Oracle® Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ 11gリリース2 (11.1.2.3.0) E61958-10 |
|
![]() 前 |
![]() 次 |
この章では、Design Consoleでのプロセス管理について説明します。内容は次のとおりです。
プロセスとは、Oracle Identity Managerでのプロビジョニングの論理ワークフローを表すメカニズムのことです。プロセス定義は複数のタスクで構成されます。プロセス・タスクは、プロセスの目的を満たすために完了する必要がある手順を表します。たとえば、プロビジョニング・プロセスでは、ユーザーまたは組織がターゲット・リソースにアクセスできるようにするためにタスクが使用されます。
図2-1に示す「プロセス定義」フォームは「プロセス管理」フォルダにあります。このフォームでは、リソース・オブジェクトに関連付けるプロビジョニング・プロセスを作成および管理できます。
図2-1では、Xellerate Organizationプロビジョニング・プロセスが作成され、同名のリソース・オブジェクトに割り当てられています。
表2-1に、「プロセス定義」フォームのフィールドを示します。
表2-1 「プロセス定義」フォームのフィールド
フィールド名 | 説明 |
---|---|
名前 |
プロセスの名前。 |
タイプ |
プロセス定義の分類タイプ。 |
オブジェクト名 |
プロセスが割り当てられるリソース・オブジェクトの名前。 |
記述フィールドのマップ |
インスタンスがリソース・オブジェクトに割り当てられた後、このボタンをクリックして、プロセス定義の識別子として使用されるフィールドを選択します。 |
レンダラ・ワークフロー |
このボタンをクリックしてWebブラウザを起動し、ワークフロー・レンダラ・ツールによって現在のワークフロー定義を表示します。 |
デフォルト・プロセス |
このチェック・ボックスでは、現在のプロセスをそれが関連付けられたリソース・オブジェクトのデフォルトのプロビジョニング・プロセスにするかどうかを指定します。 プロセスを割当て先リソース・オブジェクトのデフォルトのプロビジョニング・プロセスとして設定するには、このチェック・ボックスを選択します。チェック・ボックスを選択解除した場合、プロセスはデフォルトではなくなります。プロセス選択ルールによって選択された場合にのみ呼び出されます。 |
自動事前移入 |
このチェック・ボックスでは、カスタム・フォームのフィールドへの移入をOracle Identity Managerとユーザーのどちらに任せるかを指定します。次の2つのタイプのフォームに関係します。
自動事前移入チェック・ボックスを選択した場合、関連付けられているカスタム・フォームが表示されると、事前移入アダプタがアタッチされたフィールドにOracle Identity Managerによってデータが移入されます。 このチェック・ボックスを選択解除した場合、ツールバーの事前移入ボタンをクリックするか、手動でデータを入力することで、ユーザーがフィールドにデータを移入する必要があります。 注意: この設定は事前移入アダプタのトリガーを制御するものではありません。アダプタの実行によって得られる内容を関連するフォーム・フィールドに表示するのが、Oracle Identity Managerとユーザーのどちらかということだけを決定するものです。 事前移入アダプタの詳細は、「事前移入アダプタに関する作業」を参照してください。 注意: このチェック・ボックスは、プロセスに関連付けられるプロセス・フォームを作成し、事前移入アダプタをそのフォームとともに使用する場合にのみ関係します。 |
表名 |
プロセス定義に関連付けられているフォームを表す表の名前。 |
プロセス定義を作成するには、次の手順を実行します。
「プロセス定義」フォームを開きます。
「名前」フィールドに、プロセス定義の名前を入力します。
「タイプ」参照フィールドをダブルクリックします。
「参照」ダイアログ・ボックスが表示されたら、プロセス定義の分類タイプ(「承認」)を選択します。
「オブジェクト名」参照フィールドをダブルクリックします。
「参照」ダイアログ・ボックスが表示されたら、プロセス定義に関連付けられるリソース・オブジェクトを選択します。
オプション。プロセスを割当て先リソース・オブジェクトのデフォルトのプロビジョニング・プロセスとして設定するには、デフォルト・プロセス・チェック・ボックスを選択します。
現在のプロセス定義をデフォルトにしない場合は、手順6に進んでください。
オプション。プロビジョニング・プロセスのカスタム・フォームの表示を抑制して、フォームにデータが自動的に保存されるようにするには、「自動保存フォーム」チェック・ボックスを選択します。
この設定は、プロビジョニング・プロセスにのみ適用されます。
プロビジョニング・プロセスのカスタム・フォームを表示して、ユーザーに情報の入力を求めるには、このチェック・ボックスを選択解除します。
注意: 「自動保存フォーム」チェック・ボックスを選択した場合は、関連するカスタム・プロセス・フォームのすべてのフィールドに、アダプタが関連付けられていることを確認してください。ただし、プロセス・フォームには、プロセス・データ・フロー・マッピングまたは組織デフォルトに対するデフォルトのデータまたはオブジェクトが存在することがあります。アダプタの詳細、およびアダプタとカスタム・フォームのフィールドとのリレーションシップの詳細は、第3章「アダプタ・ファクトリの使用」を参照してください。 |
カスタム・フォームがプロセス定義に関連付けられ、このフォームに含まれるフィールドに事前移入アダプタがアタッチされている場合に、Oracle Identity Managerによってこれらのフィールドにデータが自動的に移入されるようにするには、自動事前移入チェック・ボックスを選択します。
