アプリケーション・インスタンスは、11g リリース2 (11.1.2.3.0)で使用される新しい抽象化です。これは、ITリソース・インスタンス(ターゲットの接続性とコネクタ構成)およびリソース・オブジェクト(プロビジョニング・メカニズム)の組合せです。
R2リリースより前では、リクエストの作成はリソースの名前に基づいて管理者中心で行われ、テクノロジについての詳しい知識が必要でした。11g リリース2 (11.1.2.3.0)では、ユーザーのアカウントと権限は、ITリソース・インスタンスやリソース・オブジェクトではなく、アプリケーション・インスタンスに関連付けられるようになりました。これにより、エンド・ユーザーはより簡単に操作できるようになります。
アプリケーション・インスタンスは組織に公開され、その組織のユーザーがリクエストできます。Microsoft Active Directory (AD)が、全世界の様々な組織または部門に属するユーザーにプロビジョニングされるとします。次のもので構成されるアプリケーション・インスタンスを定義できます。
AD (リソース・オブジェクト)
URLおよびパスワードなどの接続情報を含む各ADサーバー・インスタンス(IT リソース)
リソース・オブジェクトは全ユーザーに対して同じですが、ポート番号などの接続情報は、異なる組織に属するユーザーでは異なる場合があるため、このような構成になります。これにより、ユーザーが接続情報を知らなくても、ADリソース・オブジェクトをアプリケーション・インスタンスとしてプロビジョニングできます。
アプリケーション・インスタンスは、プロビジョニング可能なエンティティです。特定のターゲット内にあるアカウントを取得するには、エンド・ユーザーがアプリケーション・インスタンスをリクエストする必要があります。エンド・ユーザーは、リソースをリクエストし、それとは別にITリソース・インスタンスを構成するかわりに、アプリケーション・インスタンスをリクエストできます。リクエストは、承認者による承認が必要です。リクエストが承認されると、ユーザーにリソースがプロビジョニングされ、ターゲット・システムにアカウントが作成されます。
注意: 認可者からのリクエストには承認が不要の場合がありますが、エンド・ユーザーからのリクエストには承認者による承認が必要です。 |
この章では、次のトピックでアプリケーション・インスタンスについて説明します。
アプリケーション・インスタンスの概念については、次の各項で説明します。
企業内のユーザーは、1つのアプリケーション・インスタンスに対して複数のアカウントを持つことができます。これは、HR管理者が、管理アカウントを使用して組織の他の従業員のための様々なタスクを実行するようなシナリオで必要です。同じHR管理者が、自身のための特定のタスクを実行する場合には、別のユーザー・アカウントを使用してログインします。この例では、同じユーザーに、システムにログインして異なる種類の操作を行うための2つの異なるアカウントが必要です。
さらに、潜在的なセキュリティ上の脅威を防ぐためにも、ユーザーが複数アカウントを使用できるようにする必要があります。たとえば、あるユーザーが同じアカウントを使用して環境にログインし、管理タスク、自分自身と他のユーザーの標準ビジネス・タスクおよびITインフラストラクチャ関連タスクを実行するとします。システムに侵入されアカウントがハッキングされた場合、ハッカーはインフラストラクチャのデータおよびその他の機密情報にアクセスできます。ユーザーがタスクの種類ごとに異なる複数のアカウントを持っており、標準アカウントがハッキングされた場合は、ITインフラストラクチャに関する機密情報およびその他の重要なリソースはハッカーから守られます。
Oracle Identity Managerでは、1つのアプリケーション・インスタンスにおける複数アカウントの使用がサポートされます。作成される最初のアカウントはプライマリ・アカウントとしてタグが付けられ、1人のユーザーに対して作成できるプライマリ・アカウントは1つのみです。同じアプリケーション・インスタンス上に作成された後続アカウントは「その他」のタグが付与されます。
ユーザーがアプリケーション・インスタンスに対してプロビジョニングされると、Oracle Identity Managerにより、それがそのアプリケーション・インスタンスでそのユーザーに対してプロビジョニングされる最初のアカウントであるかどうかがチェックされます。最初のアカウントである場合、そのアカウントは「プライマリ」とマークされます。アプリケーション・インスタンスから既存のユーザー・アカウントがリコンサイルされる場合、リコンサイルされる最初のアカウントは「プライマリ」とマークされます。「プライマリ」とマークされたアカウントが実際のプライマリ・アカウントではない場合、手動でそのアカウントの「プライマリ」タグを変更して、別のアカウントを「プライマリ」とマークできます。
ターゲット・システムのアカウントに付与される権限により、アカウント所有者(ユーザー)は特定のタスクや機能を実行できます。権限は、ロール、職責またはグループ・メンバーシップの場合があります。たとえば、ユーザーRichardがターゲット・システムに対するInventory Analystロールを付与されている場合、Richardには、Inventory Analystロールのデータを保持している子プロセス・フォームがあります。
Oracle Identity Managerでは、Oracle Identity Managerユーザーにプロビジョニングされるアカウント(リソース)ごとに1つのプロセス・フォームがあります。権限データは、子プロセス・フォームに格納されます。前述の例では、ターゲット・システムのRichardのアカウントのプロセス・フォームには、Inventory Managerロール・データを保持する子プロセス・フォームがあります。
注意: ターゲット・システムで作成された権限をOracle Identity Managerにリコンシリエーションするには、最初に参照フィールド同期のスケジュール済ジョブを実行してから、権限リスト・スケジュール済ジョブを実行する必要があります。 |
子プロセス・フォームに格納される権限データを構成する属性は、ターゲット・システムによって異なる可能性があります。また、ロールと職責などの異なるタイプの権限は、異なる属性を持つ場合があります。
権限は、最初にユーザー・アカウント対するリソースの変更をリクエストすることなく、直接リクエストできます。権限は、子フォームにより個別に処理されるため、アカウント・データには含まれません。ユーザーは、権限のプロビジョニング、変更または取消しを実行できます。リクエストした権限について、ユーザーは承認プロセス中に承認者の助けになる可能性のある追加情報を提供できます。
あらゆる種類の権限をリクエスト・カタログでリクエストできます。管理権限のリクエストが承認されると、プライマリ・アカウントに管理権限が関連付けられます。また、リクエスタはターゲット・アカウントを選択でき、承認者はターゲット・アカウントを変更することもできます。
Oracle Identity System Administrationの「アプリケーション・インスタンス」セクションを使用して、権限を編集できます。
権限の詳細は、「権限の開発」を参照してください。
Oracle Identity Managerにおけるセルフ・サービス、委任管理、リクエスト管理およびロールベースのプロビジョニング機能はデプロイできますが、プロビジョニングを自動化するためのプロビジョニングおよびリコンシリエーション・コネクタはデプロイできません。委任管理操作、リクエストの承認またはロールベースのプロビジョニングが完了すると、手動のプロビジョニング・タスクが管理者に割り当てられます。続けて管理者は、ターゲットのアプリケーション・インスタンスで、プロビジョニングを手動で実行します。この例には、物理アクセス・カードのプロビジョニングがあります。Oracle Identity Managerでは物理アクセス・カードをプロビジョニングできないため、接続なしリソースのアプリケーション・インスタンスがプロビジョニングされます。
接続なしリソースのプロビジョニングを行うために、接続なしタイプのアプリケーション・インスタンスを作成できます。手動プロビジョニング管理者は、Oracle Identity Self Serviceの「受信箱」セクションを使用して、リクエストの全フィールドを更新できます。手動プロビジョニング管理者が手動プロビジョニング・ワークリスト項目を送信すると、手動プロビジョニング管理者の応答に基づいて、プロビジョニング・インフラストラクチャにより基礎となるプロビジョニング・タスクに「完了」のマークが付けられます。管理者がそのタスクが手動で完了されたことを示すと、ステータスがプロビジョニング済に変更されます。
アプリケーション・インスタンスは、組織の公開メカニズムによってセキュリティ・プリミティブが関連付けられたエンティティでもあります。アプリケーション・インスタンスを公開している組織のみが、ターゲットにプロビジョニングができます。
Oracle Identity System Administrationを使用してアプリケーション・インスタンスを管理します。次のものが含まれます。
関連項目: 接続なしアプリケーション・インスタンスから接続アプリケーション・インスタンスへの変換の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』の接続なしアプリケーション・インスタンスから接続アプリケーション・インスタンスへの変換に関する項を参照してください。 |
