1. UNIXアプリケーションの構成
  2. UNIXコネクタの構成

3 UNIXコネクタの構成

ターゲット・アプリケーションまたは認可アプリケーションの作成時に、Oracle Identity Governanceとターゲット・システムの接続およびコネクタ操作の実行のために、コネクタで使用される接続関連のパラメータを構成する必要があります。また、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システムの列の属性マッピング、事前定義済相関ルール、状況とレスポンスおよびリコンシリエーション・ジョブを表示して編集できます。

3.1 基本構成パラメータ

これらは、UNIXへの接続のために、Oracle Identity Governanceで必要となる接続関連パラメータです。これらのパラメータは、ターゲット・アプリケーションと認可アプリケーションの両方で共通です。

表3-1 UNIXの基本構成パラメータ

パラメータ 必須 説明

host

ターゲット・システム・コンピュータのホスト名またはIPアドレス

loginUser

コネクタ操作を実行する管理者のユーザーID

rootまたはjdoe

SUDO Adminモードの場合、jdoeはSUDOユーザーのIDにすることができます。あるいは、Solarisでは、コネクタ操作の実行に必要な最小限の権限が割り当てられたアカウントのユーザーIDにすることもできます。詳細は、「コネクタ操作用のターゲット・システムSUDOユーザー・アカウントの作成」を参照してください。

loginUserpassword

管理者のパスワード。

loginShellPrompt

×

loginUserアカウントを使用してターゲット・システムにログインする場合に発生するシェル・プロンプト

デフォルト値: [#$]

ノート: この値は正規表現です。デフォルトでは、コネクタはターゲット・システム上のシェル・プロンプトが#または$の場合に機能します。

しかし、シェル・プロンプトが別の>などである場合、このパラメータの値を実際のプロンプトに変更する必要があります。

loginShellPromptを確認するには、ターゲット・システムで次のステップを実行します。

  1. loginUserおよびloginUserPasswordパラメータで指定したユーザーとパスワードを使用してターゲット・システムにログインします。

    ログイン・プロンプトに注意します。たとえば、#です。

  2. shコマンドを実行します。

    シェル・プロンプトが前のプロンプトと異なる場合には注意します。たとえば、$です。

  3. sudo -kコマンドを実行します。

    シェル・プロンプトが前のプロンプトと異なる場合には注意します。たとえば、$です。

  4. sudo -vコマンドを実行します。

    loginUserがSUDOユーザーの場合はパスワードを要求されます。パスワードを入力して続行します。シェル・プロンプトが前のプロンプトと異なる場合には注意します。たとえば、$です。

  5. sudo -sコマンドを実行します。

    シェル・プロンプトが前のプロンプトと異なる場合には注意します。たとえば、$です。

例に示した値の場合、loginShellPromptパラメータ値は[#$]である必要があります。さらに、これまでのステップで表示されたシェル・プロンプトがhome/jdoe>と類似している場合、プロンプトは>です(文字列全体のhome/jdoe>ではありません)。

port

×

サーバーでSSHまたはTelnetサービスが実行されているポート

SSHの場合のデフォルト値: 22

Telnetの場合のデフォルト値: 23

Connector Server Name

×

Connector ServerタイプのITリソースの名前。

デフォルトでは、このフィールドは空白です。

コネクタ・サーバーを使用する場合、アプリケーションの作成時にデフォルト値がUNIX Connector ServerであるデフォルトのITリソースが作成されます

connectionType

×

コネクタがターゲット・システムへの接続に使用するプロトコル

このコネクタでは次の接続タイプがサポートされます。

  • SSH - パスワードベースの認証を使用するSSHで使用されます。

  • SSH - キーベースの認証を使用するSSHで使用されます。

  • TELNET - Telnet接続で使用されます。

デフォルト値: SSH

connectorPrompt

×

コネクタがターゲット・システムでの操作のために設定するシェル・プロンプト

デフォルト値: #@#

ノート: この値がユーザーのログイン名、コメント・フィールド、ディレクトリ名などで使用されていると、コネクタ操作が影響を受ける場合があります。

そのような場合、コネクタ・プロンプトの値を、名前に使用されていない値に変更することができます。

passphrase

×

キーベースの認証で使用されるキー・ファイルのパスフレーズ

ノート: キーベースの認証を使用する場合、パスフレーズを指定する必要があります。

propertyFileName

×

ターゲット・システムのScriptProperties.propertiesファイルの相対パス

デフォルトのスクリプトを使用する場合は、このフィールドを空白にしておくことができます。しかし、OOTBスクリプトではなくカスタム・スクリプトを使用する場合、このフィールドに値を指定する必要があります。

