8 SAP User Managementコネクタの既知の問題
ここでは、このリリースのコネクタに関連する既知の問題と回避策について説明します。
8.1 コネクタの問題
ここでは、コネクタに関連する問題と回避策について説明します。
8.1.1 SoDチェック時のエラー
SoDチェック時に、SAP GRC Webサービスから返されるデータが4000文字を超えた場合、最初の4000文字しか表示されません。
回避策: SAP GRCターゲット・システムから取得した違反詳細のサイズが4000文字を超える場合、SODCheckViolationフィールドの「Length」を、違反データの予測されるサイズに基づいて更新する必要があります。
8.1.2 SAP UM 12cコネクタとSAP ER 9.xコネクタは機能しない
ICFベースのSAP User Managementコネクタおよび従来のSAP ERコネクタはOracle Identity Governanceで一緒には動作しません。ICFは各コネクタ・バンドルに対し別のクラス・ローダーを使用するからです。両方のコネクタがインストールされている場合、最初の接続を作成したコネクタ・バンドルが動作します。2番目のバンドルが接続を作成しようとするときに、最初のバンドルによりすでに登録されているデータ・プロバイダを登録しようとします。するとDestinationDataProviderはすでに登録されていますというエラーがスローされます。
回避策: SAP User Managementコネクタと従来のSAP ERコネクタの両方を使用するには、SAP UMコネクタをコネクタ・サーバーにデプロイし、SAP ERコネクタをOracle Identity Governanceにデプロイします。
8.1.3 アップグレード後の問題
コネクタをアップグレードする前に、次のデフォルトの参照デコード値がターゲット構成値でアップグレードされます。
-
Lookup.SAPABAP.Configuration
-
Lookup.SAPABAP.UM.ProvAttrMap
-
Lookup.SAPABAP.UM.ReconAttrMap
-
Lookup.SAPAC10ABAP.Configuration
-
Lookup.SAPAC10ABAP.UM.ProvAttrMap
-
Lookup.SAPAC10ABAP.UM.ReconAttrMap
表8-1 Lookup.SAPABAP.Configuration参照定義のエントリ
コード・キー | デコード |
---|---|
CodeKey |
デコード |
aliasUser |
なし |
batchSize |
100 |
バンドル名 |
org.identityconnectors.sap |
バンドルのバージョン |
12.3.0 |
changePasswordAtNextLogon |
no |
codePage |
なし |
compositeRoles |
no |
コネクタ名 |
org.identityconnectors.sap.SAPConnector |
cuaChildInitialPasswordChangeFuncModule |
ZXLCBAPI_ZXLCUSR_PW_CHANGE |
cuaChildPasswordChangeFuncModule |
ZXLCBAPI_ZXLCUSR_PASSWORDCHNGE |
disableLockStatus |
64 |
enableCUA |
no |
entitlementRiskAnalysisAccessURL |
|
entitlementRiskAnalysisWS |
oracle.iam.grc.sod.scomp.impl.grcsap.util.webservice.sap.ac10.RiskAnalysisWithoutNo |
gatewayHost |
なし |
gatewayService |
なし |
getSSO2 |
なし |
groups |
GROUPS~USERGROUP |
lCheck |
なし |
mySAPSSO2 |
なし |
overwriteLink |
no |
parameters |
PARAMETER1~PARID;PARVA |
passwordPropagateToChildSystem |
no |
ProfileAttributeLabel |
プロファイル名 |
プロファイル属性名 |
USERPROFILE |
プロファイル・フォーム名 |
UD_SPUMPC_P;UD_SPUM_PRO |
profiles |
PROFILES~SUBSYSTEM;PROFILE |
reconcilefuturedatedroles |
〇 |
reconcilepastdatedroles |
〇 |
repositoryDestination |
なし |
repositoryPassword |
なし |
