5 SAP User Managementコネクタの使用

要件に合せてアプリケーションを構成したら、SAP UMコネクタを使用してリコンシリエーション操作とプロビジョニング操作を実行できます。

この章では、次の項目について説明します。

• リコンシリエーションの構成に関するガイドライン

• リコンシリエーションの構成

• リコンシリエーション・ジョブの構成

• プロビジョニング実行のガイドライン

• プロビジョニング操作の実行

• SoD有効環境で実行されるプロビジョニング操作

• SAP ERPおよびSAP CUAターゲット・システムの切替え

• SAP ERPまたはSAP CUAターゲット・システムとSAP GRCターゲット・システムとの切替え

• コネクタのアンインストール

5.1 リコンシリエーションの構成に関するガイドライン

ここでは、リコンシリエーション操作を構成する際に適用する必要があるガイドラインを示します。

• SAP CUAでは、ターゲット・システムで直接作成されたアカウントは、リコンシエーション時にそのアカウントへの変更が検知されてOracle Identity Governanceに取得される前に、マスター・システムに割り当てる必要があります。

• Microsoft Windowsプラットフォームでは、リコンシエーション時にorg.quartz.SchedulerException例外が発生した場合、Microsoft WebサイトからMicrosoft Visual C++ 2005 SP1再配置可能パッケージをダウンロードしてインストールします。

5.2 リコンシリエーションの構成

コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。

リコンシリエーションでは、ターゲット・システムでのユーザー・アカウントの作成および変更がOracle Identity Governanceで複製されます。

この項では、リコンシリエーションの構成に関する次の項目について説明します。

• 完全リコンシリエーションおよび増分リコンシリエーションの実行

• バッチ・リコンシリエーションの実行

• 制限付きリコンシリエーションの実行

5.2.1 完全リコンシリエーションおよび増分リコンシリエーションの実行

完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。アプリケーションを作成したら、最初に完全リコンシリエーションを実行する必要があります。

リコンシリエーション実行の最後で、ユーザー・レコード・リコンシリエーションのジョブのLatest Tokenパラメータには、実行が終了した時点のタイムスタンプがコネクタによって自動的に設定されます。以降の実行からは、このタイムスタンプの後に作成または変更されたレコードのみがコネクタによるリコンシリエーションの対象になります。これが、増分リコンシリエーションです。

すべてのターゲット・システム・レコードをOracle Identity Governanceで確実にリコンサイルする必要がある場合には、いつでも増分リコンシリエーションを完全リコンシリエーションに切り替えることができます。完全リコンシリエーションを実行するには、Filter属性に値を指定しないでください。ただし、ユーザー・レコードをリコンサイルするには、スケジュール済ジョブで最新トークン属性の値を0 (ゼロ)に設定します。

5.2.2 バッチ・リコンシリエーションの実行

バッチ・リコンシリエーションを実行して、特定の数のレコードをターゲット・システムからOracle Identity Governanceにリコンサイルできます。

デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。

このような問題を避けるため、バッチ・リコンシリエーションを構成できます。

バッチ・リコンシリエーションを構成するには、「拡張設定」セクションのbatchSizeパラメータに値を指定する必要があります。この属性を使用して、各バッチに含めるレコード数を指定します。デフォルトでは、この値は空です。

バッチ・リコンシリエーションを構成した後で、バッチ・リコンシリエーションの実行中にリコンシリエーションが失敗した場合は、タスクのパラメータ値を変更せずにスケジュール済タスクを再実行するだけです。

5.2.3 制限付きリコンシリエーションの実行

リコンシリエーション・モジュールにフィルタを作成して制限付きリコンシリエーションを実行し、指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。

デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。コネクタには、任意のSAPリソース属性を使用してターゲット・システム・レコードをフィルタ処理するFilterパラメータが用意されています。

このパラメータの構文は次のとおりです。

ノート:

<and>および<or>演算子のショートカットを使用できます。たとえば、and (<filter1>, <filter2>)ではなく、<filter1> & <filter2>とすることができ、同様に、orrを|に置き換えることもできます。

syntax = expression ( operator expression )* 
operator = 'and' | 'or' 
expression = ( 'not' )? filter 
filter = ('equalTo' | 'contains' | 'containsAllValues' | 'startsWith'
| 'endsWith'  | 'greaterThan' | 'greaterThanOrEqualTo' | 'lessThan' 
| 'lessThanOrEqualTo' )  '(' 'attributeName' ',' attributeValue ')' 
attributeValue = singleValue  |  multipleValues
singleValue = 'value'
multipleValues = '[' 'value_1' (',' 'value_n')* ']'

たとえば、リコンサイルされるアカウント数をアカウント名が一致するアカウントのみに制限する場合は、次の式を使用します。

equalTo('FirstName;ADDRESS','AP10A1')

ICFフィルタの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタ構文 に関する項を参照してください。

5.3 リコンシリエーション・ジョブの構成

ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Governanceにそのデータを複製するリコンシリエーションを実行する、リコンシリエーション・ジョブを構成します。

この手順は、ユーザーおよび権限のためのリコンシリエーション・ジョブを構成する場合に適用できます。

リコンシリエーション・ジョブを構成するには、次のようにします。

1. アイデンティティ・システム管理にログインします。
2. 左ペインの「システム管理」で、「スケジューラ」をクリックします
3. 次のようにして、スケジュール済ジョブを検索して開きます。
   1. 「検索」フィールドに、検索基準としてスケジュール済ジョブの名前を入力します。「拡張検索」をクリックして検索基準を指定することもできます。
   2. 左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
4. 「ジョブの詳細」タブで、スケジュール済タスクのパラメータを変更できます。
   • 再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
   • スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。『Oracle Fusion Middleware Oracle Identity Governanceの管理』のジョブの作成に関する項を参照してください。

   ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。

5. 「ジョブの詳細」タブの「パラメータ」領域で、スケジュール済タスクの属性の値を指定します。

   ノート:

   すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。

6. 「適用」をクリックして変更を保存します。

   ノート:

   Identity System Administrationの「スケジューラのステータス」ページを使用して、スケジューラを起動、停止または再初期化できます。

5.4 プロビジョニング実行のガイドライン

ここでは、プロビジョニングを実行する際に適用する必要があるガイドラインについて説明します。

この項では、プロビジョニングに関連する以下のガイドラインについて説明します。

• サポートされるデプロイメント構成でのプロビジョニング実行のガイドライン

• Access Request Management構成後のプロビジョニングの実行に関するガイドライン

5.4.1 サポートされるデプロイメント構成でのプロビジョニング実行のガイドライン

ここでは、サポートされるデプロイメント構成のいずれかでプロビジョニング操作を実行する際に適用する必要があるガイドラインについて説明します。

• プロビジョニングを使用してアカウントの作成と無効化を同時に実行する場合、「有効期限終了」属性の値を過去の日付に設定できます。たとえば、アカウントを7月31日に作成する場合でも、「有効期限終了」の日付を7月30日に設定できます。この値にすると、OIM Userにプロビジョニングされるリソースは、アカウントの作成後すぐに無効状態になります。

  ただし、ターゲット・システムでアカウントの作成時に「有効期限終了」属性を現在の日付に設定すると、ターゲット・システムで「有効期限終了」が自動的に現在の日付に設定されます。このユーザー作成プロビジョニング操作の結果は次のようになります。

