Oracle Identity Management 統合ガイド 10g(10.1.4.2) E05894-01 |
|
この章では、Oracle Directory Integration Platformへのコネクタの登録方法と、マッピング・ルール属性の書式設定方法について説明します。内容は次のとおりです。
コネクタは、Oracle Internet Directoryに登録してから配置します。この登録には、ディレクトリにエントリとして格納されるディレクトリ同期プロファイルの作成作業が含まれます。
ディレクトリ統合プロファイルを作成するには、次のいずれかのツールを使用します。
同期プロファイル・エントリの属性は、オブジェクト・クラスorclodiProfile
に属します。ただし、orclodiplastappliedchangenumber
属性のみはorclchangesubscriber
オブジェクト・クラスに属します。
プラットフォーム関連のクラスと属性には、オブジェクト識別子の接頭辞2.16.840.1.113894.7
が割り当てられます。
ディレクトリ内の様々な同期プロファイル・エントリが、コンテナcn=subscriber profile,cn=changelog subscriber,cn=oracle internet directory
の下に作成されます。たとえば、OracleHRAgent
というコネクタは、orclodipagentname=OracleHRAgent,cn=subscriber profile,cn=changelog subscriber,cn=oracle internet directory
として、ディレクトリに格納されます。
Oracle Directory Integration Platformをインストールすると、次のものに対するインポートおよびエクスポートの同期プロファイルのサンプルが、自動的に作成されます。
サンプル・プロファイルの作成に使用されるプロパティ・ファイルとマッピング・ファイルは、$ORACLE_HOME/ldap/odi/samplesディレクトリおよび$ORACLE_HOME/ldap/odi/confディレクトリにあります。
サード・パーティ・ディレクトリは、Directory Integrationアシスタント(dipassistant
)でExpress構成オプションを使用して構成できます。この方法を使用すると、接続詳細を入力として指定できます。構成方法として、この方法をお薦めします。
インストール時に用意されたテンプレート・プロパティ・ファイルに基づいて、プロファイルを作成することもできます。これを行う場合、プロファイルのodip.profile.condirurl
、odip.profile.condiraccount
およびodip.profile.condirpassword
の各プロパティに接続詳細を指定する必要があります。接続詳細の指定に加えて、サード・パーティ・ディレクトリのユーザー・アカウントに、ユーザーおよびグループ情報の読取りに必要な権限があることを確認する必要もあります。
Microsoft Active Directoryでは、ユーザー・アカウントに、変更の監視対象となっているフォレストのすべてのドメインに対して、ディレクトリ変更をレプリケートする権限があることを確認する必要もあります。これは、次のいずれかの方法により実行できます。
この権限を管理者以外のユーザーに付与するには、Microsoft Help and Support(http://support.microsoft.com/)の記事「How to Grant the 'Replicating Directory Changes' Permission for the Microsoft Metadirectory Services ADMA Service Account」の「More Information」の項の指示に従います。
ディレクトリ同期プロファイルの最も重要な部分のいくつかには、表6-1に示すプロパティに指定する接続詳細が含まれます。
プロパティ | 説明 |
---|---|
|
接続ディレクトリのURL |
|
サード・パーティ・ディレクトリへの接続に使用される識別名またはアカウント名 |
|
サード・パーティ・ディレクトリへの接続に使用されるパスワード |
同期プロファイルの「追加構成情報」(orclodipAgentConfigInfo
)属性には、コネクタでOracle Internet Directoryと接続ディレクトリの同期化を行うために必要な追加の構成情報が格納されます。必須ではありませんが、次のパラメータを「追加構成情報」属性とともに使用すると、同期の効率を大幅に向上させることができます。
「追加構成情報」属性の変更には、Oracle Directory Integration Server管理ツールまたはOracle Directory Managerを使用できません。かわりに、Directory Integrationアシスタント(dipassistant
)を使用します。
関連資料
|
SearchDeltaSize
