| Oracle® Fusion Middleware Oracle Identity Manager管理者ガイド 11g リリース1(11.1.1) B62264-03 |
|
 前 |
 次 |
OracleはOracle Identity Managerで利用できる機能を補完して拡張する様々な技術を提供していますが、これらのいくつかについてこの章で説明します。Oracle Identity Managerと統合可能な技術の詳細は、Oracle Fusion Middleware統合の概要に関する説明を参照してください。図11-1に、他のOracleコンポーネントに対するOracle Identity Managerの統合を示します。
この章では、Oracle Identity Managerと次のOracleコンポーネントとの統合について説明します。
Oracle Access Manager (OAM)は、フレキシブル認証とシングル・サインオン(SSO)の組合せ、アイデンティティ・フェデレーション、リスクベース認証、事前対応型の企業不正防止、きめ細かい権限付与により、アプリケーション、データおよびクラウドベースのサービスを保護します。
WebベースのSSOにより、1つの認証ステップで複数のアプリケーションに安全にアクセスできます。OAMとOracle Identity Managerを組み合わせると、OAMにより、Oracle Identity Administrationや他のOracle Identity ManagementコンポーネントでSSOを有効化できます。
Oracle Identity Manager、OAMおよびOracle Adaptive Access Manager (OAAM)は、共通のLDAP属性セットを共有し、ワークフローやその他のプロセスを管理しやすくすることで効率性を向上させます。統合されたパスワード管理により、OAM、OAAMおよびOracle Identity Managerへのログインや、期限切れおよびパスワード忘れの管理が容易になります。
統合の詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOIMとOAM間の統合に関する項を参照してください。
OAAMは、Webベースの接続に対する洗練されたマルチファクタ認証と事前対応型のリアルタイムの不正防止機能を提供します。OAAMが提供するこのような機能の1つに、リスクベース認証があります。OAAMのリスクスコアリング・エンジンは、行われるトランザクションのタイプと不正が発生する可能性に基づいてユーザーの認証を許可するかどうかを評価し、リアルタイムでなりすましに対処します。次に、OAAMリスクスコアリング・エンジンは、パブリック・データ・ソースとプライベート・データ・ソースの組合せに基づいて作成される、動的に生成された一連の質問にユーザーがどう答えるかを評価します。その後、OAAMにより不正スコアが生成され、ユーザーはトランザクションの継続を許可されるか、またはアクセスを拒否されます。Oracle Identity Managerと統合すると、OAAMの堅牢なチャレンジ質問機能セットがOracle Identity Managerのより限定的なセットに置き換わり、パスワードの検証、格納、伝播が処理されます。
Oracle Identity ManagerをOAMおよびOAAMと統合した場合のパスワード管理の実行方法の詳細は、Oracle Fusion Middleware Oracle Access Manager統合ガイドのパスワード管理のデプロイメント・オプションに関する項を参照してください。
統合の詳細は、Oracle Fusion Middleware Oracle Access Manager統合ガイドのOracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合を参照してください。
Oracle Identity Analytics (OIA)(旧称Sun Role Manager)には、ユーザー・アクセスを監視、分析、検討そして管理できる豊富なアイデンティティ分析とダッシュボードが用意されており、これらを使用して、リスク軽減、透過性の構築、そしてコンプライアンス要件の達成が実現されます。
Oracle Identity Managerと統合すると、Oracle Identity Analyticsはロールベースのアクセス管理(RBAC)フレームワーク、アテステーション・プロセスおよび職務の分離(SoD)ポリシーの実施方法を定義し、Oracle Identity Managerは自動プロビジョニングとアイデンティティ同期ソリューションとしての役割を果たします。個々のアクセス・エンタイトルメントを割り当てるかわりに、組織はRBACフレームワークを使用し、各種アプリケーションのユーザー・アクセスの制御方法としてロールを割り当てたり解除することができます。
Oracle Identity Analyticsにおける統合の詳細は、次のURLにあるOracle Identity Analytics 11g R1システム・インテグレーターズ・ガイドのOracle Identity Managerとの統合で推奨される方法に関する説明を参照してください。
Oracle Identity Managerは、ユーザー、アカウントおよびエンタイトルメントに関するデータの信頼できるソースです。したがって、統合されたデプロイメントにおいて、OIAではOracle Identity Managerからの次のデータが必要となります。
ユーザー属性
