1. Microsoft Active Directory User Managementアプリケーションの構築
  2. Microsoft Active Directory User Managementコネクタの構成

3 Microsoft Active Directory User Managementコネクタの構成

アプリケーションの作成時に、Oracle Identity Governanceとターゲット・システムの接続およびコネクタ操作の実行のために、コネクタで使用される接続関連のパラメータを構成する必要があります。また、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システムの列の属性マッピング、事前定義済相関ルール、状況とレスポンスおよびリコンシリエーション・ジョブを表示して編集できます。

3.1 基本構成パラメータ

これらは、Microsoft Active DirectoryまたはMicrosoft AD LDSへの接続のために、Oracle Identity Governanceで必要となる接続関連パラメータです。これらのパラメータは、ターゲット・アプリケーションと認可アプリケーションの両方で共通です。

表3-1 Microsoft Active Directory User Managementコネクタの「基本構成」セクションのパラメータ

パラメータ 必須 説明

コネクタ・サーバー名

.NETコネクタ・サーバーでこのコネクタを使用している場合は、コネクタ・サーバーITリソースの名前を入力します。

デフォルト値: Active Directory Connector Server

ドメイン名

コネクタを使用してアプリケーションを作成しているMicrosoft Active Directoryドメイン・コントローラに対応するドメイン名を入力します。

サンプル値: example.com

ノート: Microsoft Active Directoryをターゲット・システムとして使用している場合、これは必須パラメータです。

管理ユーザー名

「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」に記載されている手順を実行して作成したアカウントのユーザー名を入力します。

このパラメータの値は次の形式で入力します。

DOMAIN_NAME\USER_NAME

サンプル値: mydomain\admin

ノート: AD LDSをターゲット・システムとして使用しており、かつこのコンピュータがワークグループに属している場合は、このパラメータの値を入力します。

このパラメータの値は次の形式で入力します。

USER_NAME

サンプル値: admin

管理パスワード

「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」に記載されている手順を実行して作成したユーザー・アカウントのパスワードを入力します。

コンテナ

Oracle Identity Governanceのプロビジョニングまたはリコンシリエーションを行う必要があるユーザー・コンテナの完全修飾ドメイン名をそれぞれ入力します。

サンプル値: DC=example,DC=com

LDAPホスト名

Microsoft Active DirectoryがインストールされているMicrosoft Windowsコンピュータ(ターゲット・システムのホスト・コンピュータ)のホスト名、IPアドレスまたはドメイン名を入力します。

ノート: このパラメータとバックアップ・ホスト名パラメータ(この表の後の部分を参照)の値を指定しない場合、サーバーレス・バインディングが使用されます。コネクタはADSIを活用してドメインのドメイン・コントローラを判別し、ディレクトリ・エントリを作成します。したがって、ターゲット・システムとのすべての相互作用はドメイン・コントローラに固有のものではありません。

ホスト名を判別するには、ターゲット・システムをホストするコンピュータで「コンピューター」を右クリックして「プロパティ」を選択します「システムのプロパティ」ダイアログ・ボックスの「コンピューター名」タブで、ホスト名が「フル コンピューター名」フィールドの値として示されます。

サンプル値:

w2khost

172.20.55.120

example.com

ドメイン・コントローラ

×

ユーザー・アカウントをリコンサイルする必要があるドメイン・コントローラの名前を入力します。

ノート: このパラメータに指定される値が使用されるのは、拡張設定の子ドメインの検索パラメータの値がnoに設定されている場合です。ドメイン・コントローラ・パラメータに値を指定せず、子ドメインの検索パラメータの値がnoに設定されている場合、コネクタはターゲット・システムのドメイン・コントローラを自動的に検出して、そのドメイン・コントローラからユーザーをリコンサイルします。

サンプル値: mynewdc

ポート

×

Microsoft AD LDSがリスニングを行うポートの番号を入力します。

サンプル値: 50001

ノート: Microsoft Active Directoryをターゲット・システムとして使用している場合は、このパラメータの値を入力しないでください。

UseSSL

×

ターゲット・システムがSSLに対応するように構成されている場合は、yesを入力します。これにより、コネクタ・サーバーとターゲット・システムの間のセキュアな通信が実現します。それ以外の場合は、noを入力します。

デフォルト値: no

ノート:

  • プロビジョニング操作の際にユーザー・パスワードをリセットするため、ターゲット・システムとの通信はセキュアであることが必要です。.NETコネクタ・サーバーとMicrosoft Active Directory間のデフォルト通信はセキュアです。したがって、このパラメータの値をnoに設定しても、プロビジョニング操作でユーザー・パスワードをリセットすることが可能です。デフォルト通信がセキュアであるためです。SSLの構成の詳細は、「Microsoft Active DirectoryとMicrosoft AD LDSでのSSLの構成」を参照してください。

  • .NETコネクタ・サーバーとMicrosoft AD LDS間のデフォルト通信はセキュアではありません。したがって、パスワード・リセット・プロビジョニング操作を有効にするには、このパラメータの値をyesに設定して、Microsoft AD LDSとの通信を保護する必要があります。SSLの構成の詳細は、「コネクタ・サーバーとMicrosoft AD LDS間のSSLの構成」を参照してください。

バックアップ・ホスト名

×

プライマリ・ドメイン・コントローラが使用できなくなった場合に、Oracle Identity Governanceが切り替える必要があるバックアップ・ドメイン・コントローラのホスト名を入力します。

サンプル値: mydc1;mydc2;mydc3

ノート: 複数のバックアップ・ドメイン・コントローラはセミコロン(;)で区切る必要があります。

AD LDS

×

ターゲット・システムがMicrosoft AD LDSであることを指定する場合は、yesと入力します。

ターゲット・システムがMicrosoft Active Directoryであることを指定する場合は、noと入力します。

デフォルト値: no

グローバル・カタログ・サーバー

×

グローバル・カタログ・サーバーが配置されているホストを入力します。

ノート: このパラメータに指定される値が使用されるのは、子ドメインの検索パラメータの値をyesに設定した場合です。グローバル・カタログ・サーバー・パラメータに値が指定されず、子ドメインの検索パラメータがyesに設定されている場合、コネクタはターゲット・システムのグローバル・カタログ・サーバーを自動的に検出して、そのグローバル・カタログ・サーバーが実行しているドメイン・コントローラからユーザー・アカウントをリコンサイルします。

