1 Oracle E-Business Suite User Managementコネクタについて
Oracle E-Business Suite User Managementコネクタは、Oracle Identity GovernanceをOracle E-Business Suiteと統合します。
次のトピックでは、コネクタの概要を示します。
ノート:
このガイドでは、Oracle E-Business Suite User ManagementコネクタをEBS User Managementコネクタと呼びます。
1.1 コネクタの概要
ノート:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイされるコネクタをCIベース・コネクタ(コネクタ・インストーラ・ベース・コネクタ)と呼びます。アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。
FND_USERレコードは、Oracle E-Business User Managementのアカウントを表します。このレコードが、コネクタを使用して管理できるアカウント・データの主要なコンポーネントです。このコネクタを使用すると、TCAレコードとともにFND_USERレコードまたはFND_USERレコードのいずれかを管理できます。つまり、このコネクタを使用して、プレーンなユーザー・アカウントまたはパーティを持つユーザー・アカウントを管理します。
User Managementコネクタを使用すると、OIGユーザーのOracle E-Business Suiteユーザー・アカウント(FND_USERレコード)を作成し、それらのアカウントにユーザー・ロールと職責を付与できます。新たに作成されたユーザーおよび変更されたユーザー・アカウント(FND_USERレコード)をターゲット・システムからリコンサイルすることもできます。これらのリコンサイルされたレコードは、OIGユーザーに割り当てられたOracle E-Business User Managementアカウントの作成および更新に使用されます。
このコネクタを使用すると、Oracle E-Business User Managementアカウントの作成に加え、ターゲット・システムでパーティまたはベンダー(サプライヤ)を作成できます。パーティまたはベンダーは、HZ_PARTIES表のTrading Community Architecture (TCA)レコードを表します。Oracle E-Business SuiteのiStoreやiProcurementなどの一部のアプリケーションでは、ユーザーが組織内のパーティおよびベンダーの担当者または従業員であるTCAレコードを保持する必要があります。
このコネクタがサポートしているTCAレコードのタイプは、次のとおりです。
-
パーティ
-
ベンダー(サプライヤ)
TCAパーティとともにUser Managementコネクタに使用するオブジェクト・クラスは__ACCOUNT__.
ロールであり、職責は子データとして扱われます。このコネクタを使用すると、既存のロールと職責を削除することもできます。
ユーザーのプロビジョニング時に、EBSユーザー情報とともにパーティまたはサプライヤ情報を入力すると、コネクタでは最初にE-Businessユーザー・アカウントが作成され、次にパーティまたはベンダーが作成されてから、ユーザー・レコードとTCAレコード間のリンクが設定されます。パーティまたはサプライヤ・レコードとリンクされているターゲット・システムのユーザーの場合、FND_USER表のPERSON_PARTY_ID列の値はがHZ_PARTIES表のPARTY_ID列の値と同じです。
ユーザー・プロビジョニングの作成または更新操作時に、個人IDを指定することにより、ターゲット・システムのユーザー・アカウントを既存のHRMS従業員レコードとリンクさせることができます。
1.2 動作保証されているコンポーネント
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
ノート:
Oracle Identity Managerリリース11.1.xを使用している場合は、コネクタをCIベース・モードのみでインストールして使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governanceリリース12.2.1.3.0以降にアップグレードする必要があります。表1-1 動作保証されているコンポーネント
コンポーネント | AOBアプリケーションの要件 | CIベース・コネクタの要件 |
---|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
次のいずれかのリリースのOracle Identity GovernanceまたはOracle Identity Managerを使用できます。
|
次のいずれかのリリースのOracle Identity GovernanceまたはOracle Identity Managerを使用できます。
|
ターゲット・システム |
ターゲット・システムは次のいずれか。
これらのアプリケーションは、単一データベースまたはOracle RACの実装として、Oracle Database 10g、11g、12cまたは19c上で実行できます。 ノート:
|
ターゲット・システムは次のいずれか。
