| Oracle® Fusion Middleware Oracle Identity Managerユーザーズ・ガイド 11g リリース1 (11.1.1) B66706-01 |
|
 前 |
 次 |
Oracle Identity Managerは、アプリケーションおよびディレクトリからユーザー・アカウントを追加、更新および削除するプロセスを自動化するユーザー・プロビジョニングおよび管理ソリューションです。また、誰が何にアクセスしたかを示すきめ細かいレポートを提供することで、法規制コンプライアンスの向上にも寄与します。Oracle Identity Managerは、スタンドアロン製品として、またはOracle Identity and Access Management Suiteの一部として使用可能です。
ユーザー・アイデンティティのプロビジョニングを自動化すると、情報テクノロジ(IT)の管理コストを削減し、セキュリティを高めることができます。プロビジョニングは、法規制コンプライアンスにおいても重要な役割を果たします。Oracle Identity Managerの主要機能には、パスワード管理、ワークフローとポリシーの管理、アイデンティティ・リコンシリエーション、レポートと監査、拡張性などがあります。
Oracle Identity Managerの機能は、次のカテゴリに分類できます。
セルフサービス機能のデプロイおよび管理機能の委任により、企業はユーザーの生産性、ユーザー満足度、および業務効率を向上させることができます。
Oracle Identity Managerのセルフサービスによるプロファイル管理
ユーザーは、Oracle Identity Managerのセルフサービス・インタフェースを使用して、自分のプロファイルの表示や編集ができます。これにより、管理オーバーヘッドが軽減され、ユーザーが自分のアイデンティティ・プロファイルを管理できるようになります。
管理プロファイルの管理
Oracle Identity Manager管理のユーザー・インタフェースを使用すると、アクセス権限に従って他のユーザーのプロファイルを表示および管理できます。ユーザー・プロファイルの作成と編集、ユーザーのパスワードの変更、委任された他の管理タスクを実行できます。
リクエスト管理
セルフサービス・インタフェースにより、ユーザーはきめ細かな権限、プロファイル管理リクエストおよびロール・メンバーシップ・リクエストを使用して、リソースに対するプロビジョニング・リクエストを作成することもできます。業務の承認者(チーム・リーダー、ライン管理者および部長など)は、同じWebベースのインタフェースを使用して着信リクエストを検討し、承認できます。これにより、企業は労力とコストを削減できます。
委任管理
Oracle Identity Managerは、任意のグループまたはユーザーへのほとんどの管理機能の委任をサポートする、柔軟性に富んだセキュリティ・フレームワークを特長としています。管理ポイントをできるかぎりユーザーに近づけることにより、企業は生産性を高めながら、緊密な管理とセキュリティの強化を実現できます。
ビジネス・プロセスおよびITプロセスを自動化するためにワークフローとポリシーを使用することで、業務効率を改善し、セキュリティの強化を図ることができ、コンプライアンス追跡のコスト効率がさらに高まります。Oracle Identity Managerは、このカテゴリの次の機能を提供します。
ポリシー管理
Oracle Identity Managerを使用すると、きめ細かな権限によってリソースのプロビジョニングをポリシーベースで自動化できます。管理者は、任意のユーザー・グループに対してプロビジョニングされるリソースごとにアクセス・レベルを指定し、各ユーザーにジョブを完了するために必要なレベルのアクセス権のみを付与することができます。これらのポリシーは、ユーザーのロールまたは属性によって決定できるため、ロールベースのアクセス制御および属性ベースのアクセス制御を実装できます。ロールベースのポリシーと属性ベースのポリシーを効果的に融合することが、スケーラブルで管理しやすい企業のプロビジョニング・ソリューションへの鍵となります。
リクエストは、実行されるまでに複数の承認を通過します。リクエストを送信する場合は、異なるレベルで承認を得る必要があります。システムでの承認は、承認ポリシーを使用して構成できます。起動する承認プロセスとポリシーに関連する承認ルールは、承認ポリシーによって定義されます。これらの承認ルールは、リクエスト・エンジンによる承認プロセスの選択に役立ちます。ビジネス・アナリストは、承認ポリシーおよび承認ルールを定義できます。
ワークフロー管理
Oracle Identity Managerでは、承認とプロビジョニングのワークフローを分離できます。承認ワークフローにより、企業はリソースのアクセス・リクエストを管理するための望ましい承認プロセスをモデル化できます。プロビジョニング・ワークフローにより、組織では最も複雑なプロビジョニング手順を使用したリソースのプロビジョニングに対するITタスクを自動化できます。
