コネクタをデプロイしたら、要件に合せて構成する必要があります。この章では、次のコネクタ構成手順を説明します。
注意: これらの項では、コネクタの構成に関する概念および手順の両方を説明します。概念情報を確認してから手順を実行することをお薦めします。 |
このガイドで前述したように、リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの作成および変更を、Oracle Identity Managerで複製することです。この項では、リコンシリエーションの構成に関する次の項目について説明します。
コネクタの構成中に、ターゲット・システムを、信頼できるソースまたはターゲット・リソースとして指定できます。ターゲット・システムを信頼できるソースとして指定すると、新規作成されたユーザー・アカウントと変更されたユーザー・アカウントの両方が、Oracle Identity Managerでリコンサイルされます。ターゲット・システムをターゲット・リソースとして指定すると、変更されたユーザー・アカウントのみがOracle Identity Managerでリコンサイルされます。
注意: ターゲット・システムをリコンシリエーションの信頼できるソースとして指定しない場合は、この項を省略してかまいません。 |
信頼できるソースのリコンシリエーション用のXMLファイルをインポートするには、次のようにします。
注意: 信頼できるソースとして指定できるのは、1つのターゲット・システムのみです。別の信頼できるソースを構成している状態でxliADXLResourceObject.xml ファイルをインポートした場合、2つのコネクタのリコンシリエーションはいずれも機能しなくなります。 |
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くダイアログ・ボックスが表示されます。
xliADXLResourceObject.xml
ファイルを検索して開きます。このファイルはOIM_home
/xellerate/XLIntegrations/ActiveDirectory/xml
ディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「インポート」をクリックします。
表示されるメッセージで、「インポート」をクリックしてXMLファイルのインポートを確認します。次に、「OK」をクリックします。
信頼できるソースのリコンシリエーション用のXMLファイルをインポートしたら、リコンシリエーションのスケジュール済タスクのTrustedSource
属性の値をTrue
に設定する必要があります。この手順は、「リコンシリエーションのスケジュール済タスクの構成」の項で説明されています。
デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。
このコネクタでは、「ITリソースの定義」で説明した手順を実行する一方で、CustomizedReconQuery
ITリソース・パラメータの値を指定してフィルタを作成します。
次の表に、問合せ条件の作成に使用できるMicrosoft Active Directoryの属性、および対応するOracle Identity Managerの属性を示します。この問合せ条件は、CustomizedReconQuery
パラメータの値として指定します。
Oracle Identity Managerの属性 | Microsoft Active Directoryの属性 |
---|---|
User ID | sAMAccountName |
First Name | givenName |
Last Name | sn |
Middle Name | initials |
Full Name | displayName |
Groups | memberOf |
次に、問合せ条件の例を示します。
givenName=John&sn=Doe
この問合せ条件では、名前がJohnで姓がDoeであるユーザーのレコードがリコンサイルされます。
givenName=John&sn=Doe|initials=JD
この問合せ条件では、次の条件のいずれかに合致するユーザーのレコードがリコンサイルされます。
ユーザーの名がJohn
であるか、姓がDoe
である。
ユーザーのイニシャルがJD
である。
CustomizedReconQuery
パラメータの値を指定しないと、リコンシリエーション中に、ターゲット・システムのすべてのレコードが既存のOracle Identity Managerレコードと比較されます。
CustomizedReconQuery
パラメータの値を指定する際に従う必要のあるガイドラインを次に示します。
Microsoft Active Directoryの属性では、この項に示した表と同様に大文字または小文字を使用する必要があります。属性名は大/小文字が区別されるためです。
問合せ条件の演算子と値の間に不要な空白を入れないでください。
値と演算子が空白で区切られている問合せ条件と、値と演算子の間に空白が含まれていない問合せ条件を比較した場合、異なる結果が生じます。たとえば、次の問合せ条件による出力は異なります。
givenname=John&sn=Doe
givenname= John&sn= Doe
2つ目の問合せ条件では、リコンシリエーション・エンジンは冒頭に空白が含まれた名および姓の値を検索します。
