コネクタをデプロイしたら、要件に合せて構成する必要があります。この章では、次のコネクタ構成手順を説明します。
注意: これらの項では、コネクタの構成に関する概念および手順の両方を説明します。概念情報を確認してから手順を実行することをお薦めします。 |
このガイドで前述したように、リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Manager内で複製することです。この項では、リコンシリエーションの構成に関する次の項目について説明します。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
フィルタを作成するには、ターゲット・システム属性に値を指定します。この値は、問合せのSELECT条件で、リコンサイルするレコードを取得するために使用されます。次のフィルタ属性のいずれか、または属性の組合せに対して値を指定できます。
Filter Auditor Privilege (Y/N)
Filter Default Group
Filter Group Access Privilege (Y/N)
Filter Name
Filter Operations Privilege (Y/N)
Filter Owner
Filter Special Privilege (Y/N)
Filter User Id
Filter Type (AND/OR)
複数のターゲット・システム属性を使用してレコードをフィルタリングする場合は、選択したターゲット・システム属性の組合せに適用する論理演算子(ANDまたはOR)も指定する必要があります。
Filter Type(AND/OR)属性の値は、指定するその他のフィルタ属性の値に適用されます。たとえば、次の値を指定するとします。
Filter Default Group: sales
Filter User Id: jdoe
Filter Type (AND/OR): AND
このスケジュール済タスクを実行すると、ユーザーIDがjdoeでありデフォルト・グループ値がsalesであるレコードがリコンサイルされます。Filter Type (AND/OR)属性値にORを指定した場合は、いずれかのフィルタ基準を満たすレコードがリコンサイルされます。
コネクタをデプロイする際に、これらの属性の値および適用する演算子を指定するには、「スケジュール済タスク属性の値の指定」に記載されている説明に従ってください。
リコンシリエーションの実行中に、ターゲット・システム・レコードのすべての変更内容がOracle Identity Managerにリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。
これらの問題を避けるため、バッチ・リコンシリエーションを構成できます。
バッチ・リコンシリエーションを構成するには、次のユーザー・リコンシリエーションのスケジュール済タスクの属性に値を指定する必要があります。
BatchSize
: この属性を使用して、各バッチに含めるレコード数を指定します。デフォルト値は1000です。
NumberOfBatches
: この属性を使用して、リコンサイルするバッチの総数を指定します。デフォルト値は、All
です。
All
以外の値を指定した場合、新規追加または修正されたユーザー・レコードの一部は、その回のリコンシリエーション中にはリコンサイルされない可能性があります。次の例でこれについて説明します。
スケジュール済タスクの構成時に次の値を指定したとします。
BatchSize
: 20
NumberOfBatches
: 10
前回のリコンシリエーション実行後に、314件のユーザー・レコードが作成または修正されたとします。これら314レコードのうち、200レコードが今回のリコンシリエーション実行中にリコンサイルされます。残りの114レコードは、次回のリコンシリエーション実行中にリコンサイルされます。
BatchSize
およびNumberOfBatches
属性に値を指定する際には、「スケジュール済タスク属性の値の指定」に記載されている説明に従ってください。
コネクタの構成中に、ターゲット・システムを、信頼できるソースまたはターゲット・リソースとして指定できます。ターゲット・システムを信頼できるソースとして指定すると、新規作成されたユーザー・アカウントと変更されたユーザー・アカウントの両方が、Oracle Identity Managerでリコンサイルされます。ターゲット・システムをターゲット・リソースとして指定すると、変更されたユーザー・アカウントのみがOracle Identity Managerでリコンサイルされます。
注意: ターゲット・システムをリコンシリエーションの信頼できるソースとして指定しない場合は、この項を省略してかまいません。 |
信頼できるソースのリコンシリエーションを構成するには、「手順6: コネクタのXMLファイルのインポート」の項で説明する手順を実行する際にRACFTrusted.xml
ファイルをインポートします。
デプロイメント・マネージャを使用して、信頼できるソースのリコンシリエーション用のXMLファイル(RACFTrusted.xml
)をインポートします。この項では、XMLファイルのインポート手順を説明します。
注意: 信頼できるソースとして指定できるのは、1つのターゲット・システムのみです。別の信頼できるソースを構成している状態でRACFTrusted.xml ファイルをインポートした場合、2つのコネクタのリコンシリエーションはいずれも機能しなくなります。 |
