1. Azure Active Directoryアプリケーションの構成
  2. コネクタの構成

3 コネクタの構成

ターゲットまたは認可アプリケーションの作成中に、Oracle Identity Governanceとターゲット・システムに接続してコネクタ操作を実行するためにコネクタによって使用される、接続関連パラメータを構成する必要があります。また、Oracle Identity Governance内のプロセス・フォーム・フィールドとターゲット・システムの列の間の属性マッピング、事前定義済の相関ルール、状況とレスポンス、およびリコンシリエーション・ジョブを表示および編集できます。

基本構成パラメータ

これらは、Azure ADアプリケーションへの接続のために、Oracle Identity Governanceで必要となる接続関連パラメータです。これらのパラメータは、ターゲット・アプリケーションと認可アプリケーションの両方に共通します。

ノート:

指定がないかぎり、次の表のエントリは変更しないでください。

表3-1 基本構成のパラメータ

パラメータ 必須 説明

authenticationType

 はい

ターゲット・システムにより使用される認証のタイプを入力します。このコネクタの場合、ターゲット・システムOAuth2.0クライアント資格証明です。これは、アプリケーションを作成する際の必須属性です。パラメータの値は変更しないでください。

デフォルト値: client_credentials

host

 はい

ターゲット・システムをホストしているマシンのホスト名を入力します。これは、アプリケーションを作成する際の必須属性です。

サンプル値: graph.microsoft.com

authenticationServerUrl

 はい

ターゲット・システムのクライアントIDおよびクライアント・シークレットを検証する認証サーバーのURLを入力します。

サンプル値: https://login.microsoftonline.com/idmconnector.onmicrosoft.com/oauth2/v2.0/token

clientId

 はい

登録処理中に認証サーバーによってクライアント・アプリケーションに対して発行されるクライアント識別子(一意の文字列)を入力します。このクライアントIDは、新しく追加されたアプリケーションの構成の説明に示されている手順を実行するときに取得しました。

clientSecret

 はい

クライアント・アプリケーションのアイデンティティを認証するのに使用されるシークレット・キーを入力します。このシークレット・キーは、新しく追加されたアプリケーションの構成の説明に示されている手順を実行するときに取得しました。

uriPlaceHolder

 はい

relURIsのプレースホルダを置き換えるキーと値のペアを入力します。すべての相対URLにおいて繰り返される値で構成されるURIプレースホルダです。値はカンマで区切る必要があります。

たとえば、テナントIDおよびAPIバージョン値はすべてのリクエストURLにおいてその一部となっています。そのため、これをキーと値のペアで置き換えます。

サンプル値: "api_version;v1.0"

port

 いいえ

ターゲット・システムがリスニングしているポート番号を入力します。

サンプル値: 443

sslEnabled

 いいえ

ターゲット・システムでSSL接続が必要な場合、このパラメータの値をtrueに設定しますそうではない場合、値をfalseに設定します。

デフォルト値: true

Scope

はい

クライアント・アプリケーションのスコープを入力します。

デフォルト値: https://graph.microsoft.com/.default

proxyHost

いいえ

外部ターゲットへの接続に使用されるプロキシ・ホストの名前を入力します。

proxyPassword

いいえ

ターゲット・システムに接続するために、Oracle Identity Governanceにより使用されるターゲット・システム・ユーザー・アカウントのプロキシ・ユーザーIDのパスワードを入力します。

proxyPort

いいえ

プロキシのポート番号を入力します。

proxyUser

いいえ

ターゲット・システムに接続するために、Oracle Identity Governanceにより使用されるターゲット・システム・ユーザー・アカウントのプロキシ・ユーザー名を入力します。

サンプル値: 80

拡張設定パラメータ

これらは、コネクタでリコンシリエーション操作およびプロビジョニング操作時に使用される構成関連のエントリです。

ノート:

  • 指定がないかぎり、次の表のエントリは変更しないでください。

  • 次の表のパラメータはすべて必須です。

表3-2 拡張設定パラメータ

パラメータ 説明

granularLicenses

このパラメータは、詳細なライセンスのサポートを有効にします。

デフォルト値: False

ノート:

granularLicensesパラメータは12.2.1.3.0A以降でサポートされています

relURIs

このエントリは、このコネクタでサポートされている各オブジェクト・クラスの相対URLおよびこれらのオブジェクト・クラスで実行可能なコネクタ操作を含みます。これは、アプリケーションを作成する際の必須属性です。

