| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-01 |
|
前 |
次 |
この章では、Oracle Identity Management統合とそのコンポーネント、構造および管理ツールの概要について説明します。
この章は、次の項目を含みます。
|
関連項目: Oracle Identity Management統合のデプロイの例は、付録D「事例: Oracle Directory Integration Platformのデプロイ」を参照してください。 |
Oracle Identity Managementでは、アプリケーションおよびディレクトリ(サード・パーティのLDAPディレクトリを含む)をOracle Internet Directoryと統合することによって、管理にかかる時間とコストを削減できます。これにはOracle Directory Integration Platformを使用します。たとえば、次を行うことが必要な場合があります。
Oracle Human ResourcesとOracle Internet Directoryで従業員レコードの整合性を維持すること。Oracle Directory Integration Platformでは、Oracle Directory Synchronization Serviceによりこの同期化を行います。
変更がOracle Internet Directoryに適用されるたびに、Oracle Application Server Portal(Oracle Portal)などのLDAP対応アプリケーションに通知すること。Oracle Directory Integration Platformでは、Oracle Directory Integration Platform Provisioning Serviceによりこの通知を行います。
統合処理全体を通して、Oracle Directory Integration Platformは、アプリケーションとその他のディレクトリが確実な方法で必要な情報をやりとりすることを保証します。
Microsoft Active Directory、Microsoft Active Directory Lightweight Directory Service(AD LDS: 旧称Active Directory Application Mode(ADAM))、Oracle Directory Server Enterprise Edition(旧称Sun Java System Directory Server)、Novell eDirectory、IBM Tivoli Directory Server、OpenLDAPなど、様々なディレクトリとの統合が可能です。たとえば、Oracle Fusion Middleware環境では、Oracleコンポーネントへのアクセスは、Oracle Internet Directoryに格納されているデータに基づいて行いますが、企業の中央ディレクトリとしてMicrosoft Active Directoryも使用できます。これらのディレクトリのユーザーがOracleコンポーネントにアクセスできるのは、Oracle Directory Integration Platformにより、Microsoft Active Directory内のデータを、Oracle Internet Directory内のデータと同期化できるためです。
Oracle Directory Integration Platformは、他のOracle Identity Managementコンポーネントとともに、あるいはスタンドアロン・インスタンスとして単独でインストールできます。スタンドアロンのOracle Directory Integration Platformインスタンスをインストールするには、Oracle Internet Directoryコンポーネントがインストール済である必要があります。次のような状況では、Oracle Directory Integration Platformのスタンドアロン・インスタンスをインストールする必要があります。
Oracle Directory Integration Platformを別のアプリケーション・サーバー・インスタンスにインストールする必要がある場合
プロビジョニングおよび同期化が必要なアプリケーションに、集中的な処理が必要な場合
高可用性のために複数のOracle Directory Integration Platformインスタンスを実行する必要がある場合
|
関連項目: Oracle Directory Integration Platformのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。 |
同期は、アプリケーションではなくディレクトリを扱います。Oracle Internet Directoryと他の接続ディレクトリの両方に存在するエントリおよび属性の一貫性を確保します。
|
注意: 同期とレプリケーションは、同義ではありません。レプリケーションは、同一ベンダーのディレクトリ間でのデータ処理に対して使用されます。 |
プロビジョニングは、アプリケーションを扱います。アプリケーションで追跡が必要なユーザーやグループのエントリまたは属性への変更を通知します。
この項の内容は次のとおりです。
同期によって、Oracle Internet Directoryと接続ディレクトリの間で変更を調整できます。すべてのディレクトリが最新のデータのみを使用し、提供するためには、その他の接続ディレクトリでの変更がすべて各ディレクトリに伝達される必要があります。同期は、プロビジョニングによって更新されたデータも含めて、ディレクトリ情報に対する変更の一貫性を確保します。
サード・パーティのディレクトリをOracle Internet Directoryに接続する場合は、特定のディレクトリ用に同期プロファイルを作成します。このプロファイルによって、Oracle Internet Directoryと接続ディレクトリとの間で同期化されるデータの書式と内容が指定されます。同期プロファイルを作成するには、manageSyncProfilesユーティリティまたはOracle Enterprise Manager Fusion Middleware Controlを使用します。
