3 SAP User Management Engineコネクタの構成
ターゲット・アプリケーションの作成中に、Oracle Identity Governanceとターゲット・システムの接続で使用される、接続関連のパラメータを構成し、コネクタ操作を実行する必要があります。また、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システムの列の属性マッピング、事前定義済相関ルール、状況とレスポンスおよびリコンシリエーション・ジョブを表示して編集できます。
3.1 基本構成パラメータ
ここでは、ターゲット・アプリケーションへの接続にOracle Identity Governanceで必要となる接続関連のパラメータについて説明します。
表3-1 SAP UMEコネクタ(SoD)の「基本構成」セクションのパラメータ
パラメータ | 必須かどうか | 説明 |
---|---|---|
コネクタ・サーバー名 | × | 「コネクタ・サーバー」タイプのITリソースを作成した場合、その名前を入力します。
ノート: このパラメータの値を入力するのは、SAP UMEコネクタをコネクタ・サーバーにデプロイした場合のみです。 |
changePwdFlag | 〇 | Oracle Identity Governanceで作成したアカウントの場合、基本構成パラメータのchangePwdFlagおよびdummyPasswordパラメータを使用してパスワード管理を構成できます。
デフォルト値: このパラメータの詳細は、「新たに作成したアカウントのパスワード変更の構成」を参照してください。 |
dummyPassword | 〇 | ユーザー作成プロビジョニング操作時にコネクタで使用するダミー・パスワードを入力します。コネクタはまずパスワードをこの値に設定してから、プロセス・フォームで指定されたパスワードに変更します。 |
enableDate | 〇 | 日付をYYYY-MM-DD書式で入力し、終了日はデフォルト値としてユーザーを有効化します。
デフォルト値: |
logSPMLRequst | × | ターゲット・システムに送信されるSPMLリクエストをログ・ファイルに書き込む場合は、yes を入力します。それ以外の場合は、no を入力します
|
logonNameInitialSubstring | 〇 | 英語の完全リコンシリエーションをサポートする、一連の文字を入力します。他の言語の場合は、その言語のすべての文字を入力します。
サンプル値: |
pwdHandlingSupport | 〇 | SAP User Management EngineがLDAPベース・データソースで書込み可能モードで構成されている場合、パスワード管理には、SAP User Management EngineとLDAPベース・データソース間のSSL構成が必須です。このシナリオで、SAP User Management EngineとLDAPベース・データソース間にSSLが構成されておらず、SAP User Management Engineからパスワードを管理する必要がない場合は、このパラメータの値をnoに設定します。それ以外の場合は、このパラメータの値をyesに設定します。
デフォルト値: yes |
TopologyName | × | ターゲット・システムのホスト・コンピュータのトポロジ名 |
umePassword | 〇 | コネクタ操作に作成する、ターゲット・システムのユーザー・アカウントのパスワードを入力します。
詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。 |
umeUrl | 〇 |
サンプル値: |
umeUserId | 〇 | コネクタ操作に作成する、ターゲット・システムのユーザー・アカウントのユーザーIDを入力します。
詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。 |
表3-2 SAP AC UMEコネクタの「基本構成」セクションのパラメータ
パラメータ | 必須かどうか | 説明 |
---|---|---|
コネクタ・サーバー名 | × | 「コネクタ・サーバー」タイプのITリソースを作成した場合、その名前を入力します。
ノート: このパラメータの値を入力するのは、SAP UMEコネクタをコネクタ・サーバーにデプロイした場合のみです。 |
changePwdFlag | 〇 | Oracle Identity Governanceで作成したアカウントの場合、基本構成パラメータのchangePwdFlagおよびdummyPasswordパラメータを使用してパスワード管理を構成できます。
デフォルト値: このパラメータの詳細は、「新たに作成したアカウントのパスワード変更の構成」を参照してください。 |
dummyPassword | 〇 | ユーザー作成プロビジョニング操作時にコネクタで使用するダミー・パスワードを入力します。コネクタはまずパスワードをこの値に設定してから、プロセス・フォームで指定されたパスワードに変更します。 |
enableDate | 〇 | 日付をYYYY-MM-DD書式で入力し、終了日はデフォルト値としてユーザーを有効化します。
デフォルト値: |
logSPMLRequst | × | ターゲット・システムに送信されるSPMLリクエストをログ・ファイルに書き込む場合は、yes を入力します。それ以外の場合は、no を入力します
|
logonNameInitialSubstring | 〇 | 英語の完全リコンシリエーションをサポートする、一連の文字を入力します。他の言語の場合は、その言語のすべての文字を入力します。
サンプル値: |
pwdHandlingSupport | 〇 | SAP User Management EngineがLDAPベース・データソースで書込み可能モードで構成されている場合、パスワード管理には、SAP User Management EngineとLDAPベース・データソース間のSSL構成が必須です。このシナリオで、SAP User Management EngineとLDAPベース・データソース間にSSLが構成されておらず、SAP User Management Engineからパスワードを管理する必要がない場合は、このパラメータの値をnoに設定します。それ以外の場合は、このパラメータの値をyesに設定します。
