| Oracle Identity Manager管理およびユーザー・コンソール・ガイド リリース9.1.0.2 B56234-01 |
|
 戻る |
 次へ |
この章では、汎用テクノロジ・コネクタの概念と、汎用テクノロジ・コネクタを使用するためにOracle Identity Managerで提供される機能について説明します。
この章の内容は、次のとおりです。
Oracle Identity Managerの事前定義済コネクタは、Microsoft Active DirectoryおよびPeopleSoft Enterprise Applicationsなどの、一般的に使用されているターゲット・システムにあわせて設計されています。事前定義済コネクタはアダプタ・ファクトリ機能を使用して開発され、そのアーキテクチャは、ターゲット・システムがサポートしているAPI、またはターゲット・システムがユーザー・データを格納するデータ・リポジトリのタイプおよびスキーマのいずれかに基づきます。事前定義済コネクタは、アダプタ・ファクトリを使用して開発されるため、高度なワークフローおよびアダプタのカスタマイズ機能を備えています。ターゲット・システムでこれらのコネクタが使用できる場合は、統合の方法として事前定義済コネクタの使用をお薦めします。
対応する事前定義済コネクタがないターゲット・システムとOracle Identity Managerを統合する場合があります。その例として、次のようなシナリオについて考えます。
シナリオ1: Acme Inc.のすべての従業員は、バックアップ・サーバーにディスク領域を割り当てられています。従業員は、バックアップ・サーバー上の従業員アカウントを管理するようにシステム管理者にリクエストを送信します。システム管理者は、従業員からのリクエストを取得、確認および処理するWebベース・アプリケーションを開発しています。このアプリケーションのフロント・エンドは、CSV形式のデータを受け取って格納するWebサービスです。バックエンドに格納される従業員アカウント・データは、XMLファイルとして指定の場所にエクスポートできます。
シナリオ2: Ceeam Travels Inc.では、顧客が航空運賃の見積りのリクエストに使用できるカスタムのWebベース・アプリケーションを所有しています。Ceeam Travelsの従業員でもあるエージェントは、これらのリクエストに対し、同じアプリケーションを使用して応答します。顧客は、自己登録によりこのアプリケーション内にアカウントを作成します。ただし、Ceeam Travelsの従業員は、人事管理上の役職に基づいて自動的にプロビジョニングされたアカウントを持っている必要があります。アプリケーションのアカウント管理機能(作成、更新および削除など)は、Java APIを介して使用可能です。
シナリオ1とシナリオ2のどちらの場合も、カスタム・コネクタを作成して、ターゲット・システムとOracle Identity Managerをリンクする必要があります。カスタム・コネクタを作成する簡単な方法を模索しており、アダプタ・ファクトリのカスタマイズ機能は必要ないという場合には、コネクタの作成にOracle Identity Managerの汎用テクノロジ・コネクタ機能を使用できます。「汎用テクノロジ・コネクタの機能アーキテクチャ」で説明しているように、プロバイダは汎用テクノロジ・コネクタのビルディング・ブロックです。シナリオ1では、事前定義済の共有ドライブ・リコンシリエーション・トランスポート・プロバイダおよびCSVリコンシリエーション・フォーマット・プロバイダを使用することにより、フラット・ファイルとして格納されているデータをOracle Identity Managerに対してリコンサイルする汎用テクノロジ・コネクタを作成できます。シナリオ2では、カスタム・アプリケーションをOracle Identity Managerに統合する場合に使用できる事前定義済プロバイダはありません。この場合は、第21章に記載されている手順を使用して、ターゲット・アプリケーションで公開されているJava APIを呼び出すカスタム・プロバイダを作成します。
事前定義済コネクタと同様に、汎用テクノロジ・コネクタは、Oracle Identity Managerとターゲット・システムの間でリコンシリエーションおよびプロビジョニング操作を仲介する役割をはたします。機能面から見ると、汎用テクノロジ・コネクタは、リコンシリエーション・モジュールとプロビジョニング・モジュールに分けられます。汎用テクノロジ・コネクタを作成する際には、リコンシリエーション・モジュールとプロビジョニング・モジュールをともに組み込むか、どちらか一方のみ組み込むかを指定できます。
