6 Microsoft Active Directory User Managementコネクタの機能の拡張
特定のビジネス要件に対応するようにコネクタの機能を拡張できます。
デフォルトでは、コネクタは特定の一連のタスクを実行するように構成されています。特定のビジネス要件に対処するために、次の項で説明する手順を実行してコネクタの機能を拡張できます。
6.1 ターゲット・リソースのリコンシリエーション用のカスタム・フィールドの追加
ユーザー、グループまたは組織単位のリコンシリエーションのためにさらにフィールドを追加できます。
ノート:
バイナリ属性はサポートされていません。コネクタでは、Microsoft Active Directoryターゲット・システムの属性タイプstring
、long
、char
、double
、float
、int
およびbool
がサポートされます。
6.1.1 ユーザーのターゲット・リソースのリコンシリエーション用のカスタム・フィールドの追加
ユーザーのリコンシリエーションのためにさらにフィールドを追加できます。
ノート:
この項ではオプションの手順を説明します。リコンシリエーション用のカスタム・フィールドを追加しない場合は、この手順を実行する必要はありません。
ユーザーのターゲット・リソースのリコンシリエーションのためにカスタム・フィールドを追加するには:
- Identity Self Serviceに管理者としてログインします。
- 「管理」タブをクリックし、「アプリケーション」ボックスをクリックして「アプリケーション」ページを開きます。
- カスタム・フィールドを追加するActive Directoryターゲット・アプリケーションを検索して開きます。
- 「スキーマ」を選択して、「属性の追加」をクリックします。
- 新しく追加された行で、新しい属性名、OIMプロファイル、マッピング先のターゲット・システム属性などを追加します。たとえば、「表示名」、「アイデンティティ属性」、「ターゲット属性」および「「データ型」フィールドの値を入力します。次に、「リコンシリエーション・フィールド」チェックボックスを選択し、必要に応じて他のリコンシリエーション・プロパティを選択します。
- 「適用」をクリックして変更を保存します。
- Oracle Identity System Administrationに管理者としてログインします。
- サンドボックスを作成し、アクティブにします。
- 「フォーム・デザイナ」を選択します。
- 次の値を使用して新しいフォームを作成し、「作成」をクリックします:
- 「リソース・タイプ」フィールドに、カスタム・フィールドを追加したActive Directoryターゲット・アプリケーションを入力します。
- [フォーム名]フィールドにフォーム名を入力します。属性を増分的にアプリケーションに追加する場合は、新規属性を追加するたびに新規フォームを作成する必要があります。したがって、フォーム名にはバージョン番号を含めることをお薦めします。
- 新しく作成した属性がフォームの属性リストに存在することを確認し、変更を保存します。次に、サンドボックスを公開します。
- 「アプリケーション・インスタンス」に移動し、新しい属性を追加したアプリケーションに関連付けられているアプリケーション・インスタンスを検索して開きます。
- 「フォーム」ドロップダウンから、作成したばかりのフォームの新しいバージョンを選択し、「適用」をクリックします。
6.1.2 グループおよび組織単位のターゲット・リソースのリコンシリエーション用のカスタム・フィールドの追加
グループまたは組織単位のリコンシリエーションのためにさらにフィールドを追加できます。
ノート:
この項ではオプションの手順を説明します。リコンシリエーション用のカスタム・フィールドを追加しない場合は、この手順を実行する必要はありません。
ターゲット・リソースのリコンシリエーションのためにカスタム・フィールドを追加するには:
-
Oracle Identity Governance Design Consoleにログインします。
-
リソース・オブジェクトのリコンシリエーション・フィールドのリストに、次のようにして、カスタム・フィールドを追加します。
-
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
-
次のリソース・オブジェクトのうち1つを検索して開きます。
グループの場合: AD Group
組織単位の場合: AD Organizational Unit
-
「Object Reconciliation」タブで、「Add Field」をクリックします。
-
「Add Reconciliation Field」ダイアログ・ボックスに、フィールドの詳細を入力します。
たとえば、「Field Name」フィールドに
Description
と入力し、「Field Type」リストから「String」を選択します。ブール型フィールドを追加している場合は、フィールド・タイプとして「文字列」を選択します。
-
「Save」をクリックして、ダイアログ・ボックスを閉じます。
-
「Create Reconciliation Profile」をクリックします。これにより、リソース・オブジェクトに行われた変更がMDSにコピーされます。
-
「保存」をクリックします。
-
-
リコンシリエーションの参照定義で、次のようにして、フィールドのエントリを作成します。
-
「Administration」を開き、「Lookup Definition」をダブルクリックします。
-
次のいずれかの参照定義を検索して開きます。
グループの場合: Lookup.ActiveDirectory.GM.ReconAttrMap
組織単位の場合: Lookup.ActiveDirectory.OM.ReconAttrMap
-
「Add」をクリックし、フィールドのコード・キー値とデコード値を入力します。コード・キー値は、ステップ2.dのリコンシリエーション・フィールドに指定したフィールドの名前です。デコード値はターゲット・システム・フィールドの名前です。
たとえば、「Code Key」フィールドには
Description
、「Decode」フィールドにはdescription
と入力します。 -
「保存」をクリックします。
-
-
次のようにして、プロセス・フォームにカスタム・フィールドを追加します。
-
「開発ツール」を開き、「フォーム・デザイナ」をダブルクリックします。
-
次のプロセス・フォームのうち1つを検索して開きます。
グループの場合: UD_ADGRP
組織単位の場合: UD_ADOU
-
「Create New Version」、「Add」を順にクリックします。
-
フィールドの詳細を入力します。
たとえば、「Description」フィールドを追加する場合は、「名前」フィールドに
UD_ADGRP_DESCRIPTION
を入力し、続いてこのフィールドの残りの詳細を入力します。 -
「Save」をクリックし、「Make Version Active」をクリックします。
-
-
Oracle Identity Governanceリリース11.1.2.xを使用している場合は、次のようにして、Design Consoleのフォーム・デザイナに加えられたすべての変更を新しいUIフォームに適用する必要があります。
-
Oracle Identity System Administrationにログインします。
-
サンドボックスを作成し、アクティブにします。詳細は、サンドボックスの作成およびアクティブ化を参照してください。
-
新たに追加したフィールドと残りのフィールドを表示するために新しいUIフォームを作成します。UIフォームの作成の詳細は、UIフォームの新規作成を参照してください。
-
新たに作成したUIフォームを、ターゲット・システムのアプリケーション・インスタンスと関連付けます。それを行うには、「フォーム」フィールドの、リソースの既存のアプリケーション・インスタンスを開き、(ステップ5.cで作成した)フォームを選択して、アプリケーション・インスタンスを保存します。
-
サンドボックスを公開します。詳細は、サンドボックスの公開を参照してください。
-
-
プロビジョニング処理の一部として、カスタム・フィールドのリコンシリエーション・フィールド・マッピングを、次のようにして作成します。
-
Design Consoleにログインします。
-
「Process Management」を開き、「Process Definition」をダブルクリックします。
-
次のプロビジョニング処理のうち1つを検索して開きます。
グループの場合: AD Group
組織単位の場合: AD Organizational Unit
-
プロビジョニング処理の「Reconciliation Field Mappings」タブで、「Add Field Map」をクリックします。
-
「Add Reconciliation Field Mapping」ダイアログ・ボックスの「Field Name」フィールドで、追加するフィールドの値を選択します。
たとえば、「Field Name」フィールドでDescriptionを選択します。
-
「プロセス・データ」フィールドをダブルクリックし、UD_ADGRP_DESCRIPTIONを選択します。
-
「Save」をクリックして、ダイアログ・ボックスを閉じます。
-
「保存」をクリックします。
-
6.2 ターゲット・リソースのリコンシリエーション用の新規複数値フィールドの追加
ユーザー、グループまたは組織単位のターゲット・リソース・リコンシリエーションのときのために新しい複数値フィールドを追加できます。
