| Oracle® Identity Manager SAP User Managementコネクタ・ガイド 11.1.1 E59374-11 |
|
 前 |
 次 |
ノート:
このマニュアルでは、ターゲット・システムという用語は、SAP R/3とSAP CUAの両方をまとめて指します。情報がSAP R/3またはSAP CUAのいずれかに特有である場合、ターゲット・システムの名前が使用されています。
コネクタのアカウント管理(ターゲット・リソース)モードにおいて、ターゲット・システムで直接作成または変更されたユーザーに関するデータは、Oracle Identity Managerにリコンサイルできます。このデータは、新規リソースのOIMユーザーへのプロビジョニング(割当て)、またはすでにOIMユーザーに割り当てられているリソースの更新に使用されます。また、Oracle Identity Managerを使用して、OIMユーザーに割り当てられたSAP R/3またはSAP CUAリソースのプロビジョニングまたは更新を行うことができます。Oracle Identity Managerで実行されるこのようなプロビジョニング操作は、ターゲット・システム・アカウントの作成または更新に変換されます。
この章では次の項について説明します。
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1に、このコネクタで動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
| コンポーネント | 要件 |
|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
ターゲット・システム |
ターゲット・システムは次のいずれか。
|
| その他の考慮事項 | 一般的には、次のとおりです。
|
コネクタ・サーバー |
11.1.2.1.0および12.2.1.3.0 |
コネクタ・サーバーJDK |
JDK 1.6 Update 24以降およびJKD1.7以降、またはJRockit 1.6以降 |
外部コード |
コネクタはSAP JCo 3.0.2以降とともに動作します。次のSAPカスタム・コード・ファイルが必要です。
ノート: 様々なサポートされるプラットフォームおよびプロセッサ用に、異なる配布パッケージ(JCo) 3.0が用意されています。環境に応じたJCo 3.0パッケージの使用の詳細は、JCoのドキュメントを参照してください。 |
SAP Governance, Risk and Compliance Access Control (GRC AC) |
このターゲット・システムのAccess Risk Analysis機能またはAccess Request Management機能を構成および使用する場合は、次のいずれかをインストールしてください。
|
使用しているOracle Identity Managerバージョンに応じて、次のコネクタのいずれかをデプロイして使用する必要があります。
ノート:
Oracle Identity Managerでは、SAP User ManagementコネクタとSAP User Management Engineコネクタの両方をインストールして構成できます。
SAP GRC ACターゲット・システムのコネクタを構成して、Access Risk AnalysisまたはAccess Request Management機能のいずれかを使用できます。
Oracle Identity Manager 11gリリース1 PS1 BP07 (11.1.1.5.7)およびこのリリース・トラックでの以降のBP (Oracle Identity Manager 11gリリース1 PS1 BP08 (11.1.1.5.8)以降、Oracle Identity Manager 11gリリース2 BP05 (11.1.2.0.5)など)、またはOracle Identity Manager 11gリリース2 PS3 (11.1.2.3.0)を使用している場合は、最新である11.1.1.xバージョンのコネクタを使用してください。
Oracle Identity Managerリリース9.1.0.2 BP04以降で、Oracle Identity Manager 11gリリース1 PS1 BP07 (11.1.1.5.7)より前のバージョンを使用している場合は、このコネクタのバージョン9.1.2を使用する必要があります。
Oracle Identity Managerリリース9.1.0.1以降で、Oracle Identity Manager 9.1.0.2 BP04より前のバージョンを使用している場合は、このコネクタのバージョン9.0.4を使用する必要があります。
このコネクタでは次の言語がサポートされます。
アラビア語
中国語(簡体字)
中国語(繁体字)
チェコ語
デンマーク語
オランダ語
英語
フィンランド語
フランス語
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ノルウェー語
ポーランド語
ポルトガル語
ポルトガル語(ブラジル)
ルーマニア語
ロシア語
スロバキア語
スペイン語
スウェーデン語
タイ語
トルコ語
SAP UMコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
操作の基本モードでは、コネクタはOracle Identity Managerを、アカウントの作成または変更のプロビジョニング・リクエストのSAP R/3またはSAP CUAへの送信のためのフロント・エンドとして設定します。コネクタのデプロイ中、Oracle Identity Managerでダイレクト・プロビジョニングまたはリクエストベース・プロビジョニングのどちらを有効化するかを選択できます。ダイレクト・プロビジョニングでは、Oracle Identity Manager管理者のみがターゲット・システム・リソースを作成および管理できます。リクエストベースのプロビジョニングでは、ユーザーはそのアカウントの作成および管理のリクエストを出すことができます。管理者または承認者として指定された他のユーザーはそのリクエストに基づいて動作します。
アクセス・ポリシーの変更は、コネクタによりサポートされるプロビジョニングでは、操作の3番目のフォームです。アクセス・ポリシーでの変更に、ユーザーのセットにプロビジョニングされたリソースでの対応する変更が必要な場合、ターゲット・システムでの必要なプロビジョニング操作がOracle Identity Managerから自動的に継承されます。
ターゲット・システムで直接実行されたプロビジョニング操作によって追加または変更されたアカウント・データは、Oracle Identity Managerにリコンサイルできます。
図1-1に、SAP R/3とOracle Identity Managerを統合するコネクタを示します。
図1-2に、SAP CUAとOracle Identity Managerを統合するコネクタを示します。
この図に示されているように、SAP R/3またはSAP CUAは、Oracle Identity Managerのターゲット・リソースとして構成されます。Oracle Identity Managerで実行されるプロビジョニング操作を通じて、OIMユーザーのアカウントがターゲット・システムで作成および更新されます。リコンシリエーションを通じて、ターゲット・システムで直接作成および更新されるアカウント・データがOracle Identity Managerにフェッチされ、対応するOIMユーザーに対して格納されます。
ノート:
コネクタはSAP CUAの子システムでのアカウントの直接管理はサポートしません。図1-2に示されているように、コネクタ操作はOracle Identity ManagerとSAP R/3親システムとの間で実行されます。必要な場合、これらのコネクタ操作によるユーザー・データの変更は、親システムから子システムへ伝播されます。
プロビジョニング時には、アダプタがプロセス・フォームを介した送信されたプロビジョニング・データをターゲット・システムに搬送します。ターゲット・システムの標準BAPIはアダプタからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをアダプタに返します。アダプタはOracle Identity Managerにレスポンスを返します。
リコンシリエーション時には、スケジュール済タスクによってターゲット・システムとの接続が確立され、リコンシリエーション基準がBAPIに送信されます。BAPIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、レコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Managerにレコードを渡します。
ターゲット・システムからフェッチされた各レコードは、OIMユーザーにすでにプロビジョニングされているSAP UMリソースと比較されます。一致が見つかると、ターゲット・システムからSAPレコードに対して行われた更新が、Oracle Identity ManagerのSAP UMリソースにコピーされます。一致が見つからなかった場合、レコードのユーザーIDが、各OIMユーザーのユーザーIDと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、SAP UMリソースがOIMユーザーにプロビジョニングされます。
コネクタは、ターゲット・システムとの直接統合を可能にすることに加え、SAP BusinessObjects ACのAccess Risk AnalysisモジュールおよびAccess Request Managementモジュールとのインタフェースとして機能するように使用することもできます。ターゲット・システム(SAP R/3またはSAP CUA)およびSAP BusinessObjects ACのこれら2つのモジュールでは、様々なデプロイメント構成が提供されます。次の各項で、コネクタのサポートされるデプロイメント構成について説明します。
基本ユーザー管理用にコネクタを構成する場合、コネクタはOracle Identity Managerを介して送信されたプロビジョニング・データを受け入れ、このデータをターゲット・システムに伝播します。たとえば、「ユーザーの作成」プロビジョニング操作がOracle Identity Managerで実行される場合、ターゲット・システムでアカウントが作成される結果になります。
ターゲット・システムで直接実行されたプロビジョニング操作によって追加または変更されたアカウント・データは、Oracle Identity Managerにリコンサイルできます。
図1-1および図1-2 に、このデプロイメント構成でのコネクタのアーキテクチャを示します。
プロビジョニング操作中に実行されるステップの概要は次のとおりです。
プロビジョニング操作が、ダイレクト・プロビジョニング、リクエストベースのプロビジョニングまたはアクセス・ポリシーの変更を介して開始されます。
プロビジョニング・データがターゲット・システムに送信されます。
ターゲット・システムで必要な変更が行われ、操作の結果がOracle Identity Managerに送り返されて保存されます。
SAP BusinessObjects ACのAccess Risk AnalysisモジュールをSAP動作環境で職務の分離(SoD)を実装するように構成できます。このシナリオでは、コネクタをOracle Identity ManagerとSoDモジュール間のインタフェースとして使用できます。コネクタは、SAP BusinessObjects AC Access Risk AnalysisのSoD検証プロセスを介してOracle Identity Managerから送信されたプロビジョニング・リクエストが最初に実行されるように構成できます。この検証プロセスをクリアしたプロビジョニング・リクエストは、Oracle Identity Managerからターゲット・システムへと伝搬されます。
リコンシリエーションにはSAP BusinessObjects AC Access Risk Analysisは含まれません。ターゲット・システムで直接実行されたプロビジョニング操作によって追加または変更されたアカウント・データは、Oracle Identity Managerにリコンサイルできます。
このガイドにおいて、SoDの構成というフレーズは、Oracle Identity ManagerとSAP BusinessObjects AC Access Risk Analysisとの統合の構成を意味します。
図1-3に、コネクタのこのモードでのデータ・フローを示します。
プロビジョニング操作中に実行されるステップの概要は次のとおりです。
関連項目:
プロビジョニング・プロセス・フローの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズの職務の分離(SoD)の使用を参照してください。
プロビジョニング操作が、ダイレクト・プロビジョニング、リクエストベースのプロビジョニングまたはアクセス・ポリシーの変更を介して開始されます。
このリクエストは、Oracle Identity Managerのリソース承認ワークフローからSoDエンジン(SAP BusinessObjects AC Access Risk Analysis)に送信されます。
SoDエンジンでは、事前定義のルールを使用して、権限割当てがSoD違反につながるかどうかをチェックします。このチェックの結果はOracle Identity Managerに送り返されます。
リクエストがSoD検証に失敗した場合、改善ステップが行われるように承認ワークフローを構成できます。ユーザーのリクエストがSoD検証にパスし、Oracle Identity Managerの承認者がリクエストを承認した場合、リソース・プロビジョニング・ワークフローが開始されます。
このリソース・プロビジョニング・ワークフローは、SoD検証を再度実行するように構成できます。これは、権限割当てがターゲット・システムにプロビジョニングされる直前に、権限割当てのSoDコンプライアンスを確認するためです。また、この検証がリソース承認ワークフローで通過した場合、リソース・プロビジョニング・ワークフローのSoD検証チェックをバイパスするように構成することもできます。
ターゲット・システムで必要な変更がリソース・プロビジョニング・ワークフローで実行され、操作の結果がOracle Identity Managerに送り返されて保存されます。
アカウント管理プロセスの概要:
Oracle Identity Governanceでのプロビジョニング操作からのデータは、まずSoD検証のためにSAP BusinessObjects Access Risk Analysisモジュールに送信されます。
SoD検証チェックを通過したプロビジョニング・リクエストは、SAP BusinessObjects Access Request Managementに送信されます。
リクエストがSAP BusinessObjects Access Request Managementワークフローをクリアすると、プロビジョニング・リクエストがターゲット・システムに実装されます。
Oracle Identity Governanceから実行されるスケジュール済タスクによって、ターゲット・システムからの操作結果がOracle Identity Governanceにリコンサイルされます。
Access Request Managementが構成されている場合、コネクタのログで監査証跡詳細を取得できます。
コネクタのログ内の監査証跡のサンプルをいくつか示します。
ユーザーの作成
