| Oracle® Identity Manager Boxコネクタ・ガイド リリース11.1.1 E82639-05 |
|
 前 |
 次 |
BoxコネクタはOracle Identity Manager (OIM)をBoxターゲット・システムと統合します。
Boxコネクタにより、Oracle Identity Managerの管理された(ターゲット)ソースとしてBoxを使用できます。
Oracle Identity Managerは、オンプレミスまたはクラウドにあるアプリケーションに対してセルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Managerコネクタは、Oracle Identity Managerと外部のアイデンティティ認識アプリケーションの統合に使用されます。このマニュアルでは、BoxをOracle Identity Managerの管理対象(ターゲット)リソースとして使用可能にするコネクタについて説明します。
ノート:
このマニュアルの一部では、ターゲット・システムという用語を、Boxターゲット・システムを表すために使用しています。コネクタのアカウント管理(ターゲット・リソース)モードにおいて、ターゲット・システムで直接作成または変更されたユーザーに関するデータは、Oracle Identity Managerにリコンサイルできます。このデータは、新規リソースのOIMユーザーへのプロビジョニング(割当て)、またはすでにOIMユーザーに割り当てられているリソースの更新に使用されます。Oracle Identity Managerを使用して、OIMユーザーに割り当てられたBoxリソース(アカウント)のプロビジョニングまたは更新を行うことができます。Oracle Identity Managerで実行されるこのようなプロビジョニング操作は、ターゲット・システム・アカウントの作成または更新に変換されます。また、コネクタはユーザーが手動入力で指定したアクセス・トークンを使用してBoxターゲット・システムに対する認証を行います。
Boxコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1に、このコネクタで動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
| コンポーネント | 要件 |
|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
Oracle Identity ManagerまたはOracle Identity Governanceの次のリリースのいずれかを使用できます。
|
ターゲット・システム |
Box |
コネクタ・サーバー |
11.1.2.1.0 |
コネクタ・サーバーのJDK |
JDK 1.6以上 |
コネクタでサポートされている言語は次のとおりです。
アラビア語
中国語(簡体字)
中国語(繁体字)
チェコ語
デンマーク語
オランダ語
英語(アメリカ合衆国)
フィンランド語
フランス語
フランス語(カナダ)
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ノルウェー語
ポーランド語
ポルトガル語
ポルトガル語(ブラジル)
ルーマニア語
ロシア語
スロバキア語
スペイン語
スウェーデン語
タイ語
トルコ語
Boxコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
コネクタを使用すると、ターゲット・システム上のアカウントを管理できます。アカウントの管理は、次のプロセスで構成されています。
プロビジョニング
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザーを作成または更新します。OIMユーザーに対してBoxリソースの割当て(または、プロビジョニング)を行うと、Boxにそのユーザーのアカウントが作成されます。Oracle Identity Manager関連では、プロビジョニングという用語は、Oracle Identity Managerを使用したターゲット・システム・アカウントに対する更新を意味する場合にも使用されます。
ターゲット・リソースのリコンシリエーション
ターゲット・リソースのリコンシリエーションでは、新たに作成または変更されたターゲット・システム・アカウントに関連するデータをリコンサイルして、既存のOIMユーザーやプロビジョニングされたリソースにリンクすることができます。リコンシリエーションには、スケジュール済ジョブが使用されます。
この図に示されているように、Boxは、Oracle Identity Managerのターゲット・リソースとして構成されます。Oracle Identity Managerで実行されるプロビジョニング操作を通じて、OIMユーザーのアカウントがターゲット・システムで作成および更新されます。リコンシリエーションを通じて、ターゲット・システムで直接作成および更新されるアカウント・データがOracle Identity Managerにフェッチされ、対応するOIMユーザーに対して格納されます。Identity Connector Framework (ICF)は、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFはOracle Identity Managerに同梱されています。