ノート:
バイナリ属性はサポートされていません。コネクタでは、Microsoft Active Directoryターゲット・システムの属性タイプstring
、long
、char
、double
、float
、int
およびbool
がサポートされます。
6.2.1 ユーザーのターゲット・リソースのリコンシリエーション用の新規複数値フィールドの追加
Oracle Identity Governanceとターゲット・システムとの間のユーザーのリコンシリエーション用に複数値フィールドを追加できます。
ノート:
この手順は、ユーザー・フィールドの追加のみに適用できます。
リコンシリエーション用に追加する新しいフィールドに文字列形式のデータのみが格納されていることを確認する必要があります。Oracle Identity Governanceにはバイナリ・フィールドを送信しないでください。
ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加するには、次のようにします。
-
アプリケーション・オンボードUIで、Active Directoryターゲット・アプリケーションを選択します。
-
「スキーマ」を選択して、「属性の追加」をクリックします。
-
新しく追加された行で、「表示名」と「ターゲット属性」のフィールドに値を入力します。
-
「データ型」フィールドで値を選択するために、ドロップダウンをクリックして「文字列」を選択します。
-
「リコンシリエーション・フィールド」チェック・ボックスを選択します。
-
行の最後にある3つの水平線で示された「拡張設定」をクリックして、「参照」チェック・ボックスを選択します。
-
「値リスト」フィールドに参照定義の名前を入力して、「OK」をクリックします。
-
「適用」をクリックします。
6.2.2 グループおよび組織単位のターゲット・リソースのリコンシリエーション用の新規複数値フィールドの追加
Oracle Identity Governanceとターゲット・システムとの間のグループおよび組織単位のリコンシリエーション用に複数値フィールドを追加できます。
ノート:
この手順は、グループ・フィールドまたは組織単位フィールドの追加に適用できます。
リコンシリエーション用に追加する新しいフィールドに文字列形式のデータのみが格納されていることを確認する必要があります。Oracle Identity Governanceにはバイナリ・フィールドを送信しないでください。
ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加するには、次のようにします。
-
Oracle Identity Governance Design Consoleにログインします。
-
次のようにして、複数値フィールド用のフォームを作成します。
-
「Development Tools」を開き、「Form Designer」をダブルクリックします。
-
表の名前および説明を指定してフォームを作成し、「Save」をクリックします。
-
「Add」をクリックしてフィールドの詳細を入力します。
-
「保存」をクリックし、バージョンのアクティブ化をクリックします。新しいフォームで追加された複数値フィールドを示します。
-
-
次のようにして、複数値フィールド用に作成されたフォームをプロセス・フォームの子フォームとして追加します。
-
次のプロセス・フォームのうち1つを検索して開きます。
グループの場合: UD_ADGRP
組織単位の場合: UD_ADOU
-
「新しいバージョンの作成」をクリックします。
-
「Child Table(s)」タブをクリックします。
-
「割当て」をクリックします。
-
「Assign Child Tables」ダイアログ・ボックスで、新規作成した子フォームを選択して右矢印をクリックした後、「OK」をクリックします。
-
「Save」をクリックし、「Make Version Active」をクリックします。
-
-
Oracle Identity Governanceリリース11.1.2.xを使用している場合は、次のようにして、Design Consoleのフォーム・デザイナに加えられたすべての変更を新しいUIフォームに適用する必要があります。
-
Oracle Identity System Administrationにログインします。
-
サンドボックスを作成し、アクティブにします。詳細は、サンドボックスの作成およびアクティブ化を参照してください。
-
新たに追加したフィールドと残りのフィールドを表示するために新しいUIフォームを作成します。UIフォームの作成の詳細は、UIフォームの新規作成を参照してください。
-
新たに作成したUIフォームを、ターゲット・システムのアプリケーション・インスタンスと関連付けます。それを行うには、「フォーム」フィールドの、リソースの既存のアプリケーション・インスタンスを開き、(ステップ4.cで作成した)フォームを選択して、アプリケーション・インスタンスを保存します。
-
サンドボックスを公開します。詳細は、サンドボックスの公開を参照してください。
-
-
リソース・オブジェクトのリコンシリエーション・フィールドのリストに、次のようにして、新しい複数値フィールドを追加します。
-
Design Consoleにログインします。
-
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
-
次のリソース・オブジェクトのうち1つを検索して開きます。
グループの場合: AD Group
組織単位の場合: AD Organizational Unit
-
「Object Reconciliation」タブで、「Add field」をクリックします。
-
「Add Reconciliation Fields」ダイアログ・ボックスに、フィールドの詳細を入力します。
たとえば、「Field Name」フィールドに
carlicenses
と入力し、「Field Type」リストから「Multi Valued Attribute」を選択します。 -
「Save」をクリックしてダイアログ・ボックスを閉じます。
-
新規作成したフィールドを右クリックして、「Define Property Fields」を選択します。
-
「Add Reconciliation Fields」ダイアログ・ボックスに、新規作成したフィールドの詳細を入力します。
たとえば、「Field Name」フィールドに
carlicense
と入力し、「Field Type」リストから「String」を選択します。 -
「保存」をクリックしてダイアログ・ボックスを閉じます。図6-2に、リソース・オブジェクトに追加された新しいリコンシリエーション・フィールドを示します。
-
「Create Reconciliation Profile」をクリックします。これにより、リソース・オブジェクトに行われた変更がMDSにコピーされます。
-
-
リコンシリエーションの参照定義で、次のようにして、フィールドのエントリを作成します。
-
「Administration」を開き、「Lookup Definition」をダブルクリックします。
-
次のいずれかの参照定義を検索して開きます。
グループの場合: Lookup.ActiveDirectory.GM.ReconAttrMap
組織単位の場合: Lookup.ActiveDirectory.OM.ReconAttrMap
ノート:
ターゲット・システム・フィールドには、ターゲット・システムと同じ大文字または小文字を使用する必要があります。フィールド名では、大/小文字が区別されるためです。
-
「Add」をクリックしてフィールドの「Code Key」および「Decode」に値を入力し、「Save」をクリックします。コード・キーとデコードの値は次の形式にする必要があります。
コード・キー: MULTIVALUED_FIELD_NAME~CHILD_RESOURCE_OBJECT_FIELD_NAME
デコード: 対応するターゲット・システム属性。
たとえば、「Code Key」フィールドには
carlicenses~carlicense
、「Decode」フィールドにはcarlicense
と入力します。
-
-
次のようにして、新しいフィールド用のリコンシリエーション・フィールド・マッピングを作成します。
-
「Process Management」を開き、「Process Definition」をダブルクリックします。
-
次のいずれかのプロセス定義を検索して開きます。
グループの場合: AD Group
組織単位の場合: AD Organizational Unit
-
AD GroupまたはAD Organizational Unitプロセス定義のリコンシリエーション・フィールド・マッピング・タブで、表マップの追加をクリックします。
-
「Add Reconciliation Table Mapping」ダイアログ・ボックスで、リストからフィールド名および表名を選択し、「Save」をクリックしてダイアログ・ボックスを閉じます。
-
新規作成したフィールドを右クリックして、「Define Property Field Map」を選択します。
-
「Field Name」フィールドで、追加するフィールドの値を選択します。
-
「Process Data Field」フィールドをダブルクリックし、UD_CARLICENを選択します。
-
「Key Field for Reconciliation Field Matching」を選択して「Save」をクリックします。
