| Oracle® Identity Manager Database User Managementコネクタ・ガイド リリース11.1.1 B72411-10 |
|
 前 |
 次 |
この章は、次の項目が含まれます。
ノート:
この項では、コネクタの構成に関する、概念的な情報と手順の情報の両方を提供します。手順を実行する前に、概念的な情報を参照することをお薦めします。
Oracle Identity ManagerがMicrosoft Windowsコンピュータでホストされている場合、すでにインストールされているコネクタがあれば、新しいコネクタをインストールする前にコネクタ・バンドルのzipファイルを再度抽出する必要があります。
ノート:
この項で説明されている手順を実行し、ターゲット・システムおよびOracle Identity Manager間の通信を保護することをお薦めします。
MySQLとOracle Identity Manager間にセキュアな通信を構成するには、次のステップを実行します:
この項では、JDBC URLパラメータおよび接続プロパティ・パラメータについて説明します。この項に示す情報は、「ターゲット・システムのITリソースの構成」に記載されている手順を実行する際に適用してください。
JDBC URLパラメータおよび接続プロパティ・パラメータを指定する際のガイドラインを次に示します。
JDBC URLパラメータ
接続URLの次のコンポーネントをJDBC URLプロバイダの値として入力します。
jdbc:mysql://[SERVER_NAME][:PORT_NUMBER]/[DATABASE_NAME]
この書式の意味は次のとおりです:
SERVER_NAMEは、ターゲット・システムのホスト・コンピュータのIPアドレスです(ホスト名ではありません)。
PORT_NUMBERは、ターゲット・システム・データベースがリスニングしているポートです。
DATABASE_NAMEは、接続先のデータベース名です。
次に、データベースURLパラメータのサンプル値を示します。
jdbc:mysql://192.168.16.76:3306/information_schema
接続プロパティ・パラメータ
接続URLの次のコンポーネントを、接続プロパティ・パラメータの値として入力します。
[,PROPERTY=VALUE[,PROPERTY=VALUE]] . . .
この書式の意味は次のとおりです:
PROPERTYは、applicationNameやdisableStatementPoolingなど、1つ以上のデータベース接続プロパティの名前です。
VALUEは、PROPERTYプレースホルダを使用して名前を指定する各データベース接続プロパティの値です。
ノート:
指定する値では、セミコロンを番号記号(#)に変更する必要があります。
次に、接続プロパティ・パラメータのサンプル値を示します。
databaseName=information_schema#port=3306
MySQLとOracle Identity Managerの間のSSL通信を有効化するには、次のようにします。
ITリソースの「接続プロパティ」パラメータの値に次の値を追加します。
useSSL=true#requireSSL=true
たとえば、「接続プロパティ」パラメータの既存の値が次の値であるとします。
databaseName=information_schema#port=3306
この場合、MySQLとOracle Identity Managerの間のSSL通信を有効化するには、「接続プロパティ」パラメータの値を次のように設定する必要があります。
databaseName=information_schema#port=3306#useSSL=true#requireSSL=true
この項の内容は次のとおりです。
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を指定します。たとえば、「権限」参照フィールドを使用して、スキーマに割り当てる権限を使用可能な権限のリストから選択します。コネクタをデプロイすると、ターゲット・システムの参照フィールドに対応する参照定義がOracle Identity Managerに作成されます。参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
コネクタには、ターゲット・システムの参照フィールドからOracle Identity Managerの参照定義に値をフェッチするための事前定義済SQL問合せが用意されています。これらの事前定義済SQL問合せは、コネクタ・バンドルのLoVSearch.queriesファイルに格納されています。
参照定義の同期後、データは次の形式で保存されます。
コード・キー値: IT_RESOURCE_KEY~LOOKUP_FIELD_ID
この書式の意味は次のとおりです:
IT_RESOURCE_KEYは、Oracle Identity Managerの各ITリソースに割り当てられる数値コードです。
LOOKUP_FIELD_IDは、各参照フィールド・エントリに割り当てられるターゲット・システム・コードです。
サンプル値: 1~SYS_ADM
デコード値: IT_RESOURCE_NAME~LOOKUP_FIELD_ID
この書式の意味は次のとおりです:
IT_RESOURCE_NAMEは、Oracle Identity ManagerのITリソース名です。
LOOKUP_FIELD_IDは、各参照フィールド・エントリに割り当てられるターゲット・システム・コードです。
サンプル値: MySQL DB~SYS_ADM
Oracle Identity Self Serviceでプロビジョニング操作を実行する際、操作を実行するターゲット・システムのITリソースを選択します。このアクションを実行すると、ページの参照定義に、選択したITリソース(ターゲット・システム・インスタンス)に対応する値が自動的に移入されます。ターゲット・システムの複数のインストールが存在する環境では、すべてのITリソースに対応する値が表示されます。
using-and-extending-connector-mysql.htm#GUID-8D2F4DE7-1CBF-4BE3-8F59-8DD1A2F984DF__CHDDDBFEに、Oracle Identity Managerの対応する参照定義と同期されるMySQLの表の列名を示します。
表5-2 MySQLと同期される参照定義
| 参照定義 | ターゲット列名 |
|---|---|
Lookup.DBUM.MySQL.SchemaPrivileges |
Privilege |
この項では、コネクタのデプロイ時にOracle Identity Managerで作成される構成参照定義について説明します。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。
この項では、次の参照定義について説明します。
Lookup.DBUM.MySQL.Configuration参照定義には、ターゲット・リソースのリコンシリエーションおよびプロビジョニング操作時に使用されるコネクタ構成エントリが含まれます。
表5-3 Lookup.DBUM.MySQL.Configurationのエントリ
| コード・キー | デコード・キー | 説明 |
|---|---|---|
Bundle Name |
|
コネクタ・バンドル・パッケージの名前 このエントリは変更できません。 |
Bundle Version |
1.0.1116 |
コネクタ・バンドル・クラスのバージョン このエントリは変更できません。 |
Connector Name |
|
コネクタ・クラスの名前 このエントリは変更できません。 |
User Configuration Lookup |
Lookup.DBUM.MySQL.UM.Configuration |
ユーザー特有の構成プロパティを含む参照定義の名前 このエントリは変更できません。 |
Lookup.DBUM.MySQL.UM.Configuration参照定義には、ターゲット・リソースのリコンシリエーションおよびプロビジョニング操作時に使用されるユーザー固有のコネクタ構成エントリが含まれます。
表5-4 Lookup.DBUM.MySQL.UM.Configurationのエントリ
| コード・キー | デコード・キー |
|---|---|
Provisioning Attribute Map |
Lookup.DBUM.MySQL.UM.ProvAttrMap |
Provisioning Exclusion List |
Lookup.DBUM.MySQL.UM.ExclusionList |
Provisioning Validation Lookup |
Lookup.DBUM.MySQL.UM.ProvValidations |
Recon Validation Lookup |
Lookup.DBUM.MySQL.UM.ReconValidations |
Recon Attribute Map |
Lookup.DBUM.MySQL.UM.ReconAttrMap |
Recon Exclusion List |
Lookup.DBUM.MySQL.UM.ExclusionList |
Recon Transformation Lookup |
Lookup.DBUM.MySQL.UM.ReconTransformations |
Lookup.DBUM.MySQL.Configuration.Trusted参照定義には、信頼できるソース・モードでのリコンシリエーションおよびプロビジョニング操作時に使用されるコネクタ構成エントリが含まれます。
表5-5 Lookup.DBUM.MySQL.Configuration.Trustedのエントリ
| コード・キー | デコード・キー |
|---|---|
Bundle Name |
|
Bundle Version |
1.0.1116 |
Connector Name |
|
User Configuration Lookup |
Lookup.DBUM.MySQL.UM.Configuration.Trusted |
Lookup.DBUM.MySQL.UM.Configuration.Trusted参照定義には、信頼できるソース・モードでのリコンシリエーションおよびプロビジョニング操作時に使用されるユーザー固有のコネクタ構成エントリが含まれます。
表5-6 Lookup.DBUM.MySQL.UM.Configuration.Trustedのエントリ
| コード・キー | デコード・キー |
|---|---|
Recon Attribute Defaults |
Lookup.DBUM.MySQL.UM.ReconDefaults.Trusted |
Recon Attribute Map |
Lookup.DBUM.MySQL.UM.ReconAttrMap.Trusted |
Recon Validation Lookup |
Lookup.DBUM.MySQL.UM.ReconValidations.Trusted |
Recon Exclusion List |
Lookup.DBUM.MySQL.UM.ExclusionList.Trusted |
Recon Transformation Lookup |
Lookup.DBUM.MySQL.UM.ReconTransformations.Trusted |
この項では、次の参照定義について説明します。
Lookup.DBUM.MySQL.UM.ProvAttrMap参照定義には、プロビジョニング操作時に使用されるプロセス・フォーム・フィールド(「コード・キー」の値)とターゲット・システム属性(「デコード」の値)の間のユーザー固有マッピングが含まれます。
