| Oracle® Identity Manager SAP User Management Engineコネクタ・ガイド 11.1.1 B72407-11 |
|
 前 |
 次 |
この章では、次の項目について説明します。
ノート:
この項では、コネクタの構成に関する、概念的な情報と手順の情報の両方を提供します。手順を実行する前に、概念的な情報を参照することをお薦めします。
完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Managerへリコンサイルします。コネクタのデプロイ後は、まず完全リコンシリエーションを実行する必要があります。
完全リコンシリエーションを実行するには、SAP UMEユーザー・リコンシリエーション・スケジュール済タスクのフィルタ属性に現在割り当てられている値をすべて削除する必要があります。このスケジュール済タスクの詳細は、「スケジュール済ジョブの構成」を参照してください。
参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
参照フィールド同期には、次のスケジュール済ジョブが使用されます。
SAP UMEグループ参照リコンシリエーション
SAP UMEロール参照リコンシリエーション
これらのスケジュール済ジョブの属性の値を指定する必要があります。表3-1に、これらのスケジュール済ジョブの属性の説明を示します。スケジュール済タスクの構成手順は、このマニュアルで後述します。
表3-1 参照フィールド同期のスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
Code Key Attribute |
参照定義のコード・キー列への移入に使用される、コネクタまたはターゲット・システムの属性名を入力します(参照名属性の値として指定)。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
ノート: この属性の値を変更しないでください。 |
Decode Attribute |
参照定義のデコード列への移入に使用される、コネクタまたはターゲット・システムの属性名を入力します(参照名属性の値として指定)。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|
Filter |
縦棒(|)で表されるor演算子を使用してフィルタ条件を入力し、グループまたはロールの詳細のフェッチ元のデータソースをフィルタで除外します。 グループ参照同期の場合の、この属性のサンプル値: ロール参照同期の場合の、この属性のサンプル値: ノート: この属性の値の指定は、グループおよびロールのリコンシリエーション・スケジュール済ジョブに必須です。 |
IT Resource Name |
ユーザー・レコードのリコンサイル元のターゲット・システム・インストールの、ITリソース名を入力します。 デフォルト値: |
Lookup Name |
この属性は、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。 グループ参照同期の場合の、この属性のデフォルト値:
ロール参照同期の場合の、この属性のデフォルト値:
|
Object Class |
値のフェッチ元のオブジェクト・クラス名を入力します。 グループ同期の場合の、この属性のデフォルト値: ロール同期の場合の、この属性のデフォルト値: ノート: 属性の値は変更しないでください。 |
Object Type |
値を同期するオブジェクトのタイプを入力します。 グループ同期の場合の、この属性のデフォルト値: ロール同期の場合の、この属性のデフォルト値: ノート: この属性の値を変更しないでください。 |
参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
SAP BusinessObjects AC参照フィールド同期には、次のスケジュール済ジョブが使用されます。
SAP AC UME BusinessProcess参照リコンシリエーション
SAP AC UME FunctionalArea参照リコンシリエーション
SAP AC UMEグループ参照リコンシリエーション
SAP AC UME ItemProvAction参照リコンシリエーション
SAP AC UME Priority参照リコンシリエーション
SAP AC UME ReqInitSystem参照リコンシリエーション
SAP AC UME RequestType参照リコンシリエーション
SAP AC UMEリクエスト・ステータス
SAP AC UMEロール参照リコンシリエーション
SAP AC UMEターゲット・ユーザー削除リコンシリエーション
SAP AC UMEターゲット・ユーザー・リコンシリエーション
これらのスケジュール済ジョブの属性の値を指定できます。表3-2に、これらのスケジュール済ジョブの属性の説明を示します。スケジュール済ジョブの構成に、スケジュール済ジョブの構成手順を示します。
表3-2 SAP BusinessObjects AC参照フィールド同期のスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
Code Key Attribute |
コネクタまたはターゲット・システムの属性の名前。参照定義(Lookup Name属性の値として指定される)のコード・キー列に値を移入するために使用されます。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
ノート: この属性の値を変更しないでください。 |
Decode Attribute |
参照定義のデコード列への移入に使用される、コネクタまたはターゲット・システムの属性名を入力します(参照名属性の値として指定)。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|
IT Resource Name |
レコードをリコンサイルする元のターゲット・システム・インストールのITリソースの名前。 デフォルト値: |
Lookup Name |
