8 SAP User Managementコネクタの既知の問題
ここでは、このリリースのコネクタに関連する既知の問題と回避策について説明します。
8.1 コネクタの問題
ここでは、コネクタに関連する問題と回避策について説明します。
8.1.1 SoDチェック時のエラー
SoDチェック時に、SAP GRC Webサービスから返されるデータが4000文字を超えた場合、最初の4000文字しか表示されません。
回避策: SAP GRCターゲット・システムから取得した違反詳細のサイズが4000文字を超える場合、SODCheckViolationフィールドの「Length」を、違反データの予測されるサイズに基づいて更新する必要があります。
8.1.2 SAP UM 12cコネクタとSAP ER 9.xコネクタは機能しない
ICFベースのSAP User Managementコネクタおよび従来のSAP ERコネクタはOracle Identity Governanceで一緒には動作しません。ICFは各コネクタ・バンドルに対し別のクラス・ローダーを使用するからです。両方のコネクタがインストールされている場合、最初の接続を作成したコネクタ・バンドルが動作します。2番目のバンドルが接続を作成しようとするときに、最初のバンドルによりすでに登録されているデータ・プロバイダを登録しようとします。するとDestinationDataProviderはすでに登録されていますというエラーがスローされます。
回避策: SAP User Managementコネクタと従来のSAP ERコネクタの両方を使用するには、SAP UMコネクタをコネクタ・サーバーにデプロイし、SAP ERコネクタをOracle Identity Governanceにデプロイします。
8.1.3 アップグレード後の問題
コネクタをアップグレードする前に、次のデフォルトの参照デコード値がターゲット構成値でアップグレードされます。
-
Lookup.SAPABAP.Configuration
-
Lookup.SAPABAP.UM.ProvAttrMap
-
Lookup.SAPABAP.UM.ReconAttrMap
-
Lookup.SAPAC10ABAP.Configuration
-
Lookup.SAPAC10ABAP.UM.ProvAttrMap
-
Lookup.SAPAC10ABAP.UM.ReconAttrMap
表8-1 Lookup.SAPABAP.Configuration参照定義のエントリ
| コード・キー | デコード |
|---|---|
|
CodeKey |
デコード |
|
aliasUser |
なし |
|
batchSize |
100 |
|
バンドル名 |
org.identityconnectors.sap |
|
バンドルのバージョン |
12.3.0 |
|
changePasswordAtNextLogon |
no |
|
codePage |
なし |
|
compositeRoles |
no |
|
コネクタ名 |
org.identityconnectors.sap.SAPConnector |
|
cuaChildInitialPasswordChangeFuncModule |
ZXLCBAPI_ZXLCUSR_PW_CHANGE |
|
cuaChildPasswordChangeFuncModule |
ZXLCBAPI_ZXLCUSR_PASSWORDCHNGE |
|
disableLockStatus |
64 |
|
enableCUA |
no |
|
entitlementRiskAnalysisAccessURL |
|
|
entitlementRiskAnalysisWS |
oracle.iam.grc.sod.scomp.impl.grcsap.util.webservice.sap.ac10.RiskAnalysisWithoutNo |
|
gatewayHost |
なし |
|
gatewayService |
なし |
|
getSSO2 |
なし |
|
groups |
GROUPS~USERGROUP |
|
lCheck |
なし |
|
mySAPSSO2 |
なし |
|
overwriteLink |
no |
|
parameters |
PARAMETER1~PARID;PARVA |
|
passwordPropagateToChildSystem |
no |
|
ProfileAttributeLabel |
プロファイル名 |
|
プロファイル属性名 |
USERPROFILE |
|
プロファイル・フォーム名 |
UD_SPUMPC_P;UD_SPUM_PRO |
|
profiles |
PROFILES~SUBSYSTEM;PROFILE |
|
reconcilefuturedatedroles |
〇 |
|
reconcilepastdatedroles |
〇 |
|
repositoryDestination |
なし |
|
repositoryPassword |
なし |
|
repositorySNCMode |
なし |
|