デフォルト値: __ACCOUNT__.CREATEOP=/$(api_version)$/users,"__ACCOUNT__.UPDATEOP=/$(api_version)$/users/$(__UID__)$","__ACCOUNT__.SEARCHOP=/$(api_version)$/users?$(Filter Suffix)$&$select=assignedLicenses,userType,displayName,givenName,userPrincipalName,id,city,usageLocation,accountEnabled,mailNickname,surname,country&$top=$(PAGE_SIZE)$&$skiptoken=$(PAGE_TOKEN)$","__ACCOUNT__=/$(api_version)$/users/$(__UID__)$?$select=assignedLicenses,displayName,givenName,userPrincipalName,id,city,usageLocation,accountEnabled,mailNickname,country,surname,userType","__ACCOUNT__.manager.SEARCHOP=/$(api_version)$/users/$(__UID__)$/manager","__ACCOUNT__.manager=/$(api_version)$/users/$(__UID__)$/manager/$ref","__ACCOUNT__.__GROUP__.SEARCHOP=/$(api_version)$/users/$(__UID__)$/memberOf?&$top=$(PAGE_SIZE)$&$skiptoken=$(PAGE_TOKEN)$","__ACCOUNT__.__GROUP__.DELETEOP=/$(api_version)$/groups/$(__GROUP__.id)$/members/$(__UID__)$/$ref","__ACCOUNT__.__GROUP__=/$(api_version)$/groups/$(__GROUP__.id)$/members/$ref","__GROUP__.CREATEOP=/$(api_version)$/groups","__GROUP__.UPDATEOP=/$(api_version)$/groups/$(__UID__)$","__GROUP__.SEARCHOP=/$(api_version)$/groups?&$filter=securityEnabled+eq+true&$top=$(PAGE_SIZE)$&$skiptoken=$(PAGE_TOKEN)$","__OFFICEGROUP__.SEARCHOP=/$(api_version)$/groups?&$filter=securityEnabled+eq+false&$top=$(PAGE_SIZE)$&$skiptoken=$(PAGE_TOKEN)$","__GROUP__=/$(api_version)$/groups/$(__UID__)$","__GROUP__.member=/$(api_version)$/groups/$(__UID__)$/members/$ref?","__ROLE__.SEARCHOP=/$(api_version)$/directoryRoles?/$(Filter Suffix)$","__ACCOUNT__.__ROLE__=/$(api_version)$/directoryRoles/$(__ROLE__.id)$/members/$ref","__ACCOUNT__.__ROLE__.DELETEOP=/$(api_version)$/directoryRoles/$(__ROLE__.id)$/members/$(__UID__)$/$ref","__ROLE__.member=/$(api_version)$/directoryRoles/$(__UID__)$/members/$ref","__ACCOUNT__.__ROLE__.SEARCHOP=/$(api_version)$/users/$(__UID__)$/memberOf?&$top=$(PAGE_SIZE)$&$skiptoken=$(PAGE_TOKEN)$","assignedLicenses.SEARCHOP=/$(api_version)$/subscribedSkus?/$(Filter Suffix)$","__ACCOUNT__.assignedLicenses.ADDATTRIBUTE=/$(api_version)$/users/$(__UID__)$/assignLicense","__ACCOUNT__.assignedLicenses.REMOVEATTRIBUTE=/$(api_version)$/users/$(__UID__)$/assignLicense","__ACCOUNT__.__OFFICEGROUP__=/$(api_version)$/groups/$(__OFFICEGROUP__.id)$/members/$ref","__ACCOUNT__.__OFFICEGROUP__.DELETEOP=/$(api_version)$/groups/$(__OFFICEGROUP__.id)$/members/$(__UID__)$/$ref","__ACCOUNT__.__OFFICEGROUP__.SEARCHOP=/$(api_version)$/users/$(__UID__)$/memberOf?&$top=$(PAGE_SIZE)$&$skiptoken=$(PAGE_TOKEN)$"

ノート:

granularLicensesパラメータは12.2.1.3.0A以降でサポートされています

詳細ライセンスを有効にしている場合は、次に示すrelURIsに置き換えてください。

"__ACCOUNT__.CREATEOP=/$(api_version)$/users","__ACCOUNT__.UPDATEOP=/$(api_version)$/users/$(__UID__)$","__ACCOUNT__.SEARCHOP=/$(api_version)$/users?$(Filter Suffix)$&$select=assignedLicenses,userType,displayName,givenName,userPrincipalName,id,city,usageLocation,accountEnabled,mailNickname,surname,country&$top=$(PAGE_SIZE)$&$skiptoken=$(PAGE_TOKEN)$","__ACCOUNT__=/$(api_version)$/users/$(__UID__)$?$select=assignedLicenses,displayName,givenName,userPrincipalName,id,city,usageLocation,accountEnabled,mailNickname,country,surname,userType","__ACCOUNT__.manager.SEARCHOP=/$(api_version)$/users/$(__UID__)$/manager","__ACCOUNT__.manager=/$(api_version)$/users/$(__UID__)$/manager/$ref","__ACCOUNT__.__GROUP__.SEARCHOP=/$(api_version)$/users/$(__UID__)$/memberOf?&$top=$(PAGE_SIZE)$&$skiptoken=$(PAGE_TOKEN)$","__ACCOUNT__.__GROUP__.DELETEOP=/$(api_version)$/groups/$(__GROUP__.id)$/members/$(__UID__)$/$ref","__ACCOUNT__.__GROUP__=/$(api_version)$/groups/$(__GROUP__.id)$/members/$ref","__GROUP__.CREATEOP=/$(api_version)$/groups","__GROUP__.UPDATEOP=/$(api_version)$/groups/$(__UID__)$","__GROUP__.SEARCHOP=/$(api_version)$/groups?&$filter=securityEnabled%20eq%20true&$top=$(PAGE_SIZE)$&$skiptoken=$(PAGE_TOKEN)$","__OFFICEGROUP__.SEARCHOP=/$(api_version)$/groups?&$filter=securityEnabled%20eq%20false&$top=$(PAGE_SIZE)$&$skiptoken=$(PAGE_TOKEN)$","__GROUP__=/$(api_version)$/groups/$(__UID__)$","__GROUP__.member=/$(api_version)$/groups/$(__UID__)$/members/$ref?","__ROLE__.SEARCHOP=/$(api_version)$/directoryRoles?/$(Filter Suffix)$","__ACCOUNT__.__ROLE__=/$(api_version)$/directoryRoles/$(__ROLE__.id)$/members/$ref","__ACCOUNT__.__ROLE__.DELETEOP=/$(api_version)$/directoryRoles/$(__ROLE__.id)$/members/$(__UID__)$/$ref","__ROLE__.member=/$(api_version)$/directoryRoles/$(__UID__)$/members/$ref","__ACCOUNT__.__ROLE__.SEARCHOP=/$(api_version)$/users/$(__UID__)$/memberOf?&$top=$(PAGE_SIZE)$&$skiptoken=$(PAGE_TOKEN)$","assignedLicenses.SEARCHOP=/$(api_version)$/subscribedSkus?/$(Filter Suffix)$","__ACCOUNT__.assignedLicenses.ADDATTRIBUTE=/$(api_version)$/users/$(__UID__)$/assignLicense","__ACCOUNT__.assignedLicenses.REMOVEATTRIBUTE=/$(api_version)$/users/$(__UID__)$/assignLicense","__ACCOUNT__.__OFFICEGROUP__=/$(api_version)$/groups/$(__OFFICEGROUP__.id)$/members/$ref","__ACCOUNT__.__OFFICEGROUP__.DELETEOP=/$(api_version)$/groups/$(__OFFICEGROUP__.id)$/members/$(__UID__)$/$ref","__ACCOUNT__.__OFFICEGROUP__.SEARCHOP=/$(api_version)$/users/$(__UID__)$/memberOf?&$top=$(PAGE_SIZE)$&$skiptoken=$(PAGE_TOKEN)$","__ACCOUNT__.assignedLicenses.SEARCHOP=/$(api_version)$/users/$(__UID__)$/licenseDetails?&$top=$(PAGE_SIZE)$&$skiptoken=$(PAGE_TOKEN)$"

