| Oracle Identity Manager RSA Authentication Managerコネクタ・ガイド リリース11.1.1 E59376-01 |
|
 前へ |
 次へ |
| Oracle Identity Manager RSA Authentication Managerコネクタ・ガイド リリース11.1.1 E59376-01 |
|
前へ |
次へ |
Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerコネクタは、Oracle Identity Managerと外部のアイデンティティ認識アプリケーションの統合に使用されます。このマニュアルは、Oracle Identity Managerの管理対象(ターゲット)リソースとしてRSA認証マネージャを使用できるようにするコネクタについて説明します。
|
注意: このマニュアルでは、RSA認証マネージャのことをターゲット・システムと記載している部分があります。 |
コネクタのアカウント管理(ターゲット・リソース)モードでは、ターゲット・システム上で直接作成または変更されたユーザーに関する情報をOracle Identity Managerにリコンサイルできます。また、Oracle Identity Managerを使用して、ターゲット・システムでプロビジョニング操作を実行できます。
この章では、次の項目について説明します。
表1-1に、ターゲット・システムの動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
| 項目 | 要件 |
|---|---|
|
Oracle Identity Manager |
Oracle Identity Managerの次のリリースのいずれかを使用できます。
|
|
RSA Authentication Manager 8.0 |
|
|
コネクタ・サーバー |
11.1.2.1.0 |
使用しているOracle Identity Managerバージョンに応じて、次のコネクタのいずれかをデプロイして使用する必要があります。
Oracle Identity Manager 11g リリース2 (11.1.2.0.0)より前のOracle Identity Managerリリースを使用している場合、このコネクタの9.1.0.xバージョンを使用する必要があります。ただし、RSA Authentication Manager 6.0、6.1または6.1.2を使用している場合は、このコネクタの9.0.4.xバージョンを使用する必要があります。
Oracle Identity Manager 11gリリース2以降を使用している場合は、このコネクタの11.1.1.xバージョンを使用する必要があります。ただし、RSA Authentication Manager 7.1 SP3以降を使用している場合は、このコネクタの9.1.0.xバージョンを使用する必要があります。
このコネクタでは次の言語がサポートされます。
アラビア語
中国語(簡体字)
中国語(繁体字)
チェコ語
デンマーク語
オランダ語
英語(イギリス)
英語(アメリカ合衆国)
フィンランド語
フランス語
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ノルウェー語
ポーランド語
ポルトガル語
ポルトガル語(ブラジル)
ルーマニア語
ロシア語
スロバキア語
スペイン語
スウェーデン語
タイ語
トルコ語
|
関連項目: サポートされる特殊文字の詳細は、Oracle Fusion Middleware Oracle Identity Manager開発者ガイドを参照してください。 |
図1-1に、コネクタのアーキテクチャを示します。
RSA認証マネージャ・コネクタは、アイデンティティ・コネクタ・フレームワーク(ICF)を使用して実装されます。ICFは、すべてのOracle Identity Managerコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供するコンポーネントです。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFは、Oracle Identity Managerに付属しています。したがって、ICFを構成したり変更する必要はありません。
このコネクタは、Oracle Identity Managerを通じてRSA認証マネージャのユーザーとトークンを管理するために使用されます。このコネクタはOracle Identity Managerとターゲット・システムをJava APIを使用して統合します。
ターゲット・システムは、アカウント管理モードで実行するように構成できます。アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。
プロビジョニング:
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザーおよびトークンを作成、更新または削除します。コネクタはJava APIを使用してRSA AMサーバーに接続し、アカウントおよびトークンをプロビジョニングします。
トークンのプロビジョニング操作も同じ方法で実行されます。Oracle Identity Managerアダプタの別個のセットが、トークンのプロビジョニング操作中に使用されます。
ユーザーのプロビジョニング中に、作成/更新操作で受信されたデータはターゲット・システムAPIに渡されます。RSA APIはプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをアダプタに返します。コネクタはレスポンスをOracle Identity Managerに返します。
ターゲット・ソース・リコンシリエーション:
リコンシリエーション中に、コネクタはターゲット・システムで直接作成または変更されたユーザーに関するデータをOracle Identity Managerにフェッチします(スケジュールされたジョブを使用)。このデータは、OIMユーザーに割り当てられたリソースの追加または変更に使用されます。
同様に、リコンシリエーション中に、RSA APIはフィルタを含む検索条件を受け入れ、レコードをコネクタに返します。コネクタはターゲットでのユーザー、トークン、ロール、グループ、アイデンティティ・ソース、セキュリティ・ドメイン、およびRADIUSプロファイルの検索をサポートします。
コネクタの機能は次のとおりです。
コネクタを使用してRSA認証マネージャのユーザー・アカウントとトークンのリコンシリエーションおよびプロビジョニングを行うことができます。コネクタはユーザー・アカウントとトークンの操作用に、別個のプロセス・フォームとリソース・オブジェクトを提供します。