ICFを構成したり変更する必要はありません。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがBoxアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがプロビジョニング操作のためにBox REST APIを呼び出します。ターゲット・システムのBox REST APIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。リコンシリエーション中に、スケジュール済タスクがICF操作を呼び出すと、ICFがBoxアイデンティティ・コネクタ・バンドルで検索操作を呼び出し、バンドルがリコンシリエーション操作のためにBox REST APIを呼び出します。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Managerにレコードを渡します。
ターゲット・システムからフェッチされた各レコードは、OIMユーザーにすでにプロビジョニングされているBoxリソースと比較されます。一致が見つかると、ターゲット・システムからBoxレコードに対して行われた更新が、Oracle Identity ManagerのBoxリソースにコピーされます。一致が見つからなかった場合、レコードのユーザーIDが、各OIMユーザーのユーザーIDと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、BoxリソースがOIMユーザーにプロビジョニングされます。
Boxアイデンティティ・コネクタ・バンドルはHTTPSプロトコルを使用してBox REST APIと通信します。
Boxは、ファイル共有、コラボレーション、およびサーバーにアップロードされるファイルを処理するためのその他のツールを提供するクラウド・コンピューティング・ビジネスです。Boxは、ユーザーがどこからでもコンテンツの共有およびアクセスを実行できる動的で柔軟なコンテンツ管理ソリューションであり、組織内でのコンテンツの移動に対するITエンタープライズ・クラスのセキュリティおよび監視機能も提供します。
このコネクタが使用可能な最も一般的なシナリオの例を次に示します。
自動化された管理トークンの管理
現在、セキュリティはクラウド・アプリケーションへのアクセス中に組織が直面する最大の懸念事項の1つになっています。各クラウド・アプリケーションは独自のメカニズムでセキュリティ違反の発生を防ぎます。Boxでは自動化されたトークンを使用してこれを実現します。Boxコネクタの管理者には、アプリケーションで様々な操作を実行する管理者を認証および承認する場合に必要なセキュリティ・トークンが割り当てられます。また、リスクを最小化するためにこのトークンは定期的にリフレッシュされます。
Oracle Identity Manager Boxコネクタでは、自動化された管理トークンの管理を使用して管理者のセキュリティ・トークンを最新の状態に維持できます。この機能により、認証および承認された管理者だけが、古いまたは期限切れトークンによって遅延することなく操作を実行できます。
Boxユーザーの管理
世界中の組織がコンテンツ共有にBoxを使用しています。これらの組織では、従業員が様々な地域で最新の情報にアクセスし、共有できることが必要です。このために、Box管理者はログインを作成し、関連の従業員にログインを付与する必要があります。また、Box管理者はこの特定のユーザーのライフ・サイクル全体も確認する必要があります。従業員が退職する場合、それらの従業員が今後Boxアカウントを使用して機密情報またはコンテンツあるいはファイルにアクセスできないようにする必要があります。同様に、在職中、従業員は単独で使用する権限のあるファイルやコンテンツへのアクセス権を持ち、同時に機密ファイルやコンテンツへのアクセスは制限される必要があります。
この作業をすべての従業員に対して手動で行うのは非常に手間がかかり、間違いも起こりやすくなります。Oracle Identity Manager Boxコネクタは、ユーザー(従業員)のプロビジョニングおよびプロビジョニング解除の自動化を可能にするユーザー管理機能を提供します。新しい従業員が組織に加わるたびに、Boxアカウントが、適切なアクセス権限とともに自動的に従業員に対してプロビジョニングされます。同様に、従業員が退職すると、そのアカウントは自動的に非アクティブになります。これによって手動操作が最小限になるため、時間が節約されるだけでなく、堅牢なセキュリティも実現されます。
2ステップ・ログイン検証対象からのBoxユーザーの除外
セキュリティ強化のニーズの高まりに伴い、Boxでは2ステップ検証によってセキュリティを強化しています。このプロセスでは、ユーザーがログインする際に次の2つの認証証拠を提示する必要があります。
知っている情報(Boxパスワード)
所有している情報(各自のモバイル・デバイスに送信されるOTPコード)
OTPコードは、テキスト・メッセージ(SMS)としてユーザーのモバイル・デバイスに送信されます。ユーザーがモバイル・デバイスを紛失したり、モバイル・デバイスに送信された確認コードに不明な理由でアクセスできない場合のため、Boxコネクタには2ステップ・ログイン検証要件からユーザーを除外するオプションが用意されています。除外されたユーザーはBoxパスワードのみでログインできます。ユーザーのグループまたは管理者を除外する場合は、該当のユーザーに対してこのユーザーを2ステップ・ログイン検証から除外するオプションを有効にします。