パラメータにより、同期サイクルの各反復中に処理される増分変更数が決まります。デフォルトでは、SearchDeltaSize
パラメータに500の値が割り当てられています。各同期サイクル中に実行される反復の回数は、保留中の変更数によって異なります。たとえば、SearchDeltaSize
パラメータに500の値が割り当てられていて保留中の変更が498ある場合、同期に必要な反復は1回です。しかし、保留中の変更が501ある場合は、同期に必要な反復は2回となります。場合によっては、このパラメータにより大きな値を指定すると、同期の効率が向上します。ただし、指定する値が接続ディレクトリ・サーバーのLDAP検索制限を超えないようにしてください。制限を超えると、同期中にエラーが発生し、一部の変更が処理されない可能性があります。
SkipErrorToSyncNextChange
パラメータにより、同期中に変更を処理するときにOracle Directory Integration Serverでエラーを処理する方法が決まります。デフォルトでは、SkipErrorToSyncNextChange
パラメータにfalse
の値が割り当てられ、Oracle Directory Integration Serverはエラーが解決されるまで変更の処理を続行します。SkipErrorToSyncNextChange
パラメータにtrue
の値を指定すると、Oracle Directory Integration Serverはエラーの原因となる変更をスキップします。失敗はすべて$ORACLE_HOME/ldap/odi/log/profile_name.aud監査ログ・ファイルに記録されます。SkipErrorToSyncNextChange
パラメータにtrue
の値を指定しない場合は、失敗がないか監査ログを必ず定期的に調べてください。
UpdateSearchCount
パラメータは、同期プロセス中に接続ディレクトリで実行する反復の最大回数を指定します。同期プロセスは、指定された回数の検索が実行されると停止し、次にスケジュールされた間隔に再開します。
この項では、マッピング・ルールの構成方法について説明します。内容は次のとおりです。
マッピング・ルール属性を使用して、ソースから宛先へエントリを変換する方法を指定します。Oracle Internet Directoryは、ソースまたは宛先のいずれかである必要があります。エントリを変換する際のマッピング・ルールには、ドメイン・ルール、属性ルールおよびリコンシリエーション・ルールの3種類があります。これらのマッピング・ルールにより、識別名マッピング、属性レベル・マッピングおよびリコンシリエーション・ルールを指定できます。リコンシリエーション・ルールは、Novell eDirectoryとOpenLDAPでのみ使用されます。リコンシリエーション・ルールの使用方法の詳細は、第22章「Novell eDirectoryまたはOpenLDAPとの統合」を参照してください。
マッピング・ルールは固定表形式で編成されます。この形式には慎重に従う必要があります。DomainRules
という語のみが指定されている行と、3つの番号記号(###
)のみが指定されている行の間に、マッピング・ルールの各セットが記述されます。各ルール内のフィールドは、コロン(:)で区切られます。
DomainRules srcDomainName1: [dstDomainName1]: [DomainMappingRule1] srcDomainName2: [dstDomainName2]: [DomainMappingRule2] AttributeRules srcAttrName1:[ReqAttrSeq]:[SrcAttrType]:[SrcObjectClass]:[dstAttrName1]: [DstAttrType]:[DstObjectClass]:[AttrMappingRule1] srcAttrName1,srcAttrName2:[ReqAttrSeq]:[SrcAttrType]:[SrcObjectClass]: [dstAttrName2]:[DstAttrType]:[DstObjectClass]:[AttrMappingRule2] ###
この例のsrcAttrName1
とsrcAttrName2
を拡張するには、それぞれ改行なしで1行に記述する必要があります。
この項では、Oracle Internet Directoryと接続ディレクトリ間でエントリをマップする方法を指定します。Oracle Internet Directoryと別のLDAPディレクトリ間のマッピングの場合は、「マッピング・ルールの構成」で説明されているように、複数のマッピング・ルールを作成できます。ドメイン・ルールは、キーワードDomainRules
のみが指定されている行の後に指定されます。各ドメイン・ルールは、コロンで区切られたコンポーネントで表現されます。これらのコンポーネントの詳細は表6-2を参照してください。
Distinguished Name Rules %USERBASE INSOURCE%:%USERBASE ATDEST%:
USERBASE
