| Oracle® Fusion Middleware Oracle Identity Managerユーザーズ・ガイド 11g リリース1 (11.1.1) B66706-01 |
|
 前 |
 次 |
Oracle Identity Managerのアーキテクチャには、アイデンティティおよびアクセス管理アーキテクチャの一部としてプロビジョニング・ソリューションをデプロイするための様々な優れた技術上の利点があります。
Oracle Identity Managerプラットフォームでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerはユーザーをリソースに接続し、機密性の高い企業情報を保護するために不正アクセスを失効および制限します。
この章の項目は次のとおりです。
Oracle Identity Managerのアーキテクチャは柔軟でスケーラブルであり、次の特長があります。
Oracle Identity Managerは柔軟なデプロイメント・マネージャ・ユーティリティを備え、複数の環境間での統合および構成情報の移行を支援します。このユーティリティは、統合および構成情報をXMLファイルとしてエクスポートします。これらのファイルは、その後、宛先の環境(ステージング環境や本番環境)にインポートされます。XMLファイルは、構成のアーカイブやバージョン管理、統合のレプリケートに使用できます。
デプロイメント・マネージャにより、インポートおよびエクスポートの対象を柔軟に選択できます。また、インポートとエクスポートのどちらの手順でも、データ・オブジェクトの依存関係を簡単に確認できます。このような柔軟性により、複数のユーザーによって行われた統合作業のマージが可能になり、移行の整合性が保証されます。
Oracle Identity Managerは、単一のサーバー・インスタンスにも複数のサーバー・インスタンスにもデプロイできます。複数のサーバー・インスタンスは、柔軟性、パフォーマンス、制御の向上のために最適な構成オプションを提供し、地理的に分散したユーザーおよびリソースをサポートします。また、Java 2 Enterprise Edition(J2EE)アプリケーション・サーバー・モデルのOracle Identity Managerには、スケーラビリティ、フォルト・トレランス、冗長性、フェイルオーバーおよびシステム・ロード・バランシングも備わっています。デプロイが拡張するにつれて、単一サーバーから複数サーバーの実装への移行がシームレスに行われます。
コストを下げ、できるかぎり簡素化し、既存の投資を活用するために、Oracle Identity Managerはオープン・アーキテクチャ上に構築されています。そのため、企業のITインフラストラクチャにすでに実装されている既存のソフトウェアおよびミドルウェアにOracle Identity Managerを統合して活用できます。たとえば、既存の顧客ポータルとの統合が必要な実装の場合は、Oracle Identity Managerの高度なAPIにより、包括的なシステム機能セットへのプログラムによるアクセスが可能になります。そのため、IT担当者は、Oracle Identity Managerのプロビジョニング実装のどの部分でも企業固有のニーズに合せてカスタマイズできます。
Oracle Identity Managerでは、ユーザーの組織階層やロールを必要な数だけ定義できます。継承、カスタマイズ可能なユーザーIDポリシー管理、パスワード・ポリシー管理およびユーザー・アクセス・ポリシーをサポートし、顧客の変化するビジネス・ニーズを反映します。また、アプリケーション・パラメータおよび権限を管理し、リソース割当ての履歴を表示できます。さらに、ユーザー管理に関する包括的な権限設定が可能な委任管理も提供されます。
Oracle Identity Managerには、ユーザー管理を包括的に支援する、カスタマイズ可能なWebベースのOracle Identity Managerセルフサービスがあります。
Oracle Identity Managerには、カスタマイズ可能なWebベースのユーザー・セルフサービス・ポータルがあります。このポータルでは、ユーザー情報の管理、パスワードの変更と同期化、忘れたパスワードのリセット、選択可能なアプリケーションのリクエスト、選択可能な権限の確認と編集、およびワークフロー・タスクの開始と対処を操作できます。
Oracle Identity Managerは、Java EEアーキテクチャに基づいて構築されています。Oracle Identity ManagerのJ2EEアプリケーション・サーバー・モデルは、スケーラビリティ、フェイルオーバー、ロード・バランシングおよびWebデプロイメントを提供します。オープンな標準ベースのテクノロジに基づいて、3層のアーキテクチャ(クライアント・アプリケーション、Oracle Identity ManagerがサポートするJ2EE準拠のアプリケーション・サーバー、ANSI SQL準拠のデータベース)で構成されています。Oracle Identity Managerでは、LDAP対応およびLDAP非対応のアプリケーションをプロビジョニングできます。
Java EEは、標準的で強力なスケーラブルかつセキュアなプラットフォームで、多くのエンタープライズ・アプリケーションの基礎を形成しています。Oracle Identity Managerは、Oracle WebLogicなどの主要なJava EE準拠のアプリケーション・サーバー・プラットフォームで稼働し、これらのサーバーにあるパフォーマンス機能およびスケーラビリティ機能を活用します。Java EEは、標準化された一連のモジュール型コンポーネントを定義し、そのコンポーネントにサービスの完全なセットを提供して、アプリケーション動作の様々な詳細を処理します。
Oracle Identity Managerが稼働するアプリケーション・サーバーでは、Oracle Identity Managerアプリケーションを構成する論理コンポーネントに対してライフサイクル管理、セキュリティ、デプロイメントおよび実行時のサービスが提供されます。これには次のサービスが含まれます。
クラスタリングおよびフェイルオーバーによるリソースのスケーラブルな管理: Java EEアーキテクチャ内のクラスタは、Java EEに準拠する2つ以上のWebサーバーまたはアプリケーション・サーバーのグループとして定義され、これらのサーバーは、透過的なオブジェクト・レプリケーション・メカニズムを介して相互に連携し、グループ内の各サーバーが必ず同じコンテンツを表示するようにします。クラスタ内の各サーバーまたはノードは同一の構成で、単一の仮想サーバーとして機能します。クラスタ内の任意のJava EEサーバーは、この仮想サーバーに転送されたクライアント・リクエストを個別に処理できるため、クラスタでは単一のエンティティがJava EEアプリケーションをホスティングしているような印象を与えます。
高可用性とは、中間層でホスティングされているアプリケーションに、クライアントが一貫してアクセスし、操作できる機能を指します。この機能は、クラスタ内の多数のWebサーバーとアプリケーション・サーバーの冗長性によって実現され、クラスタのフェイルオーバー・メカニズムによって実装されます。アプリケーション・コンポーネントがタスクの処理に失敗した場合は、クラスタのフェイルオーバー・メカニズムがそのタスクとサポート情報を別のサーバー上のオブジェクトのコピーに再ルーティングして、タスクを続行します。Oracle Identity Managerではクラスタ環境をサポートしています。これには、オブジェクト・レプリケーションが機能するように、データの格納に使用するEJBおよび値オブジェクトがシリアライズを確実にサポートすることが含まれます。
ロード・バランシングを介したトランザクション管理: ロード・バランシングとは、インバウンドのクライアント処理リクエストをすべてのJava EEサーバーにわたって最適にパーティション化する機能を指し、これらのJava EEサーバーは、クラスタ化された各サーバーの容量、可用性、応答時間、現在の負荷、過去のパフォーマンス、管理上の優先度などの特定の要因に基づいて1つのクラスタを構成します。ソフトウェアまたはハードウェアをベースとするロード・バランサは、インターネットと物理的サーバー・クラスタ間に位置し、仮想サーバーとして機能します。クライアント・リクエストが届くたびに、ロード・バランサはそのリクエストを満たすJava EEサーバーを判断します。
