Oracle Cloud Infrastructureドキュメント

SAP User Management (UM)との統合の構成

前提条件

SAP User Management (UM) Orchestrated Systemをインストールおよび構成する前に、次の前提条件およびタスクを考慮する必要があります。

サービス・ユーザー・取引先の作成

Oracle Access Governanceでは、サービス操作中にSAP User Management (UM)システムにアクセスするには、ユーザー・アカウントが必要です。使用しているシステムに応じて、管理対象システムにユーザーを作成し、特定のグループ、ロール、パラメータおよびプロファイルをユーザーに割り当てることができます。

SAP User Management (UM)でのオーケストレート済システム操作のサービス・ユーザー・アカウントの作成

操作用のSAP User Management (UM)ユーザー・アカウントを作成するには:

  1. S_IDOC_ALLプロファイルでCPICユーザーを作成します。
  2. 対応するデフォルトのパラメータ値とともに、次の認証を追加します。
    • S_RFC
    • タブ表示
    • S_タブナム
    • S_USER_AGR
    • ユーザー自動
    • S_ユーザー・グループ
    • ユーザープロファイル
    • サインイン
    • ユーザーシステム
  3. パラメータ値は次のように変更します。

    S_RFCの場合

    • ACTVT: 16
    • RFC_NAME: *
    • RFC_TYPE: FUGR

    S_TABU_DISの場合

    • ACTVT: 03,02
    • DICBERCLS: SUSR,*

    S_TABU_NAMの場合

    • ACTVT: 03,02
    • 表: USH*,USR*,USZ*,AGR_TEXTS

    S_USER_AGRの場合

    • ACTVT: 03,22,02
    • ACT_GROUP: *

    S_USER_AUTの場合

    • ACTVT: 03
    • 認証: *
    • オブジェクト: *

    S_USER_GRPの場合

    • ACTVT: 01,02,03,05,06,08,22,78,PP
    • クラス: *

    S_USER_PROの場合

    • ACTVT: 03,22
    • プロファイル: *

    S_USER_SASの場合

    • ACTVT: 01,06,22
    • ACT_GROUP: *
    • クラス: *
    • プロファイル: *
    • サブシステム: *

    S_USER_SYSの場合

    • ACTVT: 78
    • サブシステム: *

構成

接続の詳細を入力することで、SAP User Management (UM)とOracle Access Governanceの間の接続を確立できます。これを実現するには、Oracle Access Governanceコンソールで使用可能な調整されたシステム機能を使用します。

「Orchestrated Systems」ページに移動します。

Oracle Access Governanceコンソールの「Orchestrated Systems」ページでは、オーケストレート済システムの構成を開始します。

次のステップに従って、Oracle Access Governanceコンソールの「Orchestrated Systems」ページにナビゲートします。
  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「Service Administration」→「Orchestrated Systems」を選択します。
  2. ワークフローを開始するには、「オーケストレート済システムの追加」ボタンを選択します。

システムの選択

ワークフローの「システムの選択」ステップで、Oracle Access Governanceと統合するシステムのタイプを指定できます。

「検索」フィールドを使用して、名前で必要なシステムを検索できます。

  1. 「SAP User Management (UM)」を選択します。
  2. 「次へ」をクリックします。

詳細の追加

名前、説明、構成モードなどの詳細を追加します。

ワークフローの「詳細の追加」ステップで、オーケストレート済システムの詳細を入力します:
  1. 「名前」フィールドに、接続先のシステムの名前を入力します。
  2. 「説明」フィールドに、システムの説明を入力します。
  3. このオーケストレート済システムが信頼できるソースかどうか、および次のチェック・ボックスを設定してOracle Access Governanceが権限を管理できるかどうかを決定します。
    • これは私のアイデンティティの認証ソースです

      次の項目から選択します。

      • アイデンティティとその属性のソース: システムは、ソース・アイデンティティおよび関連する属性として機能します。新しいアイデンティティは、このオプションを使用して作成されます。
      • アイデンティティ属性のソースのみ: 追加のアイデンティティ属性の詳細が取り込まれ、既存のアイデンティティに適用されます。このオプションは、新規アイデンティティ・レコードを取込みまたは作成しません。
    • このシステムの権限を管理します
    各ケースのデフォルト値は「未選択」です。
  4. 「次へ」を選択します。
ノート

SAP User Management (UM)オーケストレート済システムでは、「このオーケストレート済システムのアイデンティティ・コレクションを管理したい」オプションを使用して、SAP User Management (UM)でグループを管理できます。選択すると、このチェック・ボックスを使用して、Oracle Access Governance内からSAP User Management (UM)グループを管理できます。SAP User Management (UM)グループに加えられた変更は、Oracle Access Governanceとオーケストレート済システムの間で調整されます。同様に、SAP User Management (UM)で行われた変更は、Oracle Access Governanceに反映されます。

