1 Workdayコネクタについて
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
Workdayコネクタを使用すると、Workdayアプリケーションを作成してOracle Identity Governanceにオンボードできます。
ノート:
- このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。
- このガイドのプロビジョニングという用語は、就業者連絡先詳細の更新操作のみを指します。
Oracle Identity Governanceリリース12.2.1.3.0以降では、Oracle Identity Self Serviceのアプリケーション・オンボード機能を使用してコネクタのデプロイメントが処理されます。この機能により、ビジネス・ユーザーは最小限の詳細と作業でアプリケーションをオンボードできます。コネクタのインストール・パッケージには、指定したアプリケーションまたはターゲット・システムからデータをプロビジョニングおよびリコンサイルするために必要なすべての情報を含む事前定義済テンプレート(XMLファイル)のコレクションが含まれています。これらのテンプレートには、ターゲット・システムに固有の基本接続性と構成の詳細も含まれています。コネクタによってこれらの事前定義済テンプレートからの情報が使用されるため、ユーザーは単一の簡素化されたUIを使用して迅速かつ簡単にアプリケーションをオンボードできます。
アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。
Workdayコネクタを使用すると、ターゲット・アプリケーションと認可アプリケーションを作成してOracle Identity Governanceにオンボードできます。コネクタ・バンドルには、この目的のために、コネクタの2つの別個のバージョン(XMLファイル)が用意されています。
次のトピックでは、コネクタの概要を示します。
ノート:
このガイドでWorkdayコネクタは、認可アプリケーションとターゲット・アプリケーションの両方のコネクタを指します。
1.1 動作保証されているコンポーネント
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1 動作保証されているコンポーネント
コンポーネント | AOBアプリケーションの要件 |
---|---|
Oracle Identity Governance |
次のいずれかのリリースを使用できます。
|
ターゲット・システム |
Workday 2020 R1以降 |
コネクタ・サーバー |
11.1.2.1.0または12.2.1.3.0 |
コネクタ・サーバーJDK |
JDK 1.8以降 |
1.2 使用上の推奨事項
Oracle Identity Governance 12c (12.2.1.3.0)以降を使用している場合は、このコネクタの最新の12.2.1.xバージョンを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
1.3 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語(米国)
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.4 サポートされているコネクタ操作
ここでは、ターゲット・システムに対してコネクタでサポートされている操作のリストを示します。
表1-2 サポートされるコネクタ操作
操作 | 認可コネクタでのサポート | ターゲット・コネクタでのサポート |
---|---|---|
ユーザー管理 |
||
Workdayアカウントの作成 |
いいえ |
はい |
Workdayアカウントの更新 |
いいえ |
はい |
Workdayアカウント・パスワードのリセット |
いいえ |
はい |
就業者のリコンサイル |
はい |
はい |
連絡先詳細の更新 |
いいえ |
はい |
セカンダリ電話番号管理 |
||
セカンダリ電話番号の追加 |
いいえ |
はい |
セカンダリ電話番号の更新 |
いいえ |
はい |
セカンダリ電話番号の削除 |
いいえ |
はい |
セカンダリ電子メール管理 |
||
セカンダリ電子メールの追加 |
いいえ |
はい |
セカンダリ電子メールの更新 |
いいえ |
はい |
セカンダリ電子メールの削除 |
いいえ |
はい |
セキュリティ・グループ管理 |
||
グループの追加 |
いいえ |
はい |
グループの削除 |
いいえ |
はい |
ノート:
ガイドの「連絡先詳細の更新」は、勤務先電子メール、自宅電子メール、勤務先電話番号、勤務先電話デバイス・タイプ、自宅電話番号および自宅電話デバイス・タイプの属性の更新を指します。
ノート:
Workdayアカウントの作成、Workdayアカウントの更新、Workdayアカウント・パスワードのリセットおよびセキュリティ・グループ管理機能は、バージョン12.2.1.3.1 (ターゲット・コネクタ)からサポートされています。
1.5 コネクタのアーキテクチャ
コネクタは、Workday Webサービスを使用してOracle Identity GovernanceとWorkdayディレクトリの間でユーザー属性を同期し、Identity Connector Framework (ICF)コンポーネントを使用して実装されます。
ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニングの操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