logAuditTrial : Audit Trial: {Result=[Createdate:20130409,Priority:HIGH,Requestedby:,johndoe (JOHNDOE),Requestnumber:9000001341,Status:Decision pending,Submittedby:,johndoe (JOHNDOE),auditlogData:{,ID:000C290FC2851ED2A899DA29DAA1B1E2,Description:,Display String:Request 9000001341 of type New Account Submitted by johndoe ( JOHNDOE ) for JK1APRIL9 JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH}], Status=0_Data Populated successfully}
リクエスト・ステータス・スケジュール・ジョブ
logAuditTrial : Audit Trial: {Result=[Createdate:20130409,Priority:HIGH,Requestedby:,johndoe (JOHNDOE),Requestnumber:9000001341,Status:Approved,Submittedby:,johndoe (JOHNDOE),auditlogData:{,ID:000C290FC2851ED2A899DA29DAA1B1E2,Description:,Display String:Request 9000001341 of type New Account Submitted by johndoe ( JOHNDOE ) for JK1APRIL9 JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH,ID:000C290FC2851ED2A899DAF9961C91E2,Description:,Display String:Request is pending for approval at path GRAC_DEFAULT_PATH stage GRAC_MANAGER,ID:000C290FC2851ED2A89A1400B60631E2,Description:,Display String:Approved by JOHNDOE at Path GRAC_DEFAULT_PATH and Stage GRAC_MANAGER,ID:000C290FC2851ED2A89A150972D091E2,Description:,Display String:Auto provisioning activity at end of request at Path GRAC_DEFAULT_PATH and Stage GRAC_MANAGER,ID:000C290FC2851ED2A89A150972D111E2,Description:,Display String:Approval path processing is finished, end of path reached,ID:000C290FC2851ED2A89A150972D151E2,Description:,Display String:Request is closed}], Status=0_Data Populated successfully}
ユーザーの変更
logAuditTrial : Audit Trial: {Result=[Createdate:20130409,Priority:HIGH,Requestedby:,johndoe (JOHNDOE),Requestnumber:9000001342,Status:Decision pending,Submittedby:,johndoe (JOHNDOE),auditlogData:{,ID:000C290FC2851ED2A89A3ED3B1D7B1E2,Description:,Display String:Request 9000001342 of type Change Account Submitted by johndoe ( JOHNDOE ) for JK1FirstName JK1APRIL9 ( JK1APRIL9 ) with Priority HIGH}], Status=0_Data Populated successfully}
Access Request Managementは、SAP BusinessObjects ACスイート内のモジュールです。SAP環境では、アカウントの作成および変更のプロビジョニング・リクエストを受信するフロント・エンドとしてAccess Request Managementを設定できます。Access Request Managementでは、これらのリクエストを処理するワークフローを構成することが可能で、承認者として指定されたユーザーがこれらのリクエストを処理します。
ノート:
このガイドにおいて(SAPUM-AC-Connector-CI.xmlファイルを使用するSAP UM ACコネクタの場合)、Access Request Managementの構成というフレーズは、Oracle Identity ManagerとSAP BusinessObjects AC Access Request Managementとの統合の構成を意味します。
GRCターゲットとのやりとりがないため、このコネクタは通常のSAP UMコネクタとして機能します。
動作環境によっては、Access Request ManagementモジュールがAccess Risk Analysisモジュールと直接リンク付けされている場合があります。すなわち、プロビジョニング・リクエストは、SoD検証用にまずAccess Request ManagementからAccess Risk Analysisに送信されます。検証プロセスをクリアしたリクエストのみがターゲット・システムに実装されます。このシナリオでは、コネクタのSoD機能は構成しないことをお薦めします。
リコンシリエーションにはSAP BusinessObjects AC Access Request Managementは含まれません。Oracle Identity Managerのスケジュール済タスクでは、ターゲット・システムからのデータがOracle Identity Managerにフェッチされます。
図1-4に、コネクタのこのモードでのデータ・フローを示します。
図1-4 SAP BusinessObjects AC Access Request ManagementをOracle Identity Managerおよびターゲット・システムに統合するコネクタ
プロビジョニング操作中に実行されるステップの詳細なステップは次のとおりです。
プロビジョニング操作が、ダイレクト・プロビジョニング、リクエストベースのプロビジョニングまたはアクセス・ポリシーの変更を介して開始されます。
コネクタでは、次のSAP BusinessObjects ACのWebサービスを使用して、リクエストの送信およびレスポンスの受信が行われます。
SAPGRC_AC_IDM_SUBMITREQUEST: このWebサービスはリクエストの送信に使用されます。
SAPGRC_AC_IDM_REQUESTSTATUS: このWebサービスはリクエスト・ステータスのフェッチに使用されます。
SAPGRC_AC_IDM_AUDITTRAIL: このWebサービスは、SAP BusinessObjects AC Access Request Managementのログにエラー・メッセージがあるかどうかをチェックするために使用されます。
プロセス・フォームには、基本的なユーザー管理用とAccess Request Management用の両方のフィールドが保持されています。ただし、「ユーザーの作成」操作では、プロセス・フォームのAccess Request Managementフィールド(属性)も使用されます。これらのフィールドのマッピングは、GRCターゲット・バージョンに基づきLookup.SAPAC10ABAP.UM.ProvAttrMap参照定義の中に保存されます。
これらの参照定義に存在しない属性の値を指定した場合、コネクタはユーザーの作成操作中、これらの属性を無視します。
ノート:
SAP BusinessObjects AC Access Request Managementでは、パスワードは処理されません。したがって、「パスワード」フィールドに入力された値はすべて、「ユーザーの作成」プロビジョニング操作中は無視されます。
Access Request Managementを構成する際のパスワードの設定の詳細は、「プロビジョニング実行のガイドライン」を参照してください。
「ユーザーの変更」操作では、SAP BusinessObjects AC Access Request Managementでマップされる属性の値を指定できます。
SAP BusinessObjects AC Access Request Managementでリクエストが作成されると、Access Request Managementによって送り返されたデータがOracle Identity Managerの次の読取り専用フィールドに保存されます。
ACリクエストID: このフィールドには、SAP BusinessObjects AC Access Request Managementで生成されたリクエストIDが保持されます。「ACリクエストID」は、リクエストの存続期間中変更されません。
ACリクエスト・ステータス: このフィールドには、SAP BusinessObjects AC Access Request Managementでのリクエストのステータスが保持されます。SAP ACリクエスト・ステータス・スケジュール済ジョブを構成および実行し、ターゲット・システムからリクエストの最新ステータスをフェッチします。
ACリクエスト・タイプ: このフィールドには、リクエストのタイプ(アカウントの新規作成、アカウントの変更、アカウントの削除、新規作成、変更など)が保持されます。
リクエストは、SAP BusinessObjects AC Access Request Managementで定義されたワークフローを介して渡されます。次のいずれかの結果になります。
Access Request Managementがリクエストをクリアした場合、ターゲット・システム(SAP R/3またはSAP CUA)でユーザーのアカウントが作成または変更される結果になります。リクエストのステータスは、SAP BusinessObjects AC 10では「OK」に設定されます。次に、Oracle Identity Managerのログにメッセージが記録されます。
Access Request Managementがプロビジョニング・リクエストを拒否した場合、リクエストのステータスは、SAP BusinessObjects AC 10では「Failed」になります。次に、Oracle Identity Managerのログにメッセージが記録されます。
Access Request Managementがプロビジョニング・リクエストを取り消した場合、リクエストのステータスは、SAP BusinessObjects AC 10ではABORTEDになります。次に、Oracle Identity Managerのログにメッセージが記録されます。
Access Request Managementとターゲット・システム間の通信中にエラーが発生した場合、リクエストは「Open」ステータスのままになります。操作が失敗したことを示すメッセージが、リクエストに関連付けられた監査ログに記録されます。エラー・メッセージがコンソールに表示されます。
アカウント管理プロセスの概要:
SAP BusinessObjects AC Access Risk AnalysisとAccess Request Managementの両方をSAP動作環境で構成できます。User ManagementとAccess Request Managementモジュールが動作環境内で個別に構成されている(つまり、リンクされていない)など、Access Risk AnalysisとAccess Request Managementモジュールが個別に構成されている場合にかぎり、SoDとAccess Request Managementの両方のコネクタ機能を同時に構成する必要があります。
ノート:
プロビジョニング・リクエストをSoD検証用にSAP BusinessObjects AC Access Risk Analysisに送信するようにSAP BusinessObjects AC Access Request Managementが構成されている場合、コネクタのSoD機能を構成することはできません。
ここでは、プロビジョニング操作を実行する際に適用する必要があるガイドラインについて説明します。
Oracle Identity ManagerをSAP動作環境に統合する場合、次の要件のいずれかを想定していると考えられます。
Oracle Identity ManagerをSAPリソースでのアカウント管理のプロビジョニング・ソースとして使用。
SAP BusinessObjects AC Access Request Managementで構成されたワークフローおよびアクセス・ポリシーを利用し、Oracle Identity ManagerをSAPリソースでのアカウント管理のプロビジョニング・ソースとして使用。
SAP BusinessObjects AC Access Risk AnalysisをSoDの実行用に、SAP BusinessObjects AC Access Request ManagementをOracle Identity Managerを介して送信されるプロビジョニング・リクエストのユーザー承認用に使用。SAPリソースでの全体的なアカウント管理はOracle Identity Managerを介して実行します。
次の各項で、サポートされるデプロイメント構成のガイドラインを説明します。
ノート:
User ManagementとSoD、Access Request Managementは個別に構成する必要があります。
次のデプロイメント・ガイドラインは、SAP BusinessObjects AC Access Risk AnalysisとSAP BusinessObjects AC Access Request Managementが有効化され、個別に構成されたモジュールであるシナリオで適用してください。
コネクタのSoD機能とAccess Request Management機能を両方構成します。
SAP BusinessObjects AC Access Request Managementで、アカウント作成に対するステージなしの承認を構成します。すなわち、アカウント作成リクエストはAccess Request Managementで自動的に承認される必要があります。
ロールまたはプロファイルがOracle Identity Managerでプロビジョニングされ、SAP BusinessObjects AC Access Request Managementで拒否された場合、そのロールまたはプロファイルは次回のユーザー・リコンシリエーション実行の最後にOracle Identity Managerから削除されます。このため、ロールおよびプロファイルのプロビジョニング・リクエストの承認ワークフローをSAP BusinessObjects AC Access Request Managementで定義できます。
アカウント管理プロセスの概要:
Oracle Identity Managerでのプロビジョニング操作からのデータは、まずSoD検証のためにSAP BusinessObjects AC Access Risk Analysisモジュールに送信されます。
