4 ユーザー管理

この章では、Design Consoleのユーザー管理について説明します。内容は次のとおりです。

ユーザー管理の概要

「User Management」フォルダには、会社の組織、ユーザー、ユーザー・グループ、リクエスト、フォーム・テンプレート、場所、プロセス・タスクおよびリコンシリエーション・イベントについての情報をシステム管理者が作成、管理するためのツールがあります。

このフォルダには次のフォームがあります。

Organizational Defaults: このフォームは、組織の内部構造を反映するレコードを表示したり、これらのエンティティに関連する情報を指定するために使用します。
Policy History: このフォームは、従業員が必要とするユーザー・レコードを表示するために使用します。
Group Entitlements: このフォームは、共通機能の割当てができるユーザー・グループのレコードを表示するために使用します。
Administrative Queues: このフォームは、他のDesign Consoleフォームのユーザー・グループ用にまとめて割当て権限を作成、管理するために使用します。
Reconciliation Manager: このフォームは、Oracle Identity Managerでリコンシリエーション・イベントを管理するために使用します。

「Organizational Defaults」フォーム

「Organizational Defaults」フォームは「User Management」フォルダにあります。このフォームは、組織の構成を反映するレコードを表示したり、組織のエンティティに関連する情報を入力および変更するために使用します。組織のレコードには、会社、部門または支店などの組織単位についての情報が含まれます。

サブ組織は、別の組織のメンバーである組織、たとえば、会社の部門などです。サブ組織が属する組織は親組織と呼ばれます。

「Organizational Defaults」タブは、現在の組織に対してプロビジョニングできるリソースの、カスタムのプロセス・フォームのデフォルトのパラメータ値を指定するために使用します。各プロセス・フォームは、その組織に対して許可されているリソース・オブジェクト、または関連する「Resource Objects」フォームの「Allow All」オプションが選択されているリソースに関連付けられています。

「Organizational Defaults」タブに入力した値は、組織のすべてのユーザーのデフォルト値になります。パスワードおよび暗号化されたパラメータにはデフォルト値を指定しないことをお薦めします。

図4-1に「Organizational Defaults」フォームを示します。

図4-1 「Organizational Defaults」フォーム

画像の説明

表4-1に、「Organizational Defaults」フォームのフィールドの説明を示します。

表4-1 「Organizational Defaults」フォームのフィールド

フィールド名	説明
Organization Name	組織の名前。
Type	組織の分類タイプ（「Company」、「Department」、「Branch」など）。
Status	組織の現在のステータス（Active、Disabled、Deletedのいずれか）。
Parent Organization	この組織が所属する組織。親組織がこのフィールドに表示される場合、この組織は、親組織の「Sub Organizations」タブに表示されます。このフィールドが空の場合、この組織は最上位の組織です。

「Policy History」フォーム

「Policy History」フォームは、ユーザーに対して許可または拒否されているリソースについての情報を表示するために使用します。

Oracle Identity Managerでは、ユーザーのタイプは2つあります。

End-user administrators: このユーザーは、Design Consoleや、管理およびユーザー・コンソールにアクセスできます。システム管理者は、エンドユーザー管理者がDesign Consoleでフォームのサブセットにアクセスできるように権限を設定します。
End-users: このユーザーは、管理およびユーザー・コンソールのみにアクセスでき、一般にはエンドユーザー管理者より少ない権限を持ちます。管理およびユーザー・コンソールを使用してリクエストをプロビジョニングする場合に、ユーザーの組織の「Object Allowed」タブでセルフサービスとして定義されているリソース・オブジェクトのみを使用できます。

図4-2に、このフォームを示します。

図4-2 「Policy History」フォーム

画像の説明

表4-2に、「Policy History」フォームのフィールドの説明を示します。

表4-2 「Policy History」フォームのフィールド

フィールド名	説明
User ID	ユーザーのOracle Identity ManagerログインID。
First Name	ユーザーの名。
Middle Name	ユーザーのミドル・ネーム。
Last Name	ユーザーの姓。
Email Address	ユーザーの電子メール・アドレス。
Start Date	ユーザーのアカウントがアクティブになる日付。
Status	ユーザーの現在のステータス（Active、Disabled、Deletedのいずれか）。
Organization	ユーザーが所属する組織。
User Type	ユーザーの分類ステータス。有効なオプションは、「End-User」と「End-User Administrator」です。Design Consoleへのアクセス権があるのは「End-User Administrators」のみです。
Employee Type	親組織でのユーザーの雇用ステータス（たとえば、フルタイム、パート、研修生など）。
Manager ID	ユーザーのマネージャ。
End Date	ユーザーのアカウントが無効になる日付。
Created On	ユーザー・レコードが最初に作成された日付と時刻。

「Policy History」タブ

このタブは、次の基準に基づいてユーザーに対して許可または拒否されているリソース・オブジェクトを表示するために使用します。

ユーザーが所属するユーザー・グループのアクセス・ポリシー
ユーザーが所属する組織によって許可されているリソース・オブジェクト

「Policy History」タブには「Display Selection」領域が含まれます。このタブの内容を整理するには、次に示すように、この領域の一番上のボックスのメニューから項目を選択します。

Resource Policy Summary: ユーザーの組織および適用されるアクセス・ポリシーに基づいて許可または拒否されているリソース・オブジェクトを表示します。
Not Allowed by Org: ユーザーの組織に基づいて拒否されているリソース・オブジェクトのみを表示します。
Resources by Policy: ユーザーがメンバーであるユーザー・グループのアクセス・ポリシーが含まれる2番目のボックスを表示します。