アプリケーション・インスタンスを作成するには:
Oracle Identity System Administrationにログインします。
左側のペインの「プロビジョニング構成」で、「アプリケーション・インスタンス」をクリックします。「アプリケーション・インスタンス」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「アプリケーション・インスタンスの作成」ページが表示されます。
表10-1に示すように属性の値を入力します。
表10-1 「アプリケーション・インスタンスの作成」ページのフィールド
属性 | 説明 |
---|---|
名前 |
アプリケーション・インスタンスの名前。これは必須フィールドです。 注意: ASCIIでない文字を「名前」フィールドに入力した場合、アプリケーション・インスタンスを保存しようとすると、エラー・メッセージが表示されます。「名前」フィールドにASCIIまたは英数字の文字列のみを入力することをお薦めします。 |
表示名 |
アプリケーション・インスタンスの表示名。これは必須フィールドです。 |
説明 |
アプリケーション・インスタンスの説明。 |
切断 |
アプリケーション・インスタンスを接続なしとして指定する場合に選択します。このオプションを選択すると、手動プロビジョニング管理者に割り当てられる新しい承認プロセスが作成されます。詳細は、「接続なしアプリケーション・インスタンス」を参照してください。 注意: 接続なしアプリケーション・インスタンスは、サンドボックスがアクティブな場合にのみ作成できます。サンドボックスの詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のサンドボックスの管理に関する項を参照してください。 |
リソース・オブジェクト |
リソース・オブジェクト名。このフィールドの隣にある検索アイコンをクリックすると、リソース・オブジェクトを検索して選択できます。 |
ITリソース・インスタンス |
ITリソース・インスタンス名。このフィールドの隣にある検索アイコンをクリックすると、ITリソース・インスタンスを検索して選択できます。 |
フォーム |
フォームまたはデータセット名を選択します。選択したリソース・オブジェクトに関連付けられているフォームが「フォーム」リストに移入されます。ここでは既存のフォームのみを選択できます。 |
親AppInstance |
新しいアプリケーション・インスタンスの親として指定するアプリケーション・インスタンスの名前。新しいアプリケーション・インスタンスは、親アプリケーション・インスタンスのプロパティをすべて継承します。この参照を移入するには、リソースをDesign Consoleで「依存先」として割り当てる必要があります。 |
「保存」をクリックします。アプリケーション・インスタンスが作成され、アプリケーション・インスタンスの詳細がページに表示されます。
アプリケーション・インスタンスを検索するには:
Oracle Identity System Administrationの「プロビジョニング構成」で、「アプリケーション・インスタンス」をクリックします。「アプリケーション・インスタンス」ページが表示されます。
次のいずれかを選択します。
すべて: このオプションを選択すると、検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
いずれか: このオプションを選択すると、検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
「表示名」などの、検索可能なアプリケーション・インスタンス属性フィールドで、値を指定します。
一部の属性では、「参照」から属性値を選択します。たとえば、特定のリソース・オブジェクトを持つアプリケーション・インスタンスをすべて検索するには、「リソース・オブジェクト」フィールドにそのリソース・オブジェクトの名前を指定します。
指定する属性値ごとに、リストから検索演算子を選択します。次の検索演算子から選択できます。
次で始まる
次で終わる
次と等しい
次と等しくない
次を含む
「アプリケーション・インスタンス」ページに検索可能なアプリケーション・インスタンス属性を追加するには、「フィールドの追加」をクリックし、属性のリストから属性を選択します。
たとえば、親アプリケーション・インスタンスの下にあるすべてのアプリケーション・インスタンスを検索するには、「親AppInstance」属性を検索可能なフィールドとして追加し、検索条件を指定します。
オプションで、「リセット」をクリックすると、指定した検索条件がリセットされます。このステップは通常、指定した検索条件を削除して、新しい検索条件を指定する場合に実行します。
「検索」をクリックします。検索結果が表形式で表示されます。
ヒント: 例による問合せ機能を使用すると、特定の値に基づいて検索を絞り込めます。詳細は、『Oracle Identity Managerでのセルフ・サービス・タスクの実行』の例による問合せに関する項を参照してください。 |
アプリケーション・インスタンスを開いて、属性の変更、アプリケーション・インスタンスを使用できる組織の割当てと失効、アプリケーション・インスタンスに関連付けられた権限の編集を行うことができます。これらのタスクについては、次の各項で説明します。
アプリケーション・インスタンスの属性を変更するには:
「アプリケーション・インスタンス」ページで、開くアプリケーション・インスタンスを検索して選択します。
「アクション」メニューで「開く」をクリックします。または、ツールバーにある「開く」をクリックします。アプリケーション・インスタンスの表示名をクリックすることもできます。
「アプリケーション・インスタンスの詳細」ページが表示されます。
「属性」タブが表示されていることを確認します。変更できないフィールドはグレー表示されています。
「表示名」、「説明」、「フォーム」、「親AppInstance」などのフィールドの値を編集します。
「適用」をクリックします。属性の変更が保存されます。
カタログ同期化ジョブ・スケジュール済ジョブを実行します。
注意: カタログ同期化ジョブを「増分」モードで実行することをお薦めします(これによって、ベース・エンティティのアプリケーション・インスタンスと権限で追加、更新、削除などの変更内容がカタログDBと同期されます)。 |
アプリケーション・インスタンスを組織に公開して、アプリケーション・インスタンスのリクエストとそれに続くユーザーへのプロビジョニングを可能にする必要があります。その組織に属するユーザー、その組織でユーザー・ビューア・ロールを持っているユーザーまたはその組織でアプリケーション・インスタンス・ビューア・ロールとユーザー・ビューア・ロールを持っているユーザーが、アプリケーション・インスタンスをリクエストできます。Oracle Identity Managerでの認可の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』を参照してください。
「アプリケーション・インスタンスの詳細」ページの「組織」タブでは、組織へのアプリケーション・インスタンスの公開とアプリケーション・インスタンスからの組織の失効を行うことができます。
また、アプリケーション・インスタンスを組織とその下位組織に公開して、下位組織のユーザーもアプリケーション・インスタンスをリクエストできるようにすることもできます。権限を持つ組織にアプリケーション・インスタンスを公開して、その組織のユーザーが、権限が関連付けられたアプリケーション・インスタンスをリクエストできるようにすることもできます。
注意: 管理者ユーザーは、管理者が表示できるすべての組織にエンティティを公開できます。たとえば、権限管理者は、自身が表示権限を持つすべての組織に対し、管理権限付きの権限を公開できます。 |
この項で説明するタスクは次のとおりです。
アプリケーション・インスタンスを組織に公開するには:
「アプリケーション・インスタンスの詳細」ページで、「組織」タブをクリックします。開いているアプリケーション・インスタンスの公開先となる組織のリストが表示されます。
各組織について、「階層対応」列に「下位組織を含める」オプションが表示されます。組織とその下位組織が、開いているアプリケーション・インスタンスを使用できるようにする場合に、このオプションを選択します。その組織のみが、開いているアプリケーション・インスタンスを使用できるようにする場合は、このオプションの選択を解除します。
「アクション」メニューで「割当て」をクリックします。または、ツールバーにある「割当て」をクリックします。「組織の選択」ダイアログ・ボックスが表示されます。
開いているアプリケーション・インスタンスの公開先となる組織を検索します。
注意: フランス語表記のOracle Identity System AdministrationをGoogle Chrome Webブラウザで使用している場合は、「組織の選択」ダイアログ・ボックスの検索パネルで、右矢印が抜けたり切り捨てられたりすることがあります。この問題を修正するには、Chromeで表示言語設定を確認し、必要に応じてフランス語に変更します。 |
「選択した項目の追加」をクリックします。選択した組織が「選択した組織」表に追加されます。
すべての組織を選択するには、「すべて追加」をクリックします。
「選択した組織」表に追加された各組織の「階層」列にチェック・ボックスが表示されます。開いているアプリケーション・インスタンスを、選択した組織の下位組織に公開する場合は、この「階層」オプションを選択します。
