ターゲット・システムで新規作成された各ユーザーに対して、OIMユーザーが作成されます。
ターゲット・システムの各ユーザーに対して行われた更新が、対応するOIMユーザーに伝播されます。
ターゲット・システムをターゲット・リソースとして指定すると、リコンシリエーションの実行中に次の処理が行われます。
ターゲット・システムで作成された各アカウントについて、対応するOIMユーザーにリソースが割り当てられます。
ターゲット・システムの各アカウントに対して行われた更新が、対応するリソースに伝播されます。
|
注意: ターゲット・システムをリコンシリエーションの信頼できるソースとして指定しない場合は、この項を省略してください。 |
信頼できるソースのリコンシリエーションの構成には、次の手順が含まれます。
デプロイメント・マネージャを使用して、信頼できるソースのリコンシリエーション用のXMLファイル(iPlanetXLResourceObject.xml)をインポートします。この項では、XMLファイルのインポート手順を説明します。
|
注意: 信頼できるソースとして指定できるのは、1つのターゲット・システムのみです。別の信頼できるソースを構成している状態でiPlanetXLResourceObject.xml ファイルをインポートした場合、2つのコネクタのリコンシリエーションはいずれも機能しなくなります。 |
スケジュール済タスクのTrustedSource属性をTrueに設定します。ユーザー・リコンシリエーションのスケジュール済タスクの構成中に、この属性の値を指定します。これについては、このガイドで後述します。
信頼できるソースのリコンシリエーション用のXMLファイルをインポートするには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くダイアログ・ボックスが表示されます。
iPlanetXLResourceObject.xmlファイルを検索して開きます。このファイルはOIM_HOME/xellerate/iPlanet/xmlディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「インポート」をクリックします。
表示されるメッセージで、「インポート」をクリックしてXMLファイルのインポートを確認します。次に、「OK」をクリックします。
信頼できるソースのリコンシリエーション用のXMLファイルをインポートしたら、リコンシリエーションのスケジュール済タスクのTrustedSource属性の値をTrueに設定する必要があります。この手順は、「リコンシリエーションのスケジュール済タスクの構成」の項で説明されています。
「コネクタのXMLファイルのインポート」で説明する手順を実行すると、参照フィールドおよびユーザー・リコンシリエーションに対するスケジュール済タスクが、Oracle Identity Managerで自動的に作成されます。これらのスケジュール済タスクを構成するには、次のようにします。
「Xellerate Administration」フォルダを開きます。
「Task Scheduler」を選択します。
「Find」をクリックします。事前定義されたスケジュール済タスクの詳細が2つのタブに表示されます。
最初のスケジュール済タスクについて、「Max Retries」フィールドに数値を入力します。この数はOracle Identity Managerがタスクを完了するために試行する回数です。この数を超えると、FAILEDステータスがタスクに割り当てられます。
「Disabled」チェック・ボックスと「Stop Execution」チェック・ボックスが選択されていないことを確認します。
「Start」リージョンで「Start Time」フィールドをダブルクリックします。表示される日付時間エディタで、タスクを実行する日付と時間を選択します。
「Interval」リージョンで、次のスケジュール・パラメータを設定します。
タスクを繰り返し実行するように設定するには、「Daily」、「Weekly」、「Recurring Intervals」、「Monthly」または「Yearly」のオプションを選択します。
「Recurring Intervals」オプションを選択した場合は、タスクを繰り返して実行する間隔も指定する必要があります。
タスクを1回のみ実行するように設定するには、「Once」オプションを選択します。
スケジュール済タスクの属性の値を指定します。指定する値の詳細は、「スケジュール済タスク属性の値の指定」を参照してください。
|
関連項目: タスク属性の追加および削除の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
「Save」をクリックします。スケジュール済タスクが作成されます。INACTIVEステータスが「Status」フィールドに表示されますが、これは、タスクが現在実行されていないためです。タスクは手順7で設定した日時に実行されます。
ステップ5〜10を繰り返してもう1つのスケジュール済タスクを作成します。
両方のスケジュール済タスクを作成したら、「プロビジョニングの構成」の項に進みます。
この項では、次のスケジュール済タスクに指定する属性値について説明します。
次に、参照フィールド・リコンシリエーションに使用されるスケジュール済タスクを示します。
iPlanet Organization Lookup Reconciliation
iPlanet Role Lookup Reconciliation
iPlanet Group Lookup Reconciliation
これらのスケジュール済タスクの属性に値を指定する必要があります。次の表に、これらの属性の説明を示します。
|
注意:
|
スケジュール済タスク属性に値を指定したら、手順のステップ10に進んでスケジュール済タスクを作成します。
次に、ユーザー・リコンシリエーションに使用されるスケジュール済タスクを示します。
iPlanet User Trusted Recon Task
iPlanet User Target Recon Task
iPlanet Target Delete User Recon Task
iPlanet Trusted Delete User Recon Task
これらのスケジュール済タスクの属性に値を指定する必要があります。次の表に、これらの属性の説明を示します。
|
注意:
|
| 属性 | 説明 | デフォルト/サンプル値 |
|---|---|---|
BatchSize |
この属性はバッチ・リコンシリエーションに使用されます。各バッチに含めるレコード数を指定します。
注意: 削除済ユーザーのリコンシリエーションを実行するには、デフォルト値である0をそのまま使用する必要があります。この値を変更した場合は、既存ユーザーのレコードはOracle Identity Managerから削除されます。 関連項目: 「バッチ・リコンシリエーション」 |
デフォルト値: 0 |
ConfigurationLookup |
