5 UNIXコネクタの使用

要件に合せてアプリケーションを構成したら、UNIXコネクタを使用してリコンシリエーション操作とプロビジョニング操作を実行できます。

• リコンシリエーションの構成

• リコンシリエーション・ジョブの構成

• プロビジョニング操作の実行

• コネクタのアンインストール

5.1 リコンシリエーションの構成

リコンシリエーションでは、ターゲット・システムでのユーザー・アカウントの作成および変更がOracle Identity Governanceで複製されます。

この項では、リコンシリエーションの構成に関する次の項目について詳しく説明します。

• 完全リコンシリエーションの実行

• 制限付きリコンシリエーションの実行

• バッチ・リコンシリエーションの実行

• 増分リコンシリエーションの実行

5.1.1 完全リコンシリエーションの実行

完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。アプリケーションを作成した後はまず、完全リコンシリエーションを実行する必要があります。

完全リコンシリエーションを実行するには、完全ユーザー・リコンシリエーション・ジョブのFilter属性に現在割り当てられている値をすべて削除します。このリコンシリエーション・ジョブの詳細は、「リコンシリエーション・ジョブ」を参照してください。

完全リコンシリエーションの実行時に、バッチ・パラメータとフィルタの両方を指定すると、コネクタはバッチ内のデータを処理します。その後で、処理されたデータにフィルタが適用されます。

5.1.2 制限付きリコンシリエーションの実行

リコンシリエーション・モジュールにフィルタを作成して制限付きリコンシリエーションを実行し、指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。

デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。

このコネクタのFilter属性(スケジュール済タスクの属性)により、任意のUNIXリソース属性を使用してターゲット・システム・レコードをフィルタ処理できます。

ICFフィルタの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタ構文に関する項を参照してください。

アプリケーションを作成する際は、「リコンシリエーション・ジョブの構成」の手順に従って属性値を指定します。

5.1.3 バッチ・リコンシリエーションの実行

バッチ・リコンシリエーションを実行して、特定の数のレコードをターゲット・システムからOracle Identity Governanceにリコンサイルできます。

リコンシリエーションの実行中に、ターゲット・システム・レコードのすべての変更内容がOracle Identity Governanceにリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。

これらの問題を避けるため、バッチ・リコンシリエーションを構成できます。

バッチ・リコンシリエーションを構成するには、次のユーザー・リコンシリエーションのスケジュール済タスクの属性に値を指定する必要があります。

• Batch Size: この属性は、各バッチに含めるレコード数を指定するために使用します。

• バッチ開始索引: この属性は、各バッチに含めるレコードの開始位置を指定するために使用します。

• バッチ数: この属性は、リコンサイルするバッチの合計数を指定するために使用します。

デフォルトでは、すべての属性の値が0で、すべてのレコードが含まれる(バッチ処理されたリコンシリエーションではない)ことを示します。次に、この例を示します。

合計で314レコードのうち200レコードのみが、例外またはエラーが発生するまでに処理されたとします。次のリコンシリエーションの実行中に、バッチ開始索引を200に指定して、200から314までのレコードを処理できます。

「リコンシリエーション・ジョブの構成」で説明する手順に従ってこれらの属性の値を指定します。

5.1.4 増分リコンシリエーションの実行

増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Governanceにフェッチされます。

「リコンシリエーション・ジョブ」で説明されているUNIXターゲット増分リソース・ユーザー・リコンシリエーション・ジョブまたはUNIXユーザーの信頼できる増分リコンシリエーション・ジョブを実行して、増分リコンシリエーションを実行できます。

次に、増分リコンシリエーションのスケジュール済タスクの動作を示します。

• 増分リコンシリエーションのスケジュール済タスクは、レコードのフィルタリングをサポートしません。

• 増分リコンシリエーションのスケジュール済タスクは、ターゲット・システムからアルファベット順にデータをフェッチします。

• 増分リコンシリエーションのスケジュール済タスクを最初に実行する場合、または同期トークン・パラメータの値を削除した後にタスクを実行する場合、次のディレクトリ(または構成参照定義で指定したディレクトリ)は空である必要があります。

  connector_mirror_files

  connector_mirror_files_trusted

• 増分リコンシリエーションのスケジュール済タスクの完了後、次のファイルがconnector_mirror_filesまたはconnector_mirror_files_trustedディレクトリ(または構成参照定義で指定したディレクトリ)に生成されます。ここで、SYNC_TOKENは同期トークン・パラメータの値を参照しています。

