| Oracle® Fusion Middleware Oracle Identity Managerユーザーズ・ガイド 11g リリース1 (11.1.1) B66706-01 |
|
 前 |
 次 |
この章では、Oracle Identity Managerの次のデプロイ構成について説明します。
プロビジョニングとは、プロビジョニング・システム(Oracle Identity Manager)で開始されたアクション(ターゲット・システム・アイデンティティの作成、変更または削除)が、ターゲット・システムに通信されるプロセスです。アイデンティティに対する変更により、一連のプロビジョニング・アクションがトリガーされます。Oracle Identity Manager自体のリポジトリにアイデンティティが格納されているOracle Identity Managerのデプロイメントでは、アイデンティティ属性に対する変更が検出されると、それに応じてプロビジョニング・アクションがトリガーされます。
Oracle Identity Managerを使用すると、ターゲット・システム上でユーザーを作成、メンテナンスおよび削除できます。この構成では、Oracle Identity Managerは、ターゲット・システムですべてのユーザー・データを管理するためのフロントエンド・エントリ・ポイントとして機能します。アカウントがプロビジョニングされると、アカウントがプロビジョニングされたユーザーは、Oracle Identity Managerと対話しなくてもターゲット・システムにアクセスできます。これが、Oracle Identity Managerのプロビジョニング構成です。
プロビジョニングの目的は、ターゲット・システムでのユーザーの作成およびメンテナンスを自動化することです。プロビジョニングは、そのプロビジョニングのライフ・サイクルの構成要素となりうるワークフローの承認および監査の要件に対応するためにも使用されます。図4-1に、プロビジョニング・モジュールの仕組みを示します。
プロビジョニング・イベントは、次の方法のいずれかで起動できます。
リクエストは、管理者(場合によってはユーザー自身)が手動で作成できます。承認ワークフローはリクエストの送信後に開始され、承認済アカウント・プロファイルのプロビジョニングは承認の完了後に開始されます。
このタイプのプロビジョニングは、アクセス・ポリシーを介したユーザーへのターゲット・リソースの付与の自動化を意味します。アクセス・ポリシーは、ロールとターゲット・リソースの間の関連を定義するために使用されます。デフォルトでは、これらのロールの各メンバーは、ターゲット・リソースの事前定義済アカウントを取得します。
このタイプのプロビジョニングは、特殊な管理者専用機能です。認可されている管理者はアカウントを作成できます。承認プロセスを待機しなくても、ターゲット・システムで特定のユーザーのアカウントを作成できます。
リコンシリエーションとは、ターゲット・システムで開始された操作(ユーザーの作成、変更または削除など)が、Oracle Identity Managerに通信されるプロセスです。リコンシリエーション・プロセスは、Oracle Identity Managerリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Managerリポジトリに適用するプロセスです。
ロールのリコンシリエーション、ロール・メンバーシップのリコンシリエーションおよびロール階層の変更のリコンシリエーションは、個別のリコンシリエーション・イベントとして処理されます。理想的には、競合状態を回避するためにロール・イベントを最初に送信し、次にメンバーシップ・イベントのみを送信する必要があります。競合状態の場合は、自動再試行ロジックにより、リコンシリエーション・エンジンでの処理が可能です。詳細は、競合状態の項に記載されています。ロール、ロール・メンバーシップおよびロール階層の詳細は、「ロールの管理」を参照してください。
|
関連項目: 競合状態の詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドの競合状態の処理に関する項を参照してください。 |
図4-2は、プロビジョニングおよびリコンシリエーションが、Oracle Identity Managerからターゲット・システム、またはターゲット・システムからOracle Identity Managerへの同期化に関与する様子を示しています。プロビジョニング・システムでは、プロビジョニングおよびリコンシリエーションを使用して、ターゲット・システムに管理対象アイデンティティを作成したり、ターゲット・システムにすでに存在している場合は、管理対象アイデンティティをレプリケートできます。
図4-2では、新しい従業員の入社時に、人事担当によってユーザーが作成されます。ユーザーは、信頼できるソース・リコンシリエーションによってOracle Identity Managerにリコンサイルされます。Oracle Identity Managerでユーザーが作成されると、ユーザーのアカウントはターゲット・システムにプロビジョニングされます。ターゲット・システムでは、ターゲット・システム管理者がそのアカウントに変更を追加できますが、その変更はOracle Identity Managerにリコンサイルする必要があります。
データ・フローに関しては、プロビジョニングではプッシュ・モデルを使用してプロビジョニング・システムから外部へのフローが提供され、これによってプロビジョニング・システムは変更の実施をターゲット・システムに示します。リコンシリエーションでは、プッシュ・モデルまたはプル・モデルを使用してプロビジョニング・システムの内側へのフローが提供され、これによってプロビジョニング・システムはターゲット・システムのアクティビティを検出します。
リコンシリエーション・プロセスには、Oracle Identity Managerに適用されるイベントの生成が含まれます。このイベントには、ターゲット・システムでのアトミック変更が反映され、変更されたデータ、変更のタイプおよびその他の情報が含まれます。ターゲット・システムで発生している変更に起因して結果的に生成されるリコンシリエーション・イベントは、これらのイベント管理ニーズに対応するOracle Identity Manager管理コンソールのリコンシリエーション・イベント・マネージャを使用して管理されます。
|
関連項目: Oracle Identity Manager管理コンソールを使用したリコンシリエーション・イベントの管理の詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのリコンシリエーションの管理に関する項を参照してください。 |
この項には、次の項目が含まれます。
表4-1に示すように、リコンシリエーションには様々なタイプがあります。
表4-1 リコンシリエーションのタイプ
| 分類基準 | リコンシリエーション・タイプ |
|---|---|
|
リコンサイル対象オブジェクト |
リコンサイル対象アイデンティティに基づいて、ユーザー、アカウント、ロール、関係(ロール階層やロール・メンバーシップを含む)など 注意: Oracle Identity Managerでは、組織のリコンシリエーションはサポートしていません。 |
|
リコンシリエーションのモード |
変更ログ |
|
標準 |
|
|
リコンシリエーションに使用されるアプローチ |
増分リコンシリエーション |
|
完全リコンシリエーション |
この項の内容は次のとおりです。
リコンサイル対象のエンティティ・オブジェクトに基づいたリコンシリエーションです。Oracle Identity Managerでは、次のエンティティがリコンサイルされます。
ユーザー: ユーザーは、Oracle Identity Manager内に存在し、Oracle Identity Managerを介して管理されるアイデンティティです。
アカウント: アカウントはユーザーに付与され、ユーザーのOracle Identity ManagerへのログインとOracle Identity Managerの機能へのアクセスを可能にします。これらの機能には、少なくともセルフ・サービスとリクエストが含まれます。アカウントには、ワークフローの定義、ユーザー、組織、ロールなどの各種エンティティの委任管理を含め、追加の権限を付与できます。
ロール: ロールは、Oracle Identity Manager内でアクセス権を割り当てたり、リソースを自動的にプロビジョニングしたり、承認やアテステーションなどの共通のタスクで使用できるユーザーの論理的なグループです。
ロール階層: ロール階層は、親ロールから子ロールへの継承です。親ロールには、継承されるロールと同じ、メンバーに対する権限があります。