「Submitjobユーザー・リコンシリエーションのスケジュール済タスク」の項で説明する手順を実行する際に、スケジュール済タスクのisTrusted
属性の値をYes
に設定します。
信頼できるソースのリコンシリエーションを構成するには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くダイアログ・ボックスが表示されます。
OIM_home
/xlclient
ディレクトリにあるRACFTrusted.xml
ファイルを検索して開きます。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「インポート」をクリックします。
表示されるメッセージで、「インポート」をクリックしてXMLファイルのインポートを確認します。次に、「OK」をクリックします。
「手順6: コネクタのXMLファイルのインポート」で説明する手順を実行すると、参照フィールド、信頼できるソース・ユーザー、および信頼できないユーザーのリコンシリエーションに対するスケジュール済タスクが、Oracle Identity Managerで自動的に作成されます。これらのスケジュール済タスクを構成するには、次のようにします。
「Xellerate Administration」フォルダを開きます。
「Task Scheduler」を選択します。
「Find」をクリックします。事前定義されたスケジュール済タスクの詳細が表示されます。
「Max Retries」フィールドに数値を入力します。この数はOracle Identity Managerがタスクを完了するために試行する回数です。この数を超えると、ERRORステータスがタスクに割り当てられます。
「Disabled」チェック・ボックスと「Stop Execution」チェック・ボックスが選択されていないことを確認します。
「Start」リージョンで「Start Time」フィールドをダブルクリックします。表示される日付時間エディタで、タスクを実行する日付と時間を選択します。
「Interval」リージョンで、次のスケジュール・パラメータを設定します。
タスクを繰り返し実行するように設定するには、「Daily」、「Weekly」、「Recurring Intervals」、「Monthly」または「Yearly」のオプションを選択します。
「Recurring Intervals」オプションを選択した場合は、タスクを繰り返して実行する間隔も指定する必要があります。
タスクを1回のみ実行するように設定するには、「Once」オプションを選択します。
スケジュール済タスクの属性の値を指定します。指定する値の詳細は、「スケジュール済タスク属性の値の指定」を参照してください。
「Save」をクリックします。スケジュール済タスクが作成されます。現在はタスクが実行されていないため、「Status」フィールドにINACTIVEステータスが表示されます。タスクは、ステップ7で設定した日時に実行されます。
ステップ5〜10を繰り返してもう1つのスケジュール済タスクを作成します。
両方のスケジュール済タスクを作成したら、「プロビジョニングの構成」の項に進みます。
この項では、次に示すスケジュール済タスクに指定する値の詳細を説明します。
RACF lookup fields reconciliation
参照フィールド・リコンシリエーションのスケジュール済タスクの次の属性に値を指定する必要があります。
注意:
|
属性 | 説明 | サンプル値 |
---|---|---|
Server |
コネクタがデータのリコンサイルに使用するITリソース・インスタンスの名前 | RACF Server |
LookupField Name |
リコンサイルされる参照フィールドの名前 | 値は次のいずれかです。
|
LookupField Target File |
一時的にデータを格納するために、コネクタがIBMメインフレーム・サーバーに作成するファイル名 | 有効なファイル名は長さ8文字以下です。
例: |
RACF Source Directory |
RACFスクリプトが格納されるIBMメインフレーム・サーバーのディレクトリ名 | ADTTAR.DT250207.CNTL |
IsDebug |
デバッグを実行する必要があるかどうかを指定 | 値はYES またはNO です。デフォルト値はNO です。 |
これらのタスク属性の値を指定したら、ステップ10に進んでスケジュール済タスクを作成してください。
Submitjobユーザー・リコンシリエーションのスケジュール済タスクの次の属性に値を指定する必要があります。
RACF submit job reconciliation
RACF submit job trusted reconciliation
注意:
|
属性 | 説明 | 値 |
---|---|---|
Filter Type (AND/OR) |
指定したフィルタ条件を使用するかどうか、および使用するフィルタ条件の組合せを指定 | 値は次のいずれかです。
|
RACF Database Name |
IBM RACFデータベースを含むパーティション化されたデータ・セット(PDS)の完全修飾名 | サンプル値: SYS1.ACMEY.RACFBACK |
System Parameter file Name |
SYSTMDAT ファイルをアップロードするために使用する完全修飾PS名 |
サンプル値: ADTTAR.SYSTMDAT |
Filter User Id |
リコンサイルするユーザー・アカウントのユーザーIDを指定 | 値は次のいずれかです。
