| Oracle® Identity Manager Generic Scriptingコネクタ・ガイド 11.1.1 E79298-04 |
|
 前 |
 次 |
Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerはユーザーをリソースに接続し、機密性の高い企業情報を保護するために不正アクセスを失効および制限します。Oracle Identity Managerコネクタは、Oracle Identity Managerと外部のアイデンティティ認識アプリケーション(PeopleSoftやMySQLなど)の統合に使用されます。
この章では、Generic Scriptingコネクタの概要を示す次の項目について説明します。
Generic Scriptingコネクタは、事前定義されたコネクタを持たないターゲット・システムとOIMを統合するためのソリューションです。
このコネクタでは、独自のスクリプトを使用してOIMとターゲット・システム間のコネクタ操作を実行できます。最初に定義したターゲット・システムのスキーマに基づいて、カスタム・コネクタと必要なメタデータ(プロセス・フォーム、参照定義、スケジュール済タスクなど)が生成されます。その後、生成されたコネクタによってカスタム・スクリプトが起動され、実際のコネクタ操作が実行されます。
カスタム・スクリプトの開発には、BeanShell、GroovyまたはJavaScriptなどのスクリプト言語を使用できます。このコネクタ・ガイドには、いくつかのサンプル・スクリプトが含まれており、要件に合わせて変更してコネクタ操作を実行できます。
Generic Scriptingコネクタには、複数のターゲット・システムへの接続に同じコネクタ・バンドルを使用できる機能があります。Generic Scriptingコネクタを使用する利点の一部を次に示します。
ターゲット・システムごとに事前定義されたコネクタをデプロイしてテストする必要がありません。
環境内の複数のターゲット・システム向けにカスタム・コネクタを開発、デプロイおよびテストする時間と労力が低減されます。
コネクタが事前定義されていない様々なターゲット・システムを、OIMと簡単に統合できます。
実行時に動的に変更できる、複合アプリケーション向けのカスタム・ルールとビジネス・ロジックを柔軟に定義できます。
ターゲット・システムのプラットフォームの独立性を提供します。エンタープライズ、モバイル、クラウドまたはソーシャルの各環境に属するターゲット・システムで、このコネクタを使用できます。
使用しているOracle Identity Managerバージョンに応じて、次のコネクタのいずれかをデプロイして使用する必要があります。
リリース9.1.0.2より後で、かつOracle Identity Manager 11g リリース1 (11.1.1.5.3)より前のOracle Identity Managerリリースを使用している場合、このコネクタの9.1.xバージョンを使用する必要があります。
Oracle Identity Manager 11g リリース1 (11.1.1.5.3)およびこのリリース・トラックの以降のBP、Oracle Identity Manager 11g リリース2 (11.1.2.0.4)およびこのリリース・トラックの以降のBP、またはOracle Identity Manager 11g リリース2 PS3 (11.1.2.3.0)およびこのリリース・トラックの以降のBPを使用している場合、このコネクタの最新の11.1.1.xバージョンを使用する必要があります。
ターゲット・システムとしてMicrosoft SQL Server 2000を使用している場合、使用しているOracle Identity Managerリリースに関係なく、このコネクタの9.1.xバージョンを使用する必要があります。
表1-1に、このコネクタで動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
| 項目 | 要件 |
|---|---|
Oracle Identity ManagerまたはOracle Identity Governance |
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
ターゲット・システム |
BeanShell、GroovyまたはJavaScriptを使用して接続可能な任意のターゲット・システム。 ターゲット・システムの例は次のとおりです。
|
コネクタ・サーバー |
11.1.2.1.0 |
コネクタ・サーバーのJDK |
JDK 1.6以上 |
スクリプト言語 |
BeanShell、Groovy、JavaScript |
コネクタは、Oracle Identity Managerによってサポートされる言語に対応しています。
リソース・バンドル・エントリは、使用されるターゲット・システムに応じて変化するため、リソース・バンドルはコネクタ・インストール・メディアに含まれません。
Generic Scriptingコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
図1-1に、コネクタのアーキテクチャを示します。
