コネクタの使用

この章では、次の項目について説明します。

コネクタを使用するステップのサマリー

次に、完全リコンシリエーションにコネクタを使用するステップをまとめます。

ノート:

前の章で説明したすべての手順を実行したことを想定します。

  1. スケジュール済ジョブを構成および実行して、参照フィールドを同期します。詳細は、「参照フィールド同期のためのスケジュール済ジョブの構成」を参照してください。
  2. すべてのユーザーのUSER_PROFILEメッセージのXMLファイルを生成します。詳細は、「完全リコンシリエーションの実行」を参照してください。
  3. これらのXMLファイルをOracle Identity Managerホスト・コンピュータ上のディレクトリにコピーします。
  4. USER_PROFILEメッセージのPeopleSoft User Management Target Reconciliationスケジュール済ジョブを構成および実行します。このスケジュール済ジョブによってXMLファイルが読み取られ、リコンシリエーション・イベントが生成されます。詳細は、「ユーザー・データ・リコンシリエーションのスケジュール済ジョブの構成」を参照してください。

完全リコンシリエーションから増分リコンシリエーションに変更します。手順は、「増分リコンシリエーションの実行」を参照してください。

参照フィールド同期のためのスケジュール済ジョブの構成

コネクタ・インストーラを実行すると、参照フィールド同期のためのスケジュール済ジョブがOracle Identity Managerに自動的に作成されます。これらのスケジュール済ジョブは、ターゲット・システムとOracle Identity Manager間の参照フィールドの値の同期をとるために使用されます。

この項では、次の項目について説明します。

参照フィールド・リコンシリエーションのスケジュール済ジョブ

コネクタ・インストーラを実行すると、参照フィールド同期のための次のスケジュール済ジョブがOracle Identity Managerに自動的に作成されます。

  • Peoplesoft Currency Code Lookup Reconciliation

  • Peoplesoft Email Type Lookup Reconciliation

  • Peoplesoft Language Code Lookup Reconciliation

  • Peoplesoft Permission List Lookup Reconciliation

  • Peoplesoft Roles Lookup Reconciliation

  • Peoplesoft User Management Target Reconciliation

これらのスケジュール済ジョブは、ターゲット・システムとOracle Identity Manager間で参照フィールドの値を同期化するために使用されます。using-connector.htm#GUID-59415BB8-02DA-42D4-A1D9-19AC019965CA__CEGFIAGEで、このスケジュール済ジョブの属性について説明します。スケジュール済ジョブの実行手順は、「スケジュール済ジョブの構成」を参照してください。

ノート:

デフォルトの属性値は、コネクタのインストール時にインポートされるコネクタXMLファイルに事前定義されています。変更する属性にのみ値を指定してください。

スケジュール済ジョブの属性

using-connector.htm#GUID-59415BB8-02DA-42D4-A1D9-19AC019965CA__CEGFIAGEで、参照フィールド同期のためのスケジュール済ジョブの属性について説明します。

表3-1 参照フィールド同期のためのスケジュール済ジョブの属性

属性 説明

IT Resource Name

ITリソースの名前を入力します。

デフォルト値: PSFT User

FilePath

リコンサイルする参照データが格納されるファイルのフルパスを入力します。Oracle Identity Managerがインストールされているコンピュータのオペレーティング・システムは、このファイル・パスにアクセスできる必要があります。このファイルから抽出されたデータは、スケジュール済ジョブの「参照定義名」属性に格納されます。

デフォルト値: 値を入力

サンプル値: C:\PSFTUM\LookupRecon\Roles.properties

Lookup Definition Name

ターゲット・システムの参照フィールドに対応する、Oracle Identity Managerに作成された参照定義の名前を入力します。

値は次のいずれかです。

  • Lookup.PSFTUM.LanguageCode

  • Lookup.PSFTUM.EmailType

  • Lookup.PSFTUM.CurrencyCode

  • Lookup.PSFTUM.PermissionList

  • Lookup.PSFTUM.Roles

Task Name

スケジュール済タスクの名前を入力します。

サンプル値: Peoplesoft Language Code Lookup Reconciliation

File Archival

参照リコンシリエーション中に使用される参照プロパティ・ファイルをアーカイブする場合は、Yesを入力します。ファイル内のデータがリコンサイルされた後でファイルを削除する場合は、Noを入力します。

デフォルト値: No

File Archival Folder

参照リコンシリエーション中に使用される参照プロパティ・ファイルをアーカイブするディレクトリのフルパスと名前を入力します。

デフォルト値: 値を入力

ノート: File Archival属性がYesに設定されている場合は、この値を変更する必要があります。

サンプル値: C:\ArchiveFolder

リコンシリエーションの構成

この項では、リコンシリエーションの構成に関する次の項目について説明します。

参照リコンシリエーションの実行

この項では、参照リコンシリエーション・スケジュール済ジョブで使用する参照データを含むプロパティ・ファイルを生成する手順について説明します。

次のように、PeopleSoftインターネット・アーキテクチャで使用されるアプリケーション・エンジン・プログラムを実行して、参照リコンシリエーションを実行できます。

ノート:

アプリケーション・エンジン・プログラムを定期的に実行する必要があります。

  1. Webブラウザを開き、PeopleSoftインターネット・アーキテクチャのURLを入力します。URLの書式は次のとおりです。
    http://IPADDRESS:PORT/psp/ps/?cmd=login
    

    次に例を示します:

    http://172.21.109.69:9080/psp/ps/?cmd=login
    
  2. 「People Tools」→プロセス・スケジューラ→プロセス新規値の追加の順にクリックします。
  3. プロセス・タイプとしてアプリケーション・エンジンを選択し、プロセス名としてLOOKUP_RECONと入力します。
  4. 「追加」をクリックします。
  5. 「プロセス定義オプション」タブで、コンポーネントおよびプロセス・グループに次の値を入力し、「保存」をクリックします。

