1. Amazon Web Servicesアプリケーションの構成
  2. コネクタの構成

3 コネクタの構成

ターゲット・アプリケーションの作成中に、Oracle Identity Governanceとターゲット・システムへの接続で使用される、接続関連のパラメータを構成し、コネクタ操作を実行する必要があります。また、Oracle Identity Governance内のプロセス・フォーム・フィールドとターゲット・システムの列の間の属性マッピング、事前定義済の相関ルール、状況とレスポンス、およびリコンシリエーション・ジョブを表示および編集できます。

3.1 基本構成パラメータ

これらは、Oracle Identity GovernanceがAmazon Web Servicesアプリケーションに接続するために必要となる接続関連パラメータです。

ノート:

指定がないかぎり、次の表のエントリは変更しないでください。

表3-1 基本構成のパラメータ

パラメータ 必須? 説明

userName

 はい

コネクタ操作を実行するために作成する、ターゲット・システムのユーザー名を入力します。

サンプル値: johndoe

accessKeyId

はい

登録処理中に認証サーバーによってクライアント・アプリケーションに対して発行されるアクセス・キー識別子(一意の文字列)を入力します。新しく登録したアプリケーションを構成しているときにアクセス・キーを取得しています。

サンプル値: AKIA33FL36M3OIF5C7N2

secretAccessKey

はい

クライアント・アプリケーションのアイデンティティを認証するのに使用されるシークレット・アクセス・キーを入力します。このシークレット・アクセス・キーは、新しく追加されたアプリケーションの構成の説明に示されている手順を実行するときに取得しました。

サンプル値: HWuvCMIptAhT5YmBx8ee0GpVVkyMBWLmqxJcf621

proxyPassword

いいえ

インターネットへのアクセスにプロキシ・サーバーを使用している場合は、プロキシ・パスワードを入力します。

proxyHostPort

いいえ

インターネットへのアクセスにプロキシ・サーバーを使用している場合は、プロキシ・ホストまたはIPとポートを入力します。

サンプル値: http://host:port

proxyUsername

いいえ

インターネットへのアクセスにプロキシ・サーバーを使用している場合は、プロキシ・ユーザー名を入力します。

3.2 拡張設定パラメータ

これらは、コネクタでリコンシリエーション操作およびプロビジョニング操作時に使用される構成関連のエントリです。

ノート:

  • 指定がないかぎり、次の表のエントリは変更しないでください。

  • 次の表のパラメータはすべて必須です。

表3-2 拡張設定パラメータ

パラメータ 説明

バンドル名

このエントリは、コネクタ・バンドルの名前を保持します。

デフォルト値: org.identityconnectors.aws

バンドルのバージョン

このエントリは、コネクタ・バンドルのバージョンを保持します。

デフォルト値: 12.3.0

コネクタ名

このエントリには、コネクタ・クラスの名前が保持されます。

デフォルト値: org.identityconnectors.aws.AWSConnector

pageSize

ページ検索でターゲット・システムから返す1つのページのオブジェクトの数を指定します。

デフォルト値: 25

passwordLastUsed

trueと入力して、親フォームに最終アクティビティ属性値を表示します。

デフォルト値: False

region

IAMおよび組織のリージョンを入力します。

デフォルト値: aws-global

cloudTrailRegion

増分リコンシリエーションに使用されるCloudtrailサービスのリージョンを入力します

デフォルト値: us-east-2

policyGroup

継承ポリシーをフェッチするには、trueを入力します

デフォルト値: False

changePasswordNextSignIn

次のログイン時にパスワードの変更を強制するには、trueを入力します。

デフォルト値: False

enableProgrammaticAccess

プログラム・アクセスを有効にするには、trueを入力します。

デフォルト値: False

timeZone

このパラメータは、Oracle Identity Managerのタイムゾーンを表示します。

デフォルト値: IST

3.3 属性マッピング

ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システム属性をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。

