1. SAP User Managementアプリケーションの構成
  2. SAP User Managementコネクタを使用したアプリケーションの作成

2 SAP User Managementコネクタを使用したアプリケーションの作成

コネクタを使用したアプリケーションのオンボードとそのための前提条件について学習します。

2.1 コネクタを使用してアプリケーションを作成するプロセス・フロー

Oracle Identity Governanceリリース12.2.1.3.0以降では、Identity Self Serviceのアプリケーション・オンボード機能を使用してコネクタのデプロイメントが処理されます。

図2-1は、コネクタ・インストール・パッケージを使用してOracle Identity Governanceでアプリケーションを作成するステップの概要を示すフローチャートです。

図2-1 コネクタを使用してアプリケーションを作成するプロセスの全体的なフロー

図2-1の説明が続く
「図2-1 コネクタを使用してアプリケーションを作成するプロセスの全体的なフロー」の説明

2.2 コネクタを使用したアプリケーションの作成の前提条件

アプリケーションの作成前に完了する必要があるタスクについて学習します。

2.2.1 コネクタ・インストール・パッケージのダウンロード

コネクタのインストール・パッケージは、Oracle Technology Network (OTN)のWebサイトから取得できます。

コネクタ・インストール・パッケージをダウンロードするには、次のようにします。
  1. OTNのWebサイトhttp://www.oracle.com/technetwork/middleware/id-mgmt/downloads/connectors-101674.htmlに移動します。
  2. 「OTNライセンス契約」をクリックしてライセンス契約を読みます。
  3. 「Accept License Agreement」オプションを選択します。
    インストール・パッケージをダウンロードする前に、ライセンス契約に同意しておく必要があります。
  4. Oracle Identity Governanceをホストしているコンピュータ上の任意のディレクトリにインストール・パッケージをダウンロードして保存します。
  5. インストール・パッケージの内容を、Oracle Identity Governanceをホストしているコンピュータ上の任意のディレクトリに抽出します。これにより、CONNECTOR_NAME-RELEASE_NUMBERというディレクトリが作成されます。
  6. CONNECTOR_NAME-RELEASE_NUMBERディレクトリをOIG_HOME/server/ConnectorDefaultDirectoryディレクトリにコピーします。

2.2.2 SAP JCoのダウンロードとインストール

SAP Javaコネクタ・ファイルは、SAPと互換性のあるコンポーネントとアプリケーションをJavaで開発するために使用できるミドルウェア・コンポーネントです。このコンポーネントは、実行時にインバンドとアウトバウンドのSAPサーバー通信をサポートするために必要です。

ノート:

  • バージョン3.0.2以降のsapjco3.jarファイルを使用していることを確認してください。

  • SAP Webサイトからファイルをダウンロードするには、ソフトウェア・ダウンロード認可を使用して、SAPサービス・マーケットプレイスにアクセスできる必要があります。

外部コード・ファイルをダウンロードして必要な場所にコピーするには、次のようにします。

  1. SAP WebサイトからSAP JCoリリースをダウンロードして保存します。

  2. ダウンロードしたファイルの内容を抽出します。

  3. sapjco3.jarファイルをOIG_HOME/server/ThirdPartyディレクトリにコピーします。さらに、次のようにそのパスをDOMAIN_HOME\bin\startWebLogicファイルに追加します。

    ノート:

    OIGクラスタで、sapjco3.jarファイルをクラスタの各ノードにコピーし、CLASSPATHを設定します。

    • Microsoft Windowsの場合:

      テキスト・エディタで、DOMAIN_HOME/bin/startWebLogic.cmdファイルを開いて次のパスを追加します。

      CLASSPATH=MIDDLEWARE_HOME_PATH\idm\server\ThirdParty\sapjco3.jar;%SAVE_CLASSPATH%を設定します

      ファイルを保存して閉じます。CLASSPATH変数への変更を有効にするために、サーバーを再起動します。

    • Linuxの場合:

