この章では、Novell eDirectoryでのコネクタの使用に関する次の情報を説明します。
eDirectoryターゲット・システムにセキュアな通信を提供するには、Oracle Identity Manager、コネクタ・サーバーおよびeDirectoryターゲット・システムの間でSSLを構成します。
詳細は、「コネクタのSSLの構成」を参照してください
この項では、eDirectoryターゲット・システムのプロビジョニングに関する次の情報を説明します。
Lookup.EDIR.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドをeDirectory属性にマップします。この参照定義は、ユーザー・プロビジョニング操作を実行するために使用されます。
表7-1に、プロビジョニング操作時に値を指定または変更できるターゲット・システムのユーザー・アイデンティティ・フィールドを示します。
表7-1 Lookup.EDIR.UM.ProvAttrMap参照定義のエントリ
プロセス・フォーム・フィールド | ターゲット・システム・フィールド |
---|---|
パスワード |
__PASSWORD__ |
UD_EDIR_ROL~ロール名[LOOKUP] |
rbsAssignedRoles~rbsRole~__NAME__ |
UD_EDIR_ROL~継承可能 |
rbsAssignedRoles~rbsRole~inheritable |
ログオン・スクリプト |
loginScript |
タイムゾーン |
timezone |
役職 |
title |
部門 |
departmentNumber |
UD_EDIR_ROL~スコープ[LOOKUP] |
rbsAssignedRoles~rbsRole~domainScope |
名 |
givenName |
通信言語 |
preferredLanguage |
プロファイル[LOOKUP]プロファイル |
profile |
姓 |
sn |
GUID |
__NAME__="cn=${User_ID},${Container_DN}" |
ユーザーID |
cn |
コンテナDN[IGNORE,LOOKUP] |
ContainerDN |
電子メール |
|
場所 |
l |
電話 |
telephoneNumber |
参照ID |
__UID__ |
UD_EDIR_GRP~グループ名[LOOKUP] |
ldapGroups |
ミドル・ネーム |
initials |
Lookup.EDIR.Group.ProvAttrMap参照定義は、プロセス・フォーム・フィールドをeDirectory属性にマップします。この参照定義は、グループ・プロビジョニング操作を実行するために使用されます。
表7-2に、プロビジョニング操作時に値を指定または変更できるターゲット・システムのグループ・アイデンティティ・フィールドを示します。
表7-2 Lookup.EDIR.Group.ProvAttrMap参照定義のエントリ
プロセス・フォーム・フィールド | ターゲット・システム・フィールド |
---|---|
参照ID |
__UID__ |
コンテナDN[IGNORE,LOOKUP] |
ContainerDN |
グループ名 |
cn |
GUID |
__NAME__="cn=${Group_Name},${Container_DN}" |
Lookup.EDIR.Role.ProvAttrMap参照定義は、プロセス・フォーム・フィールドをeDirectory属性にマップします。この参照定義は、ロール・プロビジョニング操作を実行するために使用されます。
ノート:
ロールの子フォームの範囲属性は、Lookup.EDIR.DefaultScope参照定義に基づいて事前に値が設定されます。プロビジョニングまたはリコンシリエーション操作を実行する前に、デフォルト値をこの参照に手動で入力する必要があります。値が1つだけ必要です。
表7-3に、プロビジョニング操作時に値を指定または変更できるターゲット・システムのロール・アイデンティティ・フィールドを示します。
表7-3 Lookup.EDIR.Role.ProvAttrMap参照定義のエントリ
プロセス・フォーム・フィールド | ターゲット・システム・フィールド |
---|---|
ロール・コンテナ[IGNORE,LOOKUP] |
ContainerDN |
参照ID |
__UID__ |
GUID |
__NAME__="cn=${Role_Name},${Role_Container}" |
ロール名 |
cn |
Lookup.EDIR.OU.ProvAttrMap参照定義は、プロセス・フォーム・フィールドをeDirectory属性にマップします。この参照定義は、組織単位プロビジョニング操作を実行するために使用されます。
表7-4に、プロビジョニング操作時に値を指定または変更できるターゲット・システムの組織単位フィールドを示します。
表7-4 Lookup.EDIR.OU.ProvAttrMap参照定義のエントリ
プロセス・フォーム・フィールド | ターゲット・システム・フィールド |
---|---|
組織名 |
ou |
参照ID |
__UID__ |
GUID |
__NAME__="ou=${Organisation_Name},${Container_DN}" |
コンテナDN[LOOKUP,IGNORE] |
ContainerDN |
この項では、リコンシリエーションに関する次の情報を説明します。
Lookup.EDIR.UM.ReconAttrMap.Trusted参照定義は、Oracle Identity ManagerフィールドをeDirectoryフィールドにマップします。この参照定義は、信頼できるリコンシリエーション操作を実行するために使用されます。
表7-4に、Lookup.EDIR.UM.ReconAttrMap.Trusted参照定義の対応するフィールドを示します。
表7-5 Lookup.EDIR.UM.ReconAttrMap.Trusted参照定義のエントリ
OIMフィールド | ターゲット・システム・フィールド |
---|---|
FAX |
facsimileTelephoneNumber |
ページャ |
pager |
ステータス[TRUSTED] |
__ENABLE__ |
名 |
givenName |
役職 |
title |
場所 |
l |
電子メール |
|
番地 |
street |
