1 アプリケーション・インスタンスの開発
ITリソースの作成および管理の詳細は、Oracle Identity Governanceの管理のITリソースの管理を参照してください。
この章のトピックは、次のとおりです:
1.1 アプリケーション・インスタンスの概要
アプリケーション・インスタンスは、プロビジョニング可能なエンティティであり、ITリソース・インスタンス(ターゲットの接続性とコネクタ構成)およびリソース・オブジェクト(プロビジョニング・メカニズム)の組合せです。
アプリケーション・インスタンスは、覚えやすいビジネスフレンドリな名前を持ちます。アプリケーション・インスタンスの作成および管理は、Oracle Identity System Administrationの「アプリケーション・インスタンス」セクションを使用して行います。
アプリケーション・インスタンスは、接続あり、または接続なしにできます。接続アプリケーション・インスタンスは、エンティティのプロビジョニング用に定義されたコネクタを持ちます。接続なしリソースのプロビジョニングには、接続なしアプリケーション・インスタンスを使用しますが、これにはコネクタが定義されていないため、プロビジョニングは管理者が手動で行います。
アプリケーション・インスタンスの概念、およびアプリケーション・インスタンスの作成および管理方法の詳細は、Oracle Identity Governanceの管理のアプリケーション・インスタンスの管理を参照してください。
1.2 Design Consoleを使用したリソースの管理
リソース・オブジェクトおよびITリソースは、Design Consoleを使用して管理されます。
この項では、Design Consoleでのリソース管理について説明します。次の項目が含まれます。
ノート:
Oracle Identity ManagerのSYSTEM ADMINISTRATORSグループに属するユーザーのみが、Design Consoleにログインできます。
1.2.1 リソース管理の概要
「リソース管理」フォルダには、Oracle Identity Managerリソースを管理するためのツールが用意されています。
「リソース管理」フォルダには、次のフォームが含まれています。
-
ITリソース・タイプ定義: このフォームは、「ITリソース」フォームに参照値として表示されるリソース・タイプを作成するために使用します。
-
ルール・デザイナ: このフォームは、ルールを作成するために使用します。ここで作成するルールは、パスワード・ポリシーの選択、自動ロール・メンバーシップ、プロビジョニング・プロセスの選択、タスクの割当ておよびアダプタの事前移入に適用できます。
-
リソース・オブジェクト: このフォームは、リソース・オブジェクトを作成および管理するために使用します。これらのオブジェクトは、ユーザーや組織に対してどのリソースを利用可能にするかを表します。
関連項目:
アダプタとアダプタ・タスクの詳細は、アダプタ・ファクトリの使用を参照してください
1.2.2 「ITリソース・タイプ定義」フォーム
「ITリソース・タイプ定義」フォームは、ITリソース・タイプを分類するために使用します。
「ITリソース・タイプ定義」フォームは「リソース管理」フォルダにあります。「ITリソース・タイプ定義」フォームを使用すると、AD、Microsoft Exchange、SolarisなどのITリソース・タイプを分類できます。Oracle Identity Managerでは、ユーザーや組織にプロビジョニングされるリソース・オブジェクトにリソース・タイプが関連付けられます。
このフォームでITリソース・タイプを定義すると、ITリソースを定義するときにそのリソース・タイプを選択できるようになります。タイプは、拡張管理の「ITリソースの作成」および「ITリソースの管理」ページに表示されます。
ITリソース・タイプとは、それらを参照するITリソース定義用のテンプレートのことです。ITリソース定義でITリソース・タイプを参照すると、そのリソースはITリソース・タイプのすべてのパラメータと値を継承します。ITリソース・タイプは、Solarisなどの全般的なIT分類です。リソースは、Solaris for Statewide Investmentsなどのタイプのインスタンスです。すべてのITリソース定義にITリソース・タイプを関連付ける必要があります。
図1-1に、「ITリソース・タイプ定義」フォームを示します。
1.2.3 「ITリソース・タイプ定義」フォームのフィールド
「ITリソース・タイプ定義」フォームには、ITリソース・タイプを分類するためのフィールドがあります。
表1-1に、「ITリソース・タイプ定義」フォームのフィールドを示します。
表1-1 「ITリソース・タイプ定義」フォームのフィールド
フィールド名 | 説明 |
---|---|
サーバー・タイプ |
ITリソース・タイプの名前。 |
複数の挿入 |
このITリソース・タイプを複数のITリソースで参照できるようにするかどうかを指定します。 |
1.3 接続なしアプリケーション・インスタンスの接続アプリケーション・インスタンスへの変換
接続なしアプリケーション・インスタンスを接続アプリケーション・インスタンスに変換するには、テスト環境に接続なしリソースをインポートし、リソース・オブジェクト定義やプロセス定義などのアプリケーション・インスタンスの実装を変更し、本番環境に新しい接続リソースをエクスポートします。
接続なしアプリケーション・インスタンスの詳細は、Oracle Identity Governanceの管理の接続なしリソースの管理を参照してください。