Amazon Web Servicesターゲット・アプリケーションのデフォルト属性

表3-3に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAmazon Web Servicesターゲット・アプリケーションの属性の間のユーザー固有の属性マッピングを示します。また、この表には、特定の属性がプロビジョニングまたはリコンシリエーション時に使用されるかどうかと、リコンシリエーション時にレコードをフェッチするための照合キー・フィールドであるかどうかも示します。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。

表3-3 Amazon Web Servicesターゲット・アプリケーションのデフォルト属性

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ? プロビジョニング・フィールド? リコンシリエーション・フィールド? キー・フィールド? 大/小文字の区別なし? 拡張フラグ設定

ユーザーID

__UID__

String

いいえ

いいえ

はい

いいえ

いいえ

Length:256

ユーザー名

__NAME__

String

はい

はい

はい

はい

いいえ

Length:64

パスワード

__PASSWORD__

String

いいえ

はい

いいえ

いいえ

いいえ

Length:128

ユーザーARN

UserARN

String

いいえ

いいえ

はい

いいえ

いいえ

WriteBack、長さ: 2048

最終アクティビティ

PasswordLastUsed

String

いいえ

いいえ

はい

いいえ

いいえ

WriteBack、長さ: 256

作成時刻

CreateDate

String

いいえ

いいえ

はい

いいえ

いいえ

WriteBack、長さ: 256

パス

パス

String

いいえ

はい

はい

いいえ

いいえ

Length:512

組織ARN

OrgARN

String

いいえ

いいえ

はい

いいえ

いいえ

WriteBack、長さ: 2048

組織アカウント名

AccountOrgName

String

いいえ

いいえ

はい

いいえ

いいえ

WriteBack、長さ: 50

組織ID

OrgUnit

String

いいえ

いいえ

はい

いいえ

いいえ

WriteBack、長さ: 50

サービス制御ポリシー

ServiceControlPolicy

String

いいえ

いいえ

はい

いいえ

いいえ

WriteBack、長さ: 256

ステータス

__ENABLE__

String

いいえ

いいえ

はい

いいえ

いいえ

WriteBack、長さ: 256

プログラム・アクセス・ステータス

ProgrammaticAccessStatus

Boolean

いいえ

いいえ

はい

いいえ

いいえ

WriteBack

ITリソース名

  

Long

いいえ

いいえ

はい

いいえ

いいえ

  

表3-3に、デフォルトのユーザー・アカウント属性マッピングを示します。

図3-1 Amazon Web Servicesユーザー・アカウントのデフォルト属性マッピング

これは、Amazon Web Servicesユーザー・アカウントのデフォルトの属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです

ノート:

パスの先頭と末尾が/であることを確認します。

デフォルト値: /

例: /Oracle/

グループ属性

表3-4に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAmazon Web Servicesターゲット・アプリケーションの属性間のグループ・フォーム属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。

表3-4 グループのデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ? リコンシリエーション・フィールド? キー・フィールド? 大/小文字の区別なし? 権限 拡張設定

グループ

__GROUP__~__GROUP__~GroupName

 String はい はい はい いいえ True 値リスト: Lookup.AWS.Group Length:256

図3-2に、デフォルトの属性グループ・マッピングを示します。

図3-2 グループ用のデフォルトの属性マッピング

これは、デフォルトのグループ子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。

ポリシー属性

表3-5に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAmazon Web Servicesターゲット・アプリケーションの属性の間のポリシー属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。

表3-5 ポリシーのデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ? リコンシリエーション・フィールド? キー・フィールド? 大/小文字の区別なし? 権限 拡張設定

ポリシー名

 __POLICIES__~__POLICIES__~policyName String はい はい はい いいえ True 値リスト: Lookup.AWS.Policy Length:256

ポリシー・タイプ

 __POLICIES__~__POLICIES__~policyType String いいえ はい はい いいえ   Length:256

図3-3に、デフォルトの属性ポリシー・マッピングを示します。

図3-3 ポリシーのデフォルトの属性マッピング

これは、デフォルトのポリシーの子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。

タグ属性

表3-6に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAmazon Web Servicesターゲット・アプリケーションの属性の間のタグ属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。

