3 Google Appsコネクタの構成
ターゲット・アプリケーションの作成中に、Oracle Identity Governanceとターゲット・システムの接続で使用される、接続関連のパラメータを構成し、コネクタ操作を実行する必要があります。さらに、Oracle Identity Governanceのプロセス・フォーム・フィールドとターゲット・システムの属性、事前定義済の相関ルール、状況とレスポンスおよびリコンシリエーション・ジョブとの間の属性マッピングを表示および編集できます。
3.1 基本構成パラメータ
これらは、Oracle Identity GovernanceがGoogle Appsに接続するために必要な接続関連のパラメータです。
表3-1 Google Appsの基本構成パラメータ
パラメータ | 必須 | 説明 |
---|---|---|
Service Account ID |
はい |
作成したサービス・アカウントの電子メール・アドレスを入力します。 |
Service Account User |
はい |
クライアント・アプリケーションにログインするために作成したアカウントのユーザー名を入力します。 サンプル値: |
Service Account Private Key |
はい |
秘密キーを含むディレクトリの名前および完全パスを入力します。これは、「ターゲット・システムの構成」に記載されている手順の実行時に秘密キーを保存した場所と同じ場所になります。 サンプル値: |
Google Application Name |
はい |
クライアント・アプリケーションの登録の一環として作成したプロジェクトの名前を入力します。 |
Google Domain Name |
はい |
Google Appsドメインの名前を入力します。 サンプル値: |
Scope |
はい |
クライアント・アプリケーションのスコープを入力します。 デフォルト値: |
Connector Server Name |
いいえ |
Javaコネクタ・サーバーでGoogle Appsコネクタを使用している場合は、コネクタ・サーバーITリソースの名前を入力します。 |
Proxy Host |
いいえ |
プロキシ・ホスト名を入力します。 これは、Webプロキシで保護されたネットワークでコネクタを使用する必要がある場合に役立ちます。プロキシの構成については、ネットワーク管理者に問い合せてください。 |
Proxy Password |
いいえ |
プロキシ・パスワードを入力します。 これは、Webプロキシで保護されたネットワークでコネクタを使用する必要がある場合に役立ちます。プロキシの構成については、ネットワーク管理者に問い合せてください。 |
Proxy Port |
いいえ |
プロキシのポート番号を入力します。 これは、Webプロキシで保護されたネットワークでコネクタを使用する必要がある場合に役立ちます。プロキシの構成については、ネットワーク管理者に問い合せてください。 |
Proxy Username |
いいえ |
プロキシ・ユーザー名を入力します。 これは、Webプロキシで保護されたネットワークでコネクタを使用する場合に役に立ちます。プロキシの構成については、ネットワーク管理者に問い合せてください。 |
3.2 拡張設定パラメータ
これらは、コネクタでリコンシリエーション操作およびプロビジョニング操作時に使用される構成関連のエントリです。
表3-2 拡張設定パラメータ
パラメータ | 必須 | 説明 |
---|---|---|
Connector Name |
はい |
このパラメータは、コネクタ・クラスの名前を保持します。 デフォルト値: |
Connector Package Name |
はい |
このパラメータは、コネクタ・バンドル・パッケージの名前を保持します。 デフォルト値: |
Connector Package Version |
はい |
このパラメータは、コネクタ・バンドル・クラスのバージョンを保持します。 デフォルト値: |
Pool Max Idle |
いいえ |
プール内のアイドル状態のオブジェクトの最大数。 サンプル値: |
Pool Max Size |
いいえ |
プールで作成できる接続の最大数。 サンプル値: |
Pool Max Wait |
いいえ |
プールが空きオブジェクトを操作に使用できるようになるまで待機する必要のある最大時間(ミリ秒)。 サンプル値: |
Pool Min Evict Idle Time |
いいえ |
コネクタがアイドル状態のオブジェクトを削除するまで待機する必要のある最小時間(ミリ秒)。 サンプル値: |
Pool Min Idle |
いいえ |
プール内のアイドル状態のオブジェクトの最小数。 サンプル値: |
supportMultipleDomain |
いいえ |
このエントリは、単一ドメインと複数ドメインのどちらでコネクタがコネクタ操作を実行できるかを指定します。デフォルトでは、コネクタは、Google Domain Name基本構成パラメータの値として指定されたドメインのみでコネクタ操作を実行します。 Google Appsに存在するすべてのドメインでコネクタ操作を実行する場合は、このエントリの値をtrueに設定します。 デフォルト値: |
3.3 属性マッピング
ターゲット・アプリケーションの「スキーマ」ページには、Oracle Identity Governanceの属性をターゲット・システムの属性にマップするデフォルト・スキーマ(コネクタによって提供される)が表示されます。コネクタは、リコンシリエーションおよびプロビジョニング操作中にこれらのマッピングを使用します。
Google Appsユーザー・アカウントの属性
表3-3は、Oracle Identity Governanceのプロセス・フォーム・フィールドとGoogle Apps属性の間のユーザー固有の属性マッピングを示しています。この表には、特定の属性がプロビジョニングまたはリコンシリエーション中に使用されるかどうか、およびその属性がリコンシリエーション中にレコードをフェッチするための一致キー・フィールドであるかどうかも示されています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って新しい属性を追加するか既存の属性を削除して、デフォルト属性マッピングを編集できます。
表3-3 GoogleAppsユーザー・アカウントのデフォルト属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | プロビジョニング・フィールド | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|---|
アカウント名 |
__NAME__ |
文字列 |
はい |
はい |
はい |
いいえ |
適用外 |
姓 |
familyName |
文字列 |
はい |
はい |
はい |
