| Oracle Enterprise Manager概要 10gリリース5(10.2.0.5) B53905-01 |
|
 戻る |
 次へ |
この章では、Grid Controlを使用してアイデンティティ管理ターゲットを管理する方法について説明します。
この章は、次の内容について説明します。
アクセス管理は、エンタープライズ・リソースへのユーザー・アクセス制御の手段です。アクセス管理製品を使用すると、異機種間アプリケーション環境に対する集中ファイングレイン・アクセス管理およびOracle Portal、Oracle Collaboration SuiteおよびOracle E-Business SuiteなどのOracle製品との即時利用可能な統合が可能になります。
Oracle Identity Managementは、エンタープライズでユーザーIDを管理するための製品セットで、これを使用すると、企業はユーザーIDをファイアウォール内外のすべてのエンタープライズ・リソースを通じてエンドツーエンド・ライフサイクルで管理できます。
自動ユーザーIDプロビジョニングによって、IT管理コストの削減およびセキュリティの向上が実現します。また、プロビジョニングは法規制のコンプライアンスにおいて重要な役割を果します。コンプライアンス・イニシアティブでは、これらの規格へのコンプライアンスの実証のみではなく、企業ポリシーの施行にも焦点が置かれています。エンタープライズ・アイデンティティ管理ソリューションは、ユーザーおよびそのアクセス権限を監査する手段のみでなく、企業ポリシーのユーザー管理面を実装するメカニズムも提供することができます。
Oracleのアイデンティティ管理製品を次に示します。
以前はOracle COREid Aceess and Identityと呼ばれていたOracle Access Managerは、異機種間環境で稼働中のWebアプリケーションやリソースへのアイデンティティ管理およびアクセス制御を提供します。複雑なディレクトリ中心の環境で大規模なユーザーを管理するために必要な、ユーザーおよびグループ管理、委任管理、パスワード管理およびセルフ・サービス機能が使用できます。Access Managerは、ブラウザ・フォーム、デジタル証明書およびスマートカードなどの一般的な認証メソッドをすべてサポートし、OracleAS 10g、BEA WebLogic、IBM WebSphere、Vignetteなどのほとんどのアプリケーション・サーバーおよびポータルとシームレスに統合します。ユーザーIDおよび資格証明には、Oracle Internet Directory、Microsoft Active DirectoryおよびSun Java System Directoryを含む様々なリポジトリからアクセスできます。Access Managerを使用すると、ユーザー・アクセス・ポリシーを、粒度の高い集中管理を通じて定義および強制できます。
アクセス・サーバーを使用して、URLおよびHTTPではないレガシー・アプリケーションなどのリソースを保護できます。アクセス・サーバーにより、エンタープライズ・アプリケーションに対する認証および認可サービスが提供されます。アイデンティティ・サーバーで格納した情報を使用して、リソースにアクセスできるユーザー、グループおよび組織を制御します。また、Oracle Access Manager固有のオブジェクト・クラスを使用するディレクトリ・サーバーのリソースへのアクセスを制御する構成設定およびセキュリティ・ポリシーの情報を格納します。同じディレクトリを使用して、アクセス・サーバー構成設定、アクセス・ポリシー・データおよびユーザー・データを格納できます。このデータは異なるディレクトリ・サーバーにも格納できます。
Oracle Identity Managerプラットフォームを使用すると、ユーザーIDのプロビジョニングおよびプロビジョニング解除が自動化され、企業によるユーザーIDのライフサイクルのエンドツーエンドにわたる管理が、ファイアウォールの内側と外側の両方のエンタープライズ・リソース全体で可能になります。また、包括的なワークフロー・エンジンに内包された、ユーザー・プロビジョニング、アイデンティティ管理およびパスワード管理を自動化するアイデンティティ管理プラットフォームを提供します。
自動ユーザーIDプロビジョニングによって、IT管理コストの削減およびセキュリティの向上が実現します。また、プロビジョニングは法規制のコンプライアンスにおいて重要な役割を果します。Oracle Identity Managerの主な機能には、パスワード管理、ワークフローおよびポリシー管理、IDリコンシリエーション、レポートおよび監査、アダプタを介した拡張性が含まれます。
