5 ユーザー管理

この章では、Design Consoleのユーザー管理について説明します。次の内容について説明します。

概要

「User Management」フォルダには、会社の組織、ユーザー、ユーザー・グループ、リクエスト、フォーム・テンプレート、場所、プロセス・タスクおよびリコンシリエーション・イベントについての情報をシステム管理者が作成、管理するためのツールがあります。

このフォルダには次のフォームがあります。

Organizational Defaults: このフォームは、組織の内部構造を反映するレコードを表示したり、これらのエンティティに関連する情報を指定するために使用します。
Policy History: このフォームは、従業員が必要とするユーザー・レコードを表示するために使用します。
Group Entitlements: このフォームは、共通の機能を割り当てたユーザー・グループのレコードを表示するために使用します。
Administrative Queues: このフォームは、他のDesign Consoleフォームのユーザー・グループ用にまとめて割当て権限を作成、管理するために使用します。
Reconciliation Manager: このフォームは、Oracle Identity Managerでリコンシリエーション・イベントを管理するために使用します。

「Organizational Defaults」フォーム

「Organizational Defaults」フォームは「User Management」フォルダに表示されます。このフォームは、組織の構成を反映するレコードを表示したり、組織のエンティティに関連する情報を入力および変更するために使用します。組織のレコードには、企業階層、たとえば、会社、部門、または支店における組織単位についての情報が含まれます。サブ組織は、別の組織のメンバーである組織、たとえば、会社の部門などです。サブ組織が属する組織は親組織と呼ばれます。

「Organizational Defaults」タブは、現在の組織に対してプロビジョニングできるリソースの、カスタムのプロセス・フォームのデフォルトのパラメータ値を指定するために使用します。各プロセス・フォームは、その組織に対して許容されているリソース・オブジェクト、または関連する「Resource Objects」フォームの「Allow All」チェック・ボックスが選択されているリソースに関連付けられています。

「Process Defaults」タブに入力した値は、組織のすべてのユーザーのデフォルト値になります。

図5-1に「Organizational Defaults」フォームを示します。

図5-1 「Organizational Defaults」フォーム

画像の説明

次の表は、「Organizational Default」フォームのデータ・フィールドについて説明しています。

フィールド名 説明

Organization Name

組織の名前。

Type

組織の分類タイプ（「Company」、「Department」、「Branch」など）。

Status

組織の現在のステータス（「Active」、「Disabled」、「Deleted」のいずれか）。

Parent Organization

この組織が属する組織。親組織がこのフィールドに表示される場合、この組織は、親組織の「Sub Organizations」タブに表示されます。このフィールドが空の場合、この組織は最上位の組織です。

フィールド名	説明
Organization Name	組織の名前。
Type	組織の分類タイプ（「Company」、「Department」、「Branch」など）。
Status	組織の現在のステータス（「Active」、「Disabled」、「Deleted」のいずれか）。
Parent Organization	この組織が属する組織。親組織がこのフィールドに表示される場合、この組織は、親組織の「Sub Organizations」タブに表示されます。このフィールドが空の場合、この組織は最上位の組織です。

「Policy History」フォーム

「Policy History」フォームは、ユーザーに対して許可または拒否されているリソースについての情報を表示するために使用します。

Oracle Identity Managerでは、ユーザーのタイプは2つあります。

End-User Administrators: このタイプのユーザーは、Design Consoleや、管理およびユーザー・コンソールにアクセスできます。システム管理者は、エンドユーザー管理者がDesign Consoleでフォームのサブセットにアクセスできるように権限を設定します。
End-Users: このタイプのユーザーは、管理およびユーザー・コンソールだけにアクセスでき、一般にはエンドユーザー管理者より少ない権限を持ちます。管理およびユーザー・コンソールを使用してリクエストをプロビジョニングする場合に、「Object Allowed」タブでセルフサービスとして定義されているリソース・オブジェクトだけを使用できます。

図5-2にこのフォームを示します。

図5-2 「Policy History」フォーム

画像の説明

次の表は、「Policy History」フォームのデータ・フィールドについて説明しています。

フィールド名 説明

User ID

ユーザーのOracle Identity ManagerログインID。

First Name

ユーザーの名。

Middle Name

ユーザーのミドル・ネーム。

Last Name

ユーザーの姓。

Email

ユーザーの電子メール・アドレス。

Start Date

ユーザーのアカウントがアクティブになる日付。

Status

ユーザーの現在のステータス（「Active」、「Disabled」、「Deleted」のいずれか）。

Organization

ユーザーが所属する組織。

User Type

ユーザーの分類ステータス。有効なオプションは、「End-User」と「End-User Administrator」です。Design Consoleへのアクセス権があるのは「End-User Administrators」のみです。

Employee Type

親組織でのユーザーの雇用ステータス（たとえば、フルタイム、パート、研修生など）。

Manager ID

ユーザーのマネージャ。

End Date

ユーザーのアカウントが無効になる日付。

Created On

ユーザー・レコードが最初に作成された日付と時刻。

フィールド名	説明
User ID	ユーザーのOracle Identity ManagerログインID。
First Name	ユーザーの名。
Middle Name	ユーザーのミドル・ネーム。
Last Name	ユーザーの姓。
Email	ユーザーの電子メール・アドレス。
Start Date	ユーザーのアカウントがアクティブになる日付。
Status	ユーザーの現在のステータス（「Active」、「Disabled」、「Deleted」のいずれか）。
Organization	ユーザーが所属する組織。
User Type	ユーザーの分類ステータス。有効なオプションは、「End-User」と「End-User Administrator」です。Design Consoleへのアクセス権があるのは「End-User Administrators」のみです。
Employee Type	親組織でのユーザーの雇用ステータス（たとえば、フルタイム、パート、研修生など）。
Manager ID	ユーザーのマネージャ。
End Date	ユーザーのアカウントが無効になる日付。
Created On	ユーザー・レコードが最初に作成された日付と時刻。

「Policy History」タブ

このタブは、次の基準に基づいてユーザーに対して許可または拒否されているリソース・オブジェクトを表示するために使用します。

ユーザーが所属するユーザー・グループのアクセス・ポリシー
ユーザーが属する組織によって許可されているリソース・オブジェクト

「Policy History」タブには「Display Selection」領域が含まれます。このタブの内容を整理するには、次に示すように、この領域の一番上のボックスのメニューから項目を選択します。

