管理およびユーザー・コンソールのリソース管理機能を使用すると、組織または個人ユーザーのリソースを管理できます。リソースの管理には、次のアクティビティがあります。
リソースの詳細の検索および表示
ユーザーまたは組織からのリソースのプロビジョニング、無効化、有効化および失効
リソース管理者およびリソース認可者ロールの管理
ワークフローの表示、作成および変更
ITリソースの作成および管理
この章では、リソースの管理に関する次の内容を説明します。
リソースの詳細を表示するには、次の手順を実行します。
管理およびユーザー・コンソールにログインし、「拡張」をクリックします。
「ようこそ」ページの「構成」で、「リソースの管理」をクリックします。
または、「構成」タブをクリックし、「リソース管理」をクリックして、「リソースの管理」を選択します。
「リソース検索」ページが表示されます。
ページ上部のフィールドを使用して検索基準を選択し、対応する検査値を隣のフィールドに入力するか、アスタリスク(*)のワイルドカード文字を使用します。「リソース・タイプ」および「ターゲット」基準を使用するには、対応するボックスで値を選択します。
「リソース監査目的」リストから必要なオプションを選択します。
「リソース監査目的」リストによって、データ型ごとにリソースをグループ化できます。同じリソースに対して複数の値を選択できます。フィールドの値リストにある四半期、半期および年次評価の監査スケジュール値を追加し、監査要件としてSOXと四半期などの組合せを選択することもできます。
「リソース監査目的」リストの事前定義された値は、次のとおりです。
SOX (財務的に重要な情報が対象)
HIPAA (個人の医療情報が対象)
GLB (公共のものではない情報が対象)
毎四半期のレビューが必要
毎年のレビューが必要
「検索」をクリックします。
結果表が表示されます。
リソース名をクリックします。たとえば、Active Directoryという名前のリソースを選択できます。
「リソースの詳細」ページが表示されます。
リソースに関する詳細情報を表示するには、メニューを使用します。
詳細情報は、ユーザーや組織などのオブジェクトのタイプによって異なります。たとえば、組織オブジェクトに関して表示できる詳細情報には、次のものがあります。
このリソースに関連付けられた組織
リソース管理者
リソース認可者
ユーザーまたは組織に関連付けられているリソースの有効化、削除および失効を行うことができます。ユーザーまたは組織に対して複数回プロビジョニングされたリソースについては、マッピング・カテゴリを決定することもできます。
リソースに関連付けられている組織に関する操作を行うには、次の手順を実行します。
注意: この項の手順は、リソースに関連付けられている組織に関する作業を示しています。この項では組織に関して説明していますが、特定のリソースに関連付けられているユーザーについても、まったく同じ方法で検索できます。 |
「リソースの詳細の表示」の説明に従って、手順1から3を実行します。
リソースに関連付けられた組織オプションを選択します。
リソースに関連付けられた組織ページが表示されます。
オプションを使用して、関連付けられている組織のリストをフィルタします。
「すべて」オプションを選択すると、すべての組織が一覧表示されます。「ステータス別」オプションを使用すると、「リソース・ステータス」列の値に基づいて組織がフィルタされます。リソースに関連付けられている組織は「組織名」列に一覧表示されます。この場合、「リソース・ステータス」には、一覧表示された各組織に対してリソースがプロビジョニングされていることが示されます。組織に対応するリソースを変更するには、次のいずれかを選択します。
有効化
無効化
失効
「識別子」列の値は、「記述フィールドのマップ」を使用してDesign Consoleの「プロセス定義」フォームからマップできるフィールド・タイプに対応しています。同一のリソースが同一の組織に複数回プロビジョニングされている場合に、この値から、定義されているマッピング・カテゴリ(「プロセス・タイプ」、「組織名」、「リクエスト・キー」など)を区別できます。
「リソースの詳細」ページで「リソース管理者」を選択します。「リソース管理者」ページに、このリソースに管理者として割り当てられているロールの名前が表示されます。このページには、「書込み権限」と「削除権限」の各権限も表示されます。これらは、管理者ロールがリソース・パラメータではなく、リソースに対して持つ権限です。書込み権限のあるロールは、リソースを変更できます。削除権限のあるロールは、リソースを削除できます。
注意: 削除対象のリソースが使用されていないことを確認してください(たとえば、リソースがプロビジョニングされていないこと、またリソースにフォームが関連付けられていないことを確認してください)。 |
次の操作を実行できます。
リソースの管理者としてのロールを割り当てるには、次の手順を実行します。
「割当て」をクリックします。
「管理者の割当て」ページが表示されます。
このページには、このリソースに割り当てることができるすべてのロール名が表示されます。オプションを選択して書込み権限と削除権限を有効にし、このリソースにロールを割り当てます。
「割当て」をクリックします。
「割当ての確認」ページが表示されます。このページには、リソースの管理者として割り当てられる新しいロールが表示されます。
「割当ての確認」または「取消」をクリックします。
「リソース管理者」ページに、このリソースに関連付けられているすべてのロール名の一覧が表示されます。この情報は変更できます。
どのロールにリソースのプロビジョニングを認可するかを決定できます。
リソース認可者を決定するには、次の手順を実行します。
「リソースの詳細」ページで、メニューから「リソース認可者」を選択します。
「リソース認可者」ページが表示されます。
このリソースに認可の優先度レベルを設定するには、「優先度を上げる/下げる」を選択します。
このリソースの認可者を削除するには、該当する「ロール名」オプションを選択して、「削除」をクリックします。
リソースを認可するロールをさらに追加するには、「割当て」をクリックします。
「認可者の割当て」ページが表示されます。
適切なロール名のオプションを選択して「割当て」をクリックするか、「取消」をクリックします。
「確認」ページが表示されます。
情報が正しければ「割当ての確認」を、正しくなければ「取消」をクリックします。
「リソース認可者」ページが表示されます。このリソースに割り当てたロール名が結果表に追加されることに注意してください。
管理およびユーザー・コンソールの「リソース・ワークフロー」オプションは、ワークフロー・ビジュアライザとワークフロー・デザイナで構成されます。ワークフロー・ビジュアライザを使用すると、ワークフローを表示できます。また、ワークフロー・デザイナを使用すると、ワークフローを作成して編集できます。ここでは、ワークフロー・ビジュアライザについて説明します。
ワークフロー・ビジュアライザ・ツールは、タスク・シーケンスのビジュアル表示、依存性やその他のワークフロー定義コンポーネントを提供します。ビジュアル表示されるのは、ワークフローの概要とリレーションシップ、およびフローを構成するタスク・コンポーネントです。ワークフロー・ビューの印刷もできます。
ワークフロー・ビジュアライザ・ツールには、「プロビジョニング」というタイプのプロセスが表示されます。「プロビジョニング」タイプのプロセスは、Oracle Identity Managerリソースをユーザーや組織にプロビジョニングするために使用します。
注意: ワークフロー・ビジュアライザにアクセスするには、Nexawebアプレットで、Java仮想マシン1.4.2.x.xを使用するようにWebブラウザを設定する必要があります。 |
この項には次のトピックが含まれます:
ワークフロー・ビジュアライザを開くには、次の手順を実行します。
「リソースの詳細」ページで、リストから「リソース・ワークフロー」を選択します。
「リソース・ワークフロー」ページが表示されます。このページには、リソース名と、このリソースに対するワークフロー定義の名前の一覧を含む表が表示されます。
ワークフロー定義をグラフィック・フローチャートにレンダリングするには、必要なワークフローを選択します。
ワークフロー定義のグラフィカル表示が新しいウィンドウに表示されます。
プロビジョニング・ワークフローの場合、「ワークフロー・デザイナ」ページに複数のタブが表示されます。プロビジョニング・ワークフローにはそれ自体にフォームを関連付けることができ、ワークフロー詳細ヘッダーにそのフォーム名が表示されます。
表11-1に、ワークフロー・ビジュアライザの情報フィールドを示します。
表11-1 ワークフロー・ビジュアライザの情報フィールド
フィールド | 説明 |
---|---|
ワークフロー名 |
プロセス定義の名前。 |
リソース |
オブジェクトの名前(プロビジョニングされたリソース・オブジェクト)。 |
ワークフロー・タイプ |
プロセス定義のタイプ(「プロビジョニング」)。タイプは、ワークフローがリソースのデフォルトかどうかも示しています。 |
フォーム名 |
プロビジョニング・ワークフローに関連付けられているフォームの名前。 |
表11-2に、ワークフロー・ビジュアライザのツールバーのメニュー項目を示します。
表11-2 ワークフロー・ビジュアライザのツールバーのメニュー項目
フィールド | 説明 |
---|---|
表示オプション |
このオプションによって、ページに要素を表示できます。ページ上で要素の表示/非表示を切り替えられるため、ページを整理しておくことができます。 不明レスポンス・コードの表示: 不明レスポンス・コードはワークフローのタスクごとに定義されます。ワークフローのロジックでは使用されません。ただし、このオプションを使用すると、不明レスポンス・コードを表示できます。 画面上のアダプタ名の表示: 自動化されたアダプタの名前を表示できます。 取消しタスクの表示: タスクの取消しタスクを表示できます。 リカバリ・タスクの表示: タスクのリカバリ・タスクを表示できます。 |
イメージの生成 |
このオプションを使用すると、ワークフロー・ビューをイメージとして保存し、印刷することができます。このメニュー項目をクリックすると、新しいブラウザ・ウィンドウが開き、JPEGにフォーマットされたイメージが表示されます。フローチャートの、表示領域のスクロール制限のために非表示になっている部分も含めて、ワークフローの全体が表示されます。その後、Webブラウザの標準機能を使用してコンピュータ上にイメージを保存できます。 |
ワークフローのリロード |
このオプションでは、ワークフロー・ビューをリフレッシュし、事前定義済のグラフ・アルゴリズムに基づいてページの様々な項目を並べ替えます。 |
凡例 |
このオプションを選択すると、ワークフロー定義のフローチャートの作成に使用されるすべてのビジュアル・コンポーネントの説明が表示されます。図11-1に、「凡例」ページを示します。 マーカー マーカー・ノードは、特別な条件を示す位置マーカーを表します。次のような条件があります。 開始ポイント: このマーカーは、ワークフローにおける論理的な開始ポイントを表します。ワークフロー定義内の実際のタスクではありません。 ページ参照: このマーカーは、ワークフロー・チャートの他の箇所にすでに描画されているタスク・ノードを表します。ワークフロー・ビューに多数の交差リンクを挿入しなくても、他のタスクへの接続を示すことができます。 レスポンス・サブツリー: レスポンス・サブツリー(展開ノード)を使用すると、レスポンス・ノードの大部分のサブツリーを非表示にすることでワークフローを整理できます。展開ノード・マーカーをダブルクリックして、レスポンスを含むフローチャートを再描画することができます。 タスク タスク・ノードはワークフロー内のタスクを表します。これらを次に示します。 手動タスク: このタスクでは、完了するためにユーザー・アクションを必要とします。 自動化タスク: このタスクでは、完了するためにユーザーの介入を必要としません。自動タスクには、常にプロセス・タスク・アダプタが必要とされます。プロビジョニング・プロセスは通常、自動化タスクで構成されます。 レスポンス レスポンス・ノードは、タスク上で定義されているレスポンス・コードを表します。レスポンス・ノードは、内部の実際のレスポンス・コードを表示します。レスポンス・コードは、レスポンスがタスク上に設定しているステータスに基づいています。 タスクを完了: プロセス・タスクは完了しており、緑で示されます。 タスクを却下: プロセス・タスクは却下されており、赤で示されます。 タスクを取消し: プロセス・タスクは取り消されており、青で示されます。 リンク タスク・ノードやレスポンス・ノードは矢印線で結ばれ、ワークフローの流れを示します。リンクの色は、結ばれている2つのノードのリレーションシップのタイプを示します。リンクのタイプには次のものがあります。 初期タスク: ワークフロー定義内の最初のプロセス・タスクです。 レスポンス生成済タスク: 現行のタスクが「完了」ステータスであるときにトリガーされるプロセス・タスクとして定義されます。一般に、新しいプロセス・タスクがトリガーされるのは、条件付きタスクがプロセス・タスクの実行と組み合せて特定のレスポンス・コードを受け取る場合です。 リカバリ・タスク: 現行のタスクが「却下」ステータスであるときにトリガーされるプロセス・タスクとして定義されます。 取消しタスク: 現行のタスクが「取消」ステータスであるときにトリガーされるプロセス・タスクとして定義されます。 依存タスク: 別のプロセスに依存するプロセス・タスクとして定義されます。Oracle Identity Managerでは、依存対象のプロセス・タスクが完了したときにのみ、このタスク・タイプを起動できます。 |
図11-1に、「凡例」ページを示します。
ワークフロー・ビジュアライザの情報フィールドおよびツールバーのメニュー項目以外にも、ワークフローのUI要素としてタスクとレスポンスがあります。タスクとレスポンスの詳細は、表11-1および「タスクおよびレスポンスの作成と管理」を参照してください。
ワークフロー定義の「プロビジョニング」は、レスポンスに基づくタスクの実行方法を示す論理フローに、関連するイベント・タブとともに表示されます。イベント・タブは、ワークフロー定義の特定のイベントの、各種のタスク・シーケンスを表します。イベント・タブをクリックすると、プロセスのワークフロー・イベントに対応するタスクがタブに表示されます。フローチャートは要件に応じて配置できます。そのワークフロー・イベントに定義されたタスクがない場合は、タブの表示は空白です。そのワークフロー・イベント・タイプに複数のタスク・シーケンスがある場合、タブにはメニューが表示され、表示するプロセス・フローチャートを選択できます。
「プロビジョニング」タブには、リソースをプロビジョニングするタスクが表示されます。ワークフロー・タイプが「プロビジョニング」の場合、ワークフローには、リソースをプロビジョニングする必要のあるすべてのタスクが表示されます。
「リコンシリエーション」タブには、「リコンシリエーションの挿入を受信しました」
、「リコンシリエーションの更新を受信しました」
、「リコンシリエーションの削除を受信しました」
のいずれかのマーカー・タスクが挿入されたプロビジョニング・プロセスのリコンシリエーション・イベントが表示されます。これらのタスクは、アダプタをアタッチされることにより、プロビジョニング・アクションを開始することができます。タスクにアダプタがアタッチされていない場合は、そのタスクには「イベントが処理されました」
のレスポンス・コードが割り当てられます。このレスポンス・コードに基づいて、その他のプロビジョニング・プロセス・タスクを生成して、リコンシリエーション・イベントによるプロビジョニング・フローを開始することができます。
「サービス・アカウント」タブには、ユーザー用のサービス・アカウント(管理者)のすべてのプロビジョニング・プロセスが表示されます。ユーザーがサービス・アカウントを使用してプロビジョニングされると、Oracle Identity Managerで、ユーザーのアイデンティティからサービス・アカウントへのマッピングが管理されます。リソースが失効されるかユーザーが削除されても、サービス・アカウントのプロビジョニング・プロセスは取り消されません。そのかわりに、プロビジョニング・プロセスに、ユーザーからサービス・アカウントへのマッピングを削除するタスクが挿入されます。サービス・アカウントのプロビジョニング・プロセスは、「変更されたサービス・アカウント」
、「サービス・アカウント・アラート」
および「移動したサービス・アカウント」
です。
「組織イベント」タブには、リソースのプロビジョニング先の組織のレコードへの変更(名前または親名の変更など)、またはリソースのプロビジョニング先のユーザーの組織への変更に対応するワークフローが表示されます。
「フォーム・イベント」タブには、プロビジョニングされたリソース・インスタンスのプロセス・フォームにおけるデータ変更に対応するワークフローが表示されます。
この項では、ワークフロー・ビジュアライザを使用して実行できる様々な操作について説明します。
Corporate DB Provisioningワークフロー定義が表示されているとします。イベント・タブを選択すると、そのイベントに対応するタスクのシーケンスが表示されます。イベント・タブの詳細は、「ワークフロー定義の「プロビジョニング」イベント・タブの使用」で説明しています。図11-2に、ワークフロー・ビジュアライザのサンプル・ワークフローを示します。
グラフィック・ワークフローは、ワークフロー定義を構成しているアイコンを移動することによって、ワークフロー・ビュー内の任意の位置に配置を変更できます。アイコン・コンポーネントを移動しても、矢印で結ばれているリンクは途切れません。図11-3に、ワークフロー内のコンポーネントのドラッグ・アンド・ドロップ機能を示します。
「表示オプション」ツールバー・メニュー項目を使用して、不明レスポンス・コード、アダプタ名、取消しタスクおよびリカバリ・タスクの表示と非表示を切り替えることができます。ワークフローは自動的に更新され、実行した変更に基づいてそのワークフローが再描画されます。
タスク・ノードを右クリックすると、「レスポンスを非表示」オプションが表示されます。このオプションをクリックするとレスポンス・サブツリーが閉じ、展開ノードに変わります。タスク・ノード・ラベルが黄色く強調表示され、閉じていることを示します。ノードが閉じている間は、「レスポンスを非表示」オプションは表示されません。図11-4に、タスク・ノードを示します。