これらのアプリケーションは、単一データベースまたはOracle RACの実装として、Oracle Database 10g、11g、12cまたは19c上で実行できます。 ノート:
|
コネクタ・サーバー |
11.1.2.1.0以降 |
11.1.2.1.0以降 |
コネクタ・サーバーのJDK |
JDK 1.6以上 |
JDK 1.6以上 |
SSOシステム |
ターゲット・システムでは、次のシングル・サインオン(SSO)ソリューションの1つを使用できます。
|
ターゲット・システムでは、次のシングル・サインオン(SSO)ソリューションの1つを使用できます。
|
1.3 使用上の推奨事項
これらは、使用しているOracle Identity GovernanceまたはOracle Identity Managerのバージョンに応じてデプロイおよび使用できるEBS User Managementコネクタのバージョンに関する推奨事項です。
-
Oracle Identity Governanceリリース12c (12.2.1.3.0)以降を使用している場合は、このコネクタの最新バージョン12.2.1.xを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
-
「動作保証されているコンポーネント」の「CIベース・コネクタの要件」の列に示されたOracle Identity Managerのいずれかのリリースを使用している場合、このコネクタの11.1.xバージョンを使用します。このコネクタの12.2.1.xバージョンを使用する場合は、CIベース・モードでのみインストールおよび使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governanceリリース12c (12.2.1.3.0)以降にアップグレードする必要があります。
ノート:
EBS User Managementコネクタの最新バージョン12.2.1.xをCIベース型モードで使用している場合のコネクタ・デプロイメント、使用方法およびカスタマイズの詳細は、『Oracle Identity Manager Oracle E-Business Suite User Managementコネクタ・ガイド』のリリース11.1.1を参照してください。1.4 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.5 サポートされているコネクタ操作
これらは、ターゲット・システムにおける、コネクタでサポートされる操作のリストです。
表1-2 サポートされるコネクタ操作
操作 | サポートの有無 |
---|---|
ユーザー管理 |
|
個人の作成 |
はい |
個人の更新 |
はい |
個人の削除 |
はい |
個人の有効化 |
はい |
個人の無効化 |
はい |
権限付与の管理 |
|
ロールの追加 |
はい |
ロールの更新 |
はい |
ロールの削除 |
はい |
職責の追加 |
はい |
職責の更新 |
はい |
職責の削除 |
はい |
1.6 コネクタのアーキテクチャ
Oracle E-Business User Managementコネクタは、ターゲット(アカウント管理)モードで実行されるように構成でき、Integrated Common Framework (ICF)コンポーネントを使用して実装されます。
ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供するコンポーネントです。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
図1-1に、Oracle E-Business Suiteコネクタのアーキテクチャを示します。
コネクタ操作時に、Oracle Identity GovernanceはICF統合と呼ばれるレイヤーと対話します。ICF統合はOIGが対話するアプリケーションごとに固有で、ICF APIを使用してアイデンティティ・コネクタ(IC)で操作を呼び出します。その後、コネクタはターゲット・システムのAPIを呼び出し、リソース上で操作を実行します。
コネクタは、OIGラッパー・パッケージのストアド・プロシージャを呼び出し、次にターゲット・システムのストアド・プロシージャを内部で呼び出すことにより、ターゲット・システムと通信します。OIGラッパー・パッケージは、コネクタのインストール・パッケージに存在するスクリプトを実行すると、ターゲット・システムで作成されます。このスクリプトの実行手順は、このガイドで後述します。
このコネクタの基本機能は、Oracle Identity Governanceを介してOracle E-Business Suiteでのユーザー・データを管理できるようにすることです。つまり、Oracle E-Business Suite User Managementコネクタを使用すると、Oracle Identity Governanceの管理対象リソースまたはターゲット・リソースとしてOracle E-Business Suite(ターゲット・システム)を使用できるようになります。プロビジョニングによって、OIGユーザーに対するターゲット・システム・アカウント(リソース)を作成して管理できます。また、新たに作成または変更されたターゲット・システム・アカウントに関連するデータを(スケジュール済タスクによって)リコンサイルして、既存のOIGユーザーやプロビジョニングされたリソースにリンクできます。
1.7 サポートされるコネクタの機能マトリックス
AOBアプリケーションとCIベース・コネクタでサポートされている機能のリストを示します。
