| Oracle® Identity Manager SAP User Management Engineコネクタ・ガイド 11.1.1 B72407-11 |
|
 前 |
 次 |
ここでは、SAP UMEコネクタに関連する既知の問題と制限事項について説明します。
この章では、次の項目について説明します。
ここでは、このリリースのコネクタに関連する既知の問題と回避策について説明します。
このリリースのコネクタに関連する既知の問題は、次のとおりです。
Oracle Bug#14152765
SAP BusinessObjects ACターゲット・システムから取得した違反詳細のサイズが4000文字を超える場合、SODCheckViolationフィールドの「Length」を、違反データの予測されるサイズに基づいて更新する必要があります。
Oracle Bug#13248559
管理およびユーザー・コンソールのユーザー・フォームでユーザー・リコンシリエーションを実行後、デコードの値ではなくコード・キーの値が表示されます。
Oracle Bug#13343976
connectorserver.usesslプロパティをtrue に設定し、ターゲット・システムの証明書をコネクタ・サーバーのJDKキーストアにインポートして、SSLを使用してコネクタ・サーバーと通信するようにコネクタを構成した場合、ターゲット・システムにアクセスしようとしたり、コネクタ・サーバーを実行しようとすると、エラーが返されます。
この問題への対処方法はありません。コネクタ・サーバーとの通信にSSLを使用しないでください。
Oracle Bug#28217796
システムで有効日付を31/12/9999に設定したGRCアクセス・リクエストを介してEnterprise Portalでユーザーを作成すると、次のエラー・メッセージが生成されます。
Exception while creating user:
BAPI_USER_CREATE1@GR1CLNT001:TYPE=E, ID=S5, NUMBER=003,
Oracle Bug#23342634
タイムゾーン、国、ロケールの参照データが動的ではない
プロビジョニングとリコンシリエーションの際に、タイムゾーン、国、ロケールの参照値が以前のバージョンのNetweaverで生成されたために、参照データが、ターゲット・システムと一致しない場合があります。
ターゲットと参照のデータが一致しない場合、回避策として、顧客はOracle Identity Manager Design Consoleで参照を手動で変更する必要があります
Oracle Bug#23559285
Access Request Management (AC)のフローで、OIGでアカウントの削除をトリガーし、GRCで同じアカウントの取り消しリクエストを拒否した場合、アカウントはSAP NetWeaver Java Applicationサーバー(バックエンドJava Stack)でアクティブなままになり、そのアカウントの詳細をOracle Identity Managerで変更できません。
この問題への対処方法はありません。
ターゲット・システムの機能に関連するコネクタの制限事項は、次のとおりです。
SPML UME APIは、最終変更日の値が指定日より後のレコードは戻しません。このため、コネクタは増分リコンシリエーションをサポートできません。
構成可能なバッチ・リコンシリエーションはサポートされません。コネクタは、ターゲット・システムで許可される有効な文字で始まるログイン名を持つユーザー・レコードを最初にフェッチするときに、バッチ・リコンシリエーションを暗黙的に実行します。
さらに、次の項でコネクタの特定の制限事項について説明します。
コネクタのAS ABAPデータ・ソースに関連する制限事項を次に示します。
ユーザーを検索する際の制限
検索では、AS Javaツールを使用して実行されたアクションのみが考慮されます。このため、コネクタで最終変更タイムスタンプを使用して検索することはできません。
SAP User Management Engine (UME)ユーザー属性のリスト
AS ABAPデータ・ソースを使用してSAP UMEからの読取りまたはSAP UMEへの書き込みが可能なユーザー属性のリストは固定されており、拡張できません。バックエンドAS ABAPシステムに属性を追加することはできますが、これらの属性はSAP UMEではサポートされません。
SAP UMEでのAS ABAPロールの表示の遅延
新規のAS ABAPロールを作成したり、既存のAS ABAPロールの説明を変更すると、これらの変更が最大30分間、SAP UMEに表示されないことがあります。SAP UMEは、AS ABAPデータ・ソースからこのデータを30分おきに読み取ります。SAP UMEにAS ABAPデータ・ソースからデータを読み取らせるには、AS Javaを再起動する必要があります。このため、リコンシリエーション操作を実行すると、最近作成されたロールが失われることがあります。
Central User Administration (CUA)環境での制限
SAP UMEでは、集中システムにあるロールのみ表示できます。子システムのロールは、SAP UMEには表示されません。このため、コネクタからは集中システムへのロールの割当てのみ表示および保守できます。
SAP UMEでは、AS ABAPデータ・ソースでのアドレス書式属性およびタイムゾーン属性の保守をサポートしていません。