5つを超えるレスポンス・コードを含み、不明レスポンス・コードを含まないタスク・ノードは、フローチャートにレスポンスとともに描画されることはありません。レスポンス・サブツリー全体ではなく展開ノードが表示されます。展開ノードをダブルクリックすると、フローチャートが再描画され、親タスク(ノード)のレスポンス・サブツリーが表示されます。タスク・ノードのラベルは黄色で表示されます。図11-5に、閉じたレスポンス・サブツリーを示します。
注意: カーソルを展開ノードに重ねると、関連付けられているレスポンス・コードの数がツール・ヒントに表示されます。不明レスポンス・コードは、デフォルトでは非表示です。 |
特定のタスクの詳細情報を表示するには、タスクのアイコンをダブルクリックします。「タスクの詳細」ページでは、タスク定義に関する情報が、次のタブに表示されます。
一般: このタブには、名前や説明などのタスク情報が表示されます。
自動化: このタブには、タスク、タスクのステータス、および各種のマッピングの自動化アダプタに関する情報が記載されています。
タスクの割当て: このタブには、タスクの割当て方法とすべての関連情報に関する情報が表示されます。
依存先: このタブには、選択したタスクの依存先であるすべてのタスクが一覧表示されます。
リソース・ステータス管理: このタブには、タスク・ステータスとリソース・ステータスの間のマッピングが表示されます。
表11-3に、「一般」タブのフィールドを示します。
表11-3 「一般」タブのフィールド
フィールド | 説明 |
---|---|
タスク名 |
このフィールドにはプロセス・タスクの名前が表示されます。 |
タスクの説明 |
このフィールドにはプロセス・タスクに関する説明が表示されます。 |
タスクの結果 |
このフィールドは、このタスクのプロセス・アクションを示します。 |
再試行間隔 |
このフィールドは、このプロセス・タスク・インスタンスが追加されるまでに待機する時間を分単位で示します。 |
再試行の制限 |
このフィールドは、却下されたタスクをOracle Identity Managerが再試行する回数を示します。 |
条件付きタスク |
このフィールドは、プロセス・タスクに対して満たす必要がある条件を指定しています。 |
リカバリの完了 |
このフィールドは、生成されたすべてのリカバリ・タスクの完了時に、現行のプロセス・タスクのステータスがOracle Identity Managerによって |
保留中の取消しを許可 |
このフィールドは、ステータスが |
複数を許可 |
このフィールドは、単一のプロセス・インスタンス内で、タスクを複数回挿入することが許可されているかどうかを示します。 |
ワークフロー完了に必須 |
このフィールドは、プロセス・タスクが |
手動挿入 |
このフィールドは、現行のプロセス・タスクをユーザーがプロセスに手動で追加できるかどうかを示します。 |
プロビジョニング・プロセスに所属するタスクは、通常、自動化されています。表11-4に、「自動化」タブのフィールドを示します。
注意: タスクが自動化されていない場合、このタブは表示されません。 |
このタブは、プロセス・タスクの割当てルールを指定します。ルールは、プロセス・タスクの割当て方法を定めます。
プロビジョニング・プロセスに所属するタスクは、通常、自動化されています。結果として、タスク割当てルールは不要です。
リソースには、事前定義されたプロビジョニング・ステータスがあり、リソース・オブジェクトがターゲットのユーザーや組織にプロビジョニングされるのに応じて、そのライフサイクルを通じて様々なステータスを表します。このタブには、プロセス・タスクのステータス(「タスク・ステータス」)と、その割当て先リソースのプロビジョニング・ステータス(「リソース・ステータス」)の間のリンクが表示されます。表11-5に、「リソース・ステータス管理」タブのフィールドを示します。
ワークフロー・デザイナを使用すると、ワークフローを作成および編集できます。ワークフロー・ビジュアライザではワークフローをグラフィック表示するのに対し、ワークフロー・デザイナではワークフローの作成および編集が可能です。
このセクションのトピックは次のとおりです:
ワークフロー・デザイナを開くには、次の手順を実行します。
Oracle Identity Manager拡張管理の「ようこそ」ページで、「リソースの管理」をクリックします。または、「構成」をクリックし、「リソース管理」リストから「リソースの管理」を選択します。
「リソース検索」ページが表示されます。
注意: Mozilla Firefox Webブラウザを使用してワークフロー・デザイナを開く場合は、追加認証ダイアログ・ボックスが表示されることがあります。このダイアログ・ボックスで認証を行うと、ワークフロー・デザイナにアクセスできます。この追加認証を回避するには、次のようにします。
Microsoft Internet Explorer Webブラウザを使用してワークフロー・デザイナを開く場合は、追加認証は必要ありません。 |
リソースを検索します。
リソース名をクリックしてリソースを選択します。「リソースの詳細」ページが表示されます。
「追加詳細」リストから「リソース・ワークフロー」を選択します。「リソース・ワークフロー」ページが表示されます。
「新規ワークフローの作成」をクリックしてワークフロー・デザイナを開き、新規ワークフローを作成します。あるいは、結果表の「ワークフローの編集」列にある「編集」をクリックしてワークフロー・デザイナを開いて、既存のワークフローを編集します。
「リソース・ワークフロー」ページで「新規ワークフローの作成」をクリックすると、ワークフロー・デザイナが開き、図11-6のような「ワークフローの作成」ダイアログ・ボックスが表示されます。
このダイアログ・ボックスで、新規ワークフローの作成に必要な値を指定する必要があります。表11-6に、「ワークフローの作成」ダイアログ・ボックスのフィールドを示します。
表11-6「ワークフローの作成」ダイアログ・ボックスのフィールド
フィールド | 説明 |
---|---|
ワークフロー名 |
新規ワークフローの名前。 |
ワークフロー・フォーム |
ワークフローが定義されているリソースに関連付けられているフォーム。 フォームは次のいずれかです。
|
デフォルト・ワークフロー |
このチェック・ボックスでは、関連付けられているリソース・オブジェクトについて、現行ビジネス・ワークフローをデフォルトのプロビジョニング・ビジネス・ワークフローとして設定するかどうかを指定します。 このチェック・ボックスを選択した場合、このビジネス・ワークフローは、割り当てられるリソース・オブジェクトのデフォルトのプロビジョニング・ビジネス・ワークフローとして設定されます。 選択しない場合、このプロセスは、プロセス選択ルールによって選択された場合のみ起動します。 |
ワークフローの作成 |
ワークフロー作成用ボタン。 |
「プロビジョニング」オプションを選択して、「ワークフローの作成」ダイアログ・ボックスで「ワークフローの作成」をクリックすると、図11-7に示すように、ワークフロー・デザイナのメイン・ページが表示されます。
このページには様々なセクションがあり、各セクションには新規ワークフローを展開するための詳細情報やオプションが用意されています。
ワークフロー・デザイナのメイン・ページは、次のセクションから構成されています。
現行ワークフローに関するグローバルな情報を提供する次のラベルが表示されます。
ワークフロー名: 現行ワークフローの名前。
ワークフロー・タイプ: 現行ワークフローのタイプ(「プロビジョニング」または「承認」)。
リソース: 現行ワークフローのアタッチ対象となるリソース。
ツールバーには、ワークフロー・デザイナ・ページを管理および表示する機能があります。これには、名前、フォーム名、自動保存、自動事前移入、グラフィック・ワークフロー・ビューのイメージの生成、ワークフローのリロード、ポップアップの凡例、ワークフローの保存、表示オプションの提供など、グローバルなワークフロー情報を構成するオプションが含まれています。
ここでは次のツールバー・ボタンの機能について説明します。
「ワークフロー構成」をクリックすると、図11-8のような「ワークフロー構成」ダイアログ・ボックスが開きます。このダイアログ・ボックスには、現行ワークフローを構成するためのオプションがあります。
表11-7に、「ワークフロー構成」ダイアログ・ボックスのフィールドを示します。
表11-7「ワークフロー構成」ダイアログ・ボックスのフィールド
フィールド | 説明 |
---|---|
ワークフロー名 |
現行ワークフローの名前。 |
デフォルト・ワークフロー |
このチェック・ボックスでは、関連付けられているリソース・オブジェクトについて、現行プロセスをデフォルトのプロビジョニング・プロセスとして設定するかどうかを指定します。 注意: このチェック・ボックスの詳細は、「ワークフローの作成」を参照してください。 |
記述フィールド |
プロビジョニングされたリソースの特定のインスタンスに次のいずれかをマップする場合に使用します。
|
フォーム名 |
現行ワークフローに割り当てられたフォーム。 |
自動保存フォーム |
このチェック・ボックスは、プロビジョニングの際、ユーザーにフォーム・データの入力を求めずにフォームの自動保存を設定する場合に使用します。事前定義済デフォルト値セットまたはデータ・フローを使用した、フォーム・フィールドのデフォルト値の設定に役立ちます。 |
自動事前移入フォーム |
このチェック・ボックスは、プロビジョニングの際、デフォルト値またはデータ・フローからのデータを使用して、フィールドを事前移入する場合に使用します。このオプションを設定すると、プロビジョニングの際、変更可能なフィールドのデータとともにフォームが表示されます。 |
「タスク・ライブラリ」をクリックして、「タスク・ライブラリ」ページを開きます。「タスク・ライブラリ」ページには、すべてのサブワークフロー間のワークフロー内のすべてのタスクが一覧表示されます。このページには、(プロビジョニング・ワークフロー用の)サブワークフローが存在する場所、複数インスタンスの可否、保留中の取消しの可否、再試行間隔、再試行回数など、各タスクに関連するいくつかのパラメータも表示されます。また、このページでタスクを編集および削除できます。図11-9に、「タスク・ライブラリ」ページを示します。
次の条件をともに満たした場合のみ、タスクを削除できます。
タスクがすべてのワークフローから削除されていること。これは、任意のサブワークフロー上のタスクを右クリックし、「タスクおよびサブフローの削除」をクリックして、タスクが削除されていることを意味します。
タスクのインスタンスがシステムにないこと。たとえば、タスクでワークフローが作成され、そのワークフローのリソースがユーザーにプロビジョニングされ、ワークフローが起動されるためにタスクが実行される場合、そのタスクのインスタンスはシステム内に作成されます。その場合、タスクは削除できません。
「タスク・ライブラリ」ページの上部には、タスクの検索に使用できる検索基準があります。メイン・セクションには、各種パラメータを持つタスクが一覧表示されます。行をクリックすると選択できます。タスクが削除可能な場合は、「選択されたタスクの編集」ボタンとともに「選択されたタスクの削除」ボタンが有効になります。
「表示オプション」をクリックすると、「表示オプションの設定」ダイアログ・ボックスが開き、ワークフローを設計する際にワークフローの表示方式を指定するためのオプションが表示されます。図11-10に、「表示オプションの設定」ダイアログ・ボックスを示します。
このダイアログ・ボックスを使用して、次のオプションを有効または無効にできます。
不明レスポンス・コードの表示: 不明レスポンス・コードを表示または非表示にします。
画面上のアダプタ名の表示: タスクにアタッチされたアダプタの名前を表示または非表示にします。
取消しタスクの表示: 取消しタスクを表示または非表示にします。
リカバリ・タスクの表示: リカバリ・タスクを表示または非表示にします。
「イメージの生成」をクリックすると、ワークフローの現行ビューがJPEGイメージとして保存されます。イメージは新しいブラウザ・ウィンドウで開かれます。
「凡例」をクリックすると、図11-11に示す「凡例」ダイアログ・ボックスが表示されます。このダイアログ・ボックスには、次のタイプの要素が表示されます。
マーカー: この要素はワークフロー内の特定のマーキングまたは場所を表します。たとえば、開始点、ページ参照または下位要素を持つ展開ワークフローを表す場所は、マーカーで表すことができます。
「タスク」要素を右クリックして、レスポンスを非表示にするオプションを選択できます。レスポンスを非表示にすると、レスポンス・サブツリーのアイコンが表示され、非表示のレスポンスがあることが示されます。ページ参照マーカーは、リレーションシップがリンクで示されないそのページの他の要素を参照します。これは、たとえばタスク用に定義されたレスポンス・コードであり、そのレスポンスに対してレスポンス生成のタスクが定義されます。このレスポンス生成タスクに、元のタスクを循環方式で参照するレスポンスがある場合、ページ参照マーカーによってリレーションシップの表示が容易になります。
タスク: このアイコンは、手動および自動タスクを示すために使用されます。自動完了のため、イベント・ハンドラまたはそれにアタッチされたアダプタがタスクにある場合は、自動化タスクになります。そうでない場合は、手動タスクのままです。
レスポンス: 「完了」、「却下」、「取消」など各種レスポンス・コードに使用される、様々な色のコードです。ユーザー定義のレスポンス・コードは、異なる色コードで示されます。
リンク: リレーションシップまたは要素間の関連を表示するリンクに使用される様々な色コードです。リンクの色コードは、リンクが参照するタスクのタイプに応じて異なります。たとえば、色コードはタスクが取消しまたはリカバリのいずれかであるかどうかを示します。各種リンクとは、「初期タスク」、「レスポンス生成済タスク」、「リカバリ・タスク」および「取消しタスク」です。
「リフレッシュ」をクリックすると、ワークフローがリロードされ、ラベルおよびアイコンのインデントと場所がデフォルトに戻ります。トポロジが再生成され、JGraphアルゴリズムを使用してワークフロー上に要素が配置されます。
「保存」をクリックすると、Oracle Identity Managerデータベースに対するすべての追加や変更など、ワークフローに対して行われたすべての変更内容がコミットされます。
注意: 「保存」をクリックして変更をコミットする必要があります。ワークフローを保存しないでワークフロー・デザイナのメイン・ページを閉じると、変更はすべて失われます。 |
デザイナ・ページには、リンクを含め、すべての要素とプロセス・フローでの要素の位置を備えたワークフローが表示されます。これは、製図板に類似しており、適切なオプションを使用してタスクやレスポンスなどのコンポーネントを作成することができます。デザイナ・ページのこのようなコンポーネントは、さらに構成が可能です。このページでは、各種ワークフロー・エンティティを相互のリレーションシップとともに図示できます。新たに作成したワークフローの場合、このページにはワークフロー・プロセスの開始点を示す開始マーカーが表示されます。このページに追加されるオブジェクトはすべてこのマーカーに関連し、マーカーは参照点として機能します。
メニュー・セクションは、ワークフローの特定のサブセクションを表すメニュー項目で構成されます。このセクションは、「プロビジョニング」ワークフローの場合のみ有効です。使用可能なメニュー項目は次のとおりです。
プロビジョニング: ワークフロー・デザイナ・アプリケーションの起動時に表示されるデフォルトのページです。
リコンシリエーション: 「リコンシリエーションの挿入を受信しました」、「リコンシリエーションの更新を受信しました」、「リコンシリエーションの削除を受信しました」など、リコンシリエーション・イベントで実行するタスクのリストを提供します。これらのタスクは、「リコンシリエーション」メニュー項目の下のサブメニュー項目です。
サービス・アカウント: サービス・アカウントはadmin1、admin2、admin3などの一般管理者アカウントであり、メンテナンス用途に使用されます。通常、このようなアカウントは、ユーザーではなく、あるシステムと別のシステムとの対話を可能にするために使用されます。サービス・アカウントの管理およびプロビジョニングのモデルは、標準のプロビジョニングとは異なります。サービス・アカウントは、通常のアカウントと同様の方法でリクエスト、プロビジョニングおよび管理されます。サービス・アカウントは、通常アカウントと同じリソース・オブジェクト、プロビジョニング・プロセスおよびプロセス・フォームを使用します。サービス・アカウントは、内部フラグによって通常のアカウントと区別されます。ユーザーがサービス・アカウントを使用してプロビジョニングされると、Oracle Identity Managerで、ユーザーのアイデンティティからサービス・アカウントへのマッピングが管理されます。このユーザーはサービス・アカウントの所有者とみなされます。「サービス・アカウント」メニュー項目で使用できるタスクは、「変更されたサービス・アカウント」、「サービス・アカウント・アラート」および「移動したサービス・アカウント」です。
ユーザー・イベント: ユーザーのイベントに基づいて実行するタスクのリストが提供されます。そのタスクには次のデフォルト名があります。
ユーザーの場所の変更
ユーザーの移動
ユーザー・タイプの変更
ユーザー・パスワードの変更
ユーザー・マネージャの変更
ユーザー名の変更
名の変更
姓の変更
ユーザー・アイデンティティの変更
注意: これらの名前は、Design Consoleの「参照定義」フォームの |
「ユーザー・イベント」メニュー項目の横にあるプラス記号(+)アイコンをクリックすると、ワークフローにユーザー・イベントを挿入できます。+アイコンをクリックすると、図11-12に示すように、「ユーザー・イベント参照の追加」ダイアログ・ボックスが開き、現在利用可能なイベント・タスクのリストが表示されます。タスクを選択し、「ワークフローにイベントを追加します」をクリックすると、「ユーザー・イベント」メニューに新しいメニュー項目が作成され、そのワークフローのページが開きます。
「ユーザー・イベント参照の追加」ダイアログ・ボックスには、新しい参照イベントの作成や既存の参照イベントの削除のための次のようなオプションもあります。
組織イベント: 組織のイベントに基づいて実行するタスクのリストが提供されます。そのタスクには次のデフォルト名があります。
組織タイプの変更
組織名の変更
組織の移動
