アクセス・リクエスト・カタログの管理

11 アクセス・リクエスト・カタログの管理

アクセス・リクエスト・カタログは、ビジネス・ユーザーがロール、アプリケーション・インスタンスおよびアプリケーション内の追加アクセス(権限とも呼ばれる)へのアクセスをリクエストできる、簡単で直感的なWebベースのユーザー・インタフェースを提供します。

この章のトピックは、次のとおりです:

11.1 アクセス・リクエスト・カタログ

アクセス・リクエスト・カタログを使用すると、ビジネスでロール、アプリケーション・インスタンス、カタログに対する権限を分類および公開し、拡張可能なメタデータを使用して追加のビジネス・コンテキストを提供できます。ユーザーは、直感的なユーザー操作性を備えたカタログ検索およびショッピング・カートを使用して、使い慣れたリクエスト・アクセスを自分で使用します。

この項では、アクセス・リクエスト・カタログの概要を示します。内容は次のとおりです。

11.1.1 アクセス・リクエストの課題

企業は、運営効率の改善およびITコスト削減の一環として、エンド・ユーザーのアイデンティティ・ライフサイクルとアクセス権限の管理プロセスを簡素化し、効率化することを試みてきました。

これらの目的を達成するために、企業はエンド・ユーザーに各自のIDとアクセスの管理を可能にする様々なソリューションの導入を試みてきました。ただし、その過程で次のようないくつかの課題に直面しました。

ITの概念と用語を理解し、アクセスをリクエストするITプロセスを使用するために、エンド・ユーザーは研修を受ける必要があります。
新しい従業員が入社すると研修サイクルを繰り返す必要があるため、生産性が低下し、ITコストが増加します。
エンド・ユーザーは、リクエストが適時に満たされず、リクエストのステータスがわからない場合、IT支援を受ける必要があります。
通常、アプリケーション内の追加アクセスは、IT管理者またはアプリケーション管理者によって許可される必要があります。
そのため、ビジネス・ユーザーはITに依存することを強制される一方、利用可能なアクセスの表示が制限され、生産性が制限されます。

アクセス・リクエスト・カタログは、ユーザーが様々なタイプのアクセスを検索および参照し、職務を遂行するために必要なアクセスを選択できる使いやすいWebインタフェースを提供することによってこれらの課題に対処します。これには、次の利点があります。

エンド・ユーザーは、アクセスをリクエストするために技術的な専門用語を覚えたり、ITプロセスに従う必要がありません。カタログでは、よく知られている使いやすい検索とショッピング・カートのパターンによってユーザーにアクセス・リクエスト・プロセスを案内します。
エンド・ユーザーは、特定のアプリケーション・インスタンス、ロールまたは権限の名前を知る必要がありません。カタログには、拡張可能なメタデータ・モデルとタグ付け機能が用意されています。これにより、ビジネス・ユーザーは、特定のアクセスの検索に使用される代替語を指定できます。エンド・ユーザーは必要なアクセスを検索するためのキーワードとワイルドカードの組合せを使用してカタログを検索できます。

11.1.2 アクセス・リクエスト・カタログの概念

アクセス・リクエスト・カタログに関連する主な概念には、カタログ項目、カタログ・アプリケーション・インスタンス、エンタープライズ・ロール、権限、カタログ項目メタデータ、カタログ同期化などがあります。

この項では、主要なアクセス・リクエスト・カタログの概念について説明します:

カタログ: カタログ(リクエスト・カタログとも呼ばれる)は、一般に使用されるショッピング・カートのパラダイムに従って、ロール、権限およびアプリケーション・インスタンスをリクエストする一貫性のある直感的なリクエスト操作を顧客に提供します。カタログとは、メタデータの独自のセットを持つ構造化されたコモディティです。
カタログ項目: カタログ項目は、ユーザーが自身または他のユーザーのためにリクエストできる項目(ロール、権限またはアプリケーション・インスタンス)です。
カテゴリ: カタログ項目カテゴリは、リクエスト・カタログを編成するための方法です。各カタログ項目は1つのカテゴリのみに関連付けられます。カタログ項目ナビゲーション・カテゴリは、カタログ項目の属性です。カタログ項目の編集とカテゴリ値の指定は、カタログ管理者が実行できます。

ノート:

カタログ項目では「カテゴリ」フィールドを空欄にできません。したがって、カテゴリに対する値が存在することを確認する必要があります。
アプリケーション・インスタンス: アプリケーション・インスタンスは、特定のターゲットのアカウントを表します。ユーザーがアプリケーション・インスタンスをリクエストする場合、ユーザーは特定のターゲットのアカウントをリクエストしています。アプリケーション・インスタンスは、コネクタを介して履行が自動化されている場合は接続でき、履行が手動の場合は切断できます。アプリケーション・インスタンスには権限を関連付けることができます。
エンタープライズ・ロール: エンタープライズ・ロールは顧客によって定義されます。エンタープライズ・ロールにはポリシーが関連付けられます。ユーザーは、カタログを介してエンタープライズ・ロールをリクエストできます。ロールが付与されると、アプリケーション・インスタンスまたは権限がユーザーにプロビジョニングされます。
権限: 権限は、アプリケーションのユーザーがどの操作を実行できるかを制御するアプリケーションの権限です。
カタログ・ユーザー定義フィールド: カタログ・ユーザー定義フィールドは、顧客によってカタログ・エンティティに追加される属性です
カタログ項目メタデータ: カタログ項目メタデータは、カタログ項目属性の値を意味します。メタデータはカタログ管理者が項目ごとに管理するか、一括して移入できます。
タグ: タグは検索キーワードです。ユーザーがアクセス・リクエスト・カタログを検索する場合、検索はタグに対して実行されます。タグには次の2つのタイプがあります。
- 自動生成: カタログ同期化プロセスにより、項目タイプ、項目名および項目表示名を使用してカタログ項目が自動的にタグ付けされます。
- ユーザー定義: ユーザー定義タグは、カタログ管理者によって入力される追加のキーワードです。
カタログ管理者: カタログ管理者はグローバル・セキュリティ・ロールです。カタログはこのロールのメンバーによってのみ管理されます。
ショッピング・カート: ショッピング・カートは、リクエストされているカタログ項目のコレクションを意味します。ユーザーが任意の指定時間にアクティブ化できるカートは1つのみであり、カートにはロール、アプリケーション・インスタンス、権限またはこの3つの任意の組合せを含めることができます。
カタログ同期化: カタログ同期化とは、ロール、アプリケーション・インスタンスおよび権限をカタログにロードするプロセスのことです。

11.1.3 アクセス・リクエスト・カタログのユースケース

アクセス・リクエスト・カタログを使用する一般的なユースケースでは、アプリケーションおよびアプリケーションとロール内の権限をカタログで表示可能にし、ユーザーが簡単なWebベースのインタフェースを介してそれらへのアクセスをリクエストできるようにします。

この項のユースケースでは、アクセス・リクエスト・カタログによって、エンド・ユーザーが職務の遂行に必要なロール、アプリケーション・インスタンスおよび権限をどのようにリクエストしやすくなるかについて説明します。

アクセスのリクエスト

MyCorpのマネージャのMaryは、自分自身と直属の部下のためにMyCorp取引アプリケーションへのアクセスをリクエストしようとしています。そのために、キーワード取引を使用してカタログを検索します。カタログによって、Maryのキーワードに一致し、リクエストが許可されるすべての項目が返されます。Maryは、カテゴリのリストからアプリケーションを選択して検索結果をフィルタリングします。カタログによって、削減された検索結果のセットが返されます。MaryはMyCorp取引アプリケーションをカートに追加し、チェックアウトします。彼女は自分自身と直属の部下をリクエストに追加し、リクエストを送信します。

図req_acc_1.gifの説明

カタログの管理

カタログ管理者のJimは、新しいアプリケーション・インスタンスとその権限をオンボードし、属性を追加して、カタログ項目の検索可能性を向上させたいと考えています。カタログ同期化ジョブ・スケジュール済ジョブを実行して新しいアプリケーション・インスタンスとその権限を収集します。次に、属性を追加してカタログ・メタデータを拡張し、特定の属性を検索可能に指定します。次に、メタデータとともにカタログをロードし、新しい属性にタグを付けます。特定のカタログ項目について、カタログを検索し、カタログ項目をインプレース編集します。

ノート:

カタログ管理者は、カタログ同期化ジョブを実行するためにはシステム構成管理者管理ロールが必要です。

図req_acc_2.gifの説明

これらのユースケースは、アクセス・リクエスト・カタログを使用してアプリケーションおよびアプリケーションとロール内の権限をカタログで表示可能にし、ユーザーが簡単なWebベースのインタフェースを介してそれらへのアクセスをリクエストできるようにする一般的な例です。

11.1.4 アクセス・リクエスト・カタログの機能と利点

アクセス・リクエスト・カタログは、Oracle Identity Managerでリクエストできる、検索可能な分類されたエンティティのコレクションです。認証されたユーザーは、カタログにアクセスして1つ以上のキーワードと検索演算子を使用してカタログを検索し、ショッピング・カートに1つ以上のカタログ項目を追加して自分自身と他のユーザーのためにリクエストを送信できます。

アクセス・リクエスト・カタログの主要機能は次のとおりです。

拡張可能なカタログ・スキーマにより、管理者は属性の追加や

属性がレンダリングされる方法の指定を簡単なブラウザベースのUIを使用して行うことができる
ロール、アプリケーションおよび権限の自動収集
CSVファイルを使用したカタログ・メタデータの自動ロード
複雑な検索演算子のサポートを含むキーワードを使用した強力な検索
顧客の選択に基づいたカタログ編成を可能にする柔軟な分類モデル
リクエスタのビューア権限に基づいたカタログ検索結果の保護
ワークフローで使用するWebサービスを介してカタログ項目データを利用可能