  • SYNC_TOKEN.passwdファイルには、/etc/passwdなどの、/etcディレクトリ内のパスワード・ファイルの以前のコピーが含まれています。

  • SYNC_TOKEN.shadowファイルには、/etc/shadowなどの、/etcディレクトリ内のshadowファイルの以前のコピーが含まれています。

  • SYNC_TOKEN.groupファイルには、/etc/groupなどの、/etcディレクトリ内のグループ・ファイルの以前のコピーが含まれています。

  • passwd_difference_incrファイルには、/etc/passwdとSYNC_TOKEN.passwdファイルの違いが含まれています。

  • shadow_difference_incrファイルには、/etc/shadowとSYNC_TOKEN.shadowファイルの違いが含まれています。

  • group_difference_incrファイルには、/etc/groupとSYNC_TOKEN.groupファイルの違いが含まれています。

  • recordファイルには、アルファベット順にソートされてOracle Identity Governanceに戻される実際のレコードが含まれています。

5.2 リコンシリエーション・ジョブの構成

ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Governanceにそのデータを複製するリコンシリエーションを実行する、リコンシリエーション・ジョブを構成します。

この手順は、ユーザーおよび権限のためのリコンシリエーション・ジョブを構成する場合に適用できます。

リコンシリエーション・ジョブを構成するには、次のようにします。

1. アイデンティティ・システム管理にログインします。
2. 左ペインの「システム管理」で、「スケジューラ」をクリックします
3. 次のようにして、スケジュール済ジョブを検索して開きます。
   1. 「検索」フィールドに、検索基準としてスケジュール済ジョブの名前を入力します。「拡張検索」をクリックして検索基準を指定することもできます。
   2. 左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
4. 「ジョブの詳細」タブで、スケジュール済タスクのパラメータを変更できます。
   • 再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
   • スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。『Oracle Fusion Middleware Oracle Identity Governanceの管理』のジョブの作成に関する項を参照してください。

   ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。

5. 「ジョブの詳細」タブの「パラメータ」領域で、スケジュール済タスクの属性の値を指定します。

   ノート:

   すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。

6. 「適用」をクリックして変更を保存します。

   ノート:

   アイデンティティ・システム管理の「スケジューラのステータス」ページを使用して、スケジューラを開始、停止または再初期化できます。

5.3 プロビジョニング操作の実行

「ユーザーの作成」ページを使用して、Identity Self Serviceに新規ユーザーを作成します。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。

Oracle Identity Governanceでプロビジョニング操作を実行するには、次のようにします。

1. Identity Self Serviceにログインします。
2. 次のようにユーザーを作成します。
   1. Identity Self Serviceで、「管理」をクリックします。「ホーム」タブには、異なる「管理」オプションが表示されます。「ユーザー」をクリックします。「ユーザーの管理」ページが表示されます。
   2. 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ユーザーの作成」ページが表示され、ユーザー・プロファイル属性の入力フィールドが表示されます。
   3. 「ユーザーの作成」ページに、ユーザーの詳細を入力します。
3. 「アカウント」タブで、「アカウントのリクエスト」をクリックします
4. 「カタログ」ページで、以前に構成したコネクタのアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。
5. アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします
6. 「送信」をクリックします。

関連項目:

「ユーザーの作成」ページ内のフィールドの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のユーザーの作成に関する項を参照してください

5.4 コネクタのアンインストール

UNIXコネクタのアンインストールでは、そのリソース・オブジェクトに関連付けられているすべてのアカウント関連データを削除します。

なんらかの理由でコネクタをアンインストールする場合、コネクタのアンインストール・ユーティリティを実行します。このユーティリティを実行する前に、ConnectorUninstall.propertiesファイルでObjectTypeおよびObjectValuesプロパティに必ず値を設定してください。たとえば、リソース・オブジェクト、スケジュール済タスクおよびコネクタに関連付けられたスケジュール済ジョブを削除する場合は、ObjectTypeプロパティの値として"ResourceObject", "ScheduleTask", "ScheduleJob"を入力し、ObjectValuesプロパティの値としてコネクタに対応するオブジェクト値のセミコロン区切りのリストを入力します。

例: UNIX User; UNIX Group

ノート:

ObjectTypeプロパティとObjectValueプロパティとともにConnectorNameプロパティとReleaseプロパティの値を設定すると、ObjectValueプロパティでリストしたオブジェクトの削除はユーティリティによって実行されますが、コネクタ情報はスキップされます。

詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタのアンインストールに関する項を参照してください。