この章では、次の項目について説明します。
Oracle Identity Manager (OIM)プラットフォームでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerはユーザーをリソースに接続し、機密性の高い企業情報を保護するために不正アクセスを失効および制限します。Oracle E-Business Suite User Managementコネクタ(EBS UMコネクタ)を使用すると、Oracle E-Business SuiteをOracle Identity Managerのターゲット・リソースとして使用できるようになります。
FND_USERレコードは、Oracle E-Business User Managementのアカウントを表します。このレコードが、コネクタを使用して管理できるアカウント・データの主要なコンポーネントです。このコネクタを使用すると、TCAレコードとともにFND_USERレコードまたはFND_USERレコードのいずれかを管理できます。つまり、このコネクタを使用して、プレーンなユーザー・アカウントまたはパーティを持つユーザー・アカウントを管理します。
User Managementコネクタを使用すると、OIMユーザーのOracle E-Business Suiteユーザー・アカウント(FND_USERレコード)を作成し、それらのアカウントにユーザー・ロールと職責を付与できます。新たに作成されたユーザーおよび変更されたユーザー・アカウント(FND_USERレコード)をターゲット・システムからリコンサイルすることもできます。これらのリコンサイルされたレコードは、OIMユーザーに割り当てられたOracle E-Business User Managementアカウントの作成および更新に使用されます。
このコネクタを使用すると、Oracle E-Business User Managementアカウントの作成に加え、ターゲット・システムでパーティまたはベンダー(サプライヤ)を作成できます。パーティまたはベンダーは、HZ_PARTIES表のTrading Community Architecture (TCA)レコードを表します。Oracle E-Business SuiteのiStoreやiProcurementなどの一部のアプリケーションでは、ユーザーが組織内のパーティおよびベンダーの担当者または従業員であるTCAレコードを保持する必要があります。
このコネクタがサポートしているTCAレコードのタイプは、次のとおりです。
パーティ
ベンダー(サプライヤ)
TCAパーティとともにUser Managementコネクタに使用するオブジェクト・クラスは、__ACCOUNT__
です。ロールおよび職責は、子データとして処理されます。このコネクタを使用すると、既存のロールと職責を削除することもできます。
ユーザーのプロビジョニング時に、EBSユーザー情報とともにパーティまたはサプライヤ情報を入力すると、コネクタでは最初にE-Businessユーザー・アカウントが作成され、次にパーティまたはベンダーが作成されてから、ユーザー・レコードとTCAレコード間のリンクが設定されます。パーティまたはサプライヤ・レコードとリンクされているターゲット・システムのユーザーの場合、FND_USER表のPERSON_PARTY_ID列の値はがHZ_PARTIES表のPARTY_ID列の値と同じです。
ユーザー・プロビジョニングの作成または更新操作時に、個人IDを指定することにより、ターゲット・システムのユーザー・アカウントを既存のHRMS従業員レコードとリンクさせることができます。
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1に、このコネクタで動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
コンポーネント | 要件 |
---|---|
Oracle Identity Manager |
次のいずれかのリリースのOracle Identity GovernanceまたはOracle Identity Managerを使用できます。
|
ターゲット・システム |
ターゲット・システムは次のいずれか。
これらのアプリケーションは、単一データベースまたはOracle RACの実装として、Oracle Database 10g、11g、12cまたは19c上で実行できます。 ノート:
|
コネクタ・サーバー |
11.1.2.1.0 ノート: JDBCドライバojdbcx.jarでは、US7ASCII、WE8DEC、WE8ISO8859P1、WE8MSWIN1252およびUTF8の文字セットがサポートされています。これ以外の文字セットを使用し、コネクタ・サーバーでのすべてのコネクタ操作を正常に実行するには、OTNのOracle JDBC driversページからorai18n.jarファイルをダウンロードし、コネクタ・サーバーのlibディレクトリにコピーします。 |
コネクタ・サーバーのJDK |
JDK 1.6以上 |
SSOシステム |
ターゲット・システムでは、次のシングル・サインオン(SSO)ソリューションの1つを使用できます。
|
SoDエンジン |
Oracle Identity Managerの職務の分離(SoD)機能をこのターゲット・システムで有効にして使用する場合は、Oracle Applications Access Controls Governorリリース8.6.4をインストールしてください。 |
使用しているOracle Identity Managerバージョンに応じて、次のコネクタのいずれかをデプロイして使用する必要があります。