アクセス・ポリシーに基づいてユーザーに対して許可または拒否されているリソース・オブジェクトを表示するには、このボックスからアクセス・ポリシーを選択します。

トラッキング・システムを使用すると、ユーザーがメンバーである組織と、ユーザーに適用されるアクセス・ポリシーに基づいて、ユーザーが許可または拒否されているリソースを表示できます。

ユーザーに対して許可されているリソース・オブジェクトは、「Resources Allowed」リストに表示されます。このリストは、そのユーザーに対してプロビジョニングできるリソース・オブジェクトを表しています。そのユーザーに対してプロビジョニングされているリソース・オブジェクトを表しているわけではありません。

そのユーザーに対して拒否されているリソース・オブジェクトは、「Resources Not Allowed」リストに表示されます。

トラッキング・システムを表示するには、次の手順を実行します。

「Policy History」タブに移動します。
このタブにある「Display Selection」領域を確認します。
「Policy History」をクリックします。

User Policy Profile Historyウィンドウから、次に示す手順で選択したユーザーおよび日付と時刻について、許可または拒否されているリソースを表示できます。

「History Date」ボックスで日付を選択できます。
「Display Type」ボックスから、ユーザーがメンバーである組織と、ユーザーに適用されるアクセス・ポリシーの、いずれかまたは両方に基づいて、ユーザーが許可または拒否されているリソースを表示できます。
「Policy」ボックスから、そのユーザーに対してどのリソース・オブジェクトが許可または拒否されるかを決定するアクセス・ポリシーを表示できます。

グループ権限の割当て

「Group Entitlements」フォームは「User Management」フォルダに表示されます。これは、フォームの作成と移動、およびユーザー・グループのメンバーがエクスプローラを使用してアクセスできるフォームおよびフォルダの指定を行うために使用します。

「Group Entitlements」フォームを使用して、ユーザー・グループに対するフォームおよびフォルダを指定するには、次のようにします。

エクスプローラで、「Group Entitlements」をダブルクリックします。

「User Group Information」ページが表示されます。
「Group Name」フィールドに、ユーザー・グループの名前を入力します。
「Assign」をクリックします。

User Formの「Assignment」参照表が表示されます。
参照表から、このユーザー・グループに対するユーザー・フォームを選択します。

矢印ボタンを使用して、「Assigned Forms」リストに対する追加や削除を行います。
「OK」をクリックします。

次に示すように、「User Group Information」ダイアログ・ボックスが表示されます。

画像の説明

新しく追加したユーザー・フォームは「Group Entitlements」表に一覧表示されます。「Group Entitlements」表には、選択できるすべてのユーザー・グループが表示されます。この表には、ユーザー・フォームの名前とタイプが表示されます。「Group Entitlements」表には、javaformとfolderの2つのタイプがあります。javaformは、Javaベースのグラフィカル・インタフェースです。folderには、1つ以上のjavaformが含まれています。

用意されているグループ

Oracle Identity Managerには、4つのデフォルトのユーザー・グループ定義があります。

System Administrators
Operators
All Users
Self Operators

これらのユーザー・グループに関連付けられた権限は変更できます。他のユーザー・グループを作成することもできます。

「System Administrators」ユーザー・グループ

「System Administrators」ユーザー・グループのメンバーは、Oracle Identity Managerでレコード（システム・レコード以外）を作成、編集および削除できる完全な権限を持っています。

「Operators」ユーザー・グループ

「Operators」ユーザー・グループのメンバーは、「Organizational Defaults」フォームや「Policy History」フォームを表示したり、制限された機能をこれらのフォームで実行できます。

「All Users」ユーザー・グループ

「All Users」ユーザー・グループのメンバーは、最小の権限を持ちます。これらの権限には、自身のユーザー・レコードへのアクセスが含まれます（ただし、これらに限定されない）。各ユーザーは、自動的に「All Users」ユーザー・グループに所属します。

「All Users」グループからユーザーを削除することはできません。

「Self Operators」グループ

「Self Operators」ユーザー・グループは、デフォルトでOracle Identity Managerに追加されます。このユーザー・グループには、XELSELFREGという1人のユーザーが含まれます。このユーザーは、Oracle Identity Manager管理およびユーザー・コンソールで自動登録操作を行う際、ユーザーが持つ権限の変更を担当します。

注意
「Self Operators」ユーザー・グループに関連付けられている権限の変更や、このグループへのユーザーの割当ては行わないでください。

「Administrative Queues」フォーム

プロビジョニング・リクエストを管理するためのユーザーのグループは、キューと呼ばれるエンティティを使用して割り当てます。キューは、グループ定義の集合です。キューは、他のキュー内にネストできます。

管理キューを使用すると、リクエストの効率と管理性が向上します。リクエストに割り当てたキューは、他のリクエストで再利用できます。

リクエストでは、キュー内の各グループに対して異なった管理権限を指定できます。たとえば、3つのユーザー・グループを持つキューをリクエストに割り当てる場合を考えます。3つのグループのメンバーは、リクエストに対して異なった管理権限を持つことができます。1番目のユーザー・グループは、リクエストの読取り、変更および削除を許可されています。2番目のユーザー・グループは、リクエストの読取りおよび変更を許可されます。3番目のユーザー・グループは、リクエストの読取りおよび削除を許可されます。

