| Oracle® Fusion Middleware Oracle Identity Manager開発者ガイド 11g リリース2 (11.1.2.1.0) B69536-05 |
|
 前 |
 次 |
この章では、汎用テクノロジ・コネクタと、汎用テクノロジ・コネクタを使用するためにOracle Identity Managerで提供される機能について説明します。
この章の内容は次のとおりです。
Oracle Identity Managerの事前定義済コネクタは、Microsoft Active DirectoryおよびPeopleSoft Enterprise Applicationsなどの、一般的に使用されているターゲット・システムにあわせて設計されています。事前定義済コネクタはアダプタ・ファクトリ機能を使用して開発され、そのアーキテクチャは、ターゲット・システムがサポートしているAPI、またはターゲット・システムがユーザー・データを格納するデータ・リポジトリのタイプおよびスキーマのいずれかに基づきます。
事前定義済コネクタは、アダプタ・ファクトリを使用して開発されるため、高度なワークフローおよびアダプタのカスタマイズ機能を備えています。ターゲット・システムでこれらのコネクタが使用できる場合は、統合の方法として事前定義済コネクタの使用をお薦めします。
対応する事前定義済コネクタがないターゲット・システムとOracle Identity Managerを統合する場合があります。その例として、次のようなシナリオについて考えます。
シナリオ1: Acme Inc.のすべての従業員は、バックアップ・サーバーにディスク領域を割り当てられています。従業員は、バックアップ・サーバー上の従業員アカウントを管理するようにシステム管理者にリクエストを送信します。システム管理者は、従業員からのリクエストを取得、確認および処理するWebベース・アプリケーションを開発しています。このアプリケーションのフロント・エンドは、CSV形式のデータを受け取って格納するWebサービスです。バックエンドに格納される従業員アカウント・データは、XMLファイルとして指定の場所にエクスポートできます。
シナリオ2: Ceeam Travels Inc.では、顧客が航空運賃の見積りのリクエストに使用できるカスタムのWebベース・アプリケーションを所有しています。Ceeam Travelsの従業員でもあるエージェントは、これらのリクエストに対し、同じアプリケーションを使用して応答します。顧客は、自己登録によりこのアプリケーション内にアカウントを作成します。ただし、Ceeam Travelsの従業員は、人事管理上の役職に基づいて自動的にプロビジョニングされたアカウントを持っている必要があります。アプリケーションのアカウント管理機能(作成、更新および削除など)は、Java APIを介して使用可能です。
これらのいずれのシナリオでも、ターゲット・システムとOracle Identity Managerをリンクするためのカスタム・コネクタを作成する必要があります。カスタム・コネクタを作成する簡単な方法を模索しており、アダプタ・ファクトリのカスタマイズ機能は必要ないという場合には、コネクタの作成にOracle Identity Managerの汎用テクノロジ・コネクタ機能を使用できます。16.2項「汎用テクノロジ・コネクタの機能アーキテクチャ」で説明しているように、プロバイダは汎用テクノロジ・コネクタのビルディング・ブロックです。
シナリオ1では、事前定義済の共有ドライブ・リコンシリエーション・トランスポート・プロバイダおよびCSVリコンシリエーション・フォーマット・プロバイダを使用することにより、フラット・ファイルとして格納されているデータをOracle Identity Managerに対してリコンサイルする汎用テクノロジ・コネクタを作成できます。
シナリオ2では、カスタム・アプリケーションをOracle Identity Managerに統合する場合に使用できる事前定義済プロバイダはありません。この場合、第18章「汎用テクノロジ・コネクタ用カスタム・プロバイダの作成」に記載の手順を使用して、ターゲット・アプリケーションにより公開されたJava APIをコールするカスタム・プロバイダを作成できます。