ロール・メンバーシップ: ロール・メンバーシップは、継承先ロールのメンバーが継承元ロールから継承されることを意味します。メンバーシップおよび権限の継承の詳細は、「ロールの管理」を参照してください。
このセクションのトピックは次のとおりです:
Oracle Identity Managerのユーザー、ロール、ロール・メンバーシップまたはロール階層の作成に対応するシステムからデータがリコンサイルされる場合、そのリコンシリエーション・モードは、アイデンティティ・リコンシリエーション、認証ソースのリコンシリエーションまたは信頼できるソース・リコンシリエーションと呼ばれます。リコンサイルの適用対象システムは、エンタープライズ・アイデンティティの認証ソースとも呼ばれ、人事管理システムまたは企業ディレクトリなどが該当します。
|
注意: 信頼できるリコンシリエーションに対してユーザー・ログインが渡されない場合、ログイン・ハンドラはユーザー・ログインを生成します。パスワードは、後処理イベント・ハンドラで生成され、そのパスワードの通知が送信されます。イベント・ハンドラの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のリコンシリエーション操作のカスタマイズに関する項を参照してください。 |
図4-3に示すように、アイデンティティには複数の認証ソースを指定できます。様々な認証ソースを、カテゴリの異なるユーザー・アイデンティティに対するリコンシリエーションのソースや、様々な属性のセットに対するリコンシリエーションのソースにできます。リコンシリエーション・エンジンによって生成された各種のイベントは、追加、変更および削除されます。
図4-3は、単一の認証ソースと複数の認証ソースからの信頼できるソース・リコンシリエーションを示しています。ユーザー・エンティティの作成は、複数の認証ソースからリコンサイルできます。複数の異なる認証ソースから異なる属性をリコンサイルすることもできます。たとえば、ある認証ソースはユーザーIDと電子メールIDを提供し、別の認証ソースがロール属性を提供するようにできます。
ターゲット・システムがアイデンティティおよびアカウントのソースである場合は、信頼できるソース・リコンシリエーションの後にアカウント・リコンシリエーションが続く必要があります。たとえば、Active Directoryが企業のLDAPリポジトリで、そこにユーザー情報が格納されている場合は、ユーザー情報がActive Directoryターゲット・システムからリコンサイルされます。その後、Active Directoryのアカウントが、異なるコネクタを使用してOracle Identity Managerにリコンサイルされます。アイデンティティ・リコンシリエーションは、信頼できるソースに固有のコネクタを使用して、信頼できるソースからのみ発生します。
|
注意: リコンシリエーション・コネクタは、特定のターゲット・システムからアイデンティティまたはアカウントをリコンサイルするように開発されたコンポーネントです。通常、リコンシリエーション・コネクタはスケジュール済タスクとして実行するように構成されます。ただし、リコンシリエーションをトリガーするためのスケジュール済タスクがない、PeopleSoft HRコネクタなどのプッシュ・ベースのコネクタも存在します。 |
ターゲット・システムのアイデンティティがOracle Identity Managerにリコンサイルされるアカウントである場合、それはターゲット・リソース・リコンシリエーションまたはアカウント・リコンシリエーションです。このタイプのリコンシリエーションは、管理対象のターゲット・システムを表す特定のリソース・オブジェクトをリコンサイルします。この場合は、対応するプロビジョニング・フローが常に存在します。ターゲット・システムから取得されるアイデンティティは、ユーザーまたは組織にプロビジョニングされたリソース・オブジェクト・インスタンスにマップされます。
アカウント・リコンシリエーションは、次のシナリオで発生します。
シナリオI
アイデンティティが、認証ソースからOracle Identity Managerに作成されます。アイデンティティは、ターゲット・システムのリソースを使用してプロビジョニングされます。ターゲット・システムに対する変更は、Oracle Identity Managerとリコンサイルされます。図4-4に、ターゲット・システムからのアカウント・リコンシリエーションを示します。
シナリオII
このシナリオでは、ターゲット・システムが当初、認証ソースの役割を果たします。その後、通常のプロビジョニング・ターゲットの役割を果たします。一連のステップは次のとおりです。
アイデンティティが、ターゲット・システム・エンティティの詳細に基づいてOracle Identity Managerに作成されます。そのエンティティに対して、対応するアカウントも作成されます。
エンティティは、プロビジョニングされたエンティティとしてターゲット・システムで更新されます。
ターゲット・システムのリソース管理者は、アカウントに対する変更を適用します。
ターゲット・システムで行われた変更は、Oracle Identity Managerとリコンサイルされます。
図4-5に、アイデンティティ・リコンシリエーションおよびその後に続くアカウント・リコンシリエーションを示します。
|
注意: XL.UserProfileAuditDataCollectionプロパティの値が監査日収集レベルに設定されている場合は、アカウント・リコンシリエーションによってバッチ・レベルでデータベース・レイヤーでの照合が実行され、プロビジョニングAPIを使用してイベント・アクションが実行されます。これによって、アカウント・リコンシリエーション用の監査イベント・ハンドラがトリガーされます。デフォルトでは、このプロパティの値は「リソース・フォーム」に設定されます。Oracle Identity Managerのシステム・プロパティの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのシステム・プロパティの管理に関する項を参照してください。 |
図4-6に、リコンシリエーション・プロセス・フローを示します。
リコンシリエーション・プロセスには次のステップが含まれます。
ターゲット・システムでの変更: ターゲット・システムで発生する可能性のある様々なアクティビティには、ユーザー、アカウント、ロール、ロール・メンバーシップまたはロール階層の作成、変更または削除があります。
|
注意: 外部システムでエンティティを作成し、すぐ後にそのエンティティを変更すると、リコンシリエーションでのエンティティの作成ステップは処理されますが、エンティティの変更ステップは「作成に失敗しました」イベント・ステータスで失敗となります。これは、リコンシリエーションでは、同一バッチ処理内の同じエンティティに対して作成と変更のアクションを処理できないためです。 ただし、次のいずれかのビルトイン・メカニズムを使用して、リコンシリエーションのエンティティ変更アクションを後で再送信できます。
同じバッチ処理での処理の競合に起因するリコンシリエーションの失敗メッセージは、単なる一時的な失敗とみなすことができます。 |
リコンシリエーション・データのプロビジョニング: 作成、変更または削除のイベントが発生すると、そのイベントに関するデータは、リコンシリエーションAPIを使用してリコンシリエーション・サービスに送信されます。
|
注意: リコンシリエーション・サービスとは、リコンシリエーション・エンジン、リコンシリエーションAPIおよび関連するメタデータやスキーマの集合を意味します。 |
リコンシリエーション・イベント・レコードの作成: リコンシリエーション・イベントのデータがリコンシリエーション・サービスに提供される場合、そのイベントのレコードはOracle Identity Managerリポジトリに格納されます。
リコンシリエーション・イベント・データの処理: 受け取ったデータはその後評価され、ターゲット・システムでの変更内容に基づいてOracle Identity Managerで実行する実際の操作が判断されます。評価には、次の目的に役立つ特定のルールセットが利用されます。
Oracle Identity Managerにすでに存在するデータのレコードが、アカウントまたはアイデンティティのいずれのデータであるかの識別
データが表すアカウントまたはアイデンティティの所有者の識別
実行するコンテキスト依存アクションの定義
評価終了時のイベントのステータス、およびリコンシリエーション・エンジンが対応する必要があるアクションの設定