Oracle Identity Manager 11g リリース2 PS2 (11.1.2.2.0)より前のOracle Identity Managerリリースを使用していて、ターゲット・システムをターゲット・リソースとして使用するようにコネクタを構成する場合、9.1.xバージョンのOracle E-Business User Managementコネクタを使用します。
表1-1に示されたOracle Identity Managerのいずれかのリリースを使用している場合、このコネクタの最新の11.1.1.xバージョンを使用する必要があります。
このコネクタでは次の言語がサポートされます。
アラビア語
中国語(簡体字)
中国語(繁体字)
チェコ語
デンマーク語
オランダ語
英語(アメリカ合衆国)
フィンランド語
フランス語
フランス語(カナダ)
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ノルウェー語
ポーランド語
ポルトガル語
ポルトガル語(ブラジル)
ルーマニア語
ロシア語
スロバキア語
スペイン語
スウェーデン語
タイ語
トルコ語
Oracle E-Business User Managementコネクタは、アイデンティティ・コネクタ・フレームワーク(ICF)を使用して実装されます。
ICFは、すべてのOracle Identity Managerコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供するコンポーネントです。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFは、Oracle Identity Managerに付属しています。したがって、ICFを構成したり変更する必要はありません。
図1-1に、Oracle E-Business Suiteコネクタのアーキテクチャを示します。
コネクタ操作時に、Oracle Identity ManagerはICF統合と呼ばれるレイヤと対話します。ICF統合はOIMが対話するアプリケーションごとに固有で、ICF APIを使用してアイデンティティ・コネクタ(IC)で操作を呼び出します。その後、コネクタはターゲット・システムのAPIを呼び出し、リソース上で操作を実行します。
コネクタは、OIMラッパー・パッケージのストアド・プロシージャを呼び出し、次にターゲット・システムのストアド・プロシージャを内部で呼び出すことにより、ターゲット・システムと通信します。OIMラッパー・パッケージは、コネクタのインストール・パッケージに存在するスクリプトを実行すると、ターゲット・システムで作成されます。このスクリプトの実行手順は、このガイドで後述します。
このコネクタの基本機能は、Oracle Identity Managerを介してOracle E-Business Suiteでのユーザー・データを管理できるようにすることです。つまり、Oracle E-Business Suite User Managementコネクタを使用すると、Oracle Identity Managerの管理対象リソースまたはターゲット・リソースとしてOracle E-Business Suite(ターゲット・システム)を使用できるようになります。プロビジョニングによって、OIMユーザーに対するターゲット・システム・アカウント(リソース)を作成して管理できます。また、新たに作成または変更されたターゲット・システム・アカウントに関連するデータを(スケジュール済タスクによって)リコンサイルして、既存のOIMユーザーやプロビジョニングされたリソースにリンクできます。
コネクタの機能には、コネクタ・サーバーのサポート、ターゲット・リソースのリコンシリエーション、ロールおよび職責権限リクエストの職務の分離(SoD)検証、すべての既存または変更済アカウント・データのリコンシリエーション、制限付きリコンシリエーションとバッチ・リコンシリエーション、リコンシリエーションおよびプロビジョニング中のアカウント・データの変換と検証などが含まれます。
コネクタには、次のような機能があります。
EBS UMコネクタを使用して、ターゲット・システムをOracle Identity Managerのターゲット・リソースとして構成できます。
このモードでは、このコネクタを使用すると、Oracle E-Business Suiteから次のエンティティをプロビジョニングおよびリコンサイルできます。
EBSアカウント/FND_USRレコード
TCAパーティ・レコード/ベンダー・レコード
このコネクタでは、SoD機能がサポートされています。これらはこの機能の焦点です。
SoD起動ライブラリ(SIL)は、Oracle Identity Governanceリリースにバンドルされています。SILは、任意のSoDエンジンとのプラガブル統合インタフェースとして機能します。
EBS UMコネクタは、SoDエンジンとしてのOracle Applications Access Controls Governorと一緒に使用できるように事前に構成されています。そのために、コネクタの認証とプロビジョニングのワークフローが変更されました。
SoDエンジンは、コネクタを介して送信されるロールおよび職責権限のリクエストを処理します。ロールと職責の割当てに潜在的な競合がある場合には自動的に検出されます。
SoD機能用のコネクタの構成の詳細は、SoDの構成を参照してください。
Oracle E-Business Suiteは、ユーザーの認証にシングル・サインオン・ソリューション(Oracle Single Sign-OnまたはOracle Access Managerなど)を使用するように構成できます。Oracle Single Sign-Onは、ユーザー・レコードを格納するLDAPベース・リポジトリとしてOracle Internet Directoryを使用します。Oracle Access Managerは、LDAPベース・リポジトリとしてMicrosoft Active Directory、Oracle Directory Server Enterprise EditionまたはNovell eDirectoryを使用できます。
