5 Microsoft Active Directory User Managementコネクタの使用
コネクタを自分の要件にかなうように構成したら、コネクタを使用してリコンシリエーションおよびプロビジョニング操作を実行できます。
次のトピックでは、リコンシリエーション操作およびプロビジョニング操作を実行するためのコネクタの使用について説明します。
ノート:
この項では、コネクタの構成に関する、概念的な情報と手順の情報の両方を提供します。手順を実行する前に、概念的な情報を参照することをお薦めします。5.1 Microsoft Active Directory User Managementコネクタの使用に関するガイドライン
これらのガイドラインでは、コネクタ使用時に必要なことについて情報を提供します。
リコンシリエーション操作およびプロビジョニング操作を実行する際には、次のガイドラインを適用する必要があります。
5.1.1 リコンシリエーションの構成に関するガイドライン
リコンシリエーションを構成する際に適用する必要があるガイドラインを次に示します。
-
ターゲット・リソースのリコンシリエーションを実行する前に、参照定義がターゲット・システムの参照フィールドと同期している必要があります。つまり、ユーザー・リコンシリエーションの実行前に、参照フィールド同期のスケジュール済タスクを実行する必要があります。
-
Oracle Identity Governanceリリース11.1.2.x以降を使用している場合は、リコンシリエーションの実行を行う前に、アプリケーション・インスタンスを作成します。
-
削除されたユーザー・データのリコンシリエーションのスケジュール済ジョブの前に、ユーザー・リコンシリエーションのスケジュール済ジョブを実行する必要があります。
-
アイデンティティ・リコンシリエーション・モードでは、グループ・リコンシリエーションを構成する場合、グループ・リコンシリエーションによってターゲット・システム上の既存の組織に対する更新のリコンシリエーションが行われないことに注意してください。ターゲット・システムでグループの名前を変更すると、Oracle Identity Governanceでは新しいグループとしてリコンサイルされます。
-
アイデンティティ・リコンシリエーション・モードでは、組織リコンシリエーションを構成する場合、次のことに注意してください。
-
組織リコンシリエーションでは、ターゲット・システムの既存の組織名に対する更新のリコンシリエーションを行いません。ターゲット・システムで組織の名前を変更すると、Oracle Identity Governanceでは新しい組織としてリコンサイルされます。
-
組織リコンシリエーションのスケジュール済ジョブ(Active Directory Organization Recon)によって作成された組織リコンシリエーション・イベントは、信頼できるソースのリコンシリエーションのスケジュール済ジョブ(Active Directory User Trusted Recon)が実行される前に、正常に処理される必要があります。つまり、組織リコンシリエーションを実行し、ターゲット・システムからリコンサイルされる組織レコードをOracle Identity Governanceに正常にリンクする必要があります。
-
ターゲット・システムでは、ユーザーは特定の組織内に作成されます。ユーザー・データの信頼できるソースのリコンシリエーション時に、Oracle Identity GovernanceでOIMユーザーを同じ組織内に作成する場合は、信頼できるソースのリコンシリエーションのスケジュール済タスクのMaintainHierarchy属性を
yesに設定する必要があります。また、信頼できるソースのリコンシリエーションの前に実行されるように組織リコンシリエーションを構成する必要があります。 -
Oracle Identity Governanceでは、組織間の親子階層関係がサポートされていますが、組織のネームスペースはフラットなネームスペースです。そのため、同じ名前を持つ2つのMicrosoft Active DirectoryのOUは、ターゲット・システムで親OUが異なる場合でも、Oracle Identity Governanceに作成できません。
-
Oracle Identity Governanceでは、組織名に等号(=)やカンマ(,)などの特殊記号を含めることができません。しかし、ターゲット・システムではこれらの特殊記号を組織名で使用できます。
-
組織参照フィールドの同期は、組織リコンシリエーションを構成するかどうかとは無関係です。
-
-
Microsoft AD LDSを信頼できるソースとして構成する場合は、ターゲット・システムの各ユーザー・レコードのmsDS-UserAccountDisabledフィールドに値(
trueまたはfalse)が設定されていることを確認する必要があります。Microsoft ADAMでは、msDS-UserAccountDisabledフィールドにデフォルト値がありません。 -
Filter属性は、リコンシリエーション属性マッピングを含む参照定義のデコード列に存在する属性のみを含む必要があります。
5.1.2 プロビジョニング操作の実行に関するガイドライン
プロビジョニング操作を実行する際に適用する必要があるガイドラインを次に示します。
-
プロビジョニング操作を実行する前に、参照定義がターゲット・システムの参照フィールドと同期している必要があります。つまり、プロビジョニング操作の前に、参照フィールド同期のスケジュール済タスクを実行する必要があります。
-
Microsoft Active Directory User ManagementコネクタとMicrosoft Exchangeコネクタの両方が環境にデプロイされている場合は、「リダイレクト・メールID」フィールドの値を指定しないでください。
「リダイレクト・メールID」フィールドの値をユーザー・プロビジョニング操作時に指定すると、対応するメール・ユーザー・アカウントがMicrosoft Exchangeに作成されます。Exchangeメール・ユーザー・アカウントがActive Directoryで作成されるときに、Exchangeメール・ユーザー・アカウントの一部のフィールド(「Maximum Receive Size」など)が更新できません。つまり、このユーザーのその後のプロビジョニング操作でMicrosoft Exchangeコネクタを使用できなくなります。これは、このユーザーがMicrosoft ExchangeでMailuserとしてすでに作成されているためです。
Microsoft Exchangeコネクタを使用して、Mailuser (前の段落で説明した方法で作成されたユーザー・アカウント)をMailboxに変換することはできません。ターゲットによって許可されないためです。このため、Microsoft Active DirectoryコネクタとMicrosoft Exchangeコネクタの両方がデプロイされている場合には、「リダイレクト・メールID」フィールドの値を指定しないことをお薦めします。
-
Oracle Identity Governanceからプロビジョニングされるユーザー・アカウントのパスワードは、Microsoft Active Directoryで設定されたパスワード・ポリシーに従う必要があります。
ノート:
Microsoft ADAMをドメイン・コントローラにインストールすると、同じドメイン・コントローラにインストールされたMicrosoft Active Directoryのポリシーがすべて取得されます。Microsoft ADAMをワークグループにインストールすると、ローカル・システム・ポリシーが適用されます。
Microsoft Active Directoryでは、パスワード・ポリシーがパスワードの複雑性ルールで制御されます。パスワードの変更または作成時に、このような複雑性ルールが適用されます。Oracle Identity Governanceでのプロビジョニング操作の実行によってMicrosoft Active Directoryアカウントのパスワードを変更するときは、新しいパスワードがターゲット・システムのパスワード・ポリシーに従うようにする必要があります。
関連項目:
ターゲット・システムで適用できるパスワードのガイドラインの詳細は、Microsoft Active Directory User Managementドキュメントを参照してください。
-
アジア言語の中には、マルチバイト文字セットを使用するものがあります。ターゲット・システムのフィールドの文字数の制限がバイト単位で指定されている場合、特定のフィールドに入力できるアジア言語の文字数は、同じフィールドに入力できる英語の文字数よりも少なくなることがあります。この例を次に示します。
