9 コネクタの機能拡張

この章では、特定のビジネス要件に対応するためにコネクタの機能を拡張する実行可能な手順について説明します。

ノート:

Oracle Identity Managerリリース11.1.2以降では、参照問合せはサポートされません。アイデンティティ・システム管理でフォーム・デザイナを使用して参照を管理する方法の詳細は、『Oracle Fusion Middleware Oracle Identity Managerの管理』の参照の管理に関する項を参照してください。

この章では、次の項目について説明します。

• ターゲット・リソースのリコンシリエーション用のカスタム・フィールドの追加

• ターゲット・リソースのリコンシリエーション用の新規複数値フィールドの追加

• プロビジョニング用のカスタム・フィールドの追加

• プロビジョニングへの新規複数値フィールドの追加

• 信頼できるソースのリコンシリエーション用の新規フィールドの追加

• リコンシリエーション中のデータの変換の構成

• リコンシリエーションおよびプロビジョニング中のデータ検証の構成

• ユーザー定義オブジェクト・クラスのコネクタの構成

• カスタム・オブジェクト・クラスを使用するためのコネクタの構成

• 複数の信頼できるソースのリコンシリエーション用のコネクタの構成

• POSIXグループおよびアカウントをサポートするコネクタの構成

• 組織単位のプロビジョニングと並行するカスタム・オブジェクト・クラスのプロビジョニングをサポートするためのコネクタの構成

9.1 ターゲット・リソースのリコンシリエーション用のカスタム・フィールドの追加

ノート:

この項ではオプションの手順を説明します。この手順は、ターゲット・リソースのリコンシリエーション用にカスタム・フィールドを追加する場合にのみ実行します。

デフォルトでは、表1-5に示したフィールドが、Oracle Identity Managerとターゲット・システム間のリコンシリエーション用にマップされます。必要に応じて、追加のフィールドをユーザー・リコンシリエーション用にマップできます。

ターゲット・リソースのリコンシリエーション用にカスタム・フィールドを追加するには、次の手順を実行します:

• リソース・オブジェクトのリコンシリエーション・フィールドへのカスタム・フィールドの追加

• リコンシリエーション用の参照定義でのカスタム・フィールドのエントリの作成

• プロセス・フォームでのカスタム・フィールドの追加

• 新しいフォームとアプリケーション・インスタンスの関連付け

• プロビジョニング・プロセスでのカスタム・フィールドのリコンシリエーション・フィールド・マッピングの作成

• リコンシリエーション・プロファイルの作成

9.1.1 リソース・オブジェクトのリコンシリエーション・フィールドへのカスタム・フィールドの追加

リソース・オブジェクトのリコンシリエーション・フィールドのリストにカスタム・フィールドを追加するには:

1. Oracle Identity Manager Design Consoleにログインします。
2. 「Resource Management」を開き、「Resource Objects」をダブルクリックします
3. LDAP User、OID UserまたはeDirectory Userリソース・オブジェクトを検索して開きます。
4. 「Object Reconciliation」タブで、「Add field」をクリックします。次に例を示します。
   
   図roreconattrs91.gifの説明
5. 「Add Reconciliation Field」ダイアログ・ボックスに、フィールドの詳細を入力します。

   たとえば、「Field Name」フィールドにDescriptionと入力し、「Field Type」リストから「String」を選択します。

6. 「Save」をクリックして、ダイアログ・ボックスを閉じます。
7. 「Create Reconciliation Profile」をクリックします。これにより、リソース・オブジェクトに行った変更がOracle Identity Managerメタデータ・ストア(MDS)にコピーされます。次に例を示します。
   
   図createreconprofile91.gifの説明
8. 「保存」をクリックします。

9.1.2 リコンシリエーション用の参照定義でのカスタム・フィールドのエントリの作成

リコンシリエーション用に参照定義でフィールドのエントリを作成するには:

1. 「Administration」を開き、「Lookup Definition」をダブルクリックします
2. Lookup.LDAP.UM.ReconAttrMap、Lookup.OID.UM.ReconAttrMapまたはLookup.EDIR.UM.ReconAttrMap参照定義を検索して開きます。
3. 「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。コード・キー値は、リコンシリエーション・フィールドに指定したフィールドの名前です。デコード値はターゲット・システム・フィールドの名前です。

   たとえば、「Code Key」フィールドにはDescription、「Decode」フィールドにはdescriptionと入力します。

   
   図reconattrmaplookup91.gifの説明
4. 「保存」をクリックします。

9.1.3 プロセス・フォームでのカスタム・フィールドの追加

プロセス・フォームにカスタム・フィールドを追加するには:

1. 「開発ツール」を開き、「フォーム・デザイナ」をダブルクリックします
2. UD_LDAP_USR、UD_OID_USRまたはUD_EDIR_USRプロセス・フォームを検索し、開きます。
3. 「Create New Version」をクリックし、「Add Field」をクリックします。
4. フィールドの詳細を入力します。

   たとえば、「Description」フィールドを追加している場合は、「Name」フィールドにUD_LDAP_USR_DESCRIPTIONまたはUD_OID_USR_DESCRIPTIONを入力し、このフィールドのその他の詳細情報を入力します。

   
   図processform91.gifの説明
5. 「Save」をクリックし、「Make Version Active」をクリックします

9.1.4 新しいフォームとアプリケーション・インスタンスの関連付け

Oracle Identity Managerリリース11.1.2.x以降を使用している場合、次のようにして、Design Consoleの「フォーム・デザイナ」に加えられたすべての変更を、新しいUIフォームで実行する必要があります。

1. Oracle Identity System Administrationにログインします。
2. サンドボックスを作成し、アクティブにします。詳細は、サンドボックスの作成およびアクティブ化を参照してください。
3. 新たに追加したフィールドと残りのフィールドを表示するために新しいUIフォームを作成します。UIフォームの作成の詳細は、UIフォームの新規作成を参照してください。
4. 新たに作成したUIフォームをターゲット・システムのアプリケーション・インスタンスに関連付けます。そのためには、リソースに対する既存のアプリケーション・インスタンスを開いて、フォームフィールドからフォーム(ステップ5.cで作成済)を選択し、アプリケーション・インスタンスを保存します。
5. サンドボックスを公開します。詳細は、サンドボックスの公開を参照してください。

9.1.5 プロビジョニング・プロセスでのカスタム・フィールドのリコンシリエーション・フィールド・マッピングの作成

プロビジョニング処理の一部として、カスタム・フィールドのリコンシリエーション・フィールド・マッピングを、次のようにして作成します。

1. 「Process Management」を開き、「Process Definition」をダブルクリックします
2. LDAP User、OID UserまたはeDirectory Userプロビジョニング・プロセスを検索して開きます。
3. プロビジョニング処理の「Reconciliation Field Mappings」タブで、「Add Field Map」をクリックします
4. 「Add Reconciliation Field Mapping」ダイアログ・ボックスの「Field Name」フィールドで、追加するフィールドの値を選択します。

   たとえば、「Field Name」フィールドでDescriptionを選択します。

5. 「Process Data」フィールドをダブルクリックし、UD_LDAP_USR_DESCRIPTIONまたはUD_OID_USR_DESCRIPTIONを選択します。次に例を示します。
   
   図processdefnmapping91.gifの説明
6. 「Save」をクリックして、ダイアログ・ボックスを閉じます。
7. 「保存」をクリックします。

9.1.6 リコンシリエーション・プロファイルの作成

リコンシリエーション・プロファイルを作成します。

1. 「Resource Management」を開き、「Resource Objects」をダブルクリックします
2. LDAP User、OID UserまたはeDirectory Userリソース・オブジェクトを検索して開きます。
3. 「Create Reconciliation Profile」をクリックします。これにより、リソース・オブジェクトに行った変更がOracle Identity Managerメタデータ・ストア(MDS)にコピーされます。