    コンポーネント: AE_REQUEST

    プロセス グループ: TLSALLSTALL

  6. PeopleSoftインターネット・アーキテクチャでアプリケーション・エンジン・プログラムを実行するには、「People Tools」→アプリケーション・エンジン→アプリケーション・エンジンのリクエスト新規値の追加の順にクリックします。
  7. 次の値を入力した後、「追加」をクリックします。

    ユーザーID: 自分のユーザーIDを入力します。

    ラン コントロールID: 一意のラン・コントロール値を入力します。

    プログラム名: LOOKUP_RECONと入力します。

  8. 「実行」をクリックします。
  9. 表示されるリストから、ステップ3で作成したLOOKUP_RECONプロセスを選択します。
  10. 「OK」をクリックします。
  11. アプリケーション・エンジン・プログラムの進捗ステータスを確認するには、「People Tools」→プロセス・スケジューラ→プロセス・モニターの順にクリックします。Successメッセージがステータスとして表示されるまで、リフレッシュをクリックします。

    ノート:

    「ステータス」にキューと表示される場合は、プロセス・スケジューラのステータスを確認する必要があります。そのためには、「People Tools」→プロセス・スケジューラプロセス・モニターの順にクリックします。サーバー・リストのタブをクリックし、サーバーのステータスを確認します。ステータスが表示されない場合は、プロセス・スケジューラを起動します。

完全リコンシリエーションの実行

完全リコンシリエーションでは、既存のすべてのユーザー・プロファイル・レコードをターゲット・システムからOracle Identity Managerへリコンサイルします。コネクタをデプロイした後で、最初に完全リコンシリエーションを実行する必要があります。

ノート:

ターゲット・バージョンがPeopleSoft HRMS 9.1とPeopleTools 8.51の場合は、完全リコンシリエーションにPeopleTools 8.51.13リリースを使用する必要があります。

次の項では、完全リコンシリエーションの手順について説明します。

XMLファイルの生成

ターゲット・システムのすべての既存のユーザーについてXMLファイルを生成する必要があります。

ノート:

  • XMLファイルを生成する手順を実行する前に、USER_PROFILEメッセージが構成されていることを確認する必要があります。詳細は、「完全リコンシリエーションのためのターゲット・システムの構成」を参照してください。

  • PeopleTools 8.50およびHCM 9.0を使用している場合は、完全データ・パブリッシュを実行する前に、Oracle Bug#824529に対処したパッチを適用する必要があります。このパッチは、Oracle Metalinkからダウンロードできます。

  • 完全リコンシリエーションを初めて実行する場合は、アプリケーション・エンジン・プログラムを実行する必要があります。詳細は、「参照リコンシリエーションの実行」を参照してください。

USER_PROFILEメッセージを実行するには:

  1. PeopleSoftインターネット・アーキテクチャで、エンタープライズ・コンポーネント「インテグレーション定義」「プロセス実行」の順に開き、完全データ・パブリッシュをクリックします。
  2. 新規値の追加タブをクリックします。
  3. ラン・コントロールIDフィールドで、値を入力し、「追加」をクリックします。
  4. 「プロセス・リクエスト」リージョンで、次の値を指定します。

    リクエストID: リクエストIDを入力します。

    説明: プロセス・リクエストの説明を入力します。

    処理頻度: 常時を選択します。

    メッセージ名: メッセージ名としてUSER_PROFILEを入力します。

  5. 構成を保存するには、「保存」をクリックします。
  6. 「実行」をクリックします。
  7. サーバー名リストで、適切なサーバーを選択します。
  8. フル・テーブル・データ・パブリッシュ・プロセス・リストで、「OK」をクリックします。
  9. プロセス・モニターをクリックして、EOP_PUBLISHTアプリケーション・エンジンのステータスを検証します。トランザクションが正常に完了した場合、実行ステータス成功です。

    トランザクションが正常に完了すると、USER_PROFILEメッセージのXMLファイルが、PeopleSoft WebサーバーのOIM_FILE_NODEノードの作成時にFilePathプロパティで指定した場所に生成されます。詳細は、「PeopleSoftインテグレーション・ブローカーの構成について」から「リモート・ノードの作成」までを参照してください。

    これらのXMLファイルをOracle Identity Managerホスト・コンピュータ上のディレクトリにコピーします。これらのXMLファイルの権限が十分に制限されていることを確認してください。デフォルトでは、権限は644に設定されています。これを640に設定できます。

ノート:

この手順を実行した後で、次の操作を実行します。

Oracle Identity ManagerへのXMLファイルのインポート

この項では、XMLファイルをOracle Identity Managerにインポートする手順を説明します。

次の項目が含まれます。

ユーザー・データ・リコンシリエーションのスケジュール済ジョブの構成

コネクタ・インストーラを実行すると、PeopleSoft User Management Target Reconciliationスケジュール済ジョブがOracle Identity Managerに自動的に作成されます。

PeopleSoft User Management Target Reconciliationスケジュール済ジョブは、ターゲット・リソース・リコンシリエーションに使用されます。また、このスケジュール済ジョブは、ターゲット・リソースから削除されたユーザーのデータをOracle Identity Managerに対してリコンサイルするために使用されます。

スケジュール済ジョブは、XMLファイルからパーサーにデータを転送します。次に、パーサーによってこのデータがリコンシリエーション・イベントに変換されます。using-connector.htm#GUID-B40B95CB-4F3D-497A-8177-91077B0A0BE0__CEGIHBJEで、このスケジュール済ジョブの属性について説明します。スケジュール済ジョブの構成手順は、「スケジュール済ジョブの構成」を参照してください。

ユーザー・データのリコンシリエーション用のスケジュール済ジョブの属性

using-connector.htm#GUID-B40B95CB-4F3D-497A-8177-91077B0A0BE0__CEGIHBJEで、ユーザー・データのリコンシリエーションのためのスケジュール済ジョブの属性について説明します。

