| Oracle® Identity Manager Oracle Identity Cloud Servicesコネクタ・ガイド リリース11.1.1 E85885-05 |
|
 前 |
 次 |
Oracle Identity Cloud ServiceコネクタはOracle Identity Manager (OIM)をOracle Identity Cloud Serviceと統合します。
Oracle Identity Managerは、オンプレミスまたはクラウドにあるアプリケーションに対してセルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Managerコネクタは、Oracle Identity Managerと外部のアイデンティティ認識アプリケーションの統合に使用されます。Oracle Identity Cloud Serviceコネクタにより、Oracle Identity Managerの管理された(ターゲット)リソースとしてOracle Identity Cloud Serviceを使用できます。
ノート:
このガイドでは、ターゲット・システムという用語は、Oracle Identity Cloud Serviceを指すために使用されている場合があります。
次の項では、Oracle Identity Cloud Serviceコネクタの概要を示します。
Oracle Identity Cloud Serviceコネクタを使用すると、Oracle Identity Managerのアイデンティティ・データの管理された(ターゲット)ソースとしてOracle Identity Cloud Serviceを使用できます。
コネクタのアカウント管理(ターゲット・リソース)モードにおいて、ターゲット・システムで直接作成または変更されたユーザーに関するデータは、Oracle Identity Managerにリコンサイルできます。このデータは、新規リソースのプロビジョニング(割当て)、またはすでにOracle Identity Managerユーザーに割り当てられているリソースの更新に使用されます。また、Oracle Identity Managerを使用して、Oracle Identity Managerユーザーに割り当てられたOracle Identity Cloud Serviceリソース(アカウント)のプロビジョニングまたは更新を行うことができます。Oracle Identity Managerで実行されるこのようなプロビジョニング操作は、ターゲット・システム・アカウントの作成または更新に変換されます。
Oracle Identity Cloud Serviceコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1に、このコネクタで動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
| 項目 | 要件 |
|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
ターゲット・システム |
Oracle Identity Cloud Service 16.3.6以上 |
コネクタ・サーバー |
11.1.2.1.0 |
コネクタ・サーバーのJDK |
JDK 1.6以上 |
このコネクタでは次の言語がサポートされます。
アラビア語
中国語(簡体字)
中国語(繁体字)
デンマーク語
英語
フランス語
ドイツ語
イタリア語
日本語
韓国語
ポルトガル語(ブラジル)
スペイン語
Oracle Identity Cloud Serviceコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
ICFは、すべてのOracle Identity Managerコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供するコンポーネントです。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Managerに同梱されています。
図1-1は、オンプレミスのOracle Identity ManagerとIdentity Cloud Serviceの統合を示しています。Oracle Identity Cloud Serviceコネクタは、組織がOracle Identity Managerを基盤としながらOracle Identity Cloud Serviceフレームワークに移行する目的を実現できる機会を提供するハイブリッド・データ管理システムに準拠しています。図に示されているとおり、Oracle Identity Cloud Serviceコネクタは、Oracle Identity Cloud Serviceでプロビジョニングおよびリコンシリエーション操作を実行できます。図のコネクタ・バンドルは、SCIM準拠のターゲットであるOracle Identity Cloud Serviceとの対話を担当します。そのため、コネクタ・パッケージではGeneric SCIMバンドルが使用されます。解析と認証は、Generic SCIMバンドルの一部であるREST共通バンドルによって処理されます。このバンドルでは、デフォルトでOAuth 2.0 Resource Owner Password認証がサポートされます。また、カスタム・パーサーとカスタム認証を実装して、コネクタを強化することもできます。