注意
Design Consoleの「Administrative Queues」フォームは廃止されています。このフォームはDesign Consoleで引き続き表示できますが、管理キュー機能にアクセスするにはOracle Identity Manager APIを使用する必要があります。
詳細は、『Oracle Identity Manager API使用法ガイド』を参照してください。

「Reconciliation Manager」フォーム

このフォームは「User Management」フォルダにあります。このフォームを使用すると、ターゲット・リソースおよび信頼できるソースから受け取ったリコンシリエーション・イベントの情報の表示、分析、修正、リンクおよび管理ができます。指名されたユーザーは、リコンシリエーション・イベントの情報を、手動で分析およびリンクすることができます。分析やリンクを、定義したアクション・ルールに基づいてOracle Identity Managerが自動実行することもできます。そのルールは、イベントが既存のレコードに関連付けられているかどうか、新規アカウントを表しているかどうか、またはイベントの情報のリンクを手動で開始できるかどうかに基づいています。

ユーザーにより定義されるリコンシリエーション・クラスは、ターゲット・リソースおよび信頼できるソースを定期的にポーリングします。これらのシステムに関する変更はすべて、リコンシリエーション・マネージャに書き込まれたリコンシリエーション・イベントを生成します。Oracle Identity Managerは、関連するプロビジョニング・プロセスで定義されたマッピングに従ってイベント情報を分析します。

図4-3に「Reconciliation Manager」フォームを示します。

図4-3 「Reconciliation Manager」フォーム

画像の説明

注意
Design Consoleの「Task Scheduler」フォームを使用すると、スケジュールを定義し、リコンシリエーション・クラスの実行頻度を制御するタイミング・パラメータを設定したり、サード・パーティのスケジューリング・ツールを使用してポーリング頻度を設定できます。

「Reconciliation Manager」フォームの機能は次のとおりです。

イベントの情報が既存のユーザーまたは組織のレコードに関連付けられている場合、このフォームを使用して、イベントのデータを手動でレコードにリンクすることができます。

ユーザーまたは組織に自動的に関連付けられた情報を確認することもできます。
イベントが、信頼できるソース上での新規従業員の作成（ユーザー検出）、または既存の従業員に対する新規リソースのプロビジョニング（アカウント検出）である場合、このフォームを使用して、新しいデータでOracle Identity Managerを手動で更新できます。

ユーザーに自動的に関連付けられた情報を確認することもできます。信頼できるソースの場合、イベントのデータは新規ユーザー・アカウントを作成するために使用されます。ターゲット・リソースの場合、イベントのデータは、関連するリソース固有のプロセス・フォームにデータを移入するために使用されます。
イベントが、信頼できるソース上での新規組織の作成（組織検出）、または既存の組織に対する新規リソースのプロビジョニング（アカウント検出）である場合、このフォームを使用して、新しいデータでOracle Identity Managerを手動で更新できます。

このフォームを使用して、組織に自動的に関連付けられた情報を確認することもできます。
イベントが、ターゲット・システムまたは信頼できるソース上のアカウントの削除である場合、このフォームを使用して、Oracle Identity Managerに特定のアカウントの削除や、自動的に削除されたアカウントの確認を指示できます。

信頼できるソースの場合、ターゲット・システムまたは信頼できるソースのアカウントを削除すると、ユーザーのOracle Identity Managerアカウントが削除され、ターゲット・リソースでそのユーザーに対するプロビジョニングの際に使用されたすべてのアカウントが失効します。

