| Oracle® Identity Manager Google Appsコネクタ・ガイド リリース11.1.1 E50139-02 |
|
 前 |
 次 |
Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerコネクタは、Oracle Identity Managerと外部のアイデンティティ認識アプリケーションの統合に使用されます。このマニュアルでは、Oracle Identity Managerの管理対象(ターゲット)リソースとしてGoogle Appsを使用できるようにするコネクタについて説明します。
|
注意: このマニュアルの一部では、ターゲット・システムという用語は、Google Appsを指すために使用されています。 |
コネクタのアカウント管理(ターゲット・リソース)モードにおいて、ターゲット・システムで直接作成または変更されたユーザーに関するデータは、Oracle Identity Managerにリコンサイルできます。このデータは、新規リソースのOIMユーザーへのプロビジョニング(割当て)、またはすでにOIMユーザーに割り当てられているリソースの更新に使用されます。また、Oracle Identity Managerを使用して、OIMユーザーに割り当てられたGoogle Appsリソース(つまり、アカウント)のプロビジョニングまたは更新を行うことができます。Oracle Identity Managerで実行されるこのようなプロビジョニング操作は、ターゲット・システム・アカウントの作成または更新に変換されます。
この章では次の項について説明します。
表1-1に、このコネクタで動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
| コンポーネント | 要件 |
|---|---|
|
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
|
|
Google Apps |
|
|
コネクタ・サーバー |
1.4.0 |
|
コネクタ・サーバーJDK |
JDK 1.6以上 |
このコネクタでは次の言語がサポートされます。
アラビア語
中国語(簡体字)
中国語(繁体字)
チェコ語
デンマーク語
オランダ語
英語
フィンランド語
フランス語
フランス語(カナダ)
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ノルウェー語
ポーランド語
ポルトガル語
ポルトガル語(ブラジル)
ルーマニア語
ロシア語
スロバキア語
スペイン語
スウェーデン語
タイ語
トルコ語
コネクタを使用すると、ターゲット・システム上のアカウントを管理できます。アカウントの管理は、次のプロセスで構成されています。
プロビジョニング
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザーを作成または更新します。OIMユーザーに対してGoogle Appsリソースの割当て(または、プロビジョニング)を行うと、Google Appsにそのユーザーのアカウントが作成されます。Oracle Identity Manager関連では、プロビジョニングという用語は、Oracle Identity Managerを使用したターゲット・システム・アカウントに対する更新を意味する場合にも使用されます。
ターゲット・リソースのリコンシリエーション
ターゲット・リソースのリコンシリエーションでは、新たに作成または変更されたターゲット・システム・アカウントに関連するデータをリコンサイルして、既存のOIMユーザーやプロビジョニングされたリソースにリンクすることができます。リコンシリエーションには、スケジュール済タスクが使用されます。
図1-1に、Oracle Identity ManagerへのGoogle Appsコネクタの統合を示します。.