9.2 ターゲット・リソースのリコンシリエーション用の新規複数値フィールドの追加

デフォルトでは、各参照定義に含まれる複数値フィールドは、Oracle Identity Managerとターゲット・システムのリコンシリエーションのためにマップされています。必要に応じて、ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加できます。

ノート:

• この項ではオプションの手順を説明します。この手順は、ターゲット・リソースのリコンシリエーション用に複数値フィールドを追加する場合にのみ実行します。

• ユーザー、グループ、組織単位またはロールのフィールドを追加するときに、この手順を実行できます。

• リコンシリエーション用に追加する新しいフィールドに文字列形式のデータのみが格納されていることを確認する必要があります。Oracle Identity Managerにはバイナリ・フィールドを送信しないでください。

ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加するには、次の手順を実行します。

• 複数値フィールド用のフォームの作成

• プロセス・フォームの子フォームとしてのフォームの追加

• 新しいフォームとアプリケーション・インスタンスの関連付け

• リソース・オブジェクト・リコンシリエーション・フィールドへの新しい複数値フィールドの追加

• リコンシリエーション用の参照定義でのフィールドのエントリの作成

• 新しいフィールド用のリコンシリエーション・フィールド・マッピングの作成

9.2.1 複数値フィールド用のフォームの作成

複数値フィールド用にフォームを作成するには、次のようにします。

1. Oracle Identity Manager Design Consoleにログインします。
2. 「Development Tools」を開き、「Form Designer」をダブルクリックします
3. 表の名前および説明を指定してフォームを作成し、「Save」をクリックします。
4. 「Add」をクリックしてフィールドの詳細を入力します。
5. 「Save」をクリックし、「Make Version Active」をクリックします次に例を示します。
   
   図createchildformnmvfr.gifの説明

9.2.2 プロセス・フォームの子フォームとしてのフォームの追加

次のようにして、複数値フィールド用に作成されたフォームをプロセス・フォームの子フォームとして追加します。

1. 次のプロセス・フォームのうち1つを検索して開きます。

   ユーザーの場合: UD_LDAP_USR、UD_OID_USRまたはUD_EDIR_USR

   グループの場合: UD_LDAP_GR、UD_OID_GRまたはUD_EDIR_GR

   組織単位の場合: UD_LDAP_OU、UD_OID_OUまたはUD_EDIR_OU

   ロールの場合: UD_LDAP_RLまたはUD_EDIR_RL

2. 「Create New Version」をクリックします
3. 「Child Table(s)」タブをクリックします。
4. 「割当て」をクリックします。
5. 「Assign Child Tables」ダイアログ・ボックスで、新規作成した子フォームを選択して右矢印をクリックした後、「OK」をクリックします。
6. 「Save」をクリックし、「Make Version Active」をクリックします次に例を示します。
   
   図assignchildformnmvfr.gifの説明

9.2.3 新しいフォームとアプリケーション・インスタンスの関連付け

Oracle Identity Managerリリース11.1.2.x以降を使用している場合、次のようにして、Design Consoleの「フォーム・デザイナ」に加えられたすべての変更を、新しいUIフォームで実行する必要があります。

1. Oracle Identity System Administrationにログインします。
2. サンドボックスを作成し、アクティブにします。詳細は、サンドボックスの作成およびアクティブ化を参照してください。
3. 新たに追加したフィールドと残りのフィールドを表示するために新しいUIフォームを作成します。UIフォームの作成の詳細は、UIフォームの新規作成を参照してください。
4. 新たに作成したUIフォームをターゲット・システムのアプリケーション・インスタンスに関連付けます。そのためには、リソースに対する既存のアプリケーション・インスタンスを開いて、フォームフィールドからフォーム(ステップ4.cで作成済)を選択し、アプリケーション・インスタンスを保存します。
5. サンドボックスを公開します。詳細は、サンドボックスの公開を参照してください。

9.2.4 リソース・オブジェクト・リコンシリエーション・フィールドへの新しい複数値フィールドの追加

リソース・オブジェクトのリコンシリエーション・フィールドのリストに、次のようにして、新しい複数値フィールドを追加します。

1. 「Resource Management」を開き、「Resource Objects」をダブルクリックします
2. 次のリソース・オブジェクトのうち1つを検索して開きます。

   ユーザーの場合: LDAP User、OID UserまたはeDirectory User

   グループの場合: LDAP Group、OID GroupまたはeDirectory Group

   組織単位の場合: LDAP Organizational Unit、OID Organizational UnitまたはeDir Organisation Unit

   ロールの場合: LDAP RoleまたはeDirectory Role

3. 「Object Reconciliation」タブで、「Add field」をクリックします。
4. 「Add Reconciliation Fields」ダイアログ・ボックスに、フィールドの詳細を入力します。

   たとえば、「Field Name」フィールドにcarlicensesと入力し、「Field Type」リストから「Multi Valued Attribute」を選択します。

   
   図roreconattrnnmvfr.gifの説明
5. 「Save」をクリックしてダイアログ・ボックスを閉じます。
6. 新規作成したフィールドを右クリックして、「Define Property Fields」を選択します
7. 「Add Reconciliation Fields」ダイアログ・ボックスに、新規作成したフィールドの詳細を入力します。

   たとえば、「Field Name」フィールドにcarlicenseと入力し、「Field Type」リストから「String」を選択します。

8. 「保存」をクリックしてダイアログ・ボックスを閉じます。
9. 「Create Reconciliation Profile」をクリックします。これにより、リソース・オブジェクトに行われた変更がMDSにコピーされます。

9.2.5 リコンシリエーション用の参照定義でのフィールドのエントリの作成

リコンシリエーションの参照定義で、次のようにして、フィールドのエントリを作成します。

1. 「Administration」を開き、「Lookup Definition」をダブルクリックします
2. 次のいずれかの参照定義を検索して開きます。

   ユーザーの場合: Lookup.LDAP.UM.ReconAttrMap、Lookup.OID.UM.ReconAttrMapまたはLookup.EDIR.UM.ReconAttrMap

   グループの場合: Lookup.LDAP.Group.ReconAttrMap、Lookup.OID.Group.ReconAttrMapまたはLookup.EDIR.Group.ReconAttrMap

   組織単位の場合: Lookup.LDAP.OU.ReconAttrMap、Lookup.OID.OU.ReconAttrMapまたはLookup.EDIR.OU.ReconAttrMap

   ロールの場合: Lookup.LDAP.Role.ReconAttrMapまたはLookup.EDIR.Role.ReconAttrMap

   ノート:

   ターゲット・システム・フィールドには、ターゲット・システムと同じ大文字または小文字を使用する必要があります。フィールド名では、大/小文字が区別されるためです。

3. 「Add」をクリックし、フィールドの「Code Key」および「Decode」の値を入力して、「保存」をクリックしますコード・キーとデコードの値は次の形式にする必要があります。

   コード・キー: MULTIVALUED_FIELD_NAME~CHILD_RESOURCE_OBJECT_FIELD_NAME

   デコード: 対応するターゲット・システム属性。

   たとえば、「Code Key」フィールドにはcarlicenses~carlicense、「Decode」フィールドにはcarlicenseと入力します。

   
   図reconattrmaplookupnmvfr.gifの説明

9.2.6 新しいフィールド用のリコンシリエーション・フィールド・マッピングの作成

次のようにして、新しいフィールド用のリコンシリエーション・フィールド・マッピングを作成します。

1. 「Process Management」を開き、「Process Definition」をダブルクリックします
2. 次のいずれかのプロセス定義を検索して開きます。

   ユーザーの場合: LDAP User、OID UserまたはeDirectory User

   グループの場合: LDAP Group、OID GroupまたはeDirectory Group

   組織単位の場合: LDAP Organizational Unit、OID Organizational UnitまたはeDir Organisation Unit