ユーザーにこのフォームのフィールドに手動でデータを移入させる場合は(ツールバーの事前移入ボタンをクリック)、自動事前移入チェック・ボックスを選択解除します。
注意: プロセス定義にカスタム・フォームが関連付けられていないか、このフォームのフィールドに事前移入アダプタがアタッチされていない場合は、自動事前移入チェック・ボックスを選択解除してください。事前移入アダプタの詳細は、「事前移入アダプタに関する作業」を参照してください。 |
表名参照フィールドをダブルクリックします。
「参照」ウィンドウが表示されたら、プロセス定義に関連付けられているフォームを表す表を選択します。
「保存」をクリックします。
プロセス定義が作成され、「記述フィールドのマップ」ボタンが有効になります。このボタンをクリックすると、「記述フィールドのマップ」ダイアログ・ボックスが表示されます。
このウィンドウでは、プロセスのインスタンスがリソース・オブジェクトに割り当てられる際にプロセス定義の識別子として使用されるフィールド(「組織名」フィールドなど)を選択できます。このフィールドとその値は、「リコンシリエーション・マネージャ」フォームに表示されます。
注意: プロセスにカスタム・プロセス・フォームがアタッチされている場合は、そのフォーム上のフィールドもこのウィンドウに表示され、選択できます。 |
「プロセス定義」フォームを起動してプロセス定義を作成すると、このフォームのタブが有効になります。
「プロセス定義」フォームには、次のタブがあります。
それぞれのタブについて、次の各項で説明します。
このタブでは、次のことが可能です。
現在のプロセス定義を構成するプロセス・タスクの作成および変更
プロセス定義からのプロセス・タスクの削除(有効でなくなった場合)
図2-2に、「プロセス定義」フォームの「タスク」タブを示します。
図2-3に示すリコンシリエーション・フィールド・マッピング・タブでは、ターゲット・システムまたは信頼できるソースのデータ要素とOracle Identity Managerのフィールドとの間のリレーションシップを定義できます。
マッピングで選択できるのは、関連付けられているリソースの「リコンシリエーション・フィールド」タブで定義したフィールドのみです。これらのマッピングにより、リコンシリエーション・イベントでターゲット・システムからの情報がOracle Identity Managerのどのフィールドに移入されるかが決まります。ターゲット・リソースの場合(信頼できるソースではない)、このタブを使用して、どのフィールドがキー・フィールドかを示すことができます。キー・フィールドとは、「リコンシリエーション・マネージャ」フォームのプロセス一致ツリー・タブで一致を生成するために、プロセス・フォームとリコンシリエーション・イベントのどの値が同じである必要があるかを決定するものです。
各マッピングについて、次の情報が表示されます。
Oracle Identity Managerのデータとリコンサイルされるターゲット・システムまたは信頼できるソースのフィールドの名前(関連付けられているリソースの「リコンシリエーション・フィールド」タブで定義)。
フィールドに関連付けられているデータ型(関連付けられているリソースの「リコンシリエーション・フィールド」タブで定義)。
有効な値は「複数値」、「文字列」、「数値」、「日付」および「ITリソース」です。
注意: 「ITリソース」は、キー・フィールドとしてマークする必要があります。 |
信頼できるソースの場合: ユーザー検出の場合、信頼できるソース・フィールドのデータとユーザー・フォーム上のフィールドの名前のマッピング。組織検出の場合、信頼できるソース・フィールドのデータとOracle Identity Managerの「組織」フォーム上のフィールドの名前のマッピング。
信頼できるソースでユーザー検出と組織検出を実行する場合は、組織検出を先に実行する必要があります。
ターゲット・リソースの場合: ターゲット・リソース・フィールドのデータがマップされる、リソースのカスタム(プロビジョニング)プロセス・フォーム上のフィールドの名前。
ターゲット・リソースの場合: フィールドがこのターゲット・リソースのリコンシリエーションにおけるキー・フィールドかどうかを示すインジケータ。
リコンシリエーション・イベント・データを照合するプロビジョニング・プロセスの場合は、プロセス・フォームのキー・フィールド値がリコンシリエーション・イベントのものと一致する必要があります。
注意: 効率的な重複権限または子データ検証を有効にするように、リコンシリエーション・フィールド・マッピングの子データの権限属性およびキー属性の両方を構成することをお薦めします。権限または子データの重複検証の詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』の権限または子データの重複検証に関する説明を参照してください。 |
ユーザー・アカウント・ステータスのリコンシリエーションを構成するには、次の操作を実行する必要があります。
信頼できるソースの場合: ターゲットのユーザーのステータスを表すリコンシリエーション・フィールド(「ステータス」
など)をそれに対応する信頼できるリソース・オブジェクトに作成する必要があります。このフィールドの値は、「有効」
または「無効」
のいずれかにする必要があります。このリコンシリエーション・フィールドは、対応するプロセス定義のユーザー属性status
にマップする必要があります。
ターゲット・リソースの場合: ターゲットのリソースのステータスを表すリコンシリエーション・フィールド(「ステータス」
など)をそれに対応するリソース・オブジェクトに作成する必要があります。このリコンシリエーション・フィールドは、対応するプロセス定義のプロセス属性OIM_OBJECT_STATUS
にマップする必要があります。ターゲット・リソース・リコンシリエーションでは、次のステータスがサポートされています。
