| Oracle Identity Manager Microsoft Active Directory User Management Connectorガイド リリース9.1.1 B54369-03 |
|
 戻る |
 次へ |
| Oracle Identity Manager Microsoft Active Directory User Management Connectorガイド リリース9.1.1 B54369-03 |
|
戻る |
次へ |
この章では、特定のビジネス要件に対応するためにコネクタの機能を拡張する実行可能な手順について説明します。
この章では、次のオプションの手順について説明します。
既存のフィールド・マッピングの変更: Oracle Identity Managerとターゲット・システム間のデフォルトのフィールド・マッピングを変更する場合に参照してください。
次の各項では、コネクタのターゲット・リソースのリコンシリエーション機能の拡張を目的とした手順について説明します。
ターゲット・リソースのリコンシリエーション用の新規フィールドの追加: ターゲット・システムとOracle Identity Managerのフィールド間のマッピングを追加する手順について説明します。
ターゲット・リソースのリコンシリエーション用の新規複数値フィールドの追加: ターゲット・システムとOracle Identity Managerの複数値フィールド間のマッピングを追加する手順について説明します。
次の各項では、コネクタのプロビジョニング機能の拡張を目的とした手順について説明します。
プロビジョニング用の新規フィールドの追加: ターゲット・システムとOracle Identity Managerのフィールド間のマッピングを追加する手順について説明します。
プロビジョニング用の新規複数値フィールドの追加: ターゲット・システムとOracle Identity Managerの複数値フィールド間のマッピングを追加する手順について説明します。
新規オブジェクト・クラス用のマッピングの追加: ターゲット・システムで作成したオブジェクト・クラス用のマッピングを追加する手順について説明します。
自動事前移入オプションおよび自動保存オプションの有効化: リソース・オブジェクトの自動事前移入オプションおよび自動保存オプションを有効にする手順について説明します。
ユーザー独自のプロビジョニング・スクリプトの使用: デフォルトのプロビジョニング・スクリプトの機能を拡張または変更する手順を示します。
ExecuteRemoteScriptsプロセス・タスクの削除: ADCS Execute Remote Scriptアダプタを無効にする手順について説明します。このアダプタは、ユーザー作成プロビジョニング操作が正常に終了するとデフォルトで実行されます。
信頼できるソースのリコンシリエーション用の新規フィールドの追加: ターゲット・システムとOracle Identity Managerのフィールド間のマッピングを追加する手順について説明します。
Oracle Identity Managerにリコンサイルされるデータの変換: リコンシリエーションのためにOracle Identity Managerにフェッチされるデータを変更する手順について説明します。
プロビジョニングのためにターゲット・システムに送信されるデータの検証: プロビジョニング・データがターゲット・システムに送信される前に、それらのデータを検証する手順について説明します。
複数のドメインにわたるリコンシリエーションおよびプロビジョニング操作の有効化: 複数のドメインにわたるリコンシリエーションおよびプロビジョニング操作を有効化する手順について説明します。
複数の信頼できるソースのリコンシリエーション用のコネクタの構成: 組織のアイデンティティ・データの信頼できるソースの1つとしてターゲット・システムを使用するための手順について説明します。
ターゲット・システムの複数のインストールに対するコネクタの構成: ターゲット・システムの複数のインストールに対してコネクタを構成する手順について説明します。
ターゲット・システムとOracle Identity Managerのフィールド間のデフォルトのマッピングは、次の各項を参照してください。
これらのマッピングを変更する場合は、次のようにします。
Design Consoleにログインします。
「Administration」を開いて「Lookup Definition」をダブルクリックします。
変更する参照定義を検索して開きます。
表4-1に、リコンシリエーションおよびプロビジョニングのためのフィールド・マッピング情報を格納する参照定義の内容の説明を示します。
表4-1 フィールド・マッピング情報を格納する参照定義
コード・キー値およびデコード値を変更して、フィールド・マッピングに必要な変更を加えます。
「Save」をクリックします。
|
注意:
|
デフォルトでは、表1-4に示したフィールドが、Oracle Identity Managerとターゲット・システム間のリコンシリエーション用にマップされます。必要に応じて、ターゲット・リソースのリコンシリエーション用に新しいフィールドを追加できます。
コネクタには、ターゲット・システムの「ターミナル サービスのプロファイル」のフィールド用のマッピングがデフォルトで用意されています。「環境」、「リモート制御」、「セッション」の各カテゴリのフィールドについては、マッピングを追加できます。
ターゲット・リソースのリコンシリエーション用に新しいフィールドを追加する場合、先にフィールドのターゲット・システム名を次のようにして特定する必要があります。
|
注意: フィールドが次のユーザー・データのカテゴリのいずれかに属する場合は、そのターゲット・システム・フィールドの名前を特定する手順を実行しないでください。
ターゲット・システム・フィールド名に関する置換の詳細は、かわりに付録C「リコンシリエーションおよびプロビジョニング用の「ターミナル サービスのプロファイル」のフィールド名」を参照してください。 |
ターゲット・システムのスキーマがまだインストールされていない場合は、インストールします。
スキーマのインストールの詳細は、Microsoft社のWebサイトを参照してください。
|
注意: ADSIEditツールを使用すると、ターゲット・システムのスキーマをインストールして使用しなくても、追加するフィールドの名前を決定できます。このツールの使用方法の詳細は、Microsoft社のWebサイトを参照してください。 |
ターゲット・システムのスキーマを開きます。
「コンソール ルート」フォルダを展開し、ターゲット・システムのスキーマを展開し、続いて「クラス」をダブルクリックします。
「ユーザー」を右クリックし、「プロパティ」を選択します。
「属性」タブに、ターゲット・システム上で現在使用中の属性(つまり、フィールド)が表示されます。
追加するフィールドの名前を書き留め、「キャンセル」をクリックします。
たとえば、リコンシリエーション用に「Employee ID」フィールドを追加する場合は、employeeIDを書き留めます。
ターゲット・リソースのリコンシリエーション用に新しいフィールドを追加するには、次のようにします。
|
関連項目: これらの手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Oracle Identity Manager Design Consoleにログインします。
次のようにして、プロセス・フォームに新しいフィールドを追加します。
「Development Tools」を展開します。
「Form Designer」をダブルクリックします。
UD_ADUSERプロセス・フォームを検索し、開きます。グループの場合は、UD_ADGRPプロセス・フォームを検索します。