repositorySNCMode |
なし |
repositoryUser |
なし |
riskLevel |
3 |
RoleAttributeLabel |
ロール名 |
ロール属性名 |
USERROLE |
ロール・フォーム名 |
UD_SPUMRC_P;UD_SAPRL |
roles |
ACTIVITYGROUPS~SUBSYSTEM;AGR_NAME;TO_DAT;FROM_DAT;ORG_FLAG |
sapSystemTimeZone |
IST |
singleRoles |
〇 |
SOD構成参照 |
Lookup.SAPABAP.Configuration |
tpHost |
なし |
tpName |
なし |
type |
なし |
ユーザー構成参照 |
Lookup.SAPABAP.UM.Configuration |
validatePERNR |
no |
wsdlFilePath |
なし |
表8-2 Lookup.SAPABAP.UM.ProvAttrMapのエントリ
コード・キー | デコード・キー |
---|---|
アカウント番号 |
ACCNT;LOGONDATA;ACCNT;LOGONDATAX |
別名 |
USERALIAS;ALIAS;BAPIALIAS;ALIASX |
建物 |
BUILDING_P;ADDRESS;BUILDING_P;ADDRESSX |
通信タイプ[参照] |
COMM_TYPE;ADDRESS;COMM_TYPE;ADDRESSX |
会社[参照] |
COMPANY;COMPANY;COMPANY;COMPANYX |
契約ユーザー・タイプ[参照] |
LIC_TYPE;UCLASS;UCLASS;UCLASSX |
コスト・センター |
KOSTL;DEFAULTS;KOSTL;DEFAULTSX |
日付書式[参照] |
DATFM;DEFAULTS;DATFM;DEFAULTSX |
10進表記[参照] |
DCPFM;DEFAULTS;DCPFM;DEFAULTSX |
部門 |
DEPARTMENT;ADDRESS;DEPARTMENT;ADDRESSX |
電子メール |
E_MAIL;ADDRESS;E_MAIL;ADDRESSX |
FAX内線番号 |
FAX_EXTENS;ADDRESS;FAX_EXTENS;ADDRESSX |
FAX番号 |
FAX_NUMBER;ADDRESS;FAX_NUMBER;ADDRESSX |
名 |
FIRSTNAME;ADDRESS;FIRSTNAME;ADDRESSX |
階 |
FLOOR_P;ADDRESS;FLOOR_P;ADDRESSX |
職務 |
FUNCTION;ADDRESS;FUNCTION;ADDRESSX |
グループ名[参照] |
CLASS;LOGONDATA;CLASS;LOGONDATAX |
言語通信[参照] |
LANGU_P;ADDRESS;LANGU_P;ADDRESSX |
姓 |
LASTNAME;ADDRESS;LASTNAME;ADDRESSX |
ログオン言語[参照] |
LANGU;DEFAULTS;LANGU;DEFAULTSX |
パスワード |
__PASSWORD__ |
従業員番号 |
PERNR |
部屋番号 |
ROOM_NO_P;ADDRESS;ROOM_NO_P;ADDRESSX |
スタート・メニュー |
START_MENU;DEFAULTS;START_MENU;DEFAULTSX |
電話内線番号 |
TEL1_EXT;ADDRESS;TEL1_EXT;ADDRESSX |
電話番号 |
TEL1_NUMBR;ADDRESS;TEL1_NUMBR;ADDRESSX |
タイムゾーン[参照] |
TZONE;LOGONDATA;TZONE;LOGONDATAX |
役職[参照] |
TITLE_P;ADDRESS;TITLE_P;ADDRESSX |
UD_SAP_GP~ユーザー・グループ[参照] |
groups~GROUPS~USERGROUP |
UD_SAP_PARA~パラメータID[参照] |
parameters~PARAMETER1~PARID |
UD_SAP_PARA~パラメータ値 |
parameters~PARAMETER1~PARVA |
UD_SAPRL~終了日[日付] |
roles~ACTIVITYGROUPS~TO_DAT |
UD_SAPRL~ロール名[参照] |
roles~ACTIVITYGROUPS~AGR_NAME |
UD_SAPRL~開始日[日付] |
roles~ACTIVITYGROUPS~FROM_DAT |
UD_SPUM_PRO~プロファイル名[参照] |
profiles~PROFILES~PROFILE |
一意のID |
__UID__ |
ユーザーID |
__NAME__ |
ユーザーのロック |
__LOCK_OUT__ |
ユーザー・タイプ[参照] |