表3-6 タグのデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ? リコンシリエーション・フィールド? キー・フィールド? 大/小文字の区別なし? 拡張設定

タグ・キー

 __TAGS__~__TAGS__~tagskey String はい はい はい いいえ Length:256

タグ値

 __TAGS__~__TAGS__~tagsvalue String はい はい いいえ いいえ Length:256

図3-4に、デフォルトの属性タグ・マッピングを示します。

図3-4 タグのデフォルトの属性マッピング

これは、デフォルトのタグの子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。

インライン・ポリシー属性

表3-7に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAmazon Web Servicesターゲット・アプリケーションの属性の間のインライン・ポリシー属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。

表3-7 インライン・ポリシーのデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ? リコンシリエーション・フィールド? キー・フィールド? 大/小文字の区別なし? 拡張設定

ポリシー名

 __INLINEPOLICIES__~__INLINEPOLICIES__~InlinePolicyName String はい はい はい いいえ Length:256

ポリシー・タイプ

 __INLINEPOLICIES__~__INLINEPOLICIES__~InlinePolicyType String いいえ はい はい いいえ Length:256

図3-5に、デフォルトの属性インライン・ポリシー・マッピングを示します。

図3-5 インライン・ポリシーのデフォルトの属性マッピング

これは、デフォルトのインライン・ポリシーの子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。

3.4 ターゲット・アプリケーションの相関ルール、状況およびレスポンス

ターゲット・アプリケーションを作成する場合、コネクタは、Oracle Identity Governanceがリソースを割り当てる先のアイデンティティを決定するために相関ルールを使用します。

事前定義済アイデンティティ相関ルール

ターゲット・アプリケーションを作成する場合、デフォルトでは、Amazon Web Servicesコネクタには単純相関ルールが用意されています。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。

表3-8に、Amazon Web Servicesコネクタのデフォルトの単純相関ルールを示します。必要に応じて、デフォルト相関ルールを編集するか、新しいルールを追加できます。単純相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』アイデンティティ相関ルールの更新に関する項を参照してください。

表3-8 Amazon Web Servicesターゲット・アプリケーションの事前定義済アイデンティティ相関ルール

ターゲット属性 要素演算子 アイデンティティ属性 大/小文字の区別あり? ルール演算子

__NAME__

等しい

ユーザー・ログイン

いいえ

このアイデンティティ・ルールの意味は次のとおりです。

  • __NAME__は、ユーザー・アカウントを識別するターゲット・システムの単一値属性です。

  • 「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。

図3-6に、Amazon Web Servicesターゲット・アプリケーション用の単純相関ルールを示します。

図3-6 Amazon Web Servicesターゲット・アプリケーションの単純相関ルール

これは、リコンシリエーション中にAmazon Web Servicesコネクタ・アプリケーションで使用できるデフォルトの状況とレスポンスのスクリーンショットです。

事前定義済の状況およびレスポンス

ターゲット・アプリケーションを作成する場合、Amazon Web Servicesコネクタにはデフォルトの状況とレスポンスのセットが用意されています。これらの状況とレスポンスによって、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションが指定されます。

表3-9に、Amazon Web Servicesターゲット・アプリケーションのデフォルトの状況およびレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集するか、新しい状況とレスポンスを追加できます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項を参照してください

表3-9 Amazon Web Servicesターゲット・アプリケーションの事前定義済の状況とレスポンス

状況 レスポンス

一致が見つからなかった場合

なし

1つのエンティティ一致が見つかった場合

リンクの確立

1つのプロセス一致が見つかった場合

リンクの確立

3.5 リコンシリエーション・ジョブ

ここでは、アプリケーションを作成するとOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブについて説明します。

ユーザー・リコンシリエーション・ジョブ

これらの事前定義済のジョブを使用することも、要件に合うように編集することもできます。また、カスタム・リコンシリエーション・ジョブを作成することもできます。これらの事前定義済のジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』リコンシリエーション・ジョブの更新に関する項を参照してください。