「Create New Version」をクリックし、「Add」をクリックします。
フィールドの詳細を入力します。
たとえば、「Employee ID」フィールドを追加する場合は、「Name」フィールドにUD_ADUSER_EMPLOYEE_IDを入力し、続いて他の詳細(変数の型、長さ、フィールド・ラベル、フィールド・タイプなど)を入力します。
「Save」をクリックし、「Make Version Active」をクリックします。図4-1に、プロセス・フォームに追加された新しいフィールドを示します。
リソース・オブジェクトのリコンシリエーション・フィールドのリストに、次のようにして、新しいフィールドを追加します。
「Resource Management」を展開します。
「Resource Objects」をダブルクリックします。
AD Userリソース・オブジェクトを検索し、開きます。グループの場合は、AD Groupリソース・オブジェクトを検索し、開きます。
「Object Reconciliation」タブで、「Add field」をクリックします。
フィールドの詳細を入力します。
たとえば、「Field Name」フィールドにEmployee IDを入力し、フィールド・タイプのリストから「string」を選択します。
この手順でこの後、リコンシリエーションのための参照定義の中に作成するエントリのデコード値として、フィールド名を入力します。
「Save」をクリックします。図4-2に、リソース・オブジェクトに追加された新しいリコンシリエーション・フィールドを示します。
次のようにして、新しいフィールド用のリコンシリエーション・フィールド・マッピングをプロセス定義に作成します。
「Process Management」を展開します。
「Process Definition」をダブルクリックします。
AD Userプロセス定義を検索して開きます。グループの場合は、AD Groupプロセス定義を検索し、開きます。
AD User(またはAD Group)プロセス定義の「Reconciliation Field Mappings」タブで、「Add Field Map」をクリックします。
「Field Name」フィールドで、追加するフィールドの値を選択します。
「Process Data Field」フィールドをダブルクリックし、「UD_ADUSER_EMPLOYEE_ID」を選択します。
「Save」をクリックします。図4-3に、プロセス定義のプロセス・データ・フィールドにマップされた新しいリコンシリエーション・フィールドを示します。
リコンシリエーションの参照定義で、次のようにして、フィールドのエントリを作成します。
「administration」を展開します。
「Lookup Definition」をダブルクリックします。
追加するフィールドが、「Environment」、「Remote Control」または「Sessions」のフィールドではない場合は、次の参照定義を検索して開きます。
|
注意: ターゲット・システム・フィールドには、ターゲット・システムと同じ大文字または小文字を使用する必要があります。フィールド名では、大/小文字が区別されるためです。 |
Microsoft Active Directoryのユーザー・フィールドの場合、Lookup.ADReconciliation.FieldMapを開きます。
Microsoft ADAMのユーザー・フィールドの場合、Lookup.ADAMReconciliation.FieldMapを開きます。
Microsoft Active Directoryのグループ・フィールドの場合、Lookup.ADGroupReconciliation.FieldMapを開きます。
Microsoft ADAMのグループ・フィールドの場合、Lookup.ADAMGroupReconciliation.FieldMapを開きます。
ユーザー・フィールドで、追加するフィールドが、「Environment」、「Remote Control」または「Sessions」のフィールドである場合は、Lookup.AD.BLOBAttribute.Values参照定義を検索して開きます。
|
注意: プロビジョニング操作時にRemote Managerによって実行されるVBScriptファイルに変更を加える必要はありません。 |
「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。コード・キー値は、この手順の最初に特定した、ターゲット・システムのフィールド名である必要があります。デコード値は、手順3.eでリコンシリエーション・フィールドに入力した名前です。
たとえば、「Code Key」フィールドにemployeeIDを入力し、「Decode」フィールドに従業員IDを入力します。
「Save」をクリックします。図4-4に、参照定義に追加された参照コードを示します。
|
注意: この手順は、ユーザー・フィールドまたはグループ・フィールドの追加に適用できます。 リコンシリエーション用に追加する新しいフィールドに文字列形式のデータのみが格納されていることを確認する必要があります。Oracle Identity Managerにはバイナリ・フィールドを送信しないでください。 |
デフォルトでは、表1-4に示した複数値フィールドが、Oracle Identity Managerとターゲット・システム間のリコンシリエーション用にマップされます。必要に応じて、ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加できます。
ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加するには、次のようにします。
Oracle Identity Manager Design Consoleにログインします。
次のようにして、複数値フィールド用のフォームを作成します。
「Development Tools」を展開します。
「Form Designer」をダブルクリックします。
表の名前および説明を指定してフォームを作成し、「Save」をクリックします。
「Add」をクリックしてフィールドの詳細を入力します。
「Save」をクリックし、「Make Version Active」をクリックします。図4-5に、新しいフォームで追加された複数値フィールドを示します。
次のようにして、複数値フィールド用に作成されたフォームをプロセス・フォームの子フォームとして追加します。
UD_ADUSERプロセス・フォームを検索し、開きます。グループの場合は、UD_ADGRPプロセス・フォームを検索し、開きます。
「Create New Version」をクリックします。
「Child Table(s)」タブをクリックします。
「Assign」をクリックします。
「Assign Child Tables」ダイアログ・ボックスで、新規作成した子フォームを選択して右矢印をクリックした後、「OK」をクリックします。
「Save」をクリックし、「Make Version Active」をクリックします。図4-6に、プロセス・フォームに追加された子フォームを示します。
リソース・オブジェクトのリコンシリエーション・フィールドのリストに、次のようにして、新しいフィールドを追加します。
「Resource Management」を展開します。
「Resource Objects」をダブルクリックします。
AD Userリソース・オブジェクトを検索し、開きます。グループの場合は、AD Groupリソース・オブジェクトを検索し、開きます。
「Object Reconciliation」タブで、「Add field」をクリックします。
