3 OID用のOracle Internet Directoryコネクタの構成
アプリケーションの作成時に、Oracle Identity Governanceをターゲット・システムに接続し、コネクタ操作を実行するのにコネクタで使用される接続関連のパラメータを構成する必要があります。また、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システムの属性間の属性マッピング、事前定義済の相関ルール、状況とレスポンス、リコンシリエーション・ジョブを表示および編集できます。
3.1 OID用の基本構成パラメータ
ここでは、OIDターゲット・システムへの接続にOracle Identity Governanceで必要となる接続関連のパラメータについて説明します。これらのパラメータは、ターゲット・アプリケーションと認可アプリケーションの両方に共通します。
表3-1 OID用の「基本構成」セクションのパラメータ
| パラメータ | 必須? | 説明 |
|---|---|---|
|
Base Contexts |
はい |
ターゲット・システムでの操作のためのベース・コンテキストを入力します。 サンプル値: ノート: 複数レベルのベース・コンテキストでは、各ベース・コンテキストを二重引用符(")で囲み、カンマ(,)で区切る必要があります。 |
|
Principal |
はい |
ターゲット・システムで操作を実行するためのバインドDNを入力します。 ODSEEまたはOUDのサンプル値: OIDのサンプル値: eDirectoryのサンプル値: ノート: eDirectoryの場合、バインドDNは完全なDN名であることが必要です。 |
|
Password |
はい |
ターゲット・システムに接続するためのパスワードを入力します。 ノート: このパラメータは、ターゲット・アプリケーションの作成時にのみ使用できます。 |
|
credentials |
はい |
ターゲット・システムに接続するための資格証明を入力します。 ノート: このパラメータは、認可アプリケーションの作成時にのみ使用できます。 |
|
Host |
はい |
ターゲット・システムのホスト名またはIPアドレスを入力します。 サンプル値:
|
|
Port |
はい |
ターゲット・システムに接続するためのポート番号を入力します。 デフォルト値: |
|
Connector Server Name |
いいえ |
コネクタ・サーバーでこのコネクタを使用している場合は、コネクタ・サーバーのITリソースの名前を入力します。 |
|
Failover |
いいえ |
プライマリLDAPサーバーで障害が発生するか使用不可能になった場合に、コネクタを切り替えるLDAPバックアップ・サーバー(1つまたは複数)の完全なURLを入力します。 URLは、完全に修飾されたホスト名または次の形式のIPアドレスとして指定します。 ldap://172.20.55.191:389は、1つのバックアップLDAPサーバーのIPアドレスの例です。
複数のURLを指定する場合、各URLを二重引用符(")で囲み、カンマ(,)で区切る必要があります。たとえば: |
|
SSL |
いいえ |
ターゲット・システムとの通信をSSLで保護する必要があるかどうかを指定します。 デフォルト値: ノート: Oracle Identity Managerとコネクタ・サーバーの間またはOracle Identity Managerとターゲット・システムの間でSSLが有効になっているときに、値をtrueに設定できます。 「コネクタ・サーバーのためのITリソースの構成」の説明に従って、コネクタ・サーバーの SSLを構成するには、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のOracle Identity Governance用にSSLを使用するJavaコネクタ・サーバーの構成に関する項を参照してください。 |
3.2 OID用の拡張設定パラメータ
拡張構成パラメータは、ターゲット・アプリケーションと認可アプリケーションのどちらを作成するかによって異なります。
3.2.1 OIDターゲット・アプリケーション用の拡張設定パラメータ
ここでは、ターゲット・アプリケーションに対するリコンシリエーションおよびプロビジョニングの操作時にコネクタで使用される構成関連のエントリについて説明します。
ノート:
指定がないかぎり、次の表のエントリを変更しないでください。表3-2 OIDターゲット・アプリケーション用の拡張設定パラメータ
| パラメータ | 必須? | 説明 |
|---|---|---|
|
Standard Change Log |
いいえ |
このパラメータは、コネクタがchangelog属性にアクセスする方法を指定します。 デフォルト値: ノート: この値は変更しないでください。 |
|
readSchema |
いいえ |
このパラメータは、スキーマをサーバーから読み取る必要があるかどうかを指定します。 デフォルト値: |
|
Connector Package Version |
いいえ |
このパラメータは、コネクタのバージョンを保持します。 デフォルト値: |
|
usePagedResultControl |
いいえ |
このパラメータは、どちらも使用できる場合に、単純なページ検索をVLV索引検索よりも優先するかどうかを指定します。 デフォルト値: |
|
filterwithOrInsteadOfAnd |
いいえ |
このパラメータは、ORフィルタとANDフィルタのどちらを使用してchangelogフィルタを設定するかを指定します。 ANDフィルタではなくORフィルタを使用して変更ログ・フィルタを設定する場合は、 ORフィルタの形式は次のとおりです: ANDフィルタの形式は次のとおりです: |
|
disabledValue |
いいえ |
このパラメータは、アカウントが無効になっているときに常に、enabledAttributeパラメータで定義される属性に使用する値を指定します。 デフォルト値: |
|
enabledWhenNoAttribute |
いいえ |
