| Oracle® Fusion Middleware Oracle Identity Manager管理者ガイド 11g リリース2 (11.1.2) B69535-02 |
|
 前 |
 次 |
接続なしリソースとは、コネクタが存在しないターゲットのことです。したがって、接続なしリソースのプロビジョニングは自動的に処理されないため、手動で実行する必要があります。以前のリリースのOracle Identity Managerでは、接続なしのプロビジョニングは第一のユースケースとしてはサポートされておらず、プロビジョニング・プロセスで手動タスクを使用することによりサポートされています。この方法には多くの制限があり、接続なしリソースのモデルではこのような制限に対処しています。Oracle Identity Manager 11gリリース2(11.1.2)では、接続なしリソースは手動プロビジョニングの拡張構成であり、SOA統合を使用して、手動プロビジョニング・ワークフローの柔軟性と構成可能性を高めるものです。
接続なしリソースの例には、バッジ、ラップトップ、ページャなど、処理が手動で行われるアイテムがあります。
この章の内容は次のとおりです。
接続なしリソース機能では、既存のOracle Identity Managerプロビジョニング・エンジン・アーティファクト(プロビジョニング・プロセス、プロセス・タスク、アダプタなど)を使用しますが、その際に、シームレスかつ構成可能な方法でBPEL統合を提供します。
UIを使用して接続なしアプリケーション・インスタンスが作成されると、リソース・オブジェクト(「切断」タイプ)、基本的なプロビジョニング操作のタスクを含むプロビジョニング・プロセス、ITリソース、最小限のフィールド(さらにカスタマイズ可能)を含むプロセス・フォームなどの多くのバックエンド構成アーティファクトが、自動的にシードされます。
図9-1に、接続なしリソースのプロビジョニング・プロセス・アーキテクチャを示します。
接続なしアプリケーション・インスタンスが(リクエストまたはその他の方法によって)ユーザーにプロビジョニングされると、プロビジョニング・プロセスで特定のワークフローがトリガーされます。これにより、対応するプロセス・タスクが起動されて手動のプロビジョニング・アダプタが実行され、即時利用可能な接続なしSOAコンポジット・プロビジョニングが実行されます。SOA手動タスクが、システム管理者にデフォルトで割り当てられます。割当て先が手動タスクに対応すると、provisioningcallback Webサービスが割当て先指定のレスポンスで起動され、その後、プロビジョニング操作が完了または中断されて、アカウントが適切に更新されます。
表9-1に、コンポジットで使用可能な手動のSOAコンポジット・プロビジョニングのペイロードの属性を示します。
表9-1 手動のSOAコンポジット・プロビジョニングのペイロードの属性
| 属性 | 説明 |
|---|---|
|
アカウントID |
考慮対象アカウントのアカウントID (oiu_key) |
|
AppInstance名 |
接続なしアプリケーション・インスタンスの表示名 |
|
リソース・オブジェクト名 |
接続なしリソース・オブジェクト名 |
|
ITリソース名 |
接続なしITリソース名 |
|
受益者ログイン |
アカウント受益者のログイン |
|
エンティティ・キー |
アカウントのプロビジョニング、失効、無効化および有効化の各操作におけるアプリケーション・インスタンス・キー。 |
|
エンティティ・タイプ |
アカウントのプロビジョニング、失効、無効化および有効化の各操作において、タイプはApplicationInstanceに設定されます。 |
|
受益者の名 |
アカウント受益者の名 |
|
受益者の姓 |
アカウント受益者の姓 |
|
記述フィールド |
考慮対象アカウントのアカウント記述フィールド |
|
URL |
Oracle Identity ManagerのWebサービスのコールバックURL |
|
リクエスト・キー |
リクエストを介した操作の場合のリクエスト・キー |
|
リクエスタ・ログイン |
リクエストを介した操作の場合のリクエスタのログイン |
接続なしアプリケーション・インスタンスの管理には、次のタスクが含まれます。
|
注意: アプリケーション・インスタンスを作成する前に、新しいサンドボックスを作成してから、アプリケーション・インスタンス作成後に公開する必要があります。サンドボックスの作成と公開の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のサンドボックスの管理に関する項を参照してください。 |