repositoryUser |
なし |
|
riskLevel |
3 |
|
RoleAttributeLabel |
ロール名 |
|
ロール属性名 |
USERROLE |
|
ロール・フォーム名 |
UD_SPUMRC_P;UD_SAPRL |
|
roles |
ACTIVITYGROUPS~SUBSYSTEM;AGR_NAME;TO_DAT;FROM_DAT;ORG_FLAG |
|
sapSystemTimeZone |
IST |
|
singleRoles |
〇 |
|
SOD構成参照 |
Lookup.SAPABAP.Configuration |
|
tpHost |
なし |
|
tpName |
なし |
|
type |
なし |
|
ユーザー構成参照 |
Lookup.SAPABAP.UM.Configuration |
|
validatePERNR |
no |
|
wsdlFilePath |
なし |
表8-2 Lookup.SAPABAP.UM.ProvAttrMapのエントリ
| コード・キー | デコード・キー |
|---|---|
|
アカウント番号 |
ACCNT;LOGONDATA;ACCNT;LOGONDATAX |
|
別名 |
USERALIAS;ALIAS;BAPIALIAS;ALIASX |
|
建物 |
BUILDING_P;ADDRESS;BUILDING_P;ADDRESSX |
|
通信タイプ[参照] |
COMM_TYPE;ADDRESS;COMM_TYPE;ADDRESSX |
|
会社[参照] |
COMPANY;COMPANY;COMPANY;COMPANYX |
|
契約ユーザー・タイプ[参照] |
LIC_TYPE;UCLASS;UCLASS;UCLASSX |
|
コスト・センター |
KOSTL;DEFAULTS;KOSTL;DEFAULTSX |
|
日付書式[参照] |
DATFM;DEFAULTS;DATFM;DEFAULTSX |
|
10進表記[参照] |
DCPFM;DEFAULTS;DCPFM;DEFAULTSX |
|
部門 |
DEPARTMENT;ADDRESS;DEPARTMENT;ADDRESSX |
|
電子メール |
E_MAIL;ADDRESS;E_MAIL;ADDRESSX |
|
FAX内線番号 |
FAX_EXTENS;ADDRESS;FAX_EXTENS;ADDRESSX |
|
FAX番号 |
FAX_NUMBER;ADDRESS;FAX_NUMBER;ADDRESSX |
|
名 |
FIRSTNAME;ADDRESS;FIRSTNAME;ADDRESSX |
|
階 |
FLOOR_P;ADDRESS;FLOOR_P;ADDRESSX |
|
職務 |
FUNCTION;ADDRESS;FUNCTION;ADDRESSX |
|
グループ名[参照] |
CLASS;LOGONDATA;CLASS;LOGONDATAX |
|
言語通信[参照] |
LANGU_P;ADDRESS;LANGU_P;ADDRESSX |
|
姓 |
LASTNAME;ADDRESS;LASTNAME;ADDRESSX |
|
ログオン言語[参照] |
LANGU;DEFAULTS;LANGU;DEFAULTSX |
|
パスワード |
__PASSWORD__ |
|
従業員番号 |
PERNR |
|
部屋番号 |
ROOM_NO_P;ADDRESS;ROOM_NO_P;ADDRESSX |
|
スタート・メニュー |
START_MENU;DEFAULTS;START_MENU;DEFAULTSX |
|
電話内線番号 |
TEL1_EXT;ADDRESS;TEL1_EXT;ADDRESSX |
|
電話番号 |
TEL1_NUMBR;ADDRESS;TEL1_NUMBR;ADDRESSX |
|
タイムゾーン[参照] |
TZONE;LOGONDATA;TZONE;LOGONDATAX |
|
役職[参照] |
TITLE_P;ADDRESS;TITLE_P;ADDRESSX |
|
UD_SAP_GP~ユーザー・グループ[参照] |
groups~GROUPS~USERGROUP |
|
UD_SAP_PARA~パラメータID[参照] |
parameters~PARAMETER1~PARID |
|
UD_SAP_PARA~パラメータ値 |
parameters~PARAMETER1~PARVA |
|
UD_SAPRL~終了日[日付] |
roles~ACTIVITYGROUPS~TO_DAT |
|
UD_SAPRL~ロール名[参照] |
roles~ACTIVITYGROUPS~AGR_NAME |
|
UD_SAPRL~開始日[日付] |
roles~ACTIVITYGROUPS~FROM_DAT |
|
UD_SPUM_PRO~プロファイル名[参照] |
profiles~PROFILES~PROFILE |
|
一意のID |
__UID__ |
|
ユーザーID |
__NAME__ |
|
ユーザーのロック |
__LOCK_OUT__ |
|
ユーザー・タイプ[参照] |
USTYP;LOGONDATA;USTYP;LOGONDATAX |