事前定義済コネクタと同様に、汎用テクノロジ・コネクタは、Oracle Identity Managerとターゲット・システムの間でリコンシリエーションおよびプロビジョニング操作を仲介する役割をはたします。機能的に、汎用テクノロジ・コネクタは、リコンシリエーション・モジュールとプロビジョニング・モジュールに分けられます。汎用テクノロジ・コネクタを作成する際には、リコンシリエーション・モジュールとプロビジョニング・モジュールをともに組み込むか、どちらか一方のみ組み込むかを指定できます。
事前定義済コネクタは、同一のターゲットのコンテキストでリコンシリエーション機能とプロビジョニング機能を備えています。それに対して、汎用テクノロジ・コネクタのリコンシリエーション・モジュールおよびプロビジョニング・モジュールは、選択した再使用可能コンポーネントで構成されます。それぞれのコンポーネントでは、プロビジョニング時またはリコンシリエーション時に、特定の機能が実行されます。たとえば、フラット・ファイルから信頼できるソース・リコンシリエーションを実行するとともに、SPMLプロトコルを使用したSPML対応ターゲットへのターゲット・リソース・プロビジョニングを実行するコネクタを作成できます。
このマニュアルでは、汎用テクノロジ・コネクタを構成するコンポーネントをプロバイダと呼びます。
各プロバイダは、入力として受け取るデータに対するトランスポート機能、フォーマット変更機能、検証機能または変換機能を実行します。つまり、プロバイダにより処理されたデータ項目は新しい場所に移動されるか、指定された基準に照らして検証されるか、構造または値の変更が行われます。このガイドでは、データセットという用語は、レイヤー形式で配置されたデータ構造を表すために使用されます。データは、プロビジョニングおよびリコンシリエーション中にレイヤー間を流れます。
汎用テクノロジ・コネクタを作成する場合、各データセットに含まれる必要があるフィールド(ユーザー・アイデンティティ・メタデータ)を指定できます。また、異なるデータセットのフィールド間にマッピングを定義することもできます。マッピングは、次のいずれかを目的としています。
プロビジョニングまたはリコンシリエーションで使用するための、2つのデータセットのフィールド間のデータ・フロー・パスの確立。
このタイプのマッピングに基づいて、ターゲット・システムからフェッチされたデータの検証または変換が行われます。
2つのデータセットのフィールド値の比較(一致)の基盤の構築。
図16-1は、汎用テクノロジ・コネクタの機能アーキテクチャを示しています。
次の各項では、汎用テクノロジ・コネクタを構成するプロバイダおよびデータセットについて説明します。
リコンシリエーション・モジュールは、次のプロバイダおよびデータセットで構成されています。
リコンシリエーション・トランスポート・プロバイダでは、ターゲット・システムのリコンシリエーション・データがOracle Identity Managerへ伝播されます。このプロバイダがリコンシリエーション・データを伝播する方法は、プロバイダの実装によって異なります。たとえば、リコンシリエーション・トランスポート・プロバイダは、ファイルからのデータの読取り、Webサービスからのデータの受取り、またはデータベースへの問合せが可能です。
リコンシリエーション・フォーマット・プロバイダでは、リコンシリエーション・トランスポート・プロバイダによりフェッチされたリコンシリエーション・データが解析され、このデータがOracle Identity Managerに格納できるデータ構造に変換されます。
「ソース」データセットには、リコンシリエーション・フォーマット・プロバイダにより処理されたデータが保持されます。このデータセットは、子データセットを持つことが可能です。
検証プロバイダでは、「ソース」データセット内のデータが指定した基準を満たしているかどうかが確認され、その後データがOracle Identity Managerのリコンシリエーション・エンジンに渡されます。
|
注意: 1つの汎用テクノロジ・コネクタには、複数の検証プロバイダを組み込むことができます。 |
リコンシリエーション・モジュールに組み込まれている変換プロバイダでは、検証プロバイダから受け取ったデータが変更され、その後データがリコンシリエーション・イベントを作成するためにOracle Identity Managerへ渡されます。
変換プロバイダ機能の例を、次に説明します。
