SPML XSD Webサービスは、Oracle Identity Managerをバックエンド・サービスとして使用して、Fusionアプリケーションにプロビジョニング機能を提供します。SPML Webサービスの主要ビルディング・ブロックは、プロビジョニング対象となるオブジェクトを定義するSPML Provisioning Service Object(PSO)です。PSOの例としては、アイデンティティやロールがあげられます。
この付録では、サポートされているPSO属性とそのLDAPマッピングを示し、Oracle Identity Managerの属性における文字制限について説明します。最後に、アプリケーションからSPML Webサービスに渡すことができるその他の操作データについて説明します。この章には次の項目があります。
表B-1に、Oracle Identity ManagerでのSPML実装でサポートされているアイデンティティ属性、およびこれらの属性とLDAPオブジェクト/属性のマッピングを示します。
注意: 「構文」列は、関連する属性プロパティ(型、必須かどうかなど)を示しています。 |
表B-1 アイデンティティのPSO属性
SPML属性名 | 構文 | 説明 | LDAPマッピング(Oracle Internet Directory) |
---|---|---|---|
ID |
文字列、読取り専用、必須、単一 |
変更リクエストでユーザーを識別するために使用される識別子。 |
orclUserV2: orclguid |
activeEndDate |
タイムスタンプ、単一 |
ユーザーの終了日時。 |
orclUserV2: orclActiveEndDate |
activeStartDate |
タイムスタンプ、単一 |
ユーザーのアクティブ化日時。 |
orclUserV2: orclActiveStartDate |
commonName |
文字列、 必須 |
個人の共通名(通常は、個人のフルネームに同じバリエーションを加えたものです)。 |
person: cn |
countryName |
文字列、単一 |
個人の勤務先の国(2文字の[ISO3166]国コードで表されます)。 |
orclUserV2: c |
departmentNumber |
文字列、単一 |
この個人が所属する組織内の部門コード。数字のみまたは英数字を指定できます。 |
inetOrgPerson: departmentNumber |
description |
文字列、単一 |
個人に関する判読可能な説明。 |
person: description |
displayName |
文字列、単一、MLS |
個人のエントリを表示するときに使用する優先名。 多言語サポート(MLS)に対応しており、ロケールの言語値(「en」や「fr」など)も指定できます。 |
inetOrgPerson: displayName |
employeeNumber |
文字列、単一 |
個人に割り当てられる数字または英数字の識別子(通常は、入社順や組織との関連に基づきます)。 |
inetOrgPerson: employeeNumber |
employeeType |
文字列、単一 |
従業員のタイプを識別します。有効な値のリストは、表B-2を参照してください。 |
inetOrgPerson: employeeType |
facsimileTelephoneNumber |
文字列、単一 |
個人の業務用FAX端末の電話番号。 |
organizationalPerson: facsimileTelephoneNumber |
generationQualifier |
文字列、単一 |
一般に個人名の接尾辞部となる名前文字列(「III」、「3rd」、「Jr.」など)。 |
N/A |
givenName |
文字列、単一 |
個人名の一部となる名前文字列(姓以外、名など)。 |
inetOrgPerson: givenName |
hireDate |
タイムスタンプ、単一 |
入社日。 |
orclUserV2: orclHireDate |
homePhone |
単純、文字列 |
個人に関連付けられている自宅電話番号。 |
inetOrgPerson:homePhone |
homePostalAddress |
単純、文字列 |
個人の自宅住所。 |
inetOrgPerson: homePostalAddress |
initials |
文字列、単一 |
個人名の一部またはすべて(姓以外)。 |
inetOrgPerson: initials |
localityName |
単純、文字列 |
勤務先の地域や場所の名前(市区町村、郡、その他の地理的地域など)。 |
N/A |
|
単純、文字列 |
個人の業務用インターネット・メール・アドレス(メールボックス[RFC2821]形式)。 |
inetOrgPerson: mail |
manager |
単純、文字列 |
個人のマネージャ。 |
N/A |
middleName |
文字列、単一 |
個人のミドル・ネーム。 |
orclUserV2: middleName |
mobile |
単純、文字列 |
個人に関連付けられている携帯電話番号。 |
inetOrgPerson: mobile |
organization |
文字列、単一 |
組織の名前(my_companyなど)。 |
organization |
organizationUnit |
文字列、単一 |
組織内の単位の名前(IT Supportなど)。 |
organizationalUnitName |
pager |
単純、文字列 |
個人の業務用ページャ電話番号。 |