セキュリティ管理: Oracle Identity Managerアーキテクチャは、特定のセキュリティ・サービスに関しては、総合的なセキュリティ・インフラストラクチャの一環としてアプリケーション・サーバーに依存しています。また、Oracle Identity Managerでは、Java EEセキュリティ・フレームワークを活用してセキュアなアプリケーション環境を提供しています。柔軟な権限モデルも備えており、アプリケーション内の様々な機能に対する制御を提供します。
メッセージング: メッセージングの背景にある基本概念は、複数の分散アプリケーションがビジネス・データとルーティング・ヘッダーの自己完結型パッケージを使用して通信できることにあります。これらのパッケージはメッセージと呼ばれます。RMIとHTTPは、クライアントとサーバー間の双方向のアクティブな通信に依存しますが、メッセージングは、メッセージング・サーバーを介して非同期で(応答を待たずに)通信する2人以上の関係者に依存します。Java Messaging Service (JMS)は、メッセージ機能を標準化する方法としてJ2EE標準に組み込まれたラッパーAPIです。すべての標準的なアプリケーション・サーバーには、そのサービス・オファリングの一部として、独自のJMSサーバー実装が用意されています。
Oracle Identity Managerには、主要な業界標準が取り入れられています。たとえば、Oracle Identity Managerコンポーネントは、J2EEアーキテクチャに完全に基づいているため、顧客は標準のアプリケーション・サーバー環境内からそれらを実行できます。完全なJ2EEサポートにより、パフォーマンスやスケーラビリティの利点を得ると同時に、既存の顧客の環境に合せて内部の専門知識を利用できます。
オラクル社では、現行の標準と新しい標準を基盤としてアイデンティティ管理製品を開発しています。たとえば、オラクル社はLiberty Allianceの管理委員会メンバーであり、Liberty Allianceの成果をソリューションに取り入れています。また、Organization for the Advancement of Structured Information Standards(OASIS)の主催で運営されているProvisioning Services Technical Committee(PSTC)に参加しています。
Oracle Identity Managerでは、使用しやすいアプリケーションでビジネスおよびプロビジョニングのプロセス・モデルを作成できます。プロセス・モデルには、承認ワークフローおよびエスカレーションのサポートが含まれます。イベントの現在のステータスやエラー・コードのサポートなど、各プロビジョニング・イベントの進行をトラッキングできます。Oracle Identity Managerでは、データ交換や依存関係を含む複雑な分岐のあるネストされたプロセスをサポートしています。プロセス・フローは完全にカスタマイズ可能で、プログラミングは不要です。
Oracle Identity Managerでは、新規プロセスのパッケージ化、既存プロセスのインポートおよびエクスポート、システム間のパッケージの移動が可能です。
Oracle Identity Managerは、n層J2EEアプリケーション・アーキテクチャに基づいています。Oracle Identity Managerのアーキテクチャは、次の層で構成されています。
図2-1に、Oracle Identity Managerのアーキテクチャを示します。
プレゼンテーション層は、Oracle Identity Manager管理およびユーザー・コンソールとOracle Identity Manager Design Consoleの2つのクライアントで構成されています。
Oracle Identity Manager管理およびユーザー・コンソールは、Webベースのシン・クライアントで、任意のWebブラウザからアクセスできます。このWebクライアントは、Oracle Identity Managerのほとんどのユーザーに役立つユーザー・セルフサービス機能および委任管理機能を提供します。
Oracle Identity Manager Design Consoleは、フォーム・デザイナ、ワークフロー・デザイナ、アダプタ・ファクトリなどのOracle Identity Managerの一連のシステム構成および開発機能を提供します。Oracle Identity Manager Design Consoleには、デスクトップJavaクライアントを使用してアクセスできます。
Oracle Identity Manager Design Consoleは、アプリケーション内でビジネス・サービス・レイヤーと直接通信するJava Swingクライアントとして実装されます。また、高度な委任管理モデルをサポートしているため、ユーザーは、権限を与えられたアプリケーション構成部分のみで作業できます。
|
関連項目: Oracle Identity Manager管理およびユーザー・コンソール、Oracle Identity Manager Design Consoleの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドおよび『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』を参照してください。 |
多くの企業には、カスタム開発したクライアントをサポートするプロビジョニング・システムに対する要件があります。そのいくつかの要件は、次のとおりです。
既存のエンタープライズ・ポータルへのクライアントの統合、およびエンタープライズ・ポータル標準の遵守
ユーザー相互作用に対するカスタム・フローの作成
一意の要件に基づいてプロビジョニング・システムから構築されるカスタム・ページの作成
カスタマイズをサポートするために、Oracle Identity Managerでは、公開されたパブリックAPIを介して必要な機能の大部分を公開しています。Oracle Identity Managerのクライアント環境は、Java APIを介してカスタマイズできます。
ビジネス・サービス層は、Enterprise JavaBeans (EJB)アプリケーションとして実装されます。Oracle Identity Managerプラットフォームの中核機能は、高度なモジュール型オブジェクト指向の手法を使用して、Javaで実装されます。これにより、Oracle Identity Managerの柔軟性と拡張性が向上します。Oracle Identity Managerのビジネス・サービス層には、次のサービスおよび機能が含まれます。
Oracle Identity Managerが提供するビジネス機能の中核を形成するコア・サービス(ユーザー管理サービス、ポリシー管理サービス、プロビジョニングおよびリコンシリエーション・サービスなど)。
Oracle Identity ManagerでサポートされているAPIを記述したAPIサービス(APIサービスを使用すると、カスタム・クライアントをOracle Identity Managerに統合できます)。カスタム・クライアントによる製品のカスタマイズや、プラグインおよびアダプタの開発の際に使用できるように、Oracle Identity Managerのビジネス機能を公開する一連の豊富なAPIが含まれています。
アダプタ・ファクトリおよびコネクタ・フレームワークに基づいた統合サービス(統合サービスでは、アダプタのメタデータ定義に従って統合コードが動的に生成されます)。
Oracle Identity Managerが提供するビジネス機能に不可欠なプラットフォーム・サービス(リクエスト管理サービス、エンティティ・マネージャ・サービス、スケジューラ・サービスなど)。
APIサービスには、カスタム・クライアントとOracle Identity Managerとの統合を可能にする、Oracle Identity ManagerでサポートされるAPIが記述されています。カスタム・クライアントによる製品のカスタマイズや、プラグインおよびアダプタの開発の際に使用できるように、Oracle Identity Managerのビジネス機能を公開する一連の豊富なAPIが含まれています。