イベントに対するアクションの実行: リコンシリエーション・イベント・データの処理の評価結果に基づいて、目的のアクションが実行されます。実行されるアクションには、次のような様々なものがあります。
|
注意: イベントに対するアクションは、UIを使用して手動で実行するか、自動アクションにできます。 |
新規アカウントの作成と適切な所有者アイデンティティとの関連付け
一致したアカウントの更新
一致したアカウントの削除
Oracle Identity Managerでの新しいユーザーの作成
Oracle Identity Managerでの既存のユーザーの変更
既存のユーザーの削除
ステータス属性の更新によるアカウント・ステータスの有効化と無効化
ユーザーの有効化と無効化
ロールの作成、更新または削除
メンバーシップの作成または削除
ロール階層の作成または削除
リコンシリエーション・イベントによってトリガーされたアクションのフォロー・アップ: アクションが実行された後は、リコンシリエーション・イベントに基づいてフォロー・アップ・タスクを開始できます。フォロー・アップ・タスクまたは後処理タスクの例には、ユーザー作成イベントの後、ラップトップ・コンピュータなどのリソースをプロビジョニングするリクエストの作成があります。
リコンシリエーションのモードは、使用するコネクタに従ってプルまたはプッシュになります。Active Directoryなどの大半のコネクタはプル・モデルを使用します。プル・モデルでは、プル・リコンシリエーション・タスクがIAMスケジューラでスケジュールされます。タスクは一定間隔で実行されます。
|
関連項目: IAMスケジューラの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのスケジュール済タスクの管理に関する項を参照してください。 |
通常、プル・ベースのリコンシリエーション・コネクタは、スケジュール済タスク内でリコンシリエーション・イベントを送信します。スケジュール済タスクを実行するたびに、新規リコンシリエーションの実行がトリガーされ、リコンシリエーション・イベントがバッチで作成されます。バッチ・サイズが適合する場合は、そのバッチが送信され、処理されます。スケジュール済タスクの終了時に、サイズが適合しないすべてのバッチを送信するジョブ終了リスナーがトリガーされます。
PeopleSoftコネクタなどのリコンシリエーション・コネクタは、プッシュ・モデルを使用します。コネクタは、PeopleSoftによって送信される非同期メッセージを検出するHTTPリスナーで構成されます。メッセージの受信時に、リスナーがリコンシリエーションAPIをコールして、リコンシリエーション・イベントを送信します。バッチ・サイズが適合する場合、イベントは、リコンシリエーション・エンジンによりバッチで処理されます。バッチ・サイズが適合しないバッチについては、スケジュール済タスクが定期的に実行され、リコンシリエーション処理のバッチが送信されます。
プルまたはプッシュ・モデルは、ターゲット・システムの性質およびターゲット・システムでの変更の検出方法に基づいて使用されます。しかし、使用されるプッシュまたはプル・モデルに関係なく、リコンシリエーションは、IAMスケジューラで実行されるスケジュール済タスクを使用して実行されます。
|
注意: リコンシリエーション・イベントは、リコンシリエーションAPIを使用して直接作成することもできます。 |
変更ログ・リコンシリエーションは、デフォルトのリコンシリエーション・モードです。このモードでは、変更された属性のみがリコンサイルされます。未指定のフィールドは無視されます。変更された属性のリストをコネクタが認識する場合は、通常、変更ログ・リコンシリエーション・モードを使用します。変更された属性に加えて、Oracle Identity Managerには、照合に必要なフィールドのリストも必要です。Oracle Identity Managerの以前のリリースでは変更ログ・リコンシリエーションをサポートしていたため、すべてのコネクタはこのモードで動作します。
標準リコンシリエーションは、リコンシリエーション・エンジンがエンティティの既存のスナップショットを完全に置換する、このリリースで導入された新しいリコンシリエーション・モードです。通常、このリコンシリエーション・モードは、変更された属性をコネクタで判断できない場合に使用するため、エンティティの完全なスナップショットを送信します。新しいコネクタの場合、このモードは、完全リコンシリエーションを実行する場合に指定できます。標準リコンシリエーション・モードを使用すると、イベントがより速やかに処理されるため、パフォーマンスが向上します。
表4-2に、標準リコンシリエーション・モードと変更ログ・リコンシリエーション・モードの相違を示します。
表4-2 標準リコンシリエーション・モードと変更ログ・リコンシリエーション・モード
| 標準 | 変更ログ |
|---|---|
|
マップされた属性の完全なセットを渡す必要があります。 |
特定のプロファイルやルールの照合に必要なマップされた属性のサブセットを渡す必要があります。 |
|
バッチ処理モードでの実行に適しています(単一のイベント処理モードの場合とパフォーマンスに違いはない)。 |
|
|
すべてのフィールドが作成および更新されます。 |
指定されたフィールドのみが作成および更新され、その他のフィールドはすべて変更されません。 |
|
関連項目: リコンシリエーション・モードの変更の詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのプロファイル・モードの変更に関する項を参照してください。 |
ターゲット・システムで初めてリコンシリエーションを実行すると、デフォルトでは、ターゲット・システムのすべてのユーザーおよびアカウントがOracle Identity Managerにリコンサイルされます。これは、完全リコンシリエーションと呼ばれます。完全リコンシリエーションを実行するために、コネクタはターゲット・システムの各エンティティに対してリコンシリエーション・イベントを送信します。リコンシリエーション・エンジンでは、そのエンティティがOracle Identity Managerにすでに存在するかしないかに応じて、イベントを作成イベントまたは更新イベントとして処理します。また、コネクタは、削除されたすべてのエントリを識別し、削除イベントをOracle Identity Managerに送信します。
通常は完全リコンシリエーションの終了時に、コネクタが最終実行時間パラメータをリコンシリエーションの実行の終了時間に設定します。リコンシリエーションの次回実行では、リコンシリエーションの初回実行の終了後に追加、変更または削除されたエンティティのレコードのみが、リコンシリエーション対象としてフェッチされます。これは、増分リコンシリエーションと呼ばれます。
タイムスタンプITリソース・パラメータを0の値に設定することで、増分リコンシリエーションから完全リコンシリエーションに手動で切替えできます。
リコンシリエーションは、2つのシステム間のエンティティ・データが整合性のある状態で維持されるように、エンティティ・データをターゲット・システムからOracle Identity Managerに取得するプロセスです。図4-7に、リコンシリエーションに関係するOracle Identity Managerの様々なコンポーネント、およびこれらのコンポーネント間の相互作用を示します。
リコンシリエーションのアーキテクチャを次のステップで説明します。
各コネクタには、スケジュール済タスクが関連付けられます。スケジューラがコネクタのスケジュール済タスクをトリガーし、このタスクによってイベントを生成するためのリコンシリエーションAPIが起動されます。イベントのタイプは、標準、変更ログまたは削除のいずれかです。スケジューラの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのスケジュール済タスクの管理に関する項を参照してください。スケジュール済タスクの詳細は、「リコンシリエーションのコネクタ」を参照してください。
リコンシリエーション・イベントがリコンシリエーション・イベント・リポジトリ(Oracle Identity Managerデータベース)に格納されます。
バッチ・サイズが適合する場合は、イベントのバッチをまとめて処理する非同期メッセージが送信されます。スケジュール済タスクの終了時に、最後のバッチのイベントを処理する目的で、別の非同期メッセージが送信されます。
|
注意:
|