SoD検証チェックを通過したプロビジョニング・リクエストは、SAP BusinessObjects AC Access Request Managementに送信されます。
リクエストがSAP BusinessObjects AC Access Request Managementワークフローをクリアすると、プロビジョニング・リクエストがターゲット・システムに実装されます。
Oracle Identity Managerから実行されるスケジュール済タスクによって、ターゲット・システムからの操作結果がOracle Identity Managerにリコンサイルされます。
次のデプロイメント・ガイドラインは、SAP動作環境でSAP BusinessObjects AC Access Request Managementが構成され、有効化されているシナリオで適用してください。
ノート:
SAP BusinessObjects AC Access Risk Analysisは、SAP BusinessObjects AC Access Request Managementにリンク付けされたモジュールとして構成されているか、またはまったく使用されていません。
User ManagementとSoD、Access Request Managementは個別に構成する必要があります。
SAP BusinessObjects AC Access Request Managementで、アカウント作成に対するステージなしの承認を構成します。すなわち、アカウント作成リクエストはAccess Request Managementで自動的に承認される必要があります。
このガイドラインについては、この項で前述したシナリオを参照してください。
コネクタのAccess Request Management機能を構成します。
コネクタのSoD機能は構成しないでください。
アカウント管理プロセスの概要:
Oracle Identity Managerでのプロビジョニング操作からのデータは、SAP BusinessObjects AC Access Request Managementに送信されます。
SAP BusinessObjects AC Access Request Managementで定義されたワークフローによって、リクエストがSoD検証のためにSAP BusinessObjects AC Access Risk Analysisモジュールに送信されます。
SoD検証チェックをクリアした後、プロビジョニング・リクエストがターゲット・システムに実装されます。
Oracle Identity Managerから実行されるスケジュール済タスクによって、ターゲット・システムからの操作結果がOracle Identity Managerにリコンサイルされます。
コネクタのAccess Request Management機能を有効化する際は、次の事項を考慮してください:
プロビジョニング操作によっては、Oracle Identity Managerから複数のリクエストが生成される場合があります。たとえば、特定のプロビジョニング操作で、あるユーザーに複数のロールを割り当てると、ロールごとに1つのリクエストが作成され、Access Request Managementに送信されます。
アカウントによって、Oracle Identity Managerが最新のリクエスト以外を記録しない場合があります。たとえば、あるアカウントの複数の属性が別個のプロビジョニング操作で変更された場合、Oracle Identity Managerでは最後の操作に関連したデータのみが記録されます。
ユーザーの変更操作によって、複数のプロセス・フォーム・フィールドまたは子フォーム・フィールドに変更が及ぶ場合があります。変更されるフィールドごとにリクエストが1つ作成され、SAP BusinessObjects AC Access Request Managementに送信されます。Access Request Managementに送信された最後のリクエストに関する情報のみがOracle Identity Managerに保存されます。
1回の操作で送信できるのは、親フォーム・リクエストまたは子フォーム・リクエストのいずれかです。親フォーム・リクエストと子フォーム・リクエストの両方を同時に送信することはできません。
ステージなしのワークフローが「ユーザーの作成」プロビジョニング操作に対して定義されている場合にかぎり、SAP HRMSとSAP R/3またはSAP CUAアカウントのリンクを有効にします。
「SAP HRMSとSAP R/3またはSAP CUAアカウントのリンク」では、個別のユーザーに対し作成されたSAP HRMSアカウントとそれに対応する同じユーザーに対して作成されたSAP R/3またはSAP CUAアカウントの間のリンクを保存するコネクタの機能について説明します。Access Request Management機能を構成する場合、SAP BusinessObjects AC Access Request Managementでステージなしの承認が「ユーザーの作成」リクエスト・タイプに対して定義されている場合にかぎり、リンクを有効にする必要があります。ステージなし承認は承認者が関与していない承認です。ステージなし承認を介して送信されたすべてのリクエストは自動的に承認されます。
ここでは、セキュリティを構成する際に適用する必要があるガイドラインを示します。
通信の保護
Oracle Identity ManagerとSAPシステムとの間の通信を保護することで、機密データを保護することは重要です。
SAP User Managementをターゲット・システムとして使用している場合、SNC (Secure Network Communication)を構成する必要があります。詳細は、「Oracle Identity Managerとターゲット・システムとの間の通信を保護するためのSNCの構成」を参照してください。
SAP BusinessObjects ACをターゲット・システムとして使用している場合、Oracle Identity ManagerとSAP BusinessObjects ACとの間のSSLを有効にする必要があります。手順は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のSSL通信の有効化に関する項を参照してください。
パスワード管理
Oracle Identity Managerを介して作成したアカウントに対し、新たに作成したアカウントを持つユーザーが最初のログイン時にパスワードを変更することを求められるように、またはOracle Identity Managerでのアカウントの作成中にパスワード・セットがターゲット・システムで新しいパスワードとして設定されるように、コネクタを構成できます。
詳細は、「新たに作成したアカウントのパスワード変更の構成」を参照してください。
このコネクタは、リスク分析と改善およびユーザーのプロビジョニングと管理のために使用できます。
このコネクタでは次の新しいコンポーネントがサポートされます。
Risk Analysis and Remediation (別名Access Risk Analysis (ARA))
Compliant User Provisioning (別名Access Request Management (ARM))
このガイドでは、SAP GRC Access Risk AnalysisはRisk Analysis and Remediation、SAP GRC Access Request ManagementはCompliant User Provisioningを示します。
コネクタ・サーバーはICFによって提供されるコンポーネントです。
コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。つまり、コネクタ・サーバーを使用すると、Oracle Identity Managerコネクタのリモート実行が可能になります。詳細は、次の項を参照してください。
デフォルト属性マッピングのリストに含まれない属性に対してマッピングを作成できます。これらの属性は、ターゲット・システムで提供されている標準属性セットの一部であっても、ユーザーがターゲット・システムに追加したカスタム属性であってもかまいません。
詳細は、「コネクタの機能拡張」を参照してください。
Oracle Identity Managerでの権限リクエストをSoDエンジンを使用して検証できます。
コネクタは、Oracle Identity Managerリリース9.1.0.2で導入されたSoD機能をサポートします。このソフトウェア更新の主な点は次のとおりです。
SoD起動ライブラリ(SIL)は、Oracle Identity Managerにバンドルされています。SILは、任意のSoDエンジンとのプラガブル統合インタフェースとして機能します。
SAP User Managementコネクタは、SoDエンジンとしてのSAP BusinessObjects ACとともに動作するように構成できます。そのために、コネクタの認証とプロビジョニングのワークフローが変更されました。
ノート:
デフォルトで、承認ワークフローおよび関連オブジェクト・フォームはSAP BusinessObjects ACのSoD検証機能用に構成されています。これらを使用して、独自の承認ワークフローおよびオブジェクト・フォームを作成できます。
Oracle Identity Managerリリース11.1.1では、オブジェクト・フォームはリクエスト・データ・セットによって置き換えられました。リクエスト・データセットとは、プロビジョニング操作時にリクエスタが送信する情報を指定するXMLファイルのことです。事前定義済リクエスト・データセットはコネクタに同梱されています。デフォルトで、承認ワークフローおよび関連リクエスト・データセットはSAP BusinessObjects ACのSoD検証機能用に構成されています。これらを使用して、独自の承認ワークフローおよびリクエスト・データセットを作成できます。
SoDエンジンは、コネクタを介して送信されるロールおよびプロファイル権限のリクエストを処理します。この予防シミュレーション方法は、リクエストされた権限がユーザーに割り当てられる前に、ユーザーへの権限割当てで競合する可能性のあるものを特定し、修正するうえで役立ちます。
SoDの機能の詳細は、「SoD (職務の分離)の構成」を参照してください。
ノート:
SODを使用したSAPユーザー管理を使用している場合は、「権限」タブから権限をリクエストしてください。SAP BusinessObjects AC Access Request Managementとともに機能するようにコネクタを構成できます。
この機能の詳細は、「Access Request Managementを使用したユーザー管理」を参照してください。
完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Managerにフェッチされます。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Managerにフェッチされます。
このリコンシリエーション実行の完了後に、スケジュール済タスクの属性はリコンシリエーションの実行が開始したタイムスタンプを含みます。
コネクタのデプロイ後はいつでも、増分リコンシリエーションから完全リコンシリエーションへ切り替えることができます。詳細は、完全リコンシリエーションおよび増分リコンシリエーションを参照してください。
リコンシリエーション実行時に、Oracle Identity Governanceにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
詳細は、制限付きリコンシリエーションを参照してください。
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。
詳細は、「バッチ・リコンシリエーション」の「バッチ・サイズ」属性の説明を参照してください。
有効期限開始と有効期限終了は、ターゲット・システムの2つのユーザー属性です。SAPの特定ユーザーの有効期限終了日が現在の日付より前の場合、アカウントは無効状態です。それ以外の場合、アカウントは有効状態です。同じ動作が、リコンシリエーションを介してOracle Identity Managerで複製されます。また、プロビジョニング操作を介して、有効期限終了日の値を現在の日付または過去の日付に設定することもできます。
ノート:
アカウントの有効状態または無効状態は、アカウントのロック状態またはロック解除状態とは関係ありません。
個別のユーザーに対して作成されたSAP HRMSアカウントは、同じユーザーに対して作成されたSAP R/3またはSAP CUAアカウントにリンクできます。特定のユーザーに対し、SAP HRMSの属性は対応するSAP R/3またはSAP CUAアカウントのユーザーIDを含みます。
Lookup.SAPABAP.Configuration参照定義内の次のエントリを使用して、Oracle Identity Managerでこのリンクを複製できます。
validatePERNR
overwriteLink
詳細は、「SAP HRMSとSAP R/3またはSAP CUAアカウントのリンク」を参照してください。
Oracle Identity Managerとターゲット・システムの間の通信を保護するためにSecure Network Communication (SNC)を構成できます。
詳細は、「Oracle Identity Managerとターゲット・システムとの間の通信を保護するためのSNCの構成」を参照してください。
新たに作成したアカウントを使用してSAPにログインする場合、初回ログオン時にパスワードを変更するよう求められます。Oracle Identity Managerで作成したアカウントの場合、パスワード管理は次のいずれかの方法を使用して構成できます。
新たに作成したアカウントを持つユーザーの初回ログオン時にパスワードの変更を求めるように、コネクタを構成します。
Oracle Identity Managerでアカウント作成時に設定されたパスワードが、ターゲット・システムで新規パスワードとして設定されるように、コネクタを構成します。ユーザーは初回ログオン時に、パスワードの変更を求められません。
この機能は、「基本構成」パラメータのdummyPasswordパラメータと、「拡張設定」パラメータのChangePasswordAtNextLogonエントリを使用して構成します。
コネクタはリコンシリエーションおよびプロビジョニング操作のためにSAP JCoを使用します。JCoトレース・レベルはSAP JCoが使用されるときに記録される必要のあるトレース・データのレベルを数値で指定するものです。トレース・レベルはITリソースのパラメータとして指定できます。
詳細は、表2-5を参照してください。
接続プールは、ターゲット・システムへの物理的な接続を表すオブジェクトのキャッシュです。Oracle Identity Managerコネクタは、これらの接続を使用してターゲット・システムと通信できます。実行時に、アプリケーションはプールに接続をリクエストします。接続が使用可能であれば、コネクタがその接続を使用してからプールに戻します。プールに戻された接続は、コネクタが別の操作のために再びリクエストして使用することができます。接続プールは、接続の再利用を可能にし、ネットワーク待機時間、メモリー割当ておよび認証といった接続作成のオーバーヘッドを減らすことに役立っています。
ITリソースごとに1つの接続プールが作成されます。たとえば、ターゲット・システムの3つのインストールに3つのITリソースがある場合は、ターゲット・システム・インストールごとに1つずつ、3つの接続プールが作成されます。接続プールの設定の詳細は、「接続プーリング用の参照定義の設定」を参照してください。