子ドメインの検索パラメータの値をyesに設定した場合は、このパラメータの値を指定することを強くお薦めします。

サンプル値: myglobalcatalogdc

3.2 拡張設定パラメータ

これらは、リコンシリエーション操作およびプロビジョニング操作の際にコネクタで使用される構成関連のエントリです。これらのパラメータは、ターゲット・アプリケーションと認可アプリケーションの両方で共通です。

表3-2 Oracle Databaseの拡張設定パラメータ

パラメータ 必須 説明

オブジェクト・クラス

×

このパラメータは、ターゲット・システム上の、新しく作成されたユーザーの割当て先となるオブジェクト・クラスの名前を保持します。

カスタム・オブジェクト・クラスを作成する場合は、そのオブジェクト・クラスの名前を入力します。たとえば、InetOrgPersonなどです。

デフォルト値: User

ロックアウトしきい値

×

ユーザー・アカウントをロックする必要があるログイン試行の不成功回数を入力します。

ノート: このエントリを適用できるのはMicrosoft AD LDSターゲット・システムのみです。

デフォルト値: 5

常にオブジェクトGUIDを使用

×

このパラメータは、リコンシリエーション中にレコードを検索するために、コネクタでオブジェクトのGUIDを使用する必要があるかどうかを指定します。

デフォルト値: yes

ノート: このエントリの値は変更しないでください。

ネイティブGuid表記規則

×

このパラメータは、GUIDがネイティブ形式で格納されているかどうかを指定します。このエントリはコネクタによって内部で使用されます。

デフォルト値: true

ノート: このエントリの値は変更しないでください。

ページ・サイズ

×

リコンシリエーションの実行時に各コールでコネクタによってターゲット・システムにフェッチされるレコードのページ・サイズを入力します。ページングによって、問合せの結果セット全体が小さなサブセット(ページ)に分割されます。

通常、単純な検索ではこの値を最大ページ・サイズに設定することをお薦めします。ページ・サイズを最大値に設定することで、各ページを取得するためにネットワーク上で往復する回数を最小限に抑えることができます。これによって、単純な検索の場合に操作のコストが高くなる傾向があります。

PageSizeをターゲット・システムのMaxPageSizeよりも大きな値に指定することができますが、Active Directoryサーバーによって無視され、MaxPageSizeが使用されます。この場合、例外は生成されません。

場合によっては、タイムアウトやサーバーの過負荷を回避するために小さいページ・サイズを指定する必要があります。問合せによってはコストが非常に高くなるため、1ページの結果数を制限してこれを避けることができます。

デフォルト値: 1000

子ドメインの検索

×

このパラメータは、DomainName属性の値として指定されたドメインにおけるユーザー、グループまたは組織単位の検索範囲を決定します。

指定のドメインのみのユーザー、グループまたは組織単位をコネクタで検索する場合は、noを入力します。ドメイン名は、DomainName属性の値として指定されます。基本構成のドメイン・コントローラ・パラメータの値として指定されたドメイン・コントローラからレコードがフェッチされることに注意してください。

指定のドメインおよび子ドメインのユーザー、グループまたは組織単位をコネクタで検索する場合は、yesを入力します。この場合、グローバル・カタログ・サーバーがレコードのフェッチに使用されます。基本構成のグローバル・カタログ・サーバー・パラメータの値としてグローバル・カタログ・サーバーを指定することに注意してください。

デフォルト値: no

コネクタ名

このパラメータは、コネクタ・クラスの名前を保持します。

値: Org.IdentityConnectors.ActiveDirectory.ActiveDirectoryConnector

バンドル名

このパラメータは、コネクタ・バンドル・パッケージの名前を保持します。

値: ActiveDirectory.Connector

バンドル・バージョン

このパラメータは、コネクタ・バンドル・クラスのバージョンを保持します。

値: 12.3.0.0

リコンシリエーション日付書式

×

このパラメータは、直前のリコンシリエーション実行時刻を表示する書式を保持します。

デフォルト値: yyyyMMddHHmmss.0Z

階層の保持

×

ターゲット・システムで保持されているのと同じ組織階層をOracle Identity Governanceで保持することを指定する場合は、yesと入力します。それ以外の場合は、noを入力します。

デフォルト値: no

アカウントにツリーの削除を使用

×

このパラメータは、削除される__ACCOUNT__オブジェクトの関連するリーフ・ノードも、そのオブジェクトと一緒に削除されるかどうかを指定します。このエントリの値がtrueに設定されず、削除される__ACCOUNT__オブジェクトにリーフ・ノードがある場合、操作は失敗してエラー・メッセージが表示されます。

このエントリの値がfalseに設定されると、__ACCOUNT__オブジェクトはその親の子リストからのみ削除されます。それ以外の場合、オブジェクト・クラスにかかわらずツリー全体が再帰的に削除されます。

デフォルト値: false

ホーム・ディレクトリの作成

×

このパラメータは、ホーム・ディレクトリを作成する必要があるかどうかという情報を含みます。

ユーザー・アカウントのためにコネクタでホーム・ディレクトリを作成する場合は、yesを入力します。それ以外の場合は、noを入力します。

デフォルト値: yes

プールの最大アイドル数

×

プール内のアイドル状態のオブジェクトの最大数。

デフォルト値: 10

プールの最大サイズ

×

プールで作成できる接続の最大数。

デフォルト値: 10

プールの最大待機時間

×

プールが空きオブジェクトを操作に使用できるようになるまで待機する必要のある最大時間(ミリ秒)。

デフォルト値: 150000

プールの最小削除アイドル時間

×

コネクタがアイドル状態のオブジェクトを削除するまで待機する必要のある最小時間(ミリ秒)。

デフォルト値: 120000

プールの最小アイドル数

×

プール内のアイドル状態のオブジェクトの最小数。

デフォルト値: 1

3.3 属性マッピング

「スキーマ」ページの属性マッピングは、ターゲット・アプリケーションを作成しているか、認可アプリケーションを作成しているかに応じて異なります。

3.3.1 ターゲット・アプリケーションの属性マッピング

ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システム属性をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。リコンシリエーション操作およびプロビジョニング操作の際に、コネクタでこれらのマッピングが使用されます。

