4 リコンシリエーションの構成

このコネクタを使用すると、IBM RACFのユーザー・データのリアルタイム・リコンシリエーションが可能です。コネクタをデプロイして、ターゲット・システムの既存のユーザー・データをOracle Identity Managerにインポートした後は、ターゲット・システムに対するリコンシリエーションの実行を開始するためにスケジュール済タスクを利用する必要はありません。

この章では次の項目について説明します。

• 信頼できるソースのリコンシリエーションの構成

• 初期リコンシリエーションの実行

• アカウント・ステータスのリコンシリエーションの構成

4.1 信頼できるソースのリコンシリエーションの構成

注意: この項の手順を行うと、初期リコンシリエーションの実行でもそれ以降のリアルタイム・リコンシリエーションの実行でも、信頼できるソースのリコンシリエーションが有効になります。

信頼できるソースのリコンシリエーションのためのXMLファイルracfTrustedXellerateUser.xmlには、信頼できるソースのリコンシリエーションで使用されるコネクタ・コンポーネントの定義が含まれます。このXMLファイルをインポートするには、次のようにします。

1. Oracle Identity Manager管理およびユーザー・コンソールを開きます。

2. 左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。

3. 「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くためのダイアログ・ボックスが表示されます。

4. racfTrustedXellerateUser.xmlファイルを検索して開きます。このファイルはOIM_HOME/xellerate/XLIntegrations/racf/xmlディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。

5. 「ファイルの追加」をクリックします。「置換」ページが表示されます。

6. 「次へ」をクリックします。「確認」ページが表示されます。

7. 「インポート」をクリックします。

8. メッセージが表示されたら、「インポート」をクリックしてXMLファイルをインポートすることを確認し、「OK」をクリックします。

4.2 初期リコンシリエーションの実行

初期リコンシリエーションの実行では、コネクタをデプロイした直後にターゲット・システムからOracle Identity Managerにユーザー・データをインポートします。

初期リコンシリエーションの実行を開始するには、次のようにします。

1. runスクリプトとrun_initial_recon_provisioningスクリプトに共通するプロパティの値が同じであることを確認します。

   runスクリプトはLDAP_INSTALL_DIR/binディレクトリにあります。run_initial_recon_provisioningスクリプトはOIM_HOME/xellerate/JavaTasksディレクトリにあります。

2. テキスト・エディタでinitialRacfAdv.propertiesファイルを開きます。このファイルは次のディレクトリにあります。

   OIM_HOME/xellerate/JavaTasks
   

3. initialRacfAdv.propertiesファイルで、初期リコンシリエーション・スクリプトを制御するプロパティの値を指定します。

   
   

   注意: initialRacfAdv.propertiesファイルとracfConnection.propertiesファイルに共通するプロパティの値が同じであることを確認します。

   
   

   このファイルの一部のプロパティについて次に説明します。

   • idfTrusted

     このプロパティの値としてはtrueを入力し、信頼できるソースのリコンシリエーションをターゲット・システムに対して実行することを指定します。

   • userFile

     リコンサイルするターゲット・システム・ユーザーのユーザーIDを格納しているTXTファイルの名前を入力します。このファイルは次のディレクトリに配置する必要があります。

     OIM_HOME/xellerate/JavaTasks
     

     このファイルの詳細は、インストール・メディアのscriptsディレクトリにあるサンプルuser.txtファイルを参照してください。

   initialRacfAdv.propertiesファイルのプロパティのサンプル値を次に示します。

   xlAdminId:xelsysadm
   idfTrusted:false
   _resourceObject_:OIMRacfResourceObject
   _itResource_:RacfResource
   _dummyPwd_:Pwd123
   isFileRecon:true
   userFile:user.txt
   #REMOVED: sn,givenName,revoke,passwordExpire,
   reconAttrs:uid,cn,userPassword,revokeDate,resumeDate,defaultGroup,owner,instdata,omvsUid,omvsHome,omvsProgram,waaccnt,waaddr1,waaddr2,waaddr3,waaddr4,wabldg,wadept,waname,waroom
   tsoReconAttrs:tsoAcctNum,tsoProc,tsoSize,tsoUnit,tsoUserdata,tsoCommand,tsoDest,tsoHoldclass,tsoMsgclass,tsoMaxSize,tsoSysoutclass,tsoJobclass
   idfServerUrl:ldap://localhost:5389
   idfAdminDn:cn=idfRacfAdmin, dc=racf,dc=com
   idfAdminPwd:idfRacfPwd
   ouPeople:ou=People
   ouGroups:ou=Groups
   ouDatasets:ou=Datasets
   ouResources:ou=Resources
   ouFacilities:ou=Facilities
   ouBaseDn:dc=racf,dc=com
   idfSystemAdminDn:cn=Directory Manager, dc=system,dc=backend
   idfSystemAdminPwd:testpass
   idfSystemDn:dc=system,dc=backend
   

