| Oracle Fusion Middleware Oracle Internet Directory管理者ガイド 11gリリース1(11.1.1) B55919-01 |
|
 戻る |
 次へ |
この章では、オンライン・ディレクトリ、Lightweight Directory Access Protocol(LDAP)バージョン3の概要、およびOracle Internet Directory固有の機能と利点について説明します。
この章の項目は次のとおりです。
ディレクトリとは、同様の属性を持つエントリが階層的に編成された集合です。ディレクトリは、リソース(たとえば、人、図書館の本、百貨店の商品など)のリストで、それぞれに関する詳細情報が得られます。ディレクトリは、オフライン(たとえば、電話帳、百貨店のカタログ)、オンラインのいずれでも使用できます。
オンライン・ディレクトリは、分散コンピュータ・システムを持つ企業が、迅速な検索、ユーザーとセキュリティの管理、および複数のアプリケーションとサービスの統合の目的で使用しています。オンライン・ディレクトリは、E-Businessおよびホスティングされた環境の双方にとっても重要なものになっています。
この項の項目は次のとおりです。
オンライン・ディレクトリは、オブジェクトに関する一連の情報を格納し検索する特殊なデータベースです。このような情報は、管理が必要なあらゆるリソースを意味します。つまり、従業員の氏名、役職およびセキュリティ資格証明、パートナの情報、会議室やプリンタなどの共有ネットワーク・リソースに関する情報などです。
オンライン・ディレクトリは、次のような様々なユーザーやアプリケーションによって、様々な用途で使用されます。
会社の個人別電話帳情報を検索し、メール・クライアントでアドレス帳から電子メール・アドレスを調べる従業員
ユーザーのメール・サーバーの位置を特定する、メッセージ転送エージェントなどのアプリケーション
ユーザーのロール情報を識別するデータベース・アプリケーション
オンライン・ディレクトリはデータベース(データの構造化された集合)ですが、リレーショナル・データベースにはなっていません。次の表はオンライン・ディレクトリをリレーショナル・データベースと対比しています。
表1-1 オンライン・ディレクトリとリレーショナル・データベースの比較
過去において、一部の大企業は、それぞれが特別な用途を指定された100を超えるディレクトリを使用していました。また、一部のアプリケーションには、それぞれユーザー名を割り当てた固有のディレクトリが使用されていました。
専用のディレクトリを多数管理していると、次のような問題が発生する可能性がありました。
高い管理費用: 管理者は、複数の場所で基本的には同じ情報をメンテナンスする必要がありました。たとえば、ある企業が新しい従業員を雇用するとき、管理者は新しいユーザー・アイデンティティをネットワークに作成し、新しい電子メール・アカウントを作成し、そのユーザーを従業員データベースに追加し、そして従業員が必要とするすべてのアプリケーション(開発、テストおよび本番データベース・システムのユーザー・アカウントなど)を設定する必要がありました。その従業員が退社した場合は、管理者はこれらのユーザー・アカウントをすべて無効にするために逆の処理を行う必要がありました。
一貫性のないデータ: 大きな管理オーバーヘッドのため、複数のシステムに冗長な情報を入力している複数の管理者にとっては、この従業員の情報をすべてのシステムで同期化させることが困難な場合がありました。結果として、企業内で一貫性のないデータが発生することになりました。
セキュリティの問題: 各ディレクトリには、独自のパスワード・ポリシーがありました。つまり、ユーザーは、システムごとに異なる様々なユーザー名とパスワードを覚える必要がありました。
今日の企業には、様々なアプリケーションとサービスをサポートするために、共通の規格に基づいた汎用性の高いディレクトリのインフラストラクチャが必要です。
LDAPは、ディレクトリ・クライアントとサーバーが通信に使用する標準的で拡張可能なディレクトリ・アクセス・プロトコルです。
この項の項目は次のとおりです。
LDAPは、国際標準化機構(ISO)のディレクトリ・サービスに関するX.500規格の、インターネットに対応する軽量実装として考え出されました。クライアント側に必要なネットワーキング・ソフトウェアを最小限に抑えられるため、インターネット・ベースのシン・クライアント・アプリケーションには特に理想的です。
LDAP規格は、ディレクトリ情報の管理を次の3つの方法で単純化します。
拡張可能な単一のディレクトリ・サービスに対し、正しく定義された単一の標準インタフェースを、企業内のすべてのユーザーとアプリケーションに提供します。これによって、ディレクトリに対応したアプリケーションの迅速な開発とデプロイが簡単になります。
企業内に散在する複数のサービスへの、冗長な情報の入力と調整の必要性を低減します。
正しく定義されたプロトコルと一連のプログラム・インタフェースによって、ディレクトリを活用するインターネット対応のアプリケーションのデプロイがより実用的になります。