   ロールの場合: LDAP RoleまたはeDirectory Role

3. 次のいずれかのプロセス定義の「Reconciliation Field Mappings」タブで、「Add Field Map」をクリックします。

   ユーザーの場合: LDAP User、OID UserまたはeDirectory User

   グループの場合: LDAP Group、OID GroupまたはeDirectory Group

   組織単位の場合: LDAP Organizational Unit、OID Organizational UnitまたはeDir Organisation Unit

   ロールの場合: LDAP RoleまたはeDirectory Role

   次に例を示します。

   
   図processreconmapnmvfr.gifの説明
4. 「Add Reconciliation Table Mapping」ダイアログ・ボックスで、リストからフィールド名および表名を選択し、「Save」をクリックしてダイアログ・ボックスを閉じます。次に例を示します。
   
   図processreconmap2nmvfr.gifの説明
5. 新規作成したフィールドを右クリックして、「Define Property Field Map」を選択します
6. 「Field Name」フィールドで、追加するフィールドの値を選択します。
7. 「Process Data Field」フィールドをダブルクリックし、UD_CARLICENを選択します
8. 「Key Field for Reconciliation Field Matching」を選択し、「Save」をクリックします

9.3 プロビジョニング用のカスタム・フィールドの追加

ノート:

この項ではオプションの手順を説明します。この手順は、プロビジョニング用にカスタム・フィールドを追加する場合にのみ実行します。

デフォルトでは、「プロビジョニング用のユーザー・フィールド」で示した属性が、Oracle Identity Managerとターゲット・システム間のプロビジョニング用にマップされます。必要に応じて、追加の属性をプロビジョニング用にマップできます。

プロビジョニング用にカスタム・フィールドを追加するには、次の手順を実行します:

• プロセス・フォームへの新規フィールドの追加

• 新しいフォームとアプリケーション・インスタンスの関連付け

• プロビジョニング用の参照定義でのフィールドのエントリの作成

• カスタム・フィールドでの更新プロビジョニング操作の有効化

• リクエスト・データセットの更新

• PurgeCacheユーティリティの実行およびMDSへのリクエスト・データセット定義のインポート

9.3.1 プロセス・フォームへの新規フィールドの追加

プロセス・フォームに新しいフィールドを追加するには:

1. Oracle Identity Manager Design Consoleにログインします。

2. プロセス・フォームに新しいフィールドを追加します。

   「プロセス・フォームでのカスタム・フィールドの追加」に記載されている手順を実行してプロセス・フォームにフィールドを追加した場合は、フィールドを再度追加する必要はありません。フィールドを追加していない場合は、次のようにします。

   1. 「Development Tools」を開き、「Form Designer」をダブルクリックします。

   2. UD_LDAP_USR、UD_OID_USRまたはUD_EDIR_USRプロセス・フォームを検索し、開きます。

   3. 「Create New Version」をクリックし、「Add」をクリックします。

   4. フィールドの詳細を入力します。

      たとえば、「Description」フィールドを追加している場合は、「Name」フィールドにUD_LDAP_USR_DESCRIPTIONまたはUD_OID_USR_DESCRIPTIONを入力し、このフィールドのその他の詳細情報を入力します。

   5. 「Save」をクリックし、「Make Version Active」をクリックします次に例を示します。

      
      図processformcfprov.gifの説明

9.3.2 新しいフォームとアプリケーション・インスタンスの関連付け

Oracle Identity Managerリリース11.1.2.x以降を使用している場合、次のようにして、Design Consoleの「フォーム・デザイナ」に加えられたすべての変更を、新しいUIフォームで実行する必要があります。

1. Oracle Identity System Administrationにログインします。
2. サンドボックスを作成し、アクティブにします。詳細は、サンドボックスの作成およびアクティブ化を参照してください。
3. 新たに追加したフィールドと残りのフィールドを表示するために新しいUIフォームを作成します。UIフォームの作成の詳細は、UIフォームの新規作成を参照してください。
4. 新たに作成したUIフォームをターゲット・システムのアプリケーション・インスタンスに関連付けます。そのためには、リソースに対する既存のアプリケーション・インスタンスを開いて、フォームフィールドからフォーム(ステップ3.cで作成済)を選択し、アプリケーション・インスタンスを保存します。
5. サンドボックスを公開します。詳細は、サンドボックスの公開を参照してください。

9.3.3 プロビジョニング用の参照定義でのフィールドのエントリの作成

プロビジョニングの参照定義で、次のようにして、フィールドのエントリを作成します。

1. 「Administration」を開き、「Lookup Definition」をダブルクリックします
2. Lookup.LDAP.UM.ProvAttrMap、Lookup.OID.UM.ProvAttrMapまたはLookup.EDIR.UM.ProvAttrMap参照定義を検索して開きます。
3. 「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。デコード値は、ターゲット・システムのフィールドの名前にする必要があります。

   たとえば、コード・キー・フィールドにはDescription(「プロセス・フォームへの新規フィールドの追加」でプロセス・フォームに追加したフィールドの名前)、デコード・フィールドにはdescriptionと入力します。次に例を示します。

   
   図provattrmaplookupcfprov.gifの説明
4. 「保存」をクリックします。

9.3.4 カスタム・フィールドでの更新プロビジョニング操作の有効化

カスタム・フィールドでの更新プロビジョニング操作を次のように有効化します。

1. プロビジョニング処理で、フィールドを更新する新しいタスクを、次のようにして作成します。

   1. 「Process Management」を開き、「Process Definition」をダブルクリックします。

   2. LDAP User、OID UserまたはeDirectory Userプロビジョニング・プロセスを検索して開きます。

   3. 「Add」をクリックしてタスクの名前および説明を入力します。次にサンプル値を示します。

      Task Name: Description Updated

      Task Description: Process Task for handling update of the description field.

   4. 「Task Properties」セクションで、次のフィールドを選択します。

      - 条件付き

      - 保留中の取消しを許可

      - 複数のインスタンスを許可

   5. 「Insert」を選択して、「Trigger Type」リストのデータを追加します。

   6. 「保存」をクリックします。次に例を示します。

      
      図processtask1cfprov.gifの説明

2. プロビジョニング処理で、次のようにして、「Handler Type」セクションでアダプタ名を選択します。

   1. 「Integration」タブに移動し、「Add」をクリックします。

   2. 「Handler Selection」ダイアログ・ボックスで「Adapter」を選択します。

   3. 「Handler Name」列でadpLDAPUPDATEまたはadpLDAPCHILDUPDATEを選択します。

      eDirectoryターゲットの場合は、adpEDIRUPDATEまたはadpEDIRCHILDUPDATEを選択します。

   4. 「Save」をクリックして、ダイアログ・ボックスを閉じます。次に例を示します。

      
      図processtask2cfprov.gifの説明

3. 「Adapter Variable」リージョンでprocInstanceKey変数をクリックします。

4. 表示されるダイアログ・ボックスで次のマッピングを作成します。

   変数名: procInstanceKey

   マップ先: Process Data

   修飾子: Process Instance

5. 「Save」をクリックして、ダイアログ・ボックスを閉じます。次に例を示します。

   
   図processtask3cfprov.gifの説明

6. 「アダプタ変数」リージョンの残りの変数について、「カスタム・フィールドでの更新プロビジョニング操作の有効化」のステップ3から5を繰り返します。各変数について次の表に示す値を「Map To」、「Qualifier」および「Literal Value」リストから選択してください。

   変数	マップ先	修飾子	リテラル値
   アダプタの戻り変数	レスポンス・コード	該当なし	該当なし
   processInstanceKey	プロセス・データ	プロセス・インスタンス	該当なし
   itResourceNameまたはitresourceFieldname (OIDターゲットの場合)	リテラル	文字列	UD_LDAP_USR_SERVER、UD_OID_USR_SERVERまたはUD_EDIR_USR_SERVER
   attrFieldName	リテラル	文字列	説明
   objectType	リテラル	文字列	User

