アフィリエイトによるアイデンティティ・ペルソナの処理
Oracle Access Governanceのアフィリエイトでは、1つのアイデンティティが組織内に複数のペルソナを持ち、それぞれが独自のデータ、アカウントおよびアクセスに関連付けられます。これは、認可ソース・システムによって認識される1つ以上の単純または複雑な属性で構成されます。
提携の概要
アフィリエイトを使用すると、管理者は、特定のアイデンティティ属性をマッピングし、スクリプトを使用してソース・システムから導出値を作成することで、新しいアフィリエイト属性を定義できます。
多くの大規模組織(大学、政府など)では、1つのアイデンティティ(個人)が、学生や教職員などの複数の役割または関連会社を持つ場合や、2つの異なる職務(看護師や在宅医療従事者など)を持つ場合があります。各所属には、異なるアカウント/アクセスが必要な場合があり、個別に管理する必要があります。
アフィリエイトは、jobDataなどの複雑な配列ベースの属性データをフラット化および分離するために役立つため、各アフィリエイトとその関連属性は、接続された管理対象システムへのプロビジョニングおよびレポートのために簡単に処理できます。
アフィリエイトは、対応するアフィリエイト属性を定義することによって、複雑な属性から個々の子属性を公開するメカニズムも提供します。所属ルールを使用して、複合属性から特定の所属属性に値をマップできます。さらに、使用フラグは、これらのアフィリエイト属性でのみ更新および管理できます。
適用対象 : Peoplesoft、Flat File、DBATおよびすべての認可ソース。
複数の提携プロセス・フロー
アフィリエイトを構成および使用する方法は、次のとおりです。
アフィリエイトを構成するステップごとのワークフローについては、Configure and Manage Affiliationsを参照してください
- 所属を定義するオーケストレート済システムを選択します。
- (オプション)サポートする複雑なアイデンティティ属性を作成します。
- わかりやすい名前を指定して、所属詳細を追加します。
- 子アイデンティティ属性を関連に含めます。
user.getなどの関数を使用してルールを追加し、ソース値を指定します。- 関係会社を検証および発行します。
- 完全データ・ロードを実行します。
- 「アイデンティティ属性」ページからアフィリエイトのアイデンティティ・フラグを有効にします。
- エンタープライズ全体のブラウザでアイデンティティ属性を確認します。
アフィリエイトの例
アフィリエイトの仕組みのエンドツーエンドの例を見てみましょう。シナリオを使用して、システムによるアフィリエイトの作成から最終的な属性マッピングへの処理方法を理解します。
大規模な大学では、アレックスという人物が両方とも:
- エンジニアリングキャンパスの大学院生
- ビジネススクールのパートタイム講師
Alexは、これらのロールごとに異なるタイプのアクセスおよびアカウントを必要とします。例:
- 学生: ライブラリ・アクセス、学生Eメール、コース登録
- 講師: 教職員Eメール、成績評価システム・アクセス、部門リソース
"jobData": [
{
"employeeRecord": "0",
"jobType": "Graduate Student",
"department": "Engineering",
"company": "University",
"fullPartTime": "F",
"emplStatus": "A",
"supervisorUid": "dr_brown",
"lastUpdateTimestamp": "2025-06-01T09:00:00Z"
},
{
"employeeRecord": "1",
"jobType": "Instructor",
"department": "Business School",
"company": "University",
"fullPartTime": "P",
"emplStatus": "A",
"supervisorUid": "prof_wilson",
"lastUpdateTimestamp": "2025-06-05T09:00:00Z"
}
]ステップ1: Affiliation Builder設定
管理者として、このシナリオに対して次の2つの関係会社を作成します。-
PrimaryJobAffiliation:
employeeRecord == '0'(大学院生)のフィルタ -
SecondaryJobAffiliation:
employeeRecord == '1'(インストラクタ)のフィルタ
ステップ2: アフィリエイトへの属性の追加
- jobType
- 部門
- 会社
- fullPartTime
- emplStatus
- supervisorUid
- lastUpdateTimestamp
ステップ2: ジョブを抽出するためのスクリプトの定義
次のスクリプトは、アイデンティティのカスタム属性からジョブ関連データを取得し、従業員レコード番号に基づいて変数PrimaryJobAffiliationまたはSecondaryJob1Affiliationにマップします。
var jobDataList = user.getCustomAttributes() ? user.getCustomAttributes()['jobData'] : null;
function getJobByRecord(recordNum) {
if (jobDataList != null) {
for (var i = 0; i < jobDataList.length; i++) {
if (jobDataList[i]['employeeRecord'] == recordNum) {
return jobDataList[i];
}
}
}
return null;
}
var primaryJob = getJobByRecord("0"); // Graduate Student
var secondaryJob = getJobByRecord("1"); // Instructor
function mapJobToAffiliation(job, affiliationPrefix) {
if(job != null){
return {
[affiliationPrefix + "jobType"]: job['jobType'],
[affiliationPrefix + "department"]: job['department'],
[affiliationPrefix + "company"]: job['company'],
[affiliationPrefix + "fullPartTime"]: job['fullPartTime'],
[affiliationPrefix + "emplStatus"]: job['emplStatus'],
[affiliationPrefix + "supervisorUid"]: job['supervisorUid'],
[affiliationPrefix + "lastUpdateTimestamp"]: job['lastUpdateTimestamp']
};
}
return {};
}
var primaryJobAttrs = mapJobToAffiliation(primaryJob, "PrimaryJobAffiliation.");
var secondaryJobAttrs = mapJobToAffiliation(secondaryJob, "SecondaryJobAffiliation.");- PrimaryJobAffiliation.jobType:大学院生
- PrimaryJobAffiliation.company:大学
- PrimaryJobAffiliation.supervisorUid: dr_brown
- SecondaryJobAffiliation.department:ビジネス・スクール
- SecondaryJobAffiliation.jobType:インストラクタ
- SecondaryJobAffiliation.company:大学
- SecondaryJobAffiliation.supervisorUid: prof_wilson
アフィリエイトは、アイデンティティ・コレクション、組織、アクセス・ガードレールを定義するときなど、アイデンティティ属性を使用できるすべての場所で使用できます。これらの属性は、アクセスのレビュー中やイベント・アクセス・レビューの変更(有効な場合)にも使用できます。