コネクタはターゲット・システムでuname -aコマンドを実行して、プロパティ・ファイルのパスを特定しようとします。コネクタが適切な値を特定できない場合(例外が発生した場合)、次のエラー・メッセージが表示されます。

UNIXタイプを特定できません。「ITリソース」にプロパティ・ファイル名を入力してください

エラー・メッセージの場合、ターゲット・システムおよびユーザー・アカウントに応じて、次の値のいずれか(またはカスタム・スクリプトを使用する場合は異なるパス)を入力します。

  • scripts/solaris/sudo/ScriptProperties.properties

  • scripts/solaris/nonsudo/ScriptProperties.properties

  • scripts/linux/sudo/ScriptProperties.properties

  • scripts/linux/nonsudo/ScriptProperties.properties

  • scripts/aix/sudo/ScriptProperties.properties

  • scripts/aix/nonsudo/ScriptProperties.properties

  • scripts/hpux/sudo/ScriptProperties.properties

  • scripts/hpux/nonsudo/ScriptProperties.properties

rbacAuthorization

×

loginUserパラメータに指定されたユーザーがRBACユーザーかどうかを示します。

デフォルト値: false

詳細は、「Solarisでのコネクタ操作用のRBACユーザー・アカウントの作成」を参照してください。

rbacRoleName

×

rbacAuthorizationパラメータをtrueに指定した場合は、RBACユーザーに割り当てるロールの名前を入力します。そうでない場合は、このパラメータに値を指定しないでください。

rbacRolePassword

×

rbacAuthorizationパラメータをtrueに指定した場合は、RBACユーザーに割り当てるロールのパスワードを入力します。そうでない場合は、このパラメータに値を指定しないでください。

sudoAuthorization

×

loginUserパラメータに指定されたユーザーがSUDOユーザーかどうかを示します。

デフォルト値: false

3.2 拡張設定パラメータ

これらは、リコンシリエーション操作およびプロビジョニング操作の際にコネクタで使用される構成関連のエントリです。明記されていない場合、この表のパラメータはターゲット・アプリケーションと認可アプリケーションの両方に適用できます。

表3-2 UNIXの拡張設定パラメータ

パラメータ 必須 説明

Connector Name

このパラメータは、コネクタ・クラスの名前を保持します。

デフォルト値: org.identityconnectors.genericunix.GenericUnixConnector

defaultConnectorShelll

×

これはコネクタ操作に使用されるdefaultShellです。

RBACを使用中でない場合はこのエントリを変更しないでください

デフォルト値: sh

ノート: RBACを使用する場合は、デコード値をshからpfshに変更する必要があります。

Bundle Name

コネクタ・バンドル・パッケージの名前。

デフォルト値: org.identityconnectors.genericunix

このエントリは変更しないでください。

Bundle Version

コネクタ・バンドル・クラスのバージョン。

このエントリは変更しないでください。

デフォルト値: 12.3.0

targetDateFormat

×

MM/dd/yyとしてのターゲット・システムでの日付書式

ノート: ターゲット・システムでの正しいJava日付書式を入力する必要があります。正しくない書式は「有効期限」属性のプロビジョニングに影響を与える可能性があります。

日付書式の詳細は、http://docs.oracle.com/javase/6/docs/api/java/text/SimpleDateFormat.htmlおよびhttp://docs.oracle.com/javase/6/docs/api/java/text/DateFormat.htmlを参照してください。

whitelistRegex

×

フィールド値の一部として使用できる文字を指定します。

たとえば、次のようになります。

正規表現の[A-Za-z0-9_//]*では、すべての英数字、アンダースコア、スラッシュ文字が可能です。必要に応じてさらに文字を追加できます。

ノート: サポートされている正規表現の詳細は、http://www.zytrax.com/tech/web/regex.htmなどのガイドで参照できます

この正規表現は、任意の文字を含むことのできるGECOSフィールドには適用されません。

sudoPasswdExpectExpression

×

SUDOモードを入力したときに、ターゲット・システムに表示されるパスワード・プロンプトの正規表現です。

ターゲット・システムが異なるプロンプトを表示する場合は、このパスワード・プロンプトを変更する必要があります。

デフォルト値: password:

ノート: サードパーティのライブラリであるExpect4jは、これらの予期される式と、UNIXターゲット・システムのコンソール出力の実際のコンテンツとを照合します。

そのため、これらのフィールドに正しい値が含まれていることを確認する必要があります。正しくない値はコネクタ操作に影響を与える可能性があります。

rbacRoleExpectExpressions

×

2つのカンマ区切りプロンプトの正規表現

デフォルト値: password:,[$#]

最初のプロンプト(password:)は、RBACロールに対しSUDOモードを入力したときに、Solarisターゲット・システムに表示されるパスワード・プロンプトです。ターゲット・システムが異なるプロンプトを表示する場合は、このパスワード・プロンプトを変更する必要があります。

2番目のプロンプト([$#])は、SUDOモードでの前のコマンドの実行後に表示されるシェル・プロンプトです。ターゲット・システムが異なるプロンプトを表示する場合は、このシェル・プロンプトを変更する必要があります。

ノート: サードパーティのライブラリであるExpect4jは、これらの予期される式と、UNIXターゲット・システムのコンソール出力の実際のコンテンツとを照合します。

そのため、これらのフィールドに正しい値が含まれていることを確認する必要があります。正しくない値はコネクタ操作に影響を与える可能性があります。

commandTimeout

×

コネクタがターゲット・システムからのレスポンスを待機するミリ秒単位の時間。この時間が経過すると、コネクタによってタイムアウト例外がスローされます。

デフォルト値: 10000000

コネクタ操作に対し「コマンドのタイムアウト」例外が発生する場合、この値を増やすことができます。

configPropertiesOnScripts

×

スクリプトに送信されるプロパティをリストします。:

moveHomeDirContents,shadow,defaultHomeBaseDir,
defaultPriGroup,defaultShell,nisPwdDir,
nisBuildDirectory,removeHomeDirContents,forceDeleteUserHome,syncToken,
mirrorFilesLocation,connectorPrompt

たとえば、プロビジョニング中、ユーザーにデフォルトのシェルを設定する場合です。これを行うには:1. defaultShellプロパティがこのリストの一部であることを確認します。2.このプロパティのエントリを追加します。defaultShellの値を/bin/shに設定します。

ターゲット固有のスクリプトがdefaultShellプロパティをサポートする場合に、これが設定されます。リストされているすべての属性をすべてのスクリプトがサポートするわけではありません。スクリプト・コンテンツのサポートされる属性を手動でチェックする必要があります。

mirrorFilesLocation

×
コネクタが/etc/passwdおよびshadowファイルのコピーを格納するのに使用するディレクトリ:

  • ターゲット・アプリケーションの場合:

    /etc/connector_mirror_files

  • 認可アプリケーションの場合:

    /etc/connector_mirror_files_trusted

ノート: このディレクトリは、リコンシリエーションの実行前にターゲットに手動で作成する必要があります。異なるディレクトリを指定する場合、そのディレクトリがターゲット・システムに存在し、ログイン・ユーザーにそのディレクトリに対する読取りおよび書込みアクセス権限があることを確認します。

passwordExpectExpressions

×

パスワードがユーザーに設定されるときに、ターゲット・システムに表示される2つのカンマ区切りパスワード・プロンプトの正規表現: new[\s](unix[\s])?password:,new[\s](unix[\s])?password([\s]again)?:

ノート: サードパーティのライブラリであるExpect4jは、これらの予期される式と、UNIXターゲット・システムのコンソール出力の実際のコンテンツとを照合します。

そのため、これらのフィールドに正しい値が含まれていることを確認する必要があります。正しくない値はコネクタ操作に影響を与える可能性があります。

正規表現がターゲット・システムで動作しない場合、このエントリで正確なプロンプトを指定できます。

たとえば、ユーザーにパスワードを設定し、次のプロンプトが表示される場合:

Enter Password for USER1:

Re-enter Password for USER1:

この場合、次のように値を設定できます。

enter password,re-enter password

supportedLanguage

×

ターゲット・システムでサポートされているシェル・スクリプト言語

デフォルト値: Bourne

telnetAuthenticationPrompts

ノート: このエントリは、Connection TypeパラメータがTELNETに設定されている場合の、Telnet接続に適用可能です。

×

Telnet接続を使用した、ターゲット・システムでのログインおよびパスワード・プロンプトです。

デフォルト値: login:,Password:

ノート: サードパーティのライブラリであるExpect4jは、これらの予期される式と、UNIXターゲット・システムのコンソール出力の実際のコンテンツとを照合します。

そのため、これらのフィールドに正しい値が含まれていることを確認する必要があります。正しくない値はコネクタ操作に影響を与える可能性があります。

moveHomeDirContents

×

ホーム・ディレクトリを変更する際に、前のホーム・ディレクトリのコンテンツを新しいディレクトリの場所に移動する必要があるかどうかを指定します。

デフォルト値: true

privateKey

×

id_rsaファイルへのパス

サンプル値:

file:///scratch/files/jars/unix/id_rsa_linux

Pool Max Idle

×

プール内のアイドル状態のオブジェクトの最大数。

サンプル値: 10

Pool Max Size

×

プールで作成できる接続の最大数。

サンプル値: 10

Pool Max Wait

×

プールが空きオブジェクトを操作に使用できるようになるまで待機する必要のある最大時間(ミリ秒)。

サンプル値: 150000

プールの最小削除アイドル時間

×

コネクタがアイドル状態のオブジェクトを削除するまで待機する必要のある最小時間(ミリ秒)。

サンプル値: 120000

Pool Min Idle

×

プール内のアイドル状態のオブジェクトの最小数。

サンプル値: 1

3.3 属性マッピング

「スキーマ」ページの属性マッピングは、ターゲット・アプリケーションを作成しているか、認可アプリケーションを作成しているかに応じて異なります。

3.3.1 ターゲット・アプリケーションの属性マッピング

ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システムの列をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。リコンシリエーション操作およびプロビジョニング操作の際に、コネクタでこれらのマッピングが使用されます。

UNIXユーザー・アカウントの属性

この表では、プロセス・フォーム・フィールドとUNIX列の属性マッピングを示します。この表では、プロビジョニングまたはリコンシリエーションの際に特定の属性が使用されるかどうかと、それがリコンシリエーション中にレコードをフェッチするための一致のキー・フィールドかどうかも示します。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除して、デフォルトの属性マッピングを編集できます。

ノート:

デフォルトの属性マッピングを編集するたびに、ターゲット・システムに関連するスクリプトの属性に対して、対応する更新を行う必要があります。プロビジョニング用に属性を追加または更新する場合は、「スキーマ属性を編集した後のプロビジョニング用スクリプトの更新」の説明に従ってプロビジョニング・スクリプトを更新します。リコンシリエーション用に属性を追加または更新する場合は、「スキーマ属性を編集した後のリコンシリエーション用スクリプトの更新」の説明に従ってリコンシリエーション・スクリプトを更新します。

表3-3 UNIXユーザー・アカウントのデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ プロビジョニング・フィールド リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない
ユーザー・ログイン __NAME__ 文字列 適用なし
gecos COMMENTS##COMMENTS## 文字列 × × 適用なし
ホーム・ディレクトリの作成 CREATE_HOME_DIR 文字列 × × 適用なし
ホーム・ディレクトリ HOME_DIR 文字列 × × 適用なし
有効期限 EXP_DATE##DATE## 日付 × × 適用なし
非アクティブ日 INACTIVE 整数 × × 適用なし
プライマリ・グループ PGROUP 文字列 × × 適用なし
UID USID 整数 × × 適用なし
ユーザー・シェル USER_SHELL 文字列 × × 適用なし
戻り値 __UID__ 文字列 × × 適用なし
ステータス __ENABLE__ 文字列 × × × 適用なし
パスワード __PASSWORD__ 文字列 × × × 適用なし
スケルトン・ディレクトリ SKEL_DIR 文字列 × × × 適用なし

