Microsoft Active Directory User Managementコネクタについて
この章の構成は、次のとおりです。
Microsoft Active Directory User Managementコネクタの概要
ノート:
このマニュアルの一部では、Microsoft Active Directory、Microsoft ADAMおよびMicrosoft AD LDSをターゲット・システムと呼んでいます。
コネクタのアカウント管理(ターゲット・リソース)モードでは、ターゲット・システム上で直接作成または変更されたユーザーに関する情報をOracle Identity Managerにリコンサイルできます。また、Oracle Identity Managerを使用して、ターゲット・システムでプロビジョニング操作を実行できます。
コネクタのアイデンティティ・リコンシリエーション(信頼できるソース)構成では、ユーザーはターゲット・システム上でのみ作成または変更され、これらのユーザーに関する情報がOracle Identity Managerにリコンサイルされます。
Microsoft Active Directory User Managementコネクタの動作保証済コンポーネント
これらは、Active Directoryコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンです。
ターゲット・システムは、Microsoft Active DirectoryまたはMicrosoft AD LDSのいずれかです。動作保証されているコンポーネントに、両方のターゲット・システムの動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
| アイテム | Microsoft Active Directoryの要件 | Microsoft AD LDSまたはADAMの要件 |
|---|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
ターゲット・システムおよびターゲット・システムのホスト・プラットフォーム |
ターゲット・システムは次のいずれか。
|
ターゲット・システムは次のいずれか。
|
Connector Server |
11.1.2.1.0以降 |
11.1.2.1.0以降 |
その他のソフトウェア (Oracle Identity Managerとターゲット・システム間の通信を確立して保護するために使用されるソフトウェア。) |
証明書サービス IIS Webサーバー |
証明書サービス IIS Webサーバー ノート: すべてのコネクタ操作を予期したとおりに実行するには、コネクタにSSLを構成する必要があります。 |
Microsoft .NET framework |
3.5、4または4.5 ノート: Microsoft .NET Framework 3.5を使用している場合は、メモリー・リークの問題を回避するためにパッチ(http://support.microsoft.com/kb/981575)を適用してください。 |
3.5、4または4.5 ノート: Microsoft .NET Framework 3.5を使用している場合は、メモリー・リークの問題を回避するためにパッチ(http://support.microsoft.com/kb/981575)を適用してください。 |
Microsoft Active Directory User Managementコネクタの使用上の推奨事項
使用しているOracle Identity Managerバージョンに応じて、次のコネクタのいずれかをデプロイして使用する必要があります。
ノート:
この項のいくつかの記述では、Microsoft Active Directory User Managementコネクタ・リリース9.1.0.xおよび9.0.4.xが、リリース9.xとして言及されています。
Oracle Identity Managerリリース9.1.0.1およびMicrosoft Windows Server 2003 Active Directoryを使用している場合は、このコネクタの9.0.4.xバージョンを使用する必要があります。
リリース9.1.0.1より後で、かつOracle Identity Manager 11g リリース1 (11.1.1.5.6)より前のOracle Identity Managerリリースを使用している場合、このコネクタの9.1.1バージョンを使用する必要があります。
Oracle Identity Manager 11gリリース1 (11.1.1.5.6)以降、Oracle Identity Manager 11gリリース2 (11.1.2.0.6)以降、Oracle Identity Manager 11gリリース2 PS2 (11.1.2.2.0)以降、またはOracle Identity Manager 11gリリース2 PS3 (11.1.2.3.0)を使用している場合は、このコネクタの最新の11.1.1.xバージョンを使用してください。ただし、Microsoft Exchange 2003を使用している場合は、Microsoft Active Directory User ManagementコネクタおよびMicrosoft Exchangeコネクタの9.xバージョンを使用する必要があります。
Microsoft Active Directory User Managementコネクタの動作保証済言語
このコネクタでは次の言語がサポートされます。
アラビア語
中国語(簡体字)
中国語(繁体字)
チェコ語
デンマーク語
オランダ語
英語
フィンランド語
フランス語
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ノルウェー語
ポーランド語
ポルトガル語
ポルトガル語(ブラジル)
ルーマニア語
ロシア語
スロバキア語
スペイン語
スウェーデン語
タイ語
トルコ語
Microsoft Active Directory User Managementコネクタのアーキテクチャ
図1-1に、コネクタのアーキテクチャを示します。
Microsoft Active Directory User ManagementコネクタはSystem.DirectoryServices上に構築されます。これは、Microsoft Active Directoryを簡単に使用できるようにするためのクラスのコレクションで、.NETによって管理されます。.NET Frameworkでは、ディレクトリ・オブジェクトを管理するためのクラスはSystem.DirectoryServicesネームスペース内に格納されます。System.DirectoryServicesのクラスは、Active Directory Services Interfaces (ADSI)機能をラップします。
ADSIはMicrosoft Windowsの組込みコンポーネントであり、ディレクトリにアクセスするための様々なプロバイダに同梱されています。たとえば、WinNT (ローカル・アカウント管理用)、NDS (Novell eDirectory (以前のNovell Directory Services)アクセス用)、LDAP (Lightweight Directory Access Protocol (LDAP) v3をサポートするすべてのディレクトリのアクセス用)などです。このコネクタはLDAPプロバイダを使用して、Microsoft Active Directoryにアクセスします。
このコネクタの以前のバージョンは、プロビジョニング・プロセスのカスタマイズに使用される多数の構成設定と参照定義を備えた高レベルのコネクタでした。また、Oracle Identity Managerとターゲット・システム間の通信を保護するSSL証明書の使用が必須でした。対照的に、現在のバージョンのコネクタでは、コネクタ・フレームワークを使用する低レベルの処理が提供されます。コンシューマ・アプリケーションがプロビジョニング・プロセスの設定を行います。.NETコネクタ・サーバーとMicrosoft Active Directory間のデフォルト通信は、ADSIおよび.NET Frameworkの内部メカニズムを使用することにより保護されます。ただし、ターゲット・システムとしてMicrosoft AD LDSを使用している場合は、Oracle Identity Mangerとターゲット・システムの間にSSLを構成する必要があります。
ノート:
パスワード・リセット・プロビジョニング操作を実行するため、ターゲット・システムとの通信はセキュアであることが必要です。ターゲット・システムとしてMicrosoft ADを使用している場合、.NETコネクタ・サーバーとターゲット・システム間のSSLを有効化する必要はありません。.NETコネクタ・サーバーとターゲット・システム間のデフォルト通信はセキュアであるためです。
ただし、Microsoft AD LDSの場合、.NETコネクタ・サーバーとMicrosoft AD LDS間のデフォルト通信はセキュアではありません。したがって、パスワード・リセット機能が正常に動作するためには、.NETコネクタ・サーバーとMicrosoft AD LDSの間にSSLを構成する必要があります。
このコネクタの現在のバージョンは低レベル・プロビジョニング機能を提供するため、Identity Connector Framework (ICF)と呼ばれる統合コードが使用されています。
ICF共通はネイティブAPIと直接通信するかわりに、APIを介してコネクタ・フレームワークと通信し、このコネクタの特定のバージョンでSPI操作を呼び出します。Java ICFとコネクタの間には.NETコネクタ・フレームワークが存在し(コネクタが実行している状況で)、Java ICFと.NETコネクタの間を取り持ちます。コネクタは.NETコネクタ・フレームワークにデプロイされます。
Oracle Identity Managerはネットワーク上で.NETコネクタ・サーバーと通信します。.NETコネクタ・サーバーは、.NETコネクタ・サーバーにデプロイされているコネクタの現在のバージョンへの認証アプリケーション・アクセスを実現するプロキシとして機能します。コネクタ・サーバーは、ターゲット・システムが実行しているドメイン・コントローラ上に存在する必要がないことに注意してください。コネクタ・サーバーは、Microsoft Active Directoryドメイン内の任意のマシンに構成できます。
Microsoft Active Directory User Managementコネクタは.NETコネクタです。これは、Microsoft Active Directory Domain Services (AD DS)とMicrosoft Active Directory Lightweight Directory Services (AD LDS)を実行するMicrosoft Windowsサーバーに対するプロビジョニングとリコンシリエーションをサポートします。
Microsoft Active Directory User ManagementコネクタはICFを使用して実装されます。ICFは、アプリケーション(Oracle Identity ManagerまたはOracle Wavesetなど)からコネクタ・バンドルを切り離すコンテナを提供します。ICFは、すべてのOracle Identity Managerコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供するコンポーネントです。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFは、Oracle Identity Managerに付属しています。したがって、ICFを構成したり変更する必要はありません。
関連項目:
ICFの詳細は、Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのIdentity Connector Frameworkの理解を参照してください。
コネクタは、次のモードのいずれかで実行されるように構成できます。
アイデンティティ・リコンシリエーション
アイデンティティ・リコンシリエーションは、認可ソースまたは信頼できるソースのリコンシリエーションとも呼ばれます。この形式のリコンシリエーションでは、ターゲット・システムでのユーザーの作成または更新に対応してOIMユーザーが作成または更新されます。また、アイデンティティ・リコンシリエーション・モードでは、ターゲット・システムで作成されたグループや組織(OU)のようなオブジェクトのリコンシリエーションもサポートしています。
アイデンティティ・リコンシリエーション・モードでは、リコンサイルしようとするデータに応じて様々なスケジュール済タスクを使用します。たとえば、Active Directory User Trusted Reconスケジュール済ジョブを使用して、ターゲット・システムのユーザー・データをリコンサイルします。このモードで使用されるスケジュール済タスクの詳細は、リコンシリエーションのスケジュール済ジョブを参照してください。
アカウント管理
アカウント管理は、ターゲット・リソース管理とも呼ばれます。コネクタのこのモードでは、次の操作が可能です。
プロビジョニング
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザーを作成、更新または削除します。Microsoft Active DirectoryリソースをOIMユーザーに割り当てる(プロビジョニングする)と、そのユーザーのアカウントがMicrosoft Active Directoryで作成されます。Oracle Identity Manager関連では、プロビジョニングという用語は、Oracle Identity Managerを使用したターゲット・システム・アカウントに対する更新(有効化または無効化など)を意味する場合にも使用されます。
ユーザーおよび組織は、ターゲット・システムで階層形式に編成されます。ターゲット・システムで必要な組織単位(OU)にユーザーをプロビジョニングする(ユーザーを作成する)には、ターゲット・システムで使用されるOUのリストをOracle Identity Managerにフェッチする必要があります。これには、参照同期のスケジュール済ジョブを使用します。
同様に、ターゲット・システムで必要なグループにユーザーをプロビジョニングするには、ターゲット・システムで使用されるすべてのグループのリストをOracle Identity Managerにフェッチする必要があります。これにも、参照同期のスケジュール済ジョブを使用します。
コネクタを使用すると、ユーザーのターゲット・システム・グループ・メンバーシップ・プロファイルの設定または変更を行うグループ割当てのプロビジョニング操作が可能になります。また、Windowsの「ターミナル サービスのプロファイル」の属性をプロビジョニング(更新)できます。これらの属性へのアクセスでは、Microsoft Windowsプラットフォームに固有のコンポーネントを使用します。
ターゲット・リソース・リコンシリエーション
ターゲット・リソース・リコンシリエーションを実行するには、Active Directory User Target Reconスケジュール済ジョブが使用されます。コネクタは、フィルタを適用してターゲット・システムからリコンサイルされるユーザーを検索し、それらのユーザーの属性値をフェッチします。
リコンサイルしようとするデータに応じて様々なスケジュール済ジョブを使用します。たとえば、Active Directory User Target Reconスケジュール済ジョブを使用して、ターゲット・リソース・モードでユーザー・データをリコンサイルします。このモードで使用されるスケジュール済ジョブの詳細は、リコンシリエーション・スケジュール済ジョブを参照してください。
