SAP User Management Engineコネクタの使用

5 SAP User Management Engineコネクタの使用

自分の要件を満たすようにアプリケーションを構成したら、コネクタを使用してリコンシリエーションおよびプロビジョニング操作を実行できます。

この章では、次の項目について説明します。

5.1 リコンシリエーションの構成

コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。

リコンシリエーションでは、ターゲット・システムでのユーザー・アカウントの作成および変更がOracle Identity Governanceで複製されます。この項では、リコンシリエーションの構成に関する次の項目について説明します。

5.1.1 完全リコンシリエーションの実行

完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。アプリケーションを作成したら、最初に完全リコンシリエーションを実行する必要があります。

完全リコンシリエーションを実行するには、SAP UMEターゲット・ユーザー・リコンシリエーション・ジョブのFilterパラメータに現在割り当てられている値をすべて削除します。

5.1.2 制限付きリコンシリエーションの実行

デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。

コネクタには、SAP UMEリソース・パラメータを使用してターゲット・システム・レコードをフィルタ処理するFilterパラメータが用意されています。

このパラメータの構文は次のとおりです。

ノート:

<and>および<or>演算子のショートカットを使用できます。たとえば、and (<filter1>, <filter2>)ではなく<filter1> & <filter2>とすることができ、同様に、orを|に置き換えることもできます。

syntax = expression ( operator expression )* 
operator = 'and' | 'or' 
expression = ( 'not' )? filter 
filter = ('equalTo' | 'contains' | 'containsAllValues' | 'startsWith'
| 'endsWith'  | 'greaterThan' | 'greaterThanOrEqualTo' | 'lessThan' 
| 'lessThanOrEqualTo' )  '(' 'attributeName' ',' attributeValue ')' 
attributeValue = singleValue  |  multipleValues
singleValue = 'value'
multipleValues = '[' 'value_1' (',' 'value_n')* ']'

たとえば、リコンサイルするアカウント数を、アカウント名が"a"文字で始まるアカウントのみに制限するには、次の式を使用します。

startsWith('__NAME__', 'a')

'z'で終了するアカウント名のみをフィルタ処理する高度な検索には、次のフィルタを使用できます。

startsWith('__NAME__', 'a') & endsWith('__NAME__', 'z')

5.2 リコンシリエーション・ジョブの構成

ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Governanceにそのデータを複製するリコンシリエーションを実行する、リコンシリエーション・ジョブを構成します。

この手順は、ユーザーおよび権限のためのリコンシリエーション・ジョブを構成する場合に適用できます。

リコンシリエーション・ジョブを構成するには、次のようにします。

アイデンティティ・システム管理にログインします。
左ペインの「システム管理」で、「スケジューラ」をクリックします
次のようにして、スケジュール済ジョブを検索して開きます。
1. 「検索」フィールドに、検索基準としてスケジュール済ジョブの名前を入力します。「拡張検索」をクリックして検索基準を指定することもできます。
2. 左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
「ジョブの詳細」タブで、スケジュール済タスクのパラメータを変更できます。
- 再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
- スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。『Oracle Fusion Middleware Oracle Identity Governanceの管理』のジョブの作成に関する項を参照してください。
ジョブの詳細を変更する他に、ジョブを有効化または無効化できます。
「ジョブの詳細」タブの「パラメータ」領域で、スケジュール済タスクの属性の値を指定します。

ノート:

すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。
「適用」をクリックして変更を保存します。

ノート:

Identity System Administrationのスケジューラのステータス・ページを使用して、スケジューラを起動、停止または再初期化できます。

5.3 プロビジョニングの構成

SAP UMEおよびSAP AC UMEコネクタでのプロビジョニング操作を構成できます。

この項では、次のトピックについて説明します。

5.3.1 プロビジョニング実行のガイドライン

ここでは、プロビジョニング操作を実行する際に適用する必要があるガイドラインについて説明します。

5.3.1.1 サポートされるデプロイメント構成でプロビジョニング操作を実行するためのガイドライン

サポートされるデプロイメント構成でプロビジョニング操作を実行する際に適用する必要があるガイドラインを次に示します。

SAP User Management EngineでABAPデータソースが構成されている場合、SAP User Management EngineでABAPロールがグループとして表示されます。ただし、SAP User Management Engineでは、一部の構成でこれらのグループをユーザー・アカウントに割り当てることはできません。

