| Oracle® Identity Manager SAP User Managementコネクタ・ガイド 11.1.1 E59374-11 |
|
 前 |
 次 |
この章では、次の項目について説明します。
ノート:
この項では、コネクタの構成に関する、概念的な情報と手順の情報の両方を提供します。手順を実行する前に、概念的な情報を参照することをお薦めします。
参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
参照フィールド同期には、次のスケジュール済ジョブが使用されます。
SAP UM CommType参照リコンシリエーション
SAP UM Company参照リコンシリエーション
SAP UM ContractUserType参照リコンシリエーション
SAP UM DateFormat参照リコンシリエーション
SAP UM DecimalNot参照リコンシリエーション
SAP UM LangComm参照リコンシリエーション
SAP UM Parameter参照リコンシリエーション
SAP UM Profile参照リコンシリエーション
SAP UM Role参照リコンシリエーション
SAP UM Systems参照リコンシリエーション
SAP UM TimeZone参照リコンシリエーション
SAP UM Title参照リコンシリエーション
SAP UM UserGroup参照リコンシリエーション
SAP UM UserType参照リコンシリエーション
ノート:
参照フィールド同期のスケジュール済ジョブの実行前に、すべてのサードパーティ・ライブラリを次のディレクトリにコピーする必要があります。
OIM_HOME/xellerate/ConnectorDefaultDirectory/targetsystems-lib/sap-11.1.1.5.0
これらのスケジュール済ジョブの属性の値を指定できます。表3-1に、これらのスケジュール済ジョブの属性の説明を示します。スケジュール済ジョブの構成に、スケジュール済ジョブの構成手順を示します。
表3-1 参照フィールド同期のスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
コード・キー属性 |
コネクタまたはターゲット・システムの属性の名前。参照定義(Lookup Name属性の値として指定される)のコード・キー列に値を移入するために使用されます。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
ノート: この属性の値を変更しないでください。 |
デコード属性 |
参照定義のデコード列への移入に使用される、コネクタまたはターゲット・システムの属性名を入力します(参照名属性の値として指定)。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
フィルタ |
参照定義に格納されるレコードをフィルタ処理するフィルタを入力します。 Filter属性の詳細は、「制限付きリコンシリエーション」を参照してください。 |
ITリソース名 |
レコードをリコンサイルする元のターゲット・システム・インストールのITリソースの名前。 デフォルト値: |
参照名 |
ターゲット・システムからフェッチした値を設定する必要がある、Oracle Identity Managerの参照定義の名前を入力します。 ノート: この属性の値として指定する参照名がOracle Identity Managerに存在しない場合、スケジュール済ジョブの実行中にその参照定義が作成されます。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
オブジェクト・クラス |
リコンサイルするオブジェクトのクラスの名前を入力します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
オブジェクト・タイプ |
リコンサイルするオブジェクトのタイプの名前を入力します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
SAP BusinessObjects AC参照フィールド同期には、次のスケジュール済ジョブが使用されます。
SAP AC UM BusinessProcess参照リコンシリエーション
SAP AC UM CommType参照リコンシリエーション
SAP AC UM Company参照リコンシリエーション
SAP AC UM ContractUserType参照リコンシリエーション
SAP AC UM DateFormat参照リコンシリエーション
SAP AC UM DecimalNot参照リコンシリエーション
SAP AC FunctionalArea参照リコンシリエーション
SAP AC UM ItemProvAction参照リコンシリエーション
SAP AC UM LangComm参照リコンシリエーション
SAP AC UM Parameter参照リコンシリエーション
SAP AC UM Priority参照リコンシリエーション
SAP AC UM Profile参照リコンシリエーション
SAP AC UM ReqInitSystem参照リコンシリエーション
SAP AC UM RequestType参照リコンシリエーション
SAP AC UM Role参照リコンシリエーション
SAP AC UM Systems参照リコンシリエーション
SAP AC UM TimeZone参照リコンシリエーション
SAP AC UM Title参照リコンシリエーション
SAP AC UMユーザー削除リコンシリエーション
SAP AC UM UserGroup参照リコンシリエーション
SAP AC UMユーザー・リコンシリエーション
SAP AC UM UserType参照リコンシリエーション
これらのスケジュール済ジョブの属性の値を指定できます。表3-2に、これらのスケジュール済ジョブの属性の説明を示します。スケジュール済ジョブの構成に、スケジュール済ジョブの構成手順を示します。
表3-2 SAP BusinessObjects AC参照フィールド同期のスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
コード・キー属性 |
