| Oracle Identity Manager Microsoft Active Directory User Management Connectorガイド リリース9.1.1 B54369-03 |
|
 戻る |
 次へ |
| Oracle Identity Manager Microsoft Active Directory User Management Connectorガイド リリース9.1.1 B54369-03 |
|
戻る |
次へ |
この章では、次の項目について説明します。
ここでは次の項目について説明します。
リコンシリエーションを構成する際に適用する必要があるガイドラインを次に示します。
ターゲット・リソースのリコンシリエーションを実行する前に、参照定義がターゲット・システムの参照フィールドと同期している必要があります。つまり、ユーザー・リコンシリエーションの実行前に、参照フィールド同期のスケジュール済タスクを実行する必要があります。
削除されたユーザー・データのリコンシリエーションのスケジュール済タスクの前に、ユーザー・リコンシリエーションのスケジュール済タスクを実行する必要があります。
アイデンティティ・リコンシリエーション・モードでは、グループ・リコンシリエーションを構成する場合、グループ・リコンシリエーションによってターゲット・システム上の既存の組織に対する更新のリコンシリエーションが行われないことに注意してください。ターゲット・システムでグループの名前を変更すると、Oracle Identity Managerでは新しいグループとしてリコンサイルされます。
アイデンティティ・リコンシリエーション・モードでは、組織リコンシリエーションを構成する場合、次のことに注意してください。
組織リコンシリエーションでは、ターゲット・システムの既存の組織に対する更新のリコンシリエーションを行いません。ターゲット・システムで組織の名前を変更すると、Oracle Identity Managerでは新しい組織としてリコンサイルされます。
組織リコンシリエーションのスケジュール済タスク(AD Organization Recon)によって作成された組織リコンシリエーション・イベントは、信頼できるソースのリコンシリエーションのスケジュール済タスク(AD User Trusted Recon)が実行される前に、正常に処理される必要があります。つまり、組織リコンシリエーションを実行し、ターゲット・システムからリコンサイルされる組織レコードをOracle Identity Managerに正常にリンクする必要があります。
ターゲット・システムでは、ユーザーは特定の組織内に作成されます。ユーザー・データの信頼できるソースのリコンシリエーション時に、Oracle Identity ManagerでOIMユーザーを同じ組織内に作成する場合は、信頼できるソースのリコンシリエーションのスケジュール済タスクのMaintainHierarchy属性をyesに設定する必要があります。また、信頼できるソースのリコンシリエーションの前に実行されるように組織リコンシリエーションを構成する必要があります。
Oracle Identity Managerでは、組織間の親子階層関係がサポートされていますが、組織のネームスペースはフラットなネームスペースです。そのため、同じ名前を持つ2つのMicrosoft Active DirectoryのOUは、ターゲット・システムで親OUが異なる場合でも、Oracle Identity Managerに作成できません。
Oracle Identity Managerでは、組織名に等号(=)やカンマ(,)などの特殊記号を含めることができません。しかし、ターゲット・システムではこれらの特殊記号を組織名で使用できます。
リコンシリエーションでは、対応する親の組織レコードが作成される前に、子の組織レコードをOracle Identity Managerに作成できません。
ターゲット・システムで組織を作成し、その組織の下に子の組織を作成したとします。組織リコンシリエーションの次回実行時に、親と子の組織がOracle Identity Managerに作成されると想定されます。リコンシリエーション・エンジンが子の組織レコードを親の組織レコードより前に受信した場合、この想定は実現しません。ただし、親の組織は、依存性がないためOracle Identity Managerに作成されます。
この問題は、リコンシリエーションの次回実行時に自動的に解決されます。その時点で、親の組織はOracle Identity Managerにすでに存在するため、子の組織を親に作成してリンクすることができます。
|
注意: 別の方法として、子の組織レコードと親の組織レコードをリコンシリエーションの実行後に手動でリンクする方法があります。 |
組織参照フィールドの同期は、組織リコンシリエーションを構成するかどうかとは無関係です。
バッチ・リコンシリエーションを構成する際、Start Record属性の値は1のままにします。
リコンシリエーションの実行時、スケジュール済タスクのタイムスタンプ属性(ADCS TimeStamp)は、リコンシリエーション・イベントがターゲット・システムのユーザー・レコードに対して作成されるたびに更新されます。リコンシリエーションの実行が失敗した場合、リコンシリエーションは、前回のリコンシリエーションの実行終了時に取得されたタイムスタンプから再開します。Start Record属性の値を1以外の整数に設定すると、ターゲット・システムでリコンシリエーションの準備ができているレコードの一部がOracle Identity Managerにフェッチされない可能性があります。そのため、StartRecord属性の値を1のままにしておくことをお薦めします。
バッチ・リコンシリエーションを構成した後で、バッチ・リコンシリエーションの実行中にリコンシリエーションが失敗した場合は、タスクの属性値を変更せずにスケジュール済タスクを再実行するだけです。
Microsoft Active Directoryのユーザーに「名」フィールドまたは「姓」フィールドの値が割り当てられていない場合、Oracle Identity Managerのこれらのフィールドは、リコンシリエーションの実行の最後にcnフィールドの値で更新されます。これは、「名」および「姓」がOracle Identity Managerでは必須フィールドであるためです。
Microsoft ADAMを信頼できるソースとして構成する場合は、ターゲット・システムの各ユーザー・レコードのmsDS-UserAccountDisabledフィールドに値(trueまたはfalse)が設定されていることを確認する必要があります。Microsoft ADAMでは、msDS-UserAccountDisabledフィールドにデフォルト値がありません。
「ターミナル サービスのプロファイル」のフィールドをリコンサイルする場合は、バッチ・リコンシリエーションを構成する必要があります。
プロビジョニング操作を実行する際に適用する必要があるガイドラインを次に示します。
プロビジョニング操作を実行する前に、参照定義がターゲット・システムの参照フィールドと同期している必要があります。つまり、プロビジョニング操作の前に、参照フィールド同期のスケジュール済タスクを実行する必要があります。
電子メール・リダイレクト機能を使用する場合は、次のことに注意してください。
|
注意: 電子メール・リダイレクト機能は、Microsoft ADAMではサポートされていません。 |
電子メールおよびリダイレクト・メールIDは、プロセス・フォームの2つのフィールドです。プロビジョニング操作時に、電子メール・アドレスをリダイレクト・メールIDフィールドに入力すると、電子メールはそのアカウントに送信されます。これは、電子メール・フィールドにアドレスを入力したかどうかとは無関係です。プロビジョニング操作が終了すると、リダイレクト・メールIDフィールドのアドレスは、ユーザーのプライマリSMTPアドレスになります。
リコンシリエーションの次回実行時に、電子メール・フィールドはプライマリSMTPアドレスで更新されます。つまり、電子メール・フィールドとリダイレクト・メールIDフィールドは、リコンシリエーションの実行終了時には同じアドレスを保持します。
電子メール・リダイレクト機能では、Microsoft Exchangeを使用します。そのため、ターゲットのMicrosoft Active DirectoryインストールでMicrosoft Exchangeを構成しておく必要があります。ただし、リダイレクション電子メール・アドレスを設定するユーザーに、Microsoft Exchangeメールボックスは不要です。つまり、ユーザーのMicrosoft Exchangeメールボックスをプロビジョニングする必要はありません。
プロビジョニング操作時に、ユーザーの組織を指定しない場合、ユーザーはcn=Users組織にプロビジョニングされます。
