Microsoft Active Directory User Managementコネクタの機能の拡張

6 Microsoft Active Directory User Managementコネクタの機能の拡張

特定のビジネス要件に対応するようにコネクタの機能を拡張できます。

デフォルトでは、コネクタは特定の一連のタスクを実行するように構成されています。特定のビジネス要件に対処するために、次の項で説明する手順を実行してコネクタの機能を拡張できます。

6.1 ターゲット・リソースのリコンシリエーション用のカスタム・フィールドの追加

ユーザー、グループまたは組織単位のリコンシリエーションのためにさらにフィールドを追加できます。

ノート:

バイナリ属性はサポートされていません。コネクタでは、Microsoft Active Directoryターゲット・システムの属性タイプstring、long、char、double、float、intおよびboolがサポートされます。

6.1.1 ユーザーのターゲット・リソースのリコンシリエーション用のカスタム・フィールドの追加

ユーザーのリコンシリエーションのためにさらにフィールドを追加できます。

ノート:

この項ではオプションの手順を説明します。リコンシリエーション用のカスタム・フィールドを追加しない場合は、この手順を実行する必要はありません。

ユーザーのターゲット・リソースのリコンシリエーションのためにカスタム・フィールドを追加するには:

ユーザーのターゲット・リソースのリコンシリエーションのためにカスタム・フィールドを追加するには、次の手順を実行します。

Identity Self Serviceに管理者としてログインします。
「管理」タブをクリックし、「アプリケーション」ボックスをクリックして「アプリケーション」ページを開きます。
カスタム・フィールドを追加するActive Directoryターゲット・アプリケーションを検索して開きます。
「スキーマ」を選択して、「属性の追加」をクリックします。
新しく追加された行で、新しい属性名、OIMプロファイル、マッピング先のターゲット・システム属性などを追加します。たとえば、「表示名」、「アイデンティティ属性」、「ターゲット属性」および「「データ型」フィールドの値を入力します。次に、「リコンシリエーション・フィールド」チェックボックスを選択し、必要に応じて他のリコンシリエーション・プロパティを選択します。
「適用」をクリックして変更を保存します。
Oracle Identity System Administrationに管理者としてログインします。
サンドボックスを作成し、アクティブにします。
「フォーム・デザイナ」を選択します。
次の値を使用して新しいフォームを作成し、「作成」をクリックします:
1. 「リソース・タイプ」フィールドに、カスタム・フィールドを追加したActive Directoryターゲット・アプリケーションを入力します。
2. [フォーム名]フィールドにフォーム名を入力します。属性を増分的にアプリケーションに追加する場合は、新規属性を追加するたびに新規フォームを作成する必要があります。したがって、フォーム名にはバージョン番号を含めることをお薦めします。
新しく作成した属性がフォームの属性リストに存在することを確認し、変更を保存します。次に、サンドボックスを公開します。
「アプリケーション・インスタンス」に移動し、新しい属性を追加したアプリケーションに関連付けられているアプリケーション・インスタンスを検索して開きます。
「フォーム」ドロップダウンから、作成したばかりのフォームの新しいバージョンを選択し、「適用」をクリックします。

新しく追加されたフィールドは、新しいサンドボックスを作成して通常のフォームのカスタマイズ・プロセスを使用することで、アプリケーションの「表示」フォームおよび「変更」フォームに追加できるようになりました。

6.1.2 グループおよび組織単位のターゲット・リソースのリコンシリエーション用のカスタム・フィールドの追加

グループまたは組織単位のリコンシリエーションのためにさらにフィールドを追加できます。

ノート:

ターゲット・リソースのリコンシリエーションのためにカスタム・フィールドを追加するには:

Oracle Identity Governance Design Consoleにログインします。
リソース・オブジェクトのリコンシリエーション・フィールドのリストに、次のようにして、カスタム・フィールドを追加します。
1. 「Resource Management」を開き、「Resource Objects」をダブルクリックします。
2. 次のリソース・オブジェクトのうち1つを検索して開きます。
  
  グループの場合: AD Group
  
  組織単位の場合: AD Organizational Unit
3. 「Object Reconciliation」タブで、「Add Field」をクリックします。
4. 「Add Reconciliation Field」ダイアログ・ボックスに、フィールドの詳細を入力します。
  
  たとえば、「Field Name」フィールドにDescriptionと入力し、「Field Type」リストから「String」を選択します。
  
  ブール型フィールドを追加している場合は、フィールド・タイプとして「文字列」を選択します。
5. 「Save」をクリックして、ダイアログ・ボックスを閉じます。
6. 「Create Reconciliation Profile」をクリックします。これにより、リソース・オブジェクトに行われた変更がMDSにコピーされます。
7. 「保存」をクリックします。
リコンシリエーションの参照定義で、次のようにして、フィールドのエントリを作成します。
1. 「Administration」を開き、「Lookup Definition」をダブルクリックします。
2. 次のいずれかの参照定義を検索して開きます。
  
  グループの場合: Lookup.ActiveDirectory.GM.ReconAttrMap
  
  組織単位の場合: Lookup.ActiveDirectory.OM.ReconAttrMap
3. 「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。コード・キー値は、ステップ2.dのリコンシリエーション・フィールドに指定したフィールドの名前です。デコード値はターゲット・システム・フィールドの名前です。
  
  たとえば、「Code Key」フィールドにはDescription、「Decode」フィールドにはdescriptionと入力します。
4. 「保存」をクリックします。
次のようにして、プロセス・フォームにカスタム・フィールドを追加します。
1. 「開発ツール」を開き、「フォーム・デザイナ」をダブルクリックします。
2. 次のプロセス・フォームのうち1つを検索して開きます。
  
  グループの場合: UD_ADGRP
  
  組織単位の場合: UD_ADOU
3. 「Create New Version」、「Add」を順にクリックします。
4. フィールドの詳細を入力します。
  
  たとえば、「Description」フィールドを追加する場合は、「名前」フィールドにUD_ADGRP_DESCRIPTIONを入力し、続いてこのフィールドの残りの詳細を入力します。
5. 「Save」をクリックし、「Make Version Active」をクリックします。
Oracle Identity Governanceリリース11.1.2.xを使用している場合は、次のようにして、Design Consoleのフォーム・デザイナに加えられたすべての変更を新しいUIフォームに適用する必要があります。
1. Oracle Identity System Administrationにログインします。
2. サンドボックスを作成し、アクティブにします。詳細は、サンドボックスの作成およびアクティブ化を参照してください。
3. 新たに追加したフィールドと残りのフィールドを表示するために新しいUIフォームを作成します。UIフォームの作成の詳細は、UIフォームの新規作成を参照してください。
4. 新たに作成したUIフォームを、ターゲット・システムのアプリケーション・インスタンスと関連付けます。それを行うには、「フォーム」フィールドの、リソースの既存のアプリケーション・インスタンスを開き、(ステップ5.cで作成した)フォームを選択して、アプリケーション・インスタンスを保存します。
5. サンドボックスを公開します。詳細は、サンドボックスの公開を参照してください。
プロビジョニング処理の一部として、カスタム・フィールドのリコンシリエーション・フィールド・マッピングを、次のようにして作成します。
1. Design Consoleにログインします。
2. 「Process Management」を開き、「Process Definition」をダブルクリックします。
3. 次のプロビジョニング処理のうち1つを検索して開きます。
  
  グループの場合: AD Group
  
  組織単位の場合: AD Organizational Unit
4. プロビジョニング処理の「Reconciliation Field Mappings」タブで、「Add Field Map」をクリックします。
5. 「Add Reconciliation Field Mapping」ダイアログ・ボックスの「Field Name」フィールドで、追加するフィールドの値を選択します。
  
  たとえば、「Field Name」フィールドでDescriptionを選択します。
6. 「プロセス・データ」フィールドをダブルクリックし、UD_ADGRP_DESCRIPTIONを選択します。
7. 「Save」をクリックして、ダイアログ・ボックスを閉じます。
8. 「保存」をクリックします。

6.2 ターゲット・リソースのリコンシリエーション用の新規複数値フィールドの追加

ユーザー、グループまたは組織単位のターゲット・リソース・リコンシリエーションのときのために新しい複数値フィールドを追加できます。

ノート:

6.2.1 ユーザーのターゲット・リソースのリコンシリエーション用の新規複数値フィールドの追加

Oracle Identity Governanceとターゲット・システムとの間のユーザーのリコンシリエーション用に複数値フィールドを追加できます。

ノート:

この手順は、ユーザー・フィールドの追加のみに適用できます。

リコンシリエーション用に追加する新しいフィールドに文字列形式のデータのみが格納されていることを確認する必要があります。Oracle Identity Governanceにはバイナリ・フィールドを送信しないでください。

ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加するには、次のようにします。

アプリケーション・オンボードUIで、Active Directoryターゲット・アプリケーションを選択します。
「スキーマ」を選択して、「属性の追加」をクリックします。
新しく追加された行で、「表示名」と「ターゲット属性」のフィールドに値を入力します。
「データ型」フィールドで値を選択するために、ドロップダウンをクリックして「文字列」を選択します。
「リコンシリエーション・フィールド」チェック・ボックスを選択します。
行の最後にある3つの水平線で示された「拡張設定」をクリックして、「参照」チェック・ボックスを選択します。
「値リスト」フィールドに参照定義の名前を入力して、「OK」をクリックします。
「適用」をクリックします。

6.2.2 グループおよび組織単位のターゲット・リソースのリコンシリエーション用の新規複数値フィールドの追加

Oracle Identity Governanceとターゲット・システムとの間のグループおよび組織単位のリコンシリエーション用に複数値フィールドを追加できます。

ノート:

この手順は、グループ・フィールドまたは組織単位フィールドの追加に適用できます。

ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加するには、次のようにします。

Oracle Identity Governance Design Consoleにログインします。
次のようにして、複数値フィールド用のフォームを作成します。
1. 「Development Tools」を開き、「Form Designer」をダブルクリックします。
2. 表の名前および説明を指定してフォームを作成し、「Save」をクリックします。
3. 「Add」をクリックしてフィールドの詳細を入力します。
4. 「保存」をクリックし、バージョンのアクティブ化をクリックします。新しいフォームで追加された複数値フィールドを示します。
図6-1

図6-1 新しいフォームで追加された複数値フィールド

「図6-1 新しいフォームで追加された複数値フィールド」の説明
次のようにして、複数値フィールド用に作成されたフォームをプロセス・フォームの子フォームとして追加します。
1. 次のプロセス・フォームのうち1つを検索して開きます。
  