コネクタまたはターゲット・システムの属性の名前。参照定義(Lookup Name属性の値として指定される)のコード・キー列に値を移入するために使用されます。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
ノート: この属性の値を変更しないでください。 |
デコード属性 |
参照定義のデコード列への移入に使用される、コネクタまたはターゲット・システムの属性名を入力します(参照名属性の値として指定)。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
ITリソース名 |
レコードをリコンサイルする元のターゲット・システム・インストールのITリソースの名前。 デフォルト値: |
参照名 |
ターゲット・システムからフェッチした値を設定する必要がある、Oracle Identity Managerの参照定義の名前を入力します。 ノート: この属性の値として指定する参照名がOracle Identity Managerに存在しない場合、スケジュール済ジョブの実行中にその参照定義が作成されます。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
オブジェクト・クラス |
リコンサイルするオブジェクトのクラスの名前を入力します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
オブジェクト・タイプ |
リコンサイルするオブジェクトのタイプの名前を入力します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
ここでは、リコンシリエーション操作を実行する際に適用する必要があるガイドラインを示します。
リコンシエーションを構成する際には、次のガイドラインを適用してください。
SAP CUAでは、ターゲット・システムで直接作成されたアカウントは、リコンシエーション時にそのアカウントへの変更が検知されてOracle Identity Managerに取得される前に、マスター・システムに割り当てる必要があります。
Microsoft Windowsプラットフォームでは、リコンシエーション時にorg.quartz.SchedulerException例外が発生した場合、Microsoft WebサイトからMicrosoft Visual C++ 2005 SP1再配置可能パッケージをダウンロードしてインストールします。
コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。
このガイドで前述したように、リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Managerで複製することです。
この項では、リコンシリエーションの構成に関する次の項目について説明します。
完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Managerへリコンサイルします。コネクタをデプロイしたら、最初の完全リコンシリエーションを実行する必要があります。さらに、すべてのターゲット・システム・レコードをOracle Identity Managerで確実にリコンサイルする必要がある場合には、いつでも増分リコンシリエーションを完全リコンシリエーションに切り替えることができます。
完全リコンシリエーションを実行するには、Filter属性に値を指定しないでください。ただし、ユーザー・レコードをリコンサイルするには、スケジュール済ジョブで最新トークン属性の値を0 (ゼロ)に設定します:
リコンシリエーション実行の最後で、ユーザー・レコード・リコンシリエーションのスケジュール済ジョブの「最新のトークン」属性は、実行の終了した時点のタイムスタンプに自動的に設定されます。以降の実行からは、このタイムスタンプの後に作成または変更されたレコードのみがリコンシリエーションの対象になります。これが、増分リコンシリエーションです。
この項では、Lookup.SAPABAP.Configuration参照定義のbatchSize属性について説明します。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。
このような問題を避けるため、バッチ・リコンシリエーションを構成できます。
バッチ・リコンシリエーションを構成するには、「Oracle Identity Managerでの構成参照定義の設定」に記載されている手順の実行時に、次の属性の値を指定します:
batchSize: この属性は、各バッチに含めるレコード数を指定するために使用します。
バッチ・リコンシリエーションを構成した後で、バッチ・リコンシリエーションの実行中にリコンシリエーションが失敗した場合は、タスクの属性値を変更せずにスケジュール済タスクを再実行するだけです。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
コネクタには「フィルタ」属性が用意されており、これによってターゲット・システム・レコードをフィルタリングするためのリソース属性を使用できます。
このパラメータの構文は次のとおりです。
ノート:
<and>および<or>演算子のショートカットを使用できます。たとえば、and (<filter1>, <filter2>)ではなく、<filter1> & <filter2>とすることができ、同様に、orrを|に置き換えることもできます。
syntax = expression ( operator expression )*
operator = 'and' | 'or'
expression = ( 'not' )? filter
filter = ('equalTo' | 'contains' | 'containsAllValues' | 'startsWith'
| 'endsWith' | 'greaterThan' | 'greaterThanOrEqualTo' | 'lessThan'
| 'lessThanOrEqualTo' ) '(' 'attributeName' ',' attributeValue ')'
attributeValue = singleValue | multipleValues
singleValue = 'value'
multipleValues = '[' 'value_1' (',' 'value_n')* ']'