ターゲット・システムの2つのフィールドに、次のように値が設定されているとします。
名: John
姓: Doe
変換プロバイダを使用すると、次のようなリコンシリエーション・フィールドを出力できます。
ログインID: John.Doe
「リコンシリエーション・ステージング」データセットには、検証プロバイダおよび変換プロバイダによって処理されたユーザー・データが保持されます。このデータセットは、子データセットを持つことが可能です。
プロビジョニング・モジュールは、次のプロバイダおよびデータセットで構成されています。
変換プロバイダを使用すると、次の段階でデータ項目を変更できます。
プロビジョニング・モジュールに組み込まれている変換プロバイダでは、Oracle Identity Managerプロセス・フォームに入力されたデータが変更され、その後データがターゲット・システムに送信されます。
「プロビジョニング・ステージング」データセットには、プロビジョニング・フォーマット・プロバイダに送信される前のユーザー・データが保持されます。このデータは、Oracle Identity Managerに格納されている、信頼できるソースのユーザー・データまたはターゲット・システムのアカウント・データに対して変換機能を実行した場合の出力です。このデータセットは、子データセットを持つことが可能です。
プロビジョニング・フォーマット・プロバイダでは、(変換プロバイダから受け取った)Oracle Identity Managerのプロビジョニング・データが、ターゲット・システムでサポートされているフォーマットに変換されます。
プロビジョニング・トランスポート・プロバイダでは、プロビジョニング・フォーマット・プロバイダからターゲット・システムへプロビジョニング・データが伝播されます。このプロバイダがリコンシリエーション・データを伝播する方法は、プロバイダの実装によって異なります。たとえば、プロバイダでは、ファイルへのデータのコピー、Webサービスへのデータの送信、またはデータベースへのデータのポストが可能です。
Oracle Identity Managerデータセットは、Oracle Identity Managerに格納されているデータを表します。これらのデータセットはリコンシリエーション・モジュールまたはプロビジョニング・モジュールには含まれませんが、これらのデータセットにフィールドを追加して、これらのデータセットとその他のデータセットのフィールド間のマッピングを作成できるため、汎用テクノロジ・コネクタの一部と見なされます。Oracle Identity Managerデータセットを次に示します。
「OIM - ユーザー」データセットには、Oracle Identity Managerユーザーを定義するメタデータ(アイデンティティ・フィールドのセット)が保持されます。信頼できるソース・リコンシリエーションの場合、このデータセットは、「リコンシリエーション・ステージング」データセットから、新規作成または変更されたユーザー・アカウント情報を受け取ります。ターゲット・リソース・リコンシリエーションの場合は、「OIM - ユーザー」データセットのフィールドを使用して、ターゲット・システムのユーザー・アカウントと既存のOracle Identity Managerユーザーを一致させることができます。このデータセットは、子データセットを持つことはできません。
「OIM - アカウント」データセットには、Oracle Identity Managerの「プロセス・フォーム」フィールドに格納されているユーザー・アカウント情報が保持されます。このユーザー・アカウント情報は、「リコンシリエーション・ステージング」データセットから受け取ります。「OIM - アカウント」データセットは、子データセットを持つことが可能です。
次の各項では、汎用テクノロジ・コネクタの機能について説明します。
次の機能は、リコンシリエーション・モジュールに固有のものです。
汎用テクノロジ・コネクタは、信頼できるソース・リコンシリエーションに使用できます。信頼できるモードでのリコンシリエーションでは、次が実行されます。
リコンシリエーション・エンジンでは、新規のターゲット・システム・アカウントが検出されると、対応するOracle Identity Managerユーザーが作成されます。
