10 リコンシリエーションの管理
この章の構成は、次のとおりです。
関連項目:
リコンシリエーションの機能とアーキテクチャの詳細は、Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズのリコンシリエーションのカスタマイズに関する説明を参照してください。
10.1 リコンシリエーションについて
リコンシリエーションとは、ターゲット・システムで開始された操作(ユーザーの作成、変更または削除など)が、Oracle Identity Managerに通信されるプロセスです。
リコンシリエーション・プロセスは、Oracle Identity Managerリポジトリとターゲット・システム・リポジトリのエントリを比較して、2つのリポジトリの相違を判断し、最新の変更内容をOracle Identity Managerに適用するプロセスです。
ロールのリコンシリエーション、ロール・メンバーシップのリコンシリエーションおよびロール階層の変更のリコンシリエーションは、個別のリコンシリエーション・イベントとして処理されます。理想的には、競合状態を回避するためにロール・イベントを最初に送信し、次にメンバーシップ・イベントのみを送信する必要があります。競合状態の場合は、自動再試行ロジックにより、リコンシリエーション・エンジンでの処理が可能です。
関連項目:
競合状態の詳細は、Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズの競合状態の処理に関する項を参照してください
図10-1は、プロビジョニングおよびリコンシリエーションが、Oracle Identity Managerからターゲット・システム、またはターゲット・システムからOracle Identity Managerへの同期化に関与する様子を示しています。プロビジョニング・システムでは、プロビジョニングおよびリコンシリエーションを使用して、ターゲット・システムに管理対象アイデンティティを作成したり、ターゲット・システムにすでに存在している場合は、管理対象アイデンティティをレプリケートできます。
図10-1では、新しい従業員の入社時に、人事担当によってユーザーが作成されます。ユーザーは、信頼できるソース・リコンシリエーションによってOracle Identity Managerにリコンサイルされます。Oracle Identity Managerでユーザーが作成されると、ユーザーのアカウントはターゲット・システムにプロビジョニングされます。ターゲット・システムでは、ターゲット・システム管理者がそのアカウントに変更を追加できますが、その変更はOracle Identity Managerにリコンサイルする必要があります。
データ・フローに関しては、プロビジョニングではプッシュ・モデルを使用してプロビジョニング・システムから外部へのフローが提供され、これによってプロビジョニング・システムは変更の実施をターゲット・システムに示します。リコンシリエーションでは、プッシュ・モデルまたはプル・モデルを使用してプロビジョニング・システムの内側へのフローが提供され、これによってプロビジョニング・システムはターゲット・システムのアクティビティを検出します。
リコンシリエーション・プロセスには、Oracle Identity Managerに適用されるイベントの生成が含まれます。このイベントには、ターゲット・システムでのアトミック変更が反映され、変更されたデータ、変更のタイプおよびその他の情報が含まれます。ターゲット・システムで発生している変更に起因して結果的に生成されるリコンシリエーション・イベントは、これらのイベント管理ニーズに対応するOracle Identity System Administrationの「イベント管理」セクションを使用して管理されます。Oracle Identity System Administrationを使用したリコンシリエーション・イベントの管理の詳細は、「リコンシリエーション・イベントの管理」を参照してください。
リコンシリエーションのタイプと分類基準
表10-1に示すように、リコンシリエーションには様々なタイプがあります。
表10-1 リコンシリエーションのタイプ
分類基準 | リコンシリエーション・タイプ |
---|---|
リコンサイル対象オブジェクト |
リコンサイル対象アイデンティティに基づいて、ユーザー、アカウント、ロール、組織、関係(ロール階層やロール・メンバーシップを含む)など |
リコンシリエーションのモード |
変更ログ |
リコンシリエーションのモード |
標準 |