所有者の追加

プライマリ所有者と追加の所有者を編成済システムに追加して、リソースを管理できるようにします。

リソース所有権を関連付けるには、プライマリ所有者と追加所有者を追加します。これにより、これらの所有者は所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。デフォルトでは、リソース作成者はリソース所有者として指定されます。1人のプライマリ所有者と最大20人の追加所有者をリソースに割り当てることができます。
ノート

サービス・インスタンスに対して最初のオーケストレート済システムを設定する場合、「アイデンティティの管理」セクションからアイデンティティを有効にした後にのみ所有者を割り当てることができます。
所有者を追加するには:
  1. 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceのアクティブ・ユーザーをプライマリ所有者として選択します。
  2. 「他の所有者は誰ですか。」リストで1つ以上の追加所有者を選択します。リソースに最大20人の追加所有者を追加できます。
リストの「プライマリ所有者」を表示できます。すべての所有者は、所有するリソースを表示および管理できます。

アカウント設定

通知設定を含むオーケストレート済システムを設定する際のアカウント設定の管理方法の詳細と、アイデンティティが組織を移動または離れた場合のデフォルト・アクションの概要を示します。

ワークフローの「アカウント設定」ステップで、システムが管理対象システムとして構成されている場合、Oracle Access Governanceでアカウントを管理する方法を入力します:
  1. 権限が要求され、アカウントがまだ存在しない場合は、このオプションを選択して新しいアカウントを作成します。このオプションはデフォルトで選択されています。選択すると、権限が要求されたときにアカウントが存在しない場合、Oracle Access Governanceによってアカウントが作成されます。このオプションをクリアすると、権限はオーケストレート済システム内の既存のアカウントに対してのみプロビジョニングされます。アカウントが存在しない場合、プロビジョニング操作は失敗します。
  2. アカウント作成時の通知電子メールの受信者を選択します。デフォルトの受信者は「ユーザー」です。受信者が選択されていない場合、アカウントの作成時に通知は送信されません。
    • ユーザー
    • ユーザー・マネージャ
  3. 既存のアカウントの構成
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。
    1. 早期終了開始時のアカウントの処理の選択: 早期終了の開始時に実行する処理を選択します。これは、正式な退職日より前にアイデンティティ・アクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムでアクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
      • アクションなし: アイデンティティにOracle Access Governanceによる早期終了のフラグが付けられている場合、アクションは実行されません。
    2. 退職日のアカウントの処理の選択: 正式な退職時に実行する処理を選択します。これは、正式な退職日にIDアクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムで「削除」アクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
        ノート

        特定のオーケストレート済システムで「無効化」アクションがサポートされていない場合は、アカウントが削除されます。
      • アクションなし: Oracle Access Governanceでは、アカウントおよび権限に対するアクションは実行されません。
  4. アイデンティティが企業を離れたときは、そのアカウントへのアクセス権を削除する必要があります。
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。

    アカウントに対する次のアクションのいずれかを選択します。

    • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
    • 無効化: すべてのアカウントを無効化し、権限を非アクティブとしてマークします。
      • 無効化されたアカウントの権限の削除: アカウントの無効化時に直接割り当てられ、ポリシーで付与された権限を削除して、残存アクセスをゼロにします。
    • アクションなし: アイデンティティが組織を離れるときにアクションを実行しません。
    ノート

    これらのアクションは、オーケストレートされたシステム・タイプでサポートされている場合にのみ使用できます。たとえば、「削除」がサポートされていない場合、「無効化」および「アクションなし」オプションのみが表示されます。
  5. アカウントのすべての権限が削除された場合(アイデンティティが部門間を移動する場合など)、アカウントの処理を決定する必要がある場合があります。オーケストレート済システム・タイプでサポートされている場合、次のいずれかのアクションを選択します。
    • 削除
    • 使用不可
    • 処理なし
  6. アクセス・ガバナンスで作成されていないアカウントの管理: オーケストレート済システムで直接作成されるアカウントを管理する場合に選択します。これにより、既存のアカウントを調整し、Oracle Access Governanceから管理できます。
ノート

システムを管理対象システムとして構成しない場合、ワークフローのこのステップは表示されますが、有効になりません。この場合、ワークフローの「統合設定」ステップに直接進みます。
ノート

オーケストレート済システムで、汎用RESTおよびデータベース・アプリケーション表の統合と同様に動的スキーマ検出が必要な場合は、オーケストレート済システムの作成時に通知電子メールの宛先(ユーザー、Usermanager)のみを設定できます。モーバーおよびリーバの無効化/削除ルールは設定できません。これを行うには、オーケストレート済システムを作成してから、「オーケストレート済システム・アカウント設定の構成」の説明に従ってアカウント設定を更新する必要があります。

