6 Oracle Internet Directoryコネクタの使用

要件を満たすようにアプリケーションを構成すると、Oracle Internet Directoryコネクタを使用してリコンシリエーションおよびプロビジョニングの操作を実行できます。

• コネクタ使用のガイドライン

• リコンシリエーションの構成

• OUDリリース11.1.1.5.0の新規作成したオブジェクトのリコンシリエーション

• Oracle Identity Governanceの対応する組織でのOID、OUDおよびODSEEユーザーのリコンシリエーション

• Oracle Identity Governanceの1組織でのOID、OUDおよびODSEEグループのリコンシリエーション

• Oracle Identity Governanceの1組織でのODSEEロールのリコンシリエーション

• リコンシリエーション・ジョブの構成

• プロビジョニング操作の実行

• OIDでのグループおよび組織単位管理に使用されるコネクタ・オブジェクト

• OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーでのグループ、組織単位およびロール管理に使用されるコネクタ・オブジェクト

• コネクタのアンインストール

6.1 コネクタ使用のガイドライン

ここでは、リコンシリエーションの構成時、プロビジョニング操作の実行時、動的グループまたは仮想静的グループへのコネクタの使用時に適用する必要があるガイドラインを示します。

• リコンシリエーションの構成に関するガイドライン

• プロビジョニング操作の実行に関するガイドライン

• 動的グループおよび仮想静的グループのコネクタの使用に関するガイドライン

6.1.1 リコンシリエーションの構成に関するガイドライン

ここでは、リコンシリエーションを構成する際に適用する必要があるガイドラインを示します。

• ターゲット・リソースのリコンシリエーションを実行する前に、参照定義がターゲット・システムの参照フィールドと同期している必要があります。つまり、ユーザー・リコンシリエーションの実行前に、参照フィールド同期のスケジュール済ジョブを実行する必要があります。

• 削除されたユーザー・データのリコンシリエーションのスケジュール済ジョブの前に、ユーザー・リコンシリエーションのスケジュール済ジョブを実行する必要があります。

• Oracle Identity Governanceではグループ・エンティティはサポートされません。このため、グループのリコンシリエーションのスケジュール済ジョブを実行する前には次のガイドラインに従います。

  • ターゲット・システム内のすべてのグループでデフォルトのコネクタ構成を使用している場合は、Oracle Identity Governanceで、対応する組織単位を作成します(同じグループ名を使用します)。こうすることで、ターゲット・システムのすべてのグループが、新たに作成された組織単位それぞれにリコンサイルされます。

  • 1つの組織に複数のグループをリコンサイルするようにコネクタを構成することもできます。「Oracle Identity Governanceの1組織でのOID、OUDおよびODSEEグループのリコンシリエーション」を参照してください。

• OUDターゲット・システムの場合、OUDの変更ログはレプリケーション・データベースに基づいています。デフォルトでは、レプリケーションは変更ログ・エントリを100時間しか保存しません。レプリケーション消去の遅延を固有の要件に基づいて調整する必要があります。ディスク上のデータベース・サイズはこれに応じて変化します。詳細は、OUDターゲット・システムの変更ログのドキュメントを参照してください。

• ロールのリコンシリエーションは、ODSEEターゲット・システムでしかサポートされません。

• ユーザーに行われた変更がグループ・メンバーシップに関する変更のみの場合、「User Search Reconciliation」スケジュール済ジョブを実行します。これは、changelog属性もmodifiedTimestamp属性も更新されていないためです。したがって、「User Search Reconciliation」スケジュール済ジョブを実行して完全リコンシリエーションを行うことで、それらの変更がリコンサイルされます。

• 多数のレコードをOIDターゲット・システムに対してリコンサイルする場合、パフォーマンスを最適化するために次の拡張設定パラメータの値を指定する必要があります。

  • ターゲット・リソース構成の場合

    blockSizeおよびchangeLogBlockSizeパラメータの値を、環境の要件に合うように変更または増加します。

    readTimeoutおよびconnectTimeoutパラメータの値を指定します。これらのパラメータが「拡張設定」セクションで使用できない場合は、「LDAP操作タイムアウトのためのコネクタの構成」の説明に従ってxml/OID-target-template.xmlファイルを更新することで手動でこれらのパラメータを追加できます。

  • 信頼できるソース構成の場合

    usePagedResultControlパラメータの値をtrueに設定します。

6.1.2 プロビジョニング操作の実行に関するガイドライン

ここでは、プロビジョニング操作を実行する際に適用する必要があるガイドラインについて説明します。

• プロビジョニング操作を実行する前に、参照定義がターゲット・システムの参照フィールドと同期している必要があります。つまり、プロビジョニング操作の前に、参照フィールド同期のスケジュール済タスクを実行する必要があります。

• ユーザー、グループ、ロールまたは組織単位のプロビジョニングをベース・コンテキストで直接行うには、baseContexts基本構成パラメータをベース・コンテキスト名に設定します。

  サンプル値: dc=example,dc=com

• Oracle Internet Directoryターゲット・システムでは、「マネージャ名」フィールドはDN値しか受け入れません。そのため、Oracle Identity Governanceで「マネージャ名」フィールドを設定または変更する場合は、DN値を入力する必要があります。

  たとえば: cn=abc,ou=lmn,dc=corp,dc=com

• ロールのプロビジョニングは、ODSEEターゲット・システムでしかサポートされません。

• Oracle Identity Governanceでグループ・プロビジョニングを実行するには、Oracle Identity Governanceの組織にLDAP Groupリソース・オブジェクトをプロビジョニングします。コネクタは、グループのオブジェクト・クラスとしてgroupOfUniqueNamesを使用します。

• Oracle Identity Governanceで組織単位プロビジョニングを実行するには、Oracle Identity Governanceの組織にLDAP Organisation Unitリソース・オブジェクトをプロビジョニングします。コネクタは、組織単位プロビジョニングにorganizationalUnitオブジェクト・クラスを使用します。

6.1.3 動的グループおよび仮想静的グループのコネクタの使用に関するガイドライン

このコネクタは、LDAPの動的グループおよび仮想静的グループをデフォルトでサポートしません。動的グループまたは仮想静的グループのコネクタを使用する場合は、次のガイドラインを適用する必要があります。