-
6.3 プロビジョニング用のカスタム・フィールドの追加
ユーザー、グループまたは組織単位のプロビジョニング時のフィールドをさらに追加できます。
ノート:
バイナリ属性はサポートされていません。コネクタでは、Microsoft Active Directoryターゲット・システムの属性タイプstring
、long
、char
、double
、float
、int
およびbool
がサポートされます。
6.3.1 ユーザーのプロビジョニング用のカスタム・フィールドの追加
ユーザーのプロビジョニング時のフィールドをさらに追加できます。
ノート:
この項ではオプションの手順を説明します。プロビジョニング用のカスタム・フィールドを追加しない場合は、この手順を実行する必要はありません。
ユーザーのプロビジョニング用にカスタム・フィールドを追加するには:
-
アプリケーション・オンボードUIで、Active Directoryターゲット・アプリケーションを選択します。
-
「スキーマ」を選択して、「属性の追加」をクリックします。
-
新しく追加された行で、「表示名」と「ターゲット属性」のフィールドに値を入力します。
-
「データ型」フィールドで値を選択するために、ドロップダウンをクリックして「文字列」を選択します。
-
「プロビジョニング・フィールド」チェック・ボックスを選択します。
-
「適用」をクリックします。
6.3.2 グループおよび組織単位のプロビジョニング用のカスタム・フィールドの追加
デフォルト属性以外の追加属性をプロビジョニングのためにマップできます。
グループおよび組織単位のプロビジョニングのためにカスタム・フィールドを追加するには、次の項で示す手順を実行します。
6.3.2.1 プロセス・フォームでの新規フィールドの追加
「グループおよび組織単位のターゲット・リソースのリコンシリエーション用のカスタム・フィールドの追加」のステップ4を実行してプロセス・フォームにフィールドを追加した場合は、フィールドを再度追加する必要はありません。フィールドを追加していない場合は、次のように追加します。
6.3.2.2 新規UIフォームへのフォーム・デザイナの変更のレプリケート
Oracle Identity Governanceリリース11.1.2.xを使用している場合は、次のようにして、Design Consoleのフォーム・デザイナに加えられたすべての変更を新しいUIフォームに適用する必要があります。
- Oracle Identity System Administrationにログインします。
- サンドボックスを作成し、アクティブにします。詳細は、サンドボックスの作成およびアクティブ化を参照してください。
- 新たに追加したフィールドと残りのフィールドを表示するために新しいUIフォームを作成します。UIフォームの作成の詳細は、UIフォームの新規作成を参照してください。
- 新たに作成したUIフォームをターゲット・システムのアプリケーション・インスタンスに関連付けます。そのためには、リソースに対する既存のアプリケーション・インスタンスを開いて、フォームフィールドからフォーム(ステップ3.cで作成済)を選択し、アプリケーション・インスタンスを保存します。
- サンドボックスを公開します。詳細は、サンドボックスの公開を参照してください。
6.3.2.4 カスタム・フィールドでの更新プロビジョニング操作の有効化
カスタム・フィールドを追加した後、次のように、そのフィールドで更新プロビジョニング操作を有効にする必要があります。
-
プロビジョニング処理で、フィールドを更新する新しいタスクを、次のようにして作成します。
-
「Process Management」を開き、「Process Definition」をダブルクリックします。
-
次のプロビジョニング処理のうち1つを検索して開きます。
グループの場合: AD Group
組織単位の場合: AD Organizational Unit
-
「Add」をクリックしてタスクの名前および説明を入力します。次にサンプル値を示します。
Task Name:
Description Updated
Task Description:
Process Task for handling update of the description field.
-
「Task Properties」セクションで、次のフィールドを選択します。
条件付き
保留中の取消しを許可
複数のインスタンスを許可
-
「保存」をクリックします。
-
-
プロビジョニング処理で、次のようにして、「Handler Type」セクションでアダプタ名を選択します。
-
「Integration」タブに移動し、「Add」をクリックします。
-
「Handler Selection」ダイアログ・ボックスで「Adapter」を選択します。
-
「Handler Name」列でadpADIDCUPDATEATTRIBUTEVALUEを選択します。
-
「Save」をクリックして、ダイアログ・ボックスを閉じます。
-
-
「Adapter Variable」リージョンでprocInstanceKey変数をクリックします。
-
表示されるダイアログ・ボックスで次のマッピングを作成します。
変数名:
procInstanceKey
マップ先:
Process Data
修飾子:
Process Instance
-
「Save」をクリックして、ダイアログ・ボックスを閉じます。
-
「グループ」カスタム・フィールドの更新プロビジョニング操作を有効にする場合、次の表内のすべての変数について、ステップ3から5を繰り返します。各変数について次の表に示す値を「Map To」、「Qualifier」および「Literal Value」リストから選択してください。
変数 マップ先 修飾子 リテラル値 procInstanceKey
プロセス・データ
プロセス・インスタンス
該当なし
アダプタの戻り変数
レスポンス・コード
該当なし
該当なし
itResourceFieldName
リテラル
文字列
UD_ADGRP_SERVER
attrFieldName
リテラル
文字列
CUSTOM_FIELD_NAME
objectType
リテラル
文字列
Group
-
組織単位カスタム・フィールドの更新プロビジョニング操作を有効にする場合、次の表内のすべての変数について、ステップ3から5を繰り返します。各変数について次の表に示す値を「Map To」、「Qualifier」および「Literal Value」リストから選択してください。
変数 マップ先 修飾子 リテラル値 procInstanceKey
プロセス・データ
プロセス・インスタンス
該当なし
アダプタの戻り変数
レスポンス・コード
該当なし
該当なし
itResourceFieldName
リテラル
文字列
UD_ADOU_SERVER
attrFieldName
リテラル
文字列
CUSTOM_FIELD_NAME
objectType
リテラル
文字列
organizationalUnit
-
「レスポンス」タブで「追加」をクリックして、少なくともSUCCESSレスポンス・コードをステータス
C
とともに追加します。これにより、カスタム・タスクが正常に実行されると、タスクのステータスが「完了」
として表示されます。 -
「Save」アイコンをクリックしてダイアログ・ボックスを閉じ、プロセス定義を保存します。
6.3.2.6 サーバー・キャッシュからのデータセットのリクエストに関連するコンテンツのクリア
PurgeCacheユーティリティを実行して、サーバー・キャッシュからのデータセットのリクエストに関連するコンテンツをクリアします。
PurgeCacheユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のPurgeCacheユーティリティの実行に関する項を参照してください。
6.4 プロビジョニングへの新規複数値フィールドの追加
ユーザー、グループまたは組織単位のプロビジョニング操作のときのために新しい複数値フィールドを追加できます。
ノート:
バイナリ属性はサポートされていません。コネクタでは、Microsoft Active Directoryターゲット・システムの属性タイプstring
、long
、char
、double
、float
、int
およびbool
がサポートされます。
6.4.1 ユーザーのプロビジョニング用の新規複数値フィールドの追加
Oracle Identity Governanceとターゲット・システムとの間のユーザーのプロビジョニング用に複数値フィールドを追加できます。
ノート:
この手順は、ユーザー・フィールドの追加のみに適用できます。
リコンシリエーション用に追加する新しいフィールドに文字列形式のデータのみが格納されていることを確認する必要があります。Oracle Identity Governanceにはバイナリ・フィールドを送信しないでください。
プロビジョニング用に新しい複数値フィールドを追加するには、次のようにします。
-
アプリケーション・オンボードUIで、Active Directoryターゲット・アプリケーションを選択します。
-
「スキーマ」を選択して、「属性の追加」をクリックします。
-
新しく追加された行で、「表示名」と「ターゲット属性」のフィールドに値を入力します。
-
「データ型」フィールドで値を選択するために、ドロップダウンをクリックして「文字列」を選択します。
-
「プロビジョニング・フィールド」チェック・ボックスを選択します。
-
行の最後にある3つの水平線で示された「拡張設定」をクリックして、「参照」チェック・ボックスを選択します。
-