11.1.5 アクセス・リクエスト・カタログのアーキテクチャ

アクセス・リクエスト・カタログのアーキテクチャ・コンポーネントには、カタログ表、カタログ・ローダー、カタログ・メタデータ、およびアイデンティティ・セルフ・サービスのカタログ・ユーザー・インタフェースが含まれます。

図11-1に、アクセス・リクエスト・カタログのコンポーネントおよびOracle Identity Managerの他のコンポーネントとの関係を示します。

図11-1 高レベルのカタログ・アーキテクチャ

「図11-1 高レベルのカタログ・アーキテクチャ」の説明

11.2 アクセス・リクエスト・カタログの構成

アクセス・リクエスト・カタログを構成するには、属性をカタログ検索フォームに追加し、権限検索でアプリケーション選択制限を構成し、カスタム検索フォームを使用するようにカタログを構成します。

この項では、アクセス・カタログのための次の構成について説明します。

11.2.1 デフォルトの検索フォームへの属性の追加

カタログ検索フォームには属性を追加できます。

検索可能としてマークされている属性は、デフォルトの検索フォームのテキスト・フィールドとして自動的に表示されます。これらの属性は、カスタマイズを介してカート詳細フォームに追加する必要があります。カスタム属性の定義の詳細は、「カスタム属性の構成」を参照してください。

11.2.2 権限検索のアプリケーション選択制限の構成

権限検索中にデフォルトの検索フォームで選択可能なアプリケーションの数を構成できます。

検索制限は、「カタログ拡張検索最大アプリケーション」システム・プロパティを使用して構成できます。このシステム・プロパティの詳細は、「Oracle Identity Governanceのデフォルトのシステム・プロパティ」を参照してください。

11.2.3 カスタム検索フォームを使用するためのカタログの構成

カタログ検索の拡張カスタマイズを行う場合、デフォルトのカタログ検索フォームをカスタム作成の検索フォームに置き換えることができます。

カタログ検索フォームは、「カタログ拡張検索タスクフロー」システム・プロパティを使用して構成できます。カタログ検索用のカスタム・タスクフローの開発の詳細は、Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズのカタログ検索のカスタマイズに関する項を参照してください。

11.3 アクセス・リクエスト・カタログの管理

アクセス・リクエスト・カタログを管理するには、カタログ管理の前提条件を設定し、一般的な管理タスクを実行し、カタログ監査と権限の階層属性を構成し、データベースとText索引の最適化に関連するベスト・プラクティスを実装します。

この項では、アクセス・リクエスト・カタログの基本的な管理について説明します。内容は次のとおりです。

11.3.1 カタログ管理の前提条件

カタログ管理の前提条件には、カタログ管理者の設定、カタログ・メタデータの定義、およびカタログへの属性の追加が含まれます。

アクセス・リクエスト・カタログは、エンド・ユーザーが職務の遂行に役立つロールや権限へのアクセスをリクエストするために使用します。そのため、カタログが最新であり、豊富なメタデータを含み、ユーザーが適切なアクセスを見つけることができるように編成されることが非常に重要です。これを実現するには、アクセス・リクエスト・カタログを管理するための計画を立てる必要があります。実現のための項では、カタログを管理するために従う必要があるステップを示します。それらのステップを実行するには、特定の前提条件があります。次のものがあります。

11.3.1.1 カタログ管理者の設定

カタログ管理者は、システム管理者およびシステム・コンフィギュレータのロールに類似した管理ロールです。このロールのメンバー(およびシステム管理者ロールのメンバー)は次のアクションを実行できます。

カタログのロード
カタログ項目の管理
リクエスト・プロファイルの管理

このロールはグローバル・ロールであり、組織によって範囲指定されません。

カタログ管理者を付与するには:

Oracle Identity Self Serviceにログインします。
「管理」タブをクリックし、「組織」をクリックします。
最上位組織を検索して開きます。
「管理ロール」タブをクリックします。
カタログ・システム管理者管理ロールを選択して、ツールバーの「割当て」をクリックします。
割り当てるユーザーを検索して選択し、「選択した項目の追加」をクリックします。
「追加」をクリックしてユーザーを追加します。

カタログ・システム管理者ロールの新しいメンバーは、セルフ・サービス・コンソールにログインしてカタログの管理を開始できます。

11.3.1.2 カタログ・メタデータの定義

豊富なカタログ・メタデータは、次の理由により重要です。

エンド・ユーザーは、職務の遂行に必要なものへのアクセスにのみ関心があります。カタログを検索および参照する場合、示される情報はビジネスに関連するものである必要があります。カタログがスパース(最小の属性)である場合、ユーザーには選択すべきアクセスがわかりません。カタログが豊富であるが技術的なものである場合、ユーザーは混乱し、カタログを使用しなくなってしまいます。
リクエスタおよび承認者には、リクエストの送信またはリクエストの承認を行うためにできるだけ多くのコンテキスト情報が必要です。承認者がリクエストを確認するとき、リクエスト対象、理由およびリクエストを承認した場合の影響を理解するのに、カタログ項目の詳細が役立ちます。
承認ワークフローでは、ルーティング・ルールを使用して承認者が正しく決定されます。承認者解決を実行するには、これらのルールに、リクエストされた項目に関する追加コンテキストへのアクセスが必要です。カタログ情報がスパースである場合、ルーティング・ルールには正しい承認者の決定に使用できる十分なデータがありません。

これらの課題に対処するために、カタログには、アクセス(カタログ項目)を正しいビジネス・コンテキストに配置するのに役立つ追加のメタデータが含まれている必要があります。

11.3.1.3 カタログへの属性の追加

カタログに1つ以上の属性を追加するには:

Oracle Identity System Administrationコンソールにログインします。
サンドボックスを作成し、アクティブにします。Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズのサンドボックスの管理に関する項を参照してください。
「システム・エンティティ」で、「カタログ」をクリックします。
カスタム新規属性をクリックして属性を追加します。
事前定義された属性タイプの1つから選択し、「OK」をクリックします。
必要な情報を入力し、「保存して閉じる」をクリックします。

ノート:

新しいカスタム属性(UDF)が検索可能になっている場合は、最適な検索パフォーマンスを得るために、カスタム属性のデータベース列で標準索引を作成することをお薦めします。カスタム属性のデータベース列は、Oracle Identity ManagerスキーマのCATALOG表にあります。
必要に応じて属性を追加します。

カタログを拡張する最初のステップが完了しました。
カタログ検索結果またはカタログ項目詳細UIを変更しない場合は、変更の確認を依頼して変更内容が承認された後、サンドボックスをエクスポートして公開します。サンドボックスで行った変更をすべて保管する場合は、サンドボックスをエクスポートしてください。

カタログ検索結果およびカタログ項目詳細UIを変更する場合は、続行します。
アイデンティティ・コンソールからログアウトし、システム管理者ロールのメンバーとしてログインします。
新しいサンドボックスを作成してアクティブ化します。
「カスタム属性の追加」を参照して、カタログ詳細ページに属性を追加します。
サンドボックスのエクスポートと公開を実行します。

11.3.2 カタログ管理者によって実行される一般的なタスク

カタログ管理者によって実行される一般的なタスクには、アプリケーションとロールの組込みと組込みの自動化、カタログのブートストラップと拡充、カタログ項目の管理などがあります。

この項では、カタログ管理者によって実行される一般的なタスクについて説明します。次のタスクを説明します。

11.3.2.1 アプリケーションおよびロールの組込み

ユーザーがアクセスを検索およびリクエストできるように、アクセス・リクエスト・カタログにエンタープライズ・ロール、アプリケーション・インスタンスおよび権限を移入する必要があります。最小の管理者操作でエンタープライズ・ロール、アプリケーション・インスタンスおよび権限をカタログに組み込むことができるプロセスを開発する必要があります。この項では、ロール、アプリケーション・インスタンスおよび権限をカタログに組み込むための様々なステップについて説明します。

11.3.2.1.1 組込みチェックリストの準備

次の組込みチェックリスト項目を使用して、ロール、アプリケーション・インスタンスおよび権限をアクセス・リクエスト・カタログに組み込むための高レベルのプロセスを開発します。後で、ロール、アプリケーション・インスタンスおよび権限の個々のチェックリストに従うことができます。

カタログ管理者を指定します
カタログ属性を指定および拡張します。
カタログ検索結果UIをカスタマイズします。
カタログ項目詳細UIをカスタマイズします。
ナビゲーション・カテゴリを指定します
ロールおよびアプリケーションの所有者、認証者、承認者を指定します。
カタログ項目/用語集の真のソースを指定します。
カタログ項目/用語集を生成およびロードする手順を作成します。
タグの用語集およびタグを維持するプロセスを作成します。

11.3.2.1.2 ロールの組込み

エンタープライズ・ロールを組み込むステップはありません。Oracle Identity Managerロール以外のロール・カテゴリに属するロールは、作成されたときに直接カタログに公開されます。

ユーザーがロールを編集し、そのカテゴリをOracle Identity Managerロールからそれ以外のカテゴリに変更した場合は、カタログ同期化ジョブ・スケジュール済ジョブを実行して、そのロールをカタログ内で検索可能にする必要があります。

11.3.2.1.3 アプリケーション・インスタンスの組込みについて

エンド・ユーザーがアプリケーション・インスタンスをリクエストできるようにするには、追加構成を行う必要があります。次のチェックリスト項目を使用して、アプリケーション・インスタンスの組込みに必要な構成を実行したことを確認します。

コネクタが(新しいターゲットに対して).インストールされていることを確認します。
Oracle Identity Managerをリリース11gからアップグレードしている場合は、必要なアップグレード後のステップについて、Oracle Identity and Access ManagementのアップグレードのOracle Identity Manager 11gのアップグレードに関する項を参照してください。
プロセス・フォームにITリソース・フィールドがあることを確認します。
フォーム・フィールド・プロパティを正しく定義したことを確認します。
アプリケーション・インスタンスを適切な表示名と説明で作成したことを確認します。
アカウント・リクエストに必要なフォームを作成したことを確認します。
アプリケーション・インスタンスを関連する組織に公開したことを確認します。
接続なしアプリケーションに対して、アプリケーション・インスタンスを作成したことを確認します。ステップの詳細は、「接続なしリソースの管理」を参照してください。