処理には、データの検証、エンティティの照合およびアクション(作成、更新、削除など)が含まれます。その後、カーネル・オーケストレーションを介した後処理が続きます。アクション・モジュールの詳細は、「アクション・モジュール」を参照してください。リコンシリエーション・プロファイルの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドの新しいメタデータ・モデル - プロファイルに関する項を参照してください。
デフォルトでは、リコンシリエーションのイベント処理は大量に発生するため、後処理までのすべてのステップは、PL/SQLストアド・プロシージャで実行されます。次のシナリオでは、イベントを1度に1つずつ処理できます(この場合、照合までのすべてのステップはPL/SQLで処理され、アクションはJavaレイヤーで実行されます)。
イベントがリコンシリエーション管理コンソールから処理される場合
失敗したイベントが、定期的に実行される再試行のスケジュール済タスクによって再試行される場合
単一のイベントを処理するリコンシリエーションの場合、アクションおよび後処理はカーネル経由で実行されます。
リコンシリエーション・イベントは、リコンシリエーション管理サービスの別のAPIコールによって、リコンシリエーション管理コンソールに対して使用可能になります。
リコンシリエーション・サービスの様々なコンポーネントの機能は、次の各項を参照してください。
リコンシリエーション・プロファイルは、特定のリソースに対するリコンシリエーションの実行方法を管理するために定義された構成です。特定のリソースに複数のリコンシリエーション・プロファイルを指定し、それぞれに照合ルール、アクション・ルールおよびフィールド・マッピングを定義し、その際、リソースに対応する各プロファイルには異なる定義を指定できます。たとえば、削除を1日1回のみ実行する必要がある場合は、一方のリコンシリエーションの実行で新規および変更されたアカウントのリコンシリエーションを実行し、もう一方のリコンシリエーションの実行でアカウントの削除をリコンサイルできます。この例では、2つのリコンシリエーション実行と2つのプロファイルを定義します。各プロファイルはそれぞれのリコンシリエーションの実行に関連付けられ、各プロファイルには独自のリコンシリエーション・ルールがあります。
プロファイルはXMLベースの構成ファイルで、Oracle Identity Manager MetaData Store (MDS)に格納されます。
リソース・オブジェクトには、リコンシリエーション構成に関連付けられたデフォルトのプロファイルが常に存在します。デフォルトのプロファイルは、開発者の環境のOracle Identity Manager Design Consoleから明示的に生成するか、デプロイメント・マネージャからのインポート時に暗黙的に生成できます。プロファイルの作成方法および更新方法の詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのリコンシリエーション・イベントの管理に関する項を参照してください。
リコンシリエーション・メタデータは、リコンシリエーション・イベントの作成と処理で使用する様々な構成で構成されます。リコンシリエーション・メタデータは、プロファイルと呼ばれる論理的なコンテナに格納されます。リコンシリエーション・プロファイルの詳細は、「リコンシリエーション・プロファイル」を参照してください。
次に、リコンシリエーション・メタデータの例を示します。
マッピング・ルール: ターゲット・システムから受け取ったデータを、そのターゲット・システムに関して管理されている、Oracle Identity Managerのデータにマップする際に使用されます。
照合ルール: イベント・データと特定のアカウント、ユーザーまたはロールを相互に関連付けるために、各リコンシリエーション・イベントの処理時に使用されます。
アクション・ルール: リコンシリエーション・イベントの処理結果に基づいてOracle Identity Managerが実行するアクションを指定するために使用されます。
ターゲット属性のリスト: リコンシリエーションを介してターゲット・システムから受け取ったデータ属性の定義に使用されます。マッピング・ルールで使用され、Oracle Identity Manager Design Consoleを使用して構成されます。
リコンシリエーション・イベントの作成と処理で使用する様々な構成は、Oracle Identity Manager Design Consoleを使用して管理され、下位互換性のために、Oracle Identity Managerリリース9.1.0と同じOracle Identity Managerの表に格納されます。さらに、これらの構成はリコンシリエーション・プロファイルにも格納されます。
|
注意: Oracle Identity Managerでのリコンシリエーションには、メタデータ・モデルが使用されます。Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのリコンシリエーション・イベントの管理に関する項を参照してください。 |
リコンシリエーション・ターゲットとは、Oracle Identity Managerの変更のソースとして機能するアプリケーションのインスタンスです。リコンシリエーション・ターゲットの例には、Oracle Identity Managerのアイデンティティのソースとして機能する人事管理システムがあります。リコンシリエーション・ターゲットのソースは、ユーザーまたはアカウントのいずれかです。
リコンシリエーション実行とは、リコンシリエーション・コネクタと関連する構成の組合せを意味し、スケジュール済タスクによって実行される場合は、関連する構成に定義されているルールに基づいてリコンシリエーションを実行します。スケジューラは、リコンシリエーションを固定間隔で定期的に実行します。リコンシリエーション実行はOracle Identity Managerのスケジューラでスケジュールされ、指定した頻度で実行されます。リコンシリエーション実行時に作成されたすべてのイベントは、一意のリコンシリエーション実行IDに従ってグループ化されます。
リコンシリエーションAPIは、リコンシリエーション・データをリコンシリエーション・イベントの形式でOracle Identity Managerに提供するために公開された一連のAPIです。コネクタは、このAPIを使用して、リコンシリエーション・イベント・リポジトリにデータをプッシュできます。リコンシリエーションをスケジュールに従って実行する場合は、APIを実行するスケジュール済タスクを設定できます。既存のAPIがサポートされているため、既存のコネクタを変更する必要はありません。
リコンシリエーション用にターゲット・システムから受け取ったデータは、リコンシリエーション・スキーマに格納されます。このデータには、Oracle Identity Managerとリコンサイルする変更も含まれています。
リコンシリエーション・スキーマとは、リコンシリエーション・データを格納する一連のスキーマ表です。リコンシリエーション・スキーマは、パフォーマンス上の理由および将来の拡張性に備えて再設計されています。リコンシリエーション・スキーマの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドの改善されたデータベース・スキーマに関する項を参照してください。
リコンシリエーション・エンジンでは、構成可能なすべてのコンポーネントが使用され、これらのコンポーネントを使用して入力データをアクション・アイテムのリストに変換するデータ・プロセッサとルール・エバリュエータが組み込まれています。ルールのコンテキストに基づいてアクションを自動化できるかどうかを判断するコンポーネントも組み込まれています。アクションが自動または手動で実行されると、エンジンは適切な更新とプロビジョニング・アクションを実行します。
リコンシリエーション・エンジンのメイン・タスクは、比較を実施して、実行するアクションを判断し、そのアクションをOracle Identity Managerで適用することです。2つのモジュールがあり、各モジュールについては、次の各項で説明します。
プロファイルで指定した照合ルールは、検索対象レコードがOracle Identity Managerにあるかどうかを識別するために使用されます。照合ルールは、Oracle Identity Managerにすでにレコードがあるアイデンティティに対応するデータであるかどうかを識別するためのルール、あるいはOracle Identity Managerでアカウントの所有者を識別するためのルールです。アカウントのデータに対応するレコードが見つからない場合は、次に所有者の照合が実行され、照合ルールを使用してアカウントの所有者が識別されます。
