| Oracle® Identity Manager Oracle Internet Directoryコネクタ・ガイド リリース11.1.1 B72412-14 |
|
 前 |
 次 |
この章では、Oracle Internet Directory (OID)でのコネクタの使用に関する次の情報を説明します。
OIDターゲット・システムにセキュアな通信を提供するには、Oracle Identity Manager、コネクタ・サーバーおよびOIDターゲット・システムの間でSSLを構成します。
詳細は、「コネクタのSSLの構成」を参照してください。
この項では、OIDターゲット・システムのコネクタをデプロイする際にOracle Identity Managerに作成される他の参照定義について説明します。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。その他の参照定義は、次のとおりです。
ノート:
OIDターゲット・システムではロールはサポートされません。
Lookup.OID.Configuration参照定義は、ターゲット・リソースのリコンシリエーションおよびプロビジョニング操作で使用されるコネクタ構成エントリを含みます。
表6-1に、この参照定義のデフォルト・エントリを示します。
表6-1 Lookup.OID.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
accountObjectClasses |
"top","person","organizationalPerson","inetOrgPerson","orclUserV2" |
このエントリは、USERオブジェクトで必要なオブジェクト・クラスのリストを保持します。 |
accountSearchFilter |
objectClass=* |
このエントリが保持する検索フィルタと一致するアカウントが戻されます。 |
accountSynchronizationFilter |
objectClass=* |
このエントリが保持するフィルタと一致するすべてのエントリがSyncOp操作時に戻されます。 |
accountUserNameAttribute |
cn |
このエントリは、USERオブジェクトの名前を含む属性を保持します。 |
attributesToSynchronize |
"cn","uid" |
このエントリは、SyncOpが実行されるときに返す属性リストを保持します。 |
blockSize |
100 |
このエントリは、単純な結果ページングとVLV索引検索のブロック・サイズを保持します。 |
Bundle Name |
org.identityconnectors.ldap |
このエントリは、コネクタ・バンドル・パッケージの名前を含みます。このエントリは変更しないでください。 |
Bundle Version |
1.0.6380 |
このエントリは、コネクタ・バンドル・クラスのバージョンを含みます。このエントリは変更しないでください。 |
changelogBaseDN |
cn=changelog |
このエントリは、コネクタが変更ログ属性の値を検索するbaseDNを保持します。 |
changeLogBlockSize |
100 |
このエントリは、SyncOp操作時に変更ログを読み取る際の、単純な結果ページングとVLV索引検索のブロック・サイズを保持します。 |
changelogUidAttribute |
orclguid |
このエントリは、変更ログ内の変更エントリのuniqueIdを含む属性の名前を保持します。 |
changeNumberAttribute |
changeNumber |
このエントリは、変更ログに使用される属性名を保持します。 |
Connector Name |
org.identityconnectors.ldap.LdapConnector |
このエントリは、コネクタ・クラスの名前を含みます。このエントリは変更しないでください。 |
disabledValue |
DISABLED |
このエントリは、アカウントが無効になっているときに常に、enabledAttributeエントリで定義される属性のために使用される値を指定します。 |
enabledAttribute |
orcllsEnabled |
このエントリは、アカウントを有効化または無効化するために必要な属性の名前を保持します。 |
enabledWhenNoAttribute |
true |
このエントリは、enabledAttributeに定義されたプロパティがエントリに存在しないときに、ステータスを有効にするか無効にするかを定義します。 |
enabledValue |
ENABLED |
このエントリは、アカウントが有効になっているときに常に、enabledAttributeプロパティで定義される属性のために使用する値を指定します。 |
filterWithOrInsteadOfAnd |
false |
このエントリは、ORフィルタとANDフィルタのどちらを使用して変更ログ・フィルタを設定するかを指定します。 ANDフィルタではなくORフィルタを使用して変更ログ・フィルタを設定する場合は、 ORフィルタの形式は次のとおりです。
ANDフィルタの形式は次のとおりです。
|
Group Configuration Lookup |
Lookup.OID.Group.Configuration |
このエントリは、グループ固有の構成プロパティを含む参照定義の名前を含みます。この参照定義は、グループのリコンシリエーションを実行するときに構成参照定義として使用されます。 このエントリは変更しないでください。 |
groupMemberAttribute |
uniqueMember |
このエントリは、POSIX以外の静的グループのメンバーを格納するLDAP属性を保持します。 |
ldapGroupFilterBehavior |
reject |
このエントリは、LDAPグループ・フィルタの動作を指定します。 |
ldapGroupMembershipAttribute |