このパラメータは、enabledAttributeに定義されたプロパティがパラメータに存在しないときに、ステータスを有効にするか無効にするかを定義します。 デフォルト値: |
|
changelogUidAttribute |
いいえ |
このパラメータは、changelog内の変更エントリの一意のIDを含む属性の名前を保持します。 デフォルト値: |
|
attributesToSynchronize |
いいえ |
このパラメータは、SyncOpが実行されるたびにコネクタから戻される必要がある属性のリストを保持します。 デフォルト値: |
|
groupMemberAttribute |
いいえ |
このパラメータは、POSIX以外の静的グループのメンバーを格納するLDAP属性を保持します。 デフォルト値: |
|
enabledValue |
いいえ |
このパラメータは、アカウントが有効になっているときに常に、enabledAttributeパラメータで定義される属性にコネクタで使用される必要がある値を指定します。 デフォルト: |
|
Connector Package Name |
はい |
このパラメータは、コネクタ・パッケージの名前を保持します。 デフォルト値: |
|
respectResourcePasswordPolicyChangeAfterReset |
いいえ |
デフォルトでは、この値は デフォルト値: |
|
vlvSortAttribute |
いいえ |
このパラメータは、VLV索引のソート・キーとして使用されます。 デフォルト値: |
|
blockSize |
いいえ |
このパラメータは、単純な結果ページングとVLV索引検索のブロック・サイズを保持します。 デフォルト値: |
|
Connector Name |
はい |
このパラメータは、コネクタ・クラスの名前を保持します。 デフォルト値: このパラメータは変更しないでください。 |
|
synchronizeWithModifyTimestamps |
いいえ |
このパラメータは、SyncOp操作時にコネクタがchangelog属性のかわりにmodify timestamps属性を使用する必要があるかどうかを指定します。 デフォルト値: |
|
enabledAttribute |
いいえ |
このパラメータは、アカウントを有効化または無効化するために必要な属性の名前を保持します。 デフォルト値: |
|
objectClassesToSynchronize |
いいえ |
このパラメータは、同期するオブジェクト・クラスを保持します。変更ログはすべてのオブジェクトを対象としています。このフィルタにより、リストされたオブジェクト・クラスが更新されます。オブジェクトをスーパークラス値のいずれかと同期する場合を除き、オブジェクト・クラスのスーパークラスをリストしないでください。 デフォルト値: |
|
accountObjectClasses |
いいえ |
このパラメータは、USERオブジェクトで必要なオブジェクト・クラスのリストを保持します。 デフォルト値: |
|
accountUserNameAttribute |
いいえ |
このパラメータは、USERオブジェクトの名前を含む属性を保持します。 デフォルト値: |
|
changelogBaseDn |
いいえ |
このパラメータは、コネクタがchangelog属性の値を検索するbaseDNを保持します。 デフォルト値: |
|
uidAttribute |
いいえ |
このパラメータは、コネクタが事前定義済のUID属性をマッピングする必要があるLDAP属性を保持します。 デフォルト値: |
|
removeLogEntryObjectClassFromFilter |
いいえ |
このパラメータは、changelogフィルタがchangelogオブジェクト・クラスに対する条件を含むかどうかを指定します。 デフォルト値: |
|
accountSearchFilter |
いいえ |
このパラメータは、どのアカウントも戻されるには一致する必要がある検索フィルタを保持します。 デフォルト値: |
|
accountSynchronizationFilter |
いいえ |
このパラメータは、SyncOp操作時にコネクタから戻されるすべてのエントリが一致する必要があるフィルタを保持します。 デフォルト値: |
|
changeNumberAttribute |
いいえ |
このパラメータは、コネクタがchangelogに使用される必要がある属性名を保持します。 デフォルト値: |
|
maintainPosixGroupMembership |
いいえ |
このパラメータは、名前が変更されたユーザー・エントリや削除されたユーザー・エントリのPOSIXグループ・メンバーシップをコネクタが変更するかどうかを指定します。 デフォルト値: |
|
passwordAttribute |
いいえ |
このパラメータは、事前定義済のPASSWORD属性が書き込まれる属性の名前を保持します。 デフォルト値: |
|
maintainLdapGroupMembership |
いいえ |
このパラメータは、名前が変更されたユーザー・エントリや削除されたユーザー・エントリのグループ・メンバーシップをコネクタが変更するかどうかを指定します。 デフォルト値: |
|
changeLogBlockSize |
いいえ |
このパラメータは、SyncOp操作時にchangelogを読み取る際の、単純な結果ページングとVLV索引検索のブロック・サイズを保持します。 デフォルト値: |
|
Any Incremental Recon Attribute Type |
いいえ |
このパラメータは、コネクタがリコンシリエーション時に任意形式のトークンを受け入れることを示します。 デフォルト値: |
|
ldapGroupFilterBehavior |
いいえ |
このパラメータは、LDAPグループ・フィルタの動作を指定します。 デフォルト値: |
|
ldapGroupMembershipAttribute |
いいえ |
このパラメータは、LDAPグループ・メンバーシップ属性の値を指定します。 デフォルト値: |
|
dateFormat |