Resource Policy Summary: ユーザーの組織および適用されるアクセス・ポリシーに基づいて許可または拒否されているリソース・オブジェクトを表示します。
Not Allowed by Org: ユーザーの組織に基づいて拒否されているリソース・オブジェクトだけを表示します。
Resources by Policy: ユーザーがメンバーであるユーザー・グループのアクセス・ポリシーが含まれる2番目のボックスを表示します。

アクセス・ポリシーに基づいてユーザーに対して許可または拒否されているリソース・オブジェクトを表示するには、このボックスからアクセス・ポリシーを選択します。

トラッキング・システムを使用すると、ユーザーがメンバーである組織と、ユーザーに適用されるアクセス・ポリシーに基づいて、ユーザーが許可または拒否されているリソースを表示できます。

ユーザーに対して許可されているリソース・オブジェクトは、「Resources Allowed」リストに表示されます。このリストは、そのユーザーに対してプロビジョニングできるリソース・オブジェクトを表しています。そのユーザーに対してプロビジョニングされているリソース・オブジェクトを表しているわけではありません。

そのユーザーに対して拒否されているリソース・オブジェクトは、「Resources Not Allowed」リストに表示されます。

このトラッキング・システムを表示するには、次の手順を実行します。

「Policy History」タブに移動します。
このタブにある「Display Selection」領域を確認します。
「Policy History」ボタンをクリックします。

User Policy Profile Historyウィンドウが表示されます。

このウィンドウから、次に示す手順で選択したユーザーおよび日付と時刻について、許可または拒否されているリソースを表示できます。

「History Date」ボックスから、希望の日付を選択できます。
「Display Type」ボックスから、ユーザーがメンバーである組織と、ユーザーに適用されるアクセス・ポリシーの、いずれかまたは両方に基づいて、ユーザーが許可または拒否されているリソースを表示できます。
「Policy」ボックスから、そのユーザーに対してどのリソース・オブジェクトが許可または拒否されるかを決定するアクセス・ポリシーを表示できます。

グループ権限の割当て

「Group Entitlements」フォームは「User Management」フォルダに表示されます。これは、フォームの作成と移動、およびユーザー・グループのメンバーがエクスプローラを使用してアクセスできるフォームおよびフォルダの指定を行うために使用します。

「Group Entitlements」フォームで作業するには、次の手順を実行します。

「Group Entitlements」フォームを開きます。

「User Group Information」ダイアログ・ボックスが表示されます。
「Group Name」フィールドに、ユーザー・グループの名前を入力します。
「Assign」をクリックします。

User Formの「Assignment」参照表が表示されます。
参照表から、このユーザー・グループに対するユーザー・フォームを選択します。

矢印ボタンを使用して、「Assigned Forms」リストに対する追加や削除を行います。
完了したら「OK」をクリックします。

「User Group Information」ダイアログ・ボックスが表示されます。

画像の説明

新しく追加したユーザー・フォームは「Group Entitlement」表に一覧表示されます。「Group Entitlement」表には、選択できるすべてのユーザー・グループが表示されます。この表には、ユーザー・フォームの名前とタイプが表示されます。この例では、javaformとfolderの2つのタイプがあります。javaformは、Javaベースのグラフィカル・インタフェースです。folderには、1つ以上のjavaformが含まれています。

用意されているグループ

Oracle Identity Managerには、4つのデフォルトのユーザー・グループ定義があります。

System Administrators
Operators
All Users
Self Operators

これらのユーザー・グループに関連付けられた権限は変更できます。他のユーザー・グループを作成することもできます。

「System Administrators」ユーザー・グループ

「System Administrators」ユーザー・グループのメンバーは、Oracle Identity Managerでレコード（システム・レコード以外）を作成、編集および削除できる完全な権限を持っています。

「Operators」ユーザー・グループ

「Operators」ユーザー・グループのメンバーは、「Organizational Defaults」フォームや「Policy History」フォームを表示したり、制限された機能をこれらのフォームで実行できます。

「All Users」ユーザー・グループ

「All Users」ユーザー・グループのメンバーの権限は最小ですが、自身のユーザー・レコードにアクセスできるなどの機能があります。デフォルトでは、各ユーザーは自動的に「All Users」ユーザー・グループに所属します。

「All Users」グループからユーザーを削除することはできません。

「Self Operators」グループ

「Self Operators」グループは、デフォルトでOracle Identity Managerに追加されます。このユーザー・グループには、XELSELFREGという1人のユーザーが含まれます。このユーザーは、Oracle Identity Manager管理およびユーザー・コンソールで自動登録操作を行う際、ユーザーが持つ権限の変更を担当します。

重要
「Self Operators」ユーザー・グループに関連付けられている権限の変更や、このグループへのユーザーの割当ては行わないでください。

「Administrative Queues」フォーム

プロビジョニング・リクエストを管理するためのユーザーのグループを割り当てるには、キューと呼ばれるエンティティを使用します。キューは、グループ定義の集合です。キューは、他のキュー内にネストできます。

「Administrative Queues」フォームは、キューの作成と管理のために使用します。キューをリクエストに割り当てるには、「Requests」フォームの「Queues」タブを使用します。

管理キューを使用すると、リクエストの効率と管理性が向上します。管理キューを使用することにより、同じ操作を少ない回数のマウス・クリックで実行できます。リクエストに割り当てたキューは、他のリクエストで再利用できます。

リクエストでは、キュー内の各グループに対して異なった管理権限を指定できます。たとえば、3つのユーザー・グループを持つキューをリクエストに割り当てる場合を考えます。3つのグループのメンバーは、リクエストに対してそれぞれ異なった管理権限を持つことができます。
1番目のユーザー・グループは、リクエストの読取り、変更および削除を許可されています。
2番目のユーザー・グループは読取りと変更だけを許可されており、3番目のユーザー・グループは、リクエストの読取りと削除だけを許可されています。