表5-7 Lookup.DBUM.MySQL.UM.ProvAttrMapのエントリ
| コード・キー | デコード・キー |
|---|---|
Return Id |
__UID__ |
UD_DB_MYS_P~Privilege[LOOKUP] |
privileges~DBPrivilege~__NAME__ |
User Name |
__NAME__ |
User Password |
__PASSWORD__ |
Lookup.DBUM.MySQL.UM.ReconAttrMap参照定義には、リコンシリエーション操作時に使用される、リソース・オブジェクト内に指定されているリコンシリエーション属性名(「コード・キー」の値)とターゲット・システム属性(「デコード」の値)の間のユーザー固有マッピングが含まれます。
表5-8 Lookup.DBUM.MySQL.UM.ReconAttrMapのエントリ
| コード・キー | デコード・キー |
|---|---|
Privilege List~Privilege Name[LOOKUP] |
privileges~DBPrivilege~__NAME__ |
Return ID |
__UID__ |
User Name |
__UID__ |
Lookup.DBUM.MySQL.UM.ReconAttrMap.Trusted参照定義には、信頼できるソース・モードでのリコンシリエーション操作時に使用される、リソース・オブジェクト内に指定されているリコンシリエーション属性名(「コード・キー」の値)とターゲット・システム属性(「デコード」の値)の間のユーザー固有マッピングが含まれます。
表5-9 Lookup.DBUM.MySQL.UM.ReconAttrMap.Trustedのエントリ
| コード・キー | デコード・キー |
|---|---|
First Name |
__NAME__ |
User ID |
__UID__ |
この参照定義には、Oracle Identity Managerユーザー属性のデフォルト値が含まれます。これらの値は、要件に応じて変更できます。
たとえば、信頼できるソースからリコンサイルされたユーザーをMyORG組織の一部にする場合は、参照定義エントリを次のようにマップします。
コード・キー = Organization Name
デコード = MyORG (Xellerate Usersでない)
表5-10 Lookup.DBUM.MySQL.UM.ReconDefaults.Trustedのエントリ
| コード・キー | デコード・キー |
|---|---|
Empl Type |
Full-Time |
Organization Name |
Xellerate Users |
Status |
Active |
User Type |
End-User |
この項では、プロビジョニングおよびリコンシリエーション操作の実行から除外するリソースが含まれる参照定義について説明します。除外は、プロセス・フォームまたはリコンシリエーション・プロファイル内の任意の属性に適用できます。コード・キー値は、Lookup.DBUM.MySQL.UM.ReconAttrMapまたはLookup.DBUM.MySQL.UM.ProvAttrMap参照定義内のコード・キー値のいずれかである必要があります。
ターゲット・システムの構成内容に応じて、次のいずれかの参照を使用できます。
ターゲット・リソース・モードの場合: Lookup.DBUM.MySQL.UM.ExclusionList
デフォルトでは、この参照定義には次のエントリが含まれます。
| コード・キー | デコード |
|---|---|
User Name |
root |
信頼できるソース・モードの場合: Lookup.DBUM.MySQL.UM.ExclusionList.Trusted
デフォルトでは、この参照定義には次のエントリが含まれます。
| コード・キー | デコード |
|---|---|
User ID |
root |
これらの参照に格納されている値の形式は次のとおりです。
| コード・キー | デコード | サンプル値 |
|---|---|---|
User Name |
ユーザーのUser ID |
コード・キー: User Name デコード: User001 |
User Name (接尾辞[PATTERN]付き) |
|
コード・キー: User Name[PATTERN] ユーザーID User001、User002、User088のいずれかに一致するユーザーを除外するには: デコード: User001|User002|User088 ユーザーIDが00012で始まるユーザーを除外するには: デコード: 00012* 関連項目: サポートされるパターンの詳細は、 |
これらの参照定義にエントリを追加する手順は、「MySQLでのリソース除外リストの構成」を参照してください。
この項では、リコンシリエーション操作時のデータ変換を有効にするリソースが含まれる参照定義について説明します。
ターゲット・システムの構成内容に応じて、次のいずれかの参照定義を使用します。
ターゲット・リソース・モードの場合: Lookup.DBUM.MySQL.UM.ReconTransformations
信頼できるソース・モードの場合: Lookup.DBUM.MySQL.UM.ReconTransformations.Trusted
これらの参照定義にエントリを追加する手順は、「MySQLでのユーザー・リコンシリエーション時のデータ変換の構成」を参照してください。
Lookup.DBUM.MySQL.UM.ProvValidations参照を使用すると、プロビジョニング操作時のデータ検証を構成できます。
この参照定義にエントリを追加する手順は、「MySQLでのリコンシリエーションおよびプロビジョニング時のデータ検証の構成」を参照してください。
コネクタ・インストーラを実行した場合、またはコネクタXMLファイルをインポートした場合、スケジュール済ジョブがOracle Identity Managerに自動的に作成されます。
この節では、以下のトピックについて説明します。
参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
DBUM MySQL Privilege Type Lookup Reconciliationスケジュール済ジョブは、参照フィールドの同期に使用されます。
このスケジュール済ジョブの属性に値を指定する必要があります。using-and-extending-connector-mysql.htm#GUID-334BDE33-5F87-4257-B416-15B6E704DF66__CIHFGJDEで、このスケジュール済ジョブの属性について説明します。スケジュール済ジョブの構成手順は、このガイドで後述します。
表5-11 参照フィールド同期用のスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
コード・キー属性 |
参照定義のコード・キー列を移入するのに使用する、コネクタの名前またはターゲット・システム属性を入力します(「参照名」属性の値として指定)。 サンプル値: ノート: この属性の値は変更しないでください。 |
デコード属性 |
参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用される、コネクタまたはターゲット・システムの属性の名前を入力します。 サンプル値: |
ITリソース名 |
ユーザー・レコードのリコンサイル元のターゲット・システム・インストールの、ITリソース名を入力します。 デフォルト値: |
参照名 |
この属性は、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。 デフォルト値: |
オブジェクト・タイプ |
同期させる必要のある値を含むオブジェクトのタイプを入力します。 デフォルト値: __PRIVILEGES__ ノート: この属性の値は変更しないでください。 |
リソース・オブジェクト名 |
リコンシリエーションに使用されるリソース・オブジェクトの名前を入力します。 デフォルト値: |
コネクタのターゲット・リソース(アカウント管理)モードでユーザー・データをリコンサイルする場合は、次のスケジュール済ジョブを使用します。
DBUM MySQL User Target Reconciliation
DBUM MySQL Delete User Target Reconciliation
コネクタの信頼できるソース(アイデンティティ管理)モードでユーザー・データをリコンサイルする場合は、次のスケジュール済ジョブを使用します。
DBUM MySQL User Trusted Reconciliation
DBUM MySQL Delete User Trusted Reconciliation
using-and-extending-connector-mysql.htm#GUID-2C65E1A3-9537-43D0-8260-2C956D7E06CF__CIHBDGFEで、ユーザー操作のスケジュール済ジョブの属性について説明します。
表5-12 リコンシリエーション用のスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
バッチ・サイズ |
バッチ・モードでスケジュール済ジョブを実行するための値。 デフォルトでは、この値は空です。 |
フィルタ |
スケジュール済ジョブによりリコンサイルする必要のあるレコードをフィルタリングするための式 デフォルトでは、この属性の値は空です。 サンプル値: この式の構文は、「MySQLからの制限付きリコンシリエーションの実行」を参照してください。 |
ITリソース名 |
ユーザー・レコードをリコンサイルする元のターゲット・システム・インストールのITリソースの名前 DBUM MySQL User Target Reconciliationの場合: DBUM MySQL User Trusted Reconciliationの場合は、信頼できるソース・モードに対して作成されたITリソースの名前を入力します。 |
オブジェクト・タイプ |
リコンサイルするオブジェクトのタイプ デフォルト値: |
リソース・オブジェクト名 |
リコンシリエーションに使用されるリソース・オブジェクトの名前 DBUM MySQL User Target Reconciliationの場合: DBUM MySQL User Trusted Reconciliationの場合: |
スケジュール済タスク名 |
スケジュール済ジョブの名前 ノート: このコネクタに組み込まれているスケジュール済ジョブについては、この属性の値を変更することはできません。ただし、タスクのコピーを作成した場合は、この属性の値として、そのスケジュール済ジョブに一意の名前を入力できます。 |
using-and-extending-connector-mysql.htm#GUID-2C65E1A3-9537-43D0-8260-2C956D7E06CF__CIHFFEDBで、削除操作のスケジュール済ジョブの属性について説明します。
表5-13 削除操作用のスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
ITリソース名 |
ユーザー・レコードをリコンサイルする元のターゲット・システム・インストールのITリソースの名前 DBUM MySQL Delete User Target Reconciliationの場合: DBUM MySQL Delete User Trusted Reconciliationの場合は、信頼できるソース・モードに対して作成されたITリソースの名前を入力します。 |
