ヘッダーをスキップ

Oracle Applications概要
リリース11i(11.5.10)
部品番号: B15656-01		目次へ
目次		前のページへ
前へ		次のページへ
次へ

認証および統合

概要

認証の対象は幅広く、様々なテクノロジおよびコンポーネントが含まれます。 ここでは、主要なアーキテクチャの概念と、組織に必要な認証レベルを設定する上で必要な意思決定について概要を説明します。

Oracle E-Business Suiteユーザーの認証は、従来のFND_USERメカニズムを使用して、簡単明瞭で複雑な設定が不要になるように構成できます。あるいは、シングル・サインオンやOracle PortalおよびOracle Discovererなどのオプション製品の使用といった、様々な追加機能および高度化レベルを含めることができます。 システム管理者は、設定と保守の単純さ、企業全体のアプリケーションに1箇所からアクセスする必要性の有無、サード・パーティ・ユーザー・ディレクトリとの統合能力、および組織の全体的なセキュリティ要件などの要素を考慮して、インストレーションに最適なソリューションを選択できます。

簡潔に説明している拡張機能には、ユーザー・プロファイル情報を企業全体で自動的に同期化し続けるためのタスク、およびOracle E-Business Suiteリリース11iの複数のアプリケーション・アカウントにOracle Internet Directoryのアカウントをリンクするために必要なステップがあります。

ここで説明しているソリューションは、承認の問題には触れていないことに注意してください。 ユーザーが認証されると、Oracle E-Business Suiteリリース11iは、ユーザーがログインしているアプリケーション・アカウントに関連付けられた承認情報を取り出します。 アプリケーション・アカウントの承認情報は、Applications職責によって管理されます。 Oracle E-Business Suiteリリース11iでは、ユーザー・セッション中に必要となった場合に承認チェックが適用されます。

Oracle9i Application Server

Oracle9i Application Server(9iAS)は、J2EE認定の高度なアプリケーション・サーバーです。 Oracle9iASは、E-Businessポータル、トランザクション・アプリケーションおよびWebサービスの開発と展開に必要なテクノロジのすべてを単一の製品に統合した、最初のアプリケーション・サーバーです。

Oracle9i Application Serverは、開発者が、J2EEアプリケーション、Webサービス、企業ポータル、ワイヤレスおよびビジネス・インテリジェンス・アプリケーションなどのインターネット・アプリケーションを作成するための、生産的な開発環境を提供します。 Oracle9i Application Serverは開放的かつ統合対応のアーキテクチャを持ち、規格に準拠しているため、Webアプリケーションは、レガシー・システム、サプライヤとパートナのアプリケーション、およびOracleデータベースと非Oracleデータベースを含む、組織の既存のIT環境と統合できます。

Oracle E-Business Suiteは、9iASを利用して、Applicationsインフラストラクチャの各種コンポーネントを提供します。 これらのコンポーネントは標準でインストールされ、特定のユーザー処理は必要ありません。

注意: Oracle9i Application ServerをOracle E-Business Suiteリリース11iとともに使用する方法の詳細は、Oracle MetaLinkのNote 186981.1を参照してください。

Oracle Application Server 10g

Oracle E-Business Suiteリリース11iは、スタンドアロン・サーバーで動作するOracle Application Server 10gコンポーネント(Oracle Internet Directory 9.0.4、Oracle Portal 9.0.4、Oracle Single Sign-On 9.0.4およびOracle Discoverer 9.0.4)との統合について認定されています。

注意: この統合により、既存のリリース11iテクノロジ・スタックがOracle Application Server 10gにアップグレードされるわけではありません。

Oracle Application Server 10gをOracle E-Business Suiteリリース11iと統合する利点は、次のとおりです。

次のダイアグラムに示したアーキテクチャは、比較的単純な配置の例です。 Portal、DiscovererおよびOracleAS Certificate Authorityの実装はオプションである点に注意してください。

