8 SAP User Management Engineコネクタの既知の問題と制限事項
ここでは、SAP UMEコネクタに関連する既知の問題と制限事項について説明します。
この章では、次の項目について説明します。
8.1 既知の問題
ここでは、このリリースのコネクタに関連する既知の問題と回避策について説明します。
8.1.1 コネクタの問題
ここでは、コネクタに関連する既知の問題と回避策について説明します。
8.1.1.1 SoDチェック時のエラー
SoDチェック時に、SAP GRC Webサービスから返されるデータが4000文字を超えた場合、最初の4000文字しか表示されません。
回避策: SAP GRCターゲット・システムから取得した違反詳細のサイズが4000文字を超える場合、SODCheckViolationフィールドの「Length」を、違反データの予測されるサイズに基づいて更新する必要があります。
8.1.1.2 デコード値ではなくコード・キー値が表示される
管理およびユーザー・コンソールのユーザー・フォームでユーザー・リコンシリエーションを実行後、編集フォームと表示フォームにデコードの値ではなくコード・キーの値が表示されます。
回避策: この問題の対する回避策はありません。
8.1.1.3 ターゲット・サーバーへのアクセスまたはコネクタ・サーバーの実行でエラーが返される
connectorserver.usesslプロパティをtrue に設定し、ターゲット・システムの証明書をコネクタ・サーバーのJDKキーストアにインポートして、SSLを使用してコネクタ・サーバーと通信するようにコネクタを構成した場合、ターゲット・システムにアクセスしようとしたり、コネクタ・サーバーを実行しようとすると、エラーが返されます。
回避策: この問題の対する回避策はありません。
8.1.1.4 アップグレード後の問題
-
Lookup.SAPUME.Configuration
-
Lookup.SAPUME.UM.ProvAttrMap
-
Lookup.SAPUME.UM.ReconAttrMap
-
Lookup.SAPAC10UME.Configuration
-
Lookup.SAPAC10UME.UM.ProvAttrMap
-
Lookup.SAPAC10UME.UM.ReconAttrMap
表8-1 Lookup.SAPUME.Configuration参照定義のエントリ
コード | デコード |
---|---|
バンドルのバージョン |
12.3.0 |
SOD構成参照 |
Lookup.SAPUME.Configuration |
ユーザー構成参照 |
Lookup.SAPUME.UM.Configuration |
コネクタ名 |
org.identityconnectors.sapume.SAPUMEConnector |
バンドル名 |
org.identityconnectors.sapume |
ロール属性名 |
ROLENAME |
RoleAttributeLabel |
Role |
SODSystemKey |
GRCACEP |
ロール・フォーム名 |
UD_UMERC_P;UD_UME_ROLE |
entitlementRiskAnalysisWS |
oracle.iam.grc.sod.scomp.impl.grcsap.util.webservice.sap.ac10.RiskAnalysisWithoutNoentitlementRiskAnalysisAccessURL |
wsdlFilePath |
None |
グループ・フォーム名 |
UD_UME_GRP |
グループ属性名 |
GROUPNAME |
ConnectorImplType |
SAPUME |
表8-2 Lookup.SAPUME.UM.ProvAttrMap参照定義のエントリ
コード | デコード |
---|---|
市区町村 |
city |
国 |
country |
部門 |
department |
電子メール・アドレス |
|
アカウント有効期限最終日[日付] |
validto |
FAX |
fax |
名 |
firstname |
アドレス書式 |
salutation |
言語 |
locale |
姓 |
lastname |
ログオン名 |
__NAME__ |
モバイル |
mobile |
名前 |
displayname |
パスワード |
__PASSWORD__ |
担当 |
jobtitle |
セキュリティ・ポリシー |
securitypolicy |
アカウント有効期限開始日[日付] |
validfrom |
都道府県 |
state |
番地 |
streetaddress |
電話 |
telephone |
タイムゾーン |
timezone |
役職 |
title |
UD_UME_GRP~Group[Lookup] |
assignedgroups |
UD_UME_ROLE~Role[Lookup] |
assignedroles |
一意のID |
__UID__ |
ユーザー・アカウントのロック |
islocked |
郵便番号 |
zip |