ユーザー電子メールの別名の管理
組織内でユーザーが複数の電子メール・アドレスを持つことがあります。たとえば、買収や合併が行われる場合、様々なドメインの複数の電子メール・アドレスを管理する必要があります。そのような場合に、名前は変更しても、プライマリ電子メール・アドレスは変更していないユーザーに新しい電子メールの別名を追加する場合があります。
電子メールの別名によりユーザーは複数の電子メール・アドレスを単一のBoxアカウントにリンクして、重要なコンテンツを簡単に管理できます。ユーザーのタイプにかかわらず、複数の電子メール・アドレスをアカウントに追加し、1つのアドレスをプライマリ・アドレスに指定できます。コラボレーションの招待状とBox通知はプライマリ・アドレスに送信されます。Oracle Identity Manager Boxコネクタを使用して、電子メールの別名を管理し、その1つをユーザー・アカウントのプライマリ・アドレスとしてマークできます。
Boxユーザーのグループ・メンバーシップの管理
組織は通常、部門、プロジェクト・チームまたはその他のサブ部門に分かれており、この組織分割により、各コンテンツに対する異なるアクセス・レベルを各チームに付与するニーズが生じます。BOXのグループ機能を使用して組織はこのニーズに対応し、Boxで作業の複製やリソースの分割を簡単に実行できます。また、新しい方針に沿って新しいチームを作成することもできます。グループを使用して、このような作業分担をBoxで容易に複製したり、新しい方針に沿って新しいチームを作成することもできます。
Oracle Identity Manager Boxコネクタを使用して、組織はユーザーのグループ・メンバーシップを管理できます。ユーザーは1つ以上のグループのメンバーになることができます。Oracle Identity Manager Boxコネクタには、ITグループがコンテンツの管理とアクセスを常に可視化できる機能があります。モニタリングと詳細なアクセス制御機能により、認証されたユーザーのみがアクセス権を持つことができます。
Boxユーザーのグループ・メンバーシップの管理を使用したコラボレーションのその他のメリットとして、新規ユーザーが特定のグループに追加されると、そのユーザーはすでに共有されているコンテンツに自動的にアクセス可能になります。つまり、新規ユーザーは、ログインして自分のジョブを実行するために必要な関連コンテンツにすぐにアクセスできます。
ユーザーとグループのリコンシリエーション
既存のBoxアプリケーション(他のユーザーやグループが構成されている)を使用するユーザーがユーザーやグループのメンバーシップを管理する場合は、最初に既存のBoxグループをOracle Identity Managerに移行する必要があります。Boxコネクタはでユーザー・リコンシリエーションとグループ参照リコンシリエーションを容易に実行し、これらのユーザーとそのグループ・メンバーシップをOracle Identity Managerにそれぞれ一括ロードできます。
コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、および制限付きリコンシリエーションが含まれます。
完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Governanceにフェッチされます。
ノート:
コネクタは、ターゲット・システムの制限により、増分リコンシリエーションをサポートできません。ターゲット・システムは、アカウント・データが作成または変更された時刻を格納する属性に基づいて、ユーザー・レコードをフィルタ処理できません。完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Governanceにフェッチされます。「Boxコネクタの完全リコンシリエーション」を参照してください。
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。
リコンシリエーション実行時に、Oracle Identity Governanceにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。「Boxコネクタの制限付きリコンシリエーション」を参照してください。
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。ネイティブに管理されているリソースと同じホストにバンドルをデプロイするとバンドルの動作が速くなる場合は、Javaコネクタを別のホストで実行するとパフォーマンス改善に役立ちます。
関連項目:
コネクタ・サーバーのインストールと構成、およびコネクタ・サーバーの実行の詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのアイデンティティ・コネクタ・サーバーの使用を参照してください。
リコンシリエーションおよびプロビジョニング時に使用される参照定義は事前構成されているか、またはターゲット・システムと同期できます。