      テキスト・エディタで、DOMAIN_HOME/bin/startWebLogic.shファイルを開いて次のパスを追加します。

      CLASSPATH=MIDDLEWARE_HOME_PATH/idm/server/ThirdParty/sapjco3.jar:"${SAVE_CLASSPATH}"を設定します

      たとえば、CLASSPATH=/home/oracle/12cPS3/Middleware/idm/server/ThirdParty/sapjco3.jar:"${SAVE_CLASSPATH}"

      ファイルを保存して閉じます。CLASSPATH変数への変更を有効にするために、サーバーを再起動します。

  4. RFCファイルをOracle Identity Governanceホスト・コンピュータ上の必要なディレクトリにコピーし、このディレクトリへのパスが含まれるように適切な環境変数を変更します。

    • Microsoft Windowsの場合:

      sapjco3.dllファイルをwinnt\system32ディレクトリにコピーします。あるいは、これらのファイルを任意のディレクトリにコピーし、そのディレクトリへのパスをPATH環境変数に追加することもできます。

    • SolarisおよびLinuxの場合:

      libsapjco3.soファイルを/usr/local/jcoディレクトリにコピーし、このディレクトリへのパスをLD_LIBRARY_PATH環境変数に追加します。

  5. Microsoft Windowsプラットフォームでは、msvcr80.dllおよびmsvcp80.dllファイルがc:\WINDOWS\system32ディレクトリに存在することを確認します。必要に応じて、両方のファイルをインターネット上の様々なソースからダウンロードすることができます。

  6. 環境変数への変更を有効にするために、サーバーを再起動します。

    ノート:

    すぐにサーバーを再起動することも、コネクタをインストールしてから再起動することもできます。

  7. SAP JCoが正常にインストールされたかどうかをチェックするには、コマンド・ウィンドウで、次のコマンドのいずれかを実行します。

    java –jar JCO_DIRECTORY/sapjco3.jar
java –classpath JCO_DIRECTORY/sapjco3.jar com.sap.conn.jco.rt.About

    JCoクラスおよびJCoライブラリ・パスはこのダイアログ・ボックスに表示されているはずです。

2.2.3 コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成

コネクタは、ターゲット・システム・アカウントを使用して、各コネクタ操作中にターゲット・システムに接続します。

このターゲット・システム・アカウントは次のいずれかである必要があります。

  • SAP HRMSモジュールが有効なターゲット・システムを使用している場合、ターゲット・システム・アカウントは、PLOGおよびP_ORIGIN認証オブジェクトを使用して、カスタマイズされたロール(ZHR_ORG_UMなど)が割り当てられるユーザーである必要があります。P_ORIGIN認証オブジェクトはSAP HRMSモジュールに関連しています。そのため、SAP HRMSモジュールが有効である場合にのみ、P_ORIGIN認証オブジェクトを使用してカスタマイズされたロールを割り当てることができます。

  • SAP HRMSモジュールが有効になっていないターゲット・システムを使用している場合、ターゲット・システム・アカウントは、次の認証オブジェクトを使用して、カスタマイズされたロール(ZHR_ORG_UMなど)が割り当てられるユーザーである必要があります。

    • PLOG

    • 各プロビジョニング機能に対応するBAPIを実行する認証オブジェクト。

    たとえば、複数値属性(ロールなど)をユーザーに追加するプロビジョニング機能を想定します。コネクタにこのプロビジョニング操作を実行させる場合、PLOG認証オブジェクトおよびロールを作成、変更または表示するBAPIを実行する認証オブジェクトを使用して、カスタマイズされたロールを割り当てるターゲット・システム・ユーザー・アカウントを作成する必要があります。

この項では、次のトピックについて説明します。

2.2.3.1 SAP UM (SAP ERPまたはSAP CUA)ターゲット用のターゲット・システム・ユーザー・アカウントの作成

Oracle Identity Governanceには、コネクタ操作時にターゲット・システムにアクセスするためのターゲット・システム・ユーザー・アカウントが必要です。 