失効
プロビジョニング済
準備完了
情報の指定
有効
なし
待機中
プロビジョニング
無効
ターゲット・リソースまたは信頼できるソースのフィールド(関連付けられているリソース定義の「リコンシリエーション・フィールド」タブで定義)とOracle Identity Managerの該当するフィールドをマップすることができます。これらのマッピングにより、リコンシリエーション・イベントでOracle Identity Managerのどのフィールドが更新されるかが決まります。これらのマッピングは、「リコンシリエーション・マネージャ」フォームで次のいずれかをクリックしたときに行われます。
「ユーザーの作成」または「組織の作成」ボタン
「一致したユーザー」または「一致した組織」タブにある「リンク」ボタン
プロセス一致ツリー・タブにあるリンクの確立ボタン
信頼できるソースのユーザー検出では、ユーザー・リソースからユーザー・プロビジョニング・プロセスのフィールドにマップされるフィールドを定義します。信頼できるソース・フィールドのマップ先のフィールド(ユーザー属性)は、「ユーザー」フォームから導出されます。
信頼できるソースの組織検出では、Oracle Identity Manager組織リソースからOracle Identity Manager組織プロビジョニング・プロセスのフィールドにマップされるフィールドを定義します。信頼できるソース・フィールドのマップ先のフィールド(組織属性)は、「組織」フォームから導出されます。
関連付けられているリソースのプロビジョニング・プロセス定義にアクセスし、リコンシリエーション・フィールド・マッピング・タブを選択した後、次の各項で説明するの2つの手順のいずれかを使用してください。
単一値フィールドのマップ
単一値フィールドをマップするには、次の手順を実行します。
「フィールド・マップの追加」をクリックします。
リコンシリエーション・フィールド・マッピングの追加ダイアログ・ボックスが表示されます。
「フィールド名」フィールドのメニューから、マップするターゲット・システムのフィールドを選択します。
Oracle Identity Managerで、関連付けられている「リソース・オブジェクト」フォームの入力内容に基づいて、このフィールドのフィールド・タイプが自動的に設定されます。
信頼できるソースの場合:
「ユーザー属性」メニューから値を選択し、「OK」をクリックします。手順4に進みます。
ターゲット・リソースの場合:
「プロセス・データ・フィールド」をダブルクリックします。「参照」ダイアログ・ボックスで正しいマッピングを選択し、「OK」をクリックします。
信頼できるソースのマッピングを定義している場合は、手順5に進みます。
ターゲット・リソースの場合にのみ、リコンシリエーション照合用キー・フィールド・チェック・ボックスを設定します。このチェック・ボックスを選択した場合、Oracle Identity Managerによって、プロビジョニング・プロセス・フォームのこのフィールドの値が、リコンシリエーション・イベントのフィールドの値と一致しているかどうかが評価されます。一致したすべてのプロセスが「リコンシリエーション・マネージャ」フォームのプロセス一致ツリー・タブに表示されます。このチェック・ボックスを選択解除した場合、Oracle Identity Managerでのプロセス照合で、このフィールドの値がプロセス・フォームやリコンシリエーション・イベントと一致する必要はありません。
注意: フィールドをキー・フィールドとして設定するには、該当するリソースのオブジェクト・リコンシリエーション・タブで必須に設定されている必要があります。 |
「保存」をクリックします。
選択したフィールドのマッピングは、ターゲット・リソースまたは信頼できるソースから次にリコンシリエーション・イベントを受け取ったときに適用されます。
複数値フィールドのマップ(ターゲット・リソースの場合のみ)
複数値フィールドをマップするには、次の手順を実行します。
「表マップの追加」をクリックします。
リコンシリエーション表マッピングの追加ダイアログ・ボックスが表示されます。
「フィールド名」フィールドのメニューから、マップするターゲット・システムの複数値フィールドを選択します。
Oracle Identity Managerで、関連付けられている「リソース・オブジェクト」フォームの入力内容に基づいて、このフィールドのフィールド・タイプが自動的に設定されます。
表名メニューから、ターゲット・リソースのプロセス・フォームで定義した子表を選択します。
プロセス・データ・フィールドをダブルクリックし、「参照」ダイアログ・ボックスで正しいマッピングを選択し、「OK」をクリックします。
保存して、リコンシリエーション表マッピングの追加ダイアログ・ボックスを閉じます。
マップしたばかりの複数値フィールドを右クリックし、表示されるメニューから「プロパティ・フィールド・マップの定義」を選択します。
マップ対象のコンポーネント(子)フィールドを選択します。
Oracle Identity Managerで、関連付けられている「リソース・オブジェクト」フォームの入力内容に基づいて、このフィールドのフィールド・タイプが自動的に設定されます。
「プロセス・データ・フィールド」フィールドをダブルクリックします。
「参照」ダイアログ・ボックスで正しいマッピングを選択し、「OK」をクリックします。
リコンシリエーション照合用キー・フィールド・チェック・ボックスを設定します。
このチェック・ボックスを選択した場合、Oracle Identity Managerによって、プロビジョニング・プロセスの子フォームのフィールド値とリコンシリエーション・イベントのフィールド値が比較されます。一致したすべてのプロセスが「リコンシリエーション・マネージャ」フォームのプロセス一致ツリー・タブに表示されます。このチェック・ボックスを選択解除した場合、プロセス照合で、このフィールドの値がプロセス・フォームやリコンシリエーション・イベントと一致する必要はありません。各複数値フィールドの少なくとも1つのコンポーネント(子)フィールドがキー・フィールドとして設定されていることを確認してください。これにより、プロセス一致ツリー・タブで生成される一致の質が向上します。