この2つのワークフローの分離により、ビジネス・プロセスとITプロセスの所有者は、プロセス間の干渉を最小限に抑えて、作業を効率的に管理できます。また、ヘルプ・デスクやHRMSなどのシステムにすでにデプロイされている既存のワークフローも活用できます。Oracle Identity Managerには、ビジネス・ユーザー、管理者および監査者がタスクの順序や依存関係を視覚化してプロセスフローを把握できるワークフロー・ビジュアライザと、プロセス・フローを編集および管理できるワークフロー・デザイナが用意されています。
動的エラー処理
Oracle Identity Managerのエラー処理機能により、プロビジョニング中に発生する例外を処理できます。リソースの欠如などの頻繁に発生する問題によって、プロビジョニング・トランザクション全体が停止したり、失敗したりすることはありません。プロビジョニング・ワークフロー内に定義するビジネス・ロジックにより、Oracle Identity Manager実装内にカスタマイズされたフェイルセーフ機能を提供します。
トランザクション統合
Oracle Identity Managerでは、組込みの状態管理機能に基づいて、他のきわめて重要な企業システムで必要とされる高レベルのトランザクションの整合性を提供します。Oracle Identity Managerには、ロールバック機能とリカバリ機能を備えた状態エンジンが用意されています。プロビジョニング・トランザクションが失敗または停止した場合、システムは、事前定義済のルールに従って、最後に成功したときの状態にリカバリおよびロールバックするか、別のパスに再ルーティングできます。
リアルタイムのリクエスト追跡
すべてのプロビジョニング・プロセスに対してよりよい制御を維持し、可視性を向上させるために、Oracle Identity Managerを使用するとユーザーおよび管理者は、プロビジョニング・トランザクションのどの時点でもリクエスト・ステータスをリアルタイムに追跡できます。
現在、パスワード管理は企業にとって最も重要な問題の1つです。パスワード管理ソリューションを実装すると、チケットの生成やヘルプ・デスクへのコールに関連するコストおよびオーバーヘッドが削減されます。この項で説明するOracle Identity Managerのパスワード管理機能は、この分野で企業を支援することを目的としています。
セルフサービスのパスワード管理
ユーザーは、自分のエンタープライズ・パスワードを管理し、個々の管理アカウントの構成方法に従って管理アカウントとパスワードを同期化できます。エンタープライズ・パスワードは、Oracle Identity Managerのセルフサービス機能を使用して管理されます。ユーザーがパスワードを忘れた場合、Oracle Identity Managerでは、カスタマイズ可能なチャレンジ質問を表示して、セルフサービスのアイデンティティ検証とパスワードのリセットを可能にします。調査によると、ヘルプ・デスクへのコールの大部分はパスワードのリセットとアカウントのロックアウトに関連する内容です。このセルフサービス機能により、必要なヘルプデスクへのコールが減少し、コストが削減されます。
高度なパスワード・ポリシー管理
ほとんどのベスト・プラクティスが購入後すぐに使用でき、直感的に操作できるユーザー・インタフェースを使用して構成できます。サポートされるパスワードの複雑性の要件には、パスワードの長さ、英数字および特殊文字の使用、大/小文字の使用、ユーザー名の全部または一部除外、パスワードの最小期間、および履歴パスワードが含まれます。Oracle Identity Managerでは、ユーザーによるパスワードの設定を制御する複雑なパスワード・ポリシーを定義できます。さらに、リソースごとに複数のポリシーを適用できます。たとえば、権限のレベルが低いユーザーを制約の緩いパスワード・ポリシーの対象とする一方で、権限を持つ管理者を制約の厳しいポリシーの対象とすることができます。
パスワードの同期化
Oracle Identity Managerでは、管理リソース全体でパスワードを同期化またはマップして、これらのリソース間でパスワード・ポリシーの相違を強制できます。さらに、企業がMicrosoft Windowsのデスクトップベースのパスワード・リセット機能を使用している場合は、Oracle Identity ManagerのActive Directory(AD)コネクタがADサーバーでパスワード変更を捕捉し、ポリシーに従って他の管理リソースにその変更を伝播できます。ディレクトリ・サーバーとメインフレーム用のほとんどのOracle Identity Managerコネクタには、同様の双方向パスワード同期化機能が装備されています。
アイデンティティ管理は、企業の監査およびコンプライアンス・ソリューションにおける重要な要素となります。Oracle Identity Managerを使用すると、企業はリスクを最小限に抑え、社内外のガバナンスおよびセキュリティ監査に必要なコストを削減できます。この項では、監査およびコンプライアンス管理カテゴリに示すOracle Identity Managerの機能について説明します。