デフォルト値: yes |
TopologyName | × | ターゲット・システムのホスト・コンピュータのトポロジ名 |
umePassword | 〇 | コネクタ操作に作成する、ターゲット・システムのユーザー・アカウントのパスワードを入力します。
詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。 |
umeUrl | 〇 |
サンプル値: |
umeUserId | 〇 | コネクタ操作に作成する、ターゲット・システムのユーザー・アカウントのユーザーIDを入力します。
詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。 |
grcLanguage |
〇 |
このパラメータは、SAP GRCシステムにリクエストを送信する際の言語を定義します。 値: ノート: このパラメータはSAP AC UMEコネクタのみに適用されます。 |
grcPassword |
〇 |
このパラメータはSAP GRCシステムにアクセスするためのパスワードを保持します。 ノート: このパラメータはSAP AC UMEコネクタのみに適用されます。 |
grcUsername |
〇 |
このパラメータはSAP GRCシステムにアクセスするためのユーザー名を保持します。 ノート: このパラメータはSAP AC UMEコネクタのみに適用されます。 |
3.2 拡張設定パラメータ
これらは、リコンシリエーション操作およびプロビジョニング操作の際にコネクタで使用される構成関連のエントリです。
表3-3 SAP UMEコネクタ(SoD)の拡張設定パラメータ
パラメータ | 必須かどうか | 説明 |
---|---|---|
バンドル名 | × | このパラメータには、コネクタ・バンドル・パッケージの名前が保持されます。
デフォルト値: |
バンドルのバージョン | × | このパッケージには、コネクタ・バンドル・クラスのバージョンが保持されます。このパラメータは変更しないでください 。
デフォルト値: |
コネクタ名 | × | このパラメータには、コネクタ・クラスの名前が保持されます。このパラメータは変更しないでください 。
デフォルト値: |
ConnectorImplType | × |
SAP UMEロールのSODを有効にするには、値 |
グループ属性名 | × | このパラメータには、SILで使用されるロール職務タイプの名前が保持されます。
デフォルト値: |
グループ・フォーム名 | 〇 | この値は、SIL Layerのグループの子フォーム名を取得するために使用されます。この値は変更しないでください。
デフォルト値: |
ロール属性名 | × | SILで使用されるロール職務の名前
デフォルト値: |
ロール・フォーム名 | 〇 | この値は、SIL Layerからロールの子フォーム名を取得するために使用されます。この値は変更しないでください。
デフォルト値: |
RoleAttributeLabel | × | 子フォームのロールIDフィールドのラベル名
デフォルト値: |
entitlementRiskAnalysisAccessURL |
× |
このパラメータには、Entitlement Risk Analysis WebサービスのWSDL URLが保持されます。 デフォルト値: ノート: このパラメータは、SoDを含むSAP UMEのみに適用されます |
wsdlFilePath |
× |
次のファイルを含むディレクトリへの絶対パスを入力します。 GRAC_RISK_ANALYSIS_WOUT_NO_WS.WS D |
entitlementRiskAnalysisWS |
〇 |
リクエスト番号なしでリスク分析を実行するWebサービス・クライアント・クラス。 デフォルト値: ノート: このパラメータは、SoDを含むSAP UMEのみに適用されます |
SODSystemKey |
〇 |
GRCとポータルとの接続に使用されるRFC接続先/コネクタの名前。 デフォルト値: ノート: このパラメータは、SoDを含むSAP UMEのみに適用されます |
表3-4 SAP AC UMEコネクタの拡張設定パラメータ
パラメータ | 必須かどうか | 説明 |
---|---|---|
appLookupAccessURL |
× |
Application Lookup WebサービスのWSDL URL デフォルト値: |
appLookupWS |
× |
SAP GRCで構成されたすべてのアプリケーションを取得するWebサービス・クライアント・クラス。 デフォルト値: |
assignRoleReqType |
× |
このエントリには、SAP GRCでロールの割当てリクエストに使用されるリクエスト・タイプの名前が保持されます。デコード値の形式は次のとおりです。 デフォルト値: |
auditLogsAccessURL |
× |
Audit Logs WebサービスのWSDL URL デフォルト値: |
auditLogsWS |
× |
監査ログを取得するWebサービス・クライアント・クラス。 デフォルト値: |
バンドル名 |
× |
コネクタ・バンドル・パッケージの名前。 デフォルト値: |
バンドルのバージョン |
× |
このパッケージには、コネクタ・バンドル・クラスのバージョンが保持されます。 このパラメータは変更しないでください。 デフォルト値: |
コネクタ名 |
× |
このパラメータには、コネクタ・クラスの名前が保持されます。このパラメータは変更しないでください 。 デフォルト値: |
ConnectorImplType |
× |
値 デフォルト値: |
createUserReqType |
× |
SAP GRCでのユーザーの作成リクエストのために、コネクタが使用する必要があるリクエスト・タイプの名前。 デフォルト値: |
deleteUserReqType |
× |
SAP GRCでのユーザーの削除リクエストのために、コネクタが使用する必要があるリクエスト・タイプの名前。 デフォルト値: |
