3 コネクタの構成
ターゲット・アプリケーションの作成中に、Oracle Identity Governanceとターゲット・システムへの接続で使用される、接続関連のパラメータを構成し、コネクタ操作を実行する必要があります。また、Oracle Identity Governance内のプロセス・フォーム・フィールドとターゲット・システムの列の間の属性マッピング、事前定義済の相関ルール、状況とレスポンス、およびリコンシリエーション・ジョブを表示および編集できます。
3.1 基本構成パラメータ
これらは、Oracle Identity GovernanceがAmazon Web Servicesアプリケーションに接続するために必要となる接続関連パラメータです。
ノート:
指定がないかぎり、次の表のエントリは変更しないでください。表3-1 基本構成のパラメータ
パラメータ | 必須? | 説明 |
---|---|---|
userName |
はい |
コネクタ操作を実行するために作成する、ターゲット・システムのユーザー名を入力します。 サンプル値: |
accessKeyId |
はい |
登録処理中に認証サーバーによってクライアント・アプリケーションに対して発行されるアクセス・キー識別子(一意の文字列)を入力します。新しく登録したアプリケーションを構成しているときにアクセス・キーを取得しています。 サンプル値: |
secretAccessKey |
はい |
クライアント・アプリケーションのアイデンティティを認証するのに使用されるシークレット・アクセス・キーを入力します。このシークレット・アクセス・キーは、新しく追加されたアプリケーションの構成の説明に示されている手順を実行するときに取得しました。 サンプル値: |
proxyPassword |
いいえ |
インターネットへのアクセスにプロキシ・サーバーを使用している場合は、プロキシ・パスワードを入力します。 |
proxyHostPort |
いいえ |
インターネットへのアクセスにプロキシ・サーバーを使用している場合は、プロキシ・ホストまたはIPとポートを入力します。 サンプル値: |
proxyUsername |
いいえ |
インターネットへのアクセスにプロキシ・サーバーを使用している場合は、プロキシ・ユーザー名を入力します。 |
3.2 拡張設定パラメータ
これらは、コネクタでリコンシリエーション操作およびプロビジョニング操作時に使用される構成関連のエントリです。
ノート:
-
指定がないかぎり、次の表のエントリは変更しないでください。
-
次の表のパラメータはすべて必須です。
表3-2 拡張設定パラメータ
パラメータ | 説明 |
---|---|
バンドル名 |
このエントリは、コネクタ・バンドルの名前を保持します。 デフォルト値: |
バンドルのバージョン |
このエントリは、コネクタ・バンドルのバージョンを保持します。 デフォルト値: |
コネクタ名 |
このエントリには、コネクタ・クラスの名前が保持されます。 デフォルト値: |
pageSize |
ページ検索でターゲット・システムから返す1つのページのオブジェクトの数を指定します。 デフォルト値: |
passwordLastUsed |
デフォルト値: |
region |
IAMおよび組織のリージョンを入力します。 デフォルト値: |
cloudTrailRegion |
増分リコンシリエーションに使用されるCloudtrailサービスのリージョンを入力します デフォルト値: |
policyGroup |
継承ポリシーをフェッチするには、 デフォルト値: |
changePasswordNextSignIn |
次のログイン時にパスワードの変更を強制するには、 デフォルト値: |
enableProgrammaticAccess |
プログラム・アクセスを有効にするには、 デフォルト値: |
timeZone |
このパラメータは、Oracle Identity Managerのタイムゾーンを表示します。 デフォルト値: |
3.3 属性マッピング
ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システム属性をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。
Amazon Web Servicesターゲット・アプリケーションのデフォルト属性
表3-3に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAmazon Web Servicesターゲット・アプリケーションの属性の間のユーザー固有の属性マッピングを示します。また、この表には、特定の属性がプロビジョニングまたはリコンシリエーション時に使用されるかどうかと、リコンシリエーション時にレコードをフェッチするための照合キー・フィールドであるかどうかも示します。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。
表3-3 Amazon Web Servicesターゲット・アプリケーションのデフォルト属性
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ? | プロビジョニング・フィールド? | リコンシリエーション・フィールド? | キー・フィールド? | 大/小文字の区別なし? | 拡張フラグ設定 |
---|---|---|---|---|---|---|---|---|
ユーザーID |
__UID__ |
String |
いいえ |
いいえ |
はい |
いいえ |
いいえ |
Length:256 |
ユーザー名 |
__NAME__ |
String |
はい |
はい |
はい |
はい |
いいえ |
Length:64 |
パスワード |
__PASSWORD__ |
String |
いいえ |
はい |
いいえ |
いいえ |
いいえ |
Length:128 |
ユーザーARN |
UserARN |
String |