ADユーザー・アカウントの属性

表3-3に、Oracle Identity Governanceのプロセス・フォーム・フィールドとADターゲット・システム属性のユーザー固有の属性マッピングを示します。この表では、プロビジョニングまたはリコンシリエーションの際に特定の属性が使用されるかどうかと、それがリコンシリエーション中にレコードをフェッチするための一致のキー・フィールドかどうかも示します。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除して、デフォルトの属性マッピングを編集できます。

ノート:

AD LDSをターゲット・システムとして使用している場合、「スキーマ」ページのデフォルトの属性マッピングのリストで、次のことを実行する必要があります。

  • 次の「表示名」の属性を含む行を削除します。

    • リダイレクト・メールID

    • ターミナル・ログインを許可

    • ターミナル・ホーム・ディレクトリ

    • ターミナル・プロファイル・パス

  • 「表示名」が「ユーザーID」の行を次の値で更新します。

    • 「ターゲット属性」列で、sAMAccountNameを__UPN_WO_DOMAIN__に置換します。

    • 「プロビジョニング・フィールド」チェック・ボックスの選択を解除します。

    • 「リコンシリエーション・フィールド」チェック・ボックスを選択します。

表3-3 ADユーザー・アカウントのデフォルトの属性マッピング

Display Name ターゲット属性 データ型 必須プロビジョニング・プロパティ プロビジョニング・フィールド リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない

ユーザーID

sAMAccountName

文字列

×

×

適用なし

ユーザー・プリンシパル名

userPrincipalName

文字列

×

×

適用なし

givenName

文字列

×

×

適用なし

ミドル・ネーム

middleName

文字列

×

×

適用なし

sn

文字列

×

×

適用なし

氏名

displayName

文字列

×

×

適用なし

パスワードの有効期限なし

PasswordNeverExpires

ブール

×

×

適用なし

ユーザーは次回ログオン時にパスワードの変更が必要

__PASSWORD_EXPIRED__

ブール

×

×

適用なし

アカウントをロックアウト

__LOCK_OUT__

ブール

×

×

適用なし

電話番号

telephoneNumber

文字列

×

×

適用なし

アカウントの有効期限

__PASSWORD_EXPIRATION_DATE__

日付

×

×

適用なし

電子メール

mail

文字列

×

×

適用なし

私書箱

postOfficeBox

文字列

×

×

適用なし

市区町村

l

文字列

×

×

適用なし

都道府県

st

文字列

×

×

適用なし

郵便番号

postalCode

文字列

×

×

適用なし

自宅電話番号

homePhone

文字列

×

×

適用なし

モバイル

mobile

文字列

×

×

適用なし

ページャ

pager

文字列

×

×

適用なし

FAX

facsimileTelephoneNumber

文字列

×

×

適用なし

役職

title

文字列

×

×

適用なし

部門

department

文字列

×

×

適用なし

会社

company

文字列

×

×

適用なし

マネージャ名

manager

文字列

×

×

適用なし

勤務先

physicalDeliveryOfficeName

文字列

×

×

適用なし

c

文字列

×

×

適用なし

番地

streetAddress

文字列

×

×

適用なし

ターミナル・ホーム・ディレクトリ

TerminalServicesHomeDirectory

文字列

×

×

適用なし

ターミナル・ログインを許可

AllowLogon

ブール

×

×

適用なし

ターミナル・プロファイル・パス

TerminalServicesProfilePath

文字列

×

×

適用なし

ステータス

__ENABLE__

文字列

×

×

×

適用なし

ADサーバー

ロング

×

×

Unique Id

__UID__

文字列

×

×

×

共通名

cn

文字列

×

×

適用なし

Organization Name

ad_container

文字列

×

×

適用なし

パスワード

__PASSWORD__

文字列

×

×

×

適用なし

パスワードが不要

PasswordNotRequired

ブール

×

×

×

適用なし

ホーム・ディレクトリ

homeDirectory

文字列

×

×

×

適用なし

リダイレクト・メールID

__MAILREDIRECTION__

文字列

×

×

×

適用なし

ユーザーの完全DN

__NAME__

文字列

×

×

×

適用なし

図3-1に、ADターゲット・アプリケーションについての、デフォルトのユーザー・アカウントの属性マッピングを示します。

図3-1 ADユーザー・アカウントのデフォルトの属性マッピング

図3-1の説明が続きます
「図3-1 ADユーザー・アカウントのデフォルトの属性マッピング」の説明

グループ権限の属性

表3-4に、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システム属性のグループ固有の属性マッピングを示します。この表では、指定した属性がプロビジョニング中に必須かどうかを示します。また、指定した属性がリコンシリエーション中に使用されるかどうかと、それがリコンシリエーション中にレコードをフェッチするための一致のキー・フィールドかどうかも示します。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項の説明に従って、新しい属性を追加したり既存の属性を削除して、デフォルトの属性マッピングを編集できます。

表3-4 グループ権限のデフォルトの属性マッピング

Display Name ターゲット属性 データ型 必須プロビジョニング・プロパティ リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない

Group Name

__GROUPS__

文字列

×

×

図3-2に、デフォルトのグループ権限のマッピングを示します。

図3-2 グループ権限のデフォルトの属性マッピング

図3-2の説明が続きます
「図3-2 グループ権限のデフォルトの属性マッピング」の説明

3.3.2 認可アプリケーションの属性マッピング

認可アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システム属性をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。リコンシリエーション操作の際に、コネクタでこれらのマッピングが使用されます。