いいえ |
適用外 |
名 |
givenName |
文字列 |
はい |
はい |
はい |
いいえ |
適用外 |
管理者 |
isAdmin |
ブール |
いいえ |
はい |
はい |
いいえ |
適用外 |
一意のID |
__UID__ |
文字列 |
いいえ |
はい |
はい |
はい |
いいえ |
次のログイン時にパスワードを変更 |
changePasswordAtNextLogin |
ブール |
いいえ |
はい |
はい |
いいえ |
適用外 |
OrgUnitパス |
orgunitpath |
文字列 |
いいえ |
はい |
はい |
いいえ |
適用外 |
ステータス |
__ENABLE__ |
文字列 |
いいえ |
いいえ |
はい |
いいえ |
適用外 |
パスワード |
__PASSWORD__ |
文字列 |
いいえ |
はい |
いいえ |
いいえ |
適用外 |
図3-1は、デフォルトのユーザー・アカウント属性マッピングを示しています。
ニックネーム子属性
表3-4は、Oracle Identity Governanceのプロセス・フォーム・フィールドとGoogle Apps属性の間のニックネームの属性マッピングを示しています。この表は、特定の属性がプロビジョニング中に必須かどうかを示しています。また、特定の属性がリコンシリエーション中に使用されるかどうか、およびその属性がリコンシリエーション中にレコードをフェッチするための一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って新しい属性を追加するか既存の属性を削除して、デフォルト属性マッピングを編集できます。
表3-4 Google Appsニックネームのデフォルト属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
ニックネーム |
aliases |
文字列 |
いいえ |
はい |
はい |
いいえ |
図3-2は、デフォルトのニックネーム子属性マッピングを示しています。
グループ名子属性
表3-5は、Oracle Identity Governanceのプロセス・フォーム・フィールドとGoogle Apps属性の間のグループ名の属性マッピングを示しています。この表は、特定の属性がプロビジョニング中に必須かどうかを示しています。また、特定の属性がリコンシリエーション中に使用されるかどうか、およびその属性がリコンシリエーション中にレコードをフェッチするための一致キー・フィールドであるかどうかも示しています。
必要に応じて、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項の説明に従って新しい属性を追加するか既存の属性を削除して、デフォルト属性マッピングを編集できます。
表3-5 Google Appsグループ名のデフォルト属性マッピング
表示名 | ターゲット属性 | データ型 | 必須プロビジョニング・プロパティ | リコンシリエーション・フィールド | キー・フィールド | 大/小文字を区別しない |
---|---|---|---|---|---|---|
グループ名 |
groups |
文字列 |
いいえ |
はい |
はい |
いいえ |
図3-3は、デフォルトのグループ名子属性マッピングを示しています。
3.3.1 サポートされている属性
Google Appsコネクタでは、サポートされている単一値属性および複数値属性がわずかであるのに、他の複数値属性または単一値カスタム属性(部門や役職など)のサポートは拡張されていません。
次の即時利用可能な属性および追加の単一値属性がGoogle Appsコネクタでサポートされています。
表3-6 サポートされている属性
サポートされている即時利用可能な属性 | サポートされている追加の属性 |
---|---|
__NAME__ | isDelegatedAdmin |
__UID__ | agreedToTerms |
__PASSWORD__ | hashFunction |
familyName | suspended |
givenName | suspensionReason |
isAdmin | ipWhitelisted |
orgunitpath | customerId |
changePasswordAtNextLogin | isMailboxSetup |
groups | includeInGlobalAddressList |
aliases | thumbnailPhotoUrl |
lastLoginTime | |
creationTime | |
deletionTime |
3.4 相関ルール
ターゲット・アプリケーションの作成時に、コネクタは相関ルールを使用して、Oracle Identity Governanceがリソースを割り当てる必要のあるアイデンティティを特定します。
事前定義済アイデンティティ・ルール
デフォルトでは、Google Appsコネクタは、ターゲット・アプリケーションの作成時に複合相関ルールを提供します。コネクタは、この相関ルールを使用してOracle Identity Governanceリポジトリとターゲット・システム・リポジトリのエントリを比較し、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Governanceに適用します。
必要に応じて、デフォルト相関ルールを編集するか、新しいルールを追加できます。単純相関ルールを作成することもできます。単純または複合相関ルールの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアイデンティティ相関ルールの更新に関する項を参照してください。
次のコード・ブロックは、Google Appsアプリケーションのデフォルトの複合相関ルールを示しています。
{
"ruleOperator": "OR",
"ruleElement": [
{
"targetAttribute": "__UID__",
"userAttribute": "GAPPS User GUID",
"elementOperator": "Equals",
"transformName": "None"
},
{
"targetAttribute": "__NAME__",
"userAttribute": "User Login",
"elementOperator": "Equals",
"transformName": "Tokenize",
"transformParams": [
{
"name": "Space Delimiter",
"value": "FALSE"
},
{
"name": "Token Number",
"value": "1"
},
{
"name": "Delimiters",
"value": "'@'"
}
]
}
]