|
Filter Owner |
リコンサイルするユーザー・アカウントの所有者を指定 | 値は次のいずれかです。
|
Filter Name |
リコンサイルするユーザー・アカウントの「名前」の値を指定 | 値は次のいずれかです。
|
Filter Default Group |
リコンサイルするユーザー・アカウントのデフォルト・グループを指定 | 値は次のいずれかです。
|
Filter Operations Privilege (Y/N) |
操作の権限を持つユーザー・アカウントのリコンサイルを指定 | 値は次のいずれかです。
|
Filter Special Privilege (Y/N) |
特別な権限を持つユーザー・アカウントのリコンサイルを指定 | 値は次のいずれかです。
|
Filter Group Access Privilege (Y/N) |
グループ・アクセスの権限を持つユーザー・アカウントのリコンサイルを指定 | 値は次のいずれかです。
|
Filter Auditor Privilege (Y/N) |
監査者の権限を持つユーザー・アカウントのリコンサイルを指定 | 値は次のいずれかです。
|
Trial |
試行リコンシリエーションを実行するかどうかを指定 | 値はYes またはNo です。 |
trialCount |
試行するリコンシリエーション・データのバッチ数を指定 | 任意の自然数を指定できます(1、2、3...)。 |
Target System Recon - Resource Object name |
リソース・オブジェクトの名前 | リソース・オブジェクトの名前。
サンプル値: |
Server |
コネクタがデータのリコンサイルに使用するITリソース・インスタンスの名前 | ITリソース・インスタンス名。
サンプル値: |
RACF Source Directory |
IBM RACFスクリプトが格納されるIBM RACFディレクトリを指定 | サンプル値: ADTTAR.DT250207.CNTL |
Target System New User File |
IBM RACFデータベースの最新のイメージを格納するためにIBM RACFが使用するファイル名 | 完全修飾PDS名。
サンプル値: |
Target System Old User File |
IBM RACFデータベースの旧イメージを格納するためにIBM RACFが使用するファイル名
最初のリコンシリエーションでは、ダミーのファイル名を指定します。このファイルがIBMメインフレームに存在しないことを確認してください。2回目以降のリコンシリエーションの実行では、最初のリコンシリエーションの実行時に使用した「Target System old User File」属性の値と同じ値を指定する必要があります。 |
完全修飾PDS名。
サンプル値: |
IsDebug |
デバッグを実行する必要があるかどうかを指定 | 値はYes またはNo です。デフォルト値はNo です。 |
IsTrusted |
信頼できるソースのリコンシリエーションを実行するかどうかを指定 | 値はYes またはNo です。 |
File Path |
メインフレームで実行中のタスクに関する情報を格納するファイルの名前およびパス
次のタスクがこのファイルを確認して、現在のタスクの状態を調べます。 |
サンプル値: C:/dummyfile.txt |
これらのタスク属性の値を指定したら、ステップ10に進んでスケジュール済タスクを作成してください。
GetDataユーザー・リコンシリエーションのスケジュール済タスクの次の属性に値を指定する必要があります。
RACF getdata job reconciliation
RACF getdata job trusted reconciliation
注意:
|
属性 | 説明 | 値 |
---|---|---|
Server |
コネクタがデータのリコンサイルに使用するITリソース・インスタンスの名前 | ITリソース・インスタンス名。
たとえば、RACF Server。 |
RACF Source Directory |
IBM RACFスクリプトが格納されるIBM RACFディレクトリを指定 | ADTTAR.DT250207.CNTL |
Target System Old User File |
IBM RACFデータベースの旧イメージを格納するためにIBM RACFが使用するファイル名
最初のリコンシリエーションでは、ダミーのファイル名を指定します。このファイルがIBMメインフレームに存在しないことを確認してください。2回目以降のリコンシリエーションの実行では、最初のリコンシリエーションの実行時に使用した「Target System old User File」属性の値と同じ値を指定する必要があります。 |
完全修飾PDS名。
サンプル値: |
Job Name Path |
メインフレームで実行中のタスクに関する情報を格納するファイルの名前およびパス
次のタスクがこのファイルを確認して、現在のタスクの状態を調べます。 |
サンプル値: C:/dummyfile.txt |
Target System Filter File |
フィルタ・ファイル情報の格納に使用されるPSファイルの完全修飾名を指定 | サンプル値: adttar.racf08.work |
System Parameter file Name |
SYSTMDAT ファイルのアップロードに使用されるPSファイルの完全修飾名を指定 |
サンプル値: adttar.systmdat |