電話 |
telephoneNumber |
部門番号 |
departmentNumber |
住所 |
postalAddress |
entryDN[IGNORE] |
entryDN |
ユーザーID |
cn from entryDN |
郵便番号 |
postalCode |
parentDN[IGNORE] |
__PARENTDN__ |
姓 |
sn |
このセクションには次のトピックが含まれます:
次に、プロセス一致ルールを示します。
ルール名: eDirectory User Trusted
ルール要素: (GUID Equals guid) OR (User Login Equals User ID)
最初のルール・コンポーネント内には、次のものがあります。
Equalsの左のGUIDは、ユーザーの一意IDです。
Equalsの右のguidは、ターゲット・システムのユーザーのユーザーIDフィールドです。
2番目のルール・コンポーネント内には、次のものがあります。
User Loginは、OIMユーザー・フォームの「ユーザー・ログイン」フィールドです。
User IDは、ターゲット・システムのユーザーIDフィールドです。
コネクタのデプロイ後、次のステップを実行して、ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールを表示できます。
図7-1 ターゲット・リソース・リコンシリエーションの「Reconciliation Rule Builder」画面
ノート:
次のオプション・タスクを実行する前に、ターゲット・システムの組織に対応する組織を同じ名前でOracle Identity Managerに作成したことを確認します。
eDirectoryターゲット・システムのユーザーを、Oracle Identity Managerの対応する組織にリコンサイルするには、次の手順を実行します。
この項では、eDirectoryターゲット・システムの次の事前構成済参照定義について説明します。
Lookup.EDIR.Configuration参照定義は、ターゲット・リソースのリコンシリエーションおよびプロビジョニング操作で使用されるコネクタ構成エントリを含みます。
表7-6に、この参照定義のデフォルト・エントリを示します。
表7-6 Entries in the Lookup.EDIR.Configuration参照定義のエントリ
コード | デコード | 説明 |
---|---|---|
OU Configuration Lookup |
Lookup.EDIR.OU.Configuration |
このエントリは、組織固有の構成プロパティを含む参照定義の名前を含みます。この参照定義は、組織単位のリコンシリエーションを実行するときに構成参照定義として使用されます。 このエントリは変更しないでください。 |
Connector Name |
org.identityconnectors.ldap.LdapConnector |
このエントリは、コネクタ・クラスの名前を含みます。 このエントリは変更しないでください。 |
User Configuration Lookup |
Lookup.EDIR.UM.Configuration |
このエントリには、ユーザー特有の構成プロパティを含む参照定義の名前が保持されます。この参照定義は、ユーザーのリコンシリエーションを実行するときに構成参照定義として使用されます。 このエントリは変更しないでください。 |
uidInBinary |
TRUE |
この属性は、UIDフィールドのタイプがバイナリであることを示します。バイナリ値はOIMでは16進数形式で格納されます。 |
Bundle Name |
org.identityconnectors.ldap |
このエントリは、コネクタ・バンドル・パッケージの名前を含みます。このエントリは変更しないでください。 |
enabledAttribute |
loginDisabled |
このエントリは、アカウントを有効化または無効化するために必要な属性の名前を保持します。 |
activateMembershipAttributesAtUser |
TRUE |
ユーザー・エントリでグループ・メンバーシップ属性をアクティブ化します。すべてのグループ・メンバーシップについて、ユーザー・エントリがグループ・メンバーシップ属性で変更されます。 |
accountObjectClasses |
"ndsLoginProperties","top","person","organizationalPerson","inetOrgPerson" |
このエントリは、USERオブジェクトで必要なオブジェクト・クラスのリストを保持します。 |
uidAttribute |
guid |
このエントリは、事前定義済のUID属性をマッピングする必要があるLDAP属性を保持します。 |
rBSRole Configuration Lookup |
Lookup.EDIR.Role.Configuration |
このエントリは、ロール固有の構成プロパティを含む参照定義の名前を保持します。この参照定義は、ロールのリコンシリエーションを実行するときに構成参照定義として使用されます。このエントリは変更しないでください。 |
Bundle Version |
1.0.6380 |
このエントリは、コネクタ・バンドル・クラスのバージョンを含みます。このエントリは変更しないでください。 |
groupMemberAttribute |
member |
このエントリは、GROUPオブジェクトで必要なオブジェクト・クラスのリストを保持します。 |
Any Incremental Recon Attribute Type |
TRUE |
すべてのトークンの形式がリコンシリエーション時に受け入れられることを指定します。Novell eDirectoryでは、トークンの型はStringです。 |
enabledValue |
FALSE |
このエントリは、アカウントが有効になっているときに常に、enabledAttributeプロパティで定義される属性のために使用する値を指定します。 |
ldapGroupMembershipAttribute |
groupMembership |
このフィールドはユーザー・エントリのグループ参照で更新されます。更新されるのは、activateGroupMembershipAttribute構成がtrueに設定されている場合のみです。 |