ターゲット・リソースの場合、Oracle Identity Managerは、ユーザー・アカウントの失効について通知を受けます。

表4-3に示すように、「Reconciliation Manager」フォームの上部には次のフィールドがあります。

表4-3 「Reconciliation Manager」フォームのフィールド

フィールド名	説明
Event ID	リコンシリエーション・イベントの数値ID。
Delete Event（「Yes」または「No」フラグ）	対応するレコードがターゲット・リソースまたは信頼されたソースから削除されているかどうかを示します。「Yes」は削除イベントを示します。このイベントがターゲット・リソース上のユーザー・アカウントに関連付けられている場合、アカウントには失効済のマークが付けられます。イベントがユーザー・アカウントに関連付けられると、アカウントは削除されます。注意:このフィールドはOracle Identity Managerにより設定されます。
Object Name	このリコンシリエーション・イベントに関連付けられているターゲット・リソースまたは信頼できるソース。信頼できるソースの場合、これはユーザーです。
For User/For Organization	リソース・オブジェクトのイベントがユーザーのレコードに関連付けられているか、組織のレコードに関連付けられているかを示します。
Status	リコンシリエーション・イベントの現在のステータス。 Event Received: ターゲット・リソースまたは信頼できるソースから変更を受け取ったこと、たとえばCreateReconciliationEventメソッドがコールされたことを示します。イベントは、ターゲット・リソースまたは信頼できるソースから実際のデータを受け取っていません。 Data Received: ターゲット・リソースまたは信頼できるソースから情報を受け取ったデータ。 Users Matched: イベントは、リコンシリエーション・ユーザー一致ルールに基づいて、1つ以上のユーザー・レコードに一致します。ユーザーの信頼できるソースのリコンシリエーションを構成する場合は、OIMユーザーの「User ID」フィールドがリコンシリエーション一致ルールで使用されていることを確認する必要があります。 Organizations Matched: イベントは、リコンシリエーション組織一致ルールに基づいて、1つ以上の組織レコードに一致します。組織の信頼できるソースのリコンシリエーションを構成する場合は、OIMユーザーの「Organization Name」フィールドがリコンシリエーション一致ルールで使用されていることを確認する必要があります。 Processes Matched: イベントは、1つ以上のプロビジョニング・プロセスに一致します。たとえば、イベントにあるキー・フィールドのすべての値が、プロセスのフォームにあるそれらのフィールドの値に一致します。 No Match Found: プロビジョニング・プロセス・フォームのキー・フィールドの値も、いずれのユーザーまたは組織の一致ルールも、イベントに一致しません。ユーザーまたは組織のレコードに関連付けられたイベントがありません。 Rules Reapplied: 「Reapply Matching Rules」ボタンがクリックされ（前回の一致は削除された可能性があります）、このリソースに関連付けられているすべての最新版の一致ルールのロジックが適用されました。 Event Linked: イベントが、特定のユーザーまたは組織レコードに一致し、リンクされました。 Event Closed: ユーザーが「Close Event」ボタンをクリックして手動でイベントを閉じました。イベントのデータはOracle Identity Managerのレコードにリンクされていません。一度閉じたリコンシリエーション・イベントを再び開くことはできません。 Required Data Missing: 1つ以上の必須データ要素がありません。リソース定義上のいずれかの必須フィールドのデータがイベントで使用できない場合に、このメッセージが表示されます。
Event Date	このイベントを受け取った日付と時刻。
Assigned to User	このイベントが割り当てられているユーザー。
Assigned to Group	このイベントが割り当てられているユーザー・グループ。
Linked To（領域）	このセクションには、「User Login」、「Organization Name」、「Process Instance Key」および「Process Descriptive Data」の各フィールドがあります。
User Login	イベントがリンクされているユーザー・レコードのOracle Identity Manager ID。
Organization Name	イベントがリンクされている組織レコードのOracle Identity Manager ID。信頼できるソースを持つ組織検出を実行する場合は、ユーザー検出の前に実行することをお薦めします。Oracle Identity Managerのすべてのユーザー・レコードは、組織レコードに関連付けられている必要があります。
Process Instance Key	イベントにリンクされたプロビジョニング・プロセスの数値インスタンス。
Process Descriptive Data	「Process Definition」フォームのMap Descriptive Fieldウィンドウで定義されているプロビジョニング・プロセスの、インスタンス固有の記述データ。
Close Event	リコンシリエーション・イベントを終了します。イベントが終了している場合、それ以上の一致試行やリンクが行われることはありません。
Re-apply Matching Rules	リコンシリエーション一致ルールを再適用します。これには、プロセス・データと、リソース・オブジェクトが関連付けられているユーザー一致ルールまたは組織一致ルールの両方が含まれます。Oracle Identity Managerが十分な一致を生成していない場合、リソースのリコンシリエーション一致ルールを変更して再適用するか、プロビジョニング・プロセスのマッピングを変更できます。これらのルールを変更した後で再適用すると、異なるレコードが「Processes Matched」、「Matched Users」または「Matched Organizations」タブに表示されることがあります。リコンシリエーション・ルールは、プロビジョニング・プロセスの一致が生成されない場合にのみターゲット・リソースのリコンシリエーション・イベントに適用されます。これは、プロセスの一致の方が正確であるためです。
Create Organization（信頼できるソースに関連するイベントでのみ使用可能）	Oracle Identity Managerでリコンシリエーション・イベントの情報に基づいて組織レコードを作成します。このボタンは、リコンシリエーション・イベントが信頼できるソースでの新規組織の作成であることが確実なときにのみクリックします。
Create User（信頼できるソースに関連するイベントでのみ使用可能）	Oracle Identity Managerでリコンシリエーション・イベントの情報に基づいてユーザー・レコードを作成します。このボタンは、リコンシリエーション・イベントが信頼できるソースでの新規ユーザーの作成であることが確実なときにのみクリックします。

リコンシリエーション・イベントの表示と管理

リコンシリエーション・イベントを表示および管理するには、次の手順を実行します。

注意
リコンシリエーション・アクション・ルールの定義によって、信頼できるソースでの一致が1つのみの場合、または一致がない場合、Oracle Identity Managerはリコンシリエーション・イベントのデータをユーザー・レコードまたは組織レコードに自動的にリンクします。

「Reconciliation Manager」フォームに移動します。
問合せ機能を使用して、リコンシリエーション・イベントの位置を確認します。

「Object Name」フィールドに関連付けられているリソースや、「Status」フィールドのステータスを基準にして、リコンシリエーション・イベントを問い合せることもできます。

問合せ対象が削除済イベントの場合、つまり、対応するレコードがターゲット・リソースまたは信頼できるソースから削除されている場合、「Delete Event」は「Yes」に設定されています。それ以外の場合は「No」に設定されています。

目的のリコンシリエーション・イベントの位置を確認したら、このフォームのタブを使用して、次の操作を行うことができます。

未処理データの修正
一致するプロビジョニング・プロセス・フォーム・インスタンス、またはユーザー・レコードや組織レコードの候補の参照やリンク
イベントの監査履歴の表示

各タブの情報については、「Reconciliation Manager」フォームのタブに関する項で説明します。Oracle Identity Managerが生成する一致を評価する際は、次のことができます。

