| Oracle Fusion Middleware Oracle Identity Management統合ガイド 11gリリース1(11.1.1) B55920-01 |
|
 戻る |
 次へ |
この章では、Oracle Identity Management統合とそのコンポーネント、構造および管理ツールの概要について説明します。
この章の内容は次のとおりです。
|
関連項目: Oracle Identity Management統合のデプロイの例は、付録D「事例: Oracle Directory Integration Platformのデプロイ」を参照してください。 |
Oracle Identity Managementにより、アプリケーションとディレクトリ(サード・パーティのLDAPディレクトリを含む)をOracle Internet Directoryに統合して、管理作業にかかる時間とコストを削減できます。これには、Oracle Directory Integration Platformを使用します。たとえば、企業には次のようなニーズがあります。
Oracle Human ResourcesとOracle Internet Directoryで従業員レコードの整合性を維持すること。Oracle Directory Integration Platformでは、Oracle Directory Synchronization Serviceによりこの同期化を行います。
変更がOracle Internet Directoryに適用されるたびに、Oracle Application Server Portal(Oracle Portal)などのLDAP対応アプリケーションに通知すること。Oracle Directory Integration Platformでは、Oracle Directory Integration Platform Provisioning Serviceによりこの通知を行います。
統合処理全体を通して、Oracle Directory Integration Platformは、アプリケーションとその他のディレクトリが確実な方法で必要な情報をやりとりすることを保証します。
Microsoft Active Directory、Microsoft Active Directory Lightweight Directory Service(AD LDS: 旧称Active Directory Application Mode(ADAM))、Sun Java System Directory Server、Novell eDirectory、IBM Tivoli Directory Server、OpenLDAPなど、様々なディレクトリとの統合が可能です。たとえば、Oracle Fusion Middleware環境では、Oracleコンポーネントへのアクセスは、Oracle Internet Directoryに格納されているデータに基づいて行いますが、企業の中央ディレクトリとしてMicrosoft Active Directoryも使用できます。これらのディレクトリのユーザーがOracleコンポーネントにアクセスできるのは、Oracle Directory Integration Platformにより、Microsoft Active Directory内のデータを、Oracle Internet Directory内のデータと同期化できるためです。
デフォルトでは、Oracle Directory Integration Platformは、Oracle Directory Servicesの一部としてインストールされます。ただし、Oracle Directory Integration Platformを、他のOracle Directory Servicesコンポーネントを伴わずにスタンドアロンでインストールすることもできます。次のような状況では、Oracle Directory Integration Platformのスタンドアロン・インスタンスをインストールする必要があります。
Oracle Directory Integration Platformを別のアプリケーション・サーバー・インスタンスにインストールする必要がある場合
プロビジョニングおよび同期化が必要なアプリケーションに、集中的な処理が必要な場合
高可用性のために複数のOracle Directory Integration Platformインスタンスを実行する必要がある場合
同期が扱うのは、アプリケーションではなくディレクトリです。同期では、Oracle Internet Directoryと他の接続ディレクトリの両方に存在するエントリと属性の一貫性を確保します。
|
注意: 同期とレプリケーションは、同義ではありません。レプリケーションは、同一ベンダーのディレクトリ間でのデータ処理に対して使用されます。 |
プロビジョニングが扱うのは、アプリケーションです。プロビジョニングは、アプリケーションで追跡が必要なユーザーやグループのエントリまたは属性への変更を、アプリケーションに通知します。
この項の内容は次のとおりです。
同期によって、Oracle Internet Directoryと接続ディレクトリの間で変更を調整できます。すべてのディレクトリが最新のデータのみを使用し、提供するためには、その他の接続ディレクトリでの変更がすべて各ディレクトリに伝達される必要があります。同期は、プロビジョニングによって更新されたデータも含めて、ディレクトリ情報に対する変更の一貫性を確保します。
サード・パーティのディレクトリをOracle Internet Directoryに接続する場合は、特定のディレクトリ用に同期プロファイルを作成します。このプロファイルによって、Oracle Internet Directoryと接続ディレクトリとの間で同期化されるデータの書式と内容が指定されます。同期プロファイルを作成するには、manageSyncProfilesユーティリティまたはOracle Enterprise Manager Fusion Middleware Controlを使用します。
プロビジョニングによって、たとえば、ディレクトリのユーザーまたはグループに関する情報への変更をアプリケーションに確実に通知できます。このような変更は、アプリケーションでプロセスに対するユーザー・アクセスを許可するかどうかや、使用できるリソースを決定するかどうかに影響を及ぼすことがあります。
