3 コネクタの使用

コネクタを自分の要件にかなうように構成したら、コネクタを使用してリコンシリエーションおよびプロビジョニング操作を実行できます。

この章では、次の項目について説明します。

• 初回リコンシリエーションの実行

• 参照フィールド同期のスケジュール済ジョブ

• リコンシリエーションの構成

• スケジュール済ジョブの構成

• アクション・スクリプト

• Oracle Identity Managerリリース11.1.2.xでのプロビジョニングの構成

• プロビジョニング実行のガイドライン

• Oracle Identity Managerリリース11.1.1.xでのプロビジョニング操作の実行

• リクエストベースのプロビジョニングと直接プロビジョニングの切替え

• リコンシリエーション実行のガイドライン

• コネクタのアンインストール

3.1 初回リコンシリエーションの実行

コネクタをデプロイしたら、既存のターゲット・システムのユーザー・レコードをすべてOracle Identity Managerにリコンサイルする必要があります。

ターゲット・システムを信頼できるソースとして使用している場合は、Dominoコネクタの信頼できるユーザーのリコンシリエーション・スケジュール済ジョブを構成および実行して、ターゲット・システムからユーザー・レコードをリコンサイルする必要があります。

ノート:

• このスケジュール済ジョブの属性の詳細は、「ユーザー・レコードのリコンシリエーションのためのスケジュール済ジョブ」を参照してください。

• スケジュール済ジョブの構成の詳細は、「スケジュール済ジョブの構成」を参照してください。

リコンサイルされたユーザー・レコードは、OIMユーザーに変換されます。

3.2 参照フィールド同期のためのスケジュール済ジョブ

Dominoコネクタ参照リコンシリエーション・スケジュール済ジョブは、参照フィールドの同期に使用されます。

表3-1に、このスケジュール済ジョブの属性の説明を示します。スケジュール済ジョブの構成手順は、このマニュアルで後述します。

ノート:

属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。

表3-1 Dominoコネクタ参照リコンシリエーション・スケジュール済ジョブの属性

属性	説明
IT Resource Name	コネクタがデータのリコンサイルに使用する必要があるITリソース・インスタンスの名前を入力します。 デフォルト値: None
Object Type	リコンサイルするオブジェクト・タイプを入力します。 デフォルト値: Group
Lookup Name	ターゲット・システムからフェッチした値を移入するOracle Identity Managerの参照定義の名前を入力します。 デフォルト値: Lookup.Domino.Group
Code Key Attribute	コード・キー参照値に保存する属性の名前を入力します。 デフォルト値: ListName
Decode Attribute	デコード参照値に保存する属性の名前を入力します。 デフォルト値: DisplayName
Filter	参照に保存するレコードをフィルタリングするフィルタを入力します。 詳細および正しい構文は、「制限付きリコンシリエーションの実行」を参照してください。

3.3 リコンシリエーションの構成

このガイドで前述したように、リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Managerで複製することです。この項では、リコンシリエーションの構成に関する次の項目について説明します。

• 完全リコンシリエーションおよび増分リコンシリエーションの実行

• 制限付きリコンシリエーションの実行

• リコンシリエーション・スケジュール済ジョブ

3.3.1 完全リコンシリエーションおよび増分リコンシリエーションの実行

Dominoコネクタ・ユーザーのリコンシリエーション・スケジュール済ジョブを実行すると、前回スケジュール済ジョブが実行された後に追加または変更されたターゲット・システム・レコードのみが、Oracle Identity Managerにフェッチされます。これが、増分リコンシリエーションです。

完全リコンシリエーションを実行すると、既存のすべてのターゲット・システム・レコードをOracle Identity Managerにフェッチできます。完全リコンシリエーションを実行するには:

1. Latest Tokenパラメータが設定されていないことを確認します。このパラメータは空のままにする必要があります。
2. Dominoコネクタ・ユーザーのリコンシリエーション・ジョブを実行します。

完全リコンシリエーション実行の後、リコンシリエーション実行終了時のタイムスタンプが、ITリソースのタイムスタンプ・パラメータに保存されます。次回のリコンシリエーション実行からは、前回のリコンシリエーション実行後に追加または変更されたターゲット・システム・レコードのみが、Oracle Identity Managerにフェッチされます。つまり、次回の実行からは、増分リコンシリエーションが自動的にアクティブになります。

3.3.2 制限付きリコンシリエーションの実行

デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。

コネクタには、任意のDominoリソース属性を使用してターゲット・システム・レコードをフィルタ処理できるFilterパラメータが用意されています。(以前のリリースとは異なり、フィルタは4つの属性に制限されません)。

リコンシリエーション・モジュールのフィルタを作成して、制限付きリコンシリエーションを実行できます。このコネクタのFilter属性(スケジュール済タスクの属性)により、任意のLotus Notesリソース属性を使用してターゲット・システム・レコードをフィルタ処理できます。

