リコンシリエーションとは、ターゲット・システムで開始された操作(ユーザーの作成、変更または削除など)が、Oracle Identity Managerに通信されるプロセスです。リコンシリエーション・プロセスは、Oracle Identity Managerリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Managerリポジトリに適用するプロセスです。
ロールのリコンシリエーション、ロール・メンバーシップのリコンシリエーションおよびロール階層の変更のリコンシリエーションは、個別のリコンシリエーション・イベントとして処理されます。理想的には、競合状態を回避するためにロール・イベントを最初に送信し、次にメンバーシップ・イベントのみを送信する必要があります。競合状態の場合は、自動再試行ロジックにより、リコンシリエーション・エンジンでの処理が可能です。
関連項目: 競合状態の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』の競合状態の処理に関する説明を参照してください。 |
図13-1は、プロビジョニングおよびリコンシリエーションが、Oracle Identity Managerからターゲット・システム、またはターゲット・システムからOracle Identity Managerへの同期化に関与する様子を示しています。プロビジョニング・システムでは、プロビジョニングおよびリコンシリエーションを使用して、ターゲット・システムに管理対象アイデンティティを作成したり、ターゲット・システムにすでに存在している場合は、管理対象アイデンティティをレプリケートできます。
図13-1では、新しい従業員の入社時に、人事担当によってユーザーが作成されます。ユーザーは、信頼できるソース・リコンシリエーションによってOracle Identity Managerにリコンサイルされます。Oracle Identity Managerでユーザーが作成されると、ユーザーのアカウントはターゲット・システムにプロビジョニングされます。ターゲット・システムでは、ターゲット・システム管理者がそのアカウントに変更を追加できますが、その変更はOracle Identity Managerにリコンサイルする必要があります。
データ・フローに関しては、プロビジョニングではプッシュ・モデルを使用してプロビジョニング・システムから外部へのフローが提供され、これによってプロビジョニング・システムは変更の実施をターゲット・システムに示します。リコンシリエーションでは、プッシュ・モデルまたはプル・モデルを使用してプロビジョニング・システムの内側へのフローが提供され、これによってプロビジョニング・システムはターゲット・システムのアクティビティを検出します。
リコンシリエーション・プロセスには、Oracle Identity Managerに適用されるイベントの生成が含まれます。このイベントには、ターゲット・システムでのアトミック変更が反映され、変更されたデータ、変更のタイプおよびその他の情報が含まれます。ターゲット・システムで発生している変更に起因して結果的に生成されるリコンシリエーション・イベントは、これらのイベント管理ニーズに対応するOracle Identity System Administrationの「イベント管理」セクションを使用して管理されます。Oracle Identity System Administrationを使用したリコンシリエーション・イベントの管理の詳細は、「リコンシリエーション・イベントの管理」を参照してください。
この項の内容は次のとおりです。
関連項目: リコンシリエーションの機能とアーキテクチャの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のリコンシリエーションのカスタマイズに関する説明を参照してください。 |
表13-1に示すように、リコンシリエーションには様々なタイプがあります。
表13-1 リコンシリエーションのタイプ
分類基準 | リコンシリエーション・タイプ |
---|---|
リコンサイル対象オブジェクト |
リコンサイル対象アイデンティティに基づいて、ユーザー、アカウント、ロール、組織、関係(ロール階層やロール・メンバーシップを含む)など |
リコンシリエーションのモード |
変更ログ |
標準 |
|
リコンシリエーションに使用されるアプローチ |
増分リコンシリエーション |
完全リコンシリエーション |
この項の内容は次のとおりです。
リコンサイル対象のエンティティ・オブジェクトに基づいたリコンシリエーションです。Oracle Identity Managerでは、次のエンティティがリコンサイルされます。