• OUDの参照整合性が有効であることを確認します。

• maintainLdapGroupMembership拡張設定パラメータの値をfalseに設定します。

6.2 リコンシリエーションの構成

リコンシリエーションでは、ターゲット・システムでのユーザー・アカウントの作成および変更がOracle Identity Governanceで複製されます。

この項では、リコンシリエーションの構成に関する次の項目について詳しく説明します。

• 完全リコンシリエーションおよび増分リコンシリエーションの実行

• 制限付きリコンシリエーションの実行

ノート:

次のシナリオを考えてみます。ユーザーを組織(org1)にプロビジョニングしてから、そのユーザーを別の組織(org2)に移動します。信頼できるリコンシリエーションとターゲット・ユーザー同期リコンシリエーションを実行します。この結果、2つのリソースがユーザーにアタッチされます(削除済とプロビジョニング済)。

これはコネクタの正常な動作です。ユーザーをorg2に移動すると、そのユーザーがorg1にまだ存在していても、ターゲット・ディレクトリは、org1のユーザーが削除されたとみなします。ただし、ユーザーはorg2にも存在し、プロビジョニングされたとみなされます。

6.2.1 完全リコンシリエーションおよび増分リコンシリエーションの実行

完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Governanceにフェッチされます。

コネクタをデプロイした後はまず、完全リコンシリエーションを実行する必要があります。さらに、すべてのターゲット・システム・レコードをOracle Identity Governanceで確実にリコンサイルする必要がある場合は、いつでも増分リコンシリエーションを完全リコンシリエーションに切り替えることができます。

完全リコンシリエーション: 完全リコンシリエーションを実行するには、ユーザー、グループまたはロールの検索リコンシリエーション・スケジュール済ジョブでFilter属性とLatest Token属性に値を指定しないでください。

増分リコンシリエーション: ターゲット・システムで変更ログがサポートされる場合は、同期リコンシリエーションを使用して増分リコンシリエーションを実行できます。増分リコンシリエーションを実行するには、ユーザー、グループまたはロールの同期リコンシリエーション・スケジュール済ジョブでSync Token属性の値を指定します。次回の実行から、Sync Token属性の値の後で作成または変更されたレコードのみがリコンシリエーションの対象とみなされます。

増分リコンシリエーションは、modifyTimestamp値に基づいて検索をフィルタ処理して実行することもできます。タイムスタンプ値は、完全リコンシリエーションの後で検索リコンシリエーション・スケジュール済タスクで更新されます。次回の実行から、タスクは増分リコンシリエーション・モードで実行します。

ノート:

前提条件として、modifyTimeStampを索引付きの検索可能属性として構成します。

これらのリコンシリエーション・ジョブの詳細は、「OID用のリコンシリエーション・ジョブ」および「OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用のリコンシリエーション・ジョブ」を参照してください。

6.2.2 制限付きリコンシリエーションの実行

デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。

制限付きリコンシリエーションを行う方法を次に示します。

• フィルタを使用した制限付きリコンシリエーションの実行

• グループ・メンバーシップに基づいた制限付きリコンシリエーションの実行

6.2.2.1 フィルタを使用した制限付きリコンシリエーションの実行

リコンシリエーション・モジュールにフィルタを作成して制限付きリコンシリエーションを実行し、指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。

このコネクタのFilter属性(スケジュール済タスクの属性)により、任意のOIDリソース属性を使用してターゲット・システム・レコードをフィルタ処理できます。

ICFフィルタの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタ構文に関する項を参照してください。

アプリケーションを作成するときは、「リコンシリエーション・ジョブの構成」の手順に従って属性値を指定します。

6.2.2.2 グループ・メンバーシップに基づいた制限付きリコンシリエーションの実行

制限付きリコンシリエーションは、グループ・メンバーシップに基づいて実行できます。特定のグループに関連付けられているユーザーのみをリコンサイルするには、フィルタを構成します。

• ODSEEおよびOUDの場合:

  • ldapGroupFilterBehavior拡張設定パラメータをacceptに設定します。

  • ldapGroupMembershipAttribute拡張設定パラメータをismemberofに設定します。

  フィルタを次のように指定します。

  containsAllValues('ldapGroups','cn=grp1,ou=groups,dc=example,dc=com')
  

• OIDの場合:

  • ldapGroupFilterBehavior拡張設定パラメータをignoreに設定します。

  • ldapGroupMembershipAttribute拡張設定パラメータをismemberofに設定します。

  フィルタを次のように指定します。

  containsAllValues('ldapGroups','cn=grp1,ou=groups,dc=example,dc=com')
  

これらの例で、grp1はユーザーが関連付けられているグループです。

6.3 OUDリリース11.1.1.5.0の新規作成したオブジェクトのリコンシリエーション

新しいオブジェクト(ユーザー、OUまたはグループ)をOUDリリース11.1.1.5.0で作成し、Incremental Recon AttributeにmodifyTimestampを設定して検索リコンシリエーション・ジョブを実行した場合、リコンシリエーション・イベントは新しいオブジェクトに対して作成されません。新規作成したオブジェクトをリコンサイルするには、Incremental Recon AttributeにcreateTimestampを設定して完全リコンシリエーションを実行する必要があります。

新規作成したオブジェクトを別にリコンサイルするために、新しいリコンシリエーション・ジョブを作成するには、次のようにします。

1. Identity Self Serviceを使用して、新しい完全リコンシリエーション・ジョブを作成します。
2. リコンサイルするオブジェクト・タイプ(ユーザー、OUまたはグループ)に応じて「ジョブ名」を設定します。たとえば、OUD New Users Search Reconciliationとします。
3. 「オブジェクト・タイプ」を、リコンサイルするオブジェクト・タイプに応じて、User、OUまたはGroupに設定します。
4. Incremental Recon Attributeパラメータを追加し、値をcreateTimestampに設定します。
5. Scheduled Task Nameパラメータを追加し、値をステップ2で指定したジョブ名に設定します。
6. 要件に応じて、FilterパラメータとLatest Tokenパラメータを追加します。
7. 「適用」をクリックしてジョブを保存します。

関連項目:

新しいリコンシリエーション・ジョブの作成の手順は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリコンシリエーション・ジョブの更新に関する項を参照してください。

6.4 Oracle Identity Governanceの対応する組織でのOID、OUDおよびODSEEユーザーのリコンシリエーション

このオプションのタスクは、Oracle Identity Governanceの対応する組織でOID、OUDまたはODSEEターゲット・システムからユーザーをリコンサイルする場合に実行します。そのためには、認可アプリケーションに設定されているデフォルトのスキーマを更新します。

Oracle Identity Governanceの対応する組織でOID、OUDまたはODSEEターゲット・システムからユーザーをリコンサイルするには、次のようにします。