コネクタ操作で使用される構成情報を保存する参照定義の名前
このデフォルト値は変更しないでください。 |
IPNT.Parameter |
ITResourceName |
Sun Java System Directoryとの接続を設定するためのITリソースの名前。 | iPlanet User |
Organization |
ユーザーのリコンサイルを実行する、Oracle Identity Manager内にある組織の名前。
注意: この属性は、 |
Xellerate Users |
Role |
新しくリコンサイルされたユーザーに割り当てる、Oracle Identity Manager内にあるロールの名前。
注意: この属性は、 |
Consultant |
SearchBase |
ユーザー・アカウントの検索の元となるDN。
注意: iPlanet Target Delete User Recon TaskおよびiPlanet Trusted Delete User Recon Taskの各スケジュール済タスクに関して、この属性の値がルート・コンテキストであることを確認してください。 |
ou=myou,dc=corp,dc=com or dc=corp, dc=com |
SearchFilter |
組織アカウントの特定に使用するLDAP検索フィルタ。
詳細は、「部分リコンシリエーション」を参照してください。 |
(objectClass=inetOrgPerson) |
SearchScope |
ユーザー・アカウントの特定に使用する検索範囲。
注意: iPlanet Target Delete User Recon TaskおよびiPlanet Trusted Delete User Recon Taskの各スケジュール済タスクに関して、この属性の値が |
subtreeまたはonelevel |
TrustedResourceObjectName |
信頼できるソースのユーザー・リコンシリエーションと削除済ユーザー・リコンシリエーションに関するリソース・オブジェクトの名前。
注意: この属性は、 |
Xellerate User |
TargetResourceObjectName |
ターゲット・リソースのユーザー・リコンシリエーションと削除済ユーザー・リコンシリエーションに関するリソース・オブジェクトの名前。
注意: この属性は、 |
iPlanet User |
スケジュール済タスク属性に値を指定したら、手順のステップ10に進んでスケジュール済タスクを作成します。
リコンシリエーションの停止
コネクタのユーザー・リコンシリエーションのスケジュール済タスクが実行中であり、ユーザー・レコードがリコンサイルされているとします。リコンシリエーション・プロセスを停止する場合は、次のようにします。
ステップ1〜4を実行して、リコンシリエーションのスケジュール済タスクを構成します。
タスク・スケジューラで「Stop Execution」チェック・ボックスを選択します。
「Save」をクリックします。
このガイドで前述したように、プロビジョニングとは、Oracle Identity Managerを介して、ターゲット・システム上でユーザー・アカウント情報を作成または変更することです。
この項では、プロビジョニングの構成に関する次の項目について説明します。
|
注意: このターゲット・システムに対してOracle Identity Managerのプロビジョニング機能を使用する場合は、この項で説明する手順を実行する必要があります。「Oracle Identity Managerリリース9.1.0以上へのコネクタのインストール」に記載されている手順を実行した場合は、アダプタのコンパイルの手順を実行する必要はありません。 |
アダプタは、プロビジョニング機能を実装するために使用されます。コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。
Update iPlanet Role Details
iPlanet PP String
iPlanet Create OU
iPlanet Delete OU
iPlanet Move OU
iPlanet Create Role
iPlanet Delete Role
iPlanet Add User to Group
iPlanet Create Group
iPlanet Remove User From Group
iPlanet Create User
iPlanet Change Org Name
iPlanet Delete User
iPlanet Remove Role from user
iPlanet Delete Group
Update iPlanet Group Details
Chk Process Parent Org
iPlanet Add Role to User
iPlanet Move User
iPlanet Modify User
これらのアダプタは、プロビジョニング操作で使用する前にコンパイルする必要があります。
「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
「アダプタ・マネージャ」フォームを開きます。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」を選択します。
(すべてではないが)複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」を選択します。
|
注意: 正常にコンパイルされなかったアダプタのみを再コンパイルするには、「以前の失敗分をコンパイル」をクリックします。そのようなアダプタはコンパイルのステータスがOKになっていません。 |
「開始」をクリックします。選択したアダプタがOracle Identity Managerによってコンパイルされます。
Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_HOME/xellerate/Adapterディレクトリから、コンパイル済のアダプタをクラスタの他の各ノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。
一度に1つのアダプタをコンパイルする場合は、「アダプタ・ファクトリ」フォームを使用します。
|
関連項目: 「アダプタ・ファクトリ」フォームおよび「アダプタ・マネージャ」フォームの使用方法の詳細は、『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
アダプタの詳細情報を表示するには、次のようにします。
「アダプタ・マネージャ」フォームでアダプタをハイライト表示します。
アダプタの行ヘッダーをダブルクリックするか、アダプタを右クリックします。
表示されるショートカット・メニューで「アダプタの起動」を選択します。アダプタの詳細が表示されます。
|
注意: この項ではオプションの手順を説明します。組織のユーザーのプロビジョニングを有効化しない場合は、この手順を実行する必要はありません。 |