  • 「有効期限終了」属性の値が、Oracle Identity Governanceとターゲット・システムで一致しません。

  • ターゲット・システムでは、ユーザーは現在の日付の間ずっとログインが可能です。ユーザーは翌日以降はログインできなくなります。

  ターゲット・システムでユーザーをロックすることで、アカウントの作成日にユーザーがログインできなくすることも可能です。

• ユーザー作成プロビジョニング操作中にパスワードまたはシステム割当が失敗すると、ユーザーは作成されません。

• ロールやプロファイルなどの複数値属性をプロビジョニングしようとする際に、その属性がターゲット・システムですでにユーザーに設定されている場合、Oracle Identity Governanceでのプロセス・タスクのステータスが「完了」に設定されます。必要に応じて、この状況でステータスが「却下」と表示されるようにタスクを構成できます。プロセス・タスクの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のプロセス・タスクの変更に関する項を参照してください。

• 「ユーザーのロック」または「ユーザーのロック解除」プロビジョニング操作を実行する場合、コネクタは、アカウントが現在ロックされた状態かロック解除された状態かを確認せずに、ターゲット・システムで必要な変更を行います。これは、アカウントの現在の状態を確認する手段がターゲット・システムで提供されていないためです。

• ターゲット・システムでは、電子メール・アドレスのフィールドに英語以外の文字を入力できません。したがって、プロビジョニング操作の間は、プロセス・フォームの電子メールのアドレス・フィールドには英語のみを入力してください。

• Microsoft Windowsプラットフォームでは、プロビジョニング操作時にjava.lang.UnsatisfiedLinkError例外が発生した場合、Microsoft WebサイトからMicrosoft Visual C++ 2005 SP1再配置可能パッケージをダウンロードしてインストールします。

5.4.2 Access Request Management構成後のプロビジョニングの実行に関するガイドライン

ここでは、コネクタのAccess Request Management機能を構成した後にプロビジョニング操作を実行する際に適用する必要があるガイドラインを示します。

• Access Request Managementが構成されている場合にユーザーの作成操作を実行する際は、最初にプロセス・フォーム・データを送信します。子フォーム・データは、ターゲット・システムにユーザーが作成された後に送信します。これは、Access Request Managementが有効化されている場合、1回のユーザーの変更操作でコネクタがサポートするのは、プロセス・フォーム・フィールドまたは子フォーム・フィールドのいずれかの変更であるためです。

• プロセス・フォームの次のフィールドは、SAP GRC Access Request Managementで必須のパラメータです。

  ノート:

  Access Request Management機能が構成されている場合、Oracle Identity System Administrationで必須フィールドとしてマークされていないフィールドであっても、必ず値を入力してください。

  • ACマネージャ

  • ACマネージャの電子メール

  • AC優先度

  • ACシステム

  • ACリクエスタID

  • ACリクエスタの電子メール

  • ACリクエストの理由

  次のフィールドは、SAP GRCシステムの構成によって、必須である場合とオプションである場合があります。

  • ACマネージャの名

  • ACマネージャの姓

  • ACマネージャの電話

  • ACリクエスト・タイプの期日

  • AC機能領域

  • ACビジネス・プロセス

  • ACリクエスタの名

  • ACリクエスタの姓

  • ACリクエスタの電話

  • AC会社

• このガイドで前述したように、SAP GRC Access Request Managementでは、パスワードが処理されません。したがって、「パスワード」フィールドに入力された値はすべて、「ユーザーの作成」プロビジョニング操作中は無視されます。ユーザーの作成操作の実行後、ターゲット・システムでアカウントを作成されたユーザーは、次のいずれかの方法に従ってパスワードを設定する必要があります。

  • Oracle Identity Governanceのパスワードをターゲット・システムのパスワードとして使用するには、Oracle Identity Governanceを介してパスワードを変更します。

  • ターゲット・システムに直接ログインして、パスワードを変更します。

• ユーザーの有効化操作は、「有効期限開始」フィールドを未来の日付に設定して実行します。同様に、ユーザーの無効化操作は、「有効期限終了」フィールドを現在の日付に設定して実行します。どちらの操作も、ユーザーの変更操作として処理されます。

• Oracle Identity System Administration(プロセス・フォーム)でユーザー(アカウント)を削除すると、「ユーザーの削除」リクエストが作成されます。

