3 コネクタの構成
ターゲットまたは認可アプリケーションの作成中に、Oracle Identity Governanceとターゲット・システムに接続してコネクタ操作を実行するためにコネクタによって使用される、接続関連パラメータを構成する必要があります。また、Oracle Identity Governance内のプロセス・フォーム・フィールドとターゲット・システムの列の間の属性マッピング、事前定義済の相関ルール、状況とレスポンス、およびリコンシリエーション・ジョブを表示および編集できます。
基本構成パラメータ
これらは、Azure ADアプリケーションへの接続のために、Oracle Identity Governanceで必要となる接続関連パラメータです。これらのパラメータは、ターゲット・アプリケーションと認可アプリケーションの両方に共通します。
ノート:
指定がないかぎり、次の表のエントリは変更しないでください。表3-1 基本構成のパラメータ
パラメータ | 必須 | 説明 |
---|---|---|
authenticationType |
はい |
ターゲット・システムにより使用される認証のタイプを入力します。このコネクタの場合、ターゲット・システムOAuth2.0クライアント資格証明です。これは、アプリケーションを作成する際の必須属性です。パラメータの値は変更しないでください。 デフォルト値: |
host |
はい |
ターゲット・システムをホストしているマシンのホスト名を入力します。これは、アプリケーションを作成する際の必須属性です。 サンプル値: |
authenticationServerUrl |
はい |
ターゲット・システムのクライアントIDおよびクライアント・シークレットを検証する認証サーバーのURLを入力します。 サンプル値: |
clientId |
はい |
登録処理中に認証サーバーによってクライアント・アプリケーションに対して発行されるクライアント識別子(一意の文字列)を入力します。このクライアントIDは、新しく追加されたアプリケーションの構成の説明に示されている手順を実行するときに取得しました。 |
clientSecret |
はい |
クライアント・アプリケーションのアイデンティティを認証するのに使用されるシークレット・キーを入力します。このシークレット・キーは、新しく追加されたアプリケーションの構成の説明に示されている手順を実行するときに取得しました。 |
uriPlaceHolder |
はい |
relURIsのプレースホルダを置き換えるキーと値のペアを入力します。すべての相対URLにおいて繰り返される値で構成されるURIプレースホルダです。値はカンマで区切る必要があります。 たとえば、テナントIDおよびAPIバージョン値はすべてのリクエストURLにおいてその一部となっています。そのため、これをキーと値のペアで置き換えます。 サンプル値: |
port |
いいえ |
ターゲット・システムがリスニングしているポート番号を入力します。 サンプル値: |
sslEnabled |
いいえ |
ターゲット・システムでSSL接続が必要な場合、このパラメータの値を デフォルト値: |
Scope |
はい |
クライアント・アプリケーションのスコープを入力します。 デフォルト値: |
proxyHost |
いいえ |
外部ターゲットへの接続に使用されるプロキシ・ホストの名前を入力します。 |
proxyPassword |
いいえ |
ターゲット・システムに接続するために、Oracle Identity Governanceにより使用されるターゲット・システム・ユーザー・アカウントのプロキシ・ユーザーIDのパスワードを入力します。 |
proxyPort |
いいえ |
プロキシのポート番号を入力します。 |
proxyUser |
いいえ |
ターゲット・システムに接続するために、Oracle Identity Governanceにより使用されるターゲット・システム・ユーザー・アカウントのプロキシ・ユーザー名を入力します。 サンプル値: |
拡張設定パラメータ
これらは、コネクタでリコンシリエーション操作およびプロビジョニング操作時に使用される構成関連のエントリです。
ノート:
-
指定がないかぎり、次の表のエントリは変更しないでください。
-
次の表のパラメータはすべて必須です。
表3-2 拡張設定パラメータ
パラメータ | 説明 |
---|---|
granularLicenses |
このパラメータは、詳細なライセンスのサポートを有効にします。 デフォルト値: False ノート: granularLicensesパラメータは12.2.1.3.0A以降でサポートされています |
relURIs |
このエントリは、このコネクタでサポートされている各オブジェクト・クラスの相対URLおよびこれらのオブジェクト・クラスで実行可能なコネクタ操作を含みます。これは、アプリケーションを作成する際の必須属性です。 デフォルト値: ノート: granularLicensesパラメータは12.2.1.3.0A以降でサポートされています詳細ライセンスを有効にしている場合は、次に示すrelURIsに置き換えてください。
ノート: 詳細ライセンスを無効にする場合は、デフォルトのRelURIsを使用します。 |
nameAttributes |
このエントリは、このコネクタにより処理されるすべてのオブジェクトの名前属性を含みます。 たとえば、ユーザー・アカウントに使用される デフォルト値: |
uidAttributes |
このエントリは、このコネクタにより処理されるすべてのオブジェクトのuid属性を含みます。 たとえば、 __ACCOUNT__.objectId は、__ACCOUNT__ オブジェクト・クラスのコネクタの__UID__ 属性(つまりGUID)が、ターゲット・システムのユーザー・アカウントの対応するuid属性であるobjectId にマッピングされるということです。
デフォルト値: |
opTypes |
このエントリは、コネクタでサポートされる各オブジェクト・クラスのHTTP操作タイプを指定します。値はカンマ区切りで、次の形式です: OBJ_CLASS.OP=HTTP_OP この形式において、 デフォルト値: |
pageSize |
検索操作に対して1ページに表示されるリソースおよびユーザーの数。 デフォルト値: 100 |
pageTokenAttribute |
次のページ・トークンを示すレスポンス・ペイロード内の属性。 デフォルト値: odata.nextLink |
pageTokenRegex |
この属性は、ページ区切りをサポートするリコンシリエーション中にURLで使用されます。 デフォルト値: (?<=skiptoken=).* |