たとえば、リコンサイルされるアカウント数をアカウント名が一致するアカウントのみに制限する場合は、次の式を使用します。
equalTo('FirstName;ADDRESS','AP10A1')
コネクタをデプロイする際は、「スケジュール済ジョブの構成」の手順に従って属性値を指定します。
リコンシリエーション・スケジュール済ジョブを使用して、ターゲット・システムからユーザー・アカウント・データをリコンサイルできます。
次のスケジュール済タスクの属性の値を指定する必要があります。
SAP UM User Reconスケジュール済ジョブを使用して、ターゲット・システムからユーザー・データをリコンサイルします。表3-3に、このスケジュール済ジョブの属性の説明を示します。
表3-3 SAP UM User Reconスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
フィルタ |
レコードをフィルタリングする式。次の構文を使用します。 syntax = expression ( operator expression )*
operator = 'and' | 'or'
expression = ( 'not' )? filter
filter = ('equalTo' | 'contains' | 'containsAllValues'
| 'startsWith' | 'endsWith' | 'greaterThan' | 'greaterThanOrEqualTo'
| 'lessThan' | 'lessThanOrEqualTo' ) '(' 'attributeName' ',' attributeValue')'
attributeValue = singleValue | multipleValues
singleValue = 'value'
multipleValues = '[' 'value_1' (',' 'value_n')* ']'
デフォルト値: なし 詳細は、制限付きリコンシリエーションを参照してください。 |
増分リコンシリエーション属性 |
前回のリコンシリエーション実行が開始したときのタイムスタンプ デフォルト値: ノート: この属性に値を入力しないでください。リコンシリエーション・エンジンにより、この属性の値は自動的に入力されます。 |
ITリソース名 |
コネクタがデータのリコンサイルに使用する必要があるITリソース・インスタンスの名前 サンプル値: |
最新のトークン |
この属性は、前回のリコンシリエーションの実行が終了したときのタイムスタンプ(YYYYMMDDHHMMSS形式)を保持します。次のリコンシリエーション実行では、このタイムスタンプの後に追加または変更されたターゲット・システム・レコードのみがリコンシリエーションの対象になります。 連続したリコンシリエーションの実行では、コネクタによってこの属性の値が自動的に入力されます。しかし、この属性を使用して、増分リコンシリエーションから完全リコンシリエーションへ切り替えることができます。詳細は、完全リコンシリエーションおよび増分リコンシリエーションを参照してください。 ノート: リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 サンプル値: |
オブジェクト・タイプ |
リコンサイルするオブジェクトのタイプ デフォルト値: |
リソース・オブジェクト名 |
リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前 デフォルト値: |
スケジュール済タスク名 |
スケジュール済タスクの名前 デフォルト値: |
SAP UM User Delete Reconスケジュール済ジョブを使用して、削除されたユーザーのデータをターゲット・システムからリコンサイルします。表3-4に、このスケジュール済ジョブの属性の説明を示します。
表3-4 SAP UM User Delete Reconスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
ユーザーの無効化 |
コネクタにターゲット・システムで削除されたアカウントに対応する(Oracle Identity Managerでの)アカウントを無効にする場合、 デフォルト値: |
ITリソース名 |
コネクタがデータのリコンサイルに使用する必要があるITリソース・インスタンスの名前 サンプル値: |
オブジェクト・タイプ |
リコンサイルするオブジェクトのタイプ デフォルト値: |
リソース・オブジェクト名 |
リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前 デフォルト値: |
スケジュール済タスク名 |
スケジュール済タスクの名前 デフォルト値: |
同期トークン |
前回のリコンシリエーションの実行が終了したときのYYYYMMDDHHMMSS形式のタイムスタンプ(20120417123006など)。次のリコンシリエーション実行では、このタイムスタンプの後に削除されたターゲット・システム・レコードのみがリコンシリエーションの対象になります。 この属性が空白の値に設定されると、増分リコンシリエーション操作はすべてのレコードをフェッチします(完全リコンシリエーションが実行されます)。 ノート: この属性には値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 |
SAP AC UM User Reconスケジュール済ジョブを使用して、SAP BusinessObjects ACターゲット・システムからユーザーをリコンサイルします。表3-5に、このスケジュール済ジョブの属性の説明を示します。
表3-5 SAP AC UM User Reconスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
|
フィルタ |
レコードをフィルタリングする式。次の構文を使用します。 syntax = expression ( operator expression )*
operator = 'and' | 'or'
expression = ( 'not' )? filter
filter = ('equalTo' | 'contains' | 'containsAllValues'