組織単位のユーザーのプロビジョニングを有効化するためのAttrName.Prov.Map.iPlanet参照定義のデフォルト設定は次のとおりです。
ldapOrgDNPrefix=ou
ldapOrgUnitObjectClass=OrganizationalUnit
組織のユーザーのプロビジョニングを有効化する場合は、次のように設定を変更します。
|
関連項目: 参照定義の変更の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
ldapOrgDNPrefix=o
ldapOrgUnitObjectClass=organization
組織単位をプロビジョニングするには、次のようにします。
Oracle Identity Manager管理およびユーザー・コンソールにログインします。
「組織」を開きます。
「作成」をクリックします。
作成する組織の名前およびタイプを指定して、「組織の作成」をクリックします。
リストから「リソース・プロファイル」を選択します。
「新しいリソースのプロビジョニング」をクリックします。
組織単位のオプションを選択します。
「続行」をクリックし、再度「続行」をクリックします。
ITサーバーの参照フィールドで、必要なITリソースに対応するリソース・オブジェクトを選択します。
「続行」をクリックし、検証ページで再度「続行」をクリックします。
グループまたはロールをプロビジョニングするには、次のようにします。
Oracle Identity Manager管理およびユーザー・コンソールにログインします。
「組織」を開きます。
「管理」をクリックします。
グループまたはロールをプロビジョニングする組織単位を検索します。
リストから「リソース・プロファイル」を選択します。
「新しいリソースのプロビジョニング」をクリックします。
このページで選択する必要のあるオプションは、作成するものによって異なります。
グループを作成する場合はグループのオプションを選択します。
グループを作成する場合はロールのオプションを選択します。
「続行」をクリックし、検証ページで再度「続行」をクリックします。
グループまたはロールの名前を入力します。
ITサーバーの参照フィールドで、ITリソースを選択します。
「続行」をクリックし、検証ページで再度「続行」をクリックします。
デフォルトでは、「リコンサイル対象のリソース・オブジェクト・フィールド」で示した属性が、Oracle Identity Managerとターゲット・システム間のリコンシリエーション用にマップされます。必要に応じ、このパッチを使用すると、追加の属性をリコンシリエーションにマッピングできます。
|
関連項目: 次の手順の各ステップ実行の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
リコンシリエーションに対するカスタム属性を追加するには、次のようにします。
「コネクタ操作のためのターゲット・システムのユーザー・アカウントの作成」で説明している手順を実行する際、ユーザー・アカウントにACIを作成します。次のようにして、属性をACIに追加する必要があります。
管理者権限を使用して、Sun One Serverコンソールにログインします。
ホスト名のフォルダを開きます。
「Server Group」を開きます。
「Directory Server」を選択して、右ペインで「Open」をクリックします。
「Directory」タブで、ルート・コンテキストを右クリックします。
ショートカット・メニューで、「Set Access Permissions」をクリックします。
「Manage Access Control」ダイアログ・ボックスで、ユーザー・アカウントで作成したACIの名前を選択して、「Edit」をクリックします。
ユーザー・アカウントに作成したACIが表示されます。
ACIに表示される属性のリストに、属性を追加します。2つの縦棒をデリミタとして使用します。
次のサンプルACIでは、passportnumber属性がACIに追加されています。
(targetattr = "passportnumber || physicalDeliveryOfficeName || homePhone ||
preferredDeliveryMethod || jpegPhoto || nsRoleDN || audio ||
internationaliSDNNumber || owner || postalAddress || roomNumber ||
givenName || carLicense || userPKCS12 || searchGuide || userPassword ||
teletexTerminalIdentifier || mobile || manager || entrydn || objectClass ||
userSMIMECertificate || displayName || destinationIndicator || telexNumber ||
employeeNumber || secretary || uid || userCertificate || st || sn ||
description || mail || labeledUri || businessCategory || homePostalAddress ||
x500UniqueIdentifier || modifyTimestamp || postOfficeBox || ou ||
nsAccountLock || seeAlso || registeredAddress || postalCode || photo ||
title || uniqueMember || street || pager || departmentNumber || dc || o ||
cn || l || initials || telephoneNumber || preferredLanguage ||
facsimileTelephoneNumber || x121Address || employeeType") (version 3.0;acl
"OIMUserACI";allow (read,write,delete,add)(userdn = "ldap:/// uid=OIMAdmin,
ou=Org1, dc=corp,dc=oracle,dc=com ");)
「OK」をクリックします。
次のようにして、追加する属性のターゲット・システム名を確認します。
ターゲット・システムにログインします。
ユーザー・インタフェースの「Configuration」タブで、「Schema」をクリックします。
リコンシリエーションを実行するオブジェクト・クラスを選択します。
追加する属性を検索して属性の名前を記録します。後述する手順で、属性の参照定義エントリを作成する際、この名前を入力します。
Oracle Identity Manager Design Consoleにログインします。