ターゲット・システムの「User Last Name」フィールドに英語50文字を入力できるとします。日本語用にターゲット・システムを構成した場合、そのフィールドに入力できるのは25文字までです。
-
ターゲット・システム・フィールドの文字長を考慮に入れた上で、対応するOracle Identity Governanceフィールドの値を指定する必要があります。たとえば、Oracle Identity Governanceの「ユーザー・ログイン」フィールドに指定する値は、20文字以下になるようにしてください。これは、(Oracle Identity Governanceの「ユーザー・ログイン」フィールドに対応する)ターゲット・システムのsAMAccountName属性は、20文字以下である必要があるためです。
-
ターゲット・システムでは、「マネージャ名」フィールドで受け入れられるのはDN値のみです。そのため、Oracle Identity Governanceで「マネージャ名」フィールドを設定または変更する場合は、DN値を入力する必要があります。
たとえば:
cn=abc,ou=lmn,dc=corp,dc=com -
「マネージャ名」フィールドに指定する値に特殊文字が含まれている場合は、各特殊文字の前に円記号(
\)を付ける必要があります。たとえば、「マネージャ名」フィールドの値として「CN=John Doe #2,OU=sales,DC=example,DC=com」を指定する場合は、その値として次の文字列を指定する必要があります。CN=John Doe \#2,OU=sales,DC=example,DC=com円記号(\)を前に付ける必要がある特殊文字のリストを次に示します。
-
シャープ記号(
#) -
バックスラッシュ(
\) -
プラス記号(
+) -
等号(
=) -
カンマ(
,) -
セミコロン(
;) -
小なり記号(
<) -
大なり記号(
>) -
二重引用符 (
")
-
-
「ホーム・ディレクトリ」フィールドの値を指定する場合、次のガイドラインに従ってください。
-
値の先頭には常にバックスラッシュを2つ(\\)付ける必要があります。
-
値の末尾以外に少なくとも1つのバックスラッシュ(\)を含む必要があります。
正しいサンプル値:
\\SOME_MACHINE\SOME_SHARE\SOME_DIRECTORY\\SOME_MACHINE\SOME_SHARE\SOME_DIRECTORY\SOME_OTHER_DIRECTORY正しくないサンプル値:
\\SOME_MACHINE\SOME_SHARE\\\SOME_MACHINE -
-
Usersコンテナの下のユーザーとグループをプロビジョニングする場合は、次のエントリをLookup.ActiveDirectory.OrganizationalUnits参照定義に含めます。
コード・キー:
IT_RESOURCE_KEY~CN=Users,DC=childtest,DC=test,DC=idm,DC=central,DC=example,DC=comデコード:
IT_RESOURCE_NAME~CN=Users,DC=childtest,DC=test,DC=idm,DC=central,DC=example,DC=comコード・キーおよびデコード値の次の部分を置き換えます。
-
IT_RESOURCE_KEYを、Oracle Identity Governanceで各ITリソースに割り当てられる数値コードに置き換えます。組織単位の参照フィールド同期を実行し、Lookup.ActiveDirectory.OrganizationalUnits参照定義のコード・キー値からITリソース・キーを探すことで、ITリソース・キーの値を判別できます。
-
IT_RESOURCE_NAMEをOracle Identity GovernanceのITリソースの名前に置き換えます。
-
5.2 リコンシリエーションの構成
コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。
この項では、リコンシリエーションの構成に関する次の項目について説明します。
5.2.1 完全リコンシリエーションおよび増分リコンシリエーションの実行
完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。アプリケーションを作成したら、最初に完全リコンシリエーションを実行する必要があります。
さらに、すべてのターゲット・システム・レコードをOracle Identity Governanceでリコンサイルする必要がある場合はいつでも、増分リコンシリエーションから完全リコンシリエーションへ切り替えることができます。
完全リコンシリエーションを実行する場合は、ユーザー・レコードをリコンサイルするためのジョブの次のパラメータの値が存在しない必要があります。
-
Batch Start
-
Filter
-
Latest Token
リコンシリエーション実行の最後で、ユーザー・レコード・リコンシリエーションのジョブのLatest Tokenパラメータが、リコンシリエーションで使用されるドメイン・コントローラのuSNChanged属性の最高値に自動的に設定されます。直後のリコンシリエーション実行からは、Latest Token属性の後に作成または変更されたレコードのみがリコンシリエーションの対象になります。これが、増分リコンシリエーションです。
5.2.2 制限付きリコンシリエーションの実行
これらのトピックは、制限付きリコンシリエーションおよびそれを行う方法を理解するために役立ちます。
5.2.2.1 制限付きリコンシリエーションについて
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。
リコンシリエーションを最初に実行するときは制限付きリコンシリエーションを実行できます。つまり、完全リコンシリエーションのスケジュール済ジョブを構成するときに、フィルタを使用するか検索ベースを指定することにより、制限付きリコンシリエーションを実行できます。
5.2.2.2 フィルタを使用する制限付きリコンシリエーションの実行
リコンシリエーション・モジュールのフィルタを作成して、制限付きリコンシリエーションを実行できます。
このコネクタのFilter属性(スケジュール済タスクの属性)により、任意のMicrosoft Active Directoryリソース属性を使用してターゲット・システム・レコードをフィルタ処理できます。表5-1に、使用可能なフィルタ構文と、対応する説明およびサンプル値を示します。
ノート:
ワイルドカード文字を含むフィルタはサポートされていません。
表5-1 Filter属性のキーワードと構文
| フィルタ構文 | 説明 |
|---|---|
|
文字列フィルタ |
|
|
startsWith('ATTRIBUTE_NAME','PREFIX') |
指定した接頭辞で属性値が開始するレコードがリコンサイルされます。 例: この例では、userPrincipalNameがJohnで開始するすべてのレコードがリコンサイルされます。 |
|
endsWith('ATTRIBUTE_NAME','SUFFIX') |
指定した接尾辞で属性値が終了するレコードがリコンサイルされます。 例: この例では、姓がDoeで終了するすべてのレコードがリコンサイルされます。 |
|
contains('ATTRIBUTE_NAME','STRING') |
指定した文字列が属性値に含まれるレコードがリコンサイルされます。 例: この例では、表示名にSmithが含まれるすべてのレコードがリコンサイルされます。 |
|
containsAllValues('ATTRIBUTE_NAME',['STRING1','STRING2', . . . ,'STRINGn']) |
指定したすべての文字列が指定した属性に含まれるレコードがリコンサイルされます。 例: この例では、objectClassにtopとpersonの両方が含まれるすべてのレコードがリコンサイルされます。 |
|
等価および不等価フィルタ |
|
|
equalTo('ATTRIBUTE_NAME','VALUE') |
この構文に指定した値と属性値が等しいレコードがリコンサイルされます。 例: この例では、sAMAccountNameがSales Organizationであるすべてのレコードがリコンサイルされます。 |
|
greaterThan('ATTRIBUTE_NAME','VALUE') |
