| Oracle® Identity Manager Google Appsコネクタ・ガイド リリース11.1.1 E50139-02 |
|
 前 |
 次 |
この章では、次の項目について説明します。
|
注意: この項では、コネクタの構成に関する、概念的な情報と手順の情報の両方を提供します。手順を実行する前に、概念的な情報を参照することをお薦めします。 |
GoogleApps Group Lookup Reconciliationスケジュール済ジョブは、参照フィールドの同期に使用されます。このスケジュール済ジョブによってターゲット・システムからフェッチされた値は、Lookup.GoogleApps.Groups参照定義に移入されます。表3-1に、このスケジュール済ジョブの属性の説明を示します。スケジュール済タスクを構成する手順は、このガイドで後述します。
|
注意: ターゲット・システムでは、参照フィールドで特殊文字を使用できます。ただし、Oracle Identity Managerでは、参照定義で特殊文字はサポートされません。 |
表3-1 GoogleAppsグループ参照リコンシリエーション・スケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
|
Batch Size |
リコンシリエーション中に各バッチに含めるレコード数を入力します。 |
|
Code Key Attribute |
この属性は、Lookup.GoogleApps.Groups参照定義のコード・キー列に移入するために値が使用されるコネクタ属性の名前を保持します。 デフォルト値: |
|
Decode Attribute |
この属性は、Lookup.GoogleApps.Groups参照定義のデコード列に移入するために値が使用されるコネクタ属性の名前を保持します。 デフォルト値: |
|
IT Resource Name |
ユーザー・レコードをリコンサイルする、ターゲット・システム・インストールのITリソースの名前。 デフォルト値: |
|
Lookup Name |
この属性は、スケジュール済タスクによって値を移入する必要がある参照定義の名前を保持します。 デフォルト値: Lookup.GoogleApps.Groups参照定義のコピーを作成する場合は、Lookup Name属性の値として新しい参照定義の名前を入力します。 |
|
Object Type |
この属性は、指定されたオブジェクト・タイプのリコンシリエーションを実行するために使用されます。サポートされるオブジェクト・タイプはGroupのみです。 デフォルト値: |
このガイドで前述したように、リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Managerで複製することです。この項では、リコンシリエーションの構成に関する次の項目について説明します。
完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Managerへリコンサイルします。コネクタをデプロイした後はまず、完全リコンシリエーションを実行する必要があります。完全リコンシリエーションを実行するには、ユーザーおよびグループをリコンサイルするためのスケジュール済ジョブのフィルタ属性に値を指定しないでください。
デフォルトでは、現行のリコンシリエーションの実行時に、すべてのターゲット・システム・レコードがリコンサイルされます。リコンサイルする必要のあるターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。
スケジュール済ジョブには、任意のGoogle Appsリソース属性を使用してターゲット・システム・レコードをフィルタ処理するFilterパラメータが用意されています。
リコンシリエーション・モジュールのフィルタを作成して、制限付きリコンシリエーションを実行できます。このコネクタのFilter属性(スケジュール済タスクの属性)により、Google Appsリソース属性を使用してターゲット・システム・レコードをフィルタ処理できます。
ICFフィルタの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのICFフィルタ構文に関する項を参照してください。
コネクタをデプロイする際は、第3.3項「スケジュール済ジョブの構成」の手順に従って属性値を指定します。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。このような問題を避けるため、バッチ・リコンシリエーションを構成できます。
バッチ・リコンシリエーションを構成するには、ユーザーおよびグループ・リコンシリエーションのスケジュール済ジョブの「バッチ・サイズ」属性に値を指定します。「バッチ・サイズ」属性は、ターゲット・システムからフェッチされる各バッチに含めるレコード数を指定する際に使用します。
次のスケジュール済ジョブの属性の値を指定する必要があります。
|
注意: 属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。 |