問合せ条件には、等号記号(=)、アンパサンド(&)および縦線(|)以外の特殊文字を使用しないでください。
注意: 等号記号(=)、アンパサンド(&)および縦線(|)以外の特殊文字を使用すると、例外がスローされます。 |
「ITリソースの定義」で説明した手順の実行中に、CustomizedReconQuery
パラメータの値を指定します。
リコンシリエーションの実行中に、ターゲット・システム・レコードのすべての変更内容がOracle Identity Managerにリコンサイルされます。リコンサイルされるレコード数によっては、このプロセスに長い時間がかかる場合があります。また、リコンシリエーション中に接続が中断すると、プロセスの完了にはさらに時間がかかります。
このような問題を避けるため、バッチ・リコンシリエーションを構成できます。
バッチ・リコンシリエーションを構成するには、次のユーザー・リコンシリエーションのスケジュール済タスクの属性に値を指定する必要があります。
StartRecord
: この属性を使用して、バッチ・リコンシリエーションを開始するレコード番号を指定します。
BatchSize
: この属性を使用して、各バッチに含めるレコード数を指定します。
NumberOfBatches
: この属性を使用して、リコンサイルするバッチの総数を指定します。バッチ・リコンシリエーションを使用しない場合は、この属性の値としてAll Available
を指定します。
注意: この属性の値としてAll Available を指定すると、StartRecord 属性およびBatchSize 属性の値は無視されます。 |
「ユーザー・リコンシリエーションのスケジュール済タスク」で説明する手順に従ってこれらの属性の値を指定してください。
バッチ・リコンシリエーションの構成後、バッチ・リコンシリエーションの実行中にリコンシリエーションが失敗した場合は、ログ・ファイルでリコンシリエーションが失敗したバッチに関する情報を確認してください。
「手順5: コネクタのXMLファイルのインポート」で説明する手順を実行すると、参照フィールドおよびユーザー・リコンシリエーションに対するスケジュール済タスクが、Oracle Identity Managerで自動的に作成されます。これらのスケジュール済タスクを構成するには、次のようにします。
「Xellerate Administration」フォルダを開きます。
「Task Scheduler」を選択します。
「Find」をクリックします。事前定義されたスケジュール済タスクの詳細が2つのタブに表示されます。
最初のスケジュール済タスクについて、「Max Retries」フィールドに数値を入力します。この数はOracle Identity Managerがタスクを完了するために試行する回数です。この数を超えると、ERROR
ステータスがタスクに割り当てられます。
「Disabled」チェック・ボックスと「Stop Execution」チェック・ボックスが選択されていないことを確認します。
「Start」リージョンで「Start Time」フィールドをダブルクリックします。表示される日付時間エディタで、タスクを実行する日付と時間を選択します。
「Interval」リージョンで、次のスケジュール・パラメータを設定します。
タスクを繰り返し実行するように設定するには、「Daily」、「Weekly」、「Recurring Intervals」、「Monthly」または「Yearly」のオプションを選択します。
「Recurring Intervals」オプションを選択した場合は、タスクを繰り返して実行する間隔も指定する必要があります。
タスクを1回のみ実行するように設定するには、「Once」オプションを選択します。
スケジュール済タスクの属性の値を指定します。指定する値の詳細は、「スケジュール済タスク属性の値の指定」を参照してください。
関連資料: タスク属性の追加および削除の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
「Save」をクリックします。スケジュール済タスクが作成されます。INACTIVE
ステータスが「Status」フィールドに表示されますが、これは、タスクが現在実行されていないためです。タスクは手順7で設定した日時に実行されます。
ステップ5〜10を繰り返してもう1つのスケジュール済タスクを作成します。
この項では、次のスケジュール済タスクに指定する属性値について説明します。
ADGroupLookupReconTask
スケジュール済タスクの次の属性に値を指定する必要があります。
注意:
|
属性 | 説明 | デフォルト/サンプル値 |
---|---|---|
Server |
Microsoft Active DirectoryサーバーのITリソース・インスタンス名 | AD Server |
LookupCodeName |
リコンサイルされたすべてのグループ名と対応するobjectGUIDを含む参照コード | Lookup.ADReconliation.GroupLookup |
スケジュール済タスク属性に値を指定したら、手順のステップ10に進んでスケジュール済タスクを作成します。
ActiveDirectoryReconTask
スケジュール済タスクの次の属性に値を指定する必要があります。
注意:
|
属性 | 説明 | デフォルト/サンプル値 |
---|---|---|
DeleteRecon |
リコンシリエーションの削除を有効にするかどうかを指定します。
