5 Generic RESTコネクタの使用

コネクタを自分の要件にかなうように構成したら、コネクタを使用してリコンシリエーションおよびプロビジョニング操作を実行できます。

この章では、次の内容について説明します。

ノート:

この項では、コネクタの構成に関する、概念的な情報と手順の情報の両方を提供します。手順を実行する前に、概念的な情報を参照することをお薦めします。

• リコンシリエーションの構成

• スケジュール済ジョブ

• プロビジョニング操作の実行

• コネクタのアンインストール

5.1 リコンシリエーションの構成

コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。

この項では、リコンシリエーションの構成に関する次の項目について説明します。

• Generic RESTコネクタのリコンシリエーション・ルール

• 完全リコンシリエーションおよび増分リコンシリエーション

• 増分リコンシリエーションのためのユーザー・リコンシリエーションのスケジュール済ジョブの更新

• 制限付き(フィルタ)リコンシリエーション

• 参照フィールドの同期

• 大規模なレコードのリコンサイル

5.1.1 Generic RESTコネクタのリコンシリエーション・ルール

リコンシリエーション・ルールは、Generic RESTコネクタを生成するときに自動的に作成されます。

ルール要素の形式は次のとおりです。

User Login Equals NameAttribute

このルール要素の意味は次のとおりです。

• User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。

• NameAttributeは、「スキーマ・ファイルの作成」で作成したschema.propertiesファイルのアカウント修飾子の値です。

たとえば、NameAttributeアカウント修飾子の値が__NAME__の場合、ルール要素は次のようになります。

User Login Equals__NAME__

5.1.2 完全リコンシリエーションおよび増分リコンシリエーション

完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Managerへリコンサイルします。増分リコンシリエーションでは、最後のリコンシリエーションが実行された最終日付またはタイムスタンプ後に作成または変更されたレコードのみがリコンシリエーションの対象とみなされます。

コネクタをデプロイした後はまず、完全リコンシリエーションを実行する必要があります。

完全リコンシリエーションを実行するには、Filter Suffix属性に現在割り当てられている値を削除してから、ユーザー・データ・リコンシリエーション向けのスケジュール済ジョブを実行します。ユーザー・リコンシリエーションのスケジュール済ジョブとFilter Suffix属性の詳細は、ユーザー・レコードのリコンシリエーションのためのスケジュール済ジョブを参照してください。

ターゲット・システムに1つの応答で返せる以上の数のレコードが含まれている場合、フラット・ファイル・コネクタを使用して完全リコンシリエーションを実行します。大規模なレコードのリコンサイルを参照してください。

増分リコンシリエーションを実行するには、次の属性が含まれるように、ユーザー・データ・リコンシリエーション用のスケジュール済ジョブを更新および実行する必要があります。

• Incremental Recon Attribute — レコードが最後に変更された時点のタイムスタンプを保持する、ターゲット・システム属性の名前。この属性の値は、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。

• Latest Token — Incremental Recon Attribute属性の値として指定された属性の値を保持します。Latest Token属性は内部目的で使用されます。この属性には値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。サンプル値: 1354753427000

増分リコンシリエーションのためのスケジュール済ジョブの詳細は、増分リコンシリエーションのためのユーザー・リコンシリエーションのスケジュール済ジョブの更新を参照してください。

5.1.3 増分リコンシリエーションのためのユーザー・リコンシリエーションのスケジュール済ジョブの更新

オブジェクトが作成または変更されたタイムスタンプを保持する属性がターゲット・システムに含まれる場合は、増分リコンシリエーションの属性を含むように、ユーザー・リコンシリエーションのスケジュール済ジョブを手動で更新する必要があります。

ノート:

この手順で説明した各ステップを実行するための指示の詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のデプロイのエクスポートおよびデプロイのインポートを参照してください。

増分リコンシリエーションのスケジュール済ジョブを作成するには、次のようにします。

1. アイデンティティ・システム管理にログインします。
2. ユーザー・リコンシリエーションのスケジュール済ジョブ・ファイルを、エクスポート用にデプロイメント・マネージャに追加します。
3. ユーザー・リコンシリエーションのスケジュール済ジョブ・ファイルを編集して、Incremental Recon AttributeとLatest Tokenの属性を含めます。
4. ユーザー・リコンシリエーションのスケジュール済ジョブ・ファイルをOracle Identity Managerにインポートします。

