Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド 11gリリース1(11.1.1) B56242-01 |
|
戻る |
次へ |
11gリリース1(11.1.1)より、Fusion Middlewareアプリケーションの開発者に推奨されるセキュリティAPIは、Oracle Platform Security Servicesです。これは、『Oracle Fusion Middlewareセキュリティ・ガイド』に記載されています。このマニュアルで説明するOracle Identity Managementインタフェースは、Oracle Platform Security Servicesには含まれていません。
Oracle Identity Managementは、すべてのOracleアプリケーションに共有インフラストラクチャを提供します。また、サード・パーティのエンタープライズ・アプリケーションの開発を容易にするサービスやインタフェースも提供します。このインタフェースは、アプリケーションにアイデンティティ管理を組み込む必要のあるアプリケーション開発者にとって有益です。
この章では、このインタフェースについて説明し、Oracle Identity Management環境におけるアプリケーション開発の推奨ベスト・プラクティスを示します。
この章の項目は次のとおりです。
カスタム・アプリケーションでは、ドキュメントに記載され、サポートされている一連のサービスやAPIを通じてOracle Identity Managementを使用できます。次に例を示します。
Oracle Internet Directoryでは、C、JavaおよびPL/SQLのLDAP APIを提供します。他のLDAP SDKと互換性があります。
Oracle Delegated Administration Servicesでは、主要なセルフ・サービス・コンソールを提供します。サード・パーティ・アプリケーションをサポートするようにカスタマイズできます。また、ディレクトリ・データを操作するカスタム管理インタフェース構築用のサービスもいくつか提供します。
Oracle Directory Integration Servicesでは、Oracle Internet Directoryをサード・パーティ・ディレクトリやその他のユーザー・リポジトリと同期化するためのカスタム・ソリューションの開発およびデプロイメントが容易になります。
Oracle Provisioning Integration Servicesでは、サード・パーティ・アプリケーションをプロビジョニングするメカニズムを提供します。また、Oracle環境をその他のプロビジョニング・システムと統合する手段にもなります。
Oracle Single Sign-Onでは、その他のOracle Webアプリケーションとシングル・サインオン・セッションを共有するパートナ・アプリケーションの開発およびデプロイを行うAPIを提供します。
JAZNは、Java Authentication and Authorization Service(JAAS)Support標準のOracle実装です。Oracle J2EE環境を使用してWeb向けに開発されたアプリケーションが、アイデンティティ管理インフラストラクチャを使用して認証と認可を行えるようにします。
注意: Oracle Fusion Middleware 11gリリース1(11.1.1)には、Oracle Single Sign-OnまたはOracle Delegated Administration Servicesは含まれていません。ただし、Oracle Internet Directory 11gリリース1(11.1.1)は、Oracle Single Sign-OnおよびOracle Delegated Administration Services 10g(10.1.4.3.0)以上と互換性があります。 |
新規のアプリケーションでは、『Oracle Fusion Middlewareセキュリティ・ガイド』に記載されているOracle Platform Security Servicesを使用します。
重要なビジネス・アプリケーションを実行するために特定のアプリケーションが企業内にすでにデプロイされている場合があります。Oracle Identity Managementでは次のサービスが提供されます。これは、デプロイして既存のアプリケーションを変更することで利用できます。
ユーザーの自動プロビジョニング: デプロイメントにより、カスタム・プロビジョニング・エージェントを開発し、Oracle Identity Managementインフラストラクチャでのプロビジョニング・イベントに対応する、既存のアプリケーションでのユーザーのプロビジョニングを自動化できます。このエージェントは、Oracle Provisioning Integration Serviceのインタフェースを使用して開発する必要があります。
関連項目: ユーザーの自動プロビジョニングの開発の詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。 |
ユーザー認証サービス: 既存のアプリケーションのユーザー・インタフェースがHTTPに基づいている場合は、Oracle HTTP Serverと統合し、mod_osso
を使用してURLを保護することで、Oracle Single Sign-Onサービスを使用するすべての受信ユーザー・リクエストを認証できます。
ユーザー・プロファイルの一元管理: 既存のアプリケーションのユーザー・インタフェースがHTTPに基づいており、認証がOracle Single Sign-Onと統合されている場合、アプリケーションでOracle Delegated Administration Servicesのセルフ・サービス・コンソールを使用してユーザー・プロファイルを一元管理できます。セルフ・サービス・コンソールは、アプリケーションの特定の要件に対応できるようにデプロイメント内でカスタマイズできます。