| 'startsWith' | 'endsWith' | 'greaterThan' | 'greaterThanOrEqualTo'
| 'lessThan' | 'lessThanOrEqualTo' ) '(' 'attributeName' ',' attributeValue')'
attributeValue = singleValue | multipleValues
singleValue = 'value'
multipleValues = '[' 'value_1' (',' 'value_n')* ']'
デフォルト値: なし 詳細は、制限付きリコンシリエーションを参照してください。 |
|
増分リコンシリエーション属性 |
前回のリコンシリエーション実行が開始したときのタイムスタンプ デフォルト値: ノート: この属性に値を入力しないでください。リコンシリエーション・エンジンにより、この属性の値は自動的に入力されます。 |
|
ITリソース名 |
コネクタがデータのリコンサイルに使用する必要があるITリソース・インスタンスの名前 サンプル値: |
|
最新のトークン |
この属性は、前回のリコンシリエーションの実行が終了したときのタイムスタンプ(YYYYMMDDHHMMSS形式)を保持します。次のリコンシリエーション実行では、このタイムスタンプの後に追加または変更されたターゲット・システム・レコードのみがリコンシリエーションの対象になります。 連続したリコンシリエーションの実行では、コネクタによってこの属性の値が自動的に入力されます。しかし、この属性を使用して、増分リコンシリエーションから完全リコンシリエーションへ切り替えることができます。詳細は、完全リコンシリエーションおよび増分リコンシリエーションを参照してください。 ノート: リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 サンプル値: |
|
オブジェクト・タイプ |
リコンサイルするオブジェクトのタイプ デフォルト値: |
|
リソース・オブジェクト名 |
リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前 デフォルト値: |
|
スケジュール済タスク名 |
スケジュール済タスクの名前 デフォルト値: |
SAP AC UM User Delete Reconスケジュール済ジョブを使用して、SAP BusinessObjects ACターゲット・システムから削除されたユーザーをリコンサイルします。表3-6に、このスケジュール済ジョブの属性の説明を示します。
表3-6 SAP AC UM User Delete Reconスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
ITリソース名 |
コネクタがデータのリコンサイルに使用する必要があるITリソース・インスタンスの名前 デフォルト値: |
オブジェクト・タイプ |
リコンサイルするオブジェクトのタイプ デフォルト値: |
リソース・オブジェクト名 |
リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前 デフォルト値: |
スケジュール済タスク名 |
スケジュール済タスクの名前 デフォルト値: |
|
同期トークン |
前回のリコンシリエーションの実行が終了したときのYYYYMMDDHHMMSS形式のタイムスタンプ(20120417123006など)。次のリコンシリエーション実行では、このタイムスタンプの後に削除されたターゲット・システム・レコードのみがリコンシリエーションの対象になります。 この属性が空白の値に設定されると、増分リコンシリエーション操作はすべてのレコードをフェッチします(完全リコンシリエーションが実行されます)。 ノート: この属性には値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 デフォルト値: |
ユーザーの無効化 |
コネクタにターゲット・システムで削除されたアカウントに対応する(Oracle Identity Managerでの)アカウントを無効にする場合、 デフォルト値: |
SAP AC UMリクエスト・ステータス・スケジュール済ジョブを使用して、SAP BusinessObjects ACターゲット・システムからリクエスト・ステータスをリコンサイルします。表3-7に、このスケジュール済ジョブの属性の説明を示します。
表3-7 SAP AC UMリクエスト・ステータス・スケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
ITリソース名 |
コネクタがデータのリコンサイルに使用する必要があるITリソース・インスタンスの名前 デフォルト値: |
オブジェクト・タイプ |
リコンサイルするオブジェクトのタイプ デフォルト値: |
リソース・オブジェクト名 |
リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前 デフォルト値: |
スケジュール済タスク名 |
スケジュール済タスクの名前 デフォルト値: |
この項では、スケジュール済ジョブの構成手順について説明します。この手順は、参照フィールド同期およびリコンシリエーションのためのスケジュール済ジョブを構成する場合に適用できます。
スケジュール済ジョブとその属性の詳細は、「参照フィールド同期のスケジュール済ジョブ」、「SAP BusinessObjects AC参照フィールド同期のスケジュール済ジョブ」および「SAP UMコネクタのリコンシエーション・スケジュール済ジョブ」を参照してください。
スケジュール済ジョブを構成するには:
Oracle Identity Managerリリース11.1.1.xを使用している場合は、次のステップを実行します:
Oracle Identity System Administrationにログインします。
「Oracle Identity Managerセルフ・サービスへようこそ」ページの右上隅で、「拡張」をクリックします。
Oracle Identity Managerリリース11.1.2.xを使用している場合は、次のステップを実行します:
Oracle Identity System Administrationにログインします。
左ペインの「システム管理」で、「スケジューラ」をクリックします。