また、Oracle Identity Managerでは、アテステーションがサポートされます。アテステーションは、ユーザーまたはシステム管理者が定期的に人々のアクセス権を確認するプロセスです。既存のサーベンス・オクスリー法が規定する要件では、すべての重要な財務システムに対して3〜6か月単位でアテステーションを実行することが企業に求められています。Identity Managerには、非常に柔軟性のあるアテステーション・ソリューションが含まれ、エンタープライズ顧客はこれを使用して費用効率が高くタイムリな方法でこれらの法的要件を満たすことができます。Identity Managerでアテステーション・プロセスを設定すると、エンタープライズ顧客は、評価のためのユーザー・アクセス権レポートの生成、伝達、確認、サインオフ、委任、追跡およびアーカイブのプロセスを定期的または不定期ベースで自動化できます。
ビジネス・プロセスをWebに移行する企業が増えるにつれて、多くの組織がエンタープライズの境界を拡大し、パートナ・アプリケーションを含める必要に迫られています。フェデレーテッド・アイデンティティ管理を使用すると、ドメイン間のシングル・サインオンが可能になり、他のドメインで管理されるリソースにアクセスする場合に、企業がユーザーIDを管理および保証できるため、企業は独立して業務を行いながらビジネス目的のために連携できます。
以前はCOREid Federationとして知られていたOracle Identity Federationは、スタンドアロン・アプリケーションの使いやすさと移植性を、スケーラブルで規格ベースの実績ある相互操作アーキテクチャと組み合せた、自己完結型のフェデレーション・ソリューションを提供します。これにより、企業がビジネス・パートナを企業ポータルまたはエクストラネットに安全にリンクできるようになり、また、企業のプライバシおよびセキュリティに関する規制へのコンプライアンスが高まります。IDフェデレーションを使用すると、企業は複数のパートナを管理しながら、連携した業界標準のプロトコルを選択できます。IDフェデレーションは、顧客のアイデンティティ管理インフラストラクチャ(OracleおよびOracle以外)との組込み統合を提供して包括的なユーザー・エクスペリエンスを実現し、自動登録、アイデンティティ・マッピング、シームレスなアクセス制御ナビゲーションなどの例に対応します。
Enterprise Managerを使用すると、エンタープライズ構成内のAccess、Identity、Identity FederationおよびIdentity Managerの可用性を監視し、状態を診断できます。各ホストに管理エージェントをデプロイすると、Enterprise Managerを使用して、自動的にこれらのホストのアイデンティティ管理コンポーネントを検出して、デフォルトの監視レベル、通知ルールなどを使用したこれらのキー・コンポーネントの監視を自動的に開始できます。
Access、Identity、Identity FederationおよびIdentity Managerのいずれにかかわらず、すべてのアイデンティティ管理ターゲットには、専用のサーバーのホームページがあり、このページから管理者に必要な主要情報に簡単にアクセスできます。アイデンティティ管理サーバーの各ホームページは次の機能を提供します。
サーバー・ステータス、応答性およびパフォーマンス・データ
問題を迅速に識別および解決するためのアラートおよび診断ドリルダウン
サーバーおよびそのコンポーネントのリソース使用率
ローカルで監視されるアクセス・サーバーおよびアイデンティティ・サーバーの場合、これらのコア・コンポーネントを起動、停止および再起動するための機能
アクセス・サーバーおよびアイデンティティ・サーバーの構成パラメータ
図11-1に、Access Managerのアクセス・サーバーのホームページを示します。
アイデンティティ管理サービスは、Grid Controlに定義されているIdentity Managementシステム上で動作します。システムには、アイデンティティ・サービスが使用するソフトウェア・インフラストラクチャ・コンポーネントが含まれます。システムには、データベース、HTTPサーバー、OC4Jおよびその他のサーバーなどのコンポーネントが含まれます。
システムは、アイデンティティ管理デプロイメントを構成するデータ・センター・コンポーネントのビューを提供するためにGrid Controlにまとめられたサーバー・ターゲットの集合です。Identity Managementシステムは、アイデンティティ・スイート・コンポーネントがGrid Controlで検出されると作成されます。Grid Controlでは、これらのコンポーネントのパフォーマンスおよび可用性も監視され、Identity Managementシステムの状態を表示するシステム・ダッシュボードも1つのウィンドウに表示されます。
図11-2に、Access Managerのアイデンティティ・システムのホームページを示します。
アイデンティティ管理サービスは、Grid Controlで構成される論理ターゲットです。Grid Controlを使用して、アイデンティティ・コンポーネント・インスタンスにWebアプリケーション・サービスの構成プロセスを段階的に実行します。サービスを構成した後、このサービスは「サービス」ページに表示されます。