APIサービスの構成は、次のとおりです。
SPML API: サービス・プロビジョニング・マークアップ言語(SPML)は、組織内および組織間でのアイデンティティ情報やシステム・リソースのプロビジョニングと割当てを管理するための標準です。Oracle Identity Managerでは、アイデンティティ管理機能をクライアントに公開するSPMLベースの一連のWebサービスをサポートしています。APIは、次の操作に対してサポートを提供します。
アイデンティティの追加、変更および削除
ロールの追加、変更および削除
ロール・メンバーシップの追加と削除
これらのAPIは、Oracle Identity Managerに送信されるリクエストを管理目的でサポートし、プロビジョニング・ターゲットとの統合に使用するプロトコルであるSPMLとは区別されます。
EJB API: プラットフォームの機能に対するきめ細かなアクセスは、一連のEJBを経由します。これらのセッションBeanは、Oracle Identity ManagerのWebアプリケーション・クライアントに実装されている機能の基盤です。また、カスタム・クライアントがOracle Identity Managerの機能にアクセスする際に使用できるインタフェースでもあります。
スケーラブルで柔軟な統合アーキテクチャは、企業のプロビジョニング・ソリューションのデプロイメントを成功させる上で非常に重要です。Oracle Identity Managerは、統合アーキテクチャを提供し、迅速で低コストのデプロイメントを実現します。
Oracle Identity Managerの統合サービスには、コネクタの開発、デプロイメントおよびメンテナンスのサポートに必要なすべてのコンポーネントが用意されています。統合サービスには、次のものがあります。
Oracle Identity Managerのコネクタは、ターゲット・アプリケーションにあるアイデンティティを管理するために、そのアプリケーションとの統合に使用されるパッケージ・ソリューションです。このようなターゲット・アプリケーションの例には、Microsoft Active DirectoryやOracle E-Business Suiteなどがあります。コネクタは、特定のターゲット・システム用にOracleで事前に定義されていますが、カスタム開発することもできます。
事前定義済コネクタはターゲット・アプリケーション専用に設計されているため、最も迅速な統合方法となります。これらのコネクタは、Oracle eBusiness Suite、PeopleSoft、Siebel、JD EdwardおよびSAPなどの一般的なビジネス・アプリケーションの他、Active Directory、Java Directory ServerおよびUNIXの各データベース、RSA ClearTrustなどのテクノロジ・アプリケーションもサポートします。事前定義済コネクタは、ターゲット・アプリケーション専用に設計されているため、最も迅速な統合の選択肢です。これらは、ターゲットが推奨する統合テクノロジを使用し、アプリケーション固有の属性を使用して事前に構成されています。
事前定義のコネクタで、ターゲットが推奨する統合テクノロジが使用されていない場合は、カスタム・コネクタを開発できます。Oracle Identity Manager Design Consoleのアダプタ・ファクトリ・ツールには定義ユーザー・インタフェースがあり、これを使用すると、コーディングやスクリプトを作成せずに、このようなカスタム開発を簡単に実現できます。
コネクタには、次の構成要素があります。
コネクタ固有の複数のOracle Identity Managerエンティティ(リソース・オブジェクト、データ・フォーム、プロビジョニング・ワークフロー、アダプタなど)
接続性、認証、ユーザー・アカウント管理などの基礎となる機能を提供するターゲット固有のJavaライブラリ
アイデンティティ・プロファイルの変更とポリシーの操作の両方に対してプロビジョニング操作を関連付けるイベント・トリガー
コネクタ・フレームワークは、これらのコンポーネントすべてを、手動によるユーザー相互作用またはシステム・トリガーに基づいて、適切な時期に実行される機能コネクタに結合します。特定の要件にあわせてコネクタ操作を調整できる操作可能な様々なトリガー、ポリシー・トリガーおよびフックを定義します。
Oracle Identity Managerとともにデプロイされるコネクタは、Oracle Identity Managerの様々なリリース間でのコネクタの移植性に影響を与えます。アイデンティティ・コネクタ・フレームワーク(ICF)は、Oracle Identity Managerからコネクタを分離します。その結果、任意の製品でコネクタを使用できるようになります。アイデンティティ・コネクタは、アプリケーションの実装を、そのアプリケーションが接続を試みるシステムの依存性から切り離すように設計されています。
アイデンティティ・コネクタには、次のコンポーネントがあります。
アイデンティティ・コネクタ・フレームワーク: アプリケーションからコネクタ・バンドルを切り離すコンテナを提供します。フレームワークには一般的な機能が数多く用意されていますが、ない場合は開発者が独自に実装する必要があります。たとえば、フレームワークでは、接続プーリング、バッファ、タイムアウトおよびフィルタを提供できます。アイデンティティ・コネクタ・フレームワークは、2つの部分に分かれています。
API: APIを使用してアプリケーションがコネクタをコールします。
SPI: SPIを実装することで開発者がコネクタを作成できます。
アイデンティティ・コネクタ・バンドル: 指定のリソース・ターゲットに対する固有の実装です。
コネクタ・サーバー(オプション): 別のシステムにデプロイされている1つ以上のコネクタ・バンドルをアプリケーションからリモートで実行できます。コネクタ・サーバーはJava(tm)と.NETの両方で使用できます。.NETコネクタ・サーバーは.NETコネクタ・バンドルを使用する場合にのみ必要であり、Javaコネクタ・サーバーはJavaで記述されたコネクタ・バンドルに対して使用できます。
図2-2に、ICFアーキテクチャを示します。
コネクタSPI
コネクタSPIインタフェースは、コネクタでサポートされる操作を表します。コネクタ開発者は、ターゲット・システム・コールをフレーム化するために1つ以上の操作インタフェースを実装することを選択できます。既存のインタフェースの拡張や新規インタフェースの作成はサポートされていません。SPIは、必須のインタフェース、機能ベースのインタフェースおよび操作のインタフェース(作成、更新、削除および検索など)に分類されます。
必須のインタフェースには、org.identityconnectors.framework.spi.Connectorインタフェースやorg.identityconnectors.framework.spi.Configurationインタフェースが含まれます。これらのインタフェースは、構成の実装が格納されているクラスおよび操作の実装が格納されている場所をAPIが把握するために実装する必要があります。
機能ベースのインタフェースには、org.identityconnectors.framework.spi.AttributeNormalizerインタフェースやorg.identityconnectors.framework.spi.PoolableConnectorインタフェースがあります。
操作のインタフェースは、コネクタがサポートする機能(作成、削除、検索など)を判断します。Oracle Fusion Middleware Oracle Identity Manager Java APIリファレンスを参照してください。
コネクタSPIの実装によるアイデンティティ・コネクタの開発の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタ・フレームワークに関する項を参照してください。
コネクタAPI
