Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerコネクタは、Oracle Identity Manager (OIM)と外部のアイデンティティ対応アプリケーションの統合に使用されます。このマニュアルでは、IBM Lotus Notes and Dominoを、OIMのアイデンティティ・データの管理対象(ターゲット)リソースとしてまたは認証された(信頼できる)ソースとして使用するためのコネクタについて説明します。
注意:
このマニュアルでは、IBM Lotus Notes and Dominoをターゲット・システムと呼ぶことがあります。
コネクタのアカウント管理(ターゲット・リソース)モードにおいて、ターゲット・システムで直接作成または変更されたユーザーに関する情報を、OIMにリコンサイルできます。また、OIMを使用して、ターゲット・システムでプロビジョニング操作を実行できます。
コネクタのアイデンティティ・リコンシリエーション(信頼できるソース)構成において、ユーザーはターゲット・システムでのみ作成または変更され、これらのユーザーに関する情報がOIMにリコンサイルされます。
注意:
認可(信頼できる)ソースおよび管理対象(ターゲット)リソースの両方でターゲット・システムを構成しないことをお薦めします。
この章では次の項について説明します。
表1-1に、このコネクタで動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
項目 | 要件 |
---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
次のいずれかのリリースのOracle Identity GovernanceまたはOracle Identity Managerを使用できます。
|
ターゲット・システム |
IBM Lotus Notes/Domino 8、8.5、8.5.x、9.0、9.0.1 注意: IBM Lotus Notesはコネクタと同じコンピュータにインストールする必要があります。 |
コネクタ・サーバー |
11.1.2.1.0 |
コネクタ・サーバーJDK |
Oracle Identity Manager 11gリリース2 (11.1.2.0)およびこのリリース・トラックでの以降のBPの場合、JDK 1.6以降を使用します。 |
外部コード |
これらのファイルの詳細は、「外部コード・ファイルの使用」を参照してください。 |
Oracle Identity Managerおよびターゲット・システムのバージョンに基づいて、これらのコネクタ・バージョンのいずれかをデプロイして使用します。
使用しているOracle Identity Managerバージョンに応じて、次のコネクタのいずれかをデプロイして使用する必要があります。
Oracle Identity Managerリリース9.1.0.1以降でOracle Identity Manager 11gリリース1 (11.1.1.5.0)より前のバージョンを使用している場合は、このコネクタのバージョン9.0.4.xを使用します。
Oracle Identity Manager 11gリリース1 (11.1.1.5.0)以降、Oracle Identity Manager 11gリリース2 BP04 (11.1.2.0.4)以降、またはOracle Identity Manager 11gリリース2 PS3 (11.1.2.3.0)を使用している場合は、このコネクタの最新の11.1.1.xバージョンを使用してください。
使用しているターゲット・システムに応じて、次のコネクタのいずれかをデプロイして使用する必要があります。
次のターゲット・システムを使用している場合は、このコネクタのバージョン9.0.4.xを使用します。
Oracle Enterprise Linux 5.2
Solaris 8
次のターゲット・システムを使用している場合は、このコネクタの最新バージョン11.1.1.xを使用します。
Exadata V2、ExaLogic X2-2
Oracle Enterprise Linux5.2+x86 (32ビット)およびx64 (64ビット)以降
Solaris 11
コネクタでサポートされている言語は次のとおりです。
アラビア語
中国語(簡体字)
中国語(繁体字)
デンマーク語
英語
フランス語
ドイツ語
イタリア語
日本語
韓国語
ポルトガル語(ブラジル)
スペイン語
Lotus Notes/Dominoコネクタを使用すると、Oracle Identity Managerを介してユーザー・アカウントを管理できます。
図1-1に、IBM Lotus Notes and Dominoのコネクタのアーキテクチャを示します。
コネクタは、次のいずれかのモードで実行するように構成できます。
アイデンティティ・リコンシリエーション
アイデンティティ・リコンシリエーションは、認可ソースまたは信頼できるソースのリコンシリエーションとも呼ばれます。この形式のリコンシリエーションでは、ターゲット・システムでのユーザーの作成または更新に対応してOIMユーザーが作成または更新されます。
更新後は、そのユーザーのみが更新されるように、信頼できるソースのリコンシリエーションを再度実行する必要があります。
アカウント管理
アカウント管理は、ターゲット・リソース管理とも呼ばれます。コネクタのこのモードでは、次の操作が可能です。
プロビジョニング
