5 Identity Cloud Serviceコネクタの使用

コネクタを自分の要件にかなうように構成したら、コネクタを使用してリコンシリエーションおよびプロビジョニング操作を実行できます。

• リコンシリエーションの構成

• リコンシリエーション・ジョブの構成

• プロビジョニングの構成

• グループ管理に使用されるコネクタ・オブジェクト

• コネクタのアンインストール

5.1 リコンシリエーションの構成

コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。

この項では、リコンシリエーションの構成に関する次の項目について説明します。

• 完全リコンシリエーションおよび増分リコンシリエーションの実行

• 制限付きリコンシリエーションの実行

• バッチ・リコンシリエーションの実行

5.1.1 完全リコンシリエーションおよび増分リコンシリエーションの実行

完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Governanceにフェッチされます。

コネクタをデプロイした後はまず、完全リコンシリエーションを実行する必要があります。さらに、すべてのターゲット・システム・レコードをOracle Identity Governanceでリコンサイルする必要がある場合はいつでも、増分リコンシリエーションから完全リコンシリエーションへ切り替えることができます。

完全リコンシリエーションを実行するには、ユーザー・レコードとグループ・レコードをリコンサイルするスケジュール済ジョブの「フィルタ」属性と最新のトークン属性の値が指定されていないことを確認します。

リコンシリエーション実行の最後で、ユーザー・レコードとグループ・レコードのリコンシリエーションのスケジュール済ジョブの最新のトークン属性は、実行の終了した時点のタイムスタンプに自動的に設定されます。直後のリコンシリエーション実行からは、このタイムスタンプの後に作成または変更されたレコードのみがリコンシリエーションの対象になります。これが、増分リコンシリエーションです。

これらのスケジュール済ジョブの詳細は、「IDCS Target Resource User Reconciliationジョブ」および「IDCS Group Reconciliationジョブ」を参照してください。

「リコンシリエーション・ジョブの構成」で説明する手順に従ってこれらの属性の値を指定します。

5.1.2 バッチ・リコンシリエーションの実行

バッチ・リコンシリエーションを実行して、特定の数のレコードをターゲット・システムからOracle Identity Governanceにリコンサイルできます。

リコンシリエーションの実行中に、ターゲット・システム・レコードのすべての変更内容がOracle Identity Governanceにリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。

これらの問題を避けるため、バッチ・リコンシリエーションを構成できます。

バッチ・リコンシリエーションを構成するには、ユーザー・レコードとグループ・レコードをリコンサイルするスケジュール済ジョブの「バッチ・サイズ」属性に値を指定する必要があります。「バッチ・サイズ」属性は、各バッチに含めるレコード数を指定するために使用します。これらのスケジュール済ジョブの詳細は、「IDCS Target Resource User Reconciliationジョブ」、「IDCS Target Resource User Delete Reconciliationジョブ」および「IDCS Group Reconciliationジョブ」を参照してください。

デフォルトではこの属性の値は空であり、すべてのレコードが含まれることを示します(バッチ・リコンシリエーションは行われません)。

「リコンシリエーション・ジョブの構成」で説明する手順に従ってこれらの属性の値を指定します。

5.1.3 制限付きリコンシリエーションの実行

リコンシリエーション・モジュールにフィルタを作成して制限付きリコンシリエーションを実行し、指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。

デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。

このコネクタのFilter属性(スケジュール済ジョブの属性)により、任意のIdentity Cloud Serviceのリソース属性を使用してターゲット・システム・レコードをフィルタ処理できます。「IDCS Target Resource User Reconciliationジョブ」および「IDCS Group Reconciliationジョブ」を参照してください。

ノート:

この項の説明のようにリコンシリエーションでフィルタを使用する場合、一貫性を保ち、すべてのリコンシリエーション・ジョブに対して常に同じフィルタを使用するようにしてください。同じフィルタを使用することで、データの一貫性が維持され、すべてのリコンシリエーション操作で同じユーザー・ベースが使用されるようになります。

ICFフィルタの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタ構文に関する項を参照してください。

「リコンシリエーション・ジョブの構成」で説明する手順に従ってこれらの属性の値を指定します。

5.2 リコンシリエーション・ジョブの構成

ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Governanceにそのデータを複製するリコンシリエーションを実行する、リコンシリエーション・ジョブを構成します。