ICFフィルタの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのICFフィルタの構文を参照してください。

コネクタをデプロイする際は、「スケジュール済ジョブの構成」の手順に従って属性値を指定します。

3.3.3 リコンシリエーション・スケジュール済ジョブ

コネクタ・インストーラを実行すると、Oracle Identity Managerにリコンシリエーションのスケジュール済タスクが自動的に作成されます。

次のスケジュール済ジョブの属性の値を指定する必要があります。

ノート:

手順については、「スケジュール済ジョブの構成」を参照してください。

• ユーザー・レコードのリコンシリエーションのスケジュール済ジョブ

• 削除されたユーザーのリコンシリエーションのためのスケジュール済ジョブ

3.3.3.1 ユーザー・レコードのリコンシリエーションのためのスケジュール済ジョブ

信頼できるソースとターゲット・リソースのどちらのリコンシリエーションを実装するかによって、次のいずれかのユーザー・リコンシリエーション・スケジュール済ジョブの属性に値を指定する必要があります。

• Dominoコネクタ・ユーザーのリコンシリエーション(ターゲット・リソースのリコンシリエーションのためのスケジュール済ジョブ)

• Dominoコネクタの信頼できるユーザーのリコンシリエーション(信頼できるソースのリコンシリエーションのためのスケジュール済ジョブ)

表3-2に、この2つのスケジュール済ジョブの属性の説明を示します。

表3-2 ユーザー・レコードのリコンシリエーション用のスケジュール済ジョブの属性

属性	説明
IT Resource Name	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。 デフォルト: None
Resource Object Name	リソース・オブジェクトの名前。 デフォルト: ターゲット・リソースのリコンシリエーションの場合はLotus Userで信頼できるソースのリコンシリエーションの場合はLotus Trusted User。
Object Type	リコンサイルするオブジェクト・タイプ。 デフォルト: User
Filter	レコードをフィルタリングする式。次の構文を使用します。 syntax = expression ( operator expression )* operator = 'and' | 'or' expression = ( 'not' )? filter filter = ('equalTo' | 'contains' | 'containsAllValues' | 'startsWith' | 'endsWith' | 'greaterThan' | 'greaterThanOrEqualTo' | 'lessThan' | 'lessThanOrEqualTo' ) '(' 'attributeName' ',' attributeValue ')' attributeValue = singleValue | multipleValues singleValue = 'value' multipleValues = '[' 'value_1' (',' 'value_n')* ']' デフォルト: None
Latest Token	リコンシリエーションが実行された最後の日付。 デフォルト: None
Incremental Recon Date Attribute	オブジェクトの変更日を取得するためのDomino属性。 デフォルト: LastModified

3.3.3.2 削除されたユーザーのリコンシリエーションのためのスケジュール済ジョブ

表3-3に、削除されたユーザーのリコンシリエーションのための、Dominoコネクタ削除リコンシリエーション・スケジュール済ジョブの属性を示します。

表3-3 Dominoコネクタ削除リコンシリエーション・スケジュール済ジョブの属性

属性	説明
IT Resource Name	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。 デフォルト: None
Resource Object Name	リソース・オブジェクトの名前。 デフォルトはLotus Userです。
Object Type	リコンサイルするオブジェクト・タイプ。 デフォルト: User
Filter	レコードをフィルタリングする式。次の構文を使用します。 syntax = expression ( operator expression )* operator = 'and' | 'or' expression = ( 'not' )? filter filter = ('equalTo' | 'contains' | 'containsAllValues' | 'startsWith' | 'endsWith' | 'greaterThan' | 'greaterThanOrEqualTo' | 'lessThan' | 'lessThanOrEqualTo' ) '(' 'attributeName' ',' attributeValue ')' attributeValue = singleValue | multipleValues singleValue = 'value' multipleValues = '[' 'value_1' (',' 'value_n')* ']' デフォルト: None

表3-4に、削除されたユーザーの信頼できるリコンシリエーションのための、Dominoコネクタの信頼できる削除リコンシリエーション・スケジュール済ジョブの属性を示します。

表3-4 Dominoコネクタの信頼できる削除リコンシリエーション・スケジュール済ジョブの属性

属性	説明
トラステッドITリソース名	コネクタがデータのリコンサイルに使用すべき、信頼できるITリソース・インスタンスの名前。 デフォルト: None
Resource Object Name	リソース・オブジェクトの名前。 デフォルトはLotus Trusted Userです。
Object Type	リコンサイルするオブジェクト・タイプ。 デフォルト: User
Filter	レコードをフィルタリングする式。次の構文を使用します。 syntax = expression ( operator expression )* operator = 'and' | 'or' expression = ( 'not' )? filter filter = ('equalTo' | 'contains' | 'containsAllValues' | 'startsWith' | 'endsWith' | 'greaterThan' | 'greaterThanOrEqualTo' | 'lessThan' | 'lessThanOrEqualTo' ) '(' 'attributeName' ',' attributeValue ')' attributeValue = singleValue | multipleValues singleValue = 'value' multipleValues = '[' 'value_1' (',' 'value_n')* ']' デフォルト: None