ignoreOpenStatus |
× |
あるユーザーの最後のリクエストがオープン・ステータスであっても、そのユーザーの新規リクエストをコネクタが送信する必要があるかどうかを指定します。 デフォルト値: |
lockUserReqType |
× |
このパラメータには、SAP GRCでユーザーのロック・リクエストに使用されるリクエスト・タイプの名前が保持されます。 デフォルト値: |
logAuditTrial |
× |
ステータス・リエクストWebサービスが呼び出されるたびに、コネクタが完全な監査証跡を記録する必要があるかどうかを指定します。 デフォルト値: |
modifyUserReqType |
× |
このパラメータには、SAP GRCでユーザーの変更リクエストに使用されるリクエスト・タイプの名前が保持されます。 デフォルト値: |
otherLookupAccessURL |
× |
Business ProcessやFuncational Areaなど、他の参照Webサービス領域のURL。 デフォルト値: |
otherLookupWS |
× |
Business ProcessやFunction Areaなど、他の参照フィールドの詳細を取得するためのWebサービス・クライアント・クラス。 デフォルト値: |
provActionAttrName |
× |
特定のバックエンド・システムに対してプロビジョニング操作を実行するために必要な詳細を含む、ターゲット・システム内の属性の名前。 デフォルト値: |
provItemActionAttrName |
× |
ロールのプロビジョニングを実行するために必要な詳細を含む、ターゲット・システム内の属性の名前。 デフォルト値: |
removeRoleReqType |
× |
SAP GRCでユーザーの削除リクエストに使用されるリクエスト・タイプの名前。 デフォルト値: |
requestStatusAccessURL |
× |
Status Request WebサービスのWSDL URL デフォルト値: |
requestStatusValue |
× |
プロセス・フォームのACリクエスト・ステータス・フィールドで更新された値。 デフォルト値: |
requestStatusWS |
× |
プロビジョニング・リクエストのステータスを取得するWebサービス・クライアント・クラス。 デフォルト値: |
requestTypeAttrName |
× |
SAPUMCREATEアダプタからのリクエスト・フローを区別するために使用されるリクエスト・タイプ・パラメータの名前。 デフォルト値: |
riskLevel |
× |
SAP GRCでは、ビジネス・リスクにそれぞれ重大性レベルが割り当てられます。 リスク・レベルを指定することにより、SAP GRCから返されるリスク分析データを制御できます。 デフォルト値: |
ロール・フォーム名 |
× |
この値は、SIL Layerのロールの子フォーム名を取得するために使用されます。この値は変更しないでください 。 デフォルト値: |
roleLookupAccessURL |
× |
Role Lookup WebサービスのWSDL URL。 デフォルト値: |
roleLookupWS |
× |
すべてのロールを取得するWebサービス・クライアント・クラス。 デフォルト値: |
unlockUserReqType |
× |
SAP GRCでユーザーのロック解除リクエストに使用されるリクエスト・タイプの名前。 デフォルト値: |
userAccessAccessURL |
× |
User Access WebサービスのWSDL URL デフォルト値: |
userAccessWS |
× |
ユーザー・アクセスのステータスを取得するWebサービス・クライアント・クラス。 デフォルト値: |
wsdlFilePath |
× |
ローカル・マシンでWSDLファイルが使用可能なファイル・パス デフォルト値: ノート: コネクタ・サーバーを使用している場合、コネクタ・サーバーを実行しているシステムにWSDLファイルをコピーしてください。 WSDLファイルの場所は、コネクタ・サーバーを実行しているローカル・マシンで入手できます。 |
3.3 属性マッピング
「スキーマ」ページの属性マッピングは、SAP UMEコネクタとSAP AC UMEコネクタのどちらを使用しているかに応じて変わります。
3.3.1 SAP UMEコネクタの属性マッピング
SAP UMEターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システム属性をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。
SAP UMEユーザー・アカウントの属性
表3-5に、Oracle Identity Governanceのプロセス・フォーム・フィールドとSAP UMEの属性間のユーザー固有の属性マッピングを示します。この表では、プロビジョニングまたはリコンシリエーションの際に特定の属性が使用されるかどうかと、それがリコンシリエーション中にレコードをフェッチするための一致のキー・フィールドかどうかも示します。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項で説明されているように、「スキーマ」ページで新しい属性を追加するか、既存の属性を削除することにより、これらの属性マッピングを編集できます。
表3-5 SAP UMEユーザー・アカウントのデフォルト属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | プロビジョニング・フィールド | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|---|
ログオン名 |
_NAME_ |
String |
〇 |
〇 |
〇 |
〇 |
〇 |
パスワード |
_PASSWORD_ |
String |
× |
〇 |
× |
× |
× |
名 |
firstname |
String |
× |
〇 |
〇 |
× |
× |
姓 |
lastname |
String |
〇 |
〇 |
〇 |
× |
× |