デプロイメントの簡素化、取得コストの削減、管理オーバヘッドの軽減、および価値創出までの時間の短縮を見込めるため、組織がSaaSアプリケーションを採用して、様々なビジネス・ニーズに対応できるようになります。最近は、非常に多くのアプリケーションがクラウドで開発されています。Oracle Identity Cloud Serviceは、Oracleのパブリック・クラウド・アプリケーションとそのお客様に対して一連の基本サービスを提供します。これは、Oracleによる「サービスとしてのパブリック・アイデンティティ」サービスに関心のあるお客様向けに、Oracleおよびサード・パーティのSaaSアプリケーションとの単純かつ安全な統合を提供することで可能になります。
同様に、オンプレミスIDMを使用している多くのOracleの既存のお客様についても、HCM、CRM、ディレクトリおよびその他のアプリケーションをオンプレミスからクラウドに移動できます。また、IDMサービスをクラウドに移動することもできます。変化するトレンドに歩調をあわせ、クラウドを採用しているお客様をサポートするため、Oracleのオンプレミス・アイデンティティ管理ソフトウェアであるOracle Identity Managerは、Oracle Identity Cloud Serviceコネクタという新たな統合を提供します。この統合は、オンプレミスからクラウドへの移行を容易にするだけでなく、オンプレミスIDMとクラウドIDMを連携させてさらなる価値を実現するハイブリッド戦略もサポートします。
たとえば、ACME CorporationがOracle Identity Managerを使用して、自社のアイデンティティと様々なオンプレミス・アプリケーションを管理しているとします。ACME Corporationの長期計画はクラウドに移行することですが、これをいくつかのフェーズに分けて実現することを望んでいます。ある時点では、オンプレミス・アプリケーションとクラウド・アプリケーションの両方を使用します。この移行の一環として、クラウド・アプリケーションを管理するためにOracle Identity Cloud Serviceを採用しましたが、当面はOracle Identity Managerのみを使用して、エコシステム内のアイデンティティを管理する予定です。
Oracle Identity Cloud Serviceコネクタにより、クラウド・アプリケーション用のOracle Identity Cloud Serviceユーザーおよびグループ管理が提供されるため、ACME Corporationは容易にこのユースケースを実現できます。
Oracle Identity Cloud Serviceコネクタのインストール後は、Oracle Identity Cloud Serviceのユーザーおよびグループのライフサイクル全体をOracle Identity Managerから管理できるようになります。ACME Corporationはこの統合を使用して、クラウド・アプリケーションにアクセスするOracle Identity Cloud Serviceユーザーの作成、更新、有効化および無効化を行うことができます。また、Oracle Identity Managerを使用して、クラウド・アプリケーションにアクセスする特定のユーザーに対して、Oracle Identity Cloud Serviceグループの割当てまたは取消しを行うこともできます。
Oracle Identity ManagerでRBACポリシーを定義すると、コネクタを使用して適切なグループの付与または取消しを行うことで、Oracle Identity Cloud Serviceに登録済のクラウド・アプリケーションに対する適切かつ承認済のアクセス権がユーザーに付与されることになります。
コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、制限付きリコンシリエーション、および削除されたアカウント・データのリコンシリエーションが含まれます。
コネクタを使用して、Oracle Identity Cloud Serviceユーザー・アカウントおよびグループをプロビジョニングできます。
「ユーザーの作成」ページを使用して、Oracle Identity Managerに新規ユーザーを作成できます。コネクタはユーザー・アカウントとグループの操作用に、別個のプロセス・フォームとリソース・オブジェクトを提供します。
完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Managerにフェッチされます。
コネクタをデプロイした後は、完全リコンシリエーションを実行して、すべてのユーザー・データをターゲット・システムからOracle Identity Managerに移動できます。最初の完全リコンシリエーションを実行すると、増分リコンシリエーションが自動的に有効になります。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に新たに追加または変更されたユーザー・アカウントが、Oracle Identity Managerにフェッチされます。完全リコンシリエーションはいつでも実行できます。「完全リコンシリエーションの実行」を参照してください。
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。
リコンシリエーション実行時に、Oracle Identity Managerにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。「制限付きリコンシリエーションの実行」を参照してください。
リコンサイルするレコードの数に応じて、バッチ・リコンシリエーション操作を構成できます。
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。「バッチ・リコンシリエーションの実行」を参照してください。
リコンシリエーション操作時およびプロビジョニング操作時に、アカウント・データの変換と検証を構成できます。
