| Oracle® Identity Manager WebExコネクタ・ガイド リリース11.1.1 E85887-02 |
|
 前 |
 次 |
WebExコネクタはOracle Identity ManagerをWebExと統合します。
Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。WebExコネクタにより、Oracle Identity Managerの管理された(ターゲット)リソースとしてWebExを使用できます。
WebExコネクタは、Oracle Identity ManagerとWebExインスタンスとの統合に使用されます。WebExコネクタを使用すると、すべてのWebExアカウントがエンタープライズ内の他のアイデンティティ認識アプリケーションとの統合サイクルに基づいて作成、更新および非アクティブ化されます。
ノート:
このマニュアルの一部では、ターゲット・システムという用語は、WebExを指すために使用されています。
コネクタのアカウント管理(ターゲット・リソース)モードでは、ターゲット・システム上で直接作成または変更されたユーザーに関する情報をOracle Identity Managerにリコンサイルできます。このデータは、Oracle Identity Managerユーザーに割り当てられたリソース(つまりアカウント)の追加または変更に使用されます。また、Oracle Identity Managerを使用して、Oracle Identity Managerユーザーに割り当てられたWebExリソース(アカウント)のプロビジョニングまたは更新を行うことができます。Oracle Identity Managerで実行されるこのようなプロビジョニング操作は、ターゲット・システム・アカウントの作成または更新に変換されます。
WebExコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1 動作保証されているコンポーネント
| コンポーネント | 要件 |
|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
ターゲット・システム |
Cisco WebEx |
コネクタ・サーバー |
11.1.2.1.0 |
コネクタ・サーバーのJDK |
JDK 1.6以上 |
コネクタでサポートされている言語は次のとおりです。
アラビア語
中国語(簡体字)
中国語(繁体字)
チェコ語
デンマーク語
オランダ語
英語(アメリカ合衆国)
フィンランド語
フランス語
フランス語(カナダ)
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ノルウェー語
ポーランド語
ポルトガル語
ポルトガル語(ブラジル)
ルーマニア語
ロシア語
スロバキア語
スペイン語
スウェーデン語
タイ語
トルコ語
WebExコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Managerコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Managerに同梱されています。したがって、ICFを構成したり変更する必要はありません。
図1-1に、WebExコネクタのアーキテクチャを示します。
コネクタは、アカウント管理モードで実行するように構成できます。アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。
プロビジョニング
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザーを作成、更新、有効化、無効化または削除します。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがWebExアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがプロビジョニング操作のためにターゲット・システムAPIを呼び出します。ターゲット・システムのWebEx XML APIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
ターゲット・リソースのリコンシリエーション
リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。ICFは続いてWebExコネクタ・バンドルで検索操作を呼び出し、続いてバンドルによりWebEx XML APIがリコンシリエーション操作のために呼び出されます。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Managerにレコードを渡します。
ターゲット・システムからフェッチされた各レコードは、Oracle Identity ManagerユーザーにすでにプロビジョニングされているWebExリソースと比較されます。一致が見つかると、ターゲット・システムからWebExレコードに対して行われた更新が、Oracle Identity ManagerのWebExリソースにコピーされます。一致が見つからなかった場合、レコードのユーザーIDが、各Oracle Identity ManagerユーザーのユーザーIDと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、WebExリソースがOracle Identity Managerユーザーにプロビジョニングされます。
WebExアイデンティティ・コネクタ・バンドルはHTTPSプロトコルを使用してWebEx XML APIと通信します。WebEx XML APIを使用すると、REST APIエンドポイントを介してプログラム的にアクセスできます。アプリケーションはWebEx APIを使用して、ディレクトリ・データ、およびユーザーなどのディレクトリ・オブジェクトに対して作成、読取り、更新および削除(CRUD)操作を実行できます。