図3-1に、デフォルトのユーザー・アカウントの属性マッピングを示します。

図3-1 UNIXユーザー・アカウントのデフォルトの属性マッピング

図3-1の説明が続きます
「図3-1 UNIXユーザー・アカウントのデフォルトの属性マッピング」の説明

セカンダリ・グループの権限の属性

これは、プロセス・フォーム・フィールドとターゲット・システムのセカンダリ・グループ・リスト関連の列のデフォルトの属性マッピングです。この表では、指定した属性がプロビジョニング中に必須かどうかを示します。また、指定した属性がリコンシリエーション中に使用されるかどうかと、それがリコンシリエーション中にレコードをフェッチするための一致のキー・フィールドかどうかも示します。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除して、デフォルトの属性マッピングを編集できます。

表3-4 セカンダリ・グループの権限のデフォルトの属性マッピング

表示名 アプリケーション属性 データ型 必須プロビジョニング・プロパティ リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない
セカンダリ・グループ SECONDARYGROUP 文字列 × ×
図3-2に、デフォルトのセカンダリ・グループの権限のマッピングを示します。

図3-2 セカンダリ・グループの権限のデフォルトの属性マッピング

図3-2の説明が続きます
「図3-2 セカンダリ・グループの権限のデフォルトの属性マッピング」の説明

3.3.2 認可アプリケーションの属性マッピング

認可アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システムの列をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。リコンシリエーション操作およびプロビジョニング操作の際に、コネクタでこれらのマッピングが使用されます。

汎用UNIX信頼できるユーザー・アカウントの属性

表3-5に、Oracle Identity Governanceのリコンシリエーション・フィールドとUNIX属性の属性マッピングを示します。この表では、指定した属性のデータ型と、リコンシリエーションの必須属性かどうかも示します。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』認可アプリケーションの作成に関する項の説明に従って、「スキーマ」ページで新しい属性を追加したり既存の属性を削除して、デフォルトの属性マッピングを編集できます。

自動設定されたデフォルト・スキーマを使用するか、またはデフォルト・スキーマを更新および変更して、次のステップに進みます。

ノート:

デフォルトの属性マッピングを編集するたびに、ターゲット・システムに関連するスクリプトの属性に対して、対応する更新を行う必要があります。リコンシリエーション用に属性を追加または更新する場合は、「スキーマ属性を編集した後のリコンシリエーション用スクリプトの更新」の説明に従ってリコンシリエーション・スクリプトを更新します。

「組織名」、「ロール」および「Xellerateタイプ」のアイデンティティ属性はOIGユーザー・フォームの必須フィールドです。リコンシリエーションの際に空白にしておくことはできません。これらのアイデンティティ属性のターゲット属性マッピングは、対応する列がターゲット・システムに存在しないため、デフォルトで空になります。したがって、リコンシリエーションの際に使用できるデフォルト値(表3-5の「アイデンティティ表示名のデフォルト値」に表示)が指定されます。たとえば、「組織名」のターゲット属性のデフォルト値はXellerate Usersです。このことは、すべてのターゲット・システムのユーザー・アカウントがOracle Identity GovernanceのXellerate Usersという組織にリコンサイルされることを示しています。同様に、「Xellerateタイプ」属性のデフォルトの属性値はEnd-Userで、すべてのリコンサイルされたユーザー・レコードがエンド・ユーザーとしてマークされることを示しています。

表3-5 汎用UNIX信頼できるユーザー・アカウントのデフォルトの属性マッピング

アイデンティティ表示名 ターゲット属性 データ型 必須リコンシリエーション・プロパティ リコンシリエーション・フィールド アイデンティティ表示名のデフォルト値

__NAME__

文字列

×

なし

組織名

なし

文字列

×

Xellerate Users

ロール

なし

文字列

×

Full-Time

ステータス

__ENABLE__

文字列

×

なし

ユーザー・ログイン

__UID__

文字列

×

なし

Xellerateタイプ

なし

文字列

×

End-User

図3-3に、デフォルトのユーザー・アカウントの属性マッピングを示します。

図3-3 汎用UNIX信頼できるユーザー・アカウントのデフォルトの属性マッピング

図3-3の説明が続きます
「図3-3 汎用UNIX信頼できるユーザー・アカウントのデフォルトの属性マッピング」の説明

3.4 ルール、状況およびレスポンス

ターゲット・アプリケーションおよび認可アプリケーションの事前定義済ルール、レスポンスおよび状況について学習します。コネクタによってこれらのルールとレスポンスが使用されて、リコンシリエーションが実行されます。