参照フィールド同期では、ターゲット・システムの特定のフィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を指定します。たとえば、「グループ名」参照フィールドを使用し、プロビジョニングされているユーザーが属す必要のあるグループを(グループ名のリストから)選択します。コネクタをデプロイすると、ターゲット・システムの参照フィールドに対応する参照定義がOracle Identity Managerに作成されます。参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
コネクタをデプロイすると、Lookup.Box.Groups参照定義が、Oracle Identity Managerで自動的に作成される参照フィールドの入力ソースとして使用されます。
参照フィールドには、操作用に選択したターゲット・システムに対応する値が移入されます。「グループ名」参照フィールドには、コネクタのデプロイ時にOracle Identity Managerに自動的に作成されるLookup.Box.Groups参照定義の値が移入されます。参照フィールド同期を実行すると、ターゲット・システムのグループがOracle Identity Managerにフェッチされ、Lookup.Box.Groups参照定義に移入されます。参照フィールドの同期は、Box参照リコンシリエーション・スケジュール済タスクを使用して行います。
Lookup.Box.Groups参照定義は、リコンシリエーションが成功した後にターゲット・システムで使用できるすべてのグループの値を含みます。これにより、Boxの使用可能でアクティブなすべてのグループのリストが示されます。これらのグループはOIMアイデンティティ・コンソールの「組織」タブで作成されます。
この参照定義はデフォルトでは空ですが、参照フィールドの同期用のスケジュール済ジョブを実行するときにターゲット・システムからフェッチされた値が移入されます。
参照フィールドの同期後、参照フィールド同期の各参照定義のデータは次の書式で格納されます。
コード・キー:
<IT_RESOURCE_KEY>~<LOOKUP_FIELD_VALUE>
IT_RESOURCE_KEYは、Oracle Identity Managerの各ITリソースに割り当てられる数値コードです。
LOOKUP_FIELD_VALUEは、コードに定義されるコネクタ属性値です。
サンプル値: 188~3502898
このサンプル値では、188はターゲット・システムに関連付けられているITリソースに割り当てられた数値コード、3502898はターゲット・システムの参照フィールド値です。
デコード:
<IT_RESOURCE_NAME>~<LOOKUP_FIELD_VALUE>
IT_RESOURCE_NAMEは、Oracle Identity ManagerのITリソースの名前です。
LOOKUP_FIELD_VALUEは、コードに定義されるコネクタ属性値です。
サンプル値: BOX~BOX Sales
このサンプル値では、BOXはターゲット・システムに関連付けられているITリソースに割り当てられた値、BOX Salesはターゲット・システムの参照フィールド値です。
事前構成済参照定義は、コネクタのデプロイ時にOracle Identity Managerに作成されるその他の参照定義です。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。
その他の参照定義は次のとおりです。
Lookup.Box.Configuration参照定義は、ターゲット・リソースのリコンシリエーションおよびプロビジョニング操作時に使用されるコネクタ構成エントリを含みます。
ノート:
これらの参照定義の値は事前構成されており、変更できません。表1-2に、この参照定義のデフォルト・エントリを示します。
表1-2 Lookup.Box.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Bundle Name |
org.identityconnectors.genericrest |
このエントリは、コネクタ・バンドルの名前を保持します。 |
Bundle Version |
1.0.1115 |
このエントリは、コネクタ・バンドルのバージョンを保持します。 |
Connector Name |
org.identityconnectors.genericrest.GenericRESTConnector |
このエントリは、コネクタ・クラスの名前を含みます。 |
customPayload |
"__ACCOUNT__.__GROUP__.UPDATEOP={ \"user\": { \"id\": \"$(__UID__)$\"}, \"group\": { \"id\": \"$(id)$\" } }","__ACCOUNT__.__GROUP__.CREATEOP={ \"user\": { \"id\": \"$(__UID__)$\"}, \"group\": { \"id\": \"$(id)$\" } }" |
このエントリは、標準の形式ではないすべての操作のペイロードを含みます。 |
httpHeaderAccept |
application/json |
このエントリは、ヘッダーの、ターゲット・システムに対して期待する受入タイプを含みます。 |
httpHeaderContentType |
application/json |
このエントリは、ヘッダーの、ターゲット・システムに対して期待するコンテンツ・タイプを含みます。 |
jsonResourcesTag |