|
有効期限開始[日付] |
GLTGV;LOGONDATA;GLTGV;LOGONDATAX |
|
有効期限終了[日付] |
GLTGB;LOGONDATA;GLTGB;LOGONDATAX |
表8-3 Lookup.SAPABAP.UM.ReconAttrMap参照定義のエントリ
| コード・キー | デコード・キー |
|---|---|
|
アカウント番号 |
ACCNT;LOGONDATA |
|
別名 |
USERALIAS;ALIAS |
|
建物 |
BUILDING_P;ADDRESS |
|
通信タイプ[参照] |
COMM_TYPE;ADDRESS |
|
会社[参照] |
COMPANY;COMPANY |
|
契約ユーザー・タイプ[参照] |
LIC_TYPE;UCLASS|UCLASSSYS |
|
コスト・センター |
KOSTL;DEFAULTS |
|
日付書式[参照] |
DATFM;DEFAULTS |
|
10進表記[参照] |
DCPFM;DEFAULTS |
|
部門 |
DEPARTMENT;ADDRESS |
|
電子メール |
E_MAIL;ADDRESS |
|
FAX内線番号 |
FAX_EXTENS;ADDRESS |
|
FAX番号 |
FAX_NUMBER;ADDRESS |
|
名 |
FIRSTNAME;ADDRESS |
|
階 |
FLOOR_P;ADDRESS |
|
職務 |
FUNCTION;ADDRESS |
|
グループ~ユーザー・グループ[参照] |
groups~GROUPS~USERGROUP |
|
グループ名[参照] |
CLASS;LOGONDATA |
|
言語通信[参照] |
LANGU_P;ADDRESS |
|
姓 |
LASTNAME;ADDRESS |
|
ログオン言語[参照] |
LANGU;DEFAULTS |
|
パラメータ~パラメータID[参照] |
parameters~PARAMETER1~PARID |
|
パラメータ~パラメータ値 |
parameters~PARAMETER1~PARVA |
|
プロファイル~プロファイル名[参照] |
profiles~PROFILES~PROFILE |
|
プロファイル~プロファイル・システム名[参照] |
profiles~PROFILES~SUBSYSTEM |
|
ロール~終了日[日付] |
roles~ACTIVITYGROUPS~TO_DAT |
|
ロール~ロール名[参照] |
roles~ACTIVITYGROUPS~AGR_NAME |
|
ロール~ロール・システム名[参照] |
roles~ACTIVITYGROUPS~SUBSYSTEM |
|
ロール~開始日[日付] |
roles~ACTIVITYGROUPS~FROM_DAT |
|
部屋番号 |
ROOM_NO_P;ADDRESS |
|
スタート・メニュー |
START_MENU;DEFAULTS |
|
ステータス |
__ENABLE__ |
|
電話内線番号 |
TEL1_EXT;ADDRESS |
|
電話番号 |
TEL1_NUMBR;ADDRESS |
|
タイムゾーン[参照] |
TZONE;LOGONDATA |
|
役職[参照] |
TITLE_P;ADDRESS |
|
一意のID |
__UID__ |
|
ユーザーID |
__UID__ |
|
ユーザーのロック |
__LOCK_OUT__ |
|
ユーザー・タイプ[参照] |
USTYP;LOGONDATA |
|
有効期限開始[日付] |
GLTGV;LOGONDATA |
|
有効期限終了[日付] |
GLTGB;LOGONDATA |
表8-4 Lookup.SAPAC10ABAP.Configuration参照定義のエントリ
| コード・キー | デコード・キー |
|---|---|
|
aliasUser |
なし |
|
appLookupAccessURL |
なし |
|
appLookupWS |
oracle.iam.ws.sap.ac10.SelectApplication |
|
assignRoleReqType |
002~Change Account~002~006 |
|
auditLogsAccessURL |
なし |
|
auditLogsWS |
oracle.iam.ws.sap.ac10.AuditLogs |
|
batchSize |
100 |
|
バンドル名 |
org.identityconnectors.sapacum |
|
バンドルのバージョン |
12.3.0 |
|
changePasswordAtNextLogon |
no |
|
codePage |
なし |
|
compositeRoles |
no |
|
コネクタ名 |
org.identityconnectors.sapacum.SAPACUMConnector |
|
createUserReqType |
001~New Account~001 |
|
cuaChildInitialPasswordChangeFuncModule |