最新バージョンのLDAPバージョン3は、1997年12月、Internet Engineering Task Force(IETF)によって、インターネット標準の案として承認されました。LDAPバージョン3では、次のいくつかの重要な領域においてLDAPバージョン2の内容が改善されています。
グローバリゼーション・サポート: LDAPバージョン3では、世界中の言語で使用されている文字を、サーバーとクライアントの両方でサポートできます。
ナレッジ参照(参照とも呼ばれる): LDAPバージョン3の参照機能によって、サーバーは、ディレクトリ問合せの結果として、参照を他のサーバーに返すことができます。これにより、ディレクトリ情報ツリー(DIT)を複数のLDAPサーバーにわたってパーティション化して、ディレクトリをグローバルに分散できます。
セキュリティ: LDAPバージョン3では、Simple Authentication and Security Layer(SASL)をサポートするための標準機能が追加され、データ・セキュリティに関する総合的で拡張可能なフレームワークが提供されています。
拡張性: LDAPバージョン3では、ベンダーは、制御と呼ばれるメカニズムを使用して既存のLDAP操作を拡張できます。これらは、既存の操作に付随する追加情報で、操作の動きを変更します。クライアント・アプリケーションから標準LDAPコマンドとともに制御が渡されると、命令された操作の動きがそれに応じて変更されます。たとえば、クライアントからディレクトリ内の非表示メタ情報を変更するには、LDAPコマンドに加えてmanageDSAIT制御を送信します。
機能およびスキーマの開示: LDAPバージョン3では、他のLDAPサーバーやクライアントに役立つ情報(サポートされるLDAPプロトコルやディレクトリ・スキーマの説明など)を公開できます。
|
関連項目:
|
Oracle Internet Directoryは、分散ユーザーやネットワーク・リソースに関する迅速な情報検索および情報の集中管理を可能にする、汎用ディレクトリ・サービスです。Lightweight Directory Access Protocol(LDAP)バージョン3とOracle Databaseのすぐれたパフォーマンス、スケーラビリティ、堅牢性および可用性を組み合せたものです。
この項の項目は次のとおりです。
Oracle Internet Directoryは、Oracle Database上のアプリケーションとして動作します。オペレーティング・システムに依存しないOracleのデータベース接続ソリューションであるOracle Net Servicesを使用して、データベースと通信します。データベースのホストが異なっていてもかまいません。図1-1に、この関係を示します。
Oracle Internet Directoryには、次のものがあります。
Oracleディレクトリ・サーバー。人員とリソースの情報に関するクライアントのリクエストに応答します。また、TCP/IPを介し、複数層アーキテクチャを直接使用して、その情報を更新します。
Oracleディレクトリ・レプリケーション・サーバー。Oracleディレクトリ・サーバー間で、LDAPデータをレプリケートします。
ディレクトリ管理ツールには、次のものがあります。
Oracle Enterprise Manager Fusion Middleware ControlのOracle Internet Directoryページ
Oracle Directory Services Manager
コマンドライン管理およびデータ管理ツール
Oracle Internet Directory Software Developer's Kit。
|
関連項目: Oracle Internet Directory Software Developer's Kitの詳細は、『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』を参照してください。 |
Oracle Internet Directoryの大きな利点は、スケーラビリティ、高可用性、セキュリティおよびOracle環境との緊密な統合です。
Oracle Internet Directoryは、Oracle Databaseの高機能を活用して、TB単位に及ぶディレクトリ情報のサポートを可能にします。さらに、共有LDAPサーバーやデータベース接続プーリングなどのテクノロジによって、千単位の同時クライアントであっても、わずかな検索レスポンス時間を実現します。
Oracle Internet Directoryの物理アーキテクチャは、複数スレッド、複数プロセスおよび複数インスタンスです。これによって、デプロイメント・オプションの柔軟性が高まります。Oracle Internet Directoryは、SMPまたはNUMAハードウェア上の多数のCPUに応じて拡張できます。Oracle RACデータベースとOracle Internet Directoryのクラスタ構成を使用して、複数のハードウェア・ノードに対して1つのディレクトリをデプロイし、水平スケーラビリティを実現します。