  グループの場合: UD_ADGRP
  
  組織単位の場合: UD_ADOU
2. 「新しいバージョンの作成」をクリックします。
3. 「Child Table(s)」タブをクリックします。
4. 「割当て」をクリックします。
5. 「Assign Child Tables」ダイアログ・ボックスで、新規作成した子フォームを選択して右矢印をクリックした後、「OK」をクリックします。
6. 「Save」をクリックし、「Make Version Active」をクリックします。
Oracle Identity Governanceリリース11.1.2.xを使用している場合は、次のようにして、Design Consoleのフォーム・デザイナに加えられたすべての変更を新しいUIフォームに適用する必要があります。
1. Oracle Identity System Administrationにログインします。
2. サンドボックスを作成し、アクティブにします。詳細は、サンドボックスの作成およびアクティブ化を参照してください。
3. 新たに追加したフィールドと残りのフィールドを表示するために新しいUIフォームを作成します。UIフォームの作成の詳細は、UIフォームの新規作成を参照してください。
4. 新たに作成したUIフォームを、ターゲット・システムのアプリケーション・インスタンスと関連付けます。それを行うには、「フォーム」フィールドの、リソースの既存のアプリケーション・インスタンスを開き、(ステップ4.cで作成した)フォームを選択して、アプリケーション・インスタンスを保存します。
5. サンドボックスを公開します。詳細は、サンドボックスの公開を参照してください。
リソース・オブジェクトのリコンシリエーション・フィールドのリストに、次のようにして、新しい複数値フィールドを追加します。
1. Design Consoleにログインします。
2. 「Resource Management」を開き、「Resource Objects」をダブルクリックします。
3. 次のリソース・オブジェクトのうち1つを検索して開きます。
  
  グループの場合: AD Group
  
  組織単位の場合: AD Organizational Unit
4. 「Object Reconciliation」タブで、「Add field」をクリックします。
5. 「Add Reconciliation Fields」ダイアログ・ボックスに、フィールドの詳細を入力します。
  
  たとえば、「Field Name」フィールドにcarlicensesと入力し、「Field Type」リストから「Multi Valued Attribute」を選択します。
6. 「Save」をクリックしてダイアログ・ボックスを閉じます。
7. 新規作成したフィールドを右クリックして、「Define Property Fields」を選択します。
8. 「Add Reconciliation Fields」ダイアログ・ボックスに、新規作成したフィールドの詳細を入力します。
  
  たとえば、「Field Name」フィールドにcarlicenseと入力し、「Field Type」リストから「String」を選択します。
9. 「保存」をクリックしてダイアログ・ボックスを閉じます。図6-2に、リソース・オブジェクトに追加された新しいリコンシリエーション・フィールドを示します。
  
  図6-2 リソース・オブジェクトに追加された新しいリコンシリエーション・フィールド
  
  「図6-2 リソース・オブジェクトに追加された新しいリコンシリエーション・フィールド」の説明
10. 「Create Reconciliation Profile」をクリックします。これにより、リソース・オブジェクトに行われた変更がMDSにコピーされます。
リコンシリエーションの参照定義で、次のようにして、フィールドのエントリを作成します。
1. 「Administration」を開き、「Lookup Definition」をダブルクリックします。
2. 次のいずれかの参照定義を検索して開きます。
  
  グループの場合: Lookup.ActiveDirectory.GM.ReconAttrMap
  
  組織単位の場合: Lookup.ActiveDirectory.OM.ReconAttrMap
  
  ノート:
  
  ターゲット・システム・フィールドには、ターゲット・システムと同じ大文字または小文字を使用する必要があります。フィールド名では、大/小文字が区別されるためです。
3. 「Add」をクリックしてフィールドの「Code Key」および「Decode」に値を入力し、「Save」をクリックします。コード・キーとデコードの値は次の形式にする必要があります。
  
  コード・キー: MULTIVALUED_FIELD_NAME~CHILD_RESOURCE_OBJECT_FIELD_NAME
  
  デコード: 対応するターゲット・システム属性。
  
  たとえば、「Code Key」フィールドにはcarlicenses~carlicense、「Decode」フィールドにはcarlicenseと入力します。
次のようにして、新しいフィールド用のリコンシリエーション・フィールド・マッピングを作成します。
1. 「Process Management」を開き、「Process Definition」をダブルクリックします。
2. 次のいずれかのプロセス定義を検索して開きます。
  
  グループの場合: AD Group
  
  組織単位の場合: AD Organizational Unit
3. AD GroupまたはAD Organizational Unitプロセス定義のリコンシリエーション・フィールド・マッピング・タブで、表マップの追加をクリックします。
4. 「Add Reconciliation Table Mapping」ダイアログ・ボックスで、リストからフィールド名および表名を選択し、「Save」をクリックしてダイアログ・ボックスを閉じます。
5. 新規作成したフィールドを右クリックして、「Define Property Field Map」を選択します。
6. 「Field Name」フィールドで、追加するフィールドの値を選択します。
7. 「Process Data Field」フィールドをダブルクリックし、UD_CARLICENを選択します。
8. 「Key Field for Reconciliation Field Matching」を選択して「Save」をクリックします。

6.3 プロビジョニング用のカスタム・フィールドの追加

ユーザー、グループまたは組織単位のプロビジョニング時のフィールドをさらに追加できます。

ノート:

6.3.1 ユーザーのプロビジョニング用のカスタム・フィールドの追加

ユーザーのプロビジョニング時のフィールドをさらに追加できます。

ノート:

この項ではオプションの手順を説明します。プロビジョニング用のカスタム・フィールドを追加しない場合は、この手順を実行する必要はありません。

ユーザーのプロビジョニング用にカスタム・フィールドを追加するには:

アプリケーション・オンボードUIで、Active Directoryターゲット・アプリケーションを選択します。
「スキーマ」を選択して、「属性の追加」をクリックします。
新しく追加された行で、「表示名」と「ターゲット属性」のフィールドに値を入力します。
「データ型」フィールドで値を選択するために、ドロップダウンをクリックして「文字列」を選択します。
「プロビジョニング・フィールド」チェック・ボックスを選択します。
「適用」をクリックします。

6.3.2 グループおよび組織単位のプロビジョニング用のカスタム・フィールドの追加

デフォルト属性以外の追加属性をプロビジョニングのためにマップできます。

グループおよび組織単位のプロビジョニングのためにカスタム・フィールドを追加するには、次の項で示す手順を実行します。

6.3.2.1 プロセス・フォームでの新規フィールドの追加

「グループおよび組織単位のターゲット・リソースのリコンシリエーション用のカスタム・フィールドの追加」のステップ4を実行してプロセス・フォームにフィールドを追加した場合は、フィールドを再度追加する必要はありません。フィールドを追加していない場合は、次のように追加します。

Oracle Identity Governance Design Consoleにログインします。
「開発ツール」を開き、「フォーム・デザイナ」をダブルクリックします。
次のプロセス・フォームのうち1つを検索して開きます。

グループの場合: UD_ADGRP

組織単位の場合: UD_ADOU
「Create New Version」、「Add」を順にクリックします。
フィールドの詳細を入力します。

たとえば、「Description」フィールドを追加する場合は、「名前」フィールドにUD_ADGRP_DESCRIPTIONを入力し、続いてこのフィールドの残りの詳細を入力します。
「Save」をクリックし、「Make Version Active」をクリックします。

6.3.2.2 新規UIフォームへのフォーム・デザイナの変更のレプリケート

Oracle Identity Governanceリリース11.1.2.xを使用している場合は、次のようにして、Design Consoleのフォーム・デザイナに加えられたすべての変更を新しいUIフォームに適用する必要があります。

Oracle Identity System Administrationにログインします。
サンドボックスを作成し、アクティブにします。詳細は、サンドボックスの作成およびアクティブ化を参照してください。
新たに追加したフィールドと残りのフィールドを表示するために新しいUIフォームを作成します。UIフォームの作成の詳細は、UIフォームの新規作成を参照してください。
新たに作成したUIフォームをターゲット・システムのアプリケーション・インスタンスに関連付けます。そのためには、リソースに対する既存のアプリケーション・インスタンスを開いて、フォームフィールドからフォーム(ステップ3.cで作成済)を選択し、アプリケーション・インスタンスを保存します。
サンドボックスを公開します。詳細は、サンドボックスの公開を参照してください。

6.3.2.3 プロビジョニング参照定義内のエントリの作成

プロビジョニングの参照定義で、次のようにして、フィールドのエントリを作成します。

Oracle Identity Governance Design Consoleにログインします。
「Administration」を開き、「Lookup Definition」をダブルクリックします
次のいずれかの参照定義を検索して開きます。

グループの場合: Lookup.ActiveDirectory.GM.ProvAttrMap

組織単位の場合: Lookup.ActiveDirectory.OM.ProvAttrMap
「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。デコード値は、ターゲット・システムのフィールドの名前にする必要があります。

たとえば、「Code Key」フィールドにはDescription(この手順のステップ2でプロセス・フォームに追加したフィールドの名前)、「Decode」フィールドにはdescriptionと入力します。

ノート:

追加したフィールドがブール型の場合は、次の形式でデコード値を入力します。

TARGET_ATTR_NAME=(OIM_PROCESS_FORM_FIELD_NAME=='1')?"TRUE":"FALSE"

たとえば、ターゲット・システム属性OCSUserEnabled、およびプロセス・フォームのOCSUserEnabledという名前のフィールドについて考えてみましょう。この場合、OCSUserEnabledコード・キーのデコード値は次のようになります。

OCSUserEnabled=(OCSUserEnabled == '1') ? "TRUE":"FALSE"
「保存」をクリックします。

6.3.2.4 カスタム・フィールドでの更新プロビジョニング操作の有効化

カスタム・フィールドを追加した後、次のように、そのフィールドで更新プロビジョニング操作を有効にする必要があります。

プロビジョニング処理で、フィールドを更新する新しいタスクを、次のようにして作成します。
1. 「Process Management」を開き、「Process Definition」をダブルクリックします。
2. 次のプロビジョニング処理のうち1つを検索して開きます。
  
  グループの場合: AD Group
  
  組織単位の場合: AD Organizational Unit
3. 「Add」をクリックしてタスクの名前および説明を入力します。次にサンプル値を示します。
  
  Task Name: Description Updated
  
  Task Description: Process Task for handling update of the description field.
4. 「Task Properties」セクションで、次のフィールドを選択します。
  
  条件付き
  
  保留中の取消しを許可
  
  複数のインスタンスを許可
5. 「保存」をクリックします。
プロビジョニング処理で、次のようにして、「Handler Type」セクションでアダプタ名を選択します。
1. 「Integration」タブに移動し、「Add」をクリックします。
2. 「Handler Selection」ダイアログ・ボックスで「Adapter」を選択します。
3. 「Handler Name」列でadpADIDCUPDATEATTRIBUTEVALUEを選択します。
4. 「Save」をクリックして、ダイアログ・ボックスを閉じます。
「Adapter Variable」リージョンでprocInstanceKey変数をクリックします。
表示されるダイアログ・ボックスで次のマッピングを作成します。

