3 コネクタの構成

コネクタをデプロイしたら、要件に合せて構成する必要があります。この章では、次のコネクタ構成手順を説明します。

注意: これらの項では、コネクタの構成に関する概念および手順の両方を説明します。概念情報を確認してから手順を実行することをお薦めします。

• リコンシリエーションの構成

• プロビジョニングの構成

• ターゲット・システムの複数のインストールに対するコネクタの構成

注意: この章では、コネクタのカスタマイズに関する概念および手順の両方を説明します。概念情報を確認してから手順を実行することをお薦めします。

リコンシリエーションの構成

このガイドで前述したように、リコンシリエーションとは、ターゲット・システム上でのユーザー・アカウントの追加および変更を、Oracle Identity Manager内で複製することです。この項では、リコンシリエーションの構成に関する次の項目について説明します。

• 部分リコンシリエーション

• 信頼できるソース・リコンシリエーションの構成

• リコンシリエーションのスケジュール済タスクの構成

部分リコンシリエーション

デフォルトでは、前回のリコンシリエーションの実行後に追加または変更されたすべてのターゲット・システム・レコードが、現在のリコンシリエーションの実行中にリコンサイルされます。リコンサイルする必要のある追加または変更されたターゲット・システム・レコードのサブセットを指定して、このプロセスをカスタマイズできます。これは、リコンシリエーション・モジュールのフィルタを作成して行います。

このコネクタの場合、フィルタを作成するには、「ITリソースの定義」で説明されている手順を実行する際に、ITリソース・パラメータCustomReconQueryに値を指定します。

問合せ条件の作成に使用できる属性を次に示します。

• ユーザーID

• 名

• 姓

• グループ

次に、問合せ条件の例を示します。

• First Name=John&Last Name=Doe

  この問合せ条件では、名がJohnで姓がDoeであるユーザーのレコードがリコンサイルされます。

• First Name=John&Last Name=Doe|Group=contractors

  この問合せ条件では、次の条件のいずれかに合致するユーザーのレコードがリコンサイルされます。

  • ユーザーの名がJohnであるか、姓がDoeである。

  • ユーザーがcontractorsグループに属している。

CustomReconQueryパラメータの値を指定しないと、リコンシリエーション中に、ターゲット・システムのすべてのレコードが既存のOracle Identity Managerレコードと比較されます。

CustomReconQueryパラメータの値を指定する際に従う必要のあるガイドラインを次に示します。

• 問合せ条件の演算子と値の間に不要な空白を入れないでください。

  値と演算子が空白で区切られている問合せ条件と、値と演算子の間に空白が含まれていない問合せ条件を比較した場合、異なる結果が生じます。たとえば、次の問合せ条件による出力は異なります。

  First Name=John&Last Name=Doe

  First Name= John&Last Name= Doe

  2つ目の問合せ条件では、リコンシリエーション・エンジンは冒頭に空白が含まれた名および姓の値を検索します。

• 問合せ条件には、等号記号（=）、アンパサンド（&）および縦線（|）以外の特殊文字を使用しないでください。

  
  

  注意: 等号記号（=）、アンパサンド（&）および縦線（|）以外の特殊文字を使用すると、例外がスローされます。

  
  

「ITリソースの定義」で説明した手順の実行中に、CustomReconQueryパラメータの値を指定します。

信頼できるソース・リコンシリエーションの構成

コネクタの構成中に、ターゲット・システムを、信頼できるソースまたはターゲット・リソースとして指定できます。ターゲット・システムを信頼できるソースとして指定すると、新規作成されたユーザー・アカウントと変更されたユーザー・アカウントの両方が、Oracle Identity Managerでリコンサイルされます。ターゲット・システムをターゲット・リソースとして指定すると、変更されたユーザー・アカウントのみがOracle Identity Managerでリコンサイルされます。

注意: ターゲット・システムをリコンシリエーションの信頼できるソースとして指定しない場合は、この項を省略してかまいません。

信頼できるソースのリコンシリエーションの構成には、次の手順が含まれます。

1. デプロイメント・マネージャを使用して、信頼できるソースのリコンシリエーション用のXMLファイル（RSAAuthManagerXLResourceObject.xml）をインポートします。この項では、XMLファイルのインポート手順を説明します。

