3 Identity Cloud Serviceコネクタの構成
アプリケーションの作成時に、Oracle Identity Governanceとターゲット・システムの接続およびコネクタ操作の実行のために、コネクタで使用される接続関連のパラメータを構成する必要があります。また、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システムの列の属性マッピング、事前定義済相関ルール、状況とレスポンスおよびリコンシリエーション・ジョブを表示して編集できます。
3.1 基本構成パラメータ
ここでは、Identity Cloud Serviceへの接続にOracle Identity Governanceで必要となる接続関連のパラメータについて説明します。
表3-1 Identity Cloud Serviceの基本構成パラメータ
パラメータ | 必須 | 説明 |
---|---|---|
acceptType |
〇 |
ヘッダーの受入タイプは、リクエスト本文をどのように解析する必要があるかを示します。コンテンツ・タイプ・ヘッダーがapplication/jsonの場合、リクエスト本文はJSONとしてのみ解析されます。 サンプル値: |
authenticationServerUrl |
〇 |
認証タイプが“BASIC”の場合の認証サーバーのURL。 サンプル値: |
baseURI |
〇 |
ベースURIは、Identity Cloud Serviceターゲット・システムのベース相対URLです。 サンプル値: ターゲット・システムのURLが |
contentType |
〇 |
ヘッダーのコンテンツ・タイプは、ターゲット・システムに送信されるリクエストの形式を示します。Content-TypeヘッダーがapplicationまたはJSONの場合、リクエスト本文はJSONとしてのみ解析されます。 サンプル値: |
customAuthHeaders |
〇 |
ターゲット・システムに対する認可に使用されるクライアント識別子およびクライアント・シークレットの値。 このパラメータの値は次の形式で入力します。
この形式の サンプル値: |
grantType |
〇 |
ターゲット・システムにより使用される認証のタイプ。 サンプル値: |
host |
〇 |
ターゲット・システムのホストであるコンピュータのホスト名またはIPアドレス。 サンプル値: |
port |
〇 |
ターゲット・システムがリスニングしているポート番号。 サンプル値: |
scope |
〇 |
スコープは、「OAuth2.0リソース所有者のパスワードまたはクライアント資格証明」認証タイプに基づくリクエストを認証するために必要です。 サンプル値: |
sslEnabled |
〇 |
ターゲット・システムでSSL接続が必要な場合、このパラメータの値を |
コネクタ・サーバー名 |
× |
「コネクタ・サーバー」タイプのITリソースの名前。 デフォルトでは、このフィールドは空白です。Javaコネクタ・サーバーにコネクタをデプロイしている場合、コネクタ・サーバーのITリソースの名前を入力します。 |
username |
× |
認証タイプが“basic”または“password”の場合に使用されるユーザー名またはユーザーID。 サンプル値: |
password |
× |
認証タイプが“basic”または“password”の場合に使用されるパスワード。 サンプル値: |
3.2 拡張設定パラメータ
これらは、リコンシリエーション操作およびプロビジョニング操作の際にコネクタで使用される構成関連のエントリです。
表3-2 Identity Cloud Serviceの拡張設定パラメータ
パラメータ | 必須 | 説明 |
---|---|---|
relURLs |
× |
このエントリは、このコネクタでサポートされている各オブジェクト・クラスの相対URLおよびこれらのオブジェクト・クラスで実行可能なコネクタ操作を含みます。 デフォルト値: ノート: このパラメータを更新すると、Identity Cloud Service内の1つ以上のエンティティ(グループまたはアプリケーション)と関連付けられたユーザーを削除できます。このためには、このエントリの最後に 更新されたサンプル値は、 このエントリを更新せずにユーザーを削除しようとすると、エラー・メッセージが表示されます。エラー・メッセージの詳細は、「Identity Cloud Serviceコネクタのトラブルシューティング」を参照してください。 |
バンドル名 |
× |
このエントリは、コネクタ・バンドル・パッケージの名前を含みます。 デフォルト値: |
バンドルのバージョン |
× |
このエントリは、コネクタ・バンドルのバージョンを保持します。 デフォルト値: |
コネクタ名 |
× |
このエントリは、コネクタ・クラスの名前を含みます。 デフォルト値: |
nameAttributes |
〇 |
このエントリは、オブジェクト・クラスの__NAME__属性として処理する必要がある属性を示します。 デフォルト値: |
uidAttributes |
〇 |
このエントリは、コネクタにより処理されるオブジェクトのUID属性を含みます。たとえば、UID属性はユーザー・アカウントのIDです。 デフォルト値: |
statusAttributes |
× |
このエントリには、アカウントのステータスを含むターゲット・システム属性の名前がリストされます。 このエントリは、オブジェクト・クラスのターゲットのステータス・フィールド(__ENABLE__フィールド)を示します。 デフォルト値: |
passwordAttributes |
× |
このエントリは、オブジェクト・クラスの__PASSWORD__属性として処理する必要がある属性を示します。 デフォルト値: |