4. テキスト・エディタでrun_initial_recon_provisioningスクリプトを開きます。このファイルは次のディレクトリにあります。

   OIM_HOME/xellerate/JavaTasks
   

5. 信頼できるソースのリコンシリエーションを実行するには、次のようにします。

   
   

   注意: ターゲット・リソースのリコンシリエーションのみを実行する場合、ステップ5は無視してください。

   
   

   1. このスクリプトのJVパラメータの値を、Xellerateユーザーのリコンサイルを行う-Xに設定します。

   2. スクリプトを実行します。

      スクリプトを実行すると、ユーザー・データを含むファイル（ファイル名はuserFileプロパティの値）が開き、リコンサイルするユーザーのユーザーIDが読み取られます。次に、初期ロード・スクリプトであるローダーがLDAP Gatewayに接続し、ターゲット・システムから必要なユーザー・データをフェッチするコマンドを発行します。このデータはLDAP Gatewayキャッシュにロードされ、リコンシリエーション・イベントがOracle Identity Managerに送信されます。initialRacfAdv.propertiesファイルのuserFileプロパティによって識別されるすべてのターゲット・システム・ユーザーに対して、Xellerateユーザーが作成されます。

   3. run_initial_recon_provisioningスクリプトのJVパラメータの値を、ターゲット・リソースのリコンシリエーションを実行する-Rに変更します。

   4. 再びスクリプトを実行します。

      スクリプトのJVパラメータの値を-Rに設定したため、スクリプトを実行すると、ターゲット・リソースのリコンシリエーションが実行されます。最初にスクリプトを実行したときに作成された各OIMユーザーにリソースが割り当てられます。

6. ターゲット・リソースのリコンシリエーションのみを実行するには、次のようにします。

   
   

   注意: 信頼できるソースのリコンシリエーションを実行する場合、ステップ6は無視してください。

   
   

   1. テキスト・エディタでinitialRacfAdv.propertiesファイルを開いて、idfTrustedプロパティの値としてfalseを入力し、ターゲット・システムに対してターゲット・リソースのリコンシリエーションを実行することを指定します。

      racfConnection.propertiesファイルも同様に変更します。

   2. run_initial_recon_provisioningスクリプトのJVパラメータの値を、ターゲット・リソースのリコンシリエーションを実行する-Pに変更します。

   3. 再びスクリプトを実行します。

      スクリプトのJVパラメータの値を-Pに設定したため、スクリプトを実行すると、ターゲット・リソースのリコンシリエーションが実行されます。

この初期リコンシリエーションの実行が終了すると、以降のリコンシリエーションはリアルタイムに実行され、新しく作成または変更されたユーザー・データがOracle Identity Managerに自動的にリコンサイルされていきます。

4.3 アカウント・ステータスのリコンシリエーションの構成

ターゲット・システムでユーザーが無効または有効になると、そのユーザーがリコンサイルされ、変更されたステータスがOracle Identity Managerに反映されます。ユーザーのステータスが変更された後でメインフレーム・システムでユーザーをリコンサイルするには、次の構成手順を実行します。

1. LDAP_INSTALL_DIRディレクトリで、racfConnection.propertiesのreconAttrsセクションにステータス属性の名前を追加します。

   initialRacfAdv.propertiesファイルでも同じ変更を行います。このファイルは、OIM_HOME/xellerate/JavaTasksディレクトリにあります。

2. 変更を有効にするためにLDAP Gatewayを再起動します。

3. Design Consoleで次のようにします。

   
   

   関連項目: 次の手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。

   
   

   • OIMRacfResourceObjectリソース・オブジェクトに、ステータス属性を表すフィールドを作成します。

   • OIMRacfProvisioningProcessプロセス定義で、ステータス属性のフィールドをOIM_OBJECT_STATUSフィールドにマップします。