Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。Oracle Identity Managerコネクタは、Oracle Identity Managerと外部のアイデンティティ認識アプリケーションの統合に使用されます。このガイドでは、SSHまたはTelnetプロトコルを使用して、Oracle Identity ManagerをUNIXベースのターゲット・システムと統合できるようにするコネクタについて説明します。このコネクタにより、Oracle Identity Managerのアイデンティティ・データの管理された(ターゲット)リソースまたは認証された(信頼できる)ソースとしてターゲット・システムを使用できます。
コネクタのアカウント管理(ターゲット・リソース)モードでは、ターゲット・システム上で直接作成または変更されたユーザーに関する情報をOracle Identity Managerにリコンサイルできます。また、Oracle Identity Managerを使用して、ターゲット・システムでプロビジョニング操作を実行できます。
コネクタのアイデンティティ・リコンシリエーション(信頼できるソース)構成では、ユーザーはターゲット・システム上でのみ作成または変更され、これらのユーザーに関する情報がOracle Identity Managerにリコンサイルされます
この章の構成は、次のとおりです。
ノート:
このガイドでは、Oracle Identity Managerサーバーという用語は、Oracle Identity Managerがインストールされているコンピュータを意味します。
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1に、このコネクタで動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
コンポーネント | 要件 |
---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
Oracle Identity Managerの次のリリースのいずれかを使用できます。
|
ターゲット・システム |
ターゲット・システムは、次のオペレーティング・システムのいずれかです。
ノート: SSHおよびTelnetプロトコルをサポートする、その他のUNIXベースのオペレーティング・システムのコネクタを構成および使用することもできます。詳細は、「新しいターゲット・システムに対するコネクタの構成」を参照してください。 |
コネクタ・サーバー |
11.1.2.1.0 |
コネクタ・サーバーのJDK |
JDK 1.6 Update 24以降またはJRockit JDK 1.6 Update 24以降 |
外部コード |
Expect4j (expect4j-1.0.jar)は、ターゲット・システムでコマンドまたはスクリプトに接続および実行するのに使用するサードパーティAPIです。 これはコネクタ・インストール・バンドルに次の依存ライブラリとともに含まれています。
|
その他のシステム |
OpenSSH、OpenSSL、オペレーティング・システム・パッチ(HP-UX)およびSUDOソフトウェア(SUDO Adminモードが必要な場合のみ)。 |
ターゲット・システムのユーザー・アカウント |
使用しているターゲット・システムにより、ターゲット・システム・ユーザー・アカウントは次のいずれかです。
ITリソースを構成する際に、このユーザー・アカウントの資格証明を指定します。 |
ターゲット・システムでサポートされている文字エンコーディング |
ターゲット・システムでデフォルトのC (POSIX)ロケールがサポートされている必要があります。 次のコマンドを使用すると、ターゲット・システムでサポートされているロケールを確認できます。
|
ノート:
コネクタにはターゲット・システムにスクリプトを実行するためのshシェルが必要です。そのため、コネクタはコマンドの実行前にshに切り替えます。
loginUser基本構成パラメータに示されたユーザー・アカウントにshへのアクセス権があり、そのユーザー・アカウントがshに切り替えられる場合、元のログイン・シェルに制限はありません。
使用しているOracle Identity Managerバージョンに応じて、次のコネクタのいずれかをデプロイして使用する必要があります。
Oracle Identity Managerリリース9.1.0.1以降で、Oracle Identity Manager 11gリリース1 BP02 (11.1.1.5.2)より前のバージョンを使用している場合は、このコネクタのバージョン9.0.4を使用します。
Oracle Identity Manager 11gリリース1 BP02 (11.1.1.5.2)以降、Oracle Identity Manager 11gリリース2 BP04 (11.1.2.0.4)以降、またはOracle Identity Manager 11gリリース2 PS3 (11.1.2.3.0)を使用している場合は、このコネクタの最新の11.1.1.xバージョンを使用してください。
コネクタでサポートされている言語は次のとおりです。
アラビア語
中国語(簡体字)
中国語(繁体字)
チェコ語
デンマーク語
オランダ語
英語
フィンランド語
フランス語
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ノルウェー語
ポーランド語
ポルトガル語
