3 Microsoft Active Directory User Managementコネクタの構成
アプリケーションの作成時に、Oracle Identity Governanceとターゲット・システムの接続およびコネクタ操作の実行のために、コネクタで使用される接続関連のパラメータを構成する必要があります。また、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システムの列の属性マッピング、事前定義済相関ルール、状況とレスポンスおよびリコンシリエーション・ジョブを表示して編集できます。
3.1 基本構成パラメータ
これらは、Microsoft Active DirectoryまたはMicrosoft AD LDSへの接続のために、Oracle Identity Governanceで必要となる接続関連パラメータです。これらのパラメータは、ターゲット・アプリケーションと認可アプリケーションの両方で共通です。
表3-1 Microsoft Active Directory User Managementコネクタの「基本構成」セクションのパラメータ
パラメータ | 必須 | 説明 |
---|---|---|
コネクタ・サーバー名 |
○ |
.NETコネクタ・サーバーでこのコネクタを使用している場合は、コネクタ・サーバーITリソースの名前を入力します。 デフォルト値: |
ドメイン名 |
○ |
コネクタを使用してアプリケーションを作成しているMicrosoft Active Directoryドメイン・コントローラに対応するドメイン名を入力します。 サンプル値: ノート: Microsoft Active Directoryをターゲット・システムとして使用している場合、これは必須パラメータです。 |
管理ユーザー名 |
○ |
「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」に記載されている手順を実行して作成したアカウントのユーザー名を入力します。 このパラメータの値は次の形式で入力します。
サンプル値: ノート: AD LDSをターゲット・システムとして使用しており、かつこのコンピュータがワークグループに属している場合は、このパラメータの値を入力します。 このパラメータの値は次の形式で入力します。
サンプル値: |
管理パスワード |
○ |
「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」に記載されている手順を実行して作成したユーザー・アカウントのパスワードを入力します。 |
コンテナ |
○ |
Oracle Identity Governanceのプロビジョニングまたはリコンシリエーションを行う必要があるユーザー・コンテナの完全修飾ドメイン名をそれぞれ入力します。 サンプル値: |
LDAPホスト名 |
○ |
Microsoft Active DirectoryがインストールされているMicrosoft Windowsコンピュータ(ターゲット・システムのホスト・コンピュータ)のホスト名、IPアドレスまたはドメイン名を入力します。 ノート: このパラメータとバックアップ・ホスト名パラメータ(この表の後の部分を参照)の値を指定しない場合、サーバーレス・バインディングが使用されます。コネクタはADSIを活用してドメインのドメイン・コントローラを判別し、ディレクトリ・エントリを作成します。したがって、ターゲット・システムとのすべての相互作用はドメイン・コントローラに固有のものではありません。 ホスト名を判別するには、ターゲット・システムをホストするコンピュータで「コンピューター」を右クリックして「プロパティ」を選択します「システムのプロパティ」ダイアログ・ボックスの「コンピューター名」タブで、ホスト名が「フル コンピューター名」フィールドの値として示されます。 サンプル値: w2khost 172.20.55.120 example.com |
ドメイン・コントローラ |
× |
ユーザー・アカウントをリコンサイルする必要があるドメイン・コントローラの名前を入力します。 ノート: このパラメータに指定される値が使用されるのは、拡張設定の子ドメインの検索パラメータの値がnoに設定されている場合です。ドメイン・コントローラ・パラメータに値を指定せず、子ドメインの検索パラメータの値がnoに設定されている場合、コネクタはターゲット・システムのドメイン・コントローラを自動的に検出して、そのドメイン・コントローラからユーザーをリコンサイルします。 サンプル値: |
ポート |
× |
Microsoft AD LDSがリスニングを行うポートの番号を入力します。 サンプル値: ノート: Microsoft Active Directoryをターゲット・システムとして使用している場合は、このパラメータの値を入力しないでください。 |
UseSSL |
× |
ターゲット・システムがSSLに対応するように構成されている場合は、yesを入力します。これにより、コネクタ・サーバーとターゲット・システムの間のセキュアな通信が実現します。それ以外の場合は、noを入力します。 デフォルト値: ノート:
|
バックアップ・ホスト名 |
× |
プライマリ・ドメイン・コントローラが使用できなくなった場合に、Oracle Identity Governanceが切り替える必要があるバックアップ・ドメイン・コントローラのホスト名を入力します。 サンプル値: ノート: 複数のバックアップ・ドメイン・コントローラはセミコロン(;)で区切る必要があります。 |
AD LDS |
× |
ターゲット・システムがMicrosoft AD LDSであることを指定する場合は、yesと入力します。 ターゲット・システムがMicrosoft Active Directoryであることを指定する場合は、noと入力します。 デフォルト値: |
グローバル・カタログ・サーバー |
× |
グローバル・カタログ・サーバーが配置されているホストを入力します。 ノート: このパラメータに指定される値が使用されるのは、子ドメインの検索パラメータの値をyesに設定した場合です。グローバル・カタログ・サーバー・パラメータに値が指定されず、子ドメインの検索パラメータがyesに設定されている場合、コネクタはターゲット・システムのグローバル・カタログ・サーバーを自動的に検出して、そのグローバル・カタログ・サーバーが実行しているドメイン・コントローラからユーザー・アカウントをリコンサイルします。 子ドメインの検索パラメータの値を サンプル値: |
3.2 拡張設定パラメータ
これらは、リコンシリエーション操作およびプロビジョニング操作の際にコネクタで使用される構成関連のエントリです。これらのパラメータは、ターゲット・アプリケーションと認可アプリケーションの両方で共通です。
表3-2 Oracle Databaseの拡張設定パラメータ
パラメータ | 必須 | 説明 |
---|---|---|
オブジェクト・クラス |
× |
