| Oracle® Fusion Middleware Oracle Identity Manager開発者ガイド 11g リリース2 (11.1.2.1.0) B69536-05 |
|
 前 |
 次 |
アプリケーション・インスタンスは、プロビジョニング可能なエンティティです。これは、ITリソース・インスタンス(ターゲット接続とコネクタ構成)と、リソース・オブジェクト(プロビジョニング・メカニズム)を組み合せたものです。アプリケーション・インスタンスは、覚えやすいビジネスフレンドリな名前を持ちます。アプリケーション・インスタンスの作成および管理は、Oracle Identity System Administrationを使用して行います。
アプリケーション・インスタンスは、接続あり、または接続なしにできます。接続アプリケーション・インスタンスは、エンティティのプロビジョニング用に定義されたコネクタを持ちます。接続なしリソースのプロビジョニングには、接続なしアプリケーション・インスタンスを使用しますが、これにはコネクタが定義されていないため、プロビジョニングは管理者が手動で行います。
アプリケーション・インスタンスの概念、およびアプリケーション・インスタンスの作成および管理方法の詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のアプリケーション・インスタンスの管理に関する説明を参照してください。
この章では、アプリケーション開発者がリソース・オブジェクトおよびITリソースを手動で管理する方法について説明します。また、接続なしアプリケーション・インスタンスを接続アプリケーション・インスタンスに変換する手順についても説明します。
この章では、リソース、ITリソースおよびアプリケーション・インスタンスの管理について説明し、内容は次のとおりです。
ITリソースを作成するには、次の手順を実行します。
|
注意: ITリソースを作成する前に、ITリソース・タイプを作成します。ITリソース・タイプの作成は、Design Consoleを使用して行うか、またはデプロイメント・マネージャでITリソース・タイプをインポートすることで行います。 |
Oracle Identity System Administrationにログインします。
「構成」で、「ITリソース」をクリックします。「ITリソースの管理」ページが表示されます。
「ITリソースの作成」をクリックします。「ITリソースの作成」ウィザードが表示されます。
「ステップ1: ITリソース情報の入力」ページで、次の情報を入力します。
ITリソース名: ITリソースの名前を入力します。
ITリソース・タイプ: ITリソースのITリソース・タイプを選択します。
Remote ManagerタイプのITリソースを作成する場合は、「ITリソース・タイプ」リストから「Remote Manager」を選択します。
Remote Manager: 特定のRemote ManagerにITリソースを関連付けるには、このリストからRemote Managerを選択します。Remote ManagerにITリソースを関連付けない場合は、このフィールドを空欄のままにします。
|
注意: 「ITリソース・タイプ」リストから「Remote Manager」を選択した場合は、「Remote Manager」リストからRemote Managerは選択できません。 |
「続行」をクリックします。
「ステップ2: ITリソース・パラメータ値の指定」ページで、ITリソースのパラメータ値を指定して、「続行」をクリックします。
ITリソースにロールを割り当て、そのロールのアクセス権限を設定する場合は、「ステップ3: ITリソースへのアクセス権限の設定」ページで次を実行します。
a. 「ロールの割当て」をクリックします。
b. ITリソースに割り当てるロールの場合は、「割当て」および設定するアクセス権限を選択します。たとえば、ALL USERSロールを割り当て、このロールに「読取り」および「書込み」権限を設定するには、このロールについて「割当て」チェック・ボックスを選択するのみでなく、行の各チェック・ボックスを選択する必要があります。
c. 「割当て」をクリックします。
ITリソースに割り当てられているロールのアクセス権限を変更する場合は、「ステップ3: ITリソースへのアクセス権限の設定」ページで次を実行します。
|
注意:
|
a. 「権限の更新」をクリックします。
b. このページに表示されるロールに対して特定のアクセス権限を設定するか削除するかに応じて、対応するチェック・ボックスを選択または選択解除します。
c. 「更新」をクリックします。
ITリソースからロールの割当てを解除する場合は、「ステップ3: ITリソースへのアクセス権限の設定」ページで次を実行します。
|
注意:
|
a. 割当てを解除するロールの「割当て解除」チェック・ボックスを選択します。
b. 「割当て解除」をクリックします。
「続行」をクリックします。
「ステップ4: ITリソースの詳細の確認」ページで、1ページ目、2ページ目、3ページ目で指定した情報を確認します。ページに入力したデータを変更する場合は、「戻る」をクリックしてそのページを戻り、必要な変更を行います。
「続行」をクリックして、ITリソースの作成を続行します。
「ステップ5: ITリソースの接続結果」ページに、ITリソース情報を使用して実行された接続テストの結果が表示されます。テストが成功した場合は、「作成」をクリックします。テストが失敗した場合は、次のステップのいずれかを実行できます。
「戻る」をクリックして前のページに戻り、ITリソースの作成情報を修正します。
「取消」をクリックして手順を中止し、ステップ1から始めます。
「続行」をクリックして、作成プロセスを進めます。後で問題を修正し、診断ダッシュボードを使用して接続テストを再実行することができます。
|
注意: エラーが発生しなかった場合、ボタンのラベルは「続行」ではなく「作成」となります。 詳細は、16-11ページの「基本接続性のテスト」を参照してください。 |
「終了」をクリックします。
ITリソースを検索するには、次の手順を実行します。
Oracle Identity System Administrationの「構成」で、「ITリソース」をクリックします。「ITリソースの管理」ページが表示されます。
「ITリソースの管理」ページで、次のいずれかの検索オプションを使用して、表示するITリソースを検索できます。
ITリソース名: ITリソースの名前を入力して、「検索」をクリックします。
ITリソース・タイプ: ITリソースのITリソース・タイプを選択して、「検索」をクリックします。
「検索」をクリックします。
「ITリソースの管理」ページで、検索基準を満たしているITリソースのリストが表示されます。
この時点から、ITリソースに関する次のいずれかの手順を実行できます。
ITリソースを表示するには、次の手順を実行します。
検索結果に表示されているITリソースのリストから、ITリソース名をクリックします。
|
注意: ITリソースを編集する場合は、同じ行の編集アイコンをクリックします。 |
ITリソース・パラメータおよびその値を表示する場合は、ページの上部にあるリストから「詳細およびパラメータ」を選択します。同様に、ITリソースに割り当てられた管理ロールを表示する場合は、リストから「管理ロール」を選択します。
ITリソースを変更するには、次の手順を実行します。
検索結果に表示されているITリソースのリストから、変更するITリソースの編集アイコンをクリックします。
ITリソースのパラメータ値を変更する場合は、次の手順を実行します。
ページ上部にあるリストから「詳細およびパラメータ」を選択します。
パラメータ値で必要な変更を加えます。
変更内容を保存するには、「更新」をクリックします。
ITリソースに割り当てられた管理ロールを変更する場合は、最初にページ上部のリストから「管理ロール」を選択して、必要な変更を加えます。
管理ロールの割当てを解除するには、ロール名が表示されている行の「割当て解除」チェック・ボックスを選択して、「割当て解除」をクリックします。
|
注意:
|
ITリソースに新規の管理ロールを割り当てる場合は、次の手順を実行します。
「ロールの割当て」をクリックします。
ITリソースに割り当てる管理ロールの場合は、アクセス権限チェック・ボックスと「割当て」チェック・ボックスを選択します。
「割当て」をクリックします。
現在ITリソースに割り当てられている管理ロールのアクセス権限を変更するには、次の手順を実行します。
「権限の更新」をクリックします。
実行する変更内容に応じて、表のチェック・ボックスを選択または選択を解除します。
|
注意:
|
変更内容を保存するには、「更新」をクリックします。
この章では、Design Consoleでのリソース管理について説明します。この章には次の項目があります。
「リソース管理」フォルダには、Oracle Identity Managerリソースを管理するためのツールが用意されています。このフォルダには、次のフォームが含まれます。
ITリソース・タイプ定義: このフォームは、「ITリソース」フォームに参照値として表示されるリソース・タイプを作成するために使用します。
ルール・デザイナ: このフォームは、ルールを作成するために使用します。ここで作成するルールは、パスワード・ポリシーの選択、自動ロール・メンバーシップ、プロビジョニング・プロセスの選択、タスクの割当ておよびアダプタの事前移入に適用できます。
リソース・オブジェクト: このフォームは、リソース・オブジェクトを作成および管理するために使用します。これらのオブジェクトは、ユーザーや組織に対してどのリソースを利用可能にするかを表します。
「ITリソース・タイプ定義」フォームは「リソース管理」フォルダにあります。「ITリソース・タイプ定義」フォームを使用すると、AD、Microsoft Exchange、SolarisなどのITリソース・タイプを分類できます。Oracle Identity Managerでは、ユーザーや組織にプロビジョニングされるリソース・オブジェクトにリソース・タイプが関連付けられます。
このフォームでITリソース・タイプを定義すると、ITリソースを定義するときにそのリソース・タイプを選択できるようになります。タイプは、拡張管理の「ITリソースの作成」および「ITリソースの管理」ページに表示されます。
ITリソース・タイプとは、それらを参照するITリソース定義用のテンプレートのことです。ITリソース定義でITリソース・タイプを参照すると、そのリソースはITリソース・タイプのすべてのパラメータと値を継承します。ITリソース・タイプは、Solarisなどの全般的なIT分類です。リソースは、Solaris for Statewide Investmentsなどのタイプのインスタンスです。すべてのITリソース定義にITリソース・タイプを関連付ける必要があります。
図4-1に、「ITリソース・タイプ定義」フォームを示します。
表4-1に、「ITリソース・タイプ定義」フォームのフィールドを示します。
表4-1 「ITリソース・タイプ定義」フォームのフィールド
| フィールド名 | 説明 |
|---|---|
|
サーバー・タイプ |
ITリソース・タイプの名前。 |
|
複数挿入 |
このITリソース・タイプを複数のITリソースで参照できるようにするかどうかを指定します。 |
|
注意: ITリソースが外部リソースにアクセスする必要があるのに、ネットワークを使用してアクセスできない場合は、Remote Managerへの関連付けが必要です。詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのRemote Managerのインストールおよび構成に関する説明を参照してください。 |
ITリソース・タイプを定義するには、次の手順を実行します。