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザーを作成または更新します。Lotus NotesリソースをOIMユーザーに割り当てると(またはプロビジョニングすると)、そのユーザーにIBM Lotus Notes and Dominoのアカウントが作成されます。Oracle Identity Manager関連では、プロビジョニングという用語は、Oracle Identity Managerを使用したターゲット・システム・アカウントに対する更新を意味する場合にも使用されます。
ターゲット・リソースのリコンシリエーション
ターゲット・リソースのリコンシリエーションでは、新たに作成または変更されたターゲット・システム・アカウントに関連するデータをリコンサイルして、既存のOIMユーザーやプロビジョニングされたリソースにリンクすることができます。リコンシリエーションには、スケジュール済ジョブが使用されます。
注意:
詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』の「Identity Connector Frameworkの理解」を参照してください。
コネクタの機能には、完全リコンシリエーションと増分リコンシリエーション、制限付きリコンシリエーション、リコンシリエーションおよびプロビジョニング用の新しい属性の追加のサポートなどがあります。
コネクタを使用して、Oracle Internet DirectoryをOracle Identity Managerのターゲット・リソースまたは信頼できるソースとして構成できます。
詳細は、「リコンシリエーションの構成」を参照してください。
リコンシリエーション実行について、リコンサイルする必要のある、追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
詳細は、「制限付きリコンシリエーションの実行」を参照してください。
コネクタのデプロイ後、完全リコンシリエーションを実行して、既存のすべてのユーザー・データをターゲット・システムからOracle Identity Managerに送信できます。初回の完全リコンシリエーション実行の後、次回のユーザー・リコンシリエーション実行からは、変更ベースまたは増分リコンシリエーションが自動的に有効になります。
完全リコンシリエーションはいつでも実行できます。詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。
リコンシリエーションおよびプロビジョニング用の標準の属性セットに追加できます。この手順は、「コネクタの機能拡張」を参照してください。
リコンシリエーションおよびプロビジョニング時に使用される参照定義は、次のカテゴリに分類できます。
Dominoコネクタ参照リコンシリエーション・スケジュール済ジョブでは、Lookup.Domino.Group 参照定義をターゲット・システムと同期します。Lookup.Domino.Group参照定義は、プロセス・フォームのグループ参照フィールドの値を保持します。
このスケジュール済ジョブを実行すると、Lookup.Domino.Group参照定義に、ターゲット・システムからフェッチしたグループ名が移入されます。Dominoコネクタ参照リコンシリエーション・スケジュール済ジョブの詳細は、「参照フィールド同期のためのスケジュール済ジョブ」を参照してください。
表1-2に、コネクタのデプロイ時にOracle Identity Managerに作成されるその他の参照定義を示します。参照定義の中には、値が事前移入されるものもあります。コネクタのデプロイ後、その他の定義に値を手動で入力する必要があります。
これらの参照では、「Code Key」列にプロセス・フォームのフィールド・ラベルが格納され、「Decode」列にDomino属性名が格納されます。
表1-2 その他の参照定義
参照定義 | 値の説明 | 参照定義に値を指定する方法 |
---|---|---|
Combo.Domino.Security.Type |
この定義は、OIMで作成されたターゲット・システム・アカウントに選択できるセキュリティ・タイプの情報を保持します。 この定義のコード・キーとデコードの値は次のとおりです。:
これらの値は、「ライセンス・タイプ」コンボ・ボックスで使用されます。ライセンス・タイプは、作成されるIDファイルのタイプを決定し、メールの送受信時およびデータの暗号化時の暗号化に影響します。 |
この参照定義は、事前に構成されています。この参照定義のエントリを追加または変更することはできません。 |
Lookup.Domino.UM.Configuration |
この参照定義は、OIMで作成されたターゲット・システム・アカウントに選択できるユーザー属性マップの情報を保持します。 この定義のコード・キーとデコードの値は次のとおりです。:
|
|
Lookup.Domino.UM.Configuration.Trusted |
この参照定義は、Dominoユーザー・オブジェクトの信頼できる構成の情報を保持します。 この定義のコード・キーとデコードの値は次のとおりです。:
|
|
Lookup.Configuration.Domino |
この参照定義は、リコンシリエーションおよびプロビジョニング時に使用されるコネクタ構成エントリを保持します。 この定義のコード・キーとデコードの値は次のとおりです。:
この参照定義は |
