1. SAP User Management Engineアプリケーションの構成
  2. SAP User Management Engineコネクタの構成

3 SAP User Management Engineコネクタの構成

ターゲット・アプリケーションの作成中に、Oracle Identity Governanceとターゲット・システムの接続で使用される、接続関連のパラメータを構成し、コネクタ操作を実行する必要があります。また、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システムの列の属性マッピング、事前定義済相関ルール、状況とレスポンスおよびリコンシリエーション・ジョブを表示して編集できます。

3.1 基本構成パラメータ

ここでは、ターゲット・アプリケーションへの接続にOracle Identity Governanceで必要となる接続関連のパラメータについて説明します。

表3-1 SAP UMEコネクタ(SoD)の「基本構成」セクションのパラメータ

パラメータ 必須かどうか 説明
コネクタ・サーバー名 × 「コネクタ・サーバー」タイプのITリソースを作成した場合、その名前を入力します。

ノート: このパラメータの値を入力するのは、SAP UMEコネクタをコネクタ・サーバーにデプロイした場合のみです。

changePwdFlag Oracle Identity Governanceで作成したアカウントの場合、基本構成パラメータのchangePwdFlagおよびdummyPasswordパラメータを使用してパスワード管理を構成できます。

デフォルト値: no

このパラメータの詳細は、「新たに作成したアカウントのパスワード変更の構成」を参照してください。

dummyPassword ユーザー作成プロビジョニング操作時にコネクタで使用するダミー・パスワードを入力します。コネクタはまずパスワードをこの値に設定してから、プロセス・フォームで指定されたパスワードに変更します。
enableDate 日付をYYYY-MM-DD書式で入力し、終了日はデフォルト値としてユーザーを有効化します。

デフォルト値: 2500–12–31
logSPMLRequst × ターゲット・システムに送信されるSPMLリクエストをログ・ファイルに書き込む場合は、yes を入力します。それ以外の場合は、noを入力します
logonNameInitialSubstring 英語の完全リコンシリエーションをサポートする、一連の文字を入力します。他の言語の場合は、その言語のすべての文字を入力します。

サンプル値: abcdefghijklmnopqrstuvwxyz1234567890
pwdHandlingSupport SAP User Management EngineがLDAPベース・データソースで書込み可能モードで構成されている場合、パスワード管理には、SAP User Management EngineとLDAPベース・データソース間のSSL構成が必須です。このシナリオで、SAP User Management EngineとLDAPベース・データソース間にSSLが構成されておらず、SAP User Management Engineからパスワードを管理する必要がない場合は、このパラメータの値をnoに設定します。それ以外の場合は、このパラメータの値をyesに設定します。

デフォルト値: yes
TopologyName × ターゲット・システムのホスト・コンピュータのトポロジ名
umePassword コネクタ操作に作成する、ターゲット・システムのユーザー・アカウントのパスワードを入力します。

詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。

umeUrl

  • ターゲット・システムとOracle Identity Governance間の通信を保護するためにSSLを構成する場合は、SPMLサービスのURLを次の形式で入力します。

    https://HOSTNAME:SSL_PORT/spml/spmlservice

  • ターゲット・システムとOracle Identity Governance間にSSLを構成しない場合は、SPMLサービスのURLを次の形式で入力します。http://HOSTNAME:PORT/spml/spmlservice

サンプル値: http://myhost:50000/spml/spmlservice
umeUserId コネクタ操作に作成する、ターゲット・システムのユーザー・アカウントのユーザーIDを入力します。

詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。

表3-2 SAP AC UMEコネクタの「基本構成」セクションのパラメータ

パラメータ 必須かどうか 説明
コネクタ・サーバー名 × 「コネクタ・サーバー」タイプのITリソースを作成した場合、その名前を入力します。

ノート: このパラメータの値を入力するのは、SAP UMEコネクタをコネクタ・サーバーにデプロイした場合のみです。

changePwdFlag Oracle Identity Governanceで作成したアカウントの場合、基本構成パラメータのchangePwdFlagおよびdummyPasswordパラメータを使用してパスワード管理を構成できます。

デフォルト値: no

このパラメータの詳細は、「新たに作成したアカウントのパスワード変更の構成」を参照してください。

dummyPassword ユーザー作成プロビジョニング操作時にコネクタで使用するダミー・パスワードを入力します。コネクタはまずパスワードをこの値に設定してから、プロセス・フォームで指定されたパスワードに変更します。
enableDate 日付をYYYY-MM-DD書式で入力し、終了日はデフォルト値としてユーザーを有効化します。

デフォルト値: 2500–12–31
logSPMLRequst × ターゲット・システムに送信されるSPMLリクエストをログ・ファイルに書き込む場合は、yes を入力します。それ以外の場合は、noを入力します
logonNameInitialSubstring 英語の完全リコンシリエーションをサポートする、一連の文字を入力します。他の言語の場合は、その言語のすべての文字を入力します。

サンプル値: abcdefghijklmnopqrstuvwxyz1234567890
pwdHandlingSupport SAP User Management EngineがLDAPベース・データソースで書込み可能モードで構成されている場合、パスワード管理には、SAP User Management EngineとLDAPベース・データソース間のSSL構成が必須です。このシナリオで、SAP User Management EngineとLDAPベース・データソース間にSSLが構成されておらず、SAP User Management Engineからパスワードを管理する必要がない場合は、このパラメータの値をnoに設定します。それ以外の場合は、このパラメータの値をyesに設定します。

