Oracle Identity Managerの統合
Oracle Identity Manager製品では、製品のエンタープライズ・セット全体を管理およびデプロイするためのユーザー定義およびパスワード・ルールを一元管理するサイトを使用できます。従業員が組織に参加するとき、名前を変更するとき、または組織を外れるとき、エンタープライズ全体における従業員のセキュリティの存在を適切に管理する必要があります。Oracle Identity Managerを使用すると、中心的な場所でユーザーをプロビジョニングおよび管理できます。
ID管理製品でユーザーを作成、保守および削除し、それらの変更をアプリケーション内で定義されているユーザーと同期できるようにするために、統合が提供されています。次の項では、Oracle Utilities Application Frameworkベースの製品で必要な構成手順について、統合に関するその他の詳細を示します。ID管理製品で必要な構成の詳細は、Identity Management Suiteの統合のテクニカル・リファレンス・ペーパーを参照してください。
この機能を使用するには、「外部メッセージ」機能タイプの機能構成オプションが構成される必要があります。
-
オプション・タイプ「IWSでのSPMLデプロイメントのサポート」をtrueに設定します。
-
実装ルールごとに、オプション・タイプ「デフォルトSPMLサービスセキュリティポリシ-」を適切な値に設定します。
テンプレート・ユーザー機能
この製品のユーザー・オブジェクトは、アクセスおよび作業環境を制御するために使用される構成を取得します。ID管理製品では、この製品に固有のユーザー構成を取得するために構成を拡張できます。ただし、有効な値を選択するための検索またはドロップダウンの提供はサポートしていません。たとえば、ユーザーの「ホーム・ページ」を定義するには、ナビゲーション・オプションへの参照が必要です。ID管理製品でユーザーを定義するときにホーム・ページが構成されるようにビジネス・プロセスを設定する場合、正しいナビゲーション・オプションの参照によるセキュリティ・ユーザー・タイプが必要です。
その一方で、ID管理製品で最小量のユーザー情報を定義する場合、ユーザーを定義する2ステップのプロセスになることがあります。まず、Basic認証詳細および一部の重要なフィールドに対してシステムがデフォルト設定した設定を使用して、ID管理製品でユーザーを定義し、次に、この製品に追加されるように新しいユーザーを発行した後で、この製品の「ユーザー」ページにナビゲートし、この製品に固有の構成をすべて入力します。
製品では、ユーザーの定義を容易にし、前述の大変な作業を少なくすることができるテンプレート・ユーザーの定義がサポートされています。概念は次のとおりです。
-
システム内のユーザーの大きなカテゴリごとにテンプレート・ユーザーを定義します。たとえば、Oracle Utilities Mobile Workforce Managementでは、「ディスパッチャ」、「モバイル作業者」、「システム管理者」および「契約者」のテンプレート・ユーザーを定義します。各ユーザーは、ホーム・ページ、ユーザー・グループ、作業予定役割、ポータル作業環境などを含む、そのタイプのユーザーに一般的な構成を定義します。
-
ID管理製品で構成を拡張するとき、ユーザーに固有の情報を単にマップし、さらに、テンプレート・ユーザー用にフィールドを定義します。たとえば、ユーザーの「名前」(名および姓)、「Eメール・アドレス」および「ユーザーID」をその「テンプレート・ユーザー」(ユーザー特性にマップされています)とともに取得することのみを選択します。新しいユーザーを定義するときに、実装のビジネス・ニーズに従って、ID管理製品での取得に追加のフィールドを含むことができます。たとえば、組織が複数のタイム・ゾーンを使用している場合、ユーザーをID管理製品で定義するときにユーザーのタイム・ゾーンを定義するほうが容易です。
-
新しいユーザーがシステムにアップロードされると、インタフェースがユーザー・ビジネス・オブジェクトF1–IDMUserを使用してユーザーを作成します。ビジネス・オブジェクトには、テンプレート・ユーザーの存在(タイプF1-TMUSRの特性として送信されます)を検索する前処理アルゴリズムが含まれます。Identity Managerから渡された情報を除いて、テンプレート・ユーザーのすべての情報が、新しいユーザー・レコードにコピーされます。テンプレート・ユーザーは、新しく作成されたユーザーについて、情報 / 監査目的で特性を介して取得されます。