AS ABAPロールを表すグループを割り当てるには、SAP User Management Engineのユーザー管理ツールで新規のAS Javaロールを作成します。次にOracle Identity Governanceで、AS ABAPロールを表すグループを新たに作成したAS Javaロールに割り当てます。
Oracle Identity Governanceでユーザー・アカウントを無効化すると、コネクタは「有効期限終了」パラメータの値を昨日の日付で更新します。ユーザーが今日ターゲット・システムにログインした場合、またはユーザーのパスワードが今日変更された場合、SAP User Management Engineは「有効期限終了」パラメータを今日の日付で更新して、ユーザーをロックします。

Oracle Identity Governanceの日付とSAP User Management Engineターゲット・システムの日付は、同期している必要があります。
ターゲット・システムの「ログオン名」フィールドの長さは、データソースの構成によって異なります。ターゲット・システムで15文字が許可される場合に、Oracle Identity Governanceの「ログオン名」フィールドに15文字を超えて入力すると、エラーが発生します。このため、Oracle Identity Governanceで「ログオン名」フィールドの長さを15文字に制限する必要があります。
プロビジョニングを使用してアカウントの作成と無効化を同時に実行する場合、「有効期限終了」パラメータの値を過去の日付に設定できます。たとえば、アカウントを7月31日に作成する場合でも、「有効期限終了」の日付を7月30日に設定できます。この値にすると、OIGユーザーにプロビジョニングされるリソースは、アカウントの作成後すぐに無効状態になります。

ただし、ターゲット・システムでアカウントの作成時に「有効期限終了」パラメータを現在の日付に設定すると、ターゲット・システムで「有効期限終了」が自動的に現在の日付に設定されます。このユーザー作成プロビジョニング操作の結果は次のようになります。
- 「有効期限終了」パラメータの値がOracle Identity Governanceとターゲット・システムで一致しません。
- ターゲット・システムでは、ユーザーは現在の日付の間ずっとログインが可能です。ユーザーは翌日以降はログインできなくなります。
ターゲット・システムでユーザーをロックすることで、アカウントの作成日にユーザーがログインできなくすることも可能です。
ユーザー作成プロビジョニング操作中にパスワードまたはシステム割当が失敗すると、ユーザーは作成されません。
ロールやグループなどの複数値パラメータをプロビジョニングしようとする際に、そのパラメータがターゲット・システムですでにユーザーに設定されている場合、Oracle Identity Governanceでのプロセス・タスクのステータスが「完了」に設定されます。必要に応じて、この状況でステータスが「却下」と表示されるようにタスクを構成できます。プロセス・タスクの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のプロセス・タスクの変更に関する項を参照してください。
「ユーザーのロック」または「ユーザーのロック解除」プロビジョニング操作を実行する場合、コネクタは、アカウントが現在ロックされた状態かロック解除された状態かを確認せずに、ターゲット・システムで必要な変更を行います。これは、アカウントの現在の状態を確認する手段がターゲット・システムで提供されていないためです。
ターゲット・システムでは、電子メール・アドレスのフィールドに英語以外の文字を入力できません。したがって、プロビジョニング操作の間は、プロセス・フォームの電子メールのアドレス・フィールドには英語のみを入力してください。
プロビジョニングを介してユーザーにロールを割り当てる場合、次のパラメータの値を設定します。
- データソース
- Role

5.3.1.2 Access Request Managementを構成した後でプロビジョニング操作を実行するためのガイドライン

コネクタのAccess Request Management機能を構成した後でプロビジョニング操作を実行する際に適用する必要があるガイドラインを次に示します。

Access Request Managementが構成されている場合にユーザーの作成操作を実行する際は、最初にプロセス・フォーム・データを送信します。子フォーム・データは、ターゲット・システムにユーザーが作成された後に送信します。これは、Access Request Managementが有効化されている場合、1回のユーザーの変更操作でコネクタがサポートするのは、プロセス・フォーム・フィールドまたは子フォーム・フィールドのいずれかの変更であるためです。
プロセス・フォームの次のフィールドは、SAP GRC Access Request Managementで必須のパラメータです。
- ACマネージャ
- ACマネージャの電子メール
- AC優先度
- ACシステム
- ACリクエスタID
- ACリクエスタの電子メール
- ACリクエストの理由
ノート:

Access Request Management機能が構成されている場合、Oracle Identity System Administrationで必須フィールドとしてマークされていないフィールドであっても、必ず値を入力してください。
次のフィールドは、SAP GRC Controlシステムの構成によって、必須である場合とオプションである場合があります。
- ACマネージャの名
- ACマネージャの姓
- ACマネージャの電話
- ACリクエスト・タイプの期日
- AC機能領域
- ACビジネス・プロセス
- ACリクエスタの名
- ACリクエスタの姓
- ACリクエスタの電話
- AC会社
SAP GRC Access Request Managementでは、パスワードは処理されません。したがって、「ユーザーの作成」プロビジョニング操作中は、「パスワード」フィールドに入力する値はすべて無視されます。ユーザーの作成操作の実行後、ターゲット・システムでアカウントを作成されたユーザーは、次のいずれかの方法に従ってパスワードを設定する必要があります。
- Oracle Identity Governanceのパスワードをターゲット・システムのパスワードとして使用するには、Oracle Identity Governanceを介してパスワードを変更します。
- ターゲット・システムに直接ログインして、パスワードを変更します。
ユーザーの有効化操作は、「有効期限開始」フィールドを未来の日付に設定して実行します。同様に、ユーザーの無効化操作は、「有効期限終了」フィールドを現在の日付に設定して実行します。どちらの操作も、ユーザーの変更操作として処理されます。
Oracle Identity System Administration (プロセス・フォーム)でユーザー(アカウント)を削除すると、「ユーザーの削除」リクエストが作成されます。
プロセス・フォームで「ユーザーのロック」チェック・ボックスを選択すると、「ユーザーのロック」リクエストが作成されます。
プロセス・フォームで「ユーザーのロック」チェック・ボックスの選択を解除すると、「ユーザーのロック解除」リクエストが作成されます。
ユーザーの有効化およびユーザーの無効化操作は、プロセス・フォームの「有効期限開始」および「有効期限終了」フィールドを介して実装されます。
ユーザーの変更操作では、SAP GRC Access Request Managementでマップされるパラメータおよびターゲット・システムで直接更新されるパラメータの値を指定できます。これらの参照定義にマッピングが存在するパラメータに対してのみ、SAP GRC Access Request Managementでリクエストが作成されます。これらの参照定義に存在しないパラメータの値を指定した場合、値はコネクタから直接ターゲット・システムに送信されます。

5.3.2 プロビジョニング操作の実行

「ユーザーの作成」ページを使用して、Identity Self Serviceに新規ユーザーを作成します。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。

Oracle Identity Governanceでプロビジョニング操作を実行するには、次のようにします。

Identity Self Serviceにログインします。
次のようにユーザーを作成します。
1. Identity Self Serviceで、「管理」をクリックします。「ホーム」タブには、異なる「管理」オプションが表示されます。「ユーザー」をクリックします。「ユーザーの管理」ページが表示されます。
2. 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ユーザーの作成」ページが表示され、ユーザー・プロファイル属性の入力フィールドが表示されます。
3. 「ユーザーの作成」ページに、ユーザーの詳細を入力します。
「アカウント」タブで、「アカウントのリクエスト」をクリックします
「カタログ」ページで、以前に構成したコネクタのアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。
アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします
「送信」をクリックします。

5.4 コネクタのアンインストール

SAP UMEコネクタをアンインストールすると、そのリソース・オブジェクトに関連付けられているアカウント関連のデータがすべて削除されます。

なんらかの理由でコネクタをアンインストールする場合、コネクタのアンインストール・ユーティリティを実行します。このユーティリティを実行する前に、ConnectorUninstall.propertiesファイルでObjectTypeおよびObjectValuesプロパティに必ず値を設定してください。たとえば、リソース・オブジェクト、スケジュール済タスクおよびコネクタに関連付けられたスケジュール済ジョブを削除する場合は、ObjectTypeプロパティの値として"ResourceObject", "ScheduleTask", "ScheduleJob"を入力し、ObjectValuesプロパティの値としてコネクタに対応するオブジェクト値のセミコロン区切りのリストを入力します。

例: SAP UME User; SAP UME Group

ノート:

ObjectTypeプロパティとObjectValueプロパティとともにConnectorNameプロパティとReleaseプロパティの値を設定すると、ObjectValueプロパティでリストしたオブジェクトの削除はユーティリティによって実行されますが、コネクタ情報はスキップされます。

詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタのアンインストールに関する項を参照してください。