注意: キー・フィールドは、該当するリソースのオブジェクト・リコンシリエーション・タブで必須に設定されている必要があります。 |
「保存」をクリックします。
選択したフィールドのマッピングは、ターゲット・リソースから次にリコンシリエーション・イベントを受け取ったときに適用されます。
この手順は、Oracle Identity Managerのフィールドとターゲット・システムまたは信頼できるソースのフィールド(関連付けられているリソース定義の「リコンシリエーション・フィールド」タブで定義)の間に確立されているマッピングを削除する際に使用します。
マッピングを削除するには、次の手順を実行します。
関連付けられているリソースのプロビジョニング・プロセス定義にアクセスします。
リコンシリエーション・フィールド・マッピング・タブを選択します。
削除対象のフィールド・マッピングを選択します。
「マップの削除」をクリックします。
選択したフィールドのマッピングが削除されます。
プロセス定義のプロセス・タスクを変更するには、その行ヘッダーをダブルクリックします。プロセス・タスクに関するその他の情報を含むタスクの編集ウィンドウが表示されます。
タスクの編集ウィンドウには、次のタブがあります。
注意: Xellerateユーザー・プロセス定義は変更しないでください。 |
このタブでは、変更対象のタスクに関する概要情報を設定できます。この例では、Solaris環境にユーザーを作成するために「ユーザーの作成」タスクが使用されています。
表2-2に、「一般」タブのフィールドを示します。
表2-2 「一般」タブのフィールド
フィールド名 | 説明 |
---|---|
タスク名 |
プロセス・タスクの名前。 |
タスクの説明 |
プロセス・タスクに関する説明。 |
期間 |
現在のプロセス・タスクの予定完了時刻(日、時、分)。 |
条件付き |
このチェック・ボックスでは、プロセスに現在のプロセス・タスクを追加するために、ある条件を満たす必要があるかどうかを指定します。 条件が満たされないとプロセスにプロセス・タスクが追加されないようにするには、このチェック・ボックスを選択します。 条件が満たされなくてもプロセスにプロセス・タスクが追加されるようにするには、このチェック・ボックスを選択解除します。 |
完了に必須 |
このチェック・ボックスでは、プロセスを完了するのに、現在のプロセス・タスクの完了を必須とするかどうかを指定します。 プロセス・タスクのステータスが「完了」にならないとプロセスを完了できないようにするには、このチェック・ボックスを選択します。 プロセス・タスクのステータスがプロセスの完了ステータスに影響しないようにするには、このチェック・ボックスを選択解除します。 |
一定期間 |
適用外 |
タスクの結果 |
このボックスでは、タスクに関連付けるプロセス・アクション(無効化や有効化など)を選択します。プロセスでは、リソースへのユーザーのアクセスを有効化または無効化できます。無効化アクションを選択すると、無効化アクションに関連付けられているすべてのタスクが挿入されます。 注意: プロセス・タスクを特定のプロセス・アクションに関連付けない場合は、ボックスから「無効」を選択してください。 |
手動挿入不可 |
このチェック・ボックスでは、現在のプロセス・タスクをユーザーがプロセスに手動で追加できるようにするかどうかを指定します。 プロセスにプロセス・タスクを手動で追加できないようにするには、このチェック・ボックスを選択します。 ユーザーがプロセスにプロセス・タスクを追加できるようにするには、このチェック・ボックスを選択解除します。 |
保留中の取消しを許可 |
このチェック・ボックスでは、ステータスが「保留」のときにプロセス・タスクの取消しを許可するかどうかを指定します。 ステータスが「保留」のときにプロセス・タスクの取消しを許可するには、このチェック・ボックスを選択します。 ステータスが「保留」のときにプロセス・タスクの取消しを禁止するには、このチェック・ボックスを選択解除します。 |
複数のインスタンスを許可 |
このチェック・ボックスでは、現在のプロセスにプロセス・タスクを複数回挿入できるようにするかどうかを指定します。 プロセスにプロセス・タスクのインスタンスを複数追加できるようにするには、このチェック・ボックスを選択します。 現在のプロセスにプロセス・タスクを1回のみ追加できるようにするには、このチェック・ボックスを選択解除します。 |
再試行期間(分) |
このフィールドでは、プロセス・タスクが却下された場合に、Oracle Identity Managerによってそのタスクの新規インスタンス(ステータスは「保留」)が挿入されるまでの間隔を指定します。 再試行期間(分)フィールドの値が30の場合、「ユーザーの作成」プロセス・タスクが却下されると、Oracle Identity Managerによって30分後にこのタスクの新規インスタンスが追加され、「保留」ステータスが割り当てられます。 注意: このフィールドに値を指定する場合は、次の内容を確認する必要があります。
|
再試行回数 |
却下されたタスクがOracle Identity Managerによって再試行される回数を指定します。「再試行回数」フィールドの値が5の場合、「ユーザーの作成」プロセス・タスクが却下されると、Oracle Identity Managerによってこのタスクの新規インスタンスが追加され、「保留」ステータスが割り当てられます。このプロセス・タスクが5回目に却下されると、それ以降、新規インスタンスは挿入されません。 |