プロビジョニングを使用するのは、次の要件を持つアプリケーションを設計またはインストールする場合です。
ディレクトリを維持しないアプリケーション
LDAP対応のアプリケーション
リソースへのアクセスを認可ユーザーのみに限定するアプリケーション
プロビジョニング対象のアプリケーションをインストールする場合、oidprovtoolユーティリティを使用して、そのためのプロビジョニング統合プロファイルを作成する必要があります。
同期とプロビジョニングには、表1-1に示すように、操作に重要な違いがあります。
表1-1 ディレクトリ同期とプロビジョニング統合の違い
| 比較項目 | ディレクトリ同期 | プロビジョニング統合 |
|---|---|---|
|
実行のタイミング |
アプリケーションのデプロイ時。ディレクトリ同期の対象は、Oracle Internet Directoryとの同期が必要な接続ディレクトリです。 |
アプリケーションの設計時。プロビジョニング統合を使用するのは、LDAP対応アプリケーションを開発するアプリケーション設計者です。 |
|
通信の方向 |
一方向または双方向。つまり、Oracle Internet Directoryから接続ディレクトリ、その逆、もしくはその両方です。 |
一方向または双方向。つまり、Oracle Internet Directoryからアプリケーション、その逆、もしくはその両方です。 |
|
データの種類 |
ディレクトリ内のデータ。 |
プロビジョニング・ユーザーおよびグループに制限されます。 |
|
例 |
Oracle Human Resources Sun Java System Directory Server Microsoft Active Directory Novell eDirectory OpenLDAP IBM Tivoli Directory Server |
Oracle Portal |
この項では、Oracle Identity Management統合に必要なコンポーネントを説明します。内容は次のとおりです。
Oracle Internet Directoryは、Oracleコンポーネントとサード・パーティのアプリケーションによって、ユーザー・アイデンティティおよび資格証明が格納され、アクセスされるリポジトリです。ここでは、Oracleディレクトリ・サーバーを使用して、ユーザーにより入力された資格証明をOracle Internet Directoryに格納された資格証明と比較することで、ユーザー認証が行われます。資格証明がサード・パーティのディレクトリに格納されていて、Oracle Internet Directoryに格納されていない場合でも、ユーザーを認証することはできます。この場合は、Oracle Internet Directoryでは、サード・パーティのディレクトリ・サーバーに対してユーザー認証を行う外部認証プラグインが使用されます。
Oracle Directory Integration Platformは、様々なリポジトリとOracle Internet Directory間でのデータの同期化を可能にするJ2EEアプリケーションです。Oracle Directory Integration Platformには、他のエンタープライズ・リポジトリで同期ソリューションを開発するためのサービスおよびインタフェースが含まれています。Oracle Internet Directoryとサード・パーティのメタディレクトリ・ソリューションとの相互運用性を提供するために使用することもできます。
図1-1に、Oracle Directory Integration Platform環境の例を示します。
図1-1の例では、Oracle Directory Integration Platformの同期Enterprise JavaBeans(EJB)およびクォーツ・スケジューラを使用して、Oracle Internet Directoryが接続ディレクトリと同期化されます。同様に、Oracle Directory Integration PlatformのプロビジョニングEnterprise JavaBeans(EJB)およびクォーツ・スケジューラを使用して、Oracle Internet Directoryでの変更が様々なリポジトリに送信されます。
Oracle Directory Integration Platform Serverは、次のサービスを実行します。
Oracle Directory Integration Platform Synchronization Service:
スケジューリング: 事前定義されたスケジュールに基づいて同期プロファイルを処理
マッピング: 接続ディレクトリとOracle Internet Directoryの間のデータ変換ルールを実行
データ伝播: コネクタを使用して接続ディレクトリとデータを交換
エラー処理
Oracle Directory Integration Platform Provisioning Service:
スケジューリング: 事前定義されたスケジュールに基づいてプロビジョニング・プロファイルを処理
イベント通知: Oracle Internet Directoryに格納されているユーザー・データまたはグループ・データに関連した変更をアプリケーションに通知
エラー処理
Oracle Directory Integration Platform環境における接続ディレクトリの内容は、Oracle Directory Integration Platform Synchronization Service(同期Enterprise JavaBeans(EJB)およびクォーツ・スケジューラを含む)を介してOracle Internet Directoryと同期化されます。
Oracle Fusion Middlewareコンポーネントの場合、Oracle Internet Directoryはすべての情報の中央ディレクトリであり、他のすべてのディレクトリと同期しています。この同期には、次の2つの方向があります。