アイデンティティ・リコンシリエーション
リコンシリエーションはOracle Identity Managerの重要な機能の1つで、すべての管理リソースを対象としてアカウントの作成、更新および削除を監視およびトラッキングできます。リコンシリエーションのプロセスは、リコンシリエーション・エンジンによって実行されます。Oracle Identity Managerの制御範囲外の影響をもたらすアカウントやユーザーのアクセス権に対する変更が検出された場合、リコンシリエーション・エンジンは、変更の取消しや管理者への通知などの修正措置を即座に実行できます。また、Oracle Identity Managerを使用して、ターゲット・リソースで既存のアカウントを検出およびマップできます。これは、個々の従業員、パートナまたは顧客ユーザーについて、企業全体のアイデンティティおよびアクセス・プロファイルを作成する際に役立ちます。
統制外アカウントおよび孤立アカウントの管理
統制外アカウントとは、プロセス外、つまりプロビジョニング・システムの制御範囲外で作成されるアカウントです。孤立アカウントとは、有効な所有者がいない、操作可能なアカウントです。このようなアカウントは、企業にとって深刻なセキュリティ・リスクとなります。Oracle Identity Managerでは、統制外アカウントや孤立アカウントを継続的に監視できます。このようなアカウントが検出された場合、アクセス拒否ポリシー、ワークフローおよびリコンシリエーションを組み合せることで、企業は必要な修正措置を実行できます。
サービス・アカウント
Oracle Identity Managerでは、管理者アカウントとも呼ばれる特殊なサービス・アカウントのライフ・サイクルも管理できます。このようなアカウントには、単一の割当済ユーザーのライフ・サイクルを越えて、複数の割当済ユーザーのライフ・サイクルに渡る、特別なライフ・サイクル要件があります。サービス・アカウントを適切に管理することにより、孤立アカウントを生み出す可能性があるもう1つの原因を排除できます。
包括的なレポートおよび監査機能
Oracle Identity Managerでは、プロビジョニング環境の過去と現在の両方の状態についてレポートを作成します。Oracle Identity Managerで取得されるアイデンティティ・データには、ユーザー・アイデンティティ・プロファイルの履歴、ロールのメンバーシップ履歴、ユーザーのリソース・アクセスおよび詳細な権限の履歴などがあります。また、Oracle Identity Managerのワークフロー、ポリシーおよびリコンシリエーション・エンジンによって生成されるデータも取得されます。そのデータをアイデンティティ・データと組み合せると、企業は、アイデンティティおよびアクセスに関連する監査の照会処理に必要なデータをすべて入手できます。
アテステーション(再証明とも呼ばれる)は、Sarbanes-Oxley法コンプライアンスの中核であり、推奨されるセキュリティのベスト・プラクティスです。多くの場合、組織では、スプレッドシート・レポートや電子メールに基づいた手動プロセスを使用して、これらのアテステーション要件を満たしています。このような手動プロセスは、断片化する傾向があり、管理が困難で管理コストが高額になり、データの整合性と監査能力はほとんどありません。
Oracle Identity Managerには、短時間でデプロイでき、レポートの自動生成、自動配信および自動通知を提供する企業全体のアテステーション・プロセスが可能なアテステーション機能があります。アテステーション・レビューアは、きめ細かな認証、却下、拒否および委任の各アクションをサポートする対話型のユーザー・インタフェースで、詳細なアクセス・レポートを検討できます。すべてのレポート・データおよびレビューアのアクションは、将来の監査要求のために保存されます。Oracle Identity Mangerのワークフロー・エンジンを構成することにより、レビューアのアクションから修正措置をトリガーすることも可能です。
スケーラブルで柔軟な統合アーキテクチャは、企業のプロビジョニング・ソリューションのデプロイを成功させるうえで非常に重要です。Oracle Identity Managerでは、実績がある統合アーキテクチャおよび事前定義済コネクタを提供し、迅速で低コストのデプロイを実現します。
アダプタ・ファクトリ
プロビジョニング・システムと管理リソースとの統合は、簡単ではありません。独自システムとの接続は、困難な場合があります。アダプタ・ファクトリにより、このような接続の作成や管理が簡単になります。Oracle Identity Managerに用意されているアダプタ・ファクトリは、コード生成ツールで、Javaクラスを作成できます。