表3-2 ユーザー・データのリコンシリエーション用のスケジュール済ジョブの属性

属性 説明

Archive Mode

完全リコンシリエーション中に使用されるXMLファイルをアーカイブする場合は、yesを入力します。アーカイブ後に、ファイルは元の場所から削除されます。

noの場合、XMLファイルはアーカイブされません。

Archive Path

完全リコンシリエーション中に使用するXMLファイルをアーカイブする宛先のフルパスと名前を入力します。

「アーカイブ・パス」属性の値は、アーカイブ・モード属性の値としてyesを指定した場合にのみ入力する必要があります。

サンプル値: /usr/archive

File Path

XMLデータを含むファイルをコピーしたOracle Identity Managerホスト・コンピュータ上のディレクトリのパスを入力します。

サンプル値: /usr/data

IT Resource Name

「ITリソースの構成」で説明した手順を実行して作成するITリソースの名前を入力します。

デフォルト値: PSFT User

Message Implementation Class

メッセージの処理に必要なメッセージ・ハンドラの実装クラスの名前を入力します。たとえば、次のメッセージの実装クラスはデフォルトで提供されます。

USER_PROFILEメッセージの場合:

oracle.iam.connectors.psft.common.handler.impl.PSFTUserProfileReconMessageHandlerImpl

DELETE_USER_PROFILEメッセージの場合:

oracle.iam.connectors.psft.common.handler.impl.PSFTDeleteUserReconMessageHandlerImpl

Message Name

この属性を使用して、完全リコンシリエーションに使用する配信済メッセージの名前を指定します。

サンプル値: USER_PROFILE.VERSION_84

ノート: この値は、メッセージ・ハンドラのクラス名の決定に使用されるLookup.PSFT.Configuration参照定義のエントリと一致する必要があります。参照の詳細は、「Lookup.PSFT.Configuration」を参照してください。

Task Name

この属性は、スケジュール済タスクの名前を保持します。

デフォルト値: PeopleSoft User Management Target Reconciliation

増分リコンシリエーションの実行

増分リコンシリエーションの追加構成は不要です。

「PeopleSoftリスナーのデプロイ」の説明に従ってPeopleSoftリスナーをデプロイしていることを前提とします。

制限付きリコンシリエーション

制限付きリコンシリエーションを構成して、Oracle Identity Managerにフェッチする必要のあるターゲット・システム・レコードのサブセットを指定できます。

この項では、次の項目について説明します。

制限付きリコンシリエーションについて

デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在の増分リコンシリエーションの実行中にリコンサイルされます。完全リコンシリエーションでは、すべてのターゲット・システム・レコードがOracle Identity Managerにフェッチされます。

制限付きリコンシリエーションを構成して、Oracle Identity Managerにフェッチする必要のあるターゲット・システム・レコードのサブセットを指定できます。

制限付きリコンシリエーションは、PeopleSoft User Management Target Reconciliationスケジュール済ジョブのカスタム問合せ属性の値として問合せ条件を指定することで構成します。

カスタム問合せ属性の値を指定するには次の形式を使用する必要があります。

RESOURCE_OBJECT_ATTRIBUTE_NAME=VALUE

たとえば、カスタム問合せ属性の値として次のように指定するとします。

Currency Code=1~USD

この問合せ条件では、通貨コードが1~USDのユーザーのレコードのみがリコンシリエーションで考慮されます。

アンパサンド(&)をAND演算子として使用し、縦棒(|)をOR演算子として使用して、複数の問合せ条件を追加できます。たとえば、次の問合せ条件を使用して、通貨コードが1~USD、ユーザーIDがJohn01のユーザーのレコードにリコンシリエーションを制限します。

Currency Code=1~USD  & User ID=John01

制限付きリコンシリエーションの構成

制限付きリコンシリエーションを構成するには:

  1. 問合せ条件を作成します。問合せ条件の作成時には、次のガイドラインが適用されます。
    • 問合せ条件では、等号(=)、アンパサンド(&)および縦棒(|)のみを使用します。問合せ条件には、その他の特殊文字を含めないでください。他の文字を含めると、指定する値の一部として扱われます。

    • 問合せ条件で使用されるアンパサンドと縦棒記号の前および後にはスペースを追加します。次に例を示します:

      Currency Code=1~USD & User ID=John01

      Currency Code=1~USD | User ID=John01

      これは、問合せで使用されるアンパサンドと縦棒を、問合せ条件で指定される属性値の一部として含まれる同じ文字と区別するために役立ちます。

    • 問合せ条件の演算子と値の間に不要な空白を入れないでください。

      値と演算子が空白で区切られている問合せ条件と、値と演算子の間に空白が含まれていない問合せ条件を比較した場合、異なる結果が生じます。たとえば、次の問合せ条件による出力は異なります。

      Currency Code=1~USD & User ID=John01

      Currency Code=1~USD & User ID=John01

      2つ目の問合せ条件では、リコンシリエーション・エンジンは冒頭に空白が含まれた通貨コードおよびユーザーIDの値を検索します。

    • 問合せ条件で使用する属性名の大/小文字が、PeopleSoft Userリソース・オブジェクトで定義された属性の大/小文字と同じであることを確認します。たとえば、次の問合せ条件は失敗します。

      cUrReNcY Code= 1~USD

  2. カスタム問合せ属性の値として問合せ条件を指定して、メッセージ固有の構成参照を構成します。たとえば、USER_PROFILEメッセージの問合せ条件を指定するには、Lookup.PSFT.Message.UserProfile.Configuration参照を検索して開きます。カスタム問合せ属性のデコード列に問合せ条件を指定します。

PeopleSoftリスナーで受信されないメッセージの再送信

WARファイルが実行されているかどうかにかかわらず、メッセージが生成され、Oracle Identity Managerに送信されます。リコンシリエーション・イベントは、WARファイルが使用不能な場合にOracle Identity Managerに送信されるメッセージに対しては作成されません。