この手順は、ユーザーおよび権限のためのリコンシリエーション・ジョブを構成する場合に適用できます。

リコンシリエーション・ジョブを構成するには、次のようにします。

1. アイデンティティ・システム管理にログインします。
2. 左ペインの「システム管理」で、「スケジューラ」をクリックします
3. 次のようにして、スケジュール済ジョブを検索して開きます。
   1. 「検索」フィールドに、検索基準としてスケジュール済ジョブの名前を入力します。「拡張検索」をクリックして検索基準を指定することもできます。
   2. 左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
4. 「ジョブの詳細」タブで、スケジュール済タスクのパラメータを変更できます。
   • 再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
   • スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。『Oracle Fusion Middleware Oracle Identity Governanceの管理』のジョブの作成に関する項を参照してください。

   ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。

5. 「ジョブの詳細」タブの「パラメータ」領域で、スケジュール済タスクの属性の値を指定します。

   ノート:

   すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。

6. 「適用」をクリックして変更を保存します。

   ノート:

   アイデンティティ・システム管理の「スケジューラのステータス」ページを使用して、スケジューラを開始、停止または再初期化できます。

5.3 プロビジョニングの構成

Oracle Identity Governanceでのプロビジョニング操作の実行について説明し、それらの操作を実行するときに適用する必要があるガイドラインを示します。

• プロビジョニング操作の実行に関するガイドライン

• プロビジョニング操作の実行

5.3.1 プロビジョニング操作の実行に関するガイドライン

ここでは、プロビジョニング操作を実行する際に適用する必要があるガイドラインについて説明します。

• 「ユーザーの作成」プロビジョニング操作の際に、アカウント作成通知をターゲット・システムからユーザーに送信せずに、ユーザーが初回ログイン時にパスワードをリセットしないようにする場合は、デフォルト・パスワードのハッシュ化を有効にする必要があります。このためには、hashPasswordEnabled拡張設定パラメータをtrueに設定します。

  結果として、アカウントは、対応するOracle Identity Governanceユーザーに割り当てられたパスワードと一緒にIdentity Cloud Serviceにプロビジョニングされます。また、Identity Cloud Serviceから電子メール通知は送信されないため、ユーザーがIdentity Cloud Serviceに最初にログインするときにパスワードをリセットする必要はありません。

• 「ユーザーの削除」プロビジョニング操作の際に、Identity Cloud Service内の1つ以上のエンティティ(グループまたはアプリケーション)と関連付けられたユーザーを削除しようとする場合、relURLs拡張設定パラメータを更新する必要があります。このためには、relURLsエントリの最後に"__ACCOUNT__.DeleteOp=/Users/$(__ACCOUNT__.__UID__)$?forceDelete=true"値を追加します。

  更新されたサンプル値は、"__ACCOUNT__.password.UpdateOp=/Users/$(__ACCOUNT__.__UID__)$","__ACCOUNT__.DeleteOp=/Users/$(__ACCOUNT__.__UID__)$?forceDelete=true"です。

hashPasswordEnabledパラメータおよびrelURLsパラメータの詳細は、「拡張設定パラメータ」を参照してください。

5.3.2 プロビジョニング操作の実行

「ユーザーの作成」ページを使用して、Identity Self Serviceに新規ユーザーを作成します。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。

Oracle Identity Governanceでプロビジョニング操作を実行するには、次のようにします。

1. Identity Self Serviceにログインします。
2. 次のようにユーザーを作成します。
   1. Identity Self Serviceで、「管理」をクリックします。「ホーム」タブには、異なる「管理」オプションが表示されます。「ユーザー」をクリックします。「ユーザーの管理」ページが表示されます。
   2. 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ユーザーの作成」ページが表示され、ユーザー・プロファイル属性の入力フィールドが表示されます。
   3. 「ユーザーの作成」ページに、ユーザーの詳細を入力します。
3. 「アカウント」タブで、「アカウントのリクエスト」をクリックします
4. 「カタログ」ページで、以前に構成したコネクタのアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。
5. アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします
6. 「送信」をクリックします。

関連項目:

「ユーザーの作成」ページ内のフィールドの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のユーザーの作成に関する項を参照してください