リコンシリエーションおよびプロビジョニング時にOracle Identity Managerとの間で移動または送信されるアカウント・データの検証を構成できます。さらに、リコンシリエーション時にOracle Identity Managerに移動されるアカウント・データの変換も構成できます。詳細は、次の項を参照してください。
ターゲット・リソース・モードで削除済のターゲット・システム・ユーザーおよびグループの詳細をフェッチするようにコネクタを構成できます。
削除されたユーザー・アカウントとグループのリコンシリエーション用にコネクタを構成できます。ターゲット・リソース・モードで、ユーザー・レコードがターゲット・システムで削除された場合、またはトークンがターゲット・システムで割当て解除された場合、対応するOracle Identity Cloud ServiceリソースはOracle Identity Managerユーザーから削除されます。
削除されたユーザー・レコードおよびグループのリコンサイルに使用されるスケジュール済ジョブの詳細は、IDCS Delete User ReconciliationおよびIDCS Delete Group Reconciliationを参照してください。
リコンシリエーションおよびプロビジョニング時に使用される参照定義は事前構成されているか、またはターゲット・システムと同期できます。
コネクタ操作中に使用される参照定義は、次のように分類できます。
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を選択します。たとえば、グループ参照フィールドからグループを選択してユーザーに割り当てられるグループを指定できます。コネクタをデプロイすると、ターゲット・システムの参照フィールドに対応する参照定義がOracle Identity Managerに作成されます。参照フィールド同期では、ターゲット・システムの特定のフィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
コネクタをデプロイしたら、参照フィールドの入力ソースとして使用される次の参照定義がOracle Identity Managerで自動的に作成されます。
Lookup.IDCS.Groups
Lookup.IDCS.Managers
Lookup.IDCS.GroupsおよびLookup.IDCS.Managers参照定義には、参照フィールドの同期のためにスケジュール済ジョブによってターゲット・システムからフェッチされた値が移入されます。
プロビジョニング操作時に、プロセス・フォームの「グループ」参照フィールドを使用してグループを指定し、「マネージャ」参照定義を使用してすでにマネージャとして割り当てられたユーザーを指定します。「グループ」およびマネージャ参照フィールドには、コネクタのデプロイ時にOracle Identity Managerで自動的に作成されるLookup.IDCS.GroupsおよびLookup.IDCS.Managers参照定義の値が移入されます。
デフォルトでは、これらの参照定義は空です。参照フィールド同期スケジュール済ジョブを実行すると、ターゲット・システムからフェッチされた値が移入されます。たとえば、スケジュール済ジョブを実行すると、ターゲット・システム上のすべてのグループがOracle Identity Managerにフェッチされ、Lookup.IDCS.Groups参照定義に移入されます。
同期後、各参照定義のデータは次の書式で格納されます。
コード・キー: <IT_RESOURCE_KEY>~<FIELD_VALUE_ID>
この書式の詳細は次のとおりです。
IT_RESOURCE_KEYは、Oracle Identity ManagerでITリソースに割り当てられる番号コードです。
FIELD_VALUE_IDはターゲット・システムのフィールド値のIDです。
たとえば、Lookup.IDCS.Groups参照定義について、そのエントリの1つのコード・キー値が89~1b5d6697-f4a6-4f03-8df7-4fae1512fd16だとします。この例では、89はターゲット・システムに関連付けられたITリソースに割り当てられた番号コードで、1b5d6697-f4a6-4f03-8df7-4fae1512fd16はターゲット・システムのグループのIDです。
デコード: <IT_RESOURCE_NAME>~<FIELD_VALUE>
この書式の詳細は次のとおりです。
IT_RESOURCE_NAMEは、Oracle Identity ManagerのITリソースの名前です。
FIELD_VALUEはターゲット・システムのフィールドの値です。
たとえば、Lookup.IDCS.Groups参照定義について、そのエントリの1つのデコード値がIDCS~HRだとします。この例では、IDCSはITリソースの名前で、HRはターゲット・システムのグループ・フィールドの値です。
表1-2に、Lookup.IDCS.Groups参照定義のサンプル・エントリを示します。
表1-2 Lookup.IDCS.Groups参照定義のサンプル・エントリ
| コード・キー | デコード |
|---|---|
IDCS~Finance |
89~9b3b3faf-e7fb-427e-8038-b8021cfbab30 |
IDCS~HR |
89~eb1b204e-2de0-41ec-98e9-1c33684d698a |
IDCS~ISP |
89~4457f158-d1ec-47f2-aeb4-79d5a2be0e38 |
事前構成済参照定義は、コネクタのデプロイ時にOracle Identity Managerに作成されるその他の参照定義です。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。
