5 Google Appsコネクタの使用

要件に合せてアプリケーションを構成したら、Google Appsコネクタを使用してリコンシリエーション操作とプロビジョニング操作を実行できます。

この章では、次の項目について説明します。

• リコンシリエーションの構成

• リコンシリエーション・ジョブの構成

• プロビジョニングの構成

• グループ管理に使用されるコネクタ・オブジェクト

• コネクタのアンインストール

5.1 リコンシリエーションの構成

コネクタを構成して、リコンシリエーションのタイプおよびそのスケジュールを指定できます。

この項では、リコンシリエーションの構成に関する次の項目について説明します。

• 完全リコンシリエーションの実行

• 制限付きリコンシリエーションの実行

• バッチ・リコンシリエーションの実行

5.1.1 完全リコンシリエーションの実行

完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。

アプリケーションを作成したら、最初に完全リコンシリエーションを実行する必要があります。完全リコンシリエーションを実行するには、ユーザーおよびグループをリコンサイルするためのジョブのフィルタ・パラメータに値が指定されていないことを確認します。

5.1.2 制限付きリコンシリエーションの実行

デフォルトでは、現行のリコンシリエーションの実行時に、すべてのターゲット・システム・レコードがリコンサイルされます。リコンサイルする必要のあるターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。

リコンシリエーション・モジュールのフィルタを作成して、制限付きリコンシリエーションを実行できます。このコネクタのFilter属性(スケジュール済タスクの属性)により、Google Appsリソース属性を使用してターゲット・システム・レコードをフィルタ処理できます。

文字列データ型フィールドの問合せのフィルタリングに関してGoogleAppsターゲット・システムの機能サポートが制限されているため、コネクタではstartsWithフィルタとequalToフィルタのみがサポートされます。両フィルタの例を次に示します。

• startsWith: startsWith('__NAME__','John')

  この例では、電子メール・アドレスが'John'で始まるすべてのレコードがリコンサイルされます。

• equalTo: equalTo('givenName','John')

  この例では、givenNameが'John'であるすべてのレコードがリコンサイルされます。

ICFフィルタの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのICFフィルタ構文に関する項を参照してください。

5.1.3 バッチ・リコンシリエーションの実行

デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。このような問題を避けるため、バッチ・リコンシリエーションを構成できます。

バッチ・リコンシリエーションを構成するには、ユーザーおよびグループ・リコンシリエーションのリコンシリエーション・ジョブのBatch Size属性に値を指定します。「バッチ・サイズ」属性は、ターゲット・システムからフェッチされる各バッチに含めるレコード数を指定する際に使用します。

5.2 リコンシリエーション・ジョブの構成

ターゲット・システムで定期的に新しい情報をチェックしてOracle Identity Governanceにそのデータを複製するリコンシリエーションを実行する、リコンシリエーション・ジョブを構成します。

この手順は、ユーザーおよび権限のリコンシリエーション・ジョブを構成する場合に適用できます。

リコンシリエーション・ジョブを構成するには:

1. アイデンティティ・システム管理にログインします。
2. 左ペインの「システム管理」で、「スケジューラ」をクリックします
3. 次のようにして、スケジュール済ジョブを検索して開きます。
   1. 「検索」フィールドに、検索基準としてスケジュール済ジョブの名前を入力します。「拡張検索」をクリックして検索基準を指定することもできます。
   2. 左ペインの検索結果表で、「ジョブ名」列のスケジュール済ジョブをクリックします。
4. 「ジョブの詳細」タブで、スケジュール済タスクのパラメータを変更できます。
   • 再試行: このフィールドには整数値を入力します。この数値は、ジョブに「停止済」ステータスを割り当てるまでに、スケジューラがジョブの開始を試行する回数を表します。
   • スケジュール・タイプ: ジョブを実行する頻度に応じて、適切なスケジュール・タイプを選択します。『Oracle Fusion Middleware Oracle Identity Governanceの管理』のジョブの作成に関する項を参照してください。

   ジョブ詳細を変更する他に、ジョブを有効化または無効化できます。

5. 「ジョブの詳細」タブの「パラメータ」領域で、スケジュール済タスクの属性の値を指定します。

   ノート:

   すべての属性に値(デフォルトまたはデフォルト以外)を割り当てる必要があります。属性値を1つでも空白のままにした場合、リコンシリエーションは実行されません。

6. 「適用」をクリックして変更を保存します。

   ノート:

   Identity System Administrationのスケジューラのステータス・ページを使用して、スケジューラを起動、停止または再初期化できます。

5.3 プロビジョニングの構成

Google Appsコネクタのプロビジョニング操作を構成できます。

この項では、次のトピックについて説明します。

• プロビジョニング操作の実行に関するガイドライン

• プロビジョニング操作の実行

5.3.1 プロビジョニング操作の実行に関するガイドライン

ここでは、プロビジョニング操作を実行する際に適用する必要があるガイドラインについて説明します。

• ユーザーの作成プロビジョニング操作では、「アカウント名」フィールドの値をドメイン名とともに指定する必要があります。たとえば、jdoe@example.comです。

• グループ・プロビジョニング操作のとき、「参加できるユーザー」フィールドの値としてANYONE_CAN_JOINを選択する場合は、外部メンバーを許可フィールドの値をTrueに設定する必要があります。ここで説明している値を使用してグループ・プロビジョニング操作を実行する前に、「ターゲット・システムの構成」で説明している手順が実行済であることを確認してください。

5.3.2 プロビジョニング操作の実行

「ユーザーの作成」ページを使用して、Identity Self Serviceに新規ユーザーを作成します。アカウントのプロビジョニングやリクエストは「ユーザーの詳細」ページの「アカウント」タブで実行します。

Oracle Identity Governanceでプロビジョニング操作を実行するには:

1. Identity Self Serviceにログインします。
2. 次のようにユーザーを作成します。
   1. Identity Self Serviceで、「管理」をクリックします。「ホーム」タブには、異なる「管理」オプションが表示されます。「ユーザー」をクリックします。「ユーザーの管理」ページが表示されます。
   2. 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ユーザーの作成」ページが表示され、ユーザー・プロファイル属性の入力フィールドが表示されます。
   3. 「ユーザーの作成」ページに、ユーザーの詳細を入力します。
3. 「アカウント」タブで、「アカウントのリクエスト」をクリックします
4. 「カタログ」ページで、前に構成したコネクタ用のアプリケーション・インスタンスを検索してカートに追加し、「チェックアウト」をクリックします。
5. アプリケーション・フォームの各フィールドの値を指定し、「送信準備ができています」をクリックします
6. 「送信」をクリックします。

関連項目:

「ユーザーの作成」ページ内のフィールドの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のユーザーの作成に関する項を参照してください

5.4 グループ管理に使用されるコネクタ・オブジェクト

作成、更新、削除などのグループ管理操作を実行するためにコネクタで使用されるオブジェクトについて学習します。

• グループ管理のための参照定義

• グループ管理のためのリコンシリエーション・ルールおよびアクション・ルール

• グループ管理のためのリコンシリエーション・スケジュール済ジョブ

5.4.1 グループ管理のための参照定義

コネクタを使用してアプリケーションを作成した後、グループの参照定義がOracle Identity Governanceで自動的に作成されます。

• Lookup.GoogleApps.GM.Configuration

• Lookup.GoogleApps.GM.ProvAttrMap

• Lookup.GoogleApps.GM.ReconAttrMap

5.4.1.1 Lookup.GoogleApps.GM.Configuration

Lookup.GoogleApps.GM.Configuration参照定義は、グループ・オブジェクト・タイプに固有の構成エントリを含みます。この参照定義は、ターゲット・システムがターゲット・リソースとして構成されているときに、グループ管理操作で使用されます。

表5-1に、この参照定義のデフォルト・エントリを示します。

表5-1 Lookup.GoogleApps.GM.Configuration参照定義のエントリ

コード・キー	デコード	説明
Provisioning Attribute Map	Lookup.GoogleApps.GM.ProvAttrMap	このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、プロビジョニング操作の際に使用されます。
Recon Attribute Map	Lookup.GoogleApps.GM.ReconAttrMap	このエントリは、Oracle Identity Managerとターゲット・システム間の属性マッピングを保存する参照定義の名前を保持します。この参照定義は、リコンシリエーションの際に使用されます。

5.4.1.2 Lookup.GoogleApps.GM.ProvAttrMap

Lookup.GoogleApps.GM.ProvAttrMap参照定義には、プロセス・フォーム・フィールド(コード・キー値)とターゲット・システム属性(デコード)間のマッピングが含まれています。この参照定義は事前に構成されており、グループ・プロビジョニング操作の際に使用されます。表5-2にデフォルト・エントリを示します。