「Add Reconciliation Fields」ダイアログ・ボックスに、フィールドの詳細を入力します。
たとえば、「Field Name」フィールドにcarLicenseと入力し、「Field Type」リストから「Multi Valued Attribute」を選択します。
「Save」をクリックしてダイアログ・ボックスを閉じます。
新規作成したフィールドを右クリックします。
「Define Property Fields」を選択します。
「Add Reconciliation Fields」ダイアログ・ボックスに、新規作成したフィールドの詳細を入力します。
たとえば、「Field Name」フィールドにcarLicenseと入力し、「Field Type」リストから「String」を選択します。
「Save」をクリックしてダイアログ・ボックスを閉じます。図4-7に、リソース・オブジェクトに追加された新しいリコンシリエーション・フィールドを示します。
次のようにして、新しいフィールド用のリコンシリエーション・フィールド・マッピングを作成します。
「Process Management」を展開します。
「Process Definition」をダブルクリックします。
AD Userプロセス定義を検索して開きます。グループの場合は、AD Groupプロセス定義を検索し、開きます。
AD User(またはAD Group)プロセス定義の「Reconciliation Field Mappings」タブで、「Add Table Map」をクリックします。
「Add Reconciliation Table Mapping」ダイアログ・ボックスで、リストからフィールド名および表名を選択し、「Save」をクリックしてダイアログ・ボックスを閉じます。
新規作成したフィールドを右クリックして、「Define Property Field Map」を選択します。
「Field Name」フィールドで、追加するフィールドの値を選択します。
「Process Data Field」フィールドをダブルクリックし、「UD_CAR_LICENSE」を選択します。
「Key Field for Reconciliation Field Matching」を選択して「Save」をクリックします。図4-8に、プロセス定義のプロセス・データ・フィールドにマップされた新しいリコンシリエーション・フィールドを示します。
リコンシリエーションの参照定義で、次のようにして、フィールドのエントリを作成します。
「administration」を展開します。
「Lookup Definition」をダブルクリックします。
ターゲット・システムがMicrosoft Active Directoryの場合は、Lookup.ADReconciliation.FieldMap(またはLookup.ADGroupReconciliation.FieldMap)参照定義を検索して開きます。
|
注意: ターゲット・システム・フィールドには、ターゲット・システムと同じ大文字または小文字を使用する必要があります。フィールド名では、大/小文字が区別されるためです。 |
ターゲット・システムがMicrosoft ADAMの場合は、Lookup.ADAMReconciliation.FieldMap(またはLookup.ADAMGroupReconciliation.FieldMap)参照定義を検索して開きます。
「Add」をクリックしてフィールドの「Code Key」および「Decode」に値を入力し、「Save」をクリックします。コード・キー値は、ターゲット・システムの属性フィールドの名前にする必要があります。
たとえば、「Code Key」フィールドにはcarLicense、「Decode」フィールドにはcarLicenseと入力します。図4-9に、参照定義に追加された参照コードを示します。
ユーザー・フィールドの場合、次のようにして、複数値フィールドをLookup.AD.Configuration参照定義に追加します。
「Lookup Definition」をダブルクリックします。
Lookup.ADReconciliation.FieldMap参照定義を検索して開きます。
リコンサイル対象となる複数値属性を「Decode」フィールドに追加して「Save」をクリックします。属性は、MultiValueAttributesDelimiterフィールドに入力したデコード値で区切る必要があります。
たとえば、MultiValueAttributesDelimiterにセミコロン(;)がデコード値として指定されている場合、MultiValueAttributesのデコード値はmemberOf;carLicenseとする必要があります。この値では、セミコロンがデリミタ文字として使用されています。図4-10に、Lookup.AD.Configuration参照定義に追加された複数値フィールドを示します。
デフォルトでは、表1-8に示したフィールドが、Oracle Identity Managerとターゲット・システム間のプロビジョニング用にマップされます。必要に応じて、追加のフィールドをプロビジョニング用にマップできます。
コネクタには、ターゲット・システムの「ターミナル サービスのプロファイル」のフィールド用のマッピングがデフォルトで用意されています。「環境」、「リモート制御」、「セッション」の各カテゴリのフィールドについては、マッピングを追加できます。
プロビジョニング用に新しいフィールドを追加する場合、先にフィールドのターゲット・システム名を次のように特定する必要があります。
|
注意: フィールドが次のユーザー・データのカテゴリのいずれかに属する場合は、そのターゲット・システム・フィールドの名前を特定する手順を実行しないでください。
ターゲット・システム・フィールド名に関する置換の詳細は、かわりに付録C「リコンシリエーションおよびプロビジョニング用の「ターミナル サービスのプロファイル」のフィールド名」を参照してください。 |
ターゲット・システムのスキーマがまだインストールされていない場合は、インストールします。
スキーマのインストールの詳細は、Microsoft社のWebサイトを参照してください。
|
注意: ADSIEditツールを使用すると、ターゲット・システムのスキーマをインストールして使用しなくても、追加するフィールドの名前を決定できます。このツールの使用方法の詳細は、Microsoft社のWebサイトを参照してください。 |
ターゲット・システムのスキーマを開きます。
「コンソール ルート」フォルダを展開し、ターゲット・システムのスキーマを展開し、続いて「クラス」をダブルクリックします。
「ユーザー」を右クリックし、「プロパティ」を選択します。
「属性」タブに、ターゲット・システム上で現在使用中の属性(つまり、フィールド)が表示されます。
追加するフィールドの名前を書き留め、「キャンセル」をクリックします。
たとえば、リコンシリエーション用に「Employee ID」フィールドを追加する場合は、employeeIDを書き留めます。
プロビジョニング用に新しいフィールドを追加するには、次のようにします。
|
関連項目: これらの手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Oracle Identity Manager Design Consoleにログインします。
プロセス・フォームに新しいフィールドを追加します。
「ターゲット・リソースのリコンシリエーション用の新規フィールドの追加」のステップ2を実行してプロセス・フォームにフィールドを追加した場合は、フィールドを再度追加する必要はありません。フィールドを追加していない場合は、次のようにします。
「Development Tools」を展開します。
「Form Designer」をダブルクリックします。