次のようにして、属性をプロセス・フォームに追加します。
「Form Designer」フォームを開きます。
「UD_IPNT_USR」フォームを検索して開きます。
フォームの新しいバージョンを作成します。
属性をフォームに追加します。
フォームを保存して閉じます。
リコンシリエーションの参照定義で、次のようにして新規属性のエントリを作成します。
「Lookup Definition」フォームを開きます。
AttrName.Recon.Map.iPlanet参照定義を検索して開きます。
参照定義で、追加する属性のエントリを作成します。
Code Key: プロセス・フォームに追加する属性の名前を入力します。
Decode Key: 前述の手順で記録した、ターゲット・システムに表示される属性の名前を入力します。
参照定義で、カスタム・オブジェクト・クラス(属性を含む)をldapUserObjectClass属性の既存の値に追加します。たとえば、新規属性がaccountdetailsオブジェクト・クラスの場合、ldapUserObjectClass属性の値を次のように設定します。
<inetorgperson|accountdetails>
一般的に、ldapUserObjectClass属性値の形式は次のとおりです。
<inetorgperson|customObjectClass1|customObjectClass2| . . . customObjectClassn>
リソース・オブジェクトで、次のようにして属性に対するリコンシリエーション・フィールドを追加します。
「Resource Objects」フォームを開きます。
iPlanet Userプロセスを検索します。
「Object Reconciliation」タブの「Reconciliation Fields」サブタブで、属性に対するエントリを作成します。
プロセス定義で、次のようにして属性に対するリコンシリエーション・フィールド・マッピングを作成します。
「Process Definition」フォームを開きます。
iPlanet Userプロセスを検索します。
「Reconciliation Field Mappings」タブで、属性に対するリコンシリエーション・フィールド・マッピングを作成します。
|
注意:
|
デフォルトでは、「リコンサイル対象のXellerateユーザー(OIMユーザー)フィールド」で示した属性が、Oracle Identity Managerとターゲット・システム間のリコンシリエーション用にマップされます。必要に応じて、信頼できるリソースのリコンシリエーション用に新しい属性を追加できます。
信頼できるソースのリコンシリエーション用に新しい属性を追加するには、次のようにします。
|
関連項目: これらの手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Oracle Identity Manager Design Consoleにログインします。
次のようにして、OIMユーザー・プロセス・フォームに新しい属性を追加します。
「Development Tools」を展開します。
「Form Designer」をダブルクリックします。
Usersプロセス・フォームを検索して開きます。
「Add」をクリックします。
属性の詳細を入力します。
たとえば、Title属性を追加する場合、「Name」フィールドにEmployee IDと入力してデータ型を「String」に設定し、列名としてTitleと入力してフィールド・サイズ値を入力します。
「Save」をクリックします。
リソース・オブジェクトのリコンシリエーション属性のリストに、次のようにして、新しい属性を追加します。
次のようにして、新しい属性用のリコンシリエーション・フィールド・マッピングをプロセス定義に作成します。
「Process Management」を展開します。
「Process Definition」をダブルクリックします。
Xellerate Userプロセス定義を検索して開きます。
「Reconciliation Field Mappings」タブで、「Add Field Map」をクリックします。
「Field Name」フィールドで、追加する属性の値を選択します。
たとえば、Title = Titleを選択します。
「Save」をクリックします。
リコンシリエーションの参照定義で、次のようにして、属性のエントリを作成します。
「administration」を展開します。
「Lookup Definition」をダブルクリックします。
AttrName.Recon.Map.iPlanet参照定義を検索して開きます。
「Add」をクリックし、属性のコード・キー値とデコード値を入力します。コード・キー値は、この手順の最初に特定した、ターゲット・システムの属性名である必要があります。デコード値は、手順3.eでリコンシリエーション・フィールドに入力した名前です。
たとえば、「Code Key」フィールドにTitleを入力し、「Decode」フィールドにtitleを入力します。
「Save」をクリックします。
「Field Type」を選択し、「Save」をクリックします。
|
注意: リコンシリエーション用に追加する新しい属性に文字列形式のデータのみが格納されていることを確認する必要があります。Oracle Identity Managerにはバイナリ属性を送信しないでください。 |
デフォルトでは、複数値属性であるRoleおよびGroupが、Oracle Identity Managerとターゲット・システム間のリコンシリエーション用にマップされます。必要に応じて、ターゲット・リソースのリコンシリエーション用に新しい複数値属性を追加できます。
ターゲット・リソースのリコンシリエーション用に新しい複数値属性を追加するには、次のようにします。
Oracle Identity Manager Design Consoleにログインします。
次のようにして、複数値属性用のフォームを作成します。
「Development Tools」を展開します。
「Form Designer」をダブルクリックします。
表の名前および説明を指定してフォームを作成し、「Save」をクリックします。
「Add」をクリックして属性の詳細を入力します。
「Save」をクリックし、「Make Version Active」をクリックします。
次のようにして、複数値属性用に作成されたフォームをプロセス・フォームの子フォームとして追加します。
「UD_IPNT_USR」プロセス・フォームを検索して開きます。
「Create New Version」をクリックします。
「Child Table(s)」タブをクリックします。
「Assign」をクリックします。
「Assign Child Tables」ダイアログ・ボックスで、新規作成した子フォームを選択して右矢印をクリックした後、「OK」をクリックします。
「Save」をクリックし、「Make Version Active」をクリックします。