「Administrative Queues」フォームを図5-3に示します。このフォームは「User Management」フォルダに表示されます。

図5-3 「Administrative Queues」フォーム

画像の説明

次の表は、「Administrative Queues」フォームのフィールドについて説明しています。

フィールド名 説明

Queue Name

管理キューの名前。

Parent Queue

この管理キューが所属するキュー。

Description

管理キューについての説明情報。

フィールド名	説明
Queue Name	管理キューの名前。
Parent Queue	この管理キューが所属するキュー。
Description	管理キューについての説明情報。

管理キューの作成

親キューおよびネストされたキューを作成できます。次の手順は管理キューを作成する方法を説明します。

管理キューを作成するには、次の手順を実行します。

「Administrative Queues」フォームを開きます。
「Queue Name」フィールドに、キューの名前を入力します。
「Parent Queue」参照フィールドをダブルクリックします。

「Lookup」ダイアログ・ボックスから、このキューがメンバーであるキューを選択します。キューが別のキュー（親キュー）に所属しない場合は、次の手順に進んでください。
「Description」フィールドには、キューに関する情報を入力できます。
「Save」をクリックします。

「Administrative Queues」フォームのタブ

「Administrative Queues」キューを起動してキューを作成すると、このフォームのタブが使用可能になります。

「Administrative Queues」フォームには、次のタブが含まれます。

「Members」タブ

「Members」タブは、現在の管理キューに対するユーザー・グループの追加や削除を行うために使用します。「Members」タブを、図5-4に示します。

図5-4 「Administrative Queues」フォームの「Members」タブ

画像の説明

図5-4では、「User Group Permissions for Requests」キューが次のように設定されています。

「SYSTEM ADMINISTRATORS」ユーザー・グループは、リクエストの情報の読取り、変更および削除を行うことができます。
「OPERATORS」ユーザー・グループは、リクエストの情報の読取りと変更ができます。「Delete Access」チェック・ボックスが選択されていないので、このユーザー・グループはリクエストを削除できません。
「Senior Management Staff」ユーザー・グループはリクエストを削除できます。「Write Access」チェック・ボックスが選択されていないので、このユーザー・グループはリクエストの情報を変更できません。

管理キューへのユーザー・グループの割当て

キューにユーザー・グループを割り当てるには、次の手順を実行します。

「Assign」をクリックします。

「Assignment」ダイアログ・ボックスが表示されます。
ユーザー・グループを選択して、管理キューに割り当てます。
「OK」をクリックします。

ユーザー・グループが「Members」タブに表示されます。
ユーザー・グループが管理キューにより割り当てられたリクエストの情報を作成および変更できるようにするには、「Write Access」チェック・ボックスを選択します。

それ以外の場合は手順5に進みます。
ユーザー・グループが管理キューにより割り当てられたリクエストの情報を削除できるようにするには、「Delete Access」チェック・ボックスを選択します。

それ以外の場合は手順6に進みます。
「Save」をクリックします。

ユーザー・グループが管理キューに割り当てられます。

注意
デフォルトで、「Members」タブにリストされたグループは、キューが割り当てられているリクエストの読取り権限を持っています。

管理キューからのユーザー・グループの削除

キューが割り当てられているリクエストの情報をユーザー・グループが読取り、変更または削除できなくなった場合、管理キューからそのユーザー・グループを削除します。

管理キューからユーザー・グループを削除するには、次の手順を実行します。

削除するユーザー・グループを選択します。
「Delete」をクリックします。

ユーザー・グループが管理キューから削除されます。

「Administrators」タブ

このタブは、現在の管理キューを読取り、変更および削除できるユーザー・グループを選択するために使用します。図5-5を参照してください。

図5-5 「Administrative Queues」フォームの「Administrators」タブ

画像の説明

図5-5では、「SYSTEM ADMINISTRATORS」ユーザー・グループに対して、「Write Access」および「Delete Access」チェック・ボックスが選択されています。これにより、ユーザー・グループは「User Group Permissions for Requests」管理キューの読取り、変更および削除を行うことができます。

管理キューへのユーザー・グループの追加

管理キューにユーザー・グループを追加すると、グループのメンバーに管理権限が与えられます。

管理キューにユーザー・グループを追加するには、次の手順を実行します。

「Assign」をクリックします。

「Assignment」ダイアログ・ボックスが表示されます。
ユーザー・グループを選択して、管理キューに割り当てます。
「OK」をクリックします。

ユーザー・グループが「Administrators」タブに表示されます。
関連付けられているユーザー・グループが現在の管理キューの読取りおよび変更を行えるようにするには、「Write Access」チェック・ボックスを選択します。

それ以外の場合は手順5に進みます。
関連付けられているユーザー・グループが現在の管理キューを削除できるようにするには、「Delete」チェック・ボックスを選択します。

それ以外の場合は手順6に進みます。
「Save」をクリックします。

これで、このユーザー・グループは管理キュー内の管理グループになりました。

管理キューからのユーザー・グループの削除

現在の管理キューをユーザー・グループが読取り、変更または削除できなくなった場合、管理キューからそのユーザー・グループを削除します。

管理キューから管理者ユーザー・グループを削除するには、次の手順を実行します。

削除するユーザー・グループを選択します。
「Delete」をクリックします。

管理者ユーザー・グループが管理キューから削除されます。

「Reconciliation Manager」フォーム

このフォームは「User Management」フォルダにあります。このフォームを使用すると、ターゲット・リソースおよび信頼できるソースから受け取ったリコンシリエーション・イベントの情報の表示、分析、修正、リンクおよび管理ができます。指名されたユーザーは、リコンシリエーション・イベントの情報を、手動で分析およびリンクすることができます。分析やリンクを、定義したアクション・ルールに基づいてOracle Identity Managerが自動実行することもできます。そのルールは、イベントが既存のレコードに関連付けられているかどうか、新規アカウントを表しているかどうか、またはイベントの情報のリンクを手動で開始できるかどうかに基づいています。

ユーザーにより定義されるリコンシリエーション・クラスは、ターゲット・リソースおよび信頼できるソースを定期的にポーリングします。これらのシステムに関する変更はすべて、リコンシリエーション・マネージャに書き込まれたリコンシリエーション・イベントを生成します。Oracle Identity Managerは、関連するプロビジョニング・プロセスで定義されたマッピングに従ってイベント情報を分析します。