開いているアプリケーション・インスタンスを、選択した組織のみに公開する場合は、「階層」オプションの選択を解除したままにします。
開いているアプリケーション・インスタンスを、そのアプリケーション・インスタンスに関連付けられた権限を持つ選択された組織に公開するには、「権限に適用」オプションを選択します。それ以外の場合は、このオプションの選択を解除されたままにします。
「選択」をクリックします。アプリケーション・インスタンスが選択された組織に公開されます。
「下位組織を含める」オプションは、「組織の選択」ダイアログ・ボックスで「階層」オプションを選択した組織に表示されます。
アプリケーション・インスタンスから組織を失効させるには:
「組織」タブで、開いているアプリケーション・インスタンスから失効させる組織を選択します。
「アクション」メニューから「失効」を選択します。または、ツールバーにある「失効」をクリックします。選択した組織を示す確認ボックスが表示されます。
「はい」をクリックして確認します。アプリケーション・インスタンスから組織が失効されます。
ヒント: アプリケーション・インスタンスの公開先の組織の下位組織から失効するには、対応する「下位組織を含める」オプションの選択を解除し「適用」をクリックします。 |
アプリケーション・インスタンスに関連付けられた権限を変更することにより、次の各項に示すように、権限属性値を変更したり、組織の権限を公開または失効します。
アプリケーション・インスタンスに関連付けられた権限の属性を変更するには:
「アプリケーション・インスタンスの詳細」ページで、「権限」タブをクリックします。開いているアプリケーション・インスタンスに関連付けられている権限のリストが表示されます。
変更する権限を選択します。
「アクション」メニューから「編集」を選択します。または、ツールバーにある「編集」をクリックします。選択した権限の詳細がページに表示されます。
属性の値(表示名や説明など)を変更し、「保存」をクリックします。権限の変更が保存されます。
カタログ同期化ジョブ・スケジュール済ジョブを実行します。
アプリケーション・インスタンスに関連付けられた権限を組織に公開するには:
「アプリケーション・インスタンスの詳細」ページで、「権限」タブをクリックします。開いているアプリケーション・インスタンスに関連付けられている権限のリストが表示されます。
公開する権限を選択します。ページの最下部に権限の詳細が表示されます。
「アクション」メニューから「割当て」を選択します。または、ツールバーにある「割当て」をクリックします。「組織の選択」ダイアログ・ボックスが表示されます。
権限の公開先の組織を検索して選択します。
「選択した項目の追加」をクリックします。組織が「選択した組織」リストに追加されます。
すべての組織に権限を公開する場合は、「すべて追加」をクリックします。
必要に応じて、選択した組織の下位組織に権限を公開する場合は、「階層」オプションを選択します。
「選択」をクリックします。
カタログ同期化ジョブ・スケジュール済ジョブを実行します。
アプリケーション・インスタンスに関連付けられた組織の権限を失効するには:
「アプリケーション・インスタンスの詳細」ページで、「権限」タブをクリックします。開いているアプリケーション・インスタンスに関連付けられている権限のリストが表示されます。
失効する権限を選択します。ページの最下部に権限の詳細が表示されます。
組織の下位組織の権限を失効する場合、「下位組織を含める」を選択したままにします。
「アクション」メニューから「失効」を選択します。または、ツールバーにある「失効」をクリックします。確認を求める警告が表示されます。
「はい」をクリックします。
カタログ同期化ジョブ・スケジュール済ジョブを実行します。
アプリケーション・インスタンスは、次のいずれかの方法で削除できます。
Oracle Identity System Administrationの「アプリケーション・インスタンス」セクションからアプリケーション・インスタンスを削除します。
アプリケーション・インスタンスの構成要素であるITリソースを削除します。
これらのいずれかの方法でアプリケーション・インスタンスを削除した場合、アプリケーション・インスタンスはOracle Identity Managerからハード削除されるわけではありません。アプリケーション・インスタンスはソフト削除されます。これは、そのアプリケーション・インスタンスの結果としてプロビジョニングされたアカウントが、ターゲット・システム内に存在する場合があるためです。そのため、アプリケーション・インスタンスを削除した後で、次の操作を行うためのスケジュール済ジョブを実行する必要があります。
エンティティ・パブリケーションからアプリケーション・インスタンスを非公開にします。
エンティティ・パブリケーションから関連付けられた権限を非公開にします。
アプリケーション・インスタンスのすべてのアカウントを失効させるか、ハード削除するか、削除済としてマークします。
アプリケーション・インスタンスを削除するには:
Oracle Identity System Administrationの「プロビジョニング構成」で、「アプリケーション・インスタンス」をクリックします。「アプリケーション・インスタンス」ページが表示され、組織に公開されているアプリケーション・インスタンスのリストが示されます。
削除するアプリケーション・インスタンスを検索して選択します。
「アクション」メニューから「削除」を選択します。または、ツールバーにある「削除」をクリックします。確認を求めるメッセージ・ボックスが表示されます。
「削除」をクリックして確認します。アプリケーション・インスタンスが、Oracle Identity Managerでソフト削除されます。
アプリケーション・インスタンスのITリソースを削除して、そのアプリケーション・インスタンスを削除することもできます。ITリソースの削除の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のITリソースの管理に関する項を参照してください。
アプリケーション・インスタンスの削除後処理ジョブ・スケジュール済ジョブを実行します。このスケジュール済ジョブは、次のいずれかのモードで実行できます。
失効: アプリケーション・インスタンスは削除されたが、プロビジョニングされたアカウントがまだターゲット・システム内に存在する場合にこのモードを使用します。「失効」モードを使用すると、ターゲット・システムからアカウントが削除されます。
削除: ターゲット・システムが存在せず、Oracle Identity Managerにアカウントの痕跡がない場合にこのモードを使用します。「削除」モードを使用すると、すべてのプロビジョニング・タスクおよびターゲットからアカウントがハード削除され、続けてOracle Identity Managerからもハード削除されます。Oracle Identity Managerでアカウントが割り当てられている場合にこのモードを使用すると、アカウントが割り当てられているユーザーの下に、プロビジョニング解除としてアカウントがリストされます。
廃止: ターゲット・システムが存在せず、プロビジョニングされたアカウントをターゲット・システムから失効させることができない場合にこのモードを使用します。「廃止」モードを使用すると、アカウントのステータスが「失効」に変更され、Oracle Identity Managerでそのアカウントの「プロビジョニング済」状態が解除されます。
スケジュール済ジョブの詳細は、「スケジューラの管理」を参照してください。
注意: アプリケーション・インスタンスの削除後処理ジョブ・スケジュール済ジョブは、各アプリケーション・インスタンスの削除後に実行できます。 |
カタログ同期化ジョブ・スケジュール済ジョブを実行します。このスケジュール済ジョブでは、ソフト削除されたアプリケーション・インスタンスを特定し、それらをカタログから削除します。
注意:
|
Oracle Identity System Administrationの「アプリケーション・インスタンス」セクションで、リソース・オブジェクトに関連付けられ、続けてアプリケーション・インスタンスに関連付けられているフォームを作成および変更できます。
関連項目:
|
この項の内容は次のとおりです。
アプリケーション・インスタンスに関連付けられたフォームを作成するには:
注意: フォームを直接作成することはできません。フォームを作成する前に、サンドボックスを作成してアクティブ化する必要があります。サンドボックスの作成およびアクティブ化の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のサンドボックスの管理に関する項を参照してください。 |
Oracle Identity System Administrationにログインします。
サンドボックスを作成してアクティブ化します。サンドボックスがアクティブ化されていない場合、警告メッセージが表示されます。サンドボックスの作成およびアクティブ化の詳細な手順は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のサンドボックスの管理に関する項を参照してください。
左ペインの「プロビジョニング構成」で、「フォーム・デザイナ」をクリックします。「フォーム・デザイナ」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「フォームの作成」ページが表示されます。
「リソース・タイプ」フィールドで、フォームを関連付けるリソース・オブジェクトを指定します。これを行うには、次のようにします。