7. 「Responses」タブで「Add」をクリックして、少なくとも、「Status」がCのSUCCESSレスポンス・コードを追加します。これにより、カスタム・タスクが正常に実行された場合に、タスクのステータスがCompletedとして表示されます次に例を示します。

   
   図processtask4cfprov.gifの説明

8. 「Save」アイコンをクリックしてダイアログ・ボックスを閉じ、プロセス定義を保存します。

9.3.5 リクエスト・データセットの更新

ノート:

リクエストベースのプロビジョニングを実行する場合のみ、この項および「PurgeCacheユーティリティの実行およびMDSへのリクエスト・データセット定義のインポート」のステップを実行します。

プロセス・フォームで属性を追加した場合は、リクエスト・データセット定義を含むXMLファイルも更新します。リクエスト・データセットを更新するには:

1. テキスト・エディタで、OIM_HOME/dataset/fileディレクトリにあるXMLファイルを編集のために開きます。
2. AttributeReference要素を追加し、この要素の必須属性の値を指定します。

   たとえば、「プロセス・フォームへの新規フィールドの追加」での手順の実行中にプロセス・フォームに属性としてEmployee IDを追加した場合は、次の行を入力します:

   <AttributeReference
   name = "Employee ID"
   attr-ref = "Employee ID"
   type = "String"
   widget = "text"
   length = "50"
   available-in-bulk = "false"/>
   

   このAttributeReference要素の属性は次のように指定します。

   • name属性では、プロセス・フォームの「Name」列の値を表名接頭辞を付けずに入力します。

     たとえば、従業員IDがプロセス・フォームの「Name」列の値である場合、AttributeReference要素のname属性の値としてEmployee IDを指定する必要があります。

   • attr-ref属性の場合は、「プロセス・フォームへの新規フィールドの追加」の実行中にプロセス・フォームの「Field Label」列に入力した値を入力します。

   • type属性の場合は、「プロセス・フォームへの新規フィールドの追加」の実行中にプロセス・フォームの「Variant Type」列に入力した値を入力します。

   • widget属性の場合は、「プロセス・フォームへの新規フィールドの追加」の実行中にプロセス・フォームの「Field Type」列に入力した値を入力します。

   • length属性の場合は、「プロセス・フォームへの新規フィールドの追加」の実行中にプロセス・フォームの「Length」列に入力した値を入力します。

   • available-in-bulk属性では、バルク・リクエストの作成または変更で属性を使用する必要がある場合にはtrueを指定します。それ以外の場合は、falseを指定します。

   「プロセス・フォームへの新規フィールドの追加」のステップの実行中に、プロセス・フォームで複数の属性を追加した場合は、追加した属性ごとにこのステップを繰り返します。

3. XMLファイルを保存して閉じます。

9.3.6 PurgeCacheユーティリティの実行およびMDSへのリクエスト・データセット定義のインポート

PurgeCacheユーティリティを実行して、サーバー・キャッシュからのデータセットのリクエストに関連するコンテンツをクリアします。

PurgeCacheユーティリティの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のキャッシュのパージに関する項を参照してください。

XML形式のリクエスト・データセット定義をMDSにインポートします。

この手順の詳細は、「リクエスト・データセットのインポート」を参照してください。

9.4 プロビジョニングへの新規複数値フィールドの追加

ノート:

この項ではオプションの手順を説明します。この手順は、プロビジョニング用に複数値フィールドを追加する場合にのみ実行します。

プロビジョニング用に新しい複数値フィールドを追加するには、次の手順を実行します。

• プロビジョニング用の参照定義でのフィールドのエントリの作成

• プロセス定義での複数値属性のプロビジョニングのためのタスクの追加

• リクエスト・データセットの更新

• PurgeCacheユーティリティの実行およびMDSへのリクエスト・データセット定義のインポート

ノート:

次の手順を始める前に、「複数値フィールド用のフォームの作成」から「リソース・オブジェクト・リコンシリエーション・フィールドへの新しい複数値フィールドの追加」に記載されている手順を実行します。ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加する際にこれらのステップを実行した場合は、繰り返し実行する必要はありません。

9.4.1 プロビジョニング用の参照定義でのフィールドのエントリの作成

プロビジョニングの参照定義で、次のようにして、フィールドのエントリを作成します。

1. Oracle Identity Manager Design Consoleにログインします。
2. 「管理」を開き、「参照定義」をダブルクリックします。
3. ターゲット・システムに応じて次のいずれかの参照定義を検索して開きます。

   • グループ・フィールドの場合は、Lookup.LDAP.Group.ProvAttrMapまたはLookup.OID.Group.ProvAttrMapを開きます

   • 組織単位フィールドの場合は、Lookup.LDAP.OU.ProvAttrMapまたはLookup.OID.OU.ProvAttrMapを開きます

   • ロール・フィールドの場合は、Lookup.LDAP.Role.ProvAttrMapを開きます

4. 「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。コード・キーとデコードの値は次の形式にする必要があります。

   コード・キー: CHILD_FORM_NAME~CHILD_FIELD_LABEL

   この形式で、CHILD_FORM_NAMEは子フォームの名前を指定します。CHILD_FIELD_NAMEは、管理およびユーザー・コンソールのOIMユーザー子フォームにあるフィールドの名前を指定します。

   デコード: 対応するターゲット・システム属性

   ノート:

   ターゲット・システム・フィールドには、ターゲット・システムと同じ大文字または小文字を使用する必要があります。フィールド名では、大/小文字が区別されるためです。

   たとえば、「Code Key」フィールドにはUD_CARLICEN~Car License、「Decode」・フィールドにはcarLicenseと入力します。

   
   図grp_prov_attr_map1.pngの説明

9.4.2 プロセス定義での複数値属性のプロビジョニングのためのタスクの追加

プロセス定義の複数値属性をプロビジョニングするためのタスクを追加するには、次の手順を実行します。

• プロセス定義の更新

• アダプタの選択

• アダプタ変数マッピングの作成

• プロセス・タスクの更新

9.4.2.1 プロセス定義の更新

次のようにして、プロセス定義にプロビジョニングの複数値属性用のタスクを追加します。

1. プロセス管理開きます。
2. 「プロセス定義」をダブルクリックします。
3. 次のいずれかのプロセス定義を検索して開きます。

   グループの場合: LDAP GroupまたはOID Group

   組織単位の場合: LDAP Organizational UnitまたはOID Organizational Unit

   ロールの場合: LDAP Role

4. 「Add」をクリックしてタスクの名前および説明を入力します。たとえば、タスクの名前および説明としてCar License Addedと入力します。
5. 「Task Properties」セクションで、次のフィールドを選択します。

   • 条件付き

   • Allow Cancellation while Pending

   • 複数のインスタンスを許可

   • UD_CARLICEN (「Child Table」リストの子表を追加する場合)

   • Insert(「Trigger Type」リストのデータを追加する場合)

     次に例を示します。

     
     図add_task_mulvald_field1.pngの説明
6. 「保存」をクリックします。

9.4.2.2 アダプタの選択

次のようにしてアダプタを選択します。

1. LDAP User、OID UserまたはeDirectory Userプロビジョニング・プロセスの「Integration」タブで、「Add」をクリックしてから「Adapter」を選択します。

   アダプタのリストからadpLDAPADDCHILDTABLEVALUEまたはadpOIDADDCHILDTABLEVALUEを選択します。

   
   図step5.gifの説明
2. 「Save」をクリックしてダイアログ・ボックスを閉じます。

9.4.2.3 アダプタ変数マッピングの作成

次のようにアダプタ変数マッピングを作成します。

1. 「Adapter Variable」リージョンでprocInstanceKey変数をクリックします。
2. 表示されるダイアログ・ボックスで次のマッピングを作成します。