コネクタは、次のいずれかのモードで実行するように構成できます。
- アイデンティティ・リコンシリエーション: アイデンティティ・リコンシリエーションは、認可ソースまたは信頼できるソースのリコンシリエーションとも呼ばれます。このモードでは、ターゲット・システムは信頼できるソースとして使用され、そこでユーザーが直接作成および変更されます。リコンシリエーションの際は、ターゲット・システムからフェッチされた各ユーザー・レコードが、既存のOIMユーザーと比較されます。ターゲット・システムとOIMユーザーの一致が見つかった場合、ターゲット・システム・レコードに対して行われた変更内容でOIMユーザー属性が更新されます。一致が見つからない場合、ターゲット・システム・レコードを使用してOIMユーザーが作成されます。
- アカウント管理: アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。
-
ターゲット・リソース・リコンシリエーション: このコネクタの基本機能は、Workdayターゲット・アプリケーションの従業員データをOracle Identity Governanceを介して管理できるようにすることです。プロビジョニングによりOIGユーザーの従業員レコードを作成および管理できます。また、新たに作成または変更された従業員レコードに関連するデータを(スケジュール済タスクによって)リコンサイルして、既存のOIGユーザーやプロビジョニングされたリソースにリンクできます。
-
連絡先データの更新: プロビジョニングでは、Oracle Identity Governanceを介して、ターゲット・システムで就業者連絡先データ(電子メールおよび電話データ)を作成または更新します。
-
図1-1に、Workdayコネクタのアーキテクチャを示します。
図1-1 Workdayターゲット・コネクタのコネクタ・アーキテクチャ
![Workdayターゲット・コネクタのアーキテクチャ。 Workdayターゲット・コネクタのアーキテクチャ。](img/conn_arch.png)
この図で示すように、Workdayコネクタにより、Oracle Identity Governanceのアイデンティティ・データの管理されたリソース(ターゲット)としてターゲット・システムを使用できます。
Oracle Identity Governanceで実行されるプロビジョニング操作を通じて、Oracle Identity Governanceユーザーの連絡先詳細がターゲット・システムで更新されます。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがWorkdayアイデンティティ・コネクタ・バンドルで更新操作を呼び出し、バンドルがプロビジョニング操作のためにターゲット・システムAPIを呼び出します。ターゲット・システムのWorkday SOAP APIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。ICFは続いてWorkdayアイデンティティ・コネクタ・バンドルで同期操作を呼び出し、続いてバンドルによりWorkday Get Workers APIがリコンシリエーション操作のために呼び出されます。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。
ターゲット・システムからフェッチされた各レコードは、OIGユーザーにすでにプロビジョニングされているWorkdayリソースと比較されます。一致が見つかると、ターゲット・システムからWorkdayレコードに対して行われた更新が、Oracle Identity GovernanceのWorkdayリソースにコピーされます。一致が見つからなかった場合、レコードのユーザーIDが、各OIGユーザーのユーザーIDと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、WorkdayリソースがOIGユーザーにプロビジョニングされます。
Workdayアイデンティティ・コネクタ・バンドルは、HTTPSプロトコルを使用してWorkday Human Resources Webサービスと通信します。Workday Human Resources Webサービスを使用すると、SOAP APIエンドポイントを介してプログラム的にアクセスできます。アプリケーションは、Workday Human Resources Webサービスを使用して、ユーザーに対して読取りおよび更新操作を実行できます。
関連項目:
ICFの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のIdentity Connector Frameworkの理解 に関する項を参照してください1.6 サポートされるコネクタの機能マトリックス
AOBアプリケーションでサポートされている機能のリストを示します。
表1-3 サポートされるコネクタの機能マトリックス
機能 | AOBアプリケーション |
---|---|
完全リコンシリエーションの実行 |
はい |
トランザクション日数でのリコンシリエーションの実行 |
はい |
増分リコンシリエーションの実行 |
はい |
制限付きリコンシリエーションの実行 |
はい |
派遣就業者のリコンシリエーション |
はい |
アカウントのない就業者のリコンシリエーション |
はい |
コネクタ・サーバーの使用 |
はい |
アカウント・データの検証と変換の実行 |
はい |
ページ区切りのサポート |
はい |
接続のテスト |
はい |
アプリケーションのクローニングまたは新しいアプリケーション・インスタンスの作成 |
