5 SAP User Managementコネクタの使用
この章では、次の項目について説明します。
5.1 リコンシリエーションの構成に関するガイドライン
ここでは、リコンシリエーション操作を構成する際に適用する必要があるガイドラインを示します。
-
SAP CUAでは、ターゲット・システムで直接作成されたアカウントは、リコンシエーション時にそのアカウントへの変更が検知されてOracle Identity Governanceに取得される前に、マスター・システムに割り当てる必要があります。
-
Microsoft Windowsプラットフォームでは、リコンシエーション時にorg.quartz.SchedulerException例外が発生した場合、Microsoft WebサイトからMicrosoft Visual C++ 2005 SP1再配置可能パッケージをダウンロードしてインストールします。
5.2 リコンシリエーションの構成
コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。
リコンシリエーションでは、ターゲット・システムでのユーザー・アカウントの作成および変更がOracle Identity Governanceで複製されます。
この項では、リコンシリエーションの構成に関する次の項目について説明します。
5.2.1 完全リコンシリエーションおよび増分リコンシリエーションの実行
リコンシリエーション実行の最後で、ユーザー・レコード・リコンシリエーションのジョブのLatest Token
パラメータには、実行が終了した時点のタイムスタンプがコネクタによって自動的に設定されます。以降の実行からは、このタイムスタンプの後に作成または変更されたレコードのみがコネクタによるリコンシリエーションの対象になります。これが、増分リコンシリエーションです。
すべてのターゲット・システム・レコードをOracle Identity Governanceで確実にリコンサイルする必要がある場合には、いつでも増分リコンシリエーションを完全リコンシリエーションに切り替えることができます。完全リコンシリエーションを実行するには、Filter属性に値を指定しないでください。ただし、ユーザー・レコードをリコンサイルするには、スケジュール済ジョブで最新トークン属性の値を0
(ゼロ)に設定します。
5.2.2 バッチ・リコンシリエーションの実行
バッチ・リコンシリエーションを実行して、特定の数のレコードをターゲット・システムからOracle Identity Governanceにリコンサイルできます。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。
このような問題を避けるため、バッチ・リコンシリエーションを構成できます。
バッチ・リコンシリエーションを構成するには、「拡張設定」セクションのbatchSizeパラメータに値を指定する必要があります。この属性を使用して、各バッチに含めるレコード数を指定します。デフォルトでは、この値は空です。
バッチ・リコンシリエーションを構成した後で、バッチ・リコンシリエーションの実行中にリコンシリエーションが失敗した場合は、タスクのパラメータ値を変更せずにスケジュール済タスクを再実行するだけです。
5.2.3 制限付きリコンシリエーションの実行
リコンシリエーション・モジュールにフィルタを作成して制限付きリコンシリエーションを実行し、指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。コネクタには、任意のSAPリソース属性を使用してターゲット・システム・レコードをフィルタ処理するFilterパラメータが用意されています。
このパラメータの構文は次のとおりです。
ノート:
<and>
および<or>
演算子のショートカットを使用できます。たとえば、and
(<filter1>, <filter2>
)ではなく、<filter1> & <filter2>
とすることができ、同様に、or
rを|
に置き換えることもできます。
syntax = expression ( operator expression )* operator = 'and' | 'or' expression = ( 'not' )? filter filter = ('equalTo' | 'contains' | 'containsAllValues' | 'startsWith' | 'endsWith' | 'greaterThan' | 'greaterThanOrEqualTo' | 'lessThan' | 'lessThanOrEqualTo' ) '(' 'attributeName' ',' attributeValue ')' attributeValue = singleValue | multipleValues singleValue = 'value' multipleValues = '[' 'value_1' (',' 'value_n')* ']'
たとえば、リコンサイルされるアカウント数をアカウント名が一致するアカウントのみに制限する場合は、次の式を使用します。
equalTo('FirstName;ADDRESS','AP10A1')
ICFフィルタの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタ構文 に関する項を参照してください。
5.3 リコンシリエーション・ジョブの構成
ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Governanceにそのデータを複製するリコンシリエーションを実行する、リコンシリエーション・ジョブを構成します。
この手順は、ユーザーおよび権限のためのリコンシリエーション・ジョブを構成する場合に適用できます。
5.4 プロビジョニング実行のガイドライン