   変数名: procInstanceKey

   マップ先: Process Data

   修飾子: Process Instance

   次に例を示します。

   
   図add_map_adapter1.pngの説明
3. 「Save」をクリックして、ダイアログ・ボックスを閉じます。
4. 次のいずれかのステップを実行します。

   ユーザーの場合:

   「Adapter Variable」リージョンの残りの変数について、ステップ1から3を繰り返します。各変数について次の表に示す値を「Map To」、「Qualifier」および「Literal Value」リストから選択してください。

   変数	マップ先	修飾子	リテラル値
   processInstanceKey	プロセス・データ	プロセス・インスタンス	該当なし
   アダプタの戻り変数	レスポンス・コード	該当なし	該当なし
   itResourceName	リテラル	文字列	UD_LDAP_USR_SERVER、UD_OID_USR_SERVERまたはUD_EDIR_USR_SERVER
   childTableName	リテラル	文字列	UD_CARLICEN
   objectType	リテラル	文字列	User
   childPrimarykey	プロセス・データ(子表 の説明)	子の主キー	該当なし

   グループの場合:

   次の表に示すすべての変数に関して、ステップ1から3を繰り返します。各変数について次の表に示す値を「Map To」、「Qualifier」および「Literal Value」リストから選択してください。

   変数	マップ先	修飾子	リテラル値
   procInstanceKey	プロセス・データ	プロセス・インスタンス	該当なし
   アダプタの戻り変数	レスポンス・コード	該当なし	該当なし
   itResourceName	リテラル	文字列	UD_LDAP_USR_SERVER、UD_OID_USR_SERVERまたはUD_EDIR_USR_SERVER
   childTableName	リテラル	文字列	UD_CHILD_PROCESS_FORM_NAME
   objectType	リテラル	文字列	Group
   childPrimarykey	プロセス・データ(子表 の説明)	子の主キー	該当なし

   組織単位の場合:

   次の表に示すすべての変数に関して、ステップ1から3を繰り返します。各変数について次の表に示す値を「Map To」、「Qualifier」および「Literal Value」リストから選択してください。

   変数	マップ先	修飾子	リテラル値
   procInstanceKey	プロセス・データ	プロセス・インスタンス	該当なし
   アダプタの戻り変数	レスポンス・コード	該当なし	該当なし
   itResourceName	リテラル	文字列	UD_LDAP_USR_SERVER、UD_OID_USR_SERVERまたはUD_EDIR_USR_SERVER
   childTableName	リテラル	文字列	UD_CHILD_PROCESS_FORM_NAME
   objectType	リテラル	文字列	OU
   childPrimarykey	プロセス・データ(子表 の説明)	子の主キー	該当なし

5. 「Responses」タブで「Add」をクリックして、少なくとも、「Status」がCのSUCCESSレスポンス・コードを追加します。これにより、カスタム・タスクが正常に実行された場合に、タスクのステータスがCompletedとして表示されます次に例を示します。
   
   図processtask4nmvfprov.gifの説明
6. 「Save」アイコンをクリックしてダイアログ・ボックスを閉じ、プロセス定義を保存します。

9.4.2.4 プロセス・タスクの更新

プロセス・タスクを次のように更新します。

1. 「プロセス定義の更新」から「アダプタ変数マッピングの作成」に記載されている手順を実行して「Car License Update」プロセス・タスクを追加します。ただし、次の箇所が異なります。

   • 「Updating the Process Definition」のステップ5を実行するときに、子表リストからUD_CARLICENを選択するかわりに、UD_CARLICNを選択します。同じく、「Trigger Type」リストから「nsert」を選択するかわりに「Update」を選択します。

   • 「アダプタ変数マッピングの作成」のステップ4を実行するときに、childPrimarykey変数は表示されません。かわりに、他の変数に追加して、次の変数をその個々の値とともにマップします。

     変数	マップ先	修飾子	リテラル値
     taskInstanceKey	タスク情報	タスク・インスタンス・キー	該当なし

2. 「プロセス定義の更新」から「アダプタ変数マッピングの作成」に記載されている手順を実行して「Car License Delete」プロセス・タスクを追加します。ただし、次の箇所が異なります。

   • 「Updating the Process Definition」のステップ5を実行するときに、子表リストからUD_CARLICENを選択するかわりに、UD_CARLICNを選択します。同じく、「Trigger Type」リストから「Insert」を選択するかわりに「Delete」を選択します。

   • 「アダプタ変数マッピングの作成」のステップ4を実行するときに、childPrimarykey変数は表示されません。かわりに、他の変数に追加して、次の変数をその個々の値とともにマップします。

     変数	マップ先	修飾子	リテラル値
     taskInstanceKey	タスク情報	タスク・インスタンス・キー	該当なし

3. プロセス・タスクで「Save」をクリックします。

   ノート:

   プロビジョニング操作時に、複数値フィールドの値を追加または削除できます。これらの値は更新できません。

9.4.3 リクエスト・データセットの更新

リクエスト・データセットを更新します。

ノート:

リクエストベースのプロビジョニングを有効にした場合のみ、この項および「PurgeCacheユーティリティの実行およびMDSへのリクエスト・データセット定義のインポート」のステップを実行します。

プロセス・フォームで属性を追加した場合は、リクエスト・データセット定義を含むXMLファイルも更新します。リクエスト・データセットを更新するには、次の手順を実行します。

1. テキスト・エディタで、OIM_HOME/DataSet/fileディレクトリにあるXMLファイルを編集のために開きます。
2. AttributeReference要素を追加し、この要素の必須属性の値を指定します。

   たとえば、プロセス・フォームの属性として「Car License」を追加した場合は、次の行を入力します。

   <AttributeReference
   name = "Car License"
   attr-ref = "Car License"
   type = "String"
   widget = "text"
   length = "50"
   available-in-bulk = "false"/>
   

   このAttributeReference要素の属性は次のように指定します。

   • name属性では、プロセス・フォームの「Name」列の値を表名接頭辞を付けずに入力します。

     たとえば、UD_CAR_LICENSEがプロセス・フォームの「Name」列の値である場合、AttributeReference要素のname属性の値としてCar Licenseを指定する必要があります。

   • attr-ref属性では、プロセス・フォームの「Field Label」列に入力した値を入力します。

   • type属性では、プロセス・フォームの「Variant Type」列に入力した値を入力します。

   • widget属性では、プロセス・フォームの「Field Type」列に入力した値を入力します。

   • length属性では、プロセス・フォームの「Length」列に入力した値を入力します。

   • available-in-bulk属性では、バルク・リクエストの作成または変更で属性を使用する必要がある場合にはtrueを指定します。それ以外の場合は、falseを指定します。

   プロセス・フォームに複数の属性を追加した場合は、追加した属性ごとにこのステップを繰り返します。

3. XMLファイルを保存して閉じます。

9.4.4 PurgeCacheユーティリティの実行およびMDSへのリクエスト・データセット定義のインポート

PurgeCacheユーティリティを実行して、サーバー・キャッシュからのデータセットのリクエストに関連するコンテンツをクリアします。

PurgeCacheユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のキャッシュのパージに関する項を参照してください。

XML形式のリクエスト・データセット定義をMDSにインポートします。

9.5 信頼できるソースのリコンシリエーション用の新規フィールドの追加

ノート:

この項ではオプションの手順を説明します。この手順は、信頼できるソースのリコンシリエーション用に新規フィールドを追加する場合にのみ実行します。

デフォルトでは、表1-33に示した属性が、リコンシリエーション用にOracle Identity Managerとターゲット・システム間でマップされます。必要に応じて、信頼できるソースのリコンシリエーション用に新しいフィールドを追加できます。これを行うには、次の手順を実行します。