変数名: procInstanceKey

マップ先: Process Data

修飾子: Process Instance
「Save」をクリックして、ダイアログ・ボックスを閉じます。

「グループ」カスタム・フィールドの更新プロビジョニング操作を有効にする場合、次の表内のすべての変数について、ステップ3から5を繰り返します。各変数について次の表に示す値を「Map To」、「Qualifier」および「Literal Value」リストから選択してください。

変数	マップ先	修飾子	リテラル値
procInstanceKey	プロセス・データ	プロセス・インスタンス	該当なし
アダプタの戻り変数	レスポンス・コード	該当なし	該当なし
itResourceFieldName	リテラル	文字列	UD_ADGRP_SERVER
attrFieldName	リテラル	文字列	CUSTOM_FIELD_NAME
objectType	リテラル	文字列	Group

組織単位カスタム・フィールドの更新プロビジョニング操作を有効にする場合、次の表内のすべての変数について、ステップ3から5を繰り返します。各変数について次の表に示す値を「Map To」、「Qualifier」および「Literal Value」リストから選択してください。

変数	マップ先	修飾子	リテラル値
procInstanceKey	プロセス・データ	プロセス・インスタンス	該当なし
アダプタの戻り変数	レスポンス・コード	該当なし	該当なし
itResourceFieldName	リテラル	文字列	UD_ADOU_SERVER
attrFieldName	リテラル	文字列	CUSTOM_FIELD_NAME
objectType	リテラル	文字列	organizationalUnit

「レスポンス」タブで「追加」をクリックして、少なくともSUCCESSレスポンス・コードをステータスCとともに追加します。これにより、カスタム・タスクが正常に実行されると、タスクのステータスが「完了」として表示されます。
「Save」アイコンをクリックしてダイアログ・ボックスを閉じ、プロセス定義を保存します。

6.3.2.5 リクエスト・データセットの更新

プロセス・フォームで属性を追加した場合は、リクエスト・データセット定義を含むXMLファイルも更新します。リクエスト・データセットを更新するには:

テキスト・エディタで、OIM_HOME/dataset/fileディレクトリにあるXMLファイルを編集のために開きます。
AttributeReference要素を追加し、この要素の必須属性の値を指定します。
たとえば、プロセス・フォームでの新規フィールドの追加で説明した手順の実行中にプロセス・フォームに属性としてEmployee IDを追加した場合は、次の行を入力します。
```
<AttributeReference
name = "Employee ID"
attr-ref = "Employee ID"
type = "String"
widget = "text"
length = "50"
available-in-bulk = "false"/>
```
このAttributeReference要素の属性は次のように指定します。
- name属性では、プロセス・フォームの「Name」列の値を表名接頭辞を付けずに入力します。
  
  たとえば、UD_ADUSER_EMPLOYEE_IDがプロセス・フォームの「Name」列の値である場合、AttributeReference要素のname属性の値としてEmployee IDを指定する必要があります。
- attr-ref属性の場合は、プロセス・フォームでの新規フィールドの追加で説明した手順の実行中にプロセス・フォームのフィールド・ラベル列に入力した値を入力します。
- type属性の場合は、プロセス・フォームでの新規フィールドの追加で説明した手順の実行中にプロセス・フォームのバリアント・タイプ列に入力した値を入力します。
- widget属性の場合は、プロセス・フォームでの新規フィールドの追加で説明した手順の実行中にプロセス・フォームのフィールド・タイプ列に入力した値を入力します。
- length属性の場合は、プロセス・フォームでの新規フィールドの追加で説明した手順の実行中にプロセス・フォームの「長さ」列に入力した値を入力します。
- available-in-bulk属性では、バルク・リクエストの作成または変更で属性を使用する必要がある場合にはtrueを指定します。それ以外の場合は、falseを指定します。
プロセス・フォームでの新規フィールドの追加で説明した手順の実行中に、プロセス・フォームで複数の属性を追加した場合は、追加した属性ごとにこのステップを繰り返します。
XMLファイルを保存して閉じます。

6.3.2.6 サーバー・キャッシュからのデータセットのリクエストに関連するコンテンツのクリア

PurgeCacheユーティリティを実行して、サーバー・キャッシュからのデータセットのリクエストに関連するコンテンツをクリアします。

PurgeCacheユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のPurgeCacheユーティリティの実行に関する項を参照してください。

6.3.2.7 リクエスト・データセットのインポート

ノート:

リクエストベースのプロビジョニングを有効にした場合のみ、この項で説明する手順を実行します。

XML形式のリクエスト・データセット定義をMDSにインポートします。

6.4 プロビジョニングへの新規複数値フィールドの追加

ユーザー、グループまたは組織単位のプロビジョニング操作のときのために新しい複数値フィールドを追加できます。

ノート:

6.4.1 ユーザーのプロビジョニング用の新規複数値フィールドの追加

Oracle Identity Governanceとターゲット・システムとの間のユーザーのプロビジョニング用に複数値フィールドを追加できます。

ノート:

この手順は、ユーザー・フィールドの追加のみに適用できます。

プロビジョニング用に新しい複数値フィールドを追加するには、次のようにします。

アプリケーション・オンボードUIで、Active Directoryターゲット・アプリケーションを選択します。
「スキーマ」を選択して、「属性の追加」をクリックします。
新しく追加された行で、「表示名」と「ターゲット属性」のフィールドに値を入力します。
「データ型」フィールドで値を選択するために、ドロップダウンをクリックして「文字列」を選択します。
「プロビジョニング・フィールド」チェック・ボックスを選択します。
行の最後にある3つの水平線で示された「拡張設定」をクリックして、「参照」チェック・ボックスを選択します。
「値リスト」フィールドに参照定義の名前を入力して、「OK」をクリックします。
「適用」をクリックします。

6.4.2 グループおよび組織単位のプロビジョニング用の新規複数値フィールドの追加

プロビジョニングのために新しい複数値フィールドを追加できます。

ノート:

次の手順を始める前に、「グループおよび組織単位のターゲット・リソースのリコンシリエーション用の新規複数値フィールドの追加」に記載されているステップ1から4を実行してください。ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加する際にこれらのステップを実行した場合は、繰り返し実行する必要はありません。

プロビジョニング用に新しい複数値フィールドを追加するには、次のようにします。

6.4.2.1 プロビジョニング参照定義内のエントリの作成

プロビジョニングの参照定義で、次のようにして、フィールドのエントリを作成します。

Oracle Identity Governance Design Consoleにログインします。
「管理」を開き、「参照定義」をダブルクリックします。
次のいずれかの参照定義を検索して開きます。
- Microsoft Active Directoryのグループ・フィールドの場合、Lookup.ActiveDirectory.GM.ProvAttrMapを開きます。
- Microsoft Active Directoryの組織単位フィールドの場合、Lookup.ActiveDirectory.OM.ProvAttrMapを開きます。
「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。コード・キーとデコードの値は次の形式にする必要があります。

コード・キー: CHILD_FORM_NAME~CHILD_FIELD_LABEL

この形式で、CHILD_FORM_NAMEは子フォームの名前を指定します。CHILD_FIELD_NAMEは、管理およびユーザー・コンソールのOIMユーザー子フォームにあるフィールドの名前を指定します。

デコード: 対応するターゲット・システム属性

ノート:

ターゲット・システム・フィールドには、ターゲット・システムと同じ大文字または小文字を使用する必要があります。フィールド名では、大/小文字が区別されるためです。

6.4.2.2 複数値フィールドでの更新プロビジョニング操作の有効化

複数値フィールドでの更新プロビジョニング操作を次のように有効化します。

「プロセス管理」を開いて、「プロセス定義」をダブルクリックします。
次のいずれかのプロセス定義を検索して開きます。

グループの場合: AD Group

組織単位の場合: AD Organizational Unit
「Add」をクリックしてタスクの名前および説明を入力します。たとえば、タスクの名前および説明としてCar License Insertと入力します。
「Task Properties」セクションで、次のフィールドを選択します。
- 条件付き
- Allow Cancellation while Pending
- 複数のインスタンスを許可
- UD_CARLICEN (「Child Table」リストの子表を追加する場合)
- Insert(「Trigger Type」リストのデータを追加する場合)
「保存」をクリックします。
AD Userプロビジョニング・プロセスの「Integration」タブで、「Add」をクリックして「Adapter」を選択します。アダプタのリストからadpADIDCUPDATECHILDTABLEVALUESを選択します。
「Save」をクリックしてダイアログ・ボックスを閉じます。
「Adapter Variable」リージョンでprocInstanceKey変数をクリックします。
表示されるダイアログ・ボックスで次のマッピングを作成します。
- 変数名: procInstanceKey
- マップ先: Process Data
- 修飾子: Process Instance
「Save」をクリックして、ダイアログ・ボックスを閉じます。

「グループ」複数値フィールドの更新プロビジョニング操作を有効にする場合、次の表内のすべての変数について、ステップ8から10を繰り返します。各変数について次の表に示す値を「Map To」、「Qualifier」および「Literal Value」リストから選択してください。

変数	マップ先	修飾子	リテラル値
procInstanceKey	プロセス・データ	プロセス・インスタンス	該当なし
アダプタの戻り変数	レスポンス・コード	該当なし	該当なし
itResourceFieldName	リテラル	文字列	UD_ADGRP_SERVER
childTableName	リテラル	文字列	UD_CHILD_PROCESS_FORM_NAME
objectType	リテラル	文字列	Group

組織単位複数値フィールドの更新プロビジョニング操作を有効にする場合、次の表内のすべての変数について、ステップ8から10を繰り返します。各変数について次の表に示す値を「Map To」、「Qualifier」および「Literal Value」リストから選択してください。

変数	マップ先	修飾子	リテラル値
procInstanceKey	プロセス・データ	プロセス・インスタンス	該当なし
アダプタの戻り変数	レスポンス・コード	該当なし	該当なし
itResourceFieldName	リテラル	文字列	UD_ADOU_SERVER
childTableName	リテラル	文字列	UD_CHILD_PROCESS_FORM_NAME
objectType	リテラル	文字列	organizationalUnit

「レスポンス」タブで「追加」をクリックして、少なくともSUCCESSレスポンス・コードをステータスCとともに追加します。これにより、カスタム・タスクが正常に実行されると、タスクのステータスが「完了」として表示されます。
「Save」アイコンをクリックしてダイアログ・ボックスを閉じ、プロセス定義を保存します。
ステップ1から15を実行するときに次のように変更して、自動車登録番号更新プロセス・タスクを追加します。

