| Oracle® Identity Manager Oracle Internet Directoryコネクタ・ガイド リリース11.1.1 B72412-14 |
|
 前 |
 次 |
この章では、次の項目について説明します。
この項では、次の項目について説明します。
リコンシリエーションを構成する際に適用する必要があるガイドラインを次に示します。
ターゲット・リソースのリコンシリエーションを実行する前に、参照定義がターゲット・システムの参照フィールドと同期している必要があります。つまり、ユーザー・リコンシリエーションの実行前に、参照フィールド同期のスケジュール済ジョブを実行する必要があります。
削除されたユーザー・データのリコンシリエーションのスケジュール済ジョブの前に、ユーザー・リコンシリエーションのスケジュール済ジョブを実行する必要があります。
Oracle Identity Managerではグループ・エンティティはサポートされません。このため、グループのリコンシリエーションのスケジュール済ジョブを実行する前には次のガイドラインに従います。
ターゲット・システム内のすべてのグループでデフォルトのコネクタ構成を使用している場合は、Oracle Identity Managerで、対応する組織単位を作成します(同じグループ名を使用します)。こうすることで、ターゲット・システムのすべてのグループが、新たに作成された組織単位それぞれにリコンサイルされます。
1つの組織に複数のグループをリコンサイルするようにコネクタを構成することもできます。詳細は、次の各項を参照してください。
Oracle Identity Managerの1組織でのODSEEグループおよびロールのリコンサイル
Oracle Identity Managerの1組織でのOUDグループのリコンサイル
OUDターゲット・システムの場合、OUDの変更ログはレプリケーション・データベースに基づいています。デフォルトでは、レプリケーションは変更ログ・エントリを100時間しか保存しません。レプリケーション消去の遅延を固有の要件に基づいて調整する必要があります。ディスク上のデータベース・サイズはこれに応じて変化します。詳細は、OUDターゲット・システムの変更ログのドキュメントを参照してください。
ロールのリコンシリエーションは、ODSEEターゲット・システムとNovell eDirecotoryターゲット・システムでしかサポートされません。
ユーザーに行われた変更がグループ・メンバーシップに関する変更のみの場合、「User Search Reconciliation」スケジュール済ジョブを実行します。これは、changelog属性もmodifiedTimestamp属性も更新されていないためです。したがって、「User Search Reconciliation」スケジュール済ジョブを実行して完全リコンシリエーションを行うことで、それらの変更がリコンサイルされます。
Oracle Identity Managerリリース11.1.2.3を使用中で、多数のレコードをOIDターゲット・システムに対してリコンサイルする場合、パフォーマンスを最適化するために次のパラメータの値を指定する必要があります。
ターゲット・リソース構成の場合
readTimeoutおよびconnectTimeoutエントリをLookup.OID.Configuration参照定義に追加済であることを確認してください。これらのエントリの追加の詳細は、「LDAP操作タイムアウトのためのOID構成参照定義の設定」を参照してください。
Lookup.OID.Configuration参照定義のblockSizeおよびchangeLogBlockSizeエントリの値を、環境の要件に合うように変更または増加します。
信頼できるソース構成の場合
Lookup.OID.Configuration.Trusted参照定義でusePagedResultControlエントリの値をtrueに設定していることを確認してください。
プロビジョニング操作を実行する際に適用する必要があるガイドラインを次に示します。
プロビジョニング操作を実行する前に、参照定義がターゲット・システムの参照フィールドと同期している必要があります。つまり、プロビジョニング操作の前に、参照フィールド同期のスケジュール済タスクを実行する必要があります。
ユーザー、グループ、ロールまたは組織単位のプロビジョニングをベース・コンテキストで直接行うには、コード・キーとデコードの値の両方にベース・コンテキスト名を設定した新しいエントリをLookup.LDAP.Organization参照定義に追加します。
OIDではLookup.OID.Organization、eDirectoryではLookup.EDIR.Organizationを使用します。
サンプル値:
コード・キー: 281~dc=example,dc=com (281はITリソース・キー)
デコード: LDAP_server~dc=example,dc=com (LDAP_serverはITリソース名)
ノート:
eDirectoryターゲットの組織以外のコンテナでのプロビジョニング
組織以外のコンテナにエンティティをプロビジョニングするには、そのコンテナ値を手動でeDirectoryコンテナのLookup.EDIR.Organization参照定義に追加します。次に例を示します。
コード・キー: 8~dc=home
デコード・キー: eDirectory~"randomvalue"
Oracle Internet Directoryターゲット・システムでは、「マネージャ名」フィールドはDN値しか受け入れません。そのため、Oracle Identity Managerで「マネージャ名」フィールドを設定または変更する場合は、DN値を入力する必要があります。
例: cn=abc,ou=lmn,dc=corp,dc=com
ロールのプロビジョニングは、ODSEEターゲット・システムとNovell eDirecotoryターゲット・システムでしかサポートされません。
このセクションには次のトピックが含まれます:
ノート:
これらのスケジュール済ジョブの構成手順は、このマニュアルで後述します。
次に、ODSEEの参照フィールド同期のスケジュール済ジョブを示します。
LDAP Connector Group Lookup Reconciliation
このスケジュール済ジョブは、Oracle Identity Managerのグループ参照フィールドをターゲット・システムのグループ・データと同期させるために使用されます。
LDAP Connector Role Lookup Recon
このスケジュール済ジョブは、Oracle Identity Managerのロール参照フィールドをターゲット・システムのロール・データと同期させるために使用されます。
ノート:
OUDをターゲット・システムとして使用している場合は、「LDAP Connector Role Lookup Recon」スケジュール済ジョブを実行しないでください。
