1. SAP User Management Engineアプリケーションの構成
  2. SAP User Management Engineコネクタの既知の問題と制限事項

8 SAP User Management Engineコネクタの既知の問題と制限事項

ここでは、SAP UMEコネクタに関連する既知の問題と制限事項について説明します。

この章では、次の項目について説明します。

8.1 既知の問題

ここでは、このリリースのコネクタに関連する既知の問題と回避策について説明します。

8.1.1 コネクタの問題

ここでは、コネクタに関連する既知の問題と回避策について説明します。

8.1.1.1 SoDチェック時のエラー

SoDチェック時に、SAP GRC Webサービスから返されるデータが4000文字を超えた場合、最初の4000文字しか表示されません。

回避策: SAP GRCターゲット・システムから取得した違反詳細のサイズが4000文字を超える場合、SODCheckViolationフィールドの「Length」を、違反データの予測されるサイズに基づいて更新する必要があります。

8.1.1.2 デコード値ではなくコード・キー値が表示される

管理およびユーザー・コンソールのユーザー・フォームでユーザー・リコンシリエーションを実行後、編集フォームと表示フォームにデコードの値ではなくコード・キーの値が表示されます。

回避策: この問題の対する回避策はありません。

8.1.1.3 ターゲット・サーバーへのアクセスまたはコネクタ・サーバーの実行でエラーが返される

connectorserver.usesslプロパティをtrue に設定し、ターゲット・システムの証明書をコネクタ・サーバーのJDKキーストアにインポートして、SSLを使用してコネクタ・サーバーと通信するようにコネクタを構成した場合、ターゲット・システムにアクセスしようとしたり、コネクタ・サーバーを実行しようとすると、エラーが返されます。

回避策: この問題の対する回避策はありません。

8.1.1.4 アップグレード後の問題

コネクタをアップグレードする前に、次のデフォルトの参照デコード値がターゲット構成値でアップグレードされます。

  • Lookup.SAPUME.Configuration

  • Lookup.SAPUME.UM.ProvAttrMap

  • Lookup.SAPUME.UM.ReconAttrMap

  • Lookup.SAPAC10UME.Configuration

  • Lookup.SAPAC10UME.UM.ProvAttrMap

  • Lookup.SAPAC10UME.UM.ReconAttrMap

コネクタをアップグレードすると、次の表のように、デフォルトのデコード値を使用した重複エントリが生成されます。

表8-1 Lookup.SAPUME.Configuration参照定義のエントリ

コード デコード

バンドルのバージョン

12.3.0

SOD構成参照

Lookup.SAPUME.Configuration

ユーザー構成参照

Lookup.SAPUME.UM.Configuration

コネクタ名

org.identityconnectors.sapume.SAPUMEConnector

バンドル名

org.identityconnectors.sapume

ロール属性名

ROLENAME

RoleAttributeLabel

Role

SODSystemKey

GRCACEP

ロール・フォーム名

UD_UMERC_P;UD_UME_ROLE

entitlementRiskAnalysisWS

oracle.iam.grc.sod.scomp.impl.grcsap.util.webservice.sap.ac10.RiskAnalysisWithoutNoentitlementRiskAnalysisAccessURL

wsdlFilePath

None

グループ・フォーム名

UD_UME_GRP

グループ属性名

GROUPNAME

ConnectorImplType

SAPUME
次の表は、Lookup.SAPUME.UM.ProvAttrMap参照定義のエントリのリストです。

表8-2 Lookup.SAPUME.UM.ProvAttrMap参照定義のエントリ

コード デコード

市区町村

city

country

部門

department

電子メール・アドレス

email

アカウント有効期限最終日[日付]

validto

FAX

fax

firstname

アドレス書式

salutation

言語

locale

lastname

ログオン名

__NAME__

モバイル

mobile

名前

displayname

パスワード

__PASSWORD__

担当

jobtitle

セキュリティ・ポリシー

securitypolicy

アカウント有効期限開始日[日付]

validfrom

都道府県

state

番地

streetaddress

電話

telephone

タイムゾーン

timezone

役職

title

UD_UME_GRP~Group[Lookup]

assignedgroups

UD_UME_ROLE~Role[Lookup]

