Microsoft Active Directory User Managementコネクタの使用

コネクタを自分の要件にかなうように構成したら、コネクタを使用してリコンシリエーションおよびプロビジョニング操作を実行できます。

次のトピックでは、リコンシリエーション操作およびプロビジョニング操作を実行するためのコネクタの使用について説明します。

ノート:

この項では、コネクタの構成に関する、概念的な情報と手順の情報の両方を提供します。手順を実行する前に、概念的な情報を参照することをお薦めします。

• Microsoft Active Directory User Managementコネクタの使用に関するガイドライン

• 参照フィールド同期のスケジュール済ジョブ

• リコンシリエーションの構成

• グループ・リコンシリエーションの構成と実行

• 組織リコンシリエーションの構成と実行

• スケジュール済ジョブの構成

• アクション・スクリプト

• Oracle Identity Managerリリース11.1.1.xでのプロビジョニング操作の実行

• Oracle Identity Managerリリース11.1.2以降でのプロビジョニング操作の実行

• Microsoft Active Directory User Managementコネクタのアンインストール

Microsoft Active Directory User Managementコネクタの使用に関するガイドライン

これらのガイドラインでは、コネクタ使用時に必要なことについて情報を提供します。

リコンシリエーション操作およびプロビジョニング操作を実行する際には、次のガイドラインを適用する必要があります。

• リコンシリエーションの構成に関するガイドライン

• プロビジョニング操作の実行に関するガイドライン

リコンシリエーションの構成に関するガイドライン

リコンシリエーションを構成する際に適用する必要があるガイドラインを次に示します。

• ターゲット・リソースのリコンシリエーションを実行する前に、参照定義がターゲット・システムの参照フィールドと同期している必要があります。つまり、ユーザー・リコンシリエーションの実行前に、参照フィールド同期のスケジュール済タスクを実行する必要があります。

• Oracle Identity Managerリリース11.1.2.x以降を使用している場合は、リコンシリエーションの実行を行う前に、アプリケーション・インスタンスを作成します。

• 削除されたユーザー・データのリコンシリエーションのスケジュール済ジョブの前に、ユーザー・リコンシリエーションのスケジュール済ジョブを実行する必要があります。

• アイデンティティ・リコンシリエーション・モードでは、グループ・リコンシリエーションを構成する場合、グループ・リコンシリエーションによってターゲット・システム上の既存の組織に対する更新のリコンシリエーションが行われないことに注意してください。ターゲット・システムでグループの名前を変更すると、Oracle Identity Managerでは新しいグループとしてリコンサイルされます。

• アイデンティティ・リコンシリエーション・モードでは、組織リコンシリエーションを構成する場合、次のことに注意してください。

  • 組織リコンシリエーションでは、ターゲット・システムの既存の組織名に対する更新のリコンシリエーションを行いません。ターゲット・システムで組織の名前を変更すると、Oracle Identity Managerでは新しい組織としてリコンサイルされます。

  • 組織リコンシリエーションのスケジュール済ジョブ(Active Directory Organization Recon)によって作成された組織リコンシリエーション・イベントは、信頼できるソースのリコンシリエーションのスケジュール済ジョブ(Active Directory User Trusted Recon)が実行される前に、正常に処理される必要があります。つまり、組織リコンシリエーションを実行し、ターゲット・システムからリコンサイルされる組織レコードをOracle Identity Managerに正常にリンクする必要があります。

  • ターゲット・システムでは、ユーザーは特定の組織内に作成されます。ユーザー・データの信頼できるソースのリコンシリエーション時に、Oracle Identity ManagerでOIMユーザーを同じ組織内に作成する場合は、信頼できるソースのリコンシリエーションのスケジュール済タスクのMaintainHierarchy属性をyesに設定する必要があります。また、信頼できるソースのリコンシリエーションの前に実行されるように組織リコンシリエーションを構成する必要があります。

  • Oracle Identity Managerでは、組織間の親子階層関係がサポートされていますが、組織のネームスペースはフラットなネームスペースです。そのため、同じ名前を持つ2つのMicrosoft Active DirectoryのOUは、ターゲット・システムで親OUが異なる場合でも、Oracle Identity Managerに作成できません。

  • Oracle Identity Managerでは、組織名に等号(=)やカンマ(,)などの特殊記号を含めることができません。しかし、ターゲット・システムではこれらの特殊記号を組織名で使用できます。

  • 組織参照フィールドの同期は、組織リコンシリエーションを構成するかどうかとは無関係です。

• Microsoft AD LDSを信頼できるソースとして構成する場合は、ターゲット・システムの各ユーザー・レコードのmsDS-UserAccountDisabledフィールドに値(trueまたはfalse)が設定されていることを確認する必要があります。Microsoft ADAMでは、msDS-UserAccountDisabledフィールドにデフォルト値がありません。

• Filter属性は、リコンシリエーション属性マッピングを含む参照定義のデコード列に存在する属性のみを含む必要があります。

プロビジョニング操作の実行に関するガイドライン

プロビジョニング操作を実行する際に適用する必要があるガイドラインを次に示します。

• プロビジョニング操作を実行する前に、参照定義がターゲット・システムの参照フィールドと同期している必要があります。つまり、プロビジョニング操作の前に、参照フィールド同期のスケジュール済タスクを実行する必要があります。

• Microsoft Active Directory User ManagementコネクタとMicrosoft Exchangeコネクタの両方が環境にデプロイされている場合は、「リダイレクト・メールID」フィールドの値を指定しないでください。

  「リダイレクト・メールID」フィールドの値をユーザー・プロビジョニング操作時に指定すると、対応するメール・ユーザー・アカウントがMicrosoft Exchangeに作成されます。Exchangeメール・ユーザー・アカウントがActive Directoryで作成されるときに、Exchangeメール・ユーザー・アカウントの一部のフィールド(「Maximum Receive Size」など)が更新できません。つまり、このユーザーのその後のプロビジョニング操作でMicrosoft Exchangeコネクタを使用できなくなります。これは、このユーザーがMicrosoft ExchangeでMailuserとしてすでに作成されているためです。

  Microsoft Exchangeコネクタを使用して、Mailuser (前の段落で説明した方法で作成されたユーザー・アカウント)をMailboxに変換することはできません。ターゲットによって許可されないためです。このため、Microsoft Active DirectoryコネクタとMicrosoft Exchangeコネクタの両方がデプロイされている場合には、「リダイレクト・メールID」フィールドの値を指定しないことをお薦めします。

• Oracle Identity Managerからプロビジョニングされるユーザー・アカウントのパスワードは、Microsoft Active Directoryで設定されたパスワード・ポリシーに従う必要があります。

  ノート:

  Microsoft ADAMをドメイン・コントローラにインストールすると、同じドメイン・コントローラにインストールされたMicrosoft Active Directoryのポリシーがすべて取得されます。Microsoft ADAMをワークグループにインストールすると、ローカル・システム・ポリシーが適用されます。

  Microsoft Active Directoryでは、パスワード・ポリシーがパスワードの複雑性ルールで制御されます。パスワードの変更または作成時に、このような複雑性ルールが適用されます。Oracle Identity Managerでのプロビジョニング操作の実行によってMicrosoft Active Directoryアカウントのパスワードを変更するときは、新しいパスワードがターゲット・システムのパスワード・ポリシーに従うようにする必要があります。

  関連項目:

  ターゲット・システムで適用できるパスワードのガイドラインの詳細は、次の場所にあるMicrosoft TechNetのWebサイトを参照してください。

  http://technet2.microsoft.com

• アジア言語の中には、マルチバイト文字セットを使用するものがあります。ターゲット・システムのフィールドの文字数の制限がバイト単位で指定されている場合、特定のフィールドに入力できるアジア言語の文字数は、同じフィールドに入力できる英語の文字数よりも少なくなることがあります。この例を次に示します。

  ターゲット・システムの「User Last Name」フィールドに英語50文字を入力できるとします。日本語用にターゲット・システムを構成した場合、そのフィールドに入力できるのは25文字までです。

• ターゲット・システム・フィールドの文字長を考慮に入れた上で、対応するOracle Identity Managerフィールドの値を指定する必要があります。たとえば、Oracle Identity Managerの「ユーザー・ログイン」フィールドに指定する値は、20文字以下になるようにしてください。これは、(Oracle Identity Managerの「ユーザー・ログイン」フィールドに対応する)ターゲット・システムのsAMAccountName属性は、20文字以下である必要があるためです。

• ターゲット・システムでは、「マネージャ名」フィールドで受け入れられるのはDN値のみです。そのため、Oracle Identity Managerで「マネージャ名」フィールドを設定または変更する場合は、DN値を入力する必要があります。

  たとえば:

  cn=abc,ou=lmn,dc=corp,dc=com

• 「マネージャ名」フィールドに指定する値に特殊文字が含まれている場合は、各特殊文字の前に円記号(\)を付ける必要があります。たとえば、「マネージャ名」フィールドの値として「CN=John Doe #2,OU=sales,DC=example,DC=com」を指定する場合は、その値として次の文字列を指定する必要があります。

  CN=John Doe \#2,OU=sales,DC=example,DC=com

  円記号(\)を前に付ける必要がある特殊文字のリストを次に示します。

  • シャープ記号(#)

  • バックスラッシュ(\)

  • プラス記号(+)

  • 等号(=)

  • カンマ(,)

  • セミコロン(;)

  • 小なり記号(<)

  • 大なり記号(>)

  • 二重引用符 (")

• 「ホーム・ディレクトリ」フィールドの値を指定する場合、次のガイドラインに従ってください。

  • 値の先頭には常にバックスラッシュを2つ(\\)付ける必要があります。

  • 値の末尾以外に少なくとも1つのバックスラッシュ(\)を含む必要があります。

  正しいサンプル値:

  \\SOME_MACHINE\SOME_SHARE\SOME_DIRECTORY

  \\SOME_MACHINE\SOME_SHARE\SOME_DIRECTORY\SOME_OTHER_DIRECTORY

  正しくないサンプル値:

  \\SOME_MACHINE\SOME_SHARE\

  \\SOME_MACHINE

• プロビジョニング操作中に、Lookup.Configuration.ActiveDirectory参照定義のエントリとして補助クラス名を追加することによって、(作成中のユーザー・アカウントに)付加する複数の補助クラスを指定できます。詳細は、「ユーザーへの動的補助オブジェクト・クラスおよびそれらの属性の追加」を参照してください。

• Usersコンテナの下のユーザーとグループをプロビジョニングする場合は、次のエントリをLookup.ActiveDirectory.OrganizationalUnits参照定義に含めます。

  コード・キー:

  IT_RESOURCE_KEY~CN=Users,DC=childtest,DC=test,DC=idm,DC=central,DC=example,DC=com

  デコード:

  IT_RESOURCE_NAME~CN=Users,DC=childtest,DC=test,DC=idm,DC=central,DC=example,DC=com

  コード・キーおよびデコード値の次の部分を置き換えます。

  • IT_RESOURCE_KEYを、Oracle Identity Managerで各ITリソースに割り当てられる数値コードに置き換えます。組織単位の参照フィールド同期を実行し、Lookup.ActiveDirectory.OrganizationalUnits参照定義のコード・キー値からITリソース・キーを探すことで、ITリソース・キーの値を判別できます。

  • IT_RESOURCE_NAMEをOracle Identity ManagerのITリソースの名前に置き換えます。

参照フィールド同期のスケジュール済ジョブ

参照フィールド同期用のスケジュール済ジョブでは、ターゲット・システムの特定のフィールドから最新の値がOracle Identity Managerの参照定義にフェッチされます。これらの参照定義はOracle Identity Managerの参照フィールドの入力ソースとして使用されます。

次に、参照フィールド同期のスケジュール済ジョブを示します。

ノート:

これらのスケジュール済タスクの構成手順は、このマニュアルで後述します。

• Active Directory Group Lookup Recon

  このスケジュール済タスクは、Oracle Identity Managerのグループ参照フィールドをターゲット・システムのグループ関連データと同期させるために使用されます。

• Active Directory Organization Lookup Recon

  このスケジュール済タスクは、Oracle Identity Managerの組織参照フィールドをターゲット・システムの組織関連データと同期させるために使用されます。

表3-1に、この2つのスケジュール済ジョブの属性の説明を示します。

表3-1 参照フィールド同期のスケジュール済タスクの属性

属性	説明
Code Key Attribute	コネクタまたはターゲット・システムの属性の名前。参照定義(Lookup Name属性の値として指定される)のコード・キー列に値を移入するために使用されます。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 Active Directory Group Lookup Reconの場合: distinguishedName Active Directory Organization Lookup Reconの場合: distinguishedName ノート: この属性の値を変更しないでください。
Decode Attribute	参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用される、コネクタまたはターゲット・システムの属性の名前を入力します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 Active Directory Group Lookup Reconの場合: distinguishedName Active Directory Organization Lookup Reconの場合: distinguishedName
Filter	参照定義に格納されるレコードをフィルタ処理するフィルタを入力します。 Filter属性の詳細は、「制限付きリコンシリエーション」を参照してください。
IT Resource Name	レコードをリコンサイルするターゲット・システム・インストールのITリソースの名前を入力します。 サンプル値: Active Directory
Lookup Name	ターゲット・システムからフェッチした値を移入するOracle Identity Managerの参照定義の名前を入力します。 ノート: この属性の値として指定する参照名がOracle Identity Managerに存在しない場合、スケジュール済ジョブの実行中にその参照定義が作成されます。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 Active Directory Group Lookup Reconの場合: Lookup.ActiveDirectory.Groups Active Directory Organization Lookup Reconの場合: Lookup.ActiveDirectory.OrganizationalUnits
Object Type	この属性は、リコンサイルするオブジェクトのタイプ名を含みます。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 Active Directory Group Lookup Reconの場合: Group Active Directory Organization Lookup Reconの場合: OrganizationalUnit

リコンシリエーションの構成

コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。

この項では、リコンシリエーションの構成に関する次の項目について説明します。

• 完全リコンシリエーションおよび増分リコンシリエーション

• 制限付きリコンシリエーション

• バッチ・リコンシリエーション

完全リコンシリエーションおよび増分リコンシリエーション

完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Managerへリコンサイルします。コネクタをデプロイした後はまず、完全リコンシリエーションを実行する必要があります。さらに、すべてのターゲット・システム・レコードをOracle Identity Managerで確実にリコンサイルする必要がある場合には、いつでも増分リコンシリエーションを完全リコンシリエーションに切り替えることができます。

完全リコンシリエーションを実行する場合は、ユーザー・レコードをリコンサイルするためのスケジュール済ジョブの次の属性の値が存在しない必要があります。

Batch Start

Filter

Latest Token

リコンシリエーション実行の最後で、ユーザー・レコード・リコンシリエーションのスケジュール済ジョブのLatest Token属性が、リコンシリエーションで使用されるドメイン・コントローラのuSNChanged属性の最高値に自動的に設定されます。直後のリコンシリエーション実行からは、Latest Token属性の後に作成または変更されたレコードのみがリコンシリエーションの対象になります。これが、増分リコンシリエーションです。

制限付きリコンシリエーション

この項では、制限付きリコンシリエーションおよびそれを行う方法を理解するために役立つ、次のトピックについて説明します。

• 制限付きリコンシリエーションについて

• フィルタを使用する制限付きリコンシリエーションの実行

• Search Base属性を使用する制限付きリコンシリエーションの実行

制限付きリコンシリエーションについて

デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。

リコンシリエーションを最初に実行するときは制限付きリコンシリエーションを実行できます。つまり、完全リコンシリエーションのスケジュール済ジョブを構成するときに、フィルタを使用するか検索ベースを指定することにより、制限付きリコンシリエーションを実行できます。

フィルタを使用する制限付きリコンシリエーションの実行

リコンシリエーション・モジュールのフィルタを作成して、制限付きリコンシリエーションを実行できます。

このコネクタのFilter属性(スケジュール済タスクの属性)により、任意のMicrosoft Active Directoryリソース属性を使用してターゲット・システム・レコードをフィルタ処理できます。表3-2に、使用可能なフィルタ構文と、対応する説明およびサンプル値を示します。

ノート:

ワイルドカード文字を含むフィルタはサポートされていません。

表3-2 Filter属性のキーワードと構文

フィルタ構文	説明
文字列フィルタ
startsWith('ATTRIBUTE_NAME','PREFIX')	指定した接頭辞で属性値が開始するレコードがリコンサイルされます。 例: startsWith('userPrincipalName','John') この例では、userPrincipalNameがJohnで開始するすべてのレコードがリコンサイルされます。
endsWith('ATTRIBUTE_NAME','SUFFIX')	指定した接尾辞で属性値が終了するレコードがリコンサイルされます。 例: endsWith('sn','Doe') この例では、姓がDoeで終了するすべてのレコードがリコンサイルされます。
contains('ATTRIBUTE_NAME','STRING')	指定した文字列が属性値に含まれるレコードがリコンサイルされます。 例: contains('displayName','Smith') この例では、表示名にSmithが含まれるすべてのレコードがリコンサイルされます。
containsAllValues('ATTRIBUTE_NAME',['STRING1','STRING2', . . . ,'STRINGn'])	指定したすべての文字列が指定した属性に含まれるレコードがリコンサイルされます。 例: containsAllValues('objectClass',['person','top']) この例では、objectClassにtopとpersonの両方が含まれるすべてのレコードがリコンサイルされます。
等価および不等価フィルタ
equalTo('ATTRIBUTE_NAME','VALUE')	この構文に指定した値と属性値が等しいレコードがリコンサイルされます。 例: equalTo('sAMAccountName','Sales Organization') この例では、sAMAccountNameがSales Organizationであるすべてのレコードがリコンサイルされます。
greaterThan('ATTRIBUTE_NAME','VALUE')	この構文に指定した値よりも属性値(文字列または数値)が(辞書順または数値順で)大きいレコードがリコンサイルされます。 例1: greaterThan('cn','bob') この例では、共通名が、bobという共通名よりも辞書順(すなわちアルファベット順)で後になるすべてのレコードがリコンサイルされます。 例2: greaterThan('employeeNumber','1000') この例では、従業員番号が1000よりも大きいすべてのレコードがリコンサイルされます。
greaterThanOrEqualTo('ATTRIBUTE_NAME','VALUE')	この構文に指定した値に対して、属性値(文字列または数値)が辞書順または数値順で等しいか大きいレコードがリコンサイルされます。 例1: greaterThanOrEqualTo('sAMAccountName','S') この例では、sAMAccountNameが辞書順でS以上のすべてのレコードがリコンサイルされます。 例2: greaterThanOrEqualTo('employeeNumber','1000') この例では、従業員番号が1000以上のすべてのレコードがリコンサイルされます。
lessThan('ATTRIBUTE_NAME','VALUE')	この構文に指定した値よりも属性値(文字列または数値)が(辞書順または数値順で)小さいレコードがリコンサイルされます。 例1: lessThan('sn','Smith') この例では、姓がSmithという姓よりも辞書順(すなわちアルファベット順)で後になるすべてのレコードがリコンサイルされます。 例2: lessThan('employeeNumber','1000') この例では、従業員番号が1000未満のすべてのレコードがリコンサイルされます。
lessThanOrEqualTo('ATTRIBUTE_NAME','VALUE')	この構文に指定した値に対して、属性値(文字列または数値)が辞書順または数値順で等しいか小さいレコードがリコンサイルされます。 例1: lessThanOrEqualTo('sAMAccountName','A') この例では、sAMAccountNameが辞書順でA以下のすべてのレコードがリコンサイルされます。 例2: lessThanOrEqualTo('employeeNumber','1000') この例では、従業員番号が1000以下のすべてのレコードがリコンサイルされます。
複合フィルタ
<FILTER1> & <FILTER2>	filter1とfilter2両方の条件を満たすレコードがリコンサイルされます。この構文では、論理演算子& (アンパサンド記号)を使用して両方のフィルタを結合します。 例: startsWith('cn', 'John') & endsWith('sn', 'Doe') この例では、共通名がJohnで開始し姓がDoeで終了するすべてのレコードがリコンサイルされます。
<FILTER1> | <FILTER2>	filter1とfilter2の条件のいずれかを満たすレコードがリコンサイルされます。この構文では、論理演算子| (縦棒)を使用して両方のフィルタを結合します。 例: contains('sAMAccountName', 'Andy') | contains('sn', 'Brown') この例では、sAMAccount Name属性にAndyを含むレコードと姓にBrownを含むレコードがすべてリコンサイルされます。
not(<FILTER>)	指定のフィルタ条件を満たさないレコードがリコンサイルされます。 例: not(contains('cn', 'Mark')) この例では、共通名Markを含まないすべてのレコードがリコンサイルされます。