事前定義済コネクタは、同一のターゲットのコンテキストでリコンシリエーション機能とプロビジョニング機能を備えています。それに対して、汎用テクノロジ・コネクタのリコンシリエーション・モジュールおよびプロビジョニング・モジュールは、選択した再使用可能コンポーネントで構成されます。それぞれのコンポーネントでは、プロビジョニング時またはリコンシリエーション時に、特定の機能が実行されます。たとえば、フラット・ファイルから信頼できるソース・リコンシリエーションを実行するとともに、SPMLプロトコルを使用したSPML対応ターゲットへのターゲット・リソース・プロビジョニングを実行するコネクタを作成できます。
このマニュアルでは、汎用テクノロジ・コネクタを構成するコンポーネントをプロバイダと呼びます。
それぞれのプロバイダでは、データに対して、トランスポート、フォーマット変更、検証または変換のいずれかの機能が実行されます。つまり、プロバイダによって処理されるデータ項目は、新しい場所への移動、指定された基準を満たしているかどうかの検証、または構造や値の変更が実行されます。このマニュアルでは、レイヤー形式に配列されたデータ構造をデータセットと呼びます。プロビジョニング時およびリコンシリエーション時にはレイヤー間をデータが移動します。
汎用テクノロジ・コネクタを作成する場合、各データセットに含まれる必要があるフィールド(ユーザー・アイデンティティ・メタデータ)を指定できます。また、異なるデータセットのフィールド間にマッピングを定義することもできます。マッピングは、次のいずれかを目的としています。
プロビジョニングまたはリコンシリエーションを目的とする、2つのデータセットのフィールド間のデータ・フロー・パスの確立
このタイプのマッピングに基づいて、ターゲット・システムからフェッチされたデータの検証または変換が行われます。
2つのデータセットのフィールド値の比較(一致)の基盤の構築
図19-1は、汎用テクノロジ・コネクタの機能アーキテクチャを示しています。
次の各項では、汎用テクノロジ・コネクタを構成するプロバイダおよびデータセットについて説明します。
リコンシリエーション・モジュールは、次のプロバイダおよびデータセットで構成されています。
リコンシリエーション・トランスポート・プロバイダでは、ターゲット・システムのリコンシリエーション・データがOracle Identity Managerへ伝播されます。このプロバイダがリコンシリエーション・データを伝播する方法は、プロバイダの実装によって異なります。たとえば、リコンシリエーション・トランスポート・プロバイダは、ファイルからのデータの読取り、Webサービスからのデータの受取り、またはデータベースへの問合せが可能です。
リコンシリエーション・フォーマット・プロバイダでは、リコンシリエーション・トランスポート・プロバイダによりフェッチされたリコンシリエーション・データが解析され、このデータがOracle Identity Managerに格納できるデータ構造に変換されます。
「ソース」データセットには、リコンシリエーション・フォーマット・プロバイダにより処理されたデータが保持されます。このデータセットは、子データセットを持つことが可能です。
検証プロバイダでは、「ソース」データセット内のデータが指定した基準を満たしているかどうかが確認され、その後データがOracle Identity Managerのリコンシリエーション・エンジンに渡されます。
|
注意: 1つの汎用テクノロジ・コネクタには、複数の検証プロバイダを組み込むことができます。 |
リコンシリエーション・モジュールに組み込まれている変換プロバイダでは、検証プロバイダから受け取ったデータが変更され、その後データがリコンシリエーション・イベントを作成するためにOracle Identity Managerへ渡されます。
変換プロバイダ機能の例を、次に説明します。
ターゲット・システムの2つのフィールドに、次のように値が設定されているとします。
名: John
姓: Doe
変換プロバイダを使用すると、次のようなリコンシリエーション・フィールドを出力できます。
ログインID: John.Doe
「リコンシリエーション・ステージング」データセットには、検証プロバイダおよび変換プロバイダによって処理されたユーザー・データが保持されます。このデータセットは、子データセットを持つことが可能です。