表1-3 サポートされるコネクタの機能マトリックス
機能 | AOBアプリケーション | CIベース・コネクタ |
---|---|---|
Oracle Identity Governanceのターゲット・リソースとしてのターゲット・システムの統合 |
はい |
はい |
ロールおよび職責権限リクエストの職務の分離(SoD)検証の実行 |
はい |
はい |
シングル・サインオン・ソリューション用のコネクタの構成 |
はい |
はい |
リコンシリエーションおよびプロビジョニングのアカウント・ステータスの設定 |
はい |
はい |
基本的なパスワード管理タスクの実行 |
はい |
はい |
完全リコンシリエーションおよび増分リコンシリエーションの実行 |
はい |
はい |
制限付きリコンシリエーションの実行 |
はい |
はい |
バッチ・リコンシリエーションの実行 |
はい |
はい |
アカウント・データの検証と変換の実行 |
はい |
はい |
コネクタ・サーバーへのコネクタのインストール |
はい |
はい |
接続プーリングの使用 |
はい |
はい |
ユーザー・エンティティのリコンシリエーションにスケジュール済ジョブを使用 |
はい |
はい |
ターゲット・システムとOracle Identity Governance間のSSL通信の構成 |
はい |
はい |
1.8 コネクタの機能
コネクタの機能には、コネクタ・サーバーのサポート、ターゲット・リソースのリコンシリエーション、ロールおよび職責権限リクエストの職務の分離(SoD)検証、すべての既存または変更済アカウント・データのリコンシリエーション、制限付きリコンシリエーションとバッチ・リコンシリエーション、リコンシリエーションおよびプロビジョニング中のアカウント・データの変換と検証などが含まれます。
コネクタには、次のような機能があります。
1.8.1 ターゲット・リソースのリコンシリエーションのサポート
EBS UMコネクタを使用して、ターゲット・システムをOracle Identity Governanceのターゲット・リソースとして構成できます。
このモードでは、このコネクタを使用すると、Oracle E-Business Suiteから次のエンティティをプロビジョニングおよびリコンサイルできます。
-
EBSアカウント/FND_USRレコード
-
TCAパーティ・レコード/ベンダー・レコード
関連情報については、「リコンシリエーションの構成」を参照してください。
1.8.2 権限プロビジョニングのSoD検証
このコネクタでは、SoD機能がサポートされています。Oracle Identity Governanceのアイデンティティ監査(IDA)機能を使用して、SoD違反を検出します。
SoDエンジンは、コネクタを介して送信されるロールおよび職責権限のリクエストを処理します。ロールと職責の割当てに潜在的な競合がある場合には自動的に検出されます。
このターゲット・システムでOracle Identity GovernanceのSoD機能を有効にして使用する場合は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアイデンティティ監査の管理に関する項の説明に従って、アイデンティティ監査機能を有効にして構成する必要があります。
1.8.3 SSO有効ターゲット・システム・インストールのサポート
Oracle E-Business Suiteは、ユーザーの認証にシングル・サインオン・ソリューション(Oracle Single Sign-OnまたはOracle Access Managerなど)を使用するように構成できます。Oracle Single Sign-Onは、ユーザー・レコードを格納するLDAPベース・リポジトリとしてOracle Internet Directoryを使用します。Oracle Access Managerは、LDAPベース・リポジトリとしてMicrosoft Active Directory、Oracle Directory Server Enterprise EditionまたはNovell eDirectoryを使用できます。
リコンシリエーションおよびプロビジョニング操作の際にこれらのSSOソリューションの1つと一緒に機能するようにコネクタを構成することができます。
コネクタは、GUIDなどのSSOアカウント詳細をエンタープライズ・ディレクトリ・プロセス・フォームからEBSユーザー・フォームにコピーするアダプタに付属しています。
シングル・サインオン・ソリューション用のコネクタの構成の詳細は、「SSO用コネクタの構成」を参照してください。
1.8.4 アカウント・ステータスのリコンシリエーションおよびプロビジョニング
ターゲット・システムでアカウントを有効にすると、ターゲット・システムで有効期間開始日フィールドが現在の日付に設定され、有効期間終了日フィールドがNULLに設定されます。
ターゲット・システムでアカウントを無効にすると、ターゲット・システムで有効期間終了日フィールドが現在の日付に設定されます。
Oracle Identity Governanceでプロビジョニング操作を実行しても同じ結果が得られます。また、ターゲット・システムで直接行われたステータスの変更は、リコンシリエーション時にOracle Identity Governanceにコピーすることができます。
1.8.5 アカウントのパスワード管理