図5-6に「Reconciliation Manager」フォームを示します。

図5-6 「Reconciliation Manager」フォーム

画像の説明

注意
Design Consoleの「Task Scheduler」フォームを使用すると、スケジュールを定義し、リコンシリエーション・クラスの実行頻度を管理するタイミング・パラメータを設定したり、サード・パーティのスケジューリング・ツールを使用してポーリング頻度を設定できます。

「Reconciliation Manager」フォームの機能は次のとおりです。

イベントの情報が既存のユーザーまたは組織のレコードに関連付けられている場合、このフォームを使用して、イベントのデータを手動でレコードにリンクすることができます。

自動的にユーザーまたは組織に関連付けられた情報の場合は、それを確認できます。
イベントが、信頼できるソース上での新規従業員の作成（ユーザー検出）、または既存の従業員に対する新規リソースのプロビジョニング（アカウント検出）である場合、このフォームを使用して、新しいデータでOracle Identity Managerを手動で更新できます。

自動的にユーザーに関連付けられた情報の場合は、それを確認できます。信頼できるソースの場合、イベントのデータは新規ユーザー・アカウントを作成するために使用されます。ターゲット・リソースの場合、イベントのデータは、関連するリソース固有のプロセス・フォームにデータを移入するために使用されます。
イベントが、信頼できるソース上での新規組織の作成（組織検出）、または既存の組織に対する新規リソースのプロビジョニング（アカウント検出）である場合、このフォームを使用して、新しいデータでOracle Identity Managerを手動で更新できます。

自動的に組織に関連付けられた情報の場合は、このフォームを使用して確認できます。
イベントが、ターゲット・システムまたは信頼できるソース上のアカウントの削除である場合、このフォームを使用して、Oracle Identity Managerに特定のアカウントの削除や、自動的に削除されたアカウントの確認を指示できます。

信頼できるソースの場合、ユーザーのOracle Identity Managerアカウントが削除され、ターゲット・リソースでそのユーザーに対するプロビジョニングの際に使用されたすべてのアカウントが失効します。

ターゲット・リソースの場合、Oracle Identity Managerは、そのシステム上のユーザー・アカウントが失効したことを認識します。

「Reconciliation Manager」フォームの上部には次の項目が含まれます。

フィールド名	説明
Event ID	リコンシリエーション・イベントの数値ID。
Delete Event （「Yes」/「No」フラグ）	このフィールドは表示専用で、これが削除イベント、つまり対応するレコードがターゲット・リソースまたは信頼されたソースから削除されているかどうかを示します。値が「Yes」なら削除イベントです。このイベントがターゲット・リソース上のユーザー・アカウントに関連付けられている場合、アカウントには失効済のマークが付けられます。イベントがユーザー・アカウントに関連付けられると、アカウントは削除されます。注意: このフィールドはOracle Identity Managerにより設定されます。
Object Name	このリコンシリエーション・イベントに関連付けられているターゲット・リソースまたは信頼できるソース。信頼できるソースの場合、これはユーザーです。
For User/For Organization	リソース・オブジェクトのイベントがユーザーのレコードに関連付けられているか、組織のレコードに関連付けられているかを示します。
Status	リコンシリエーション・イベントの現在のステータス。 Event Received: ターゲット・リソースまたは信頼できるソースから変更を受け取ったこと、たとえばCreateReconciliationEventメソッドがコールされたことを示します。イベントは、ターゲット・リソースまたは信頼できるソースから実際のデータをまだ受け取っていません。 Data Received: ターゲット・リソースまたは信頼できるソースから情報を受け取ったデータ。 Users Matched: イベントは、リコンシリエーション・ユーザー一致ルールに基づいて、1つ以上のユーザー・レコードに一致します。 Organizations Matched: イベントは、リコンシリエーション組織一致ルールに基づいて、1つ以上の組織レコードに一致します。 Processes Matched: イベントは、1つ以上のプロビジョニング・プロセスに一致します。たとえば、イベントにあるキー・フィールドのすべての値が、プロセスのフォームにあるそれらのフィールドの値に一致します。 No Match Found: プロビジョニング・プロセス・フォームのキー・フィールドの値も、いずれのユーザーまたは組織の一致ルールも、イベントに一致しません。イベントはユーザーまたは組織のレコードに関連付けられていません。 Rules Reapplied: 「Reapply Matching Rules」ボタンがクリックされ（前回の一致は削除された可能性があります）、このリソースに関連付けられているすべての最新版の一致ルールのロジックが適用されました。 Event Linked: イベントが、特定のユーザーまたは組織レコードに一致し、リンクされました。 Event Closed: ユーザーが「Close Event」ボタンをクリックして手動でイベントを閉じました。イベントのデータはOracle Identity Managerのレコードにリンクされていません。一度閉じたリコンシリエーション・イベントを再び開くことはできません。 Required Data Missing: 1つ以上の必須データ要素がありません。リソース定義上のいずれかの必須フィールドのデータがイベントで使用できない場合にこのメッセージが表示されます。
Event Date	このイベントを受け取った日付と時刻。
Assigned to User	このイベントが割り当てられているユーザー。
Assigned to Group	このイベントが割り当てられているユーザー・グループ。
Linked To（領域）	フォームのこのセクションのフィールドについて、次に説明します。
User Login	イベントがリンクされているユーザー・レコードのOracle Identity Manager ID。
Organization Name	イベントがリンクされている組織レコードのOracle Identity Manager ID。信頼できるソースを持つ組織検出を実行する場合、ユーザー検出の前に実行することをお薦めします。Oracle Identity Managerのすべてのユーザー・レコードは、組織レコードに関連付けられている必要があります。
Process Instance Key	イベントにリンクされたプロビジョニング・プロセスの数値インスタンス。
Process Descriptive Data	「Process Definition」フォームの「Map Descriptive Field」ポップアップ・ウィンドウで定義されているプロビジョニング・プロセスの、インスタンス固有の記述データ。
Close Event	このボタンにより、リコンシリエーション・イベントが閉じます。イベントが終了している場合、それ以上の一致試行やリンクが行われることはありません。
Re-apply Matching Rules	このボタンにより、リコンシリエーション一致ルールが再適用されます。これには、プロセス・データと、リソース・オブジェクトが関連付けられているユーザー一致ルールまたは組織一致ルールの両方が含まれます。Oracle Identity Managerが十分な一致を生成していない場合、リソースのリコンシリエーション一致ルールを修正して再適用するか、プロビジョニング・プロセスのマッピングを修正できます。これらのルールを編集した後で再適用すると、異なるレコードが「Processes Matched」、「Matched Users」または「Matched Organizations」タブに表示されることがあります。リコンシリエーション・ルールは、プロビジョニング・プロセスの一致が生成されない場合にのみターゲット・リソースのリコンシリエーション・イベントに適用されます。これは、プロセス一致の方が質が高く、正確であると考えられるためです。
Create Organization （信頼できるソースに関連するイベントでのみ使用可能）	このボタンは、Oracle Identity Managerでリコンシリエーション・イベントの情報に基づいて組織レコードを作成する際に使用します。このボタンは、リコンシリエーション・イベントが信頼できるソースでの新規組織の作成であることが確実なときにのみクリックします。
Create User （信頼できるソースに関連するイベントでのみ使用可能）	このボタンは、Oracle Identity Managerでリコンシリエーション・イベントの情報に基づいてユーザー・レコードを作成する際に使用します。このボタンは、リコンシリエーション・イベントが信頼できるソースでの新規ユーザーの作成であることが確実なときにのみクリックします。

