| Oracle® Identity Manager Webservicesコネクタ・ガイド リリース11.1.1 E91915-02 |
|
 前 |
 次 |
Oracle Identity Managerでは、様々なターゲット・システムに対してリソースのアクセス権の管理およびセキュリティが自動化されています。Oracle Identity Managerコネクタは、Oracle Identity Managerとターゲット・アプリケーションの統合に使用されます。このガイドでは、Webサービス・エンドポイントを公開しているターゲット・システムに接続するWebサービス・コネクタについて説明します。ターゲット・システムは、Oracle Identity Managerのアイデンティティ情報の管理された(ターゲット)リソースまたは認証された(信頼できる)ソースとして使用できます。このコネクタは、Oracle SOA Suiteを間接レイヤとして使用し、該当バージョンのSOA SuiteでサポートされているすべてのバージョンのWebサービスをサポートしています。
|
注意: このガイドでは、Webサービス・エンドポイントを公開するターゲット・システムのことをターゲット・システムと呼んでいます。ターゲット・システムとしてACME Webserviceを使用して、構成とコネクタ・オブジェクトについて説明します。 |
コネクタのアカウント管理(ターゲット・リソース)モードにおいて、ターゲット・システムで直接作成または変更されたユーザーに関するデータは、Oracle Identity Managerにリコンサイルできます。このデータは、新規リソースのOIMユーザーへのプロビジョニング(割当て)、またはすでにOIMユーザーに割り当てられているリソースの更新に使用されます。また、Oracle Identity Managerを使用して、OIMユーザーに割り当てられたターゲット・リソースのプロビジョニングまたは更新を行うことができます。Oracle Identity Managerで実行されるこのようなプロビジョニング操作は、ターゲット・システム・アカウントの作成または更新に変換されます。
コネクタのアイデンティティ・リコンシリエーション(信頼できるソース)構成において、個人はターゲット・システムでのみ作成または変更され、これらの個人に関する情報がOracle Identity Managerにリコンサイルされます。
この章の構成は、次のとおりです。
表1-1に、このコネクタを使用したときの動作が保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
| アイテム | 要件 |
|---|---|
|
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
|
|
Webサービス・エンドポイントを公開する任意のターゲット・システム |
|
|
コネクタ・サーバー |
11.1.2.1.0 |
|
コネクタ・サーバーJDK |
JDK 1.6以降またはJRockit 1.6以降 |
このコネクタでは次の言語がサポートされます。
アラビア語
中国語(簡体字)
中国語(繁体字)
チェコ語
デンマーク語
オランダ語
英語
フィンランド語
フランス語
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ノルウェー語
ポーランド語
ポルトガル語
ポルトガル語(ブラジル)
ルーマニア語
ロシア語
スロバキア語
スペイン語
スウェーデン語
タイ語
トルコ語
|
注意: ただし、一部のフィールドではマルチバイト・キャラクタのエントリがサポートされません。 |
図1-1に、コネクタのアーキテクチャを示します。
コネクタは、Identity Connector Framework (ICF)を使用して実装されます。ICFは、すべてのOracle Identity Managerコネクタに共通する基本的なリコンシリエーションとプロビジョニングの操作を提供するコンポーネントです。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFは、Oracle Identity Managerに付属しています。したがって、ICFを構成したり変更する必要はありません。
コネクタのアーキテクチャは次のように説明できます。
Webサービスは、アプリケーション間の相互運用を可能にするためにWebアプリケーションによって公開されるWeb APIです。Webサービスによって公開されている操作は、SOAPプロトコルを介して呼び出して使用することができます。
コネクタはSOAを使用して、ターゲットWebサービスに対する操作をバインドし、呼び出します。SOAは間接レイヤとして動作します。SOAコンポジットの一方のエンドは、Webサービス・クライアントに接続されています(図1-1でWSConnector Client PartnerLinkとして表されています)。このクライアントは、コネクタのWebサービス・エンドポイントであり、作成、削除、更新、検索など、ICFベースの操作を公開します。SOAコンポジットの他方のエンドは、入力と出力に独自の規則を使用して同様の操作を公開するターゲットWebサービスに接続されています。
WSConnector Clientエンドポイントは、認証にoracle/wss_username_token_client_policy Webサービス・セキュリティ・ポリシーを使用します。
コネクタは、SOAコンポジットに対するICF操作を呼び出します。この操作は、特定の入力構造を使用してコネクタのWebサービス・クライアントによって生成されます。これによって特定のタイプの操作(作成など)のBPELプロセスがトリガーされ、そのプロセスによってターゲットWebサービスに対する操作が呼び出されます。