リコンシリエーションおよびプロビジョニング操作の際にこれらのSSOソリューションの1つと一緒に機能するようにコネクタを構成することができます。
コネクタは、GUIDなどのSSOアカウント詳細をエンタープライズ・ディレクトリ・プロセス・フォームからEBSユーザー・フォームにコピーするアダプタに付属しています。
シングル・サインオン・ソリューション用のコネクタの構成の詳細は、「SSO用コネクタの構成」を参照してください。
ターゲット・システムでアカウントを有効にすると、ターゲット・システムで有効期間開始日フィールドが現在の日付に設定され、有効期間終了日フィールドがNULLに設定されます。
ターゲット・システムでアカウントを無効にすると、ターゲット・システムで有効期間終了日フィールドが現在の日付に設定されます。
Oracle Identity Managerでプロビジョニング操作を実行しても同じ結果が得られます。また、ターゲット・システムで直接行われたステータスの変更は、リコンシリエーション時にOracle Identity Managerにコピーすることができます。
SoD有効環境での操作のプロビジョニングの詳細は、SoD有効環境で実行されるプロビジョニング操作を参照してください。
コネクタでは、基本のパスワード管理機能がサポートされています。次のプロセス・フォーム・フィールドを使用して、特定のユーザーについてユーザーのパスワードの有効期限を指定できます。
パスワードの有効期限タイプ
パスワードの有効期限タイプ・フィールドを使用して、パスワード有効期限の値の設定に使用するファクタ(単位)を指定します。パスワードの有効期限タイプとして「アクセス」
または「日」
を選択できます。
パスワードの有効期間
パスワードの有効期間フィールドには、ユーザーがパスワードを使用できるアクセス回数または日数を指定します。
たとえば、パスワードの有効期限タイプ・フィールドに「アクセス」
を指定し、パスワードの有効期間フィールドに20
と入力すると、ユーザーが21回目にログインするときにパスワードの変更を求められます。同様に、パスワードの有効期限タイプ・フィールドに「日」
を指定し、パスワードの有効期間フィールドに100
と入力すると、ユーザーは新しいパスワードを設定してから101日目にパスワードの変更を求められます。
パスワードの有効期限タイプ・フィールドに対応する参照定義の詳細は、「Lookup.Oracle EBS UM.PasswordExpTypes」を参照してください。
完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Managerにフェッチされます。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Managerにフェッチされます。
コネクタのデプロイ後はいつでも、増分リコンシリエーションから完全リコンシリエーションへ切り替えることができます。完全リコンシリエーションおよび増分リコンシリエーションの実行の詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。
バッチ・リコンシリエーションの詳細は、「バッチ・リコンシリエーションの実行」を参照してください。
リコンシリエーション実行時に、Oracle Identity Managerにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
制限付きリコンシリエーションの実行の詳細は、「制限付きリコンシリエーションの実行」を参照してください。
コネクタ・サーバーは、ICFによって提供されるコンポーネントです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。つまり、コネクタ・サーバーを使用すると、Oracle Identity Managerコネクタのリモート実行が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
このコネクタのインストール・オプションの詳細は、インストールを参照してください。
接続プールは、ターゲットへの物理的な接続を表すオブジェクトのキャッシュです。Oracle Identity Managerコネクタは、これらの接続を使用してターゲット・システムと通信できます。
実行時には、アプリケーションがプールに接続をリクエストします。接続が使用可能であれば、コネクタがその接続を使用してからプールに戻します。プールに戻された接続は、コネクタが別の操作のために再びリクエストして使用することができます。接続プールは、接続の再利用を可能にし、ネットワーク待機時間、メモリー割当ておよび認証といった接続作成のオーバーヘッドを減らすことに役立っています。
ITリソースごとに1つの接続プールが作成されます。たとえば、ターゲット・システムの3つのインストールに3つのITリソースがある場合は、ターゲット・システム・インストールごとに1つずつ、3つの接続プールが作成されます。
接続プーリングに対して構成できるパラメータの詳細は、接続プーリング用の参照定義の設定を参照してください。
Oracle Identity Managerとターゲット・システムの間の通信を保護するためにSSLを構成できます。
ターゲット・システムとOracle Identity Governance間の通信の保護に関する詳細は、ターゲット・システムとOracle Identity Governance間のセキュアな通信の構成を参照してください。