接続なしアプリケーション・インスタンスを作成するには:
Oracle Identity System Administrationにログインします。
左ペインの「構成」で、「アプリケーション・インスタンス」をクリックします。「アプリケーション・インスタンス」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「アプリケーション・インスタンスの作成」ページが表示されます。
それぞれの属性フィールドに、次の表に示すように値を入力します。
| 属性 | 値 |
|---|---|
|
名前 |
アプリケーション・インスタンスの名前を入力します。これは必須フィールドです。 |
|
表示名 |
アプリケーション・インスタンスの表示名を入力します。これは必須フィールドです。 |
|
説明 |
アプリケーション・インスタンスの説明を指定します。 |
|
切断 |
チェック・ボックスを選択します。これは、アプリケーション・インスタンスが接続されていないかどうかを示すフラグです。 注意: これはUI専用のフラグであり、バックエンドでは維持されません。「リソース・オブジェクト」および「ITリソース・インスタンス」の各フィールドはバックエンドで自動的に作成されるため、このフラグをチェックすると、これらのフィールドが無効化されます。 |
図9-2に、「アプリケーション・インスタンスの作成」の属性の属性を示します。
「保存」をクリックします。アプリケーション・インスタンスが作成され、アプリケーション・インスタンスの詳細が表示されます。
接続なしリソースのUIフォームが自動的に作成されて設定されたら、「適用」をクリックします。
アプリケーション・インスタンスに加えて、バックエンドで次のプロビジョニング・アーティファクトが自動的に作成されます。
タイプが「切断」のリソース・オブジェクト
次のパラメータ含むITリソース・タイプ定義
構成参照
コネクタ・サーバー名
アイデンティティ・ゲートウェイ名
|
注意: ITリソース・タイプ定義パラメータは将来使用するためのものであり、同じパラメータの値を設定する必要はありません。 |
タイプ定義のITリソース
次のフィールドを含む親プロセス・フォーム
アカウントID
パスワード
アカウント・ログイン
ITリソース
次の操作のワークフローを含むプロセス定義
アカウントのプロビジョニング
アカウントの有効化
アカウントの無効化
アカウントの失効
アカウント属性の変更
アダプタ
手動プロビジョニング
手動による権限プロビジョニング
「システム管理」のUIから、カタログ同期化ジョブと呼ばれるスケジュール済ジョブを検索して実行します。
既存の接続なしリソースに対して接続なしアプリケーション・インスタンスを作成するには、8.2.1項「アプリケーション・インスタンスの作成」を参照してください。
|
注意: 「切断」オプションは、選択するとリソース・オブジェクトやITリソースなどのアーティファクトがバックエンドで作成されるため、選択を解除しておく必要があります。 |
「有効化」、「無効化」、「失効」または「プロビジョニング」の各操作に対してプロビジョニング・プロセスがトリガーされると、対応するプロセス・タスクが挿入され、手動プロビジョニング・アダプタが実行されます。このアダプタにより、即時利用可能なSOAコンポジット・プロビジョニングが実行されます。SOAヒューマン・タスクが、システム管理者にデフォルトで割り当てられます。
「保留中の承認」ページからのシステム管理者は次のタスクを実行できます。
タスクの詳細を確認します。
アカウントの詳細を確認します。
データを変更して「履行」ボタンをクリックすることにより、OIMのプロセス・フォーム・データを変更します。
ターゲットで操作の手動により実行します。
「完了」または「却下」をクリックすることにより、保留タスクを実行します。
図9-3に、受益者に対するプロビジョニング操作のフィールド・オプションを示します。
割当て先が保留中の手動タスクに対応すると、コールバック・プロビジョニングのWebサービスが起動され、これにより、Oracle Identity Manager操作が継続されてアカウントが適切に更新されます。割当て先アクションに基づいたアカウント・スタータスの変更の詳細は、9.5項「手動のプロセス・タスク・アクションでのステータス変更」を参照してください。
接続なしリソースのプロセス・フォーム・フィールドが更新されると、「<FORM_NAME>が更新されました」プロセス・タスクが、プロビジョニング・プロセスに挿入されます。これにより、割当て先によって対応するターゲットにおける変更を手動で更新できるよう、手動のSOAヒューマン・タスクが生成されます。
|
