| Oracle® Identity Manager Generic SCIMコネクタ・ガイド リリース11.1.1 E85886-05 |
|
 前 |
 次 |
コネクタを自分の要件にかなうように構成したら、コネクタを使用してリコンシリエーションおよびプロビジョニング操作を実行できます。
ノート:
この項では、コネクタの構成に関する、概念的な情報と手順の情報の両方を提供します。手順を実行する前に、概念的な情報を参照することをお薦めします。リコンシリエーションおよびプロビジョニング時に使用される参照定義は事前構成されているか、またはターゲット・システムと同期できます。
この項では、次のカテゴリの参照定義について説明します。
事前構成済参照定義は、コネクタのデプロイ時にOracle Identity Managerに作成されるその他の参照定義です。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。
その他の参照定義は次のとおりです。
ノート:
RESOURCEは、ITリソース名のプレースホルダ・テキストとして使用されています。したがって、このガイドにあるRESOURCEのすべての例は、GenericScimConfiguration.groovyファイルのitResourceNameエントリに指定した値に置き換えてください。GenericScimConfiguration.groovyファイルに含まれるエントリの詳細は、Groovyファイルの事前定義済セクションのエントリの理解を参照してください。表4-1に、この参照定義のエントリを示します。
表4-1 Lookup.RESOURCE.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Bundle Name |
org.identityconnectors.genericscim |
このエントリは、コネクタ・バンドル・クラスの名前を保持します。このエントリは変更しないでください。 |
Bundle Version |
1.0.1115 |
このエントリは、コネクタ・バンドル・クラスのバージョンを含みます。このエントリは変更しないでください。 |
Connector Name |
org.identityconnectors.genericscim.GenericSCIMConnector |
このエントリは、コネクタ・クラスの名前を含みます。このエントリは変更しないでください。 |
User Configuration Lookup |
Lookup.RESOURCE.UM.Configuration |
このエントリは、ユーザー・オブジェクト・タイプに固有の構成情報を含む参照定義の名前を含みます。この参照定義の詳細は、Lookup.RESOURCE.UM.Configurationを参照してください。 |
Lookup.RESOURCE.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに特有のエントリを含みます。この参照定義は、事前に構成されています。
表4-2に、ターゲット・システムをターゲット・リソースとして構成している場合の、この構成定義のデフォルトのエントリを示します。
表4-2 ターゲット・リソース構成のLookup.RESOURCE.UM.Configuration参照定義のエントリ
| コード・キー | デコード |
|---|---|
Provisioning Attribute Map |
Lookup.RESOURCE.UM.ProvAttrMap |
Recon Attribute Map |
Lookup.RESOURCE.UM.ReconAttrMap |
表4-3に、ターゲット・システムを信頼できるソースとして構成している場合の、この構成定義のデフォルトのエントリを示します。
表4-3 信頼できるソース構成のLookup.RESOURCE.UM.Configuration参照定義のエントリ
| コード・キー | デコード |
|---|---|
Recon Attribute Map |
Lookup.RESOURCE.UM.ReconAttrMap |
Recon Attribute Defaults |
Lookup.RESOURCE.UM.ReconAttrMap.Defaults |
Lookup.RESOURCE.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性との間のマッピングを保持します
コネクタをターゲット・リソース・モードまたは信頼できるソース・モードのどちら用に構成したかに応じて、ターゲット・リソースまたは信頼できるソースのユーザー・リコンシリエーションの実行中にこの参照定義が使用されます。
コネクタをターゲット・リソース・モード用に構成した場合:
この参照定義のコード・キー値とデコード値の形式は次のとおりです。
単一値属性の場合:
コード・キー: ターゲット・リソースのユーザー・リコンシリエーションの実行対象となるリソース・オブジェクトのリコンシリエーション属性
デコード: 対応するターゲット・システムの属性名
複数値属性の場合:
コード・キー: RO_ATTR_NAME~ATTR_NAME[LOOKUP]
この形式の詳細は次のとおりです。
RO_ATTR_NAMEは子表のリコンシエーション・フィールドを指定します。
ATTR_NAMEは複数値属性の名前です。