統合設定

SAP User Management (UM)システムへの接続の詳細を入力します。

  1. ワークフローの「統合設定」ステップで、Oracle Access GovernanceがSAP User Management (UM)システムに接続できるようにするために必要な詳細を入力します。

    統合設定
    パラメータ名 必須? 説明
    SAPホストは何ですか。 はい Oracle Access Governanceと統合するディレクトリのホスト名またはIPアドレス(example.com, 172.20.55.120など)。
    SAPクライアントは何ですか。 はい SAP User Management (UM)クライアント設定の値。たとえば、800です。
    SAPマスターシステムとは? はい SAP User Management (UM)システムの識別に使用されるRFC宛先の値を入力します。この値は論理システム名と同じである必要があります。

    サンプル値: OH2CLNT800

    マスター・システム値は、 <SYSTEM_ID>CLNT<CLIENT_NUM>の組合せです。

    前述のサンプル値では、OH2は管理対象システムのシステムID、800はクライアント番号です。
    SAPインスタンス番号は何ですか。 はい これは、インストール時にSAP User Management (UM)インスタンスに割り当てられる2桁の識別子です。

    たとえば、00です。
    SAPシステムと対話するために使用される宛先は何ですか。 はい SAP User Management (UM)システムとの接続を確立するための一意の値を入力します。

    例: dest123
    SAPにログインするためのユーザー名は何ですか。 はい SAP User Management (UM)システムのユーザー名を入力します。
    SAPへのログインに使用したユーザーのパスワードは何ですか。 はい SAP User Management (UM)システムのパスワードを入力します。
    パスワードの確認 はい パスワードを確認します。
    ダミー・パスワード値は何ですか。 はい ユーザー作成プロビジョニング操作時に管理対象システムで使用するダミー・パスワードを入力します。管理対象システムでは、まずパスワードをこの値に設定してから、プロセス・フォームで指定されたパスワードに変更します。
    パスワードの確認 はい パスワードを確認します。
    SAPルーター文字列は何ですか。 いいえ このパラメータは、ファイアウォールによって保護されているシステムに使用します。
    どちらのタイプのロールを調整しますか。 はい SAP User Management (UM)システムからリコンサイルするロールのタイプを選択します。
    • 両方: ターゲットから単一ロールとコンポジット・ロールの両方をフェッチします。
    • 単一ロール: ターゲット・システムから単一ロールのみを取得します。
    • コンポジット・ロール: ターゲットからコンポジット・ロールのみをフェッチします。
    カスタムJarの詳細 はい sapjco3.jarファイルの詳細を< JAR NAME >::< JAR CHECKSUM >の形式で指定します。
  2. 「追加」をクリックして、オーケストレート済システムを作成します。

完了

さらにカスタマイズを実行するか、データ・ロードをアクティブ化して実行するかの詳細を指定して、オーケストレート済システムの構成を終了します。

ワークフローの最後のステップは、「終了」です。

ワークフローの「終了」ステップで、Oracle Access GovernanceとSAP User Management (UM)の間のインタフェースに使用するエージェントをダウンロードするように求められます。「ダウンロード」リンクを選択して、エージェントが実行される環境にエージェント・zipファイルをダウンロードします。

エージェントをダウンロードしたら、エージェント管理の記事で説明されている手順に従います。

エージェント初期化用の起動前構成

エージェントを起動する前に、カスタムJARをエージェントに追加し、config.jsonおよびconfig.propertiesファイルで次の構成を完了していることを確認します。

カスタムJARを追加するには:

  1. カスタムJARフォルダに移動します。

    <AGENT_HOME>/<PERSISTENT_VOLUME_LOCATION>/data/customJars

  2. SAPJco JARファイルを追加します。

config.jsonの場合:

  1. config.jsonファイルのデフォルトの場所に移動します。

    <AGENT_HOME>/<PERSISTENT_VOLUME_LOCATION>/data/conf/config.json

  2. 次のプロパティを更新します。

    "numberOfOperationsWorkerThread": 1,

config.propertiesの場合:

  1. config.propertiesファイルのデフォルトの場所に移動します。

    <AGENT_HOME>/<PERSISTENT_VOLUME_LOCATION>/data/conf/config.properties

  2. 次のプロパティを更新します。

    idoConfig.numberOfOperationsWorkerThread=1

構成ファイルを更新した後、エージェントを起動できます。

最後に、データ・ロードを実行する前にオーケストレート済システムをさらに構成するか、デフォルト構成を受け入れてデータ・ロードを開始するかを選択できます。次の中から1つ選択します。
  • システムでデータ・ロードを有効化する前にカスタマイズします
  • 指定されたデフォルトで、データ・ロードのアクティブ化と準備を行います

構成後処理

SAP User Management (UM)システムに関連付けられた構成後ステップはありません。