「値リスト」フィールドに参照定義の名前を入力して、「OK」をクリックします。
-
「適用」をクリックします。
6.4.2 グループおよび組織単位のプロビジョニング用の新規複数値フィールドの追加
プロビジョニングのために新しい複数値フィールドを追加できます。
ノート:
次の手順を始める前に、「グループおよび組織単位のターゲット・リソースのリコンシリエーション用の新規複数値フィールドの追加」に記載されているステップ1から4を実行してください。ターゲット・リソースのリコンシリエーション用に新しい複数値フィールドを追加する際にこれらのステップを実行した場合は、繰り返し実行する必要はありません。
プロビジョニング用に新しい複数値フィールドを追加するには、次のようにします。
6.4.2.3 リクエスト・データセットの更新
ノート:
リクエストベースのプロビジョニングを有効にした場合のみ、この項で説明する手順を実行します。
プロセス・フォームで属性を追加した場合は、リクエスト・データセット定義を含むXMLファイルも更新します。リクエスト・データセットを更新するには:
6.4.2.4 サーバー・キャッシュからのデータセットのリクエストに関連するコンテンツのクリア
ノート:
リクエストベースのプロビジョニングを有効にした場合のみ、この項で説明する手順を実行します。
PurgeCacheユーティリティを実行して、サーバー・キャッシュからのデータセットのリクエストに関連するコンテンツをクリアします。PurgeCacheユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のキャッシュのパージに関する項を参照してください。
6.5 リコンシリエーションおよびプロビジョニング用のターミナル・サービス・フィールドの追加
リコンシリエーション操作およびプロビジョニング操作のためにさらにターミナル・サービス・フィールドを追加できます。
ノート:
この項の情報は、Microsoft Active Directoryターゲット・システムに対して、およびターゲット・システムをターゲット・リソースとして使用する場合にのみ適用できます。
ターミナル・サービス・フィールドがサポートされるのは、Microsoft Active Directoryのみです。Microsoft AD LDSではサポートされません。ターゲット・システムとしてMicrosoft AD LDSを使用している場合、この項を読む必要はありません。
デフォルトでは、リコンシリエーションとプロビジョニングのために次のターミナル・サービス・フィールドが用意されています。
-
AllowLogon
-
TerminalServicesProfilePath
-
TerminalServicesHomeDirectory
必要であれば、リコンシリエーションおよびプロビジョニング操作のために次のターミナル・サービス・フィールドを追加することができます。
-
TerminalServicesInitialProgram
-
TerminalServicesWorkDirectory
-
AllowLogon
-
MaxConnectionTime
-
MaxDisconnectionTime
-
MaxIdleTime
-
ConnectClientDrivesAtLogon
-
ConnectClientPrintersAtLogon
-
DefaultToMainPrinter
-
BrokenConnectionAction
-
ReconnectionAction
-
EnableRemoteControl
-
TerminalServicesProfilePath
-
TerminalServicesHomeDirectory
-
TerminalServicesHomeDrive
次の項で説明する手順は、リコンシリエーションおよびプロビジョニング用にターミナル・サービス・フィールドを追加する際に使用できます。前のリストのターミナル・フィールド名を、Lookup.ActiveDirectory.UM.ProvAttrMap参照定義(プロビジョニング用)およびLookup.ActiveDirectory.UM.ReconAttrMap参照定義(リコンシリエーション用)のデコード値として使用する必要があります。
6.6 Group Name (pre-Windows 2000)属性の追加
リコンシリエーションおよびプロビジョニング用のグループ名(pre-Windows 200)属性を追加できます。
この項では、リコンシリエーションおよびプロビジョニングのためのGroup Name (pre-Windows 2000)属性の追加に関連する次のトピックについて説明します。
6.6.1 Group Name (pre-Windows 2000)属性について
Group NameとGroup Name (pre-Windows 2000)は、ターゲット・システムのグループに固有の2つの属性です。
Oracle Identity Governanceのプロセス・フォームには、「グループ名」フィールドのみが含まれています。デフォルトでは、グループ・プロビジョニング中に、OIMプロセス・フォームの「グループ名」フィールドに指定した値が、Group Name属性およびGroup Name (pre-Windows 2000)属性の値として入力されます。ターゲット・システムのGroup Name属性およびGroup Name (pre-Windows 2000)属性に別の値を指定する場合は、OIMプロセス・フォームにGroup Name (pre-Windows 2000)フィールドを作成する必要があります。これを行うには、Oracle Identity Governanceにリコンシリエーション操作およびプロビジョニング操作用の新しいフィールド(「Group Name Pre Windows」)を追加する必要があります。
6.6.2 リコンシリエーション用のGroup Name Pre Windowsフィールドの追加
リコンシリエーションのためにGroup Name Pre Windowsフィールドを追加できます。
これを行うには、次の手順を実行します。
-
Oracle Identity Governance Design Consoleにログインします。
-
リソース・オブジェクトのリコンシリエーション・フィールドのリストに、Group Name Pre Windowsフィールドを次のように追加します。
-
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
-
ADグループ・リソース・オブジェクトを検索し、開きます。
-
「Object Reconciliation」タブで、「Add Field」をクリックします。
-
リコンシリエーション・フィールドの追加ダイアログ・ボックスの「フィールド名」フィールドに
Group Name Pre Windows
と入力し、「フィールド・タイプ」リストから「文字列」を選択します。 -
「Save」をクリックして、ダイアログ・ボックスを閉じます。
-
「Create Reconciliation Profile」をクリックします。これにより、リソース・オブジェクトに行われた変更がMDSにコピーされます。
-
「保存」をクリックします。
-
-
リコンシリエーション用のLookup.ActiveDirectory.GM.ReconAttrMap参照定義を次のように更新します。
-
「Administration」を開き、「Lookup Definition」をダブルクリックします。
-
Lookup.ActiveDirectory.GM.ReconAttrMap参照定義を検索して開きます。
-
「追加」をクリックして、「Group Name Pre Windows」フィールドのエントリを作成します。
-
コード・キー列に、
Group Name Pre Windows
と入力します。デコード列に、sAMAccountName
と入力します。 -
コード・キー列で、「グループ名」を探し、デコード値を
cn
に変更します。表6-1に、Lookup.ActiveDirectory.GM.ReconAttrMap参照定義の更新されたエントリのリストを示します。表6-1 更新されたLookup.ActiveDirectory.GM.ReconAttrMap参照定義のエントリ
Oracle Identity Governanceのグループ・フィールド Microsoft Active Directoryのフィールド Display Name
displayName
Group name
cn
Group Name Pre Windows
sAMAccountName
Group Type
groupType
OIM Org Name
sAMAccountName
Organization Name[LOOKUP]
ad_container
Org Name
sAMAccountName
Org Type
OIM Organization Type
Unique Id
__UID__
-
「保存」をクリックします。
-
-
次のようにして、プロセス・フォームにGroup Name Pre Windowsフィールドを追加します。
-
「開発ツール」を開き、「フォーム・デザイナ」をダブルクリックします。
-
UD_ADGRPプロセス・フォームを検索し、開きます。
-
「Create New Version」、「Add」を順にクリックします。
-
新しいフィールドの詳細を入力します。「名前」フィールドに
UD_ADUSER_GROUPNAME_PREWINDOWS.