3.4 参照フィールド同期およびリコンシリエーションのためのスケジュール済ジョブ

表3-5に、コネクタに付属するスケジュール済ジョブを示します。

表3-5 参照フィールド同期およびリコンシリエーションのためのスケジュール済ジョブ

スケジュール済ジョブ	説明
Domino Connector Lookup Reconciliation	このスケジュール済ジョブは、参照フィールドの同期に使用されます。
Domino Connector User Reconciliation	このスケジュール済ジョブは、ターゲット・リソース・モードでのユーザー・リコンシリエーションに使用されます。
Domino Connector Trusted User Reconciliation	このスケジュール済ジョブは、信頼できるソース・モードでのユーザー・リコンシリエーションに使用されます。
Domino Connector Delete Reconciliation	このスケジュール済ジョブは、削除されたユーザー・レコードのリコンシリエーションに使用されます。
Domino Connector Trusted Delete Reconciliation	このスケジュール済ジョブは、信頼できるソース・モードでの削除されたユーザー・レコードのリコンシリエーションに使用されます。

3.5 スケジュール済ジョブの構成

この項では、スケジュール済ジョブの構成手順について説明します。この手順は、参照フィールド同期およびリコンシリエーションのためのスケジュール済ジョブを構成する場合に適用できます。

スケジュール済ジョブを構成するには:

1. Oracle Identity Managerリリース11.1.1を使用している場合:

   1. 管理およびユーザー・コンソールにログインします。

   2. 「Oracle Identity Managerセルフ・サービスへようこそ」ページの右上隅で、「拡張」をクリックします。

   3. 「Oracle Identity Manager拡張管理へようこそ」ページの「システム管理」リージョンで、「スケジュール済ジョブの検索」をクリックします。

2. Oracle Identity Managerリリース11.1.2.xを使用している場合:

   1. Oracle Identity System Administrationにログインします。

   2. 左ペインの「システム管理」で、「スケジューラ」をクリックします。

3. 次のように、スケジュール済ジョブを検索して開きます。

   1. 「Oracle Identity Manager拡張管理へようこそ」ページの「システム管理」リージョンで、「スケジュール済ジョブの検索」をクリックします。

   2. 左ペインの「検索」フィールドに、スケジュール済ジョブの名前を検索基準として入力します。「拡張検索」をクリックして検索基準を指定することもできます。

   3. 左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。

4. 「ジョブの詳細」タブでは、次のパラメータを変更できます。

   • 再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。

   • スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。

   ノート:

   スケジュール・タイプの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のジョブの作成を参照してください。

   ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。

5. スケジュール済ジョブの属性の値を指定します。これを行うには:

   ノート:

   • 属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。

   • 値(デフォルトまたはユーザー定義)は空のままにできます。

   • スケジュール済ジョブの属性については、リコンシリエーション・スケジュール済ジョブで説明しています。

   「パラメータ」リージョンの「ジョブの詳細」タブで、スケジュール済ジョブの属性の値を指定します。

6. 属性を指定したら、「適用」をクリックして変更内容を保存します。

   ノート:

   「実行停止」オプションは、管理およびユーザー・コンソールでは使用可能です。「スケジューラのステータス」ページを使用して、スケジューラを起動、停止または再初期化できます。

3.6 アクション・スクリプト

ノート:

11gR2のアクション・スクリプトはOIMバージョン11.1.1.5.8以降のみで動作します。

アクションは、create、updateおよびdeleteプロビジョニング操作の前後に実行するように構成できるスクリプトです。たとえば、ユーザー作成の前に実行するスクリプトを構成できます。

次の各項では、アクション・スクリプトに関連する情報について説明します:

• アクション・スクリプトの理解

• 構成例

• スクリプトからの変数アクセス

• アクション・スクリプトの構成

ノート:

• コネクタのスクリプトはWindowsマシンのみでサポートされます。

• 前または後に行うアクションを構成するには、コネクタでスクリプトの実行をサポートしている必要があります。例外はGroovyです(コネクタに設定されたターゲットで)。Identity Connector Framework (ICF)は、デフォルトですべての集中コネクタに対してこれをサポートしています。

3.6.1 アクション・スクリプトの理解

BM Lotus Notes and Dominoコネクタは、次をサポートします。

• CMD: Windowsバッチ・スクリプトおよびターゲット: コネクタ

• lotusscript: Lotus Scriptおよびターゲット: リソース

ターゲットとは、スクリプトが実行される場所です。

• ターゲットがコネクタの場合、スクリプトはコネクタがデプロイされたコンピュータで実行されます。たとえば、コネクタ・サーバーにコネクタをデプロイした場合、スクリプトはそのコンピュータで実行されます。