任意の増分リコンシリエーション属性タイプ |
デフォルトでは、増分リコンシリエーション中に、Oracle Identity Governanceではターゲット・システムから送信されるタイムスタンプ情報はLongデータ型形式のみを受け入れます。このパラメータの値を デフォルト値: |
jsonResourcesTag |
このエントリは、リコンシリエーション中に単一ペイロード内の複数のエントリの解析のために使用されるjsonタグ値を含みます。 デフォルト値: |
httpHeaderContentType |
このエントリは、ヘッダーの、ターゲット・システムが予期するコンテンツ・タイプを含みます。 デフォルト値: |
httpHeaderAccept |
このエントリは、ヘッダーの、ターゲット・システムに対して期待する受入タイプを含みます。 デフォルト値: |
specialAttributeTargetFormat |
このエントリには、属性がターゲット・システム・エンドポイントに存在する形式がリストされます。 たとえば、ターゲット・システム・エンドポイントにおいて別名属性は デフォルト値 |
specialAttributeHandling |
このエントリには、値をターゲット・システムに1つずつ("SINGLE")送信する必要がある特殊属性がリストされます。値はカンマ区切りで、次の形式です: OBJ_CLASS.ATTR_NAME.PROV_OP=SINGLE たとえば、デコードの値が デフォルト値 |
customPayload |
このエントリは、標準の形式ではないすべての操作のペイロードを示します。 デフォルト値: |
statusAttributes |
このエントリには、アカウントのステータスを含むターゲット・システム属性の名前がリストされます。たとえば、ユーザー・アカウントに使用される デフォルト値: |
passwordAttribute |
このエントリは、OIMのコネクタの__PASSWORD__属性にマッピングされるターゲット・システム属性の名前を含みます。 デフォルト値: |
targetObjectIdentifier |
このエントリは、relURIのプレースホルダを置き換えるキーと値のペアを指定します。値はカンマ区切りで、KEY;VALUEの形式です。 デフォルト値: |
childFieldsWithSingleEnd |
このエントリは、単一のエンドポイント・レスポンスからの特別な属性データを指定します。 デフォルト値: |
属性マッピング
「スキーマ」ページでの属性マッピングは、ターゲット・アプリケーションを作成するか認可アプリケーションを作成するかによって異なります。
ターゲット・アプリケーションの属性マッピング
ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システム属性をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。
Azure ADターゲット・アプリケーションのデフォルト属性
表3-3に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAzure ADターゲット・アプリケーションの属性間のユーザー固有の属性マッピングを示します。また、この表には、特定の属性がプロビジョニングまたはリコンシリエーション時に使用されるかどうかと、リコンシリエーション時にレコードをフェッチするための照合キー・フィールドであるかどうかも示します。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。
表3-3 Azure ADターゲット・アプリケーションのデフォルト属性
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | プロビジョニング・フィールド | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない | 拡張フラグ設定 |
---|---|---|---|---|---|---|---|---|
オブジェクトID |
__UID__ |
文字列 |
いいえ |
はい |
はい |
はい |
はい |
はい |
ユーザー・プリンシパル名 |
__NAME__ |
文字列 |
はい |
はい |
はい |
いいえ |
該当なし |
はい |
名 |
givenName |
文字列 |
いいえ |
はい |
はい |
いいえ |
該当なし |
はい |
姓 |
surname |
文字列 |
いいえ |
はい |
はい |
いいえ |
該当なし |
はい |
表示名 |
displayName |
文字列 |
はい |
はい |
はい |
いいえ |
該当なし |
はい |
使用場所 |
usageLocation |
文字列 |
いいえ |
はい |
はい |
いいえ |
該当なし |
はい |
市区町村 |
city |
文字列 |
いいえ |
はい |
はい |
いいえ |
該当なし |
はい |
国 |
country |
文字列 |
いいえ |
はい |
はい |
いいえ |
該当なし |
はい |
マネージャ |
manager |
文字列 |
いいえ |
はい |
はい |
いいえ |
該当なし |
はい |
優先言語 |
preferredLanguage |
文字列 |
いいえ |
はい |
はい |
いいえ |
該当なし |
はい |
メール・ニックネーム |
mailNickname |
文字列 |
はい |
はい |
はい |
いいえ |
該当なし |
はい |
アカウント有効 |
accountEnabled |
文字列 |
いいえ |
はい |
はい |
いいえ |
該当なし |
はい |
AzureADサーバー |
ロング |
はい |
いいえ |
はい |
はい |
該当なし |
はい |
|
ステータス |
__ENABLE__ |
文字列 |
いいえ |
いいえ |
はい |
いいえ |
該当なし |
はい |
パスワード |
__PASSWORD__ |
文字列 |
いいえ |
はい |
いいえ |
いいえ |
該当なし |
はい |
次のログオン時にパスワードを変更 |
passwordProfile.forceChangePasswordNextLogin |
文字列 |
いいえ |
はい |
いいえ |
いいえ |
該当なし |
はい |
図3-1に、デフォルトのユーザー・アカウント属性マッピングを示します。
図3-1 Azure ADユーザー・アカウントのデフォルトの属性マッピング