[LOOKUP]は、子データが参照から選択されるか、権限として宣言される場合にコード・キー値に追加されるキーワードです。
デコード: 対応するターゲット・システムの属性名
EMBED_OBJ_NAME~RELATION_TABLE_NAME~ATTR_NAME
この形式の詳細は次のとおりです。
EMBED_OBJ_NAMEは別のオブジェクトに組み込まれたターゲット・システム上のオブジェクトの名前(アカウントのアドレスなど)です。
RELATION_TABLE_NAMEはターゲット・システムの子表の名前です。
ATTR_NAMEはコード・キー列の複数値属性に対応する、子表の列の名前です。
コネクタを信頼できるソース・モード用に構成した場合:
この参照定義のコード・キー値とデコード値の形式は次のとおりです。
コード・キー: 信頼できるソースのユーザー・リコンシリエーションの実行対象となるリソース・オブジェクトのリコンシリエーション属性
デコード: 対応するターゲット・システムの属性名
この参照定義のエントリは、ターゲット・システムで使用できるデータにより異なります。この参照定義のエントリは、GenericScimConfiguration.groovyファイルの別名エントリに指定された値に基づいて移入されます。別名エントリの詳細は、Groovyファイルの事前定義済セクションのエントリの理解を参照してください。
Lookup.RESOURCE.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性名のマッピングを含みます。この参照定義は、プロビジョニング操作の実行に使用されます。
この参照定義のコード・キー値とデコード値の形式は次のとおりです。
コード・キー: プロセス・フォームのラベルの名前
デコード: 対応するターゲット・システムの属性名
子フォーム・フィールドに対応するエントリに対する、コード・キーおよびデコード値の形式を次に示します。
コード・キー: CHILD_FORM_NAME~FIELD_NAME
CHILD_FORM_ NAMEは、子フォームの名前を指定します。
FIELD_NAMEは、子フォームのラベルの名前を指定します。
デコード: チルダ(~)文字で区切った次の要素の組合せ
EMBED_OBJ_NAME~RELATION_TABLE_NAME~COL_NAME
この形式の詳細は次のとおりです。
EMBED_OBJ_NAMEは別のオブジェクトに組み込まれたターゲット・システム上のオブジェクトの名前(アカウントのアドレスなど)です。
RELATION_TABLE_NAMEはターゲット・システムの子表の名前です。
COL_NAMEは、コード・キー列に指定した子フォームに対応する、子表の列の名前です。
この参照定義のエントリは、ターゲット・システムで使用できるデータにより異なります。この参照定義の値は、GenericScimConfiguration.groovyファイルの別名エントリに指定された値に基づいて移入されます。別名エントリの詳細は、Groovyファイルの事前定義済セクションのエントリの理解を参照してください。
Lookup.RESOURCE.UM.ReconAttrMap.Defaults参照定義は、ターゲット・システム属性にマップされないOracle Identity Managerユーザー・フォームの必須フィールドのデフォルト値を含みます。コネクタを信頼できるソース・モード用に構成した場合にのみ、この参照定義が作成されます。
Lookup.RESOURCE.UM.ReconAttrMap.Defaults参照定義が使用されるのは、Oracle Identity Managerユーザー・フォームに必須フィールドがあるが、信頼できるソースのリコンシリエーション中に値をフェッチできる対応する属性がターゲット・システムにない場合です。さらに、この参照定義が使用されるのは、Oracle Identity Managerユーザー・フォームの必須フィールドに、空かまたはnull値を含む対応する列がある場合です。
この参照定義のコード・キー値とデコード値の形式は次のとおりです。
コード・キー: Oracle Identity Self Serviceのユーザー・フィールドの名前
デコード: 対応するデフォルト値(表示される値)
たとえば、「ロール」フィールドはOracle Identity Managerユーザー・フォームの必須フィールドです。ターゲット・システムに、ユーザー・アカウントのロールに関する情報を格納する属性がないとします。リコンシリエーションの際に、「ロール」フィールドの値はターゲット・システムからフェッチされません。「ロール」フィールドを空にしておくことはできないため、このフィールドの値を指定する必要があります。このため、Roleコード・キーのデコード値はFull-Timeに設定されます。これにより、Oracle Identity Managerユーザー・フォームの「ロール」フィールドには、ターゲット・システムからリコンサイルされるすべてのユーザー・アカウントに対して「フルタイム」と表示されることが暗黙に指定されます。
表4-4に、この参照定義のデフォルト・エントリを示します。
表4-4 Lookup.RESOURCE.UM.ReconAttrMap.Defaults参照定義のエントリ
| コード・キー | デコード |
|---|---|
Role |
Full-Time |
Organization Name |
Xellerate Users |
Xellerate Type |
