Oracle Identity Managerでは、3段階の統合ソリューション方式を採用し、様々な異種アイデンティティ認識ITシステムへのコネクタを提供します。この3層の戦略は、最小限のカスタム開発、最大限のコード再利用、および開発時間の短縮を目的としています。この3つの層を次に示します。
事前定義済コネクタと事前定義済汎用テクノロジ・コネクタのプロバイダを使用する基本設定の統合
カスタムの汎用テクノロジ・コネクタのプロバイダに基づいたコネクタ
アダプタ・ファクトリを使用するカスタム・コネクタ
図5-1に、Oracle Identity Managerの3段階の統合ソリューション方式を示します。
この章では、次の項目について説明します。
ターゲット・リソースで事前定義済コネクタを使用できる場合、推奨される統合方法は事前定義済コネクタによる統合です。事前定義済コネクタはターゲット・アプリケーション専用に設計されているため、最も迅速な統合方法となります。これらのコネクタは、Oracle eBusiness Suite、PeopleSoft、Siebel、JD EdwardおよびSAPなどの一般的なビジネス・アプリケーションの他、Active Directory、Java Directory ServerおよびUNIXの各データベース、RSA ClearTrustなどのテクノロジ・アプリケーションもサポートします。事前定義済コネクタは、ターゲット・アプリケーション専用に設計されているため、最も迅速な統合の選択肢です。このコネクタはターゲットの推奨される統合テクノロジを使用し、アプリケーション固有の属性によって事前に構成されています。
関連項目: 事前定義済コネクタのインストールの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドの事前定義済のスケジュール済タスクに関する項を参照してください。 |
事前定義済コネクタと同様に、汎用テクノロジ・コネクタは、Oracle Identity Managerとターゲット・システムの間でリコンシリエーションおよびプロビジョニング操作を仲介する役割を担います。機能面から見ると、汎用テクノロジ・コネクタは、リコンシリエーション・モジュールとプロビジョニング・モジュールに分けられます。汎用テクノロジ・コネクタを作成する際には、リコンシリエーション・モジュールとプロビジョニング・モジュールをともに組み込むか、どちらか一方のみ組み込むかを指定できます。
GTCフレームワークには基本コンポーネントが用意されており、これらのコンポーネントを使用してカスタム・コネクタを迅速に作成できます。汎用テクノロジ・コネクタのリコンシリエーション・モジュールおよびプロビジョニング・モジュールは、選択したこれらの再使用可能コンポーネントで構成されます。それぞれのコンポーネントでは、プロビジョニング時またはリコンシリエーション時に、特定の機能が実行されます。次のコンポーネントがあります。
リコンシリエーション:
リコンシリエーション・トランスポート・プロバイダ: このプロバイダは、リコンサイルされたデータをターゲット・システムからOracle Identity Managerに移動します。
リコンシリエーション・フォーマット・プロバイダ: このプロバイダは、ターゲット・システムから受け取った、リコンサイル済データが含まれているメッセージを、Oracle identity Managerのリコンシリエーション・エンジンで解釈できるデータ構造に解釈します。
検証プロバイダ: このプロバイダは、受け取ったデータをリコンシリエーション・エンジンに渡す前にそのデータを検証します。
プロビジョニング:
プロビジョニング・フォーマット・プロバイダ: このプロバイダは、Oracle identity Managerのプロビジョニング・データを、ターゲット・システムでサポートされているフォーマットに変換します。
プロビジョニング・トランスポート・プロバイダ: このプロバイダは、受け取ったプロビジョニング・メッセージをプロビジョニング・フォーマット・プロバイダからターゲット・システムに伝播します。
図5-2は、汎用テクノロジ・コネクタの機能アーキテクチャを示しています。
関連項目: 汎用テクノロジ・コネクタの機能アーキテクチャ、構成および機能性の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』を参照してください。 |
汎用テクノロジ・コネクタには、次の機能があります。
次の機能は、リコンシリエーション・モジュールに固有のものです。
信頼できるソース・リコンシリエーションでの汎用テクノロジ・コネクタ: 汎用テクノロジ・コネクタは、信頼できるソース・リコンシリエーションに使用できます。信頼できるモードのリコンシリエーションでは、リコンシリエーション・エンジンで新規のターゲット・システム・アカウントが検出されると、対応するOIMユーザーが作成されます。リコンシリエーション・エンジンでは、既存のターゲット・システム・アカウントに対する変更が検出されると、対応するOIMユーザーに同様の変更が行われます。
アカウント・ステータスのリコンシリエーションでの汎用テクノロジ・コネクタ: ユーザー・アカウント・ステータス情報は、ターゲット・システム・アカウントの所有者によるアカウントへのアクセスおよびアカウントの使用が許可されるかどうかのトラッキングに使用されます。Oracle identity Managerに格納されている形式のアカウント・ステータス情報がターゲット・システムに格納されていない場合は、事前定義済の翻訳変換プロバイダを使用して、アカウント・ステータスのリコンシリエーションを実装できます。