1. ターゲット・システムの組織に対応する組織を同じ名前でOracle Identity Governanceに必ず作成しておきます。
   Identity Self Serviceの「組織の作成」ページから組織を作成します。
2. 「スキーマ」ページで、表4-7の「組織名」アイデンティティ属性の値を更新します。そのためには、「組織名」アイデンティティ属性に対応する「ターゲット属性」列に、__PARENTRDNVALUE__と入力します。

関連項目:

『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の組織の作成

6.5 Oracle Identity Governanceの1組織でのOID、OUDおよびODSEEグループのリコンシリエーション

このタスクは、Oracle Identity Governanceの対応する組織でOID、OUDまたはODSEEターゲット・システムからグループをリコンサイルする場合に実行します。

1. Oracle Identity Manager Design Consoleにログインします。
2. 使用しているターゲット・システムに応じて、次のように参照定義を編集します。
   OIDの場合: Lookup.OID.Group.Configuration参照定義で次のエントリを検索して追加します。

   • コード: Recon Attribute Defaults

   • デコード: Lookup.OID.Group.Defaults

   OUDおよびODSEEの場合: Lookup.LDAP.Group.Configuration参照定義で次のエントリを検索して追加します。

   • コード: Recon Attribute Defaults

   • デコード: Lookup.LDAP.Group.Defaults

   指定のデコード値は例であり、独自の参照名を設定できます。
3. 使用しているターゲット・システムに応じて、新しい参照定義を作成します。

   • OIDの場合: Lookup.OID.Group.Defaults

   • OUDおよびODSEEの場合: Lookup.LDAP.Group.Defaults

4. 次のエントリを追加します。

   • コード: Org Name

   • デコード: Group1

   指定のデコード値はOracle Identity Governance組織の名前の一例であり、この組織にすべてのグループをリコンサイルする必要があります。

5. 使用しているターゲット・システムに応じて、参照定義を検索します。

   • OIDの場合: Lookup.OID.Group.ReconAttrMap

   • OUDおよびODSEEの場合: Lookup.LDAP.Group.ReconAttrMap

6. コードがOrg Nameの行を削除します。
7. 使用しているターゲット・システムに応じて、次のリコンシリエーション・ルールのいずれかを検索して編集します。

   • OIDの場合: OID Group Recon

   • OUDおよびODSEEの場合: LDAP Group Recon

8. 現在のルールOrganization Name Equals Group NameをOrganization Name Equals Org Nameに変更します。
9. ルール要素をダブルクリックして属性Group NameをOrg Nameに変更します。
10. ルールを保存します。
11. 使用しているターゲット・システムに応じて、次のリソース・オブジェクトのいずれかを開き、「リコンシリエーション・プロファイルの作成」をクリックします。

    • OIDの場合: OID Group

    • OUDおよびODSEEの場合: LDAP Group

12. 組織名Group1で組織を作成します。
    Identity Self Serviceの「組織の作成」ページから組織を作成します。
13. 使用しているターゲット・システムに応じて、次のリコンシリエーション・ジョブのいずれかを実行します。

    • OIDの場合: OID Connector Group Search Reconジョブ

    • OUDおよびODSEEの場合: LDAP Connector Group Lookup Reconciliationジョブ

    ジョブが完了すると、すべてのグループがターゲット・システムからOracle Identity GovernanceのGroup1組織にリコンサイルされます。開いている組織に公開された権限は、Identity Self Serviceの「使用可能な権限」タブで表示できます。

関連項目:

• Oracle Identity Governanceでの組織の作成の手順は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の組織の作成に関する項を参照してください。

• LDAP Connector Group Lookup Reconciliationジョブのパラメータの詳細は、表4-15を参照してください。

• リコンシリエーションの実行手順は、「リコンシリエーション・ジョブの構成」を参照してください。

6.6 Oracle Identity Governanceの1組織でのODSEEロールのリコンシリエーション

このタスクは、1つの組織でリコンサイルされるようにODSEEロールを構成する場合に実行します。

1. Oracle Identity Manager Design Consoleにログインします。
2. Lookup.LDAP.Role.Configuration参照定義を検索して、次のエントリを追加します。

   • コード: Recon Attribute Defaults

   • デコード: Lookup.LDAP.Role.Defaults

   指定のデコード値は例であり、独自の参照名を設定できます。

3. Lookup.LDAP.Role.Defaultsという名前で新しい参照定義を作成し、次のエントリを追加します。

   • コード: Org Name

   • デコード: Role1

   デコード値はOracle Identity Governance組織の名前の一例であり、この組織にすべてのロールをリコンサイルする必要があります。

4. Lookup.LDAP.Role.ReconAttrMap参照定義を検索して、Org Nameというコードが含まれる行を削除します。
5. リコンシリエーション・ルールLDAP Role Reconを検索して編集します。
   1. 現在のルールOrganization Name Equals Role NameをOrganization Name Equals Org Nameに変更します。
   2. ルール要素をダブルクリックして属性Role NameをOrg Nameに変更します。
   3. ルールを保存します。
6. LDAP Roleリソース・オブジェクトを開き、「Create Reconciliation Profile」をクリックします。
7. Role1という組織名で組織を作成します。
   Identity Self Serviceの「組織の作成」ページから組織を作成します。
8. LDAP Connector Role Search Reconciliationジョブを実行します。
   ジョブが完了すると、すべてのロールがターゲット・システムからOracle Identity GovernanceのRole1組織にリコンサイルされます。開いている組織に公開された権限は、Identity Self Serviceの「使用可能な権限」タブで表示できます。

関連項目:

• Oracle Identity Governanceでの組織の作成の手順は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の組織の作成に関する項を参照してください。

• LDAP Connector Role Search Reconciliationジョブのパラメータの詳細は、表4-15を参照してください。

• リコンシリエーションの実行手順は、「リコンシリエーション・ジョブの構成」を参照してください。

6.7 リコンシリエーション・ジョブの構成

ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Governanceにそのデータを複製するリコンシリエーションを実行するリコンシリエーション・ジョブを構成します。

