3 Fusion Appsコネクタの使用

コネクタを自分の要件にかなうように構成したら、コネクタを使用してリコンシリエーションおよびプロビジョニング操作を実行できます。

この章のトピックは、次のとおりです:

ノート:

この項では、コネクタの構成に関する、概念的な情報と手順の情報の両方を提供します。手順を実行する前に、概念的な情報を参照することをお薦めします。

• Fusion Appsコネクタでの参照フィールド同期用のスケジュール済ジョブ

• Fusion Appsコネクタのリコンシリエーションの構成

• スケジュール済ジョブの構成

• プロビジョニング操作の実行

• Fusion Appsコネクタのアンインストール

3.1 Fusion Appsコネクタでの参照フィールド同期用のスケジュール済ジョブ

参照フィールド同期用のスケジュール済ジョブでは、ターゲット・システムの特定のフィールドから最新の値がOracle Identity Managerの参照定義にフェッチされます。これらの参照定義はOracle Identity Managerの参照フィールドの入力ソースとして使用されます。

FA Identity Serviceアプリケーション・ロール参照リコンシリエーション・スケジュール済ジョブは、参照フィールドの同期に使用されます。このスケジュール済ジョブでフェッチされた値は、Lookup.FAIdentityService.ApplicationRoles参照定義に移入されます。

表3-1に、FA Identity Serviceアプリケーション・ロール参照リコンシリエーション・スケジュール済ジョブの属性の説明を示します。スケジュール済ジョブを構成する手順は、このガイドで後述します。

表3-1 FA Identity Serviceアプリケーション・ロール参照リコンシリエーション・スケジュール済ジョブの属性

属性	説明
Code Key Attribute	コネクタの属性の名前。参照定義(Lookup Name属性の値として指定される)のコード・キー列に値を移入するために使用されます。 デフォルト値:__UID__
Decode Attribute	コネクタの属性の名前。参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用されます。 デフォルト値:_NAME_
IT Resource Name	ユーザー・レコードのリコンサイル元のターゲット・システム・インストールに対するITリソースの名前。 デフォルト値: FA Identity Service
Lookup Name	ターゲット・システムからフェッチした値を移入するOracle Identity Managerの参照定義の名前を入力します。 デフォルト値: Lookup.FAIdentityService.ApplicationRoles
Object Type	この属性は、指定されたオブジェクト・タイプのリコンシリエーションを実行するために使用されます。スケジュール済ジョブについて、適用可能なオブジェクト・タイプを選択します。 デフォルト値: ApplicationRole

3.2 Fusion Appsコネクタのリコンシリエーションの構成

コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。

この項では、リコンシリエーションの構成に関する次の項目について詳しく説明します。

• Fusion Appsコネクタの完全リコンシリエーション

• Fusion Appsコネクタの制限付きリコンシリエーション

• Fusion Appsコネクタのバッチ・リコンシリエーション

• Fusion Appsコネクタのリコンシリエーション・スケジュール済ジョブ

3.2.1 Fusion Appsコネクタの完全リコンシリエーション

完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Managerへリコンサイルします。

コネクタをデプロイした後はまず、完全リコンシリエーションを実行する必要があります。すべての既存Fusion Appsユーザーの初期ブートストラップ・ロードは時間とリソースを集中的に消費するプロセスであるため、Fusion Appsシステムから.csv書式のフラット・ファイルにすべてのユーザーをエクスポートして、フラット・ファイル・コネクタを使用してこれらのユーザーをOracle Identity Managerにオフラインでロードすることをお薦めします。これを行うには、次に示す手順を実行します。

• Fusion Appsターゲット・システムからのユーザーのエクスポート

• フラット・ファイル・コネクタを使用したエクスポート済ユーザーのロード

3.2.1.1 Fusion Appsターゲット・システムからのユーザーのエクスポート

Fusion Appsターゲット・システムからユーザーをエクスポートするには、次のようにします。

1. Oracle BI Publisherにログインします。
2. 「カタログ」をクリックして、次のパスにナビゲートします。

   /Shared Folders/Human Capital Management/Workforce Management/Human Resources Dashboard/Data Models/User Information

3. 左ペインからFusionUserInformationを選択し、「編集」アイコンをクリックします。
4. 元の問合せのバックアップを取ります。
5. 次の2つの問合せを連続して使用して、個人とパーティ・ユーザーおよびスタンドアロン・ユーザーをそれぞれエクスポートします。

   • 個人とパーティ・ユーザー:

     • HCM

       SELECT

       u.user_guid as id,

       u.username as username,

       n.last_name as first_name,

       n.first_name as last_name,

       e.email_address as email

       FROM

       fusion.per_person_names_f n,

       fusion.per_email_addresses e,

       fusion.per_all_people_f f,

       fusion.per_users u

       WHERE TRUNC(sysdate) BETWEEN n.effective_start_date AND n.effective_end_date

       AND n.name_type = 'GLOBAL'

       AND TRUNC(sysdate) BETWEEN f.effective_start_date AND f.effective_end_date

       AND f.person_id = n.person_id

       AND e.person_id(+) = f.person_id

       AND e.email_type(+) = 'W1'

       AND e.email_address_id(+) = f.primary_email_id

       AND u.person_id = f.person_id

       AND u.active_flag = 'Y'

     • TCA

       UNION

       SELECT

       u.user_guid as id,

       u.username as username,

       p.PERSON_LAST_NAME as first_name,

       p.PERSON_FIRST_NAME as last_name,

       c.email_address as email

       FROM

       fusion.hz_person_profiles p,

       fusion.hz_contact_points c,

       fusion.per_users u

       WHERE

       u.party_id = p.party_id

       AND p.party_id = c.OWNER_TABLE_ID(+)

       AND TRUNC(sysdate) between p.EFFECTIVE_START_DATE and p.EFFECTIVE_END_DATE

       AND p.status = 'A'

       AND c.OWNER_TABLE_NAME(+) = 'HZ_PARTIES'

       AND TRUNC(sysdate) between c.START_DATE(+) AND c.END_DATE(+)

       AND c.OVERALL_PRIMARY_FLAG(+) = 'Y'

       AND c.CONTACT_POINT_TYPE(+) = 'EMAIL'

       AND c.status(+) = 'A'

       AND u.active_flag = 'Y'

       ORDER BY "USERNAME"

   • スタンドアロン・ユーザー:

     StandAlone

     SELECT

     u.user_guid as id,

     username as username

     from

     per_users u

     where

     person_id is null

     and party_id is null

     AND u.active_flag = 'Y'

     ORDER BY "USERNAME"

6. 「保存」をクリックしてレポートを実行します。
7. これらをそれぞれ、2つの異なるcsvフラット・ファイルにエクスポートします。これを行うには、「設定」、「エクスポート」をクリックし、エクスポートしたユーザーをフラット・ファイル・コネクタを使用してcsvにロードを選択します。

3.2.1.2 フラット・ファイル・コネクタを使用したエクスポート済ユーザーのロード

フラット・ファイル・コネクタを使用して、エクスポートしたユーザーをロードするには、次に示す手順を実行します。

• エクスポートしたCSVファイルの変更

• フラット・ファイル・コネクタの構成および使用

• 増分リコンシリエーション用のSyncTokenの更新

3.2.1.2.1 エクスポートしたCSVファイルの変更

フラット・ファイル・コネクタの必要に応じて、エクスポートしたCSVファイルを変更する必要があります。フラット・ファイル・コネクタは、CSVファイル・ヘッダーがターゲット・フィールド名(つまり、Fusion Apps ATOMフィードに表示される名前)と同じ列名を持つことを予期します。前のステップでエクスポートしたすべてのフラット・ファイルは別の列名を持っているため、既存の名前を表3-2に示す正しい名前で置き換えて、両方のファイルのヘッダーを変更する必要があります。

表3-2 ヘッダー名

エクスポートしたファイルの既存の名前	正しい名前/ ターゲット名
id	user.id
username	user.userName
first_name	user.name.givenName
last_name	user.name.familyName
email	user.emails.value

たとえば、ヘッダー名がusername,id,first_name,last_name,emailの場合、user.userName,user.id,user.name.givenName,user.name.familyName,user.emails.valueに変更する必要があります。

3.2.1.2.2 フラット・ファイル・コネクタの構成および使用

フラット・ファイル・コネクタを構成および使用するには、次のようにします。

ノート:

コネクタを使用するには、少なくとも次の構成を実行する必要があります。

1. フラット・ファイル・ユーザーITリソースを変更して、正しい信頼できるメイン構成参照(Lookup.FlatFile.Configuration.Trusted)およびスキーマ・ファイルの場所を指し示します。Oracle Identity Managerフラット・ファイル・コネクタ・ガイドでスキーマ・ファイルの作成を参照してください。
2. フラット・ファイル・ユーザー構成参照、Lookup.FlatFile.UM.Configuration.Trustedを変更して、UserRequestServiceのリコンシリエーション属性マップ、Lookup.FAUserRequestService.UM.ReconAttrMap.Trusted、およびリコンシリエーション属性デフォルト、Lookup.FAUserRequestService.UM.ReconAttrMap.TrustedDefaultsを指し示します。さらに、フラット・ファイルのスタンドアロン・ユーザーには姓フィールドが含まれていないため、リコンシリエーション属性デフォルト参照を編集して、姓のデフォルト値を追加します。
3. フラット・ファイル・ユーザー・ローダーのスケジュール済ジョブを実行します。フラット・ファイル・ユーザー・ローダーのスケジュール済ジョブを実行するには、次に示す手順を実行します。

   ノート:

   フラット・ファイル・ユーザー・ローダーのスケジュール済ジョブは、フラット・ファイルのユーザーをリコンサイルし、対応するユーザーをOracle Identity Managerに作成するために使用されます。

   1. フラット・ファイル・ユーザー・ローダーのスケジュール済ジョブの「ジョブの詳細」ページを開きます。

   2. 「パラメータ」リージョンにある次のフィールドの値を更新します。

      • フラット・ファイル・ディレクトリ - Fusion Appsターゲット・システムからのユーザーのエクスポートでエクスポートしたcsvファイルの場所。

        例: /scratch/fa/flatfile/data

      • ターゲットITリソース名: FA User Request Service

      • ターゲット・リソース・オブジェクト名: FA User Trusted

   3. 「適用」をクリックし、スケジュール済ジョブを実行してすべてのユーザーをOracle Identity Managerにロードします。

3.2.1.2.3 増分リコンシリエーション用のSyncTokenの更新

すべてのユーザーをOracle Identity Managerに作成し、そのFA Indentity Serviceアカウントが正常にプロビジョニングされた後、任意のRESTクライアントを使用して、Fusion Appsターゲット・システムのATOMエンドポイントをヒットします。最初のATOM pubエントリを調べて、更新された日時の値をフェッチします。

たとえば、最初のレコードの<updated>2016-05-10T08:36:30.000Z</updated>は、レコードが2016-05-10T08:36:30.000Zに最後に更新されたことを意味します。これは、最新の更新がFusion Appsターゲット・システムで実行された時間であることも意味します。

この値を、前および後にそれぞれ<String>および</String>を付けて、Sync TokenパラメータのFA User Request Service Trusted User Reconciliationスケジュール済ジョブにコピーします。

たとえば、<updated>2016-05-10T08:36:30.000Z</updated>は、Sync Tokenパラメータにコピーする際、<String>2016-05-10T08:36:30.000Z</String>に変更する必要があります。

このようにすると、FA User Request Service Trusted User Reconciliationスケジュール済ジョブを実行したときに、このタイム・スタンプより後に作成または変更されたレコードのみがリコンシリエーションで考慮されます。これが、増分リコンシリエーションです。

3.2.2 Fusion Appsコネクタの制限付きリコンシリエーション

制限付きつまりフィルタ済リコンシリエーションは、設定されたフィルタ基準に基づいてリコンサイルすることによりレコードの数を制限するプロセスです。

デフォルトでは、現行のリコンシリエーションの実行時に、すべてのターゲット・システム・レコードがリコンサイルされます。リコンサイルする必要のあるターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。

リコンシリエーション・モジュールのフィルタを作成して、制限付きリコンシリエーションを実行できます。ICFフィルタをサポートするこのコネクタのフィルタ属性(スケジュール済タスクの属性)により、任意のFusion Appsリソース属性を使用してターゲット・システム・レコードをフィルタ処理できます。

『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のICFフィルタ構文に関する項を参照してください。

ノート:

__UID__属性名は、常にequalToフィルタと組み合せて使用します。

FA User Request serviceでは、searchOp機能がサポートされないため、制限付きリコンシリエーションはサポートされません。ただし、この機能はフィルタを使用してFA Identity serviceによって実行されます。

3.2.3 Fusion Appsコネクタのバッチ・リコンシリエーション

FA User Request serviceおよびFA Identity serviceではバッチがサポートされます。デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。

リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。このような問題を避けるため、バッチ・リコンシリエーションを構成できます。

FA Identity serviceでは、「バッチ・サイズ」属性のみがスケジュール済ジョブのユーザーに公開されます。バッチ・リコンシリエーションを構成するには、ユーザー・レコードのリコンシリエーションのためのスケジュール済ジョブに記載されている手順の実行時に、「バッチ・サイズ」属性の値を指定します。

