| Oracle® Identity Manager Salesforceコネクタ・ガイド リリース11.1.1 E79638-05 |
|
 前 |
 次 |
SalesforceコネクタはOracle Identity ManagerをSalesforce.comターゲット・システムと統合します。
この章の構成は、次のとおりです。
ノート:
このマニュアルの一部では、ターゲット・システムという用語は、Salesforce.comを指すために使用されています。Salesforceコネクタを使用すると、ユーザーおよびグループのアイデンティティのプロファイルを管理しつつ、それらユーザーおよびグループのアイデンティティに対してアイデンティティ管理関連のタスク(作成、更新および削除など)を実行できます。
コネクタのアカウント管理(ターゲット・リソース)モードでは、ターゲット・システム上で直接作成または変更されたすべてのアクティブなユーザーに関する情報をOracle Identity Managerにリコンサイルできます。このデータは、OIMユーザーに割り当てられたリソース(つまりアカウント)の追加または変更に使用されます。また、Oracle Identity Managerを使用して、OIMユーザーに割り当てられたSalesforceリソース(アカウント)のプロビジョニングまたは更新を行うことができます。Oracle Identity Managerで実行されるこのようなプロビジョニング操作は、ターゲット・システム・アカウントの作成または更新に変換されます。
コネクタのアイデンティティ・リコンシリエーション(信頼できるソース)モードでは、ユーザーはターゲット・システム上でのみ作成または変更され、これらのユーザーに関する情報がOracle Identity Managerにリコンサイルされます。
Salesforceコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1 動作保証されているコンポーネント
| コンポーネント | 要件 |
|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
Oracle Identity ManagerまたはOracle Identity Governanceの次のリリースのいずれかを使用できます。
|
ターゲット・システム |
Salesforce Winter 2012以降のリリース |
コネクタ・サーバー |
1.4.0 |
コネクタ・サーバーのJDK |
JDK 1.6以上 |
コネクタでサポートされている言語は次のとおりです。
アラビア語
中国語(簡体字)
中国語(繁体字)
チェコ語
デンマーク語
オランダ語
英語(アメリカ合衆国)
フィンランド語
フランス語
フランス語(カナダ)
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ノルウェー語
ポーランド語
ポルトガル語
ポルトガル語(ブラジル)
ルーマニア語
ロシア語
スロバキア語
スペイン語
スウェーデン語
タイ語
トルコ語
Salesforceコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Managerコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Managerに同梱されています。したがって、ICFを構成したり変更する必要はありません。
コネクタは、次のモードのいずれかで実行されるように構成されます。
アイデンティティ・リコンシリエーション
アイデンティティ・リコンシリエーションは、認可ソースまたは信頼できるソースのリコンシリエーションとも呼ばれます。このモードでは、ターゲット・システムは信頼できるソースとして使用され、そこでユーザーが直接作成および変更されます。リコンシリエーションの際は、ターゲット・システムからフェッチされた各ユーザー・レコードが、既存のOIMユーザーと比較されます。ターゲット・システムとOIMユーザーの一致が見つかった場合、ターゲット・システム・レコードに対して行われた変更内容でOIMユーザー属性が更新されます。一致が見つからない場合、ターゲット・システム・レコードを使用してOIMユーザーが作成されます。
アカウント管理
アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。
プロビジョニング
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザーを作成または更新します。OIMユーザーに対してSalesforceリソースの割当て(または、プロビジョニング)を行うと、Salesforceにそのユーザーのアカウントが作成されます。Oracle Identity Manager関連では、プロビジョニングという用語は、Oracle Identity Managerを使用したターゲット・システム・アカウントに対する更新を意味する場合にも使用されます。
ターゲット・リソースのリコンシリエーション
ターゲット・リソースのリコンシリエーションでは、新たに作成または変更されたターゲット・システム・アカウントに関連するデータをリコンサイルして、既存のOIMユーザーやプロビジョニングされたリソースにリンクすることができます。リコンシリエーションには、スケジュール済タスクが使用されます。Salesforce.comではアクティブなユーザー・アカウントについてのみ詳細を提供します。
図1-1に示されているように、Salesforce.comは、Oracle Identity Managerのターゲット・リソースとして構成されます。Oracle Identity Managerで実行されるプロビジョニング操作を通じて、OIMユーザーのアカウントがターゲット・システムで作成および更新されます。
リコンシリエーションを通じて、ターゲット・システムで直接作成および更新されるアカウント・データがOracle Identity Managerにフェッチされ、対応するOIMユーザーに対して格納されます。
Identity Connector Framework (ICF)は、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFはOracle Identity Managerに同梱されています。ICFを構成したり変更する必要はありません。
プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがSalesforceアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがSalesforceプロビジョニングAPIを呼び出します。ターゲット・システムのSalesforceプロビジョニングAPIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
リコンシリエーション中に、スケジュール済タスクがICF操作を呼び出すと、ICFがSalesforceアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがSalesforceリコンシリエーションAPIを呼び出します。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Managerにレコードを渡します。
このコネクタを使用可能な一般的なシナリオには次のようなものがあります。
Salesforceライセンス管理
Salesforce.comでは、プロファイルはライセンスを管理するのに使用され、そのライセンスはユーザー・タイプに関連付けられています。したがって、特定のユーザー・タイプには決まったプロファイルのセットがあります。Salesforceコネクタを使用すると、Salesforceからすべてのプロファイルをリコンサイルし、ユーザー・タイプを気にすることなくユーザーに割り当てることができます。したがって、Salesforceコネクタを使用することでユーザーをあるライセンス・タイプから別のタイプへと切り替えるのが簡単になります。これは、SalesforceにおいてChatter FreeユーザーをStandardユーザーに昇格させ、事前定義済ライセンスに基づく権限を与えるという場合に役立ちます。
Salesforce Connectorはまた、特定のSalesforce.comプロファイルをユーザーに対して有効化するのにも使用され、各ユーザーに対して1つのプロファイルを選択する必要があります。プロファイルとは事前定義済設定の集合が格納されたテンプレートのことで、プラットフォームにおいてユーザーが何を表示できて何を行えるかが指定されます。プロファイルの基本原則は、あるユーザーが各アプリケーションおよびアプリケーションの各タブを表示および使用できるかどうかです。
複数のクラウド・アプリケーションに対するワンストップのアイデンティティ・ソリューション
Salesforce.comは、ユーザーを様々なターゲット・クラウド・アプリケーションにマップするのに使用できる、アイデンティティの信頼できるソースとしての役割を果たすことができます。この場合、Oracle Identity Managerがサポートするあらゆるクラウドおよび非クラウド・アプリケーションでSalesforceからのユーザーを作成できます。
Salesforce.comは信頼できるソースとして使用でき、組織はこの機能を使用してユーザーのリストを用意し、さらに、ターゲット・ソースとして構成されているサードパーティー・アプリケーションにこれらのユーザーのアカウントをプロビジョニングできます。
パラメータにとどまらないSalesforceのアイデンティティおよびデータのセキュリティの発展
アイデンティティ管理ソリューションは従来のパラメータに基づく認証のサポートだけでは不十分で、Salesforceベース認証における認証および権限を管理するための単一で簡単、かつ信頼できる方法を提供する必要があります。各種ITシステム(サーバー、デバイス、アプリケーションなど)を利用するエンタープライズにおいては、パスワードの数の爆発的増加による数多くの問題に直面しています。パスワードが脆弱だと、攻撃者にパスワードを知られてなりすまされる危険性があります。Oracle Salesforce Connectorは、セルフサービスのパスワードのリセットおよび変更を有効にすることで、管理およびヘルプ・デスクにかかるコストを軽減するのに役立ちます。
次の図は、ロール、グループおよびプロファイルの管理によるユーザーのアクセス権の制御を示します。
コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、制限付きリコンシリエーション、およびアカウント・データの変換と検証が含まれます。
完全リコンシリエーションでは、アクティブなすべてのユーザー・レコードをターゲット・システムからOracle Identity Managerへリコンサイルします。
ノート:
Salesforceサンドボックスが持つ自動処理ユーザーを削除し、すべてのユーザーの完全リコンシリエーションを正常に行うには、次のフィルタを追加する必要があります。
greaterThan('userType','AutomatedProcest')|lessThan('userType','AutomatedProcess')完全リコンシリエーションを実行するには、フィルタに割り当てられている値があればそれを削除してからユーザー・リコンシリエーションのためのスケジュール済ジョブを実行します。
ノート:
アカウント・データが作成または変更された時間を追跡する方法がターゲット・システムによって提供されないため、コネクタは増分リコンシリエーションをサポートできません。
ターゲット・システムに2200件を超えるレコードが含まれている場合、フラット・ファイル・コネクタを使用して完全リコンシリエーションを実行してください。これは、Salesforce.comでは2200ユーザーを超えるリコンサイルはページ区切りされている場合でも許可されないためです。大規模なレコードのリコンサイルを参照してください。
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。ネイティブに管理されているリソースと同じホストにバンドルをデプロイするとバンドルの動作が速くなる場合は、Javaコネクタを別のホストで実行するとパフォーマンス改善に役立ちます。
制限付きつまりフィルタ済リコンシリエーションは、設定されたフィルタ基準に基づいてリコンサイルすることによりレコードの数を制限するプロセスです。
リコンシリエーション実行時に、Oracle Identity Managerにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。「制限付きリコンシリエーション」を参照してください。