この手順は、ユーザーおよび権限のためのリコンシリエーション・ジョブを構成する場合に実行できます。

リコンシリエーション・ジョブを構成するには、次のようにします。

1. アイデンティティ・システム管理にログインします。
2. 左ペインの「システム管理」で、「スケジューラ」をクリックします
3. 次のようにして、スケジュール済ジョブを検索して開きます。
   1. 「検索」フィールドに、検索基準としてスケジュール済ジョブの名前を入力します。「拡張検索」をクリックして検索基準を指定することもできます。
   2. 左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
4. 「ジョブの詳細」タブで、スケジュール済タスクのパラメータを変更できます。
   • 再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
   • スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。『Oracle Fusion Middleware Oracle Identity Governanceの管理』のジョブの作成に関する項を参照してください。

   ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。

5. 「ジョブの詳細」タブの「パラメータ」領域で、スケジュール済タスクの属性の値を指定します。

   ノート:

   すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。

6. 「適用」をクリックして変更を保存します。

   ノート:

   Identity System Administrationのスケジューラのステータス・ページを使用して、スケジューラを起動、停止または再初期化できます。

6.8 プロビジョニング操作の実行

「ユーザーの作成」ページを使用して、Identity Self Serviceに新規ユーザーを作成します。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。

Oracle Identity Governanceでプロビジョニング操作を実行するには、次のようにします。

1. Identity Self Serviceにログインします。
2. 次のようにユーザーを作成します。
   1. Identity Self Serviceで、「管理」をクリックします。「ホーム」タブには、異なる「管理」オプションが表示されます。「ユーザー」をクリックします。「ユーザーの管理」ページが表示されます。
   2. 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ユーザーの作成」ページが表示され、ユーザー・プロファイル属性の入力フィールドが表示されます。
   3. 「ユーザーの作成」ページに、ユーザーの詳細を入力します。
3. 「アカウント」タブで、「アカウントのリクエスト」をクリックします
4. 「カタログ」ページで、これまでに構成したコネクタのアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。
5. アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします
6. 「送信」をクリックします。

関連項目:

「ユーザーの作成」ページのフィールドの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のユーザーの作成に関する項を参照してください。

6.9 OIDでのグループおよび組織単位管理に使用されるコネクタ・オブジェクト

作成、更新、削除などのグループ組織単位管理の操作を実行するためにコネクタで使用されるオブジェクトについて学習します。

• OIDでのグループ管理のための事前構成済参照定義

• OIDでの組織単位管理のための事前構成済参照定義

• OIDでのグループおよび組織単位管理のためのリコンシリエーション・スケジュール済ジョブ

6.9.1 OIDでのグループ管理のための事前構成済参照定義

コネクタを使用してアプリケーションを作成すると、グループの参照定義がOracle Identity Governanceで自動的に作成されます。これらの参照定義には、アプリケーションの作成後に値が移入されます。

この項では、グループ操作のための次の参照定義について説明します。

• Lookup.OID.Group.Configuration

• Lookup.OID.Group.ProvAttrMap

• Lookup.OID.Group.ReconAttrMap

6.9.1.1 Lookup.OID.Group.Configuration

Lookup.OID.Group.Configuration参照定義は、グループ・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、グループ管理操作で使用されます。

表6-1に、この参照定義のデフォルト・エントリを示します。

表6-1 Lookup.OID.Group.Configuration参照定義のエントリ

コード・キー	デコード	説明
Provisioning Attribute Map	Lookup.OID.Group.ProvAttrMap	このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。
Recon Attribute Map	Lookup.OID.Group.ReconAttrMap	このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。

6.9.1.2 Lookup.OID.Group.ProvAttrMap

Lookup.OID.Group.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、グループ・プロビジョニング操作の際に使用されます。この参照定義は、事前に構成されています。

表6-2にデフォルト・エントリを示します。プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。

表6-2 Lookup.OID.Group.ProvAttrMap参照定義のエントリ

Oracle Identity Managerのグループ・フィールド	ターゲット・システム・フィールド
コンテナDN[IGNORE,LOOKUP]	container
グループ名	cn
名前	__NAME__="cn=${Group_Name},${Container_DN}"
OrclGuid	__UID__

6.9.1.3 Lookup.OID.Group.ReconAttrMap

Lookup.OID.Group.ReconAttrMap参照定義は、グループのリソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は、リコンシリエーションの際に使用されます。この参照定義は、事前に構成されています。

表6-3にデフォルト・エントリを示します。リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。

表6-3 Lookup.OID.Group.ReconAttrMap参照定義のエントリ

Oracle Identity Managerのグループ・フィールド	ターゲット・システム・フィールド
コンテナDN[LOOKUP]	__parentDN__
グループ名	cn
OrclGuid	__UID__
Org Name	__PARENTRDNVALUE__

6.9.2 OIDでの組織単位管理のための事前構成済参照定義

コネクタを使用してアプリケーションを作成すると、組織単位の参照定義がOracle Identity Governanceで自動的に作成されます。これらの参照定義には、アプリケーションの作成後に値が移入されます。

この項では、組織単位操作のための次の参照定義について説明します。

• Lookup.OID.OU.Configuration

• Lookup.OID.OU.ProvAttrMap

• Lookup.OID.OU.ReconAttrMap

6.9.2.1 Lookup.OID.OU.Configuration

Lookup.OID.OU.Configuration参照定義は、組織単位オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、組織単位管理操作で使用されます。

表6-4に、この参照定義のデフォルト・エントリを示します。

表6-4 Lookup.OID.OU.Configuration参照定義のエントリ

コード・キー	デコード	説明
Provisioning Attribute Map	Lookup.OID.OU.ProvAttrMap	プロビジョニング時に使用される参照。
Recon Attribute Map	Lookup.OID.OU.ReconAttrMap	リコンシリエーション時に使用される参照。

6.9.2.2 Lookup.OID.OU.ProvAttrMap

Lookup.OID.OU.ProvAttrMap参照定義は、組織のプロセス・フォーム・フィールドとターゲット・システム属性をマッピングします。この参照定義は、組織単位プロビジョニング操作を実行するために使用されます。

表6-5に、プロビジョニング操作時に値を指定または変更できるターゲット・システムの組織単位フィールドを示します。

表6-5 Lookup.OID.OU.ProvAttrMap参照定義のエントリ

Oracle Identity Managerの組織フィールド	ターゲット・システム・フィールド
コンテナDN[IGNORE,LOOKUP]	使用されていません。
名前	__NAME__="ou=${Organisation_Unit_Name},${Container_DN}"
OrclGuid	__UID__
組織単位名	ou