GoogleApps Target Resource User Reconciliationスケジュール済ジョブは、ターゲット・システムからのアカウント・データをリコンサイルするために使用します。表3-2に、このスケジュール済ジョブの属性の説明を示します。
表3-2 GoogleApps Target Resource User Reconciliationスケジュール済タスクの属性
| 属性 | 説明 |
|---|---|
|
Batch Size |
ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 |
|
Filter |
この属性は、ICF-Common Groovy DSLを使用して記述されたICFフィルタを保持します。この属性の詳細は、第3.2.2項「制限付きリコンシリエーション」を参照してください。 |
|
IT Resource Name |
ユーザー・レコードのリコンサイル元のターゲット・システム・インストールの、ITリソース名を入力します。 デフォルト値: |
|
Object Type |
この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: このデフォルト値は変更しないでください。 |
|
Resource Object Name |
この属性は、リコンシリエーションに使用されるリソース・オブジェクトの名前を保持します。 デフォルト値: 注意: デフォルト値は変更しないでください。 |
GoogleAppsターゲット・リソースのユーザーの削除リコンシリエーション・リコンシリエーション・スケジュール済ジョブは、ターゲット・システムから削除されたユーザーをリコンサイルするために使用します。表3-3に、このスケジュール済ジョブの属性の説明を示します。
表3-3 GoogleAppsターゲット・リソースのユーザー削除リコンシリエーション・スケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
|
Batch Size |
ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 |
|
IT Resource Name |
ユーザー・レコードのリコンサイル元のターゲット・システム・インストールの、ITリソース名を入力します。 デフォルト値: |
|
Object Type |
この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: このデフォルト値は変更しないでください。 |
|
Resource Object Name |
この属性は、リコンシリエーションに使用されるリソース・オブジェクトの名前を保持します。 デフォルト値: |
ターゲット・システムからグループ・データをリコンサイルするには、GoogleApps Group Reconスケジュール済ジョブを使用します。表3-2に、このスケジュール済ジョブの属性の説明を示します。
表3-4 GoogleApps Group Reconスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
|
Batch Size |
ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 |
|
Filter |
この属性は、ICF-Common Groovy DSLを使用して記述されたICFフィルタを保持します。この属性の詳細は、第3.2.2項「制限付きリコンシリエーション」を参照してください。 |
|
IT Resource Name |
ユーザー・レコードのリコンサイル元のターゲット・システム・インストールに対するITリソースの名前を入力します。 デフォルト値: |
|
Object Type |
この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: このデフォルト値は変更しないでください。 |
|
Organization Name |
リコンサイルするグループを作成または更新するOracle Identity Manager組織の名前を指定します。 |
|
Resource Object Name |
この属性は、リコンシリエーションに使用されるリソース・オブジェクトの名前を保持します。 デフォルト値: 注意: デフォルト値は変更しないでください。 |
|
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 デフォルト値: |
ターゲット・システムから削除済グループをリコンサイルするには、GoogleApps Group Delete Reconスケジュール済ジョブを使用します。表3-3に、このスケジュール済ジョブの属性の説明を示します。
表3-5 GoogleApps Group Delete Reconスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
|
Batch Size |
ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 |
|
IT Resource Name |
ユーザー・レコードのリコンサイル元のターゲット・システム・インストールの、ITリソース名を入力します。 デフォルト値: |