リソース・オブジェクトのリコンシリエーション属性のリストに、次のようにして、新しい属性を追加します。
「Resource Management」を展開します。
「Resource Objects」をダブルクリックします。
iPlanet Userリソース・オブジェクトを検索して開きます。
「Object Reconciliation」タブで、「Add field」をクリックします。
「Add Reconciliation Fields」ダイアログ・ボックスに、属性の詳細を入力します。
たとえば、「Field Name」フィールドにcarLicenseと入力し、「Field Type」リストから「Multi Valued Attribute」を選択します。
「Save」をクリックしてダイアログ・ボックスを閉じます。
新規作成した属性を右クリックします。
「Define Property Fields」を選択します。
「Add Reconciliation Fields」ダイアログ・ボックスに、新規作成したフィールドの詳細を入力します。
たとえば、「Field Name」フィールドにMailing Addressと入力し、「Field Type」リストから「String」を選択します。
「Save」をクリックしてダイアログ・ボックスを閉じます。
次のようにして、新しい属性用のリコンシリエーション・フィールド・マッピングを作成します。
「Process Management」を展開します。
「Process Definition」をダブルクリックします。
iPlanet Userプロセス定義を検索して開きます。
iPlanet Userプロセス定義の「Reconciliation Field Mappings」タブで、「Add Table Map」をクリックします。
「Add Reconciliation Table Mapping」ダイアログ・ボックスで、リストからフィールド名および表名を選択し、「Save」をクリックしてダイアログ・ボックスを閉じます。
新規作成したフィールドを右クリックして、「Define Property Field Map」を選択します。
「Field Name」フィールドで、追加するフィールドの値を選択します。
「Process Data Field」フィールドをダブルクリックし、「UD_ADDRESS」を選択します。
「Key Field for Reconciliation Field Matching」を選択して「Save」をクリックします。
リコンシリエーションの参照定義で、次のようにして、属性のエントリを作成します。
「administration」を展開します。
「Lookup Definition」をダブルクリックします。
AttrName.Recon.Map.iPlanet参照定義を検索して開きます。
ldapMultiValAttrコード・キーの「Decode」列に、フィールド名とコード・キーをセミコロンで区切って入力します。フィールド名とコード・キーのペアは、縦線で区切ります。
たとえば、Mailing Addressが属性名である場合は、ldapMultiValAttrコード・キーの「Decode」列に次のエントリを追加します。
|Mailing Address;Mailing Address
この例で示すように、フィールド名とコード・キーのペアを縦線で区切り、フィールド名とコード・キーはセミコロンで区切ります。
「Add」をクリックして属性の「Code Key」および「Decode」に値を入力し、「Save」をクリックします。「Code Key」の値は、プロセス・フォームの属性の名前にする必要があります。「Decode」の値は、ターゲット・システムの属性の名前にする必要があります。
たとえば、「Code Key」列にはPostalAddress、「Decode」フィールドにはpostaladdressと入力します。
デフォルトでは、コネクタ・ガイドの「プロビジョニング・モジュール」の項にリストされている属性は、Oracle Identity Managerとターゲット・システムの間のプロビジョニングにマッピングされます。必要に応じ、このパッチを使用すると、追加の属性をプロビジョニングにマッピングできます。
|
関連項目: 次の手順の各ステップ実行の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
プロビジョニングに対する新規属性を追加するには、次のようにします。
「コネクタ操作のためのターゲット・システムのユーザー・アカウントの作成」で説明している手順を実行する際、ユーザー・アカウントにACIを作成します。次のようにして、属性をACIに追加する必要があります。
管理者権限を使用して、Sun One Serverコンソールにログインします。
ホスト名のフォルダを開きます。
「Server Group」を開きます。
「Directory Server」を選択して、右ペインで「Open」をクリックします。
「Directory」タブで、コネクタ操作のためにユーザー・アカウントを作成したルート・コンテキストを右クリックします。
ショートカット・メニューで、「Set Access Permissions」をクリックします。
「Manage Access Control」ダイアログ・ボックスで、ユーザー・アカウントで作成したACIの名前を選択して、「Edit」をクリックします。
ユーザー・アカウントに作成したACIが表示されます。
ACIに表示される属性のリストに、属性を追加します。2つの縦棒をデリミタとして使用します。
次のサンプルACIでは、passportnumber属性がACIに追加されています。
(targetattr = "passportnumber || physicalDeliveryOfficeName || homePhone ||
preferredDeliveryMethod || jpegPhoto || nsRoleDN || audio ||
internationaliSDNNumber || owner || postalAddress || roomNumber ||
givenName || carLicense || userPKCS12 || searchGuide || userPassword ||
teletexTerminalIdentifier || mobile || manager || entrydn || objectClass ||
userSMIMECertificate || displayName || destinationIndicator || telexNumber ||
employeeNumber || secretary || uid || userCertificate || st || sn ||
description || mail || labeledUri || businessCategory || homePostalAddress ||
x500UniqueIdentifier || modifyTimestamp || postOfficeBox || ou ||