6.9.2.3 Lookup.OID.OU.ReconAttrMap

この参照定義は、リコンシリエーションの際に使用されます。表6-6に、この参照定義のエントリを示します。

表6-6 Lookup.OID.OU.ReconAttrMap参照定義のエントリ

コード・キー	デコード
コンテナDN[LOOKUP]	__parentDN__
OrclGuid	__UID__
組織単位名	ou
Org Name	__PARENTRDNVALUE__

6.9.3 OIDでのグループおよび組織単位管理のためのリコンシリエーション・スケジュール済ジョブ

アプリケーションを作成すると、リコンシリエーションのスケジュール済ジョブがOracle Identity Governanceで自動的に作成されます。これらのスケジュール済ジョブを、その属性の値を指定して必要に合うように構成する必要があります。

このトピックでは、次のスケジュール済ジョブについて説明します。

• OIDのグループおよびOUのリコンシリエーションのためのスケジュール済ジョブ

• OIDの削除されたグループおよびOUのリコンシリエーションのためのスケジュール済ジョブ

6.9.3.1 OIDのグループおよびOUのリコンシリエーションのためのスケジュール済ジョブ

グループ管理と組織単位管理のどちらを実行するかに応じて、次のスケジュール済ジョブの属性に値を指定する必要があります。

• OID Connector Group Search Reconciliation

• OID Connector Group Sync Reconciliation

• OID Connector OU Search Reconciliation

• OID Connector OU Sync Reconciliation

次の各項では、グループおよび組織単位管理のためのスケジュール済ジョブとその属性について説明します。

• OID Connector Group Search ReconciliationおよびOID Connector OU Search Reconciliationスケジュール済ジョブ

• OID Connector Group Sync ReconciliationおよびOID Connector OU Sync Reconciliationスケジュール済ジョブ

6.9.3.1.1 OID Connector Group Search ReconciliationおよびOID Connector OU Search Reconciliationスケジュール済ジョブ

OID Connector Group Search Reconciliationスケジュール済ジョブは、OIDからグループ・データをリコンサイルする場合に使用します。同様に、OID Connector OU Search Reconciliationスケジュール済ジョブは、OIDからOUデータをリコンサイルする場合に使用します。次のいずれかの条件が当てはまる場合に、これらのスケジュール済ジョブを使用する必要があります。

• ターゲット・システムに変更ログ属性が含まれない場合。

• ターゲット・システムでグループまたはOUメンバーシップに対して行われた変更をOracle Identity Governanceにリコンサイルする場合。

表6-7に、これらのスケジュール済ジョブの属性の説明を示します。

表6-7 OID Connector Group Search ReconciliationおよびOID Connector OU Search Reconciliationスケジュール済ジョブの属性

属性	説明
Filter	このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。 サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文は、「制限付きリコンシリエーションの実行」を参照してください。
Incremental Recon Attribute	直前のリコンシリエーション実行が開始したタイム・スタンプを保持する、ターゲット・システムの属性名を入力します。 この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。 デフォルト値(すべての検索リコンシリエーション・タスクで共通): modifyTimestamp
IT Resource Name	グループまたはロール・データをリコンサイルする、ターゲット・システム・インストールのITリソースの名前を入力します。 値: OID Server
Latest Token	この属性は、Incremental Recon Attributeのサンプル値を保持します。 ノート: 実行後、リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定すると、この属性の値として指定したタイム・スタンプの後で変更されたユーザー・アカウントしかリコンサイルされなくなります。 完全リコンシリエーションを実行する場合は、このフィールドの値をクリアします。 サンプル値: <String>20120516115131Z</String>
Object Type	リコンサイルされるオブジェクトのタイプ。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 OID Connector Group Search Reconciliationの場合 Group OID Connector OU Search Reconciliationの場合 OU
Resource Object Name	リコンシリエーションに使用されるリソース・オブジェクトの名前。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 OID Connector Group Search Reconciliationの場合 OID Group OID Connector OU Search Reconciliationの場合 OID Organisation Unit
Scheduled Task Name	リコンシリエーションに使用されるスケジュール済タスクの名前。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 OID Connector Group Search Reconciliationの場合 OID Connector Group Search Reconciliation OID Connector OU Search Reconciliationの場合 OID Connector OU Search Reconciliation

6.9.3.1.2 OID Connector Group Sync ReconciliationおよびOID Connector OU Sync Reconciliationスケジュール済ジョブ

OID Connector Group Sync Reconciliationスケジュール済ジョブは、OIDからグループ・データをリコンサイルする場合に使用します。同様に、OID Connector OU Sync Reconciliationスケジュール済ジョブは、OIDターゲット・システムからOUをリコンサイルする場合に使用します。ターゲット・システムで変更ログ属性がサポートされる場合は、これらのスケジュール済ジョブを使用する必要があります。

表6-8に、これらのスケジュール済ジョブの属性の説明を示します。

表6-8 OID Connector Group Sync ReconciliationおよびOID Connector OU Sync Reconciliationスケジュール済ジョブの属性

属性	説明
IT Resource Name	グループまたはロール・データをリコンサイルする、ターゲット・システム・インストールのITリソースの名前を入力します。 値: OID Server
Object Type	リコンサイルされるオブジェクトのタイプ。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 OID Connector Group Sync Reconciliationの場合 Group OID Connector OU Sync Reconciliationの場合 OU
Resource Object Name	リコンシリエーションに使用されるリソース・オブジェクトの名前。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 OID Connector Group Sync Reconciliationの場合 OID Group OID Connector OU Sync Reconciliationの場合 OID Organisation Unit
Scheduled Task Name	リコンシリエーションに使用されるスケジュール済タスクの名前。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 OID Connector Group Sync Reconciliationの場合 OID Connector Group Sync Reconciliation OID Connector OU Sync Reconciliationの場合 OID Connector OU Sync Reconciliation
Sync Token	最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。 この属性の値は次の形式で格納されます。 <Integer>VALUE</Integer> サンプル値: <Integer>476</Integer>

6.9.3.2 OIDの削除されたグループおよびOUのリコンシリエーションのためのスケジュール済ジョブ

削除されたグループのリコンシリエーションと削除されたOUのリコンシリエーションのどちらを実行するかに応じて、次のスケジュール済ジョブが使用できます。

• OID Connector Group Search Delete Reconciliation: このスケジュール済ジョブは、ターゲット・システムから削除されたグループに関するデータをリコンサイルする場合に使用します。

• OID Connector OU Search Delete Reconciliation: このスケジュール済ジョブは、ターゲット・システムから削除されたOUに関するデータをリコンサイルする場合に使用します。