リコンシリエーション・イベントの表示と管理

次の手順は、リコンシリエーション・イベントを表示および管理する方法です。

注意
リコンシリエーション・アクション・ルールの定義によって、信頼できるソースでの一致が1つのみの場合、または一致がない場合に、Oracle Identity Managerはリコンシリエーション・イベントのデータをユーザー・レコードまたは組織レコードに自動的にリンクすることができます。

リコンシリエーション・イベントを表示および管理するには、次の手順を実行します。

「Reconciliation Manager」フォームにアクセスします。
問合せ機能を使用して、目的のリコンシリエーション・イベントの位置を確認します。

「Object Name」フィールドに関連付けられているリソースや、「Status」フィールドのステータスを基準にして、リコンシリエーション・イベントを問い合せることもできます。

問合せ対象が削除済イベントの場合、つまり、対応するレコードがターゲット・リソースまたは信頼できるソースから削除されている場合、「Delete Event」フラグに対して「Yes」オプションが選択されています。それ以外の場合は「No」オプションが選択されています。

目的のリコンシリエーション・イベントの位置を確認したら、このフォームのタブを使用して、次の操作を行うことができます。

未処理データの修正
一致するプロビジョニング・プロセス・フォーム・インスタンス、またはユーザー・レコードや組織レコードの候補の参照やリンク
イベントの監査履歴の表示

各タブの情報については、「Reconciliation Manager」フォームのタブに関する項で説明します。Oracle Identity Managerが生成した一致を評価する際は、次のことができます。

特定のプロビジョニング・プロセス、ユーザーまたは組織へのリコンシリエーション・イベントのリンク: このとき、イベントは既存のユーザー・レコードまたは組織レコードに関連付けられていると想定されています。

この操作を実行するには、該当するタブの「Link」ボタンをクリックします。または、検出された一致が1つだけの場合にOracle Identity Managerが自動的にデータをリンクするようにルールを定義している場合もあります。
信頼されたソースとのユーザー・ベースのリコンシリエーションの場合: イベントが、信頼できるソースでの新規ユーザーの作成であれば、Oracle Identity Managerで新規ユーザーを作成します。

この操作を実行するには、「Create User」ボタンをクリックします。または、一致が検出されなかった場合に、Oracle Identity Managerが自動的にユーザーを作成するようにアクション・ルールを定義している場合もあります。
信頼されたソースとの組織ベースのリコンシリエーションの場合: イベントが、信頼できるソースでの新規組織の作成であれば、Oracle Identity Managerで新規組織を作成します。

この操作を実行するには、「Create Organization」ボタンをクリックします。または、一致が検出されなかった場合に、Oracle Identity Managerが自動的に組織を作成するようにアクション・ルールを定義している場合もあります。

リコンシリエーション・ルールの精度を上げる: このリソースに関連付けられたルールです。その後、より正確な一致を生成するためにルールを再適用します。

この操作を実行するには、適用できるリコンシリエーション・ルールの精度を上げ、保存してから、「Re-apply Matching Rules」ボタンをクリックします。

注意
リコンシリエーション・ルールの精度を上げて再適用するか、作成を選択するか、ユーザー、プロビジョニング・プロセスまたは組織をリンクすると、これらのアクションは「Reconciliation Event History」タブに記録されます。リコンシリエーション・イベントで実行されたアクションのログを表示するには、「Reconciliation Event History」タブをクリックします。

「Reconciliation Manager」フォームのタブ

調べるリコンシリエーション・イベントが見つかったら、タブを使用して次の操作を実行できます。

イベントでの処理済または未処理のデータの表示
一致するプロビジョニング・プロセス、ユーザーまたは生成された組織の表示
適切なレコードへのイベントのリンク、または新規ユーザーの作成

「Reconciliation Data」タブ

このタブのデータは、「Processed Data」と「Unprocessed Data」の2つのブランチのいずれかの下に表示されます。

Processed Data

「Processed Data」ブランチのフィールドは、関連付けられているリソースの「Reconciliation Fields」タブ上で定義されます。リコンシリエーション・イベントで、これらのフィールドは正常に処理されています。たとえば、データ型要件に違反していません。正常に処理された各フィールドには、次の内容が表示されます。

「Reconciliation Fields」タブで定義されている、関連付けられたリソースのフィールド名（たとえば、field1）。
調整されたフィールドに関連付けられているデータ型（たとえば、string）。可能な値は、Multi-Valued、String、Number、Date、IT resourceです。
リコンシリエーション・イベントで受け取ったフィールドの値（たとえば、Newark）。これはターゲット・リソースまたは信頼できるソース上で変更され、リコンシリエーション・イベントで開始されたいくつかの値の1つであることがあります。

処理済データ・フィールドは、たとえば次のように表示されます。

Location [String] = Newark

注意
データ型がMulti-Valueのフィールドの場合（信頼できるソースでなく、ターゲット・リソースでのみ可能）、値を持ちません。ただし、コンポーネント・フィールド（サブブランチに含まれる）に、それぞれ独自の値を持ちます。

