1. Database User Managementアプリケーションの構成
  2. MySQL用のDatabase User Managementコネクタの構成

4 MySQL用のDatabase User Managementコネクタの構成

アプリケーションの作成時には、コネクタがOracle Identity Governanceをターゲット・システムに接続し、コネクタ操作を実行するために使用する接続関連パラメータを構成する必要があります。また、Oracle Identity Governance内のプロセス・フォーム・フィールドとターゲット・システムの列の間の属性マッピング、事前定義済の相関ルール、状況とレスポンス、およびリコンシリエーション・ジョブを表示および編集できます。

4.1 MySQLの基本構成パラメータ

これらは、Oracle Identity GovernanceがMySQLに接続するために必要とする接続関連パラメータです。

表4-1 MySQLの基本構成パラメータ

パラメータ 必須 説明

Connection Properties

いいえ

ターゲット・システム・データベースの接続プロパティを入力します。

Connection URL

はい

MySQLデータベースへの接続URLを入力します。

デフォルト値: jdbc:mysql://%h:%p/database

Connector Server Name

いいえ

「コネクタ・サーバー」タイプのITリソースを作成した場合、その名前を入力します。

Database Drivers

はい

このパラメータには、JDBCドライバ・クラスの名前が保持されます。

デフォルト値: com.mysql.jdbc.Driver

Database Type

はい

このパラメータは、データベース・タイプ(OracleやMySQLなど)を識別し、各スクリプトをロードするために使用されます。

Password

はい

コネクタ操作に使用するターゲット・システム・アカウントのユーザー名のパスワードを入力します。

User

はい

コネクタ操作に使用するターゲット・システム・アカウントのユーザー名を入力します。

サンプル値: root

4.2 MySQLの拡張設定パラメータ

これらは、リコンシリエーション操作およびプロビジョニング操作時にコネクタが使用する構成関連エントリです。

ノート:

指定されていないかぎり、表内のパラメータはターゲット・アプリケーションと認可アプリケーションの両方に対して適用できます。

表4-2 MySQLの拡張設定パラメータ

パラメータ 必須 説明

Connector Name

はい

このパラメータには、コネクタ・クラスの名前が保持されます。

値: org.identityconnectors.dbum.DBUMConnector

Connector Package Name

はい

このパラメータには、コネクタ・バンドル・パッケージの名前が保持されます。

値: org.identityconnectors.dbum

Connector Package Version

はい

このパッケージには、コネクタ・バンドル・クラスのバージョンが保持されます。

値: 1.0.1116

disableValuesSet

いいえ

ユーザーの無効ステータスに使用できる値を入力します。

デフォルト値: "EXPIRED & LOCKED"、"LOCKED"、"EXPIRED"

Reserve Keywords

いいえ

予約されているためにコネクタ・アーティファクト名で使用できない語のリストを入力します

デフォルト値: "DROP"、"INSERT"、"ALTER"、"CREATE"、"DELETE"、"UPDATE"、"GRANT"、"TRUNCATE"、"EXEC"、"TEMPORARY"、"TABLESPACE"、"DEFAULT"、"QUOTA"、"PROFILE"、"IDENTIFIED"、"EXTERNALLY"、"AS"、"GLOBALLY"、"REVOKE"、"ACCOUNT"、"UNLOCK"、"LOCK"、"CASCADE"

ノート: このパラメータを使用できるのは、ターゲット・アプリケーションを作成する場合のみです。

Unsupported Character Set

いいえ

コネクタ・アーティファクトの名前で使用できない文字を入力します

デフォルト値: "&"、"--"、"~"、"`"、"\"

ノート: このパラメータを使用できるのは、ターゲット・アプリケーションを作成する場合のみです。

Pool Max Idle

いいえ

プール内のアイドル状態のオブジェクトの最大数。

サンプル値: 10

Pool Max Size

いいえ

プールで作成できる接続の最大数。

サンプル値: 10

Pool Max Wait

いいえ

プールが空きオブジェクトを操作に使用できるようになるまで待機する必要のある最大時間(ミリ秒)。

サンプル値: 150000

Pool Min Evict Idle Time

いいえ

コネクタがアイドル状態のオブジェクトを削除するまで待機する必要のある最小時間(ミリ秒)。

サンプル値: 120000

Pool Min Idle

いいえ

プール内のアイドル状態のオブジェクトの最小数。

サンプル値: 1

4.3 MySQLの属性マッピング

「スキーマ」ページの属性マッピングは、ターゲット・アプリケーションと認可アプリケーションのどちらを作成するかによって異なります。

4.3.1 MySQLターゲット・アプリケーションの属性マッピング

ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性をターゲット・システムの列にマップする(コネクタによって提供される)デフォルトのスキーマが表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。