プロビジョニングによって、たとえば、ディレクトリのユーザーまたはグループに関する情報への変更をアプリケーションに確実に通知できます。このような変更は、アプリケーションでプロセスに対するユーザー・アクセスを許可するかどうかや、使用できるリソースを決定するかどうかに影響を及ぼすことがあります。
プロビジョニングを使用するのは、次の要件を持つアプリケーションを設計またはインストールする場合です。
ディレクトリを維持しないアプリケーション
LDAP対応のアプリケーション
リソースへのアクセスを認可ユーザーのみに限定するアプリケーション
プロビジョニング対象のアプリケーションをインストールする場合、oidprovtoolユーティリティを使用して、そのためのプロビジョニング統合プロファイルを作成する必要があります。
同期とプロビジョニングには、表1-1に示すように、操作に重要な違いがあります。
表1-1 ディレクトリ同期とプロビジョニング統合の違い
| 比較項目 | ディレクトリ同期 | プロビジョニング統合 |
|---|---|---|
|
実行のタイミング |
アプリケーションのデプロイ時。ディレクトリ同期の対象は、Oracle Internet Directoryとの同期が必要な接続ディレクトリです。 |
アプリケーションの設計時。プロビジョニング統合を使用するのは、LDAP対応アプリケーションを開発するアプリケーション設計者です。 |
|
通信の方向 |
一方向または双方向。つまり、Oracle Internet Directoryから接続ディレクトリ、その逆、もしくはその両方です。 |
一方向または双方向。つまり、Oracle Internet Directoryからアプリケーション、その逆、もしくはその両方です。 |
|
データの種類 |
ディレクトリ内のデータ。 |
プロビジョニング・ユーザーおよびグループに制限されます。 |
|
例 |
Oracle Human Resources Oracle Directory Server Enterprise Edition(Sun Java System Directory Server) Microsoft Active Directory Novell eDirectory OpenLDAP IBM Tivoli Directory Server |
Oracle Portal |
この項では、Oracle Identity Management統合に必要なコンポーネントを説明します。この項の内容は、次のとおりです。
Oracle Internet DirectoryはOracleコンポーネントとサード・パーティ・アプリケーションがユーザー・アイデンティティおよび資格証明を格納してアクセスするリポジトリです。Oracleディレクトリ・サーバーを使用し、ユーザーが入力した資格証明をOracle Internet Directoryに格納されている資格証明と比較してユーザーを認証します。資格証明がOracle Internet Directoryではなくサード・パーティ・ディレクトリに格納されている場合でも、ユーザーは認証されます。この場合、Oracle Internet Directoryは、サード・パーティ・ディレクトリ・サーバーに対してユーザーを認証する外部認証プラグインを使用します。
Oracle Directory Integration Platformは、様々なリポジトリとOracle Internet Directory間のデータ同期を可能にするJ2EEアプリケーションです。Oracle Directory Integration Platformは、他のエンタープライズ・リポジトリとともに同期化ソリューションを開発できるようにするためのサービスとインタフェースを提供します。Oracle Internet Directoryとサード・パーティのメタディレクトリ・ソリューションとの相互運用性を実現するためにも使用できます。
図1-1に、Oracle Directory Integration Platform環境の例を示します。
図1-1の例では、Oracle Directory Integration Platformの同期Enterprise JavaBeans(EJB)およびクォーツ・スケジューラを使用して、Oracle Internet Directoryが接続ディレクトリと同期化されます。同様に、Oracle Directory Integration PlatformのプロビジョニングEnterprise JavaBeans(EJB)およびクォーツ・スケジューラを使用して、Oracle Internet Directoryでの変更が様々なリポジトリに送信されます。
Oracle Directory Integration Platform Serverは、次のサービスを実行します。
Oracle Directory Integration Platform Synchronization Service:
スケジューリング: 事前定義されたスケジュールに基づいて同期プロファイルを処理
マッピング: 接続ディレクトリとOracle Internet Directoryの間のデータ変換ルールを実行
データ伝播: コネクタを使用して接続ディレクトリとデータを交換
エラー処理
Oracle Directory Integration Platform Provisioning Service:
スケジューリング: 事前定義されたスケジュールに基づいてプロビジョニング・プロファイルを処理
イベント通知: Oracle Internet Directoryに格納されているユーザー・データまたはグループ・データに関連した変更をアプリケーションに通知
エラー処理
Oracle Directory Integration Platform環境における接続ディレクトリの内容は、Oracle Directory Integration Platform Synchronization Service(同期Enterprise JavaBeans(EJB)およびクォーツ・スケジューラを含む)を介してOracle Internet Directoryと同期化されます。
Oracle Fusion Middlewareコンポーネントの場合、Oracle Internet Directoryはすべての情報の中央ディレクトリであり、他のすべてのディレクトリと同期しています。この同期には、次の2つの方向があります。