オブジェクト・タイプ |
リコンサイルするオブジェクトのタイプ デフォルト値: |
リソース・オブジェクト名 |
リコンシリエーションに使用されるリソース・オブジェクトの名前 DBUM MySQL Delete User Target Reconciliationの場合: DBUM MySQL Delete User Trusted Reconciliationの場合: |
この手順は、参照フィールド同期およびリコンシリエーション用のスケジュール済ジョブを構成する場合に適用できます。
コネクタに組み込まれているスケジュール済ジョブ、およびそれらの属性の詳細は、「MySQLでの参照フィールド同期用のスケジュール済ジョブ」および「MySQLでのスケジュール済ジョブの属性」を参照してください。
スケジュール済ジョブを構成するには:
Oracle Identity Managerリリース11.1.1.xの場合:
管理およびユーザー・コンソールにログインします。
「Oracle Identity Managerセルフ・サービスへようこそ」ページの右上隅で、「拡張」をクリックします。
「Oracle Identity Manager拡張管理へようこそ」ページの「システム管理」領域で、「スケジュール済ジョブの検索」をクリックします。
Oracle Identity Managerリリース11.1.2.x以降を使用している場合:
Oracle Identity System Administrationにログインします。
左ペインの「システム管理」で、「スケジューラ」をクリックします。
次のように、スケジュール済ジョブを検索して開きます。
左ペインの「検索」フィールドに、スケジュール済ジョブの名前を検索基準として入力します。「拡張検索」をクリックして検索基準を指定することもできます。
左側のペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
「ジョブの詳細」タブでは、次のパラメータを変更できます。
再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。
ノート:
スケジュール・タイプの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のジョブの作成を参照してください。
ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。
「パラメータ」リージョンの「ジョブの詳細」タブで、スケジュール済ジョブの属性の値を指定します。
ノート:
属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。
スケジュール済ジョブの属性の詳細は、「MySQLでのスケジュール済ジョブの属性」を参照してください。
属性の指定後、「適用」をクリックして変更を保存します。
このガイドで前述したように、リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Managerで複製することです。この項では、リコンシリエーションの構成に関する次の項目について説明します。
リコンシリエーションを構成する際に適用する必要があるガイドラインを次に示します。
ターゲット・リソースのリコンシリエーションを実行する前に、参照定義がターゲット・システムの参照フィールドと同期している必要があります。つまり、ユーザー・リコンシリエーションの実行前に、参照フィールド同期用のスケジュール済ジョブを実行する必要があります。
バッチ・リコンシリエーションを構成した後、バッチ・リコンシリエーション実行中にリコンシリエーションが失敗した場合は、タスク属性の値を変更せずにスケジュール済ジョブを再実行します。
このコネクタは、信頼できるソース・リコンシリエーションまたはターゲット・リソース・リコンシリエーションを実行するように構成できます。
ターゲット・システムをターゲット・リソースとして構成すると、コネクタでは、プロビジョニングを介してOIMユーザーのデータベース・アカウントを作成して管理できます。また、新たに作成または変更されたターゲット・システム・アカウントに関連するデータをリコンサイルして、既存のOIMユーザーやプロビジョニングされたリソースにリンクすることができます。
ターゲット・システムを信頼できるソースとして構成すると、コネクタでは、新しく作成されたターゲット・システム・アカウントに関するデータがOracle Identity Managerにフェッチされます。このデータは、OIMユーザーを作成するために使用されます。詳細は、「信頼できるソースとしてのターゲット・システムの構成」を参照してください。
関連項目:
ターゲット・リソース・リコンシリエーションおよび信頼できるソース・リコンシリエーションに関する概念的な情報は、『Oracle Fusion Middleware Oracle Identity Managerの管理』のリコンサイル対象オブジェクトに基づくリコンシリエーションに関する項を参照してください。
リコンシリエーションで行われるステップの概要を次に示します。
リコンシリエーション中、SQL問合せまたはストアド・プロシージャを使用してターゲット・システム・レコードがフェッチされます。
スケジュール済ジョブはコネクタ・バンドルと通信して、コネクタ・バンドルで検索操作を実行し、タスク属性をリコンシリエーション問合せまたはストアド・プロシージャのパラメータにマップしてから、その問合せまたはストアド・プロシージャをターゲット・システムで実行します。
問合せまたはストアド・プロシージャの基準を満たすターゲット・システム・レコードがOracle Identity Managerにフェッチされます。
ターゲット・システムを信頼できるソースとして構成した場合、ターゲット・システムからフェッチされた各ユーザー・レコードは、既存のOIMユーザーと比較されます。この比較プロセスでリコンシリエーション・ルールが適用されます。
プロセスの次のステップは、比較の結果によって異なります。
ターゲット・システムとOIMユーザーの一致が見つかった場合、ターゲット・システム・レコードに対して行われた変更内容でOIMユーザー属性が更新されます。
一致が見つからない場合、ターゲット・システム・レコードを使用してOIMユーザーが作成されます。
ターゲット・システムをターゲット・リソースとして構成した場合、ターゲット・システムからフェッチされた各ユーザー・レコードは、OIMユーザーに割り当てられている既存のターゲット・システム・リソースと比較されます。この比較プロセスでリコンシリエーション・ルールが適用されます。
プロセスの次のステップは、比較の結果によって異なります。
ターゲット・システム・レコードとOIMユーザーにプロビジョニングされたリソースの一致が見つかった場合、ターゲット・システム・レコードに対して行われた変更内容でデータベース・ユーザー・リソースが更新されます。
一致しない場合、ターゲット・システムのユーザー・レコードが既存のOIMユーザーと比較されます。次のステップは、比較の結果によって異なります。
一致する場合、ターゲット・システムのレコードが使用され、リソースがOIMユーザーのためにプロビジョニングされます。
一致しない場合、リコンシリエーション・イベントのステータスが「一致するものが見つかりません」に設定されます。
ノート:
リコンシリエーション・ルールの詳細は、「MySQLでのリコンシリエーション・ルール」を参照してください
このガイドで前述したように、このコネクタは、ターゲット・リソースのリコンシリエーションまたは信頼できるソースのリコンシリエーションを実行するように構成できます。この項では、次の項目について説明します。
Lookup.DBUM.MySQL.UM.ReconAttrMap参照定義には、ユーザー・リコンシリエーション用の属性マッピングが含まれます。この参照定義には、Oracle Identity Manager属性とコネクタ属性のマッピングが含まれます。
詳細は、「Lookup.DBUM.MySQL.UM.ReconAttrMap」を参照してください。
Lookup.DBUM.MySQL.UM.ReconAttrMap.Trusted参照定義には、信頼できるモードでのリコンシリエーション用の属性マッピングが含まれます。この参照定義では、リコンシリエーション問合せで使用されるリコンシリエーション・プロファイル属性とコネクタ属性がマップされています。さらに、コネクタ属性がバンドル内の列に関連付けられています。
この参照定義の詳細は、「Lookup.DBUM.MySQL.UM.ReconAttrMap.Trusted」を参照してください。
ノート:
ターゲット・システムをリコンシリエーションの信頼できるソースとして指定しない場合は、この項を省略します。
信頼できるソース・リコンシリエーションを構成するには、次のようにします:
Oracle Identity Managerリリース11.1.1.xを使用している場合:
管理およびユーザー・コンソールにログインします。
ようこそページで、ページの右上隅の「拡張」をクリックします。
「Identity Manager拡張管理へようこそ」ページの「構成」リージョンで、「ITリソースの作成」をクリックします。
Oracle Identity Managerリリース11.1.2.x以降を使用している場合:
Oracle Identity System Administrationにログインします。
左側のペインの「構成」で、「ITリソース」をクリックします。
「ITリソースの管理」ページで、「ITリソースの作成」をクリックします。
「ステップ1: ITリソース情報の入力」ページで、次の情報を入力します。
ITリソース名: ITリソースの名前を入力します。たとえば、MySQL DB Trustedなどです。
ITリソース・タイプ: ITリソースのITリソース・タイプとして「MySQL DB」を選択します。
「続行」をクリックします。
「ステップ2: ITリソース・パラメータ値の指定」ページで、ITリソースのパラメータの値を指定します。
構成参照: ターゲット・システムのコネクタ構成情報を格納する参照定義の名前。
サンプル値: Lookup.DBUM.MySQL.Configuration.Trusted
他のITリソース・パラメータの値を指定します。
「続行」をクリックします。
次のステップでは、要件に応じて作成するITリソースに対する権限を指定します。
このITリソースは、信頼できるソースのリコンシリエーション操作に対して使用できます。
関連項目:
リコンシリエーション・ルールおよびリコンシリエーション・アクション・ルールの詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のリコンシリエーション・メタデータに関する項を参照してください
この項では、このコネクタのリコンシリエーション・エンジンによって使用されるリコンシリエーション・ルールについて説明します。
次に、ターゲット・リソースのリコンシリエーションのリコンシリエーション・ルールを示します。
ルール名: DBUM MySQL Target Recon
ルール要素: User Login Equals User Name
信頼できるソースのリコンシリエーションのリコンシリエーション・ルールを次に示します。
ルール名: MySQL DB Trusted
ルール要素: User Login Equal User ID
これらのルール要素の詳細は次のとおりです。
User Loginは、OIMユーザー・フォームのフィールドです。