assignedroles

一意のID

__UID__

ユーザー・アカウントのロック

islocked

郵便番号

zip
次の表は、Lookup.SAPUME.UM.ReconAttrMap参照定義のエントリのリストです。

表8-3 Lookup.SAPUME.UM.ReconAttrMap参照定義のエントリ

コード デコード

市区町村

city

country

部門

department

電子メール・アドレス

email

アカウント有効期限最終日[日付]

validto

FAX

fax

firstname

アドレス書式

salutation

Groups~Group[Lookup]

assignedgroups

言語

locale

lastname

ログオン名

logonname

モバイル

mobile

名前

displayname

担当

jobtitle

Roles~Role[Lookup]

assignedroles

セキュリティ・ポリシー

securitypolicy

アカウント有効期限開始日[日付]

validfrom

都道府県

state

ステータス

__ENABLE__

番地

streetaddress

電話

telephone

タイムゾーン

timezone

役職

title

一意のID

id

ユーザー・アカウントのロック

islocked

郵便番号

zip
次の表は、Lookup.SAPAC10UME.Configuration参照定義のエントリのリストです。

表8-4 Lookup.SAPAC10UME.Configuration参照定義のエントリ

コード デコード

appLookupAccessURL

None

appLookupWS

oracle.iam.ws.sap.ac10.SelectApplication

assignRoleReqType

002~Change Account~002~006

auditLogsAccessURL

None

auditLogsWS

oracle.iam.ws.sap.ac10.AuditLogs

バンドル名

org.identityconnectors.sapacume

バンドルのバージョン

12.3.0

ConnectorImplType

SAPUME

コネクタ名

org.identityconnectors.sapacume.SAPACUMEConnector

createUserReqType

001~New Account~001

deleteUserReqType

003~Delete Account~003

ignoreOpenStatus

Yes

lockUserReqType

004~Lock Account~004

logAuditTrial

Yes

modifyUserReqType

002~Change Account~002

otherLookupAccessURL

None

otherLookupWS

oracle.iam.ws.sap.ac10.SearchLookup

provActionAttrName

provAction;ReqLineItem

provItemActionAttrName

provItemAction;ReqLineItem

removeRoleReqType

002~Change Account~002~009

requestStatusAccessURL

None

requestStatusValue

OK

requestStatusWS

oracle.iam.ws.sap.ac10.RequestStatus

requestTypeAttrName

Reqtype;Header

riskLevel

High

roleLookupAccessURL

None

roleLookupWS

oracle.iam.ws.sap.ac10.SearchRoles

ステータス構成参照

Lookup.SAPACUME.Status.Configuration

unlockUserReqType

005~unlock user~005

userAccessWS

oracle.iam.ws.sap.ac10.UserAccess

ユーザー構成参照

Lookup.SAPAC10UME.UM.Configuration

wsdlFilePath

None
次の表は、Lookup.SAPAC10UME.UM.ProvAttrMap参照定義のエントリのリストです。

表8-5 Lookup.SAPAC10UME.UM.ProvAttrMap参照定義のエントリ

コード デコード

ACビジネス・プロセス[参照]

bproc;Header

アカウント番号

accno;UserInfo

AC機能領域[参照]

funcarea;Header

ACマネージャ

manager;UserInfo

ACマネージャ

email managerEmail;UserInfo

ACマネージャの名

managerFirstname;UserInfo

ACマネージャの姓

managerLastname;UserInfo

AC優先度[参照]

priority;Header

ACリクエスト・タイプの期日[日付]

reqDueDate;Header

ACリクエストID[WRITEBACK]

RequestId

ACリクエスタの電子メール

email;Header

ACリクエスタID

requestorId;Header

ACリクエストの理由

requestReason;Header

ACリクエスト・ステータス[WRITEBACK]

RequestStatus

ACリクエスト・タイプ[WRITEBACK]

