| Oracle® Identity Managerフラット・ファイル・コネクタ・ガイド リリース11.1.1 E53495-07 |
|
 前 |
 次 |
フラット・ファイル・コネクタは、Oracle Identity ManagerをCSV、LDIF、XMLなどの形式のファイルと統合します。
次のトピックでは、コネクタの概要を示します。
Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerコネクタは、Oracle Identity Managerと外部のアイデンティティ認識アプリケーションの統合に使用されます。このガイドでは、フラット・ファイル・コネクタを使用して、オンボード・ユーザー、権限および権限付与に使用できる様々なシステムからOracle Identity Managerへのフラット・ファイル・ベースのデータ同期アプローチの使用方法について説明します。
エンタープライズ・アプリケーションでは、通常、ファイル形式でのユーザーのエクスポートがサポートされます。一般的に使用されているファイル形式には、CSV、LDIF、XMLなどがあります。コネクタは、フラット・ファイルの情報を使用することで、このデータをOracle Identity Managerユーザー・アカウントまたは権限としてインポートできるようにします。フラット・ファイル・コネクタは、オフライン・データ・ロードを行う多くの場合や、事前定義されたコネクタが使用できない場合に使用できます。
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1 動作保証されているコンポーネント
| 項目 | 要件 |
|---|---|
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
|
フラット・ファイルにユーザー、アカウントまたは権限をエクスポートできる任意のエンタープライズ・ターゲット・システム。 |
|
11.1.1.5.0以上 ノート: 必要なJavaコネクタ・サーバーは、Oracle Technology Network Webページからダウンロードできます。 |
|
コネクタ・サーバーのJDK |
JDK 1.6以上 |
CSV ノート: CSV以外の形式は、カスタム・パーサーの使用を通じてサポートされます。 |
コネクタは、Oracle Identity Managerによってサポートされる言語に対応しています。
リソース・バンドル・エントリは、使用されるフラット・ファイルに応じて変化するため、リソース・バンドルはコネクタ・インストール・メディアに含まれません。UIフォームのフィールド・ラベルはローカライズできます(詳細は、「UIフォームのフィールド・ラベルのローカライズ」を参照してください)。
フラット・ファイル・コネクタは、様々なエンタープライズ・ターゲット・システムからエクスポートされたフラット・ファイルからレコードを取得するための汎用ソリューションです。このコネクタは、Identity Connector Framework (ICF)コンポーネントを使用して実装されます。
これらのフラット・ファイルには、CSV、LDIF、XMLなどの様々な形式があります。コネクタは、フラット・ファイルからのレコードのリコンシリエーションのみを対象とします。インストール・メディアには、フラット・ファイルからOracle Identity Managerの既存のリソースにユーザー、アカウントおよび権限をロードするために使用できるスケジュール済ジョブが含まれます。
図1-1に、エンタープライズ・ターゲット・システムからエクスポートされたフラット・ファイルとOracle Identity Managerを統合するコネクタを示します。
エンタープライズ・ターゲット・システムからエクスポートされたフラット・ファイルは、Oracle Identity Managerからアクセス可能なディレクトリに格納されます。コネクタは、ディレクトリ内のファイルを英数字順にソートし、その順序に基づいて各ファイルを処理します。また、そのフラット・ファイルの属性を記述したスキーマ・ファイルを所定の形式で作成する必要があります(スキーマ・ファイルの詳細は、「スキーマ・ファイルの理解および作成」を参照してください)。フラット・ファイルを含むディレクトリの場所は、スケジュール済ジョブの属性で指定され、スキーマ・ファイルの場所はITリソース・パラメータとして指定されます。スケジュール済ジョブが実行されると、それによってコネクタの検索実装がコールされ、次にコネクタ・オブジェクトがOracle Identity Managerに戻されます。
コネクタ・インストール・メディアには、フラット・ファイル・スキーマに基づいてOracle Identity Managerアーティファクトを生成するメタデータ・ジェネレータ・ユーティリティも含まれます。メタデータ・ジェネレータ・ユーティリティによって、Oracle Identity Managerにインストールし、そのコネクタの使用を通じてエンティティをロードするためのリソースとして使用できるコネクタ・パッケージ(zipファイル)が生成されます。
このコネクタを使用できるシナリオを次に示します。
エンタープライズ・ターゲット・システムからエクスポートされたフラット・ファイルからのレコードのリコンシリエーションには、フラット・ファイルからOracle Identity Managerへのデータのロードが含まれます。