この図に示されているように、Google Appsは、Oracle Identity Managerのターゲット・リソースとして構成されます。Oracle Identity Managerで実行されるプロビジョニング操作を通じて、OIMユーザーのアカウントがターゲット・システムで作成および更新されます。リコンシリエーションを通じて、ターゲット・システムで直接作成および更新されるアカウント・データがOracle Identity Managerにフェッチされ、対応するOIMユーザーに対して格納されます。
Identity Connector Framework (ICF)は、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFはOracle Identity Managerに同梱されています。ICFを構成したり変更する必要はありません。
プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがGoogle Appsアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがGoogle AppsプロビジョニングAPIを呼び出します。ターゲット・システムのGoogle AppsプロビジョニングAPIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
リコンシリエーション中に、スケジュール済タスクがICF操作を呼び出すと、ICFがGoogle Appsアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがGoogle AppsリコンシリエーションAPIを呼び出します。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Managerにレコードを渡します。
|
関連項目: ICFの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのIdentity Connector Frameworkの理解を参照してください。 |
ターゲット・システムからフェッチされた各レコードは、OIMユーザーにすでにプロビジョニングされているGoogle Appsリソースと比較されます。一致が見つかると、ターゲット・システムからGoogle Appsレコードに対して行われた更新が、Oracle Identity ManagerのGoogle Appsリソースにコピーされます。一致が見つからなかった場合、レコードのユーザーIDが、各OIMユーザーのユーザーIDと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、Google AppsリソースがOIMユーザーにプロビジョニングされます。
Google Appsアイデンティティ・コネクタ・バンドルは、HTTPSプロトコルを使用してGoogle Apps Admin SDKのDirectory APIと通信します。ライブラリは、内部的にjava.net.HttpURLConnectionクラスを使用します。コネクタをデプロイして使用し始めると、HttpURLConnectionクラスによって作成される接続用のプロキシを構成するために、次のシステム・プロパティが設定されます。
https.proxyPort
https.proxyHost
|
注意: これらのシステム・プロパティが設定されると、JVM、およびHttpURLConnectionクラスを使用する他のすべてのクラスに影響することがあります。 |
また、ユーザー名/パスワードに基づくプロキシ認証をサポートするために、コネクタはjava.net.Authenticatorクラスの実装を提供および登録します。
アプリケーション・サーバーの構成によっては、アプリケーション・サーバーのキーストア/信頼ストアにgoogle証明書をインポートする必要がある場合があります。
コネクタの機能は次のとおりです。
|
注意: アカウント・データが作成または変更された時間を追跡する方法がターゲット・システムによって提供されないため、コネクタは増分リコンシリエーションをサポートできません。 |
完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Managerにフェッチされます。
詳細は、3.2.1項「完全リコンシリエーション」を参照してください。
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。
詳細は、第3.2.3項「バッチ・リコンシリエーション」を参照してください。
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。ネイティブに管理されているリソースと同じホストにバンドルをデプロイするとバンドルの動作が速くなる場合は、Javaコネクタを別のホストで実行するとパフォーマンス改善に役立ちます。
|
関連項目: コネクタ・サーバーのインストールと構成、およびコネクタ・サーバーの実行の詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのアイデンティティ・コネクタ・サーバーの使用を参照してください。 |
リコンシリエーションの実行中、コネクタはステータス情報を他のアカウント・データとともにフェッチできます。
削除されたターゲット・システムのユーザーの詳細をフェッチするには、Google Appsターゲット・リソースのユーザーの削除リコンシリエーション・スケジュール済タスクを使用できます。この情報は、OIMユーザーの該当Google Appsリソースを失効させるために使用されます。
デフォルトでは、このコネクタは、単一ドメイン内のリコンシリエーションおよびプロビジョニング操作をサポートします。ただし、メイン構成参照定義のsupportMultipleDomainエントリに値を指定すると、複数ドメインでのコネクタ操作を実行するようコネクタを構成できます。