Oracle Identity Managerからプロビジョニングされるユーザー・アカウントのパスワードは、Microsoft Active Directoryで設定されたパスワード・ポリシーに従う必要があります。
|
注意: Microsoft ADAMをドメイン・コントローラにインストールすると、同じドメイン・コントローラにインストールされたMicrosoft Active Directoryのポリシーがすべて取得されます。Microsoft ADAMをワークグループにインストールすると、ローカル・システム・ポリシーが適用されます。 |
Microsoft Active Directoryでは、パスワード・ポリシーがパスワードの複雑性ルールで制御されます。パスワードの変更または作成時に、このような複雑性ルールが適用されます。Oracle Identity Managerでのプロビジョニング操作の実行によってMicrosoft Active Directoryアカウントのパスワードを変更するときは、新しいパスワードがターゲット・システムのパスワード・ポリシーに従うようにする必要があります。
Oracle Identity Managerでのプロビジョニング操作時に指定されたパスワードがターゲット・システムで受け入れられない場合は、パスワードが設定できないことを示すメッセージが管理およびユーザー・コンソールに表示されます。
|
関連項目: ターゲット・システムで適用できるパスワードのガイドラインの詳細は、次のURLでMicrosoft TechNetのWebサイトを参照してください。 |
アジア言語の中には、マルチバイト・キャラクタ・セットを使用するものがあります。ターゲット・システムのフィールドの文字数の制限がバイト単位で指定されている場合、特定のフィールドに入力できるアジア言語の文字数は、同じフィールドに入力できる英語の文字数よりも少なくなることがあります。この例を次に示します。
ターゲット・システムの「User Last Name」フィールドに英語50文字を入力できるとします。日本語用にターゲット・システムを構成した場合、そのフィールドに入力できるのは25文字までです。
ターゲット・システム・フィールドの文字長を考慮に入れた上で、対応するOracle Identity Managerフィールドの値を指定する必要があります。
ターゲット・システムでは、「マネージャ名」フィールドで受け入れられるのはDN値のみです。そのため、Oracle Identity Managerで「マネージャ名」フィールドを設定または変更する場合は、DN値を入力する必要があります。
次に例を示します。
cn=abc,ou=lmn,dc=corp,dc=com
デフォルトでは、ターゲット・システムのcnフィールドはOracle Identity ManagerのUD_ADUSER_COMMONNAMEフィールドにマップされます。このマッピング情報は、AtMap.AD(およびAtMap.ADAM)参照定義に格納され、cnフィールドのコード・キー値の名前を変更すると、その情報を変更できます。
たとえば、cnフィールドのコード・キーをUD_ADUSER_UIDに変更できます。これは、プロセス・フォームの「ユーザーID」フィールドです。
プロビジョニング操作時には、管理およびユーザー・コンソールでRemote ManagerのITリソースを選択しなかった場合でも、ExecuteRemoteScriptプロセス・タスクが実行されます。
プロビジョニング操作が終了すると、次のレスポンスが表示されます。
Task completed Response: Remote Manager Not Selected during provisioning Response Description: Remote Manager is not selected while provisioning the user
次の各項では、Oracle Identity Managerで手動で構成する必要がある参照定義について説明します。
コネクタをデプロイすると、Lookup.AD.Configuration参照定義がOracle Identity Managerに作成されます。この参照定義のエントリは、リコンシリエーションとプロビジョニングの両方で使用されます。
Lookup.AD.Configuration参照定義を構成するには、次のようにします。
Design Consoleにログインします。
「Administration」を開いて「Lookup Definition」をダブルクリックします。
Lookup.ADReconciliation.FieldMap参照定義を検索して開きます。
表3-1に示す各パラメータのデコード値を入力します。
表3-1 Lookup.AD.Configuration参照定義のエントリ
| コード・キー | 説明 | デフォルトのデコード値 |
|---|---|---|
|
LdapUserObjectClass |
ターゲット・システムで新規作成されたユーザーが割り当てられるオブジェクト・クラスの名前を入力します。 デフォルトで、ターゲット・システム上に新しく作成されたユーザーは、userオブジェクト・クラスに割り当てられます。新しいユーザーを他のオブジェクト・クラスにも割り当てる場合は、「Decode」列にオブジェクト・クラスのリストを入力します。 リスト内でオブジェクト・クラスの名前を区切るために使用する文字は、UserObjectClassDelimiterエントリ(この表で後述)の値として入力する必要があります。 LdapUserObjectClassエントリのサンプル値を次に示します。
3つ目のサンプル値では、縦棒(|)がデリミタ文字として使用されています。 このパラメータは、プロビジョニング時のみ使用されます。 注意:
|
|
|
UserObjectClassDelimiter |
LdapUserObjectClassプロパティの値として入力したオブジェクト・クラスのリストを区切るために使用したデリミタ文字を入力します。 このパラメータは、プロビジョニング時のみ使用されます。 |
| 注意: これは、縦棒文字です。セミコロン(;)など、任意の文字をデリミタとして使用できます。 |
|
LdapUserDNPrefix |
相対DNまたはユーザー・アカウントDNを構成するためのLDAP属性を入力します。この値は、ユーザーを作成するためのlogon属性を構成します。 このパラメータは、プロビジョニング時のみ使用されます。 注意: このコード・キーのデフォルト値を変更しないでください。 |
|
|
LdapGroupMember |
特定のグループに属するユーザーの名前を格納するターゲット・システム・フィールド このパラメータは、プロビジョニング時のみ使用されます。 注意: このパラメータの値を変更しないでください。 |
|
|
Pagesize |
リコンシリエーションの実行時に各コールでターゲット・システムにフェッチされるレコードのページ・サイズを入力します。 このページ・サイズは、バッチ・リコンシリエーションを構成しない場合にのみ使用されます。詳細は、「バッチ・リコンシリエーション」を参照してください。 このパラメータは、リコンシリエーション時にのみ使用されます。 注意: バッチ・リコンシリエーションを構成しない場合は、ページ・サイズを100〜1000に設定してください。 |
|
|
MultiValueAttributes |
リコンサイル対象となる複数値属性をすべて指定します。複数値属性のリストにデリミタとして使用する文字は、MultiValueAttributesDelimiterエントリ(この表で後述)の値として入力する必要があります。 このパラメータは、リコンシリエーション時にのみ使用されます。 サンプル値:
このサンプル値には、2つの複数値属性が指定されています。 |
|
|
MultiValueAttributesDelimiter |
MultiValueAttributesエントリの値として指定した複数値属性のリストで使用したデリミタ文字を入力します。 このパラメータは、リコンシリエーション時にのみ使用されます。 |
, 注意: これはカンマ文字です。セミコロン(;)など、任意の文字をデリミタとして使用できます。 |
|
ROUserID |
プロセス・フォームのコピーを作成する場合は、ユーザーIDの値を保持する新しいプロセス・フォームの中で属性(列)の名前を指定します。 |
UD_ADUSER_UID |
|
ROUserManager |
プロセス・フォームのコピーを作成する場合は、マネージャIDの値を保持する新しいプロセス・フォームの中で属性(列)の名前を指定します。 |
UD_ADUSER_MANAGER |
|
ROFormName |
プロセス・フォームのコピーを作成する場合は、新しいプロセス・フォームの名前を指定します。 |