電子メール・アドレス |
|
String |
× |
〇 |
〇 |
× |
× |
FAX |
fax |
String |
× |
〇 |
〇 |
× |
× |
モバイル |
mobile |
String |
× |
〇 |
〇 |
× |
× |
電話 |
telephone |
String |
× |
〇 |
〇 |
× |
× |
部門 |
department |
String |
× |
〇 |
〇 |
× |
× |
名前 |
displayname |
String |
× |
〇 |
〇 |
× |
× |
役職 |
title |
String |
× |
〇 |
〇 |
× |
× |
アドレス書式 |
salutation |
String |
× |
〇 |
〇 |
× |
× |
担当 |
jobtitle |
String |
× |
〇 |
〇 |
× |
× |
アカウント有効期限開始日(日付) |
validfrom |
String |
× |
〇 |
〇 |
× |
× |
アカウント有効期限最終日(日付) |
validto |
String |
× |
〇 |
〇 |
× |
× |
番地 |
streetaddress |
String |
× |
〇 |
〇 |
× |
× |
言語 |
locale |
String |
× |
〇 |
〇 |
× |
× |
タイムゾーン |
timezone |
String |
× |
〇 |
〇 |
× |
× |
都道府県 |
state |
String |
× |
〇 |
〇 |
× |
× |
市区町村 |
city |
String |
× |
〇 |
〇 |
× |
× |
郵便番号 |
zip |
String |
× |
〇 |
〇 |
× |
× |
ユーザー・アカウントのロック |
islocked |
String |
× |
〇 |
〇 |
× |
× |
セキュリティ・ポリシー |
securitypolicy |
String |
× |
〇 |
〇 |
× |
× |
一意のID |
_UID_ |
String |
× |
〇 |
〇 |
× |
× |
国 |
country |
String |
× |
〇 |
〇 |
× |
× |
SoDCheckStatus |
String |
× |
〇 |
〇 |
× |
× |
|
SoDCheckResult |
String |
× |
〇 |
〇 |
× |
× |
|
SoDCheckEntitlement |
String |
× |
〇 |
〇 |
× |
× |
|
SoDCheckTimestamp |
String |
× |
〇 |
〇 |
× |
× |
|
ステータス |
_Enable_ |
String |
× |
〇 |
〇 |
× |
× |
図3-1は、デフォルトのユーザー・アカウント属性マッピングを示しています。
グループ権限の属性
表3-6に、Oracle Identity Governanceのプロセス・フォーム・フィールドとSAP UMEの属性間のグループ固有の属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項で説明されているように、「スキーマ」ページで新しい属性を追加するか、既存の属性を削除することにより、これらの属性マッピングを編集できます。
表3-6 グループ権限用のデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
データソース |
データソース |
String |
× |
× |
× |
× |
グループ |
assignedgroups |
String |
〇 |
〇 |
〇 |
× |
図3-2に、グループ権限のマッピングを示します。
ロール権限の属性
表3-7に、Oracle Identity Governanceのプロセス・フォーム・フィールドとSAP UMEの属性間のロール固有の属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項で説明されているように、「スキーマ」ページで新しい属性を追加するか、既存の属性を削除することにより、これらの属性マッピングを編集できます。
表3-7 ロール権限のデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
データソース |
データソース |
String |
× |
× |
× |
× |
ロール |
assignedroles |
String |
〇 |
〇 |
〇 |
× |
3.3.2 SAP AC UMEコネクタの属性マッピング
SAP AC UMEターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システム属性をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。
SAP AC UMEユーザー・アカウントの属性
表3-8に、Oracle Identity Governanceのプロセス・フォーム・フィールドとSAP AC UMEの属性間のユーザー固有の属性マッピングを示します。この表では、プロビジョニングまたはリコンシリエーションの際に特定の属性が使用されるかどうかと、それがリコンシリエーション中にレコードをフェッチするための一致のキー・フィールドかどうかも示します。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項で説明されているように、「スキーマ」ページで新しい属性を追加するか、既存の属性を削除することにより、これらの属性マッピングを編集できます。
表3-8 SAP AC UMEユーザー・アカウントのデフォルト属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | プロビジョニング・フィールド | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|---|
ログオン名 | UserId;UserInfo | String | 〇 | 〇 | 〇 | 〇 | 〇 |