チェックリストのステップを確認したら、次のステップに従ってアプリケーション・インスタンスを組み込みます。

11.3.2.1.4 アプリケーション・インスタンスの組込み

アプリケーション・インスタンスを組み込むには:

Identity System Administrationにシステム管理者ロールのメンバーとしてログインします。
左ペインの「システム構成」で、「スケジューラ」をクリックします
カタログ同期化ジョブ・スケジュール済ジョブを検索します。
アプリケーション・インスタンスの処理パラメータをチェックします。
パラメータの「モード」を「増分」に設定します。

11.3.2.1.5 権限の組込みについて

次のチェックリスト項目を使用して、権限の組込みに必要な構成を実行したことを確認します。

ノート:

カタログ同期化ジョブ・スケジュール済ジョブを実行する前にジョブ権限リスト・ローダーを実行する必要があります。

コネクタが(新しいターゲットに対して).インストールされていることを確認します。
Oracle Identity Managerをリリース11gからアップグレードしている場合は、必要なアップグレード後のステップについて、Oracle Identity and Access ManagementのアップグレードのOracle Identity Manager 11gのアップグレードに関する項を参照してください。
プロセス・フォームにITリソース・フィールドがあることを確認します。
フォーム・フィールド・プロパティを正しく定義したことを確認します。
親フォームと子フォームを正しく関連付けたことを確認します。
ICFベースのターゲットに対して共通参照リコンシリエーション・ジョブを実行したことを確認します。
非ICFベースのコネクタに対してコネクタ固有の参照リコンシリエーション・ジョブを実行したことを確認します。
参照リコンシリエーション・ジョブで指定されたリソース・オブジェクトとITリソース・インスタンスに対応して、アプリケーション・インスタンスを正しく作成したことを確認します。
権限を関連する組織に公開したことを確認します。
データをent_list表に移入できるように権限リスト・ローダー・ジョブを実行したことを確認します。

チェックリストのステップを確認したら、「権限の組込み」のステップに従って権限を組み込みます。

11.3.2.1.6 権限の組込み

権限を組み込むには:

Identity System Administrationにシステム管理者ロールのメンバーとしてログインします。
左ペインの「システム構成」で、「スケジューラ」をクリックします
カタログ同期化ジョブ・スケジュール済ジョブを検索します。
権限の処理パラメータをチェックします。
パラメータの「モード」を「増分」に設定します。
ノート:
- 初めて収集を行う場合、パラメータを「完全」に設定する必要があります。
- パラメータの「モード」が「増分」の場合、これらのエンティティのみがスケジュール済タスクにより選択されて処理されます。その作成日が作成の更新日よりも新しく、更新日が更新日値よりも大きくなります。

11.3.2.2 カタログのブートストラップ

この項では、カタログのブートストラップについて説明します。内容は次のとおりです。

11.3.2.2.1 カタログのブートストラップについて

ブートストラップとは、カタログに最初に移入するプロセスのことです。多数のエンティティをブートストラップした後、ベース表の統計を収集できます。この項では、Oracle Identity Manager 12c (12.2.1.3.0)をインストールした後のカタログのブートストラップについて説明します。

Oracle Identity Manager 11gからアップグレードしている場合は、『Oracle Identity and Access Managementアップグレード・ガイド』のOracle Identity Manager単一ノード環境のアップグレードに関する項を参照してください。

カタログのブートストラップの前提条件を次に示します。

「カタログ・メタデータの定義」のステップに従い、カタログ・システム・エンティティを使用してカタログを拡張しておきます。
カタログにユーザー定義フィールドを追加するときに必要なUIカスタマイズ・ステップを実行しておきます。

ロールによってカタログをブートストラップするには2つの方法があります。

Oracle Identity Analyticsカスタマを使用していない場合のロールによるカタログのブートストラップ

ロールは、作成後にOracle Identity Managerロール・カテゴリ以外のロール・カテゴリが割り当てられると、即座にカタログに公開されます。ロール・カテゴリに変更を加えた場合、またはエンタープライズ・ロールとカタログを同期化する必要がある場合は、「ロールによるカタログのブートストラップ」のステップを実行します。
エンタープライズ・ロールのライフサイクルを管理するためにOracle Identity Analyticsを使用している場合のロールによるカタログのブートストラップ

アプリケーション・インスタンスによってカタログをブートストラップするには、追加のステップを実行する必要があります。「アプリケーション・インスタンスの組込みについて」にあるチェックリストを使用して、前提条件を満たしていることを確認します。

権限によってカタログをブートストラップするには、追加のステップを実行する必要があります。「権限の組込みについて」にあるチェックリストを使用して、前提条件を満たしていることを確認します。

11.3.2.2.2 ロールによるカタログのブートストラップ

ロールによってカタログをブートストラップするには:

Identity System Administrationにシステム管理者ロールのメンバーとしてログインします。
左ペインの「システム構成」で、「スケジューラ」をクリックします。
カタログ同期化ジョブ・スケジュール済ジョブを検索します。
ロールの処理パラメータをチェックします。
パラメータの「モード」を「完全」に設定します。

ノート:

ジョブを初めて実行する際に「モード」が「完全」に設定されている場合、「更新日」パラメータで値を指定しないでください。
「即時実行」をクリックしてジョブを即座に実行するか、ジョブを後で実行する日時を指定します。

11.3.2.2.3 アプリケーション・インスタンスによるカタログのブートストラップ

前提条件を満たしたら、次のステップに従ってアプリケーション・インスタンスを組み込みます。

Identity System Administrationにシステム管理者ロールのメンバーとしてログインします。
左ペインの「システム構成」で、「スケジューラ」をクリックします
カタログ同期化ジョブ・スケジュール済ジョブを検索します。
アプリケーション・インスタンスの処理パラメータをチェックします。
パラメータの「モード」を「完全」に設定します。

ノート:

ジョブを初めて実行する際に「モード」が「完全」に設定されている場合、「更新日」パラメータで値を指定しないでください。
「即時実行」をクリックしてジョブを即座に実行するか、ジョブを後で実行する日時を指定します。

11.3.2.2.4 権限によるカタログのブートストラップ

前提条件を満たしたら、次のステップに従って権限を組み込みます。

Identity System Administrationにシステム管理者ロールのメンバーとしてログインします。
左ペインの「システム構成」で、「スケジューラ」をクリックします
カタログ同期化ジョブ・スケジュール済ジョブを検索します。
権限の処理パラメータをチェックします。
パラメータの「モード」を「完全」に設定します。

ノート:

ジョブを初めて実行する際に「モード」が「完全」に設定されている場合、「更新日」パラメータで値を指定しないでください。
「即時実行」をクリックしてジョブを即座に実行するか、ジョブを後で実行する日時を指定します。

11.3.2.3 進行中の同期化

ロール、アプリケーション・インスタンスおよび権限の組込みプロセスを自動化するために、次の方法でカタログ同期化ジョブ・スケジュール済ジョブを構成できます。

Identity System Administrationにシステム管理者ロールのメンバーとしてログインします。
左ペインの「システム構成」で、「スケジューラ」をクリックします
カタログ同期化ジョブ・スケジュール済ジョブを検索します。
ロールの処理、アプリケーション・インスタンスの処理および権限の処理パラメータをチェックします。
パラメータの「モード」を「増分」に設定します。
ジョブを後で実行する日時を指定します。
ジョブの頻度を5分ごとに実行されるように設定します。

11.3.2.4 カタログの拡充

この項では、カタログを拡充する方法を説明します。内容は次のとおりです。

11.3.2.4.1 カタログの拡充について

カタログの拡充は、情報がエンド・ユーザーに表示されるようにアクセス・リクエスト・カタログにデータを移入するプロセスを示します。追加のデータは、エンド・ユーザーがカタログ項目に関連付けられたビジネス・コンテキストを理解するのに役立ちます。追加のデータを承認ワークフローの一部として利用して、カタログ項目に関するデータに基づいたインテリジェント・ルーティング・デシジョンをワークフローで行うこともできます。

前提条件を次に示します。

「カタログ・メタデータの定義」のステップに従い、カタログ・システム・エンティティを使用してカタログを拡張しておきます。
カタログにユーザー定義フィールドを追加するときに必要なUIカスタマイズを追加しておきます。ユーザー定義フィールドを追加しUIをカスタマイズして、ユーザー定義フィールドをUIで表示する方法の詳細は、「カスタム属性の構成」を参照してください。
　
「カタログ管理者の設定」に示されているように、カタログ管理者ロールを作成し、ユーザーを割り当てておきます。

11.3.2.4.2 カタログ項目のオンラインでの編集

Oracle Identity Self Serviceを使用してオンラインでカタログ項目を編集するには:

ノート:

名前、表示名および説明はカタログ画面で編集できません。これらはベース・レベルの属性であり、カタログUIから編集できません。

カタログ項目を編集する際、値リスト(LOV)・タイプのフィールドでは、関連付けられているリストから値を選択および指定することをお薦めします(このフィールドに値を直接入力しないようにしてください)。

Identity Managerセルフ・サービスにカタログ管理者ロールのメンバーとしてログインします。
「カタログ」をクリックし、リクエスト・カタログにアクセスします。
1つ以上のキーワードを入力し、「検索」をクリックします。
「検索の絞込み」を使用して、編集するカタログ項目を検索します。
編集するカタログ項目を選択します。
「詳細情報」セクションで、「カタログ項目」を編集して「適用」をクリックします。確認メッセージを確認します。