ターゲット・システムからフェッチした値を移入するOracle Identity Managerの参照定義の名前を入力します。 ノート: この属性の値として指定する参照名がOracle Identity Managerに存在しない場合、スケジュール済ジョブの実行中にその参照定義が作成されます。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|
Object Class |
リコンサイルするオブジェクトのクラスの名前を入力します。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|
Object Type |
リコンサイルするオブジェクトのタイプの名前を入力します。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|
コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。
このガイドで前述したように、リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Managerで複製することです。この項では、リコンシリエーションの構成に関する次の項目について説明します。
完全リコンシリエーションでは、既存のすべてのターゲット・システム・レコードがリコンシリエーションのためにOracle Identity Managerにフェッチされます。
手順については、「完全リコンシリエーションの実行」を参照してください。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
コネクタには、SAP UMEリソース属性を使用してターゲット・システム・レコードをフィルタ処理するフィルタ属性が用意されています。
このパラメータの構文は次のとおりです。
ノート:
<and>および<or>演算子のショートカットを使用できます。たとえば、and (<filter1>, <filter2>)ではなく<filter1> & <filter2>とすることができ、同様に、orを|に置き換えることもできます。
syntax = expression ( operator expression )*
operator = 'and' | 'or'
expression = ( 'not' )? filter
filter = ('equalTo' | 'contains' | 'containsAllValues' | 'startsWith'
| 'endsWith' | 'greaterThan' | 'greaterThanOrEqualTo' | 'lessThan'
| 'lessThanOrEqualTo' ) '(' 'attributeName' ',' attributeValue ')'
attributeValue = singleValue | multipleValues
singleValue = 'value'
multipleValues = '[' 'value_1' (',' 'value_n')* ']'
たとえば、リコンサイルするアカウント数を、アカウント名が"a"文字で始まるアカウントのみに制限するには、次の式を使用します。
startsWith('__NAME__', 'a')
'z'で終了するアカウント名のみをフィルタ処理する高度な検索には、次のフィルタを使用できます。
startsWith('__NAME__', 'a') & endsWith('__NAME__', 'z')
コネクタをデプロイする際は、「スケジュール済ジョブの構成」の手順に従って属性値を指定します。
リコンシリエーション・スケジュール済ジョブを使用して、ターゲット・システムからユーザー・アカウント・データをリコンサイルできます。
ユーザーまたは削除されたユーザーのどちらのデータをターゲット・システムからリコンサイルするかによって、次のどちらかのスケジュール済ジョブの属性値を指定します。
SAP UMEターゲット・ユーザー・リコンシリエーション
SAP UMEターゲット・ユーザー・リコンシリエーション・スケジュール済ジョブを使用して、SAP UMEターゲット・システムからユーザー・データをリコンサイルします。
SAP UMEターゲット・ユーザー削除リコンシリエーション
SAP UMEターゲット・ユーザー削除リコンシリエーション・スケジュール済ジョブを使用して、削除されたユーザーのデータをターゲット・システムからリコンサイルします。リコンシリエーションの実行時には、ターゲット・システム上の削除されたユーザー・アカウントごとに、対応するOIMユーザーのSAP User Management Engineリソースが削除されます。
SAP AC UMEターゲット・ユーザー・リコンシリエーション
SAP AC UMEターゲット・ユーザー・リコンシリエーション・スケジュール済ジョブを使用して、SAP UMEターゲット・システムからユーザー・データをリコンサイルします。
SAP AC UMEターゲット・ユーザー削除リコンシリエーション
SAP AC UMEターゲット・ユーザー削除リコンシリエーション・スケジュール済ジョブを使用して、削除されたユーザーのデータをターゲット・システムからリコンサイルします。リコンシリエーションの実行時には、ターゲット・システム上の削除されたユーザー・アカウントごとに、対応するOIMユーザーのSAP User Management Engineリソースが削除されます。
この項では、次のスケジュール済ジョブの属性について説明します。
SAP UMEターゲット・ユーザー・リコンシリエーションおよびSAP AC UMEリコンシリエーション・スケジュール済ジョブを使用して、SAP BusinessObjects ACターゲット・システムのユーザー・レコードをリコンサイルします。表3-3に、SAP UMEターゲット・ユーザー・リコンシリエーションおよびSAP AC UMEターゲット・ユーザー・リコンシリエーション・スケジュール済ジョブの属性の説明を示します。
表3-3 SAP UMEターゲット・ユーザー・リコンシリエーションおよびSAP AC UMEターゲット・ユーザー・リコンシリエーション・スケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
Filter |
レコードをフィルタ処理する式。 サンプル値: |
IT Resource Name |