パスワード | _PASSWORD_ | String | × | × | × | × | × |
名 | fname;UserInfo | String | × | × | 〇 | × | × |
姓 | Iname;UserInfo | String | × | × | 〇 | × | × |
電子メール・アドレス | email;Userinfo | String | × | × | 〇 | × | × |
FAX | fax;UserInfo | String | × | × | 〇 | × | × |
モバイル | personnelno;UserInfo | String | × | × | 〇 | × | × |
電話 | telnumber;UserInfo | String | × | × | 〇 | × | × |
部門 | department;UserInfo | String | × | × | 〇 | × | × |
名前 | displayname | String | × | × | 〇 | × | × |
アドレス書式 | personnelarea;UserInfo | String | × | × | 〇 | × | × |
担当 | empposition;UserInfo | String | × | × | 〇 | × | × |
アカウント有効期限開始日(日付) | validFrom;UserInfo | Date | × | × | 〇 | × | × |
アカウント有効期限最終日(日付) | validTo;UserInfo | Date | × | × | 〇 | × | × |
番地 | streetaddress | String | × | × | 〇 | × | × |
言語 | logonLang;Userinfo | String | × | × | 〇 | × | × |
タイムゾーン | timezone | String | × | × | 〇 | × | × |
都道府県 | state | String | × | × | 〇 | × | × |
市区町村 | city | String | × | × | 〇 | × | × |
郵便番号 | zip | String | × | × | 〇 | × | × |
ユーザー・アカウントのロック | userLocak;None | String | × | × | 〇 | × | × |
セキュリティ・ポリシー | securitypolicy | String | × | × | 〇 | × | × |
一意のID | _UID_ | String | × | × | 〇 | × | × |
国 | country | String | × | × | 〇 | × | × |
ACリクエストID | RequestId | String | × | × | 〇 | × | × |
ACリクエスト・ステータス | RequestStatus | String | × | × | 〇 | × | × |
ACリクエスト・タイプ | RequestType | String | × | × | 〇 | × | × |
ACマネージャ | manager;UserInfo | String | × | × | × | × | × |
ACマネージャの電子メール | manager;UserInfo | String | × | × | × | × | × |
ACマネージャの名 | managerFirstname;Userinfo | String | × | × | × | × | × |
ACマネージャの姓 | managerLastname;Userinfo | String | × | × | × | × | × |
AC優先度 | priority;Header | String | × | × | × | × | × |
ACリクエストの理由 | requestreason;Header | String | × | × | × | × | × |
ACリクエスト・タイプの期日(日付) | reqDueDate;Header | Date | × | × | × | × | × |
ACシステム | reqInitSystem;Header | String | × | × | × | × | × |
AC機能領域(参照) | funcarea;Header | String | × | × | × | × | × |
ACビジネス・プロセス(参照) | bproc;Header | String | × | × | × | × | × |
ACリクエスタID | requestorId:Header | String | × | × | × | × | × |
ACリクエスタの電子メール | email;Header | String | × | × | × | × | × |
ステータス | _ENABLE_ | String | × | × | 〇 | × | × |
図3-4は、デフォルトのユーザー・アカウント属性マッピングを示しています。
グループ権限の属性
表3-9に、Oracle Identity Governanceのプロセス・フォーム・フィールドとSAP AC UMEの属性間のグループ固有の属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項で説明されているように、「スキーマ」ページで新しい属性を追加するか、既存の属性を削除することにより、これらの属性マッピングを編集できます。
表3-9 グループ権限のデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
データソース |
String |
× |
× |
× |
× |
|
グループ |
umegroup;itemnameReqLineItem |
String |
〇 |
〇 |
〇 |
× |
図3-5に、デフォルトのグループ権限のマッピングを示します。
ロール権限の属性
表3-10に、Oracle Identity Governanceのプロセス・フォーム・フィールドとSAP AC UMEの属性間のロール固有の属性マッピングを示します。この表では、特定のロールがプロビジョニング時に必須かどうかを示します。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。