ismemberof |
このエントリは、LDAPグループ・メンバーシップ属性の値を指定します。 |
maintainLdapGroupMembership |
true |
このエントリは、コネクタが、名前が変更されたユーザー・エントリや削除されたユーザー・エントリのグループ・メンバーシップを変更するかどうかを指定します。 |
maintainPosixGroupMembership |
false |
このエントリは、コネクタが、名前が変更されたユーザー・エントリや削除されたユーザー・エントリのPOSIXグループ・メンバーシップを変更するかどうかを指定します。 |
objectClassesToSynchronize |
"inetOrgPerson","groupOfNames","groupOfUniqueNames","organizationalUnit" |
このエントリは、同期されるオブジェクト・クラスのリストを保持します。同期されたエントリが返されるためには、このリストのオブジェクト・クラスを少なくとも1つ含む必要があります。このオブジェクト・クラス・リストが空の場合、またはコード・キーがない場合、オブジェクト・クラスに対するフィルタ処理は行われません。 |
OU Configuration Lookup |
Lookup.OID.OU.Configuration |
このエントリは、組織固有の構成プロパティを含む参照定義の名前を含みます。この参照定義は、組織単位のリコンシリエーションを実行するときに構成参照定義として使用されます。 このエントリは変更しないでください。 |
passwordAttribute |
userPassword |
このエントリは、事前定義済PASSWORD属性が書き込まれる属性の名前を保持します。 |
readSchema |
true |
このエントリは、スキーマをサーバーから読み取る必要があるかどうかを指定します。 |
removeLogEntryObjectClassFromFilter |
true |
このエントリは、変更ログ・フィルタが変更ログ・オブジェクト・クラスに対する条件を含むかどうかを指定します。 |
respectResourcePasswordPolicyChangeAfterReset |
true |
「パスワードの期限切れ」コントロールと「パスワード・ポリシー」コントロールのチェックをバインドするときに、コネクタによって例外(PasswordExpiredExceptionなど)を適切にスローする場合は、デコード値として |
standardChangelog |
true |
このエントリは、コネクタが変更ログ属性にアクセスする方法を指定します。 |
synchronizeWithModifyTimestamps |
false |
このプロパティは、SyncOp operationの際にコネクタが変更ログ属性のかわりに変更タイムスタンプ属性を使用する必要があるかどうかを指定します。 |
uidAttribute |
orclguid |
このエントリは、事前定義済のUID属性をマッピングする必要があるLDAP属性を保持します。 |
usePagedResultControl |
true |
このエントリは、どちらも使用できる場合に、単純なページ検索をVLV索引検索よりも優先するかどうかを指定します。 |
User Configuration Lookup |
Lookup.OID.UM.Configuration |
このエントリには、ユーザー特有の構成プロパティを含む参照定義の名前が保持されます。この参照定義は、ユーザーのリコンシリエーションを実行するときに構成参照定義として使用されます。 このエントリは変更しないでください。 |
vlvSortAttribute |
uid |
このエントリは、VLV索引のソート・キーとして使用される属性を保持します。 |
|
readTimeout |
120000ミリ秒 |
このプロパティは、読取りタイムアウトの構成プロパティの値を保持します。これらの値は、必要に応じて増減できます。このプロパティが構成参照定義に追加されない場合、デフォルトで値は60000ミリ秒に設定されます。 |
|
connectTimeout |
120000ミリ秒 |
このプロパティは、接続タイムアウトの構成プロパティの値を保持します。これらの値は、必要に応じて増減できます。このプロパティが構成参照定義に追加されない場合、デフォルトで値は60000ミリ秒に設定されます。 |
|
referrals |
ignore、followまたはthrow |
このプロパティは、読取りリフェラルの構成プロパティの値を保持します。このプロパティが構成参照定義に追加されない場合、デフォルトで値はignoreに設定されます。 |
Lookup.OID.Configuration.Trusted参照定義は、信頼できるソースに対する操作で使用されるコネクタ構成エントリを含みます。
表6-2に、この参照定義のデフォルト・エントリを示します。
表6-2 Lookup.OID.Configuration.Trusted参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
accountObjectClasses |
"top","person","organizationalPerson","inetOrgPerson","orclUserV2" |
このエントリは、アカウント・オブジェクト・クラスの名前を保持します。 |
Any Incremental Recon Attribute Type |
true |
このエントリは、すべてのトークンの形式がリコンシリエーション時に受け入れられることを指定します。 |
Bundle Name |
org.identityconnectors.ldap |
このエントリは、コネクタ・バンドル・パッケージの名前を含みます。このエントリは変更しないでください。 |
Bundle Version |
1.0.6380 |
このエントリは、コネクタ・バンドル・クラスのバージョンを含みます。このエントリは変更しないでください。 |