ユーザーおよびロールのエンティティには、所有者の照合が実行されます。アカウントのエンティティでは、レコードが見つからない場合は、次に所有者の照合が実行され、アカウントの所有者が識別されます。
ロール・メンバーシップ・イベントでは、ロールとユーザーを識別する照合が実行されます。ロール階層イベントでは、親ロールおよび子ロールを識別する照合が実行されます。
|
注意: ロール階層およびロール・メンバーシップのリコンシリエーションの実行では、照合基準に、ネームスペースとロール名の両方が含まれている必要があります。次に、照合ルールの例を示します。 ((UGP.ugp_rolename=x) and (UGP.ugp_namespace=y)) xはロール名にマップされている水平表名の列の名前で、yはネームスペースにマップされる水平列の名前です。 |
評価が終了すると、照合表には、イベントの基準を満たし、Oracle Identity Manager内で検出された考えられる適合すべてが格納され、イベントの状態は表4-3に示すいずれかのステータスに更新されます。
表4-3 リコンシリエーションのステータス・イベント
| ステータス・イベント | 説明 |
|---|---|
|
データを受信しました |
イベント・データがデータベースに作成され、次の処理に対する準備が整っています。 |
|
イベントを受信しました |
リコンシリエーション・イベントが作成され、次の処理に対する準備が整っています。finishReconciliationEvent APIはコールされていません。 |
|
データ検証に失敗しました |
リコンシリエーション・イベント・レコードは無効です。たとえば、ロール・カテゴリが無効なロール・イベントは検証に失敗します。(この状況は競合状態を示している可能性があります。)RE_NOTEフィールドには失敗の詳細が表示され、ユーザー・インタフェースにも表示されます。 |
|
データ検証に成功しました |
イベント・データが正常に検証され、イベントはエンジンで支障なく処理できます。 |
|
複数のアカウントの一致が見つかりました |
現在の照合ルールでは、データと一致する複数のアカウント・レコードが見つかりました。 |
|
アカウントの一致が見つかりません |
現在の照合ルールでは、データと一致するアカウント・レコードは見つかりません。 |
|
単一のアカウントの一致が見つかりました |
現在の照合ルールでは、データと一致する単一のアカウント・レコードが見つかりました。 |
|
複数の組織の一致が見つかりました |
現在の照合ルールでは、データと一致する複数の組織レコードが見つかりました。 |
|
組織の一致が見つかりません |
現在の照合ルールでは、データと一致する組織レコードは見つかりません。 |
|
単一の組織の一致が見つかりました |
現在の照合ルールでは、データと一致する単一の組織レコードが見つかりました。 |
|
複数のロール付与の一致が見つかりました |
ロール内のユーザー・メンバーシップと一致する複数のレコードが見つかりました。 |
|
ロール付与の一致が見つかりません |
ロール内のユーザー・メンバーシップと一致するレコードは見つかりません。 |
|
単一のロール付与の一致が見つかりました |
ロール内のユーザー・メンバーシップと一致する単一のレコードが見つかりました。 |
|
複数のロールの一致が見つかりました |
現在の照合ルールでは、データと一致する複数のロール・レコードが見つかりました。 |
|
ロールの一致が見つかりません |
現在の照合ルールでは、データと一致するロール・レコードは見つかりません。 |
|
単一のロールの一致が見つかりました |
現在の照合ルールでは、データと一致する単一のロール・レコードが見つかりました。 |
|
ロール・メンバーが見つかりませんでした |
現在の照合ルールでは、データと一致するロール・メンバーは見つかりません。 |
|
ロールの親が見つかりません |
現在の照合ルールでは、データと一致するロールは見つかりません。 |
|
複数のロール関係の一致が見つかりました |
現在の照合ルールでは、イベントのデータと一致する複数のロール対ロールの関係が見つかりました。 |
|
ロール関係の一致が見つかりません |
現在の照合ルールでは、イベントのデータと一致するロール対ロールの関係は見つかりません。 |
|
単一のロール関係の一致が見つかりました |
現在の照合ルールでは、イベントのデータと一致する単一のロール対ロールの関係が見つかりました。 |
|
複数のユーザーの一致が見つかりました |
現在の照合ルールでは、データと一致する複数のユーザー・レコードが見つかりました。 |
|
ユーザーの一致が見つかりません |
現在の照合ルールでは、データと一致するユーザー・レコードは見つかりません。 |
|
単一のユーザーの一致が見つかりました |
現在の照合ルールでは、データと一致する単一のユーザー・レコードが見つかりました。 |
|
無効なイベント・データが渡されました |
イベントに無効なデータが含まれています。このステータスは、電子メール属性に関係があります。 |
|
再評価中です |
リコンシリエーション・イベントは、現在、リコンシリエーション管理コンソールで再評価されています。 |
|
再試行中です |
リコンシリエーション・イベントは、現在、自動的に再試行されています。このステータス・イベントはすでに廃止されています。 |
|
作成に失敗しました |
ユーザー、アカウントまたはロールのエンティティが、正常に作成されていません。 |
|
作成に成功しました |
ユーザー、アカウントまたはロールのエンティティは、正常に作成されました。 |
|
削除に失敗しました |
ユーザー、アカウントまたはロールのエンティティが、正常に削除されていません。 |
|
削除に成功しました |
ユーザー、アカウントまたはロールのエンティティは、正常に削除されました。 |
|
イベントがクローズされました |
リコンシリエーション・イベントは、リコンシリエーション管理コンソールからクローズされました。変更は完了しています。 |
|
更新に失敗しました |
ユーザー、アカウントまたはロールのエンティティが、正常に更新されていません。 |
|
更新に成功しました |
ユーザー、アカウントまたはロールのエンティティは、正常に更新されました。 |
このモジュールでは、表4-4に示すように、イベントの状態、エンティティ・タイプおよびアクション・ルールに基づいてアクションが適用されます。
表4-4 アクション・ルール
| イベントの状態 | エンティティ・タイプ | アクション | 説明 |
|---|---|---|---|
|
ユーザーの一致が見つかりません |
ユーザー |
アクションなし |
アクションは実行されません。 |
|
ユーザーの作成 |
Oracle Identity Managerのユーザーを作成します。 |
||
|
アカウントの一致が見つかりません |
アカウント |
アクションなし |
アクションは実行されません。 |
|
単一のユーザーが一致しました |
ユーザーまたはアカウント |
アクションなし |
アクションは実行されません。 |
|
ユーザー |
リンクの確立 |
変更タイプに基づいて一致したユーザーを変更または削除します。 |
|
|
アカウント |
リンクの確立 |
所有者が識別され、アカウントが作成されます。 |
|
|
複数のユーザーが一致しました |
ユーザーまたはアカウント |
アクションなし |
アクションは実行されません。 |
|
単一のアカウントが一致しました |
アカウント |
アクションなし |
アクションは実行されません。 |
|
リンクの確立 |
変更タイプに基づいてアカウントを変更または失効します。 |
||
|
複数のアカウントが一致しました |
アクションなし |
アクションは実行されません。 |
|
|
ロールの一致が見つかりません |
ロール |
アクションなし |
アクションは実行されません。 |
|
単一のロールの一致が見つかりました |
ロール |
アクションなし |
アクションは実行されません。 |
|
リンクの確立 |
ロールを変更または削除します。 |
||
|
ロール・メンバーシップ |
ロール・メンバーシップの作成 |
ロール・メンバーをOracle Identity Managerに付与します。 |
|
|
ロール・メンバーシップの削除 |
ロール・メンバーをOracle Identity Managerから削除します。 |
||
|
アクションなし |
アクションは実行されません。 |
||
|
ロール階層 |
ロール階層の作成 |
Oracle Identity Managerにロール階層を作成します。 |
|
|
ロール階層の削除 |
Oracle Identity Managerのロール階層を削除します。 |
||
|
アクションなし |
