4 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用のOracle Internet Directoryコネクタの構成
アプリケーションの作成時に、Oracle Identity Governanceをターゲット・システムに接続し、コネクタ操作を実行するのにコネクタで使用される接続関連のパラメータを構成する必要があります。また、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システムの属性間の属性マッピング、事前定義済の相関ルール、状況とレスポンス、リコンシリエーション・ジョブを表示および編集できます。
4.1 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用の基本構成パラメータ
ここでは、OUD、ODSEEまたはLDAPv3準拠ディレクトリ・サーバーへの接続にOracle Identity Governanceで必要となる接続関連のパラメータについて説明します。これらのパラメータは、ターゲット・アプリケーションと認可アプリケーションの両方に共通します。
表4-1 OUD、ODSEEまたはLDAPv3準拠ディレクトリ・サーバー用の基本構成パラメータ
| パラメータ | 必須? | 説明 |
|---|---|---|
|
baseContexts |
はい |
ターゲット・システムでの操作のためのベース・コンテキストを入力します。 サンプル値: ノート: 複数レベルのベース・コンテキストでは、各ベース・コンテキストを二重引用符(")で囲み、カンマ(,)で区切る必要があります。 たとえば: |
|
principal |
はい |
ターゲット・システムで操作を実行するためのバインドDNを入力します。 サンプル値: ノート: OpenLDAPをターゲット・システムとして使用している場合は、このパラメータの値を次の形式で設定します。 user DN,baseContexts サンプル値: このサンプル値では、 |
|
credentials |
はい |
バインドDNに関連付けられたバインド・パスワードを入力します。 |
|
host |
はい |
ターゲット・システムのホスト名またはIPアドレスを入力します。 サンプル値: |
|
port |
はい |
ターゲット・システムに接続するためのポート番号を入力します。 サンプル値: |
|
Connector Server Name |
いいえ |
デフォルトでは、このフィールドは空白です。コネクタ・サーバーを使用している場合は、コネクタ・サーバーのITリソースの名前を入力します。 |
|
failover |
いいえ |
プライマリLDAPサーバーで障害が発生するか使用不可能になった場合に、コネクタを切り替えるLDAPバックアップ・サーバー(1つまたは複数)の完全なURLを入力します。 URLは、完全に修飾されたホスト名または次の形式のIPアドレスとして指定します。 ldap://host:port
複数のURLを指定する場合、各URLを二重引用符(")で囲み、カンマ(,)で区切る必要があります。たとえば:
|
|
ssl |
いいえ |
このパラメータは、ターゲット・システムとの通信をSSLを使用して保護する必要があるかどうかを指定します。 デフォルトでは、このフィールドは空白です。Oracle Identity Governanceとコネクタ・サーバーの間またはOracle Identity Governanceとターゲット・システムの間でSSLを構成する場合は、 「コネクタ・サーバーのためのITリソースの構成」の説明に従って、コネクタ・サーバーの SSLを構成するには、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のOracle Identity Governance用にSSLを使用するJavaコネクタ・サーバーの構成に関する項を参照してください。 |
4.2 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用の拡張設定パラメータ
ここでは、リコンシリエーションおよびプロビジョニングの操作時にコネクタで使用される構成関連のパラメータについて説明します。これらのパラメータは、ターゲット・アプリケーションと認可アプリケーションのどちらを作成するかによって異なります。
4.2.1 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・アプリケーション用の拡張設定パラメータ
ここでは、ターゲット・アプリケーションに適用できる構成関連のパラメータについて説明します。デフォルトでは、OUDターゲット・システムの属性値が表示されます。ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・システムのこれらの値は、表に指定されているとおりに更新できます。
表4-2 OUD、ODSEEまたはLDAPv3準拠ディレクトリ・サーバーのターゲット・アプリケーション用の拡張設定パラメータ
| パラメータ | 必須? | 説明 |
|---|---|---|
|
disabledValue |
いいえ |
アカウントが無効になっているときに常に、enabledAttributeプロパティで定義される属性に使用する値を指定します。 デフォルト値: |
|
blockSize |
いいえ |
単純な結果ページングとVLV索引検索のブロック・サイズ。 デフォルト値: |
|
Bundle Version |
いいえ |
コネクタ・バンドル・クラスのバージョン。 デフォルト値: |
|
Connector Name |
いいえ |
コネクタ・クラスの名前。 デフォルト値: |
|
standardChangelog |
いいえ |
SyncOp操作時にコネクタによるchangelog属性へのアクセスで標準形式を使用するか特定のメカニズムを使用するかを示すフラグ。 ノート: OUDをターゲット・システムとして使用している場合は、このパラメータの値を |
|
enabledAttribute |
いいえ |
アカウントを有効化または無効化するために必要な属性の名前。 デフォルト値: ノート: ODSEEまたはLDAPv3準拠ディレクトリ・サーバーをターゲット・システムとして使用している場合は、このパラメータの値を |
|
synchronizeWithModifyTimestamps |
いいえ |
SyncOp操作時にコネクタがchangelog属性のかわりにmodify timestamps属性を使用する必要があるかどうかを指定します。 デフォルト値: |
|
vlvSortAttribute |
いいえ |