このパラメータは、ターゲット・システム上の、新しく作成されたユーザーの割当て先となるオブジェクト・クラスの名前を保持します。 カスタム・オブジェクト・クラスを作成する場合は、そのオブジェクト・クラスの名前を入力します。たとえば、 デフォルト値: |
ロックアウトしきい値 |
× |
ユーザー・アカウントをロックする必要があるログイン試行の不成功回数を入力します。 ノート: このエントリを適用できるのはMicrosoft AD LDSターゲット・システムのみです。 デフォルト値: |
常にオブジェクトGUIDを使用 |
× |
このパラメータは、リコンシリエーション中にレコードを検索するために、コネクタでオブジェクトのGUIDを使用する必要があるかどうかを指定します。 デフォルト値: ノート: このエントリの値は変更しないでください。 |
ネイティブGuid表記規則 |
× |
このパラメータは、GUIDがネイティブ形式で格納されているかどうかを指定します。このエントリはコネクタによって内部で使用されます。 デフォルト値: ノート: このエントリの値は変更しないでください。 |
ページ・サイズ |
× |
リコンシリエーションの実行時に各コールでコネクタによってターゲット・システムにフェッチされるレコードのページ・サイズを入力します。ページングによって、問合せの結果セット全体が小さなサブセット(ページ)に分割されます。 通常、単純な検索ではこの値を最大ページ・サイズに設定することをお薦めします。ページ・サイズを最大値に設定することで、各ページを取得するためにネットワーク上で往復する回数を最小限に抑えることができます。これによって、単純な検索の場合に操作のコストが高くなる傾向があります。 PageSizeをターゲット・システムのMaxPageSizeよりも大きな値に指定することができますが、Active Directoryサーバーによって無視され、MaxPageSizeが使用されます。この場合、例外は生成されません。 場合によっては、タイムアウトやサーバーの過負荷を回避するために小さいページ・サイズを指定する必要があります。問合せによってはコストが非常に高くなるため、1ページの結果数を制限してこれを避けることができます。 デフォルト値: |
子ドメインの検索 |
× |
このパラメータは、DomainName属性の値として指定されたドメインにおけるユーザー、グループまたは組織単位の検索範囲を決定します。 指定のドメインのみのユーザー、グループまたは組織単位をコネクタで検索する場合は、noを入力します。ドメイン名は、DomainName属性の値として指定されます。基本構成のドメイン・コントローラ・パラメータの値として指定されたドメイン・コントローラからレコードがフェッチされることに注意してください。 指定のドメインおよび子ドメインのユーザー、グループまたは組織単位をコネクタで検索する場合は、yesを入力します。この場合、グローバル・カタログ・サーバーがレコードのフェッチに使用されます。基本構成のグローバル・カタログ・サーバー・パラメータの値としてグローバル・カタログ・サーバーを指定することに注意してください。 デフォルト値: no |
コネクタ名 |
○ |
このパラメータは、コネクタ・クラスの名前を保持します。 値: |
バンドル名 |
○ |
このパラメータは、コネクタ・バンドル・パッケージの名前を保持します。 値: |
バンドル・バージョン |
○ |
このパラメータは、コネクタ・バンドル・クラスのバージョンを保持します。 値: 12.3.0.0 |
リコンシリエーション日付書式 |
× |
このパラメータは、直前のリコンシリエーション実行時刻を表示する書式を保持します。 デフォルト値: |
階層の保持 |
× |
ターゲット・システムで保持されているのと同じ組織階層をOracle Identity Governanceで保持することを指定する場合は、yesと入力します。それ以外の場合は、noを入力します。 デフォルト値: |
アカウントにツリーの削除を使用 |
× |
このパラメータは、削除される__ACCOUNT__オブジェクトの関連するリーフ・ノードも、そのオブジェクトと一緒に削除されるかどうかを指定します。このエントリの値がtrueに設定されず、削除される__ACCOUNT__オブジェクトにリーフ・ノードがある場合、操作は失敗してエラー・メッセージが表示されます。 このエントリの値がfalseに設定されると、__ACCOUNT__オブジェクトはその親の子リストからのみ削除されます。それ以外の場合、オブジェクト・クラスにかかわらずツリー全体が再帰的に削除されます。 デフォルト値: |
ホーム・ディレクトリの作成 |
× |
このパラメータは、ホーム・ディレクトリを作成する必要があるかどうかという情報を含みます。 ユーザー・アカウントのためにコネクタでホーム・ディレクトリを作成する場合は、yesを入力します。それ以外の場合は、noを入力します。 デフォルト値: |
プールの最大アイドル数 |
× |
プール内のアイドル状態のオブジェクトの最大数。 デフォルト値: |
プールの最大サイズ |
× |
プールで作成できる接続の最大数。 デフォルト値: |
プールの最大待機時間 |
× |
プールが空きオブジェクトを操作に使用できるようになるまで待機する必要のある最大時間(ミリ秒)。 デフォルト値: |
プールの最小削除アイドル時間 |
× |
コネクタがアイドル状態のオブジェクトを削除するまで待機する必要のある最小時間(ミリ秒)。 デフォルト値: |
プールの最小アイドル数 |
× |
プール内のアイドル状態のオブジェクトの最小数。 デフォルト値: |
3.3 属性マッピング
「スキーマ」ページの属性マッピングは、ターゲット・アプリケーションを作成しているか、認可アプリケーションを作成しているかに応じて異なります。
3.3.1 ターゲット・アプリケーションの属性マッピング
ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システム属性をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。リコンシリエーション操作およびプロビジョニング操作の際に、コネクタでこれらのマッピングが使用されます。
ADユーザー・アカウントの属性
表3-3に、Oracle Identity Governanceのプロセス・フォーム・フィールドとADターゲット・システム属性のユーザー固有の属性マッピングを示します。この表では、プロビジョニングまたはリコンシリエーションの際に特定の属性が使用されるかどうかと、それがリコンシリエーション中にレコードをフェッチするための一致のキー・フィールドかどうかも示します。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除して、デフォルトの属性マッピングを編集できます。
ノート:
AD LDSをターゲット・システムとして使用している場合、「スキーマ」ページのデフォルトの属性マッピングのリストで、次のことを実行する必要があります。
-
次の「表示名」の属性を含む行を削除します。
-
リダイレクト・メールID
-