11.3.2.4.3 外部ソースからのカタログの一括拡充

カタログ管理者はOracle Identity Self Serviceの堅牢なカタログ項目編集機能を使用できますが、データを外部ソースから一括してロードする必要があるシナリオがあります。一括更新の例は、次のとおりです。

MyCorpは、IT CMDBシステムまたは企業資産管理システムからユーザーに資産情報を提供します。CMDBまたはAMSシステムは定期的に更新されるため、情報を手動で入力することはできません。このようなシナリオでは、MyCorpにはカタログを一括して更新する方法が必要です。
MyCorpは、Oracle Identity Manager 11g R2を導入する前は自社製のアクセス・リクエスト・アプリケーションを使用していました。このアプリケーションには、用語集およびロール、アプリケーション・インスタンス、権限に関するその他の関連情報が含まれています。Oracle Identity Managerの移行の一環として、MyCorpのカタログ管理者はカタログ項目情報をレガシー・システムから移行しようとしています。

11.3.2.4.4 外部ソースからのデータのロード

次のステップに従って外部ソースからカタログにデータをロードします。

ロードするデータをカンマ区切り値形式ファイルにエクスポートします。
ファイルの最初の行にカタログ属性名が含まれていることを確認します。
Oracle Identity Managerがデプロイされているサーバーからアクセス可能なファイル・システムにファイルを移行します。
Identity System Administrationにシステム管理者ロールまたはシステム・コンフィギュレータ・ロールのメンバーとしてログインします。
左ペインの「システム構成」で、「スケジューラ」をクリックします
カタログ同期化ジョブ・スケジュール済ジョブを検索します。
ファイルのフルパスをパラメータ・ファイル・パスに入力します。

パラメータの「モード」の値を「メタデータ」に設定します。表11-1は、パラメータ詳細例を示しています。

表11-1 カタログ・メタデータのローダー例

パラメータ	値
ENTITY_TYPE	ロール
ENTITY_KEY	12
ENTITY_NAME	test
IS_REQUESTABLE	1
USER_DEFINED_TAGS	UDTags
CATEGORY	mycategory
AUDIT_OBJECTIVE	AO111
APPROVER_USER	1
APPROVER_ROLE	1
FULFILLMENT_USER	1
FULFILLMENT_ROLE	1
CERTIFIER_USER	1
CERTIFIER_ROLE	1
ITEM_RISK	5
CERTIFIABLE	1
STUDF	1

「即時実行」をクリックしてジョブを即座に実行するか、日付を選択し、「適用」をクリックして後でジョブを実行します。

11.3.2.5 カタログ項目の管理

この項では、カタログ項目の管理について説明します。内容は次のとおりです。

11.3.2.5.1 ロール・タイプのカタログ項目の削除

ロール・カタログ項目を削除するには:

Identity Self Serviceにログインします。
削除するロールを検索し、ロールを削除します。
関連付けられたカタログ項目はソフト削除とマークされ、カタログに表示されません。
多数のロールを削除する場合は、APIを使用してロールを削除します。データベース技術を使用してロールを削除することはお薦めしません。

11.3.2.5.2 アプリケーション・インスタンス・タイプのカタログ項目の削除

アプリケーション・インスタンスは、ほとんどすべてのユースケースで、ターゲット・システム(エンドポイントと呼ばれる場合がある)およびターゲット・システムのアカウントを表します。アプリケーション・インスタンスを削除すると、ターゲット・システムはOracle Identity Managerから実質的に廃止されます。デプロイメントの規模およびターゲット・システムにプロビジョニングされたアカウントの数によっては、アプリケーション・インスタンスの削除はエンド・ユーザーとそのアクセスに大きな影響を及ぼすことがあります。

アプリケーション・インスタンス・カタログ項目を削除するには:

Oracle Identity System Administrationにログインします。
「アプリケーション・インスタンス」をクリックします。
アプリケーション・インスタンスを検索します。
1つ以上のアプリケーション・インスタンスを選択します。削除および確認を行います。
「スケジューラ」をクリックします。
カタログ同期化ジョブ・スケジュール済ジョブを検索します。
「モード」を「増分」に設定します。
「即時実行」をクリックしてジョブを即座に実行するか、特定の時間に実行されるように設定します。

アプリケーション・インスタンスの削除の詳細は、「アプリケーション・インスタンスの削除の理解」を参照してください。

11.3.2.5.3 権限タイプのカタログ項目の削除

権限カタログ項目を削除するには:

権限を削除するには、Oracle Identity System Administrationにログインします。
「参照」をクリックします。
「コード」列に、権限を含む参照定義の名前を入力します。参照定義の名前を見つけるには、コネクタのドキュメントを参照してください。
1つ以上の権限値を削除します。
「スケジューラ」をクリックします。
「権限リスト・ロード」ジョブを検索します。
「即時実行」をクリックします。
カタログ同期化ジョブ・スケジュール済ジョブを検索します。
「モード」を「増分」に設定します。
「即時実行」をクリックしてジョブを即座に実行するか、特定の時間に実行されるように設定します。

11.3.3 カタログ監査

UIからアクセス・リクエスト・カタログに変更を加えたユーザーと、その変更の日時および内容を追跡するように、カタログ監査を構成します。

この項では、カタログ監査について説明します。内容は次のとおりです。

11.3.3.1 カタログ監査について

カタログ監査では、アクセス・リクエスト・カタログ内の変更のフットプリントを維持します。カタログ監査を有効にすると、UIからアクセス・リクエスト・カタログに変更を加えたユーザーと、その変更の日時および内容を追跡できます。

カタログ監査では、アクセス・リクエスト・カタログ内での次に示す変更のフットプリントを保管します。

カタログUDFの値の変更。
カタログUIまたはその他のカスタムUIから変更されたカタログ項目属性の値。
次に、統合されたカタログ属性のリストを示します。これらの属性は、カタログ項目の更新時に監査に含まれます。

カテゴリ、監査目的、承認者ユーザー、承認者ロール、履行ユーザー、履行ロール、証明者ユーザー、証明者ロール、項目のリスク、証明可能

ノート:

監査は、カタログUIから変更できるエンティティに対してのみ実施されます。同期によってカタログ内で変更されるエンティティには、監査は行われません。また、ユーザー定義タグに対する監査はサポートされていません。

11.3.3.2 カタログ監査の構成

カタログ監査を構成するには:

Oracle Identity System Administrationにログインします。
「システム構成」で、「構成プロパティ」をクリックします。
キーワードに「XL.CatalogAuditDataCollection」を指定して、「カタログ監査データ収集」システム・プロパティを検索します。このプロパティのデフォルト値はnoneです。この値は、カタログ監査の無効化を指定しています。
「XL.CatalogAuditDataCollection」システム・プロパティの値をcatalogに設定します。これにより、カタログ監査が有効になります。
「保存」をクリックします。

カタログ監査を有効にすると、アクセス・リクエスト・カタログ内の変更が監査されます。アクセス・リクエスト・カタログ内の変更(ロールのリスク・レベルの変更など)の場合、変更のフットプリントは、監査メッセージ発行タスク・スケジュール済ジョブを実行するデータベースのCPA_CATALOG表とCPA_CATALOG_FIELDS表に格納されます。このスケジュール済ジョブの詳細は、「事前定義済のスケジュール済タスク」を参照してください。

11.3.4 権限の階層属性の構成

権限の詳細をさらに表示するように、権限の階層属性を構成します。

この項では、権限の階層属性の構成について説明します。内容は次のとおりです。

11.3.4.1 権限の階層属性について

リクエスタ、承認者および証明者が権限の階層属性を表示できるようにすると、カタログ詳細の画面で権限(階層属性)の追加詳細を確認できるようになります。権限の追加詳細は、技術用語集と呼ばれます。技術用語集は、リスト・ビューで表示されます。このビューの最上部にはナビゲーション・パスを示すブレッドクラムが表示されます。カタログ詳細の画面に追加詳細を表示する方法は、Oracle Identity Governanceでのセルフ・サービス・タスクの実行の権限の階層属性の表示に関する項を参照してください。

ノート:

子の権限は、アクセス・カタログでリクエストできません。階層権限機能は表示専用です。

追加詳細または階層属性は、読取り専用の情報です。この情報は、Oracle Identity ManagerでシードされるXMLの形式で提供する必要があります。技術用語集は、データベースで挿入および置換されます。次に、階層属性のXMLコード例を示します。

<oim>
      <applicationInstances>
            <applicationInstance>SampleEBS</applicationInstance><!-- Application Name for which entitlements are seeded-->
      </applicationInstances>
      <attributes>
            <attribute name="Responsibility Name"><!-- Label name of the field which is marked Entitlement field in Child form-->
                  <entitlementValues>
                        <entitlementValue><!-- Below is the Hierarchical data XML for Entitlement and Entitlement Display Name is used to denote entitlement -->
<value>Payables Menu</value>
<attributes>
      <attribute name="Menu">
            <entitlementValues>
                  <entitlementValue>
<value>ALR_OAM_NAV_GUI_USER_NAME</value>
<description>Alerts Manager View</description>
<attributes>
      <attribute name="Function Code">
            <entitlementValues>
                  <entitlementValue>
      <value>ALR_OBJ_ACTIVATE_ACCT</value>
      <description>Create, Activate, Deactive User Account</description>
</entitlementValue>
<entitlementValue>
<value>ALR_OBJ_EDIT_FORM</value>
</entitlementValue>
<entitlementValue>
<value>ALR_OBJ_VIEW_PERSON</value>
                  </entitlementValue>
            </entitlementValues>
      </attribute>
</attributes>
                  </entitlementValue>
                  <entitlementValue>
<value>EMPLOYEE_W2_MENU</value>
<description>Alerts Manager View</description>
<attributes>
      <attribute name="Function Code">
            <entitlementValues>
<entitlementValue>
      <value>Employee_OBJ_ACTIVATE_ACCT</value>
      <description>Create, Activate, Deactive User Account</description>
</entitlementValue>
<entitlementValue>
      <value>Employee_OBJ_EDIT_FORM</value>
</entitlementValue>
<entitlementValue>
      <value>Employee_OBJ_VIEW_PERSON</value>
</entitlementValue>
            </entitlementValues>
      </attribute>
                        </attributes>
                  </entitlementValue>
                  <entitlementValue>
<value>VISION_OAM_NAV_GUI</value>
<description>Alerts Manager View</description>
<attributes>
                        </attributes>
                  </entitlementValue>
            </entitlementValues>
      </attribute>
                              </attributes>
                        </entitlementValue>
                  </entitlementValues>
            </attribute>
      </attributes>
 