ロールの権限
表3-4に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAzure ADターゲット・アプリケーションの属性間のロール固有の属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。
表3-4 ロールのデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
ロール名 |
__ROLE__~__ROLE__~id |
文字列 | いいえ | はい | はい | いいえ |
図3-2に、デフォルトのロール権限マッピングを示します。
図3-2 ロールのデフォルトの属性マッピング

グループの権限
表3-5および表3-6に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAzure ADターゲット・アプリケーションの属性間のグループ・フォーム属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。
表3-5 セキュリティ・グループ・フォームのデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
セキュリティ・グループ名 |
__GROUP__~__GROUP__~id |
文字列 | いいえ | はい | はい | いいえ |
図3-3に、デフォルトの属性セキュリティ・グループ・マッピングを示します。
図3-3 セキュリティ・グループ用のデフォルトの属性マッピング

表3-6 オフィス・グループ・フォームのデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
オフィス・グループ名 |
__OFFICEGROUP__~__OFFICEGROUP__~id |
文字列 |
いいえ |
はい |
はい |
いいえ |
図3-4に、デフォルトの属性オフィス・グループ・マッピングを示します。
図3-4 オフィス・グループ用のデフォルトの属性マッピング

ライセンスの権限
表3-7に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAzure ADターゲット・アプリケーションの属性間のライセンス属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。
表3-7 ライセンスのデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
ライセンス名 |
assignedLicenses~assignedLicenses~skuId |
文字列 | いいえ | はい | はい | いいえ |
図3-5に、デフォルトの属性ライセンス・マッピングを示します。
図3-5 ライセンスのデフォルトの属性マッピング

