| Oracle® Identity Manager Oracle CRM On Demandコネクタ・ガイド リリース11.1.1 E91912-01 |
|
 前 |
 次 |
Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerコネクタは、Oracle Identity Managerと外部のアイデンティティ認識アプリケーションの統合に使用されます。このマニュアルでは、Oracle Identity ManagerとOracle CRM On Demandとを統合できるコネクタについて説明します。このコネクタにより、Oracle Identity Managerのアイデンティティ・データの管理された(ターゲット)リソースとしてターゲット・システムを使用できます。
コネクタのアカウント管理(ターゲット・リソース)モードでは、ターゲット・システム上で直接作成または変更されたユーザーに関する情報をOracle Identity Managerにリコンサイルできます。また、Oracle Identity Managerを使用して、ターゲット・システムでプロビジョニング操作を実行できます。
この章の構成は、次のとおりです。
|
注意: このガイドでは、Oracle Identity Managerサーバーという用語は、Oracle Identity Managerがインストールされているコンピュータを意味します。 |
表1-1に、このコネクタで動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
| 項目 | 要件 |
|---|---|
|
Oracle Identity Managerの次のリリースのいずれかを使用できます。
|
|
|
Oracle CRM On Demandリリース19以上 |
|
|
コネクタ・サーバー |
11.1.2.1.0 |
|
コネクタ・サーバーJDK |
JDK 1.6 Update 24以降またはJRockit JDK 1.6 Update 24以降 |
このコネクタでは次の言語がサポートされます。
アラビア語
中国語(簡体字)
中国語(繁体字)
チェコ語
デンマーク語
オランダ語
英語
フィンランド語
フランス語
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ノルウェー語
ポーランド語
ポルトガル語
ポルトガル語(ブラジル)
ルーマニア語
ロシア語
スロバキア語
スペイン語
スウェーデン語
タイ語
トルコ語
コネクタにより、Oracle Identity Managerを介してターゲット・システム・アカウントを管理できます。図1-1に、コネクタのアーキテクチャを示します。
Oracle Identity Manager Oracle CRM On Demandコネクタは、Identity Connector Framework (ICF)ベースのコネクタです。ICFは、コネクタで必要とされる基本的なプロビジョニングやリコンシリエーションなどの機能を提供するコンポーネントです。
ターゲット・システムでの操作は、Oracle CRM On Demandによって公開されるWebサービスを介して実行されます。コネクタは、次のCRM On Demand Webサービスを使用します。
User Webサービス
このWebサービスは、ユーザー固有のプロビジョニングおよびリコンシリエーション操作に使用されます。
Role Management Webサービス
このWebサービスは、CRM On Demand Role Lookup Reconスケジュール済ジョブがターゲット・システムで使用できるロールをLookup.CRMOD.Roles参照定義に同期する際に使用されます。
Password Webサービス
このWebサービスは、Oracle Identity Managerからユーザーのパスワードを設定または変更するために使用されます。
Web Services Description Language (WSDL)ファイルと、生成されるWebサービス・スタブ(アーティファクト)は、コネクタ・バンドルを使用してパッケージされます。コネクタは、あらゆるコネクタ操作について、パッケージされたこのスタブを使用してターゲット・システムと通信します。
コネクタとターゲット・システムとの通信中、セキュリティに関してはOracle Web Service Manager (OWSM)が使用されます。Oracle Identity ManagerとOracle CRM On Demandとの間の通信は、セキュリティのためにSecure Sockets Layer (SSL)によって暗号化されます(ターゲット・システムのURLは常にHTTPS)。またコネクタは、Oracle CRM On Demand Webサービスとの通信中、メッセージ・レベルのセキュリティにユーザー名/トークン・ポリシーを使用します。
ターゲット・システムで、作成したユーザー・アカウントを削除することはできません。したがって、Oracle Identity Managerの「リソースの失効」操作の一部として次の変更が行われます。
ターゲット・システムで、対応するユーザー・アカウントは「非アクティブ」に設定されます。
Oracle Identity Managerで、対応するユーザー・アカウントのタスクが取り消され、アカウント・ステータスが「無効」に設定されます。
次の各項で、コネクタ操作について説明します。