いいえ |
いいえ |
はい |
いいえ |
いいえ |
WriteBack、長さ: 2048 |
最終アクティビティ |
PasswordLastUsed |
String |
いいえ |
いいえ |
はい |
いいえ |
いいえ |
WriteBack、長さ: 256 |
作成時刻 |
CreateDate |
String |
いいえ |
いいえ |
はい |
いいえ |
いいえ |
WriteBack、長さ: 256 |
パス |
パス |
String |
いいえ |
はい |
はい |
いいえ |
いいえ |
Length:512 |
組織ARN |
OrgARN |
String |
いいえ |
いいえ |
はい |
いいえ |
いいえ |
WriteBack、長さ: 2048 |
組織アカウント名 |
AccountOrgName |
String |
いいえ |
いいえ |
はい |
いいえ |
いいえ |
WriteBack、長さ: 50 |
組織ID |
OrgUnit |
String |
いいえ |
いいえ |
はい |
いいえ |
いいえ |
WriteBack、長さ: 50 |
サービス制御ポリシー |
ServiceControlPolicy |
String |
いいえ |
いいえ |
はい |
いいえ |
いいえ |
WriteBack、長さ: 256 |
ステータス |
__ENABLE__ |
String |
いいえ |
いいえ |
はい |
いいえ |
いいえ |
WriteBack、長さ: 256 |
プログラム・アクセス・ステータス |
ProgrammaticAccessStatus |
Boolean |
いいえ |
いいえ |
はい |
いいえ |
いいえ |
WriteBack |
ITリソース名 |
Long |
いいえ |
いいえ |
はい |
いいえ |
いいえ |
表3-3に、デフォルトのユーザー・アカウント属性マッピングを示します。
図3-1 Amazon Web Servicesユーザー・アカウントのデフォルト属性マッピング
![これは、Amazon Web Servicesユーザー・アカウントのデフォルトの属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです これは、Amazon Web Servicesユーザー・アカウントのデフォルトの属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです](img/new_schemapart.png)
ノート:
パスの先頭と末尾が/
であることを確認します。
デフォルト値: /
例: /Oracle/
グループ属性
表3-4に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAmazon Web Servicesターゲット・アプリケーションの属性間のグループ・フォーム属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。
表3-4 グループのデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ? | リコンシリエーション・フィールド? | キー・フィールド? | 大/小文字の区別なし? | 権限 | 拡張設定 |
---|---|---|---|---|---|---|---|---|
グループ |
__GROUP__~__GROUP__~GroupName |
String | はい | はい | はい | いいえ | True | 値リスト: Lookup.AWS.Group Length:256 |
図3-2に、デフォルトの属性グループ・マッピングを示します。
図3-2 グループ用のデフォルトの属性マッピング
![これは、デフォルトのグループ子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。 これは、デフォルトのグループ子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。](img/group-child-attributes.png)
ポリシー属性
表3-5に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAmazon Web Servicesターゲット・アプリケーションの属性の間のポリシー属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。
表3-5 ポリシーのデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ? | リコンシリエーション・フィールド? | キー・フィールド? | 大/小文字の区別なし? | 権限 | 拡張設定 |
---|---|---|---|---|---|---|---|---|
ポリシー名 |
__POLICIES__~__POLICIES__~policyName | String | はい | はい | はい | いいえ | True | 値リスト: Lookup.AWS.Policy Length:256 |
ポリシー・タイプ |
__POLICIES__~__POLICIES__~policyType | String | いいえ | はい | はい | いいえ | Length:256 |
図3-3に、デフォルトの属性ポリシー・マッピングを示します。
図3-3 ポリシーのデフォルトの属性マッピング
![これは、デフォルトのポリシーの子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。 これは、デフォルトのポリシーの子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。](img/policies-child-attributes.png)
タグ属性