「バッチ・サイズ」は、各バッチに含めるレコード数を指定するために使用します。この属性の値を0に設定すると、主な構成参照のdefaultbatchsizeエントリが、バッチ・リコンシリエーションのバッチ・サイズとみなされます。0以外の数値はdefaultbatchsizeエントリよりも優先されます。

3.2.4 Fusion Appsコネクタのリコンシリエーション・スケジュール済ジョブ

コネクタ・インストーラを実行すると、リコンシリエーション・スケジュール済ジョブが自動的にOracle Identity Managerで作成されます。これらのスケジュール済ジョブを、その属性の値を指定して必要に合うように構成する必要があります。

この項では、リコンシリエーションのために構成可能な次のスケジュール済ジョブについて説明します。

• ユーザー・レコードのリコンシリエーションのスケジュール済ジョブ

• 削除されたユーザー・レコードのリコンシリエーションのスケジュール済ジョブ

3.2.4.1 ユーザー・レコードのリコンシリエーションのためのスケジュール済ジョブ

信頼できるソースとターゲット・リソースのどちらのリコンシリエーションを実装するかによって、次のいずれかのユーザー・リコンシリエーション・スケジュール済ジョブの属性に値を指定する必要があります。

• Fusion Appsユーザー・ターゲット・リコンシリエーション(FA Identity Service User Reconciliation)

  このスケジュール済ジョブは、コネクタのターゲット・リソース(アカウント管理)モードでユーザー・データをリコンサイルするために使用されます。

• Fusion Appsユーザー信頼リコンシリエーション(FA User Request Service Trusted User Reconciliation)

  このスケジュール済ジョブは、コネクタの信頼できるソース(アイデンティティ管理)モードでユーザー・データをリコンサイルするために使用します。

表3-3および表3-4に、この2つのスケジュール済ジョブの属性の説明を示します。

表3-3 FA User Request Serviceのユーザー・レコードのリコンシリエーション用のスケジュール済ジョブの属性

属性	説明
Batch Size	ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 デフォルト値: 0
IT Resource Name	コネクタがデータをリコンサイルする必要があるターゲット・システム・インストールのITリソースの名前を入力します。 FA User Request Service Trusted User Reconciliationスケジュール済ジョブを実行している場合、ターゲット・システムのITリソースの構成で信頼できるソース・リコンシリエーションに対して作成する、ITリソース・インスタンスの名前を入力します。 デフォルト値: FA User Request Service
Object Type	この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: User このデフォルト値は変更しないでください。
Resource Object Name	この属性は、リコンシリエーションに使用されるリソース・オブジェクトの名前を保持します。 デフォルト値: FA User Trusted このデフォルト値は変更しないでください。
Scheduled Task Name	リコンシリエーションに使用されるスケジュール済タスクの名前。 デフォルト値: FA User Request Service Trusted User Reconciliation
Sync Token	この属性は、ATOMエントリの更新されたタイムスタンプの値を保持します。 サンプル値: <String>2015-02-10T10:39:22.000Z</String>

表3-4 FA Identity Serviceのユーザー・レコードのリコンシリエーション用のスケジュール済ジョブの属性

属性	説明
Batch Size	ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 デフォルト値: 0
Filter	レコードをフィルタ処理する式を入力します。次の構文を使用します。 syntax = expression ( operator expression )* perator = 'and' | 'or' expression = ( 'not' )? filter filter = ('equalTo' | 'contains' | 'containsAllValues' | 'startsWith' | 'endsWith' | 'greaterThan' | 'greaterThanOrEqualTo' | 'lessThan' | 'lessThanOrEqualTo' ) '(' 'attributeName' ',' attributeValue')' attributeValue = singleValue | multipleValues singleValue = 'value' multipleValues = '[' 'value_1' (',' 'value_n')* ']' デフォルト値: None
Incremental Recon Attribute	トークン・レコードが変更されたデータを保持する属性。
IT Resource Name	コネクタがデータをリコンサイルする必要があるターゲット・システム・インストールのITリソースの名前を入力します。 FA User Request Service Trusted User Reconciliationスケジュール済ジョブを実行している場合、ターゲット・システムのITリソースの構成で信頼できるソース・リコンシリエーションに対して作成する、ITリソース・インスタンスの名前を入力します。 デフォルト値: FA Identity Service
Latest Token	この属性は、Incremental Recon Attributeの値として指定された属性の値を保持します。Latest Token属性は内部目的で使用されます。デフォルトでは、この値は空です。 この属性には値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 サンプル値: 1354753427000
Object Type	この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: User このデフォルト値は変更しないでください。
Resource Object Name	この属性は、リコンシリエーションに使用されるリソース・オブジェクトの名前を保持します。 デフォルト値: FA Identity このデフォルト値は変更しないでください。
Scheduled Task Name	リコンシリエーションに使用されるスケジュール済タスクの名前。 デフォルト値: FA Identity Service User Reconciliation