Lookup.IDCS.Configuration参照定義は、ターゲット・リソースのリコンシリエーションおよびプロビジョニング操作時に使用されるコネクタ構成エントリを含みます。
ノート:
これらの参照定義の値は事前構成されており、変更できません。表1-3に、この参照定義のデフォルト・エントリを示します。
表1-3 Lookup.IDCS.Configuration参照定義のエントリ
| コード | デコード | 説明 |
|---|---|---|
Any Incremental Recon Attribute Type |
true |
デフォルトでは、増分リコンシリエーション中に、Oracle Identity Managerではターゲット・システムから送信されるタイムスタンプ情報はLongデータ型形式のみを受け入れます。このIncremental Recon Attribute Typeエントリのデコード値がTrueの場合、Oracle Identity Managerでは任意のデータ型形式のタイムスタンプ情報を受け入れます。 |
attrToOClassMapping |
"__ACCOUNT__.groups=Groups" |
このエントリは、__ACCOUNT__オブジェクト・クラスのグループ属性がターゲットのGroupsオブジェクト・クラスにマップされることを示します。 |
Bundle Name |
org.identityconnectors.genericscim |
このエントリは、コネクタ・バンドル・パッケージの名前を含みます。 |
Bundle Version |
1.0.1115 |
このエントリは、コネクタ・バンドルのバージョンを保持します。 |
Connector Name |
org.identityconnectors.genericscim.GenericSCIMConnector |
このエントリは、コネクタ・クラスの名前を含みます。 |
customPayload |
"__ACCOUNT__.password.UpdateOp={\"userName\":\"$(__ACCOUNT__.userName)$\",\"password\":\"$(__ACCOUNT__.password)$\",\"schemas\":[\"urn:ietf:params:scim:schemas:oracle:idcs:UserPasswordChanger\"]}","__ACCOUNT__.groups.AddOp={\"schemas\":[\"urn:ietf:params:scim:api:messages:2.0:PatchOp\"],\"Operations\":[{\"op\":\"add\",\"path\":\"members\",\"value\":[{\"value\":\"$(__ACCOUNT__.__UID__)$\"}]}]}" |
このエントリは、標準の形式ではないすべての操作のペイロードを含みます。 |
Group Configuration Lookup |
Lookup.IDCS.GM.Configuration |
このエントリは、グループ固有の構成プロパティを含む参照定義の名前を含みます。 |
httpOperationTypes |
"__ACCOUNT__.password.UpdateOp=PUT" |
このエントリは、パスワードの更新操作で、ターゲットがPATCHではなくPUT操作を必要としていることを示します。 |
jsonResourcesTag |
Resources |
このJSONタグ値は、リコンシリエーション中に単一レスポンス・ペイロード内の複数のエントリを解析するために使用されます。 |
nameAttributes |
"Users=userName","Groups=displayName" |
このエントリは、どの属性をどのオブジェクト・クラスの__NAME__属性として処理する必要があるかを示します。 |
passwordAttributes |
"Users=password" |
このエントリは、どの属性をどのオブジェクト・クラスの__PASSWORD__属性として処理する必要があるかを示します。 |
relURLs |
"__ACCOUNT__.password.UpdateOp=/UserPasswordChanger/$(__ACCOUNT__.__UID__)$" |
このエントリは、このコネクタでサポートされている各オブジェクト・クラスの相対URLおよびこれらのオブジェクト・クラスで実行可能なコネクタ操作を含みます。 このエントリは、パスワードの更新操作で、デフォルトの/Usersエンドポイントではなく/UserPasswordChangerエンドポイントが一致する必要があることを示します。 |
scimVersion |
17 |
これは、ターゲットが実装されるSCIMバージョンを示します。 |
statusAttributes |
"Users=active" |
このエントリには、アカウントのステータスを含むターゲット・システム属性の名前がリストされます。 このエントリは、オブジェクト・クラスのターゲットのステータス・フィールド(__ENABLE__フィールド)を示します。 |
uidAttributes |
"Users=id","Groups=id" |
"このエントリは、コネクタにより処理されるオブジェクトのUID属性を含みます。たとえば、ユーザー・アカウントのUID属性はIDです。 |
reconSortByAttrs |
"Users=id","Groups=id" |
このエントリは、リコンシリエーション操作時にレコードをソートするために使用される属性を含みます。 |
User Configuration Lookup |
Lookup.IDCS.UM.Configuration |
このエントリは、ユーザー固有の構成プロパティを含む参照定義の名前を含みます。 |