</oim>

Oracle Databaseでは階層データの格納に、RDBMS機能(Securefile LOBやOracle XML DBなど)が使用されます。Securefileは、新しい再アーキテクチャであり、完全に新規のディスク・フォーマット、ネットワーク・プロトコル、領域管理、REDOおよびUNDOフォーマット、バッファ・キャッシュ、およびインテリジェントI/Oサブシステムという特徴を備えています。これにより、Oracle Database内に存在する非構造化データに対して、大幅なパフォーマンスの向上と記憶域の最適化が実現されます(LOB記憶域構造と比較した場合)。Oracle XML DBは、高性能なネイティブXML記憶域と取得テクノロジを提供します。これにより、W3C XMLデータ・モデルをOracle Databaseに取り込んで、XMLのナビゲートおよび問合せの新しい標準アクセス方式が提供されます。さらに、リレーショナル・データベース・テクノロジとXMLの利点を同時に活用できるようになります

11.3.4.2 権限の追加詳細表示の有効化

アクセス・リクエスト・カタログ内の権限の追加詳細を表示できるようにするには:

Oracle Identity Managerで追加階層データをシードします。これを行うには、権限に関する追加詳細をすべて含むXSDごとに1つのXMLファイルを作成します。XSDは、データベースにXMLスキーマを登録するために使用します。
XMLファイルをOracle Identity Managerサーバーのディレクトリに格納します。このディレクトリに対する読取りおよび書込み権限が必要です。
カタログ同期化ジョブ・スケジュール済ジョブで技術用語集の詳細を指定します。そのように行うには:
1. Oracle Identity System Administrationにログインします。
2. 「システム構成」で、「スケジューラ」をクリックします。
3. カタログ同期化ジョブ・スケジュール済ジョブを検索して開きます。
4. 「パラメータ」セクションの「モード」フィールドに、Technical Glossaryと入力します。
5. 「ファイル・パス」フィールドに、XMLファイルのディレクトリ・パスを入力します。
6. 「適用」をクリックします。

カタログ同期化ジョブ・スケジュール済ジョブを実行すると、技術用語集の詳細という新しいリンクが、権限のカタログ詳細リンクの直前に表示されます。このリンクをクリックすると、別のタブが開いて技術用語集の追加情報が表示されます。XMLファイルは処理後にディレクトリから削除され、ファイル名にタイム・スタンプが追加された状態でアーカイブ・ディレクトリに移動されます。

失敗したレコードは、xmlprocessedlogsディレクトリにあるファイルにログ記録されます。このログ・ファイルには、XMLファイルの名前にタイム・スタンプが付加された名前が付けられます。

11.3.5 アクセス・リクエスト・カタログのデータベース・ベスト・プラクティス

アクセス・リクエスト・カタログのためのデータベースのベスト・プラクティスには、Text索引の最適化や、カタログに関連するデータベース使用方法のよくある質問の対処などがあります。

次の項は、Oracle Identity Manager管理者とデータベース管理者にこの点に関する詳細を提供することを目的としています。

11.3.5.1 アクセス・リクエスト・カタログのデータベース・ベスト・プラクティスについて

アクセス・リクエスト・カタログでは、Oracle databaseのテキスト検索機能のOracle Textオプションが使用されます。Oracle Textは、Oracle Databaseに統合されている、高速で正確な全テキスト検索テクノロジです。

カタログ項目を含むCATALOG表は、Oracle TextのCONTEXT索引タイプを使用して索引付けされます。Oracle Text索引は通常のデータベース索引と同様に機能しますが、Text索引の背後のアーキテクチャと処理では、Text索引の作成時および進行中のメンテナンスで、ベスト・プラクティスの重要性が強調されます。

11.3.5.2 Oracle Text索引の1回かぎりの最適化

Oracle Identity Managerをインストールすると、アクセス・リクエスト・カタログのText索引ができるだけ最適化された状態で作成されます。ただし、Oracle Textには、デプロイメントの特質に基づいてより適切に適用されるその他の最適化があります。アクセス・リクエスト・カタログの検索パフォーマンスを向上させるために適用を検討する必要がある最適化を次に示します。これらの適用時にはアクセス・リクエスト・カタログを使用できないことに注意することが重要であり、これらはスケジュールされたメンテナンス・ウィンドウで実行することをお薦めします。

ノート:

これらの1回かぎりの最適化を適用するときは、カタログ同期化ジョブとアクセス・リクエスト・カタログを停止する必要があります。

11.3.5.2.1 Text索引の保存

Oracle Text索引は、Oracle Identity Managerスキーマのデフォルトの表領域に現在存在するリレーショナル表(DR$)に格納されます。これらを独自の表領域に分けることをお薦めします。これを行うには、次のコマンドを使用します。これらのステップについて十分に理解し、必要に応じて変更を加えることをお薦めします。

SYSスキーマにログインし、text索引の内部表を保持する新規表領域を作成します。そのために、次のサンプル・コマンドを使用します。DATA_DIRを、データファイルを格納するディレクトリで置き換え、必要に応じてサイズなどのパラメータを環境にあわせて調整します。
```
CREATE TABLESPACE catalog_text_ind_tables
 DATAFILE 'DATA_DIR/catalog_text_ind_tables_01.dbf' SIZE 2048M REUSE
 EXTENT MANAGEMENT LOCAL SEGMENT SPACE MANAGEMENT AUTO;
```
Oracle Identity Managerスキーマを使用してデータベースに接続します。

次のコマンドを使用して記憶域プリファレンスを作成します。Oracle TextのBASIC_STORAGE句についてよく理解し、必要に応じてさらに記憶域句を追加することをお薦めします。BASIC_STORAGEの詳細は、Oracle Textリファレンス・ドキュメントを参照してください。

Begin
Ctx_Ddl.Create_Preference('cat_storage', 'BASIC_STORAGE');
End;
/
 
Begin
ctx_ddl.set_attribute('cat_storage','I_TABLE_CLAUSE','tablespace catalog_text_ind_tables storage (initial 5M next 5M)');
End;
/
 
Begin
ctx_ddl.set_attribute('cat_storage', 'K_TABLE_CLAUSE','tablespace catalog_text_ind_tables storage (initial 5M next 5M)');
End;
/
 
Begin
ctx_ddl.set_attribute('cat_storage', 'R_TABLE_CLAUSE','tablespace catalog_text_ind_tables storage (initial 1M) lob (data) store as (cache)');
End;
/
 
Begin
ctx_ddl.set_attribute('cat_storage', 'N_TABLE_CLAUSE','tablespace catalog_text_ind_tables storage (initial 1M)');
End;
/
 
Begin
ctx_ddl.set_attribute('cat_storage', 'I_INDEX_CLAUSE','tablespace catalog_text_ind_tables storage (initial 1M) compress 2');
End;
/

次のコマンドを使用して新しい記憶域プリファレンスを適用します。このステップの後にText索引のステータスが有効であることを確認します。
```
ALTER INDEX CAT_TAGS rebuild parameters ('replace storage cat_storage');
```
USER_SEGMENTS表を問い合せて、前述の表が新しい表領域に移動されたことを確認します。

11.3.5.2.2 Text索引のKEEPプール設定

アクセス・リクエスト・カタログ検索のパフォーマンスを向上させるために、Text索引を構成するすべての表をデータベースKEEPプールに置くことをお薦めします。これらのText索引表とその他のOracle Identity ManagerオブジェクトがKEEPプールに保持されるように、KEEPプール(DB_KEEP_CACHE_SIZE)のサイズを正しく変更する必要があります。そのように行うには:

Oracle Identity Managerスキーマを使用してデータベースに接続します。
次の問合せを使用してtext索引のサイズを計算し、それを使用してDB_KEEP_CACHE_SIZEを適宜設定/調整します。
```
SELECT ctx_report.index_size('CAT_TAGS') FROM dual;
```

Oracle Identity Managerスキーマ・ユーザーとして次のコマンドを実行し、表をKEEPプールに置きます。

ALTER INDEX DR$CAT_TAGS$X STORAGE (buffer_pool keep);
ALTER TABLE DR$CAT_TAGS$R STORAGE (buffer_pool keep);
ALTER TABLE DR$CAT_TAGS$R STORAGE (buffer_pool keep) MODIFY lob (data) (STORAGE (buffer_pool keep));
ALTER TABLE DR$CAT_TAGS$K STORAGE (buffer_pool keep);
ALTER TABLE DR$CAT_TAGS$I STORAGE (buffer_pool keep);

11.3.5.3 Text索引の最適化

Text索引は、進行中のカタログ同期化のために断片化されることがあります。Text索引を定期的に最適化することにより、古いデータを削除し、断片化を最小限に抑え、アクセス・リクエスト・カタログの検索パフォーマンスを向上させることができます。これを実行するために、Oracle Identity Managerには次のOracle Databaseスケジューラ・ジョブが導入されています。

FAST_OPTIMIZE_CAT_TAGS
REBUILD_OPTIMIZE_CAT_TAGS

ノート:

次の問合せを実行して、Oracle Identity Managerスキーマにログインしたジョブをチェックします。

SELECT * FROM user_scheduler_jobs;

