1. Amazon Web Servicesアプリケーションの構成
  2. コネクタの使用

5 コネクタの使用

コネクタを自分の要件にかなうように構成したら、コネクタを使用してリコンシリエーションおよびプロビジョニング操作を実行できます。

この章では、次の内容について説明します。

ノート:

この項では、コネクタの構成に関する、概念的な情報と手順の情報の両方を提供します。手順を実行する前に、概念的な情報を参照することをお薦めします。

リコンシリエーションの構成

コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。

この項では、リコンシリエーションの構成に関する次の項目について説明します。

完全リコンシリエーションおよび増分リコンシリエーションの実行

完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。アプリケーションを作成した後はまず、完全リコンシリエーションを実行する必要があります。

リコンシリエーション実行の最後で、ユーザー・レコード・リコンシリエーションのジョブのLatest Tokenパラメータには、実行が終了した時点のタイムスタンプがコネクタによって自動的に設定されます。以降の実行からは、このタイムスタンプの後に作成または変更されたレコードのみがコネクタによるリコンシリエーションの対象になります。これが、増分リコンシリエーションです。

すべてのターゲット・システム・レコードをOracle Identity Governanceで確実にリコンサイルする必要がある場合には、いつでも増分リコンシリエーションを完全リコンシリエーションに切り替えることができます。完全リコンシリエーションを実行するには、ユーザー・レコードをリコンサイルするためのジョブの次のパラメータに値を指定しないでください。

  • Filter

  • Latest Token

ノート:

増分リコンシリエーションでは、AWS CloudTrail機能を利用します。したがって、変更がCloudTrailに反映されるまでに若干の遅延が発生することがあります。

制限付きリコンシリエーションの実行

デフォルトでは、現行のリコンシリエーションの実行時に、すべてのターゲット・システム・レコードがリコンサイルされます。リコンサイルする必要のあるターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。

制限付きつまりフィルタ済リコンシリエーションは、設定されたフィルタ基準に基づいてリコンサイルすることによりレコードの数を制限するプロセスです。デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。

このコネクタには、様々なフィルタ条件を使用してターゲット・システム・レコードをフィルタ処理できる「フィルタ問合せ」パラメータ(リコンシリエーション・ジョブ・パラメータ)が用意されています。「フィルタ問合せ」パラメータに値を指定すると、コネクタはフィルタ基準に一致するターゲット・システム・レコードのみをOracle Identity Governanceにリコンサイルします。

Amazon Web Servicesコネクタでサポートされているフィルタは次のとおりです:

  • UserNameを使用したアカウントのフィルタ

    たとえば、UserName=Alex

    ここでは、UserNameがAlexのユーザーがリコンサイルされます。

  • パスを使用したアカウントのフィルタ

    • たとえば、Path=/

      ここでは、パスが/のすべてのユーザーがリコンサイルされます。

    • たとえば、Path=/Oracle/

      ここでは、Oracleフォルダおよびサブ・フォルダの下のパスを持つすべてのユーザーがリコンサイルされます。

    • たとえば、Path=/Ora

      ここでは、Oraで始まるフォルダ(OracleやOracleAdminなど)とサブ・フォルダのパスを持つすべてのユーザーがリコンサイルされます。

ノート:

Amazon Web Servicesコネクタでは、他のフィルタはサポートされません。

ICFフィルタの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズICFフィルタ構文に関する項を参照してください。

リコンシリエーション・ジョブの構成

ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Governanceにそのデータを複製するリコンシリエーションを実行するリコンシリエーション・ジョブを構成します。

この手順は、ユーザーと権限のリコンシリエーション・ジョブを構成する場合に適用できます。

リコンシリエーション・ジョブを構成するには:
  1. アイデンティティ・システム管理にログインします。
  2. 左ペインの「システム管理」で、「スケジューラ」をクリックします
  3. 次のようにして、スケジュール済ジョブを検索して開きます。
    1. 「検索」フィールドに、検索基準としてスケジュール済ジョブの名前を入力します。「拡張検索」をクリックして検索基準を指定することもできます。
    2. 左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
  4. 「ジョブの詳細」タブで、スケジュール済タスクのパラメータを変更できます。
    • 再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
    • スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。『Oracle Fusion Middleware Oracle Identity Governanceの管理』ジョブの作成に関する項を参照してください。

    ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。

  5. 「ジョブの詳細」タブの「パラメータ」領域で、スケジュール済タスクの属性の値を指定します。

    ノート:

    すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。

  6. 「適用」をクリックして変更を保存します。

    ノート:

    アイデンティティ・システム管理の「スケジューラのステータス」ページを使用して、スケジューラを開始、停止または再初期化できます。

プロビジョニング操作の実行

「ユーザーの作成」ページを使用して、Identity Self Serviceに新規ユーザーを作成します。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。

Oracle Identity Governanceでプロビジョニング操作を実行するには:

  1. Identity Self Serviceにログインします。
  2. 次のようにユーザーを作成します。
    1. Identity Self Serviceで、「管理」をクリックします。「ホーム」タブには、異なる「管理」オプションが表示されます。「ユーザー」をクリックします。「ユーザーの管理」ページが表示されます。
    2. 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ユーザーの作成」ページが表示され、ユーザー・プロファイル属性の入力フィールドが表示されます。
    3. 「ユーザーの作成」ページにユーザーの詳細を入力し、「送信」をクリックします。
  3. 「アカウント」タブで、「アカウントのリクエスト」をクリックします
  4. 「カタログ」ページで、以前に構成したコネクタのアプリケーション・インスタンスを検索し、「カートに追加」をクリックして「次へ」をクリックします。
  5. アプリケーション・フォームの各フィールドの値を指定し、「更新」をクリックします。
  6. 「送信」をクリックします

関連項目:

「ユーザーの作成」ページ内のフィールドの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ユーザーの作成に関する項を参照してください

Amazon Web Servicesコネクタのパフォーマンスに関する推奨事項

完全リコンシリエーションおよび増分リコンシリエーション操作のパフォーマンスを向上させることができます。

完全リコンシリエーションのパフォーマンスを向上させるには、「詳細構成」設定で、PolicyGroupおよびPasswordLastUsed構成属性の値をFalseに設定します。この構成変更により、アカウント・フォームの子ポリシー表の継承されたポリシーおよび「最後に使用されたパスワード」属性の値が空白として表示されます。

フィルタ・リコンシリエーションのパフォーマンスを向上させるには、フィルタ値としてUSERNAMEを使用することをお薦めします。指定したパスのユーザーに基づく追加呼出しにより、パス・フィルタにかかる時間が長くなります。

コネクタのアンインストール

コネクタのアンインストールでは、リソース・オブジェクトに関連付けられているすべてのアカウント関連データを削除します。

なんらかの理由でコネクタをアンインストールする場合は、コネクタのアンインストール・ユーティリティを実行します。このユーティリティを実行する前に、必ずConnectorUninstall.propertiesファイルでObjectTypeObjectValuesのプロパティに値を設定します。たとえば、リソース・オブジェクト、スケジュール済タスクおよびコネクタに関連付けられたスケジュール済ジョブを削除する場合は、ObjectTypeプロパティの値として"ResourceObject", "ScheduleTask", "ScheduleJob"を入力し、ObjectValuesプロパティの値としてコネクタに対応するオブジェクト値のセミコロン区切りのリストを入力します。

ノート:

ObjectTypeプロパティとObjectValueプロパティとともにConnectorNameプロパティとReleaseプロパティの値を設定すると、ObjectValueプロパティでリストしたオブジェクトの削除はユーティリティによって実行されますが、コネクタ情報はスキップされます。

詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』コネクタのアンインストールに関する項を参照してください。

グループ管理に使用されるコネクタ・オブジェクト

作成、更新、削除などのグループ管理操作を実行するためにコネクタで使用されるオブジェクトについて学習します。

トピック:

グループ管理のための参照定義

グループの参照定義は、コネクタを使用してアプリケーションを作成した後、Oracle Identity Governanceに自動的に作成されます。

Lookup.AWS.GM.Configuration

Lookup.AWS.GM.Configuration参照定義には、プロセス・フォーム・フィールド(コード・キー値)とターゲット・システム属性(デコード)間のマッピングが含まれています。この参照定義は事前に構成されており、グループ・プロビジョニング操作の際に使用されます。

次の表に、デフォルトのエントリをリストします。

表5-1 Lookup.AWS.GM.Configuration参照定義のエントリ

コード・キー デコード 説明
プロビジョニング属性マップ Lookup.AWS.GM.ProvAttrMap このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、プロビジョニング操作の際に使用されます。
リコンシリエーション属性マップ Lookup.AWS.GM.ReconAttrMap このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、リコンシリエーションの際に使用されます。
Lookup.AWS.GM.ProvAttrMap

Lookup.AWS.GM.ProvAttrMap定義には、プロセス・フォーム・フィールド(コード・キー値)とターゲット・システム属性(デコード)間のマッピングが含まれています。この参照定義は事前に構成されており、グループ・プロビジョニング操作の際に使用されます。

次の表に、デフォルトのエントリをリストします。

表5-2 Lookup.AWS.GM.ProvAttrMap参照定義のエントリ

Oracle Identity Managerのグループ・フィールド Amazon Web Servicesコネクタ・フィールド
CreateDate[WRITEBACK] CreateDate
GroupId[WRITEBACK] __UID__
GroupName __NAME__
Arn[WRITEBACK] Arn
Path[WRITEBACK] パス
Lookup.AWS.GM.ReconAttrMap

Lookup.AWS.GM.ReconAttrMap定義には、リソース・オブジェクト・フィールド(コード・キー値)とターゲット・システム属性(デコード)間のマッピングが含まれています。この参照定義は事前に構成されており、ターゲット・リソースのグループ・リコンシリエーションの実行時に使用されます。

次の表に、エントリを示します。

表5-3 Lookup.AWS.GM.ReconAttrMap参照定義のエントリ

Oracle Identity Managerのグループ・フィールド Amazon Web Servicesコネクタ・フィールド
CreateDate CreateDate
Arn Arn
GroupName __NAME__
GroupId __UID__
OIM組織名

組織名

ノート:

これはコネクタ属性です。この属性の値はコネクタにより、Oracle Identity Managerのグループの組織を指定するために内部的に使用されます。
パス パス

グループ管理のためのリコンシリエーション・ルールおよびアクション・ルール

リコンシリエーション・ルールは、ターゲット・システムで新たに検出されたアカウントにOracle Identity Governanceが割り当てる必要のあるアイデンティティを判別するために、リコンシリエーション・エンジンによって使用されます。リコンシリエーション・アクション・ルールでは、コネクタが定義されたリコンシリエーション・ルールに基づいて実行する必要があるアクションが定義されます。

グループのリコンシリエーション・ルール

グループのプロセス一致ルールを次に示します。

ルール名: AWS Group Recon Rule

ルール要素: Organization Name Equals OIM Org Name

このルール要素では、次のようになります。

  • Organization Nameは、OIMユーザー・フォームの「組織名」フィールドです。
  • OIM Org Nameは、Oracle Identity Managerのグループの組織名です。OIM Org Nameは、AWS Group Reconスケジュール済ジョブのOrganization Name属性で指定された値です
グループのリコンシリエーション・アクション・ルール

次の表に、グループ・リコンシリエーションのアクション・ルールを示します。

表5-4 リコンシリエーションのアクション・ルール

ルール条件 アクション
一致が見つからなかった場合 最小ロードの認可者への割当て
1つのエンティティ一致が見つかった場合 リンクの確立
1つのプロセス一致が見つかった場合 リンクの確立
リコンシリエーション・ルールの表示

コネクタのデプロイ後、次のステップを実行して、リコンシリエーションのリコンシリエーション・ルールを表示できます。

ノート:

次のステップを実行します。

  1. Oracle Identity Manager Design Consoleにログインします。
  2. 「開発ツール」を開きます。
  3. 「リコンシリエーション・ルール」をダブルクリックします。
  4. AWS Group Recon Ruleを検索します。