|
関連項目: 『Oracle Fusion Middleware高可用性ガイド』 |
Oracle Internet Directoryは、Oracle Directory Services Managerや様々なコマンドライン・ツールなど、大量のLDAPデータを操作するためのデータ管理ツールも提供します。
Oracle Internet Directoryによって、最も包括的な高可用性構成が提供されます。ディレクトリ・レプリケーション、アクティブ/パッシブ・クラスタ構成、Oracle RAC Databaseを使用したアクティブ/アクティブ・クラスタ構成、Oracle Data Guardを使用した障害時リカバリ機能があります。
Oracle Internet Directoryは、Oracle Databaseの可用性機能もすべて活用しています。ディレクトリ情報は、Oracle Databaseに安全に格納されるため、Oracleのバックアップ機能によって保護されます。また、Oracle Databaseは、大規模なデータストアおよび高負荷で実行されていても、システム障害からすぐにリカバリできます。
Oracle Internet Directoryは、広範囲にわたる柔軟なアクセス制御を提供します。管理者は、特定のディレクトリ・オブジェクトまたはディレクトリ・サブツリー全体に対するアクセス権限を付与または制限できます。さらに、Oracle Internet Directoryは、匿名、パスワード・ベース、およびSecure Sockets Layer (SSL)バージョン3を使用した証明書ベースという3つのレベルのユーザー認証を実装し、認証アクセスおよびデータ・プライバシが保障されています。
Oracle Database Vaultを使用して、Oracle Internet Directoryで管理者および特権ユーザーのディレクトリ・データへのアクセスを制限できます。Oracle Transparent Data Encryptionを使用して、Oracle Internet Directoryでディスクおよびバックアップのデータを確実に保護できます。
Oracle製品は、容易な管理、厳重なセキュリティ、複数のディレクトリの簡単な統合を実現するためにOracle Internet Directoryを使用します。
この項の項目は次のとおりです。
Oracle Platform Security Servicesは、デフォルトではユーザーおよびグループを組込みLDAPリポジトリに格納します。ただし、Oracle Internet DirectoryなどのLDAPリポジトリ内のアイデンティティ・データを使用するようドメインを構成できます。また、Oracle WebLogic Serverには、他のLDAPサーバーに使用できる汎用LDAPオーセンティケータが用意されています。デフォルトでは、OPSSはファイル・ベースのストアにポリシーおよび資格証明を格納します。これらのストアは、Oracle Internet DirectoryやOracle Virtual DirectoryサーバーによってサポートされたLDAPリポジトリに変更(または再関連付け)できます。
Oracle Webcenter SuiteのセキュリティはOPSSに基づいています。アイデンティティ、ポリシーおよび資格証明の格納をOracle Internet Directoryに委任できます。LDAPコマンドを使用して、ユーザーの追加または変更、およびディレクトリの検索を行うことができます。これは、ユーザー・アカウントのエクスポートおよびインポート時に有用です。
Oracle Access Managerでは、ユーザー、構成およびポリシー・データのOracle Internet Directoryなど(複数レルム)のディレクトリへの格納がサポートされます。データは、同一ディレクトリ・サーバーにまとめて格納することも、異なるディレクトリ・サーバーに格納することもできます。
Oracle Net ServicesではOracle Internet Directoryを使用して、データベース・サービスと、これを表すネット・サービス名と呼ばれる単純名を格納および解決します。
Oracle DatabaseではOracle Internet Directoryを使用して、ユーザー名とパスワードや、エンタープライズ・ロールなどの認可情報を格納します。また、Oracle Internet Directoryを使用して各ユーザーのエントリとともにパスワード・ベリファイアを格納します。
Oracle Enterprise User Securityは、次の目的でOracle Internet Directoryを使用します。
ユーザー認証資格証明の集中管理
Oracle Advanced Securityは、ユーザーのデータベース・パスワードを各データベースではなく1箇所に、つまりディレクトリに格納します。パスワードをそのユーザー・エントリの属性として格納します。