ユーザー・レコードのリコンサイル元のターゲット・システム・インストールの、ITリソース名を入力します。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|
Object Type |
リコンサイルするオブジェクトのタイプを入力します。 デフォルト値: |
Resource Object Name |
リコンシリエーションに使用されるリソース・オブジェクトの名前。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|
SAP UMEターゲット・ユーザー削除リコンシリエーションおよびSAP AC UMEターゲット・ユーザー削除リコンシリエーション・スケジュール済ジョブを使用して、SAP BusinessObjects ACターゲット・システムの削除されたユーザー・レコードをリコンサイルします。表3-4に、SAP UMEターゲット・ユーザー削除リコンシリエーションおよびSAP AC UMEターゲット・ユーザー削除リコンシリエーション・スケジュール済ジョブの属性の説明を示します。
表3-4 SAP UMEターゲット・ユーザー削除リコンシリエーションおよびSAP AC UMEターゲット・ユーザー削除リコンシリエーション・スケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
IT Resource Name |
ユーザー・レコードのリコンサイル元のターゲット・システム・インストールの、ITリソース名を入力します。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|
Object Type |
リコンサイルするオブジェクトのタイプを入力します。 デフォルト値: |
Resource Object Name |
リコンシリエーションに使用されるリソース・オブジェクトの名前。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|
SAP ACリクエスト・ステータス・スケジュール済ジョブを使用して、SAP BusinessObjects ACターゲット・システムからリクエスト・ステータスをリコンサイルします。表3-5に、このスケジュール済ジョブの属性の説明を示します。
表3-5 SAP ACリクエスト・ステータス・スケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
IT Resource Name |
コネクタがデータのリコンサイルに使用する必要があるITリソース・インスタンスの名前 デフォルト値: |
Object Type |
リコンサイルするオブジェクトのタイプ デフォルト値: |
Resource Object Name |
リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前 デフォルト値: |
Scheduled Task Name |
スケジュール済タスクの名前 デフォルト値: |
ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Managerにそのデータを複製するリコンシリエーションを実行するスケジュール済ジョブを構成します。
この項では、スケジュール済ジョブの構成手順について説明します。この手順は、参照フィールド同期およびリコンシリエーションのスケジュール済ジョブを構成する場合に適用できます。
表B-1に、構成する必要のあるスケジュール済ジョブをリストします。
スケジュール済ジョブを構成するには:
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次のステップを実行します:
管理およびユーザー・コンソールにログインします。
「Oracle Identity Managerセルフ・サービスへようこそ」ページの右上隅で、「拡張」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合は、次のステップを実行します:
Identity System Administrationにログインします。
左ペインの「システム管理」で、「スケジューラ」.をクリックします
次のようにして、スケジュール済ジョブを検索して開きます。
Oracle Identity Managerリリース11.1.1.xを使用している場合は、Oracle Identity Manager拡張管理へようこそページの「システム管理」領域で、「スケジュール済ジョブの検索」をクリックします。
「検索」フィールドに、検索基準としてスケジュール済ジョブの名前を入力します。「拡張検索」をクリックして検索基準を指定することもできます。
左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
「ジョブの詳細」タブでは、次のパラメータを変更できます。
再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。
ジョブの詳細を変更する他に、ジョブを有効化または無効化できます。
「パラメータ」リージョンの「ジョブの詳細」タブで、スケジュール済ジョブの属性の値を指定します。
ノート:
属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。
すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。
スケジュール済ジョブの属性については、リコンシリエーション・スケジュール済ジョブで説明しています。
「適用」をクリックして変更を保存します。
ノート:
Identity System Administrationのスケジューラのステータス・ページを使用して、スケジューラを起動、停止または再初期化できます。
ここでは、プロビジョニング操作を実行する際に適用する必要があるガイドラインについて説明します。
この項では、次のガイドラインについて詳しく説明します。
サポートされるデプロイメント構成でプロビジョニング操作を実行する際に適用する必要があるガイドラインを次に示します。