特定のプロビジョニング・プロセス、ユーザーまたは組織へのリコンシリエーション・イベントのリンク: イベントは既存のユーザー・レコードまたは組織レコードに関連付けられていることが前提となっています。

この操作を実行するには、該当するタブの「Link」をクリックします。検出された一致が1つのみの場合にOracle Identity Managerが自動的にデータをリンクするようにルールを定義している場合もあります。
信頼されたソースとのユーザー・ベースのリコンシリエーションの場合: イベントが、信頼できるソースでの新規ユーザーの作成であれば、Oracle Identity Managerで新規ユーザーを作成します。

この操作を実行するには、「Create User」をクリックします。または、一致が検出されなかった場合に、Oracle Identity Managerが自動的にユーザーを作成するようにアクション・ルールを定義することもできます。
信頼されたソースとの組織ベースのリコンシリエーションの場合: イベントが、信頼できるソースでの新規組織の作成であれば、Oracle Identity Managerで新規組織を作成します。

この操作を実行するには、「Create Organization」をクリックします。または、一致が検出されなかった場合に、Oracle Identity Managerが自動的に組織を作成するようにアクション・ルールを定義することもできます。

リコンシリエーション・ルールの精度を上げる: このリソースに関連付けられたルールです。ルールを再適用して、より正確な一致を生成します。

この操作を実行するには、適用できるリコンシリエーション・ルールの精度を上げ、保存してから、「Re-apply Matching Rules」をクリックします。

注意
リコンシリエーション・ルールの精度を上げて再適用するか、ユーザー、プロビジョニング・プロセスまたは組織を作成またはリンクすると、これらのアクションは「Reconciliation Event History」タブに記録されます。リコンシリエーション・イベントで実行されたアクションのログを表示するには、「Reconciliation Event History」タブをクリックします。

「Reconciliation Manager」フォームのタブ

調べるリコンシリエーション・イベントが見つかったら、タブを使用して次の操作を実行できます。

イベントでの処理済または未処理のデータの表示
一致するプロビジョニング・プロセス、ユーザーまたは生成された組織の表示
適切なレコードへのイベントのリンク、または新規ユーザーの作成

「Reconciliation Data」タブ

このタブのデータは、「Processed Data」と「Unprocessed Data」の2つのブランチのいずれかの下に表示されます。

Processed Data

「Processed Data」ブランチのフィールドは、関連付けられているリソースの「Reconciliation Fields」タブ上で定義されます。リコンシリエーション・イベントで、これらのフィールドは正常に処理されています。たとえば、データ型要件に違反していません。正常に処理された各フィールドには、次の内容が表示されます。

「Reconciliation Fields」タブで定義されている、関連付けられたリソースのフィールド名（たとえば、field1）。
リコンサイルされたフィールドに関連付けられているデータ型（たとえば、string）。可能な値は、Multi-Valued、String、Number、Date、IT resourceです。
リコンシリエーション・イベントで受け取ったフィールドの値（たとえば、Newark）。これはリコンシリエーション・イベントを開始したターゲット・リソースまたは信頼できるソース上で変更されたいくつかの値の1つである可能性があります。

処理済データ・フィールドは、次のようになります。

Location [String] = Newark

注意
データ型がMulti-Valueのフィールドの場合（信頼できるソースでなく、ターゲット・リソースでのみ可能）、値を持ちません。ただし、コンポーネント・フィールド（サブブランチに含まれる）に、それぞれ独自の値を持ちます。

Unprocessed Data

「Unprocessed Data」ブランチにリストされたフィールドは、処理できなかったリコンシリエーション・イベントです。これらはたとえば、定義されていない項目や、関連付けられているリソースの「Reconciliation Fields」タブで設定されているデータ型と矛盾する項目などです。各未処理フィールドについて、次の情報が表示されます。

フィールドの名前。たとえば、user_securityid。
リコンシリエーション・イベントで受け取ったフィールドの値（たとえば、capital）。これはリコンシリエーション・イベントを開始したターゲット・リソースまたは信頼できるソース上で変更されたいくつかの値の1つである可能性があります。

ターゲット・システムから受け取ったデータを自動処理できなかった理由（たとえば、<Not Numeric>）。次のコードの1つが、未処理フィールドの横に表示されます。

エラー・コード 発生の理由

NOT MULTI-VALUED ATTRIBUTE

フィールド値が複数値属性です。それ自身が複数値であるフィールドではなく、複数値属性のコンポーネント・フィールドだけが値を受け取れます。

NOT NUMERIC

数値フィールドの値が数値ではありません。

DATE PARSE FAILED

日付フィールドの値を有効な日付として認識できません。

SERVER NOT FOUND

タイプIT Resourceのフィールドの値が、既存のITリソース・インスタンスの名前として認識されませんでした。

FIELD NOT FOUND

イベントのフィールドの名前がリソースで定義されていません。

PARENT DATA LINK MISSING

親データ・フィールド（データ型はMulti-Value）がリコンシリエーション・フィールドにリンクされていません。そのため、このコンポーネント・フィールドを子リコンシリエーション・フィールドにリンクできませんでした。

FIELD LINKAGE MISSING

対応するリコンシリエーション・フィールドが、関連付けられているリソースの「Reconciliation Fields」タブで定義されていません。

ATTRIBUTE LINKAGE MISSING

データ型がMulti-Valueのフィールドにのみ適用されます。複数値フィールドのコンポーネント（子）フィールドの中に、データがリコンシリエーション・フィールドにリンクされていないものがあります。