次のようにして、スケジュール済ジョブを検索して開きます。
Oracle Identity Manager拡張管理へようこそページの「システム管理」リージョンで、「スケジュール済ジョブの検索」をクリックします。
左ペインの「検索」フィールドに、スケジュール済ジョブの名前を検索基準として入力します。「拡張検索」をクリックして検索基準を指定することもできます。
左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
「ジョブの詳細」タブで、スケジュール済ジョブのパラメータを変更できます。
再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。
ノート:
スケジュール・タイプの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のジョブの作成を参照してください。
ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。
「ジョブの詳細」タブの「パラメータ」領域で、スケジュール済タスクの属性の値を指定します。
「適用」をクリックして変更を保存します。
ノート:
Identity System Administrationの「スケジューラのステータス」ページを使用して、スケジューラを起動、停止または再初期化できます。
ここでは、サポートされるデプロイメント構成のいずれかでプロビジョニング操作を実行する際に適用する必要があるガイドラインについて説明します。
プロビジョニングを使用してアカウントの作成と無効化を同時に実行する場合、「有効期限終了」属性の値を過去の日付に設定できます。たとえば、アカウントを7月31日に作成する場合でも、「有効期限終了」の日付を7月30日に設定できます。この値にすると、OIM Userにプロビジョニングされるリソースは、アカウントの作成後すぐに無効状態になります。
ただし、ターゲット・システムでアカウントの作成時に「有効期限終了」属性を現在の日付に設定すると、ターゲット・システムで「有効期限終了」が自動的に現在の日付に設定されます。このユーザー作成プロビジョニング操作の結果は次のようになります。
「有効期限終了」属性の値が、Oracle Identity Governanceとターゲット・システムで一致しません。
ターゲット・システムでは、ユーザーは現在の日付の間ずっとログインが可能です。ユーザーは翌日以降はログインできなくなります。
ターゲット・システムでユーザーをロックすることで、アカウントの作成日にユーザーがログインできなくすることも可能です。
ユーザー作成プロビジョニング操作中にパスワードまたはシステム割当が失敗すると、ユーザーは作成されません。
ロールやプロファイルなどの複数値属性をプロビジョニングしようとする際に、その属性がターゲット・システムですでにユーザーに設定されている場合、Oracle Identity Governanceでのプロセス・タスクのステータスが「完了」に設定されます。必要に応じて、この状況でステータスが「却下」と表示されるようにタスクを構成できます。プロセス・タスクの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のプロセス・タスクの変更に関する項を参照してください。
「ユーザーのロック」または「ユーザーのロック解除」プロビジョニング操作を実行する場合、コネクタは、アカウントが現在ロックされた状態かロック解除された状態かを確認せずに、ターゲット・システムで必要な変更を行います。これは、アカウントの現在の状態を確認する手段がターゲット・システムで提供されていないためです。
ターゲット・システムでは、電子メール・アドレスのフィールドに英語以外の文字を入力できません。したがって、プロビジョニング操作の間は、プロセス・フォームの電子メールのアドレス・フィールドには英語のみを入力してください。
Microsoft Windowsプラットフォームでは、プロビジョニング操作時にjava.lang.UnsatisfiedLinkError例外が発生した場合、Microsoft WebサイトからMicrosoft Visual C++ 2005 SP1再配置可能パッケージをダウンロードしてインストールします。
ここでは、コネクタのAccess Request Management機能を構成した後にプロビジョニング操作を実行する際に適用する必要があるガイドラインを示します。
Access Request Managementが構成されている場合にユーザーの作成操作を実行する際は、最初にプロセス・フォーム・データを送信します。子フォーム・データは、ターゲット・システムにユーザーが作成された後に送信します。これは、Access Request Managementが有効化されている場合、1回のユーザーの変更操作でコネクタがサポートするのは、プロセス・フォーム・フィールドまたは子フォーム・フィールドのいずれかの変更であるためです。
プロセス・フォームの次のフィールドは、SAP GRC Access Request Managementで必須のパラメータです。
ノート:
Access Request Management機能が構成されている場合、Oracle Identity System Administrationで必須フィールドとしてマークされていないフィールドであっても、必ず値を入力してください。
ACマネージャ
ACマネージャの電子メール
AC優先度
ACシステム
ACリクエスタID
ACリクエスタの電子メール
ACリクエストの理由
次のフィールドは、SAP GRCシステムの構成によって、必須である場合とオプションである場合があります。
ACマネージャの名
ACマネージャの姓
ACマネージャの電話
ACリクエスト・タイプの期日
AC機能領域
ACビジネス・プロセス
ACリクエスタの名
ACリクエスタの姓
ACリクエスタの電話
AC会社
このガイドで前述したように、SAP GRC Access Request Managementでは、パスワードが処理されません。したがって、「パスワード」フィールドに入力された値はすべて、「ユーザーの作成」プロビジョニング操作中は無視されます。ユーザーの作成操作の実行後、ターゲット・システムでアカウントを作成されたユーザーは、次のいずれかの方法に従ってパスワードを設定する必要があります。