ターミナル・ログインを許可
-
ターミナル・ホーム・ディレクトリ
-
ターミナル・プロファイル・パス
-
-
「表示名」が「ユーザーID」の行を次の値で更新します。
-
「ターゲット属性」列で、sAMAccountNameを__UPN_WO_DOMAIN__に置換します。
-
「プロビジョニング・フィールド」チェック・ボックスの選択を解除します。
-
「リコンシリエーション・フィールド」チェック・ボックスを選択します。
-
表3-3 ADユーザー・アカウントのデフォルトの属性マッピング
Display Name | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | プロビジョニング・フィールド | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|---|
ユーザーID |
sAMAccountName |
文字列 |
× |
○ |
○ |
× |
適用なし |
ユーザー・プリンシパル名 |
userPrincipalName |
文字列 |
× |
○ |
○ |
× |
適用なし |
名 |
givenName |
文字列 |
× |
○ |
○ |
× |
適用なし |
ミドル・ネーム |
middleName |
文字列 |
× |
○ |
○ |
× |
適用なし |
姓 |
sn |
文字列 |
× |
○ |
○ |
× |
適用なし |
氏名 |
displayName |
文字列 |
× |
○ |
○ |
× |
適用なし |
パスワードの有効期限なし |
PasswordNeverExpires |
ブール |
× |
○ |
○ |
× |
適用なし |
ユーザーは次回ログオン時にパスワードの変更が必要 |
__PASSWORD_EXPIRED__ |
ブール |
× |
○ |
○ |
× |
適用なし |
アカウントをロックアウト |
__LOCK_OUT__ |
ブール |
× |
○ |
○ |
× |
適用なし |
電話番号 |
telephoneNumber |
文字列 |
× |
○ |
○ |
× |
適用なし |
アカウントの有効期限 |
__PASSWORD_EXPIRATION_DATE__ |
日付 |
× |
○ |
○ |
× |
適用なし |
電子メール |
|
文字列 |
× |
○ |
○ |
× |
適用なし |
私書箱 |
postOfficeBox |
文字列 |
× |
○ |
○ |
× |
適用なし |
市区町村 |
l |
文字列 |
× |
○ |
○ |
× |
適用なし |
都道府県 |
st |
文字列 |
× |
○ |
○ |
× |
適用なし |
郵便番号 |
postalCode |
文字列 |
× |
○ |
○ |
× |
適用なし |
自宅電話番号 |
homePhone |
文字列 |
× |
○ |
○ |
× |
適用なし |
モバイル |
mobile |
文字列 |
× |
○ |
○ |
× |
適用なし |
ページャ |
pager |
文字列 |
× |
○ |
○ |
× |
適用なし |
FAX |
facsimileTelephoneNumber |
文字列 |
× |
○ |
○ |
× |
適用なし |
役職 |
title |
文字列 |
× |
○ |
○ |
× |
適用なし |
部門 |
department |
文字列 |
× |
○ |
○ |
× |
適用なし |
会社 |
company |
文字列 |
× |
○ |
○ |
× |
適用なし |
マネージャ名 |
manager |
文字列 |
× |
○ |
○ |
× |
適用なし |
勤務先 |
physicalDeliveryOfficeName |
文字列 |
× |
○ |
○ |
× |
適用なし |
国 |
c |
文字列 |
× |
○ |
○ |
× |
適用なし |
番地 |
streetAddress |
文字列 |
× |
○ |
○ |
× |
適用なし |
ターミナル・ホーム・ディレクトリ |
TerminalServicesHomeDirectory |
文字列 |
× |
○ |
○ |
× |
適用なし |
ターミナル・ログインを許可 |
AllowLogon |
ブール |
× |
○ |
○ |
× |
適用なし |
ターミナル・プロファイル・パス |
TerminalServicesProfilePath |
文字列 |
× |
○ |
○ |
× |
適用なし |
ステータス |
__ENABLE__ |
文字列 |
× |
× |
○ |
× |
適用なし |
ADサーバー |
ロング |
○ |
× |
○ |
○ |
× |
|
Unique Id |
__UID__ |
文字列 |
× |
× |
○ |
○ |
× |
共通名 |
cn |
文字列 |
○ |
× |
○ |
× |
適用なし |
Organization Name |
ad_container |
文字列 |
○ |
× |
○ |
× |
適用なし |
パスワード |
__PASSWORD__ |
文字列 |
× |
○ |
× |
× |
適用なし |
パスワードが不要 |
PasswordNotRequired |
ブール |
× |
○ |
× |
× |
適用なし |
ホーム・ディレクトリ |
homeDirectory |
文字列 |
× |
○ |
× |
× |
適用なし |
リダイレクト・メールID |
__MAILREDIRECTION__ |
文字列 |
× |
○ |
× |
× |
適用なし |
ユーザーの完全DN |
__NAME__ |
文字列 |
× |
○ |
× |
× |
適用なし |
図3-1に、ADターゲット・アプリケーションについての、デフォルトのユーザー・アカウントの属性マッピングを示します。
グループ権限の属性
表3-4に、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システム属性のグループ固有の属性マッピングを示します。この表では、指定した属性がプロビジョニング中に必須かどうかを示します。また、指定した属性がリコンシリエーション中に使用されるかどうかと、それがリコンシリエーション中にレコードをフェッチするための一致のキー・フィールドかどうかも示します。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除して、デフォルトの属性マッピングを編集できます。
表3-4 グループ権限のデフォルトの属性マッピング
Display Name | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
Group Name |
__GROUPS__ |
文字列 |
× |
○ |
○ |
× |
図3-2に、デフォルトのグループ権限のマッピングを示します。
3.3.2 認可アプリケーションの属性マッピング
