リコンシリエーション・プロセスには、Oracle Identity Managerに適用されるイベントの生成が含まれます。このイベントには、ターゲット・システムでのアトミック変更が反映され、変更されたデータ、変更のタイプおよびその他の情報が含まれます。ターゲット・システムで発生した変更の結果として生成されるリコンシリエーション・イベントは、各種ビジネス要件を満たすように管理される必要があります。Oracle Identity Manager拡張管理の「イベント管理」セクションでは、このようなイベント管理要件に対処します。
関連項目: リコンシリエーションの詳細は、Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイドのリコンシリエーション構成に関する項を参照してください。 |
「イベント管理」セクションを使用してリコンシリエーション・イベントを管理し、格納されたイベントに様々な方法で問い合せてイベント・データすべてを表示できます。これらのイベントは、常に「イベントの詳細」ページと同じ形式で表示されます。「拡張検索」機能を使用して、イベントに対してカスタム問合せを実行できます。イベントの問題を解決するために必要な任意のアクションを実行することもできます。
イベントはリコンシリエーション実行によって生成されます。これらのリコンシリエーション実行は、Oracle Identity Managerスケジューラを使用して実行がスケジュールされます。
この章の内容は次のとおりです。
11g リリース1 (11.1.1)では、次の機能拡張により、リコンシリエーション時のパフォーマンスが向上しました。
Oracle Identity Managerには、さまざまなターゲットに関連付けられるメタデータを格納する新しいモデルがあります。
以前のリリースでは、メタデータはリコンシリエーション・ターゲットに関連付けられていました。このため、同じターゲットに対して複数のジョブを実行してさまざまなタイプのリコンシリエーションを行う機能が制限されていました。
Oracle Identity Manager 11g リリース1 (11.1.1)では、Oracle Identity Managerの各種コンポーネントのすべての構成は、MDSと呼ばれるXMLストアに集中的に格納されています。
下位互換性のために、現在のデプロイメントは、Oracle Identity Manager Design Consoleを介して継続して構成を管理し、構成は引き続きOracle Identity Managerデータベースに格納されます。Oracle Identity Manager 11g リリース1 (11.1.1)では、構成APIは構成を表から自動的に読み取り、それをデフォルト・プロファイルと呼ばれるXMLプロファイルに変換し、そのプロファイルを既存のリコンシリエーションの実行に関連付けます。デフォルト・プロファイルにはDEFAULTタグが付けられます。
すべてのメタデータは、Oracle Identity Manager Design Consoleを使用して管理されます。Oracle Identity Manager Design Consoleを使用して、デフォルトのリコンシリエーション・プロファイルを生成できます。Oracle Identity Manager Design Consoleからリコンシリエーション構成を変更する場合は、このデフォルトのプロファイルを使用してプロファイルを再生成できます。デプロイメント・マネージャから構成をインポートする場合は、デフォルトでプロファイルが生成されます。
デフォルト以外のすべてのプロファイルは、任意のXMLエディタを使用してすべて管理できます。
関連項目: リコンシリエーション・プロファイルの詳細は、Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイドのリコンシリエーション・プロファイルを参照してください。 |
制御イベント処理のパラメータ
BatchSizeは、イベント処理を制御するパラメータです。これはバッチのサイズを決定します。バッチ・サイズが1の場合、一度に1つのイベントが処理されます。バッチ・サイズはシステム・プロパティとして利用でき、Oracle Identity Manager Design Consoleから管理できます。そのプロパティ名は、OIM.ReconBatchSizeです。システムのBatchSizeパラメータのデフォルト値は500です。システム・プロパティの詳細は、第4章「システム・プロパティの管理」を参照してください。
自動再試行の制御のパラメータ
MaxRetryCountプロファイル・パラメータは、リコンシリエーション・エンジンがエラーとしてフラグを付けるか手動キューに送信する前に項目を再試行する回数を指定して、自動再試行を制御します。MaxRetryCount = 0は、自動再試行オプションが設定されていないことを意味します。