注意: 「<FORM_NAME>が更新されました」タスクは、単一または複数のどちらのプロセス・フォーム・フィールドに対する更新であるかに関係なく挿入されます。この動作は接続リソースの動作とは異なります。また、接続なしリソースに対して、個々のプロセス・フォーム・フィールド更新タスクを構成する必要はないことに注意してください。 |
接続なしリソースの権限の管理には、次のタスクが含まれます。
接続なしリソースに対する権限付与の構成には、次の構成が含まれます。
子フォームを作成し、権限の参照定義を構成するには:
接続なしアプリケーション・インスタンスが作成されると、「ITリソース・インスタンス」フィールドに、作成されたITリソース・インスタンスの名前が移入されます。ITリソース・インスタンス名を書き留めます(この手順は「アプリケーション・インスタンスの作成」ページで参照します)。
SQL Plusを使用して、Oracle Identity Managerデータベースへの接続をオープンし、次の問合せを実行します。
Select svr_key, svr_name from svr where svr_name=<IT_RESOURCE_NAME>
ステップ1のITリソース名をsvr_nameとして使用します。この問合せによって返されるsvr_keyを書き留めます。
Oracle Identity System Administrationにアクセスします。「構成」で、「フォーム・デザイナ」をクリックし、次の手順を実行します。
「タイプ」を「リソース」として選択します。
「リソース・タイプ」をクリックし、接続なしリソースを検索します。
検索結果から、接続なしアプリケーション・インスタンス・フォーム名をクリックします。
「子オブジェクト」タブに移動し、「追加」をクリックして子フォームを追加します。
「名前」フィールドで子表に名前を指定し、「OK」をクリックします。
編集のために「UD_<CHILD_TABLE_NAME>」リンクをクリックして開きます。
権限フィールドに、次の値を指定します。
表示ラベル・フィールドに、表示名を入力します。
「名前」フィールドに、参照の名前を入力します。
次のチェック・ボックスを選択します。
検索可能
権限
「検索可能」ピックリスト
|
注意: 「検索可能」、「権限」および「「検索可能」ピックリスト」の各チェック・ボックスを選択して、権限フィールドを子フォーム上で作成することは必須です。 |
参照タイプの新規カスタム・フィールドを作成し、「OK」をクリックします。
「値リスト」セクションで、新しい参照タイプ作成のアイコンをクリックして、「意味」(Lookup.Laptop.appsなど)、「コード」(Lookup.Laptop.appsなど)および説明の値を次のように指定します。
「新規」をクリックして権限値を追加し、参照コードを追加します。「コード」および「意味」の各列の値は、次の形式である必要があります。
| コード | 意味 |
|---|---|
|
<svr_key>~<ENTITTLEMENT_NAME> |
<ENTITLEMENT_DESCRIPTION> |
「保存して閉じる」をクリックします。
「親オブジェクトに戻る」をクリックして親フォームに戻ります。
「ビューの再生成」をクリックしてUIアーティファクトおよびデータセットを再生成し、「OK」をクリックして確認します。
Oracle Identity System Administrationの「システム管理」→「スケジューラ」に戻ります。
権限リスト・スケジュール済ジョブを検索して実行します。
スケジュール済ジョブの実行が完了した後、カタログ同期化ジョブと呼ばれる別のスケジュール済ジョブを検索して実行します。
SOAコンポジットを起動するプロセス・タスクを構成するには:
Design Consoleから、接続なしリソースの「プロセス定義」フォームに移動します。
「タスクの追加」をクリックして、たとえばGrant UD_ENT Entitlementという名前の新しいプロセス・タスクを追加します。
|
注意: 次のことを確認する必要があります。
|
子表(UD_ENTなど)をコンボ・ボックスから選択して、「トリガー・タイプ」を「挿入」として設定します。
タスクを保存します。図9-4に、プロセス・タスク・フィールドを示します。
同じタスクの「レスポンス」タブに移動して、図9-5に示すように「レスポンス」、「説明」および「ステータス」を追加します。
同じタスクの「統合」タブに移動します。
「追加」をクリックして、「アダプタ」ラジオ・ボタンを選択します。
adpMANUALENTITLEMENTPROVISIONINGアダプタを選択します。このアダプタには変数が7つあります。図9-5は、アダプタ変数マッピングの例を示します。