子表/トリガー・タイプ |
これらのボックスでは、現在のプロセスに関連付けられているカスタム・フォームの子表(「プロセス定義」フォームの表名フィールドに表示)に対してOracle Identity Managerによって実行されるアクションを指定します。 子表ボックスでは、Oracle Identity Managerによって実行されるアクションの対象となるカスタム・フォームの子表を選択します。 トリガー・タイプ・ボックスでは、Oracle Identity Managerによって子表に対して実行されるアクションを指定します。次のアクションがあります。
注意: カスタム・プロセス・フォームに子表が関連付けられていない場合、子表ボックスは空になります。また、トリガー・タイプ・ボックスはグレー表示になります。 |
オフライン |
このフラグは、ユーザー属性伝播タスクにのみ適用されます。ユーザー属性伝播タスクに対してフラグを設定すると、タスクの挿入が非同期になります。 |
プロセス・タスクの一般情報を変更するには、次の手順を実行します。
変更対象のタスクの行ヘッダーをダブルクリックします。
タスクの編集ダイアログ・ボックスが表示されます。
「一般」タブをクリックします。
「説明」フィールドに、プロセス・タスクに関する説明を入力します。
オプション。期間領域に、プロセス・タスクの予定完了時刻(日、時、分)を入力します。
ある条件を満たさないとプロセス・タスクが「プロセス・インスタンス」に追加されないようにするには、条件付きチェック・ボックスを選択します。それ以外の場合は、手順6に進みます。
注意: 条件付きチェック・ボックスを選択した場合は、タスクをプロセスに追加するための必須条件を指定する必要があります。 |
プロセスの完了ステータスがプロセス・タスクの完了ステータスに依存するようにするには、完了に必須チェック・ボックスを選択します。
それにより、プロセス・タスクのステータスが「完了」にならないと、プロセスを完了できなくなります。
プロセス・タスクのステータスがプロセスの完了ステータスに影響しないようにする場合は、手順7に進みます。
現在実行中のプロセスのインスタンスに、ユーザーが手動でプロセス・タスクを追加できないようにするには、「手動挿入不可」チェック・ボックスを選択します。それ以外の場合は、手順8に進みます。
プロセス・タスクのステータスが「保留」のときにそのプロセス・タスクの取消しをユーザーに許可するには、「保留中の取消しを許可」チェック・ボックスを選択します。保存しない場合は、手順9に進みます。
このタスクを単一のプロセス・インスタンスに複数回挿入できるようにするには、「複数のインスタンスを許可」チェック・ボックスを選択します。それ以外の場合は、ステップ10に進みます。
「タスクの結果」ボックスをクリックします。
カスタム・メニューが表示されたら、次のいずれかを選択します。
アプリケーションに対するプロセスまたはアクセスの有効化。有効化機能を使用してリソースを再アクティブ化した場合、この結果が設定されているすべてのタスクがプロセスに挿入されます。このオプションを選択した場合は、「複数のインスタンスを許可」チェック・ボックスも選択する必要があります。
アプリケーションに対するプロセスまたはアクセスの無効化。無効化機能を使用してリソースを非アクティブ化した場合、この結果が設定されているすべてのタスクがプロセスに挿入されます。このオプションを選択した場合は、「複数のインスタンスを許可」チェック・ボックスも選択する必要があります。
アプリケーションに対するプロセスまたはアクセスの失効。リソースが失効すると、プロビジョニング・プロセス内の既存のタスクを取り消すことなく失効ワークフローが実行されます。
無効。これは、すべてのタスクに関連付けられているデフォルトのプロセス・アクションです。このオプションを選択した場合、条件付きでないタスクは、標準のプロビジョニングの実行時にのみ挿入されます。
オプション。プロセス・タスクが「却下」の場合、Oracle Identity Managerによってこのプロセス・タスクの新規インスタンス(ステータスは「保留」)が挿入されるようにすることができます。
そのためには、再試行期間(分)フィールドに値を入力します。これは、Oracle Identity Managerによってこのプロセス・タスク・インスタンスが追加されるまでの待機時間(分単位)です。
「再試行回数」フィールドに、却下されたタスクがOracle Identity Managerによって再試行される回数を入力します。たとえば、「再試行回数」フィールドに3と表示されているとします。タスクが却下されると、Oracle Identity Managerによってこのタスクの新規インスタンスが追加され、「保留」ステータスが割り当てられます。このプロセス・タスクが4回目に却下されると、それ以降、新規インスタンスは挿入されません。
注意: 「再試行期間」および「再試行回数」は相互に関連しているため、一方を選択した場合は、もう一方のオプションのパラメータも指定する必要があります。 |
子表ボックスでは、Oracle Identity Managerによって実行されるアクションの対象となるカスタム・フォームの子表を選択します。
トリガー・タイプ・ボックスでは、Oracle Identity Managerによって子表に対して実行されるアクションを指定します。次のアクションがあります。
挿入: 子表の指定した列に新しい値が追加されます。
更新: 子表の対応する列の既存の値が変更されます。
削除: 子表の指定した列から値が削除されます。
注意: カスタム・プロセス・フォームに子表が関連付けられていない場合、子表ボックスは空になります。また、トリガー・タイプ・ボックスはグレー表示になります。 |
「保存」をクリックします。
プロセス・タスクの概要情報に対する変更には、「一般」タブで行った変更が反映されます。