attrToOClassMapping |
× |
このエントリは、__ACCOUNT__オブジェクト・クラスのグループ属性がターゲットのGroupsオブジェクト・クラスにマップされることを示します。 デフォルト値: |
scimVersion |
〇 |
これは、ターゲットが実装されるSCIMバージョンを示します。 デフォルト値: |
jsonResourcesTag |
× |
このJSONタグ値は、リコンシリエーション中に単一レスポンス・ペイロード内の複数のエントリを解析するために使用されます。 デフォルト値: |
customPayload |
× |
このエントリは、標準の形式ではないすべての操作のペイロードを含みます。 デフォルト値: |
Any Incremental Recon Attribute Type |
× |
デフォルトでは、増分リコンシリエーション中に、Oracle Identity Governanceではターゲット・システムから送信されるタイムスタンプ情報はLongデータ型形式のみを受け入れます。このIncremental Recon Attribute Typeエントリのデコード値がTrueの場合、Oracle Identity Governanceでは任意のデータ型形式のタイムスタンプ情報を受け入れます。 デフォルト値: |
httpOperationTypes |
× |
このエントリは、パスワードの更新操作で、ターゲットがPATCHではなくPUT操作を必要としていることを示します。 デフォルト値: |
reconSortByAttrs |
× |
このエントリは、リコンシリエーション操作時にレコードをソートするために使用される属性を含みます。 デフォルト値: |
managedObjectClasses |
× |
このエントリは、ターゲット・システムによって使用されるオブジェクト・クラスの値を保持します。ユーザーとグループに関連する操作は、このパラメータを使用して、ターゲット・システムの対応するオブジェクト・クラスを格納します。 デフォルト値: |
hashPasswordEnabled |
× |
このエントリは、新しいアカウントが作成されるときにターゲット・システムに送信されるデフォルト・パスワードに対してハッシュ化を有効にする必要があるかどうかを指定します。 デフォルト値: これではハッシュ化が有効化されないことが暗黙に指定され、デフォルト・パスワードはプレーン・テキスト形式で送信されます。 ノート: デフォルト・パスワードに対するハッシュ化を有効にするには、このパラメータの値を 「ユーザーの作成」プロビジョニング操作時にハッシュ化を有効にする方法の詳細は、「プロビジョニング操作の実行に関するガイドライン」を参照してください。 |
hashAlgorithm |
× |
このエントリは、hashPasswordEnabledパラメータが デフォルト値: サポートされているアルゴリズム:
|
3.3 属性マッピング
ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性をターゲット・システムの属性にマップするデフォルトのスキーマ(コネクタに付属)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。
Identity Cloud Serviceユーザー・アカウントの属性
表3-3に、Oracle Identity Governanceのプロセス・フォーム・フィールドとIdentity Cloud Service属性のユーザー固有の属性マッピングを示します。この表では、プロビジョニングまたはリコンシリエーションの際に特定の属性が使用されるかどうかと、それがリコンシリエーション中にレコードをフェッチするための一致のキー・フィールドかどうかも示します。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項で説明されているように、新しい属性を追加するか、既存の属性を削除することにより、デフォルトの属性マッピングを編集できます。
表3-3 Identity Cloud Serviceユーザー・アカウントのデフォルト属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | プロビジョニング・フィールド | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|---|
ID |
__UID__ |
String |
× |
〇 |
〇 |
〇 |
該当なし |
ユーザー名 |
__NAME__ |
String |
〇 |
〇 |
〇 |
× |
該当なし |
名 |
name.givenName |
String |
〇 |
〇 |
〇 |
× |
該当なし |
姓 |
name.familyName |
String |
〇 |
〇 |
〇 |
× |
該当なし |
ミドル・ネーム |
name.middleName |
String |
× |
〇 |
〇 |
× |
該当なし |
マネージャ |
manager.value |
String |
× |
〇 |
〇 |
× |
該当なし |
従業員番号 |
employeeNumber |
String |
× |
〇 |
〇 |
× |
該当なし |
電子メール |
__ACCOUNT__.emails.value,type:work,primary:true |
String |
〇 |
〇 |
〇 |
× |
該当なし |
ユーザー・タイプ |
userType |
String |
× |
〇 |
〇 |
× |
該当なし |
組織 |