LDAP Connector OU Lookup Reconciliation
このスケジュール済ジョブは、Oracle Identity Managerの組織参照フィールドをターゲット・システムの組織データと同期させるために使用されます。
次に、Oracle Internet Directoryの参照フィールド同期のスケジュール済ジョブを示します。
OID Connector Group Lookup Reconciliation
このスケジュール済ジョブは、Oracle Identity Managerのグループ参照フィールドをターゲット・システムのグループ・データと同期させるために使用されます。
OID Connector OU Lookup Reconciliation
このスケジュール済ジョブは、Oracle Identity Managerの組織参照フィールドをターゲット・システムの組織データと同期させるために使用されます。
次に、Novell eDirectoryの参照フィールド同期のスケジュール済ジョブを示します。
eDirectory Connector Group Lookup Reconciliation
このスケジュール済ジョブは、Oracle Identity Managerのグループ参照フィールドをターゲット・システムのグループ・データと同期させるために使用されます。
eDirectory Connector Role Lookup Reconciliation
このスケジュール済ジョブは、Oracle Identity Managerのロール参照フィールドをターゲット・システムのロール・データと同期させるために使用されます。
eDirectory Connector Org Lookup Reconciliation
このスケジュール済ジョブは、Oracle Identity Managerの組織参照フィールドをターゲット・システムの組織データと同期させるために使用されます。
eDirectory Connector Domain Scope Lookup Reconciliation
このスケジュール済ジョブは、Oracle Identity Managerの組織参照フィールドをターゲット・システムの組織データと同期させるために使用されます。これらのドメインはトラスティとしてロールに関連付けられます。
eDirectory Connector Profile Lookup Reconciliation
このスケジュール済ジョブは、Oracle Identity Managerのプロファイル参照フィールドをターゲット・システムのプロファイル・データと同期させるために使用されます。
eDirectory Connector Role Container Lookup Reconciliation
このスケジュール済ジョブは、Oracle Identity Managerのロール・コンテナ参照フィールドをターゲット・システムのロール・コンテナと同期させるために使用されます。eDirectoryロールは、ロール・コンテナ内でしかプロビジョニングできません。
表3-1に、スケジュール済ジョブの属性の説明を示します。
表3-1 参照フィールド同期のスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
Code Key Attribute |
参照定義の「コード・キー」列に移入するのに使用される、コネクタまたはターゲット・システム属性の名前(「参照名」属性の値として指定)。 ノート: この属性の値を変更しないでください。 |
Decode Attribute |
参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用される、コネクタまたはターゲット・システムの属性の名前を入力します。 |
Filter |
参照定義に格納されるレコードをフィルタ処理するフィルタを入力します。 Filter属性の詳細は、「制限付きリコンシリエーション」を参照してください。 |
IT Resource Name |
レコードをリコンサイルする、ターゲット・システム・インストールのITリソースの名前。 デフォルト値:
|
Lookup Name |
ターゲット・システムからフェッチした値を移入するOracle Identity Managerの参照定義の名前を入力します。 ノート: この属性の値として指定する参照名がOracle Identity Managerに存在しない場合、スケジュール済ジョブの実行中にその参照定義が作成されます。 |
Object Type |
この属性は、リコンサイルするオブジェクトのタイプ名を含みます。 |
コネクタ・インストーラを実行すると、ユーザー・リコンシリエーションのスケジュール済ジョブがOracle Identity Managerに自動的に作成されます。リコンシリエーションの構成では、これらのスケジュール済ジョブの属性の値を指定します。
次の各項では、スケジュール済ジョブの属性について説明します。
ノート:
次のシナリオを考えてみます。ユーザーを組織(org1)にプロビジョニングしてから、そのユーザーを別の組織(org2)に移動します。信頼できるリコンシリエーションとターゲット・ユーザー同期リコンシリエーションを実行します。この結果、2つのリソースがユーザーにアタッチされます(削除済とプロビジョニング済)。
これはコネクタの正常な動作です。ユーザーをorg2に移動すると、そのユーザーがorg1にまだ存在していても、ターゲット・ディレクトリは、org1のユーザーが削除されたとみなします。ただし、ユーザーはorg2にも存在し、プロビジョニングされたとみなされます。
完全リコンシリエーションでは、既存のすべてのレコードをターゲット・システムからOracle Identity Managerへリコンサイルします。コネクタをデプロイした後はまず、完全リコンシリエーションを実行する必要があります。さらに、すべてのターゲット・システム・レコードをOracle Identity Managerでリコンサイルする必要がある場合はいつでも、増分リコンシリエーションから完全リコンシリエーションへ切り替えることができます。
完全リコンシリエーション: 完全リコンシリエーションを実行するには、ユーザー、グループまたはロールの検索リコンシリエーション・スケジュール済ジョブでFilter属性とLatest Token属性に値を指定しないでください。
増分リコンシリエーション: ターゲット・システムで変更ログがサポートされる場合は、同期リコンシリエーションを使用して増分リコンシリエーションを実行できます。増分リコンシリエーションを実行するには、ユーザー、グループまたはロールの同期リコンシリエーション・スケジュール済ジョブでSync Token属性の値を指定します。次回の実行から、Sync Token属性の値の後で作成または変更されたレコードのみがリコンシリエーションの対象とみなされます。