SAPでは、ログオン・グループを負荷分散メカニズムとして使用します。ユーザーがログオン・グループにログオンすると、システムはその接続リクエストを最小ロードのログオン・グループ・メンバーに内部的にルーティングします。リコンシリエーションおよびプロビジョニング操作用にターゲット・システムにログインするためにログオン・グループを使用するように、コネクタを構成できます。
詳細は、「ログオン・グループの使用を有効化するパラメータ」を参照してください。
リコンシリエーションおよびプロビジョニング時にOracle Identity Managerとの間で移動または送信されるアカウント・データの検証を構成できます。さらに、リコンシリエーション時にOracle Identity Managerに移動されるアカウント・データの変換も構成できます。詳細は、次の項を参照してください。
リコンシリエーションおよびプロビジョニング操作から除外する必要のあるアカウントのリストを指定できます。除外リストで指定したユーザーIDを持つアカウントは、リコンシリエーションおよびプロビジョニング操作による影響を受けません。
リソース除外リストの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリソース除外のための検証Groovyスクリプトに関する項を参照してください。
リコンシリエーションおよびプロビジョニング時に使用される参照定義は事前構成されます。コネクタをデプロイしたら、事前構成済参照定義がOracle Identity Managerで自動的に作成されます。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。
コネクタ操作中に使用される参照定義は、次のように分類できます。
参照フィールド同期では、ターゲット・システムの特定のフィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を指定します。たとえば、日付形式参照定義を使用して、サポートしている日付形式のリストから日付形式を選択することができます。コネクタをデプロイすると、ターゲット・システムの参照フィールドに対応する参照定義が、Oracle Identity Managerに自動的に作成されます。参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
SAP UMおよびSAP AC UMコネクタの場合、次の参照定義に、参照フィールド同期スケジュール済ジョブによってターゲット・システムからフェッチされた値が移入されます。
SAP UMコネクタの場合
Lookup.SAPABAP.CommType
Lookup.SAPABAP.Company
Lookup.SAPABAP.ContractualUserType
Lookup.SAPABAP.DateFormat
Lookup.SAPABAP.DecimalNotation
Lookup.SAPABAP.LangComm
Lookup.SAPABAP.Parameter
Lookup.SAPABAP.Priority
Lookup.SAPABAP.Profile
Lookup.SAPABAP.Roles
Lookup.SAPABAP.System
Lookup.SAPABAP.TimeZone
Lookup.SAPABAP.UserGroups
Lookup.SAPABAP.UserLock
Lookup.SAPABAP.UserTitle
Lookup.SAPABAP.UserType
SAP AC UMコネクタの場合
Lookup.SAPACABAP.CommType
Lookup.SAPACABAP.Bproc
Lookup.SAPACABAP.Company
Lookup.SAPACABAP.ContractualUserType
Lookup.SAPACABAP.DateFormat
Lokup.SAPACABAP.Funcarea
Lookup.SAPACABAP.DecimalNotation
Lookup.SAPACABAP.LangComm
Lookup.SAPACABAP.Parameter
Lookup.SAPACABAP.Priority
Lookup.SAPACABAP.Profile
Lookup.SAPACABAP.ReqInitSystem
Lookup.SAPACABAP.Roles
Lookup.SAPACABAP.System
Lookup.SAPACABAP.Status.ReconAttrMap
Lookup.SAPACABAP.TimeZone
Lookup.SAPACABAP.UserGroups
Lookup.SAPACABAP.UserLock
Lookup.SAPACABAP.UserTitle
Lookup.SAPACABAP.UserType
参照フィールド同期のためのスケジュール済ジョブを使用して、前述のリスト内の、これらの参照定義の値と、ターゲット・システムが同期されます。参照フィールド同期のためのスケジュール済ジョブの詳細は、「参照フィールド同期のためのスケジュール済ジョブ」を参照してください。
参照定義の同期後、データは次の形式で保存されます。
コード・キーの形式: IT_RESOURCE_KEY~LOOKUP_FIELD_ID_OR_NAME
この形式の詳細は次のとおりです。
IT_RESOURCE_KEYは、Oracle Identity ManagerでITリソースに割り当てられた数値コードです。
LOOKUP_FIELD_ID_OR_NAMEは、各参照フィールド・エントリに割り当てられるターゲット・システム・コードまたは名前です。
次にLookup.SAPABAP.UM.DateFormat参照定義のコード・キー列のサンプル値を示します。
22~6
デフォルト形式: IT_RESOURCE_NAME~LOOKUP_FIELD_ENTRY
この形式の詳細は次のとおりです。
IT_RESOURCE_NAMEは、Oracle Identity ManagerのITリソースの名前です。
LOOKUP_FIELD_ENTRYは、ターゲット・システムの参照フィールド・エントリの値または説明です。
次にLookup.SAPABAP.DateFormat参照定義のデコード列のサンプル値を示します。
SAPUM63~YYYY-MM-DD
Oracle Identity System Administrationでプロビジョニング操作を実行する際、操作を実行するターゲット・システムのITリソースを選択します。このアクションを実行すると、ページの参照定義に、選択したITリソース(ターゲット・システム・インスタンス)に対応する値が自動的に移入されます。
参照フィールドの同期中、参照定義の既存のエントリ・セットに新規エントリが追加されます。SAP R/3ターゲットからSAP CUAターゲットへ、または同じターゲット・システムの複数のインストール間で切り替えることができます。ITリソース・キーは各参照定義で作成された各エントリの一部であるため、プロビジョニング操作中に選択されたITリソースに固有の参照フィールド・エントリのみが表示されます。
事前構成済参照定義は、コネクタのデプロイ時にOracle Identity Managerに作成されるその他の参照定義です。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。
その他の参照定義は次のとおりです。
Lookup.SAPABAP.Configuration参照定義は、ターゲット・リソースのリコンシリエーションおよびプロビジョニング操作で使用されるコネクタ構成エントリを含みます。
表1-2に、この参照定義のデフォルト・エントリを示します。
表1-2 Lookup.SAPABAP.Configuration参照定義のエントリ
| コード・キー | Decode | 説明 |
|---|---|---|
aliasUser |
なし |
このエントリは、ログオン・ユーザーの別名を含みます。 |
batchSize |
100 |
リコンシリエーションの実行中にターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 |
Bundle Name |
org.identityconnectors.sap |
このエントリは、コネクタ・バンドル・パッケージの名前を含みます。このエントリは変更しないでください。 |
Bundle Version |
1.0.11170 |
このエントリは、コネクタ・バンドル・クラスのバージョンを含みます。このエントリは変更しないでください。 |
changePasswordAtNextLogon |
no |
このエントリに指定する値については、「新たに作成したアカウントのパスワード変更の構成」を参照してください。 |
codePage |
なし |
このエントリは、SAP表記の初期コードページを含みます。 |
compositeRoles |
yesまたはno |
ターゲットからコンポジット・ロールをフェッチする場合、 ノート: singleRolesおよびcompositeRolesデコード値の両方に「no」を指定できません。少なくとも値のいずれかを「yes」にする必要があります。 |
Connector Name |
org.identityconnectors.sap.SAPConnector |
このエントリは、コネクタ・クラスの名前を含みます。このエントリは変更しないでください。 |
cuaChildInitialPasswordChangeFuncModule |
ZXLCBAPI_ZXLCUSR_PW_CHANGE |
すべてのCUA子システムでユーザーの初期パスワードを変更する有効化されたリモート機能モジュールの名前。この属性はCUAが有効でないかぎり使用されません。値が設定されていないとパスワードの変更はCUAシステムにのみ適用されます。CUA子システムでの本番パスワードの設定も、この設定なしでは自動的に失敗します。 このエントリは変更しないでください。 |
cuaChildPasswordChangeFuncModule |
ZXLCBAPI_ZXLCUSR_PASSWORDCHNGE |
CUA子システムでユーザーの本番パスワードを変更する有効化されたリモート機能モジュールの名前。この属性はCUAが有効でないかぎり使用されません。 ノート: デフォルト値が使用される場合、CUA中央システムに格納されているパスワードのみが変更されます。 |
disableLockStatus |
64 |
SAP Userのロック・ステータス |
enableCUA |
no |
ターゲット・システムがSAP CUAである場合、 |
entitlementRiskAnalysisAccessURL |
なし |
このエントリは、Entitlement Risk Analysis WebサービスのURLを保持します。 |
entitlementRiskAnalysisWS |
oracle.iam.grc.sod.scomp.impl.grcsap.util.webservice.sap.ac10.RiskAnalysisWithoutNo |
このエントリは、ユーザー・アカウントのリスク分析を取得するWebサービスのクライアント・クラスを保持します。 |
gatewayHost |
なし |
このエントリは、ゲートウェイ・ホストの名前またはIPアドレスを含みます。 |
gatewayService |
なし |
このエントリは、ゲートウェイ・サービスの名前を含みます。 |
getSSO2 |
なし |
ログオン後にSSOチケットを取得する、または取得しません。このエントリの値は |
groups |
GROUPS~USERGROUP |
このフィールドは属性マッピングで定義された組込みオブジェクトです。デコード・エントリで、GROUPSはターゲット・システムの表名で、USERGROUPはフィールド名です。 |
lCheck |
なし |
オープン時のログオン・チェックを有効化する、または無効化します。このエントリの値を |
mySAPSSO2 |
なし |
SAP Cookieバージョン2をログオン・チケットとして使用するように指定します。 |
overwriteLink |
no |
このエントリに指定する値の詳細は、「SAP HRMSとSAP R/3またはSAP CUAアカウントのリンク」を参照してください。 |
parameters |
PARAMETER1~PARID;PARVA |
このフィールドは属性マッピングで定義された組込みオブジェクトです。デコード・エントリで、PARAMETER1はターゲット・システムの表名で、PARIDおよびPARVAはフィールド名です。 |
passwordPropagateToChildSystem |
no |
コネクタがユーザー・パスワードの変更をSAP CUA親システムからその子システムへ伝播する場合、 |
ProfileAttributeLabel |
プロファイル名 |
このフィールドは、子フォームのプロファイル名フィールドのラベル名を保持します。 |
プロファイル属性名 |
USERPROFILE |
このフィールドは、プロファイル職務タイプのフィールド名のリストを保持します。このリスト内の値は、セミコロン(,)で区切られます。 |
プロファイル・フォーム名 |
UD_SPUMPC_P;UD_SPUM_PRO |
このフィールドは、ダイレクトおよびリクエストベースのプロビジョニング中に使用されるすべてのプロファイル子フォーム名のリストを保持します。 |
profiles |
PROFILES~SUBSYSTEM;PROFILE |
このフィールドは属性マッピングで定義された組込みオブジェクトです。デコード・エントリで、PROFILESはターゲット・システムの表名で、SUBSYSTEMおよびPROFILEはフィールド名です。 |
reconcilefuturedatedroles |
yes |
将来日付のロールをリコンサイルする場合は |
reconcilepastdatedroles |
yes |
過去日付のロールをリコンサイルする場合は |
repositoryDestination |
なし |
リポジトリとして使用される宛先を指定します。 |
repositoryPassword |
なし |
リポジトリ・ユーザーのパスワードを指定します。このエントリは、リポジトリ・ユーザーが使用される場合は必須です。 |
repositorySNCMode |
なし |
このエントリはオプションです。SNCをこの宛先に使用する場合、このエントリを |
repositoryUser |
なし |
このエントリはオプションです。リポジトリの宛先が設定されず、このエントリが設定されている場合、このエントリがリポジトリ・コールのユーザーとして使用されます。 このエントリにより、リポジトリ検索に別のユーザーを使用できます。 |
riskLevel |
3 |
SAP BusinessObjects ACターゲットでは、ビジネス・リスクにそれぞれ重大性レベルが割り当てられます。このエントリでリスク・レベルを指定することにより、ターゲットから返されるリスク分析データを制御できます。 |
RoleAttributeLabel |
USERROLE |
このエントリは、子フォームのロール名フィールドのラベル名を保持します。 |
ロール属性名 |
プロファイル名 |
このフィールドは、ロール職務タイプのフィールド名のリストを保持します。このリスト内の値は、セミコロン(,)で区切られます。 |
ロール・フォーム名 |
UD_SPUMRC_P;UD_SAPRL |
このフィールドは、ダイレクトおよびリクエストベースのプロビジョニング中に使用されるすべてのロール子フォーム名のリストを保持します。 |
roles |
ACTIVITYGROUPS~SUBSYSTEM;AGR_NAME;TO_DAT;FROM_DAT;ORG_FLAG |