Lookup.IDCS.GM.Configuration参照定義は、グループ・オブジェクト・タイプに固有の構成エントリを含みます。
この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、グループ管理操作で使用されます。
表1-4に、この参照定義のデフォルト・エントリを示します。
表1-4 Lookup.IDCS.GM.Configuration参照定義
| コード | デコード | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.IDCS.GM.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.IDCS.GM.ProvAttrMapを参照してください。 |
Recon Attribute Map |
Lookup.IDCS.GM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.IDCS.GM.ReconAttrMapを参照してください。 |
Lookup.IDCS.GM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。
この参照定義は事前に構成されており、グループ・プロビジョニング操作の際に使用されます。表1-13に、デフォルト・エントリを示します。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。「プロビジョニングのための新規ユーザーまたはグループ属性の追加」を参照してください。
Lookup.IDCS.GM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。
この参照定義は事前に構成されており、グループのターゲット・リソース・リコンシリエーションの際に使用されます。表1-9に、デフォルト・エントリを示します。
リコンシリエーション用の新規ターゲット・システム属性をマップする場合、この参照定義にエントリを追加できます。「リコンシリエーションのための新規ユーザーまたはグループ属性の追加」を参照してください。
Lookup.IDCS.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを含みます。
この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、ユーザー管理操作で使用されます。
表1-5に、この参照定義のデフォルト・エントリを示します。
表1-5 Lookup.IDCS.UM.Configuration参照定義のエントリ
| コード | デコード | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.IDCS.UM.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.IDCS.UM.ProvAttrMapを参照してください。 |
Recon Attribute Map |
Lookup.IDCS.UM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.IDCS.UM.ReconAttrMapを参照してください。 |
Lookup.IDCS.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。
この参照定義は事前に構成されており、プロビジョニングの際に使用されます。表1-12にデフォルト・エントリを示します。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。「プロビジョニングのための新規ユーザーまたはグループ属性の追加」を参照してください。
Lookup.IDCS.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。
この参照定義は事前に構成されており、ターゲット・リソース・リコンシリエーションの際に使用されます。表1-8にデフォルト・エントリを示します。
リコンシリエーション用の新規ターゲット・システム属性をマップする場合、この参照定義にエントリを追加できます。「リコンシリエーションのための新規ユーザーまたはグループ属性の追加」を参照してください。
Lookup.IDCS.UserTypes参照定義は、ユーザー・タイプのリストを含みます。
これは静的な参照定義です。この参照定義にエントリを追加または更新することはできません。
表1-6に、この参照定義のデフォルト・エントリを示します。
表1-6 Lookup.IDCS.UserTypes参照定義のエントリ
| コード・キー | デコード |
|---|---|
contractor |
CONTRACTOR |
employee |
EMPLOYEE |
external |
EXTERNAL |
intern |
INTERN |
service |
SERVICE |
temp |
TEMP |
Lookup.IDCS.Organizations参照定義は、組織のリストを含みます。
これは静的な参照定義です。この参照のエントリは、ターゲットの組織に基づいて手動で更新する必要があります。
表1-7に、この参照定義のデフォルト・エントリを示します。
表1-7 Lookup.IDCS.Organizations参照定義のエントリ
| コード・キー | デコード |
|---|---|
Xellerate Users |
Xellerate Users |
ターゲット・リソースのリコンシリエーションでは、ターゲット・システムで新規作成または変更されたアカウントに関するデータをフェッチし、そのデータを使用してOracle Identity Managerユーザーに割り当てられたリソースを追加または変更します。