End-User |
参照フィールド同期では、ターゲット・システムの特定のフィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を指定します。たとえば、参照フィールドから(ロールのセットを表示して)ロールを選択してユーザーに割り当てられるロールを指定できます。
GenericScimConfiguration.groovyファイルの構成中にlookupAttributeListエントリの値を指定した場合、コネクタは、このエントリで指定されたターゲット・システム属性それぞれに対して参照定義を作成し、OIMユーザー・プロセス・フォームの対応する参照フィールドに関連付けます。コネクタは、次の形式の名前で参照定義を作成します。
Lookup.${IT_RES_NAME}.${FIELD_NAME}
この形式で、コネクタは次を置き換えます。
IT_RES_NAMEをGenericScimConfiguration.groovyファイルのitResourceDefNameエントリの値へ。
FIELD_NAMEを参照フィールドを作成するフィールドの名前へ。
参照フィールド同期では、ターゲット・システム属性(lookupAttributeListエントリに示される)に対して行われた追加または変更が、Oracle Identity Managerの対応する参照定義(参照フィールドへの入力ソースとして使用される)にコピーされます。これは、参照フィールド同期用のスケジュール済ジョブを実行することで実現します。
次の例は、特定のlookupAttributeList値向けに作成された参照定義のリストを示します。
itResourceDefNameエントリの値がGenSCIMであると仮定します。lookupAttributeListエントリの値が['Roles', 'Groups']の場合、コネクタは次の参照定義を作成します。
Lookup.GenSCIM.Roles
Lookup.GenSCIM.Groups
参照フィールドの同期後、参照定義に含まれるデータは次の書式で格納されます。
コード・キー値: IT_RESOURCE_KEY~LOOKUP_FIELD_ID
この形式の詳細は次のとおりです。
IT_RESOURCE_KEYは、Oracle Identity Managerの各ITリソースに割り当てられる数値コードです。
LOOKUP_FIELD_IDは、各参照フィールド・エントリに割り当てられるターゲット・システム・コードです。この値は、参照フィールド同期のスケジュール済ジョブのコード・キー属性に指定された、ターゲット・システム属性の名前に基づいて移入されます。
サンプル値: 1~SA
デコード値: IT_RESOURCE_NAME~LOOKUP_FIELD_ID
この形式の詳細は次のとおりです。
IT_RESOURCE_NAMEは、Oracle Identity ManagerのITリソースの名前です。
LOOKUP_FIELD_IDは、各参照フィールド・エントリに割り当てられるターゲット・システム・コードです。この値は、参照フィールド同期のスケジュール済ジョブのデコード属性に指定された、ターゲット・システム属性の名前に基づいて移入されます。
サンプル値: GenSCIM~SYS_ADMIN
関連項目:
参照フィールド同期におけるスケジュール済ジョブの属性の詳細は、参照フィールド同期のスケジュール済ジョブを参照してください。コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。
この項では、リコンシリエーションの構成に関する次の項目について説明します。
リコンシリエーション・ルールは、Generic SCIMコネクタを生成するときに自動的に作成されます。
ルール要素の形式は次のとおりです。
User Login Equals NameAttribute
User Loginは、Oracle Identity Managerユーザー・フォームの「ユーザーID」フィールドです。
NameAttributeは、schema.propertiesファイルのaccount修飾子の値です。
たとえば、NameAttributeアカウント修飾子の値が__NAME__の場合、ルール要素は次のようになります。
User Login Equals__NAME__
完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Managerへリコンサイルします。
増分リコンシリエーションでは、最後のリコンシリエーションが実行された最終日付またはタイムスタンプ後に作成または変更されたレコードのみがリコンシリエーションの対象とみなされます。
コネクタをデプロイした後はまず、完全リコンシリエーションを実行する必要があります。
完全リコンシリエーションを実行するには、Filter属性に現在割り当てられている値を削除してから、ユーザー・データ・リコンシリエーション向けのスケジュール済ジョブを実行します。ユーザー・レコードのリコンシリエーションのスケジュール済ジョブの詳細は、ユーザー・レコードのリコンシリエーションのためのスケジュール済ジョブを参照してください。スケジュール済ジョブには、Incremental Recon Attributeフィールドで使用可能なタイムスタンプ属性を含めることができます。
任意の時点で、増分リコンシリエーションから完全リコンシリエーションに切り替えることができます。必要になるのは完全リコンシリエーションの実行のみです。