と入力します。フィールド・ラベル列にGroup Name Pre Windows
と入力します。このフィールドの残りの詳細を入力します。 -
「プロパティ」タブで、Group Name Pre Windowsフィールドを選択してプロパティの追加をクリックします。プロパティの追加ダイアログ・ボックスが表示されます。
-
「プロパティ名」リストで「必須」を選択します。
-
「プロパティ値」フィールドに、
True
と入力します。 -
「保存」アイコンをクリックしてダイアログ・ボックスを閉じます。
-
「Save」をクリックし、「Make Version Active」をクリックします。
-
-
プロビジョニング処理の一部として、新しいフィールドのリコンシリエーション・フィールド・マッピングを、次のようにして作成します。
-
「Process Management」を開き、「Process Definition」をダブルクリックします。
-
ADグループ・プロビジョニング処理を検索し、開きます。
-
プロビジョニング処理の「Reconciliation Field Mappings」タブで、「Add Field Map」をクリックします。
-
リコンシリエーション・フィールドのマッピングの追加ダイアログ・ボックスの「フィールド名」フィールドで、Group Name Pre Windowsを選択します。
-
「プロセス・データ」フィールドをダブルクリックし、「UD_ADGRP_GROUPNAME_PREWINDOWS」を選択します。
-
「Save」をクリックして、ダイアログ・ボックスを閉じます。
-
「保存」をクリックします。
-
-
「Resource Management」を開き、「Resource Objects」をダブルクリックします。
-
「Create Reconciliation Profile」をクリックします。
6.6.3 プロビジョニング用のGroup Name Pre Windowsフィールドの追加
プロビジョニングのためにGroup Name Pre Windowsフィールドを追加できます。
これを行うには、次の手順を実行します。
6.6.3.1 「Group Name Pre Windows」フィールドの追加
「リコンシリエーション用のGroup Name Pre Windowsフィールドの追加」のステップ4を実行してプロセス・フォームにフィールドを追加した場合は、フィールドを再度追加する必要はありません。フィールドを追加していない場合は、次のようにします。
- Oracle Identity Governance Design Consoleにログインします。
- 「開発ツール」を開き、「フォーム・デザイナ」をダブルクリックします。
- UD_ADGRPプロセス・フォームを検索し、開きます。
- 「Create New Version」、「Add」を順にクリックします。
- 「名前」フィールドに
UD_ADUSER_GROUPNAME_PREWINDOWS.
と入力します。 - フィールド・ラベル列に
Group Name Pre Windows
と入力します。次に、「グループ名」フィールドに表示されている残りの列の値を入力します。 - 「プロパティ」タブで、Group Name Pre Windowsフィールドを選択してプロパティの追加をクリックします。プロパティの追加ダイアログ・ボックスが表示されます。
- 「プロパティ名」リストで「必須」を選択します。
- 「プロパティ値」フィールドに、
True
と入力します。 - 「保存」アイコンをクリックしてダイアログ・ボックスを閉じます。
- 「Save」をクリックし、「Make Version Active」をクリックします。
6.6.3.2 Lookup.ActiveDirectory.GM.ProvAttrMap参照定義の更新
Lookup.ActiveDirectory.GM.ProvAttrMap参照定義をプロビジョニングのために次のように更新します。
6.6.3.3 「Group Name Pre Windows」フィールドでの更新プロビジョニング操作の有効化
Group Name Pre Windowsフィールドでの更新プロビジョニング操作を次のように有効化します。
-
プロビジョニング処理で、フィールドを更新する新しいタスクを、次のようにして作成します。
-
「Process Management」を開き、「Process Definition」をダブルクリックします。
-
ADグループ・プロビジョニング処理を検索し、開きます。
-
「追加」をクリックして、次のようにタスクの名前および説明を入力します。
「タスク名」:
Group Name Pre Windows Updated
「タスクの説明」:
Process Task for handling update of the Group Name Pre Windows field.
-
タスク・プロパティセクションで、条件付き、「保留中の取消しを許可」および「複数のインスタンスを許可」フィールドを選択します。
-
「保存」をクリックします。
-
-
プロビジョニング処理で、次のようにして、「Handler Type」セクションでアダプタ名を選択します。
-
「Integration」タブに移動し、「Add」をクリックします。
-
「Handler Selection」ダイアログ・ボックスで「Adapter」を選択します。
-
「Handler Name」列でadpADIDCUPDATEATTRIBUTEVALUEを選択します。
-
「Save」をクリックして、ダイアログ・ボックスを閉じます。
-
-
「Adapter Variable」リージョンでprocInstanceKey変数をクリックします。
-
表示されるダイアログ・ボックスで次のマッピングを作成します。
変数名:
procInstanceKey
マップ先:
Process Data
修飾子:
Process Instance
-
「Save」をクリックして、ダイアログ・ボックスを閉じます。
-
次の表に示すすべての変数に関して、ステップ3から5を繰り返します。各変数について次の表に示す値を「Map To」、「Qualifier」および「Literal Value」リストから選択してください。
変数 マップ先 修飾子 リテラル値 procInstanceKey
プロセス・データ
プロセス・インスタンス
該当なし
アダプタの戻り変数
レスポンス・コード
該当なし
該当なし
itResourceFieldName
リテラル
文字列
UD_ADGRP_SERVER
attrFieldName
リテラル
文字列
Group Name Pre Windows
objectType
リテラル
文字列
Group
-
「レスポンス」タブで「追加」をクリックして、少なくともSUCCESSレスポンス・コードをステータス
C
とともに追加します。これにより、カスタム・タスクが正常に実行されると、タスクのステータスが「完了」
として表示されます。 -
「Save」アイコンをクリックしてダイアログ・ボックスを閉じ、プロセス定義を保存します。
6.6.3.5 リクエスト・データセットの更新
ノート:
リクエストベースのプロビジョニングを有効にする場合のみ、この項で説明する手順を実行します。
プロセス・フォームで属性を追加した場合は、リクエスト・データセット定義を含むXMLファイルも更新します。リクエスト・データセットを更新するには:
6.6.3.6 PurgeCacheユーティリティの実行
ノート:
リクエストベースのプロビジョニングを有効にする場合のみ、この項で説明する手順を実行します。
PurgeCacheユーティリティを実行して、サーバー・キャッシュからのデータセットのリクエストに関連するコンテンツをクリアします。PurgeCacheユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のキャッシュのパージに関する項を参照してください。
6.7 データの変換および検証の構成
ユーザー、グループおよび組織単位のデータの変換および検証を構成できます。
6.7.1 データの変換および検証の構成について
アプリケーションの作成時にGroovyスクリプトのロジックを作成して、ユーザー・アカウント・データの変換および検証を構成します。
要件に応じて、リコンサイルされた単一値ユーザー・データの変換を構成できます。たとえば、First NameおよびLast Name値を使用して、Oracle Identity Governanceの「氏名」フィールドの値を作成できます。
同様に、要件に応じて、リコンサイルおよびプロビジョニングされた単一値データの検証を構成できます。たとえば、「名」属性からフェッチしたデータを検証して、そのデータに番号記号(#)が含まれていないことを確認します。また、プロセス・フォームの「名」フィールドに入力したデータを検証して、プロビジョニング操作中にターゲット・システムに番号記号(#)が送信されないようにします。
ユーザー・アカウント・データの変換または検証を構成するには、アプリケーションの作成時にGroovyスクリプトを作成する必要があります。Groovyスクリプトベースの検証と変換のロジックを作成する方法の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。
6.7.2 グループおよび組織単位のリコンシリエーション中のデータ変換の構成
要件に応じて、リコンサイルされた単一値アカウント・データの変換を構成できます。たとえば、User NameおよびLast Name値を使用して、Oracle Identity Governanceの「氏名」フィールドの値を作成できます。
ノート:
この項ではオプションの手順を説明します。この手順は、リコンシリエーション時のデータの変換を構成する場合にのみ実行します。要件に応じて、リコンサイルしたデータの変換を構成することができます。たとえば、外部システムのフィールド名の参照を自動化して、フィールド名に基づいた値を設定できます。