コネクタAPIは、実装された操作に関係なく、一貫したコネクタの表示を提供する機能を果たします。SPI開発者の利便性のために、複数の一般的な機能がデフォルトで用意されています。ほとんどの機能では、アプリケーション開発者によるAPIの処理は不要で、APIの構成のみが必要です。次に、API機能のリストを示します。
すべてのコネクタが接続されるわけではないため、接続プーリングは必要なコネクタにのみ提供し、APIが接続プーリングを確認しなくて済むようにします。また、コネクタが接続プーリングを使用する場合は、接続の処理もエラー発生時の接続の破棄もAPI開発者の担当ではありません。
すべての操作にタイムアウトを提供します。デフォルトをそのまま使用しない場合は、APIコンシューマが適切なタイムアウトを構成します。各SPI開発者は、一般的なサービスを実装する必要はありません(フレームワークに実装されているため)。
多種多様なフィルタを受け入れる単純なインタフェース手段として検索フィルタを提供します。コネクタ開発者に唯一必要な作業は、リソースが本来サポートしているフィルタを実装することです。それ以外はフレームワークで処理されます。
必要な場合に問合せや更新を大量に処理できるように、検索/同期バッファを提供します。実際はフレームワーク内で処理されるため、この点についてアプリケーションで考慮する必要はありません。
コネクタに対して、GroovyおよびBooの.NETを介してスクリプトを提供します。これによって、フレームワークでは、コネクタとターゲット・リソースの両方でスクリプトを実行できるため(サポートされている場合)、コネクタ内で高い柔軟性が得られます。
SPI開発者は、操作に対して異なる実装を選択できます。たとえば、2つのタイプの更新があるとします。アプリケーション開発者は、基本的に同じことを実行する2つの異なる操作をコールする必要がないため、これはAPIコンシューマには非表示にされます。かわりに、コネクタがサポートする操作はフレームワークで把握され、適切なコールが実行されます。
アダプタ・ファクトリはOracle Identity Managerで提供されるコード生成ツールです。これによって、Oracle Identity Managerアプリケーション開発者は、Javaクラス(アダプタとも呼ばれる)を作成できます。
リソースには関連するプロビジョニング・プロセスがあり、そのプロセスには様々なタスクが関連付けられます。同様に、各タスクにはアダプタが関連付けられ、必要な操作を実行するためにターゲット・リソースに接続されます。
アダプタには次の利点があります。
Oracle Identity Managerの内部ロジックと機能を拡張します。
リソースのAPIを活用してそのリソースに接続することで、ソフトウェア・リソースとインタフェースします。
Oracle Identity Managerと外部システム間の統合を可能にします。
コードを手動で記述せずに生成できます。
アダプタのすべての定義はリポジトリに保存されるため、簡単にメンテナンスできます。このリポジトリはGUIを使用して編集できます。
Oracle Identity Managerでは、あるユーザーが統合に関するドメインの知識を保持し、別のユーザーがアダプタをメンテナンスできます。
変更および更新できます。
アダプタ・ファクトリは、商用システムやカスタム・システムとの迅速な統合を実現します。ユーザーは、アダプタ・ファクトリのグラフィカル・ユーザー・インタフェースを使用し、プログラムやスクリプトを作成することなく、統合を作成または変更できます。コネクタが作成されると、Oracle Identity Managerリポジトリではその定義が管理され、自己文書化ビューが作成されます。これらのビューを使用して、コネクタの拡張、メンテナンスおよびアップグレードを実行します。
|
関連項目: アダプタ・ファクトリを使用したアダプタの定義方法は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』を参照してください。 |
Oracle Identity Managerの事前定義済コネクタは、Microsoft Active DirectoryおよびPeopleSoft Enterprise Applicationsなどの、一般的に使用されているターゲット・システムにあわせて設計されています。事前定義済コネクタのアーキテクチャは、ターゲット・システムがサポートしているAPI、またはターゲット・システムがユーザー・データを格納するデータ・リポジトリのタイプおよびスキーマのいずれかに基づいています。ターゲット・システムでこれらのコネクタが使用できる場合は、統合の方法として事前定義済コネクタを使用することをお薦めします。ただし、対応する事前定義済コネクタがないターゲット・システムとOracle Identity Managerを統合する場合があります。たとえば、XYZ Travels Inc.は、顧客が航空運賃見積のリクエストに使用するカスタムのWebベース・アプリケーションを所有しています。XYZ Travelsの従業員でもあるエージェントは、これらのリクエストに対し、同じアプリケーションを使用して応答します。顧客は、自己登録によりこのアプリケーション内にアカウントを作成します。ただし、XYZ Travelsの従業員は、人事管理上の役職に基づいて自動的にプロビジョニングされたアカウントを持っている必要があります。作成、更新および削除など、アプリケーションのアカウント管理機能は、Java APIを介して使用可能です。カスタム・アプリケーションをOracle Identity Managerに統合する場合に使用できる事前定義済コネクタはありません。したがって、ターゲット・アプリケーションで公開されているJava APIをコールするカスタム・コネクタを作成する必要があります。
Oracle Identity Managerを、対応する事前定義済コネクタがないターゲット・システムと統合するには、カスタム・コネクタを作成してターゲット・システムとOracle Identity Managerをリンクできます。アダプタ・ファクトリのカスタマイズ機能が不要な場合は、Oracle Identity Managerの汎用テクノロジ・コネクタ(GTC)機能を使用してコネクタを作成できます。
基本のコネクタは、高度な機能やカスタマイズ動作を使用せず、SPML、JDBCなどの汎用接続性テクノロジを使用してすばやく簡単に作成できます。GTCはコネクタ開発に代替環境を提供するウィザードで、Oracle Identity Managerでターゲット・システム・コネクタを構成するために必要なすべての機能コンポーネントを速やかに作成します。
汎用テクノロジ・コネクタのリコンシリエーション・モジュールおよびプロビジョニング・モジュールは、選択した複数の再使用可能コンポーネントで構成されます。それぞれのコンポーネントでは、プロビジョニング時またはリコンシリエーション時に、特定の機能が実行されます。汎用テクノロジ・コネクタを構成するこれらのコンポーネントはプロバイダと呼ばれます。各プロバイダは、入力として受信するデータに対してトランスポート、フォーマット変更、検証または変換を実行します。つまり、プロバイダによって処理されたデータ項目は、新しい場所への移動、指定した基準との照合検証、または構造や値の変更が実行されます。レイヤー形式に配列されたデータ構造はデータセットと呼ばれ、プロビジョニング時およびリコンシリエーション時には、レイヤー間でデータが移動します。
GTCでは、コネクタ内に定義されているデータ・フローを表示する、Webベースのグラフィカルなウィザードが使用されます。コネクタのGTCビューを再ロードして、進行中のコネクタを同じグラフィカルな環境でメンテナンスできるように、コネクタに関する構成情報はすべてメタデータに保存されます。GTCでは、標準的なコネクタ・フレームワークを使用してコネクタが作成されるため、アプリケーション開発者は、標準のOracle Identity Manager開発環境にアクセスして、生成されたコネクタに変更を追加できます。ただし、この方法でGTCベースのコネクタをカスタマイズすると、そのコネクタは、GTCを使用して管理またはメンテナンスできなくなります。