このコネクタは、Microsoft Active DirectoryからOracle Identity Managerにパスワード変更を伝播できません。この機能を実装するには、Microsoft Active Directoryパスワード同期コネクタをインストールする必要があります。詳細は、Oracle Identity Manager Microsoft Active Directory Password Synchronizationコネクタ・ガイドを参照してください。そのマニュアルには、パスワード同期コネクタとこのコネクタの両方をデプロイするシナリオが記載されています。
Microsoft Active Directory User Managementコネクタの機能
コネクタの機能は次のとおりです。
依存参照フィールド
ターゲット・システムが複数インストールされている場合は、参照定義のエントリ(プロビジョニング時に参照フィールドの入力ソースとして使用される)を、コピー元のターゲット・システム・インストールにリンクできます。これにより、プロビジョニング操作中に、プロビジョニング操作が実行されているターゲット・システム・インストールに対応する参照フィールド値を選択できます。
依存参照定義にデータが格納される形式の詳細は、ADおよびAD LDSターゲット・システムと同期される参照定義を参照してください。
完全リコンシリエーションおよび増分リコンシリエーション
コネクタをデプロイした後は、完全リコンシリエーションを実行して、すべての既存ユーザー・データをターゲット・システムからOracle Identity Managerに移動できます。最初の完全リコンシリエーションを実行すると、増分リコンシリエーションが自動的に有効になります。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に新たに追加または変更されたユーザー・アカウントが、Oracle Identity Managerにフェッチされます。
完全リコンシリエーションはいつでも実行できます。
詳細は、完全リコンシリエーションおよび増分リコンシリエーションを参照してください。
制限付きリコンシリエーション
ユーザー・リコンシリエーション・ジョブのFilter属性の値としてリコンシリエーション・フィルタを設定できます。このフィルタによって、リコンサイルする必要のある、追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
詳細は、制限付きリコンシリエーションを参照してください。
バッチ・リコンシリエーション
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。
詳細は、バッチ・リコンシリエーションを参照してください。
削除されたユーザー・レコードのリコンシリエーション
削除されたユーザー・レコードのリコンシリエーションのためにコネクタを構成できます。ターゲット・リソース・モードでは、ユーザー・レコードがターゲット・システムで削除されると、対応するADユーザー・リソースがOIMユーザーから削除されます。信頼できるソース・モードでは、ユーザー・レコードがターゲット・システムで削除されると、対応するOIMユーザー・リソースが削除されます。
削除されたユーザー・レコードのリコンサイルに使用されるスケジュール済ジョブの詳細は、「削除されたユーザー・レコードのリコンシリエーションのスケジュール済ジョブ」を参照してください。
削除されたグループのリコンシリエーション
ターゲット・システム内の削除されたグループに関する情報のリコンシリエーションのためにコネクタを構成できます。
ターゲット・リソース・モードでは、グループがターゲット・システムで削除されると、対応するグループがOracle Identity Managerから削除されます。
削除されたグループのリコンサイルに使用されるスケジュール済ジョブの詳細は、削除されたグループのリコンシリエーションのスケジュール済ジョブを参照してください。
アカウント・データの変換および検証
リコンシリエーションおよびプロビジョニング時にOracle Identity Managerとの間で移動または送信されるアカウント・データの検証を構成できます。さらに、リコンシリエーション時にOracle Identity Managerに移動されるアカウント・データの変換も構成できます。詳細は、次の項を参照してください。
コネクタ・サーバーのサポート
Active Directory User ManagementコネクタはMicrosoft .NETを使用して作成されています。.NET環境がこのコネクタ・コードの実行に必要です。したがって、このコネクタをコネクタ・パッケージに同梱されている.NETコネクタ・サーバーにデプロイする必要があります。Active Directory User Managementコネクタは、.NETコネクタ・フレームワークのコンテキストで稼働し、実行するアプリケーションが必要です。デフォルトでは、Active Directory User Managementコネクタを実行するために.NETコネクタ・サーバーが提供されます。
コネクタ・サーバーは、ICFによって提供されるコンポーネントです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。つまり、コネクタ・サーバーを使用すると、Oracle Identity Managerコネクタのリモート実行が可能になります。
詳細は、次の各項を参照してください。
接続プーリング
接続プールは、ターゲットへの物理的な接続を表すオブジェクトのキャッシュです。Oracle Identity Managerコネクタは、これらの接続を使用してターゲット・システムと通信できます。実行時に、アプリケーションはプールに接続をリクエストします。接続が使用可能であれば、コネクタがその接続を使用してからプールに戻します。プールに戻された接続は、コネクタが別の操作のために再びリクエストして使用することができます。接続プールは、接続の再利用を可能にし、ネットワーク待機時間、メモリー割当ておよび認証といった接続作成のオーバーヘッドを減らすことに役立っています。
ITリソースごとに1つの接続プールが作成されます。たとえば、ターゲット・システムの3つのインストールに3つのITリソースがある場合は、ターゲット・システム・インストールごとに1つずつ、3つの接続プールが作成されます。
詳細は、「接続プーリングの参照定義の設定」を参照してください。
複数ドメイン間でのコネクタ操作のサポート
コネクタでは、複数のドメインにわたるリコンシリエーションおよびプロビジョニング操作がサポートされます。たとえば、あるドメインのユーザーを別のドメインのグループに割り当てることができます。また、ユーザーとそのユーザーのマネージャが異なるドメインに属している場合でも、ユーザー・レコードをリコンサイルできます。
詳細は、複数のドメインにわたるリコンシリエーションおよびプロビジョニング操作の有効化を参照してください。
ユーザー定義オブジェクト・クラスでのコネクタ操作のサポート
ユーザー定義オブジェクト・クラスとその属性に対してリコンサイルおよびプロビジョニングするように、コネクタを構成できます。ターゲット・システムでは、デフォルトでuserオブジェクト・クラスが使用されます。ターゲット・システムで定義したユーザー定義オブジェクト・クラスを受け入れるように、コネクタを構成できます。
詳細は、「ユーザー定義オブジェクト・クラスのコネクタの構成」を参照してください。
動的補助オブジェクト・クラスの追加のサポート
コネクタは、動的補助オブジェクト・クラスを追加するためのサポートを提供しています。また、リコンシリエーションおよびプロビジョニングのために、これらの動的補助オブジェクト・クラスの属性を追加できます。
詳細は、「ユーザーへの動的補助オブジェクト・クラスおよびそれらの属性の追加」を参照してください。
Group Name (pre-Windows 2000)属性の追加のサポート
グループのプロビジョニング中に、デフォルトでは、OIMプロセス・フォームの「グループ名」フィールドに指定した値が、ターゲット・システムのGroup NameおよびGroup Name (pre-Windows 2000)属性の値として入力されます。ターゲット・システムのGroup Name属性およびGroup Name (pre-Windows 2000)属性に別の値を指定する場合は、OIMプロセス・フォームにGroup Name (pre-Windows 2000)フィールドを作成する必要があります。
詳細は、「Group Name (pre-Windows 2000)属性の追加」を参照してください。
セキュリティ・グループ - ユニバーサル・グループ・タイプのプロビジョニング・グループのサポート
コネクタは、セキュリティ・グループ - ユニバーサル・タイプのプロビジョニング・グループのサポートを提供しています。詳細は、「セキュリティ・グループ - ユニバーサル・グループ・タイプのプロビジョニング・グループのコネクタの構成」を参照してください。
カスタム・オブジェクト・カテゴリのプロビジョニングおよびリコンサイルのサポート
ターゲット・システムとしてAD LDSを使用している場合は、プロビジョニングおよびリコンシリエーションのためにカスタム・オブジェクト・カテゴリを追加します。詳細は、「カスタム・オブジェクト・カテゴリをプロビジョニングおよびリコンサイルするためのコネクタの構成」を参照してください。
スクリプト言語のサポート
コネクタでは、ICFにスクリプト・エグゼキュータがあるすべてのスクリプト言語がサポートされます。現在、Windowsシェル・スクリプト・エグゼキュータ(バッチ・スクリプト)とBooスクリプト・エグゼキュータという2つのスクリプト・エグゼキュータ実装があります。Visual Basicスクリプトは直接サポートされていませんが、シェル・スクリプトを使用してVisual Basicスクリプトを呼び出すことができます。
詳細は、アクション・スクリプトを参照してください。
ターゲット・システムの高可用性構成のサポート
高可用性ターゲット・システム環境と互換性を持つようにコネクタを構成できます。バックアップ・ターゲット・システム・ホストに関する情報をActive Directory ITリソースのBDCHostNamesパラメータから読み取り、プライマリ・ホストに接続できないときにその情報を適用することができます。
ITリソースのBDCHostNamesパラメータの詳細は、Microsoft ADおよびAD LDSのITリソースの構成のステップ7を参照してください。
リコンシリエーション時およびプロビジョニング時に使用される参照定義
リコンシリエーションおよびプロビジョニング時に使用される参照定義は事前構成されているか、またはターゲット・システムと同期できます。
コネクタ操作中に使用される参照定義は、次のように分類できます。
ADおよびAD LDSターゲット・システムと同期される参照定義
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を指定します。たとえば、組織単位参照フィールドを使用して、参照フィールドで組織単位のリストから組織単位を選択します。コネクタをデプロイすると、ターゲット・システムの参照フィールドに対応する参照定義がOracle Identity Managerに作成されます。参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
次に、参照フィールドの同期後にデータ保存に使用されるフォーマットを示します。
コード・キー: <IT_RESOURCE_KEY>~<LOOKUP_FIELD_VALUE>
この書式の詳細は次のとおりです。
IT_RESOURCE_KEYは、Oracle Identity Managerの各ITリソースに割り当てられる数値コードです。
LOOKUP_FIELD_VALUEは、コードに定義されるコネクタ属性値です。
サンプル値: 1~OU=TestOrg8,DC=matrix,DC=com
デコード: <IT_RESOURCE_NAME>~<LOOKUP_FIELD_VALUE>
この書式の詳細は次のとおりです。
IT_RESOURCE_NAMEは、Oracle Identity ManagerのITリソースの名前です。
LOOKUP_FIELD_VALUEは、デコードに定義されるコネクタ属性値です。
サンプル値: Active Directory~OU=TestOrg8,DC=matrix,DC=com
たとえば、Lookup.ActiveDirectory.Groups参照定義の中では、値は次の形式で保存されます。
コード・キー: <IT_RESOURCE_KEY>~<DISTINGUISHED_NAME>
デコード: <IT_RESOURCE_NAME>~<DISTINGUISHED_NAME>
プロビジョニング操作中は、操作の対象として選択したターゲット・システムに対応する値が、参照フィールドに移入されます。
表1-2の「参照定義」列にはOracle Identity Managerの参照定義を、「ターゲット・システム・フィールド」列にはそれに対応するターゲット・システムの参照フィールドを示します。
表1-2 ターゲット・システムと同期される参照定義
| 参照定義 | ターゲット・システム・フィールド | 同期のスケジュール済タスク |
|---|---|---|
Lookup.ActiveDirectory.Groups |
グループのdistinguishedNameフィールド |
Active Directory Group Lookup Reconスケジュール済ジョブを使用してこの参照定義を同期します。このスケジュール済ジョブの詳細は、「参照フィールド同期のスケジュール済ジョブ」を参照してください。 |
Lookup.ActiveDirectory.OrganizationalUnits |
組織のdistinguishedNameフィールド |
Active Directory Organization Lookup Reconスケジュール済ジョブを使用してこの参照定義を同期します。このスケジュール済ジョブの詳細は、「参照フィールド同期のスケジュール済ジョブ」を参照してください。 |
Microsoft Active Directory User Managementコネクタの事前構成済参照定義
この項では、コネクタのデプロイ時にOracle Identity Managerに作成されるその他の参照定義について説明します。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。その他の参照定義は次のとおりです。
Lookup.Configuration.ActiveDirectory
Lookup.Configuration.ActiveDirectory参照定義は、ターゲット・リソースのリコンシリエーションおよびプロビジョニング操作で使用されるコネクタ構成エントリを含みます。
表1-3に、この参照定義のデフォルト・エントリを示します。
ノート:
動的補助オブジェクト・クラスを使用する場合は、この参照定義に新しいエントリを追加する必要があります。詳細は、「ユーザーへの動的補助オブジェクト・クラスおよびそれらの属性の追加」を参照してください。
ユーザー定義のオブジェクト・クラスを使用する場合は、この参照定義を更新する必要があります。詳細は、「ユーザー定義オブジェクト・クラスのコネクタの構成」を参照してください。
表1-3 Lookup.Configuration.ActiveDirectory参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
ADLDSLockoutThreshold |
5 |
このエントリはログイン試行の不成功回数を含みます。この回数になると、ユーザーのアカウントをロックする必要があります。 ノート: このエントリを適用できるのはMicrosoft AD LDSターゲット・システムのみです。 |
AlwaysUseObjectGUID |
yes |
このエントリは、リコンシリエーション時にレコードを検索するときにオブジェクトのGUIDを使用する必要があるかどうかを指定します。 ノート: このエントリの値は変更しないでください。 |
Bundle Name |
ActiveDirectory.Connector |
このエントリは、コネクタ・バンドル・パッケージの名前を含みます。このエントリは変更しないでください。 |
Bundle Version |