「名前」フィールドの横にある参照アイコンをクリックします。「検索と選択: 名前」ダイアログ・ボックスが表示されます。
「名前」フィールドで、検索するリソース・オブジェクトの名前を入力します。リソース・オブジェクトすべてを表示する場合、このフィールドは空白のままでもかまいません。
「検索」をクリックします。検索条件と一致するリソース・オブジェクトが表示されます。
フォームに関連付けるリソース・オブジェクトを選択して、「OK」をクリックします。リソース・オブジェクト名が、「フォームの作成」ページの「名前」フィールドに表示されます。
「フォーム名」フィールドにフォーム名を入力します。
(オプション)「フォーム・タイプ」で、使用可能ないずれかのオプションを選択します。
親フォーム + 子表(マスター/詳細)
親フォーム(マスター)
親フォーム + 子表(権限なし) (マスター/詳細)
(オプション)新しいフォームを権限に関連付ける場合は、「権限フォームの生成」オプションを選択します。このフォームを使用すると、ユーザーは承認プロセス中に承認者の助けになる可能性のある追加情報を提供できます。
「使用可能なフォーム・フィールド」セクションに、フォーム・フィールド名と説明のリストおよび表示名が表示されます。これらのフィールドは、作成するフォームで使用できます。使用可能なフォーム・フィールドごとに、「バルク更新」オプションを選択できます。このオプションを選択すると、エンティティのバルク更新にこのフォーム・フィールドを使用できます。
「アプリケーション・インスタンスの作成」ページまたは「アプリケーション・インスタンスの詳細」ページの「属性」タブで、「フォーム」フィールドの隣にある「リフレッシュ」をクリックします。
新しく作成したフォームを「フォーム」リストから選択して、「適用」をクリックします。
注意: フォームを直接変更することはできません。フォームを作成する前に、サンドボックスを作成してアクティブ化する必要があります。サンドボックスの変更およびアクティブ化の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のサンドボックスの管理に関する項を参照してください。 |
アプリケーション・インスタンスに関連付けられたフォームを変更するには:
「アプリケーション・インスタンスの作成」ページまたは「アプリケーション・インスタンスの詳細」ページの「属性」タブを開きます。
「フォーム」リストから、変更するフォームを選択します。
「フォーム」フィールドの右側にある「編集」をクリックします。図10-1に示すようなフォームの管理ページが表示されます。
フォームの変更の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のプロセス・フォームの開発に関する項を参照してください。
カスタム・フィールドの作成および編集の詳細は、「カスタム属性の構成」を参照してください。
(オプション)フォームを権限に関連付ける場合は、承認プロセス中に承認者の助けになる可能性のある追加情報をユーザーが提供できるようにフォームを再生成します。これを行うには、「ビューの再生成」をクリックします。「ビューの再生成」ポップアップ・ウィンドウで、「権限フォームの生成」チェック・ボックスを選択します。「ビューの再生成」ポップアップ・ウィンドウで使用できるオプションの詳細は、「フォーム・デザイナを使用したフォームの変更」を参照してください。
注意: Oracle Identity Managerをリリース11.1.2.2.0にアップグレードしている場合は、この機能を使用するように、すべてのフォームを再生成する必要があります。 |
アプリケーション・インスタンス・フォームをローカライズするには:
コネクタのアプリケーション・インスタンスを作成し、そこにフォームをアタッチします。
Oracle Enterprise Managerにログインします。
「アプリケーションのデプロイ」→「oracle.iam.console.identity.sysadmin.ear」→「MDS構成」に移動します。
「エクスポート」をクリックして、アーカイブをホストに保存します。
アーカイブを解凍し、SAVE_LOCATION\xliffBundles\oracle\iam\ui\runtime\BizEditorBundle.xlfファイルをテキスト・エディタで開きます。
注意: このファイルはMDSに存在しない場合があります。存在しない場合、新規作成しますが、パスは同じにする必要があります。 |
次のようにして、BizEditorBundle.xlfファイルを編集します。
次のコードを検索します。
<file source-language="en" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
これを、日本語用に次のコードに置換します。
<file source-language="en" target-language="ja" original="/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" datatype="x-oracle-adf">
アプリケーション・インスタンスのコードを検索します。この手順は、JDEアプリケーション・インスタンスのサンプル編集を示しています。元のコードは次のとおりです。
<trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_JDE_LANGUAGE__c_description']}"> <source>Language</source> </target> </trans-unit> <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.JDEArj.entity.JDEArjEO.UD_JDE_LANGUAGE__c_LABEL"> <source>Language</source> </target> </trans-unit>
コネクタ・パッケージに入っているリソース・ファイル(例、JDEdwards_ja.properties)を開き、そのファイルの属性の値(例、global.udf.UD_JDE_LANGUAGE=\u8A00\u8A9E)を取得します。
ステップ6bに示されている元のコードを、次のものに置き換えます。
<trans-unit id="${adfBundle['oracle.adf.businesseditor.model.util.BaseRuntimeResourceBundle']['persdef.sessiondef.oracle.iam.ui.runtime.form.model.user.entity.userEO.UD_JDE_LANGUAGE__c_description']}"> <source>Language</source> <target>\u8A00\u8A9E</target> </trans-unit> <trans-unit id="sessiondef.oracle.iam.ui.runtime.form.model.JDEArj.entity.JDEArjEO.UD_JDE_LANGUAGE__c_LABEL"> <source>Language</source> <target>\u8A00\u8A9E</target> </trans-unit>
プロセス・フォームのすべての属性に対し、ステップ6aから6dを繰り返します。
ファイルをBizEditorBundle_ja.xlfという名前で保存します。
ZIPファイルを再パッケージしてMDSにインポートします。
関連項目: メタデータ・ファイルのエクスポートおよびインポートの詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』の「カスタマイズのデプロイおよびアンデプロイ」を参照してください。 |
Oracle Identity Managerからログアウトして再度ログインします。
Oracle Identity System Administrationを使用して、アプリケーション・インスタンスを構成できます。次のものが含まれます。
リソース・オブジェクトの構成の詳細は、次のURLにアクセスして『Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のリソース・オブジェクトのフォームに関する項を参照してください。
https://docs.oracle.com/cd/E40329_01/dev.1112/e27150/resmgt.htm#OMDEV2468
ITリソースの構成の詳細は、「ITリソースの作成」および「ITリソースの管理」を参照してください。
アプリケーション・インスタンスは、1つのITリソースに対してのみ構成できます。アカウントをプロビジョニングするために、複数のITリソースの値をプロセス・フォームが必要とする場合は、UIから直接構成することはできません。アカウントをプロビジョニングするために、複数のITリソースを構成する手順は次のとおりです。
アカウントの主要なITリソースを特定し、それによってアプリケーション・インスタンスを構成します。
エンティティ・アダプタを使用して、他に必要なITリソースに値を移入します。たとえば、Microsoft Exchangeコネクタ9.1.1.7では、Exchangeアカウントをプロビジョニングするために、ADのITリソースおよびExchangeのITリソースのITリソース値が必要です。R2で動作するようにする手順は次のとおりです。