表6-9に、これらのスケジュール済ジョブの属性の説明を示します。

表6-9 削除されたグループおよび組織単位のリコンシリエーションのためのスケジュール済ジョブの属性

属性	説明
IT Resource Name	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。 デフォルト値: OID Server
Object Type	この属性は、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 OID Connector Group Search Delete Reconciliationの場合: Group OID Connector OU Search Delete Reconciliationの場合: OU
Resource Object Name	リコンシリエーションの実行対象となるリソース・オブジェクトの名前を入力します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 OID Connector Group Search Delete Reconciliationの場合: OID Group OID Connector OU Search Delete Reconciliationの場合: OID OU

6.10 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーでのグループ、組織単位およびロール管理に使用されるコネクタ・オブジェクト

作成、更新、削除などの組織単位管理の操作を実行するためにコネクタで使用されるオブジェクトについて学習します。

• OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーでのグループ管理のための事前構成済参照定義

• OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーでの組織単位管理のための事前構成済参照定義

• ODSEEでのロール管理のための事前構成済参照定義

• OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーでのグループ、組織単位およびロール管理のためのリコンシリエーション・スケジュール済ジョブ

6.10.1 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーでのグループ管理のための事前構成済参照定義

コネクタを使用してアプリケーションを作成すると、グループの参照定義がOracle Identity Governanceで自動的に作成されます。これらの参照定義には、アプリケーションの作成後に値が移入されます。

この項では、グループ操作のための次の参照定義について説明します。

• Lookup.LDAP.Group.Configuration

• Lookup.LDAP.Group.ProvAttrMap

• Lookup.LDAP.Group.ReconAttrMap

6.10.1.1 Lookup.LDAP.Group.Configuration

Lookup.LDAP.Group.Configuration参照定義は、グループ・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、グループ管理操作で使用されます。

表6-10に、この参照定義のデフォルト・エントリを示します。

表6-10 Lookup.LDAP.Group.Configuration参照定義のエントリ

コード・キー	デコード	説明
Provisioning Attribute Map	Lookup.LDAP.Group.ProvAttrMap	このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、「Lookup.LDAP.Group.ProvAttrMap」を参照してください。
Recon Attribute Map	Lookup.LDAP.Group.ReconAttrMap	このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、「Lookup.LDAP.Role.ProvAttrMap」を参照してください。

6.10.1.2 Lookup.LDAP.Group.ProvAttrMap

Lookup.LDAP.Group.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、グループ・プロビジョニング操作の際に使用されます。

表6-11にデフォルト・エントリを示します。プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。

表6-11 Lookup.LDAP.Group.ProvAttrMap参照定義のエントリ

Oracle Identity Managerのグループ・フィールド	ターゲット・システム・フィールド
コンテナDN[IGNORE,LOOKUP]	container
グループ名	cn
名前	__NAME__="cn=${Group_Name},${Container_DN}"
NsuniqueID	__UID__

6.10.1.3 Lookup.LDAP.Group.ReconAttrMap

Lookup.LDAP.Group.ReconAttrMap参照定義は、グループのリソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、リコンシリエーションの際に使用されます。

表6-12にデフォルト・エントリを示します。リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。

表6-12 Lookup.LDAP.Group.ReconAttrMap参照定義のエントリ

Oracle Identity Managerのグループ・フィールド	ターゲット・システム・フィールド
コンテナDN[LOOKUP]	__parentDN__
グループ名	cn
NsuniqueID	__UID__
Org Name	__PARENTRDNVALUE__

6.10.2 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーでの組織単位管理のための事前構成済参照定義

コネクタを使用してアプリケーションを作成すると、組織単位の参照定義がOracle Identity Governanceで自動的に作成されます。これらの参照定義には、アプリケーションの作成後に値が移入されます。

この項では、組織単位操作のための次の参照定義について説明します。

• Lookup.LDAP.OU.Configuration

• Lookup.LDAP.OU.ProvAttrMap

• Lookup.LDAP.OU.ReconAttrMap

6.10.2.1 Lookup.LDAP.OU.Configuration

Lookup.LDAP.OU.Configuration参照定義は、組織単位オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、組織単位管理操作で使用されます。

表6-13に、この参照定義のデフォルト・エントリを示します。

表6-13 Lookup.LDAP.OU.Configuration参照定義のエントリ

コード・キー	デコード	説明
Provisioning Attribute Map	Lookup.LDAP.OU.ProvAttrMap	このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、「Lookup.LDAP.OU.ProvAttrMap」を参照してください。
Recon Attribute Map	Lookup.LDAP.OU.ReconAttrMap	このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、「Lookup.LDAP.OU.ReconAttrMap」を参照してください。

6.10.2.2 Lookup.LDAP.OU.ProvAttrMap

Lookup.LDAP.OU.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、プロビジョニングの際に使用されます。

表6-14にデフォルト・エントリを示します。プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。

表6-14 Lookup.LDAP.OU.ProvAttrMap参照定義のエントリ

プロセス・フォーム・フィールド	ターゲット・システム・フィールド
コンテナDN[IGNORE,LOOKUP]	使用されていません
名前	__NAME__="ou=${Organisation_Unit_Name},${Container_DN}"
NsuniqueID	__UID__
組織単位名	ou

6.10.2.3 Lookup.LDAP.OU.ReconAttrMap

Lookup.LDAP.OU.ReconAttrMap参照定義は、組織単位(OU)のリソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、リコンシリエーションの際に使用されます。

表6-15にデフォルト・エントリを示します。プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。

表6-15 Lookup.LDAP.OU.ReconAttrMap参照定義のエントリ

Oracle Identity ManagerのOUフィールド	ターゲット・システム・フィールド
コンテナDN[LOOKUP]	__parentDN__
NsuniqueID	__UID__
組織単位名	ou
Org Name	__PARENTRDNVALUE__

6.10.3 ODSEEでのロール管理のための事前構成済参照定義

コネクタを使用してアプリケーションを作成すると、ロールの参照定義がOracle Identity Governanceで自動的に作成されます。これらの参照定義には、アプリケーションの作成後に値が移入されます。

この項では、ロール操作のための次の参照定義について説明します。

• Lookup.LDAP.Role.Configuration

• Lookup.LDAP.Role.ProvAttrMap

• Lookup.LDAP.Role.ReconAttrMap

6.10.3.1 Lookup.LDAP.Role.Configuration

Lookup.LDAP.Role.Configuration参照定義は、ロール・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときにロール管理操作で使用されます。