このフィールドは属性マッピングで定義された組込みオブジェクトです。デコード・エントリで、ACTIVITYGROUPSはターゲット・システムの表名です。SUBSYSTEM、TO_DAT、FROM_DATおよびAGR_NAMEは、ターゲット・システムのフィールド名です。 |
sapSystemTimeZone |
PST |
このエントリは、SAPターゲット・システムのタイム・ゾーンを含みます。 |
singleRoles |
yesまたはno |
ターゲットから単一ロールをフェッチする場合、 |
SOD Configuration Lookup |
Lookup.SAPABAP.Configuration |
このエントリは、SoDの構成プロパティを含む参照定義の名前を保持します。 |
tpHost |
なし |
このエントリは、外部サーバー・プログラムのホスト名を含みます。 |
tpName |
なし |
このエントリは、外部サーバー・プログラムのプログラムIDを含みます。 |
type |
なし |
このエントリは、リモート・ホストのタイプを含みます。このエントリは、次の値を含むことができます。
|
User Configuration Lookup |
Lookup.SAPABAP.UM.Configuration |
このエントリには、ユーザー特有の構成プロパティを含む参照定義の名前が保持されます。 このエントリは変更しないでください。 |
validatePERNR |
no |
このエントリに指定する値の詳細は、「SAP HRMSとSAP R/3またはSAP CUAアカウントのリンク」を参照してください。 |
wsdlFilePath |
<ファイル・ディレクトリ> |
次のファイルを含むディレクトリへの絶対パスを入力します。 GRAC_RISK_ANALYSIS_WOUT_NO_WS.WSDL ノート:
|
ApplicationType |
なし |
このエントリは、アプリケーションのタイプの名前を保持します。 |
BusinessProcess |
なし |
このエントリは、ビジネス・プロセスの名前を保持します。 |
OrgLevel |
なし |
このエントリは、組織の名前を保持します。 |
ReportFormat |
なし |
このエントリはレポートのフォーマットを保持します。 |
RiskLevel |
なし |
このエントリは、リスク・レベルの値を保持します。 |
RoleType |
なし |
このエントリは、ロールのタイプの名前を保持します。 |
RuleId |
なし |
このエントリは、ルールIDの名前を保持します。 |
RuleSetId |
なし |
このエントリは、ルール・セットIDの値を保持します。 |
SimulationRiskOnly |
なし |
このエントリは、SimulationriskOnlyパラメータに設定される値を保持します。 |
UserGroup |
なし |
このエントリは、ユーザー・グループの名前を保持します。 |
UserType |
なし |
このエントリは、ユーザーのタイプの名前を保持します。 |
HitCount |
なし |
このエントリは整数型の値をサポートします。ヒット・カウントの値を保持します。 |
AdditionalAttr |
なし |
この属性は複数値です。 ノート: 複数値属性に複数の値を構成する場合は、デコード値をカンマ(,)で区切ってください。 |
OrgRule |
なし |
この属性は複数値です。 ノート: 複数値属性に複数の値を構成する場合は、デコード値をカンマ(,)で区切ってください。 |
OrgVal |
なし |
この属性は複数値です。 ノート: 複数値属性に複数の値を構成する場合は、デコード値をカンマ(,)で区切ってください。 |
ReportType |
なし |
この属性は複数値です。 ノート: 複数値属性に複数の値を構成する場合は、デコード値をカンマ(,)で区切ってください。 |
RiskId |
なし |
この属性は複数値です。 ノート: 複数値属性に複数の値を構成する場合は、デコード値をカンマ(,)で区切ってください。 |
Lookup.SAPABAP.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、ユーザー管理操作で使用されます。
表1-3に、この参照定義のデフォルト・エントリを示します。
表1-3 Lookup.SAPABAP.UM.Configuration参照定義のエントリ
| コード・キー | Decode | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.SAPABAP.UM.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.SAPABAP.UM.ProvAttrMapを参照してください。 |
Provisioning Validation Lookup |
Lookup.SAPABAP.UM.ProvValidation |
このエントリは、プロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
Recon Attribute Map |
Lookup.SAPABAP.UM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.SAPABAP.UM.ReconAttrMapを参照してください。 |
Recon Transformation Lookup |
Lookup.SAPABAP.UM.ReconTransformation |
このエントリは、ユーザー・リコンシリエーション中にターゲット・システムからフェッチされる属性値の変換を構成するために使用される参照定義の名前を含みます。この参照定義へのエントリの追加の詳細は、「ユーザー・リコンシリエーション時のデータ変換の構成」を参照してください。 |
Recon Validation Lookup |
Lookup.SAPABAP.UM.ReconValidation |
このエントリは、リコンシリエーション中にターゲット・システムからフェッチされる属性値の検証を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
Lookup.SAPABAP.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、プロビジョニングの際に使用されます。この参照定義は、事前に構成されています。表1-14にデフォルト・エントリを示します。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、「コネクタの機能拡張」を参照してください。
Lookup.SAPABAP.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性との間のマッピングを含みます。この参照定義は、リコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。表1-10にデフォルト・エントリを示します。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、「コネクタの機能拡張」を参照してください。
Lookup.SAPABAP.UM.ReconTransformation参照定義は、ユーザーのリコンシリエーション時にターゲット・システムからフェッチされた属性値の変換を構成するために使用されます。この参照定義へのエントリの追加の詳細は、「ユーザー・リコンシリエーション時のデータ変換の構成」を参照してください。
Lookup.SAPABAP.UM.ProvValidationおよびLookup.SAPABAP.UM.ReconValidation参照定義を使用して、プロビジョニングおよびリコンシリエーション操作時のプロセスに入力された属性値の検証を構成します。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
この項では、プロビジョニングおよびリコンシリエーション操作の実行から除外するリソースが含まれる参照定義について説明します。除外は、プロセス・フォームまたはリコンシリエーション・プロファイル内の任意の属性に適用できます。コード・キーの値は、Lookup.SAPABAP.UM.ReconAttrMapまたはLookup.SAPABAP.UM.ProvAttrMap参照定義内のコード・キーの値のいずれかである必要があります。
次のいずれかの参照を使用できます。
Lookup.SAPABAP.ReconExclusionList
Lookup.SAPABAP.ProvExclusionList
これらの参照に格納されている値の形式は次のとおりです。
| コード・キー | Decode | サンプル値 |
|---|---|---|
User Name |
ユーザーのUser ID |
コード・キー: userName デコード: User001 |
User Name (接尾辞[PATTERN]付き) |
|
コード・キー: userName[PATTERN] ユーザーID User001、User002、User088のいずれかに一致するユーザーを除外するには: デコード: User001|User002|User088 ユーザーIDが00012で始まるユーザーを除外するには: デコード: 00012* 関連項目: サポートされるパターンの詳細は、 |
この参照定義へのエントリの追加の詳細は、「リソース除外リストの構成」を参照してください。
Lookup.SAPABAP.UM.RoleChildformMappings参照定義には、ロール権限のリクエストベースのプロビジョニング中に使用される実際およびダミーの子フォーム・マップ・フィールドに関する情報が含まれています。この参照定義は、事前に構成されています。この参照定義のエントリを追加または変更することはできません。
権限のリクエストベースのプロビジョニング用にクローン・コネクタを使用する場合、この参照定義の子フォーム・フィールド名をそれぞれ手動で更新する必要があります。
この参照定義には次のエントリが含まれています。
| コード・キー | Decode |
|---|---|
UD_SPUMRC_P_SYSTEMNAME |
UD_SAPRL_SYSTEMNAME |
UD_SPUMRC_P_STARTDATE |
UD_SAPRL_STARTDATE,DATE |
UD_SPUMRC_P_ENDDATE |
UD_SAPRL_ENDDATE,DATE |
UD_SPUMRC_P_USERROLE |
UD_SAPRL_USERROLE |
Lookup.SAPABAP.UM.ProfileChildformMappings参照定義には、プロファイル権限のリクエストベースのプロビジョニング中に使用される実際およびダミーの子フォーム・マップ・フィールドに関する情報が含まれています。この参照定義は、事前に構成されています。この参照定義のエントリを追加または変更することはできません。
権限のリクエストベースのプロビジョニング用にクローン・コネクタを使用する場合、この参照定義の子フォーム・フィールド名をそれぞれ手動で更新する必要があります。
この参照定義には次のエントリが含まれています。
| コード・キー | Decode |
|---|---|
UD_SPUMPC_P_SYSTEMNAME |
UD_SPUM_PRO_SYSTEMNAME |
UD_SPUMPC_P_USERPROFILE |
UD_SPUM_PRO_USERPROFILE |
この項では、Access Request Controlコネクタのデプロイ時にOracle Identity Managerに作成されるその他の参照定義について説明します。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。その他の参照定義は次のとおりです。
Lookup.SAPACABAP.Status.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、ユーザー管理操作で使用されます。
表1-4 Lookup.SAPACABAP.Status.Configuration参照定義のエントリ
| コード | Decode | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.SAPACABAP.Status.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます |
Provisioning Validation Lookup |
Lookup.SAPACABAP.Status.ProvValidation |
このエントリは、プロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用される参照定義の名前を含みます |
Recon Attribute Map |
Lookup.SAPACABAP.Status.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.SAPACABAP.Status.ReconAttrMapを参照してください。 |
Lookup.SAPACABAP.Status.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性との間のマッピングを含みます。この参照定義は、リコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。
表1-5 Lookup.SAPACABAP.Status.ReconAttrMap参照定義のエントリ
| コード | Decode |
|---|---|
ACリクエストID |
__UID__ |
ACリクエスト・ステータス |
RequestStatus |
ACリクエスト・タイプ |
RequestType |
ユーザーID |
ユーザーID |
事前構成済参照定義は、コネクタのデプロイ時にOracle Identity Managerに作成されるその他の参照定義です。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。
この項では、コネクタのデプロイ時にOracle Identity Managerに作成されるSAP BusinessObjects AC 10用の参照定義について説明します。参照定義は次のとおりです。
Lookup.SAPAC10ABAP.Configuration参照定義には、ターゲット・リソースのリコンシリエーションおよびプロビジョニング操作時に使用されるコネクタ構成エントリが含まれます。
表1-6に、この参照定義のデフォルト・エントリを示します。
表1-6 Lookup.SAPAC10ABAP.Configuration参照定義のエントリ
| コード・キー | Decode | 説明 |
|---|---|---|
aliasUser |
なし |
このエントリは、ログオン・ユーザーの別名を含みます |
appLookupAccessURL |
なし |
Application Lookup WebサービスのURL |
appLookupWS |
oracle.iam.ws.sap.ac10.SelectApplication |
SAP BusinessObjects ACで構成されたすべてのアプリケーションを取得するWebサービス・クライアント |
assignRoleReqType |
002~Change Account~002~006 |
SAP BusinessObjects ACでロールの割当てリクエストに使用されるリクエスト・タイプの名前 デコード値の形式は次のとおりです。
RequestTypeの値はLookup.SAPAC10ABAP.RequestTypeで使用できます。 ItemProvActionForSystemおよびItemProvActionForRoleの値はLookup.SAPAC10ABAP.ItemProvActionで使用できます。 |