ポルトガル語(ブラジル)
ルーマニア語
ロシア語
スロバキア語
スペイン語
スウェーデン語
タイ語
トルコ語
ノート:
ただし、一部のフィールドではマルチバイト・キャラクタのエントリがサポートされません。
UNIXコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
コネクタにより、Oracle Identity Managerを介してターゲット・システム・アカウントを管理できます。図1-1に、コネクタのアーキテクチャを示します。
コネクタのアーキテクチャは、サポートしているコネクタ操作の観点から説明できます。
このコネクタは、信頼できるソース・リコンシリエーションまたはターゲット・リソース・リコンシリエーションを実行するように構成できます。
ターゲット・リソースとしてターゲット・システムを構成する場合、コネクタにより、プロビジョニングを介してOIMユーザーのターゲット・アカウントを作成および管理できます。また、新たに作成または変更されたターゲット・システム・アカウントに関連するデータをリコンサイルして、既存のOIMユーザーやプロビジョニングされたリソースにリンクすることができます。
ターゲット・システムを信頼できるソースとして構成した場合、コネクタによって、新しく作成されたまたは変更されたターゲット・システム・アカウントに関するデータがOracle Identity Managerにフェッチされます。このデータは、OIMユーザーを作成または更新する際に使用されます。
関連項目:
ターゲット・リソース・リコンシリエーションおよび信頼できるソース・リコンシリエーションに関する概念的な情報は、『Oracle Fusion Middleware Oracle Identity Managerの管理』のリコンサイル対象オブジェクトに基づくリコンシリエーションに関する項を参照してください。
リコンシリエーションで行われるステップの概要を次に示します。
指定した時刻または間隔でスケジュール済タスクが実行されます。このスケジュール済タスクには、実行するリコンシリエーション(信頼できるソースまたはターゲット・リソース)のモードの詳細が含まれます。
Expect4jサードパーティ・ライブラリを使用して、スケジュール済タスクによってターゲット・システムとの接続が確立されます。
スケジュール済タスクは次のタスクを実行します。
タスク属性に設定した値を読み取ります。
/etc/passwd、/etc/shadowおよびそれに対応するミラー・ファイルでの相違を読み取り、Oracle Identity Managerにフェッチするユーザー・レコードを特定します。
ユーザー・レコードをOracle Identity Managerにフェッチします。
ターゲット・システムを信頼できるリソースとして構成した場合、次のようになります。
ターゲット・システムからフェッチされた各ユーザー・レコードが、既存のOIMユーザーと比較されます。この比較プロセスでリコンシリエーション・ルールが適用されます。リコンシリエーション・ルールの詳細は、「信頼できるソース・リコンシリエーションのリコンシリエーション・ルール」を参照してください。
ターゲット・システムとOIMユーザーの一致が見つかった場合、ターゲット・システム・レコードに対して行われた変更内容でOIMユーザー属性が更新されます。
ターゲット・システム・レコードとOIMユーザーの一致が見つからない場合、ターゲット・システム・レコードを使用してOIMユーザーが作成されます。
ターゲット・システムをターゲット・リソースとして構成した場合、次のようになります。
ターゲット・システムからフェッチされた各ユーザー・レコードが、OIMユーザーに割り当てられている既存のターゲット・システム・リソースと比較されます。この比較プロセスでリコンシリエーション・ルールが適用されます。リコンシリエーション・ルールの詳細は、「ターゲット・リソース・リコンシリエーションのリコンシリエーション・ルール」を参照してください。
ターゲット・システム・レコードとOIMユーザーにプロビジョニングされたリソースの一致が見つかった場合、ターゲット・システム・レコードに対して行われた変更内容でデータベース・ユーザー・リソースが更新されます。
ターゲット・システムのレコードとOIMユーザーにプロビジョニングされたリソースの一致が見つからない場合、ターゲット・システムのユーザー・レコードが既存のOIMユーザーと比較されます。次のステップは、比較の結果によって異なります。
一致する場合、ターゲット・システムのレコードが使用され、リソースがOIMユーザーのためにプロビジョニングされます。
一致しない場合、リコンシリエーション・イベントのステータスが「一致するものが見つかりません」に設定されます。
プロビジョニングでは、ユーザー・アカウントが作成および管理されます。UNIXリソースをOIMユーザーに割り当てる(プロビジョニングする)と、その操作の結果として、そのユーザーのアカウントがターゲット・システムで作成されます。同様に、Oracle Identity Managerでリソースを更新すると、ターゲット・システムのアカウントが同じように更新されます。
プロビジョニング・プロセスは次のいずれかのイベントを介して開始できます。
直接プロビジョニング
Oracle Identity Managerの管理者は管理およびユーザー・コンソールを使用して、ユーザーのターゲット・システム・アカウントを作成します。
アクセス・ポリシーの変更によって引き起こされるプロビジョニング