「組織イベント」メニュー項目の横にある+アイコンをクリックすると、ワークフローに組織イベントを挿入できます。+アイコンをクリックすると、図11-16に示すように、「組織イベント参照の追加」ダイアログ・ボックスが開き、現在利用可能なイベント・タスクのリストが表示されます。タスクを選択し、「ワークフローにイベントを追加します」をクリックすると、「組織イベント」メニューに新しいメニュー項目が作成され、そのワークフローのページが開きます。
「組織イベント参照の追加」ダイアログ・ボックスには、新しい参照イベントの作成や既存の参照イベントの削除のための次のようなオプションもあります。
リソース・イベント: ワークフローに挿入されていて、リソースに対するイベントが発生したときに実行されるタスクのリストが提供されます。これらのイベントは、リソースに対する無効化または有効化イベントとして定義されます。「リソース・イベント」メニュー項目には、「リソースの有効化」および「リソースの無効化」というサブメニュー項目があります。「リソース・イベント」メニュー項目の横にある+アイコンをクリックすると、ワークフローにリソース・イベントを挿入できます。+アイコンをクリックすると、図11-20に示すように、「リソースの有効化」および「リソースの無効化」という2つのオプションを含む「リソース・イベント参照の追加」ダイアログ・ボックスが開きます。オプションを選択し、「ワークフローにイベントを追加します」をクリックすると、「リソース・イベント」メニューに新しいメニュー項目が作成され、そのワークフローのページが開きます。
フォーム・イベント: 挿入され、フォーム・フィールドまたは子表のイベントに基づいて実行するタスクのリストが提供されます。親プロセス・フォーム・フィールドのイベントの場合、タスクの名前には次の表記規則があります。
Field field_name Updated
子表に対するイベントの名前は、子表の名前とイベントのタイプ(挿入、更新、削除など)に基づきます。メニュー項目の横にある+アイコンをクリックすると、ワークフローにフォーム・イベントを挿入できます。+アイコンをクリックすると、図11-21に示すように、いくつかのフィールドを含む「フォーム・イベント参照の追加」ダイアログ・ボックスが開きます。
「フォーム・イベント参照の追加」ダイアログ・ボックスでは、「フォーム・タイプ」フィールドで親フォームまたは子フォームを選択できます。「親フォーム」を選択すると、「子フォーム」セクションのフィールドは無効化されます。同様に、「子フォーム」を選択すると、「親フォーム」セクションのフィールドは無効化されます。「親フォーム」セクションで使用できるのは、「更新」操作のみです。「子フォーム」セクションでは、「挿入」、「更新」および「削除」操作を使用できます。これらの操作はイベントのトリガーとなります。各セクションには、親フォームのフォーム・フィールドに対応するフィールド、または子フォームの場合はフォーム名が含まれています。作成後に変更できるのは、子表のイベント・タスクのタスク名のみです。
注意: 親フォームのフィールド・イベント名は固定されており、タスク名フィールドは編集できません。名前は本来固定形式ですが、 |
アテステーション: このメニュー項目はアテステーション・イベント用です。アテステーション・イベントには、ユーザー・アテステーションおよびリソース・アテステーションの2つのタイプがあります。既存のワークフローは他のサブワークフローと同様に変更できますが、新しいイベントをアテステーションに追加することはできません。
ワークフローは複数のタスクで構成できます。ここでは、タスクに関連する次のトピックについて説明します。
デザイナ・ページを右クリックすると、タスクおよびレスポンスを作成する一般オプションのあるメニューが表示されます。一般メニュー・オプションには次のものがあります。
新規タスクの作成: デフォルトの名前で新しいタスクを作成します。このタスクは、さらに変更および構成できます。タスクはアイコンで表されます。
既存タスクの挿入: 現行サブワークフローに存在するタスク、およびプロビジョニング・ワークフローのメイン・ユーザー、組織、リソース、フォーム・イベントのタスクを除き、サブワークフロー間のすべて既存タスクのリストのある「既存タスク」ダイアログ・ボックスが表示されます。タスクを選択して現行ワークフローに挿入できます。
レスポンスの作成: デフォルトのレスポンス・コードで新しいレスポンスを作成します。このレスポンスは、さらに変更および構成できます。レスポンスはアイコンで表されます。
タスク・アイコン、レスポンス・アイコン、およびタスクとレスポンス間のリンクを右クリックすると、様々なオプションを使用できます。
タスク・アイコンを右クリックすると、タスク関連の次のオプションのあるメニューが表示されます。
レスポンスへのリンク: このオプションは、レスポンスへのタスクのリンクに使用します。このオプションを使用するには、最初にレスポンスを作成します。このメニュー項目を選択すると、タスク・アイコンを起点とするリンクが表示されます。このリンクはマウス・ポインタで拡張します。レスポンスをクリックすると、リンクの矢印部分がレスポンス上に配置され、タスクのレスポンスが作成されます。
取消しタスクへのリンク: このオプションは、取消しリレーションシップによって2つのタスクをリンクするために使用します。現在選択しているタスクの取消しタスクとしてタスクを追加する場合に使用します。これを行うには、次の手順を実行します。
取消しタスクを追加するタスクを選択します。
タスク・アイコンを右クリックし、「取消しタスクへのリンク」メニュー項目を選択します。
対象のタスク・アイコンを選択して、取消しタスクとして追加します。
注意: 「いいえ」の値を指定して「表示オプション」ツールバーの「取消しタスクの表示」オプションを選択すると、取消しリレーションシップの作成後、取消しタスクは非表示になります。取消しタスクを表示するには、「取消しタスクの表示」オプションに「はい」を選択します。 |
リカバリ・タスクへのリンク: リカバリ・リレーションシップによって2つのタスクをリンクするために使用します。現在選択しているタスクのリカバリ・タスクとしてタスクを追加する場合に使用します。これを行うには、次の手順を実行します。
リカバリ・タスクを追加するタスクを選択します。
タスク・アイコンを右クリックし、「リカバリ・タスクへのリンク」メニュー項目を選択します。
対象のタスクを選択して、リカバリ・タスクとして追加します。
注意: 「いいえ」の値を指定して「表示オプション」ツールバー・ボタンの「リカバリ・タスクの表示」オプションを選択すると、取消しリレーションシップの作成後、リカバリ・タスクは非表示になります。リカバリ・タスクを表示するには、「リカバリ・タスクの表示」オプションに「はい」を選択します。 |
タスクおよびサブフローの削除: タスクとその下位要素をすべて削除するために使用します。そのタスクからのすべてのリンクとその下位にある子要素すべてが含まれます。同じタスクが複数のサブワークフローに存在するときに、サブワークフローフローの1つからタスクを削除すると、このタスクと同じ親タスク(レスポンス生成済タスクに現在削除したタスクが含まれているタスク)が使用されているすべてのサブワークフローからタスクが削除されます。
タスクまたは子を削除しても、システムからタスクは削除されず、ワークフローからのみ削除されます。システムからの永続的なタスクの削除は、「タスク・ライブラリ」から実行できます。デザイナ・ページからタスクを削除した場合でも、タスク定義は保持され、ワークフローからのみ削除されます。
レスポンス・アイコンを右クリックすると、レスポンス関連の次のオプションのあるメニューが表示されます。
レスポンス生成済タスクの追加: 選択したレスポンスにレスポンス生成済タスクとしてタスクを追加する場合に使用します。これを行うには、次の手順を実行します。
レスポンス生成済タスクを作成します。
レスポンスを右クリックし、「レスポンス生成済タスクの追加」を選択します。リンクが作成されます。
タスクを選択します。タスク上のリンク場所とリレーションシップが作成されます。
削除: レスポンスの削除に使用します。このオプションを選択すると、確認ページが表示されます。削除を確認すると、レスポンスとその子がすべて削除されます。生成済タスクを含むレスポンスを削除する場合、これらのタスクは削除されますが、永続的には削除されません。タスクを削除しても、ワークフローからは削除されますが、永続的には削除されません。「タスク・ライブラリ」を使用すると、永続的にタスクを削除できます。
一部の要素間のリレーションシップは、リンクを右クリックして「削除」オプションをクリックすると削除できます。このオプションを使用できないリンクもあります。たとえば、リコンシリエーション・ワークフローでは、開始マーカーに接続されたデフォルト・タスクは削除できません。したがって、開始マーカーとデフォルト・タスク間のリレーションシップは削除できません。リレーションシップを削除できるリンクは、リレーションシップにマウスを移動すると折れた矢で強調表示されます。矢が強調表示されているときに、その矢を右クリックすると、「削除」オプションが表示されます。これによって、レスポンスとタスク間のリンクの削除、タスクへの別のレスポンスの割当て、なたはレスポンスへの別のタスクの割当てを実行する際、リンクを削除し、新たなリンクを作成する必要がなくなります。
ワークフロー・デザイナで「タスクの詳細」ダイアログ・ボックスを使用してタスクを構成できます。図11-22に、このダイアログ・ボックスを示します。「タスクの詳細」ダイアログ・ボックスを開くには、デザイナ・ページのアイコンをダブルクリックします。
ここでは、「タスクの詳細」ダイアログ・ボックスの次のタブについて説明します。
「一般」タブ
図11-23に、「タスクの詳細」ダイアログ・ボックスの「一般」タブを示します。
このタブでは、タスクの一般情報を指定します。
タスク名: プロセス・タスクの名前です。このフィールドは、タスク名を変更できない場合を除いて編集可能です。たとえば、「フォーム・イベント」ページの親フィールド更新のイベント・タスクなどです。
タスクの説明: プロセス・タスクの説明です。
構成の再試行: このセクションはプロビジョニング・ワークフローの場合にのみ表示され、次のオプションで構成されます。
再試行間隔: プロセス・タスクが「却下」
ステータスである場合、これはOracle Identity Managerが「保留」
ステータスでそのタスクの新規インスタンスを挿入するまでの分単位の時間間隔です。
再試行の制限: Oracle Identity Managerが却下されたタスクを再試行する回数です。
プロパティ: 次のオプションがあります。
複数のインスタンスを許可: 現行プロセスに複数のプロセス・タスクを挿入できるかどうかを決定します。このチェック・ボックスを選択すると、プロセス・タスクの複数のインスタンスをプロセスに追加できます。この選択を解除した場合は、現行プロセスにプロセス・タスクを1つのみ追加できます。
ワークフロー完了に必須: プロセスを完了するため、現行プロセス・タスクを完了する必要があるかどうかを決定します。このチェック・ボックスを選択すると、プロセス・タスクが「完了」
ステータスではない場合、プロセスを完了できません。選択を解除した場合、プロセス・タスクのステータスはプロセスの完了ステータスに関与しません。
リカバリの完了: リカバリ・タスクの完了時にタスクのステータスが「完了」
に設定されている必要があるかどうかを決定します。
保留中の取消しを許可: プロセス・タスクのステータスが「保留」
のときにプロセス・タスクを取り消せるかどうかを決定します。このチェック・ボックスを選択すると、プロセス・タスクが「保留」
ステータスの場合にプロセス・タスクを取り消せます。選択を解除すると、プロセス・タスクが「保留」
ステータスの場合はプロセス・タスクを取り消せません。
手動挿入不可: ユーザーが手動で現行タスクをワークフローに追加できるかどうかを決定します。このチェック・ボックスが選択されている場合、タスクを手動でワークフローに追加できません。選択を解除すると、ユーザーはタスクをプロセスに追加できます。
「自動化」タブ
図11-24に、「タスクの詳細」ダイアログ・ボックスの「自動化」タブを示します。
「自動化」タブによって、イベント・ハンドラまたはプロセス・タスクの自動化に役立つタスクのあるアダプタをアタッチします。
このタブのオプションは2つに分けられます。「タスク自動化」セクションでは、現在アタッチされているアダプタがそのステータスとともに表示されます。「アダプタ・マッピング」セクションでは、アダプタ変数マッピングが表示されます。タブにはボタンがあり、アダプタまたはイベント・ハンドラの追加、アダプタの削除、およびアダプタがアタッチされる際の変数マッピングの編集を実行できます。
「アダプタの追加」をクリックすると、ダイアログ・ボックスが表示されます。このダイアログ・ボックスは、ハンドラ・タイプのセクションで構成され、各システム・イベント・ハンドラおよびアダプタ用のオプションがあります。各オプションを選択すると、「ハンドラ・タイプ」セクションの下に対応する説明が表示されます。リストの項目を選択して、「追加」をクリックします。
「アダプタ・マッピング」セクションには、アダプタに関連付けられている変数とマッピングが示されます。変数名とその変数がマップされているかどうかが表示されます。変数を選択すると、「変数マッピングの編集」ボタンが有効化されます。このボタンをクリックすると、「アダプタ・マッピング」ダイアログ・ボックスが開き、この変数をマップできる各種オプションがすべて表示されます。このダイアログ・ボックスには、次のオプションがあります。
変数名: このテキスト・ラベルには、UUIDなどのマッピングを設定するアダプタ変数の名前が表示されます。
データ型: このテキスト・ラベルには、アダプタ変数のデータ型が表示されます。たとえば、文字列はUUID変数のデータ型です。
マップ先: このリストには、「ITリソース」などアダプタ変数に設定できるマッピング・タイプが表示されます。
場所や連絡先にアダプタ変数をマップすると、Oracle Identity Managerでは、アダプタ変数のマッピング先の場所や連絡先の特定タイプの値のあるリストが有効になります。また、カスタム・プロセス・フォームにアダプタ変数をマップし、このフォームに子表がある場合、Oracle Identity Managerでは隣接するリストが有効化されます。このリストから、アダプタ変数のマッピング先となる子表を選択します。カスタム・プロセス・フォームの場所、連絡先または子表にアダプタ変数をマップしない場合、このリストは無効になります。
修飾子: このリストには、IT Assetなどの「マップ先」リストで選択したマッピングの修飾子が含まれます。
古い値: 最初に「修飾子」チェック・ボックスで選択した値にアダプタ変数をマップするかどうかを指定します。プロセス・タスクに関連付けられたプロセス・タスク・アダプタは、プロセス・フォームのフィールドの一部が変更されると、条件付きでトリガーされる場合があります。「古い値」オプションを選択しており、プロセス・タスクがConditional
とマークされている場合、アダプタに渡される値はフィールドの以前の値、あるいはマッピングが選択されている変数です。これはパスワードを受け入れるフィールドに使用できます。たとえば、パスワードの同一の値への設定を不可にする場合、古い値を比較に使用できます。カスタム・プロセス・フォームの子表に属するフィールドにアダプタ変数をマップしない場合、このチェック・ボックスは無効になります。
注意: 「修飾子」と「マップ先」リストでの選択に応じて、「アダプタ・マッピング」ダイアログ・ボックスに表示されるフィールドが異なる場合があります。 |
「通知」タブ
図11-25に、「タスクの詳細」ダイアログ・ボックスの「通知」タブを示します。
このタブでは、現行プロセス・タスクが特定のステータスに達したときに生成される電子メール通知を指定します。タスクが達する各ステータスについて、個別に電子メール通知を生成できます。電子メール通知が有効でなくなった場合は、「通知」タブから削除できます。
注意: Oracle Identity Managerでユーザーに電子メール通知を送信する場合、最初に「電子メール定義」フォームを使用して、電子メール・メッセージのテンプレートを作成する必要があります。 |
ダイアログ・ボックスには、「通知の追加」、「通知の削除」および「通知の編集」の3つのボタンがあります。これらのボタンを使用して通知の追加、削除および編集を実行し、通知タブを構成できます。
「タスクの割当て」タブ
図11-26に、「タスクの詳細」ダイアログ・ボックスの「タスクの割当て」タブを示します。
このタブでは、現在のタスク用のタスク割当てルールを追加できます。ルール、割当てタイプ、タスクの割当て先、アダプタ、電子メール・テンプレートおよびエスカレーション時間を追加するためのオプションがあります。追加したルールは、優先度順にツリーに表示されます。ルールを右クリックしたときに表示されるショートカット・メニューには、ルールの優先度を変更したり、ルールを編集または削除するためのオプションが用意されています。
「タスク割当てルールの追加」をクリックすると、割当てに必要な各種入力フィールドのある「タスク割当てルール」ダイアログ・ボックスが表示されます(図11-27)。
「タスク割当てルール」ダイアログ・ボックスには、次のオプションがあります。
ルール名: ルールのリストのある参照フィールド。
割当てタイプ: 割当てタイプの次のオプションのある参照フィールド。
最小ロードのオブジェクト管理ユーザー
最小ロードのグループ・ユーザー
リクエスト・ターゲット・ユーザーのマネージャ
オブジェクト管理者
ユーザー
最小ロードのオブジェクト認可ユーザー
リクエスタのマネージャ
グループ
割当て先: 参照フィールド。このフィールドの値は、「割当てタイプ」フィールドの選択に応じて異なります。したがって、「割当てタイプ」フィールドで選択した値が最初に検証されます。
アダプタ: 使用可能なタスク割当てアダプタのリストを示す参照フィールド。
電子メール・テンプレート: 選択元となる電子メール・テンプレートのリストのあるダイアログ・ボックスを開く参照フィールド。
電子メールの送信: チェック・ボックス。選択した場合、現行プロセス・タスクの割当て後にOracle Identity Managerからユーザーまたはロールに電子メール通知が送信されます。