• OIMユーザー・プロセス・フォームでの新規フィールドの追加

• リソース・オブジェクトのリコンシリエーション・フィールドへの新規フィールドの追加

• リコンシリエーション・フィールド・マッピングの作成

• リコンシリエーション用の参照定義でのフィールドのエントリの作成

9.5.1 OIMユーザー・プロセス・フォームでの新規フィールドの追加

OIMユーザー・プロセス・フォームに新しいフィールドを追加するには:

1. Oracle Identity Manager Design Consoleにログインします。

2. Oracle Identity Managerリリース11.1.1.5.3より前のリリースを使用している場合は、次のようにして、OIMユーザー・プロセス・フォームに新しいフィールドを追加します。

   1. 「管理」を開きます。

   2. 「User Defined Field Definition」をダブルクリックします。

   3. Usersフォームを検索して開きます。

   4. 「Add」をクリックしてフィールドの詳細を入力します。

      たとえば、「Employee ID」フィールドを追加する場合、「Name」フィールドにEmployee IDと入力してデータ型を「String」に設定し、列名としてUSR_UDF_EMPLOYEE_IDと入力してフィールド・サイズ値を入力します。

   5. 「保存」をクリックします。

3. Oracle Identity Managerリリース11.1.1.5.3を使用している場合は、Oracle Identity拡張管理インタフェースを使用して、OIMユーザー・プロセス・フォームに新しいフィールドを追加します。

4. Oracle Identity Managerリリース11.1.2以降を使用している場合は、『Oracle Fusion Middleware Oracle Identity Managerの管理』のカスタム属性の構成に関する項で説明されている手順を実行して、OIMユーザー・プロセス・フォームに新しいフィールドを追加します。

9.5.2 リソース・オブジェクトのリコンシリエーション・フィールドへの新規フィールドの追加

リソース・オブジェクトのリコンシリエーション・フィールドのリストに、次のようにして、新しいフィールドを追加します。

1. 「Resource Management」フォルダを開きます。
2. 「リソース・オブジェクト」をダブルクリックします。
3. LDAP Trusted UserまたはOID Trusted Userリソース・オブジェクトを検索して開きます。
4. 「Object Reconciliation」タブで、「Add field」をクリックします。
5. フィールドの詳細を入力して「Save」をクリックします。

   たとえば、「Field Name」フィールドにEmployee IDを入力し、フィールド・タイプのリストから「string」を選択します。

   この手順でこの後、リコンシリエーションのための参照定義の中に作成するエントリのデコード値として、フィールド名を入力します。

6. 「Create Reconciliation Profile」をクリックします。これにより、リソース・オブジェクトに行われた変更がMDSにコピーされます。次に例を示します。
   
   図roreconattrsnftr.gifの説明

9.5.3 リコンシリエーション・フィールド・マッピングの作成

次のようにして、新しいフィールド用のリコンシリエーション・フィールド・マッピングを作成します。

1. プロセス管理開きます。
2. 「プロセス定義」をダブルクリックします。
3. LDAP Trusted UserまたはOID Trusted Userプロセス定義を検索して開きます。
4. 「Reconciliation Field Mappings」タブで、「Add Field Map」をクリックします。
5. 「Field Name」フィールドで、追加するフィールドの値を選択します。

   たとえば、「Employee ID = Employee ID」を選択します。次に例を示します。

   
   図processtasknftr.gifの説明
6. 「保存」をクリックします。

9.5.4 リコンシリエーション用の参照定義でのフィールドのエントリの作成

リコンシリエーションの参照定義で、次のようにして、フィールドのエントリを作成します。

1. 「Administration」を開き、「Lookup Definition」をダブルクリックします
2. Lookup.LDAP.UM.ReconAttrMap.Trusted、Lookup.OID.UM.ReconAttrMap.TrustedまたはLookupEDIR.UM.ReconAttrMap.Trusted参照定義を検索して開きます。
3. 「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。コード・キー値は、LDAP Trusted User、OID Trusted UserまたはeDirectory User Trustedリソース・オブジェクトに作成されたフィールド名にする必要があります。デコード値は、ターゲット・システムの対応するフィールドの名前です。

   ノート:

   ターゲット・システム・フィールドには、ターゲット・システムと同じ大文字または小文字を使用する必要があります。フィールド名では、大/小文字が区別されるためです。

   たとえば、「Code Key」フィールドにはemployee ID、「Decode」フィールドにはEmployeeIDと入力します。

   
   図reconattrmapnftr.gifの説明
4. 「保存」をクリックします。
5. 「Field Type」を選択し、「Save」をクリックします。

9.6 リコンシリエーション中のデータの変換の構成

ノート:

この項ではオプションの手順を説明します。この手順は、リコンシリエーション時のデータの変換を構成する場合にのみ実行します。

要件に応じて、リコンサイルされた単一値ユーザー・データの変換を構成できます。たとえば、「名」および「姓」値を使用して、Oracle Identity Managerの「氏名」フィールドの値を作成できます。

リコンシリエーション中にフェッチした単一値のユーザー・データの変換を構成するには:

1. com.transformationexample.MyTransformerのような完全修飾ドメイン名(FQDN)のJavaクラスに必要な変換ロジックを実装するコードを作成します。

   この変換クラスは、変換メソッドを実装する必要があります。次のサンプル変換クラスは、ターゲット・システムの「名」および「姓」属性からフェッチした値を使用して、「氏名」属性の値を作成します。

   package com.transformationexample;
   
   import java.util.HashMap;
    
    
   public class MyTransformer {
       public Object transform(HashMap hmUserDetails, HashMap hmEntitlementDetails, String sField) {
           /*
           * You must write code to transform the attributes.
           * Parent data attribute values can be fetched by
           * using hmUserDetails.get("Field Name").
           * To fetch child data values, loop through the
           * ArrayList/Vector fetched by hmEntitlementDetails.get("Child Table")
           * Return the transformed attribute.
           */
           String sFirstName = (String) hmUserDetails.get("First Name");
           String sLastName = (String) hmUserDetails.get("Last Name");
           return sFirstName + "." + sLastName;
    
       }
   }
   

2. Design Consoleにログインします。
3. Lookup.LDAP.UM.ReconTransformation、Lookup.OID.UM.ReconTransformationまたはLookup.EDIR.UM.ReconTransformationという名前の新しい参照定義を作成します。
4. コード・キー列に、変換するリソース・オブジェクト・フィールド名を入力します。たとえば、givenNameなどです。
5. デコード列で、クラス名を入力します。たとえば、com.transformationexample.MyTransformerなどです。
6. 参照定義に変更を保存します。
7. Lookup.LDAP.UM.ConfigurationまたはLookup.OID.UM.Configuration参照定義を検索して開きます。
8. 「Code Key」列に、Recon Transformation Lookupを入力します
9. 「Decode」列に、Lookup.LDAP.UM.ReconTransformationまたはLookup.OID.UM.ReconTransformationと入力します。
10. 参照定義に変更を保存します。
11. クラスを使用してJARを作成し、次のようにOracle Identity Managerデータベースにアップロードします。

    Oracle Identity Manager JARアップロード・ユーティリティを実行して、JARファイルをOracle Identity Managerデータベースに投稿します。このユーティリティは、Oracle Identity Managerのインストール時に次の場所にコピーされます。

    ノート:

    このユーティリティを使用する前に、Oracle WebLogic ServerをインストールしたディレクトリにWL_HOME環境変数が設定されていることを確認してください。

    • Microsoft Windowsの場合:

      OIM_HOME/server/bin/UploadJars.bat

    • UNIXの場合:

      OIM_HOME/server/bin/UploadJars.sh

    ユーティリティを実行すると、Oracle Identity Manager管理者のログイン資格証明、Oracle Identity Managerホスト・コンピュータのURL、コンテキスト・ファクトリ値、アップロードするJARファイルのタイプおよびJARファイルがアップロードされる場所の入力を求めるプロンプトが表示されます。JARタイプの値として1を指定します。

