1 フラット・ファイル・コネクタについて

フラット・ファイル・コネクタは、Oracle Identity GovernanceをCSVやXMLなどの形式のファイルと統合します。

次のトピックでは、コネクタの概要を示します。

• コネクタの概要

• 動作保証されているコンポーネント

• 動作保証されている言語

• 使用上の推奨事項

• コネクタのアーキテクチャ

• コネクタでサポートされるユースケース

• コネクタの機能

1.1 コネクタの概要

Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。

フラット・ファイル・コネクタを使用すると、Oracle Identity Governanceにフラット・ファイルベースのアプリケーションをオンボードできます。

ノート:

このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイされるコネクタをCIベース・コネクタ(コネクタ・インストーラ・ベース・コネクタ)と呼びます。

アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。

エンタープライズ・アプリケーションでは、通常、ファイル形式でのユーザーのエクスポートがサポートされます。一般的に使用されているファイル形式には、CSV、LDIF、XMLなどがあります。コネクタは、フラット・ファイルの情報を使用することで、このデータをOracle Identity Governanceユーザー・アカウントまたは権限としてインポートできるようにします。フラット・ファイル・コネクタは、オフライン・データ・ロードを行う多くの場合や、事前定義されたコネクタが使用できない場合に使用できます。

このコネクタでは、CSV形式のフラット・ファイルの処理がデフォルトでサポートされます。このコネクタを使用して、CSV以外の形式のフラット・ファイルを処理するには、カスタム・パーサーを作成してコネクタと統合する必要があります。

1.2 動作保証されているコンポーネント

コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。

表1-1 動作保証されているコンポーネント

項目	AOBアプリケーションの要件	CIベースのコネクタの要件
Oracle Identity GovernanceまたはOracle Identity Manager	Oracle Identity Governance 12c PS4 (12.2.1.4.0)	次のいずれかのリリースを使用できます。 Oracle Identity Governance 12c PS3 (12.2.1.3.0) Oracle Identity Manager 11gリリース2 PS3 (11.1.2.3.0)以降
ターゲット・システム	フラット・ファイルにユーザー、アカウントまたは権限をエクスポートできる任意のエンタープライズ・システム。	フラット・ファイルにユーザー、アカウントまたは権限をエクスポートできる任意のエンタープライズ・システム。
コネクタ・サーバー	11.1.2.1.0	11.1.1.5.0以降 ノート: 必要なJavaコネクタ・サーバーは、Oracle Technology Network Webページからダウンロードできます。
コネクタ・サーバーのJDK	JDK 1.8以降	JDK 1.8以降
フラット・ファイル形式	CSV ノート: CSV以外の形式は、カスタム・パーサーの使用を通じてサポートされます。	CSV ノート: CSV以外の形式は、カスタム・パーサーの使用を通じてサポートされます。

1.3 動作保証されている言語

コネクタは、Oracle Identity Governanceによってサポートされる言語に対応しています。

リソース・バンドル・エントリは、使用されるフラット・ファイルに応じて変化するため、リソース・バンドルはコネクタ・インストール・メディアに含まれません。UIフォームのフィールド・ラベルは、「UIフォームのフィールド・ラベルのローカライズ」の説明に従ってローカライズできます。

1.4 使用上の推奨事項

これらは、使用中のOracle Identity GovernanceまたはOracle Identity Managerのバージョンに応じて、デプロイまたは使用できるフラット・ファイル・コネクタのバージョンに関する推奨事項です。

• Oracle Identity Governance 12c PS4 (12.2.1.4.0)を使用している場合は、このコネクタの最新バージョン12.2.1.xを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイします。

• Oracle Identity Governance 12c PS3 (12.2.1.3.0)またはOracle Identity Manager 11gリリース2 PS3 (11.1.2.3.0)以降を使用している場合は、フラット・ファイル・コネクタの11.1.1.xバージョンを使用します。このコネクタの12.2.1.xバージョンを使用する場合は、CIベース・モードでのみインストールおよび使用できます。AOBアプリケーションを使用する場合は、Oracle Identity Governanceリリース12.2.1.4.0にアップグレードする必要があります。

ノート:

フラット・ファイル・コネクタの最新の12.2.1.xバージョンをCIベース・モードで使用している場合、コネクタのデプロイメント、使用方法およびカスタマイズの詳細は、『Oracle Identity Managerフラット・ファイル・コネクタ・ガイド』リリース11.1.1を参照してください。