ノート:

詳細ライセンスを無効にする場合は、デフォルトのRelURIsを使用します。

nameAttributes

このエントリは、このコネクタにより処理されるすべてのオブジェクトの名前属性を含みます。

たとえば、ユーザー・アカウントに使用される__ACCOUNT__オブジェクト・クラスの名前属性はuserPrincipalNameです。

デフォルト値: __ACCOUNT__.userPrincipalName,"__GROUP__.displayName","__ROLE__.displayName","assignedLicenses.skuPartNumber","__OFFICEGROUP__.displayName"

uidAttributes

このエントリは、このコネクタにより処理されるすべてのオブジェクトのuid属性を含みます。

たとえば、User accountsのuid属性はobjectIdです。

言い換えると、デコードの値__ACCOUNT__.objectIdは、__ACCOUNT__オブジェクト・クラスのコネクタの__UID__属性(つまりGUID)が、ターゲット・システムのユーザー・アカウントの対応するuid属性であるobjectIdにマッピングされるということです。

デフォルト値:__ACCOUNT__.id,"__GROUP__.id","__ROLE__.id","assignedLicenses.skuId","__OFFICEGROUP__.id"

opTypes

このエントリは、コネクタでサポートされる各オブジェクト・クラスのHTTP操作タイプを指定します。値はカンマ区切りで、次の形式です: OBJ_CLASS.OP=HTTP_OP

この形式において、OBJ_CLASSはコネクタ・オブジェクト・クラス、OPはコネクタ操作(CreateOp、UpdateOp、SearchOpなど)およびHTTP_OPはHTTP操作(GET、PUTまたはPOST)です。

デフォルト値: __ACCOUNT__.CREATEOP=POST,"__ACCOUNT__.UPDATEOP=PATCH","__ACCOUNT__.SEARCHOP=GET","__ACCOUNT__.TESTOP=GET","__ACCOUNT__.__GROUP__.UPDATEOP=POST","__ACCOUNT__.manager.CREATEOP=PUT","__ACCOUNT__.manager.UPDATEOP=PUT","__ACCOUNT__.__ROLE__.UPDATEOP=POST","__ACCOUNT__.assignedLicenses.ADDATTRIBUTE=POST","__ACCOUNT__.assignedLicenses.REMOVEATTRIBUTE=POST","__ACCOUNT__.__OFFICEGROUP__.ADDATTRIBUTE=POST"

pageSize

検索操作に対して1ページに表示されるリソースおよびユーザーの数。

デフォルト値: 100

pageTokenAttribute

次のページ・トークンを示すレスポンス・ペイロード内の属性。

デフォルト値: odata.nextLink

pageTokenRegex

この属性は、ページ区切りをサポートするリコンシリエーション中にURLで使用されます。

デフォルト値: (?<=skiptoken=).*

任意の増分リコンシリエーション属性タイプ

デフォルトでは、増分リコンシリエーション中に、Oracle Identity Governanceではターゲット・システムから送信されるタイムスタンプ情報はLongデータ型形式のみを受け入れます。このパラメータの値をTrueに設定すると、Oracle Identity Governanceでは任意のデータ型形式のタイムスタンプ情報を受け入れます。