認可アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システム属性をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。リコンシリエーション操作の際に、コネクタでこれらのマッピングが使用されます。
表3-5に、Oracle Identity Governanceのリコンシリエーション・フィールドとADターゲット・システム属性のユーザー固有の属性マッピングを示します。この表では、指定した属性のデータ型と、リコンシリエーションの必須属性かどうかも示します。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の認可アプリケーションの作成に関する項の説明に従って、「スキーマ」ページで新しい属性を追加したり既存の属性を削除して、これらの属性マッピングを編集できます。
自動設定されたデフォルト・スキーマを使用するか、またはデフォルト・スキーマを更新および変更して、次のステップに進みます。
「組織名」、「Xellerateタイプ」および「ロール」のアイデンティティ属性はOIGユーザー・フォームの必須フィールドで、リコンシリエーションの際に空白にしておくことはできません。ターゲット・システムには「組織名」、「Xellerateタイプ」および「ロール」のアイデンティティ属性に対応する属性は存在しないため、これらはOracle identity Governanceの属性にマッピングされています。また、リコンシリエーションの際に使用できるデフォルト値(表3-5の「アイデンティティ表示名のデフォルト値」に表示)が指定されます。たとえば、「組織名」のターゲット属性のデフォルト値はXellerate Usersです。このことは、すべてのターゲット・システムのユーザー・アカウントがOracle Identity GovernanceのXellerate Usersという組織にリコンサイルされることを示しています。同様に、「Xellerateタイプ」属性のデフォルトの属性値はEnd-Userで、すべてのリコンサイルされたユーザー・レコードがエンド・ユーザーとしてマークされることを示しています。
ノート:
AD LDSをターゲット・システムとして使用している場合、「スキーマ」ページのデフォルトの属性マッピングのリストで、次のことを実行する必要があります。
-
「マネージャ・ログイン」の表示名属性を含む行を削除します。
-
表示名が「ユーザー・ログイン」の行で、sAMAccountNameを__UPN_WO_DOMAIN__に置換して、ターゲット属性マッピングを更新します。
表3-5 認可アプリケーションのADユーザー・アカウント・スキーマ属性
アイデンティティ表示名 | ターゲット属性 | データ型 | 必須リコンシリエーション・プロパティ | リコンシリエーション・フィールド | アイデンティティ表示名のデフォルト値 |
---|---|---|---|---|---|
マネージャ・ログイン |
Manager Id |
文字列 |
× |
○ |
なし |
ステータス |
__ENABLE__ |
文字列 |
× |
○ |
なし |
ObjectGUID |
__UID__ |
文字列 |
× |
○ |
なし |
ユーザー・ログイン |
sAMAccountName |
文字列 |
× |
○ |
なし |
名 |
givenName |
文字列 |
× |
○ |
なし |
姓 |
sn |
文字列 |
× |
○ |
なし |
ミドル・ネーム |
middleName |
文字列 |
× |
○ |
なし |
Xellerateタイプ |
OIM User Type |
文字列 |
× |
○ |
End-User |
ロール |
OIM Employee Type |
文字列 |
× |
○ |
Full-Time |
Organization Name |
__PARENTCN__ |
文字列 |
× |
○ |
Xellerate Users |
電子メール |
|
文字列 |
× |
○ |
なし |
図3-3に、AD認可アプリケーションについての、デフォルトのADユーザー・アカウントの属性マッピングを示します。
3.4 コネクタの相関ルール
ターゲット・アプリケーションおよび認可アプリケーションの事前定義済ルール、レスポンスおよび状況について学習します。コネクタによってこれらのルールとレスポンスが使用されて、リコンシリエーションが実行されます。
3.4.1 ターゲット・アプリケーションの相関ルール
ターゲット・アプリケーションを作成するときに、Oracle Identity Governanceがリソースを割り当てる必要があるアイデンティティを決定する相関ルールが使用されます。
事前定義済アイデンティティ相関ルール
デフォルトでは、Active Directory User Managementコネクタには、ターゲット・アプリケーション作成時の単純相関ルールが用意されています。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表3-6に、ADターゲット・システムのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集することも、新しいルールを追加することもできます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアイデンティティ相関ルールの更新に関する項を参照してください。
表3-6 ADターゲット・アプリケーションの事前定義済アイデンティティ相関ルール
ターゲット属性 | 要素演算子 | アイデンティティ属性 | 大/小文字の区別 |
---|---|---|---|
__UID__ |
次と等しい |
ObjectGUID |
× |
sAMAccountName |
次と等しい |
ユーザー・ログイン |
× |
ノート:
Microsoft AD LDSをターゲット・システムとして使用している場合、「ターゲット属性」列で、sAMAccountNameをuserPrincipalNameに置換して、アイデンティティ・リコンシリエーション・ルールを更新する必要があります。
ADターゲット・アプリケーションのアイデンティティ相関ルールは、次のようになります。
(__UID__ 次と等しい ObjectGUID)または(sAMAccountName 次と等しい ユーザー・ログイン)
AD LDSターゲット・アプリケーションのアイデンティティ相関ルールは、次のようになります。
(__UID__ 次と等しい ObjectGUID)または(userPrincipalName 次と等しい ユーザー・ログイン)
-
__UID__は、ユーザー・アカウントを一意に識別するターゲット・システムの属性です。
-
ObjectGUIDは、OIGユーザーに割り当てられるリソースの一意の識別子です。
-
ADターゲット・アプリケーションでは、sAMAccountNameはユーザー・アカウントのログイン名を表すMicrosoft Active Directoryのフィールドです。
-