RequestType

ACシステム[参照]

reqInitSystem;Header

市区町村

city

country

部門

department;UserInfo

電子メール・アドレス

email;UserInfo

アカウント有効期限最終日[日付]

validTo;UserInfo

FAX

fax;UserInfo

fname;UserInfo

アドレス書式

personnelarea;UserInfo

言語

logonLang;UserInfo

lname;UserInfo

ログオン名

userId;UserInfo

モバイル

personnelno;UserInfo

名前

displayname

パスワード

__PASSWORD__

担当

empposition;UserInfo

セキュリティ・ポリシー

securitypolicy

アカウント有効期限開始日[日付]

validFrom;UserInfo

都道府県

state

番地

streetaddress

電話

telnumber;UserInfo

タイムゾーン

timezone

UD_ACUMEGRP~Group[Lookup]

umegroup;itemName;ReqLineItem

UD_ACUMEROL~Role[Lookup]

umerole;itemName;ReqLineItem

一意のID

__UID__

ユーザー・アカウントのロック

userLock;None

郵便番号

zip
次の表は、Lookup.SAPAC10UME.UM.ReconAttrMap参照定義のエントリのリストです。

表8-6 Lookup.SAPAC10UME.UM.ReconAttrMap参照定義のエントリ

コード デコード

市区町村

city

country

部門

department;UserInfo

電子メール・アドレス

email;UserInfo

アカウント有効期限最終日[日付]

validTo;UserInfo

ファックス

fax;UserInfo

fname;UserInfo

アドレス書式

personnelarea;UserInfo

Groups~Group[Lookup]

assignedgroups

言語

logonLang;UserInfo

lname;UserInfo

ログオン名

userId;UserInfo

モバイル

personnelno;UserInfo

名前

displayname

担当

empposition;UserInfo

Roles~Role[Lookup]

assignedroles

セキュリティ・ポリシー

securitypolicy

アカウント有効期限開始日[日付]

validFrom;UserInfo

都道府県

state

ステータス

__ENABLE__

番地

streetaddress

電話

telnumber;UserInfo

タイムゾーン

timezone

一意のID

__UID__

ユーザー・アカウントのロック

userLock;None

郵便番号

zip

回避策: デフォルトのデコード値を使用した重複エントリの各インスタンスを手動で削除します。

8.1.1.5 タイムゾーン、国、ロケールの参照データが動的ではない

プロビジョニングとリコンシリエーションの際に、タイムゾーン、国、ロケールの参照値が以前のバージョンのNetweaverで生成されたために、参照データが、ターゲット・システムと一致しない場合があります。

回避策: ターゲットと参照のデータが一致しない場合、顧客はOIM Design Consoleで参照を手動で変更する必要があります。

8.1.2 Oracle Identity Governanceの問題

次に示すのは、Oracle Identity Governanceに関連する問題と回避策です。

8.1.2.1 アカウント取消しタスクが拒否されるとOIGアカウントを更新できない

Access Request Management (AC)のフローで、OIGでアカウントの削除をトリガーし、GRCで同じアカウントの取り消しリクエストを拒否した場合、アカウントはSAP NetWeaver Java Applicationサーバー(バックエンドJava Stack)でアクティブなままになり、そのアカウントの詳細をOIGで変更できません。

回避策: この問題の対する回避策はありません。

8.1.2.2 Enterprise Portalでユーザーをプロビジョニングする際の9999日付問題

システムで有効日付を31/12/9999に設定したGRCアクセス・リクエストを介してEnterprise Portalでユーザーを作成すると、次のエラー・メッセージが生成されます。

Exception while creating user: BAPI_USER_CREATE1@GR1CLNT001: TYPE=E, ID=S5, NUMBER=003,

回避策: GRCFND_A SP 10上で次のSNOTEを適用します。

  • SNOTE 2653244

  • SNOTE 2203867

8.2 ターゲット・システムの機能および特定のコネクタに関連する制限事項

次に示すのは、ターゲット・システムの機能および特定のコネクタに関連する制限事項です。

  • SPML UME APIは、最終変更日の値が指定日より後のレコードは戻しません。このため、コネクタは増分リコンシリエーションをサポートできません。

  • 構成可能なバッチ・リコンシリエーションはサポートされません。コネクタは、ターゲット・システムで許可される有効な文字で始まるログイン名を持つユーザー・レコードを最初にフェッチするときに、バッチ・リコンシリエーションを暗黙的に実行します。

さらに、次の項でコネクタの特定の制限事項について説明します。

8.2.1 コネクタのAS ABAPデータ・ソースの制限事項

コネクタのAS ABAPデータ・ソースに関連する制限事項を次に示します。

  • ユーザーを検索する際の制限

    検索では、AS Javaツールを使用して実行されたアクションのみが考慮されます。このため、コネクタで最終変更タイムスタンプを使用して検索することはできません。

  • SAP User Management Engine (UME)ユーザー属性のリスト

    AS ABAPデータ・ソースを使用してSAP UMEからの読取りまたはSAP UMEへの書き込みが可能なユーザー属性のリストは固定されており、拡張できません。バックエンドAS ABAPシステムに属性を追加することはできますが、これらの属性はSAP UMEではサポートされません。

