コネクタを使用したアプリケーションの作成

2 コネクタを使用したアプリケーションの作成

コネクタと、実行のための前提条件を使用したアプリケーションのオンボードについて学習します

トピック

2.1 コネクタを使用したアプリケーション作成のプロセス・フロー

Oracle Identity Governanceリリース12.2.1.3.0以降、コネクタのデプロイは、Identity Self Serviceのアプリケーション・オンボード機能を使用して処理されます。

図2-1は、コネクタ・インストール・パッケージを使用してOracle Identity Governanceでアプリケーションを作成するステップの概要を示すフローチャートです。

図2-1 コネクタを使用したアプリケーション作成プロセスの全体フロー

「図2-1 コネクタを使用してアプリケーションを作成するプロセスの全体的なフロー」の説明

2.2 コネクタのインストール・パッケージのダウンロード

Oracle Technology Network (OTN)のWebサイトで、ご使用のコネクタに適したインストール・パッケージを入手できます。

コネクタ・インストール・パッケージをダウンロードするには:

OTNのWebサイト(http://www.oracle.com/technetwork/middleware/id-mgmt/downloads/connectors-101674.html)に移動します。
「OTNライセンス契約」をクリックしてライセンス契約を読みます。
「Accept License Agreement」オプションを選択します。
インストール・パッケージをダウンロードする前に、ライセンス契約に同意する必要があります。
Oracle Identity Governanceをホストしているコンピュータにインストール・パッケージをダウンロードして、任意のディレクトリに保存します。
インストール・パッケージの内容を、Oracle Identity Governanceをホストしているコンピュータ上の任意のディレクトリに抽出します。これにより、CONNECTOR_NAME-RELEASE_NUMBERという名前のディレクトリが作成されます。
CONNECTOR_NAME-RELEASE_NUMBERディレクトリをOIG_HOME/server/ConnectorDefaultDirectoryディレクトリにコピーします。

2.3 サードパーティJarライブラリのコピー

コネクタ・パッケージに同梱されているS4HANA-12.2.1.3.0 /lib フォルダのサードパーティjarを使用するか、最新の安定したセキュアなバージョンをダウンロードできます。次の手順に従って、サードパーティjarを含めてください:

Oracle Identity Governanceをホストしているコンピュータに、S4HANAアプリケーション・コネクタ用のサードパーティ・ライブラリjarをコピーします。

次のディレクトリにS4HANAアプリケーション・コネクタ用のS4HANA-12.2.1.3.0というディレクトリを作成します:

OIM_HOME/server/ConnectorDefaultDirectory/targetsystems-lib/

インストール・メディアから、SAP S/4HANA Cloudサードパーティ・ライブラリ<S4HANA-12.2.1.3.0\lib>を、前述の新しく作成したディレクトリにコピーします。

このディレクトリ内のファイルは他のコネクタと共有されず、共有ライブラリ間でバージョンの競合が起こりません。

コネクタ・サーバーを使用している場合は、インストール・メディアからSAP S/4HANA Cloudサードパーティ・ライブラリ<S4HANA-12.2.1.3.0\lib>をCONNECTOR_SERVER_HOME/libディレクトリにコピーします

表2-1 サードパーティjar

Jar名	タイプ
commons-codec-1.15.jar	これらのファイルは、S4HANAターゲット用のサードパーティおよびフォースパーティに依存するJARです。
commons-logging-1.2-1b97e70.jar
httpclient5-5.1.3.jar
httpcore5-5.1.3.jar
jackson-annotations-2.13.3.jar
jackson-core-2.13.3.jar
jackson-databind-2.13.3.jar
slf4j-api-2.0.0.jar

2.4 SAP S/4HANA Cloudコネクタを使用したアプリケーションの作成

アプリケーションをコネクタ・パッケージからOracle Identity Governanceにオンボードするには、ターゲット・アプリケーションを作成します。これを行うには、Identity Self Serviceにログインして、「管理」タブで「アプリケーション」ボックスを選択する必要があります。

注意:

この手順のステップの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項を参照してください。

Identity Self Serviceでアプリケーションを作成します。高度なステップは次のとおりです。
1. システム管理アカウントまたはApplicationInstanceAdministrator管理ロールを持つアカウントを使用して、Identity Self Serviceにログインします。
2. アプリケーションの作成時に「コネクタ・パッケージ」オプションが選択されている状態にします。
3. 接続関連情報が含まれるように、基本構成パラメータを更新します。
4. 必要に応じて拡張設定パラメータを更新し、コネクタ操作に関連する構成を更新します。
5. デフォルトのユーザー・アカウントの属性マッピングを確認します。必要に応じて、新しい属性を追加したり、既存の属性を編集または削除できます。
6. アプリケーションのプロビジョニング、リコンシリエーション、組織およびカタログの設定を確認し、必要に応じてカスタマイズします。たとえば、必要に応じてアプリケーションのデフォルトの相関ルールをカスタマイズできます。
7. アプリケーションの詳細を確認し、「終了」をクリックしてアプリケーションの詳細を発行します。
  アプリケーションが、Oracle Identity Governanceで作成されます。
8. デフォルトのリクエスト・フォームを作成するかどうかの確認を求められたら、「はい」または「いいえ」をクリックします。
  「はい」をクリックすると、デフォルトのフォームが自動的に作成されて、新しく作成されたアプリケーションにアタッチされます。デフォルト・フォームは、アプリケーションと同じ名前で作成されます。デフォルト・フォームは、後から変更できません。そのため、これをカスタマイズする場合は、「いいえ」をクリックして、手動で新しいフォームを作成してアプリケーションにアタッチします。
新しく作成されたアプリケーションで、リコンシリエーション操作およびプロビジョニング操作を確認します。

2.5 SAP S/4HANA Cloudターゲット用のターゲット・システム・ユーザー・アカウントの作成

次の各トピックでは、SAP S/4HANA Cloudターゲットのターゲット・システム・ユーザー・アカウントを作成する手順を説明します:

2.5.1 通信ユーザーの作成

管理者資格証明を使用してSAP S/4HANA Cloudにログインします。
「Communication Management」で、「Maintain Communication Users」をクリックします。
「New」をクリックして、新しい通信ユーザーを作成します。
「Create Communication User」ページが表示されます。
ユーザー名、説明およびパスワードを入力します。
「Propose Password」をクリックして、システム生成のパスワードを取得します。

注意:
通信ユーザーのユーザー名とパスワードをノートにとります。
「Create」をクリックします。

2.5.2 通信システムの作成

次のステップを実行して、通信システムを作成し、通信ユーザーをその通信システムに割り当てます。

管理者資格証明を使用してSAP S/4HANA Cloudアプリケーションにログインします。
「Communication Management」で、「Communication Systems」をクリックします。
「New」をクリックして、新しい通信システムを作成します。
「System ID」と「System Name」を入力し、「Create」をクリックします。
「Technical Data」で、SAP S/4HANA Cloudテナントのホスト名を次の形式で入力します: <tenant ID>.s4hana.ondemand.com
「User for Inbound Communication」タブをクリックし、追加(+)アイコンをクリックします。
作成した通信ユーザーを割り当て、認証方式として「User ID」および「Password」を選択します。
「Save」をクリックします。

2.5.3 通信契約の作成

管理者資格証明を使用してSAP S/4HANA Cloudにログインします。
「Communication Management」で、「Communication Arrangements」をクリックします。
「New」をクリックして、新しい通信契約を作成します。
通信シナリオ「SAP_COM_0193」を選択して契約名を入力し、「Create」をクリックします。
リストで「Communication Arrangement」を選択します。
インバウンド通信ユーザーが自動的に割り当てられます。
「Inbound Services」の下に、SOAPサービスをコールするエンドポイントURLが次の書式で示されています:
- https://<S4HANA tenant ID>-api.s4hana.ondemand.com/sap/bc/srt/scs_ext/sap/managebusinessuserin
- https://<S4HANA tenant ID>-api.s4hana.ondemand.com/sap/bc/srt/scs_ext/sap/querybusinessuserin
- https://<S4HANA tenant ID>-api.s4hana.ondemand.com/sap/bc/srt/scs_ext/sap/querybusinessusermetadatain
「Save」をクリックします。
保存後は、この契約からWSDLをダウンロードできます。

すべてのコネクタ操作を実行するために、Oracle Identity Governanceで同じSAP S/4HANAユーザーを通信ユーザーとして使用できます。

2.6 SAP Identity Authentication Service (IAS)のシステム・アカウントの作成

このアカウントは、SAP IASに接続してユーザーの存在を確認するために使用されます。ユーザーをS4/HANA Cloudにプロビジョニングし、ユーザー資格証明を管理するには、ユーザーIDがここに存在する必要があります。詳細は、SAP Help Portalの「SAP Cloud Identity Services - Identity Authentication」の「Add System as Administrator」を参照してください。

個人を新しいテナント管理者として追加するには、次の手順を実行します:

コンソールのURLを使用して、Identity Authenticationのテナントの管理コンソールにアクセスします。
「Administrators」タイルを選択します。

注意:
URLのパターンは次のとおりです:
https://<テナントID>.accounts.ondemand.com/admin

テナントIDは、システムによって自動的に生成されたIDです。テナントに対して最初に作成された管理者が、URLが示されたアクティブ化電子メールを受信します。このURLにテナントIDが記載されています。詳細は、SAP Help Portalの「SAP Cloud Identity Services - Identity Authentication」の「Viewing Assigned Tenants and Administrators」を参照してください。