   
   

   注意: 信頼できるソースとして指定できるのは、1つのターゲット・システムのみです。別の信頼できるソースを構成している状態でRSAAuthManagerXLResourceObject.xmlファイルをインポートした場合、2つのコネクタのリコンシリエーションはいずれも機能しなくなります。

   
   

2. スケジュール済タスクのIsTrusted属性をTrueに設定します。ユーザー・リコンシリエーションのスケジュール済タスクの構成中に、この属性の値を指定します。これについては、このガイドで後述します。

信頼できるソースのリコンシリエーション用のXMLファイルをインポートするには、次のようにします。

1. Oracle Identity Manager管理およびユーザー・コンソールを開きます。

2. 左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。

3. 「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを検索するダイアログ・ボックスが表示されます。

4. RSAAuthManagerXLResourceObject.xmlファイルを検索して開きます。このファイルはOIM_home/xellerate/XLIntegrations/AuthManager/xmlディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。

5. 「ファイルの追加」をクリックします。「置換」ページが表示されます。

6. 「次へ」をクリックします。「確認」ページが表示されます。

7. 「インポート」をクリックします。

8. 表示されるメッセージで、「インポート」をクリックしてXMLファイルのインポートを確認します。次に、「OK」をクリックします。

信頼できるソースのリコンシリエーション用のXMLファイルをインポートしたら、リコンシリエーションのスケジュール済タスクのIsTrusted属性の値をTrueに設定する必要があります。この手順は、「リコンシリエーションのスケジュール済タスクの構成」の項で説明されています。

リコンシリエーションのスケジュール済タスクの構成

「手順5: コネクタのXMLファイルのインポート」で説明する手順を実行すると、参照フィールドおよびユーザー・リコンシリエーションに対するスケジュール済タスクが、Oracle Identity Managerで自動的に作成されます。このスケジュール済タスクを構成するには、次のようにします。

1. Oracle Identity Manager Design Consoleを開きます。

2. 「Xellerate Administration」フォルダを開きます。

3. 「Task Scheduler」を選択します。

4. 「Find」をクリックします。事前定義されたスケジュール済タスクの詳細が表示されます。

5. 「Max Retries」フィールドに数値を入力します。この数はOracle Identity Managerがタスクを完了するために試行する回数です。この数を超えると、ERRORステータスがタスクに割り当てられます。

6. 「Disabled」チェック・ボックスと「Stop Execution」チェック・ボックスが選択されていないことを確認します。

7. 「Start」リージョンで「Start Time」フィールドをダブルクリックします。表示される日付時間エディタで、タスクを実行する日付と時間を設定します。

8. 「Interval」リージョンで、次のスケジュール・パラメータを設定します。

   • タスクを繰り返し実行するように設定するには、「Daily」、「Weekly」、「Recurring Intervals」、「Monthly」または「Yearly」のオプションを選択します。

     「Recurring Intervals」オプションを選択した場合は、タスクを繰り返して実行する間隔も指定する必要があります。

   • タスクを1回のみ実行するように設定するには、「Once」オプションを選択します。

9. スケジュール済タスクのユーザーによる構成が可能な属性の値を指定します。指定する値の詳細は、次の表を参照してください。

   
   

   関連資料: タスク属性の追加および削除の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。

   
   

   属性	説明	サンプル値
   IsTrusted	リコンシリエーションを信頼できるモードで実行する必要があるかどうかを指定します。	TrueまたはFalse
   Server	ITリソースの名前。	ACE Server Remote
   Target System Recon - Resource Object name	RSA Authentication Managerユーザーに対応するターゲット・システムのリソース・オブジェクトの名前。	Auth Manager User
   Target System Recon - Token Resource Object name	RSA Authentication Managerユーザーに対応するターゲット・システムのリソース・オブジェクトの名前。	Auth Manager Token
   Trusted Source Recon - Resource Object name	信頼できるソース・リソース・オブジェクトの名前。	Xellerate User
   IsDeleteAllowed	ターゲット・システムで削除されたユーザーを、Oracle Identity Managerで削除するかどうか指定します。	TrueまたはFalse