1.5 コネクタのアーキテクチャ

フラット・ファイル・コネクタは、様々なエンタープライズ・ターゲット・システムからエクスポートされたフラット・ファイルからレコードを取得するための汎用ソリューションです。このコネクタは、Identity Connector Framework (ICF)コンポーネントを使用して実装されます。

これらのフラット・ファイルには、CSV、LDIF、XMLなどの様々な形式があります。コネクタは、フラット・ファイルからのレコードのリコンシリエーションのみを対象とします。コネクタのインストール・パッケージには、フラット・ファイルからOracle Identity Governanceの既存のリソースにユーザー、アカウントおよび権限をロードするために使用できるスケジュール済ジョブが含まれます。

図1-1に、エンタープライズ・ターゲット・システムからエクスポートされたフラット・ファイルとOracle Identity Governanceを統合するコネクタを示します。

図1-1 コネクタのアーキテクチャ

「図1-1 コネクタのアーキテクチャ」の説明

エンタープライズ・ターゲット・システムからエクスポートされたフラット・ファイルは、Oracle Identity Governanceからアクセス可能なディレクトリに配置する必要があります。コネクタ・サーバーを使用している場合は、エクスポートしたフラット・ファイルをコネクタ・サーバーをホストしているコンピュータに配置します。コネクタは、ディレクトリ内のエクスポートしたフラット・ファイルを英数字順にソートし、その順序に基づいて各ファイルを処理します。

フラット・ファイルを含むディレクトリの場所は、スケジュール済ジョブの属性で指定します。スケジュール済ジョブが実行されると、それによってコネクタの検索実装がコールされ、次にコネクタ・オブジェクトがOracle Identity Governanceに戻されます。

1.6 コネクタでサポートされるユースケース

このコネクタを使用できるシナリオを次に示します。

• レコードのリコンシリエーション

• 接続なしリソース

• 接続リソース

1.6.1 レコードのリコンシリエーション

エンタープライズ・ターゲット・システムからエクスポートされたフラット・ファイルからのレコードのリコンシリエーションには、フラット・ファイルからOracle Identity Managerへのデータのロードが含まれます。

このシナリオでは次の操作を実行できます。

• リコンシリエーション

• 証明

ここでは、フラット・ファイル・コネクタを使用して、リコンシリエーションを実行できます。

次の例は、フラット・ファイル・コネクタを使用して、フラット・ファイルからOracle Identity Governanceにデータをロードして証明タスクを実行する方法を示しています。

Johnは、ACME Corporationにコンプライアンス管理者として勤務しています。彼は、Oracle Identity Governanceを使用してロールを定義し、証明プロセスを自動化し、監査用のビジネス構造レポートを生成します。彼は、エンタープライズのユーザーとその権限のリストをCSVファイルの形式で保持し、そのデータを純粋に証明目的で使用するためにOracle Identity Governanceにインポートしたいと考えています。すべてのユーザーに対してリソース・オブジェクトおよびフォームを作成し、データをそれらの表にインポートする必要があります。

前述の例では、Johnはフラット・ファイル・コネクタを使用して、フラット・ファイルからフラット・ファイル・リソースにアカウントをロードできます。フラット・ファイルの対応するリコンシリエーション・ジョブを実行すると、CSVファイルからOracle Identity Governanceにデータをインポートできます。

1.6.2 接続なしリソース

接続なしリソースとは、事前定義されたコネクタが存在しないターゲットです。したがって、接続なしリソースのプロビジョニングは自動的に処理されないため、手動で実行する必要があります。

このシナリオでは次の操作を実行できます。

• リクエスト

• 手動による履行またはプロビジョニング

• リコンシリエーション

• 証明

ここでは、フラット・ファイル・コネクタを使用して、リコンシリエーションとプロビジョニング操作を実行できます。

次の例は、フラット・ファイル・コネクタを使用して、接続なしリソースでフラット・ファイルからOracle Identity Governanceにデータをロードする方法を示しています。

Smithは、Utopia大学の図書館長です。彼の職責には、図書館アクセス・カードを大学の学生に提供することが含まれます。彼は、すでに図書館カードを持っている学生のリストが記載されたファイルを保持しています。彼は、このリストをOracle Identity Governanceに転送し、その後、既存のメンバーについて図書館の業務を自動化したいと考えています。