サーバー・タイプ・フィールドに、SolarisなどのITリソース・タイプの名前を入力します。
ITリソース・タイプを複数のITリソースに対して有効にするには、「複数挿入」を選択します。
「保存」をクリックします。
ITリソース・タイプが定義されます。これは、拡張管理の「ITリソースの作成」ページでITリソースを定義するときに選択できます。
新しいITリソース・タイプに関する基本情報を保存した後、問合せでITリソース・タイプが返されると、「ITリソース・タイプ定義」フォームの下部リージョンのタブにあるフィールドが有効化されます。
「ITリソース・タイプ定義」フォームには、次のタブがあります。
ITリソース・タイプ・パラメータ・タブ
「ITリソース」タブ
ITリソース・タイプ・パラメータ・タブでは、図4-1に示すように、ITリソース・タイプのすべての接続パラメータのデフォルト値と暗号化設定を指定します。パスワードや暗号化されたフィールドにはデフォルト値を指定しないことをお薦めします。このタブのパラメータと値は、このITリソース・タイプを参照するすべてのITリソースによって継承されます。
新しいパラメータを定義すると、そのパラメータと値および暗号化設定が現在のITリソース・タイプに追加され、さらにこのITリソース・タイプを参照する新規または既存のITリソース定義にも追加されます。該当するリソース定義については、拡張管理の「ITリソースの作成」および「ITリソースの管理」ページの「詳細およびパラメータ」セクションに新しいパラメータが表示されます。
|
注意: ITリソースごとにこれらのパラメータの値と暗号化設定をカスタマイズできます。 |
ITリソース・タイプへのパラメータの追加
ITリソース・タイプにパラメータを追加するには、次の手順を実行します。
「追加」をクリックします。
ITリソース・タイプ・パラメータ・タブに新しい行が表示されます。
「フィールド名」フィールドに、パラメータの名前を入力します。
デフォルトのフィールド値フィールドに、デフォルト値を入力します。
この値は、このITリソース・タイプを参照するすべてのITリソースによって継承されます。
「暗号化」オプションを選択または選択解除します。
このチェック・ボックスによって、このパラメータの値がマスクされるかどうか、つまりフォーム・フィールドでアスタリスク(*)によって表されるかどうかが決まります。
パラメータの値がマスクされるようにする場合は、このチェック・ボックスを選択します。
「保存」をクリックします。
ITリソース・タイプからのパラメータの削除
ITリソース・タイプからパラメータを削除するには、次の手順を実行します。
削除するパラメータを選択します。
「削除」をクリックします。
パラメータとそれに関連する値がITリソース・タイプから削除され、さらにこのタイプを参照するITリソース定義からも削除されます。
ルールとは、条件との照合およびそれに基づいたアクションの実行にOracle Identity Managerで使用される基準のことです。ルールは、特定のリソース・オブジェクトまたはプロセスに割り当てることも、すべてのリソース・オブジェクトまたはプロセスに適用することもできます。
次に、ルールの使用例を示します。
アプリケーション・タイプのリソース・オブジェクトに適用するパスワード・ポリシーを決定します。
ユーザーがロールに自動的に追加されるようにします。
リソース・オブジェクトがリクエストに割り当てられた後、そのリソース・オブジェクトに適用するプロビジョニング・プロセスを指定します。
プロセス・タスクをユーザーに割り当てる方法を決定します。
特定のフォーム・フィールドに対して実行される事前移入アダプタを指定します。
|
関連項目: 事前移入アダプタの詳細は、Oracle Identity Manager Toolsリファレンスを参照してください。 |
図4-2に示す「ルール・デザイナ」フォームは「リソース管理」フォルダにあります。このフォームでは、リソースで使用されるルールを作成および管理します。
ルールには、次の4つのタイプがあります。
一般: Oracle Identity Managerでユーザーがロールに自動的に追加されたり、リソース・オブジェクトに割り当てられるパスワード・ポリシーが決定されるようにします。
プロセス決定: リソース・オブジェクト用のプロビジョニング・プロセスを決定します。
タスクの割当て: プロセス・タスクに割り当てられるユーザーまたはロールを指定します。
事前移入: フォーム・フィールドに対して実行される事前移入アダプタを決定します。
ルールには、次の項目が含まれます。
ルール要素: 属性、演算子および値で構成されます。図4-2では、属性は「ユーザー・ログイン」、演算子は==、値はXELSYSADMです。
ネスト・ルール: あるルールを論理的に別のルール内に配置する必要がある場合、内側のルールはネスト・ルールと呼ばれます。図4-2では、「Rule to Prevent Solaris Access」が「Rule for Solaris」内にネストされています。
演算: ルールに複数のルール要素やネスト・ルールが含まれている場合、演算によって構成要素間のリレーションシップが示されます。図4-2では、AND演算を選択した場合、「ユーザー・ログイン==XELSYSADM」ルール要素と「Rule to Prevent Solaris Access」ネスト・ルールの両方がtrueでないと、ルールは成功とみなされません。
表4-2に、「ルール・デザイナ」フォームのフィールドを示します。
表4-2 「ルール・デザイナ」フォームのフィールド
| フィールド名 | 説明 |
|---|---|
|
名前 |
ルールの名前。 |
|
AND/OR |
これらのオプションでは、ルールの演算を指定します。 外側のルール要素およびネスト・ルールがすべてtrueの場合にのみ、ルールを成功とみなすには、「AND」を選択します。外側のルール要素またはネスト・ルールのいずれかがtrueの場合に、ルールを成功とみなすには、「OR」を選択します。 重要: これらのオプションは、ネスト・ルールの内側にあるルール要素の演算には反映されません。図4-2では、「AND」演算は |
|
タイプ |
ルールの分類ステータス。ルールは次の4つのタイプのいずれかに属することができます。
|
|
サブタイプ |
「プロセス決定」、「タスクの割当て」または「事前移入」タイプのルールは、次の4つのサブタイプのいずれかに分類できます。
「タスクの割当て」または「事前移入」ルール・タイプの場合、承認項目および標準承認項目はサブタイプ・ボックスに表示されません。「一般」ルール・タイプの場合、サブタイプ・ボックスはグレー表示になります。 |
|
オブジェクト |
このルールが割り当てられるリソース・オブジェクト。 |
|
すべてのオブジェクト |
選択した場合、ルールはすべてのリソース・オブジェクトに割り当てることができます。 |
|
プロセス |
このルールが割り当てられるプロセス。 |
|
すべてのプロセス |
選択した場合、ルールはすべてのプロセスに割り当てることができます。 |
|
説明 |
ルールに関する説明。 |
ルールを作成する手順は、次のとおりです。
|
注意: 次の手順では、ネスト・ルールの内側にあるルール要素にはオプションは適用されません。たとえば、図4-2では、「AND」演算は |
「ルール・デザイナ」フォームを開きます。
「名前」フィールドに、ルールの名前を入力します。
ルール要素またはネスト・ルールがすべてtrueの場合にのみ、ルールを成功とみなすには、「AND」オプションを選択します。
ルール要素またはネスト・ルールのいずれかがtrueの場合に、ルールを成功とみなすには、「OR」オプションを選択します。
「タイプ」ボックスをクリックし、カスタム・メニューでルールに関連付ける分類ステータス(「一般」、「プロセス決定」、「タスクの割当て」または「事前移入」)を選択します。
「プロセス決定」の場合、「サブタイプ」をクリックし、ルールに関連付ける分類ステータス(「組織プロビジョニング」、「ユーザー・プロビジョニング」、「承認」または「標準承認」)を選択します。
「タスクの割当て」または「事前移入」の場合、「サブタイプ」をクリックし、ルールに関連付ける分類ステータス(「組織プロビジョニング」または「ユーザー・プロビジョニング」)を選択します。
「タイプ」ボックスから「一般」を選択した場合、手順7に進みます。
ルールを1つのリソース・オブジェクトに関連付けるには、「オブジェクト」参照フィールドをダブルクリックし、「参照」ダイアログ・ボックスでリソース・オブジェクトを選択します。
ルールをすべてのリソース・オブジェクトに対して有効にする場合は、すべてのオブジェクト・オプションを選択します。
ルールを1つのプロセスに割り当てるには、「プロセス」参照フィールドをダブルクリックし、「参照」ダイアログ・ボックスでルールに関連付けるプロセスを選択します。
ルールをすべてのプロセスに対して有効にする場合は、すべてのプロセス・オプションを選択します。
「説明」フィールドに、ルールに関する説明を入力します。
「保存」をクリックします。
「ルール・デザイナ」フォームには、次のタブがあります。
ルール要素タブ
使用方法タブ
これらのタブについては、次の各項でそれぞれ説明します。
このタブでは、ルールの要素やネスト・ルールを作成および管理できます。たとえば、図4-3の「Rule for Solaris」には、「ユーザー・ログイン==XELSYSADM」ルール要素が含まれています。また、「Rule to Prevent Solaris Access」がネストされています。図4-3に、「ルール・デザイナ」フォームのルール要素タブを示します。
図4-3のルールは、Solarisリソース・オブジェクトのプロビジョニング・プロセスに適用できます。このリソース・オブジェクトがリクエストに割り当てられると、ルールがトリガーされます。ターゲット・ユーザーのログインがXELSYSADMであり、リソース・オブジェクトの名前がSolarisである場合、Solarisリソース・オブジェクトがユーザーにプロビジョニングされます。それ以外の場合、ユーザーはSolarisにアクセスできません。
ルール要素またはネスト・ルールが無効になったら、ルールから削除してください。
以降の各手順では、次の方法について説明します。
ルールへのルール要素の追加
ルールへのネスト・ルールの追加
ルールからのルール要素またはネスト・ルールの削除
ルールへのルール要素の追加
ルールにルール要素を追加するには、次の手順を実行します。
「要素の追加」をクリックします。
ルール要素の編集ダイアログ・ボックスが表示されます。
ルール要素の編集ダイアログ・ボックスにある各ボックスのカスタム・メニューには、「ルール・デザイナ」フォームの「タイプ」およびサブタイプ・ボックスの項目が反映されます。
表4-3に、ルール要素の編集ダイアログ・ボックスのデータ・フィールドを示します。
表4-3 ルール要素の編集ダイアログ・ボックスのフィールド
| 名前 | 説明 |
|---|---|
|
属性ソース |
このボックスでは、属性のソースを選択します。たとえば、属性として「オブジェクト名」を選択する場合は、属性ソースとして「オブジェクト情報」を選択します。 |
|
ユーザー定義フォーム |
このフィールドには、隣接するボックスに表示される属性ソースに関連付けられているユーザー作成フォームが表示されます。 注意: 属性ソース・ボックスに「プロセス・データ」が表示されない場合、ユーザー定義フォーム・フィールドは空になります。 |
|
属性 |
このボックスでは、ルールの属性を選択します。 |
|
操作 |
このボックスでは、属性と属性値のリレーションシップ(==または!=)を選択します。 |
|
属性値 |
このフィールドには、属性の値を入力します。 注意: 属性の値では大/小文字が区別されます。 |
図4-4に示すように、作成するルールのパラメータを設定します。