出力はSOAコンポジットに渡されます。SOAコンポジットはオプションでXSLTを使用して、ICFが認識する構造にペイロードを変換できます。この変換と接続はSOAコンポジットで処理されます。これは、ユーザーが手動で構成する必要があります。
コネクタが対話するWebサービス・クライアントは、ICFアダプタおよびオブジェクトに対応するコントラクトを公開します。WSDLには、操作の定義、各操作に固有の入力と出力のスキーマ、例外(UnknownUidExceptionやAlreadyExistsExceptionなど)を宣言することによる例外の処理、およびカスタム属性または子表属性が含まれます。
コネクタ・パッケージには、基本SOAコンポジット・テンプレート、ICF Webサービス・コネクタ・バンドル、およびOracle Identity Managerメタデータが含まれます。Oracle Identity Managerメタデータは事前定義済で、要件に応じて更新できます。メタデータはテンプレートと考えることができ、ターゲット・アカウントにあわせてカスタマイズできます。ターゲット・システムの操作はICF操作をトリガーし、ICF Webサービス・コネクタ・バンドルにルーティングされます。ターゲットWebサービスの接続は、SOAコンポジット・レイヤで行われます。ICFコネクタ・バンドルは、SOAコンポジット・レイヤでそれぞれの操作を呼び出します。
コネクタでは、操作がSOAPサービスとして公開されているものと想定されています。SOAP操作は、事前定義済のWSDLコントラクトに基づいて提供されます。このWSDLコントラクトは、create、update、delete、addAttributeValue、removeAttributeValue、lookupSearchおよびaccountSearchの各操作に対して1つの操作を持ちます。BPELプロセス内の各操作は、それぞれのブランチ内で処理されます。コネクタは、様々な操作のために異なるWebサービス操作または異なるターゲット・システムWebサービスを呼び出すことができます。このアーキテクチャは主に、同じ呼出し内で結果が返される同期Webサービスのサポートに重点を置いています。
Webサービス・エンドポイントを公開する追加のターゲット・システムがサポートされるようにコネクタを構成できます。
コネクタ・パッケージには、基本SOAテンプレート・コンポジット、ICF Webサービス・コネクタ・バンドル、およびOracle Identity Managerメタデータが含まれます。
詳細は、第2章「インストール前の手順」および第3章「コネクタのデプロイ」で説明されている手順を参照してください。
Oracle Identity ManagerとSOAコンポジットでコネクタを構成して保護できます。
セキュリティ関連のトピックは、第5.1項「コネクタの保護」を参照してください。
コネクタは、ターゲット・システムの複数のバージョンおよび複数のインスタンスをサポートします。
Oracle Identity Managerに単一のコネクタ・バンドルをデプロイし、ターゲット・システムの複数のインスタンスおよび複数のバージョンに対して複数のITリソースを作成できます。この場合、Oracle Identity Managerを使用して、これらのターゲット・システムでアカウントを管理できます。詳細は、5.7項「ターゲット・システムの複数のバージョンおよび複数のインスタンスに対するコネクタの構成」を参照してください。
コネクタを使用して、ターゲット・システムをOracle Identity Managerの信頼できるソースまたはターゲット・リソースとして構成できます。
詳細は、第4.1項「リコンシリエーションの構成」を参照してください。
コネクタをデプロイした後は、完全リコンシリエーションを実行して、すべての既存ユーザー・データをターゲット・システムからOracle Identity Managerに移動できます。初回の完全リコンシリエーションの実行後、次のユーザー・リコンシリエーションの実行から増分リコンシリエーションが自動的に有効になります。
完全リコンシリエーションはいつでも実行できます。詳細は、4.1.1項「完全リコンシリエーション」を参照してください。
リコンシリエーション・フィルタをユーザー・リコンシリエーションのスケジュール済タスクの「フィルタ」属性の値として設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。
詳細は、第4.1.2項「制限付きリコンシリエーション」を参照してください。
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。
詳細は、第4.1.3項「バッチ・リコンシリエーション」を参照してください。
プロビジョニングおよびリコンシリエーション操作中に単一値データが検証されるように構成できます。
詳細は、第5.8項「リコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
リコンシリエーション中にOracle Identity Managerに渡されたデータの変換を構成できます。
詳細は、5.9項「ユーザー・リコンシリエーション中のデータ変換の構成」を参照してください。
リコンシリエーションおよびプロビジョニング操作から除外する必要のあるアカウントのリストを指定できます。除外リストで指定したユーザーIDを持つアカウントは、リコンシリエーションおよびプロビジョニング操作による影響を受けません。
5.10項「リソース除外リストの構成」では、この参照定義へのエントリの追加の手順について説明します。
コネクタ操作中に使用される参照定義は、次のように分類できます。
