| Oracle® Fusion Middleware Oracle Identity Managerユーザーズ・ガイド 11gリリース2(11.1.2) B69542-02 |
|
 前 |
 次 |
Oracle Identity Managerは、アプリケーションおよびディレクトリからユーザー・アカウントを追加、更新および削除するプロセスを自動化するユーザー・プロビジョニングおよび管理ソリューションです。また、誰が何にアクセスしたかを示すきめ細かいレポートを提供することで、法規制コンプライアンスの向上にも寄与します。Oracle Identity Managerは、スタンドアロン製品として、またはOracle Identity and Access Management Suiteの一部として使用可能です。
ユーザー・アイデンティティのプロビジョニングを自動化すると、情報テクノロジ(IT)の管理コストを削減し、セキュリティを高めることができます。プロビジョニングは、法規制コンプライアンスにおいても重要な役割を果たします。Oracle Identity Managerの主要機能には、パスワード管理、ワークフローとポリシーの管理、アイデンティティ・リコンシリエーション、レポートと監査、拡張性などがあります。
Oracle Identity Managerの機能は、次のカテゴリに分類できます。
Oracle Identity Managerの以前のリリースでは、Oracle Identity ManagerはITを中心とした使用方法でした。ロール、権限またはアプリケーションをリクエストするには、ビジネス・ユーザーは、使用するリクエスト・テンプレート、リソース・オブジェクトまたはITリソースなどの詳細を理解している必要がありました。このリリース以降、Oracle Identity Managerは簡単に使用できるようになりました。ビジネス・ユーザーはITに関連した詳細を理解している必要はありません。かわりに、ビジネス・ユーザーは、リクエスト・カタログで項目を検索して、それをショッピング・カートに追加できます。Oracle Identity Managerは、簡素化されたリクエスト・インタフェース(ショッピング・カートとカタログ・ベースの操作性、ビジネスに使いやすいリクエスト・トラッキング、承認タスクとプロビジョニング・タスクの統合された受信ボックス、セルフ・サービス・タスクと委任管理タスクの統合されたインタフェースなど)を使用した使いやすい使用方法をビジネス・ユーザーに提供します。
Oracle Identity Managerの以前のリリースでは、複雑なリクエスト・シナリオは、ロール・リクエスト、リクエスト・テンプレートおよびSOA承認プロセスを使用して実装されていました。しかし、リクエスト管理エンジンはアプリケーション権限をリクエストする機能を提供していませんでした。さらに、リクエスト・プロセス全体が使いにくいものでした。
このリリース以降、リクエスト・インタフェースを簡略化するためにショッピング・カート・パターンが導入されました。エンド・ユーザーは、ショッピング・カート・パターンを使用してロール、権限およびアプリケーション・インスタンスなどのエンティティをアクセス・リクエスト・カタログからリクエストできます。
管理者およびエンド・ユーザーは、ユーザーに使いやすい簡略化されたリクエスト・トラッキング・インタフェースを使用して、すべてのリクエストを簡単にトラッキングできます。Oracle Identity Self Serviceの「リクエストのトラッキング」ページを使用して、リクエストID、ステータス、リクエスト・タイプ、リクエスト日、受益者およびリクエスタに基づいてリクエストを検索することで、リクエストを表示、承認、却下またはクローズできます。
以前のリリースとは異なり、Oracle Identity Managerの現行のリリースでは、本人および他のユーザーにエンド・ユーザー・セルフ・サービスの統合されたインタフェースおよびユーザー委任管理フローが提供されます。このリリースでは、ユーザーの委任管理機能は、他のユーザーにかわって発行されたリクエストがセキュリティ構成に基づいて自動的に承認されるのみです。
Oracle Identity Managerでは、委任管理および様々なエンティティのデータ・セキュリティを行う組織レベルのスコープ・メカニズムが提供されます。すべてのエンティティは一連の組織に対して公開され、公開された組織内のユーザーのみがアクセスを受信することを許可されます。
Oracle Identity Managerでは、それぞれのログイン用にOracle Identity Self Serviceをパーソナライズできます。「ホーム・ページ」内での領域の再編成または非表示、定期的に検索する項目の保存と再利用、ソート・プリファレンスの保存などができます。
セルフサービス機能のデプロイおよび管理機能の委任により、企業はユーザーの生産性、ユーザー満足度、および業務効率を向上させることができます。
セルフ・サービスおよびシステム管理用の単一のインタフェース
Oracle Identity Managerは、本人、アイデンティティ管理およびシステムの管理と構成に関連したすべてのタイプの操作を実行するための単一のWebベース・インタフェースを提供します。
ユーザー・プロファイルの管理
ユーザーは、Oracle Identity Self Serviceを使用して、自分のプロファイルを表示および編集できます。これにより、管理オーバーヘッドが軽減され、ユーザーが自分のアイデンティティ・プロファイルを管理できるようになります。
Oracle Identity Manager管理のユーザー・インタフェースを使用すると、管理者はアクセス権限に従って他のユーザーのプロファイルを表示および管理できます。これにより、管理者は、ユーザー・プロファイルの作成と編集、ユーザーのパスワードの変更、および委任された他の管理タスクを実行できます。
リクエスト管理
Oracle Identity Self Serviceでは、ユーザーはきめ細かな権限、プロファイル管理リクエストおよびロール・メンバーシップ・リクエストを使用して、リソースに対するプロビジョニング・リクエストを作成することもできます。Webベースのカタログ・インタフェースからリクエストする項目を選択できます。業務の承認者(チーム・リーダー、ライン管理者および部長など)は、同じWebベースのインタフェースを使用して着信リクエストを検討し、承認できます。これにより、企業は労力とコストを削減できます。