値は |
True |
UseFieldMapping |
FieldLookupCode 属性のフィールド・マッピングを使用するかどうかを指定します。
この属性のデフォルト値は |
True |
FieldLookupCode |
カスタム・リコンシリエーションで使用される参照定義の名前。
この属性は、 |
Lookup.ADReconliation.FieldMap |
MaintainHierarchy |
組織階層をMicrosoft Active Directoryで継続して使用するかどうかを指定します。
値は |
True |
XellerateObject |
信頼できるソースのリコンシリエーションが実行されるOracle Identity ManagerのXellerate Userリソース・オブジェクト名。
信頼できるソースのリコンシリエーションを実行する場合は、値を この属性には値を指定する必要があります。 |
Xellerate User |
Object |
リコンシリエーションが実行されるOracle Identity ManagerのADユーザー・リソース・オブジェクト名。
デフォルト値は、 |
AD User |
Server |
Microsoft Active Directoryサーバーを意味するITリソース・インスタンス名。
この属性には値を指定する必要があります。 |
AD Server |
TransformLookupCode |
参照表に保存された変換クラス・マップの参照コード。
この属性は、 |
Lookup.ADReconliation.TransformationMap |
UseTransformMapping |
TransformLookupCode 属性を使用してアクセスする変換マッピングを使用する必要があるかどうかを指定します。
値は |
True |
XellerateOrg |
リコンサイルされたユーザーが作成されるOracle Identity Manager組織。
この属性には値を指定する必要があります。 |
Xellerate Users |
MultiValueAttributes |
リコンサイルするMicrosoft Active Directoryのすべての多値属性のカンマ区切りリスト。
ADグループのリコンシリエーションでは、 この属性には値を指定する必要があります。 |
memberOf |
GroupObject |
グループのリコンシリエーションが実行されるOracle Identity ManagerのADグループ・リソース・オブジェクト名。
ADグループのリコンシリエーションを実行する場合は、値を この属性には値を指定する必要があります。 |
AD Group |
StartRecord |
バッチ・プロセスの開始レコードを指定します。
デフォルト値は この属性については、「バッチ・リコンシリエーション」の項で説明します。 |
1 |
BatchSize |
バッチに含めるレコード数を指定します。
デフォルト値は この属性については、「バッチ・リコンシリエーション」の項で説明します。 |
3 |
NumberOfBatches |
リコンサイルするバッチ数を指定します。
デフォルト値( この属性については、「バッチ・リコンシリエーション」の項で説明します。 |
デフォルト値: All Available (すべてのユーザーのリコンサイル)
サンプル値: |
スケジュール済タスク属性に値を指定したら、手順のステップ10に進んでスケジュール済タスクを作成します。
Oracle Identity Managerリリース9.0.1を使用している場合は、次の手順を実行してリコンシリエーションを有効にする必要があります。
関連資料: 『Oracle Identity Managerデザイン・コンソール・ガイド』 |
「Design Console」を開きます。
「Process Management」フォルダを開きます。
ADユーザーの「Process Definition」フォームを開きます。
「Reconciliation Field Mappings」タブをクリックします。
ITリソース・タイプの各フィールドで次の操作を行います。
フィールドをダブルクリックして、そのフィールドの「Edit Reconciliation Field Mapping」ウィンドウを開きます。
「Key Field for Reconciliation Matching」の選択を解除します。
注意: この項ではオプションの手順を説明します。プロビジョニング用の新しい属性を追加しない場合は、この手順を実行する必要はありません。 |
デフォルトでは、「リコンシリエーション・モジュール」で示した属性が、Oracle Identity Managerとターゲット・システム間のリコンシリエーション用にマップされます。必要に応じて、追加の属性をリコンシリエーション用にマップできます。
リコンシリエーション用のカスタム属性を追加するには、次のようにします。
関連資料: これらの手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
Oracle Identity Manager Design Consoleを開きます。
「Xellerate Administration」フォルダを開きます。
「Lookup Definition」をダブルクリックします。
Lookup.ADReconciliation.FieldMap