• ターゲットがリソースの場合、スクリプトはターゲット・リソースが実行されているコンピュータ(この場合はLotus Domino Server)で実行されます。

実行時にはどちらのスクリプトも変数を介してフォーム・フィールドにアクセスでき、CMDの場合は環境変数を、LOTUSSCRIPTの場合はDocumentContextを使用して変数値を取得できます。スクリプト実行の一部として指定されたすべての変数にはWSUSER_という接頭辞が付きます。

さらに、Oracle Identity Managerを構成して、スクリプト・オプションを提供できます。スクリプト・オプションは2つの方法で構成できます。オブジェクト・タイプごとにすべてのスクリプトに共通するフォーム・フィールド・マッピングである操作オプション・マッピング、およびアクションごとに静的な文字列を設定するアクション・オプションです。これらのスクリプト・オプションは、フォーム・フィールドと同様に(変数を介して)スクリプトで使用できます。

ノート:

lotusscriptをDominoコネクタで実行するには、操作オプション・マッピングまたはアクション・マッピング(お薦めする方法)のどちらかで次の2つのオプションを指定する必要があります。

• agentName – Domino Serverで作成されたエージェントの名前(oim-scriptなど)を指定します。

• agentCreate – (存在しない場合に)エージェントをDomino Serverに作成する必要がある場合に指定する値で、推奨値は"true"です。

アクション(スクリプト実行)は、次のプロビジョニング・イベントの前後にOracle Identity Managerで構成できます。

• 作成

• 更新

• 削除

表3-6に、アクションの実行中にICF-INTGからコネクタに提供される内容を示します。

表3-6 ICF-INTGによる出力

操作	フォーム・フィールド	操作オプション・マッピング	アクション・オプション
作成	作成操作に指定されたすべてのフォーム・フィールド	構成済のすべてのマップ済フィールド	構成済のすべてのアクション・オプション
更新	更新されたフォーム・フィールド ノート: UIDはありません	構成済のすべてのマップ済フィールド	構成済のすべてのアクション・オプション
削除	UIDのみ	構成済のすべてのマップ済フィールド	構成済のすべてのアクション・オプション

3.6.2 構成例

この項では、アクション・スクリプトを構成するための構成例を示します。

構成例1

この例では、図3-1に示すとおり、すべて(作成/更新/削除)のDominoプロビジョニング操作に対してscript.batを実行するようにOracle Identity Managerが構成されています。

図3-1 参照Domino構成

「図3-1 参照Domino構成」の説明

Script.batファイル:

set >c:\script.out

プロビジョニング操作を実行すると、アクションが実行されてscript.outが次の内容になります。

作成操作:

WSUSER_accountId=test  otest03191
WSUSER_Comment="some comment"
WSUSER_EndDate=0
WSUSER_FirstName=test
WSUSER_idFile=f:\otest03191.id
WSUSER_LastName=otest03191
WSUSER_MailFile=mail/otest03191.nsf
WSUSER_MoveCertifier=false
WSUSER_NorthAmerican=false
WSUSER_Recertify=false
WSUSER_ShortName=otest03191
WSUSER___PASSWORD__=org.identityconnectors.common.security.GuardedString@e3259c99

更新操作(1つのフィールドの更新):

WSUSER_Comment="some comment updated"

更新操作(複数のフィールドの更新):

WSUSER_Comment="comment updated"
WSUSER_Location="location updated"
WSUSER___CURRENT_ATTRIBUTES__="{Attributes=[Attribute: {Name=Recertify, Value=[false]}, Attribute: {Name=idFile, Value=[f:\otest03191.id]}, Attribute: {Name=NorthAmerican, Value=[false]}, Attribute: {Name=MailFile, Value=[mail/otest03191.nsf]}, Attribute: {Name=FirstName, Value=[test]}, Attribute: {Name=MoveCertifier, Value=[false]}, Attribute: {Name=Comment, Value=[some comment updated]}, Attribute: {Name=__NAME__, Value=[test  otest03191]}, Attribute: {Name=ShortName, Value=[otest03191]}, Attribute: {Name=__PASSWORD__, Value=[org.identityconnectors.common.security.GuardedString@e3259c99]}, Attribute: {Name=LastName, Value=[otest03191]}, Attribute: {Name=EndDate, Value=[0]}], ObjectClass=ObjectClass: __ACCOUNT__}"

削除操作:

WSUSER_UNID=A3F0AE57AD341B0D80257B3300766FCF

構成例2:

たとえば、名、姓およびユニバーサルIDを指定する操作オプション・マッピングを次のステップで構成できます。

1. 図3-2に示す値で参照を作成します。

   図3-2 参照の作成

   
   「図3-2 参照の作成」の説明

2. 図3-3に示すように、この参照を元のオブジェクト・タイプ構成にリンクします。

   図3-3 参照のリンク

   
   「図3-3 参照のリンク」の説明

3. script.batは変更しません。

4. プロビジョニング操作を実行すると、アクションが実行されてscript.outが次の内容になります。

作成操作:

SUSER_accountId=test  otest03192
WSUSER_Comment="some comment"
WSUSER_EndDate=0
WSUSER_FirstName=test
WSUSER_idFile=f:/otest03192.id
WSUSER_LastName=otest03192
WSUSER_MailFile=mail/otest03192.nsf
WSUSER_MoveCertifier=false
WSUSER_NorthAmerican=false
WSUSER_Recertify=false
WSUSER_ShortName=otest03192
WSUSER___PASSWORD__=org.identityconnectors.common.security.GuardedString@e3259c99

更新操作(1つのフィールドの更新):

WSUSER_Comment="some comment updated"
WSUSER_FirstName=test
WSUSER_LastName=otest03192
WSUSER_UNID=3B97A9C002AF3B2580257B330079E757

更新操作(複数のフィールドの更新):

WSUSER_Comment="comment updated"
WSUSER_FirstName=test
WSUSER_LastName=otest03192
WSUSER_Location="location updated"
WSUSER_UNID=3B97A9C002AF3B2580257B330079E757
WSUSER___CURRENT_ATTRIBUTES__="{Attributes=[Attribute: {Name=Recertify, Value=[false]}, Attribute: {Name=idFile, Value=[f:/otest03192.id]}, Attribute: {Name=NorthAmerican, Value=[false]}, Attribute: {Name=MailFile, Value=[mail/otest03192.nsf]}, Attribute: {Name=FirstName, Value=[test]}, Attribute: {Name=MoveCertifier, Value=[false]}, Attribute: {Name=Comment, Value=[some comment updated]}, Attribute: {Name=__NAME__, Value=[test  otest03192]}, Attribute: {Name=ShortName, Value=[otest03192]}, Attribute: {Name=__PASSWORD__, Value=[org.identityconnectors.common.security.GuardedString@e3259c99]}, Attribute: {Name=LastName, Value=[otest03192]}, Attribute: {Name=EndDate, Value=[0]}], ObjectClass=ObjectClass: __ACCOUNT__}"

削除操作:

SUSER_FirstName=test
WSUSER_LastName=otest03192
WSUSER_UNID=3B97A9C002AF3B2580257B330079E757

構成例3:

例2の既存の構成を保持して、アクション・オプションを各アクション(作成/更新/削除)に追加します。すべてに対して同じアクション・オプションを構成できますが、各アクションに異なるオプションも設定できます。

図3-4および図3-5に、構成済の1つのアクション・オプションを示します。

図3-4 参照のリンク

「図3-4 参照のリンク」の説明

図3-5 参照の構成

「図3-5 参照の構成」の説明

プロビジョニング操作を実行すると、アクションが実行されてscript.outが次の内容になります。

作成操作:

WSUSER_accountId=test  otest03193
WSUSER_Comment="some comment"
WSUSER_CustomActionOption=CustomActionOptionValue
WSUSER_EndDate=0
WSUSER_FirstName=test
WSUSER_idFile=f:\otest03193.id
WSUSER_LastName=otest03193
WSUSER_MailFile=mail/otest03193.nsf
WSUSER_MoveCertifier=false
WSUSER_NorthAmerican=false
WSUSER_Recertify=false
WSUSER_ShortName=otest03193
WSUSER___PASSWORD__=org.identityconnectors.common.security.GuardedString@e3259c99

更新操作(1つのフィールドの更新):

WSUSER_Comment="some comment updated"
WSUSER_CustomActionOption=CustomActionOptionValue
WSUSER_FirstName=test
WSUSER_LastName=otest03193
WSUSER_UNID=885A2EBA9F6C4F9680257B33007BF3A6

更新操作(複数のフィールドの更新):

WSUSER_Comment="comment updated"
WSUSER_CustomActionOption=CustomActionOptionValue
WSUSER_FirstName=test
WSUSER_LastName=otest03193
WSUSER_Location="location updated"
WSUSER_UNID=885A2EBA9F6C4F9680257B33007BF3A6
WSUSER___CURRENT_ATTRIBUTES__="{Attributes=[Attribute: {Name=Recertify, Value=[false]}, Attribute: {Name=idFile, Value=[f:\otest03193.id]}, Attribute: {Name=NorthAmerican, Value=[false]}, Attribute: {Name=MailFile, Value=[mail/otest03193.nsf]}, Attribute: {Name=FirstName, Value=[test]}, Attribute: {Name=MoveCertifier, Value=[false]}, Attribute: {Name=Comment, Value=[some comment updated]}, Attribute: {Name=__NAME__, Value=[test  otest03193]}, Attribute: {Name=ShortName, Value=[otest03193]}, Attribute: {Name=__PASSWORD__, Value=[org.identityconnectors.common.security.GuardedString@e3259c99]}, Attribute: {Name=LastName, Value=[otest03193]}, Attribute: {Name=EndDate, Value=[0]}], ObjectClass=ObjectClass: __ACCOUNT__}"