図9-1 Application Serverアーキテクチャの例

この図については本文で説明されています。

複数ノードのロード・バランシング構成、Real Application Clusters(RAC)およびその他の分散アーキテクチャを含む、より高度な配置トポロジもサポートされています。

注意: Oracle E-Business Suiteリリース11i環境にOracle Application Server 10gをインストールする方法の詳細は、Oracle MetaLinkのNote 233436.1を参照してください。

Oracle Portal

Oracle Application Server Portal(Oracle AS Portal)は、企業クラス・ポータルを開発、配置、管理および構成するための、完全なブラウザ・ベース環境です。 Oracle AS Portalでは、完全なポータル構築フレームワークに、ポータル内部でアクセスされる情報の作成と管理を容易にするセルフサービス公開機能が組み込まれています。 単純な部門レベルの公開ポータルから、顧客および従業員の両方に対応するインターネットにアクセス可能なポータルまで、様々なポータル・インタフェースおよび構成が可能です。 Oracle Application Serverの他のコンポーネントおよびOracleデータベースとの密接な統合により、このソリューションは企業クラスのユーザーに対応できます。

Oracle Discoverer

Oracleの強力な非定型問合せ、レポート、分析およびWeb公開ツールであるDiscovererを使用することで、組織のあらゆるレベルのビジネス・ユーザーが、Oracle E-Business Suiteリリース11iの情報にすぐにアクセスできるようになります。 ユーザーはDiscovererを使用して、Financials、Operations、Human Resources、Purchasing、Process ManufacturingおよびActivity Based Managementなどの選択されたビジネス・エリアのデータを分析できます。

注意: Oracle DiscovererをOracle E-Business Suiteリリース11iとともに使用する方法の詳細は、MetaLinkのNote 257798.1を参照してください。

エンタープライズワイドなシングル・サインオン

シングル・サインオン機能を使用すると、単一のユーザーIDを使用して、Oracle E-Business Suiteおよびその他のアプリケーションにアクセスできます。個々のアプリケーションに別々にログインする必要はありません。 Oracle E-Business Suiteでは、Oracle Single Sign-On、Oracle Internet Directory(OID)およびOracle Portalを利用して、シングル・サインオン機能を使用できます。

エンタープライズワイドなシングル・サインオン・ソリューションを実装するには、Oracle E-Business Suiteリリース11iユーザーの認証に使用されるメカニズムに大幅な変更を加える必要があります。 FND_USER表を使用した固有の方法で認証を実行するかわりに、この機能はOracle Single Sign-Onに委任されます。Oracle Single Sign-Onでは、次のいずれかを実行できます。

Oracle E-Business Suiteリリース11iでは、このいずれかの解決策を使用して、シングル・サインオン・メカニズムにより保証された識別情報を受け入れます。 Oracle Internet Directoryは、Oracle E-Business Suiteリリース11iが企業レベル・ユーザー管理に関わることのできる統合ポイントとなることで、補完的な役割を果たしています。

注意: サード・パーティのシングル・サインオン・サーバーが使用中の場合でも、E-Business Suiteリリース11iとサード・パーティのシングル・サインオン・ソリューションとの中継用に、Oracle Single Sign-OnおよびOracle Internet Directoryが必要です。

各E-Business Suiteインスタンスでは、登録済ユーザーのレコードが、従来のアプリケーション・アカウントの形式で保守されている必要があります。 ただし、企業レベル・ユーザーに必要な抽象化レベルには、企業全体でユーザーを一意に識別できるメカニズムが必要です。 これは、Global Unique Identifier(GUID)によって実現します。 Oracle Internet DirectoryおよびOracle E-Business Suiteには、企業レベル・ユーザーごとにGUID情報が格納されています。 GUIDは、Oracle Internet DirectoryおよびOracle E-Business Suiteの両方で認識される識別バッジとみなすことができます。