デフォルト値: yes
TopologyName × ターゲット・システムのホスト・コンピュータのトポロジ名
umePassword コネクタ操作に作成する、ターゲット・システムのユーザー・アカウントのパスワードを入力します。

詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。

umeUrl

  • ターゲット・システムとOracle Identity Governance間の通信を保護するためにSSLを構成する場合は、SPMLサービスのURLを次の形式で入力します。

    https://HOSTNAME:SSL_PORT/spml/spmlservice

  • ターゲット・システムとOracle Identity Governance間にSSLを構成しない場合は、SPMLサービスのURLを次の形式で入力します。http://HOSTNAME:PORT/spml/spmlservice

サンプル値: http://myhost:50000/spml/spmlservice
umeUserId コネクタ操作に作成する、ターゲット・システムのユーザー・アカウントのユーザーIDを入力します。

詳細は、「コネクタ操作用のターゲット・システム・ユーザー・アカウントの作成」を参照してください。

grcLanguage

このパラメータは、SAP GRCシステムにリクエストを送信する際の言語を定義します。

値: en

ノート: このパラメータはSAP AC UMEコネクタのみに適用されます。

grcPassword

このパラメータはSAP GRCシステムにアクセスするためのパスワードを保持します。

ノート: このパラメータはSAP AC UMEコネクタのみに適用されます。

grcUsername

このパラメータはSAP GRCシステムにアクセスするためのユーザー名を保持します。

ノート: このパラメータはSAP AC UMEコネクタのみに適用されます。

3.2 拡張設定パラメータ

これらは、リコンシリエーション操作およびプロビジョニング操作の際にコネクタで使用される構成関連のエントリです。

表3-3 SAP UMEコネクタ(SoD)の拡張設定パラメータ

パラメータ 必須かどうか 説明
バンドル名 × このパラメータには、コネクタ・バンドル・パッケージの名前が保持されます。

デフォルト値: org.identityconnectors.sapume
バンドルのバージョン × このパッケージには、コネクタ・バンドル・クラスのバージョンが保持されます。このパラメータは変更しないでください

デフォルト値: 12.3.0
コネクタ名 × このパラメータには、コネクタ・クラスの名前が保持されます。このパラメータは変更しないでください

デフォルト値: org.identityconnectors.sapume.SAPUMEConnector
ConnectorImplType ×

SAP UMEロールのSODを有効にするには、値SAPUMEを入力します。

グループ属性名 × このパラメータには、SILで使用されるロール職務タイプの名前が保持されます。

デフォルト値: GROUPNAME
グループ・フォーム名 この値は、SIL Layerのグループの子フォーム名を取得するために使用されます。この値は変更しないでください

デフォルト値: UD_UME_GROUP
ロール属性名 × SILで使用されるロール職務の名前

デフォルト値: ROLENAME
ロール・フォーム名 この値は、SIL Layerからロールの子フォーム名を取得するために使用されます。この値は変更しないでください

デフォルト値: UD_UME_ROLE
RoleAttributeLabel × 子フォームのロールIDフィールドのラベル名

デフォルト値: Role

entitlementRiskAnalysisAccessURL

×

このパラメータには、Entitlement Risk Analysis WebサービスのWSDL URLが保持されます。

デフォルト値: None

ノート: このパラメータは、SoDを含むSAP UMEのみに適用されます

wsdlFilePath

×

次のファイルを含むディレクトリへの絶対パスを入力します。

GRAC_RISK_ANALYSIS_WOUT_NO_WS.WS D

entitlementRiskAnalysisWS

リクエスト番号なしでリスク分析を実行するWebサービス・クライアント・クラス。

デフォルト値: oracle.iam.grc.sod.scomp.impl.grcsap.util.webservice.sap.ac10.RiskAnalysisWithoutNo