表5-2 Lookup.GoogleApps.GM.ProvAttrMap参照定義のエントリ

Oracle Identity Managerのグループ・フィールド	Google Appsのフィールド
外部メンバーを許可	allowExternalMembers
説明	description
電子メール・アドレス	email
グループ名	name
アーカイブ済	isArchived
一意のID	__UID__
参加できるユーザー	whoCanJoin
グループを表示できるユーザー	whoCanViewGroup
メンバーシップを表示できるユーザー	whoCanViewMembership

5.4.1.3 Lookup.GoogleApps.GM.ReconAttrMap

Lookup.ActiveDirectory.GM.ReconAttrMap参照定義には、リソース・オブジェクト・フィールド(コード・キー値)とターゲット・システム属性(デコード)の間のマッピングが含まれています。この参照定義は事前に構成されており、ターゲット・リソースのグループ・リコンシリエーションの実行時に使用されます。表5-3にデフォルト・エントリを示します。

表5-3 Lookup.GoogleApps.GM.ReconAttrMap参照定義のエントリ

Oracle Identity Managerのグループ・フィールド	Google Appsのフィールド
外部メンバーを許可	allowExternalMembers
説明	description
電子メール・アドレス	email
グループ名	name
アーカイブ済	isArchived
OIM組織名	Organization Name ノート: これはコネクタ属性です。この属性の値はコネクタにより、Oracle Identity Managerのグループの組織を指定するために内部的に使用されます。
一意のID	__UID__
参加できるユーザー	whoCanJoin
グループを表示できるユーザー	whoCanViewGroup
メンバーシップを表示できるユーザー	whoCanViewMembership

5.4.2 グループ管理のためのリコンシリエーション・ルールおよびアクション・ルール

リコンシリエーション・ルールは、ターゲット・システムで新たに検出されたアカウントにOracle Identity Governanceが割り当てる必要のあるアイデンティティを判別するために、リコンシリエーション・エンジンによって使用されます。リコンシリエーション・アクション・ルールは、コネクタがリコンシリエーション・ルールに基づいて実行する必要のあるアクションを定義します。

• グループのリコンシリエーション・ルール

• グループのリコンシリエーション・アクション・ルール

• リコンシリエーション・ルールの表示

• リコンシリエーション・アクション・ルールの表示

5.4.2.1 グループのリコンシリエーション・ルール

グループのプロセス一致ルールを次に示します。

ルール名: GoogleApps Groups Recon Rule

ルール要素: Organization Name Equals OIM Org Name

このルール要素の意味は次のとおりです。

• Organization Nameは、OIMユーザー・フォームの「組織名」フィールドです。

• OIM Org Nameは、Oracle Identity Managerのグループの組織名です。OIM Org Nameは、GoogleApps Group Reconスケジュール済ジョブのOrganization Name属性で指定された値です。

5.4.2.2 グループのリコンシリエーション・アクション・ルール

表5-4に、グループのリコンシリエーションのアクション・ルールを示します。

表5-4 リコンシリエーションのアクション・ルール

ルール条件	アクション
一致が見つからなかった場合	最小ロードの管理者への割当て
1つのエンティティ一致が見つかった場合	リンクの確立
1つのプロセス一致が見つかった場合	リンクの確立

5.4.2.3 リコンシリエーション・ルールの表示

コネクタを使用してアプリケーションを作成した後、次のステップを実行してリコンシリエーション・ルールを表示できます。

1. Oracle Identity Manager Design Consoleにログインします。
2. 「開発ツール」を開きます。
3. 「リコンシリエーション・ルール」をダブルクリックします。
4. 「GoogleApps Groups Recon Rule」ルールを検索します。

   図5-1にグループのリコンシリエーション・ルールを示します。

   図5-1 グループのリコンシリエーション・ルール

   
   「図5-1 グループのリコンシリエーション・ルール」の説明

5.4.2.4 リコンシリエーション・アクション・ルールの表示

コネクタを使用してアプリケーションを作成した後、次のステップを実行してグループのリコンシリエーション・アクション・ルールを表示できます。

1. Design Consoleにログインします。
2. 「Resource Management」を展開し、「Resource Objects」をダブルクリックします。
3. 「GoogleApps Group」リソース・オブジェクトを検索して開きます。
4. 「Object Reconciliation」タブ、「Reconciliation Action Rules」タブの順にクリックします。「Reconciliation Action Rules」タブに、コネクタに定義されているアクション・ルールが表示されます。図5-2に、グループのリコンシリエーション・アクション・ルールを示します。