5.1.4 制限付き(フィルタ)リコンシリエーション

制限付きつまりフィルタ済リコンシリエーションは、設定されたフィルタ基準に基づいてリコンサイルすることによりレコードの数を制限するプロセスです。

デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。

制限付きのリコンシリエーションは、ターゲット・システムでサポートされるフィルタを作成することで実行できます。このコネクタで提供されるFilter Suffix属性(スケジュール済タスクの属性)を使用することで、ターゲット・システムの任意の属性で、ターゲット・システム・レコードをフィルタ処理できます。

5.1.5 参照フィールドの同期

参照フィールド同期では、最新の値がターゲット・システムの特定の属性からOracle Identity Managerの参照定義(参照フィールドの入力ソースとして使用される)に取得されます。

参照フィールド同期用のスケジュール済ジョブを構成および実行すると、参照フィールドの同期を実行できます。

参照フィールド同期用のスケジュール済ジョブは、GenericRestConfiguration.groovyファイルのlookupAttributeListエントリに値が指定されている場合にのみ作成されます。これらのスケジュール済ジョブの名前は、次の形式になります。

IT_RES_NAME Target FIELD_NAME Lookup Reconciliation

lookupAttributeListエントリで指定された属性ごとに、ターゲット・システムから参照値をリコンサイルするための対応するスケジュール済ジョブが作成されます。次に、この例を示します。

itResourceDefNameエントリの値がGenRestであると仮定します。lookupAttributeListエントリの値が['Roles', 'Groups']の場合、コネクタは次のスケジュール済ジョブを作成します。

• GenRest Target Roles Lookup Reconciliation

• GenRest Target Groups Lookup Reconciliation

  ノート:

  「参照フィールド同期のスケジュール済ジョブ」を参照してください。

5.1.6 大量のレコードのリコンサイル

リコンシリエーションの実行中に、ターゲット・システムに1つの応答で返せる以上の数のレコードが含まれている場合、フラット・ファイル・コネクタを使用してすべてのレコードをOracle Identity Managerにフェッチする必要があります。

大規模なレコードをターゲット・システムからOracle Identity Managerへリコンサイルするには、次のようにします。

1. ターゲット・システムのすべてのユーザーをフラット・ファイルにエクスポートします。
2. そのフラット・ファイルをOracle Identity Managerからアクセスできる場所にコピーします。
3. フラット・ファイルの構造を表すスキーマ・ファイルを作成します。Oracle Identity Managerフラット・ファイル・コネクタ・ガイドでスキーマ・ファイルの作成を参照してください。
4. フラット・ファイル・コネクタをインストールします。Oracle Identity Managerフラット・ファイル・コネクタ・ガイドでコネクタ・インストーラの実行を参照してください。
5. フラット・ファイルITリソースを構成します。Oracle Identity Managerフラット・ファイル・コネクタ・ガイドでITリソースの構成を参照してください。
6. 信頼できるソースのリコンシリエーションを実行する場合、Flat File Users Loaderスケジュール済ジョブを構成および実行します。
   このスケジュール済ジョブの構成中に、Target IT Resource Name属性の値が、ユーザー・レコードのリコンサイルを行うターゲット・システム・インストールのITリソースの名前になっており、Target Resource Object Nameが信頼できるソース・リコンシリエーションに使用されるリソース・オブジェクトの名前になっていることを確認します。
   フラット・ファイル・ユーザー・ローダーのスケジュール済ジョブの属性の詳細は、Oracle Identity Managerフラット・ファイル・コネクタ・ガイドのフラット・ファイル・ユーザー・ローダーおよびIT_RES_NAMEフラット・ファイル・ユーザー・ローダーに関する項を参照してください。
7. ターゲット・リソースのリコンシリエーションを実行する場合、Flat File Accounts Loaderスケジュール済ジョブを構成および実行します。
   このスケジュール済ジョブの構成中に、Target IT Resource Name属性の値が、ユーザー・レコードのリコンサイルを行うターゲット・システム・インストールのITリソースの名前になっており、Target Resource Object Nameがターゲット・リソース・リコンシリエーションに使用されるリソース・オブジェクトの名前になっていることを確認します。
   フラット・ファイル・ユーザー・ローダーのスケジュール済ジョブの属性の詳細は、『Oracle Identity Managerフラット・ファイル・コネクタ・ガイド』のフラット・ファイル・アカウント・ローダーおよびIT_RES_NAMEフラット・ファイル・アカウント・ローダーに関する項を参照してください。