1.1.0.6380 |
このエントリは、コネクタ・バンドル・クラスのバージョンを含みます。このエントリは変更しないでください。 |
Connector Name |
Org.IdentityConnectors.ActiveDirectory.ActiveDirectoryConnector |
このエントリは、コネクタ・クラスの名前を含みます。このエントリは変更しないでください。 |
CreateHomeDirectory |
yes |
このエントリは、ホーム・ディレクトリを作成する必要があるかどうかという情報を含みます。 ユーザー・アカウントのためにコネクタでホーム・ディレクトリを作成する場合は、 |
Group Configuration Lookup |
Lookup.ActiveDirectory.GM.Configuration |
このエントリは、グループ固有の構成プロパティを含む参照定義の名前を含みます。このエントリは変更しないでください。 |
NativeGuidConvention |
true |
このエントリは、GUIDがネイティブ形式で格納されているかどうかを指定します。このエントリはコネクタによって内部で使用されます。 ノート: このエントリの値は変更しないでください。 |
ObjectClass |
User |
このエントリは、ターゲット・システムで新規作成されたユーザーが割り当てられるオブジェクト・クラスの名前を含みます。 カスタム・オブジェクト・クラスを作成する場合は、そのオブジェクト・クラスの名前を指定します。たとえば、 |
organizationalUnit Configuration Lookup |
Lookup.ActiveDirectory.OM.Configuration |
このエントリは、組織固有の構成プロパティを含む参照定義の名前を含みます。この参照定義は、組織単位のリコンシリエーションを実行するときに構成参照定義として使用されます。 このエントリは変更しないでください。 |
PageSize |
1000 |
このエントリは、リコンシリエーションの実行時に各コールでターゲット・システムにフェッチされるレコードのページ・サイズを含みます。 ページングによって、問合せの結果セット全体が小さなサブセット(ページ)に分割されます。 通常、単純な検索ではこの値を最大ページ・サイズに設定することをお薦めします。ページ・サイズを最大値に設定することで、各ページを取得するためにネットワーク上で往復する回数を最小限に抑えることができます。これによって、単純な検索の場合に操作のコストが高くなる傾向があります。 PageSizeをターゲット・システムのMaxPageSizeよりも大きな値に指定することができますが、Active Directoryサーバーによって無視され、MaxPageSizeが使用されます。この場合、例外は生成されません。 場合によっては、タイムアウトやサーバーの過負荷を回避するために小さいページ・サイズを指定する必要があります。問合せによってはコストが非常に高くなるため、1ページの結果数を制限してこれを避けることができます。 |
Recon Date Format |
yyyyMMddHHmmss.0Z |
このエントリは、直前のリコンシリエーション実行時刻を表示するフォーマットを含みます。 |
SearchChildDomains |
no |
このエントリは、DomainName属性の値として指定されたドメインにおけるユーザー、グループまたは組織単位の検索範囲を決定します。 指定のドメインのみのユーザー、グループまたは組織単位をコネクタで検索する場合は、 指定のドメインおよび子ドメインのユーザー、グループまたは組織単位をコネクタで検索する場合は、 ノート: |
UseDeleteTreeForAccounts |
false |
このエントリは、削除される__ACCOUNT__オブジェクトの関連するリーフ・ノードも、そのオブジェクトと一緒に削除されるかどうかを指定します。このエントリの値が このエントリの値を |
User Configuration Lookup |
Lookup.ActiveDirectory.UM.Configuration |
このエントリは、ユーザー固有の構成プロパティを含む参照定義の名前を含みます。このエントリは変更しないでください。 |
Lookup.Configuration.ActiveDirectory.Trusted
Lookup.Configuration.ActiveDirectory.Trusted参照定義は、信頼できるソースのリコンシリエーションで使用されるコネクタ構成エントリを含みます。
表1-4に、この参照定義のデフォルト・エントリを示します。
表1-4 Lookup.Configuration.ActiveDirectory.Trusted参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
ADLDSLockoutThreshold |
5 |
このエントリはログイン試行の不成功回数を含みます。この回数になると、ユーザーのアカウントをロックする必要があります。 ノート: このエントリを適用できるのはMicrosoft AD LDSターゲット・システムのみです。 |
AlwaysUseObjectGUID |
yes |
このエントリは、リコンシリエーション時にレコードを検索するときにオブジェクトのGUIDを使用する必要があるかどうかを指定します。 オブジェクト・クラスがアカウント以外のタイプである場合、このエントリの値を |
Bundle Name |
ActiveDirectory.Connector |
このエントリは、コネクタ・バンドル・パッケージの名前を含みます。このエントリは変更しないでください。 |
Bundle Version |
1.1.0.6380 |
このエントリは、コネクタ・バンドル・クラスのバージョンを含みます。このエントリは変更しないでください。 |
Connector Name |
Org.IdentityConnectors.ActiveDirectory.ActiveDirectoryConnector |
このエントリは、コネクタ・クラスの名前を含みます。このエントリは変更しないでください。 |
MaintainHierarchy |
no |
ターゲット・システムで保持されているのと同じ組織階層をOracle Identity Managerで保持することを指定する場合は、 |
NativeGuidConvention |
true |
このエントリは、GUIDがネイティブ形式で格納されているかどうかを指定します。このエントリはコネクタによって内部で使用されます。 ノート: このエントリの値は変更しないでください。 |
ObjectClass |
User |
このエントリは、ターゲット・システムで新規作成されたユーザーが割り当てられるオブジェクト・クラスの名前を含みます。 カスタム・オブジェクト・クラスを作成する場合は、そのオブジェクト・クラスの名前を指定します。たとえば、 |
organizationalUnit Configuration Lookup |
Lookup.ActiveDirectory.OM.Configuration.Trusted |
このエントリは、組織固有の構成プロパティを含む参照定義の名前を含みます。この参照定義は、組織単位のリコンシリエーションを実行するときに構成参照定義として使用されます。 このエントリは変更しないでください。 |
PageSize |
1000 |
このエントリは、リコンシリエーションの実行時に各コールでターゲット・システムにフェッチされるレコードのページ・サイズを含みます。 ページングによって、問合せの結果セット全体が小さなサブセット(ページ)に分割されます。 通常、単純な検索ではこの値を最大ページ・サイズに設定することをお薦めします。ページ・サイズを最大値に設定することで、各ページを取得するためにネットワーク上で往復する回数を最小限に抑えることができます。これによって、単純な検索の場合に操作のコストが高くなる傾向があります。 PageSizeをターゲット・システムのMaxPageSizeよりも大きな値に指定することができますが、Active Directoryサーバーによって無視され、MaxPageSizeが使用されます。この場合、例外は生成されません。 場合によっては、タイムアウトやサーバーの過負荷を回避するために小さいページ・サイズを指定する必要があります。問合せによってはコストが非常に高くなるため、1ページの結果数を制限してこれを避けることができます。 |
Recon Date Format |
yyyyMMddHHmmss.0Z |
このエントリは、直前のリコンシリエーション実行時刻を表示するフォーマットを含みます。 |
SearchChildDomains |
no |
このエントリは、DomainName属性の値として指定されたドメインにおけるユーザー、グループまたは組織単位の検索範囲を決定します。 指定のドメインのみのユーザー、グループまたは組織単位をコネクタで検索する場合は、 指定のドメインおよび子ドメインのユーザー、グループまたは組織単位をコネクタで検索する場合は、 |
User Configuration Lookup |
Lookup.ActiveDirectory.UM.Configuration.Trusted |
このエントリは、ユーザー固有の構成プロパティを含む参照定義の名前を含みます。このエントリは変更しないでください。 |
ユーザー操作のための事前構成済参照定義
この項では、ユーザー操作のための次の参照定義について説明します。
Lookup.ActiveDirectory.UM.Configuration
Lookup.ActiveDirectory.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、ユーザー管理操作で使用されます。
表1-5に、この参照定義のデフォルト・エントリを示します。
表1-5 Lookup.ActiveDirectory.UM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.ActiveDirectory.UM.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.UM.ProvAttrMapを参照してください。 |
Provisioning Validation Lookup |
Lookup.ActiveDirectory.UM.ProvValidation |
このエントリは、プロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
Recon Attribute Map |
Lookup.ActiveDirectory.UM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.UM.ReconAttrMapを参照してください。 |
Recon Transformation Lookup |
Lookup.ActiveDirectory.UM.ReconTransformation |
このエントリは、ユーザー・リコンシリエーション中にターゲット・システムからフェッチされる属性値の変換を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーション中のデータ変換の構成」を参照してください。 |
Recon Validation Lookup |
Lookup.ActiveDirectory.UM.ReconValidation |
このエントリは、リコンシリエーション中にターゲット・システムからフェッチされる属性値の検証を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
Lookup.ActiveDirectory.UM.Configuration.Trusted
Lookup.ActiveDirectory.UM.Configuration.Trusted参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、信頼できるソースのユーザー・リコンシリエーション実行で使用されます。
表1-6に、この参照定義のデフォルト・エントリを示します。
表1-6 Lookup.ActiveDirectory.UM.Configuration.Trusted参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Recon Attribute Defaults |
Lookup.ActiveDirectory.UM.ReconAttrMap.Trusted.Defaults |
このエントリは、リコンシリエーション・フィールドをデフォルト値にマッピングする参照定義の名前を含みます。 詳細は、Lookup.ActiveDirectory.UM.ReconAttrMap.Trusted.Defaultsを参照してください。 |
Recon Attribute Map |
Lookup.ActiveDirectory.UM.ReconAttrMap.Trusted |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.UM.ReconAttrMapを参照してください。 |
Lookup.ActiveDirectory.UM.ProvAttrMap
Lookup.ActiveDirectory.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、プロビジョニング操作の際に使用されます。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、Microsoft Active Directory User Managementコネクタの機能の拡張を参照してください。
表1-7 Lookup.ActiveDirectory.UM.ProvAttrMap参照定義のデフォルト・エントリ
| コード・キー(プロセス・フォーム・フィールド) | デコード(ターゲット・システム・フィールド) | 説明 |
|---|---|---|
マネージャ名 |
manager |
マネージャ名 マネージャ名はDN形式で入力する必要があります。たとえば: |
ターミナル・ホーム・ディレクトリ |
TerminalServicesHomeDirectory userParametersフィールドに格納されるデータの一部 ノート: このフィールドはMicrosoft AD LDSには存在しません。このフィールドに入力した値は、Microsoft AD LDSでのプロビジョニング操作の際に無視されます。 |
ターミナル・サーバー・ユーザーのホーム・ディレクトリのフル・パス。例: プロビジョニング操作では、サンプル値に示すように、ホーム・ディレクトリの完全な絶対パスを入力する必要があります。 |
UD_ADUSRC~グループ名[Lookup] |
__GROUPS__ |
Group name |
ターミナル・プロファイル・パス |
TerminalServicesProfilePath userParametersフィールドに格納されるデータの一部 ノート: このフィールドはMicrosoft AD LDSには存在しません。このフィールドに入力した値は、Microsoft AD LDSでのプロビジョニング操作の際に無視されます。 |
ユーザーがターミナル・サーバーにログオンする際に使用されるプロファイル プロファイルは、ローミングまたは必須にすることが可能です。ローミング・プロファイルは、ユーザーがログインに使用したコンピュータに関係なく同じままです。ローミング・プロファイルは変更できますが、必須プロファイルは変更できません。必須プロファイルを使用してログインしているときにユーザーが行った変更は、そのターミナル・サービス・セッション中しか保持されません。ユーザーが別のターミナル・サービス・セッションを開始すると、変更は失われます。 |
アカウントの有効期限[DATE] 日付フィールドです。 |
__PASSWORD_EXPIRATION_DATE__ |
アカウントの有効期限の日付 |
番地 |