このコネクタは、ターゲット・リソース・リコンシリエーションを実行するように構成できます。コネクタによって、OIMユーザーのターゲット・アカウントはプロビジョニングを介して作成し管理できるようになります。また、新たに作成または変更されたターゲット・システム・アカウントに関連するデータをリコンサイルして、既存のOIMユーザーやプロビジョニングされたリソースにリンクすることができます。
|
関連項目: ターゲット・リソースのリコンシリエーションの概念的な情報は、『Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイド』を参照してください。 |
リコンシリエーションで行われる手順の概要を次に示します。
指定した時刻または間隔でスケジュール済ジョブが実行されます。このスケジュール済タスクには、実行するリコンシリエーションの詳細が含まれます。
スケジュール済ジョブは次のタスクを実行します。
ジョブ属性に設定した値を読み取ります。
ユーザー・レコードをOracle Identity Managerにフェッチします。
ターゲット・システムからフェッチされた各ユーザー・レコードが、OIMユーザーに割り当てられている既存のターゲット・システム・リソースと比較されます。この比較プロセスでリコンシリエーション・ルールが適用されます。リコンシリエーション・ルールの詳細は、3.1.3項「ターゲット・リソースのリコンシリエーションのリコンシリエーション・ルール」を参照してください。
プロセスの次の手順は、比較の結果によって異なります。
ターゲット・システムのレコードとOIMユーザーにプロビジョニングされたリソースが一致する場合、ターゲット・システム・レコードに対する変更内容でユーザー・リソースが更新されます。
一致しない場合、ターゲット・システムのユーザー・レコードが既存のOIMユーザーと比較されます。次の手順は、比較の結果によって異なります。
一致する場合、ターゲット・システムのレコードが使用され、リソースがOIMユーザーのためにプロビジョニングされます。
一致しない場合、リコンシリエーション・イベントのステータスが「一致するものが見つかりません」に設定されます。
|
関連項目: プロビジョニングのタイプの概念的な情報は、『Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイド』を参照してください。 |
プロビジョニングでは、ユーザー・アカウントが作成および管理されます。Oracle CRM On DemandリソースをOIMユーザーに割り当てる(プロビジョニングする)と、この操作によって、ターゲット・システムにそのユーザーのアカウントが作成されます。同様に、Oracle Identity Managerでリソースを更新すると、ターゲット・システムのアカウントが同じように更新されます。
プロビジョニングは2ステップのプロセスです。最初の段階では、ユーザー作成タスクがトリガーされます。ユーザー作成タスクが正常に完了すると、2番目の手順が始まります。2番目の段階では、パスワード更新タスクがトリガーされます。
プロビジョニング操作中に、アダプタはプロセス・フォームを介して送信されたプロビジョニング・データをコネクタに送信し、さらにそのプロビジョニング・データをターゲット・システムに送信します。ユーザー・アカウント・メンテナンス・コマンドはアダプタからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをアダプタに返します。アダプタはOracle Identity Managerにレスポンスを返します。
プロビジョニング・プロセスは次のいずれかのイベントを介して開始できます。
直接プロビジョニング
Oracle Identity Managerの管理者は管理およびユーザー・コンソールを使用して、ユーザーのターゲット・システム・アカウントを作成します。
アクセス・ポリシーの変更によって引き起こされるプロビジョニング
ターゲット・システムのアカウントに関連するアクセス・ポリシーが変更されます。変更されたアクセス・ポリシーは、適用対象のすべてのユーザーについて再評価されます。
リクエストベースのプロビジョニング
リクエストベースのプロビジョニングでは、個人がターゲット・システム・アカウントのリクエストを作成します。必要な権限を持つOIMユーザーがリクエストを承認して、リクエストしたユーザーにターゲット・システム・アカウントをプロビジョニングすると、プロビジョニング・プロセスが完了します。
表1-2に、コネクタでサポートされるプロビジョニング機能を示します。「アダプタ」列には、機能が実行されるときに使用されるアダプタの名前が示されます。
表1-2 プロビジョニング機能
| 機能 | アダプタ |
|---|---|
|
ユーザーの作成 |
CRMODCreateUser |
|
ユーザーの削除 |
CRMODDisableUser |
|
ユーザーの無効化 |
CRMODDisableUser |
|
ユーザーの有効化 |
CRMODEnableUser |
|
「別名」の更新 |
CRMODUpdateUser |
|
携帯電話が更新されました |
CRMODUpdateUser |
|
部門が更新されました |
CRMODUpdateUser |
|
部署が更新されました |
CRMODUpdateUser |
|
メールが更新されました |
CRMODUpdateUser |
|
従業員番号が更新されました |
CRMODUpdateUser |
|
一意の外部IDが更新されました |
CRMODUpdateUser |
|
名が更新されました |
CRMODUpdateUser |
|
役職が更新されました |
CRMODUpdateUser |
|
言語が更新されました |
CRMODUpdateUser |
|
姓が更新されました |
CRMODUpdateUser |
|
ミドル・ネームが更新されました |