VLV索引のソート・キーとして使用される属性。 デフォルト値: |
|
enabledValue |
いいえ |
アカウントが有効になっているときに常に、enabledAttributeプロパティで定義される属性に使用する値を指定します。 デフォルト値: |
|
accountSynchronizationFilter |
いいえ |
SyncOp操作時に戻されるすべてエントリが一致する必要があるフィルタ。 デフォルト値: |
|
filterWithOrInsteadOfAnd |
いいえ |
ORフィルタとANDフィルタのどちらを使用してchangelogフィルタを設定するかを指定します。デフォルト値は ANDフィルタではなくORフィルタを使用して変更ログ・フィルタを設定する場合は、 ORフィルタの形式は次のとおりです。
ANDフィルタの形式は次のとおりです。
|
|
usePagedResultControl |
いいえ |
どちらも使用できる場合に、単純なページ検索をVLV索引検索よりも優先するかどうかを指定します。 デフォルト値: |
|
objectClassesToSynchronize |
いいえ |
このエントリは、同期されるオブジェクト・クラスのリストを保持します。同期されたエントリが返されるためには、このリストのオブジェクト・クラスを少なくとも1つ含む必要があります。このオブジェクト・クラス・リストが空の場合、またはコード・キーがない場合、オブジェクト・クラスに対するフィルタ処理は行われません。 デフォルト値: ノート: ODSEEまたはLDAPv3準拠ディレクトリ・サーバーをターゲット・システムとして使用している場合は、このパラメータの値を |
|
changeLogBlockSize |
いいえ |
SyncOp操作時にchangelogを読み取る際の、単純な結果ページングとVLV索引検索のブロック・サイズ。 デフォルト値: |
|
maintainPosixGroupMembership |
いいえ |
名前が変更されたユーザー・エントリや削除されたユーザー・エントリのグループ・メンバーシップをコネクタが変更するかどうかを指定します。 デフォルト値: |
|
groupMemberAttribute |
いいえ |
POSIX以外の静的グループのメンバーを格納するLDAP属性。 デフォルト値: |
|
accountObjectClasses |
いいえ |
USERオブジェクトで必要なオブジェクト・クラスのリスト。 デフォルト値: |
|
passwordAttribute |
いいえ |
事前定義済のPASSWORD属性が書き込まれる属性の名前。 デフォルト値: |
|
respectResourcePasswordPolicyChangeAfterReset |
いいえ |
デフォルトでは、この値は |
|
maintainLdapGroupMembership |
いいえ |
名前が変更されたユーザー・エントリや削除されたユーザー・エントリのグループ・メンバーシップをコネクタが変更するかどうかを指定します。 デフォルト値: |
|
attributesToSynchronize |
いいえ |
SyncOpが実行されるたびに戻される属性のリスト。 デフォルト値: |
|
readSchema |
いいえ |
スキーマをサーバーから読み取る必要があるかどうかを指定します。 デフォルト値: |
|
uidAttribute |
いいえ |
事前定義済のUID属性をマッピングする必要があるLDAP属性。 デフォルト値: ノート: ODSEEをターゲット・システムとして使用している場合は、このパラメータの値を |
|
enabledWhenNoAttribute |
いいえ |
enabledAttributeに定義されたプロパティがエントリに存在しないときに、ステータスを有効にするか無効にするかを定義します。 デフォルト値: |
|
accountSearchFilter |
いいえ |
どのアカウントも戻されるには一致する必要がある検索フィルタ。 デフォルト値: |
|
Bundle Name |
いいえ |
コネクタ・バンドル・パッケージの名前。 デフォルト値: |
|
changeNumberAttribute |
いいえ |
changelogに使用される属性名。 デフォルト値: ノート: ODSEEまたはLDAPv3準拠ディレクトリ・サーバーをターゲット・システムとして使用している場合は、このパラメータの値を |
|
removeLogEntryObjectClassFromFilter |
いいえ |
changelogフィルタがchangelogオブジェクト・クラスに対する条件を含むかどうかを指定します。 デフォルト値: |
|
disabledRoleName |
いいえ |
アカウントが無効なときにエントリに存在する必要があり、enabledBaseOnRoleが サンプル値: |
|
changelogBaseDn |
いいえ |
コネクタがchangelog属性の値を検索するbaseDN。 デフォルト値: |
|
accountUserNameAttribute |
いいえ |
USERオブジェクトの名前を含む属性。 デフォルト値: |
|
enabledBasedOnRole |
いいえ |
ユーザーの有効化または無効化を、enabledAttribute属性のかわりにロールで制御する必要があるかどうかを指定します。 このエントリの値を デフォルト値: |
|
changelogUidAttribute |
いいえ |
changelog内の変更エントリのuniqueIdを含む属性の名前。 デフォルト値: ノート: ODSEEまたはLDAPv3準拠ディレクトリ・サーバーをターゲット・システムとして使用している場合は、このパラメータの値を |
|
Any Incremental Recon Attribute Type |
いいえ |
すべてのトークンの形式がリコンシリエーション時に受け入れられることを指定します。 デフォルト値: |
|
ldapGroupFilterBehavior |
いいえ |
LDAPグループ・フィルタの動作を指定します。 デフォルト値: |
|
ldapGroupMembershipAttribute |
いいえ |
LDAPグループ・メンバーシップ属性の値を指定します。 デフォルト値: |
|
pwdMaxFailure |
いいえ |
バインドが連続して失敗できる回数を示します。この回数を超えると、ユーザー・アカウントがロックされます。値が0 (ゼロ)の場合、バインドの失敗によるアカウントのロックは行われず、パスワード・ロックアウト・ポリシーの値が無視されます。 デフォルト値: |
|
Pool Max Idle |
いいえ |