ユーザー: ユーザーは、Oracle Identity Manager内に存在し、Oracle Identity Managerを介して管理されるアイデンティティです。
アカウント: Oracle Identity Managerのユーザーにはアカウント・エンティティが付与されます。これは、プロビジョニング・ターゲットでユーザーを一意に識別する、ユーザーの属性と権限のコレクションを表します。Oracle Identity Managerにアカウントが存在することで、ユーザーはプロビジョニング・ターゲットにアクセスできます。
組織: 組織エンティティは、Oracle Identity Manager内に存在するユーザー、他の組織などのエンティティの論理的なコンテナを表します。
ロール: ロールは、Oracle Identity Manager内でアクセス権を割り当てたり、リソースを自動的にプロビジョニングしたり、承認やアテステーションなどの共通のタスクで使用できるユーザーの論理的なグループです。
ロール階層: ロール階層は、親ロールから子ロールへの継承です。親ロールには、継承されるロールと同じ、メンバーに対する権限があります。
ロール・メンバーシップ: ロール・メンバーシップは、継承先ロールのメンバーが継承元ロールから継承されることを意味します。メンバーシップおよび権限の継承の詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のロールの管理に関する説明を参照してください。
この項の内容は次のとおりです。
Oracle Identity Managerのユーザー、ロール、ロール・メンバーシップまたはロール階層の作成に対応するシステムからデータがリコンサイルされる場合、そのリコンシリエーション・モードは、アイデンティティ・リコンシリエーション、認証ソースのリコンシリエーションまたは信頼できるソース・リコンシリエーションと呼ばれます。リコンサイルの適用対象システムは、エンタープライズ・アイデンティティの認証ソースとも呼ばれ、人事管理システムまたは企業ディレクトリなどが該当します。
注意: 信頼できるリコンシリエーションに対してユーザー・ログインが渡されない場合、ログイン・ハンドラはユーザー・ログインを生成します。パスワードは、後処理イベント・ハンドラで生成され、そのパスワードの通知が送信されます。 |
図13-2に示すように、アイデンティティには複数の認証ソースを指定できます。様々な認証ソースを、カテゴリの異なるユーザー・アイデンティティに対するリコンシリエーションのソースや、様々な属性のセットに対するリコンシリエーションのソースにできます。リコンシリエーション・エンジンによって生成された各種のイベントは、追加、変更および削除されます。
図13-2は、単一の認証ソースと複数の認証ソースからの信頼できるソース・リコンシリエーションを示しています。ユーザー・エンティティの作成は、複数の認証ソースからリコンサイルできます。複数の異なる認証ソースから異なる属性をリコンサイルすることもできます。たとえば、ある認証ソースはユーザーIDと電子メールIDを提供し、別の認証ソースがロール属性を提供するようにできます。
ターゲット・システムがアイデンティティおよびアカウントのソースである場合は、信頼できるソース・リコンシリエーションの後にアカウント・リコンシリエーションが続く必要があります。たとえば、Active Directoryが企業のLDAPリポジトリで、そこにユーザー情報が格納されている場合は、ユーザー情報がActive Directoryターゲット・システムからリコンサイルされます。その後、Active Directoryのアカウントが、異なるコネクタを使用してOracle Identity Managerにリコンサイルされます。アイデンティティ・リコンシリエーションは、信頼できるソースに固有のコネクタを使用して、信頼できるソースからのみ発生します。
注意: リコンシリエーション・コネクタは、特定のターゲット・システムからアイデンティティまたはアカウントをリコンサイルするように開発されたコンポーネントです。通常、リコンシリエーション・コネクタはスケジュール済タスクとして実行するように構成されます。ただし、リコンシリエーションをトリガーするためのスケジュール済タスクがない、PeopleSoft HRコネクタなどのプッシュ・ベースのコネクタも存在します。 |
ターゲット・システムのアイデンティティがOracle Identity Managerにリコンサイルされるアカウントである場合、それはターゲット・リソース・リコンシリエーションまたはアカウント・リコンシリエーションです。このタイプのリコンシリエーションは、管理対象のターゲット・システムを表す特定のリソース・オブジェクトをリコンサイルします。この場合は、対応するプロビジョニング・フローが常に存在します。ターゲット・システムから取得されるアイデンティティは、ユーザーまたは組織にプロビジョニングされたリソース・オブジェクト・インスタンスにマップされます。