この構文に指定した値よりも属性値(文字列または数値)が(辞書順または数値順で)大きいレコードがリコンサイルされます。 例1: この例では、共通名が、bobという共通名よりも辞書順(すなわちアルファベット順)で後になるすべてのレコードがリコンサイルされます。 例2: この例では、従業員番号が1000よりも大きいすべてのレコードがリコンサイルされます。 |
|
greaterThanOrEqualTo('ATTRIBUTE_NAME','VALUE') |
この構文に指定した値に対して、属性値(文字列または数値)が辞書順または数値順で等しいか大きいレコードがリコンサイルされます。 例1: この例では、sAMAccountNameが辞書順でS以上のすべてのレコードがリコンサイルされます。 例2: この例では、従業員番号が1000以上のすべてのレコードがリコンサイルされます。 |
|
lessThan('ATTRIBUTE_NAME','VALUE') |
この構文に指定した値よりも属性値(文字列または数値)が(辞書順または数値順で)小さいレコードがリコンサイルされます。 例1: この例では、姓がSmithという姓よりも辞書順(すなわちアルファベット順)で後になるすべてのレコードがリコンサイルされます。 例2: この例では、従業員番号が1000未満のすべてのレコードがリコンサイルされます。 |
|
lessThanOrEqualTo('ATTRIBUTE_NAME','VALUE') |
この構文に指定した値に対して、属性値(文字列または数値)が辞書順または数値順で等しいか小さいレコードがリコンサイルされます。 例1: この例では、sAMAccountNameが辞書順でA以下のすべてのレコードがリコンサイルされます。 例2: この例では、従業員番号が1000以下のすべてのレコードがリコンサイルされます。 |
|
複合フィルタ |
|
|
<FILTER1> & <FILTER2> |
filter1とfilter2両方の条件を満たすレコードがリコンサイルされます。この構文では、論理演算子& (アンパサンド記号)を使用して両方のフィルタを結合します。 例: この例では、共通名がJohnで開始し姓がDoeで終了するすべてのレコードがリコンサイルされます。 |
|
<FILTER1> | <FILTER2> |
filter1とfilter2の条件のいずれかを満たすレコードがリコンサイルされます。この構文では、論理演算子| (縦棒)を使用して両方のフィルタを結合します。 例: この例では、sAMAccount Name属性にAndyを含むレコードと姓にBrownを含むレコードがすべてリコンサイルされます。 |
|
not(<FILTER>) |
指定のフィルタ条件を満たさないレコードがリコンサイルされます。 例: この例では、共通名Markを含まないすべてのレコードがリコンサイルされます。 |
5.2.3 バッチ・リコンシリエーションの実行
バッチ・リコンシリエーションを実行して、特定の数のレコードをターゲット・システムからOracle Identity Governanceにリコンサイルできます。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。このような問題を避けるため、バッチ・リコンシリエーションを構成できます。
バッチ・リコンシリエーションを構成するには、リコンシリエーション・ジョブの次のパラメータの値を指定します。
-
Batch Size: このパラメータは、各バッチに含めるレコード数を指定するために使用します。
-
Batch Start: このパラメータは、バッチ・リコンシリエーションを開始するレコード番号を指定するために使用します。
-
Number of Batches: このパラメータは、リコンサイルするバッチの合計数を指定するために使用します。このパラメータのデフォルト値は
Allです。バッチ・リコンシリエーションを実装しない場合は、デフォルト値を受け入れます。デフォルト値を受け入れると、Batch Size、Batch Start、Sort ByおよびSort Directionパラメータの値は無視されます。 -
Sort By: このパラメータは、バッチのレコードをソートするターゲット・システム・フィールドの名前を指定するために使用します。
-
Sort Direction: このパラメータは、フェッチするレコードを昇順と降順のどちらでソートするかを指定するために使用します。このパラメータの値は
ascまたはdescです。
バッチ・リコンシリエーションが失敗した場合は、ジョブ・パラメータの値を変更せずにリコンシリエーション・ジョブのみを再実行する必要があります。
バッチ・リコンシリエーションを完了した後に、増分リコンシリエーションを実行するには、Latest Tokenパラメータの値としてhighestCommittedUSN属性の値(「アップグレード前のステップ」のステップ3を参照)を指定します。次のリコンシリエーションからは、リコンシリエーション・エンジンがLatest Tokenパラメータの値を自動的に入力します。
ノート:
ターゲット・システムでの大量のレコードのソートは、バッチ・リコンシリエーションの際に失敗します。このため、拡張設定パラメータのPageSizeパラメータを使用して、ターゲット・システムからレコードをフェッチすることをお薦めします。
5.3 参照フィールド同期のスケジュール済ジョブ
参照フィールド同期用のスケジュール済ジョブでは、ターゲット・システムの特定のフィールドから最新の値がOracle Identity Governanceの参照定義にフェッチされます。これらの参照定義はOracle Identity Governanceの参照フィールドの入力ソースとして使用されます。
次に、参照フィールド同期のスケジュール済ジョブを示します。
ノート:
これらのスケジュール済タスクの構成手順は、このマニュアルで後述します。
-
Active Directory Group Lookup Recon
このスケジュール済タスクは、Oracle Identity Governanceのグループ参照フィールドをターゲット・システムのグループ関連データと同期させるために使用されます。
-
Active Directory Organization Lookup Recon
このスケジュール済タスクは、Oracle Identity Governanceの組織参照フィールドをターゲット・システムの組織関連データと同期させるために使用されます。
表5-2に、この2つのスケジュール済ジョブの属性の説明を示します。
表5-2 参照フィールド同期のスケジュール済タスクの属性
| 属性 | 説明 |
|---|---|
|
Code Key Attribute |
コネクタまたはターゲット・システムの属性の名前。参照定義(Lookup Name属性の値として指定される)のコード・キー列に値を移入するために使用されます。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
ノート: この属性の値を変更しないでください。 |
|
Decode Attribute |
参照定義(Lookup Name属性の値として指定される)のデコード列に値を移入するために使用される、コネクタまたはターゲット・システムの属性の名前を入力します。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
|
Filter |
参照定義に格納されるレコードをフィルタ処理するフィルタを入力します。 Filter属性の詳細は、「制限付きリコンシリエーションの実行」を参照してください。 |
|
IT Resource Name |
レコードをリコンサイルするターゲット・システム・インストールのITリソースの名前を入力します。 サンプル値: |
|
Lookup Name |
ターゲット・システムからフェッチした値を移入するOracle Identity Governanceの参照定義の名前を入力します。 ノート: この属性の値として指定する参照名がOracle Identity Governanceに存在しない場合、スケジュール済ジョブの実行中にその参照定義が作成されます。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
|
Object Type |
この属性は、リコンサイルするオブジェクトのタイプ名を含みます。 デフォルト値は、使用するスケジュール済ジョブに応じて次のとおりです。
|
5.4 グループ・リコンシリエーションの構成と実行
グループ・リコンシリエーションを実行できるシナリオは2つあります。
グループ・リコンシリエーションを実行するシナリオに応じて、次のいずれかの手順を実行します。