ExchangeのITリソースを使用してアプリケーション・インスタンスを作成し、親アプリケーションとしてADのアプリケーション・インスタンスを選択します。これがExchangeの依存リソースであるためです。
ADのITリソースの値をプロセス・フォームに渡すようにエンティティ・アダプタを構成します。これを行うには、次のようにします。
i.)依存ITリソース名(例、Exchange)、および独立ITリソース名(例、AD)を記録します。これはコードにすることも、参照に外部化してコードに初期化することもできます。
ii.)long形式のパラメータとしてエンティティ・アダプタを作成します。これは、移入される親ITリソース・キーです。
iii.)アダプタ・コードの中で、親ITリソース名を見つけ、ステップiで述べたマップを使用して、子ITリソース名を逆参照します。
iv.)子ITリソース名から、long形式の子ITリソース・キーを取得して返します。エンティティ・アダプタの戻り値が、プロセス・フォームの子ITリソース・フィールドに設定されます。
アプリケーション・インスタンスのパスワード・ポリシーを構成するには:
Oracle Identity Self Serviceにログインします。
パスワードの新しいルールを設定することにより、アプリケーション・インスタンスのパスワード・ポリシーを作成します。パスワード・ポリシーの作成および管理の詳細は、『Oracle Identity Managerでのセルフ・サービス・タスクの実行』のパスワード・ポリシーの管理に関する項に関する項を参照してください。
アプリケーション・インスタンスのパスワード・ポリシーの設定が完了したら、新しいポリシーを接続(ADユーザー)アプリケーション・インスタンスにアタッチする必要があります。これを行うには、次のようにします。
Design Consoleにアクセスします。
「リソース管理」で、「リソース・オブジェクト」をクリックします。
パスワード・ポリシー・ルール・タブをクリックします。
作成した新しいパスワード・ポリシー(AD pwdpolicy)を選択して、接続アプリケーション・インスタンスにアタッチします。
「追加」をクリックします。
ターゲット・システムのアカウントに付与される権限により、アカウント所有者(ユーザー)は特定のタスクや機能を実行できます。権限は、ロール、職責またはグループ・メンバーシップの場合があります。たとえば、ユーザーRichardがターゲット・システムでInventory Analystロールを付与されている場合、Richardはその権限を使用してターゲット・システムの在庫関連レポートにアクセスし、生成できます。
Oracle Identity Managerでは、Oracle Identity Managerユーザーにプロビジョニングされるアカウント(リソース)ごとに1つのプロセス・フォームがあります。権限データは、プロセス・フォームの子プロセス・フォームに格納されます。前述の例では、ターゲット・システムのRichardのアカウントのプロセス・フォームには、Inventory Managerロール・データを保持する子プロセス・フォームがあります。
権限は、最初にユーザー・アカウント対するリソースの変更をリクエストすることなく、直接リクエストできます。権限は、子フォームにより個別に処理されるため、アカウント・データには含まれません。ユーザーは、権限のプロビジョニング、変更または取消しを実行できます。リクエストした権限について、ユーザーは承認プロセス中に承認者の助けになる可能性のある追加情報を提供できます。
子プロセス・フォームに格納される権限データを構成する属性は、ターゲット・システムによって異なる可能性があります。また、ロールと職責などの異なるタイプの権限は、異なる属性を持つ場合があります。たとえば、ターゲット・システムAに、次のロール・データの属性が含まれます。
ロール名
ロールの説明
開始日
終了日
同じターゲット・システムに、職責データの異なる属性のセットが含まれる場合があります。
職責ID
割当て日
代理ユーザー
エスカレーション・ユーザー
ターゲット・システムの権限を一意に識別する属性をマークまたは強調表示できます。前述のサンプル・ロールおよび職責データの属性で、「ロール名」属性と「職責ID」属性は、ターゲット・システムAのロール権限および職責権限を一意に識別します。権限を一意に識別する属性をマークすることにより、他のアイデンティティ管理ソリューションで使用可能であり、レポートでも表示される権限データの取得を有効にします。
注意: このリリースのOracle Identity ManagerでSAP User Managementコネクタのリリース9.xを使用する場合、「ロール」と「プロファイル」の権限が適切に動作するように次の手順を実行してください。
|
この項の内容は次のとおりです。
ターゲット・システムには、定義済で、ターゲット・システムのアカウント(ユーザー)に割り当てる準備ができた一連の権限を含めることができます。このターゲット・システムをOracle Identity Managerと統合すると、ターゲット・システムからOracle Identity ManagerのLKV表に権限データをインポート(同期)できます。
注意: 事前定義済コネクタを使用してターゲット・システムを統合する場合は、スケジュール済タスクを使用してこの表に権限データをフェッチすることができます。 |
権限リスト・スケジュール済ジョブは、権限をリクエスト・カタログに同期するために実行されます。権限は、リクエスト・カタログに表示されるようになった時点で使用できます。カタログ同期化の構成の詳細は、13.4.2.3項「進行中の同期」を参照してください。
プロビジョニング操作中に、カタログを使用して権限をリクエストします。アプリケーション・インスタンスのリクエストの送信時に、権限データと親データをともにリクエスト・データセットとして移入することもできます。このマニュアルでは、アカウントに割り当てられる権限を割り当てられた権限と呼びます。割り当てられた権限に関するデータは、子プロセス・フォーム表に格納されます。
各子プロセス・フォームで権限属性にマークを付けると、使用可能権限に関するデータの取得が行われます。
次の手順では、使用可能権限に関するデータの取得方法について説明します。
注意:
|
ターゲット・システムとの同期により、使用可能権限に関するデータがLKV表に格納されます。
権限リスト・スケジュール済タスクをスケジュールし、実行します。
スケジュール・タスクにより、プロセス・フォームの権限プロパティから権限が判別されます。
スケジュール済タスクで、使用可能権限に関するデータがLKV表からENT_LIST表にコピーされます。
権限データを取得するリソースの子プロセス・フォームUD_表の権限属性をマークする必要があります。ユーザーの操作環境に、15のターゲット・システムがあるとします。15個のリソースのうち12個のリソースの権限データを取得する場合は、それらの12個のリソースの権限属性をマークする必要があります。
この項で説明する手順を実行する際には、次のガイドラインに従います。
子プロセス・フォームで、権限データを保持する1つの属性のみをマークできます。
マークする属性は、LookupFieldタイプであり、そのプロパティは次のどちらかである必要があります。
参照コード
参照問合せ
「参照問合せ」は次の条件を満たす必要があります。
問合せでLKU表およびLKV表が使用される
問合せの「参照コード」はLKU表のものである
LKV_ENCODED列値が保存に使用される
LKV_DECODED列値が表示目的で使用される
子プロセス・フォームのフィールドを権限としてマークするには、次の手順を実行します。
Identity System Administrationにログインします。
フォーム・デザイナを使用して、「カスタムの子フォーム属性の作成」で説明しているように、子フォーム属性を作成します。権限の属性の作成時には、「権限」および「検索可能」オプションが選択されていることを確認します。
Oracle Identity Managerでは、次の属性のうち設定されているものに基づいて、重複した権限または子データを検証します。
キー属性
権限属性
子データで重複を検証する前に、前述の属性の構成がチェックされます。表10-2に、有効な構成と無効な構成に関する概要を示します、
表10-2 可能なシナリオと重複の検証基準
権限属性 | リコンシリエーション・フィールドのマッピング用のキー属性 | 構成検証 | |
---|---|---|---|
接続アプリケーション・インスタンス | 接続なしアプリケーション・インスタンス | ||
未定義 注意: このシナリオでは、構成が適切に定義されないので、ユーザーには重複権限や子データを追加する危険性があります。警告メッセージがサーバーのログに記録され、ユーザーに対して権限属性を定義するように促し、リコンシリエーション・フィールド・マッピングに一致させるようにします。 |
未定義 |
有効 |
有効 |
定義済。UD_CHILD1_ENT1などの属性はEntitlement=trueです。 注意: 権限属性には、リコンシリエーション・フィールド・マッピングで定義された一致キー属性がありません。 |
未定義 |
無効 |
有効 |
未定義 |
定義済。 UD_CHILD1_ENT1などの属性は、リコンシリエーション・フィールド・マッピングでキー属性に設定されます。 |
有効 |
有効 |
定義済。 UD_CHILD1_ENT1などの属性はEntitlement=trueです。 |
定義済。 UD_CHILD1_ENT1などの属性は、リコンシリエーション・フィールド・マッピングでキー属性に設定されます。 |