プロビジョニング操作時に、プロセス・フォームの参照フィールドを使用して値セットから1つの値を指定します。たとえば、日付形式参照定義を使用して、サポートしている日付形式のリストから日付形式を選択することができます。コネクタをデプロイすると、ターゲット・システムの参照フィールドに対応する参照定義が、Oracle Identity Managerに自動的に作成されます。参照フィールド同期では、ターゲット・システムの参照フィールドに対して行われた追加または変更が、Oracle Identity Managerの参照定義にコピーされます。
Lookup Reconciliationスケジュール済ジョブを使用して、参照定義の値とターゲット・システムを同期できます。詳細は、4.2.1項「参照フィールド同期のスケジュール済タスク」を参照してください。
管理およびユーザー・コンソールでプロビジョニング操作を実行する際、操作を実行するターゲット・システムのITリソースを選択します。このアクションを実行すると、ページの参照定義に、選択したITリソース(ターゲット・システム・インスタンス)に対応する値が自動的に移入されます。
この項では、コネクタのデプロイ時にOracle Identity Managerに作成されるその他の参照定義について説明します。これらの参照定義には、値が事前移入されるか、コネクタのデプロイ後に値を手動で入力する必要があります。その他の参照定義は次のとおりです。
|
注意: 参照定義の名前は、コネクタの構築時に指定するコネクタ名のSHORT_CODEによって決まります。たとえば、このガイドでは、コネクタの構築時に指定するコネクタのSHORT_CODE名はACMEです。 SHORT_CODEとしてCRMを使用すると、参照定義はLookup.CRM.UM.ReconAttrMapのようになります。 |
Lookup.ACME.ConfigurationおよびLookup.ACME.Configuration.Trusted参照定義は、リコンシリエーション操作およびプロビジョニング操作時に使用されるコネクタ構成エントリを保持します。
表1-2に、この参照定義のデフォルト・エントリを示します。
表1-2 構成参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
|
Bundle Name |
org.identityconnectors.webservices |
このエントリは、コネクタ・バンドル・パッケージの名前を含みます。このエントリは変更しないでください。 |
|
Bundle Version |
1.0.112 |
このエントリは、コネクタ・バンドル・クラスのバージョンを含みます。このエントリは変更しないでください。 |
|
Connector Name |
org.identityconnectors.genericws.GenericWSConnector |
このエントリは、コネクタ・クラスの名前を含みます。このエントリは変更しないでください。 |
|
internalPolicyReference |
false |
スタンドアロン操作時のコネクタの内部OWSMポリシー参照。 |
|
User Configuration Lookup |
ターゲット・リソース・モードの場合: Lookup.ACME.UM.Configuration 信頼モードの場合: Lookup.ACME.UM.Configuration.Trusted |
このエントリは、ユーザー固有の構成プロパティを含む参照定義の名前を含みます。 このエントリは変更しないでください。 |
Lookup.ACME.UM.Configuration参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを保持します。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、ユーザー管理操作で使用されます。
表1-3に、この参照定義のデフォルト・エントリを示します。
表1-3 Lookup.ACME.UM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
|
Provisioning Attribute Map |
Lookup.ACME.UM.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、第1.5.2.4項「Lookup.ACME.UM.ProvAttrMap」を参照してください。 |
|
Recon Attribute Map |
Lookup.ACME.UM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、第1.5.2.5項「Lookup.ACME.UM.ReconAttrMap」を参照してください。 |
Lookup.ACME.UM.Configuration.Trusted参照定義は、ユーザー・オブジェクト・タイプに固有の構成エントリを保持します。この参照定義は、ターゲット・システムが信頼できるソースとして構成されているときに、ユーザー管理操作で使用されます。
表1-4に、この参照定義のデフォルト・エントリを示します。
表1-4 Lookup.ACME.UM.Configuration.Trusted参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
|
Recon Attribute Defaults |
Lookup.ACME.UM.ReconDefaults.Trusted |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。 |
|
Recon Attribute Map |