プール内のアイドル状態のオブジェクトの最大数。 デフォルト値: |
|
Pool Max Size |
いいえ |
プールで作成できる接続の最大数。 デフォルト値: |
|
Pool Max Wait |
いいえ |
プールが空きオブジェクトを操作に使用できるようになるまで待機する必要のある最大時間(ミリ秒)。 デフォルト値: |
|
プールの最小削除アイドル時間 |
いいえ |
コネクタがアイドル状態のオブジェクトを削除するまで待機する必要のある最小時間(ミリ秒)。 デフォルト値: |
|
Pool Min Idle |
いいえ |
プール内のアイドル状態のオブジェクトの最小数。 デフォルト値: |
4.2.2 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーの認可アプリケーション用の拡張設定パラメータ
ここでは、認可アプリケーションに適用できる構成関連のパラメータについて説明します。デフォルトでは、OUDターゲット・システムの属性値が表示されます。ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・システムのこれらの値は、表に指定されているとおりに更新できます。
表4-3 OUD、ODSEEまたはLDAPv3準拠ディレクトリ・サーバーの認可アプリケーション用の拡張設定パラメータ
| パラメータ | 必須? | 説明 |
|---|---|---|
|
Bundle Name |
いいえ |
コネクタ・バンドル・パッケージの名前。 デフォルト値: |
|
Bundle Version |
いいえ |
コネクタ・バンドル・クラスのバージョン。 デフォルト値: |
|
changeNumberAttribute |
いいえ |
changelogに使用される属性名。 デフォルト値: ノート: ODSEEまたはLDAPv3準拠ディレクトリ・サーバーをターゲット・システムとして使用している場合は、このパラメータの値を |
|
objectClassesToSynchronize |
いいえ |
同期されるオブジェクト・クラスのリスト。同期されたエントリが返されるためには、このリストのオブジェクト・クラスを少なくとも1つ含む必要があります。このオブジェクト・クラス・リストが空の場合、またはコード・キーがない場合、オブジェクト・クラスに対するフィルタ処理は行われません。 デフォルト値: ノート: ODSEEまたはLDAPv3準拠ディレクトリ・サーバーをターゲット・システムとして使用している場合は、このパラメータの値を |
|
changeLogBlockSize |
いいえ |
SyncOp操作時にchangelogを読み取る際の、単純な結果ページングとVLV索引検索のブロック・サイズ。 デフォルト値: |
|
User Configuration Lookup |
いいえ |
ユーザー特有の構成プロパティを含む参照定義の名前この参照定義は、ユーザーのリコンシリエーションを実行するときに構成参照定義として使用されます。このエントリは変更しないでください。 デフォルト値: |
|
enabledAttribute |
いいえ |
アカウントを有効化または無効化するために必要な属性の名前。 デフォルト値: ノート: ODSEEまたはLDAPv3準拠ディレクトリ・サーバーをターゲット・システムとして使用している場合は、このパラメータの値を |
|
enabledWhenNoAttribute |
いいえ |
enabledAttributeに定義されたプロパティがエントリに存在しないときに、ステータスを有効にするか無効にするかを定義します。 デフォルト値: |
|
disabledValue |
いいえ |
アカウントが無効になっているときに常に、enabledAttributeプロパティで定義される属性に使用する値を指定します。 デフォルト値: |
|
enabledValue |
いいえ |
アカウントが有効になっているときに常に、enabledAttributeプロパティで定義される属性に使用する値を指定します。 デフォルト値: |
|
usePagedResultControl |
いいえ |
どちらも使用できる場合に、単純なページ検索をVLV索引検索よりも優先するかどうかを指定します。 デフォルト値: |
|
Any Incremental Recon Attribute Type |
いいえ |
すべてのトークンの形式がリコンシリエーション時に受け入れられることを指定します。 デフォルト値: |
|
Connector Name |
いいえ |
コネクタ・クラスの名前。 デフォルト値: |
|
uidAttribute |
いいえ |
Uidをマッピングする必要があるLDAP属性。 デフォルト値: ノート: ODSEEをターゲット・システムとして使用している場合は、このパラメータの値を |
|
pwdMaxFailure |
いいえ |
バインドが連続して失敗できる回数を示します。この回数を超えると、ユーザー・アカウントがロックされます。この属性が存在しない場合、または値が0 (ゼロ)の場合、バインドの失敗によるロックは行われず、パスワード・ロックアウト・ポリシーの値が無視されます。 デフォルト値: |
|
Pool Max Idle |
いいえ |
プール内のアイドル状態のオブジェクトの最大数。 デフォルト値: |
|
Pool Max Size |
いいえ |
プールで作成できる接続の最大数。 デフォルト値: |
|
Pool Max Wait |
いいえ |
プールが空きオブジェクトを操作に使用できるようになるまで待機する必要のある最大時間(ミリ秒)。 デフォルト値: |
|
プールの最小削除アイドル時間 |
いいえ |
コネクタがアイドル状態のオブジェクトを削除するまで待機する必要のある最小時間(ミリ秒)。 デフォルト値: |
|
Pool Min Idle |
いいえ |
プール内のアイドル状態のオブジェクトの最小数。 デフォルト値: |
4.3 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用の属性マッピング
「スキーマ」ページの属性マッピングは、ターゲット・アプリケーションと認可アプリケーションのどちらを作成するかによって異なります。
4.3.1 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・アプリケーション用の属性マッピング
ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性をターゲット・システムの属性にマップするデフォルトのスキーマ(コネクタに付属)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作時にこれらのマッピングを使用します。