SAP UMターゲットのターゲット・システム・ユーザー・アカウントを作成するには、次のようにします。

  1. S_IDOC_ALLプロファイルでCPICユーザーを作成します。
  2. 対応するデフォルトのパラメータ値とともに、次の認証を追加します。

    • S_RFC

    • S_TABU_DIS

    • S_TABU_NAM

    • S_USER_AGR

    • S_USER_AUT

    • S_USER_GRP

    • S_USER_PRO

    • S_USER_SAS

    • S_USER_SYS

  3. パラメータ値は次のように変更します。

    S_RFCの場合

    • ACTVT: 16

    • RFC_NAME: *

    • RFC_TYPE: FUGR

    S_TABU_DISの場合

    • ACTVT: 03

    • DICBERCLS: SUSR

    S_TABU_NAMの場合

    • ACTVT: 03

    • TABLE: USH*, USR*, USZ*

    S_USER_AGRの場合

    • ACTVT: 03, 22

    • ACT_GROUP: *

    S_USER_AUTの場合

    • ACTVT: 03

    • AUTH: *

    • OBJECT: *

    S_USER_GRPの場合

    • ACTVT: 01, 02, 03, 05, 06, 08, 22, 78, PP

    • CLASS: *

    S_USER_PROの場合

    • ACTVT: 03, 22

    • PROFILE: *

    S_USER_SASの場合

    • ACTVT: 01, 06, 22

    • ACT_GROUP: *

    • CLASS: *

    • PROFILE: *

    • SUBSYSTEM: *

    S_USER_SYSの場合

    • ACTVT: 78

    • Subsystem: *

2.2.3.2 SAP HRターゲット用のターゲット・システム・ユーザー・アカウントの作成

コネクタは、ターゲット・システム・アカウントを使用して、リコンシリエーション中にターゲット・システムに接続します。このターゲット・システム・アカウントは、S_IDOC_ALLプロファイル、S_RFC認可オブジェクトおよびPLOG認可オブジェクトを使用してカスタマイズされたロールの割当て先となるCPICユーザーである必要があります。

次の権限を持つCPICタイプのユーザーを作成します:

  1. S_IDOC_ALLプロファイルを割り当てます。
  2. 次の値の認可オブジェクトS_RFCを割り当てます:

    • ACTVT: 16

    • RFC_NAME: *

    • RFC_TYPE: FUGR, FUNC

  3. 次の値の認可オブジェクトPLOGを割り当てます:

    • INFORTY: *

    • ISTAT: *

    • OTYPE: $$, O, P, S

    • PLVAR: 01, RS

    • PPFCODE: *

    • SUBTYP: *

  4. 次の値の認可オブジェクトP_ORGINを割り当てます:

    • AUTHC: R

    • INFTY: 0000-0003, 0006, 0105

    • PERSA: *

    • PERSG: *

    • PERSK: *

    • SUBTY: *

    • VDSK1: *

  5. 次の値の認可オブジェクトP_ORGINCONを割り当てます:

    • AUTHC: R

    • INFTY: 0000-0003, 0006, 0105

    • PERSA: *

    • PERSG: *

    • PERSK: *

    • SUBTY: *

    • VDSK1: *

    • PROFL: *

  6. 次の値の認可オブジェクトP_PERNRを割り当てます:

    • AUTHC: R

    • PSIGN: E, I

    • INFTY: 0000-0003, 0006, 0105

    • SUBTY: *

  7. 次の値の認可オブジェクトB_ALE_RECVを割り当てます:

    • EDI_MES: HRMD_A

ノート:

このオブジェクトに割り当てられる値がステップ2から6に示されている値と一致するように、PLOG認可オブジェクトを構成する必要があります。要件に従って、プラン・バージョン(PLVAR)オブジェクトのみを設定できます。

2.2.4 コネクタ操作のためのSAP GRCシステムでのユーザー・アカウントへのロールの割り当て

Access Request ManagementやAccess Risk Analysisなどのコネクタ操作をSAP GRCシステムで実行できます。

ノート:

SAP GRCで作成されるコネクタ名のネーミング規則は、統合するシステムの論理名と同期する必要があります。これを実現するには、<SID>CLNT<XXX>などの標準のネーミング規則に従います。

次の図に、準拠するネーミング規則の例を示します。この例では、ECC、CRM、SRM、S/4 HANAなどのシステムとSAP GRCとの統合時にコネクタが作成される場合、システムの論理名と同期される標準のネーミング規則に従って、システムのRFC宛先を作成する必要があります。

図2-2 SAP Business Objects Access Controlシステムで作成されるコネクタのネーミング規則

この図は、SAP GRCでのコネクタの作成時に準拠されるネーミング規則の例を示しています。

SAP GRCシステムを通してAccess Request Management、Access Risk Analysisなどのコネクタ操作を実行する場合は、SAP GRCのユーザー・アカウントに最小限のロール・セットを割り当てます。

ロール名 説明

SAP_BC_WEBSERVICE_CONSUMER

Webサービス・コンシューマ

SAP_GRC_NWBC

ガバナンス、リスクおよびコンプライアンス

SAP_GRAC_ACCESS_APPROVER

アクセス要求承認者のロール

SAP_GRAC_RISK_OWNER

リスク・メンテナンスおよびリスク分析

SAP_GRAC_ROLE_MGMT_ROLE_OWNER

ロール所有者

前の表に示したSAP提供のデフォルト・ロールとは別に、ユーザーに追加の権限を与える必要があります。

アクセス制御システムでNWまたはS/4 HANAのターゲット・システム・ユーザー・アカウントを作成するには、次のようにします。
  1. 対応するデフォルトのパラメータ値とともに、次の認証を追加します。