Search Base属性を使用する制限付きリコンシリエーションの実行

リコンシリエーション・ジョブのSearch Baseパラメータを使用して、制限付きリコンシリエーションを実行できます。

Search Baseパラメータに値を指定することにより、ユーザー、グループまたは組織のレコードをリコンサイルする必要があるコンテナを制限できます。ここを出発点として、Microsoft Active Directoryのオブジェクトについて階層構造の検索を行います。

バッチ・リコンシリエーション

この項では、ターゲット・リソースおよび信頼できるソースのリコンシリエーションのスケジュール済ジョブ(Active Directory User Target ReconおよびActive Directory User Trusted Recon)のBatch Size、Batch Start、Sort ByおよびSort Direction属性について説明します。

デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。このような問題を避けるため、バッチ・リコンシリエーションを構成できます。

バッチ・リコンシリエーションを構成するには、次の属性の値を指定します。

• Batch Size: この属性は、各バッチに含めるレコード数を指定するために使用します。

• Batch Start: この属性は、バッチ・リコンシリエーションを開始するレコード番号を指定するために使用します。

• Number of Batches: この属性は、リコンサイルするバッチの合計数を指定するために使用します。この属性のデフォルト値はAll。バッチ・リコンシリエーションを実装しない場合は、デフォルト値を受け入れます。デフォルト値を受け入れると、Batch Size、Batch Start、Sort ByおよびSort Direction属性の値は無視されます。

• Sort By: この属性は、バッチのレコードをソートするターゲット・システム・フィールドの名前を指定するために使用します。

• Sort Direction: この属性は、フェッチするレコードを昇順と降順のどちらでソートするかを指定するために使用します。この属性の値には、ascまたはdescを指定できます。

バッチ・リコンシリエーションが失敗した場合は、タスク属性の値を変更せずに、スケジュール済タスクを再実行すればよいだけです。

バッチ・リコンシリエーションを完了した後に、増分リコンシリエーションを実行するには、Latest Token属性の値としてhighestCommittedUSN属性の値(「アップグレード前のステップ」のステップ3を参照)を指定します。次のリコンシリエーションからは、リコンシリエーション・エンジンがLatest Token属性の値を自動的に入力します。

ノート:

ターゲット・システムでの大量のレコードのソートは、バッチ・リコンシリエーションの際に失敗します。このため、Lookup.Configuration.ActiveDirectoryまたはLookup.Configuration.ActiveDirectory.Trusted参照定義のPageSizeエントリを使用して、ターゲット・システムからのレコードのフェッチを調整することをお薦めします。

リコンシリエーションのスケジュール済ジョブ

コネクタ・インストーラを実行すると、次のリコンシリエーションのスケジュール済タスクがOracle Identity Managerに自動的に作成されます。

• ユーザー・レコードのリコンシリエーションのスケジュール済ジョブ

• 削除されたユーザー・レコードのリコンシリエーションのスケジュール済ジョブ

• グループと組織のリコンシリエーションのスケジュール済ジョブ

• 削除されたグループのリコンシリエーションのスケジュール済ジョブ

ユーザー・レコードのリコンシリエーションのためのスケジュール済ジョブ

信頼できるソースとターゲット・リソースのどちらのリコンシリエーションを実装するかによって、次のいずれかのユーザー・リコンシリエーション・スケジュール済ジョブの属性に値を指定する必要があります。

• ターゲット・リソース・リコンシリエーションを実装するには、Active Directory User Target Reconを参照してください。

• 信頼できるソースのリコンシリエーションを実装するには、Active Directory User Trusted Reconを参照してください。

Active Directory User Target Recon

このスケジュール済ジョブは、コネクタのターゲット・リソース(アカウント管理)モードでユーザー・データをリコンサイルするために使用されます。表3-3に、このスケジュール済ジョブの属性の説明を示します。

表3-3 ターゲット・リソースからのユーザー・データのリコンシリエーションのスケジュール済ジョブの属性

属性	説明
Batch Size	ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 デフォルト値: 100 この属性は、Batch Start、Number of Batches、Sort ByおよびSort Direction属性と組み合せて使用されます。これらすべての属性の詳細は、「バッチ・リコンシリエーション」を参照してください。
Batch Start	バッチ・リコンシリエーションの実行を開始するターゲット・システム・レコードの番号を入力します。 デフォルト値: 1 この属性は、Batch Size、Number of Batches、Sort ByおよびSort Direction属性と組み合せて使用されます。これらすべての属性の詳細は、「バッチ・リコンシリエーション」を参照してください。
Filter	レコードをフィルタリングする式。詳細は、「フィルタを使用する制限付きリコンシリエーションの実行」を参照してください。 デフォルト値: なし
Incremental Recon Attribute	直前の更新に関連する数値(減少しない値)を含むターゲット・システム属性の名前を入力します。たとえば、numericまたはstringsです。 この属性の値は、ターゲット・システムからリコンサイルされた最新のレコードを判別するために増分リコンシリエーションで使用されます。 デフォルト値: uSNChanged ノート: たとえば、最新のActive Directoryコネクタ11.1.1.6.0Wパッチ31377499以降を使用しているときに増分リコンシリエーション属性をwhenChangedに変更する場合は、次のようにします: Oracle Identity ManagerサーバーにICF統合バグ18357173のパッチが含まれていることを確認します。 次のコード・キーとデコード値を構成参照Lookup.Configuration.ActiveDirectoryに追加します: コード・キー: FilterDateAttributes デコード: whenChanged コード・キー: FilterDateAttributeFormat デコード: yyyyMMddHHmmss.0Z ここでは、デコード値をMicrosoft Active Directoryターゲット属性の日付書式に従って指定する必要があります。 コード・キー: 任意の増分リコンシリエーション属性タイプ デコード: true
IT Resource Name	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。 サンプル値: Active Directory
Latest Token	この属性は、リコンシリエーションに使用されるドメイン・コントローラの構成済の増分リコンシリエーション属性の値(uSNChangedやwhenChangedなど)を保持します。 ノート: リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値を手動で指定すると、増分リコンシリエーション属性値が最新のトークン属性値より大きいユーザー・アカウントのみがリコンサイルされます。
Number of Batches	リコンサイルするバッチ数を入力します。 デフォルト値: All サンプル値: 20 この属性は、Batch Size、Batch Start、Sort ByおよびSort Direction属性と組み合せて使用されます。これらすべての属性の詳細は、「バッチ・リコンシリエーション」を参照してください。 デフォルト値(All)を受け入れると、すべてのバッチがリコンサイルされます。
Object Type	この属性は、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: User ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。
Resource Object Name	リコンシリエーションの実行対象となるリソース・オブジェクトの名前を入力します。 デフォルト値: AD User
Scheduled Task Name	この属性は、スケジュール済タスクの名前を保持します。 デフォルト値: Active Directory User Target Recon
Search Base	リコンシリエーション時にユーザー・レコードの検索を実行する必要があるコンテナを入力します。 サンプル値: ou=org1,dc=corp,dc=com ノート: この属性の値を指定しないと、ITリソースのContainerパラメータの値として指定された値がこの属性の値として使用されます。
Search Scope	リコンサイルされるレコードの検索範囲に、Search Base属性で指定されるコンテナとすべての子コンテナを含める場合は、subtreeを入力します。たとえば、検索ベースをOU=abc,DC=corp,DC=comと設定すると、検索対象はabc OUおよびすべての子OUとなります。 レコードの検索範囲をSearch Base属性で指定されたコンテナのみに限定する場合は、onelevelと入力します。指定されたコンテナの子コンテナは検索に含まれません。たとえば、検索ベースをOU=abc,DC=corp,DC=comと設定すると、検索対象はabc OUのみとなります。 ノート: onelevelと入力する場合は、oneとlevelの間に空白を入れないようにする必要があります。 デフォルト値: subtree
Sort By	バッチのレコードをソートするターゲット・システム・フィールドの名前を入力します。 デフォルト値: sAMAccountName ノート: ターゲット・システムとしてAD LDSを使用している場合、この属性のデフォルト値を他の属性(たとえば、cn)に変更します。sAMAccountName属性はAD LDSターゲット・システムには存在しないためです。
Sort Direction	この属性は、フェッチするレコードを昇順と降順のどちらでソートするかを指定するために使用します。この属性の値には、ascまたはdescを指定できます。 デフォルト値: asc