認可アプリケーションの属性マッピング
認可アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性を認可システムの属性にマップするデフォルト・スキーマ(コネクタによって提供される)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。
表3-8に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAzure AD認可アプリケーションの属性間のユーザー固有の属性マッピングを示します。この表では、指定した属性のデータ型と、リコンシリエーションの必須属性かどうかも示します。
必要な場合は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の認可アプリケーションの作成に関する項の説明に従って新しい属性を追加したり既存の属性を削除することで、デフォルトの属性マッピングを編集できます。
自動設定されたデフォルト・スキーマを使用するか、またはデフォルト・スキーマを更新および変更して、次のステップに進みます。
「組織名」、「Xellerateタイプ」および「ロール」アイデンティティ属性は、OIGユーザー・フォームの必須フィールドです。リコンシリエーション中に空白のままにすることはできません。これらのアイデンティティ属性のターゲット属性マッピングは、対応する列がターゲット・システムにないため、デフォルトでは空です。したがって、リコンシリエーション中に使用可能なデフォルト値(表3-8を参照)がコネクタによって提供されます。たとえば、「組織名」のターゲット属性のデフォルト値はXellerate Usersです。このことは、すべてのターゲット・システムのユーザー・アカウントがOracle Identity GovernanceのXellerate Usersという組織にリコンサイルされることを示しています。同様に、「Xellerateタイプ」属性のデフォルトの属性値はEnd-Userで、すべてのリコンサイルされたユーザー・レコードがエンド・ユーザーとしてマークされることを示しています。
表3-8 Azure AD認可アプリケーションのデフォルトの属性
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | 拡張フラグ設定 | アイデンティティ表示名のデフォルト値 |
---|---|---|---|---|---|---|
ユーザー・ログイン |
__NAME__ |
文字列 | いいえ | はい |
はい |
なし |
Office365 GUID |
__UID__ |
文字列 | いいえ | はい | はい |
なし |
名 |
givenName |
文字列 | いいえ | はい | はい |
なし |
姓 |
surname |
文字列 | いいえ | はい | はい |
なし |
表示名 |
displayName |
文字列 | いいえ | はい | はい |
なし |
地方名 |
usageLocation |
文字列 | いいえ | はい | はい |
なし |
国 |
country |
文字列 | いいえ | はい | はい |
なし |
マネージャ・ログイン |
manager |
文字列 | いいえ | はい | はい |
なし |
usr_locale |
preferredLanguage |
文字列 | いいえ | はい | はい |
なし |
Xellerateタイプ |
文字列 | いいえ | はい | はい |
エンドユーザー |
|
ロール |
文字列 | いいえ | はい | はい |
フルタイム |
|
組織名 |
文字列 | いいえ | はい | はい |
Xellerateユーザー |
|
ステータス |
__ENABLE__ |
文字列 | いいえ | はい | はい |
なし |
図3-6は、デフォルトのユーザー・アカウント属性マッピングを示しています。
図3-6 Azure AD認可アプリケーションのデフォルトの属性

MS Teams管理
Teamsの表3-9に、Oracle Identity Governanceのプロセス・フォーム・フィールドとMS Teamsのターゲット・アプリケーション属性の間のMS Teamsの属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。
MS Teamsグループ割当てのデフォルト属性マッピング
表3-9 Teamsのデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
Teams | __TEAMS__~__TEAMS__~id | 文字列 | いいえ | はい | はい | いいえ |
チーム・グループ割当て
組織へのリソースのプロビジョニングの図は、Oracle Identity Governanceのプロセス・フォーム・フィールドとMS Teamsのターゲット・アプリケーション属性間のMicrosoft Teams属性マッピングを示しています。
図3-7 組織へのリソースのプロビジョニング

図3-8 組織へのリソースのプロビジョニングのプロセス・データ

相関ルール
ターゲット・アプリケーションおよび認可アプリケーションの事前定義済ルール、レスポンスおよび状況について学習します。コネクタは、リコンシリエーションの実行にこれらのルールおよびレスポンスを使用します。
ターゲット・アプリケーションの相関ルール
ターゲット・アプリケーションを作成する際、コネクタは相関ルールを使用してOracle Identity Governanceでリソースを割り当てる必要があるアイデンティティを特定します。
事前定義済アイデンティティ相関ルール
デフォルトでは、Azure ADコネクタにより、ターゲット・アプリケーション作成時の単純相関ルールが提供されます。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表3-10に、Azure ADコネクタ用のデフォルトの単純相関ルールを示します。必要に応じて、デフォルト相関ルールを編集するか、新しいルールを追加できます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアイデンティティ相関ルールの更新に関する項を参照してください。
表3-10 Azure ADコネクタの事前定義済アイデンティティ相関ルール
ターゲット属性 | 要素演算子 | アイデンティティ属性 | 大/小文字の区別 |
---|---|---|---|
__NAME__ |
次と等しい |
ユーザー・ログイン |
いいえ |
-
__NAME__は、ユーザー・アカウントを識別するターゲット・システムの単一値属性です。
-
「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。
図3-1に、Azure ADターゲット・アプリケーションの単純相関ルールを示します。
図3-9 Azure ADターゲット・アプリケーションの単純相関ルール