アクションは実行されません。 |
||
|
複数のロールが一致しました |
ロール、ロール・メンバーシップおよびロール階層 |
アクションなし |
アクションは実行されません。 |
|
ロール付与の一致が見つかりません |
ロール・メンバーシップ |
アクションなし |
アクションは実行されません。 |
|
ロール・メンバーの作成 |
Oracle Identity Managerにロール・メンバーを作成します。 |
||
|
単一のロール付与の一致が見つかりました |
ロール・メンバーシップ |
アクションなし |
アクションは実行されません。 |
|
リンクの確立 |
ロール・メンバーを削除します。 |
||
|
複数のロール付与の一致が見つかりました |
ロール・メンバーシップ |
アクションなし |
アクションは実行されません。 注意: ロール付与の照合は主キー(ユーザー・キーとグループ・キーの組合せ)を検索することで処理されるため、この状態は発生しません。 |
|
ロールの親の一致が見つかりません |
ロール階層 |
アクションなし |
アクションは実行されません。 |
|
ロールの親の作成 |
Oracle Identity Managerにロールの親を作成します。 |
||
|
単一のロールの親の一致が見つかりました |
ロール階層 |
アクションなし |
アクションは実行されません。 |
|
リンクの確立 |
ロールの親を削除します。 |
||
|
複数のロールの親の一致が見つかりました |
ロール階層 |
アクションなし |
アクションは実行されません。 |
|
データ検証に失敗しました |
ロール、ロール階層、ロール・メンバー |
競合状態 |
アクションは実行されません。イベントを再評価する必要があります。 |
|
親ロールが見つかりません |
ロール階層 |
競合状態 |
アクションは実行されません。イベントを再評価する必要があります。 |
|
ロール・メンバーが見つかりません |
ロール・メンバーシップ |
競合状態 |
アクションは実行されません。イベントを再評価する必要があります。 |
この項では、コネクタ表およびリコンシリエーション表に必要な索引を指定してパフォーマンスを向上させる方法について説明します。内容は次のとおりです。
Oracle Identity Managerをインストールすると、必要な索引がOracle Identity Managerデータベース・スキーマに作成されます。ただし、Oracle Identity Managerのいくつかの機能の動的な性質のために、追加の索引が必要になる場合があります。これは、特にリコンシリエーションに当てはまります。
リコンシリエーションでは、照合アルゴリズムを使用して、変更がリクエストされたユーザー、アカウント、ロールまたは組織がOracle Identity Managerにすでに存在するかどうかが検索されます。照合アルゴリズムでは、Oracle Identity Managerの一連の列のデータとターゲット水平表の列のデータが比較されます。照合ルールを格納する列は、リコンシリエーション・プロファイルに定義されます。照合操作のパフォーマンスを迅速に改善するためには、照合ルールの列に正しい索引が作成されている必要があります。
適切な索引を識別する推奨方法を示すために、メタデータ・ストア(MDS)リポジトリに存在するサンプルActive Directory (AD)ユーザー・プロファイルを例として取り上げます。この例では、信頼できるソース・リコンシリエーションおよびターゲット・リソースのリコンシリエーションについて説明します。
信頼できるソース・リコンシリエーションに対する索引の選択
信頼できるソースおよびターゲット・リソースのリコンシリエーションで、照合ルール基準に基づいて索引を選択する手順は、次のとおりです。
テキスト・エディタでADユーザーのプロファイル・ファイルを開きます。
|
注意: ADユーザーのプロファイルは、MDSユーティリティを使用してMDSからインポートする必要があります。MDSユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のMDSユーティリティとユーザーが修正可能なメタデータ・ファイルに関する項を参照してください。 |
次のコード・サンプルに表示されているように、すべてのエンティティを対象としてownerMatchingRuleWhereClauseを検索します。
次に、ownerMatchingRuleWhereClauseを示します。
ownerMatchingRuleWhereClause = (((UPPER(USR.USR_LOGIN)=UPPER(RA_ADUSER7.RECON_USERID5A729570)) OR (UPPER(USR.USR_UDF_OBGUID)=UPPER(RA_ADUSER7.RECON_OBJECTGUID))))
ユーザー・エンティティの照合ルールを構成する列を識別した後は、それに応じて索引を作成します。
|
注意:
|
ターゲット・リソースのリコンシリエーションに対する索引の選択
ターゲット・リソースのリコンシリエーションで、照合ルール基準に基づいて索引を選択する手順は、次のとおりです。
テキスト・エディタでADユーザーのプロファイル・ファイルを開きます。
|
注意: ADユーザーのプロファイルは、MDSユーティリティを使用してMDSからインポートする必要があります。MDSユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のMDSユーティリティとユーザーが修正可能なメタデータ・ファイルに関する項を参照してください。 |
次の図に表示されているように、アカウント検索タグ<matchingruleWhereClause>を検索します。
次に、<matchingruleWhereClause>を示します。
<matchingruleWhereClause>((UD_ADUSER.UD_ADUSER_OBJECTGUID=RA_ADUSER7.RECON_OBJECTGUID))</matchingruleWhereClause>
ユーザー・エンティティの照合ルールを構成する列を識別した後は、それに応じて索引を作成します。
複数値データがあるターゲット・リソースのリコンシリエーションに対する索引の選択
複数値データがあるターゲット・リソースのリコンシリエーションで、照合ルール基準に基づいて索引を選択する手順は、次のとおりです。
テキスト・エディタでADユーザーのプロファイル・ファイルを開きます。
|
注意: ADユーザーのプロファイルは、MDSユーティリティを使用してMDSからインポートする必要があります。MDSユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のMDSユーティリティとユーザーが修正可能なメタデータ・ファイルに関する項を参照してください。 |
権限について、<childreconeventdata>の下にある<matchingruleWhereClause>タグを検索します。
次に、<matchingruleWhereClause>タグを示します。
<matchingruleWhereClause>((UD_ADUSRC.UD_ADUSRC_GROUPNAME=RA_UD_ADUSRC.RECON_MEMBEROF))</matchingruleWhereClause>
ユーザー・エンティティの照合ルールを構成する列を識別した後は、それに応じて索引を作成します。
|
注意: 必要な索引のポインタは、Oracle Enterprise Managerコンソールなどのパフォーマンス・モニタリング・ツールを使用するか、またはOracle Database 11gで使用可能な自動ワークロード・リポジトリ(AWR)のレポートを介して、データベース側からリコンシリエーション・プロセスのリアルタイム実行を監視することで取得することもできます。 |
データベース統計は、SQL問合せの実行時にOracleオプティマイザが最適な計画を選択するために不可欠な情報です。Oracle Identity Managerスキーマの統計は、定期的に収集することをお薦めします。Oracle Identity Manager 11g リリース1 (11.1.1)では、リコンシリエーション・プロセスに多数のデータベースSQL機能が使用されるため、スキーマ統計が更新されていることを確認してからリコンシリエーションを実行してください。
|
注意:
|
また、Oracle Identity Managerリコンシリエーション・プロセスは、データ量が多く、大量のデータが高速で移動するため、データベース統計によって基礎となるデータが正確に表現される必要があります。そのためには、次のガイドラインを参考にしてください。