アカウント・リコンシリエーションは、次のシナリオで発生します。
シナリオI
アイデンティティが、認証ソースからOracle Identity Managerに作成されます。アイデンティティは、ターゲット・システムのリソースを使用してプロビジョニングされます。ターゲット・システムに対する変更は、Oracle Identity Managerとリコンサイルされます。図13-3に、ターゲット・システムからのアカウント・リコンシリエーションを示します。
シナリオII
このシナリオでは、ターゲット・システムが当初、認証ソースの役割を果たします。その後、通常のプロビジョニング・ターゲットの役割を果たします。一連のステップは次のとおりです。
アイデンティティが、ターゲット・システム・エンティティの詳細に基づいてOracle Identity Managerに作成されます。そのエンティティに対して、対応するアカウントも作成されます。
エンティティは、プロビジョニングされたエンティティとしてターゲット・システムで更新されます。
ターゲット・システムのリソース管理者は、アカウントに対する変更を適用します。
ターゲット・システムで行われた変更は、Oracle Identity Managerとリコンサイルされます。
図13-4に、アイデンティティ・リコンシリエーションおよびその後に続くアカウント・リコンシリエーションを示します。
注意: XL.UserProfileAuditDataCollectionプロパティの値が監査日収集レベルに設定されている場合は、アカウント・リコンシリエーションによってバッチ・レベルでデータベース・レイヤーでの照合が実行され、プロビジョニングAPIを使用してイベント・アクションが実行されます。これによって、アカウント・リコンシリエーション用の監査イベント・ハンドラがトリガーされます。デフォルトでは、このプロパティの値は「リソース・フォーム」に設定されます。Oracle Identity Managerのシステム・プロパティの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのシステム・プロパティの管理に関する項を参照してください。 |
図13-5に、リコンシリエーション・プロセス・フローを示します。
リコンシリエーション・プロセスには次のステップが含まれます。
ターゲット・システムでの変更: ターゲット・システムで発生する可能性のある様々なアクティビティには、ユーザー、アカウント、ロール、ロール・メンバーシップまたはロール階層の作成、変更または削除があります。
注意: 外部システムでエンティティを作成し、すぐ後にそのエンティティを変更すると、リコンシリエーションでのエンティティの作成ステップは処理されますが、エンティティの変更ステップは「作成に失敗しました」イベント・ステータスで失敗となります。これは、リコンシリエーションでは、同一バッチ処理内の同じエンティティに対して作成と変更のアクションを処理できないためです。ただし、次のいずれかのビルトイン・メカニズムを使用して、リコンシリエーションのエンティティ変更アクションを後で再送信できます。
同じバッチ処理での処理の競合に起因するリコンシリエーションの失敗メッセージは、単なる一時的な失敗とみなすことができます。 |
リコンシリエーション・データのプロビジョニング: 作成、変更または削除のイベントが発生すると、そのイベントに関するデータは、リコンシリエーションAPIを使用してリコンシリエーション・サービスに送信されます。
注意: リコンシリエーション・サービスとは、リコンシリエーション・エンジン、リコンシリエーションAPIおよび関連するメタデータやスキーマの集合を意味します。 |
リコンシリエーション・イベント・レコードの作成: リコンシリエーション・イベントのデータがリコンシリエーション・サービスに提供される場合、そのイベントのレコードはOracle Identity Managerリポジトリに格納されます。
リコンシリエーション・イベント・データの処理: 受け取ったデータはその後評価され、ターゲット・システムでの変更内容に基づいてOracle Identity Managerで実行する実際の操作が判断されます。評価には、次の目的に役立つ特定のルールセットが利用されます。
Oracle Identity Managerにすでに存在するデータのレコードが、アカウントまたはアイデンティティのいずれのデータであるかの識別
データが表すアカウントまたはアイデンティティの所有者の識別
実行するコンテキスト依存アクションの定義
評価終了時のイベントのステータス、およびリコンシリエーション・エンジンが対応する必要があるアクションの設定