事前定義済の状況およびレスポンス
Azure ADコネクタには、ターゲット・アプリケーション作成時の状況とレスポンスのデフォルト・セットが用意されています。これらの状況とレスポンスによって、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションが指定されます。
表3-11に、Azure ADターゲット・アプリケーションのデフォルトの状況およびレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集するか、新しい状況とレスポンスを追加できます。状況およびレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の状況およびレスポンスの更新に関する項を参照してください
表3-11 Azure ADターゲット・アプリケーションの事前定義済の状況とレスポンス
状況 | レスポンス |
---|---|
一致が見つからなかった場合 |
なし |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
図3-10に、コネクタでデフォルトで提供されるAzure ADの状況とレスポンスを示します。
図3-10 Azure ADターゲット・アプリケーションの事前定義済の状況とレスポンス

認可アプリケーションの相関ルール
認可アプリケーションを作成する際、コネクタは相関ルールを使用してOracle Identity Governanceにリコンサイルする必要があるアイデンティティを特定します。
事前定義済アイデンティティ相関ルール
デフォルトでは、Azure ADコネクタにより、認可アプリケーションの作成時に単純相関ルールが提供されます。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表3-12に、Azure ADコネクタ用のデフォルトの単純相関ルールを示します。必要に応じて、デフォルト相関ルールを編集するか、新しいルールを追加できます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアイデンティティ相関ルールの更新に関する項を参照してください。
表3-12 Azure AD認可アプリケーションの事前定義済アイデンティティ相関ルール
認可属性 | 要素演算子 | アイデンティティ属性 | 大/小文字の区別 |
---|---|---|---|
__NAME__ |
次と等しい |
ユーザー・ログイン |
いいえ |
_UID_ | 次と等しい | AzuzreAD GUID | いいえ |
相関ルール要素: (__NAME__Equals __User Login) OR (_UID_Equals AzuzreAD GUID)
-
User Loginは、OIMユーザー・フォームの「ユーザーID」フィールドです。
-
__NAME__は、ユーザーの一意のログイン名です。
-
AzuzreAD GUIDは、ターゲット・オブジェクトIDをOIMユーザーにマッピングするためのUDF (ユーザー定義フィールド)です。
-
_UID_は、AzuzreADユーザーのオブジェクトIDです。
ルールの演算子: OR
図3-11に、Azure AD認可アプリケーションの単純相関ルールを示します。
図3-11 Azure AD認可アプリケーションの単純相関ルール

事前定義済の状況およびレスポンス
Azure ADコネクタには、認可アプリケーションの作成時の状況とレスポンスのデフォルト・セットが用意されています。これらの状況とレスポンスによって、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションが指定されます。
表3-13に、Azure AD認可アプリケーションのデフォルトの状況およびレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集するか、新しい状況とレスポンスを追加できます。状況およびレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の状況およびレスポンスの更新に関する項を参照してください。
表3-13 Azure AD認可アプリケーションの事前定義済の状況とレスポンス
状況 | レスポンス |
---|---|
一致が見つからなかった場合 |
ユーザーの作成 |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
図3-12に、コネクタでデフォルトで提供されるAzure ADの状況とレスポンスを示します。
図3-12 Azure AD認可アプリケーションの単純相関ルール