WebExは、オンデマンド・コラボレーション、オンライン・ミーティング、Web会議およびビデオ会議のアプリケーションを提供します。各ユーザーがWebExを使用するには、有効なサブスクリプションが必要です。WebExコネクタは、Oracle Identity ManagerをWebExと統合して、エンタープライズ内の他のアイデンティティ認識アプリケーションとの統合サイクルに基づいて、すべてのWebExアカウントを作成、更新および非アクティブ化するために使用します。
ほとんどの組織ではWebExサービスを活かしていますが、管理者ユーザーがすべてのユーザーのIDとサブスクリプションを手動で管理する必要があるという大きなデメリットがあります。これは管理者にとって時間と手間がかかるプロセスであるため、WebExコネクタを使用することをお薦めします。このコネクタは、ユーザーのIDとサブスクリプションを管理するプロセスを自動化するだけでなく、WebExユーザーのライフサイクル全体を手動で管理する労力を軽減します。WebExコネクタは、管理者の介在なしで、ユーザー・アカウントのプロビジョニング、プロビジョニング解除およびサブスクリプションのプロセスを自動化します。もう1つの重要な課題は、すべてのユーザーが一元的な場所に置かれ、そこで管理者がWebExユーザーに対して組織の様々なポリシーを適用し、監査レポートも生成することです。このプロセスもWebExコネクタによって自動的に管理されます。これらの課題を克服する手軽で簡単な解決策は、WebExコネクタをインストールし、ITリソースの接続情報を指定することによりターゲット・システムに対して構成することです。
WebExコネクタを使用すると、Oracle Identity ManagerですべてのWebExユーザーを一元的に管理できます。これにより、Oracle Identity Managerでそれぞれのアカウント・ユーザーに対して定義されたポリシーに基づいて、WebExアカウントのプロビジョニングまたはプロビジョニング解除が自動的に行われます。Oracle Identity ManagerとWebExコネクタを併用することで、管理者はすべての操作をOracle Identity Managerで実行し、結果的にすべてのアイデンティティとアカウントの管理機能を利用することができます。WebExコネクタが提供する機能を使用すると、追加のリソースや時間を費やすことなく、すべてのアプリケーションでアカウントや関連操作を管理できます。
コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、および制限付きリコンシリエーションが含まれます。
完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Managerにフェッチされます。
完全リコンシリエーションはいつでも実行できます。「WebExコネクタの完全リコンシリエーション」を参照してください。
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。
ユーザー・リコンシリエーション・スケジュール済ジョブのFilter属性の値としてリコンシリエーション・フィルタを設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。Filter属性は、ターゲットからのフィルタ済レスポンスを取得するベースとなるAPIにフィルタを割り当てるのに役立ちます。
「WebExコネクタの制限付きリコンシリエーション」を参照してください。
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
関連項目:
このコネクタのインストール・オプションの詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。リコンシリエーションおよびプロビジョニング時に使用される参照定義は事前構成されているか、またはターゲット・システムと同期できます。
コネクタ操作中に使用される参照定義は、次のように分類できます。
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を選択します。たとえば、Time Zone参照フィールドからタイムゾーンを選択して、ユーザー用のタイムゾーン設定を指定できます。Lookup.Webex.TimeZones参照定義の参照フィールド同期では、ターゲット・システムの特定のフィールドに対して行われた追加または変更がOracle Identity Managerの参照定義にコピーされます。
コネクタをデプロイすると、ターゲット・システムの参照フィールドに対応する参照定義がOracle Identity Managerに作成されます。参照フィールド同期により、対応する参照定義からの値がこれらの参照フィールドに移入されます。
コネクタをデプロイしたら、参照フィールドの入力ソースとして使用されるLookup.Webex.TimeZones参照定義がOracle Identity Managerで自動的に作成されます。
この参照定義はデフォルトでは空ですが、参照フィールドの同期用のスケジュール済ジョブを実行するときにターゲット・システムからフェッチされた値が移入されます。たとえば、タイムゾーン参照フィールド同期用のスケジュール済ジョブを実行すると、ターゲット・システム上のすべてのタイムゾーンがOracle Identity Managerにフェッチされ、Lookup.Webex.TimeZones参照定義に移入されます。
次に、参照フィールド同期後のLookup.Webex.TimeZones参照定義へのデータ格納に使用される書式を示します。
<IT_RESOURCE_KEY>~<FIELD_VALUE_ID>
IT_RESOURCE_KEYは、Oracle Identity ManagerでITリソースに割り当てられる番号コードです。
FIELD_VALUE_IDは、ターゲット・システムのタイムゾーンのIDです。
サンプル値: 188~21