一方向: 一部の接続ディレクトリは、Oracle Internet Directoryに変更を提供するのみで、変更を受け取ることがありません。たとえば、従業員情報のプライマリ・リポジトリで比較のための基準であるOracle Human Resourcesがこれに該当します。
双方向: Oracle Internet Directoryでの変更を接続ディレクトリにエクスポートでき、接続ディレクトリでの変更をOracle Internet Directoryにインポートできます。
同期サービスでは、特定の属性を対象とする(または無視する)ことができます。たとえば、Oracle Human Resources内の従業員バッジ番号の属性は、Oracle Internet Directory、その接続ディレクトリまたはクライアント・アプリケーションには関係ありません。同期は不要です。その一方で、従業員識別番号はこれらのコンポーネントとも関係があるため、同期が必要です。
図1-2に、デプロイ例におけるOracle Directory Synchronization Service内のコンポーネント間の相互作用を示します。
このような同期アクティビティのすべてをトリガーする中心的なメカニズムが、Oracle Internet Directoryの変更ログです。Oracle Internet Directoryなど、接続ディレクトリへの変更ごとに、変更ログに1つ以上のエントリが追加されます。Oracle Directory Synchronization Serviceの役割は次のとおりです。
変更ログを監視します。
変更が1つ以上の同期プロファイルに対応している場合は、常にアクションを実行します。
ログに記録された変更に個々のプロファイルが対応している他の接続ディレクトリすべてに、該当する変更を提供します。接続ディレクトリには、リレーショナル・データベース、Oracle Human Resources、Microsoft Active Directory、Sun Java System Directory Server、Novell eDirectory、IBM Tivoli Directory Server、OpenLDAPなどがあります。Oracle Directory Synchronization Serviceは、接続ディレクトリが要求するインタフェースと書式を使用してこれらの変更を提供します。Oracle Directory Integration Platformコネクタを介した同期によって、Oracle Internet Directoryクライアントに必要なすべての情報について、Oracle Internet Directoryが最新の状態に保持されます。
プロビジョニングEnterprise JavaBeans(EJB)およびクォーツ・スケジューラを含むOracle Directory Integration Platform Provisioning Serviceは、ユーザーまたはグループ情報などの変更が各プロビジョニング・アプリケーションに通知されることを保証します。これは、プロビジョニング統合プロファイルに含まれている情報に基づいて行われます。各プロビジョニング・プロファイルの役割は、次のとおりです。
そのプロファイルを適用するアプリケーションと組織を一意に識別します。
アプリケーションに通知する必要があるユーザー、グループ、操作などを指定します。
Oracle Internet Directoryでの変更がアプリケーションのプロビジョニング・プロファイルに指定されているものと一致すると、Oracle Directory Integration Platform Serviceは、そのアプリケーションに関連データを送信します。
|
注意: レガシー・アプリケーション(Oracle Directory Integration Platform Serviceのインストール前に稼働状態であったアプリケーション)は、インストール時に通常の方法ではサブスクライブされません。レガシー・アプリケーションを使用してプロビジョニング情報を受信できるようにするには、プロビジョニング・プロファイルに加えて、プロビジョニング・エージェントを開発する必要があります。このエージェントは、Oracle Internet Directoryからの関連データをレガシー・アプリケーションに必要な正確な書式に変換する必要があります。 |
図1-3に、Oracle Directory Integration Platform Service環境でのコンポーネント間の相互作用を、レガシー・アプリケーションに使用するプロビジョニング・エージェントの特別なケースも含めて示します。
Oracle Application Server Single Sign-On(OracleAS Single Sign-On Server)を使用すると、ユーザーは1回のみのログインで、WebベースのOracleコンポーネントにアクセスできます。
Oracleコンポーネントは、ログイン機能をOracleAS Single Sign-On Serverに委任します。初めてOracleコンポーネントにログインする場合は、そのコンポーネントによってOracleAS Single Sign-On Serverにログインがリダイレクトされます。OracleAS Single Sign-On Serverでは、Oracle Internet Directoryに格納されている資格証明に対して、ユーザーが入力した資格証明を検証することによってユーザーが認証されます。ユーザーを認証すると、残りのセッション中、そのユーザーが使用を要求し認可されたすべてのコンポーネントに対するユーザー・アクセス権限がOracleAS Single Sign-On Serverによって付与されます。
|
注意: Oracle Directory Integration Platform 11gリリース1(11.1.1)は、Oracle Application Server Single Sign-On 10gリリース10.1.4.3.0以上をサポートしており、相互運用できます。 |
|
関連項目: OracleAS Single Sign-On Serverの詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Single Sign-On』を参照してください。 |