リコンシリエーションおよびプロビジョニング時に使用される参照定義は事前構成されているか、またはターゲット・システムと同期できます。
コネクタ操作中に使用される参照定義は、次のように分類できます。
参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を指定します。たとえば、「グループ名」参照フィールドを使用して、プロビジョニング操作の実行対象となるユーザーのグループを指定します。コネクタをデプロイすると、ターゲット・システムの参照フィールドに対応する参照定義がOracle Identity Managerに作成されます。参照フィールド同期により、対応する参照定義からの値がこれらの参照フィールドに移入されます。
Lookup.Salesforce.Groups参照定義には、Salesforce.comで定義されているグループの詳細が含まれます。この参照定義は、Salesforce Group Lookup Reconciliationスケジュール済ジョブを使用して実行される参照フィールド同期により、移入されます。
次に、参照フィールドの同期後にデータ保存に使用されるフォーマットを示します。
コード・キー: IT_RESOURCE_KEY~GROUP_ID
IT_RESOURCE_KEYは、Oracle Identity Managerの各ITリソースに割り当てられる数値コードです。
GROUP_IDは、ターゲット・システムのグループのGUIDです。
デコード: IT_RESOURCE_NAME~GROUP_NAME
IT_RESOURCE_NAMEは、Oracle Identity ManagerでITリソースに割り当てられた名前です。
GROUP_NAMEは、ターゲットシステムのグループの名前です。
表1-2に、この参照定義のサンプル・エントリを示します。
表1-2 Lookup.Salesforce.Groups参照定義のサンプル・エントリ
| コード・キー | デコード |
|---|---|
461~00G80000001gXdyEAE |
Salesforce~Company Labs |
461~00G54000000FcXxEAK |
Salesforce~IT |
461~00G54000000Fcc9EAC |
Salesforce~BusinessIntelligence |
Lookup.Salesforce.Profiles参照定義には、Salesforceで定義されているプロファイルの詳細が含まれます。この参照定義は、Salesforce Profile Lookup Reconciliationスケジュール済ジョブを使用して実行される参照フィールド同期により、移入されます。
次に、参照フィールドの同期後にデータ保存に使用されるフォーマットを示します。
コード・キー: IT_RESOURCE_KEY~PROFILE_ID
IT_RESOURCE_KEYは、Oracle Identity Managerの各ITリソースに割り当てられる数値コードです。
PROFILE_IDは、ターゲット・システムのプロファイルのGUIDです。
デコード: IT_RESOURCE_NAME~PROFILE_NAME
IT_RESOURCE_NAMEは、Oracle Identity ManagerでITリソースに割り当てられた名前です。
PROFILE_NAMEは、ターゲット・システムのプロファイルの名前です。
表1-3に、この参照定義のサンプル・エントリを示します。
表1-3 Lookup.Salesforce.Profile参照定義のエントリ
| コード・キー | デコード |
|---|---|
161~00e80000001aotvAAA |
Salesforce~Chatter Free User |
161~00e30000000iEpoAAE |
Salesforce~Standard Platform User |
161~ooe800000018uFGAAY |
Salesforce~Salesforce~S&OP 2 |
コネクタをデプロイしたら、事前構成済参照定義がOracle Identity Managerで自動的に作成されます。
これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。事前構成済の参照定義は次のとおりです。
Lookup.Salesforce.Configuration参照定義には、ターゲット・リソースのリコンシリエーションおよびプロビジョニング操作時に使用されるコネクタ構成エントリが含まれます。
Lookup.Configuration.Salesforce参照定義には、表1-4に示されているエントリが含まれています。
ノート:
表1-4のエントリは変更しないでください。表1-4 Lookup.Configuration.Salesforce参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Bundle Name |
org.identityconnectors.genericscim |
このエントリは、コネクタ・バンドルの名前を保持します。 |
Bundle Version |
1.0.1115 |
このエントリは、コネクタ・バンドルのバージョンを保持します。 |
Connector Name |
org.identityconnectors.genericscim.GenericSCIMConnector |
このエントリは、コネクタ・クラスの名前を含みます。 |
Group Configuration Lookup |
Lookup.Salesforce.GM.Configuration |
このエントリは、グループ固有の構成プロパティを含む参照定義の名前を含みます。この参照定義は、グループ管理操作を実行するときに構成参照定義として使用されます。 |
User Configuration Lookup |
Lookup.Salesforce.UM.Configuration |
このエントリは、ユーザー管理操作中に使用される構成情報を格納する参照定義の名前を保持します。 |
defaultBatchSize |
200 |
これは、1回の実行でターゲット・システムから取得できるレコードの数です。 |