委任管理
Oracle Identity Managerは、任意のグループまたはユーザーへのほとんどの管理機能の委任をサポートする、柔軟性に富んだセキュリティ・フレームワークを特長としています。管理ポイントをできるかぎりユーザーに近づけることにより、企業は生産性を高めながら、緊密な管理とセキュリティの強化を実現できます。
現在、パスワード管理は企業にとって最も重要な問題の1つです。パスワード管理ソリューションを実装すると、チケットの生成やヘルプ・デスクへのコールに関連するコストおよびオーバーヘッドが削減されます。この項で説明するOracle Identity Managerのパスワード管理機能は、この分野で企業を支援することを目的としています。
セルフサービスのパスワード管理
ユーザーは、自分のエンタープライズ・パスワードを管理し、個々の管理アカウントの構成方法に従って管理アカウントとパスワードを同期化できます。エンタープライズ・パスワードは、Oracle Identity Managerのセルフサービス機能を使用して管理されます。ユーザーがパスワードを忘れた場合、Oracle Identity Managerでは、カスタマイズ可能なチャレンジ質問を表示して、セルフサービスのアイデンティティ検証とパスワードのリセットを可能にします。調査によると、ヘルプ・デスクへのコールの大部分はパスワードのリセットとアカウントのロックアウトに関連する内容です。このセルフサービス機能により、必要なヘルプデスクへのコールが減少し、コストが削減されます。
高度なパスワード・ポリシー管理
ほとんどのベスト・プラクティスが購入後すぐに使用でき、直感的に操作できるユーザー・インタフェースを使用して構成できます。サポートされるパスワードの複雑性の要件には、パスワードの長さ、英数字および特殊文字の使用、大/小文字の使用、ユーザー名の全部または一部除外、パスワードの最小期間、および履歴パスワードが含まれます。Oracle Identity Managerでは、ユーザーによるパスワードの設定を制御する複雑なパスワード・ポリシーを定義できます。さらに、リソースごとに複数のポリシーを適用できます。たとえば、権限のレベルが低いユーザーを制約の緩いパスワード・ポリシーの対象とする一方で、権限を持つ管理者を制約の厳しいポリシーの対象とすることができます。
パスワードの同期化
Oracle Identity Managerでは、管理リソース全体でパスワードを同期化またはマップして、これらのリソース間でパスワード・ポリシーの相違を強制できます。さらに、企業がMicrosoft Windowsのデスクトップベースのパスワード・リセット機能を使用している場合は、Oracle Identity ManagerのActive Directory(AD)コネクタがADサーバーでパスワード変更を捕捉し、ポリシーに従って他の管理リソースにその変更を伝播できます。ディレクトリ・サーバーとメインフレーム用のほとんどのOracle Identity Managerコネクタには、同様の双方向パスワード同期化機能が装備されています。
プロビジョニングでは、Oracle Identity Managerからターゲット・システムへのユーザー情報の外部へのフローが提供されます。プロビジョニングは、リソースのユーザー情報を作成、変更または削除するためのアクションをOracle Identity Managerで開始し、リソースに渡すプロセスです。プロビジョニング・システムはリソースと通信し、アカウントに適用する変更を指定します。
プロビジョニングには、次のことが含まれます。
ユーザー・アイデンティティおよびユーザー・アカウントのプロビジョニングの自動化: 複数のシステムやアプリケーションにわたってユーザー・アイデンティティとユーザー・アカウントを管理します。たとえば、給与処理部門に勤務する従業員が人事管理システムで作成されると、このユーザーのアカウントが、電子メール・システム、電話システム、会計システムおよび給与レポート・システムにも自動的に作成されます。
ワークフローおよびポリシー管理: これにより、アイデンティティのプロビジョニングが可能になります。管理者は、プロビジョニング・ツールに用意されているインタフェースを使用し、セキュリティ・ポリシーに基づいてプロビジョニング・プロセスを作成できます。
レポートおよび監査: プロビジョニング・プロセスとその実施に関するドキュメントを作成できます。このドキュメントは、監査、法規制およびコンプライアンスのために不可欠なものです。
アテステーション: これにより、管理者はユーザーのアクセス権を定期的に確認できます。
アクセス権のプロビジョニング解除: 企業内でユーザーのアクセス権が不要または無効になった場合、Oracle Identity Managerでは、ロール・ベースまたは属性ベースのアクセス・ポリシーに従い、必要に応じて、または自動的にアクセス権を失効します。つまり、ユーザーのアクセス権は、不要になると即座に停止されます。これにより、セキュリティ・リスクを最小限に抑えるとともに、データ・サービスなど、消費コストの高いリソースに対する無駄なアクセスを防ぐことができます。
組織エンティティは、Oracle Identity Managerの他のエンティティ(ユーザー、ロール、ポリシーなど)の論理的なコンテナを示します。つまり、組織は委任管理モデルに使用できるコンテナです。さらに、Oracle Identity Managerの他のエンティティ(ユーザーなど)のスコープも定義します。Oracle Identity Managerでは、フラットな組織構造または階層的な構造(組織に他の組織を含めることができることを意味する)をサポートしています。階層は、エンティティの管理を容易にするために、部門、地理的な地域または他の論理的な区分を表現できます。
ロールは、Oracle Identity Manager内でアクセス権を割り当てたり、リソースを自動的にプロビジョニングしたり、承認やアテステーションなどの共通のタスクで使用できるユーザーの論理的なグループです。ロールは、組織に依存しないロール、複数の組織にわたるロール、または1つの組織のユーザーのみを含むロールのいずれかです。