CRMODUpdateUser |
|
パスワードの更新 |
CRMODUpdateUser |
|
地域が更新されました |
CRMODUpdateUser |
|
レポート先が更新されました |
CRMODUpdateUser |
|
ロールが更新されました |
CRMODUpdateUser |
|
勤務先の電話番号が更新されました |
CRMODUpdateUser |
Identity Connector Framework (ICF)は、すべてのOracle Identity Managerコネクタで必要とされる基本プロビジョニングやリコンシリエーションなどの機能を提供するコンポーネントです。
Oracle Identity Manager Oracle CRM On Demandコネクタは、ICFベースのコネクタです。ICFは、コネクタのレガシー・バージョンと共存できるようにするクラスパス分離を使用します。
ICFとその利点の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』の「アイデンティティ・コネクタ・フレームワークの理解」の章を参照してください。
コネクタを使用して、ターゲット・システムをOracle Identity Managerのターゲット・リソースとして構成できます。
詳細は、3.1項「リコンシリエーションの構成」を参照してください。
コネクタをデプロイした後は、完全リコンシリエーションを実行して、すべての既存ユーザー・データをターゲット・システムからOracle Identity Managerに移動できます。初回の完全リコンシリエーションの実行後、次のユーザー・リコンシリエーションの実行から増分リコンシリエーションが自動的に有効になります。
完全リコンシリエーションはいつでも実行できます。詳細は、3.1.1項「完全リコンシリエーション」を参照してください。
リコンシリエーション・フィルタをスケジュール済ジョブの「フィルタ」属性の値として設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。
詳細は、3.1.2項「制限付きリコンシリエーション」を参照してください。
リコンシリエーションおよびプロビジョニング用のカスタム属性を追加する場合、 4.1項「ターゲット・リソースのリコンシリエーション用のカスタム属性の追加」および4.2項「プロビジョニング用のカスタム属性の追加」に記載された手順を実行します。
リコンシリエーション中にOracle Identity Managerに渡されたデータの変換を構成できます。
詳細は、4.4項「ユーザー・リコンシリエーション中のデータ変換の構成」を参照してください。
プロビジョニングおよびリコンシリエーション操作中にOracle Identity Managerに渡されるデータの検証を構成できます。
詳細は、第4.3項「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
リコンシリエーションおよびプロビジョニング操作から除外する必要のあるアカウントのリストを指定できます。除外リストで指定したユーザーIDを持つアカウントは、リコンシリエーションおよびプロビジョニング操作による影響を受けません。
4.5項「リソース除外リストの構成」では、この参照定義へのエントリの追加の手順について説明します。
表1-3に、ターゲット・リソースのリコンシリエーションおよびプロビジョニング用のユーザー属性のマッピングに関する情報を示します。
表1-3 ターゲット・リソースのリコンシリエーションおよびプロビジョニング用のユーザー属性
| プロセス・フォーム・フィールド | ターゲット・システム・フィールド(ユーザー・スキーマ) | 説明 |
|---|---|---|
|
別名 |
別名 |
ユーザーの別名 |
|
携帯電話 |
CellPhone |
ユーザーの携帯電話番号 |
|
部署 |
部署 |
ユーザーの部門 |
|
部門 |
部門 |
ユーザーの部署 |
|
電子メール |
EmailAddr |
ユーザーのメールID |
|
従業員番号 |
EmployeeNumber |
ユーザーの従業員番号 |
|
名 |
FirstName |
ユーザーの名 |
|
役職 |
JobTitle |
ユーザーの役職 |
|
姓 |
LastName |
ユーザーの姓 |
|
ミドル・ネーム |
MiddleName |
ユーザーのミドル・ネーム |
|
パスワード |
__PASSWORD__ |
ユーザーのパスワード 注意: 「パスワード」フィールドは更新のみ可能です。リコンシリエーションはできません。 |
|
リージョン |
リージョン |
ユーザーの地域 |
|
IDを戻す |
__UID__ |
ユーザーのUID |
|
ロール[LOOKUP] |
Role |
ユーザーのロール |
|
ユーザー・ログインID |
UserLoginId |
ユーザーのログインID |
|
勤務先の電話番号 |
PhoneNumber |
ユーザーの電話番号 |
次に、このマニュアルの次の章以降の構成を示します。
第2章「コネクタのデプロイ」: コネクタのデプロイの各段階で、Oracle Identity Managerおよびターゲット・システムで実行する必要がある手順について説明します。
第3章「コネクタの使用」: コネクタの使用に関するガイドラインと、リコンシリエーションの実行を構成する手順およびプロビジョニング操作を実行する手順について説明します。
第4章「コネクタの機能拡張」: コネクタの機能を拡張する場合に実行できる手順について説明します。
第5章「既知の問題」: このリリースのコネクタに関連する既知の問題を示します。