プロビジョニング・モジュールは、次のプロバイダおよびデータセットで構成されています。
変換プロバイダを使用すると、次の段階でデータ項目を変更できます。
リコンシリエーションの実行中、Oracle Identity Managerでリコンシリエーション・イベントが作成される前にデータを変更できます。
プロビジョニング時に、Oracle Identity Managerプロセス・フォームに入力されたデータを、ターゲット・システムに送信する前に変更できます。
変換プロバイダ機能の例を、次に説明します。
ターゲット・システムの2つのフィールドに、次のように値が設定されているとします。
名: John
姓: Doe
変換プロバイダを使用すると、次のようなリコンシリエーション・フィールドを出力できます。
ログインID: john.doe
「プロビジョニング・ステージング」データセットには、プロビジョニング・フォーマット・プロバイダに送信される前のユーザー・データが保持されます。このデータは、Oracle Identity Managerに格納されているユーザー・データまたはアカウント・データに対して変換機能を実行した場合の出力です。このデータセットは、子データセットを持つことが可能です。
プロビジョニング・フォーマット・プロバイダでは、(変換プロバイダから受け取った)Oracle Identity Managerのプロビジョニング・データが、ターゲット・システムでサポートされているフォーマットに変換されます。
プロビジョニング・トランスポート・プロバイダでは、プロビジョニング・フォーマット・プロバイダからターゲット・システムへプロビジョニング・データが伝播されます。このプロバイダがリコンシリエーション・データを伝播する方法は、プロバイダの実装によって異なります。たとえば、プロバイダでは、ファイルへのデータのコピー、Webサービスへのデータの送信、またはデータベースへのデータのポストが可能です。
「OIM」データセットは、Oracle Identity Managerに格納されているデータを表します。これらのデータセットは、リコンシリエーション・モジュールまたはプロビジョニング・モジュールの一部ではありませんが、汎用テクノロジ・コネクタの一部とみなされます。これは、これらのデータセットにフィールドを追加して、そのフィールドとその他のデータセットとの間にマッピングを作成できるためです。「OIM」データセットには次のものがあります。
「OIM - ユーザー」データセットには、OIMユーザーを定義するメタデータ(アイデンティティ・フィールドのセット)が保持されます。信頼できるソース・リコンシリエーションの場合、このデータセットは、「リコンシリエーション・ステージング」データセットから、新規作成または変更されたユーザー・アカウント情報を受け取ります。ターゲット・リソース・リコンシリエーションの場合は、「OIM - ユーザー」データセットのフィールドを使用して、ターゲット・システムのユーザー・アカウントと既存のOIMユーザーを一致させることができます。このデータセットは、子データセットを持つことはできません。
「OIM - アカウント」データセットには、Oracle Identity Managerの「プロセス・フォーム」フイールドに格納されているユーザー・アカウント情報が保持されます。このユーザー・アカウント情報は、「リコンシリエーション・ステージング」データセットから受け取ります。「OIM - アカウント」データセットは、子データセットを持つことが可能です。
次の各項では、汎用テクノロジ・コネクタの機能について説明します。
次の機能は、リコンシリエーション・モジュールに固有のものです。
汎用テクノロジ・コネクタは、信頼できるソース・リコンシリエーションに使用できます。信頼できるモードでのリコンシリエーションでは、次が実行されます。
リコンシリエーション・エンジンでは、新規のターゲット・システム・アカウントが検出されると、対応するOIMユーザーが作成されます。
リコンシリエーション・エンジンでは、既存のターゲット・システム・アカウントに対する変更が検出されると、対応するOIMユーザーに同様の変更が行われます。
|
注意: 汎用テクノロジ・コネクタの作成時に「信頼できるソース・リコンシリエーション」オプションを選択しない場合は、ターゲット・リソース・リコンシリエーションが有効になります。ターゲット・リソース・リコンシリエーションでは、ターゲット・システム・アカウントに対する変更のみがリコンサイルされます。リコンシリエーション時に検出された新規のターゲット・システム・アカウントが、Oracle Identity Managerで自動的に作成されることはありません。 |