デフォルト値: True

jsonResourcesTag

このエントリは、リコンシリエーション中に単一ペイロード内の複数のエントリの解析のために使用されるjsonタグ値を含みます。

デフォルト値: __ACCOUNT__=value,"__GROUP__=value","__ROLE__=value","assignedLicenses=value","__OFFICEGROUP__=value"

httpHeaderContentType

このエントリは、ヘッダーの、ターゲット・システムが予期するコンテンツ・タイプを含みます。

デフォルト値: application/json

httpHeaderAccept

このエントリは、ヘッダーの、ターゲット・システムに対して期待する受入タイプを含みます。

デフォルト値: application/json

specialAttributeTargetFormat

このエントリには、属性がターゲット・システム・エンドポイントに存在する形式がリストされます。

たとえば、ターゲット・システム・エンドポイントにおいて別名属性はaliases.aliasとして存在します。値はカンマ区切りで、次の形式で示されます: OBJ_CLASS.ATTR_NAME= TARGET_FORMAT

デフォルト値__ACCOUNT__.manager=id,"__GROUP__.member=url","__ROLE__.member=url","__ACCOUNT__.__GROUP__=value","__ACCOUNT__.__ROLE__=value","__ROLE__.member=value","__GROUP__.member=value","__ACCOUNT__.assignedLicenses=value","__ACCOUNT__.__OFFICEGROUP__=value"

specialAttributeHandling

このエントリには、値をターゲット・システムに1つずつ("SINGLE")送信する必要がある特殊属性がリストされます。値はカンマ区切りで、次の形式です:

OBJ_CLASS.ATTR_NAME.PROV_OP=SINGLE

たとえば、デコードの値が__ACCOUNT__.manager.UPDATEOP=SINGLEである場合は、更新プロビジョニング操作中に__ACCOUNT__オブジェクト・クラスのmanager属性がターゲット・システムに1つずつ送信される必要があることを示します。

デフォルト値__ACCOUNT__.__GROUP__.CREATEOP=SINGLE,"__ACCOUNT__.__GROUP__.UPDATEOP=SINGLE","__ACCOUNT__.manager.CREATEOP=SINGLE","__ACCOUNT__.manager.UPDATEOP=SINGLE","__ACCOUNT__.__ROLE__.CREATEOP=SINGLE","__ACCOUNT__.__ROLE__.UPDATEOP=SINGLE","__ACCOUNT__.assignedLicenses.ADDATTRIBUTE=SINGLE","__ACCOUNT__.assignedLicenses.REMOVEATTRIBUTE=SINGLE","__ACCOUNT__.__OFFICEGROUP__.ADDATTRIBUTE=SINGLE","__ACCOUNT__.__OFFICEGROUP__.REMOVEATTRIBUTE=SINGLE"

customPayload

このエントリは、標準の形式ではないすべての操作のペイロードを示します。

デフォルト値:__ACCOUNT__.__GROUP__.UPDATEOP={\@odata.id\":\"https://graph.microsoft.com/v1.0/directoryObjects/$(__UID__)$\"}","__ACCOUNT__.__GROUP__.CREATEOP={\"@odata.id\":\"https://graph.microsoft.com/v1.0/directoryObjects/$(__UID__)$\"}","__ACCOUNT__.manager.CREATEOP={\"@odata.id\":\"https://graph.microsoft.com/v1.0/directoryObjects/$(manager)$\"}","__ACCOUNT__.manager.UPDATEOP={\"@odata.id\":\"https://graph.microsoft.com/v1.0/directoryObjects/$(manager)$\"}","__ACCOUNT__.__ROLE__.UPDATEOP={\"@odata.id\":\"https://graph.microsoft.com/v1.0/directoryObjects/$(__UID__)$\"}","__ACCOUNT__.__ROLE__.CREATEOP={\"@odata.id\":\"https://graph.microsoft.com/v1.0/directoryObjects/$(__UID__)$\"}","__ACCOUNT__.assignedLicenses.ADDATTRIBUTE={\"addLicenses\": [{\"skuId\": \"$(skuId)$\"}],\"removeLicenses\": []}","__ACCOUNT__.assignedLicenses.REMOVEATTRIBUTE={\"addLicenses\": [],\"removeLicenses\": [\"$(skuId)$\"]}","__ACCOUNT__.__OFFICEGROUP__.UPDATEOP={\"@odata.id\":\"https://graph.microsoft.com/v1.0/directoryObjects/$(__UID__)$\"}"

statusAttributes

このエントリには、アカウントのステータスを含むターゲット・システム属性の名前がリストされます。たとえば、ユーザー・アカウントに使用される__ACCOUNT__オブジェクト・クラスのステータス属性はaccountEnabledです。

デフォルト値:"__ACCOUNT__.accountEnabled"

passwordAttribute

このエントリは、OIMのコネクタの__PASSWORD__属性にマッピングされるターゲット・システム属性の名前を含みます。

デフォルト値: passwordProfile.password

targetObjectIdentifier

このエントリは、relURIのプレースホルダを置き換えるキーと値のペアを指定します。値はカンマ区切りで、KEY;VALUEの形式です。

デフォルト値: __ACCOUNT__.__GROUP__=securityEnabled;true,"__ACCOUNT__.__OFFICEGROUP__=securityEnabled;false","__ACCOUNT__.__ROLE__=@odata.type;#microsoft.graph.directoryRole"

childFieldsWithSingleEnd

このエントリは、単一のエンドポイント・レスポンスからの特別な属性データを指定します。

デフォルト値: __GROUP__,"__ROLE__","__OFFICEGROUP__"