このシナリオでは次の操作を実行できます。
リコンシリエーション
証明
ここでは、フラット・ファイル・コネクタを使用して、リコンシリエーションを実行できます。
次の例は、フラット・ファイル・コネクタを使用して、フラット・ファイルからOracle Identity Governanceにデータをロードして証明タスクを実行する方法を示しています。
Johnは、ACME Corporationにコンプライアンス管理者として勤務しています。彼は、Oracle Identity Governanceを使用してロールを定義し、証明プロセスを自動化し、監査用のビジネス構造レポートを生成します。彼は、エンタープライズのユーザーとその権限のリストをCSVファイルの形式で保持し、そのデータを純粋に証明目的で使用するためにOracle Identity Governanceにインポートしたいと考えています。すべてのユーザーに対してリソース・オブジェクトおよびフォームを作成し、データをそれらの表にインポートする必要があります。
前述の例では、Johnはフラット・ファイル・コネクタを使用して、フラット・ファイルからフラット・ファイル・リソースにアカウントをロードできます。フラット・ファイルの対応するリコンシリエーション・ジョブを実行すると、CSVファイルからOracle Identity Governanceにデータをインポートできます。
接続なしリソースとは、事前定義されたコネクタが存在しないターゲットです。したがって、接続なしリソースのプロビジョニングは自動的に処理されないため、手動で実行する必要があります。
このシナリオでは次の操作を実行できます。
リクエスト
手動による履行またはプロビジョニング
リコンシリエーション
証明
ここでは、フラット・ファイル・コネクタを使用して、リコンシリエーションとプロビジョニング操作を実行できます。
次の例は、フラット・ファイル・コネクタを使用して、接続なしリソースでフラット・ファイルからOracle Identity Governanceにデータをロードする方法を示しています。
Smithは、Utopia大学の図書館長です。彼の職責には、図書館アクセス・カードを大学の学生に提供することが含まれます。彼は、すでに図書館カードを持っている学生のリストが記載されたファイルを保持しています。彼は、このリストをOracle Identity Governanceに転送し、その後、既存のメンバーについて図書館の業務を自動化したいと考えています。
前述の例で、図書館カードがOracle Identity Governanceで接続なしリソースとしてモデル化されるため、メタデータ生成ユーティリティを使用して接続なしリソース用のアプリケーションを生成し、対応するリコンシリエーション・ジョブを使用してフラット・ファイルから図書館カード・リソースにアカウントをロードできます。Oracle Identity Governanceを通じて接続なしリソースを定義することで、Smithは、フラット・ファイルのユーザーのリコンシリエーションを開始し、希望する接続なしリソースにユーザーをリンクできます。
接続リソースとは、事前定義されたコネクタが使用できるターゲットです(Microsoft Active Directoryなど)。
このシナリオでは次の操作を実行できます。
リクエスト
自動の履行またはプロビジョニング
リコンシリエーション
証明
この場合、フラット・ファイル・コネクタを使用して、リコンシリエーションの実行のみができます。
次の例は、フラット・ファイル・コネクタを使用して、フラット・ファイルからOracle Identity Managerにデータをロードする方法を示しています(ただし、事前定義されたコネクタを使用可能)。
Janeは、Example Multinational社でネットワーク管理者として働いています。Example Multinational社で、彼女は、組織内のユーザーを対象にアイデンティティおよびアクセス管理作業を行っています。Janeの職責の1つは、Oracle Identity Managerでユーザーを作成および管理し、各ユーザーにリソースをプロビジョニングすることです。Example Multinational社では、すべての従業員の詳細は、Microsoft Active Directoryターゲット・システムで管理されています。Janeは、できるかぎり早急に約100,000個のユーザー・レコードについてターゲット・システムからOracle Identity Managerインスタンスにリコンサイルしたいと考えています。ADサーバーはメンテナンスによる停止が計画されているため、彼女は、LDIFファイルの形式でエクスポートされたすべてのユーザー・データをオフラインでロードする方法を探しています。時間およびネットワーク上の制約のため、Janeは、Oracle Identity Managerに対するユーザーの初期オンボードのためのソリューションを必要としています。