この項では、接続なしアプリケーション・インスタンスを接続アプリケーション・インスタンスに変換する方法について説明します。次の項目が含まれます。
1.3.1 前提およびおおまかなステップ
接続なしアプリケーション・インスタンスを接続アプリケーション・インスタンスに変換するための前提は、接続なしリソースのインポート、アプリケーション・インスタンス実装の変更、およびその変更の本番環境へのエクスポートに関わる変換の際に、アプリケーション・インスタンス、プロセス定義、フォーム、ITリソース・タイプ定義、およびITリソースが同じ名前を保持することです。
接続なしアプリケーション・インスタンスを接続アプリケーション・インスタンスに変換する手順を説明するうえで、次のことを前提としています。
-
接続なしアプリケーション・インスタンスは、Oracle Identity Managerデプロイメント内に存在します(本番環境など)。この接続なしアプリケーション・インスタンスは、Oracle Identity Managerの別のデプロイメント(テスト環境)にエクスポートされ、接続アプリケーション・インスタンスに変換されます。テスト環境で接続アプリケーション・インスタンスをテストした後に、再び本番環境でインポートします。
ノート:
必要に応じて、接続なしリソースを、同じ環境で接続リソースに変換できます。詳細は、接続なしから接続ありへのアプリケーション・インスタンスの変更を参照してください。
-
接続なしアプリケーション・インスタンスを接続アプリケーション・インスタンスに変換しても、アプリケーション・インスタンス、プロセス定義、フォーム、ITリソース・タイプ定義、およびITリソースの名前は同じままです。
接続なしアプリケーション・インスタンスを接続アプリケーション・インスタンスに変換するおおまかなステップを、次に示します。
-
既存の接続なしリソースを、既存の環境からテスト環境にインポートします。
-
アプリケーション・インスタンス(リソース・オブジェクト定義、プロセス定義など)の実装を変更します。
-
ユーザーにプロビジョニングし、有効化、無効化、失効および更新タスクの動作を検証することで、アプリケーション・インスタンスをテストします。
-
テスト環境から新しい接続リソースをエクスポートし、本番環境にインポートします。
ノート:
-
このリソースのみが、環境間で(アプリケーション・インスタンス間ではなく)エクスポートされます。
-
この項では、デプロイメント・マネージャを使用してアプリケーション・インスタンスのリソースをインポート/エクスポートするステップの概要を示します。また、コネクタ・アップグレード・ユーティリティも、リソースのインポート/エクスポートに使用できます。コネクタ・アップグレード・ユーティリティの使用の詳細は、Oracle Identity Governanceの管理のコネクタ・ライフサイクルの管理を参照してください。
1.3.2 本番環境での接続なしアプリケーション・インスタンスの作成
アプリケーション・インスタンスを作成する際に「切断」オプションを選択します。
本番環境で接続なしアプリケーション・インスタンスを作成するには:
- Oracle Identity System Administrationにログインします。
- 「サンドボックス」をクリックして、サンドボックス管理にアクセスし、サンドボックスを作成し、それをアクティブにします。サンドボックスの詳細、サンドボックスの作成、アクティブ化および公開方法については、サンドボックスの管理を参照してください。
- 「構成」で、「アプリケーション・インスタンス」をクリックします。ツールバーで「作成」をクリックして、「アプリケーション・インスタンスの作成」ページを開きます。
- 「名前」および「表示名」フィールドに、
LaptopApplicationInstance
などの値を入力します。 - 「切断」オプションを選択して、接続なしアプリケーション・インスタンスを指定します。「切断」オプションを選択すると、そのページの「リソース・オブジェクト」フィールドおよび「ITリソース・インスタンス」フィールドが無効になります。
- 「保存」をクリックし、「OK」をクリックして、LaptopApplicationInstanceアプリケーション・インスタンスの作成を確認します。接続なしアプリケーション・インスタンスのアーティファクトが作成されます。
- 「サンドボックスの管理」ページに移動し、サンドボックスを公開します。
アプリケーション・インスタンスの作成に成功すると、組織および権限を、必要に応じて構成できます。テストのために、4人または5人のユーザーを作成して、そのユーザーに新しく作成した接続なしアプリケーション・インスタンスをプロビジョニングします。ユーザーのアプリケーション・インスタンスのステータスが、「プロビジョニング済」、「有効」、「無効」および「失効」のいずれかであることを確認します。ユーザーのいずれかを変更して、アカウントが正常に更新されることを確認してください。
1.3.3 テスト環境からの接続なしアプリケーション・インスタンスのエクスポート
接続なしアプリケーション・インスタンスをテスト環境からエクスポートするには、Identity System Administrationの「エクスポート」セクションを使用します。
接続なしアプリケーション・インスタンスをテスト環境からエクスポートするには:
1.3.4 本番環境での接続なしアプリケーション・インスタンスのインポート
接続なしアプリケーション・インスタンスを本番環境にインポートするには、Identity System Administrationの「エクスポート」セクションを使用します。
本番環境で接続なしアプリケーション・インスタンスをインポートするには:
1.3.5 接続なしから接続ありへのアプリケーション・インスタンスの変更
接続なしアプリケーション・インスタンスを接続アプリケーション・インスタンスに変換するには、リソース・オブジェクト定義やプロセス定義などのアプリケーション・インスタンスの実装を変更します。
アプリケーション・インスタンスがインポートされた環境で、接続なしアプリケーション・インスタンスを接続アプリケーション・インスタンスに変換するには、次の変更を行います。
-
Design Consoleにログインします。
-
「リソース管理」を開きます。「リソース・オブジェクト」をクリックして、「リソース・オブジェクト」フォームを開きます。
-
リソース・オブジェクトのタイプを、「切断」から「アプリケーション」に変更します。
-
ITリソース・タイプ定義フォームで、必要に応じて接続リソースとともに新しいITリソース・パラメータを定義します。
-
ステップ4で追加した新しいパラメータで、既存のITリソース(ITResourceが同じであると想定)を変更します。
-
「プロセス管理」を開き、「プロセス定義」をクリックして「プロセス定義」フォームを開きます。
-
接続なしアプリケーション・インスタンスのプロセス定義を検索します。次のタスクが表示されます。
-
ManualProvisioningStart
-
ManualProvisioningEnd
-
ManualEnableStart
-
ManualEnableEnd
-
ManualDisableStart
-
ManualDisableEnd
-
ManualRevokeStart
-
ManualRevokeEnd
-
-
タスクごとに、次の手順を実行します:
-
「タスク」行をダブルクリックして、タスクの詳細を開きます。プロセス・タスクの変更の詳細は、プロセス・タスクの変更を参照してください。
-
タスクの名前を変更します。たとえば、タスク名をManualProvisioningStartから、XXManualProvisioningStartに変更します。
-
条件付きオプションが選択されていることを確認します。また、完了に必須オプションが選択されていないことを確認します。
-
タスクが有効化/無効化/失効タスクである場合、タスクの結果を「無効」に変更します。
-
統合タブで、「削除」をクリックして、タスクにアタッチされたアダプタを解除します。
-
タスク依存性を削除します(存在する場合)。
-
取消し/リカバリ/生成済タスクを削除します(存在する場合)。
-
オブジェクト・ステータス・マッピングがある場合は、それを「なし」に変更します。
ノート:
ステップ6aから6gは、アプリケーション・インスタンスを接続アプリケーション・インスタンスとしてエクスポートする際に、接続なしアプリケーション・インスタンスの既存のタスクが開始されないようにするためのものです。
-
-
更新されたPARENT_FORM_NAMEという名前のタスクがあります。このタスクは、親フォームが更新されると必ずトリガーされます。このタスクにアタッチされた既存のアダプタを解除し、必要に応じてタスクをカスタマイズするようにしてください。
-
この子フォームに関連したタスクがある場合は、「クリア」をクリックして、作成/更新/削除のトリガーを削除するようにします。これらのタスクを再利用しない場合は、これらにアタッチされたアダプタを解除し、タスクの名前を変更して、実行されないようにします。作成、更新および削除の各トリガーに対して新しいタスクを作成することをお薦めします。
ノート:
-
必要に応じて、同じタスクを子データに対して保持することができますが、カスタム・アダプタは作成/更新/削除トリガーに対して定義する必要があります。
-
子データを持つ接続なしアプリケーション・インスタンスの場合、削除トリガーを持つタスクは、tcCompleteTaskアダプタに関連付けられます。権限または子データを適切に削除できるように、カスタム・アダプタを定義してこのタスクにアタッチするようにしてください。
-
-
アカウントの作成、無効化、有効化、失効および更新タスクに対してカスタム・アダプタを定義します。子表がある場合、必ず同じものに対してカスタム・アダプタを定義するようにします。
-
プロセス定義で次のタスクを作成し、対応するアダプタを各タスクに関連付けます。必要な取消し/リカバリ・タスクをマップし、オブジェクト・ステータス・マッピングを設定します。
-
ユーザーの作成: タスク・プロパティで、完了に必須オプションが選択され、条件付きオプションが選択されていないことを確認します。
-
ユーザーの無効化: タスクの結果が、プロセスの無効化またはアプリケーションへのアクセスであることを確認します。
-
ユーザーの有効化: タスクの結果が、プロセスの有効化またはアプリケーションへのアクセスであることを確認します。
-
ユーザーの削除: タスクの結果が、プロセスの失効またはアプリケーションへのアクセスであることを確認します。
-
更新されたATTRIBUTE_NAME: プロセス・フォームで定義される属性ごとに、対応する更新タスクを作成する必要があります。これらのタスクはプロセス・フォームの更新時にトリガーされます(たとえば、「更新されたAccount Name」、「更新されたAccount ID」など)。
-
-
子表がある場合は、作成、更新、削除など、トリガー・タイプごとにタスクを定義します。
テスト環境で2、3人のユーザーにプロビジョニングすることによって、接続アプリケーション・インスタンスをテストします。アプリケーション・インスタンスをユーザーにプロビジョニングするために、変更されたリソース・オブジェクトおよびITリソースが含まれる新しいアプリケーション・インスタンスを定義する必要があります。