リコンシリエーション・データベースで作成されるすべてのイベントは、リコンシリエーション実行によってグループ化されます。リコンシリエーション実行のすべてのイベントは、共通のリコンシリエーション実行IDによってグループ化されます。各リコンシリエーション実行はプロファイルと関連付けられているため、リコンシリエーション実行のすべてのイベントは、同じプロファイルを使用して処理されます。これにより、構成はリコンシリエーション実行ごとに一度のみ取得されるため、パフォーマンスの最適化に役立ちます。
各プロファイルはそれぞれ異なるバッチ・サイズを使用できます。そのため、各ターゲット・リコンシリエーションに適したバッチ・サイズに調整することで、システム・パフォーマンスを向上させることができます。
バッチは、リコンシリエーション時のシステム・パフォーマンスを向上させるために導入されました。バッチには多数のイベントが含まれます。これはリコンシリエーション・エンジンの処理の単位です。バッチのサイズは設定可能です。リコンシリエーション実行は、固定サイズのバッチに分割されます。たとえば、リコンシリエーション実行が9900のイベントで構成され、バッチ・サイズが1000の場合、そのリコンシリエーション実行は、各サイズ1000のバッチと最後のサイズ900のバッチの計10個のバッチに分割されます。
バッチを1つの単位として処理すると、一度に1つのイベントを処理する際のオーバーヘッドを排除でき、システム・パフォーマンスが最適化されます。またこれにより、可能な場合にはバルク操作も実行できます。バッチを並列で実行して、ハードウェア・リソースをバランスよく使用することもできます。
以前のリリースでは、すべてのエンジン・ロジックはJavaで実装されており、一度に1つのイベントが処理されていました。11g リリース1(11.1.1)では、イベントを処理するロジックのほとんどは、ストアド・プロシージャとして実装されています。バッチ・レベルでの処理とPLSQLで実装されたロジックの組合せにより、SQLレイヤでバルク操作を実行できるようになりました。次の手順は、バルク(一度に1つのバッチ)で実行されます。
必要なデータのチェック
一致ルールの適用
アクション・ルールの適用
ストアド・プロシージャで実行できず、Javaレイヤで実行する必要のある処理でも、次の理由により、以前のリリースのエンジンよりも優れたパフォーマンスが得られます。
Oracle Identity Managerには、Webベースのイベント管理インタフェースが付属しており、Webからイベントを管理できます。認可されたユーザーは、イベントとユーザーを検索し、イベントをユーザーおよびアカウントにリンクして例外を処理できます。イベントのクローズ、失敗したイベントの再評価の強制、および非定型リンクも実行できます。
非定型リンクは、「イベント管理」セクションの認可されたユーザーに提供される機能を参照して、イベントをOracle Identity Managerのいずれかのユーザーにリンクします。リコンシリエーション・エンジンによってそのイベントに対するユーザー一致が検出された場合でも、この非定型リンク機能により、ユーザーはその一致を無視して別のユーザーを選択できるようになります。これにより、誤った一致によって生じる例外を処理できます。
その他のリコンシリエーション拡張について、次の各項で説明します。
以前のバージョンのOracle Identity Managerでは、さまざまなターゲットから取得したすべてのイベント詳細が、リコンシリエーション・スキーマの1つの表に格納されます。各種リコンシリエーション・イベントに含まれる属性およびその名前とタイプのリストは、ターゲットによって異なる場合があります。つまり、あるターゲットのイベントに含まれるデータ・セットが、別のターゲットのイベントに含まれるものと異なる場合があります。このようなイベントのデータを1つの表に格納する唯一の方法は、1行に1つの属性を格納することです。そのため、以前のリリースでは、イベント詳細表の各行が、リコンシリエーション・イベント・データの1つの属性に相当しています。各属性行には、その属性が属するイベント、属性の名前、タイプ、値が格納されます。このような表のことを、このドキュメントでは垂直表とも呼びます。垂直表は、柔軟性と拡張性の面では利点がありますが、パフォーマンスの観点からはイベント・レコードを格納する効率的な方法とはいえません。
11g リリース1(11.1.1)では、垂直表での格納が、水平表と呼ばれるターゲットごとの個別表で置き換えられました。イベントの属性を表内の行として垂直に格納する(属性の数が行数になる)のではなく、イベントの属性を列として水平に格納するため、水平表と呼ばれます。つまり、ターゲットの属性数と同じ数の列が存在します。各イベントは、行として格納されます。異なるターゲットは異なる属性セットを持つことがあるため、各ターゲットは、イベントの詳細を格納するリコンシリエーション・スキーマ内に個別の表を持ちます。子テーブル内の行として格納される複数値属性を処理する要件のために、1つのターゲットに複数の表が存在することがあります。