Active Directory User Trusted Recon

このスケジュール済ジョブは、コネクタの信頼できるリソース(アイデンティティ管理)モードでユーザー・データをリコンサイルするために使用されます。表3-4に、このスケジュール済ジョブの属性の説明を示します。

表3-4 信頼できるソースからの削除されたユーザー・データのリコンシリエーションのスケジュール済ジョブの属性

属性	説明
Batch Size	ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 デフォルト値: 100 この属性は、Batch Start、Number of Batches、Sort ByおよびSort Direction属性と組み合せて使用されます。これらすべての属性の詳細は、「バッチ・リコンシリエーション」を参照してください。
Batch Start	バッチ・リコンシリエーションの実行を開始するターゲット・システム・レコードの番号を入力します。 デフォルト値: 1 この属性は、Batch Size、Number of Batches、Sort ByおよびSort Direction属性と組み合せて使用されます。これらすべての属性の詳細は、「バッチ・リコンシリエーション」を参照してください。
Filter	レコードをフィルタリングする式。詳細は、「フィルタを使用する制限付きリコンシリエーションの実行」を参照してください。 デフォルト値: なし
Incremental Recon Attribute	直前の更新に関連する数値(減少しない値)を含むターゲット・システム属性の名前を入力します。たとえば、numericまたはstringsです。 この属性の値は、ターゲット・システムからリコンサイルされた最新のレコードを判別するために増分リコンシリエーションで使用されます。 デフォルト値: uSNChanged ノート: たとえば、最新のActive Directoryコネクタ11.1.1.6.0Wパッチ31377499以降を使用しているときに増分リコンシリエーション属性をwhenChangedに変更する場合は、次のようにします: Oracle Identity ManagerサーバーにICF統合バグ18357173のパッチが含まれていることを確認します。 次のコード・キーとデコード値を構成参照Lookup.Configuration.ActiveDirectory.Trustedに追加します: コード・キー: FilterDateAttributes デコード: whenChanged コード・キー: FilterDateAttributeFormat デコード: yyyyMMddHHmmss.0Z ここでは、デコード値をMicrosoft Active Directoryターゲット属性の日付書式に従って指定する必要があります。 コード・キー: 任意の増分リコンシリエーション属性タイプ デコード: true
IT Resource Name	Microsoft ADおよびAD LDSのITリソースの構成で信頼できるソースのリコンシリエーションのために作成する、ITリソース・インスタンスの名前を入力します。 サンプル値: Active Directory Trusted
Latest Token	この属性は、リコンシリエーションに使用されるドメイン・コントローラの構成済の増分リコンシリエーション属性の値(uSNChangedやwhenChangedなど)を保持します。 ノート: リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値を手動で指定すると、増分リコンシリエーション属性値が最新のトークン属性値より大きいユーザー・アカウントのみがリコンサイルされます。
Maintain Hierarchy	ターゲット・システムで保持されているのと同じ組織階層をOracle Identity Managerで保持することを指定する場合は、yesと入力します。それ以外の場合は、noを入力します。 デフォルト値: no ノート: この属性をyesに設定した場合、このスケジュール済ジョブの前に実行されるように、組織リコンシリエーションのジョブ(Active Directory Organization Recon)をスケジュールする必要があります。
Manager Id	信頼できるソースのリコンシリエーションについてリソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含む参照定義のUser Idコード・キーのデコード値を入力します。 Microsoft Active Directorをターゲット・システムとして使用している場合、この属性のデフォルト値はsAMAccountNameです。 Microsoft AD LDSをターゲット・システムとして使用している場合は、この属性の値を__UPN_WO_DOMAIN__に設定します。 デフォルト値: sAMAccountName
Number of Batches	リコンサイルするバッチ数を入力します。 デフォルト値: All サンプル値: 20 この属性は、Batch Size、Batch Start、Sort ByおよびSort Direction属性と組み合せて使用されます。これらすべての属性の詳細は、「バッチ・リコンシリエーション」を参照してください。 デフォルト値(All)を受け入れると、すべてのバッチがリコンサイルされます。
Object Type	この属性は、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: User ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。
OIM Employee Type	リコンシリエーション中に作成されるOIMユーザーに設定する従業員タイプを入力します。 デフォルト値: Full-Time
OIM Organization Name	リコンサイルするユーザーを作成するOracle Identity Manager組織の名前を指定します。 OIM Organization属性は、MaintainHierarchy属性がnoに設定されている場合にのみ考慮されます。MaintainHierarchy属性がyesに設定されている場合は、OIM Organization属性の値は無視されます。 デフォルト値: Xellerate Users
OIM User Type	リコンシリエーション中に作成されるOIMユーザーに設定するロールを入力します。次に示すいずれかの値を選択する必要があります。 End-User End-User Administrator デフォルト値: End-User
Resource Object Name	リコンシリエーションの実行対象となるリソース・オブジェクトの名前を入力します。 デフォルト値: AD User Trusted
Scheduled Task Name	この属性は、スケジュール済タスクの名前を保持します。 デフォルト値: Active Directory User Trusted Recon
Search Base	リコンシリエーション時にユーザー・レコードの検索を実行する必要があるコンテナを入力します。 サンプル値: ou=org1,dc=corp,dc=com ノート: この属性の値を指定しないと、ITリソースのContainerパラメータの値として指定された値がこの属性の値として使用されます。
Search Scope	リコンサイルされるレコードの検索範囲に、Search Base属性で指定されるコンテナとすべての子コンテナを含める場合は、subtreeを入力します。たとえば、検索ベースをOU=abc,DC=corp,DC=comと設定すると、検索対象はabc OUおよびすべての子OUとなります。 レコードの検索範囲をSearch Base属性で指定されたコンテナのみに限定する場合は、onelevelと入力します。指定されたコンテナの子コンテナは検索に含まれません。たとえば、検索ベースをOU=abc,DC=corp,DC=comと設定すると、検索対象はabc OUのみとなります。 ノート: onelevelと入力する場合は、oneとlevelの間に空白を入れないようにする必要があります。 デフォルト値: subtree
Sort By	バッチのレコードをソートするターゲット・システム・フィールドの名前を入力します。 デフォルト値: sAMAccountName ノート: ターゲット・システムとしてAD LDSを使用している場合、この属性のデフォルト値を他の属性(たとえば、cn)に変更します。sAmAccountName属性はAD LDSターゲット・システムには存在しないためです。
Sort Direction	この属性は、フェッチするレコードを昇順と降順のどちらでソートするかを指定するために使用します。この属性の値には、ascまたはdescを指定できます。 デフォルト値: asc

削除されたユーザー・レコードのリコンシリエーションのスケジュール済ジョブ

信頼できるソースとターゲット・リソースのどちらの削除リコンシリエーションを実装するかによって、次のスケジュール済ジョブのいずれかの属性に値を指定する必要があります。

ノート:

コネクタ操作を実行するために作成したターゲット・システム・ユーザー・アカウントにターゲット・システム内のDeleted Objectsコンテナへのアクセス権限があることを確認するには、「削除ユーザーのリコンシリエーションの実行を行うための権限の割当て」で説明されている手順を実行します。

• Active Directory User Target Delete Recon

  このスケジュール済ジョブは、コネクタのターゲット・リソース(アカウント管理)モードで削除されたユーザーに関するデータをリコンサイルするために使用します。リコンシリエーションの実行時に、ターゲット・システムの削除されたユーザー・アカウントごとに、対応するOIMユーザーのActive Directoryリソースが削除されます。

• Active Directory User Trusted Delete Recon

  このスケジュール済ジョブは、コネクタの信頼できるリソース(アイデンティティ管理)モードで削除されたユーザーに関するデータをリコンサイルするために使用します。リコンシリエーションの実行時、削除されたターゲット・システム・ユーザー・アカウントごとに、対応するOIMユーザーが削除されます。

表3-5に、この2つのスケジュール済ジョブの属性の説明を示します。

表3-5 削除ユーザーのリコンシリエーションのスケジュール済ジョブの属性

属性	説明
Delete Recon	削除リコンシリエーションを実行するかどうかを指定します。 デフォルト値: yes ノート: この属性の値は変更しないでください。
IT Resource Name	コネクタがユーザー・データのリコンサイルに使用する必要があるITリソース・インスタンスの名前。 Active Directory User Target Delete Reconスケジュール済ジョブのこの属性のデフォルト値はActive Directoryです。 Active Directory User Trusted Delete Reconスケジュール済ジョブのこの属性のデフォルト値はありません。 ノート: 信頼できるソースとしてターゲット・システムを構成した場合は、Configuration LookupパラメータがLookup.Configuration.ActiveDirectory.Trustedに設定されているITリソースの名前を指定してください。
Object Type	この属性は、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: User
Resource Object Name	リコンシリエーションの実行対象となるリソース・オブジェクトの名前を入力します。 Active Directory User Target Delete Reconスケジュール済ジョブのこの属性のデフォルト値はAD Userです。 Active Directory User Trusted Delete Reconスケジュール済ジョブのこの属性のデフォルト値はAD User Trustedです。
Scheduled Task Name	この属性は、スケジュール済タスクの名前を保持します。 Active Directory User Target Delete Reconスケジュール済ジョブのこの属性のデフォルト値はActive Directory User Target Delete Reconです。 Active Directory User Trusted Delete Reconスケジュール済ジョブのこの属性のデフォルト値はActive Directory User Trusted Delete Reconです。
Sync Token	削除リコンシリエーションを最初に実行するとき、この属性は空白にしておく必要があります。こうすることで、ターゲット・システムから削除されるすべてのレコードに関するデータが、Oracle Identity Managerにフェッチされます。 最初の削除リコンシリエーションが実行された後、コネクタによってこの属性の値がXMLシリアル化形式で自動的に入力されます。次のリコンシリエーションからは、直前のリコンシリエーション終了後に削除されたレコードに関するデータのみがOracle Identity Managerにフェッチされます。 この属性の値は次の形式で格納されます。 <String>0|{uSNChanged}|{True/False}|{DOMAIN_CONTROLLER}</String> この形式でのTrueの値は、グローバル・カタログ・サーバーが削除リコンシリエーション実行で使用されることを指定します。また、DOMAIN_CONTROLLERは、グローバル・カタログ・サーバーが実行しているドメイン・コントローラの名前で置き換えられます。 Falseの値は、グローバル・カタログ・サーバーが削除リコンシリエーション実行で使用されないことを指定します。また、DOMAIN_CONTROLLERは、削除されたレコードのデータがフェッチされるドメイン・コントローラの名前で置き換えられます。