USTYP;LOGONDATA;USTYP;LOGONDATAX |
有効期限開始[日付] |
GLTGV;LOGONDATA;GLTGV;LOGONDATAX |
有効期限終了[日付] |
GLTGB;LOGONDATA;GLTGB;LOGONDATAX |
表8-3 Lookup.SAPABAP.UM.ReconAttrMap参照定義のエントリ
コード・キー | デコード・キー |
---|---|
アカウント番号 |
ACCNT;LOGONDATA |
別名 |
USERALIAS;ALIAS |
建物 |
BUILDING_P;ADDRESS |
通信タイプ[参照] |
COMM_TYPE;ADDRESS |
会社[参照] |
COMPANY;COMPANY |
契約ユーザー・タイプ[参照] |
LIC_TYPE;UCLASS|UCLASSSYS |
コスト・センター |
KOSTL;DEFAULTS |
日付書式[参照] |
DATFM;DEFAULTS |
10進表記[参照] |
DCPFM;DEFAULTS |
部門 |
DEPARTMENT;ADDRESS |
電子メール |
E_MAIL;ADDRESS |
FAX内線番号 |
FAX_EXTENS;ADDRESS |
FAX番号 |
FAX_NUMBER;ADDRESS |
名 |
FIRSTNAME;ADDRESS |
階 |
FLOOR_P;ADDRESS |
職務 |
FUNCTION;ADDRESS |
グループ~ユーザー・グループ[参照] |
groups~GROUPS~USERGROUP |
グループ名[参照] |
CLASS;LOGONDATA |
言語通信[参照] |
LANGU_P;ADDRESS |
姓 |
LASTNAME;ADDRESS |
ログオン言語[参照] |
LANGU;DEFAULTS |
パラメータ~パラメータID[参照] |
parameters~PARAMETER1~PARID |
パラメータ~パラメータ値 |
parameters~PARAMETER1~PARVA |
プロファイル~プロファイル名[参照] |
profiles~PROFILES~PROFILE |
プロファイル~プロファイル・システム名[参照] |
profiles~PROFILES~SUBSYSTEM |
ロール~終了日[日付] |
roles~ACTIVITYGROUPS~TO_DAT |
ロール~ロール名[参照] |
roles~ACTIVITYGROUPS~AGR_NAME |
ロール~ロール・システム名[参照] |
roles~ACTIVITYGROUPS~SUBSYSTEM |
ロール~開始日[日付] |
roles~ACTIVITYGROUPS~FROM_DAT |
部屋番号 |
ROOM_NO_P;ADDRESS |
スタート・メニュー |
START_MENU;DEFAULTS |
ステータス |
__ENABLE__ |
電話内線番号 |
TEL1_EXT;ADDRESS |
電話番号 |
TEL1_NUMBR;ADDRESS |
タイムゾーン[参照] |
TZONE;LOGONDATA |
役職[参照] |
TITLE_P;ADDRESS |
一意のID |
__UID__ |
ユーザーID |
__UID__ |
ユーザーのロック |
__LOCK_OUT__ |
ユーザー・タイプ[参照] |
USTYP;LOGONDATA |
有効期限開始[日付] |
GLTGV;LOGONDATA |
有効期限終了[日付] |
GLTGB;LOGONDATA |
表8-4 Lookup.SAPAC10ABAP.Configuration参照定義のエントリ
コード・キー | デコード・キー |
---|---|
aliasUser |
なし |
appLookupAccessURL |
なし |
appLookupWS |
oracle.iam.ws.sap.ac10.SelectApplication |
assignRoleReqType |
002~Change Account~002~006 |
auditLogsAccessURL |
なし |
auditLogsWS |
oracle.iam.ws.sap.ac10.AuditLogs |
batchSize |
100 |
バンドル名 |
org.identityconnectors.sapacum |
バンドルのバージョン |
12.3.0 |
changePasswordAtNextLogon |
no |
codePage |
なし |
compositeRoles |
no |
コネクタ名 |
org.identityconnectors.sapacum.SAPACUMConnector |
createUserReqType |
001~New Account~001 |
cuaChildInitialPasswordChangeFuncModule |