削除操作:

WSUSER_CustomActionOption=CustomActionOptionValue
SUSER_FirstName=test
WSUSER_LastName=otest03192
WSUSER_UNID=3B97A9C002AF3B2580257B330079E757

3.6.3 スクリプトからの変数アクセス

CMD:

Environment variables are used, it can be accessed with %VARIABLE%.
Example:
echo "%WSUSER_UNID%"

LOTUSSCRIPT:

Dominoの例:

Sub Initialize
 Main
End Sub
Sub Main
      Dim session As New NotesSession
      Dim doc As NotesDocument
      Set doc = session.DocumentContext
      Dim unid As Variant
      unid = doc.GetItemValue("WSUSER_UNID")
End Sub

3.6.4 アクション・スクリプトの構成

アクションを構成するには:

1. Design Consoleにログインします。
2. Lookup.Domino.UM.Configurationを検索して開きます。
3. 次の新しい値を追加します。

   • コード・キー: Before Create Action Language

   • デコード: 実行するスクリプトのスクリプト言語を入力します。

   • 例: cmd

4. 次の新しい値を追加します。

   • コード・キー: Before Create Action File

   • デコード: 実行するスクリプトを含むファイルへのフル・パスを入力します(OIMはこのファイルにアクセスできる必要があります)。

   • 例: /home/scripts/testscript.bat

5. 次の新しい値を追加します。

   • コード・キー: Before Create Action Target

   • デコード: 使用できる値は、サポートされているコネクタに応じてConnectorとResourceです。

     前述のように、IBM Lotus Notes and Dominoコネクタはコネクタ・ターゲット用にCMDスクリプトをサポートしています。

   • 例: Connector

6. 参照を保存します。

これで、ユーザーを作成するたびにこのアクションが実行されるようになります。実行するアクションごとに、これらの3つの値を構成する必要があります。

3.7 Oracle Identity Managerリリース11.1.2.xでのプロビジョニングの構成

Oracle Identity Managerリリース11.1.2.xでプロビジョニング操作を構成する手順:

ノート:

このコネクタを使用して最初にプロビジョニング操作を実行する場合、完了するには通常より長い時間が必要となります。

1. Oracle Identity System Administrationにログインします。

2. ユーザーを作成します。ユーザーの作成の詳細は、Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行のユーザーの管理を参照してください。

3. 「アカウント」タブで、「アカウントのリクエスト」をクリックします。

4. 「カタログ」ページでアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。

5. アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします。

6. 「送信」をクリックします。

7. 権限をプロビジョニングする場合は、次のステップを実行します。

   1. 「権限」タブで、「権限のリクエスト」をクリックします。

   2. 「カタログ」ページで、権限を検索してカートに追加し、「チェックアウト」をクリックします。

   3. 「送信」をクリックします。

3.8 プロビジョニング実行のガイドライン

プロビジョニングの実行時には、次のガイドラインを適用します。

• プロビジョニング操作の際は、次の必須属性の値を入力する必要があります。

  Last Name

  Server Name

  Password

• IDFile NameおよびMail File Name属性は、ユーザーごとに一意です。ターゲット・システムにすでに存在するファイル名を入力すると、メール・ファイルがすでに存在するというエラー・メッセージが表示されます。

• createMailDBInBackground属性の値としてTrueを指定すると、コネクタはユーザー作成プロビジョニング操作時にメール・ファイルが正常に作成されたかどうかを確認しません。

• そのユーザーの「IDファイル名」がプロビジョニング中に指定されていない場合は、パスワードの更新が動作しません。

3.9 Oracle Identity Managerリリース11.1.1.xでのプロビジョニング操作の実行

OIMユーザーのリソースのプロビジョニングでは、Oracle Identity Managerを使用して、そのユーザーのターゲット・システム・アカウントを作成します。

コネクタをOracle Identity Managerリリース11.1.1にインストールしている場合、プロセス・フォームを含むダイレクト・プロビジョニング機能が自動的に有効になります。

コネクタにリクエストベースのプロビジョニングを構成している場合、プロセス・フォームは抑制され、オブジェクト・フォームが表示されます。すなわち、コネクタにリクエストベースのプロビジョニングを構成している場合、ダイレクト・プロビジョニングは無効になります。直接プロビジョニングに戻るには、「リクエストベースのプロビジョニングと直接プロビジョニングの切替え」に記載されているステップを実行します。

プロビジョニング操作のタイプは次のとおりです。

• ダイレクト・プロビジョニング

• リクエスト・ベースのプロビジョニング

  ノート:

  これは、OIM 11.1.2.x以降を使用している場合には該当しません。

ノート:

Oracle Identity Managerでは、プロビジョニング操作のステータスは示されません。プロビジョニング操作後、コネクタ・ステータスが

• 「プロビジョニング済」の場合、操作は成功しました。

• 「プロビジョニング」の場合、操作は失敗しました。

  更新操作または作成操作中に問題が発生したかどうかを特定するには、「リソース履歴」で詳細を確認してください。

関連項目:

プロビジョニングのタイプの詳細は、Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行のプロビジョニング・タスクの管理を参照してください。

この項の内容は、次のとおりです。

• ダイレクト・プロビジョニング

• リクエストベースのプロビジョニング

3.9.1 ダイレクト・プロビジョニング

ダイレクト・プロビジョニングの手法を使用してリソースをプロビジョニングするには、次の手順を実行します。

1. 管理およびユーザー・コンソールにログインします。

2. まずOIMユーザーを作成してから、ターゲット・システム・アカウントをプロビジョニングする場合は、次の操作を行います。

   1. 「アイデンティティ管理へようこそ」ページの「ユーザー」リージョンで、「ユーザーの作成」をクリックします。

   2. 「ユーザーの作成」ページでOIMユーザーのフィールドに値を入力して、「保存」をクリックします。

3. ターゲット・システム・アカウントを既存のOIMユーザーにプロビジョニングする場合は、次の操作を行います。

   1. 「アイデンティティ管理へようこそ」ページで、左ペインのリストから「ユーザー」を選択してOIMユーザーを検索します。

   2. 検索結果に表示されたユーザーのリストから、OIMユーザーを選択します。右ペインに、ユーザー詳細ページが表示されます。

4. ユーザー詳細ページで、「リソース」タブをクリックします。

5. 「アクション」メニューから「リソースの追加」を選択します。あるいは、プラス(+)記号の付いた「リソースの追加」アイコンをクリックします。「ユーザーへのリソースのプロビジョニング」ページが新しいウィンドウに表示されます。

6. ステップ1: 「リソースの選択」ページで、リストから「Lotus Notes」を選択し、「続行」をクリックします。

7. 「ステップ2: リソースの選択の検証」ページで「続行」をクリックします。

8. ステップ5: プロセス・データの指定のLotus Userページで、ターゲット・システムで作成するアカウントの詳細を入力し、「続行」をクリックします。

9. ステップ5: プロセス・データの指定のLotus Userページで、ターゲット・システムのユーザーのグループを検索して選択し、「続行」をクリックします。

10. 「ステップ6: プロセス・データの検証」ページで、指定したデータを確認して「続行」をクリックします。

    「プロビジョニングは開始されています。」というメッセージが表示されます。

11. 「プロビジョニングが開始されました。」というメッセージが表示されたウィンドウを閉じます。

12. 「リソース」タブで「リフレッシュ」をクリックして、新たにプロビジョニングされたリソースを表示します。

3.9.2 リクエストベースのプロビジョニング

リクエストベースのプロビジョニング操作には、エンドユーザーと承認者の両方が関係します。通常、承認者はリクエスト発行者の上司です。次の項で、リクエストベースのプロビジョニング操作中にエンドユーザーと承認者が実行するステップについて説明します。

ノート:

この項で説明する手順では、エンドユーザーがターゲット・システム・アカウントをプロビジョニングするリクエストを作成する例を使用しています。その後、このリクエストは承認者によって承認されます。

• リクエストベースのプロビジョニングでのエンドユーザーの役割

• リクエストベースのプロビジョニングでの承認者の役割

3.9.2.1 リクエストベースのプロビジョニングでのエンドユーザーの役割

次のステップは、リクエストベースのプロビジョニング操作でエンドユーザーによって実行されます。

1. 管理およびユーザー・コンソールにログインします。
2. 「ようこそ」ページでページの右上の「拡張」をクリックします。
3. 「アイデンティティ管理へようこそ」ページで「管理」タブをクリックし、「リクエスト」タブをクリックします。
4. 左ペインの「アクション」メニューから「リクエストの作成」を選択します。

   「リクエスト・テンプレートの選択」ページが表示されます。

5. 「リクエスト・テンプレート」リストから「リソースのプロビジョニング」を選択して、「次」をクリックします。
6. 「ユーザーの選択」ページで、リソースをプロビジョニングするユーザーを検索するためのフィールドに検索基準を指定し、S「検索」をクリックします。指定した検索基準に一致するユーザーのリストが「使用可能なユーザー」リストに表示されます。
7. 「使用可能なユーザー」リストから、アカウントをプロビジョニングするユーザーを選択します。