streetAddress |
番地 |
郵便番号 |
postalCode |
郵便番号 |
ミドル・ネーム このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。 プロビジョニング操作では、プロセス・フォームの「ミドル・ネーム」フィールドに、OIMユーザー・フォームの「ミドル・ネーム」フィールドに入力された値が事前移入されます。 |
middleName |
ユーザーのミドル・ネームのイニシャル |
ユーザーは次回ログオン時にパスワードの変更が必要 チェック・ボックスです。 |
__PASSWORD_EXPIRED__ |
ユーザーが次回ログオン時にパスワードを変更する必要があるかどうかを示すフラグ。 値がyesの場合(チェック・ボックスを選択した場合)、ユーザーは次回ログオン時にパスワードを変更する必要があります。 |
勤務先 |
physicalDeliveryofficeName |
勤務先の場所 |
自宅電話番号 |
homePhone |
自宅の電話番号 |
市区町村 |
l |
市区町村 |
アカウントをロックアウト チェック・ボックスです。 |
__LOCK_OUT__ |
ユーザー・アカウントをロックするか、ロックを解除するかを指定します。 |
姓 このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。OIMユーザー・フォームの必須フィールドです。 プロビジョニング操作では、プロセス・フォームの「姓」フィールドに、「姓」フィールドに入力された値が事前移入されます。 |
sn |
姓 |
IP電話 |
ipPhone |
IP電話番号 |
モバイル |
mobile |
モバイル番号 |
電話番号 |
telephoneNumber |
電話番号 |
都道府県 |
st |
都道府県 |
FAX |
facsimileTelephoneNumber |
FAX番号 |
名 このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。OIMユーザー・フォームの必須フィールドです。 プロビジョニング操作では、プロセス・フォームの「名」フィールドに、OIMユーザー・フォームの「名」フィールドに入力された値が事前移入されます。 |
givenName |
名 |
パスワード このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。OIMユーザー・フォームの必須フィールドです。 プロビジョニング操作では、プロセス・フォームの「パスワード」フィールドに、OIMユーザー・フォームの「パスワード」フィールドに入力された値が事前移入されます。 Oracle Identity Managerとターゲット・システムとの間にSSL通信が構成されている場合、プロセス・フォームの「パスワード」フィールドは必須フィールドです。 |
__PASSWORD__ このコネクタはADSIを使用してユーザーのパスワードを設定します。IADsUser#SetPassword APIを使用します。このAPIはユーザーのunicodePwd属性を設定します。詳細は、次のURLを参照してください。
|
UTF-8フォーマットのユーザーのパスワード |
氏名 |
displayName |
ユーザーの表示名 ユーザー作成プロビジョニング操作では、cnおよびdisplayNameフィールドに、OIMユーザー・フォームに入力されたユーザーの名、ミドル・ネームのイニシャルおよび姓を組み合せた値が移入されます。 完全名は、次の形式でプロセス・フォームに表示されます。 FIRSTNAME MIDDLE_INITIAL.LASTNAME たとえば: ミドル・ネームのイニシャルが入力されない場合、名前はJohn Doeのように表示されます。 更新プロビジョニング操作では、displayNameフィールドの値のみが更新されます。 |
リダイレクト・メールID |
__MAILREDIRECTION__ |
ユーザーに送信された電子メールの転送先となる電子メール・アドレス この電子メール・アドレスは、電子メール・フィールドに設定された電子メール・アドレスに優先します。 |
__NAME__ |
__NAME__="CN=$(Common_Name),$(Organization_Name)" |
完全DNを使用したユーザー名 |
パスワード不要 チェック・ボックスです。 |
PasswordNotRequired |
パスワードが必要かどうかを指定します。trueの場合、パスワードを指定する必要はありません。falseの場合、パスワードが必要です。 |
ターミナル・ログインを許可 チェック・ボックスです。 |
AllowLogon Microsoft ADAMおよびAD LDSには存在しません。このフィールドに入力した値は、Microsoft ADAMおよびAD LDSでのプロビジョニング操作の際に無視されます。 |
ターミナル・サーバーへのログオンをユーザーに許可するかどうかを指定します。 |
国 |
c |
国 |
ユーザーID このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。このフィールドは必須です。 プロビジョニング操作では、プロセス・フォームの「ユーザーID」フィールドに、「ユーザー」に入力された値が事前移入されます。 |
sAMAccountName Microsoft Active Directoryでは、必須フィールドです。Microsoft ADAMおよびAD LDSには存在しません。 |
ユーザーのログオン名 |
ページャ |
pager |
ポケットベルの番号 |
組織名[LOOKUP,IGNORE] |
IGNORED |
組織の名前 |
Unique Id プロセス・フォームとOIMユーザー・フォームの両方にある非表示フィールドです。 |
__UID__ |
ユーザーのオブジェクトGUID |
電子メール このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。 |
電子メール・アドレス |
|
共通名[IGNORE] |
IGNORED |
ユーザーの共通名。 |
役職 |
title |
役職 |
会社 |
company |
会社 |
パスワードの有効期限なし チェック・ボックスです。 |
PasswordNeverExpires |
「パスワードの有効期限なし」プロパティを制御するフラグ |
部門 |
department |
部門 |
ユーザー・プリンシパル名 これは必須フィールドです。 |
userPrincipalName これは必須フィールドです。 ノート: UserPrincipalNameの値は、次の例に示す形式で入力する必要があります。 ルート・コンテキストが |
ユーザー・プリンシパル名は、ドメイン固有のユーザー名です。このフィールドは、管理およびユーザー・コンソールで事前移入されます。 書式は次のとおりです。 USER_ID_VALUE@UPN_DOMAIN_VALUE ノート: このフィールドを更新するときに、ユーザーIDの部分を変更できますが、ドメイン名は変更しないでください。ドメイン名を変更した場合は、ターゲット・システムでユーザーが比較されなくなります。 |
ホーム・ディレクトリ |
homeDirectory |
ユーザーのホーム・ディレクトリ |
私書箱 |
postOfficeBox |
私書箱 |
Lookup.ActiveDirectory.UM.ReconAttrMap
Lookup.ActiveDirectory.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、ターゲット・リソース・リコンシリエーションの際に使用されます。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、Microsoft Active Directory User Managementコネクタの機能の拡張を参照してください。
表1-8 Lookup.ActiveDirectory.UM.ReconAttrMap参照定義のエントリ
| コード・キー(リソース・オブジェクト・フィールド) | デコード(ターゲット・システム・フィールド) | 説明 |
|---|---|---|
部門 |
department |
部門 |
氏名 |
displayName |
氏名 |
ターミナル・ホーム・ディレクトリ 文字列データ型フィールドです。 |
TerminalServicesHomeDirectory Microsoft AD LDSには存在しません。 |
ターミナル・サーバー・ユーザーのホーム・ディレクトリのフルパス ノート: Remote Managerにより、このフィールドの値のリコンシリエーションは可能になります。 |
Unique Id |
__UID__ |
ターゲット・システムの各ユーザーのGUID |
モバイル |
mobile |
モバイル番号 |
ターミナル・プロファイル・パス 文字列データ型フィールドです。 |
TerminalServicesProfilePath Microsoft AD LDSには存在しません。 |
ユーザーがターミナル・サーバーにログオンする際に使用されるプロファイル プロファイルは、ローミングまたは必須にすることが可能です。ローミング・プロファイルは、ユーザーがログインに使用したコンピュータに関係なく同じままです。ローミング・プロファイルは変更できますが、必須プロファイルは変更できません。必須プロファイルを使用してログインしているときにユーザーが行った変更は、そのターミナル・サービス・セッション中しか保持されません。ユーザーが別のターミナル・サービス・セッションを開始すると、変更は失われます。 |
自宅電話番号 |
homePhone |
自宅の電話番号 |
会社 |
company |
会社 |
アカウントをロックアウト チェック・ボックスです。 |
__LOCK_OUT__ |
ユーザー・アカウントをロックするか、ロックを解除するかを指定します。 |
ミドル・ネーム |
middleName |
ユーザーのミドル・ネームのイニシャル |
Organization Name[LOOKUP] |
ad_container |
ターゲット・システム上での組織名。 |
IP電話 |
ipPhone |
IP電話番号 |
共通名 これは必須フィールドです。 |
cn これは必須フィールドです。 |
ターゲット・システム上での共通名。 このフィールドの値は変更可能です。 |
都道府県 |
st |
都道府県 |
国 参照フィールドです。 |
c |
国 |
番地 |
streetAddress |
番地 |
市区町村 |
l |
市区町村 |
ユーザー・プリンシパル名 これは必須フィールドです。 |
userPrincipalName ターゲット・システムでは、必須フィールドです。 |
ユーザー・プリンシパル名は、ドメイン固有のユーザー名です。 |
姓 これは必須フィールドです。 |
sn これは必須フィールドです。 |
姓 |
電子メール |
電子メール・アドレス |
|
ユーザーは次回ログオン時にパスワードの変更が必要 チェック・ボックスです。 |
__PASSWORD_EXPIRED__ |
ユーザーが次回ログオン時にパスワードを変更する必要があるかどうかを示すフラグ。値がyesの場合(チェック・ボックスを選択した場合)、ユーザーは次回ログオン時にパスワードを変更する必要があります。 |
FAX |
facsimileTelephoneNumber |
FAX番号 |
ホーム・ディレクトリ |
homeDirectory |
ターゲット・システムの各ユーザーのホーム・ディレクトリ。 |
マネージャ名 |
manager |
マネージャ名 |
パスワードの有効期限なし チェック・ボックスです。 |
PasswordNeverExpires |
「パスワードの有効期限なし」プロパティを制御するフラグ |
ターミナル・ログインを許可 チェック・ボックスです。 |
AllowLogon ノート: このフィールドはMicrosoft AD LDSには存在しません。 |
ターミナル・サーバーへのログオンをユーザーに許可するかどうかを指定します。 |
名 |
givenName これは必須フィールドです。 |
名 |
ページャ |
pager |
ポケットベルの番号 |
アカウントの有効期限[DATE] 日付フィールドです。 |
__PASSWORD_EXPIRATION_DATE__ |
アカウントの有効期限の日付 |
グループ~グループ名[LOOKUP] |
__GROUPS__ |
Group name |
勤務先 |
physicalDeliveryofficeName |
勤務先の場所 |
電話番号 |
telephoneNumber |
電話番号 |
私書箱 |
postOfficeBox |
私書箱 |
ユーザーID これは必須フィールドです。 |
sAMAccountName Microsoft Active Directoryでは、必須フィールドです。Microsoft AD LDSには存在しません。 |
ユーザーのログオン名 |
役職 |
title |
役職 |
ステータス |
__ENABLE__ |
アカウントを有効にするか無効にするかを制御する値 |
Lookup.ActiveDirectory.UM.ProvValidation
Lookup.ActiveDirectory.UM.ProvValidation参照定義は、プロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
Lookup.ActiveDirectory.UM.ReconTransformation
Lookup.ActiveDirectory.UM.ReconTransformation参照定義は、ユーザー・リコンシリエーション中にターゲット・システムからフェッチされる属性値の変換を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーション中のデータ変換の構成」を参照してください。
Lookup.ActiveDirectory.UM.ReconValidation
Lookup.ActiveDirectory.UM.ReconValidation参照定義は、リコンシリエーション中にターゲット・システムからフェッチされる属性値の検証を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
Lookup.ActiveDirectory.UM.ReconAttrMap.Trusted
Lookup.ActiveDirectory.UM.ReconAttrMap.Trusted参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、信頼できるソースのユーザー・リコンシリエーション実行で使用されます。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、Microsoft Active Directory User Managementコネクタの機能の拡張を参照してください。
表1-9 Lookup.ActiveDirectory.UM.ReconAttrMap.Trusted参照定義のエントリ
| コード・キー(OIMユーザー・フォーム・フィールド) | デコード(ターゲット・システム・フィールド) | 説明 |
|---|---|---|
電子メール |
電子メール・アドレス |
|
従業員タイプ |
OIM Employee Type |
OIMユーザーの従業員タイプ |
名 これは必須フィールドです。 |
givenName これは必須フィールドです。 |
名 |
姓 これは必須フィールドです。 |
sn これは必須フィールドです。 |
姓 信頼できるソース・リコンシリエーション中にフェッチされたレコードの場合、この属性に値がなければ、共通名属性の値が、プロセス・フォームの「姓」フィールドに移入されます。 |
マネージャID |
Manager Id |
マネージャ名 |
ミドル・ネーム |
middleName |
ミドル・ネーム |
objectGUID |
__UID__ |
ターゲット・システムの各ユーザーのオブジェクトGUID |