アカウント属性(割り当てられたエンタイトルメントを含む)
エンタイトルメント
データ同期の要件は次のとおりです。
OIAでは、Oracle Identity Managerからのユーザー、アカウントおよびエンタイトルメントに関する増分変更ログの更新が必要となります。
OIAでは、非定型ベースで、Oracle Identity Managerからのエンティティ(ユーザー、アカウントおよびエンタイトルメントなど)の完全なセットが必要となります。
Oracle Identity Manager 11g リリース1(11.1.1)では、次を活用してデータ同期を実行できます。
構成可能な数のエンティティのデータ収集をOIAが開始するためのAPI。さらに、データ収集のステータスをOIAが取得するためのAPI。
Oracle Identity Manager APIの使用についての詳細は、Oracle Fusion Middleware Oracle Identity Manager向けJava APIリファレンス、およびOracle Fusion Middleware Oracle Identity Manager開発者ガイドのAPIの使用に関する説明を参照してください。
Oracle Identity Managerのトランザクション表からステージング表へのデータ収集を実行するストアド・プロシージャ。
この項では、次のトピックを活用したデータ収集プロセスについて説明します。
DataCollectionOperationsIntf APIインタフェースでは、次のAPIが提供されます。
void startDataCollection(String sessionID, Map entities): このAPIは、単一セッションのデータ収集プロセスを開始します。パラメータは次のとおりです。
sessionID: 特定のセッションを識別する一意の文字列。単一のデータ収集セッションの一部を形成するAPIを繰り返し起動するときは、この文字列が同一である必要があります。
entities: データ収集を実行するすべてのエンティティおよび開始日を含むMap。ユーザーおよびエンタイトルメントという2つの静的エンティティがあります。残りはOracle Identity Managerにおけるリソース・オブジェクト名になります。エンティティまたはリソース・オブジェクト名が見つからない場合、それらは無視され、データ収集は実行されません。Map内の値は、タイムスタンプを表すjava.util.Dateオブジェクトです。この値がNULLの場合、そのエンティティのすべてのデータが移入されます。データがNULL以外の場合、その日付以降に変更されたエンティティのステージング表にデータが移入されます。
String checkStatus(String sessionID): このAPIは、指定されたデータ収集セッションのステータスをチェックします。このAPIは、次のステータスを戻します。
INITIATED
IN PROGRESS
COMPLETED
FAILED
FINALIZED
void finalizeSession(String sessionID): このAPIは、ステージング表の切捨ておよびその他のクリーンアップ・アクティビティを実施し、データ収集セッションを終了します。
Oracle Identity Managerは、特定の表を介して、OIAにユーザー、アカウントおよびエンタイトルメントを作成します。これらはステージング表と呼ばれ、DataCollectionOperationsIntfインタフェース内のAPIを使用して、オンデマンドで移入できます。次のステージング表に移入できます。
staging_users_table: ユーザー・プロファイル属性用のステージング表
staging_user_extended_props: カスタムのユーザー定義フィールド用のステージング表
staging_entitlements: エンタイトルメント情報用のステージング表
staging_accounts: アカウント情報用のステージング表
staging_account_attributes: 親フォームおよび子フォームのデータを含むアカウント属性用のステージング表
データ収集の手順を次に示します。
startDataCollection() APIを適切なセッションID、および開始日を持つエンティティを使用して起動します。開始日がNULLの場合、Oracle Identity Managerはステージング表にすべてのデータを移入するように指示されます。
getDataCollectionStatus() APIを同じセッションIDで実行し、Oracle Identity Managerをポーリングします。
getDataCollectionStatus() APIからCOMPLETEDステータスが戻されると、OIAプロセスはデータをステージング表から直接読み取ることができます。
データ同期が完了した後で、finalizeDataCollectionSession() APIを同じセッションIDで実行し、データ収集セッションを終了します。
データ収集でエラーが発生した場合は、Oracle Identity ManagerによりFAILEDステータスでそのことが示されます。これが発生したときは、データ収集セッションを再開する必要があります。finalizeDataCollectionSession() APIを使用して現在のセッションを終了し、新しいセッションIDでstartDataCollection()を実行することで、データ収集セッションを再開できます。