一方向: 一部の接続ディレクトリは、Oracle Internet Directoryに変更を提供するのみで、変更を受け取ることがありません。たとえば、従業員情報のプライマリ・リポジトリで比較のための基準であるOracle Human Resourcesがこれに該当します。
双方向: Oracle Internet Directoryでの変更を接続ディレクトリにエクスポートでき、接続ディレクトリでの変更をOracle Internet Directoryにインポートできます。
同期サービスでは、特定の属性を対象とする(または無視する)ことができます。たとえば、Oracle Human Resources内の従業員バッジ番号の属性は、Oracle Internet Directory、その接続ディレクトリまたはクライアント・アプリケーションには関係ありません。同期は不要です。その一方で、従業員識別番号はこれらのコンポーネントとも関係があるため、同期が必要です。
図1-2に、デプロイ例におけるOracle Directory Synchronization Service内のコンポーネント間の相互作用を示します。
このようなすべての同期アクティビティをトリガーする中心的なメカニズムがOracle Internet Directoryの変更ログです。Oracle Internet Directoryなど、接続ディレクトリへの変更ごとに1つ以上のエントリが追加されます。Oracle Directory Synchronization Service:
変更ログを監視します。
変更が1つ以上の同期プロファイルに対応している場合は、常にアクションを実行します。
ログに記録された変更に個々のプロファイルが対応している他の接続ディレクトリすべてに、該当する変更を提供します。接続ディレクトリには、リレーショナル・データベース、Oracle Human Resources、Microsoft Active Directory、Oracle Directory Server Enterprise Edition(Sun Java System Directory Server)、Novell eDirectory、IBM Tivoli Directory Server、OpenLDAPなどがあります。Oracle Directory Synchronization Serviceは、接続ディレクトリが要求するインタフェースと書式を使用してこれらの変更を提供します。Oracle Directory Integration Platformコネクタを介した同期によって、Oracle Internet Directoryクライアントに必要なすべての情報について、Oracle Internet Directoryが最新の状態に保持されます。
プロビジョニングEnterprise JavaBeans(EJB)およびクォーツ・スケジューラを含むOracle Directory Integration Platform Provisioning Serviceは、ユーザーまたはグループ情報などの変更が各プロビジョニング・アプリケーションに通知されることを保証します。これは、プロビジョニング統合プロファイルに含まれている情報に基づいて行われます。各プロビジョニング・プロファイルの役割は、次のとおりです。
そのプロファイルを適用するアプリケーションと組織を一意に識別します。
アプリケーションに通知する必要があるユーザー、グループ、操作などを指定します。
Oracle Internet Directoryでの変更がアプリケーションのプロビジョニング・プロファイルに指定されているものと一致すると、Oracle Directory Integration Platform Serviceは、そのアプリケーションに関連データを送信します。
|
注意: レガシー・アプリケーション(Oracle Directory Integration Platform Serviceのインストール前に稼働状態であったアプリケーション)は、インストール時に通常の方法ではサブスクライブされません。レガシー・アプリケーションを使用してプロビジョニング情報を受信できるようにするには、プロビジョニング・プロファイルに加えて、プロビジョニング・エージェントを開発する必要があります。このエージェントは、Oracle Internet Directoryからの関連データをレガシー・アプリケーションに必要な正確な書式に変換する必要があります。 |
図1-3に、Oracle Directory Integration Platform Service環境でのコンポーネント間の相互作用を、レガシー・アプリケーションに使用するプロビジョニング・エージェントの特別なケースも含めて示します。
Oracle Application Server Single Sign-On(OracleAS Single Sign-On Server)を使用すると、ユーザーは1回のみのログインで、WebベースのOracleコンポーネントにアクセスできます。
Oracleコンポーネントは、ログイン機能をOracleAS Single Sign-On Serverに委任します。初めてOracleコンポーネントにログインする場合は、そのコンポーネントによってOracleAS Single Sign-On Serverにログインがリダイレクトされます。OracleAS Single Sign-On Serverでは、Oracle Internet Directoryに格納されている資格証明に対して、ユーザーが入力した資格証明を検証することによってユーザーが認証されます。ユーザーを認証すると、残りのセッション中、そのユーザーが使用を要求し認可されたすべてのコンポーネントに対するユーザー・アクセス権限がOracleAS Single Sign-On Serverによって付与されます。
|
注意: Oracle Directory Integration Platform 11gリリース1(11.1.1)は、Oracle Application Server Single Sign-On 10gリリース10.1.4.3.0以上をサポートしており、相互運用できます。 |
|
関連項目: OracleAS Single Sign-On Serverの詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Single Sign-On』を参照してください。 |