エスカレーション時間(ms): ユーザーまたはロールがプロセス・タスクを完了する必要がある制限時間(ミリ秒)を指定するためのテキスト・フィールド。ユーザーまたはロールは、Oracle Identity Managerによってトリガーされるルールに関連付けられます。このプロセス・タスクが所定時間内に完了しない場合、Oracle Identity Managerによってタスクが別のユーザーまたはロールに再割当てされます。エスカレーション・ルールは、割当てタイプ・パラメータで定義された順序に従います。
割当てルールが作成されると、「タスクの詳細」ダイアログ・ボックスの「タスクの割当て」タブにツリー構造で表示されます。
「依存先」タブ
図11-28に、「タスクの詳細」ダイアログ・ボックスの「依存先」タブを示します。
このタブでは、現行のタスクの依存先タスクを追加します。これはタスク間の依存性の設定に使用できます。このダイアログ・ボックスは、このリストからのタスクを追加および削除するボタンで構成されています。このリストのタスクは、現行タスクより先に実行する必要があります。
「先行タスクの追加」をクリックすると、「先行タスクの割当て」ダイアログ・ボックスが表示されます。このダイアログ・ボックスでは、タスクとその使用先である対応ワークフローが一覧表示されます。リストからタスクを選択して、「OK」をクリックします。
リストからタスクを選択して「先行タスクの削除」をクリックすると、リストからタスクが削除されます。
「リソース・ステータス管理」タブ
図11-29に、「タスクの詳細」ダイアログ・ボックスの「リソース・ステータス管理」タブを示します。
このタブでは、プロセス・タスクのステータスと、その割当て先リソース・オブジェクトのプロビジョニング・ステータスの間のリンクを確立します。
リソース・オブジェクトには、ユーザーやアプリケーションへのリソースのプロビジョニングに使用するデータが含まれます。また、リソース・オブジェクトには事前定義されたプロビジョニング・ステータスがあります。プロビジョニング・ステータスは、プロビジョニングの開始後、リソース・オブジェクトのライフサイクル全体で変化します。プロビジョニング・ステータスは、リソース・オブジェクトがターゲットのユーザーや組織にプロビジョニングされる際、そのライフサイクルを通じて様々なステータスを示します。リソース・オブジェクトのプロビジョニング・ステータスは、関連するプロビジョニング・プロセスで構成されるタスクと同様、これらのステータスによって決定されます。このため、プロセス・タスクのステータスと、その割当て先リソース・オブジェクトのプロビジョニング・ステータスの間のリンクを指定する必要があります。
このタブには、タスク・ステータスとリソース・ステータスを表示する2つの列があります。マッピングが実行されなかった場合は、リソース・ステータス列のリストには、すべてのタスク・ステータスについて、値が「なし」
と表示されます。「ステータス・マッピングの割当て」をクリックすると、「オブジェクト・ステータス」ダイアログ・ボックスが表示されます。このダイアログ・ボックスには、選択元であり、タスク・ステータスのマッピング先であるリソース・ステータスのリストがあります。
「タスクの詳細」ダイアログ・ボックスのすべてのタブで変更を行った後、「適用」をクリックしてすべての変更をタスクに適用します。または、「取消」をクリックして操作を取り消します。
レスポンス・アイコンをダブルクリックすると、レスポンス構成オプションのある「レスポンスの詳細」ダイアログ・ボックスが表示されます。図11-30に、「レスポンスの詳細」ダイアログ・ボックスを示します。
「レスポンスの詳細」ダイアログ・ボックスには、次のフィールドがあります。
レスポンス・コード: レスポンス・コードの指定に使用します。このレスポンスのコードは、タスクのレスポンスを一意に識別します。
レスポンス・ステータス: この参照フィールドは、「取消」
、「完了」
、「却下」
などのレスポンス・ステータスの選択に使用します。
レスポンスの説明: レスポンスの説明に使用します。
レスポンス構成情報を指定した後、「レスポンスの更新」をクリックしてレスポンスの入力を適用します。デザイナ・ページでは、レスポンス・コードはレスポンス・アイコンに表示されます。
データ・フローは、ユーザーが情報を入力せずにワークフロー・フォーム・フィールドにデータを転送する際に使用されます。これはプロビジョニングとリコンシリエーションの両方に使用されます。プロビジョニングの場合は、フォーム・データ・フローが使用されます。リコンシリエーションの場合は、リコンシリエーション・データ・フローが使用されます。
リコンシリエーション・データ・フローにおけるフローは、リソース・フィールドとワークフロー・フィールドの間ではなく、リコンシリエーション・フィールドからワークフロー・フィールドへと流れます。信頼できるリソースの場合、ワークフロー・フォーム・フィールドのかわりにユーザー属性が表示されます。
「リコンシリエーション・データ・フローの構成」ページを使用して、ターゲット・リソースまたは信頼できるソースのデータ要素とOracle Identity Manager内のリンク対象フィールド間のリレーションシップを定義します。
関連リソースの「リコンシリエーション・フィールド」セクションで定義したフィールドのみ、マッピングに使用可能です。このマッピングを使用して、ターゲット・システムからのリコンシリエーション・イベントによって提供された情報をOracle Identity Managerのどのフィールドに移入するかを決定します。また、ターゲット・リソースでは、キー・フィールドはこのタブ上に示されます。キー・フィールドとは、「リコンシリエーション・マネージャ」フォームの「プロセス一致ツリー」タブで生成される一致に対して、プロセス・フォームとリコンシリエーション・イベントの値が同一である必要があるフィールドです。
注意: 関連リソースの「リコンシリエーション・フィールド」タブで作成されたリコンシリエーション・フィールドのタイプは、「複数値」、「文字列」、「数値」、「日付」、「ITリソース」のいずれかになります。 |
リコンシリエーション・データ・フローの構成は、「リコンシリエーション・データ・フローの構成」ページで行います。リコンシリエーション・データ・フローのルールは次のとおりです。
ワークフロー・フォーム・フィールドまたは子表をリコンシリエーション・フィールドにマップする場合、最初のものを削除しないかぎり、別のフィールドにはマップできません。
各リコンシリエーション・フィールドのマッピングは1度のみ可能です。
図11-31に、「リコンシリエーション・データ・フローの構成」ページを示します。
リコンシリエーション・データ・フローの追加プロパティは、キー・リコンシリエーション・フィールドと呼ばれます。データ・フロー用にマップされた各ワークフロー・フィールドは、リコンシリエーションのキー・フィールドとして設定できます。つまり、このフィールドに対応するリコンシリエーション・ルールを満たす必要があります。これは、確立したデータ・フローの隣に無効のキー・アイコンの形式で表示されます。デフォルト設定では、各フィールドはキー・フィールドではありません。フィールドをキー・フィールドに設定するには、キー・アイコンをクリックします。キー・アイコンを再度クリックすると、キー・フィールドの設定が解除されます。
キー・アイコンをクリックするとフィールドがキー・フィールドに設定され、アイコンが有効なキー・アイコンに変化します。アイコンを再度クリックすると、フィールドのキー・フィールド設定が解除されます。
関連項目:
|
ITリソースを作成するには、次の手順を実行します。
拡張管理の「ようこそ」ページの「構成」で、「ITリソースの作成」をクリックします。
または、「構成」タブをクリックし、「リソース管理」をクリックして、「ITリソースの作成」を選択します。
「ステップ1: ITリソース情報の入力」ページで、次の情報を入力します。
ITリソース名: ITリソースの名前を入力します。
ITリソース・タイプ: ITリソースのITリソース・タイプを選択します。
Remote ManagerタイプのITリソースを作成する場合は、「ITリソース・タイプ」リストから「Remote Manager」を選択します。
Remote Manager: 特定のRemote ManagerにITリソースを関連付けるには、このリストからRemote Managerを選択します。Remote ManagerにITリソースを関連付けない場合は、このフィールドを空欄のままにします。
注意: 「ITリソース・タイプ」リストから「Remote Manager」を選択した場合は、「Remote Manager」リストからRemote Managerは選択できません。 |
「続行」をクリックします。
「ステップ2: ITリソース・パラメータ値の指定」ページで、ITリソースのパラメータ値を指定して、「続行」をクリックします。
ITリソースにロールを割り当て、そのロールのアクセス権限を設定する場合は、「ステップ3: ITリソースへのアクセス権限の設定」ページで次を実行します。
a.「ロールの割当て」をクリックします。
b.ITリソースに割り当てるロールの場合は、「割当て」および設定するアクセス権限を選択します。たとえば、ALL USERS
ロールを割り当て、このロールに「読取り」および「書込み」権限を設定するには、このロールについて「割当て」チェック・ボックスを選択するのみでなく、行の各チェック・ボックスを選択する必要があります。
c.「割当て」をクリックします。
ITリソースに割り当てられているロールのアクセス権限を変更する場合は、「ステップ3: ITリソースへのアクセス権限の設定」ページで次を実行します。
注意:
|
a.「権限の更新」をクリックします。
b.このページに表示されるロールに対して特定のアクセス権限を設定するか削除するかに応じて、対応するチェック・ボックスを選択または選択解除します。
c.「更新」をクリックします。
ITリソースからロールの割当てを解除する場合は、「ステップ3: ITリソースへのアクセス権限の設定」ページで次を実行します。
注意:
|
a.割当てを解除するロールの「割当て解除」チェック・ボックスを選択します。
b.「割当て解除」をクリックします。
「続行」をクリックします。
「ステップ4: ITリソースの詳細の確認」ページで、1ページ目、2ページ目、3ページ目で指定した情報を確認します。ページに入力したデータを変更する場合は、「戻る」をクリックしてそのページを戻り、必要な変更を行います。
「続行」をクリックして、ITリソースの作成を続行します。
「ステップ5: ITリソースの接続結果」ページに、ITリソース情報を使用して実行された接続テストの結果が表示されます。テストが成功した場合は、「作成」をクリックします。テストが失敗した場合は、次のステップのいずれかを実行できます。
「戻る」をクリックして前のページに戻り、ITリソースの作成情報を修正します。
「取消」をクリックして手順を中止し、ステップ1から始めます。
「続行」をクリックして、作成プロセスを進めます。後で問題を修正し、診断ダッシュボードを使用して接続テストに戻ることができます。
注意: エラーが発生しなかった場合、ボタンのラベルは「続行」ではなく「作成」となります。 詳細は、16-11ページの「基本接続性のテスト」を参照してください。 |
「終了」をクリックします。
ITリソースを検索するには、次の手順を実行します。
拡張管理の「ようこそ」ページの「構成」で、「ITリソースの管理」をクリックします。
または、「構成」タブをクリックし、「リソース管理」をクリックして、「ITリソースの管理」を選択します。
「ITリソースの管理」ページで、次のいずれかの検索オプションを使用して、表示するITリソースを検索できます。
ITリソース名: ITリソースの名前を入力して、「検索」をクリックします。
ITリソース・タイプ: ITリソースのITリソース・タイプを選択して、「検索」をクリックします。
「検索」をクリックします。
「ITリソースの管理」ページで、検索基準を満たしているITリソースのリストが表示されます。
この時点から、ITリソースに関する次のいずれかの手順を実行できます。
ITリソースを表示するには、次の手順を実行します。
検索結果に表示されているITリソースのリストから、ITリソース名をクリックします。
注意: ITリソースを編集する場合は、同じ行の編集アイコンをクリックします。 |
ITリソース・パラメータおよびその値を表示する場合は、ページの上部にあるリストから「詳細およびパラメータ」を選択します。同様に、ITリソースに割り当てられた管理ロールを表示する場合は、リストから「管理ロール」を選択します。
ITリソースを変更するには、次の手順を実行します。
検索結果に表示されているITリソースのリストから、変更するITリソースの編集アイコンをクリックします。
ITリソースのパラメータ値を変更する場合は、次の手順を実行します。
ページ上部にあるリストから「詳細およびパラメータ」を選択します。
パラメータ値で必要な変更を加えます。
変更内容を保存するには、「更新」をクリックします。
ITリソースに割り当てられた管理ロールを変更する場合は、最初にページ上部のリストから「管理ロール」を選択して、必要な変更を加えます。
管理ロールの割当てを解除するには、ロール名が表示されている行の「割当て解除」チェック・ボックスを選択して、「割当て解除」をクリックします。
注意:
|
ITリソースに新規の管理ロールを割り当てる場合は、次の手順を実行します。
a.「ロールの割当て」をクリックします。
b.ITリソースに割り当てる管理ロールの場合は、アクセス権限チェック・ボックスと「割当て」チェック・ボックスを選択します。
c.「割当て」をクリックします。
現在ITリソースに割り当てられている管理ロールのアクセス権限を変更するには、次の手順を実行します。
a.「権限の更新」をクリックします。
b.実行する変更内容に応じて、表のチェック・ボックスを選択または選択を解除します。
注意:
|
c.変更を保存するには、「更新」をクリックします。
この章では、Design Consoleでのリソース管理について説明します。この章には次の項目があります。
「リソース管理」フォルダには、Oracle Identity Managerリソースを管理するためのツールが用意されています。このフォルダには、次のフォームが含まれます。
ITリソース・タイプ定義: このフォームは、「ITリソース」フォームに参照値として表示されるリソース・タイプを作成するために使用します。
ルール・デザイナ: このフォームは、ルールを作成するために使用します。ここで作成するルールは、パスワード・ポリシーの選択、自動ロール・メンバーシップ、プロビジョニング・プロセスの選択、タスクの割当ておよびアダプタの事前移入に適用できます。
リソース・オブジェクト: このフォームは、リソース・オブジェクトを作成および管理するために使用します。これらのオブジェクトは、ユーザーや組織に対してどのリソースを利用可能にするかを表します。
「ITリソース・タイプ定義」フォームは「リソース管理」フォルダにあります。「ITリソース・タイプ定義」フォームを使用すると、AD、Microsoft Exchange、SolarisなどのITリソース・タイプを分類できます。Oracle Identity Managerでは、ユーザーや組織にプロビジョニングされるリソース・オブジェクトにリソース・タイプが関連付けられます。
このフォームでITリソース・タイプを定義すると、ITリソースを定義するときにそのリソース・タイプを選択できるようになります。タイプは、拡張管理の「ITリソースの作成」および「ITリソースの管理」ページに表示されます。
ITリソース・タイプとは、それらを参照するITリソース定義用のテンプレートのことです。ITリソース定義でITリソース・タイプを参照すると、そのリソースはITリソース・タイプのすべてのパラメータと値を継承します。ITリソース・タイプは、Solarisなどの全般的なIT分類です。リソースは、Solaris for Statewide Investmentsなどのタイプのインスタンスです。すべてのITリソース定義にITリソース・タイプを関連付ける必要があります。
図11-32に、「ITリソース・タイプ定義」フォームを示します。
表11-8に、「ITリソース・タイプ定義」フォームのフィールドを示します。
表11-8 「ITリソース・タイプ定義」フォームのフィールド
フィールド名 | 説明 |
---|---|
サーバー・タイプ |
ITリソース・タイプの名前。 |
複数挿入 |
このITリソース・タイプを複数のITリソースで参照できるようにするかどうかを指定します。 |
注意: ITリソースが外部リソースにアクセスする必要があるのに、ネットワークを使用してアクセスできない場合は、Remote Managerへの関連付けが必要です。詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのRemote Managerのインストールおよび構成に関する説明を参照してください。 |
ITリソース・タイプを定義するには、次の手順を実行します。
サーバー・タイプ・フィールドに、SolarisなどのITリソース・タイプの名前を入力します。
ITリソース・タイプを複数のITリソースに対して有効にするには、「複数挿入」を選択します。
「保存」をクリックします。
ITリソース・タイプが定義されます。これは、拡張管理の「ITリソースの作成」ページでITリソースを定義するときに選択できます。
新しいITリソース・タイプに関する基本情報を保存した後、問合せでITリソース・タイプが返されると、「ITリソース・タイプ定義」フォームの下部リージョンのタブにあるフィールドが有効化されます。
「ITリソース・タイプ定義」フォームには、次のタブがあります。
ITリソース・タイプ・パラメータ・タブ
「ITリソース」タブ
ITリソース・タイプ・パラメータ・タブでは、図11-32に示すように、ITリソース・タイプのすべての接続パラメータのデフォルト値と暗号化設定を指定します。パスワードや暗号化されたフィールドにはデフォルト値を指定しないことをお薦めします。このタブのパラメータと値は、このITリソース・タイプを参照するすべてのITリソースによって継承されます。
新しいパラメータを定義すると、そのパラメータと値および暗号化設定が現在のITリソース・タイプに追加され、さらにこのITリソース・タイプを参照する新規または既存のITリソース定義にも追加されます。該当するリソース定義については、拡張管理の「ITリソースの作成」および「ITリソースの管理」ページの「詳細およびパラメータ」セクションに新しいパラメータが表示されます。
注意: ITリソースごとにこれらのパラメータの値と暗号化設定をカスタマイズできます。 |