• プロセス・フォームで「ユーザーのロック」チェック・ボックスを選択すると、「ユーザーのロック」リクエストが作成されます。

• プロセス・フォームで「ユーザーのロック」チェック・ボックスの選択を解除すると、「ユーザーのロック解除」リクエストが作成されます。

• ユーザーの有効化およびユーザーの無効化操作は、プロセス・フォームの「有効期限開始」および「有効期限終了」フィールドを介して実装されます。

• 「ユーザーの変更」操作では、SAP GRC Access Request Managementでマップされるパラメータおよびターゲット・システムで直接更新されるパラメータの値を指定できます。これらの参照定義にマッピングが存在するパラメータに対してのみ、SAP GRC Access Request Managementでリクエストが作成されます。これらの参照定義に存在しないパラメータの値を指定した場合、値はコネクタから直接ターゲット・システムに送信されます。

• GRCサーバー上でSAP UM ACアカウントに対するグループの割当てまたは取消し操作を実行できません。グループはSAP ECCシステム(バックエンドABAPシステム)内で管理する必要があります。

5.5 プロビジョニング操作の実行

「ユーザーの作成」ページを使用して、Identity Self Serviceに新規ユーザーを作成します。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。

Oracle Identity Governanceでプロビジョニング操作を実行するには、次のようにします。

1. Identity Self Serviceにログインします。
2. 次のようにユーザーを作成します。
   1. Identity Self Serviceで、「管理」をクリックします。「ホーム」タブには、異なる「管理」オプションが表示されます。「ユーザー」をクリックします。「ユーザーの管理」ページが表示されます。
   2. 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ユーザーの作成」ページが表示され、ユーザー・プロファイル属性の入力フィールドが表示されます。
   3. 「ユーザーの作成」ページに、ユーザーの詳細を入力します。
3. 「アカウント」タブで、「アカウントのリクエスト」をクリックします
4. 「カタログ」ページで、以前に構成したコネクタのアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。
5. アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします
6. 「送信」をクリックします。

関連項目:

「ユーザーの作成」ページ内のフィールドの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のユーザーの作成に関する項を参照してください

5.6 SoD有効環境で実行されるプロビジョニング操作

OIMユーザーのリソースのプロビジョニングでは、Oracle Identity Governanceを使用して、そのユーザーのターゲット・システム・アカウントを作成します。

次にプロビジョニング操作のタイプを示します。

• ダイレクト・プロビジョニング

• アカウントのリクエストベースのプロビジョニング

• 権限のリクエストベースのプロビジョニング

• ポリシー変更でトリガーされるプロビジョニング

この項では、次のトピックについて説明します。

• SoD有効環境でのプロビジョニング操作の概要

• SoD有効環境でのプロビジョニング操作の実行に関するガイドライン

• SoD有効環境でのリクエストベース・プロビジョニング

5.6.1 SoD有効環境でのプロビジョニング操作の概要

SoD有効環境で実行されるプロビジョニング操作では、次の一連のステップが行われます。

1. プロビジョニング操作によって、適切なアダプタがトリガーされます。

2. 権限データがSAP GRC SoD Invocation Library (SIL) ProviderからSAP GRCのWebサービスに渡されます。

3. SAP GRCが権限データについてSoD検証プロセスを実行した後、プロセスのレスポンスがOracle Identity Governanceに返されます。

4. レスポンスを受け取ったプロセス・タスクのステータスは、レスポンスそのものによって異なります。権限データがSoD検証プロセスをクリアすると、アダプタがプロビジョニング・データを対応するターゲット・システムのBAPIに搬送し、プロセス・タスクのステータスが「完了」に変わります。これは、権限がユーザーに付与されることを意味します。SoD検証プロセスから失敗のレスポンスが返されると、プロセス・タスクのステータスは「取消」に変わります。