イベントに対するアクションの実行: リコンシリエーション・イベント・データの処理の評価結果に基づいて、目的のアクションが実行されます。実行されるアクションには、次のような様々なものがあります。
注意: イベントに対するアクションは、UIを使用して手動で実行するか、自動アクションにできます。 |
新規アカウントの作成と適切な所有者アイデンティティとの関連付け
一致したアカウントの更新
一致したアカウントの削除
Oracle Identity Managerでの新しいユーザーの作成
Oracle Identity Managerでの既存のユーザーの変更
既存のユーザーの削除
ステータス属性の更新によるアカウント・ステータスの有効化と無効化
ユーザーの有効化と無効化
ロールの作成、更新または削除
メンバーシップの作成または削除
ロール階層の作成または削除
関連項目: ロール・メンバーシップおよびロール階層の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のリコンシリエーション・エンジンに関する説明を参照してください。 |
リコンシリエーション・イベントによってトリガーされたアクションのフォロー・アップ: アクションが実行された後は、リコンシリエーション・イベントに基づいてフォロー・アップ・タスクを開始できます。フォロー・アップ・タスクまたは後処理タスクの例には、ユーザー作成イベントの後、ラップトップ・コンピュータなどのリソースをプロビジョニングするリクエストの作成があります。
リコンシリエーションのモードは、使用するコネクタに従ってプルまたはプッシュになります。Active Directoryなどの大半のコネクタはプル・モデルを使用します。プル・モデルでは、プル・リコンシリエーション・タスクがIAMスケジューラでスケジュールされます。タスクは一定間隔で実行されます。
通常、プル・ベースのリコンシリエーション・コネクタは、スケジュール済タスク内でリコンシリエーション・イベントを送信します。スケジュール済タスクを実行するたびに、新規リコンシリエーションの実行がトリガーされ、リコンシリエーション・イベントがバッチで作成されます。バッチ・サイズが適合する場合は、そのバッチが送信され、処理されます。スケジュール済タスクの終了時に、サイズが適合しないすべてのバッチを送信するジョブ終了リスナーがトリガーされます。
PeopleSoftコネクタなどのリコンシリエーション・コネクタは、プッシュ・モデルを使用します。コネクタは、PeopleSoftによって送信される非同期メッセージを検出するHTTPリスナーで構成されます。メッセージの受信時に、リスナーがリコンシリエーションAPIをコールして、リコンシリエーション・イベントを送信します。バッチ・サイズが適合する場合、イベントは、リコンシリエーション・エンジンによりバッチで処理されます。バッチ・サイズが適合しないバッチについては、スケジュール済タスクが定期的に実行され、リコンシリエーション処理のバッチが送信されます。
プルまたはプッシュ・モデルは、ターゲット・システムの性質およびターゲット・システムでの変更の検出方法に基づいて使用されます。しかし、使用されるプッシュまたはプル・モデルに関係なく、リコンシリエーションは、IAMスケジューラで実行されるスケジュール済タスクを使用して実行されます。
注意: リコンシリエーション・イベントは、リコンシリエーションAPIを使用して直接作成することもできます。 |
変更ログ・リコンシリエーションは、デフォルトのリコンシリエーション・モードです。このモードでは、変更された属性のみがリコンサイルされます。未指定のフィールドは無視されます。変更された属性のリストをコネクタが認識する場合は、通常、変更ログ・リコンシリエーション・モードを使用します。変更された属性に加えて、Oracle Identity Managerには、照合に必要なフィールドのリストも必要です。Oracle Identity Managerの以前のリリースでは変更ログ・リコンシリエーションをサポートしていたため、すべてのコネクタはこのモードで動作します。
標準リコンシリエーションは、リコンシリエーション・エンジンがエンティティの既存のスナップショットを完全に置換する、このリリースで導入された新しいリコンシリエーション・モードです。通常、このリコンシリエーション・モードは、変更された属性をコネクタで判断できない場合に使用するため、エンティティの完全なスナップショットを送信します。新しいコネクタの場合、このモードは、完全リコンシリエーションを実行する場合に指定できます。標準リコンシリエーション・モードを使用すると、イベントがより速やかに処理されるため、パフォーマンスが向上します。