organization |
String |
× |
〇 |
〇 |
× |
該当なし |
パスワード |
__PASSWORD__ |
String |
× |
〇 |
× |
× |
該当なし |
作成メカニズム |
creationMechanism |
String |
× |
〇 |
× |
× |
該当なし |
ステータス |
__ENABLE__ |
String |
× |
〇 |
〇 |
× |
該当なし |
図3-1に、デフォルトのユーザー・アカウント属性マッピングを示します。
表3-1 Identity Cloud Serviceユーザー・アカウントのデフォルト属性マッピング
「図3-1 Identity Cloud Serviceユーザー・アカウントのデフォルト属性マッピング」の説明
グループ名子属性
表3-4に、Oracle Identity Governanceのプロセス・フォーム・フィールドとIdentity Cloud Service属性の間のグループ名の属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項で説明されているように、新しい属性を追加するか、既存の属性を削除することにより、デフォルトの属性マッピングを編集できます。
表3-4 Identity Cloud Serviceグループ名のデフォルト属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
グループ値 |
__ACCOUNT__.groups~__ACCOUNT__.groups~value |
String |
× |
〇 |
〇 |
該当なし |
図3-2に、デフォルトのグループ名属性マッピングを示します。
3.4 相関ルール、状況およびレスポンス
Identity Cloud Serviceターゲット・アプリケーションの事前定義済ルール、レスポンスおよび状況について学習します。コネクタは、リコンシリエーションを実行するためにこれらのルールおよびレスポンスを使用します。
事前定義済のアイデンティティ相関ルール
ターゲット・アプリケーションを作成する場合、デフォルトでは、Identity Cloud Serviceコネクタには単純相関ルールが用意されています。コネクタは、この相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表3-5 Identity Cloud Serviceターゲット・アプリケーションの事前定義済アイデンティティ相関ルール
ターゲット属性 | 要素演算子 | アイデンティティ属性 | 大/小文字の区別 |
---|---|---|---|
__NAME__ |
Equals |
ユーザー・ログイン |
× |
-
__NAME__は、ユーザー・アカウントを識別するターゲット・システム上の単一値の属性です。
-
「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。
図3-3に、Identity Cloud Serviceコネクタの単純相関ルールを示します。
図3-3 Identity Cloud Serviceターゲット・アプリケーションの単純相関ルール
「図3-3 Identity Cloud Serviceターゲット・アプリケーションの単純相関ルール」の説明
事前定義済の状況とレスポンス
ターゲット・アプリケーションを作成する場合、Identity Cloud Serviceコネクタにはデフォルトの状況とレスポンスのセットが用意されています。これらの状況とレスポンスにより、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションを指定します。
表3-6に、Identity Cloud Serviceコネクタのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集したり、新しいものを追加することができます。状況およびレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項を参照してください。
表3-6 Identity Cloud Serviceターゲット・アプリケーションの事前定義済の状況およびレスポンス
状況 | レスポンス |
---|---|
一致が見つからなかった場合 |
なし |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
図3-4に、Identity Cloud Serviceコネクタのデフォルトの状況とレスポンスを示します。
図3-4 Identity Cloud Serviceターゲット・アプリケーションのデフォルトの状況およびレスポンス
「図3-4 Identity Cloud Serviceターゲット・アプリケーションのデフォルトの状況およびレスポンス」の説明
3.5 リコンシリエーション・ジョブ
ターゲット・システムのアプリケーションを作成した後にOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブについて学習します。
これらの事前定義済のジョブを使用することも、要件に合うように編集することもできます。また、カスタム・リコンシリエーション・ジョブを作成することもできます。これらの事前定義済のジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリコンシリエーション・ジョブの更新に関する項を参照してください。
IDCS Target Resource User Reconciliationジョブ