組織 これは必須フィールドです。 |
__PARENTCN__ |
これは、Lookup.Configuration.ActiveDirectory.Trusted参照定義のMaintainHierarchyエントリの値を MaintainHierarchyを |
TrustedStatus[TRUSTED] |
__ENABLE__ |
このフィールドには、ユーザー・アカウントのステータスが格納されます。 |
ユーザーID これは必須フィールドです。 |
sAMAccountName |
ユーザーのログオン名 |
ユーザー・タイプ |
OIM User Type |
OIMユーザーのタイプ 値として、次のいずれかを指定できます。
|
Lookup.ActiveDirectory.UM.ReconAttrMap.Trusted.Defaults
Lookup.ActiveDirectory.UM.ReconAttrMap.TrustedDefaults参照定義は、リコンシリエーション・フィールドとそのデフォルト値のマッピングを含みます。この参照定義が使用されるのは、OIMユーザー・フォームに必須フィールドがあるが、信頼できるソースのリコンシリエーション中にフェッチできる対応フィールドがターゲット・システムにない場合です。
この参照定義はデフォルトでは空です。この参照定義にエントリを追加する場合、コード・キーとデコードの値を次の形式にする必要があります。
コード・キー: ADユーザー・リソース・オブジェクトのリコンシリエーション・フィールドの名前
デコード: 対応するデフォルト値(表示される値)
たとえば、「優先言語」という名前のフィールドがOIMユーザー・フォームの必須フィールドであるとします。ターゲット・システムには、ユーザー・アカウントの通信の優先言語に関する情報を格納するフィールドがありません。リコンシリエーションの際に、「優先言語」フィールドの値はターゲット・システムからフェッチされません。「優先言語」フィールドを空にしておくことはできないため、このフィールドの値を指定する必要があります。そのため、コード・キー値をPreferred Languageに、デコード値をEnglishに設定して、この参照定義を作成します。これは、OIMユーザー・フォームの「優先言語」フィールドの値には、ターゲット・システムからリコンサイルされるすべてのユーザー・アカウントで「英語」と表示されることを意味します。
グループ操作のための事前構成済参照定義
この項では、グループ操作のための次の参照定義について説明します。
Lookup.ActiveDirectory.GM.Configuration
Lookup.ActiveDirectory.GM.Configuration参照定義は、グループ・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、グループ管理操作で使用されます。
表1-5に、この参照定義のデフォルト・エントリを示します。
表1-10 Lookup.ActiveDirectory.GM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.ActiveDirectory.GM.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.GM.ProvAttrMapを参照してください。 |
Provisioning Validation Lookup |
Lookup.ActiveDirectory.GM.ProvValidation |
このエントリは、プロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
Recon Attribute Defaults |
Lookup.ActiveDirectory.GM.ReconAttrMap.Defaults |
このエントリは、グループ・フォームのフィールドとデフォルト値をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.GM.ReconAttrMap.Defaultsを参照してください。 |
Recon Attribute Map |
Lookup.ActiveDirectory.GM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.GM.ReconAttrMapを参照してください。 |
Recon Transformation Lookup |
Lookup.ActiveDirectory.GM.ReconTransformation |
このエントリは、ユーザー・リコンシリエーション中にターゲット・システムからフェッチされる属性値の変換を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーション中のデータ変換の構成」を参照してください。 |
Recon Validation Lookup |
Lookup.ActiveDirectory.GM.ReconValidation |
このエントリは、リコンシリエーション中にターゲット・システムからフェッチされる属性値の検証を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
Lookup.ActiveDirectory.GM.ProvAttrMap
Lookup.ActiveDirectory.GM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、グループ・プロビジョニング操作の際に使用されます。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、Microsoft Active Directory User Managementコネクタの機能の拡張を参照してください。
Table 1-11 Lookup.ActiveDirectory.GM.ProvAttrMapのデフォルト・エントリ
| Oracle Identity Managerのグループ・フィールド | ターゲット・システム・フィールド | 説明 |
|---|---|---|
__NAME__ |
__NAME__="CN=${Group_Name},${Organization_Name}" |
完全DNを使用したグループ名 |
Display Name |
displayName |
グループの表示名 |
Group Name |
sAMAccountName |
Group name |
Group Type |
groupType |
グループ・タイプ |
組織名[LOOKUP,IGNORE] |
IGNORED |
グループが属する組織の名前 |
Unique Id |
__UID__ |
グループのオブジェクトGUID |
Lookup.ActiveDirectory.GM.ReconAttrMap
Lookup.ActiveDirectory.GM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、リコンシリエーション時に使用されます。この参照定義は、事前に構成されています。表1-15にデフォルト・エントリを示します。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、Microsoft Active Directory User Managementコネクタの機能の拡張を参照してください。
Lookup.ActiveDirectory.GM.ProvValidation
Lookup.ActiveDirectory.GM.ProvValidation参照定義は、グループ・プロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
Lookup.ActiveDirectory.GM.ReconTransformation
Lookup.ActiveDirectory.GM.ReconTransformation参照定義は、ユーザー・リコンシリエーション中にターゲット・システムからフェッチされる属性値の変換を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーション中のデータ変換の構成」を参照してください。
Lookup.ActiveDirectory.GM.ReconValidation
Lookup.ActiveDirectory.GM.ReconValidation参照定義は、グループ・リコンシリエーション中にターゲット・システムからフェッチされる属性値の検証を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
Lookup.ActiveDirectory.GM.ReconAttrMap.Defaults
Lookup.ActiveDirectory.GM.ReconAttrMap.Defaults参照定義は、リコンシリエーション・フィールド(グループ用)とそのデフォルト値のマッピングを含みます。この参照定義が使用されるのは、グループ・フォームに必須フィールドがあるが、グループ・リコンシリエーション中にフェッチできる対応フィールドがターゲット・システムにない場合です。
この参照定義はデフォルトでは空です。この参照定義にエントリを追加する場合、コード・キーとデコードの値を次の形式にする必要があります。
コード・キー: ADグループ・リソース・オブジェクトのリコンシリエーション・フィールドの名前
デコード: 対応するデフォルト値(表示される値)
たとえば、「グループID」という名前のフィールドがグループ・フォームの必須フィールドであるとします。ターゲット・システムには、アカウントのグループIDに関する情報を格納するフィールドがありません。リコンシリエーションの際に、「グループID」フィールドの値はターゲット・システムからフェッチされません。「グループID」フィールドを空にしておくことはできないため、このフィールドの値を指定する必要があります。そのため、コード・キー値がGroup IDに、デコード値がGRP1223に設定されたエントリをこの参照定義に作成します。これにより、グループ・フォームの「グループID」フィールドの値が、ターゲット・システムからリコンサイルされるすべてのアカウントに対して「GRP1223」と表示されることが暗黙に指定されます。
組織単位操作のための事前構成済参照定義
この項では、組織単位操作のための次の参照定義について説明します。
Lookup.ActiveDirectory.OM.Configuration
Lookup.ActiveDirectory.OM.Configuration参照定義は、組織単位オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、組織単位管理操作で使用されます。
表1-5に、この参照定義のデフォルト・エントリを示します。
表1-12 Lookup.ActiveDirectory.OM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.ActiveDirectory.OM.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.OM.ProvAttrMapを参照してください。 |
Provisioning Validation Lookup |
Lookup.ActiveDirectory.OM.ProvValidation |
このエントリは、プロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
Recon Attribute Defaults |
Lookup.ActiveDirectory.OM.ReconAttrMap.Defaults |
このエントリは、組織単位フォームのフィールドとデフォルト値をマッピングする参照定義の名前を含みます。 この参照定義の詳細は、Lookup.ActiveDirectory.OM.ReconAttrMap.Defaultsを参照してください。 |
Recon Attribute Map |
Lookup.ActiveDirectory.OM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.OM.ReconAttrMapを参照してください。 |
Recon Transformation Lookup |
Lookup.ActiveDirectory.OM.ReconTransformation |
このエントリは、ユーザー・リコンシリエーション中にターゲット・システムからフェッチされる属性値の変換を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーション中のデータ変換の構成」を参照してください。 |
Recon Validation Lookup |
Lookup.ActiveDirectory.OM.ReconValidation |
このエントリは、リコンシリエーション中にターゲット・システムからフェッチされる属性値の検証を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
Lookup.ActiveDirectory.OM.Configuration.Trusted
Lookup.ActiveDirectory.OM.Configuration.Trusted参照定義は、組織単位オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、組織単位のための信頼できるソースのリコンシリエーション実行で使用されます。
表1-13に、この参照定義のデフォルト・エントリを示します。
表1-13 Lookup.ActiveDirectory.OM.Configuration.Trusted参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Recon Attribute Defaults |
Lookup.ActiveDirectory.OM.ReconAttrMap.Defaults |
このエントリは、組織単位フォームのフィールドとデフォルト値をマッピングする参照定義の名前を含みます。 この参照定義の詳細は、Lookup.ActiveDirectory.OM.ReconAttrMap.Defaultsを参照してください。 |
Recon Attribute Map |
Lookup.ActiveDirectory.OM.ReconAttrMap.Trusted |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.OM.ReconAttrMap.Trustedを参照してください。 |
Lookup.ActiveDirectory.OM.ProvAttrMap
Lookup.ActiveDirectory.OM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、プロビジョニングの際に使用されます。この参照定義は、事前に構成されています。表1-21に、デフォルト・エントリを示します。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、Microsoft Active Directory User Managementコネクタの機能の拡張を参照してください。
Lookup.ActiveDirectory.OM.ReconAttrMap
Lookup.ActiveDirectory.OM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、組織単位のリコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。表1-16に、デフォルト・エントリを示します。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、Microsoft Active Directory User Managementコネクタの機能の拡張を参照してください。