-
各ターゲット・システム・グループをそれぞれの組織にリコンサイルするには、個々の組織へのターゲット・システム・グループのリコンサイルを参照してください。
-
各ターゲット・システム・グループを1つの組織にリコンサイルするには、1つの組織へのターゲット・システム・グループのリコンサイルを参照してください。
5.4.1 個々の組織へのターゲット・システム・グループのリコンサイル
Oracle Identity Governanceでグループ(ターゲット・システムのグループ)の名前を付けて組織単位を作成し、この新たに作成した組織単位にグループをリコンサイルします。つまり、各ターゲット・システム・グループをそれぞれの組織にリコンサイルするシナリオを想定します。
このシナリオでグループ・リコンシリエーションを実行するには:
5.5 組織リコンシリエーションの構成と実行
組織リコンシリエーションのスケジュール済ジョブを構成して実行できます。
組織リコンシリエーションのスケジュール済ジョブを実行する手順を次に示します。
ノート:
OIM作成の組織は、Microsoft Active Directoryのディレクトリ・リソースのOUオブジェクトには関連しません。コネクタはMicrosoft Active DirectoryにプロビジョニングできるOIM内のOUオブジェクトの作成をサポートしません。そのかわりに、OUはMicrosoft Active Directoryのディレクトリ・サービスで直接作成できます。
さらに、ベスト・プラクティスとして、すべての新しく作成されたOUとその他のオブジェクトが、信頼できるリソース・リコンシリエーションの実行によってターゲット・システムからOIMへフェッチされるようにします。
5.6 リコンシリエーション・ジョブの構成
ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Governanceにそのデータを複製するリコンシリエーションを実行するリコンシリエーション・ジョブを構成します。
この手順は、ユーザーと権限のリコンシリエーション・ジョブを構成する場合に適用できます。
5.7 プロビジョニング操作の実行
「ユーザーの作成」ページを使用して、Identity Self Serviceに新規ユーザーを作成します。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。
Oracle Identity Governanceでプロビジョニング操作を実行するには:
- Identity Self Serviceにログインします。
- 次のようにユーザーを作成します。
- Identity Self Serviceで、「管理」をクリックします。「ホーム」タブには、異なる「管理」オプションが表示されます。「ユーザー」をクリックします。「ユーザーの管理」ページが表示されます。
- 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ユーザーの作成」ページが表示され、ユーザー・プロファイル属性の入力フィールドが表示されます。
- 「ユーザーの作成」ページに、ユーザーの詳細を入力します。
- 「アカウント」タブで、「アカウントのリクエスト」をクリックします
- 「カタログ」ページで、以前に構成したコネクタのアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。
- アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします
- 「送信」をクリックします。
関連項目:
「ユーザーの作成」ページ内のフィールドの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のユーザーの作成に関する項を参照してください5.8 グループの管理に使用されるコネクタ・オブジェクト
作成、更新、削除などのグループの管理操作を実行するためにコネクタによって使用されるオブジェクトについて学習します。
5.8.1 グループ操作のための事前構成済参照定義
コネクタを使用してアプリケーションを作成したら、グループのための参照定義がOracle Identity Governanceで自動的に作成されます。
5.8.1.1 Lookup.ActiveDirectory.GM.Configuration
Lookup.ActiveDirectory.GM.Configuration参照定義は、グループ・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、グループ管理操作で使用されます。
表5-3に、この参照定義のデフォルト・エントリを示します。
表5-3 Lookup.ActiveDirectory.GM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
|
Provisioning Attribute Map |
Lookup.ActiveDirectory.GM.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.GM.ProvAttrMapを参照してください。 |
|
Provisioning Validation Lookup |
Lookup.ActiveDirectory.GM.ProvValidation |
このエントリは、プロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「グループおよび組織単位のリコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。 |
|
Recon Attribute Defaults |
Lookup.ActiveDirectory.GM.ReconAttrMap.Defaults |
このエントリは、グループ・フォームのフィールドとデフォルト値をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.GM.ReconAttrMap.Defaultsを参照してください。 |
|
Recon Attribute Map |
Lookup.ActiveDirectory.GM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.GM.ReconAttrMapを参照してください。 |
|
Recon Transformation Lookup |
Lookup.ActiveDirectory.GM.ReconTransformation |
このエントリは、ユーザー・リコンシリエーション中にターゲット・システムからフェッチされる属性値の変換を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「グループおよび組織単位のリコンシリエーション中のデータ変換の構成」を参照してください。 |
|
Recon Validation Lookup |
Lookup.ActiveDirectory.GM.ReconValidation |
このエントリは、リコンシリエーション中にターゲット・システムからフェッチされる属性値の検証を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「Lookup.ActiveDirectory.GM.ReconAttrMap.Defaults」を参照してください。 |
5.8.1.2 Lookup.ActiveDirectory.GM.ProvAttrMap
Lookup.ActiveDirectory.GM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、グループ・プロビジョニング操作の際に使用されます。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。
Table 5-4 Lookup.ActiveDirectory.GM.ProvAttrMapのデフォルト・エントリ
| Oracle Identity Governanceのグループ・フィールド(コード・キー) | ターゲット・システム・フィールド(デコード) | 説明 |
|---|---|---|
|
__NAME__ |
__NAME__="CN=${Group_Name},${Organization_Name}" |
完全DNを使用したグループ名 |
|
Display Name |
displayName |
グループの表示名 |
|
Group Name |
sAMAccountName |