MySQL DBユーザー・アカウントの属性

表4-3に、Oracle Identity Governanceのプロセス・フォーム・フィールドとMySQLの列の間のユーザー固有の属性マッピングを示します。また、この表には、プロビジョニングまたはリコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかもリストされます。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項で説明されているように、新しい属性を追加するか、既存の属性を削除することにより、デフォルトの属性マッピングを編集できます。

表4-3 MySQL DBユーザー・アカウントのデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ プロビジョニング・フィールド リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない

IDを戻す

__UID__

文字列

いいえ

はい

はい

はい

はい

ユーザー名

__NAME__

文字列

はい

はい

はい

はい

はい

ユーザー・パスワード

__PASSWORD__

文字列

いいえ

はい

いいえ

いいえ

いいえ

図4-1は、デフォルトのユーザー・アカウント属性マッピングを示しています。

表4-1 MySQLユーザー・アカウントのデフォルトの属性マッピング

図4-1の説明が続きます
「表4-1 MySQLユーザー・アカウントのデフォルトの属性マッピング」の説明

権限リスト権限属性

表4-4に、Oracle Identity Governanceのプロセス・フォーム・フィールドとMySQLの列の間のロール固有の属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項で説明されているように、新しい属性を追加するか、既存の属性を削除することにより、デフォルトの属性マッピングを編集できます。

表4-4 MySQL権限リスト権限のデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない

権限

privileges~DBPrivilege~__NAME__

文字列

はい

はい

はい

いいえ

図4-2は、デフォルトの権限リスト権限マッピングを示しています。

図4-2 MySQL権限リスト権限のデフォルトの属性マッピング

図4-2の説明が続きます
「図4-2 MySQL権限リスト権限のデフォルトの属性マッピング」の説明

4.3.2 MySQL認可プリケーションの属性マッピング

認可アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性をターゲット・システムの列にマップする(コネクタによって提供される)デフォルトのスキーマが表示されます。コネクタは、リコンシリエーション操作中にこれらのマッピングを使用します。

表4-5に、Oracle Identity Governanceのリコンシリエーション・フィールドとOracle Databaseの列の間のユーザー固有の属性マッピングを示します。また、この表は、特定の属性のデータ型を示しており、それがリコンシリエーションの必須属性であるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項で説明されているように、「スキーマ」ページで新しい属性を追加するか、既存の属性を削除することにより、これらの属性マッピングを編集できます。

設定されているデフォルトのスキーマを使用することも、次のステップに進む前にこれを更新および変更することもできます。

「組織名」、「ロール」、「Xellerateタイプ」、および「Status」アイデンティティ属性は、OIGユーザー・フォームでの必須フィールドです。リコンシリエーション中にこれらを空白のままにすることはできません。これらのアイデンティティ属性のターゲット属性マッピングは、ターゲット・システム内に対応する列がないため、デフォルトでは空白です。したがって、コネクタには、リコンシリエーション中に使用可能なデフォルト値が用意されています(表4-5の「アイデンティティ表示名のデフォルト値」列にリストされています)。たとえば、「組織名」属性のデフォルトのターゲット属性値は、Xellerate Usersです。これは、コネクタがすべてのターゲット・システムのユーザー・アカウントをOracle Identity GovernanceのXellerateユーザー組織にリコンサイルすることを意味します。同様に、「Xellerateタイプ」属性のデフォルトの属性値はEnd-Userであり、これは、リコンサイルされたすべてのユーザー・レコードがエンドユーザーとしてマークされることを意味します。