アダプタでJavaタスクを使用する場合、適切なJava APIを検索するようにOracle Identity Managerを構成する必要があります。Java APIは、Meta Data Store (MDS)のJARファイルに格納されています。サード・パーティ・システムと直接通信せずに、プロキシのように動作するOracle Identity Managerコンポーネントを使用する必要がある場合があります。このコンポーネントは、リモート・マネージャと呼ばれます。リモート・マネージャは、次の目的で使用します。
Oracle Identity Managerを通じた非リモートAPIの呼出し
セキュアな接続でのSecure Sockets Layer (SSL)をサポートしないAPIの呼出し
リモート・マネージャは、ターゲット・システムのコンピュータで動作するOracle Identity Managerサーバーのコンポーネントです。ネットワーク対応のAPIがないアプリケーションやセキュリティを提供しないアプリケーションとの統合に必要なネットワークとセキュリティ・レイヤーを提供します。これは、軽量Remote Method Invocation (RMI)サーバーとして構築されます。通信プロトコルは、Hypertext Transfer Protocol/Secure (HTTP/S)経由でトンネリングされたRMIです。
J2EE RMIフレームワークにより、事実上透過的な分散サービスおよびアプリケーションが作成できるようになります。RMIベースのアプリケーションは、場所に関係なく、相互にメソッド・コールを実行するJavaオブジェクトで構成されます。これにより、Javaオブジェクトは、同じ仮想コンピュータにあるJavaオブジェクトでメソッドをコールするのと同じ方法で、別の仮想コンピュータにある別のJavaオブジェクトでメソッドをコールできます。
図2-3に、リモート・マネージャのアーキテクチャの概要を示します。
|
関連項目: リモートマネージャおよびその構成の詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのリモート・マネージャのインストールと構成に関する項を参照してください。 |
Oracle Identity Managerのアーキテクチャには、承認ワークフローを構成できるリクエスト・サービスが含まれています。Oracle Identity Managerでは、この機能の配信に、Oracle Service Oriented Architecture (SOA) Suiteが使用されます。
Oracle SOA Suiteを使用すると、サービス指向アプリケーションを作成し、任意のミドルウェア・プラットフォームにデプロイできます。Oracle SOA Suiteは多数のコンポーネントで構成されていますが、包括的なワークフロー機能を提供するためにOracle Identity Managerに必要なコンポーネントは、次のとおりです。
BPEL Process Manager: Oracle BPEL Process Managerは、自動ワークフロー・ステップとヒューマン・ワークフロー・ステップの両方を使用してアプリケーション間ビジネス・プロセスを作成、デプロイおよび管理するための包括的なソリューションを提供します。完了したプロセスと実行中のプロセスの両方の監査証跡や、プロセスの改善を可能にするプロセス履歴も提供します。
ヒューマン・リクエスト・サービス: BPEL標準では手動タスクはサポートしていませんが、非同期サービスをサポートしています。そのため、Oracle SOA Suiteでは、手動ステップを標準のBPELプロセスに挿入できるように、手動タスク・サービスであるヒューマン・リクエスト・サービスをサポートしています。Oracle Identity Manager管理およびユーザー・コンソールにはタスク・リストがあります(ユーザーは、このリストを使用して、ヒューマン・リクエスト・サービスの管理下にある割り当てられたタスクを表示して操作できます)。
BPEL Designer: Oracle BPEL DesignerはJDeveloperのプラグインとして使用でき、BPELベースのプロセスを作成してデプロイするための視覚デザインのパラダイムを提供します。
Oracle Identity Managerは、SOAスイートの最上部に抽象化サービスを提供し、SOAスイートに対するユーザーの操作を最適化および単純化します。このサービスには、Oracle Identity Managerで使用するBPELコンポジットを登録する機能、BPELおよびヒューマン・ワークフローのモジュールで使用するパラメータ化した変数を定義する機能、およびタスク・リストとカスタム開発で使用されるAPIが含まれています。
|
関連項目: ワークフローおよびBPELコンポジットの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』の承認ワークフローに関する項を参照してください。 |
リクエスト・サービスには、Oracle Identity Managerでのリクエストの発行およびトラッキングに使用されるサービスも用意されています。ユーザーは、リクエストを使用して、必要な承認を取得した後に実行するアクションや、保持されているプロセス全体のトラッキング・レコードとそのステータスを要求できます。リクエストは、リクエスト・タイプとして定義されている様々なタイプのアクションが対象となります。リクエストのタイプは、次のいずれかです。
エンティティの作成、変更または削除
エンティティの有効化または無効化
ユーザーまたは一連のユーザーに対するリソースのプロビジョニング
ロールのメンバーとしてのアイデンティティの追加または削除
リクエスト・サービスは、様々なタイプのリクエストをサポートし、複数のリクエスト・タイプに対応する機能があります。Oracle Identity Managerには、最も一般的なユースケースを対象とした事前定義の多様なリクエスト・タイプが用意されています。また、リクエスト・サービスにはリクエスト・テンプレートに対するサポートも用意されており、特定の要件に対してリクエストのタイプをカスタマイズできます。
リクエスト・サービスは、Oracle Identity Managerの様々なサービスを介して、リクエスト・フローにデータを提供するフロー・モデルを定義します。これには、正確な時間での承認ワークフローの起動、ワークフローのステータスの監視、承認を受領した場合のリクエストの実行などがあります。
リクエストのトランザクション・データと履歴データの両方が保持され、監査およびコンプライアンスの要件がサポートされます。
Oracle Identity Managerはセキュリティ製品であるため、ユーザーがアプリケーションで表示および変更できる内容に対しては強固なレベルのアクセス制御が必要です。この要件を満たすために、Oracle Identity Managerでは、ユーザーが認可ポリシーを定義して特定のアクションを許可するかどうかを実行時に判断できます。この機能は、Oracle Identity Manager内に埋め込まれているOracle Entitlements Server (OES)を使用する認可サービスによって制御されます。OESは認可製品であり、権限や認可ポリシーを集中管理し、アプリケーション・コンポーネントとアプリケーション・ビジネス・オブジェクトの両方に対するアクセスをきめ細かに決定できます。
OESのアーキテクチャは、2つの主要な要素で構成されています。管理アプリケーションは、ポリシー管理ポイント(PAP)として機能し、ポリシー、構成、ロールおよび権限の管理に使用されます。2つ目の主要な構成要素は、アプリケーション・コンテナに保存されている1つ以上のセキュリティ・モジュール(SM)の活用です。これらのSMは、ポリシー決定ポイント(PDP)できめ細かなアクセス制御ポリシーを評価し、そのポリシーをポリシー強制ポイント(PEP)で適用します。
図2-4に、OESベースの認可サービスのアーキテクチャを示します。
権限チェックがリクエストされるたびに、次の処理が実行されます。
Oracle Identity Managerは認可サービスに接続し、保護されているエンティティに対する操作に関するアクセス決定に備えます。
次に、サービスはリソースに適用する1つ以上のポリシーを検索して評価します。
実行時には、セキュリティ・モジュールによって、ポリシーの評価に必要なすべての情報が収集されます。