ZXLCBAPI_ZXLCUSR_PW_CHANGE |
cuaChildPasswordChangeFuncModule |
ZXLCBAPI_ZXLCUSR_PASSWORDCHNGE |
deleteUserReqType |
003~Delete Account~003 |
disableLockStatus |
64 |
enableCUA |
no |
gatewayHost |
なし |
gatewayService |
なし |
getSSO2 |
なし |
groups |
GROUPS~USERGROUP |
ignoreOpenStatus |
〇 |
lCheck |
なし |
lockUserReqType |
004~Lock Account~004 |
logAuditTrial |
〇 |
modifyUserReqType |
002~Change Account~002 |
mySAPSSO2 |
なし |
otherLookupAccessURL |
なし |
otherLookupWS |
oracle.iam.ws.sap.ac10.SearchLookup |
overwriteLink |
no |
parameters |
PARAMETER1~PARID;PARTXT |
passwordPropagateToChildSystem |
no |
profiles |
PROFILES~SUBSYSTEM;PROFILE |
provActionAttrName |
provAction;ReqLineItem |
provItemActionAttrName |
provItemAction;ReqLineItem |
reconcilefuturedatedroles |
〇 |
reconcilepastdatedroles |
〇 |
removeRoleReqType |
002~Change Account~002~009 |
repositoryDestination |
なし |
repositoryPassword |
なし |
repositorySNCMode |
なし |
repositoryUser |
なし |
requestStatusAccessURL |
なし |
requestStatusValue |
OK |
requestStatusWS |
oracle.iam.ws.sap.ac10.RequestStatus |
requestTypeAttrName |
Reqtype;Header |
riskLevel |
高 |
roleLookupAccessURL |
なし |
roleLookupWS |
oracle.iam.ws.sap.ac10.SearchRoles |
roles |
ACTIVITYGROUPS~SUBSYSTEM;AGR_NAME;TO_DAT;FROM_DAT;ORG_FLAG |
sapSystemTimeZone |
PST |
singleRoles |
〇 |
ステータス構成参照 |
Lookup.SAPACABAP.Status.Configuration |
tpHost |
なし |
tpName |
なし |
type |
なし |
unlockUserReqType |
005~unlock user~005 |
userAccessAccessURL |
なし |
userAccessWS |
oracle.iam.ws.sap.ac10.UserAccess |
ユーザー構成参照 |
Lookup.SAPAC10ABAP.UM.Configuration |
validatePERNR |
no |
wsdlFilePath |
なし |
表8-5 Lookup.SAPAC10ABAP.UM.ProvAttrMap参照定義のエントリ
コード・キー | デコード・キー |
---|---|
ACビジネス・プロセス[参照] |
bproc;Header |
アカウント番号 |
accno;UserInfo |
AC機能領域[参照] |
funcarea;Header |
ACマネージャ |
manager;UserInfo |
ACマネージャの電子メール |
managerEmail;UserInfo |
ACマネージャの名 |
managerFirstname;UserInfo |
ACマネージャの姓 |
managerLastname;UserInfo |
AC優先度[参照] |
priority;Header |
ACリクエスト・タイプの期日[日付] |
reqDueDate;Header |
ACリクエストID[WRITEBACK] |
RequestId |
ACリクエスタの電子メール |
email;Header |
ACリクエスタID |
requestorId;Header |
ACリクエストの理由 |
requestReason;Header |
ACリクエスト・ステータス[WRITEBACK] |