Lookup.ActiveDirectory.OM.ProvValidation
Lookup.ActiveDirectory.OM.ProvValidation参照定義は、組織単位のプロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
Lookup.ActiveDirectory.OM.ReconTransformation
Lookup.ActiveDirectory.OM.ReconTransformation参照定義は、組織単位のリコンシリエーション中にターゲット・システムからフェッチされる属性値の変換を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーション中のデータ変換の構成」を参照してください。
Lookup.ActiveDirectory.OM.ReconValidation
Lookup.ActiveDirectory.OM.ReconValidation参照定義は、リコンシリエーション中にターゲット・システムからフェッチされる属性値の検証を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
Lookup.ActiveDirectory.OM.ReconAttrMap.Trusted
Lookup.ActiveDirectory.OM.ReconAttrMap.Trusted参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、組織単位のための信頼できるソースのリコンシリエーション実行で使用されます。この参照定義は、事前に構成されています。表1-23に、デフォルト・エントリを示します。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、Microsoft Active Directory User Managementコネクタの機能の拡張を参照してください。
Lookup.ActiveDirectory.OM.ReconAttrMap.Defaults
Lookup.ActiveDirectory.OM.ReconAttrMap.Defaults参照定義は、組織単位フォームのフィールドとデフォルト値のマッピングを含みます。この参照定義が使用されるのは、組織単位フォームに必須フィールドがあるが、組織単位のリコンシリエーション中にフェッチできる対応フィールドがターゲット・システムにない場合です。
この参照定義はデフォルトでは空です。この参照定義にエントリを追加する場合、コード・キーとデコードの値を次の形式にする必要があります。
コード・キー: AD組織単位リソース・オブジェクトのリコンシリエーション・フィールドの名前
デコード: 対応するデフォルト値(表示される値)
たとえば、「組織ID」という名前のフィールドが組織単位フォームの必須フィールドであるとします。ターゲット・システムには、アカウントの組織IDに関する情報を格納するフィールドがありません。リコンシリエーションの際に、「組織ID」フィールドの値はターゲット・システムからフェッチされません。「組織ID」フィールドを空にしておくことはできないため、このフィールドの値を指定する必要があります。そのため、コード・キー値がOrganization IDに、デコード値がORG1332に設定されたエントリをこの参照定義に作成します。これにより、組織単位フォームの「組織ID」フィールドの値が、ターゲット・システムからリコンサイルされるすべてのアカウントに対して「ORG1332」と表示されることが暗黙に指定されます。
AD LDSのための事前構成済参照定義
この項では、AD LDSのための次の参照定義について説明します。
Lookup.ActiveDirectoryLDS.UM.ProvAttrMap
Lookup.ActiveDirectoryLDS.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとAD LDSのターゲット・システム属性のマッピングを含みます。この参照定義は、プロビジョニングの際に使用されます。この参照定義は、事前に構成されています。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、Microsoft Active Directory User Managementコネクタの機能の拡張を参照してください。
Lookup.ActiveDirectoryLDS.UM.ReconAttrMap
Lookup.ActiveDirectoryLDS.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとAD LDSのターゲット・システム属性のマッピングを含みます。この参照定義は、リコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、Microsoft Active Directory User Managementコネクタの機能の拡張を参照してください。
Lookup.ActiveDirectoryLDS.UM.ReconAttrMap.Trusted
Lookup.ActiveDirectoryLDS.UM.ReconAttrMap.Trusted参照定義は、リソース・オブジェクト・フィールドとAD LDSのターゲット・システム属性のマッピングを含みます。この参照定義は、信頼できるソースのユーザー・リコンシリエーション実行で使用されます。この参照定義は、事前に構成されています。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、Microsoft Active Directory User Managementコネクタの機能の拡張を参照してください。
Lookup.ActiveDirectoryLDS.GM.ProvAttrMap
Lookup.ActiveDirectoryLDS.GM.ProvAttrMap参照定義は、グループ・プロセス・フォーム・フィールドとAD LDSのターゲット・システム属性のマッピングを含みます。この参照定義は、プロビジョニングの際に使用されます。この参照定義は、事前に構成されています。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、Microsoft Active Directory User Managementコネクタの機能の拡張を参照してください。
Lookup.ActiveDirectoryLDS.GM.ReconAttrMap
Lookup.ActiveDirectoryLDS.GM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとAD LDSのターゲット・システム属性のマッピングを含みます。この参照定義は、グループのリコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、Microsoft Active Directory User Managementコネクタの機能の拡張を参照してください。
ターゲット・リソースのリコンシリエーション時に使用されるコネクタ・オブジェクト
ターゲット・リソースのリコンシリエーションでは、ターゲット・システムで新規作成または変更されたアカウントに関するデータをフェッチし、そのデータを使用してOIMユーザーに割り当てられたリソースを追加または変更します。
Active Directory User Target Reconスケジュール済ジョブは、ターゲット・リソースのリコンシリエーションの実行開始に使用されます。このスケジュール済タスクの詳細は、「ユーザー・レコードのリコンシリエーションのスケジュール済ジョブ」を参照してください。
関連項目:
リコンシリエーションの概念については、Oracle Identity Managerでのセルフ・サービス・タスクの実行でリコンシリエーションの管理に関する項を参照してください。
このセクションのトピックは次のとおりです:
ターゲット・リソース・リコンシリエーション用のユーザー・フィールド
Lookup.ActiveDirectory.UM.ReconAttrMap参照定義は、ユーザー・リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングします。この参照定義は、ターゲット・リソース・ユーザー・リコンシリエーションの実行に使用されます。
この参照定義のエントリは次の形式です。
コード・キー: リソース・オブジェクトのリコンシリエーション・フィールド
デコード: ターゲット・システム属性の名前
表1-14に、この参照定義のエントリを示します。
表1-14 Lookup.ActiveDirectory.UM.ReconAttrMap参照定義のエントリ
| リソース・オブジェクト・フィールド | ターゲット・システム・フィールド | 説明 |
|---|---|---|
部門 |
department |
部門 |
氏名 |
displayName |
氏名 |
ターミナル・ホーム・ディレクトリ 文字列データ型フィールドです。 |
TerminalServicesHomeDirectory Microsoft AD LDSには存在しません。 |
ターミナル・サーバー・ユーザーのホーム・ディレクトリのフルパス ノート: Remote Managerにより、このフィールドの値のリコンシリエーションは可能になります。 |
Unique Id |
__UID__ |
ターゲット・システムの各ユーザーのGUID |
モバイル |
mobile |
モバイル番号 |
ターミナル・プロファイル・パス 文字列データ型フィールドです。 |
TerminalServicesProfilePath Microsoft AD LDSには存在しません。 |
ユーザーがターミナル・サーバーにログオンする際に使用されるプロファイル プロファイルは、ローミングまたは必須にすることが可能です。ローミング・プロファイルは、ユーザーがログインに使用したコンピュータに関係なく同じままです。ローミング・プロファイルは変更できますが、必須プロファイルは変更できません。必須プロファイルを使用してログインしているときにユーザーが行った変更は、そのターミナル・サービス・セッション中しか保持されません。ユーザーが別のターミナル・サービス・セッションを開始すると、変更は失われます。 |
自宅電話番号 |
homePhone |
自宅の電話番号 |
会社 |
company |
会社 |
アカウントをロックアウト チェック・ボックスです。 |
__LOCK_OUT__ |
ユーザー・アカウントをロックするか、ロックを解除するかを指定します。 |
ミドル・ネーム |
middleName |
ユーザーのミドル・ネームのイニシャル |
Organization Name[LOOKUP] |
ad_container |
ターゲット・システム上での組織名。 |
IP電話 |
ipPhone |
IP電話番号 |
共通名 これは必須フィールドです。 |
cn これは必須フィールドです。 |
ターゲット・システム上での共通名。 このフィールドの値は変更可能です。 |
都道府県 |
st |
都道府県 |
国 参照フィールドです。 |
c |
国 |
番地 |
streetAddress |
番地 |
市区町村 |
l |
市区町村 |
ユーザー・プリンシパル名 これは必須フィールドです。 |
userPrincipalName ターゲット・システムでは、必須フィールドです。 |
ユーザー・プリンシパル名は、ドメイン固有のユーザー名です。 |
姓 これは必須フィールドです。 |
sn これは必須フィールドです。 |
姓 |
電子メール |
電子メール・アドレス |
|
ユーザーは次回ログオン時にパスワードの変更が必要 チェック・ボックスです。 |
__PASSWORD_EXPIRED__ |
ユーザーが次回ログオン時にパスワードを変更する必要があるかどうかを示すフラグ。値がyesの場合(チェック・ボックスを選択した場合)、ユーザーは次回ログオン時にパスワードを変更する必要があります。 |
FAX |
facsimileTelephoneNumber |
FAX番号 |
ホーム・ディレクトリ |
homeDirectory |
ターゲット・システムの各ユーザーのホーム・ディレクトリ。 |
マネージャ名 |
manager |
マネージャ名 |
パスワードの有効期限なし チェック・ボックスです。 |
PasswordNeverExpires |
「パスワードの有効期限なし」プロパティを制御するフラグ |
ターミナル・ログインを許可 チェック・ボックスです。 |
AllowLogon ノート: このフィールドはMicrosoft AD LDSには存在しません。 |
ターミナル・サーバーへのログオンをユーザーに許可するかどうかを指定します。 |
名 |
givenName これは必須フィールドです。 |
名 |
ページャ |
pager |
ポケットベルの番号 |
アカウントの有効期限[DATE] 日付フィールドです。 |
__PASSWORD_EXPIRATION_DATE__ |
アカウントの有効期限の日付 |
グループ~グループ名[LOOKUP] |
__GROUPS__ |
Group name |
勤務先 |
physicalDeliveryofficeName |
勤務先の場所 |
電話番号 |
telephoneNumber |
電話番号 |
私書箱 |
postOfficeBox |
私書箱 |
ユーザーID これは必須フィールドです。 |
sAMAccountName Microsoft Active Directoryでは、必須フィールドです。Microsoft AD LDSには存在しません。 |
ユーザーのログオン名 |
役職 |
title |
役職 |
ステータス |
__ENABLE__ |
アカウントを有効にするか無効にするかを制御する値 |
リコンシリエーション用のグループ・フィールド
Lookup.ActiveDirectory.GM.ReconAttrMap参照定義は、ユーザー・リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングします。この参照定義は、ターゲット・リソース・グループ・リコンシリエーションの実行に使用されます。
表1-15に、リコンシリエーション時にターゲット・システムから値がフェッチされるグループ・フィールドを示します。Active Directory Group Reconスケジュール済ジョブは、グループ・データをリコンサイルするために使用されます。
表1-15 Lookup.ActiveDirectory.GM.ReconAttrMapのエントリ
| Oracle Identity Managerのグループ・フィールド | Microsoft Active Directoryのフィールド | 説明 |
|---|---|---|
Display Name |
displayName |
グループの表示名 |
Group name |
sAMAccountName |
Group name |
Group Type |
groupType |
グループ・タイプ |
OIM Org Name |
sAMAccountName |
OIM組織名 この値にはDNが含まれないことに注意してください。 |
Organization Name[LOOKUP] |
ad_container |
DN形式を使用した組織名 たとえば、 |
Org Name |
sAMAccountName |
DN形式を使用しない組織名 |
Org Type |
OIM Organization Type |
組織タイプ |
Unique Id |
__UID__ |
グループのオブジェクトGUID |
リコンシリエーション用の組織単位フィールド
Lookup.ActiveDirectory.OM.ReconAttrMap参照定義は、組織リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングします。この参照定義は、組織単位のターゲット・リソース・リコンシリエーションの実行に使用されます。