TABLE ATTRIBUTE LINKAGE MISSING

データ型がMulti-Valueのフィールドにのみ適用されます。データ型がMultiValued Attributeであるコンポーネント（子）フィールドの中に、データ型がMultiValued Attributeであるリコンシリエーション・フィールドにリンクされていないものがあります。

未処理フィールドがリソース・フィールドに正常にマップされている場合は、このイベント・フィールドがマップされているリソース・フィールドの名前。

エラー・コード	発生の理由
NOT MULTI-VALUED ATTRIBUTE	フィールド値が複数値属性です。それ自身が複数値であるフィールドではなく、複数値属性のコンポーネント・フィールドだけが値を受け取れます。
NOT NUMERIC	数値フィールドの値が数値ではありません。
DATE PARSE FAILED	日付フィールドの値を有効な日付として認識できません。
SERVER NOT FOUND	タイプIT Resourceのフィールドの値が、既存のITリソース・インスタンスの名前として認識されませんでした。
FIELD NOT FOUND	イベントのフィールドの名前がリソースで定義されていません。
PARENT DATA LINK MISSING	親データ・フィールド（データ型はMulti-Value）がリコンシリエーション・フィールドにリンクされていません。そのため、このコンポーネント・フィールドを子リコンシリエーション・フィールドにリンクできませんでした。
FIELD LINKAGE MISSING	対応するリコンシリエーション・フィールドが、関連付けられているリソースの「Reconciliation Fields」タブで定義されていません。
ATTRIBUTE LINKAGE MISSING	データ型がMulti-Valueのフィールドにのみ適用されます。複数値フィールドのコンポーネント（子）フィールドの中に、データがリコンシリエーション・フィールドにリンクされていないものがあります。
TABLE ATTRIBUTE LINKAGE MISSING	データ型がMulti-Valueのフィールドにのみ適用されます。データ型がMultiValued Attributeであるコンポーネント（子）フィールドの中に、データ型がMultiValued Attributeであるリコンシリエーション・フィールドにリンクされていないものがあります。

未処理データ・フィールドは、次のようになります。

user_securityid = capital <Not Numeric>

注意
Oracle Identity Managerは、関連付けられているリソースの「Reconciliation Fields」タブで必須フィールドと設定されているすべてのフィールドが正常に処理されるまで、ターゲット・リソースのプロセス、または信頼できるソースのユーザーや組織の一致を行いません。

未処理フィールドのマッピングまたは修正

リコンシリエーション・イベントの未処理フィールドを修正したり、該当するリソースで定義されるとおりに、関連フィールドにマップするには、次の手順を使用します。

未処理フィールドをマップまたは修正するには、次の手順を実行します。

未処理フィールドをダブルクリックします。

複数値フィールドの場合、適切な子プロセス・フォームにマップするか、個別のコンポーネント・フィールドを選択する必要があります。

複数値フィールドの場合、コンポーネント・フィールドをダブルクリックして修正します。

「Edit Reconciliation Field Data」ダイアログ・ボックスが表示されます。

注意
未処理の複数値コンポーネント・フィールドを、関連付けられているリソースの「Reconciliation Fields」タブで定義されている複数値フィールドのいずれかにマップするには、「Linked to」フィールドをダブルクリックし、目的のフィールドを選択して、「OK」をクリックします。「Save」をクリックして「Edit Reconciliation Field Data」ダイアログ・ボックスを閉じます。

未処理フィールドを、関連付けられているリソースの「Reconciliation Fields」タブで定義されているフィールドのいずれかにマップするには、「Linked to」フィールドをダブルクリックし、目的のフィールドを選択して「OK」をクリックします。続いて「Save」をクリックして「Edit Reconciliation Field Data」ダイアログ・ボックスを閉じます。

未処理フィールドの値を変更するには、正しい値を「Corrected Value」フィールドに入力し、「Save」をクリックして、「Edit Reconciliation Field Data」ダイアログ・ボックスを閉じます。

フィールドのデータが正常に処理されると、「Unprocessed Data」ブランチのエントリはリンク先のフィールドを反映して更新されます。そのフィールドの新しいエントリが、「Processed Data」ブランチに追加されます。

リコンシリエーション・イベントの必須データ要素（該当するリソース定義の「Object Reconciliation」タブ）に「Reconciliation Data」タブで処理済のマークが付けられると、Oracle Identity Managerには次のように表示されます。

信頼できるソースの場合

該当するユーザーまたは組織に一致する、リソースに関連付けられているリコンシリエーション・ルールのロジックで指定されているリコンシリエーション・イベントの関連データに一致するすべてのユーザー・レコードまたは組織レコード。これらのレコードは、ソース所有者の可能性のあるユーザーがユーザー一致ルールの適用に基づいてOracle Identity Managerに検出された（ユーザー更新）、信頼できるソース上のアカウントを表します。一致するユーザーが検出されなかった場合、リコンシリエーション・イベントは、信頼できるソースでの新規ユーザー・アカウントの作成（つまりユーザー作成）を表します。
ターゲット・リソースの場合

すべてのキー・フィールドの値（該当するプロセス定義の「Reconciliation Field Mappings」タブで設定された値）がリコンシリエーション・イベントのすべてのキー・フィールドの値に一致するような、すべてのプロビジョニング・プロセス・フォーム・インスタンス。これは、一致している可能性があるアカウントがOracle Identity Managerに検出された（アカウント更新）ターゲット・システムのアカウントを表します。