inetOrgPerson: pager |
password |
文字列、単一 |
ユーザーのパスワード。 |
person: userPassword |
postalAddress |
文字列、単一 |
郵便業務で個人にサービスを提供するために使用される勤務先住所。 |
organizationalPerson: postalAddress |
postalCode |
文字列、単一 |
郵便業務で個人の勤務先の郵便ゾーンを識別するために使用されるコード。 |
organizationalPerson: postalCode |
postOfficeBox |
文字列、単一 |
郵便業務で使用される私書箱識別子(カスタマは、郵便局の敷地内で私書箱を通じて郵便物を受け取るように手配することができます)。 |
organizationalPerson: postOfficeBox |
preferredLanguage |
文字列、単一 |
個人の優先文字言語または優先会話言語。これは、国際化対応や人間とコンピュータの対話に役立ちます。この属性タイプの値は、[RFC2068]に定義されたAccept-Languageヘッダー・フィールドの定義に準拠する必要があります(ただし、1つの例外として、シーケンス"Accept-Language" ":"は省略してください)。 |
inetOrgPerson: preferredLanguage |
state |
文字列、単一 |
個人の勤務先の都道府県の完全名。 |
organizationalPerson: st |
street |
文字列、単一 |
個人の勤務先住所の場所情報(つまり、通り名、土地、番地)。 |
organizationalPerson: street |
surname |
文字列、単一 |
個人の姓の名前文字列。 |
person: sn |
telephoneNumber |
文字列、単一 |
個人の勤務先電話番号。 |
organizationalPerson: telephoneNumber |
title |
文字列、単一 |
組織における個人の役職。 |
organizationalPerson: title |
username |
文字列、単一 |
個人に関連付けられているコンピュータ・システム・ログイン名。 |
uid |
userType |
文字列、単一 |
ユーザーのタイプ。この属性は、エンドユーザーにDesign Consoleへのアクセスを提供するために使用します。使用可能な値はtrueとfalseです。 |
表B-2に、employeeType
属性の有効な値を示します。
表B-2 employeeTypeの有効な値
値 | 意味 |
---|---|
Full-Time |
フルタイムの従業員 |
Part-Time |
パートタイムの従業員 |
Temp |
派遣社員 |
Intern |
インターン |
Consultant |
コンサルタント |
Contractor |
契約者 |
EMP |
従業員 |
CWK |
派遣就業者 |
NONW |
非就業者 |
OTHER |
その他の従業員タイプ |
注意: Oracle Identity Managerによって渡されるのは、「値」列に示すコードのみです。各コードの意味を参考のために記載しています。 |
Oracle Identity Managerの機能をサポートするためのカスタム属性が用意されています。これらの属性は、Oracle Identity Managerに存在し(ユーザー定義のフィールドを追加した場合など)、PSOには存在しません。
マッピングをエンドツーエンドで機能させるには、カスタム属性名を対応するリクエスト・データセットで指定された属性名と一致させる必要があります。
次に、カスタム属性の例をいくつか紹介します。
... <data> <pso:identity> <pso:attributes> <pso:attr name="Number Format"> <pso:value>#,##0.##[.,]</pso:value> </pso:attr> <pso:attr name="Currency"> <pso:value>USD</pso:value> </pso:attr> </attributes> ...
表B-3に、Oracle Identity ManagerでのSPML実装でサポートされているロール属性、およびこれらの属性とLDAPオブジェクト/属性のマッピングを示します。
表B-3 ロールのPSO属性
属性名 | 構文 | 説明 |
---|---|---|
ID |
文字列、読取り専用、必須、単一 |
ロールを一意に識別するPSO識別子。通常はディレクトリのGUIDです。 |
commonName |
文字列、必須、MLS |
ロールの共通名。 |
description |
単一 |
ロールに関する判読可能な説明。 |
displayName |
文字列、単一、MLS |
ロールのエントリを表示するときに使用する優先名。 |
Oracle Identity Managerの機能をサポートするためのカスタム属性が用意されています。これらの属性は、Oracle Identity Managerに存在し、PSOには存在しません。
マッピングをエンドツーエンドで機能させるには、カスタム属性名を対応するリクエスト・データセットで指定された属性名と一致させる必要があります。
次に、カスタム・ロール属性の例を紹介します。
... <pso:attributes> <pso:attr name="Role Category Name"> <pso:value>Cat1</pso:value> </pso:attr> ...