UD_ADUSER |
|
ROUserGUID |
プロセス・フォームのコピーを作成する場合は、objectGUIDの値を保持する新しいプロセス・フォームの中で属性(列)の名前を指定します。 |
UD_ADUSER_OBJECTGUID |
|
TargetDateFormat |
ターゲット・システムの日付フォーマットを入力します。 |
yyyyMMddHHmmss.0Z |
|
AppendValueToDate |
TargetDateFormatパラメータの中で、日付の値に対して接尾辞として追加する拡張子を入力します。 |
.0Z |
|
LDAPManagerDNPrefix |
リコンシリエーションおよびプロビジョニング操作にカスタムRDNを使用する場合は、カスタムRDN値を入力します。 サンプル値: |
cn |
|
LDAPConnectTimeOut |
Lookup.AD.BackupServers参照定義にリストされているバックアップ・サーバーの1つに切り替える前に、コネクタでターゲット・システムからのレスポンスを待機するタイムアウト間隔(ミリ秒単位)を入力します。 詳細は、2.3.1.3項「ターゲット・システムの高可用性の構成」を参照してください。 |
3000 |
|
UseFieldsValidation |
ユーザー・プロビジョニングの実行時にターゲット・システムに送信される属性値の検証を有効化する場合は、 この機能の詳細は、「プロビジョニングのためにターゲット・システムに送信されるデータの検証」を参照してください。 |
|
|
ValidationLookupCode |
このエントリには、プロセス・フォーム・フィールドをリストした参照定義の名前が保持されます(各プロセス・フォーム・フィールドには、プロビジョニング操作時に検証する値が含まれます)。 この機能の詳細は、「プロビジョニングのためにターゲット・システムに送信されるデータの検証」を参照してください。 |
|
|
SpecialCharacters |
プロビジョニング時に変更なしでターゲット・システムに送信される必要のある特殊文字のリストを入力します。 |
|
|
OIMADAMUserID |
ターゲット・システムがMicrosoft ADAMの場合、Oracle Identity ManagerのMicrosoft ADAMリソースの「ユーザーID」フィールドにマップするターゲット・システム・フィールドの名前を入力します。 |
|
|
UseEnableRange |
1000を超えるエントリを含むユーザーまたはグループのリコンシリエーションを有効化する場合は、 |
|
|
UserMultiValuedAttributeRangeSearchFilter |
このエントリは、UseEnableRangeエントリと組み合せて使用します。UseEnableRangeエントリを たとえば、userとsampleclassという2つのobjectClassの両方に基づく1000を超えるエントリとユーザーをリコンサイルする場合、次の値を入力します。
同様に、次のサンプル値を使用すると、いずれかのクラスに基づく1000を超えるエントリとユーザーをリコンサイルできます。
注意: ここで指定するフィルタは、「制限付きリコンシリエーション対標準リコンシリエーション」で説明されている手順を実行して指定するフィルタと一致している必要があります。 |
|
|
GroupMultiValuedAttributeRangeSearchFilter |
このエントリは、UseEnableRangeエントリと組み合せて使用します。UseEnableRangeエントリを たとえば、groupとsampleclass2という2つのobjectClassの両方に基づく1000を超えるエントリとグループをリコンサイルする場合、次の値を入力します。
同様に、次のサンプル値を使用すると、いずれかのクラスに基づく1000を超えるエントリとグループをリコンサイルできます。
注意: ここで値として指定するフィルタは、「制限付きリコンシリエーション対標準リコンシリエーション」で説明されている手順を実行して指定するフィルタと一致している必要があります。 |
|
|
UserStatusEnabled |
ターゲット・リソースのリコンシリエーションを通じて作成されたアカウントに対して設定するステータスに応じて、 |
|
「Save」をクリックします。
Lookup.AD.Country参照定義は、コネクタのデプロイ時にOracle Identity Managerに作成される参照定義の1つです。この参照定義の値は、プロセス・フォームの「国」参照フィールドに移入するために使用されます。
次に、AD.Country参照定義のデフォルト・エントリを示します。
Brazil
Canada
China
France
Germany
India
Italy
Japan
Korea
Spain
United Kingdom
United States
要件に応じて、AD.Country参照定義に対してエントリの追加または削除を行います。参照定義の変更の詳細は、「Lookup.AD.Configuration参照定義の構成」を参照してください。参照定義の各エントリのコード・キー値は国コード、デコード値は国名です。たとえば、オーストラリアのコード・キー値はAU、デコード値はAustraliaです。
国コードの詳細は、次のURLで入手できます。
http://www.iso.org/iso/home.htm
次に、参照フィールド同期のスケジュール済タスクを示します。
|
注意: これらのスケジュール済タスクの構成手順は、このマニュアルで後述します。 |
このスケジュール済タスクは、Oracle Identity Managerのグループ参照フィールドをターゲット・システムのグループ関連データと同期させるために使用されます。
このスケジュール済タスクは、Oracle Identity Managerの組織参照フィールドをターゲット・システムの組織関連データと同期させるために使用されます。
表3-2に、この2つのスケジュール済タスクの属性の説明を示します。
表3-2 参照フィールド同期のスケジュール済タスクの属性
| 属性 | 説明 |
|---|---|
|
Lookup Search Filter |
参照同期のフィルタまたは問合せ条件を保持します。
注意: この属性の値を変更しないでください。 |
|
Search Base |
リコンシリエーション時に参照フィールド(グループまたは組織)値の検索を実行する必要がある組織のDNを入力します。 サンプル値:
|
|
Recon Type |
参照フィールド同期の際に次のイベントが実行されるようにする場合、値として
参照フィールド同期の際に次のイベントが実行されるようにする場合、値として
デフォルト値: 注意: 複数のドメイン間で参照定義の値を同期させる場合、2回目以降の同期の実行ではRecon Type属性の値を |
|
IT Resource Name |
「ターゲット・システムのITリソースの構成」に記載されている手順を実行して構成するITリソースの名前を入力します。 サンプル値: |
|
AttrName For Decode Value In Lookup |
参照定義のデコード列に移入するために使用されるターゲット・システム・フィールドの名前を保持します。
注意: この属性の値を変更しないでください。 |
|
AttrName For Code Value In Lookup |
参照定義のコード・キー列に移入するために使用されるターゲット・システム・フィールドの名前を保持します。
注意: この属性の値を変更しないでください。 |
|
Lookup Code Name |
ターゲット・システムの参照フィールドとOracle Identity Managerに作成された対応する参照定義間のマッピングを含む参照定義の名前を保持します。 |
|
Configuration Lookup |
この属性は、リコンシリエーション時とプロビジョニング時の両方で使用される値を含む参照定義の名前を保持します。 値: 注意: この属性の値を変更しないでください。ただし、この参照定義のコピーを作成した場合は、そのリソース・オブジェクトの一意の名前をConfiguration Lookup属性の値として入力できます。 |
コネクタ・インストーラを実行すると、ユーザー・リコンシリエーションのスケジュール済タスクがOracle Identity Managerに自動的に作成されます。リコンシリエーションの構成では、これらのスケジュール済タスクの属性の値を指定します。
次の各項では、スケジュール済タスクの属性について説明します。
|
関連項目: これらの構成オプションの詳細は、『Oracle Identity Manager Connector概要』の「リコンシリエーション」を参照してください。 |