この項では、次の項目について説明します。

メッセージの再送信について

メッセージの公開時にOracle Identity Managerが実行中でない場合、メッセージはキューに追加されます。「メッセージ・インスタンス」タブで、キュー内のメッセージのステータスを確認できます。このタブには、キュー内のすべての公開メッセージが表示されます。特定のメッセージの詳細を確認すると、ステータスがTimeoutまたはErrorとして表示されます。

Oracle Identity Managerにキュー内のメッセージを公開するには、Oracle Identity Managerが実行中であるときにメッセージを再送信します。

メッセージのステータスがNewまたはStartedであり、TimeoutまたはDoneに変更されない場合は、Oracle Identity Managerを再起動した後にPeopleSoftアプリケーション・サーバーを再起動する必要があります。

ノート:

PeopleSoftでは、「制限付き権限ユーザー用のロールの作成」で説明した制限付き権限ユーザーに対してこの機能がサポートされます。ただし、組織のセキュリティ・ポリシーに基づいて、このジョブの実行権限を持つユーザーを指定できます。

メッセージの手動再送信

ターゲット・システムで生成されるすべてのメッセージがOracle Identity Managerに届くようにするには、ErrorまたはTimeOutステータスのメッセージを手動で再送信します。これを行うには:

  1. PeopleSoftインターネット・アーキテクチャで、「PeopleTools」→インテグレーション・ブローカー→オペレーション・モニター→モニターの順に開き、非同期サービスをクリックします。
  2. グループ化リストで、サービス・オペレーションまたはキューを選択して、Error、TimeOut、Doneなどのメッセージの数を表示します。
    グループ化リスト

    数字は、クリックしてメッセージの詳細を表示するリンクの形式です。

  3. 再送信するメッセージに関連するリンクをクリックします。たとえば、エラーまたはタイムアウト列のリンクをクリックします。

    オペレーション・インスタンス・タブが表示されます。

    「オペレーション インスタンス」タブ
  4. 再送信するメッセージの詳細リンクをクリックします。新規ウィンドウが表示されます。
    詳細リンク
  5. エラー・メッセージ・リンクをクリックして、エラーの説明を確認します。
  6. 問題を解決した後で、再送信をクリックします。

Oracle Identity Managerリリース11.1.1.xでのプロビジョニング操作の実行

OIMユーザーのリソースのプロビジョニングでは、Oracle Identity Managerを使用して、そのユーザーのPeopleSoftアカウントを作成します。

次にプロビジョニング操作のタイプを示します。

  • ダイレクト・プロビジョニング

  • リクエストベースのプロビジョニング

ノート:

プロビジョニング操作中に、サーバー・ログに「Unable to access pstools.properties」メッセージが記録される場合があります。このメッセージは無視して問題ありません。

この項では、次の項目について説明します。

Oracle Identity Managerでのダイレクト・プロビジョニング

この項では、ダイレクト・プロビジョニングを実行する前提条件と手順について説明します。内容は次のとおりです。

前提条件

ノート:

この項の手順は、次の状況でのみ実行します。

  • ダイレクト・プロビジョニングを初めて実行する場合。

  • リクエストベースのプロビジョニングからダイレクト・プロビジョニングに切り替える場合。

Oracle Identity Managerリリース11.1.1にコネクタをインストールする場合は、ダイレクト・プロビジョニング機能が自動的に有効になります。これは、コネクタのインストール時にプロセス・フォームが有効になることを意味します。

リクエストベースのプロビジョニング用にコネクタを構成する場合は、プロセス・フォームが抑制されてオブジェクト・フォームが表示されます。つまり、ダイレクト・プロビジョニングは、リクエストベースのプロビジョニング用にコネクタを構成する場合は無効になります。ダイレクト・プロビジョニングに戻す場合は、「リクエストベースのプロビジョニングとダイレクト・プロビジョニング間の切替え」を参照してください。

ダイレクト・プロビジョニングの実行

ダイレクト・プロビジョニングの手法を使用してリソースをプロビジョニングするには、次の手順を実行します。

  1. 管理およびユーザー・コンソールにログインします。
  2. 「Oracle Identity Managerセルフ・サービスへようこそ」ページで、「拡張」をクリックします。
  3. 「管理」タブをクリックします。
  4. OIMユーザーを最初に作成してからリソースをプロビジョニングする場合は、次のようにします。
    • 「アイデンティティ管理へようこそ」ページの「ユーザー」リージョンで、「ユーザーの作成」をクリックします。

    • 「ユーザーの作成」ページで、OIMユーザーのフィールドの値を入力し、「保存」をクリックします。

  5. ターゲット・システム・アカウントを既存のOIMユーザーにプロビジョニングする場合は、次の操作を行います。
    • 「アイデンティティ管理へようこそ」ページの「ユーザー」リージョンで、「拡張検索 - ユーザー」をクリックします。

    • 「検索」機能を使用してOIMユーザーを検索し、検索結果表に表示されるユーザーのリストからOIMユーザーのリンクをクリックします。

  6. 「リソース」タブをクリックします。
  7. 「追加」をクリックします。「ユーザーへのリソースのプロビジョニング」ページが新しいウィンドウに表示されます。
  8. 「リソースの選択」ページで、リストから「Peoplesoft User」を選択し、「続行」をクリックします。
  9. 「リソースの選択の検証」ページで、「続行」をクリックします。
    リソースの選択の検証
  10. 「プロセス・データの指定」ページで、ターゲット・システムに作成するアカウントの詳細を入力し、「続行」をクリックします。

    ノート:

    PeopleSoftターゲット・システム上のユーザー・プロファイルに複数のIDタイプを割り当てることができます。ただし、IDタイプの単一のインスタンスを同じユーザーに割り当てることができます。

