5 UNIXコネクタの使用
要件に合せてアプリケーションを構成したら、UNIXコネクタを使用してリコンシリエーション操作とプロビジョニング操作を実行できます。
5.1 リコンシリエーションの構成
リコンシリエーションでは、ターゲット・システムでのユーザー・アカウントの作成および変更がOracle Identity Governanceで複製されます。
この項では、リコンシリエーションの構成に関する次の項目について詳しく説明します。
5.1.1 完全リコンシリエーションの実行
完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。アプリケーションを作成した後はまず、完全リコンシリエーションを実行する必要があります。
完全リコンシリエーションを実行するには、完全ユーザー・リコンシリエーション・ジョブのFilter属性に現在割り当てられている値をすべて削除します。このリコンシリエーション・ジョブの詳細は、「リコンシリエーション・ジョブ」を参照してください。
完全リコンシリエーションの実行時に、バッチ・パラメータとフィルタの両方を指定すると、コネクタはバッチ内のデータを処理します。その後で、処理されたデータにフィルタが適用されます。
5.1.2 制限付きリコンシリエーションの実行
リコンシリエーション・モジュールにフィルタを作成して制限付きリコンシリエーションを実行し、指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。
このコネクタのFilter属性(スケジュール済タスクの属性)により、任意のUNIXリソース属性を使用してターゲット・システム・レコードをフィルタ処理できます。
ICFフィルタの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタ構文に関する項を参照してください。
アプリケーションを作成する際は、「リコンシリエーション・ジョブの構成」の手順に従って属性値を指定します。
5.1.3 バッチ・リコンシリエーションの実行
バッチ・リコンシリエーションを実行して、特定の数のレコードをターゲット・システムからOracle Identity Governanceにリコンサイルできます。
リコンシリエーションの実行中に、ターゲット・システム・レコードのすべての変更内容がOracle Identity Governanceにリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。
これらの問題を避けるため、バッチ・リコンシリエーションを構成できます。
バッチ・リコンシリエーションを構成するには、次のユーザー・リコンシリエーションのスケジュール済タスクの属性に値を指定する必要があります。
-
Batch Size: この属性は、各バッチに含めるレコード数を指定するために使用します。
-
バッチ開始索引: この属性は、各バッチに含めるレコードの開始位置を指定するために使用します。
-
バッチ数: この属性は、リコンサイルするバッチの合計数を指定するために使用します。
デフォルトでは、すべての属性の値が0
で、すべてのレコードが含まれる(バッチ処理されたリコンシリエーションではない)ことを示します。次に、この例を示します。
合計で314レコードのうち200レコードのみが、例外またはエラーが発生するまでに処理されたとします。次のリコンシリエーションの実行中に、バッチ開始索引を200に指定して、200から314までのレコードを処理できます。
「リコンシリエーション・ジョブの構成」で説明する手順に従ってこれらの属性の値を指定します。
5.1.4 増分リコンシリエーションの実行
増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Governanceにフェッチされます。
「リコンシリエーション・ジョブ」で説明されているUNIXターゲット増分リソース・ユーザー・リコンシリエーション・ジョブまたはUNIXユーザーの信頼できる増分リコンシリエーション・ジョブを実行して、増分リコンシリエーションを実行できます。
次に、増分リコンシリエーションのスケジュール済タスクの動作を示します。
-
増分リコンシリエーションのスケジュール済タスクは、レコードのフィルタリングをサポートしません。
-
増分リコンシリエーションのスケジュール済タスクは、ターゲット・システムからアルファベット順にデータをフェッチします。
-
増分リコンシリエーションのスケジュール済タスクを最初に実行する場合、または同期トークン・パラメータの値を削除した後にタスクを実行する場合、次のディレクトリ(または構成参照定義で指定したディレクトリ)は空である必要があります。
connector_mirror_files
connector_mirror_files_trusted
-
増分リコンシリエーションのスケジュール済タスクの完了後、次のファイルがconnector_mirror_filesまたはconnector_mirror_files_trustedディレクトリ(または構成参照定義で指定したディレクトリ)に生成されます。ここで、SYNC_TOKENは同期トークン・パラメータの値を参照しています。
-
SYNC_TOKEN.passwdファイルには、
/etc/passwd
などの、/etcディレクトリ内のパスワード・ファイルの以前のコピーが含まれています。 -
SYNC_TOKEN.shadowファイルには、
/etc/shadow
などの、/etcディレクトリ内のshadowファイルの以前のコピーが含まれています。 -
SYNC_TOKEN.groupファイルには、
/etc/group
などの、/etcディレクトリ内のグループ・ファイルの以前のコピーが含まれています。 -
passwd_difference_incrファイルには、
/etc/passwd
とSYNC_TOKEN.passwd
ファイルの違いが含まれています。 -
shadow_difference_incrファイルには、
/etc/shadow
とSYNC_TOKEN.shadow
ファイルの違いが含まれています。 -
group_difference_incrファイルには、
/etc/group
とSYNC_TOKEN.group
ファイルの違いが含まれています。 -
recordファイルには、アルファベット順にソートされてOracle Identity Governanceに戻される実際のレコードが含まれています。
-
5.2 リコンシリエーション・ジョブの構成
ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Governanceにそのデータを複製するリコンシリエーションを実行する、リコンシリエーション・ジョブを構成します。
この手順は、ユーザーおよび権限のためのリコンシリエーション・ジョブを構成する場合に適用できます。
5.3 プロビジョニング操作の実行
「ユーザーの作成」ページを使用して、Identity Self Serviceに新規ユーザーを作成します。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。
Oracle Identity Governanceでプロビジョニング操作を実行するには、次のようにします。
- Identity Self Serviceにログインします。
- 次のようにユーザーを作成します。
- Identity Self Serviceで、「管理」をクリックします。「ホーム」タブには、異なる「管理」オプションが表示されます。「ユーザー」をクリックします。「ユーザーの管理」ページが表示されます。
- 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ユーザーの作成」ページが表示され、ユーザー・プロファイル属性の入力フィールドが表示されます。
- 「ユーザーの作成」ページに、ユーザーの詳細を入力します。
- 「アカウント」タブで、「アカウントのリクエスト」をクリックします
- 「カタログ」ページで、以前に構成したコネクタのアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。
- アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします
- 「送信」をクリックします。
関連項目:
「ユーザーの作成」ページ内のフィールドの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のユーザーの作成に関する項を参照してください5.4 コネクタのアンインストール
UNIXコネクタのアンインストールでは、そのリソース・オブジェクトに関連付けられているすべてのアカウント関連データを削除します。
なんらかの理由でコネクタをアンインストールする場合、コネクタのアンインストール・ユーティリティを実行します。このユーティリティを実行する前に、ConnectorUninstall.propertiesファイルでObjectType
およびObjectValues
プロパティに必ず値を設定してください。たとえば、リソース・オブジェクト、スケジュール済タスクおよびコネクタに関連付けられたスケジュール済ジョブを削除する場合は、ObjectType
プロパティの値として"ResourceObject", "ScheduleTask", "ScheduleJob"を入力し、ObjectValues
プロパティの値としてコネクタに対応するオブジェクト値のセミコロン区切りのリストを入力します。
例: UNIX User; UNIX Group
ノート:
ObjectType
プロパティとObjectValue
プロパティとともにConnectorName
プロパティとRelease
プロパティの値を設定すると、ObjectValue
プロパティでリストしたオブジェクトの削除はユーティリティによって実行されますが、コネクタ情報はスキップされます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタのアンインストールに関する項を参照してください。