表3-5に、Oracle Identity Governanceのリコンシリエーション・フィールドとADターゲット・システム属性のユーザー固有の属性マッピングを示します。この表では、指定した属性のデータ型と、リコンシリエーションの必須属性かどうかも示します。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』認可アプリケーションの作成に関する項の説明に従って、「スキーマ」ページで新しい属性を追加したり既存の属性を削除して、これらの属性マッピングを編集できます。

自動設定されたデフォルト・スキーマを使用するか、またはデフォルト・スキーマを更新および変更して、次のステップに進みます。

「組織名」、「Xellerateタイプ」および「ロール」のアイデンティティ属性はOIGユーザー・フォームの必須フィールドで、リコンシリエーションの際に空白にしておくことはできません。ターゲット・システムには「組織名」、「Xellerateタイプ」および「ロール」のアイデンティティ属性に対応する属性は存在しないため、これらはOracle identity Governanceの属性にマッピングされています。また、リコンシリエーションの際に使用できるデフォルト値(表3-5の「アイデンティティ表示名のデフォルト値」に表示)が指定されます。たとえば、「組織名」のターゲット属性のデフォルト値はXellerate Usersです。このことは、すべてのターゲット・システムのユーザー・アカウントがOracle Identity GovernanceのXellerate Usersという組織にリコンサイルされることを示しています。同様に、「Xellerateタイプ」属性のデフォルトの属性値はEnd-Userで、すべてのリコンサイルされたユーザー・レコードがエンド・ユーザーとしてマークされることを示しています。

ノート:

AD LDSをターゲット・システムとして使用している場合、「スキーマ」ページのデフォルトの属性マッピングのリストで、次のことを実行する必要があります。

  • 「マネージャ・ログイン」の表示名属性を含む行を削除します。

  • 表示名が「ユーザー・ログイン」の行で、sAMAccountNameを__UPN_WO_DOMAIN__に置換して、ターゲット属性マッピングを更新します。

表3-5 認可アプリケーションのADユーザー・アカウント・スキーマ属性

アイデンティティ表示名 ターゲット属性 データ型 必須リコンシリエーション・プロパティ リコンシリエーション・フィールド アイデンティティ表示名のデフォルト値

マネージャ・ログイン

Manager Id

文字列

×

なし

ステータス

__ENABLE__

文字列

×

なし

ObjectGUID

__UID__

文字列

×

なし

ユーザー・ログイン

sAMAccountName

文字列

×

なし

givenName

文字列

×

なし

sn

文字列

×

なし

ミドル・ネーム

middleName

文字列

×

なし

Xellerateタイプ

OIM User Type

文字列

×

End-User

ロール

OIM Employee Type

文字列

×

Full-Time

Organization Name

__PARENTCN__

文字列

×

Xellerate Users

電子メール

mail

文字列

×

なし

図3-3に、AD認可アプリケーションについての、デフォルトのADユーザー・アカウントの属性マッピングを示します。

図3-3 認可アプリケーションのADユーザー・アカウントのデフォルトの属性マッピング

図3-3の説明が続きます
「図3-3 認可アプリケーションのADユーザー・アカウントのデフォルトの属性マッピング」の説明

3.4 コネクタの相関ルール

ターゲット・アプリケーションおよび認可アプリケーションの事前定義済ルール、レスポンスおよび状況について学習します。コネクタによってこれらのルールとレスポンスが使用されて、リコンシリエーションが実行されます。

3.4.1 ターゲット・アプリケーションの相関ルール

ターゲット・アプリケーションを作成するときに、Oracle Identity Governanceがリソースを割り当てる必要があるアイデンティティを決定する相関ルールが使用されます。

事前定義済アイデンティティ相関ルール

デフォルトでは、Active Directory User Managementコネクタには、ターゲット・アプリケーション作成時の単純相関ルールが用意されています。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。

表3-6に、ADターゲット・システムのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集することも、新しいルールを追加することもできます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』アイデンティティ相関ルールの更新に関する項を参照してください。

表3-6 ADターゲット・アプリケーションの事前定義済アイデンティティ相関ルール

ターゲット属性 要素演算子 アイデンティティ属性 大/小文字の区別

__UID__

次と等しい

ObjectGUID

×

sAMAccountName

次と等しい

ユーザー・ログイン

×

ノート:

Microsoft AD LDSをターゲット・システムとして使用している場合、「ターゲット属性」列で、sAMAccountNameをuserPrincipalNameに置換して、アイデンティティ・リコンシリエーション・ルールを更新する必要があります。

ADターゲット・アプリケーションのアイデンティティ相関ルールは、次のようになります。

(__UID__ 次と等しい ObjectGUID)または(sAMAccountName 次と等しい ユーザー・ログイン)

AD LDSターゲット・アプリケーションのアイデンティティ相関ルールは、次のようになります。

(__UID__ 次と等しい ObjectGUID)または(userPrincipalName 次と等しい ユーザー・ログイン)

最初のアイデンティティ・ルール・コンポーネントは、次のとおりです。

  • __UID__は、ユーザー・アカウントを一意に識別するターゲット・システムの属性です。

  • ObjectGUIDは、OIGユーザーに割り当てられるリソースの一意の識別子です。

2番目のアイデンティティ・ルール・コンポーネントは、次のとおりです。

  • ADターゲット・アプリケーションでは、sAMAccountNameはユーザー・アカウントのログイン名を表すMicrosoft Active Directoryのフィールドです。