Group name |
|
Group Type |
groupType |
グループ・タイプ |
|
組織名[LOOKUP,IGNORE] |
IGNORED |
グループが属する組織の名前 |
|
Unique Id |
__UID__ |
グループのオブジェクトGUID |
5.8.1.3 Lookup.ActiveDirectory.GM.ReconAttrMap
Lookup.ActiveDirectory.GM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、ターゲット・リソース・グループ・リコンシリエーションの実行に使用されます。
表5-5に、リコンシリエーション時にターゲット・システムから値がフェッチされるグループ・フィールドを示します。Active Directory Group Reconスケジュール済ジョブは、グループ・データをリコンサイルするために使用されます。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。
表5-5 Lookup.ActiveDirectory.GM.ReconAttrMapのエントリ
| Oracle Identity Governanceのグループ・フィールド(コード・キー) | Microsoft Active Directoryのフィールド(デコード) | 説明 |
|---|---|---|
|
Display Name |
displayName |
グループの表示名 |
|
Group name |
sAMAccountName |
Group name |
|
Group Type |
groupType |
グループ・タイプ |
|
OIM Org Name |
sAMAccountName |
OIM組織名 この値にはDNが含まれないことに注意してください。 |
|
Organization Name[LOOKUP] |
ad_container |
DN形式を使用した組織名 たとえば、 |
|
Org Name |
sAMAccountName |
DN形式を使用しない組織名 |
|
Org Type |
OIM Organization Type |
組織タイプ |
|
Unique Id |
__UID__ |
グループのオブジェクトGUID |
5.8.1.4 Lookup.ActiveDirectory.GM.ProvValidation
Lookup.ActiveDirectory.GM.ProvValidation参照定義は、グループ・プロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「グループおよび組織単位のリコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
5.8.1.5 Lookup.ActiveDirectory.GM.ReconTransformation
Lookup.ActiveDirectory.GM.ReconTransformation参照定義は、ユーザー・リコンシリエーション中にターゲット・システムからフェッチされる属性値の変換を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「グループおよび組織単位のリコンシリエーション中のデータ変換の構成」を参照してください。
5.8.1.6 Lookup.ActiveDirectory.GM.ReconValidation
Lookup.ActiveDirectory.GM.ReconValidation参照定義は、グループ・リコンシリエーション中にターゲット・システムからフェッチされる属性値の検証を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「グループおよび組織単位のリコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
5.8.1.7 Lookup.ActiveDirectory.GM.ReconAttrMap.Defaults
Lookup.ActiveDirectory.GM.ReconAttrMap.Defaults参照定義は、リコンシリエーション・フィールド(グループ用)とそのデフォルト値のマッピングを含みます。この参照定義が使用されるのは、グループ・フォームに必須フィールドがあるが、グループ・リコンシリエーション中にフェッチできる対応フィールドがターゲット・システムにない場合です。
この参照定義はデフォルトでは空です。この参照定義にエントリを追加する場合、コード・キーとデコードの値を次の形式にする必要があります。
コード・キー: ADグループ・リソース・オブジェクトのリコンシリエーション・フィールドの名前
デコード: 対応するデフォルト値(表示される値)
たとえば、「グループID」という名前のフィールドがグループ・フォームの必須フィールドであるとします。ターゲット・システムには、アカウントのグループIDに関する情報を格納するフィールドがありません。リコンシリエーションの際に、「グループID」フィールドの値はターゲット・システムからフェッチされません。「グループID」フィールドを空にしておくことはできないため、このフィールドの値を指定する必要があります。そのため、コード・キー値がGroup IDに、デコード値がGRP1223に設定されたエントリをこの参照定義に作成します。これにより、グループ・フォームの「グループID」フィールドの値が、ターゲット・システムからリコンサイルされるすべてのアカウントに対して「GRP1223」と表示されることが暗黙に指定されます。
5.8.2 グループの管理のためのリコンシリエーションのスケジュール済ジョブ
アプリケーションを作成すると、リコンシリエーションのスケジュール済ジョブがOracle Identity Governanceに自動的に作成されます。これらのスケジュール済ジョブを、その属性の値を指定して必要に合うように構成する必要があります。
次のスケジュール済ジョブの属性の値を指定する必要があります。
5.8.2.1 Active Directory Group Recon
Active Directory Group Reconスケジュール済ジョブを使用して、ターゲット・システムからグループ・データをリコンサイルします。
表5-6 Active Directory Group Reconスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
|
Filter |
レコードをフィルタリングする式。詳細は、「フィルタを使用する制限付きリコンシリエーションの実行」を参照してください。 デフォルト値: ノート: フィルタを作成するときは、グループに固有の属性を使用してください。 |
|
Incremental Recon Attribute |
直前の更新に関連する数値(減少しない値)を含むターゲット・システム属性の名前を入力します。たとえば、 この属性の値は、ターゲット・システムからリコンサイルされた最新のレコードを判別するために増分リコンシリエーションで使用されます。 デフォルト値: ノート: この属性の値は変更しないでください。 |
|
IT Resource Name |
グループまたは組織データをリコンサイルするターゲット・システム・インストールのITリソースの名前を入力します。 デフォルト値: |
|
Latest Token |
この属性は、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。 サンプル値: ノート: リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性よりも大きいグループまたは組織単位のみがリコンサイルされます。 |
|
Object Type |
リコンサイルされるオブジェクトのタイプ。 デフォルト値: |
|
Organization Name |
ターゲット・システムからフェッチされるすべてのグループがリンクしている組織の名前を入力します。 この属性の使用方法の詳細は、「グループ・リコンシリエーションの構成と実行」を参照してください。 |
|
Organization Type |
Oracle Identity Governanceに作成される組織のタイプ。 デフォルト値: |
|
Resource Object Name |
リコンシリエーションに使用されるリソース・オブジェクトの名前。 デフォルト値: |
|
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 デフォルト値: |