ポリシーが、ロールごとに対象を参照する場合は、すべてのロールが評価され、アクセス決定が実行されます。
Oracle Identity Managerは、OESの最上部に抽象化サービスを提供し、Oracle Identity Managerのポリシーの定義を最適化および単純化します。このサービスにはポリシー定義UIが含まれており、これによって、機能に固有で、ユーザーやロールなどのエンティティに関する属性や機能のきめ細かな制御をサポートする認可ポリシーを定義できます。認可ポリシーの構造化コンポーネントおよび認可ポリシーの作成方法と管理方法の詳細は、「認可ポリシーの作成および管理」を参照してください。
プラグイン・フレームワークを使用すると、Oracle Identity Managerのデフォルトの機能を簡単に拡張およびカスタマイズできます。拡張性を提供できるビジネス・ロジックの特定のプラグイン・ポイントは、この機能によって公開されます。各インタフェース定義には、このようなポイントが付随しており、プラグイン・インタフェースと呼ばれます。顧客は、これらのプラグイン・インタフェースを拡張してカスタマイズを定義するコードを、ビジネス・ニーズに基づいて作成できます。これらのプラグインは、プラグイン・マネージャを使用してOracle Identity Managerにデプロイおよび登録されます。その後、これらのプラグインは、Oracle Identity Managerによって、該当するポイント以降に処理する機能に組み込まれます。
機能の開発者は、カスタム実装の格納場所とそのロード方法をトラッキングする必要はありません。プラグイン・フレームワークは、クラスパス、ファイル・システムおよびデータベースからのプラグインのローディングをサポートしています。
|
関連項目: プラグイン・フレームワークの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のプラグインの開発に関する項を参照してください。 |
コンプライアンス・プラクティスの効率的な適用の試みは、職務の分離(SoD)ポリシーの定義を介して実行されます。SoDは、概して権限の矛盾するセットをユーザーが取得しないようにする方法として定義されます。この矛盾するセットは、有害な組合せとも呼ばれます。有害な組合せの例には、同一の注文に対する作成と承認の機能を1個人に付与する例があります。多くの企業には、ビジネス・アプリケーション固有のSoDエンジンがあり、そのビジネス・アプリケーション内で、ユーザーが保持する権限に対してSoDポリシーが定義および適用されます。このようなSoDエンジンの例には、OAACG、SAP GRCなどがあります。
顧客は、SoDエンジン・フレームワークを使用して、選択したSoDエンジンをOracle Identity Managerと統合し、リクエストおよびプロビジョニング・プロセスの適切なポイントでSoDチェックを有効にできます。Oracle Identity Managerは、SoD起動ライブラリ(SIL)を介してSoDチェックのリクエストをSoDエンジンに送信できます。SILは、サポート対象のSoDエンジンすべてに共通のサービス・インタフェースを提供します。Oracle Identity Manager内のビジネス・コンポーネントは、この共通のサービス・インタフェースによって抽象化されます。その結果、SoDエンジンに必要な正しいデータ形式や返された結果の解釈をSoDチェックで処理する必要がなくなります。
SoDチェックは、プロビジョニング・ライフサイクルの様々な時点(アクセスのリクエスト時、承認ワークフローの実行時、プロビジョニングの実行時など)で実行できます。違反が検出されると、リクエストまたはリソースは違反としてマークされ、承認者または管理者によって続行するかどうかが判断されます。リクエストの処理中に違反が検出された場合は、さらに高いレベルで承認できる様々な承認ワークフローを起動できます。
|
関連項目: SoDの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』を参照してください。 |
ビジネス・システムでは、指定の時間に他のプログラムを実行するように構成されたスケジューリング・システムが頻繁に活用されます。スケジューリング・システムでは、レポートの生成、データの再フォーマット、または監査を実施するアプリケーションが定期的に実行されます。多くの場合、スケジューリング・システムは、定められた時間に自動的に定型作業を実行するバッチ・ジョブ(スケジュールされたジョブ)を実行します。スケジューリング・システムは、エンタープライズ・プロビジョニング・ソリューションに不可欠です。プロビジョニングには、通常、時間ベースの方法で実行するタスクが含まれています。次に例を示します。
管理されたアプリケーションで直接行われた変更をすべてリコンサイルする夜間ジョブの実行
指定の時間内に割り当てられたジョブが処理されなかった場合のエスカレーションの実行
特定時間に開始するリクエストの実行
Oracle Identity Managerプラットフォームには、エンタープライズ・プロビジョニング要件を満たすためのスケジュール機能を提供するスケジューラが含まれています。このサービスは、独立した製品ではなく、Oracle Identity Managerプラットフォームの一部として管理されます。図2-5に、Oracle Identity Managerスケジューラのアーキテクチャの概要を示します。
スケジューラ・サービスによって提供される主な機能は、次のとおりです。
数千のジョブを実行するための単純または複雑なスケジュールを作成する機能
スケジューリング・サービスをクラスタ化されたサービスとして実行し、必要な高可用性機能(フェイルオーバーやロード・バランシングなど)を提供する機能
管理およびフェイルオーバー・サポートのためにジョブの定義を永続化する機能
ジョブを作成、変更、有効化、無効化および削除し、個々のジョブ実行を管理UIを使用して管理する機能
定期的にスケジュールされた実行以外に、非定型方式でジョブを実行する機能
エラーと障害を管理する機能
ジョブ実行の履歴(実行の統計と結果を含む)を保持する機能
スケジューラ・サービス自体を管理する機能
|
関連項目:
|
Oracle Identity Managerはデータおよびメタデータによって駆動されるため、Oracle Identity Managerの機能には柔軟性と適合性が提供されます。Oracle Identity Managerリポジトリまたはデータベースで構成されたOracle Identity Managerのデータ層は、ANSI SQL 92準拠のリレーショナル・データベースおよびLDAPアイデンティティ・ストア(オプション)でOracle Identity Managerデータとメタデータを管理および格納します。
この項では、データ層について次の各トピックで説明します。
Oracle Identity Managerリポジトリは、アイデンティティ管理およびプロビジョニング・システムの中核となる値である「いつ、誰が、何を、なぜ、どのように所持しているか」に関するデータの認証ストアです。Oracle Identity Managerデータベースに格納されるデータは、次の幅広いカテゴリに分類されます。
エンティティ・データ: ユーザー、組織、ロール、ロール・メンバーシップ、リソース、プロビジョニング済リソース
トランザクション・データ: リクエスト、承認ワークフロー・インスタンス、プロビジョニング・ワークフロー・インスタンス、ヒューマン・タスク
監査データ: リクエスト履歴、ユーザー・プロファイル履歴
高可用性
データベースは、停止時間やパフォーマンスの問題を回避するために、スケーラブルで冗長なデータ・レイヤーを提供します。信頼性、リカバリ可能性、タイムリなエラー検出および継続的稼働は、高可用性ソリューションの主な特徴です。
Oracle Identity Managerのアーキテクチャは、製品と併用されるデータベース管理システムが提供する機能に依存しています。これらの機能には、次のことが必要です。
すべてのコンポーネントに冗長性を持たせること
コンピュータ障害、ストレージ障害、人的エラー、データ破損、書込み欠落、システムの停止または減速、およびサイト障害からの保護および耐性を備えていること