ノート: このパラメータは、SoDを含むSAP UMEのみに適用されます

SODSystemKey

GRCとポータルとの接続に使用されるRFC接続先/コネクタの名前。

デフォルト値: None

ノート: このパラメータは、SoDを含むSAP UMEのみに適用されます

表3-4 SAP AC UMEコネクタの拡張設定パラメータ

パラメータ 必須かどうか 説明

appLookupAccessURL

×

Application Lookup WebサービスのWSDL URL

デフォルト値: None

appLookupWS

×

SAP GRCで構成されたすべてのアプリケーションを取得するWebサービス・クライアント・クラス。

デフォルト値: oracle.iam.ws.sap.ac10.SelectApplication

assignRoleReqType

×

このエントリには、SAP GRCでロールの割当てリクエストに使用されるリクエスト・タイプの名前が保持されます。デコード値の形式は次のとおりです。

デフォルト値: 002~Change Account~002~006

auditLogsAccessURL

×

Audit Logs WebサービスのWSDL URL

デフォルト値: None

auditLogsWS

×

監査ログを取得するWebサービス・クライアント・クラス。

デフォルト値: oracle.iam.ws.sap.ac10.AuditLogs

バンドル名

×

コネクタ・バンドル・パッケージの名前。

デフォルト値: org.identityconnectors.sapacume

バンドルのバージョン

×

このパッケージには、コネクタ・バンドル・クラスのバージョンが保持されます。 このパラメータは変更しないでください

デフォルト値: 12.3.0

コネクタ名

×

このパラメータには、コネクタ・クラスの名前が保持されます。このパラメータは変更しないでください 。 

デフォルト値: org.identityconnectors.sapacume.SAPACUMEConnector

ConnectorImplType

×

SAPUMEを入力すると、SODでSAP UMEロールが有効化されます

デフォルト値: SAPUME

createUserReqType

×

SAP GRCでのユーザーの作成リクエストのために、コネクタが使用する必要があるリクエスト・タイプの名前。

デフォルト値: 001~New Account~001

deleteUserReqType

×

SAP GRCでのユーザーの削除リクエストのために、コネクタが使用する必要があるリクエスト・タイプの名前。 

デフォルト値: 003~Delete Account~003

ignoreOpenStatus

×

あるユーザーの最後のリクエストがオープン・ステータスであっても、そのユーザーの新規リクエストをコネクタが送信する必要があるかどうかを指定します。 

デフォルト値: No

lockUserReqType

×

このパラメータには、SAP GRCでユーザーのロック・リクエストに使用されるリクエスト・タイプの名前が保持されます。

デフォルト値: 004~Lock Account~004

logAuditTrial

×

ステータス・リエクストWebサービスが呼び出されるたびに、コネクタが完全な監査証跡を記録する必要があるかどうかを指定します。

デフォルト値: No

modifyUserReqType

×

このパラメータには、SAP GRCでユーザーの変更リクエストに使用されるリクエスト・タイプの名前が保持されます。

デフォルト値: 002~Change Account~002

otherLookupAccessURL

×

Business ProcessやFuncational Areaなど、他の参照Webサービス領域のURL。

デフォルト値: none

otherLookupWS

×

Business ProcessやFunction Areaなど、他の参照フィールドの詳細を取得するためのWebサービス・クライアント・クラス。

デフォルト値: oracle.iam.ws.sap.ac10.SearchLookup

provActionAttrName

×

特定のバックエンド・システムに対してプロビジョニング操作を実行するために必要な詳細を含む、ターゲット・システム内の属性の名前。

デフォルト値: provAction;ReqLineItem

provItemActionAttrName

×

ロールのプロビジョニングを実行するために必要な詳細を含む、ターゲット・システム内の属性の名前。

デフォルト値: provItemAction;ReqLineItem

removeRoleReqType

×

SAP GRCでユーザーの削除リクエストに使用されるリクエスト・タイプの名前。

デフォルト値: 002~Change Account~002~009

requestStatusAccessURL

×

Status Request WebサービスのWSDL URL

デフォルト値: None

requestStatusValue

×

プロセス・フォームのACリクエスト・ステータス・フィールドで更新された値。

デフォルト値: OK

requestStatusWS

×

プロビジョニング・リクエストのステータスを取得するWebサービス・クライアント・クラス。

デフォルト値: oracle.iam.ws.sap.ac10.RequestStatus

requestTypeAttrName

×

SAPUMCREATEアダプタからのリクエスト・フローを区別するために使用されるリクエスト・タイプ・パラメータの名前。

デフォルト値: Reqtype;Header

riskLevel

×

SAP GRCでは、ビジネス・リスクにそれぞれ重大性レベルが割り当てられます。 リスク・レベルを指定することにより、SAP GRCから返されるリスク分析データを制御できます。

デフォルト値: High

ロール・フォーム名

×

この値は、SIL Layerのロールの子フォーム名を取得するために使用されます。この値は変更しないでください

デフォルト値: UD_UME_ROLE

roleLookupAccessURL

×

Role Lookup WebサービスのWSDL URL。 

デフォルト値: None

roleLookupWS

×

すべてのロールを取得するWebサービス・クライアント・クラス。

デフォルト値: oracle.iam.ws.sap.ac10.SearchRoles

unlockUserReqType

×

SAP GRCでユーザーのロック解除リクエストに使用されるリクエスト・タイプの名前。

デフォルト値: 005~unlock user~005

userAccessAccessURL

×

User Access WebサービスのWSDL URL

デフォルト値: None

userAccessWS

×

ユーザー・アクセスのステータスを取得するWebサービス・クライアント・クラス。

デフォルト値: oracle.iam.ws.sap.ac10.UserAccess

wsdlFilePath

×

ローカル・マシンでWSDLファイルが使用可能なファイル・パス

デフォルト値: None

ノート: コネクタ・サーバーを使用している場合、コネクタ・サーバーを実行しているシステムにWSDLファイルをコピーしてください。 WSDLファイルの場所は、コネクタ・サーバーを実行しているローカル・マシンで入手できます。

3.3 属性マッピング

「スキーマ」ページの属性マッピングは、SAP UMEコネクタとSAP AC UMEコネクタのどちらを使用しているかに応じて変わります。

3.3.1 SAP UMEコネクタの属性マッピング

SAP UMEターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システム属性をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。

SAP UMEユーザー・アカウントの属性

表3-5に、Oracle Identity Governanceのプロセス・フォーム・フィールドとSAP UMEの属性間のユーザー固有の属性マッピングを示します。この表では、プロビジョニングまたはリコンシリエーションの際に特定の属性が使用されるかどうかと、それがリコンシリエーション中にレコードをフェッチするための一致のキー・フィールドかどうかも示します。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項で説明されているように、「スキーマ」ページで新しい属性を追加するか、既存の属性を削除することにより、これらの属性マッピングを編集できます。

表3-5 SAP UMEユーザー・アカウントのデフォルト属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ プロビジョニング・フィールド リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない

ログオン名

_NAME_

String

パスワード

_PASSWORD_

String

×

×

×

×

firstname

String

×

×

×

lastname

String

×

×

電子メール・アドレス

email

String

×

×

×

FAX

fax

String

×

×

×

モバイル

mobile

String

×

×

×

電話

telephone

String

×

×

×

部門

department

String

×

×

×

名前

displayname

String

×

×

×

役職

title

String

×

×

×

アドレス書式

salutation

String

×

×

×

担当

jobtitle

String

×

×

×

アカウント有効期限開始日(日付)

validfrom

String

×

×

×

アカウント有効期限最終日(日付)

validto

String

×

×

×

番地

streetaddress

String

×

×

×

言語

locale

String

×

×

×

タイムゾーン

timezone

String

×

×

×

都道府県

state

String

×

×

×

市区町村

city

String

×

×

×

郵便番号

zip

String

×

×

×

ユーザー・アカウントのロック

islocked

String

×

×

×

セキュリティ・ポリシー

securitypolicy

String

×

×

×

一意のID

_UID_

String

×

×

×

country

String

×

×

×

SoDCheckStatus

  

String

×

×

×

SoDCheckResult

  

String

×

×

×

SoDCheckEntitlement

  

String

×

×

×

SoDCheckTimestamp

  

String

×

×

×

ステータス

_Enable_

String

×

×

×

図3-1は、デフォルトのユーザー・アカウント属性マッピングを示しています。

図3-1 SAP UMEユーザー・アカウントのデフォルト属性マッピング

図3-1の説明が続く
「図3-1 SAP UMEユーザー・アカウントのデフォルト属性マッピング」の説明

グループ権限の属性

表3-6に、Oracle Identity Governanceのプロセス・フォーム・フィールドとSAP UMEの属性間のグループ固有の属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項で説明されているように、「スキーマ」ページで新しい属性を追加するか、既存の属性を削除することにより、これらの属性マッピングを編集できます。

表3-6 グループ権限用のデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない

データソース

データソース

String

×

×

×

×

グループ

assignedgroups

String

×

図3-2に、グループ権限のマッピングを示します。

図3-2 グループ権限用のデフォルトの属性マッピング

図3-2の説明が続く
「図3-2 グループ権限用のデフォルトの属性マッピング」の説明

ロール権限の属性

表3-7に、Oracle Identity Governanceのプロセス・フォーム・フィールドとSAP UMEの属性間のロール固有の属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項で説明されているように、「スキーマ」ページで新しい属性を追加するか、既存の属性を削除することにより、これらの属性マッピングを編集できます。

表3-7 ロール権限のデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない

データソース

データソース

String

×

×

×

×

ロール

assignedroles

String

×
図3-3に、デフォルトのロール権限マッピングを示します。

図3-3 ロール権限のデフォルトの属性マッピング

図3-3の説明が続きます
「図3-3 ロール権限のデフォルトの属性マッピング」の説明

3.3.2 SAP AC UMEコネクタの属性マッピング

SAP AC UMEターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性とターゲット・システム属性をマッピングするデフォルト・スキーマ(コネクタによって提供)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニングの操作中にこれらのマッピングを使用します。

SAP AC UMEユーザー・アカウントの属性

表3-8に、Oracle Identity Governanceのプロセス・フォーム・フィールドとSAP AC UMEの属性間のユーザー固有の属性マッピングを示します。この表では、プロビジョニングまたはリコンシリエーションの際に特定の属性が使用されるかどうかと、それがリコンシリエーション中にレコードをフェッチするための一致のキー・フィールドかどうかも示します。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項で説明されているように、「スキーマ」ページで新しい属性を追加するか、既存の属性を削除することにより、これらの属性マッピングを編集できます。

表3-8 SAP AC UMEユーザー・アカウントのデフォルト属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ プロビジョニング・フィールド リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない
ログオン名 UserId;UserInfo String
パスワード _PASSWORD_ String × × × × ×
fname;UserInfo String × × × ×
Iname;UserInfo String × × × ×
電子メール・アドレス email;Userinfo String × × × ×
FAX fax;UserInfo String × × × ×
モバイル personnelno;UserInfo String × × × ×
電話 telnumber;UserInfo String × × × ×
部門 department;UserInfo String × × × ×
名前 displayname String × × × ×
アドレス書式 personnelarea;UserInfo String × × × ×
担当 empposition;UserInfo String × × × ×
アカウント有効期限開始日(日付) validFrom;UserInfo Date × × × ×
アカウント有効期限最終日(日付) validTo;UserInfo Date × × × ×
番地 streetaddress String × × × ×
言語 logonLang;Userinfo String × × × ×
タイムゾーン timezone String × × × ×
都道府県 state String × × × ×
市区町村 city String × × × ×
郵便番号 zip String × × × ×
ユーザー・アカウントのロック userLocak;None String × × × ×
セキュリティ・ポリシー securitypolicy String × × × ×
一意のID _UID_ String × × × ×
country String × × × ×
ACリクエストID RequestId String × × × ×
ACリクエスト・ステータス RequestStatus String × × × ×
ACリクエスト・タイプ RequestType String × × × ×
ACマネージャ manager;UserInfo String × × × × ×
ACマネージャの電子メール manager;UserInfo String × × × × ×
ACマネージャの名 managerFirstname;Userinfo String × × × × ×
ACマネージャの姓 managerLastname;Userinfo String × × × × ×
AC優先度 priority;Header String × × × × ×
ACリクエストの理由 requestreason;Header String × × × × ×
ACリクエスト・タイプの期日(日付) reqDueDate;Header Date × × × × ×
ACシステム reqInitSystem;Header String × × × × ×
AC機能領域(参照) funcarea;Header String × × × × ×
ACビジネス・プロセス(参照) bproc;Header String × × × × ×
ACリクエスタID requestorId:Header String × × × × ×
ACリクエスタの電子メール email;Header String × × × × ×
ステータス _ENABLE_ String × × × ×