完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Managerにフェッチされます。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Managerにフェッチされます。
コネクタのデプロイ後はいつでも、増分リコンシリエーションから完全リコンシリエーションへ切り替えることができます。
詳細は、第3.3.1項「完全リコンシリエーションの実行」を参照してください。
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。
詳細は、第3.3.3項「バッチ・リコンシリエーション」を参照してください。
リコンシリエーション実行時に、Oracle Identity Managerにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
詳細は、第3.3.2項「制限付きリコンシリエーション」を参照してください。
Account StartおよびAccount Expireはターゲット・システムでの2つのユーザー属性です。ターゲット・システムの特定のユーザーに対し、「アカウント有効期限」が現在の日付より前の場合、アカウントは無効状態です。それ以外の場合、アカウントは有効状態です。このユーザーのレコードがOracle Identity Managerにリコンサイルされると、Oracle Identity Managerでのユーザーの状態(RSAリソース)はターゲット・システムでのユーザーの状態と一致します。また、プロビジョニング操作を介して、「アカウント有効期限」の値を現在の日付または過去の日付に設定することもできます。
または、Oracle Identity Managerで「アカウント」ページを検索して開くこともできます。ユーザー・アカウントまたはトークンを有効化または無効化するには、「有効化」/「無効化」をクリックします。
|
注意: ユーザー・アカウントおよびトークンの有効状態または無効状態は、アカウントのロック状態またはロック解除状態とは関係ありません。 |
削除されたユーザー・アカウントと未割当てトークンのリコンシリエーション用にコネクタを構成できます。ターゲット・リソース・モードで、ユーザー・レコードがターゲット・システムで削除された場合、またはトークンがターゲット・システムで割当て解除された場合、対応するRSAリソースはOIMユーザーから削除されます。
削除されたユーザー・レコードのリコンサイルに使用されるスケジュール済ジョブの詳細は、第3.3.4.2項「削除されたトークンおよびユーザー・レコードのリコンシリエーション用のスケジュール済ジョブ」を参照してください。
コネクタは、Oracle Identity Managerとターゲット・システム間でのEJBベースの通信をサポートします。これはセキュアな通信です。ITリソースのconnectionTypeパラメータを使用して、ターゲット・システムと確立する通信のタイプ(EJB)を指定できます。
デフォルト属性マッピングのリストに含まれない属性に対してマッピングを作成できます。これらの属性は、ターゲット・システムに追加するカスタム属性のこともあります。
詳細は、第4章「コネクタの機能拡張」を参照してください。
リコンシリエーションおよびプロビジョニング時にOracle Identity Managerとの間で移動または送信されるアカウント・データの検証を構成できます。さらに、リコンシリエーション時にOracle Identity Managerに移動されるアカウント・データの変換も構成できます。
この項の内容は次のとおりです。
コネクタを使用して、次のものを設定できます。
ユーザーに割り当てられるトークンのPIN。
トークン・デバイスが失われたときのToken Lost属性。
接続プールは、ターゲットへの物理的な接続を表すオブジェクトのキャッシュです。Oracle Identity Managerコネクタは、これらの接続を使用してターゲット・システムと通信できます。実行時には、アプリケーションがプールに接続をリクエストします。接続が使用可能であれば、コネクタがその接続を使用してからプールに戻します。プールに戻された接続は、コネクタが別の操作のために再びリクエストして使用することができます。接続プールは、接続の再利用を可能にし、ネットワーク待機時間、メモリー割当ておよび認証といった接続作成のオーバーヘッドを減らすことに役立っています。
ITリソースごとに1つの接続プールが作成されます。たとえば、ターゲット・システムの3つのインストールに3つのITリソースがある場合は、ターゲット・システム・インストールごとに1つずつ、3つの接続プールが作成されます。
詳細は、第2.3.1.5項「接続プーリングの参照定義の設定」を参照してください。
リコンシリエーションおよびプロビジョニング時に使用される参照定義は、次のカテゴリに分類できます。
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を指定します。たとえば、管理およびユーザー・コンソールで実行されるプロビジョニング操作中に、「アイデンティティ・ソース」参照フィールドを使用して、アイデンティティ・ソースを選択します。コネクタをデプロイすると、ターゲット・システムの参照フィールドに対応する参照定義が、Oracle Identity Managerに自動的に作成されます。参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
次の参照定義に、参照フィールド同期スケジュール済ジョブによってターゲット・システムからフェッチされた値が移入されます。
Lookup.RSAAM.UserGroup参照定義は、RSA認証マネージャで定義されたユーザー・グループの詳細を含みます。この参照定義は、RSAAM UserGroup参照定義リコンシリエーション・スケジュール済ジョブを使用して実行される参照フィールド同期により、移入されます。
次に、この参照定義のエントリの形式を示します。
コード・キー: IT_RESOURCE_KEY~GROUP_GUID
この形式の詳細は次のとおりです。
IT_RESOURCE_KEYは、Oracle Identity ManagerでITリソースに割り当てられたキーです。
GROUP_GUIDは、ターゲットシステムのグループのGUIDです。
デコード: IT_RESOURCE_NAME~IDENTITY_SOURCE_NAME~SECURITY_DOMAIN_NAME~GROUP_NAME
この形式の詳細は次のとおりです。
IT_RESOURCE_NAMEは、Oracle Identity ManagerでITリソースに割り当てられた名前です。
IDENTITY_SOURCE_NAMEは、ターゲットシステムのアイデンティティ・ソースの名前です。