auditLogsAccessURL |
なし |
Audit Logs WebサービスのURL |
auditLogsWS |
oracle.iam.ws.sap.ac10.AuditLogs |
監査ログを取得するWebサービス・クライアント |
batchSize |
100 |
リコンシリエーションの実行中にターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 |
Bundle Name |
org.identityconnectors.sapacum |
コネクタ・バンドル・パッケージの名前 |
Bundle Version |
1.0.11170 |
コネクタ・バンドル・クラスのバージョン |
changePasswordAtNextLogon |
× |
このエントリに指定する必要がある値の詳細は、「SAP HRMSとSAP R/3またはSAP CUAアカウントのリンク」を参照してください |
codePage |
なし |
このエントリは、SAP表記の初期コードページを保持します。 |
compositeRoles |
× |
ターゲットからコンポジット・ロールをフェッチする場合、 ノート: singleRolesおよびcompositeRolesデコード値の両方に「no」を指定できません。少なくとも値のいずれかを「yes」にする必要があります。 |
Connector Name |
org.identityconnectors.sapacum.SAPACUMConnector |
コネクタ・クラスの名前 |
createUserReqType |
001~New Account~001 |
SAP BusinessObjects ACでユーザーの作成リクエストに使用されるリクエスト・タイプの名前 デコード値の形式は次のとおりです。
RequestTypeの値はLookup.SAPAC10ABAP.RequestTypeで使用できます。 ItemProvActionForSystemの値はLookup.SAPAC10ABAP.ItemProvActionで使用できます。 |
cuaChildInitialPasswordChangeFuncModule |
ZXLCBAPI_ZXLCUSR_PW_CHANGE |
すべてのCUA子システムでユーザーの初期パスワードを変更する有効化されたリモート機能モジュールの名前 この属性はCUAが有効でないかぎり使用されません。値が設定されていないとパスワードの変更はCUAシステムにのみ適用されます。CUA子システムでの本番パスワードの設定も、この設定なしでは自動的に失敗します。 このエントリは変更しないでください。 |
cuaChildPasswordChangeFuncModule |
ZXLCBAPI_ZXLCUSR_PASSWORDCHNGE |
CUA子システムでユーザーの本番パスワードを変更する有効化されたリモート機能モジュールの名前。 この属性はCUAが有効でないかぎり使用されません。 ノート: デフォルト値が使用される場合、CUA中央システムに格納されているパスワードのみが変更されます。 |
deleteUserReqType |
003~Delete Account~003 |
SAP BusinessObjects ACでユーザーの削除リクエストに使用されるリクエスト・タイプの名前 |
disableLockStatus |
64 |
SAP Userのロック・ステータス |
enableCUA |
× |
ターゲット・システムがSAP CUAである場合、 |
gatewayHost |
なし |
このエントリは、ゲートウェイ・ホストの名前またはIPアドレスを含みます |
gatewayService |
なし |
このエントリは、ゲートウェイ・サービスの名前を含みます |
getSSO2 |
なし |
このエントリには、ログオン後にSSOチケットを取得するかどうかを指定します。このエントリの値は |
groups |
GROUPS~USERGROUP |
このフィールドは属性マッピングで定義されている組込みオブジェクトです。デコード・エントリで、GROUPSはターゲット・システムの表名で、USERGROUPはフィールド名です。 |
ignoreOpenStatus |
〇 |
あるユーザーの最後のリクエストがオープン・ステータスであっても、そのユーザーの新規リクエストを送信できるかどうかを指定します |
lCheck |
なし |
オープン時のログオン・チェックを有効化する、または無効化します。このエントリの値を |
lockUserReqType |
004~Lock Account~004 |
SAP BusinessObjects ACでユーザーのロック・リクエストに使用されるリクエスト・タイプの名前 |
logAuditTrial |
〇 |
ステータス・リエクストWebサービスが呼び出されるたびに完全な監査証跡を記録する必要があるかどうかを指定します |
modifyUserReqType |
002~Change Account~002 |
SAP BusinessObjects ACでユーザーの変更リクエストに使用されるリクエスト・タイプの名前 |
mySAPSSO2 |
なし |
ログオン・チケットとして使用する必要があるSAP Cookieバージョン2を指定します。 |
otherLookupAccessURL |
なし |
Other Lookup WebサービスのURL |
otherLookupWS |
oracle.iam.ws.sap.ac10.SearchLookup |
その他の参照フィールド詳細を取得するWebサービス・クライアント |
overwriteLink |
× |
このエントリに指定する必要がある値の詳細は、「SAP HRMSとSAP R/3またはSAP CUAアカウントのリンク」を参照してください。 |
parameters |
PARAMETER1~PARID;PARVA |
このフィールドは属性マッピングで定義されている組込みオブジェクトです。 デコード・エントリで、PARAMETER1はターゲット・システムの表名で、PARIDおよびPARVAはフィールド名です。 |
passwordPropagateToChildSystem |
× |
コネクタがユーザー・パスワードの変更をSAP CUA親システムからその子システムへ伝播する場合、 |
profiles |
PROFILES~SUBSYSTEM;PROFILE |
このフィールドは属性マッピングで定義された組込みオブジェクトです。 デコード・エントリで、PROFILESはターゲット・システムの表名で、SUBSYSTEMおよびPROFILEはフィールド名です。 |
provActionAttrName |
provAction;ReqLineItem |
Provision Actionターゲット・システム属性の名前 |
provItemActionAttrName |
provItemAction;ReqLineItem |
Provision Item Actionターゲット・システム属性の名前 |
reconcilefuturedatedroles |
〇 |
将来日付のロールをリコンサイルする場合は |
reconcilepastdatedroles |
〇 |
過去日付のロールをリコンサイルする場合は |
removeRoleReqType |
002~Change Account~002~009 |
SAP BusinessObjects ACでユーザーの削除リクエストに使用されるリクエスト・タイプの名前 |
ReportFormat |
× |
このエントリはレポートのフォーマットを保持します。 ノート: webService grac_risk_analysis_wout_no_wsの場合、ReportFormatはSP17以降で必須フィールドです。 デフォルト値: ノート: このパラメータは、SoDを含むSAP UMのみに適用されます。 |
repositoryDestination |
なし |
リポジトリとして使用される宛先を指定します。 |
repositoryPassword |
なし |
リポジトリ・ユーザーのパスワードを指定します。このエントリは、リポジトリ・ユーザーが使用される場合は必須です。 |
repositorySNCMode |
なし |
このエントリはオプションです。SNCをこの宛先に使用する場合、このエントリの値を |
repositoryUser |
なし |
このエントリはオプションです。リポジトリの宛先が設定されず、このエントリが設定されている場合、このエントリがリポジトリ・コールのユーザーとして使用されます。このエントリにより、リポジトリ検索に別のユーザーを使用できます。 |
requestStatusAccessURL |
なし |
Status Request WebサービスのURL |
requestStatusValue |
OK |
プロセス・フォームのACリクエスト・ステータス・フィールドで更新された値。 |
requestStatusWS |
oracle.iam.ws.sap.ac10.RequestStatus |
プロビジョニング・リクエストのステータスを取得するWebサービス・クライアント |
requestTypeAttrName |
Reqtype;Header |
SAPUMCREATEアダプタからのリクエスト・フローを区別するために使用されるリクエスト・タイプ属性の名前 |
riskLevel |
高 |
SAP BusinessObjects ACでは、ビジネス・リスクにそれぞれ重大性レベルが割り当てられます。リスク・レベルを指定することにより、SAP BusinessObjectsから返されるリスク分析データを制御できます。 |
roleLookupAccessURL |
なし |
Role Lookup WebサービスのURL |
roleLookupWS |
oracle.iam.ws.sap.ac10.SearchRoles |
すべてのロールを取得するWebサービス・クライアント |
roles |
ACTIVITYGROUPS~SUBSYSTEM;AGR_NAME;TO_DAT;FROM_DAT;ORG_FLAG |
このフィールドは属性マッピングで定義された組込みオブジェクトです。デコード・エントリで、ACTIVITYGROUPSはターゲット・システムの表名です。SUBSYSTEM、TO_DAT、FROM_DAT、AGR_NAMEおよびORG_FLAGは、ターゲット・システムのフィールド名です。 |
sapSystemTimeZone |
PST |
このエントリは、SAPターゲット・システムのタイム・ゾーンを含みます。 |
singleRoles |
yes |
ターゲットから単一ロールをフェッチする場合、 |
Status Configuration Lookup |
Lookup.SAPACABAP.Status.Configuration |
このエントリには、ユーザー特有の構成プロパティを含む参照定義の名前が保持されます。 このエントリは変更しないでください。 |
tpHost |
なし |
このエントリは、外部サーバー・プログラムのホスト名を含みます。 |
tpName |
なし |
このエントリは、外部サーバー・プログラムのプログラムIDを含みます。 |
type |
なし |
このエントリは、リモート・ホストのタイプを含みます。このエントリは、次の値を保持できます。
|
unlockUserReqType |
005~unlock user~005 |
SAP BusinessObjects ACでユーザーのロック解除リクエストに使用されるリクエスト・タイプの名前 |
userAccessAccessURL |
なし |
User Access WebサービスのURL |
userAccessWS |
oracle.iam.ws.sap.ac10.UserAccess |
ユーザー・アクセスのステータスを取得するWebサービス・クライアント |
User Configuration Lookup |
Lookup.SAPAC10ABAP.UM.Configuration |
ユーザー特有の構成プロパティを含む参照定義の名前 詳細は、Lookup.SAPAC10ABAP.Configurationを参照してください。 |
validatePERNR |
× |
このエントリに指定する必要がある値の詳細は、「SAP HRMSとSAP R/3またはSAP CUAアカウントのリンク」を参照してください。 |
wsdlFilePath |
ファイルの絶対パス |
次のファイルを含むディレクトリへの絶対パスを入力します: GRAC_USER_ACCESS_WS.WSDL GRAC_SEARCH_ROLES_WS.WSDL GRAC_SELECT_APPL_WS.WSDL GRAC_REQUEST_STATUS_WS.WSDL GRAC_LOOKUP_WS.WSDL GRAC_AUDIT_LOGS_WS.WSDL ノート:
|
Lookup.SAPABAP.AC10.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、ユーザー管理操作で使用されます。
表1-7に、この参照定義のデフォルト・エントリを示します。
表1-7 Lookup.SAPAC10ABAP.Configuration参照定義のエントリ
| コード・キー | Decode | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.SAPAC10ABAP.UM.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。 この参照定義の詳細は、Lookup.SAPAC10ABAP.UM.ProvAttrMapを参照してください。 |
Provisioning Validation Lookup |
Lookup.SAPAC10ABAP.UM.ProvValidation |
このエントリは、プロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用される参照定義の名前を含みます。 この参照定義の詳細は、Lookup.SAPAC10ABAP.UM.ProvValidationを参照してください。 |
Recon Attribute Map |
Lookup.SAPAC10ABAP.UM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.SAPAC10ABAP.UM.ReconAttrMapを参照してください。 |
Recon Transformation Lookup |
Lookup.SAPAC10ABAP.UM.ReconTransformation |
このエントリは、ユーザー・リコンシリエーション中にターゲット・システムからフェッチされる属性値の変換を構成するために使用される参照定義の名前を含みます。この参照定義へのエントリの追加の詳細は、「ユーザー・リコンシリエーション時のデータ変換の構成」を参照してください。 |
Recon Validation Lookup |
Lookup.SAPAC10ABAP.UM.ReconValidation |
このエントリは、リコンシリエーション中にターゲット・システムからフェッチされる属性値の検証を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
Lookup.SAPAC10ABAP.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、プロビジョニングの際に使用されます。この参照定義は、事前に構成されています。表1-8にデフォルト・エントリを示します。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、「コネクタの機能拡張」を参照してください。