ICFは、すべてのOracle Identity Managerコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供するコンポーネントです。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFは、Oracle Identity Managerに付属しています。
Generic Scriptingコネクタは、前もって知ることができないターゲット・システム用のコネクタのため、メタデータは付属していません。ターゲット・システムのスキーマに応じて、コネクタのデプロイ中にコネクタ・アーティファクトが生成されます。
次に、コネクタ・デプロイメントおよび使用手順が分類される各ステージの概要について説明します。
コネクタの生成
ターゲット・システムのスキーマを理解することは、コネクタ生成の重要な側面の1つです。コネクタがターゲット・システムを識別するために、ターゲット・システムの属性について記述したスキーマ・ファイルを作成する必要があります。Generic Scriptingコネクタには、ターゲット・システムの情報を指定できるgroovyファイルが含まれます。この情報は、メタデータ・ジェネレータによって使用されます。これは、コネクタに付属のデプロイ・ユーティリティの1つで、ターゲット・システムのスキーマに基づいてコネクタを生成するためのものです。
つまり、groovyファイルに対してメタデータ・ジェネレータを実行すると、コネクタ・パッケージが生成されます。このパッケージには、アダプタ、プロセス・タスク、スケジュール済タスク、参照定義、ITリソースなどのコネクタ・コンポーネントの定義を含むXMLファイルが含まれます。プロビジョニングやリコンシリエーションなどのコネクタ操作が、これらのコネクタ・コンポーネントを使用して実行されます。
コネクタのインストールおよび構成
このステージでは、コネクタ・インストーラを実行して生成済のコネクタをインストールし、ITリソースの構成やロギングの有効化などの構成タスクを実行します。
コネクタの使用
このステージでは、コネクタの使用を開始して、リコンシリエーションやプロビジョニングなどのコネクタ操作を実行します。
Generic Scriptingコネクタは、BeanShell、GroovyまたはJavaScriptのスクリプト言語を使用してOIMと接続できる、任意のターゲット・システム(カスタムの自社製アプリケーションを含む)と一緒に使用できます。
この項では、Generic Scriptingコネクタを使用できるいくつかのシナリオについて説明します。
SOAPベースのターゲット・システムとの統合
SOAPベースのターゲット・システムを使用している組織で、アイデンティティ管理のためにOIMとの統合を計画しています。OIMを使用してターゲット・システムのユーザー・アイデンティティを作成し、ターゲット・システムで直接実施されたユーザー・アイデンティティの変更をOIMと同期することで、迅速な管理を実現しようと考えています。このようなシナリオにすばやく簡単に対処する方法は、Generic Scriptingコネクタをインストールし、スキーマ・ファイルを定義し、OIMメタデータを生成し、最後に、リコンシリエーション操作とプロビジョニング操作を実行するためのSOAPベースの独自のスクリプトを作成することです。コネクタが使用可能な状態になるのは、ターゲット・システムで構成(ITリソースの接続情報を提供)した後です。
ターゲット・システムで新しいユーザー・アイデンティティを作成するには、OIMプロセス・フォームで必要な詳細を送信する必要があります。これにより、プロビジョニング操作がトリガーされます。コネクタは、対応する作成スクリプトをターゲット・システムに対して実行し、それが成功するとユーザー・アイデンティティが作成されます。同様に、削除や構成などのプロビジョニング操作も実行できます。
ユーザー・アイデンティティを検索または取得するには、OIMからスケジュール済タスクを実行する必要があります。コネクタは、ターゲット・システムのユーザー・アイデンティティに対して、対応する検索スクリプトや同期スクリプトを実行して、すべての変更をOIMにフェッチします。
外部のターゲット・システムの統合
組織のWebベースの製品で、クライアントからのカスタマ・データベースの更新にRESTサービスを使用し、メインフレーム・サーバー間でのバックエンドの会計の更新にSOAPベースのAPIを使用しているとします。この場合に、RESTベースのターゲット・システムとSOAPベースのターゲット・システム(それぞれ、カスタマ・データベースの更新用と会計の更新用)を、OIMと統合する必要があるとします。1つ目のアプローチは、SOAPベースのターゲット・システム用に、事前定義されたWebサービス・コネクタをデプロイして使用し、RESTベースのターゲット・システム用にカスタム・コネクタを開発する方法です。この方法のデメリットとして、次の点が挙げられます。
RESTベースのターゲット・システム用にカスタム・コネクタを開発、デプロイおよびテストするための時間と労力がかかる。
Webサービス・コネクタのデプロイとテストが必要。
両システム用に、2つのコネクタの管理と保守が必要。