特定のプロファイルに対するイベント詳細表の各行には、1つのイベントのリコンシリエーション・フィールドのリストが格納されます。たとえば、信頼できるユーザーのリコンシリエーションで姓、名、電子メール属性がリコンサイルされる場合、RA_XELLERATE_USER水平表に次の列が含まれます。
RE_KEY、RECON_FIRSTNAME、RECON_LASTNAME、RECON_EMAI
水平表の作成と管理
水平表は、ターゲットをOracle Identity Managerに対してデプロイしている場合のみ作成できます。これは、ターゲットのデプロイ時に、リコンシリエーション・システムがリコンサイルする必要のあるターゲットの属性とそのタイプのリストを把握しているためです。
デプロイメント・マネージャから構成をインポートしたり、Oracle Identity Manager Design Consoleから変更を行ったりした場合には、水平表が更新されます。Oracle Identity Manager Design Consoleから水平表を生成するには、オブジェクト・リコンシリエーション・フォームで、リコンシリエーション・プロファイルの生成をクリックします。
以前のリリースのOracle Identity Managerでは、イベントをリコンサイルする際に、そのイベントをリコンサイルする前に別のイベントをリコンサイルする必要があるために、リコンシリエーション・エンジンがそのイベントを正常に処理できないことがありました。たとえば、リコンシリエーション・エンジンは、アカウントを作成するイベントをリコンサイルする前に、ユーザーを作成するイベントをリコンサイルする必要があります。これを競合条件と呼びます。
Oracle Identity Manager 11g リリース1(11.1.1)では、競合条件はリコンシリエーションの実行ごとに選択できる自動再試行オプションを使用して処理されます。自動再試行を構成するには、MaxRetryCountパラメータに1以上の値を指定します。自動再試行を構成しない場合は、MaxRetryCountパラメータの値に0を指定します。
注意: MaxRetryCountは、リコンシリエーション・プロファイルのパラメータです。このパラメータのデフォルト値は5です。この値を変更するには、MDSからプロファイルをエクスポートし、再試行回数を更新し、それからMDSにインポートして戻します。リコンシリエーション・プロファイルの手動での更新については、「リコンシリエーション・プロファイルの更新」を参照してください。 |
自動再試行を構成する場合、リコンシリエーション・エンジンは競合条件をチェックします。競合条件が見つかると、リコンシリエーション・エンジンは、再試行回数に達するまでリコンシリエーション・イベントを再評価キューに入れます。
リコンシリエーションの再試行スケジュール済タスクは、再試行を待っているイベントがないか、そして再評価される準備ができているかどうかを定期的にチェックし、ある場合は、それをリコンシリエーション・エンジン処理用のキューに入れます。このスケジュール済タスクは、デフォルトで構成されています。
注意:
|
自動再試行は次の競合条件を処理できます。
ユーザーを作成するイベントがまだ処理されていないために、Oracle Identity Managerのアカウントを作成するアカウント・イベントが、このイベントのユーザーが作成される前に処理されます。
Oracle Identity ManagerのXellerateユーザーを作成するユーザー・イベントが、このユーザーが属する組織が作成される前に処理されます。
CurrentRetryCountパラメータ以外のすべての自動再試行パラメータは、リコンシリエーション・プロファイルの一部として格納されます。つまり、あるリコンシリエーション実行に属するイベントに自動再試行が構成されていて、別のリコンシリエーション実行に属するイベントでは自動再試行が構成されていないこともあります。
Oracle Identity Manager 11g リリース1(11.1.1)では、このプロファイル内のパラメータを管理するUIがないため、XMLエディタを使用してXMLプロファイルを直接編集してパラメータを管理する必要があります。XMLプロファイルの編集については、「リコンシリエーション・プロファイルの更新」を参照してください。
リコンシリエーション・イベントを管理するイベント管理API、リコンシリエーションAPIおよびUIは、認可ポリシーを使用して保護されます。Oracle Entitlements Server (OES)は、認可ポリシーの管理に使用されるOracle製品です。
リコンシリエーションのデフォルトの認可ポリシーでは、RECONCILIATION ADMINISTRATORSロールまたはSYSTEM ADMINISTRATORSロールを持つユーザーのみがリコンシリエーションにアクセスして使用できるように設定されます。