増分リコンシリエーションは、modifyTimestamp値に基づいて検索をフィルタ処理して実行することもできます。タイムスタンプ値は、完全リコンシリエーションの後で検索リコンシリエーション・スケジュール済タスクで更新されます。次回の実行から、タスクは増分リコンシリエーション・モードで実行します。
ノート:
同期リコンシリエーションはeDirectoryターゲット・システムではサポートされません。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
制限付きリコンシリエーションを行う方法を次に示します。
リコンシリエーション・モジュールのフィルタを作成して、制限付きリコンシリエーションを実行できます。このコネクタのFilter属性(スケジュール済タスクの属性)により、任意のOIDリソース属性を使用してターゲット・システム・レコードをフィルタ処理できます。
ICFフィルタの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのICFフィルタ構文に関する項を参照してください。
コネクタをデプロイする際は、「スケジュール済ジョブの構成」の手順に従って属性値を指定します。
制限付きリコンシリエーションは、グループ・メンバーシップに基づいて実行できます。特定のグループに関連付けられているユーザーのみをリコンサイルする場合は、フィルタを次のように構成します。
ODSEEおよびOUDの場合:
Lookup.LDAP.Configuration参照定義で次のように設定します。
ldapGroupFilterBehavior=accept
ldapGroupMembershipAttribute=ismemberof
フィルタを次のように指定します。
containsAllValues('ldapGroups','cn=grp1,ou=groups,dc=example,dc=com')
OIDの場合:
Lookup.OID.Configuration参照定義で次のように設定します。
ldapGroupFilterBehavior=ignore
ldapGroupMembershipAttribute=ismemberof
フィルタを次のように指定します。
containsAllValues('ldapGroups','cn=grp1,ou=groups,dc=example,dc=com')
これらの例で、grp1はユーザーが関連付けられているグループです。
コネクタ・インストーラを実行すると、次のリコンシリエーションのスケジュール済タスクがOracle Identity Managerに自動的に作成されます。
次の各項では、ODSEEおよびOUDのスケジュール済ジョブとその属性について説明します。これらは、他のターゲット・システムのものと似ています。
ターゲット・システムに応じて、次のユーザー・リコンシリエーション・スケジュール済ジョブの属性の値を指定する必要があります。
ODSEEおよびOUDの場合:
LDAP Connector User Search Reconciliation
LDAP Connector User Sync Reconciliation
LDAP Connector Trusted User Reconciliation
OIDの場合:
OID Connector User Search Reconciliation
OID Connector User Sync Reconciliation
OID Connector Trusted User Reconciliation
eDirectoryの場合:
eDirectory Connector User Search Reconciliation
eDirectory Connector Trusted User Reconciliation
このスケジュール済ジョブは、コネクタのターゲット・リソース(アカウント管理)モードでユーザー・データをリコンサイルするために使用されます。次のいずれかの条件が当てはまる場合に、このスケジュール済ジョブを使用します。
完全リコンシリエーションまたは増分リコンシリエーションを実行する場合。
ターゲット・システムでmodifyTimestampがサポートされる場合。
ノート:
ユーザーに行われた変更がグループ・メンバーシップに関する変更のみの場合、「User Search Reconciliation」スケジュール済ジョブを実行します。これは、changelog属性もmodifiedTimestamp属性も更新されていないためです。したがって、「User Search Reconciliation」スケジュール済ジョブを実行して完全リコンシリエーションを行うことで、それらの変更がリコンサイルされます。
同じ情報は、「リコンシリエーションの構成に関するガイドライン」にも示されています。
表3-2に、このスケジュール済ジョブの属性の説明を示します。
表3-2 LDAP Connector User Search Reconciliationスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
Filter |
このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。 サンプル値: デフォルト値: なし この式の構文は、「制限付きリコンシリエーション」を参照してください。 |
Incremental Recon Attribute |
直前のリコンシリエーション実行が開始したタイム・スタンプを保持する、ターゲット・システムの属性名を入力します。 この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。 デフォルト値: |
IT Resource Name |
コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。 値は次のとおりです:
|
Latest Token |
この属性は、Incremental Recon Attributeのサンプル値を保持します。 ノート: 実行後、リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定すると、この属性の値として指定したタイム・スタンプの後で変更されたユーザー・アカウントしかリコンサイルされなくなります。 完全リコンシリエーションを実行する場合は、このフィールドの値をクリアします。 サンプル値: |
Object Type |
この属性は、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: |
Resource Object Name |