  • SAP UMEでのAS ABAPロールの表示の遅延

    新規のAS ABAPロールを作成したり、既存のAS ABAPロールの説明を変更すると、これらの変更が最大30分間、SAP UMEに表示されないことがあります。SAP UMEは、AS ABAPデータ・ソースからこのデータを30分おきに読み取ります。SAP UMEにAS ABAPデータ・ソースからデータを読み取らせるには、AS Javaを再起動する必要があります。このため、リコンシリエーション操作を実行すると、最近作成されたロールが失われることがあります。

  • Central User Administration (CUA)環境での制限

    SAP UMEでは、集中システムにあるロールのみ表示できます。子システムのロールは、SAP UMEには表示されません。このため、コネクタからは集中システムへのロールの割当てのみ表示および保守できます。

  • SAP UMEでは、AS ABAPデータ・ソースでのアドレス書式属性およびタイムゾーン属性の保守をサポートしていません。

8.2.2 AS ABAPロールを表すグループの制限事項

ターゲット・システムのAS ABAPロールを表すSAP UMEグループには、コネクタに関して次の制限事項があります。

  • ABAPユーザーは、ABAPロールを表すSAP UMEグループにのみ割り当てることができます。

  • 現在の日付が、AS ABAPデータソース内の対応するユーザー・ロール割当ての有効期間外である場合、SAP UMEでユーザー・グループ割当てを表示できません。

  • ユーザーが対応するABAPロールがすでに割り当てられている場合に、そのユーザーにSAP UMEグループを割り当てようとすると、現在の日付が有効期間外の場合、エラー・メッセージが表示されます。

  • ABAPでのユーザーへのロール割当てが、集合ロールまたは組織管理によって行われる場合、対応するSAP UMEグループからそのユーザーを割当て解除することはできません。

  • ABAPでのユーザーへのロール割当てが、参照ユーザーを介した間接割当て(トランザクションSU01で表示可能)によって行われる場合、対応するSAP UMEグループからそのユーザーを割当て解除することはできません。

  • ABAPでのユーザーへのロール割当てが、直接および間接割当てによって同時に行われる場合、対応するSAP UMEグループからそのユーザーを割当て解除することはできません。

    たとえば、ユーザー管理者ADMINがユーザーUSER1をロールZ_DIRECTとZ_COLLECTに割り当てたとします。Z_COLLECTはロールZ_DIRECTを含む集合ロールです。ADMINがAS Javaのアイデンティティ管理を使用する場合、ADMINはSAP UMEグループZ_DIRECTからUSER1を割当て解除できません。このABAPロールはABAPロールZ_COLLECTによっても間接的に割り当てられているためです。

  • SAP UMEで作成された新規グループは、ローカル・データベースに保存されます。

8.2.3 コネクタでのロール管理の制限事項

コネクタは、ユーザーへの次のタイプのロール割当てをサポートしています。

  • SAP Enterprise Portalに表示する内容を定義するロール

    • ポータル・ロール

      これらのロールは、SAP Enterprise Portalに適用できます。コネクタは、ユーザーへのこれらのロールの割当てをサポートしています。

  • バックエンド・システムでユーザーが持つ権限を定義するロール

    • UME権限ロール

      これらのロールは、プログラムによる権限チェックをサポートしています。コネクタは、ユーザーへのこれらのロールの割当てをサポートしています。

    • J2EEセキュリティ・ロール

      これらのロールは、宣言的な権限チェックをサポートしています。コネクタは、ユーザーへのこれらのロールの割当てをサポートしていません。これらのロールは、J2EE EngineのVisual Administratorツールから管理する必要があります。

    • ABAP権限ロール

      これらのロールは、SAP UMEがABAPデータ・ソースで構成されている場合に適用できます。これらのロールは、SAP UMEでグループとして表示されます。SAP UMEインスタンスでこれらがサポートされるかどうかをチェックする必要があります。SAP UMEインスタンスでサポートされる場合、コネクタはこれらのロールの割当てをサポートします。