図3-4は、デフォルトのユーザー・アカウント属性マッピングを示しています。

図3-4 SAP AC UMEユーザー・アカウント用のデフォルトの属性マッピング

図3-4の説明が続きます
「図3-4 SAP AC UMEユーザー・アカウント用のデフォルトの属性マッピング」の説明

グループ権限の属性

表3-9に、Oracle Identity Governanceのプロセス・フォーム・フィールドとSAP AC UMEの属性間のグループ固有の属性マッピングを示します。この表は、プロビジョニング中に特定の属性が必須であるかどうかを示しています。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項で説明されているように、「スキーマ」ページで新しい属性を追加するか、既存の属性を削除することにより、これらの属性マッピングを編集できます。

表3-9 グループ権限のデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない

データソース

String

×

×

×

×

グループ

umegroup;itemnameReqLineItem

String

×

図3-5に、デフォルトのグループ権限のマッピングを示します。

図3-5 グループ権限のデフォルトの属性マッピング

図3-5の説明が続きます
「図3-5 グループ権限のデフォルトの属性マッピング」の説明

ロール権限の属性

表3-10に、Oracle Identity Governanceのプロセス・フォーム・フィールドとSAP AC UMEの属性間のロール固有の属性マッピングを示します。この表では、特定のロールがプロビジョニング時に必須かどうかを示します。また、リコンシリエーション中に特定の属性が使用されるかどうか、およびこの属性がリコンシリエーション中のレコードのフェッチ用の一致キー・フィールドであるかどうかも示しています。

必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』ターゲット・アプリケーションの作成に関する項で説明されているように、「スキーマ」ページで新しい属性を追加するか、既存の属性を削除することにより、これらの属性マッピングを編集できます。

表3-10 ロール権限のデフォルトの属性マッピング

表示名 ターゲット属性 データ型 必須プロビジョニング・プロパティ リコンシリエーション・フィールド キー・フィールド 大/小文字を区別しない
データソース   String × × × ×
ロール umerole;itemnameReqLineItem String ×
図3-6に、デフォルトのロール権限マッピングを示します。

図3-6 ロール権限のデフォルトの属性マッピング

図3-6の説明が続きます
「図3-6 ロール権限のデフォルトの属性マッピング」の説明

3.4 相関ルール

ターゲット・アプリケーションおよび認可アプリケーションの事前定義済ルール、レスポンスおよび状況について学習します。これらのルールおよびレスポンスは、リコンシリエーションを実行するためにコネクタによって使用されます。

3.4.1 SAP UMEコネクタのルール、状況およびレスポンス

ターゲット・アプリケーションを作成すると、コネクタによって相関ルールが使用され、Oracle Identity Governanceがリソースを割り当てる必要があるアイデンティティが判別されます。

事前定義済のアイデンティティ相関ルール

デフォルトでは、SAP UMEコネクタにより、ターゲット・アプリケーションの作成時に単純相関ルールが提示されます。コネクタは、この相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。

表3-11に、SAP UMEコネクタのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集したり、新しいルールを追加することができます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』アイデンティティ相関ルールの更新に関する項を参照してください。

表3-11 SAP UMEコネクタの事前定義済アイデンティティ相関ルール

ターゲット属性 要素演算子 アイデンティティ属性 大/小文字の区別

__NAME__

Equals

ユーザー・ログイン

×
このアイデンティティ・ルールでは、次のようになります。

  • __NAME__は、ユーザー・アカウントを識別するターゲット・システム上の単一値の属性です。

  • 「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。

図3-7に、SAP UMEコネクタの単純相関ルールを示します

図3-7 SAP UMEコネクタの単純相関ルール

図3-7の説明が続きます
「図3-7 SAP UMEコネクタの単純相関ルール」の説明

事前定義済の状況とレスポンス

SAP UMEコネクタにより、ターゲット・アプリケーションの作成時にデフォルトの一連の状況およびレスポンスが提示されます。これらの状況とレスポンスにより、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションを指定します。

表3-12に、SAP UMEコネクタのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集したり、新しいものを追加することができます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』状況とレスポンスの更新に関する項を参照してください。

表3-12 SAP UMEコネクタの事前定義済の状況およびレスポンス

状況 レスポンス

1つのエンティティ一致が見つかった場合

リンクの確立

1つのプロセス一致が見つかった場合

リンクの確立
図3-8は、コネクタでデフォルトで提供される状況とレスポンスを示しています。

図3-8 SAP UMEコネクタの事前定義済の状況およびレスポンス

図3-8の説明が続きます
「図3-8 SAP UMEコネクタの事前定義済の状況およびレスポンス」の説明

3.4.2 SAP AC UMEコネクタのルール、状況およびレスポンス

ターゲット・アプリケーションを作成すると、コネクタによって相関ルールが使用され、Oracle Identity Governanceがリソースを割り当てる必要があるアイデンティティが判別されます。