いいえ |
このパラメータは、ターゲット・システムの日付データの書式を指定します。 デフォルト値: |
|
dateTypeAttrNames |
いいえ |
このパラメータは、dateFormatパラメータで指定した日付書式と一致するようにコネクタが書式設定する必要があるターゲット・システム属性のリストを指定します。 デフォルト値: |
|
pwdMaxFailure |
いいえ |
このパラメータは、バインドが連続して失敗できる回数を示します。この回数を超えると、ユーザー・アカウントがロックされます。このパラメータの値が0 (ゼロ)の場合、バインドの失敗によるアカウントのロックは行われず、パスワード・ロックアウト・ポリシーの値が無視されます。 デフォルト値: |
|
Pool Max Idle |
いいえ |
プール内のアイドル状態のオブジェクトの最大数。 デフォルト値: |
|
Pool Max Size |
いいえ |
プールで作成できる接続の最大数。 デフォルト値: |
|
Pool Max Wait |
いいえ |
プールが空きオブジェクトを操作に使用できるようになるまで待機する必要のある最大時間(ミリ秒)。 デフォルト値: |
|
Pool Min-Evict Idle |
いいえ |
コネクタがアイドル状態のオブジェクトを削除するまで待機する必要のある最小時間(ミリ秒)。 デフォルト値: |
|
Pool Min Idle |
いいえ |
プール内のアイドル状態のオブジェクトの最小数。 デフォルト値: |
3.2.2 OID認可アプリケーション用の拡張設定パラメータ
ここでは、認可アプリケーションに対するリコンシリエーション実行時にコネクタで使用される構成関連のエントリについて説明します。
表3-3 OID認可アプリケーション用の拡張設定パラメータ
| パラメータ | 必須? | 説明 |
|---|---|---|
| changeNumberAttribute | いいえ | このエントリは、変更ログに使用される属性名を保持します。
デフォルト値: |
| enabledValue | いいえ | このエントリは、アカウントが有効になっているときに常に、enabledAttributeパラメータで定義される属性に使用する値を指定します。
デフォルト: |
| disabledValue | いいえ | このエントリは、アカウントが無効になっているときに常に、enabledAttributeプロパティで定義される属性のために使用する値を指定します。
デフォルト値: |
| Bundle Name | はい | このエントリは、コネクタ・バンドル・パッケージの名前を含みます。
デフォルト値: |
| enabledWhenNoAttribute | いいえ | このエントリは、enabledAttributeに定義されたプロパティがエントリに存在しないときに、ステータスを有効にするか無効にするかを定義します。
デフォルト値: |
| Connector Name | いいえ |
このエントリは、コネクタ・クラスの名前を含みます。このエントリは変更しないでください。 デフォルト値: |
| objectClassesToSynchronize | いいえ |
このエントリは、コネクタが同期する必要があるオブジェクト・クラスのリストを保持します。同期されたエントリが返されるためには、このリストのオブジェクト・クラスを少なくとも1つ含む必要があります。このオブジェクト・クラス・リストが空の場合、または値がない場合、コネクタによるオブジェクト・クラスのフィルタ処理は行われません。 デフォルト値: |
| Bundle Version | いいえ | このエントリは、コネクタ・バンドル・クラスのバージョンを含みます。
デフォルト値: |
| uidAttribute | いいえ | このエントリは、事前定義済のUID属性をマッピングする必要があるLDAP属性を保持します。
デフォルト値: |
| enabledAttribute | いいえ | このエントリは、アカウントを有効化または無効化するために必要な属性の名前を保持します。
デフォルト値: |
|
changeLogBlockSize |
いいえ | このエントリは、SyncOp操作時に変更ログを読み取る際の、単純な結果ページングとVLV索引検索のブロック・サイズを保持します。
デフォルト値: |
| accountObjectClasses | いいえ | このエントリは、USERオブジェクトで必要なオブジェクト・クラスのリストを保持します。
デフォルト値: |
| usePagedResultControl | いいえ | このエントリは、どちらも使用できる場合に、単純なページ検索をVLV索引検索よりも優先するかどうかを指定します。
デフォルト値: |
| Any Incremental Recon Attribute Type | いいえ | このパラメータは、コネクタがリコンシリエーション時に任意形式のトークンを受け入れることを示します。
デフォルト値: |
| pwdMaxFailure | いいえ |
バインドが連続して失敗できる回数を示します。この回数を超えると、コネクタはユーザー・アカウントをロックします。このパラメータの値が0 (ゼロ)の場合、バインドの失敗によるアカウントのロックは行われず、コネクタはパスワード・ロックアウト・ポリシーの値を無視します。 デフォルト値: |
| Pool Max Idle | いいえ |
プール内のアイドル状態のオブジェクトの最大数。 デフォルト値: 10 |
| Pool Max Size | いいえ | プールで作成できる接続の最大数。
デフォルト値: |
| Pool Max Wait | いいえ | プールが空きオブジェクトを操作に使用できるようになるまで待機する必要のある最大時間(ミリ秒)。
デフォルト値: |
| Pool Min-Evict Idle | いいえ | コネクタがアイドル状態のオブジェクトを削除するまで待機する必要のある最小時間(ミリ秒)。
デフォルト値: |
| Pool Min Idle | いいえ | プール内のアイドル状態のオブジェクトの最小数。
デフォルト値: |