はい |
SSLを使用したセキュアな通信のターゲット・システムへの提供 |
はい |
ノート: 次の機能は、バージョン12.2.1.3.1(ターゲット・コネクタ)からサポートされています。 |
|
プロビジョニングの実行 |
はい |
パスワードのリセット |
はい |
セキュリティ・グループの追加または削除(権限) |
はい |
アカウント属性およびセキュリティ・グループのリコンシリエーション |
はい |
1.7 コネクタの機能
コネクタの機能には、完全リコンシリエーション、バッチ・リコンシリエーション、制限付きリコンシリエーション、接続プーリング、SSL通信などがあります。
コネクタには、次のような機能があります。
1.7.1 信頼できるソースおよびターゲット・リソースのリコンシリエーションのサポート
信頼できるソース(認可アプリケーション)とターゲット・リソース(ターゲット・アプリケーション)のリコンシリエーションをサポートする2つのバージョンのコネクタがあります。
Workday認可コネクタを使用して、WorkdayをOracle Identity Governanceの信頼できるソースとして統合できます。このモードでは、コネクタを使用して、Workdayアプリケーションでサポートされるすべての個人タイプをリコンサイルします。
ターゲット・リソース・モードでは、Workdayターゲット・コネクタを使用してターゲット・アプリケーションを作成し、Workdayアプリケーションからユーザー・レコードをプロビジョニングおよびリコンサイルできます。
1.7.2 完全リコンシリエーションおよび増分リコンシリエーションのサポート
完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Governanceにフェッチされます。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Governanceにフェッチされます。
コネクタのデプロイ後はいつでも、増分リコンシリエーションから完全リコンシリエーションへ切り替えることができます。完全リコンシリエーションおよび増分リコンシリエーションの実行の詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。
1.7.3 トランザクション日数でのリコンシリエーションのサポート
リコンシリエーション実行中に担当者の将来の入社日および従業員の将来の退職日をフェッチするには、ユーザー・リコンシリエーション・スケジュール済ジョブの「トランザクション日数」属性に値を指定する必要があります。
「トランザクション日数」属性を使用すると、将来の入社日および将来の退職日の値についてトランザクションをチェックする必要がある日数を指定できます。トランザクション日数のリコンシリエーションの実行の詳細は、「トランザクション日数でのリコンシリエーションの実行」を参照してください。
1.7.4 制限付き(フィルタ)リコンシリエーションのサポート
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。
ユーザー・リコンシリエーション・スケジュール済ジョブのFilter Query属性の値としてリコンシリエーション・フィルタを設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。Filter Query属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるWebサービスにフィルタを割り当てるのに役立ちます。
制限付きリコンシリエーションの実行の詳細は、「制限付きリコンシリエーションの実行」を参照してください。
1.7.5 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
1.7.6 アカウント・データの変換および検証
アプリケーションの作成中にGroovyスクリプトを作成することにより、リコンシリエーションおよびプロビジョニング操作中にOracle Identity Governanceとの間で送受信されるアカウント・データの検証と変換を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。
1.7.7 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート
アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することにより、ターゲット・システムの複数のインストールに対してこのコネクタを構成できます。
アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションとして共有されます。
これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングに関する項およびインスタンス・アプリケーションの作成に関する項を参照してください。
1.7.8 ターゲット・システムのセキュアな通信
ターゲット・システムにセキュアな通信を提供するためにはSSLが必要です。
Oracle Identity Governanceとコネクタ・サーバーの間およびコネクタ・サーバーとターゲット・システムの間でSSLを構成できます。
SSLを構成しないと、ネットワーク上でパスワードがクリア・テキストで送信されます。たとえば、ユーザーを作成するとき、またはユーザーのパスワードを作成するときに、この問題が発生することがあります。
SSLの詳細は、「SSLの構成」を参照してください。