Oracle® Fusion Middleware Identity Governance Framework ArisID API開発者ガイド 11g (11.1.1) B66695-01 |
|
前 |
次 |
この章では、Identity Governance Framework ArisID API (ArisID API)のアーキテクチャと主要な機能について説明します。ArisID APIは、エンタープライズ開発者とシステム設計者に、複数のアイデンティティ・プロトコルを使用したアイデンティティ対応のアプリケーションを作成するためのライブラリを提供します。ArisID APIでは、開発者は、Client Attribute Requirements Markup Language (CARML)を使用して、アイデンティティの属性、ロールおよび検索フィルタの要件を指定できます。
この章には、次の項目が含まれます。
Identity Governance Framework (IGF)は、次の目標を実現するために設計されたオープン・イニシアチブです。
格納場所に関係なく、アイデンティティ情報の開発を簡易化すること。
アプリケーションでのアイデンティティ・データ(特に、機密データ)の使用方法の管理(ガバナンスとも呼ばれる)を簡易化すること。
このイニシアチブの一員として、オラクル社は主な初期の仕様を提供し、コミュニティで使用できるようにしています。これらの仕様では、使用法のポリシー、属性要件およびアイデンティティ関連の情報の使用に関係する開発者APIを定義するための共通のフレームワークが提供されます。これらによって、ビジネスは、システムおよびアプリケーション全体でのアイデンティティ関連のデータの使用、格納および伝播に関係なく、ドキュメント化、制御および監査を完全に行うことができます。
組織は、顧客、従業員および取引先に関する個人の機密情報の制御と保全を保つ必要があります。社会保障番号、クレジット・カード番号、病歴などに関連するデータは、この種の情報の悪用や盗用を防ぐよう求める規制によって一層の注意が求められています。プライバシに配慮する組織が、業務の妨げとなったり、生産性、柔軟性および効率に影響するような過度に厳格な制御とプロセスを施行してこれらの要求に応えようとすることが多々あります。反対に、この情報を保護するために必要な措置をとらず、十分な監視と制御を行わずにアイデンティティ関連のデータを潜在的に危険な状態にする組織もあります。Identity Governance Frameworkによって、エンタープライズ用の標準ベースのメカニズムで、アプリケーション間で"契約"を結び、データが悪用されたり、危険にさらされたり、置き違えられたりしないという信頼性のもと、アイデンティティ関連の情報を安全に共有できます。このフレームワークを使用すると、組織は、ビジネス全体でのアイデンティティ情報の格納、使用および伝播のされ方を完全に可視化できます。これによって、組織は、アイデンティティ関連の情報の機密性を損なうことなく、ビジネス・プロセスを効率化するための制御を自動化できます。
Identity Governance Frameworkは、アプリケーションを記述する際のアイデンティティ関連のデータの処理方法の指定について取り決められたプロセスです。これによって、このデータを使用するアプリケーションを簡単に記述し、管理ポリシーを使用して制御できるようにする標準ベースの方法が開発者に提供されます。このことにより、プライバシを考慮したアプリケーションを短期間で開発できるようになります。
IGFによって、アイデンティティに対応するアプリケーションをデプロイ・インフラストラクチャから切り離すことができます。具体的には、IGFを使用すると、開発者は、アイデンティティ関連の情報の格納方法およびアプリケーションによるアクセス方法の決定を遅らせることができます。開発者は、SQLデータベースを使用するか、LDAPディレクトリを使用するか、あるいは他のシステムを使用するかについて悩む必要がなくなります。過去には、開発者は特異性の高いコードの記述を余儀なくされ、テクノロジとベンダーの固定化につながっていました。Client Attribute Requirement Markup Language (CARML)ファイルと宣言を使用することで、継続的に専門的な開発者の増強を必要とせずに、様々な環境での柔軟なデプロイがアプリケーションによってサポートされます。アイデンティティベースの情報については、データの取得、変換およびポリシーの強制といった難しい処理がArisID APIによって行われます。
Identity Governance Framework ArisID APIは、すべてのアイデンティティ情報交換の受渡しに使用される共通のコア・サービスを表します。正式な名称ではありませんが、ArisID APIは、開発者からアイデンティティBeanと呼ばれることが多くあります。
11g (11.1.1)リリースのArisID APIは、次に提案されている構成のサブセットです。
http://www.openliberty.org/wiki/index.php/ArisID_Configuration
.