3.4.1 ターゲット・アプリケーションのルール、状況およびレスポンス

ターゲット・アプリケーションの事前定義済ルール、レスポンスおよび状況について学習します。コネクタによってこれらのルールとレスポンスが使用されて、リコンシリエーションが実行されます。

事前定義済アイデンティティ相関ルール

デフォルトでは、UNIXコネクタには、ターゲット・アプリケーション作成時の単純相関ルールが用意されています。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。

表3-6に、UNIXコネクタのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集することも、新しいルールを追加することもできます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』アイデンティティ相関ルールの更新に関する項を参照してください。

表3-6 UNIXターゲット・アプリケーションの事前定義済アイデンティティ相関ルール

ターゲット属性 要素演算子 アイデンティティ属性 大/小文字の区別
__NAME__ 次と等しい ユーザー・ログイン ×
このアイデンティティ・ルールは次のとおりです。

  • __NAME__は、ユーザー・アカウントを識別するターゲット・システムの単一値属性です。

  • 「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。

図3-4に、UNIXコネクタの単純相関ルールを示します。

図3-4 UNIXターゲット・アプリケーションの単純相関ルール

図3-4の説明が続きます
「図3-4 UNIXターゲット・アプリケーションの単純相関ルール」の説明

事前定義済の状況とレスポンス

UNIXコネクタには、ターゲット・アプリケーション作成時の状況とレスポンスのデフォルト・セットが用意されています。これらの状況とレスポンスによって、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションが指定されます。

表3-7に、UNIXコネクタのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集することも、新しい状況とレスポンスを追加することもできます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項を参照してください

表3-7 UNIXターゲット・アプリケーションの事前定義済の状況とレスポンス

状況 レスポンス

一致が見つからなかった場合

なし

1つのエンティティ一致が見つかった場合

リンクの確立

1つのプロセス一致が見つかった場合

リンクの確立

図3-5に、コネクタにデフォルトで用意されている状況とレスポンスを示します。

図3-5 UNIXターゲット・アプリケーションの事前定義済の状況とレスポンス

図3-5の説明が続きます
「図3-5 UNIXターゲット・アプリケーションの事前定義済の状況とレスポンス」の説明

3.4.2 認可アプリケーションのルール、状況およびレスポンス

認可アプリケーションの事前定義済ルール、レスポンスおよび状況について学習します。コネクタによってこれらのルールとレスポンスが使用されて、リコンシリエーションが実行されます。

事前定義済アイデンティティ相関ルール

認可アプリケーションを作成するときに、Oracle Identity Governanceにリコンサイルされる必要があるアイデンティティを決定する相関ルールが使用されます。

デフォルトでは、UNIXコネクタには、認可アプリケーション作成時の単純相関ルールが用意されています。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。

表3-8に、UNIXコネクタのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集することも、新しいルールを追加することもできます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』アイデンティティ相関ルールの更新に関する項を参照してください。

表3-8 UNIX認可アプリケーションの事前定義済アイデンティティ相関ルール

ターゲット属性 要素演算子 アイデンティティ属性 大/小文字の区別
__UID__ 次と等しい ユーザー・ログイン ×
このアイデンティティ・ルールは次のとおりです。

  • __UID__は、ユーザー・アカウントを一意に識別するターゲット・システムの属性です。

  • 「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。

図3-6に、UNIXコネクタの単純相関ルールを示します。

図3-6 UNIX認可アプリケーションの単純相関ルール

図3-6の説明が続きます
「図3-6 UNIX認可アプリケーションの単純相関ルール」の説明

事前定義済の状況とレスポンス

UNIXコネクタには、認可アプリケーション作成時の状況とレスポンスのデフォルト・セットが用意されています。これらの状況とレスポンスによって、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションが指定されます。