Amazon Web Serviceターゲット・リソースのユーザー・リコンシリエーション・ジョブは、ターゲット・アプリケーションからのユーザー・データをリコンサイルするために使用します。

表3-10 Amazon Web Serviceターゲット・リソースのユーザー・リコンシリエーション・ジョブのパラメータ

パラメータ 説明

アプリケーション名

使用するターゲット・システム用に作成したアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。

この値は修正しないでください。

スケジュール済タスク名

このパラメータは、スケジュール済ジョブの名前を保持します。

ノート: このコネクタに組み込まれているスケジュール済ジョブについては、このパラメータの値を変更しないでください。ただし、新しいジョブまたはジョブのコピーを作成した場合は、このパラメータの値として、そのスケジュール済ジョブに一意の名前を入力します。

デフォルト値: APP_NAME AWS Target Resource User Reconciliation

フィルタ問合せ

リコンシリエーションの実行時にターゲット・システムからフェッチされるユーザー・レコードの検索フィルタを入力します。この属性の詳細は、「制限付きリコンシリエーションの実行」を参照してください。

オブジェクト・タイプ

この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。

デフォルト値: User

このデフォルト値は変更しないでください。

同期トークン

この属性は、前回の完全リコンシリエーションまたは増分リコンシリエーションの実行が開始したときの日付とタイムスタンプを保持します。

デフォルト値: <String>0</String>

ノート:
  • 増分リコンシリエーションを使用してスケジュール・ジョブを実行している場合、同期トークンは自動的に更新されます。
  • 同期トークンの有効な値がわかっている場合、次の例の形式で入力できます: <String>2020-05-19T18:29:49</String>
  • この属性には、XMLシリアル化形式で値が格納されます。

削除ユーザーのリコンシリエーション・ジョブ

Amazon Web Services Target Resource Delete User Reconciliationジョブは、ターゲット・アプリケーションの削除済ユーザー・データをリコンサイルするために使用します。

表3-11 Amazon Web Services Target Resource Delete User Reconciliationジョブのパラメータ

パラメータ 説明

アプリケーション名

使用するターゲット・システム用に作成したアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。

この値は修正しないでください。

オブジェクト・タイプ

この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。

デフォルト値: User

このデフォルト値は変更しないでください。

権限のリコンシリエーション・ジョブ

権限をリコンサイルするために次のジョブを使用できます。

  • Amazon Web Servicesグループ参照リコンシリエーション

  • Amazon Web Servicesポリシー参照リコンシリエーション

両方のリコンシリエーション・ジョブのパラメータは同じです。

表3-12 権限のリコンシリエーション・ジョブのパラメータ

パラメータ 説明

アプリケーション名

使用するターゲット・システム用に作成したアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。

この値は修正しないでください。

コード・キー属性

参照定義の「コード・キー」列に移入するのに使用される、コネクタまたはターゲット・システム属性の名前(「参照名」属性の値として指定)。

デフォルト値: __UID__

ノート: この属性の値は変更しないでください。

デコード属性

参照定義の「デコード」列に移入するのに使用される、コネクタまたはターゲット・システム属性の名前(「参照名」属性の値として指定)。

デフォルト値: __NAME__

ノート: この属性の値は変更しないでください。

参照名

このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。

デフォルト値は、使用するリコンシリエーション・ジョブに応じて次のようになります。

  • Amazon Web Servicesグループ参照リコンシリエーションの場合 - Lookup.AWS.Group

  • Amazon Web Servicesポリシー参照リコンシリエーションの場合 - Lookup.AWS.Policy

オブジェクト・タイプ

同期させる必要のある値を含むオブジェクトのタイプを入力します。

デフォルト値は、使用するリコンシリエーション・ジョブに応じて次のようになります。

  • Amazon Web Servicesグループ参照リコンシリエーションの場合 - __GROUP__

  • Amazon Web Servicesポリシー参照リコンシリエーションの場合 - リコンシリエーション - __POLICY__

ノート: この属性の値は変更しないでください。