LDAPユーザー・アカウントの属性
表4-4に、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システムの属性間のユーザー固有の属性マッピングを示します。また、この表には、特定の属性がプロビジョニングまたはリコンシリエーション時に使用されるかどうかと、リコンシリエーション時にレコードをフェッチするための照合キー・フィールドであるかどうかも示します。
必要な場合は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って新しい属性を追加したり既存の属性を削除することで、デフォルトの属性マッピングを編集できます。
表4-4 LDAPユーザー・アカウント用のデフォルトの属性マッピング
| 表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ? | プロビジョニング・フィールド? | リコンシリエーション・フィールド? | キー・フィールド? | 大/小文字を区別しない? |
|---|---|---|---|---|---|---|---|
|
ユーザーID |
uid |
文字列 |
はい |
はい |
はい |
いいえ |
適用外 |
|
役職 |
title |
文字列 |
いいえ |
はい |
はい |
いいえ |
適用外 |
|
名 |
givenname |
文字列 |
いいえ |
はい |
はい |
いいえ |
適用外 |
|
ミドル・ネーム |
initials |
文字列 |
いいえ |
はい |
はい |
いいえ |
適用外 |
|
姓 |
sn |
文字列 |
はい |
はい |
はい |
いいえ |
適用外 |
|
共通名 |
cn |
文字列 |
はい |
はい |
はい |
いいえ |
適用外 |
|
部門 |
departmentnumber |
文字列 |
いいえ |
はい |
はい |
いいえ |
適用外 |
|
場所 |
l |
文字列 |
いいえ |
はい |
はい |
いいえ |
適用外 |
|
電話 |
telephonenumber |
文字列 |
いいえ |
はい |
はい |
いいえ |
適用外 |
|
電子メール |
|
文字列 |
いいえ |
はい |
はい |
いいえ |
適用外 |
|
通信言語 |
preferredlanguage |
文字列 |
いいえ |
はい |
はい |
いいえ |
適用外 |
|
NsuniqueID |
__UID__ |
文字列 |
いいえ |
はい |
はい |
はい |
適用外 |
|
コンテナDN |
__parentDN__ |
文字列 |
はい |
いいえ |
はい |
いいえ |
適用外 |
|
ステータス |
__ENABLE__ |
文字列 |
いいえ |
いいえ |
はい |
いいえ |
適用外 |
|
パスワード |
__PASSWORD__ |
文字列 |
いいえ |
はい |
いいえ |
いいえ |
適用外 |
|
名前 |
__NAME__ |
文字列 |
いいえ |
はい |
いいえ |
いいえ |
適用外 |
|
ログイン無効 |
__ENABLED__ |
文字列 |
いいえ |
はい |
いいえ |
いいえ |
適用外 |
図4-1に、ターゲット・アプリケーションのデフォルトのLDAPユーザー・アカウント属性マッピングを示します。
図4-1 ターゲット・アプリケーションのLDAPユーザー・アカウント用のデフォルトの属性マッピング
「図4-1 ターゲット・アプリケーションのLDAPユーザー・アカウント用のデフォルトの属性マッピング」の説明
グループ権限の属性
表4-5に、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システムの属性間のグループ権限の属性マッピングを示します。この表には、特定の属性がプロビジョニング時に必須かどうかを示します。また、特定の属性がリコンシリエーション時に使用されるかどうか、リコンシリエーション時にレコードをフェッチするための照合キー・フィールドであるかどうかも示します。
必要な場合は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って新しい属性を追加したり既存の属性を削除することで、デフォルトの属性マッピングを編集できます。
表4-5 グループ権限用のデフォルトの属性マッピング
| 表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ? | リコンシリエーション・フィールド | キー・フィールド? | 大/小文字を区別しない? |
|---|---|---|---|---|---|---|
|
グループ名 |
ldapGroups |
文字列 |
いいえ |
はい |
はい |
いいえ |
図4-2に、デフォルトのグループ権限属性マッピングを示します。
ロール権限の属性
表4-6に、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システムの属性間のロール権限の属性マッピングを示します。この表には、特定の属性がプロビジョニング時に必須かどうかを示します。また、特定の属性がリコンシリエーション時に使用されるかどうか、リコンシリエーション時にレコードをフェッチするための照合キー・フィールドであるかどうかも示します。
ノート:
OUDおよびOpenLDAPターゲット・システムではロールがサポートされていません。したがって、ロール権限用のこれらの属性マッピングは、ロールがサポートされているODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・システムにのみ適用できます。必要な場合は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って新しい属性を追加したり既存の属性を削除することで、デフォルトの属性マッピングを編集できます。
表4-6 ロール権限用のデフォルトの属性マッピング
| 表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ? | リコンシリエーション・フィールド | キー・フィールド? | 大/小文字を区別しない? |
|---|---|---|---|---|---|---|
|
ロール |
nsroledn |
文字列 |
いいえ |
はい |
はい |
いいえ |
図4-3に、デフォルトのロール子属性マッピングを示します。
4.3.2 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーの認可アプリケーション用の属性マッピング