Group Configuration Lookup |
Lookup.EDIR.Group.Configuration |
このエントリは、グループ固有の構成プロパティを含む参照定義の名前を含みます。この参照定義は、グループのリコンシリエーションを実行するときに構成参照定義として使用されます。このエントリは変更しないでください。 |
disabledValue |
TRUE |
このエントリは、アカウントが無効になっているときに常に、enabledAttributeプロパティで定義される属性のために使用する値を指定します。 |
secondaryGroupMemberAttributes |
equivalentToMe |
プライマリ・メンバーシップ属性の他に、ユーザー参照で更新する必要があるグループ・エントリの属性。 |
readTimeout |
120000ミリ秒 |
このプロパティは、読取りタイムアウトの構成プロパティの値を保持します。これらの値は、必要に応じて増減できます。このプロパティが構成参照定義に追加されない場合、デフォルトで値は60000ミリ秒に設定されます。 |
connectTimeout |
120000ミリ秒 |
このプロパティは、接続タイムアウトの構成プロパティの値を保持します。これらの値は、必要に応じて増減できます。このプロパティが構成参照定義に追加されない場合、デフォルトで値は60000ミリ秒に設定されます。 |
referrals |
ignore、followまたはthrow |
このプロパティは、読取りリフェラルの構成プロパティの値を保持します。このプロパティが構成参照定義に追加されない場合、デフォルトで値はignoreに設定されます。 |
Lookup.EDIR.CommLang参照定義は、サポートされるユーザー言語を含みます。この参照定義のエントリは変更しないでください。表7-7に、デフォルト・エントリを示します。
表7-7 Lookup.EDIR.CommLang参照定義のエントリ
コード・キー | デコード |
---|---|
TRADITIONAL CHINESE |
TRADITIONAL CHINESE |
GERMAN |
GERMAN |
BRAZILIAN PORTUGUESE |
BRAZILIAN PORTUGUESE |
JAPANESE |
JAPANESE |
ITALIAN |
ITALIAN |
KOREAN |
KOREAN |
SIMPLIFIED CHINESE |
SIMPLIFIED CHINESE |
ENGLISH |
ENGLISH |
FRENCH |
FRENCH |
SPANISH |
SPANISH |
この項では、ユーザー操作のための次の参照定義について説明します。
Lookup.EDIR.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、ユーザー管理操作で使用されます。
表7-8に、この参照定義のデフォルト・エントリを示します。
表7-8 Lookup.EDIR.UM.Configuration参照定義のエントリ
コード | デコード |
---|---|
Provisioning Attribute Map |
Lookup.EDIR.UM.ProvAttrMap |
Provisioning Exclusion List |
Lookup.EDIR.UM.ProvExclusions |
Provisioning Validation Lookup |
Lookup.EDIR.UM.ProvValidations |
Recon Attribute Defaults |
Lookup.EDIR.UM.ReconDefaults |
Recon Attribute Map |
Lookup.EDIR.UM.ReconAttrMap |
Recon Exclusion List |
Lookup.EDIR.UM.ReconExclusions |
Recon Transformation Lookup |
Lookup.EDIR.UM.ReconTramsformations |
Recon Validation Lookup |
Lookup.EDIR.UM.ReconValidations |
Lookup.EDIR.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドをeDirectory属性にマップします。この参照定義は、ユーザー・プロビジョニング操作を実行するために使用されます。
この参照定義のエントリは、表7-1を参照してください。
Lookup.EDIR.UM.ReconAttrMap参照定義は、ユーザー・リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。この参照定義は、ターゲット・リソースのユーザー・リコンシリエーションを実行するために使用されます。
表7-9に、この参照定義のエントリを示します。
表7-9 Lookup.EDIR.UM.ReconAttrMap参照定義のエントリ
コード | デコード |
---|---|
Communication Language |
preferredLanguage |
Container DN[LOOKUP] |
__PARENTDN__ |
Department |
departmentNumber |
entryDN[IGNORE] |
entryDN |
First Name |
givenName |
Guid __UID__ |
|
Last Name |
sn |
Location |
l |
Logon Script |
loginScript |
Middle Initial |
initials |
parentDN[IGNORE] |
__PARENTDN__ |
Profile |
profile |
refid |
__UID__ |
Role~Inheritance |
rbsAssignedRoles~rbsRole~inheritable |
ロール~ロール名[LOOKUP] |
rbsAssignedRoles~rbsRole~__NAME__ |
Role~Scope[LOOKUP] |
rbsAssignedRoles~rbsRole~domainScope |
セキュリティ・グループ~グループ名[LOOKUP] |
ldapGroups |
Status |
__ENABLE__ |
Telephone |
telephoneNumber |