nameAttributes |
"Users=userName","Groups=displayName","Entitlement=displayName" |
これは、ターゲット・システムの関連属性に対するOracle Identity Managerの__NAME__属性マッピングです。 |
attrToOClassMapping |
"__ACCOUNT__.groups=Groups" |
これは、あるオブジェクト・クラスに存在する属性を他のオブジェクト・クラスにマッピングするのに使用されます。たとえば、"__ACCOUNT__"オブジェクト・クラスの"groups"は"__GROUP__"オブジェクト・クラスにマッピングする必要があります。 サンプル値: " |
jsonResourcesTag |
Resources |
このエントリは、レスポンス・ペイロードのユーザー詳細を保持するJSONタグの名前を保持します。 |
customPayload |
"__ACCOUNT__.groups.AddOp={\"displayName\":\"$(__GROUP__.displayName)$\",\"members\":[{\"operation\":\"add\",\"value\":\"$(__ACCOUNT__.__UID__)$\"}]}","__ACCOUNT__.groups.RemoveOp={\"displayName\":\"$(__GROUP__.displayName)$\",\"members\":[{\"operation\":\"delete\",\"value\":\"$(__ACCOUNT__.__UID__)$\"}]}","__ACCOUNT__.phoneNumbers.RemoveOp={\"phoneNumbers\":[{\"type\":\"$(__ACCOUNT__.phoneNumbers.type)$\",\"value\":\"\"}]}" |
これは、ターゲット・システムで特定の属性に対する特定の操作を実行するのに必要なカスタム・ペイロードをとります。 |
scimVersion |
1 |
このエントリは、ターゲット・システムでサポートされているSCIMバージョンを指定します。 |
statusAttributes |
"Users=active" |
これは、ターゲット・システムのステータス属性に対するOracle Identity Managerの__ENABLE__属性マッピングです。 |
uidAttributes |
"Users=id"、"Groups=id"、"Entitlement=id" |
これは、ターゲット・システムのGUID属性に対するOracle Identity Managerの__UID__属性マッピングです。 |
passwordAttributes |
"Users=password" |
このエントリは、OIMのコネクタの__PASSWORD__属性にマッピングされるターゲット・システム属性の名前を含みます。 |
Lookup.Salesforce.Configuration.Trusted参照定義は、信頼できるソースのリコンシリエーションで使用されるコネクタ構成エントリを含みます。
ノート:
表1-5にリストされているエントリは変更しないでください。表1-5 Lookup.Salesforce.Configuration.Trusted参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Bundle Name |
org.identityconnectors.genericscim |
このエントリは、コネクタ・バンドルの名前を保持します。 |
Bundle Version |
1.0.1115 |
このエントリは、コネクタ・バンドルのバージョンを保持します。 |
Connector Name |
org.identityconnectors.genericscim.GenericSCIMConnector |
このエントリは、コネクタ・クラスの名前を含みます。 |
User Configuration Lookup |
Lookup.Salesforce.UM.Configuration.Trusted |
このエントリは、ユーザー固有の構成プロパティを含む参照定義の名前を含みます。 |
defaultBatchSize |
200 |
これは、1回の実行でターゲット・システムから取得できるレコードの数です。 |
nameAttributes |
"Users=userName" |
これは、ターゲット・システムの関連属性に対するOracle Identity Managerの__NAME__属性マッピングです。 |
attrToOClassMapping |
"__ACCOUNT__.groups=Groups" |
これは、あるオブジェクト・クラスに存在する属性を他のオブジェクト・クラスにマッピングするのに使用されます。 たとえば、"__ACCOUNT__"オブジェクト・クラスの"groups"は"__GROUP__"オブジェクト・クラスにマッピングする必要があります。 サンプル値: " |
jsonResourcesTag |
Resources |
このエントリは、レスポンス・ペイロードのユーザー詳細を保持するJSONタグの名前を保持します。 |
customPayload |
"__ACCOUNT__.groups.AddOp={\"displayName\":\"$(__GROUP__.displayName)$\",\"members\":[{\"operation\":\"add\",\"value\":\"$(__ACCOUNT__.__UID__)$\"}]}","__ACCOUNT__.groups.RemoveOp={\"displayName\":\"$(__GROUP__.displayName)$\",\"members\":[{\"operation\":\"delete\",\"value\":\"$(__ACCOUNT__.__UID__)$\"}]}","__ACCOUNT__.phoneNumbers.RemoveOp={\"phoneNumbers\":[{\"type\":\"$(__ACCOUNT__.phoneNumbers.type)$\",\"value\":\"\"}]}" |