表3-10 ロール権限のデフォルトの属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
データソース | String | × | × | × | × | |
ロール | umerole;itemnameReqLineItem | String | 〇 | 〇 | 〇 | × |
3.4 相関ルール
ターゲット・アプリケーションおよび認可アプリケーションの事前定義済ルール、レスポンスおよび状況について学習します。これらのルールおよびレスポンスは、リコンシリエーションを実行するためにコネクタによって使用されます。
3.4.1 SAP UMEコネクタのルール、状況およびレスポンス
ターゲット・アプリケーションを作成すると、コネクタによって相関ルールが使用され、Oracle Identity Governanceがリソースを割り当てる必要があるアイデンティティが判別されます。
事前定義済のアイデンティティ相関ルール
デフォルトでは、SAP UMEコネクタにより、ターゲット・アプリケーションの作成時に単純相関ルールが提示されます。コネクタは、この相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表3-11に、SAP UMEコネクタのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集したり、新しいルールを追加することができます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアイデンティティ相関ルールの更新に関する項を参照してください。
表3-11 SAP UMEコネクタの事前定義済アイデンティティ相関ルール
ターゲット属性 | 要素演算子 | アイデンティティ属性 | 大/小文字の区別 |
---|---|---|---|
__NAME__ |
Equals |
ユーザー・ログイン |
× |
-
__NAME__は、ユーザー・アカウントを識別するターゲット・システム上の単一値の属性です。
-
「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。
図3-7に、SAP UMEコネクタの単純相関ルールを示します
事前定義済の状況とレスポンス
SAP UMEコネクタにより、ターゲット・アプリケーションの作成時にデフォルトの一連の状況およびレスポンスが提示されます。これらの状況とレスポンスにより、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションを指定します。
表3-12に、SAP UMEコネクタのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集したり、新しいものを追加することができます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の状況とレスポンスの更新に関する項を参照してください。
表3-12 SAP UMEコネクタの事前定義済の状況およびレスポンス
状況 | レスポンス |
---|---|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
3.4.2 SAP AC UMEコネクタのルール、状況およびレスポンス
ターゲット・アプリケーションを作成すると、コネクタによって相関ルールが使用され、Oracle Identity Governanceがリソースを割り当てる必要があるアイデンティティが判別されます。
事前定義済のアイデンティティ相関ルール
デフォルトでは、SAP AC UMEコネクタにより、ターゲット・アプリケーションの作成時に単純相関ルールが提示されます。コネクタは、この相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
表3-13に、SAP AC UMEコネクタのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集したり、新しいルールを追加することができます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアイデンティティ相関ルールの更新に関する項を参照してください。
表3-13 SAP AC UMEコネクタの事前定義済アイデンティティ相関ルール
ターゲット属性 | 要素演算子 | アイデンティティ属性 | 大/小文字の区別 |
---|---|---|---|
userId;UserInfo |
Equals |
ユーザー・ログイン |
× |
-
userId;UserInfoは、ユーザー・アカウントのユーザーIDを識別するターゲット・システムの単一値属性です。
-
「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。
図3-9に、SAP AC UMEコネクタの単純相関ルールを示します
事前定義済の状況とレスポンス
SAP AC UMEコネクタにより、ターゲット・アプリケーションの作成時にデフォルトの一連の状況およびレスポンスが提示されます。これらの状況とレスポンスにより、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションを指定します。
SAP AC UMEコネクタのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集したり、新しいものを追加することができます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の状況とレスポンスの更新に関する項を参照してください。
表3-14 SAP AC UMEコネクタの事前定義済の状況およびレスポンス
状況 | レスポンス |
---|---|
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
図3-10は、コネクタでデフォルトで提供される状況とレスポンスを示しています。