TimeZone |
timezone |
Title |
title |
User ID |
entryDN ノート: "User ID"コード・キーのデコード値は、一意の値が含まれているターゲット・システム属性に常にマップされている必要があります。 |
eDirectoryターゲット・システム使用される他の参照定義には次のものがあります。
Lookup.EDIR.UM.ProvValidation参照では、任意のプロビジョニング属性値に対してカスタム検証を行うことができます。
Lookup.EDIR.UM.ReconValidation参照では、リコンサイルされた任意の値に対して検証を行うことができます。
「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
Lookup.EDIR.UM.ProvExclusions参照では、プロビジョニング中にコネクタで管理してはならないアカウント・プロパティを指定できます。この参照は、除外するアカウントを決定するためのルールも含みます。
Lookup.EDIR.UM.ReconExclusions参照では、リコンシリエーション中にコネクタで管理してはならないアカウント・プロパティを指定できます。この参照は、除外するアカウントを決定するためのルールも含みます。
Lookup.EDIR.UM.ReconDefaults参照では、任意のリコンシリエーション・フィールドのデフォルト値を指定できます。
Lookup.EDIR.UM.ReconTransformation参照では、リコンシリエーション中のカスタム変換を指定できます。「リコンシリエーション中のデータの変換の構成」を参照してください。
この項では、グループ操作のための次の参照定義について説明します。
Lookup.EDIR.Group.Configuration参照定義は、グループ・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、グループ管理操作で使用されます。
表7-10 Lookup.EDIR.Group.Configuration参照定義のエントリ
コード | デコード | 説明 |
---|---|---|
Provisioning Attribute Map |
Lookup.EDIR.Group.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。「Lookup.EDIR.Group.ProvAttrMap」を参照してください。 |
Recon Attribute Map |
Lookup.EDIR.Group.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。「Lookup.EDIR.Group.ReconAttrMap」を参照してください。 |
Lookup.EDIR.Group.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、グループ・プロビジョニング操作の際に使用されます。
この参照定義のエントリは、表7-2を参照してください。
Lookup.EDIR.Group.ReconAttrMaplookup参照定義は、グループのリソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、リコンシリエーションの際に使用されます。
この参照定義のエントリは、表7-11を参照してください。
表7-11 Lookup.EDIR.Group.ReconAttrMap参照定義のエントリ
コード | デコード |
---|---|
GroupName |
cn |
GUID |
__UID__ |
Organization[LOOKUP] |
__PARENTDN__ |
この項では、ロール操作のための次の参照定義について説明します。
ノート:
eDirectoryでは、ロールについてサポートされるオブジェクト・クラスはrBSRole
です。
Lookup.EDIR.Role.Configuration参照定義は、ロール・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときにロール管理操作で使用されます。
表7-12 Lookup.EDIR.Role.Configuration参照定義のエントリ
コード・キー | デコード | 説明 |
---|---|---|
Provisioning Attribute Map |
Lookup.EDIR.Role.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。「Lookup.EDIR.Role.ProvAttrMap」を参照してください。 |
Recon Attribute Map |
Lookup.EDIR.Role.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。「Lookup.EDIR.Role.ReconAttrMap」を参照してください。 |
Lookup.EDIR.Role.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、ロール・プロビジョニング操作の際に使用されます。
この参照定義のエントリは、表7-3を参照してください。
Lookup.EDIR.Role.ReconAttrMap参照定義は、ロールのリソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、リコンシリエーション時に使用されます。
表7-13に、この参照定義のエントリを示します。
表7-13 Lookup.EDIR.Role.ReconAttrMap参照定義のエントリ
コード | デコード |
---|---|
GUID |
__UID__ |
Organization[LOOKUP] |
__PARENTDN__ |
RoleName |
cn |
この項では、組織単位操作のための次の参照定義について説明します。
Lookup.EDIR.OU.Configuration参照定義は、組織単位オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、組織単位管理操作で使用されます。
表7-14に、この参照定義のデフォルト・エントリを示します。
表7-14 Lookup.EDIR.OU.Configuration参照定義のエントリ