Lookup.USR_PROCESS_TRIGGERSでユーザー属性が定義されている場合、その属性が変更されるたびに、プロビジョニングされた各リソースに対して対応するプロセス・タスクがトリガーされます。これは、「名」、「姓」、「表示名」(USR_DISPLAY_NAME)ユーザー属性およびカスタム・ユーザー属性に当てはまります。ただし、Lookup.USR_PROCESS_TRIGGERSフィールドのUSR_STATUS、USR_LOCKED、USR_LOCKED_ONおよびUSR_MANUALLY_LOCKEDについては、アタッチされているプロセス・タスクはトリガーされません。
次の各項では、Lookup.USR_PROCESS_TRIGGERSフィールドのプロセス・タスクをトリガーする方法について説明します。
USR_STATUS属性の場合
USR_STATUS属性はOracle Identity Managerで個別に処理されるため、この属性については、Lookup.USR_PROCESS_TRIGGERSによってタスクを実行することはできません。この属性は、ユーザーを有効化、無効化または削除すると変更されます。これらの操作は、対応するプロセス・タスクが「タスクの結果」設定に従って開始されるため、プロビジョニングされたリソースに特別な結果をもたらします(表2-2 「「一般」タブのフィールド」を参照)。これらの3つの操作については、Lookup.USR_PROCESS_TRIGGERSは使用されません。したがって、ステータスが変わったときに、次の手順に従ってプロセス・タスクを実行します。
ステータスが「無効」から「有効」に遷移した場合:
「プロセス定義」フォームで、「ユーザーの有効化」
という名前のプロセス・タスクを作成します。
タスクの編集ウィンドウを開き、「一般」タブをクリックします。
「タスクの結果」リストから「アプリケーションに対するプロセスまたはアクセスの有効化」を選択します。
「条件付き」を選択し、タスクをプロセスに追加するための必須条件を指定します。
ステータスが「有効」から「無効」に遷移した場合:
「プロセス定義」フォームで、「ユーザーの無効化」
という名前のプロセス・タスクを作成します。
タスクの編集ウィンドウを開き、「一般」タブをクリックします。
「タスクの結果」リストから「アプリケーションに対するプロセスまたはアクセスの有効化」を選択します。
「条件付き」を選択し、タスクをプロセスに追加するための必須条件を指定します。
ステータスが「有効」/「無効」/「プロビジョニング済」から「失効」に遷移した場合:
「プロセス定義」フォームで、「ユーザーの削除」
という名前のプロセス・タスクを作成します。
その後、このタスクを「ユーザーの作成」タスク(通常は無条件でユーザーを作成するタスク)の取消しタスクとして設定します。
「条件付き」を選択し、タスクをプロセスに追加するための必須条件を指定します。
注意: Oracle Identity Managerユーザーが削除されると、各リソースで完了したそれぞれのタスクに対して、Oracle Identity Managerで取消しタスクの実行が試みられます。 |
USR_LOCKED、USR_LOCKED_ON、USR_MANUALLY_LOCKED属性の場合
ロック操作とロック解除操作は、Oracle Identity Managerで個別の編成として処理されます。編成は次のように行います。
entity-type="User" operation="LOCK"
または
entity-type="User" operation="UNLOCK"
Lookup.USR_PROCESS_TRIGGERSの評価を行うイベント・ハンドラは次のとおりです。
oracle.iam.transUI.impl.handlers.TriggerUserProcesses
これは、次のユーザー編成でのみトリガーされます。
MODIFY: 一般フィールドの場合
CHANGE_PASSWORD、RESET_PASSWORD: USR_PASSWORD伝播の場合
ENABLE、DISABLE、DELETE: プロセス・タスクの実行を処理する場合
ロック/ロック解除操作の場合、TriggerUserProcessesイベント・ハンドラはトリガーされません。したがって、ロック/ロック解除操作によって変更された属性に対しては、Lookup.USR_PROCESS_TRIGGERSはチェックされません。
これらのフィールドが変更されたときにこれらの操作のカスタム・コードを実行する場合は、イベント・ハンドラを作成し、この項で説明した編成に登録できます。
統合タブでは、次のことが可能です。
イベント・ハンドラまたはタスク・アダプタをアタッチすることでプロセス・タスクを自動化します。
タスク・アダプタの変数をマップすることで、アダプタがトリガーされたときに、Oracle Identity Managerから適切な情報が渡されるようにします。これは、プロセス・タスクのステータスが「保留」の場合に発生します。
アダプタまたはイベント・ハンドラがプロセス・タスクに適用できなくなった場合に、アダプタ/イベント・ハンドラとプロセス・タスクの間のリンクを解除します。
たとえば、adpSOLARISCREATEUSERアダプタが「ユーザーの作成」プロセス・タスクにアタッチされているとします。このアダプタには9つのアダプタ変数があり、そのすべてが適切にマップされています(各変数名の前にY
が付加されています)。
注意:
|
次の手順では、プロセス・タスクにアダプタまたはイベント・ハンドラを割り当てる方法について説明します。
プロセス・タスクにアダプタまたはイベント・ハンドラを割り当てるには、次の手順を実行します。
イベント・ハンドラまたはアダプタを割り当てるプロセス・タスクの行ヘッダーをダブルクリックします。
タスクの編集ウィンドウが表示されます。
統合タブをクリックします。
「追加」をクリックします。