ステップ4を実行するときに子表リストからUD_CARLICENを選択するかわりに、UD_CARLICNを選択します。同じく、「Trigger Type」リストから「Insert」を選択するかわりに「Update」を選択します。
ステップ1から15を実行するときに次のように変更して、自動車登録番号削除プロセス・タスクを追加します。

ステップ4を実行するときに子表リストからUD_CARLICENを選択するかわりに、UD_CARLICNを選択します。同じく、「Trigger Type」リストから「Insert」を選択するかわりに「Delete」を選択します。
プロセス・タスクで「Save」をクリックします。

6.4.2.3 リクエスト・データセットの更新

ノート:

リクエストベースのプロビジョニングを有効にした場合のみ、この項で説明する手順を実行します。

テキスト・エディタで、OIM_HOME/dataset/fileディレクトリにあるXMLファイルを編集のために開きます。
AttributeReference要素を追加し、この要素の必須属性の値を指定します。
たとえば、プロセス・フォームの属性として「Car License」を追加した場合は、次の行を入力します。
```
<AttributeReference
name = "Car License"
attr-ref = "Car License"
type = "String"
widget = "text"
length = "50"
available-in-bulk = "false"/>
```
このAttributeReference要素の属性は次のように指定します。
- name属性では、プロセス・フォームの「Name」列の値を表名接頭辞を付けずに入力します。
  
  たとえば、UD_CAR_LICENSEがプロセス・フォームの「Name」列の値である場合、AttributeReference要素のname属性の値としてCar Licenseを指定する必要があります。
- attr-ref属性では、プロセス・フォームの「Field Label」列に入力した値を入力します。
- type属性では、プロセス・フォームの「Variant Type」列に入力した値を入力します。
- widget属性では、プロセス・フォームの「Field Type」列に入力した値を入力します。
- length属性では、プロセス・フォームの「Length」列に入力した値を入力します。
- available-in-bulk属性では、バルク・リクエストの作成または変更で属性を使用する必要がある場合にはtrueを指定します。それ以外の場合は、falseを指定します。
プロセス・フォームに複数の属性を追加した場合は、追加した属性ごとにこのステップを繰り返します。
XMLファイルを保存して閉じます。

6.4.2.4 サーバー・キャッシュからのデータセットのリクエストに関連するコンテンツのクリア

ノート:

リクエストベースのプロビジョニングを有効にした場合のみ、この項で説明する手順を実行します。

PurgeCacheユーティリティを実行して、サーバー・キャッシュからのデータセットのリクエストに関連するコンテンツをクリアします。PurgeCacheユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のキャッシュのパージに関する項を参照してください。

6.4.2.5 リクエスト・データセットのインポート

ノート:

リクエストベースのプロビジョニングを有効にした場合のみ、この項で説明する手順を実行します。

XML形式のリクエスト・データセット定義をMDSにインポートします。

6.5 リコンシリエーションおよびプロビジョニング用のターミナル・サービス・フィールドの追加

リコンシリエーション操作およびプロビジョニング操作のためにさらにターミナル・サービス・フィールドを追加できます。

ノート:

この項の情報は、Microsoft Active Directoryターゲット・システムに対して、およびターゲット・システムをターゲット・リソースとして使用する場合にのみ適用できます。

ターミナル・サービス・フィールドがサポートされるのは、Microsoft Active Directoryのみです。Microsoft AD LDSではサポートされません。ターゲット・システムとしてMicrosoft AD LDSを使用している場合、この項を読む必要はありません。

デフォルトでは、リコンシリエーションとプロビジョニングのために次のターミナル・サービス・フィールドが用意されています。

AllowLogon
TerminalServicesProfilePath
TerminalServicesHomeDirectory

必要であれば、リコンシリエーションおよびプロビジョニング操作のために次のターミナル・サービス・フィールドを追加することができます。

TerminalServicesInitialProgram
TerminalServicesWorkDirectory
AllowLogon
MaxConnectionTime
MaxDisconnectionTime
MaxIdleTime
ConnectClientDrivesAtLogon
ConnectClientPrintersAtLogon
DefaultToMainPrinter
BrokenConnectionAction
ReconnectionAction
EnableRemoteControl
TerminalServicesProfilePath
TerminalServicesHomeDirectory
TerminalServicesHomeDrive

次の項で説明する手順は、リコンシリエーションおよびプロビジョニング用にターミナル・サービス・フィールドを追加する際に使用できます。前のリストのターミナル・フィールド名を、Lookup.ActiveDirectory.UM.ProvAttrMap参照定義(プロビジョニング用)およびLookup.ActiveDirectory.UM.ReconAttrMap参照定義(リコンシリエーション用)のデコード値として使用する必要があります。

6.6 Group Name (pre-Windows 2000)属性の追加

リコンシリエーションおよびプロビジョニング用のグループ名(pre-Windows 200)属性を追加できます。

この項では、リコンシリエーションおよびプロビジョニングのためのGroup Name (pre-Windows 2000)属性の追加に関連する次のトピックについて説明します。

6.6.1 Group Name (pre-Windows 2000)属性について

Group NameとGroup Name (pre-Windows 2000)は、ターゲット・システムのグループに固有の2つの属性です。

Oracle Identity Governanceのプロセス・フォームには、「グループ名」フィールドのみが含まれています。デフォルトでは、グループ・プロビジョニング中に、OIMプロセス・フォームの「グループ名」フィールドに指定した値が、Group Name属性およびGroup Name (pre-Windows 2000)属性の値として入力されます。ターゲット・システムのGroup Name属性およびGroup Name (pre-Windows 2000)属性に別の値を指定する場合は、OIMプロセス・フォームにGroup Name (pre-Windows 2000)フィールドを作成する必要があります。これを行うには、Oracle Identity Governanceにリコンシリエーション操作およびプロビジョニング操作用の新しいフィールド(「Group Name Pre Windows」)を追加する必要があります。

6.6.2 リコンシリエーション用のGroup Name Pre Windowsフィールドの追加

リコンシリエーションのためにGroup Name Pre Windowsフィールドを追加できます。

これを行うには、次の手順を実行します。

Oracle Identity Governance Design Consoleにログインします。
リソース・オブジェクトのリコンシリエーション・フィールドのリストに、Group Name Pre Windowsフィールドを次のように追加します。
1. 「Resource Management」を開き、「Resource Objects」をダブルクリックします。
2. ADグループ・リソース・オブジェクトを検索し、開きます。
3. 「Object Reconciliation」タブで、「Add Field」をクリックします。
4. リコンシリエーション・フィールドの追加ダイアログ・ボックスの「フィールド名」フィールドにGroup Name Pre Windowsと入力し、「フィールド・タイプ」リストから「文字列」を選択します。
5. 「Save」をクリックして、ダイアログ・ボックスを閉じます。
6. 「Create Reconciliation Profile」をクリックします。これにより、リソース・オブジェクトに行われた変更がMDSにコピーされます。
7. 「保存」をクリックします。

リコンシリエーション用のLookup.ActiveDirectory.GM.ReconAttrMap参照定義を次のように更新します。

「Administration」を開き、「Lookup Definition」をダブルクリックします。
Lookup.ActiveDirectory.GM.ReconAttrMap参照定義を検索して開きます。
「追加」をクリックして、「Group Name Pre Windows」フィールドのエントリを作成します。
コード・キー列に、Group Name Pre Windowsと入力します。デコード列に、sAMAccountNameと入力します。

コード・キー列で、「グループ名」を探し、デコード値をcnに変更します。表6-1に、Lookup.ActiveDirectory.GM.ReconAttrMap参照定義の更新されたエントリのリストを示します。

表6-1 更新されたLookup.ActiveDirectory.GM.ReconAttrMap参照定義のエントリ

Oracle Identity Governanceのグループ・フィールド	Microsoft Active Directoryのフィールド
Display Name	displayName
Group name	cn
Group Name Pre Windows	sAMAccountName
Group Type	groupType
OIM Org Name	sAMAccountName
Organization Name[LOOKUP]	ad_container
Org Name	sAMAccountName
Org Type	OIM Organization Type
Unique Id	__UID__

「保存」をクリックします。

次のようにして、プロセス・フォームにGroup Name Pre Windowsフィールドを追加します。
1. 「開発ツール」を開き、「フォーム・デザイナ」をダブルクリックします。
2. UD_ADGRPプロセス・フォームを検索し、開きます。
3. 「Create New Version」、「Add」を順にクリックします。
4. 新しいフィールドの詳細を入力します。「名前」フィールドにUD_ADUSER_GROUPNAME_PREWINDOWS.と入力します。フィールド・ラベル列にGroup Name Pre Windowsと入力します。このフィールドの残りの詳細を入力します。
5. 「プロパティ」タブで、Group Name Pre Windowsフィールドを選択してプロパティの追加をクリックします。プロパティの追加ダイアログ・ボックスが表示されます。
6. 「プロパティ名」リストで「必須」を選択します。
7. 「プロパティ値」フィールドに、Trueと入力します。
8. 「保存」アイコンをクリックしてダイアログ・ボックスを閉じます。
9. 「Save」をクリックし、「Make Version Active」をクリックします。
プロビジョニング処理の一部として、新しいフィールドのリコンシリエーション・フィールド・マッピングを、次のようにして作成します。
1. 「Process Management」を開き、「Process Definition」をダブルクリックします。
2. ADグループ・プロビジョニング処理を検索し、開きます。
3. プロビジョニング処理の「Reconciliation Field Mappings」タブで、「Add Field Map」をクリックします。
4. リコンシリエーション・フィールドのマッピングの追加ダイアログ・ボックスの「フィールド名」フィールドで、Group Name Pre Windowsを選択します。
5. 「プロセス・データ」フィールドをダブルクリックし、「UD_ADGRP_GROUPNAME_PREWINDOWS」を選択します。
6. 「Save」をクリックして、ダイアログ・ボックスを閉じます。
7. 「保存」をクリックします。
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
「Create Reconciliation Profile」をクリックします。

6.6.3 プロビジョニング用のGroup Name Pre Windowsフィールドの追加

プロビジョニングのためにGroup Name Pre Windowsフィールドを追加できます。

これを行うには、次の手順を実行します。

6.6.3.1 「Group Name Pre Windows」フィールドの追加

「リコンシリエーション用のGroup Name Pre Windowsフィールドの追加」のステップ4を実行してプロセス・フォームにフィールドを追加した場合は、フィールドを再度追加する必要はありません。フィールドを追加していない場合は、次のようにします。