統計が、Oracle Identity Managerスキーマの新規の設定のリコンシリエーション、または既存のデータがない(あるとしてもわずかな)少量のリコンシリエーションを対象として収集されるようにします。Oracle Identity Managerの関連する表の最大行数は、100から1000までの行にする必要があります。表の例には、信頼できるソース・リコンシリエーションのUSR表や、ターゲット・リソースのリコンシリエーションの親アカウント表があります。
20000以上のユーザーやアカウントなど、大量のデータの移動が予想されるリコンシリエーションが開始した後も、統計が適切な表現のデータ配信になるために、次のようにしてOracle Identity Managerスキーマ統計を収集してください。
リコンシリエーションが正常に開始して、しばらく実行されていた場合にのみ、初期コレクション後の統計を収集するように計画します。これを確認するには、信頼できるソース・リコンシリエーションのUSR表や、ターゲット・リソースのリコンシリエーションの親アカウント(UD_*)表など、Oracle Identity Managerスキーマで主要な複数の表の件数をチェックします。
リコンシリエーションによってUSR表または親アカウント表で約20000から25000行が移動した後で、統計を収集します。
|
注意:
|
統計を収集した後、パフォーマンスは即時には改善されない可能性があります。ただし、Oracle Databaseの共有プールから以前のSQL計画が消去され、さらに効率的な新しい計画が作成されるに従って、パフォーマンスは向上します。
コネクタとは、ターゲット・システムから変更を抽出し、リコンシリエーションAPIをコールしてリコンシリエーション・スキーマにイベントを作成するソフトウェアです。使用するコネクタが事前定義済リコンシリエーション・モジュールに付属している場合は、スケジュール済タスク定義を使用できます。このコンポーネントを使用して、データおよび他のコネクタ固有のパラメータをトラッキングするために、ターゲット・システムで変更がポーリングされる頻度を制御します。
リコンシリエーションのコネクタは、デプロイメント・マネージャを使用してデプロイされます。コネクタがデプロイされると、そのコネクタの対応するリコンシリエーション・プロファイルがメタデータ・ストア(MDS)に作成され、イベント・データを格納する水平表も作成されます。
|
注意: リコンシリエーションの実行中は、リコンシリエーション・プロファイルを手動で更新したり、デプロイメント・マネージャまたはOracle Identity Manager Design Consoleからリコンシリエーション構成を更新しないでください。これは、リコンシリエーションの実行中にリコンシリエーション・フィールドが削除または更新されると、イベント・データが無効になる可能性があるためです。 |
コネクタの構成の詳細は、Oracle Identity Managerのコネクタのドキュメントを参照してください。
|
関連項目:
|
リコンシリエーション・アーカイブ・ユーティリティを使用すると、処理したイベントをアーカイブ・リコンシリエーション表からアーカイブ表に移動できます。移動するイベントは、時間の範囲に基づいて選択できます。アーカイブできるのは、リンクしたイベントおよびクローズしたイベント(つまり、正常に処理されたか、管理者がクローズしたイベント)のみです。
|
関連項目: リコンシリエーション・アーカイブ・ユーティリティの使用方法は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのリコンシリエーション・アーカイブ・ユーティリティの使用に関する項を参照してください。 |
新規のリコンシリエーション・サービスを活用するために、既存のリコンシリエーション構成またはスケジュール済タスクを変更する必要はありません。
Oracle Identity Managerの以前のリリースでのリコンシリエーション設定に関する既存の構成は、11g リリース1 (11.1.1)にアップグレードした後も引き続き機能します。アップグレードの一環として、リコンサイル対象の既存のオブジェクト・タイプごとに、対応するリコンシリエーション・イベントの表が作成されます。
リコンシリエーション・マネージャはWebベースのUIで、Oracle Identity Manager管理およびユーザー・コンソールの一部です。リコンシリエーション・マネージャでは、Oracle Identity Managerリコンシリエーション・エンジンによって生成されたリコンシリエーション・イベントを表示および管理できます。これらのイベントは、スケジュール済リコンシリエーション実行を介して生成されます。リコンシリエーション・マネージャには、リコンシリエーション実行およびイベントの検索機能が用意されています。リコンシリエーション・マネージャを使用すると、生成されたイベントに対してリコンシリエーションを手動で実行できます。
|
関連項目: リコンシリエーション・マネージャの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのリコンシリエーション・イベントの管理に関する項を参照してください。 |
Oracle Identity Managerのユーザーおよびロールは、Oracle Identity Managerデータベースに格納されます。ただし、Oracle Identity Managerでユーザー、ロールまたはロール・メンバーシップの変更が発生した場合、この情報はLDAPアイデンティティ・ストアに伝播されます。ユーザー、ロールまたはロール・メンバーシップの変更がLDAPで直接発生した場合、これらの変更はOracle Identity Managerに同期化されます。同期化には、次のことが含まれます。
ユーザーの作成、変更、削除、有効または無効へのステータス変更、およびパスワード変更が、Oracle Identity Managerの内部表に加え、LDAPでも実行されます。
ロールの作成、変更および削除アクションにより、LDAPグループがメンバーシップ変更も含めて更新されます。
ユーザー、ロールおよびロール・メンバーシップの初期ロードが同期化されます。
LDAPでのユーザー・プロファイルに対する直接変更がOracle Identity Managerにリコンサイルされます。
LDAPでのロールおよびロール・メンバーシップに対する直接変更がOracle Identity Managerにリコンサイルされます。
ユーザーおよびロール・データで変更が発生すると、実際の操作はカーネル・ハンドラを活用して実行されます。これらのハンドラは、検証、前処理、アクションおよび後処理など、オーケストレーション・ライフサイクルの様々な段階を通過します。カーネル・オーケストレーションの様々な段階の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』を参照してください。
Oracle Identity Managerカーネル・オーケストレーションはエンティティ・マネージャに接続し、そのエンティティ・マネージャがさらにLDAPプロバイダに接続します。LDAPプロバイダはOracle Virtual Directory (OVD)に接続します。OVDは、Oracle Internet Directory、iPlanet、Active Directoryなど、様々なディレクトリ・システムへのインタフェースです。LDAPプロバイダはOVDを使用してLDAPデータにアクセスします。図4-8に、Oracle Identity ManagerとLDAP間の通信を示します。
Oracle Identity ManagerとLDAPアイデンティティ・ストア間での統合の構成およびデータの同期化の詳細は、次の各項を参照してください。
Oracle Identity ManagerとLDAP間の統合の構成は、Oracle Identity Managerのインストール時に実行されます。Oracle Identity Managerは、LDAP付きまたはLDAPなしでのインストールを選択できます。Oracle Identity ManagerをLDAP付きでインストールする場合は、OVDおよびOracle Internet Directoryをインストールして、予約されたユーザーを格納するコンテナを作成し、Oracle Identity Managerの操作を実行する新規ユーザーをOracle Identity Managerに作成し、Oracle Identity ManagerにあわせてOVDおよびOracle Internet Directoryを構成する必要があります。これらの構成設定の実行方法は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のLDAP同期化の設定に関する項を参照してください。