属性マッピング

「スキーマ」ページでの属性マッピングは、ターゲット・アプリケーションを作成するか認可アプリケーションを作成するかによって異なります。

ターゲット・アプリケーションの属性マッピング

ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システム属性をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。

Azure ADターゲット・アプリケーションのデフォルト属性

表3-3に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAzure ADターゲット・アプリケーションの属性間のユーザー固有の属性マッピングを示します。また、この表には、特定の属性がプロビジョニングまたはリコンシリエーション時に使用されるかどうかと、リコンシリエーション時にレコードをフェッチするための照合キー・フィールドであるかどうかも示します。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。

表3-3 Azure ADターゲット・アプリケーションのデフォルト属性

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ プロビジョニング・フィールド リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない 拡張フラグ設定

オブジェクトID

__UID__

文字列

いいえ

はい

はい

はい

 はい

はい

ユーザー・プリンシパル名

__NAME__

文字列

はい

はい

はい

いいえ

該当なし

はい

givenName

文字列

いいえ

はい

はい

いいえ

該当なし

はい

surname

文字列

いいえ

はい

はい

いいえ

該当なし

はい

表示名

displayName

文字列

はい

はい

はい

いいえ

該当なし

はい

使用場所

usageLocation

文字列

いいえ

はい

はい

いいえ

該当なし

はい

市区町村

city

文字列

いいえ

はい

はい

いいえ

該当なし

はい

country

文字列

いいえ

はい

はい

いいえ

該当なし

はい

マネージャ

manager

文字列

いいえ

はい

はい

いいえ

該当なし

はい

優先言語

preferredLanguage

文字列

いいえ

はい

はい

いいえ

該当なし

はい

メール・ニックネーム

mailNickname

文字列

はい

はい

はい

いいえ

該当なし

はい

アカウント有効

accountEnabled

文字列

いいえ

はい

はい

いいえ

該当なし

はい

AzureADサーバー

  

ロング

はい

いいえ

はい

はい

該当なし

はい

ステータス

__ENABLE__

文字列

いいえ

いいえ

はい

いいえ

該当なし

はい

パスワード

__PASSWORD__

文字列

いいえ

はい

いいえ

いいえ

該当なし

はい

次のログオン時にパスワードを変更

passwordProfile.forceChangePasswordNextLogin

文字列

いいえ

はい

いいえ

いいえ

該当なし

はい

図3-1に、デフォルトのユーザー・アカウント属性マッピングを示します。

図3-1 Azure ADユーザー・アカウントのデフォルトの属性マッピング

これはAzure ADユーザー・アカウントのデフォルト属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。

ロールの権限

表3-4に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAzure ADターゲット・アプリケーションの属性間のロール固有の属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。

表3-4 ロールのデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない

ロール名

__ROLE__~__ROLE__~id

 文字列 いいえ はい はい いいえ

図3-2に、デフォルトのロール権限マッピングを示します。

図3-2 ロールのデフォルトの属性マッピング

これは、デフォルトのロールの子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。

グループの権限

表3-5および表3-6に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAzure ADターゲット・アプリケーションの属性間のグループ・フォーム属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。

表3-5 セキュリティ・グループ・フォームのデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない

セキュリティ・グループ名

__GROUP__~__GROUP__~id

 文字列 いいえ はい はい いいえ

図3-3に、デフォルトの属性セキュリティ・グループ・マッピングを示します。

図3-3 セキュリティ・グループ用のデフォルトの属性マッピング

これは、デフォルトのグループ子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。

表3-6 オフィス・グループ・フォームのデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない

オフィス・グループ名

__OFFICEGROUP__~__OFFICEGROUP__~id

文字列

いいえ

はい

はい

いいえ

図3-4に、デフォルトの属性オフィス・グループ・マッピングを示します。

図3-4 オフィス・グループ用のデフォルトの属性マッピング

これは、デフォルトのオフィス・グループ子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。

ライセンスの権限

表3-7に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAzure ADターゲット・アプリケーションの属性間のライセンス属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。

表3-7 ライセンスのデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない

ライセンス名

assignedLicenses~assignedLicenses~skuId

 文字列 いいえ はい はい いいえ

図3-5に、デフォルトの属性ライセンス・マッピングを示します。

図3-5 ライセンスのデフォルトの属性マッピング

これは、デフォルトのライセンス子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。

認可アプリケーションの属性マッピング

認可アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性を認可システムの属性にマップするデフォルト・スキーマ(コネクタによって提供される)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。

表3-8に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAzure AD認可アプリケーションの属性間のユーザー固有の属性マッピングを示します。この表では、指定した属性のデータ型と、リコンシリエーションの必須属性かどうかも示します。

必要な場合は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』認可アプリケーションの作成に関する項の説明に従って新しい属性を追加したり既存の属性を削除することで、デフォルトの属性マッピングを編集できます。

自動設定されたデフォルト・スキーマを使用するか、またはデフォルト・スキーマを更新および変更して、次のステップに進みます。

「組織名」、「Xellerateタイプ」および「ロール」アイデンティティ属性は、OIGユーザー・フォームの必須フィールドです。リコンシリエーション中に空白のままにすることはできません。これらのアイデンティティ属性のターゲット属性マッピングは、対応する列がターゲット・システムにないため、デフォルトでは空です。したがって、リコンシリエーション中に使用可能なデフォルト値(表3-8を参照)がコネクタによって提供されます。たとえば、「組織名」のターゲット属性のデフォルト値はXellerate Usersです。このことは、すべてのターゲット・システムのユーザー・アカウントがOracle Identity GovernanceのXellerate Usersという組織にリコンサイルされることを示しています。同様に、「Xellerateタイプ」属性のデフォルトの属性値はEnd-Userで、すべてのリコンサイルされたユーザー・レコードがエンド・ユーザーとしてマークされることを示しています。