リコンシリエーションに使用されるアプローチ |
増分リコンシリエーション |
リコンシリエーションに使用されるアプローチ |
完全リコンシリエーション |
10.2 リコンサイル対象オブジェクトに基づくリコンシリエーション
リコンサイル対象のエンティティ・オブジェクトによって異なりますが、リコンシリエーションは信頼できるソースまたはターゲット・リソースに対して行うことができます。
この項では、オブジェクトに基づいたリコンシリエーションについて説明します。内容は次のとおりです。
10.2.1 Oracle Identity Governanceでリコンサイルされるエンティティ
リコンサイルされるエンティティは、ユーザー、アカウント、組織、ロール、ロール階層およびロール・メンバーシップです。
リコンサイル対象のエンティティ・オブジェクトに基づいたリコンシリエーションです。Oracle Identity Managerでは、次のエンティティがリコンサイルされます。
-
ユーザー: ユーザーは、Oracle Identity Manager内に存在し、Oracle Identity Managerを介して管理されるアイデンティティです。
-
アカウント: Oracle Identity Managerのユーザーにはアカウント・エンティティが付与されます。これは、プロビジョニング・ターゲットでユーザーを一意に識別する、ユーザーの属性と権限のコレクションを表します。Oracle Identity Managerにアカウントが存在することで、ユーザーはプロビジョニング・ターゲットにアクセスできます。
-
組織: 組織エンティティは、Oracle Identity Manager内に存在するユーザー、他の組織などのエンティティの論理的なコンテナを表します。
-
ロール: ロールは、Oracle Identity Manager内でアクセス権を割り当てたり、リソースを自動的にプロビジョニングしたり、承認や証明などの共通のタスクで使用できるユーザーの論理的なグループ化です。
-
ロール階層: ロール階層は、親ロールから子ロールへの継承です。親ロールには、継承されるロールと同じ、メンバーに対する権限があります。
-
ロール・メンバーシップ: ロール・メンバーシップは、継承先ロールのメンバーが継承元ロールから継承されることを意味します。メンバーシップと権限継承の詳細は、Oracle Identity Governanceでのセルフ・サービス・タスクの実行のロールの管理に関する項を参照してください。
10.2.2 信頼できるソース・リコンシリエーション
Oracle Identity Managerリポジトリのユーザー、ロール、ロール・メンバーシップまたはロール階層の作成に対応するシステムからデータがリコンサイルされる場合、そのリコンシリエーション・モードは、アイデンティティ・リコンシリエーション、認証ソースのリコンシリエーションまたは信頼できるソース・リコンシリエーションと呼ばれます。
リコンサイルの適用対象システムは、エンタープライズ・アイデンティティの認証ソースとも呼ばれ、人事管理システムまたは企業ディレクトリなどが該当します。
ノート:
信頼できるリコンシリエーションにユーザー・ログインが渡されない場合は、ログイン・ハンドラがユーザー・ログインを生成します。パスワードは、後処理イベント・ハンドラで生成され、そのパスワードの通知が送信されます。
図10-2に示すように、アイデンティティには複数の認証ソースを指定できます。様々な認証ソースを、カテゴリの異なるユーザー・アイデンティティに対するリコンシリエーションのソースや、様々な属性のセットに対するリコンシリエーションのソースにできます。リコンシリエーション・エンジンによって生成された各種のイベントは、追加、変更および削除されます。
図10-2は、単一の認証ソースと複数の認証ソースからの信頼できるソース・リコンシリエーションを示しています。ユーザー・エンティティの作成は、複数の認証ソースからリコンサイルできます。複数の異なる認証ソースから異なる属性をリコンサイルすることもできます。たとえば、ある認証ソースはユーザーIDと電子メールIDを提供し、別の認証ソースがロール属性を提供するようにできます。
ターゲット・システムがアイデンティティおよびアカウントのソースである場合は、信頼できるソース・リコンシリエーションの後にアカウント・リコンシリエーションが続く必要があります。たとえば、Active Directoryが企業のLDAPリポジトリで、そこにユーザー情報が格納されている場合は、ユーザー情報がActive Directoryターゲット・システムからリコンサイルされます。その後、Active Directoryのアカウントが、異なるコネクタを使用してOracle Identity Managerにリコンサイルされます。アイデンティティ・リコンシリエーションは、信頼できるソースに固有のコネクタを使用して、信頼できるソースからのみ発生します。