nsAccountLock || seeAlso || registeredAddress || postalCode || photo ||
title || uniqueMember || street || pager || departmentNumber || dc || o ||
cn || l || initials || telephoneNumber || preferredLanguage ||
facsimileTelephoneNumber || x121Address || employeeType") (version 3.0;acl
"OIMUserACI";allow (read,write,delete,add)(userdn = "ldap:/// uid=OIMAdmin,
ou=Org1, dc=corp,dc=oracle,dc=com ");)
「OK」をクリックします。
次のようにして、追加する属性のターゲット・システム名を確認します。
ターゲット・システムにログインします。
ユーザー・インタフェースの「Configuration」タブで、「Schema」をクリックします。
プロビジョニング操作を実行するオブジェクト・クラスを選択します。
追加する属性を検索して属性の名前を記録します。後述する手順で、属性の参照定義エントリを作成する際、この名前を入力します。
Oracle Identity Manager Design Consoleにログインします。
次のようにして、属性をプロセス・フォームに追加します。
「Form Designer」フォームを開きます。
「UD_IPNT_USR」フォームを検索して開きます。
フォームの新しいバージョンを作成します。
属性をフォームに追加します。
フォームを保存して閉じます。
プロビジョニングの参照定義で、次のようにして新規属性のエントリを作成します。
「Lookup Definition」フォームを開きます。
Attrname.Prov.Map.iPlanet参照定義を検索して開きます。
参照定義で、追加する属性のエントリを追加します。
Code Key: プロセス・フォームに追加する属性の名前を入力します。
Decode Key: 前述の手順で記録した、ターゲット・システムに表示される属性の名前を入力します。
参照定義で、カスタム・オブジェクト・クラス(属性を含む)をldapUserObjectClass属性の既存の値に追加します。たとえば、新規属性がaccountdetailsオブジェクト・クラスの場合、ldapUserObjectClass属性の値を次のように設定します。
<inetorgperson|accountdetails>
一般的に、ldapUserObjectClass属性値の形式は次のとおりです。
<inetorgperson|customObjectClass1|customObjectClass2| . . . customObjectClassn>
プロビジョニングに新しく追加した属性が使用できるかどうかをテストするには、Oracle Identity Manager管理およびユーザー・コンソールにログインし、新しく追加した属性に値を指定したプロビジョニング操作を実行します。
プロビジョニング用の新規複数値属性に関する更新の有効化
プロビジョニング用に複数値属性を追加した後で、属性に対する更新操作を有効にする必要があります。この手順を実行しない場合、Create Userプロビジョニング操作で属性の値を設定した後で、値を変更できなくなります。
プロビジョニング用の新しい複数値属性の更新を有効にするには、次のようにします。
|
関連項目: これらの手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Oracle Identity Manager Design Consoleにログインします。
「Process Management」を展開します。
「Process Definition」をダブルクリックしてiPlanet Userプロセス定義を開きます。
次のようにして、プロセス定義に属性の値を設定するタスクを追加します。
「Add」をクリックし、複数値属性を追加するタスクの名前とタスクの説明を入力します。
「Task Properties」セクションで、次のフィールドを選択します。
Conditional
Required for Completion
Allow Cancellation While Pending
Allow Multiple Instances
リストから子表を選択します。
前述の例では、リストから「Mailing Address」を選択します。
複数値データを追加するために、トリガー・タイプとして「Insert」を選択します。かわりに、複数値データを削除するには、トリガー・タイプとして「Delete」を選択します。
「Integration」タブで「Add」をクリックし、「Adapter」をクリックします。
「adpIPLANETADDMULTIVALUEATTRIBUTE」アダプタを選択して「Save」をクリックし、メッセージ内の「OK」をクリックします。
次の表にリストされているアダプタ変数をマッピングするには、アダプタを選択して「Map」をクリックし、次の表で指定されているデータを指定します。
|
注意: 次の表内にある値のいくつかは、Mailing Address/Postal Addressの例に固有のものです。これらの値は、必要な複数値属性に適した値に置き換える必要があります。 |
| 変数名 | データ型 | マッピング先 | 修飾子 | ITアセット・タイプ | ITアセット・プロパティ |
|---|---|---|---|---|---|
| Adapter return value | Object | レスポンス・コード | 該当なし | 該当なし | 該当なし |
| AdminID | String | ITリソース | Server | LDAP Server | Admin Id |
| AdminPwd | String | ITリソース | Server | LDAP Server | Admin Password |
| processIntKey | String | プロセス・データ | Process Instance | 該当なし | 該当なし |
| rootContext | String | ITリソース | Server | LDAP Server | Root DN |
| SSLFlag | String | ITリソース | Server | LDAP Server | SSL |
| PropertyName | String | リテラル | String | postaladdress
注意: これはサンプル値です。 |
該当なし |
| AttrLookupCode | String | ITリソース | Server | LDAP Server | Prov Attribute Lookup Code |