   
   

10. 「Save」をクリックします。スケジュール済タスクが作成されます。INACTIVEステータスが「Status」フィールドに表示されますが、これは、タスクが現在実行されていないためです。タスクは、ステップ7で設定した日時に実行されます。

リコンシリエーションの停止

コネクタのユーザー・リコンシリエーションのスケジュール済タスクが実行中であり、ユーザー・レコードがリコンサイルされているとします。リコンシリエーション・プロセスを停止する場合は、次のようにします。

1. ステップ1〜4を実行して、リコンシリエーションのスケジュール済タスクを構成します。

2. タスク・スケジューラで「Stop Execution」チェック・ボックスを選択します。

3. 「Save」をクリックします。

プロビジョニングの構成

このガイドで前述したように、プロビジョニングとは、Oracle Identity Managerを介して、ターゲット・システム上でユーザー・アカウント情報を作成または変更することです。このコネクタで使用できるプロビジョニング機能のリストについては、「サポートされている機能」を参照してください。

この項では、プロビジョニングの構成に関する次の項目について説明します。

注意: このターゲット・システムに対してOracle Identity Managerのプロビジョニング機能を使用する場合は、これらの手順を実行する必要があります。

• アダプタのコンパイル

• ソフトウェア・トークンのインストール

アダプタのコンパイル

アダプタは、プロビジョニング機能を実装するために使用されます。コネクタのXMLファイルをインポートすると次のアダプタがOracle Identity Managerにインポートされます。

• ACE ASSIGN TO GROUP

• ACE DELETE USER

• ACE CREATE USER

• SetRSAUserAttribute

• ACE PrePop DefLogin

• ACE PrePop FirstName

• ACE PrePop GrpLogin

• ACE PrePop LastName

• ACE ASSIGN TOKEN

• ACE REMOVE TOKEN

• ACE DISABLE TOKEN

• ACE SET PIN

• ACE SET PIN TO NTC

• ACE TRACK LOST TOKEN

• ACE ENABLE TOKEN

• ACE TEST LOGIN

• ACE ADD USER EXTENSION DATA TO USER

• ACE UPDATE USER EXTENSION DATA FOR USER

• ACE DEL USER EXTENSION DATA TO USER

これらのアダプタは、プロビジョニング操作で使用する前にコンパイルする必要があります。

「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。

1. 「アダプタ・マネージャ」フォームを開きます。

2. 現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」を選択します。

   （すべてではないが）複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」を選択します。

   
   

   注意: 正常にコンパイルされなかったアダプタのみを再コンパイルするには、「以前の失敗分をコンパイル」をクリックします。そのようなアダプタはコンパイルのステータスがOKになっていません。

   
   

3. 「開始」をクリックします。選択したアダプタがOracle Identity Managerによってコンパイルされます。

4. Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_home/xellerate/Adapterディレクトリから、コンパイル済のアダプタをクラスタの他の各ノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。

一度に1つのアダプタをコンパイルする場合は、「アダプタ・ファクトリ」フォームを使用します。

関連資料: 「アダプタ・ファクトリ」フォームおよび「アダプタ・マネージャ」フォームの使用方法の詳細は、『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。

アダプタの詳細情報を表示するには、次のようにします。

1. 「アダプタ・マネージャ」フォームでアダプタをハイライト表示します。

2. アダプタの行ヘッダーをダブルクリックするか、アダプタを右クリックします。

3. 表示されるショートカット・メニューで「アダプタの起動」を選択します。アダプタの詳細が表示されます。

ソフトウェア・トークンのインストール

このコネクタを使用してソフトウェア・トークンに固有のプロビジョニング機能を実行する際には、Token Codeなどの必須入力パラメータを指定する必要があります。

これらのトークン固有のパラメータの値は、RSAソフトウェア・トークン・アプリケーションをOracle Identity ManagerサーバーまたはOracle Identity Managerサーバー以外のユーザー・コンピュータにインストールした後にのみ決定できます。