ノート:
リコンシリエーション・コネクタは、特定のターゲット・システムからアイデンティティまたはアカウントをリコンサイルするように開発されたコンポーネントです。通常、リコンシリエーション・コネクタはスケジュール済タスクとして実行するように構成されます。ただし、リコンシリエーションをトリガーするためのスケジュール済タスクがない、PeopleSoft HRコネクタなどのプッシュ・ベースのコネクタも存在します。
10.2.3 アカウント・リコンシリエーション
ターゲット・システムのアイデンティティがOracle Identity Managerにリコンサイルされるアカウントである場合、それはターゲット・リソース・リコンシリエーションまたはアカウント・リコンシリエーションです。
このタイプのリコンシリエーションは、管理対象のターゲット・システムを表す特定のリソース・オブジェクトをリコンサイルします。この場合は、対応するプロビジョニング・フローが常に存在します。ターゲット・システムから取得されるアイデンティティは、ユーザーまたは組織にプロビジョニングされたリソース・オブジェクト・インスタンスにマップされます。
アカウント・リコンシリエーションは、次の2つのシナリオで発生します。
10.2.3.1 シナリオI: ターゲット・システムからのアカウント・リコンシリエーション
アイデンティティが、認証ソースからOracle Identity Managerに作成されます。アイデンティティは、ターゲット・システムのリソースを使用してプロビジョニングされます。ターゲット・システムに対する変更は、Oracle Identity Managerとリコンサイルされます。図10-3に、ターゲット・システムからのアカウント・リコンシリエーションを示します。
10.2.3.2 シナリオII: アイデンティティ・リコンシリエーションとアカウント・リコンシリエーション
このシナリオでは、ターゲット・システムが当初、認証ソースの役割を果たします。その後、通常のプロビジョニング・ターゲットの役割を果たします。一連のステップは次のとおりです。
-
アイデンティティが、ターゲット・システム・エンティティの詳細に基づいてOracle Identity Managerに作成されます。そのエンティティに対して、対応するアカウントも作成されます。
-
エンティティは、プロビジョニングされたエンティティとしてターゲット・システムで更新されます。
-
ターゲット・システムのリソース管理者は、アカウントに対する変更を適用します。
-
ターゲット・システムで行われた変更は、Oracle Identity Managerとリコンサイルされます。
図10-4に、アイデンティティ・リコンシリエーションおよびその後に続くアカウント・リコンシリエーションを示します。
ノート:
XL.UserProfileAuditDataCollectionプロパティの値が監査日収集レベルに設定されている場合は、アカウント・リコンシリエーションによってバッチ・レベルでデータベース・レイヤーでの照合が実行され、プロビジョニングAPIを使用してイベント・アクションが実行されます。これによって、アカウント・リコンシリエーション用の監査イベント・ハンドラがトリガーされます。デフォルトでは、このプロパティの値は「リソース・フォーム」に設定されます。Oracle Identity Managerのシステム・プロパティの詳細は、「システム・プロパティの管理」を参照してください。
10.2.4 リコンシリエーション・プロセス・フロー
リコンシリエーション・プロセス・フローの主なステップには、ターゲット・システムで行われる変更、リコンシリエーション・データのコネクタへの提供、リコンシリエーション・イベント・レコードの作成、リコンシリエーション・イベント・データの処理、イベントでの手動アクションの実行、および処理後のアクションがあります。
図10-5に、リコンシリエーション・プロセス・フローを示します。
リコンシリエーション・プロセスには次のステップが含まれます。
-
ターゲット・システムでの変更: ターゲット・システムで発生する可能性のある様々なアクティビティには、ユーザー、アカウント、ロール、ロール・メンバーシップまたはロール階層の作成、変更または削除があります。