Oracle Identity Governance Design Consoleにログインします。
「開発ツール」を開き、「フォーム・デザイナ」をダブルクリックします。
UD_ADGRPプロセス・フォームを検索し、開きます。
「Create New Version」、「Add」を順にクリックします。
「名前」フィールドにUD_ADUSER_GROUPNAME_PREWINDOWS.と入力します。
フィールド・ラベル列にGroup Name Pre Windowsと入力します。次に、「グループ名」フィールドに表示されている残りの列の値を入力します。
「プロパティ」タブで、Group Name Pre Windowsフィールドを選択してプロパティの追加をクリックします。プロパティの追加ダイアログ・ボックスが表示されます。
「プロパティ名」リストで「必須」を選択します。
「プロパティ値」フィールドに、Trueと入力します。
「保存」アイコンをクリックしてダイアログ・ボックスを閉じます。
「Save」をクリックし、「Make Version Active」をクリックします。

6.6.3.2 Lookup.ActiveDirectory.GM.ProvAttrMap参照定義の更新

Lookup.ActiveDirectory.GM.ProvAttrMap参照定義をプロビジョニングのために次のように更新します。

「Administration」を開き、「Lookup Definition」をダブルクリックします
Lookup.ActiveDirectory.GM.ProvAttrMap参照定義を検索して開きます。
「追加」をクリックして、「Group Name Pre Windows」フィールドのエントリを作成します。
コード・キー列に、Group Name Pre Windowsと入力します。デコード列に、sAMAccountNameと入力します。

コード・キー列で、「グループ名」を探してGroup Name[IGNORE]に置き換え、デコード値をIGNOREDに変更します。表6-1に、Lookup.ActiveDirectory.GM.ProvAttrMap参照定義の更新されたエントリのリストを示します。

表6-2 更新されたLookup.ActiveDirectory.GM.ProvAttrMap参照定義のエントリ

Oracle Identity Governanceのグループ・フィールド	Microsoft Active Directoryのフィールド
__NAME__	__NAME__="CN=${Group_Name},${Organization_Name}"
Display Name	displayName
Group Name[IGNORE]	IGNORED
Group Name Pre Windows	sAMAccountName
Group Type	groupType
組織名[LOOKUP,IGNORE]	IGNORED
Unique Id	__UID__

「保存」をクリックします。

6.6.3.3 「Group Name Pre Windows」フィールドでの更新プロビジョニング操作の有効化

Group Name Pre Windowsフィールドでの更新プロビジョニング操作を次のように有効化します。

プロビジョニング処理で、フィールドを更新する新しいタスクを、次のようにして作成します。
1. 「Process Management」を開き、「Process Definition」をダブルクリックします。
2. ADグループ・プロビジョニング処理を検索し、開きます。
3. 「追加」をクリックして、次のようにタスクの名前および説明を入力します。
  
  「タスク名」: Group Name Pre Windows Updated
  
  「タスクの説明」: Process Task for handling update of the Group Name Pre Windows field.
4. タスク・プロパティセクションで、条件付き、「保留中の取消しを許可」および「複数のインスタンスを許可」フィールドを選択します。
5. 「保存」をクリックします。
プロビジョニング処理で、次のようにして、「Handler Type」セクションでアダプタ名を選択します。
1. 「Integration」タブに移動し、「Add」をクリックします。
2. 「Handler Selection」ダイアログ・ボックスで「Adapter」を選択します。
3. 「Handler Name」列でadpADIDCUPDATEATTRIBUTEVALUEを選択します。
4. 「Save」をクリックして、ダイアログ・ボックスを閉じます。
「Adapter Variable」リージョンでprocInstanceKey変数をクリックします。
表示されるダイアログ・ボックスで次のマッピングを作成します。

変数名: procInstanceKey

マップ先: Process Data

修飾子: Process Instance
「Save」をクリックして、ダイアログ・ボックスを閉じます。

次の表に示すすべての変数に関して、ステップ3から5を繰り返します。各変数について次の表に示す値を「Map To」、「Qualifier」および「Literal Value」リストから選択してください。

変数	マップ先	修飾子	リテラル値
procInstanceKey	プロセス・データ	プロセス・インスタンス	該当なし
アダプタの戻り変数	レスポンス・コード	該当なし	該当なし
itResourceFieldName	リテラル	文字列	UD_ADGRP_SERVER
attrFieldName	リテラル	文字列	Group Name Pre Windows
objectType	リテラル	文字列	Group

「レスポンス」タブで「追加」をクリックして、少なくともSUCCESSレスポンス・コードをステータスCとともに追加します。これにより、カスタム・タスクが正常に実行されると、タスクのステータスが「完了」として表示されます。
「Save」アイコンをクリックしてダイアログ・ボックスを閉じ、プロセス定義を保存します。

6.6.3.4 アダプタの更新

グループ名の更新プロセス・タスクがadpADIDCUPDATEATTRIBUTEVALUESアダプタを呼び出す場合

adpADIDCUPDATEATTRIBUTEVALUESアダプタを削除して、adpADIDCUPDATEATTRIBUTEVALUEアダプタを追加します。
「Integration」タブの「アダプタ変数」リージョンで、「procInstanceKey」変数をクリックします。
表示されるダイアログ・ボックスで次のマッピングを作成します。

変数名: procInstanceKey

マップ先: Process Data

修飾子: Process Instance
「Save」をクリックして、ダイアログ・ボックスを閉じます。

次の表に示すすべての変数に関して、ステップ2から4を繰り返します。各変数について次の表に示す値を「Map To」、「Qualifier」および「Literal Value」リストから選択してください。

変数	マップ先	修飾子	リテラル値
procInstanceKey	プロセス・データ	プロセス・インスタンス	該当なし
アダプタの戻り変数	レスポンス・コード	該当なし	該当なし
itResourceFieldName	リテラル	文字列	UD_ADGRP_SERVER
attrFieldName	リテラル	文字列	Group Name
objectType	リテラル	文字列	Group

6.6.3.5 リクエスト・データセットの更新

ノート:

リクエストベースのプロビジョニングを有効にする場合のみ、この項で説明する手順を実行します。

テキスト・エディタで、OIM_HOME/dataset/fileディレクトリにあるXMLファイルを編集のために開きます。
AttributeReference要素を追加し、この要素の必須属性の値を指定します。
たとえば、「Group Name Pre Windows」フィールドの追加で説明した手順の実行中にプロセス・フォームに属性としてEmployee IDを追加した場合は、次の行を入力します。
```
<AttributeReference
name = "GroupName PreWindows"
attr-ref = "Group Name Pre Windows"
type = "String"
widget = "text"
length = "70"
available-in-bulk = "false"/>
```
このAttributeReference要素の属性は次のように指定します。
- name属性では、プロセス・フォームの「Name」列の値を表名接頭辞を付けずに入力します。
  
  たとえば、UD_ADUSER_GROUPNAME_PREWINDOWSがプロセス・フォームの「名前」列の値である場合、AttributeReference要素のname属性の値としてGroupName PreWindowsを指定する必要があります。
- attr-ref属性の場合は、「Group Name Pre Windows」フィールドの追加で説明した手順の実行中にプロセス・フォームのフィールド・ラベル列に入力した値を入力します。
- type属性の場合は、「Group Name Pre Windows」フィールドの追加で説明した手順の実行中にプロセス・フォームのバリアント・タイプ列に入力した値を入力します。
- widget属性の場合は、「Group Name Pre Windows」フィールドの追加で説明した手順の実行中にプロセス・フォームのフィールド・タイプ列に入力した値を入力します。
- length属性の場合は、「Group Name Pre Windows」フィールドの追加で説明した手順の実行中にプロセス・フォームの「長さ」列に入力した値を入力します。
- available-in-bulk属性では、バルク・リクエストの作成または変更で属性を使用する必要がある場合にはtrueを指定します。それ以外の場合は、falseを指定します。
「Group Name Pre Windows」フィールドの追加で説明した手順の実行中に、プロセス・フォームで複数の属性を追加した場合は、追加した属性ごとにこのステップを繰り返します。
XMLファイルを保存して閉じます。

6.6.3.6 PurgeCacheユーティリティの実行

ノート:

リクエストベースのプロビジョニングを有効にする場合のみ、この項で説明する手順を実行します。

6.6.3.7 MDSへのリクエスト・データセット定義のインポート

ノート:

リクエストベースのプロビジョニングを有効にする場合のみ、この項で説明する手順を実行します。

XML形式のリクエスト・データセット定義をMDSにインポートします。

6.7 データの変換および検証の構成

ユーザー、グループおよび組織単位のデータの変換および検証を構成できます。

6.7.1 データの変換および検証の構成について

アプリケーションの作成時にGroovyスクリプトのロジックを作成して、ユーザー・アカウント・データの変換および検証を構成します。

要件に応じて、リコンサイルされた単一値ユーザー・データの変換を構成できます。たとえば、First NameおよびLast Name値を使用して、Oracle Identity Governanceの「氏名」フィールドの値を作成できます。

同様に、要件に応じて、リコンサイルおよびプロビジョニングされた単一値データの検証を構成できます。たとえば、「名」属性からフェッチしたデータを検証して、そのデータに番号記号(#)が含まれていないことを確認します。また、プロセス・フォームの「名」フィールドに入力したデータを検証して、プロビジョニング操作中にターゲット・システムに番号記号(#)が送信されないようにします。

ユーザー・アカウント・データの変換または検証を構成するには、アプリケーションの作成時にGroovyスクリプトを作成する必要があります。Groovyスクリプトベースの検証と変換のロジックを作成する方法の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。

6.7.2 グループおよび組織単位のリコンシリエーション中のデータ変換の構成

要件に応じて、リコンサイルされた単一値アカウント・データの変換を構成できます。たとえば、User NameおよびLast Name値を使用して、Oracle Identity Governanceの「氏名」フィールドの値を作成できます。

ノート:

この項ではオプションの手順を説明します。この手順は、リコンシリエーション時のデータの変換を構成する場合にのみ実行します。

要件に応じて、リコンサイルしたデータの変換を構成することができます。たとえば、外部システムのフィールド名の参照を自動化して、フィールド名に基づいた値を設定できます。

データの変換を構成するには:

Javaクラスで必要な変換ロジックを実装するコードを記述します。

クラスの基準は、次の名前とシグネチャを含むメソッドを持つことのみです。
```
public Object transform(HashMap hmUserDetails, HashMap hmEntitlementDetails, String sField) {}
```
Javaクラスを保持するJARファイルを作成します。
Oracle Identity Governance JARアップロード・ユーティリティを実行して、JARファイルをOracle Identity Governanceデータベースに投稿します。このユーティリティは、Oracle Identity Governanceのインストール時に次の場所にコピーされます。