この項では、ターゲット・リソースのリコンシリエーションと信頼できるソースのリコンシリエーションに関するスケジュール済タスクのSearch Filter属性について説明します。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定できます。そのためには、リコンシリエーションの実行時にフィルタとして使用される問合せ条件を作成します。
ネイティブ以外の書式で問合せ条件を作成するには、ターゲット・システム・フィールドと、次の論理演算子の組合せを使用します。
|
注意: リコンシリエーションおよびプロビジョニング用に(デフォルトで)サポートされていなくても、任意のターゲット・システム・フィールドを使用できます。リコンシリエーションおよびプロビジョニング用のデフォルトのターゲット・システム・フィールドは、「コネクタの機能」を参照してください。 |
AND演算子: アンパサンド(&)で表記
OR演算子: 縦棒(|)で表記
EQUAL演算子: 等号(=)で表記
NOT演算子: 感嘆符(!)で表記
問合せ条件を作成する際に、次のガイドラインを適用する必要があります。
各スケジュール済タスクのSearch Filter属性にはデフォルト値があります。たとえば、ユーザー・リコンシリエーション用のデフォルト値は、(objectClass=user)です。問合せを作成する場合は、デフォルト値を問合せ条件のいずれかのままにすることをお薦めします。次に例を示します。
(&(objectClass=user)(sn=Doe))
問合せが返すオブジェクトが、返すことを意図しているオブジェクトと同じであることを独立した方法で検証する必要があります。スケジュール済タスクによる問合せの検証は実行されません。
ターゲット・システム・フィールドには、「コネクタの機能」に記載されているのと同じ活字ケース(大文字または小文字)を使用する必要があります。フィールド名では、大/小文字が区別されるためです。
問合せ条件には、等号記号(=)、アンパサンド(&)および縦線(|)以外の特殊文字を使用しないでください。
次に、問合せ条件の例を示します。
(&(objectClass=user)(sAMAccountName=John12))
(&(objectClass=user)(sn!=Doe))
(&(objectClass=user)(givenName=John))
(& (&(givenName=John)(sn=Doe)) (objectClass=user))
(|(|(sn=Doe)(givenName=John))(objectClass=user))
「ターゲット・リソースのリコンシリエーションのスケジュール済タスク」または「信頼できるソースのリコンシリエーションのスケジュール済タスク」に記載されている手順の実行時に、Search Filter属性の値を、作成する問合せ条件に設定します。
この項では、ターゲット・リソースのリコンシリエーション(AD User Target Recon)および信頼できるソースのリコンシリエーション(AD User Trusted Recon)のスケジュール済タスクのStart Record属性、Batch Size属性およびNumber of Batches属性について説明します。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。
このような問題を避けるため、バッチ・リコンシリエーションを構成できます。
|
注意: 「ターミナル サービスのプロファイル」のフィールドをリコンサイルする場合は、バッチ・リコンシリエーションを構成する必要があります。 |
バッチ・リコンシリエーションを構成するには、「ターゲット・リソースのリコンシリエーションのスケジュール済タスク」または「信頼できるソースのリコンシリエーションのスケジュール済タスク」に記載されている手順の実行時に、次の属性の値を指定します。
Start Record: この属性は、バッチ・リコンシリエーションを開始するレコード番号を指定するために使用します。この属性のデフォルト値は1です。新規作成または変更されたレコードがすべてリコンサイルされるようにするには、デフォルト値を受け入れることをお薦めします。
Batch Size: この属性は、各バッチに含めるレコード数を指定するために使用します。この属性のデフォルト値は1です。
Number of Batches: この属性は、リコンサイルするバッチの合計数を指定するために使用します。この属性のデフォルト値はAll Availableです。バッチ・リコンシリエーションを実装しない場合は、デフォルト値を受け入れます。デフォルト値を受け入れると、Start Record属性およびBatch Size属性の値は無視されます。
バッチ・リコンシリエーションを構成した後で、バッチ・リコンシリエーションの実行中にリコンシリエーションが失敗した場合は、タスクの属性値を変更せずにスケジュール済タスクを再実行するだけです。
この項では、ターゲット・リソースのリコンシリエーション(AD User Target Recon)および信頼できるソースのリコンシリエーション(AD User Trusted Recon)のスケジュール済タスクのWill Submit All Records属性について説明します。
コネクタをデプロイしたら、まず既存のターゲット・システム・レコードをすべてOracle Identity Managerにリコンサイルします。これが、完全リコンシリエーションの実行です。リコンシリエーションの実行時、スケジュール済タスクのタイムスタンプ属性(ADCS TimeStamp)は、リコンシリエーション・イベントがターゲット・システムのユーザー・レコードに対して作成されるたびに更新されます。
リコンシリエーションの次回実行時に、ADCS TimeStamp属性の値を使用して前回の実行終了時点のタイムスタンプが特定されます。そのタイムスタンプ後に追加または変更されたユーザー・レコードが今回の実行時にリコンシリエーション対象として選択されます。これが、増分リコンシリエーションです。
後続のリコンシリエーションの実行でOracle Identity Managerにリコンサイルされないユーザー・レコードもあります。たとえば、ADCS TimeStamp属性が更新された時間の前後に追加または変更されたユーザー・レコードは、リコンシリエーションの次回実行時にリコンシリエーションのタイムスタンプの基準に合致しないことがあります。このようなレコードがOracle Identity Managerにリコンサイルされるようにするには、完全リコンシリエーションを定期的に実行する必要があります。
「リコンシリエーションのスケジュール済タスク」に記載されている手順を実行して「AD User Target Recon」および「AD User Trusted Recon」スケジュール済タスクを構成する際に、次のようにします。
コネクタ・インストーラを実行すると、次のリコンシリエーションのスケジュール済タスクがOracle Identity Managerに自動的に作成されます。
次に、ターゲット・リソースのリコンシリエーションのスケジュール済タスクを示します。
|
注意: これらのスケジュール済タスクの構成手順は、このマニュアルで後述します。 |
「AD User Target Recon」スケジュール済タスクは、コネクタのターゲット・リソース(アカウント管理)モードでユーザー・データをリコンサイルするために使用します。表3-3に、このスケジュール済タスクの属性の説明を示します。
表3-3 ターゲット・リソースからのユーザー・データのリコンシリエーションのスケジュール済タスクの属性
| 属性 | 説明 |
|---|---|
|
Remote Manager Script Path |
ターゲット・システムのホスト・コンピュータ上にある、リコンシリエーション用のRemote Managerスクリプト(ReconTerminalServiceAttr.vbs)のフルパスおよび名前を入力します。このファイルは、「Remote Managerのインストール」に記載されている手順を実行する際にターゲット・システムのホスト・コンピュータにコピーします。 ターゲット・システムからの「ターミナル サービスのプロファイル」のフィールドのリコンシリエーションを有効にしない場合は、 サンプル値: デフォルト値: 注意: Microsoft ADAMの場合は、デフォルト値を受け入れます。 |
|
Delete Recon Task Scheduler Name |
この属性は、ターゲット・システムからの削除されたユーザー・データのリコンシリエーションのスケジュール済タスクの名前を保持します。 値: 注意: このスケジュール済タスクの場合、この属性の値を変更しないでください。ただし、このスケジュール済タスクのコピーと、削除されたユーザー・データのリコンシリエーションのスケジュール済タスクを作成した場合は、このスケジュール済タスクのコピーに、その新しい削除リコンシリエーションのスケジュール済タスクの一意の名前をDelete Recon Task Scheduler Name属性の値として入力する必要があります。 |