ノート:
外部システムでエンティティを作成し、すぐ後にそのエンティティを変更すると、リコンシリエーションでのエンティティの作成ステップは処理されますが、エンティティの変更ステップは「作成に失敗しました」イベント・ステータスで失敗となります。これは、リコンシリエーションでは、同一バッチ処理内の同じエンティティに対して作成と変更のアクションを処理できないためです。
ただし、次のいずれかのビルトイン・メカニズムを使用して、リコンシリエーションのエンティティ変更アクションを後で再送信できます。
-
「失敗した非同期タスクの自動再試行」スケジュール済タスクを実行し、失敗したイベントを手動操作なしで再度処理します。
-
手動による再試行エラー処理メカニズムがトリガーされる場合は、失敗したイベントが再度処理されます。
同じバッチ処理での処理の競合に起因するリコンシリエーションの失敗メッセージは、単なる一時的な失敗とみなすことができます。
-
-
リコンシリエーション・データのプロビジョニング: 作成、変更または削除のイベントが発生すると、そのイベントに関するデータは、リコンシリエーションAPIを使用してリコンシリエーション・サービスに送信されます。
ノート:
リコンシリエーション・サービスとは、リコンシリエーション・エンジン、リコンシリエーションAPIおよび関連するメタデータやスキーマの集合を意味します。
-
リコンシリエーション・イベント・レコードの作成: リコンシリエーション・イベントのデータがリコンシリエーション・サービスに提供される場合、そのイベントのレコードはOracle Identity Managerリポジトリに格納されます。
-
リコンシリエーション・イベント・データの処理: 受け取ったデータはその後評価され、ターゲット・システムでの変更内容に基づいてOracle Identity Managerで実行する実際の操作が判断されます。評価には、次の目的に役立つ特定のルールセットが利用されます。
-
Oracle Identity Managerにすでに存在するデータのレコードが、アカウントまたはアイデンティティのいずれのデータであるかの識別
-
データが表すアカウントまたはアイデンティティの所有者の識別
-
実行するコンテキスト依存アクションの定義
-
評価終了時のイベントのステータス、およびリコンシリエーション・エンジンが対応する必要があるアクションの設定
-
-
イベントに対するアクションの実行: リコンシリエーション・イベント・データの処理の評価結果に基づいて、目的のアクションが実行されます。実行されるアクションには、次のような様々なものがあります。
ノート:
イベントに対するアクションは、UIを使用して手動で実行するか、自動アクションにできます。
-
新規アカウントの作成と適切な所有者アイデンティティとの関連付け
-
一致したアカウントの更新
-
一致したアカウントの削除
-
Oracle Identity Managerでの新しいユーザーの作成
-
Oracle Identity Managerでの既存のユーザーの変更
-
既存のユーザーの削除
-
ステータス属性の更新によるアカウント・ステータスの有効化と無効化
-
ユーザーの有効化と無効化
-
ロールの作成、更新または削除
-
メンバーシップの作成または削除
-
ロール階層の作成または削除
関連項目:
ロール・メンバーシップおよびロール階層の詳細は、Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズのリコンシリエーション・エンジンに関する説明を参照してください
-
-
リコンシリエーション・イベントによってトリガーされたアクションのフォロー・アップ: アクションが実行された後は、リコンシリエーション・イベントに基づいてフォロー・アップ・タスクを開始できます。フォロー・アップ・タスクまたは後処理タスクの例には、ユーザー作成イベントの後、ラップトップ・コンピュータなどのリソースをプロビジョニングするリクエストの作成があります。
10.3 リコンシリエーションのモード
リコンシリエーションのモードには、変更ログと標準があります。
Active Directoryなどの大半のコネクタはプル・モデルを使用します。プル・モデルでは、プル・リコンシリエーション・タスクがIAMスケジューラでスケジュールされます。タスクは一定間隔で実行されます。
関連項目:
IAMスケジューラの詳細は、「スケジューラの管理」を参照してください。