関連項目:
|
Oracle Identity Manager拡張管理の「イベント管理 」セクションを使用して、次のイベント管理タスクを実行できます。
次のタイプの検索を実行して、リコンシリエーション・イベントのサマリーを表示できます。
Oracle Identity Manager拡張管理にログインします。
「ようこそ」ページの「イベント管理」で、「リコンシリエーション・イベントの検索」をクリックします。あるいは、「イベント管理」タブをクリックし、次に「リコンシリエーション」をクリックします。
左ペインで、「検索」フィールドに検索基準を入力します。検索基準にはワイルドカード文字(*)を使用できます。
単純検索では1つの引数が使用されます。テキスト引数は、次のイベント・フィールドで検索されます。
イベントID
プロファイル名
キー・フィールド
注意: 単純検索では、イベント日で検索することはできません。 |
「検索」フィールドの横のアイコンをクリックします。検索基準に一致するイベントが検索結果表に表示されます。
検索により、前述の属性に「検索」フィールドで指定した文字列が含まれるすべての行がフェッチされます。検索結果には、「イベントID」、「プロファイル名」および「キー・フィールド」列が表示されます。「イベントID」列にはイベントIDが表示されます。IDは文字列ではなく、整数値としてソートされます。「プロファイル名」列には、リコンシリエーション・プロファイルの名前が表示されます。「キー・フィールド」は、データの行を一意に識別する属性です。リコンシリエーションでは、一部の属性にプロファイル内のキーとしてフラグが付けられています。これらのフィールドが「キー・フィールド」列に表示されます。
注意: 「単純検索」では、検索結果はページで区切られ、一度に64行のみ表示されます。これは、パフォーマンス向上のためです。UI内で64行目を超えてスクロールするたびに、データベースからの別のページのフェッチがトリガーされます。 |
拡張検索では複数の引数が使用され、イベントのリストを細かく調整できます。イベントの拡張検索を実行するには、次の手順に従います。
「リコンシリエーション」セクションの左ペインで、「拡張検索」をクリックします。「検索: イベント」ページが表示されます。
次のオプションのいずれかを選択します。
すべて: このオプションを選択すると、検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
いずれか: このオプションを選択すると、検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
「イベントID」フィールドに検索するイベントIDを入力します。検索基準にはワイルドカード文字を使用できます。「イベントID」フィールドに隣接するリストから検索条件を選択します。
「検索: イベント」ページに表示される他のフィールドで検索引数を指定します。表1-1に、「検索: イベント」ページに表示されるフィールドのリストを示します。
表1-1 拡張検索フィールド
フィールド | 説明 |
---|---|
イベントID |
イベントID。IDは文字列ではなく、整数値としてソートされます。 |
リソース名 |
イベントの発行元となるターゲット・システムを表すリソース・オブジェクトの名前。 |
現行のステータス |
イベントの現在の状態を表す文字列。 |
タイプ |
イベントによって実行される操作のタイプ。定期(追加または変更)と削除があります。 |
プロファイル名 |
このイベントに関連するリコンシリエーション・プロファイルの名前。 関連項目: リコンシリエーション・プロファイルについては、Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイドのリコンシリエーション・プロファイルに関する項を参照してください。 |
エンティティ |
このイベントに関連するOracle Identity Managerエンティティのタイプ。ユーザー、アカウント、ロール、ロール付与、ロール階層があります。 |
開始日 |
検索する一番古いイベント作成日。 |
終了日 |
検索する最新のイベント作成日 |
リンクされたユーザー・ログイン |
イベントにリンクされたユーザーのログインIDを表す文字列。 |
キー・フィールド |
リコンシリエーション・プロファイルでキー・フィールドとしてフラグが付いた、データ行を一意に識別するフィールド。 |
「検索」をクリックします。検索結果として、「イベントID」、「リソース名」、「エンティティ」イベント・ステータス、「タイプ」、「プロファイル名」、「ジョブID」、「キー・フィールド」、「日付」列が表示されます。
検索結果から、クローズや再評価などのイベントのバルク・アクションを実行できます。また、特定のイベントの詳細を表示することもできます。
LDAPプロファイルを使用してイベントを検索するには、検索で次のldapプロファイルを使用します。