3.2.4.2 削除されたユーザー・レコードのリコンシリエーションのスケジュール済ジョブ

FA Identity Serviceユーザー削除リコンシリエーションを実行するには、Fusion Appsユーザー削除リコンシリエーション・スケジュール済ジョブの値を指定する必要があります。このスケジュール済ジョブは、コネクタの信頼できるリソース(アイデンティティ管理)モードで削除されたユーザーに関するデータをリコンサイルするために使用します。リコンシリエーションの実行時、削除されたターゲット・システム・ユーザー・アカウントごとに、対応するOIMユーザーが削除されます。

表3-5に、この2つのスケジュール済ジョブの属性の説明を示します。

表3-5 削除ユーザーのリコンシリエーションのスケジュール済ジョブの属性

属性	説明
IT Resource Name	コネクタがユーザー・データのリコンサイルに使用する必要があるITリソース・インスタンスの名前を入力します。 デフォルト値: FA Identity Service
Object Type	この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: User このデフォルト値は変更しないでください。
Resource Object Name	この属性は、リコンシリエーションに使用されるリソース・オブジェクトの名前を保持します。 デフォルト値: FA User このデフォルト値は変更しないでください。

3.3 スケジュール済ジョブの構成

ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Managerにそのデータを複製するリコンシリエーションを実行するスケジュール済ジョブを構成します。

この手順は、参照フィールド同期およびリコンシリエーションのためのスケジュール済ジョブを構成する場合に適用できます。

スケジュール済ジョブを構成するには:

1. Oracle Identity System Administrationにログインします。
2. 左ペインの「システム管理」で、「スケジューラ」をクリックします
3. 次のようにして、スケジュール済ジョブを検索して開きます。
   1. 「検索」フィールドに、検索基準としてスケジュール済ジョブの名前を入力します。「拡張検索」をクリックして検索基準を指定することもできます。
   2. 左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
4. 「ジョブの詳細」タブで、スケジュール済タスクのパラメータを変更できます。
   • 再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
   • スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。

     ノート:

     スケジュール・タイプの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理 のジョブの作成に関する項 を参照してください。

   ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。

5. 「ジョブの詳細」タブの「パラメータ」リージョンで、スケジュール済タスクの属性の値を指定します。

   ノート:

   • すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。

   • スケジュール済タスクと属性のリストは、Fusion Appsコネクタのリコンシリエーション・スケジュール済ジョブを参照してください。

6. 「適用」をクリックして変更を保存します。

   ノート:

   「実行停止」オプションが、管理およびユーザー・コンソールで使用できます。「スケジューラのステータス」ページを使用して、スケジューラを起動、停止または再初期化できます。

3.4 プロビジョニング操作の実行

Fusion Appsコネクタのプロビジョニング操作は、アクセス・ポリシーを通じて実行されます。

真のソースとしてのFAの場合に作成されたOracle Identity Managerユーザーには、関連付けられたFA Access Policy for FA Userというアクセス・ポリシーがあります。ポリシーが評価されると、ユーザーのSSOアカウント作成がトリガーされます。Oracle Identity Managerユーザーは次に既存のFA Userにリンクされ、それに応じてSSO電子メールがターゲット・システムに伝播されます。

真のソースとしての外部HRMSの場合に作成されたOracle Identity Managerユーザーには、関連付けられたFA Access Policy for External Userというアクセス・ポリシーがあります。ポリシーが評価されると、ユーザーのSSOアカウント作成がトリガーされます。これは、FAアカウントの作成をトリガーし、それに応じてSSO電子メールがFAに伝播されます。

Oracle Identity Managerでプロビジョニング操作を実行するには、アクセス・ポリシーの更新で詳細を参照してください。

3.5 Fusion Appsコネクタのアンインストール

コネクタのアンインストールでは、コネクタのリソース・オブジェクトに関連付けられているすべてのアカウント関連データを削除します。

なんらかの理由でコネクタをアンインストールする場合は、Oracle Fusion Middleware Oracle Identity Managerの管理のコネクタのアンインストールを参照してください。