前述の例で、初期リコンシリエーションまたは完全リコンシリエーションを実行することは、パフォーマンスと時間を消費する操作です。Microsoft Active Directory User Management Connectorを使用してリコンシリエーション操作を実行する場合、ターゲット・システムとOracle Identity Manager間の接続をアクティブに維持する必要があります。つまり、ユーザーのオフライン・ロードは実行できません。このシナリオの場合、ターゲット・システムのネイティブ・フラット・ファイル・ダンプをフラット・ファイル・コネクタによって使用し、ユーザーをOracle Identity Managerに迅速にリコンサイルできます。
コネクタの機能には、カスタム・パーサー、フォルト処理、アーカイブ、コネクタ・サーバー、アカウント・データの変換と検証、完全リコンシリエーション、増分リコンシリエーション、制限付きリコンシリエーション、バッチ・リコンシリエーションなどのサポートが含まれます。
エクスポートされたフラット・ファイルは、Oracle Identity Managerに対するレコードのリコンシリエーション用の信頼できるソースまたはターゲット・リソースとして構成できます。
コネクタおよびその詳細をインストールする場合に作成されるスケジュール済ジョブの詳細は、「スケジュール済ジョブの属性」を参照してください。
コネクタをデプロイしたら、完全リコンシリエーションを実行して、既存のすべてのユーザー・データをフラット・ファイルからOracle Identity Managerにロードできます。
最初の完全リコンシリエーションの実行後に追加された新しいファイルは、すべて増分データのソースとみなされます。別の方法として、増分データを単独で明示的に提供することで、増分リコンシリエーションも実行できます。
完全リコンシリエーションはいつでも実行できます。詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。
リコンシリエーション・フィルタをスケジュール済ジョブの「フィルタ」属性の値として設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたエンタープライズ・ターゲット・システム・レコードのサブセットを指定します。
詳細は、制限付きリコンシリエーションを参照してください。
コネクタは、接続なしリソースに関連付けられるすべてのアーティファクトを生成することで、接続なしリソースのサポートを提供します。
また、手動プロビジョニングを実行するために必要なデフォルトのSOAコンポジットに関連付けられたプロセス定義を生成します。これにより、接続なしリソースおよびOracle Identity Governanceのフィールドと対応するターゲット・システム属性の間のマッピングを手動で作成する必要がなくなります。
接続なしリソースとしてフラット・ファイルを構成するには、「FlatFileConfiguration.groovyファイルのエントリの理解」を参照してください。
コネクタは、リソース固有のスケジュール済ジョブの生成をサポートします。これは、リソースのタイプ(信頼できるソース、ターゲット・リソースまたは接続なしリソース)に応じてメタデータ生成ユーティリティが対応するスケジュール済ジョブを自動的に生成していることを示します。
たとえば、メタデータ生成ユーティリティを使用し、信頼できるリソースとしてフラット・ファイルを構成した場合、IT_RES_NAMEフラット・ファイル・ユーザー・ローダー、IT_RES_NAMEフラット・ファイル・ユーザー削除差分リコンシリエーション、IT_RES_NAMEフラット・ファイル・ユーザー削除リコンシリエーションなどのスケジュール済ジョブが自動的に生成されます。
すぐに使用できるフラット・ファイル・コネクタおよびメタデータ生成ユーティリティを使用して作成されるコネクタをインストールする場合に作成されるスケジュール済ジョブの詳細は、「リコンシリエーション・スケジュール済ジョブ」を参照してください。
コネクタでは、処理されたフラット・ファイルのアーカイブがサポートされます。
アーカイブ・ディレクトリの場所は、スケジュール済ジョブの構成中に「アーカイブ・ディレクトリ」属性で指定でき、すべてのファイルが処理されると、コネクタによってソース・ディレクトリから指定した場所にファイルが移動されます。
この属性の値を指定しない場合、コネクタによって、フラット・ファイルが格納されたディレクトリ内にArchivedディレクトリが作成され、処理されたファイルはその場所に保存されます。
アーカイブの詳細は、「アーカイブの構成」を参照してください。
コネクタでは、CSV形式でエクスポートされたフラット・ファイルの処理がデフォルトでサポートされます。CSV以外の形式でエクスポートされたフラット・ファイルの処理をサポートするには、カスタム・パーサーを作成してそれをコネクタに統合する必要があります。
デフォルトで、コネクタ・インストール・メディアにCSVParserが含まれます。
カスタム・パーサーの詳細は、「カスタム・パーサーの構成」を参照してください。
コネクタでは、単一および複数のフィールドを含む子フォームの形式による複雑な複数値データのリコンシリエーションがサポートされます。
子フォームのデータは、親フォームのデータと同じファイルに存在する必要があります。子フォームの値は、カスタマイズ可能なデリミタによって区切られます。
たとえば、CSVファイルで、フラット・ファイルのすべての行は、親フォームと子フォームのデータを含む単一のレコードを表します。
詳細は、「複雑な複数値データのリコンサイル」を参照してください。