有効 |
有効 |
定義済。 UD_CHILD1_ENT1などの属性はEntitlement=trueです。 注意: 権限属性はリコンシリエーション・フィールド・マッピング・キー属性のサブセットです。 |
定義済。 UD_CHILD1_ENT1やUD_CHILD1_ENT2などの複数の属性が、UD_CHILD1子表のリコンシリエーション・フィールド・マッピングでキー属性として定義されます。 |
有効 |
有効 |
定義済。 UD_CHILD1_ENT1などの属性はEntitlement=trueです。 注意: 権限属性には、リコンシリエーション・フィールド・マッピングで定義された一致キー属性がありません。 |
定義済。 UD_CHILD1_ENT2やUD_CHILD1_ENT3などの属性が1つ以上、リコンシリエーション・フィールド・マッピングでキー属性として定義されます。 |
無効 |
無効 |
効果的な検証を有効にするために、リコンシリエーション・フィールド・マッピングでは、子データの一致キー属性と権限属性の両方を構成することをお薦めします。
有効な構成が検出されると、表10-3に示すような操作に基づいて、重複が検証されます。
表10-3 操作に基づく重複検証
操作 | 重複検証の説明 |
---|---|
権限の追加 |
Entitlement=trueプロパティが定義されている属性。 |
子データの追加 |
リコンシリエーション・フィールド・マッピングで、キー属性である属性。 |
注意: 権限または子データの重複の検証を効果的に行うために、リコンシリエーション・フィールド・マッピングでは、権限属性と子データのキー属性の両方を構成することをお薦めします。 |
権限データを使用するために次のスケジュール済タスクを構成します。
権限リスト・スケジュール済タスクでは、子プロセス・フォーム表の権限属性が識別され、権限データがLKV表からENT_LIST表にコピーされます。ENT_LIST表に作成されたレコードは、特定のターゲット・システムで定義された権限に対応します。
ユーザーの操作環境において新規権限がターゲット・システムで定義される頻度に応じて、このタスクのスケジュールを設定する必要があります。また、新しいターゲット・システムがOracle Identity Managerに統合された場合、このスケジュール済タスクを実行する必要があります。つまり、新しい権限をマークするたびにこのタスクを実行する必要があります。コネクタのスケジュール済タスクで参照フィールドのデータがターゲット・システムからLKV表にフェッチされた後、権限リスト・スケジュール済タスクを実行して、その権限データをENT_LIST表にコピーできます。
このスケジュール済タスクでは、ターゲット・システムの権限に対する更新や削除も処理されます。たとえば、Senior Accounts Analystロールがターゲット・システムから削除された場合、コネクタのスケジュール済タスクではそのロールのエントリがLKV表から削除されます。権限リスト・スケジュール済タスクを実行すると、ENT_LIST表のロールを含む行が削除済行としてマークされます。
権限割当てスケジュール済タスクは、トリガーによる権限のUD表からENT_ASSIGNへの同期が失敗した場合に、割り当てられた権限に関するデータをENT_ASSIGN表にコピーするために使用されます。このタスクでは、子プロセス・フォーム表の権限属性が識別され、割り当てられた権限に関するデータが子プロセス・フォーム表からENT_ASSIGN表にコピーされます。ENT_ASSIGN表に作成されたレコードは、特定のターゲット・システムで特定のユーザーに割り当てられた権限に対応します。
このスケジュール済タスクのRECORDS_TO_PROCESS_IN_BATCH属性を使用して、各バッチのレコード数を指定できます。デフォルトのバッチ・サイズは5000です。
また、権限データのコピー元となる子プロセス・フォーム表にINSERT、UPDATEおよびDELETEトリガーが作成されます。
権限は、次のいずれかの方法で削除できます。
ターゲットで権限を削除してから、参照リコンシリエーションを使用してその権限を同期し、さらに権限リスト・スケジュール済ジョブを実行します。
APIを使用して、権限リストから直接権限を削除します。
対応するアプリケーション・インスタンス経由で削除します。
いずれの削除の方法でも、権限はソフト削除済としてマークされます。つまり、権限に付けられた有効なフラグが更新されて、ソフト削除済としてマークされるようになります。
どの方法で削除を行った場合でも、次の後処理を実行する必要があります。
権限が公開されている組織でその権限を非公開にする
権限リストで権限のModify_dateを現在の日付に更新する
子表の権限と権限割当てのインスタンスをパージする
カタログ収集によって選択された権限、ソフト削除済としてマークされた権限およびすべてのリクエスト・プロファイルを削除する
注意:
|
プロビジョニング・コンポーネントにおける権限のソフト削除の後処理を行うには:
権限削除後の処理ジョブ
・スケジュール済ジョブを実行します。
このタスクでは、次の項目の入力が必要です。
アプリケーション・インスタンス名/すべて
モード: 失効/削除
このタスクでは、次の機能を実行します。
「失効」モード: スケジュール済タスクにより、Oracle Identity Managerにおいてその特定の権限が付与されているすべてのアカウントから、権限の付与が失効されます。
「削除」モード: スケジュール済タスクにより、UD_CHILD表内のOracle Identity Managerデータベースから権限が単にハード削除されます。
このいずれの場合でも、権限の付与エントリがENT_ASSIGNから削除されます。
注意: 権限の削除後の補正が必要な場合は、モード フラグを「失効」 ではなく「削除」 に設定する必要があります。Design Consoleを使用してバックエンドから削除される権限を要求詳細からも削除する必要があり、GrandタスクおよびRevokeタスクがユーザーの受信ボックスに表示されないようにする必要がある場合は、権限削除後の処理ジョブ ・スケジュール済ジョブを、モード フラグを「削除」 に設定して実行する必要があります。 |
権限リスト
というスケジュール済タスクを実行します。これは、権限フィールドを持つすべてのリソースにアクセスし、対応する参照定義を取得してENT_LISTにその参照定義の値を移入する既存のスケジュール・タスクで、これによってプロセスに正しいSVR_KEYが設定されます。
同じエンコード値のエントリが削除され、続けて参照コードに追加される際、次の手順を実行して、データを権限リストと同期する必要があります。
Oracle Identity System Administrationにログインします。
「権限リスト」ジョブを実行し、既存のエントリをソフト削除します。
権限削除後の処理ジョブ・スケジュール済ジョブを「削除」モードで実行し、ソフト削除済項目をクリーンアップします。
「権限リスト」ジョブを再度実行し、新しいエントリを追加します。
ENT_ASSIGN表の割り当てられた権限データの増分同期を手動で無効化できます。つまり、割り当てられた権限に対する変更の取得を無効化できます。これを行うには、子プロセス・フォーム表に作成された次のトリガーを削除するSQLスクリプトを作成し、実行します。
注意: これらのトリガーは、権限割当てスケジュール済タスクによって作成されます。 |
OIU表に作成されたOIU_UDPATEトリガー
UD_表に作成されたTABLE_NAME_ENT_TRGトリガー
スクリプトの実行後、割り当てられた権限に対する変更はステージング表にコピーされません。
次に、子プロセス・フォーム表のトリガーを削除するSQLスクリプトのサンプルを示します。
create or replace TRIGGER UD_LDAP_GRP_ENT_TRG AFTER INSERT OR DELETE OR UPDATE OF UD_LDAP_GRP_GROUP_NAME ON UD_LDAP_GRP FOR EACH ROW BEGIN CASE WHEN INSERTING THEN OIM_SP_MANAGEENTITLEMENT('UD_LDAP_GRP',:NEW.UD_LDAP_GRP_GROUP_NAME,NULL, :NEW.UD_LDAP_GRP_KEY,:NEW.ORC_KEY,NULL,NULL,NULL, NULL,NULL,'INSERT'); WHEN UPDATING THEN IF :NEW.UD_LDAP_GRP_GROUP_NAME != :OLD.UD_LDAP_GRP_GROUP_NAME THEN OIM_SP_MANAGEENTITLEMENT('UD_LDAP_GRP',:NEW.UD_LDAP_GRP_GROUP_NAME, :OLD.UD_LDAP_GRP_GROUP_NAME,:NEW.UD_LDAP_GRP_KEY,:NEW.ORC_KEY,NULL, NULL,NULL, NULL,NULL,'UPDATE'); END IF; WHEN DELETING THEN OIM_SP_MANAGEENTITLEMENT('UD_LDAP_GRP',:OLD.UD_LDAP_GRP_GROUP_NAME, NULL,NULL,:OLD.ORC_KEY,NULL,NULL,NULL, NULL,NULL,'DELETE'); END CASE; END;
次の事前定義済レポートは、割り当てられた権限に関するデータを提供します。