認可アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性をターゲット・システムの列にマップするデフォルトのスキーマ(コネクタに付属)が表示されます。コネクタは、リコンシリエーション操作の際にこれらのマッピングを使用します。
表4-7に、Oracle Identity Governanceのリコンシリエーション・フィールドとターゲット・システムの列間のユーザー固有の属性マッピングを示します。また、特定の属性のデータ型と、リコンシリエーションの必須属性であるかどうかも示します。
必要な場合は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って「スキーマ」ページで新しい属性を追加したり既存の属性を削除することで、これらの属性マッピングを編集できます。
事前に設定されているデフォルトのスキーマを使用することも、次のステップに進む前にデフォルトのスキーマを更新および変更することもできます。
「組織名」、「ロール」「Xellerateタイプ」および「ステータス」アイデンティティ属性は、OIGユーザー・フォームの必須フィールドです。これらは、リコンシリエーション時に空白にしておくことはできません。これらのアイデンティティ属性のターゲット属性マッピングは、ターゲット・システムに対応する列がないため、デフォルトでは空です。したがって、リコンシリエーション時に使用できるデフォルト値(表4-7の「アイデンティティ表示名のデフォルト値」列に記載)がコネクタによって提示されます。たとえば、「組織名」属性のデフォルトのターゲット属性値は、「Xellerateユーザー」です。これは、ターゲット・システムのすべてのユーザー・アカウントがOracle Identity Governanceの「Xellerateユーザー」組織にリコンサイルされることを意味します。同様に、「Xellerateタイプ」属性のデフォルト属性値は「エンドユーザー」であり、これはリコンサイルされたユーザー・レコードはすべてエンド・ユーザーとマークされることを意味します。
表4-7 LDAP信頼できるユーザー・スキーマの属性
| アイデンティティ表示名 | ターゲット属性 | データ型 | 必須リコンシリエーション・プロパティ? | リコンシリエーション・フィールド? | アイデンティティ表示名のデフォルト値 |
|---|---|---|---|---|---|
|
電子メール |
|
文字列 |
いいえ |
はい |
該当なし |
|
ロール |
該当なし |
文字列 |
いいえ |
はい |
フルタイム |
|
名 |
givenname |
文字列 |
いいえ |
はい |
該当なし |
|
姓 |
sn |
文字列 |
いいえ |
はい |
該当なし |
|
ミドル・ネーム |
initials |
文字列 |
いいえ |
はい |
該当なし |
|
NsuniqueID |
__UID__ |
文字列 |
いいえ |
はい |
該当なし |
|
組織名 |
該当なし |
文字列 |
いいえ |
はい |
Xellerateユーザー |
|
ステータス |
__ENABLE__ |
文字列 |
いいえ |
はい |
該当なし |
|
ユーザー・ログイン |
uid |
文字列 |
いいえ |
はい |
該当なし |
|
Xellerateタイプ |
該当なし |
文字列 |
いいえ |
はい |
エンドユーザー |
図4-4に、認可アプリケーションのデフォルトのLDAP信頼できるユーザー・アカウント属性マッピングを示します。
図4-4 認可アプリケーションのLDAP信頼できるユーザー・アカウント用のデフォルトの属性マッピング
「図4-4 認可アプリケーションのLDAP信頼できるユーザー・アカウント用のデフォルトの属性マッピング」の説明
4.4 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用の相関ルール
ターゲット・アプリケーションと認可アプリケーションの事前定義済のルール、レスポンスおよび状況について学習します。コネクタは、リコンシリエーションの実行にこれらのルールおよびレスポンスを使用します。
4.4.1 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・アプリケーション用の相関ルール
ターゲット・アプリケーションを作成する際、コネクタは相関ルールを使用してOracle Identity Governanceでリソースを割り当てる必要があるアイデンティティを特定します。
事前定義済のアイデンティティ・ルール
デフォルトでは、コネクタにより、ターゲット・アプリケーションの作成時に単純相関ルールが提示されます。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較し、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表4-8に、コネクタ用のデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集することも、新しいルールを追加することもできます。また、複合相関ルールも作成できます。単純または複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項を参照してください。
表4-8 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・アプリケーション用の事前定義済アイデンティティ相関ルール
| ターゲット属性 | 要素演算子 | アイデンティティ属性 | 大/小文字を区別する? |
|---|---|---|---|
| uid | Equals | User Login | いいえ |
| __UID__ | Equals | NsuniqueID | いいえ |
-
uidは、ユーザーの一意のログイン名です。
-
User Loginは、OIGユーザー・フォームのフィールドです。
-
__UID__は、ユーザー・アカウントを一意に識別するターゲット・システムの属性です。
-
NsuniqueIDは、OIGユーザー・フォームのフィールドです。
図4-5 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・アプリケーション用の単純相関ルール
「図4-5 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・アプリケーション用の単純相関ルール」の説明
事前定義済の状況およびレスポンス