リコンシリエーションの実行対象となるリソース・オブジェクトの名前を入力します。 デフォルト値:
|
Scheduled Task Name |
この属性は、スケジュール済タスクの名前を保持します。 デフォルト値: |
このスケジュール済ジョブは、コネクタのターゲット・リソース(アカウント管理)モードでユーザー・データをリコンサイルするために使用されます。次のいずれかの条件が当てはまる場合に、このスケジュール済ジョブを使用します。
増分リコンシリエーションを実行する場合。
ターゲット・システムで変更ログ属性がサポートされる場合。
表3-2に、このスケジュール済ジョブの属性の説明を示します。
表3-3 LDAP Connector User Sync Reconciliationスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
IT Resource Name |
コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。 値は次のとおりです:
|
Object Type |
この属性は、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: |
Resource Object Name |
リコンシリエーションの実行対象となるリソース・オブジェクトの名前を入力します。 デフォルト値:
|
Scheduled Task Name |
この属性は、スケジュール済タスクの名前を保持します。 デフォルト値: |
Sync Token |
最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Managerにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。 この属性は、次のいずれかの形式で値を格納します。
|
このスケジュール済ジョブは、コネクタの信頼できるリソース(アイデンティティ管理)モードでユーザー・データをリコンサイルするために使用されます。
表3-4に、このスケジュール済ジョブの属性の説明を示します。
表3-4 信頼できるソースからの削除されたユーザー・データのリコンシリエーションのスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
Filter |
このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。 サンプル値: デフォルト値: なし この式の構文は、「制限付きリコンシリエーション」を参照してください。 |
IT Resource Name |
コネクタがデータのリコンサイルに使用する必要があるITリソース・インスタンスの名前を入力します。 値は次のとおりです:
|
Object Type |
この属性は、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: |
Resource Object Name |
リコンシリエーションの実行対象となるリソース・オブジェクトの名前を入力します。 デフォルト値:
|
Scheduled Task Name |
この属性は、スケジュール済タスクの名前を保持します。 デフォルト値: |
Incremental Recon Attribute |
直前のリコンシリエーション実行が開始したタイム・スタンプを保持する、ターゲット・システムの属性名を入力します。 この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。 デフォルト値: |
Latest Token |
この属性は、Incremental Recon Attributeのサンプル値を保持します。 ノート:
|
信頼できるソースとターゲット・リソースのどちらの削除リコンシリエーションを実装するかによって、次のスケジュール済ジョブのいずれかの属性に値を指定する必要があります。
LDAP Connector User Search Delete Reconciliation、OID Connector User Search Delete ReconciliationおよびeDirectory Connector User Search Reconciliation
これらのスケジュール済ジョブは、コネクタのターゲット・リソース(アカウント管理)モードで削除されたユーザーに関するデータをリコンサイルするために使用されます。リコンシリエーションの実行時に、ターゲット・システムの削除されたユーザー・アカウントごとに、対応するOIMユーザーのターゲット・システム・リソースが削除されます。
LDAP Connector Trusted User Delete Reconciliation、OID Connector Trusted User Delete ReconciliationおよびeDirectory Connector Trusted User Reconciliation
これらのスケジュール済ジョブは、コネクタの信頼できるリソース(アイデンティティ管理)モードで削除されたユーザーに関するデータをリコンサイルするために使用されます。リコンシリエーションの実行時、削除されたターゲット・システム・ユーザー・アカウントごとに、対応するOIMユーザーが削除されます。
表3-5に、これらのスケジュール済ジョブの属性の説明を示します。
表3-5 削除ユーザーのリコンシリエーションのスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
IT Resource Name |
コネクタがデータのリコンサイルに使用する必要があるITリソース・インスタンスの名前を入力します。 ノート。信頼できる削除リコンシリエーションでは、ITリソースの信頼できる構成の参照を使用します。 LDAP Connector User Search Delete Reconciliationスケジュール済ジョブのこの属性のデフォルト値は OIDターゲット・リソース: eDirectoryターゲット・リソース: LDAP Connector Trusted User Delete Reconciliationスケジュール済ジョブではこの属性のデフォルト値はありません。 |
Object Type |
この属性は、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: |
Resource Object Name |
リコンシリエーションの実行対象となるリソース・オブジェクトの名前を入力します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
次の各項では、ODSEEおよびOUDのスケジュール済ジョブとその属性について説明します。これらは、他のターゲット・システムのものと似ています。