表1-16に、リコンシリエーション時にターゲット・システムから値がフェッチされる組織単位フィールドを示します。
表1-16 Lookup.ActiveDIrectory.OM.ReconAttrMapのエントリ
| Oracle Identity Managerの組織フィールド | Microsoft Active Directoryのフィールド | 説明 |
|---|---|---|
コンテナ[LOOKUP] |
ad_container |
DN形式を使用した組織名。たとえば、 |
Display Name |
ou |
組織単位の表示名 |
Unique Id |
__UID__ |
組織単位のオブジェクトGUID |
ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルール
関連項目:
シリエーションの一致ルールとアクション・ルールの概要は、Oracle Identity Managerでのセルフ・サービス・タスクの実行でリコンシリエーション・エンジンに関する項を参照してください。
次に、プロセス一致ルールを示します。
ルール名: AD User Target Recon Rule
ルール要素: (ObjectGUID Equals Unique Id) OR (User Login Equals User Id)
最初のルール・コンポーネント内には、次のものがあります。
ObjectGUIDは、OIMユーザーに割り当てられるリソースのobjectGUIDです。
Unique Idは、ユーザー・アカウントを一意に識別するIDです。Unique IdはUID (ターゲット・システムのユーザー・アカウントのGUID値)にマッピングされます。
2番目のルール・コンポーネント内には、次のものがあります。
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
User Idは、Microsoft Active DirectoryのsAMAccountNameフィールドまたはMicrosoft ADAMのuserPrincipalNameフィールドです。
このルールでは、次のシナリオがサポートされます。
Oracle Identity Manager上で、またはターゲット・システム上で直接、複数のMicrosoft Active Directoryリソースを同じOIMユーザーに割り当てることもできます。
ターゲット・システムでユーザーのユーザーIDを変更できます。
次の使用例で説明します。
使用例1: ADアカウントをOIMユーザーに割り当て(プロビジョニング)、ターゲット・システム上でもそのユーザーに対応するアカウントを作成します。
最初のルール条件が適用された時点では、一致するものは見つかりません。次に、2番目のルール条件を適用した時点で、ターゲット・システム上で2番目のアカウントがユーザーに割り当てられていることが特定されます。リコンシリエーション・エンジンによって、この2番目のアカウントがOIMユーザーに関連付けられます。
使用例2: あるOIMユーザーにはADアカウントがあります。ターゲット・システムでこのユーザーのユーザーIDを変更できます。
次のリコンシリエーションを実行する際に、最初のルール条件を適用すると、リソースをレコードと比較するのに役立ちます。
ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールの表示
コネクタのデプロイ後、次のステップを実行して、ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールを表示できます。
ノート:
次の手順は、コネクタのデプロイ後にのみ実行してください
- Target Resource Recon Ruleを検索します。図1-2に、ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールを示します。
ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルール
表1-17に、ターゲット・リソースのリコンシリエーションのアクション・ルールを示します。
表1-17 ターゲット・リソースのリコンシリエーションのアクション・ルール
| ルール条件 | アクション |
|---|---|
一致が見つからなかった場合 |
最小ロードの認可者への割当て |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
ノート:
このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。リコンシリエーション・アクション・ルールの設定の詳細は、次の項目を参照してください。
リコンシリエーション・アクション・ルールの設定(.netを使用したアイデンティティ・コネクタの開発)に関する項
Oracle Identity Managerのためのアプリケーションの開発とカスタマイズに記載されています。
ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルールの表示
コネクタのデプロイ後に次のステップを実行すると、ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルールを表示できます。
- 「Object Reconciliation」タブ、「Reconciliation Action Rules」タブの順にクリックします。「Reconciliation Action Rules」タブに、コネクタに定義されているアクション・ルールが表示されます。図1-3に、ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルールを示します。
プロビジョニング時に使用されるコネクタ・オブジェクト
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザー・データを作成または変更します。
関連項目:
プロビジョニングの概念については、Oracle Identity Managerでのセルフ・サービス・タスクの実行でプロビジョニングの管理に関する項を参照してください。
次の内容について説明します。
プロビジョニング機能
表1-18に、サポートされるユーザー・プロビジョニング機能と、これらの機能を実行するアダプタを示します。表に示す機能は、1つまたは複数のプロセス・タスクに対応しています。
表1-18 プロビジョニング機能
| 機能 | アダプタ |
|---|---|
ユーザー・プロビジョニング機能 |
|
ユーザー・アカウントの作成 |
ADIDC Create Object |
ユーザー・アカウントの削除 |
ADIDC Delete Object |
無効なユーザー・アカウントの有効化 |
ADIDC Enable User |
ユーザー・アカウントの無効化 |
ADIDC Disable User |
パスワードの更新 |
ADIDC Return Text Value |
リダイレクション電子メール・アドレスの更新 |
ADIDC Update Attribute Value |
郵便番号の更新 |
ADIDC Update Attribute Value |
ターミナル・ホーム・ディレクトリの更新 |
ADIDC Update Attribute Value |
ページャの更新 |
ADIDC Update Attribute Value |
IP電話の更新 |
ADIDC Update Attribute Value |
名の更新 |
ADIDC Update Attribute Value |
役職の更新 |
ADIDC Update Attribute Value |
ユーザー・アカウント・プリンシパル名の更新 |
ADIDC Update Attribute Value |
ミドルネームの更新 |
ADIDC Update Attribute Value |
アカウントの有効期限の更新 |
ADIDC Update Attribute Value |
「パスワードの有効期限なし」フラグの更新 |
ADIDC Update Attribute Value |
「パスワードが不要」フラグの更新 |
ADIDC Update Attribute Value |
組織名の更新 |
ADIDC Update Attribute Value |
会社名の更新 |
ADIDC Update Attribute Value |
アカウントのロック・フラグの更新 |
ADIDC Update Attribute Value |
姓の更新 |
ADIDC Update Attribute Value |
ユーザー・ホーム・ディレクトリの更新 |
ADIDC Update Attribute Value |
私書箱の更新 |
ADIDC Update Attribute Value |
「ターミナル・ログインを許可」フィールドの更新 |
ADIDC Update Attribute Value |
都道府県の更新 |
ADIDC Update Attribute Value |
モバイル番号の更新 |
ADIDC Update Attribute Value |
電話番号の更新 |
ADIDC Update Attribute Value |
番地の更新 |
ADIDC Update Attribute Value |
国の更新 |
ADIDC Update Attribute Value |
FAXの更新 |
ADIDC Update Attribute Value |
電子メールIDの更新 |
ADIDC Update Attribute Value |
ターミナル・プロファイル・パスの更新 |
ADIDC Update Attribute Value |
部門の更新 |
ADIDC Update Attribute Value |
完全名の更新 |
ADIDC Update Attribute Value |
自宅電話番号の更新 |
ADIDC Update Attribute Value |
市の更新 |
ADIDC Update Attribute Value |
マネージャ名の更新 |
ADIDC Update Attribute Value |
ユーザーIDの更新 |
ADIDC Update Attribute Value |
共通名の更新 |
ADIDC Update Attribute Value |
「ユーザーは次回ログオン時にパスワードの変更が必要」フラグの更新 |
ADIDC Update Attribute Value |
グループ・メンバーシップの削除 |
ADIDC Update Child Table Values |
オブジェクト・クラスの作成 |
ADIDC Update Child Table Values |
グループ・メンバーシップの更新 |
ADIDC Update Child Table Values |
グループ・メンバーシップの作成 |
ADIDC Update Child Table Values |
オブジェクト・クラスの更新 |
ADIDC Update Child Table Values |
オブジェクト・クラスの削除 |
ADIDC Update Child Table Values |
グループ・プロビジョニング機能 |
|
グループの作成 |
ADIDC Create Object |
グループの削除 |
ADIDC Delete Object |
表示名の更新 |
ADIDC Update Attribute Value |
グループ名の更新 |
ADIDC Update Attribute Value |
グループ・タイプの更新 |
ADIDC Update Attribute Value |
組織名の更新 |
ADIDC Update Attribute Value |
組織単位プロビジョニング機能 |
|
組織単位の作成 |
ADIDC Create Object |
表示名の更新 |
ADIDC Update Attribute Value |
コンテナの更新 |
ADIDC Update Attribute Value |
組織単位の削除 |
ADIDC Delete Object |
プロビジョニング用のユーザー・フィールド
Lookup.ActiveDirectory.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドをターゲット・システム属性にマッピングします。この参照定義は、ユーザー・プロビジョニング操作を実行するために使用されます。
表1-19に、プロビジョニング操作時に値を指定または変更できるターゲット・システムのユーザー・アイデンティティ・フィールドを示します。
表1-19 Lookup.ActiveDirectory.UM.ProvAttrMap参照定義のエントリ
| プロセス・フォーム・フィールド | ターゲット・システム・フィールド | 説明 |
|---|---|---|
マネージャ名 |
manager |
マネージャ名 マネージャ名はDN形式で入力する必要があります。たとえば: |
ターミナル・ホーム・ディレクトリ |
TerminalServicesHomeDirectory userParametersフィールドに格納されるデータの一部 ノート: このフィールドはMicrosoft AD LDSには存在しません。このフィールドに入力した値は、Microsoft AD LDSでのプロビジョニング操作の際に無視されます。 |
ターミナル・サーバー・ユーザーのホーム・ディレクトリのフル・パス。例: プロビジョニング操作では、サンプル値に示すように、ホーム・ディレクトリの完全な絶対パスを入力する必要があります。 |
UD_ADUSRC~グループ名[Lookup] |
__GROUPS__ |
Group name |
ターミナル・プロファイル・パス |
TerminalServicesProfilePath userParametersフィールドに格納されるデータの一部 ノート: このフィールドはMicrosoft AD LDSには存在しません。このフィールドに入力した値は、Microsoft AD LDSでのプロビジョニング操作の際に無視されます。 |
ユーザーがターミナル・サーバーにログオンする際に使用されるプロファイル プロファイルは、ローミングまたは必須にすることが可能です。ローミング・プロファイルは、ユーザーがログインに使用したコンピュータに関係なく同じままです。ローミング・プロファイルは変更できますが、必須プロファイルは変更できません。必須プロファイルを使用してログインしているときにユーザーが行った変更は、そのターミナル・サービス・セッション中しか保持されません。ユーザーが別のターミナル・サービス・セッションを開始すると、変更は失われます。 |
アカウントの有効期限[DATE] 日付フィールドです。 |
__PASSWORD_EXPIRATION_DATE__ |
アカウントの有効期限の日付 |
番地 |
streetAddress |
番地 |
郵便番号 |
postalCode |
郵便番号 |
ミドル・ネーム このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。 プロビジョニング操作では、プロセス・フォームの「ミドル・ネーム」フィールドに、OIMユーザー・フォームの「ミドル・ネーム」フィールドに入力された値が事前移入されます。 |
middleName |
ユーザーのミドル・ネームのイニシャル |
ユーザーは次回ログオン時にパスワードの変更が必要 チェック・ボックスです。 |
__PASSWORD_EXPIRED__ |
ユーザーが次回ログオン時にパスワードを変更する必要があるかどうかを示すフラグ。 値がyesの場合(チェック・ボックスを選択した場合)、ユーザーは次回ログオン時にパスワードを変更する必要があります。 |
勤務先 |
physicalDeliveryofficeName |
勤務先の場所 |
自宅電話番号 |
homePhone |
自宅の電話番号 |
市区町村 |
l |
市区町村 |
アカウントをロックアウト チェック・ボックスです。 |
__LOCK_OUT__ |
ユーザー・アカウントをロックするか、ロックを解除するかを指定します。 |