この参照定義のエントリは事前構成されており、変更は必要ありません。 エントリを追加する手順は、「Lookup.Configuration.Domino参照定義の設定」を参照してください。 |
Lookup.Domino.NotesCertifiers |
この参照定義は、NotesCertifierオブジェクト・タイプの情報を保持します。 この定義のコード・キーとデコードの値は次のとおりです。 CODE: Shortname DECODE: ShortName 値をこの参照にリコンサイルするように、Domino Connector参照リコンシリエーションを構成できます。 |
|
Lookup.Configuration.Domino.Trusted |
この参照定義は、信頼できるリコンシリエーションの主要な構成参照です。 この定義のコード・キーとデコードの値は次のとおりです。:
この参照定義は、ITリソースで参照され、信頼できるITリソースとして構成される必要があります。 |
この参照定義のエントリは事前構成されており、変更は必要ありません。 |
Lookup.Domino.UM.TrustedDefaults |
この参照定義は、すべての信頼できるリコンシリエーションのデフォルト値のマッピングを保持します。ターゲット・リソースから値を受け取らない場合、これらのデフォルト値が使用されます。 この定義のコード・キーとデコードの値は次のとおりです。:
|
|
Lookup.Domino.UM.ReconAttrMap |
この参照定義は、リソース・オブジェクトのフィールドとターゲット・システム属性との間のすべてのリコンシリエーション操作のマッピングを保持します。 この定義のコード・キーとデコードの値は次のとおりです。:
|
この参照定義は、事前に構成されています。 表1-3に、この参照定義のデフォルト・エントリを示します。 リコンシリエーションの新規ターゲット・システム属性をマップする場合は、この参照定義にエントリを追加できます。詳細は、「リコンシリエーションに関するターゲット・システム属性の追加」を参照してください。 |
Lookup.Domino.UM.ReconAttrMap.Trusted |
この参照定義は、すべての信頼できるリコンシリエーション属性のマッピングを保持します。 この定義のコード・キーとデコードの値は次のとおりです。:
|
この参照定義は、事前に構成されています。 表1-3に、この参照定義のデフォルト・エントリを示します。 リコンシリエーションの新規ターゲット・システム属性をマップする場合は、この参照定義にエントリを追加できます。詳細は、「リコンシリエーションに関するターゲット・システム属性の追加」を参照してください。 |
Lookup.Domino.UM.ProvAttrMap |
この参照定義は、リソース・オブジェクトのフィールドとターゲット・システム属性との間のすべてのプロビジョニング操作のマッピングを保持します。 この定義のコード・キーとデコードの値は次のとおりです。:
|
この参照定義は、事前に構成されています。表1-3に、この参照定義のデフォルト・エントリを示します。 プロビジョニングの新規ターゲット・システム属性をマップする場合は、この参照定義にエントリを追加できます。詳細は、「プロビジョニングに関するターゲット・システム属性の追加」を参照してください。 |
この項では、ターゲットのプロビジョニングおよびリコンシリエーションに使用する様々なコネクタ・オブジェクトについて説明します。
この章の内容は次のとおりです。
プロセス・フォームには、デフォルトでサポートされている、Domino属性用のフィールドがあります。これらのプロセス・フォームのフィールドを、プロビジョニングおよびリコンシリエーション用両方のLotus Notes/Domino属性にマップする必要があります。
プロビジョニングの場合は、フォームのフィールドをLookup.Domino.UM.ProvAttrMapの属性にマップします。
リコンシリエーションの場合は、フォームのフィールドをLookup.Domino.UM.ReconAttrMapの属性にマップします。
これらの参照では、「Code Key」列にプロセス・フォームのフィールド・ラベルが格納され、「Decode」列にDomino属性名が格納されます。
表1-3に、ターゲット・リソースのプロビジョニングおよびリコンシリエーションに使用するフォームのフィールドを示します。
表1-3 ターゲット・リソースのプロビジョニングおよびリコンシリエーションに使用するプロセス・フォームのフィールド
プロセス・フォームのフィールド・ラベル | フィールド・タイプ | 説明 |
---|---|---|
認証者IDファイル・パス |
TextField |
認証者IDファイルへの完全修飾パス |
認証者組織階層 |
LookupField |
認証者の正規名または省略名。たとえば、認証者が
この値は、Lookup.Domino.NotesCertifiers参照で指定されます。 |
認証者パスワード |
PasswordField |
指定した認証者IDファイルのパスワード |
コメント |
TextField |
コメント |
終了日 |
DateFieldDlg |
終了日 |
名 |
TextField |
名 |
転送ドメイン |
TextField |
転送先の電子メール・アドレス |
姓 |
TextField |
姓 |
ライセンス・タイプ |
ComboBox |
送受信電子メールの暗号化およびデータの暗号化に使用するIDファイルのタイプ |