Oracle WebLogic ServerとOracle Identity Managementをインストールしてある場合、このAPIを使用したアプリケーションの開発に必要なjarファイルはすべて、コンピュータにすでにインストールされています。
関連項目:
|
Identity Governance Frameworkオープン・ソースAPI jarファイルは次のとおりです。
openliberty.arisId_1.1.jar: 属性のセットを含むアイデンティティ・サブジェクトの取得に使用されるライブラリ関数とプロバイダを含んだコアArisID APIを提供します。詳細は、http://arisid.sourceforge.net/javadocs/arisId_1.1_javadoc/
を参照してください。
org.openliberty.arisIdBeans_1.1.jar: ArisID APIに加えてJavaオブジェクトの抽象化を提供するArisID Beanを提供します。これらによって、ArisID APIのトランザクション型アプローチをオブジェクトまたはBean型のアプローチに変換します。詳細は、http://arisid.sourceforge.net/javadocs/arisId_1.1_javadoc/
を参照してください。
ArisID API jarファイルは次のとおりです。
idxuserrole.jar: 標準的なユーザーとロールのアイデンティティの読取り専用操作を提供します。このjarは、標準のidxuserrole.xml CARMLファイルから生成されます。詳細は、『Oracle Fusion Middleware Identity Governance Framework IDXUserRole APIリファレンス』を参照してください。
userrole.jar: アイデンティティ情報を更新するためのユーザーとロールのアイデンティティ読取り/書込み操作を提供します。詳細は、『Oracle Fusion Middleware Identity Governance Framework UserRole APIリファレンス』を参照してください。
arisId-stack-ovd.jar: このjarファイルはOracle Virtualizationライブラリを使用したIAttrSvcStackインタフェースの実装で、異なるバックエンドに接続し、アイデンティティ・ストア・エンティティの抽象ビューを提供します。
ArisID Beanによって、CARML対話の初期化とアクセスに必要なJava APIが提供されます。Beanジェネレータでは、Apache Velociyを使用してCARMLファイル内の各エンティティに対するjavaファイルのセットを生成します。CARMLファイルは、アプリケーションの属性使用要件を記述する宣言型のドキュメントです。ArisID Beanは、jarファイルidxuserrole.jarおよびuserrole.jar内にあります。標準のArisID Beanがニーズを満たさない場合、CARMLファイルを作成し、Identity Governance Framework ArisID JDeveloper拡張のBeanジェネレータを使用して、新たにArisID Beanを生成できます。
次の図に、ArisID APIアーキテクチャの概要を示します。
Identity Governance Framework ArisID拡張では、作成 > 変更 > テスト > デプロイといった基本的な開発プロセスがサポートされます。作成では、新規JDeveloperプロジェクトの開始とCARMLファイルの作成が必要です。CARMLエディタを使用して、環境に合せてCARML XMLファイルを変更します。アプリケーションのテストは、LDAPディレクトリ・サーバーが組み込まれたOracle WebLogic Serverで行えます。
CARMLファイルidxuserrole.xml(読取り専用操作)とuserrole.xml(読取り専用および読取り/書込み操作)を確認して、既存のArisID Beanがアプリケーションのニーズを満たすかどうかを判断します。これらのファイルは、DOMAIN_HOME/config/fmwconfig/carmlにあります。追加属性または他のカスタマイズが必要な場合、第3章「アプリケーションの開発」に記載のように、新たにCARMLファイルを作成してBeanを生成します。
ArisID Beanによって使用されるアイデンティティ・リポジトリを使用可能にする必要があります。LDAPベースのディレクトリ・サーバーが組み込まれたOracle WebLogic Serverまたは11gのOracle Virtual Directoryでサポートされている任意のLDAPディレクトリを使用できます。ArisID APIは、Oracle Platform Security Servicesと統合されています。Oracle Platform Security Servicesに構成されているLDAPベースのアイデンティティ・ストアに自動的に接続します。このアイデンティティ・ストアは、Oracle Platform Security Servicesでサポートされます。システム要件と動作要件の詳細は、「システム要件と動作要件」を参照してください。
Oracle Platform Security Servicesの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
Oracle Platform Security Servicesアイデンティティ・ストアとは異なるアイデンティティ・ストアを使用する必要がある場合、次のシステム・プロパティを設定します。
igf.ovd.config.dir=DOMAIN_HOME/config/fmwconfig/arisidprovider/conf
次に、adapters.os_xmlファイルを編集して、接続先のディレクトリのhost
、port
および資格証明を含めます。igf.ovd.config.dir
プロパティは、adapaters.os_xmlおよび適切に設定された他の構成ファイルを含む任意のディレクトリに設定できます。
OpenLDAPの場合、Role.MEMBER
は次のAPIに必須の属性です。
createRole(List<PropertyValue> attrVals, Map<String,Object> appCtxMap)
createRole(List<PropertyValue> attrVals)
入力attrVals
リストにRole.MEMBER
が含まれていない場合、ロールの作成は失敗します。
CARMLファイルが作成されている場合、対応するマッピング・ファイルは同じ場所に作成されます。デフォルトのマッピング・ファイルには、Oracle WebLogic Serverに組み込まれているディレクトリ・サーバー(Oracle Platform Security Servicesのデフォルト・アイデンティティ・ストア)に固有の属性詳細が含まれています。デフォルトのCARMLファイルとOracle Platform Security Servicesアイデンティティ・ストアを使用する場合、マッピングを構成する必要ばありません。Oracle Platform Security Servicesの構成パラメータは、マッピング・ファイルのパラメータをオーバーライドします。
追加属性を使用して独自のCARMLファイルを作成する場合、またはOracle Platform Security Servicesアイデンティティ・ストア以外のストアを使用する場合、マッピング・ファイルを編集する必要があります。詳細は、第3章「アプリケーションの開発」を参照してください。
ハードウェアとソフトウェアの要件、プラットフォーム、データベースおよびその他の情報の詳細は、システム要件と動作要件のドキュメントを参照してください。これらのドキュメントは両方とも、Oracle Technology Network (OTN)で入手できます。
システム要件に関するドキュメントには、ハードウェア要件およびソフトウェア要件、ディスク領域とメモリーの最小要件、必要なシステム・ライブラリ、パッケージ、パッチなどの情報が記載されています。
http://www.oracle.com/technology/software/products/ias/files/fusion_requirements.htm
l
動作保証のドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサードパーティ製品が記載されています。
http://www.oracle.com/technology/software/products/ias/files/fusion_certification.html