ターゲット・システムのAS ABAPロールを表すSAP UMEグループには、コネクタに関して次の制限事項があります。
ABAPユーザーは、ABAPロールを表すSAP UMEグループにのみ割り当てることができます。
現在の日付が、AS ABAPデータソース内の対応するユーザー・ロール割当ての有効期間外である場合、SAP UMEでユーザー・グループ割当てを表示できません。
ユーザーが対応するABAPロールがすでに割り当てられている場合に、そのユーザーにSAP UMEグループを割り当てようとすると、現在の日付が有効期間外の場合、エラー・メッセージが表示されます。
ABAPでのユーザーへのロール割当てが、集合ロールまたは組織管理によって行われる場合、対応するSAP UMEグループからそのユーザーを割当て解除することはできません。
ABAPでのユーザーへのロール割当てが、参照ユーザーを介した間接割当て(トランザクションSU01で表示可能)によって行われる場合、対応するSAP UMEグループからそのユーザーを割当て解除することはできません。
ABAPでのユーザーへのロール割当てが、直接および間接割当てによって同時に行われる場合、対応するSAP UMEグループからそのユーザーを割当て解除することはできません。
たとえば、ユーザー管理者ADMINがユーザーUSER1をロールZ_DIRECTとZ_COLLECTに割り当てたとします。Z_COLLECTはロールZ_DIRECTを含む集合ロールです。ADMINがAS Javaのアイデンティティ管理を使用する場合、ADMINはSAP UMEグループZ_DIRECTからUSER1を割当て解除できません。このABAPロールはABAPロールZ_COLLECTによっても間接的に割り当てられているためです。
SAP UMEで作成された新規グループは、ローカル・データベースに保存されます。
コネクタは、ユーザーへの次のタイプのロール割当てをサポートしています。
SAP Enterprise Portalに表示する内容を定義するロール
ポータル・ロール
これらのロールは、SAP Enterprise Portalに適用できます。コネクタは、ユーザーへのこれらのロールの割当てをサポートしています。
バックエンド・システムでユーザーが持つ権限を定義するロール
UME権限ロール
これらのロールは、プログラムによる権限チェックをサポートしています。コネクタは、ユーザーへのこれらのロールの割当てをサポートしています。
J2EEセキュリティ・ロール
これらのロールは、宣言的な権限チェックをサポートしています。コネクタは、ユーザーへのこれらのロールの割当てをサポートしていません。これらのロールは、J2EE EngineのVisual Administratorツールから管理する必要があります。
ABAP権限ロール
これらのロールは、SAP UMEがABAPデータ・ソースで構成されている場合に適用できます。これらのロールは、SAP UMEでグループとして表示されます。SAP UMEインスタンスでこれらがサポートされるかどうかをチェックする必要があります。SAP UMEインスタンスでサポートされる場合、コネクタはこれらのロールの割当てをサポートします。
この章では、SAP UMコネクタに関するよくある質問の回答を提供します。
コネクタの問題に関するガイドラインおよびトラブルシューティングとして次のFAQを参照してください。
Oracle Identity Governance (OIG)環境にSAP UMEコネクタのみをインストールしています。これをSAP BusinessObjects ACで使用する予定です。GRCで使用するにはSIL登録ステップに従う必要がありますか。
回答: 他のコネクタでsodgrcトポロジ名を使用しない場合は必要ありません。sodgrcトポロジ名はデフォルトですでに登録され、GRC-ITRes ITリソースにマップされています。したがって、インスタンス名GRC-ITRes、タイプGRC-UMEのITリソースがまだ存在していない場合は、作成する必要があります。このインスタンスのGRC詳細を指定し、このITリソースをGRCに使用します。GRC-ITResインスタンスを使用するには、SAPUME ITリソースにトポロジ名としてsodgrcと記載してください。
SAP ERコネクタとSAP UMEコネクタを同じOIG環境で同時に使用できますか。
回答: はい。
SAP UMEコネクタを、Access Request Management機能を構成しないで直接使用するつもりです。デフォルトのプロセス・フォームにはACフィールドが含まれています。これらのACフィールドをフォームから削除するにはどうしたらよいですか。
回答: 手順は、「プロセス・フォームからのSAP BusinessObjects AC Access Request Management属性の削除」を参照してください。
SODのシステム・プロパティを、XL.SoDCheckRequired = TRUEに変更しました。2つのSAPコネクタを、1つのコネクタはSOD分析用に構成し、もう1つのコネクタはSOD分析なしに構成して、同じOIG環境で使用することは可能ですか。
回答: いいえ、OIGにおいてシステム・プロパティは共通です。したがって、そのOIGにインストールされたすべてのコネクタにプロパティが適用されます。
SAP ERコネクタをインストール済で、それをSAP UMEコネクタにアップグレードすることを検討しています。アップグレード後にどのような変更を行う必要がありますか。