Unprocessed Data

「Unprocessed Data」ブランチにリストされたフィールドは、処理できなかったリコンシリエーション・イベント項目です。これらはたとえば、定義されていない項目や、関連付けられているリソースの「Reconciliation Fields」タブで設定されているデータ型と矛盾する項目などです。各未処理フィールドについて、次の情報が表示されます。

フィールドの名前、たとえば、user_securityid。
リコンシリエーション・イベントで受け取ったフィールドの値（たとえば、capital）。これはターゲット・リソースまたは信頼できるソース上で変更され、リコンシリエーション・イベントで開始されたいくつかの値の1つであることがあります。

ターゲット・システムから受け取ったデータを自動処理できなかった理由（たとえば、<Not Numeric>）。次の理由コードの1つが、未処理フィールドの横に表示されます。

エラー・コード 発生の理由

NOT MULTI-VALUED ATTRIBUTE

フィールド値が複数値属性です。それ自身が複数値であるフィールドではなく、複数値属性のコンポーネント・フィールドだけが値を受け取れます。

NOT NUMERIC

数値フィールドの値が数値ではありません。

DATE PARSE FAILED

日付フィールドの値を有効な日付として認識できません。

SERVER NOT FOUND

タイプIT Resourceのフィールドの値が、既存のITリソース・インスタンスの名前として認識されませんでした。

FIELD NOT FOUND

イベントのフィールドの名前がリソースで定義されていません。

PARENT DATA LINK MISSING

親データ・フィールド（データ型はMulti-Value）がリコンシリエーション・フィールドに関連付けられていません。そのため、このコンポーネント・フィールドを子リコンシリエーション・フィールドにリンクできませんでした。

FIELD LINKAGE MISSING

対応するリコンシリエーション・フィールドが、関連付けられているリソースの「Reconciliation Fields」タブで定義されていません。

ATTRIBUTE LINKAGE MISSING

データ型がMulti-Valueのフィールドにのみ適用されます。複数値フィールドのコンポーネント（子）フィールドの中に、データがリコンシリエーション・フィールドにリンクされていないものがあります。

TABLE ATTRIBUTE LINKAGE MISSING

データ型がMulti-Valueのフィールドにのみ適用されます。データ型がMulti-Valued Attributeであるコンポーネント（子）フィールドの中に、データ型がMulti-Valued Attributeであるリコンシリエーション・フィールドにリンクされていないものがあります。

未処理フィールドがリソース・フィールドに正常にマップされている場合は、このイベント・フィールドがマップされているリソース・フィールドの名前。

エラー・コード	発生の理由
NOT MULTI-VALUED ATTRIBUTE	フィールド値が複数値属性です。それ自身が複数値であるフィールドではなく、複数値属性のコンポーネント・フィールドだけが値を受け取れます。
NOT NUMERIC	数値フィールドの値が数値ではありません。
DATE PARSE FAILED	日付フィールドの値を有効な日付として認識できません。
SERVER NOT FOUND	タイプIT Resourceのフィールドの値が、既存のITリソース・インスタンスの名前として認識されませんでした。
FIELD NOT FOUND	イベントのフィールドの名前がリソースで定義されていません。
PARENT DATA LINK MISSING	親データ・フィールド（データ型はMulti-Value）がリコンシリエーション・フィールドに関連付けられていません。そのため、このコンポーネント・フィールドを子リコンシリエーション・フィールドにリンクできませんでした。
FIELD LINKAGE MISSING	対応するリコンシリエーション・フィールドが、関連付けられているリソースの「Reconciliation Fields」タブで定義されていません。
ATTRIBUTE LINKAGE MISSING	データ型がMulti-Valueのフィールドにのみ適用されます。複数値フィールドのコンポーネント（子）フィールドの中に、データがリコンシリエーション・フィールドにリンクされていないものがあります。
TABLE ATTRIBUTE LINKAGE MISSING	データ型がMulti-Valueのフィールドにのみ適用されます。データ型がMulti-Valued Attributeであるコンポーネント（子）フィールドの中に、データ型がMulti-Valued Attributeであるリコンシリエーション・フィールドにリンクされていないものがあります。

未処理データ・フィールドは、たとえば次のように表示されます。

user_securityid = capital <Not Numeric>

注意
Oracle Identity Managerは、関連付けられているリソースの「Reconciliation Fields」タブで必須フィールドと設定されているすべてのフィールドが正常に処理されるまで、ターゲット・リソースのプロセス、または信頼できるソースのユーザーや組織の一致を試みません。

未処理フィールドのマッピングまたは修正

リコンシリエーション・イベントの未処理フィールドを修正したり、該当するリソースで定義されるとおりに、関連フィールドにマップするには、次の手順を使用します。

未処理フィールドをマップまたは修正するには、次の手順を実行します。

未処理フィールドをダブルクリックします。

複数値フィールドの場合、適切な子プロセス・フォームにマップするか、個別のコンポーネント・フィールドをチェックする必要があることがあります。

複数値フィールドの場合、コンポーネント・フィールドをダブルクリックして修正します。

「Edit Reconciliation Field Data」ダイアログ・ボックスが表示されます。

注意
未処理の複数値コンポーネント・フィールドを、関連付けられているリソースの「Reconciliation Fields」タブで定義されている複数値フィールドのいずれかにマップするには、「Linked to」フィールドをダブルクリックし、目的のフィールドを選択して、「OK」をクリックします。続いて「Save」をクリックして「Edit Reconciliation Field Data」ダイアログ・ボックスを閉じます。

未処理フィールドを、関連付けられているリソースの「Reconciliation Fields」タブで定義されているフィールドのいずれかにマップするには、「Linked to」フィールドをダブルクリックし、目的のフィールドを選択して「OK」をクリックします。続いて「Save」をクリックして「Edit Reconciliation Field Data」ダイアログ・ボックスを閉じます。

未処理フィールドの値を修正するには、正しい値を「Corrected Value」フィールドに入力し、「Save」をクリックして、「Edit Reconciliation Field Data」ダイアログ・ボックスを閉じます。