表3-9に、UNIXコネクタのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集することも、新しい状況とレスポンスを追加することもできます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』認可アプリケーションの作成に関する項を参照してください。

表3-9 UNIX認可アプリケーションの事前定義済の状況とレスポンス

状況 レスポンス

一致が見つからなかった場合

ユーザーの作成

1つのエンティティ一致が見つかった場合

リンクの確立

1つのプロセス一致が見つかった場合

リンクの確立

図3-7に、コネクタにデフォルトで用意されている状況とレスポンスを示します。

図3-7 UNIX認可アプリケーションの事前定義済の状況とレスポンス

図3-7の説明が続きます
「図3-7 UNIX認可アプリケーションの事前定義済の状況とレスポンス」の説明

3.5 リコンシリエーション・ジョブ

ターゲット・システムにターゲット・アプリケーションまたは認可アプリケーションを作成した後でOracle Identity Governanceに自動的に作成されるリコンシリエーション・ジョブについて学習します。

3.5.1 ターゲット・アプリケーションのリコンシリエーション・ジョブ

これらは、ターゲット・システムにターゲット・アプリケーションを作成した後で、Oracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブです。

完全ユーザー・リコンシリエーション・ジョブ

これらの事前定義済ジョブを使用することも、要件に合せて編集することもできます。また、カスタムのリコンシリエーション・ジョブを作成することもできます。これらの事前定義済ジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』リコンシリエーション・ジョブの更新に関する項を参照してください。

UNIXターゲット・リソース完全ユーザー・リコンシリエーション・ジョブは、ターゲット・システムからすべてのユーザー・レコードをフェッチするために使用されます。

表3-10 UNIXターゲット・リソース完全ユーザー・リコンシリエーション・ジョブのパラメータ

パラメータ

アプリケーション名

ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。

この値は修正しないでください。

バッチ・サイズ

各バッチに含めるレコード数を指定します。

デフォルト値: 0

詳細は、「バッチ・リコンシリエーションの実行」を参照してください。

バッチ開始索引

各バッチに含めるレコードの開始位置を指定します。

デフォルト値: 0

フィルタ

スケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式を入力します。

サンプル値: equalTo('__UID__','SEPT12USER1')

作成して使用できるフィルタ式の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』ICFフィルタ構文に関する項を参照してください。

バッチ数

リコンサイルするバッチの総数を指定します。

デフォルト値: 0

オブジェクト・タイプ

リコンサイルするオブジェクトのタイプ。

デフォルト値: User

増分ユーザー・リコンシリエーション・ジョブ

UNIXターゲット増分リソース・ユーザー・リコンシリエーション・ジョブは、前回のリコンシリエーションの実行後に追加または変更されたレコードをフェッチするために使用されます。

表3-11 UNIXターゲット増分リソース・ユーザー・リコンシリエーション・ジョブのパラメータ

パラメータ

アプリケーション名

ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。

この値は修正しないでください。

バッチ・サイズ

各バッチに含めるレコード数を指定します。

デフォルト値: 0

詳細は、「バッチ・リコンシリエーションの実行」を参照してください。

バッチ開始索引

各バッチに含めるレコードの開始位置を指定します。

デフォルト値: 0

バッチ数

リコンサイルするバッチの総数を指定します。

デフォルト値: 0

オブジェクト・タイプ

リコンサイルするオブジェクトのタイプ

デフォルト値: User

スケジュール済タスク名

スケジュール済タスクの名前

ノート: このコネクタと同梱されているスケジュール済タスクの場合、この属性の値を変更しないでください。ただし、タスクのコピーを作成した場合は、そのスケジュール済タスクの一意の名前をこの属性の値として入力できます。

同期トークン

前回のリコンシリエーション実行が開始したときのタイムスタンプ

ノート: この属性に値を入力しないでください。リコンシリエーション・エンジンにより、この属性の値は自動的に入力されます。

この属性が空白の値に設定されると、増分リコンシリエーション操作はすべてのレコードをフェッチします(完全リコンシリエーションが実行されます)。

権限のリコンシリエーション・ジョブ

権限をリコンサイルするために次のジョブを使用できます。

  • UNIXユーザーのプライマリ・グループ参照リコンシリエーション

  • UNIXユーザーのシェル参照リコンシリエーション

すべてのリコンシリエーション・ジョブのパラメータは同じです。

表3-12 権限のリコンシリエーション・ジョブのパラメータ

パラメータ 説明

アプリケーション名

ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。

この値は修正しないでください。

コード・キー属性

参照定義のコード・キー列を移入するのに使用する、コネクタの名前またはターゲット・システム属性を入力します(「参照名」属性の値として指定)。

デフォルト値: __NAME__

ノート: この属性の値は変更しないでください。

デコード属性

参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用される、コネクタまたはターゲット・システムの属性の名前を入力します。