図2-4に示すように、ハンドラの選択ダイアログ・ボックスが表示されます。
プロセス・タスクにイベント・ハンドラを割り当てるには、「システム」オプションを選択します。
プロセス・タスクにアダプタを追加するには、「アダプタ」オプションを選択します。プロセス・タスクに割り当てることができるイベント・ハンドラまたはアダプタのリストが「ハンドラ名」リージョンに表示されます。
プロセス・タスクに割り当てるイベント・ハンドラまたはアダプタを選択します。
ハンドラの選択ウィンドウのツールバーで、「保存」をクリックします。
「確認」ダイアログ・ボックスが表示されます。
「OK」をクリックします。
イベント・ハンドラまたはアダプタがプロセス・タスクに割り当てられます。
注意: 親フォーム・フィールドに対する変更に関連付けられているタスクをトリガーするには、タスクの名前が「更新されたfield 」になっている必要があります。ここで、field は親フォーム・フィールドの名前です。タスクの名前がこの表記規則に従っていない場合は、フィールドが更新されてもタスクはトリガーされません。 |
アダプタ変数をマップするには、次の手順を実行します。
マップ対象のアダプタ変数を選択します。
マップをクリックします。
変数のデータ・マッピング・ウィンドウが表示されます。
「マップ先」、「修飾子」、「ITアセット・タイプ」、「ITアセット・プロパティ」、「リテラル値」および「古い値」の各フィールドを指定します。
注意: 「ITアセット・タイプ」および「ITアセット・プロパティ」は、「マップ先」の操作で「ITリソース」を選択した場合のみ表示されます。「リテラル値」フィールドは、「マップ先」で「リテラル」を選択した場合のみ表示されます。「古い値」チェック・ボックスは、「マップ先」で「組織定義」または「ユーザー定義」を選択した場合のみ有効になります。 |
変数のデータ・マッピング・ウィンドウのツールバーで、「保存」をクリックします。
「閉じる」をクリックします。
アダプタ変数のマッピング・ステータスが「N」
から「Y」
に変わります。これは、アダプタ変数がマップされたことを示します。
タスク依存性タブでは、プロセスにおけるプロセス・タスクの論理フローを決定できます。このタブでは、次のことが可能です。
先行タスクをプロセス・タスクに割り当てます。
これらのタスクのステータスが「完了」になってからでないと、Oracle Identity Managerまたはユーザーは現在のプロセス・タスクをトリガーできません。
依存タスクをプロセス・タスクに割り当てます。
現在のプロセス・タスクのステータスが「完了」になってからでないと、Oracle Identity Managerまたはユーザーはこれらのタスクをトリガーできません。
先行タスクの完了ステータスと現在のタスクのトリガーに関係がなくなるように、先行タスクと現在のタスクの間のリンクを解除します。
現在のタスクの完了ステータスと依存タスクのトリガーに関係がなくなるように、現在のタスクと依存タスクの間のリンクを解除します。
たとえば、「ユーザーの作成」プロセス・タスクには、先行タスクはありません。タスクがプロセスに挿入されると(関連付けられているリソースがリクエストされた場合など)、Oracle Identity Managerによって常にこのタスクがトリガーされます。「ユーザーの作成」プロセス・タスクには、7つの依存タスクがあります。このプロセス・タスクが完了するまで、各依存タスクのステータスは「待機中」になります。このタスクのステータスが「完了」になると、これらのプロセス・タスクのそれぞれに「保留」ステータスが割り当てられ、Oracle Identity Managerでそれらをトリガーできるようになります。
プロセス・タスクに先行タスクを割り当てるには、次の手順を実行します。
先行タスクを割り当てるプロセス・タスクの行ヘッダーをダブルクリックします。
タスクの編集ウィンドウが表示されます。
タスク依存性タブをクリックします。
先行タスク・リージョンで、「割当て」をクリックします。
「割当て」ウィンドウが表示されます。
このウィンドウで、先行タスクを選択し、それをプロセス・タスクに割り当てます。
「OK」をクリックします。
先行タスクがプロセス・タスクに割り当てられます。
プロセス・タスクから先行タスクを削除するには、次の手順を実行します。
削除対象の先行タスクを選択します。
先行タスク・リージョンで、「削除」をクリックします。
先行タスクがプロセス・タスクから削除されます。
「レスポンス」タブでは、次のことが可能です。
特定のプロセス・タスクの実行と同時に受け取ることができるレスポンス・コードを定義します。レスポンス・コードを使用して、ターゲット・システム上の特定の条件を表すことができます。
このプロセス・タスクの実行時にレスポンス・コードを受け取った場合に開始される条件付きタスクを定義します。これらのタスクは生成済タスクと呼ばれます。
プロセス・タスクからレスポンスを削除します。
プロセス・タスクから生成済タスクを削除します。
たとえば、「ユーザーの作成」プロセス・タスクが完了したときに、SUCCESS
レスポンスがアクティブになります。このレスポンスにより、「ユーザーが正常に作成されました」というメッセージを含むダイアログ・ボックスが表示されます。また、Oracle Identity Managerによって「ユーザーの有効化」プロセス・タスクがトリガーされます。
注意: デフォルトでは、各プロセス・タスクの却下に対しては不明レスポンスが定義されています。したがって、システム管理者がプロセス・タスクにレスポンスを追加しない場合でも、このタスクが却下されると、ユーザーにはダイアログ・ボックスでエラー・メッセージが通知されます。 |
プロセス・タスクにレスポンスを追加するには、次の手順を実行します。
レスポンスを追加するプロセス・タスクの行ヘッダーをダブルクリックします。
タスクの編集ウィンドウが表示されます。