ユーザー認可の集中管理
Oracle Advanced Securityは、エンタープライズ・ロールと呼ばれるディレクトリ・エントリを使用して、共有または所有にかかわらず指定のスキーマ内でエンタープライズ・ユーザーに付与されている権限を判断します。エンタープライズ・ロールは、データベース固有のグローバル・ロールのコンテナです。たとえば、あるユーザーを事務のエンタープライズ・ロールに割り当て、このロールに、人事のグローバル・ロールと人事管理データベースに対する付随権限、および分析のグローバル・ロール・ロールと給与管理データベースに対する付随権限を含めることができます。
共有スキーマへのマッピング
Oracle Advanced Securityは、マッピング(個別のアカウントではなく、データベース上の共有アプリケーション・スキーマをエンタープライズ・ユーザーに指し示すディレクトリ・エントリ)を使用します。たとえば、複数のエンタープライズ・ユーザーを、ユーザー名の個別のアカウントではなく、スキーマsales_applicationに対してマップできます。
単一パスワード認証
Oracle DatabaseではOracle Advanced Securityによって、エンタープライズ・ユーザーが、集中管理された単一のパスワードを使用して複数のデータベースに対する認証を実行できます。パスワードは、ユーザーのエントリの属性としてディレクトリに格納され、暗号化とアクセス制御リスト(ACL)によって保護されます。これによって、ユーザーは、クライアントでのSecure Sockets Layer(SSL)を設定し、複数のパスワードを記憶する必要がなくなります。
PKI資格証明の集中格納
Oracle DatabaseとOracle Application Serverでは、ユーザー・ウォレットをユーザーのエントリの属性としてディレクトリに格納できます。ウォレットをこのように格納することで、モバイル・ユーザーは、エンタープライズ・ログイン・アシスタントを使用して自分のウォレットを取得およびオープンできます。ウォレットのオープン中は、認証は透過的に行われます。つまり、ユーザーは、スキーマを所有または共有しているデータベースに、再認証せずにアクセスできます。
別のサービス製品であるOracle Virtual Directoryは、LDAPまたはXMLプロトコルを介して、複数のデータ・ソースに対する単一の動的アクセス・ポイントを提供します。これを実現するために、単一の論理ディレクトリを公開する抽象レイヤーおよびリアルタイムなデータ結合を提供します。この場合、固有の位置にあるデータを同期化または移動する必要はありません。Oracle Virtual Directoryは、Oracle Internet Directory、Microsoft Active DirectoryおよびSun Java Systems Directoryインスタンスなどに格納されたアプリケーション固有のアイデンティティ・データのビューを複数提供できます。また、Oracle Virtual Directoryを使用することにより、アプリケーション固有のソースに対するデータ・アクセスを保護し、既存のデータ・ソースの可用性を高めることもできます。これらの機能により、アプリケーションをデプロイする前にユーザー情報を整理統合する必要がなくなるため、アプリケーションのデプロイを促進し、コストを削減できます。Oracle Virtual Directoryは、ユーザー・リポジトリの追加、変更または削除に応じて変化するアイデンティティ・ランドスケープにこれらのアプリケーションを絶えず適応させることができます。Oracle Virtual Directoryには、次の利点があります。
複数のディレクトリの整理統合
ディレクトリ・サービスの仮想化および配布の提供
管理コストの削減とセキュリティの向上
エンタープライズ・アプリケーションの迅速な拡張
情報に対するユビキタスなアクセスの提供
実装のコスト削減
|
関連項目: 『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』 |
Oracle Directory Integration Platformは、インタフェースとサービスの集合であり、Oracle Internet Directoryといくつかの関係するプラグインやコネクタを使用して複数のディレクトリを統合します。これには、次の利点があります。
すべてのOracleコンポーネントでは、Oracle Internet Directoryを使用することが事前に認証されています。
サード・パーティの各ディレクトリをOracle Internet Directoryに統合することによって、Oracle環境全体をサード・パーティ・ディレクトリに簡単に統合できます。したがって、各アプリケーションを各ディレクトリと統合する必要はありません。
|
関連項目: 『Oracle Fusion Middleware Oracle Identity Management統合ガイド』 |