12. PurgeCacheユーティリティを実行して、サーバー・キャッシュからのデータセットのリクエストに関連するコンテンツをクリアします。
13. リコンシリエーションを実行して、SimpleDisplayNameなどのフィールドの変換を検証します。

9.7 リコンシリエーションおよびプロビジョニング中のデータ検証の構成

ノート:

この項ではオプションの手順を説明します。この手順は、リコンシリエーションおよびプロビジョニング時のデータの検証を構成する場合にのみ実行します。

要件に応じてリコンサイルおよびプロビジョニングされた単一値データの検証を構成できます。たとえば、「名」属性からフェッチしたデータを検証して、そのデータに番号記号(#)が含まれていないことを確認します。また、プロセス・フォームの「名」フィールドに入力したデータを検証して、プロビジョニング操作中にターゲット・システムに番号記号(#)が送信されないようにします。

データの検証を構成するには:

1. com.validationexample.MyValidatorのような完全修飾ドメイン名(FQDN)のJavaクラスに必要な検証ロジックを実装するコードを作成します。

   この検証クラスには、検証メソッドを実装する必要があります。次のサンプル検証クラスは、「名」属性の値に番号記号(#)が含まれるかどうかを確認します。

   package com.validationexample;
   
   import java.util.HashMap;
    
   public class MyValidator {
       public boolean validate(HashMap hmUserDetails, HashMap hmEntitlementDetails, String sField) throws ConnectorException {
    
           /* You must write code to validate attributes. Parent
                    * data values can be fetched by using hmUserDetails.get(field)
                    * For child data values, loop through the
                    * ArrayList/Vector fetched by hmEntitlementDetails.get("Child Table")
                    * Depending on the outcome of the validation operation,
                    * the code must return true or false.
                    */
                    * The transform method can throw
                    *oracle.iam.connectors.icfcommon.extension.ValidationException
                    * in case the validation fails.
                    */
           /*
           * In this sample code, the value "false" is returned if the field
           * contains the number sign (#). Otherwise, the value "true" is
           * returned.
           */
           boolean valid = true;
           String sFirstName = (String) hmUserDetails.get(sField);
           for (int i = 0; i < sFirstName.length(); i++) {
               if (sFirstName.charAt(i) == '#') {
                   valid = false;
                   break;
               }
           }
           return valid;
    
       }
   }
   

2. Design Consoleにログインします。
3. 次のいずれかの新しい参照定義を作成します。

   • リコンシリエーション用のデータの検証を構成するには:

     Lookup.LDAP.UM.ReconValidationまたはLookup.OID.UM.ReconValidation

   • プロビジョニング用のデータの検証を構成するには:

     Lookup.LDAP.UM.ProvValidation またはLookup.OID.UM.ProvValidation

4. コード・キー列で、検証するリソース・オブジェクト・フィールド名を入力します。たとえば、givenNameなどです。
5. デコード列で、クラス名を入力します。たとえば、com.validationexample.MyValidatorなどです。
6. 参照定義に変更を保存します。
7. Lookup.LDAP.UM.ConfigurationまたはLookup.OID.UM.Configuration参照定義を検索して開きます。
8. コード・キー列で、次のエントリのいずれかを入力します。

   • リコンシリエーション用のデータの検証を構成するには:

     Recon Validation Lookup

   • プロビジョニング用のデータの検証を構成するには:

     Provisioning Validation Lookup

9. 「Decode」列で、次のエントリのいずれかを入力します。

   • リコンシリエーション用のデータの検証を構成するには:

     Lookup.LDAP.UM.ReconValidationまたはLookup.OID.UM.ReconValidation

   • プロビジョニング用のデータの検証を構成するには:

     Lookup.LDAP.UM.ProvValidation またはLookup.OID.UM.ProvValidation

10. 参照定義に変更を保存します。
11. クラスを使用してJARを作成し、次のようにOracle Identity Managerデータベースにアップロードします。

    Oracle Identity Manager JARアップロード・ユーティリティを実行して、JARファイルをOracle Identity Managerデータベースに投稿します。このユーティリティは、Oracle Identity Managerのインストール時に次の場所にコピーされます。

    ノート:

    このユーティリティを使用する前に、Oracle WebLogic ServerをインストールしたディレクトリにWL_HOME環境変数が設定されていることを確認してください。

    • Microsoft Windowsの場合:

      OIM_HOME/server/bin/UploadJars.bat

    • UNIXの場合:

      OIM_HOME/server/bin/UploadJars.sh

    ユーティリティを実行すると、Oracle Identity Manager管理者のログイン資格証明、Oracle Identity Managerホスト・コンピュータのURL、コンテキスト・ファクトリ値、アップロードするJARファイルのタイプおよびJARファイルがアップロードされる場所の入力を求めるプロンプトが表示されます。JARタイプの値として1を指定します。

12. PurgeCacheユーティリティを実行して、サーバー・キャッシュからのデータセットのリクエストに関連するコンテンツをクリアします。
13. リコンシリエーションまたはプロビジョニングを実行して、SimpleDisplayNameなどのフィールドの検証を確認します。

9.8 ユーザー定義オブジェクト・クラスのコネクタの構成

ノート:

この項ではオプションの手順を説明します。この手順は、ユーザー定義オブジェクト・クラスのためにコネクタを構成する場合にのみ実行します。

ユーザー定義オブジェクト・クラスのコネクタを構成するには:

1. オブジェクト・クラスを作成し、必須および任意の属性をオブジェクト・クラスに割り当てます。

   オブジェクト・クラスの作成の詳細は、ターゲット・システムのドキュメントを参照してください。

   ノート:

   作成したオブジェクト・クラスの親として、userオブジェクト・クラスを割り当てます。

2. スキーマをリフレッシュします。
3. プロビジョニング用のオブジェクト・クラスの必須およびオプションの属性を追加するには、「プロビジョニング用のカスタム・フィールドの追加」に記載されている手順を実行します。
4. ターゲット・システムの構成参照定義を次のように設定します。

   • ObjectClassコード・キー値のデコード値が新しいオブジェクト・クラス名を含むように変更します。

   • readSchemaパラメータをtrueに設定します。

     参照名は、Lookup.LDAP.Configuration、Lookup.LDAP.OUD.ConfigurationまたはLookup.OID.Configurationにすることができます。

9.9 カスタム・オブジェクト・クラスを使用するためのコネクタの構成

カスタム・オブジェクト・クラスを使用する場合は、次の手順を実行する必要があります。この項の手順では、「ユーザー」オブジェクト・クラスを例に使用して説明します。

1. 次のようにしてLDAP Userプロセス定義を変更します。

   1. Design Consoleにログインします。

   2. 「Process Management」を開き、「Process Definition」をダブルクリックします。

   3. LDAP Userプロセス定義を検索して開きます。

   4. 「タスク」タブで、LDAPユーザーの作成プロセス・タスクをダブルクリックします。

   5. objectTypeアダプタ変数の値を、カスタム・オブジェクト・クラスの名前に変更します。

   6. 「保存」をクリックします。

   7. 'd'から'g'までのステップを繰り返し、「ユーザー」オブジェクト・クラスに関連付けられている各プロセス・タスクを編集して更新します。LDAPユーザーの削除および更新されたUD_LDAP_USRなどです。

2. 次のスケジュール済ジョブのいずれかを実行する前に、スケジュール済ジョブの「オブジェクト・タイプ」属性の値をカスタム・オブジェクト・クラス値に設定します。

   • LDAP Connector User Search Delete Reconciliation

   • LDAP Connector User Search Reconciliation

   • LDAP Connector User Sync Reconciliation

   • LDAP Connector Trusted User Reconciliation

   • LDAP Connector Trusted User Delete Reconciliation

9.10 複数の信頼できるソースのリコンシリエーション用のコネクタの構成

ノート:

この項ではオプションの手順を説明します。この手順は、複数の信頼できるソースのリコンシリエーションのためにコネクタを構成する場合にのみ実行します。

次に、組織のユーザー・データに対して複数の信頼できるソースが存在する場合の例を示します。

• ターゲット・システムの1つは、従業員に関するデータの信頼できるソースです。2つ目のターゲット・システムは、契約者に関するデータの信頼できるソースです。3つ目のターゲット・システムは、インターンに関するデータの信頼できるソースです。

• 1つのターゲット・システムは、OIMユーザーを構成する一部のアイデンティティ・フィールドのデータを保持します。他の2つのシステムは、残りのアイデンティティ・フィールドのデータを保持します。つまり、OIMユーザーを作成するには、3つのシステム全部からデータをリコンサイルする必要があります。

組織のオペレーティング環境がこれらのシナリオのいずれかで説明されている環境に類似する場合、このコネクタを使用すると、組織のユーザー・データの信頼できるソースの1つとしてターゲット・システムを使用できるようになります。

9.11 POSIXグループおよびアカウントをサポートするコネクタの構成

この手順を実行すると、コネクタがPOSIXグループ(posixGroups)とPOSIXアカウント(posixAccounts)をサポートできるようになります。

この構成を完了すると次のようになります。

• コネクタがPOSIXグループをサポートします。

• 同期リコンシリエーション操作が、POSIXグループ・メンバーシップの変更を戻さなくなります。これらの変更を取得するために、完全検索リコンシリエーション・タスクを使用する必要があります。

コネクタがPOSIXグループおよびアカウントをサポートするように構成するには:

1. Oracle Identity Manager Design Consoleにログインします。

2. Lookup.LDAP.Configuration、Lookup.LDAP.OUD.ConfigurationまたはLookup.OID.Configuration参照定義を次のように変更します。

   1. maintainPosixGroupMembershipをtrueに設定します。

   2. accountObjectClassesに、"posixGroup","posixAccount"を追加します。

   3. objectClassesToSynchronizeに、"posixGroup","posixAccount"を追加します。

   4. groupObjectClassesを"top", "posixGroup"に設定します。

   5. readSchemaをtrueに設定します。

3. Lookup.LDAP.UM.ProvAttrMapおよびLookup.LDAP.UM.ReconAttrMap参照定義で、"ldapGroups"を"posixGroups"で置き換えます。

   OIDでは、Lookup.OID.UM.ProvAttrMapおよびLookup.OID.UM.ReconAttrMap参照定義を更新します。

   eDirectoryでは、Lookup.EDIR.UM.ProvAttrMapおよびLookup.EDIR.UM.ReconAttrMap参照定義を更新します。

4. Lookup.LDAP.Group.ProvAttrMapおよびLookup.LDAP.Group.ReconAttrMap参照定義で、次のマッピングを文字列として追加します。

   GID NUMBER to gidNumber

   OIDでは、Lookup.OID.Group.ProvAttrMapおよびLookup.OID.Group.ReconAttrMap参照定義を更新します。

   OIDでは、Lookup.EDIR.Group.ProvAttrMapおよびLookup.EDIR.Group.ReconAttrMap参照定義を更新します。

5. LDAP Group、OID GroupまたはeDirectory Groupリソース・オブジェクトに、GID NUMBERフィールドを次のように追加します。

   グループ(LDAP Group、OID GroupまたはeDirectory Group)、「Object Reconciliation」、「Add Field」を順に選択して、GID NUMBERを追加します。

6. LDAP Group、OID GroupまたはeDirectory Groupプロセス・フォームに、GID NUMBERフィールドを追加します。

7. LDAP Group、OID GroupまたはeDirectory Groupプロセス定義に、GID Numberのマッピングを文字列として追加します。

8. Lookup.LDAP.UM.ProvAttrMap およびLookup.LDAP.UM.ReconAttrMap参照定義で、次のマッピングを文字列として追加します。

   • GID NUMBER to gidNumber

   • UID NUMBER to uidNumber

   • HOME DIRECTORY to homedirectory

   OIDでは、Lookup.OID.UM.ProvAttrMapおよびLookup.OID.UM.ReconAttrMap参照定義を更新します。

   eDirectoryでは、Lookup.EDIR.UM.ProvAttrMapおよびLookup.EDIR.UM.ReconAttrMap参照定義を更新します。

9. LDAP User、OID UserまたはeDirectory Userリソース・オブジェクトに、次のフィールドのマッピングを文字列として追加します。

   • GID NUMBER

   • UID NUMBER

   • HOME DIRECTORY

10. LDAP User、OID UserまたはeDirectory Userプロセス・フォームに、次のフィールドのマッピングを文字列として追加します。

    • GID NUMBER

    • UID NUMBER

    • HOME DIRECTORY

11. LDAP User、OID UserまたはeDirectory Userプロセス定義に、次のフィールドのマッピングを文字列として追加します。

    • GID NUMBER

    • UID NUMBER

    • HOME DIRECTORY

12. 終了したら、「Create Reconciliation Profile」をクリックします。

9.12 組織単位のプロビジョニングと並行するカスタム・オブジェクト・クラスのプロビジョニングをサポートするためのコネクタの構成

組織単位(OU)のターゲット・システムに対するプロビジョニングと同時に、カスタム・オブジェクト・クラスをプロビジョニングすることがサポートされています。OUに使用されるオブジェクト・クラスを変更するには、適切な参照定義でキーOU ObjectClassesを追加する必要があります。

このセクションには次のトピックが含まれます:

• 構成参照定義の変更

• カスタム・オブジェクト・クラスの追加について

9.12.1 構成参照定義の変更

設計コンソールで、次の手順を実行して構成参照定義を変更します。

1. Oracle Identity Manager Design Consoleにログインします。
2. 「Administration」を開き、「Lookup Definition」をダブルクリックします。
3. 使用しているターゲット・システムに応じて、次の参照定義のいずれかを検索して開きます。

   • ODSEEまたはOUDの場合: Lookup.LDAP.Configuration

   • OID: Lookup.OID.Configuration

   • eDirectory: Lookup.EDIR.Configuration

4. 「追加」をクリックします。

   新しい行が追加されます。

5. 「Code Key」列に、ouObjectClassesと入力します。
6. 「Decode」列に、カスタム・オブジェクト・クラスの名前を入力します。

   たとえば、top、organizationalUnit、custom ObjectClass 1またはcustom ObjectClass 2などです。

7. 「保存」をクリックします。

9.12.2 カスタム・オブジェクト・クラスの追加について

カスタム・オブジェクト・クラスを追加する場合、OUコンテナ参照のリコンサイルに使用されるスケジュール済タスク(LDAP Connector OU Lookup Reconciliation)が、構成参照定義でouObjectClassesコード・キーのデコード値として指定されたobjectClassesを持つ、そのOUに移入されます。

ただし、LDAP内のOUコンテナにそれに関連付けられたカスタム・オブジェクト・クラスがない場合、スケジュール済タスク(LDAP Connector OU Lookup Reconciliation)は参照を更新しません。デフォルトのOUコンテナ参照をリコンサイルするには、LDAP Connector OU Lookup Reconciliationスケジュール済ジョブのObject Typeパラメータの値としてorganizationalUnitを入力します。これによって参照にすべてのOUが移入されます。これは、デフォルトのOUに対するObjectClassがorganizationalUnitであるためです。

同様の動作は、スケジュール済タスクのLDAP/OID/eDirectory OU検索リコンシリエーション操作および同期化リコンシリエーション操作で観察されます。これらの操作は、ouObjectClassesのデコード・キーで指定されたobjectClassesを持つOUをフェッチします。

デフォルトの動作を取得するには、コード・キーouObjectClassesに対するデコード・キー値をtopまたはorganizationalUnitとして指定する必要があります。