このサンプル値では、188はターゲット・システムに関連付けられたITリソースに割り当てられた数値コード、21はターゲット・システムのタイムゾーンのIDです。
<IT_RESOURCE_NAME>~<LOOKUP_FIELD_VALUE>
IT_RESOURCE_NAMEは、Oracle Identity ManagerでITリソースに割り当てられた名前です。
LOOKUP_FIELD_VALUEは、ターゲット・システムのタイムゾーンの値です。
Webex~GMT+02:00,Central European(Paris)このサンプル値では、WebexはOracle Identity ManagerのITリソースに割り当てられた名前、GMT+02:00,Central European(Paris)はターゲット・システムのタイムゾーンの値です。
表1-2に、Lookup.Webex.TimeZones参照定義のサンプル・エントリを示します。
表1-2 Lookup.Webex.TimeZones参照定義のサンプル・エントリ
| コード・キー | デコード |
|---|---|
44~22 |
Webex~GMT+01:00, GMT(London) |
44~128 |
Webex~GMT+02:00, Central European (Paris) |
44~4 |
Webex~GMT-07:00, Pacific(San Francisco) |
事前構成済参照定義は、コネクタのデプロイ時にOracle Identity Managerに作成されるその他の参照定義です。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。
その他の参照定義は次のとおりです。
Lookup.Webex.Configuration参照定義は、ターゲット・リソースのリコンシリエーションおよびプロビジョニング操作時に使用されるコネクタ構成エントリを含みます。
表1-3に、Lookup.Webex.Configurationの値の参照定義のデフォルト・エントリを示します。
ノート:
この参照定義のエントリは変更しないでください表1-3 Lookup.Webex.Configuration定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Bundle Name |
org.identityconnectors.webex |
このエントリは、コネクタ・バンドルの名前を保持します。 |
Bundle Version |
1.0.11150 |
このエントリは、コネクタ・バンドルのバージョンを保持します。 |
Connector Name |
org.identityconnectors.webex.WebexConnector |
このエントリは、コネクタ・クラスの名前を含みます。 |
User Configuration Lookup |
Lookup.Webex.UM.Configuration |
このエントリは、ユーザー固有の構成プロパティを含む参照定義の名前を含みます。 |
startFrom |
1 |
このエントリは、取得するデータベースで次にユーザーが問合せ基準に一致するまでスキップされる、取得済のユーザー数を保持します。 デフォルト値: 1 |
maximumNum |
100 |
このエントリは、検索から返されるレコードの最大数の整数値を保持します。 デフォルト値: 100 |
Lookup.Webex.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに特有のエントリを含みます。この参照定義は事前構成済で、ユーザー管理操作の際に使用されます。
表1-4 Lookup.Webex.UM.Configuration定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
Provisioning Attribute Map |
Lookup.Webex.UM.ProvAttrMap |
このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、ユーザー・プロビジョニング操作の際に使用されます。 |
Recon Attribute Map |
Lookup.Webex.UM.ReconAttrMap |
このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、ユーザー・リコンシリエーションの際に使用されます。 |
Lookup.Webex.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性名のマッピングを含みます。
この参照定義は事前に構成されており、ターゲット・リソース・プロビジョニングの際に使用されます。表1-8にデフォルト・エントリを示します。
プロビジョニング用の新規ターゲット・システム属性をマップする場合、この参照定義にエントリを追加できます。「プロビジョニングへの新規ユーザー属性の追加」を参照してください。
この参照定義は事前に構成されており、ターゲット・リソース・リコンシリエーションの際に使用されます。
Lookup.Webex.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性との間のマッピングを含みます。表1-5にデフォルト・エントリを示します。
ターゲット・リソース・リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。「プロビジョニングへの新規ユーザー属性の追加」を参照してください。
ターゲット・リソースのリコンシリエーションでは、ターゲット・システムで新規作成または変更されたアカウントに関するデータをフェッチし、そのデータを使用してOracle Identity Managerユーザーに割り当てられたリソースを追加または変更します。