IDCS Target Resource User Reconciliationスケジュール済ジョブは、リコンシリエーションの実行開始に使用されます。このスケジュール済ジョブの詳細は、「Oracle Identity Cloud Serviceコネクタのリコンシリエーション・スケジュール済ジョブ」を参照してください。
関連項目:
コネクタ・リコンシリエーションの汎用情報は、Oracle Fusion Middleware Oracle Identity Managerの管理のリコンシリエーションの管理に関する項を参照してくださいこの項には、コネクタ・オブジェクトに関連する次のトピックが含まれます。
Lookup.IDCS.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。
このような参照定義は、ターゲット・リソースのリコンシリエーションを実行するために使用されます。
このような参照定義のエントリのフォーマットは次のとおりです。
コード・キー: リソース・オブジェクトのリコンシリエーション・フィールド
デコード: ターゲット・システム属性の名前
表1-8に、Lookup.IDCS.UM.ReconAttrMap参照定義のエントリを示します。
表1-8 Lookup.IDCS.UM.ReconAttrMap参照定義のエントリ
| コード・キー | デコード |
|---|---|
__ACCOUNT__.emails.value,type:work,primary:true |
|
Employee Number |
employeeNumber |
First Name |
name.givenName |
Groups~Group Value[LOOKUP] |
__ACCOUNT__.groups~__ACCOUNT__.groups~value |
Id |
__UID__ |
Last Name |
name.familyName |
Manager[LOOKUP] |
manager.value |
Middle Name |
name.middleName |
Organization |
organization |
Status |
__ENABLE__ |
User Name |
__NAME__ |
User Type |
userType |
Lookup.IDCS.GM.ReconAttrMap参照定義は、グループ・リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。
この参照定義は、ターゲット・リソース・グループ・リコンシリエーションの実行に使用されます。
表1-9に、Lookup.IDCS.GM.ReconAttrMap参照定義のエントリを示します。
表1-9 Lookup.IDCS.GM.ReconAttrMap参照定義のエントリ
| コード・キー | デコード |
|---|---|
説明 |
description |
Group Id |
__UID__ |
Group Name |
__NAME__ |
OIM組織名 |
OIM組織名 |
リコンシリエーション・エンジンがルールを使用して、ターゲット・システムで新たに検出されたアカウントにOracle Identity Managerが割り当てる必要があるアイデンティティを判別します。
この項では、ターゲット・リソース・リコンシリエーションのユーザーおよびグループのリコンシリエーション・ルールに関する次の項目について説明します。
Oracle Identity Cloud Serviceコネクタでは、ユーザーとグループの両方のリコンシリエーションを実行できます。つまり、コネクタにはユーザー専用に定義されたリコンシリエーション・ルールがあります。
ルール名: IDCS User Recon Rule
ルール要素: User Login Equals User Name
User Loginは、Oracle Identity Managerユーザー・フォームの「ユーザーID」フィールドです。
User Nameは、ターゲット上のユーザーのUsername属性です。
Oracle Identity Cloud Serviceコネクタでは、ユーザーとグループの両方のリコンシリエーションを実行できます。つまり、コネクタにはグループ専用に定義されたリコンシリエーション・ルールがあります。
ルール名: IDCS Groups Recon Rule
ルール要素: Organization Name Equals OIM Org Name
Organization Nameは、Oracle Identity Managerユーザー・フォームの「組織名」フィールドです。
OIM Org Nameは、Oracle Identity Managerのグループの組織名です。OIM Org Nameは、IDCS Group Reconスケジュール済ジョブのOrganization Name属性で指定された値です。
リコンシリエーション・アクション・ルールでは、リコンシリエーション・ルールの適用時に、一致するOracle Identity Cloud ServiceリソースまたはOracle Identity Managerユーザーが検出されるかどうかに基づいてコネクタが実行する必要のあるアクションを指定します。
ノート:
このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。次の各項では、このコネクタのアクション・ルールに関する情報を提供します。
リコンシリエーション・アクション・ルールは、リコンシリエーション・イベントの処理結果に基づいてコネクタが実行する必要があるアクションを指定します。ユーザーおよびグループのいずれのリコンシリエーション・アクション・ルールも同じです。
表1-10に、ターゲット・リソースのリコンシリエーションのアクション・ルールを示します。