SAP User Management EngineでABAPデータソースが構成されている場合、SAP User Management EngineでABAPロールがグループとして表示されます。ただし、SAP User Management Engineでは、一部の構成でこれらのグループをユーザー・アカウントに割り当てることはできません。
AS ABAPロールを表すグループを割り当てるには、SAP User Management Engineのユーザー管理ツールで新規のAS Javaロールを作成します。次にOracle Identity Managerで、AS ABAPロールを表すグループを新たに作成したAS Javaロールに割り当てます。
Oracle Identity Managerでユーザー・アカウントを無効化すると、コネクタは「有効期限終了」属性の値を昨日の日付で更新します。ユーザーが今日ターゲット・システムにログインした場合、またはユーザーのパスワードが今日変更された場合、SAP User Management Engineは「有効期限終了」属性を今日の日付で更新して、ユーザーをロックします。
Oracle Identity Managerの日付とSAP User Management Engineターゲット・システムの日付は、同期している必要があります。
ターゲット・システムの「ログオン名」フィールドの長さは、データソースの構成によって異なります。ターゲット・システムで15文字が許可される場合に、Oracle Identity Managerの「ログオン名」フィールドに15文字を超えて入力すると、エラーが発生します。このため、Oracle Identity Managerで「ログオン名」フィールドの長さを15文字に制限する必要があります。
プロビジョニングを使用してアカウントの作成と無効化を同時に実行する場合、「有効期限終了」属性の値を過去の日付に設定できます。たとえば、アカウントを7月31日に作成する場合でも、「有効期限終了」の日付を7月30日に設定できます。この値にすると、OIM Userにプロビジョニングされるリソースは、アカウントの作成後すぐに無効状態になります。
ただし、ターゲット・システムでアカウントの作成時に「有効期限終了」属性を現在の日付に設定すると、ターゲット・システムで「有効期限終了」が自動的に現在の日付に設定されます。このユーザー作成プロビジョニング操作の結果は次のようになります。
「有効期限終了」属性の値が、Oracle Identity Managerとターゲット・システムで一致しません。
ターゲット・システムでは、ユーザーは現在の日付の間ずっとログインが可能です。ユーザーは翌日以降はログインできなくなります。
ターゲット・システムでユーザーをロックすることで、アカウントの作成日にユーザーがログインできなくすることも可能です。
ユーザー作成プロビジョニング操作中にパスワードまたはシステム割当が失敗すると、ユーザーは作成されません。
ロールやグループなどの複数値属性をプロビジョニングしようとする際に、その属性がターゲット・システムですでにユーザーに設定されている場合、Oracle Identity Managerでのプロセス・タスクのステータスが「完了」に設定されます。必要に応じて、この状況でステータスが「却下」と表示されるようにタスクを構成できます。プロセス・タスクの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のプロセス・タスクの変更に関する項を参照してください。
「ユーザーのロック」または「ユーザーのロック解除」プロビジョニング操作を実行する場合、コネクタは、アカウントが現在ロックされた状態かロック解除された状態かを確認せずに、ターゲット・システムで必要な変更を行います。これは、アカウントの現在の状態を確認する手段がターゲット・システムで提供されていないためです。
ターゲット・システムでは、電子メール・アドレスのフィールドに英語以外の文字を入力できません。したがって、プロビジョニング操作の間は、プロセス・フォームの電子メールのアドレス・フィールドには英語のみを入力してください。
プロビジョニングを介してユーザーにロールを割り当てる場合、次の属性の値を設定します。
データソース
Role
コネクタのAccess Request Management機能を構成した後でプロビジョニング操作を実行する際に適用する必要があるガイドラインを次に示します。
Access Request Managementが構成されている場合にユーザーの作成操作を実行する際は、最初にプロセス・フォーム・データを送信します。子フォーム・データは、ターゲット・システムにユーザーが作成された後に送信します。これは、Access Request Managementが有効化されている場合、1回のユーザーの変更操作でコネクタがサポートするのは、プロセス・フォーム・フィールドまたは子フォーム・フィールドのいずれかの変更であるためです。
プロセス・フォームの次のフィールドは、SAP BusinessObjects AC Access Request Managementで必須の属性です。
ノート:
Access Request Management機能が構成されている場合、Oracle Identity System Administrationで必須フィールドとしてマークされていないフィールドであっても、必ず値を入力してください。
ACマネージャ
ACマネージャの電子メール
AC優先度
ACシステム
ACリクエスタID
ACリクエスタの電子メール
ACリクエストの理由
次のフィールドは、SAP BusinessObjects Access Controlシステムの構成によって、必須である場合とオプションである場合があります。
ACマネージャの名
ACマネージャの姓
ACマネージャの電話
ACリクエスト・タイプの期日
AC機能領域
ACビジネス・プロセス
ACリクエスタの名
ACリクエスタの姓
ACリクエスタの電話
AC会社
このガイドで前述したように、SAP BusinessObjects Access Request Managementでは、パスワードが処理されません。したがって、「パスワード」フィールドに入力された値はすべて、「ユーザーの作成」プロビジョニング操作中は無視されます。ユーザーの作成操作の実行後、ターゲット・システムでアカウントを作成されたユーザーは、次のいずれかの方法に従ってパスワードを設定する必要があります。