前述の例で、図書館カードがOracle Identity Governanceで接続なしリソースとしてモデル化されるため、メタデータ生成ユーティリティを使用して接続なしリソース用のアプリケーションを生成し、対応するリコンシリエーション・ジョブを使用してフラット・ファイルから図書館カード・リソースにアカウントをロードできます。Oracle Identity Governanceを通じて接続なしリソースを定義することで、Smithは、フラット・ファイルのユーザーのリコンシリエーションを開始し、希望する接続なしリソースにユーザーをリンクできます。

1.6.3 接続リソース

接続リソースとは、事前定義されたコネクタが使用できるターゲットです(Microsoft Active Directoryなど)。

このシナリオでは次の操作を実行できます。

• リクエスト

• 自動の履行またはプロビジョニング

• リコンシリエーション

• 証明

この場合、フラット・ファイル・コネクタを使用して、リコンシリエーションの実行のみができます。

次の例は、フラット・ファイル・コネクタを使用して、フラット・ファイルからOracle Identity Governanceにデータをロードする方法を示しています(ただし、事前定義されたコネクタを使用可能)。

Janeは、Example Multinational社でネットワーク管理者として働いています。Example Multinational社で、彼女は、組織内のユーザーを対象にアイデンティティおよびアクセス管理作業を行っています。Janeの職責の1つは、Oracle Identity Governanceでユーザーを作成および管理し、各ユーザーにリソースをプロビジョニングすることです。Example Multinational社では、すべての従業員の詳細は、Microsoft Active Directoryターゲット・システムで管理されています。Janeは、できるかぎり早急に約100,000個のユーザー・レコードについてターゲット・システムからOracle Identity Governanceインスタンスにリコンサイルしたいと考えています。ADサーバーはメンテナンスによる停止が計画されているため、彼女は、LDIFファイルの形式でエクスポートされたすべてのユーザー・データをオフラインでロードする方法を探しています。時間およびネットワーク上の制約のため、Janeは、Oracle Identity Governanceに対するユーザーの初期オンボードのためのソリューションを必要としています。

前述の例で、初期リコンシリエーションまたは完全リコンシリエーションを実行することは、パフォーマンスと時間を消費する操作です。Microsoft Active Directory User Management Connectorを使用してリコンシリエーション操作を実行する場合、ターゲット・システムとOracle Identity Governance間の接続をアクティブに維持する必要があります。つまり、ユーザーのオフライン・ロードは実行できません。このシナリオの場合、ターゲット・システムのネイティブ・フラット・ファイル・ダンプをフラット・ファイル・コネクタによって使用し、ユーザーをOracle Identity Governanceに迅速にリコンサイルできます。

1.7 コネクタの機能

コネクタの機能には、カスタム・パーサー、フォルト処理、アーカイブ、コネクタ・サーバー、アカウント・データの変換と検証、完全リコンシリエーション、増分リコンシリエーション、制限付きリコンシリエーション、バッチ・リコンシリエーションなどのサポートが含まれます。

• ターゲット・リソースのリコンシリエーションおよび信頼できるソースのリコンシリエーション両方のサポート

• 完全リコンシリエーションおよび増分リコンシリエーション

• 制限付きリコンシリエーション

• 接続なしリソースのサポート

• アーカイブのサポート

• カスタム・パーサーのサポート

• 複雑な複数値データのリコンサイルのサポート

• デリミタのサポート

• コメント文字のサポート

• フォルト処理のサポート

• 前処理および後処理ハンドラのサポート

• アカウント・データの変換および検証

• コネクタ・サーバーのサポート

1.7.1 ターゲット・リソースのリコンシリエーションおよび信頼できるソースのリコンシリエーション両方のサポート

レコードのOracle Identity Governanceへのリコンシリエーションのために、エクスポートしたフラット・ファイルをターゲット・アプリケーションとしてまたは認可アプリケーションとして構成できます。

アプリケーションの作成時に作成されるリコンシリエーション・ジョブとその詳細は、「接続なしリソースの設定情報の指定」および「接続リソースの設定情報の指定」を参照してください。

1.7.2 完全リコンシリエーションおよび増分リコンシリエーション

アプリケーションを作成したら、完全リコンシリエーションを実行して、フラット・ファイルに存在するすべてのユーザー・データをOracle Identity Governanceにロードできます。

最初の完全リコンシリエーションの実行後に追加された新しいファイルは、すべて増分データのソースとみなされます。別の方法として、増分データを単独で明示的に提供することで、増分リコンシリエーションも実行できます。