Grid Controlでは、重要なアプリケーション機能はサービスとして定義および監視されます。各サービスはGrid Controlビーコンによって監視されます。ビーコンは、サービスに対する実際のユーザー・アクセスをシミュレートするサービス・テストを実行します。サービスの可用性およびパフォーマンスは自動的に監視され、問題はただちに管理者に報告されます。アイデンティティ管理サービスの可用性およびパフォーマンスを監視することにより、ユーザーから見える問題をより迅速に識別して解決できるため、ユーザーに与える影響を最小限に抑えることができます。
アクセス・サービスを使用すると、Enterprise Manager管理者はサービス・レベル監視を実行できます。認証または認可サービスが使用できない場合、管理者にサービスの不具合が通知されます。この場合、管理者は根本原因分析を実行して問題の原因を診断できます。根本原因分析の詳細は、「アイデンティティ管理の根本原因分析」を参照してください。
Grid Controlのアクセス・サーバー・ターゲットを検出します。ターゲット検出の詳細は、Grid Controlのヘルプを参照してください。これにより、関連付けられたシステムが作成されます。
Grid Controlの「サービス」タブから、「汎用サービスの追加」を選択し、「実行」をクリックします。
汎用サービスの作成ウィザードが表示されます。
「汎用サービスの作成: 一般」ページで、サービスの名前を指定し、Accessシステムを関連付けます。「次」をクリックします。
「汎用サービスの作成: 可用性」ページで、「サービス・テストに基づく可用性の定義」を選択します。これにより、Webトランザクションを作成できます。「次」をクリックします。
「汎用サービスの作成: サービス・テスト」ページで、「トランザクションの記録」を選択し、「実行」をクリックします。
「サービス・テストの作成」ページの「ステップ」セクションで、「記録」をクリックします。
「Webトランザクションの記録」ページで、「起動」をクリックします。新しいブラウザ・ウィンドウが表示されます。
ブラウザに、アクセス・サーバーで保護されているURLを入力します。「シングル・サインオンのログイン」が表示されたら、ユーザー名およびパスワードを入力します。
「Webトランザクションの記録」ページで、「停止」をクリックして「続行」をクリックします。「Webアプリケーションの作成: サービス・テスト」ページが再表示されます。「続行」をクリックします。
「汎用サービスの作成: ビーコン」ページで、作成したWebトランザクションを実行するビーコンを追加します。「次」をクリックします。
「汎用サービスの作成: パフォーマンス・メトリック」ページで、「次」をクリックします。
「汎用サービスの作成: 使用状況メトリック」ページで、「次」をクリックします。
「汎用サービスの作成: 確認」ページで、「終了」をクリックし、ビーコン・テストで監視するアクセス・サービスを作成します。
アイデンティティ・サービスを使用すると、管理者はAccess Manager IDのサービス・レベル監視を実行できます。ユーザー認証またはグループ認可サービスが使用できない場合、管理者にサービスの不具合が通知されます。この場合、管理者は根本原因分析を実行して問題の原因を診断できます。根本原因分析の詳細は、「アイデンティティ管理の根本原因分析」を参照してください。
Grid ControlのIdentityサーバー・ターゲットを検出します。ターゲット検出の詳細は、Grid Controlのヘルプを参照してください。これにより、関連付けられたシステムが作成されます。
Grid Controlの「サービス」タブから、「汎用サービスの追加」を選択し、「実行」をクリックします。
汎用サービスの作成ウィザードが表示されます。
「汎用サービスの作成: 一般」ページで、サービスの名前を指定し、アイデンティティ・システムを関連付けます。「次」をクリックします。
「汎用サービスの作成: 可用性」ページで、「サービス・テストに基づく可用性の定義」を選択します。これにより、Webトランザクションを作成できます。「次」をクリックします。
「汎用サービスの作成: サービス・テスト」ページで、「トランザクションの記録」を選択し、「実行」をクリックします。
「サービス・テストの作成」ページの「ステップ」セクションで、「記録」をクリックします。
「Webトランザクションの記録」ページで、「起動」をクリックします。新しいブラウザ・ウィンドウが表示されます。
ブラウザに、アイデンティティ・システムのURL(<host:port/identity/oblix>)を入力し、アイデンティティ・システムの「コンソール」リンクをクリックします。「ログイン」ページが表示されます。
「Webトランザクションの記録」ページで、「停止」をクリックして「続行」をクリックします。「Webアプリケーションの作成: サービス・テスト」ページが再表示されます。「続行」をクリックします。