Lookup.ACME.UM.ReconAttrMap.Trusted |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。 |
Lookup.ACME.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを保持します。この参照定義は、プロビジョニングの際に使用されます。この参照定義は、事前に構成されています。表1-7に、デフォルト・エントリを示します。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。詳細は、5.2項「プロビジョニング用のカスタム属性の追加」を参照してください。
Lookup.ACME.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを保持します。この参照定義は、リコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。表1-5にデフォルト・エントリを示します。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。第5.3項「リコンシリエーション用のカスタム属性の追加」を参照してください。
Lookup.ACME.UM.ReconAttrMap.Trusted参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを保持します。この参照定義は、信頼モードでのリコンシリエーションの際に使用されます。
この参照定義には次のエントリが含まれています。
| コード・キー | デコード |
|---|---|
| First Name | FirstName |
| Last Name | LastName |
| Status[TRUSTED] | Status |
| Unique Id | __UID__ |
Lookup.ACME.UM.ReconDefaults.Trusted参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを保持します。この参照定義は、信頼モードでのリコンシリエーションの際に使用されます。
この参照定義には次のエントリが含まれています。
| コード・キー | デコード |
|---|---|
| Empl Type | Full-Time |
| Organization Name | Xellerate Users |
| Status | Active |
| User Type | End User |
User Target ReconciliationおよびUser Trusted Reconciliationスケジュール済ジョブは、リコンシリエーションの実行を開始するために使用されます。これらのスケジュール済ジョブは、第4.2項「スケジュール済タスク」で説明されています。
|
関連項目: リコンシリエーションの概念の詳細は、Oracle Fusion Middleware Oracle Identity Managerの管理のリコンシリエーションの管理に関する項を参照してください。 |
このセクションのトピックは次のとおりです:
Lookup.ACME.UM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性をマップします。
「Code Key」列には、リソース・オブジェクトのフィールドの名前が保持されます。
Decode列には、ターゲット・システム属性の名前が保持されます。
表1-5に、この参照定義のエントリを示します。
表1-5 Lookup.ACME.UM.ReconAttrMap参照定義のエントリ
| リソース・オブジェクト・フィールド | ターゲット・システムの属性 |
|---|---|
|
Address |
Address |
|
Common Name |
CommonName |
|
Country |
Country |
|
Department Number |
DepartmentNumber |
|
Deprovisioning Date |
DeprovisioningDate |
|
Display Name |
DisplayName |
|
|
|
|
Employee Number |
Empno |
|
End Date |
EndDate |
|
Fax |
Fax |
|
First Name |
FirstName |
|
Generation Qualifier |
GenerationQualifier |
|
Hire Date |
HireDate |
|
Home Address |
HomeAddress |
|
Home Phone |
HomePhone |
|
Initials |
Initials |
|
Last Name |
LastName |
|
Locality |
Locality |
|
Login |
__NAME__ |
|
Manager |
Manager |
|
Middle Name |
MiddleName |
|
Mobile |
Mobile |
|
OIMObjectStatus |
__ENABLE__ |
|
Organization |
Organization |
|
Pager |
Pager |
|
Password |
__PASSWORD__ |
|
PO Box |
POBox |
|
Provisioning Date |
ProvisioningDate |
|
Roles~Role |
Role |
|
Start Date |
StartDate |
|
State |
State |
|
Status |
Status |
|
Street |
Street |
|