5.4 グループ管理に使用されるコネクタ・オブジェクト

作成、更新、削除などのグループの管理操作を実行するためにコネクタによって使用されるオブジェクトについて学習します。

この項では、プロビジョニング操作時およびリコンシリエーション操作時に使用されるコネクタ・オブジェクトについて説明します。

• グループ管理のための参照定義

• グループ管理のためのリコンシリエーション・スケジュール済ジョブ

• グループ管理のリコンシリエーション・ルール

• グループ管理のリコンシリエーション・アクション・ルール

5.4.1 グループ管理のための参照定義

次に示すのは、Oracle Identity Governanceのグループ・リソース・オブジェクト・フィールドをターゲット・システム属性にマップする参照定義です。Lookup.IDCS.GM.ReconAttrMap参照定義は、ターゲット・リソース・グループ・リコンシリエーションの実行に使用されます。Lookup.IDCS.GM.ProvAttrMap参照定義は、グループ・プロビジョニング操作を実行するために使用されます。

表5-1に、Lookup.IDCS.GM.ReconAttrMap and Lookup.IDCS.GM.ProvAttrMap参照定義のエントリを示します。

表5-1 グループ管理の参照定義のエントリ

コード・キー	デコード
説明	説明
グループID	__UID__
グループ名	__NAME__
OIG組織名	OIG組織名

5.4.2 グループ管理のためのリコンシリエーション・スケジュール済ジョブ

アプリケーションを作成すると、リコンシリエーションのスケジュール済ジョブがOracle Identity Governanceでのグループ管理操作のために自動的に作成されます。これらのスケジュール済ジョブを、その属性の値を指定して必要に合うように構成する必要があります。

このトピックでは、次のスケジュール済ジョブについて説明します。

• IDCS Group Reconciliationジョブ

• IDCS Group Delete Reconciliationジョブ

5.4.2.1 IDCS Group Reconciliationジョブ

IDCS Group Reconciliationスケジュール済ジョブを使用して、ターゲット・システムからグループ・データをリコンサイルします。

表5-2 IDCS Group Reconciliationスケジュール済ジョブの属性

属性	説明
フィルタ	リコンシリエーションの実行時にターゲット・システムからフェッチされるレコードの検索フィルタを入力します。 フィルタ処理されえたリコンシリエーションの詳細は、「制限付きリコンシリエーションの実行」を参照してください。
増分リコンシリエーション属性	この属性は、Incremental Recon Attributeの値として指定された属性の値を保持します。 デフォルト値: meta.lastModified ノート: この属性の値は変更しないでください。
ITリソース名	グループ・レコードのリコンサイル元のターゲット・システム・インストールに対するITリソースの名前を入力します。 デフォルト値: Identity Cloud Services
最新のトークン	トークン・レコードが変更されたデータを保持する属性。Latest Token属性は内部目的で使用されます。デフォルトでは、この値は空です。 ノート:この属性に値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 サンプル値: <String>2016-10-19T07:24:49Z</String>
オブジェクト・タイプ	この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: Group ノート: Groupはサポートされる唯一のオブジェクトです。そのため、この属性の値は変更しないでください。
OIM組織名	リコンシリエーションに使用される組織の名前。
リソース・オブジェクト名	この属性は、リコンシリエーションに使用されるリソース・オブジェクトの名前を保持します。 デフォルト値: IDCS Group

5.4.2.2 IDCS Group Delete Reconciliationジョブ

IDCS Group Delete Reconciliationスケジュール済ジョブを使用して、ターゲット・システムから削除済グループ・データをリコンサイルします。

表5-3 IDCS Group Delete Reconciliationスケジュール済ジョブの属性

属性	説明
バッチ・サイズ	リコンシリエーション時にターゲット・システムからフェッチされる各バッチに含める必要があるレコード数を入力します。 デフォルトではこの属性の値は空であり、すべてのレコードがリコンシリエーションに含まれることを示します。
ITリソース名	グループ・レコードのリコンサイル元のターゲット・システム・インストールに対するITリソースの名前を入力します。 デフォルト値: Identity Cloud Services
オブジェクト・タイプ	この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: Group ノート: Groupはサポートされる唯一のオブジェクトです。そのため、この属性の値は変更しないでください。
OIM組織名	削除リコンシリエーションに使用される組織の名前。
リソース・オブジェクト名	この属性は、リコンシリエーションに使用されるリソース・オブジェクトの名前を保持します。 デフォルト値: IDCS Group

5.4.3 グループ管理のリコンシリエーション・ルール

リコンシリエーション・エンジンがルールを使用して、ターゲット・システムで新たに検出されたアカウントにOracle Identity Governanceが割り当てる必要があるアイデンティティを判別します。