3.3 OID用の属性マッピング
「スキーマ」ページの属性マッピングは、ターゲット・アプリケーションと認可アプリケーションのどちらを作成するかによって異なります。
3.3.1 OIDターゲット・アプリケーション用の属性マッピング
ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性をターゲット・システムの属性にマップするデフォルトのスキーマ(コネクタに付属)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作時にこれらのマッピングを使用します。
OIDターゲット・アプリケーション用のデフォルトの属性
表3-4に、Oracle Identity Governanceのプロセス・フォーム・フィールドとOIDターゲット・アプリケーションの属性間のユーザー固有の属性マッピングを示します。また、この表には、特定の属性がプロビジョニングまたはリコンシリエーション時に使用されるかどうかと、リコンシリエーション時にレコードをフェッチするための照合キー・フィールドであるかどうかも示します。
必要な場合は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って新しい属性を追加したり既存の属性を削除することで、デフォルトの属性マッピングを編集できます。
表3-4 OIDターゲット・アプリケーション用のデフォルトの属性
| 表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ? | プロビジョニング・フィールド? | リコンシリエーション・フィールド? | キー・フィールド? | 大/小文字を区別しない? |
|---|---|---|---|---|---|---|---|
| ユーザーID | uid | 文字列 | はい | はい | はい | いいえ | 適用外 |
| 名 | givenname | 文字列 | いいえ | はい | はい | いいえ | 適用外 |
| ミドル・ネーム | initials | 文字列 | いいえ | はい | はい | いいえ | 適用外 |
| 姓 | sn | 文字列 | はい | はい | はい | いいえ | 適用外 |
| 共通名 | cn | 文字列 | はい | はい | はい | いいえ | 適用外 |
| コンテナDN | __parentDN__ | 文字列 | はい | いいえ | はい | いいえ | 適用外 |
| 部門 | departmentnumber | 文字列 | いいえ | はい | はい | いいえ | 適用外 |
| 場所 | l | 文字列 | いいえ | はい | はい | いいえ | 適用外 |
| 電話 | telephonenumber | 文字列 | いいえ | はい | はい | いいえ | 適用外 |
| 電子メールID | 文字列 | いいえ | はい | はい | いいえ | 適用外 | |
| 優先言語 | preferredLanguage | 文字列 | いいえ | はい | はい | いいえ | 適用外 |
| タイムゾーン | orclTimeZone | 文字列 | いいえ | はい | はい | いいえ | 適用外 |
| 役職 | title | 文字列 | いいえ | はい | はい | いいえ | 適用外 |
| orclGuid | __UID__ | 文字列 | いいえ | はい | はい | はい | いいえ |
| 開始日 | orclActiveStartDate | 文字列 | いいえ | はい | はい | いいえ | 適用外 |
| 終了日 | orclActiveEndDate | 文字列 | いいえ | はい | はい | いいえ | 適用外 |
| マネージャ | manager | 文字列 | いいえ | はい | はい | いいえ | 適用外 |
| ステータス | __ENABLE__ | 文字列 | いいえ | いいえ | はい | いいえ | 適用外 |
| 名前 | __NAME__ | 文字列 | いいえ | はい | いいえ | いいえ | 適用外 |
| ログイン無効 | __ENABLED__ | 文字列 | いいえ | はい | いいえ | いいえ | 適用外 |
| パスワード | __PASSWORD__ | 文字列 | いいえ | はい | いいえ | いいえ | 適用外 |
図3-1に、デフォルトのユーザー・アカウント属性マッピングを示します。
グループの権限
表3-5に、Oracle Identity Governanceのプロセス・フォーム・フィールドとOIDターゲット・アプリケーションの属性間のグループ・フォーム属性マッピングを示します。この表には、特定の属性がプロビジョニング時に必須かどうかを示します。また、特定の属性がリコンシリエーション時に使用されるかどうか、リコンシリエーション時にレコードをフェッチするための照合キー・フィールドであるかどうかも示します。
必要な場合は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って新しい属性を追加したり既存の属性を削除することで、デフォルトの属性マッピングを編集できます。
表3-5 グループ・フォーム用のデフォルトの属性マッピング
| 表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ? | リコンシリエーション・フィールド? | キー・フィールド? | 大/小文字を区別しない? |
|---|---|---|---|---|---|---|
|
グループ名 |
ldapGroups |
文字列 | いいえ | はい | はい | いいえ |
図3-2に、デフォルトの属性グループ・マッピングを示します。
3.3.2 OID認可アプリケーション用の属性マッピング
認可アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性を認可システムの属性にマップするデフォルトのスキーマ(コネクタに付属)が表示されます。コネクタは、認可アプリケーションに対してリコンシリエーションを実行する際にこれらのマッピングを使用します。