User NameとUser IDは、ターゲット・システムのフィールドです。
コネクタのデプロイ後、次のステップを実行して、リコンシリエーションのリコンシリエーション・ルールを表示できます。
ノート:
次の手順は、コネクタのデプロイ後にのみ実行してください
リコンシリエーション・アクション・ルールでは、ユーザーに対して定義されたリコンシリエーション・ルールに基づいてコネクタが実行する必要があるアクションが定義されます。
using-and-extending-connector-mysql.htm#GUID-E378B228-3CD6-4810-B5D8-E945B2B386B7__CHDCEIBFに、ターゲット・リソース・リコンシリエーションのアクション・ルールを示します。
表5-14 ターゲット・リソースのリコンシリエーションのアクション・ルール
| ルール条件 | アクション |
|---|---|
一致が見つからなかった場合 |
最小ロードの管理者への割当て |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
using-and-extending-connector-mysql.htm#GUID-E378B228-3CD6-4810-B5D8-E945B2B386B7__CHDCBFFCに、信頼できるソース・リコンシリエーションのアクション・ルールを示します。
表5-15 信頼できるソースのリコンシリエーションのアクション・ルール
| ルール条件 | アクション |
|---|---|
一致が見つからなかった場合 |
ユーザーの作成 |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
コネクタのデプロイ後に次のステップを実行すると、ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルールを表示できます。
完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Managerへリコンサイルします。コネクタのデプロイ後は、まず完全リコンシリエーションを実行する必要があります。
完全リコンシリエーションを実行するには、Filter属性に現在割り当てられている値を削除し、次のいずれかのスケジュール済ジョブを実行します。
ターゲット・リソースとしてのMySQLの場合: DBUM MySQL User Target Reconciliation
信頼できるソースとしてのMySQLの場合: DBUM MySQL User Trusted Reconciliation
このスケジュール済ジョブの詳細は、「MySQLでのスケジュール済ジョブの属性」を参照してください。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
リコンシリエーション・モジュールのフィルタを作成して、制限付きリコンシリエーションを実行できます。このコネクタのFilter属性(スケジュール済タスクの属性)により、任意のDBUMリソース属性を使用してターゲット・システム・レコードをフィルタ処理できます。フィルタは、コネクタ・インストール・メディアのbundleディレクトリにあるJARファイルに格納されているリコンシリエーション問合せファイル内の親パラメータに適用できます。たとえば、リコンシリエーション問合せファイルを見つけるには、bundle/org.identityconnectors.dbum-1.0.1116.jarファイルを抽出し、scripts/mysql/Search.queriesを開きます。
次の表に、スケジュール済ジョブのFilter属性で使用できる親パラメータの説明を示します。
| パラメータ | 説明 |
|---|---|
__UID__ |
ユーザーを表す固有の識別子 このパラメータは、USERNAMEまたは__NAME__コネクタ属性にマップされます。 |
ICFフィルタの詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のICFフィルタの構文に関する項を参照してください。
コネクタをデプロイする際に、「MySQLでのスケジュール済ジョブの構成」に示されている手順に従って属性値を指定します。
リコンシリエーションの実行中に、ターゲット・システム・レコードのすべての変更内容がOracle Identity Managerにリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。
これらの問題を避けるため、バッチ・リコンシリエーションを構成できます。
バッチ・リコンシリエーションを構成するには、リコンシリエーションのスケジュール済ジョブ属性「バッチ・サイズ」に値を指定する必要があります。この属性を使用して、各バッチに含めるレコード数を指定します。デフォルトでは、この値は空です。
All以外の値を指定した場合、新規追加または修正されたユーザー・レコードの一部は、その回のリコンシリエーション中にはリコンサイルされない可能性があります。次に、この例を示します。
スケジュール済ジョブの構成時に「バッチ・サイズ」値を200に指定するとします。前回のリコンシリエーション実行後に、314件のユーザー・レコードが作成または修正されたとします。これら314レコードのうち、200レコードが今回のリコンシリエーション実行中にリコンサイルされます。残りの114レコードは、次回のリコンシリエーション実行中にリコンサイルされます。
「MySQLでのスケジュール済ジョブの構成」で説明されている手順に従って、「バッチ・サイズ」属性に値を指定します。
プロビジョニングでは、Oracle Identity Managerを介して、ターゲット・システムでユーザー・アカウントを作成または変更します。
この項では、プロビジョニングに関する次の項目について説明します。
プロビジョニング操作を実行する際に適用する必要があるガイドラインを次に示します。
プロビジョニング操作を実行する前に、参照定義がターゲット・システムの参照フィールドと同期している必要があります。つまり、プロビジョニング操作の前に、参照フィールド同期用のスケジュール済ジョブを実行してください。
Oracle Identity Managerからプロビジョニングされるユーザー・アカウントのパスワードは、ターゲット・システムで設定されたパスワード・ポリシーに従う必要があります。
ターゲット・システム・フィールドの文字長を考慮に入れた上で、対応するOracle Identity Managerフィールドの値を指定する必要があります。
パスワード更新のプロビジョニング操作時に、「パスワード」フィールド内の既存のテキストを消去してから、新しいパスワードを入力してください。
プロビジョニングでは、ユーザー・アカウントが作成および管理されます。データベース・リソースをOIMユーザーに割り当てる(プロビジョニングする)と、そのユーザーのターゲット・データベースにアカウントが作成されます。同様に、Oracle Identity Managerでリソースを更新すると、ターゲット・システムのアカウントが同じように更新されます。
Oracle Identity Managerにコネクタをインストールするときに、直接プロビジョニング機能は自動的に有効になります。すなわち、コネクタをインストールすると、プロセス・フォームが有効になります。
次にプロビジョニング操作のタイプを示します。
ダイレクト・プロビジョニング
リクエストベースのプロビジョニング
ポリシー変更でトリガーされるプロビジョニング
リクエストベース・プロビジョニングのためにコネクタを構成した場合、プロセス・フォームが抑制されてオブジェクト・フォームが表示されます。すなわち、コネクタにリクエストベースのプロビジョニングを構成すると、ダイレクト・プロビジョニングは無効になります。ダイレクト・プロビジョニングに戻す場合は、「MySQLでのリクエストベースのプロビジョニングとダイレクト・プロビジョニングとの切替え」を参照してください。
ダイレクト・プロビジョニングによって開始されるMySQLでの「ユーザーの作成」プロビジョニング・プロセスの概要を次に示します。
管理およびユーザー・コンソールの「ユーザーの作成」ページで、管理者がOIMユーザー・アカウントの作成に必要なデータを入力します。
管理者が「ユーザーの作成」ページのフィールドに次の値を入力するとします。
名: John
姓: Doe
ユーザーID: jdoe
John Doeに対するOIMユーザー・アカウントが作成されます。
管理者は、作成されたOIMユーザー・アカウントにプロビジョニングするリソースを選択します。この例では、管理者はMySQL DB Userリソースを選択します。
管理者は、MySQL DB Userリソースのプロビジョニングに必要なデータを入力します。管理者が、データベースへのログインにパスワードを必要とするローカル・ユーザーを作成するとします。したがって、この管理者はリソース・プロビジョニング・プロセス・フォームに次の値を入力します。
ITリソース: MySQL DB
ユーザー名: JDoe
ユーザー・パスワード: my_pa55word
さらに、管理者は、権限を付与するために次の値をプロセス・フォームに入力します。
権限: SELECT ON information_schema
ターゲット・システムのITリソースで使用可能な情報から、構成(Lookup.DBUM.MySQL.Configuration)参照定義が特定されます。この参照定義には、コネクタ操作時に使用される構成情報が格納されています。
コネクタ・バンドルには、プロビジョニング操作に必要なスクリプト(Provisioning.queries)が含まれています。
SQL文の識別子は、問合せからフェッチされた入力パラメータで置換されます。次に、実際の値を含むSQL文が作成されます。
コネクタによってMySQLでSQL文が実行され、ターゲット・システムにjdoeアカウントが作成されます。プロセスの次のステップは、管理者がターゲット・システム・アカウントに権限を付与するためのデータを入力したかどうかによって異なります。
管理者が権限を付与するための値を入力していない場合、プロビジョニング・プロセスはこの時点で終了します。それ以外の場合、プロセスは次のステップに進みます。
ステップ3の実行中に、管理者は、jdoeアカウントに権限を付与するために必要なデータを入力しました。したがって、ステップ6に示した対応する問合せが読み取られます。
権限追加のプロビジョニング操作を実行するために実行する必要がある完全なSQL文が作成されます。
SQL文の実行に必要な入力パラメータが、問合せファイル内の問合せを使用して行われたパラメータ構成からフェッチされます。
(ステップ9で作成された) SQL文の識別子が、問合せからフェッチされた入力パラメータで置換されます。次に、実際の値を含むSQL文が作成されます。
問合せによってターゲット・システム(MySQL)でSQL文が実行され、jdoeターゲット・システム・アカウントに権限が付与されます。
ダイレクト・プロビジョニングでは、Oracle Identity Manager管理者は、管理およびユーザー・コンソールを使用してユーザーにターゲット・システム・アカウントを作成します。
ダイレクト・プロビジョニングの手法を使用してリソースをプロビジョニングするには、次の手順を実行します。
管理およびユーザー・コンソールにログインします。
データベース・アカウントをユーザーにプロビジョニングする前にOIMユーザーを作成するには:
「アイデンティティ管理へようこそ」ページの「ユーザー」リージョンで「ユーザーの作成」をクリックします。
「ユーザーの作成」ページで、OIMユーザーのフィールドに値を入力し、保存アイコンをクリックします。