カスタム・ドメインを構成した場合、URLパターンは<カスタム・ドメイン>/adminとなります。

この操作を実行すると、すべての管理者のリストがアルファベット順に開きます。

注意:
このリストにはSAP BTPシステムも含まれており、デフォルトではこれがIdentity Authenticationとの信頼を設定する権限を持っています。
左側のパネルの「+Add」ボタンを押して、リストに新しい管理者を追加します。
「Add User」を選択します。
管理者として追加するユーザーの「Email」、「First Name」および「Last Name」フィールドに適切な値を入力します。
「E-mail」はテナントで一意である必要があります。

システムにすでに存在するユーザーの場合、「First Name」および「Last Name」フィールドは自動的に入力されます。

注意:
管理者が作成されると、「Email」、「First Name」および「Last Name」フィールドは管理者セクションからは編集できなくなります。情報を変更する場合は、「User Management」セクションに移動する必要があります。詳細は、SAP Help Portalの「SAP Cloud Identity Services - Identity Authentication」の「List and Edit User Details」を参照してください。

ユーザーに必要な管理者ロールを割り当てます。テナント管理者になるには、ユーザーに次のうち少なくとも1つのロールが割り当てられている必要があります。

表2-2 管理者ロール

権限	説明
Manage Applications	このロールは、管理コンソールを使用してアプリケーションを構成する権限をテナント管理者に付与します。
Manage Corporate Identity Providers	このロールは、管理コンソールを使用してアイデンティティ・プロバイダを構成する権限をテナント管理者に付与します。
Manage Users	このロールは、管理コンソールを使用してユーザーを管理、インポートおよびエクスポートする権限をテナント管理者に付与します。
Read Users	このロールは、管理コンソールおよびIdentity AuthenticationのSCIM REST APIを使用してユーザー・データの取得およびユーザーのインポートを実行する権限をテナント管理者に付与します。
Manage Groups	このロールは、管理コンソールを使用してユーザー・グループを作成、編集および削除する権限をテナント管理者に付与します。
Manage Tenant Configuration	このロールは、テナント構成およびユーザーへの権限割当てを管理する権限をテナント管理者に付与します。このロールを持つテナント管理者は、自分自身または他の管理者にロールを追加できます。

注意:

デフォルトでは、すべての管理者ロールが割り当てられます。

システムの使用時に認証の方式を構成します。
- Set Password
  注意:
  Identity Authenticationを使用するときは、基本認証のパスワードを設定する必要があります。クライアントIDは、Universally Unique Identifier (UUID)形式で自動的に生成されます。たとえば、1ab7c243-5de5-4530-8g14-1234h26373abです。パスワードは次の条件を満たしている必要があります:
  - 長さが8文字以上。
  - 次のうち少なくとも3つのグループからの文字:
    - ラテン文字の小文字(a-z)
    - ラテン文字の大文字(A-Z)
    - 10進法の数字(0-9)
    - アルファベット以外の文字(!@#$...)
  - スペースや、%、+、\、!、#、$、&、‘、(、)、*、,、;、<、>、^、`、{、|および}の文字を含めることはできません。
  - 正しくない値で5回試行に失敗すると、パスワードは60分間ロックされます。
変更を保存します。

2.7 アプリケーション・ポスト構成

アプリケーションの構成をポストします。これはビジネス・ロールをOIGに追加するために必須です。

注意:

このステップは、S4HANA-12.2.1.3.0A以降のバージョンを使用している場合には利用できません。

ターゲット・エクスポートでビジネス・ロールを追加するには、次のステップに従います:

S/4 HANA Cloudテナントにログインします。
「Maintain Business Roles」を検索します。
「Business Role ID」を選択します。
「Download Business Roles」をクリックします。

OIGで、Lookup.S4HANA.Rolesのデータを追加します。次の手順を実行します:

sysadminとしてOIG Identity System Administrationコンソールにログインします。
「システム構成」→「参照」にナビゲートします
「Lookup.S4HANA.Roles」を検索します。
「アクション」をクリックします。
「編集」を選択します。

次の例に示すように、エントリを追加します。

表2-3 サンプル・データ表

コード	デコード/意味
`5~BR_GRANT_RESPONSIBLE`	S4HANA1~権限担当者
`5~BR_GRANT_SPECIALIST`	S4HANA1~権限スペシャリスト

注意:

コード<ITリソース・キー>~<ビジネス・ロールID>デコード/意味: <アプリケーション名>~<ビジネス・ロールの説明>。
ITリソース・キーは、svr tableおよびsvr_key column dataを使用して提供されます。
前述のステップは、すべてのS4HANA OIGアプリケーションに適用されます。スケジュール済ジョブの権限リストも実行する必要があります。