"__ACCOUNT__=entries","__GROUP__=entries","__ACCOUNT__.__GROUP__=entries","__ACCOUNT__.email=entries", "__ACCOUNT__.__MEMBERSHIP__.__GROUP__=entries","__ACCOUNT__.__MEMBERSHIP__.email=entries" nameAttributes "__ACCOUNT__.login","__GROUP__.name" |
このjsonタグ値は、リコンシリエーション時に単一のレスポンス・ペイロード内の複数のエントリ(例: リソース)を解析するために用されます。 |
nameAttributes |
"__ACCOUNT__.login","__GROUP__.name" |
このエントリは、このコネクタにより処理されるすべてのオブジェクトの名前属性を含みます。たとえば、ユーザー・アカウントに使用される__ACCOUNT__オブジェクト・クラスの名前属性はloginです。 |
opTypes |
"__ACCOUNT__.CREATEOP=POST","__ACCOUNT__.UPDATEOP=PUT","__ACCOUNT__.DELETEOP=DELETE", "__ACCOUNT__.__GROUP__.UPDATEOP=POST","__ACCOUNT__.__GROUP__.DELETEOP=DELETE"," __ACCOUNT__.email.UPDATEOP=POST","__ACCOUNT__.email.DELETEOP=DELETE" |
このエントリは、コネクタでサポートされる各オブジェクト・クラスのHTTP操作タイプを指定します。値はカンマ区切りで、次の形式です: 形式: OBJ_CLASS.OP=HTTP_OP この形式において、OBJ_CLASSはコネクタ・オブジェクト・クラス、OPはコネクタ操作(CreateOp、UpdateOp、SearchOpなど)、およびHTTP_OPはHTTP操作(GET、PUT、またはPOST)です。 |
relURIs |
"__ACCOUNT__.CREATEOP=/users","__ACCOUNT__.UPDATEOP=/users/$(__UID__)$","__ACCOUNT__.SEARCHOP=/users/$(Filter Suffix)$","__ACCOUNT__.DELETEOP=/users/$(__UID__)$","__GROUP__.SEARCHOP=/groups/$(Filter Suffix)$","__ACCOUNT__.__GROUP__.CREATEOP=/group_memberships","__ACCOUNT__.__GROUP__.UPDATEOP=/group_memberships","__ACCOUNT__.__GROUP__.SEARCHOP=/users/$(__UID__)$/memberships","__ACCOUNT__.__GROUP__.DELETEOP=/group_memberships/$(__MEMBERSHIP__.id)$","__ACCOUNT__.__MEMBERSHIP__.__GROUP__.SEARCHOP=/users/$(__UID__)$/memberships","__ACCOUNT__.email.UPDATEOP=/users/$(__UID__)$/email_aliases","__ACCOUNT__.email.SEARCHOP=/users/$(__UID__)$/email_aliases","__ACCOUNT__.email.DELETEOP=/users/$(__UID__)$/email_aliases/$(__MEMBERSHIP__.id)$","__ACCOUNT__.__MEMBERSHIP__.email.SEARCHOP=/users/$(__UID__)$/email_aliases","__ACCOUNT__.role.SEARCHOP=/users/$(__UID__)$?fields=role","__ACCOUNT__.is_sync_enabled.SEARCHOP=/users/$(__UID__)$?fields=is_sync_enabled","__ACCOUNT__.is_exempt_from_login_verification.SEARCHOP=/users/$(__UID__)$?fields=is_exempt_from_login_verification" |
このエントリは、このコネクタでサポートされている各オブジェクト・クラスの相対URLおよびこれらのオブジェクト・クラスで実行可能なコネクタ操作を含みます。 たとえば、__ACCOUNT__.UPDATEOP=/users/$(__UID__)$は、__ACCOUNT__オブジェクト・クラスで実行されるすべての更新プロビジョニング操作の相対URLです。 |
specialAttributeHandling |
"__ACCOUNT__.__GROUP__.CREATEOP=SINGLE","__ACCOUNT__.__GROUP__.UPDATEOP=SINGLE","__ACCOUNT__.email.CREATEOP=SINGLE", "__ACCOUNT__.email.UPDATEOP=SINGLE","__ACCOUNT__.role.SEARCHOP=SINGLE","__ACCOUNT__.is_exempt_from_login_verification.SEARCHOP=SINGLE", "__ACCOUNT__.is_sync_enabled.SEARCHOP=SINGLE" |