グループと組織のリコンシリエーションのスケジュール済ジョブ

要件に応じて、次のスケジュール済ジョブのいずれかの属性に値を指定する必要があります。

• Active Directory Group Recon

  このスケジュール済ジョブは、ターゲット・システムからのグループ・データをリコンサイルする目的で使用されます。

• Active Directory Organization Recon

  このスケジュール済ジョブは、ターゲット・システムからの組織データをリコンサイルする目的で使用されます。

関連項目:

次の各項では、グループと組織のリコンシリエーションの実行について説明します。

• グループ・リコンシリエーションの構成と実行

• 組織リコンシリエーションの構成と実行

表3-6に、この2つのスケジュール済ジョブの属性の説明を示します。

表3-6 グループおよび組織データのリコンシリエーションのスケジュール済タスクの属性

属性	説明
Filter	レコードをフィルタリングする式。詳細は、「フィルタを使用する制限付きリコンシリエーションの実行」を参照してください。 デフォルト値: None ノート: フィルタを作成するときは、グループまたは組織単位に固有の属性を使用してください。
Incremental Recon Attribute	直前の更新に関連する数値(減少しない値)を含むターゲット・システム属性の名前を入力します。たとえば、numericまたはstringsです。 この属性の値は、ターゲット・システムからリコンサイルされた最新のレコードを判別するために増分リコンシリエーションで使用されます。 デフォルト値: uSNChanged ノート: この属性の値は変更しないでください。
IT Resource Name	グループまたは組織データをリコンサイルするターゲット・システム・インストールのITリソースの名前を入力します。 デフォルト値: Active Directory
Latest Token	この属性は、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。 サンプル値: 0 ノート: リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性よりも大きいグループまたは組織単位のみがリコンサイルされます。
Object Type	リコンサイルされるオブジェクトのタイプ。 Active Directory Group Reconスケジュール済ジョブのこの属性のデフォルト値はGroupです。 Active Directory Organization Reconスケジュール済ジョブのこの属性のデフォルト値はorganizationalUnitです。
Organization Name	ターゲット・システムからフェッチされるすべてのグループがリンクしている組織の名前を入力します。 この属性の使用方法の詳細は、「グループ・リコンシリエーションの構成と実行」を参照してください。 ノート: この属性はActive Directory Group Reconスケジュール済ジョブのみに含まれます。
Organization Type	Oracle Identity Managerに作成される組織のタイプ。 デフォルト値: Company ノート: この属性はActive Directory Group Reconスケジュール済ジョブのみに含まれます。
Resource Object Name	リコンシリエーションに使用されるリソース・オブジェクトの名前。 Active Directory Group Reconスケジュール済ジョブのこの属性のデフォルト値はAD Groupです。 Active Directory Organization Reconスケジュール済ジョブのこの属性のデフォルト値はXellerate Organizationです。
Scheduled Task Name	リコンシリエーションに使用されるスケジュール済タスクの名前。 Active Directory Group Reconスケジュール済ジョブのこの属性のデフォルト値はActive Directory Group Reconです。 Active Directory Organization Reconスケジュール済ジョブのこの属性のデフォルト値はActive Directory Organization Reconです。
Search Base	リコンシリエーション時にグループまたは組織レコードの検索を実行する必要があるコンテナを入力します。 サンプル値: ou=org1,dc=corp,dc=com ノート: この属性の値を指定しないと、ITリソースのContainerパラメータの値として指定された値がこの属性の値として使用されます。
Search Scope	リコンサイルされるレコードの検索範囲に、Search Base属性で指定されるコンテナとすべての子コンテナを含める場合は、subtreeを入力します。たとえば、検索ベースをOU=abc,DC=corp,DC=comと設定すると、検索対象はabc OUおよびすべての子OUとなります。 レコードの検索範囲をSearch Base属性で指定されたコンテナのみに限定する場合は、onelevelと入力します。指定されたコンテナの子コンテナは検索に含まれません。たとえば、検索ベースをOU=abc,DC=corp,DC=comと設定すると、検索対象はabc OUのみとなります。 ノート: onelevelと入力する場合は、oneとlevelの間に空白を入れないようにする必要があります。 デフォルト値: subtree

削除されたグループのリコンシリエーションのスケジュール済ジョブ

Active Directory Group Delete Reconは、削除されたグループのデータをリコンサイルするために使用されます。

表3-7に、このスケジュール済ジョブの属性の説明を示します。

表3-7 Active Directory Group Delete Reconスケジュール済ジョブの属性

属性	説明
Delete Recon	削除リコンシリエーションを実行するかどうかを指定します。 デフォルト値: yes ノート: この属性の値は変更しないでください。
IT Resource Name	コネクタがグループ・データのリコンサイルに使用する必要があるITリソース・インスタンスの名前。 デフォルト値: Active Directory
Object Type	この属性は、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: Group
Resource Object Name	リコンシリエーションの実行対象となるリソース・オブジェクトの名前を入力します。 デフォルト値: AD Group
Scheduled Task Name	この属性は、スケジュール済タスクの名前を保持します。 デフォルト値: Active Directory Group Delete Recon
Sync Token	削除リコンシリエーションを最初に実行するとき、この属性は空白にしておく必要があります。こうすることで、ターゲット・システムから削除されるすべてのレコードに関するデータが、Oracle Identity Managerにフェッチされます。 最初の削除リコンシリエーションが実行された後、コネクタによってこの属性の値がXMLシリアル化形式で自動的に入力されます。次のリコンシリエーションからは、直前のリコンシリエーション終了後に削除されたレコードに関するデータのみがOracle Identity Managerにフェッチされます。 この属性の値は次の形式で格納されます。 <String>0|{uSNChanged}|{True/False}|{DOMAIN_CONTROLLER}</String> この形式でのTrueの値は、グローバル・カタログ・サーバーが削除リコンシリエーション実行で使用されることを指定します。また、DOMAIN_CONTROLLERは、グローバル・カタログ・サーバーが実行しているドメイン・コントローラの名前で置き換えられます。 Falseの値は、グローバル・カタログ・サーバーが削除リコンシリエーション実行で使用されないことを指定します。また、DOMAIN_CONTROLLERは、削除されたレコードのデータがフェッチされるドメイン・コントローラの名前で置き換えられます。
Organization Name	ターゲット・システムからフェッチされる、削除されたすべてのグループのデータがリンクしている組織の名前を入力します。 グループ・リコンシリエーションが実行されるシナリオは2つあります。これらのシナリオについては、「グループ・リコンシリエーションの構成と実行」で説明しています。 シナリオ1でグループ・リコンシリエーションを実行するようにコネクタを構成した場合、この属性の値を指定する必要はありません。このとき、値を指定してもコネクタによって無視されます。 シナリオ2でグループ・リコンシリエーションを実行するようにコネクタを構成した場合、Active Directory Group Reconスケジュール済ジョブのOrganization Name属性に指定したのと同じ組織名を入力します。

グループ・リコンシリエーションの構成と実行

グループ・リコンシリエーションを実行できるシナリオは2つあります。

グループ・リコンシリエーションを実行するシナリオに応じて、次のいずれかの手順を実行します。

• 各ターゲット・システム・グループをそれぞれの組織にリコンサイルするには、個々の組織へのターゲット・システム・グループのリコンサイルを参照してください。

• 各ターゲット・システム・グループを1つの組織にリコンサイルするには、1つの組織へのターゲット・システム・グループのリコンサイルを参照してください。

個々の組織へのターゲット・システム・グループのリコンサイル

Oracle Identity Managerでグループ(ターゲット・システムのグループ)の名前を付けて組織単位を作成し、この新たに作成した組織単位にグループをリコンサイルします。つまり、各ターゲット・システム・グループをそれぞれの組織にリコンサイルするシナリオを想定します。

このシナリオでグループ・リコンシリエーションを実行するには:

1. ITリソースのConfiguration Lookupパラメータの値がLookup.Configuration.ActiveDirectoryに設定されていることを確認します。
2. Active Directory Group Reconスケジュール済ジョブを検索して開きます。
3. このスケジュール済ジョブのResource Object Name属性の値をXellerate Organizationに設定します。Organization Name属性の値は指定する必要がないことに注意してください。Organization Name属性の値を指定しても無視されます。
4. Active Directory Group Reconスケジュール済ジョブを実行します。
5. リコンシリエーション実行が完了したら、次の手順を実行します。

   • スケジュール済ジョブのLatest Token属性の値をクリアします。

   • スケジュール済ジョブのResource Object Name属性の値としてAD Groupを指定します。

6. Active Directory Group Reconスケジュール済ジョブを再び実行します。
7. 管理およびユーザー・コンソールで、グループの名前が付いた組織単位が作成されたかどうか、さらにその組織単位のAD Groupリソース・オブジェクトが「プロビジョニング済」状態であるかどうかを確認します。