これは、ターゲット・システムで特定の属性に対する特定の操作を実行するのに必要なカスタム・ペイロードをとります。 |
scimVersion |
1 |
このエントリは、ターゲット・システムでサポートされているSCIMバージョンを指定します。 |
statusAttributes |
"Users=active" |
これは、ターゲット・システムのステータス属性に対するOracle Identity Managerの__ENABLE__属性マッピングです。 |
uidAttributes |
"Users=id" |
これは、ターゲット・システムのGUID属性に対するOracle Identity Managerの__UID__属性マッピングです。 |
passwordAttributes |
"Users=password" |
このエントリは、OIMのコネクタの__PASSWORD__属性にマッピングされるターゲット・システム属性の名前を含みます。 |
Lookup.Salesforce.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。
この参照定義は、コネクタがターゲット・リソース・モードで構成されているときに、ユーザー管理操作で使用されます。
表1-6に、この参照定義のデフォルト・エントリを示します。
表1-6 Lookup.Salesforce.UM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.Salesforce.UM.ProvAttrMap |
このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、プロビジョニング操作の際に使用されます。 |
Recon Attribute Map |
Lookup.Salesforce.UM.ReconAttrMap |
このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、リコンシリエーションの際に使用されます。 |
Lookup.Salesforce.UM.Configuration.Trusted参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、信頼できるソースのユーザー・リコンシリエーション実行で使用されます。
表1-7 Lookup.Salesforce.UM.Configuration.Trusted参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Recon Attribute Defaults |
Lookup.Salesforce.UM.ReconAttrMap.TrustedDefaults |
このエントリは、リコンシリエーション・フィールドをデフォルト値にマッピングする参照定義の名前を含みます。「Lookup.Salesforce.UM.ReconAttrMap.TrustedDefaults」を参照してください。 |
Recon Attribute Map |
Lookup.Salesforce.UM.ReconAttrMap.Trusted |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。「Lookup.Salesforce.UM.ReconAttrMap.Trusted」を参照してください。 |
Lookup.Salesforce.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。
この参照定義は、プロビジョニングの際に使用されます。この参照定義は、事前に構成されています。表1-17にデフォルト・エントリを示します。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。「プロビジョニングのための新規ユーザーまたはグループ属性の追加」を参照してください。
Lookup.Salesforce.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。
この参照定義は、リコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。表1-13に、デフォルト・エントリを示します。
ターゲット・リソースのリコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。「リコンシリエーションのための新規ユーザーまたはグループ属性の追加」を参照してください。
Lookup.Salesforce.UM.ReconAttrMap.Trusted参照定義は、信頼できるソースのユーザー・リコンシリエーション実行で使用されます。
Lookup.Salesforce.UM.ReconAttrMap.Trusted参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、事前に構成されています。表1-19に、この参照定義のデフォルト・エントリを示します。
ノート:
デフォルト・エントリのコード・キーおよびデコード値は変更しないでください。必須フィールドを削除することはできません。新規属性を管理するためのフィールドを追加できます。「リコンシリエーションのための新規ユーザーまたはグループ属性の追加」を参照してください。Lookup.Salesforce.UM.ReconAttrMap.TrustedDefaults参照定義は、リコンシリエーション・フィールドとそのデフォルト値のマッピングを含みます。
Lookup.Salesforce.UM.ReconAttrMap.TrustedDefaults参照定義が使用されるのは、OIMユーザー・フォームに必須フィールドがあるが、信頼できるソースのリコンシリエーション中にフェッチできる対応フィールドがターゲット・システムにない場合です。
表1-8に、この参照定義のデフォルト・エントリを示します。
表1-8 Lookup.Salesforce.UM.ReconAttrMap.TrustedDefaults参照定義のエントリ
| コード | デコード |
|---|---|
Organization |
Xellerate Users |
User Type |
End-User |
Employee Type |
Full-Time |
コード・キー: Salesforce Userリソース・オブジェクトのリコンシリエーション・フィールドの名前