   1人以上のユーザーのプロビジョニング・リクエストを作成する場合は、「使用可能なユーザー」リストからアカウントをプロビジョニングするユーザーを選択します。

8. 「移動」または「すべて移動」をクリックして、選択内容を「選択したユーザー」リストに移動し、「次」をクリックします。
9. 「リソースの選択」ページで「リソース名」フィールドの横にある矢印ボタンをクリックして、使用可能なすべてのリソースのリストを表示します。
10. 「利用可能なリソース」リストで「Lotus User」を選択し、それを「選択したリソース」に移動して、「次」をクリックします。
11. 「リソースの詳細」ページで、ターゲット・システムに作成する必要があるアカウントの詳細を入力し、「次」をクリックします。
12. 「理由」ページで次のフィールドの値を指定し、「終了」をクリックします。

    • 有効日

    • 理由

    生成されたページに、リクエストが正常に送信されたことを確認するメッセージがリクエストIDとともに表示されます。

13. リクエストIDをクリックすると、「リクエストの詳細」ページが表示されます。
14. 承認の詳細を表示するには、「リソースの詳細」ページで「リクエスト履歴」タブをクリックします。

3.9.2.2 リクエストベースのプロビジョニングでの承認者の役割

次のステップは、リクエストベースのプロビジョニング操作で承認者によって実行されます。

次に、承認者が実行できるステップについて説明します。

1. 管理およびユーザー・コンソールにログインします。
2. 「ようこそ」ページの右上隅で、「セルフサービス」をクリックします。
3. 「Identity Managerセルフ・サービスへようこそ」ページで「タスク」タブをクリックします。
4. 「承認」タブの最初のセクションで、割り当てられているリクエスト・タスクの検索基準を指定できます。
5. 検索結果表から承認するリクエストを含む行を選択して、「タスクの承認」をクリックします。

   タスクが承認トされたことを確認するメッセージが表示されます。

3.10 リクエストベースのプロビジョニングと直接プロビジョニングの切替え

リクエストベースのプロビジョニング用にコネクタを構成した場合は、いつでも直接プロビジョニングに切り替えることができます。同様に、いつでもリクエストベースのプロビジョニングに戻すことができます。この項の内容は、次のとおりです。

• リクエストベースのプロビジョニングから直接プロビジョニングへの切替え

• 直接プロビジョニングからリクエストベースのプロビジョニングへの切替え

3.10.1 リクエストベースのプロビジョニングから直接プロビジョニングへの切替

リクエストベースのプロビジョニングからダイレクト・プロビジョニングに切り替えるには、次の手順を実行します。

1. Design Consoleにログインします。

2. 次の手順で、自動保存フォーム機能を無効にします。

   1. 「Process Management」を開いて「Process Definition」をダブルクリックします。

   2. Lotus Userプロセス定義を検索して開きます。

   3. 「Auto Save Form」チェック・ボックスを選択解除します。

   4. 「Save」アイコンをクリックします。

3. セルフ・リクエストを許可機能が有効になっている場合は、次の操作を行います。

   1. 「Resource Management」を開き、「Resource Objects」をダブルクリックします。

   2. Lotus Userリソース・オブジェクトを検索して開きます。

   3. 「Self Request Allowed」チェック・ボックスを選択解除します。

   4. 「Save」アイコンをクリックします。

3.10.2 直接プロビジョニングからリクエストベースのプロビジョニングへの切替え

ダイレクト・プロビジョニングからリクエストベースのプロビジョニングに戻すには、次の手順を実行します。

1. Design Consoleにログインします。

2. 次の手順で、自動保存フォーム機能を有効にします。

   1. 「Process Management」を開いて「Process Definition」をダブルクリックします。

   2. Lotus Userプロセス定義を検索して開きます。

   3. 「Auto Save Form」チェック・ボックスを選択します。

   4. 「Save」アイコンをクリックします。

3. エンドユーザーが自分自身に対するリクエストを生成できるようにするには、次の手順を実行します。

   1. 「Resource Management」を開き、「Resource Objects」をダブルクリックします。

   2. Lotus Userリソース・オブジェクトを検索して開きます。

   3. 「Self Request Allowed」チェック・ボックスを選択します。

   4. 「Save」アイコンをクリックします。

3.11 リコンシリエーション実行のガイドライン

リコンシリエーションの実行時には、次のガイドラインを適用します。

Oracle Identity Managerでは、リコンシリエーション中に、次のフィールドの値はターゲット・システムからフェッチされません。

• 認証者IDファイル・パス

• 認証者パスワード

• IDFile名

• メール・レプリカ・サーバー

• 組織単位

• 再認証

• MoveCertifier

Oracle Identity Managerでターゲット・システムからの新規レコードのリコンシリエーションによってアカウントが作成された場合は、これらのフィールドの値を手動で設定する必要があります。

3.12 コネクタのアンインストール

なんらかの理由でコネクタをアンインストールする場合は、『Oracle Fusion Middleware Oracle Identity Managerの管理』のコネクタのアンインストールに関する項を参照してください。