表3-6に、Oracle Identity Governanceのプロセス・フォーム・フィールドとOID認可アプリケーションの属性間のユーザー固有の属性マッピングを示します。また、特定の属性のデータ型と、リコンシリエーションの必須属性であるかどうかも示します。
必要な場合は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の認可アプリケーションの作成に関する項の説明に従って新しい属性を追加したり既存の属性を削除することで、デフォルトの属性マッピングを編集できます。
事前に設定されているデフォルトのスキーマを使用することも、次のステップに進む前にデフォルトのスキーマを更新および変更することもできます。
「組織名」、「Xellerateタイプ」および「ロール」アイデンティティ属性は、OIGユーザー・フォームの必須フィールドです。これらは、リコンシリエーション時に空白にしておくことはできません。これらのアイデンティティ属性のターゲット属性マッピングは、ターゲット・システムに対応する列がないため、デフォルトでは空です。したがって、リコンシリエーション時に使用できるデフォルト値(表3-6の「アイデンティティ表示名のデフォルト値」列に記載)がコネクタによって提示されます。たとえば、「組織名」属性のデフォルトのターゲット属性値は、「Xellerateユーザー」です。これは、ターゲット・システムのすべてのユーザー・アカウントがOracle Identity Governanceの「Xellerateユーザー」組織にリコンサイルされることを意味します。同様に、「Xellerateタイプ」属性のデフォルト属性値は「エンドユーザー」であり、これはリコンサイルされたユーザー・レコードはすべてエンド・ユーザーとマークされることを意味します。
表3-6 OID認可アプリケーション用のデフォルトの属性
| 表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ? | リコンシリエーション・フィールド? | 拡張フラグ設定 | アイデンティティ表示名のデフォルト値 |
|---|---|---|---|---|---|---|
| 電子メール | 文字列 | いいえ | はい |
はい |
該当なし |
|
| ロール | 該当なし | 文字列 | いいえ | はい | はい |
フルタイム |
| 名 | givenname | 文字列 | いいえ | はい | はい |
該当なし |
| 姓 | sn | 文字列 | いいえ | はい | はい |
該当なし |
| マネージャ・ログイン | manager | 文字列 | いいえ | はい | はい |
該当なし |
| ミドル・ネーム | initials | 文字列 | いいえ | はい | はい |
該当なし |
| OrclGuid | __UID__ | 文字列 | いいえ | はい | はい |
該当なし |
| 組織名 | 該当なし | 文字列 | いいえ | はい | はい |
Xellerateユーザー |
| ステータス | __ENABLE__ | 文字列 | いいえ | はい | はい |
該当なし |
| ユーザー・ログイン | uid | 文字列 | いいえ | はい | はい |
該当なし |
| Xellerateタイプ | 該当なし | 文字列 | いいえ | はい | はい |
エンドユーザー |
図3-3に、デフォルトのユーザー・アカウント属性マッピングを示します。
3.4 OID用の相関ルール
ターゲット・アプリケーションと認可アプリケーションの事前定義済のルール、レスポンスおよび状況について学習します。コネクタは、リコンシリエーションの実行にこれらのルールおよびレスポンスを使用します。
3.4.1 OIDターゲット・アプリケーション用の相関ルール
ターゲット・アプリケーションを作成する際、コネクタは相関ルールを使用してOracle Identity Governanceでリソースを割り当てる必要があるアイデンティティを特定します。
事前定義済のアイデンティティ相関ルール
デフォルトでは、OIDコネクタにより、ターゲット・アプリケーションの作成時に単純相関ルールが提示されます。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較し、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表3-7に、OID用のデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集することも、新しいルールを追加することもできます。また、複合相関ルールも作成できます。単純または複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアイデンティティ・リコンシリエーション・ルールの更新に関する項を参照してください。
表3-7 OID用の事前定義済アイデンティティ相関ルール
| ターゲット属性 | 要素演算子 | アイデンティティ属性 | 大/小文字を区別する? |
|---|---|---|---|
|
uid |
Equals |
User Login |
いいえ |
|
__UID__ |
Equals |
OrclGuid |
いいえ |
-
uidは、ユーザー・アカウントを識別するターゲット・システムの単一値属性です。
-
User Loginは、OIGユーザー・フォームのフィールドです。
-
__UID__は、ユーザー・アカウントを識別するターゲット・システムの単一値属性です。
-
OrclGuidは、OIGユーザー・フォームのフィールドです。
ルールの演算子: OR
図3-4に、OIDターゲット・アプリケーション用の単純相関ルールを示します。
事前定義済の状況およびレスポンス
OIDコネクタにより、ターゲット・アプリケーションの作成時にデフォルトの一連の状況およびレスポンスが提示されます。これらの状況およびレスポンスは、Oracle Identity Governanceがリコンシリエーション・イベントの結果に基づいて実行する必要がある処理を指定します。