こうした環境のもう1つの要件は、明確に定義された場所でユーザー登録を1回のみ実行し、ユーザーがその後で企業のその他のユーザーに認識されることです。 2つの追加機能により、次のことが可能になります。

外部または第三者のユーザー・ディレクトリにあるユーザー情報は、LDAPプロトコルを使用したOracle Internet Directoryとの同期化が可能です。Oracle Internet Directoryを使用すると、集中保管場所にあるOracle E-Business Suiteを含む、様々なアプリケーション・システムが参照可能なユーザー情報を管理および公開できます。

Oracle E-Business Suiteをシングル・サインオン環境に統合する際に生じる複雑さの大部分は、以前独立していたシステムを統合した結果として、シングル・サインオン環境の断片化または重複したユーザー・データを連結する必要があることが原因です。

ここで説明しているソリューションは、GUIDを使用して既存のデータをまとめてリンク付けするメカニズムを提供します。 さらに、統合されたシングル・サインオン環境へ移行するときに、バルク移行ツールを使用して、Oracle Internet DirectoryとE-Business Suiteの間で多数のユーザーを移動できます。

Oracle Internet DirectoryとE-Business Suiteリリース11iの間でユーザー証明書を完全に同期化するには、Oracle Application Server 10gを配置する必要があるので注意してください。

注意: Oracle Single Sign-OnおよびOracle Internet Directoryによってシングル・サインオンを実装する方法の詳細は、『Oracle Applicationsシステム管理者ガイド』およびOracle MetaLinkのNote 233436.1の「Installing Oracle Application Server 10g with Oracle E-Business Suite Release 11i」を参照してください。

Application Serverの統合オプション

Application Server 10gは、統合ハブとして機能することができ、これによって、Oracle E-Business Suiteをその他の企業ソフトウェア(サード・パーティ・ベンダーのソフトウェアを含む)と連動させることができます。

次に示す論理アーキテクチャでは、9iAS 1.0.2.2.2およびPortal 3.0.9にアップグレードされた既存のApplicationsリリース11i(11.5.8以上)インストレーションに、Applications Webプロバイダおよびポートレットがインストールされています。

図9-2 Application Server統合アーキテクチャ

この図については本文で説明されています。

この構成の主要なポイントは、次のとおりです。

基本的なシングル・サインオン配置シナリオ

この項では、既存のOracle E-Business Suiteインスタンスが新規Oracle Single Sign-OnおよびOracle Internet Directoryインフラストラクチャに統合される単純な配置シナリオについて、概略を説明します。 それに続く説明では、サード・パーティのシングル・サインオン・ソリューションの有無または複数のユーザー・リポジトリの有無など、追加要素を考慮しています。

注意: この項では、すべてのインストレーションに適用される共通タスクの高レベルな概要を説明しています。 特定のサイトの要件に必要となる正確なステップは、さらに詳細なものになります。

このシナリオの開始点は、既存のOracle E-Business Suiteリリース11iインストレーションと、別のマシン上にある新規のOracle Application Server 10gインストレーション(Oracle Single Sign-OnおよびOracle Internet Directoryを含む)です。

Oracle Internet Directoryには現在、事前シード済のユーザー以外に既存のユーザーは存在せず、Oracle Portalは実装されていません。 Oracle E-Business Suiteリリース11iを、Oracle Single Sign-OnおよびOracle Internet Directoryに統合する必要があります。

主な目標

図9-3 Oracle Single Sign-OnおよびOracle Internet Directoryと組み合せたE-Business Suiteの配置

この図については本文で説明されています。

ユーザー管理オプション

既存のOracle E-Business Suiteリリース11iアプリケーション・アカウントは、バルク移行ツールを使用して、Oracle Internet Directoryのシングル・サインオン・アカウントに移行されます。 移行の後、システム管理者には、ユーザー情報の作成場所およびユーザー情報の供給(送信)先に関連する、数多くのユーザー管理オプションが用意されています。