リコンシリエーション・ジョブ
ここでは、アプリケーションを作成するとOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブについて説明します。
ユーザー・リコンシリエーション・ジョブ
これらの事前定義済のジョブを使用することも、要件に合うように編集することもできます。また、カスタム・リコンシリエーション・ジョブを作成することもできます。これらの事前定義済のジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリコンシリエーション・ジョブの更新に関する項を参照してください。
次のリコンシリエーション・ジョブをリコンシリエーション・ユーザー・データに対して使用できます。
- Azure AD完全ユーザー・リコンシリエーション: このリコンシリエーション・ジョブを使用して、ターゲット・アプリケーションからユーザー・データをリコンサイルします。
- Azure ADユーザーの信頼できるリコンシリエーション: このリコンシリエーション・ジョブを使用して、認可アプリケーションからユーザー・データをリコンサイルします。
表3-14に、Azure AD完全ユーザー・リコンシリエーション・ジョブのパラメータを示します。
表3-14 Azure AD完全ユーザー・リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
Application name |
リコンシリエーション・ジョブが関連付けられているAOBアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。 このデフォルト値は変更しないでください。 |
Latest Token |
このパラメータは、Incremental Recon Attributeパラメータの値として指定されたターゲット・システム属性の値を保持します。Latest Tokenパラメータは内部目的で使用されます。デフォルトでは、この値は空です。 ノート: このパラメータに値を入力しないでください。リコンシリエーション・エンジンにより、値はこのパラメータに自動的に入力されます。 サンプル値: <String>2017-11-30T04:44:29Z</String> |
Object Type |
このパラメータは、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: User このデフォルト値は変更しないでください。 |
Filter Suffix |
リコンシリエーションの実行時にターゲット・システムからフェッチされるユーザー・レコードの検索フィルタを入力します。 増分リコンシリエーションが有効な場合のサンプル値: $filter=startswith(displayName,'user1') 増分リコンシリエーションが有効ではない場合のサンプル値: フィルタの作成の詳細は、「制限付きリコンシリエーションの実行」を参照してください。 |
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 このパラメータの値を変更しないでください。 |
Incremental Recon Attribute |
トークン・レコードが変更されたタイムスタンプを保持する属性の名前を入力します。 |
表3-15 Azure ADユーザーの信頼できるリコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
Application name |
ジョブが関連付けられているAOBアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。 この値は変更しないでください。 |
Filter Suffix |
リコンシリエーションの実行時にターゲット・システムからフェッチされるユーザー・レコードの検索フィルタを入力します。 サンプル値: $filter=startswith(displayName,'user1') フィルタの作成の詳細は、「制限付きリコンシリエーションの実行」を参照してください。 |
Incremental Recon Attribute |
トークン・レコードが変更されたタイムスタンプを保持する属性。 |
Latest Token |
このパラメータは、Incremental Recon Attribute属性の値として指定された属性の値を保持します。Latest Tokenパラメータは内部目的で使用されます。デフォルトでは、この値は空です。 ノート: 適切なIncrement Recon attributeが指定されている場合は、このパラメータの値を入力しないでください。 サンプル値: <String>2017-11-30T04:44:29Z</String> |
Object Type |
このパラメータは、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: User ノート: デフォルト値は変更しないでください。 |
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 このパラメータの値を変更しないでください。 |
ターゲットの削除ユーザーのリコンシリエーション・ジョブ
Azure ADユーザー・ターゲット削除リコンシリエーション・ジョブは、ターゲット・アプリケーションから削除されたユーザーに関するデータをリコンサイルする場合に使用します。リコンシリエーションの実行時に、ターゲット・システムの削除されたユーザー・アカウントごとに、対応するOIMユーザーのAzure ADリソースが削除されます。
表3-16 AzureADターゲット・ユーザー削除リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
Application Name |
使用するターゲット・システム用に作成したアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。 この値は変更しないでください。 |
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。 |
信頼できる削除ユーザーのリコンシリエーション・ジョブ
Azure AD信頼できるユーザー削除リコンシリエーション・ジョブは、認可アプリケーションから削除されたユーザーに関するデータをリコンサイルする場合に使用します。リコンシリエーションの実行時、削除されたターゲット・システム・ユーザー・アカウントごとに、対応するOIMユーザーが削除されます。
表3-17 AzureAD信頼できるユーザー削除リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
Application Name |
使用するターゲット・システム用に作成したアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。 この値は変更しないでください。 |
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。 |
権限のリコンシリエーション・ジョブ
-
AzureADオフィス・グループ参照リコンシリエーション
-
AzureADセキュリティ・グループ参照リコンシリエーション
-
AzureADライセンス参照リコンシリエーション
-
AzureADロール参照リコンシリエーション
-
AzureADマネージャ参照リコンシリエーション
-
AzureADTeams参照リコンシリエーション
ノート:
Teamsのサポートは、12.2.1.3.0Bから適用可能です
表3-18 権限のリコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
Application Name |
リコンシリエーション・ジョブが関連付けられている現在のAOBアプリケーション名。 デフォルト値: AzureAD この値は変更しないでください。 |
Code Key Attribute |
コネクタの属性の名前。参照定義(Lookup Name属性の値として指定される)のコード・キー列に値を移入するために使用されます。 デフォルト値: この値は変更しないでください。 |
Decode Attribute |
コネクタの属性の名前。参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用されます。 デフォルト値: |
Lookup Name |
ターゲット・システムからフェッチした値を移入するOracle Identity Governanceの参照定義の名前を入力します。 デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。
これらの参照定義のいずれかのコピーを作成する場合は、Lookup Name属性の値として新しい参照定義の名前を入力します。 |
Object Type |
リコンサイルするオブジェクトのタイプを入力します。 デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。
ノート: このパラメータの値を変更しないでください。 Teamsのサポートは、12.2.1.3.0Bから適用可能です。 |