このエントリには、値をターゲット・システムに1つずつ("SINGLE")送信する必要がある特殊属性を指定します。値はカンマで区切る必要があります。 形式: objectClass.attributeName.opeartion=SINGLE |
specialAttributeTargetFormat |
"__ACCOUNT__.__GROUP__=group","__ACCOUNT__.__MEMBERSHIP__.__GROUP__=group.id" |
このエントリには、特殊属性がターゲット・システム・エンドポイントに存在する形式がリストされます。たとえば、ターゲット・システム・エンドポイントにおいて別名属性はaliases.aliasとして存在します。値はカンマ区切りで、次の形式で示されます。 OBJ_CLASS.ATTR_NAME= TARGET_FORMAT |
statusAttributes |
__ACCOUNT__.status |
このエントリには、アカウントのステータスを含むターゲット・システム属性の名前がリストされます。たとえば、ユーザー・アカウントに使用される__ACCOUNT__オブジェクト・クラスのステータス属性はaccountEnabledです。 |
statusDisableValue |
inactive |
このエントリは、無効な値を表すターゲット・システムのステータス属性の値を含みます。 |
statusEnableValue |
active |
このエントリは、有効な値を表すターゲット・システムのステータス属性の値を含みます。 |
uidAttributes |
"__ACCOUNT__.id","__GROUP__.id" |
このエントリは、コネクタにより処理されるオブジェクトのUID属性を含みます。たとえば、ユーザー・アカウントのuid属性はidです。 |
User Configuration Lookup |
Lookup.Box.UM.Configuration |
このエントリは、ユーザー管理操作中に使用される構成情報を格納するLookup.Box.UM.Configuration参照定義の名前を含みます。 |
enableEmptyString |
true |
このエントリは、構成値を含みます。この構成がtrueに設定されている場合、Oracle Identity ManagerのBoxアカウントの属性が空白値で更新されると、コネクタはnullではなく空の文字列をターゲット・システムに送信します。 |
Lookup.Box.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・リソース・モードでのユーザー管理操作中に使用されます。
表1-3に、この参照定義のエントリを示します。
表1-3 Lookup.Box.UM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.Box.UM.ProvAttrMap |
このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、ユーザー・プロビジョニング操作の際に使用されます |
Recon Attribute Map |
Lookup.Box.UM.ReconAttrMap |
このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、リコンシリエーションの際に使用されます |
Lookup.Box.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。
この参照定義は事前に構成されており、プロビジョニングの際に使用されます。表1-11にデフォルト・エントリを示します。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。「プロビジョニングへの新規ユーザー属性の追加」を参照してください。
Lookup.Box.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。
この参照定義は事前に構成されており、ターゲット・リソース・リコンシリエーションの際に使用されます。表1-8にデフォルト・エントリを示します。ターゲット・リソース・リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。リコンシリエーションへの新規ユーザー属性の追加を参照してください。
Lookup.Box.Timezone参照定義は、Oracle Identity Managerを使用して作成したターゲット・システム・アカウントに割り当てることができるタイムゾーンに関する情報を含みます。これは静的な参照定義です。
この参照定義のエントリは手動で移入する必要があります。この参照定義のコード・キー値とデコード値の形式は次のとおりです。
コード・キー: ターゲット・システムに必要なタイムゾーン値。
デコード: OIMフォームでユーザーに表示される値。これはデコード・キーの値と同じ値にすることも、読みやすくするためにユーザーが変更することもできます。
表1-4に、この参照定義のデフォルト・エントリを示します。
表1-4 Lookup.Box.Timezone参照定義のエントリ