オプション1

ユーザー情報はすべて、Oracle E-Business Suiteリリース11iで作成され、Oracle Internet Directoryに供給されます。

図9-4 E-Business SuiteからOracle Internet Directoryへのユーザー情報の供給

この図については本文で説明されています。

Oracle E-Business Suiteリリース11iで新規アプリケーション・アカウントを作成すると、Oracle Internet Directoryで新規シングル・サインオン・アカウントの作成が自動的にトリガーされます。 アプリケーション・アカウントのユーザー属性の一部は、アカウントの作成時にOracle Internet Directoryのシングル・サインオン・アカウントに供給される場合があります。

オプション2

ユーザー情報はすべて、Oracle Internet Directoryで作成され、Oracle E-Business Suiteリリース11iに供給されます。

図9-5 Oracle Internet DirectoryからE-Business Suiteへのユーザー情報の供給

この図については本文で説明されています。

Oracle Internet Directoryで新規シングル・サインオン・アカウントを作成すると、Oracle E-Business Suiteリリース11iで新規アプリケーション・アカウントの作成が自動的にトリガーされます。 シングル・サインオン・アカウントのユーザー属性の一部は、アカウントの作成時にOracle Internet Directoryのアプリケーション・アカウントに供給される場合があります。

オプション3

ユーザー情報はすべて、Oracle Internet DirectoryまたはOracle E-Business Suiteリリース11iのいずれかで作成され、その他のシステムに供給されます。

図9-6 E-Business SuiteとOracle Internet Directoryの間のユーザー情報の供給

この図については本文で説明されています。

リリース11iで新規アプリケーション・アカウントを作成すると、Oracle Internet Directoryの新規シングル・サインオン・アカウントの作成が自動的にトリガーされ、Oracle Internet Directoryで新規シングル・サインオン・アカウントを作成すると、リリース11iの新規アプリケーション・アカウントの作成が自動的にトリガーされます。

アカウントの作成時に、アプリケーション・アカウントのユーザー属性の一部がOracle Internet Directoryのシングル・サインオン・アカウントに供給される場合があり、シングル・サインオン・アカウントのユーザー属性の一部がOracle Internet Directoryのアプリケーション・アカウントに供給される場合があります。

ユーザー属性の同期化

前述の3つのオプションのすべてについて、ユーザー属性セットがどちらかのシステムから更新されるときに、オプションでOracle E-Business Suiteリリース11iとOracle Internet Directoryの間で同期化できます。 これは、供給プロファイルを設定して行います。

サインオン

Oracle E-Business Suiteリリース11i環境にアクセスを試みた場合、Oracle Single Sign-Onで認証されていないユーザーは、Single Sign-Onログイン・ページに誘導されます。このページは、個々のサイトにあわせてカスタマイズできます。

Oracle Single Sign-Onにより認証された後(または以前に認証が実行済である場合)、ユーザーは、要求されたページまたはOracle E-Business Suiteリリース11iのユーザーのホーム・ページに再度誘導されます。

サインアウト

ユーザーがOracle E-Business Suiteインスタンスをログアウトした場合、このユーザーは、Oracle Single Sign-OnおよびOracle Single Sign-Onに統合されたパートナ・アプリケーションからもログアウトします。 ユーザーには、正常にログアウトしたすべてのアプリケーションがリストされたログアウト・ページが表示されます。

セッション・タイムアウト

シングル・サインオン環境における異なるセッションのタイムアウトの動作について理解し、適切なセキュリティ・レベルが保守されるようにすることが重要です。

ユーザーのアプリケーション・セッションがタイムアウトになる(または明示的にログアウトする)までは、Oracle Single Sign-OnセキュリティCookieが失効した場合でも、引き続きパートナ・アプリケーションにアクセスできます。 アプリケーション・セッションのタイムアウト値は、Single Sign-Onのタイムアウト設定より優先されるため、アプリケーション・セッションのタイムアウト値を、Oracle Single Sign-Onのタイムアウト値以下に設定することをお薦めします。