この例では、ターゲット・ユーザーのログインIDがXELSYSADMの場合に、ルール要素はtrueになります。それ以外の場合はfalseです。
ルール要素の編集ダイアログ・ボックスのツールバーで、「保存」をクリックしてから、「閉じる」をクリックします。
ルール要素が「ルール・デザイナ」フォームのルール要素タブに表示されます。
メイン画面のツールバーで、「保存」をクリックします。
ルール要素がルールに追加されます。
ルールへのネスト・ルールの追加
ルールの中にルールをネストするには、次の手順を実行します。
|
注意: 次の手順では、親ルールと同じタイプおよびサブタイプのルールのみがルールの選択ウィンドウに表示されます。 |
「ルールの追加」をクリックします。
ルールの選択ダイアログ・ボックスが表示されます。
ネスト・ルールを選択し、「保存」をクリックします。
「閉じる」をクリックします。
ネスト・ルールが「ルール・デザイナ」フォームのルール要素タブに表示されます。
メイン画面のツールバーで、「保存」をクリックします。
ネスト・ルールがルールに追加されます。
ルールからのルール要素またはネスト・ルールの削除
ルール要素またはネスト・ルールを削除するには、次の手順を実行します。
削除対象のルール要素またはネスト・ルールを選択します。
「削除」をクリックします。
ルール要素またはネスト・ルールがルールから削除されます。
このタブは「ルール・デザイナ」フォームに表示されます。使用方法タブの情報には、ルールの分類タイプが反映されます。たとえば、ルール・タイプが事前移入の場合は、このルールが適用されるユーザー作成フィールドがこのタブに表示されます。
図4-5に、使用方法タブを示します。
このタブには、次の項目が表示されます。
ルールに関連付けられているパスワード・ポリシー、リソース・オブジェクト、プロセス、プロセス・タスク、自動ロール・メンバーシップ基準、ロール、Oracle Identity Managerフォーム・フィールドおよび事前移入アダプタ。
ルールの分類タイプを表す1文字のコード(P=プロビジョニング)。
このコードは、プロセス決定ルールの場合にのみ表示されます。
ルールの優先度値。
図4-6に示すルール・デザイナ表には、「ルール・デザイナ」フォームで定義された使用可能なすべてのルールが表示されます。
表4-4に、ルール・デザイナ表に表示される情報を示します。
表4-4 ルール・デザイナ表の情報
| フィールド名 | 説明 |
|---|---|
|
ルール名 |
ルールの名前。 |
|
ルール・タイプ |
ルールは次の4つのタイプのいずれかに属することができます。
|
|
ルール・サブタイプ |
「プロセス決定」、「タスクの割当て」または「事前移入」タイプのルールは、次の4つのサブタイプのいずれかに分類できます。
|
|
ルールの演算子 |
属性と属性値のリレーションシップは、==または!=演算子で表されます。 |
|
説明 |
ルールに関する説明。 |
|
最終更新 |
ルールが最後に更新された日付。 |
「リソース・オブジェクト」フォームは、「リソース管理」フォルダ内にあります。このフォームでは、組織またはユーザーに対してプロビジョニングするOracle Identity Managerリソースのリソース・オブジェクトを作成および管理します。リソース・オブジェクト定義とは、リソースをプロビジョニングするためのテンプレートのことです。ただし、リソースのプロビジョニングは、リソース・オブジェクトにリンクするプロビジョニング・プロセスの設計によって異なります。
表4-5に、「リソース・オブジェクト」フォームのデータ・フィールドを示します。
表4-5 「リソース・オブジェクト」フォームのフィールド
| フィールド名 | 説明 |
|---|---|
|
表名 |
このリソースに関連付けられているリソース・オブジェクト・フォームの名前。(実際には、フォームを表す表の名前です。) |
|
ユーザー用リクエスト/組織用リクエスト |
ユーザー用または組織用にリソース・オブジェクトをリクエストするかどうかを決定するオプション。 ユーザー用にリソース・オブジェクトをリクエストするには、「ユーザー用リクエスト」を選択します。組織用にリソース・オブジェクトをリクエストするには、「組織用リクエスト」を選択します。 |
|
タイプ |
リソース・オブジェクトの分類ステータス。リソース・オブジェクトは、次のタイプのいずれかに属することができます。
|
|
リコンシリエーション順序 |
このチェック・ボックスを選択した場合、リコンシリエーション・イベントは作成順に処理されます。 次に、この機能の使用例を示します。 ユーザー
2つ目のリコンシリエーション・イベント(E2)のデータは次のとおりです。
1つ目と2つ目のイベント間で、ユーザーの名と姓が変更されています。 信頼できるソースのリコンシリエーション実行時に、イベントが作成順に処理される場合は、名と姓の変更はOracle Identity Managerに正しくリコンサイルされます。ただし、2つ目のイベントが1つ目のイベントの前に処理される場合は、リコンシリエーション実行の終了時にターゲット・システムのデータとOracle Identity Managerのデータが一致しなくなります。この不整合は監査表に反映され、信頼できるソースからの別のイベントがこのユーザーに対して作成されるまで残ります。 リコンシリエーション順序オプションを有効にした場合、同じエンティティ(たとえば、同じユーザーまたは同じプロセス・フォーム)のイベントが作成順に処理されるようにすることができます。 |
|
信頼できるソース |
信頼できるユーザー・リコンシリエーションにリソース・オブジェクトを使用する場合は、このチェック・ボックスを選択します。 デフォルトでは、このチェック・ボックスは選択されていません。デフォルトでは、Xellerateユーザー・リソース・オブジェクトの場合にのみ選択されています。 |
リソース・オブジェクトを作成するには、次の手順を実行します。
「リソース・オブジェクト」フォームを開きます。
「名前」フィールドに、リソース・オブジェクトの名前を入力します。
ユーザー用にリソース・オブジェクトをリクエストするには、「ユーザー用リクエスト」を選択します。
組織用にリソース・オブジェクトをリクエストするには、「組織用リクエスト」を選択します。
|
注意: リソース・オブジェクトは、1人のユーザーまたは1つの組織を対象としてリクエストできます。 |
「タイプ」参照フィールドをダブルクリックします。
「参照」ダイアログ・ボックスが表示されたら、リソース・オブジェクトに関連付ける分類ステータス(「アプリケーション」、「一般」または「システム」)を選択します。
信頼できるソースのユーザー・リコンシリエーションにリソース・オブジェクトを使用する場合は、信頼できるソース・オプションを選択する必要があります。それ以外の場合は、手順6に進みます。
「保存」をクリックします。
リソース・オブジェクトが作成されます。
「リソース・オブジェクト」フォームを開始し、リソース・オブジェクトを作成すると、このフォームの各タブが使用可能になります。
「リソース・オブジェクト」フォームには、次のタブがあります。
このタブでは、Oracle Identity Managerで現在のリソース・オブジェクトをプロビジョニングする前にプロビジョニングする必要があるリソース・オブジェクトを選択できます。「依存先」タブに表示されるリソース・オブジェクトを事前にプロビジョニングしなくても、現在のリソース・オブジェクトをプロビジョニングできる場合は、タブからそのリソース・オブジェクトを削除してください。
「依存先」タブには、次のトピックが関係します。
現在のリソース・オブジェクトの依存先リソース・オブジェクトの選択
依存先リソース・オブジェクトの削除
依存先リソース・オブジェクトの選択
依存先リソース・オブジェクトを選択するには、次の手順を実行します。
「割当て」をクリックします。
「割当て」ダイアログ・ボックスが表示されます。
リソース・オブジェクトを選択します。
「OK」をクリックします。
依存先リソース・オブジェクトが選択されます。
依存先リソース・オブジェクトの削除
依存先リソース・オブジェクトを削除するには、次の手順を実行します。
削除対象の依存先リソース・オブジェクトを選択します。
「削除」をクリックします。
リソース・オブジェクトが「依存先」タブから削除されます。
このタブでは、このリソースのオブジェクト認可者となるロールを指定できます。オブジェクト認可者ロールのメンバーであるユーザーをタスクの割当て対象として選択できます。
オブジェクト認可者タブに表示されるロールには、それぞれ優先度値が割り当てられます。優先度値は、ロールに割り当てられたタスクをアクションの欠如を理由としてエスカレートする場合にも参照できます。このタブに表示されるどのロールについても、優先度値を上げたり下げたりすることができます。
たとえば、SYSTEM ADMINISTRATORSロールのメンバーをオブジェクト認可者にするように構成するものとします。また、このリソース・オブジェクトに関連付けられているプロセス・タスクにタスク割当てルールがアタッチされているものとします。このプロセス・タスクを実行する権限を与えられた最初のユーザーには、優先度値1が割り当てられます。ユーザーがユーザー指定の時間以内にプロセス・タスクを完了しなかった場合は、Oracle Identity Managerによって、SYSTEM ADMINISTRATORSロールのユーザーのうち、次に優先度が高いユーザーにタスクが再割当てされます。
リソース・オブジェクトへのロールの割当て
リソース・オブジェクトにロールを割り当てるには、次の手順を実行します。
「割当て」をクリックします。
「割当て」ダイアログ・ボックスが表示されます。
ロールを選択します。
「OK」をクリックします。
ロールが選択されます。
リソース・オブジェクトからのロールの削除
リソース・オブジェクトからロールを削除するには、次の手順を実行します。
目的のロールを選択します。
「削除」をクリックします。
ロールがオブジェクト認可者タブから削除されます。
リソース・オブジェクトとは、ユーザーまたは組織にプロビジョニングされるリソースのテンプレートのことです。このテンプレートは、複数のプロビジョニング・プロセスにリンクできます。Oracle Identity Managerでは、リソースがリクエストされるか、または直接プロビジョニングされたときに、プロセス決定ルールに基づいてプロビジョニング・プロセスが選択されます。
プロセス決定ルールの基準は次のとおりです。
リソースがリクエストされたときに、どのプロビジョニング・プロセスを選択するか
リソースが直接プロビジョニングされたときに、どのプロビジョニング・プロセスを選択するか
プロビジョニング・プロセスごとにプロセス決定ルールがあります。ルールとプロセスの各組合せには、Oracle Identity Managerでの評価順を示す優先度値が割り当てられます。
ルールの条件がfalseの場合、Oracle Identity Managerでは次に優先度が高いルールが評価されます。ルールがtrueの場合、そのルールに関連付けられているプロセスが実行されます。
リソース・オブジェクトへのプロセス決定ルールの追加
リソース・オブジェクトにプロセス決定ルールを追加するには、次の手順を実行します。
作成するルールとプロセスの組合せに応じて、プロビジョニング・プロセス・リージョンで「追加」をクリックします。
行が表示されたら、「ルール」参照フィールドをダブルクリックします。
「参照」ダイアログ・ボックスで、ルールを選択し、それをリソース・オブジェクトに割り当てます(選択できるのは、プロセス決定タイプのルールのみです)。
「OK」をクリックします。
隣の列で、プロセス参照フィールドをダブルクリックします。
「参照」ダイアログ・ボックスで、プロセスを選択し、それをルールに割り当てます。
「OK」をクリックします。
「優先度」フィールドに数値を入力します。