|
Search Base |
リコンシリエーション時にグループ・レコードの検索を実行する必要があるコンテナを入力します。 サンプル値: ノート: この属性の値を指定しないと、ITリソースのContainerパラメータの値として指定された値がこの属性の値として使用されます。 |
|
Search Scope |
リコンサイルされるレコードの検索範囲に、Search Base属性で指定されるコンテナとすべての子コンテナを含める場合は、 レコードの検索範囲をSearch Base属性で指定されたコンテナのみに限定する場合は、 ノート: onelevelと入力する場合は、oneとlevelの間に空白を入れないようにする必要があります。 デフォルト値: |
5.8.2.2 Active Directory Group Delete Recon
Active Directory Group Delete Reconスケジュール済ジョブを使用して、削除されたグループのデータをリコンサイルします。
表5-7 Active Directory Group Delete Reconスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
|
Delete Recon |
削除リコンシリエーションを実行するかどうかを指定します。 デフォルト値: ノート: この属性の値は変更しないでください。 |
|
IT Resource Name |
コネクタがグループ・データのリコンサイルに使用する必要があるITリソース・インスタンスの名前。 デフォルト値: |
|
Object Type |
この属性は、リコンサイルするオブジェクトのタイプを保持します。 デフォルト値: |
|
Resource Object Name |
リコンシリエーションの実行対象となるリソース・オブジェクトの名前を入力します。 デフォルト値: |
|
Scheduled Task Name |
この属性は、スケジュール済タスクの名前を保持します。 デフォルト値: |
|
Sync Token |
削除リコンシリエーションを最初に実行するとき、この属性は空白にしておく必要があります。こうすることで、ターゲット・システムから削除されるすべてのレコードに関するデータが、Oracle Identity Governanceにフェッチされます。 最初の削除リコンシリエーションが実行された後、コネクタによってこの属性の値がXMLシリアル化形式で自動的に入力されます。次のリコンシリエーションからは、直前のリコンシリエーション終了後に削除されたレコードに関するデータのみがOracle Identity Governanceにフェッチされます。 この属性の値は次の形式で格納されます。
この形式での
|
|
Organization Name |
ターゲット・システムからフェッチされる、削除されたすべてのグループのデータがリンクしている組織の名前を入力します。 グループ・リコンシリエーションが実行されるシナリオは2つあります。これらのシナリオについては、「グループ・リコンシリエーションの構成と実行」で説明しています。 シナリオ1でグループ・リコンシリエーションを実行するようにコネクタを構成した場合、この属性の値を指定する必要はありません。このとき、値を指定してもコネクタによって無視されます。 シナリオ2でグループ・リコンシリエーションを実行するようにコネクタを構成した場合、Active Directory Group Reconスケジュール済ジョブのOrganization Name属性に指定したのと同じ組織名を入力します。 |
5.8.3 グループの管理のためのリコンシリエーション・ルールおよびアクション・ルール
リコンシリエーション・エンジンがリコンシリエーション・ルールを使用して、ターゲット・システムで新たに検出されたアカウントにOracle Identity Governanceが割り当てる必要があるアイデンティティを判別します。リコンシリエーション・アクション・ルールでは、コネクタがリコンシリエーション・ルールに基づいて実行する必要があるアクションが定義されます。
5.8.3.1 グループのリコンシリエーション・ルール
グループのプロセス一致ルールを次に示します。
ルール名: AD Group
ルール要素: Organization Name Equals OIM Org Name
このルール要素の意味は次のとおりです。
-
Organization Nameは、OIMユーザー・フォームの「組織名」フィールドです。
-
OIM Org Nameは、Oracle Identity Governanceのグループの名前です。OIM Org Nameは、Active Directory Group Reconスケジュール済ジョブのOrganization Name属性で指定された値です。
5.8.3.2 グループのリコンシリエーション・アクション・ルール
表5-8に、グループのリコンシリエーションのアクション・ルールを示します。
表5-8 リコンシリエーションのアクション・ルール
| ルール条件 | アクション |
|---|---|
|
一致が見つからなかった場合 |
最小ロードの認可者への割当て |
|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
|
1つのプロセス一致が見つかった場合 |
リンクの確立 |
5.8.3.3 リコンシリエーション・ルールの表示
コネクタを使用してアプリケーションを作成した後で、次のステップを実行して、リコンシリエーション・ルールを表示できます。
- AD Groupルールを検索します。図5-1にグループのリコンシリエーション・ルールを示します。
5.8.3.4 リコンシリエーション・アクション・ルールの表示
コネクタを使用してアプリケーションを作成した後で、次のステップを実行して、グループのリコンシリエーション・アクション・ルールを表示できます。
- 「Object Reconciliation」タブ、「Reconciliation Action Rules」タブの順にクリックします。「Reconciliation Action Rules」タブに、コネクタに定義されているアクション・ルールが表示されます。図5-2に、グループのリコンシリエーション・アクション・ルールを示します。
5.9 組織単位の管理に使用されるコネクタ・オブジェクト
作成、更新、削除などの組織単位の管理操作を実行するためにコネクタによって使用されるオブジェクトについて学習します。
5.9.1 組織単位操作のための事前構成済参照定義
コネクタを使用してアプリケーションを作成したら、組織単位のための参照定義がOracle Identity Governanceで自動的に作成されます。
5.9.1.1 Lookup.ActiveDirectory.OM.Configuration
Lookup.ActiveDirectory.OM.Configuration参照定義は、組織単位オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、組織単位管理操作で使用されます。
表5-9に、この参照定義のデフォルト・エントリを示します。
表5-9 Lookup.ActiveDirectory.OM.Configuration参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
|
Provisioning Attribute Map |
Lookup.ActiveDirectory.OM.ProvAttrMap |
このエントリは、プロセス・フォーム・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.OM.ProvAttrMapを参照してください。 |
|
Provisioning Validation Lookup |
Lookup.ActiveDirectory.OM.ProvValidation |
このエントリは、プロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「Lookup.ActiveDirectory.GM.ReconAttrMap.Defaults」を参照してください。 |
|
Recon Attribute Defaults |
Lookup.ActiveDirectory.OM.ReconAttrMap.Defaults |
このエントリは、組織単位フォームのフィールドとデフォルト値をマッピングする参照定義の名前を含みます。 この参照定義の詳細は、Lookup.ActiveDirectory.OM.ReconAttrMap.Defaultsを参照してください。 |