プロビジョニングする既存のOIMユーザーを検索するには:
「アイデンティティ管理へようこそ」ページの左ペインにある「検索」リストから「ユーザー」を選択して、ユーザーを検索します。
あるいは、「ユーザー」リージョンで「拡張検索 - ユーザー」をクリックして検索基準を指定し、「検索」 をクリックします。
検索結果として表示されるユーザー・リストからOIMユーザーを選択します。
「ユーザーの詳細」ページが表示されます。
「アクション」メニューから「リソースの追加」を選択します。あるいは、プラス(+)記号の付いた「リソースの追加」アイコンをクリックします。「ユーザーへのリソースのプロビジョニング」ページが新しいウィンドウに表示されます。
「ステップ1: リソースの選択」ページで、リストからMySQL DB Userリソースを選択し、「続行」をクリックします。
「ステップ2: リソースの選択の検証」ページで「続行」をクリックします。
「ステップ5: プロセス・データの指定」ページで、ターゲット・システムに作成するアカウントの詳細を入力し、「続行」をクリックします。
子データを指定する場合は、子データの「ステップ5: プロセス・データの指定」ページで、ターゲット・システムのユーザーの子データを選択し、「続行」をクリックします。複数の子データが存在し、それらをプロビジョニングする場合は、同じステップを繰り返します。
「ステップ6: プロセス・データの検証」ページで、指定したデータを確認して「続行」をクリックします。
「プロビジョニングは開始されています。」というメッセージが表示されます。次のステップを実行します。
「プロビジョニングは開始されています。」というメッセージを表示しているウィンドウを閉じます。
「リソース」タブで「リフレッシュ」をクリックして、新たにプロビジョニングされたリソースを表示します。
リソースのステータスが「プロビジョニング済」になっていれば、プロビジョニングは成功しています。ステータスが「プロビジョニング」の場合は、エラーが発生した可能性があります。エラーが発生したかどうかを確認するには、リソース履歴を確認できます。
次の項で、リクエストベースのプロビジョニングを可能にするために実行するステップについて説明します。
リクエストベースのプロビジョニングでは、エンドユーザーが管理およびユーザー・コンソールを使用して、リソースのリクエストを作成します。管理者または他のユーザーが、特定のユーザーのためにリクエストを作成することもできます。特定のリソースのリクエストを確認して承認できるのは、Oracle Identity Managerで指名された承認者です。
リクエストベースのプロビジョニングの機能は次のとおりです。
1ユーザーにプロビジョニングできるのはターゲット・システムの1リソース(アカウント)のみです。
ノート:
ダイレクト・プロビジョニングでは、ターゲット・システムでの複数のデータベース・アカウントのプロビジョニングが可能です。
リクエストベースのプロビジョニングを有効にすると、直接プロビジョニングは使用できません。
次の各項では、リクエストベースのプロビジョニングを有効にするために実行する必要がある手順について説明します:
ノート:
この項で説明する手順は、Oracle Identity Managerリリース11.1.1.xを使用している場合にのみ適用できます。
リクエスト・データセットは、プロビジョニング操作中にリクエスタにより送信される情報を指定するXMLファイルです。これらのリクエスト・データセットで、リクエストベースのプロビジョニング操作中にリクエスタにより送信される必要のある属性のデフォルト・セットの情報を指定します。
デプロイメント・マネージャを使用してリクエスト・データセットXMLファイルをインポートするには、次のようにします。
自動保存フォーム機能を有効化するには:
PurgeCacheユーティリティを実行して、メタデータ・カテゴリに属するコンテンツをサーバー・キャッシュから消去します。
手順は、「サーバー・キャッシュからのコネクタ・リソース・バンドル関連コンテンツの消去」を参照してください。
リクエストベースのプロビジョニングを有効にする手順は、このステップで終了です。
リクエストベースのプロビジョニング用にコネクタを構成した場合は、いつでも直接プロビジョニングに切り替えることができます。同様に、いつでもリクエストベースのプロビジョニングに戻すことができます。この項では、次の項目について説明します。
ノート:
「MySQLでのリクエストベースのプロビジョニングの構成」で説明されている手順をすでに実行したことが前提となっています。
リクエストベースのプロビジョニングからダイレクト・プロビジョニングに切り替えるには、次の手順を実行します。
Design Consoleにログインします。
次の手順で、「Auto Save Form」機能を無効にします。
「Process Management」を開いて「Process Definition」をダブルクリックします。
MySQL DBプロセス定義を検索して開きます。
「Auto Save Form」チェック・ボックスを選択解除します。
保存アイコンをクリックします。
「Self Request Allowed」機能が有効になっている場合は、次の操作を行います。
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
MySQL DB Userリソース・オブジェクトを検索して開きます。
「Self Request Allowed」チェック・ボックスを選択解除します。
保存アイコンをクリックします。
ダイレクト・プロビジョニングからリクエストベースのプロビジョニングに戻すには、次の手順を実行します。
Design Consoleにログインします。
次の手順で、Auto Save Form機能を有効にします。
「Process Management」を開いて「Process Definition」をダブルクリックします。
MySQL DBプロセス定義を検索して開きます。
「Auto Save Form」チェック・ボックスを選択します。
保存アイコンをクリックします。
エンドユーザーが自分自身に対するリクエストを生成できるようにするには、次の手順を実行します。
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
MySQL DB Userリソース・オブジェクトを検索して開きます。
「Self Request Allowed」チェック・ボックスを選択します。
保存アイコンをクリックします。
Oracle Identity Managerリリース11.1.2.xでプロビジョニング操作を実行するには:
Identity Self Serviceにログインします。
まずOIMユーザーを作成してから、ターゲット・システム・アカウントをプロビジョニングする場合は、次の操作を行います。
ノート:
ユーザーの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のユーザーの作成に関する項を参照してください。
左ペインの「管理」で、「ユーザー」をクリックします
「ユーザーの検索」ページが表示されます。
「アクション」メニューから、「作成」を選択しますまたは、ツールバーにある「作成」をクリックします。
「ユーザーの作成」ページで、OIMユーザーのフィールドの値を入力し、「送信」をクリックします。ユーザーが正常に作成されたことを示すメッセージが表示されます。
ターゲット・システム・アカウントを既存のOIMユーザーにプロビジョニングする場合は、次の操作を行います。
ノート:
ユーザーの検索の詳細は、Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行のユーザーの検索に関する項を参照してください。
左ペインの「管理」で、「ユーザー」をクリックします。
「ユーザーの検索」ページが表示されます。
OIMユーザーを検索するための検索条件を指定して、「検索」をクリックします。
検索結果として表示されるユーザー・リストからOIMユーザーを選択します。右ペインに、ユーザー詳細ページが表示されます。
「アカウント」タブで、「アカウントのリクエスト」をクリックします。
「カタログ」ページで、アプリケーション・インスタンス(つまり、プロビジョニングするアカウント)を検索してカートに追加し、「チェックアウト」をクリックします。
アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします。
「送信」をクリックします。
権限をプロビジョニングする場合は、次の手順を実行します。
「権限」タブで、「権限のリクエスト」をクリックします。
「カタログ」ページで、権限を検索してカートに追加し、「チェックアウト」をクリックします。
「送信」をクリックします。
次の各項では、特定のビジネス要件に対応できるようコネクタの機能を拡張するために実行可能な手順について説明します。
ノート:
Oracle Identity Managerリリース11.1.2以降では、参照問合せはサポートされません。Identity System Administrationでフォーム・デザイナを使用して参照を管理する方法の詳細は、『Oracle Fusion Middleware Oracle Identity Managerの管理』の参照の管理に関する項を参照してください。
次の各項では、事前定義済問合せの変更または新しい問合せの作成を行うときに従う必要がある構文およびガイドラインについて説明します:
ターゲット・システムのユーザー・レコードのリコンサイル、Oracle Identity Managerと参照フィールド値との同期、およびプロビジョニング操作を行うための事前定義済問合せが用意されています。これらの事前定義済問合せを変更したり、独自の問合せを追加することができます。
問合せファイルは、コネクタ・インストール・メディアのbundleディレクトリにあるJARファイルに含まれています。たとえば、bundle/org.identityconnectors.dbum-1.0.1116.jarなどです。
コネクタには次のタイプの問合せが含まれています。
プロビジョニング問合せ
作成、更新および削除の操作で使用されます。問合せファイルはscripts/mysql/Provisioning.queriesです。
値リスト検索問合せ
参照定義のリコンシリエーションで使用されます。値リスト問合せは、プロファイル、権限、ロール、表領域などのフィールドの値セットに対して使用します。問合せファイルはscripts/mysql/LoVSearch.queriesです。
アカウント検索問合せ
完全リコンシリエーション操作および削除リコンシリエーション操作で使用されます。アカウント検索問合せは、様々な条件でのアカウント検索およびグループ検索に対して使用します。問合せファイルはscripts/mysql/Search.queriesです。
ノート:
プロセス・フォームでライトバック用にストアド・プロシージャOUTパラメータを構成することはできません。戻された値をコネクタ操作に使用することはできません。
プロビジョニング操作で使用される問合せの構文は、次のとおりです。
QUERYID {
Query="QUERY"
QueryType="QUERYTYPE"
Parameters=["PARAM1":"PARAMDEFN1", "PARAM2":"PARAMDEFN2"...]
ExtensionJoin="EXTENSIONJOIN"
ExtensionSeparator="EXTENSIONSEPARATOR"
QueryExtensions=["EXTENSION1","EXTENSION2"...]