この項では、Oracle Identity Management Software Developer's Kitについて説明します。アプリケーションでキットを使用してディレクトリと統合する方法の概要を示します。ディレクトリ製品スイートのその他のコンポーネントも示します。
この項では、次の項目について説明します。
SDKは、C、C++およびPL/SQLを使用するアプリケーション開発者を対象としています。Java開発者がディレクトリとの統合を行う場合は、Sun社のJNDIプロバイダを使用する必要があります。
Oracle Identity Management Software Developer's Kit 11gリリース1(11.1.1)は、次のもので構成されます。
LDAPバージョン3に準拠したC API
PL/SQL API(DBMS_LDAP
というPL/SQLパッケージに同梱)
『Oracle Identity Managementアプリケーション開発者ガイド』(このドキュメント)
コマンドライン・ツール
この項では、次の項目について説明します。
ほとんどのOracle Identity Managementアプリケーションは、複数のユーザーからの複数のリクエストを同時に処理するバックエンド・プログラムです。図1-1に、これらのアプリケーションによるディレクトリの使用方法を示します。
図1-1に示すように、ユーザー・リクエストがLDAP対応の操作を必要とする場合、アプリケーションはあらかじめ確立されたディレクトリ接続の一部を使用してリクエストを処理します。
表1-1に、アプリケーションがライフサイクルで行う通常のディレクトリ操作を順に示します。
表1-1 アプリケーション・ライフサイクルでの相互作用
アプリケーション開発者は、表1-2で説明するサービスおよびAPIを使用してOracle Identity Managementを統合することができます。
表1-2 Oracle Internet Directoryとの統合用のサービスとAPI
サービス/API | 説明 | 詳細 |
---|---|---|
これらのAPIによって、基本的なLDAP操作が可能になります。Javaで使用する標準的なLDAP APIは、Sun社のLDAPサービス・プロバイダで使用可能なJNDI APIです。 |
第2章「標準的なLDAP APIを使用したアプリケーションの開発」 |
|
標準的なC、PL/SQLおよびJava APIに対するOracleの拡張機能 |
これらのAPIは、アイデンティティ管理関連の様々な概念をモデル化するプログラム・インタフェースを提供します。 |
第4章「標準的なAPIに対するOracleの拡張機能を使用したアプリケーションの開発」 |
Oracle Delegated Administration Services |
Oracle Delegated Administration Servicesは、セルフ・サービス・コンソールと管理インタフェースで構成されています。管理インタフェースは、サード・パーティ・アプリケーションをサポートするように変更できます。 |
10g(10.1.4.0.1)ライブラリ。 |
Oracle Directory Provisioning Integration Service |
Oracle Provisioning Integration Systemを使用して、サード・パーティ・アプリケーションのプロビジョニング、およびその他のプロビジョニング・システムの統合を行うことができます。 |
|
図1-2に、表1-2のサービスの一部を利用するアプリケーションを示します。
図1-2に示すとおり、アプリケーションは次のようにOracle Internet Directoryと統合されます。
PL/SQL、CまたはJavaのAPIを使用して、ディレクトリに対してLDAP操作を直接実行します。
ユーザーをOracle Delegated Administration Servicesのセルフ・サービス機能に転送する場合もあります。
Oracle Internet Directory内のユーザーまたはグループのエントリに対する変更について通知を受けます。Oracle Directory Provisioning Integration Serviceでこの通知を行います。
Oracleのアイデンティティ管理インフラストラクチャとの統合の対象となるアプリケーションが企業内にすでにデプロイされている場合があります。表1-3に示すサービスを使用して、これらのアプリケーションを統合できます。
表1-3 既存のアプリケーションを変更するためのサービス
サービス | 説明 | 詳細 |
---|---|---|
ユーザーの自動プロビジョニング |
Oracleのアイデンティティ管理インフラストラクチャでプロビジョニング・イベントが発生したときに、ユーザーのプロビジョニングを自動的に行うエージェントを開発できます。このエージェントの開発には、Oracle Directory Provisioning Integration Serviceのインタフェースを使用します。 |
|
ユーザー認証サービス |
ユーザー・インタフェースがHTTPに基づいている場合、ユーザー・インタフェースをOracle HTTP Serverと統合できます。これにより、mod_ossoとOracleAS Single Sign-Onを使用してアプリケーションのURLを保護できるようになります。 |
『Oracle Application Server Single Sign-On管理者ガイド』 |
ユーザー・プロファイルの一元管理 |
ユーザー・インタフェースがHTTPに基づいていて、OracleAS Single Sign-Onと統合されている場合、Oracle Internet Directoryセルフ・サービス・コンソールを使用してユーザー・プロファイルを一元管理できます。コンソールは、アプリケーションの要件に応じてカスタマイズできます。 |
|