|
Target Resource Object |
この属性は、ターゲット・リソースのリコンシリエーションの実行対象となるリソース・オブジェクトの名前を保持します。 値: 注意: このコネクタと同梱されているリソース・オブジェクトの場合、この属性の値を変更しないでください。ただし、リソース・オブジェクトのコピーを作成した場合は、そのリソース・オブジェクトの一意の名前をこの属性の値として入力する必要があります。 |
|
IT Resource Name |
「ターゲット・システムのITリソースの構成」に記載されている手順を実行して構成するITリソースの名前を入力します。 クロスドメイン・リコンシリエーションを有効化して、ターゲット・システムのインストール環境をMicrosoft Windows 2003上で実行する場合、IT Resource Name属性の値として サンプル値: |
|
Lookup For BLOB Attributes |
この属性は、ターミナル サービスの参照フィールド用のマッピングを含む参照定義の名前を保持します。 値: 注意: この属性の値を変更しないでください。Lookup.AD.BLOBAttribute.Values参照定義でのエントリの追加の詳細は、「ターゲット・リソースのリコンシリエーション用の新規フィールドの追加」を参照してください。 |
|
この属性は、前回のユーザー・リコンシリエーションの実行が終了した日時を保持します。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 デフォルト値: 注意: この属性の値を変更しないでください。 |
|
|
Task Scheduler Name |
この属性は、スケジュール済タスクの名前を保持します。 値: 注意: このスケジュール済タスクの場合、この属性の値を変更しないでください。ただし、このスケジュール済タスクのコピーを作成した場合は、そのスケジュール済タスクに、そのスケジュール済タスクの一意の名前を属性の値として入力する必要があります。 |
|
Search Scope |
リコンサイル対象となるレコードの検索範囲にSearch Base属性に指定されたコンテナおよびすべての子コンテナを含める場合は、 レコードの検索範囲をSearch Base属性で指定されたコンテナのみに限定する場合は、 注意: デフォルト値: |
|
Field Lookup Code |
この属性は、ターゲット・システム・フィールドと対応するOracle Identity Managerフィールド間のマッピングを含む参照定義の名前を保持します。 |
|
Transform Lookup Code |
Microsoft Active Directoryフィールドと、各フィールドを変換するために実行する必要があるJARファイルをリンクするために作成した参照定義の名前を入力します。 この属性は、Use Transform Mapping属性が 値:
注意: この属性の値を変更しないでください。 Transform Lookup Code属性の使用の詳細は、「Oracle Identity Managerにリコンサイルされるデータの変換」を参照してください。 |
|
Use Transform Mapping |
Transform Lookup Code属性によって参照される変換の適用を指定する場合は、 デフォルト値: Use Transform Mapping属性の使用の詳細は、「Oracle Identity Managerにリコンサイルされるデータの変換」を参照してください。 |
|
Start Record |
バッチ・リコンシリエーションの実行を開始するターゲット・システム・レコードの番号を入力します。 デフォルト値: この属性は、Batch Size属性およびNumber of Batches属性と組み合せて使用されます。これら3つの属性の詳細は、「バッチ・リコンシリエーション」を参照してください。その項で説明したように、Start Record属性のデフォルト値を受け入れることをお薦めします。 |
|
Batch Size |
ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 デフォルト値: この属性は、Number of Batches属性およびStart Record属性と組み合せて使用されます。これら3つの属性の詳細は、「バッチ・リコンシリエーション」を参照してください。 |
|
Number of Batches |
リコンサイルするバッチ数を入力します。 デフォルト値: サンプル値: この属性は、Batch Size属性およびStart Record属性と組み合せて使用されます。これら3つの属性の詳細は、「バッチ・リコンシリエーション」を参照してください。 デフォルト値( |
|
Will Submit All Records |
完全リコンシリエーションを構成する場合は、 増分リコンシリエーションを構成する場合は、 デフォルト値: この属性の詳細は、「完全リコンシリエーション対増分リコンシリエーション」を参照してください。 |
|
Search Base |
リコンシリエーション時にユーザー・レコードの検索を実行する必要がある組織のDNを入力します。 サンプル値: |
|
Search Filter |
リコンシリエーション時に、特定の基準に合致するターゲット・システム・ユーザー・アカウントの検索に使用される問合せ条件を入力します。 デフォルト値: サンプル値: この属性の詳細は、「制限付きリコンシリエーション対標準リコンシリエーション」を参照してください。 |
|
Configuration Lookup |
この属性は、リコンシリエーション時とプロビジョニング時の両方で使用される値を含む参照定義の名前を保持します。 値: 注意: この属性の値を変更しないでください。ただし、この参照定義のコピーを作成した場合は、そのリソース・オブジェクトの一意の名前をConfiguration Lookup属性の値として入力できます。 |
「AD User Target Delete Recon」スケジュール済タスクは、コネクタのターゲット・リソース(アカウント管理)モードで削除されたユーザーに関するデータをリコンサイルするために使用します。リコンシリエーションの実行時に、ターゲット・システムの削除されたユーザー・アカウントごとに、対応するOIMユーザーのADユーザー・リソースが削除されます。表3-8に、このスケジュール済タスクの属性の説明を示します。
表3-4 ターゲット・リソースからの削除されたユーザー・データのリコンシリエーションのスケジュール済タスクの属性
| 属性 | 説明 |
|---|---|
|
Target Resource Object |
この属性は、リコンシリエーションの実行対象となるリソース・オブジェクトの名前を保持します。 値: 注意: このコネクタと同梱されているリソース・オブジェクトの場合、この属性の値を変更しないでください。ただし、リソース・オブジェクトのコピーを作成した場合は、そのリソース・オブジェクトの一意の名前をこの属性の値として入力できます。 |
|
この属性は、前回のユーザー削除リコンシリエーションの実行が終了したタイムスタンプを保持します。また、ADCS TimeStamp属性を0(ゼロ)に設定してユーザー・アカウントのターゲット・リソースのリコンシリエーションのスケジュール済タスク(AD User Target Recon)を実行すると、この属性の値は更新されます。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 デフォルト値: 0 注意: この属性の値を変更しないでください。 |
|
|
IT Resource Name |
「ターゲット・システムのITリソースの構成」に記載されている手順を実行して構成するITリソースの名前を入力します。 サンプル値: |
|
Search Filter |
この属性は、ターゲット・システムで削除されたユーザー・アカウントを検索するために使用されるLDAP検索フィルタを保持します。 値: 注意: この属性の値を変更しないでください。 |
|
Task Scheduler Name |
この属性は、スケジュール済タスクの名前を保持します。 値: 注意: この属性の値を変更しないでください。 |
|
Configuration Lookup |
この属性は、リコンシリエーション時とプロビジョニング時の両方で使用される値を含む参照定義の名前を保持します。 値: 注意: この属性の値を変更しないでください。ただし、この参照定義のコピーを作成した場合は、そのリソース・オブジェクトの一意の名前をConfiguration Lookup属性の値として入力できます。 |