ターゲット・システムに応じて、次のスケジュール済ジョブの属性の値を指定する必要があります。
ODSEEおよびOUDの場合:
LDAP Connector Group Search Reconciliation
LDAP Connector Group Sync Reconciliation
LDAP Connector OU Search Reconciliation
LDAP Connector OU Sync Reconciliation
LDAP Connector Role Search Reconciliation
LDAP Connector Role Sync Reconciliation
OIDの場合:
OID Connector Group Search Reconciliation
OID Connector Group Sync Reconciliation
OID Connector OU Search Reconciliation
OID Connector OU Sync Reconciliation
eDirectoryの場合:
eDirectory Connector Group Search Reconciliation
eDirectory Connector Org Search Reconciliation
eDirectory Connector Role Search Reconciliation
LDAP Connector Group Search Reconciliationスケジュール済ジョブは、ターゲット・システムのグループ・データをリコンサイルするために使用されます。同じく、LDAP Connector OU Search ReconciliationおよびLDAP Connector Role Search Reconciliationスケジュール済ジョブは、ターゲット・システムのOUおよびロール・データをリコンサイルするために使用されます。次のいずれかの条件が当てはまる場合に、これらのスケジュール済ジョブを使用する必要があります。
ターゲット・システムに変更ログ属性が含まれない場合。
ターゲット・システムでグループ、OUまたはロール・メンバーシップに対して行われた変更をOracle Identity Managerにリコンサイルする場合。
表3-6に、これらのスケジュール済ジョブの属性の説明を示します。
表3-6 LDAP Connector Group Search Reconciliation、LDAP Connector OU Search ReconciliationおよびLDAP Connector Role Searchスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
Filter |
このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。 サンプル値: デフォルト値: なし この式の構文は、「制限付きリコンシリエーション」を参照してください。 |
Incremental Recon Attribute |
直前のリコンシリエーション実行が開始したタイム・スタンプを保持する、ターゲット・システムの属性名を入力します。 この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。 デフォルト値(すべての検索リコンシリエーション・タスクで共通): modifyTimestamp |
IT Resource Name |
グループまたはロール・データをリコンサイルする、ターゲット・システム・インストールのITリソースの名前を入力します。 値は次のとおりです:
|
Latest Token |
この属性は、Incremental Recon Attributeのサンプル値を保持します。 ノート: 実行後、リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定すると、この属性の値として指定したタイム・スタンプの後で変更されたユーザー・アカウントしかリコンサイルされなくなります。 完全リコンシリエーションを実行する場合は、このフィールドの値を消去します。 サンプル値: |
Object Type |
リコンサイルされるオブジェクトのタイプ。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
Resource Object Name |
リコンシリエーションに使用されるリソース・オブジェクトの名前。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
LDAP Connector Group Sync Reconciliationスケジュール済ジョブは、ターゲット・システムのグループ・データをリコンサイルするために使用されます。同じく、LDAP Connector OU Sync ReconciliationおよびLDAP Connector Role Sync Reconciliationスケジュール済ジョブは、ターゲット・システムのOUおよびロール・データをリコンサイルするために使用されます。ターゲット・システムで変更ログ属性がサポートされる場合は、これらのスケジュール済ジョブを使用する必要があります。
表3-7に、これらのスケジュール済ジョブの属性の説明を示します。
表3-7 LDAP Connector Group Sync Reconciliation、LDAP Connector OU Sync ReconciliationおよびLDAP Connector Role Sync Reconciliationスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
IT Resource Name |
グループまたはロール・データをリコンサイルする、ターゲット・システム・インストールのITリソースの名前を入力します。値は次のとおりです:
|
Object Type |
リコンサイルされるオブジェクトのタイプ。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
Resource Object Name |
リコンシリエーションに使用されるリソース・オブジェクトの名前。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
Sync Token |
最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Managerにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。 この属性は、次のいずれかの形式で値を格納します。
|
ターゲット・システムに応じて、次のスケジュール済ジョブの属性の値を指定する必要があります。