これにより、Oracle Identity Managerでルールとプロセスの組合せが評価される順序が決まります。
「保存」をクリックします。
ルールとプロセスの組合せがリソース・オブジェクトに追加されます。
リソース・オブジェクトからのプロセス決定ルールの削除
リソース・オブジェクトからプロセス決定ルールを削除するには、次の手順を実行します。
ルールとプロセスの組合せを選択します。
「削除」をクリックします。
ルールとプロセスの組合せがリソース・オブジェクトから削除されます。
リソース・オブジェクトのプロビジョニング・プロセスには、自動的に実行する必要があるタスクが含まれています。その場合、イベント・ハンドラまたはアダプタをリソース・オブジェクトに割り当てる必要があります。イベント・ハンドラとは、この特殊な情報を処理するためのソフトウェア・ルーチンのことです。アダプタとは、特殊なタイプのイベント・ハンドラのことで、Oracle Identity Managerと外部リソースとの通信および対話を可能にするJavaコードを生成します。
リソース・オブジェクトに割り当てられているイベント・ハンドラまたはアダプタが無効になったら、リソース・オブジェクトから削除してください。
この例では、adpAUTOMATEPROVISIONINGPROCESSアダプタがSolarisリソース・オブジェクトに割り当てられています。このリソース・オブジェクトがリクエストに割り当てられると、Oracle Identity Managerによってアダプタがトリガーされ、関連付けられているプロビジョニング・プロセスが自動的に実行されます。
リソース・オブジェクトへのイベント・ハンドラまたはアダプタの割当て
リソース・オブジェクトにイベント・ハンドラまたはアダプタを割り当てるには、次の手順を実行します。
「割当て」をクリックします。
「割当て」ダイアログ・ボックスが表示されます。
イベント・ハンドラを選択し、それをリソース・オブジェクトに割り当てます。
「OK」をクリックします。
イベント・ハンドラがリソース・オブジェクトに割り当てられます。
リソース・オブジェクトからのイベント・ハンドラまたはアダプタの削除
リソース・オブジェクトからイベント・ハンドラまたはアダプタを削除するには、次の手順を実行します。
イベント・ハンドラを選択します。
「削除」をクリックします。
イベント・ハンドラがリソース・オブジェクトから削除されます。
Design Consoleの「リソース・オブジェクト」フォームには、「リソース監査目的」という名前のリソース属性が含まれています。このリソース属性は、リソースを規制命令にリンクするのに役立ちます。
「リソース監査目的」リソース属性の値には参照が定義されます。「リソース監査目的」リストには、次の値が事前に定義されています。
SOX (財務的に重要な情報が対象)
HIPAA (個人の医療情報が対象)
GLB (公共のものではない情報が対象)
毎四半期のレビューが必要
毎年のレビューが必要
このリストは、Design Consoleの「参照定義」フォームを使用してLookups.Resource Audit Objective.Type参照を編集すると拡張できます。
このタブでは、リソース・オブジェクトに対してプロビジョニング・ステータスを設定できます。プロビジョニング・ステータスは、リソース・オブジェクトのライフサイクル(ターゲットのユーザーや組織にプロビジョニングされるまで)におけるステータスを示します。
リソース・オブジェクトのすべてのプロビジョニング・ステータスが関連プロビジョニング・プロセスのタスク・ステータスに関連付けられます。Oracle Identity Managerでは、リソース・オブジェクトがリクエストに割り当てられたときに、プロビジョニング・プロセスが選択されます。たとえば、「Provision for Developers」というプロセスが選択され、このプロセスのタスクが「完了」ステータスになった場合、対応するリソース・オブジェクト・ステータスを「プロビジョニング済」に設定できます。この方法で、リソース・オブジェクトとプロビジョニング・プロセスの関連性を迅速かつ簡単に確認できます。
リソース・オブジェクトのステータスとして、次のステータスが事前に定義されています。
待機中: このリソース・オブジェクトは、まだプロビジョニングされていない他のリソース・オブジェクトに依存します。
失効: このリソース・オブジェクトによって表されるリソースは、リソースの使用から恒久的にプロビジョニング解除されているユーザーまたは組織をターゲットとしてプロビジョニングされます。
準備完了: このリソース・オブジェクトは、他のどのリソース・オブジェクトにも依存しません。または、このリソース・オブジェクトが依存するすべてのリソース・オブジェクトがプロビジョニングされます。
リソースがリクエストに割り当てられ、リソース・オブジェクトのステータスが「準備完了」になると、Oracle Identity Managerでプロセス決定ルールが評価され、プロビジョニング・プロセスが決定されます。この際、リソース・オブジェクトのステータスが「プロビジョニング」に変更されます。
プロビジョニング: このリソース・オブジェクトはリクエストに割り当てられ、プロビジョニング・プロセスが選択されています。
プロビジョニング済: このリソース・オブジェクトによって表されるリソースは、ターゲットのユーザーまたは組織にプロビジョニングされています。
情報の指定: このリソース・オブジェクトによって表されるリソースをターゲットのユーザーまたは組織にプロビジョニングするには、追加情報が必要です。
なし: このステータスは、リソース・オブジェクトのプロビジョニング・ステータスを表しません。むしろ、Oracle Identity Managerで選択されたプロビジョニング・プロセスに属するタスクによって、リソース・オブジェクトのステータスが影響を受けないことを示します。
有効: このリソース・オブジェクトによって表されるリソースは、ターゲットのユーザーまたは組織にプロビジョニングされ、これらのユーザーまたは組織はリソースにアクセスできます。
無効: このリソース・オブジェクトによって表されるリソースは、ターゲットのユーザーまたは組織にプロビジョニングされますが、これらのユーザーまたは組織はリソースに一時的にアクセスできなくなっています。
各プロビジョニング・ステータスには、それぞれ対応する依存の開始チェック・ボックスがあります。チェック・ボックスを選択した場合、親リソース・オブジェクトがそのプロビジョニング・ステータスになったときに、Oracle Identity Managerによって依存リソース・オブジェクトのプロビジョニングが続行されます。
たとえば、Exchangeリソース・オブジェクトがActive Directoryに依存しており、「プロビジョニング済」および「有効」プロビジョニング・ステータスの依存の開始チェック・ボックスが選択されているものとします。Active Directoryのプロビジョニング・ステータスが「プロビジョニング済」または「有効」に変わり、Exchangeのプロビジョニングがそれに対応する場合、Oracle Identity ManagerによってExchangeのプロビジョニング・プロセスが続行されます。
必要に応じて、リソース・オブジェクトに別のプロビジョニング・ステータスを追加して、プロビジョニング・プロセスの各種タスク・ステータスを反映することもできます。たとえば、プロビジョニング・プロセスに属するタスクのステータスが「却下」である場合、リソース・オブジェクトの対応するプロビジョニング・ステータスを「失効」に設定できます。
同様に、既存のプロビジョニング・ステータスが無効になったら、リソース・オブジェクトから削除してください。
次の各項では、リソース・オブジェクトにプロビジョニング・ステータスを追加する方法、およびリソース・オブジェクトからプロビジョニング・ステータスを削除する方法について説明します。
リソース・オブジェクトへのプロビジョニング・ステータスの追加
リソース・オブジェクトにプロビジョニング・ステータスを追加するには、次の手順を実行します。
「追加」をクリックします。
「ステータス」フィールドにプロビジョニング・ステータスを追加します。
リソース・オブジェクトのプロビジョニング・ステータスが追加したステータスになった時点で、その他の依存リソース・オブジェクトによってそれぞれ独自のプロビジョニング・プロセスが開始されるようにする場合は、依存の開始チェック・ボックスを選択します。それ以外の場合は、手順4に進みます。
「保存」をクリックします。
プロビジョニング・ステータスがリソース・オブジェクトに追加されます。
リソース・オブジェクトからのプロビジョニング・ステータスの削除
次の手順では、リソース・オブジェクトからプロビジョニング・ステータスを削除する方法について説明します。
プロビジョニング・ステータスを選択します。
「削除」をクリックします。
プロビジョニング・ステータスがリソース・オブジェクトから削除されます。
このタブでは、現在のリソース・オブジェクトの表示、変更および削除を許可するロールを選択できます。
「書込み」チェック・ボックスを選択した場合、対応するロールが現在のリソース・オブジェクトを変更できるようになります。「削除」チェック・ボックスを選択した場合、対応するロールが現在のリソース・オブジェクトを削除できるようになります。
次の各項では、リソース・オブジェクトにロールを割り当てる方法、およびリソース・オブジェクトからロールを削除する方法について説明します。
リソース・オブジェクトへのロールの割当て
リソース・オブジェクトにロールを割り当てるには、次の手順を実行します。
「割当て」をクリックします。
「割当て」ダイアログ・ボックスが表示されます。
ロールを選択し、それをリソース・オブジェクトに割り当てます。
「OK」をクリックします。
ロールが「管理者」タブに表示されます。デフォルトでは、このロールのすべてのメンバーがアクティブ・レコードを表示できます。
このロールに現在のリソース・オブジェクトの変更を許可する場合は、対応する「書込み」チェック・ボックスを選択します。
それ以外の場合は、手順5に進みます。
このロールに現在のリソース・オブジェクトの削除を許可する場合は、対応する「削除」チェック・ボックスを選択します。
そうでない場合は、手順6に進みます。
「保存」をクリックします。
ロールがリソース・オブジェクトに割り当てられます。
リソース・オブジェクトからのロールの削除
リソース・オブジェクトからロールを削除するには、次の手順を実行します。
削除対象のロールを選択します。
「削除」をクリックします。
ロールがリソース・オブジェクトから削除されます。
「アプリケーション」タイプのリソース・オブジェクトをユーザーまたは組織にプロビジョニングする場合、そのユーザーまたは組織がリソース・オブジェクトにアクセスするときにパスワード基準への準拠を求めることができます。このパスワード基準は、パスワード・ポリシーのフォームで作成および管理します。これらのポリシーは、「パスワード・ポリシー」フォームを使用して作成します。
リソース・オブジェクト定義はリソースのプロビジョニング方法を制御するためのテンプレートにすぎないため、Oracle Identity Managerで実際の条件およびルールに基づいてリソースのプロビジョニング方法を決定できるようにする必要があります。これらの条件は、リソースが実際にリクエストされるまでわからない場合があります。そのため、リソースに関連付けられている様々なプロセスやパスワード・ポリシーにルールをリンクする必要があります。これにより、どのようなコンテキストにおいても、Oracle Identity Managerで何を呼び出せばよいかを判断できるようになります。