ZXLCBAPI_ZXLCUSR_PW_CHANGE |
|
cuaChildPasswordChangeFuncModule |
ZXLCBAPI_ZXLCUSR_PASSWORDCHNGE |
|
deleteUserReqType |
003~Delete Account~003 |
|
disableLockStatus |
64 |
|
enableCUA |
no |
|
gatewayHost |
なし |
|
gatewayService |
なし |
|
getSSO2 |
なし |
|
groups |
GROUPS~USERGROUP |
|
ignoreOpenStatus |
〇 |
|
lCheck |
なし |
|
lockUserReqType |
004~Lock Account~004 |
|
logAuditTrial |
〇 |
|
modifyUserReqType |
002~Change Account~002 |
|
mySAPSSO2 |
なし |
|
otherLookupAccessURL |
なし |
|
otherLookupWS |
oracle.iam.ws.sap.ac10.SearchLookup |
|
overwriteLink |
no |
|
parameters |
PARAMETER1~PARID;PARTXT |
|
passwordPropagateToChildSystem |
no |
|
profiles |
PROFILES~SUBSYSTEM;PROFILE |
|
provActionAttrName |
provAction;ReqLineItem |
|
provItemActionAttrName |
provItemAction;ReqLineItem |
|
reconcilefuturedatedroles |
〇 |
|
reconcilepastdatedroles |
〇 |
|
removeRoleReqType |
002~Change Account~002~009 |
|
repositoryDestination |
なし |
|
repositoryPassword |
なし |
|
repositorySNCMode |
なし |
|
repositoryUser |
なし |
|
requestStatusAccessURL |
なし |
|
requestStatusValue |
OK |
|
requestStatusWS |
oracle.iam.ws.sap.ac10.RequestStatus |
|
requestTypeAttrName |
Reqtype;Header |
|
riskLevel |
高 |
|
roleLookupAccessURL |
なし |
|
roleLookupWS |
oracle.iam.ws.sap.ac10.SearchRoles |
|
roles |
ACTIVITYGROUPS~SUBSYSTEM;AGR_NAME;TO_DAT;FROM_DAT;ORG_FLAG |
|
sapSystemTimeZone |
PST |
|
singleRoles |
〇 |
|
ステータス構成参照 |
Lookup.SAPACABAP.Status.Configuration |
|
tpHost |
なし |
|
tpName |
なし |
|
type |
なし |
|
unlockUserReqType |
005~unlock user~005 |
|
userAccessAccessURL |
なし |
|
userAccessWS |
oracle.iam.ws.sap.ac10.UserAccess |
|
ユーザー構成参照 |
Lookup.SAPAC10ABAP.UM.Configuration |
|
validatePERNR |
no |
|
wsdlFilePath |
なし |
表8-5 Lookup.SAPAC10ABAP.UM.ProvAttrMap参照定義のエントリ
| コード・キー | デコード・キー |
|---|---|
|
ACビジネス・プロセス[参照] |
bproc;Header |
|
アカウント番号 |
accno;UserInfo |
|
AC機能領域[参照] |
funcarea;Header |
|
ACマネージャ |
manager;UserInfo |
|
ACマネージャの電子メール |
managerEmail;UserInfo |
|
ACマネージャの名 |
managerFirstname;UserInfo |
|
ACマネージャの姓 |
managerLastname;UserInfo |
|
AC優先度[参照] |
priority;Header |
|
ACリクエスト・タイプの期日[日付] |
reqDueDate;Header |
|
ACリクエストID[WRITEBACK] |
RequestId |
|
ACリクエスタの電子メール |
email;Header |
|
ACリクエスタID |
requestorId;Header |
|
ACリクエストの理由 |
requestReason;Header |