表3-8に、OIDターゲット・アプリケーション用のデフォルトの状況およびレスポンスを示します。必要に応じて、これらのデフォルトの状況およびレスポンスを編集することも、新しい状況およびレスポンスを追加することもできます。状況およびレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項を参照してください。
表3-8 OIDターゲット・アプリケーション用の事前定義済の状況およびレスポンス
| 状況 | レスポンス |
|---|---|
|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
|
1つのプロセス一致が見つかった場合 |
リンクの確立 |
図3-5に、OID用にターゲット・アプリケーションを作成しているときに、コネクタによってデフォルトで提示される状況およびレスポンスを示します。
3.4.2 OID認可アプリケーション用の相関ルール
認可アプリケーションを作成する際、コネクタは相関ルールを使用してOracle Identity Governanceにリコンサイルする必要があるアイデンティティを特定します。
事前定義済のアイデンティティ相関ルール
デフォルトでは、OIDコネクタにより、認可アプリケーションの作成時に単純相関ルールが提示されます。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較し、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表3-9に、OIDコネクタ用のデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集することも、新しいルールを追加することもできます。また、複合相関ルールも作成できます。単純または複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の認可アプリケーションの作成に関する項を参照してください。
表3-9 OID認可アプリケーション用の事前定義済アイデンティティ相関ルール
| 認可属性 | 要素演算子 | アイデンティティ属性 | 大/小文字を区別する? |
|---|---|---|---|
| uid | Equals | User Login | いいえ |
相関ルール要素: uid Equals User Login
-
uidは、ユーザーの一意のログイン名です。
-
User Loginは、OIGユーザー・フォームの「ユーザーID」フィールドです。
図3-6に、OID認可アプリケーションの単純相関ルールを示します。
事前定義済の状況およびレスポンス
OIDコネクタにより、認可アプリケーションの作成時にデフォルトの一連の状況およびレスポンスが提示されます。これらの状況およびレスポンスは、Oracle Identity Governanceがリコンシリエーション・イベントの結果に基づいて実行する必要がある処理を指定します。
表3-10に、OID認可アプリケーション用のデフォルトの状況およびレスポンスを示します。必要に応じて、これらのデフォルトの状況およびレスポンスを編集することも、新しい状況およびレスポンスを追加することもできます。状況およびレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の認可アプリケーションの作成に関する項を参照してください。
表3-10 OID認可アプリケーション用の事前定義済の状況およびレスポンス
| 状況 | レスポンス |
|---|---|
|
一致が見つからなかった場合 |
ユーザーの作成 |
|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
|
1つのプロセス一致が見つかった場合 |
リンクの確立 |
図3-7に、OID用に認可アプリケーションを作成しているときに、コネクタによってデフォルトで提示される状況およびレスポンスを示します。
3.5 OID用のリコンシリエーション・ジョブ
ターゲット・システムのターゲット・アプリケーションまたは認可アプリケーションを作成するとOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブについて学習します。
3.5.1 OIDターゲット・アプリケーション用のリコンシリエーション・ジョブ
ここでは、OIDターゲット・アプリケーションを作成すると、Oracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブについて説明します。
OIDターゲット・アプリケーション用のリコンシリエーション・ジョブ
これらの事前定義済ジョブを使用することも、要件を満たすようにこれらのジョブを編集することもできます。あるいは、カスタム・リコンシリエーション・ジョブを作成できます。これらの事前定義済ジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリコンシリエーション・ジョブの更新に関する項を参照してください。
次のリコンシリエーション・ジョブは、ユーザー・データのリコンシリエーションに使用できます。
-
OID Connector User Search Reconciliation: このリコンシリエーション・ジョブは、ターゲット・アプリケーションからユーザー・データをリコンサイルする場合に使用します。次のいずれかの条件に当てはまる場合に、このジョブを使用します。
-
完全リコンシリエーションまたは増分リコンシリエーションを実行する場合。
-
ターゲット・システムでmodifyTimestamp属性がサポートされる場合。
-
-
OID Connector User Sync Reconciliation: このリコンシリエーション・ジョブは、ターゲット・アプリケーションからユーザー・データをリコンサイルする場合に使用します。次のいずれかの条件に当てはまる場合に、このジョブを使用します。
-
増分リコンシリエーションを実行する場合。
-
