使用上の注意 (Sun Identity Manager 8.1 リソースリファレンス)

Sun Identity Manager 8.1 リソースリファレンス

使用上の注意

ここでは、Oracle ERP アダプタに適用できる次のリソースパラメータについて説明します。

Oracle アプリケーションのユーザー管理セキュリティー

ユーザーのセキュリティーは、Oracle アプリケーション内部の次の 3 レベルで制御されます。

機能的セキュリティー。システム内部の個々のメニューおよびメニューオプションへのユーザーアクセス特権を制御します。
データセキュリティー。ユーザーが操作できるデータオブジェクトを制御します。
ロールに基づくアクセス制御 (RBAC)。ロールを作成し、ロールに対して責任とアクセス権を割り当てることができます。

Oracle ERP アダプタは、機能的セキュリティーのみをサポートします。このため、このアダプタでは Oracle のデータオブジェクト、オブジェクトインスタンス、インスタンスセットの作成、更新、削除を一覧表示することはできません。また、ロールオブジェクト、ロール階層、またはロールカテゴリも作成および管理できません。

Oracle クライアント暗号化タイプ

このパラメータには、Oracle がサポートする有効な暗号化アルゴリズム名 (RC4_56、RC4_128 など) のリストを指定します。このリストが空の場合、そのリリースで Oracle がサポートするすべてのアルゴリズムが使用されます。クライアント/サーバーは、Oracle クライアント暗号化レベルの設定に従って、これらのうちどのアルゴリズムを使用するかについてネゴシエーションを行います。

注 –

このタイプの暗号化をサポートするように Oracle サーバーも設定してください。

サポートされるアルゴリズムについては、『Oracle Advanced Security 管理者ガイド』を参照してください。thin JDBC クライアント用の有効な値のリストについては、「SQLNET.ENCRYPTION_TYPES_CLIENT」セクションを参照してください。

Oracle クライアント暗号化レベル

この値は、サーバー/クライアントがネゴシエーションを行って適用するセキュリティーのレベルを決定します。デフォルト値 (空白のままの場合) は、ACCEPTED です。有効な値は、REJECTED、ACCEPTED、REQUESTED、および REQUIRED です。このパラメータの使用法については、『Oracle Advanced Security 管理者ガイド』および SQLNET.ENCRYPTION_CLIENT の値を参照してください。

また、このタイプの暗号化をサポートするように Oracle サーバーを設定してください。

Oracle E-Business Suite (EBS) 管理ユーザー責任

この値は、Identity Manager Oracle EBS 管理ユーザーが EBS アプリケーションの初期化ルーチンを呼び出すために使用する EBS 責任を決定します。有効な責任のリストは、fnd_responsibility_vl テーブルにあります。詳細については、Oracle EBS のマニュアルも参照してください。

Identity Manager Oracle EBS 管理ユーザーが有効な EBS システムアカウントを持ち、このパラメータの値と一致する責任を持っている場合は、接続中に作成された Oracle セッションで Oracle EBS の監査メカニズムを使用してユーザーのアクションが監査されます。たとえば、fnd_user テーブルオブジェクトの created_by フィールドと last_updated_by フィールドは、Identity Manager Oracle EBS 管理ユーザーのユーザー ID で正しく更新されます。

セキュリティー設定属性の追加

securingAttrs アカウント属性は、Oracle E-business Suite のセキュリティー設定属性機能をサポートします。Identity Manager の「ユーザーの作成」ページでセキュリティー設定属性を設定するには、次の手順を実行します。

セキュリティー設定属性を「ユーザーの作成」ページで設定する

「Add Securing Attribute」チェックボックスを選択します。

「Enter Securing Attribute Search Pattern」テキストボックスに、使用可能な属性の選択肢を絞り込むための検索パターンを入力します。ワイルドカードとして「%」を使用します。次に、「Load Securing Attributes」ボタンをクリックします。これで「Oracle Securing Attributes」選択ボックスに属性が読み込まれます。

ドロップダウンメニューから属性を選択すると、その属性が「Securing Attributes」テーブルに追加されます。

テーブルから削除する属性を選択して「Remove Selected Securing Attribute」ボタンをクリックすることにより、セキュリティー設定属性を削除できます。

ユーザーの有効化

Oracle EBS ユーザーを有効にするには、owner 属性の値を指定する必要があります。有効化フォームに特定の値が追加されて有効化ビューを介して送信されないかぎり、デフォルトで値 CUST が使用されます。次のコーディング例では、デフォルトの所有者を MYOWNER に変更しています。

<Field name=’resourceAccounts.currentResourceAccounts[MyOracleERP].
attributes.owner’ type=’string’>
   <Display class=’Text’>
      <Property name=’title’ value=’Owner’/>
   </Display>
   <Default>
      <s>MYOWNER</s>
   </Default>
</Field>

ユーザー責任の取得

listResourceObjects の呼び出しを使用して、ユーザーの責任およびその他の Oracle EBS オブジェクトを取得できます。次の表に、サポートされるオブジェクトタイプに関する情報を示します。