「AD Group Recon」スケジュール済タスクは、ターゲット・システムからのグループ・データをリコンサイルする目的で使用されます。表3-5に、このスケジュール済タスクの属性の説明を示します。
表3-5 ターゲット・リソースからのユーザー・データのリコンシリエーションのスケジュール済タスクの属性
| 属性 | 説明 |
|---|---|
|
複数値属性 |
リコンサイルする複数値グループ属性のカンマ区切りリストを入力します。 サンプル値: |
|
Search Base |
リコンシリエーション時にグループ・レコードの検索を実行する必要がある組織のDNを入力します。 サンプル値: |
|
Search Scope |
リコンサイル対象となるグループ・レコードの検索範囲にSearch Base属性に指定されたコンテナおよびすべての子コンテナを含める場合は、 グループ・レコードの検索範囲をSearch Base属性で指定されたコンテナのみに限定する場合は、 注意: デフォルト値: |
|
Search Filter |
リコンシリエーション時に、特定の基準に合致するターゲット・システム・ユーザー・アカウントの検索に使用される問合せ条件を入力します。 デフォルト値: サンプル値: この属性の詳細は、「制限付きリコンシリエーション対標準リコンシリエーション」を参照してください。 |
|
Organization Name |
次のいずれかの値を入力します。
|
|
Use Organization Name |
すべてのターゲット・システム・グループを、単一の組織にリコンサイルする場合は、この属性の値としてyesを入力します。 各ターゲット・システム・グループを、それぞれ単一の組織にリコンサイルする場合は、この属性の値としてnoを入力します。 |
|
IT Resource Name |
「ターゲット・システムのITリソースの構成」に記載されている手順を実行して構成するITリソースの名前を入力します。 サンプル値: |
|
Resource Object |
この属性には、グループ・リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前が保持されます。 値: 注意: このコネクタと同梱されているリソース・オブジェクトの場合、この属性の値を変更しないでください。ただし、リソース・オブジェクトのコピーを作成した場合は、そのリソース・オブジェクトの一意の名前をこの属性の値として入力する必要があります。 |
|
ADCS TimeStamp |
この属性は、前回のグループ・リコンシリエーションの実行が終了した日時を保持します。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 デフォルト値: 注意: この属性の値を変更しないでください。 |
|
Task Scheduler Name |
この属性は、ターゲット・システムからのグループ・データのリコンシリエーションのスケジュール済タスクの名前を保持します。 値: 注意: このスケジュール済タスクの場合、この属性の値を変更しないでください。ただし、このスケジュール済タスクのコピーを作成した場合は、そのスケジュール済タスクの一意の名前をこの属性の値として入力する必要があります。 |
|
Field Lookup Code |
次のいずれかの値を入力します。
|
|
Configuration Lookup |
この属性は、リコンシリエーション時とプロビジョニング時の両方で使用される値を含む参照定義の名前を保持します。 値: 注意: この属性の値を変更しないでください。ただし、この参照定義のコピーを作成した場合は、そのリソース・オブジェクトの一意の名前をConfiguration Lookup属性の値として入力できます。 |
次に、信頼できるソースのリコンシリエーションのスケジュール済タスクを示します。
|
注意: これらのスケジュール済タスクの構成手順は、このマニュアルで後述します。 |
AD Organization Recon
「AD Organization Recon」スケジュール済タスクは、組織に関するデータのリコンサイルに使用されます。表3-6に、このスケジュール済タスクの属性の説明を示します。
表3-6 信頼できるソースからの組織データのリコンシリエーションのスケジュール済タスクの属性
| 属性 | 説明 |
|---|---|
|
Search Base |
リコンシリエーション時に組織レコードの検索を実行する必要がある組織のDNを入力します。 サンプル値:
|
|
Resource Object |
この属性は、リコンシリエーションの実行対象となるリソース・オブジェクトの名前を保持します。 値: 注意: この属性の値を変更しないでください。 |
|
Search Filter |
この属性は、組織アカウントの検索に使用されるLDAP検索フィルタを保持します。 サンプル値: 注意: ターゲット・システム・コンテナに関するデータを使用してOIM組織を作成する場合、この属性値を次のように設定します。
|
|
IT Resource Name |
「ターゲット・システムのITリソースの構成」に記載されている手順を実行して構成するITリソースの名前を入力します。 サンプル値: |
|
Search Scope |
リコンサイル対象となる組織レコードの検索範囲にSearch Base属性に指定されたコンテナおよびすべての子コンテナを含める場合は、 組織レコードの検索範囲をSearch Base属性で指定されたコンテナのみに限定する場合は、 注意: デフォルト値: |
|
ADCS TimeStamp |
この属性は、前回のリコンシリエーションの実行が終了した日時を保持します。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 デフォルト値: 注意: この属性の値を変更しないでください。 |
|
Task Scheduler Name |
この属性は、スケジュール済タスクの名前を保持します。 値: 注意: このスケジュール済タスクの場合、この属性の値を変更しないでください。ただし、このスケジュール済タスクのコピーを作成した場合は、そのスケジュール済タスクに、そのスケジュール済タスクの一意の名前を属性の値として入力する必要があります。 |
|
Configuration Lookup |
この属性は、リコンシリエーション時とプロビジョニング時の両方で使用される値を含む参照定義の名前を保持します。 値: 注意: この属性の値を変更しないでください。ただし、この参照定義のコピーを作成した場合は、そのリソース・オブジェクトの一意の名前をConfiguration Lookup属性の値として入力できます。 |
「AD User Trusted Recon」スケジュール済タスクは、ユーザー・データのリコンサイルに使用されます。表3-7に、このスケジュール済タスクの属性の説明を示します。
表3-7 信頼できるソースからの削除されたユーザー・データのリコンシリエーションのスケジュール済タスクの属性
| 属性 | 説明 |
|---|---|
|
OIM Employee Type |
リコンシリエーション中に作成されるOIMユーザーに設定する従業員タイプを入力します。次に示すいずれかの値を選択する必要があります。
デフォルト値: |
|
OIM User Type |
リコンシリエーション中に作成されるOIMユーザーに設定するロールを入力します。次に示すいずれかの値を選択する必要があります。
デフォルト値: |
|
OIM Organization |
リコンサイルするユーザーを作成するOracle Identity Manager組織の名前を指定します。 OIM Organization属性は、MaintainHierarchy属性が デフォルト値: |
|
Trusted Resource Object |
信頼できるリコンシリエーションの実行対象となるリソース・オブジェクトの名前を入力します。 デフォルト値: 注意: このリソース・オブジェクトの場合、この属性の値を変更しないでください。ただし、リソース・オブジェクトのコピーを作成した場合は、そのリソース・オブジェクトの一意の名前をこの属性の値として入力する必要があります。 |
|
Delete Recon Task Scheduler Name |
この属性は、ターゲット・システムからの削除されたユーザー・データのリコンシリエーションのスケジュール済タスクの名前を保持します。 値: 注意: このスケジュール済タスクの場合、この属性の値を変更しないでください。ただし、このスケジュール済タスクのコピーと、削除されたユーザー・データのリコンシリエーションのスケジュール済タスクを作成した場合は、このスケジュール済タスクのコピーに、その新しい削除リコンシリエーションのスケジュール済タスクの一意の名前をDelete Recon Task Scheduler Name属性の値として入力する必要があります。 |