は、サード・パーティ・ディレクトリのユーザーおよびグループのマップ元のコンテナを指します。通常、これは、サード・パーティ・ディレクトリ・ドメインのルートの下にあるusers
コンテナです。
1対1マッピングを行うには、サード・パーティ・ディレクトリの識別名がOracle Internet Directoryの識別名と一致する必要があります。この例では、サード・パーティ・ディレクトリの識別名がOracle Internet Directoryの識別名に一致します。具体的には、次の条件を満たしている必要があります。
us.mycompany.com
ドメインにあり、したがって、サード・パーティ・ディレクトリ・ドメインのルートはus.mycompany.com
です。ドメインの下にあるuserコンテナのDN値は、cn=users,dc=us,dc=mycompany,dc=com
になります。
dc=us,dc=mycompany,dc=com
です。このデフォルトのレルムには、DN値がcn=users,dc=us,dc=mycompany,dc=com
のusers
コンテナが自動的に含まれます。
サード・パーティ・ディレクトリの識別名がOracle Internet Directoryの識別名と一致するため、ディレクトリ間の1対1識別名マッピングが行われます。
dc=us,dc=mycompany,dc=com
の下のcn=users
コンテナのみを同期化する場合、ドメイン・マッピング・ルールは次のとおりです。
Distinguished Name Rules cn=users,dc=us,dc=mycompany,dc=com:cn=users,dc=us,dc=mycompany,dc=com
このルールでは、cn=users,dc=us,dc=mycompany,dc=com
の下のすべてのエントリが同期化されます。ただし、このコンテナの下で同期化されるオブジェクトのタイプは、識別名マッピング・ルールに従う属性レベルのマッピング・ルールによって決まります。
cn=users,dc=us,dc=mycompany,dc=com
の下のエントリcn=groups,dc=us,dc=mycompany,dc=com
を同期化する場合、ドメイン・マッピング・ルールは次のとおりです。
cn=groups,dc=us,dc=mycompany,dc=com: cn=users,dc=us,dc=mycompany,dc=com
属性ルールは、キーワードAttributeRules
のみが指定されている行の後に指定されます。属性ルールにより、エントリのプロパティ値が2つのLDAPディレクトリ間で、どのように関係付けられるかを指定します。たとえば、あるディレクトリのユーザー・オブジェクトのcn
属性は、別のディレクトリのgivenname
オブジェクトにマップできます。同様に、あるディレクトリのグループ・オブジェクトのcn
属性は、別のディレクトリのdisplayname
属性にマップできます。各属性ルールは、コロンで区切られたコンポーネントで表現されます。これらのコンポーネントの詳細は表6-3を参照してください。属性ルールの指定は、3つの番号記号(###
)のみが指定されている行で終わります。
新規に作成した同期プロファイルのマッピング・ルールは空になります。マッピング・ルールを入力するには、適切な形式に厳密に従ったファイルを編集します。
新規マッピング・ファイルを作成するには、次のようにします。
uid=%,dc=mycompany,dc=com
になります。その場合、Oracle Human Resourcesから適用されるすべての変更にuid
属性が存在する必要があります。手順6で指定するとおり、必須属性としてuid
属性を指定する必要があります。
cn
、sn
、uid
およびmail
です。
<srcAttrName>:<ReqdFlag>:<srcAttrType>:<SrcObjectClass>: <dstAttrName>:<dstAttrType>:<dstObjectClass>: <Mapping Rule>
マッピング・ルールを定義するときは、必ず次のことを確認してください。
uid
属性が必須として指定された場合は、<ReqdFlag>
のかわりに1
の値を割り当てます。
ソース・オブジェクト・クラスに属する属性のすべてを1つの宛先オブジェクト・クラスに割り当てる必要はありません。ソース・オブジェクト・クラスの各種の属性は、異なる宛先オブジェクト・クラスに属する様々な属性に割り当てることができます。
属性がバイナリ値をとる場合は、<attrtype>
フィールドでbinary
として指定します。
マッピング・ルールには柔軟性があり、1対多と多対1の両方のマッピングを組み込むことができます。
接続ディレクトリの1つの属性を、Oracle Internet Directoryの多数の属性にマップできます。たとえば、接続ディレクトリのある属性がAddress:123 Main Street/MyTown, MyState 12345
であるとします。Oracle Internet Directoryのこの属性は、LDAP属性homeAddress
とLDAP属性postalAddress
の両方にマップできます。