UD_ADUSERプロセス・フォームを検索し、開きます。グループの場合は、UD_ADGRPプロセス・フォームを検索し、開きます。
「Create New Version」をクリックし、「Add」をクリックします。
フィールドの詳細を入力します。
たとえば、「Employee ID」フィールドを追加する場合は、「Name」フィールドにUD_ADUSER_EMPLOYEE_IDを入力し、続いてこのフィールドの残りの詳細を入力します。
「Save」をクリックし、「Make Version Active」をクリックします。図4-11に、プロセス・フォームに追加された新しいフィールドを示します。
プロビジョニングの参照定義で、次のようにして、フィールドのエントリを作成します。
「administration」を展開します。
「Lookup Definition」をダブルクリックします。
追加するフィールドが、「Environment」、「Remote Control」または「Sessions」のフィールドではない場合は、次の参照定義のいずれかを検索して開きます。
追加するフィールドが、「Environment」、「Remote Control」または「Sessions」のフィールドである場合は、AtMap.AD.RemoteScriptlookUp参照定義を検索して開きます。
|
注意: プロビジョニング操作時にRemote Managerによって実行されるVBScriptファイルに変更を加える必要はありません。 |
「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。デコード値は、この手順の最初に特定した、ターゲット・システムのフィールド名である必要があります。
|
注意: ターゲット・システム・フィールドには、ターゲット・システムと同じ大文字または小文字を使用する必要があります。フィールド名では、大/小文字が区別されるためです。 |
たとえば、「Code Key」フィールドにUD_ADUSER_EMPLOYEE_IDを入力し、「Decode」フィールドにemployeeIDを入力します。図4-12に、参照定義に追加されたエントリを示します。
プロビジョニング用の新規フィールドの有効化
プロビジョニング用にフィールドを追加したら、フィールド上で更新操作を有効にする必要があります。この手順を実行しない場合、Create Userプロビジョニング操作でフィールドの値を設定した後で、値を変更できなくなります。
プロビジョニング用の新しいフィールドの更新を有効にするには、次のようにします。
|
関連項目: これらの手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Oracle Identity Manager Design Consoleにログインします。
次のようにして、プロセス定義にフィールドの更新用の新しいタスクを追加します。
「Process Management」を展開します。
「Process Definition」をダブルクリックし、ユーザー属性の場合は「AD User」プロセス定義、またはグループ属性の場合は「AD Group」プロセス定義を開きます。
「Add」をクリックし、タスク名とタスクの説明を入力します。
「Task Properties」セクションで、次のフィールドを選択します。
Conditional
Required for Completion
Allow Cancellation While Pending
Allow Multiple Instances
「Save」をクリックします。図4-13に、プロセス定義に追加された新しいタスクを示します。
AD Userプロセス定義で、次のようにして「Handler Type」セクションでアダプタ名を選択します。
「Integration」タブに移動し、「Add」をクリックして、「Adapter」を選択します。
「Handler Type」セクションで、ユーザー属性の場合は「adpADCSCHANGEATTRIBUTE」、またはグループ属性の場合は「adpADCSGROUPCHANGEATTRIBUTE」を選択します。
「Save」をクリックします。図4-14に、ハンドラに追加されたアダプタを示します。
「Variable Name」フィールドをダブルクリックして値を取得し、アダプタ変数をレスポンス・コードにマップします。図4-15に、レスポンス・コードにマップされた変数名を示します。
「Variable Name」フィールドをダブルクリックして値を取得し、アダプタ変数をプロセス・データ・フィールドにマップします。図4-16に、プロセス・データ・フィールドにマップされた変数名を示します。
「Variable Name」フィールドをダブルクリックして値を取得し、アダプタ変数をプロセス・データ・フィールドにマップします。図4-17に、プロセス・データ・フィールドにマップされたアダプタ変数を示します。
「Variable Name」フィールドをダブルクリックして値を取得し、「プロビジョニング用の新規フィールドの追加」で特定したターゲット・システムの対応するフィールドにアダプタ変数をマップします。たとえば、従業員IDを更新するためには、employeeIDを入力します。図4-18に、ターゲット・システム・フィールドにマップされたアダプタ変数を示します。
Lookup.AD.Configuration参照定義のコピーを作成する場合は、次のようにします。
「Variable Name」フィールドをダブルクリックし、「sConfigurationLookUp」変数を選択します。
変数をリテラルの値Lookup.AD.Configurationにマップします。
図4-19に、リテラルにマップされたアダプタ変数を示します。
「Save」をクリックします。
プロビジョニング用に新しい複数値フィールドを追加するには、次のようにします。
|
注意: 次の手順を始める前に、「ターゲット・リソースのリコンシリエーション用の新規複数値フィールドの追加」に記載されているステップ1〜3を実行してください。ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加する際にこれらのステップを実行した場合は、繰り返し実行する必要はありません。 |
Oracle Identity Manager Design Consoleにログインします。
「Process Management」を展開します。
次のようにして、プロセス定義にプロビジョニングの複数値属性用のタスクを追加します。
「Process Definition」をダブルクリックします。
AD Userプロセス定義を検索して開きます。グループの場合は、AD Groupプロセス定義を開きます。
「Add」をクリックしてタスクの名前および説明を入力します。
「Task Properties」セクションで、次のフィールドを選択します。
Conditional
Required for Completion
Retry Count
Allow Multiple Instances
子表の名前: 「Child Table」リストから選択
Insert: データを追加する場合に「Trigger Type」リストから選択
Delete: データを削除する場合に「Trigger Type」リストから選択
「Save」をクリックします。図4-20に、プロセスに追加された複数値タスクを示します。
次のようにしてアダプタを選択します。
AD Userプロビジョニング・プロセスの「Integration」タブで、「Add」をクリックして「Adapter」を選択します。アダプタのリストで、次のようにします。
複数値データを追加する場合は、「adpADCSAddMultiAttributeData」を選択して「Save」をクリックします。