5.2 スケジュール済ジョブ

コネクタ・インストーラを実行すると、リコンシリエーション・スケジュール済ジョブが自動的にOracle Identity Managerで作成されます。これらのスケジュール済ジョブを、その属性の値を指定して必要に合うように構成する必要があります。

この項では、リコンシリエーションのために構成可能な次のスケジュール済ジョブについて説明します。

• 参照フィールド同期のスケジュール済ジョブ

• ユーザー・レコードのリコンシリエーションのスケジュール済ジョブ

• スケジュール済ジョブの構成

5.2.1 参照フィールド同期のためのスケジュール済ジョブ

コネクタの生成後、参照フィールド同期のスケジュール済ジョブは、GenericRestConfiguration.groovyファイルのlookupAttributeListエントリに値が指定されている場合にのみ作成されます。lookupAttributeListエントリで指定された属性ごとに、ターゲット・システムから参照値をリコンサイルするための対応するスケジュール済ジョブが作成されます。

表5-1は、参照フィールド同期のスケジュール済ジョブの属性を示します。

表5-1 参照フィールド同期用のスケジュール済ジョブの属性

属性	説明
Code Key Attribute	参照定義のコード・キー列に移入するために使用する属性の名前を入力します(Lookup Name属性の値として指定)。
Decode Attribute	参照定義のデコード列に移入するために使用する属性の名前を入力します(Lookup Name属性の値として指定)。
IT Resource Name	レコードをリコンサイルする元のターゲット・システム・インストールのITリソースの名前。 この属性のデフォルト値は、GenericRestConfiguration.groovyファイルのITResourceDefNameエントリの値と同じです。
Lookup Name	ターゲット・システムからフェッチされた値で移入される必要がある、Oracle Identity Managerの参照定義の名前。 この属性の値は、GenericRestConfiguration.groovyファイルの構成中にlookupAttributeListエントリの値を指定した場合に、自動的に移入されます。この属性の値は次の形式になります。 Lookup.${IT_RES_NAME}.${FIELD_NAME} たとえば、lookupAttributeListエントリの値としてRolesを指定した場合、この属性の値はLookup.GenRestTrusted.Rolesになります。
Object Type	リコンサイルするオブジェクトのタイプを入力します。 デフォルト値: OTHER ノート: 参照フィールド同期では、オブジェクト・タイプは、"User"以外の任意のオブジェクトである必要があります。

5.2.2 ユーザー・レコードのリコンシリエーションのためのスケジュール済ジョブ

コネクタを生成した後、ユーザー・データ・リコンシリエーション用のスケジュール済タスクがOracle Identity Managerで自動的に作成されます。スケジュール済ジョブは、このスケジュール済タスクのインスタンスで、ターゲット・システムからのユーザー・データをリコンサイルする目的で使用されます。