姓 このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。OIMユーザー・フォームの必須フィールドです。 プロビジョニング操作では、プロセス・フォームの「姓」フィールドに、「姓」フィールドに入力された値が事前移入されます。 |
sn |
姓 |
IP電話 |
ipPhone |
IP電話番号 |
モバイル |
mobile |
モバイル番号 |
電話番号 |
telephoneNumber |
電話番号 |
都道府県 |
st |
都道府県 |
FAX |
facsimileTelephoneNumber |
FAX番号 |
名 このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。OIMユーザー・フォームの必須フィールドです。 プロビジョニング操作では、プロセス・フォームの「名」フィールドに、OIMユーザー・フォームの「名」フィールドに入力された値が事前移入されます。 |
givenName |
名 |
パスワード このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。OIMユーザー・フォームの必須フィールドです。 プロビジョニング操作では、プロセス・フォームの「パスワード」フィールドに、OIMユーザー・フォームの「パスワード」フィールドに入力された値が事前移入されます。 Oracle Identity Managerとターゲット・システムとの間にSSL通信が構成されている場合、プロセス・フォームの「パスワード」フィールドは必須フィールドです。 |
__PASSWORD__ このコネクタはADSIを使用してユーザーのパスワードを設定します。IADsUser#SetPassword APIを使用します。このAPIはユーザーのunicodePwd属性を設定します。詳細は、次のURLを参照してください。
|
UTF-8フォーマットのユーザーのパスワード |
氏名 |
displayName |
ユーザーの表示名 ユーザー作成プロビジョニング操作では、cnおよびdisplayNameフィールドに、OIMユーザー・フォームに入力されたユーザーの名、ミドル・ネームのイニシャルおよび姓を組み合せた値が移入されます。 完全名は、次の形式でプロセス・フォームに表示されます。 FIRSTNAME MIDDLE_INITIAL.LASTNAME たとえば: ミドル・ネームのイニシャルが入力されない場合、名前はJohn Doeのように表示されます。 更新プロビジョニング操作では、displayNameフィールドの値のみが更新されます。 |
リダイレクト・メールID |
__MAILREDIRECTION__ |
ユーザーに送信された電子メールの転送先となる電子メール・アドレス この電子メール・アドレスは、電子メール・フィールドに設定された電子メール・アドレスに優先します。 |
__NAME__ |
__NAME__="CN=$(Common_Name),$(Organization_Name)" |
完全DNを使用したユーザー名 |
パスワード不要 チェック・ボックスです。 |
PasswordNotRequired |
パスワードが必要かどうかを指定します。trueの場合、パスワードを指定する必要はありません。falseの場合、パスワードが必要です。 |
ターミナル・ログインを許可 チェック・ボックスです。 |
AllowLogon Microsoft ADAMおよびAD LDSには存在しません。このフィールドに入力した値は、Microsoft ADAMおよびAD LDSでのプロビジョニング操作の際に無視されます。 |
ターミナル・サーバーへのログオンをユーザーに許可するかどうかを指定します。 |
国 |
c |
国 |
ユーザーID このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。このフィールドは必須です。 プロビジョニング操作では、プロセス・フォームの「ユーザーID」フィールドに、「ユーザー」に入力された値が事前移入されます。 |
sAMAccountName Microsoft Active Directoryでは、必須フィールドです。Microsoft ADAMおよびAD LDSには存在しません。 |
ユーザーのログオン名 |
ページャ |
pager |
ポケットベルの番号 |
組織名[LOOKUP,IGNORE] |
IGNORED |
組織の名前 |
Unique Id プロセス・フォームとOIMユーザー・フォームの両方にある非表示フィールドです。 |
__UID__ |
ユーザーのオブジェクトGUID |
電子メール このフィールドは、プロセス・フォームとOIMユーザー・フォームの両方にあります。 |
電子メール・アドレス |
|
共通名[IGNORE] |
IGNORED |
ユーザーの共通名。 |
役職 |
title |
役職 |
会社 |
company |
会社 |
パスワードの有効期限なし チェック・ボックスです。 |
PasswordNeverExpires |
「パスワードの有効期限なし」プロパティを制御するフラグ |
部門 |
department |
部門 |
ユーザー・プリンシパル名 これは必須フィールドです。 |
userPrincipalName これは必須フィールドです。 ノート: UserPrincipalNameの値は、次の例に示す形式で入力する必要があります。 ルート・コンテキストが |
ユーザー・プリンシパル名は、ドメイン固有のユーザー名です。このフィールドは、管理およびユーザー・コンソールで事前移入されます。 書式は次のとおりです。 USER_ID_VALUE@UPN_DOMAIN_VALUE ノート: このフィールドを更新するときに、ユーザーIDの部分を変更できますが、ドメイン名は変更しないでください。ドメイン名を変更した場合は、ターゲット・システムでユーザーが比較されなくなります。 |
ホーム・ディレクトリ |
homeDirectory |
ユーザーのホーム・ディレクトリ |
私書箱 |
postOfficeBox |
私書箱 |
プロビジョニング用のグループ・フィールド
Lookup.ActiveDirectory.GM.ProvAttrMap参照定義は、ユーザー・リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングします。この参照定義は、グループ・プロビジョニング操作を実行するために使用されます。
表1-20に、プロビジョニング操作時に値を指定または変更できるターゲット・システムのグループ・フィールドを示します。
表1-20 Lookup.ActiveDirectory.GM.ProvAttrMapのエントリ
| Oracle Identity Managerのグループ・フィールド | ターゲット・システム・フィールド | 説明 |
|---|---|---|
__NAME__ |
__NAME__="CN=${Group_Name},${Organization_Name}" |
完全DNを使用したグループ名 |
Display Name |
displayName |
グループの表示名 |
Group Name |
sAMAccountName |
Group name |
Group Type |
groupType |
グループ・タイプ |
組織名[LOOKUP,IGNORE] |
IGNORED |
グループが属する組織の名前 |
Unique Id |
__UID__ |
グループのオブジェクトGUID |
プロビジョニング用の組織単位フィールド
The Lookup.ActiveDirectory.OM.ProvAttrMap参照定義は、組織リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングします。この参照定義は、組織単位プロビジョニング操作を実行するために使用されます。
表1-21に、プロビジョニング操作時に値を指定または変更できるターゲット・システムの組織単位フィールドを示します。
表1-21 Lookup.ActiveDirectory.OM.ProvAttrMapのエントリ
| Oracle Identity Managerの組織単位フィールド | ターゲット・システム・フィールド | 説明 |
|---|---|---|
__NAME__ |
__NAME__="OU=$(Display_Name),$(Container) |
完全DNを使用した組織単位名 |
コンテナ[LOOKUP,IGNORE] |
IGNORED |
DN形式を使用した組織名。たとえば、 |
表示名[IGNORE] |
IGNORED |
組織単位の表示名 |
Unique Id |
__UID__ |
組織単位のオブジェクトGUID |
信頼できるソースのリコンシリエーション時に使用されるコネクタ・オブジェクト
信頼できるソースのリコンシリエーションでは、ターゲット・システムで新規作成または変更されたアカウントに関するデータをフェッチし、そのデータを使用してOIMユーザーを作成または更新します。
Active Directory User Trusted Reconスケジュール済タスクは、信頼できるソースのリコンシリエーションの実行開始に使用されます。このスケジュール済タスクの詳細は、「ユーザー・レコードのリコンシリエーションのスケジュール済ジョブ」を参照してください。
関連項目:
リコンシリエーションの概念については、Oracle Identity Managerでのセルフ・サービス・タスクの実行でリコンシリエーションの管理に関する項を参照してください。
このセクションのトピックは次のとおりです:
信頼できるソースのリコンシリエーション用のユーザー・フィールド
Lookup.ActiveDirectory.UM.ReconAttrMap.Trusted参照定義は、OIMユーザー・フォームのユーザー・フィールドと、ターゲット・システムの対応するフィールド名をマッピングします。この参照定義は、信頼できるソースのリコンシリエーションの実行に使用されます。
表1-22に、信頼できるソースのリコンシリエーションの実行時にターゲット・システムから値がフェッチされるユーザー・アイデンティティ・フィールドを示します。
表1-22 Lookup.ActiveDirectory.UM.ReconAttrMap.Trusted参照定義のエントリ
| OIMユーザー・フォームのフィールド | ターゲット・システム・フィールド | 説明 |
|---|---|---|
電子メール |
電子メール・アドレス |
|
従業員タイプ |
OIM Employee Type |
OIMユーザーの従業員タイプ |
名 これは必須フィールドです。 |
givenName これは必須フィールドです。 |
名 |
姓 これは必須フィールドです。 |
sn これは必須フィールドです。 |
姓 信頼できるソース・リコンシリエーション中にフェッチされたレコードの場合、この属性に値がなければ、共通名属性の値が、プロセス・フォームの「姓」フィールドに移入されます。 |
マネージャID |
Manager Id |
マネージャ名 |
ミドル・ネーム |
middleName |
ミドル・ネーム |
objectGUID |
__UID__ |
ターゲット・システムの各ユーザーのオブジェクトGUID |
組織 これは必須フィールドです。 |
__PARENTCN__ |
これは、Lookup.Configuration.ActiveDirectory.Trusted参照定義のMaintainHierarchyエントリの値を MaintainHierarchyを |
TrustedStatus[TRUSTED] |
__ENABLE__ |
このフィールドには、ユーザー・アカウントのステータスが格納されます。 |
ユーザーID これは必須フィールドです。 |
sAMAccountName |
ユーザーのログオン名 |
ユーザー・タイプ |
OIM User Type |
OIMユーザーのタイプ 値として、次のいずれかを指定できます。
|
信頼できるソースのリコンシリエーション用の組織単位フィールド
Lookup.ActiveDirectory.OM.ReconAttrMap.Trusted参照定義は、OIMユーザー・フォームの組織単位フィールドと、ターゲット・システムの対応するフィールド名をマッピングします。この参照定義は、信頼できるソースのリコンシリエーションの実行に使用されます。
表1-23に、信頼できるソースのリコンシリエーションの実行時にターゲット・システムから値がフェッチされる組織単位フィールドを示します。
表1-23 Lookup.ActiveDirectory.OM.ReconAttrMap.Trusted参照定義のエントリ
| OIMユーザー・フォームのフィールド | ターゲット・システム・フィールド |
|---|---|
Org Name |
ou |
信頼できるソースのリコンシリエーションのリコンシリエーション・ルール
関連項目:
シリエーションの一致ルールとアクション・ルールの概要は、Oracle Identity Managerでのセルフ・サービス・タスクの実行でリコンシリエーション・エンジンに関する項を参照してください。
次に、エンティティ一致ルールを示します。
ルール名: AD User Trusted Recon Rule
ルール: User Login Equals User Id
このルールでは、次のようになります。
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
User Idは、Microsoft Active DirectoryのsAMAccountNameフィールドまたはMicrosoft AD LDSのuserPrincipalNameフィールドです。
信頼できるソースのリコンシリエーションのリコンシリエーション・ルールの表示
コネクタのデプロイ後に次のステップを実行すると、信頼できるソースのリコンシリエーションのリコンシリエーション・ルールを表示できます。
- Oracle Identity Manager Design Consoleにログインします。
- 「開発ツール」を開きます。
- 「リコンシリエーション・ルール」をダブルクリックします。
- AD User Trusted Source Recon Ruleを検索します。図1-4に、信頼できるソースのリコンシリエーションのリコンシリエーション・ルールを示します。
ノート:
Microsoft Active Directoryでは、sAMAccountName属性は一意の必須フィールドです。
信頼できるソースのリコンシリエーションのリコンシリエーション・アクション・ルール
表1-24に、信頼できるソースのリコンシリエーションのアクション・ルールを示します。
表1-24 信頼できるソースのリコンシリエーションのアクション・ルール
| ルール条件 | アクション |
|---|---|
一致が見つからなかった場合 |
ユーザーの作成 |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
ノート:
このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。次の項目を参照してください。
リコンシリエーション・アクション・ルールの設定(.netを使用したアイデンティティ・コネクタの開発)に関する項
リコンシリエーション・アクション・ルールの設定の詳細は、『Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』の前述の項を参照してください。
信頼できるソースのリコンシリエーションのリコンシリエーション・アクション・ルールの表示
コネクタのデプロイ後に次のステップを実行すると、信頼できるソースのリコンシリエーションのリコンシリエーション・アクション・ルールを表示できます。
- 「Object Reconciliation」タブ、「Reconciliation Action Rules」タブの順にクリックします。「Reconciliation Action Rules」タブに、コネクタに定義されているアクション・ルールが表示されます。図1-5に、信頼できるソースのリコンシリエーションのリコンシリエーション・アクション・ルールを示します。