回答: プロセス定義のロールの追加、ロールの削除、グループの追加およびグループの削除の各タスクの子表名マッピングを、既存の子表名に従って変更する必要があります。同様に、次の参照定義で、すべての子フォーム名を既存のフォーム名に置き換えてください。
Lookup.SAPUME.UM.ProvAttrMap
Lookup.SAPUME.AC10.Configuration
Lookup.SAPUME.AC10.ProvAttrMap
SAP UMEコネクタをSOD分析用に構成しました。複数のGRCシステムがありますが、このコネクタは1つのシステムにのみ構成しています。違反ロールのセットを追加しましたが、SOD分析結果では違反なしの「成功」と表示されました。正しい分析を行うための構成がなにか足りないのでしょうか。
回答: 構成エラーの可能性があります。Lookup.SAPUME.ACxx.Configurationで、Sodシステム・キーのデコード値を検証してください。xxは、SAP BusinessObjects AC 10リリースの場合は10となります。正しいシステム値を指定してください。
SAP UMEコネクタをAccess Request Management用に構成してあり、監査証跡詳細を表示する必要があります。詳細はどこで取得できますか。
回答: 監査証跡詳細を取得するには、コネクタのACに固有のログを有効化する必要があります。監査証跡詳細は、コネクタ・ログとともにログ・ファイルで表示できます。
監査証跡のフォーマット済サンプルをいくつか示します。
ユーザーの作成
Audit Trial: {Result=[Createdate:20130409,
Priority: HIGH,
Requestedby:, johndoe (JOHNDOE),
Requestnumber: 9000001341,
Status: Decision pending,
Submittedby:, johndoe (JOHNDOE),
auditlogData:{,ID:000C290FC2851ED2A899DA29DAA1B1E2,
Description:,
Display String: Request 9000001341 of type New Account Submitted by johndoe ( JOHNDOE ) for JK1APRIL9 JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH}],
Status=0_Data Populated successfully}
リクエスト・ステータス
Audit Trial: {Result=[Createdate:20130409,
Priority: HIGH,
Requestedby:, johndoe (JOHNDOE),
Requestnumber: 9000001341,
Status: Approved,
Submittedby:, johndoe (JOHNDOE),
auditlogData:{,ID:000C290FC2851ED2A899DA29DAA1B1E2,
Description:,
Display String: Request 9000001341 of type New Account Submitted by johndoe ( JOHNDOE ) for JK1APRIL9 JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH,
ID: 000C290FC2851ED2A899DAF9961C91E2,Description:,Display String:Request is pending for approval at path GRAC_DEFAULT_PATH stage GRAC_MANAGER,
ID: 000C290FC2851ED2A89A1400B60631E2,
Description:,
Display String: Approved by JOHNDOE at Path GRAC_DEFAULT_PATH and Stage GRAC_MANAGER,
ID: 000C290FC2851ED2A89A150972D091E2,
Description:,
Display String: Auto provisioning activity at end of request at Path GRAC_DEFAULT_PATH and Stage GRAC_MANAGER,
ID: 000C290FC2851ED2A89A150972D111E2,
Description:,
Display String: Approval path processing is finished, end of path reached,
ID: 000C290FC2851ED2A89A150972D151E2,
Description:,
Display String: Request is closed}],
Status=0_Data Populated successfully}
リクエストの変更(名)
Audit Trial: {Result=[Createdate:20130409,
Priority: HIGH,
Requestedby:, johndoe (JOHNDOE),
Requestnumber: 9000001342,