できるかぎり素早く透過的に停止からリカバリすること
計画停止時間をなくしたり短縮するソリューションを備えていること
一貫性のある高いパフォーマンスを備えていること
デプロイ、管理および拡張が容易であること
考えられる最も低い所有者の総費用でサービス水準合意(SLA)を実現すること
多種多様な高可用性ソリューションやビジネス継続性ソリューションを使用できます。Oracle Real Application Clusters (Oracle RAC)やOracle Data Guardなどのテクノロジを使用して、データベース可用性を最大化する方法の詳細は、次のWebサイトを参照してください。
http://www.oracle.com/technetwork/database/features/availability/maa-090890.html
レポート
Oracle Identity Managerリポジトリに格納されている一連の豊富なデータは、管理要件およびコンプライアンス要件をサポートする詳細なレポートを介して表示できます。Oracle Identity Managerは、Oracle BI Publisher(すべてのレポートとビジネス文書をオーサリング、管理および配信する単一のレポート環境を提供するエンタープライズ・レポート・ソリューション)を使用したデータ・レポートをサポートしています。Microsoft Word、Microsoft ExcelまたはAdobe Acrobatなどの、一般的な一連のデスクトップ・ツールを利用して、Oracle Identity Management製品を含む様々なソースのデータに基づいてレポート・レイアウトを作成および管理できます。
Oracle Identity Managerには、標準的な一連のOracle BI Publisherレポート・テンプレートが用意されています。各テンプレートは、カスタマイズしてルック・アンド・フィールを変更できます。Oracle Identity Managerデータベース・スキーマを活用して独自のカスタム・レポートを作成することもできます。
Oracle Identity Managerの基礎となるロジックは、メタデータ・ドリブンです。構造的および動作的な側面は、メタデータを使用して記述されます。Oracle Identity Managerのアーキテクチャでは、Oracle Metadata Services (MDS)に依存してメタデータに統一の格納場所を提供します。これにより、Oracle Identity Managerのメタデータおよび構成している他のFusion Middlewareコンポーネントのメタデータに対して、一貫した信頼性のあるアクセスが確保されます。アプリケーションの設計フェーズで使用される同じメタデータが、アプリケーションの実行時にメタデータ・サービス・レイヤーを介して使用されます。これにより、Oracle Identity Managerのライフサイクルを通じて一貫性が確保されます。MDSには、一般的なメタデータ管理ツールも用意されており、共通のリポジトリに格納されている様々なタイプのメタデータ全体に使用できます。
MDSの主要な機能およびアーキテクチャ指針には、次の内容が含まれます。
様々なFusion Middlewareコンポーネントで使用されるすべてのアーティファクトに対して統一された単一のリポジトリを使用した、簡素化されたリソース管理
開発、テスト、ステージングおよび本番の様々な段階を通して変化する、各アーティファクトのメタデータ・ライフサイクルの管理
複数のコンポーネントにわたるメタデータの共有と再使用
アーティファクトの分類と再使用、再使用の奨励、および一貫性の促進
様々な機能の基礎を形成するバージョニング機能
メタデータおよびアプリケーション・ロジックをメタデータの使用方法ごとに調整できる、安全にアップグレート可能な階層化されたカスタマイズ・メカニズム
パフォーマンスを最適化するための構成可能なチューニング・オプションと一体化された高度なキャッシュおよびアセンブルの技術
MDS経由でアクセスおよび管理するメタデータは、ファイル・ベースのリポジトリまたはデータベース・ベースのリポジトリのいずれかに格納されます。Oracle Identity Managerのアーキテクチャでは、このモードで提供されるパフォーマンスおよび可用性に関する複数の高度な機能を利用するために、メタデータはOracle Identity Managerデータベース内に存在します。
Oracle Identity Manager 11g リリース1 (11.1.1)には、LDAPベースのアイデンティティ・ストアをOracle Identity Managerアーキテクチャに統合する機能があります。リリース9.xでは、Oracle Identity Managerアイデンティティ・ストアはOracle Identity Managerデータベースにあります。したがって、Oracle Identity Managerはプロビジョニング・ターゲットとしてLDAPと統合され、つまり、Oracle Identity ManagerユーザーとLDAPユーザー間のカスタム統合を構築できます。一方、11g リリース1 (11.1.1)では、Oracle Identity Managerから直接LDAPベースのアイデンティティ・ストアに接続して管理できます。この機能を使用すると、アイデンティティのリクエスト・ベースの作成および管理を含めたOracle Identity Managerの高度なユーザー管理機能を使用して、企業のアイデンティティ・ストア内でアイデンティティを管理できます。
このデプロイメント・アーキテクチャでは、ユーザー・アイデンティティ情報が、LDAPストアに加えてOracle Identity Managerデータベースにも格納されるため、Oracle Identity Managerが機能するために必要なリレーショナル機能がサポートされます。すべてのデータは、プロビジョニング・アクションの実行やポリシーおよびルールの設定なしで、透過的に同期が維持されます。ユーザーの作成や変更など、Oracle Identity Manager内で開始されるアイデンティティ操作は、トランザクションの整合性を維持する形で両方のストアで実行されます。さらに、Oracle Identity Manager外部で行われたLDAPストアの変更は、Oracle Identity Managerにプルされ、アイデンティティ・コンテキストの一部として使用できるようになります。
Oracle Identity Managerは、オープンでスケーラブルな企業規模のモジュール型アーキテクチャに基づいて構築されています。各モジュールは、システムの全体の機能において重要な役割を果します。図2-6に、Oracle Identity Managerのシステム・コンポーネントを示します。
Oracle Identity Managerのユーザー・インタフェースは、プロビジョニング環境を定義および管理します。Oracle Identity Managerには、次の2つのユーザー・インタフェースがあり、管理者とユーザーの両方の要件を満しています。
開発者およびシステム管理者のための強力なJavaベースのOracle Identity Manager Design Console
アイデンティティ管理者およびユーザーそれぞれに対するWebベースの管理およびOracle Identity Managerセルフサービス・インタフェース
この項では、Oracle Identity Managerの次のコンポーネントについて説明します。
アイデンティティ管理
アイデンティティ管理には、Oracle Identity Managerでのアイデンティティの作成および管理が含まれます。アイデンティティには、ユーザー、組織およびロールがあります。アイデンティティ管理では、パスワードの管理およびユーザーによるOracle Identity Managerセルフサービス操作も可能です。アイデンティティ管理は、Oracle Identity Manager管理、Oracle Identity ManagerセルフサービスWebクライアントおよびSPML Webサービスを使用して実行されます。
|