ODSEEおよびOUDの場合:
LDAP Connector Group Search Delete Reconciliation
LDAP Connector OU Search Delete Reconciliation
LDAP Connector Role Search Delete Reconciliation
OIDの場合:
OID Connector Group Search Delete Reconciliation
OID Connector OU Search Delete Reconciliation
eDirectoryの場合:
eDirectory Connector Group Search Delete Reconciliation
eDirectory Connector Org Search Delete Reconciliation
eDirectory Connector Role Search Delete Reconciliation
表3-8に、これらのスケジュール済ジョブの属性の説明を示します。
表3-8 削除されたグループ、組織単位およびロールのリコンシリエーションのスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
IT Resource Name |
コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。 デフォルト値:
|
Object Type |
この属性は、リコンサイルするオブジェクトのタイプを保持します。 |
Resource Object Name |
リコンシリエーションの実行対象となるリソース・オブジェクトの名前を入力します。 |
この項では、スケジュール済ジョブの構成手順について説明します。この手順は、参照フィールド同期およびリコンシリエーションのスケジュール済ジョブを構成する場合に適用できます。スケジュール済ジョブとその属性のリストは、「参照フィールド同期のスケジュール済ジョブ」および「リコンシリエーションのスケジュール済ジョブ」を参照してください。
この項には、「スケジュール済ジョブおよびタスクの検索ベースと検索範囲の構成」も含まれます。
ノート:
変更ログ属性が構成される場合、増分リコンシリエーションでは同期リコンシリエーション・タスクを使用し、完全リコンシリエーションと削除リコンシリエーションでは検索リコンシリエーション・タスクを使用します。
変更ログが構成されず、modifytimestamp属性が使用される場合は、増分、完全および削除のリコンシリエーションで検索リコンシリエーション・タスクを使用します。
スケジュール済ジョブを構成するには:
Oracle Identity Managerリリース11.1.1.xを使用している場合:
管理およびユーザー・コンソールにログインします。
「Oracle Identity Managerセルフ・サービスへようこそ」ページの右上隅で、「拡張」をクリックします。
「Oracle Identity Manager拡張管理へようこそ」ページの「システム管理」領域で、「スケジュール済ジョブの検索」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合 :
Oracle Identity System Administrationにログインします。
左ペインの「システム管理」で、「スケジューラ」をクリックします。
次のようにスケジュール済タスクを検索して開きます。
左ペインの「検索」フィールドに、スケジュール済ジョブの名前を検索基準として入力します。「拡張検索」をクリックして検索基準を指定することもできます。
左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
「ジョブの詳細」タブで、スケジュール済タスクのパラメータを変更できます。
再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。
ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。
「ジョブの詳細」タブの「パラメータ」領域で、スケジュール済タスクの属性の値を指定します。
ノート:
属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。
すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。
検索ベースや検索範囲のフィールドは、ユーザー、グループ、ロールまたは組織単位の参照リコンシリエーションのスケジュール済タスクには含まれません。これらのフィールドを追加するには、「スケジュール済ジョブおよびタスクの検索ベースと検索範囲の構成」を参照してください。
「適用」をクリックして変更を保存します。
ノート:
Identity System Administrationのスケジューラのステータス・ページを使用して、スケジューラを起動、停止または再初期化できます。
スケジュール済ジョブおよびタスクの検索ベースおよび検索範囲を構成するには、次のステップを実行します。
ノート:
Lookup Reconciliationスケジュール済ジョブは、検索範囲および検索ベースなどのカスタム・タスク属性をサポートしていません。検索ベースと検索範囲を構成するには、必要なスケジュール済ジョブおよびタスクをまずエクスポートします。
スケジュール済ジョブおよびタスクにパラメータを追加します:
スケジュール済タスクの名前を変更して、他のジョブがこの変更の影響を受けないようにします。
scheduledTask xml要素を探して、xml属性nameを確認します。次に例を示します。
<scheduledTask repo-type="MDS" name="LDAP Connector Search Incremental Reconciliation" mds-path="/db" mds-file="LDAP Connector Search Incremental Reconciliation.xml">
古い名前をすべて新しい値で置き換えます。
たとえば、すべての「LDAP Connector Search Incremental Reconciliation」を「LDAP Connector Search Incremental Reconciliation Extended」で置き換えます。
スケジュール済ジョブの名前を変更します。
Job要素を探します。
name xml属性の値を変更します。たとえば、「LDAP Connector OU Search Reconciliation」を「LDAP Connector OU Search Reconciliation Extended」に変更します。
次のようにスケジュール済タスクにパラメータを追加します。
