3 コネクタの構成
ターゲットまたは認可アプリケーションの作成中に、Oracle Identity Governanceとターゲット・システムに接続してコネクタ操作を実行するためにコネクタによって使用される、接続関連パラメータを構成する必要があります。また、Oracle Identity Governance内のプロセス・フォーム・フィールドとターゲット・システムの列の間の属性マッピング、事前定義済の相関ルール、状況とレスポンス、およびリコンシリエーション・ジョブを表示および編集できます。
3.1 基本構成パラメータ
これらは、Microsoft Teamsアプリケーションへの接続のために、Oracle Identity Governanceで必要となる接続関連パラメータです。これらのパラメータは、ターゲット・アプリケーションと認可アプリケーションの両方で共通です。
ノート:
指定がないかぎり、次の表のエントリは変更しないでください。表3-1 基本構成のパラメータ
パラメータ | 必須 | 説明 |
---|---|---|
authenticationType |
はい |
ターゲット・システムにより使用される認証のタイプを入力します。このコネクタの場合、ターゲット・システムOAuth2.0クライアント資格証明です。これは、アプリケーションを作成する際の必須属性です。パラメータの値は変更しないでください。 デフォルト値: |
authenticationServerUrl |
はい |
ターゲット・システムのクライアントIDおよびクライアント・シークレットを検証する認証サーバーのURLを入力します。 サンプル値: |
clientId |
はい |
登録処理中に認証サーバーによってクライアント・アプリケーションに対して発行されるクライアント識別子(一意の文字列)を入力します。このクライアントIDは、新しく追加されたアプリケーションの構成の説明に示されている手順を実行するときに取得しました。 |
clientSecret |
はい |
クライアント・アプリケーションのアイデンティティを認証するのに使用されるシークレット・キーを入力します。このシークレット・キーは、新しく追加されたアプリケーションの構成の説明に示されている手順を実行するときに取得しました。 |
Scope |
はい |
クライアント・アプリケーションのスコープを入力します。 デフォルト値: |
host |
はい |
ターゲット・システムをホストしているマシンのホスト名を入力します。これは、アプリケーションを作成する際の必須属性です。 サンプル値: |
uriPlaceHolder |
はい |
relURIsのプレースホルダを置き換えるキーと値のペアを入力します。すべての相対URLにおいて繰り返される値で構成されるURIプレースホルダです。値はカンマで区切る必要があります。 たとえば、テナントIDおよびAPIバージョン値はすべてのリクエストURLにおいてその一部となっています。そのため、これをキーと値のペアで置き換えます。 サンプル値: |
port |
いいえ |
ターゲット・システムがリスニングしているポート番号を入力します。 サンプル値: |
proxyHost |
いいえ |
外部ターゲットへの接続に使用されるプロキシ・ホストの名前を入力します。 |
proxyPassword |
いいえ |
ターゲット・システムに接続するために、Oracle Identity Governanceにより使用されるターゲット・システム・ユーザー・アカウントのプロキシ・ユーザーIDのパスワードを入力します。 |
proxyPort |
いいえ |
プロキシのポート番号を入力します。 |
proxyUser |
いいえ |
ターゲット・システムに接続するために、Oracle Identity Governanceにより使用されるターゲット・システム・ユーザー・アカウントのプロキシ・ユーザー名を入力します。 サンプル値: |
sslEnabled |
いいえ |
ターゲット・システムでSSL接続が必要な場合、このパラメータの値を デフォルト値: |
3.2 拡張設定パラメータ
これらは、リコンシリエーション操作およびプロビジョニング操作の際にコネクタで使用される構成関連のエントリです。
ノート:
-
指定がないかぎり、次の表のエントリは変更しないでください。
-
次の表のパラメータはすべて必須です。
表3-2 拡張設定パラメータ
パラメータ | 説明 |
---|---|
relURIs |
このエントリは、このコネクタでサポートされている各オブジェクト・クラスの相対URLおよびこれらのオブジェクト・クラスで実行可能なコネクタ操作を含みます。これは、アプリケーションを作成する際の必須属性です。 デフォルト値: |
nameAttributes |
このエントリは、このコネクタにより処理されるすべてのオブジェクトの名前属性を含みます。 たとえば、ユーザー・アカウントに使用される デフォルト値: |
uidAttributes |
このエントリは、このコネクタにより処理されるすべてのオブジェクトのuid属性を含みます。 たとえば、 言い換えると、デコードの値ACCOUNT.objectIdは、ACCOUNTオブジェクト・クラスのコネクタのUID属性(つまりGUID)が、ターゲット・システムのユーザー・アカウントに対応するuid属性であるobjectIdにマッピングされるということです。 デフォルト値:"__ACCOUNT__.id","__TEAMS__.id" |
opTypes |
このエントリは、コネクタでサポートされる各オブジェクト・クラスのHTTP操作タイプを指定します。値はカンマ区切りで、次の形式です: OBJ_CLASS.OP=HTTP_OP この形式において、 デフォルト値: |
pageSize |
検索操作に対して1ページに表示されるリソースおよびユーザーの数。 デフォルト値: 100 |
pageTokenAttribute |
次のページ・トークンを示すレスポンス・ペイロード内の属性。 デフォルト値: odata.nextLink |
pageTokenRegex |