-
新しいユーザーが作成されると、適用可能な場合は、その構成を調整できます。テンプレート・ユーザーは、ユーザーの追加時に使用されるツールにすぎないことに注意してください。テンプレート・ユーザーに対する更新は、そのテンプレートに基づいて作成された他のすべてのユーザーに広がりません。
テンプレート・ユーザーの構成
テンプレート・ユーザーを構成する前に、タイム・ゾーン、表示プロファイル、作業予定役割、データ・アクセス役割、ユーザー・グループなど、ユーザー構成の一部である管理制御表のすべてを定義する必要があります。
次のステップは、システム・ユーザーのユーザー構成を定義することです。これを実行するときに、ユーザーの大きいカテゴリがあることがわかります。しかし、ユーザーの特定のカテゴリ内で、ユーザー権限および作業環境に差異がある場合があることもわかります。たとえば、「モバイル作業者」の役割には、一般的なモバイル作業者よりも多くのセキュリティ権限を持つ監督者があります。また、ユーザー自身の属性に基づいて差異がある場合があります。たとえば、組織が複数のタイム・ゾーンに存在し、一部の作業者はあるタイム・ゾーンに存在し、別の作業者は他のタイム・ゾーンに存在する場合があります。
この時点で、ユーザー・プロビジョニング手順を設計しているセキュリティ・ユーザーは、次のことを決定する必要があります。
-
新しいユーザーに関する(「名前」、Eメール、「ユーザーID」などの想定される情報以外に)どの情報をIDシステムで取得しますか。たとえば、複数のタイム・ゾーンがある場合は、ユーザーを定義するときにタイム・ゾーンを取得するのが最善の解決策でしょう。
テンプレート・ユーザーでどの情報を定義し、手動のステップの必要性またはID管理システムで取得する追加データの必要性を軽減するために、テンプレート・ユーザーをいくつ作成する必要がありますか。複数のタイム・ゾーンがある場合では、テンプレート・ユーザーを大幅に増加させて、あるタイム・ゾーンには1つのセット、別のタイム・ゾーンには別のセットを持つようにすることは、異なるフィールドが1つのため意味がありません。しかし、異なるカテゴリの作業者について、権限のレベルに溝がある場合は、追加テンプレートの作成が妥当なことがあります。そのため、組織では、「ディスパッチャ」、「モバイル作業者」、「システム管理者」および「契約者」のテンプレート・ユーザーではなく、「ディスパッチャ」、「モバイル作業者」、「モバイル作業者(監督者)」、「システム管理者」、「契約者(短期)」および「契約者(長期)」のテンプレート・ユーザーを持つことが考えられます。
ユーザーを追加した後、アプリケーション内でユーザー・レコードについて構成する必要がある情報は何か。他のユーザーとの差異があるユーザーが少数のみの場合、それらのユーザー・レコードを単に手動で更新することが、その差異を処理する最も簡単な方法であることがあります。前述の例を使用します。
-
組織が2つのタイム・ゾーンを使用しているものの、1つのタイム・ゾーンで作業するのは少人数のグループのみであるのに対して、ユーザーの大部分はもう1つのタイム・ゾーンで作業している場合、最も単純な手順は、主要なタイム・ゾーンに対してテンプレート・ユーザーを定義し、そのテンプレートをすべてのユーザーの作成に使用することだと考えられます。その後、別のタイム・ゾーンの少人数のユーザーのグループに対して、レコードが追加された後に「ユーザー」ページにナビゲートしてタイム・ゾーンを調整します。
-
少数のモバイル作業者のみが別の権限を持つ監督者の場合、それらのタイプの作業者に特別なテンプレート・ユーザーを定義するのではなく、「モバイル作業者」テンプレートを使用して、レコードが追加された後で「ユーザー」ページにナビゲートして、監督者ユーザーに追加権限を追加するほうが簡単な手順です。
-
テンプレート・ユーザーを作成するには、を使用してナビゲートします。
-
ID管理システムでテンプレート・ユーザー参照になる「ユーザーID」を定義します。
-
「テンプレート・ユーザー」の「ユーザー・タイプ」を必ず選択してください。
-
このユーザーをテンプレート・ユーザーとして参照する新しいユーザーにコピーする必要があるすべての情報を定義します。テンプレート・ユーザーからコピーされるデータには、「ブックマーク」は含まれないことに注意してください。