表8-3 Lookup.SAPUME.UM.ReconAttrMap参照定義のエントリ
コード | デコード |
---|---|
市区町村 |
city |
国 |
country |
部門 |
department |
電子メール・アドレス |
|
アカウント有効期限最終日[日付] |
validto |
FAX |
fax |
名 |
firstname |
アドレス書式 |
salutation |
Groups~Group[Lookup] |
assignedgroups |
言語 |
locale |
姓 |
lastname |
ログオン名 |
logonname |
モバイル |
mobile |
名前 |
displayname |
担当 |
jobtitle |
Roles~Role[Lookup] |
assignedroles |
セキュリティ・ポリシー |
securitypolicy |
アカウント有効期限開始日[日付] |
validfrom |
都道府県 |
state |
ステータス |
__ENABLE__ |
番地 |
streetaddress |
電話 |
telephone |
タイムゾーン |
timezone |
役職 |
title |
一意のID |
id |
ユーザー・アカウントのロック |
islocked |
郵便番号 |
zip |
表8-4 Lookup.SAPAC10UME.Configuration参照定義のエントリ
コード | デコード |
---|---|
appLookupAccessURL |
None |
appLookupWS |
oracle.iam.ws.sap.ac10.SelectApplication |
assignRoleReqType |
002~Change Account~002~006 |
auditLogsAccessURL |
None |
auditLogsWS |
oracle.iam.ws.sap.ac10.AuditLogs |
バンドル名 |
org.identityconnectors.sapacume |
バンドルのバージョン |
12.3.0 |
ConnectorImplType |
SAPUME |
コネクタ名 |
org.identityconnectors.sapacume.SAPACUMEConnector |
createUserReqType |
001~New Account~001 |
deleteUserReqType |
003~Delete Account~003 |
ignoreOpenStatus |
Yes |
lockUserReqType |
004~Lock Account~004 |
logAuditTrial |
Yes |
modifyUserReqType |
002~Change Account~002 |
otherLookupAccessURL |
None |
otherLookupWS |
oracle.iam.ws.sap.ac10.SearchLookup |
provActionAttrName |
provAction;ReqLineItem |
provItemActionAttrName |
provItemAction;ReqLineItem |
removeRoleReqType |
002~Change Account~002~009 |
requestStatusAccessURL |
None |
requestStatusValue |
OK |
requestStatusWS |
oracle.iam.ws.sap.ac10.RequestStatus |
requestTypeAttrName |
Reqtype;Header |
riskLevel |
High |
roleLookupAccessURL |
None |
roleLookupWS |
oracle.iam.ws.sap.ac10.SearchRoles |
ステータス構成参照 |
Lookup.SAPACUME.Status.Configuration |
unlockUserReqType |
005~unlock user~005 |
userAccessWS |
oracle.iam.ws.sap.ac10.UserAccess |
ユーザー構成参照 |
Lookup.SAPAC10UME.UM.Configuration |
wsdlFilePath |
None |
表8-5 Lookup.SAPAC10UME.UM.ProvAttrMap参照定義のエントリ
コード | デコード |
---|---|
ACビジネス・プロセス[参照] |
bproc;Header |
アカウント番号 |
accno;UserInfo |
AC機能領域[参照] |
funcarea;Header |
ACマネージャ |
manager;UserInfo |
ACマネージャ |
email managerEmail;UserInfo |
ACマネージャの名 |
managerFirstname;UserInfo |
ACマネージャの姓 |