オブジェクト | プロファイル |
---|---|
ユーザー |
LDAPUser |
ロール |
LDAPRole |
ロール・メンバーシップ |
LDAPRoleMembership |
ロール階層 |
LDAPRoleHierarchy |
Oracle Identity Manager拡張管理の左ペインで、イベントのリストから、詳細を表示するイベントを選択します。
拡張検索結果表の「イベントID」列をクリックします。
「アクション」リストから、「参照」を選択します。「イベントの詳細」ページが表示されます。「イベントの詳細」ページのフィールドは、イベント・タイプとイベント・ステータスに基づいて動的に変更されます。あるいは、右ペインのイベントのサマリーからイベントを選択し、参照用の虫眼鏡アイコンをクリックして「イベントの詳細」ページを開くこともできます。
「イベントの詳細」ページのデータは、次のセクションに表示されます。
イベント: このセクションには、イベントID、イベント・タイプが「ユーザー」と「アカウント」のどちらか、イベントが作成された時間、リコンシリエーション実行ID、リソース名、プロファイル名およびキー・フィールド値などのイベントに関する情報が表示されます。リコンシリエーションは複数のキー・フィールドを使用でき、キー・フィールド値はカンマで区切って表示されます。
リンク先: このセクションは、イベントがユーザーまたはアカウントにリンクされていることを示します。ここにはイベントがリンクされているユーザーまたはアカウントのID、アカウントの説明(あれば)、およびルールベースのリンクか手動リンクかなどのリンクのタイプが表示されます。ルールベースのリンクは、リコンシリエーション・エンジンがリンクを実行したことを意味します。手動リンクは、管理者がリンクを手動で実行したことを意味します。
メモ: リコンシリエーション・エンジンにより、必要に応じてメモが追加されます。たとえば、「データ検証に失敗しました」がある場合、エンジンはその理由を説明するメモを追加します。これは読取り専用フィールドで、イベントにメモが付加されていない場合は空欄です。
リコンシリエーション・データ: この表には、リコンシリエーション・イベント・データが表示されます。これには、属性名、属性値およびOracle Identity Managerのマッピング・フィールドが表示されます。また、イベントの子データがある場合は、それも表示されます。リコンシリエーション・データには、姓、名、雇用日、ユーザーIDおよびITリソース名が表示されます。
複数言語をサポートする属性がある場合は、その属性値も子データと同様に個別の表に表示されます。
一致したアカウント: この表には、一致したアカウントが表示されます。「一致したアカウント」表の列を、表1-2に示します。
一致したユーザー: この表には、リコンシリエーション・エンジンによって検索されたユーザー一致が表示されます。複数一致する場合、リンクされたユーザーはこの表には表示されません。
履歴: この表には、イベント作成やデータ検証からアカウント一致まで、このイベントに対して発生する操作と、更新が正常に行われたどうかが示されます。表1-3に「履歴」表の列を示します。
注意: Oracle Identity Managerでは、リコンシリエーション・フィールド名の翻訳はサポートされていません。 |
イベントで可能なアクションは、イベントのステータス、タイプおよび操作によって異なります。表1-4に、イベントのタイプおよびステータス別に可能なアクションを示します。
表1-4 イベントのステータスおよびタイプ別のアクション
イベント・ステータス | イベント・タイプ | 可能なアクション |
---|---|---|
一致が見つかりません |
ユーザー |
イベントのクローズ リコンシリエーション・ルールの再適用 エンティティの作成 非定型リンク |
アカウント |
イベントのクローズ イベントの再評価 非定型リンク |
|
ユーザーが一致しました |
ユーザー |
イベントのクローズ リコンシリエーション・ルールの再適用 リンク |
アカウント |
イベントのクローズ リコンシリエーション・ルールの再適用 リンク |
|
アカウントが一致しました |
アカウント |
イベントのクローズ リコンシリエーション・ルールの再適用 リンク |
イベントを受信しました |
任意 |
イベントのクローズ |
可能なアクションについては、以降のセクションで説明します。
イベントの再評価は、リコンシリエーション・ルールをイベントに再適用することを意味します。リコンシリエーション・ルールは、イベントの所有者を識別するために使用する一致ルールを参照します。たとえば、Oracle Identity Manager Design Consoleを使用してリコンシリエーション・ルールを変更した場合、Oracle Identity Manager拡張管理の「イベント管理」セクションでルールを再評価できます。