Oracle Identity Managerのパスワードをターゲット・システムのパスワードとして使用するには、Oracle Identity Managerを介してパスワードを変更します。
ターゲット・システムに直接ログインして、パスワードを変更します。
ユーザーの有効化操作は、「有効期限開始」フィールドを未来の日付に設定して実行します。同様に、ユーザーの無効化操作は、「有効期限終了」フィールドを現在の日付に設定して実行します。どちらの操作も、ユーザーの変更操作として処理されます。
Oracle Identity System Administration (プロセス・フォーム)でユーザー(アカウント)を削除すると、「ユーザーの削除」リクエストが作成されます。
プロセス・フォームで「ユーザーのロック」チェック・ボックスを選択すると、「ユーザーのロック」リクエストが作成されます。
プロセス・フォームで「ユーザーのロック」チェック・ボックスの選択を解除すると、「ユーザーのロック解除」リクエストが作成されます。
ユーザーの有効化およびユーザーの無効化操作は、プロセス・フォームの「有効期限開始」および「有効期限終了」フィールドを介して実装されます。
ユーザーの変更操作では、SAP BusinessObjects AC Access Request Managementでマップされる属性およびターゲット・システムで直接更新される属性の値を指定できます。これらの参照定義にマッピングが存在する属性に対してのみ、SAP BusinessObjects AC Access Request Managementでリクエストが作成されます。これらの参照定義に存在しない属性の値を指定した場合、値はコネクタから直接ターゲット・システムに送信されます。
OIMユーザーのリソースのプロビジョニングでは、Oracle Identity Managerを使用して、そのユーザーのターゲット・システム・アカウントを作成します。
コネクタをOracle Identity Managerリリース11.1.1.xにインストールすると、ダイレクト・プロビジョニング機能が自動的に有効になります。すなわち、コネクタをインストールすると、プロセス・フォームが有効になります。
コネクタにリクエストベースのプロビジョニングが構成されている場合、プロセス・フォームは抑制され、オブジェクト・フォームが表示されます。すなわち、コネクタにリクエストベースのプロビジョニングを構成すると、ダイレクト・プロビジョニングは無効になります。直接プロビジョニングに戻るには、「リクエストベースのプロビジョニングと直接プロビジョニングの切替え」に記載されているステップを実行します。
次にプロビジョニング操作のタイプを示します。
ダイレクト・プロビジョニング
リクエストベースのプロビジョニング
ポリシー変更でトリガーされるプロビジョニング
関連項目:
プロビジョニングのタイプの詳細は、Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行のタスクの手動による実行に関する項を参照してください
この項では、次の項目について説明します。
SoD有効環境で実行されるプロビジョニング操作では、次の一連のステップが行われます。
プロビジョニング操作によって、適切なアダプタがトリガーされます。
権限データがSAP BusinessObjects SoD Invocation Library (SIL) ProviderからSAP BusinessObjects ACのWebサービスに渡されます。
SAP BusinessObjects ACが権限データについてSoD検証プロセスを実行した後、プロセスのレスポンスがOracle Identity Managerに返されます。
レスポンスを受け取ったプロセス・タスクのステータスは、レスポンスそのものによって異なります。権限データがSoD検証プロセスをクリアすると、アダプタがプロビジョニング・データを対応するターゲット・システムのSPMLリクエストに搬送し、プロセス・タスクのステータスが「完了」に変わります。これは、権限がユーザーに付与されることを意味します。SoD検証プロセスから失敗のレスポンスが返されると、プロセス・タスクのステータスは「取消」に変わります。
ダイレクト・プロビジョニングでは、Oracle Identity Manager管理者のみがターゲット・システム・リソースを作成および管理できます。
ダイレクト・プロビジョニングの手法を使用してリソースをプロビジョニングするには:
管理およびユーザー・コンソールにログインします。
まずOIMユーザーを作成してからターゲット・システム・アカウントをプロビジョニングする場合は、次の手順を実行します。
「アイデンティティ管理へようこそ」ページの「ユーザー」リージョンで、「ユーザーの作成」をクリックします。
「ユーザーの作成」ページでOIMユーザーのフィールドに値を入力して、「保存」をクリックします。
ターゲット・システム・アカウントを既存のOIMユーザーにプロビジョニングする場合は、次の手順を実行します。
「アイデンティティ管理へようこそ」ページで、左ペインのリストから「ユーザー」を選択してOIMユーザーを検索します。
検索結果に表示されたユーザーのリストから、OIMユーザーを選択します。右ペインに、ユーザー詳細ページが表示されます。
ユーザー詳細ページで、「リソース」タブをクリックします。
「アクション」メニューから「リソースの追加」を選択します。あるいは、プラス(+)記号の付いた「リソースの追加」アイコンをクリックします。「ユーザーへのリソースのプロビジョニング」ページが新しいウィンドウに表示されます。
「ステップ1: リソースの選択」ページで、リストから「SAPUME Resource Object」を選択し、「続行」をクリックします。
ノート:
SAP BusinessObjects ACシステムを使用している場合、リストからSAP AC UME Resource Objectを選択して「続行」をクリックします。
「ステップ2: リソースの選択の検証」ページで「続行」をクリックします。
「ステップ5: プロセス・データの指定」の「SAPUMEプロセス・フォーム」ページで、ターゲット・システムで作成するアカウントの詳細を入力し、「続行」をクリックします。