3.5 リコンシリエーション・ジョブ
これらは、アプリケーションの作成後に、コネクタによって作成されるリコンシリエーション・ジョブです
3.5.1 SAP UMEコネクタのリコンシリエーション・ジョブ
これらは、ターゲット・システムのアプリケーションを作成した後にOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブです。
これらの事前定義済のジョブを使用することも、要件に合うように編集することもできます。また、カスタム・リコンシリエーション・ジョブを作成することもできます。これらの事前定義済のジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリコンシリエーション・ジョブの更新に関する項を参照してください。
ノート:
アプリケーションを作成すると、すべてのジョブに接頭辞としてアプリケーション名が付けられます。たとえば、SAPUMEAPP SAP UMEグループ参照リコンシリエーションのSAPUMEAPPはアプリケーション名です。完全ユーザー・リコンシリエーション・ジョブ
SAP UMEターゲット・ユーザー・リコンシリエーション・ジョブは、ターゲット・システムからすべてのユーザー・レコードをフェッチするために使用されます。
表3-15 SAP UMEターゲット・ユーザー・リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
アプリケーション名 |
ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。 サンプル値: |
フィルタ |
スケジュール済ジョブがリコンサイルする必要があるレコードをフィルタ処理する式を入力します。 サンプル値: デフォルト値: 作成して使用できるフィルタ式の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタ構文に関する項を参照してください。 |
オブジェクト・タイプ |
リコンサイルするオブジェクトのタイプを入力します。 デフォルト値: |
ユーザー削除リコンシリエーション・ジョブ
SAP UMEターゲット・ユーザー削除リコンシリエーション・ジョブは、ターゲット・アプリケーションから削除されたユーザー・アカウントに関するデータをリコンサイルする場合に使用します。
表3-16 SAP UMEターゲット・ユーザー削除リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
アプリケーション名 |
ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。 この値は修正しないでください。 サンプル値: |
オブジェクト・タイプ | リコンサイルするオブジェクトのタイプを入力します。
サンプル値: |
権限のリコンシリエーション・ジョブ
権限のリコンサイルには、次のジョブを使用できます。
-
SAP UMEグループ参照リコンシリエーション: このリコンシリエーション・ジョブは、Oracle Identity Governanceのグループ参照フィールドをターゲット・システムのグループ関連データと同期させるために使用されます。
-
SAP UMEロール参照リコンシリエーション: このリコンシリエーション・ジョブは、Oracle Identity Governanceのロール参照フィールドをターゲット・システムのロール関連データと同期させるために使用されます。
両方のリコンシリエーション・ジョブのパラメータは同じです。
表3-17 SAP UMEコネクタの権限用のリコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
アプリケーション名 |
ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。 この値は修正しないでください。 デフォルト値: |
参照名 |
このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。 デフォルト値は、使用するリコンシリエーション・ジョブに応じて次のようになります。
|
オブジェクト・タイプ |
値を同期するオブジェクトのタイプを入力します。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|
コード・キー属性 |
参照定義のコード・キー列への移入に使用される、コネクタまたはターゲット・システムの属性名を入力します(参照名属性の値として指定)。 使用しているスケジュール済ジョブに応じて、コード・キー属性のデフォルト値は次のようになります。
|
デコード属性 |
参照定義のデコード属性列への移入に使用される、コネクタまたはターゲット・システムの属性名を入力します(参照名属性の値として指定)。 使用しているスケジュール済ジョブに応じて、デコード属性のデフォルト値は次のようになります。
|
3.5.2 SAP AC UMEコネクタのリコンシリエーション・ジョブ
これらは、SAP AC UMEターゲット・システムのアプリケーションを作成した後にOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブです。
これらの事前定義済のジョブを使用することも、要件に合うように編集することもできます。また、カスタム・リコンシリエーション・ジョブを作成することもできます。これらの事前定義済のジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリコンシリエーション・ジョブの更新に関する項を参照してください。
ノート:
アプリケーションを作成すると、すべてのジョブに接頭辞としてアプリケーション名が付けられます。たとえば、SAPACUMEAPP SAP AC UME BusinessProcess参照リコンシリエーションでは、SAPACUMEAPPがアプリケーション名です。完全ユーザー・リコンシリエーション・ジョブ
SAP AC UMEターゲット・ユーザー・リコンシリエーション・ジョブは、ターゲット・システムからすべてのユーザー・レコードをフェッチするために使用されます。