イベントを再評価するには:
イベントのリストから、イベントを選択します。複数のイベントを同時に再評価する場合は、[Ctrl]キーを押しながら複数のイベント行を選択できます。
「アクション」リストから、「イベントの再評価」を選択します。選択したイベントIDが「イベントの再評価」ダイアログ・ボックスに表示されます。
「実行」をクリックします。リコンシリエーション・ルールがイベントに正常に再適用されたことを示す確認メッセージが表示されます。選択したアクションがいずれかのイベントで失敗した場合は、バルク処理に失敗したイベントIDを示す一般メッセージが表示されます。このような場合は、イベントを一度に1つずつ処理します。
注意:
|
このアクションは、選択されたイベントをクローズまたは破棄し、イベントをそれ以降の処理キューから削除します。イベントをクローズするには、次の手順を実行します。
イベントのリストから、イベントを選択します。
「アクション」リストから、「イベントのクローズ」を選択します。、[Ctrl]キーを押しながら複数のイベント行を選択すると、複数のイベントを一度にクローズできます。「イベントのクローズ」ダイアログ・ボックスが表示されます。
注意: イベントのクローズが有効なオプションでない場合は、「イベントのクローズ」ダイアログ・ボックスにエラー・メッセージが表示されます。 |
「理由」ボックスに、イベントをクローズする理由を入力します。
「実行」をクリックします。イベントがクローズされることを示す確認メッセージが表示されます。選択したアクションがいずれかのイベントで失敗した場合は、バルク処理に失敗したイベントIDを示す一般メッセージが表示されます。このような場合は、イベントを一度に1つずつ処理します。
注意:
|
Oracle Identity Managerでは、次の操作を実行してリコンシリエーション・イベントをリンクできます。
非定型リンクにより、イベントをOracle Identity Managerの任意のユーザーまたはロールにリンクできます。リコンシリエーション・エンジンによってそのイベントに対するユーザー一致が検出された場合でも、この非定型リンク機能を使用して、ユーザーはその一致を無視して別のユーザーを選択できます。これにより、リコンシリエーション一致ルールが正しく機能しない場合に誤った一致によって生じる例外を処理できます。
このアクションにより、すでに一致しているエンティティ以外のエンティティにイベントをリンクできます。つまり、「一致したユーザー」表から行を選択するかわりに、別のユーザーを選択してイベントにリンクできます。
イベントに対して非定型リンクを作成するには:
「イベントの詳細」ページで、「アクション」リストから「非定型リンク」を選択します。「非定型リンク」ダイアログ・ボックスが表示されます。
検索基準を指定してユーザー検索を実行します。
検索結果からユーザーを選択し、「実行」をクリックします。イベントとの非定型リンクが正常に行われたことを示す確認メッセージが表示されます。
リコンシリエーション・イベントが複数一致する場合は、各一致が「イベントの詳細」ページの「一致したアカウント」タブ(アカウント・エンティティの場合)または「一致したユーザー」タブ(ユーザー・エンティティの場合)に表示されます。リコンシリエーション・エンジンで検出されたすべての一致からいずれかの一致を手動で選択できます。手動リンクを実行するには、次の手順に従います。
注意: 手動リンクでは、Oracle Identity Managerの全ユーザーのリストから一致を選択するかわりに、リコンシリエーション・エンジンによって検出された一致のリストから選択します。 |
「イベントの詳細」ページで、リコンシリエーション・エンジンによって検出されたすべての一致がリストされている表から行を選択します。
「リンク」をクリックします。確認を求めるメッセージが表示されます。
「 OK 」をクリックして続行します。
孤立アカウントとは、ターゲット・システムのアカウントで、Oracle Identity Managerにそれに対応するユーザーが存在しないものを指します。
Oracle Identity Managerに一致するユーザーがいないか、複数のユーザーが一致する孤立アカウントのイベントを解決できます。そのために、次のいずれかを実行できます。
Oracle Identity Managerでユーザーを再作成する
プロビジョニング・プロセスをトリガーして、ターゲット・システムからユーザーまたはアカウントを削除する
非定型または手動リンクを実行する
次のシナリオでは、「イベント管理」セクションを使用して正しい一致ユーザーを選択することで、孤立アカウントを解決できます。
リコンシリエーション・エンジンにより複数のユーザーがイベント・データに一致された場合は、非定型または手動リンクを使用して正しいユーザーを選択する必要があります。
非定型リンクについては、「非定型リンク」を参照してください。
