3 Oracle Database用のDatabase User Managementコネクタの構成
アプリケーションの作成時には、コネクタがOracle Identity Governanceをターゲット・システムに接続し、コネクタ操作を実行するために使用する接続関連パラメータを構成する必要があります。また、Oracle Identity Governance内のプロセス・フォーム・フィールドとターゲット・システムの列の間の属性マッピング、事前定義済の相関ルール、状況とレスポンス、およびリコンシリエーション・ジョブを表示および編集できます。
3.1 Oracle Databaseの基本構成パラメータ
これらは、Oracle Identity GovernanceがOracle Databaseに接続するために必要な接続関連のパラメータです。これらのパラメータは、ターゲット・アプリケーションと認可アプリケーションの両方で共通しています。
表3-1 Oracle Databaseの基本構成セクション内のパラメータ
| パラメータ | 必須 | 説明 |
|---|---|---|
|
Connection URL |
はい |
デフォルト値: |
|
User |
はい |
コネクタ操作に使用するターゲット・システム・アカウントのユーザー名を入力します。 サンプル値: ノート: Oracle Database Vault向けにコネクタを構成する場合は、「Oracle Database Vaultでの管理者アカウントの作成」で作成したアカウントのユーザー名を入力します。 |
|
Password |
はい |
コネクタ操作に使用するターゲット・システム・アカウントのユーザー名のパスワードを入力します。 ノート: Oracle Database Vault向けにコネクタを構成する場合は、「Oracle Database Vaultでの管理者アカウントの作成」で作成したアカウントのパスワードを入力します。 |
|
Database Type |
はい |
このパラメータは、データベース・タイプ(OracleやMySQLなど)を識別し、各スクリプトをロードするために使用されます。 |
|
Connector Server Name |
いいえ |
「コネクタ・サーバー」タイプのITリソースを作成した場合、その名前を入力します。 |
|
Database Drivers |
いいえ |
JDBCドライバ・クラス名。 デフォルト値: |
|
Connection Properties |
いいえ |
ターゲット・システム・データベースの接続プロパティを入力します。 |
3.2 Oracle Databaseの拡張設定パラメータ
これらは、リコンシリエーション操作およびプロビジョニング操作時にコネクタが使用する構成関連エントリです。
ノート:
指定されていないかぎり、表内のパラメータはターゲット・アプリケーションと認可アプリケーションの両方に対して適用できます。表3-2 Oracle Databaseの拡張設定パラメータ
| パラメータ | 必須 | 説明 |
|---|---|---|
|
Connector Name |
はい |
このパラメータには、コネクタ・クラスの名前が保持されます。 デフォルト値: |
|
Connector Package Name |
はい |
このパラメータには、コネクタ・バンドル・パッケージの名前が保持されます。 デフォルト値: |
|
Connector Package Version |
はい |
このパラメータは、コネクタ・バンドル・クラスのバージョンを含みます。 デフォルト: 1.0.1116 |
|
disableValuesSet |
いいえ |
ユーザーの無効ステータスに使用できる値を入力します。 デフォルト値: |
|
Reserve Keywords |
いいえ |
予約されているためにコネクタ・アーティファクト名で使用できない語のリストを入力します デフォルト値: ノート: このパラメータを使用できるのは、ターゲット・アプリケーションを作成する場合のみです。 |
|
Unsupported Character Set |
いいえ |
コネクタ・アーティファクトの名前で使用できない文字を入力します デフォルト値: "&"、"--"、"~"、"`"、"\" ノート: このパラメータを使用できるのは、ターゲット・アプリケーションを作成する場合のみです。 |
|
Pool Max Idle |
いいえ |
プール内のアイドル状態のオブジェクトの最大数。 サンプル値: |
|
Pool Max Size |
いいえ |
プールで作成できる接続の最大数。 サンプル値: |
|
Pool Max Wait |
いいえ |
プールが空きオブジェクトを操作に使用できるようになるまで待機する必要のある最大時間(ミリ秒)。 サンプル値: |
|
Pool Min Evict Idle Time |
いいえ |
コネクタがアイドル状態のオブジェクトを削除するまで待機する必要のある最小時間(ミリ秒)。 サンプル値: |
|
Pool Min Idle |
いいえ |
プール内のアイドル状態のオブジェクトの最小数。 サンプル値: |
3.3 Oracle Databaseの属性マッピング
「スキーマ」ページの属性マッピングは、ターゲット・アプリケーションと認可アプリケーションのどちらを作成するかによって異なります。
3.3.1 Oracle Databaseターゲット・アプリケーションの属性マッピング
ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性をターゲット・システムの列にマップする(コネクタによって提供される)デフォルトのスキーマが表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。
Oracleデータベース・ユーザー・アカウント属性
表3-3に、Oracle Identity Governanceのプロセス・フォーム・フィールドとOracle Databaseの列の間のユーザー固有属性マッピングを示します。また、この表には、プロビジョニングまたはリコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかもリストされます。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項で説明されているように、新しい属性を追加するか、既存の属性を削除することにより、デフォルトの属性マッピングを編集できます。
表3-3 Oracle DBユーザー・アカウントのデフォルトの属性マッピング
| 表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | プロビジョニング・フィールド | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
|---|---|---|---|---|---|---|---|
|
ユーザー名 |
__NAME__ |
文字列 |
はい |
はい |
はい |
はい |
はい |
|
認証タイプ |
authType |
文字列 |
はい |
はい |
はい |
いいえ |
適用なし |
|
グローバルDN |
externalName |
文字列 |
いいえ |
はい |
はい |
いいえ |
適用なし |
|
デフォルト表領域 |
tablespace |
文字列 |
いいえ |
はい |
はい |
いいえ |
適用なし |
|
デフォルト表領域割当て制限 |
defaultQuota |
文字列 |
いいえ |
はい |
はい |
いいえ |
適用なし |
|
一時表領域 |
tempTableSpace |
文字列 |
いいえ |
はい |
はい |
いいえ |
適用なし |
|
プロファイル名 |
profile |
文字列 |
いいえ |
はい |
はい |
いいえ |
適用なし |
|
IDを戻す |
__UID__ |
文字列 |
いいえ |
はい |
はい |
はい |
はい |
|
アカウント・ステータス |
status |
文字列 |
いいえ |
いいえ |
はい |
いいえ |
適用なし |
|
ステータス |
__ENABLE__ |
文字列 |
いいえ |
いいえ |
はい |
いいえ |
適用なし |
|
パスワード |
__PASSWORD__ |
文字列 |
いいえ |
はい |
いいえ |
いいえ |
適用なし |
図3-1は、デフォルトのユーザー・アカウント属性マッピングを示しています。
ロール・リスト権限属性
表3-4に、Oracle Identity Governanceのプロセス・フォーム・フィールドとOracle Databaseの列の間のロール固有属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項で説明されているように、新しい属性を追加するか、既存の属性を削除することにより、デフォルトの属性マッピングを編集できます。
表3-4 Oracle Databaseロール・リスト権限のデフォルトの属性マッピング
| 表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
|---|---|---|---|---|---|---|
|
ロール |
roles~DBRole~__NAME__ |
文字列 |
いいえ |
はい |
はい |
いいえ |
|
ロール管理オプション |
roles~DBRole~adminOption |
文字列 |
いいえ |
はい |
いいえ |
適用なし |
図3-2は、デフォルトのロール・リスト権限マッピングを示しています。
権限リスト権限属性
表3-5に、Oracle Identity Governanceのプロセス・フォーム・フィールドとOracle Databaseの列の間のロール固有属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項で説明されているように、新しい属性を追加するか、既存の属性を削除することにより、デフォルトの属性マッピングを編集できます。
表3-5 Oracle Database権限リスト権限のデフォルトの属性マッピング
| 表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
|---|---|---|---|---|---|---|
|
権限 |
privileges~DBPrivilege~__NAME__ |
文字列 |
いいえ |
はい |
はい |
いいえ |
|
権限管理オプション |
privileges~DBPrivilege~adminOption |
文字列 |
いいえ |
はい |
いいえ |
適用なし |
図3-2は、デフォルトの権限リスト権限マッピングを示しています。
3.3.2 Oracle Database認可アプリケーションの属性マッピング