データの変換を構成するには:
-
Javaクラスで必要な変換ロジックを実装するコードを記述します。
クラスの基準は、次の名前とシグネチャを含むメソッドを持つことのみです。
public Object transform(HashMap hmUserDetails, HashMap hmEntitlementDetails, String sField) {}
-
Javaクラスを保持するJARファイルを作成します。
-
Oracle Identity Governance JARアップロード・ユーティリティを実行して、JARファイルをOracle Identity Governanceデータベースに投稿します。このユーティリティは、Oracle Identity Governanceのインストール時に次の場所にコピーされます。
ノート:
このユーティリティを使用する前に、Oracle WebLogic Serverをインストールしたディレクトリに
WL_HOME
環境変数が設定されていることを確認してください。-
Microsoft Windowsの場合: OIM_HOME/server/bin/UploadJars.bat
-
UNIXの場合: OIM_HOME/server/bin/UploadJars.sh
このユーティリティを実行すると、Oracle Identity Governance管理者のログイン資格証明、Oracle Identity Governanceホスト・コンピュータのURL、コンテキスト・ファクトリ値、アップロードするJARファイルのタイプ、およびアップロードするJARファイルが含まれる場所を入力するように要求されます。JARタイプの値として1を指定します。
-
-
変換の参照定義に、次のようにしてエントリを追加します。
-
Design Consoleにログインします。
-
次のいずれかの参照定義を検索して開きます。
-
グループの場合: Lookup.ActiveDirectory.GM.ReconTransformation
-
組織単位の場合: Lookup.ActiveDirectory.OM.ReconTransformation
-
-
「Code Key」列に、変換を適用する属性のリコンシリエーション・フィールドの名前を入力します。たとえば、
First Name
です。 -
「Decode」列に、クラス・ファイルの名前を入力します。たとえば:
com.transformationexample.MyTransformer
-
参照定義に変更を保存します。
ノート:
信頼できるソースのリコンシリエーション時のデータの変換を構成するには、次のエントリをLookup.ActiveDirectory.OM.Configuration.Trusted参照定義に追加します。
-
コード・キー値:
Recon Transformation Lookup
-
デコード値:
Lookup.ActiveDirectory.OM.ReconTransformation
-
6.7.3 グループおよび組織単位のリコンシリエーションおよびプロビジョニング中のデータ検証の構成
要件に応じて、リコンサイルおよびプロビジョニングされた単一値データの検証を構成できます。たとえば、「名」属性からフェッチしたデータを検証して、そのデータに番号記号(#)が含まれていないことを確認します。また、プロセス・フォームの「名」フィールドに入力したデータを検証して、プロビジョニング操作中にターゲット・システムに番号記号(#)が送信されないようにします。
データの検証を構成するには:
-
必要な検証ロジックをJavaクラスに実装するコードを記述します。
この検証クラスには、検証メソッドを実装する必要があります。
-
Javaクラスを保持するJARファイルを作成します。
-
Oracle Identity Governance JARアップロード・ユーティリティを実行して、JARファイルをOracle Identity Governanceデータベースに投稿します。このユーティリティは、Oracle Identity Governanceのインストール時に次の場所にコピーされます。
ノート:
このユーティリティを使用する前に、Oracle WebLogic Serverをインストールしたディレクトリに
WL_HOME
環境変数が設定されていることを確認してください。-
Microsoft Windowsの場合: OIM_HOME/server/bin/UploadJars.bat
-
UNIXの場合: OIM_HOME/server/bin/UploadJars.sh
このユーティリティを実行すると、Oracle Identity Governance管理者のログイン資格証明、Oracle Identity Governanceホスト・コンピュータのURL、コンテキスト・ファクトリ値、アップロードするJARファイルのタイプ、およびアップロードするJARファイルが含まれる場所を入力するように要求されます。JARタイプの値として1を指定します。
-
-
リコンシリエーションのプロセス・フォーム・フィールドを検証するJavaクラスを作成した場合は、次の手順を実行します。
-
Design Consoleにログインします。
-
次のいずれかの参照定義を検索して開きます。
-
グループの場合: Lookup.ActiveDirectory.GM.ReconValidation
-
組織単位の場合: Lookup.ActiveDirectory.OM.ReconValidation
-
-
「Code Key」列に、リソース・オブジェクト・フィールド名を入力します。「Decode」列には、クラス名(たとえば、
com.validate.MyValidation
)を入力します。 -
参照定義に変更を保存します。
-
次のいずれかの参照定義を検索して開きます。
-
グループの場合: Lookup.ActiveDirectory.GM.Configuration
-
組織単位の場合: Lookup.ActiveDirectory.OM.Configuration
-
-
Recon Validation Lookupエントリの値が次のいずれかに設定されていることを確認します。
-
グループの場合:
Lookup.ActiveDirectory.GM.ReconValidation
。 -
組織単位の場合:
Lookup.ActiveDirectory.OM.ReconValidation
。
-
-
参照定義に変更を保存します。
-
-
プロビジョニングのプロセス・フォーム・フィールドを検証するJavaクラスを作成した場合は、次の手順を実行します。
-
Design Consoleにログインします。
-
次のいずれかの参照定義を検索して開きます。
-
グループの場合: Lookup.ActiveDirectory.GM.ProvValidation
-
組織単位の場合: Lookup.ActiveDirectory.OM.ProvValidation
-
-
「Code Key」列に、プロセス・フォーム・フィールド名を入力します。「Decode」列には、クラス名(たとえば、
com.validate.MyValidation
)を入力します。 -
参照定義に変更を保存します。
-
次のいずれかの参照定義を検索して開きます。
-
グループの場合: Lookup.ActiveDirectory.GM.Configuration
-
組織単位の場合: Lookup.ActiveDirectory.OM.Configuration
-
-
Provisioning Validation Lookupエントリの値が次のいずれかに設定されていることを確認します。
-
グループの場合:
Lookup.ActiveDirectory.GM.ProvValidation
。 -
組織単位の場合:
Lookup.ActiveDirectory.OM.ProvValidation
。
-
-
参照定義に変更を保存します。
-
6.8 アクション・スクリプト
アクションは、アカウントの作成、更新または削除のプロビジョニング操作の前または後に実行するように構成できるスクリプトです。
たとえば、あるスクリプトを、個々のユーザー作成前に実行するように構成できます。同様に、カスタムPowerShellスクリプトを、メールボックスの作成、更新または削除の前または後に実行できます。
アクション・スクリプトに関連するトピックを、次に示します。
6.8.1 ユーザー用のアクション・スクリプト
ユーザー用のアクション・スクリプトに関連するトピックを、次に示します。
6.8.1.1 ユーザー用のアクション・スクリプトの構成について
アプリケーションの作成時に独自のPowerShellスクリプトを作成して、アクション・スクリプトを構成できます。
これらのスクリプトは、アカウントの作成、更新または削除のプロビジョニング操作の前または後に実行されるように構成できます。たとえば、あるスクリプトを、個々のユーザー作成操作前に実行するように構成できます。
アクション・スクリプトの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング構成の更新に関する項を参照してください。
ノート:
使用されるスクリプト言語はPowerShellです。6.8.1.3 ユーザー用のVisual Basicスクリプトを使用したアクションの実行
プロセス・フォームのデータを動的に使用するVisual Basicスクリプトを使用してアクションを実行する手順の例を次に示します。これは、After Createアクションの手順の例です。ここでは、ユーザーがプロビジョニングされる組織単位に加えて、組織単位内にユーザーを作成することも必要になります。