Telephone Number |
TelephoneNumber |
|
Title |
Title |
|
Unique Id |
__UID__ |
|
User Type |
UserType |
プロビジョニングでは、Oracle Identity Managerを使用して、ターゲット・システムでユーザー・データを作成または変更します。
このセクションのトピックは次のとおりです:
表1-6に、サポートされるユーザー・プロビジョニング機能と、これらの機能を実行するアダプタを示します。表に示す機能は、1つまたは複数のプロセス・タスクに対応しています。
|
関連項目: プロセス・タスクおよびアダプタの一般情報は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのアダプタのタイプを参照してください。 |
表1-6 ユーザー・プロビジョニング機能
| 機能 | タスク・アダプタ |
|---|---|
|
ユーザー・アカウントの作成 |
adpACMEWEBSERVICECREATEOBJECT |
|
ユーザー・アカウントの削除 |
adpACMEWEBSERVICEDELETEOBJECT |
|
adpACMEWEBSERVICEENABLEUSER |
|
|
adpACMEWEBSERVICEDISABLEUSER |
|
|
属性の更新 |
adpACMEWEBSERVICEUPDATEATTRIBUTEVALUE |
|
属性の一括更新 |
adpACMEWEBSERVICEBULKUPDATE |
|
子表の値の追加 |
adpACMEWEBSERVICEADDCHILDTABLEVALUE |
|
子表の値の削除 |
adpACMEWEBSERVICEREMOVECHILDTABLEVALUE |
|
子表の値の更新 |
adpACMEWEBSERVICEUPDATECHILDTABLEVALUE |
Lookup.ACME.UM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドを単一値ターゲット・システム属性にマップします。
コード・キー列は、プロセス・フォームのフィールドの名前を保持します。
Decode列には、ターゲット・システム属性の名前が保持されます。
表1-7に、この参照定義のエントリを示します。
表1-7 Lookup.ACME.UM.ProvAttrMap参照定義のエントリ
| プロセス・フォーム・フィールド | ターゲット・システムの属性 |
|---|---|
|
Address |
Address |
|
Common Name |
CommonName |
|
Country |
Country |
|
Department Number |
DepartmentNumber |
|
Deprovisioning Date[DATE] |
DeprovisioningDate |
|
Display Name |
DisplayName |
|
|
|
|
Employee Number |
Empno |
|
End Date[DATE] |
EndDate |
|
Fax |
Fax |
|
First Name |
FirstName |
|
Generation Qualifier |
GenerationQualifier |
|
Hire Date[DATE] |
HireDate |
|
Home Address |
HomeAddress |
|
Home Phone |
HomePhone |
|
Initials |
Initials |
|
Last Name |
LastName |
|
Locality |
Locality |
|
Login |
__NAME__ |
|
Manager |
Manager |
|
Middle Name |
MiddleName |
|
Mobile |
Mobile |
|
Organization |
Organization |
|
Pager |
Pager |
|
Password |
__PASSWORD__ |
|
PO Box |
POBox |
|
Provisioning Date[DATE] |
ProvisioningDate |
|
Start Date[DATE] |
StartDate |
|
State |
State |
|
Status |
Status |
|
Street |
Street |
|
Telephone Number |
TelephoneNumber |
|
Title |
Title |
|
UD_ACME_CH~Role |
Role |
|
Unique Id |
__UID__ |
|
User Type |
UserType |
このガイドの以降の部分では、次のように情報が編成されています。
第2章「インストール前の手順」では、コネクタをデプロイする前に実行する必要がある手順について説明します。
第3章「コネクタのデプロイ」: コネクタのデプロイの各段階で、Oracle Identity Managerおよびターゲット・システムで実行する必要がある手順について説明します。
第4章「コネクタの使用」では、リコンシリエーションの実行ごとに実行する必要があるタスクについて説明します。
第5章「コネクタの機能拡張」では、コネクタの機能を拡張するために実行できる手順について説明します。
第6章「テストおよびトラブルシューティング」では、コネクタのテストについて説明します。
第7章「既知の問題と回避策」では、このリリースのコネクタに関連する既知の問題を示します。
付録A「ACME WebserviceのサンプルWSDL」では、このガイドでサンプル・ターゲットWebサービスとして使用される、ACME WebserviceのサンプルWSDLを示します。