scheduledTask/completeXml/scheduledTasks/task/パラメータ要素を確認します。
次のパラメータを追加します。
<string-param required="false" encrypted="false" helpText="Search Scope">SCOPE</string-param> <string-param required="false" encrypted="false" helpText="Search Base">Base Context</string-param>
次のようにスケジュール済ジョブにパラメータを追加します。
Job/attributes要素を見つけます。
次のパラメータを追加します。
<object> <key>SCOPE</key> <value type="jobparameter"> <name type="string">SCOPE</name> <required type="boolean">false</required> <encrypted type="boolean">false</encrypted> <helpText type="string">Search Scope</helpText> <dataType type="string">String</dataType> <paramKey type="string">30</paramKey> <paramValue type="string"/> </value> </object> <object> <key>Base Context</key> <value type="jobparameter"> <name type="string">Base Context</name> <required type="boolean">false</required> <encrypted type="boolean">false</encrypted> <helpText type="string">Search Base</helpText> <dataType type="string">String</dataType> <paramKey type="string">31</paramKey> <paramValue type="string"/> </value> </object>
この項では、次の項目について説明します。
OIMユーザーのリソースのプロビジョニングでは、Oracle Identity Managerを使用して、そのユーザーのターゲット・システム・アカウントを作成します。
Oracle Identity Managerにコネクタをインストールするときに、直接プロビジョニング機能は自動的に有効になります。すなわち、コネクタをインストールすると、プロセス・フォームが有効になります。
リクエストベース・プロビジョニングのためにコネクタを構成した場合、プロセス・フォームが抑制されてオブジェクト・フォームが表示されます。すなわち、コネクタにリクエストベースのプロビジョニングを構成すると、ダイレクト・プロビジョニングは無効になります。直接プロビジョニングに戻るには、「リクエストベースのプロビジョニングと直接プロビジョニングの切替え」に記載されているステップを実行します。
次にプロビジョニング操作のタイプを示します。
ダイレクト・プロビジョニング
リクエストベースのプロビジョニング
関連項目:
プロビジョニングのタイプの詳細は、olink:OMUSGOracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行のタスクの手動による実行に関する項を参照してください。
ノート:
この例はLDAPv3ターゲット・システムに対応しています。ただし、他のターゲット・システム(eDirectoryまたはOIDなど)をプロビジョニングする場合でもステップは似ています。
ダイレクト・プロビジョニングの手法を使用してリソースをプロビジョニングするには、次の手順を実行します。
管理およびユーザー・コンソールにログインします。
まずOIMユーザーを作成してから、ターゲット・システム・アカウントをプロビジョニングする場合は、次の操作を行います。
「アイデンティティ管理へようこそ」ページの「ユーザー」リージョンで「ユーザーの作成」をクリックします。
「ユーザーの詳細」ページでOIMユーザーのフィールドに値を入力し、「保存」をクリックします。図3-1に、このページを示します。
ターゲット・システム・アカウントを既存のOIMユーザーにプロビジョニングする場合は、次の操作を行います。
「アイデンティティ管理へようこそ」ページで、左ペインのリストから「ユーザー」を選択することで、OIMユーザーを検索します。
検索結果として表示されるユーザー・リストからOIMユーザーを選択します。右ペインに、ユーザー詳細ページが表示されます。
ユーザー詳細ページで、「リソース」タブをクリックします。
「アクション」メニューから「リソースの追加」を選択します。あるいは、プラス(+)記号の付いた「リソースの追加」アイコンをクリックします。「ユーザーへのリソースのプロビジョニング」ページが新しいウィンドウに表示されます。
「ステップ1: リソースの選択」ページで、リストから「LDAP User」リソースを選択し、「続行」をクリックします。
図3-2に、「ステップ1: リソースの選択」ページを示します。
「ステップ2: リソースの選択の検証」ページで「続行」をクリックします。
図3-3に、「ステップ2: リソースの選択の検証」ページを示します。
「ステップ5: プロセス・データの指定」の「LDAPユーザー・フォーム」ページで、ターゲット・システムで作成するアカウントの詳細を入力し、「続行」をクリックします。図3-4に、追加されたユーザーの詳細を示します。
必要な場合は、「ステップ5: プロセス・データの指定」の「LDAPユーザー・グループ」ページで、ターゲット・システムのユーザーのグループを検索して選択し、「続行」をクリックします。図3-5に、このページを示します。
必要な場合は、「ステップ5: プロセス・データの指定」の「LDAPユーザー・ロール」ページで、ロールを検索して選択し、「続行」をクリックします。図3-6に、このページを示します。
「ステップ6: プロセス・データの検証」ページで、指定したデータを確認して「続行」をクリックします。図3-7に、「ステップ6: プロセス・データの検証」ページを示します。
「プロビジョニングは開始されています。」というメッセージを表示しているウィンドウを閉じます。
「リソース」タブで「リフレッシュ」をクリックして、新たにプロビジョニングされたリソースを表示します。
ノート:
この例はLDAPv3ターゲット・システムに対応しています。ただし、他のターゲット・システム(eDirectoryまたはOIDなど)をプロビジョニングする場合でもステップは似ています。