}
次に例を示します:
CREATE_USER {
Query="CREATE USER {__NAME__} IDENTIFIED BY {__PASSWORD__}"
QueryType="SQL"
Parameters=["__NAME__":"Type:String","__PASSWORD__":"Type:GuardedString,TAGS:QUOTES"]
QueryExtensions=[]
}
この構文の説明は次のとおりです:
QUERYIDは、問合せの一意の名前です。
たとえば: CREATE_USER
QUERYは主問合せです。
たとえば: Query="CREATE USER {__NAME__} IDENTIFIED BY {__PASSWORD__}"
QueryTypeは主問合せのタイプ(SQL問合せまたはストアド・プロシージャ)です。QUERYTYPEの値は、SQLまたはStoredProcです。
たとえば: QueryType="SQL"
Parametersは主問合せで使用されるパラメータおよびパラメータ定義のカンマ区切りリストであり、"PARAM1":"PARAMDEFN1", "PARAM2":"PARAMDEFN2"などのように表されます。
たとえば: Parameters=["__NAME__":"Type:String","__PASSWORD__":"Type:GuardedString,TAGS:QUOTES"]
パラメータには次の属性を指定できます。
Typeはパラメータのタイプです。
Directionは、問合せとパラメータ間のデータの流れです。値はIN、OUTまたはINOUTです。
TAGSは、問合せの処理前に各パラメータに適用される囲み文字です。この値は、DOUBLEQUOTES、QUOTES、UPPERCASEまたはLOWERCASE.です。
複数のタグを使用する場合、それらのタグをエスケープ・クォートで囲んで、カンマで区切る必要があります。ただし、同じ問合せ内でDOUBLEQUOTESとQUOTES、またはUPPERCASEとLOWERCASEを一緒に使用することはできません。
たとえば: "Type:String,TAGS:\"DOUBLEQUOTES,UPPERCASE\"
ExtensionJoin (オプション)はEXTENSIONJOINで表される演算子であり、主問合せを問合せ拡張と結合するために使用されます。
たとえば: ExtensionJoin=","
ExtensionSeparator (オプション)は問合せ拡張間のデリミタであり、EXTENSIONSEPARATORで表されます。
たとえば: ExtensionSeparator=", "
QueryExtensions (オプション)は主問合せに追加する必要のある拡張であり、EXTENSION1、EXTENSION2などのように表されます。
プロビジョニング操作時に、コネクタによってこれらすべての構成要素が次の問合せに結合されます。
QUERY PARAM1, PARAM2... [EXTENSIONJOIN [EXTENSION1 EXTENSIONSEPARATOR EXTENSION2 EXTENSIONSEPARATOR...]]
次に例を示します:
CREATE USER {__NAME__} IDENTIFIED BY {__PASSWORD__}
using-and-extending-connector-mysql.htm#GUID-51430BEC-D598-4112-B44D-C22F85D35802__CHDDJGICに、プロビジョニング問合せのスクリプト選択ロジックを示します:
表5-16 MySQLのプロビジョニング問合せのスクリプト選択ロジック
| 操作 | 選択ロジック | 問合せID |
|---|---|---|
CREATE |
CREATE_OBJECTYPE |
CREATE_USER |
DELETE |
DELETE_OBJECTTTYPE |
DELETE_USER |
RESET PASSWORD |
SET_PASSWORD |
SET_PASSWORD |
ADD CHILD VALUES |
UPDATE_ADD_ATTRIBUTE |
UPDATE_ADD_PRIVILEGES |
REMOVE CHILD VALUES |
UPDATE_REVOKE_ATTRIBUTE |
UPDATE_REVOKE_PRIVILEGES |
リコンシリエーション操作時に使用される検索問合せの構文を次に示します。
QUERYID {
Query="QUERY"
QueryType="QUERYTYPE"
Parameters=["PARAM1":"PARAMDEFN1", "PARAM2":"PARAMDEFN2"...]
ExtensionJoin="EXTENSIONJOIN"
ExtensionSeparator="EXTENSIONSEPARATOR"
QueryExtensions=["EXTENSION1","EXTENSION2"...]
}
次に例を示します:
SEARCH_USER {
Query="SELECT {__UID__} FROM MYSQL.USER {filter}"
QueryType="SQL"
Parameters=["__UID__":"Type:String,Direction:OUT,ColName:USER"]
QueryExtensions=["SEARCH_USER_PRIVILEGE"]
}
この構文の説明は次のとおりです:
QUERYIDは、問合せの一意の名前です。
たとえば: SEARCH_USER
QUERYIDの値は次のいずれかです。
SEARCH_USER
BATCHED_SEARCH_USER
SEARCH_USER_PRIVILEGE
QUERYは主問合せです。
たとえば: Query="SELECT {__UID__} FROM MYSQL.USER {filter}"
QueryTypeは主問合せのタイプであり、SQL問合せ、ストアド・プロシージャまたは問合せ拡張のいずれかです。QUERYTYPEの値は、SQL、StoredProcまたはQUERYEXTENSIONです。
たとえば: QueryType="SQL"
Parametersは主問合せで使用されるパラメータおよびパラメータ定義のカンマ区切りリストであり、"PARAM1":"PARAMDEFN1", "PARAM2":"PARAMDEFN2"などのように表されます。
次に例を示します:
Parameters=["__UID__":"Type:String,Direction:OUT,ColName:USER"]
パラメータには次の属性を指定できます。
Typeはパラメータのタイプです。
Directionは、問合せとパラメータ間のデータの流れです。値はIN、OUTまたはINOUTです。
ColNameは、問合せ内のパラメータに対応するターゲット・システム内の列名です。
ColQueryは、対応する問合せパラメータの値をフェッチするために使用される問合せです。
ExtensionJoin (オプション)はEXTENSIONJOINで表される演算子であり、主問合せを問合せ拡張と結合するために使用されます。
たとえば: ExtensionJoin=","
ExtensionSeparator (オプション)は問合せ拡張間のデリミタであり、EXTENSIONSEPARATORで表されます。
たとえば: ExtensionSeparator=", "
QueryExtensions (オプション)は主問合せに追加する必要のある拡張であり、EXTENSION1、EXTENSION2などのように表されます。
たとえば: QueryExtensions=["SEARCH_USER_PRIVILEGE"]
リコンシリエーション操作時に、コネクタによってこれらすべての構成要素が次の問合せに結合されます。
QUERY PARAM1, PARAM2... [EXTENSIONJOIN [EXTENSION1 EXTENSIONSEPARATOR EXTENSION2 EXTENSIONSEPARATOR...]]
次に例を示します:
SELECT {__UID__} FROM MYSQL.USER {filter} SEARCH_USER_PRIVILEGE
User Nameなどのアカウント・タイプに対して検索問合せが実行された場合、その問合せはリコンシリエーション問合せとみなされます。それ以外のオブジェクトに対して検索問合せが実行された場合、その問合せは値リスト問合せとみなされます。
参照フィールド同期に使用される値リスト問合せの構文を次に示します。
OBJECTTYPE = "QUERY"
次に例を示します:
__PRIVILEGES__="SELECT CONCAT(p.PRIVILEGE_TYPE, ' ON ',s.SCHEMA_NAME) SchemaPrivilege FROM INFORMATION_SCHEMA.SCHEMATA s,INFORMATION_SCHEMA.SCHEMA_PRIVILEGES p"
この構文の説明は次のとおりです:
OBJECTTYPEは参照フィールド属性です。
たとえば: __PRIVILEGES__
QUERYは、参照フィールド属性をフェッチするために使用される問合せです。
たとえば: SELECT CONCAT(p.PRIVILEGE_TYPE, ' ON ',s.SCHEMA_NAME) SchemaPrivilege FROM INFORMATION_SCHEMA.SCHEMATA s,INFORMATION_SCHEMA.SCHEMA_PRIVILEGES p
値リスト問合せでは、参照フィールドのエントリとして使用される値が戻されます。デフォルトでは、コネクタには各参照定義に専用のスケジュール済ジョブが含まれています。カスタム参照定義を使用するには、カスタム・フィールドを問合せファイルに追加する必要があります。
コネクタでは、作成、削除、検索などのコネクタ操作に対して事前定義済問合せが使用されます。要件に応じて、カスタム・パラメータおよび参照定義フィールドを追加できます。
次の各項では、パラメータまたは参照定義フィールドを問合せファイルに追加する手順について説明します。
問合せファイルを更新するには、次のようにします。
コネクタがすでにインストールされている場合は、Oracle Identity ManagerのJARダウンロード・ユーティリティを実行して、Oracle Identity Managerデータベースからコネクタ・バンドルJARファイルをダウンロードします。このユーティリティは、Oracle Identity Managerのインストール時に次の場所にコピーされます。
ノート:
このユーティリティを使用する前に、Oracle WebLogic ServerをインストールしたディレクトリにWL_HOME環境変数が設定されていることを確認してください。
Microsoft Windowsの場合:
OIM_HOME/server/bin/DownloadJars.bat
UNIXの場合:
OIM_HOME/server/bin/DownloadJars.sh
このユーティリティを実行すると、Oracle Identity Manager管理者のログイン資格証明、Oracle Identity Managerホスト・コンピュータのURL、コンテキスト・ファクトリ値、ダウンロードするJARファイルのタイプ、およびJARファイルのダウンロード元の場所を入力するように求められます。ICFBundleをJARタイプとして選択します。