|
IT Resource Name |
「ターゲット・システムのITリソースの構成」に記載されている手順を実行して構成するITリソースの名前を入力します。 サンプル値: |
|
この属性は、前回のユーザー・リコンシリエーションの実行が終了した日時を保持します。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 デフォルト値: 注意: この属性の値を変更しないでください。 |
|
|
Task Scheduler Name |
この属性は、スケジュール済タスクの名前を保持します。 値: AD User Trusted Recon 注意: このスケジュール済タスクの場合、この属性の値を変更しないでください。ただし、このスケジュール済タスクのコピーを作成した場合は、そのスケジュール済タスクに、そのスケジュール済タスクの一意の名前を属性の値として入力する必要があります。 |
|
Search Scope |
リコンサイル対象となるレコードの検索範囲にSearch Base属性に指定されたコンテナおよびすべての子コンテナを含める場合は、 レコードの検索範囲をSearch Base属性で指定されたコンテナのみに限定する場合は、 注意: デフォルト値: |
|
Field Lookup Code |
この属性は、ターゲット・システム・フィールドと対応するOracle Identity Managerフィールド間のマッピングを含む参照定義の名前を保持します。 |
|
ターゲット・システムで保持されているのと同じ組織階層をOracle Identity Managerで保持することを指定する場合は、 MaintainHierarchy属性を デフォルト値: 注意: この属性を |
|
|
Transform Lookup Code |
Microsoft Active Directoryフィールドと、各フィールドを変換するために実行する必要があるJARファイルをリンクするために作成した参照定義の名前を入力します。 この属性は、Use Transform Mapping属性がyesに設定されている場合にのみ有効です。 値:
注意: この属性の値を変更しないでください。 Transform Lookup Code属性の使用の詳細は、「Oracle Identity Managerにリコンサイルされるデータの変換」を参照してください。 |
|
Use Transform Mapping |
Transform Lookup Code属性によって参照される変換の適用を指定する場合は、 デフォルト値: Use Transform Mapping属性の使用の詳細は、「Oracle Identity Managerにリコンサイルされるデータの変換」を参照してください。 |
|
Start Record |
バッチ・リコンシリエーションの実行を開始するターゲット・システム・レコードの番号を入力します。 デフォルト値: この属性は、Batch Size属性およびNumber of Batches属性と組み合せて使用されます。これら3つの属性の詳細は、「バッチ・リコンシリエーション」を参照してください。その項で説明したように、Start Record属性のデフォルト値を受け入れることをお薦めします。 |
|
ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 デフォルト値: この属性は、Number of Batches属性およびStart Record属性と組み合せて使用されます。これら3つの属性の詳細は、「バッチ・リコンシリエーション」を参照してください。 |
|
|
リコンサイルするバッチ数を入力します。 デフォルト値: サンプル値: この属性は、Batch Size属性およびStart Record属性と組み合せて使用されます。これら3つの属性の詳細は、「バッチ・リコンシリエーション」を参照してください。 デフォルト値( |
|
|
完全リコンシリエーションを構成する場合は、 増分リコンシリエーションを構成する場合は、 デフォルト値: この属性の詳細は、「完全リコンシリエーション対増分リコンシリエーション」を参照してください。 |
|
|
Search Base |
リコンシリエーション時にユーザー・レコードの検索を実行する必要がある組織のDNを入力します。 サンプル値: |
|
Ignored Chars Username |
ターゲット・システムからリコンサイルされるユーザーID値から削除する文字のリストを入力します。 この属性は、他のターゲット・システムでエラーの原因となる可能性がある文字のリコンシリエーションを防止するために使用します。入力するリストは、一連の文字でデリミタを使用しません。 この機能を使用しない場合は、 サンプル値: # このサンプル値は、ターゲット・システムからリコンサイルされるすべてのユーザーID値からナンバー記号(#)を削除します。 デフォルト値: |
|
Search Filter |
リコンシリエーション時に、特定の基準に合致するターゲット・システム・ユーザー・アカウントの検索に使用される問合せ条件を入力します。 デフォルト値: サンプル値: この属性の詳細は、「制限付きリコンシリエーション対標準リコンシリエーション」を参照してください。 |
|
Configuration Lookup |
この属性は、リコンシリエーション時とプロビジョニング時の両方で使用される値を含む参照定義の名前を保持します。 値: 注意: この属性の値を変更しないでください。 |
「AD User Trusted Delete Recon」スケジュール済タスクは、削除されたユーザーに関するデータのリコンサイルに使用されます。リコンシリエーションの実行時、削除されたターゲット・システム・ユーザー・アカウントごとに、対応するOIMユーザーが削除されます。表3-8に、このスケジュール済タスクの属性の説明を示します。
表3-8 信頼できるソースからの削除されたユーザー・データのリコンシリエーションのスケジュール済タスクの属性
| 属性 | 説明 |
|---|---|
|
IT Resource Name |
「ターゲット・システムのITリソースの構成」に記載されている手順を実行して構成するITリソースの名前を入力します。 サンプル値: |
|
Search Filter |
この属性は、ターゲット・システムで削除されたユーザー・アカウントを検索するために使用されるLDAP検索フィルタを保持します。 値: 注意: この属性の値を変更しないでください。 |
|
この属性は、前回のユーザー削除リコンシリエーションの実行が終了したタイムスタンプを保持します。また、ADCS TimeStamp属性を0(ゼロ)に設定してユーザー・アカウントの信頼できるソースのリコンシリエーションのスケジュール済タスク(AD User Trusted Recon)を実行すると、この属性の値は更新されます。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 デフォルト値: 注意: この属性の値を変更しないでください。 |
|
|
Trusted Resource Object |
この属性は、リコンシリエーションの実行対象となるリソース・オブジェクトの名前を保持します。 値: |
|
Task Scheduler Name |
この属性は、スケジュール済タスクの名前を保持します。 値: 注意: この属性の値を変更しないでください。 |
|
Configuration Lookup |
この属性は、リコンシリエーション時とプロビジョニング時の両方で使用される値を含む参照定義の名前を保持します。 値: 注意: この属性の値を変更しないでください。ただし、この参照定義のコピーを作成した場合は、そのリソース・オブジェクトの一意の名前をConfiguration Lookup属性の値として入力できます。 |
この項では、スケジュール済タスクの構成手順について説明します。この手順は、参照フィールド同期およびリコンシリエーションのスケジュール済タスクを構成する場合に適用できます。
表3-9に、構成する必要のあるスケジュール済タスクをリストします。
表3-9 参照フィールド同期およびリコンシリエーションのスケジュール済タスク
| スケジュール済タスク | 説明 |
|---|---|
|
このスケジュール済タスクは、Oracle Identity Managerとターゲット・システム間のグループ参照フィールドの値を同期させるために使用されます。このスケジュール済タスクおよび属性の詳細は、「参照フィールド同期のスケジュール済タスク」を参照してください。 |
|
|