コネクタにより、ターゲット・アプリケーションの作成時にデフォルトの一連の状況およびレスポンスが提示されます。これらの状況およびレスポンスは、Oracle Identity Governanceがリコンシリエーション・イベントの結果に基づいて実行する必要がある処理を指定します。
表4-9に、アプリケーション用のデフォルトの状況およびレスポンスを示します。必要に応じて、これらのデフォルトの状況およびレスポンスを編集することも、新しい状況およびレスポンスを追加することもできます。状況およびレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項を参照してください。
表4-9 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・アプリケーション用の事前定義済の状況およびレスポンス
| 状況 | レスポンス |
|---|---|
|
一致が見つからなかった場合 |
最小ロードの管理者への割当て |
|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
|
1つのプロセス一致が見つかった場合 |
リンクの確立 |
図4-6に、OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用にターゲット・アプリケーションを作成しているときに、コネクタによってデフォルトで提示される状況およびレスポンスを示します。
図4-6 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・アプリケーション用の事前定義済の状況およびレスポンス
「図4-6 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・アプリケーション用の事前定義済の状況およびレスポンス」の説明
4.4.2 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーの認可アプリケーション用の相関ルール
認可アプリケーションを作成する際、コネクタは相関ルールを使用してOracle Identity Governanceにリコンサイルする必要があるアイデンティティを特定します。
事前定義済のアイデンティティ相関ルール
デフォルトでは、コネクタにより、認可アプリケーションの作成時に単純相関ルールが提示されます。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較し、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表4-10に、認可アプリケーション用のデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集することも、新しいルールを追加することもできます。また、複合相関ルールも作成できます。単純または複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項を参照してください。
表4-10 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用の認可アプリケーションのための事前定義済のアイデンティティ相関ルール
| ターゲット属性 | 要素演算子 | アイデンティティ属性 | 大/小文字を区別する? |
|---|---|---|---|
|
uid |
Equals |
User Login |
いいえ |
-
uidは、ユーザーの一意のログイン名です。
-
User Loginは、OIGユーザー・フォームのフィールドです。
図4-7に、OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用に認可アプリケーションを作成しているときの単純相関ルールを示します。
図4-7 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーの認可アプリケーション用の単純相関ルール
「図4-7 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーの認可アプリケーション用の単純相関ルール」の説明
事前定義済の状況およびレスポンス
コネクタにより、認可アプリケーションの作成時にデフォルトの一連の状況およびレスポンスが提示されます。これらの状況およびレスポンスは、Oracle Identity Governanceがリコンシリエーション・イベントの結果に基づいて実行する必要がある処理を指定します。
表4-11に、デフォルトの状況およびレスポンスを示します。必要に応じて、これらのデフォルトの状況およびレスポンスを編集することも、新しい状況およびレスポンスを追加することもできます。状況およびレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項を参照してください。
表4-11 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーの認可アプリケーション用の事前定義済の状況およびレスポンス
| 状況 | レスポンス |
|---|---|
|
一致が見つからなかった場合 |
ユーザーの作成 |
|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
|
1つのプロセス一致が見つかった場合 |
リンクの確立 |
図4-8に、OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用に認可アプリケーションを作成しているときに、コネクタによってデフォルトで提示される状況およびレスポンスを示します。
図4-8 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーの認可アプリケーション用の事前定義済の状況およびレスポンス
「図4-8 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーの認可アプリケーション用の事前定義済の状況およびレスポンス」の説明
4.5 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用のリコンシリエーション・ジョブ
OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・アプリケーションまたは認可アプリケーションを作成するとOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブについて学習します。