複数値データを削除する場合は、「adpADCSRemoveMultiAttributeData」を選択して「Save」をクリックします。
アダプタ変数をダブルクリックしてプロセス・データ・フィールドにマップし、「Save」をクリックします。図4-21に、プロセス・データ・フィールドにマップされたアダプタ変数名を示します。
アダプタ変数をダブルクリックしてリテラルにマップし、「Literal Value」フィールドに更新対象となる属性の名前を指定した後、「Save」をクリックします。図4-22に、リテラルにマップされたアダプタ変数を示します。
アダプタ変数をダブルクリックして新規作成したフォームのプロセス・データ・フィールドにマップします。属性を削除する場合は、「Old Value」を選択して「Save」をクリックします。図4-23に、プロセス・データ・フィールドにマップされたアダプタ変数を示します。
アダプタ変数をダブルクリックしてプロセス・データ・フィールドにマップし、「Save」をクリックします。図4-24に、プロセス・データ・フィールドにマップされたアダプタ変数名を示します。
アダプタ変数をダブルクリックしてレスポンス・コード・フィールドにマップし、「Save」をクリックします。図4-25に、レスポンス・コード・フィールドにマップされたアダプタ変数名を示します。
Lookup.AD.Configuration参照定義のコピーを作成する場合は、次のようにします。
「Variable Name」フィールドをダブルクリックし、「sConfigurationLookUp」変数を選択します。
変数をリテラルの値Lookup.AD.Configurationにマップします。
図4-26に、リテラルにマップされたアダプタ変数を示します。
プロセス・タスクで「Save」をクリックします。
|
注意: プロビジョニング操作時に、複数値フィールドの値を追加または削除できます。これらの値は更新できません。 |
オブジェクト・クラスを作成し、プロビジョニング用にオブジェクト・クラスのフィールドを追加するには、次のようにします。
オブジェクト・クラスを作成し、必須および任意の属性をオブジェクト・クラスに割り当てます。
オブジェクト・クラスの作成方法は、Microsoft社のドキュメントを参照してください。
|
注意: 作成したオブジェクト・クラスの親として、userオブジェクト・クラスを割り当てます。 |
スキーマをリフレッシュします。
「プロビジョニング用の新規フィールドの追加」に記載されている手順を実行して、プロビジョニング用のオブジェクト・クラスの必須および任意の属性を追加します。
Lookup.AD.Configuration参照定義を開き、LdapUserObjectClassコード・キー値のデコード値を変更して新しいオブジェクト・クラス名を指定します。
このステップの実行の詳細は、「Lookup.AD.Configuration参照定義の構成」を参照してください。
自動事前移入と自動保存は、リソース・オブジェクトで使用できるオプションのうちの2つです。自動事前移入オプションは、カスタム・フォームへのデータの移入がOracle Identity Managerまたはユーザーのどちらによって行われるかを指定する場合に使用します。自動保存オプションは、「Form Designer」フォームを使用して作成されたリソース固有のフォームのデータを、ユーザー操作なしにOracle Identity Managerによって保存する必要があることを指定する場合に使用します。
|
関連項目: この2つのオプションの詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
これらのオプションのいずれかを使用する場合は、次のようにしてプロセス定義の必須チェック・ボックスのデフォルト値を指定します。
Design Consoleにログインします。
「Development Tools」を開き、「Form Designer」をダブルクリックします。
AD Userプロセス定義を検索して開きます。
「Additional Columns」タブで次のようにします。
UD_ADUSER_MUSTフィールドの「Default」列に、値(0または1)を入力します。
UD_ADUSER_NEVERフィールドの「Default」列に、値(0または1)を入力します。
「Save」をクリックします。
図4-27に、プロセス・フォームでCheckBoxフィールド・タイプに指定されたデフォルト値を示します。
|
注意: この項の情報は、Microsoft ADAMには適用されません。 |
デフォルトのプロビジョニング・スクリプトProvTerminalServiceAttr.vbsの詳細は、「コネクタのアーキテクチャ」を参照してください。その項で説明したように、このスクリプトは、ターゲット・システムの「ターミナル サービスのプロファイル」のフィールドを処理するために使用されます。ユーザー作成プロビジョニング操作では、プロセス・フォームの「ターミナル サービスのプロファイル」のフィールドに対する値の入力の有無に関係なく、Remote Managerはプロビジョニング・スクリプトをコールします。ユーザー更新プロビジョニング操作では、「ターミナル サービスのプロファイル」のフィールドのいずれかが更新された場合にのみ、Remote Managerはプロビジョニング・スクリプトをコールします。
デフォルトのプロビジョニング・スクリプトの機能を拡張または変更する場合、ユーザー独自のスクリプトに置き換えることができます。たとえば、「ターミナル サービスのプロファイル」のフィールドおよび「リモート制御」のフィールドを操作するスクリプトを作成できます。
ユーザー独自のプロビジョニング・スクリプトを使用するには、次のようにします。
スクリプトを作成します。
ターゲット・システム・コンピュータの任意のディレクトリにスクリプトを格納します。
|
注意: スクリプトのコピー先となるディレクトリに、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」に記載されている手順を実行して作成したターゲット・システム・ユーザー・アカウントに対する必要な読取りおよび書込み権限があることを確認します。 |
ADITResource ITリソースを編集し、スクリプトのフルパスおよび名前をRemote Manager Prov Script Pathパラメータの値として入力します。
|
関連項目: 『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』の「ITリソースの管理」 |
スクリプトの作成時に、デフォルトのプロビジョニング・スクリプトのパラメータに関する次の情報を適用できます。
UserID
プロビジョニング操作の際、このパラメータは次の形式のユーザーIDを受け入れます。
LDAP://cn=CN_VALUE,ou=OU_VLAUE,dc=DC_VALUE,dc=DC_VALUE
次に、UserIDパラメータのサンプル値を示します。
LDAP://cn=john,ou=sales,dc=globalv,dc=com
UserLookupdecodeValues
|
注意: このパラメータは、スクリプトに定義されていますが、現在のリリースのコネクタではスクリプトで使用されません。 |
プロビジョニング操作の際、このパラメータは次の鍵/値ペアのリストを受け入れます。
縦棒(|)は、このリストではデリミタ文字として使用されています。
次に、UserLookupdecodeValuesパラメータのサンプル値を示します。
givenName=John|depart=accounts|homePhone=123456 . . .