事前定義済のアイデンティティ相関ルール

デフォルトでは、SAP AC UMEコネクタにより、ターゲット・アプリケーションの作成時に単純相関ルールが提示されます。コネクタは、この相関ルールを使用して、Oracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。

表3-13に、SAP AC UMEコネクタのデフォルトの単純相関ルールを示します。必要に応じて、デフォルトの相関ルールを編集したり、新しいルールを追加することができます。複合相関ルールを作成することもできます。単純相関ルールまたは複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』アイデンティティ相関ルールの更新に関する項を参照してください。

表3-13 SAP AC UMEコネクタの事前定義済アイデンティティ相関ルール

ターゲット属性 要素演算子 アイデンティティ属性 大/小文字の区別

userId;UserInfo

Equals

ユーザー・ログイン

×
このアイデンティティ・ルールでは、次のようになります。

  • userId;UserInfoは、ユーザー・アカウントのユーザーIDを識別するターゲット・システムの単一値属性です。

  • 「ユーザー・ログイン」は、OIGユーザー・フォームのフィールドです。

図3-9に、SAP AC UMEコネクタの単純相関ルールを示します

図3-9 SAP AC UMEコネクタの単純相関ルール

図3-9の説明が続きます
「図3-9 SAP AC UMEコネクタの単純相関ルール」の説明

事前定義済の状況とレスポンス

SAP AC UMEコネクタにより、ターゲット・アプリケーションの作成時にデフォルトの一連の状況およびレスポンスが提示されます。これらの状況とレスポンスにより、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceが実行する必要があるアクションを指定します。

SAP AC UMEコネクタのデフォルトの状況とレスポンスを示します。必要に応じて、これらのデフォルトの状況とレスポンスを編集したり、新しいものを追加することができます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』状況とレスポンスの更新に関する項を参照してください。

表3-14 SAP AC UMEコネクタの事前定義済の状況およびレスポンス

状況 レスポンス

1つのエンティティ一致が見つかった場合

リンクの確立

1つのプロセス一致が見つかった場合

リンクの確立

図3-10は、コネクタでデフォルトで提供される状況とレスポンスを示しています。

図3-10 SAP AC UMEコネクタの事前定義済の状況およびレスポンス

図3-10の説明が続きます
「図3-10 SAP AC UMEコネクタの事前定義済の状況およびレスポンス」の説明

3.5 リコンシリエーション・ジョブ

これらは、アプリケーションの作成後に、コネクタによって作成されるリコンシリエーション・ジョブです

3.5.1 SAP UMEコネクタのリコンシリエーション・ジョブ

これらは、ターゲット・システムのアプリケーションを作成した後にOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブです。

これらの事前定義済のジョブを使用することも、要件に合うように編集することもできます。また、カスタム・リコンシリエーション・ジョブを作成することもできます。これらの事前定義済のジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』リコンシリエーション・ジョブの更新に関する項を参照してください。

ノート:

アプリケーションを作成すると、すべてのジョブに接頭辞としてアプリケーション名が付けられます。たとえば、SAPUMEAPP SAP UMEグループ参照リコンシリエーションのSAPUMEAPPはアプリケーション名です。

完全ユーザー・リコンシリエーション・ジョブ

SAP UMEターゲット・ユーザー・リコンシリエーション・ジョブは、ターゲット・システムからすべてのユーザー・レコードをフェッチするために使用されます。

表3-15 SAP UMEターゲット・ユーザー・リコンシリエーション・ジョブのパラメータ

パラメータ 説明

アプリケーション名

ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。

サンプル値: SAPUMEAPP

フィルタ

スケジュール済ジョブがリコンサイルする必要があるレコードをフィルタ処理する式を入力します。

サンプル値: equalTo('__UID__','SEPT12USER1')

デフォルト値: None

作成して使用できるフィルタ式の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』ICFフィルタ構文に関する項を参照してください。

オブジェクト・タイプ

リコンサイルするオブジェクトのタイプを入力します。

デフォルト値: User

ユーザー削除リコンシリエーション・ジョブ

SAP UMEターゲット・ユーザー削除リコンシリエーション・ジョブは、ターゲット・アプリケーションから削除されたユーザー・アカウントに関するデータをリコンサイルする場合に使用します。

表3-16 SAP UMEターゲット・ユーザー削除リコンシリエーション・ジョブのパラメータ

パラメータ 説明

アプリケーション名

ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。

この値は修正しないでください。

サンプル値: SAPUMEAPP
オブジェクト・タイプ リコンサイルするオブジェクトのタイプを入力します。

サンプル値: User

権限のリコンシリエーション・ジョブ

権限のリコンサイルには、次のジョブを使用できます。

  • SAP UMEグループ参照リコンシリエーション: このリコンシリエーション・ジョブは、Oracle Identity Governanceのグループ参照フィールドをターゲット・システムのグループ関連データと同期させるために使用されます。

  • SAP UMEロール参照リコンシリエーション: このリコンシリエーション・ジョブは、Oracle Identity Governanceのロール参照フィールドをターゲット・システムのロール関連データと同期させるために使用されます。