リコンシリエーション・エンジンでは、既存のターゲット・システム・アカウントに対する変更が検出されると、対応するOracle Identity Managerユーザーに同様の変更が行われます。
|
注意: 汎用テクノロジ・コネクタの作成時に「信頼できるソース・リコンシリエーション」オプションを選択しない場合は、ターゲット・リソース・リコンシリエーションが有効になります。ターゲット・リソース・リコンシリエーションでは、ターゲット・システム・アカウントに対する変更のみがリコンサイルされます。リコンシリエーション時に検出された新規のターゲット・システム・アカウントが、Oracle Identity Managerで自動的に作成されることはありません。 |
信頼できるソース・リコンシリエーションに使用する汎用テクノロジ・コネクタは、プロビジョニングには使用できません。このような設計機能が組み込まれているのは、信頼できるソースとして指定されたターゲット・システム上のユーザー・アカウント情報を、Oracle Identity Managerを介して作成または変更できないようにするためです。
ITリソースおよびリソース・オブジェクトなどのコネクタ・オブジェクトは、汎用テクノロジ・コネクタの作成プロセスの最後に自動的に作成されます。デフォルトでは、汎用テクノロジ・コネクタのリソース・オブジェクトは、信頼できるリソース・オブジェクトです。つまり、汎用テクノロジ・コネクタはあらかじめ、複数の信頼できるソースのリコンシリエーション機能と互換性があります。この機能については、第5章「プロビジョニング・プロセスの開発」を参照してください。
|
注意: 信頼できるソース・リコンシリエーションでは、複数値(子)データのリコンシリエーションはサポートされていません。 |
ユーザー・アカウント・ステータス情報は、ターゲット・システム・アカウントの所有者によるアカウントへのアクセスおよびアカウントの使用が許可されるかどうかの追跡に使用されます。Oracle identity Managerに格納されている形式のアカウント・ステータス情報がターゲット・システムに格納されていない場合は、事前定義済の翻訳変換プロバイダを使用して、アカウント・ステータスのリコンシリエーションを実装できます。
|
注意: ユーザー・アカウント・ステータスのリコンシリエーションは、信頼できるソース・リコンシリエーションを選択するかターゲット・リソース・リコンシリエーションを選択するかに関係なく実装できます。 Design Consoleには、翻訳変換プロバイダを使用せずにアカウント・ステータスのリコンシリエーションを実装するための機能が用意されています。詳細は、5.3.2.2項「リコンシリエーション・フィールド・マッピングタブ」を参照してください。 |
汎用テクノロジ・コネクタを作成する際に、コネクタを完全リコンシリエーションまたは増分リコンシリエーションに使用するよう指定できます。
最後のリコンシリエーション実行後に変更されたレコードをリコンシリエーション・エンジンで識別する方法がターゲット・システムでサポートされている場合は、増分リコンシリエーションを選択します。たとえば、ターゲット・システムでユーザー・レコードの作成または変更にタイムスタンプが付けられている場合、リコンシリエーション・エンジンでは、最後のリコンシリエーション実行後に追加または変更されたレコードを識別できます。増分リコンシリエーションでは、最後のリコンシリエーション実行後に変更されたターゲット・システムのレコードのみがOracle Identity Managerでリコンサイル(格納)されます。
次のいずれかの条件に該当する場合は、完全リコンシリエーションを選択します。
最後のリコンシリエーション実行後に変更されたレコードをリコンシリエーション・エンジンで識別する方法がターゲット・システムでサポートされていない場合。
ターゲット・システムのすべてのユーザー・アカウント・レコードに初めてリコンシリエーションを実行する場合。
完全リコンシリエーションでは、すべてのリコンシリエーション・レコードがターゲット・システムから抽出されます。ただし、最適化リコンシリエーション機能により、Oracle Identity Managerですでにリコンサイル済のレコードが識別されて無視されます。これは、リコンシリエーション・データで占有される領域を削減するために役立ちます。この機能がない場合、Oracle Identity Managerデータベースに格納されるデータ容量は、リコンシリエーションを実行するたびに急速に増加することになります。