|
Object Type |
この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: このデフォルト値は変更しないでください。 |
|
Organization Name |
リコンサイルするグループを削除するOracle Identity Manager組織の名前を入力します。 |
|
Resource Object Name |
この属性は、リコンシリエーションに使用されるリソース・オブジェクトの名前を保持します。 デフォルト値: |
この項では、スケジュール済ジョブの構成手順について説明します。この手順は、参照フィールド同期およびリコンシリエーションのためのスケジュール済ジョブを構成する場合に適用できます。
表3-6に、構成する必要のあるスケジュール済ジョブをリストします。
表3-6 参照フィールド同期およびリコンシリエーションのためのスケジュール済ジョブ
| スケジュール済タスク | 説明 |
|---|---|
|
GoogleApps Group Lookup Reconciliation |
このスケジュール済ジョブは、参照フィールドの同期に使用されます。このスケジュール済ジョブについては、第3.1項「参照フィールド同期のスケジュール済ジョブ」で説明しています。 |
|
GoogleApps Target Resource User Reconciliation |
このスケジュール済ジョブは、ターゲット・リソースのリコンシリエーション時にユーザー・データをフェッチするために使用されます。このスケジュール済タスクと属性の詳細は、第3.2.4.1項「GoogleApps Target Resource User Reconciliation」を参照してください。 |
|
Google Apps Target Resource User Delete Reconciliation |
このスケジュール済ジョブは、ターゲット・リソースのリコンシリエーション時に削除されたユーザーに関するデータをフェッチするために使用されます。リコンシリエーションの実行時に、ターゲット・システムの削除されたユーザー・アカウントごとに、対応するOIMユーザーのGoogleAppsリソースが削除されます。このスケジュール済タスクと属性の詳細は、第3.2.4.2項「GoogleApps Target Resource User Delete Reconciliation」を参照してください。 |
|
GoogleApps Group Recon |
このスケジュール済ジョブは、ターゲット・リソースのリコンシリエーション時にグループに関するデータをフェッチするために使用されます。このスケジュール済タスクと属性の詳細は、第3.2.4.3項「GoogleApps Group Recon」を参照してください。 |
|
GoogleApps Group Delete Recon |
このスケジュール済ジョブは、コネクタのターゲット・リソース・モードで削除されたグループに関するデータをリコンサイルするために使用します。このスケジュール済タスクと属性の詳細は、第3.2.4.4項「GoogleApps Group Delete Recon」を参照してください。 |
スケジュール済タスクを構成するには、次のようにします。
使用しているOracle Identity Managerのリリースに応じて、次のいずれかの手順を実行します。
Oracle Identity Managerリリース11.1.1.xの場合:
管理およびユーザー・コンソールにログインします。
「Oracle Identity Managerセルフ・サービスへようこそ」ページの右上隅で、「拡張」をクリックします。
Oracle Identity Manager拡張管理へようこそページの「システム管理」リージョンで、「スケジュール済ジョブの検索」をクリックします。
Oracle Identity Managerリリース11.1.2.x以降の場合:
Oracle Identity System Administrationにログインします。
左ペインの「システム管理」で、「スケジューラ」をクリックします。
次のようにスケジュール済タスクを検索して開きます。
左ペインの「検索」フィールドに、スケジュール済ジョブの名前を検索基準として入力します。「拡張検索」をクリックして検索基準を指定することもできます。
左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
「ジョブの詳細」タブで、スケジュール済タスクのパラメータを変更できます。
再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。
|
注意: スケジュール・タイプの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のジョブの作成を参照してください。 |
ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。
「ジョブの詳細」タブの「パラメータ」リージョンで、スケジュール済タスクの属性の値を指定します。
|
注意:
|
「適用」をクリックして変更を保存します。