これらのジョブは、Oracle Identity Managerデータベース・スキーマ内にあり、これらはデフォルトでは無効です。これらのジョブを表示し、必要に応じてスケジュール変更を行い、有効化することをお薦めします。スケジュールを変更するときは、新しいスケジュールが同じ行にデフォルトのスケジュールとして設定されることを確認します。

FAST_OPTIMIZE_CAT_TAGSは、頻繁に実行することが想定されています。デフォルトでは、1日に1回午前1時に実行されるようにスケジュールされます。REBUILD_OPTIMIZE_CAT_TAGSでは完全最適化が実行され、Text索引が再構築されます。REBUILD_OPTIMIZE_CAT_TAGSは、頻繁に実行することは想定されていません。デフォルトでは、REBUILD_OPTIMIZE_CAT_TAGSは毎週日曜日の午前2時に実行されるようにスケジュールされます。Text索引が大きい場合は、最適化に時間がかかる場合があることに注意してください。

デフォルトのスケジュール(FASTは毎日午前1時、REBUILDは毎日曜日の午前2時)が、環境に受入れ可能であることを確認します。そうでない場合は、スケジュールを変更します。確かでない場合は、デフォルトのスケジュールのままにして、必要に応じて後で変更します。

ノート:

Text索引の最適化は、サーバーが起動中で、アクセス・リクエスト・カタログの検索が実行されているときに行うことができます。

11.3.5.4 アクセス・リクエスト・カタログのよくある質問

アクセス・リクエスト・カタログのよくある質問には、カタログ検索、サポートされるカタログ操作、Text索引に関連するものがあります。

この項では、アクセス・リクエスト・カタログのよくある質問に答えます。

アクセス・リクエスト・カタログとは何ですか。

アクセス・リクエスト・カタログは、Oracle Identity Governanceでリクエストできる、検索可能な分類されたエンティティのコレクションです。認証されたユーザーは、カタログにアクセスして1つ以上のキーワードと検索演算子を使用してカタログを検索し、ショッピング・カートにカタログ項目を追加して自分自身と他のユーザーのためにリクエストを送信できます。

Oracle Text索引とは何ですか。

RDBMS Oracle Textコンポーネントに構築されるOracle Text (以前のInterMedia TextおよびConText)は、包括的な完全テキスト索引テクノロジです。これを使用して、フリー・テキストを効率よく問い合せることができ、ドキュメント分類アプリケーションを作成できます。Oracle Textは、テキスト用の索引付け、語とテーマの検索および表示機能を提供します。Oracle Textにはドメインベースの索引のための様々なオプションがあります。

ConText
CatSearch
CtxRule

これらのうち、ConTextのみがOracle Identity GovernanceのOracle Textで使用できます。

Oracle Identity Governanceでサポートされる検索演算子は何ですか。

「カタログ」フィールドを使用して、キーワード(大/小文字を区別)を指定して、リクエスト・カタログを検索または参照します。次の検索演算子がサポートされています:

1つ以上のキーワード(サンプル値: administrator)
- この検索条件では、administratorという単語で始まるすべてのカタログ項目が検索されます
- 複数のキーワードのサンプル値: web administrator
- この検索条件では、webとadministratorという単語で始まるすべてのカタログ項目が検索されます。キーワード間の空白文字はAND演算子として機能するため、この検索では検索キーワードにAND演算子が自動的に適用されます。かわりに、&演算子を使用して、AND関係を明示的に表すこともできます。たとえば、web administratorとweb & administratorは、webとadministratorの両方で始まるカタログ項目を返します。
フレーズ
- 入力したとおりのフレーズで始まるカタログ項目を検索するには、検索条件を二重引用符(")で囲んで指定する必要があります。
- たとえば、web administratorを検索すると、web administratorというフレーズで始まるカタログ項目が返されます。
OR [|]検索
- 検索キーワードのいずれかで始まるカタログ項目を検索するには、OR [|]演算子を使用します。
- サンプル値1: web | administratorこの検索条件では、webまたはadministratorのいずれかの単語で始まるカタログ項目が返されます。
- サンプル値2: vision purchasing | administrator。この検索条件では、vision purchasingというフレーズ、またはadministratorという単語で始まるカタログ項目が返されます。

Oracle Text索引の1回かぎりの最適化を実行するのはなぜですか。

Oracle Identity Governanceをインストールすると、アクセス・リクエスト・カタログのText索引ができるだけ最適化された状態で作成されます。ただし、Oracle Textには、デプロイメントの特質に基づいてより適切に適用される、その他のRDBMS推奨の最適化があります。Oracle Text索引の1回かぎりの最適化は、Oracle Identity Governanceにデフォルトでシードされています。Oracle Identity Governanceのアップグレード済デプロイメントがある場合は、1回かぎりの最適化を手動で適用する必要があります(まだ適用されていない場合)。

Oracle Text索引の進行中のメンテナンスには何が必要ですか。

Text索引は、進行中のカタログ同期化のために断片化されることがあります。Text索引を定期的に最適化することにより、古いデータを削除し、断片化を最小限に抑え、アクセス・リクエスト・カタログの検索パフォーマンスを向上させることができます。

FAST_OPTIMIZE_CAT_TAGSとREBUILD_OPTIMIZE_CAT_TAGSは、Text索引のメンテナンスで実行されるOracle Databaseスケジューラ・ジョブです。

Oracle Text索引の1回かぎりの最適化を適用するための前提条件は何ですか。

1回かぎりの最適化を適用するときは、カタログ同期化ジョブ・スケジュール済ジョブとアクセス・リクエスト・カタログを停止する必要があります。

Text索引の最適化を適用するための前提条件は何ですか。

Text索引の最適化は、サーバーが起動中で、アクセス・リクエスト・カタログが検索されているときに行うことができます。

Oracle Textのエラーはどのようにトラブルシューティングすればよいですか。

CTX_USER_INDEX_ERRORSビューに、ソース表の失敗した行の行IDが表示されます。この行IDを使用して、ソース表内の失敗した行を更新します。

具体的には、Text索引が含まれる列に対してダミー更新を実行します(update table x set columnx = columnx where rowid = ?)。これによってCTX_USER_PENDINGビューに行が生成されます。

次に、CTX_DDL.SYNC_INDEXを実行し、CTX_USER_PENDINGビューの行に索引を設定します。

SELECT err_timestamp, err_text
FROM ctx_user_index_errors
ORDER BY err_timestamp DESC;

保留中のDML要求は、CTX_PENDINGビューとCTX_USER_PENDINGビューを使用して問い合せることができます。

DMLエラーは、CTX_INDEX_ERRORSビューまたはCTX_USER_INDEX_ERRORSビューを使用して問い合せることができます。

SELECT pnd_index_name, pnd_rowid, TO_CHAR( pnd_timestamp, 'dd-mon-yyyy hh24:mi:ss' ) TIMESTAMP
FROM ctx_user_pending;

カタログのText索引を再作成するにはどうすればよいですか。

なんらかの理由によりCAT_TAGS索引がデータベースにINVALIDステータスとして存在していることがわかり、Text索引を再作成しようとする場合は、次のステップを実行します。

Oracle Identity Governanceスキーマに接続し、次のSQLコマンドを実行してCAT_TAGS索引の現在のステータスをチェックします。
```
SELECT index_name,table_name,status, parameters, domidx_status,domidx_opstatus 
FROM user_indexes 
WHERE index_type='DOMAIN';
```
出力では、CAT_TAGSドメイン索引がINVALIDステータスになっているはずです。

Oracle Identity Governanceスキーマに接続し、次のPL/SQLブロックを順序どおりに実行します。

Text索引CAT_TAGSを削除して再作成します。

SET SERVEROUTPUT ON
DECLARE 
  P_DROPINDEX NUMBER; 
  P_CREATEINDEX NUMBER; 
  STRERRMESSAGE_OUT VARCHAR2(200); 
BEGIN 
  P_DROPINDEX := 1; 
  P_CREATEINDEX := 0; 

  OIM_PKG_CATALOG_INDEX.OIM_SP_CREATEDROPCATALOGINDEX( 
    P_DROPINDEX => P_DROPINDEX, 
    P_CREATEINDEX => P_CREATEINDEX, 
    STRERRMESSAGE_OUT => STRERRMESSAGE_OUT 
  ); 
DBMS_OUTPUT.PUT_LINE('STRERRMESSAGE_OUT = ' || STRERRMESSAGE_OUT); 
END; 
/

Text索引を再作成します。

SET SERVEROUTPUT ON
DECLARE 
  P_DROPINDEX NUMBER; 
  P_CREATEINDEX NUMBER; 
  STRERRMESSAGE_OUT VARCHAR2(200); 
BEGIN 
  P_DROPINDEX := 0; 
  P_CREATEINDEX := 1; 

  OIM_PKG_CATALOG_INDEX.OIM_SP_CREATEDROPCATALOGINDEX( 
    P_DROPINDEX => P_DROPINDEX, 
    P_CREATEINDEX => P_CREATEINDEX, 
    STRERRMESSAGE_OUT => STRERRMESSAGE_OUT 
  ); 
DBMS_OUTPUT.PUT_LINE('STRERRMESSAGE_OUT = ' || STRERRMESSAGE_OUT); 
END; 
/

ステップ1のSQLコマンドを再び実行します。次の出力が表示されます。

CAT_TAGS    CATALOG    VALID     sync (on commit) stoplist CTXSYS.EMPTY_STOPLIST lexer CATALOG_PREFERENCE    VALID    VALID

カタログ検索でストップワード(a、d、I、s、tなど)を使用と、非常に処理が遅くなったり、場合によってはUIの操作ができなくなったりすることがありますか。

次の場所にあるMy Oracle Supportドキュメント「OIMのCAT_TAGS Text索引からストップワードを削除する方法」(Doc ID 2217118.1)のステップを実行して、ストップワードをCAT_TAGS Oracle Text索引から削除します。

https://support.oracle.com

"_" (アンダースコア)記号を含む権限のカタログ検索が、正常に表示されなかったり、正しくない結果が返されたりします。

https://support.oracle.com

大容量のデータ一致結果が生成されるワイルドカード検索でエラーが発生します。

これはinterMedia (Oracle Text)のデフォルト機能です。検索文字列にワイルドカード(%または*)を使用することはできません。Oracle Textは検索文字列そのものをワイルドカードとして認識し、%のみを使用して検索した場合のようにすべての結果を返そうとします。このためOracle Textでエラーが生成されます。