表3-8 Azure AD認可アプリケーションのデフォルトの属性

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ リコンシリエーション・フィールド 拡張フラグ設定 アイデンティティ表示名のデフォルト値

ユーザー・ログイン

__NAME__

 文字列 いいえ はい

はい

なし

Office365 GUID

__UID__

 文字列 いいえ はい はい

なし

givenName

 文字列 いいえ はい はい

なし

surname

 文字列 いいえ はい はい

なし

表示名

displayName

 文字列 いいえ はい はい

なし

地方名

usageLocation

 文字列 いいえ はい はい

なし

country

 文字列 いいえ はい はい

なし

マネージャ・ログイン

manager

 文字列 いいえ はい はい

なし

usr_locale

preferredLanguage

 文字列 いいえ はい はい

なし

Xellerateタイプ

文字列 いいえ はい はい

エンドユーザー

ロール

文字列 いいえ はい はい

フルタイム

組織名

文字列 いいえ はい はい

Xellerateユーザー

ステータス

__ENABLE__

 文字列 いいえ はい はい

なし

図3-6は、デフォルトのユーザー・アカウント属性マッピングを示しています。

図3-6 Azure AD認可アプリケーションのデフォルトの属性

これは、Azure ADの信頼できるアカウントのデフォルトの属性マッピングを表示する認可アプリケーションの「スキーマ」ページのスクリーンショットです。

MS Teams管理

Teamsの表3-9に、Oracle Identity Governanceのプロセス・フォーム・フィールドとMS Teamsのターゲット・アプリケーション属性の間のMS Teamsの属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。

MS Teamsグループ割当てのデフォルト属性マッピング新規属性の追加または既存属性の削除によるデフォルトの属性マッピングを提供します。

表3-9 Teamsのデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない
Teams __TEAMS__~__TEAMS__~id 文字列 いいえ はい はい いいえ

チーム・グループ割当て

組織へのリソースのプロビジョニングの図は、Oracle Identity Governanceのプロセス・フォーム・フィールドとMS Teamsのターゲット・アプリケーション属性間のMicrosoft Teams属性マッピングを示しています。

図3-7 組織へのリソースのプロビジョニング

組織にリソースをプロビジョニングするためのリソースの選択ステップを説明します。

図3-8 組織へのリソースのプロビジョニングのプロセス・データ

AzureTeamグループ・フォームからプロセス・データを生成するステップについて説明します。

相関ルール

ターゲット・アプリケーションおよび認可アプリケーションの事前定義済ルール、レスポンスおよび状況について学習します。コネクタは、リコンシリエーションの実行にこれらのルールおよびレスポンスを使用します。

ターゲット・アプリケーションの相関ルール

ターゲット・アプリケーションを作成する際、コネクタは相関ルールを使用してOracle Identity Governanceでリソースを割り当てる必要があるアイデンティティを特定します。

事前定義済アイデンティティ相関ルール

デフォルトでは、Azure ADコネクタにより、ターゲット・アプリケーション作成時の単純相関ルールが提供されます。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。

表3-10に、Azure ADコネクタ用のデフォルトの単純相関ルールを示します。必要に応じて、デフォルト相関ルールを編集するか、新しいルールを追加できます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』アイデンティティ相関ルールの更新に関する項を参照してください。

表3-10 Azure ADコネクタの事前定義済アイデンティティ相関ルール

ターゲット属性 要素演算子 アイデンティティ属性 大/小文字の区別

__NAME__

次と等しい

ユーザー・ログイン

いいえ
このアイデンティティ・ルールの意味は次のとおりです。

  • __NAME__は、ユーザー・アカウントを識別するターゲット・システムの単一値属性です。

  • 「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。

図3-1に、Azure ADターゲット・アプリケーションの単純相関ルールを示します。

図3-9 Azure ADターゲット・アプリケーションの単純相関ルール

これは、Azure ADのターゲット・アプリケーションを作成する際の単純相関ルールのスクリーンショットです。

事前定義済の状況およびレスポンス

Azure ADコネクタには、ターゲット・アプリケーション作成時の状況とレスポンスのデフォルト・セットが用意されています。これらの状況とレスポンスによって、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションが指定されます。

表3-11に、Azure ADターゲット・アプリケーションのデフォルトの状況およびレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集するか、新しい状況とレスポンスを追加できます。状況およびレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』状況およびレスポンスの更新に関する項を参照してください

表3-11 Azure ADターゲット・アプリケーションの事前定義済の状況とレスポンス

状況 レスポンス

一致が見つからなかった場合

 なし

1つのエンティティ一致が見つかった場合

リンクの確立

1つのプロセス一致が見つかった場合

リンクの確立

図3-10に、コネクタでデフォルトで提供されるAzure ADの状況とレスポンスを示します。

図3-10 Azure ADターゲット・アプリケーションの事前定義済の状況とレスポンス

これは、リコンシリエーション中にAzure ADターゲット・アプリケーションで使用できるデフォルトの状況とレスポンスのスクリーンショットです。

認可アプリケーションの相関ルール

認可アプリケーションを作成する際、コネクタは相関ルールを使用してOracle Identity Governanceにリコンサイルする必要があるアイデンティティを特定します。