表1-8 Lookup.SAPAC10ABAP.UM.ProvAttrMap参照定義のエントリ
| コード・キー | Decode |
|---|---|
ACビジネス・プロセス[参照] |
bproc;Header |
アカウント番号 |
accno;UserInfo |
AC機能領域[参照] |
funcarea;Header |
ACマネージャ |
manager;UserInfo |
ACマネージャの電子メール |
managerEmail;UserInfo |
ACマネージャの名 |
managerFirstname;UserInfo |
ACマネージャの姓 |
managerLastname;UserInfo |
AC優先度[参照] |
priority;Header |
ACリクエスト・タイプの期日[日付] |
reqDueDate;Header |
ACリクエストID[WRITEBACK] |
RequestId |
ACリクエスタの電子メール |
email;Header |
ACリクエスタID |
requestorId;Header |
ACリクエストの理由 |
requestReason;Header |
ACリクエスト・ステータス[WRITEBACK] |
RequestStatus |
ACリクエスト・タイプ[WRITEBACK] |
RequestType |
ACシステム[参照] |
reqInitSystem;Header |
別名 |
alias;UserInfo |
建物 |
BUILDING_P;ADDRESS;BUILDING_P;ADDRESSX |
通信タイプ |
commMethod;UserInfo |
会社[参照] |
COMPANY;COMPANY;COMPANY;COMPANYX |
契約ユーザー・タイプ[参照] |
LIC_TYPE;UCLASS;UCLASS;UCLASSX |
コスト・センター |
costcenter;UserInfo |
日付書式 |
dateFormat;UserInfo |
10進表記 |
decNotation;UserInfo |
部門 |
DEPARTMENT;ADDRESS;DEPARTMENT;ADDRESSX |
電子メール |
email;UserInfo |
FAX内線番号 |
FAX_EXTENS;ADDRESS;FAX_EXTENS;ADDRESSX |
FAX番号 |
fax;UserInfo |
名 |
fname;UserInfo |
階 |
FLOOR_P;ADDRESS;FLOOR_P;ADDRESSX |
職務 |
FUNCTION;ADDRESS;FUNCTION;ADDRESSX |
グループ名[参照] |
CLASS;LOGONDATA;CLASS;LOGONDATAX |
言語通信[参照] |
LANGU_P;ADDRESS;LANGU_P;ADDRESSX |
姓 |
lname;UserInfo |
ログオン言語 |
logonLang;UserInfo |
パスワード |
__PASSWORD__ |
従業員番号 |
PERNR |
部屋番号 |
ROOM_NO_P;ADDRESS;ROOM_NO_P;ADDRESSX |
スタート・メニュー |
startMenu;UserInfo |
電話内線番号 |
TEL1_EXT;ADDRESS;TEL1_EXT;ADDRESSX |
電話番号 |
telnumber;UserInfo |
タイムゾーン[参照] |
TZONE;LOGONDATA;TZONE;LOGONDATAX |
役職[参照] |
title;UserInfo |
UD_UMAC_GRP~ユーザー・グループ[参照] |
userGroup;UserGroup |
UD_UMAC_PRM~パラメータID[参照] |
Parameter~parameter~parameter;Parameter |
UD_UMAC_PRM~パラメータ値 |
Parameter~parameter~parameterValue;Parameter |
UD_UMAC_ROL~終了日[日付] |
roles~ACTIVITYGROUPS~ValidTo;ReqLineItem |
UD_UMAC_ROL~ロール名[参照] |
roles~ACTIVITYGROUPS~itemName;ReqLineItem |
UD_UMAC_ROL~ロール・システム名[参照] |
roles~ACTIVITYGROUPS~connector;ReqLineItem |
UD_UMAC_ROL~「開始日」[日付] |
roles~ACTIVITYGROUPS~validFrom;ReqLineItem |
UD_UMAC_PRO~「プロファイル名」[参照] |
profile~PROFILES~itemName;ReqLineItem |
UD_UMAC_PRO~「プロファイル・システム名」[参照] |
profile~PROFILES~connector;ReqLineItem |
一意のID |
__UID__ |
ユーザー・グループ[参照] |
userGroup;UserInfo |
ユーザーID |
userId;UserInfo |
ユーザー・ロック |
userLock;None |
ユーザー・タイプ |
userType;UserInfo |
有効期限開始[日付] |
validFrom;UserInfo |
有効期限終了[日付] |
validTo;UserInfo |
Lookup.SAPAC10ABAP.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性との間のマッピングを含みます。この参照定義は、リコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。表1-9にデフォルト・エントリを示します。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、「コネクタの機能拡張」を参照してください。
表1-9 Lookup.SAPAC10ABAP.UM.ReconAttrMap参照定義のエントリ
| コード・キー | Decode |
|---|---|
アカウント番号 |
ACCNT;LOGONDATA |
別名 |
USERALIAS;ALIAS |
建物 |
BUILDING_P;ADDRESS |
通信タイプ[参照] |
COMM_TYPE;ADDRESS |
会社[参照] |
COMPANY;COMPANY |
契約ユーザー・タイプ[参照] |
LIC_TYPE;UCLASS|UCLASSSYS |
コスト・センター |
KOSTL;DEFAULTS |
日付書式[参照] |
DATFM;DEFAULTS |
10進表記[参照] |
DCPFM;DEFAULTS |
部門 |
DEPARTMENT;ADDRESS |
電子メール |
E_MAIL;ADDRESS |
FAX内線番号 |
FAX_EXTENS;ADDRESS |
FAX番号 |
FAX_NUMBER;ADDRESS |
名 |
FIRSTNAME;ADDRESS |
階 |
FLOOR_P;ADDRESS |
職務 |
FUNCTION;ADDRESS |
グループ~ユーザー・グループ[参照] |
groups~GROUPS~USERGROUP |
グループ名[参照] |
CLASS;LOGONDATA |
言語通信[参照] |
LANGU_P;ADDRESS |
姓 |
LASTNAME;ADDRESS |
ログオン言語 |
LANGU;DEFAULTS |
パラメータ~パラメータID[参照] |
parameters~PARAMETER1~PARID |
パラメータ~パラメータ値 |
parameters~PARAMETER1~PARVA |
プロファイル~プロファイル名[参照] |
profiles~PROFILES~PROFILE |
プロファイル~プロファイル・システム名[参照] |
profiles~PROFILES~SUBSYSTEM |
ロール~終了日[日付] |
roles~ACTIVITYGROUPS~TO_DAT |
ロール~ロール名[参照] |
roles~ACTIVITYGROUPS~AGR_NAME |
ロール~ロール・システム名[参照] |
roles~ACTIVITYGROUPS~SUBSYSTEM |
ロール~開始日[日付] |
roles~ACTIVITYGROUPS~FROM_DAT |
部屋番号 |
ROOM_NO_P;ADDRESS |
スタート・メニュー |
START_MENU;DEFAULTS |
ステータス |
__ENABLE__ |
電話内線番号 |
TEL1_EXT;ADDRESS |
電話番号 |
TEL1_NUMBR;ADDRESS |
タイムゾーン[参照] |
TZONE;LOGONDATA |
役職[参照] |
TITLE_P;ADDRESS |
一意のID |
__UID__ |
ユーザーID |
__UID__ |
ユーザー・ロック |
__LOCK_OUT__ |
ユーザー・タイプ |
USTYP;LOGONDATA |
有効期限開始[日付] |
GLTGV;LOGONDATA |
有効期限終了[日付] |
GLTGB;LOGONDATA |
Lookup.SAPAC10ABAP.UM.ProvValidation参照定義は、プロビジョニング操作時にプロセス・フォームに入力された属性値の検証を構成するために使用されます。詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
Lookup.SAPABAP.AC10.ItemProvAction参照定義は、SAP BusinessObjects AC 10からの「アイテム」プロビジョニング・アクション・コードを含みます。このコードを使用してSAP BusinessObjects AC 10にリクエストを作成してロールを追加または削除します。
「アイテム」プロビジョニング・アクションを使用してLookup.SAPAC10ABAP.Configuration参照定義に次のコード・キー・エントリのデコード値を構成します。
assignRoleReqType
removeRoleReqType
Lookup.SAPAC10ABAP.ItemProvAction参照定義は、SAP AC ItemProvAction参照リコンシリエーションのスケジュール済ジョブにより移入されています。デフォルトで、参照定義にはエントリはありません。
Lookup.SAPAC10ABAP.RequestType参照定義を使用してLookup.SAPAC10ABAP.Configuration参照定義に次のコード・キー・エントリのデコード値を構成します。
assignRoleReqType
createUserReqType
deleteUserReqType
lockUserReqType
modifyUserReqType
removeRoleReqType
unlockUserReqType
Lookup.SAPAC10ABAP.RequestType参照定義は、SAP AC RequestType参照リコンシリエーションのスケジュール済ジョブにより移入されています。デフォルトで、参照定義にはエントリはありません。
Lookup.SAPAC10ABAP.UM.ReconTransformation参照定義は、ユーザーのリコンシリエーション時にターゲット・システムからフェッチされた属性値の変換を構成するために使用されます。
詳細は、「ユーザー・リコンシリエーション中のデータ変換の構成」を参照してください。
Lookup.SAPAC10ABAP.UM.ReconValidation参照定義は、リコンシリエーション操作時にプロセス・フォームに入力された属性値の検証を構成するために使用されます。
詳細は、「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
参照フィールド同期では、ターゲット・システムの特定のフィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を指定します。たとえば、日付形式参照定義を使用して、サポートしている日付形式のリストから日付形式を選択することができます。コネクタをデプロイすると、ターゲット・システムの参照フィールドに対応する参照定義が、Oracle Identity Managerに自動的に作成されます。参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
次の参照定義に、参照フィールド同期スケジュール済ジョブによってターゲット・システムからフェッチされた値が移入されます
Lookup.SAPACABAP.Bproc
Lookup.SAPACABAP.CommType
Lookup.SAPACABAP.Company
Lookup.SAPACABAP.ContractualUserType
Lookup.SAPACABAP.DateFormat
Lookup.SAPACABAP.DecimalNotation
Lookup.SAPACABAP.Funcarea
Lookup.SAPACABAP.LangComm
Lookup.SAPACABAP.Parameter
Lookup.SAPACABAP.Priority
Lookup.SAPACABAP.Profile
Lookup.SAPACABAP.ReqInitSystem
Lookup.SAPACABAP.Roles
Lookup.SAPACABAP.System
Lookup.SAPACABAP.TimeZone
Lookup.SAPACABAP.UM.ProvExclusionList
Lookup.SAPACABAP.UM.ReconExclusionList
Lookup.SAPACABAP.UserGroups
Lookup.SAPACABAP.UserLock
Lookup.SAPACABAP.UserTitle
Lookup.SAPACABAP.UserType
参照フィールド同期のためのスケジュール済ジョブを使用して、前述のリスト内の、これらの参照定義の値と、ターゲット・システムが同期されます。参照フィールド同期のためのスケジュール済ジョブの詳細は、「参照フィールド同期のためのスケジュール済ジョブ」を参照してください。
参照定義の同期後、データは次の形式で保存されます。
コード・キーの形式: IT_RESOURCE_KEY~LOOKUP_FIELD_ID_OR_NAME
この形式の詳細は次のとおりです。
IT_RESOURCE_KEYは、Oracle Identity ManagerでITリソースに割り当てられた数値コードです。
LOOKUP_FIELD_ID_OR_NAMEは、各参照フィールド・エントリに割り当てられるターゲット・システム・コードまたは名前です。
次にLookup.SAPABAP.UM.DateFormat参照定義のコード・キー列のサンプル値を示します。
22~6
デフォルト形式: IT_RESOURCE_NAME~LOOKUP_FIELD_ENTRY
この形式の詳細は次のとおりです。
IT_RESOURCE_NAMEは、Oracle Identity ManagerのITリソースの名前です。
LOOKUP_FIELD_ENTRYは、ターゲット・システムの参照フィールド・エントリの値または説明です。
次にLookup.SAPABAP.DateFormat参照定義のデコード列のサンプル値を示します。
SAPUM63~YYYY-MM-DD
Oracle Identity System Administrationでプロビジョニング操作を実行する際、操作を実行するターゲット・システムのITリソースを選択します。このアクションを実行すると、ページの参照定義に、選択したITリソース(ターゲット・システム・インスタンス)に対応する値が自動的に移入されます。