注意: リコンシリエーションのモードは、コネクタの実装によって異なります。コネクタの実装の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のリコンシリエーションのコネクタに関する説明を参照してください。 |
表13-2に、標準リコンシリエーション・モードと変更ログ・リコンシリエーション・モードの相違を示します。
表13-2 標準リコンシリエーション・モードと変更ログ・リコンシリエーション・モード
標準 | 変更ログ |
---|---|
マップされた属性の完全なセットを渡す必要があります。 |
特定のプロファイルやルールの照合に必要なマップされた属性のサブセットを渡す必要があります。 |
バッチ処理モードでの実行に適しています(単一のイベント処理モードの場合とパフォーマンスに違いはない)。 |
|
すべてのフィールドが作成および更新されます。 |
指定されたフィールドのみが作成および更新され、その他のフィールドはすべて変更されません。 |
関連項目: リコンシリエーション・モードの変更の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のプロファイル・モードの変更に関する説明を参照してください。 |
ターゲット・システムで初めてリコンシリエーションを実行すると、デフォルトでは、ターゲット・システムのすべてのユーザーおよびアカウントがOracle Identity Managerにリコンサイルされます。これは、完全リコンシリエーションと呼ばれます。完全リコンシリエーションを実行するために、コネクタはターゲット・システムの各エンティティに対してリコンシリエーション・イベントを送信します。リコンシリエーション・エンジンでは、そのエンティティがOracle Identity Managerにすでに存在するかしないかに応じて、イベントを作成イベントまたは更新イベントとして処理します。また、コネクタは、削除されたすべてのエントリを識別し、削除イベントをOracle Identity Managerに送信します。
通常は完全リコンシリエーションの終了時に、コネクタが最終実行時間パラメータをリコンシリエーションの実行の終了時間に設定します。リコンシリエーションの次回実行では、リコンシリエーションの初回実行の終了後に追加、変更または削除されたエンティティのレコードのみが、リコンシリエーション対象としてフェッチされます。これは、増分リコンシリエーションと呼ばれます。
タイムスタンプITリソース・パラメータを0の値に設定することで、増分リコンシリエーションから完全リコンシリエーションに手動で切替えできます。
リコンシリエーション・プロセスには、Oracle Identity Managerに適用されるイベントの生成が含まれます。このイベントには、ターゲット・システムでのアトミック変更が反映され、変更されたデータ、変更のタイプおよびその他の情報が含まれます。ターゲット・システムで発生した変更の結果として生成されるリコンシリエーション・イベントは、各種ビジネス要件を満たすように管理される必要があります。Oracle Identity Manager拡張管理の「イベント管理」セクションでは、このようなイベント管理要件に対処します。
「イベント管理」セクションを使用してリコンシリエーション・イベントを管理し、格納されたイベントに様々な方法で問い合せてイベント・データすべてを表示できます。これらのイベントは、常に「イベントの詳細」ページと同じ形式で表示されます。「拡張検索」機能を使用して、イベントに対してカスタム問合せを実行できます。イベントの問題を解決するために必要な任意のアクションを実行することもできます。
イベントはリコンシリエーション実行によって生成されます。これらのリコンシリエーション実行は、Oracle Identity Managerスケジューラを使用して実行がスケジュールされます。
Oracle Identity Manager拡張管理の「イベント管理」セクションを使用して、次のイベント管理タスクを実行できます。
次のタイプの検索を実行して、リコンシリエーション・イベントのサマリーを表示できます。
Oracle Identity System Administrationにログインします。
左ペインの「イベント管理」で、「リコンシリエーション」をクリックします。拡張管理が表示され、「イベント管理」タブの「リコンシリエーション」セクションがアクティブになります。
左ペインで、「検索」フィールドに検索基準を入力します。検索基準にはワイルドカード文字(*)を使用できます。
単純検索では1つの引数が使用されます。テキスト引数は、次のイベント・フィールドで検索されます。
イベントID
プロファイル名
キー・フィールド
注意: 単純検索では、イベント日で検索することはできません。 |