この属性は、ページ区切りをサポートするリコンシリエーション中にURLで使用されます。 デフォルト値: (?<=skiptoken=).* |
任意の増分リコンシリエーション属性タイプ |
デフォルトでは、増分リコンシリエーション中に、Oracle Identity Governanceではターゲット・システムから送信されるタイムスタンプ情報はLongデータ型形式のみを受け入れます。このパラメータの値を デフォルト値: |
jsonResourcesTag |
このエントリは、リコンシリエーション中に単一ペイロード内の複数のエントリの解析のために使用されるjsonタグ値を含みます。 デフォルト値: |
httpHeaderContentType |
このエントリは、ヘッダーの、ターゲット・システムが予期するコンテンツ・タイプを含みます。 デフォルト値: |
httpHeaderAccept |
このエントリは、ヘッダーの、ターゲット・システムに対して期待する受入タイプを含みます。 デフォルト値: |
specialAttributeTargetFormat |
このエントリには、属性がターゲット・システム・エンドポイントに存在する形式がリストされます。 たとえば、ターゲット・システム・エンドポイントにおいて別名属性は デフォルト値 |
specialAttributeHandling |
このエントリには、値をターゲット・システムに1つずつ("SINGLE")送信する必要がある特殊属性がリストされます。値はカンマ区切りで、次の形式です: OBJ_CLASS.ATTR_NAME.PROV_OP=SINGLE たとえば、デコードの値が デフォルト値 |
customPayload |
このエントリは、標準の形式ではないすべての操作のペイロードを示します。 デフォルト値: |
statusAttributes |
このエントリには、アカウントのステータスを含むターゲット・システム属性の名前がリストされます。たとえば、ユーザー・アカウントに使用される デフォルト値: |
passwordAttribute |
このエントリは、OIMのコネクタの__PASSWORD__属性にマッピングされるターゲット・システム属性の名前を含みます。 デフォルト値: |
targetObjectIdentifier |
このエントリは、relURIのプレースホルダを置き換えるキーと値のペアを指定します。値はカンマ区切りで、KEY;VALUEの形式です。 デフォルト値: |
childFieldsWithSingleEnd |
このエントリは、単一のエンドポイント・レスポンスからの特別な属性データを指定します。 デフォルト値: |
3.3 属性マッピング
「スキーマ」ページの属性マッピングは、ターゲット・アプリケーションを作成するかどうかによって異なります。
3.3.1 ターゲット・アプリケーションの属性マッピング
ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システム属性をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。
MS Teamsターゲット・アプリケーションのデフォルト属性
表3-3に、Oracle Identity Governanceのプロセス・フォーム・フィールドとMS Teamsターゲット・アプリケーションの属性間のユーザー固有の属性マッピングを示します。この表では、プロビジョニングまたはリコンシリエーションの際に特定の属性が使用されるかどうかと、それがリコンシリエーション中にレコードをフェッチするための一致のキー・フィールドかどうかも示します。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。
表3-3 MS Teamsターゲット・アプリケーションのデフォルト属性
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | プロビジョニング・フィールド | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない | 拡張フラグ設定 |
---|---|---|---|---|---|---|---|---|
オブジェクトID | __UID__ | 文字列 | いいえ | はい | はい | はい | はい | はい |
ユーザー・プリンシパル名 | __NAME__ | 文字列 | はい | はい | はい | いいえ | 該当なし | はい |
パスワード | __PASSWORD__ | 文字列 | いいえ | はい | いいえ | いいえ | 該当なし | はい |
名 | givenName | 文字列 | いいえ | はい | はい | いいえ | 該当なし | はい |
姓 | surname | 文字列 | いいえ | はい | はい | いいえ | 該当なし | はい |
表示名 | displayName | 文字列 | はい | はい | はい | いいえ | 該当なし | はい |
ユーザー・タイプ | userType | 文字列 | いいえ | いいえ | はい | いいえ | 該当なし | はい |
使用場所 | usageLocation | 文字列 | いいえ | はい | はい | いいえ | 該当なし | はい |
市区町村 | city | 文字列 | いいえ | はい | はい | いいえ | 該当なし | はい |
国 | country | 文字列 | いいえ | はい | はい | いいえ | 該当なし | はい |
マネージャ | manager | 文字列 | いいえ | はい | はい | いいえ | 該当なし | はい |
優先言語 | preferredLanguage | 文字列 | いいえ | はい | はい | いいえ | 該当なし | はい |
メール・ニックネーム | mailNickname | 文字列 | はい | はい | はい | いいえ | 該当なし | はい |
MSTeamsサーバー | Long | はい | いいえ | はい | はい | いいえ | はい | |