参照フィールドの同期中、参照定義の既存のエントリ・セットに新規エントリが追加されます。SAP R/3ターゲットからSAP CUAターゲットへ、または同じターゲット・システムの複数のインストール間で切り替えることができます。ITリソース・キーは各参照定義で作成された各エントリの一部であるため、プロビジョニング操作中に選択されたITリソースに固有の参照フィールド・エントリのみが表示されます。
ターゲット・リソースのリコンシリエーションでは、ターゲット・システムで新規作成または変更されたアカウントに関するデータをフェッチし、そのデータを使用してOIMユーザーに割り当てられたリソースを追加または変更します。
SAP UM User Reconスケジュール済ジョブは、リコンシリエーションの実行開始に使用されます。このスケジュール済ジョブは、「SAP UM User Recon」で説明されています。
関連項目:
リコンシリエーションの概念の詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のリコンシリエーションの管理に関する項を参照してください。
この項の内容は次のとおりです。
Lookup.SAPABAP.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。
「Code Key」列には、リソース・オブジェクトのフィールドの名前が保持されます。
単一値属性のデコード列の形式は次のとおりです。
FIELD_NAME;STRUCTURE_NAME
複数値属性のデコード列の形式は次のとおりです。
EMBEDDED_OBJECT_NAME~OBJECT_CLASS~TARGET_FIELD_NAME
表1-10に、この参照定義のエントリを示します。
表1-10 Lookup.SAPABAP.UM.ReconAttrMap参照定義のエントリ
| リソース・オブジェクト・フィールド | ターゲット・システムの属性 |
|---|---|
アカウント番号 |
ACCNT;LOGONDATA |
別名 |
USERALIAS;ALIAS |
建物 |
BUILDING_P;ADDRESS |
通信タイプ[参照] |
COMM_TYPE;ADDRESS |
会社[参照] |
COMPANY;COMPANY |
契約ユーザー・タイプ[参照] |
LIC_TYPE;UCLASS|UCLASSSYS |
コスト・センター |
KOSTL;DEFAULTS |
日付書式[参照] |
DATFM;DEFAULTS |
10進表記[参照] |
DCPFM;DEFAULTS |
部門 |
DEPARTMENT;ADDRESS |
電子メール |
E_MAIL;ADDRESS |
FAX内線番号 |
FAX_EXTENS;ADDRESS |
FAX番号 |
FAX_NUMBER;ADDRESS |
名 |
FIRSTNAME;ADDRESS |
階 |
FLOOR_P;ADDRESS |
職務 |
FUNCTION;ADDRESS |
グループ~ユーザー・グループ[参照] |
groups~GROUPS~USERGROUP |
グループ名[参照] |
CLASS;LOGONDATA |
言語通信[参照] |
LANGU_P;ADDRESS |
姓 |
LASTNAME;ADDRESS |
ログオン言語[参照] |
LANGU;DEFAULTS |
パラメータ~パラメータID[参照] |
parameters~PARAMETER1~PARID |
パラメータ~パラメータ値 |
parameters~PARAMETER1~PARVA |
プロファイル~プロファイル名[参照] |
profiles~PROFILES~PROFILE |
プロファイル~プロファイル・システム名[参照] |
profiles~PROFILES~SUBSYSTEM |
ロール~終了日[日付] |
roles~ACTIVITYGROUPS~TO_DAT |
ロール~ロール名[参照] |
roles~ACTIVITYGROUPS~AGR_NAME |
ロール~ロール・システム名[参照] |
roles~ACTIVITYGROUPS~SUBSYSTEM |
ロール~開始日[日付] |
roles~ACTIVITYGROUPS~FROM_DAT |
部屋番号 |
ROOM_NO_P;ADDRESS |
スタート・メニュー |
START_MENU;DEFAULTS |
ステータス |
__ENABLE__ |
電話内線番号 |
TEL1_EXT;ADDRESS |
電話番号 |
TEL1_NUMBR;ADDRESS |
タイムゾーン[参照] |
TZONE;LOGONDATA |
役職[参照] |
TITLE_P;ADDRESS |
ユーザーID |
__UID__ |
ユーザー・ロック |
__LOCK_OUT__ |
ユーザー・タイプ[参照] |
USTYP;LOGONDATA |
有効期限開始[日付] |
GLTGV;LOGONDATA |
有効期限終了[日付] |
GLTGB;LOGONDATA |
一意のID |
__UID__ |
コネクタによってリコンシリエーション・ルールが使用され、Oracle Identity Governanceがリソースを割り当てる必要があるアイデンティティが判別されます。
関連項目:
リコンシリエーションの一致ルールおよびアクション・ルールの詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のリコンシリエーション・エンジンに関する項を参照してください。
次の項目で、このコネクタのリコンシリエーション・ルールについて説明します。
プロセス一致ルールを次に示します。
ルール名: SAP UM Recon Rule
ルール要素: User Login Equals User ID
このルール要素の意味は次のとおりです。
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
ユーザーIDはSAPアカウントのユーザーIDです。
リコンシリエーション・ルールは、Oracle Identity Manager Design Consoleを使用して表示できます。
コネクタのデプロイ後、次のステップを実行して、リコンシリエーションのリコンシリエーション・ルールを表示できます。
ノート:
次の手順は、コネクタのデプロイ後にのみ実行してください。
ノート:
このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。リコンシリエーション・アクション・ルールの変更または作成の詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのリコンシリエーション・アクション・ルールの設定に関する項を参照してください。
次の項目で、このコネクタのリコンシリエーション・ルールについて説明します。
リコンシリエーション・アクション・ルールでは、ユーザーに対して定義されたリコンシリエーション・ルールに基づいてコネクタが実行する必要があるアクションが定義されます。
表1-11に、リコンシリエーションのアクション・ルールを示します。
表1-11 リコンシリエーションのアクション・ルール
| ルール条件 | アクション |
|---|---|
一致しない場合 |
最小ロードの管理者への割当て |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
Oracle Identity Manager Design Consoleのリソース・オブジェクトのオブジェクト・リコンシリエーション・タブで、リコンシリエーション・アクション・ルールを表示できます。
コネクタのデプロイ後、次のステップを実行して、リコンシリエーションのリコンシリエーション・アクション・ルールを表示できます。
アダプタなどのコネクタ・オブジェクトは、ターゲット・システムでプロビジョニング操作を実行するために使用されます。これらのアダプタは、プロビジョニング用の参照定義で定義されたフィールド上でプロビジョニング機能を実行します。
この項の内容は次のとおりです。
コネクタでサポートされるプロビジョニング機能と、これらの機能を実行するアダプタを示します。
表1-12と表1-13には、SAP UMおよびSAP AC UMコネクタでサポートされるユーザー・プロビジョニング機能と、その機能を実行するアダプタが示されます。表に示す機能は、1つまたは複数のプロセス・タスクに対応しています。
関連項目:
プロセス・タスクおよびアダプタの一般情報は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のアダプタ・ファクトリの使用に関する項を参照してください。
表1-12 SAP UMでサポートされるユーザー・プロビジョニング機能
| 職務 | アダプタ |
|---|---|
ユーザー・アカウントの作成 |
adpSAPUMCREATE |
ユーザー・アカウントの更新 |
adpSAPUMUPDATE |
ユーザー・アカウントの削除 |
adpSAPUMDELETE |
ユーザー・アカウントの有効化 |
adpSAPUMENABLE |
ユーザー・アカウントの無効化 |
adpSAPUMDISABLE |
複数値属性の更新(ロールやパラメータなど) |
adpSAPUMUPDATECHILD |
複数値属性の追加 |
adpSAPUMADDCHILD |
複数値属性の削除 |
adpSAPUMREMOVECHILD |
SAPUMフォームの事前移入 |
adpSAPUMPREPOPULATE |
SAP UMの権限のリクエスト |
adpSAPUMREQUESTENTITLEMENT |
表1-13 SAP AC UMでサポートされるユーザー・プロビジョニング機能
| 職務 | アダプタ |
|---|---|
ユーザー・アカウントの作成 |
adpSAPACUMCREATEUSER |
ユーザー・アカウントの更新 |
adpSAPACUMUPDATEUSER |
ユーザー・アカウントの削除 |
adpSAPACUMDELETEUSER |
ユーザー・アカウントの有効化 |
adpSAPACUMENABLEUSER |
ユーザー・アカウントの無効化 |
adpSAPACUMDISABLEUSER |
複数値属性の更新(ロールやパラメータなど) |
adpSAPACUMUPDATECHILD |
複数値属性の追加 |
adpSAPACUMADDCHILD |
複数値属性の削除 |
adpSAPACUMREMOVECHILD |
SAP AC UMフォームの事前移入 |
adpSAPACUMPREPOPULATE |
Lookup.SAPABAP.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドを単一値ターゲット・システム属性にマップします。コード・キー列は、プロセス・フォームのフィールドの名前を保持します。
単一値属性のデコード列の形式は次のとおりです。
FIELD_NAME;STRUCTURE_NAME;FIELD_NAME_X;STRUCTURE_NAME_X
この形式の詳細は次のとおりです。
FIELD_NAMEはフィールドの名前です。
STRUCTURE_NAMEは構造の名前です。
FIELD_NAME_Xは、FIELD_NAMEの値が適用される必要があるかどうかを示すために使用するフィールドの名前です。
STRUCTURE_NAME_XはFIELD_NAME_Xを含む構造の名前です。
複数値属性のデコード列の形式は次のとおりです。
EMBEDDED_OBJECT_NAME~OBJECT_CLASS~TARGET_FIELD_NAME
表1-14に、この参照定義のエントリを示します。
表1-14 Lookup.SAPABAP.UM.ProvAttrMap参照定義のエントリ
| プロセス・フォームのフィールド | ターゲット・システムの属性 |
|---|---|
アカウント番号 |
ACCNT;LOGONDATA;ACCNT;LOGONDATAX |
別名 |
USERALIAS;ALIAS;BAPIALIAS;ALIASX |
建物 |
BUILDING_P;ADDRESS;BUILDING_P;ADDRESSX |
通信タイプ[参照] |
COMM_TYPE;ADDRESS;COMM_TYPE;ADDRESSX |
会社[参照] |
COMPANY;COMPANY;COMPANY;COMPANYX |
契約ユーザー・タイプ[参照] |
LIC_TYPE;UCLASS;UCLASS;UCLASSX |
コスト・センター |
KOSTL;DEFAULTS;KOSTL;DEFAULTSX |
日付書式[参照] |
LOOKUP;DATFM;DEFAULTS;DATFM;DEFAULTSX |
10進表記[参照] |
DCPFM;DEFAULTS;DCPFM;DEFAULTSX |
部門 |
DEPARTMENT;ADDRESS;DEPARTMENT;ADDRESSX |
電子メール |
E_MAIL;ADDRESS;E_MAIL;ADDRESSX |
FAX内線番号 |
FAX_EXTENS;ADDRESS;FAX_EXTENS;ADDRESSX |
FAX番号 |
FAX_NUMBER;ADDRESS;FAX_NUMBER;ADDRESSX |
名 |
FIRSTNAME;ADDRESS;FIRSTNAME;ADDRESSX |
階 |
FLOOR_P;ADDRESS;FLOOR_P;ADDRESSX |
職務 |
FUNCTION;ADDRESS;FUNCTION;ADDRESSX |
グループ名[参照] |
CLASS;LOGONDATA;CLASS;LOGONDATAX |
言語通信[参照] |
LANGU_P;ADDRESS;LANGU_P;ADDRESSX |
姓 |
LASTNAME;ADDRESS;LASTNAME;ADDRESSX |
ログオン言語[参照] |
LANGU;DEFAULTS;LANGU;DEFAULTSX |
パスワード |
__PASSWORD__ |
従業員番号 |
PERNR |
部屋番号 |
ROOM_NO_P;ADDRESS;ROOM_NO_P;ADDRESSX |
スタート・メニュー |
START_MENU;DEFAULTS;START_MENU;DEFAULTSX |
電話内線番号 |
TEL1_EXT;ADDRESS;TEL1_EXT;ADDRESSX |
電話番号 |
TEL1_NUMBR;ADDRESS;TEL1_NUMBR;ADDRESSX |
タイムゾーン[参照] |
TZONE;LOGONDATA;TZONE;LOGONDATAX |
役職[参照] |
TITLE_P;ADDRESS;TITLE_P;ADDRESSX |
UD_SAP_GP~ユーザー・グループ[参照] |
groups~GROUPS~USERGROUP |
UD_SAP_PARA~パラメータID[参照] |
parameters~PARAMETER1~PARID |
UD_SAP_PARA~パラメータ値 |
parameters~PARAMETER1~PARVA |
UD_SAPRL~終了日[日付] |
roles~ACTIVITYGROUPS~TO_DAT |
UD_SAPRL~ロール名[参照] |
roles~ACTIVITYGROUPS~AGR_NAME |
UD_SAPRL~開始日[日付] |
roles~ACTIVITYGROUPS~FROM_DAT |
UD_SPUM_PRO~プロファイル名[参照] |
profiles~PROFILES~PROFILE |
一意のID |
__UID__ |
ユーザーID |
__NAME__ |
ユーザー・ロック |
User Lock;NONE;NONE;NONE |
ユーザー・タイプ[参照] |
USTYP;LOGONDATA;USTYP;LOGONDATAX |
有効期限開始[日付] |
GLTGV;LOGONDATA;GLTGV;LOGONDATAX |
有効期限終了[日付] |
GLTGB;LOGONDATA;GLTGB;LOGONDATAX |
次に、このマニュアルの次の章以降の構成を示します。