Oracle Identity Managerでは、特定ユーザーのアカウントの作成時または更新時に、どのパスワード・ポリシーをリソースに適用するかが決定されます。この際、リソースのパスワード・ポリシー・ルールが評価され、最初に合致したルールに関連付けられているポリシーの基準が適用されます。各ルールには、Oracle Identity Managerでの評価順を示す優先度値が割り当てられます。
次の各項では、リソース・オブジェクトにパスワード・ポリシー・ルールを追加する方法、およびリソース・オブジェクトからパスワード・ポリシー・ルールを削除する方法について説明します。
リソース・オブジェクトへのパスワード・ポリシー・ルールの追加
リソース・オブジェクトにパスワード・ポリシー・ルールを追加するには、次の手順を実行します。
「追加」をクリックします。
行が表示されたら、「ルール」参照フィールドをダブルクリックします。
「参照」ダイアログ・ボックスで、ルールを選択し、それをリソース・オブジェクトに割り当てます。
「OK」をクリックします。
隣の列で、「ポリシー」参照フィールドをダブルクリックします。
「参照」ダイアログ・ボックスで、関連付けられているパスワード・ポリシーを選択し、それをリソース・オブジェクトに割り当てます。
「OK」をクリックします。
「優先度」フィールドに数値を追加します。
このフィールドには、ルールの優先度値が格納されます。
「保存」をクリックします。
パスワード・ポリシー・ルールがリソース・オブジェクトに追加されます。
|
注意:
|
リソース・オブジェクトからのパスワード・ポリシー・ルールの削除
リソース・オブジェクトからパスワード・ポリシーを削除するには、次の手順を実行します。
パスワード・ポリシー・ルールを選択します。
「削除」をクリックします。
パスワード・ポリシー・ルールがリソース・オブジェクトから削除されます。
このタブでは、「リソース・オブジェクト」フォーム用に作成されたユーザー定義フィールドを表示してアクセスできます。作成したユーザー定義フィールドはこのタブに表示され、データを受け入れたり、提供するために使用できます。
「プロセス」タブには、現在のリソース・オブジェクトに関連付けられているすべてのプロビジョニング・プロセスが表示されます。このタブにある「デフォルト」チェック・ボックスは、リソースのデフォルトとして使用されるプロビジョニング・プロセスを示します。
|
注意: 「プロセス定義」フォームでプロビジョニング・プロセスを作成し、それらをリソースに関連付けます。「リソース・オブジェクト」フォームの「プロセス決定ルール」タブを使用して、各プロセスをプロセス決定ルールにリンクすることができます。 |
たとえば、Solarisリソース・オブジェクトに1つのプロビジョニング・プロセス(「Provision Solaris for Devel.」)が関連付けられているものとします。「Provision Solaris for Devel.」は、このリソース・オブジェクトのデフォルトのプロビジョニング・プロセスとして指定されています。
オブジェクト・リコンシリエーション・タブのオブジェクトの初期リコンシリエーション日フィールドには、リソースに対して初期リコンシリエーションが実行された日付が表示されます。
|
注意: 初期リコンシリエーションの目的は、ターゲット・システムのすべてのユーザー・アカウントをOracle Identity Managerに取り込むことです。 |
オブジェクトの初期リコンシリエーション日フィールドに格納される日付値は、初期リコンシリエーションとそれ以降のリコンシリエーション・イベントを区別するために使用されます。この日付値は、2つの例外レポートで使用されます。これらの例外レポートには、ユーザーに必要な権限とユーザーがターゲット・システムで実際に持つ権限の比較差異が表示されます。権限の差異は、リコンシリエーション・データとその他のデータ項目に基づいて判断されます。例外レポートでは、オブジェクトの初期リコンシリエーション日フィールドの日付以降に作成されたリコンシリエーション・イベントに関連付けられているデータのみが返されます。また、例外データが生成されるのは、オブジェクトの初期リコンシリエーション日フィールドの日付値が過去の日付になっている場合のみです。必要に応じて、例外レポートが生成されるように、このフィールドに日付値を入力することもできます。
オブジェクト・リコンシリエーション・タブには、「リコンシリエーション・フィールド」および「リコンシリエーション・アクション・ルール」という2つのサブタブがあります。
「リコンシリエーション・フィールド」タブでは、ターゲット・リソースまたは信頼できるソースにおいてOracle Identity Managerの情報とリコンサイルされる(たとえば、マップされる)フィールドを定義できます。
リコンシリエーション・アクション・ルール・タブでは、特定の一致条件が満たされた場合にOracle Identity Managerで実行されるアクションを指定できます。
リソース・オブジェクトまたは関連するプロセス・フォームが変更された場合は常に、オブジェクト・リコンシリエーション・タブにあるリコンシリエーション・プロファイルの作成ボタンをクリックして、リコンシリエーション・プロファイルを生成してください。
「リコンシリエーション・フィールド」タブ
このタブでは、ターゲット・リソースまたは信頼できるソースにおいてOracle Identity Managerの情報とリコンサイルされる(たとえば、マップされる)フィールドを定義できます。ターゲット・システムまたは信頼できるソースのフィールドごとに、次の情報が表示されます。
ターゲット・リソースまたは信頼できるソースにおいてOracle Identity Managerのデータとリコンサイルされるフィールドの名前(targetfield1など)
フィールドに関連付けられているデータ型(Stringなど)。有効な値は複数値、文字列、数値、日付、ITリソース
このフィールドがリコンシリエーション・イベントで必須かどうかを示すインジケータ
|
注意: Oracle Identity Managerでは、拡張管理の「イベント管理」タブの「リコンシリエーション」セクションにあるフィールドがすべて処理されるまで、リコンシリエーション・イベントに対するプロビジョニング・プロセス、ユーザーまたは組織の照合は開始されません。 |
次に、リコンシリエーション・フィールド定義の例を示します。
TargetField1 [String], Required
「リコンシリエーション・フィールド」タブでは、次の操作を実行できます。
リコンシリエーション・フィールドの追加
次の手順では、Oracle Identity Managerの情報とリコンサイルされるフィールドのリストに、ターゲット・システムまたは信頼できるソースのフィールドを追加します。
|
注意: Oracle Identity Managerで外部のターゲット・リソースまたは信頼できるソースとのリコンシリエーションが正しく実行されるようにするには、このタブで定義したフィールドを事前に適切なOracle Identity Managerフィールドにマップしておく必要があります(リソースのデフォルトのプロビジョニング・プロセスのフィールド・マッピング・タブを使用)。 |
リコンシリエーション・フィールドを追加するには、次の手順を実行します。
「フィールドの追加」をクリックします。
リコンシリエーション・フィールドの追加ダイアログ・ボックスが表示されます。
「フィールド名」フィールドに、ターゲット・リソースまたは信頼できるソースのフィールドの名前を入力します。
Oracle Identity Managerでは、この名前によってターゲット・リソースまたは信頼できるソースのフィールドを参照します。
フィールド・タイプ・フィールドのメニューから、次の値のいずれかを選択します。
複数値
1つ以上のコンポーネント・フィールドで構成されるフィールド用です。
String
String
日付
ITリソース
リコンシリエーション・イベントの作成時には、Oracle Identity Managerで定義されたITリソースの名前と同じ値がこのフィールドに割り当てられる必要があります。
「必須」チェック・ボックスを選択します。
選択した場合、拡張管理の「イベント管理」タブの「リコンシリエーション」セクションにあるリコンシリエーション・フィールドが処理されるまで、Oracle Identity Managerでリコンシリエーション・イベントに対するプロビジョニング・プロセス、ユーザーまたは組織の照合は開始されません。このチェック・ボックスを選択解除した場合、リコンシリエーション・イベントでこのフィールドは処理されませんが、照合は実行されます。
「保存」をクリックします。
リソースのデフォルトのプロビジョニング・プロセスでフィールドのマッピングが可能になります。
リコンシリエーション・フィールドの削除
次の手順では、Oracle Identity Managerの情報とリコンサイルされるフィールドのリストから、ターゲット・システムのフィールドを削除します。信頼できるソースの場合は、ユーザー・リソース定義が対象となります。
リコンシリエーション・フィールドを削除するには、次の手順を実行します。
削除対象のフィールドを選択します。
「フィールドの削除」をクリックします。
選択したフィールドは、Oracle Identity Managerでターゲット・システムのデータとリコンサイルされるフィールドのリストから削除されます(ターゲット・システム自体のデータには影響しません)。
リコンシリエーション・アクション・ルール・タブ
このタブでは、リコンシリエーション・イベント・レコード内で一致が見つかった場合にOracle Identity Managerで実行されるアクションを指定できます。このタブの各レコードは次の項目の組合せです。
一致条件の基準
実行されるアクション
選択可能な条件とアクションは事前に定義されています。一致条件によっては、適用不可のアクションもあります。表4-6に、使用可能なオプションの完全なリストを示します。
表4-6 ルール条件と使用可能なルール・アクション
| ルール条件 | 使用可能なルール・アクション |
|---|---|
|
一致が見つからなかった場合 |
なし ユーザーの作成(信頼できるソースでのみ使用可能) |
|
1つのプロセス一致が見つかった場合 |
なし リンクの確立 |
|
複数のプロセス一致が見つかった場合 |
なし |
|
1つのエンティティ一致が見つかった場合 |
なし リンクの確立 |
|
複数のエンティティ一致が見つかった場合 |
なし |
リコンシリエーション・アクション・ルールの追加
リコンシリエーション・アクション・ルールを追加するには、次の手順を実行します。
「フィールドの追加」をクリックします。
新規アクション・ルールの追加ダイアログ・ボックスが表示されます。
ルール条件メニューから目的の値を選択します。
この一致条件によって、関連付けられているアクションが実行されます。各一致条件に割り当てることができるルール・アクションは1つに制限されています。
ルール・アクション・メニューから値を選択します。
このアクションは、一致条件が満たされた場合に実行されます。
「保存」をクリックし、新規アクション・ルールの追加ダイアログ・ボックスを閉じます。
リコンシリエーション・アクション・ルールの削除
リコンシリエーション・アクション・ルールを削除するには、次の手順を実行します。
削除対象の一致アクションの組合せを選択します。
「削除」をクリックします。
リコンシリエーション・アクション・ルールが削除され、その条件に関連付けられているアクションが自動的に実行されなくなります。
Xellerateユーザー・リソース・オブジェクトおよびXellerateユーザー・プロセス定義に対してリコンシリエーション・フィールド、リコンシリエーション・アクション・ルール、フィールド・マッピングおよび一致ロールを作成できます。