注意: これらのレポートを表示するには、ADMINISTRATORSグループのメンバーである必要があります。 レポートでは、特定のユーザーに対する同じ権限の重複した割当ては抑制されます(ENT_表にコピーされないため)。たとえば、ターゲット・システムでユーザーJohn DoeにSales Superintendentロールが2回割り当てられた場合、レポートには、この権限のインスタンスが1つのみ示されます。 |
「権限アクセス・リスト」レポートには、レポートの生成時に指定した権限を現在割り当てられているユーザーが一覧表示されます。このレポートには、権限に関する基本情報、および権限が割り当てられているユーザーのリストが表示されます。
「権限アクセス・リスト履歴」レポートには、レポートの生成時に指定した権限を割り当てられていたユーザーが一覧表示されます。このレポートには、権限に関する基本情報、および権限が割り当てられていたユーザーのリストが表示されます。
「ユーザー・リソース権限」レポートには、レポートの生成時に指定したユーザーの現在の権限が一覧表示されます。このレポートには、基本的なユーザー情報および権限の詳細が表示されます。
「ユーザー・リソース権限履歴」レポートには、レポートの生成時に指定したユーザーに過去に割り当てられていた権限の詳細が一覧表示されます。このレポートには、基本的なユーザー情報および権限の詳細が表示されます。
接続なしリソースとは、コネクタが存在しないターゲットのことです。したがって、接続なしリソースのプロビジョニングは自動的に処理されないため、手動で実行する必要があります。以前のリリースのOracle Identity Managerでは、接続なしのプロビジョニングは第一のユースケースとしてはサポートされておらず、プロビジョニング・プロセスで手動タスクを使用することによりサポートされています。この方法には多くの制限があり、接続なしリソースのモデルではこのような制限に対処しています。Oracle Identity Manager 11gリリース2 (11.1.2.3.0)では、接続なしリソースは手動プロビジョニングの拡張構成であり、SOA統合を使用して、手動プロビジョニング・ワークフローの柔軟性と構成可能性を高めるものです。
接続なしリソースの例には、バッジ、ラップトップ、ページャなど、処理が手動で行われるアイテムがあります。
この項の内容は次のとおりです。
接続なしリソース機能では、既存のOracle Identity Managerプロビジョニング・エンジン・アーティファクト(プロビジョニング・プロセス、プロセス・タスク、アダプタなど)を使用しますが、その際に、シームレスかつ構成可能な方法でBPEL統合を提供します。
UIを使用して接続なしアプリケーション・インスタンスが作成されると、リソース・オブジェクト(「切断」タイプ)、基本的なプロビジョニング操作のタスクを含むプロビジョニング・プロセス、ITリソース、最小限のフィールド(さらにカスタマイズ可能)を含むプロセス・フォームなどの多くのバックエンド構成アーティファクトが、自動的にシードされます。
図10-3に、接続なしリソースのプロビジョニング・プロセス・アーキテクチャを示します。
接続なしアプリケーション・インスタンスが(リクエストまたはその他の方法によって)ユーザーにプロビジョニングされると、プロビジョニング・プロセスで特定のワークフローがトリガーされます。これにより、対応するプロセス・タスクが起動されて手動のプロビジョニング・アダプタが実行され、即時利用可能な接続なしSOAコンポジット・プロビジョニングが実行されます。SOA手動タスクが、システム管理者にデフォルトで割り当てられます。割当て先が手動タスクに対応すると、provisioningcallback Webサービスが割当て先指定のレスポンスで起動され、その後、プロビジョニング操作が完了または中断されて、アカウントが適切に更新されます。
表10-4に、コンポジットで使用可能な手動のSOAコンポジット・プロビジョニングのペイロードの属性を示します。
表10-4 手動のSOAコンポジット・プロビジョニングのペイロードの属性
属性 | 説明 |
---|---|
アカウントID |
考慮対象アカウントのアカウントID (oiu_key) |
AppInstance名 |
接続なしアプリケーション・インスタンスの表示名 |
リソース・オブジェクト名 |
接続なしリソース・オブジェクト名 |
ITResource名 |
接続なしITリソース名 |
受益者ログイン |
アカウント受益者のログイン |
エンティティ・キー |
アカウントのプロビジョニング、失効、無効化および有効化の各操作におけるアプリケーション・インスタンス・キー。 |
エンティティ・タイプ |
アカウントのプロビジョニング、失効、無効化および有効化の各操作において、タイプはApplicationInstanceに設定されます。 |
受益者の名 |
アカウント受益者の名 |
受益者の姓 |
アカウント受益者の姓 |
記述フィールド |
考慮対象アカウントのアカウント記述フィールド |
URL |
Oracle Identity ManagerのWebサービスのコールバックURL |
リクエスト・キー |
リクエストを介した操作の場合のリクエスト・キー |
リクエスタ・ログイン |
リクエストを介した操作の場合のリクエスタのログイン |
接続なしアプリケーション・インスタンスの管理には、次のタスクが含まれます。
注意: アプリケーション・インスタンスの作成前に、新しいサンドボックスを作成する必要があります。アプリケーション・インスタンスの作成後に、サンドボックスを公開する必要があります。サンドボックスの作成および公開の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のサンドボックスの管理に関する項を参照してください。 |
接続なしアプリケーション・インスタンスを作成するには:
Oracle Identity System Administrationにログインします。
サンドボックスを作成してアクティブ化します。
左ペインの「構成」で、「アプリケーション・インスタンス」をクリックします。「アプリケーション・インスタンス」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「アプリケーション・インスタンスの作成」ページが表示されます。
それぞれの属性フィールドに、次の表に示すように値を入力します。
属性 | 値 |
---|---|
名前 | アプリケーション・インスタンスの名前を入力します。これは必須フィールドです。 |
表示名 | アプリケーション・インスタンスの表示名を入力します。これは必須フィールドです。 |
説明 | アプリケーション・インスタンスの説明を指定します。 |
切断 | チェック・ボックスを選択します。これは、アプリケーション・インスタンスが接続されていないかどうかを示すフラグです。
注意: これはUI専用のフラグであり、バックエンドでは維持されません。「リソース・オブジェクト」および「ITリソース・インスタンス」の各フィールドはバックエンドで自動的に作成されるため、このフラグをチェックすると、これらのフィールドが無効化されます。 |
図10-4に、「アプリケーション・インスタンスの作成」の属性を示します。
「保存」をクリックし、情報ダイアログ・ボックスで「OK」をクリックします。アプリケーション・インスタンスが作成され、アプリケーション・インスタンスの詳細が表示されます。
サンドボックスを公開します。
接続なしリソースのUIフォームが自動的に作成されて設定されたら、「適用」をクリックします。
アプリケーション・インスタンスに加えて、バックエンドで次のプロビジョニング・アーティファクトが自動的に作成されます。
タイプが「切断」のリソース・オブジェクト
次のパラメータ含むITリソース・タイプ定義
構成参照
コネクタ・サーバー名
アイデンティティ・ゲートウェイ名
注意: ITリソース・タイプ定義パラメータは将来使用するためのものであり、同じパラメータの値を設定する必要はありません。 |
タイプ定義のITリソース
次のフィールドを含む親プロセス・フォーム
アカウントID
パスワード
アカウント・ログイン
ITリソース
次の操作のワークフローを含むプロセス定義
アカウントのプロビジョニング
アカウントの有効化
アカウントの無効化
アカウントの失効
アカウント属性の変更
アダプタ
手動プロビジョニング
手動権限プロビジョニング
「システム管理」のUIから、カタログ同期化ジョブと呼ばれるスケジュール済ジョブを検索して実行します。
既存の接続なしリソースに対して接続なしアプリケーション・インスタンスを作成するには、「アプリケーション・インスタンスの作成」を参照してください。
注意: 「切断」オプションは、選択するとリソース・オブジェクトやITリソースなどのアーティファクトがバックエンドで作成されるため、選択を解除しておく必要があります。 |
「有効化」、「無効化」、「失効」または「プロビジョニング」の各操作に対してプロビジョニング・プロセスがトリガーされると、対応するプロセス・タスクが挿入され、手動プロビジョニング・アダプタが実行されます。このアダプタにより、即時利用可能なSOAコンポジット・プロビジョニングが実行されます。SOAヒューマン・タスクが、システム管理者にデフォルトで割り当てられます。
システム管理者はOracle Identity Self Serviceの受信箱から次のことを実行できます。
タスクの詳細を確認します。
アカウントの詳細を確認します。
データを変更して「履行」ボタンをクリックすることにより、Oracle Identity Managerのプロセス・フォーム・データを変更します。