IDCS Target Resource User Reconciliationジョブを使用して、完全リコンシリエーションまたは増分リコンシリエーションを実行しますが、これにはターゲット・アプリケーションからOracle Identity Governanceへのすべてのユーザー・レコードのリコンシリエーションが含まれます。
表3-7 IDCS Target Resource User Reconciliationジョブのパラメータ
パラメータ | 説明 |
---|---|
アプリケーション名 |
ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。 ノート: この値は変更しないでください。 |
バッチ・サイズ |
リコンシリエーション時にターゲット・システムからフェッチされる各バッチに含める必要があるレコード数を入力します。 デフォルトではこの属性の値は空であり、すべてのレコードがリコンシリエーションに含まれることを示します。 |
フィルタ |
リコンシリエーションの実行時にターゲット・システムからフェッチされるレコードの検索フィルタを入力します。 フィルタ処理されえたリコンシリエーションの詳細は、「制限付きリコンシリエーションの実行」を参照してください。 |
増分リコンシリエーション属性 |
この属性は、Incremental Recon Attribute属性の値として指定されたターゲット・システム属性の値を保持します。 デフォルト値: ノート: この値は変更しないでください。 |
オブジェクト・タイプ |
この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: ノート: Userはサポートされる唯一のオブジェクトです。そのため、この属性の値は変更しないでください。 |
最新のトークン |
トークン・レコードの変更日付を保持する属性。Latest Token属性は内部目的で使用されます。デフォルトでは、この値は空です。 ノート:この属性に値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 サンプル値: |
スケジュール済タスク名 |
スケジュールされたジョブの名前。 ノート: このコネクタに組み込まれているスケジュール済ジョブについては、この属性の値を変更することはできません。ただし、新しいジョブを作成した場合またはジョブのコピーを作成した場合は、この属性の値として、そのスケジュール済ジョブに一意の名前を入力します。 |
IDCS Target Resource User Delete Reconciliationジョブ
IDCS Target Resource User Delete Reconciliationジョブを使用して、ターゲット・システムから削除済ユーザー・アカウント・データをリコンサイルします。
表3-8 IDCS Target Resource User Delete Reconciliationジョブのパラメータ
パラメータ | 説明 |
---|---|
アプリケーション名 |
ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。 ノート: この値は変更しないでください。 |
オブジェクト・タイプ |
この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: ノート: Userはサポートされる唯一のオブジェクトです。そのため、この属性の値は変更しないでください。 |
バッチ・サイズ |
リコンシリエーション時にターゲット・システムからフェッチされる各バッチに含める必要があるレコード数を入力します。 デフォルトではこの属性の値は空であり、すべてのレコードがリコンシリエーションに含まれることを示します。 |
権限のリコンシリエーション・ジョブ
-
IDCS Group Lookup Reconciliation: このジョブは、ターゲット・システムのすべてのグループ・データを、Oracle Identity Governanceの参照フィールドにリコンサイルする場合に使用します。
-
IDCS Manager Lookup Reconciliation: このジョブは、ターゲット・システムのすべてのマネージャ・データを、Oracle Identity Governanceの参照フィールドにリコンサイルする場合に使用します。
リコンシリエーション・ジョブのパラメータはすべて同じです。
表3-9 権限のリコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
アプリケーション名 |
ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。 ノート: この値は変更しないでください。 |
参照名 |
このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。 デフォルト値は、使用するリコンシリエーション・ジョブに応じて次のようになります。
|
オブジェクト・タイプ |
同期させる必要のある値を含むオブジェクトのタイプを入力します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
ノート: この値は変更しないでください。 |
コード・キー属性 |
参照定義のコード・キー列を移入するのに使用する、コネクタの名前またはターゲット・システム属性を入力します(「参照名」属性の値として指定)。 デフォルト値: ノート: この値は変更しないでください。 |
デコード属性 |
参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用される、コネクタまたはターゲット・システムの属性の名前を入力します。 デフォルト値: |