1つの組織へのターゲット・システム・グループのリコンサイル

この項では、ターゲット・システムのすべてのグループをOracle Identity Managerの同一の組織単位にリコンサイルする必要がある場合に、グループ・リコンシリエーションを実行する手順について説明します。つまり、すべてのターゲット・システム・グループを1つの組織にリコンサイルするシナリオを想定します。

このシナリオでグループ・リコンシリエーションを実行するには:

1. Design Consoleにログインします。
2. 「Administration」を開き、「Lookup Definition」をダブルクリックします。
3. Lookup.ActiveDirectory.GM.ReconAttrMap参照定義を検索して開きます。
4. sAMAccountNameのOIM Org Nameエントリのデコード値をOrganization Nameに変更します。
5. 参照定義を保存して閉じます。
6. 管理およびユーザー・コンソールにログインします。
7. Active Directory Group Reconスケジュール済ジョブを検索して開きます。さらに次の操作を実行します。

   • Latest Token属性の値をクリアします。

   • Resource Object Name属性フィールドに値としてAD Groupを指定します。

   • Organization Name属性フィールドに、ターゲット・システムのすべてのグループをリコンサイルする組織単位の名前を指定します。

8. Active Directory Group Reconスケジュール済ジョブを実行します。

組織リコンシリエーションの構成と実行

組織リコンシリエーションのスケジュール済ジョブを構成して実行できます。

組織リコンシリエーションのスケジュール済ジョブを実行する手順を次に示します。

1. ITリソースのConfiguration Lookupパラメータの値がLookup.Configuration.ActiveDirectory.Trustedに設定されていることを確認します。
2. Active Directory Organization Reconスケジュール済ジョブを検索して開きます。
3. このスケジュール済ジョブのResource Object Name属性の値をXellerate Organizationに設定します。こうすると、スケジュール済ジョブが実行された後でOracle Identity Managerに組織が作成されます。
4. Active Directory Organization Reconスケジュール済ジョブを実行します。
5. リコンシリエーション実行が完了したら、次の手順を実行します。

   • スケジュール済ジョブのLatest Token属性の値をクリアします。

   • スケジュール済ジョブのResource Object Name属性の値としてAD Organizational Unitを指定します。

6. ITリソースのConfiguration Lookupパラメータの値をLookup.Configuration.ActiveDirectoryに設定します。
7. Active Directory Organization Reconスケジュール済ジョブを再び実行します。
8. 管理およびユーザー・コンソールで、この項のステップ3で作成された組織に、AD組織単位リソースがプロビジョニングされるかどうかを確認します。

ノート:

OIM作成の組織は、Microsoft Active Directoryのディレクトリ・リソースのOUオブジェクトには関連しません。コネクタはMicrosoft Active DirectoryにプロビジョニングできるOIM内のOUオブジェクトの作成をサポートしません。そのかわりに、OUはMicrosoft Active Directoryのディレクトリ・サービスで直接作成できます。

さらに、ベスト・プラクティスとして、すべての新しく作成されたOUとその他のオブジェクトが、信頼できるリソース・リコンシリエーションの実行によってターゲット・システムからOIMへフェッチされるようにします。

スケジュール済ジョブの構成

ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Managerにそのデータを複製するリコンシリエーションを実行するスケジュール済ジョブを構成します。

この手順は、参照フィールド同期およびリコンシリエーションのためのスケジュール済ジョブを構成する場合に適用できます。

スケジュール済ジョブを構成するには:

1. Oracle Identity Managerリリース11.1.1を使用している場合:

   1. 管理およびユーザー・コンソールにログインします。

   2. 「Oracle Identity Managerセルフ・サービスへようこそ」ページの右上隅で、「拡張」をクリックします。

   3. 「Oracle Identity Manager拡張管理へようこそ」ページの「システム管理」リージョンで、「スケジュール済ジョブの検索」をクリックします。

2. Oracle Identity Managerリリース11.1.2.xを使用している場合:

   1. Oracle Identity System Administrationにログインします。

   2. 左ペインの「システム管理」で、「スケジューラ」をクリックします。

3. 次のようにスケジュール済タスクを検索して開きます。

   1. 左ペインの「検索」フィールドに、スケジュール済ジョブの名前を検索基準として入力します。「拡張検索」をクリックして検索基準を指定することもできます。

   2. 左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。

4. 「ジョブの詳細」タブで、スケジュール済タスクのパラメータを変更できます。

   • 再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。

   • スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。

   ノート:

   スケジュール・タイプの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドを参照してください。

   ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。

5. 「ジョブの詳細」タブの「パラメータ」領域で、スケジュール済タスクの属性の値を指定します。

   ノート:

   • 属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。

   • すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。

   • スケジュール済タスクと属性のリストは、リコンシリエーションのスケジュール済ジョブを参照してください。

6. 「適用」をクリックして変更を保存します。

   ノート:

   「実行停止」オプションが、管理およびユーザー・コンソールで使用できます。「スケジューラのステータス」ページを使用して、スケジューラを起動、停止または再初期化できます。

アクション・スクリプト

アクションは、アカウントの作成、更新または削除のプロビジョニング操作の前または後に実行するように構成できるスクリプトです。

たとえば、あるスクリプトを、個々のユーザー作成前に実行するように構成できます。同様に、カスタムPowerShellスクリプトを、メールボックスの作成、更新または削除の前または後に実行できます。

アクション・スクリプトに関連するトピックを、次に示します。

• アクション・スクリプトの構成について

• カスタムPowerShellスクリプトの実行

• 作成プロビジョニング操作前のスクリプトの実行

• ユーザーに対するVisual Basicスクリプトを使用したアクションの実行

• アクション・スクリプト実行時の重要なノート

• スクリプト作成のガイドライン

アクション・スクリプトの構成について

次に、アクション・スクリプトを構成する手順のサマリーを示します。

• コネクタ・サーバーをホストするコンピュータで、カスタム・スクリプト(たとえばPowerShell)をディレクトリの中に作成します。このスクリプトは自己充足的であること、つまりターゲットADサーバーとのセッションの作成、保持、削除と、そのサーバーに対するすべてのアクションを完了できることが必要です。

• Oracle Identity Managerをホストしているコンピュータで、バッチ(.bat)ファイルを作成します。このバッチ・ファイルは、コネクタ・サーバーをホストするコンピュータで実行され、コネクタ・サーバーが、そのホスト・コンピュータにあるカスタム・スクリプト(たとえばPowerShell)を呼び出します。Oracle Identity ManagerがUNIXベースのコンピュータにインストールされていても、バッチ・ファイルを作成します。

  カスタムPowerShellスクリプトの場合は、バッチ・ファイルによるカスタムPowerShellスクリプトの実行にはPowershell.exeプログラムが使用されます。Powershell.exeの詳細は、http://technet.microsoft.com/en-us/library/hh847736.aspxを参照してください。

• エントリをLookup.ActiveDirectory.UM.Configuration参照定義に追加します。

表3-8に、アクション・スクリプトを実行するためにLookup.ActiveDirectory.UM.Configuration参照定義に追加されるエントリを示します。

表3-8 アクション・スクリプトを実行するための参照エントリ

コード・キー	デコード
TIMING Action Language	実行するスクリプトのスクリプト言語。 カスタム・シェル・スクリプトの場合は、Shellをデコード値として入力します。
TIMING Action File	実行するスクリプトを含むファイルのフル・パスと名前。 スクリプトを含むファイルは、Oracle Identity Managerが実行しているコンピュータに存在する必要があります。
TIMING Action Target	実行する必要があるスクリプトのコンテキスト。 デコード値としてResourceと入力します。

この表のTIMINGはアクションをいつ実行する必要があるかを定義します。アクションを起動できるのは、作成、更新または削除プロビジョニング操作の前か後です。つまり、TIMINGは次のいずれかの値で置き換えることができます。

Before Create

Before Update

Before Delete

After Create

After Update

After Delete

表3-8のすべてのエントリを合せてアクションが定義されます。したがって、アクション・スクリプトを構成するには、すべてのエントリを定義する必要があります。そうしないとアクションは実行されません。

カスタムPowerShellスクリプトの実行

例として、次のプロシージャで、作成操作前にカスタムPowerShellスクリプトを実行するステップを説明します。

1. Design Consoleにログインします。
2. Lookup.ActiveDirectory.UM.Configuration参照定義を検索して開きます。
3. 次の新しい値を追加します。

   • コード・キー: TIMING Action Language

     サンプル値: Before Create Action Language

   • デコード: 実行するスクリプトのスクリプト言語を入力します。

     サンプル値: Shell

4. 次の新しい値を追加します。

   • コード・キー: TIMING Action File

     サンプル値: Before Create Action File

   • デコード: スクリプトを起動するバッチ・ファイルのフル・パスを入力します。(Oracle Identity Managerがこのファイルにアクセスできることが必要です。)

     サンプル値: /scratch/Scripts/InvokeCustomScript.bat

5. 次の新しい値を追加します。

   • コード・キー: TIMING Action Target

     サンプル値: Before Create Action Target

   • デコード: Resource (この値を変更しないでください)

6. 参照定義を保存します。
7. Oracle Identity Managerを実行しているコンピュータ上に、/scratch/Scripts/InvokeCustomScript.batファイルを作成して次の内容を入力します。

   Powershell.exe -File NAME_AND_FULL_LOCATION_OF_THE_CUSTOM_SCRIPT
   Exit
   

   サンプル値:

   Powershell.exe -File C:\myscripts\CustomScript.ps1
   Exit
   

8. コネクタ・サーバーを実行するコンピュータにログインしてカスタム・スクリプト・ファイルを作成し(この例ではcustomScript.ps1スクリプトで、場所はC:\myscripts directory)、次の内容を入力します。

   $Class = "organizationalUnit"
   $OU = "OU=ScriptOU81"
   $objADSI = [ADSI]"LDAP://Dc=extest,DC=com"
   $objOU = $objADSI.create($Class, $OU)
   $objOU.setInfo()
   