高度なシングル・サインオン配置シナリオ

この項では、他の4つの配置シナリオについて概略を説明します。 現実の配置はすべて一意であり、詳細な計画が必要であるため、ここで示すガイドラインは、決定的な指示ではなく高レベルな戦略を示したものとして考える必要があります。 解決策の概略は、前述の基本的なシナリオに基づいています。

シナリオ1

要件: Oracle E-Business Suiteリリース11iでOracle Single Sign-Onを使用可能にする必要があります。

開始時の環境

解決策

Oracle Internet Directoryまたは1つのOracle E-Business Suiteリリース11iインスタンスを、ユーザー登録のソースとして指定できます。この場合、次の影響があります。

オプションで、Oracle E-Business Suiteリリース11iインスタンスのユーザー・プロファイル情報は、Oracle Internet Directoryの情報と同期化された状態を保持できます。

シナリオ2

要件: Oracle E-Business Suiteリリース11iの新規インストレーションを、既存のサード・パーティのシングル・サインオンおよびユーザー・ディレクトリ・インフラストラクチャに統合する必要があります。

開始時の環境

解決策

図9-7 E-Business Suiteのサード・パーティのシングル・サインオンおよびユーザー・ディレクトリとの統合

この図については本文で説明されています。

サード・パーティのLDAPディレクトリに含まれる既存のユーザーは、Oracle Internet Directoryへバルク移行し、その後Oracle E-Business Suiteにバルク移行できます。

オプションで、Oracle E-Business Suiteのユーザー・プロファイル情報は、サード・パーティのLDAPディレクトリの情報と同期化された状態を保持できます。

シナリオ3

要件: 既存のOracle E-Business Suiteリリース11iを、既存のサード・パーティのシングル・サインオンおよびユーザー・ディレクトリ・インフラストラクチャに統合する必要があります。

開始時の環境

解決策

サード・パーティのシングル・サインオンまたはLDAPディレクトリが関係していない場合、このシナリオより単純なシナリオが発生します。 既存のOracle E-Business Suiteリリース11iインストレーションと、Oracle Single Sign-OnおよびOracle Internet Directoryインフラストラクチャのみが存在します。 このような場合、サード・パーティ(非Oracle)ソフトウェアに関連するすべてのステップを無視できます。

シナリオ4

要件: Oracle Single Sign-Onインフラストラクチャが現在配置されていない複数のOracle E-Business Suiteリリース11iインストレーションで、Oracle Single Sign-Onを使用可能にする必要があります。

開始時の環境

解決策

注意: Oracle E-Business Suiteリリース11iのOracle Internet DirectoryおよびSingle Sign-Onへの統合に関連するシナリオの全リストは、MetaLinkのNote 261914.1を参照してください。

高度なシングル・サインオン・オプション

特殊な状況で使用される可能性がある高度なオプションが数多く存在します。その一例をここで説明します。

単一のOracle Single Sign-Onアカウントに対する複数のアプリケーション・アカウントのリンク付け

通常、Oracle Internet Directoryのシングル・サインオン・アカウントは、Oracle E-Business Suiteリリース11iの単一のアプリケーション・アカウントに対応します。 ただし、特殊なケースでは、ユーザーはOracle Internet Directoryにシングル・サインオン・アカウントを持ち、Oracle E-Business Suiteリリース11iに複数のアプリケーション・アカウントを持つ必要がある場合があります。

図9-8 シングル・サインオン・アカウントおよび複数のアプリケーション・アカウント

この図については本文で説明されています。

必要に応じて、システム管理者がプロファイル・オプション「アプリケーションSSO許可複数アカウント」によりこの機能を有効にできます。

目次   |   前へ   |   ページの先頭へ   |   次へ

Oracleロゴ
Copyright © 2000, 2004, Oracle. All rights reserved.