表4-5 MySQL DBユーザー・スキーマの属性

アイデンティティ表示名 ターゲット属性 データ型 必須リコンシリエーション・プロパティ リコンシリエーション・フィールド アイデンティティ表示名のデフォルト値

組織名

該当なし

文字列

いいえ

はい

Xellerate Users

ロール

該当なし

文字列

いいえ

はい

Full-Time

ユーザー・ログイン

__UID__

文字列

いいえ

はい

該当なし

__NAME__

文字列

いいえ

はい

該当なし

Xellerateタイプ

該当なし

文字列

いいえ

はい

End-User

ステータス

該当なし

文字列

いいえ

はい

Active

図3-4は、デフォルトのユーザー・アカウント属性マッピングを示しています。

表4-3 認可アプリケーションのMySQLユーザー・アカウントのデフォルトの属性マッピング

図4-3の説明が続きます
「表4-3 認可アプリケーションのMySQLユーザー・アカウントのデフォルトの属性マッピング」の説明

4.4 MySQLの相関ルール

ターゲット・アプリケーションおよび認可アプリケーションの事前定義済のルール、レスポンス、および状況について学習します。コネクタは、リコンシリエーションを実行するためにこれらのルールおよびレスポンスを使用します。

4.4.1 MySQLターゲット・アプリケーションの相関ルール

ターゲット・アプリケーションを作成すると、コネクタによって相関ルールが使用され、Oracle Identity Governanceがリソースを割り当てる必要があるアイデンティティが判別されます。

事前定義済のアイデンティティ相関ルール

ターゲット・アプリケーションを作成する場合、デフォルトでは、Database User Managementコネクタには単純相関ルールが用意されています。コネクタは、この相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。

表4-6に、MySQLのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集したり、新しいルールを追加することができます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項を参照してください。

表4-6 MySQLの事前定義済のアイデンティティ相関ルール

ターゲット属性 要素演算子 アイデンティティ属性 大/小文字の区別

__NAME__

次と等しい

ユーザー・ログイン

いいえ
このアイデンティティ・ルールでは、次のようになります。

  • __NAME__は、ユーザー・アカウントを識別するターゲット・システム上の単一値の属性です。

  • User Loginは、OIMユーザー・フォームのフィールドです。

表3-5は、MySQLの単純相関ルールを示しています。

図4-4 MySQLの単純相関ルール

図4-4の説明が続きます
「図4-4 MySQLの単純相関ルール」の説明

事前定義済の状況とレスポンス

ターゲット・アプリケーションを作成する場合、Database User Managementコネクタにはデフォルトの状況とレスポンスのセットが用意されています。これらの状況とレスポンスにより、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションを指定します。

表4-7に、MySQLのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集したり、新しいものを追加することができます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項を参照してください

表4-7 MySQLの事前定義済の状況とレスポンス

状況 レスポンス

一致が見つからなかった場合

最小ロードの管理者への割当て

1つのエンティティ一致が見つかった場合

リンクの確立

1つのプロセス一致が見つかった場合

リンクの確立

図3-6は、デフォルトでコネクタが提供するMySQLの状況とレスポンスを示しています。

図4-5 MySQLの事前定義済の状況とレスポンス

図4-5の説明が続きます
「図4-5 MySQLの事前定義済の状況とレスポンス」の説明

4.4.2 MySQL認可アプリケーションの相関ルール

認可アプリケーションを作成する場合、コネクタは、Oracle Identity Governanceにリコンサイルする必要があるアイデンティティを決定するために相関ルールを使用します。

事前定義済のアイデンティティ相関ルール

認可アプリケーションを作成する場合、デフォルトでは、Database User Managementコネクタに単純相関ルールが用意されています。コネクタは、この相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。

表4-8に、MySQL認可アプリケーションのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集したり、新しいルールを追加することができます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項を参照してください。

表4-8 MySQL認可アプリケーションの事前定義済のアイデンティティ相関ルール

ターゲット属性 要素演算子 アイデンティティ属性 大/小文字の区別

__UID__

次と等しい

ユーザー・ログイン

いいえ
このアイデンティティ・ルールでは、次のようになります。

  • __UID__は、ユーザー・アカウントを一意に識別するターゲット・システム上の属性です。

  • User Loginは、OIMユーザー・フォームのフィールドです。

表3-7は、MySQLの単純相関ルールを示しています。

図4-6 MySQL認可アプリケーションの単純相関ルール

図4-6の説明が続きます
「図4-6 MySQL認可アプリケーションの単純相関ルール」の説明

事前定義済の状況とレスポンス

認可アプリケーションを作成する場合、Database User Managementコネクタにはデフォルトの状況とレスポンスのセットが用意されています。これらの状況とレスポンスにより、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションを指定します。

表4-9に、MySQLのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集したり、新しいものを追加することができます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項を参照してください