ノート:

このユーティリティを使用する前に、Oracle WebLogic ServerをインストールしたディレクトリにWL_HOME環境変数が設定されていることを確認してください。
- Microsoft Windowsの場合: OIM_HOME/server/bin/UploadJars.bat
- UNIXの場合: OIM_HOME/server/bin/UploadJars.sh
このユーティリティを実行すると、Oracle Identity Governance管理者のログイン資格証明、Oracle Identity Governanceホスト・コンピュータのURL、コンテキスト・ファクトリ値、アップロードするJARファイルのタイプ、およびアップロードするJARファイルが含まれる場所を入力するように要求されます。JARタイプの値として1を指定します。
変換の参照定義に、次のようにしてエントリを追加します。
1. Design Consoleにログインします。
2. 次のいずれかの参照定義を検索して開きます。
  - グループの場合: Lookup.ActiveDirectory.GM.ReconTransformation
  - 組織単位の場合: Lookup.ActiveDirectory.OM.ReconTransformation
3. 「Code Key」列に、変換を適用する属性のリコンシリエーション・フィールドの名前を入力します。たとえば、First Nameです。
4. 「Decode」列に、クラス・ファイルの名前を入力します。たとえば: com.transformationexample.MyTransformer
5. 参照定義に変更を保存します。
ノート:

信頼できるソースのリコンシリエーション時のデータの変換を構成するには、次のエントリをLookup.ActiveDirectory.OM.Configuration.Trusted参照定義に追加します。
- コード・キー値: Recon Transformation Lookup
- デコード値: Lookup.ActiveDirectory.OM.ReconTransformation

6.7.3 グループおよび組織単位のリコンシリエーションおよびプロビジョニング中のデータ検証の構成

要件に応じて、リコンサイルおよびプロビジョニングされた単一値データの検証を構成できます。たとえば、「名」属性からフェッチしたデータを検証して、そのデータに番号記号(#)が含まれていないことを確認します。また、プロセス・フォームの「名」フィールドに入力したデータを検証して、プロビジョニング操作中にターゲット・システムに番号記号(#)が送信されないようにします。

データの検証を構成するには:

必要な検証ロジックをJavaクラスに実装するコードを記述します。

この検証クラスには、検証メソッドを実装する必要があります。
Javaクラスを保持するJARファイルを作成します。
Oracle Identity Governance JARアップロード・ユーティリティを実行して、JARファイルをOracle Identity Governanceデータベースに投稿します。このユーティリティは、Oracle Identity Governanceのインストール時に次の場所にコピーされます。

ノート:

このユーティリティを使用する前に、Oracle WebLogic ServerをインストールしたディレクトリにWL_HOME環境変数が設定されていることを確認してください。
- Microsoft Windowsの場合: OIM_HOME/server/bin/UploadJars.bat
- UNIXの場合: OIM_HOME/server/bin/UploadJars.sh
このユーティリティを実行すると、Oracle Identity Governance管理者のログイン資格証明、Oracle Identity Governanceホスト・コンピュータのURL、コンテキスト・ファクトリ値、アップロードするJARファイルのタイプ、およびアップロードするJARファイルが含まれる場所を入力するように要求されます。JARタイプの値として1を指定します。
リコンシリエーションのプロセス・フォーム・フィールドを検証するJavaクラスを作成した場合は、次の手順を実行します。
1. Design Consoleにログインします。
2. 次のいずれかの参照定義を検索して開きます。
  - グループの場合: Lookup.ActiveDirectory.GM.ReconValidation
  - 組織単位の場合: Lookup.ActiveDirectory.OM.ReconValidation
3. 「Code Key」列に、リソース・オブジェクト・フィールド名を入力します。「Decode」列には、クラス名(たとえば、com.validate.MyValidation)を入力します。
4. 参照定義に変更を保存します。
5. 次のいずれかの参照定義を検索して開きます。
  - グループの場合: Lookup.ActiveDirectory.GM.Configuration
  - 組織単位の場合: Lookup.ActiveDirectory.OM.Configuration
6. Recon Validation Lookupエントリの値が次のいずれかに設定されていることを確認します。
  - グループの場合: Lookup.ActiveDirectory.GM.ReconValidation。
  - 組織単位の場合: Lookup.ActiveDirectory.OM.ReconValidation。
7. 参照定義に変更を保存します。
プロビジョニングのプロセス・フォーム・フィールドを検証するJavaクラスを作成した場合は、次の手順を実行します。
1. Design Consoleにログインします。
2. 次のいずれかの参照定義を検索して開きます。
  - グループの場合: Lookup.ActiveDirectory.GM.ProvValidation
  - 組織単位の場合: Lookup.ActiveDirectory.OM.ProvValidation
3. 「Code Key」列に、プロセス・フォーム・フィールド名を入力します。「Decode」列には、クラス名(たとえば、com.validate.MyValidation)を入力します。
4. 参照定義に変更を保存します。
5. 次のいずれかの参照定義を検索して開きます。
  - グループの場合: Lookup.ActiveDirectory.GM.Configuration
  - 組織単位の場合: Lookup.ActiveDirectory.OM.Configuration
6. Provisioning Validation Lookupエントリの値が次のいずれかに設定されていることを確認します。
  - グループの場合: Lookup.ActiveDirectory.GM.ProvValidation。
  - 組織単位の場合: Lookup.ActiveDirectory.OM.ProvValidation。
7. 参照定義に変更を保存します。

6.8 アクション・スクリプト

アクションは、アカウントの作成、更新または削除のプロビジョニング操作の前または後に実行するように構成できるスクリプトです。

たとえば、あるスクリプトを、個々のユーザー作成前に実行するように構成できます。同様に、カスタムPowerShellスクリプトを、メールボックスの作成、更新または削除の前または後に実行できます。

アクション・スクリプトに関連するトピックを、次に示します。

6.8.1 ユーザー用のアクション・スクリプト

ユーザー用のアクション・スクリプトに関連するトピックを、次に示します。

6.8.1.1 ユーザー用のアクション・スクリプトの構成について

アプリケーションの作成時に独自のPowerShellスクリプトを作成して、アクション・スクリプトを構成できます。

これらのスクリプトは、アカウントの作成、更新または削除のプロビジョニング操作の前または後に実行されるように構成できます。たとえば、あるスクリプトを、個々のユーザー作成操作前に実行するように構成できます。

アクション・スクリプトの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング構成の更新に関する項を参照してください。

ノート:

使用されるスクリプト言語はPowerShellです。

6.8.1.2 ユーザー用のカスタムPowerShellスクリプトの実行

例として、次のプロシージャで、作成操作前にカスタムPowerShellスクリプトを実行するステップを説明します。

対象のアプリケーションを作成後または更新時に選択します。
「設定」→「ユーザー」→「プロビジョニング」を選択します。すべての使用可能なアクション・スクリプトが表示されます。

図6-3 アクション・スクリプトのプレビュー設定

「図6-3 アクション・スクリプトのプレビュー設定」の説明
内容を表示するには、任意の有効なアクション・スクリプトをクリックします。

図6-4 アクション・スクリプト

「図6-4 アクション・スクリプト」の説明
「ターゲット」フィールドの値を「リソース」のみに設定します。スクリプトは、ターゲット・システムが実行されているコンピュータで実行されます。

「編集」をクリックしてから、「スクリプト」フィールドに次のように入力します。

Powershell.exe -File NAME_AND_FULL_LOCATION_OF_THE_CUSTOM_SCRIPT
Exit

サンプル値:

Powershell.exe -File C:\myscripts\CustomScript.ps1
Exit

「保存」、「適用」の順にクリックして、アクション・スクリプトをデータベースにコミットします。
コネクタ・サーバーを実行するコンピュータにログインしてカスタム・スクリプト・ファイルを作成し(この例ではcustomScript.ps1スクリプトで、場所はC:\myscripts directory)、次の内容を入力します。
```
$Class = "organizationalUnit"
$OU = "OU=ScriptOU81"
$objADSI = [ADSI]"LDAP://Dc=extest,DC=com"
$objOU = $objADSI.create($Class, $OU)
$objOU.setInfo()
```
このスクリプトは、個々の作成プロビジョニング操作の前に実行されます。このスクリプトによって、「ScriptOU81」という名前の組織が作成されます。同様にして、独自の要件に応じたカスタム・スクリプトを作成できます。
ノート:
- PowerShellスクリプトを使用する場合は、コネクタまたはOracle Identity Governanceを使用してそのスクリプトを実行する前に、コネクタ・サーバーを実行するコンピュータで次のことを確認してください。
  - PowerShellウィンドウを使用して、スクリプト内で指定されている値でADサーバーに手動で問題なく接続できることが必要です。
  - コマンド・プロンプトから、バッチ・ファイルが存在するディレクトリに移動します。その後で、適切なパラメータを指定してバッチ・ファイルを実行し、PowerShellスクリプトがADサーバーで問題なく実行できることを確認します。
- プロセス・フォーム・フィールドのうち、IGNOREが指定されているものはコネクタに送信されません。

6.8.1.3 ユーザー用のVisual Basicスクリプトを使用したアクションの実行

プロセス・フォームのデータを動的に使用するVisual Basicスクリプトを使用してアクションを実行する手順の例を次に示します。これは、After Createアクションの手順の例です。ここでは、ユーザーがプロビジョニングされる組織単位に加えて、組織単位内にユーザーを作成することも必要になります。

Oracle Identity Governanceを実行するコンピュータ上にファイル(スクリプト)を作成し、次のデータを入力します。
```
C:\arg.vbs %givenName%
```
C:\arg.vbsと%givenName%の間に空白があることに注意してください。
ターゲット・システムをホストするマシンで、C:\ディレクトリにファイルを作成します。たとえば、arg.vbsファイルを作成します。

次の行をarg.vbsファイルに含めます。

Set args = WScript.Arguments
GivenNameFromArg = args.Item(0)
lengthGivenName = Len(GivenNameFromArg) - 2
GivenNameTrim = Mid(GivenNameFromArg, 2, lengthGivenName)
Set objOU = GetObject("LDAP://ausovm3194win.matrix.com:389/OU=TestOrg4,dc=matrix,dc=com")
Set objUser = objOU.Create("User", "cn=scriptCreate" & GivenNameTrim )
objUser.Put "givenName", "scriptCreate" & GivenNameTrim
objUser.Put "sAMAccountName", "scriptCreate " & GivenNameTrim
objUser.Put "userPrincipalName", "scriptCreate" & GivenNameTrim
objUser.Put "displayName", "scriptCreate" & GivenNameTrim
objUser.Put "sn", "scriptCreate" & GivenNameTrim
objUser.SetInfo