| コード・キー | デコード |
|---|---|
America/Chicago |
America/Chicago |
America/Los_Angeles |
America/Los_Angeles |
America/New_York |
America/New_York |
Asia/Calcutta |
Asia/Calcutta |
Asia/Hong_Kong |
Asia/Hong_Kong |
Australia/Melbourne |
Australia/Melbourne |
Australia/Sydney |
Australia/Sydney |
Europe/London |
Europe/London |
Lookup.Box.BooleanValues参照定義は、ターゲット・システムの一部のフィールドに使用されているブール値にOIMユーザー・フォームのフィールドに表示される対応するブール値をマッピングします。
表1-5に、この参照定義のデフォルト・エントリを示します。
表1-5 Lookup.Box.BooleanValues参照定義のエントリ
| コード・キー | デコード |
|---|---|
0 |
False |
1 |
True |
Lookup.Box.Language参照定義は、Oracle Identity Managerを使用して作成したターゲット・システム・アカウントに優先言語として割り当てることができる言語のリストを含みます。これは静的な参照定義です。
この参照定義のエントリは手動で移入する必要があります。この参照定義のコード・キー値とデコード値の形式は次のとおりです。
コード・キー: 言語を示す2文字のISOコード
デコード: 言語名
表1-6に、この参照定義のデフォルト・エントリを示します。
表1-6 Lookup.Box.Language参照定義のエントリ
| コード・キー | デコード |
|---|---|
en |
英語 |
Lookup.Box.Role参照定義は、Oracle Identity Managerを使用して作成したターゲット・システム・アカウントに対して選択できる役割に関する情報を含みます。これは静的な参照定義です。
これらの役割はBoxフォームに参照値として表示されます。コネクタで処理する新しい属性を追加するには、Design Consoleを使用してこの参照定義に新しいエントリを追加できます。リコンシリエーション時の新しいユーザー属性の追加の詳細は、「リコンシリエーションへの新規ユーザー属性の追加」を参照してください。「参照定義」に移動すると、「追加」および「削除」ボタンが表示されます。これらのボタンで、エントリの追加と削除ができます。リコンシリエーション時の新しいユーザー属性の追加の詳細は、「リコンシリエーションへの新規ユーザー属性の追加」を参照してください。
この参照定義のエントリは手動で移入する必要があります。この参照定義のコード・キー値とデコード値の形式は次のとおりです。
コード・キー: ターゲット・システムに必要な値。
デコード: OIMフォームでユーザーに表示される値。これはデコード・キーの値と同じ値にすることも、ユーザーが変更することもできます。
表1-7に、この参照定義のデフォルト・エントリを示します。
表1-7 Lookup.Box.Role参照定義のエントリ
| コード・キー | デコード |
|---|---|
coadmin |
Co-Admin |
user |
User |
ターゲット・リソースのリコンシリエーションでは、ターゲット・システムで新規作成または変更されたアカウントに関するデータをフェッチし、そのデータを使用してOIMユーザーに割り当てられたリソースを追加または変更します。
Boxリソース・ユーザー・リコンシリエーション・スケジュール済ジョブは、リコンシリエーションの実行開始に使用されます。このスケジュール済ジョブの詳細は、「Boxコネクタのリコンシリエーション・スケジュール済ジョブ」を参照してください。
関連項目:
コネクタのリコンシリエーションに関する全般的な情報については、Oracle Fusion Middleware Oracle Identity Managerの管理のリコンシリエーションの管理に関する項を参照してください。この項では、次の項目について説明します。
Lookup.Box.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、ターゲット・リソース・ユーザー・リコンシリエーションの実行に使用されます。
コード・キー: リソース・オブジェクトのリコンシリエーション・フィールド
デコード: ターゲット・システム属性の名前
表1-8に、この参照定義のデフォルト・エントリを示します。
表1-8 Lookup.Box.UM.ReconAttrMap参照定義のエントリ
| コード・キー | デコード |
|---|---|
Address |
address |
Aliases~Alias |
|
グループ~グループ名[LOOKUP] |
__GROUP__~__GROUP__~id |
ID |
__UID__ |
Job Title |
job_title |
Language |
language |
Login |
__NAME__ |
Name |
name |
Phone |
phone |
Space Amount |
space_amount |
Status |
__ENABLE__ |
Timezone |
timezone |