Object	サポートされるオプション	Comments
`auditorResps`	`id`、`activeRespsOnly`	ユーザーの監査責任のリストを返します。 id は、そのリソース ID の責任が返されることを示す文字列です。 activeRespsOnly を true に設定すると、アクティブな責任のみが返されます。デフォルトは false です。
`responsibilities`	`id`、`activeRespsOnly`	ユーザーの責任を返します。11.5.9 でのみ有効です。
`directResponsibilities`	`id`、`activeRespsOnly`	ユーザーの直接的な責任を返します。11.5.10 でのみ有効です。
`indirectResponsibilities`	`id`、`activeRespsOnly`	ユーザーの間接的な責任を返します。11.5.10 でのみ有効です。
`responsibilityNames`	なし	ユーザーに割り当てられた責任名のリストを返します。
`applications`	`responsibilityName`	責任名が指定されていない場合は、ユーザーに割り当てられたすべてのアプリケーションが返されます。
`securityGroups`	`application`	アプリケーションが指定されていない場合は、ユーザーに割り当てられたすべてのセキュリティーグループが返されます。
`account`	`activeAccountsOnly`	ユーザーのアカウントのリストを返します。true に設定すると、アクティブなアカウントのみが返されます。デフォルトは false です。
`securingAttrs`	`searchPattern`	指定された検索パターンと一致するセキュリティー設定属性のリストを返します。パターンが指定されなかった場合は、すべてのセキュリティー設定属性が返されます。

次のコーディング例では、ユーザーフォームにアクティブな責任を返すフィールドを追加しています。USER_NAME と RESOURCE_NAME を有効な値で置き換える必要があります。auditorResps は、responsibilities、directResponsibilities、または indirectResponsibilites で置き換えます。

<Field name=’respNames’ type=’string’>
   <Display class=’Text’>
      <Property name=’title’ value=’Oracle ERP Responsibilities’/>
   </Display>
   <Expansion>
      <invoke name=’listResourceObjects’ class=’com.waveset.ui.FormUtil’>
         <ref>display.session</ref>
         <s>auditorResps</s>
         <s>RESOURCE_NAME</s>
         <map>
            <s>id</s>
            <s>USER_NAME</s>
            <s>activeRespsOnly</s>
            <s>true</s>
            <s>attrsToGet</s>
            <list>
               <s>name</s>
            </list>
         </map>
         <s>null</s>
      </invoke>
   </Expansion>
</Field>

責任の監査

ユーザーに割り当てられた責任のサブ項目 (フォームや機能) を監視するには、auditorObject をスキーママップに追加します。auditorObject は、responsibility オブジェクトのセットを含む複雑な属性です。次の属性は、常に責任オブジェクトに返されます。

responsibility
userMenuNames
menuIds
userFunctionNames
functionIds
formIds
formNames
userFormNames
readOnlyFormIds
readWriteOnlyFormIds
readOnlyFormNames
readOnlyUserFormNames
readWriteOnlyFormNames
readWriteOnlyUserFormNames
functionNames
readOnlyFunctionNames
readWriteOnlyFunctionNames

注 –

readOnly 属性と ReadWrite 属性は、fnd_form_functions テーブルの PARAMETERS 列で次のいずれかのクエリーを行うことによって識別します。

QUERY_ONLY=YES
QUERY_ONLY="YES"
QUERY_ONLY = YES
QUERY_ONLY = "YES"
QUERY_ONLY=Y
QUERY_ONLY="Y"
QUERY_ONLY = Y
QUERY_ONLY = "Y"

「SOB または組織、あるいはその両方を返す」リソースパラメータを TRUE に設定すると、次の属性も返されます。

setOfBooksName
setOfBooksId
organizationalUnitName
organizationalUnitId

responsibility、setOfBooksName、setOfBooksId、organizationalUnitId、および organizationalUnitName 属性を除いて、属性名はスキーママップに追加されるアカウント属性名に一致します。アカウント属性には、ユーザーに割り当てられる値の集合が含まれます。responsibility オブジェクトに含まれている属性は、その責任に固有のものです。

auditorResps[] ビューは、responsibility 属性へのアクセスを提供します。次に示すフォームの部分は、ユーザーに割り当てられたすべてのアクティブな責任 (およびそれらの属性) を返します。

<defvar name=’audObj’>
   <invoke name=’get’>
      <ref>accounts[Oracle ERP 11i VIS].auditorObject</ref>
   </invoke>
</defvar>
<!-- this returns list of responsibility objects -->
<defvar name=’respList’>
   <invoke name=’get’>
      <ref>audObj</ref>
      <s>auditorResps[*]</s>
   </invoke>
</defvar>

たとえば、次のようにします。

auditorResps[0].responsibility は、最初の責任オブジェクトの名前を返します。
auditorResps[0].formNames は、最初の責任オブジェクトの formNames を返します。