TerminalLookupDecodeValues
プロビジョニング操作の際、このパラメータは次の鍵/値ペアのリストを受け入れます。
縦棒(|)は、このリストではデリミタ文字として使用されています。
次に、TerminalLookupDecodeValuesパラメータのサンプル値を示します。
TerminalServicesProfilePath =C:\test|TerminalServicesHomeDirectory=C:\test1|AllowLogon=0
BlobAttrName
プロビジョニング操作の際、このパラメータは次の値のいずれかを受け入れます。
ALL
この値は、ユーザー作成プロビジョニング操作時にパラメータに渡されます。「ターミナル サービスのプロファイル」の全フィールドの値がスクリプトによって更新される必要があることを示します。
スクリプトによって更新される必要がある特定のフィールドの名前。
|
注意: 「ターミナル サービスのプロファイル」の複数のフィールドがプロビジョニング操作時に更新される場合、フィールドは1回のコールごとに1つずつRemote Managerに渡されます。 |
次に、BlobAttrNameパラメータのサンプル値を示します。
TerminalServicesProfilePath
「Save」をクリックします。
プロビジョニング操作時に、ExecuteRemoteScriptsプロセス・タスクを使用してターゲット・システムの「ターミナル サービスのプロファイル」のフィールドの値が設定されます。このプロセス・タスクは、プロセス・フォームの「ターミナル サービスのプロファイル」のフィールドに値が入力されない場合でも、ユーザー作成プロセス・タスクが正常に完了した後にトリガーされます。ExecuteRemoteScriptsプロセス・タスクをトリガーしない場合は、次のようにします。
Oracle Identity Manager Design Consoleにログインします。
「Process Management」を展開します。
「Process Definition」をダブルクリックします。
AD Userプロセス定義を検索して開きます。
Create Userプロセス・タスクを検索して開きます。
「Responses」タブで、「AD.USER_CREATION_SUCCESSFUL」を選択します。
「Task Name」リストから、「ExecuteRemoteScript」を選択して「Delete」をクリックします。
「Save」をクリックします。図4-28に、プロセス・フォームから削除されるExecuteRemoteScriptを示します。
|
注意: リコンシリエーション用に追加する新しいフィールドに文字列形式のデータのみが格納されていることを確認する必要があります。Oracle Identity Managerにはバイナリ・フィールドを送信しないでください。 |
デフォルトでは、表1-11に示した属性が、Oracle Identity Managerとターゲット・システム間のリコンシリエーション用にマップされます。必要に応じて、信頼できるソースのリコンシリエーション用に新しいフィールドを追加できます。
信頼できるソースのリコンシリエーション用に新しいフィールドを追加する前に、まず、次のようにしてターゲット・システム・フィールドの名前を特定する必要があります。
ターゲット・システムのスキーマがまだインストールされていない場合は、インストールします。
スキーマのインストールの詳細は、Microsoft社のWebサイトを参照してください。
|
注意: ADSIEditツールを使用すると、ターゲット・システムのスキーマをインストールして使用しなくても、追加するフィールドの名前を決定できます。このツールの使用方法の詳細は、Microsoft社のWebサイトを参照してください。 |
ターゲット・システムのスキーマを開きます。
「コンソール ルート」フォルダを展開し、ターゲット・システムのスキーマを展開し、続いて「クラス」をダブルクリックします。
「ユーザー」を右クリックし、「プロパティ」を選択します。
「属性」タブに、ターゲット・システムで現在使用されている属性(フィールド)が表示されます。
追加するフィールドの名前を書き留め、「キャンセル」をクリックします。
たとえば、リコンシリエーション用に「Employee ID」フィールドを追加する場合は、employeeIDを書き留めます。
信頼できるソースのリコンシリエーション用に新しいフィールドを追加するには、次のようにします。
|
関連項目: これらの手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Oracle Identity Manager Design Consoleにログインします。
次のようにして、OIMユーザー・プロセス・フォームに新しいフィールドを追加します。
「administration」を展開します。
「User Defined Field Definition」をダブルクリックします。
Usersフォームを検索して開きます。
「Add」をクリックしてフィールドの詳細を入力します。
たとえば、「Employee ID」フィールドを追加する場合、「Name」フィールドにEmployee IDと入力してデータ型を「String」に設定し、列名としてUSR_UDF_EMPLOYEE_IDと入力してフィールド・サイズ値を入力します。
「Save」をクリックします。図4-29に、Usersフォームの「User Defined Columns」タブで追加された新しいフィールドを示します。
リソース・オブジェクトのリコンシリエーション・フィールドのリストに、次のようにして、新しいフィールドを追加します。
「Resource Management」フォルダを開きます。
「Resource Objects」をダブルクリックします。
AD User Trustedリソース・オブジェクトを検索して開きます。
「Object Reconciliation」タブで、「Add field」をクリックします。
フィールドの詳細を入力して「Save」をクリックします。
たとえば、「Field Name」フィールドにEmployee IDを入力し、フィールド・タイプのリストから「string」を選択します。
この手順でこの後、リコンシリエーションのための参照定義の中に作成するエントリのデコード値として、フィールド名を入力します。図4-30に、プロセス・フォームのプロセス・データ・フィールドに追加された新しいフィールドを示します。
次のようにして、新しいフィールド用のリコンシリエーション・フィールド・マッピングを作成します。
「Process Management」を展開します。
「Process Definition」をダブルクリックします。
AD User Trustedプロセス定義を検索して開きます。
「Reconciliation Field Mappings」タブで、「Add Field Map」をクリックします。
「Field Name」フィールドで、追加するフィールドの値を選択します。
たとえば、「Employee ID = Employee ID」を選択します。
「Save」をクリックします。図4-31に、プロセス定義のプロセス・データ・フィールドにマップされた新しいリコンシリエーション・フィールドを示します。
リコンシリエーションの参照定義で、次のようにして、フィールドのエントリを作成します。
「administration」を展開します。
「Lookup Definition」をダブルクリックします。
Lookup.ADReconciliation.FieldMap参照定義を検索して開きます。
Microsoft ADAMを使用している場合は、Lookup.ADAMReconciliation.FieldMap参照定義を検索して開きます。