Role Category Nameは特別なカスタム・ロール属性です。これはロールの名前空間です。それぞれのロールがいずれかのロール・カテゴリに属しています。新しいロールの作成時に指定できます。指定しなかった場合は、デフォルトのロール・カテゴリが選択されます。各ロール・カテゴリおよびロール名によってロールが一意に識別されます。
表B-4に、Oracle Identity ManagerでのSPML実装でサポートされているプリファレンス属性を示します。
表B-4 プリファレンス属性
属性名 | 構文 | 説明 | LDAPマッピング |
---|---|---|---|
数値書式 |
String |
数値の表示書式 |
orclNumberFormat 値は次のとおりです。 #,##0.##[.,] #,##0.###[\u00A0,] #,##0.### #,##0.###;#,##0.###- #,##0.###[.,] #,##0.###;(#,##0.###)[.,] #,##0.##[\u00A0,] #,##0.###['.] #,##0.###[',] |
通貨 |
String |
通貨に使用する必要がある記号 |
orclCurrency 値の例は次のとおりです。 USD YUN NZD INR |
日付書式 |
String |
日付の表示書式 |
orclDateFormat 値は次のとおりです。 MM-dd-yyyy MM-dd-yy MM.dd.yyyy MM.dd.yy MM/dd/yyyy MM/dd/yy M-d-yyyy M-d-yy M.d.yyyy M.d.yy M/d/yyyy M/d/yy dd-MM-yyyydd-MM-yy d-M-yyyy d-M-yy dd.MM.yyyy dd.MM.yy d.M.yyyy d.M.yy dd/MM/yyyy dd/MM/yy d/M/yyyy d/M/yy yyyy-MM-dd yy-MM-dd yyyy-M-d yy-M-d yyyy.MM.dd yy.MM.dd yyyy.M.d yy.M.d yy. M. d yyyy/MM/dd yy/MM/dd yyyy/M/d yy/M/d |
時間書式 |
String |
時間の表示書式 |
orclTimeFormat 値は次のとおりです。 HH.mm HH.mm.ss HH:mm HH:mm:ss H:mm H:mm:ss H.mm H.mm.ss a hh.mm a hh.mm.ss a hh:mm a hh:mm:ss ah:mm ah:mm:ss hh.mm a hh.mm.ss a hh:mm a hh:mm:ss a |
埋込みヘルプ |
String |
埋込みヘルプを表示するかどうか |
orclEmbeddedHelp 値は次のとおりです。 true false |
フォント・サイズ |
String |
フォントのサイズ |
orclFontSize 値は次のとおりです。 LARGE MEDIUM |
色のコントラスト |
String |
色のコントラスト |
orclColorContrast 値は次のとおりです。 STANDARD HIGH |
アクセシビリティ・モード |
String |
ユーザーのアクセシビリティ・モード |
orclAccessibilityMode 値は次のとおりです。 screenReader inaccessible default |
FA言語 |
String |
デフォルトの優先言語 |
orclFALanguage |
ユーザー名優先言語 |
String |
ユーザーの表示名を示すためだけに使用される優先言語 注意: この属性の設定値はOracle Identity Managerでは使用されません。 |
orclDisplayNameLanguagePreference |
この項では、Oracle Identity Managerの属性に適用される文字制限を示します。これらの制限に従わないと、属性を使用して操作を実行したときにエラーが発生します。
英数字(aからz、AからZ、および0から9)とアンダースコア文字(_)は、すべてのOracle Identity Manager属性で使用できます。
Passwordフィールドでは次の特殊文字を使用できます。
パーセント記号(%)
プラス記号(+)
等号(=)
カンマ(,)
円記号(\)
一重引用符(')
スラッシュ(/)
縦棒(|)
一重引用符(')は、次の属性でのみ使用できます。
ログイン
マネージャID
名
姓
ミドル・ネーム
グループ名
組織名
リソース名
セミコロン(;)はアクセス・ポリシー名でのみ使用できます。
次の特殊文字は、Oracle Identity Managerのどの属性でもサポートされていません。
ピリオド(.)
シャープ記号(#)
スラッシュ(/)
パーセント記号(%)
等号(=)
縦棒(|)
プラス記号(+)
カンマ(,)
円記号(\)
二重引用符(")
小なり記号(<)
大なり記号(>)
HCM Fusionアプリケーションなどのリクエスト・アプリケーションは、SPMLリクエスタとして動作します。アプリケーションでは、PSOデータ以外に、いくつかの操作データをSPML Webサービスに渡すことができます。この項では、アプリケーションが操作データを渡す仕組みについて説明します。
操作ごとにリクエスタIDを渡すことができます。Fusionアプリケーションがリクエストで提示する資格証明は、アプリケーションIDです。監査の目的で、リクエスタIDを渡すこともできます。Oracle Identity Managerでは、操作の実際のリクエスタとして、アプリケーションIDのかわりにこのIDが監査されます。
リクエスタIDと一緒に、リクエストの理由も指定できます。
次に、操作データの例を示します。
... </pso:identity> </data> <capabilityData capabilityURI="http://xmlns.oracle.com/idm/identity/OperationData" mustUnderstand="true"> <operationData xmlns="http://xmlns.oracle.com/idm/identity/OperationData" requestorGUID="1" justification="i need this account"> </capabilityData> </addRequest>
アプリケーションは、なんらかの参照データをSPMLに渡すことで、コールバックを受け取ったときに、コンテキストでそのコールバックに対して参照データによって識別されるようにする必要もあります。これはパススルー・データであり、Oracle Identity Managerでは無視されますが、コールバックには返されます。
次に、<LdapRequestId>を扱った例を示します。
... ... </pso:identity> </data> <capabilityData capabilityURI="http://xmlns.oracle.com/idm/identity/OperationData" mustUnderstand="true"> <operationData xmlns="http://xmlns.oracle.com/idm/identity/OperationData" requestorGUID="1" justification="i need this account"> <LdapRequestId xmlns="http://xmlns.oracle.com/apps/hcm/users/ldapRequestService/">102329090340 </operationData> </capabilityData> </addRequest>