Oracle Database 11gでは、エラーを生成せずにワイルドカードと照合できる個別のトークン(行でなない)の最大数は50,000です。Oracle Database 11gで20,000を超える個別トークン、Oracle Database 10g R2で5,000を超える個別トークンを返すようにするには、wordlistのwildcard_maxtermsプロパティを使用できます。

wildcard_maxtermsプロパティで、ワイルドカード(%)を拡張するための語数の最大数を指定します。このパラメータを使用して、ワイルド・カード問合せパフォーマンスを受入れ可能な制限内に保持します。ワイルドカード問合せの拡張がこの数値を超えると、エラーが返されます。ソリューションを実装するには、次のステップを実行します。

Oracle Identity Governanceスキーマにログインし、次の文を実行します。

BEGIN
ctx_ddl.create_preference('<Pref_name>','BASIC_WORDLIST');
  ctx_ddl.set_attribute('<Pref_name>','WILDCARD_MAXTERMS', 50000);
END;
/

ALTER INDEX cat_tags rebuild parameters ('replace metadata wordlist <Pref_name>');

検索を繰り返します。

ここで、データベース・バージョンが10.2.0.3未満の場合は15,000、データベース・バージョンが10.2.0.3以上の場合は50,000が最大数です。数は5,000 (デフォルト値)と15,000または50,000 (データベース・バージョンによる)の間で設定できます。どの数でも検索が正常に行われます。ただし、設定する値が大きくなるほど、使用されるメモリーが増加します。

Oracle Text索引で改行文字やエスケープ文字はどのように処理されますか。

円記号 (\)を使用して、特殊な意味を持つ文字をエスケープし、通常のテキストとして扱うことができます。次のコマンドをOracle Identity Governanceスキーマから実行します。

BEGIN
  CTX_DDL.CREATE_PREFERENCE ('my_lexer', 'BASIC_LEXER');
  CTX_DDL.SET_ATTRIBUTE ('my_lexer', 'PRINTJOINS', '~!@$%^&*()-_=+|;:,"./');
  
       --OR 
  
  CTX_DDL.SET_ATTRIBUTE ('my_lexer', 'SKIPJOINS', '`-=[];''\,./~!@#$%^&*()_+{}:"|?§'"½¼¾¤Φ£€©™®'); 
END;
/

Oracle Text索引の診断データはどのように収集すればよいですか。

診断データを収集するには、次のSQLコマンドをOracle Identity Governanceスキーマから実行します。

Oracle Text索引のサイズを設定するには:

SELECT ctx_report.index_size('CAT_TAGS') FROM dual;

Oracle Text索引の説明を表示するには:

SELECT ctx_report.describe_size('CAT_TAGS') FROM dual;

Oracle Text索引の統計を収集するには:

CREATE TABLE output(result CLOB);

DECLARE
  x CLOB := NULL;
BEGIN
  ctx_report.index_stats('CAT_TAGS',x);
  INSERT INTO output VALUES(x);
  COMMIT;
  dbms_lob.freetemporary(x);
END;
/

SELECT * FROM output;

Oracle Text索引のスクリプトを作成するには:

SELECT ctx_report.create_index_script('CAT_TAGS') FROM dual;

単一文字の検索は、ストップワードを削除した後でも遅くなりますか。

最小と最大の長さを設定した同一キー索引を作成します(推奨)。このためには、Oracle Identity Governanceスキーマから次のSQLコマンドを実行します。

新しいプリファレンスを作成するには:

BEGIN 
ctx_ddl.create_preference('mywordlist', 'BASIC_WORDLIST'); 
ctx_ddl.set_attribute('mywordlist','PREFIX_INDEX','TRUE');
ctx_ddl.set_attribute('mywordlist','PREFIX_MIN_LENGTH',1);
ctx_ddl.set_attribute('mywordlist','PREFIX_MAX_LENGTH',3);
END;
/

パラメータを再構築するには:

ALTER INDEX cat_tags REBUILD PARAMETERS('replace wordlist mywordlist');

Text索引を再構築するには:

BEGIN
dbms_scheduler.run_job ('REBUILD_OPTIMIZE_CAT_TAGS');
END;
/

11.4 カタログのライフサイクルの管理

テスト環境内でカタログの拡張、カタログUIのカスタマイズ、カスタマイズの開発とテストを行い、最終的にカスタマイズを本番環境にロール・アウトできます。

この項では、カタログのカスタマイズをテスト環境から本番環境に移行する方法について説明します。次のトピックが含まれています:

11.4.1 カタログのカスタマイズの概要

アクセス・リクエスト・カタログでは堅牢かつ多彩なデフォルト機能が提供されますが、カタログを拡張し、ビジネス・ニーズにあわせてカスタマイズするシナリオが必要になることもあります。

次のシナリオでは、カタログのカスタマイズが必要な可能性がある一般的なシナリオについて説明します。

MyCorpでは、リクエストされた項目が許可されたときにライン・オブ・ビジネスに生じるコストに関する情報をリクエスタに提供するために、ライン・オブ・ビジネスに対するコスト、必要なライセンスなどの属性を追加しようとしています。このシナリオをサポートするために、カタログ・システム管理者はカタログを拡張し、ライン・オブ・ビジネスに対するコストおよび必要なライセンスという2つの属性を追加します。次に、管理者はカタログ検索結果およびカタログ項目詳細のページをカスタマイズします。

ノート:

リクエスト・カタログでは、文字列型のUDFのみを作成できます。その属性を検索可能属性としてマークした場合、そのサイズは256 Charになります。検索可能属性でない場合、サイズは2000 Charになります。検索可能でない属性を検索可能としてマークすることはできません。
MyCorpは、権限に関連付けられたリスクをカタログ検索結果の一部として表示しようとしています。このシナリオをサポートするために、カタログ・システム管理者はカタログ検索結果をカスタマイズし、項目リスクをイメージ・ウィジェットとして追加します。

これらのカスタマイズはシステム・インテグレータまたはカスタマ独自のITスタッフによって実装され、テストから本番に移行される必要があります。図11-2に、カタログのカスタマイズをテストから本番に移行する高レベルのプロセスを示します。

図11-2 カタログのテストから本番へのプロセス

「図11-2 カタログのテストから本番へのプロセス」の説明

カタログのカスタマイズには次の3つの構成要素があります。

ADFカスタマイズ

ADFカスタマイズには、検索結果、項目詳細、カート詳細、フォーム・デザイナを使用して追加または変更されたカタログ属性などのカタログUIのカスタマイズが含まれます。これらのカスタマイズはサンドボックス・セッション内で実行する必要があります。サンドボックスの詳細は、「カタログのカスタマイズのテストから本番への手順」を参照してください
Oracle Identity Managerメタデータ・カスタマイズ

カタログ・エンティティに新規属性を追加したり、既存の属性を変更してそのプロパティを変更すると、Oracle Identity Managerで追加のメタデータが生成されます。たとえば、カタログ・システム・エンティティを使用して新規属性第2承認者がカタログ・エンティティに追加された場合、Oracle Identity Managerでは属性に対応するデータベース列が追加されます。属性が検索可能である場合、Oracle Identity Managerは追加のメタデータを格納します。これらのカスタマイズは、デプロイメント・マネージャを使用してテストから本番に移行する必要があります。
データの移行

カタログをビジネスで使いやすいものにし、ユーザーがカタログを効率的に使用できるように十分な情報を提供するためにカタログの属性を追加/変更した後、カタログに関連情報を移入する必要があります。用語集とも呼ばれるこの追加情報は、確認および承認された後、本番に移行される必要があります。

11.4.2 カタログのカスタマイズのテストから本番への手順

カタログのカスタマイズは、サンドボックスとデプロイメント・マネージャを使用してインポートおよびエクスポートできます。

この項では、カタログ定義をテストから本番に移行するために実行するステップについて説明します。これには次のステップが含まれます。

11.4.2.1 カタログのカスタマイズのテストから本番への手順について

実行したカスタマイズのタイプに応じて、一方または両方のステップを実行する必要があります。表11-2を使用して、実行するステップを決定してください。

表11-2 カタログのカスタマイズのステップ

カスタマイズ	サンドボックスが必要	デプロイメント・マネージャが必要
シードされたカタログ属性の追加/変更	はい	はい
カタログUDFの追加/変更	はい	はい
カタログUIのカスタマイズ	はい	いいえ
カタログの移入	いいえ	いいえ

11.4.2.2 サンドボックスおよびデプロイメント・マネージャを使用したエクスポート

この項では、サンドボックスとDeployment Mangerを使用したカタログ定義のエクスポートについて説明します。内容は次のとおりです。

11.4.2.2.1 サンドボックスを使用したエクスポート

ADFカスタマイズをテストから本番に移行するには、次のステップに従います。

Oracle Identity System Administrationにシステム管理者ロールのメンバーとしてログインします。

ノート:

セルフ・サービス(またはアイデンティティ)コンソールとシステム管理インタフェースを切り替える必要があり、Oracle Identity Managerデプロイメントがシングル・サインオンによって保護されていないシナリオでは、別のコンソールにログインする前に1つのコンソールからログアウトする必要があります。
「サンドボックス」をクリックし、エクスポートするサンドボックスを選択します。
「サンドボックスのエクスポート」をクリックします。サンドボックスは、ファイルとしてのパッケージ化が必要なトランスポート、共有およびその他の使用のためのファイルとしてエクスポートできます。
作成されたzipファイルのファイルの場所を指定します。