|
注意: 完全リコンシリエーションと増分リコンシリエーションの結果は同じです。
|
リコンシリエーションのバッチ・サイズを指定できます。これにより、リコンシリエーション実行中にリコンシリエーション・エンジンがターゲット・システムからフェッチするレコードの総数をバッチに分割できます。この機能により、リコンシリエーション・プロセスをさらにきめ細かく制御できるようになります。
ターゲット・システムの複数値属性データの削除をOracle Identity Managerでリコンサイルするかどうかを指定します。
|
注意: 汎用テクノロジ・コネクタでは、親データの削除のリコンシリエーションはサポートされていません。たとえば、ユーザー |
次の機能は、リコンシリエーション・モジュールまたはプロビジョニング・モジュールに固有のものではありません。
汎用テクノロジ・コネクタを作成する場合、リコンシリエーションおよびプロビジョニングの実行中に使用する必要があるアイデンティティ・フィールドおよびフィールド・マッピング(データ・フロー・パス)を指定できます。
Oracle Identity Managerに付属の事前定義済プロバイダが、動作環境のトランスポート、フォーマット変更、検証または変換についての要件に対応していない場合は、カスタム・プロバイダを作成できます。
汎用テクノロジ・コネクタでは、ユーザー、アカウントまたはその他のタイプのプロビジョニング済リソース・オブジェクトを表す、ASCIIデータおよび非ASCIIデータ(マルチバイト・キャラクタ)の両方を処理できます。
汎用テクノロジ・コネクタの作成時は、次のような書式を指定できます。
リコンシリエーション実行中に抽出されたターゲット・システム・レコードの日付の値の書式
プロビジョニング実行中にターゲット・システムへ送信する必要がある日付の値の書式
汎用テクノロジ・コネクタ・フレームワークで作成されるコネクタ・オブジェクトのリストは、「ステップ1: 基本情報」ページで選択した「リコンシリエーション」オプションおよび「プロビジョニング」オプションの組合せによって異なります。
|
注意: フォーム名を除き、汎用テクノロジ・コネクタ・オブジェクトの名前は たとえば、作成する汎用テクノロジ・コネクタの名前として |
「ステップ1: 基本情報」ページで「リコンシリエーション」オプションおよび「プロビジョニング」オプションの両方を選択した場合、次のオブジェクトが作成されます。
ITリソース・タイプ
ITリソース・タイプのパラメータは、最初のページで選択した、リコンシリエーションとプロビジョニングの両方のフォーマット・プロバイダとトランスポート・プロバイダのランタイム・パラメータです。
ITリソース
ITリソースは、ITリソース・タイプのインスタンスです。これには、プロバイダのランタイム・パラメータ値が格納されます。
リソース・オブジェクト
リソース・オブジェクトは、「リコンシリエーション・ステージング」親データセットを構成するフィールドの値を保持します。各「リコンシリエーション・ステージング」子データセットでは、複数レベルのリコンシリエーション・フィールドが、(対応する子フィールドを属性として)自動的に作成されます。
|
注意: 「信頼できるソース・リコンシリエーション」オプションを選択した場合、信頼できるリソース・オブジェクトは、コネクタ作成プロセスの最後に自動的に作成されるオブジェクトの1つになります。 |
アプリケーション・インスタンス
これは、ITリソース(ターゲット接続とコネクタ構成)と、リソース・オブジェクト(プロビジョニング・メカニズム)を組み合せたものです。これは、プロビジョニング可能なエンティティです。
親フォームと子フォーム
親フォームと子フォームは「OIM - アカウント」データセットおよびその子データセットにそれぞれ基づいています。デフォルトでは、フォームの名前は対応するデータセットの名前と同じです。「ステップ3: フォーム名の検証」ページで、必要に応じてフォーム名を変更できます。
プロセス定義
プロセス定義には、リコンシリエーション・フィールド・マッピングと、システム定義およびプロビジョニング固有のプロセス・タスクが含まれます。プロセス定義に含まれるプロセス・タスクの詳細は、19.2.6項「プロビジョニングの構成」を参照してください。