5.4.1 サポートされるデプロイメント構成でのプロビジョニング実行のガイドライン
ここでは、サポートされるデプロイメント構成のいずれかでプロビジョニング操作を実行する際に適用する必要があるガイドラインについて説明します。
-
プロビジョニングを使用してアカウントの作成と無効化を同時に実行する場合、「有効期限終了」属性の値を過去の日付に設定できます。たとえば、アカウントを7月31日に作成する場合でも、「有効期限終了」の日付を7月30日に設定できます。この値にすると、OIM Userにプロビジョニングされるリソースは、アカウントの作成後すぐに無効状態になります。
ただし、ターゲット・システムでアカウントの作成時に「有効期限終了」属性を現在の日付に設定すると、ターゲット・システムで「有効期限終了」が自動的に現在の日付に設定されます。このユーザー作成プロビジョニング操作の結果は次のようになります。
-
「有効期限終了」属性の値が、Oracle Identity Governanceとターゲット・システムで一致しません。
-
ターゲット・システムでは、ユーザーは現在の日付の間ずっとログインが可能です。ユーザーは翌日以降はログインできなくなります。
ターゲット・システムでユーザーをロックすることで、アカウントの作成日にユーザーがログインできなくすることも可能です。
-
-
ユーザー作成プロビジョニング操作中にパスワードまたはシステム割当が失敗すると、ユーザーは作成されません。
-
ロールやプロファイルなどの複数値属性をプロビジョニングしようとする際に、その属性がターゲット・システムですでにユーザーに設定されている場合、Oracle Identity Governanceでのプロセス・タスクのステータスが「完了」に設定されます。必要に応じて、この状況でステータスが「却下」と表示されるようにタスクを構成できます。プロセス・タスクの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のプロセス・タスクの変更に関する項を参照してください。
-
「ユーザーのロック」または「ユーザーのロック解除」プロビジョニング操作を実行する場合、コネクタは、アカウントが現在ロックされた状態かロック解除された状態かを確認せずに、ターゲット・システムで必要な変更を行います。これは、アカウントの現在の状態を確認する手段がターゲット・システムで提供されていないためです。
-
ターゲット・システムでは、電子メール・アドレスのフィールドに英語以外の文字を入力できません。したがって、プロビジョニング操作の間は、プロセス・フォームの電子メールのアドレス・フィールドには英語のみを入力してください。
-
Microsoft Windowsプラットフォームでは、プロビジョニング操作時にjava.lang.UnsatisfiedLinkError例外が発生した場合、Microsoft WebサイトからMicrosoft Visual C++ 2005 SP1再配置可能パッケージをダウンロードしてインストールします。
5.4.2 Access Request Management構成後のプロビジョニングの実行に関するガイドライン
ここでは、コネクタのAccess Request Management機能を構成した後にプロビジョニング操作を実行する際に適用する必要があるガイドラインを示します。
-
Access Request Managementが構成されている場合にユーザーの作成操作を実行する際は、最初にプロセス・フォーム・データを送信します。子フォーム・データは、ターゲット・システムにユーザーが作成された後に送信します。これは、Access Request Managementが有効化されている場合、1回のユーザーの変更操作でコネクタがサポートするのは、プロセス・フォーム・フィールドまたは子フォーム・フィールドのいずれかの変更であるためです。
-
プロセス・フォームの次のフィールドは、SAP GRC Access Request Managementで必須のパラメータです。
ノート:
Access Request Management機能が構成されている場合、Oracle Identity System Administrationで必須フィールドとしてマークされていないフィールドであっても、必ず値を入力してください。
-
ACマネージャ
-
ACマネージャの電子メール
-
AC優先度
-
ACシステム
-
ACリクエスタID
-
ACリクエスタの電子メール
-
ACリクエストの理由
次のフィールドは、SAP GRCシステムの構成によって、必須である場合とオプションである場合があります。
-
ACマネージャの名
-
ACマネージャの姓
-
ACマネージャの電話
-
ACリクエスト・タイプの期日
-
AC機能領域
-
ACビジネス・プロセス
-
ACリクエスタの名
-
ACリクエスタの姓
-
ACリクエスタの電話
-
AC会社
-
-
このガイドで前述したように、SAP GRC Access Request Managementでは、パスワードが処理されません。したがって、「パスワード」フィールドに入力された値はすべて、「ユーザーの作成」プロビジョニング操作中は無視されます。ユーザーの作成操作の実行後、ターゲット・システムでアカウントを作成されたユーザーは、次のいずれかの方法に従ってパスワードを設定する必要があります。
-
Oracle Identity Governanceのパスワードをターゲット・システムのパスワードとして使用するには、Oracle Identity Governanceを介してパスワードを変更します。
-
ターゲット・システムに直接ログインして、パスワードを変更します。
-
-
ユーザーの有効化操作は、「有効期限開始」フィールドを未来の日付に設定して実行します。同様に、ユーザーの無効化操作は、「有効期限終了」フィールドを現在の日付に設定して実行します。どちらの操作も、ユーザーの変更操作として処理されます。