完全リコンシリエーションまたは増分リコンシリエーションでの汎用テクノロジ・コネクタ: 汎用テクノロジ・コネクタを作成する際に、コネクタを完全リコンシリエーションまたは増分リコンシリエーションに使用するように指定できます。増分リコンシリエーションでは、最後のリコンシリエーション実行後に変更されたターゲット・システムのレコードのみがOracle Identity Managerでリコンサイル(格納)されます。完全リコンシリエーションでは、すべてのリコンシリエーション・レコードがターゲット・システムから抽出されます。
バッチ・リコンシリエーションの汎用テクノロジ・コネクタ: リコンシリエーション・プロセスを詳細に制御するために、汎用テクノロジ・コネクタを使用してリコンシリエーションのバッチ・サイズを指定できます。これにより、リコンシリエーション実行中にリコンシリエーション・エンジンがターゲット・システムからフェッチするレコードの総数をバッチに分割できます。
複数値属性データ(子データ)の削除のリコンシリエーションでの汎用テクノロジ・コネクタ: ターゲット・システムの複数値属性データの削除をOracle Identity Managerでリコンサイルするかどうかを指定します。
リコンシリエーション停止の失敗しきい値での汎用テクノロジ・コネクタ: リコンシリエーションの実行時に、ターゲット・システムデータをOracle Identity Managerに格納する前に、検証プロバイダを使用してデータのチェックを実行できます。失敗しきい値を設定しておくと、検証チェックに通らなかったレコードの処理済レコードの総数に対する割合が指定のしきい値を超えた場合に、リコンシリエーションの実行を自動的に停止できます。
汎用テクノロジ・コネクタには、その他に次の機能があります。
カスタム・プロバイダ: Oracle Identity Managerに付属の事前定義済プロバイダが、動作環境のトランスポート、フォーマット変更、検証または変換についての要件に対応していない場合は、カスタム・プロバイダを作成できます。
多言語サポート: 汎用テクノロジ・コネクタは、ASCIIとASCII以外の両方の形式のユーザー・データを処理できます。
カスタム日付書式: 汎用テクノロジ・コネクタの作成時は、リコンシリエーション実行中に抽出されたターゲット・システム・レコードの日付の値の書式と、プロビジョニング実行中にターゲット・システムに送信する必要がある日付の値の書式を指定できます。
OIMユーザー属性に対する変更のターゲット・システムへの伝播: 汎用テクノロジ・コネクタの作成時に、OIMユーザー属性に対する変更が自動的にターゲット・システムに伝播されるように設定できます。
ターゲット・リソースにテクノロジ・インタフェースまたはアクセス可能なユーザー・リポジトリがない場合、顧客はカスタム・コネクタを作成できます。Oracle Identity Manager Design Consoleのアダプタ・ファクトリ・ツールには定義ユーザー・インタフェースがあり、これを使用すると、コーディングやスクリプトを作成せずに、このようなカスタム開発を簡単に実現できます。
関連項目: アダプタ・ファクトリを使用したアダプタの定義方法の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のアダプタに関する項を参照してください。 |
表5-1に、コネクタXMLファイルに含まれるコネクタ・コンポーネントの定義を示します。これらは、すべてのコネクタに共通するコンポーネントです。
表5-1 コネクタ・コンポーネント
コンポーネント | 説明 |
---|---|
これは、アカウントをプロビジョニングするターゲット・アプリケーションの仮想表現です。プロビジョニング・プロセスおよびプロセス・フォームを関連付ける親レコードです。 |
|
プロビジョニング・プロセス |
このプロセス定義は、ターゲット・システムでアカウントを作成、メンテナンスおよび削除するために使用されます。ターゲット・システムで自動機能を実行するために使用される個々のタスクの定義で構成されます。各コネクタには、単一のプロビジョニング・プロセスがパッケージ化されます。プロビジョニング・プロセスは、手動で追加作成できます。 |
このフォームは、ターゲット・システムで作成、更新または削除されるユーザー・アカウントに関する情報を指定するために使用されます。また、プロビジョニング・プロセス・タスクで使用されるデータを取得するため、またはリアルタイム・データを示すメカニズムをユーザーに提供するためにも使用されます。 このフォームは、リコンシリエーションを実行するときに広範に使用されます。このフォームに関連付けられた表構造により、ターゲット・システムのユーザー・アカウントをアーカイブおよび監査できます。 各プロセス・フォームは、標準のコネクタに必要なフィールド定義で構成されます。その他のフィールドが必要な場合は、別のバージョンのフォームを作成して、必要なフィールドを追加できます。 各コネクタには、特定のデフォルト・プロセス・フォームが同梱されています。プロセス・フォームは、手動で追加作成できます。 |
|
このコンポーネントは、コネクタに関連付けられたすべてのITリソース定義のテンプレートです。ITリソース・タイプは、その特定のITリソース・タイプのすべてのITリソース・インスタンス(サーバー、コンピュータなど)に共通するパラメータを指定します。 この定義に指定されているパラメータは、該当するタイプのすべてのITリソース定義によって継承されます。たとえば、Solaris 8 ITリソース・タイプは、IP Addressというパラメータを保持できます。このパラメータの値は、Target_Solaris ITリソース・インスタンスの場合、192.168.50.25に設定できます。 |
