問題タブ [identity-management]

OIM11gR2PS3 ボックスに Active Directory コネクタ (11.1.1.6.0) があります。

AD ターゲット リコンを実行すると、ユーザー リソース プロファイルはターゲット値で正常に更新されますが、リソース履歴で「調整更新の受信」タスクが生成されません。

これは、一部のユーザーのみに発生する断続的な問題です。

なぜそのような振る舞いをしているのか誰にも分かりますか？

OIM PS3環境で構成されたロール・ベースのアクセス・ポリシーがあります。ユーザーがプロビジョニングされるたびに、ロール「A」ユーザーはADアカウントを取得する資格があり、その逆も同様です。ただし、ユーザー ポリシーの評価ジョブを複数回実行した後でも、これは発生しません。

データベースでロールの割り当てを確認しているときにUSER_PROVISIONING_ATTRS.POLICY_EVAL_NEEDED、1そのユーザーに適切に表示されているが、ユーザーにアカウントをプロビジョニングしていない場合。

スケジューラは常に成功を返しています。

スケジューラーの完了を投稿して、USER_PROVISIONING_ATTRS.POLICY_EVAL_NEEDEDis0とUSER_PROVISIONING_ATTRS.POLICY_EVAL_IN_PROGRESSis 0.

どんな助けでも大歓迎です。

非常に多数のユーザー (数百万) が存在し、少数のユーザー グループ (100) と少数のアプリケーション (100) を持つユーザー管理システムを設計しています。ユーザーをグループに追加/グループから削除できます。ユーザーには、アプリケーションごとに役割が与えられます。たとえば、あるユーザーがアプリケーションに対して GUEST ロールを持ち、別のユーザーがアプリに対して管理ロールを持つ場合があります。アプリケーションに関連付けられた役割/資格を持つユーザーは、アプリケーションにアクセスできます。

そのようなシステムの ACL を作成するための業界レベルのアプローチは何ですか。

私が考えることができる最も簡単な方法は、xml ファイル (または JSON) を作成し、それをすべてのユーザー プロファイルに添付することです。たとえば、「ユーザー A」の場合は次のようになります。

現在、対処すべきユースケースがいくつかあります。たとえば、次のとおりです。

• 提案システムは、ユーザーのグループ全体に特定の役割を割り当てることができる必要があります。この場合、a) User を Group に参照し、Group を App に参照しますか? または b) グループ内の各ユーザーをループ内で 1 つずつアプリに参照します。

• グループのユーザー、または特定のアプリにアクセスしているユーザーを簡単に確認 (クエリ) できる必要があります。

• ユーザー/アプリ/グループの関係ごとに個別のデータベース レコードを作成して保存する方がよいでしょうか? 「シャドー」レコードのようなもの。

このようなシステムの ACL を設計するための業界のガイドラインまたはアプローチは何ですか?

全体として、システムで次の一般的なタスクを実行できるはずです。

• ユーザー プロファイルと、関連付けられているアプリとグループを取得する
• 特定のグループのメンバーとその役割を取得します (はい、グループも役割を持つことができます)
• 特定のアプリのユーザーとその役割を取得する
• 特定のアプリまたはグループのすべてのユーザーのロールを削除/編集する
• 新しいユーザーをグループに追加する
• ユーザーのグループにアプリを追加する
• ユーザーのグループからアプリを削除する

こんにちは、Active Directory 11.1.6.0.0 コネクタが構成された OIM11gR2PS3 環境がインストールされています。AD リソースにアタッチされたパスワード ポリシーがあります。

以前のユーザーは、AD アカウントをプロビジョニングしていました。しかし、ここ数日、OIM AD アカウントでのユーザー作成に基づいて、アカウント タブに表示されません。アクセス ポリシーが正しく構成されていることを確認しました。ユーザーは、ロール メンバーシップに基づいて正しいロールも取得しました。

OIMサーバーのoim-server1-dgnostic.logファイルを確認したところ、スタック・トレースの下に見つかりました:

早い段階でどんな助けでも役に立ちます。

OIM11gR2PS3ボックスにデータベースアプリケーションテーブル( DBAT ) コネクタを取り付けました。Incremental Reconciliation スケジューラ用にカスタム groovy スクリプトを配置していますが、groovy に sysout ステートメントだけを配置しても、スクリプトが呼び出されません。

コネクタ構成ルックアップを確認したところ、groovy ファイルの値は次のように正しく構成されています。

oim_server1-dignostic.log ファイルに以下のエラーが表示される

早い段階でどんな助けでも役に立ちます。

role_assignment および role_revoke 操作をインターセプトする 1 つのイベント ハンドラーをコーディングしました。

リモート サーバーで Web サービスを実行する必要があり、応答が 200 _ OK の場合は何もしたくありません。

しかし、応答が 200 でない場合は、役割の割り当てに失敗する必要があります。

どうすればいいですか？

私はOIMで親子の役割に取り組んでいました。ロール A が親で、ロール B が子であるとします。ロール A にはアクセス ポリシー A がアタッチされており、同様にロール B にはアクセス ポリシー B がアタッチされています。ロール B (子ロール) をユーザーに割り当てると、ロール A がロール B と共にユーザーに自動的にプロビジョニングされます (予期される動作)。

ロール B 関連の資格は割り当てられますが、ロール A の資格は割り当てられません (アクセス ポリシーがトリガーされない場合でも)。ロール A を任意のユーザーに割り当てると、対応する資格が割り当てられるため、アクセス ポリシーに問題はありません。

どんな助けでも大歓迎です。

OIM API を使用してユーザーを作成しているときに --> イベント ハンドラがトリガーされる

OIM GUI を使用してユーザーを作成しているときに --> イベント ハンドラがトリガーされる

OIM SCIM APIを介してユーザーを作成している間->イベント・ハンドラがトリガーされません...

手がかりはありますか？