グループ、ロールおよび組織のディレクトリをOIM組織にプロビジョニングすることができます。ダイレクト・プロビジョニングの手法を使用してリソースをプロビジョニングするには、次の手順を実行します。
管理およびユーザー・コンソールにログインします。
まずOIM組織を作成してから、ターゲット・システム・アカウントをプロビジョニングする場合は、次のようにします。
「アイデンティティ管理へようこそ」ページの「組織」リージョンで「組織の作成」をクリックします。
「組織の詳細」ページでOIM組織のフィールドに値を入力し、「保存」をクリックします。
ターゲット・システム・アカウントを既存のOIM組織にプロビジョニングする場合は、次のようにします。
「アイデンティティ管理へようこそ」ページの左側のペインのリストで「組織」を選択して、OIM組織を検索します。
検索結果として表示されるユーザー・リストからOIM組織を選択します。右ペインに、ユーザー詳細ページが表示されます。
ユーザー詳細ページで、「リソース」タブをクリックします。
「アクション」メニューから「プロビジョニング」を選択します。あるいは、プラス(+)記号の付いた「リソースの追加」アイコンをクリックします。「組織にリソースをプロビジョニング」ページが新しいウィンドウに表示されます。
「ステップ1: リソースの選択」ページで、リストから「LDAP Group」リソースを選択し、「続行」をクリックします。
ノート:
ロールまたは組織単位をプロビジョニングする場合は、LDAPロールまたは「LDAP組織単位」をそれぞれ選択します。
「ステップ2: リソースの選択の検証」ページで「続行」をクリックします。
「ステップ5: プロセス・データの指定」の「LDAPグループ・フォーム」ページで、ターゲット・システムで作成するアカウントの詳細を入力し、「続行」をクリックします。
「ステップ6: プロセス・データの検証」ページで、指定したデータを確認して「続行」をクリックします。
「プロビジョニングは開始されています。」というメッセージを表示しているウィンドウを閉じます。
「リソース」タブで「リフレッシュ」をクリックして、新たにプロビジョニングされたリソースを表示します。
ノート:
OIM作成の組織は、OIDまたはMicrosoft Active Directoryのディレクトリ・リソースのOUオブジェクトには関連しません。OIMコネクタはOIDまたはMicrosoft Active DirectoryにプロビジョニングできるOIM内のOUオブジェクトの作成をサポートしません。そのかわりに、OUはOIDまたはMicrosoft Active Directoryのディレクトリ・サービスで直接作成できます。
さらに、ベスト・プラクティスとして、すべての新しく作成されたOUとその他のオブジェクトが、信頼できるリソース・リコンシリエーションを介してOIDまたはMicrosoft Active DirectoryからOIMへインポートされるようにします。
リクエストベースのプロビジョニング操作には、エンドユーザーと承認者の両方が関係します。通常、承認者はリクエスト発行者の上司です。次の項では、リクエストベースのプロビジョニング操作でエンドユーザーおよび承認者によって実行されるステップについて説明します。
ノート:
この項で説明する手順では、エンドユーザーがターゲット・システム・アカウントをプロビジョニングするリクエストを作成する例を使用しています。その後、このリクエストは承認者によって承認されます。
リクエストベースのプロビジョニングとダイレクト・プロビジョニングの切替えでは、次の操作を実行します。
ノート:
「リクエストベースのプロビジョニング用のOracle Identity Managerの構成」に示す手順が実行されたことを想定しています。
リクエストベースのプロビジョニングからダイレクト・プロビジョニングに切り替えるには、次の手順を実行します。
Design Consoleにログインします。
次の手順で、「Auto Save Form」機能を無効にします。
「Process Management」を開いて「Process Definition」をダブルクリックします。
LDAP Userプロセス定義を検索して開きます。
「Auto Save Form」チェック・ボックスを選択解除します。
「Save」アイコンをクリックします。
「Self Request Allowed」機能が有効になっている場合は、次の操作を行います。
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
LDAP Userリソース・オブジェクトを検索し、開きます。
「Self Request Allowed」チェック・ボックスを選択解除します。
「Save」アイコンをクリックします。
ダイレクト・プロビジョニングからリクエストベースのプロビジョニングに戻すには、次の手順を実行します。
Design Consoleにログインします。
次の手順で、Auto Save Form機能を有効にします。
「Process Management」を開いて「Process Definition」をダブルクリックします。
LDAP Userプロセス定義を検索して開きます。
「Auto Save Form」チェック・ボックスを選択します。
「Save」アイコンをクリックします。
エンドユーザーが自分自身に対するリクエストを生成できるようにするには、次の手順を実行します。
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
LDAP Userリソース・オブジェクトを検索し、開きます。
「Self Request Allowed」チェック・ボックスを選択します。
「Save」アイコンをクリックします。
Oracle Identity Managerリリース11.1.2以降でプロビジョニング操作を実行するには、次の手順を実行します。
Oracle Identity管理およびユーザー・コンソールにログインします。
ユーザーを作成します。ユーザー作成の詳細は、Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行のユーザーの管理を参照してください。
「アカウント」タブで、「アカウントのリクエスト」をクリックします。
「カタログ」ページで、ステップ3で作成したアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。
アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします
「送信」をクリックします。
権限をプロビジョニングする場合は、次の手順を実行します。
「権限」タブで、「権限のリクエスト」をクリックします。
「カタログ」ページで、権限を検索してカートに追加し、「チェックアウト」をクリックします。
「送信」をクリックします。