Incremental Recon Attribute — レコードが最後に変更された時点のタイムスタンプを保持する、ターゲット・システム属性の名前。この属性の値は、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。
Latest Token — Incremental Recon Attribute属性の値として指定された属性の値を保持します。Latest Token属性は内部目的で使用されます。この属性には値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。サンプル値: 1354753427000
制限付きつまりフィルタ済リコンシリエーションは、設定されたフィルタ基準に基づいてリコンサイルすることによりレコードの数を制限するプロセスです。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
制限付きのリコンシリエーションは、ターゲット・システムでサポートされるフィルタを作成することで実行できます。このコネクタで提供されるFilter属性(スケジュール済タスクの属性)を使用することで、ターゲット・システムの任意の属性で、ターゲット・システム・レコードをフィルタ処理できます。
参照フィールド同期では、最新の値がターゲット・システムの特定の属性からOracle Identity Managerの参照定義(参照フィールドの入力ソースとして使用される)に取得されます。参照フィールド同期用のスケジュール済ジョブを構成および実行すると、参照フィールドの同期を実行できます。
参照フィールド同期用のスケジュール済ジョブは、GenericScimConfiguration.groovyファイルのlookupAttributeListエントリに値が指定されている場合にのみ作成されます。これらのスケジュール済ジョブの名前は、次の形式になります。
IT_RES_NAME Target FIELD_NAME Lookup Reconciliation
lookupAttributeListエントリで指定された属性ごとに、ターゲット・システムから参照値をリコンサイルするための対応するスケジュール済ジョブが作成されます。次に、この例を示します。
itResourceDefNameエントリの値がGenSCIMであると仮定します。lookupAttributeListエントリの値が['Roles', 'Groups']の場合、コネクタは次のスケジュール済ジョブを作成します。
GenSCIM Target Roles Lookup Reconciliation
GenSCIM Target Groups Lookup Reconciliation
ノート:
「参照フィールド同期のスケジュール済ジョブ」を参照してください。コネクタ・インストーラを実行すると、リコンシリエーション・スケジュール済ジョブが自動的にOracle Identity Managerで作成されます。これらのスケジュール済ジョブを、その属性の値を指定して必要に合うように構成する必要があります。
参照フィールド同期用のスケジュール済ジョブでは、ターゲット・システムの特定のフィールドから最新の値がOracle Identity Managerの参照定義にフェッチされます。これらの参照定義はOracle Identity Managerの参照フィールドの入力ソースとして使用されます。
コネクタの生成後、参照フィールド同期のスケジュール済ジョブは、GenericScimConfiguration.groovyファイルのlookupAttributeListエントリに値が指定されている場合にのみ作成されます。lookupAttributeListエントリで指定された属性ごとに、ターゲット・システムから参照値をリコンサイルするための対応するスケジュール済ジョブが作成されます。
表4-5は、参照フィールド同期のスケジュール済ジョブの属性を示します。「スケジュール済ジョブの構成」を参照してください。
表4-5 参照フィールド同期用のスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
Code Key Attribute |
参照定義のコード・キー列に移入するために使用する属性の名前を入力します(Lookup Name属性の値として指定)。 |
Decode Attribute |
参照定義のデコード列に移入するために使用する属性の名前を入力します(Lookup Name属性の値として指定)。 |
IT Resource Name |
レコードをリコンサイルする元のターゲット・システム・インストールのITリソースの名前。 この属性のデフォルト値は、GenericScimConfiguration.groovyファイルのITResourceDefNameエントリの値と同じです。 |
Lookup Name |
ターゲット・システムからフェッチされた値で移入される必要がある、Oracle Identity Managerの参照定義の名前。 この属性の値は、GenericScimConfiguration.groovyファイルの構成中にlookupAttributeListエントリの値を指定した場合に、自動的に移入されます。この属性の値は次の形式になります。 Lookup.${IT_RES_NAME}.${FIELD_NAME} たとえば、lookupAttributeListエントリの値としてRolesを指定した場合、この属性の値はLookup.GenSCIMTrusted.Rolesになります。 |