手動リンクについては、「手動リンク」を参照してください。
イベントに一致が検出されない場合は、エンティティ作成をトリガーするか、Oracle Identity Managerのエンティティを選択してイベントにリンクします。Oracle Identity Managerのエンティティを選択してイベントにリンクする方法は、「非定型リンク」を参照してください。
リコンシリエーション・プロファイルの手動による作成と更新について、次の各項で説明します。
次のシナリオではリコンシリエーション・プロファイルを作成することもできます。
リソース・オブジェクトに基づいたリコンシリエーションでは、デフォルトのプロファイル名は、リソース・オブジェクトの名前と同じです。たとえば、リソース・オブジェクト名がtestresourceとすると、デフォルトのプロファイル名もtestresourceになります。対応するリコンシリエーション水平表の名前は、RA_TESTRESOURCE<obj_key>です。リソースにマルチ言語サポート(MLS)データがない場合は、MLS表の名前は、RA_MLS_TESTRESOURCE<obj_key>です。
リソース・オブジェクトに子表がある場合は、各子フォーム名UD_xxxに対して、対応するRA_UD_xxがあります。各表には対応するエンティティ定義XMLファイルがあり、プラットフォームのドキュメントに従って、MDS記憶域に格納されます。そのため、RA_MLS_TESTRESOURCE<obj_key>には、/db/RA_TESTRESOURCE<obj_key>.xmlという名前のエンティティ定義MDSドキュメントがあり、プラットフォームのドキュメントに従って、MDS記憶域に格納されます。
注意: リソース・オブジェクトの名前を変更した場合は、Oracle Identity Manager Design Consoleでオブジェクト・リコンシリエーション・タブのリコンシリエーション・プロファイルの作成ボタンをクリックして、リコンシリエーション・プロファイルを再生成する必要があります。 |
リソース・オブジェクトに基づいたリコンシリエーション用のデフォルト以外のプロファイルを作成するには:
注意: MDSエクスポート/インポート・ユーティリティを使用して、MDSに対してファイルをエクスポートまたはインポートすることができます。このユーティリティは、weblogicExportMetadata.shおよびweblogicImportMetadata.shスクリプトを実行することによって実行します。これらのスクリプトの詳細は、Oracle Fusion Middleware Oracle Identity Manager開発者ガイドのMDSユーティリティとユーザーが修正可能なメタデータ・ファイルに関する説明を参照してください。 |
エクスポートされたプロファイルXMLファイルのコピーを別の名前で作成します。
新しいプロファイル名、水平表名、新しいリコンシリエーション・フィールド名およびマッピングに合わせて、ファイルを修正します。
MDSインポート・ツールを使用して、新しいプロファイルをMDSにインポートします。
エンティティ定義XMLファイルを、新しいプロファイル名に基づいた新しい名前でコピーします。リコンシリエーション・フィールド名も変更した場合は、新しいリコンシリエーション・フィールド名に合わせてXMLファイルを修正します。
MDSインポート・ツールを使用して、エンティティ定義XMLファイルをMDSにインポートします。
新しいプロファイル名に基づいて、データベースに新しい水平表を作成します。
信頼できるソースのリコンシリエーションに新しいプロファイルを作成する手順は、「リソース・オブジェクトに基づいたリコンシリエーション用のデフォルト以外の追加プロファイルの作成」の手順と同様です。唯一の違いは、信頼できるソースのリコンシリエーションはリソース・オブジェクトに関連付けることも関連付けないこともできる点です。したがって、LDAPUserプロファイルに対応するXMLファイルをサンプルとして使用できます。
リコンシリエーション・プロファイルのプロパティ、たとえばバッチ・サイズを変更するには:
MDSから/db/PROFILE_NAMEプロファイル・ドキュメントをエクスポートします。
XMLファイルを修正します。たとえば、バッチ・サイズの値を変更します。
MDSインポート・ツールを使用して、更新されたプロファイルをMDSにインポートします。
次のいずれかの方法を使用して、プロファイル・モードのプロパティをCHANGELOGからREGULARに変更できます。
関連項目: 変更ログおよび定期リコンシリエーション・モードの詳細は、Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイドのリコンシリエーションのモードに関する項を参照してください。 |
たとえば次のようにして、プロファイルでモード属性の値を変更します。
<generalconfig mode="REGULAR"