接続ディレクトリの複数の属性を、Oracle Internet Directoryの1つの属性にマップできます。たとえば、Oracle Human Resourcesディレクトリでは、firstname=Anne
とlastname=Smith
の2つの属性を使用してAnne Smithを表すとします。これらの2つの属性は、Oracle Internet Directoryの1つの属性cn=Anne Smith
にマップできます。ただし、双方向同期では、逆方向のマッピングはできません。たとえば、cn=Anne Smith
を複数の属性にマップすることはできません。
サポートされている属性マッピング・ルールは、次のとおりです。
次のようなマッピング・ルールについて考えてみます。
Firstname,lastname: : : : givenname: : inetorgperson: firstname+lastname
たとえば、ソースのFirstname
がJohn
、LastName
がDoe
の場合、このルールによって、宛先のgivenname
属性は、JohnDoe
という値になります。
次のようなマッピング・ルールについて考えてみます。
Fistname,lastname : : : :givenname: :inetorgperson: firstname | lastname
この例では、firstname
の値が存在する場合は、それがgivenname
に割り当てられます。firstname
属性が存在しない場合、lastname
の値がgivenname
に割り当てられます。両方の値が空である場合、値は割り当てられません。
bin2b64 ( )
: ソース・ディレクトリのバイナリ値をBase64のエンコード値として宛先ディレクトリに保存します。通常、次のように使用します。
objectguid: : : :binary: :orclobjectguid: orcladuser:bin2b64(objectguid)
(objectguid
)の値を検索する必要がある場合、これは必須です。
tolower()
: 文字列属性値を小文字に変換します。
firstname: : : :givenname: :inetorgperson: tolower(firstname)
toupper()
: 文字列属性値を大文字に変換します。
firstname: : : :givenname: :inetorgperson: toupper(firstname)
trunc(str,char)
: 指定したchar
が最初に出現する箇所以降の文字列を切り捨てます。
mail : : : : uid : : inetorgperson : trunc(mail,'@')
たとえば、ソースのmail
がJohn.Doe@acme.com
の場合、このルールによって、宛先のuid
属性は、John.Doeという値になります。
trunc(str, char)
: 指定したchar
が最初に出現する箇所まで、文字列を切り捨てます。
mail : : : : uid : : inetorgperson : truncl(mail,'@')
たとえば、ソースのmailがJohn.Doe@acme.com
の場合、このルールによって、宛先のuid
属性は、acme.com
という値になります。
trunc(str1, str2)
: 指定した文字列が最初に出現する箇所以降の文字列を切り捨てます。
mail : : : : uid : : inetorgperson : truncl(mail, "@domain")
dnconvert(str)
: ドメイン・マッピングが使用される場合に、DNタイプ属性を変換します。この例は、次のドメイン・マッピング・ルールを前提としています。
DomainRules cn=srcdomain:cn=dstdomain:
たとえば、次のようになります。
uniquemember : : : groupofuniquenames : uniquemember : :groupofuniquenames : dnconvert(uniquemember)
この場合、ソースのuniquemember
がcn=testuser1,cn=srcdomain
の場合、宛先のuniquemember
は、cn=test user1,cn=dstdomain
になります。
Userpassword: : :person: userpassword: :person: 'welcome1'
前述の説明に基づいて、ここではタグ付きファイル・インタフェースを使用して、Oracle Human Resourcesデータベース表からユーザー・エントリをインポートするためのマッピング・ファイルの例を示します。ソースはLDAP以外のディレクトリです。このサンプル・ファイルはインストール時に提供され、$ORACLE_HOME/ldap/odi/conf/oraclehragent.map.masterにあります。