5.6.2 SoD有効環境でのプロビジョニング操作の実行に関するガイドライン

ここでは、SoD有効環境でプロビジョニング操作を実行する際に適用する必要があるガイドラインについて説明します。

• プロビジョニングを介してユーザーにロールを割り当てる場合、次の属性の値を設定します。

  • ロール・システム名

  • ロール名

  • 開始日

  • 終了日

  ただし、ロール割当てを更新する場合、値を指定できるのは「開始日」および「終了日」属性のみです。「ロール・システム名」および「ロール名」属性には新しい値を設定できません。これは追加する新しい子フォームにも適用されます。

• 可能なのは、プロファイルを割り当てることのみです。割り当てられたプロファイルを更新することはできません。

5.6.3 SoD有効環境でのリクエストベース・プロビジョニング

リクエストベースのプロビジョニングでは、エンド・ユーザーが管理およびユーザー・コンソールを使用して、リソースのリクエストを作成します。管理者または他のユーザーが、特定のユーザーのためにリクエストを作成することもできます。特定のリソースのリクエストを確認して承認できるのは、Oracle Identity Governanceで指名された承認者です。

リクエストベースのプロビジョニング操作には、エンドユーザーと承認者の両方が関係します。通常、承認者はリクエスト発行者の上司です。この項で説明するリクエストベースのプロビジョニング・プロセスは、両者が実行するステップを含んでいます。

この項の例では、エンドユーザーがターゲット・システムの2つのロールに対するリクエストを作成します。リクエストはSoD検証をクリアし、承認者によって承認されます。

次の各項では、リクエストベースのプロビジョニングについて詳細を説明します。

• エンドユーザーによるリクエストベース・プロビジョニングの作成

• リクエストベースのプロビジョニングの承認

関連する情報は、「SoD (職務の分離)の構成」を参照してください。

5.6.3.1 エンドユーザーによるリクエストベース・プロビジョニングの作成

リクエストベースのプロビジョニングのタイプは次のとおりです。

アカウントのリクエストベースのプロビジョニング: OIMユーザーが作成されますが、作成時にターゲット・システム・リソースはプロビジョニングされません。かわりに、ユーザー自身がアカウントのプロビジョニングのリクエストを発行します。

権限のリクエストベースのプロビジョニング: (ダイレクト・プロビジョニングまたはリクエストベース・プロビジョニングによって)ターゲット・システム・リソースがプロビジョニングされたOIMユーザーが、権限のプロビジョニングのリクエストを発行します。

次のステップは、リクエストベースのプロビジョニング操作でエンドユーザーによって実行されます。

1. Oracle Identity System Administrationにログインします。
2. 「ようこそ」ページでページの右上の「拡張」をクリックします。
3. Identity Governance拡張管理へようこそページで、「管理」タブをクリックし、次に「リクエスト」タブをクリックします。
4. 左ペインの「アクション」メニューから「リクエストの作成」を選択します。

   「リクエスト・テンプレートの選択」ページが表示されます。

5. 「リクエスト・テンプレート」リストで、「リソースのプロビジョニング」を選択し、「次」をクリックします。
6. 「ユーザーの選択」ページで、リソースをプロビジョニングするユーザーを検索するためのフィールドに検索基準を指定し、S「検索」をクリックします。指定した検索基準に一致するユーザーのリストが「使用可能なユーザー」リストに表示されます。
7. 「使用可能なユーザー」リストから、アカウントをプロビジョニングするユーザーを選択します。

   複数のユーザーのプロビジョニング・リクエストを作成する場合は、「使用可能なユーザー」リストから、アカウントをプロビジョニングするユーザーを選択します。

8. 「移動」または「すべて移動」をクリックして、選択内容を「選択したユーザー」リストに移動し、「次」をクリックします。
9. 「リソースの選択」ページで「リソース名」フィールドの横にある矢印ボタンをクリックして、使用可能なすべてのリソースのリストを表示します。
10. 「利用可能なリソース」リストから「SAP UMリソース・オブジェクト」を選択し、それを「選択したリソース」リストに移動して、「次」をクリックします。
11. 「リソースの詳細」ページで、ターゲット・システムに作成する必要のあるアカウントの詳細を入力し、「次」をクリックします。
12. 「理由」ページで、次のフィールドの値を指定し、「終了」をクリックします。