ターゲット・システムのアカウントに関連するアクセス・ポリシーが変更されます。変更されたアクセス・ポリシーは、適用対象のすべてのユーザーについて再評価されます。
リクエストベースのプロビジョニング
リクエストベースのプロビジョニングでは、個人がターゲット・システム・アカウントのリクエストを作成します。必要な権限を持つOIMユーザーがリクエストを承認して、リクエストしたユーザーにターゲット・システム・アカウントをプロビジョニングすると、プロビジョニング・プロセスが完了します。
プロビジョニング操作中に、アダプタはプロセス・フォームを介して送信されたプロビジョニング・データをExpect4jサードパーティ・ライブラリに送信し、さらにそのプロビジョニング・データをターゲット・システムに送信します。ユーザー・アカウント・メンテナンス・コマンドはアダプタからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをアダプタに返します。アダプタはOracle Identity Managerにレスポンスを返します。
この項では、コネクタでサポートされているプロビジョニング機能を示します
表1-2にリストされているのはプロビジョニング機能で、「アダプタ」列には、機能が実行されるときに使用されるアダプタの名前が記載されています。
表1-2 プロビジョニング機能
機能 | アダプタ |
---|---|
ユーザーの作成 |
UNIXCreateUser |
ユーザーの削除 |
UNIXDeleteUser |
ユーザーの無効化 |
UNIXDisableUser |
ユーザーの有効化 |
UNIXEnableUser |
有効期限の更新 |
UNIXUpdateUser |
GECOSの更新 |
UNIXUpdateUser |
ホーム・ディレクトリの更新 |
UNIXUpdateUser |
非アクティブ日の更新 |
UNIXUpdateUser |
パスワードの更新 |
UNIXUpdateUser |
プライマリ・グループの更新 |
UNIXUpdateUser |
セカンダリ・グループの削除 |
UNIXUpdateChildTableValues |
セカンダリ・グループの挿入 |
UNIXUpdateChildTableValues |
セカンダリ・グループの更新 |
UNIXUpdateChildTableValues |
UIDの更新 |
UNIXUpdateUser |
ユーザー・ログインの更新 |
UNIXUpdateUser |
ユーザー・シェルの更新 |
UNIXUpdateUser |
コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、および制限付きリコンシリエーションが含まれます。
このコネクタの機能は次のとおりです。
UNIXベースのターゲット・システムに接続するために、SSHとTelnetプロトコル間で切り替えることができます。ITリソースのconnectionTypeパラメータを使用して、接続タイプを指定できます。
このコネクタでは次の接続タイプがサポートされます。
SSH - これがデフォルトの接続です。パスワードベースの認証を使用するSSHで使用されます。
SSHPUBKEY - キーベースの認証を使用するSSHで使用されます。
TELNET - Telnet接続で使用されます。
関連する情報は、「ターゲット・システムのITリソースの構成」を参照してください。
UNIXコネクタがデプロイされているコンピュータでスクリプトを実行できます。追加のUNIXのフレーバをサポートするためにカスタム・スクリプトを構成できます。
アカウントのプロビジョニング操作の作成、更新または削除の前または後で実行するスクリプトを構成できます。たとえば、コネクタによりユーザーが作成される前に実行するスクリプトを構成できます。詳細は、「アクション・スクリプトの構成」を参照してください。
カスタム・スクリプトの使用により、追加のUNIXのフレーバをサポートするためのコネクタを構成できます。
カスタム・スクリプトの使用により、追加のUNIXのフレーバをサポートするためのコネクタを構成できます。
デフォルトでは、コネクタはAIX、HP-UX、LinuxおよびSolarisをサポートする事前構成済のスクリプトを使用します。追加のUNIXのフレーバをサポートするこれらのスクリプトをカスタマイズできます。詳細は、「新しいターゲット・システムに対するコネクタの構成」を参照してください。
コネクタはUNIXの複数のバージョンおよび複数のインスタンスをサポートします。
単一のコネクタ・バンドルをOracle Identity Managerにデプロイし、UNIXの複数のインスタンスおよび複数のバージョンを作成できます。この場合、Oracle Identity Managerを使用して、これらのターゲット・システムでアカウントを管理できます。詳細は、「ターゲット・システムの複数のバージョンおよび複数のインスタンスに対するコネクタの構成」を参照してください。
コネクタを使用して、ターゲット・システムをOracle Identity Managerの信頼できるソースまたはターゲット・リソースとして構成できます。
詳細は、「リコンシリエーションの構成」を参照してください。
コネクタをデプロイした後は、完全リコンシリエーションを実行して、すべての既存ユーザー・データをターゲット・システムからOracle Identity Managerに移動できます。初回の完全リコンシリエーションの実行後、次のユーザー・リコンシリエーションの実行から増分リコンシリエーションが自動的に有効になります。