  • AD LDSターゲット・アプリケーションでは、userPrincipalNameはユーザーのドメイン固有の名前を表すAD LDSのフィールドです。

  • User Loginは、OIMユーザー・フォームのフィールドです。

両方のルール・コンポーネントは、OR論理演算子で結合されます。

図3-4に、ADとAD LDSの両方のターゲット・システムに適用可能なこのコネクタの単純相関ルールを示します。

図3-4 ターゲット・アプリケーションの単純相関ルール

図3-4の説明が続きます
「図3-4 ターゲット・アプリケーションの単純相関ルール」の説明

事前定義済の状況とレスポンス

Active Directory User Managementコネクタには、ターゲット・アプリケーション作成時の状況とレスポンスのデフォルト・セットが用意されています。これらの状況とレスポンスによって、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションが指定されます。

表3-7に、ADとAD LDSの両方のターゲット・システムに適用可能なこのコネクタのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集することも、新しい状況とレスポンスを追加することもできます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』状況とレスポンスの更新に関する項を参照してください。

表3-7 ターゲット・アプリケーションの事前定義済の状況とレスポンス

状況 レスポンス

一致が見つからなかった場合

最小ロードの管理者への割当て

1つのエンティティ一致が見つかった場合

リンクの確立

1つのプロセス一致が見つかった場合

リンクの確立

図3-5に、ADとAD LDSの両方のターゲット・アプリケーションに対して、コネクタにデフォルトで用意されている状況とレスポンスを示します。

図3-5 ターゲット・アプリケーションの事前定義済の状況とレスポンス

図3-5の説明が続きます
「図3-5 ターゲット・アプリケーションの事前定義済の状況とレスポンス」の説明

3.4.2 認可アプリケーションの相関ルール

認可アプリケーションを作成するときに、Oracle Identity Governanceにリコンサイルされる必要があるアイデンティティを決定する相関ルールが使用されます。

事前定義済アイデンティティ相関ルール

デフォルトでは、Active Directory User Managementコネクタには、認可アプリケーション作成時の単純相関ルールが用意されています。コネクタはこの相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。

表3-8に、AD認可アプリケーションのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集することも、新しいルールを追加することもできます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』アイデンティティ相関ルールの更新に関する項を参照してください。

表3-8 AD認可アプリケーションの事前定義済アイデンティティ相関ルール

ターゲット属性 要素演算子 アイデンティティ属性 大/小文字の区別

__UID__

次と等しい

ObjectGUID

×

sAMAccountName

次と等しい

ユーザー・ログイン

×

ノート:

Microsoft AD LDSをターゲット・システムとして使用している場合、「ターゲット属性」列で、sAMAccountNameをuserPrincipalNameに置換して、アイデンティティ・リコンシリエーション・ルールを更新する必要があります。

ADターゲット・アプリケーションのアイデンティティ相関ルールは、次のようになります。

(__UID__ 次と等しい ObjectGUID)または(sAMAccountName 次と等しい ユーザー・ログイン)

AD LDSターゲット・アプリケーションのアイデンティティ相関ルールは、次のようになります。

(__UID__ 次と等しい ObjectGUID)または(userPrincipalName 次と等しい ユーザー・ログイン)

最初のアイデンティティ・ルール・コンポーネントは、次のとおりです。

  • __UID__は、ユーザー・アカウントを一意に識別するターゲット・システムの属性です。

  • ObjectGUIDは、OIGユーザーに割り当てられるリソースの一意の識別子です。

2番目のアイデンティティ・ルール・コンポーネントは、次のとおりです。

  • ADターゲット・アプリケーションでは、sAMAccountNameはユーザー・アカウントのログイン名を表すMicrosoft Active Directoryのフィールドです。

  • AD LDSターゲット・アプリケーションでは、userPrincipalNameはユーザーのドメイン固有の名前を表すAD LDSのフィールドです。

  • 「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。

両方のルール・コンポーネントは、OR論理演算子で結合されます。

図3-6に、AD認可アプリケーションの単純相関ルールを示します。

図3-6 認可アプリケーションの単純相関ルール

図3-6の説明が続きます
「図3-6 認可アプリケーションの単純相関ルール」の説明

事前定義済の状況とレスポンス

Active Directory User Managementコネクタには、認可アプリケーション作成時の状況とレスポンスのデフォルト・セットが用意されています。これらの状況とレスポンスによって、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションが指定されます。

表3-9に、ADとAD LDSの両方の認可アプリケーションのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集することも、新しい状況とレスポンスを追加することもできます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』状況とレスポンスの更新に関する項を参照してください。

表3-9 認可アプリケーションの事前定義済の状況とレスポンス

状況 レスポンス

一致が見つからなかった場合

ユーザーの作成

1つのエンティティ一致が見つかった場合

リンクの確立

1つのプロセス一致が見つかった場合

リンクの確立

図3-7に、ADとAD LDSの両方のターゲット・アプリケーションに対して、コネクタにデフォルトで用意されている認可アプリケーションの状況とレスポンスを示します。

図3-7 認可アプリケーションの事前定義済の状況とレスポンス

図3-7の説明が続きます
「図3-7 認可アプリケーションの事前定義済の状況とレスポンス」の説明

3.5 コネクタのリコンシリエーション・ジョブ

これらは、ターゲット・アプリケーションまたは認可アプリケーションの作成後に、コネクタによって作成されるリコンシリエーション・ジョブです

3.5.1 ターゲット・アプリケーションのリコンシリエーション・ジョブ

これらは、ターゲット・アプリケーションの作成後に、Oracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブです。

ユーザー・リコンシリエーション・ジョブ

Active Directory User Target Reconciliationジョブを使用して、ターゲット・アプリケーションからユーザー・データをリコンサイルします。

ノート:

このコネクタのリリース12.2.1.3.0では、Active Directory User Target Reconciliationジョブに似たActive Directory User Target Concurrent Reconという名前の新しいジョブが導入されています。マルチスレッド・モードでターゲット・アプリケーションからユーザー・データをリコンサイルするバルク・リコンシリエーションを実行する場合は、Active Directory User Target Concurrent Reconジョブをお薦めします。Oracle Identity System Administrationからこのスケジュール済ジョブを検索して実行できます。このジョブのパラメータは、Active Directory User Target Reconciliationジョブと同じです。