SAP BusinessObject ACシステムを使用している場合、SAP AC UMEプロセス・フォーム・ページの「プロセス・データの指定」にアカウントの詳細を入力します。
必要に応じて、「ステップ5: プロセス・データの指定」の「SAPUMEグループ・フォーム」ページで、ターゲット・システムのユーザーのグループを検索して選択し、「続行」をクリックします。
SAP BusinessObjects ACシステムを使用している場合、SAP AC UMEグループ・フォームの「プロセス・データの指定」でグループを検索して選択します。
必要に応じて、「ステップ5: プロセス・データの指定」の「SAPUMEロール・フォーム」ページで、ターゲット・システムのユーザーのロールを検索して選択し、「続行」をクリックします。
SAP BusinessObjects ACシステムを使用している場合、SAP AC UMEロール・フォームの「プロセス・データの指定」でロールを検索して選択します。
「ステップ6: プロセス・データの検証」ページで、指定したデータを確認して「続行」をクリックします。
「プロビジョニングは開始されています。」というメッセージが表示されます。このメッセージが表示されたウィンドウを閉じます。
「リソース」タブで「リフレッシュ」をクリックして、新たにプロビジョニングされたリソースを表示します。
この項では、ダイレクト・プロビジョニングを実行する前提条件と手順について説明します。この章の内容は、次のとおりです。
ノート:
この項の手順は、次の状況でのみ実行します。
ダイレクト・プロビジョニングを初めて実行する場合。
リクエストベースのプロビジョニングからダイレクト・プロビジョニングに切り替える場合。
コネクタ・インストーラを実行すると、SAPユーザー・アカウントのダイレクト・プロビジョニングの構成がインストールされます。ダイレクト・プロビジョニング中にプロセス・フォームは表示されますが、プロセス・フォームの使用が有効化されないかぎり、コネクタはダイレクト・プロビジョニング操作を完了できません。ダイレクト・プロビジョニング中にプロセス・フォームの使用を有効化する場合は、この項で後述する手順を実行してください。
ダイレクト・プロビジョニング中にプロセス・フォームの使用を有効化するには:
ノート:
この手順を実行すると、リクエストベースのプロビジョニングが無効になります。
Design Consoleにログインします。
次の手順で、「Auto Save Form」機能を無効にします。
「Process Management」を開いて「Process Definition」をダブルクリックします。
SAPUME processプロセス定義を検索して開きます。
「Auto Save Form」チェック・ボックスを選択解除します。
「Save」アイコンをクリックします。
「Self Request Allowed」機能が有効になっている場合は、次の操作を行います。
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
SAPUME Resource Objectリソース・オブジェクトを検索して開きます。
「Self Request Allowed」チェック・ボックスを選択解除します。
「Save」アイコンをクリックします。
ダイレクト・プロビジョニングの手法を使用してリソースをプロビジョニングするには:
管理およびユーザー・コンソールにログインします。
まずOIMユーザーを作成してからターゲット・システム・アカウントをプロビジョニングする場合は、次の手順を実行します。
「アイデンティティ管理へようこそ」ページの「ユーザー」リージョンで、「ユーザーの作成」をクリックします。
「ユーザーの作成」ページで、OIMユーザーのフィールドの値を入力し、「保存」をクリックします。
ターゲット・システム・アカウントを既存のOIMユーザーにプロビジョニングする場合は、次の手順を実行します。
「アイデンティティ管理へようこそ」ページで、左ペインのドロップダウン・リストから「ユーザー」を選択してOIMユーザーを検索します。
検索結果に表示されたユーザーのリストから、OIMユーザーを選択します。右ペインに、ユーザー詳細ページが表示されます。
ユーザー詳細ページで、「リソース」タブをクリックします。
「アクション」メニューから「リソースの追加」を選択します。あるいは、プラス(+)記号の付いた「リソースの追加」アイコンをクリックします。「ユーザーへのリソースのプロビジョニング」ページが新しいウィンドウに表示されます。
「ステップ1: リソースの選択」ページで、リストから「SAPUME Resource Object」を選択し、「続行」をクリックします。
「ステップ2: リソースの選択の検証」ページで「続行」をクリックします。
ステップ5: プロセス・データのプロセス・データの指定」ページで、ターゲット・システムで作成するアカウントの詳細を入力し、「続行」をクリックします。
ステップ5: プロファイル・データのプロセス・データの指定」ページで、ターゲット・システムでユーザーのプロファイルを検索して選択し、「続行」をクリックします。
ステップ5: ロール・データのプロセス・データの指定」ページで、ターゲット・システムでユーザーのロールを検索して選択し、「続行」をクリックします。
「ステップ6: プロセス・データの検証」ページで、指定したデータを確認して「続行」をクリックします。
「プロビジョニングは開始されています。」というメッセージが表示されます。このメッセージが表示されたウィンドウを閉じます。
ユーザーの詳細ページの「リソース」タブで、「リフレッシュ」をクリックして、新規にプロビジョニングしたリソースを表示します。
実行されたプロセス・タスクの詳細を表示する、「リソース・プロビジョニングの詳細」ページを表示するには:
ユーザーの詳細ページの「リソース」タブで、「アクション」メニューから「リソース履歴」を選択します。
「SoDチェックのステータス」フィールドが更新され、「SoDチェックが完了しました」ステータスになります。
リソースをユーザーに割り当てる管理者は、違反が検出されたときにプロセスを停止するか、割当てデータを変更して再送信することができます。割当てデータを変更するには、ユーザーの詳細ページの「リソース」タブで、リソースを含む行を選択し、「オープン」をクリックします。