詳細は、第1.5.2.1項「Lookup.Configuration.GoogleApps」を参照してください。
コネクタ操作中に使用される参照定義は、次のように分類できます。
プロビジョニング操作時に、プロセス・フォームの「グループ名」参照フィールドを使用して、プロビジョニング操作の実行対象となるユーザーのグループを指定します。「グループ名」参照フィールドには、コネクタのデプロイ時にOracle Identity Managerに自動的に作成されるLookup.GoogleApps.Groups参照定義の値が移入されます。
コード・キー列とデコード列には、__NAME__コネクタ属性の値が入ります。コード・キー列とデコード列の__NAME__属性はどちらも、ターゲット・システムの「グループ」メール・アドレスにマップされます。
参照フィールド同期を実行すると、ターゲット・システムのグループがOracle Identity Managerにフェッチされ、Lookup.GoogleApps.Groups参照定義に移入されます。参照フィールド同期は、Google Apps参照のリコンシリエーション・スケジュール済タスクを使用して行います。このスケジュール済ジョブについては、第3.3項「スケジュール済ジョブの構成」で説明されています。
この項では、コネクタのデプロイ時にOracle Identity Managerに作成されるその他の参照定義について説明します。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を入力する必要があります。その他の参照定義は次のとおりです。
Lookup.Configuration.GoogleApps参照定義には、表1-2に示されているエントリが含まれています。
表1-2 Lookup.Configuration.GoogleApps参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
|
Bundle Name |
org.identityconnectors.googleapps |
このエントリは、コネクタ・バンドルの名前を保持します。このエントリは変更しないでください。 |
|
Bundle Version |
1.2.1 |
このエントリは、コネクタ・バンドルのバージョンを保持します。このエントリは変更しないでください。 |
|
Connector Name |
org.identityconnectors.googleapps.GoogleAppsConnector |
このエントリは、コネクタ・クラスの名前を含みます。このエントリは変更しないでください。 |
|
Group Configuration Lookup |
Lookup.GoogleApps.GM.Configuration |
このエントリは、グループ固有の構成プロパティを含む参照定義の名前を含みます。このエントリは変更しないでください。 |
|
supportMultipleDomain |
false |
このエントリには、単一ドメインと複数ドメインのどちらでコネクタ操作を実行するようにコネクタを構成するか指定します。デフォルトでは、コネクタは、ITリソースで指定されたドメインのみでコネクタ操作を実行します。 Google Appsに存在するすべてのドメインでコネクタ操作を実行する場合は、このエントリの値を |
|
User Configuration Lookup |
Lookup.GoogleApps.UM.Configuration |
このエントリは、ユーザー管理操作中に使用される構成情報を格納する参照定義の名前を保持します。このエントリは変更しないでください。 |
Lookup.GoogleApps.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ユーザー管理操作の際に使用されます。
表1-3に、この参照定義のデフォルト・エントリを示します。
表1-3 Lookup.GoogleApps.UM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
|
Provisioning Attribute Map |
Lookup.GoogleApps.UM.ProvAttrMap |
このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、プロビジョニング操作の際に使用されます。 |
|
Recon Attribute Map |
Lookup.GoogleApps.UM.ReconAttrMap |
このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、リコンシリエーションの際に使用されます。 |
Lookup.GoogleApps.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。これらの参照定義はプロビジョニング中に使用されます。この参照定義は事前構成されています。表1-9に、デフォルト・エントリを示します。
Lookup.GoogleApps.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、リコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。表1-5に、デフォルト・エントリを示します。
Lookup.GoogleApps.GM.Configuration参照定義は、グループ・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、グループ管理操作で使用されます。
表1-4に、この参照定義のデフォルト・エントリを示します。
表1-4 Lookup.GoogleApps.GM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