認可アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性をターゲット・システムの列にマップする(コネクタによって提供される)デフォルトのスキーマが表示されます。コネクタは、リコンシリエーション操作中にこれらのマッピングを使用します。
表3-6に、Oracle Identity Governanceのリコンシリエーション・フィールドとOracle Databaseの列の間のユーザー固有属性マッピングを示します。また、この表は、特定の属性のデータ型を示しており、それがリコンシリエーションの必須属性であるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の認可アプリケーションの作成に関する項で説明されているように、「スキーマ」ページで新しい属性を追加するか、既存の属性を削除することにより、これらの属性マッピングを編集できます。
設定されているデフォルトのスキーマを使用することも、次のステップに進む前にこれを更新および変更することもできます。
「組織名」、「Xellerateタイプ」および「ロール」アイデンティティ属性は、OIGユーザー・フォームでの必須フィールドです。リコンシリエーション中にこれらを空白のままにすることはできません。これらのアイデンティティ属性のターゲット属性マッピングは、ターゲット・システム内に対応する列がないため、デフォルトでは空白です。したがって、コネクタには、リコンシリエーション時に使用できる(表3-6の「アイデンティティ表示名のデフォルト値」列にリストされている)デフォルト値が用意されています。たとえば、「組織名」属性のデフォルトのターゲット属性値は、Xellerate Usersです。これは、コネクタがすべてのターゲット・システムのユーザー・アカウントをOracle Identity GovernanceのXellerateユーザー組織にリコンサイルすることを意味します。同様に、「Xellerateタイプ」属性のデフォルトの属性値はEnd-Userであり、これは、リコンサイルされたすべてのユーザー・レコードがエンドユーザーとしてマークされることを意味します。
表3-6 Oracle DBユーザー・アカウント・スキーマ属性
| アイデンティティ表示名 | ターゲット属性 | データ型 | 必須リコンシリエーション・プロパティ | リコンシリエーション・フィールド | アイデンティティ表示名のデフォルト値 |
|---|---|---|---|---|---|
|
組織名 |
該当なし |
文字列 |
いいえ |
はい |
Xellerate Users |
|
ユーザー・ログイン |
__UID__ |
文字列 |
いいえ |
はい |
該当なし |
|
姓 |
__UID__ |
文字列 |
いいえ |
はい |
該当なし |
|
Xellerateタイプ |
該当なし |
文字列 |
いいえ |
はい |
End-User |
|
ステータス |
__ENABLE__ |
文字列 |
いいえ |
はい |
該当なし |
|
ロール |
該当なし |
文字列 |
いいえ |
はい |
Full-Time |
図3-4は、デフォルトのユーザー・アカウント属性マッピングを示しています。
図3-4 認可アプリケーションでのOracle Databaseユーザー・アカウントのデフォルトの属性マッピング
「図3-4 認可アプリケーションでのOracle Databaseユーザー・アカウントのデフォルトの属性マッピング」の説明
3.4 Oracle Databaseの相関ルール
ターゲット・アプリケーションおよび認可アプリケーションの事前定義済のルール、レスポンス、および状況について学習します。コネクタは、リコンシリエーションを実行するためにこれらのルールおよびレスポンスを使用します。
3.4.1 Oracle Databaseターゲット・アプリケーションの相関ルール
ターゲット・アプリケーションを作成する場合、コネクタは、Oracle Identity Governanceがリソースを割り当てる先のアイデンティティを決定するために相関ルールを使用します。
事前定義済のアイデンティティ相関ルール
ターゲット・アプリケーションを作成する場合、デフォルトでは、Database User Managementコネクタには単純相関ルールが用意されています。コネクタは、この相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表3-7に、Oracle Databaseのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集したり、新しいルールを追加することができます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項を参照してください。
表3-7 Oracle Databaseターゲット・アプリケーションの事前定義済アイデンティティ相関ルール
| ターゲット属性 | 要素演算子 | アイデンティティ属性 | 大/小文字の区別 |
|---|---|---|---|
|
__NAME__ |
次と等しい |
ユーザー・ログイン |
いいえ |
-
__NAME__は、ユーザー・アカウントを識別するターゲット・システム上の単一値の属性です。
-
User Loginは、OIMユーザー・フォームのフィールドです。
表3-5は、Oracle Databaseの単純相関ルールを示しています。
事前定義済の状況とレスポンス