DomainRules NONLDAP:dc=myCompany,dc=com:uid=%dc=myCompany,dc=com AttributeRules firstname: : : :cn: :person email : : : :cn: :person: trunc(email,'@') email : 1 : :uid: :person:trunc(email,'@') firstname,lastname: : : :cn: :person: firstname+","+lastname lastname,firstname: : : :cn: :person: lastname+","+firstname firstname,lastname: : : :sn: :person: lastname | firstname EmployeeNumber: : : :employeenumber: :inetOrgperson EMail: : : :mail: :inetOrgperson TelephoneNumber1: : : :telephonenumber: :person TelephoneNumber2: : : :telephonenumber: :person TelephoneNumber3: : : :telephonenumber: :person Address1: : : :postaladdress: :person state: : : :st: :locality street1: : : :street: :locality zip: : : :postalcode: :locality town_or_city: : : :l: :locality Title: : : :title: :organizationalperson #Sex: : : :sex: :person
###
前述のように、マッピング・ファイルは、キーワードおよびドメインと属性の一連のマッピング・ルール・エントリで構成されています。この例のマッピング・ファイルには、ドメイン・ルールNONLDAP:dc=myCompany,dc=com:cn=%,dc=myCompany,dc=com
が含まれています。
:dc=myCompany,dc=com
)は、このプロファイルが処理するすべてのディレクトリ・エントリが、ドメインdc=myCompany,dc=com
にあることを示しています。同期化を開始する前に、ドメインが存在することを確認してください。
:uid=%,dc=myCompany,dc=com
)は、ソースからのデータが、このドメイン・マッピング・ルールで構成した識別名を持つディレクトリ内のエントリを参照することを示しています。この場合のuid
は、常にNULL以外の値を持つ宛先属性の1つである必要があります。同期化するエントリに対応するデータがNULL値の場合、マッピング・エンジンは、そのエントリを無効と判断し、次のエントリに進みます。ディレクトリでエントリを正確に識別するには、uid
が単一値であることも必要です。
SrcObjectClass
フィールドは空白です。
email
は、マッピング・ファイル例では必須属性として指定されています。それは、uid
属性がemail
属性から導出されているためです。同期化を成功させるには、タグ付きファイルに指定されているすべての変更に、次のとおりemail
属性を指定する必要があります。
Email : 1 : : :uid : : person : trunc(email,'@')
cn=%,l=%,dc=myCompany,dc=com
(cn
は複数値属性)の識別名でエントリを構成する場合、DomainMappingRuleは、rdn,l=%,dc=myCompany,dc=com
(rdn
は、NULL値以外の宛先属性の1つ)のような形式になります。これをサポートする典型的なマッピング・ファイルは、次のような形式です。
DomainRules NONLDAP:dc=us,dc=myCompany,dc=com:rdn,l=%,dc=us,dc=myCompany,dc=com AttributeRules firstname: : :cn: :person email : : : :cn: :person: trunc(email,'@') email : 1: : :rdn: :person: 'cn='+trunc(email,'@') firstname,lastname: : : :cn: :person: firstname+","+lastname lastname,firstname: : : :cn: :person: lastname+","+firstname firstname,lastname: : : :sn: :person: lastname | firstname EmployeeNumber: : : :employeenumber: :inetOrgperson EMail: : : :mail: :inetOrgperson TelephoneNumber1: : : :telephonenumber: :person TelephoneNumber2: : : :telephonenumber: :person TelephoneNumber3: : : :telephonenumber: :person Address1: : : :postaladdress: :person Address1: : : :postaladdress: :person Address1: : : :postaladdress: :person state: : : :st: :locality street1: : : :street: :locality zip: : : :postalcode: :locality town_or_city: 2 : : :1: :locality Title: : : :title: :organizationalperson #Sex: : : :sex: :person ###