|
Provisioning Attribute Map |
Lookup.GoogleApps.GM.ProvAttrMap |
このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、プロビジョニング操作の際に使用されます。 |
|
Recon Attribute Map |
Lookup.GoogleApps.GM.ReconAttrMap |
このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、リコンシリエーションの際に使用されます。 |
Lookup.GoogleApps.GM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、グループ・プロビジョニング操作の際に使用されます。この参照定義は、事前に構成されています。表1-10に、デフォルト・エントリを示します。
Lookup.ActiveDirectory.GM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、リコンシリエーション時に使用されます。この参照定義は、事前に構成されています。表1-6に、デフォルト・エントリを示します。
ターゲット・リソースのリコンシリエーションでは、ターゲット・システムで新規作成または変更されたアカウントに関するデータをフェッチし、そのデータを使用してOIMユーザーに割り当てられたリソースを追加または変更します。
GoogleApps Target Resource User Reconciliationスケジュール済ジョブは、リコンシリエーションの実行開始に使用されます。このスケジュール済ジョブは、第3.2.4項「リコンシリエーションのスケジュール済ジョブ」で説明されています。
|
関連項目: コネクタ・リコンシリエーションの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のリコンシリエーションの管理に関する項を参照してください。 |
この項の内容は、次のとおりです。
Lookup.GoogleApps.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。この参照定義は、ターゲット・リソース・ユーザー・リコンシリエーションの実行に使用されます。
この参照定義のエントリは次の形式です。
コード・キー: リソース・オブジェクトのリコンシリエーション・フィールド
デコード: ターゲット・システム属性の名前
表1-5に、この参照定義のエントリを示します。
Lookup.GoogleApps.GM.ReconAttrMap参照定義は、ユーザー・リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。この参照定義は、ターゲット・リソース・グループ・リコンシリエーションの実行に使用されます。
表1-6に、リコンシリエーション時にターゲット・システムから値がフェッチされるグループ・フィールドを示します。GoogleApps Group Reconスケジュール済ジョブは、グループ・データをリコンサイルするために使用されます。
表1-6 Lookup.GoogleApps.GM.ReconAttrMap参照定義のエントリ
| Oracle Identity Managerのグループ・フィールド | Google Appsのフィールド |
|---|---|
|
外部メンバーを許可 |
allowExternalMembers |
|
説明 |
description |
|
電子メール・アドレス |
|
|
グループ名 |
name |
|
アーカイブ済 |
isArchived |
|
OIM組織名 |
Organization Name 注意: これはコネクタ属性です。この属性の値はコネクタにより、Oracle Identity Managerのグループの組織を指定するために内部的に使用されます。 |
|
一意のID |
__UID__ |
|
参加できるユーザー |
whoCanJoin |
|
グループを表示できるユーザー |
whoCanViewGroup |
|
メンバーシップを表示できるユーザー |
whoCanViewMembership |
次の各項では、このコネクタのリコンシリエーション・ルールについて説明します。
ユーザーのプロセス一致ルールを次に示します。
ルール名: GoogleApps User Recon Rule
ルール要素: (GAPPS User GUID Equals Unique ID) OR (User Login Equals Tokenize(Account Name))
この最初のルール・コンポーネント内には、次のものがあります。
GAPPS User GUIDは、OIM UserフォームでGoogle Appsユーザーの一意のIDを保持するUDFです。
Unique IDは、Google AppsアカウントのUIDフィールドです。
この2番目のルール・コンポーネント内には、次のものがあります。
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
Tokenize(Account Name)は、Google Appsアカウントのメール・アドレスの名前部分です。
グループのプロセス一致ルールを次に示します。
ルール名: GoogleApps Groups Recon Rule
ルール要素: Organization Name Equals OIM Org Name
このルール要素の意味は次のとおりです。
Organization Nameは、OIMユーザー・フォームの「組織名」フィールドです。
OIM Org Nameは、Oracle Identity Managerのグループの組織名です。OIM Org Nameは、GoogleApps Group Reconスケジュール済ジョブのOrganization Name属性で指定された値です。