コネクタでは、レコードの値を区切るために使用できる単一文字のデリミタの使用がサポートされます。
デリミタを構成するには、Lookup.FlatFile.ConfigurationおよびLookup.FlatFile.Configuration.Trusted参照定義でfieldDelimiter、multiValueDelimiterおよびsubFieldDelimiterエントリの値を指定します。
デリミタの構成の詳細は、「デリミタの理解および構成」を参照してください。
#や$などの特定の文字で始まる行の処理を無視するようにコネクタを構成できます。
これらの構成可能な文字は、コメント文字とみなされ、このような文字で始まる文は、コメントとみなされます。コネクタ実装は、構成されたコメント文字で始まる行をスキップします。
このように構成するには、Lookup.FlatFile.Configuration参照定義のコメント文字エントリの値を指定します。
コメント文字の詳細は、「コメント文字を無視するためのコネクタの構成」を参照してください。
コネクタは、フラット・ファイルの解析中にレコード・レベルのエラーを別のファイルに記録します。このログ・ファイルは、フラット・ファイルのディレクトリ内にコネクタによって作成される「failed」という名前のディレクトリに保存されます。
詳細は、「フォルト処理の構成」を参照してください。
前処理タスクと後処理タスクは、それぞれアカウントのリコンシリエーションの前と後の両方に実行できます。
これらのタスクを使用して、フラット・ファイル・ディレクトリで任意のジョブ(ファイルの圧縮と解凍、完全なファイル・ダンプまたはファイル内の特定フィールドの暗号化と復号化、ファイルのウィルス・スキャン、またはこれらのタスクの実装によってのみ制限される他の任意のタスクなど)を実行できます。
詳細は、「前処理および後処理タスクの構成」を参照してください。
信頼できるソースまたはターゲット・リソースとして構成されているエクスポートされたフラット・ファイルを使用して、エンタープライズ・ターゲット・システムで削除されたレコードに関するデータをリコンサイルできます。
削除されたレコードに関するデータのリコンサイルに使用されるスケジュール済ジョブの詳細は、「ユーザー・レコードのリコンシリエーションのためのスケジュール済ジョブ」および「アカウントのリコンシリエーションのためのスケジュール済ジョブ」を参照してください。
リコンシリエーション時にOracle Identity Managerを対象に送受信されるアカウント・データの検証を構成できます。さらに、リコンシリエーション時にOracle Identity Managerに移動されるアカウント・データの変換も構成できます。
この項の内容は次のとおりです。
コネクタ・サーバーは、Identity Connector Framework (ICF)によって提供されるコンポーネントです。
コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。つまり、コネクタ・サーバーを使用すると、Oracle Identity Managerコネクタのリモート実行が可能になります。
アプリケーションと同じ仮想マシンでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタをデプロイすると、次の参照定義がOracle Identity Managerで自動的に作成されます
次に、コネクタ操作時に使用される参照定義を示します。
Lookup.FlatFile.Configuration参照定義は、ターゲット・リソースのリコンシリエーション操作で使用されるコネクタ構成エントリを含みます。
表1-2に、この参照定義のデフォルト・エントリを示します。
表1-2 Lookup.FlatFile.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Bundle Name |
org.identityconnectors.flatfile |
このエントリは、コネクタ・バンドル・パッケージの名前を含みます。このエントリは変更しないでください。 |
Bundle Version |
1.0.1115 |
このエントリは、コネクタ・バンドル・クラスのバージョンを含みます。このエントリは変更しないでください。 |
Connector Name |
org.identityconnectors.flatfile.FlatFileConnector |
このエントリは、コネクタ・クラスの名前を含みます。このエントリは変更しないでください。 |
fieldDelimiter |
, |
行の各フィールドのデリミタ。 |
multiValueDelimiter |
; |
各複数値データを区切るデリミタ。 |
subFieldDelimiter |
# |
複数値フィールド内の各サブフィールドを区切るデリミタ。 |
textQualifier |
" |
値のテキストの始まりと終わりを決定する文字。textQualifierで修飾された値内のデリミタは、すべて無視されます。 |
User Configuration Lookup |
Lookup.FlatFile.UM.Configuration |
このエントリは、ユーザー固有の構成プロパティを含む参照定義の名前を含みます。このエントリは変更しないでください。 |