表3-10 Active Directory User Target ReconciliationジョブとActive Directory User Target Concurrent Reconジョブのパラメータ

パラメータ 説明

Application Name

ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。

この値は変更しないでください

Number of Batches

コネクタがユーザー・レコードをリコンサイルする必要があるバッチ数を入力します。

デフォルト値: All

Search Scope

リコンサイルされるレコードの検索範囲に、Search Baseパラメータで指定されるコンテナとすべての子コンテナを含める場合は、subtreeを入力します。たとえば、検索ベースをOU=abc,DC=corp,DC=comと設定すると、検索対象はabc OUおよびすべての子OUとなります。

レコードの検索範囲をSearch Baseパラメータで指定されたコンテナのみに限定する場合は、onelevelと入力します。このコネクタでは、指定されたコンテナの子コンテナは検索に含まれません。たとえば、検索ベースをOU=abc,DC=corp,DC=comと設定すると、検索対象はabc OUのみとなります。

ノート: onelevelと入力する場合は、oneとlevelの語の間に空白を入れないようにする必要があります。

デフォルト値: subtree

Scheduled Task Name

このパラメータは、スケジュール済ジョブの名前を保持します。

ノート: このコネクタに組み込まれているスケジュール済ジョブについては、このパラメータの値を変更しないでください。ただし、新しいジョブまたはジョブのコピーを作成した場合は、このパラメータの値として、そのスケジュール済ジョブに一意の名前を入力します。

デフォルト値: Active Directory User Target Recon

Sort Direction

このパラメータを使用して、レコードが昇順でフェッチされるようソートするか、降順でフェッチされるようソートするかを指定します。この属性の値には、ascまたはdescを指定できます

デフォルト値: asc

Incremental Recon Attribute

直前の更新に関連する数値(減少しない値)を含むターゲット・システム属性の名前を入力します。たとえば、numericまたはstringsです。

この属性の値は、ターゲット・システムからリコンサイルされた最新のレコードを判別するために増分リコンシリエーションで使用されます。

デフォルト値: uSNChanged

ノート: この属性の値は変更しないでください。

Sort By

バッチのレコードをソートするターゲット・システム・フィールドの名前を入力します。

デフォルト値: sAMAccountName

ノート: ターゲット・システムとしてAD LDSを使用している場合、このパラメータのデフォルト値を他の属性(たとえば、cn)に変更します。sAMAccountName属性はAD LDSターゲット・システムには存在しないためです。

Latest Token

このパラメータは、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。

ノート: リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。このパラメータの値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性値よりも大きいユーザー・アカウントのコネクタのみがリコンサイルされます。

Filter

スケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式を入力します。

サンプル値: startsWith('userPrincipalName','John')

作成して使用できるフィルタ式の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』ICFフィルタ構文に関する項を参照してください。

Batch Start

バッチ・リコンシリエーションの実行を開始するターゲット・システム・レコードの番号を入力します。

デフォルト値: 1

このパラメータは、Batch Size、Number of Batches、Sort ByおよびSort Directionパラメータと組み合せて使用されます。これらすべてのパラメータの詳細は、「バッチ・リコンシリエーションの実行」を参照してください。

Batch Size

ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。

デフォルト値: 100

この属性は、Batch Start、Number of Batches、Sort ByおよびSort Direction属性と組み合せて使用されます。これらすべての属性の詳細は、「バッチ・リコンシリエーションの実行」を参照してください。

Object Type

このパラメータは、リコンサイルするオブジェクトのタイプを保持します。

デフォルト値: User

ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。

Search Base

リコンシリエーション時にユーザー・レコードの検索を実行する必要があるコンテナを入力します。

サンプル値: ou=org1,dc=corp,dc=com

ノート: この属性の値を指定しないと、「基本構成」セクションのコンテナ・パラメータの値として指定された値がこのパラメータの値として使用されます。

増分リコンシリエーション・ジョブ

Active Directory User Group Membership Reconジョブを使用して、グループが変更されたユーザー・アカウントをリコンサイルします。初めてこのジョブを実行する場合、ターゲット・システムで最後に更新されたユーザー・アカウントのみがフェッチされて、Sync Tokenパラメータ値に最新のタイムスタンプが自動的に移入されます。以降の実行では、グループが変更されたユーザー・アカウントに関する情報のみがフェッチされます。

表3-11 Active Directory User Group Membership Reconジョブのパラメータ

パラメータ 説明

Application Name

ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。

この値は変更しないでください

Scheduled Task Name

このパラメータは、スケジュール済ジョブの名前を保持します。

ノート: このコネクタに組み込まれているスケジュール済ジョブについては、このパラメータの値を変更しないでください。ただし、新しいジョブまたはジョブのコピーを作成した場合は、このパラメータの値として、そのスケジュール済ジョブに一意の名前を入力します。

デフォルト値: Active Directory User Group Membership Recon

Object Type

このパラメータは、リコンサイルするオブジェクトのタイプを保持します。

デフォルト値: User

ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。

Users Page Size

リコンシリエーションの実行時に各コールでターゲット・システムにフェッチされるレコードの数を入力します。

デフォルト値: 100

Timeout

Users Page Sizeパラメータで指定したレコード数をフェッチする必要がある秒数(これを超えると例外がスローされます)を指定する整数値を入力します。

デフォルト値: 300

Sync Token

グループ・メンバーシップのリコンシリエーションを最初に実行するときは、このパラメータが空白になるようにします。コネクタによって、最後に更新されたユーザー・レコードのみがターゲット・システムからフェッチされて、この属性の値がXMLシリアル化形式で自動的に入力されます。次のリコンシリエーションからは、直前のリコンシリエーション終了後に更新されたレコードに関するデータのみがOracle Identity Managerにフェッチされます。

User Group MemberShip Recon

コネクタによってユーザーのグループ・メンバーシップの詳細をフェッチする必要があることを指定する場合はyesと入力します。そうでない場合は、ユーザー・データのみがフェッチされるようにnoと入力します。