createEntityUsingSPFlag="true"
dateFormat="yyyy/MM/dd hh:mm:ss z"
ownerMatchingRuleWhereClause="
(UGP.ugp_ldap_guid=RA_SAMPLE_HIERARCHY.RECON_ROLE_GUID)"
entitytype="RoleRole"
version="1.0"
trustedSrcFlag="false"
accountPostProcessingRequiredFlag="NOT_SET"
sequentialProcessingFlag="false"
batchSize="-1"
retryInterval="30"
maxRetryCount="5"
defaultProfileFlag="true"
name="sample-hierarchy"/>
次の方法で、イベント作成時に属性を変更します。
Oracle Identity Manager 11g リリース1(11.1.1)で導入されたイベント作成APIには、3つのパラメータが含まれています。最初の2つのパラメータは、以前の作成イベントAPIで使用されるパラメータと同じです。3番目のパラメータは、dateFormat、changeType、eventFinished、actionDateなどの属性を持つことができます。
このAPIを使用してchangeTypeを次のように設定できます。
public long createReconciliationEvent(String objName, Map<String, Object>inputData, EventAttributes eventAttribs);
注意: APIを使用したchangeType属性の設定は、プロファイルで設定されたchangeType属性の値より優先されます。 |
Oracle Identity Managerデータベース内のRECON_EXCEPTIONS表は、アカウント・リコンシリエーション中に生成されるエラー・メッセージを取得するために使用されます。このデータは、レポートの生成目的で収集されます。
関連項目: アカウント・リコンシリエーションの詳細は、Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイドのアカウント・リコンシリエーションに関する項を参照してください。 |
リコンシリエーションが削除されたユーザーに一致することが検出された場合は、USER_DELETEDをREX_EXCEPTION列に、削除されたユーザーのキーをRECON_EXCEPTIONS表のUSR_KEY列に挿入する必要があります。
一致が検出されなかった場合は、USER_NOT_FOUNDをREX_EXCEPTION列に挿入します。
アカウント一致が検出された場合は、アカウントがすでにプロビジョニング解除されているかどうかチェックします。それからプロビジョニングされるユーザーに対して、RECON_EXCEPTIONS表のREX_EXCEPTION列に値RESOURCE_DEPROVISIONED
を挿入します。
RECON_EXEPTIONS表に例外データを移入するには:
変更タイプ!= ('Modify' , 'Delete')でイベント・ステータスが('Single User Match Found', 'Single Org Match Found')のイベントをすべてフェッチします。
次の手順を実行して、エンティティに対してリソース・オブジェクトをプロビジョニングします。
RECON_EXCEPTION DB表から例外データを収集します。これを行うには、次のいずれかを実行します。
XL.EnableExceptionReportsプロパティの値がTRUEかどうかをチェックします。これがTRUEに設定されている場合は、次のステップに進みます。そうでない場合は、例外データを収集しないでください。
プロビジョニングされたリソース・オブジェクトに対してobj表のobj_initial_recon_dateを選択し、今日の日付以前かどうかチェックします。以前の日付が表示される場合は、次のステップに進みます。そうでない場合は、例外データを収集しないでください。
リソース・オブジェクトをユーザーにプロビジョニングするときには、Oracle Identity Managerでリソース・オブジェクトがすでにプロビジョニング解除されているかどうかチェックします。:
リソース・オブジェクトがすでにプロビジョニング解除されている場合は、プロビジョニングされるユーザーに対して、RECON_EXCEPTIONS表のREX_EXCEPTION列に値RESOURCE_DEPROVISIONED
を挿入します。
リソース・オブジェクトがプロビジョニング解除されていない場合は、プロビジョニングされるユーザーに対して、RECON_EXCEPTIONS表のREX_EXCEPTION列に値RESOURCE_NEVER_PROVISIONED
を挿入します。