コード | デコード | 説明 |
---|---|---|
Provisioning Attribute Map |
Lookup.EDIR.OU.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。「Lookup.EDIR.OU.ProvAttrMap」を参照してください。 |
Recon Attribute Map |
Lookup.EDIR.OU.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。「Lookup.EDIR.OU.ReconAttrMap」を参照してください。 |
Lookup.EDIR.OU.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、プロビジョニング時に使用されます。
この参照定義のエントリは、表7-4を参照してください。
Lookup.EDIR.Role.ReconAttrMap参照定義は、ロールのリソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、リコンシリエーション時に使用されます。
表7-13に、この参照定義のエントリを示します。
表7-15 Lookup.EDIR.OU.ReconAttrMap参照定義のエントリ
コード | デコード |
---|---|
Container |
__PARENTDN__ |
GUID |
__UID__ |
OrgName |
ou |
コネクタは、信頼できる構成の操作のために次の参照定義を使用します。
表7-16に、この参照定義のエントリを示します。
表7-16 Lookup.EDIR.Configuration.Trusted参照定義のエントリ
コード | デコード |
---|---|
accountObjectClasses |
"top","person","organizationalPerson","inetOrgPerson" |
Any Incremental Recon Attribute Type |
true |
Bundle Name |
org.identityconnectors.ldap |
Bundle Version |
1.0.6380 |
Connector Name |
org.identityconnectors.ldap.LdapConnector |
disabledValue |
true |
enabledAttribute |
loginDisabled |
enabledValue |
false |
objectClassesToSynchronize |
"inetOrgPerson","groupOfNames","groupOfUniqueNames" |
uidAttribute |
GUID |
uidInBinary |
true |
User Configuration Lookup |
Lookup.EDIR.UM.Configuration.Trusted |
表7-17に、この参照定義のエントリを示します。
表7-17 Lookup.EDIR.UM.Configuration.Trusted参照定義のエントリ
コード | デコード |
---|---|
Recon Attribute Defaults |
Lookup.EDIR.UM.ReconDefaults.Trusted |
Recon Attribute Map |
Lookup.EDIR.UM.ReconAttrMap.Trusted |
Recon Exclusion List |
Lookup.EDIR.UM.ExclusionList.Trusted |
Recon Transformation Lookup |
Lookup.EDIR.UM.ReconTransformations.Trusted |
Recon Validation Lookup |
Lookup.EDIR.UM.ReconValidations.Trusted |
表7-18に、この参照定義のエントリを示します。
表7-18 Lookup.EDIR.UM.ExclusionList.Trusted参照定義のエントリ
コード | デコード |
---|---|
User ID |
root |
表7-19に、この参照定義のエントリを示します。
表7-19 Lookup.EDIR.UM.ReconAttrMap.Trusted参照定義のエントリ
コード・キー | デコード |
---|---|
Department Number |
departmentNumber |
entryDN[IGNORE] |
entryDN |
FAX |
facsimileTelephoneNumber |
First Name |
givenName |
GUID |
__UID__ |
Last Name |
sn |
location |
l |
Pager |
pager |
parentDN[IGNORE] |
__PARENTDN__ |
Postal Address |
postalAddress |
Postal Code |
postalCode |
Status[TRUSTED] |
__ENABLE__ |
Street |
street |
Telephone |
telephoneNumber |
Title |
title |
User ID |
entryDN ノート: 「ユーザーID」コード・キーのデコード値は、一意の値が含まれているターゲット・システム属性に常にマップされている必要があります。 |
表7-20に、この参照定義のエントリを示します。
表7-20 Lookup.EDIR.UM.ReconTransformations.Trusted参照定義のエントリ
コード | デコード |
---|---|
User ID |
oracle.iam.connectors.edirectory.transformations.EdirectoryUserIdTransformation |
表7-21に、この参照定義のエントリを示します。
表7-21 Lookup.EDIR.UM.ReconDefaults.Trusted参照定義のエントリ
コード | デコード |
---|---|
Empl Type |
Full-Time |
Organization Name |
Xellerate Users |
Status |
Active |
User Type |
End-User |