事前定義済アイデンティティ相関ルール

デフォルトでは、Azure ADコネクタにより、認可アプリケーションの作成時に単純相関ルールが提供されます。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。

表3-12に、Azure ADコネクタ用のデフォルトの単純相関ルールを示します。必要に応じて、デフォルト相関ルールを編集するか、新しいルールを追加できます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』アイデンティティ相関ルールの更新に関する項を参照してください。

表3-12 Azure AD認可アプリケーションの事前定義済アイデンティティ相関ルール

認可属性 要素演算子 アイデンティティ属性 大/小文字の区別

__NAME__

次と等しい

ユーザー・ログイン

いいえ
_UID_ 次と等しい AzuzreAD GUID いいえ

相関ルール要素: (__NAME__Equals __User Login) OR (_UID_Equals AzuzreAD GUID)

最初の相関ルール要素:

  • User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。

  • __NAME__は、ユーザーの一意のログイン名です。

2番目の相関ルール要素:

  • AzuzreAD GUIDは、ターゲット・オブジェクトIDをOIMユーザーにマッピングするためのUDF (ユーザー定義フィールド)です。

  • _UID_は、AzuzreADユーザーのオブジェクトIDです。

ルールの演算子: OR

図3-11に、Azure AD認可アプリケーションの単純相関ルールを示します。

図3-11 Azure AD認可アプリケーションの単純相関ルール

これは、Azure ADの認可アプリケーションを作成する際の単純相関ルールのスクリーンショットです。

事前定義済の状況およびレスポンス

Azure ADコネクタには、認可アプリケーションの作成時の状況とレスポンスのデフォルト・セットが用意されています。これらの状況とレスポンスによって、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションが指定されます。

表3-13に、Azure AD認可アプリケーションのデフォルトの状況およびレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集するか、新しい状況とレスポンスを追加できます。状況およびレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』状況およびレスポンスの更新に関する項を参照してください。

表3-13 Azure AD認可アプリケーションの事前定義済の状況とレスポンス

状況 レスポンス

一致が見つからなかった場合

ユーザーの作成

1つのエンティティ一致が見つかった場合

リンクの確立

1つのプロセス一致が見つかった場合

リンクの確立

図3-12に、コネクタでデフォルトで提供されるAzure ADの状況とレスポンスを示します。

図3-12 Azure AD認可アプリケーションの単純相関ルール

これは、Azure ADの認可アプリケーションを作成する際の単純相関ルールのスクリーンショットです。

リコンシリエーション・ジョブ

ここでは、アプリケーションを作成するとOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブについて説明します。

ユーザー・リコンシリエーション・ジョブ

これらの事前定義済のジョブを使用することも、要件に合うように編集することもできます。また、カスタム・リコンシリエーション・ジョブを作成することもできます。これらの事前定義済のジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』リコンシリエーション・ジョブの更新に関する項を参照してください。

次のリコンシリエーション・ジョブをリコンシリエーション・ユーザー・データに対して使用できます。

  • Azure AD完全ユーザー・リコンシリエーション: このリコンシリエーション・ジョブを使用して、ターゲット・アプリケーションからユーザー・データをリコンサイルします。
  • Azure ADユーザーの信頼できるリコンシリエーション: このリコンシリエーション・ジョブを使用して、認可アプリケーションからユーザー・データをリコンサイルします。

表3-14に、Azure AD完全ユーザー・リコンシリエーション・ジョブのパラメータを示します。

表3-14 Azure AD完全ユーザー・リコンシリエーション・ジョブのパラメータ

パラメータ 説明

Application name

リコンシリエーション・ジョブが関連付けられているAOBアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。

このデフォルト値は変更しないでください。

Latest Token

このパラメータは、Incremental Recon Attributeパラメータの値として指定されたターゲット・システム属性の値を保持します。Latest Tokenパラメータは内部目的で使用されます。デフォルトでは、この値は空です。

ノート: このパラメータに値を入力しないでください。リコンシリエーション・エンジンにより、値はこのパラメータに自動的に入力されます。

サンプル値: <String>2017-11-30T04:44:29Z</String>

Object Type

このパラメータは、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。

デフォルト値: User

このデフォルト値は変更しないでください。

Filter Suffix

リコンシリエーションの実行時にターゲット・システムからフェッチされるユーザー・レコードの検索フィルタを入力します。

増分リコンシリエーションが有効な場合のサンプル値: $filter=startswith(displayName,'user1')

増分リコンシリエーションが有効ではない場合のサンプル値: &$filter=startswith(displayName,'user1')

フィルタの作成の詳細は、「制限付きリコンシリエーションの実行」を参照してください。

Scheduled Task Name

リコンシリエーションに使用されるスケジュール済タスクの名前。

このパラメータの値を変更しないでください。

Incremental Recon Attribute

トークン・レコードが変更されたタイムスタンプを保持する属性の名前を入力します。
表3-15に、Azure ADユーザーの信頼できるリコンシリエーション・ジョブのパラメータの説明を示します。