}
前述の複合ルールは、ルール演算子ORで結合された2つのルール要素で構成されています。
最初のルール要素は、次のとおりです。
__UID__ equals GAPPS User GUID.
-
__UID__は、ユーザー・アカウントを一意に識別するターゲット・システムの属性です。
-
GAPPS User GUIDは、OIM UserフォームでGoogle Appsユーザーの一意のIDを保持するフィールドです。
2番目のルール要素は、次のとおりです。
Tokenize (__NAME__) equals User Login.
-
Tokenize (__NAME__)は、Google Appsアカウントの電子メール・アドレスの名前部分です。
-
User Loginは、OIMユーザー・フォームのフィールドです。
事前定義済の状況とレスポンス
Google Appsコネクタは、ターゲット・アプリケーションの作成時に状況とレスポンスのデフォルト・セットを提供します。これらの状況とレスポンスは、リコンシリエーション・イベントの結果に基づいてOracle Identity Governanceで実行する必要のあるアクションを指定します。
表3-7は、Google Appsアプリケーションのデフォルトの状況とレスポンスを示しています。必要に応じて、これらのデフォルトの状況とレスポンスを編集するか、新しい状況とレスポンスを追加できます。状況とレスポンスの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションの作成に関する項を参照してください
表3-7 Google Appsの事前定義済の状況とレスポンス
状況 | レスポンス |
---|---|
一致が見つからなかった場合 |
ユーザーの作成 |
1つのエンティティ一致が見つかった場合 |
リンクの確立 |
1つのプロセス一致が見つかった場合 |
リンクの確立 |
図3-4は、コネクタでデフォルトで提供される状況とレスポンスを示しています。
3.5 リコンシリエーション・ジョブ
これらは、アプリケーションの作成後にOracle Identity Governanceで自動的に作成されるリコンシリエーション・ジョブです。
ユーザー・リコンシリエーション・ジョブ
これらの事前定義済ジョブを使用するか、要件に合せて編集できます。または、カスタム・リコンシリエーション・ジョブを作成することもできます。事前定義済ジョブの編集または新しいジョブの追加の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のリコンシリエーション・ジョブの更新に関する項を参照してください。
Google Appsターゲット・リソースのユーザー・リコンシリエーション・ジョブは、ターゲット・アプリケーションからのユーザー・データをリコンサイルするために使用します。
表3-8 Google Appsターゲット・リソースのユーザー・リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
Application Name |
ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成中に「アプリケーション名」フィールドに指定した値と同じになります。 この値は修正しないでください。 |
Batch Size |
ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 |
Filter |
この属性は、ICF-Common Groovy DSLを使用して記述されたICFフィルタを保持します。この属性の詳細は、「制限付きリコンシリエーションの実行」を参照してください。 |
Object Type |
この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: このデフォルト値は変更しないでください。 |
削除ユーザーのリコンシリエーション・ジョブ
Google Appsターゲット・リソースのユーザー削除リコンシリエーション・ジョブは、ターゲット・アプリケーションからの削除済ユーザー・データをリコンサイルするために使用します。
表3-9 Google Appsターゲット・リソースのユーザー削除リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
Application Name |
ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成中に「アプリケーション名」フィールドに指定した値と同じになります。 この値は修正しないでください。 |
Batch Size |
ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 |
Object Type |
この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: このデフォルト値は変更しないでください。 |
権限のリコンシリエーション・ジョブ
GoogleAppsグループ参照リコンシリエーション・ジョブは、権限をリコンサイルするために使用できます。
表3-10 GoogleAppsグループ参照リコンシリエーション・ジョブのパラメータ
パラメータ | 説明 |
---|---|
Application Name |
ターゲット・システム用に作成したアプリケーションの名前。この値は、ターゲット・アプリケーションの作成中に「アプリケーション名」フィールドに指定した値と同じになります。 この値は修正しないでください。 |
Batch Size |
ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。 |
Code Key Attribute |
コネクタまたはターゲット・システムの属性の名前。参照定義(Lookup Name属性の値として指定される)のコード・キー列に値を移入するために使用されます。 デフォルト値: ノート: この属性の値は変更しないでください。 |
Decode Attribute |
参照定義の「デコード」列に移入するのに使用される、コネクタまたはターゲット・システム属性の名前(「参照名」属性の値として指定)。 デフォルト値: ノート: この属性の値は変更しないでください。 |
Lookup Name |
このパラメータは、値のフェッチ元である必要のあるデータ・ソースに各参照定義をマップする参照定義の名前を保持します。 デフォルト値: |
Object Type |
同期させる必要のある値を含むオブジェクトのタイプを入力します。 デフォルト値: ノート: この属性の値は変更しないでください。 |