完全リコンシリエーションはいつでも実行できます。詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。

1.7.3 制限付きリコンシリエーション

リコンシリエーション・フィルタをスケジュール済ジョブの「フィルタ」属性の値として設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたエンタープライズ・ターゲット・システム・レコードのサブセットを指定します。

詳細は、「制限付きリコンシリエーションの実行」を参照してください。

1.7.4 接続なしリソースのサポート

コネクタは、接続なしリソースに関連付けられるすべてのアーティファクトを生成することで、接続なしリソースのサポートを提供します。

また、手動プロビジョニングを実行するために必要なデフォルトのSOAコンポジットに関連付けられたプロセス定義を生成します。これにより、接続なしリソースおよびOracle Identity Governanceのフィールドと対応するターゲット・システム属性の間のマッピングを手動で作成する必要がなくなります。

フラット・ファイルを接続なしリソースとして構成するには、「フラット・ファイル・コネクタを使用した接続なしリソース用のアプリケーションの作成」を参照してください

1.7.5 アーカイブのサポート

コネクタでは、処理されたフラット・ファイルのアーカイブがサポートされます。

アーカイブ・ディレクトリの場所は、リコンシリエーション・ジョブの構成中に「アーカイブ・ディレクトリ」パラメータで指定でき、すべてのファイルが処理されると、コネクタによってソース・ディレクトリから指定した場所にファイルが移動されます。

このパラメータの値を指定しない場合、コネクタによって、フラット・ファイルが格納されたディレクトリ内に「Archived」というディレクトリが作成され、処理されたファイルはその場所に保存されます。

Oracle Identity Governance管理者は、アーカイブ・ディレクトリの場所に対する読取りおよび書込み権限を持っている必要があります。

コネクタは、処理されたフラット・ファイルを次の形式で保存します。

FILENAME_dd-MM-yyyy_HH-mm-ss.zip

この書式の意味:

• FILENAMEは、アーカイブされるフラット・ファイルの名前です。処理されるフラット・ファイルを含むディレクトリに複数のフラット・ファイルが含まれる場合、FILENAMEは、ディレクトリ内のフラット・ファイルの英数字順にソートされたリストにおける最初のフラット・ファイルの名前です。

• dd-MM-yyyy_HH-mm-ssは、フラット・ファイルがアーカイブされた日時です。

たとえば、フラット・ファイルがエンタープライズ・ターゲット・システムからエクスポートされた場合、ファイル名は次の書式で保存されます。

acmeusers_29-08-2013_22-44-12.zip

アーカイブの場所が指定されている場合、ファイルの処理が成功したかどうかにかかわりなく、コネクタによってソース・ディレクトリのすべてのファイルが移動されます。エラーが発生した場合、コネクタによって個別ファイルに障害レコードが書き込まれ、このファイルは、フラット・ファイル・ディレクトリ内の「failed」ディレクトリに保存されます。

「failed」ディレクトリ内のファイルの詳細は、「フォルト処理のサポート」を参照してください。

1.7.6 カスタム・パーサーのサポート

コネクタでは、CSV形式でエクスポートされたフラット・ファイルの処理がデフォルトでサポートされます。CSV以外の形式でエクスポートされたフラット・ファイルの処理をサポートするには、カスタム・パーサーを作成してそれをコネクタに統合する必要があります。

デフォルトで、コネクタ・インストール・メディアにCSVParserが含まれます。

カスタム・パーサーの詳細は、「カスタム・パーサーの構成」を参照してください。

1.7.7 複雑な複数値データのリコンサイルのサポート

コネクタでは、単一および複数のフィールドを含む子フォームの形式による複雑な複数値データのリコンシリエーションがサポートされます。

子フォームのデータは、親フォームのデータと同じファイルに存在する必要があります。子フォームの値は、カスタマイズ可能なデリミタによって区切られます。

たとえば、CSVファイルで、フラット・ファイルのすべての行は、親フォームと子フォームのデータを含む単一のレコードを表します。

詳細は、「複雑な複数値データのリコンシリエーションのためのフラット・ファイルの構成」を参照してください。

1.7.8 デリミタのサポート

コネクタでは、レコードの値を区切るために使用できる単一文字のデリミタの使用がサポートされます。

デフォルトでは、コネクタによって、fieldDelimiterとしてカンマ(,)が、multiValueDelimiterとしてセミコロン(;)が、subFieldDelimiterとして番号記号(#)がサポートされます。エクスポートしたフラット・ファイルで他の文字がデリミタとして使用されている場合は、「拡張設定」セクションでそれらをfieldDelimiter、multiValueDelimiterおよびsubFieldDelimiterパラメータの値として指定します。