ファイルを保存して閉じます。
Oracle Identity Governanceでユーザー・アカウントをプロビジョニングします。

6.8.1.4 ユーザー用のアクション・スクリプト実行時の重要なノート

アクション・スクリプトを実行する場合の重要なノートを次に示します。

アクション・スクリプトの実行中に発生したエラーは無視され、Oracle Identity Governanceには伝播されません。
作成操作中は、プロセス・フォームのすべての属性部分をスクリプトに使用できます。
更新操作中は、更新中の属性のみをスクリプトに使用できます。
削除操作中は、__UID__ (GUID)属性のみをスクリプトに使用できます。

6.8.1.5 ユーザー用のスクリプト作成のガイドライン

アクション・スクリプトを構成する際に適用または注意する必要があるガイドラインを次に示します。

スクリプト内で使用されるすべてのフィールド名は%%で囲む必要があります。
任意のVBスクリプトをシェルから呼び出して、プロセス・フォーム・フィールドを渡すことができます。
スクリプトにPasswordフィールドを指定することはできません。パスワードは保護された文字列として格納されるためです。したがって、Passwordフィールドの値をフェッチするとき、正確なパスワードは取得されません。
子表属性の追加は、CreateカテゴリではなくUpdateカテゴリに含まれます。

6.8.2 グループおよび組織単位用のアクション・スクリプト

グループおよび組織単位用のアクション・スクリプトに関連するトピックを、次に示します。

6.8.2.1 グループおよび組織単位用のアクション・スクリプトの構成について

アプリケーションの作成時に独自のPowerShellスクリプトを作成して、アクション・スクリプトを構成できます。

ノート:

使用されるスクリプト言語はPowerShellです。

6.8.2.2 グループおよび組織単位用のカスタムPowerShellスクリプトの実行

例として、次のプロシージャで、作成操作前にカスタムPowerShellスクリプトを実行するステップを説明します。

Design Consoleにログインします。
次のいずれかの参照定義を検索して開きます。
- グループの場合: Lookup.ActiveDirectory.GM.Configuration
- 組織単位の場合: Lookup.ActiveDirectory.OU.Configuration
次の新しい値を追加します。
- コード・キー: TIMING Action Language
  
  サンプル値: Before Create Action Language
- デコード: 実行するスクリプトのスクリプト言語を入力します。
  
  サンプル値: Shell
次の新しい値を追加します。
- コード・キー: TIMING Action File
  
  サンプル値: Before Create Action File
- デコード: スクリプトを起動するバッチ・ファイルのフル・パスを入力します。(Oracle Identity Governanceがこのファイルにアクセスできることが必要です。)
  
  サンプル値: /scratch/Scripts/InvokeCustomScript.bat
次の新しい値を追加します。
- コード・キー: TIMING Action Target
  
  サンプル値: Before Create Action Target
- デコード: Resource (この値を変更しないでください)
参照定義を保存します。
Oracle Identity Governanceを実行しているコンピュータ上に、/scratch/Scripts/InvokeCustomScript.batファイルを作成して次の内容を入力します。
```
Powershell.exe -File NAME_AND_FULL_LOCATION_OF_THE_CUSTOM_SCRIPT
Exit
```
サンプル値:
```
Powershell.exe -File C:\myscripts\CustomScript.ps1
Exit
```
コネクタ・サーバーを実行するコンピュータにログインしてカスタム・スクリプト・ファイルを作成し(この例ではcustomScript.ps1スクリプトで、場所はC:\myscripts directory)、次の内容を入力します。
```
$Class = "organizationalUnit"
$OU = "OU=ScriptOU81"
$objADSI = [ADSI]"LDAP://Dc=extest,DC=com"
$objOU = $objADSI.create($Class, $OU)
$objOU.setInfo()
```
このスクリプトは、個々の作成プロビジョニング操作の前に実行されます。このスクリプトによって、「ScriptOU81」という名前の組織が作成されます。同様にして、独自の要件に応じたカスタム・スクリプトを作成できます。
ノート:

PowerShellスクリプトを使用する場合は、コネクタまたはOracle Identity Governanceを使用してそのスクリプトを実行する前に、コネクタ・サーバーを実行するコンピュータで次のことを確認してください。
- PowerShellウィンドウを使用して、スクリプト内で指定されている値でADサーバーに手動で問題なく接続できることが必要です。
- コマンド・プロンプトから、バッチ・ファイルが存在するディレクトリに移動します。その後で、適切なパラメータを指定してバッチ・ファイルを実行し、PowerShellスクリプトがADサーバーで問題なく実行できることを確認します。

アクション前またはアクション後のスクリプトを呼び出すスクリプトには、プロセス・フォーム・フィールドを渡すことができます。これらのプロセス・フォーム・フィールドは、Lookup.ActiveDirectory.GM.ProvAttrMap参照定義またはLookup.ActiveDirectory.OU.ProvAttrMap参照定義に存在し、対応するターゲット・システム属性にマッピングされる必要があります。たとえば、「名」プロセス・フォーム・フィールド(Lookup.ActiveDirectory.GM.ProvAttrMap参照定義またはLookup.ActiveDirectory.OU.ProvAttrMap参照定義に存在)は、ターゲット・システムの対応する属性の名前であるgivenNameを指定して、アクション・スクリプトに渡すことができます。

ノート:

プロセス・フォーム・フィールドのうち、IGNOREが指定されているものはコネクタに送信されません。

6.8.2.3 グループおよび組織単位用のVisual Basicスクリプトを使用したアクションの実行

Oracle Identity Governanceを実行するコンピュータ上にファイル(スクリプト)を作成し、次のデータを入力します。
```
C:\arg.vbs %givenName%
```
C:\arg.vbsと%givenName%の間に空白があることに注意してください。
ターゲット・システムをホストするマシンで、C:\ディレクトリにファイルを作成します。たとえば、arg.vbsファイルを作成します。

次の行をarg.vbsファイルに含めます。

Set args = WScript.Arguments
GivenNameFromArg = args.Item(0)
lengthGivenName = Len(GivenNameFromArg) - 2
GivenNameTrim = Mid(GivenNameFromArg, 2, lengthGivenName)
Set objOU = GetObject("LDAP://ausovm3194win.matrix.com:389/OU=TestOrg4,dc=matrix,dc=com")
Set objUser = objOU.Create("User", "cn=scriptCreate" & GivenNameTrim )
objUser.Put "givenName", "scriptCreate" & GivenNameTrim
objUser.Put "sAMAccountName", "scriptCreate " & GivenNameTrim
objUser.Put "userPrincipalName", "scriptCreate" & GivenNameTrim
objUser.Put "displayName", "scriptCreate" & GivenNameTrim
objUser.Put "sn", "scriptCreate" & GivenNameTrim
objUser.SetInfo

ファイルを保存して閉じます。
Oracle Identity Governanceでユーザー・アカウントをプロビジョニングします。

6.8.2.4 グループおよび組織単位用のアクション・スクリプト実行時の重要なノート

アクション・スクリプトを実行する場合の重要なノートを次に示します。

アクション・スクリプトの実行中に発生したエラーは無視され、Oracle Identity Governanceには伝播されません。
作成操作中は、プロセス・フォームのすべての属性部分をスクリプトに使用できます。
更新操作中は、更新中の属性のみをスクリプトに使用できます。

その他の属性も必要な場合、新規アダプタ呼出しICProvisioningManager# updateAttributeValues(String objectType, String[] labels)が作成され使用される必要があります。プロセス・タスクのアダプタ・マッピング中は、依存属性のフォーム・フィールド・ラベルを追加します。
削除操作中は、__UID__ (GUID)属性のみをスクリプトに使用できます。

6.8.2.5 グループおよび組織単位用のスクリプト作成のガイドライン

アクション・スクリプトを構成する際に適用または注意する必要があるガイドラインを次に示します。

スクリプト・ファイルに含めるスクリプトには、次の参照定義のデコード列に存在する属性を指定することができます。
- Lookup.ActiveDirectory.GM.ProvAttrMap
- Lookup.ActiveDirectory.OM.ProvAttrMap
スクリプト内で使用されるすべてのフィールド名は%%で囲む必要があります。
任意のVBスクリプトをシェルから呼び出して、プロセス・フォーム・フィールドを渡すことができます。
スクリプトにPasswordフィールドを指定することはできません。パスワードは保護された文字列として格納されるためです。したがって、Passwordフィールドの値をフェッチするとき、正確なパスワードは取得されません。
子表属性の追加は、CreateカテゴリではなくUpdateカテゴリに含まれます。

6.9 複数のドメインにわたるリコンシリエーションおよびプロビジョニング操作の有効化

Microsoft Active Directory User Managementコネクタでは、1つのフォレストの複数ドメインにわたるリコンシリエーションおよびプロビジョニング操作がサポートされます。

ノート:

この項の情報は、ターゲット・システムとしてMicrosoft Active Directoryを使用している場合のみ適用されます。Microsoft AD LDSをターゲット・システムとして使用している場合、複数ドメインでのリコンシリエーションおよびプロビジョニング操作の有効化はサポートされません。

リコンシリエーションはグローバル・カタログ・サーバーを使用して実行され、プロビジョニング操作はLDAP参照を使用して実行されます。

複数のドメインにわたるリコンシリエーションおよびプロビジョニングを有効化する場合、次の項で説明する手順を実行します。

6.9.1 複数のドメインにわたるリコンシリエーションの有効化の理解

次の項は、複数のドメインにわたるリコンシリエーションの有効化を理解するために役立ちます。

6.9.1.1 複数のドメインにわたるリコンシリエーションの有効化について

複数のドメインにわたるリコンシリエーションを実行する場合、このコネクタはドメイン・コントローラとグローバル・カタログ・サーバーの両方を使用して、ターゲット・システムからレコードをフェッチします。

リコンシリエーション時に、グローバル・カタログ・サーバーのレコードがコネクタにフェッチされます。レコードがコネクタにフェッチされた後で、distinguishedName属性とuSNChanged属性の値が読み取られます。コネクタはdistinguishedNameを使用することにより、実際のデータを含むドメイン・コントローラに対してLDAP問合せを実行します(ここで参照が使用されます)。グローバル・カタログ・サーバーにはレコードの部分的なセットしか含まれないため、この方法がリコンシリエーションで使用されます。完全なデータはドメイン・コントローラからしかフェッチできません。