OIMユーザーの作成時に、2つの信頼できるソースからアイデンティティをリコンサイルできる場合、両方のソースに対して1つのリソース・オブジェクト(Xellerateユーザー)を構成することはできません。Xellerateユーザー・リソース・オブジェクトに信頼できる両方のソースのリコンシリエーション・フィールドを作成しても、Xellerateユーザー・プロセス定義には対応するリコンシリエーション・フィールド・マッピングを作成できません。
アイデンティティ・リコンシリエーション用の信頼できるソースとして、Xellerateユーザー以外のリソース・オブジェクトを構成できます。そのためには、リソース・オブジェクトの作成時に、「リソース・オブジェクト」フォームにある信頼できるソース・チェック・ボックスを選択します。
リソース・オブジェクトに信頼できるソース・フラグがアタッチされている場合は、ターゲット・システム・フィールドを表す複数のリコンシリエーション・フィールドを作成できます。また、プロセス一致が見つからなかった場合に、ユーザーを作成するか、アイデンティティ作成用のデータを管理者または認可者に送信するように、リコンシリエーション・アクション・ルールを構成することもできます。プロセス一致が見つかった場合は、リンクが確立されます。
信頼できるソース・リソースに対してプロビジョニング・プロセスを定義する場合は、ユーザー定義のプロセス・フォームをアタッチしないでください。これらのプロビジョニング・プロセスについては、リソースおよびOIMユーザー属性に定義されたリコンシリエーション・フィールド間にリコンシリエーション・フィールド・マッピングを作成できます。
|
注意: リソース・オブジェクトがターゲット・リソース・リコンシリエーション用の場合は、リコンシリエーション・フィールドとプロセス・データ・フィールド間のマッピングになります。 プロビジョニング・アクティビティ用の信頼できるソースとして定義されたリソース・オブジェクトは使用しないでください。これらのリソースは、OIMユーザーのリコンシリエーションにのみ使用できます。 |
属性認可ソース機能は、ソースの信頼性がアイデンティティ自体ではなく、アイデンティティの属性に対してのみ適用されることを意味します。属性認可ソースのリコンシリエーションを構成するには、適切なリコンシリエーション・アクション・ルールを作成します。プロセス一致が見つからなかった場合は、管理者に割り当てられます。これにより、一致が見つからなかった場合でも、ユーザーが間違って作成されることはありません。プロセス一致が見つかった場合は、リコンシリエーション・アクション・ルールによってリンクが確立されます。
次の各項では、複数の信頼できるソースのリコンシリエーションを実装する場合の2つのユースケースについて説明します。
|
注意: このドキュメントには、次のような箇所があります。 - 複数の信頼できるソースのリコンシリエーションはMTSと呼ばれています。 - フィールドおよび属性という用語が同義的に使用されています。 |
|
注意: どちらのユースケースの場合も、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドの新しいリコンシリエーション・プロファイルの作成に関する説明を参照して、リコンシリエーション・プロファイルを作成してください。 |
|
注意: コネクタがMTS互換かどうかを調べる方法は、コネクタ固有のドキュメントを参照してください。 |
次の各項では、MTS互換コネクタを使用して複数の信頼できるソースのリコンシリエーションを実装する場合のシナリオについて説明します。
信頼できるソースのリコンシリエーションをユーザー・タイプに基づいて行う場合のMTS互換コネクタの構成
このコンテキストにおけるユーザー・タイプとは、リコンサイル対象のレコードを持つユーザーのタイプのことです。ユーザー・タイプの例としては、EmployeeやCustomerなどがあげられます。
信頼できるソースのリコンシリエーションをユーザー・タイプに基づいて行うには、該当する手順に従って信頼できるソースのリコンシリエーションを実装するときに、信頼できるソースとして構成する各ターゲット・システムのコネクタをデプロイします。
リコンシリエーション実行時には、指定したユーザー・タイプのすべてのターゲット・システム・レコードがリコンサイルされます。ターゲット・システムに複数のユーザー・タイプが存在する場合は、制限付きリコンシリエーション機能を使用して、各ターゲット・システムからリコンサイルする必要があるレコードを持つユーザー・タイプを指定できます。
信頼できるソースのリコンシリエーションを特定のOIMユーザー属性に対して行う場合のMTS互換コネクタの構成
複数のターゲット・システムの特定のOIMユーザー属性に対して、信頼できるソースのリコンシリエーションを行うように構成することもできます。この場合の実装手順については、次のサンプル・シナリオを例にして説明します。
アイデンティティを1つのターゲット・システム(TS1など)からリコンサイルし、これらのアイデンティティの特定の属性(attr1、attr2、attr3など)を別のターゲット・システム(TS2など)からリコンサイルするものとします。つまり、TS1はアイデンティティについて信頼できるソースであり、TS2はアイデンティティ自体ではなく特定の属性について信頼できるソースです。OIMユーザーを正しく作成するためには、必須のOIMユーザー属性がTS1からすべて提供される必要があります。TS2から提供されるのは、TS2が信頼できるソースとなっているOIMユーザー属性のみです(必須かどうかは問いません)。必須のOIMユーザー属性をTS2からリコンサイルする場合は、この属性の値によって、TS1からのOIMユーザーの作成時にこの属性に格納される値が上書きされます。必須でないOIMユーザー属性のみをTS2からリコンサイルする場合は、OIMユーザーの作成時にこれらの属性をTS1からリコンサイルしないように指定できます。
|
注意: 信頼できるソースが複数存在する場合は、それらのソースからエンティティ属性をリコンサイルするロジックがコネクタによって提供されます。 |
TS1コネクタの場合:
TS1コネクタをデプロイするために必要なすべての手順を実行し、そのコネクタを信頼できるソースのリコンシリエーション用に構成します。
|
関連項目: 信頼できるソースのリコンシリエーションを構成する手順の詳細は、デプロイ対象のコネクタのドキュメントを参照してください。 |
オブジェクト・リコンシリエーション・ページの「リコンシリエーション・フィールド」タブで、TS2からリコンサイルするすべてのTS1属性(この場合、attr1、attr2およびattr3)を削除します。
「プロセス定義」ページのリコンシリエーション・フィールド・マッピング・タブで、不要なマッピングをすべて削除します。
リコンシリエーション・フィールドを削除するかわりに、リコンシリエーションによって作成されたOIMユーザーに値をリコンサイルしないフィールドのリコンシリエーション・フィールド・マッピングを削除してもかまいません。
オブジェクト・リコンシリエーション・ページのリコンシリエーション・アクション・ルール・タブで、ルール条件とアクションに関して次のマッピングが存在することを確認します。
ルール条件: 一致が見つからなかった場合
アクション: ユーザーの作成
TS2コネクタの場合:
TS2コネクタをデプロイするために必要なすべての手順を実行し、そのコネクタを信頼できるソースのリコンシリエーション用に構成します。
|
関連項目: 信頼できるソースのリコンシリエーションを構成する手順の詳細は、デプロイ対象のコネクタのドキュメントを参照してください。 |
「プロセス定義」ページのリコンシリエーション・フィールド・マッピング・タブで、不要なマッピングをすべて削除します。
リコンシリエーション・フィールドを削除するかわりに、リコンシリエーションによって作成されたOIMユーザーに値をリコンサイルしないフィールドのリコンシリエーション・フィールド・マッピングを削除するだけでもかまいません。
オブジェクト・リコンシリエーション・ページの「リコンシリエーション・フィールド」タブで、attr1、attr2およびattr3以外のTS2属性をすべて削除します。また、OIMユーザーと既存のTS2アカウントの照合に使用する属性は保持してください。つまり、リコンシリエーション・ルールの評価に使用される属性のみを保持します。たとえば、Oracle Identity Managerのusername属性を使用して、TS1のfirst name属性の値を照合できます。
オブジェクト・リコンシリエーション・ページのリコンシリエーション・アクション・ルール・タブで、ルール条件とアクションのマッピングを作成します。ルール条件とアクションのマッピングの1つを次のようにしてください。
ルール条件: 一致が見つからなかった場合
アクション: ユーザーの作成以外
|
注意: コネクタがMTS互換かどうかを調べる方法は、コネクタ固有のドキュメントを参照してください。 |
複数の信頼できるソースのリコンシリエーション設定でMTS非互換のコネクタを使用する場合は、次の前提条件を満たす必要があります。
i. 信頼できるソース・リソース・オブジェクトをXellerateユーザーに指定できるのは、いずれか1つに制限されています。現在の動作環境において、信頼できるソースのリコンシリエーション用にXellerateユーザー・リソース・オブジェクトがコネクタですでに使用されている状況で、信頼できるソースのコネクタを構成するには、新しいリソース・オブジェクトおよびプロセス定義を作成する必要があります。
ii. コネクタのスケジュール済タスクには、信頼できるソースのユーザー・リコンシリエーションに使用されるリソース・オブジェクトの名前を値として受け入れる属性が必要です。
次の各項では、MTS非互換コネクタを使用して複数の信頼できるソースのリコンシリエーションを実装する場合のシナリオについて説明します。
信頼できるソースのリコンシリエーションをユーザー・タイプに基づいて行う場合のMTS非互換コネクタの構成
このコンテキストにおけるユーザー・タイプとは、リコンサイル対象のレコードを持つユーザーのタイプのことです。ユーザー・タイプの例としては、Contractor、Employee、Customerなどがあげられます。
動作環境においてMicrosoft Active DirectoryおよびOracle E-Business Suiteを信頼できるソースとして使用します。Active Directoryは、Contractorユーザー・タイプに属するアイデンティティに関する情報を格納するために使用します。Oracle E-Business Suiteは、CustomerおよびEmployeeユーザー・タイプに属するアイデンティティに関する情報を格納するために使用します。ContractorレコードをActive Directoryからリコンサイルし、EmployeeレコードをOracle E-Business Suiteからリコンサイルするものとします。そのための手順は、次のとおりです。
Active Directoryの場合:
Active Directoryコネクタをデプロイするために必要なすべての手順を実行し、そのコネクタを信頼できるソースのリコンシリエーション用に構成します。
|
関連項目: 信頼できるソースのリコンシリエーションを構成する手順の詳細は、デプロイ対象のコネクタのドキュメントを参照してください。 |
信頼できるソースのリコンシリエーション用にコネクタXMLファイルをインポートすると、Active Directoryに固有の情報がXellerateユーザー・リソース・オブジェクトおよびプロセス定義に追加されます。
「リソース・オブジェクト」タブで、信頼できるソースのリコンシリエーションをActive Directoryによって行うためのActDirリソース・オブジェクトを作成します。
|