表9-2に示すように、リテラル文字列へのアダプタ変数マッピングを構成します。
|
注意: このステップを実行する際に、末尾にスペースが入らないようにしてください。 |
表9-2 権限付与のアダプタ変数マッピング
| 変数名 | マップ先 |
|---|---|
|
AccountKey |
AccoutKey(Org) |
|
CompositeName |
SOAコンポジット |
|
ProvisioningOperation |
権限の付与 |
|
OperationKey |
タスク・インスタンス・キー |
|
サービス名 |
manualprovisioningprocess_client |
|
CompositeURL |
http://xmlns.oracle.com/DefaultProvisioningComposite/DisconnectedProvisioning/ManualProvisioningProcess |
|
アダプタの戻り値 |
レスポンス・コード |
前述の構成が完了したら、このアカウントのユーザーについて接続なしリソース権限をリクエストできます。これにより、ステップ4で作成されたプロセス・タスクが挿入されます。ターゲットにおいて権限を手動で付与するために、SOAヒューマン・タスクがシステム管理者に割り当てられます。割当て先が保留中のヒューマン・タスクに対応すると、コールバック・プロビジョニングのWebサービスが起動され、これにより、Oracle Identity Manager操作が完了または中断されます。割当て先アクションに基づいたスタータスの変更の詳細は、9.5項「手動のプロセス・タスク・アクションでのステータス変更」を参照してください。
権限の失効を構成するには:
Design Consoleに移動して、接続なしリソースの「プロセス定義」フォームに移動し、「タスクの追加」をクリックします。
ManualRevokeEntitlementStartの名前で新しいプロセス・タスクを追加します。
|
注意: 次のことを確認する必要があります。
|
同じタスクの「レスポンス」タブに移動して、次のレスポンスおよびステータスを追加します。
| レスポンス | 説明 | ステータス |
|---|---|---|
|
完了 |
完了 |
C |
|
却下 |
却下 |
R |
同じタスクの「統合」タブに移動します。
「追加」をクリックして、「アダプタ」ラジオ・ボタンを選択します。
adpMANUALENTITLEMENTPROVISIONINGアダプタを選択します。このアダプタには変数が7つあります。
「保存」をクリックし、プロセス・タスクを保存して閉じます。
表9-3に示すように、リテラル文字列へのアダプタ変数マッピングを構成します。
|
注意: 末尾にスペースが入らないようにしてください。 |
表9-3 権限失効のアダプタ変数マッピング
| 変数名 | マップ先 |
|---|---|
|
AccountKey |
プロセス・データ、プロセス・インスタンス |
|
CompositeName |
default/DisconnectedProvisioning!1.0 |
|
ProvisioningOperation |
権限の失効 |
|
OperationKey |
タスク・インスタンス・キー |
|
サービス名 |
manualprovisioningprocess_client |
|
CompositeURL |
http://xmlns.oracle.com/DefaultProvisioningComposite/DisconnectedProvisioning/ManualProvisioningProcess |
|
アダプタの戻り値 |
レスポンス・コード |
|
注意: このステップを実行する際に、末尾にスペースが入らないようにしてください。 |
表9-4に、手動タスク・アクションに基づいたステータス変更の詳細を示します。
表9-4 手動のプロセス・タスク・アクションのステータス
| プロビジョニング操作 | 手動タスク・アクション | プロビジョニング・アクション |
|---|---|---|
|
プロビジョニング |
完了 |
アカウント・ステータスは「プロビジョニング済」に設定されます。 |
|
プロビジョニング |
却下 |
アカウント・ステータスは更新されません。 |
|
無効化 |
完了 |
アカウント・ステータスは「無効」に設定されます。 |
|
無効化 |
却下 |
アカウント・ステータスは更新されません。 |
|
有効化 |
完了 |
アカウント・ステータスは「有効」に設定されます。 |
|
有効化 |
却下 |
アカウント・ステータスは更新されません。 |