通常、プル・ベースのリコンシリエーション・コネクタは、スケジュール済タスク内でリコンシリエーション・イベントを送信します。スケジュール済タスクを実行するたびに、新規リコンシリエーションの実行がトリガーされ、リコンシリエーション・イベントがバッチで作成されます。バッチ・サイズが適合する場合は、そのバッチが送信され、処理されます。スケジュール済タスクの終了時に、サイズが適合しないすべてのバッチを送信するジョブ終了リスナーがトリガーされます。
PeopleSoftコネクタなどのリコンシリエーション・コネクタは、プッシュ・モデルを使用します。コネクタは、PeopleSoftによって送信される非同期メッセージを検出するHTTPリスナーで構成されます。メッセージの受信時に、リスナーがリコンシリエーションAPIをコールして、リコンシリエーション・イベントを送信します。バッチ・サイズが適合する場合、イベントは、リコンシリエーション・エンジンによりバッチで処理されます。バッチ・サイズが適合しないバッチについては、スケジュール済タスクが定期的に実行され、リコンシリエーション処理のバッチが送信されます。
プルまたはプッシュ・モデルは、ターゲット・システムの性質およびターゲット・システムでの変更の検出方法に基づいて使用されます。しかし、使用されるプッシュまたはプル・モデルに関係なく、リコンシリエーションは、IAMスケジューラで実行されるスケジュール済タスクを使用して実行されます。
ノート:
リコンシリエーション・イベントは、リコンシリエーションAPIを使用して直接作成することもできます。
変更ログ・リコンシリエーションは、デフォルトのリコンシリエーション・モードです。このモードでは、変更された属性のみがリコンサイルされます。未指定のフィールドは無視されます。変更された属性のリストをコネクタが認識する場合は、通常、変更ログ・リコンシリエーション・モードを使用します。変更された属性に加えて、Oracle Identity Managerには、照合に必要なフィールドのリストも必要です。Oracle Identity Managerの以前のリリースでは変更ログ・リコンシリエーションをサポートしていたため、すべてのコネクタはこのモードで動作します。
標準リコンシリエーションは、リコンシリエーション・エンジンがエンティティの既存のスナップショットを完全に置換するリコンシリエーション・モードです。通常、このリコンシリエーション・モードは、変更された属性をコネクタで判断できない場合に使用するため、エンティティの完全なスナップショットを送信します。新しいコネクタの場合、このモードは、完全リコンシリエーションを実行する場合に指定できます。標準リコンシリエーション・モードを使用すると、イベントがより速やかに処理されるため、パフォーマンスが向上します。
ノート:
リコンシリエーションのモードは、コネクタの実装によって異なります。コネクタの実装の詳細は、Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズのリコンシリエーションのコネクタに関する説明を参照してください。
表10-2に、標準リコンシリエーション・モードと変更ログ・リコンシリエーション・モードの相違を示します。
表10-2 標準リコンシリエーション・モードと変更ログ・リコンシリエーション・モード
標準 | 変更ログ |
---|---|
マップされた属性の完全なセットを渡す必要があります。 |
特定のプロファイルやルールの照合に必要なマップされた属性のサブセットを渡す必要があります。 |
バッチ処理モードでの実行に適しています(単一のイベント処理モードの場合とパフォーマンスに違いはない)。 |
|
すべてのフィールドが作成および更新されます。 |
指定されたフィールドのみが作成および更新され、その他のフィールドはすべて変更されません。 |
関連項目:
リコンシリエーション・モードの変更の詳細は、Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズのプロファイル・モードの変更に関する項を参照してください
10.4 リコンシリエーションに使用されるアプローチ
完全リコンシリエーションと増分リコンシリエーションは、リコンシリエーションで使用される2つのアプローチです。