次に、ユーザー・データのリコンシリエーションに使用されるスケジュール済ジョブを示します。

• RESOURCE Target Resource User Reconciliation

  このスケジュール済ジョブは、コネクタのターゲット・リソース(アカウント管理)モードでユーザー・データをリコンサイルするために使用されます。

• RESOURCE Trusted Resource User Reconciliation

  このスケジュール済ジョブは、コネクタの信頼できるソース(アイデンティティ管理)モードでユーザー・データをリコンサイルするために使用します。

表5-2に、この2つのスケジュール済ジョブの属性の説明を示します。

表5-2 ユーザー・リコンシリエーションのスケジュール済ジョブの属性

属性	説明
Filter Suffix	リコンシリエーションの実行時にターゲット・システムからフェッチされるユーザー・レコードの検索フィルタを入力します。 「制限付き(フィルタ)リコンシリエーション」を参照してください。
IT Resource Name	ユーザー・レコードをリコンサイルする元のターゲット・システム・インストールのITリソースの名前 サンプル値: GenRestTrusted
Object Type	リコンサイルするオブジェクトのタイプ。 デフォルト値: User ノート: ユーザーはサポートされる唯一のオブジェクトです。そのため、この属性の値は変更しないでください。
Resource Object Name	リコンシリエーションに使用されるリソース・オブジェクトの名前。 サンプル値: GenRestTrusted User
Scheduled Task Name	リコンシリエーションに使用されるスケジュール済タスクの名前。 RESOURCE Target Resource User Reconciliationスケジュール済ジョブのこの属性のデフォルト値は、RESOURCE Target Resource User Reconciliationです。 RESOURCE Trusted Resource User Reconciliationスケジュール済ジョブのこの属性のデフォルト値は、RESOURCE Trusted Resource User Reconciliationです。

5.2.3 スケジュール済ジョブの構成

ターゲット・システムを定期的にチェックして新しい情報を確認し、Oracle Identity Managerのデータをレプリケートするリコンシリエーションを実行するために、スケジュール済ジョブを構成します。

スケジュール済ジョブを構成するには:

1. Oracle Identity System Administrationにログインします。
2. 左ペインの「システム管理」で、「スケジューラ」をクリックします。
3. 次のようにスケジュール済タスクを検索して開きます。
   1. 左ペインの「検索」フィールドに、スケジュール済ジョブの名前を検索基準として入力します。「拡張検索」をクリックして検索基準を指定することもできます。
   2. 左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
4. 「ジョブの詳細」タブでは、次のパラメータを変更できます。
   • 再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
   • スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。

   ノート:

   スケジュール・タイプの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のジョブの作成に関する項を参照してください。

   ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。
5. 「ジョブの詳細」タブの「パラメータ」リージョンで、スケジュール済タスクの属性の値を指定します。

   ノート:

   • 属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。

   • すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。

   • スケジュール済ジョブの属性は、スケジュール済ジョブで説明します。

6. 「適用」をクリックして変更を保存します。

   ノート:

   Identity System Administrationのスケジューラのステータス・ページを使用して、スケジューラを起動、停止または再初期化できます。

5.3 プロビジョニング操作の実行

「ユーザーの作成」ページを使用して、Oracle Identity Self Serviceに新規ユーザーを作成できます。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。

Oracle Identity Managerでプロビジョニング操作を実行するには、次のようにします。

1. Identity Self Serviceにログインします。
2. ユーザーを作成します。『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のユーザーの作成に関する項を参照してください。
3. 「アカウント」タブで、「アカウントのリクエスト」をクリックします。
4. 「カタログ」ページで、ITリソースに対して作成されたアプリケーション・インスタンス(フォームとアプリケーション・インスタンスの関連付け)を検索してカートに追加し、「チェックアウト」をクリックします。

   ノート:

   いくつかの従属フィールドがあるので、参照タイプ・フィールドに適切な値を確実に選択します。このようなフィールドに間違った値を選択すると、プロビジョニングが失敗する恐れがあります。
5. 「送信準備ができています」をクリックします。
6. 「送信」をクリックします。
7. 権限をプロビジョニングする場合は、次の手順を実行します。
   1. 「権限」タブで、「権限のリクエスト」をクリックします。
   2. 「カタログ」ページで、権限を検索してカートに追加し、「チェックアウト」をクリックします。
   3. 「送信」をクリックします。

5.4 コネクタのアンインストール

コネクタをアンインストールすると、Oracle Identity Managerからコネクタ関連のデータが削除されます。コネクタをアンインストールするにはUninstall Connectorsユーティリティを使用します。

なんらかの理由でコネクタをアンインストールする場合は、Oracle Fusion Middleware Oracle Identity Managerの管理のコネクタのアンインストールを参照してください。