参照定義を検索するために、この名前を「Code」フィールドに入力して、「Query」アイコンをクリックします。
Lookup.ADReconciliation.FieldMap
フィールド・マップを開くには、「Lookup.ADReconciliation.FieldMap」をダブルクリックします。
必要なフィールドをLookup.ADReconciliation.FieldMap
フィールド・マップに追加します。
次のフィールドがLookup.ADReconciliation.FieldMap
フィールド・マップにデフォルトとして提供されます。
memberOf
instanceType
Organization
givenName
sAMAccountName
IT Resource
objectGUID
name
sn
cn
whenChanged(これは必須フィールドであり、フィールド・マップに存在している必要があります)
distinguishedName
initials
displayName
Employee Type
userAccountControl
User Type
このガイドで前述したように、プロビジョニングとは、Oracle Identity Managerを介して、ターゲット・システム上でユーザー・アカウント情報を作成または変更することです。
注意: Oracle Identity Managerのプロビジョニング機能をターゲット・システムに対して使用する場合は、この手順を実行する必要があります。 |
プロビジョニングの構成とは、プロビジョニング機能を実装するために使用するアダプタのコンパイルです。
コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。
Chk Process Parent Org
AD Move OU
AD Get USNChanged
AD Get OU USNCR
Update AD Group Details
Get Group ObjectGUID Created
AD Delete Group
AD Create Group
Prepopulate AD Group Display Name
Prepopulate AD Group Name
check process organization
AD Set User Password
AD Set User CN Standard
AD Set Account Exp Date
AD remove User From Group
AD Pwd Never Expires
AD Must Change PWD
AD Move User New
AD Move User
AD Get ObjectGUID
AD Enable User
AD Disable User
AD Delete User
AD Create User
AD Change Attribute
AD Add User To Group
AD Prepopulate User Last Name
AD Prepopulate User Login
AD Prepopulate User Full Name
AD Prepopulate User Middle Name
AD Prepopulate User First Name
これらのアダプタは、プロビジョニング操作で使用する前にコンパイルする必要があります。
「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
「アダプタ・マネージャ」フォームを開きます。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」を選択します。
(すべてではないが)複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」を選択します。
注意: 正常にコンパイルされなかったアダプタのみを再コンパイルするには、「以前の失敗分をコンパイル」をクリックします。そのようなアダプタはコンパイルのステータスがOK になっていません。 |
「開始」をクリックします。選択したアダプタがOracle Identity Managerによってコンパイルされます。
Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_home
/xellerate/Adapter
ディレクトリから、コンパイル済のアダプタをクラスタの他の各ノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。
一度に1つのアダプタをコンパイルする場合は、「アダプタ・ファクトリ」フォームを使用します。
関連資料: 「アダプタ・ファクトリ」フォームおよび「アダプタ・マネージャ」フォームの使用方法の詳細は、『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
アダプタの詳細情報を表示するには、次のようにします。
「アダプタ・マネージャ」フォームでアダプタをハイライト表示します。
アダプタの行ヘッダーをダブルクリックするか、アダプタを右クリックします。
表示されるショートカット・メニューで「アダプタの起動」を選択します。アダプタの詳細が表示されます。
注意: この項ではオプションの手順を説明します。プロビジョニング用の新しい属性を追加しない場合は、この手順を実行する必要はありません。 |