「検索」フィールドの横のアイコンをクリックします。検索基準に一致するイベントが検索結果表に表示されます。
検索により、前述の属性に「検索」フィールドで指定した文字列が含まれるすべての行がフェッチされます。検索結果には、「イベントID」、「プロファイル名」および「キー・フィールド」列が表示されます。「イベントID」列にはイベントIDが表示されます。IDは文字列ではなく、整数値としてソートされます。「プロファイル名」列には、リコンシリエーション・プロファイルの名前が表示されます。「キー・フィールド」は、データの行を一意に識別する属性です。リコンシリエーションでは、一部の属性にプロファイル内のキーとしてフラグが付けられています。これらのフィールドが「キー・フィールド」列に表示されます。
注意: 「単純検索」では、検索結果はページで区切られ、一度に64行のみ表示されます。これは、パフォーマンス向上のためです。UI内で64行目を超えてスクロールするたびに、データベースからの別のページのフェッチがトリガーされます。 |
拡張検索では複数の引数が使用され、イベントのリストを細かく調整できます。イベントの拡張検索を実行するには、次の手順に従います。
「リコンシリエーション」セクションの左ペインで、「拡張検索」をクリックします。「検索: イベント」ページが表示されます。
次のオプションのいずれかを選択します。
すべて: このオプションを選択すると、検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
いずれか: このオプションを選択すると、検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
「イベントID」フィールドに検索するイベントIDを入力します。検索基準にはワイルドカード文字を使用できます。「イベントID」フィールドに隣接するリストから検索条件を選択します。
「検索: イベント」ページに表示される他のフィールドで検索引数を指定します。表13-3に、「検索: イベント」ページのフィールドを示します。
表13-3 拡張検索フィールド
フィールド | 説明 |
---|---|
イベントID |
イベントID。IDは文字列ではなく、整数値としてソートされます。 |
リソース名 |
イベントの発行元となるターゲット・システムを表すリソース・オブジェクトの名前。 |
現行のステータス |
イベントの現在の状態を表す文字列。 |
タイプ |
イベントによって実行される操作のタイプで、定期(追加または変更)、削除および変更ログがあります。 |
プロファイル名 |
このイベントに関連するリコンシリエーション・プロファイルの名前。 関連項目: リコンシリエーション・プロファイルについては、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のリコンシリエーション・プロファイルに関する項を参照してください。 |
エンティティ |
このイベントに関連するOracle Identity Managerエンティティのタイプ。ユーザー、アカウント、ロール、ロール付与、ロール階層があります。 |
開始日 |
検索する一番古いイベント作成日。 |
終了日 |
検索する最新のイベント作成日 |
リンクされたユーザー・ログイン |
イベントにリンクされたユーザーのログインIDを表す文字列。 |
キー・フィールド |
リコンシリエーション・プロファイルでキー・フィールドとしてフラグが付いた、データ行を一意に識別するフィールド。 |
「検索」をクリックします。検索結果として、「イベントID」、「リソース名」、「エンティティ」、「現行のステータス」、「タイプ」、「プロファイル名」、「ジョブID」、「キー・フィールド」、「日付」列が表示されます。
検索結果から、クローズや再評価などのイベントのバルク・アクションを実行できます。また、特定のイベントの詳細を表示することもできます。
LDAPプロファイルを使用してイベントを検索するには、検索で次のldapプロファイルを使用します。
オブジェクト | プロファイル |
---|---|
ユーザー | LDAPUser |
ロール | LDAPRole |
ロール・メンバーシップ | LDAPRoleMembership |
ロール階層 | LDAPRoleHierarchy |
Oracle Identity Manager拡張管理の左ペインで、イベントのリストから、詳細を表示するイベントを選択します。
拡張検索結果表の「イベントID」列をクリックします。
「アクション」リストから、「参照」を選択します。「イベントの詳細」ページが表示されます。「イベントの詳細」ページのフィールドは、イベント・タイプとイベント・ステータスに基づいて動的に変更されます。あるいは、右ペインのイベントのサマリーからイベントを選択し、参照用の虫眼鏡アイコンをクリックして「イベントの詳細」ページを開くこともできます。