|
アダプタ |
これには、ターゲット・アプリケーションで共通機能を実行するために必要なすべてのアダプタが含まれます。各アダプタは、特定のマッピングおよび機能とともに事前定義されています。これらのアダプタは、プロビジョニング・プロセスのタスクおよびプロセス・フォームのフィールドと統合できます。 注意: アダプタの詳細は、Oracle Identity Manager Toolsリファレンスを参照してください。 |
使用するコネクタに事前定義済リコンシリエーション・モジュールが同梱されている場合、スケジュール済タスク定義が提供されます。このコンポーネントを使用して、追跡対象データへの変更についてターゲット・システムをポーリングする頻度を管理します。 |
表5-2に、プロビジョニング・プロセス・コンポーネントに含まれる事前定義済タスク(または同等のもの)を示します。
表5-2 プロビジョニング・プロセス・タスク
プロビジョニング・プロセス・タスク | 用途 |
---|---|
ユーザーの作成 |
新しいユーザー・アカウントをターゲット・アプリケーションに作成します(ユーザーをアカウントとともにプロビジョニングします)。 |
ユーザーの無効化 |
ターゲット・アプリケーションのユーザー・アカウントを一時的に無効にします。 |
ユーザーの有効化 |
ターゲット・アプリケーションの無効なユーザー・アカウントを再度有効にします。 |
ユーザーの削除 |
ターゲット・アプリケーションのユーザー・アカウントを削除します(ユーザーのアカウントを取り消します)。 |
ユーザーの更新 |
ターゲット・アプリケーションのユーザー・アカウントの権限またはプロファイルを変更します。 |
前の項で示したタスクの他に、プロビジョニング・プロセス・コンポーネントには、リコンシリエーション関連タスクも含まれます。表5-3に、これらのタスクを示します。
注意: Oracle Identity Managerがリコンシリエーション・イベントを受信すると、プロビジョニング・プロセス内のプロビジョニング関連タスクはすべて抑止され、適切なリコンシリエーション関連タスクが挿入されます。 |
表5-3 リコンシリエーション関連プロビジョニング・プロセス・タスク
プロビジョニング・プロセス・タスク(リコンシリエーション関連) | 用途 |
---|---|
リコンシリエーションの挿入を受信しました |
このタスクは、ターゲット・システムから受信したリコンシリエーション・イベントがユーザー・アカウントまたは組織アカウントの作成を表すとOracle Identity Managerで判断された場合に、ユーザーまたは組織に関連付けられたプロビジョニング・プロセス・インスタンスに挿入されます。 また、リコンシリエーション・イベント・レコードの情報は、プロビジョニング・プロセスに設定されたマッピングに基づいてプロセス・フォームに格納されます。 |
リコンシリエーションの更新を受信しました |
このタスクは、ターゲット・システムから受信したリコンシリエーション・イベントが既存のユーザー・アカウントまたは組織アカウントの更新を表すとOracle Identity Managerで判断された場合に、ユーザーまたは組織に関連付けられたプロビジョニング・プロセス・インスタンスに挿入されます。 また、リコンシリエーション・イベント・レコードの情報は、プロビジョニング・プロセスに設定されたマッピングに基づいてプロセス・フォームに格納されます。 |
リコンシリエーションの削除を受信しました |
このタスクは、ターゲット・システムから受信したリコンシリエーション・イベントが既存のユーザー・アカウントまたは組織アカウントの削除を表すとOracle Identity Managerで判断された場合に、ユーザーまたは組織に関連付けられたプロビジョニング・プロセス・インスタンスに挿入されます。 |
Oracle Identity Managerには、コネクタをインストールするための機能が用意されています。コネクタをインストールする前に対処すべき一般的な考慮事項を次に示します。
一部のコネクタには、正常に機能するためにJARファイル形式の外部ライブラリが必要です。これらのJARファイルは、各ベンダーから購入できます。これらのJARファイルを取得したら、必要に応じてOracle Identity Managerを構成してください。たとえば、CLASSPATH環境変数を更新できます。
一部のコネクタには、外部ソフトウェアをターゲット・システムにインストールする必要があります。たとえば、Bourne(sh)シェルをSolarisで使用する場合は、WBEM ServicesをターゲットのSolarisコンピュータにインストールして起動する必要があります。そうしないと、Oracle Identity Managerを使用してSolarisのユーザーをプロビジョニングできません。
事前パッケージ済コネクタの最適なパフォーマンスを得るには、ターゲット・システムを個別に構成する必要があります。必要な場合は、コネクタのデプロイメント・ガイドにその手順が説明されています。
Oracle Identity Managerをクラスタ環境にインストールするときは、インストール・ディレクトリの内容をクラスタの各ノードにコピーします。同様に、コネクタのデプロイ・プロセス時にOracle Identity ManagerにコピーするJARファイルはすべて、クラスタの各ノードの対応するディレクトリにコピーする必要があります。