すべてのレコードがOracle Identity Governanceにフェッチされると、リコンシリエーション・エンジンが、グローバル・カタログ・サーバーが実行しているドメイン・コントローラのuSNChanged属性の最大値でスケジュール済ジョブのLatest Token属性を更新します。次回のリコンシリエーション実行からは、uSNChanged属性値がLatest Token属性の現在値よりも大きいレコードのみがグローバル・カタログ・サーバーからフェッチされます。したがって、ターゲット・システムでレコードが更新されると、グローバル・カタログ・サーバーでそのレコードのuSNChanged属性を更新する必要があります。こうすることで、直前のリコンシリエーション以降に更新されたレコードをコネクタが検出して、Oracle Identity Governanceにフェッチできます。

6.9.1.2 複数のドメインにわたるリコンシリエーションの有効化

複数のドメインにわたるリコンシリエーションを有効化するには:

拡張設定パラメータの子ドメインの検索パラメータの値をyesに設定します。
「基本構成パラメータ」の項のグローバル・カタログ・サーバー・パラメータの値として、グローバル・カタログ・サーバーをホストしているドメイン・コントローラの名前を指定します。

ノート:

子ドメインの検索パラメータの値がyesに設定され、グローバル・カタログ・サーバー・パラメータの値が指定されていない場合、コネクタはグローバル・カタログ・サーバーを自ら判別します。拡張設定パラメータの子ドメインの検索パラメータと基本構成パラメータのグローバル・カタログ・サーバー・パラメータの値を指定することを強くお薦めします。
クロスドメイン環境でグループ・リコンシリエーションを実行する場合、コネクタによってフェッチされるアカウントのグループは、そのアカウントが存在しているドメイン・コントローラが認識するもののみです。
「基本構成パラメータ」の項のLDAPホスト名パラメータには値を入力しないことをお薦めします。コネクタは、グローバル・カタログ・サーバーから識別名を取得した後に、正しいドメイン・コントローラを自動的に見つけて、完全なユーザー情報をフェッチします。LDAPホスト名パラメータに値を指定すると、コネクタはその値を無視し、ADSI参照機能を使用して、(ユーザー情報をフェッチするための)適切なドメイン・コントローラを判別します。

6.9.2 複数のドメインにわたるプロビジョニングの有効化の理解

ターゲット・システムの親子デプロイメント環境では、複数のドメインにわたるプロビジョニング操作を実行する前に、ターゲット・システムのITリソースが親ドメインを使用して構成されることが予期されます。ターゲット・システムのレプリケーション環境では、複数のドメインにわたるプロビジョニング操作を実行する前に、ターゲット・システムのITリソースが任意のドメイン・コントローラを使用して構成されることが予期されます。

このシナリオを次の例を使用して説明します。

親ドメインがdc1、子ドメインがdc2の親子ドメイン環境があるとします。ターゲット・システムのITリソースは、dc1をLDAPホスト名パラメータの値として、親ドメインの名前をDomainNameパラメータの値として含むように構成されます。

プロビジョニングの際に、子ドメインに所属する組織、複数のドメインにわたる複数のグループ、および親ドメインのマネージャを選択すると、ADSI (Active Directory Service Interfaces)によってLDAP参照が内部的に使用されます。これは、すべてのコネクタ操作がADSIに対して行われるためです。これにより、ITリソースに子ドメインの詳細を指定しなくても、子ドメインでのアカウントの作成が可能になります。

プロビジョニング操作で選択される組織によって異なりますが、このようなすべての情報が内部的に計算されます。コネクタでは、参照追跡のオプションがAllに設定されます。この場合、ドメイン・コントローラによって参照が提供されると、すべての参照が追跡されます。したがって、複数のドメインにわたるプロビジョニングを有効にするために明示的な構成手順は必要ありません。

6.10 複数の信頼できるソースのリコンシリエーション用のコネクタの使用について

複数の信頼できるソースのリコンシリエーションのためにコネクタを使用できます。

次に、組織のユーザー・データに対して複数の信頼できるソースが存在する場合の例を示します。

ターゲット・システムの1つは、従業員に関するデータの信頼できるソースです。2つ目のターゲット・システムは、契約者に関するデータの信頼できるソースです。3つ目のターゲット・システムは、インターンに関するデータの信頼できるソースです。
1つのターゲット・システムは、OIMユーザーを構成する一部のアイデンティティ・フィールドのデータを保持します。他の2つのシステムは、残りのアイデンティティ・フィールドのデータを保持します。つまり、OIMユーザーを作成するには、3つのシステム全部からデータをリコンサイルする必要があります。

組織のオペレーティング環境がこれらのシナリオのいずれかで説明されている環境に類似する場合、このコネクタを使用すると、組織のユーザー・データの信頼できるソースの1つとしてターゲット・システムを使用できるようになります。

6.11 ターゲット・システムの複数のインストール

複数のターゲット・システムを含む環境でActive Directory User Managementコネクタを使用できます。

複数のターゲット・システム・インストールに関連するトピックを次に示します。

6.11.1 ターゲット・システムの複数のインストールについて

ベース・アプリケーションの構成のコピーを作成して、ターゲット・システムの複数のインストールに対してベース・アプリケーションを構成する必要があります。

ノート:

この項の情報は、Microsoft AD LDSにも適用されます。

11.1.2.xから12.2.1.3.0にアップグレードする場合は、次のようにします。

この項で説明する手順を実行するのは、ターゲット・システムの複数のインストールが環境にあり、このコネクタによって管理されるスキーマを共有している場合です。そのようなシナリオで、Oracle Identity Governanceリリース12.2.1.3.0を使用している場合は、ITリソース情報のみを変更する必要があります。Oracle Identity Governanceリリース12.2.1.3.0を使用している場合は、ITリソース情報を変更して、アプリケーション・インスタンスを作成する必要があります。

また、使用しているOracle Identity Governanceのリリースにかかわらず、スケジュール済タスクをレプリケートする必要があります。基礎となるワークフローおよびプロセス・フォームは、ターゲット・システムのすべてのインストール環境で共有されます。

環境にターゲット・システムの複数のインストールがあるが、スキーマが異なる場合があります(つまり、様々な属性のセットをコネクタを使用して管理する必要があるときです。言い換えると、様々なプロセス・フォームやワークフローなどが必要です)この場合には、コネクタのクローニング機能を使用する必要があります。
アプリケーション・オンボードを使用する場合は、次のようにします。

この項で説明する手順を実行するのは、ターゲット・システムの複数のインストールが環境にあり、このコネクタによって管理されるスキーマを共有している場合です。そのようなシナリオで、Oracle Identity Governanceリリース12.2.1.3.0を使用している場合は、基本構成情報を変更して、新しいアプリケーションを作成する必要があります。

環境にターゲット・システムの複数のインストールがあるが、スキーマが異なる場合があります(つまり、様々な属性のセットをコネクタを使用して管理する必要があるときです。言い換えると、様々なプロセス・フォームやワークフローなどが必要です)この場合には、新しいアプリケーションを作成する必要があります。

Microsoft Active Directoryの複数のインストールに対してコネクタを構成する場合があります。次の例でこの要件について説明します。

Example Multinational Inc.の東京、ロンドンおよびニューヨークの事業所には、独自にMicrosoft Active Directoryがインストールされています。この会社は最近Oracle Identity Governanceをインストールしたため、それを構成して、インストールされたすべてのMicrosoft Active Directoryをリンクさせようとしています。

このような例で示される要件に対応するには、Microsoft Active Directoryの複数のインストールに対するコネクタを構成する必要があります。

6.11.2 ターゲット・システムの複数のインストールに対するコネクタの構成

コネクタをターゲット・システムの複数のインストールに対して構成するには、Oracle Identity Governanceリリース11.1.2.xから112.2.1.3.0にコネクタをアップグレードするか、アプリケーション・オンボードを使用します。

ターゲット・システムの複数のインストールに対してコネクタを構成するには、次の項で示すいずれかの手順を実行します。

6.11.2.1 Oracle Identity Governanceリリース11.1.2.xから12.2.1.3.0にアップグレードするときの、ターゲット・システムの複数のインストールに対するコネクタの構成

ターゲット・システムの複数のインストールに対してコネクタを構成するには、次のようにします。

ターゲット・システム・インストールごとにITリソースが1つずつ存在するように、Active Directory ITリソース・タイプのITリソースを作成します。Oracle Identity Governanceリリース12.2.1.3.0以降を使用している場合は、ITリソースを作成することに加えて、アプリケーション・インスタンスを作成する必要があります。
ターゲット・システム・インストールごとにリコンシリエーションのスケジュール済タスクのコピーを作成します。スケジュール済タスクを作成する際に、スケジュール済タスクの作成対象となるターゲット・システム・インストールに対応する属性値を指定します。
Oracle Identity Governanceの参照定義をターゲット・システムの参照フィールド値と手動で同期させます。

6.11.2.2 アプリケーション・オンボードを使用した、ターゲット・システムの複数のインストールに対するコネクタの構成

ターゲット・システムの複数のインストールに対してコネクタを構成するには、次のようにします。

ターゲット・システムの複数のインストールに対して、アプリケーション・オンボードを使用して新しいアプリケーションを作成します。
Oracle Identity Governanceの参照定義をターゲット・システムの参照フィールド値と手動で同期させます。

6.12 ユーザーの作成プロビジョニング操作後のホーム・ディレクトリの作成

「ユーザーの作成」プロビジョニング操作の後に、ホーム・ディレクトリを更新するプロセスを開始できます。

アプリケーション・オンボードでこのタスクを実行するには、作成後のアクション・スクリプトを作成して、そのスクリプト自体でホーム・ディレクトリの作成を変更する必要があります。

6.13 セキュリティ・グループ - ユニバーサル・グループ・タイプのプロビジョニング・グループ用のコネクタの構成

セキュリティ・グループ - ユニバーサルグループ・タイプを作成するには、このグループ・タイプをLookup.ActiveDirectory.GroupTypes参照定義に追加します。

ターゲット・システムに作成できるグループには6種類あります。デフォルトでは、このコネクタは5つのグループ・タイプのみで出荷され、それらはOracle Identity Governanceで作成するグループとして選択できます。セキュリティ・グループ - ユニバーサル・グループ・タイプを作成する場合は、このグループ・タイプをLookup.ActiveDirectory.GroupTypes参照定義に次のように追加する必要があります。

Design Consoleにログインします。
「Administration」を開き、「Lookup Definition」をダブルクリックします。
Lookup.ActiveDirectory.GroupTypes参照定義を検索して開きます。
「追加」をクリックします。
追加された新しい行に、次の値を入力します。

コード・キー: - 2147483640

デコード: Security Group - Universal
「保存」アイコンをクリックします。

これで、Oracle Identity Governanceを使用してグループを作成するときに、-2147483640を検索してセキュリティ・グループ - ユニバーサル・グループ・タイプを選択できます。