デフォルト値: yes

削除ユーザーのリコンシリエーション・ジョブ

Active Directory User Target Delete Reconジョブは、ターゲット・アプリケーションから、削除されたユーザーに関するデータをリコンサイルする場合に使用されます。リコンシリエーションの実行時に、ターゲット・システムの削除されたユーザー・アカウントごとに、対応するOIMユーザーのActive Directoryリソースが削除されます。

表3-12 Active Directory User Target Delete Reconジョブのパラメータ

パラメータ 説明

Application Name

ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。

この値は変更しないでください

Sync Token

削除リコンシリエーションを最初に実行するとき、このパラメータは空白にしておく必要があります。こうすることで、ターゲット・システムから削除されるすべてのレコードに関するデータが、Oracle Identity Governanceにフェッチされます。

最初の削除リコンシリエーションが実行された後、コネクタによってこの属性の値がXMLシリアル化形式で自動的に入力されます。次のリコンシリエーションからは、直前のリコンシリエーション終了後に削除されたレコードに関するデータのみがOracle Identity Governanceにフェッチされます。

この属性の値は次の形式で格納されます。

<String>0|{uSNChanged}|{True/False}|{DOMAIN_CONTROLLER}</String>

この形式でのTrueの値は、グローバル・カタログ・サーバーが削除リコンシリエーション実行で使用されることを指定します。また、DOMAIN_CONTROLLER は、グローバル・カタログ・サーバーが実行しているドメイン・コントローラの名前で置き換えられます。

Falseの値は、グローバル・カタログ・サーバーが削除リコンシリエーション実行で使用されないことを指定します。また、DOMAIN_CONTROLLER は、削除されたレコードのデータがフェッチされるドメイン・コントローラの名前で置き換えられます。

Scheduled Task Name

このパラメータは、スケジュール済ジョブの名前を保持します。

ノート: このコネクタに組み込まれているスケジュール済ジョブについては、このパラメータの値を変更しないでください。ただし、新しいジョブまたはジョブのコピーを作成した場合は、このパラメータの値として、そのスケジュール済ジョブに一意の名前を入力します。

デフォルト値: Active Directory User Target Delete Recon

Object Type

このパラメータは、リコンサイルするオブジェクトのタイプを保持します。

デフォルト値: User

ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。

Delete Recon

このパラメータは、コネクタで削除リコンシリエーションを実行する必要があるかどうかを指定します。

デフォルト値: yes

ノート: この属性の値は変更しないでください。

権限のリコンシリエーション・ジョブ

権限をリコンサイルするために次のジョブを使用できます。

  • Active Directory Organization Lookup Recon

    このリコンシリエーション・ジョブは、Oracle Identity Governanceの組織参照フィールドをターゲット・システムの組織関連データと同期させるために使用されます。

  • Active Directory Group Lookup Recon

    このリコンシリエーション・ジョブは、Oracle Identity Governanceのグループ参照フィールドをターゲット・システムのグループ関連データと同期させるために使用されます。

両方のリコンシリエーション・ジョブのパラメータは同じです。

表3-13 権限のリコンシリエーション・ジョブのパラメータ

パラメータ 説明

Application Name

ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。

この値は変更しないでください

Decode Attribute

参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用される、コネクタまたはターゲット・システムの属性の名前を入力します。

デフォルト値: distinguishedName

Filter

参照定義に格納されるレコードをフィルタ処理するフィルタを入力します。

Filter属性の詳細は、「制限付きリコンシリエーションの実行」を参照してください。

Lookup Name

このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。

デフォルト値は、使用しているリコンシリエーション・ジョブに応じて次のようになります。

  • Active Directory Organization Lookup Reconの場合 - Lookup.ActiveDirectory.OrganizationalUnits

  • Active Directory Group Lookup Reconの場合 - Lookup.ActiveDirectory.Groups

Object Type

同期させる必要のある値を含むオブジェクトのタイプを入力します。

デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。

  • Active Directory Organization Lookup Reconの場合 - OrganizationalUnit

  • Active Directory Group Lookup Reconの場合 - Group

ノート: この属性の値は変更しないでください。

Code Key Attribute

参照定義のコード・キー列を移入するのに使用する、コネクタの名前またはターゲット・システム属性を入力します(「参照名」属性の値として指定)。

デフォルト値: distinguishedName

ノート: この属性の値は変更しないでください。

3.5.2 認可アプリケーションのリコンシリエーション・ジョブ

これらは、認可アプリケーションの作成後に、Oracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブです。

ユーザー・リコンシリエーション・ジョブ

Active Directory User Trusted Reconジョブは、ターゲット・アプリケーションからユーザー・データをリコンサイルする場合に使用されます。

表3-14 Active Directory User Trusted Reconジョブのパラメータ

パラメータ 説明

Application Name

ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。

この値は変更しないでください

Number of Batches

コネクタがユーザー・レコードをリコンサイルする必要があるバッチ数を入力します。

デフォルト値: All

Search Scope

リコンサイルされるレコードの検索範囲に、Search Baseパラメータで指定されるコンテナとすべての子コンテナを含める場合は、subtreeを入力します。たとえば、検索ベースをOU=abc,DC=corp,DC=comと設定すると、検索対象はabc OUおよびすべての子OUとなります。

レコードの検索範囲をSearch Baseパラメータで指定されたコンテナのみに限定する場合は、onelevelと入力します。このコネクタでは、指定されたコンテナの子コンテナは検索に含まれません。たとえば、検索ベースをOU=abc,DC=corp,DC=comと設定すると、検索対象はabc OUのみとなります。

ノート: onelevelと入力する場合は、oneとlevelの語の間に空白を入れないようにする必要があります。

デフォルト値: subtree

Manager Id

マネージャであるユーザーの識別名を入力します。コネクタによって、この識別名に設定されたマネージャ・プロパティを持つすべてのユーザー・レコードがフェッチされます。

Microsoft Active Directoryをターゲット・システムとして使用している場合、このパラメータのデフォルト値はsAMAccountNameです。