SECURITY_DOMAIN_NAMEは、ターゲットシステムのセキュリティ・ドメインの名前です。
GROUP_NAMEは、ターゲットシステムのグループの名前です。
次の表にこの参照定義のサンプルのエントリを示します。
| コード・キー | デコード |
|---|---|
|
41~ims.898afd743afcb10a1b20d2688a0b14be |
RSAサーバー・インスタンス~内部データベース~SecDom1a~Group1 |
|
41~ims.2820d78e3afcb10a1bc9883fa4aedc51 |
RSAサーバー・インスタンス~内部データベース~SystemDomain~Group3 |
|
41~ims.3139e7eb3afcb10a1bc8f2e9afd7a77e |
RSAサーバー・インスタンス~内部データベース~SystemDomain~Group2 |
RSA認証マネージャでは、アイデンティティ・ソースは、デフォルトの内部データベース、LDAPベース・ソリューション、データベースのいずれかになります。Lookup.RSAAM.IdentitySource参照定義は、ターゲット・システム・インストール用に構成されたアイデンティティ・ソースの詳細を含みます。この参照定義は、RSAAM IdentitySource参照定義リコンシリエーション・スケジュール済ジョブを使用して実行される参照フィールド同期により、移入されます。
次に、この参照定義のエントリの形式を示します。
コード・キー: IT_RESOURCE_KEY~IDENTITY_SOURCE_GUID
この形式の詳細は次のとおりです。
IT_RESOURCE_KEYは、Oracle Identity ManagerでITリソースに割り当てられたキーです。
IDENTITY_SOURCE_GUIDは、ターゲットシステムのアイデンティティ・ソースのGUIDです。
デコード: IT_RESOURCE_NAME~IDENTITY_SOURCE_NAME
この形式の詳細は次のとおりです。
IT_RESOURCE_NAMEは、Oracle Identity ManagerでITリソースに割り当てられた名前です。
IDENTITY_SOURCE_NAMEは、ターゲットシステムのアイデンティティ・ソースの名前です。
次の表にこの参照定義のサンプルのエントリを示します。
| コード・キー | デコード |
|---|---|
|
1~ ims.000000000000000000001000d0011000 |
RSAサーバー・インスタンス~内部データベース |
RSA認証マネージャのコンテキストでは、セキュリティ・ドメインは、組織の部署などの社内事業単位を表します。これらのセキュリティ・ドメインは階層で編成されます。この参照定義は、RSAAM SecurityDomain参照定義リコンシリエーション・スケジュール済ジョブを使用して実行される参照フィールド同期により、移入されます。
Lookup.RSAAM.SecurityDomain参照定義には、セキュリティ・ドメインのGUIDおよび名前が格納されます。
次に、この参照定義のエントリの形式を示します。
コード・キー: IT_RESOURCE_KEY~SECURITY_DOMAIN_GUID
この形式の詳細は次のとおりです。
IT_RESOURCE_KEYは、Oracle Identity ManagerでITリソースに割り当てられたキーです。
SECURITY_DOMAIN_GUIDは、ターゲットシステムのセキュリティ・ドメインのGUIDです。
デコード: IT_RESOURCE_NAME~SECURITY_DOMAIN_NAME
この形式の詳細は次のとおりです。
IT_RESOURCE_NAMEは、Oracle Identity ManagerでITリソースに割り当てられた名前です。
SECURITY_DOMAIN_NAMEは、ターゲットシステムのセキュリティ・ドメインの名前です。
次の表にこの参照定義のサンプルのエントリを示します。
| コード・キー | デコード |
|---|---|
|
1~ims.000000000000000000001000e0011000 |
RSAサーバー・インスタンス~SystemDomain |
|
1~ims.6de7d3c19e3714ac017cfd3c69eec20e |
RSAサーバー・インスタンス~Domain1 |
|
1~ims.6e3dc8939e3714ac02019a05130a8285 |
RSAサーバー・インスタンス~Domain2 |
RSA認証マネージャでは、管理ロールは、管理者に割り当てることのできる権限の集まりです。これにより管理者がユーザー、ユーザー・グループ、およびその他のエンティティに対して持つ制御のレベルが決定されます。この参照定義は、RSAAM AdminRole参照定義リコンシリエーション・スケジュール済ジョブを使用して実行される参照フィールド同期により、移入されます。
Lookup.RSAAM.AdminRole参照定義には、管理ロールの詳細が格納されます。次に、この参照定義のエントリの形式を示します。
コード・キー: IT_RESOURCE_KEY~ROLE_GUID
この形式の詳細は次のとおりです。
IT_RESOURCE_KEYは、Oracle Identity ManagerでITリソースに割り当てられたキーです。
ROLE_GUIDは、ターゲットシステムのロールのGUIDです。
デコード: IT_RESOURCE_NAME~SECURITY_DOMAIN_NAME~ROLE_NAME
この形式の詳細は次のとおりです。
IT_RESOURCE_NAMEは、Oracle Identity ManagerでITリソースに割り当てられた名前です。
SECURITY_DOMAIN_NAMEは、ターゲットシステムのセキュリティ・ドメインの名前です。
ROLE_NAMEは、ターゲットシステムのロールの名前です。
次の表にこの参照定義のサンプルのエントリを示します。
| コード・キー | デコード |
|---|---|
|
41~ims.000000000000000000002000f0035001 |
RSAサーバー・インスタンス~SystemDomain~Auth Mgr Root Domain Admin |
|
41~ims.000000000000000000001000e0031001 |
RSAサーバー・インスタンス~SystemDomain~TrustedRealmAdminRole |
RSA認証マネージャでは、トークンのシリアル番号は各トークンに与えられた一意の識別番号です。この参照定義は、RSAAM TokenSerial参照リコンシリエーション・スケジュール済ジョブを使用して実行される参照フィールド同期により、移入されます。
Lookup.RSAAM.TokenSerial参照定義には、トークンのシリアルの詳細が格納されます。次に、この参照定義のエントリの形式を示します。