ターゲット・システムで変更ログ属性がサポートされる場合。
-
-
OID Connector User Search Delete Reconciliation: このリコンシリエーション・ジョブは、ターゲット・アプリケーションから削除されるユーザー・レコードをリコンサイルする場合に使用します。
表3-11に、OID Connector User Search Reconciliationジョブのパラメータの説明を示します。
表3-11 OID Connector User Search Reconciliationジョブのパラメータ
| パラメータ | 説明 |
|---|---|
|
Application name |
リコンシリエーション・ジョブが関連付けられているAOBアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は変更しないでください。 |
|
Filter |
このジョブでリコンサイルする必要があるレコードをフィルタ処理する式を入力します。 サンプル値: equalTo('__UID__','EXAMPLEUSER') 作成して使用できるフィルタ式の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタの構文に関する項を参照してください。 |
|
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: このパラメータの値を変更しないでください。 |
|
Incremental Recon Attribute |
ユーザー・レコードが変更された時点のタイムスタンプを保持するターゲット・システム属性の名前。 デフォルト値: |
|
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 ノート: このコネクタに組み込まれているスケジュール済ジョブについては、このパラメータの値を変更しないでください。ただし、新しいジョブを作成したりジョブのコピーを作成する場合は、このパラメータの値として、そのスケジュール済ジョブに一意の名前を入力します。 |
|
Latest Token |
このパラメータは、Incremental Recon Attributeパラメータの値として指定されたターゲット・システム属性の値を保持します。コネクタは、Latest Tokenパラメータを内部目的で使用します。デフォルトでは、この値は空です。 ノート: この属性に値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 サンプル値: |
表3-12に、OID Connector User Sync Reconciliationジョブのパラメータの説明を示します。
表3-12 OID Connector User Sync Reconciliationジョブのパラメータ
| パラメータ | 説明 |
|---|---|
|
Application name |
ジョブが関連付けられているAOBアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は変更しないでください。 |
|
Sync Token |
最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後、このジョブを実行するたびに、コネクタによってSync Tokenパラメータの値が更新されます。 ターゲット・システムのchangelog属性を参照して、リコンシリエーション実行を再開するためにコネクタで使用される必要があるchangelogの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。 OIDはstandardChangelog拡張設定パラメータの値がtrueに設定されているターゲット・システムであるため、このパラメータでは次の形式で値が格納されます: サンプル値: |
|
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: このパラメータの値を変更しないでください。 |
|
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 ノート: このコネクタに組み込まれているスケジュール済ジョブについては、このパラメータの値を変更しないでください。ただし、新しいジョブを作成したりジョブのコピーを作成する場合は、このパラメータの値として、そのスケジュール済ジョブに一意の名前を入力します。 |
表3-13 OID User Search Delete Reconciliationジョブのパラメータ
| 属性 | 説明 |
|---|---|
|
Application name |
ジョブが関連付けられているAOBアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は変更しないでください。 |
|
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: このパラメータの値を変更しないでください。 |
権限用のリコンシリエーション・ジョブ
-
OID Connector Group Lookup Reconciliation: このジョブは、ターゲット・システムのすべてのグループ・データを検索して、Oracle Identity Governanceの参照フィールドにリコンサイルする場合に使用します。
-
OID Connector OU Lookup Reconciliation: このジョブは、ターゲット・システムのすべての組織データを検索して、Oracle Identity Governanceの参照フィールドにリコンサイルする場合に使用します。
表3-14 権限用のリコンシリエーション・ジョブのパラメータ
| パラメータ | 説明 |
|---|---|
|
Application Name |
ターゲット・システム用に作成されたアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は変更しないでください。 |