これらの値に一致するプロセス・インスタンスがない場合、Oracle Identity Managerは該当するユーザー一致または組織一致のリコンシリエーション・ルールを評価し、リコンシリエーション・イベントのデータと一致するユーザーまたは組織を表示します。これらの一致は、一致するアカウント・レコードが、リコンシリエーション・エンジンによりOracle Identity Managerに検出されなかったターゲット・システム上のアカウントを表します。Oracle Identity Managerは、ユーザーに対してそのシステムのアカウントがプロビジョニングされていることを認識していないが、そのアカウントの所有者になる可能性のあるユーザーを検出しました（アカウント作成）。複数の一致レコードが検出された場合、管理者はレコードを調査し、どのOracle Identity Managerアカウントとリンクするかを決定する必要があります。一致が検出されない場合、信頼できるソースとターゲット・アプリケーションのデータが一致していない場合があります。このイベントは、ターゲット・システムのローグ・アカウントを示しているか、既存の従業員に対してターゲット・システム上で新規アカウントがプロビジョニングされたことを示している可能性があります。ただし、Oracle Identity Managerはそのアカウントがどのユーザーに関連付けられているか判断できません。

プロセス一致ツリー（ターゲット・リソースのみ）

関連付けられているリソースの「Reconciliation Fields」タブで定義されているすべての必須フィールドが処理されると、タブには、すべてのキー・フィールドの値がリコンシリエーション・イベントのすべてのキー・フィールドの値に一致する、すべてのプロビジョニング・プロセス・フォーム・インスタンスが表示されます。

注意
これが発生するのは、ターゲット・リソースに関連付けられているリコンシリエーション・イベントのみです。信頼できるソースはユーザー・リソースまたは組織およびそのプロビジョニング・プロセスに関連付けられているため、カスタムのプロセス・フォームを持つことはできません。結果として、このタブにデータを移入するために必要な一致を所有することができません。信頼できるソースの場合、すべての必須フィールドが処理された後、Oracle Identity Managerはユーザー一致または組織一致のルールを評価します。

一致したプロビジョニング・プロセスには、次の内容が表示されます。

リコンシリエーション・イベントのキー・フィールドの値に一致しているプロセス・フォーム・インスタンスに関連付けられているプロビジョニング・プロセスの名前（たとえば、windows2000_prov）。
個別のプロセス・インスタンスの数値ID（たとえば、445）。
このプロセス・インスタンスに関連付けられているユーザーID（たとえば、jdoe）または組織名（たとえば、Finance）。これは、プロビジョニング・プロセスのそのインスタンスによってリソースにプロビジョニングされたユーザーです。

一致したプロビジョニング・プロセスは、次のようになります。

Windows2000_prov [445] for User=jdoe

このタブにリストされるプロビジョニング・プロセスがない場合、リコンシリエーション・イベントのキー・フィールドの値を、そのリソースに関連付けられたプロセス・フォーム・インスタンスのフィールドの値に一致させることができなかったことを意味します。この場合、Oracle Identity Managerは、リソースに対して定義されている、いずれかのユーザー一致または組織一致のルールを適用します。一致が検出されると、「Matched Users」または「Matched Organizations」タブに表示されます。

プロビジョニング・プロセス・インスタンスのリコンシリエーション・イベントへのリンク

プロビジョニング・プロセス・インスタンスをリコンシリエーション・イベントにリンクするには、次の手順を実行します。

リコンシリエーション・イベントにリンクするプロビジョニング・プロセス・インスタンスを決定したら、そのプロセス・インスタンスを選択して、「Establish Link」をクリックします。
Oracle Identity Managerにより、関連するプロビジョニング・プロセスで定義されたマッピングに従ってリコンシリエーション・イベントの情報が含まれている、関連のプロセス・フォーム・インスタンスが更新されます。また、そのプロセスの「Reconciliation Update Received」タスクも挿入されます。

「Matched Users」タブ

このタブには、リソースのリコンシリエーション・ルールの基準で指定されたとおりに、リコンシリエーション・イベントの関連データに一致するユーザー・レコードが表示されます。

信頼できるソースの場合、Oracle Identity Managerはこれらのルールを評価し、すべての必須フィールド（関連付けられているリソースの「Reconciliation Fields」タブで定義）の処理が完了すると、一致しているユーザー・レコードをすべて表示します。

ターゲット・リソースの場合、Oracle Identity Managerはルールを評価し、すべての必須フィールド（関連付けられているリソースの「Reconciliation Fields」タブで定義）が処理され、一致が「Processes Matched Tree」タブに生成されていない場合にかぎり、一致しているユーザー・レコードをすべて表示します。

Design Consoleは、一致している各レコードのユーザーID、名および姓を表示します。

注意
一致しているレコードが「Processes Matched Tree」タブにある場合、「Matched Users」タブにはレコードが表示されません。プロセスの一致の方が正確である可能性があります。

ユーザー・レコードのリコンシリエーション・イベントへのリンク

リコンシリエーション・イベントにユーザー・レコードをリンクするには、次の手順を実行します。

注意
次の手順を実行するには、レコードが存在する必要があります。信頼できるソースでは、リコンシリエーション・イベントが信頼できるソースでの新規ユーザーの作成であると判断した場合に、「Create User」をクリックします。これにより、リコンシリエーション・イベントの情報を使用して新規ユーザー・レコードが作成されます。