    • GRFN_CONN

    • GRAC_SYS

    • GRAC_ROLER

    • GRAC_RISK

    • GRAC_REQ

    • GRAC_RA

    • S_USER_GRP

    • GRFN_USER

    • GRAC_ROLED

    • GRAC_ROLEP

    • GRAC_EMPLY

    • GRAC_USER

    • S_CTS_ADMI

    • S_CTS_SADM

    • GRAC_ACTN

    • GRAC_FFOWN

  2. パラメータ値は次のように変更します。

    GRFN_CONNの場合

    • ACTVT: 16

    • GRCFN_CONN: *

    GRAC_SYSの場合

    • ACTVT: 01, 02, 03, 78

    • GRAC_APPTY: *

    • GRAC_ENVRM: *

    • GRAC_SYSID: *

    GRAC_ROLERの場合

    • ACTV: 16

    • GRAC_OUNIT: *

    • GRAC_ROLE: *

    • GRAC_ROTYP: *

    • GRAC_SYSID: *

    GRAC_RISKの場合

    • ACTVT: 16

    • GRAC_BPROC: *

    • GRAC_RISK: *

    • GRAC_RLVL: *

    • GRAC_RSET: *

    • GRAC_RTYPE: *

    GRAC_REQの場合

    • ACTVT: 01, 02, 03

    • GRAC_BPROC: *

    • GRAC_FNCAR: *

    • GRAC_RQFOR: *

    • GRAC_RQINF: *

    • GRAC_RQTYPE: *

    GRAC_RAの場合

    • ACTVT: 16, 70

    • GRAC_OTYPE: *

    • GRAC_RAMOD: 1, 2, 3, 4, 5

    • GRAC_REPT: 01, 02, 03, 04, 05

    S_USER_GRPの場合

    • ACTVT: 03

    • CLASS: *

    GRFN_USER_GRPの場合

    • ACTVT: *

    GRAC_ROLEDの場合

    • GRAC_ACTRD: 03, FS

    • GRAC_BPROC: *

    • GRAC_LDSCP: *

    • GRAC_RLSEN: *

    • GRAC_RLTYP: *

    • GRAC_ROLE: *

    GRAC_ROLEPの場合

    • ACTVT: 78

    • GRAC_BPROC: *

    • GRAC_OUNIT: *

    • GRAC_RLTYP: *

    • GRAC_ROLE: *

    • GRAC_SYSID: *

    GRAC_USERの場合

    • ACTVT: 01, 02, 03

    • GRAC_CLASS: *

    • GRAC_OUNIT: *

    • GRAC_SYSID: *

    • GRAC_USER: *

    • GRAC_UTYPE: *

    GRAC_EMPLYの場合

    • ACTVT: 01, 02, 03

    • GRAC_COMP: *

    • GRAC_COSTC: *

    • GRAC_DEPT: *

    • GRAC_LOCTN: *

    GRAC_FFOWNの場合

    • ACTVT: *

    • GRAC_OWN_T: *

    • GRAC_SYSID: *

    • GRAC_USER: *

    GRAC_ACTNの場合

    • GRAC_ACTN: HOLD

    • GRFNMW_PRC: *

    S_CTS_SADMの場合

    • CTS_ADMFC: *

    • DESTSYS: *

    • DOMAIN: *

    S_CTS_ADMIの場合

    • CTS_ADMFCT: *

2.3 コネクタを使用したアプリケーションの作成

ターゲット・アプリケーションを作成して、コネクタ・パッケージからOracle Identity Governanceにアプリケーションをオンボードできます。これを行うには、Identity Self Serviceにログインしてから、「管理」タブで「アプリケーション」ボックスを選択します。

コネクタを使用してアプリケーションを作成する手順の概要を次に示します。

ノート:

この手順の各ステップの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』アプリケーションの作成に関する項を参照してください。

  1. Identity Self Serviceでアプリケーションを作成します。高度なステップは次のとおりです。
    1. システム管理者アカウントまたはApplicationInstanceAdministrator管理ロールを持つアカウントを使用してIdentity Self Serviceにログインします。
    2. アプリケーションの作成時に「コネクタ・パッケージ」オプションが選択されていることを確認します。
    3. 基本構成パラメータを更新して接続関連の情報を含めます。
    4. 必要に応じて、拡張設定パラメータを更新して、コネクタ操作に関連する構成エントリを更新します。
    5. デフォルトのユーザー・アカウント属性マッピングをレビューします。必要に応じて、新規属性を追加したり、既存の属性を編集または削除することができます。
    6. アプリケーションのプロビジョニング、リコンシリエーション、編成、およびカタログ設定をレビューし、必要に応じてこれらをカスタマイズします。たとえば、必要に応じて、アプリケーションのデフォルトの相関ルールをカスタマイズできます。
    7. アプリケーションの詳細を確認し、「終了」をクリックしてアプリケーションの詳細を送信します。
      アプリケーションが、Oracle Identity Governanceで作成されます。
    8. デフォルトのリクエスト・フォームを作成するかどうかの確認を求められたら、「はい」または「いいえ」をクリックします。
      「はい」をクリックすると、デフォルトのフォームが自動的に作成され、新しく作成したアプリケーションにアタッチされます。デフォルトのフォームは、アプリケーションと同じ名前で作成されます。デフォルト・フォームは、後から変更することはできません。したがって、これをカスタマイズするには、「いいえ」をクリックして、新しいフォームを手動で作成し、アプリケーションにアタッチします。
  2. 新しく作成したアプリケーションでリコンシリエーションおよびプロビジョニングの操作を確認します。

関連項目:

  • このコネクタに事前定義されている基本構成および拡張設定のパラメータ、デフォルトのユーザー・アカウント属性マッピング、デフォルトの相関ルール、リコンシリエーション・ジョブの詳細は、「SAP User Managementコネクタの構成」を参照してください

  • デフォルト・フォームを作成しないことを選択した場合に、新しいフォームを作成してアプリケーションに関連付ける方法の詳細は、「Oracle Identity Governanceの構成」を参照してください