changeLogBlockSize |
100 |
このエントリは、SyncOp操作時に変更ログを読み取る際の、単純な結果ページングとVLV索引検索のブロック・サイズを保持します。 |
changeNumberAttribute |
changeNumber |
このエントリは、変更ログに使用される属性名を保持します。 |
Connector Name |
org.identityconnectors.ldap.LdapConnector |
このエントリは、コネクタ・クラスの名前を含みます。このエントリは変更しないでください。 |
disabledValue |
DISABLED |
このエントリは、アカウントが無効になっているときに常に、enabledAttributeプロパティで定義される属性のために使用する値を指定します。 |
enabledAttribute |
orcllsEnabled |
このエントリは、アカウントを有効化または無効化するために必要な属性の名前を保持します。 |
enabledValue |
ENABLED |
このエントリは、アカウントが有効になっているときに常に、enabledAttributeプロパティで定義される属性のために使用する値を指定します。 |
enabledWhenNoAttrbribute |
true |
このエントリは、enabledAttributeに定義されたプロパティがエントリに存在しないときに、ステータスを有効にするか無効にするかを定義します。 |
objectClassesToSynchronize |
"inetOrgPerson","groupOfNames","groupOfUniqueNames", "OrganizationalUnit" |
このエントリは、同期されるオブジェクト・クラスのリストを保持します。同期されたエントリが返されるためには、このリストのオブジェクト・クラスを少なくとも1つ含む必要があります。このオブジェクト・クラス・リストが空の場合、またはコード・キーがない場合、オブジェクト・クラスに対するフィルタ処理は行われません。 |
uidAttribute |
orclguid |
このエントリは、Uidをマッピングする必要があるLDAP属性を保持します。 |
UsePagedResultControl |
true |
このエントリは、どちらも使用できる場合に、単純なページ検索をVLV索引検索よりも優先するかどうかを指定します。 |
User Configuration Lookup |
Lookup.OID.UM.Configuration.Trusted |
このエントリには、ユーザー特有の構成プロパティを含む参照定義の名前が保持されます。このエントリは変更しないでください。 |
|
readTimeout |
120000ミリ秒 |
このプロパティは、読取りタイムアウトの構成プロパティの値を保持します。これらの値は、必要に応じて増減できます。このプロパティが構成参照定義に追加されない場合、デフォルトで値は60000ミリ秒に設定されます。 |
|
connectTimeout |
120000ミリ秒 |
このプロパティは、接続タイムアウトの構成プロパティの値を保持します。これらの値は、必要に応じて増減できます。このプロパティが構成参照定義に追加されない場合、デフォルトで値は60000ミリ秒に設定されます。 |
|
referrals |
ignore、followまたはthrow |
このプロパティは、読取りリフェラルの構成プロパティの値を保持します。このプロパティが構成参照定義に追加されない場合、デフォルトで値はignoreに設定されます。 |
この項では、ユーザー操作のための次の参照定義について説明します。
Lookup.OID.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、ユーザー管理操作で使用されます。
表6-3に、この参照定義のデフォルト・エントリを示します。
表6-3 Lookup.OID.UM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.OID.UM.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。 |
Recon Attribute Map |
Lookup.OID.UM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。 |
Lookup.OID.UM.Configuration.Trusted参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、信頼できるソースのユーザー・リコンシリエーション実行で使用されます。
表6-4に、この参照定義のデフォルト・エントリを示します。
表6-4 Lookup.OID.UM.Configuration.Trusted参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Recon Attribute Defaults |
Lookup.OID.UM.TrustedDefaults |
このエントリは、リコンシリエーション・フィールドをデフォルト値にマッピングする参照定義の名前を含みます。 |
Recon Attribute Map |
Lookup.OID.UM.ReconAttrMap.Trusted |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。 |
Lookup.OID.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドをOID属性にマップします。この参照定義は、ユーザー・プロビジョニング操作を実行するために使用されます。
表6-5に、プロビジョニング操作時に値を指定または変更できるターゲット・システムのユーザー・アイデンティティ・フィールドを示します。
表6-5 Lookup.OID.UM.ProvAttrMap参照定義のエントリ