managerLastname;UserInfo |
AC優先度[参照] |
priority;Header |
ACリクエスト・タイプの期日[日付] |
reqDueDate;Header |
ACリクエストID[WRITEBACK] |
RequestId |
ACリクエスタの電子メール |
email;Header |
ACリクエスタID |
requestorId;Header |
ACリクエストの理由 |
requestReason;Header |
ACリクエスト・ステータス[WRITEBACK] |
RequestStatus |
ACリクエスト・タイプ[WRITEBACK] |
RequestType |
ACシステム[参照] |
reqInitSystem;Header |
市区町村 |
city |
国 |
country |
部門 |
department;UserInfo |
電子メール・アドレス |
email;UserInfo |
アカウント有効期限最終日[日付] |
validTo;UserInfo |
FAX |
fax;UserInfo |
名 |
fname;UserInfo |
アドレス書式 |
personnelarea;UserInfo |
言語 |
logonLang;UserInfo |
姓 |
lname;UserInfo |
ログオン名 |
userId;UserInfo |
モバイル |
personnelno;UserInfo |
名前 |
displayname |
パスワード |
__PASSWORD__ |
担当 |
empposition;UserInfo |
セキュリティ・ポリシー |
securitypolicy |
アカウント有効期限開始日[日付] |
validFrom;UserInfo |
都道府県 |
state |
番地 |
streetaddress |
電話 |
telnumber;UserInfo |
タイムゾーン |
timezone |
UD_ACUMEGRP~Group[Lookup] |
umegroup;itemName;ReqLineItem |
UD_ACUMEROL~Role[Lookup] |
umerole;itemName;ReqLineItem |
一意のID |
__UID__ |
ユーザー・アカウントのロック |
userLock;None |
郵便番号 |
zip |
表8-6 Lookup.SAPAC10UME.UM.ReconAttrMap参照定義のエントリ
コード | デコード |
---|---|
市区町村 |
city |
国 |
country |
部門 |
department;UserInfo |
電子メール・アドレス |
email;UserInfo |
アカウント有効期限最終日[日付] |
validTo;UserInfo |
ファックス |
fax;UserInfo |
名 |
fname;UserInfo |
アドレス書式 |
personnelarea;UserInfo |
Groups~Group[Lookup] |
assignedgroups |
言語 |
logonLang;UserInfo |
姓 |
lname;UserInfo |
ログオン名 |
userId;UserInfo |
モバイル |
personnelno;UserInfo |
名前 |
displayname |
担当 |
empposition;UserInfo |
Roles~Role[Lookup] |
assignedroles |
セキュリティ・ポリシー |
securitypolicy |
アカウント有効期限開始日[日付] |
validFrom;UserInfo |
都道府県 |
state |
ステータス |
__ENABLE__ |
番地 |
streetaddress |
電話 |
telnumber;UserInfo |
タイムゾーン |
timezone |
一意のID |
__UID__ |
ユーザー・アカウントのロック |
userLock;None |
郵便番号 |
zip |
回避策: デフォルトのデコード値を使用した重複エントリの各インスタンスを手動で削除します。
8.1.2 Oracle Identity Governanceの問題
次に示すのは、Oracle Identity Governanceに関連する問題と回避策です。
8.2 ターゲット・システムの機能および特定のコネクタに関連する制限事項
次に示すのは、ターゲット・システムの機能および特定のコネクタに関連する制限事項です。
-
SPML UME APIは、最終変更日の値が指定日より後のレコードは戻しません。このため、コネクタは増分リコンシリエーションをサポートできません。
-
構成可能なバッチ・リコンシリエーションはサポートされません。コネクタは、ターゲット・システムで許可される有効な文字で始まるログイン名を持つユーザー・レコードを最初にフェッチするときに、バッチ・リコンシリエーションを暗黙的に実行します。
さらに、次の項でコネクタの特定の制限事項について説明します。
8.2.1 コネクタのAS ABAPデータ・ソースの制限事項