「汎用サービスの作成: ビーコン」ページで、作成したWebトランザクションを実行するビーコンを追加します。「次」をクリックします。
「汎用サービスの作成: パフォーマンス・メトリック」ページで、「次」をクリックします。
「汎用サービスの作成: 使用状況メトリック」ページで、「次」をクリックします。
「汎用サービスの作成: 確認」ページで、「終了」をクリックし、ビーコン・テストで監視するアイデンティティ・サービスを作成します。
Grid Controlを使用して、すべてのアイデンティティ管理サービスを監視できます。サービスごとに、パフォーマンス、使用状況および可用性が監視されます。
各サービスには、専用のホームページがあります。Grid Controlのサービスのホームページには、次が表示されます。
ステータス、応答性およびパフォーマンス・データ
サービスのリソース使用状況データ
その他のサービスおよび関連システムを含む、サービスのサブコンポーネントのステータス、パフォーマンス・アラート、使用状況アラートおよびポリシー違反などのサマリー情報
サービスのサブコンポーネントのホームページへのリンク
問題を迅速に識別および解決するためのアラートおよび診断ドリルダウン
サービス・ダッシュボード
サービス・ダッシュボードには、各アイデンティティ管理ターゲットのステータス、パフォーマンスおよび使用状況に関する最上位のビューが表示されます。また、ダッシュボードには、サービスごとに様々な期間におけるサービス・レベルのコンプライアンスも表示されます。ダッシュボードはアイデンティティ・システム・ターゲットのホームページから直接起動できます。また、Enterprise Managerユーザー以外のユーザーが表示できるように、サービス・ダッシュボードを公開することもできます。これにより、管理者はエンド・ユーザーに対してセルフサービス・ステータスのWebページを提供できます。
次を実行するための関連リンク
サービスのメトリックの表示
クライアント構成の表示
サービスの編集
サービス・ターゲットのプロパティの表示
ブラックアウトの管理
メトリックしきい値およびポリシーの表示および管理
アイデンティティ管理の個別のサービスは、重要なシステム・コンポーネントに関連付けられます。これにより、Enterprise Managerは、サービス停止が検出されるたびにシステム・レベルまで根本原因分析を実行できます。Grid Controlでアイデンティティ管理サービスを構成する場合、「アイデンティティ管理サービスの構成」で説明したように、このサービスの重要なシステム・コンポーネントも構成されます。アイデンティティ管理サービスが停止すると、Enterprise Managerは根本原因分析を自動的に実行し、停止の原因の重要なシステム・コンポーネントを判別します。
Enterprise Managerは、エンタープライズ全体に分散している診断情報をアイデンティティ管理ターゲットから自動的に収集して評価します。Enterprise Managerで管理するすべてのターゲットの場合と同様に、アイデンティティ管理の多数のパフォーマンス・メトリックが事前定義済しきい値を超えていないか、自動的に監視されます。Grid Controlでは、メトリックがこれらのしきい値を超えた場合にアラートが生成されます。
Grid Controlを使用して、アイデンティティ管理サービスのパフォーマンスおよび可用性の問題を診断できます。たとえば、サービスが停止した場合、根本原因分析により、主な原因が重要なサービス/システム・コンポーネントの停止であるかどうかを確認します。サービスのパフォーマンスの問題が検出された場合、管理者は、このサービスおよびこのサービスによって使用される任意のサービス/システム・コンポーネントに関連する詳細なメトリックを一定期間にわたって調査できます。Identity Managementシステムの1つ以上のサーバー・コンポーネントに問題があると考えられる場合、システムのホームページのメトリックおよびグラフを使用して問題を診断できます。
Grid Controlには、アイデンティティ管理の管理者にとって役立つ、次のような一般的な機能が多数用意されています。
ジョブの自動化: Grid Controlのジョブ・システムを使用して、自動化するタスクをスケジュールできます。
ポリシー: ポリシー・フレームワークを使用して、アイデンティティ管理インフラストラクチャをサイト固有の規格に準拠させることができます。
データベースおよびアプリケーション・サーバー管理: 1つのGrid Controlコンソールを使用して、必要に応じてアイデンティティ管理デプロイメント内の特定のデータベースおよびアプリケーション・サーバーを管理することもできます。
拡張機能: Grid Controlには、アイデンティティ管理デプロイメントの一部である可能性がある主要なネットワーク・コンポーネントの監視機能も用意されています。また、Grid Controlを拡張し、Enterprise Managerでは即時に認識されないその他のコンポーネントを監視することもできます。