信頼できるソース・リコンシリエーションに使用する汎用テクノロジ・コネクタは、プロビジョニングには使用できません。このような設計機能が組み込まれているのは、信頼できるソースとして指定されたターゲット・システム上のユーザー・アカウント情報を、Oracle Identity Managerを介して作成または変更できないようにするためです。
ITリソースおよびリソース・オブジェクトなどのコネクタ・オブジェクトは、汎用テクノロジ・コネクタの作成プロセスの最後に自動的に作成されます。デフォルトでは、汎用テクノロジ・コネクタのリソース・オブジェクトは、信頼できるリソース・オブジェクトです。つまり、汎用テクノロジ・コネクタはあらかじめ、複数の信頼できるソースのリコンシリエーション機能と互換性があります。この機能は、『Oracle Identity Managerデザイン・コンソール・ガイド』の複数の信頼できるソースのリコンシリエーションに関する項で説明しています。
|
注意: 信頼できるソース・リコンシリエーションでは、複数値(子)データのリコンシリエーションはサポートされていません。 |
ユーザー・アカウント・ステータス情報は、ターゲット・システム・アカウントの所有者がそのアカウントへのアクセスおよび使用を許可されているかどうかをトラッキングする場合に使用されます。Oracle identity Managerに格納されている形式のアカウント・ステータス情報がターゲット・システムに格納されていない場合は、事前定義済の翻訳変換プロバイダを使用して、アカウント・ステータスのリコンシリエーションを実装できます。
|
注意: ユーザー・アカウント・ステータスのリコンシリエーションは、信頼できるソース・リコンシリエーションを選択するかターゲット・リソース・リコンシリエーションを選択するかに関係なく実装できます。 Design Consoleには、翻訳変換プロバイダを使用せずにアカウント・ステータスのリコンシリエーションを実装するための機能が用意されています。詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』のアカウント・ステータスのリコンシリエーションに関する項を参照してください。 |
汎用テクノロジ・コネクタを作成する際に、コネクタを完全リコンシリエーションまたは増分リコンシリエーションに使用するよう指定できます。
最後のリコンシリエーション実行後に変更されたレコードをリコンシリエーション・エンジンで識別する方法がターゲット・システムでサポートされている場合は、増分リコンシリエーションを選択します。たとえば、ターゲット・システムでユーザー・レコードの作成または変更にタイムスタンプが付けられている場合、リコンシリエーション・エンジンでは、最後のリコンシリエーション実行後に追加または変更されたレコードを識別できます。増分リコンシリエーションでは、最後のリコンシリエーション実行後に変更されたターゲット・システムのレコードのみがOracle Identity Managerでリコンサイル(格納)されます。
次のいずれかの条件に該当する場合は、完全リコンシリエーションを選択します。
最後のリコンシリエーション実行後に変更されたレコードをリコンシリエーション・エンジンで識別する方法がターゲット・システムでサポートされていない場合。
ターゲット・システムのすべてのユーザー・アカウント・レコードに初めてリコンシリエーションを実行する場合。
完全リコンシリエーションでは、すべてのリコンシリエーション・レコードがターゲット・システムから抽出されます。ただし、最適化リコンシリエーション機能により、Oracle Identity Managerですでにリコンサイル済のレコードが識別されて無視されます。これは、リコンシリエーション・データで占有される領域を削減するために役立ちます。この機能がなければ、Oracle Identity Managerデータベースに格納されるデータ容量は、リコンシリエーションを実行するたびに急速に増加することになります。
|
注意: 完全リコンシリエーションと増分リコンシリエーションの結果は同じです。
|
リコンシリエーションのバッチ・サイズを指定できます。これにより、リコンシリエーション実行中にリコンシリエーション・エンジンがターゲット・システムからフェッチするレコードの総数をバッチに分割できます。この機能により、リコンシリエーション・プロセスをさらにきめ細かく制御できるようになります。