表6-16 Lookup.LDAP.Role.Configuration参照定義のエントリ

コード・キー	デコード	説明
Provisioning Attribute Map	Lookup.LDAP.Role.ProvAttrMap	このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、「Lookup.LDAP.Role.ProvAttrMap」を参照してください。
Recon Attribute Map	Lookup.LDAP.Role.ReconAttrMap	このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、「Lookup.LDAP.Role.ReconAttrMap」を参照してください。

6.10.3.2 Lookup.LDAP.Role.ProvAttrMap

Lookup.LDAP.Role.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、ロール・プロビジョニング操作の際に使用されます。

表6-17に、この参照定義のデフォルト・エントリを示します。プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。

表6-17 Lookup.LDAP.Role.ProvAttrMap参照定義のエントリ

Oracle Identity Managerのロール・フィールド	ターゲット・システム・フィールド
コンテナDN[IGNORE,LOOKUP]	使用されていません
名前	__NAME__="cn=${Role_Name},${Container_DN}"
NsuniqueID	__UID__
ロール名	cn

6.10.3.3 Lookup.LDAP.Role.ReconAttrMap

Lookup.LDAP.Role.ReconAttrMap参照定義は、ロールのリソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、リコンシリエーションの際に使用されます。

表6-18にデフォルト・エントリを示します。リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。

表6-18 Lookup.LDAP.Role.ReconAttrMap参照定義のエントリ

Oracle Identity Managerのロール・フィールド	ターゲット・システム・フィールド
コンテナDN[LOOKUP]	__parentDN__
NsuniqueID	__UID__
Org Name	__PARENTRDNVALUE__
ロール名	cn

6.10.4 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーでのグループ、組織単位およびロール管理のためのリコンシリエーション・スケジュール済ジョブ

アプリケーションを作成すると、リコンシリエーションのスケジュール済ジョブがOracle Identity Governanceで自動的に作成されます。これらのスケジュール済ジョブを、その属性の値を指定して必要に合うように構成する必要があります。

このトピックでは、次のスケジュール済ジョブについて説明します。

• OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーでのグループ、OUおよびロール管理のリコンシリエーションのためのスケジュール済ジョブ

• OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーでの削除されたグループ、OUおよびロールのリコンシリエーションのためのスケジュール済ジョブ

6.10.4.1 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーでのグループ、OUおよびロール管理のリコンシリエーションのためのスケジュール済ジョブ

グループ管理と組織単位管理のどちらを実行するかに応じて、次のスケジュール済ジョブの属性に値を指定する必要があります。

• LDAP Connector Group Search Reconciliation

• LDAP Connector Group Sync Reconciliation

• LDAP Connector OU Search Reconciliation

• LDAP Connector OU Sync Reconciliation

• LDAP Connector Role Search Reconciliation

• LDAP Connector Role Sync Reconciliation

ノート:

LDAP Connector Role Search ReconciliationおよびLDAP Connector Role Sync Reconciliationスケジュール済ジョブは、ODSEEにのみ使用できます。

次の各項では、グループ、組織単位およびロール管理のためのスケジュール済ジョブとその属性について説明します。

• LDAP Connector Group Search Reconciliation、LDAP Connector OU Search ReconciliationおよびLDAP Connector Role Search Reconciliationスケジュール済ジョブ

• LDAP Connector Group Sync Reconciliation、LDAP Connector OU Sync ReconciliationおよびLDAP Connector Role Sync Reconciliationスケジュール済ジョブ

6.10.4.1.1 LDAP Connector Group Search Reconciliation、LDAP Connector OU Search ReconciliationおよびLDAP Connector Role Search Reconciliationスケジュール済ジョブ

LDAP Connector Group Search ReconciliationおよびLDAP Connector OU Search Reconciliationスケジュール済ジョブは、OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・システムからグループおよび組織単位のデータをリコンサイルする場合に使用します。LDAP Connector Role Search Reconciliationスケジュール済ジョブは、ODSEEターゲット・システムからロール・データをリコンサイルする場合に使用します。次のいずれかの条件が当てはまる場合に、これらのスケジュール済ジョブを使用する必要があります。

• ターゲット・システムに変更ログ属性が含まれない場合。

• ターゲット・システムでグループ、OUまたはロール・メンバーシップに対して行われた変更をOracle Identity Governanceにリコンサイルする場合。

表6-19に、これらのスケジュール済ジョブの属性の説明を示します。

表6-19 LDAP Connector Group Search Reconciliation、LDAP Connector OU Search ReconciliationおよびLDAP Connector Role Searchスケジュール済ジョブの属性

属性	説明
Filter	このスケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式。 サンプル値: startsWith('cn','Samrole1') デフォルト値: なし この式の構文は、「制限付きリコンシリエーションの実行」を参照してください。
Incremental Recon Attribute	直前のリコンシリエーション実行が開始したタイム・スタンプを保持する、ターゲット・システムの属性名を入力します。 この属性の値は、増分リコンシリエーション時に、ターゲット・システムからリコンサイルされた最新レコードを判別するために使用されます。 デフォルト値(すべての検索リコンシリエーション・タスクで共通): modifyTimestamp
IT Resource Name	グループまたはロール・データをリコンサイルする、ターゲット・システム・インストールのITリソースの名前を入力します。 デフォルト値: DSEE Server
Latest Token	この属性は、Incremental Recon Attributeのサンプル値を保持します。 ノート: 実行後、リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定すると、この属性の値として指定したタイム・スタンプの後で変更されたユーザー・アカウントしかリコンサイルされなくなります。 完全リコンシリエーションを実行する場合は、このフィールドの値をクリアします。 サンプル値: <String>20120516115131Z</String>
Object Type	リコンサイルされるオブジェクトのタイプ。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 LDAP Connector Group Search Reconciliationの場合 Group LDAP Connector OU Search Reconciliationの場合 OU LDAP Connector Role Search Reconciliationの場合 Role
Resource Object Name	リコンシリエーションに使用されるリソース・オブジェクトの名前。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 LDAP Connector Group Search Reconciliationの場合 LDAP Group LDAP Connector OU Search Reconciliationの場合 LDAP Organisation Unit LDAP Connector Role Search Reconciliationの場合 LDAP Role
Scheduled Task Name	リコンシリエーションに使用されるスケジュール済タスクの名前。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 LDAP Connector Group Search Reconciliationの場合 LDAP Connector Group Search Reconciliation LDAP Connector OU Search Reconciliationの場合 LDAP Connector OU Search Reconciliation LDAP Connector Role Search Reconciliationの場合 LDAP Connector Role Search Reconciliation

