コネクタを自分の要件にかなうように構成したら、コネクタを使用してリコンシリエーションおよびプロビジョニング操作を実行できます。
この章では、次の内容について説明します。
ノート:
この項では、コネクタの構成に関する、概念的な情報と手順の情報の両方を提供します。手順を実行する前に、概念的な情報を参照することをお薦めします。コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。
この項では、リコンシリエーションの構成に関する次の項目について説明します。
リコンシリエーション・ルールは、Generic RESTコネクタを生成するときに自動的に作成されます。
ルール要素の形式は次のとおりです。
User Login Equals NameAttribute
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
NameAttributeは、「スキーマ・ファイルの作成」で作成したschema.propertiesファイルのアカウント修飾子の値です。
たとえば、NameAttributeアカウント修飾子の値が__NAME__の場合、ルール要素は次のようになります。
User Login Equals__NAME__
完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Managerへリコンサイルします。増分リコンシリエーションでは、最後のリコンシリエーションが実行された最終日付またはタイムスタンプ後に作成または変更されたレコードのみがリコンシリエーションの対象とみなされます。
コネクタをデプロイした後はまず、完全リコンシリエーションを実行する必要があります。
完全リコンシリエーションを実行するには、Filter Suffix属性に現在割り当てられている値を削除してから、ユーザー・データ・リコンシリエーション向けのスケジュール済ジョブを実行します。ユーザー・リコンシリエーションのスケジュール済ジョブとFilter Suffix属性の詳細は、ユーザー・レコードのリコンシリエーションのためのスケジュール済ジョブを参照してください。
ターゲット・システムに1つの応答で返せる以上の数のレコードが含まれている場合、フラット・ファイル・コネクタを使用して完全リコンシリエーションを実行します。大規模なレコードのリコンサイルを参照してください。
増分リコンシリエーションを実行するには、次の属性が含まれるように、ユーザー・データ・リコンシリエーション用のスケジュール済ジョブを更新および実行する必要があります。
Incremental Recon Attribute — レコードが最後に変更された時点のタイムスタンプを保持する、ターゲット・システム属性の名前。この属性の値は、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。
Latest Token — Incremental Recon Attribute属性の値として指定された属性の値を保持します。Latest Token属性は内部目的で使用されます。この属性には値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。サンプル値: 1354753427000
増分リコンシリエーションのためのスケジュール済ジョブの詳細は、増分リコンシリエーションのためのユーザー・リコンシリエーションのスケジュール済ジョブの更新を参照してください。
オブジェクトが作成または変更されたタイムスタンプを保持する属性がターゲット・システムに含まれる場合は、増分リコンシリエーションの属性を含むように、ユーザー・リコンシリエーションのスケジュール済ジョブを手動で更新する必要があります。
ノート:
この手順で説明した各ステップを実行するための指示の詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のデプロイのエクスポートおよびデプロイのインポートを参照してください。制限付きつまりフィルタ済リコンシリエーションは、設定されたフィルタ基準に基づいてリコンサイルすることによりレコードの数を制限するプロセスです。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
制限付きのリコンシリエーションは、ターゲット・システムでサポートされるフィルタを作成することで実行できます。このコネクタで提供されるFilter Suffix属性(スケジュール済タスクの属性)を使用することで、ターゲット・システムの任意の属性で、ターゲット・システム・レコードをフィルタ処理できます。
参照フィールド同期では、最新の値がターゲット・システムの特定の属性からOracle Identity Managerの参照定義(参照フィールドの入力ソースとして使用される)に取得されます。
参照フィールド同期用のスケジュール済ジョブを構成および実行すると、参照フィールドの同期を実行できます。
参照フィールド同期用のスケジュール済ジョブは、GenericRestConfiguration.groovyファイルのlookupAttributeListエントリに値が指定されている場合にのみ作成されます。これらのスケジュール済ジョブの名前は、次の形式になります。
IT_RES_NAME Target FIELD_NAME Lookup Reconciliation
lookupAttributeListエントリで指定された属性ごとに、ターゲット・システムから参照値をリコンサイルするための対応するスケジュール済ジョブが作成されます。次に、この例を示します。