   図5-2 グループのリコンシリエーション・アクション・ルール

   
   「図5-2 グループのリコンシリエーション・アクション・ルール」の説明

5.4.3 グループ管理のためのリコンシリエーション・スケジュール済ジョブ

アプリケーションを作成した後、リコンシリエーション・スケジュール済ジョブがOracle Identity Governanceで自動的に作成されます。これらのスケジュール済ジョブを、その属性の値を指定して必要に合うように構成する必要があります。

次のスケジュール済ジョブの属性の値を指定する必要があります。

• GoogleAppsグループ・リコンシリエーション

• GoogleAppsグループ削除リコンシリエーション

5.4.3.1 GoogleApps Group Recon

ターゲット・システムからグループ・データをリコンサイルするには、GoogleApps Group Reconスケジュール済ジョブを使用します。

表5-5に、このスケジュール済ジョブの属性の説明を示します。

表5-5 GoogleApps Group Reconスケジュール済ジョブの属性

属性	説明
Resource Object Name	この属性は、リコンシリエーションに使用されるリソース・オブジェクトの名前を保持します。 デフォルト値: GoogleApps Group ノート: デフォルト値は変更しないでください。
IT Resource Name	ユーザー・レコードのリコンサイル元のターゲット・システム・インストールに対するITリソースの名前を入力します。 デフォルト値: GoogleApps
Organization Name	リコンサイルするグループを作成または更新するOracle Identity Manager組織の名前を指定します。
Filter	この属性は、ICF-Common Groovy DSLを使用して記述されたICFフィルタを保持します。この属性の詳細は、「制限付きリコンシリエーションの実行」を参照してください。
Batch Size	ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。
Scheduled Task Name	リコンシリエーションに使用されるスケジュール済タスクの名前。 デフォルト値: GoogleApps Group Recon
Object Type	この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: Group このデフォルト値は変更しないでください。

5.4.3.2 GoogleApps Group Delete Recon

ターゲット・システムから削除済グループをリコンサイルするには、GoogleApps Group Delete Reconスケジュール済ジョブを使用します。

表5-6に、このスケジュール済ジョブの属性の説明を示します。

表5-6 GoogleApps Group Delete Reconスケジュール済ジョブの属性

属性	説明
Resource Object Name	この属性は、リコンシリエーションに使用されるリソース・オブジェクトの名前を保持します。 デフォルト値: GoogleApps Group
IT Resource Name	ユーザー・レコードのリコンサイル元のターゲット・システム・インストールに対するITリソースの名前を入力します。 デフォルト値: GoogleApps
Organization Name	リコンサイルするグループを削除するOracle Identity Manager組織の名前を入力します。
Batch Size	ターゲット・システムからフェッチされる各バッチに含めるレコード数を入力します。
Object Type	この属性は、リコンシリエーションの実行用のオブジェクト・タイプの名前を保持します。 デフォルト値: Group このデフォルト値は変更しないでください。

5.5 コネクタのアンインストール

コネクタのアンインストールでは、そのリソース・オブジェクトに関連付けられているすべてのアカウント関連データが削除されます。

なんらかの理由でコネクタをアンインストールする場合は、コネクタのアンインストール・ユーティリティを実行します。このユーティリティを実行する前に、ConnectorUninstall.propertiesファイル内のObjectTypeおよびObjectValuesプロパティに値が設定されていることを確認してください。たとえば、リソース・オブジェクト、スケジュール済タスクおよびコネクタに関連付けられたスケジュール済ジョブを削除する場合、ObjectTypeプロパティの値としてResourceObject、ScheduleTaskおよびScheduleJobを入力し、ObjectValuesプロパティの値としてコネクタに対応するオブジェクト値のセミコロン区切りのリスト(たとえば、GoogleApps User; GoogleApps Group)を入力します。

ノート:

ObjectTypeおよびObjectValueプロパティに加えてConnectorNameおよびReleaseプロパティの値も設定した場合は、このユーティリティによってObjectValuesプロパティに指定されているオブジェクトの削除が実行され、コネクタ情報がスキップされます。

詳細は、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のコネクタのアンインストールに関する項を参照してください。