デフォルトでは、「プロビジョニング・モジュール」で示した属性が、Oracle Identity Managerとターゲット・システム間のプロビジョニング用にマップされます。必要に応じて、追加の属性をプロビジョニング用にマップできます。
プロビジョニング用のカスタム属性を追加するには、次のようにします。
関連資料: これらの手順の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
UD_ADUSER
またはUD_ADGRP
プロセス・フォームのフィールドとして属性を追加します。
AtMap.AD
またはAtMap.ADGroup
参照定義に属性を追加します。
注意: この手順は、Oracle Identity Managerリリース9.0.1.3を使用している場合にのみ必要です。 |
Oracle Identity Managerリリース9.0.1.3では、信頼できない(ターゲット・リソース)リコンシリエーションの際に、無効または有効にされているユーザー・アカウントはOracle Identity Managerに正確にリコンサイルされません。このリリースのOracle Identity Managerを使用している場合は、次の手順を実行してこの問題を解決する必要があります。
Design Consoleにログインします。
次のようにして、「AD User」
リソース・オブジェクトに「userAccountControl」
リコンシリエーション・フィールドを作成します。
「Resource Management」フォルダを開きます。
「Resource Objects」フォームを開きます。
「Search」ボタンをクリックします。
表示されるリソース・オブジェクトのリストから、「AD User」をダブルクリックします。
「Object Reconciliation」タブで、「Reconciliation Fields」タブを選択します。
「Reconciliation Fields」タブで、「ADD Field」をクリックして、次の値を入力します。
Field Name: userAccountControlを入力します。
Field Type: 「String」を選択します。
Required: このチェック・ボックスを選択します。
変更内容を保存します。
次のようにして、「userAccountControl」
リコンシリエーション・フィールドを「OIM_OBJECT_STATUS」
フィールドにマップします。
「Process Management」フォルダを開きます。
「Process Definition」フォームを開きます。
「Search」ボタンをクリックします。
表示されるプロセス定義のリストから、「AD User」プロセス定義をダブルクリックします。
「Reconciliation Field Mappings」タブで、「userAccountControl」をダブルクリックして、次の値を入力します。
Field Name: 「userAccountControl」を選択します。
Field Type: 「String」を選択します。
Process Data Field: OIM_OBJECT_STATUSを入力します。
変更内容を保存します。
注意: この手順は、Microsoft Active Directoryの複数のインストールに対応するようにコネクタを構成する場合のみ実行します。 |
Microsoft Active Directoryの複数のインストールに対してコネクタを構成する場合があります。次の例でこの要件について説明します。
Acme Multinational Inc.の東京、ロンドンおよびニューヨークの事業所には、独自にMicrosoft Active Directoryがインストールされています。最近、この会社では、Oracle Identity Managerをインストールし、これを構成してインストールされたすべてのMicrosoft Active Directoryをリンクしようとしています。
このような例で示される要件に対応するには、Microsoft Active Directoryの複数のインストールに対するコネクタを構成する必要があります。
ターゲット・システムの複数のインストールに対してコネクタを構成するには、次のようにします。
各ターゲット・システム・インストールに対して1つのリソースを作成して構成します。
「IT Resources」フォームは「Resource Management」フォルダにあります。ITリソースは、コネクタのXMLファイルをインポートすると作成されます。このITリソースは、同じリソース・タイプの、残りのITリソース作成用のテンプレートとして使用できます。
各ターゲット・システム・インストールについてリコンシリエーションを構成します。手順は、「リコンシリエーションの構成」を参照してください。ITリソースの指定に使用される属性の変更と、ターゲット・システム・インストールを信頼できるソースとして設定するかどうかの指定のみが必要です。
Microsoft Active Directoryの単独インストールと複数インストールのいずれも信頼できるソースとして指定できます。
必要であれば、Xellerate Userリソース・オブジェクトに対してリコンサイルされるフィールドを変更します。
関連資料: この手順の各ステップ実行の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