フィールドのデータが正常に処理されると、「Unprocessed Data」ブランチのエントリはリンク先のフィールドを反映して更新されます。そのフィールドの新しいエントリが、「Processed Data」ブランチに追加されます。

リコンシリエーション・イベントの必須データ要素（該当するリソース定義の「Object Reconciliation」タブ）に「Reconciliation Data」タブで処理済のマークが付けられると、Oracle Identity Managerには次のように表示されます。

信頼できるソースの場合

該当するユーザーまたは組織に一致する、リソースに関連付けられているリコンシリエーション・ルールのロジックで指定されているリコンシリエーション・イベントの関連データに一致するすべてのユーザー・レコードまたは組織レコード。これらの候補は、ソース所有者の可能性のあるユーザーがユーザー一致ルールの適用に基づいてOracle Identity Managerに検出された（ユーザー更新）、信頼できるソース上のアカウントを表します。一致するユーザーが検出されなかった場合、リコンシリエーション・イベントは、信頼できるソースでの新規ユーザー・アカウントの作成（つまりユーザー作成）を表します。
ターゲット・リソースの場合

すべてのキー・フィールドの値（該当するプロセス定義の「Reconciliation Field Mappings」タブで設定された値）がリコンシリエーション・イベントのすべてのキー・フィールドの値に一致するような、すべてのプロビジョニング・プロセス・フォーム・インスタンス。これは、一致している可能性があるアカウントがOracle Identity Managerに検出された（アカウント更新）ターゲット・システムのアカウントを表します。

これらの値に一致するプロセス・インスタンスがない場合、Oracle Identity Managerは該当するユーザーまたは組織に一致するリコンシリエーション・ルールを評価し、リコンシリエーション・イベントのデータと一致するユーザーまたは組織を表示します。これらの一致は、一致するアカウント・レコードが、リコンシリエーション・エンジンによりOracle Identity Managerに検出されなかったターゲット・システム上のアカウントを表しています。つまり、Oracle Identity Managerは、ユーザーに対してそのシステムのアカウントがプロビジョニングされていることを認識していないが、そのアカウントの所有者になる可能性のあるユーザーを検出しました（アカウント作成）。複数の一致候補が検出された場合は通常、レコードの調査と、Oracle Identity Managerアカウントのリンク先の決定を管理者に依頼します。一致が検出されない場合、信頼できるソースとターゲット・アプリケーションのデータに不一致があることがあります。このイベントは、ターゲット・システムのローグ・アカウントを示しているか、既存の従業員に対してターゲット・システム上で新規アカウントがプロビジョニングされたことを示している可能性があります。ただし、Oracle Identity Managerはそのアカウントがどのユーザーに関連付けられているか判断できません。

プロセス一致ツリー（ターゲット・リソースのみ）

関連付けられているリソースの「Reconciliation Fields」タブで定義されているすべての必須フィールドの処理が完了すると、タブには、すべてのキー・フィールドの値がリコンシリエーション・イベントのすべてのキー・フィールドの値に一致するような、すべてのプロビジョニング・プロセス・フォーム・インスタンスが表示されます。

注意
これが発生するのは、ターゲット・リソースに関連付けられているリコンシリエーション・イベントのみです。信頼できるソースはユーザー・リソースまたは組織およびそのプロビジョニング・プロセスに関連付けられているため、カスタムのプロセス・フォームを持つことはできません。結果として、このタブにデータを移入するために必要な一致を所有することができません。信頼できるソースの場合、すべての必須フィールドが処理された後、Oracle Identity Managerはすぐにユーザーまたは組織の一致ルールの評価に進みます。

一致したプロビジョニング・プロセスには、次の内容が表示されます。

リコンシリエーション・イベントのキー・フィールドの値に一致しているプロセス・フォーム・インスタンスに関連付けられているプロビジョニング・プロセスの名前（たとえば、windows2000_prov）。
個別のプロセス・インスタンスの数値ID（たとえば、445）。
このプロセス・インスタンスに関連付けられているユーザーID（たとえば、jdoe）または組織名（たとえば、Finance）。これは、プロビジョニング・プロセスのそのインスタンスによってリソースにプロビジョニングされたユーザーです。

一致したプロビジョニング・プロセスは、たとえば次のように表示されます。

Windows2000_prov [445] for User=jdoe

このタブにリストされるプロビジョニング・プロセスがない場合、リコンシリエーション・イベントのキー・フィールドの値を、そのリソースに関連付けられたプロセス・フォーム・インスタンスのフィールドの値に一致させることができなかったことを意味します。この場合、Oracle Identity Managerは、リソースに対して定義されている、いずれかのユーザーまたは組織の一致ルールを適用するよう試みます。一致が検出されると、「Matched Users or Matched Organizations」タブに表示されます。

プロビジョニング・プロセス・インスタンスのリコンシリエーション・イベントへのリンク

プロビジョニング・プロセス・インスタンスをリコンシリエーション・イベントにリンクするには、次の手順を実行します。

リコンシリエーション・イベントにリンクするプロビジョニング・プロセス・インスタンスを決定したら、それを選択して、「Establish Link」をクリックします。
Oracle Identity Managerにより、関連するプロビジョニング・プロセスで定義されたマッピングに従ってリコンシリエーション・イベントの情報が含まれている、関連のプロセス・フォーム・インスタンスが更新されます。

また、そのプロセスの「Reconciliation Update Received」タスクも挿入されます。

「Matched Users」タブ

このタブには、リソースのリコンシリエーション・ルールの基準で指定されたとおりに、リコンシリエーション・イベントの関連データに一致するユーザー・レコードが表示されます。

信頼できるソースの場合、Oracle Identity Managerはこれらのルールを評価し、すべての必須フィールド（関連付けられているリソースの「Reconciliation Fields」タブで定義）の処理が完了すると、一致しているユーザー・レコードをすべて表示します。

ターゲット・リソースの場合、Oracle Identity Managerはルールを評価し、すべての必須フィールド（関連付けられているリソースの「Reconciliation Fields」タブで定義）が処理され、一致が「Processes Matched Tree」タブに生成されなかった場合にかぎり、一致しているユーザー・レコードをすべて表示します。

一致している各レコードについては、Design ConsoleはユーザーID、名および姓を表示します。

注意
一致するレコードが「Processes Matched Tree」タブにある場合、「Matched Users」タブにはレコードが表示されません。プロセス一致は質が高く、正確である可能性が高いものとみなされます。