11.4.2.2.2 デプロイメント・マネージャを使用したエクスポート

Oracle Identity Managerメタデータをテストから本番にエクスポートするには、次のステップに従います。

Oracle Identity System Administrationにシステム管理者ロールまたはシステム・コンフィギュレータ・ロールのメンバーとしてログインします。
左ペインの「システム構成」で、「エクスポート」をクリックします。
エクスポートするオブジェクトとして「カタログ・メタデータ」を選択します。
検索フィールドに*を入力し、「検索」をクリックします。
デプロイメント・マネージャXMLを生成するステップに従います。

ノート:

ベスト・プラクティスとして次のオプションのステップを実行します。

サンドボックスzipファイルおよびデプロイメント・マネージャXMLを、Subversion、SourceSafeなどのソース・コード制御システムに単一のファイルとしてバックアップ/チェックインします。
前述のステップをターゲット(本番)環境で繰り返し、カタログ・エンティティおよびカタログUIのバックアップをとります。

11.4.2.3 サンドボックスおよびデプロイメント・マネージャを使用したインポート

カスタマイズのインポートは逆の順序で実行する必要があります。このことが必要となるのは、ADFカスタマイズがインポートされるときに、ADFカスタマイズではOracle Identity Managerメタデータが存在すると想定されるためです。この項は、次のトピックで構成されています。

11.4.2.3.1 サンドボックスを使用したインポート

ADFカスタマイズをテストから本番に移行するには:

Oracle Identity System Administrationにシステム管理者ロールのメンバーとしてログインします。

ノート:

セルフ・サービス(またはアイデンティティ)コンソールとシステム管理インタフェースを切り替える必要があり、Oracle Identity Managerデプロイメントがシングル・サインオンによって保護されていないシナリオでは、別のコンソールにログインする前に1つのコンソールからログアウトする必要があります。
「サンドボックス」をクリックし、次に「サンドボックスのエクスポート」をクリックします。
ダイアログで、インポートするファイルを選択します。
左ペインの「システム構成」で、「インポート」をクリックします。
サンドボックス・マネージャで、サンドボックスを選択し、「サンドボックスの公開」をクリックします。
ログアウトしてからログインし、変更内容を表示して確認します。

11.4.2.3.2 デプロイメント・マネージャを使用したインポート

Oracle Identity Managerメタデータをテストから本番にインポートするには:

Oracle Identity System Administrationにシステム管理者ロールまたはシステム・コンフィギュレータ・ロールのメンバーとしてログインします。
左ペインの「システム構成」で、「インポート」をクリックします。
ファイル・ブラウザ・ポップアップで、インポートする「デプロイメント・マネージャ」XMLファイルを選択します。
ウィザードのステップに従ってXMLをインポートします。
詳細なステップについては、「デプロイメントのインポート」を参照してください

11.4.3 テストから本番への手順の制限

カタログのテストから本番への移行プロセスの制限の一部は、サンドボックスの使用方法とデプロイメント・マネージャに関連します。

カタログのテストから本番へのプロセスには、次のような制限があります。

すべてのADFカスタマイズは単一のサンドボックス・セッション内で実行する必要があります。複数のサンドボックスを使用できますが、一度にアクティブ化できるサンドボックスは1つのみであり、その結果、システム管理コンソールでの変更(カタログ・エンティティの拡張)およびアイデンティティ・コンソールで行われる変更(カタログUIのカスタマイズ)は、同じサンドボックス内で行われる必要があります。
サンドボックスの外部で、あるいはサンドボックスの作成またはアクティブ化の前後に行われる変更は、サンドボックスには表示されません。
サンドボックスは、公開後にエクスポートしたり元に戻すことはできません。このため、サンドボックスは有効化されかつ公開されていない間にエクスポートし、カスタマイズはサンドボックスをインポートおよび公開する前に元に戻す必要があります。
デプロイメント・マネージャのインポートは即座にコミットされます。デプロイメント・マネージャにはロールバック機能はありません。

11.5 アクセス・リクエスト・カタログのトラブルシューティング

アクセス・リクエスト・カタログのトラブルシューティング要件の一部は、カタログ同期化、カタログ・セキュリティ、カタログ検索およびリクエストの失敗に関連するものです。

この項では、アクセス・リクエスト・カタログの問題を解決するときに実行するトラブルシューティングの手順について説明します。次の項目が含まれます。

11.5.1 カタログ同期化の問題

カタログ同期化の問題は、ロール、アプリケーション・インスタンスおよび権限がアクセス・リクエスト・カタログで表示されない場合に発生します。

次のフロー・チャートを使用して、リクエストできる3つのカタログ項目タイプのそれぞれについて同期化の問題をトラブルシューティングします。

ノート:

ジョブを収集すると、「更新日」パラメータに基づいて収集のためのデータが選択されます。更新が空欄の場合、すべてのレコードが処理用にフェッチされます。ただし、ユーザーが日付を「更新日」パラメータで指定した場合、指定した日付の後に作成されたり更新されたデータのみが処理されます。

ロールとカタログの同期化のトラブルシューティング

ロールとカタログの同期化は、本来リアルタイムです。ロールが作成されると、Oracle Identity Managerロール・カテゴリに属している場合を除き、即座にカタログに公開されます。

ノート:

Oracle Identity Managerロールのロール・カタログは、Oracle Identity Managerでの使用専用です。顧客はエンタープライズ・ロールにこのカテゴリを使用することはできません。

新しいOracle Identity Managerインストールでは、顧客によって作成されたエンタープライズ・ロールをカタログで使用でき、可視性は組織の範囲指定に基づきます。アップグレードされた環境では、顧客はカタログ同期化ジョブをブートストラップ・モードで実行し、既存のロールをカタログに公開する必要があります。アップグレード後に作成された新しいロールは、カタログですぐに使用できます。

図11-3に、顧客が、Oracle Identity Managerで作成されたロールがカタログに表示されないシナリオのトラブルシューティングに使用できる診断フロー・チャートを示します。

図11-3 カタログ同期化の診断フロー・チャート

「図11-3 カタログ同期化の診断フロー・チャート」の説明

アプリケーション・インスタンスとカタログの同期化のトラブルシューティング

アプリケーション・インスタンスとカタログの同期化は、カタログ同期化ジョブによって制御されます。アプリケーション・インスタンスには(エンタープライズ・ロールよりも)多くの構成が必要であるため、カタログと即座には同期化されません。

図11-4に、アプリケーション・インスタンスとカタログの同期化に関連する問題をトラブルシューティングするときに従う診断フロー・チャートを示します。

図11-4 アプリケーション・インスタンス同期化のトラブルシューティング・フロー・チャート

「図11-4 アプリケーション・インスタンス同期化のトラブルシューティング・フロー・チャート」の説明
権限とカタログの同期化のトラブルシューティング

図11-5 権限同期化のトラブルシューティング・フロー・チャート

「図11-5 権限同期化のトラブルシューティング・フロー・チャート」の説明

11.5.2 カタログ・セキュリティの問題

カタログ・セキュリティの問題が発生するのは、デプロイメントに使用されるセキュリティ・モデルのタイプが原因です。

カタログ・セキュリティは次の2つの要因によって推進されます。

ユーザー、ロール、アプリケーション・インスタンスおよび権限の組織ベースの範囲指定を使用するセキュリティ・モデル。このセキュリティ・モデルは、リクエスタがカタログ検索結果で表示できる項目およびターゲット・ユーザーとして追加できるユーザーを制御します。
組織によって範囲指定されず、カタログ管理者などのグローバル管理者ロールに対して使用されるセキュリティ・モデル。

カタログ・セキュリティの典型的な問題は次のとおりです。

リクエスタは正しい検索キーワードを入力した場合にもカタログ項目を表示できません。
リクエスタはリクエストにターゲット・ユーザーを追加できません。
リクエスタはアプリケーション・インスタンス・リクエストに追加情報を提供できません。
リクエスタは「承認者ユーザー」、「承認者ロール」、「履行ユーザー」、「履行ロール」などのカタログ項目の詳細を表示できません。
編集モードでカタログ項目がカタログ管理者に表示されないため、カタログ項目を編集できません。
カタログ管理者はリクエスト・プロファイルを作成できません。

図11-6に、カタログ・セキュリティの問題をトラブルシューティングするために従う診断フロー・チャートを示します。

図11-6 セキュリティ問題の診断フロー・チャート

「図11-6 セキュリティ問題の診断フロー・チャート」の説明

11.5.3 カタログ検索の問題

カタログ検索の問題にはテキストの構文やテキストの索引設定に関連するものがあります。

図11-7に、カタログ検索の問題をトラブルシューティングするために従う診断フロー・チャートを示します。

図11-7 カタログ検索

「図11-7 カタログ検索」の説明

11.5.4 リクエスト失敗の一般的な理由

リクエストに指定されている関連操作の実行に失敗した場合、リクエストは保留中の操作を取り消して「リクエストに失敗しました」ステージに移動します。「リクエストに失敗しました」ハイパーリンクをクリックすると、リクエスト失敗の理由が表示されます。

リクエストの失敗には、次のいずれかの理由が考えられます。

ロールをリクエストしている場合、職務分掌違反によりリクエストが失敗する可能性があります。
アプリケーション・インスタンスをリクエストしており、そのアプリケーション・インスタンスが別のアプリケーション・インスタンスに依存する場合、親アプリケーション・インスタンスがプロビジョニングされていないため、リクエストは「承認済リクエスト履行が保留中です」ステータスに進みます。たとえば、ユーザーにMicrosoft Exchangeアカウントを正常にプロビジョニングするためには、ユーザーは、Exchange Serverのユーザーを管理しているドメイン・コントローラでMicrosoft Active Directoryアカウントを所有している必要があります。

前述の理由の他に、誤ったパスワード、パスワード・ポリシー違反、ターゲット・システムが使用不可能であるなどの理由で、失敗することがあります。