次の図は、グループのリコンシリエーション・ルールを示しています。

図5-1 グループのリコンシリエーション・ルール


これは、AWSコネクタのグループ・リコンシリエーション・ルールのスクリーンショットです

リコンシリエーション・アクション・ルールの表示

コネクタを使用してアプリケーションを作成した後で、次のステップを実行して、グループのリコンシリエーション・アクション・ルールを表示できます。

  1. Design Consoleにログインします。
  2. 「Resource Management」を展開し、「Resource Objects」をダブルクリックします。
  3. 「AWS Group」リソース・オブジェクトを検索し、開きます。
  4. 「Object Reconciliation」タブ、「Reconciliation Action Rules」タブの順にクリックします。「Reconciliation Action Rules」タブに、コネクタに定義されているアクション・ルールが表示されます。
    次の図は、グループのリコンシリエーション・アクション・ルールを示しています。

    図5-2 グループのリコンシリエーション・アクション・ルール


    グループのリコンシリエーション・アクション・ルール

グループ管理のためのリコンシリエーション・スケジュール済ジョブ

アプリケーションを作成した後、Oracle Identity Governanceにリコンシリエーション・スケジュール済ジョブが自動的に作成されます。これらのスケジュール済ジョブを、その属性の値を指定して必要に合うように構成する必要があります。

次のスケジュール済ジョブの属性に値を指定する必要があります:

AWS Group Recon

ターゲット・システムからグループ・データをリコンサイルするには、AWS Group Reconスケジュール済ジョブを使用します。

次の表で、このスケジュール済ジョブの属性を説明します。

表5-5 AWS Group Reconスケジュール済ジョブの属性

属性 説明
リソース・オブジェクト名

この属性は、リコンシリエーションに使用されるリソース・オブジェクトの名前を保持します。

デフォルト値: AWS Group

ノート: デフォルト値は変更しないでください。

ITリソース名

ユーザー・レコードのリコンサイル元のターゲット・システム・インストールの、ITリソース名を入力します。

デフォルト値: AWSGroup

組織名 リコンサイルするグループを作成または更新するOracle Identity Manager組織の名前を指定します。
Filter

この属性は、ICF-Common Groovy DSLを使用して記述されたICFフィルタを保持します。

フィルタ接尾辞: equalTo('GroupName'、 '<GroupName>')

サンプル値: equalTo('GroupName','AWSGroup')

この例では、グループ名がAWSGroupであるレコードがリコンサイルされます。

バッチ・サイズ ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。
スケジュール済タスク名

リコンシリエーションに使用されるスケジュール済タスクの名前。

デフォルト値: AWS Group Recon

オブジェクト・タイプ

この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。

デフォルト値: Group

ノート: デフォルト値は変更しないでください。

AWS Group Delete Recon

ターゲット・システムからグループ・データをリコンサイルするには、AWS Group Reconスケジュール済ジョブを使用します。

次の表で、このスケジュール済ジョブの属性を説明します。

表5-6 AWS Group Reconスケジュール済ジョブの属性

属性 説明
リソース・オブジェクト名

この属性は、リコンシリエーションに使用されるリソース・オブジェクトの名前を保持します。

デフォルト値: AWS Group

ノート: デフォルト値は変更しないでください。

ITリソース名

ユーザー・レコードのリコンサイル元のターゲット・システム・インストールの、ITリソース名を入力します。

デフォルト値: AWSGroup

組織名 リコンサイルするグループを作成または更新するOracle Identity Manager組織の名前を指定します。
Filter

この属性は、ICF-Common Groovy DSLを使用して記述されたICFフィルタを保持します。

フィルタ接尾辞: equalTo('GroupName'、 '<GroupName>')

サンプル値: equalTo('GroupName','AWSGroup')

この例では、グループ名がAWSGroupであるレコードがリコンサイルされます。

バッチ・サイズ ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。
スケジュール済タスク名

リコンシリエーションに使用されるスケジュール済タスクの名前。

デフォルト値: AWS Group Recon

オブジェクト・タイプ

この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。

デフォルト値: Group

ノート: デフォルト値は変更しないでください。