コード・キー: IT_RESOURCE_KEY~TOKEN_SERIAL_NUMBER
この形式の詳細は次のとおりです。
IT_RESOURCE_KEYは、Oracle Identity ManagerでITリソースに割り当てられたキーです。
TOKEN_SERIAL_NUMBERは、ターゲットシステムのトークンに割り当てられた番号です。
デコード: IT_RESOURCE_NAME~SECURITY_DOMAIN_NAME~TOKEN_SERIAL_NUMBER
この形式の詳細は次のとおりです。
IT_RESOURCE_NAMEは、Oracle Identity ManagerでITリソースに割り当てられた名前です。
SECURITY_DOMAIN_NAMEは、ターゲットシステムのセキュリティ・ドメインの名前です。
TOKEN_SERIAL_NUMBERは、ターゲットシステムのトークンに割り当てられた番号です。
次の表にこの参照定義のサンプルのエントリを示します。
| コード・キー | デコード |
|---|---|
|
41~000221996071 |
RSAサーバー・インスタンス~SecDom2a~000221996071 |
|
41~000221996081 |
RSAサーバー・インスタンス~SystemDomain~000221996081 |
RSA認証マネージャでは、radiusプロファイルは、RADIUSを使用したユーザーの認証に必要なセッションを指定する属性の集まりです。これらの属性は、チェックリストまたはリターン・リストに含まれています。この参照定義は、RSAAM RadiusProfile参照定義リコンシリエーション・スケジュール済ジョブを使用して実行される参照フィールド同期により、移入されます。
Lookup.RSAAM.RadiusProfile参照定義には、radiusプロファイルの詳細が格納されます。次に、この参照定義のエントリの形式を示します。
コード・キー: IT_RESOURCE_KEY~RADIUS_PROFILE_GUID
この形式の詳細は次のとおりです。
IT_RESOURCE_KEYは、Oracle Identity ManagerでITリソースに割り当てられたキーです。
RADIUS_PROFILE_GUIDは、ターゲットシステムのradiusプロファイルのGUIDです。
デコード: IT_RESOURCE_NAME~SECURITY_DOMAIN_NAME~RADIUS_PROFILE_NAME
この形式の詳細は次のとおりです。
IT_RESOURCE_NAMEは、Oracle Identity ManagerでITリソースに割り当てられた名前です。
SECURITY_DOMAIN_NAMEは、ターゲットシステムのセキュリティ・ドメインの名前です。
RADIUS_PROFILE_NAMEは、ターゲットシステムのプロファイルの名前です。
次の表にこの参照定義のサンプルのエントリを示します。
| コード・キー | デコード |
|---|---|
|
41~ims.a0f646313afcb10a1ba80b1af3204720 |
RSAサーバー・インスタンス~SystemDomain~RAD_PROF2 |
|
41~ims.6b630bf63afcb10a1bc062fe04d92672 |
RSAサーバー・インスタンス~SystemDomain~RAD_PROF1 |
この項では、コネクタのデプロイ時にOracle Identity Managerに作成されるその他の参照定義について説明します。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。その他の参照定義は次のとおりです。
Lookup.RSAAM.Configuration参照定義は、ターゲット・リソースのリコンシリエーションおよびプロビジョニング操作で使用されるコネクタ構成エントリを含みます。
表1-2に、この参照定義のデフォルト・エントリを示します。
表1-2 Lookup.RSAAM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
|
Bundle Name |
org.identityconnectors.rsaam |
このエントリは、コネクタ・バンドル・パッケージの名前を含みます。このエントリは変更しないでください。 |
|
Bundle Version |
1.0.1115 |
このエントリは、コネクタ・バンドル・クラスのバージョンを含みます。このエントリは変更しないでください。 |
|
Connector Name |
org.identityconnectors.rsaam.RSAAMConnector |
このエントリは、コネクタ・クラスの名前を含みます。このエントリは変更しないでください。 |
|
User Configuration Lookup |
Lookup.RSAAM.UM.Configuration |
このエントリは、ユーザー固有の構成プロパティを含む参照定義の名前を含みます。このエントリは変更しないでください。 |
|
defaultBatchSize |
1000 |
このエントリは、バッチ・リコンシリエーション中の各バッチに含める必要のあるレコード数を含みます。このエントリは、ユーザー・リコンシエーション・スケジュール済ジョブのBatch Size属性が空かまたは0に設定された場合にのみ使用されます。Batch Size属性の詳細は、第3.3.3項「バッチ・リコンシリエーション」を参照してください。 |
|
トークン構成参照 |
Lookup.RSAAM.Token.Configuration |
このエントリは、トークン固有の構成プロパティを含む参照定義の名前を含みます。このエントリは変更しないでください。 |
Oracle Identity ManagerおよびRSA認証マネージャをホストしているコンピュータが異なるタイム・ゾーンの場合、第2.3.1.6項「異なるタイム・ゾーンの参照定義の設定」で説明されている、次の手順に従って構成することができます。
Lookup.RSAAM.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、ユーザー管理操作で使用されます。
表1-3に、この参照定義のデフォルト・エントリを示します。
表1-3 Lookup.RSAAM.UM.Configuratio参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
|
Provisioning Attribute Map |
Lookup.RSAAM.UM.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、第1.6.2.3項「Lookup.RSAAM.UM.ProvAttrMap」を参照してください。 |