| LDAPServer | String | ITリソース | Server | LDAP Server | Server Address |
| Port | String | ITリソース | Server | LDAP Server | Port |
| PropertyValue | String | プロセス・データとメーリング・アドレス | Mailing address
注意: これはサンプル値です。 |
該当なし | 該当なし |
| NsuniqueID | String | プロセス・データ | NsuniqueID | 該当なし | 該当なし |
「Save」アイコンをクリックしてダイアログ・ボックスを閉じます。
ステップ4を実行し、属性の値を削除するタスクをプロセス定義に追加します。ステップ4.dを実行するときに、「adpIPLANETREMOVEMULTIVALUEATTRIBUTE」アダプタを選択します。
新規オブジェクト・クラスを追加するには、次の手順を実行します。
|
注意: 追加する各オブジェクト・クラスに必須属性を追加する必要があります。 |
「コネクタ操作のためのターゲット・システムのユーザー・アカウントの作成」で説明している手順を実行する際、ユーザー・アカウントにACIを作成します。次のようにして、属性をACIに追加する必要があります。
管理者権限を使用して、Sun One Serverコンソールにログインします。
ホスト名のフォルダを開きます。
「Server Group」を開きます。
「Directory Server」を選択して、右ペインで「Open」をクリックします。
「Directory」タブで、コネクタ操作のためにユーザー・アカウントを作成したルート・コンテキストを右クリックします。
ショートカット・メニューで、「Set Access Permissions」をクリックします。
「Manage Access Control」ダイアログ・ボックスで、ユーザー・アカウントで作成したACIの名前を選択して、「Edit」をクリックします。
ユーザー・アカウントに作成したACIが表示されます。
ACIに表示される属性のリストに、属性を追加します。2つの縦棒をデリミタとして使用します。
次のサンプルACIでは、passportnumber属性がACIに追加されています。
(targetattr = "passportnumber || physicalDeliveryOfficeName || homePhone ||
preferredDeliveryMethod || jpegPhoto || nsRoleDN || audio ||
internationaliSDNNumber || owner || postalAddress || roomNumber || givenName ||
carLicense || userPKCS12 || searchGuide || userPassword ||
teletexTerminalIdentifier || mobile || manager || entrydn || objectClass ||
userSMIMECertificate || displayName || destinationIndicator || telexNumber ||
employeeNumber || secretary || uid || userCertificate || st || sn ||
description || mail || labeledUri || businessCategory || homePostalAddress ||
x500UniqueIdentifier || modifyTimestamp || postOfficeBox || ou || nsAccountLock ||
seeAlso || registeredAddress || postalCode || photo || title || uniqueMember ||
street || pager || departmentNumber || dc || o || cn || l || initials ||
telephoneNumber || preferredLanguage || facsimileTelephoneNumber || x121Address ||
employeeType") (version 3.0;acl "OIMUserACI";allow
(read,write,delete,add)(userdn = "ldap:/// uid=OIMAdmin, ou=Org1,
dc=corp,dc=oracle,dc=com ");)
「OK」をクリックします。
オブジェクト・クラスの属性をプロセス・フォームに追加するには、次のようにします。
Oracle Identity Manager Design Consoleを開きます。
「Development Tools」フォルダを開きます。
「Form Designer」をダブルクリックします。
「UD_IPNT_USR」プロセス・フォームを検索して開きます。
「Create New Version」、「Add」を順にクリックします。
属性の詳細を入力します。
たとえば、Associated Domain属性を追加する場合、「Name」フィールドにUD_IPNT_USR_ASSOCIATEDDOMAINを入力してから、その他のこの属性の詳細を入力します。
「Save」、「Make Version Active」を順にクリックします。
オブジェクト・クラスおよびその属性をプロビジョニングに対する参照定義に追加するには、次のようにします。
「管理」フォルダを開きます。
「参照定義」をダブルクリックします。
Attrname.Prov.Map.iPlanet参照定義を検索して開きます。
ldapUserObjectClassコード・キーのデコード値にオブジェクト・クラス名を追加します。
|
注意: オブジェクト・クラス名をオブジェクト・クラス名の既存のリストに追加する際、デコード列で縦線(|)をデリミタとして使用します。 |
たとえば、デコード列にMyObjectClassを追加する場合、次の値を入力します。
inetorgperson|MyObjectClass
「追加」をクリックし、オブジェクト・クラスの属性に対するコード・キーおよびデコードの値を入力します。コード・キー値はプロセス・フォームのフィールドの名前、デコード値はターゲット・システムのフィールドの名前です。
たとえば、コード・キー・フィールドでAssociated Domainを入力し、デコード・フィールドでassociatedDomainを入力します。
|
注意: オブジェクト・クラスのすべての必須属性に対してこのステップを実行する必要があります。オプションの属性に対しても、このステップを実行できます。 |
「保存」をクリックします。
オブジェクト・クラスの属性をリソース・オブジェクトに追加するには、次のようにします。
|