次のログオン時にパスワードを変更 | passwordProfile.forceChangePasswordNextSignIn | 文字列 | いいえ | はい | いいえ | いいえ | 該当なし | はい |
アカウント有効 | accountEnabled | 文字列 | いいえ | はい | はい | いいえ | 該当なし | はい |
ステータス | __ENABLE__ | 文字列 | いいえ | いいえ | はい | いいえ | 該当なし | はい |
「デフォルトの属性マッピング」に、デフォルトのユーザー・アカウント属性マッピングを示します。
![MS Teamsユーザー・アカウントのデフォルトの属性マッピング MS Teamsユーザー・アカウントのデフォルトの属性マッピング](img/defaultattributemappings_sharepointonline_useraccount.png)
MS Teams権限
表3-4に、Oracle Identity Governanceのプロセス・フォーム・フィールドとMS Teamsターゲット・アプリケーションの属性間のグループ・フォーム属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。
表3-4 MSTeamsGroupのデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
MSTeamsグループ名 | __TEAMS__~__TEAMS__~id | 文字列 | いいえ | はい | はい | いいえ |
MS Teams MSTeamsGroup権限
Oracle Identity Governanceのプロセス・フォーム・フィールドとMS Teamsターゲット・アプリケーションの属性間のグループ・フォーム属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除することでデフォルトの属性マッピングを編集できます。
図3-1 MS Teams MSTeamsGroupのデフォルトの属性マッピング
![MS Teams MSTeamsGroupのデフォルトの属性マッピング MS Teams MSTeamsGroupのデフォルトの属性マッピング](img/msteamsgroup.png)
3.4 相関ルール
ターゲット・アプリケーションおよび認可アプリケーションの事前定義済ルール、レスポンスおよび状況について学習します。これらのルールおよびレスポンスは、リコンシリエーションを実行するためにコネクタによって使用されます。
3.4.1 ターゲット・アプリケーションの相関ルール
ターゲット・アプリケーションを作成する際、コネクタは相関ルールを使用してOracle Identity Governanceでリソースを割り当てる必要があるアイデンティティを特定します。
事前定義済アイデンティティ相関ルール
デフォルトでは、MS Teamsコネクタにより、ターゲット・アプリケーション作成時の単純相関ルールが提供されます。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表3-6に、MS Teams ADコネクタ用のデフォルトの単純相関ルールを示します。必要に応じて、デフォルト相関ルールを編集するか、新しいルールを追加できます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアイデンティティ相関ルールの更新に関する項を参照してください。
表3-5 MS Teamsコネクタの事前定義済アイデンティティ相関ルール
ターゲット属性 | 要素演算子 | アイデンティティ属性 | 大/小文字を区別する |
---|---|---|---|
__NAME__ |
次と等しい |
ユーザー・ログイン |
いいえ |
-
__NAME__は、ユーザー・アカウントを識別するターゲット・システム上の単一値の属性です。
-
「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。
「MS Teamsターゲット・アプリケーション用の単純相関ルール」に、MS Teams ADターゲット・アプリケーション用の単純相関ルールを示します。
![MS Teamsターゲット・アプリケーション用の単純相関ルール MS Teamsターゲット・アプリケーション用の単純相関ルール](img/correlation-rule-ms-teams-target-application.png)
事前定義済の状況およびレスポンス
MS Teamsコネクタには、ターゲット・アプリケーション作成時の状況とレスポンスのデフォルト・セットが用意されています。これらの状況とレスポンスによって、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションが指定されます。
表3-6に、MS Teamsターゲット・アプリケーションのデフォルトの状況およびレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集するか、新しい状況とレスポンスを追加できます。状況およびレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の状況およびレスポンスの更新に関する項を参照してください
表3-6 MS Teams ADターゲット・アプリケーションの事前定義済の状況とレスポンス
状況 | レスポンス |
---|---|
一致が見つからなかった場合 |
なし |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
図3-2 MS Teamsターゲット・アプリケーションの事前定義済の状況とレスポンス
![MS Teamsターゲット・アプリケーションの事前定義済の状況とレスポンス MS Teamsターゲット・アプリケーションの事前定義済の状況とレスポンス](img/predefined_situations_responses_ms-teams.png)
3.5 リコンシリエーション・ジョブ