6.10.4.1.2 LDAP Connector Group Sync Reconciliation、LDAP Connector OU Sync ReconciliationおよびLDAP Connector Role Sync Reconciliationスケジュール済ジョブ

LDAP Connector Group Sync ReconciliationおよびLDAP Connector OU Sync Reconciliationスケジュール済ジョブは、OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーのターゲット・システムからグループおよび組織単位のデータをリコンサイルする場合に使用します。LDAP Connector Role Sync Reconciliationスケジュール済ジョブは、ODSEEターゲット・システムからロール・データをリコンサイルする場合に使用します。ターゲット・システムで変更ログ属性がサポートされる場合は、これらのスケジュール済ジョブを使用する必要があります。

表6-20に、これらのスケジュール済ジョブの属性の説明を示します。

表6-20 LDAP Connector Group Sync Reconciliation、LDAP Connector OU Sync ReconciliationおよびLDAP Connector Role Sync Reconciliationスケジュール済ジョブの属性

属性	説明
IT Resource Name	グループまたはロール・データをリコンサイルする、ターゲット・システム・インストールのITリソースの名前を入力します。 値: DSEE Server
Object Type	リコンサイルされるオブジェクトのタイプ。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 LDAP Connector Group Sync Reconciliationの場合 Group LDAP Connector OU Sync Reconciliationの場合 OU LDAP Connector Role Sync Reconciliationの場合 Role
Resource Object Name	リコンシリエーションに使用されるリソース・オブジェクトの名前。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 LDAP Connector Group Sync Reconciliationの場合 LDAP Group LDAP Connector OU Sync Reconciliationの場合 LDAP Organisation Unit LDAP Connector Role Sync Reconciliationの場合 LDAP Role
Scheduled Task Name	リコンシリエーションに使用されるスケジュール済タスクの名前。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 LDAP Connector Group Sync Reconciliationの場合 LDAP Connector Group Sync Reconciliation LDAP Connector OU Sync Reconciliationの場合 LDAP Connector OU Sync Reconciliation LDAP Connector Role Sync Reconciliationの場合 LDAP Connector Role Sync Reconciliation
Sync Token	最初のSync Tokenは手動で入力できます。このトークンを取得するには、ターゲット・システムのrootDSEに対してcn=changelogの問合せを行います。その後は、同期リコンシリエーションを実行するたびに、Sync Tokenが更新されます。 ターゲット・システムの変更ログ属性を参照して、リコンシリエーション実行を再開するために使用する必要がある変更ログの値を確認します。次のリコンシリエーション実行からは、最後のリコンシリエーション実行が終了した後に作成または更新されたレコードのデータのみがOracle Identity Governanceにフェッチされます。 または、このフィールドを空白にしておくこともできます。この場合は、変更ログ全体が読み取られます。 この属性は、次のいずれかの形式で値を格納します。 使用しているターゲット・システムで、Configuration参照定義のstandardChangelogエントリの値がtrueに設定されている場合、この属性は次の形式で値を格納します。 <Integer>VALUE</Integer> サンプル値: <Integer>476</Integer> 使用しているターゲット・システム(OUDなど)で、Configuration参照定義のstandardChangelogエントリの値がfalseに設定されている場合、この属性は次の形式で値を格納します。 <String>VALUE</String> サンプル値: <String>dc=example,dc=com:0000013633e514427b6600000013;</String>

6.10.4.2 OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーでの削除されたグループ、OUおよびロールのリコンシリエーションのためのスケジュール済ジョブ

削除されたグループ、OU、ロールのいずれのリコンシリエーションを実行するかに応じて、次のスケジュール済ジョブが使用できます。

• LDAP Connector Group Search Delete Reconciliation: このスケジュール済ジョブは、OUD、ODSEEまたはLDAPv3準拠ディレクトリ・サーバーのターゲット・システムから削除されたグループに関するデータをリコンサイルする場合に使用します。

• LDAP Connector OU Search Delete Reconciliation: このスケジュール済ジョブは、OUD、ODSEEまたはLDAPv3準拠ディレクトリ・サーバーのターゲット・システムから削除されたOUに関するデータをリコンサイルする場合に使用します。

• LDAP Connector Role Search Delete Reconciliation: このスケジュール済ジョブは、ODSEEターゲット・システムから削除されたロールに関するデータをリコンサイルする場合に使用します。

表6-21に、これらのスケジュール済ジョブの属性の説明を示します。

表6-21 削除されたグループおよび組織単位のリコンシリエーションのためのスケジュール済ジョブの属性

属性	説明
IT Resource Name	コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。 デフォルト値: DSEE Server
Object Type	この属性は、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 LDAP Connector Group Search Delete Reconciliationの場合: Group LDAP Connector OU Search Delete Reconciliationの場合: OU LDAP Connector Role Search Delete Reconciliationの場合: Role
Resource Object Name	リコンシリエーションの実行対象となるリソース・オブジェクトの名前を入力します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。 LDAP Connector Group Search Delete Reconciliationの場合: LDAP Group LDAP Connector OU Search Delete Reconciliationの場合: LDAP OU LDAP Connector Role Search Delete Reconciliationの場合: LDAP Role

6.11 コネクタのアンインストール

Oracle Internet Directoryコネクタをアンインストールすると、そのリソース・オブジェクトに関連付けられているアカウント関連のデータがすべて削除されます。

なんらかの理由でコネクタをアンインストールする場合は、コネクタのアンインストール・ユーティリティを実行します。このユーティリティを実行する前に、ConnectorUninstall.propertiesファイルでObjectTypeプロパティとObjectValuesプロパティの値を必ず設定しておきます。たとえば、リソース・オブジェクト、スケジュール済タスクおよびコネクタに関連付けられたスケジュール済ジョブを削除する場合は、ObjectTypeプロパティの値として"ResourceObject", "ScheduleTask", "ScheduleJob"を入力し、ObjectValuesプロパティの値としてコネクタに対応するオブジェクト値のセミコロン区切りのリストを入力します。

たとえば: OID User; OID Group

ノート:

ObjectTypeプロパティとObjectValueプロパティとともにConnectorNameプロパティとReleaseプロパティの値を設定すると、ObjectValueプロパティでリストしたオブジェクトの削除はユーティリティによって実行されますが、コネクタ情報はスキップされます。

詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタのアンインストールに関する項を参照してください。