ITリソース・タイプへのパラメータの追加
ITリソース・タイプにパラメータを追加するには、次の手順を実行します。
「追加」をクリックします。
ITリソース・タイプ・パラメータ・タブに新しい行が表示されます。
「フィールド名」フィールドに、パラメータの名前を入力します。
デフォルトのフィールド値フィールドに、デフォルト値を入力します。
この値は、このITリソース・タイプを参照するすべてのITリソースによって継承されます。
「暗号化」オプションを選択または選択解除します。
このチェック・ボックスによって、このパラメータの値がマスクされるかどうか、つまりフォーム・フィールドでアスタリスク(*)によって表されるかどうかが決まります。
パラメータの値がマスクされるようにする場合は、このチェック・ボックスを選択します。
「保存」をクリックします。
ITリソース・タイプからのパラメータの削除
ITリソース・タイプからパラメータを削除するには、次の手順を実行します。
削除するパラメータを選択します。
「削除」をクリックします。
パラメータとそれに関連する値がITリソース・タイプから削除され、さらにこのタイプを参照するITリソース定義からも削除されます。
ルールとは、条件との照合およびそれに基づいたアクションの実行にOracle Identity Managerで使用される基準のことです。ルールは、特定のリソース・オブジェクトまたはプロセスに割り当てることも、すべてのリソース・オブジェクトまたはプロセスに適用することもできます。
次に、ルールの使用例を示します。
アプリケーション・タイプのリソース・オブジェクトに適用するパスワード・ポリシーを決定します。
ユーザーがロールに自動的に追加されるようにします。
リソース・オブジェクトがリクエストに割り当てられた後、そのリソース・オブジェクトに適用するプロビジョニング・プロセスを指定します。
プロセス・タスクをユーザーに割り当てる方法を決定します。
特定のフォーム・フィールドに対して実行される事前移入アダプタを指定します。
関連項目: 事前移入アダプタの詳細は、Oracle Identity Manager Toolsリファレンスを参照してください。 |
図11-33に示す「ルール・デザイナ」フォームは「リソース管理」フォルダにあります。このフォームでは、リソースで使用されるルールを作成および管理します。
ルールには、次の4つのタイプがあります。
一般: Oracle Identity Managerでユーザーがロールに自動的に追加されたり、リソース・オブジェクトに割り当てられるパスワード・ポリシーが決定されるようにします。
プロセス決定: リソース・オブジェクト用のプロビジョニング・プロセスを決定します。
タスクの割当て: プロセス・タスクに割り当てられるユーザーまたはロールを指定します。
事前移入: フォーム・フィールドに対して実行される事前移入アダプタを決定します。
ルールには、次の項目が含まれます。
ルール要素: 属性、演算子および値で構成されます。図11-33では、属性は「ユーザー・ログイン」
、演算子は==、値はXELSYSADM
です。
ネスト・ルール: あるルールを論理的に別のルール内に配置する必要がある場合、内側のルールはネスト・ルールと呼ばれます。図11-33では、「Rule to Prevent Solaris Access」が「Rule for Solaris」内にネストされています。
演算: ルールに複数のルール要素やネスト・ルールが含まれている場合、演算によって構成要素間のリレーションシップが示されます。図11-33では、AND演算を選択した場合、「ユーザー・ログイン==XELSYSADM」
ルール要素と「Rule to Prevent Solaris Access」
ネスト・ルールの両方がtrueでないと、ルールは成功とみなされません。
表11-9に、「ルール・デザイナ」フォームのフィールドを示します。
表11-9 「ルール・デザイナ」フォームのフィールド
フィールド名 | 説明 |
---|---|
名前 |
ルールの名前。 |
AND/OR |
これらのオプションでは、ルールの演算を指定します。 外側のルール要素およびネスト・ルールがすべてtrueの場合にのみ、ルールを成功とみなすには、「AND」を選択します。外側のルール要素またはネスト・ルールのいずれかがtrueの場合に、ルールを成功とみなすには、「OR」を選択します。 重要: これらのオプションは、ネスト・ルールの内側にあるルール要素の演算には反映されません。図11-33では、「AND」演算は |
タイプ |
ルールの分類ステータス。ルールは次の4つのタイプのいずれかに属することができます。
|
サブタイプ |
「プロセス決定」、「タスクの割当て」または「事前移入」タイプのルールは、次の4つのサブタイプのいずれかに分類できます。
「タスクの割当て」または「事前移入」ルール・タイプの場合、承認項目および標準承認項目はサブタイプ・ボックスに表示されません。「一般」ルール・タイプの場合、サブタイプ・ボックスはグレー表示になります。 |
オブジェクト |
このルールが割り当てられるリソース・オブジェクト。 |
すべてのオブジェクト |
選択した場合、ルールはすべてのリソース・オブジェクトに割り当てることができます。 |
プロセス |
このルールが割り当てられるプロセス。 |
すべてのプロセス |
選択した場合、ルールはすべてのプロセスに割り当てることができます。 |
説明 |
ルールに関する説明。 |
ルールを作成する手順は、次のとおりです。
注意: 次の手順では、ネスト・ルールの内側にあるルール要素にはオプションは適用されません。たとえば、図11-33では、「AND」演算は |
「ルール・デザイナ」フォームを開きます。
「名前」フィールドに、ルールの名前を入力します。
ルール要素またはネスト・ルールがすべてtrueの場合にのみ、ルールを成功とみなすには、「AND」オプションを選択します。
ルール要素またはネスト・ルールのいずれかがtrueの場合に、ルールを成功とみなすには、「OR」オプションを選択します。
「タイプ」ボックスをクリックし、カスタム・メニューでルールに関連付ける分類ステータス(「一般」、「プロセス決定」、「タスクの割当て」または「事前移入」)を選択します。
「プロセス決定」の場合、「サブタイプ」をクリックし、ルールに関連付ける分類ステータス(「組織プロビジョニング」、「ユーザー・プロビジョニング」、「承認」または「標準承認」)を選択します。
「タスクの割当て」または「事前移入」の場合、「サブタイプ」をクリックし、ルールに関連付ける分類ステータス(「組織プロビジョニング」または「ユーザー・プロビジョニング」)を選択します。
「タイプ」ボックスから「一般」を選択した場合、手順7に進みます。
ルールを1つのリソース・オブジェクトに関連付けるには、「オブジェクト」参照フィールドをダブルクリックし、「参照」ダイアログ・ボックスでリソース・オブジェクトを選択します。
ルールをすべてのリソース・オブジェクトに対して有効にする場合は、すべてのオブジェクト・オプションを選択します。
ルールを1つのプロセスに割り当てるには、「プロセス」参照フィールドをダブルクリックし、「参照」ダイアログ・ボックスでルールに関連付けるプロセスを選択します。
ルールをすべてのプロセスに対して有効にする場合は、すべてのプロセス・オプションを選択します。
「説明」フィールドに、ルールに関する説明を入力します。
「保存」をクリックします。
「ルール・デザイナ」フォームには、次のタブがあります。
ルール要素タブ
使用方法タブ
これらのタブについては、次の各項でそれぞれ説明します。
このタブでは、ルールの要素やネスト・ルールを作成および管理できます。たとえば、図11-34の「Rule for Solaris」
には、「ユーザー・ログイン==XELSYSADM」
ルール要素が含まれています。また、「Rule to Prevent Solaris Access」
がネストされています。図11-34に、「ルール・デザイナ」フォームのルール要素タブを示します。
図11-34のルールは、Solarisリソース・オブジェクトのプロビジョニング・プロセスに適用できます。このリソース・オブジェクトがリクエストに割り当てられると、ルールがトリガーされます。ターゲット・ユーザーのログインがXELSYSADM
であり、リソース・オブジェクトの名前がSolaris
である場合、Solarisリソース・オブジェクトがユーザーにプロビジョニングされます。それ以外の場合、ユーザーはSolarisにアクセスできません。
ルール要素またはネスト・ルールが無効になったら、ルールから削除してください。
以降の各手順では、次の方法について説明します。
ルールへのルール要素の追加
ルールへのネスト・ルールの追加
ルールからのルール要素またはネスト・ルールの削除
ルールへのルール要素の追加
ルールにルール要素を追加するには、次の手順を実行します。
「要素の追加」をクリックします。
ルール要素の編集ダイアログ・ボックスが表示されます。
ルール要素の編集ダイアログ・ボックスにある各ボックスのカスタム・メニューには、「ルール・デザイナ」フォームの「タイプ」およびサブタイプ・ボックスの項目が反映されます。
表11-10に、ルール要素の編集ダイアログ・ボックスのデータ・フィールドを示します。
表11-10 ルール要素の編集ダイアログ・ボックスのフィールド
名前 | 説明 |
---|---|
属性ソース |
このボックスでは、属性のソースを選択します。たとえば、属性として「オブジェクト名」を選択する場合は、属性ソースとして「オブジェクト情報」を選択します。 |
ユーザー定義フォーム |
このフィールドには、隣接するボックスに表示される属性ソースに関連付けられているユーザー作成フォームが表示されます。 注意: 属性ソース・ボックスに「プロセス・データ」が表示されない場合、ユーザー定義フォーム・フィールドは空になります。 |
属性 |
このボックスでは、ルールの属性を選択します。 |
操作 |
このボックスでは、属性と属性値のリレーションシップ(==または!=)を選択します。 |
属性値 |
このフィールドには、属性の値を入力します。 注意: 属性の値では大/小文字が区別されます。 |
図11-35に示すように、作成するルールのパラメータを設定します。
この例では、ターゲット・ユーザーのログインIDがXELSYSADMの場合に、ルール要素はtrue
になります。それ以外の場合はfalse
です。
ルール要素の編集ダイアログ・ボックスのツールバーで、「保存」をクリックしてから、「閉じる」をクリックします。
ルール要素が「ルール・デザイナ」フォームのルール要素タブに表示されます。
メイン画面のツールバーで、「保存」をクリックします。
ルール要素がルールに追加されます。
ルールへのネスト・ルールの追加
ルールの中にルールをネストするには、次の手順を実行します。
注意: 次の手順では、親ルールと同じタイプおよびサブタイプのルールのみがルールの選択ウィンドウに表示されます。 |
「ルールの追加」をクリックします。
ルールの選択ダイアログ・ボックスが表示されます。
ネスト・ルールを選択し、「保存」をクリックします。
「閉じる」をクリックします。
ネスト・ルールが「ルール・デザイナ」フォームのルール要素タブに表示されます。
メイン画面のツールバーで、「保存」をクリックします。
ネスト・ルールがルールに追加されます。
ルールからのルール要素またはネスト・ルールの削除
ルール要素またはネスト・ルールを削除するには、次の手順を実行します。
削除対象のルール要素またはネスト・ルールを選択します。
「削除」をクリックします。
ルール要素またはネスト・ルールがルールから削除されます。
このタブは「ルール・デザイナ」フォームに表示されます。使用方法タブの情報には、ルールの分類タイプが反映されます。たとえば、ルール・タイプが事前移入の場合は、このルールが適用されるユーザー作成フィールドがこのタブに表示されます。
図11-36に、使用方法タブを示します。
このタブには、次の項目が表示されます。
ルールに関連付けられているパスワード・ポリシー、リソース・オブジェクト、プロセス、プロセス・タスク、自動ロール・メンバーシップ基準、ロール、Oracle Identity Managerフォーム・フィールドおよび事前移入アダプタ。
ルールの分類タイプを表す1文字のコード(P=プロビジョニング)。
このコードは、プロセス決定ルールの場合にのみ表示されます。
ルールの優先度値。
図11-37に示すルール・デザイナ表には、「ルール・デザイナ」フォームで定義された使用可能なすべてのルールが表示されます。
表11-11に、ルール・デザイナ表に表示される情報を示します。
表11-11 ルール・デザイナ表の情報
フィールド名 | 説明 |
---|---|
ルール名 |
ルールの名前。 |
ルール・タイプ |
ルールは次の4つのタイプのいずれかに属することができます。
|
ルール・サブタイプ |
「プロセス決定」、「タスクの割当て」または「事前移入」タイプのルールは、次の4つのサブタイプのいずれかに分類できます。
|
ルールの演算子 |
属性と属性値のリレーションシップは、==または!=演算子で表されます。 |
説明 |
ルールに関する説明。 |
最終更新 |
ルールが最後に更新された日付。 |
「リソース・オブジェクト」フォームは、「リソース管理」フォルダ内にあります。このフォームでは、組織またはユーザーに対してプロビジョニングするOracle Identity Managerリソースのリソース・オブジェクトを作成および管理します。リソース・オブジェクト定義とは、リソースをプロビジョニングするためのテンプレートのことです。ただし、リソースのプロビジョニングは、リソース・オブジェクトにリンクするプロビジョニング・プロセスの設計によって異なります。
表11-12に、「リソース・オブジェクト」フォームのデータ・フィールドを示します。
表11-12 「リソース・オブジェクト」フォームのフィールド
フィールド名 | 説明 |
---|---|
表名 |
このリソースに関連付けられているリソース・オブジェクト・フォームの名前。(実際には、フォームを表す表の名前です。) |
ユーザー用リクエスト/組織用リクエスト |
ユーザー用または組織用にリソース・オブジェクトをリクエストするかどうかを決定するオプション。 ユーザー用にリソース・オブジェクトをリクエストするには、「ユーザー用リクエスト」を選択します。組織用にリソース・オブジェクトをリクエストするには、「組織用リクエスト」を選択します。 |
タイプ |
リソース・オブジェクトの分類ステータス。リソース・オブジェクトは次の3つのタイプのいずれかに属することができます。
|
複数を許可 |
リソースがユーザーまたは組織に複数回プロビジョニングされるようにするかどうかを指定します。選択した場合、それぞれのユーザーまたは組織にリソース・オブジェクトを複数回プロビジョニングできるようになります。 |
セルフ・リクエストを許可 |
このチェック・ボックスを選択すると、ユーザーおよびシステム管理者は自分自身のためにリソース・オブジェクトをリクエストできるようになります。 注意: セルフ・リクエストが許可されたリソースは、さらにリクエスト・テンプレート・レベルでリクエストできます。 |
すべて許可 |
このチェック・ボックスを選択すると、すべてのOracleユーザー用にリソース・オブジェクトをリクエストできるようになります。この設定は、ユーザーが属する組織がユーザー用のリソース・リクエストを許可しているかどうかよりも優先されます。 |
オブジェクト管理者のみによるプロビジョニング |
このチェック・ボックスでは、どのユーザーにこのリソースのプロビジョニングを許可するかを決定します。 このチェック・ボックスを選択した場合、オブジェクト管理者タブに表示されているロールのメンバーであるユーザーにのみ、このリソース・オブジェクトのプロビジョニングが許可されます(直接プロビジョニングするか、リクエストからプロビジョニング・プロセスを手動で開始できます)。 このチェック・ボックスを選択解除した場合、すべてのユーザーがこのリソースを直接プロビジョニングできます。 |
リコンシリエーション順序 |
このチェック・ボックスを選択した場合、リコンシリエーション・イベントは作成順に処理されます。 次に、この機能の使用例を示します。 ユーザー
2つ目のリコンシリエーション・イベント(E2)のデータは次のとおりです。
1つ目と2つ目のイベント間で、ユーザーの名と姓が変更されています。 信頼できるソースのリコンシリエーション実行時に、イベントが作成順に処理される場合は、名と姓の変更はOracle Identity Managerに正しくリコンサイルされます。ただし、2つ目のイベントが1つ目のイベントの前に処理される場合は、リコンシリエーション実行の終了時にターゲット・システムのデータとOracle Identity Managerのデータが一致しなくなります。この不整合は監査表に反映され、信頼できるソースからの別のイベントがこのユーザーに対して作成されるまで残ります。 リコンシリエーション順序オプションを有効にした場合、同じエンティティ(たとえば、同じユーザーまたは同じプロセス・フォーム)のイベントが作成順に処理されるようにすることができます。 |
信頼できるソース |
信頼できるユーザー・リコンシリエーションにリソース・オブジェクトを使用する場合は、このチェック・ボックスを選択します。 デフォルトでは、このチェック・ボックスは選択されていません。デフォルトでは、Xellerateユーザー・リソース・オブジェクトの場合にのみ選択されています。 |
リソース・オブジェクトを作成するには、次の手順を実行します。
「リソース・オブジェクト」フォームを開きます。
「名前」フィールドに、リソース・オブジェクトの名前を入力します。
ユーザー用にリソース・オブジェクトをリクエストするには、「ユーザー用リクエスト」を選択します。
組織用にリソース・オブジェクトをリクエストするには、「組織用リクエスト」を選択します。
注意: リソース・オブジェクトは、1人のユーザーまたは1つの組織を対象としてリクエストできます。 |
「タイプ」参照フィールドをダブルクリックします。
「参照」ダイアログ・ボックスが表示されたら、リソース・オブジェクトに関連付ける分類ステータス(「アプリケーション」、「一般」または「システム」)を選択します。
ユーザー用または組織用にリソース・オブジェクトの複数のインスタンスをリクエストできるようにする場合は、「複数を許可」オプションを選択します。それ以外の場合は、手順6に進みます。
自分自身のためにリソース・オブジェクトをリクエストできるようにする場合は、「セルフ・リクエストを許可」オプションを選択します。それ以外の場合は、手順7に進みます。