ターゲット・システムで初めてリコンシリエーションを実行すると、デフォルトでは、ターゲット・システムのすべてのユーザーおよびアカウントがOracle Identity Managerにリコンサイルされます。これは、完全リコンシリエーションと呼ばれます。完全リコンシリエーションを実行するために、コネクタはターゲット・システムの各エンティティに対してリコンシリエーション・イベントを送信します。リコンシリエーション・エンジンでは、そのエンティティがOracle Identity Managerにすでに存在するかしないかに応じて、イベントを作成イベントまたは更新イベントとして処理します。また、コネクタは、削除されたすべてのエントリを識別し、削除イベントをOracle Identity Managerに送信します。
通常は完全リコンシリエーションの終了時に、コネクタが最終実行時間パラメータをリコンシリエーションの実行の終了時間に設定します。リコンシリエーションの次回実行では、リコンシリエーションの初回実行の終了後に追加、変更または削除されたエンティティのレコードのみが、リコンシリエーション対象としてフェッチされます。これは、増分リコンシリエーションと呼ばれます。
タイムスタンプITリソース・パラメータを0の値に設定することで、増分リコンシリエーションから完全リコンシリエーションに手動で切替えできます。
10.5 リコンシリエーション・イベントの管理
リコンシリエーション・イベントの管理には、イベントの検索、イベント・アクションの決定、イベントの再評価、イベントのクローズ、リコンシリエーション・イベントのリンク作成が含まれます。リコンシリエーション・イベントは、アイデンティティ・システム管理の「イベント管理」セクションを使用して管理できます。
この項では、次の項目について説明します。
10.5.1 リコンシリエーション・イベントについて
リコンシリエーション・プロセスには、Oracle Identity Managerに適用されるイベントの生成が含まれます。このイベントには、ターゲット・システムでのアトミック変更が反映され、変更されたデータ、変更のタイプおよびその他の情報が含まれます。
ターゲット・システムで発生した変更の結果として生成されるリコンシリエーション・イベントは、各種ビジネス要件を満たすように管理される必要があります。Oracle Identity Manager拡張管理の「イベント管理」セクションでは、このようなイベント管理要件に対処します。
「イベント管理」セクションを使用してリコンシリエーション・イベントを管理し、格納されたイベントに様々な方法で問い合せてイベント・データすべてを表示できます。これらのイベントは、常に「イベントの詳細」ページと同じ形式で表示されます。「拡張検索」機能を使用して、イベントに対してカスタム問合せを実行できます。イベントの問題を解決するために必要な任意のアクションを実行することもできます。
イベントはリコンシリエーション実行によって生成されます。これらのリコンシリエーション実行は、Oracle Identity Managerスケジューラを使用して実行がスケジュールされます。
関連項目:
スケジューラの詳細は、「スケジューラの管理」を参照してください。
10.5.2 イベントの検索
アイデンティティ・システム管理では、イベントIDまたはプロファイル名など単純な基準に基づいて、イベント検索を単純な方法で簡単に実行できます。また、UIでイベントを検索するときに複雑な基準を指定することもできます。
次のタイプの検索を実行して、リコンシリエーション・イベントのサマリーを表示できます。
10.5.3 イベントの詳細の表示
「イベントの詳細」ページに、イベントID、リコンシリエーション・データ、一致したアカウント、イベント履歴など、リコンシリエーション・イベントの詳細が表示されます。
イベントに関連する詳細を表示するには:
-
Oracle Identity Manager拡張管理の左ペインで、イベントのリストから、詳細を表示するイベントを選択します。
-
拡張検索結果表の「イベントID」列をクリックします。
-
「アクション」リストから、「参照」を選択します。「イベントの詳細」ページが表示されます。「イベントの詳細」ページのフィールドは、イベント・タイプとイベント・ステータスに基づいて動的に変更されます。あるいは、右ペインのイベントのサマリーからイベントを選択し、参照用の虫眼鏡アイコンをクリックして「イベントの詳細」ページを開くこともできます。
「イベントの詳細」ページのデータは、次のセクションに表示されます。
-
イベント: このセクションには、イベントID、イベント・タイプが「ユーザー」と「アカウント」のどちらか、イベントが作成された時間、リコンシリエーション実行ID、リソース名、プロファイル名およびキー・フィールド値などのイベントに関する情報が表示されます。リコンシリエーションは複数のキー・フィールドを使用でき、キー・フィールド値はカンマで区切って表示されます。
-