|
Recon Attribute Map |
Lookup.ActiveDirectory.OM.ReconAttrMap |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.OM.ReconAttrMapを参照してください。 |
|
Recon Transformation Lookup |
Lookup.ActiveDirectory.OM.ReconTransformation |
このエントリは、ユーザー・リコンシリエーション中にターゲット・システムからフェッチされる属性値の変換を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「Lookup.ActiveDirectory.GM.ReconAttrMap.Defaults」を参照してください。 |
|
Recon Validation Lookup |
Lookup.ActiveDirectory.OM.ReconValidation |
このエントリは、リコンシリエーション中にターゲット・システムからフェッチされる属性値の検証を構成するために使用される参照定義の名前を含みます。この参照定義にエントリを追加する方法の詳細は、「Lookup.ActiveDirectory.GM.ReconAttrMap.Defaults」を参照してください。 |
5.9.1.2 Lookup.ActiveDirectory.OM.Configuration.Trusted
Lookup.ActiveDirectory.OM.Configuration.Trusted参照定義は、組織単位オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、組織単位のための信頼できるソースのリコンシリエーション実行で使用されます。
表5-10に、この参照定義のデフォルト・エントリを示します。
表5-10 Lookup.ActiveDirectory.OM.Configuration.Trusted参照定義のエントリ
| コード・キー | デコード | 説明 |
|---|---|---|
|
Recon Attribute Defaults |
Lookup.ActiveDirectory.OM.ReconAttrMap.Defaults |
このエントリは、組織単位フォームのフィールドとデフォルト値をマッピングする参照定義の名前を含みます。 この参照定義の詳細は、Lookup.ActiveDirectory.OM.ReconAttrMap.Defaultsを参照してください。 |
|
Recon Attribute Map |
Lookup.ActiveDirectory.OM.ReconAttrMap.Trusted |
このエントリは、リソース・オブジェクト・フィールドとターゲット・システム属性をマッピングする参照定義の名前を含みます。この参照定義の詳細は、Lookup.ActiveDirectory.OM.ReconAttrMap.Trustedを参照してください。 |
5.9.1.3 Lookup.ActiveDirectory.OM.ProvAttrMap
Lookup.ActiveDirectory.OM.ProvAttrMap参照定義は、プロセス・フォーム・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、プロビジョニングの際に使用されます。
プロビジョニングのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。
表5-11 Lookup.ActiveDirectory.OM.ProvAttrMapのエントリ
| Oracle Identity Governanceの組織単位フィールド(コード・キー) | ターゲット・システム・フィールド(デコード) | 説明 |
|---|---|---|
|
__NAME__ |
__NAME__="OU=$(Display_Name),$(Container) |
完全DNを使用した組織単位名 |
|
Container[LOOKUP,IGNORE] |
IGNORED |
DN形式を使用した組織名。たとえば、 |
|
Display Name[IGNORE] |
IGNORED |
組織単位の表示名 |
|
Unique Id |
__UID__ |
組織単位のオブジェクトGUID |
5.9.1.4 Lookup.ActiveDirectory.OM.ReconAttrMap
Lookup.ActiveDirectory.OM.ReconAttrMap参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、組織単位のターゲット・リソース・リコンシリエーションの実行に使用されます。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。
表5-12 Lookup.ActiveDIrectory.OM.ReconAttrMapのデフォルト・エントリ
| Oracle Identity Governanceの組織フィールド(コード・キー) | Microsoft Active Directoryのフィールド(デコード) | 説明 |
|---|---|---|
|
Container[LOOKUP] |
ad_container |
DN形式を使用した組織名。たとえば、 |
|
Display Name |
ou |
組織単位の表示名 |
|
Unique Id |
__UID__ |
組織単位のオブジェクトGUID |
5.9.1.5 Lookup.ActiveDirectory.OM.ProvValidation
Lookup.ActiveDirectory.OM.ProvValidation参照定義は、組織単位のプロビジョニング操作中にプロセス・フォームに入力された属性値の検証を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「グループおよび組織単位のリコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
5.9.1.6 Lookup.ActiveDirectory.OM.ReconTransformation
Lookup.ActiveDirectory.OM.ReconTransformation参照定義は、組織単位のリコンシリエーション中にターゲット・システムからフェッチされる属性値の変換を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「グループおよび組織単位のリコンシリエーション中のデータ変換の構成」を参照してください。
5.9.1.7 Lookup.ActiveDirectory.OM.ReconValidation
Lookup.ActiveDirectory.OM.ReconValidation参照定義は、リコンシリエーション中にターゲット・システムからフェッチされる属性値の検証を構成するために使用されます。この参照定義にエントリを追加する方法の詳細は、「グループおよび組織単位のリコンシリエーションおよびプロビジョニング中のデータ検証の構成」を参照してください。
5.9.1.8 Lookup.ActiveDirectory.OM.ReconAttrMap.Trusted
Lookup.ActiveDirectory.OM.ReconAttrMap.Trusted参照定義は、リソース・オブジェクト・フィールドとターゲット・システム属性のマッピングを含みます。この参照定義は事前に構成されており、組織単位のための信頼できるソースのリコンシリエーション実行で使用されます。表5-13にデフォルト・エントリを示します。
リコンシリエーションのために新しいターゲット・システム属性をマッピングする場合には、この参照定義にエントリを追加できます。
表5-13 Lookup.ActiveDirectory.OM.ReconAttrMap.Trusted参照定義のデフォルト・エントリ
| OIMユーザー・フォームのフィールド(コード・キー) | ターゲット・システム・フィールド(デコード) |
|---|---|
|
Org Name |
ou |
5.9.1.9 Lookup.ActiveDirectory.OM.ReconAttrMap.Defaults
Lookup.ActiveDirectory.OM.ReconAttrMap.Defaults参照定義は、組織単位フォームのフィールドとデフォルト値のマッピングを含みます。この参照定義が使用されるのは、組織単位フォームに必須フィールドがあるが、組織単位のリコンシリエーション中にフェッチできる対応フィールドがターゲット・システムにない場合です。