汎用アダプタ
汎用アダプタには、汎用テクノロジ・コネクタが行うすべてのプロビジョニング機能に対するコードが含まれています。
スケジュール済タスク
リコンシリエーションの実行中、スケジュール済タスクは事前定義済の順序でリコンシリエーション・プロセスをトリガーします。スケジュール済タスクの設定の詳細は、19.2.5項「リコンシリエーションの構成」を参照してください。
リコンシリエーション・ルール
リコンシリエーション・ルールはルール要素で構成されています。単一ルール要素は、「リコンシリエーション・ステージング」データセットと「OIM - ユーザー」データセットのフィールド間で作成されたマッピングを表します。
アクション・ルール
ターゲット・リソースのリコンシリエーションのために、次のデフォルトのアクション・ルールのいずれかが作成されます。
| ルール条件 | アクション |
|---|---|
|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
|
1つのプロセス一致が見つかった場合 |
リンクの確立 |
信頼できるソースのリコンシリエーションのために、次のデフォルトのアクション・ルールのいずれかが作成されます。
| ルール条件 | アクション |
|---|---|
|
一致が見つからなかった場合 |
ユーザーの作成 |
|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
|
1つのプロセス一致が見つかった場合 |
リンクの確立 |
汎用テクノロジ・コネクタの作成者が属するユーザー・グループは、汎用テクノロジ・コネクタの作成プロセス中に自動的に作成される次のコネクタ・オブジェクトの管理者となります。
ITリソース
リソース・オブジェクト(管理者およびオブジェクト認可者)
すべてのフォーム
プロセス定義
リコンシリエーション・フィールド
リコンシリエーション・フィールド・マッピング
「リコンシリエーション」オプションおよび「プロビジョニング」オプションの両方を選択した場合に作成されるオブジェクトのリストは、「「リコンシリエーション」と「プロビジョニング」の両方の選択」を参照してください。「ステップ1: 基本情報」ページで「リコンシリエーション」オプションのみを選択した場合、そのリストの中の次のオブジェクトは作成されません。
汎用アダプタ
プロビジョニング固有のプロセス・タスク
ただし、プロセス定義自体とそれを構成するシステム定義プロセス・タスクは作成されます。
「リコンシリエーション」オプションおよび「プロビジョニング」オプションの両方を選択した場合に作成されるオブジェクトのリストは、「「リコンシリエーション」と「プロビジョニング」の両方の選択」を参照してください。「ステップ1: 基本情報」ページで「プロビジョニング」オプションのみを選択した場合、そのリストの中の次のオブジェクトは作成されません。
スケジュール済タスク
リコンシリエーション・ルール
リコンシリエーション・フィールド
リコンシリエーション・フィールド・マッピング
汎用テクノロジ・コネクタに関するその他の章および付録の概要を次に示します。
第17章「汎用テクノロジ・コネクタの事前定義済プロバイダ」では、共有ドライブ・リコンシリエーション・トランスポート・プロバイダ、CSVリコンシリエーション・フォーマット・プロバイダ、SPMLプロビジョニング・フォーマット・プロバイダ、Webサービス・プロビジョニング・トランスポート・プロバイダ、変換プロバイダおよび検証プロバイダを含む、使用可能なプロバイダの詳細について説明します。
第18章「汎用テクノロジ・コネクタ用カスタム・プロバイダの作成」では、プロビジョニングおよびリコンシリエーション中のプロバイダの役割およびカスタム・プロバイダの作成方法について説明します。
第19章「汎用テクノロジ・コネクタの作成および管理」では、汎用テクノロジ・コネクタの作成方法と管理方法およびカスタム・コネクタでの汎用接続プール・フレームワークの使用方法について説明します。
第20章「汎用テクノロジ・コネクタのトラブルシューティング」では、汎用テクノロジ・コネクタに関連する一般的な問題と構成上の問題およびそれらの問題のトラブルシューティング方法について説明します。