注意: オブジェクト・クラスのすべての必須属性に対してこのステップを実行する必要があります。オプションの属性に対しても、このステップを実行できます。 |
「リソース管理」フォルダを開きます。
「リソース・オブジェクト」をダブルクリックします。
iPlanet Userリソース・オブジェクトを検索して開きます。
オブジェクト・クラスの各属性に対して、次のようにします。
オブジェクト・リコンシリエーション・タブで、「フィールドの追加」をクリックします。
フィールドの詳細を入力します。
たとえば、「フィールド名」フィールドでAssociated Domainを入力し、フィールド・タイプ・リストで文字列を選択します。
保存アイコンをクリックします。
オブジェクト・クラスおよびその属性を、リコンシリエーションの参照定義に追加するには、AttrName.Recon.Map.iPlanet参照定義に対して、「プロビジョニングに対する参照定義へのオブジェクト・クラスおよびその属性の追加」で説明される手順をすべて実行します。つまり、「プロビジョニングに対する参照定義へのオブジェクト・クラスおよびその属性の追加」の項のステップ3を実行する際に、AttrName.Prov.Map.iPlanet参照定義ではなくAttrName.Recon.Map.iPlanetを検索して開きます。
「プロビジョニングに対する参照定義へのオブジェクト・クラスおよびその属性の追加」の項のステップ5を実行する際、コード・キー値はiPlanet Userリソース・オブジェクトのリコンシリエーション・フォームの名前、およびデコード値はターゲット・システムのフィールドの名前であることに注意してください。たとえば、コード・キー・フィールドでAssociated Domainを入力し、デコード・フィールドでassociatedDomainを入力します。
オブジェクト・クラスの属性をプロビジョニング・プロセスに追加するには、次のようにします。
|
注意: オブジェクト・クラスのすべての必須属性に対してこのステップを実行する必要があります。オプションの属性に対しても、このステップを実行できます。 |
「プロセス管理」フォルダを開きます。
「プロセス定義」をダブルクリックします。
iPlanet Userプロビジョニング・プロセスを検索して開きます。
リコンシリエーション・フィールド・マッピング・タブで、「フィールド・マップの追加」をクリックします。
「フィールド名」フィールドで、追加するフィールドの値を選択します。
たとえば、Associated Domain = UD_IPNT_USR_ASSOCIATEDDOMAINを選択します。
フィールド・タイプ・フィールドで、フィールド・タイプを選択します。
保存アイコンをクリックします。
|
注意: この手順は、Sun Java System Directoryの複数インストール用のコネクタを構成する場合以外は実行しないでください。 |
Sun Java System Directoryの複数のインストールに対してコネクタを構成する場合があります。次の例でこの要件について説明します。
Example Multinational Inc.の東京、ロンドンおよびニューヨークの事業所には、独自にSun Java System Directoryがインストールされています。最近、この会社では、Oracle Identity Managerをインストールし、これを構成してインストールされたすべてのSun Java System Directoryをリンクしようとしています。
このような例で示される要件に対応するには、ターゲット・システムの各インストールに対して単一のITリソースを作成および構成する必要があります。
「IT Resources」フォームは「Resource Management」フォルダにあります。コネクタのXMLファイルをインポートすると、iPlanet User Resource ITリソースが作成されます。このITリソースは、同じリソース・タイプの、残りのITリソース作成用のテンプレートとして使用できます。
|
関連項目: 詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照 |
管理およびユーザー・コンソールを使用してプロビジョニングを実行する場合、ユーザーのプロビジョニング先のターゲット・システム・インストールに対応するITリソースを指定できます。
同様に、特定のターゲット・システムのインストールからデータをリコンサイルするには、そのターゲット・システムのインストールに対応するITリソースの名前を、スケジュール済タスクのITResource属性の値として指定します。
コネクタを使用する際、次のガイドラインを適用します。
Sun Java System Directoryをターゲット・ソースのリコンシリエーション用に構成した場合、Oracle Identity Managerを介してSun Java System Directoryに手動でユーザー・アカウントを作成する際に、プロセス・フォームのユーザーIDがOracle Identity Managerのユーザー・ログインと同じであることを確認する必要があります。そうでない場合、次の操作は情報の更新に直接APIのコールが必要なため、リコンシリエーションが失敗する可能性があります。
ユーザーのステータスの有効化
ユーザーのステータスの無効化
組織の更新
ユーザー検索はユーザーIDにのみ基づいています。
プロビジョニングの間、ユーザーのパスワードに英語以外の文字を使用できません。これは、Sun Java System Directoryで「Password」フィールド内の非ASCII文字がサポートされていないためです。
プロビジョニングの間、ユーザーのユーザーIDまたは電子メール・アドレスに非ASCII文字を使用できません。これは、デフォルトではSun Java System Directoryで「User ID」および「E-mail」フィールド内の非ASCII文字が許可されていないためです。これらのフィールドで非ASCII文字の入力を有効にする場合は、次のようにして、7ビット・チェック・プラグインを無効にする必要があります。
Sun ONE Directory Serverを開きます。
「Configuration」タブをクリックします。
「Plugins」を開きます。
「7-bit check」を選択します。
「Enable plug-in」チェック・ボックスの選択を解除します。
「保存」をクリックします。
アジア言語の中には、マルチバイト・キャラクタ・セットを使用するものがあります。ターゲット・システムのフィールドの文字制限がバイト数で指定されている場合、特定のフィールドに入力できるアジア言語の文字数は、通常、同じフィールドに入力できる英語の文字数よりも少なくなります。次の例でこの制限について説明します。
ターゲット・システムの「User Last Name」フィールドに英語50文字を入力できるとします。日本語用にターゲット・システムを構成した場合、そのフィールドに入力できるのは25文字までです。