コネクタのAS ABAPデータ・ソースに関連する制限事項を次に示します。
-
ユーザーを検索する際の制限
検索では、AS Javaツールを使用して実行されたアクションのみが考慮されます。このため、コネクタで最終変更タイムスタンプを使用して検索することはできません。
-
SAP User Management Engine (UME)ユーザー属性のリスト
AS ABAPデータ・ソースを使用してSAP UMEからの読取りまたはSAP UMEへの書き込みが可能なユーザー属性のリストは固定されており、拡張できません。バックエンドAS ABAPシステムに属性を追加することはできますが、これらの属性はSAP UMEではサポートされません。
-
SAP UMEでのAS ABAPロールの表示の遅延
新規のAS ABAPロールを作成したり、既存のAS ABAPロールの説明を変更すると、これらの変更が最大30分間、SAP UMEに表示されないことがあります。SAP UMEは、AS ABAPデータ・ソースからこのデータを30分おきに読み取ります。SAP UMEにAS ABAPデータ・ソースからデータを読み取らせるには、AS Javaを再起動する必要があります。このため、リコンシリエーション操作を実行すると、最近作成されたロールが失われることがあります。
-
Central User Administration (CUA)環境での制限
SAP UMEでは、集中システムにあるロールのみ表示できます。子システムのロールは、SAP UMEには表示されません。このため、コネクタからは集中システムへのロールの割当てのみ表示および保守できます。
-
SAP UMEでは、AS ABAPデータ・ソースでのアドレス書式属性およびタイムゾーン属性の保守をサポートしていません。
8.2.2 AS ABAPロールを表すグループの制限事項
ターゲット・システムのAS ABAPロールを表すSAP UMEグループには、コネクタに関して次の制限事項があります。
-
ABAPユーザーは、ABAPロールを表すSAP UMEグループにのみ割り当てることができます。
-
現在の日付が、AS ABAPデータソース内の対応するユーザー・ロール割当ての有効期間外である場合、SAP UMEでユーザー・グループ割当てを表示できません。
-
ユーザーが対応するABAPロールがすでに割り当てられている場合に、そのユーザーにSAP UMEグループを割り当てようとすると、現在の日付が有効期間外の場合、エラー・メッセージが表示されます。
-
ABAPでのユーザーへのロール割当てが、集合ロールまたは組織管理によって行われる場合、対応するSAP UMEグループからそのユーザーを割当て解除することはできません。
-
ABAPでのユーザーへのロール割当てが、参照ユーザーを介した間接割当て(トランザクションSU01で表示可能)によって行われる場合、対応するSAP UMEグループからそのユーザーを割当て解除することはできません。
-
ABAPでのユーザーへのロール割当てが、直接および間接割当てによって同時に行われる場合、対応するSAP UMEグループからそのユーザーを割当て解除することはできません。
たとえば、ユーザー管理者ADMINがユーザーUSER1をロールZ_DIRECTとZ_COLLECTに割り当てたとします。Z_COLLECTはロールZ_DIRECTを含む集合ロールです。ADMINがAS Javaのアイデンティティ管理を使用する場合、ADMINはSAP UMEグループZ_DIRECTからUSER1を割当て解除できません。このABAPロールはABAPロールZ_COLLECTによっても間接的に割り当てられているためです。
-
SAP UMEで作成された新規グループは、ローカル・データベースに保存されます。
8.2.3 コネクタでのロール管理の制限事項
コネクタは、ユーザーへの次のタイプのロール割当てをサポートしています。
-
SAP Enterprise Portalに表示する内容を定義するロール
-
ポータル・ロール
これらのロールは、SAP Enterprise Portalに適用できます。コネクタは、ユーザーへのこれらのロールの割当てをサポートしています。
-
-
バックエンド・システムでユーザーが持つ権限を定義するロール
-
UME権限ロール
これらのロールは、プログラムによる権限チェックをサポートしています。コネクタは、ユーザーへのこれらのロールの割当てをサポートしています。
-
J2EEセキュリティ・ロール
これらのロールは、宣言的な権限チェックをサポートしています。コネクタは、ユーザーへのこれらのロールの割当てをサポートしていません。これらのロールは、J2EE EngineのVisual Administratorツールから管理する必要があります。
-
ABAP権限ロール
これらのロールは、SAP UMEがABAPデータ・ソースで構成されている場合に適用できます。これらのロールは、SAP UMEでグループとして表示されます。SAP UMEインスタンスでこれらがサポートされるかどうかをチェックする必要があります。SAP UMEインスタンスでサポートされる場合、コネクタはこれらのロールの割当てをサポートします。
-