ユーザー・レコードのリコンシリエーション・イベントへのリンク

次の手順は、リコンシリエーション・イベントにユーザー・レコードをリンクする方法を説明しています。

注意
次の手順では、レコードが存在するものと想定しています。信頼できるソースでは、リコンシリエーション・イベントが信頼できるソースでの新規ユーザーの作成であると判断した場合に、「Create User」ボタンをクリックします。これにより、リコンシリエーション・イベントの情報を使用して新規ユーザー・レコードが作成されます。

リコンシリエーション・イベントにユーザー・レコードをリンクするには、次の手順を実行します。

リコンシリエーション・イベントにリンクするユーザーを決定し、選択して、「Link」をクリックします。
「Link」をクリックして、リコンシリエーション・イベントの対象がターゲット・リソースである場合、Oracle Identity Managerは次の操作を実行します。
- 選択されたユーザーに対応するリソースのプロビジョニング・プロセスのインスタンスを作成し、プロセスのタスクに関連付けられているすべてのアダプタを非表示にし、プロセスを自動的に完了し、「Reconciliation Insert Received」タスクを挿入します。
- プロビジョニング・プロセスで定義されたマッピングに従って、リコンシリエーション・イベントのデータを使用して、リソースのプロセス・フォームのインスタンスを作成します。
「Link」をクリックして、リコンシリエーション・イベントの対象が信頼できるソースである場合、Oracle Identity Managerは次の操作を実行します。
- ユーザー・プロビジョニング・プロセスで定義されたマッピングに従って、リコンシリエーション・イベントのデータを使用してユーザー・レコードを更新します。
- リコンシリエーション・イベントのリンク先のユーザー・レコードに対するユーザー・プロビジョニング・プロセスのインスタンスに「Reconciliation Insert Received」タスクを挿入します。

Matched Organizations

このタブには、リソースのリコンシリエーション・ルールで指定されたとおりに、リコンシリエーション・イベントのデータに一致するOracle Identity Manager組織レコードが表示されます。

信頼できるソースの場合、Oracle Identity Managerはこれらのルールを評価し、すべての必須フィールド（関連付けられているリソースの「Reconciliation Fields」タブで定義）の処理が完了すると、一致している組織レコードをすべて表示します。

ターゲット・リソースの場合、Oracle Identity Managerはルールを評価し、すべての必須フィールド（関連付けられているリソースの「Reconciliation Fields」タブで定義）が処理され、一致が「Processes Matched Tree」タブに生成されなかった場合にかぎり、一致している組織レコードをすべて表示します。

一致している各レコードについては、Oracle Identity ManagerはユーザーID、名および姓を表示します。

注意
一致しているレコードが「Processes Matched Tree」タブにある場合、プロセス一致の方が質が高く、正確であると考えられるため、「Matched Organizations」タブに表示されるレコードはありません。

組織レコードのリコンシリエーション・イベントへのリンク

次の手順は、リコンシリエーション・イベントに組織レコードをリンクする方法を説明しています。

注意
次の手順では、レコードがあらかじめ存在するものと想定しています。次の手順で、信頼できるソースでは、リコンシリエーション・イベントが信頼できるソースでの新規組織の作成であると判断した場合に、「Create Organization」ボタンをクリックします。これにより、リコンシリエーション・イベントの情報を使用して新規組織レコードが作成されます。

リコンシリエーション・イベントに組織レコードをリンクするには、次の手順を実行します。

リコンシリエーション・イベントにリンクする組織を決定したら、選択して、「Link」をクリックします。
リコンシリエーション・イベントの対象がターゲット・リソースである場合、Oracle Identity Managerは次の操作を実行します。
- 選択された組織に対応するリソースのプロビジョニング・プロセスのインスタンスを作成し、プロセスのタスクに関連付けられているすべてのアダプタを非表示にし、プロセスを自動的に完了し、「Reconciliation Insert Received」タスクを挿入します。
- プロビジョニング・プロセスで定義されたマッピングに従って、リコンシリエーション・イベントのデータを使用して、リソースのプロセス・フォームのインスタンスを作成します。
リコンシリエーション・イベントの対象が信頼できるソースである場合、Oracle Identity Managerは次の操作を実行します。
- Oracle Identity Managerの組織プロビジョニング・プロセスで定義されたマッピングに従って、リコンシリエーション・イベントのデータを使用して組織レコードを更新します。
- リコンシリエーション・イベントのリンク先の組織レコードに対するOracle Identity Manager組織プロビジョニング・プロセスの既存のインスタンスに「Reconciliation Insert Received」タスクを挿入します。

Reconciliation Event History

このタブには、このリコンシリエーション・イベントで実行されたアクションの履歴が表示されます。各アクションについて、アクションが実行された日付と時刻がリストされます。Oracle Identity Managerにより、次のリコンシリエーション・イベント・アクションが追跡および記録されます。

Event Received: このアクションは、Oracle Identity Managerがリコンシリエーション・イベントを受け取ったときに記録されます。
Data Sorted: リコンシリエーション・イベントのデータが、処理フィールドおよび未処理フィールドにソートされたときにアクションが記録されます。
Rules Reapplied: ユーザーが「Re-apply Matching Rules」ボタンをクリックしたときにアクションが記録されます。
Processes Matched: 1つ以上のプロセスフォーム・インスタンスおよび関連付けられているプロビジョニング・プロセスが、リコンシリエーション・イベントのキー・フィールドの値に一致したときにアクションが記録されます。
Users Matched: 1件以上のユーザー・レコードが、ユーザーに一致するリコンシリエーション・ルールを使用してリコンシリエーション・イベントのデータに一致させられたときにアクションが記録されます。
Organization Matched: 1件以上のOracle Identity Manager組織レコードが、組織に一致するリコンシリエーション・ルールを使用してリコンシリエーション・イベントのデータに一致させられたときにアクションが記録されます。
Linked to User: リコンシリエーション・イベントのデータが特定のユーザーにリンクされたときにアクションが記録されます。
Linked to Organization: リコンシリエーション・イベントのデータが特定の組織にリンクされたときにアクションが記録されます。