ここでは、アプリケーションを作成するとOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブについて説明します。
ユーザー・リコンシリエーション・ジョブ
これらの事前定義済のジョブを使用することも、要件に合うように編集することもできます。また、カスタム・リコンシリエーション・ジョブを作成することもできます。これらの事前定義済のジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリコンシリエーション・ジョブの更新に関する項を参照してください。
次のリコンシリエーション・ジョブをリコンシリエーション・ユーザー・データに対して使用できます。
- MS Teams完全ユーザー・リコンシリエーション: このリコンシリエーション・ジョブを使用して、ターゲット・アプリケーションからユーザー・データをリコンサイルします。
- MS Teams制限付きユーザー・リコンシリエーション: このリコンシリエーション・ジョブを使用して、認可アプリケーションからユーザー・データをリコンサイルします。
表3-7に、MS Teams完全ユーザー・リコンシリエーション・ジョブのパラメータを示します。
表3-7 MS Teams完全ユーザー・リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
Application name |
リコンシリエーション・ジョブが関連付けられているAOBアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。 このデフォルト値は変更しないでください。 |
Filter Suffix |
リコンシリエーションの実行時にターゲット・システムからフェッチされるユーザー・レコードの検索フィルタを入力します。 増分リコンシリエーションが有効な場合のサンプル値: &$filter=displayName+eq+'JAN2KKA1' 増分リコンシリエーションが有効ではない場合のサンプル値: フィルタの作成の詳細は、「制限付きリコンシリエーションの実行」を参照してください。 |
Object Type |
このパラメータは、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: User このデフォルト値は変更しないでください。 |
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 このパラメータの値を変更しないでください。 |
Incremental Recon Attribute |
トークン・レコードが変更されたタイムスタンプを保持する属性の名前を入力します。 |
Latest Token |
このパラメータは、Incremental Recon Attributeパラメータの値として指定されたターゲット・システム属性の値を保持します。Latest Tokenパラメータは内部目的で使用されます。デフォルトでは、この値は空です。
ノート: このパラメータに値を入力しないでください。リコンシリエーション・エンジンにより、値はこのパラメータに自動的に入力されます。サンプル値: |
ターゲットの削除ユーザーのリコンシリエーション・ジョブ
MS Teamsユーザー・ターゲット削除リコンシリエーション・ジョブは、MS Teamsターゲット・アプリケーションから削除されたユーザーに関するデータをリコンサイルする場合に使用します。リコンシリエーションの実行時に、ターゲット・システムの削除されたユーザー・アカウントごとに、対応するOIMユーザーのMS Teamsリソースが削除されます。
表3-8 MS Teamsターゲット・ユーザー削除リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
Application name |
使用するターゲット・システム用に作成したアプリケーションの名前。この値は、使用するターゲット・アプリケーションの作成の際、「アプリケーション名」フィールドで指定した値と同じです。 この値は変更しないでください。 |
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: User ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。 |
権限のリコンシリエーション・ジョブ
- MSTeamsグループ参照リコンシリエーション
- MSTeamsマネージャ参照リコンシリエーション
パラメータは、すべてのリコンシリエーション・ジョブで共通です。
表3-9 権限のリコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
Application Name |
リコンシリエーション・ジョブが関連付けられている現在のAOBアプリケーション名。 デフォルト値: teams1 この値は変更しないでください。 |
Code Key Attribute |
コネクタの属性の名前。参照定義(Lookup Name属性の値として指定される)のコード・キー列に値を移入するために使用されます。 デフォルト値: この値は変更しないでください。 |
Decode Attribute |
コネクタの属性の名前。参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用されます。 デフォルト値: |
Lookup Name |
ターゲット・システムからフェッチした値を移入するOracle Identity Governanceの参照定義の名前を入力します。 デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。
これらの参照定義のいずれかのコピーを作成する場合は、Lookup Name属性の値として新しい参照定義の名前を入力します。 |
Object Type |
リコンサイルするオブジェクトのタイプを入力します。 デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。
ノート: このパラメータの値を変更しないでください。 |