Status: Decision pending,
Submittedby:, johndoe (JOHNDOE),
auditlogData:{,
ID: 000C290FC2851ED2A89A3ED3B1D7B1E2,
Description:,
Display String: Request 9000001342 of type Change Account Submitted by johndoe ( JOHNDOE ) for JK1FirstName JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH}],
Status=0_Data Populated successfully}
コネクタで使用可能なSAP UME Rolesリソース・オブジェクトの使用目的はなんですか。
回答: これらのリソース・オブジェクトは、Oracle Identity Manager 11gリリース1 (11.1.1)でのみ使用してください。Oracle Identity Managerリリース11.1.1では、Oracle Identity Manager 11gリリース(11.1.2)での権限と同じ目的で、これらが使用されています。Oracle Identity Managerリリース11.1.2では必要ありません。
「ユーザーの削除」タスクのマップされたアダプタを変更した後、タスク内のレスポンスが「レスポンス」タブで使用できなくなり、その結果タスクが失敗するか、実行されたタスクの説明が空白になります。レスポンスを手動で追加する必要はありますか。
回答: はい、レスポンスが使用できない場合のみ、アダプタを変更した後にレスポンスを手動で追加する必要があります。次のレスポンスを追加してください。
| レスポンス | 説明 | ステータス |
|---|---|---|
INVALID_CREDENTIAL |
不正なユーザー・ログインです |
R |
CONNECTION_FAILED |
リソースに接続できません |
R |
UNKNOWN_UID |
ターゲットにユーザーが存在しません |
R |
UNKNOWN |
不明 |
R |
CONNECTOR_EXCEPTION |
ユーザーの削除が失敗しました |
R |
ERROR |
ユーザーの削除中にエラーが発生しました |
R |
SUCCESS |
ユーザーの削除が成功しました |
C |
SAP UMEコネクタをAccess Request Management用に構成し、GRCを介してユーザーのプロビジョニングを実行しました。現在、コネクタをAccess Request Management機能のないデフォルトのタイプに戻しています。既存のユーザーを更新しようとすると、タスクが失敗します。Access Request Managementを介してプロビジョニングした既存のユーザーを操作する前に、スケジュール・ジョブを実行する必要はありますか。
回答: はい、プロビジョニング操作を実行する前に、SAP UMEユーザー・リコンシリエーション・スケジュール・ジョブを使用して、完全リコンシリエーションを1回実行してください。
Oracle Identity Governance環境にSAP UMEコネクタをインストールしています。ユーザーのプロビジョニング中に次の例外が表示されます。この問題を回避するにはどうしたらよいですか。
例外 : org.identityconnectors.framework.common.exceptions.ConnectorException: HTTPリクエストが有効でありません。
回答: この問題の回避策として、次の手順を実行してください。
SAP NW7.4 UMEの「操作」システム・レベルにログインして、次のパスに移動します。
D:\usr\sap\<SID>\SYS\PROFILE\
DEFAULT.PFLを次のように編集します。
#icm/HTTP/mod_0 = PREFIX=/,FILE=$(DIR_GLOBAL)/security/data/icm_filter_rules.txt
次のパスに示されたプロファイル・ディレクトリ内にあるディレクトリからconfigtool.shを実行します。
cd /usr/sap/<SID>/j2ee/configtool
./configtool.sh
これで、Configtool GUIが開いてuse.spml.http_header_check_activeパラメータの値がfalseに変更されます(trueに設定されていた場合)。
ユーザーの作成プロビジョニング操作の際に、SAP UME ACコネクタは、GRCなしでSAP ECCシステムに直接マップされた属性をプロビジョニングしますか。
回答: いいえ。GRCでのアカウント作成リクエストの場合、リクエストはGRC属性のみを使用して作成されます。SAP ECCシステムに直接マップされた属性は、作成操作には含まれません。リクエストが承認され、アカウントがSAP ECCシステム(バックエンドABAPシステム)にプロビジョニングされた後で、それらの属性(SAPに直接マップされた属性)を更新操作の中でプロビジョニングできます。
Oracle Identity Manager 11.1.xを使用していますが、NW7.5を使用するGRC10.1でSOD違反が機能しません。何が原因ですか。
回答:: バグ23582379の個別修正またはBPを強制的に適用する必要があります。