両方のリコンシリエーション・ジョブのパラメータは同じです。

表3-17 SAP UMEコネクタの権限用のリコンシリエーション・ジョブのパラメータ

パラメータ 説明

アプリケーション名

ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。

この値は修正しないでください。

デフォルト値: SAPUMEAPP

参照名

このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。

デフォルト値は、使用するリコンシリエーション・ジョブに応じて次のようになります。

  • SAPUMEAPP SAP UMEグループ参照リコンシリエーション: Lookup.SAPUME.UM.Group

  • SAPUMEAPP SAP UMEロール参照リコンシリエーション: Lookup.SAPUME.UM.Role

オブジェクト・タイプ

値を同期するオブジェクトのタイプを入力します。

デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。

  • SAPUMEAPP SAP UMEグループ参照リコンシリエーション: GROUP

  • SAPUMEAPP SAP UMEロール参照リコンシリエーション: Role

コード・キー属性

参照定義のコード・キー列への移入に使用される、コネクタまたはターゲット・システムの属性名を入力します(参照名属性の値として指定)。

使用しているスケジュール済ジョブに応じて、コード・キー属性のデフォルト値は次のようになります。

  • SAPUMEAPP SAP UMEグループ参照リコンシリエーション: id

  • SAPUMEAPP SAP UMEロール参照リコンシリエーション: id

デコード属性

参照定義のデコード属性列への移入に使用される、コネクタまたはターゲット・システムの属性名を入力します(参照名属性の値として指定)。

使用しているスケジュール済ジョブに応じて、デコード属性のデフォルト値は次のようになります。

  • SAPUMEAPP SAP UMEグループ参照リコンシリエーション: description

  • SAPUMEAPP SAP UMEロール参照リコンシリエーション: description

3.5.2 SAP AC UMEコネクタのリコンシリエーション・ジョブ

これらは、SAP AC UMEターゲット・システムのアプリケーションを作成した後にOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブです。

これらの事前定義済のジョブを使用することも、要件に合うように編集することもできます。また、カスタム・リコンシリエーション・ジョブを作成することもできます。これらの事前定義済のジョブの編集または新しいジョブの作成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』リコンシリエーション・ジョブの更新に関する項を参照してください。

ノート:

アプリケーションを作成すると、すべてのジョブに接頭辞としてアプリケーション名が付けられます。たとえば、SAPACUMEAPP SAP AC UME BusinessProcess参照リコンシリエーションでは、SAPACUMEAPPがアプリケーション名です。

完全ユーザー・リコンシリエーション・ジョブ

SAP AC UMEターゲット・ユーザー・リコンシリエーション・ジョブは、ターゲット・システムからすべてのユーザー・レコードをフェッチするために使用されます。

表3-18 SAP AC UMEターゲット・ユーザー・リコンシリエーション・ジョブのパラメータ

パラメータ 説明

アプリケーション名

ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。

サンプル値: SAPACUMEAPP

フィルタ

スケジュール済ジョブがリコンサイルする必要があるレコードをフィルタ処理する式を入力します。

作成して使用できるフィルタ式の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』ICFフィルタ構文に関する項を参照してください。

オブジェクト・タイプ

リコンサイルするオブジェクトのタイプ。

デフォルト値: User

ユーザー削除リコンシリエーション・ジョブ

SAP AC UMEターゲット・ユーザー削除リコンシリエーション・ジョブは、ターゲット・アプリケーションから削除されたユーザー・アカウントに関するデータをリコンサイルする場合に使用します。

表3-19 SAP AC UMEターゲット・ユーザー削除リコンシリエーション・ジョブのパラメータ

パラメータ 説明

アプリケーション名

ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。

この値は修正しないでください。

サンプル値: SAPACUMEAPP

オブジェクト・タイプ

リコンサイルするオブジェクトのタイプ。

デフォルト値: User

SAP AC UMEユーザー削除リコンシリエーション

 SAP AC UMEターゲット・ユーザー削除リコンシリエーション・スケジュール済ジョブを使用して、削除されたユーザーのデータをターゲット・システムからリコンサイルします。リコンシリエーションの実行時には、ターゲット・システム上の削除されたユーザー・アカウントごとに、対応するOIGユーザーのSAP AC UMEリソースが削除されます。

デフォルト値: Application Name

SAP AC UMEリクエスト・ステータス・ジョブ

SAP AC UMEリクエスト・ステータス・リコンシリエーション・ジョブを使用して、SAP BusinessObjects ACターゲット・システムからリクエスト・ステータスをリコンサイルします。

表3-20 SAP AC UMEリクエスト・ステータス・リコンシリエーション・ジョブのパラメータ

パラメータ 説明

アプリケーション名

ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。

この値は修正しないでください。

オブジェクト・タイプ

リコンサイルするオブジェクトのタイプ。

デフォルト値: Status

カスタム参照名

参照定義の名前。

デフォルト値: Lookup.SAPACUME.Status.ReconAttrMap

リソース・オブジェクト名

リコンシリエーションを実行する必要のあるリソース・オブジェクトの名前。

デフォルト値: SAP AC UME Resource Object

ITリソース名

コネクタがデータのリコンサイルに使用すべきITリソース・インスタンスの名前。

デフォルト値: SAP AC UME IT Resource

スケジュール済タスク名

スケジュール済タスクの名前。

デフォルト値: SAP AC UME Request Status

ノート:

SAP AC UMEリクエスト・ステータス・リコンシリエーション・ジョブを実行するには、コネクタの構成中に作成された名前に基づいて、「アプリケーション名」と「ITリソース名」のパラメータを更新する必要があります。たとえば、コネクタの名前がSAPACUMEの場合、「アプリケーション名」をSAPACUMEに、「ITリソース名」をSAPACUMEに更新します。