このスケジュール済タスクは、Oracle Identity Managerとターゲット・システム間の組織参照フィールドの値を同期させるために使用されます。このスケジュール済タスクおよび属性の詳細は、「参照フィールド同期のスケジュール済タスク」を参照してください。 |
|
|
このスケジュール済タスクは、ターゲット・リソースのリコンシリエーション時にユーザー・データをフェッチするために使用されます。このスケジュール済タスクおよび属性の詳細は、「ターゲット・リソースのリコンシリエーションのスケジュール済タスク」を参照してください。 |
|
|
このスケジュール済タスクは、ターゲット・リソースのリコンシリエーション時に削除されたユーザーに関するデータをフェッチするために使用されます。リコンシリエーションの実行時に、ターゲット・システムの削除されたユーザー・アカウントごとに、対応するOIMユーザーのADユーザー・リソースが削除されます。このスケジュール済タスクおよび属性の詳細は、「ターゲット・リソースのリコンシリエーションのスケジュール済タスク」を参照してください。 |
|
|
このスケジュール済タスクは、組織に関するデータをリコンサイルするために使用されます。このスケジュール済タスクおよび属性の詳細は、「信頼できるソースのリコンシリエーションのスケジュール済タスク」を参照してください。 |
|
|
このスケジュール済タスクは、信頼できるソースのリコンシリエーション時にユーザー・データをフェッチするために使用されます。このスケジュール済タスクおよび属性の詳細は、「信頼できるソースのリコンシリエーションのスケジュール済タスク」を参照してください。 |
|
|
このスケジュール済タスクは、信頼できるソースのリコンシリエーション時に削除されたユーザーに関するデータをフェッチするために使用されます。リコンシリエーションの実行時に、削除されたターゲット・システム・アカウントごとに、対応するOIMユーザーが削除されます。このスケジュール済タスクおよび属性の詳細は、「信頼できるソースのリコンシリエーションのスケジュール済タスク」を参照してください。 |
|
|
このスケジュール済タスクは、ターゲット・リソースのリコンシリエーション時にグループに関するデータをフェッチするために使用されます。このスケジュール済タスクおよび属性の詳細は、「ターゲット・リソースのリコンシリエーションのスケジュール済タスク」を参照してください。 |
スケジュール済タスクを構成するには、次のようにします。
管理およびユーザー・コンソールにログインします。
「リソース管理」を展開します。
「スケジュール済タスクの管理」をクリックします。
「スケジュール済タスクの管理」ページで、スケジュール済タスクの名前を検索基準として入力し、「検索」をクリックします。
図3-1に、「スケジュール済タスクの管理」ページを示します。
検索結果の表で、スケジュール済タスクの「編集」列の編集アイコンをクリックします。図3-2に、「スケジュール済タスクの詳細」ページを示します。
「スケジュール済タスクの詳細」ページで「編集」をクリックすると、スケジュール済タスクの次の詳細を変更できます。
ステータス: タスクを有効な状態のままにするかどうかを指定します。有効な状態では、タスクは使用できる状態にあります。
最大再試行数: このフィールドには整数値を入力します。この数は、Oracle Identity Managerがタスクの完了を試行する回数です。この数を超えると、ERRORステータスがタスクに割り当てられます。デフォルト値は1です。
次回開始: 日付エディタを使用してタスクを実行する日付を指定します。日付エディタで日付値を選択した後に、「次回開始」フィールドに自動的に表示される時間値を変更できます。
頻度: タスクを実行する頻度を指定します。
「編集」をクリックすると、「スケジュール済タスクの編集」ページが表示されます。図3-3に、このページを示します。
前のステップに示したスケジュール済タスクの詳細について値を変更した後、「続行」をクリックします。
スケジュール済タスクの属性の値を指定します。そのためには、「属性」リストから各属性を選択し、表示されたフィールドに値を指定して「更新」をクリックします。
|
注意:
|
図3-4に、「属性」ページを示します。変更のために選択したスケジュール済タスクの属性がこのページに表示されます。
「変更の保存」をクリックして、データベースに対してすべての変更をコミットします。
|
注意: 実行中にスケジュール済タスクを停止する場合は、Design ConsoleのStop Execution機能を使用します。この機能の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』の「「Task Scheduler」フォーム」を参照してください。 |
このガイドで前述したように、プロビジョニングとは、Oracle Identity Managerを介して、ターゲット・システム上でユーザー・アカウント情報を作成または変更することです。
|
注意: このターゲット・システムに対してOracle Identity Managerのプロビジョニング機能を使用する場合は、この項で説明する手順を実行する必要があります。 |
デフォルトで、ターゲット・システム上に新しく作成されたユーザーは、userオブジェクト・クラスに割り当てられます。Oracle Identity Managerでユーザー作成プロビジョニング操作を実行する際に、userオブジェクト・クラスの他に別のオブジェクト・クラスにユーザーを割り当てることができます。コネクタは、Lookup.AD.Configuration参照定義を使用してこの機能を実装します。詳細は、「Lookup.AD.Configuration参照定義の構成」を参照してください。
OIMユーザーのリソースのプロビジョニングでは、Oracle Identity Managerが使用されて、そのユーザーのMicrosoft Active Directoryアカウントが作成されます。次にプロビジョニング操作のタイプを示します。
|
関連項目: プロビジョニングのタイプの詳細は、『Oracle Identity Manager Connector概要』を参照してください。 |
ダイレクト・プロビジョニングの手法を使用してリソースをプロビジョニングするには、次のようにします。
管理およびユーザー・コンソールにログインします。
「ユーザー」メニューで次のように選択します。
まずOIMユーザーを作成してからそのユーザーに対してMicrosoft Active Directoryアカウントをプロビジョニングする場合は、「作成」を選択します。
Microsoft Active Directoryアカウントを既存のOIMユーザーにプロビジョニングする場合は、「管理」を選択します。
「作成」を選択した場合は、「ユーザーの作成」ページでOIMユーザーのフィールドに値を入力して、「ユーザーの作成」をクリックします。図3-5に、「ユーザーの作成」ページを示します。
「管理」を選択した場合は、OIMユーザーを検索し、検索結果に表示されたユーザー・リストからユーザーのリンクを選択します。
「ユーザーの詳細」ページで、ページの一番上のリストから「リソース・プロファイル」を選択します。図3-6に、「ユーザーの詳細」ページを示します。
「リソース・プロファイル」ページで「新しいリソースのプロビジョニング」をクリックします。図3-7に、「リソース・プロファイル」ページを示します。
「ステップ1: リソースの選択」ページで、リストから「AD User」を選択し、「続行」をクリックします。図3-8に、「ステップ1: リソースの選択」ページを示します。
「ステップ2: リソースの選択の検証」ページで「続行」をクリックします。図3-9に、「ステップ2: リソースの選択の検証」ページを示します。
「ステップ5: プロセス・データの指定」の「ADユーザーの詳細」ページで、ターゲット・システムで作成するアカウントの詳細を入力し、「続行」をクリックします。「ターミナル サービスのプロファイル」のフィールドに値を設定する場合は、Remote ManagerのITリソースを選択する必要があります。図3-10に、追加されたユーザーの詳細を示します。
「ステップ5: プロセス・データの指定」の「ADユーザー・グループ・メンバーシップの詳細」ページで、ターゲット・システムのユーザーのグループを検索して選択し、「続行」をクリックします。図3-11に、このページを示します。
図3-11 「ステップ5: プロセス・データの指定」の「ADユーザー・グループ・メンバーシップの詳細」ページ
「ステップ6: プロセス・データの検証」ページで、指定したデータを確認して「続行」をクリックします。図3-12に、「ステップ6: プロセス・データの検証」ページを示します。
「リソース・プロファイル」ページが表示されます。図3-13に、このページを示します。このページには、プロビジョニングしたリソースが表示されます。