デコード: 対応するデフォルト値(表示される値)
たとえば、優先通信モードという名前のフィールドがOIMユーザー・フォームの必須フィールドであるとします。ターゲット・システムには、ユーザー・アカウントの通信の優先モードに関する情報を格納するフィールドがありません。リコンシリエーションの際に、優先通信モード・フィールドの値はターゲット・システムからフェッチされません。優先通信モード・フィールドを空にしておくことはできないため、このフィールドの値を指定する必要があります。そのため、コード・キー値がPreferred Communication Modeに、デコード値がEmailに設定されたエントリをこの参照定義に作成します。これにより、OIMユーザー・フォームの優先通信モード・フィールドには、ターゲット・システムからリコンサイルされるすべてのユーザー・アカウントに対して「電子メール」と表示されることが暗黙に指定されます。
Lookup.Salesforce.GM.Configuration参照定義は、グループ・オブジェクト・タイプに固有の構成エントリを含みます。
この参照定義は、コネクタがターゲット・リソース・モードで構成されているときに、グループ管理操作で使用されます。
表1-9に、この参照定義のデフォルト・エントリを示します。
表1-9 Lookup.Salesforce.GM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.Salesforce.GM.ProvAttrMap |
このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、グループ・プロビジョニング操作の際に使用されます。 |
Recon Attribute Map |
Lookup.Salesforce.GM.ReconAttrMap |
このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、リコンシリエーションの際に使用されます。 |
Lookup.Salesforce.GM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。
この参照定義は、グループ・プロビジョニング操作の際に使用されます。この参照定義は、事前に構成されています。表1-18にデフォルト・エントリを示します。
Lookup.Salesforce.GM.ReconAttrMap参照定義は、グループ・オブジェクトに対するリコンシリエーションの実行の際に使用されます。
Lookup.Salesforce.GM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、事前に構成されています。表1-14に、デフォルト・エントリを示します。
ノート:
デフォルト・エントリのコード・キーおよびデコード値は変更しないでください。必須フィールドを削除することはできません。新規属性を管理するためのフィールドを追加できます。「リコンシリエーションのための新規ユーザーまたはグループ属性の追加」を参照してください。Lookup.Salesforce.PreferredLanguages参照定義は、Oracle Identity Managerを通して作成されるユーザー・アカウントの優先言語を選択および設定するための言語のリストを含みます。
この参照定義は静的な参照定義です。エントリは手動で移入する必要があります。
表1-10 Lookup.Salesforce.PreferredLanguages参照定義のエントリ
| コード・キー | デコード |
|---|---|
en_US |
ENGLISH |
これは静的参照定義で、各値はターゲット・システムに固有の電話タイプを示します。この値は変更しないでください。
表1-11 Lookup.Salesforce.PhoneType参照定義のエントリ
| コード | デコード |
|---|---|
fax |
FAX |
mobile |
MOBILE |
work |
WORK |
Lookup.Salesforce.Roles参照定義は、Oracle Identity Managerで作成したユーザー・アカウントに選択できるロールのリストを保持します。
Lookup.Salesforce.Roles参照定義は静的参照定義で、ターゲットに存在するすべてのロールを手動で移入する必要があります。
コード・キー: ROLE_ID
この形式において、ROLE_IDは、ターゲット・システムのロールのGUIDです。「ロールのGUIDの取得」を参照してください。
デコード: ROLE_NAME
この形式において、ROLE_NAMEは、ターゲット・システムのロールの名前です。
表1-12 Lookup.Salesforce.Roles参照定義のエントリ
| コード・キー | デコード |
|---|---|
00E800000024rvLEA |
practices |
00E800000016occ2EA |
CEO |
ターゲット・リソースのリコンシリエーションでは、ターゲット・システムで新規作成または変更されたアカウントに関するデータをフェッチし、そのデータを使用してOIMユーザーに割り当てられたリソースを追加または変更します。
Salesforce.com Target Resource User Reconciliationスケジュール済ジョブは、リコンシリエーションの実行開始に使用されます。このスケジュール済ジョブは、「リコンシリエーション・スケジュール済ジョブ」で説明されています。
この項では、コネクタ・オブジェクトに関連した内容について説明します。
Lookup.Salesforce.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。この参照定義は、ターゲット・リソース・ユーザー・リコンシリエーションの実行に使用されます。
コード・キー: リソース・オブジェクトのリコンシリエーション・フィールド
デコード: ターゲット・システム属性の名前
表1-13に、この参照定義のエントリを示します。
表1-13 Lookup.Salesforce.UM.ReconAttrMap参照定義のエントリ
| コード・キー(リソース・オブジェクト・フィールド) | デコード(Salesforceフィールド) |