|
Recon Attribute Map |
Lookup.RSAAM.UM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、第1.6.2.4項「Lookup.RSAAM.UM.ReconAttrMap」を参照してください。 |
Lookup.RSAAM.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、プロビジョニングの際に使用されます。この参照定義は、事前に構成されています。表1-10にデフォルト・エントリを示します。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、第4.3項「プロビジョニング用のユーザーまたはトークン属性の追加」を参照してください。
Lookup.RSAAM.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性との間のマッピングを含みます。この参照定義は、リコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。表1-5にデフォルト・エントリを示します。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、第4.2項「リコンシリエーション用のユーザーまたはトークン属性の追加」を参照してください。
Lookup.RSAAM.Token.Configuration参照定義は、トークン・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときにトークン管理操作で使用されます。
表1-4に、この参照定義のデフォルト・エントリを示します。
表1-4 Lookup.RSAAM.Token.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
|
Provisioning Attribute Map |
Lookup.RSAAM.Token.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、第1.6.2.6項「Lookup.RSAAM.Token.ProvAttrMap」を参照してください。 |
|
Recon Attribute Map |
Lookup.RSAAM.Token.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、第1.6.2.7項「Lookup.RSAAM.Token.ReconAttrMap」を参照してください。 |
Lookup.RSAAM.Token.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、プロビジョニングの際に使用されます。この参照定義は、事前に構成されています。表1-11にデフォルト・エントリを示します。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、第4.3項「プロビジョニング用のユーザーまたはトークン属性の追加」を参照してください。
Lookup.RSAAM.Token.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性との間のマッピングを含みます。この参照定義は、リコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。表1-7に、デフォルト・エントリを示します。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、第4.2項「リコンシリエーション用のユーザーまたはトークン属性の追加」を参照してください。
Lookup.RSAAM.Hours参照定義は、構成された時間のリストを含みます。これは静的な参照定義です。この参照定義にエントリを追加または更新することはできません。
Lookup.RSAAM.Minutes参照定義は、構成された分のリストを含みます。これは静的な参照定義です。この参照定義にエントリを追加または更新することはできません。
ターゲット・リソースのリコンシリエーションでは、ターゲット・システムで新規作成または変更されたアカウントに関するデータをフェッチし、そのデータを使用してOIMユーザーに割り当てられたリソースを追加または変更します。
RSAAMユーザー・ターゲットのリコンシエーションおよびRSAAMトークン・ターゲットのリコンシリエーション・スケジュール済ジョブは、ターゲット・リソースのリコンシリエーション実行を開始するために使用されます。これらのスケジュール済ジョブの詳細は、第3.3.4.1項「トークンおよびユーザー・レコードのリコンシリエーション用のスケジュール済ジョブ」を参照してください。
|
関連項目: リコンシリエーションの概念は、Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイドを参照してください。 |
次の各項では、ターゲット・リソースのリコンシリエーション中のコネクタ・オブジェクトに関する情報を提供します。
Lookup.RSAAM.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドをターゲット・システム属性にマッピングします。この参照定義は、ターゲット・リソース・ユーザー・リコンシリエーションの実行に使用されます。
この参照定義のエントリは次の形式です。
コード・キー: リソース・オブジェクトのリコンシリエーション・フィールド
デコード: 値の形式は次のとおりです。
METHOD_NAME;PRINCIPAL_TYPE;ATTRIBUTE_TYPE;METHOD_RETURN_TYPE;DTO_ATTRIBUTE_NAME
この形式の詳細は次のとおりです。
METHOD_NAMEは、属性から値をフェッチするターゲット・システム上のメソッドの名前です。このメソッドは、次のクラスのいずれかに属します。
メソッド名のgetまたはis接頭辞は、デコード値には含まれません。
PRINCIPAL_TYPEは、属性がアイデンティティ管理サービス属性または認証マネージャ属性のどちらであるかにより、IMSまたはAMのいずれかです。
|
関連項目: アイデンティティ管理サービスと認証マネージャ属性の違いについては、ターゲット・システムのドキュメントを参照してください。 |
ATTRIBUTE_TYPEは次のいずれかです。
属性が標準のRSA認証マネージャ属性である場合、ATTRIBUTE_TYPEをCoreに置き換えます。
属性がカスタム属性の場合、ATTRIBUTE_TYPEをExtendedに置き換えます。