表4-9 MySQL認可アプリケーションの事前定義済の状況とレスポンス

状況 レスポンス

一致が見つからなかった場合

ユーザーの作成

1つのエンティティ一致が見つかった場合

リンクの確立

図3-8は、デフォルトでコネクタが提供するOracle Databaseの状況とレスポンスを示しています。

図4-7 MySQL認可アプリケーションの事前定義済の状況とレスポンス

図4-7の説明が続きます。
「図4-7 MySQL認可アプリケーションの事前定義済の状況とレスポンス」の説明

4.5 MySQLのリコンシリエーション・ジョブ

これらは、ターゲット・システムのアプリケーションを作成した後にOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブです。

これらの事前定義済のジョブを使用することも、要件に合うように編集することもできます。また、カスタム・リコンシリエーション・ジョブを作成することもできます。これらの事前定義済のジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』リコンシリエーション・ジョブの更新に関する項を参照してください。

ユーザー・リコンシリエーション・ジョブ

ユーザー・データのリコンサイル用として次のリコンシリエーション・ジョブを使用できます。

  • DBUM MySQL User Target Reconciliation: このリコンシリエーション・ジョブを使用して、ターゲット・アプリケーションのユーザー・データをリコンサイルします。

  • DBUM MySQL User Trusted Reconciliation: このリコンシリエーション・ジョブを使用して、認可アプリケーションのユーザー・データをリコンサイルします。

これらのジョブのパラメータはどちらも同じです。

表4-10 MySQLのユーザー・リコンシリエーション・ジョブのパラメータ

パラメータ 説明

Application Name

ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。

この値は修正しないでください。

Batch Size

リコンシリエーション時にターゲット・システムからフェッチされる各バッチに含める必要があるレコード数を入力します。

Filter

スケジュール済ジョブがリコンサイルする必要があるレコードをフィルタ処理する式を入力します。

サンプル値: equalTo('__UID__','SEPT12USER1')

作成および使用できるフィルタ式の詳細は、『Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』ICFフィルタ構文に関する項を参照してください。

Object Type

リコンサイルするオブジェクトのタイプ。

デフォルト値: User

Scheduled Task Name

スケジュールされたジョブの名前。

ノート: このコネクタに組み込まれているスケジュール済ジョブについては、この属性の値を変更することはできません。ただし、新しいジョブを作成した場合またはジョブのコピーを作成した場合は、この属性の値として、そのスケジュール済ジョブに一意の名前を入力します。

削除ユーザーのリコンシリエーション・ジョブ

削除したユーザー・アカウントに関するデータのリコンサイル用として次のリコンシリエーション・ジョブを使用できます。

  • DBUM MySQL Delete User Target Reconciliation: このリコンシリエーション・ジョブを使用して、ターゲット・アプリケーションから削除されたユーザー・アカウントに関するデータをリコンサイルします。

  • DBUM MySQL Delete User Trusted Reconciliation: このリコンシリエーション・ジョブを使用して、認可アプリケーションから削除されたユーザー・アカウントに関するデータをリコンサイルします。

これらのジョブのパラメータはどちらも同じです。

表4-11 MySQLの削除ユーザーのリコンシリエーション・ジョブのパラメータ

パラメータ 説明

Application Name

ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。

この値は修正しないでください。

Object Type

リコンサイルするオブジェクトのタイプ。

デフォルト値: User

権限のリコンシリエーション・ジョブ

DBUM MySQL Privilege Type Lookup Reconciliationジョブを使用して、ターゲット・システムの権限のリストをリコンサイルします。このジョブは、ターゲット・アプリケーションに対してのみ使用できます。

表4-12 DBUM MySQL Privilege TypeLookup Reconciliationジョブのパラメータ

パラメータ 説明

Application Name

ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。

この値は修正しないでください。

Lookup Name

このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。

デフォルト値: Lookup.DBUM.MySQL.SchemaPrivileges

Object Type

同期させる必要のある値を含むオブジェクトのタイプを入力します。

デフォルト値: __PRIVILEGES__

ノート: この属性の値は変更しないでください。

Code Key Attribute

参照定義のコード・キー列を移入するのに使用する、コネクタの名前またはターゲット・システム属性を入力します(「参照名」属性の値として指定)。

デフォルト値: __NAME__

ノート: この属性の値は変更しないでください。

Decode Attribute

参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用される、コネクタまたはターゲット・システムの属性の名前を入力します。

デフォルト値: __NAME__