注意: アイデンティティ管理タスクには、ユーザーの管理、ロールの管理、組織の管理および認可ポリシーの管理が含まれ、このガイドではそれぞれ詳細に説明されています。 |
プロビジョニング
プロビジョニング・トランザクションは、プロビジョニング・モジュールで作成および変更されます。このモジュールでは、「誰が」、「何を」プロビジョニングするかが保持されます。ユーザー・プロファイル、アクセス・ポリシーおよびリソースは、ビジネス・プロセス・ワークフローやビジネス・ルールと同様に、プロビジョニング・モジュールで定義されます。
プロビジョニング・サーバーは、Oracle Identity Managerの実行時エンジンです。これは、Oracle Identity Manager管理およびOracle Identity Manager Design Consoleを介して定義され、プロビジョニング・モジュール内に保持されているプロビジョニング・プロセス・トランザクションを実行します。
監査およびレポート
監査およびコンプライアンスの機能には、個人、組織、システム、プロセス、プロジェクトまたは製品の評価が含まれます。この機能は、スイーツのワークフロー・エンジン、ポリシー・エンジンおよびリコンシリエーション・エンジンによって生成されたデータを取得することで発生します。このデータをアイデンティティ・データと組み合せることで、企業は、アイデンティティに対する処理および関連する監査照会へのアクセスに必要な情報をすべて入手できます。監査は情報の有効性と信頼性を確認するために実施され、システムの内部制御の査定も提供します。
レポートは正式な文書を生成するプロセスで、監査の結果として作成されます。その後、レポートは、ユーザー(個人、グループ、企業、政府、一般市民など)が監査の結果に基づいて意思決定できるように、保証サービスとしてユーザーに提供されます。企業では、プロビジョニング環境の過去と現在の両方の状態についてレポートを作成できます。取得したアイデンティティ・データの中には、ユーザー・アイデンティティ・プロファイルの履歴、ロールのメンバーシップ履歴、ユーザーのリソース・アクセスおよび詳細な権限の履歴などがあります。
リコンシリエーションおよびバルク・ロード
リコンシリエーション・エンジンは、Oracle Identity Managerのプロビジョニング環境と企業内のOracle Identity Managerの管理リソースの間の整合性を保証します。また、Oracle Identity Managerの外で作成された不正アカウントを検出します。また、リコンシリエーション・エンジンは、プロビジョニング・システムの内外にあるビジネス・ロールを同期化して整合性を確認します。
|
関連項目:
|
組織の他のリポジトリからOracle Identity Managerに大量のデータをロードする場合は、バルク・ロード・ユーティリティを使用できます。バルク・ロード・ユーティリティは、データ・ロードでの停止時間を短縮します。さらに、バルク・ロード・ユーティリティは、Oracle Identity Managerのユーザー、ロール、メンバーシップおよびユーザーにプロビジョニングされたアカウントをインポートします。
|
関連項目: バルク・ロード・ユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のバルク・ロード・ユーティリティに関する項を参照してください。 |
共通のサービス
Oracle Identity Managerの他のコンポーネントで共有され、使用される様々なサービスはまとめてグループ化されます。これには次のサービスがあります。
フォーム・デザイナ: Oracle Identity Managerにあらかじめ含まれていないプロセスおよびリソース・オブジェクトのフォームを作成できるフォーム。フォーム・デザイナの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のフォーム・デザイナのフォームに関する項を参照してください。
スケジューラ: 特定のスケジューラで特定のジョブを実行する機能を提供するサービス。ユーザー、アプリケーション開発者、コネクタ開発者および管理者は、このサービスを使用してジョブを作成し、指定した間隔で実行するように構成できます。このサービスでは、ジョブの機能およびそのスケジュールを管理する管理機能も提供されます。詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドの「スケジュール済タスクの管理」の章を参照してください。
通知テンプレート: Oracle Identity Managerで発生するイベントについて関係者に通知を送信するために、共通の通知サービスが他の機能コンポーネントによって使用されます。また、このサービスでは、通知テンプレートを管理する機能も提供されます。送信通知の送信には通知テンプレートが使用されます。通常、これらのテンプレートには、よりコンテキストに依存した内容を提供するために使用可能なデータを参照する変数が含まれています。詳細は、「通知テンプレートの作成および管理」の章を参照してください。
システム・プロパティ: システム・プロパティは、アプリケーションの構成を制御するエンティティです。デフォルトのシステム・プロパティに加え、Oracle Identity Managerのシステム・プロパティも作成および管理できます。詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドの「システム・プロパティの管理」の章を参照してください。
デプロイメント・マネージャ: デプロイメント・マネージャは、Oracle Identity Manager構成のエクスポートおよびインポートに使用するツールです。デプロイメント・マネージャを使用すると、Oracle Identity Managerの構成を形成するオブジェクトをエクスポートできます。詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのデプロイメント・マネージャを使用したデータのインポートおよびエクスポートに関する項を参照してください。
ワークフローおよびリクエスト管理
Oracle Identity Managerの様々な操作は直接実行できません。かわりに、操作をリクエストする必要があります。リクエスト管理サービスでは、リクエストを作成、承認および管理するためのメカニズムを提供します。リクエストは特定のアクションを実行する必要があるユーザーまたは管理者が作成したエンティティで、アクションを実行するには、誰かまたはなんらかのプロセスから事前に任意の権限を取得しておく必要があります。たとえば、ユーザーはラップトップ・コンピュータへのアクセス権を取得するためのリクエストを作成し、マネージャはリクエストを承認してオープン購買依頼を作成し、ITリソース管理者はリクエストを承認できます。
プロビジョニング・ソリューションの主要な目標は、リクエストおよびプロビジョニング・リソースを管理することです。リクエスト・サービスは、Business Process Execution Language (BPEL) 11gワークフロー・エンジンに対して抽象レイヤーを提供します。リクエスト、プロビジョニング、アテステーションなどの機能コンポーネントは、ワークフロー・エンジンと相互作用して対象者を承認します。リクエスト・サービスは、ワークフロー・インスタンスおよびカテゴリを管理することでOracle Identity Managerの様々な機能コンポーネントに対応し、BPELに対して抽象レイヤーを提供します。Oracle Identity Managerへのワークフローの登録の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』を参照してください。
インフラストラクチャおよびミドルウェア統合
アダプタ・ファクトリ、カーネル・オーケストレーション・メカニズム、コンテキスト・マネージャおよびプラグイン・フレームワークは、これらのシステムとのハードコード統合の必要性を排除するように設計されています。
Oracle Identity Managerとミドルウェア・アプリケーションの統合の詳細は、「統合ソリューション」を参照してください。
コネクタ・フレームワーク
コネクタ・フレームワークの説明は、「統合サービス」を参照してください。