ターゲット・アプリケーションを作成する場合、Database User Managementコネクタにはデフォルトの状況とレスポンスのセットが用意されています。これらの状況とレスポンスにより、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションを指定します。
表3-8に、Oracle Databaseのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集したり、新しいものを追加することができます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項を参照してください
表3-8 Oracle Databaseターゲット・アプリケーションの事前定義済状況とレスポンス
| 状況 | レスポンス |
|---|---|
|
一致が見つからなかった場合 |
最小ロードの管理者への割当て |
|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
|
1つのプロセス一致が見つかった場合 |
リンクの確立 |
図3-6は、コネクタがデフォルトで提供するOracle Databaseの状況とレスポンスを示しています。
図3-6 Oracle Databaseターゲット・アプリケーションの事前定義済状況とレスポンス
「図3-6 Oracle Databaseターゲット・アプリケーションの事前定義済状況とレスポンス」の説明
3.4.2 Oracle Database認可アプリケーションの相関ルール
認可アプリケーションを作成する場合、コネクタは、Oracle Identity Governanceにリコンサイルする必要があるアイデンティティを決定するために相関ルールを使用します。
事前定義済のアイデンティティ相関ルール
認可アプリケーションを作成する場合、デフォルトでは、Database User Managementコネクタに単純相関ルールが用意されています。コネクタは、この相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表3-9に、Oracle Database認可アプリケーションのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集したり、新しいルールを追加することができます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項を参照してください。
表3-9 Oracle Database認可アプリケーションの事前定義済アイデンティティ相関ルール
| ターゲット属性 | 要素演算子 | アイデンティティ属性 | 大/小文字の区別 |
|---|---|---|---|
|
__UID__ |
次と等しい |
ユーザー・ログイン |
いいえ |
-
__UID__は、ユーザー・アカウントを一意に識別するターゲット・システム上の属性です。
-
User Loginは、OIMユーザー・フォームのフィールドです。
図3-7は、Oracle Database認可アプリケーションの単純相関ルールを示しています。
事前定義済の状況とレスポンス
認可アプリケーションを作成する場合、Database User Managementコネクタにはデフォルトの状況とレスポンスのセットが用意されています。これらの状況とレスポンスにより、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションを指定します。
表3-10に、Oracle Databaseのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集したり、新しいものを追加することができます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項を参照してください
表3-10 Oracle Database認可アプリケーションの事前定義済状況とレスポンス
| 状況 | レスポンス |
|---|---|
|
一致が見つからなかった場合 |
ユーザーの作成 |
|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
図3-8は、コネクタがデフォルトで提供するOracle Database認可アプリケーションの状況とレスポンスを示しています。
3.5 Oracle Databaseのリコンシリエーション・ジョブ
これらは、ターゲット・システムのアプリケーションを作成した後にOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブです。
これらの事前定義済のジョブを使用することも、要件に合うように編集することもできます。また、カスタム・リコンシリエーション・ジョブを作成することもできます。これらの事前定義済のジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリコンシリエーション・ジョブの更新に関する項を参照してください。
ユーザー・リコンシリエーション・ジョブ
-
DBUM Oracle User Target Reconciliation: このリコンシリエーション・ジョブを使用して、ターゲット・アプリケーションからユーザー・データをリコンサイルします。
-
DBUM Oracle User Trusted Reconciliation: このリコンシリエーション・ジョブを使用して、認可アプリケーションからユーザー・データをリコンサイルします。