表3-6に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAmazon Web Servicesターゲット・アプリケーションの属性の間のタグ属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。
表3-6 タグのデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ? | リコンシリエーション・フィールド? | キー・フィールド? | 大/小文字の区別なし? | 拡張設定 |
---|---|---|---|---|---|---|---|
タグ・キー |
__TAGS__~__TAGS__~tagskey | String | はい | はい | はい | いいえ | Length:256 |
タグ値 |
__TAGS__~__TAGS__~tagsvalue | String | はい | はい | いいえ | いいえ | Length:256 |
図3-4に、デフォルトの属性タグ・マッピングを示します。
図3-4 タグのデフォルトの属性マッピング
![これは、デフォルトのタグの子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。 これは、デフォルトのタグの子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。](img/tag-child-attributes.png)
インライン・ポリシー属性
表3-7に、Oracle Identity Governanceのプロセス・フォーム・フィールドとAmazon Web Servicesターゲット・アプリケーションの属性の間のインライン・ポリシー属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。
表3-7 インライン・ポリシーのデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ? | リコンシリエーション・フィールド? | キー・フィールド? | 大/小文字の区別なし? | 拡張設定 |
---|---|---|---|---|---|---|---|
ポリシー名 |
__INLINEPOLICIES__~__INLINEPOLICIES__~InlinePolicyName | String | はい | はい | はい | いいえ | Length:256 |
ポリシー・タイプ |
__INLINEPOLICIES__~__INLINEPOLICIES__~InlinePolicyType | String | いいえ | はい | はい | いいえ | Length:256 |
図3-5に、デフォルトの属性インライン・ポリシー・マッピングを示します。
図3-5 インライン・ポリシーのデフォルトの属性マッピング
![これは、デフォルトのインライン・ポリシーの子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。 これは、デフォルトのインライン・ポリシーの子属性マッピングを表示するターゲット・アプリケーションの「スキーマ」ページのスクリーンショットです。](img/inlinepolicies-child-attributes.png)
3.4 ターゲット・アプリケーションの相関ルール、状況およびレスポンス
ターゲット・アプリケーションを作成する場合、コネクタは、Oracle Identity Governanceがリソースを割り当てる先のアイデンティティを決定するために相関ルールを使用します。
事前定義済アイデンティティ相関ルール
ターゲット・アプリケーションを作成する場合、デフォルトでは、Amazon Web Servicesコネクタには単純相関ルールが用意されています。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表3-8に、Amazon Web Servicesコネクタのデフォルトの単純相関ルールを示します。必要に応じて、デフォルト相関ルールを編集するか、新しいルールを追加できます。単純相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアイデンティティ相関ルールの更新に関する項を参照してください。
表3-8 Amazon Web Servicesターゲット・アプリケーションの事前定義済アイデンティティ相関ルール
ターゲット属性 | 要素演算子 | アイデンティティ属性 | 大/小文字の区別あり? | ルール演算子 |
---|---|---|---|---|
__NAME__ |
等しい |
ユーザー・ログイン |
いいえ |
-
__NAME__は、ユーザー・アカウントを識別するターゲット・システムの単一値属性です。
-
「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。
図3-6に、Amazon Web Servicesターゲット・アプリケーション用の単純相関ルールを示します。
図3-6 Amazon Web Servicesターゲット・アプリケーションの単純相関ルール
![これは、リコンシリエーション中にAmazon Web Servicesコネクタ・アプリケーションで使用できるデフォルトの状況とレスポンスのスクリーンショットです。 これは、リコンシリエーション中にAmazon Web Servicesコネクタ・アプリケーションで使用できるデフォルトの状況とレスポンスのスクリーンショットです。](img/new_corelation-rule-aws.png)
事前定義済の状況およびレスポンス
ターゲット・アプリケーションを作成する場合、Amazon Web Servicesコネクタにはデフォルトの状況とレスポンスのセットが用意されています。これらの状況とレスポンスによって、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションが指定されます。