「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。コード・キー値は、この手順の最初に特定した、ターゲット・システムのフィールド名である必要があります。デコード値は、手順3.eでリコンシリエーション・フィールドに入力した名前です。
|
注意: ターゲット・システム・フィールドには、ターゲット・システムと同じ大文字または小文字を使用する必要があります。フィールド名では、大/小文字が区別されるためです。 |
たとえば、「Code Key」フィールドにはemployeeID、「Decode」フィールドにはEmployee IDと入力します。
「Save」をクリックします。
「Field Type」を選択し、「Save」をクリックします。図4-32に、参照定義に追加されたエントリを示します。
この項では、ターゲット・リソースおよび信頼できるソースのリコンシリエーションのスケジュール済タスク(AD User Target ReconおよびAD User Trusted Recon)のTransform Lookup Code属性とUse Transform Mapping属性について説明します。
リコンシリエーションの際、一部のターゲット・システム・フィールドの値は、Oracle Identity Managerに格納される前に変換が必要な場合があります。データ変換には、たとえば、ユーザーIDの末尾への番号追加があります。
Transform Lookup Code属性とUse Transform Mapping属性は、このような変換を実現するための手段です。これらの属性を使用するには、次のようにします。
リコンシリエーション時に変換するフィールドを特定します。
Javaファイルを作成し、実行する変換のコード実装を指定します。
Javaファイルをコンパイルします。ファイルのコンパイル時に、OIM_HOME/xellerate/ScheduleTaskディレクトリのxliADRecon.jarを参照する必要があります。
JARファイルを作成し、フィールドに対して必要な変換を実行するコードを指定します。
JARファイルを次のディレクトリにコピーします。
OIM_HOME/xellerate/ScheduleTask
Lookup.ADReconciliation.TransformationMap参照定義に、変換用のエントリを追加します。コード・キー列に、変換の実行対象となる(リソース・オブジェクトの)リコンシリエーション・フィールドの名前を入力します。デコード列に、クラス・ファイルの名前を入力します。次に例を示します。
|
注意: この参照定義は、Microsoft Active DirectoryとMicrosoft ADAMの両方に使用できます。 |
コード・キー: First Name
デコード: AppendNumberToFirstName
|
関連項目: 参照定義の使用の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
「ターゲット・リソースのリコンシリエーションのスケジュール済タスク」に記載されている手順を実行して「AD User Target Recon」スケジュール済タスクを構成し、「信頼できるソースのリコンシリエーションのスケジュール済タスク」に記載されている手順を実行して「AD User Trusted Recon」スケジュール済タスクを構成する際に、次のようにします。
Transform Lookup Code属性の値として参照定義の名前を入力します。
変換の適用を指定する場合は、Use Transform Mapping属性の値としてyesと入力します。変換を適用しない場合は、noと入力します。
この項では、Lookup.AD.Configuration参照定義のUseFieldsValidationおよびValidationLookupCodeエントリについて説明します。また、Lookup.AD.FieldsForValidation参照定義についても説明します。
プロビジョニングの際、一部のプロセス・フォーム・フィールドの値は、ターゲット・システムに送信される前に検証が必要な場合があります。「電子メール・アドレス」フィールドへの特殊文字の送信を防ぐことは、実装可能な検証タイプの一例です。
プロビジョニング時に、検証が定義されているフィールドに入力された値が、検証基準を満たしていない場合、例外がスローされます。
プロビジョニング用のデータ検証を設定するには、次のようにします。
プロビジョニング時に検証するフィールドを特定します。
Javaファイルを作成し、実行する検証のコード実装を指定します。
Javaファイルをコンパイルします。ファイルのコンパイル時に、OIM_HOME/xellerate/JavaTaskディレクトリのxliActiveDirectory.jarを参照する必要があります。
JARファイルを作成し、フィールドに対して必要な検証を実行するコードを指定します。
JARファイルを次のディレクトリにコピーします。
OIM_HOME/xellerate/JavaTask
Lookup.AD.FieldsForValidation参照定義に、検証用のエントリを追加します。コード・キー列に、検証の実行対象となるプロセス・フォーム・フィールドの列名を入力します。デコード列に、クラス・ファイルの名前を入力します。次に例を示します。
|
注意: この参照定義は、Microsoft Active DirectoryとMicrosoft ADAMの両方に使用できます。 |
コード・キー: UD_AD_FNAME
デコード: com.thortech.xl.integration.ActiveDirectory.utils.FirstNameValidation
|
関連項目: 参照定義の使用の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
検証を有効化するには、Lookup.AD.Configuration参照定義に次のエントリの値を指定します。
UseFieldsValidation: yesを入力して検証を有効化するよう指定します。
ValidationLookupCode: このエントリの値がLookup.AD.FieldsForValidationであることを確認します。
複数のドメインにわたるリコンシリエーションおよびプロビジョニング操作を実行できます。たとえば、あるドメインのユーザーを別のドメインのグループに割り当てることができます。また、ユーザーとそのユーザーのマネージャが異なるドメインに属している場合でも、ユーザー・レコードをリコンサイルできます。
図4-33に、ユーザーとそのユーザーのマネージャが異なるドメインに存在する場合のサンプル・シナリオを示します。マネージャのDNは、プロセス・フォームの「マネージャID」フィールドに格納されます。
複数のドメインにわたるリコンシリエーションおよびプロビジョニングを有効化する場合、次の手順を実行します。
|
注意: 2回目以降の同期の実行では、参照フィールド同期のスケジュール済タスクのRecon Type属性の値をUpdateに設定する必要もあります。この属性の詳細は、「参照フィールド同期のスケジュール済タスク」を参照してください。 |
Lookup.AD.Domains参照定義に、次の形式でエントリを作成する必要があります。
コード・キー: ルート・コンテキストを入力します。
デコード: 対応するITリソースの名前を入力します。
次に、サンプル・エントリを示します。
| コード・キー | デコード |
|---|---|
| DC=ADParent,DC=com | ADParent |
| DC=ADChild,DC=ADParent,DC=com | ADChild |
グローバル・カタログは、フォレスト内のすべてのActive Directoryオブジェクトに関する情報が格納されているドメイン・コントローラです。コネクタでは、GCADITResource ITリソースを使用してグローバル・カタログに接続します。このITリソースを構成して、クロスドメイン・ユーザー・リコンシリエーションを有効化する必要があります。