Target System Recon - Resource Object name |
リソース・オブジェクトの名前 | リソース・オブジェクトの名前。
サンプル値: |
これらのタスク属性の値を指定したら、ステップ10に進んでスケジュール済タスクを作成してください。
このガイドで前述したように、プロビジョニングとは、Oracle Identity Managerを介して、ターゲット・システム上でユーザー・アカウント情報を作成または変更することです。
注意: このターゲット・システムでOracle Identity Managerのプロビジョニング機能を使用する場合は、この手順を実行する必要があります。 |
アダプタは、プロビジョニング機能を実装するために使用されます。コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。
adpCREATENEWRACFUSER
adpRACFUSERDELETE
adpRACFUSERENABLE
adpADDTSOTORACFUSER
adpSETRACFUSERPASSWORD
adpUPDATERACFUSERATTRIBUTE
adpCONNECTTOGROUP
adpDISCONNECTFROMGROUP
adpREMOVETSO
adpRACFUSERDISABLE
adpRACFUPDATEPRIVILEDGE
これらのアダプタは、プロビジョニング操作で使用する前にコンパイルする必要があります。
「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
「アダプタ・マネージャ」フォームを開きます。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」を選択します。
(すべてではないが)複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」を選択します。
注意: 正常にコンパイルされなかったアダプタのみを再コンパイルするには、「以前の失敗分をコンパイル」をクリックします。そのようなアダプタはコンパイルのステータスがOK になっていません。 |
「開始」をクリックします。選択したアダプタがOracle Identity Managerによってコンパイルされます。
Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_home
/xellerate/Adapter
ディレクトリから、コンパイル済のアダプタをクラスタの他の各ノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。
一度に1つのアダプタをコンパイルする場合は、「アダプタ・ファクトリ」フォームを使用します。
関連資料: 「アダプタ・ファクトリ」フォームおよび「アダプタ・マネージャ」フォームの使用方法の詳細は、『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
アダプタの詳細情報を表示するには、次のようにします。
「アダプタ・マネージャ」フォームでアダプタをハイライト表示します。
アダプタの行ヘッダーをダブルクリックするか、アダプタを右クリックします。
表示されるショートカット・メニューで「アダプタの起動」を選択します。アダプタの詳細が表示されます。
注意: この手順は、IBM RACFの複数のインストールに対してコネクタを構成する場合にのみ実行します。 |
状況によっては、コネクタをIBM RACFの複数のインストールに対して構成する必要が生じることもあるでしょう。次の例は、このような必要が生じる状況を説明したものです。
Acme Multinational Inc.では、東京、ロンドンおよびニューヨークの事業所で、それぞれ独自にIBM RACFがインストールされています。この会社は最近Oracle Identity Managerをインストールしたため、それを構成して、インストールされたすべてのIBM RACFをリンクさせようとしています。
これを実現するには、コネクタをIBM RACFの複数のインストールに対して構成する必要があります。
コネクタをターゲット・システムの複数のインストールに対して構成するには、次のようにします。
関連資料: この手順の各ステップ実行の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
各ターゲット・システム・インストールに対して1つのリソースを作成して構成します。
「IT Resources」フォームは「Resource Management」フォルダにあります。ITリソースは、コネクタのXMLファイルをインポートすると作成されます。このITリソースは、同じITリソース・タイプの、残りのITリソース作成用のテンプレートとして使用できます。
各ターゲット・システム・インストールについてリコンシリエーションを構成します。手順は、「リコンシリエーションの構成」を参照してください。ITリソースの指定に使用される属性の変更と、ターゲット・システム・インストールを信頼できるソースとして設定するかどうかの指定のみが必要です。
必要であれば、Xellerate Userリソース・オブジェクトに対してリコンサイルされるフィールドを変更します。
管理およびユーザー・コンソールを使用してプロビジョニングを実行する際には、特定のIBM RACFインストールに対応するITリソースを指定することによって、ユーザーのプロビジョニング先を選択することもできます。