METHOD_RETURN_TYPEは、メソッドによって返される値のデータ型です。戻り値の型は、APIのJavadocsに指定されます。
DTO_ATTRIBUTE_NAMEはPrincipalDTOまたはAMPrincipalDTOクラスの属性の名前です。
表1-5に、ターゲット・リソースのリコンシリエーション用のユーザー属性のマッピングに関する情報を示します。
表1-5 Lookup.RSAAM.UM.ReconAttrMap参照定義のエントリ
| コード | デコード |
|---|---|
|
アカウント有効期限[Date] |
accountExpireDate;IMS;Core;Date;EXPIRATION_DATE |
|
アカウント有効期限時間 |
AccountExpireHours |
|
アカウント有効期限(分)Account Expire Minutes |
AccountExpireMinutes |
|
アカウント開始日[Date] |
accountStartDate;IMS;Core;Date;START_DATE |
|
アカウント開始時間 |
AccountStartHours |
|
アカウント開始 |
AccountStartMinutes |
|
証明書DN |
certificateDN;IMS;Core;String;CERT_DN |
|
不正なパスコードのクリア |
clearBadPasscodes;AM;Core;boolean |
|
Windowsパスワードのクリア |
clearWindowsLoginPassword;AM;Core;boolean |
|
デフォルト・シェル |
defaultShell;AM;Core;String |
|
名 |
firstName;IMS;Core;String;FIRST_NAME |
|
許可された固定パスコード |
staticPasswordSet;AM;Core;boolean |
|
グループ~グループ名[LOOKUP] |
UserGroup |
|
アイデンティティ・ソース[LOOKUP] |
identitySourceGuid;IMS;Core;String;IDENTITY_SRC_ID |
|
姓 |
lastName;IMS;Core;String;LAST_NAME |
|
ミドル・ネーム |
middleName;IMS;Core;String;MIDDLE_NAME |
|
セキュリティ・ドメイン[LOOKUP] |
securityDomainGuid;IMS;Core;String;OWNER_ID |
|
ロール~ロール名[LOOKUP] |
AdminRole |
|
RADIUSプロファイル[LOOKUP] |
radiusProfileGuid;AM;Core;String |
|
ステータス |
_ENABLE_ |
|
ユーザーGUID |
_UID_ |
|
ユーザーID |
_NAME_ |
|
関連項目: リコンシリエーションの一致ルールとアクション・ルールの概要は、Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイドを参照してください。 |
プロセス一致ルールを次に示します。
ルール名: RSA AuthManager UserRecon
ルール要素: User Login Equals User ID
このルールの意味は次のとおりです。
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
User IDは、RSA認証マネージャの「ユーザーID」(_NAME_)フィールドです。
コネクタのデプロイ後、次の手順を実行して、ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールを表示できます。
|
注意: 次の手順は、コネクタのデプロイ後にのみ実行してください。 |
Oracle Identity Manager Design Consoleにログインします。
「Development Tools」を開きます。
「Reconciliation Rules」をダブルクリックします。
RSA AuthManager UserReconを検索します。図1-2に、ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールを示します。
表1-6に、ターゲット・リソースのリコンシリエーション用のアクション・ルールをリストします。
表1-6 ターゲット・リソースのリコンシリエーション用のアクション・ルール
| ルール条件 | アクション |
|---|---|
|
一致しない場合 |
最小ロードの管理者への割当て |
|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
|
1つのプロセス一致が見つかった場合 |
リンクの確立 |
|
注意: このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。リコンシリエーション・アクション・ルールの作成または変更の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』を参照してください。 |
コネクタのデプロイ後に次の手順を実行すると、ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルールを表示できます。
Oracle Identity Manager Design Consoleにログインします。
「Resource Management」を展開します。
「Resource Objects」をダブルクリックします。
RSA Auth Manager Userリソース・オブジェクトを検索して開きます。
「Object Reconciliation」タブ、「Reconciliation Action Rules」タブの順にクリックします。「Reconciliation Action Rules」タブに、コネクタに定義されているアクション・ルールが表示されます。図1-3に、ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルールを示します。
図1-3 ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルール
Lookup.RSAAM.Token.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドをターゲット・システム属性にマッピングします。この参照定義は、ターゲット・リソース・ユーザー・リコンシリエーションの実行に使用されます。
この参照定義のエントリは次の形式です。
コード・キー: リソース・オブジェクトのリコンシリエーション・フィールド
デコード: 値の形式は次のとおりです。