Lookup.FlatFile.Configuration.Trusted参照定義は、信頼できるソースのリコンシリエーションで使用されるコネクタ構成エントリを含みます。
表1-3に、この参照定義のデフォルト・エントリを示します。
表1-3 Lookup.FlatFile.Configuration.Trusted参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Bundle Name |
org.identityconnectors.flatfile |
このエントリは、コネクタ・バンドル・パッケージの名前を含みます。このエントリは変更しないでください。 |
Bundle Version |
1.0.1115 |
このエントリは、コネクタ・バンドル・クラスのバージョンを含みます。このエントリは変更しないでください。 |
Connector Name |
org.identityconnectors.flatfile.FlatFileConnector |
このエントリは、コネクタ・クラスの名前を含みます。このエントリは変更しないでください。 |
fieldDelimiter |
, |
行の各フィールドのデリミタ。 |
multiValueDelimiter |
; |
各複数値データを区切るデリミタ。 |
subFieldDelimiter |
# |
複数値フィールド内の各サブフィールドを区切るデリミタ。 |
textQualifier |
" |
値のテキストの始まりと終わりを決定する文字。textQualifierで修飾された値内のデリミタは、すべて無視されます。 |
User Configuration Lookup |
Lookup.FlatFile.UM.Configuration.Trusted |
このエントリは、ユーザー固有の構成プロパティを含む参照定義の名前を含みます。このエントリは変更しないでください。 |
Lookup.FlatFile.EntFieldMap参照定義は、ターゲット参照に関する情報を含む参照定義のコード・キーとデコードの値を移入するために使用されます。
この参照定義には手動でエントリを追加する必要があります。これを行うには、「ターゲット・リソースでのコネクタの構成」を参照してください。
表1-4に、この参照定義のデフォルト・エントリを示します。
表1-4 Lookup.FlatFile.EntFieldMap参照定義のエントリ
| コード・キー | デコード |
|---|---|
CODE |
__NAME__ |
DECODE |
__NAME__ |
この参照定義のコード・キー列では、CODEとDECODEがデフォルト値です。これらの値は変更しないでください。デフォルトで、CODEとDECODEは、スキーマ・ファイルに記述されているNameAttribute(__NAME__)にマップされます。
他の属性にCODEとDECODEをマップする場合、デコード列の値を次のように変更します。
CODEエントリのデコード列に、ターゲット参照定義のコード・キー列に移入する属性の名前を指定します。同様に、DECODEエントリのデコード列に、ターゲット参照定義のデコード列に移入する属性の名前を指定します。
Lookup.FlatFile.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。
この参照定義は、フラット・ファイルがターゲット・リソースとして構成されているときに、ユーザー管理操作で使用されます。この参照定義は、アカウントをリコンサイルする必要のあるリソースにコード・キーをマップするため、手動で変更する必要があります。
この参照定義を変更するには、「ターゲット・リソースでのコネクタの構成」を参照してください。
表1-5に、この参照定義のデフォルト・エントリを示します。
表1-5 Lookup.FlatFile.UM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Recon Attribute Map |
Dummy |
このエントリには、リソース・オブジェクト・フィールドおよびエンタープライズ・ターゲット・システム属性をマップする参照定義の名前が保持されます。 |
Lookup.FlatFile.UM.Configuration.Trusted参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。
この参照定義は、フラット・ファイルが信頼できるソースとして構成されているときに、ユーザー管理操作で使用されます。この参照定義は、アカウントをリコンサイルする必要のあるリソースにコード・キーをマップするため、手動で変更する必要があります。
この参照定義を変更するには、「ターゲット・リソースでのコネクタの構成」を参照してください。
表1-6に、この参照定義のデフォルト・エントリを示します。
表1-6 Lookup.FlatFile.UM.Configuration.Trusted参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Recon Attribute Map |
Dummy |
このエントリには、リソース・オブジェクト・フィールドおよびエンタープライズ・ターゲット・システム属性をマップする参照定義の名前が保持されます。 |