表示される「フォームの編集」ウィンドウで、前に選択したロールとプロファイルのデータを変更することができます。
ノート:
「フォームの編集」ウィンドウで一連の権限を変更するには、まずすべての権限を削除してから、使用する権限を追加してください。
次のスクリーンショットでは、前に選択したロールの1つが削除対象としてマークされています。
リスク分析Webサービスを起動した後、SoD検証プロセスの結果がOracle Identity Managerに渡されます。プロセス・フォームを開くと、ステップ17のスクリーンショットに示すように結果が表示されます。
リクエストベースのプロビジョニングでは、ユーザーはそのアカウントの作成および管理のリクエストを出すことができます。管理者または承認者として指定された他のユーザーはそのリクエストに基づいて動作します。
リクエストベースのプロビジョニング操作には、エンドユーザーと承認者の両方が関係します。通常、承認者はリクエスト発行者の上司です。次の項で、リクエストベースのプロビジョニング操作中にエンドユーザーと承認者が実行するステップについて説明します。
ノート:
この項で説明する手順では、エンドユーザーがターゲット・システム・アカウントをプロビジョニングするリクエストを作成する例を使用しています。その後、このリクエストは承認者によって承認されます。
リクエストベースのプロビジョニングでは、ユーザーはそのアカウントの作成および管理のリクエストを出すことができます。管理者または承認者として指定された他のユーザーはそのリクエストに基づいて動作します。
関連項目:
リクエストベースのプロビジョニング操作には、エンドユーザーと承認者の両方が関係します。通常、承認者はリクエスト発行者の上司です。この項で説明するリクエストベースのプロビジョニング・プロセスは、両者が実行するステップを含んでいます。
この項の例では、エンドユーザーがターゲット・システムの2つのロールに対するリクエストを作成します。リクエストはSoD検証をクリアし、承認者によって承認されます。
次の各トピックでは、リクエストベースのプロビジョニングについて詳細を説明します:
リクエストベースのプロビジョニングのタイプは次のとおりです。
アカウントのリクエストベースのプロビジョニング: OIMユーザーが作成されますが、作成時にターゲット・システム・リソースはプロビジョニングされません。かわりに、ユーザー自身がアカウントのプロビジョニングのリクエストを発行します。
権限のリクエストベースのプロビジョニング: (ダイレクト・プロビジョニングまたはリクエストベース・プロビジョニングによって)ターゲット・システム・リソースがプロビジョニングされたOIMユーザーが、権限のプロビジョニングのリクエストを発行します。
次のステップは、Oracle Identity Managerリリースの11.1.1.xのリクエストベースのプロビジョニング操作でエンド・ユーザーによって実行されます:
関連項目:
これらのステップの詳細は、Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行のOracle Identity Managerの登録を参照してください。
この項では、リクエストベースのプロビジョニング操作での承認者の役割について説明します。
リクエストが割り当てられている承認者は、「保留中の承認」機能を使用してリクエストの詳細を確認することができます。
また、承認者は「表示」リンクをクリックして、SoD検証プロセスの詳細を確認できます。
承認者は、SoDエンジンがリクエストを受け入れたか拒否したかに関係なく、リクエストの承認または拒否を決めることができます。承認者はリクエストの権限を変更することもできます。
次のステップは、Oracle Identity Managerリリースの11.1.1.xのリクエストベースのプロビジョニング操作で承認者によって実行されます:
ノート:
この手順は、Oracle Identity Managerリリース11.1.1.xを使用している場合にのみ実行してください。「リクエストベースのプロビジョニング用のOracle Identity Managerの構成」に示す手順が実行されたことを想定しています。
リクエストベースのプロビジョニングでは、エンドユーザーが管理およびユーザー・コンソールを使用して、リソースのリクエストを作成します。管理者または他のユーザーが、特定のユーザーのためにリクエストを作成することもできます。特定のリソースのリクエストを確認して承認できるのは、Oracle Identity Managerで指名された承認者です。リクエストベースのプロビジョニングを有効にすると、ダイレクト・プロビジョニングは使用できません。
次の各項では、リクエストベースのプロビジョニングとダイレクト・プロビジョニングを切り替えるために実行するステップについて説明します:
次のステップを使用して、リクエストベースのプロビジョニングからダイレクト・プロビジョニングに切り替えることができます。
リクエストベースのプロビジョニングからダイレクト・プロビジョニングに切り替えるには、次のようにします:
Design Consoleにログインします。
次の手順で、「Auto Save Form」機能を無効にします。
「Process Management」を開いて「Process Definition」をダブルクリックします。
SAPUME processプロセス定義を検索して開きます。
ノート:
SAP BusinessObjects ACシステムを使用している場合、SAP AC UMEプロセスプロセス定義を検索して開きます。
「Auto Save Form」チェック・ボックスを選択解除します。
「Save」アイコンをクリックします。
「Self Request Allowed」機能が有効になっている場合は、次の操作を行います。
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
SAPUME Resource Objectリソース・オブジェクトを検索して開きます。
ノート:
SAP BusinessObjects ACシステムを使用している場合、SAP AC UMEプロセスプロセス定義を検索して開きます。
「Self Request Allowed」チェック・ボックスを選択解除します。
「Save」アイコンをクリックします。