コネクタのデプロイ後、次の手順を実行して、リコンシリエーションのリコンシリエーション・ルールを表示できます。
|
注意: 次の手順は、コネクタのデプロイ後にのみ実行してください。 |
|
注意: このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。 |
次の項目で、このコネクタのリコンシリエーション・ルールについて説明します。
表1-7に、ユーザーのリコンシリエーションとグループのリコンシリエーション両方のアクション・ルールを示します。
コネクタのデプロイ後に次の手順を実行すると、ユーザーとグループのリコンシリエーションのリコンシリエーション・アクション・ルールを表示できます。
Design Consoleにログインします。
「Resource Management」を展開し、「Resource Objects」をダブルクリックします。
リコンシリエーションのリコンシリエーション・アクション・ルールを表示する場合は、次のいずれかのリソース・オブジェクトを検索して開きます。
ユーザーの場合: GoogleApps User
グループの場合: GoogleApps Group
「Object Reconciliation」タブ、「Reconciliation Action Rules」タブの順にクリックします。「Reconciliation Action Rules」タブに、コネクタに定義されているアクション・ルールが表示されます。図1-4に、リコンシリエーションのリコンシリエーション・アクション・ルールを示します。
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザー・データを作成または変更します。
|
関連項目: Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行のプロビジョニング・タスクの管理 |
この項の内容は、次のとおりです。
表1-8に、サポートされるユーザー・プロビジョニング機能と、これらの機能を実行するアダプタを示します。「アダプタ」列には、機能が実行されるときに使用されるアダプタの名前が示されます。
|
関連項目: プロセス・タスクおよびアダプタの一般情報は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのプロセス・タスク・アダプタを参照してください。 |
表1-8 ユーザー・プロビジョニング機能
| 機能 | アダプタ |
|---|---|
|
ユーザーの作成 |
adpGOOGLEAPPSCREATEOBJECT |
|
ユーザーの更新 |
adpGOOGLEAPPSUPDATEATTRIBUTEVALUE |
|
ユーザーの削除 |
adpGOOGLEAPPSDELETEOBJECT |
|
ユーザーの有効化 |
adpGOOGLEAPPSENABLEUSER |
|
ユーザーの無効化 |
adpGOOGLEAPPSDISABLEUSER |
|
パスワードの変更またはリセット |
adpGOOGLEAPPSUPDATEATTRIBUTEVALUE |
|
子表の値の更新 |
adpGOOGLEAPPSUPDATECHILDTABLEVALUE |
|
子表の値の追加 |
adpGOOGLEAPPSADDCHILDTABLEVALUES |
|
ユーザーの子表の値の削除 |
adpGOOGLEAPPSREMOVECHILDTABLEVALUES |
Lookup.GoogleApps.UM.ProvAttrMap参照定義は、プロセス・フォームのフィールドとGoogle Appsのフィールドをマップします。この参照定義は、ユーザー・プロビジョニング操作を実行するために使用されます。
この参照定義のエントリは次の形式です。
コード・キー: プロセス・フォーム・フィールドの名前
デコード: ターゲット・システム属性の名前
表1-9に、この参照定義のエントリを示します。
表1-9 Lookup.GoogleApps.UM.ProvAttrMap参照定義のエントリ
| コード・キー(プロセス・フォームのフィールド) | デコード(Google Appsのフィールド) |
|---|---|
|
アカウント名 |
__NAME__ |
|
次のログイン時にパスワードを変更 |
changePasswordAtNextLogin |
|
姓 |
familyName |
|
名 |
givenName |
|
管理者 |
isAdmin |
|
OrgUnit Path |
orgunitpath |
|
パスワード |
__PASSWORD__ |
|
UD_GA_GROUP~グループ名[Lookup] |
groups |
|
UD_GA_NICK~ニックネーム |
aliases |
|
一意のID |
__UID__ |
Lookup.GoogleApps.GM.ProvAttrMap参照定義は、ユーザー・リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。この参照定義は、グループ・プロビジョニング操作を実行するために使用されます。
表1-10に、プロビジョニング操作時に値を指定または変更できるターゲット・システムのグループ・フィールドを示します。
次に、このマニュアルの次の章以降の構成を示します。
第2章「コネクタのデプロイ」: コネクタのデプロイの各段階で、Oracle Identity Managerおよびターゲット・システムで実行する必要がある手順について説明します。
第3章「コネクタの使用」: コネクタの使用に関するガイドラインと、リコンシリエーションの実行を構成する手順およびプロビジョニング操作を実行する手順について説明します。
第4章「コネクタの機能拡張」: コネクタの機能を拡張する場合に実行する手順について説明します。
第5章「既知の問題、回避策およびトラブルシューティング」では、このリリースのコネクタに関する既知の問題を示しています。