AD LDSターゲット・アプリケーションでは、userPrincipalNameはユーザーのドメイン固有の名前を表すAD LDSのフィールドです。
-
User Loginは、OIMユーザー・フォームのフィールドです。
両方のルール・コンポーネントは、OR論理演算子で結合されます。
図3-4に、ADとAD LDSの両方のターゲット・システムに適用可能なこのコネクタの単純相関ルールを示します。
事前定義済の状況とレスポンス
Active Directory User Managementコネクタには、ターゲット・アプリケーション作成時の状況とレスポンスのデフォルト・セットが用意されています。これらの状況とレスポンスによって、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションが指定されます。
表3-7に、ADとAD LDSの両方のターゲット・システムに適用可能なこのコネクタのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集することも、新しい状況とレスポンスを追加することもできます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の状況とレスポンスの更新に関する項を参照してください。
表3-7 ターゲット・アプリケーションの事前定義済の状況とレスポンス
状況 | レスポンス |
---|---|
一致が見つからなかった場合 |
最小ロードの管理者への割当て |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
図3-5に、ADとAD LDSの両方のターゲット・アプリケーションに対して、コネクタにデフォルトで用意されている状況とレスポンスを示します。
3.4.2 認可アプリケーションの相関ルール
認可アプリケーションを作成するときに、Oracle Identity Governanceにリコンサイルされる必要があるアイデンティティを決定する相関ルールが使用されます。
事前定義済アイデンティティ相関ルール
デフォルトでは、Active Directory User Managementコネクタには、認可アプリケーション作成時の単純相関ルールが用意されています。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表3-8に、AD認可アプリケーションのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集することも、新しいルールを追加することもできます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアイデンティティ相関ルールの更新に関する項を参照してください。
表3-8 AD認可アプリケーションの事前定義済アイデンティティ相関ルール
ターゲット属性 | 要素演算子 | アイデンティティ属性 | 大/小文字の区別 |
---|---|---|---|
__UID__ |
次と等しい |
ObjectGUID |
× |
sAMAccountName |
次と等しい |
ユーザー・ログイン |
× |
ノート:
Microsoft AD LDSをターゲット・システムとして使用している場合、「ターゲット属性」列で、sAMAccountNameをuserPrincipalNameに置換して、アイデンティティ・リコンシリエーション・ルールを更新する必要があります。
ADターゲット・アプリケーションのアイデンティティ相関ルールは、次のようになります。
(__UID__ 次と等しい ObjectGUID)または(sAMAccountName 次と等しい ユーザー・ログイン)
AD LDSターゲット・アプリケーションのアイデンティティ相関ルールは、次のようになります。
(__UID__ 次と等しい ObjectGUID)または(userPrincipalName 次と等しい ユーザー・ログイン)
-
__UID__は、ユーザー・アカウントを一意に識別するターゲット・システムの属性です。
-
ObjectGUIDは、OIGユーザーに割り当てられるリソースの一意の識別子です。
-
ADターゲット・アプリケーションでは、sAMAccountNameはユーザー・アカウントのログイン名を表すMicrosoft Active Directoryのフィールドです。
-
AD LDSターゲット・アプリケーションでは、userPrincipalNameはユーザーのドメイン固有の名前を表すAD LDSのフィールドです。
-
「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。
両方のルール・コンポーネントは、OR論理演算子で結合されます。
図3-6に、AD認可アプリケーションの単純相関ルールを示します。
事前定義済の状況とレスポンス
Active Directory User Managementコネクタには、認可アプリケーション作成時の状況とレスポンスのデフォルト・セットが用意されています。これらの状況とレスポンスによって、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションが指定されます。
表3-9に、ADとAD LDSの両方の認可アプリケーションのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集することも、新しい状況とレスポンスを追加することもできます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の状況とレスポンスの更新に関する項を参照してください。
表3-9 認可アプリケーションの事前定義済の状況とレスポンス
状況 | レスポンス |
---|---|
一致が見つからなかった場合 |
ユーザーの作成 |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
図3-7に、ADとAD LDSの両方のターゲット・アプリケーションに対して、コネクタにデフォルトで用意されている認可アプリケーションの状況とレスポンスを示します。
3.5 コネクタのリコンシリエーション・ジョブ
これらは、ターゲット・アプリケーションまたは認可アプリケーションの作成後に、コネクタによって作成されるリコンシリエーション・ジョブです
3.5.1 ターゲット・アプリケーションのリコンシリエーション・ジョブ
これらは、ターゲット・アプリケーションの作成後に、Oracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブです。
ユーザー・リコンシリエーション・ジョブ
Active Directory User Target Reconciliationジョブを使用して、ターゲット・アプリケーションからユーザー・データをリコンサイルします。
ノート:
このコネクタのリリース12.2.1.3.0では、Active Directory User Target Reconciliationジョブに似たActive Directory User Target Concurrent Reconという名前の新しいジョブが導入されています。マルチスレッド・モードでターゲット・アプリケーションからユーザー・データをリコンサイルするバルク・リコンシリエーションを実行する場合は、Active Directory User Target Concurrent Reconジョブをお薦めします。Oracle Identity System Administrationからこのスケジュール済ジョブを検索して実行できます。このジョブのパラメータは、Active Directory User Target Reconciliationジョブと同じです。表3-10 Active Directory User Target ReconciliationジョブとActive Directory User Target Concurrent Reconジョブのパラメータ
パラメータ | 説明 |
---|---|
Application Name |
ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は変更しないでください。 |
Number of Batches |
コネクタがユーザー・レコードをリコンサイルする必要があるバッチ数を入力します。 デフォルト値: |
Search Scope |
リコンサイルされるレコードの検索範囲に、Search Baseパラメータで指定されるコンテナとすべての子コンテナを含める場合は、 レコードの検索範囲をSearch Baseパラメータで指定されたコンテナのみに限定する場合は、 ノート: onelevelと入力する場合は、oneとlevelの語の間に空白を入れないようにする必要があります。 デフォルト値: |
Scheduled Task Name |
このパラメータは、スケジュール済ジョブの名前を保持します。 ノート: このコネクタに組み込まれているスケジュール済ジョブについては、このパラメータの値を変更しないでください。ただし、新しいジョブまたはジョブのコピーを作成した場合は、このパラメータの値として、そのスケジュール済ジョブに一意の名前を入力します。 デフォルト値: |
Sort Direction |
このパラメータを使用して、レコードが昇順でフェッチされるようソートするか、降順でフェッチされるようソートするかを指定します。この属性の値には、 デフォルト値: |
Incremental Recon Attribute |
直前の更新に関連する数値(減少しない値)を含むターゲット・システム属性の名前を入力します。たとえば、numericまたはstringsです。 この属性の値は、ターゲット・システムからリコンサイルされた最新のレコードを判別するために増分リコンシリエーションで使用されます。 デフォルト値: ノート: この属性の値は変更しないでください。 |
Sort By |
バッチのレコードをソートするターゲット・システム・フィールドの名前を入力します。 デフォルト値: ノート: ターゲット・システムとしてAD LDSを使用している場合、このパラメータのデフォルト値を他の属性(たとえば、 |
Latest Token |
このパラメータは、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。 ノート: リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。このパラメータの値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性値よりも大きいユーザー・アカウントのコネクタのみがリコンサイルされます。 |
Filter |
スケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式を入力します。 サンプル値: 作成して使用できるフィルタ式の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタ構文に関する項を参照してください。 |
Batch Start |
バッチ・リコンシリエーションの実行を開始するターゲット・システム・レコードの番号を入力します。 デフォルト値: このパラメータは、Batch Size、Number of Batches、Sort ByおよびSort Directionパラメータと組み合せて使用されます。これらすべてのパラメータの詳細は、「バッチ・リコンシリエーションの実行」を参照してください。 |
Batch Size |
ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 デフォルト値: この属性は、Batch Start、Number of Batches、Sort ByおよびSort Direction属性と組み合せて使用されます。これらすべての属性の詳細は、「バッチ・リコンシリエーションの実行」を参照してください。 |
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。 |
Search Base |
リコンシリエーション時にユーザー・レコードの検索を実行する必要があるコンテナを入力します。 サンプル値: ノート: この属性の値を指定しないと、「基本構成」セクションのコンテナ・パラメータの値として指定された値がこのパラメータの値として使用されます。 |
増分リコンシリエーション・ジョブ
Active Directory User Group Membership Reconジョブを使用して、グループが変更されたユーザー・アカウントをリコンサイルします。初めてこのジョブを実行する場合、ターゲット・システムで最後に更新されたユーザー・アカウントのみがフェッチされて、Sync Tokenパラメータ値に最新のタイムスタンプが自動的に移入されます。以降の実行では、グループが変更されたユーザー・アカウントに関する情報のみがフェッチされます。
表3-11 Active Directory User Group Membership Reconジョブのパラメータ
パラメータ | 説明 |
---|---|
Application Name |
ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は変更しないでください。 |
Scheduled Task Name |
このパラメータは、スケジュール済ジョブの名前を保持します。 ノート: このコネクタに組み込まれているスケジュール済ジョブについては、このパラメータの値を変更しないでください。ただし、新しいジョブまたはジョブのコピーを作成した場合は、このパラメータの値として、そのスケジュール済ジョブに一意の名前を入力します。 デフォルト値: |
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。 |
Users Page Size |