注意: リソース・オブジェクトには任意の名前を割り当てることができます。この手順では、リソース・オブジェクトの名前として リソース・オブジェクトを作成する手順の詳細は、「「リソース・オブジェクト」フォーム」を参照してください。 |
リソース・オブジェクトの作成時に、次の手順を実行します。
「リソース・オブジェクト」タブにある信頼できるソース・チェック・ボックスを選択します。
オブジェクト・リコンシリエーションの「リコンシリエーション・フィールド」タブで、Xellerateユーザー・リソース・オブジェクトを確認し、Active Directory固有のフィールドをリコンサイル対象としてActDirに追加します。このタブに追加するフィールドで、OIMユーザーに関するすべての必須フィールドを扱う必要があります。
オブジェクト・リコンシリエーションのリコンシリエーション・アクション・ルール・タブで、ルール条件とアクションのマッピングを作成します。ルール条件とアクションのマッピングの1つを次のようにしてください。
ルール条件: 一致が見つからなかった場合
アクション: ユーザーの作成
Active Directoryに固有のフィールドおよびそれに対応するルールをXellerateユーザー・リソース・オブジェクトから削除します。
「プロセス定義」フォームでActDirプロセス定義を作成します。
プロセス定義を作成する手順の詳細は、「「プロセス定義」フォーム」を参照してください。リコンシリエーション・フィールド・マッピング・タブで、Xellerateユーザー・プロセス定義のリコンシリエーション・フィールド・マッピングを基準にして、ActDirプロセス定義のリコンシリエーション・フィールド・マッピングを追加します。
Xellerateユーザー・リソース・オブジェクトからActive Directory固有のフィールド・マッピングを削除します。
「リコンシリエーション・ルール」ページのリコンシリエーション・ルール・ビルダー・フォームで、このコネクタのリコンシリエーション・ルールを問い合せて開き、「オブジェクト」フィールドの値を変更して、作成したリソース・オブジェクトにマップします。デフォルトでは、このフィールドの値はXellerateユーザー・リソース・オブジェクトのフィールドにマップされます。
Oracle E-Business Suiteについても、Active Directoryに対して実行したすべての手順を繰り返します。その手順をOracle e-Business Employee Reconciliationコネクタ用に変えて、次のように実行してください。
「リソース・オブジェクト」タブで、信頼できるソースのリコンシリエーションをOracle E-Business Suiteによって行うためのEmpReconリソース・オブジェクトを作成します。
|
注意: リソース・オブジェクトには名前を割り当てることができます。この手順では、リソース・オブジェクトの名前として |
オブジェクト・リコンシリエーションのリコンシリエーション・アクション・ルール・タブで、ルール条件とアクションのマッピングを作成します。ルール条件とアクションのマッピングの1つを次のようにしてください。
ルール条件: 一致が見つからなかった場合
アクション: ユーザーの作成
制限付きリコンシリエーション機能を使用して、Employeeユーザー・タイプに属するアイデンティティのみがリコンサイルされるように指定してください。
フィールドとリコンシリエーション・ルールを追加した後、Xellerateユーザー・リソース・オブジェクトに作成されたOracle E-Business Suite固有のフィールドおよびそれに対応するルールを削除します。
「プロセス定義」フォームでEmpReconプロセス定義を作成します。プロセス定義を作成する手順の詳細は、「「プロセス定義」フォーム」を参照してください。リコンシリエーション・フィールド・マッピング・タブで、Xellerateユーザーのリコンシリエーション・フィールド・マッピングを基準にして、EmpReconプロセス定義のフィールド・マッピングを追加します。
Xellerateユーザー・リソース・オブジェクトからOracle E-Business Suite固有のフィールド・マッピングを削除します。
「リコンシリエーション・ルール」>>リコンシリエーション・ルール・ビルダー・フォームで、このコネクタのリコンシリエーション・ルールを問い合せて開き、「オブジェクト」フィールドの値を変更して、作成したリソース・オブジェクトにマップします。デフォルトでは、このフィールドの値はXellerateユーザー・リソース・オブジェクトのフィールドにマップされます。
Active DirectoryとOracle E-Business Suiteのどちらについても、信頼できるソースのリコンシリエーションを構成するために必要な残りの手順を実行してください。たとえば、各コネクタに対してリコンシリエーションのスケジュール済タスクを構成するときに、信頼できるソースのユーザー・リコンシリエーション実行時に使用する必要がある信頼できるソース・リソース・オブジェクトの名前を指定します。
スケジュール済タスク属性の現在の値はXellerateユーザーですが、このコネクタでの信頼できるソースのユーザー・リコンシリエーション用に構成した新しいリソース・オブジェクトの名前に更新する必要があります。
図4-8に、信頼できるソースのリコンシリエーションをユーザー・タイプに基づいて行う場合のデザインタイム実装を示します。
信頼できるソースのリコンシリエーションを特定のOIMユーザー属性に対して行う場合のMTS非互換コネクタの構成
複数のターゲット・システムの特定のOIMユーザー属性に対して、信頼できるソースのリコンシリエーションを行うように構成することもできます。この場合の実装手順については、次のサンプル・シナリオを例にして説明します。
Microsoft Active DirectoryおよびIBM Lotus Notesをターゲット・システムとして使用します。アイデンティティをActive Directoryからリコンサイルし、(Active DirectoryからOracle Identity Managerにリコンサイルされた)各アイデンティティのe-mail address属性の値のみをLotus Notesからリコンサイルするものとします。そのために、次の手順を実行します。
Active Directoryコネクタの場合:
Active Directoryコネクタをデプロイするために必要なすべての手順を実行し、そのコネクタを信頼できるソースのリコンシリエーション用に構成します。
|
関連項目: 信頼できるソースのリコンシリエーションを構成する手順の詳細は、デプロイ対象のコネクタのドキュメントを参照してください。 |
信頼できるソースのリコンシリエーション用にコネクタXMLファイルをインポートすると、Active Directoryに固有の情報がXellerateユーザー・リソース・オブジェクトおよびプロセス定義に追加されます。
「リソース・オブジェクト」タブで、信頼できるソースのリコンシリエーションをActive Directoryによって行うためのActDirリソース・オブジェクトを作成します。
|
注意: リソース・オブジェクトには任意の名前を割り当てることができます。この手順では、リソース・オブジェクトの名前として リソース・オブジェクトを作成する手順の詳細は、「「リソース・オブジェクト」フォーム」を参照してください。 |
リソース・オブジェクトの作成時に、次の手順を実行します。
i. 「リソース・オブジェクト」タブにある信頼できるソース・チェック・ボックスを選択します。
ii. オブジェクト・リコンシリエーションの「リコンシリエーション・フィールド」タブで、Xellerateユーザー・リソース・オブジェクトを確認し、Active Directory固有のフィールドをリコンサイル対象としてActDirに追加します。このタブに追加するフィールドで、OIMユーザーに関するすべての必須フィールドを扱う必要があります。
オブジェクト・リコンシリエーションのリコンシリエーション・アクション・ルール・タブで、ルール条件とアクションのマッピングを作成します。ルール条件とアクションのマッピングの1つを次のようにしてください。
ルール条件: 一致が見つからなかった場合
アクション: ユーザーの作成
Active Directoryに固有のフィールドおよびそれに対応するルールをXellerateユーザー・リソース・オブジェクトから削除します。
「プロセス定義」フォームでActDirプロセス定義を作成します。プロセス定義を作成する手順の詳細は、「「プロセス定義」フォーム」を参照してください。リコンシリエーション・フィールド・マッピング・タブで、Xellerateユーザー・プロセス定義のリコンシリエーション・フィールド・マッピングを基準にして、ActDirプロセス定義のフィールド・マッピングを作成します。
Xellerateユーザー・リソース・オブジェクトからActive Directory固有のフィールド・マッピングを削除します。
「リコンシリエーション・ルール」>>リコンシリエーション・ルール・ビルダー・フォームで、このコネクタのリコンシリエーション・ルールを問い合せて開き、「オブジェクト」フィールドの値を変更して、作成したリソース・オブジェクトにマップします。デフォルトでは、このフィールドの値はXellerateユーザー・リソース・オブジェクトのフィールドにマップされます。
IBM Lotus Notesについても、Active Directoryに対して実行したすべての手順を繰り返します。その手順をLotus Notesコネクタ用に変えて、次のように実行してください。
「リソース・オブジェクト」タブで、信頼できるソースのリコンシリエーションをLotus Notesによって行うためのLotNotesリソース・オブジェクトを作成します。
|
注意: リソース・オブジェクトには名前を割り当てることができます。この手順では、リソース・オブジェクトの名前として |
リソース・オブジェクトの作成時には、e-mail address属性のみを追加します。
オブジェクト・リコンシリエーションのリコンシリエーション・アクション・ルール・タブで、ルール条件とアクションのマッピングを作成します。一致が見つからなかった場合のルール条件(ユーザーの作成以外)を作成します。一致が見つかった場合は、リンクが確立されます。
フィールドとリコンシリエーション・ルールを追加した後、Xellerateユーザー・リソース・オブジェクトに作成されたLotus Notes固有のフィールドおよびそれに対応するルールを削除します。
「プロセス定義」フォームでLotNotesプロセス定義を作成します。プロセス定義を作成する手順の詳細は、「「プロセス定義」フォーム」を参照してください。リコンシリエーション・フィールド・マッピング・タブで、Xellerateユーザーのリコンシリエーション・フィールド・マッピングを基準にして、LotNotesプロセス定義のフィールド・マッピングを追加します。
Xellerateユーザー・リソース・オブジェクトからLotus Notes固有のフィールド・マッピングを削除します。
Active DirectoryとLotus Notesのどちらについても、信頼できるソースのリコンシリエーションを構成するために必要な残りの手順を実行してください。たとえば、各コネクタに対してリコンシリエーションのスケジュール済タスクを構成するときに、リコンシリエーション実行時に使用する必要がある信頼できるソース・リソース・オブジェクトの名前を指定します。
スケジュール済タスク属性の現在の値はXellerateユーザーですが、このコネクタでの信頼できるソースのユーザー・リコンシリエーション用に構成した新しいリソース・オブジェクトの名前に更新する必要があります。
図4-9に、信頼できるソースのリコンシリエーションを特定のOIMユーザー属性に対して行う場合のデザインタイム実装を示します。