|
失効 |
完了 |
アカウント・ステータスは「失効」に設定されます。 |
|
失効 |
却下 |
アカウント・ステータスは更新されません。 |
|
更新 |
完了 |
操作は行われません。 |
|
更新 |
却下 |
操作は行われません。 |
|
権限の付与 |
完了 |
子表のトリガー挿入プロセス・タスクが完了すると権限ステータスが「プロビジョニング済」に設定されます。 |
|
権限の付与 |
却下 |
子表のトリガー挿入プロセス・タスクが取り消されると、子表のエントリが削除されます。 |
|
権限の失効 |
完了 |
Oracle Identity Managerから子表のエントリが削除されます。 |
|
権限の失効 |
却下 |
操作は行われません。 |
SOAコンポジット・プロビジョニングには、次のカスタマイズが含まれます。
手動の接続なしSOAコンポジット・プロビジョニングにはデフォルト・ルール(ManualProvisioningRule)があり、このルールによってヒューマン・タスクがシステム管理者に割り当てられます。
ペイロード(アプリケーション・インスタンス名など)に応じて、より優先度が高いカスタム・ルールをSOAコンポーザUIから作成でき、このルールに従って、手動タスク割当てをカスタマイズできます。
カスタム・ルールを追加するには:
SOAコンポーザUIにログインして「オープン・タスク」をクリックし、「DisconnectedProvisioning_rev1.0 composite」を選択します。
「ManualProvisioningTaskRules.rules」タブから、「編集」をクリックしてカスタム・ルールを追加します。
ルール名および条件付き割当てルールを指定して、ルールを追加します。
上矢印を使用して、カスタム・ルールをManualProvisioningRuleの上に移動します。
変更を保存してコミットします。図9-7に、追加された手動プロビジョニング・ルールを示します。
|
関連項目: ルールの作成の詳細は、SOAコンポーザのドキュメントを参照してください。 |
コンポジットの即時利用可能な接続なしプロビジョニングを変更するには:
OIM_HOME/workflows/composites/DisconnectedProvisioning.zipから、ローカルのJDeveloper作業場所にコンポジットをコピーします。同じディレクトリでコンポジットを解凍し、DisconnectedProvisioningディレクトリを作成します。
デフォルト・ロールにより、JDeveloperでコンポジットを開きます。
|
注意: Oracle Identity Managerデプロイメントと互換性のあるバージョンのJDeveloperをインストールする必要があります。また、JDeveloperがSOAコンポジットと連携して正しく動作するよう、JDeveloperのパッチをインストールします。 |
カスタマイズの一環として、次を変更しないようにしてください。
DisconnectedProvisioning\xsd\ManualProvisioningTaskPayload.xsdで定義されたペイロード属性
ProvisioningCallbackServiceパートナリンクおよびマッピング
composite.xmlをダブルクリックしてコンポジットを開き、要件に従って変更します。
SOAコンポジットをJdeveloperからOracle SOAサーバーにデプロイします。リビジョンIDを更新しないようにして、「同じリビジョンIDで既存のコンポジットを上書きします。」オプションを選択します。
表9-5に、接続なしリソースに対するプロビジョニングやその他のタスクを実行したとき発生する可能性がある一般的な問題を示します。
表9-5 接続なしリソースのトラブルシューティング
| 問題 | 解決策 |
|---|---|
|
接続なしアプリケーション・インスタンスをプロビジョニングするときに、手動タスクが割当て先に割り当てられない。 |
次の手順を実行します。
|
|
手動タスクの完了時に、アカウント・ステータスが変更されない。 |
次の手順を実行します。
|
|
権限の失効操作用のカタログ・リクエストを送信するときに、次のエラーがスローされた。 JBO-29115 次のエラーのためにエラー・メッセージを作成できません: java.lang.IllegalArgumentException: 引数番号を解析できません UD_D1001C_INTERNALATTR= |
名前がManualRevokeEntitlementStartのプロセス・タスクが、9.4.2項「権限の失効の構成」で説明した手順に従って正しく構成されていることを確認します。 |