この項では、ターゲット・リソース・リコンシリエーションのグループ・リコンシリエーション・ルールに関する次の項目について説明します。

• グループのリコンシリエーション・ルール

• Design Consoleでのリコンシリエーション・ルールの表示

5.4.3.1 グループのリコンシリエーション・ルール

Identity Cloud Serviceコネクタでは、グループのリコンシリエーションを実行できます。つまり、コネクタにはグループ専用に定義されたリコンシリエーション・ルールがあります。

ルール名: IDCS Groups Recon Rule

ルール要素: Organization Name Equals OIG Org Name。

このルールでは、次のようになります。

• Organization Nameは、Oracle Identity Governanceの「ユーザー」フォームの「組織名」フィールドです。

• OIG Org Nameは、Oracle Identity Governanceのグループの組織名です。OIG Org Nameは、IDCS Group Reconスケジュール済ジョブの「組織名」属性で指定された値です。

5.4.3.2 Design Consoleでのリコンシリエーション・ルールの表示

グループのリコンシリエーション・ルールは、Oracle Identity Manager Design Consoleのリコンシリエーション・ルール・ビルダー・フォームで確認できます。

グループのリコンシリエーション・ルールを確認するには、次のようにします。

1. Oracle Identity Manager Design Consoleにログインします。
2. 「開発ツール」を開き、「リコンシリエーション・ルール」をダブルクリックします。
3. IDCS Groups Recon Ruleを検索して開きます。

5.4.4 グループ管理のリコンシリエーション・アクション・ルール

リコンシリエーション・アクション・ルールでは、リコンシリエーション・ルールの適用時に、一致するIdentity Cloud ServiceリソースまたはOracle Identity Governanceユーザーが検出されるかどうかに基づいてコネクタが実行する必要のあるアクションを指定します。

ノート:

このコネクタに事前定義されていないルール条件に対して、アクションは実行されません。このようなルール条件には、ユーザー独自のアクション・ルールを定義できます。

次の各項では、このコネクタのアクション・ルールに関する情報を提供します。

• グループのリコンシリエーション・アクション・ルール

• Design Consoleでのリコンシリエーション・アクション・ルールの表示

5.4.4.1 グループのリコンシリエーション・アクション・ルール

リコンシリエーション・アクション・ルールは、リコンシリエーション・イベントの処理結果に基づいてコネクタが実行する必要があるアクションを指定します。次に示すのは、グループのリコンシリエーション・アクション・ルールです。

表5-4 グループのリコンシリエーション・アクション・ルール

ルール条件	アクション
一致が見つからなかった場合	なし
1つのエンティティ一致が見つかった場合	リンクの確立
1つのプロセス一致が見つかった場合	リンクの確立

5.4.4.2 Design Consoleでのリコンシリエーション・アクション・ルールの表示

グループのリコンシリエーション・ルールを確認するには、次のステップを実行します。

1. Oracle Identity Manager Design Consoleにログインします。
2. 「Resource Management」を展開し、「Resource Objects」をダブルクリックします。
3. IDCS Groupリソース・オブジェクトを検索し、開きます。
4. 「Object Reconciliation」タブ、「Reconciliation Action Rules」タブの順にクリックします。
   リコンシリエーション・アクション・ルール・タブに、このコネクタに定義されているアクション・ルールが表示されます。

5.5 コネクタのアンインストール

Identity Cloud Serviceコネクタをアンインストールすると、そのリソース・オブジェクトに関連付けられているアカウント関連のデータがすべて削除されます。

なんらかの理由でコネクタをアンインストールする場合、コネクタのアンインストール・ユーティリティを実行します。このユーティリティを実行する前に、ConnectorUninstall.propertiesファイルでObjectTypeおよびObjectValuesプロパティに必ず値を設定してください。たとえば、リソース・オブジェクト、スケジュール済タスクおよびコネクタに関連付けられたスケジュール済ジョブを削除する場合は、ObjectTypeプロパティの値として"ResourceObject", "ScheduleTask", "ScheduleJob"を入力し、ObjectValuesプロパティの値としてコネクタに対応するオブジェクト値のセミコロン区切りのリストを入力します。

例: IDCS User; IDCS Group

ノート:

ObjectTypeプロパティとObjectValueプロパティとともにConnectorNameプロパティとReleaseプロパティの値を設定すると、ObjectValueプロパティでリストしたオブジェクトの削除はユーティリティによって実行されますが、コネクタ情報はスキップされます。

詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタのアンインストールに関する項を参照してください。