RequestStatus |
ACリクエスト・タイプ[WRITEBACK] |
RequestType |
ACシステム[参照] |
reqInitSystem;Header |
別名 |
alias;UserInfo |
建物 |
BUILDING_P;ADDRESS;BUILDING_P;ADDRESSX |
通信タイプ |
commMethod;UserInfo |
会社[参照] |
COMPANY;COMPANY;COMPANY;COMPANYX |
契約ユーザー・タイプ[参照] |
LIC_TYPE;UCLASS;UCLASS;UCLASSX |
コスト・センター |
costcenter;UserInfo |
日付書式 |
dateFormat;UserInfo |
10進表記 |
decNotation;UserInfo |
部門 |
DEPARTMENT;ADDRESS;DEPARTMENT;ADDRESSX |
電子メール |
email;UserInfo |
FAX内線番号 |
FAX_EXTENS;ADDRESS;FAX_EXTENS;ADDRESSX |
FAX番号 |
fax;UserInfo |
名 |
fname;UserInfo |
階 |
FLOOR_P;ADDRESS;FLOOR_P;ADDRESSX |
職務 |
FUNCTION;ADDRESS;FUNCTION;ADDRESSX |
グループ名[参照] |
CLASS;LOGONDATA;CLASS;LOGONDATAX |
言語通信[参照] |
LANGU_P;ADDRESS;LANGU_P;ADDRESSX |
姓 |
lname;UserInfo |
ログオン言語 |
logonLang;UserInfo |
パスワード |
__PASSWORD__ |
従業員番号 |
PERNR |
部屋番号 |
ROOM_NO_P;ADDRESS;ROOM_NO_P;ADDRESSX |
スタート・メニュー |
startMenu;UserInfo |
電話内線番号 |
TEL1_EXT;ADDRESS;TEL1_EXT;ADDRESSX |
電話番号 |
telnumber;UserInfo |
タイムゾーン[参照] |
TZONE;LOGONDATA;TZONE;LOGONDATAX |
役職[参照] |
title;UserInfo |
UD_UMAC_GRP~ユーザー・グループ[参照] |
userGroup;UserGroup |
UD_UMAC_PRM~パラメータID[参照] |
parameters~PARAMETER1~parameter;Parameter |
UD_UMAC_PRM~パラメータ値 |
parameters~PARAMETER1~parameterValue;Parameter |
UD_UMAC_PRO~「プロファイル名」[参照] |
profiles~PROFILES~itemName;ReqLineItem |
UD_UMAC_PRO~「プロファイル・システム名」[参照] |
profiles~PROFILES~connector;ReqLineItem |
UD_UMAC_ROL~終了日[日付] |
roles~ACTIVITYGROUPS~ValidTo;ReqLineItem |
UD_UMAC_ROL~ロール名[参照] |
roles~ACTIVITYGROUPS~itemName;ReqLineItem |
UD_UMAC_ROL~ロール・システム名[参照] |
roles~ACTIVITYGROUPS~connector;ReqLineItem |
UD_UMAC_ROL~「開始日」[日付] |
roles~ACTIVITYGROUPS~validFrom;ReqLineItem |
一意のID |
__UID__ |
ユーザー・グループ[参照] |
userGroup;UserInfo |
ユーザーID |
__NAME__ |
ユーザーのロック |
userLock;None |
ユーザー・タイプ |
userType;UserInfo |
有効期限開始[日付] |
validFrom;UserInfo |
有効期限終了[日付] |
validTo;UserInfo |
表8-6 Lookup.SAPAC10ABAP.UM.ReconAttrMap参照定義のエントリ
コード・キー | デコード・キー |
---|---|
アカウント番号 |
accno;UserInfo |
別名 |
alias;UserInfo |
建物 |
BUILDING_P;ADDRESS;BUILDING_P;ADDRESSX |
通信タイプ[参照] |
commMethod;UserInfo |
会社[参照] |
COMPANY;COMPANY;COMPANY;COMPANYX |
契約ユーザー・タイプ[参照] |
LIC_TYPE;UCLASS;UCLASS;UCLASSX |
コスト・センター |