ターゲット・システムの複数値属性データの削除をOracle Identity Managerでリコンサイルするかどうかを指定します。
|
注意: 汎用テクノロジ・コネクタでは、親データの削除のリコンシリエーションはサポートされていません。たとえば、ユーザーJohn Doeのアカウントがターゲット・システムから削除された場合、汎用テクノロジ・コネクタを使用してこのユーザー・アカウントの削除をOracle Identity Managerでリコンサイルすることはできません。「一般的な既知の問題」も参照してください。 |
次の機能は、リコンシリエーション・モジュールまたはプロビジョニング・モジュールに固有のものではありません。
汎用テクノロジ・コネクタを作成する場合、リコンシリエーションおよびプロビジョニングの実行中に使用する必要があるアイデンティティ・フィールドおよびフィールド・マッピング(データ・フロー・パス)を指定できます。
Oracle Identity Managerに付属の事前定義済プロバイダが、動作環境のトランスポート、フォーマット変更、検証または変換についての要件に対応していない場合は、カスタム・プロバイダを作成できます。
汎用テクノロジ・コネクタの作成時は、次のような書式を指定できます。
リコンシリエーション実行中に抽出されたターゲット・システム・レコードの日付の値の書式
プロビジョニング実行中にターゲット・システムへ送信する必要がある日付の値の書式
汎用テクノロジ・コネクタに関するその他の章および付録の概要を次に示します。
第20章「Oracle Identity Managerに含まれている汎用テクノロジ・コネクタの事前定義済プロバイダ」
この章では、Oracle Identity Managerに付属の事前定義済プロバイダについて説明します。
第21章「汎用テクノロジ・コネクタ用カスタム・プロバイダの作成」
この章では、カスタム・プロバイダの作成手順について説明します。
この章では、汎用テクノロジ・コネクタの作成手順について説明します。
この章では、汎用テクノロジ・コネクタの変更、エクスポートおよびインポートの手順について説明します。
第24章「汎用テクノロジ・コネクタの作成および使用に関するベスト・プラクティス」
この章では、汎用テクノロジ・コネクタの作成時および使用時に適用する必要があるベスト・プラクティスについて説明します。これらのガイドラインには、このマニュアル内の該当箇所で繰り返し言及されているものもあります。
第25章「汎用テクノロジ・コネクタ・エラーのトラブルシューティング」
この章では、汎用テクノロジ・コネクタを使用してリコンシリエーションおよびプロビジョニングの実行中に一般的に発生する問題の解決方法について説明します。
この章では、このリリースのOracle Identity Managerにおける汎用テクノロジ・コネクタ・フレームワークの制限事項について説明します。これらの制限事項の多くは、マニュアル内の他の該当箇所にも記載されています。
第27章「Oracle Identity Managerをターゲット・システムとして使用したプロビジョニング操作」
この章では、ターゲットOracle Identity Managerインストールへのプロビジョニング・リンクとして使用する汎用テクノロジ・コネクタの作成に固有の手順について説明します。
第28章「汎用テクノロジ・コネクタ・フレームワークで作成されるコネクタ・オブジェクト」
この章では、汎用テクノロジ・コネクタ・フレームワークにより自動的に作成されるコネクタ・オブジェクトについて説明します。
コネクタの関連ドキュメント
次のマニュアルには、コネクタの追加情報と、コネクタを使用するためにOracle Identity Managerで提供される機能について説明しています。
『Oracle Identity Managerデザイン・コンソール・ガイド』
汎用テクノロジ・コネクタの使用に関連したDesign Consoleの操作手順に関する追加情報は、このマニュアルを参照してください。
『Oracle Identity Managerグローバリゼーション・ガイド』
このマニュアルには、製品の中でグローバリゼーションの対象となっている部分に関する情報、およびリソース・バンドルを使用したユーザー構成可能な文字列のローカライズに関する情報が記載されています。また、作成する汎用テクノロジ・コネクタ用にリソース・バンドルを開発する手順も記載されています。