    たとえば、プロビジョニング中にユーザー・プロファイルを従業員IDおよびベンダーIDにリンクできます。ただし、同じユーザーを2つの従業員IDインスタンスにリンクすることはできません。

    プロセス・データの指定
  11. 子データの「プロセス・データの指定」ページで、ターゲット・システム上のユーザーの子データを選択します。たとえば、電子メール・データの「プロセス・データの指定」ページで、アカウントの電子メール・アドレスと電子メール・タイプを指定し、「追加」をクリックします。複数の電子メールを追加する場合は、このプロセスを繰り返します。次に、「続行」をクリックします。
    プロセス・データの事前移入
  12. ロール・データの「プロセス・データの指定」ページで、ロール名を指定し、「追加」をクリックします。複数のロールを追加する場合は、この手順を繰り返します。次に、「続行」をクリックします。
    PeopleSoftのロール
  13. 「プロセス・データの検証」ページで、入力したデータを確認し、「続行」をクリックします。

    アカウントがターゲット・システムに作成され、リソースとしてOIMユーザーにプロビジョニングされます。

    プロセス・データの検証
  14. 「プロビジョニングは開始されています。」というメッセージが表示されます。このウィンドウを閉じ、「リフレッシュ」をクリックして、新規にプロビジョニングしたリソースの詳細を表示します。

    関連項目:

    このコネクタでサポートされるプロビジョニング機能およびプロビジョニングに使用されるプロセス・フォームのフィールドの詳細は、「プロビジョニング時に使用されるコネクタ・オブジェクト」を参照してください。

Oracle Identity Managerでのリクエストベースのプロビジョニング

リクエストベースのプロビジョニング操作には、エンド・ユーザーと承認者の両方が関係します。通常、承認者はリクエスト発行者の上司です。次の各項では、リクエストベースのプロビジョニング操作中にエンド・ユーザーおよび承認者によって実行されるステップについて説明します。

ノート:

これらの項で説明する手順は、エンド・ユーザーがターゲット・システム・アカウントをプロビジョニングするためにリクエストを要求または作成する例に基づいています。このリクエストは、承認者によって承認されます。

次の各項では、リクエストベースのプロビジョニング操作中にエンド・ユーザーおよび承認者によって実行されるステップについて説明します。

リクエストベースのプロビジョニングでのエンドユーザーの役割

次のステップは、リクエストベースのプロビジョニング操作でエンドユーザーによって実行されます。

  1. 管理およびユーザー・コンソールにログインします。
  2. 「ようこそ」ページでページの右上の「拡張」をクリックします。
  3. 「アイデンティティ管理へようこそ」ページで「管理」タブをクリックし、「リクエスト」タブをクリックします。
  4. 左ペインの「アクション」メニューから「リクエストの作成」を選択します。

    「リクエスト・テンプレートの選択」ページが表示されます。

  5. 「リクエスト・テンプレート」リストで、「リソースのプロビジョニング」を選択し、「次」をクリックします。
  6. 「ユーザーの選択」ページで、リソースをプロビジョニングするユーザーを検索するためのフィールドに検索基準を指定し、S「検索」をクリックします。指定した検索基準に一致するユーザーのリストが「使用可能なユーザー」リストに表示されます。
  7. 「使用可能なユーザー」リストから、アカウントをプロビジョニングするユーザーを選択します。

    複数のユーザーのプロビジョニング・リクエストを作成する場合は、「使用可能なユーザー」リストから、アカウントをプロビジョニングするユーザーを選択します。

  8. 「移動」または「すべて移動」をクリックして、選択内容を「選択したユーザー」リストに移動し、「次」をクリックします。
  9. 「リソースの選択」ページで「リソース名」フィールドの横にある矢印ボタンをクリックして、使用可能なすべてのリソースのリストを表示します。
  10. 「利用可能なリソース」リストで、「PeopleSoft User」を選択し、「選択したリソース」リストに移動して「次」をクリックします。
  11. 「リソースの詳細」ページで、ターゲット・システムに作成する必要のあるアカウントの詳細を入力し、「次」をクリックします。
  12. 「理由」ページで次のフィールドの値を指定し、「終了」をクリックします。
    • 有効日

    • 理由

    結果のページで、リクエストが送信されたことを確認するメッセージが「リクエストID」とともに表示されます。

  13. リクエストIDをクリックすると、「リクエストの詳細」ページが表示されます。
  14. 承認の詳細を表示するには、「リソースの詳細」ページで「リクエスト履歴」タブをクリックします。

リクエストベースのプロビジョニングでの承認者の役割

リクエストベースのプロビジョニング操作で、承認者は次のステップを実行します。

  1. 管理およびユーザー・コンソールにログインします。
  2. 「ようこそ」ページの右上隅で、「セルフサービス」をクリックします。
  3. 「Identity Managerセルフ・サービスへようこそ」ページで「タスク」タブをクリックします。
  4. 「承認」タブの最初のリージョンで、割り当てられたリクエスト・タスクの検索基準を指定できます。
  5. 検索結果表から承認するリクエストを含む行を選択して、「タスクの承認」をクリックします。

    タスクが承認されたことを確認するメッセージが表示されます。

リクエストベースのプロビジョニングと直接プロビジョニングの切替え

次の各項で、リクエストベースのプロビジョニングとダイレクト・プロビジョニングの切替えについて説明します。

ノート:

「リクエストベースのプロビジョニングの有効化」で説明した手順を実行したことを想定します。

リクエストベースのプロビジョニングから直接プロビジョニングへの切替え

リクエストベースのプロビジョニングからダイレクト・プロビジョニングに切り替えるには:

  1. Design Consoleにログインします。

  2. 次のようにして「Auto Save Form」機能を無効にします。

    1. 「Process Management」を開いて「Process Definition」をダブルクリックします。

    2. Peoplesoft User Managementプロセス定義を検索して開きます。

    3. 「Auto Save Form」チェック・ボックスの選択を解除します。

    4. 「Save」アイコンをクリックします。

  3. 「Self Request Allowed」機能が有効になっている場合は、次のようにします。

    1. 「Resource Management」を開き、「Resource Objects」をダブルクリックします。

    2. 「Peoplesoft User」リソース・オブジェクトを検索し、開きます。

    3. 「Self Request Allowed」チェック・ボックスを選択解除します。

    4. 「Save」アイコンをクリックします。

直接プロビジョニングからリクエストベースのプロビジョニングへの切替え

ダイレクト・プロビジョニングからリクエストベースのプロビジョニングに切り替えるには:

  1. Design Consoleにログインします。

  2. 次のようにして「Auto Save Form」機能を有効にします。

    1. 「Process Management」を開いて「Process Definition」をダブルクリックします。

    2. Peoplesoft User Managementプロセス定義を検索して開きます。

    3. 「Auto Save Form」チェック・ボックスを選択します。

    4. 「Save」アイコンをクリックします。

  3. エンド・ユーザーが自分自身に対してリクエストを要求できるようにする場合は、次のようにします。

    1. 「Resource Management」を開き、「Resource Objects」をダブルクリックします。

    2. 「Peoplesoft User」リソース・オブジェクトを検索し、開きます。

    3. 「Self Request Allowed」チェック・ボックスを選択します。

    4. 「Save」アイコンをクリックします。

Oracle Identity Managerリリース11.1.2.xでのプロビジョニング操作の実行

Oracle Identity Managerリリース11.1.2以降でプロビジョニング操作を構成するには、次の手順を実行します。

ノート:

このコネクタを使用して最初にプロビジョニング操作を実行する場合、完了するには通常より長い時間が必要となります。

  1. Identity Self Serviceにログインします。

  2. ユーザーを作成します。ユーザーの作成の詳細は、Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行のユーザーの管理を参照してください。

    Microsoft Exchangeメールボックスを既存のOIMユーザーにプロビジョニングする場合は、「ユーザー」ページで必要なユーザーを検索します。

  3. 「アカウント」タブで、「アカウントのリクエスト」をクリックします。

  4. 「カタログ」ページでアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。

  5. アプリケーション・フォーム内のフィールドに値を指定し、「送信準備ができています」をクリックします。

  6. 「送信」をクリックします。

  7. 権限をプロビジョニングする場合は、次のようにします。

    1. 「権限」タブで、「権限のリクエスト」をクリックします。

    2. 「カタログ」ページで、権限を検索してカートに追加し、「チェックアウト」をクリックします。

    3. 「送信」をクリックします。

スケジュール済ジョブの構成

この項では、スケジュール済ジョブの構成手順について説明します。この手順は、参照フィールド同期およびリコンシリエーションのスケジュール済ジョブを構成する場合に適用できます。

構成する必要のあるスケジュール済ジョブのリストは、「参照フィールド同期のためのスケジュール済ジョブの構成」を参照してください。

スケジュール済ジョブを構成するには、次のようにします。

  1. 使用しているOracle Identity Managerリリースに応じて、次のステップのいずれかを実行する必要があります。

    • Oracle Identity Managerリリース11.1.1.xの場合:

      1. 管理およびユーザー・コンソールにログインします。

      2. 「Oracle Identity Managerセルフサービスへようこそ」ページの右上隅にある「拡張」をクリックします。

    • Oracle Identity Managerリリース11.1.2.xの場合:

      1. Identity System Administrationにログインします。

      2. 左ペインの「システム管理」で、「スケジューラ」をクリックします。

  2. 次のようにして、スケジュール済ジョブを検索して開きます。

    1. Oracle Identity Managerリリース11.1.1.xを使用している場合は、Oracle Identity Manager拡張管理へようこそページの「システム管理」領域で、「スケジュール済ジョブの検索」をクリックします。

    2. 「検索」フィールドに、検索基準としてスケジュール済ジョブの名前を入力します。あるいは、「拡張検索」をクリックして検索基準を指定することもできます。

    3. 左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。

  3. 「ジョブの詳細」タブで、次のパラメータを変更できます。

    • 再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。

    • スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。

    ノート:

    スケジュール・タイプの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のジョブの作成を参照してください。

  4. スケジュール済ジョブの属性の値を指定します。これを行うには:

    「ジョブの詳細」タブの「パラメータ」セクションで、スケジュール済ジョブの属性の値を指定します。スケジュール済ジョブの属性の詳細は、using-connector.htm#GUID-B40B95CB-4F3D-497A-8177-91077B0A0BE0__CEGIHBJEを参照してください。

    ノート:

    属性値は、コネクタのインストール時にインポートされるコネクタXMLファイルに事前定義されています。変更する属性にのみ値を指定してください。

  5. 「適用」をクリックして変更を保存します。

    ノート:

    「Stop Execution」オプションは、管理およびユーザー・コンソールでは使用できません。ジョブを停止する場合は、Design Consoleの「タスク・スケジューラ」フォームの「実行停止」をクリックしてください。

SoD有効環境で実行されるプロビジョニング操作

OIMユーザーのリソースのプロビジョニングでは、Oracle Identity Managerを使用して、そのユーザーのPeopleSoftユーザー・アカウントを作成します。

次にプロビジョニング操作のタイプを示します。

  • ダイレクト・プロビジョニング

  • アカウントのリクエストベースのプロビジョニング

  • 権限のリクエストベースのプロビジョニング

  • ポリシー変更でトリガーされるプロビジョニング

関連項目:

プロビジョニングのタイプの詳細は、『Oracle Identity Manager Connector概要』を参照してください。

この項では、次の項目について説明します。

SoD有効環境でのプロビジョニング操作の概要

SoD有効環境で実行されるプロビジョニング操作では、次の一連のステップが行われます。

  1. プロビジョニング操作によって、適切なアダプタがトリガーされます。
  2. アダプタが、プロビジョニング・データをターゲット・システム上の対応するBAPIに渡します。
  3. OIMユーザーにプロビジョニングされるアカウントまたは権限を選択すると、SoDチェックが開始します。SoDCheckerタスクが、ユーザー・アカウントと権限の詳細を職務リストのフォームでOracle Application Access Controls Governorに送信します。つまり、SoD検証プロセスが非同期で行われます。
  4. Oracle Application Access Controls GovernorのWebサービスは、権限データを受信します。
  5. Oracle Application Access Controls Governorが権限データについてSoD検証プロセスを実行した後、プロセスのレスポンスがOracle Identity Managerに返されます。
  6. レスポンスを受け取ったプロセス・タスクのステータスは、レスポンスによって異なります。権限データがSoD検証プロセスを通過すると、プロセス・タスクのステータスが「完了」に変わります。これは、権限がユーザーに付与されることを意味します。SoD検証プロセスから失敗のレスポンスが返されると、プロセス・タスクのステータスは「取消」に変わります。

SoD有効環境でのダイレクト・プロビジョニング

SoD対応環境でのダイレクト・プロビジョニングの手順は、一般的な環境でのダイレクト・プロビジョニングの手順と同様です。

ダイレクト・プロビジョニングの手法を使用してリソースをプロビジョニングするには、次の手順を実行します。

  1. 管理およびユーザー・コンソールにログインします。

  2. OIMユーザーを最初に作成してからターゲット・システム・アカウントをプロビジョニングする場合は、次のようにします。

    1. 「Identity Manager - セルフ・サービス」ページで、「管理」をクリックします。

    2. 「アイデンティティ管理へようこそ」ページの「ユーザー」セクションで、「ユーザーの作成」をクリックします。

    3. 「ユーザーの作成」ページで、OIMユーザーのフィールドの値を入力し、「保存」をクリックします。

  3. ターゲット・システム・アカウントを既存のOIMユーザーにプロビジョニングする場合は、次のようにします。

    1. 「アイデンティティ管理へようこそ」ページで、左ペインのドロップダウン・リストから「ユーザー」を選択してOIMユーザーを検索します。

    2. 検索結果に表示されるユーザーのリストから、OIMユーザーを選択します。右ペインにユーザーの詳細ページが表示されます。

  4. ユーザーの詳細ページで、「リソース」タブをクリックします。

  5. 「アクション」メニューから「リソースの追加」を選択します。あるいは、プラス(+)記号の付いたリソースの追加アイコンをクリックします。「ユーザーへのリソースのプロビジョニング」ページが新しいウィンドウに表示されます。

  6. 「ステップ1: リソースの選択」ページで、プロビジョニングするリソースをリストから選択し、「続行」をクリックします。

  7. 「ステップ2: リソースの選択の検証」ページで、「続行」をクリックします。

  8. プロセス・データの「ステップ3: リソース・データの指定」ページで、ターゲット・システムで作成するアカウントの詳細を入力し、「続行」をクリックします。

  9. ロール・データの「ステップ3: プロセス・データの指定」ページで、アカウントのロール名を指定し、「追加」をクリックします。複数のロールを追加する場合は、この手順を繰り返します。次に、「続行」をクリックします。

  10. 「ステップ4: プロセス・データの検証」ページで、指定したデータを確認して「続行」をクリックします。

  11. 「プロビジョニングは開始されています。」というメッセージが表示されます。新規にプロビジョニングしたリソースを表示するには、次のいずれかのステップを実行します。

    1. 「プロビジョニングが開始されました」メッセージを表示しているウィンドウを閉じます。

    2. ユーザーの詳細ページの「リソース」タブで、「リフレッシュ」をクリックして、新規にプロビジョニングしたリソースを表示します。

  12. プロセス・フォームを表示するには、ユーザーの詳細ページの「リソース」タブで、新規にプロビジョニングしたリソースを表示している行を選択し、「オープン」をクリックします。「フォームの編集」ページが表示されます。

    ノート:

    Oracle Identity ManagerがSoD対応でない場合は、「SoDチェックのステータス」フィールドに「SODCheckNotInitiated」と表示されます。

  13. 「リソース・プロビジョニングの詳細」ページを表示するには、ユーザーの詳細ページの「リソース」タブで、「リソース履歴」を選択します。

    ノート:

    Oracle Application Access Controls GovernorによるSoD検証は非同期です。検証プロセスは完了するとすぐに結果を返します。

  14. SoD検証プロセスの開始後に、プロセスの結果がOracle Identity Managerに送られます。プロセス・フォームを表示するには、「ユーザーの詳細」ページの「リソース」タブで、新規にプロビジョニングしたリソースを表示している行を選択し、「オープン」をクリックします。「フォームの編集」ページが表示されます。

    このページで、「SoDチェックのステータス」フィールドに「SoDCheckCompleted」と表示されます。この例のSoDエンジンによる違反により、「SoDチェック違反」フィールドに違反の詳細が表示されます。

    また、「リソース・プロビジョニングの詳細」ページに、SODCheckerタスクとホルダー・タスクのステータス「完了」が表示されます。

    このページでは、「ユーザー・ロールの追加」タスクのステータスは、リクエストがSoD検証プロセスを通過しなかったため「取消」になっています。

  15. リソースをユーザーに割り当てる管理者は、違反が検出されたときにプロセスを停止するか、割当てデータを変更して再送信することができます。割当てデータを変更するには、ユーザーの詳細ページの「リソース」タブで、リソースを含む行を選択し、「オープン」をクリックします。

  16. 表示される「フォームの編集」ウィンドウで、前に選択したロールとプロファイルのデータを変更することができます。

    ノート:

    「フォームの編集」ウィンドウで一連の権限を変更するには、まずすべての権限を削除してから、使用する権限を追加してください。

  17. SoD検証プロセスの開始後に、プロセスの結果がOracle Identity Managerに送られます。ユーザーの詳細ページの「リソース」タブで、リソースを含む行を選択し、「オープン」をクリックします。プロセス・フォームが表示されます。