Microsoft AD LDSをターゲット・システムとして使用している場合は、このパラメータの値を__UPN_WO_DOMAIN__に設定します。

デフォルト値: sAMAccountName

Scheduled Task Name

このパラメータは、スケジュール済ジョブの名前を保持します。

ノート: このコネクタに組み込まれているスケジュール済ジョブについては、このパラメータの値を変更しないでください。ただし、新しいジョブまたはジョブのコピーを作成した場合は、このパラメータの値として、そのスケジュール済ジョブに一意の名前を入力します。

デフォルト値: Active Directory User Trusted Recon

Sort Direction

このパラメータを使用して、レコードが昇順でフェッチされるようソートするか、降順でフェッチされるようソートするかを指定します。この属性の値には、ascまたはdescを指定できます

デフォルト値: asc

Incremental Recon Attribute

直前の更新に関連する数値(減少しない値)を含むターゲット・システム属性の名前を入力します。たとえば、numericまたはstringsです。

この属性の値は、ターゲット・システムからリコンサイルされた最新のレコードを判別するために増分リコンシリエーションで使用されます。

デフォルト値: uSNChanged

Maintain Hierarchy

ターゲット・システムで保持されているのと同じ組織階層をOracle Identity Governanceで保持することを指定する場合は、yesと入力します。それ以外の場合は、noを入力します。

デフォルト値: no

ノート: このパラメータをyesに設定した場合、このスケジュール済ジョブの前に実行されるように、組織リコンシリエーションのジョブ(Active Directory Organization Recon)をスケジュールする必要があります。

Sort By

バッチのレコードをソートするターゲット・システム・フィールドの名前を入力します。

デフォルト値: samAccountName

ノート: ターゲット・システムとしてAD LDSを使用している場合、このパラメータのデフォルト値を他の属性(たとえば、cn)に変更します。sAMAccountName属性はAD LDSターゲット・システムには存在しないためです。

Latest Token

このパラメータは、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。

ノート: リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。このパラメータの値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性値よりも大きいユーザー・アカウントのコネクタのみがリコンサイルされます。

Filter

スケジュール済ジョブによってリコンサイルする必要があるレコードをフィルタ処理する式を入力します。

サンプル値: startsWith('userPrincipalName','John')

作成して使用できるフィルタ式の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』ICFフィルタ構文に関する項を参照してください。

Batch Start

バッチ・リコンシリエーションの実行を開始するターゲット・システム・レコードの番号を入力します。

デフォルト値: 1

このパラメータは、Batch Size、Number of Batches、Sort ByおよびSort Directionパラメータと組み合せて使用されます。これらすべてのパラメータの詳細は、「バッチ・リコンシリエーションの実行」を参照してください。

Batch Size

ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。

デフォルト値: 100

この属性は、Batch Start、Number of Batches、Sort ByおよびSort Direction属性と組み合せて使用されます。これらすべての属性の詳細は、「バッチ・リコンシリエーションの実行」を参照してください。

Object Type

このパラメータは、リコンサイルするオブジェクトのタイプを保持します。

デフォルト値: User

ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。

Search Base

リコンシリエーション時にユーザー・レコードの検索を実行する必要があるコンテナを入力します。

サンプル値: ou=org1,dc=corp,dc=com

ノート: この属性の値を指定しないと、「基本構成」セクションのコンテナ・パラメータの値として指定された値がこのパラメータの値として使用されます。

削除ユーザーのリコンシリエーション・ジョブ

Active Directory User Trusted Delete Reconジョブは、認可アプリケーションから、削除されたユーザーに関するデータをリコンサイルする場合に使用されます。リコンシリエーションの実行時、削除されたターゲット・システム・ユーザー・アカウントごとに、対応するOIMユーザーが削除されます。

表3-15 Active Directory User Trusted Delete Reconジョブのパラメータ

パラメータ 説明

Application Name

ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドに指定した値と同じです。

この値は変更しないでください

Sync Token

削除リコンシリエーションを最初に実行するとき、このパラメータは空白にしておく必要があります。こうすることで、ターゲット・システムから削除されるすべてのレコードに関するデータが、Oracle Identity Governanceにフェッチされます。

最初の削除リコンシリエーションが実行された後、コネクタによってこの属性の値がXMLシリアル化形式で自動的に入力されます。次のリコンシリエーションからは、直前のリコンシリエーション終了後に削除されたレコードに関するデータのみがOracle Identity Governanceにフェッチされます。

この属性の値は次の形式で格納されます。

<String>0|{uSNChanged}|{True/False}|{DOMAIN_CONTROLLER}</String>

この形式でのTrueの値は、グローバル・カタログ・サーバーが削除リコンシリエーション実行で使用されることを指定します。また、DOMAIN_CONTROLLER は、グローバル・カタログ・サーバーが実行しているドメイン・コントローラの名前で置き換えられます。

Falseの値は、グローバル・カタログ・サーバーが削除リコンシリエーション実行で使用されないことを指定します。また、DOMAIN_CONTROLLER は、削除されたレコードのデータがフェッチされるドメイン・コントローラの名前で置き換えられます。

Scheduled Task Name

このパラメータは、スケジュール済ジョブの名前を保持します。

ノート: このコネクタに組み込まれているスケジュール済ジョブについては、この属性の値を変更することはできません。ただし、新しいジョブまたはジョブのコピーを作成した場合は、この属性の値として、そのスケジュール済ジョブに一意の名前を入力します。

デフォルト値: Active Directory User Trusted Delete Recon

Object Type

このパラメータは、リコンサイルするオブジェクトのタイプを保持します。

デフォルト値: User

ノート: ユーザーをカスタム・クラス(たとえば、InetOrgPerson)にプロビジョニングするようにコネクタを構成する場合は、ここにオブジェクト・クラスの値を入力します。

Delete Recon

このパラメータは、コネクタで削除リコンシリエーションを実行する必要があるかどうかを指定します。

デフォルト値: yes

ノート: この属性の値は変更しないでください。