コネクタでは、基本のパスワード管理機能がサポートされています。プロセス・フォーム・フィールドを使用して、特定のユーザーについてユーザーのパスワードの有効期限を指定できます。
-
パスワードの有効期限タイプ
パスワードの有効期限タイプ・フィールドを使用して、パスワード有効期限の値の設定に使用するファクタ(単位)を指定します。パスワードの有効期限タイプとして
「アクセス」
または「日」
を選択できます。 -
パスワードの有効期間
パスワードの有効期間フィールドには、ユーザーがパスワードを使用できるアクセス回数または日数を指定します。
たとえば、パスワードの有効期限タイプ・フィールドに「アクセス」
を指定し、パスワードの有効期間フィールドに20
と入力すると、ユーザーが21回目にログインするときにパスワードの変更を求められます。同様に、パスワードの有効期限タイプ・フィールドに「日」
を指定し、パスワードの有効期間フィールドに100
と入力すると、ユーザーは新しいパスワードを設定してから101日目にパスワードの変更を求められます。
パスワードの有効期限タイプ・フィールドに対応する参照定義の詳細は、「Lookup.Oracle EBS UM.PasswordExpTypes」を参照してください。
1.8.6 完全リコンシリエーションおよび増分リコンシリエーション
コネクタをデプロイした後は、完全リコンシリエーションを実行して、すべての既存ユーザー・データをターゲット・システムからOracle Identity Governanceに移動できます。初回の完全リコンシリエーションの実行後、次のユーザー・リコンシリエーションの実行から増分リコンシリエーションが自動的に有効になります。
完全リコンシリエーションはいつでも実行できます。完全リコンシリエーションおよび増分リコンシリエーションの実行の詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。
1.8.7 バッチ・リコンシリエーションのサポート
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。
バッチ・リコンシリエーションの詳細は、「バッチ・リコンシリエーションの実行」を参照してください。
1.8.8 制限付き(フィルタ)リコンシリエーションのサポート
リコンシリエーション・フィルタをユーザー・リコンシリエーションのスケジュール済タスクの「フィルタ」属性の値として設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。
制限付きリコンシリエーションの実行の詳細は、「制限付きリコンシリエーションの実行」を参照してください。
1.8.9 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート
このコネクタは、アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することで、ターゲット・システムの複数のインストールに対して構成することができます。
アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションとして共有されます。
これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングおよびインスタンス・アプリケーションの作成に関する項を参照してください。
1.8.10 アカウント・データの変換および検証
アプリケーションの作成時にGroovyスクリプトを作成して、リコンシリエーション操作およびプロビジョニング操作の際にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の属性のプロビジョニングおよびリコンシリエーションの検証と変換に関する項を参照してください。
1.8.11 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
1.8.12 接続プーリング
接続プールは、ターゲットへの物理的な接続を表すオブジェクトのキャッシュです。Oracle Identity Governanceコネクタは、これらの接続を使用してターゲット・システムと通信できます。
実行時には、アプリケーションがプールに接続をリクエストします。接続が使用可能であれば、コネクタがその接続を使用してからプールに戻します。プールに戻された接続は、コネクタが別の操作のために再びリクエストして使用することができます。接続プールは、接続の再利用を可能にし、ネットワーク待機時間、メモリー割当ておよび認証といった接続作成のオーバーヘッドを減らすことに役立っています。
アプリケーション作成時に指定する基本構成パラメータのセットごとに1つの接続プールが作成されます。たとえば、ターゲット・システムの3つのインストールに3つのアプリケーションがある場合は、ターゲット・システム・インストールごとに1つずつ、3つの接続プールが作成されます。
接続プーリングに対して構成できるプロパティの詳細は、「拡張設定パラメータ」を参照してください。
1.8.13 ターゲット・システムおよびOracle Identity Governance間のSSL通信のサポート
Oracle Identity Governanceとターゲット・システムの間の通信を保護するためにSSLを構成できます。
ターゲット・システムとOracle Identity Governance間の通信の保護に関する詳細は、「ターゲット・システムおよびOracle Identity Governance間のセキュアな通信の構成」を参照してください。