Directory Integrationアシスタント(dipassistant
)を使用したインストールの一部として、一連の統合プロファイルのサンプルが作成されます。プロファイルの作成に使用されるプロパティ・ファイルは、$ORACLE_HOME/ldap/odi/samplesディレクトリにあります。
DomainRules dc=mycompany.oid,dc=com:dc=mycompany.iplanet,dc=com AttributeRules # Mapping rules to map the domains and containers o: : :organization: o: :organization ou: : :organizationalUnit: ou: : organizationalUnit dc: : :domain:dc: :domain # Mapping Rules to map users uid : : :person: uid: :inetOrgperson sn: : :person:sn: :person cn: : :person:cn: :person mail: :inetorgperson: mail: :inetorgperson employeenumber: :organizationalPerson: employeenumber: :organizationalperson c: : :country:c: :country l: : :locality: l: :locality telephonenumber: :organizationalPerson: telephonenumber: :organizationalperson userpassword: : :person: userpassword: :person uid: : :person: orcldefaultProfileGroup: :orclUserV2 # Mapping Rules to map groups cn: : :groupofuniquenames:cn: :groupofuniquenames member: : :groupofuniquenames:member: :orclgroup uniquemember: : :groupofuniquenames:uniquemember: :orclgroup owner: : :groupofuniquenames:owner: :orclgroup # userpassword: :base64:userpassword: :binary:
この例では、ソース・ドメインと宛先ドメインの両方が、ドメイン・マッピング・ルール・セクションで指定されています。この例では、ソース・ドメインと宛先ドメインは同じです。ただし、コンテナが宛先ディレクトリにある場合は、異なる宛先ドメインを指定できます。
また、この例では、属性ルールがユーザー属性マッピング・ルールとグループ属性マッピング・ルールの2つのセクションに分かれています。マッピング・ルールにオブジェクト・クラスを指定すると、あるオブジェクトの特定の属性を一意にマップできます。
マッピング・ルールは、新規ルールの追加、既存ルールの変更またはorclodipAttributeMappingRules
属性に指定されているマッピング・ルール・セットからの一部のルールの削除によって、カスタマイズできます。通常、これらの操作を実行するには、マッピング・ルールが指定されているファイルを指定するか、または『Oracle Internet Directory管理者ガイド』で説明されているようにldapsearch
コマンドを使用してファイルの属性値を格納します。
マッピング・ルールは、Oracle Directory Integration Server管理ツールでは編集できません。かわりに、マッピング・ルールをファイルに格納し、そのファイルを属性の値としてディレクトリにアップロードします。マッピング・ファイルをアップロードするには、Directory Integrationアシスタント(dipassistant
)を使用します。作成およびアップロードされたマッピング・ファイルのコピーは、$ORACLE_HOME/ldap/odi/confディレクトリに保持でき、将来更新した後に再度アップロードできます。
新規エントリをマッピング・ルール・ファイルに追加するには、そのファイルを編集して、レコードをファイルに追加します。これには、次のようにします。
たとえば、ソース・ディレクトリ内のあるエントリの電子メール属性を宛先の固有識別子にマップする必要がある場合は、次のようになります。