次のステップを使用して、ダイレクト・プロビジョニングからリクエストベースのプロビジョニングに切り替えることができます。
ダイレクト・プロビジョニングからリクエストベースのプロビジョニングに切り替えるには、次のようにします:
Design Consoleにログインします。
次の手順で、Auto Save Form機能を有効にします。
「Process Management」を開いて「Process Definition」をダブルクリックします。
SAPUME processプロセス定義を検索して開きます。
「Auto Save Form」チェック・ボックスを選択します。
「Save」アイコンをクリックします。
エンドユーザーが自分自身に対するリクエストを生成できるようにするには、次の手順を実行します。
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
SAPUME Resource Objectリソース・オブジェクトを検索して開きます。
ノート:
SAP BusinessObjects ACシステムを使用している場合、SAP AC UME Resource Objectリソース・オブジェクトを検索して開きます。
「Self Request Allowed」チェック・ボックスを選択します。
「Save」アイコンをクリックします。
プロビジョニングでは、Oracle Identity Managerを介して、ターゲット・システムでユーザー・アカウントを作成または変更します。
Oracle Identity Managerリリース11.1.2.xでプロビジョニング操作を構成するには:
ノート:
このコネクタを使用して最初にプロビジョニング操作を実行する場合、完了するには通常より長い時間が必要となります。
Oracle Identity System Administrationにログインします。
サンドボックスを作成してアクティブ化します。サンドボックスの作成およびアクティブ化の詳細な手順は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのサンドボックスの管理を参照してください。
アプリケーション・インスタンスを作成します。これを行うには:
左ペインの「構成」で、「アプリケーション・インスタンス」をクリックします。「アプリケーション・インスタンス」ページが表示されます。
「アクション」メニューから「作成」.を選択しますまたは、ツールバーにある「作成」をクリックします。「アプリケーション・インスタンスの作成」ページが表示されます。
次のフィールドの値を指定します。
名前: アプリケーション・インスタンスの名前。
名前: アプリケーション・インスタンスの名前。
説明: アプリケーション・インスタンスの説明。
リソース・オブジェクト: リソース・オブジェクト名。このフィールドの横にある検索アイコンをクリックし、「SAPUME Resource Object」を検索して選択します。SAP BusinessObjects ACシステムを使用している場合、SAP AC UME Resource Objectを選択します。
ITリソース・インスタンス: ITリソース・インスタンス名。このフィールドの横にある検索アイコンをクリックし、「SAPUME IT Resource」を検索して選択します。SAP BusinessObject ACシステムを使用している場合、SAP AC UME IT Resourceを選択します。
フォーム: フォーム名、たとえばSAPUME (またはSAP BusinessObjects AC systemの場合はSAPACUME)を選択します。これを行うには、フォーム・リストに対して「作成」をクリックし、フォーム名を指定して作成します。「アプリケーション・インスタンスの作成」ページで、「フォーム」フィールドの横にある「リフレッシュ」アイコンをクリックします。このリストから、作成したフォーム名を選択します。
ノート:
SAP BusinessObjects ACシステムを使用している場合は次のようになります。
リソース・オブジェクト: SAP AC UME Resource Object
ITリソース・インスタンス: SAP AC UME IT Resource
フォーム: UD_SAPACUME
サンドボックスを公開します。
参照フィールド同期を実行します。詳細は、「参照フィールド同期のスケジュール済ジョブ」および「SAP BusinessObjects AC参照フィールド同期のスケジュール済ジョブ」を参照してください。
権限リスト・スケジュール済ジョブを検索して実行し、ENT_LIST表を移入します。スケジュール済ジョブの構成と実行の詳細は、「スケジュール済ジョブの構成」を参照してください。
アプリケーション・インスタンス(ステップ3で作成)を組織に公開します。これを行うには:
「アプリケーション・インスタンス」ページの「組織」タブで、「割当て」をクリックします。
「組織の選択」ダイアログ・ボックスで、アプリケーション・インスタンスを公開する組織を選択します。
「権限に適用」チェック・ボックスを選択します。
「OK」をクリックします。
カタログ同期化ジョブ・スケジュール済ジョブを検索して実行します。スケジュール済ジョブの構成と実行の詳細は、「スケジュール済ジョブの構成」を参照してください。
Oracle Identity System Administrationにログインします。
ユーザーを作成します。ユーザーの作成の詳細は、Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行のユーザーの管理を参照してください。
「アカウント」タブで、「アカウントのリクエスト」.をクリックします
「カタログ」ページで、ステップ3で作成したアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。
アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします
「送信」をクリックします。
権限をプロビジョニングする場合は、次の手順を実行します。
「権限」タブで、「権限のリクエスト」をクリックします。
「カタログ」ページで、権限を検索してカートに追加し、「チェックアウト」をクリックします。
「送信」をクリックします。