リンク先: このセクションは、イベントがユーザーまたはアカウントにリンクされていることを示します。ここにはイベントがリンクされているユーザーまたはアカウントのID、アカウントの説明(あれば)、およびルールベースのリンクか手動リンクかなどのリンクのタイプが表示されます。ルールベースのリンクは、リコンシリエーション・エンジンがリンクを実行したことを意味します。手動リンクは、管理者がリンクを手動で実行したことを意味します。
-
ノート: リコンシリエーション・エンジンにより、必要に応じてノートが追加されます。たとえば、「データ検証に失敗しました」がある場合、エンジンはその理由を説明するノートを追加します。これは読取り専用フィールドで、イベントにノートが付加されていない場合は空欄です。
-
リコンシリエーション・データ: この表には、リコンシリエーション・イベント・データが表示されます。これには、属性名、属性値およびOracle Identity Managerのマッピング・フィールドが表示されます。また、イベントの子データがある場合は、それも表示されます。リコンシリエーション・データには、姓、名、雇用日、ユーザーIDおよびITリソース名が表示されます。
複数言語をサポートする属性がある場合は、その属性値も子データと同様に個別の表に表示されます。
-
一致したアカウント: この表には、一致したアカウントが表示されます。「一致したアカウント」表の列を、表10-4に示します。
表10-4 「一致したアカウント」表の列
列 説明 アカウントID
一致したアカウントのアカウントID。
ORCキー
ORC表に格納されている内部キー。このキーは、イベントがユーザーまたはアカウントに一致しているかどうかを示します。
ディスクリプタ・フィールド
アカウントに関連付けられた説明。
ログインID
ユーザー・イベントに対して表示されるユーザーIDに対応したユーザー・ログインID。
アカウント所有者名
アカウントを所有するユーザーの姓と名およびログインIDからなる文字列。イベントはこのアカウントに関連します。
アカウント所有者タイプ
ユーザーなど、アカウント所有者のタイプ。
-
一致したユーザー: この表には、リコンシリエーション・エンジンによって検索されたユーザー一致が表示されます。複数一致する場合、リンクされたユーザーはこの表には表示されません。
-
履歴: この表には、イベント作成やデータ検証からアカウント一致まで、このイベントに対して発生する操作と、更新が正常に行われたどうかが示されます。表10-5に「履歴」表の列を示します。
表10-5 「履歴」表の列
列 説明 ステータス
指定された日時のイベント・ステータス。
アクション
指定された日時のイベントで実行されたアクション。
ユーザーによって実行されたアクション
前述のアクションを実行したユーザーのIDとログインID。エンジンでは、デフォルトのIAM管理者ID: xelsysadm、ID = 1が使用されます。
日付と時間
前述のアクションの日時。
ノート
指定された日時のイベントに添付されたノート。
ノート:
Oracle Identity Managerでは、リコンシリエーション・フィールド名の翻訳はサポートされていません。
10.5.4 イベント・アクションの決定
イベントで可能なアクションは、イベントのステータス、タイプおよび操作によって異なります。
表10-6に、イベントのタイプおよびステータス別に可能なアクションを示します。
表10-6 イベントのステータスおよびタイプ別のアクション
イベント・ステータス | イベント・タイプ | 可能なアクション |
---|---|---|
一致が見つかりません |
ユーザー |
イベントのクローズ リコンシリエーション・ルールの再適用 エンティティの作成 非定型リンク |
一致が見つかりません |
アカウント |
イベントのクローズ イベントの再評価 非定型リンク |
ユーザーが一致しました |
ユーザー |
イベントのクローズ リコンシリエーション・ルールの再適用 リンク |
ユーザーが一致しました |
アカウント |
イベントのクローズ リコンシリエーション・ルールの再適用 リンク |
アカウントが一致しました |
アカウント |
イベントのクローズ リコンシリエーション・ルールの再適用 リンク |
イベントを受信しました |
任意 |
イベントのクローズ |
可能なアクションについては、以降のセクションで説明します。
10.5.5 イベントの再評価
イベントの再評価は、リコンシリエーション・ルールをイベントに再適用することを意味します。リコンシリエーション・ルールは、イベントの所有者を識別するために使用する一致ルールを参照します。