Role |
role |
Enable Sync |
is_sync_enabled |
Exempt From Login Verification |
is_exempt_from_login_verification |
ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールは、Oracle Identity Managerがターゲット・システムで新たに検出されたアカウントを割り当てる必要があるアイデンティティを特定するためにリコンシリエーション・エンジンで使用されます。
次の項目で、このコネクタのリコンシリエーション・ルールについて説明します。
リコンシリエーション・アクション・ルールでは、リコンシリエーション・ルールの適用時に一致するBoxリソースまたはOIMユーザーのどちらが見つかるかに応じて実行する必要のあるアクションが指定されます。
ノート:
このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。次の各項では、このコネクタのアクション・ルールに関する情報を提供します。
表1-9に、ターゲット・リソースのリコンシリエーションのアクション・ルールを示します。
表1-9 ターゲット・システムのリコンシリエーションのアクション・ルール
| ルール条件 | アクション |
|---|---|
一致しない場合 |
なし |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
コネクタのデプロイ後、次のステップを実行して、リコンシリエーションのリコンシリエーション・アクション・ルールを表示できます。
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザー・データを作成または変更します。
この項では、次の項目について説明します。
Boxコネクタでサポートされるプロビジョニング機能と、これらの機能を実行するアダプタを示します。
表1-10に、サポートされるユーザー・プロビジョニング機能と、これらの機能を実行するアダプタを示します。「アダプタ」列には、機能が実行されるときに使用されるアダプタの名前が示されます。
関連項目:
プロセス・タスクおよびアダプタに関する全般的な情報については、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのアダプタのタイプに関する項を参照してください。表1-10 ユーザー・プロビジョニング機能
| 機能 | アダプタ |
|---|---|
ユーザーの作成 |
adpBOXCREATEOBJECT |
ユーザーの有効化 |
adpBOXENABLE |
ユーザーの無効化 |
adpBOXDISABLE |
ユーザーの更新 |
adpBOXUPDATEOBJECTTASK |
ユーザーの削除 |
adpBOXDELETEOBJECT |
子表の値の追加 |
adpBOXADDCHILDOBJECT |
ユーザーの子表の値の削除 |
adpBOXREMOVECHILDOBJECT |
子表の値の更新 |
adpBOXUPDATECHILDDATA |
Lookup.Box.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドをBoxフィールドにマップします。この参照定義は、ユーザー・プロビジョニング操作を実行するために使用されます。
この参照定義のエントリは次の形式です。
コード・キー: プロセス・フォーム・フィールドの名前
デコード: ターゲット・システム属性の名前
表1-11に、この参照定義のデフォルト・エントリを示します。
表1-11 Lookup.Box.UM.ProvAttrMap参照定義のエントリ
| コード・キー | デコード |
|---|---|
Address |
address |
Enable Sync |
is_sync_enabled |
Exempt From Login Verification |
is_exempt_from_login_verification |
ID |
__UID__ |
Job Title |
job_title |
Language |
language |
Login |
__NAME__ |
Name |
name |
Phone |
phone |
Role |
role |
Space Amount |
space_amount |
Timezone |
timezone |
UD_BOX_UAL~Alias |
|
UD_BOX_UGP~Group Name[LOOKUP] |
__GROUP__~__GROUP__~id |
次に、このマニュアルの次の章以降の構成を示します。
「Boxコネクタのデプロイ」では、コネクタのデプロイの各ステージにおいて、Oracle Identity Managerおよびターゲット・システムで実行する必要のある手順を説明します。
「Boxコネクタの使用」では、コネクタの使用に関するガイドラインと、リコンシリエーションの実行を構成する手順およびプロビジョニング操作を実行する手順について説明します。
「Boxコネクタの機能拡張」では、コネクタの機能を拡張する場合に実行できる手順について説明します。
Boxコネクタ・インストール・メディア上のファイルおよびディレクトリには、コネクタ・インストール・メディアを構成するファイルおよびディレクトリが示されています。