リコンシリエーションの実行時に各コールでターゲット・システムにフェッチされるレコードの数を入力します。 デフォルト値: |
Timeout |
Users Page Sizeパラメータで指定したレコード数をフェッチする必要がある秒数(これを超えると例外がスローされます)を指定する整数値を入力します。 デフォルト値: |
Sync Token |
グループ・メンバーシップのリコンシリエーションを最初に実行するときは、このパラメータが空白になるようにします。コネクタによって、最後に更新されたユーザー・レコードのみがターゲット・システムからフェッチされて、この属性の値がXMLシリアル化形式で自動的に入力されます。次のリコンシリエーションからは、直前のリコンシリエーション終了後に更新されたレコードに関するデータのみがOracle Identity Managerにフェッチされます。 |
User Group MemberShip Recon |
コネクタによってユーザーのグループ・メンバーシップの詳細をフェッチする必要があることを指定する場合はyesと入力します。そうでない場合は、ユーザー・データのみがフェッチされるようにnoと入力します。 デフォルト値: |
削除ユーザーのリコンシリエーション・ジョブ
Active Directory User Target Delete Reconジョブは、ターゲット・アプリケーションから、削除されたユーザーに関するデータをリコンサイルする場合に使用されます。リコンシリエーションの実行時に、ターゲット・システムの削除されたユーザー・アカウントごとに、対応するOIMユーザーのActive Directoryリソースが削除されます。
表3-12 Active Directory User Target Delete Reconジョブのパラメータ
パラメータ | 説明 |
---|---|
Application Name |
ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は変更しないでください。 |
Sync Token |
削除リコンシリエーションを最初に実行するとき、このパラメータは空白にしておく必要があります。こうすることで、ターゲット・システムから削除されるすべてのレコードに関するデータが、Oracle Identity Governanceにフェッチされます。 最初の削除リコンシリエーションが実行された後、コネクタによってこの属性の値がXMLシリアル化形式で自動的に入力されます。次のリコンシリエーションからは、直前のリコンシリエーション終了後に削除されたレコードに関するデータのみがOracle Identity Governanceにフェッチされます。 この属性の値は次の形式で格納されます。
この形式での
|
Scheduled Task Name |
このパラメータは、スケジュール済ジョブの名前を保持します。 ノート: このコネクタに組み込まれているスケジュール済ジョブについては、このパラメータの値を変更しないでください。ただし、新しいジョブまたはジョブのコピーを作成した場合は、このパラメータの値として、そのスケジュール済ジョブに一意の名前を入力します。 デフォルト値: |
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。 |
Delete Recon |
このパラメータは、コネクタで削除リコンシリエーションを実行する必要があるかどうかを指定します。 デフォルト値: ノート: この属性の値は変更しないでください。 |
権限のリコンシリエーション・ジョブ
権限をリコンサイルするために次のジョブを使用できます。
-
Active Directory Organization Lookup Recon
このリコンシリエーション・ジョブは、Oracle Identity Governanceの組織参照フィールドをターゲット・システムの組織関連データと同期させるために使用されます。
-
Active Directory Group Lookup Recon
このリコンシリエーション・ジョブは、Oracle Identity Governanceのグループ参照フィールドをターゲット・システムのグループ関連データと同期させるために使用されます。
両方のリコンシリエーション・ジョブのパラメータは同じです。
表3-13 権限のリコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
Application Name |
ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は変更しないでください。 |
Decode Attribute |
参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用される、コネクタまたはターゲット・システムの属性の名前を入力します。 デフォルト値: |
Filter |
参照定義に格納されるレコードをフィルタ処理するフィルタを入力します。 Filter属性の詳細は、「制限付きリコンシリエーションの実行」を参照してください。 |
Lookup Name |
このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。 デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。
|
Object Type |
同期させる必要のある値を含むオブジェクトのタイプを入力します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
ノート: この属性の値は変更しないでください。 |
Code Key Attribute |
参照定義のコード・キー列を移入するのに使用する、コネクタの名前またはターゲット・システム属性を入力します(「参照名」属性の値として指定)。 デフォルト値: ノート: この属性の値は変更しないでください。 |
3.5.2 認可アプリケーションのリコンシリエーション・ジョブ
これらは、認可アプリケーションの作成後に、Oracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブです。
ユーザー・リコンシリエーション・ジョブ
Active Directory User Trusted Reconジョブは、ターゲット・アプリケーションからユーザー・データをリコンサイルする場合に使用されます。
表3-14 Active Directory User Trusted Reconジョブのパラメータ
パラメータ | 説明 |
---|---|
Application Name |
ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は変更しないでください。 |
Number of Batches |
コネクタがユーザー・レコードをリコンサイルする必要があるバッチ数を入力します。 デフォルト値: |
Search Scope |