ユーザーが属する組織にリソース・オブジェクトが割り当てられているかどうかに関係なく、すべてのユーザーに対してリソース・オブジェクトをプロビジョニングするには、「すべて許可」チェック・ボックスを選択します。それ以外の場合は、手順8に進みます。
信頼できるソースのユーザー・リコンシリエーションにリソース・オブジェクトを使用する場合は、信頼できるソース・オプションを選択する必要があります。それ以外の場合は、手順9に進みます。
注意: リクエストとリソース・プロファイルのプロビジョニングでリソース・オブジェクトを無効にするには、「セルフ・リクエストを許可」および「すべて許可」チェック・ボックスを選択解除する必要があります。 |
「リソース・オブジェクト」フォームのオブジェクト管理者タブに表示されているロールにのみ、このリソース・オブジェクトのプロビジョニングを許可するには、オブジェクト管理者のみによるプロビジョニング・オプションを選択します。これは、直接プロビジョニングされるか、またはリクエストへの割当てを通じてプロビジョニングされるリソース・オブジェクトに適用されます。それ以外の場合は、手順10に進みます。
「保存」をクリックします。
リソース・オブジェクトが作成されます。
「リソース・オブジェクト」フォームを開始し、リソース・オブジェクトを作成すると、このフォームの各タブが使用可能になります。
「リソース・オブジェクト」フォームには、次のタブがあります。
このタブでは、Oracle Identity Managerで現在のリソース・オブジェクトをプロビジョニングする前にプロビジョニングする必要があるリソース・オブジェクトを選択できます。「依存先」タブに表示されるリソース・オブジェクトを事前にプロビジョニングしなくても、現在のリソース・オブジェクトをプロビジョニングできる場合は、タブからそのリソース・オブジェクトを削除してください。
「依存先」タブには、次のトピックが関係します。
現在のリソース・オブジェクトの依存先リソース・オブジェクトの選択
依存先リソース・オブジェクトの削除
依存先リソース・オブジェクトの選択
依存先リソース・オブジェクトを選択するには、次の手順を実行します。
「割当て」をクリックします。
「割当て」ダイアログ・ボックスが表示されます。
リソース・オブジェクトを選択します。
「OK」をクリックします。
依存先リソース・オブジェクトが選択されます。
依存先リソース・オブジェクトの削除
依存先リソース・オブジェクトを削除するには、次の手順を実行します。
削除対象の依存先リソース・オブジェクトを選択します。
「削除」をクリックします。
リソース・オブジェクトが「依存先」タブから削除されます。
このタブでは、このリソースのオブジェクト認可者となるロールを指定できます。オブジェクト認可者ロールのメンバーであるユーザーをタスクの割当て対象として選択できます。
オブジェクト認可者タブに表示されるロールには、それぞれ優先度値が割り当てられます。優先度値は、ロールに割り当てられたタスクをアクションの欠如を理由としてエスカレートする場合にも参照できます。このタブに表示されるどのロールについても、優先度値を上げたり下げたりすることができます。
たとえば、SYSTEM ADMINISTRATORSロールのメンバーをオブジェクト認可者にするように構成するものとします。また、このリソース・オブジェクトに関連付けられているプロセス・タスクにタスク割当てルールがアタッチされているものとします。このプロセス・タスクを実行する権限を与えられた最初のユーザーには、優先度値1が割り当てられます。ユーザーがユーザー指定の時間以内にプロセス・タスクを完了しなかった場合は、Oracle Identity Managerによって、SYSTEM ADMINISTRATORSロールのユーザーのうち、次に優先度が高いユーザーにタスクが再割当てされます。
リソース・オブジェクトへのロールの割当て
リソース・オブジェクトにロールを割り当てるには、次の手順を実行します。
「割当て」をクリックします。
「割当て」ダイアログ・ボックスが表示されます。
ロールを選択します。
「OK」をクリックします。
ロールが選択されます。
リソース・オブジェクトからのロールの削除
リソース・オブジェクトからロールを削除するには、次の手順を実行します。
目的のロールを選択します。
「削除」をクリックします。
ロールがオブジェクト認可者タブから削除されます。
リソース・オブジェクトとは、ユーザーまたは組織にプロビジョニングされるリソースのテンプレートのことです。このテンプレートは、複数のプロビジョニング・プロセスにリンクできます。Oracle Identity Managerでは、リソースがリクエストされるか、または直接プロビジョニングされたときに、プロセス決定ルールに基づいてプロビジョニング・プロセスが選択されます。
プロセス決定ルールの基準は次のとおりです。
リソースがリクエストされたときに、どのプロビジョニング・プロセスを選択するか
リソースが直接プロビジョニングされたときに、どのプロビジョニング・プロセスを選択するか
プロビジョニング・プロセスごとにプロセス決定ルールがあります。ルールとプロセスの各組合せには、Oracle Identity Managerでの評価順を示す優先度値が割り当てられます。
ルールの条件がfalseの場合、Oracle Identity Managerでは次に優先度が高いルールが評価されます。ルールがtrueの場合、そのルールに関連付けられているプロセスが実行されます。
リソース・オブジェクトへのプロセス決定ルールの追加
リソース・オブジェクトにプロセス決定ルールを追加するには、次の手順を実行します。
作成するルールとプロセスの組合せに応じて、プロビジョニング・プロセス・リージョンで「追加」をクリックします。
行が表示されたら、「ルール」参照フィールドをダブルクリックします。
「参照」ダイアログ・ボックスで、ルールを選択し、それをリソース・オブジェクトに割り当てます(選択できるのは、プロセス決定タイプのルールのみです)。
「OK」をクリックします。
隣の列で、プロセス参照フィールドをダブルクリックします。
「参照」ダイアログ・ボックスで、プロセスを選択し、それをルールに割り当てます。
「OK」をクリックします。
「優先度」フィールドに数値を入力します。
これにより、Oracle Identity Managerでルールとプロセスの組合せが評価される順序が決まります。
「保存」をクリックします。
ルールとプロセスの組合せがリソース・オブジェクトに追加されます。
リソース・オブジェクトからのプロセス決定ルールの削除
リソース・オブジェクトからプロセス決定ルールを削除するには、次の手順を実行します。
ルールとプロセスの組合せを選択します。
「削除」をクリックします。
ルールとプロセスの組合せがリソース・オブジェクトから削除されます。
リソース・オブジェクトのプロビジョニング・プロセスには、自動的に実行する必要があるタスクが含まれています。その場合、イベント・ハンドラまたはアダプタをリソース・オブジェクトに割り当てる必要があります。イベント・ハンドラとは、この特殊な情報を処理するためのソフトウェア・ルーチンのことです。アダプタとは、特殊なタイプのイベント・ハンドラのことで、Oracle Identity Managerと外部リソースとの通信および対話を可能にするJavaコードを生成します。
リソース・オブジェクトに割り当てられているイベント・ハンドラまたはアダプタが無効になったら、リソース・オブジェクトから削除してください。
この例では、adpAUTOMATEPROVISIONINGPROCESSアダプタがSolarisリソース・オブジェクトに割り当てられています。このリソース・オブジェクトがリクエストに割り当てられると、Oracle Identity Managerによってアダプタがトリガーされ、関連付けられているプロビジョニング・プロセスが自動的に実行されます。
リソース・オブジェクトへのイベント・ハンドラまたはアダプタの割当て
リソース・オブジェクトにイベント・ハンドラまたはアダプタを割り当てるには、次の手順を実行します。
「割当て」をクリックします。
「割当て」ダイアログ・ボックスが表示されます。
イベント・ハンドラを選択し、それをリソース・オブジェクトに割り当てます。
「OK」をクリックします。
イベント・ハンドラがリソース・オブジェクトに割り当てられます。
リソース・オブジェクトからのイベント・ハンドラまたはアダプタの削除
リソース・オブジェクトからイベント・ハンドラまたはアダプタを削除するには、次の手順を実行します。
イベント・ハンドラを選択します。
「削除」をクリックします。
イベント・ハンドラがリソース・オブジェクトから削除されます。
Design Consoleの「リソース・オブジェクト」フォームには、「リソース監査目的」という名前のリソース属性が含まれています。このリソース属性は、リソースを規制命令にリンクするのに役立ちます。
「リソース監査目的」リソース属性の値には参照が定義されます。「リソース監査目的」リストには、次の値が事前に定義されています。
SOX (財務的に重要な情報が対象)
HIPAA (個人の医療情報が対象)
GLB (公共のものではない情報が対象)
毎四半期のレビューが必要
毎年のレビューが必要
このリストは、Design Consoleの「参照定義」フォームを使用してLookups.Resource Audit Objective.Type参照を編集すると拡張できます。
このタブでは、リソース・オブジェクトに対してプロビジョニング・ステータスを設定できます。プロビジョニング・ステータスは、リソース・オブジェクトのライフサイクル(ターゲットのユーザーや組織にプロビジョニングされるまで)におけるステータスを示します。
リソース・オブジェクトのすべてのプロビジョニング・ステータスが関連プロビジョニング・プロセスのタスク・ステータスに関連付けられます。Oracle Identity Managerでは、リソース・オブジェクトがリクエストに割り当てられたときに、プロビジョニング・プロセスが選択されます。たとえば、「Provision for Developers」というプロセスが選択され、このプロセスのタスクが「完了」ステータスになった場合、対応するリソース・オブジェクト・ステータスを「プロビジョニング済」に設定できます。この方法で、リソース・オブジェクトとプロビジョニング・プロセスの関連性を迅速かつ簡単に確認できます。
リソース・オブジェクトのステータスとして、次のステータスが事前に定義されています。
待機中: このリソース・オブジェクトは、まだプロビジョニングされていない他のリソース・オブジェクトに依存します。
失効: このリソース・オブジェクトによって表されるリソースは、リソースの使用から恒久的にプロビジョニング解除されているユーザーまたは組織をターゲットとしてプロビジョニングされます。
準備完了: このリソース・オブジェクトは、他のどのリソース・オブジェクトにも依存しません。または、このリソース・オブジェクトが依存するすべてのリソース・オブジェクトがプロビジョニングされます。
リソースがリクエストに割り当てられ、リソース・オブジェクトのステータスが「準備完了」になると、Oracle Identity Managerでプロセス決定ルールが評価され、プロビジョニング・プロセスが決定されます。この際、リソース・オブジェクトのステータスが「プロビジョニング」に変更されます。
プロビジョニング: このリソース・オブジェクトはリクエストに割り当てられ、プロビジョニング・プロセスが選択されています。
プロビジョニング済: このリソース・オブジェクトによって表されるリソースは、ターゲットのユーザーまたは組織にプロビジョニングされています。
情報の指定: このリソース・オブジェクトによって表されるリソースをターゲットのユーザーまたは組織にプロビジョニングするには、追加情報が必要です。
なし: このステータスは、リソース・オブジェクトのプロビジョニング・ステータスを表しません。むしろ、Oracle Identity Managerで選択されたプロビジョニング・プロセスに属するタスクによって、リソース・オブジェクトのステータスが影響を受けないことを示します。
有効: このリソース・オブジェクトによって表されるリソースは、ターゲットのユーザーまたは組織にプロビジョニングされ、これらのユーザーまたは組織はリソースにアクセスできます。
無効: このリソース・オブジェクトによって表されるリソースは、ターゲットのユーザーまたは組織にプロビジョニングされますが、これらのユーザーまたは組織はリソースに一時的にアクセスできなくなっています。
各プロビジョニング・ステータスには、それぞれ対応する依存の開始チェック・ボックスがあります。チェック・ボックスを選択した場合、親リソース・オブジェクトがそのプロビジョニング・ステータスになったときに、Oracle Identity Managerによって依存リソース・オブジェクトのプロビジョニングが続行されます。
たとえば、Exchangeリソース・オブジェクトがActive Directoryに依存しており、「プロビジョニング済」および「有効」プロビジョニング・ステータスの依存の開始チェック・ボックスが選択されているものとします。Active Directoryのプロビジョニング・ステータスが「プロビジョニング済」または「有効」に変わり、Exchangeのプロビジョニングがそれに対応する場合、Oracle Identity ManagerによってExchangeのプロビジョニング・プロセスが続行されます。
必要に応じて、リソース・オブジェクトに別のプロビジョニング・ステータスを追加して、プロビジョニング・プロセスの各種タスク・ステータスを反映することもできます。たとえば、プロビジョニング・プロセスに属するタスクのステータスが「却下」である場合、リソース・オブジェクトの対応するプロビジョニング・ステータスを「失効」に設定できます。
同様に、既存のプロビジョニング・ステータスが無効になったら、リソース・オブジェクトから削除してください。
次の各項では、リソース・オブジェクトにプロビジョニング・ステータスを追加する方法、およびリソース・オブジェクトからプロビジョニング・ステータスを削除する方法について説明します。
リソース・オブジェクトへのプロビジョニング・ステータスの追加
リソース・オブジェクトにプロビジョニング・ステータスを追加するには、次の手順を実行します。
「追加」をクリックします。
「ステータス」フィールドにプロビジョニング・ステータスを追加します。
リソース・オブジェクトのプロビジョニング・ステータスが追加したステータスになった時点で、その他の依存リソース・オブジェクトによってそれぞれ独自のプロビジョニング・プロセスが開始されるようにする場合は、依存の開始チェック・ボックスを選択します。それ以外の場合は、手順4に進みます。
「保存」をクリックします。
プロビジョニング・ステータスがリソース・オブジェクトに追加されます。
リソース・オブジェクトからのプロビジョニング・ステータスの削除
次の手順では、リソース・オブジェクトからプロビジョニング・ステータスを削除する方法について説明します。
プロビジョニング・ステータスを選択します。
「削除」をクリックします。
プロビジョニング・ステータスがリソース・オブジェクトから削除されます。
このタブでは、現在のリソース・オブジェクトの表示、変更および削除を許可するロールを選択できます。
「書込み」チェック・ボックスを選択した場合、対応するロールが現在のリソース・オブジェクトを変更できるようになります。「削除」チェック・ボックスを選択した場合、対応するロールが現在のリソース・オブジェクトを削除できるようになります。
次の各項では、リソース・オブジェクトにロールを割り当てる方法、およびリソース・オブジェクトからロールを削除する方法について説明します。
リソース・オブジェクトへのロールの割当て
リソース・オブジェクトにロールを割り当てるには、次の手順を実行します。
「割当て」をクリックします。
「割当て」ダイアログ・ボックスが表示されます。
ロールを選択し、それをリソース・オブジェクトに割り当てます。
「OK」をクリックします。
ロールが「管理者」タブに表示されます。デフォルトでは、このロールのすべてのメンバーがアクティブ・レコードを表示できます。
このロールに現在のリソース・オブジェクトの変更を許可する場合は、対応する「書込み」チェック・ボックスを選択します。
それ以外の場合は、手順5に進みます。
このロールに現在のリソース・オブジェクトの削除を許可する場合は、対応する「削除」チェック・ボックスを選択します。
そうでない場合は、手順6に進みます。
「保存」をクリックします。
ロールがリソース・オブジェクトに割り当てられます。
ヒント: リソース・オブジェクトをプロビジョニングするための権限をSYSTEM ADMINISTRATORSロールのメンバー以外のユーザーに割り当てるには、次の手順を実行します。
|
リソース・オブジェクトからのロールの削除
リソース・オブジェクトからロールを削除するには、次の手順を実行します。
削除対象のロールを選択します。
「削除」をクリックします。
ロールがリソース・オブジェクトから削除されます。
「アプリケーション」タイプのリソース・オブジェクトをユーザーまたは組織にプロビジョニングする場合、そのユーザーまたは組織がリソース・オブジェクトにアクセスするときにパスワード基準への準拠を求めることができます。このパスワード基準は、パスワード・ポリシーのフォームで作成および管理します。これらのポリシーは、「パスワード・ポリシー」フォームを使用して作成します。
リソース・オブジェクト定義はリソースのプロビジョニング方法を制御するためのテンプレートにすぎないため、Oracle Identity Managerで実際の条件およびルールに基づいてリソースのプロビジョニング方法を決定できるようにする必要があります。これらの条件は、リソースが実際にリクエストされるまでわからない場合があります。そのため、リソースに関連付けられている様々なプロセスやパスワード・ポリシーにルールをリンクする必要があります。これにより、どのようなコンテキストにおいても、Oracle Identity Managerで何を呼び出せばよいかを判断できるようになります。
Oracle Identity Managerでは、特定ユーザーのアカウントの作成時または更新時に、どのパスワード・ポリシーをリソースに適用するかが決定されます。この際、リソースのパスワード・ポリシー・ルールが評価され、最初に合致したルールに関連付けられているポリシーの基準が適用されます。各ルールには、Oracle Identity Managerでの評価順を示す優先度値が割り当てられます。