4.5.1 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・アプリケーション用のリコンシリエーション・ジョブ
ここでは、アプリケーションを作成すると、Oracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブについて説明します。
これらの事前定義済ジョブを使用することも、要件を満たすようにこれらのジョブを編集することもできます。あるいは、カスタム・リコンシリエーション・ジョブを作成できます。これらの事前定義済ジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリコンシリエーション・ジョブの更新に関する項を参照してください。
LDAP Connector User Search Reconciliationジョブ
LDAP Connector User Search Reconciliationジョブは完全リコンシリエーションを実行する場合に使用しますが、これにはターゲット・アプリケーションからOracle Identity Governanceへのすべてのユーザー・レコードのリコンシリエーションが含まれます。ターゲット・システムでmodifyTimestampがサポートされている場合は、このリコンシリエーション・ジョブを使用して増分リコンシリエーションを実行できます。
表4-12 LDAP Connector User Search Reconciliationジョブのパラメータ
| パラメータ | 説明 |
|---|---|
|
Application Name |
ターゲット・システム用に作成されたアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は修正しないでください。 |
|
Filter |
スケジュール済ジョブでリコンサイルする必要があるレコードをフィルタ処理する式を入力します。 サンプル値: 作成して使用できるフィルタ式の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタの構文に関する項を参照してください。 |
|
Object Type |
この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: このデフォルト値は変更しないでください。 |
|
Incremental Recon Attribute |
ユーザー・レコードが変更された時点のタイムスタンプを保持する、ターゲット・システム列の名前。 デフォルト値: このデフォルト値は変更しないでください。 |
|
Scheduled Task Name |
スケジュール済タスクの名前 ノート: このコネクタに同梱されているスケジュール済タスクについては、この属性の値を変更しないでください。ただし、タスクのコピーを作成した場合は、そのスケジュール済タスクの一意の名前をこの属性の値として入力できます。 |
|
Latest Token |
このパラメータは、Incremental Recon Attributeパラメータの値として指定されたターゲット・システム列の値を保持します。Latest Tokenパラメータは内部目的で使用されます。デフォルトでは、この属性は空です。 この属性には値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 |
LDAP Connector User Sync Reconciliationジョブ
ターゲット・システムでchangelogがサポートされている場合、LDAP Connector User Sync Reconciliationジョブを使用して増分リコンシリエーションを実行できます。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Governanceにフェッチされます。
表4-13 LDAP Connector User Sync Reconciliationジョブのパラメータ
| パラメータ | 値 |
|---|---|
|
Application Name |
ターゲット・システム用に作成されたアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は修正しないでください。 |
|
Object Type |
リコンサイルするオブジェクトのタイプ デフォルト値: |
|
Scheduled Task Name |
スケジュール済タスクの名前 ノート: このコネクタに同梱されているスケジュール済タスクについては、この属性の値を変更しないでください。ただし、タスクのコピーを作成した場合は、そのスケジュール済タスクの一意の名前をこの属性の値として入力できます。 |
|
Sync Token |
前回のリコンシリエーション実行が開始したときのタイムスタンプ ノート: この属性に値を入力しないでください。リコンシリエーション・エンジンにより、この属性の値は自動的に入力されます。 この属性が空白の値に設定されると、増分リコンシリエーション操作はすべてのレコードをフェッチします(完全リコンシリエーションが実行されます)。 |
LDAP Connector User Search Delete Reconciliationジョブ
LDAP Connector User Search Delete Reconciliationジョブは、ターゲット・アプリケーションから削除されたユーザー・アカウントに関するデータをリコンサイルする場合に使用します。
表4-14 LDAP Connector User Search Delete Reconciliationジョブのパラメータ
| パラメータ | 説明 |
|---|---|
|
Application Name |
ターゲット・システム用に作成されたアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は修正しないでください。 |
|
Object Type |
この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: このデフォルト値は変更しないでください。 |
権限用のリコンシリエーション・ジョブ
次のジョブは、権限のリコンシリエーションに使用できます。
-
LDAP Connector Role Lookup Reconciliation
-
LDAP Connector Group Lookup Reconciliation
-
LDAP Connector OU Lookup Reconciliation
パラメータは、すべてのリコンシリエーション・ジョブで共通です。
表4-15 権限用のリコンシリエーション・ジョブのパラメータ