6.8.1.4 ユーザー用のアクション・スクリプト実行時の重要なノート
アクション・スクリプトを実行する場合の重要なノートを次に示します。
-
アクション・スクリプトの実行中に発生したエラーは無視され、Oracle Identity Governanceには伝播されません。
-
作成操作中は、プロセス・フォームのすべての属性部分をスクリプトに使用できます。
-
更新操作中は、更新中の属性のみをスクリプトに使用できます。
-
削除操作中は、__UID__ (GUID)属性のみをスクリプトに使用できます。
6.8.1.5 ユーザー用のスクリプト作成のガイドライン
アクション・スクリプトを構成する際に適用または注意する必要があるガイドラインを次に示します。
-
スクリプト内で使用されるすべてのフィールド名は%%で囲む必要があります。
-
任意のVBスクリプトをシェルから呼び出して、プロセス・フォーム・フィールドを渡すことができます。
-
スクリプトにPasswordフィールドを指定することはできません。パスワードは保護された文字列として格納されるためです。したがって、Passwordフィールドの値をフェッチするとき、正確なパスワードは取得されません。
-
子表属性の追加は、CreateカテゴリではなくUpdateカテゴリに含まれます。
6.8.2 グループおよび組織単位用のアクション・スクリプト
グループおよび組織単位用のアクション・スクリプトに関連するトピックを、次に示します。
6.8.2.1 グループおよび組織単位用のアクション・スクリプトの構成について
アプリケーションの作成時に独自のPowerShellスクリプトを作成して、アクション・スクリプトを構成できます。
これらのスクリプトは、アカウントの作成、更新または削除のプロビジョニング操作の前または後に実行されるように構成できます。たとえば、あるスクリプトを、個々のユーザー作成操作前に実行するように構成できます。
ノート:
使用されるスクリプト言語はPowerShellです。6.8.2.2 グループおよび組織単位用のカスタムPowerShellスクリプトの実行
例として、次のプロシージャで、作成操作前にカスタムPowerShellスクリプトを実行するステップを説明します。
アクション前またはアクション後のスクリプトを呼び出すスクリプトには、プロセス・フォーム・フィールドを渡すことができます。これらのプロセス・フォーム・フィールドは、Lookup.ActiveDirectory.GM.ProvAttrMap参照定義またはLookup.ActiveDirectory.OU.ProvAttrMap参照定義に存在し、対応するターゲット・システム属性にマッピングされる必要があります。たとえば、「名」プロセス・フォーム・フィールド(Lookup.ActiveDirectory.GM.ProvAttrMap参照定義またはLookup.ActiveDirectory.OU.ProvAttrMap参照定義に存在)は、ターゲット・システムの対応する属性の名前であるgivenNameを指定して、アクション・スクリプトに渡すことができます。
ノート:
プロセス・フォーム・フィールドのうち、IGNOREが指定されているものはコネクタに送信されません。
6.8.2.3 グループおよび組織単位用のVisual Basicスクリプトを使用したアクションの実行
プロセス・フォームのデータを動的に使用するVisual Basicスクリプトを使用してアクションを実行する手順の例を次に示します。これは、After Createアクションの手順の例です。ここでは、ユーザーがプロビジョニングされる組織単位に加えて、組織単位内にユーザーを作成することも必要になります。
6.8.2.4 グループおよび組織単位用のアクション・スクリプト実行時の重要なノート
アクション・スクリプトを実行する場合の重要なノートを次に示します。
-
アクション・スクリプトの実行中に発生したエラーは無視され、Oracle Identity Governanceには伝播されません。
-
作成操作中は、プロセス・フォームのすべての属性部分をスクリプトに使用できます。
-
更新操作中は、更新中の属性のみをスクリプトに使用できます。
その他の属性も必要な場合、新規アダプタ呼出し
ICProvisioningManager# updateAttributeValues(String objectType, String[] labels)
が作成され使用される必要があります。プロセス・タスクのアダプタ・マッピング中は、依存属性のフォーム・フィールド・ラベルを追加します。 -
削除操作中は、__UID__ (GUID)属性のみをスクリプトに使用できます。
6.8.2.5 グループおよび組織単位用のスクリプト作成のガイドライン
アクション・スクリプトを構成する際に適用または注意する必要があるガイドラインを次に示します。
-
スクリプト・ファイルに含めるスクリプトには、次の参照定義のデコード列に存在する属性を指定することができます。
-
Lookup.ActiveDirectory.GM.ProvAttrMap
-
Lookup.ActiveDirectory.OM.ProvAttrMap
-
-
スクリプト内で使用されるすべてのフィールド名は%%で囲む必要があります。
-
任意のVBスクリプトをシェルから呼び出して、プロセス・フォーム・フィールドを渡すことができます。
-
スクリプトにPasswordフィールドを指定することはできません。パスワードは保護された文字列として格納されるためです。したがって、Passwordフィールドの値をフェッチするとき、正確なパスワードは取得されません。
-
子表属性の追加は、CreateカテゴリではなくUpdateカテゴリに含まれます。
6.9 複数のドメインにわたるリコンシリエーションおよびプロビジョニング操作の有効化
Microsoft Active Directory User Managementコネクタでは、1つのフォレストの複数ドメインにわたるリコンシリエーションおよびプロビジョニング操作がサポートされます。
ノート:
この項の情報は、ターゲット・システムとしてMicrosoft Active Directoryを使用している場合のみ適用されます。Microsoft AD LDSをターゲット・システムとして使用している場合、複数ドメインでのリコンシリエーションおよびプロビジョニング操作の有効化はサポートされません。
リコンシリエーションはグローバル・カタログ・サーバーを使用して実行され、プロビジョニング操作はLDAP参照を使用して実行されます。
複数のドメインにわたるリコンシリエーションおよびプロビジョニングを有効化する場合、次の項で説明する手順を実行します。
6.9.1 複数のドメインにわたるリコンシリエーションの有効化の理解
次の項は、複数のドメインにわたるリコンシリエーションの有効化を理解するために役立ちます。
6.9.1.1 複数のドメインにわたるリコンシリエーションの有効化について
複数のドメインにわたるリコンシリエーションを実行する場合、このコネクタはドメイン・コントローラとグローバル・カタログ・サーバーの両方を使用して、ターゲット・システムからレコードをフェッチします。
リコンシリエーション時に、グローバル・カタログ・サーバーのレコードがコネクタにフェッチされます。レコードがコネクタにフェッチされた後で、distinguishedName属性とuSNChanged属性の値が読み取られます。コネクタはdistinguishedNameを使用することにより、実際のデータを含むドメイン・コントローラに対してLDAP問合せを実行します(ここで参照が使用されます)。グローバル・カタログ・サーバーにはレコードの部分的なセットしか含まれないため、この方法がリコンシリエーションで使用されます。完全なデータはドメイン・コントローラからしかフェッチできません。
すべてのレコードがOracle Identity Governanceにフェッチされると、リコンシリエーション・エンジンが、グローバル・カタログ・サーバーが実行しているドメイン・コントローラのuSNChanged属性の最大値でスケジュール済ジョブのLatest Token属性を更新します。次回のリコンシリエーション実行からは、uSNChanged属性値がLatest Token属性の現在値よりも大きいレコードのみがグローバル・カタログ・サーバーからフェッチされます。したがって、ターゲット・システムでレコードが更新されると、グローバル・カタログ・サーバーでそのレコードのuSNChanged属性を更新する必要があります。こうすることで、直前のリコンシリエーション以降に更新されたレコードをコネクタが検出して、Oracle Identity Governanceにフェッチできます。
6.9.1.2 複数のドメインにわたるリコンシリエーションの有効化
複数のドメインにわたるリコンシリエーションを有効化するには:
- 拡張設定パラメータの子ドメインの検索パラメータの値を
yes
に設定します。 - 「基本構成パラメータ」の項のグローバル・カタログ・サーバー・パラメータの値として、グローバル・カタログ・サーバーをホストしているドメイン・コントローラの名前を指定します。
ノート:
-
子ドメインの検索パラメータの値が
yes
に設定され、グローバル・カタログ・サーバー・パラメータの値が指定されていない場合、コネクタはグローバル・カタログ・サーバーを自ら判別します。拡張設定パラメータの子ドメインの検索パラメータと基本構成パラメータのグローバル・カタログ・サーバー・パラメータの値を指定することを強くお薦めします。 -
クロスドメイン環境でグループ・リコンシリエーションを実行する場合、コネクタによってフェッチされるアカウントのグループは、そのアカウントが存在しているドメイン・コントローラが認識するもののみです。
-