空白文字またはタブ文字を、それぞれspaceまたはtabとして指定する必要があります。他のマルチバイト文字(異なるロケールの文字)は、各ロケールの「拡張設定」セクションに直接入力できます。

ノート:

コネクタでは、複数文字のデリミタはサポートされません。たとえば、デリミタとして文字$#を一緒に使用することはできません。

次のサンプルの複数値データでは、データがデリミタで区切られ、次の書式で示されています。

AccountID,FirstName,LastName,Email,Languages,Roles

"111","John","Doe","john.doe@example.com","English;French;Spanish","Administrator#6-Dec-2013;Backup Operator#7-Nov-2013"

ここで、カンマ(,)はfieldDelimiter、セミコロン(;)はmultiValueDelimiter、番号記号(#)はsubFieldDelimiterです。

図1-2に、デリミタで区切られたサンプルの複数値データを示します。

図1-2 デリミタで区切られたサンプルの複数値データ

「図1-2 デリミタで区切られたサンプルの複数値データ」の説明

fieldDelimiter、multiValueDelimiterおよびsubFieldDelimiterパラメータの詳細は、「接続リソースの基本情報の指定」および「接続なしリソースの基本情報の指定」を参照してください。

1.7.9 コメント文字のサポート

#や$などの特定の文字で始まる行の処理を無視するようにコネクタを構成できます。

これらの構成可能な文字は、コメント文字とみなされ、このような文字で始まる文は、コメントとみなされます。コネクタ実装は、構成されたコメント文字で始まる行をスキップします。

これを構成するには、「コメント文字を無視するためのコネクタの構成」の説明に従って、フラット・ファイル・アプリケーションの「拡張設定」セクションに、commentCharacterという名前の属性を追加します。

1.7.10 フォルト処理のサポート

コネクタは、フラット・ファイルの解析中に、レコード・レベルのエラーを別のファイルに記録します。このログ・ファイルは、フラット・ファイルのディレクトリ内にコネクタによって作成される「failed」という名前のディレクトリに保存されます。

コネクタは、処理されたフラット・ファイルを次の形式で保存します。

FILENAME_dd-MM-yyyy_HH-mm-ss.EXT

この書式の意味:

• FILENAMEは、アーカイブされるフラット・ファイルの名前です。

• dd-MM-yyyy_HH-mm-ssは、コネクタがファイルの処理を開始した日時です。

• EXTは、ファイルの拡張子です。

たとえば、ファイル名は、次の書式で保存されます。

acmeusers_29-08-2013_22-44-12.csv

エラー・ファイルには、検証エラーまたはデータ・エラーが原因で処理されなかったすべてのレコードが含まれます。また、コネクタは、将来の参照用に、障害の理由を個別の属性としてエラー・ファイルに追加します。エラー・ファイルには、障害レコードの既存の属性が含まれるため、同じファイルを変更してデータ・エラーを修正し、コネクタを使用してロードしなおすことで、障害レコードのみをリコンサイルできます。Oracle Identity Governance管理者は、フラット・ファイル・ディレクトリとアーカイブ・ディレクトリの場所に対する読取りおよび書込み権限を持っている必要があります。

1.7.11 前処理および後処理ハンドラのサポート

前処理タスクと後処理タスクは、それぞれアカウントのリコンシリエーションの前と後の両方に実行できます。

これらのタスクを使用して、フラット・ファイル・ディレクトリで任意のジョブ(ファイルの圧縮と解凍、完全なファイル・ダンプまたはファイル内の特定フィールドの暗号化と復号化、ファイルのウィルス・スキャン、またはこれらのタスクの実装によってのみ制限される他の任意のタスクなど)を実行できます。

詳細は、「前処理および後処理タスクの構成」を参照してください。

1.7.12 アカウント・データの変換および検証

アプリケーションの作成時にGroovyスクリプトを作成して、リコンシリエーション操作およびプロビジョニング操作の際にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証を構成できます。

詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の属性のプロビジョニングおよびリコンシリエーションの検証と変換に関する項を参照してください。

1.7.13 コネクタ・サーバーのサポート

コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。

アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。

コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。