Object Type |
リコンサイルするオブジェクトのタイプを入力します。 デフォルト値: ノート:
|
コネクタを生成した後、ユーザー・データ・リコンシリエーション用のスケジュール済タスクがOracle Identity Managerで自動的に作成されます。スケジュール済ジョブは、このスケジュール済タスクのインスタンスで、ターゲット・システムからのユーザー・データをリコンサイルする目的で使用されます。
次に、ユーザー・データのリコンシリエーションに使用されるスケジュール済ジョブを示します。
RESOURCE Target Resource User Reconciliation
このスケジュール済ジョブは、コネクタのターゲット・リソース(アカウント管理)モードでユーザー・データをリコンサイルするために使用されます。
RESOURCE Trusted Resource User Reconciliation
このスケジュール済ジョブは、コネクタの信頼できるソース(アイデンティティ管理)モードでユーザー・データをリコンサイルするために使用します。
表4-6に、この2つのスケジュール済ジョブの属性の説明を示します。
表4-6 ユーザー・リコンシリエーションのスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
Filter |
リコンシリエーションの実行時にターゲット・システムからフェッチされるレコードの検索フィルタを入力します。「Generic SCIMコネクタの制限付きリコンシリエーション」を参照してください。 |
Incremental Recon Attribute |
レコードが最後に変更されたタイム・スタンプを保持する、ターゲット・システムの属性の名前を入力します。この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。 |
Latest Token |
この属性は、Incremental Recon Attribute属性の値として指定された属性の値を保持します。Latest Token属性は内部目的で使用されます。デフォルトでは、この値は空です。 ノート: この属性に値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 |
IT Resource Name |
ユーザー・レコードをリコンサイルする元のターゲット・システム・インストールのITリソースの名前 サンプル値: |
Object Type |
リコンサイルするオブジェクトのタイプ。 デフォルト値: ノート: ユーザーはサポートされる唯一のオブジェクトです。そのため、この属性の値は変更しないでください。 |
Resource Object Name |
リコンシリエーションに使用されるリソース・オブジェクトの名前。 サンプル値: |
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。
サンプル値: |
コネクタを生成した後、削除されたユーザー・レコードに関するデータのリコンシリエーション用のスケジュール済タスクがOracle Identity Managerに自動的で作成されます。スケジュール済ジョブは、このスケジュール済タスクのインスタンスで、ターゲット・システムから削除されたユーザーのデータをリコンサイルする目的で使用されます。
次に、削除されたユーザー・レコード・データのリコンシリエーションに使用されるスケジュール済ジョブを示します。
RESOURCE Target Resource User Delete Reconciliation
このスケジュール済ジョブは、コネクタのターゲット・リソース(アカウント管理)モードで削除されたユーザー・レコードに関するデータをリコンサイルするために使用します。リコンシリエーションの実行時に、ターゲット・システムの削除されたユーザー・レコードごとに、対応するOracle Identity Managerユーザーのターゲット・システム・リソースが取り消されます。
RESOURCE Trusted User Delete Reconciliation
このスケジュール済ジョブは、コネクタの信頼できるリソース(アイデンティティ管理)モードで削除されたユーザー・レコードに関するデータをリコンサイルするために使用します。リコンシリエーションの実行時、削除されたターゲット・システム・ユーザー・レコードごとに、対応するOracle Identity Managerユーザーが削除されます。
表4-7に、この2つのスケジュール済ジョブの属性の説明を示します。
表4-7 Delete User Reconciliationスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
IT Resource Name |
ユーザー・レコードをリコンサイルする元のターゲット・システム・インストールのITリソースの名前 サンプル値: |
Object Type |
リコンサイルするオブジェクトのタイプ。 デフォルト値: ノート: ユーザーはサポートされる唯一のオブジェクトです。そのため、この属性の値は変更しないでください。 |
Resource Object Name |
削除リコンシリエーションに使用されるリソース・オブジェクトの名前。 |