リコンサイルされるレコードの検索範囲に、Search Baseパラメータで指定されるコンテナとすべての子コンテナを含める場合は、 レコードの検索範囲をSearch Baseパラメータで指定されたコンテナのみに限定する場合は、 ノート: onelevelと入力する場合は、oneとlevelの語の間に空白を入れないようにする必要があります。 デフォルト値: |
Manager Id |
マネージャであるユーザーの識別名を入力します。コネクタによって、この識別名に設定されたマネージャ・プロパティを持つすべてのユーザー・レコードがフェッチされます。 Microsoft Active Directoryをターゲット・システムとして使用している場合、このパラメータのデフォルト値は Microsoft AD LDSをターゲット・システムとして使用している場合は、このパラメータの値を デフォルト値: |
Scheduled Task Name |
このパラメータは、スケジュール済ジョブの名前を保持します。 ノート: このコネクタに組み込まれているスケジュール済ジョブについては、このパラメータの値を変更しないでください。ただし、新しいジョブまたはジョブのコピーを作成した場合は、このパラメータの値として、そのスケジュール済ジョブに一意の名前を入力します。 デフォルト値: |
Sort Direction |
このパラメータを使用して、レコードが昇順でフェッチされるようソートするか、降順でフェッチされるようソートするかを指定します。この属性の値には、 デフォルト値: |
Incremental Recon Attribute |
直前の更新に関連する数値(減少しない値)を含むターゲット・システム属性の名前を入力します。たとえば、numericまたはstringsです。 この属性の値は、ターゲット・システムからリコンサイルされた最新のレコードを判別するために増分リコンシリエーションで使用されます。 デフォルト値: |
Maintain Hierarchy |
ターゲット・システムで保持されているのと同じ組織階層をOracle Identity Governanceで保持することを指定する場合は、 デフォルト値: ノート: このパラメータを |
Sort By |
バッチのレコードをソートするターゲット・システム・フィールドの名前を入力します。 デフォルト値: ノート: ターゲット・システムとしてAD LDSを使用している場合、このパラメータのデフォルト値を他の属性(たとえば、 |
Latest Token |
このパラメータは、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。 ノート: リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。このパラメータの値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性値よりも大きいユーザー・アカウントのコネクタのみがリコンサイルされます。 |
Filter |
スケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式を入力します。 サンプル値: 作成して使用できるフィルタ式の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタ構文に関する項を参照してください。 |
Batch Start |
バッチ・リコンシリエーションの実行を開始するターゲット・システム・レコードの番号を入力します。 デフォルト値: このパラメータは、Batch Size、Number of Batches、Sort ByおよびSort Directionパラメータと組み合せて使用されます。これらすべてのパラメータの詳細は、「バッチ・リコンシリエーションの実行」を参照してください。 |
Batch Size |
ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 デフォルト値: この属性は、Batch Start、Number of Batches、Sort ByおよびSort Direction属性と組み合せて使用されます。これらすべての属性の詳細は、「バッチ・リコンシリエーションの実行」を参照してください。 |
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。 |
Search Base |
リコンシリエーション時にユーザー・レコードの検索を実行する必要があるコンテナを入力します。 サンプル値: ノート: この属性の値を指定しないと、「基本構成」セクションのコンテナ・パラメータの値として指定された値がこのパラメータの値として使用されます。 |
削除ユーザーのリコンシリエーション・ジョブ
Active Directory User Trusted Delete Reconジョブは、認可アプリケーションから、削除されたユーザーに関するデータをリコンサイルする場合に使用されます。リコンシリエーションの実行時、削除されたターゲット・システム・ユーザー・アカウントごとに、対応するOIMユーザーが削除されます。
表3-15 Active Directory User Trusted Delete Reconジョブのパラメータ
パラメータ | 説明 |
---|---|
Application Name |
ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。 この値は変更しないでください。 |
Sync Token |
削除リコンシリエーションを最初に実行するとき、このパラメータは空白にしておく必要があります。こうすることで、ターゲット・システムから削除されるすべてのレコードに関するデータが、Oracle Identity Governanceにフェッチされます。 最初の削除リコンシリエーションが実行された後、コネクタによってこの属性の値がXMLシリアル化形式で自動的に入力されます。次のリコンシリエーションからは、直前のリコンシリエーション終了後に削除されたレコードに関するデータのみがOracle Identity Governanceにフェッチされます。 この属性の値は次の形式で格納されます。
この形式での
|
Scheduled Task Name |
このパラメータは、スケジュール済ジョブの名前を保持します。 ノート: このコネクタに組み込まれているスケジュール済ジョブについては、この属性の値を変更することはできません。ただし、新しいジョブまたはジョブのコピーを作成した場合は、この属性の値として、そのスケジュール済ジョブに一意の名前を入力します。 デフォルト値: |
Object Type |
このパラメータは、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。 |
Delete Recon |
このパラメータは、コネクタで削除リコンシリエーションを実行する必要があるかどうかを指定します。 デフォルト値: ノート: この属性の値は変更しないでください。 |