|
ACリクエスト・ステータス[WRITEBACK] |
RequestStatus |
|
ACリクエスト・タイプ[WRITEBACK] |
RequestType |
|
ACシステム[参照] |
reqInitSystem;Header |
|
別名 |
alias;UserInfo |
|
建物 |
BUILDING_P;ADDRESS;BUILDING_P;ADDRESSX |
|
通信タイプ |
commMethod;UserInfo |
|
会社[参照] |
COMPANY;COMPANY;COMPANY;COMPANYX |
|
契約ユーザー・タイプ[参照] |
LIC_TYPE;UCLASS;UCLASS;UCLASSX |
|
コスト・センター |
costcenter;UserInfo |
|
日付書式 |
dateFormat;UserInfo |
|
10進表記 |
decNotation;UserInfo |
|
部門 |
DEPARTMENT;ADDRESS;DEPARTMENT;ADDRESSX |
|
電子メール |
email;UserInfo |
|
FAX内線番号 |
FAX_EXTENS;ADDRESS;FAX_EXTENS;ADDRESSX |
|
FAX番号 |
fax;UserInfo |
|
名 |
fname;UserInfo |
|
階 |
FLOOR_P;ADDRESS;FLOOR_P;ADDRESSX |
|
職務 |
FUNCTION;ADDRESS;FUNCTION;ADDRESSX |
|
グループ名[参照] |
CLASS;LOGONDATA;CLASS;LOGONDATAX |
|
言語通信[参照] |
LANGU_P;ADDRESS;LANGU_P;ADDRESSX |
|
姓 |
lname;UserInfo |
|
ログオン言語 |
logonLang;UserInfo |
|
パスワード |
__PASSWORD__ |
|
従業員番号 |
PERNR |
|
部屋番号 |
ROOM_NO_P;ADDRESS;ROOM_NO_P;ADDRESSX |
|
スタート・メニュー |
startMenu;UserInfo |
|
電話内線番号 |
TEL1_EXT;ADDRESS;TEL1_EXT;ADDRESSX |
|
電話番号 |
telnumber;UserInfo |
|
タイムゾーン[参照] |
TZONE;LOGONDATA;TZONE;LOGONDATAX |
|
役職[参照] |
title;UserInfo |
|
UD_UMAC_GRP~ユーザー・グループ[参照] |
userGroup;UserGroup |
|
UD_UMAC_PRM~パラメータID[参照] |
parameters~PARAMETER1~parameter;Parameter |
|
UD_UMAC_PRM~パラメータ値 |
parameters~PARAMETER1~parameterValue;Parameter |
|
UD_UMAC_PRO~「プロファイル名」[参照] |
profiles~PROFILES~itemName;ReqLineItem |
|
UD_UMAC_PRO~「プロファイル・システム名」[参照] |
profiles~PROFILES~connector;ReqLineItem |
|
UD_UMAC_ROL~終了日[日付] |
roles~ACTIVITYGROUPS~ValidTo;ReqLineItem |
|
UD_UMAC_ROL~ロール名[参照] |
roles~ACTIVITYGROUPS~itemName;ReqLineItem |
|
UD_UMAC_ROL~ロール・システム名[参照] |
roles~ACTIVITYGROUPS~connector;ReqLineItem |
|
UD_UMAC_ROL~「開始日」[日付] |
roles~ACTIVITYGROUPS~validFrom;ReqLineItem |
|
一意のID |
__UID__ |
|
ユーザー・グループ[参照] |
userGroup;UserInfo |
|
ユーザーID |
__NAME__ |
|
ユーザーのロック |
userLock;None |
|
ユーザー・タイプ |
userType;UserInfo |
|
有効期限開始[日付] |
validFrom;UserInfo |
|
有効期限終了[日付] |
validTo;UserInfo |
表8-6 Lookup.SAPAC10ABAP.UM.ReconAttrMap参照定義のエントリ
| コード・キー | デコード・キー |
|---|---|
|
アカウント番号 |
accno;UserInfo |
|
別名 |
alias;UserInfo |
|
建物 |
BUILDING_P;ADDRESS;BUILDING_P;ADDRESSX |
|
通信タイプ[参照] |
commMethod;UserInfo |
|
会社[参照] |
COMPANY;COMPANY;COMPANY;COMPANYX |
|
契約ユーザー・タイプ[参照] |