デフォルト値: __NAME__

参照名

このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。

デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。

  • UNIXユーザーのプライマリ・グループ参照リコンシリエーションの場合: Lookup.UNIX.PrimaryGroup

  • UNIXユーザーのシェル参照リコンシリエーションの場合: Lookup.UNIX.UserShell

オブジェクト・タイプ

同期させる必要のある値を含むオブジェクトのタイプを入力します。

デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。

  • UNIXユーザーのプライマリ・グループ参照リコンシリエーションの場合: Group

  • UNIXユーザーのシェル参照リコンシリエーションの場合: __SHELLS__

ノート: この属性の値は変更しないでください。

3.5.2 認可アプリケーションのリコンシリエーション・ジョブ

これらは、ターゲット・システムに認可アプリケーションを作成した後で、Oracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブです。

完全ユーザー・リコンシリエーション・ジョブ

これらの事前定義済ジョブを使用することも、要件に合せて編集することもできます。また、カスタムのリコンシリエーション・ジョブを作成することもできます。これらの事前定義済ジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』リコンシリエーション・ジョブの更新に関する項を参照してください。

UNIXユーザーの信頼できるリコンシリエーション・ジョブは、ターゲット・システムからすべてのユーザー・レコードをフェッチするために使用されます。

表3-13 UNIXユーザーの信頼できるリコンシリエーション・ジョブのパラメータ

パラメータ

アプリケーション名

ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。

この値は修正しないでください。

バッチ・サイズ

各バッチに含めるレコード数を指定します。

デフォルト値: 0

詳細は、「バッチ・リコンシリエーションの実行」を参照してください。

バッチ開始索引

各バッチに含めるレコードの開始位置を指定します。

デフォルト値: 0

フィルタ

スケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式を入力します。

サンプル値: equalTo('__UID__','SEPT12USER1')

作成して使用できるフィルタ式の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』ICFフィルタ構文に関する項を参照してください。

バッチ数

リコンサイルするバッチの総数を指定します。

デフォルト値: 0

オブジェクト・タイプ

リコンサイルするオブジェクトのタイプ。

デフォルト値: User

増分ユーザー・リコンシリエーション・ジョブ

UNIXユーザーの信頼できる増分リコンシリエーション・ジョブは、前回のリコンシリエーションの実行後に追加または変更されたレコードをフェッチするために使用されます。

表3-14 UNIXユーザーの信頼できる増分リコンシリエーション・ジョブのパラメータ

パラメータ

アプリケーション名

ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。

この値は修正しないでください。

バッチ・サイズ

各バッチに含めるレコード数を指定します。

デフォルト値: 0

詳細は、「バッチ・リコンシリエーションの実行」を参照してください。

バッチ開始索引

各バッチに含めるレコードの開始位置を指定します。

デフォルト値: 0

バッチ数

リコンサイルするバッチの総数を指定します。

デフォルト値: 0

オブジェクト・タイプ

リコンサイルするオブジェクトのタイプ

デフォルト値: User

スケジュール済タスク名

スケジュール済タスクの名前

ノート: このコネクタと同梱されているスケジュール済タスクの場合、この属性の値を変更しないでください。ただし、タスクのコピーを作成した場合は、そのスケジュール済タスクの一意の名前をこの属性の値として入力できます。

同期トークン

前回のリコンシリエーション実行が開始したときのタイムスタンプ

ノート: この属性に値を入力しないでください。リコンシリエーション・エンジンにより、この属性の値は自動的に入力されます。

この属性が空白の値に設定されると、増分リコンシリエーション操作はすべてのレコードをフェッチします(完全リコンシリエーションが実行されます)。