表3-15 Azure ADユーザーの信頼できるリコンシリエーション・ジョブのパラメータ

パラメータ 説明

Application name

ジョブが関連付けられているAOBアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。

この値は変更しないでください

Filter Suffix

リコンシリエーションの実行時にターゲット・システムからフェッチされるユーザー・レコードの検索フィルタを入力します。

サンプル値: $filter=startswith(displayName,'user1')

フィルタの作成の詳細は、「制限付きリコンシリエーションの実行」を参照してください。

Incremental Recon Attribute

トークン・レコードが変更されたタイムスタンプを保持する属性。

Latest Token

このパラメータは、Incremental Recon Attribute属性の値として指定された属性の値を保持します。Latest Tokenパラメータは内部目的で使用されます。デフォルトでは、この値は空です。

ノート: 適切なIncrement Recon attributeが指定されている場合は、このパラメータの値を入力しないでください。

サンプル値: <String>2017-11-30T04:44:29Z</String>

Object Type

このパラメータは、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。

デフォルト値: User

ノート: デフォルト値は変更しないでください。

Scheduled Task Name

リコンシリエーションに使用されるスケジュール済タスクの名前。

このパラメータの値を変更しないでください。

ターゲットの削除ユーザーのリコンシリエーション・ジョブ

Azure ADユーザー・ターゲット削除リコンシリエーション・ジョブは、ターゲット・アプリケーションから削除されたユーザーに関するデータをリコンサイルする場合に使用します。リコンシリエーションの実行時に、ターゲット・システムの削除されたユーザー・アカウントごとに、対応するOIMユーザーのAzure ADリソースが削除されます。

表3-16 AzureADターゲット・ユーザー削除リコンシリエーション・ジョブのパラメータ

パラメータ 説明

Application Name

使用するターゲット・システム用に作成したアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。

この値は変更しないでください

Object Type

このパラメータは、リコンサイルするオブジェクトのタイプを保持します。

デフォルト値: User

ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。

信頼できる削除ユーザーのリコンシリエーション・ジョブ

Azure AD信頼できるユーザー削除リコンシリエーション・ジョブは、認可アプリケーションから削除されたユーザーに関するデータをリコンサイルする場合に使用します。リコンシリエーションの実行時、削除されたターゲット・システム・ユーザー・アカウントごとに、対応するOIMユーザーが削除されます。

表3-17 AzureAD信頼できるユーザー削除リコンシリエーション・ジョブのパラメータ

パラメータ 説明

Application Name

使用するターゲット・システム用に作成したアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。

この値は変更しないでください

Object Type

このパラメータは、リコンサイルするオブジェクトのタイプを保持します。

デフォルト値: User

ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。

権限のリコンシリエーション・ジョブ

権限をリコンサイルするために次のジョブを使用できます。

  • AzureADオフィス・グループ参照リコンシリエーション

  • AzureADセキュリティ・グループ参照リコンシリエーション

  • AzureADライセンス参照リコンシリエーション

  • AzureADロール参照リコンシリエーション

  • AzureADマネージャ参照リコンシリエーション

  • AzureADTeams参照リコンシリエーション

    ノート:

    Teamsのサポートは、12.2.1.3.0Bから適用可能です
パラメータは、すべてのリコンシリエーション・ジョブで共通です。

表3-18 権限のリコンシリエーション・ジョブのパラメータ

パラメータ 説明

Application Name

リコンシリエーション・ジョブが関連付けられている現在のAOBアプリケーション名。

デフォルト値: AzureAD

この値は変更しないでください

Code Key Attribute

コネクタの属性の名前。参照定義(Lookup Name属性の値として指定される)のコード・キー列に値を移入するために使用されます。

デフォルト値: __UID__

この値は変更しないでください

Decode Attribute

コネクタの属性の名前。参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用されます。

デフォルト値: __NAME__

Lookup Name

ターゲット・システムからフェッチした値を移入するOracle Identity Governanceの参照定義の名前を入力します。

デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。

  • AzureADオフィス・グループ参照リコンシリエーションの場合: Lookup.AzureAD.OfficeGroups

  • AzureADセキュリティ・グループ参照リコンシリエーションの場合: Lookup.AzureAD.SecurityGroups

  • Azure ADライセンス参照リコンシリエーションの場合: Lookup.AzureAD.Licenses

  • Azure ADロールの参照リコンシリエーションの場合: Lookup.AzureAD.Roles

  • Azure ADマネージャ参照リコンシリエーションの場合: Lookup.AzureAD.Manager

  • Azure AD Teams参照リコンシリエーションの場合: Lookup.Teams.TeamsGroup

    ノート:

    Teamsのサポートは、12.2.1.3.0Bから適用可能です。

これらの参照定義のいずれかのコピーを作成する場合は、Lookup Name属性の値として新しい参照定義の名前を入力します。

Object Type

リコンサイルするオブジェクトのタイプを入力します。

デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。

  • Azure ADオフィス・グループ参照リコンシリエーションの場合: __OFFICEGROUP__

  • Azure ADセキュリティ・グループ参照リコンシリエーションの場合: __GROUP__

  • Azure ADライセンス参照リコンシリエーションの場合: __LICENSE__

  • Azure ADロール参照リコンシリエーションの場合: __ROLE__

  • Azure ADマネージャ参照リコンシリエーションの場合: __USER__

  • Azure AD Teams参照リコンシリエーションの場合: __TEAMS__

ノート: このパラメータの値を変更しないでください。

Teamsのサポートは、12.2.1.3.0Bから適用可能です。