| パラメータ | 説明 |
|---|---|
|
Application Name |
ターゲット・システム用に作成されたアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 ノート: この値は変更しないでください。 |
|
Filter |
リコンシリエーションの実行時にターゲット・システムからフェッチされるユーザー・レコードの検索フィルタを入力します。 LDAP Connector Group Lookup Reconciliationジョブのサンプル値は次のとおりです: |
|
Object Type |
同期させる必要のある値を含むオブジェクトのタイプを入力します。 デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。
ノート: この属性の値は変更しないでください。 |
|
Lookup Name |
このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。 デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。
|
|
Decode Attribute |
参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用される、コネクタまたはターゲット・システムの属性の名前を入力します。 デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。
|
|
Code Key Attribute |
参照定義のコード・キー列を移入するのに使用する、コネクタの名前またはターゲット・システム属性を入力します(「参照名」属性の値として指定)。 デフォルト値: ノート: この属性の値は変更しないでください。 |
4.5.2 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーの認可アプリケーション用のリコンシリエーション・ジョブ
ここでは、ターゲット・システム用に認可アプリケーションを作成すると、Oracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブについて説明します。
これらの事前定義済ジョブを使用することも、要件を満たすようにこれらのジョブを編集することもできます。あるいは、カスタム・リコンシリエーション・ジョブを作成できます。これらの事前定義済ジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリコンシリエーション・ジョブの更新に関する項を参照してください。
LDAP Connector Trusted User Reconciliationジョブ
LDAP Connector Trusted User Reconciliationジョブは完全リコンシリエーションを実行する場合に使用しますが、これには認可アプリケーションで直接作成または変更されたすべてのユーザー・レコードのOracle Identity Governanceへのリコンシリエーションが含まれます。コネクタは、対応するOIGユーザーの作成または更新にこのデータを使用します。ターゲット・システムでmodifyTimestampがサポートされている場合は、このリコンシリエーション・ジョブを使用して増分リコンシリエーションを実行できます。
表4-16 LDAP Connector Trusted User Reconciliationジョブのパラメータ
| パラメータ | 値 |
|---|---|
|
Application Name |
ターゲット・システム用に作成されたアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は修正しないでください。 |
|
Filter |
スケジュール済ジョブでリコンサイルする必要があるレコードをフィルタ処理する式を入力します。 サンプル値: 作成して使用できるフィルタ式の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタの構文に関する項を参照してください。 |
|
Object Type |
この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: このデフォルト値は変更しないでください。 |
|
Incremental Recon Attribute |
ユーザー・レコードが変更された時点のタイムスタンプを保持する、ターゲット・システム列の名前。 デフォルト値: このデフォルト値は変更しないでください。 |
|
Scheduled Task Name |
スケジュール済タスクの名前 ノート: このコネクタに同梱されているスケジュール済タスクについては、この属性の値を変更しないでください。ただし、タスクのコピーを作成した場合は、そのスケジュール済タスクの一意の名前をこの属性の値として入力できます。 |
|
Latest Token |
このパラメータは、Incremental Recon Attributeパラメータの値として指定されたターゲット・システム列の値を保持します。Latest Tokenパラメータは内部目的で使用されます。デフォルトでは、この属性は空です。 この属性には値を入力しないでください。リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。 |
LDAP Connector Trusted User Delete Reconciliationジョブ
LDAP Connector Trusted User Delete Reconciliationジョブは、認可アプリケーションから削除されたユーザー・アカウントに関するデータをリコンサイルする場合に使用します。
ノート:
このリコンシリエーション・ジョブを実行する前に、ターゲット・システムのすべてのユーザーにUser IDターゲット属性の一意の値が割り当てられていることを確認してください。そうしないと、予期しないエラーが発生する可能性があります。
表4-17 LDAP Connector Trusted User Delete Reconciliationジョブのパラメータ
| パラメータ | 値 |
|---|---|
|
Application Name |
ターゲット・システム用に作成されたアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は修正しないでください。 |
|
Object Type |
リコンサイルするオブジェクトのタイプ。 デフォルト値: |