これに代わるアプローチとして、RESTコネクタをデプロイし、さらにSOAP用にカスタム・コネクタを開発およびテストするのではなく、RESTベースのシステムとSOAPベースのシステムの両方のデータベースへのインタフェースとして、単一のGeneric Scriptingコネクタを使用します。このようにすることで、単一のコネクタで両方のターゲット・システムを管理できます。
JDBCベースのターゲット・システムの統合
組織内に、異なるベンダーのデータベースが複数あるとします。たとえば、カスタマとオーダー情報の格納にはOracle Databaseを、従業員情報の格納にはMS SQL Serverを使用しています。このような場合に、Oracle Identity Managerを使用して両方のデータベース情報の同期が必要であるとします。1つ目のアプローチは、Oracle DatabaseとMS SQL Server用に、データベース・アプリケーション表コネクタをデプロイおよび使用する方法です。このアプローチのデメリットは、データベースごとに1つのコネクタをインストールする点です。これに代わるアプローチは、両方のデータベースの統合に、単一のGeneric Scriptingコネクタを使用する方法です。
クラウドベースのアプリケーションの統合
単一のGeneric Scriptingコネクタを使用して、1つ以上のクラウドベース・アプリケーションをOracle Identity Managerに統合できます。動作保証されているスクリプト言語のいずれかを使用して呼び出すことができるAPIが、クラウドベース・アプリケーションで公開されている場合は、クラウドベース・アプリケーション用にカスタム・コネクタを開発、テストおよびデプロイするかわりに、Generic Scriptingコネクタを使用できます。
コネクタには、次のような機能があります。
Generic Scriptingコネクタにはgroovyファイルが含まれます。これを使用すると、信頼できるソース・モードまたはターゲット・リソース・モードのいずれかで実行するように、コネクタを構成できます。
信頼できるソース・モードおよびターゲット・リソース・モードのコネクタ構成の詳細は、「ScriptConfiguration.groovyファイルの構成」を参照してください。
コネクタを作成したら、完全リコンシリエーションを実行して、ターゲット・システムに存在するすべてのユーザー・データをOracle Identity Managerにインポートします。
最初の完全リコンシリエーション実行後に、増分リコンシリエーション用にコネクタを構成できます。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Managerにフェッチされます。
完全リコンシリエーションはいつでも実行できます。完全リコンシリエーションおよび増分リコンシリエーションの実行の詳細は、完全リコンシリエーションおよび増分リコンシリエーションを参照してください。
リコンシリエーション・フィルタをスケジュール済ジョブの「フィルタ」属性の値として設定できます。
このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。このコネクタでは、複合フィルタはサポートされません。
制限付きリコンシリエーションの実行の詳細は、制限付き(フィルタ)リコンシリエーションを参照してください。
ユーザー・レコードのリコンシリエーションのスケジュール済ジョブとは別に、削除されたユーザー・レコードのリコンシリエーションのスケジュール済ジョブがあります。
ターゲット・リソース・モードで、ターゲット・システムのレコードが削除された場合、対応するターゲット・システム・リソースはOIMユーザーから削除されます。信頼できるソース・モードでは、レコードがターゲット・システムで削除されると、対応するOIMユーザー・リソースが削除されます。
削除されたユーザー・レコードのリコンサイルに使用されるスケジュール済ジョブの詳細は、「削除されたユーザー・レコードのリコンシリエーションのスケジュール済ジョブ」を参照してください。
次に、このマニュアルの次の章以降の構成を示します。
「Generic Scriptingコネクタの生成」では、groovyファイルを構成し、メタデータ・ジェネレータを実行してコネクタを生成するために実行する必要のある手順について説明します。
「Generic Scriptingコネクタのインストールおよび構成」では、コネクタ・インストールの各ステージで実行する必要のある手順について説明します。
「Generic Scriptingコネクタの使用」では、コネクタの使用に関するガイドラインと、リコンシリエーションの実行を構成する手順およびプロビジョニング操作を実行する手順について説明します。
「Generic Scriptingコネクタの機能拡張」では、コネクタの機能を拡張する場合に実行できる手順について説明します。
「スクリプト引数の理解」では、カスタム・スクリプトで使用できる引数について説明します。
「スキーマおよびスクリプトのサンプルと、コネクタの生成およびインストール手順」では、コネクタの生成およびインストール手順の概要を説明し、コネクタ操作を実行するためのスキーマとスクリプトのサンプルを示します。
「Generic Scriptingコネクタのファイルおよびディレクトリ」では、コネクタ・インストール・メディアを構成するファイルとディレクトリを示します。