-
Oracle Identity System Administration(プロセス・フォーム)でユーザー(アカウント)を削除すると、「ユーザーの削除」リクエストが作成されます。
-
プロセス・フォームで「ユーザーのロック」チェック・ボックスを選択すると、「ユーザーのロック」リクエストが作成されます。
-
プロセス・フォームで「ユーザーのロック」チェック・ボックスの選択を解除すると、「ユーザーのロック解除」リクエストが作成されます。
-
ユーザーの有効化およびユーザーの無効化操作は、プロセス・フォームの「有効期限開始」および「有効期限終了」フィールドを介して実装されます。
-
「ユーザーの変更」操作では、SAP GRC Access Request Managementでマップされるパラメータおよびターゲット・システムで直接更新されるパラメータの値を指定できます。これらの参照定義にマッピングが存在するパラメータに対してのみ、SAP GRC Access Request Managementでリクエストが作成されます。これらの参照定義に存在しないパラメータの値を指定した場合、値はコネクタから直接ターゲット・システムに送信されます。
-
GRCサーバー上でSAP UM ACアカウントに対するグループの割当てまたは取消し操作を実行できません。グループはSAP ECCシステム(バックエンドABAPシステム)内で管理する必要があります。
5.5 プロビジョニング操作の実行
「ユーザーの作成」ページを使用して、Identity Self Serviceに新規ユーザーを作成します。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。
Oracle Identity Governanceでプロビジョニング操作を実行するには、次のようにします。
- Identity Self Serviceにログインします。
- 次のようにユーザーを作成します。
- Identity Self Serviceで、「管理」をクリックします。「ホーム」タブには、異なる「管理」オプションが表示されます。「ユーザー」をクリックします。「ユーザーの管理」ページが表示されます。
- 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ユーザーの作成」ページが表示され、ユーザー・プロファイル属性の入力フィールドが表示されます。
- 「ユーザーの作成」ページに、ユーザーの詳細を入力します。
- 「アカウント」タブで、「アカウントのリクエスト」をクリックします
- 「カタログ」ページで、以前に構成したコネクタのアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。
- アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします
- 「送信」をクリックします。
関連項目:
「ユーザーの作成」ページ内のフィールドの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のユーザーの作成に関する項を参照してください5.6 SoD有効環境で実行されるプロビジョニング操作
OIMユーザーのリソースのプロビジョニングでは、Oracle Identity Governanceを使用して、そのユーザーのターゲット・システム・アカウントを作成します。
次にプロビジョニング操作のタイプを示します。
-
ダイレクト・プロビジョニング
-
アカウントのリクエストベースのプロビジョニング
-
権限のリクエストベースのプロビジョニング
-
ポリシー変更でトリガーされるプロビジョニング
この項では、次のトピックについて説明します。
5.6.1 SoD有効環境でのプロビジョニング操作の概要
SoD有効環境で実行されるプロビジョニング操作では、次の一連のステップが行われます。
-
プロビジョニング操作によって、適切なアダプタがトリガーされます。
-
権限データがSAP GRC SoD Invocation Library (SIL) ProviderからSAP GRCのWebサービスに渡されます。
-
SAP GRCが権限データについてSoD検証プロセスを実行した後、プロセスのレスポンスがOracle Identity Governanceに返されます。
-
レスポンスを受け取ったプロセス・タスクのステータスは、レスポンスそのものによって異なります。権限データがSoD検証プロセスをクリアすると、アダプタがプロビジョニング・データを対応するターゲット・システムのBAPIに搬送し、プロセス・タスクのステータスが「完了」に変わります。これは、権限がユーザーに付与されることを意味します。SoD検証プロセスから失敗のレスポンスが返されると、プロセス・タスクのステータスは「取消」に変わります。
5.6.2 SoD有効環境でのプロビジョニング操作の実行に関するガイドライン
ここでは、SoD有効環境でプロビジョニング操作を実行する際に適用する必要があるガイドラインについて説明します。
-
プロビジョニングを介してユーザーにロールを割り当てる場合、次の属性の値を設定します。
-
ロール・システム名
-
ロール名
-
開始日
-
終了日
ただし、ロール割当てを更新する場合、値を指定できるのは「開始日」および「終了日」属性のみです。「ロール・システム名」および「ロール名」属性には新しい値を設定できません。これは追加する新しい子フォームにも適用されます。
-
-
可能なのは、プロファイルを割り当てることのみです。割り当てられたプロファイルを更新することはできません。
5.6.3 SoD有効環境でのリクエストベース・プロビジョニング