    • 有効日

    • 理由

    結果のページで、リクエストが送信されたことを確認するメッセージが「リクエストID」とともに表示されます。

13. リクエストIDをクリックすると、「リクエストの詳細」ページが表示されます。
14. 「リクエストの詳細」ページの「リソース」タブで、リクエストが作成されるリソースを含む行の「詳細の表示」リンクをクリックします。「リソースの詳細」ページが新しいウィンドウに表示されます。

    このページのフィールドの1つは「SODCheckStatus」フィールドです。このフィールドの値は「SoDチェックが開始されていません」または「SoDチェックが完了しました」になります。リクエストが行われると、「SODCheckStatus」フィールドに「SoDCheckCompleted」ステータスが含まれます。

15. 承認の詳細を表示するには、「リクエストの詳細」ページで「「承認タスク」タブをクリックします。

    このページでは、SODCheckerタスクのステータスは「保留」です。

5.6.3.2 リクエストベースのプロビジョニングの承認

この項では、リクエストベースのプロビジョニング操作での承認者の役割について説明します。

リクエストが割り当てられている承認者は、「保留中の承認」機能を使用してリクエストの詳細を確認することができます。

図req_prov11_adm_appr.gifの説明

また、承認者は「表示」リンクをクリックして、SoD検証プロセスの詳細を確認できます。

承認者は、SoDエンジンがリクエストを受け入れたか拒否したかに関係なく、リクエストの承認または拒否を決めることができます。承認者はリクエストの権限を変更することもできます。

次のステップは、リクエストベースのプロビジョニング操作で承認者によって実行されます。

1. Oracle Identity System Administrationにログインします。
2. 「ようこそ」ページの右上隅で、「セルフサービス」をクリックします。
3. Identity Governanceセルフ・サービスへようこそページで「タスク」タブをクリックします。
4. 「承認」タブの最初のリージョンで、割り当てられたリクエスト・タスクの検索基準を指定できます。
5. 検索結果表から承認するリクエストを含む行を選択して、「タスクの承認」をクリックします。

   タスクが承認されたことを確認するメッセージが表示され、リクエスト・ステータスが「操作承認を取得しています」に変わります。

6. 承認されたリクエストを含む行を選択し、「タスクの承認」をクリックします。

   タスクが承認されたことを確認するメッセージが表示され、リクエスト・ステータスが「リクエストが完了しました」に変わります。

7. 「管理」タブをクリックし、リクエストが完了したユーザーを検索します。
8. ユーザーを選択します。

   ユーザー詳細情報が右側のペインに表示されます。

9. 「リソース」タブをクリックして、プロビジョニングされているリソースを表示します。
10. プロビジョニングされているリソースを選択し、「開く」をクリックしてリソースの詳細を表示します。
11. 「ユーザーの詳細」ページの「リソース」タブで、「アクション」メニューから「リソース履歴」を選択し、リソース・プロビジョニング・タスクを表示します。

5.7 SAP ERPおよびSAP CUAターゲット・システムの切替え

リコンシリエーションとプロビジョニングのためにターゲット・システムをSAP ERPとSAP CUAで切り替えることができます。

次の各項では、SAP ERPターゲット・システムとSAP CUAターゲット・システムを切り替える手順について説明します。

• リコンシリエーションでのSAP ERPおよびSAP CUAターゲット・システムの切替え

• プロビジョニングでのSAP ERPおよびSAP CUAターゲット・システムの切替え

5.7.1 リコンシリエーションでのSAP ERPおよびSAP CUAターゲット・システムの切替え

リコンシリエーションのためにSAP ERPターゲット・システムとSAP CUAターゲット・システムを切り替えるには:

1. SAP CUAに切り替える場合、Lookup.SAPABAP.Configuration参照定義のenableCUAエントリの値にyesを設定します。SAP ERPに切り替える場合は、この値をnoに設定します。

   詳細は、「Oracle Identity Governanceでの拡張構成値の設定」を参照してください。

2. SAP UM User ReconおよびSAP UM User Delete Reconスケジュール済ジョブで、次の属性の値を設定します。

   • ITリソース名: 必要なITリソースの名前を入力します。

   • 最新のトークン: この属性の値として0を入力します。または、同じターゲット・システムで前回のリコンシエーション実行からのタイム・スタンプ値を保存した場合、その値を「タイム・スタンプ」属性に入力できます。

5.7.2 プロビジョニングでのSAP ERPおよびSAP CUAターゲット・システムの切替え

プロビジョニングのためにSAP ERPターゲット・システムとSAP CUAターゲット・システムを切り替えるには:

1. SAP CUAに切り替える場合、Lookup.SAPABAP.Configuration参照定義のenableCUAエントリの値にyesを設定します。SAP ERPに切り替える場合は、この値をnoに設定します。
2. 参照フィールド同期に使用されるすべてのスケジュール済ジョブで、「ITリソース名」フィールドに必要なITリソースの値を設定し、個別に実行します。
3. 必要なITリソースを選択することで、Oracle Identity System Administrationでプロビジョニング操作を開始します。

5.8 SAP ERPまたはSAP CUAターゲット・システムとSAP GRCターゲット・システムとの切替え

SAP ERPまたはSAP CUAターゲット・システムからSAP GRCターゲット・システムへ切り替えることができます。逆方向に切り替えることもできます。

SAP ERPまたはSAP CUAターゲット・システムからSAP GRCターゲット・システムに切り替える場合、およびその逆の場合、次のステップを実行します。

1. MDS削除ユーティリティを実行するための環境変数が設定されていることを確認します。weblogic.propertiesファイルで、その値がwls_servername、application_nameおよびmetadata_filesプロパティに設定されていることを確認します。MDSユーティリティ用の環境の設定の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』でOracle Identity GovernanceのすべてのMDSデータのエクスポートに関する項を参照してください。
2. 次のコマンドを使用して、既存のリクエスト・データセットを削除します。

   • Microsoft Windowsの場合

     weblogicDeleteMetadata.bat
     

   • UNIXの場合

     weblogicDeleteMetadata.sh
     

3. コンテンツ・カテゴリ・メタデータをキャッシュからクリアするには、PurgeCacheユーティリティを実行します。
4. 切替え先のターゲット・システムのリクエスト・データセットをインポートします。
5. コンテンツ・カテゴリ・メタデータをキャッシュからクリアするには、PurgeCacheユーティリティを実行します。

5.9 コネクタのアンインストール

SAP UMコネクタをアンインストールすると、そのリソース・オブジェクトに関連付けられているアカウント関連のデータがすべて削除されます。

なんらかの理由でコネクタをアンインストールする場合、コネクタのアンインストール・ユーティリティを実行します。このユーティリティを実行する前に、ConnectorUninstall.propertiesファイルでObjectTypeおよびObjectValuesプロパティに必ず値を設定してください。たとえば、リソース・オブジェクト、スケジュール済タスクおよびコネクタに関連付けられたスケジュール済ジョブを削除する場合は、ObjectTypeプロパティの値として"ResourceObject", "ScheduleTask", "ScheduleJob"を入力し、ObjectValuesプロパティの値としてコネクタに対応するオブジェクト値のセミコロン区切りのリストを入力します。

たとえば: SAP UM User; SAP UM Group

ノート:

ObjectTypeプロパティとObjectValueプロパティとともにConnectorNameプロパティとReleaseプロパティの値を設定すると、ObjectValueプロパティでリストしたオブジェクトの削除はユーティリティによって実行されますが、コネクタ情報はスキップされます。

詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタのアンインストールに関する項を参照してください。