表3-9に、Amazon Web Servicesターゲット・アプリケーションのデフォルトの状況およびレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集するか、新しい状況とレスポンスを追加できます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項を参照してください
表3-9 Amazon Web Servicesターゲット・アプリケーションの事前定義済の状況とレスポンス
状況 | レスポンス |
---|---|
一致が見つからなかった場合 |
なし |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
3.5 リコンシリエーション・ジョブ
ここでは、アプリケーションを作成するとOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブについて説明します。
ユーザー・リコンシリエーション・ジョブ
これらの事前定義済のジョブを使用することも、要件に合うように編集することもできます。また、カスタム・リコンシリエーション・ジョブを作成することもできます。これらの事前定義済のジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリコンシリエーション・ジョブの更新に関する項を参照してください。
Amazon Web Serviceターゲット・リソースのユーザー・リコンシリエーション・ジョブは、ターゲット・アプリケーションからのユーザー・データをリコンサイルするために使用します。
表3-10 Amazon Web Serviceターゲット・リソースのユーザー・リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
アプリケーション名 |
使用するターゲット・システム用に作成したアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。 この値は修正しないでください。 |
スケジュール済タスク名 |
このパラメータは、スケジュール済ジョブの名前を保持します。 ノート: このコネクタに組み込まれているスケジュール済ジョブについては、このパラメータの値を変更しないでください。ただし、新しいジョブまたはジョブのコピーを作成した場合は、このパラメータの値として、そのスケジュール済ジョブに一意の名前を入力します。 デフォルト値: APP_NAME AWS Target Resource User Reconciliation |
フィルタ問合せ |
リコンシリエーションの実行時にターゲット・システムからフェッチされるユーザー・レコードの検索フィルタを入力します。この属性の詳細は、「制限付きリコンシリエーションの実行」を参照してください。 |
オブジェクト・タイプ |
この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: このデフォルト値は変更しないでください。 |
同期トークン |
この属性は、前回の完全リコンシリエーションまたは増分リコンシリエーションの実行が開始したときの日付とタイムスタンプを保持します。 デフォルト値: ノート:
|
削除ユーザーのリコンシリエーション・ジョブ
Amazon Web Services Target Resource Delete User Reconciliationジョブは、ターゲット・アプリケーションの削除済ユーザー・データをリコンサイルするために使用します。
表3-11 Amazon Web Services Target Resource Delete User Reconciliationジョブのパラメータ
パラメータ | 説明 |
---|---|
アプリケーション名 |
使用するターゲット・システム用に作成したアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。 この値は修正しないでください。 |
オブジェクト・タイプ |
この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: このデフォルト値は変更しないでください。 |
権限のリコンシリエーション・ジョブ
-
Amazon Web Servicesグループ参照リコンシリエーション
-
Amazon Web Servicesポリシー参照リコンシリエーション
両方のリコンシリエーション・ジョブのパラメータは同じです。
表3-12 権限のリコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
アプリケーション名 |
使用するターゲット・システム用に作成したアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。 この値は修正しないでください。 |
コード・キー属性 |
参照定義の「コード・キー」列に移入するのに使用される、コネクタまたはターゲット・システム属性の名前(「参照名」属性の値として指定)。 デフォルト値: ノート: この属性の値は変更しないでください。 |
デコード属性 |
参照定義の「デコード」列に移入するのに使用される、コネクタまたはターゲット・システム属性の名前(「参照名」属性の値として指定)。 デフォルト値: ノート: この属性の値は変更しないでください。 |
参照名 |
このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。 デフォルト値は、使用するリコンシリエーション・ジョブに応じて次のようになります。
|
オブジェクト・タイプ |
同期させる必要のある値を含むオブジェクトのタイプを入力します。 デフォルト値は、使用するリコンシリエーション・ジョブに応じて次のようになります。
ノート: この属性の値は変更しないでください。 |