リクエストベースのプロビジョニングでは、エンド・ユーザーが管理およびユーザー・コンソールを使用して、リソースのリクエストを作成します。管理者または他のユーザーが、特定のユーザーのためにリクエストを作成することもできます。特定のリソースのリクエストを確認して承認できるのは、Oracle Identity Governanceで指名された承認者です。
リクエストベースのプロビジョニング操作には、エンドユーザーと承認者の両方が関係します。通常、承認者はリクエスト発行者の上司です。この項で説明するリクエストベースのプロビジョニング・プロセスは、両者が実行するステップを含んでいます。
この項の例では、エンドユーザーがターゲット・システムの2つのロールに対するリクエストを作成します。リクエストはSoD検証をクリアし、承認者によって承認されます。
次の各項では、リクエストベースのプロビジョニングについて詳細を説明します。
関連する情報は、「SoD (職務の分離)の構成」を参照してください。
5.6.3.1 エンドユーザーによるリクエストベース・プロビジョニングの作成
リクエストベースのプロビジョニングのタイプは次のとおりです。
アカウントのリクエストベースのプロビジョニング: OIMユーザーが作成されますが、作成時にターゲット・システム・リソースはプロビジョニングされません。かわりに、ユーザー自身がアカウントのプロビジョニングのリクエストを発行します。
権限のリクエストベースのプロビジョニング: (ダイレクト・プロビジョニングまたはリクエストベース・プロビジョニングによって)ターゲット・システム・リソースがプロビジョニングされたOIMユーザーが、権限のプロビジョニングのリクエストを発行します。
次のステップは、リクエストベースのプロビジョニング操作でエンドユーザーによって実行されます。
5.6.3.2 リクエストベースのプロビジョニングの承認
この項では、リクエストベースのプロビジョニング操作での承認者の役割について説明します。
リクエストが割り当てられている承認者は、「保留中の承認」機能を使用してリクエストの詳細を確認することができます。
また、承認者は「表示」リンクをクリックして、SoD検証プロセスの詳細を確認できます。
承認者は、SoDエンジンがリクエストを受け入れたか拒否したかに関係なく、リクエストの承認または拒否を決めることができます。承認者はリクエストの権限を変更することもできます。
次のステップは、リクエストベースのプロビジョニング操作で承認者によって実行されます。
5.7 SAP ERPおよびSAP CUAターゲット・システムの切替え
リコンシリエーションとプロビジョニングのためにターゲット・システムをSAP ERPとSAP CUAで切り替えることができます。
次の各項では、SAP ERPターゲット・システムとSAP CUAターゲット・システムを切り替える手順について説明します。
5.7.1 リコンシリエーションでのSAP ERPおよびSAP CUAターゲット・システムの切替え
リコンシリエーションのためにSAP ERPターゲット・システムとSAP CUAターゲット・システムを切り替えるには:
5.7.2 プロビジョニングでのSAP ERPおよびSAP CUAターゲット・システムの切替え
プロビジョニングのためにSAP ERPターゲット・システムとSAP CUAターゲット・システムを切り替えるには:
- SAP CUAに切り替える場合、Lookup.SAPABAP.Configuration参照定義のenableCUAエントリの値に
yes
を設定します。SAP ERPに切り替える場合は、この値をno
に設定します。 - 参照フィールド同期に使用されるすべてのスケジュール済ジョブで、「ITリソース名」フィールドに必要なITリソースの値を設定し、個別に実行します。
- 必要なITリソースを選択することで、Oracle Identity System Administrationでプロビジョニング操作を開始します。
5.8 SAP ERPまたはSAP CUAターゲット・システムとSAP GRCターゲット・システムとの切替え
SAP ERPまたはSAP CUAターゲット・システムからSAP GRCターゲット・システムへ切り替えることができます。逆方向に切り替えることもできます。
SAP ERPまたはSAP CUAターゲット・システムからSAP GRCターゲット・システムに切り替える場合、およびその逆の場合、次のステップを実行します。
5.9 コネクタのアンインストール
SAP UMコネクタをアンインストールすると、そのリソース・オブジェクトに関連付けられているアカウント関連のデータがすべて削除されます。
なんらかの理由でコネクタをアンインストールする場合、コネクタのアンインストール・ユーティリティを実行します。このユーティリティを実行する前に、ConnectorUninstall.propertiesファイルでObjectType
およびObjectValues
プロパティに必ず値を設定してください。たとえば、リソース・オブジェクト、スケジュール済タスクおよびコネクタに関連付けられたスケジュール済ジョブを削除する場合は、ObjectType
プロパティの値として"ResourceObject", "ScheduleTask", "ScheduleJob"を入力し、ObjectValues
プロパティの値としてコネクタに対応するオブジェクト値のセミコロン区切りのリストを入力します。
たとえば: SAP UM User; SAP UM Group
ノート:
ObjectType
プロパティとObjectValue
プロパティとともにConnectorName
プロパティとRelease
プロパティの値を設定すると、ObjectValue
プロパティでリストしたオブジェクトの削除はユーティリティによって実行されますが、コネクタ情報はスキップされます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタのアンインストールに関する項を参照してください。