「基本構成パラメータ」の項のLDAPホスト名パラメータには値を入力しないことをお薦めします。コネクタは、グローバル・カタログ・サーバーから識別名を取得した後に、正しいドメイン・コントローラを自動的に見つけて、完全なユーザー情報をフェッチします。LDAPホスト名パラメータに値を指定すると、コネクタはその値を無視し、ADSI参照機能を使用して、(ユーザー情報をフェッチするための)適切なドメイン・コントローラを判別します。
6.9.2 複数のドメインにわたるプロビジョニングの有効化の理解
ターゲット・システムの親子デプロイメント環境では、複数のドメインにわたるプロビジョニング操作を実行する前に、ターゲット・システムのITリソースが親ドメインを使用して構成されることが予期されます。ターゲット・システムのレプリケーション環境では、複数のドメインにわたるプロビジョニング操作を実行する前に、ターゲット・システムのITリソースが任意のドメイン・コントローラを使用して構成されることが予期されます。
このシナリオを次の例を使用して説明します。
親ドメインがdc1、子ドメインがdc2の親子ドメイン環境があるとします。ターゲット・システムのITリソースは、dc1をLDAPホスト名パラメータの値として、親ドメインの名前をDomainNameパラメータの値として含むように構成されます。
プロビジョニングの際に、子ドメインに所属する組織、複数のドメインにわたる複数のグループ、および親ドメインのマネージャを選択すると、ADSI (Active Directory Service Interfaces)によってLDAP参照が内部的に使用されます。これは、すべてのコネクタ操作がADSIに対して行われるためです。これにより、ITリソースに子ドメインの詳細を指定しなくても、子ドメインでのアカウントの作成が可能になります。
プロビジョニング操作で選択される組織によって異なりますが、このようなすべての情報が内部的に計算されます。コネクタでは、参照追跡のオプションがAll
に設定されます。この場合、ドメイン・コントローラによって参照が提供されると、すべての参照が追跡されます。したがって、複数のドメインにわたるプロビジョニングを有効にするために明示的な構成手順は必要ありません。
関連項目:
LDAP参照の詳細はADSIのドキュメントを参照してください。
6.10 複数の信頼できるソースのリコンシリエーション用のコネクタの使用について
複数の信頼できるソースのリコンシリエーションのためにコネクタを使用できます。
次に、組織のユーザー・データに対して複数の信頼できるソースが存在する場合の例を示します。
-
ターゲット・システムの1つは、従業員に関するデータの信頼できるソースです。2つ目のターゲット・システムは、契約者に関するデータの信頼できるソースです。3つ目のターゲット・システムは、インターンに関するデータの信頼できるソースです。
-
1つのターゲット・システムは、OIMユーザーを構成する一部のアイデンティティ・フィールドのデータを保持します。他の2つのシステムは、残りのアイデンティティ・フィールドのデータを保持します。つまり、OIMユーザーを作成するには、3つのシステム全部からデータをリコンサイルする必要があります。
組織のオペレーティング環境がこれらのシナリオのいずれかで説明されている環境に類似する場合、このコネクタを使用すると、組織のユーザー・データの信頼できるソースの1つとしてターゲット・システムを使用できるようになります。
6.11 ターゲット・システムの複数のインストール
複数のターゲット・システムを含む環境でActive Directory User Managementコネクタを使用できます。
複数のターゲット・システム・インストールに関連するトピックを次に示します。
6.11.1 ターゲット・システムの複数のインストールについて
ベース・アプリケーションの構成のコピーを作成して、ターゲット・システムの複数のインストールに対してベース・アプリケーションを構成する必要があります。
ノート:
この項の情報は、Microsoft AD LDSにも適用されます。
-
11.1.2.xから12.2.1.3.0にアップグレードする場合は、次のようにします。
この項で説明する手順を実行するのは、ターゲット・システムの複数のインストールが環境にあり、このコネクタによって管理されるスキーマを共有している場合です。そのようなシナリオで、Oracle Identity Governanceリリース12.2.1.3.0を使用している場合は、ITリソース情報のみを変更する必要があります。Oracle Identity Governanceリリース12.2.1.3.0を使用している場合は、ITリソース情報を変更して、アプリケーション・インスタンスを作成する必要があります。
また、使用しているOracle Identity Governanceのリリースにかかわらず、スケジュール済タスクをレプリケートする必要があります。基礎となるワークフローおよびプロセス・フォームは、ターゲット・システムのすべてのインストール環境で共有されます。
環境にターゲット・システムの複数のインストールがあるが、スキーマが異なる場合があります(つまり、様々な属性のセットをコネクタを使用して管理する必要があるときです。言い換えると、様々なプロセス・フォームやワークフローなどが必要です)この場合には、コネクタのクローニング機能を使用する必要があります。
-
アプリケーション・オンボードを使用する場合は、次のようにします。
この項で説明する手順を実行するのは、ターゲット・システムの複数のインストールが環境にあり、このコネクタによって管理されるスキーマを共有している場合です。そのようなシナリオで、Oracle Identity Governanceリリース12.2.1.3.0を使用している場合は、基本構成情報を変更して、新しいアプリケーションを作成する必要があります。
環境にターゲット・システムの複数のインストールがあるが、スキーマが異なる場合があります(つまり、様々な属性のセットをコネクタを使用して管理する必要があるときです。言い換えると、様々なプロセス・フォームやワークフローなどが必要です)この場合には、新しいアプリケーションを作成する必要があります。
Microsoft Active Directoryの複数のインストールに対してコネクタを構成する場合があります。次の例でこの要件について説明します。
Example Multinational Inc.の東京、ロンドンおよびニューヨークの事業所には、独自にMicrosoft Active Directoryがインストールされています。この会社は最近Oracle Identity Governanceをインストールしたため、それを構成して、インストールされたすべてのMicrosoft Active Directoryをリンクさせようとしています。
このような例で示される要件に対応するには、Microsoft Active Directoryの複数のインストールに対するコネクタを構成する必要があります。
6.11.2 ターゲット・システムの複数のインストールに対するコネクタの構成
コネクタをターゲット・システムの複数のインストールに対して構成するには、Oracle Identity Governanceリリース11.1.2.xから112.2.1.3.0にコネクタをアップグレードするか、アプリケーション・オンボードを使用します。
ターゲット・システムの複数のインストールに対してコネクタを構成するには、次の項で示すいずれかの手順を実行します。
6.11.2.1 Oracle Identity Governanceリリース11.1.2.xから12.2.1.3.0にアップグレードするときの、ターゲット・システムの複数のインストールに対するコネクタの構成
ターゲット・システムの複数のインストールに対してコネクタを構成するには、次のようにします。
- ターゲット・システム・インストールごとにITリソースが1つずつ存在するように、Active Directory ITリソース・タイプのITリソースを作成します。Oracle Identity Governanceリリース12.2.1.3.0以降を使用している場合は、ITリソースを作成することに加えて、アプリケーション・インスタンスを作成する必要があります。
- ターゲット・システム・インストールごとにリコンシリエーションのスケジュール済タスクのコピーを作成します。スケジュール済タスクを作成する際に、スケジュール済タスクの作成対象となるターゲット・システム・インストールに対応する属性値を指定します。
- Oracle Identity Governanceの参照定義をターゲット・システムの参照フィールド値と手動で同期させます。
6.12 ユーザーの作成プロビジョニング操作後のホーム・ディレクトリの作成
「ユーザーの作成」プロビジョニング操作の後に、ホーム・ディレクトリを更新するプロセスを開始できます。
アプリケーション・オンボードでこのタスクを実行するには、作成後のアクション・スクリプトを作成して、そのスクリプト自体でホーム・ディレクトリの作成を変更する必要があります。
6.13 セキュリティ・グループ - ユニバーサル・グループ・タイプのプロビジョニング・グループ用のコネクタの構成
セキュリティ・グループ - ユニバーサルグループ・タイプを作成するには、このグループ・タイプをLookup.ActiveDirectory.GroupTypes参照定義に追加します。
ターゲット・システムに作成できるグループには6種類あります。デフォルトでは、このコネクタは5つのグループ・タイプのみで出荷され、それらはOracle Identity Governanceで作成するグループとして選択できます。セキュリティ・グループ - ユニバーサル・グループ・タイプを作成する場合は、このグループ・タイプをLookup.ActiveDirectory.GroupTypes参照定義に次のように追加する必要があります。