Oracle Identity Governanceのパスワードをターゲット・システムのパスワードとして使用するには、Oracle Identity Governanceを介してパスワードを変更します。
ターゲット・システムに直接ログインして、パスワードを変更します。
ユーザーの有効化操作は、「有効期限開始」フィールドを未来の日付に設定して実行します。同様に、ユーザーの無効化操作は、「有効期限終了」フィールドを現在の日付に設定して実行します。どちらの操作も、ユーザーの変更操作として処理されます。
Oracle Identity System Administration(プロセス・フォーム)でユーザー(アカウント)を削除すると、「ユーザーの削除」リクエストが作成されます。
プロセス・フォームで「ユーザーのロック」チェック・ボックスを選択すると、「ユーザーのロック」リクエストが作成されます。
プロセス・フォームで「ユーザーのロック」チェック・ボックスの選択を解除すると、「ユーザーのロック解除」リクエストが作成されます。
ユーザーの有効化およびユーザーの無効化操作は、プロセス・フォームの「有効期限開始」および「有効期限終了」フィールドを介して実装されます。
「ユーザーの変更」操作では、SAP GRC Access Request Managementでマップされるパラメータおよびターゲット・システムで直接更新されるパラメータの値を指定できます。これらの参照定義にマッピングが存在するパラメータに対してのみ、SAP GRC Access Request Managementでリクエストが作成されます。これらの参照定義に存在しないパラメータの値を指定した場合、値はコネクタから直接ターゲット・システムに送信されます。
GRCサーバー上でSAP UM ACアカウントに対するグループの割当てまたは取消し操作を実行できません。グループはSAP ECCシステム(バックエンドABAPシステム)内で管理する必要があります。
「ユーザーの作成」ページを使用して、Oracle Identity Self Serviceに新規ユーザーを作成できます。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。
Oracle Identity Managerリリース11.1.2.xでプロビジョニング操作を構成するには:
ノート:
このコネクタを使用して最初にプロビジョニング操作を実行する場合、完了するには通常より長い時間が必要となります。
Oracle Identity System Administrationにログインします。
サンドボックスを作成してアクティブ化します。サンドボックスの作成およびアクティブ化の詳細な手順は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのサンドボックスの管理を参照してください。
アプリケーション・インスタンスを作成して、「アプリケーション・インスタンスの作成」ページで次のフィールドに値を指定します。『Oracle Fusion Middleware Oracle Identity Managerの管理』のアプリケーション・インスタンスの作成に関する項を参照してください。
名前: アプリケーション・インスタンスの名前。
表示名: アプリケーション・インスタンスの表示名。
説明: アプリケーション・インスタンスの説明。
リソース・オブジェクト: リソース・オブジェクト名。このフィールドの横にある検索アイコンをクリックし、「SAP UM Resource Object」を検索して選択します。
ITリソース・インスタンス: ITリソース・インスタンス名。このフィールドの横にある検索アイコンをクリックし、「SAP UM IT Resource」を検索して選択します。
フォーム: フォーム名(SAPUMなど)を選択します。これを行うには、フォーム・リストに対して「作成」をクリックし、フォーム名を指定して作成します。「アプリケーション・インスタンスの作成」ページで、「フォーム」フィールドの横にある「リフレッシュ」アイコンをクリックします。このリストから、作成したフォーム名を選択します。
サンドボックスを公開します。
参照フィールド同期を実行します。
権限リスト・スケジュール済ジョブを検索して実行し、ENT_LIST表を移入します。
アプリケーション・インスタンス(ステップ3で作成)を組織に公開します。これを行うには:
「アプリケーション・インスタンス」ページの「組織」タブで、「割当て」をクリックします。
「組織の選択」ダイアログ・ボックスで、アプリケーション・インスタンスを公開する組織を選択します。
「権限に適用」チェック・ボックスを選択します。
「OK」をクリックします。
カタログ同期化ジョブ・スケジュール済ジョブを検索して実行します。
Oracle Identity System Administrationにログインします。
ユーザーを作成します。ユーザー作成の詳細は、Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行のユーザーの管理を参照してください。
「アカウント」タブで、「アカウントのリクエスト」をクリックします。
「カタログ」ページで、ステップ3で作成したアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。
アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします
「送信」をクリックします。
権限をプロビジョニングする場合は、次の手順を実行します。
「権限」タブで、「権限のリクエスト」をクリックします。
「カタログ」ページで、権限を検索してカートに追加し、「チェックアウト」をクリックします。
「送信」をクリックします。
OIMユーザーのリソースのプロビジョニングでは、Oracle Identity Managerを使用して、そのユーザーのターゲット・システム・アカウントを作成します。
次にプロビジョニング操作のタイプを示します。
ダイレクト・プロビジョニング
アカウントのリクエストベースのプロビジョニング
権限のリクエストベースのプロビジョニング
ポリシー変更でトリガーされるプロビジョニング
この項の内容は次のとおりです。
SoD有効環境で実行されるプロビジョニング操作では、次の一連のステップが行われます。
プロビジョニング操作によって、適切なアダプタがトリガーされます。