バンドルJARファイルを一時ディレクトリにコピーします。
サンプルJARファイル: bundle/org.identityconnectors.dbum-1.0.1116.jar
サンプル一時ディレクトリ: c:\temp
次のコマンドを実行して、コネクタ・バンドルJARファイルを抽出します。
jar -xvf org.identityconnectors.dbum-1.0.1116.jar
ノート:
また、WinZipまたはWinRARユーティリティを実行して、JARファイルからコンテンツを抽出することもできます。
一時ディレクトリ内のバンドルJARファイルを削除します。
マニフェスト・ファイル(META-INF/MANIFEST.MF)内のConnectorBundle-Versionの値を新しい値に更新します。
次に例を示します:
ConnectorBundle-Version: 1.0.1117
要件に応じて、「MySQLでの事前定義済問合せの変更または新しい問合せの作成」で説明されている問合せ構文に従って、問合せファイルを新しいパラメータで更新します。
たとえば、新しいパラメータCUSTOM_ATTRIBUTEをCREATE_USERプロビジョニング問合せに追加する場合は、次のようにします。
テキスト・エディタで、プロビジョニング問合せファイルを開きます。
サンプル問合せファイル: c:\temp\bundle\org.identityconnectors.dbum-1.0.1116\scripts\mysql\Provisioning.queries
パラメータCUSTOM_ATTRIBUTEをCREATE_USER問合せに追加します。
更新済のサンプル問合せを次に示します。
CREATE_USER {
Query="CREATE USER {__NAME__} IDENTIFIED BY {__PASSWORD__}, {CUSTOM_ATTRIBUTE}"
QueryType="SQL"
Parameters=["__NAME__":"Type:String", "__PASSWORD__":"Type:GuardedString,TAGS:QUOTES", "CUSTOM_ATTRIBUTE":"Type:String,Direction:IN"]
QueryExtensions=[]
}
問合せファイルを保存して閉じます。
次のようにして、更新済マニフェスト・ファイルおよびプロビジョニング問合せファイルを含む新しいバンドルJARファイルを作成します。
コマンド・プロンプトを開いて、一時ディレクトリに移動します。
c:\temp
次のコマンドを実行します。
jar -cvfm org.identityconnectors.dbum-1.0.1117.jar *
新しいコネクタ・バンドルJAR名には、新しいバンドル・バージョンが含まれます。
リモート・コネクタ・サーバーの場合、JARファイルをOracle Identity Managerデータベースに転送するのではなく、新しいバンドルJARファイルをリモート・コネクタ・サーバーのbundlesディレクトリにコピーします。ステップ10に進みます。
Oracle Identity ManagerのJAR更新ユーティリティを実行して、ステップ7で作成したJARファイルをOracle Identity Managerデータベースに対して更新します。このユーティリティは、Oracle Identity Managerのインストール時に次の場所にコピーされます。
ノート:
このユーティリティを使用する前に、Oracle WebLogic ServerをインストールしたディレクトリにWL_HOME環境変数が設定されていることを確認してください。
OracleコネクタとMySQLコネクタの両方を同じOracle Identity Managerにインストールした場合は、すべてのサード・パーティJARファイルがコネクタ・バンドルJARファイル内の/libディレクトリに含まれていることを確認してください。
Microsoft Windowsの場合:
OIM_HOME/server/bin/UpdateJars.bat
UNIXの場合:
OIM_HOME/server/bin/UpdateJars.sh
このユーティリティを実行すると、Oracle Identity Manager管理者のログイン資格証明、Oracle Identity Managerホスト・コンピュータのURL、コンテキスト・ファクトリ値、更新するJARファイルのタイプ、およびJARファイルの更新元の場所を入力するように求められます。ICFBundleをJARタイプとして選択します。
構成参照を新しいバンドル・バージョンで更新します。
たとえば、Lookup.DBUM.MySQL.Configuration参照定義を更新できます。
追加したパラメータがOracle Identity Managerのデフォルトのフォーム・フィールドとしてすでに存在している場合、この手順は省略できます。
パラメータを追加するためにOracle Identity Managerを構成するには、次のようにします。
Oracle Identity Manager Design Consoleにログインします。
新しいバージョンのプロセス・フォームを作成します。
「開発ツール」を開きます。
「フォーム・デザイナ」をダブルクリックします。
UD_DB_MYS_Uプロセス・フォームを検索して開きます。
「新しいバージョンの作成」をクリックします。
新規バージョンの作成ダイアログ・ボックスで、「ラベル」フィールドに新しいバージョンを入力して「保存」アイコンをクリックします。
プロセス・フォームに新しいフィールドを追加します。
「追加」をクリックします。
リストにフィールドが追加されます。フィールドの詳細を入力します。
たとえば、CustomAttribute1フィールドを追加する場合は、「名前」フィールドにUD_DB_MYS_U_CUSTOM1と入力し、このフィールドの残りの詳細を入力します。
保存アイコンをクリックし、「バージョンのアクティブ化」をクリックします。
Oracle Identity Managerリリース11.1.2.x以降を使用している場合、次のようにして、Design Consoleの「フォーム・デザイナ」に加えられたすべての変更を、新しいUIフォームで実行する必要があります。
Oracle Identity System Administrationにログインします。
サンドボックスを作成し、アクティブにします。
新たに追加したフィールドと残りのフィールドを表示するために新しいUIフォームを作成します。Oracle Fusion Middleware Oracle Identity Managerの管理 の フォーム・デザイナを使用したフォームの作成に関する項を 参照してください。
新たに作成したUIフォームを、ターゲット・システムのアプリケーション・インスタンスと関連付けます。それを行うには、「フォーム」フィールドの、リソースの既存のアプリケーション・インスタンスを開き、(ステップ4.cで作成した)フォームを選択して、アプリケーション・インスタンスを保存します。
Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのサンドボックスの公開に関する項の説明に従って、サンドボックスを公開します。
プロビジョニングの参照定義で、次のようにして、フィールドのエントリを作成します。
「管理」を開きます。
「ルックアップ定義」をダブルクリックします。
Lookup.DBUM.MySQL.UM.ProvAttrMap参照定義を検索して開きます。
「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。
コード・キーの値は、フォーム・フィールドの名前にする必要があります。デコードの値は、ターゲット・システムの属性の名前にする必要があります。
たとえば、コード・キー・フィールドにCustom Attribute 1と入力し、デコード・フィールドにCustomAttribute1と入力します。
保存アイコンをクリックします。
次のように、プロセス・タスクを作成して、新規フィールドCustom Attribute 1を更新します。
「プロセス管理」を開きます。
「プロセス定義」をダブルクリックし、MySQL DB Userプロセス定義を開きます。
「追加」をクリックして、Custom Attribute 1 Updatedなどのタスク名およびタスクの説明を入力します。
プロセス定義で、条件付きフィールドと「複数のインスタンスを許可」フィールドを選択して保存アイコンをクリックします。
「統合」タブで「追加」、「アダプタ」の順にクリックします。
adpMYSQLDBUMUPDATEUSERアダプタを選択して保存アイコンをクリックし、表示されるメッセージで「OK」をクリックします。
次の表に示されているアダプタ変数をマッピングするには、アダプタを選択して「マップ」をクリックし、次の表に示されているデータを指定します。
| 変数名 | データ型 | マップ先 | 修飾子 | リテラル値 |
|---|---|---|---|---|
Adapter return value |
オブジェクト |
レスポンス・コード |
N/A |
N/A |
attributeName |
文字列 |
リテラル |
文字列 |
Custom Attribute 1 |
itRes |
文字列 |
リテラル |
文字列 |
UD_DB_MYS_U_ITRES |
objectType |
文字列 |
リテラル |
文字列 |
User |
processInstanceKey |
Long |
プロセス・データ |
プロセス・インスタンス |
N/A |
「レスポンス」タブで「追加」をクリックして、次のレスポンス・コードを追加します。
| コード名 | 説明 | ステータス |
|---|---|---|
ERROR |
エラーが発生しました |
R |
UNKNOWN |
不明な応答を受信した |
R |
SUCCESS |
操作が完了しました |
C |
保存アイコンをクリックしてダイアログ・ボックスを閉じます。
ターゲット・システムの複数のインストールに対してコネクタを構成する場合があります。次の例でこの要件について説明します。
Example Multinational Inc.のロンドンおよびニューヨークの事業所には、独自にターゲット・システムがインストールされています。最近、この会社では、Oracle Identity Managerをインストールし、これを構成してインストールされたすべてのターゲット・システムをリンクしようとしています。
これを実現するために、ITリソースやリソース・オブジェクトなどのコネクタ・オブジェクトのコピーを作成できます。
コネクタ・オブジェクトのコピーを作成するかどうかの決定は、要件に基づきます。たとえば、ITリソースは1つのターゲット・システム・インストールの接続情報を保持できます。このため、ターゲット・システムのインストールごとにITリソースのコピーを作成する必要があります。
その他のコネクタ・オブジェクトでは、コピーを作成する必要はまったくありません。たとえば、1つの属性マッピング参照定義をターゲット・システムのすべてのインストールに使用できます。
すべてのコネクタ・オブジェクトはリンクされています。たとえば、スケジュール済ジョブにITリソースの名前を格納します。同様に、MySQLなどのターゲット・システムのITリソースに構成参照定義の名前(Lookup.DBUM.MySQL.Configuration)を格納します。オブジェクトのコピーを作成する場合、関連付けられたコネクタ・オブジェクト内にコピーの名前を指定する必要があります。