|
注意: Oracle管理およびユーザー・コンソールでは、「実行停止」オプションを使用できます。「スケジューラのステータス」ページを使用して、スケジューラを起動、停止または再初期化できます。 |
プロビジョニング操作を実行する際に適用する必要があるガイドラインを次に示します。
ユーザーの作成プロビジョニング操作では、「アカウント名」フィールドの値をドメイン名とともに指定する必要があります。たとえば、jdoe@example.com.です。
グループ・プロビジョニング操作のとき、「参加できるユーザー」フィールドの値としてANYONE_CAN_JOINを選択する場合は、外部メンバーを許可フィールドの値をTrueに設定する必要があります。ここで説明している値を使用してグループ・プロビジョニング操作を実行する前に、第2.1.2項「ターゲット・システムでのインストール前の作業」で説明している手順を実行済であることを確認してください。
OIMユーザーのリソースのプロビジョニングでは、Oracle Identity Managerを使用して、そのユーザーのGoogleアカウントを作成します。
Oracle Identity Managerにコネクタをインストールすると、ダイレクト・プロビジョニング機能が自動的に有効になります。つまり、コネクタをインストールするとプロセス・フォームが有効になります。
リクエストベースのプロビジョニング用にコネクタを構成すると、プロセス・フォームが抑制されてオブジェクト・フォームが表示されます。つまり、リクエストベースのプロビジョニング用にコネクタを構成すると、ダイレクト・プロビジョニングが無効化されます。ダイレクト・プロビジョニングに戻す場合は、第3.5.3項「リクエストベース・プロビジョニングとダイレクト・プロビジョニングの切替え」の手順を実行します。
プロビジョニング操作のタイプは次のとおりです。
この項の内容は、次のとおりです。
ダイレクト・プロビジョニングの手法を使用してリソースをプロビジョニングするには、次のようにします。
管理およびユーザー・コンソールにログインします。
まずOIMユーザーを作成してから、ターゲット・システム・アカウントをプロビジョニングする場合は、次の操作を行います。
「アイデンティティ管理へようこそ」ページの「ユーザー」リージョンで、「ユーザーの作成」をクリックします。
「ユーザーの詳細」ページでOIMユーザーのフィールドに値を入力し、「保存」をクリックします。
ターゲット・システム・アカウントを既存のOIMユーザーにプロビジョニングする場合は、次の操作を行います。
「アイデンティティ管理へようこそ」ページの左側のペインのリストでOIMユーザーを検索します。
検索結果に表示されたユーザーのリストから、OIMユーザーを選択します。右ペインに、ユーザー詳細ページが表示されます。
ユーザー詳細ページで、「リソース」タブをクリックします。
「アクション」メニューから「リソースの追加」を選択します。あるいは、プラス(+)記号の付いた「リソースの追加」アイコンをクリックします。「ユーザーへのリソースのプロビジョニング」ページが新しいウィンドウに表示されます。
「ステップ1: リソースの選択」ページで、リストからGoogleApps Userを選択し、「続行」をクリックします。
「ステップ2: リソースの選択の検証」ページで「続行」をクリックします。
「ステップ5: プロセス・データの指定」の「Googleユーザー・フォーム」ページで、ターゲット・システムで作成するアカウントの詳細を入力し、「続行」をクリックします。
「ステップ6: プロセス・データの検証」ページで、指定したデータを確認して「続行」をクリックします。
「プロビジョニングが開始されました。」というメッセージが表示されたウィンドウを閉じます。
「リソース」タブで「リフレッシュ」をクリックして、新たにプロビジョニングされたリソースを表示します。
リクエストベースのプロビジョニング操作には、エンドユーザーと承認者の両方が関係します。通常、承認者はリクエスト発行者の上司です。次の項では、リクエストベースのプロビジョニング操作でエンドユーザーと承認者によって実行される手順について説明します。
|
注意: この項で説明する手順では、エンドユーザーがターゲット・システム・アカウントをプロビジョニングするリクエストを作成する例を使用しています。その後、このリクエストは承認者によって承認されます。 |
次の手順は、リクエストベースのプロビジョニング操作でエンドユーザーによって実行されます。
管理およびユーザー・コンソールにログインします。
「ようこそ」ページでページの右上の「拡張」をクリックします。
「アイデンティティ管理へようこそ」ページで「管理」タブをクリックし、次に「リクエスト」タブをクリックします。
左ペインの「アクション」メニューから「リクエストの作成」を選択します。
「リクエスト・テンプレートの選択」ページが表示されます。
「リクエスト・テンプレート」リストから「リソースのプロビジョニング」を選択して、「次」をクリックします。
「ユーザーの選択」ページで、リソースをプロビジョニングするユーザーを検索するためのフィールドで検索基準を指定し、「検索」をクリックします。指定した検索基準に一致するユーザーのリストが「使用可能なユーザー」リストに表示されます。