「イベントの詳細」ページのデータは、次のセクションに表示されます。
イベント: このセクションには、イベントID、イベント・タイプが「ユーザー」と「アカウント」のどちらか、イベントが作成された時間、リコンシリエーション実行ID、リソース名、プロファイル名およびキー・フィールド値などのイベントに関する情報が表示されます。リコンシリエーションは複数のキー・フィールドを使用でき、キー・フィールド値はカンマで区切って表示されます。
リンク先: このセクションは、イベントがユーザーまたはアカウントにリンクされていることを示します。ここにはイベントがリンクされているユーザーまたはアカウントのID、アカウントの説明(あれば)、およびルールベースのリンクか手動リンクかなどのリンクのタイプが表示されます。ルールベースのリンクは、リコンシリエーション・エンジンがリンクを実行したことを意味します。手動リンクは、管理者がリンクを手動で実行したことを意味します。
メモ: リコンシリエーション・エンジンにより、必要に応じてメモが追加されます。たとえば、「データ検証に失敗しました」がある場合、エンジンはその理由を説明するメモを追加します。これは読取り専用フィールドで、イベントにメモが付加されていない場合は空欄です。
リコンシリエーション・データ: この表には、リコンシリエーション・イベント・データが表示されます。これには、属性名、属性値およびOracle Identity Managerのマッピング・フィールドが表示されます。また、イベントの子データがある場合は、それも表示されます。リコンシリエーション・データには、姓、名、雇用日、ユーザーIDおよびITリソース名が表示されます。
複数言語をサポートする属性がある場合は、その属性値も子データと同様に個別の表に表示されます。
一致したアカウント: この表には、一致したアカウントが表示されます。「一致したアカウント」表の列を、表13-4に示します。
一致したユーザー: この表には、リコンシリエーション・エンジンによって検索されたユーザー一致が表示されます。複数一致する場合、リンクされたユーザーはこの表には表示されません。
履歴: この表には、イベント作成やデータ検証からアカウント一致まで、このイベントに対して発生する操作と、更新が正常に行われたどうかが示されます。表13-5に「履歴」表の列を示します。
注意: Oracle Identity Managerでは、リコンシリエーション・フィールド名の翻訳はサポートされていません。 |
イベントで可能なアクションは、イベントのステータス、タイプおよび操作によって異なります。表13-6に、イベントのタイプおよびステータス別に可能なアクションを示します。
表13-6 イベントのステータスおよびタイプ別のアクション
イベント・ステータス | イベント・タイプ | 可能なアクション |
---|---|---|
一致が見つかりません |
ユーザー |
イベントのクローズ リコンシリエーション・ルールの再適用 エンティティの作成 非定型リンク |
アカウント |
イベントのクローズ イベントの再評価 非定型リンク |
|
ユーザーが一致しました |
ユーザー |
イベントのクローズ リコンシリエーション・ルールの再適用 リンク |
アカウント |
イベントのクローズ リコンシリエーション・ルールの再適用 リンク |
|
アカウントが一致しました |
アカウント |
イベントのクローズ リコンシリエーション・ルールの再適用 リンク |
イベントを受信しました |
任意 |
イベントのクローズ |
可能なアクションについては、以降のセクションで説明します。
イベントの再評価は、リコンシリエーション・ルールをイベントに再適用することを意味します。リコンシリエーション・ルールは、イベントの所有者を識別するために使用する一致ルールを参照します。たとえば、Oracle Identity Manager Design Consoleを使用してリコンシリエーション・ルールを変更した場合、Oracle Identity Manager拡張管理の「イベント管理」セクションでルールを再評価できます。
イベントを再評価するには:
イベントのリストから、イベントを選択します。複数のイベントを同時に再評価する場合は、[Ctrl]キーを押しながら複数のイベント行を選択できます。
「アクション」リストから、「イベントの再評価」を選択します。選択したイベントIDが「イベントの再評価」ダイアログ・ボックスに表示されます。
「再評価」をクリックします。リコンシリエーション・ルールがイベントに正常に再適用されたことを示す確認メッセージが表示されます。選択したアクションがいずれかのイベントで失敗した場合は、バルク処理に失敗したイベントIDを示す一般メッセージが表示されます。このような場合は、イベントを一度に1つずつ処理します。