   このスクリプトは、個々の作成プロビジョニング操作の前に実行されます。このスクリプトによって、「ScriptOU81」という名前の組織が作成されます。同様にして、独自の要件に応じたカスタム・スクリプトを作成できます。

   ノート:

   PowerShellスクリプトを使用する場合は、コネクタまたはOracle Identity Managerを使用してそのスクリプトを実行する前に、コネクタ・サーバーを実行するコンピュータで次のことを確認してください。

   • PowerShellウィンドウを使用して、スクリプト内で指定されている値でADサーバーに手動で問題なく接続できることが必要です。

   • コマンド・プロンプトから、バッチ・ファイルが存在するディレクトリに移動します。その後で、適切なパラメータを指定してバッチ・ファイルを実行し、PowerShellスクリプトがADサーバーで問題なく実行できることを確認します。

アクション前またはアクション後のスクリプトを呼び出すスクリプトには、プロセス・フォーム・フィールドを渡すことができます。このプロセス・フォーム・フィールドは、Lookup.ActiveDirectory.UM.ProvAttrMap参照定義に存在していることと、対応するターゲット・システム属性にマッピングされていることが必要です。たとえば、「名」というプロセス・フォーム・フィールド(Lookup.ActiveDirectory.UM.ProvAttrMap参照定義に存在します)をアクション・スクリプトに渡すには、ターゲット・システムでの対応する属性の名前である「givenName」を指定します。

ノート:

プロセス・フォーム・フィールドのうち、IGNOREが指定されているものはコネクタに送信されません。

作成プロビジョニング操作前のスクリプトの実行

作成プロビジョニング操作の前にスクリプトを実行する手順の例を次に示します。

1. 次の行を含むscript.bat (拡張子は任意)という名前のファイルを作成します。

   echo create >> C:\%givenName%.txt
   

2. Design Consoleにログインします。
3. 「Administration」を開き、「Lookup Definition」をダブルクリックします
4. Lookup.ActiveDirectory.UM.Configuration参照定義を検索して開き、次のエントリを追加します。

   コード・キー	デコード
   Before Create Action Language	Shell
   Before Create Action File	/scratch/jdoe/script/script.bat
   Before Create Action Target	Resource

   図3-1に、アクション・スクリプトのエントリが新たに追加されたLookup.ActiveDirectory.UM.Configuration参照定義を示します。

   図3-1 アクション・スクリプトの参照エントリ

   
   「図3-1 アクション・スクリプトの参照エントリ」の説明
5. 参照定義を保存して閉じます。
6. 管理およびユーザー・コンソールにログインします。
7. ユーザー・アカウントをプロビジョニングします。スクリプト(ステップ1で作成)が実行され、givenName属性に指定した値のファイルがターゲット・システムで作成されることに注意してください。

Visual Basicスクリプトを使用してアクションを構成することもできます。Visual Basicスクリプトは直接サポートされていませんが、シェル・スクリプトを使用してVisual Basicスクリプトを呼び出すことができます。

ユーザーに対するVisual Basicスクリプトを使用したアクションの実行

プロセス・フォームのデータを動的に使用するVisual Basicスクリプトを使用してアクションを実行する手順の例を次に示します。これは、After Createアクションの手順の例です。ここでは、ユーザーがプロビジョニングされる組織単位に加えて、組織単位内にユーザーを作成することも必要になります。

1. Oracle Identity Managerを実行するコンピュータ上にファイル(スクリプト)を作成し、次のデータを入力します。

   C:\arg.vbs %givenName%
   

   C:\arg.vbsと%givenName%の間に空白があることに注意してください。

2. ターゲット・システムをホストするマシンで、C:\ディレクトリにファイルを作成します。たとえば、arg.vbsファイルを作成します。
3. 次の行をarg.vbsファイルに含めます。

   Set args = WScript.Arguments
   GivenNameFromArg = args.Item(0)
   lengthGivenName = Len(GivenNameFromArg) - 2
   GivenNameTrim = Mid(GivenNameFromArg, 2, lengthGivenName)
   Set objOU = GetObject("LDAP://ausovm3194win.matrix.com:389/OU=TestOrg4,dc=matrix,dc=com")
   Set objUser = objOU.Create("User", "cn=scriptCreate" & GivenNameTrim )
   objUser.Put "givenName", "scriptCreate" & GivenNameTrim
   objUser.Put "sAMAccountName", "scriptCreate " & GivenNameTrim
   objUser.Put "userPrincipalName", "scriptCreate" & GivenNameTrim
   objUser.Put "displayName", "scriptCreate" & GivenNameTrim
   objUser.Put "sn", "scriptCreate" & GivenNameTrim
   objUser.SetInfo
   

4. ファイルを保存して閉じます。
5. Oracle Identity Managerでユーザー・アカウントをプロビジョニングします。

アクション・スクリプト実行時の重要なノート

アクション・スクリプトを実行する場合の重要なノートを次に示します。

• アクション・スクリプトの実行中に発生したエラーは無視され、Oracle Identity Managerには伝播されません。

• 作成操作中は、プロセス・フォームのすべての属性部分をスクリプトに使用できます。

• 更新操作中は、更新中の属性のみをスクリプトに使用できます。

  その他の属性も必要な場合、新規アダプタ呼出しICProvisioningManager# updateAttributeValues(String objectType, String[] labels)が作成され使用される必要があります。プロセス・タスクのアダプタ・マッピング中は、依存属性のフォーム・フィールド・ラベルを追加します。

• 削除操作中は、__UID__ (GUID)属性のみをスクリプトに使用できます。

スクリプト作成のガイドライン

アクション・スクリプトを構成する際に適用または注意する必要があるガイドラインを次に示します。

• スクリプト・ファイルに含めるスクリプトには、次の参照定義のデコード列に存在する属性を指定することができます。

  Lookup.ActiveDirectory.UM.ProvAttrMap

  Lookup.ActiveDirectory.GM.ProvAttrMap

  Lookup.ActiveDirectory.OM.ProvAttrMap

• スクリプト内で使用されるすべてのフィールド名は%%で囲む必要があります。

• 任意のVBスクリプトをシェルから呼び出して、プロセス・フォーム・フィールドを渡すことができます。

• スクリプトにPasswordフィールドを指定することはできません。パスワードは保護された文字列として格納されるためです。したがって、Passwordフィールドの値をフェッチするとき、正確なパスワードは取得されません。

• 子表属性の追加は、CreateカテゴリではなくUpdateカテゴリに含まれます。

Oracle Identity Managerリリース11.1.1.xでのプロビジョニング操作の実行

OIMユーザーのリソースのプロビジョニングでは、Oracle Identity Managerを使用して、そのユーザーのMicrosoft Active Directoryアカウントが作成されます。

プロビジョニング操作の実行に関する情報は、次のトピックを参照してください。

• Oracle Identity Managerでのプロビジョニング操作の実行について

• 直接プロビジョニング

• リクエストベースのプロビジョニング

• リクエストベースのプロビジョニングと直接プロビジョニングの切替え

Oracle Identity Managerでのプロビジョニング操作の実行について

Oracle Identity Managerにコネクタをインストールすると、ダイレクト・プロビジョニング機能が自動的に有効になります。すなわち、コネクタをインストールすると、プロセス・フォームが有効になります。

リクエストベースのプロビジョニング用にコネクタを構成すると、プロセス・フォームが抑制されてオブジェクト・フォームが表示されます。つまり、リクエストベース・プロビジョニングのためにコネクタを構成すると、ダイレクト・プロビジョニングが無効になります。直接プロビジョニングに戻るには、「リクエストベースのプロビジョニングと直接プロビジョニングの切替え」に記載されているステップを実行します。

次にプロビジョニング操作のタイプを示します。

• 直接プロビジョニング

• リクエストベースのプロビジョニング

関連項目:

プロビジョニングのタイプの詳細は、Oracle Identity Managerでのセルフ・サービス・タスクの実行のタスクの手動による実行に関する項を参照してください

直接プロビジョニング

ダイレクト・プロビジョニングの手法を使用してリソースをプロビジョニングするには、次の手順を実行します。

1. 管理およびユーザー・コンソールにログインします。

2. まずOIMユーザーを作成してから、ターゲット・システム・アカウントをプロビジョニングする場合は、次の操作を行います。

   1. 「アイデンティティ管理へようこそ」ページの「ユーザー」リージョンで「ユーザーの作成」をクリックします。

   2. 「ユーザーの詳細」ページでOIMユーザーのフィールドに値を入力し、「保存」をクリックします。図3-2に、このページを示します。

      図3-2 「ユーザーの詳細」ページ

      
      「図3-2 「ユーザーの詳細」ページ」の説明

3. ターゲット・システム・アカウントを既存のOIMユーザーにプロビジョニングする場合は、次の操作を行います。

   1. 「アイデンティティ管理へようこそ」ページの左側のペインのリストでOIMユーザーを検索します。

   2. 検索結果に表示されたユーザーのリストから、OIMユーザーを選択します。右ペインに、ユーザー詳細ページが表示されます。

4. ユーザー詳細ページで、「リソース」タブをクリックします。

5. 「アクション」メニューから「リソースの追加」を選択します。あるいは、プラス(+)記号の付いた「リソースの追加」アイコンをクリックします。「ユーザーへのリソースのプロビジョニング」ページが新しいウィンドウに表示されます。

6. 「ステップ1: リソースの選択」ページで、リストから「AD User」を選択し、「続行」をクリックします。図3-3に、「ステップ1: リソースの選択」ページを示します。