次の各項では、リソース・オブジェクトにパスワード・ポリシー・ルールを追加する方法、およびリソース・オブジェクトからパスワード・ポリシー・ルールを削除する方法について説明します。
リソース・オブジェクトへのパスワード・ポリシー・ルールの追加
リソース・オブジェクトにパスワード・ポリシー・ルールを追加するには、次の手順を実行します。
「追加」をクリックします。
行が表示されたら、「ルール」参照フィールドをダブルクリックします。
「参照」ダイアログ・ボックスで、ルールを選択し、それをリソース・オブジェクトに割り当てます。
「OK」をクリックします。
隣の列で、「ポリシー」参照フィールドをダブルクリックします。
「参照」ダイアログ・ボックスで、関連付けられているパスワード・ポリシーを選択し、それをリソース・オブジェクトに割り当てます。
「OK」をクリックします。
「優先度」フィールドに数値を追加します。
このフィールドには、ルールの優先度値が格納されます。
「保存」をクリックします。
パスワード・ポリシー・ルールがリソース・オブジェクトに追加されます。
注意:
|
リソース・オブジェクトからのパスワード・ポリシー・ルールの削除
リソース・オブジェクトからパスワード・ポリシーを削除するには、次の手順を実行します。
パスワード・ポリシー・ルールを選択します。
「削除」をクリックします。
パスワード・ポリシー・ルールがリソース・オブジェクトから削除されます。
このタブでは、「リソース・オブジェクト」フォーム用に作成されたユーザー定義フィールドを表示してアクセスできます。作成したユーザー定義フィールドはこのタブに表示され、データを受け入れたり、提供するために使用できます。
「プロセス」タブには、現在のリソース・オブジェクトに関連付けられているすべてのプロビジョニング・プロセスが表示されます。このタブにある「デフォルト」チェック・ボックスは、リソースのデフォルトとして使用されるプロビジョニング・プロセスを示します。
注意: 「プロセス定義」フォームでプロビジョニング・プロセスを作成し、それらをリソースに関連付けます。「リソース・オブジェクト」フォームの「プロセス決定ルール」タブを使用して、各プロセスをプロセス決定ルールにリンクすることができます。 |
たとえば、Solarisリソース・オブジェクトに1つのプロビジョニング・プロセス(「Provision Solaris for Devel.」)が関連付けられているものとします。「Provision Solaris for Devel.」は、このリソース・オブジェクトのデフォルトのプロビジョニング・プロセスとして指定されています。
オブジェクト・リコンシリエーション・タブのオブジェクトの初期リコンシリエーション日フィールドには、リソースに対して初期リコンシリエーションが実行された日付が表示されます。
注意: 初期リコンシリエーションの目的は、ターゲット・システムのすべてのユーザー・アカウントをOracle Identity Managerに取り込むことです。 |
オブジェクトの初期リコンシリエーション日フィールドに格納される日付値は、初期リコンシリエーションとそれ以降のリコンシリエーション・イベントを区別するために使用されます。この日付値は、リリース9.1.0で導入された2つの例外レポートで使用されます。これらの例外レポートには、ユーザーに必要な権限とユーザーがターゲット・システムで実際に持つ権限の比較差異が表示されます。権限の差異は、リコンシリエーション・データとその他のデータ項目に基づいて判断されます。例外レポートでは、オブジェクトの初期リコンシリエーション日フィールドの日付以降に作成されたリコンシリエーション・イベントに関連付けられているデータのみが返されます。また、例外データが生成されるのは、オブジェクトの初期リコンシリエーション日フィールドの日付値が過去の日付になっている場合のみです。必要に応じて、例外レポートが生成されるように、このフィールドに日付値を入力することもできます。
オブジェクト・リコンシリエーション・タブには、「リコンシリエーション・フィールド」および「リコンシリエーション・アクション・ルール」という2つのサブタブがあります。
「リコンシリエーション・フィールド」タブでは、ターゲット・リソースまたは信頼できるソースにおいてOracle Identity Managerの情報とリコンサイルされる(たとえば、マップされる)フィールドを定義できます。
リコンシリエーション・アクション・ルール・タブでは、特定の一致条件が満たされた場合にOracle Identity Managerで実行されるアクションを指定できます。
リソース・オブジェクトまたは関連するプロセス・フォームが変更された場合は常に、オブジェクト・リコンシリエーション・タブにあるリコンシリエーション・プロファイルの作成ボタンをクリックして、リコンシリエーション・プロファイルを生成してください。
「リコンシリエーション・フィールド」タブ
このタブでは、ターゲット・リソースまたは信頼できるソースにおいてOracle Identity Managerの情報とリコンサイルされる(たとえば、マップされる)フィールドを定義できます。ターゲット・システムまたは信頼できるソースのフィールドごとに、次の情報が表示されます。
ターゲット・リソースまたは信頼できるソースにおいてOracle Identity Managerのデータとリコンサイルされるフィールドの名前(targetfield1など)
フィールドに関連付けられているデータ型(Stringなど)。有効な値は複数値、文字列、数値、日付、ITリソース
このフィールドがリコンシリエーション・イベントで必須かどうかを示すインジケータ
注意: Oracle Identity Managerでは、拡張管理の「イベント管理」タブの「リコンシリエーション」セクションにあるフィールドがすべて処理されるまで、リコンシリエーション・イベントに対するプロビジョニング・プロセス、ユーザーまたは組織の照合は開始されません。 |
次に、リコンシリエーション・フィールド定義の例を示します。
TargetField1 [String], Required
「リコンシリエーション・フィールド」タブでは、次の操作を実行できます。
リコンシリエーション・フィールドの追加
次の手順では、Oracle Identity Managerの情報とリコンサイルされるフィールドのリストに、ターゲット・システムまたは信頼できるソースのフィールドを追加します。
注意: Oracle Identity Managerで外部のターゲット・リソースまたは信頼できるソースとのリコンシリエーションが正しく実行されるようにするには、このタブで定義したフィールドを事前に適切なOracle Identity Managerフィールドにマップしておく必要があります(リソースのデフォルトのプロビジョニング・プロセスのフィールド・マッピング・タブを使用)。 |
リコンシリエーション・フィールドを追加するには、次の手順を実行します。
「フィールドの追加」をクリックします。
リコンシリエーション・フィールドの追加ダイアログ・ボックスが表示されます。
「フィールド名」フィールドに、ターゲット・リソースまたは信頼できるソースのフィールドの名前を入力します。
Oracle Identity Managerでは、この名前によってターゲット・リソースまたは信頼できるソースのフィールドを参照します。
フィールド・タイプ・フィールドのメニューから、次の値のいずれかを選択します。
複数値
1つ以上のコンポーネント・フィールドで構成されるフィールド用です。
String
String
日付
ITリソース
リコンシリエーション・イベントの作成時には、Oracle Identity Managerで定義されたITリソースの名前と同じ値がこのフィールドに割り当てられる必要があります。
「必須」チェック・ボックスを選択します。
選択した場合、拡張管理の「イベント管理」タブの「リコンシリエーション」セクションにあるリコンシリエーション・フィールドが処理されるまで、Oracle Identity Managerでリコンシリエーション・イベントに対するプロビジョニング・プロセス、ユーザーまたは組織の照合は開始されません。このチェック・ボックスを選択解除した場合、リコンシリエーション・イベントでこのフィールドは処理されませんが、照合は実行されます。
「保存」をクリックします。
リソースのデフォルトのプロビジョニング・プロセスでフィールドのマッピングが可能になります。
リコンシリエーション・フィールドの削除
次の手順では、Oracle Identity Managerの情報とリコンサイルされるフィールドのリストから、ターゲット・システムのフィールドを削除します。信頼できるソースの場合は、ユーザー・リソース定義が対象となります。
リコンシリエーション・フィールドを削除するには、次の手順を実行します。
削除対象のフィールドを選択します。
「フィールドの削除」をクリックします。
選択したフィールドは、Oracle Identity Managerでターゲット・システムのデータとリコンサイルされるフィールドのリストから削除されます(ターゲット・システム自体のデータには影響しません)。
リコンシリエーション・アクション・ルール・タブ
このタブでは、リコンシリエーション・イベント・レコード内で一致が見つかった場合にOracle Identity Managerで実行されるアクションを指定できます。このタブの各レコードは次の項目の組合せです。
一致条件の基準
実行されるアクション
選択可能な条件とアクションは事前に定義されています。一致条件によっては、適用不可のアクションもあります。表11-13に、使用可能なオプションの完全なリストを示します。
表11-13 ルール条件と使用可能なルール・アクション
ルール条件 | 使用可能なルール・アクション |
---|---|
一致が見つからなかった場合 |
なし ユーザーの作成(信頼できるソースでのみ使用可能) |
1つのプロセス一致が見つかった場合 |
なし リンクの確立 |
複数のプロセス一致が見つかった場合 |
なし |
1つのエンティティ一致が見つかった場合 |
なし リンクの確立 |
複数のエンティティ一致が見つかった場合 |
なし |
リコンシリエーション・アクション・ルールの追加
リコンシリエーション・アクション・ルールを追加するには、次の手順を実行します。
「フィールドの追加」をクリックします。
新規アクション・ルールの追加ダイアログ・ボックスが表示されます。
ルール条件メニューから目的の値を選択します。
この一致条件によって、関連付けられているアクションが実行されます。各一致条件に割り当てることができるルール・アクションは1つに制限されています。
ルール・アクション・メニューから値を選択します。
このアクションは、一致条件が満たされた場合に実行されます。
「保存」をクリックし、新規アクション・ルールの追加ダイアログ・ボックスを閉じます。
リコンシリエーション・アクション・ルールの削除
リコンシリエーション・アクション・ルールを削除するには、次の手順を実行します。
削除対象の一致アクションの組合せを選択します。
「削除」をクリックします。
リコンシリエーション・アクション・ルールが削除され、その条件に関連付けられているアクションが自動的に実行されなくなります。
以前のリリースでは、アイデンティティをリコンサイルするときの信頼できるソースとして設定できるのは、Xellerateユーザー・リソース・オブジェクトに限定されていました。現在は、Xellerateユーザー・リソース・オブジェクトおよびXellerateユーザー・プロセス定義に対してリコンシリエーション・フィールド、リコンシリエーション・アクション・ルール、フィールド・マッピングおよび一致ロールを作成することによって、これに対応できるようになっています。
OIMユーザーの作成時に、2つの信頼できるソースからアイデンティティをリコンサイルできる場合、両方のソースに対して1つのリソース・オブジェクト(Xellerateユーザー)を構成することはできません。Xellerateユーザー・リソース・オブジェクトに信頼できる両方のソースのリコンシリエーション・フィールドを作成しても、Xellerateユーザー・プロセス定義には対応するリコンシリエーション・フィールド・マッピングを作成できません。
リリース9.1.0以降では、アイデンティティ・リコンシリエーション用の信頼できるソースとして、Xellerateユーザー
以外のリソース・オブジェクトを構成できます。そのためには、リソース・オブジェクトの作成時に、「リソース・オブジェクト」フォームにある信頼できるソース・チェック・ボックスを選択します。
リソース・オブジェクトに信頼できるソース・フラグがアタッチされている場合は、ターゲット・システム・フィールドを表す複数のリコンシリエーション・フィールドを作成できます。また、プロセス一致が見つからなかった場合に、ユーザーを作成するか、アイデンティティ作成用のデータを管理者または認可者に送信するように、リコンシリエーション・アクション・ルールを構成することもできます。プロセス一致が見つかった場合は、リンクが確立されます。
信頼できるソース・リソースに対してプロビジョニング・プロセスを定義する場合は、ユーザー定義のプロセス・フォームをアタッチしないでください。これらのプロビジョニング・プロセスについては、リソースおよびOIMユーザー属性に定義されたリコンシリエーション・フィールド間にリコンシリエーション・フィールド・マッピングを作成できます。
注意: リソース・オブジェクトがターゲット・リソース・リコンシリエーション用の場合は、リコンシリエーション・フィールドとプロセス・データ・フィールド間のマッピングになります。 プロビジョニング・アクティビティ用の信頼できるソースとして定義されたリソース・オブジェクトは使用しないでください。これらのリソースは、OIMユーザーのリコンシリエーションにのみ使用できます。 |
このリリースには、属性認可ソース機能も追加されています。これは、ソースの信頼性がアイデンティティ自体ではなく、アイデンティティの属性に対してのみ適用されることを意味します。属性認可ソースのリコンシリエーションを構成するには、適切なリコンシリエーション・アクション・ルールを作成します。プロセス一致が見つからなかった場合は、管理者に割り当てられます。これにより、一致が見つからなかった場合でも、ユーザーが間違って作成されることはありません。プロセス一致が見つかった場合は、リコンシリエーション・アクション・ルールによってリンクが確立されます。
次の各項では、複数の信頼できるソースのリコンシリエーションを実装する場合の2つのユースケースについて説明します。
注意: このドキュメントには、次のような箇所があります。 - 複数の信頼できるソースのリコンシリエーションはMTSと呼ばれています。 - フィールドおよび属性という用語が同義的に使用されています。 |
注意: どちらのユースケースの場合も、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドの新しいリコンシリエーション・プロファイルの作成に関する説明を参照して、リコンシリエーション・プロファイルを作成してください。 |
注意: コネクタがMTS互換かどうかを調べる方法は、コネクタ固有のドキュメントを参照してください。 |
次の各項では、MTS互換コネクタを使用して複数の信頼できるソースのリコンシリエーションを実装する場合のシナリオについて説明します。
信頼できるソースのリコンシリエーションをユーザー・タイプに基づいて行う場合のMTS互換コネクタの構成
このコンテキストにおけるユーザー・タイプとは、リコンサイル対象のレコードを持つユーザーのタイプのことです。ユーザー・タイプの例としては、Employee
やCustomer
などがあげられます。
信頼できるソースのリコンシリエーションをユーザー・タイプに基づいて行うには、該当する手順に従って信頼できるソースのリコンシリエーションを実装するときに、信頼できるソースとして構成する各ターゲット・システムのコネクタをデプロイします。
リコンシリエーション実行時には、指定したユーザー・タイプのすべてのターゲット・システム・レコードがリコンサイルされます。ターゲット・システムに複数のユーザー・タイプが存在する場合は、制限付きリコンシリエーション機能を使用して、各ターゲット・システムからリコンサイルする必要があるレコードを持つユーザー・タイプを指定できます。
信頼できるソースのリコンシリエーションを特定のOIMユーザー属性に対して行う場合のMTS互換コネクタの構成
複数のターゲット・システムの特定のOIMユーザー属性に対して、信頼できるソースのリコンシリエーションを行うように構成することもできます。この場合の実装手順については、次のサンプル・シナリオを例にして説明します。
アイデンティティを1つのターゲット・システム(TS1など)からリコンサイルし、これらのアイデンティティの特定の属性(attr1
、attr2
、attr3
など)を別のターゲット・システム(TS2など)からリコンサイルするものとします。つまり、TS1はアイデンティティについて信頼できるソースであり、TS2はアイデンティティ自体ではなく特定の属性について信頼できるソースです。OIMユーザーを正しく作成するためには、必須のOIMユーザー属性がTS1からすべて提供される必要があります。TS2から提供されるのは、TS2が信頼できるソースとなっているOIMユーザー属性のみです(必須かどうかは問いません)。必須のOIMユーザー属性をTS2からリコンサイルする場合は、この属性の値によって、TS1からのOIMユーザーの作成時にこの属性に格納される値が上書きされます。必須でないOIMユーザー属性のみをTS2からリコンサイルする場合は、OIMユーザーの作成時にこれらの属性をTS1からリコンサイルしないように指定できます。
注意: 信頼できるソースが複数存在する場合は、それらのソースからエンティティ属性をリコンサイルするロジックがコネクタによって提供されます。 |
TS1コネクタの場合:
TS1コネクタをデプロイするために必要なすべての手順を実行し、そのコネクタを信頼できるソースのリコンシリエーション用に構成します。
関連項目: 信頼できるソースのリコンシリエーションを構成する手順の詳細は、デプロイ対象のコネクタのドキュメントを参照してください。 |
オブジェクト・リコンシリエーション・ページの「リコンシリエーション・フィールド」タブで、TS2からリコンサイルするすべてのTS1属性(この場合、attr1
、attr2
およびattr3
)を削除します。
「プロセス定義」ページのリコンシリエーション・フィールド・マッピング・タブで、不要なマッピングをすべて削除します。