場所 |
TextField |
場所 |
メール・ファイル名 |
TextField |
メール・ファイル名 注意: メール・ファイルは、新規ユーザーの登録時にのみ作成されます。OIMで名前を変更することはできますが、ファイルの名前は変更されません。 |
メール・インターネット・アドレス |
TextField |
電子メール・アドレス |
メール割当て容量制限 |
TextField |
許可されている最大メール容量 |
メール割当て容量警告 |
TextField |
メール容量がしきい値を超えそうである場合または超えている場合 |
メール・レプリカ・サーバー |
TextField |
レプリカ・メール・サーバーのリスト |
メール・サーバー |
TextField |
ユーザーの作成時に使用する、デフォルトのメール・サーバー |
ミドル・ネーム |
TextField |
ミドル・ネーム |
組織単位 |
TextField |
ユーザーが属する組織 |
パスワード |
PasswordField |
パスワード |
再認証 |
CheckBox |
再認証 |
サーバー名 |
ITResourceLo |
サーバー名 |
短縮名 |
TextField |
短縮名 |
ユニバーサルID |
DOField |
ユニバーサルID |
CA認証者 |
階層CA認証者の名前をここに指定します。 例: この例では、CAはorg1という組織の下のCA証明者です。 |
CA認証者 |
RoamSubdir |
roamingsubディレクトリ名。 例: |
RoamSubdir |
MoveCertifier |
このチェック・ボックスを選択すると、名前階層のユーザー名が移動されます。 詳細は、「名前階層のユーザー名の移動」を参照してください。 |
MoveCertifier |
表1-4に、フォームのフィールドとターゲット・リソースのプロビジョニングおよびリコンシリエーション用のユーザー属性との間のマッピングを示します。
表1-4 フォーム・フィールドからターゲット・リソースのプロビジョニングおよびリコンシリエーション用のユーザー属性へのマッピング
プロセス・フォームのフィールド | IBM Lotus Notes and Dominoの属性 |
---|---|
認証者IDファイル・パス |
certifierIDFile |
認証者組織階層[LOOKUP] |
CertifierOrgHierarchy |
認証者パスワード |
credentials |
コメント |
Comment |
終了日 |
GroupList |
名 |
FirstName |
転送ドメイン(プロビジョニング用) 転送ドメイン(リコンシリエーション用) |
forwardingAddress |
氏名 |
__NAME__="${First_Name} ${Middle_Name}${Last_Name}${Certifier_Org_Hierarchy}" |
グループ・リスト~グループ[LOOKUP] (リコンシリエーション用) UD_LNGRP~グループ名[LOOKUP] (プロビジョニング用) |
GroupList |
IDFile名[PROVIDEONPSWDCHANGE] |
idFile |
姓 |
LastName |
ライセンス・タイプ |
NorthAmerican |
場所 |
Location |
メール・ファイル名(リコンシリエーション用) |
MailFile |
メール・ファイル名(プロビジョニング用) |
MailFile |
メール・インターネット・アドレス |
InternetAddress |
メール割当て容量制限 |
MailQuotaSizeLimit |
メール割当て容量警告 |
MailQuotaWarningThreshold |
メール・レプリカ・サーバー |
MailReplicaServers |
メール・サーバー |
MailServer |
ミドル・ネーム |
MiddleInitial |
古いパスワード |
_CURRENT_PASSWORD_ |
組織単位 |
OrgUnit |
パスワード |
_PASSWORD_ |
再認証 |
Recertify |
短縮名 |
ShortName |
ステータス(リコンシリエーション用) |
_Enable_ |
ユニバーサルID |
_UID_ |
プロビジョニング機能は、アダプタを使用してプロビジョニング操作を実行する、プロビジョニング・プロセスの基本的なタスクです。
表1-5に、このコネクタで使用可能なプロビジョニング機能を示します。
表1-5 プロビジョニング機能
機能 | アダプタ | 説明 |
---|---|---|
|
|
この機能を使用してユーザーを作成します。次のようなパラメータがあります。
|
|
|
この機能を使用してユーザーを削除します。次のようなパラメータがあります。
|
|
|
この機能を使用してユーザー・フィールドを更新します。次のようなパラメータがあります。
|
|
|
この機能を使用してパスワードを更新します。次のようなパラメータがあります。
|
|
|
この機能を使用して、ユーザーのステータスを無効に設定します。次のようなパラメータがあります。
|
|
|
この機能を使用して、ユーザーのステータスを有効に設定します。次のようなパラメータがあります。
|
このコネクタのリコンシリエーション・ルールおよびその表示方法について説明します。
次に、プロセス一致ルールを示します。