この参照定義はデフォルトでは空です。この参照定義にエントリを追加する場合、コード・キーとデコードの値を次の形式にする必要があります。
コード・キー: AD組織単位リソース・オブジェクトのリコンシリエーション・フィールドの名前
デコード: 対応するデフォルト値(表示される値)
たとえば、「組織ID」という名前のフィールドが組織単位フォームの必須フィールドであるとします。ターゲット・システムには、アカウントの組織IDに関する情報を格納するフィールドがありません。リコンシリエーションの際に、「組織ID」フィールドの値はターゲット・システムからフェッチされません。「組織ID」フィールドを空にしておくことはできないため、このフィールドの値を指定する必要があります。そのため、コード・キー値がOrganization IDに、デコード値がORG1332に設定されたエントリをこの参照定義に作成します。これにより、組織単位フォームの「組織ID」フィールドの値が、ターゲット・システムからリコンサイルされるすべてのアカウントに対して「ORG1332」と表示されることが暗黙に指定されます。
5.9.2 組織単位の管理のためのリコンシリエーションのスケジュール済ジョブ
Active Directory Organization Reconスケジュール済ジョブを使用して、ターゲット・システムから組織単位データをリコンサイルします。このスケジュール済ジョブは、アプリケーションの作成後にOracle Identity Governanceで自動的に作成されます。このスケジュール済ジョブの属性値を指定して、要件にあわせて構成する必要があります。
表5-14 Active Directory Organization Reconスケジュール済ジョブの属性
| 属性 | 説明 |
|---|---|
|
Filter |
レコードをフィルタリングする式。詳細は、「フィルタを使用する制限付きリコンシリエーションの実行」を参照してください。 デフォルト値: ノート: フィルタを作成するときは、組織単位に固有の属性を使用してください。 |
|
Incremental Recon Attribute |
直前の更新に関連する数値(減少しない値)を含むターゲット・システム属性の名前を入力します。たとえば、 この属性の値は、ターゲット・システムからリコンサイルされた最新のレコードを判別するために増分リコンシリエーションで使用されます。 デフォルト値: ノート: この属性の値は変更しないでください。 |
|
IT Resource Name |
組織データをリコンサイルするターゲット・システム・インストールのITリソースの名前を入力します。 デフォルト値: |
|
Latest Token |
この属性は、リコンシリエーションに使用されるドメイン・コントローラのuSNChanged属性の値を含みます。 サンプル値: ノート: リコンシリエーション・エンジンにより、値はこの属性に自動的に入力されます。この属性の値は変更しないことをお薦めします。この属性の値を手動で指定した場合、uSNChanged値がLatest Token属性よりも大きいグループまたは組織単位のみがリコンサイルされます。 |
|
Object Type |
リコンサイルされるオブジェクトのタイプ。 デフォルト値: |
|
Resource Object Name |
リコンシリエーションに使用されるリソース・オブジェクトの名前。 デフォルト値: |
|
Scheduled Task Name |
リコンシリエーションに使用されるスケジュール済タスクの名前。 デフォルト値: |
|
Search Base |
リコンシリエーション時に組織レコードの検索を実行する必要があるコンテナを入力します。 サンプル値: ノート: この属性の値を指定しないと、ITリソースのContainerパラメータの値として指定された値がこの属性の値として使用されます。 |
|
Search Scope |
リコンサイルされるレコードの検索範囲に、Search Base属性で指定されるコンテナとすべての子コンテナを含める場合は、 レコードの検索範囲をSearch Base属性で指定されたコンテナのみに限定する場合は、 ノート: onelevelと入力する場合は、oneとlevelの間に空白を入れないようにする必要があります。 デフォルト値: |
5.9.3 組織単位の管理のためのリコンシリエーション・ルールおよびアクション・ルール
リコンシリエーション・エンジンがリコンシリエーション・ルールを使用して、ターゲット・システムで新たに検出されたアカウントにOracle Identity Governanceが割り当てる必要があるアイデンティティを判別します。リコンシリエーション・アクション・ルールでは、コネクタがリコンシリエーション・ルールに基づいて実行する必要があるアクションが定義されます。
5.9.3.1 組織単位のリコンシリエーション・ルール
組織単位のプロセス一致ルールを次に示します。
ルール名: AD Organizational Unit
ルール要素: Organization Name Equals Display Name
このルール要素の意味は次のとおりです。
-
Organization Nameは、OIMユーザー・フォームの「組織名」フィールドです。
-
Display Nameは、Oracle Identity Governanceの組織単位の名前です。
5.9.3.2 組織単位のリコンシリエーション・アクション・ルール
表5-15に、グループのリコンシリエーションのアクション・ルールを示します。
表5-15 リコンシリエーションのアクション・ルール
| ルール条件 | アクション |
|---|---|
|
一致が見つからなかった場合 |
最小ロードの認可者への割当て |
|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
|
1つのプロセス一致が見つかった場合 |
リンクの確立 |
5.9.3.3 リコンシリエーション・ルールの表示
コネクタを使用してアプリケーションを作成した後で、次のステップを実行して、リコンシリエーション・ルールを表示できます。
- AD Organizational Unit Recon Ruleルールを検索します。図5-4に組織単位のリコンシリエーション・ルールを示します。
5.9.3.4 リコンシリエーション・アクション・ルールの表示
コネクタを使用してアプリケーションを作成した後で、次のステップを実行して、グループのリコンシリエーション・アクション・ルールを表示できます。
- 「Object Reconciliation」タブ、「Reconciliation Action Rules」タブの順にクリックします。リコンシリエーション・アクション・ルール・タブに、このコネクタに定義されているアクション・ルールが表示されます。組織単位のリコンシリエーション・アクション・ルールを示します。図5-4に組織単位のリコンシリエーション・アクション・ルールを示します。
5.10 コネクタのアンインストール
コネクタのアンインストールでは、そのリソース・オブジェクトに関連付けられているすべてのアカウント関連データを削除します。
なんらかの理由でコネクタをアンインストールする場合は、コネクタのアンインストール・ユーティリティを実行します。このユーティリティを実行する前に、必ずConnectorUninstall.propertiesファイルでObjectTypeとObjectValuesのプロパティに値を設定します。たとえば、リソース・オブジェクト、スケジュール済タスク、およびコネクタに関連付けられたスケジュール済ジョブを削除する場合は、ObjectTypeプロパティの値として"ResourceObject", "ScheduleTask", "ScheduleJob"と、ObjectValuesプロパティの値としてコネクタに対応するオブジェクト値のセミコロン区切りリスト(たとえば、ActiveDirectory User; ActiveDirectory Group)を入力します。
ノート:
ObjectTypeとObjectValueのプロパティとともに、ConnectorNameとReleaseのプロパティに値を設定している場合、ObjectValuesプロパティでリストされたオブジェクトの削除はユーティリティによって実行され、コネクタ情報はスキップされます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタのアンインストールに関する項を参照してください。