たとえば、Design Consoleを使用してリコンシリエーション・ルールを変更した場合、Oracle Identity Manager拡張管理の「イベント管理」セクションでルールを再評価できます。
イベントを再評価するには:
10.5.6 イベントのクローズ
リコンシリエーション・イベントのクローズは、選択されたイベントをクローズまたは破棄し、イベントをそれ以降の処理キューから削除します。
イベントをクローズするには:
ノート:
-
イベント履歴表ですべてのイベント・アクションが追跡されます。
-
イベントのクローズ操作では、理由を入力する必要があります。そのため、バルク操作を実行して複数のイベントを一度にクローズする場合は、クローズされるすべてのイベントが同じ理由になります。
10.5.7 リコンシリエーション・イベントのリンク
リコンシリエーション・イベントのリンクには、非定型リンク、手動リンク、および孤立アカウントのリンクが含まれます。
Oracle Identity Managerでは、次の操作を実行してリコンシリエーション・イベントをリンクできます。
10.5.7.1 非定型リンク
非定型リンクにより、イベントをOracle Identity Managerの任意のユーザーまたはロールにリンクできます。リコンシリエーション・エンジンによってそのイベントに対するユーザー一致が検出された場合でも、この非定型リンク機能を使用して、ユーザーはその一致を無視して別のユーザーを選択できます。これにより、リコンシリエーション一致ルールが正しく機能しない場合に誤った一致によって生じる例外を処理できます。このアクションにより、すでに一致しているエンティティ以外のエンティティにイベントをリンクできます。つまり、「一致したユーザー」表から行を選択するかわりに、別のユーザーを選択してイベントにリンクできます。
イベントに対して非定型リンクを作成するには:
- 「イベントの詳細」ページで、「アクション」リストから「非定型リンク」を選択します。「非定型リンク」ダイアログ・ボックスが表示されます。
- 参照アイコンをクリックし、ユーザー検索を実行します。
- 検索結果からユーザーを選択し、「リンク」をクリックします。イベントとの非定型リンクが正常に行われたことを示す確認メッセージが表示されます。
10.5.7.2 手動リンク
リコンシリエーション・イベントが複数一致する場合は、各一致が「イベントの詳細」ページの「一致したアカウント」タブ(アカウント・エンティティの場合)または「一致したユーザー」タブ(ユーザー・エンティティの場合)に表示されます。リコンシリエーション・エンジンで検出されたすべての一致からいずれかの一致を手動で選択できます。手動リンクを実行するには:
ノート:
手動リンクでは、Oracle Identity Managerの全ユーザーのリストから一致を選択するかわりに、リコンシリエーション・エンジンによって検出された一致のリストから選択します。
- 「イベントの詳細」ページで、リコンシリエーション・エンジンによって検出されたすべての一致がリストされている表から行を選択します。
- 「リンク」をクリックします。確認を求めるメッセージが表示されます。
- 「OK」をクリックして確定します。
10.5.7.3 孤立アカウントのリンク
次のシナリオでは、「イベント管理」セクションを使用して正しい一致ユーザーを選択することで、孤立アカウントを解決できます。
10.5.7.3.1 孤立アカウントのリンクについて
孤立アカウントとは、ターゲット・システムのアカウントで、Oracle Identity Managerにそれに対応するユーザーが存在しないものを指します。
Oracle Identity Managerに一致するユーザーがいないか、複数のユーザーが一致する孤立アカウントのイベントを解決できます。そのために、次のいずれかを実行できます。
-
Oracle Identity Managerでユーザーを再作成する
-
プロビジョニング・プロセスをトリガーして、ターゲット・システムからユーザーまたはアカウントを削除する
-
非定型または手動リンクを実行する
10.5.7.3.3 一致のないイベントの場合
イベントに一致が検出されない場合は、エンティティ作成をトリガーするか、Oracle Identity Managerのエンティティを選択してイベントにリンクします。Oracle Identity Managerのエンティティを選択してイベントにリンクする方法は、「非定型リンク」を参照してください。