ターゲットで操作の手動により実行します。
「完了」または「却下」をクリックすることにより、保留タスクを実行します。
割当て先が保留中の手動タスクに対応すると、コールバック・プロビジョニングのWebサービスが起動され、これにより、Oracle Identity Manager操作が継続されてアカウントが適切に更新されます。割当て先アクションに基づいたアカウント・ステータスの変更の詳細は、「手動のプロセス・タスク・アクションでのステータス変更」を参照してください。
Oracle Identity Managerは、接続なしアプリケーション・インスタンスでの次のプロビジョニング操作はサポートしていません。
パスワード操作
プロビジョニング・プロセスのカスタマイズ操作
接続なしリソースのプロセス・フォーム・フィールドが更新されると、「<FORM_NAME>が更新されました」プロセス・タスクが、プロビジョニング・プロセスに挿入されます。これにより、割当て先によって対応するターゲットにおける変更を手動で更新できるよう、手動のSOAヒューマン・タスクが生成されます。
注意: 「<FORM_NAME>が更新されました」タスクは、単一または複数のどちらのプロセス・フォーム・フィールドに対する更新であるかに関係なく挿入されます。この動作は接続リソースの動作とは異なります。また、接続なしリソースに対して、個々のプロセス・フォーム・フィールド更新タスクを構成する必要はないことに注意してください。 |
接続なしリソースの権限の管理には、次の内容が含まれます。
接続なしリソースの権限付与の構成には、次に示すように、子フォームの作成と権限の参照定義の構成が含まれます。
注意: 子フォームを作成する前に、サンドボックスを作成してアクティブ化します。 |
Oracle Identity System Administrationにアクセスします。「構成」で、「フォーム・デザイナ」をクリックし、次の手順を実行します。
「リソース・タイプ」をクリックし、接続なしリソースを検索します。
検索結果から、接続なしアプリケーション・インスタンス・フォーム名をクリックします。
「子オブジェクト」タブに移動し、「追加」をクリックして子フォームを追加します。
「名前」フィールドで子表に名前を指定し、「OK」をクリックします。
編集のために名前リンクをクリックして開きます。
「作成」をクリックします。「フィールド・タイプの選択」ダイアログ・ボックスで、「参照」を選択し、「OK」をクリックします。
権限フィールドに、次の値を指定します。
表示ラベル・フィールドに、表示名を入力します。
「名前」フィールドに、参照の名前を入力します。
次のチェック・ボックスを選択します。
検索可能
権限
「検索可能」ピックリスト
注意: 「検索可能」、「権限」および「「検索可能」ピックリスト」の各チェック・ボックスを選択して、権限フィールドを子フォーム上で作成することは必須です。 |
参照タイプの新規カスタム・フィールドを作成し、「OK」をクリックします。
「値リスト」セクションで、新しい参照タイプ作成のアイコンをクリックして、「意味」(Lookup.Laptop.appsなど)、「コード」(Lookup.Laptop.appsなど)および説明の値を次のように指定します。
「新規」をクリックして権限値を追加し、参照コードを追加します。「コード」および「意味」の各列の値は、次の形式である必要があります。
コード | 意味 |
---|---|
<ENTITTLEMENT_NAME> | <ENTITLEMENT_DESCRIPTION> |
「保存」をクリックします。「参照タイプの作成」ダイアログ・ボックスが閉じます。
「保存して閉じる」をクリックします。
「親オブジェクトに戻る」をクリックして親フォームに戻ります。
「ビューの再生成」をクリックしてUIアーティファクトおよびデータセットを再生成し、「OK」をクリックして確認します。
「ビューの再生成」ポップアップ・ウィンドウで使用できるオプションの詳細は、「フォーム・デザイナを使用したフォームの変更」を参照してください。
サンドボックスを公開します。
Oracle Identity System Administrationの「システム管理」→「スケジューラ」に戻ります。
権限リスト・スケジュール済ジョブを検索して実行します。
スケジュール済ジョブの実行が完了した後、カタログ同期化ジョブと呼ばれる別のスケジュール済ジョブを検索して実行します。
注意: プロビジョニング・プロセスのカスタマイズはサポートされていませんが、コンポジットの接続なしプロビジョニングはカスタマイズできます。 |
表10-5に、手動タスク・アクションに基づいたステータス変更の詳細を示します。
表10-5 手動のプロセス・タスク・アクションのステータス
プロビジョニング操作 | 手動タスク・アクション | プロビジョニング・アクション |
---|---|---|
プロビジョニング |
完了 |
アカウント・ステータスは「プロビジョニング済」に設定されます。 |
プロビジョニング |
却下 |
アカウント・ステータスは更新されません。 |
無効化 |
完了 |
アカウント・ステータスは「無効」に設定されます。 |
無効化 |
却下 |
アカウント・ステータスは更新されません。 |
有効化 |
完了 |
アカウント・ステータスは「有効」に設定されます。 |
有効化 |
却下 |
アカウント・ステータスは更新されません。 |
失効 |
完了 |
アカウント・ステータスは「失効」に設定されます。 |
失効 |
却下 |
アカウント・ステータスは更新されません。 |
更新 |
完了 |
操作は行われません。 |
更新 |
却下 |
操作は行われません。 |
権限の付与 |
完了 |
子表のトリガー挿入プロセス・タスクが完了すると権限ステータスが「プロビジョニング済」に設定されます。 |
権限の付与 |
却下 |
子表のトリガー挿入プロセス・タスクが取り消されると、子表のエントリが削除されます。 |
権限の失効 |
完了 |
Oracle Identity Managerから子表のエントリが削除されます。 |
権限の失効 |
却下 |
操作は行われません。 |
SOAコンポジット・プロビジョニングには、次のカスタマイズが含まれます。
手動の接続なしSOAコンポジット・プロビジョニングにはデフォルト・ルール(ManualProvisioningRule)があり、このルールによってヒューマン・タスクがシステム管理者に割り当てられます。
ペイロード(アプリケーション・インスタンス名など)に応じて、より優先度が高いカスタム・ルールをSOAコンポーザUIから作成でき、このルールに従って、手動タスク割当てをカスタマイズできます。
カスタム・ルールを追加するには:
次のURLに移動して、Oracle SOAコンポーザにアクセスします。
http://SOA_HOST:SOA_PORT/soa/composer
SOAコンポーザUIにログインして「オープン・タスク」をクリックし、「DisconnectedProvisioning_rev1.0 composite」
を選択します。
「ManualProvisioningTaskRules.rules」タブから、「編集」をクリックしてカスタム・ルールを追加します。
ルール名および条件付き割当てルールを指定して、ルールを追加します。
上矢印を使用して、カスタム・ルールをManualProvisioningRuleの上に移動します。
変更を保存してコミットします。手動プロビジョニング・ルールが追加されます。
関連項目: ルールの作成の詳細は、SOAコンポーザのドキュメントを参照してください。 |
コンポジットの即時利用可能な接続なしプロビジョニングを変更するには:
OIM_HOME/workflows/composites/DisconnectedProvisioning.zipから、ローカルのJDeveloper作業場所にコンポジットをコピーします。同じディレクトリでコンポジットを解凍し、DisconnectedProvisioningディレクトリを作成します。
デフォルト・ロールにより、JDeveloperでコンポジットを開きます。
注意: Oracle Identity Managerデプロイメントと互換性のあるバージョンのJDeveloperをインストールする必要があります。また、JDeveloperがSOAコンポジットと連携して正しく動作するよう、JDeveloperのパッチをインストールします。 |
カスタマイズの一環として、次を変更しないようにしてください。
DisconnectedProvisioning\xsd\ManualProvisioningTaskPayload.xsdで定義されたペイロード属性
ProvisioningCallbackServiceパートナリンクおよびマッピング
composite.xmlをダブルクリックしてコンポジットを開き、要件に従って変更します。
SOAコンポジットをJdeveloperからOracle SOAサーバーにデプロイします。リビジョンIDを更新しないようにして、「同じリビジョンIDで既存のコンポジットを上書きします。」オプションを選択します。
表10-6に、接続なしリソースに対するプロビジョニングやその他のタスクを実行したとき発生する可能性がある一般的な問題を示します。
表10-6 接続なしリソースのトラブルシューティング
問題 | 解決策 |
---|---|
接続なしアプリケーション・インスタンスをプロビジョニングするときに、手動タスクが割当て先に割り当てられない。 |
次のステップを実行します:
|
手動タスクの完了時に、アカウント・ステータスが変更されない。 |
次のステップを実行します:
|