| プロセス・フォーム・フィールド | ターゲット・システム・フィールド |
|---|---|
共通名 |
cn |
コンテナDN[IGNORE,LOOKUP] |
ContainerDN |
部門 |
departmentnumber |
電子メールID |
|
EndDate |
orclActiveEndDate=End_Date!=null&&!End_Date.startsWith("1969-12-31")?Date.parse('yyyy-MM-dd', End_Date).format('yyyyMMddHHmmss') + 'Z':null |
終了日[IGNORE] |
enddate |
名 |
givenname |
姓 |
sn |
場所 |
l |
ログイン無効 |
__ENABLED__ |
マネージャ |
manager |
ミドル・ネーム |
initials |
名前 |
__NAME__="uid=${User_ID},${Container_DN}" |
orclGuid |
__UID__ |
パスワード |
__PASSWORD__ |
優先言語 |
preferredlanguage |
StartDate |
orclActiveStartDate=Start_Date!=null&&!Start_Date.startsWith("1969-12-31")?Date.parse('yyyy-MM-dd', Start_Date).format('yyyyMMddHHmmss') + 'Z':null |
開始日[IGNORE] |
startdate |
電話 |
telephonenumber |
タイムゾーン |
orclTimeZone |
役職 |
title |
UD_OID_GRP |
ldapGroups |
ユーザーID |
uid |
Lookup.OID.UM.ReconAttrMap参照定義は、ユーザー・リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。この参照定義は、ターゲット・リソースのユーザー・リコンシリエーションを実行するために使用されます。
この参照定義のエントリは次の形式です。
コード・キー: リソース・オブジェクトのリコンシリエーション・フィールド
デコード: ターゲット・システム属性の名前
表6-6に、この参照定義のデフォルト・エントリを示します。
表6-6 Lookup.OID.UM.ReconAttrMap参照定義のエントリ
| コード・キー | デコード |
|---|---|
Common Name |
cn |
Container DN[LOOKUP] |
__parentDN__ |
Department |
departmentnumber |
End Date[Date] |
orclActiveEndDate=binding.variables.containsKey("orclActiveEndDate")&&orclActiveEndDate!=null?Date.parse('yyyyMMddHHmmss',orclActiveEndDate).getTime():null |
First Name |
givenname |
Last Name |
sn |
Location |
l |
manager |
manager |
Middle Name |
initials |
orclGuid |
__UID__ |
Preferred Language |
preferredlanguage |
Start Date[Date] |
orclActiveStartDate=binding.variables.containsKey("orclActiveStartDate")&&orclActiveStartDate!=null?Date.parse('yyyyMMddHHmmss',orclActiveStartDate).getTime():null |
Status |
__ENABLE__ |
Telephone |
telephonenumber |
TimeZone |
orclTimeZone |
Title |
title |
UserGroup~GroupName[LOOKUP] |
ldapGroups |
User ID |
uid |
Lookup.OID.UM.ReconAttrMap.Trusted参照定義は、OIMユーザー・フォームのユーザー・フィールドと、ターゲット・システムの対応するフィールド名をマップします。この参照定義は、信頼できるソースのリコンシリエーションの実行に使用されます。
表6-7に、この参照定義のデフォルト・エントリを示します。
表6-7 Lookup.OID.UM.ReconAttrMap.Trusted参照定義のエントリ
| OIMユーザー・フォームのフィールド | ターゲット・システム・フィールド |
|---|---|
電子メール |
|
名 |
givenname |
姓 |
sn |
マネージャ |
manager=matcher=java.util.regex.Pattern.compile("uid=(\\w*).*").matcher(manager==null?"":manager);matcher.matches()?matcher[0][1]:null |
ミドル・ネーム |
initials |
OrclGuid |
__UID__ |
ステータス[TRUSTED] |
__ENABLE__ |
ユーザー・ログイン |
uid |
Lookup.OID.UM.TrustedDefaults参照定義は、リコンシリエーション・フィールドとそのデフォルト値のマッピングを含みます。この参照定義が使用されるのは、OIMユーザー・フォームに必須フィールドがあるが、信頼できるソースのリコンシリエーション中にフェッチできる対応フィールドがターゲット・システムにない場合です。
コード・キーとデコードの値が次の形式であることを確認して、この参照定義にエントリを追加できます。
コード・キー: リソース・オブジェクトのリコンシリエーション・フィールドの名前