|---|---|
ロール |
__ACCOUNT__.roles.value |
プロファイル[LOOKUP] |
__ACCOUNT__.entitlements.value,primary:true |
ステータス |
__ENABLE__ |
グループ~グループ名[LOOKUP] |
__ACCOUNT__.groups~__ACCOUNT__.groups~value |
電話番号~値 |
__ACCOUNT__.phoneNumbers~__ACCOUNT__.phoneNumbers~value |
電話番号~タイプ |
__ACCOUNT__.phoneNumbers~__ACCOUNT__.phoneNumbers~type |
ID |
__UID__ |
ユーザー名 |
__NAME__ |
名 |
name.givenName |
姓 |
name.familyName |
優先言語 |
preferredLanguage |
タイトル |
Title |
ロケール |
Locale |
ニックネーム |
Nickname |
電子メール |
__ACCOUNT__.emails.value,type:work |
Lookup.Salesforce.GM.ReconAttrMap参照定義は、ユーザー・リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。
この参照定義は、ターゲット・リソース・グループ・リコンシリエーションの実行に使用されます。
表1-14に、リコンシリエーション時にターゲット・システムから値がフェッチされるグループ・フィールドを示します。Salesforce Group Reconスケジュール済ジョブは、グループ・データをリコンサイルするために使用されます。
表1-14 Lookup.Salesforce.GM.ReconAttrMap参照定義のエントリ
| Oracle Identity Managerのグループ・フィールド | Salesforceフィールド |
|---|---|
表示名 |
__NAME__ |
ID |
__UID__ |
OIM組織名 |
OIM Organization Name |
ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールは、Oracle Identity Managerがターゲット・システムで新たに検出されたアカウントを割り当てる必要があるアイデンティティを特定するためにリコンシリエーション・エンジンで使用されます。
Salesforceコネクタでは、ユーザーおよびグループの両方のリコンシリエーションを実行できます。つまり、コネクタにはユーザーおよびグループの両方のリコンシリエーション・ルールがあります。
ユーザーのリコンシリエーション・ルール
ユーザーのプロセス一致ルールを次に示します。
ルール名: Salesforce User Recon Rule
ルール要素: User Login Equals User Name
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
User NameはSalesforceアカウントの一意のフィールドである名前属性です。
グループのリコンシリエーション・ルール
グループのプロセス一致ルールを次に示します。
ルール名: Salesforce Groups Recon Rule
ルール要素: Organization Name Equals OIM Org Name
Organization Nameは、OIMユーザー・フォームの「組織名」フィールドです。
OIM Org Nameは、Oracle Identity Managerのグループの組織名です。OIM Org Nameは、Salesforce Group Reconスケジュール済ジョブのOrganization Name属性で指定された値です。
リコンシリエーション・ルールは、Oracle Identity Manager Design Consoleを使用して表示できます。
リコンシリエーション・アクション・ルールでは、コネクタがユーザーおよびグループに対して定義されたリコンシリエーション・ルールに基づいて実行する必要があるアクションが定義されます。
表1-15 ターゲット・リソースのリコンシリエーション用のアクション・ルール
| ルール条件 | アクション |
|---|---|
一致しない場合 |
なし |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
Oracle Identity Manager Design Consoleのリソース・オブジェクトのオブジェクト・リコンシリエーション・タブで、リコンシリエーション・アクション・ルールを表示できます。
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザー・データを作成または変更します。
この項の内容は次のとおりです。
Salesforceコネクタでサポートされるプロビジョニング機能と、これらの機能を実行するアダプタを示します。
表1-16のアダプタ列には、機能が実行されるときに使用されるアダプタの名前が示されます。
表1-16 ユーザー・プロビジョニング機能
| 機能 | アダプタ |
|---|---|
ユーザーの作成 |
adpSALESFORCECREATEOBJECT |
ユーザーの更新 |
adpSALESFORCEUPDATEATTRIBUTEVALUE |
ユーザーの削除 |
adpSALESFORCEDELETEOBJECT |
ユーザーの有効化 |
adpSALESFORCEENABLETASK |
ユーザーの無効化 |
adpSALESFORCEDISABLETASK |
パスワードの変更またはリセット |
adpSALESFORCEUPDATEATTRIBUTEVALUE |
子表の値の更新 |
adpSALESFORCEUPDATECHILDTABLEVALUE |
子表の値の追加 |
adpSALESFORCEADDCHILDATA |
ユーザーの子表の値の削除 |
adpSALESFORCEREMOVECHILDATA |
ノート:
Salesforce.comでは、ユーザーの削除はサポートされていません。SCIM APIによりユーザーを削除すると、ターゲット・システムのユーザーが無効化されます。Lookup.Salesforce.UM.ProvAttrMap参照定義は、プロセス・フォームのフィールドとターゲット・システムのフィールドをマップします。この参照定義は、ユーザー・プロビジョニング操作を実行するために使用されます。
表1-17 Lookup.Salesforce.UM.ProvAttrMap参照定義のエントリ
| コード・キー(プロセス・フォームのフィールド) | デコード(Salesforceフィールド) |
|---|---|
ロール |
__ACCOUNT__.roles.value |
UD_SF_UGP~グループ名[LOOKUP] |
ACCOUNT__.groups~__ACCOUNT__.groups~value |
UD_SF_PHONE~電話番号 |
__ACCOUNT__.phoneNumbers~__ACCOUNT__.phoneNumbers~value |
UD_SF_PHONE~タイプ |
__ACCOUNT__.phoneNumbers~__ACCOUNT__.phoneNumbers~type |
ユーザー名 |
__NAME__ |
姓 |
name.familyName |
名 |
name.givenName |
優先言語 |
preferredLanguage |
タイトル |
国 |
ニックネーム |
Nickname |
ロケール |
Locale |
プロファイル[LOOKUP] |
__ACCOUNT__.entitlements.value,primary:true |
ID |
__UID__ |
電子メール |
__ACCOUNT__.emails.value,type:work |
パスワード |
___PASSWORD___ |
Lookup.Salesforce.GM.ProvAttrMap参照定義は、ユーザー・リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。この参照定義は、グループ・プロビジョニング操作を実行するために使用されます。
複数のグループに同じ名前が付いている場合、ターゲットではグループ名に数字が付加されます。したがって、同名の複数のグループがターゲット・システムにプロビジョニングされてターゲットとOIMが同期されるたびにグループ・ターゲット・リコンシリエーション・ジョブを実行する必要があります。表1-18に、プロビジョニング操作時に値を指定または変更できるターゲット・システムのグループ・フィールドを示します。
表1-18 Lookup.Salesforce.GM.ProvAttrMap参照定義のエントリ
| Oracle Identity Managerのグループ・フィールド | Salesforceフィールド |
|---|---|
表示名 |
__NAME__ |
ID |
__UID__ |
信頼できるソースのリコンシリエーションでは、ターゲット・システムで新規作成または変更されたアカウントに関するデータをフェッチし、そのデータを使用してOIMユーザーを作成または更新します。
Salesforce Trusted User ReconおよびSalesforce Trusted User Reconciliationスケジュール済ジョブは、信頼できるソースのリコンシリエーションの実行を開始するために使用されます。
このセクションの内容は次のとおりです。
Lookup.Salesforce.UM.ReconAttrMap.Trusted参照定義は、OIMユーザー・フォームのユーザー・フィールドと、ターゲット・システムの対応するフィールド名をマップします。この参照定義は、信頼できるソースのリコンシリエーションの実行に使用されます。
表1-19 Lookup.Salesforce.UM.ReconAttrMap.Trusted参照定義のエントリ
| コード・キー(OIMユーザー・フォーム・フィールド) | デコード(ターゲット・システム・フィールド) |
|---|---|
優先言語 |
preferredLanguage |
電子メール |
__ACCOUNT__.emails.value,type:wor k |
ステータス[TRUSTED] |
__ENABLE__ |
ID |
__UID__ |
ユーザー名 |
__NAME__ |
名 |
name.givenName |
姓 |
name.familyName |
表示名 |
displayName |
信頼できるソースのリコンシリエーションのリコンシリエーション・ルールは、ターゲット・システムの対応するアカウントに対して作成および更新する必要があるOIMユーザー・アイデンティティを特定するのにリコンシリエーション・エンジンによって使用されます。
リコンシリエーション・ルールにおいて、OIMのSalesforce GUIDはターゲットのAccount IDと、あるいはOIMのユーザー・ログインはターゲット・システムのUserNameと一致している必要があります。
ユーザーのリコンシリエーション・ルール
ユーザーのプロセス一致ルールを次に示します。
ルール名: Salesforce User Trusted Recon Rule
ルール要素: Salesforce GUID Equals IDまたはUser Login Equals User Name
Salesforce GUIDはOIMのSalesforceコネクタのUDFフィールドです。
IDはターゲットのSalesforceユーザーのアカウントIDです。
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
User NameはSalesforceアカウントの一意のフィールドである名前属性です。
次に、このマニュアルの次の章以降の構成を示します。
Salesforceコネクタのデプロイでは、コネクタのデプロイの各ステージにおいて、Oracle Identity Managerおよびターゲット・システムで実行する必要のある手順を説明します。
Salesforceコネクタの使用では、コネクタの使用に関するガイドライン、およびプロビジョニング操作の実行やリコンシリエーション実行の構成の手順を説明します。
Salesforceコネクタの機能拡張では、コネクタの機能を拡張する場合に実行する手順について説明します。
インストール・メディアのファイルおよびディレクトリでは、インストール・メディアのファイルおよびディレクトリを示します。