Oracle Identity Managerでは、サービス・アカウントがサポートされています。サービス・アカウントは一般管理者アカウント(admin1、admin2、admin3など)であり、メンテナンス用途に使用され、通常は複数のユーザーによって共有されます。サービス・アカウントの管理およびプロビジョニングのモデルは、標準のプロビジョニングとは若干異なります。
サービス・アカウントは、通常のアカウントと同様の方法でリクエスト、プロビジョニングおよび管理されます。これらは、通常アカウントと同じリソース・オブジェクト、プロビジョニング・プロセスおよびプロセス・フォームを使用します。サービス・アカウントは、内部フラグによって通常のアカウントと区別されます。
ユーザーがサービス・アカウントを使用してプロビジョニングされると、Oracle Identity Managerで、ユーザーのアイデンティティからサービス・アカウントへのマッピングが管理されます。リソースが失効された場合、またはユーザーが削除された場合、(取消しタスクが発生するはずだった)サービス・アカウントのプロビジョニング・プロセスの取消しは行われません。かわりに、(Oracle Identity Managerでの無効化および有効化アクションと同様の方法で)タスクがプロビジョニング・プロセスに挿入されます。このタスクによってユーザーからサービス・アカウントへのマッピングが削除され、サービス・アカウントが使用可能なアカウントのプールに戻されます。
この管理機能はAPIを通じて使用できます。
接続なしアプリケーション・インスタンスを接続アプリケーション・インスタンスに変換する手順を説明するうえで、次のことを前提としています。
接続なしアプリケーション・インスタンスは、Oracle Identity Managerデプロイメント内に存在します(本番環境など)。この接続なしアプリケーション・インスタンスは、Oracle Identity Managerの別のデプロイメント(テスト環境)にエクスポートされ、接続アプリケーション・インスタンスに変換されます。テスト環境で接続アプリケーション・インスタンスをテストした後に、再び本番環境でインポートします。
接続なしアプリケーション・インスタンスを接続アプリケーション・インスタンスに変換しても、アプリケーション・インスタンス、プロセス定義、フォーム、ITリソース・タイプ定義、およびITリソースの名前は同じままです。
接続なしアプリケーション・インスタンスを接続アプリケーション・インスタンスに変換するおおまかな手順を、次に示します。
既存の接続なしリソースを、既存の環境からテスト環境にインポートします。
アプリケーション・インスタンス(リソース・オブジェクト定義、プロセス定義など)の実装を変更します。
ユーザーにプロビジョニングし、有効化、無効化、失効および更新タスクの動作を検証することで、アプリケーション・インスタンスをテストします。
テスト環境から新しい接続リソースをエクスポートし、本番環境にインポートします。
|
注意:
|
本番環境で接続なしアプリケーション・インスタンスを作成するには、次の手順を実行します。
Oracle Identity System Administrationにログインします。
「サンドボックス」をクリックして、サンドボックス管理にアクセスし、サンドボックスを作成し、それをアクティブにします。サンドボックスの詳細、サンドボックスの作成、アクティブ化および公開方法については、「サンドボックスの管理」を参照してください。
「構成」で、「アプリケーション・インスタンス」をクリックします。ツールバーで「作成」をクリックして、「アプリケーション・インスタンスの作成」ページを開きます。
「名前」および「表示名」フィールドに、LaptopAppInstanceなどの値を入力します。
「切断」オプションを選択して、接続なしアプリケーション・インスタンスを指定します。「切断」オプションを選択すると、そのページの残りのフィールド、たとえば「リソース・オブジェクト」、「ITリソース・インスタンス」、「フォーム」および「親AppInstance」が無効になります。
「保存」をクリックし、「OK」をクリックして、FinAppアプリケーション・インスタンスの作成を確認します。接続なしアプリケーション・インスタンスのアーティファクトが作成されます。
「サンドボックスの管理」ページに移動し、サンドボックスを公開します。
アプリケーション・インスタンスの作成に成功すると、組織および権限を、必要に応じて構成できます。テストのために、4人または5人のユーザーを作成して、そのユーザーに新しく作成した接続なしアプリケーション・インスタンスをプロビジョニングします。ユーザーのアプリケーション・インスタンスのステータスが、「プロビジョニング済」、「有効」、「無効」および「失効」のいずれかであることを確認します。ユーザーのいずれかを変更して、アカウントが正常に更新されることを確認してください。
接続なしアプリケーション・インスタンスを本番環境からエクスポートするには、次の手順を実行します。
Oracle Identity System Administrationにログインします。左側のペインの「システム管理」の下で、「エクスポート」をクリックします。「デプロイメント・マネージャ・ウィザード」が新しいウィンドウで表示されます。
接続なしアプリケーション・インスタンスを検索します。そうするには、検索セクションのリストから「リソース」を選択し、接続なしアプリケーション・インスタンスの名前(LaptopApplication*など)を入力して、「検索」をクリックします。接続なしアプリケーション・インスタンスは、「検索結果」セクションに表示されます。
「検索結果」セクションのLaptopApplicationInstanceを選択して、「子の選択」をクリックします。「子の選択」ページが表示されます。
図4-10に示すように、必要な子属性を選択します。
「依存性の選択」をクリックします。「依存性の選択」ページが表示されます。
「確認」をクリックします。「確認」ページで「エクスポート用に追加」をクリックします。
図4-11に示すように、すべての必要な依存性がエクスポート・サマリーに表示されていることを確認してから、「エクスポート」をクリックします。
XMLファイルの名前を指定します(DisconnectedLaptopExp.xmlなど)。エクスポートが成功すると、メッセージが表示されます。
テスト環境で接続なしアプリケーション・インスタンスをインポートするには、次の手順を実行します。
Oracle Identity System Administrationの左側のペインで、「システム管理」の下の「インポート」をクリックします。
エクスポートされたXMLファイルのパスを指定し、「OK」をクリックします。確認ページが表示されます。「ファイルの追加」をクリックします。
「置換」ページで、ユーザーまたはグループの置換を指定できます。置換がない場合は、「置換の取消し」をクリックします。
次に示すように、インポート・サマリーで未解決の依存関係の有無を確認してから、「インポート」をクリックします。
プロセス定義、リソース・オブジェクトおよびフォームが正常にインポートされたことを確認します。
アプリケーション・インスタンスがインポートされた環境で、接続なしアプリケーション・インスタンスを接続アプリケーション・インスタンスに変換するには、次の変更を行います。
Design Consoleにログインします。
「リソース管理」を展開します。「リソース・オブジェクト」をクリックして、「リソース・オブジェクト」フォームを開きます。
リソース・オブジェクトのタイプを、「切断」から「アプリケーション」に変更します。
ITリソース・タイプ定義フォームで、必要に応じて接続リソースとともに新しいITリソース・パラメータを定義します。
手順4で追加した新しいパラメータで、既存のITリソース(ITResourceが同じであると想定)を変更します。
「プロセス管理」を開き、「プロセス定義」をクリックして「プロセス定義」フォームを開きます。
接続なしアプリケーション・インスタンスのプロセス定義を検索します。次のタスクが表示されます。
ManualProvisioningStart
ManualProvisioningEnd
ManualEnableStart
ManualEnableEnd
ManualDisableStart
ManualDisableEnd
ManualRevokeStart
ManualRevokeEnd
タスクごとに、次の手順を実行します:
タスクの名前を変更します。たとえば、タスク名をManualProvisioningStartから、XXManualProvisioningStartに変更します。
条件付きオプションが選択されていることを確認します。また、完了に必須オプションが選択されていないことを確認します。
タスクが有効化/無効化/失効タスクである場合、タスクの結果を「無効」に変更します。
統合タブで、「削除」をクリックして、タスクにアタッチされたアダプタを解除します。
タスク依存性を削除します(存在する場合)。
取消し/リカバリ/生成済タスクを削除します(存在する場合)。
オブジェクト・ステータス・マッピングがある場合は、それを「なし」に変更します。
|
注意: 手順6aから6gは、アプリケーション・インスタンスを接続アプリケーション・インスタンスとしてエクスポートする際に、接続なしアプリケーション・インスタンスの既存のタスクが開始されないようにするためのものです。 |
更新されたPARENT_FORM_NAMEという名前のタスクがあります。このタスクは、親フォームが更新されると必ずトリガーされます。このタスクにアタッチされた既存のアダプタを解除し、必要に応じてタスクをカスタマイズするようにしてください。
この子フォームに関連したタスクがある場合は、「クリア」をクリックして、作成/更新/削除のトリガーを削除するようにします。これらのタスクを再利用しない場合は、これらにアタッチされたアダプタを解除し、タスクの名前を変更して、実行されないようにします。作成、更新および削除の各トリガーに対して新しいタスクを作成することをお薦めします。
|
注意:
|
アカウントの作成、無効化、有効化、失効および更新タスクに対してカスタム・アダプタを定義します。子表がある場合、必ず同じものに対してカスタム・アダプタを定義するようにします。
プロセス定義で次のタスクを作成し、対応するアダプタを各タスクに関連付けます。必要な取消し/リカバリ・タスクをマップし、オブジェクト・ステータス・マッピングを設定します。
ユーザーの作成: タスク・プロパティで、完了に必須オプションが選択され、条件付きオプションが選択されていないことを確認します。
ユーザーの無効化: タスクの結果が、プロセスの無効化またはアプリケーションへのアクセスであることを確認します。
ユーザーの有効化: タスクの結果が、プロセスの有効化またはアプリケーションへのアクセスであることを確認します。
ユーザーの削除: タスクの結果が、プロセスの失効またはアプリケーションへのアクセスであることを確認します。
更新されたATTRIBUTE_NAME: プロセス・フォームで定義される属性ごとに、対応する更新タスクを作成する必要があります。これらのタスクはプロセス・フォームの更新時にトリガーされます(たとえば、「更新されたAccount Name」、「更新されたAccount ID」など)。
子表がある場合は、作成、更新、削除など、トリガー・タイプごとにタスクを定義します。
テスト環境で2、3人のユーザーにプロビジョニングすることによって、接続アプリケーション・インスタンスをテストします。アプリケーション・インスタンスをユーザーにプロビジョニングするために、変更されたリソース・オブジェクトおよびITリソースが含まれる新しいアプリケーション・インスタンスを定義する必要があります。