デコード: 対応するデフォルト値(表示される値)
表6-8に、この参照定義のデフォルト・エントリを示します。
表6-8 Lookup.OID.UM.TrustedDefaults参照定義のエントリ
| コード・キー | デコード |
|---|---|
Employee Type |
Full-Time |
Organization |
Xellerate Users |
User Type |
End-User |
この項では、グループ操作のための次の参照定義について説明します。
Lookup.OID.Group.Configuration参照定義は、グループ・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、グループ管理操作で使用されます。
表6-9に、この参照定義のデフォルト・エントリを示します。
表6-9 Lookup.OID.Group.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.OID.Group.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。 |
Recon Attribute Map |
Lookup.OID.Group.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。 |
Lookup.OID.Group.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、グループ・プロビジョニング操作の際に使用されます。この参照定義は、事前に構成されています。
表6-10にデフォルト・エントリを示します。プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。
表6-10 Lookup.OID.Group.ProvAttrMap参照定義のエントリ
| Oracle Identity Managerのグループ・フィールド | ターゲット・システム・フィールド |
|---|---|
コンテナDN[IGNORE,LOOKUP] |
container |
グループ名 |
cn |
名前 |
__NAME__="cn=${Group_Name},${Container_DN}" |
OrclGuid |
__UID__ |
Lookup.OID.Group.ReconAttrMap参照定義は、グループのリソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、リコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。
表6-11にデフォルト・エントリを示します。リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。
表6-11 Lookup.OID.Group.ReconAttrMap参照定義のエントリ
| Oracle Identity Managerのグループ・フィールド | ターゲット・システム・フィールド |
|---|---|
コンテナDN[LOOKUP] |
__parentDN__ |
グループ名 |
cn |
OrclGuid |
__UID__ |
組織名 |
__PARENTRDNVALUE__ |
この項では、組織単位操作のための次の参照定義について説明します。
Lookup.OID.OU.Configuration参照定義は、組織単位オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、組織単位管理操作で使用されます。
表6-12に、この参照定義のデフォルト・エントリを示します。
表6-12 Lookup.OID.OU.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.OID.OU.ProvAttrMap |
プロビジョニング時に使用される参照。 |
Recon Attribute Map |
Lookup.OID.OU.ReconAttrMap |
リコンシリエーション時に使用される参照。 |
Lookup.OID.OU.ProvAttrMap参照定義は、組織のプロセス・フォーム・フィールドとターゲット・システム属性をマッピングします。この参照定義は、組織単位プロビジョニング操作を実行するために使用されます。
表6-13に、プロビジョニング操作時に値を指定または変更できるターゲット・システムの組織単位フィールドを示します。
表6-13 Lookup.OID.OU.ProvAttrMap参照定義のエントリ
| Oracle Identity Managerの組織フィールド | ターゲット・システム・フィールド |
|---|---|
コンテナDN[IGNORE,LOOKUP] |
使用されていません。 |
名前 |
__NAME__="ou=${Organisation_Unit_Name},${Container_DN}" |
OrclGuid |
__UID__ |
組織単位名 |
ou |
この参照定義は、リコンシリエーションの際に使用されます。表6-14に、この参照定義のエントリを示します。
表6-14 Lookup.OID.OU.ReconAttrMap参照定義のエントリ
| コード・キー | デコード |
|---|---|
Container DN[LOOKUP] |
__parentDN__ |
OrclGuid |
__UID__ |
Organization Unit Name |
ou |
Org Name |
__PARENTRDNVALUE__ |
ノート:
次のオプション・タスクを実行する前に、ターゲット・システムの組織に対応する組織を同じ名前でOracle Identity Managerに作成したことを確認します。
OIDターゲット・システムのユーザーを、Oracle Identity Managerの対応する組織にリコンサイルするには、次の手順を実行します。