「レスポンス」タブをクリックします。
「レスポンス」リージョンで、「追加」をクリックします。
空白行が「レスポンス」リージョンに表示されます。
「レスポンス」フィールドに情報を入力します。
このフィールドには、レスポンス・コード値が含まれます。このフィールドでは、大文字/小文字が区別されます。
「説明」フィールドに情報を入力します。このフィールドには、レスポンスに関する説明が含まれます。
プロセス・タスクによってレスポンスがトリガーされると、この情報がタスク情報ダイアログ・ボックスに表示されます。
「ステータス」参照フィールドをダブルクリックします。
「参照」ウィンドウが表示されたら、タスク・ステータス・レベルを選択します。レスポンス・コードを受け取ると、タスクがこのステータスに設定されます。
「保存」をクリックします。
追加したレスポンスに、入力した設定が反映されるようになります。
プロセス・タスクからレスポンスを削除するには、次の手順を実行します。
削除するレスポンスを選択します。
「レスポンス」リージョンで、「削除」をクリックします。
レスポンスがプロセス・タスクから削除されます。
注意: レスポンスが既存のものであっても、新しく追加されたものであっても、プロビジョニング・インスタンスに対して呼び出されるプロセス・タスクからはレスポンスを削除できません。ただし、プロセス・タスクがどのプロビジョニング・インスタンスに対しても呼び出されない場合は、レスポンスを削除できます。 |
プロセス・タスクに生成済タスクを割り当てるには、次の手順を実行します。
生成済タスクを割り当てるプロセス・タスクの行ヘッダーをダブルクリックします。
タスクの編集ウィンドウが表示されます。
「レスポンス」タブをクリックします。
生成済タスクを割り当てるレスポンス・コードを選択します。
生成するタスク・リージョンで、「割当て」をクリックします。
「割当て」ウィンドウが表示されます。
このウィンドウで、生成済タスクを選択し、それをプロセス・タスク・レスポンスに割り当てます。
「OK」をクリックします。
生成済タスクがプロセス・タスクに割り当てられます。
リソース・オブジェクトには、ユーザーやアプリケーションへのリソースのプロビジョニングに使用するデータが含まれます。
また、リソース・オブジェクトには、事前定義されたプロビジョニング・ステータスがあり、リソース・オブジェクトがターゲットのユーザーや組織にプロビジョニングされるのに応じて、そのライフサイクルを通じて様々なステータスを表します。
注意: プロビジョニング・ステータスは、「リソース・オブジェクト」フォームのステータスの定義タブに定義されています。 |
リソース・オブジェクトのプロビジョニング・ステータスは、関連付けられているプロビジョニング・プロセスのステータス、およびそれらのプロセスを構成するタスクのステータスによって決まります。このため、プロセス・タスクのステータスとその割当て先リソース・オブジェクトのプロビジョニング・ステータスの間にリンクを確立する必要があります。
タスクとオブジェクトのステータス・マッピング・タブを使用して、このリンクを作成します。また、この接続が不要になったり、プロセス・タスクのステータスをリソース・オブジェクトの別のプロビジョニング・ステータスに関連付ける場合は、その時点で存在するリンクを解除する必要があります。
この例では、プロセス・タスクのステータスとリソース・オブジェクトのプロビジョニング・ステータスの間に5つのマッピングがあります。「ユーザーの作成」プロセス・タスクのステータスが「完了」
になると、関連付けられているリソース・オブジェクトには「プロビジョニング済」
というプロビジョニング・ステータスが割り当てられます。ただし、このタスクが取り消されると、そのリソース・オブジェクトのプロビジョニング・ステータスは「失効」
になります。「なし」
は、このステータスがリソース・オブジェクトのプロビジョニング・ステータスに何の影響もないことを示します。
次の各項では、プロビジョニング・ステータスにプロセス・タスクのステータスをマップする方法、およびプロビジョニング・ステータスからプロセス・タスクのステータスをマップ解除する方法について説明します。
プロビジョニング・ステータスにプロセス・タスクのステータスをマップするには、次の手順を実行します。
ステータスをリソース・オブジェクトのプロビジョニング・ステータスにマップするプロセス・タスクの行ヘッダーをダブルクリックします。
タスクの編集ウィンドウが表示されます。
タスクのオブジェクト・ステータス・マッピング・タブをクリックします。
目的のプロセス・タスクのステータスを選択します。
「オブジェクト・ステータス」参照フィールドをダブルクリックします。
「参照」ウィンドウが表示されたら、プロセス・タスクのステータスをマップするリソース・オブジェクトのプロビジョニング・ステータスを選択します。
「OK」をクリックします。
選択したプロビジョニング・ステータスがタスクとオブジェクトのステータス・マッピング・タブに表示されます。
「保存」をクリックします。
プロセス・タスクのステータスがプロビジョニング・ステータスにマップされます。
プロビジョニング・ステータスからプロセス・タスクのステータスをマップ解除するには、次の手順を実行します。
目的のプロセス・タスクのステータスを選択します。
「オブジェクト・ステータス」参照フィールドをダブルクリックします。
「参照」ウィンドウが表示されたら、「なし」を選択します。「なし」は、このステータスがリソース・オブジェクトのプロビジョニング・ステータスに何の影響もないことを示します。
「OK」をクリックします。
プロビジョニング・ステータス「なし」がタスクとオブジェクトのステータス・マッピング・タブに表示されます。
「保存」をクリックします。
プロセス・タスクのステータスがリソース・オブジェクトのプロビジョニング・ステータスからマップ解除されます。