METHOD_NAME;API_NAME;ATTRIBUTE_TYPE;METHOD_RETURN_TYPE;DTO_ATTRIBUTE_NAME
この形式の詳細は次のとおりです。
METHOD_NAMEは、属性から値をフェッチするターゲット・システム上のメソッドの名前です。このメソッドは、次のクラスのいずれかに属します。
|
注意: フィールドがListTokenDTOおよびTokenDTOの両方に存在する場合、よりよいパフォーマンスのためにListTokenDTOのフィールドを使用します。 |
メソッド名のgetまたはis接頭辞は、デコード値には含まれません。
API_NAMEはListTokenDTOまたはTokenDTOのいずれかです。
ATTRIBUTE_TYPEは次のいずれかです。
属性が標準のRSA認証マネージャ属性である場合、ATTRIBUTE_TYPEをCoreに置き換えます。
属性がカスタム属性の場合、ATTRIBUTE_TYPEをExtendedに置き換えます。
METHOD_RETURN_TYPEは、メソッドによってフェッチされる値のデータ型です。戻り値の型は、APIのJavadocsに指定されます。
表1-7に、ターゲット・リソースのリコンシリエーション用のユーザー属性のマッピングに関する情報を示します。
|
関連項目: リコンシリエーションの一致ルールとアクション・ルールの概要は、Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイドを参照してください。 |
プロセス一致ルールを次に示します。
ルール名: RSA AuthManager TokenRecon
ルール要素: User Login Equals User ID
このルールの意味は次のとおりです。
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
User IDは、RSA認証マネージャの「ユーザーID」(_NAME_)フィールドです。
コネクタのデプロイ後、次の手順を実行して、ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールを表示できます。
|
注意: 次の手順は、コネクタのデプロイ後にのみ実行してください。 |
Oracle Identity Manager Design Consoleにログインします。
「Development Tools」を開きます。
「Reconciliation Rules」をダブルクリックします。
RSA AuthManager TokenReconを検索します。図1-2に、ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールを示します。
表1-8に、ターゲット・リソース・リコンシリエーションのアクション・ルールを示します。
表1-8 ターゲット・リソースのリコンシリエーションのアクション・ルール
| ルール条件 | アクション |
|---|---|
|
一致しない場合 |
最小ロードの管理者への割当て |
|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
|
1つのプロセス一致が見つかった場合 |
リンクの確立 |
|
注意: このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。リコンシリエーション・アクション・ルールの作成または変更の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』を参照してください。 |
コネクタのデプロイ後に次の手順を実行すると、ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルールを表示できます。
Oracle Identity Manager Design Consoleにログインします。
「Resource Management」を展開します。
「Resource Objects」をダブルクリックします。
RSA Auth Manager Tokenリソース・オブジェクトを検索して開きます。
「Object Reconciliation」タブ、「Reconciliation Action Rules」タブの順にクリックします。「Reconciliation Action Rules」タブに、コネクタに定義されているアクション・ルールが表示されます。図1-5に、ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルールを示します。
図1-5 ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルール
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザー・データを作成または変更します。
|
関連項目: プロビジョニングの概念は、Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイドを参照してください。 |
この項では、次の項目について説明します。
表1-9に、コネクタでサポートされるプロビジョニング機能を示します。「アダプタ」列には、機能が実行されるときに使用されるアダプタの名前が示されます。
表1-9 プロビジョニング機能
| 機能 | アダプタ |
|---|---|
|
ユーザーの作成 |
adpRSAAMCREATEUSER |
|
ユーザーの更新 |
adpRSAAMUPDATEUSER |
|
ユーザーの削除 |
adpRSAAMDELETEUSER |
|
ユーザーの有効化 |
adpRSAAMENABLEUSER |
|
ユーザーの無効化 |
adpRSAAMDISABLEUSER |
|
トークンの割当て |
adpRSAAMASSIGNTOKEN |
|
トークンの更新 |
adpRSAAMUPDATETOKEN |
|
トークンの有効化 |
adpRSAAMENABLETOKEN |
|
トークンの無効化 |
adpRSAAMDISABLETOKEN |
|
トークンの未割当て |
adpRSAAMUNASSIGNTOKEN |
|
ロールの追加 |
adpRSAAMADDROLE |
|
ロールの更新 |
adpRSAAMUPDATEROLE |
|
ロールの削除 |
adpRSAAMREMOVEROLE |
|
グループの追加 |
adpRSAAMADDGROUP |
|
グループの更新 |
adpRSAAMUPDATEGROUP |
|
グループの削除 |
adpRSAAMREMOVEGROUP |
|
事前移入アダプタ |
adpRSAAMPREPOPULATEADAPTER |
|
複数更新 |
adpRSAAMMULTIUPDATE |
|
戻り入力値 |
adpRSAAMRETURNINPUTVALUE |