ルール名: Reconcile Lotus User
ルール要素: (Last Name Equals Last Name) AND (First Name Equals First Name)
最初のルール・コンポーネント内には、次のものがあります。
Equals
の左側のLast Name
は、OIMユーザー・フォームのLastName
フィールドです。
Equals
の右側のLastName
は、ターゲット・システムのLastName
フィールドです。
2番目のルール・コンポーネント内には、次のものがあります。
Equals
の左側のFirst Name
は、OIMユーザー・フォームのFirstName
フィールドです。
Equals
の右側のFirst Name
は、ターゲット・システムのFirstName
フィールドです。
このコネクタのリコンシリエーション・アクション・ルールおよびその表示方法について説明します。
表1-6に、ターゲット・リソースのリコンシリエーション用のアクション・ルールをリストします。
表1-6 ターゲット・リソースのリコンシリエーション用のアクション・ルール
ルール条件 | アクション |
---|---|
一致が見つからなかった場合 |
最小ロードの管理者への割当て |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
注意:
このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。リコンシリエーション・アクション・ルールの変更または作成の詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズの次の各項を参照してください。
リコンシリエーション・アクション・ルールの設定(Javaを使用したアイデンティティ・コネクタの開発)
リコンシリエーション・アクション・ルールの設定(.NETを使用したアイデンティティ・コネクタの開発)
信頼できるソースのリコンシリエーションでは、ターゲット・システムで新規作成または変更されたアカウントに関するデータをフェッチし、そのデータを使用してOIMユーザーを作成または更新します。
この項の内容は、次のとおりです。
Lookup.Domino.UM.ReconAttrMap.Trusted参照定義(表1-2を参照)は、リソース・オブジェクトのフィールドとターゲット・システム属性をマップします。「Code Key」列には、リソース・オブジェクトのフィールドの名前が保持されます。「Decode」列は次のようになります:
表1-7に、信頼できるソースのリコンシリエーションに使用されるフォーム・フィールドの情報を示します。
表1-7 信頼できるソースのリコンシリエーションに使用されるOIMユーザー・フィールド
プロセス・フォームのフィールド | フィールド・タイプ | 説明 |
---|---|---|
電子メール |
TextField |
電子メール・アドレス |
名 |
TextField |
名 |
姓 |
TextField |
姓 |
ミドル・ネーム |
TextField |
ミドル・ネーム |
ステータス |
TextField |
リコンシリエーション・ステータス |
ユーザー・ログイン |
TextField |
ユーザーを一意に識別する16ビットの英数字ID |
表1-8に、信頼できるソースのリコンシリエーション用のフォーム・フィールドとユーザー属性のマッピングを示します。
表1-8 フォーム・フィールドから信頼できるソースのリコンシリエーション用のユーザー属性へのマッピング
OIMユーザー・フォームのフィールド | IBM Lotus Notes and Dominoの属性 |
---|---|
ステータス[TRUSTED] |
_ENABLE_ |
ユーザー・ログイン |
ShortName |
名 |
FirstName |
電子メール |
InternetAddress |
ミドル・ネーム |
MiddleInitial |
姓 |
LastName |
信頼できるソース・リコンシリエーションのリコンシリエーション・ルールおよびその表示方法について説明します。
次に、プロセス一致ルールを示します。
ルール名: Lotus Trusted User
ルール要素: User Login equals User Login
信頼できるソース・リコンシリエーションのリコンシリエーション・アクション・ルールおよびその表示方法について説明します。
表1-9に、信頼できるソースのリコンシリエーションのアクション・ルールを示します。
表1-9 信頼できるソースのリコンシリエーションのアクション・ルール
ルール条件 | アクション |
---|---|
一致が見つからなかった場合 |
ユーザーの作成 |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
注意:
このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。リコンシリエーション・アクション・ルールの変更または作成の詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズの次の各項を参照してください。
リコンシリエーション・アクション・ルールの設定(Javaを使用したアイデンティティ・コネクタの開発)
リコンシリエーション・アクション・ルールの設定(.NETを使用したアイデンティティ・コネクタの開発)