LDAPが有効な状態のOracle Identity Managerをインストールした後は、次の各スケジュール済ジョブを開き、Oracle Internet Directoryの最終変更ログ番号の値を使用して、各ジョブの「最終変更番号」パラメータを更新する必要があります。
LDAPユーザー作成および更新のリコンシリエーション
LDAPユーザー削除のリコンシリエーション
LDAPロール・メンバーシップのリコンシリエーション
LDAPロール階層のリコンシリエーション
LDAPロール作成および更新のリコンシリエーション
LDAPロール削除のリコンシリエーション
さらに、「最終変更番号」パラメータを更新した後は、これらのスケジュール済ジョブを有効にする必要があります。これを行うには、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのジョブの無効化と有効化に関する項を参照してください。
|
関連項目: スケジュール済ジョブの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのスケジュール済タスクの管理に関する項を参照してください。 |
Oracle Identity Managerデータベースには、ユーザーおよびロールの情報が格納されています。Oracle Identity Managerでユーザーおよびロールの情報が更新された場合は、LDAPディレクトリなどの外部リポジトリも更新する必要があります。
LDAPの変更は、Oracle Identity Managerの変更の前に実行されます。Oracle Identity Managerで変更が失敗した場合は、LDAPへの変更を元の状態に戻す必要があります。これは、有効化操作を無効化操作で、作成操作を削除操作でそれぞれ修正し、変更操作を当初の値を使用した変更操作で修正することによって実現します。
たとえば、ユーザーが作成された場合、検証段階では、パスワードや他のポリシーの検証などの検証プロセスが実行されます。前処理段階では、最初にLDAPにユーザーが作成されます。そのユーザーは、次のアクション段階で、Oracle Identity Managerに作成されます。Oracle Identity Managerでのユーザーの作成でエラーが発生した場合、Oracle Identity Managerには対応するユーザーが作成されていないため、そのユーザーはLDAPから削除する必要があります。変更を元に戻す操作は、Oracle Identity Managerに事前定義されている補正メソッドを使用したカーネル・ハンドラによって提供されます。
|
注意: 各ハンドラには、実行メソッドと補正メソッドが事前定義されています。実行メソッドでは、任意の操作(ユーザーの作成など)が実行されます。補正メソッドは、エラーが発生した場合にコールされ、実行メソッドが実行した操作を元に戻します。 |
Oracle Identity ManagerからLDAPにデータを同期化するには、LDAPの場所をOracle Identity Managerで把握している必要があります。LDAPの場所に関する情報は、DirectoryServer ITリソースとしてOracle Identity Managerに格納されています。これは、Oracle Identity Managerによって提供されるデフォルトのITリソースです。Oracle Identity Managerのインストール時に指定可能な、このITリソースの様々なパラメータを使用すると、Oracle Identity ManagerとLDAPを接続できます。
識別名(DN)およびGUID属性は、Oracle Identity ManagerとLDAPで同じエントリを識別するために使用されます。LDAPの各エントリにはDN属性があり、LDAP内でのエントリの一意の場所を示します。GUID属性は、エントリを識別するための一意のIDです。ユーザーおよびロールのDNとGUIDは、Oracle Identity Managerデータベースのユーザーおよびロールの表の列に格納されます。Oracle Identity ManagerとLDAP間でユーザー定義フィールドを同期化する方法の詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのOracle Identity ManagerとLDAP間でのユーザー定義フィールドの同期化に関する項を参照してください。
この項の内容は次のとおりです。
Oracle Identity ManagerからLDAPにデータを同期化するには、次のユーザー操作を実行できます。
ユーザーの作成
ユーザーの更新
ユーザーの削除
ユーザーの有効化
ユーザーの無効化
ユーザーのロック
ユーザーのロック解除
ロール・メンバーの追加
ロール・メンバーを削除します。
パスワードの変更
Oracle Identity ManagerからLDAPにデータを同期化するには、次のロール操作を実行できます。
ロールの作成
ロールの更新
ロールの削除
メンバーへのロールの追加
ロールの追加と更新
メンバーからのロールの削除
ロール階層の追加
ロール階層の削除
LDAPアイデンティティ・ストアでアイデンティティが直接変更された場合は、認証ソースのリコンシリエーションを介して、その変更をOracle Identity Managerにレプリケートする必要があります。アイデンティティには、ユーザーおよびロールが含まれます。
LDAPからOracle Identity Managerへのユーザーのリコンサイルは、リコンシリエーションのスケジュール済タスクが含まれているリコンシリエーションの一般構成で機能します。
|
関連項目:
|
|
注意: LDAPからOracle Identity Managerにユーザーをリコンサイルする際に、LDAP同期化リコンシリエーション・ジョブではなく、バルク・ロード・ユーティリティを使用すると、LDAP同期化が有効な場合は、これらのユーザーに関する後続の操作に失敗する可能性があります。これを回避するには、Oracle Identity Managerにロードされているすべてのユーザーを正しいGUIDおよびDNの値で更新し、LDAP内のこれらのユーザーすべてをorclIDXPersonと呼ばれるオブジェクト・クラスで更新する必要があります。 バルク・ロード・ユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のバルク・ロード・ユーティリティに関する項を参照してください。 |
ロールのリコンシリエーションは、LDAPグループでのみ機能します。ロールのリコンシリエーションでは、ロールの作成、更新および削除がサポートされています。ロール・メンバーシップのリコンシリエーションでは、外部のLDAPディレクトリで発生した変更から導出されたロール・メンバーシップの作成と削除がサポートされています。
Oracle Identity Managerにロールおよびユーザーが存在しない場合、ロール・メンバーシップのリコンシリエーションは失敗します。したがって、LDAP同期化スケジュール済ジョブは、次の順序で実行するように構成してください。
Fusion Applicationsロール・カテゴリ・シーディング
|
注意: Fusion Applicationsロール・カテゴリ・シーディングは事前定義済のスケジュール済タスクで、LDAP同期化が有効な場合のみ、他のLDAP同期化スケジュール済ジョブとともに生成されます。このジョブは、LDAP内の異なるビジネス・カテゴリをすべて取得し、OIMロール・カテゴリとして作成します。 事前定義されたスケジュール済ジョブのリストは、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドの事前定義済のスケジュール済タスクに関する項を参照してください。 |
LDAPロール作成および更新のリコンシリエーション
LDAPロール階層のリコンシリエーション
LDAPユーザー作成および更新のリコンシリエーション
LDAPロール・メンバーシップのリコンシリエーション
Fusion Applicationsロール・カテゴリ・シーディングを除くこれらの各ジョブには、完全リコンシリエーションを実行するためのパラレル・ジョブがあります。Fusion Applicationsロール・カテゴリ・シーディングを除くこれらすべてのジョブは、変更ログに基づいてリコンシリエーションを実行しますが、完全リコンシリエーション・ジョブは、検索ベースを使用してリコンシリエーションを実行します。