WebEx Resource User Reconciliationスケジュール済ジョブは、リコンシリエーションの実行開始に使用されます。このスケジュール済ジョブは、リコンシリエーション・スケジュール済ジョブで説明されています。
関連項目:
コネクタ・リコンシリエーションの詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のリコンシリエーションの管理に関する項を参照してください。この項には、コネクタ・オブジェクトに関する次のトピックが含まれます。
Lookup.Webex.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。この参照定義は、ターゲット・リソース・ユーザー・リコンシリエーションの実行に使用されます。
この参照定義のエントリは次の形式です。
コード・キー: リソース・オブジェクトのリコンシリエーション・フィールド
デコード: ターゲット・システム属性の名前
表1-5に、この参照定義のエントリを示します。
表1-5 Lookup.Webex.UM.ReconAttrMap定義のエントリ
| コード・キー(リソース・オブジェクト・フィールド) | デコード(Webexフィールド) |
|---|---|
IDを戻す |
__UID__ |
ユーザー名 |
__NAME__ |
名 |
FirstName |
姓 |
LastName |
電子メール |
電子メール |
タイムゾーン[LOOKUP] |
TimeZoneID |
ステータス |
__ENABLE__ |
ユーザー・ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルールは、Oracle Identity Managerがターゲット・システムで新たに検出されたアカウントを割り当てる必要があるアイデンティティを特定するためにリコンシリエーション・エンジンで使用されます。
ユーザーのプロセス一致ルールを次に示します。
ルール名: Webex User Recon Rule
ルール要素: User Login Equals User Name
User Loginは、Oracle Identity Managerユーザー・フォームの「ユーザーID」フィールドです。
User Nameは、ターゲット・システムでのユーザーの一意のログイン名です。
リコンシリエーション・アクション・ルールでは、コネクタがユーザーに対して定義されたリコンシリエーション・ルールに基づいて実行する必要があるアクションが定義されます。
この項では、ターゲット・リソース・リコンシリエーションのリコンシリエーション・アクション・ルールについて説明します。
表1-6に、ターゲット・リソースのリコンシリエーション用のアクション・ルールをリストします。
表1-6 ターゲット・システムのリコンシリエーションのアクション・ルール
| ルール条件 | アクション |
|---|---|
一致が見つからなかった場合 |
なし |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザー・データを作成または変更します。
この項では、プロビジョニング操作時に使用されるコネクタ・オブジェクトについて説明します。
WebExコネクタでサポートされるプロビジョニング機能と、これらの機能を実行するアダプタを示します。
表1-7のアダプタ列には、機能が実行されるときに使用されるアダプタの名前が示されます。
関連項目:
プロセス・タスクおよびアダプタの汎用情報は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのアダプタのタイプに関する項を参照してください。表1-7 ユーザー・プロビジョニング機能
| 機能 | アダプタ |
|---|---|
ユーザーの作成 |
adpWEBEXCREATEUSER |
ユーザーの更新 |
adpWEBEXUPDATEUSER |
ユーザーの削除 |
adpWEBEXDELETEUSER |
ユーザーの有効化 |
adpWEBEXENABLETASK |
ユーザーの無効化 |
adpWEBEXDISABLETASK |
Lookup.Webex.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドをWebExフィールドにマップします。この参照定義は、ユーザー・プロビジョニング操作を実行するために使用されます。
この参照定義のエントリは次の形式です。
コード・キー: プロセス・フォーム・フィールドの名前
デコード: ターゲット・システム属性の名前
表1-8に、この参照定義のデフォルト・エントリを示します。
表1-8 Lookup.Webex.UM.ProvAttrMap参照定義のエントリ
| コード・キー | デコード |
|---|---|
電子メール |
電子メール |
名 |
FirstName |
姓 |
LastName |
Password |
__PASSWORD__ |
IDを戻す |
__UID__ |
ステータス |
__ENABLE__ |
タイムゾーン[LOOKUP] |
TimeZoneID |
ユーザー名 |
__NAME__ |
次に、このマニュアルの次の章以降の構成を示します。
WebExコネクタのデプロイでは、コネクタのデプロイの各ステージにおいて、Oracle Identity Managerおよびターゲット・システムで実行する必要のある手順を説明します。
WebExコネクタの使用では、コネクタの使用に関するガイドラインと、リコンシリエーションの実行を構成する手順およびプロビジョニング操作を実行する手順について説明します。
WebExコネクタの機能拡張では、コネクタの機能を拡張する場合に実行できる手順について説明します。
WebExコネクタの既知の問題と回避策では、このリリースのコネクタに関連する既知の問題および制限事項を示します。
WebExコネクタのインストール・メディアのファイルおよびディレクトリでは、コネクタ・インストール・メディアを構成するファイルとディレクトリを示します。