GCADITResource ITリソースを構成するには、次のようにします。
管理およびユーザー・コンソールにログインします。
「リソース管理」を開きます。
「ITリソースの管理」をクリックします。
「ITリソースの管理」ページの「ITリソース名」フィールドにGCADITResourceと入力した後、「検索」をクリックします。
ITリソースの「編集」アイコンをクリックします。
ページ上部のリストから、「詳細およびパラメータ」を選択します。
ITリソースのパラメータの値を指定します。表2-4で、これらのパラメータを説明しています。
|
注意: ポート番号は、次のようにグローバル・カタログ・ポートである必要があります。
他のパラメータの値を指定する際に、それらの値が親ドメインの資格証明に固有であることを確認してください。 |
「更新」をクリックして値を保存します。
デフォルトでは、グローバル・カタログにすべてのターゲット・システム属性は含まれません。たとえば、accountExpiresはデフォルトでグローバル・カタログに含まれません。Oracle Identity Managerにリコンサイルするすべてのユーザー属性は、スキーマ・レベルでグローバル・カタログに追加する必要があります。
グローバル・カタログに属性を追加するには、次のようにします。
「Active Directoryスキーマ」スナップインを開きます。
コンソール・ツリーで、Active Directoryスキーマ/属性の下の「属性」をクリックします。
詳細ペインで、グローバル・カタログに追加する属性を右クリックし、「プロパティ」をクリックします。
「グローバル カタログにこの属性をレプリケートする」チェック・ボックスを選択します。
「OK」をクリックします。
次に、組織のユーザー・データに対して複数の信頼できるソースが存在する場合の例を示します。
ターゲット・システムの1つは、従業員に関するデータの信頼できるソースです。2つ目のターゲット・システムは、契約者に関するデータの信頼できるソースです。3つ目のターゲット・システムは、インターンに関するデータの信頼できるソースです。
1つのターゲット・システムは、OIMユーザーを構成する一部のアイデンティティ・フィールドのデータを保持します。他の2つのシステムは、残りのアイデンティティ・フィールドのデータを保持します。つまり、OIMユーザーを作成するには、3つのシステム全部からデータをリコンサイルする必要があります。
組織のオペレーティング環境がこれらのシナリオのいずれかで説明されている環境に類似する場合、このコネクタを使用すると、組織のユーザー・データの信頼できるソースの1つとしてターゲット・システムを使用できるようになります。
複数の信頼できるソースのリコンシリエーションの詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。
|
注意: この項の情報は、Microsoft ADAMにも適用されます。 |
Microsoft Active Directoryの複数のインストールに対してコネクタを構成する場合があります。次の例でこの要件について説明します。
Example Multinational Inc.の東京、ロンドンおよびニューヨークの事業所には、独自にMicrosoft Active Directoryがインストールされています。最近、この会社では、Oracle Identity Managerをインストールし、これを構成してインストールされたすべてのMicrosoft Active Directoryをリンクしようとしています。
このような例で示される要件に対応するには、Microsoft Active Directoryの複数のインストールに対するコネクタを構成する必要があります。
ターゲット・システムの複数のインストールに対してコネクタを構成するには、次のようにします。
|
関連項目: この手順の各ステップ実行の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
ターゲット・システム・インストールごとにITリソースが1つずつ存在するように、AD Server ITリソース・タイプのITリソースを作成します。
ITリソース・パラメータに指定する値の詳細は、「ターゲット・システムのITリソースの構成」を参照してください。
ターゲット・システム・インストールごとにリコンシリエーションのスケジュール済タスクのコピーを作成します。スケジュール済タスクを作成する際に、スケジュール済タスクの作成対象となるターゲット・システム・インストールに対応する属性値を指定します。
スケジュール済タスクの属性に指定する値の詳細は、「リコンシリエーションのスケジュール済タスク」を参照してください。
Oracle Identity Managerの参照定義をターゲット・システムの参照フィールド値と手動で同期させます。
Oracle Identity Managerリリース9.1.0を使用している場合は、ターゲット・システム・インストールを属性レベルの信頼できるソースとして構成できます。これを行うには、次のようにします。
|
関連項目: 『Oracle Identity Managerデザイン・コンソール・ガイド』の「複数の信頼できるソースのリコンシリエーション」 |
ターゲット・システム・インストールごとに、信頼できるリソース・オブジェクトを1つ作成します。
リソース・オブジェクトごとに、リコンシリエーション・ルールを1つ作成します。
プロビジョニング操作を実行する前に、次のようにします。
プロセス・フォームの「User Principal Name」フィールドは、「User ID」フィールドの値とUPN Domain ITリソース・パラメータの値を事前移入されます。プロビジョニング操作時に異なるITリソースに切り替える前に、ITリソースを、「User Principal Name」フィールドのマップ先に変更する必要があります。
「Development Tools」を開き、「Form Designer」をダブルクリックします。
AD Userフォームを検索して開きます。
「Pre-Populate」タブで、「User Principal Name」行をダブルクリックします。
「Pre-Population adapter」ダイアログ・ボックスで、現在使用中のITリソース(たとえば、ADITResource)をダブルクリックします。
「Map Adapter Variables」ダイアログ・ボックスの「Qualifier」リストで、使用するITリソースを選択します。たとえば、ADITResource2を選択します。次に「Save」アイコンをクリックしてダイアログ・ボックスを閉じます。
「Pre-Population adapter」ダイアログ・ボックスで、「Save」アイコンをクリックしてダイアログ・ボックスを閉じます。
Form Designerフォームの「Save」アイコンをクリックします。
プロビジョニング操作を実行するときに、次のようにします。
管理およびユーザー・コンソールを使用してプロビジョニングを実行するときは、ユーザーをプロビジョニングするMicrosoft Active Directoryインストールに対応するITリソースを指定できます。
コネクタのコピーを作成するには、次のようにします。
属性マッピングを保持しているITリソース、リソース・オブジェクト、プロセス・フォーム、プロビジョニング・プロセス、スケジュール済タスク、参照定義のコピーを作成します。
Lookup.AD.Configuration参照定義のコピーを作成します。作成したコピーの中で、次のエントリの値を変更し、作成したプロセス・フォームのコピーの詳細に一致させます。
ROUserID
ROUserManager
ROFormName
ROUserGUID
これらのエントリの詳細は、「Lookup.AD.Configuration参照定義の構成」を参照してください。
新しいプロセス・タスクを、Lookup.AD.Configuration参照定義のコピーにマッピングします。