これらのジョブのパラメータはどちらも同じです。
表3-11 Oracle Databaseのユーザーのリコンシリエーション・ジョブのパラメータ
| パラメータ | 説明 |
|---|---|
|
Application Name |
ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。 この値は変更しないでください。 |
|
Batch Size |
リコンシリエーション時にターゲット・システムからフェッチされる各バッチに含める必要があるレコード数を入力します。 |
|
Filter |
スケジュール済ジョブがリコンサイルする必要があるレコードをフィルタ処理する式を入力します。 サンプル値: 作成および使用できるフィルタ式の詳細は、『Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタ構文に関する項を参照してください。 |
|
Incremental Recon Attribute |
ユーザー・レコードが変更されたタイムスタンプを保持する、ターゲット・システム列の名前。 デフォルト値: |
|
Object Type |
リコンサイルするオブジェクトのタイプ。 デフォルト値: |
|
Latest Token |
このパラメータは、Incremental Recon Attributeパラメータの値として指定されたターゲット・システム列の値を保持します。Latest Tokenパラメータは内部目的で使用されます。デフォルトでは、この値は空です。 ノート: この属性には値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 |
|
Scheduled Task Name |
スケジュールされたジョブの名前。 ノート: このコネクタに組み込まれているスケジュール済ジョブについては、この属性の値を変更することはできません。ただし、新しいジョブを作成した場合またはジョブのコピーを作成した場合は、この属性の値として、そのスケジュール済ジョブに一意の名前を入力します。 |
削除ユーザーのリコンシリエーション・ジョブ
-
DBUM Oracle Delete User Target Reconciliation: このリコンシリエーション・ジョブを使用して、ターゲット・アプリケーションから削除されたユーザー・アカウントに関するデータをリコンサイルします。
-
DBUM Oracle Delete User Trusted Reconciliation: このリコンシリエーション・ジョブを使用して、認可アプリケーションから削除されたユーザー・アカウントに関するデータをリコンサイルします。
これらのジョブのパラメータはどちらも同じです。
表3-12 Oracle Databaseの削除ユーザーのリコンシリエーション・ジョブのパラメータ
| パラメータ | 説明 |
|---|---|
|
Application Name |
ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。 この値は変更しないでください。 |
|
Object Type |
リコンサイルするオブジェクトのタイプ。 デフォルト値: |
権限のリコンシリエーション・ジョブ
権限のリコンサイルには、次のジョブを使用できます。
-
DBUM Oracle Privileges Lookup Reconciliation
-
DBUM Oracle Profile Lookup Reconciliation
-
DBUM Oracle Roles Lookup Reconciliation
-
DBUM Oracle Tablespaces Lookup Reconciliation
-
DBUM Oracle Temporary Tablespaces Lookup Reconciliation
これらのリコンシリエーション・ジョブは、ターゲット・アプリケーションに対してのみ使用できます。リコンシリエーション・ジョブのパラメータはすべて同じです。
表3-13 権限のリコンシリエーション・ジョブのパラメータ
| パラメータ | 説明 |
|---|---|
|
Application Name |
ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。 この値は修正しないでください。 |
|
Lookup Name |
このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。 デフォルト値は、使用するリコンシリエーション・ジョブに応じて次のようになります。
|
|
Object Type |
同期させる必要のある値を含むオブジェクトのタイプを入力します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
ノート: この属性の値は変更しないでください。 |
|
Code Key Attribute |
参照定義のコード・キー列を移入するのに使用する、コネクタの名前またはターゲット・システム属性を入力します(「参照名」属性の値として指定)。 デフォルト値: ノート: この属性の値は変更しないでください。 |
|
Decode Attribute |
参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用される、コネクタまたはターゲット・システムの属性の名前を入力します。 デフォルト値: |