Lookup.RSAAM.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドをターゲット・システム属性にマッピングします。この参照定義は、ユーザー・プロビジョニング操作を実行するために使用されます。
この参照定義のエントリは次の形式です。
コード・キー: プロセス・フォーム・フィールドの名前
デコード: 値の形式は次のとおりです。
METHOD_NAME;PRINCIPAL_TYPE;ATTRIBUTE_TYPE;METHOD_INPUT_TYPE;DTO_ATTRIBUTE_NAME
この形式の詳細は次のとおりです。
METHOD_NAMEは、この属性の値を設定するターゲット・システム上のメソッドの名前です。このメソッドは、次のクラスのいずれかに属します。
メソッド名のset接頭辞は、デコード値には含まれません。
PRINCIPAL_TYPEは、属性がアイデンティティ管理サービス属性または認証マネージャ属性のどちらであるかにより、IMSまたはAMのいずれかです。
|
関連項目: アイデンティティ管理サービスと認証マネージャ属性の違いについては、ターゲット・システムのドキュメントを参照してください。 |
ATTRIBUTE_TYPEは次のいずれかです。
属性が標準のRSA認証マネージャ属性である場合、ATTRIBUTE_TYPEをCoreに置き換えます。
属性がカスタム属性の場合、ATTRIBUTE_TYPEをExtendedに置き換えます。
METHOD_INPUT_TYPEは、メソッドに送信される値のデータ型です。入力の型は、APIのJavadocsに指定されます。
DTO_ATTRIBUTE_NAMEはPrincipalDTOまたはAMPrincipalDTOクラスの属性の名前です。
表1-10に、プロビジョニング操作時に値を指定または変更できるターゲット・システムのユーザー・アイデンティティ・フィールドを示します。
表1-10 Lookup.RSAAM.UM.ProvAttrMap参照定義のエントリ
| コード | デコード |
|---|---|
|
アカウント有効期限[Date] |
accountExpireDate;IMS;Core;Date;EXPIRATION_DATE |
|
アカウント有効期限時間 |
AccountExpireHours |
|
アカウント有効期限(分)Account Expire Minutes |
AccountExpireMinutes |
|
アカウント開始時間 |
AccountStartHours |
|
アカウント開始 |
AccountStartMinutes |
|
アカウント開始日[Date] |
accountStartDate;IMS;Core;Date;START_DATE |
|
証明書DN |
certificateDN;IMS;Core;String;CERT_DN |
|
不正なパスコードのクリア |
clearBadPasscodes;AM;Core;boolean |
|
Windowsパスワードのクリア |
clearWindowsLoginPassword;AM;Core;boolean |
|
デフォルト・シェル |
defaultShell;AM;Core;String |
|
名 |
firstName;IMS;Core;String;FIRST_NAME |
|
固定パスコード |
staticPassword;AM;Core;String |
|
許可された固定パスコード |
staticPasswordSet;AM;Core;boolean |
|
アイデンティティ・ソース[LOOKUP] |
identitySourceGuid;IMS;Core;String;IDENTITY_SRC_ID |
|
姓 |
lastName;IMS;Core;String;LAST_NAME |
|
ミドル・ネーム |
middleName;IMS;Core;String;MIDDLE_NAME |
|
パスワード |
_PASSWORD_ |
|
RADIUSプロファイル[LOOKUP] |
radiusProfileGuid;AM;Core;String |
|
セキュリティ・ドメイン[LOOKUP] |
securityDomainGuid;IMS;Core;String;OWNER_ID |
|
UD_AMGROUP~GroupName[LOOKUP] |
UserGroup |
|
UD_AMROLE~RoleName[LOOKUP] |
AdminRole |
|
ユーザーGUID |
_UID_ |
|
ユーザーID |
_NAME_ |
Lookup.RSAAM.Token.ProvAttrMap参照定義は、プロセス・フォーム・フィールドをターゲット・システム属性にマッピングします。この参照定義は、トークン・プロビジョニング操作を実行するために使用されます。
この参照定義のエントリは次の形式です。
コード・キー: プロセス・フォーム・フィールドの名前
デコード: 値の形式は次のとおりです。
METHOD_NAME;API_NAME;ATTRIBUTE_TYPE;METHOD_INPUT_TYPE;DTO_ATTRIBUTE_NAME
この形式の詳細は次のとおりです。
METHOD_NAMEは、この属性の値を設定するターゲット・システム上のメソッドの名前です。このメソッドは、com.rsa.authmgr.admin.principalmgt.data.TokenDTOクラスに属します。
メソッド名のset接頭辞は、デコード値には含まれません。
API_NAMEはTokenDTOです。
ATTRIBUTE_TYPEは次のいずれかです。
属性が標準のRSA認証マネージャ属性である場合、ATTRIBUTE_TYPEをCoreに置き換えます。
属性がカスタム属性の場合、ATTRIBUTE_TYPEをExtendedに置き換えます。
METHOD_INPUT_TYPEは、メソッドに返される値のデータ型です。戻り値の型は、APIのJavadocsに指定されます。
表1-11に、プロビジョニング操作時に値を指定または変更できるターゲット・システムのトークン・フィールドを示します。
次に、このマニュアルの次の章以降の構成を示します。
第2章「コネクタのデプロイ」: コネクタのデプロイの各段階で、Oracle Identity Managerおよびターゲット・システムで実行する必要がある手順について説明します。
第3章「コネクタの使用」: コネクタの使用に関するガイドラインと、リコンシリエーションの実行を構成する手順およびプロビジョニング操作を実行する手順について説明します。
第4章「コネクタの機能拡張」: コネクタの機能を拡張する場合に実行できる手順について説明します。
第6章「既知の問題と回避策」: このリリースのコネクタに関連する既知の問題と制限事項について説明します。