ノート:
特定のターゲット・システム・インストールからデータをリコンサイルするには、そのターゲット・システム・インストールに対するITリソースの名前を、ITリソース名を保持するスケジュール済ジョブ属性の値として指定します。たとえば、このITリソースの名前を、実行するスケジュール済ジョブのITリソース属性の値として入力します。
Identity Self Serviceを使用してプロビジョニングを実行する場合、ユーザーのプロビジョニング先のターゲット・システム・インストールに対応するITリソースを指定できます。
using-and-extending-connector-mysql.htm#GUID-6EB127B6-2620-4EDE-A5DF-3AB68E14B031__CHDCDIJAに、コピーを作成できるコネクタ・オブジェクトと、これらのオブジェクトを参照する他のオブジェクトとの関連付けを示します。コネクタ・オブジェクトのコピーを作成する場合、この情報を使用して、そのオブジェクトと他方のオブジェクトの関連付けを変更します。
ノート:
特定のOracle Identity Managerインストールにコネクタ・オブジェクトのコピーを作成する場合、そのコピーに一意の名前を設定する必要があります。
Oracle Identity Managerリリース11.1.2.x以降を使用している場合、この項で説明した手順に加えて、各ITリソースに対してアプリケーション・インスタンスを作成する必要があります。アプリケーション・インスタンスの作成の詳細は、「Oracle Identity Managerリリース11.1.2以降の構成」を参照してください。
表5-17 コネクタ・オブジェクトおよびそれらの関連付け
| コネクタ・オブジェクト | 名前 | 参照元 | コピー作成に関するコメント |
|---|---|---|---|
ITリソース |
MySQL DB |
|
ITリソースのコピーは異なる名前で作成します。 |
リソース・オブジェクト |
MySQL DB User MySQL DB Trusted |
すべてのコネクタ操作 |
リソース・オブジェクトのコピーの作成は、オプションです。ターゲット・システムのすべてのインストールから同じ属性セットをリコンサイルする場合、リソース・オブジェクトのコピーを作成する必要はありません。 ノート: リソース・オブジェクトのコピーを作成するのは、ターゲット・システムの異なるインストール間で属性に違いがある場合のみです。 |
スケジュール済ジョブ |
様々な用途のスケジュール済ジョブが多数あります。 |
N/A |
スケジュール済ジョブは同じ名前で使用できます。ただし、使用するターゲット・システムに応じて、パラメータの値を更新する必要があります。 |
プロセス定義 |
MySQL DB User |
N/A |
プロセス定義のコピーの作成は、オプションです。ターゲット・システムのすべてのインストールから同じ属性セットをリコンサイルまたはプロビジョニングする場合、プロセス定義のコピーを作成する必要はありません。 ノート: プロセス・フォームのコピーを作成するのは、ターゲット・システムの異なるインストール間で属性に違いがある場合のみです。 |
プロセス・フォーム |
UD_DB_MYS_U |
MySQL DB User (プロセス定義) |
プロセス・フォームのコピーの作成は、オプションです。ターゲット・システムのすべてのインストールから同じ属性セットをプロビジョニングする場合、プロセス定義のコピーを作成する必要はありません。 ノート: プロセス・フォームのコピーを作成するのは、ターゲット・システムの異なるインストール間で属性に違いがある場合のみです。 |
子プロセス・フォーム |
|
|
子プロセス・フォームのコピーの作成は、オプションです。新しい子データ・セットをプロビジョニングする場合、子プロセス・フォームと親プロセス・フォームのコピーを作成する必要があります。次に、新しく作成した子プロセス・フォームを、新しく作成した親プロセス・フォームに割り当てます。 |
ターゲット・リソースとして構成されたターゲット・システム用の構成参照定義 |
Lookup.DBUM.MySQL.Configuration |
MySQL DB (ITリソース) |
構成参照定義のコピーの作成は、オプションです。(ターゲット・リソースとして構成された)ターゲット・システムのすべてのインストールで同じ属性セットをプロビジョニングおよびリコンサイルする場合、構成参照定義のコピーを作成する必要はありません。 ノート: 構成参照定義のコピーを作成するのは、ターゲット・システムの異なるインストール間で属性の違いがあり、さらに新しいプロセス・フォームを作成した場合のみです。 |
信頼できるソースとして構成されたターゲット・システム用の構成参照定義 |
Lookup.DBUM.MySQL.Configuration.Trusted |
MySQL DB (ITリソース) |
構成参照定義のコピーの作成は、オプションです。(信頼できるソースとして構成された)ターゲット・システムのすべてのインストールで同じ属性セットをリコンサイルする場合、構成参照定義のコピーを作成する必要はありません。 ノート: 信頼できるソースの構成参照定義のコピーを作成するのは、ターゲット・システムの異なるインストール間で属性の違いがあり、さらに新しいプロセス・フォームを作成した場合のみです。 |
(ターゲット・リソースの)リソース・オブジェクト属性マッピング参照定義 |
Lookup.DBUM.MySQL.UM.ReconAttrMap |
N/A |
リソース・オブジェクト属性マッピング参照定義のコピーの作成は、オプションです。ターゲット・システムのすべてのインストールで同じ属性セットをリコンサイルする場合、リソース・オブジェクト属性マッピング参照のコピーを作成する必要はありません。 ノート: この参照定義のコピーを作成するのは、ターゲット・システムの2つのインストール間で属性に違いがある場合のみです。 |
信頼できるソースとして構成されたターゲット・システム用の構成参照定義 |
Lookup.DBUM.MySQL.UM.ReconAttrMap.Trusted |
MySQL DB (ITリソース) |
構成参照定義のコピーの作成は、オプションです。(信頼できるソースとして構成された)ターゲット・システムのすべてのインストールで同じ属性セットをリコンサイルする場合、構成参照定義のコピーを作成する必要はありません。 ノート: 信頼できるソースの構成参照定義のコピーを作成するのは、ターゲット・システムの異なるインストール間で属性の違いがあり、さらに新しいプロセス・フォームを作成した場合のみです。 |
ノート:
このコネクタでは、複数の信頼できるソースのリコンシリエーションがサポートされます。
この項ではオプションの手順を説明します。この手順は、複数の信頼できるソースのリコンシリエーションのためにコネクタを構成する場合にのみ実行します。
次に、組織のユーザー・データに対して複数の信頼できるソースが存在する場合の例を示します。
ターゲット・システムの1つは、ユーザーに関するデータの信頼できるソースです。2つ目のターゲット・システムは、契約者に関するデータの信頼できるソースです。3つ目のターゲット・システムは、インターンに関するデータの信頼できるソースです。
1つのターゲット・システムは、OIMユーザーを構成する一部のアイデンティティ・フィールドのデータを保持します。他の2つのシステムは、残りのアイデンティティ・フィールドのデータを保持します。つまり、OIMユーザーを作成するには、3つのシステム全部からデータをリコンサイルする必要があります。
組織のオペレーティング環境がこれらのシナリオのいずれかで説明されている環境に類似する場合、このコネクタを使用すると、組織の個人データの信頼できるソースの1つとしてターゲット・システムを使用できるようになります。
複数の信頼できるソースのリコンシリエーションの詳細は、『Oracle Fusion Middleware Oracle Identity Managerの管理』のリコンシリエーションの管理に関する項を参照してください。
要件に応じてリコンサイルおよびプロビジョニングされた単一値データの検証を構成できます。たとえば、「名」属性からフェッチしたデータを検証して、そのデータに番号記号(#)が含まれていないことを確認します。また、プロセス・フォームの「名」フィールドに入力したデータを検証して、プロビジョニング操作中にターゲット・システムに番号記号(#)が送信されないようにします。
データの検証を構成するには:
要件に応じて、リコンサイルされた単一値ユーザー・データの変換を構成できます。たとえば、「名」および「姓」値を使用して、Oracle Identity Managerの「氏名」フィールドの値を作成できます。
リコンシリエーション中にフェッチした単一値のユーザー・データの変換を構成するには:
リコンシリエーションおよびプロビジョニング操作から除外する必要のあるアカウントのリストを指定できます。除外リストで指定したユーザーIDのアカウントは、リコンシリエーションおよびプロビジョニング操作の影響を受けません。
除外リスト用の参照定義の1つに、プロビジョニングおよびリコンシリエーション操作から除外するターゲット・システム・アカウントのユーザーIDを入力します。参照定義およびこれらの参照のエントリの書式の詳細は、「MySQLでの除外リスト用の参照定義」を参照してください。
MySQLでのプロビジョニングおよびリコンシリエーション操作時に除外するエントリを参照内に追加するには、次のようにします。
アクション・スクリプトと、アカウントの作成、更新または削除のプロビジョニング操作の前または後に実行するようにアクション・スクリプトを構成する方法について学習します。
この項の内容は次のとおりです。
アクション・スクリプトとは、アカウントの作成、更新または削除のプロビジョニング操作の前後に実行されるように構成できるスクリプトです。たとえば、ユーザーの作成前に実行されるスクリプトを構成できます。あるいは、AUDIT_USERLOGという名前の表があり、コネクタによってのみ実行されるユーザー作成アクティビティをこの表に記録するとします。この場合、作成操作後にデータがこの表に追加されるような作成後スクリプトを作成して使用できます。
ノート:
実行前アクションまたは実行後アクションを構成するには、コネクタでスクリプトの実行がサポートされている必要があります。ただし、(targetがConnectorに設定されている)Groovyは例外であり、収束されたすべてのコネクタがデフォルトでサポートされています。
いずれのコネクタも、スクリプト言語およびサポート対象のターゲットを指定している必要があります。このコネクタでは、次のスクリプトがサポートされています。
shell: シェル・スクリプト
target: Connector
targetは、スクリプトの実行場所を表します。この場合、スクリプトはコネクタがデプロイされているコンピュータと同じコンピュータ(JVMまたは.NET Runtime)で実行されます。たとえば、コネクタ・サーバーにコネクタをデプロイした場合、スクリプトはそのコンピュータで実行されます。
すなわち、ローカル・フレームワークを使用している場合、スクリプトはJVMで実行されます。リモート・フレームワークに接続されている場合、スクリプトはリモートのJVMまたは.NET Runtimeで実行されます。
