5 コネクタの使用
コネクタを自分の要件にかなうように構成したら、コネクタを使用してリコンシリエーションおよびプロビジョニング操作を実行できます。
この章では、次の内容について説明します。
ノート:
この項では、コネクタの構成に関する、概念的な情報と手順の情報の両方を提供します。手順を実行する前に、概念的な情報を参照することをお薦めします。5.1 リコンシリエーションの構成
コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。
この項では、リコンシリエーションの構成に関する次の項目について説明します。
5.1.1 完全リコンシリエーションおよび増分リコンシリエーションの実行
完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。アプリケーションを作成した後はまず、完全リコンシリエーションを実行する必要があります。
リコンシリエーション実行の最後で、ユーザー・レコード・リコンシリエーションのジョブのLatest Tokenパラメータには、実行が終了した時点のタイムスタンプがコネクタによって自動的に設定されます。以降の実行からは、このタイムスタンプの後に作成または変更されたレコードのみがコネクタによるリコンシリエーションの対象になります。これが、増分リコンシリエーションです。
すべてのターゲット・システム・レコードをOracle Identity Governanceで確実にリコンサイルする必要がある場合には、いつでも増分リコンシリエーションを完全リコンシリエーションに切り替えることができます。完全リコンシリエーションを実行するには、ユーザー・レコードをリコンサイルするためのジョブの次のパラメータに値を指定しないでください。
-
Filter
-
Latest Token
ノート:
増分リコンシリエーションでは、AWS CloudTrail機能を利用します。したがって、変更がCloudTrailに反映されるまでに若干の遅延が発生することがあります。5.1.2 制限付きリコンシリエーションの実行
デフォルトでは、現行のリコンシリエーションの実行時に、すべてのターゲット・システム・レコードがリコンサイルされます。リコンサイルする必要のあるターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。
制限付きつまりフィルタ済リコンシリエーションは、設定されたフィルタ基準に基づいてリコンサイルすることによりレコードの数を制限するプロセスです。デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
このコネクタには、様々なフィルタ条件を使用してターゲット・システム・レコードをフィルタ処理できる「フィルタ問合せ」パラメータ(リコンシリエーション・ジョブ・パラメータ)が用意されています。「フィルタ問合せ」パラメータに値を指定すると、コネクタはフィルタ基準に一致するターゲット・システム・レコードのみをOracle Identity Governanceにリコンサイルします。
Amazon Web Servicesコネクタでサポートされているフィルタは次のとおりです:
-
UserNameを使用したアカウントのフィルタ
例: UserName=Alex
ここでは、UserNameがAlexのユーザーがリコンサイルされます。
-
パスを使用したアカウントのフィルタ
-
例: Path=/
ここでは、パスが/のすべてのユーザーがリコンサイルされます。
-
例: Path=/Oracle/
ここでは、Oracleフォルダおよびサブ・フォルダの下のパスを持つすべてのユーザーがリコンサイルされます。
-
例: Path=/Ora
ここでは、Oraで始まるフォルダ(OracleやOracleAdminなど)とサブ・フォルダのパスを持つすべてのユーザーがリコンサイルされます。
-
ノート:
Amazon Web Servicesコネクタでは、他のフィルタはサポートされません。ICFフィルタの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのICFフィルタ構文に関する項を参照してください。
5.2 リコンシリエーション・ジョブの構成
ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Governanceにそのデータを複製するリコンシリエーションを実行するリコンシリエーション・ジョブを構成します。
この手順は、ユーザーと権限のリコンシリエーション・ジョブを構成する場合に適用できます。
5.3 プロビジョニング操作の実行
「ユーザーの作成」ページを使用して、Identity Self Serviceに新規ユーザーを作成します。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。
Oracle Identity Governanceでプロビジョニング操作を実行するには:
- Identity Self Serviceにログインします。
- 次のようにユーザーを作成します。
- Identity Self Serviceで、「管理」をクリックします。「ホーム」タブには、異なる「管理」オプションが表示されます。「ユーザー」をクリックします。「ユーザーの管理」ページが表示されます。
- 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ユーザーの作成」ページが表示され、ユーザー・プロファイル属性の入力フィールドが表示されます。
- 「ユーザーの作成」ページにユーザーの詳細を入力し、「送信」をクリックします。
- 「アカウント」タブで、「アカウントのリクエスト」をクリックします
- 「カタログ」ページで、以前に構成したコネクタのアプリケーション・インスタンスを検索し、「カートに追加」をクリックして「次へ」をクリックします。
- アプリケーション・フォームの各フィールドの値を指定し、「更新」をクリックします。
- 「送信」をクリックします
関連項目:
「ユーザーの作成」ページ内のフィールドの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のユーザーの作成に関する項を参照してください5.4 Amazon Web Servicesコネクタのパフォーマンスに関する推奨事項
完全リコンシリエーションおよび増分リコンシリエーション操作のパフォーマンスを向上させることができます。
完全リコンシリエーションのパフォーマンスを向上させるには、「詳細構成」設定で、PolicyGroupおよびPasswordLastUsed構成属性の値をFalse
に設定します。この構成変更により、アカウント・フォームの子ポリシー表の継承されたポリシーおよび「最後に使用されたパスワード」属性の値が空白として表示されます。
フィルタ・リコンシリエーションのパフォーマンスを向上させるには、フィルタ値としてUSERNAMEを使用することをお薦めします。指定したパスのユーザーに基づく追加呼出しにより、パス・フィルタにかかる時間が長くなります。
5.5 コネクタのアンインストール
コネクタのアンインストールでは、リソース・オブジェクトに関連付けられているすべてのアカウント関連データを削除します。
なんらかの理由でコネクタをアンインストールする場合は、コネクタのアンインストール・ユーティリティを実行します。このユーティリティを実行する前に、必ずConnectorUninstall.propertiesファイルでObjectType
とObjectValues
のプロパティに値を設定します。たとえば、リソース・オブジェクト、スケジュール済タスクおよびコネクタに関連付けられたスケジュール済ジョブを削除する場合は、ObjectType
プロパティの値として"ResourceObject", "ScheduleTask", "ScheduleJob"を入力し、ObjectValues
プロパティの値としてコネクタに対応するオブジェクト値のセミコロン区切りのリストを入力します。
ノート:
ObjectType
プロパティとObjectValue
プロパティとともにConnectorName
プロパティとRelease
プロパティの値を設定すると、ObjectValue
プロパティでリストしたオブジェクトの削除はユーティリティによって実行されますが、コネクタ情報はスキップされます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタのアンインストールに関する項を参照してください。