costcenter;UserInfo |
日付書式[参照] |
dateFormat;UserInfo |
10進表記[参照] |
decNotation;UserInfo |
部門 |
DEPARTMENT;ADDRESS;DEPARTMENT;ADDRESSX |
電子メール |
email;UserInfo |
FAX内線番号 |
FAX_EXTENS;ADDRESS;FAX_EXTENS;ADDRESSX |
FAX番号 |
fax;UserInfo |
名 |
fname;UserInfo |
階 |
FLOOR_P;ADDRESS;FLOOR_P;ADDRESSX |
職務 |
FUNCTION;ADDRESS;FUNCTION;ADDRESSX |
グループ~ユーザー・グループ[参照] |
groups~GROUPS~USERGROUP |
グループ名[参照] |
CLASS;LOGONDATA;CLASS;LOGONDATAX |
言語通信[参照] |
LANGU_P;ADDRESS;LANGU_P;ADDRESSX |
姓 |
lname;UserInfo |
ログオン言語[参照] |
logonLang;UserInfo |
パラメータ~パラメータID[参照] |
parameters~PARAMETER1~parameter;Parameter |
パラメータ~パラメータ値 |
parameters~PARAMETER1~parameterValue;Parameter |
プロファイル~プロファイル名[参照] |
profiles~PROFILES~itemName;ReqLineItem |
プロファイル~プロファイル・システム名[参照] |
profiles~PROFILES~connector;ReqLineItem |
ロール~終了日[日付] |
roles~ACTIVITYGROUPS~ValidTo;ReqLineItem |
ロール~ロール名[参照] |
roles~ACTIVITYGROUPS~itemName;ReqLineItem |
ロール~ロール・システム名[参照] |
roles~ACTIVITYGROUPS~connector;ReqLineItem |
ロール~開始日[日付] |
roles~ACTIVITYGROUPS~validFrom;ReqLineItem |
部屋番号 |
ROOM_NO_P;ADDRESS;ROOM_NO_P;ADDRESSX |
スタート・メニュー |
startMenu;UserInfo |
ステータス |
__ENABLE__ |
電話内線番号 |
TEL1_EXT;ADDRESS;TEL1_EXT;ADDRESSX |
電話番号 |
telnumber;UserInfo |
タイムゾーン[参照] |
TZONE;LOGONDATA;TZONE;LOGONDATAX |
役職[参照] |
title;UserInfo |
一意のID |
__UID__ |
ユーザーID |
__NAME__ |
ユーザーのロック |
userLock;None |
ユーザー・タイプ[参照] |
userType;UserInfo |
有効期限開始[日付] |
validFrom;UserInfo |
有効期限終了[日付] |
validTo;UserInfo |
回避策: 重複エントリの各インスタンスを削除します。
8.2 Oracle Identity Governanceの問題
Oracle Identity Governanceに関連する問題と回避策を次に示します。
8.2.1 アカウント取消しタスクが拒否されるとOIGアカウントを更新できない
Access Request Management (AC)のフローで、OIGでアカウントの削除をトリガーし、GRCで同じアカウントの取消しリクエストを拒否した場合、アカウントはSAP ECCシステム(バックエンドABAPシステム)でアクティブなままになり、そのアカウントの詳細をOIGで変更できません。
回避策: この問題の回避策はありません。
8.2.2 JARファイルの更新または変更のたびにプリケーション・サーバー・エラーが発生する
JARファイルが更新または変更されると常に、アプリケーション・サーバーはSAP接続先データ・プロバイダ(SAP JCO)が登録済であっても登録しようとします。このため、アプリケーション・サーバーによって次のエラーがスローされます。
java.lang.UnsatisfiedLinkError: Native Library /usr/local/jco/libsapjco3.sojava.lang.UnsatisfiedLinkError: Native Library /usr/local/jco/libsapjco3.dll
回避策: Oracle Identity GovernanceサーバーでJARが更新または変更された場合にアプリケーション・サーバーを再起動します。