リコンシリエーション・イベントにリンクするユーザーを決定し、そのユーザーを選択して「Link」をクリックします。
「Link」をクリックして、リコンシリエーション・イベントの対象がターゲット・リソースである場合、Oracle Identity Managerは次の操作を実行します。
- 選択されたユーザーに対応するリソースのプロビジョニング・プロセスのインスタンスを作成し、プロセスのタスクに関連付けられているすべてのアダプタを非表示にし、プロセスを完了し、「Reconciliation Insert Received」タスクを挿入します。
- プロビジョニング・プロセスで定義されたマッピングに従って、リコンシリエーション・イベントのデータを使用して、リソースのプロセス・フォームのインスタンスを作成します。
「Link」をクリックして、リコンシリエーション・イベントの対象が信頼できるソースである場合、Oracle Identity Managerは次の操作を実行します。
- ユーザー・プロビジョニング・プロセスで定義されたマッピングに従って、リコンシリエーション・イベントのデータを使用してユーザー・レコードを更新します。
- リコンシリエーション・イベントがリンクされているユーザー・レコードに対するユーザー・プロビジョニング・プロセスのインスタンスに「Reconciliation Insert Received」を挿入します。

Matched Organizations

このタブには、リソースのリコンシリエーション・ルールで指定されたとおりに、リコンシリエーション・イベントのデータに一致するOracle Identity Manager組織レコードが表示されます。

信頼できるソースの場合、Oracle Identity Managerはこれらのルールを評価し、すべての必須フィールド（関連付けられているリソースの「Reconciliation Fields」タブで定義）の処理が完了すると、一致している組織レコードをすべて表示します。

ターゲット・リソースの場合、Oracle Identity Managerはルールを評価し、すべての必須フィールド（関連付けられているリソースの「Reconciliation Fields」タブで定義）が処理され、一致が「Processes Matched Tree」タブに生成されていない場合にかぎり、一致している組織レコードをすべて表示します。

Oracle Identity Managerは、一致している各レコードのユーザーID、名および姓を表示します。

注意
一致しているレコードが「Processes Matched Tree」タブにある場合、「Matched Organizations」タブにはレコードが表示されません。これは、プロセス一致の方が正確である可能性が高いためです。

組織レコードのリコンシリエーション・イベントへのリンク

リコンシリエーション・イベントに組織レコードをリンクするには、次の手順を実行します。

注意
次の手順では、レコードがあらかじめ存在するものと想定しています。信頼できるソースでは、リコンシリエーション・イベントが信頼できるソースでの新規組織の作成であると判断した場合に、「Create Organization」をクリックします。これにより、リコンシリエーション・イベントの情報を使用して新規組織レコードが作成されます。

リコンシリエーション・イベントにリンクする組織を決定したら、イベントを選択して、「Link」をクリックします。
リコンシリエーション・イベントの対象がターゲット・リソースである場合、Oracle Identity Managerは次の操作を実行します。
- 選択された組織に対応するリソースのプロビジョニング・プロセスのインスタンスを作成し、プロセスのタスクに関連付けられているすべてのアダプタを非表示にし、プロセスを完了し、「Reconciliation Insert Received」タスクを挿入します。
- プロビジョニング・プロセスで定義されたマッピングに従って、リコンシリエーション・イベントのデータを使用して、リソースのプロセス・フォームのインスタンスを作成します。
リコンシリエーション・イベントの対象が信頼できるソースである場合、Oracle Identity Managerは次の操作を実行します。
- Oracle Identity Managerの組織プロビジョニング・プロセスで定義されたマッピングに従って、リコンシリエーション・イベントのデータを使用して組織レコードを更新します。
- リコンシリエーション・イベントがリンクされている組織レコードに対するOracle Identity Managerプロビジョニング・プロセスの既存インスタンスに「Reconciliation Insert Received」タスクを挿入します。

Reconciliation Event History

「Reconciliation Event History」タブには、このリコンシリエーション・イベントで実行されたアクションの履歴が表示されます。各アクションについて、アクションが実行された日付と時刻が表示されます。Oracle Identity Managerにより、次のリコンシリエーション・イベントが追跡および記録されます。

Event Received: このアクションは、Oracle Identity Managerがリコンシリエーション・イベントを受け取ったときに記録されます。
Data Sorted: このアクションは、リコンシリエーション・イベントのデータが処理フィールドおよび未処理フィールドにソートされたときに記録されます。
Rules Reapplied: このアクションは、ユーザーが「Re-apply Matching Rules」ボタンをクリックしたときに記録されます。
Processes Matched: このアクションは、1つ以上のプロセスフォーム・インスタンスおよび関連付けられているプロビジョニング・プロセスが、リコンシリエーション・イベントのキー・フィールドの値に一致したときに記録されます。
Users Matched: このアクションは、1件以上のユーザー・レコードが、ユーザー一致のリコンシリエーション・ルールを使用してリコンシリエーション・イベントのデータと一致したときに記録されます。
Organization Matched: このアクションは、1件以上のOracle Identity Manager組織レコードが、組織一致のリコンシリエーション・ルールを使用してリコンシリエーション・イベントのデータと一致したときに記録されます。
Linked to User: このアクションは、リコンシリエーション・イベントのデータが特定のユーザーにリンクされたときに記録されます。
Linked to Organization: このアクションは、リコンシリエーション・イベントのデータが特定の組織にリンクされたときに記録されます。