表1-10 ターゲットのリコンシリエーション用のアクション・ルール
| ルール条件 | アクション |
|---|---|
一致が見つからなかった場合 |
なし |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
コネクタのデプロイ後に次のステップを実行すると、ユーザーとグループのリコンシリエーションのリコンシリエーション・アクション・ルールを表示できます。
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザー・データを作成または変更します。
この項では、プロビジョニング操作時に使用されるコネクタ・オブジェクトについて説明します。
Oracle Identity Cloud Serviceコネクタでサポートされるプロビジョニング機能と、これらの機能を実行するアダプタを示します。
表1-11のアダプタ列には、機能が実行されるときに使用されるアダプタの名前が示されます。
関連項目:
プロセス・タスクおよびアダプタの一般情報は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのアダプタのタイプを参照してください。表1-11 プロビジョニング機能
| 機能 | アダプタ |
|---|---|
ユーザーの無効化 |
adpADIDCDISABLEUSER |
子データの追加 |
adpIDCSADDCHILDDATA |
一括更新アダプタ |
adpIDCSBULKUPDATEADAPTER |
オブジェクトの作成 |
adpIDCSCREATEOBJECT |
オブジェクトの削除 |
adpIDCSDELETEOBJECT |
ユーザーの有効化 |
adpIDCSENABLEUSER |
事前移入アダプタ |
adpIDCSPREPOPULATEADAPTER |
子データの削除 |
adpIDCSREMOVECHILDDATA |
子データの更新 |
adpIDCSUPDATECHILDDATA |
オブジェクトの更新 |
adpIDCSUPDATEOBJECT |
ノート:
パスワードの更新タスクは、親フォームでは機能しません。パスワードのリセット操作の場合にかぎり機能します。Lookup.IDCS.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドをターゲット・システム属性にマップします。この参照定義は、プロビジョニング操作の実行に使用されます。
この参照定義のエントリは次の形式です。
コード・キー: プロセス・フォーム・フィールドの名前
デコード: ターゲット・システムのユーザー属性の名前
表1-12に、Lookup.IDCS.UM.ProvAttrMap参照定義のデフォルト・エントリを示します。
表1-12 Lookup.IDCS.UM.ProvAttrMap参照定義のエントリ
| コード | デコード |
|---|---|
Creation Mechanism |
creationMechanism |
__ACCOUNT__.emails.value,type:work,primary:true |
|
Employee Number |
employeeNumber |
First Name |
name.givenName |
Id |
__UID__ |
Last Name |
name.familyName |
Manager[LOOKUP] |
manager.value |
Middle Name |
name.middleName |
Organization |
organization |
Password |
__PASSWORD__ |
Status |
__ENABLE__ |
UD_IDCS_UGP~Group Value[LOOKUP] |
__ACCOUNT__.groups~__ACCOUNT__.groups~value |
User Name |
__NAME__ |
User Type |
userType |
Lookup.IDCS.GM.ProvAttrMap参照定義は、ユーザー・リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。この参照定義は、グループ・プロビジョニング操作を実行するために使用されます。
この参照定義のエントリは次の形式です。
コード・キー: プロセス・フォーム・フィールドの名前
デコード: ターゲット・システムのグループ属性の名前
表1-13に、Lookup.IDCS.GM.ProvAttrMap参照定義のデフォルト・エントリを示します。
表1-13 Lookup.IDCS.GM.ProvAttrMap参照定義のエントリ
| コード | デコード |
|---|---|
説明 |
description |
Group Id |
__UID__ |
Group Name |
__NAME__ |
OIM組織名 |
OIM組織名 |
次に、このマニュアルの次の章以降の構成を示します。
Oracle Identity Cloud Serviceコネクタのデプロイでは、コネクタのデプロイの各ステージにおいて、Oracle Identity Managerおよびターゲット・システムで実行する必要のある手順を説明します。
Oracle Identity Cloud Serviceコネクタの使用では、コネクタの使用に関するガイドラインと、リコンシリエーションの実行を構成する手順およびプロビジョニング操作を実行する手順について説明します。
Oracle Identity Cloud Serviceコネクタの機能拡張では、コネクタの機能を拡張する場合に実行できる手順について説明します。
インストール・メディアのファイルおよびディレクトリでは、コネクタ・インストール・メディアを構成するファイルとディレクトリを示します。