リコンシリエーション・フィールドを削除するかわりに、リコンシリエーションによって作成されたOIMユーザーに値をリコンサイルしないフィールドのリコンシリエーション・フィールド・マッピングを削除してもかまいません。
オブジェクト・リコンシリエーション・ページのリコンシリエーション・アクション・ルール・タブで、ルール条件とアクションに関して次のマッピングが存在することを確認します。
ルール条件: 一致が見つからなかった場合
アクション: ユーザーの作成
TS2コネクタの場合:
TS2コネクタをデプロイするために必要なすべての手順を実行し、そのコネクタを信頼できるソースのリコンシリエーション用に構成します。
関連項目: 信頼できるソースのリコンシリエーションを構成する手順の詳細は、デプロイ対象のコネクタのドキュメントを参照してください。 |
「プロセス定義」ページのリコンシリエーション・フィールド・マッピング・タブで、不要なマッピングをすべて削除します。
リコンシリエーション・フィールドを削除するかわりに、リコンシリエーションによって作成されたOIMユーザーに値をリコンサイルしないフィールドのリコンシリエーション・フィールド・マッピングを削除するだけでもかまいません。
オブジェクト・リコンシリエーション・ページの「リコンシリエーション・フィールド」タブで、attr1
、attr2
およびattr3
以外のTS2属性をすべて削除します。また、OIMユーザーと既存のTS2アカウントの照合に使用する属性は保持してください。つまり、リコンシリエーション・ルールの評価に使用される属性のみを保持します。たとえば、Oracle Identity Managerのusername
属性を使用して、TS1のfirst name
属性の値を照合できます。
オブジェクト・リコンシリエーション・ページのリコンシリエーション・アクション・ルール・タブで、ルール条件とアクションのマッピングを作成します。ルール条件とアクションのマッピングの1つを次のようにしてください。
ルール条件: 一致が見つからなかった場合
アクション: ユーザーの作成
以外
注意: コネクタがMTS互換かどうかを調べる方法は、コネクタ固有のドキュメントを参照してください。 |
複数の信頼できるソースのリコンシリエーション設定でMTS非互換のコネクタを使用する場合は、次の前提条件を満たす必要があります。
i.信頼できるソース・リソース・オブジェクトをXellerateユーザー
に指定できるのは、いずれか1つに制限されています。現在の動作環境において、信頼できるソースのリコンシリエーション用にXellerateユーザー
・リソース・オブジェクトがコネクタですでに使用されている状況で、信頼できるソースのコネクタを構成するには、新しいリソース・オブジェクトおよびプロセス定義を作成する必要があります。
ii.コネクタのスケジュール済タスクには、信頼できるソースのユーザー・リコンシリエーションに使用されるリソース・オブジェクトの名前を値として受け入れる属性が必要です。
次の各項では、MTS非互換コネクタを使用して複数の信頼できるソースのリコンシリエーションを実装する場合のシナリオについて説明します。
信頼できるソースのリコンシリエーションをユーザー・タイプに基づいて行う場合のMTS非互換コネクタの構成
このコンテキストにおけるユーザー・タイプとは、リコンサイル対象のレコードを持つユーザーのタイプのことです。ユーザー・タイプの例としては、Contractor、Employee、Customerなどがあげられます。
動作環境においてMicrosoft Active DirectoryおよびOracle e-Business Suiteを信頼できるソースとして使用します。Active Directoryは、Contractorユーザー・タイプに属するアイデンティティに関する情報を格納するために使用します。Oracle e-Business Suiteは、CustomerおよびEmployeeユーザー・タイプに属するアイデンティティに関する情報を格納するために使用します。ContractorレコードをActive Directoryからリコンサイルし、EmployeeレコードをOracle e-Business Suiteからリコンサイルするものとします。そのための手順は、次のとおりです。
Active Directoryの場合:
Active Directoryコネクタをデプロイするために必要なすべての手順を実行し、そのコネクタを信頼できるソースのリコンシリエーション用に構成します。
関連項目: 信頼できるソースのリコンシリエーションを構成する手順の詳細は、デプロイ対象のコネクタのドキュメントを参照してください。 |
信頼できるソースのリコンシリエーション用にコネクタXMLファイルをインポートすると、Active Directoryに固有の情報がXellerateユーザー
・リソース・オブジェクトおよびプロセス定義に追加されます。
「リソース・オブジェクト」タブで、信頼できるソースのリコンシリエーションをActive Directoryによって行うためのActDir
リソース・オブジェクトを作成します。
注意: リソース・オブジェクトには任意の名前を割り当てることができます。この手順では、リソース・オブジェクトの名前として リソース・オブジェクトを作成する手順の詳細は、「「リソース・オブジェクト」フォーム」を参照してください。 |
リソース・オブジェクトの作成時に、次の手順を実行します。
「リソース・オブジェクト」タブにある信頼できるソース・チェック・ボックスを選択します。
オブジェクト・リコンシリエーションの「リコンシリエーション・フィールド」タブで、Xellerateユーザー
・リソース・オブジェクトを確認し、Active Directory固有のフィールドをリコンサイル対象としてActDir
に追加します。このタブに追加するフィールドで、OIMユーザーに関するすべての必須フィールドを扱う必要があります。
オブジェクト・リコンシリエーションのリコンシリエーション・アクション・ルール・タブで、ルール条件とアクションのマッピングを作成します。ルール条件とアクションのマッピングの1つを次のようにしてください。
ルール条件: 一致が見つからなかった場合
アクション: ユーザーの作成
Active Directoryに固有のフィールドおよびそれに対応するルールをXellerateユーザー
・リソース・オブジェクトから削除します。
「プロセス定義」フォームでActDir
プロセス定義を作成します。
プロセス定義を作成する手順の詳細は、「「プロセス定義」フォーム」を参照してください。リコンシリエーション・フィールド・マッピング・タブで、Xellerateユーザー
・プロセス定義のリコンシリエーション・フィールド・マッピングを基準にして、ActDir
プロセス定義のリコンシリエーション・フィールド・マッピングを追加します。
Xellerateユーザー
・リソース・オブジェクトからActive Directory固有のフィールド・マッピングを削除します。
「リコンシリエーション・ルール」ページのリコンシリエーション・ルール・ビルダー・フォームで、このコネクタのリコンシリエーション・ルールを問い合せて開き、「オブジェクト」フィールドの値を変更して、作成したリソース・オブジェクトにマップします。デフォルトでは、このフィールドの値はXellerateユーザー
・リソース・オブジェクトのフィールドにマップされます。
Oracle e-Business Suiteについても、Active Directoryに対して実行したすべての手順を繰り返します。その手順をOracle e-Business Employee Reconciliationコネクタ用に変えて、次のように実行してください。
「リソース・オブジェクト」タブで、信頼できるソースのリコンシリエーションをOracle e-Business Suiteによって行うためのEmpRecon
リソース・オブジェクトを作成します。
注意: リソース・オブジェクトには名前を割り当てることができます。この手順では、リソース・オブジェクトの名前として |
オブジェクト・リコンシリエーションのリコンシリエーション・アクション・ルール・タブで、ルール条件とアクションのマッピングを作成します。ルール条件とアクションのマッピングの1つを次のようにしてください。
ルール条件: 一致が見つからなかった場合
アクション: ユーザーの作成
制限付きリコンシリエーション機能を使用して、Employeeユーザー・タイプに属するアイデンティティのみがリコンサイルされるように指定してください。
フィールドとリコンシリエーション・ルールを追加した後、Xellerateユーザー
・リソース・オブジェクトに作成されたOracle e-Business Suite固有のフィールドおよびそれに対応するルールを削除します。
「プロセス定義」フォームでEmpRecon
プロセス定義を作成します。プロセス定義を作成する手順の詳細は、「「プロセス定義」フォーム」を参照してください。リコンシリエーション・フィールド・マッピング・タブで、Xellerateユーザー
のリコンシリエーション・フィールド・マッピングを基準にして、EmpRecon
プロセス定義のフィールド・マッピングを追加します。
Xellerateユーザー
・リソース・オブジェクトからOracle e-Business Suite固有のフィールド・マッピングを削除します。
「リコンシリエーション・ルール」>>リコンシリエーション・ルール・ビルダー・フォームで、このコネクタのリコンシリエーション・ルールを問い合せて開き、「オブジェクト」フィールドの値を変更して、作成したリソース・オブジェクトにマップします。デフォルトでは、このフィールドの値はXellerateユーザー
・リソース・オブジェクトのフィールドにマップされます。
Active DirectoryとOracle e-Business Suiteのどちらについても、信頼できるソースのリコンシリエーションを構成するために必要な残りの手順を実行してください。たとえば、各コネクタに対してリコンシリエーションのスケジュール済タスクを構成するときに、信頼できるソースのユーザー・リコンシリエーション実行時に使用する必要がある信頼できるソース・リソース・オブジェクトの名前を指定します。
スケジュール済タスク属性の現在の値はXellerateユーザー
ですが、このコネクタでの信頼できるソースのユーザー・リコンシリエーション用に構成した新しいリソース・オブジェクトの名前に更新する必要があります。
図11-39に、信頼できるソースのリコンシリエーションをユーザー・タイプに基づいて行う場合のデザインタイム実装を示します。
信頼できるソースのリコンシリエーションを特定のOIMユーザー属性に対して行う場合のMTS非互換コネクタの構成
複数のターゲット・システムの特定のOIMユーザー属性に対して、信頼できるソースのリコンシリエーションを行うように構成することもできます。この場合の実装手順については、次のサンプル・シナリオを例にして説明します。
Microsoft Active DirectoryおよびIBM Lotus Notesをターゲット・システムとして使用します。アイデンティティをActive Directoryからリコンサイルし、(Active DirectoryからOracle Identity Managerにリコンサイルされた)各アイデンティティのe-mail address
属性の値のみをLotus Notesからリコンサイルするものとします。そのために、次の手順を実行します。
Active Directoryコネクタの場合:
Active Directoryコネクタをデプロイするために必要なすべての手順を実行し、そのコネクタを信頼できるソースのリコンシリエーション用に構成します。
関連項目: 信頼できるソースのリコンシリエーションを構成する手順の詳細は、デプロイ対象のコネクタのドキュメントを参照してください。 |
信頼できるソースのリコンシリエーション用にコネクタXMLファイルをインポートすると、Active Directoryに固有の情報がXellerateユーザー
・リソース・オブジェクトおよびプロセス定義に追加されます。
「リソース・オブジェクト」タブで、信頼できるソースのリコンシリエーションをActive Directoryによって行うためのActDir
リソース・オブジェクトを作成します。
注意: リソース・オブジェクトには任意の名前を割り当てることができます。この手順では、リソース・オブジェクトの名前として リソース・オブジェクトを作成する手順の詳細は、「「リソース・オブジェクト」フォーム」を参照してください。 |
リソース・オブジェクトの作成時に、次の手順を実行します。
i.「リソース・オブジェクト」タブにある信頼できるソース・チェック・ボックスを選択します。
ii.オブジェクト・リコンシリエーションの「リコンシリエーション・フィールド」タブで、Xellerateユーザー
・リソース・オブジェクトを確認し、Active Directory固有のフィールドをリコンサイル対象としてActDir
に追加します。このタブに追加するフィールドで、OIMユーザーに関するすべての必須フィールドを扱う必要があります。
オブジェクト・リコンシリエーションのリコンシリエーション・アクション・ルール・タブで、ルール条件とアクションのマッピングを作成します。ルール条件とアクションのマッピングの1つを次のようにしてください。
ルール条件: 一致が見つからなかった場合
アクション: ユーザーの作成
Active Directoryに固有のフィールドおよびそれに対応するルールをXellerateユーザー
・リソース・オブジェクトから削除します。
「プロセス定義」フォームでActDir
プロセス定義を作成します。プロセス定義を作成する手順の詳細は、「「プロセス定義」フォーム」を参照してください。リコンシリエーション・フィールド・マッピング・タブで、Xellerateユーザー
・プロセス定義のリコンシリエーション・フィールド・マッピングを基準にして、ActDir
プロセス定義のフィールド・マッピングを作成します。
Xellerateユーザー
・リソース・オブジェクトからActive Directory固有のフィールド・マッピングを削除します。
「リコンシリエーション・ルール」>>リコンシリエーション・ルール・ビルダー・フォームで、このコネクタのリコンシリエーション・ルールを問い合せて開き、「オブジェクト」フィールドの値を変更して、作成したリソース・オブジェクトにマップします。デフォルトでは、このフィールドの値はXellerateユーザー
・リソース・オブジェクトのフィールドにマップされます。
IBM Lotus Notesについても、Active Directoryに対して実行したすべての手順を繰り返します。その手順をLotus Notesコネクタ用に変えて、次のように実行してください。
「リソース・オブジェクト」タブで、信頼できるソースのリコンシリエーションをLotus Notesによって行うためのLotNotes
リソース・オブジェクトを作成します。
注意: リソース・オブジェクトには名前を割り当てることができます。この手順では、リソース・オブジェクトの名前として |
リソース・オブジェクトの作成時には、e-mail address
属性のみを追加します。
オブジェクト・リコンシリエーションのリコンシリエーション・アクション・ルール・タブで、ルール条件とアクションのマッピングを作成します。一致が見つからなかった場合のルール条件(ユーザーの作成以外)を作成します。一致が見つかった場合は、リンクが確立されます。
フィールドとリコンシリエーション・ルールを追加した後、Xellerateユーザー
・リソース・オブジェクトに作成されたLotus Notes固有のフィールドおよびそれに対応するルールを削除します。
「プロセス定義」フォームでLotNotes
プロセス定義を作成します。プロセス定義を作成する手順の詳細は、「「プロセス定義」フォーム」を参照してください。リコンシリエーション・フィールド・マッピング・タブで、Xellerateユーザー
のリコンシリエーション・フィールド・マッピングを基準にして、LotNotes
プロセス定義のフィールド・マッピングを追加します。
Xellerateユーザー
・リソース・オブジェクトからLotus Notes固有のフィールド・マッピングを削除します。
Active DirectoryとLotus Notesのどちらについても、信頼できるソースのリコンシリエーションを構成するために必要な残りの手順を実行してください。たとえば、各コネクタに対してリコンシリエーションのスケジュール済タスクを構成するときに、リコンシリエーション実行時に使用する必要がある信頼できるソース・リソース・オブジェクトの名前を指定します。
スケジュール済タスク属性の現在の値はXellerateユーザー
ですが、このコネクタでの信頼できるソースのユーザー・リコンシリエーション用に構成した新しいリソース・オブジェクトの名前に更新する必要があります。
図11-40に、信頼できるソースのリコンシリエーションを特定のOIMユーザー属性に対して行う場合のデザインタイム実装を示します。
図11-40 信頼できるソースのリコンシリエーションを特定のOIMユーザー属性に対して行う場合
Oracle Identity Managerでは、サービス・アカウントがサポートされています。サービス・アカウントは一般管理者アカウント(admin1、admin2、admin3など)であり、メンテナンス用途に使用され、通常は複数のユーザーによって共有されます。サービス・アカウントの管理およびプロビジョニングのモデルは、標準のプロビジョニングとは若干異なります。
サービス・アカウントは、通常のアカウントと同様の方法でリクエスト、プロビジョニングおよび管理されます。これらは、通常アカウントと同じリソース・オブジェクト、プロビジョニング・プロセスおよびプロセス・フォームを使用します。サービス・アカウントは、内部フラグによって通常のアカウントと区別されます。
ユーザーがサービス・アカウントを使用してプロビジョニングされると、Oracle Identity Managerで、ユーザーのアイデンティティからサービス・アカウントへのマッピングが管理されます。リソースが失効された場合、またはユーザーが削除された場合、(取消しタスクが発生するはずだった)サービス・アカウントのプロビジョニング・プロセスの取消しは行われません。かわりに、(Oracle Identity Managerでの無効化および有効化アクションと同様の方法で)タスクがプロビジョニング・プロセスに挿入されます。このタスクによってユーザーからサービス・アカウントへのマッピングが削除され、サービス・アカウントが使用可能なアカウントのプールに戻されます。
この管理機能はAPIを通じて使用できます。