アダプタ・ファクトリは、商用システムやカスタム・システムとの迅速な統合を実現します。ユーザーは、アダプタ・ファクトリのグラフィカル・ユーザー・インタフェースを使用し、プログラムやスクリプトを作成することなく、統合を作成または変更できます。コネクタが作成されると、その定義はOracle Identity Managerリポジトリで管理され、自己文書化ビューが作成されます。これらのビューを使用して、コネクタの拡張、メンテナンスおよびアップグレードを実行します。
事前定義済コネクタ
Oracle Identity Managerには、広く使用されている商用アプリケーションと他のアイデンティティ認識システムのための、事前定義済コネクタの豊富なライブラリがあります。これらのコネクタを使用することで、企業はアプリケーション統合において有利なスタートを切ることができます。各コネクタでは、多種多様なアイデンティティ管理機能をサポートします。これらのコネクタは、独自のものであろうと、オープン・スタンダードに基づいたものであろうと、ターゲット・リソースに対して推奨される最適な統合テクノロジを使用します。これらのコネクタにより、一連の異種ターゲット・システムとOracle Identity Managerの間ではデフォルト設定のままの統合が可能です。これらのコネクタには、もともとアダプタ・ファクトリを使用して開発されたコンポーネント・セットが用意されているため、アダプタ・ファクトリを使用してさらに変更し、各企業固有の統合要件を実現できます。
汎用テクノロジ・コネクタ
カスタム・コネクタの作成にアダプタ・ファクトリのカスタマイズ機能が不要な場合は、Oracle Identity Managerの汎用テクノロジ・コネクタ(GTC)機能を使用してコネクタを作成できます。GTCの詳細は、「汎用テクノロジ・コネクタ」を参照してください。
|
関連項目: 汎用テクノロジ・コネクタの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』を参照してください。 |
プロビジョニングでは、Oracle Identity Managerからターゲット・システムへのユーザー情報の外部へのフローが提供されます。プロビジョニングは、リソースのユーザー情報を作成、変更または削除するためのアクションをOracle Identity Managerで開始し、リソースに渡すプロセスです。プロビジョニング・システムはリソースと通信し、アカウントに適用する変更を指定します。
プロビジョニングには、次のことが含まれます。
ユーザー・アイデンティティおよびユーザー・アカウントのプロビジョニングの自動化: 複数のシステムやアプリケーションにわたってユーザー・アイデンティティとユーザー・アカウントを管理します。たとえば、給与処理部門に勤務する従業員が人事管理システムで作成されると、このユーザーのアカウントが、電子メール・システム、電話システム、会計システムおよび給与レポート・システムにも自動的に作成されます。
ワークフローおよびポリシー管理: これにより、アイデンティティのプロビジョニングが可能になります。管理者は、プロビジョニング・ツールに用意されているインタフェースを使用し、セキュリティ・ポリシーに基づいてプロビジョニング・プロセスを作成できます。
レポートおよび監査: プロビジョニング・プロセスとその実施に関するドキュメントを作成できます。このドキュメントは、監査、法規制およびコンプライアンスのために不可欠なものです。
アテステーション: これにより、管理者はユーザーのアクセス権を定期的に確認できます。
アクセス権のプロビジョニング解除: 企業内でユーザーのアクセス権が不要または無効になった場合、Oracle Identity Managerでは、ロール・ベースまたは属性ベースのアクセス・ポリシーに従い、必要に応じて、または自動的にアクセス権を失効します。つまり、ユーザーのアクセス権は、不要になると即座に停止されます。これにより、セキュリティ・リスクを最小限に抑えるとともに、データ・サービスなど、消費コストの高いリソースに対する無駄なアクセスを防ぐことができます。
組織エンティティは、Oracle Identity Managerの他のエンティティ(ユーザー、ロール、ポリシーなど)の論理的なコンテナを示します。つまり、組織は委任管理モデルに使用できるコンテナです。さらに、Oracle Identity Managerの他のエンティティ(ユーザーなど)のスコープも定義します。Oracle Identity Managerでは、フラットな組織構造または階層的な構造(組織に他の組織を含めることができることを意味する)をサポートしています。階層は、エンティティの管理を容易にするために、部門、地理的な地域または他の論理的な区分を表現できます。
ロールは、Oracle Identity Manager内でアクセス権を割り当てたり、リソースを自動的にプロビジョニングしたり、承認やアテステーションなどの共通のタスクで使用できるユーザーの論理的なグループです。ロールは、組織に依存しないロール、複数の組織にわたるロール、または1つの組織のユーザーのみを含むロールのいずれかです。