完全リコンシリエーションはいつでも実行できます。詳細は、完全リコンシリエーションを参照してください。
リコンシリエーション・フィルタをユーザー・リコンシリエーションのスケジュール済タスクの「フィルタ」属性の値として設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。
詳細は、制限付きリコンシリエーションを参照してください。
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。
詳細は、バッチ・リコンシリエーションを参照してください。
このリリース以降では、コネクタはユーザー・アカウント・ステータス情報をターゲット・システムからリコンサイルできます。
リコンシリエーションおよびプロビジョニング用のカスタム属性を追加する場合、「ターゲット・リソース・リコンシリエーション用のカスタム属性の追加」および「プロビジョニング用のカスタム属性の追加」に記載された手順を実行します。
リコンシリエーション中にOracle Identity Managerに渡されたデータの変換を構成できます。
詳細は、「ユーザー・リコンシリエーション中のデータ変換の構成」を参照してください。
リコンシリエーションおよびプロビジョニング操作から除外する必要のあるアカウントのリストを指定できます。
除外リストで指定したユーザーIDを持つアカウントは、リコンシリエーションおよびプロビジョニング操作による影響を受けません。
「リソース除外リストの構成」では、この参照定義へのエントリの追加の手順について説明します。
コネクタでは、Oracle Identity Managerとターゲット・システム間のリコンシリエーション用に属性マッピングのデフォルト・セットが提供されています。必要な場合には、リコンシリエーション用に新規ユーザーまたはグループ属性を追加できます。
表1-3に、ターゲット・リソース・リコンシリエーションおよびプロビジョニング用のユーザー属性のマッピングに関する情報を示します。
表1-3 ターゲット・リソース・リコンシリエーションおよびプロビジョニング用のユーザー属性
プロセス・フォーム・フィールド | ターゲット・システム・フィールド | 説明 |
---|---|---|
ユーザー・ログイン |
ユーザー・ログイン |
印刷可能な文字の文字列として指定される新規のログイン名。 |
パスワード |
passwd |
パスワード パスワード・フィールドの長さは32文字である必要があります。 プロビジョニング時にパスワードに使用できる特殊文字は次のとおりです。
|
セカンダリ・グループ名 |
追加グループ |
ユーザーがメンバーでもある追加グループのリスト。 |
ユーザーUID |
uid |
ユーザーIDの数値。 ノート: このエントリは空白にしておくことをお薦めします。ターゲット・システムは自動的にUIDを割り当てます。 |
プライマリ・グループ名 |
初期グループ |
ユーザーの初期ログイン・グループのグループ名または数値 ノート: 「プライマリ・グループ」はnullに更新できません。 |
デフォルト・シェル |
シェル |
ユーザーのログイン・シェル |
GECOS |
コメント |
通常、ログインの概略。 ユーザーの完全名のフィールドとして使用します。この情報は、ユーザーの/etc/passwdファイル・エントリに格納されます。 ノート: マルチバイト・キャラクタのエントリは、この属性でサポートされています。 |
ホーム・ディレクトリ |
ホーム・ディレクトリ |
新規ユーザーのログイン・ディレクトリ。 最終的なホーム・ディレクトリ名は、ログイン名をこのフィールドに指定されたホーム・ディレクトリに追加して取得します。 たとえば、ログイン名がjdoeの場合、ターゲットで予期される実際のホーム・ディレクトリは |
有効期限 |
有効期限 |
ユーザー・アカウントが無効になる日付。 ノート: AIXでは、このフィールドはリコンサイルされません。 |
スケルトン・ディレクトリ |
スケルトン・ディレクトリ |
新規ログインのホーム・ディレクトリにコピーできる情報を含むスケルトン・ディレクトリを指定します。 既存のディレクトリを指定する必要があります。システムは、この目的のために使用できるスケルトン・ディレクトリ/etc/skelを提供します。 |
非アクティブ日 |
非アクティブ日 |
パスワードが期限切れになり、アカウントが無効になるまでの日数。 ノート: AIXでは、このフィールドはプロビジョニングもリコンサイルもされません。 |
コネクタでは、Oracle Identity Managerとターゲット・システム間のリコンシリエーション用に属性マッピングのデフォルト・セットが提供されています。
表1-4に、信頼できるソース・リコンシリエーションのユーザー属性を示します。
表1-4 信頼できるソース・リコンシリエーションのユーザー属性
OIMユーザー・フォームのフィールド | ターゲット・システムの属性 | 説明 |
---|---|---|
ユーザーID |
UserLogin |
UserLogin |
姓 |
UserLogin |
姓 |
従業員タイプ |
該当なし |
デフォルト値: |
ユーザー・タイプ |
該当なし |
デフォルト値: |
組織 |
該当なし |
デフォルト値: |
TrustedStatus[TRUSTED] |
フラグ(ロック/ロック解除) |
ユーザー・ステータス |
次に、このマニュアルの次の章以降の構成を示します。