   図3-3 「ステップ1: リソースの選択」ページ

   
   「図3-3 「ステップ1: リソースの選択」ページ」の説明

7. 「ステップ2: リソースの選択の検証」ページで「続行」をクリックします。図3-4に、「ステップ2: リソースの選択の検証」ページを示します。

   図3-4 「ステップ2: リソースの選択の検証」ページ

   
   「図3-4 「ステップ2: リソースの選択の検証」ページ」の説明

8. 「ステップ5: プロセス・データの指定」の「Active Directoryユーザー・フォーム」ページで、ターゲット・システムで作成するアカウントの詳細を入力し、「続行」をクリックします。図3-5に、追加されたユーザーの詳細を示します。

   図3-5 「ステップ5: プロセス・データの指定」のADユーザー・フォーム・ページ

   
   「図3-5 「ステップ5: プロセス・データの指定」の「Active Directoryユーザー・フォーム」ページ」の説明

9. 必要な場合は、「ステップ5: プロセス・データの指定」の「割当て済グループ・フォーム」ページで、ターゲット・システムのユーザーのグループを検索して選択し、「続行」をクリックします。図3-6に、このページを示します。

   図3-6 「ステップ5: プロセス・データの指定」の「割当て済グループ・フォーム」ページ

   
   「図3-6 「ステップ5: プロセス・データの指定」の「割当て済グループ・フォーム」ページ」の説明

10. 「ステップ6: プロセス・データの検証」ページで、指定したデータを確認して「続行」をクリックします。図3-7に、「ステップ6: プロセス・データの検証」ページを示します。

    図3-7 「ステップ6: プロセス・データの検証」ページ

    
    「図3-7 「ステップ6: プロセス・データの検証」ページ」の説明

11. 「プロビジョニングが開始されました」というメッセージが表示されるウィンドウを閉じます。

12. 「リソース」タブで「リフレッシュ」をクリックして新たにプロビジョニングされたリソースを表示します。

リクエストベースのプロビジョニング

リクエストベースのプロビジョニング操作には、エンドユーザーと承認者の両方が関係します。通常、承認者はリクエスト発行者の上司です。次の項では、リクエストベースのプロビジョニング操作でエンドユーザーと承認者によって実行されるステップについて説明します。

ノート:

これらの項で説明する手順は、エンドユーザーがターゲット・システム・アカウントのプロビジョニングをリクエストするという例に基づいています。その後、このリクエストが承認者によって承認されます。

• リクエストベースのプロビジョニングでのエンドユーザーの役割

• リクエストベースのプロビジョニングでの承認者の役割

リクエストベースのプロビジョニングでのエンドユーザーの役割

次のステップは、リクエストベースのプロビジョニング操作でエンドユーザーによって実行されます。

1. 管理およびユーザー・コンソールにログインします。
2. 「ようこそ」ページでページの右上の「拡張」をクリックします。
3. 「アイデンティティ管理へようこそ」ページで「管理」タブをクリックし、「リクエスト」タブをクリックします。
4. 左ペインの「アクション」メニューから「リクエストの作成」を選択します。

   「リクエスト・テンプレートの選択」ページが表示されます。

5. 「リクエスト・テンプレート」リストから「リソースのプロビジョニング」を選択して、「次」をクリックします。
6. 「ユーザーの選択」ページで、リソースをプロビジョニングするユーザーを検索するためのフィールドに検索基準を指定し、S「検索」をクリックします。指定した検索基準に一致するユーザーのリストが「使用可能なユーザー」リストに表示されます。
7. 「使用可能なユーザー」リストから、アカウントをプロビジョニングするユーザーを選択します。

   複数のユーザーについてプロビジョニング・リクエストを作成する場合は、「使用可能なユーザー」リストから、アカウントをプロビジョニングするユーザー(複数)を選択します。

8. 「移動」または「すべて移動」をクリックして、選択内容を「選択したユーザー」リストに移動し、「次」をクリックします。
9. 「リソースの選択」ページで「リソース名」フィールドの横にある矢印ボタンをクリックして、使用可能なすべてのリソースのリストを表示します。
10. 「利用可能なリソース」リストからAD Userを選択して、「選択したリソース」リストに移動し、「次」を選択します。
11. 「リソースの詳細」ページで、ターゲット・システムに作成する必要があるアカウントの詳細を入力し、「次」をクリックします。

    「ターミナル サービスのプロファイル」のフィールドに値を設定する場合は、Remote ManagerのITリソースを選択する必要があります。

12. 「理由」ページで次のフィールドの値を指定し、「終了」をクリックします。

    • 有効日

    • 理由

    リクエストが正常に送信されたことを確認するメッセージが、リクエストIDと一緒に表示されます。

13. リクエストIDをクリックすると、「リクエストの詳細」ページが表示されます。
14. 承認の詳細を表示するには、「リソースの詳細」ページで「リクエスト履歴」タブをクリックします。

リクエストベースのプロビジョニングでの承認者の役割

次に、承認者が実行できるステップについて説明します。

1. 管理およびユーザー・コンソールにログインします。
2. 「ようこそ」ページの右上隅で、「セルフサービス」をクリックします。
3. 「Identity Managerセルフ・サービスへようこそ」ページで「タスク」タブをクリックします。
4. 「承認」タブの最初のセクションで、割り当てられているリクエスト・タスクの検索基準を指定できます。
5. 検索結果表から承認するリクエストを含む行を選択して、「タスクの承認」をクリックします。

   タスクが承認されたことを確認するメッセージが表示されます。

リクエストベースのプロビジョニングと直接プロビジョニングの切替え

リクエストベースのプロビジョニング用にコネクタを構成した場合は、いつでも直接プロビジョニングに切り替えることができます。同様に、いつでもリクエストベースのプロビジョニングに戻すことができます。このセクションのトピックは次のとおりです:

• リクエストベースのプロビジョニングから直接プロビジョニングへの切替え

• 直接プロビジョニングからリクエストベースのプロビジョニングへの切替え

リクエストベースのプロビジョニングから直接プロビジョニングへの切替

ノート:

「リクエストベースのプロビジョニング用のOracle Identity Managerの構成」に示す手順が実行されたことを想定しています。

リクエストベースのプロビジョニングからダイレクト・プロビジョニングに切り替えるには、次の手順を実行します。

1. Design Consoleにログインします。

2. 次の手順で、「Auto Save Form」機能を無効にします。

   1. 「Process Management」を開いて「Process Definition」をダブルクリックします。

   2. AD Userプロセス定義を検索して開きます。

   3. 「Auto Save Form」チェック・ボックスを選択解除します。

   4. 「Save」アイコンをクリックします。

3. 「Self Request Allowed」機能が有効になっている場合は、次の操作を行います。

   1. 「Resource Management」を開き、「Resource Objects」をダブルクリックします。

   2. AD Userリソース・オブジェクトを検索し、開きます。

   3. 「Self Request Allowed」チェック・ボックスを選択解除します。

   4. 「Save」アイコンをクリックします。

直接プロビジョニングからリクエストベースのプロビジョニングへの切替え

ダイレクト・プロビジョニングからリクエストベースのプロビジョニングに戻すには、次の手順を実行します。

1. Design Consoleにログインします。

2. 次の手順で、自動保存フォーム機能を有効にします。

   1. 「Process Management」を開いて「Process Definition」をダブルクリックします。

   2. AD Userプロセス定義を検索して開きます。

   3. 「Auto Save Form」チェック・ボックスを選択します。

   4. 「Save」アイコンをクリックします。

3. エンドユーザーが自分自身に対するリクエストを生成できるようにするには、次の手順を実行します。

   1. 「Resource Management」を開き、「Resource Objects」をダブルクリックします。

   2. AD Userリソース・オブジェクトを検索し、開きます。

   3. 「Self Request Allowed」チェック・ボックスを選択します。

   4. 「Save」アイコンをクリックします。

Oracle Identity Managerリリース11.1.2以降でのプロビジョニング操作の実行

OIMユーザーのリソースのプロビジョニングでは、Oracle Identity Managerが使用されて、そのユーザーのMicrosoft Active Directoryアカウントが作成されます。

Oracle Identity Managerリリース11.1.2以降でプロビジョニング操作を実行するには、次の手順を実行します。

1. Oracle Identity管理およびユーザー・コンソールにログインします。

2. ユーザーを作成します。ユーザーの作成の詳細は、Oracle Identity Managerでのセルフ・サービス・タスクの実行のユーザーの管理を参照してください。

3. 「アカウント」タブで、「アカウントのリクエスト」をクリックします。

4. 「カタログ」ページで、アプリケーション・インスタンスの作成で作成したアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。

5. アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします

6. 「送信」をクリックします。

7. 権限をプロビジョニングする場合は、次の手順を実行します。

   1. 「権限」タブで、「権限のリクエスト」をクリックします。

   2. 「カタログ」ページで、権限を検索してカートに追加し、「チェックアウト」をクリックします。

   3. 「送信」をクリックします。

Microsoft Active Directory User Managementコネクタのアンインストール

コネクタのアンインストールでは、コネクタのリソース・オブジェクトに関連付けられているすべてのアカウント関連データを削除します。

なんらかの理由でコネクタをアンインストールする場合は、Oracle Identity Managerの管理のコネクタのアンインストールを参照してください。

ノート:

• 有効なアクセス・ポリシーがOracle Identity Managerに存在する場合、コネクタはアンインストールできません。回避策としては、Design Consoleを使用してダミーのリソース・タイプを作成します。依存アクセス・ポリシーをダミー・リソース・タイプに対して指定することで、依存アクセス・ポリシーを削除します。その後、削除する必要があるリソース・タイプから依存関係を除去します。

• コネクタをアンインストールすると、プロセス・フォームにアタッチしているITリソース定義(およびそのITリソース)のみが削除されます。ただし、コネクタ・サーバーのITリソース・タイプ定義のITリソースはOracle Identity Managerでは削除されません。