RSA SecurIDソフトウェア・トークンを使用する場合は、次のようにします。

1. RSA SecurID Token for Windows Desktops 3.0.5を次のURLからダウンロードします。

   http://www.rsasecurity.com/node.asp?id=1162

2. ファイルをOracle Identity Managerサーバーにインストールします。

3. RSA SecurIDソフトウェア・トークン・ファイルをOracle Identity Managerサーバーの適切な場所にコピーします。コピーするファイルは、RSA Authentication Managerインストール・ディレクトリにあります。このファイルのコピー先となるディレクトリ・パスの形式は、次のとおりです。

   target_dir_location/Token1File/
   
   

   
   

   注意: ソフトウェア・トークンをACEユーザーに割り当てる際、このファイルの名前と完全な場所を（db_file_location/file_name.sdtid形式で）「ソフトウェア・トークンのファイル名」プロセス・フォーム・フィールドに指定する必要があります。

   
   

4. 次のように、.sdtidファイルをRSA SecurIDトークン・ソフトウェア・アプリケーションにインポートします。

   1. 「スタート」をクリックした後、「プログラム」を選択します。

   2. 「RSA SecurID Software Token」をクリックして、「RSA SecurID Software Token」サブカテゴリを選択します。

      トークン画面が表示されます。

   3. 「File」メニューをクリックした後、「Import Tokens」を選択します。表示されるダイアログ・ボックスで、ステップ3で説明した.sdtidファイルを選択します。

      次に例を示します。

      target_dir_location/Token1File/file_name.sdtid
      
      

   4. トークンのシリアル番号を選択し、「Transfer Selected Tokens to Hard Drive」をクリックします。ソフトウェア・トークンがインポートされます。

   5. 表示される画面で、「View」をクリックした後、「Advanced View」を選択します。

   6. 表示される画面で、「View」をクリックした後、「Token View」を選択してソフトウェア・トークン番号を表示します。

ターゲット・システムの複数のインストールに対するコネクタの構成

注意: この手順は、RSA Authentication Managerの複数のインストールに対してコネクタを構成する場合にのみ実行します。

状況によっては、コネクタをRSA Authentication Managerの複数のインストールに対して構成する必要が生じることもあるでしょう。次の例はそのような状況について説明したものです。

Acme Multinational Inc.では、東京、ロンドンおよびニューヨークの事業所で、それぞれ独自にRSA Authentication Managerがインストールされています。この会社は最近Oracle Identity Managerをインストールしたため、それを構成して、インストールされたすべてのRSA Authentication Managerをリンクさせようとしています。

これを実現するには、コネクタをRSA Authentication Managerの複数のインストールに対して構成する必要があります。

コネクタをターゲット・システムの複数のインストールに対して構成するには、次のようにします。

関連資料: この手順の各ステップ実行の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。

1. 各ターゲット・システム・インストールに対して1つのリソースを作成して構成します。

   「IT Resources」フォームは「Resource Management」フォルダにあります。ITリソースは、コネクタのXMLファイルをインポートすると作成されます。このITリソースは、同じリソース・タイプの、残りのITリソース作成用のテンプレートとして使用できます。

2. 各ターゲット・システム・インストールについてリコンシリエーションを構成します。手順は、「リコンシリエーションの構成」を参照してください。ITリソースの指定に使用される属性のみの変更と、ターゲット・システム・インストールを信頼できるソースとして設定するかどうかの指定が必要です。

   RSA Authentication Managerの単一インストールと複数インストールのいずれも信頼できるソースとして指定できます。

3. 必要であれば、Xellerate Userリソース・オブジェクトに対してリコンサイルされるフィールドを変更します。

管理およびユーザー・コンソールを使用してプロビジョニングを実行する際には、特定のRSA Authentication Managerインストールに対応するITリソースを指定することによって、ユーザーのプロビジョニング先を選択することもできます。