|
Lookup Name |
ターゲット・システムからフェッチした値をコネクタが移入する必要があるOracle Identity Governanceの参照定義の名前を入力します。 デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。
これらの参照定義のいずれかのコピーを作成する場合は、Lookup Nameパラメータの値として新しい参照定義の名前を入力します。 |
|
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。
ノート: このパラメータの値は変更しないでください。 |
|
Code Key Attribute |
参照定義のCode Key列に移入するのにコネクタで使用される、コネクタまたはターゲット・システム属性の名前(Lookup Nameパラメータの値として指定)。 デフォルト値: この値は変更しないでください。 |
|
Decode Attribute |
参照定義のDecode列に移入するのにコネクタで使用される、コネクタまたはターゲット・システム属性の名前(Lookup Nameパラメータの値として指定)。 デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。
|
|
Filter |
このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。 サンプル値: |
3.5.2 OID認可アプリケーション用のリコンシリエーション・ジョブ
ここでは、OID認可アプリケーションを作成すると、Oracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブについて説明します。
OID認可アプリケーション用のユーザー・リコンシリエーション・ジョブ
これらの事前定義済ジョブを使用することも、要件を満たすようにこれらのジョブを編集することもできます。あるいは、カスタム・リコンシリエーション・ジョブを作成できます。これらの事前定義済ジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリコンシリエーション・ジョブの更新に関する項を参照してください。
次のリコンシリエーション・ジョブは、ユーザー・データのリコンシリエーションに使用できます。
-
OID Connector Trusted User Reconciliation: このリコンシリエーション・ジョブは、認可アプリケーションからユーザー・データをリコンサイルする場合に使用します。
ノート:
このジョブを実行する前に、ターゲット・システムのアカウントに一意のユーザーIDが指定されていることを確認します。そうしないと、ジョブの実行中に予期しない結果が発生する可能性があります。 -
OID Connector Trusted User Delete Reconciliation: このリコンシリエーション・ジョブは、認可アプリケーションから削除されるユーザー・レコードをリコンサイルする場合に使用します。
表3-15に、OID Connector Trusted User Reconciliationジョブのパラメータの説明を示します。
表3-15 OID Connector Trusted User Reconciliationジョブのパラメータ
| パラメータ | 説明 |
|---|---|
|
Application name |
ジョブが関連付けられているAOBアプリケーションの名前。この値は、認可アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は変更しないでください。 |
|
Filter |
リコンシリエーションの実行時に認可アプリケーションからユーザー・レコードをフェッチするための検索フィルタを入力します。 サンプル値: |
|
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: このパラメータの値を変更しないでください。 |
|
Incremental Recon Attribute |
ユーザー・レコードが変更された時点のタイムスタンプを保持するターゲット・システム属性の名前。 デフォルト値: |
|
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 ノート: このコネクタに組み込まれているスケジュール済ジョブについては、このパラメータの値を変更しないでください。ただし、新しいジョブを作成したりジョブのコピーを作成する場合は、このパラメータの値として、そのスケジュール済ジョブに一意の名前を入力します。 |
|
Latest Token |
このパラメータは、Incremental Recon Attributeパラメータの値として指定されたターゲット・システム属性の値を保持します。コネクタは、Latest Tokenパラメータを内部目的で使用します。デフォルトでは、この値は空です。 ノート: この属性に値を入力しないでください。実行後、リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定すると、この属性の値として指定したタイム・スタンプの後で変更されたユーザー・アカウントしかリコンサイルされなくなります。 完全リコンシリエーションを実行する場合は、このフィールドの値をクリアします。 サンプル値: |
表3-16 OID Connector Trusted User Delete Reconciliationジョブのパラメータ
| パラメータ | 説明 |
|---|---|
|
Application name |
ジョブが関連付けられているAOBアプリケーションの名前。この値は、認可アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は変更しないでください。 |
|
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: このパラメータの値を変更しないでください。 |