注意:
|
このアクションは、選択されたイベントをクローズまたは破棄し、イベントをそれ以降の処理キューから削除します。イベントをクローズするには、次の手順を実行します。
イベントのリストから、イベントを選択します。
「アクション」リストから、「イベントのクローズ」を選択します。、[Ctrl]キーを押しながら複数のイベント行を選択すると、複数のイベントを一度にクローズできます。「イベントのクローズ」ダイアログ・ボックスが表示されます。
注意: イベントのクローズが有効なオプションでない場合は、「イベントのクローズ」ダイアログ・ボックスにエラー・メッセージが表示されます。 |
「理由」ボックスに、イベントをクローズする理由を入力します。
「閉じる」をクリックします。イベントがクローズされることを示す確認メッセージが表示されます。選択したアクションがいずれかのイベントで失敗した場合は、バルク処理に失敗したイベントIDを示す一般メッセージが表示されます。このような場合は、イベントを一度に1つずつ処理します。
注意:
|
Oracle Identity Managerでは、次の操作を実行してリコンシリエーション・イベントをリンクできます。
非定型リンクにより、イベントをOracle Identity Managerの任意のユーザーまたはロールにリンクできます。リコンシリエーション・エンジンによってそのイベントに対するユーザー一致が検出された場合でも、この非定型リンク機能を使用して、ユーザーはその一致を無視して別のユーザーを選択できます。これにより、リコンシリエーション一致ルールが正しく機能しない場合に誤った一致によって生じる例外を処理できます。
このアクションにより、すでに一致しているエンティティ以外のエンティティにイベントをリンクできます。つまり、「一致したユーザー」表から行を選択するかわりに、別のユーザーを選択してイベントにリンクできます。
イベントに対して非定型リンクを作成するには:
「イベントの詳細」ページで、「アクション」リストから「非定型リンク」を選択します。「非定型リンク」ダイアログ・ボックスが表示されます。
参照アイコンをクリックし、ユーザー検索を実行します。
検索結果からユーザーを選択し、「リンク」をクリックします。イベントとの非定型リンクが正常に行われたことを示す確認メッセージが表示されます。
リコンシリエーション・イベントが複数一致する場合は、各一致が「イベントの詳細」ページの「一致したアカウント」タブ(アカウント・エンティティの場合)または「一致したユーザー」タブ(ユーザー・エンティティの場合)に表示されます。リコンシリエーション・エンジンで検出されたすべての一致からいずれかの一致を手動で選択できます。手動リンクを実行するには、次の手順に従います。
注意: 手動リンクでは、Oracle Identity Managerの全ユーザーのリストから一致を選択するかわりに、リコンシリエーション・エンジンによって検出された一致のリストから選択します。 |
「イベントの詳細」ページで、リコンシリエーション・エンジンによって検出されたすべての一致がリストされている表から行を選択します。
「リンク」をクリックします。確認を求めるメッセージが表示されます。
「 OK 」をクリックして続行します。
孤立アカウントとは、ターゲット・システムのアカウントで、Oracle Identity Managerにそれに対応するユーザーが存在しないものを指します。
Oracle Identity Managerに一致するユーザーがいないか、複数のユーザーが一致する孤立アカウントのイベントを解決できます。そのために、次のいずれかを実行できます。
Oracle Identity Managerでユーザーを再作成する
プロビジョニング・プロセスをトリガーして、ターゲット・システムからユーザーまたはアカウントを削除する
非定型または手動リンクを実行する
次のシナリオでは、「イベント管理」セクションを使用して正しい一致ユーザーを選択することで、孤立アカウントを解決できます。
リコンシリエーション・エンジンにより複数のユーザーがイベント・データに一致された場合は、非定型または手動リンクを使用して正しいユーザーを選択する必要があります。
非定型リンクについては、「非定型リンク」を参照してください。
手動リンクについては、「手動リンク」を参照してください。
イベントに一致が検出されない場合は、エンティティ作成をトリガーするか、Oracle Identity Managerのエンティティを選択してイベントにリンクします。Oracle Identity Managerのエンティティを選択してイベントにリンクする方法は、「非定型リンク」を参照してください。