管理およびユーザー・コンソールを使用してプロビジョニングを実行するときは、ユーザーをプロビジョニングするMicrosoft Active Directoryインストールに対応するITリソースを指定できます。
Microsoft Active Directoryのコネクタは、次の機能を実行します。
Oracle Identity Managerで変更したユーザー・アカウント属性(パスワードを除く)を使用したMicrosoft Active Directoryの更新
Microsoft Active Directoryで変更したユーザー・アカウント属性(パスワードを除く)を使用したOracle Identity Managerの更新
Oracle Identity Managerで変更したパスワードを使用したMicrosoft Active Directoryの更新(LDAP over SSLが必要)
Microsoft Active Directoryのパスワード同期モジュールは、Microsoft Active Directoryで変更したパスワードを使用してOracle Identity Managerを更新します。
コネクタはOracle Identity Managerサーバーにデプロイされ、パスワード同期モジュールはMicrosoft Active Directoryサーバーにデプロイされます。これらが一緒にデプロイされると(LDAP over SSLとともに)、コネクタおよびパスワード同期モジュールにより、パスワードを含むすべてのユーザー属性の完全な双方向の同期が実現します。
関連資料: 『Oracle Identity Manager Password Synchronization Module for Microsoft Active Directoryインストレーションおよび構成ガイド』 |
この項の説明は、リリース9.0.3のコネクタおよびパスワード同期モジュールで確認された問題を解決することを目的としています。
Microsoft Active Directoryでカスタム属性を作成して、Oracle Identity Managerで行われたパスワード変更をトラッキングするフラグとして機能するようにする必要があります。
次の項では、この手順について説明します。
カスタム属性を作成するにはMicrosoft Active Directoryスキーマ・スナップインが必要です。カスタム属性を作成する前に、このスナップインがインストールされているかどうか確認する必要があります。
スナップインのインストールを確認するには、次のようにします。
Microsoft Active Directoryサーバーで、「スタート」、「ファイル名を指定して実行」の順にクリックします。
次のコマンドを入力して、「OK」をクリックします。
mmc /a
Microsoft Active Directoryスキーマ・スナップインがすでにインストールされている場合は、このコマンドを実行する際にそのコンソールが表示されます。
コンソールが表示されない場合は、Microsoft Active Directoryスキーマ・スナップインを次のようにインストールする必要があります。
Microsoft Active Directoryサーバーに管理者としてログインします。
Microsoft Windows 2000サーバーのインストール・メディアをディスク・ドライブに挿入し、「このCDを参照」をクリックします。
「I386」フォルダ、「Adminpak」の順にダブルクリックして、Windows 2000管理ツールのセットアップ・ウィザードに表示される説明に従います。
Microsoft Active Directoryスキーマ・スナップインのコンソールを次のように開きます。
「スタート」、「ファイル名を指定して実行」の順にクリックします。
次のコマンドを入力して、「OK」をクリックします。
mmc /a
「コンソール」メニューで、「スナップインの追加と削除」、「追加」の順にクリックします。
「Active Directoryスキーマ」をダブルクリックし、「閉じる」をクリックします。
スナップインを他に追加しない場合は、「OK」をクリックします。
変更を保存するには、「保存」をクリックします。
Microsoft Active Directoryスキーマ・スナップインがインストールされたことを確認したら、次のようにMicrosoft Active Directoryでカスタム属性を追加します。
Active Directoryスキーマ・スナップインを次のように開きます。
Microsoft Active Directoryサーバーで、「スタート」、「ファイル名を指定して実行」の順にクリックします。
次のコマンドを入力して、「OK」をクリックします。
mmc /a
コンソール ツリーで「属性」、「属性の作成」の順にクリックします。
属性タイプをIntegerに設定します。
コンソール ツリーで「クラス」を選択します。
「ユーザー」を右クリックし、「プロパティ」を選択します。
「属性」タブで、「追加」を選択して、ユーザー・クラスに属性を追加します。
Oracle Identity Managerでカスタム属性を作成して、Microsoft Active Directoryで行われたパスワード変更をトラッキングするフラグとして機能するようにする必要があります。
Oracle Identity Managerでカスタム属性(ユーザー定義フィールド)を作成するには、次のようにします。