Oracle Identity Navigator(OIN)は、Oracle Identity Managementコンポーネントのスタート地点として機能するよう設計されているブラウザベースの管理ポータルです。これは、個々のコンポーネント・コンソールにかわるものではありません。1つのサイトからOracle Identity Managementの各コンソールにアクセスできるようにするためのものです。
Oracle Identity Managerと統合されると、Oracle Identity AdministrationにかわってOINが、Oracle Identity Managerの主要ユーザー・インタフェースとなります。
OINには製品検出機能があり、これを使用して、Oracle Identity Administrationを含むドメイン内のアクティブなJ2EEコンポーネントをすべて検出できます。
統合の詳細は、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドの製品検出を使用した製品ランチャーへのコンポーネント・リンクの追加に関する項を参照してください。
Oracle Identity ManagerをLDAPとともにインストールした場合は、Oracle Virtual Directory (OVD)をインストールする必要があります。OVDは複数のエンタープライズ・ディレクトリに接続し、そのディレクトリの内容を1つのビューにまとめて表示します。たとえば、Oracle Internet Directory (OID)、iPlanetおよびActive Directoryを使用している企業の場合、OVDは3つのディレクトリすべてを結合した統合ビューを作成できます。その後、Oracle Identity Managerは単一のコネクタを使用して、OVD上で統合されたLDAPデータにアクセスできます。LDAP Syncプロバイダ(LDAPプロバイダとも呼ばれる)は、Oracle Identity ManagerとOVDを接続します。
OVDをOracle Identity Managerと統合すると、次の利点があります。
Oracle Identity Managerのコネクタ管理が簡易化され、複数のディレクトリ・プロバイダに対して1つのLDAPコネクタだけですみます。(ただし、複数のインスタンスが必要になる場合もあります)
LDAPコネクタの信頼性が向上しました。基礎となるLDAPサーバーにかかわらず、同じコネクタが使用されます。OVDは、以前は複数のLDAPプロバイダに対して複数のLDAPコネクタを必要としていたデータ変換を処理します。
すべてのFusion Middlewareアプリケーションに同じアイデンティティ仮想機能が提供されるため、企業内のコンポーネント全体でのフットプリントは削減されます。
統合の詳細は、Oracle Identity ManagerとOracle Virtual Directoryを様々な環境で統合するための複数の手順が含まれている『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
OVDの以前のリリースは、Blocking IO(BIO)モードでインストールされます。OVDの現在のリリースは、デフォルトで、Non Blocking IO(NIO)モードでインストールされます。ただし、Oracle Identity Managerは、NIOモードでの動作が保証されていません。したがって、NIOモードのOVDで動作するように、Oracle Identity ManagerにおけるOVD接続管理を変更する必要があります。
また、OVDの現在のリリースは、複数の変更ログをサポートするように機能強化されています。これらの機能強化により、OVD Changlogアダプタ・パラメータを変更する必要があります。
Oracle Identity Managerの変更ログおよびユーザー管理向けのOVDアダプタ作成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOracle Virtual Directoryでのアダプタの作成に関する説明を参照してください。
Oracle Identity Managerのワークフロー機能は、Oracle Service-Oriented Architecture (SOA)バックエンド・サービスと管理機能を使用して、ユーザー・アクセスを要求、承認および管理する相互作用環境を提供しています。Oracle Identity Managerをインストールするには、Oracle SOAもインストールする必要があります。
Oracle Identity Managerでは、次のSOA Suiteコンポーネントが使用されます。
BPEL Process Manager: ビジネス・プロセスの作成と管理において、エンドツーエンドのソリューションを提供します。
ヒューマン・ワークフロー: 作成、割り当て、締切り、期限切れ、通知などのヒューマン・タスクのライフサイクルを管理します。
Oracle Business Rules: 複雑なビジネス・ルールを定義して、リクエスト割当て、プロセス選択および承認者の決議をサポートします。
Oracle Web Services Manager: Oracle Identity Managerによって使用され、呼び出されるWebサービスとBPELプロセスの安全を確保します。
統合の詳細は、Oracle Fusion Middleware Oracle Identity Manager開発者ガイドのOracle SOA Suiteとの統合に関する項を参照してください。