権限データがSAP BusinessObjects SoD Invocation Library (SIL) ProviderからSAP BusinessObjects ACのWebサービスに渡されます。
SAP BusinessObjects ACが権限データについてSoD検証プロセスを実行した後、プロセスのレスポンスがOracle Identity Managerに返されます。
レスポンスを受け取ったプロセス・タスクのステータスは、レスポンスそのものによって異なります。権限データがSoD検証プロセスをクリアすると、アダプタがプロビジョニング・データを対応するターゲット・システムのBAPIに搬送し、プロセス・タスクのステータスが「完了」に変わります。これは、権限がユーザーに付与されることを意味します。SoD検証プロセスから失敗のレスポンスが返されると、プロセス・タスクのステータスは「取消」に変わります。
ここでは、SoD有効環境でプロビジョニング操作を実行する際に適用する必要があるガイドラインについて説明します。
プロビジョニングを介してユーザーにロールを割り当てる場合、次の属性の値を設定します。
ロール・システム名
ロール名
開始日
終了日
ただし、ロール割当てを更新する場合、値を指定できるのは「開始日」および「終了日」属性のみです。「ロール・システム名」および「ロール名」属性には新しい値を設定できません。これは追加する新しい子フォームにも適用されます。
可能なのは、プロファイルを割り当てることのみです。割り当てられたプロファイルを更新することはできません。
この項では、ダイレクト・プロビジョニングを実行する前提条件と手順について説明します。この章の内容は、次のとおりです。
ノート:
この項の手順は、次の状況でのみ実行します。
ダイレクト・プロビジョニングを初めて実行する場合。
リクエストベースのプロビジョニングからダイレクト・プロビジョニングに切り替える場合。
コネクタ・インストーラを実行すると、SAPユーザー・アカウントのダイレクト・プロビジョニングの構成がインストールされます。ダイレクト・プロビジョニング中にプロセス・フォームは表示されますが、プロセス・フォームの使用が有効化されないかぎり、コネクタはダイレクト・プロビジョニング操作を完了できません。ダイレクト・プロビジョニング中にプロセス・フォームの使用を有効化する場合は、この項で後述する手順を実行してください。
ダイレクト・プロビジョニング中にプロセス・フォームの使用を有効化するには:
ノート:
この手順を実行すると、リクエストベースのプロビジョニングが無効になります。
Design Consoleにログインします。
次の手順で、「Auto Save Form」機能を無効にします。
「Process Management」を開いて「Process Definition」をダブルクリックします。
SAP UMプロセス・フォーム・プロセス定義を検索して開きます。
「Auto Save Form」チェック・ボックスを選択解除します。
「Save」アイコンをクリックします。
「Self Request Allowed」機能が有効になっている場合は、次の操作を行います。
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
SAP UM Resource Objectリソース・オブジェクトを検索して開きます。
「Self Request Allowed」チェック・ボックスを選択解除します。
「Save」アイコンをクリックします。
ダイレクト・プロビジョニングの手法を使用してリソースをプロビジョニングするには:
Oracle Identity System Administrationにログインします。
まずOIMユーザーを作成してから、ターゲット・システム・アカウントをプロビジョニングする場合は、次の操作を行います。
「アイデンティティ管理へようこそ」ページの「ユーザー」リージョンで、「ユーザーの作成」をクリックします。
「ユーザーの作成」ページで、OIMユーザーのフィールドの値を入力し、「保存」をクリックします。
ターゲット・システム・アカウントを既存のOIMユーザーにプロビジョニングする場合は、次の操作を行います。
「アイデンティティ管理へようこそ」ページで、左ペインのドロップダウン・リストから「ユーザー」を選択してOIMユーザーを検索します。
検索結果に表示されたユーザーのリストから、OIMユーザーを選択します。右ペインに、ユーザー詳細ページが表示されます。
ユーザー詳細ページで、「リソース」タブをクリックします。
「アクション」メニューから「リソースの追加」を選択します。あるいは、プラス(+)記号の付いた「リソースの追加」アイコンをクリックします。「ユーザーへのリソースのプロビジョニング」ページが新しいウィンドウに表示されます。
「ステップ1: リソースの選択」ページで、リストから「SAP UM Resource Object」を選択し、「続行」をクリックします。
「ステップ2: リソースの選択の検証」ページで「続行」をクリックします。
ステップ5: プロセス・データのプロセス・データの指定」ページで、ターゲット・システムで作成するアカウントの詳細を入力し、「続行」をクリックします。
ステップ5: プロファイル・データのプロセス・データの指定」ページで、ターゲット・システムでユーザーのプロファイルを検索して選択し、「続行」をクリックします。
ステップ5: ロール・データのプロセス・データの指定」ページで、ターゲット・システムでユーザーのロールを検索して選択し、「続行」をクリックします。
「ステップ6: プロセス・データの検証」ページで、指定したデータを確認して「続行」をクリックします。
「プロビジョニングは開始されています。」というメッセージが表示されます。このメッセージが表示されたウィンドウを閉じます。
ユーザーの詳細ページの「リソース」タブで、「リフレッシュ」をクリックして、新規にプロビジョニングしたリソースを表示します。
実行されたプロセス・タスクの詳細を表示する、「リソース・プロビジョニングの詳細」ページを表示するには:
ユーザーの詳細ページの「リソース」タブで、「アクション」メニューから「リソース履歴」を選択します。
「SoDチェックのステータス」フィールドが更新され、「SoDチェックが完了しました」ステータスになります。