「使用可能なユーザー」リストから、アカウントをプロビジョニングするユーザーを選択します。
複数のユーザーについてプロビジョニング・リクエストを作成する場合は、「使用可能なユーザー」リストから、アカウントをプロビジョニングするユーザー(複数)を選択します。
「移動」または「すべて移動」をクリックして、選択内容を「選択したユーザー」リストに移動し、「次」をクリックします。
「リソースの選択」ページで「リソース名」フィールドの横にある矢印ボタンをクリックして、使用可能なすべてのリソースのリストを表示します。
「利用可能なリソース」リストからGoogleApps Userを選択し、それを「選択したリソース」リストに移動して、「次」をクリックします。
「リソースの詳細」ページで、ターゲット・システムで作成するアカウントの詳細を入力し、「次」をクリックします。
「理由」ページで次のフィールドの値を指定し、「終了」をクリックします。
有効日
理由
リクエストが正常に送信されたことを確認するメッセージが、リクエストIDと一緒に表示されます。
リクエストIDをクリックすると、「リクエストの詳細」ページが表示されます。
承認の詳細を表示するには、「リソースの詳細」ページで「リクエスト履歴」タブをクリックします。
次の手順は、リクエストベースのプロビジョニング操作で承認者によって実行されます。
次に、承認者が実行できる手順について説明します。
管理およびユーザー・コンソールにログインします。
「ようこそ」ページの右上隅で、「セルフサービス」をクリックします。
「Identity Managerセルフ・サービスへようこそ」ページで「タスク」タブをクリックします。
「承認」タブの最初のセクションで、自分に割り当てられたリクエスト・タスクの検索基準を指定できます。
検索結果表から承認するリクエストを含む行を選択して、「タスクの承認」をクリックします。
タスクが承認トされたことを確認するメッセージが表示されます。
リクエストベースのプロビジョニングからダイレクト・プロビジョニングに切り替えるには、次の手順を実行します。
Design Consoleにログインします。
次の手順で、自動保存フォーム機能を無効にします。
「Process Management」を開いて「Process Definition」をダブルクリックします。
GoogleApps Userプロセス定義を検索して開きます。
「Auto Save Form」チェック・ボックスを選択解除します。
「Save」をクリックします。
セルフ・リクエストを許可機能が有効になっている場合は、次の操作を行います。
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
GoogleApps Userリソース・オブジェクトを検索して開きます。
「セルフ・リクエストを許可」チェック・ボックスを選択解除します。
「保存」をクリックします。
ダイレクト・プロビジョニングからリクエストベースのプロビジョニングに戻すには、次の手順を実行します。
Design Consoleにログインします。
次の手順で、自動保存フォーム機能を有効にします。
「Process Management」を開いて「Process Definition」をダブルクリックします。
GoogleApps Userプロセス定義を検索して開きます。
「Auto Save Form」チェック・ボックスを選択します。
「保存」をクリックします。
エンドユーザーが自分自身に対するリクエストを生成できるようにするには、次の手順を実行します。
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
GoogleApps Userリソース・オブジェクトを検索して開きます。
「Self Request Allowed」チェック・ボックスを選択します。
「保存」をクリックします。
Oracle Identity Managerリリース11.1.2.x以降でプロビジョニング操作を実行するには、次の手順を実行します。
Oracle Identity System Administrationにログインします。
ユーザーを作成します。ユーザー作成の詳細は、Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行のユーザーの管理を参照してください。
「アカウント」タブで、「アカウントのリクエスト」をクリックします。
「カタログ」ページで、ステップ3で作成したアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。
アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします。
「送信」をクリックします。
権限をプロビジョニングする場合は、次の手順を実行します。
「権限」タブで、「権限のリクエスト」をクリックします。
「カタログ」ページで、権限を検索してカートに追加し、「チェックアウト」をクリックします。
「送信」をクリックします。
なんらかの理由でコネクタをアンインストールする場合は、Oracle Fusion Middleware Oracle Identity Managerの管理のコネクタのアンインストールを参照してください。