関連資料: 『Oracle Identity Managerデザイン・コンソール・ガイド』 |
「Design Console」を開きます。
「Administration」フォルダを開きます。
「User Defined Field Definition」を選択します。
検索アイコンをクリックします。
表示された結果から「USR
」を選択し、「Add」をクリックします。
「User Defined Fields」ダイアログ・ボックスで次の値を入力します。
Label: フィールドのラベルを入力します。例: PWDCHANGEDINDICATION
Field Size: 20
作成するユーザー定義フィールドは、ADSYNC_TRUE
またはADSYNC_FALSE
のいずれかを保持します。
DataType: 文字列
Column Name: フィールドの列名を入力します。
「Label」フィールドで入力した値と同じ値を入力することをお薦めします。例: PWDCHANGEDINDICATION
Oracle Identity Managerは、指定した列名に自動的にUSR_UDF_
を追加します。たとえば、列名にPWDCHANGEDINDICATION
を指定すると、実際の列名はUSR_UDF_PWDCHANGEDINDICATION
に変更されます。
「Save」をクリックします。
「ITリソースの定義」で説明されている手順を行う際に、次のパラメータの値を指定する必要があります。
AD Sync installed (yes/no)
Microsoft Active Directoryのパスワード同期モジュールをインストールして使用する場合は、このパラメータの値にyes
を指定します。それ以外の場合は、no
を指定します。デフォルト値は、no
です。
OIM User UDF
Oracle Identity Managerで作成するユーザー定義フィールドの名前を指定します。
AD Sync installed (yes/no)
パラメータの値にyes
を指定した場合にのみこのパラメータの値を指定してください。
注意: 指定するのは列名で、Oracle Identity Managerでカスタム属性を追加する際に入力するフィールド・ラベルではありません。たとえば、ラベルPWDCHANGEDINDICATION
を入力した場合に指定する列名はUSR_UDF_PWDCHANGEDINDICATION
です。Oracle Identity Managerは、列を作成するときに接頭辞USR_UDF_
を追加します。
Custom Attribute Name
Microsoft Active Directoryで作成するカスタム属性の名前を指定します。
AD Sync installed (yes/no)
パラメータの値にyes
を指定した場合にのみこのパラメータの値を指定してください。
この項では、パスワード変更の操作の際に行われるイベントの順序について説明します。
たとえば、John DoeがMicrosoft Active Directoryでパスワードを変更するとします。このアクションで発生するのは、次のような順序のイベントです。
パスワード同期モジュールがOracle Identity Managerでユーザーのパスワードを変更します。
パスワード同期モジュールがOracle Identity Managerのユーザー定義フィールド値をADSYNC_TRUE
に変更します。
Oracle Identity Managerのユーザー定義フィールド値はADSYNC_TRUE
のため、Password Updatedプロセス・タスクでMicrosoft Active Directoryのパスワードは変更されません。
パスワード同期モジュールがOracle Identity Managerのユーザー定義フィールド値をADSYNC_FALSE
に戻します。
たとえば、Jane DoeがOracle Identity Managerでパスワードを変更するとします。このアクションで発生するのは、次のような順序のイベントです。
Password Updatedプロセス・タスクで、Microsoft Active Directoryのユーザーのパスワードが変更されます。
Password Updatedプロセス・タスクは、Microsoft Active Directoryのカスタム属性の値を1
に変更します。
Microsoft Active Directoryのカスタム属性の値は1
のため、パスワード同期モジュールは、Oracle Identity Managerのパスワードを変更しません。
Password Updatedプロセス・タスクは、Microsoft Active Directoryのカスタム属性の値を0
に戻します。
Microsoft Active Directoryコネクタをインストールした後で、コネクタのプロパティを反映するためにパスワード同期のxlconfig.xml
を変更する必要があります。
これは、パスワード同期モジュールに対するインストール手順の一部です。これについては、『Oracle Identity Manager Password Synchronization Module for Microsoft Active Directoryインストレーションおよび構成ガイド』の「コネクタのインストール後のxlconfig.xmlファイルの構成」の項で説明されています。