リソースをユーザーに割り当てる管理者は、違反が検出されたときにプロセスを停止するか、割当てデータを変更して再送信することができます。割当てデータを変更するには、ユーザーの詳細ページの「リソース」タブで、リソースを含む行を選択し、「オープン」をクリックします。
表示される「フォームの編集」ウィンドウで、前に選択したロールとプロファイルのデータを変更することができます。
ノート:
「フォームの編集」ウィンドウで一連の権限を変更するには、まずすべての権限を削除してから、使用する権限を追加してください。
次のスクリーンショットでは、前に選択したロールの1つが削除対象としてマークされています。
リスク分析Webサービスを起動した後、SoD検証プロセスの結果がOracle Identity Managerに渡されます。プロセス・フォームを開くと、ステップ17のスクリーンショットに示すように結果が表示されます。
リクエストベースのプロビジョニングでは、エンド・ユーザーが管理およびユーザー・コンソールを使用して、リソースのリクエストを作成します。管理者または他のユーザーが、特定のユーザーのためにリクエストを作成することもできます。リソース上の特定のリソースのリクエストを確認して承認できるのは、Oracle Identity Managerで指名された承認者です。
リクエストベースのプロビジョニング操作には、エンドユーザーと承認者の両方が関係します。通常、承認者はリクエスト発行者の上司です。この項で説明するリクエストベースのプロビジョニング・プロセスは、両者が実行するステップを含んでいます。
この項の例では、エンドユーザーがターゲット・システムの2つのロールに対するリクエストを作成します。リクエストはSoD検証をクリアし、承認者によって承認されます。
次の各項では、リクエストベースのプロビジョニングについて詳細を説明します。
リクエストベースのプロビジョニングのタイプは次のとおりです。
アカウントのリクエストベースのプロビジョニング: OIMユーザーが作成されますが、作成時にターゲット・システム・リソースはプロビジョニングされません。かわりに、ユーザー自身がアカウントのプロビジョニングのリクエストを発行します。
権限のリクエストベースのプロビジョニング: (ダイレクト・プロビジョニングまたはリクエストベース・プロビジョニングによって)ターゲット・システム・リソースがプロビジョニングされたOIMユーザーが、権限のプロビジョニングのリクエストを発行します。
次のステップは、リクエストベースのプロビジョニング操作でエンドユーザーによって実行されます。
この項では、リクエストベースのプロビジョニング操作での承認者の役割について説明します。
リクエストが割り当てられている承認者は、「保留中の承認」機能を使用してリクエストの詳細を確認することができます。
また、承認者は「表示」リンクをクリックして、SoD検証プロセスの詳細を確認できます。
承認者は、SoDエンジンがリクエストを受け入れたか拒否したかに関係なく、リクエストの承認または拒否を決めることができます。承認者はリクエストの権限を変更することもできます。
次のステップは、リクエストベースのプロビジョニング操作で承認者によって実行されます。
リコンシリエーションとプロビジョニングのためにターゲット・システムをSAP ERPとSAP CUAで切り替えることができます。
次の各項では、SAP ERPターゲット・システムとSAP CUAターゲット・システムを切り替える手順について説明します。
リコンシリエーションのためにSAP R/3ターゲット・システムとSAP CUAターゲット・システムを切り替えるには:
SAP R/3またはSAP CUAターゲット・システムからSAP BusinessObjects ACターゲット・システムへ切り替えることができます。逆方向に切り替えることもできます。
SAP R/3またはSAP CUAターゲット・システムからSAP BusinessObjects ACターゲット・システムに切り替える場合、およびその逆の場合、次のステップを実行します。
ノート:
この項の手順は、Oracle Identity Managerリリース11.1.1を使用している場合のみ実行します。「リクエストベースのプロビジョニングの有効化」で説明した手順を実行したことを想定します。
次の項では、リクエストベースのプロビジョニングとダイレクト・プロビジョニングを切り替えるために実行するステップについて説明します:
リクエストベースのプロビジョニングからダイレクト・プロビジョニングに切り替えるには:
Design Consoleにログインします。
次の手順で、「Auto Save Form」機能を無効にします。
「Process Management」を開いて「Process Definition」をダブルクリックします。
SAP UMプロセス・フォーム・プロセス定義を検索して開きます。
「Auto Save Form」チェック・ボックスを選択解除します。
「Save」アイコンをクリックします。
「Self Request Allowed」機能が有効になっている場合は、次の操作を行います。
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
SAP UM Resource Objectリソース・オブジェクトを検索して開きます。
「Self Request Allowed」チェック・ボックスを選択解除します。
「Save」アイコンをクリックします。
ダイレクト・プロビジョニングからリクエストベースのプロビジョニングに切り替えるには:
Design Consoleにログインします。
次の手順で、自動保存フォーム機能を有効にします。
「Process Management」を開いて「Process Definition」をダブルクリックします。
SAP UMプロセス・フォーム・プロセス定義を検索して開きます。
「Auto Save Form」チェック・ボックスを選択します。
「Save」アイコンをクリックします。
エンドユーザーが自分自身に対するリクエストを生成できるようにするには、次の手順を実行します。
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
SAP UM Resource Objectリソース・オブジェクトを検索して開きます。
「Self Request Allowed」チェック・ボックスを選択します。
「Save」アイコンをクリックします。