権限のリコンシリエーション・ジョブ

参照フィールドの同期には次のジョブを使用できます。参照フィールド同期およびリコンシリエーションのためにこのようなスケジュール済ジョブを構成できます。

  • SAP AC UME BusinessProcess参照リコンシリエーション

  • SAP AC UME FunctionalArea参照リコンシリエーション

  • SAP AC UMEグループ参照リコンシリエーション

  • SAP AC UME ItemProvAction参照リコンシリエーション

  • SAP AC UME Priority参照リコンシリエーション

  • SAP AC UME ReqInitSystem参照リコンシリエーション

  • SAP AC UMEリクエスト・タイプ参照リコンシリエーション

  • SAP AC UMEロール参照リコンシリエーション

リコンシリエーション・ジョブのパラメータはすべて同じです。

表3-21 SAP AC UMEコネクタの権限用のリコンシリエーション・ジョブのパラメータ

パラメータ 説明

アプリケーション名

ターゲット・システム用として作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成時に「アプリケーション名」フィールドで指定した値と同じです。

サンプル値: SAPACUMEAPP

コード・キー属性

参照定義のコード・キー列への移入に使用される、コネクタまたはターゲット・システムの属性名を入力します(参照名属性の値として指定)。

デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。

  • SAP AC UME BusinessProcess参照リコンシリエーション: LCODE

  • SAP AC UME FunctionalArea参照リコンシリエーション: LCODE

  • SAP AC UMEグループ参照リコンシリエーション: uniquename

  • SAP AC UME ItemProvAction参照リコンシリエーション: LCODE

  • SAP AC UME Priority参照リコンシリエーション: LCODE

  • SAP AC UME ReqInitSystem参照リコンシリエーション: REQSYSCODE

  • SAP AC UMEリクエスト・タイプ参照リコンシリエーション: LCODE

  • SAP AC UMEロール参照リコンシリエーション: uniquename

デコード属性

参照定義のコード・キー列への移入に使用される、コネクタまたはターゲット・システムの属性名を入力します(参照名属性の値として指定)。

デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。

  • SAP AC UME BusinessProcess参照リコンシリエーション: LDECODE

  • SAP AC UME FunctionalArea参照リコンシリエーション: LDECODE

  • SAP AC UMEグループ参照リコンシリエーション: description

  • SAP AC UME ItemProvAction参照リコンシリエーション: LDECODE

  • SAP AC UME Priority参照リコンシリエーション: LDECODE

  • SAP AC UME ReqInitSystem参照リコンシリエーション: REQSYSDECODE

  • SAP AC UMEリクエスト・タイプ参照リコンシリエーション: LDECODE

  • SAP AC UMEロール参照リコンシリエーション: description

参照名

このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。

デフォルト値は、使用するリコンシリエーション・ジョブに応じて次のようになります。

  • SAP AC UME BusinessProcess参照リコンシリエーション: Lookup.SAPACUME.Bproc

  • SAP AC UME FunctionalArea参照リコンシリエーション: Lookup.SAPACUME.Funcarea

  • SAP AC UMEグループ参照リコンシリエーション: Lookup.SAPACUME.Group

  • SAP AC UME ItemProvAction参照リコンシリエーション: Lookup.SAPAC10UME.ItemProvAction

  • SAP AC UME Priority参照リコンシリエーション: Lookup.SAPACUME.Priority

  • SAP AC UME ReqInitSystem参照リコンシリエーション: Lookup.SAPACUME.ReqInitSystem

  • SAP AC UMEリクエスト・タイプ参照リコンシリエーション: Lookup.SAPAC10UME.RequestType

  • SAP AC UMEロール参照リコンシリエーション: Lookup.SAPACUME.Role

オブジェクト・クラス

同期させる必要のある値を含むオブジェクトのクラスを入力します。

デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。

  • SAP AC UME BusinessProcess参照リコンシリエーション: BusProc

  • SAP AC UME FunctionalArea参照リコンシリエーション: FunctionArea

  • SAP AC UMEグループ参照リコンシリエーション: _GROUP_

  • SAP AC UME ItemProvAction参照リコンシリエーション: ItemProvActionType

  • SAP AC UME Priority参照リコンシリエーション: PriorityType

  • SAP AC UME ReqInitSystem参照リコンシリエーション: SYSTEM

  • SAP AC UMEリクエスト・タイプ参照リコンシリエーション: RequestType

  • SAP AC UMEロール参照リコンシリエーション: _ROLE_

オブジェクト・タイプ

値を同期するオブジェクトのタイプを入力します。

デフォルト値は、使用しているスケジュール済ジョブに応じて次のようになります。

  • SAP AC UME BusinessProcess参照リコンシリエーション: BusProc

  • SAP AC UME FunctionalArea参照リコンシリエーション: FunctionArea

  • SAP AC UMEグループ参照リコンシリエーション: Group

  • SAP AC UME ItemProvAction参照リコンシリエーション: ItemProvActionType

  • SAP AC UME Priority参照リコンシリエーション: Priority Type

  • SAP AC UME ReqInitSystem参照リコンシリエーション: SYSTEM

  • SAP AC UMEリクエスト・タイプ参照リコンシリエーション: RequestType

  • SAP AC UMEロール参照リコンシリエーション: Role