    このフォームで、「SoDチェックのステータス」フィールドに「SoDCheckCompleted」と表示されます。SoDエンジンで違反が検出されなかったため、「SoDCheckResult」フィールドには「パス」と表示されます。

    また、「リソース・プロビジョニングの詳細」ページに、SODCheckerタスクとホルダー・タスクのステータス「完了」が表示されます。

    「リソース・プロビジョニングの詳細」ページでは、ユーザーへのロールの追加タスクの状態が「完了」になります。

SoD有効環境でのリクエストベース・プロビジョニング

ノート:

この手順は、Oracle Identity Manager11.1.2.x以降には適用できません。

詳細は、「Oracle Identity ManagerでのSoDの構成」を参照してください。

リクエストベースのプロビジョニング操作には、エンドユーザーと承認者の両方が関係します。通常、承認者はリクエスト発行者の上司です。この項で説明するリクエストベースのプロビジョニング・プロセスは、両者が実行するステップを含んでいます。

この項の例では、エンドユーザーがターゲット・システムの2つのロールに対するリクエストを作成します。リクエストはSoD検証を通過し、承認者によって承認されます。

リクエストベースのプロビジョニングでのエンドユーザーのロール

次のステップは、リクエストベースのプロビジョニング操作でエンドユーザーによって実行されます。

  1. 管理およびユーザー・コンソールにログインします。
  2. 「ようこそ」ページでページの右上の「拡張」をクリックします。
  3. 「Identity Manager拡張管理へようこそ」ページで、「管理」タブをクリックし、次に「リクエスト」タブをクリックします。
  4. 左ペインの「アクション」メニューから「リクエストの作成」を選択します。

    「リクエスト・テンプレートの選択」ページが表示されます。

  5. 「リクエスト・テンプレート」リストから「リソースのプロビジョニング」を選択して、「次」をクリックします。
  6. 「ユーザーの選択」ページで、リソースをプロビジョニングするユーザーを検索するためのフィールドに検索基準を指定し、S「検索」をクリックします。指定した検索基準に一致するユーザーのリストが「使用可能なユーザー」リストに表示されます。
  7. 「使用可能なユーザー」リストから、アカウントをプロビジョニングするユーザーを選択します。

    複数のユーザーのプロビジョニング・リクエストを作成する場合は、「使用可能なユーザー」リストから、アカウントをプロビジョニングするユーザーを選択します。

  8. 「移動」または「すべて移動」をクリックして、選択内容を「選択したユーザー」リストに移動し、「次」をクリックします。
  9. 「リソースの選択」ページで「リソース名」フィールドの横にある矢印ボタンをクリックして、使用可能なすべてのリソースのリストを表示します。
  10. 「利用可能なリソース」リストで、「PeopleSoft User」を選択し、「選択したリソース」リストに移動して「次」をクリックします。
  11. 「リソースの詳細」ページで、ターゲット・システムに作成する必要があるアカウントの詳細を入力し、「次」をクリックします。
  12. 「理由」ページで、次のフィールドの値を指定し、「終了」をクリックします。
    • 有効日

    • 理由

    結果のページで、リクエストが正常に送信されたことを確認するメッセージが「リクエストID」とともに表示されます。

  13. リクエストIDをクリックすると、「リクエストの詳細」ページが表示されます。
  14. 「リクエストの詳細」ページの「リソース」タブで、リクエストが作成されるリソースを含む行の「詳細の表示」リンクをクリックします。「リソース・データ」ページが新しいウィンドウに表示されます。

    このページのフィールドの1つは「SODCheckStatus」フィールドです。このフィールドの値は、SoDCheckResultPendingまたはSoDCheckCompletedになります。リクエストが行われると、「SODCheckStatus」フィールドに「SoDCheckResultPending」ステータスが含まれます。

    ノート:

    Oracle Identity ManagerがSoD対応でない場合は、「SoDチェックのステータス」フィールドに「SODCheckNotInitiated」と表示されます。

  15. 承認の詳細を表示するには、「リクエストの詳細」ページで「「承認タスク」タブをクリックします。

    このページでは、SODCheckerタスクのステータスは「保留」です。

  16. 保留中のリクエストのSoD検証を開始するには、承認者がGet SOD Check Results Approvalスケジュール済タスクを実行する必要があります。
  17. Get SOD Check Results Approvalスケジュール済タスクの実行後に、「リクエストの詳細」ページで「承認タスク」タブをクリックします。SODCheckerタスクのステータスは「完了」で、承認タスクのステータスは「保留」です。このページには、このときリクエストを承認する必要がある管理者の詳細も表示されます。

リクエストベースのプロビジョニングでの承認者の役割

この項では、リクエストベースのプロビジョニング操作での承認者の役割について説明します。

リクエストが割り当てられている承認者は、「保留中の承認」機能を使用してリクエストの詳細を確認することができます。

また、承認者は「表示」リンクをクリックして、SoD検証プロセスの詳細を確認できます。

承認者は、SoDエンジンがリクエストを受け入れたか拒否したかに関係なく、リクエストの承認または拒否を決めることができます。承認者はリクエストの権限を変更することもできます。

次のステップは、リクエストベースのプロビジョニング操作で承認者によって実行されます。

  1. 管理およびユーザー・コンソールにログインします。
  2. 「ようこそ」ページの右上隅で、「セルフサービス」をクリックします。
  3. 「Identity Managerセルフ・サービスへようこそ」ページで「タスク」タブをクリックします。
  4. 「承認」タブの最初のセクションで、割り当てられているリクエスト・タスクの検索基準を指定できます。
  5. 検索結果表から承認するリクエストを含む行を選択して、「タスクの承認」をクリックします。

    タスクが承認されたことを確認するメッセージが表示されます。