itResourceDefNameエントリの値がGenRestであると仮定します。lookupAttributeListエントリの値が['Roles', 'Groups']
の場合、コネクタは次のスケジュール済ジョブを作成します。
GenRest Target Roles Lookup Reconciliation
GenRest Target Groups Lookup Reconciliation
ノート:
「参照フィールド同期のスケジュール済ジョブ」を参照してください。コネクタ・インストーラを実行すると、リコンシリエーション・スケジュール済ジョブが自動的にOracle Identity Managerで作成されます。これらのスケジュール済ジョブを、その属性の値を指定して必要に合うように構成する必要があります。
この項では、リコンシリエーションのために構成可能な次のスケジュール済ジョブについて説明します。
コネクタの生成後、参照フィールド同期のスケジュール済ジョブは、GenericRestConfiguration.groovyファイルのlookupAttributeListエントリに値が指定されている場合にのみ作成されます。lookupAttributeListエントリで指定された属性ごとに、ターゲット・システムから参照値をリコンサイルするための対応するスケジュール済ジョブが作成されます。
表5-1は、参照フィールド同期のスケジュール済ジョブの属性を示します。
表5-1 参照フィールド同期用のスケジュール済ジョブの属性
属性 | 説明 |
---|---|
Code Key Attribute |
参照定義のコード・キー列に移入するために使用する属性の名前を入力します(Lookup Name属性の値として指定)。 |
Decode Attribute |
参照定義のデコード列に移入するために使用する属性の名前を入力します(Lookup Name属性の値として指定)。 |
IT Resource Name |
レコードをリコンサイルする元のターゲット・システム・インストールのITリソースの名前。 この属性のデフォルト値は、GenericRestConfiguration.groovyファイルのITResourceDefNameエントリの値と同じです。 |
Lookup Name |
ターゲット・システムからフェッチされた値で移入される必要がある、Oracle Identity Managerの参照定義の名前。 この属性の値は、GenericRestConfiguration.groovyファイルの構成中にlookupAttributeListエントリの値を指定した場合に、自動的に移入されます。この属性の値は次の形式になります。 Lookup.${IT_RES_NAME}.${FIELD_NAME} たとえば、lookupAttributeListエントリの値としてRolesを指定した場合、この属性の値はLookup.GenRestTrusted.Rolesになります。 |
Object Type |
リコンサイルするオブジェクトのタイプを入力します。 デフォルト値: ノート: 参照フィールド同期では、オブジェクト・タイプは、"User"以外の任意のオブジェクトである必要があります。 |
コネクタを生成した後、ユーザー・データ・リコンシリエーション用のスケジュール済タスクがOracle Identity Managerで自動的に作成されます。スケジュール済ジョブは、このスケジュール済タスクのインスタンスで、ターゲット・システムからのユーザー・データをリコンサイルする目的で使用されます。
次に、ユーザー・データのリコンシリエーションに使用されるスケジュール済ジョブを示します。
RESOURCE Target Resource User Reconciliation
このスケジュール済ジョブは、コネクタのターゲット・リソース(アカウント管理)モードでユーザー・データをリコンサイルするために使用されます。
RESOURCE Trusted Resource User Reconciliation
このスケジュール済ジョブは、コネクタの信頼できるソース(アイデンティティ管理)モードでユーザー・データをリコンサイルするために使用します。
表5-2に、この2つのスケジュール済ジョブの属性の説明を示します。
表5-2 ユーザー・リコンシリエーションのスケジュール済ジョブの属性
属性 | 説明 |
---|---|
Filter Suffix |
リコンシリエーションの実行時にターゲット・システムからフェッチされるユーザー・レコードの検索フィルタを入力します。 「制限付き(フィルタ)リコンシリエーション」を参照してください。 |
IT Resource Name |
ユーザー・レコードをリコンサイルする元のターゲット・システム・インストールのITリソースの名前 サンプル値: |
Object Type |
リコンサイルするオブジェクトのタイプ。 デフォルト値: ノート: ユーザーはサポートされる唯一のオブジェクトです。そのため、この属性の値は変更しないでください。 |
Resource Object Name |
リコンシリエーションに使用されるリソース・オブジェクトの名前。 サンプル値: |
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 RESOURCE Target Resource User Reconciliationスケジュール済ジョブのこの属性のデフォルト値は、RESOURCE RESOURCE Trusted Resource User Reconciliationスケジュール済ジョブのこの属性のデフォルト値は、RESOURCE |