LIC_TYPE;UCLASS;UCLASS;UCLASSX |
|
コスト・センター |
costcenter;UserInfo |
|
日付書式[参照] |
dateFormat;UserInfo |
|
10進表記[参照] |
decNotation;UserInfo |
|
部門 |
DEPARTMENT;ADDRESS;DEPARTMENT;ADDRESSX |
|
電子メール |
email;UserInfo |
|
FAX内線番号 |
FAX_EXTENS;ADDRESS;FAX_EXTENS;ADDRESSX |
|
FAX番号 |
fax;UserInfo |
|
名 |
fname;UserInfo |
|
階 |
FLOOR_P;ADDRESS;FLOOR_P;ADDRESSX |
|
職務 |
FUNCTION;ADDRESS;FUNCTION;ADDRESSX |
|
グループ~ユーザー・グループ[参照] |
groups~GROUPS~USERGROUP |
|
グループ名[参照] |
CLASS;LOGONDATA;CLASS;LOGONDATAX |
|
言語通信[参照] |
LANGU_P;ADDRESS;LANGU_P;ADDRESSX |
|
姓 |
lname;UserInfo |
|
ログオン言語[参照] |
logonLang;UserInfo |
|
パラメータ~パラメータID[参照] |
parameters~PARAMETER1~parameter;Parameter |
|
パラメータ~パラメータ値 |
parameters~PARAMETER1~parameterValue;Parameter |
|
プロファイル~プロファイル名[参照] |
profiles~PROFILES~itemName;ReqLineItem |
|
プロファイル~プロファイル・システム名[参照] |
profiles~PROFILES~connector;ReqLineItem |
|
ロール~終了日[日付] |
roles~ACTIVITYGROUPS~ValidTo;ReqLineItem |
|
ロール~ロール名[参照] |
roles~ACTIVITYGROUPS~itemName;ReqLineItem |
|
ロール~ロール・システム名[参照] |
roles~ACTIVITYGROUPS~connector;ReqLineItem |
|
ロール~開始日[日付] |
roles~ACTIVITYGROUPS~validFrom;ReqLineItem |
|
部屋番号 |
ROOM_NO_P;ADDRESS;ROOM_NO_P;ADDRESSX |
|
スタート・メニュー |
startMenu;UserInfo |
|
ステータス |
__ENABLE__ |
|
電話内線番号 |
TEL1_EXT;ADDRESS;TEL1_EXT;ADDRESSX |
|
電話番号 |
telnumber;UserInfo |
|
タイムゾーン[参照] |
TZONE;LOGONDATA;TZONE;LOGONDATAX |
|
役職[参照] |
title;UserInfo |
|
一意のID |
__UID__ |
|
ユーザーID |
__NAME__ |
|
ユーザーのロック |
userLock;None |
|
ユーザー・タイプ[参照] |
userType;UserInfo |
|
有効期限開始[日付] |
validFrom;UserInfo |
|
有効期限終了[日付] |
validTo;UserInfo |
回避策: 重複エントリの各インスタンスを削除します。
8.2 Oracle Identity Governanceの問題
Oracle Identity Governanceに関連する問題と回避策を次に示します。
8.2.1 アカウント取消しタスクが拒否されるとOIGアカウントを更新できない
Access Request Management (AC)のフローで、OIGでアカウントの削除をトリガーし、GRCで同じアカウントの取消しリクエストを拒否した場合、アカウントはSAP ECCシステム(バックエンドABAPシステム)でアクティブなままになり、そのアカウントの詳細をOIGで変更できません。
回避策: この問題の回避策はありません。
8.2.2 JARファイルの更新または変更のたびにプリケーション・サーバー・エラーが発生する
JARファイルが更新または変更されると常に、アプリケーション・サーバーはSAP接続先データ・プロバイダ(SAP JCO)が登録済であっても登録しようとします。このため、アプリケーション・サーバーによって次のエラーがスローされます。
java.lang.UnsatisfiedLinkError: Native Library /usr/local/jco/libsapjco3.sojava.lang.UnsatisfiedLinkError: Native Library /usr/local/jco/libsapjco3.dll
回避策: Oracle Identity GovernanceサーバーでJARが更新または変更された場合にアプリケーション・サーバーを再起動します。