Email: : : inetorgperson: uid: : person:
マッピング・ルール・ファイル内の変更するエントリを特定した後、属性値の変換に必要なマッピング・ルール要素を生成します。
マッピング・ルール・ファイル内の削除するエントリを特定した後、エントリをファイルから削除するか、エントリの前に番号記号(#)を付けてそのエントリをコメント化することができます。
関連資料
|
デフォルトで、コネクタにより、同期用に構成されたコンテナ内のすべてのオブジェクトに対する変更が取得されます。しかし、ユーザーおよびグループに対する変更のみなど、特定のタイプの変更のみを同期化する場合があります。マッピング・ルールにより、エントリをあるディレクトリから別のディレクトリに変換する方法を指定できますが、ディレクトリ間で同期化されるオブジェクトをフィルタ処理することもできます。接続ディレクトリからの変更をOracle Internet Directoryにインポートする前に、同期プロファイルで変更を「接続されたディレクトリ一致フィルタ」(orclODIPConDirMatchingFilter
)属性を使用してフィルタ処理できます。同様に、Oracle Internet Directoryから接続ディレクトリにエクスポートする前に、変更を「OID一致フィルタ」(orclODIPOIDMatchingFilter
)属性を使用してフィルタ処理できます。どちらの属性の場合も、次の項で説明されているように、接続ディレクトリに対して、LDAP検索により増分変更を取得するか、または変更ログに変更を格納するかのいずれかのフィルタを指定できます。
一致フィルタを更新するには、Oracle Directory Integration Server管理ツールまたはDirectory Integrationアシスタント(dipassistant
)を使用します。
変更ログをサポートしていない接続ディレクトリの場合、LDAP検索の実行によりエントリの最新のフットプリントが取得されます。objectclass=*
を指定して実行されるLDAP検索では、所定のツリーまたはサブツリー内のエントリがすべて返されるため、同期に関係のあるオブジェクトのみを取得するには、LDAPフィルタ構文を使用してフィルタを指定する必要があります。たとえば、検索フィルタをorclOdipConDirMatchingFilter
属性に割り当てることができます。フィルタは、searchfilter=LDAP_SEARCH_FILTER
と指定します。
次の例では、組織単位、グループおよびユーザーを取得し、コンピュータは取得しないLDAP検索フィルタを作成します。
searchfilter=(|(objectclass=group)(objectclass=organizationalUnit) (&(objectclass=user)(!(objectclass=computer))))
変更ログに変更を格納する接続ディレクトリの場合、Oracle Directory Integration Platformに用意されている次の単純な演算子を使用すれば、「接続されたディレクトリ一致フィルタ」(orclODIPConDirMatchingFilter
)または「OID一致フィルタ」(orclODIPOIDMatchingFilter
)に一致フィルタを指定できます。
LDAPまたはLDAP以外のディレクトリで、変更ログから増分変更が取得される場合は、前述の演算子を使用できます。searchfilter
属性を使用しない場合は、前述の演算子ではワイルドカードやパターン一致はサポートされません。ただし、フィルタに複数の演算子のペアが含まれている場合、式はAND論理演算子として評価されます。たとえば、次の式には4つの演算子のペアが含まれています。
(objectclass=group)(objectclass=organizationalUnit) (objectclass=user)(objectclass!=computer)
この式は次のように評価されます。
objectclass is equal to group AND objectclass is equal to organizationalUnit AND objectclass is equal to user AND objectclass is NOT equal to computer
変更を変更ログに格納する接続ディレクトリの場合、一致フィルタで同期化できるのは、変更ログに現れる属性についてのみです。変更ログにない属性を一致フィルタに含めると、検索操作は失敗します。このため、一致フィルタの使用は、変更ログに増分変更を格納する接続ディレクトリに限られます。
表6-4に、ディレクトリ統合プロファイル内および同期時に使用される各種のファイルの場所を示します。
たとえば、Oracle Human Resourcesコネクタのデータ・ファイル名はoraclehrprofile.dat
です。
|
Copyright © 1999, 2007 Oracle Corporation. All Rights Reserved. |
|