B サービス・アカウントの管理

この付録では、Oracle Identity Managerのサービス・アカウントを変更および管理する方法について説明します。次の内容について説明します。

• 「概要」

概要

サービス・アカウントは、メンテナンス用に使用される全体的な管理アカウント（たとえばadmin1、admin2、admin3など）です。通常、これらのアカウントは、（1人のユーザーではなく）1つのシステムが別のシステムと対話するのを許可するために使用されます。サービス・アカウントの管理とプロビジョニングのモデルは、通常のプロビジョニングと多少異なります。

サービス・アカウントは、通常のアカウントと同様に、リクエスト、プロビジョニングおよび管理できます。また、通常のアカウントと同じリソース・オブジェクト、プロビジョニング・プロセス、およびプロセス・フォームとオブジェクト・フォームを使用します。通常のアカウントと異なるのは、ライフサイクルの管理方法、およびライフサイクルに対して行われる処理です。

サービス・アカウントは内部フラグで通常のアカウントと区別されます。ユーザーに対してサービス・アカウントがプロビジョニングされると、Oracle Identity ManagerはそのユーザーのIDからサービス・アカウントへのマッピングを管理します。このユーザーは、サービス・アカウントの所有者とみなされます。

ここでは、次の内容について説明します。

• 「サービス・アカウントの変更」

• 「サービス・アカウント・アラート」

• 「移動したサービス・アカウント」

• 「API」

• 「サービス・アカウント管理の動作」

サービス・アカウントの変更

ユーザー（管理者）は、既存の通常のアカウントをサービス・アカウントに変更したり、既存のサービス・アカウントを通常のアカウントに変更できます。このような変更を行うと、プロビジョニング・プロセスに「Service Account Change」タスクが挿入され、「Process Definition」の「Tasks」タブでアクティブになります。このプロビジョニング・プロセスに関連付けられているすべてのアダプタが実行されます。アダプタが関連付けられていない場合は、事前定義済のレスポンス・コードが添付されます。

この機能の関連APIは次のとおりです。

• tcUserOperations.changeFromServiceAccount

• tcUserOperations.changeToServiceAccount

サービス・アカウント・アラート

サービス・アカウントのリンク先ユーザーに対するライフサイクル・イベントが発生すると、そのサービス・アカウント・インスタンスのプロビジョニング・プロセスに、「Service Account Alert」タスクが挿入されます。ユーザー（管理者）は、ユーザーに対して発生したイベントに対応するために、このタスクを使用して適切なアクションを開始できます。

条件に合うユーザーのライフサイクル・イベントは、ユーザーの無効化または削除です。このような場合、サービス・アカウント・インスタンスで発生する唯一のアクションは、「Service Account Alert」タスクの挿入です。

この動作は、（明示的にサービス・アカウントを無効化するなどして）直接サービス・アカウントのイベントに対して行われることはありません。

移動したサービス・アカウント

ユーザー（管理者）は、サービス・アカウントの所有権を1人のユーザーから別のユーザーへ移すことができます。その結果、新しい所有者のリソース・プロファイルにプロビジョニング・インスタンスが表示され、古いユーザーのリソース・プロファイルには表示されなくなります。アカウントを移動すると、リソース・インスタンスのプロビジョニング・プロセスに、「Service Account Moved」タスクが挿入されます。このプロビジョニング・プロセスに関連付けられているすべてのアダプタが起動します。アダプタが関連付けられていない場合は、事前定義済のレスポンス・コードが添付されます。

サービス・アカウントの移動に使用するAPIメソッドは、tcUserOperationsIntf.moveServiceAccountです。

API

次のメソッドによってフラグが設定されます。

• tcRequestOperations.addRequestObject

• tcRequestOperations.setRequestObjectAsServiceAccountFlag

• tcUserOperations.changeFromServiceAccount

• tcUserOperations.changeToServiceAccount

• tcUserOperations.provisionObject

• tcUserOperations.moveServiceAccount

• tcObjectOperations.getServiceAccountList

サービス・アカウント管理の動作

サービス・アカウント管理に関して、次のようなデータ・ポイントがあります。

• サービス・アカウントは、通常のアカウントと同様に、リクエスト、プロビジョニングおよび管理できます。サービス・アカウントと通常のアカウントは、同じリソース・オブジェクト、プロビジョニング・プロセスおよびプロセス・フォームとオブジェクト・フォームを使用することで共通しています。サービス・アカウントと通常のアカウントは、フラグでのみ識別されます。このフラグは、リソースをリクエストするユーザーまたはリソースを直接プロビジョニングする管理者によって設定されます（つまり、APIで公開および処理されます）。

• サービス・アカウントは、ライフサイクルの中で通常のアカウントに変更することができ、同様に、通常のアカウントはサービス・アカウントに変更可能です。このような変更が発生すると、「Service Account Changed」タスクがトリガーされます。

• ユーザーが削除されても、リソースは失効しないため（サービス・アカウントのプロビジョニング・プロセスは取消しできません）、取消しタスクは起動しません。かわりに、「Service Account Alert」タスク機能がトリガーされます。

• ユーザーが無効化されても、リソースは無効化されません（無効化のタスクはサービス・アカウント・インスタンスのプロビジョニング・プロセスに挿入されません）。かわりに、「Service Account Alert」タスク機能がトリガーされます。

• （直接またはリクエスト経由の）サービス・アカウント・インスタンスの明示的な無効化、有効化および失効は、通常のアカウントと同様に管理され、動作します。

• Oracle Identity Manager APIを使用して、プロビジョニングされたサービス・アカウントのリソース（プロビジョニング・プロセス、プロセス・フォーム・エントリなど）をユーザーからユーザーへ移動できます。このような移動が発生すると、「Service Account Move」タスク機能がトリガーされます。