表3-18 SAP AC UMEターゲット・ユーザー・リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
アプリケーション名 |
ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。 サンプル値: |
フィルタ |
スケジュール済ジョブがリコンサイルする必要があるレコードをフィルタ処理する式を入力します。 作成して使用できるフィルタ式の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のICFフィルタ構文に関する項を参照してください。 |
オブジェクト・タイプ |
リコンサイルするオブジェクトのタイプ。 デフォルト値: |
ユーザー削除リコンシリエーション・ジョブ
SAP AC UMEターゲット・ユーザー削除リコンシリエーション・ジョブは、ターゲット・アプリケーションから削除されたユーザー・アカウントに関するデータをリコンサイルする場合に使用します。
表3-19 SAP AC UMEターゲット・ユーザー削除リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
アプリケーション名 |
ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。 この値は修正しないでください。 サンプル値: |
オブジェクト・タイプ |
リコンサイルするオブジェクトのタイプ。 デフォルト値: |
SAP AC UMEユーザー削除リコンシリエーション |
SAP AC UMEターゲット・ユーザー削除リコンシリエーション・スケジュール済ジョブを使用して、削除されたユーザーのデータをターゲット・システムからリコンサイルします。リコンシリエーションの実行時には、ターゲット・システム上の削除されたユーザー・アカウントごとに、対応するOIGユーザーのSAP AC UMEリソースが削除されます。
デフォルト値: |
SAP AC UMEリクエスト・ステータス・ジョブ
SAP AC UMEリクエスト・ステータス・リコンシリエーション・ジョブを使用して、SAP BusinessObjects ACターゲット・システムからリクエスト・ステータスをリコンサイルします。
表3-20 SAP AC UMEリクエスト・ステータス・リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
アプリケーション名 |
ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。 この値は修正しないでください。 |
オブジェクト・タイプ |
リコンサイルするオブジェクトのタイプ。 デフォルト値: |
カスタム参照名 |
参照定義の名前。 デフォルト値: |
リソース・オブジェクト名 |
リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。 デフォルト値: |
ITリソース名 |
コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。 デフォルト値: |
スケジュール済タスク名 |
スケジュール済タスクの名前。 デフォルト値: |
ノート:
SAP AC UMEリクエスト・ステータス・リコンシリエーション・ジョブを実行するには、コネクタの構成中に作成された名前に基づいて、「アプリケーション名」と「ITリソース名」のパラメータを更新する必要があります。たとえば、コネクタの名前がSAPACUMEの場合、「アプリケーション名」をSAPACUME
に、「ITリソース名」をSAPACUME
に更新します。
権限のリコンシリエーション・ジョブ
参照フィールドの同期には次のジョブを使用できます。参照フィールド同期およびリコンシリエーションのためにこのようなスケジュール済ジョブを構成できます。
-
SAP AC UME BusinessProcess参照リコンシリエーション
-
SAP AC UME FunctionalArea参照リコンシリエーション
-
SAP AC UMEグループ参照リコンシリエーション
-
SAP AC UME ItemProvAction参照リコンシリエーション
-
SAP AC UME Priority参照リコンシリエーション
-
SAP AC UME ReqInitSystem参照リコンシリエーション
-
SAP AC UMEリクエスト・タイプ参照リコンシリエーション
-
SAP AC UMEロール参照リコンシリエーション
リコンシリエーション・ジョブのパラメータはすべて同じです。
表3-21 SAP AC UMEコネクタの権限用のリコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
アプリケーション名 |
ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。 サンプル値: |
コード・キー属性 |
参照定義のコード・キー列への移入に使用される、コネクタまたはターゲット・システムの属性名を入力します(参照名属性の値として指定)。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|
デコード属性 |
参照定義のコード・キー列への移入に使用される、コネクタまたはターゲット・システムの属性名を入力します(参照名属性の値として指定)。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|
参照名 |
このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。 デフォルト値は、使用するリコンシリエーション・ジョブに応じて次のようになります。
|
オブジェクト・クラス |
同期させる必要のある値を含むオブジェクトのクラスを入力します。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|
オブジェクト・タイプ |
値を同期するオブジェクトのタイプを入力します。 デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。
|