Oracle Identity Manager Generic SCIMコネクタ (Generic SCIMコネクタ)は、Oracle Identity ManagerをSCIMベースのターゲット・システムと統合します。
Oracle Identity Managerは、オンプレミスまたはクラウドにあるアプリケーションに対してセルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Managerはユーザーをリソースに接続し、機密性の高い企業情報を保護するために不正アクセスを失効および制限します。Oracle Identity Managerコネクタは、Oracle Identity Managerと外部のアイデンティティ認識アプリケーション(PeopleSoftやMySQLなど)の統合に使用されます。
次のトピックでは、Generic SCIMコネクタについて説明します。
Generic SCIMコネクタは、Oracle Identity ManagerをSCIMベースのアイデンティティ認識アプリケーションと統合するためのソリューションです。SCIMベースのアイデンティティ認識アプリケーションとは、そのSCIM APIまたはインタフェースをアイデンティティ管理用に公開する任意のアプリケーションのことです。
ノート:
このマニュアルで使用する次の用語の意味を説明します。SCIMベースのアイデンティティ認識アプリケーションを、ターゲット・システムまたはSCIMベースのターゲット・システムと呼びます。
RELEASE_NUMBERはコネクタの現在のリリース番号に対するプレースホルダとして使用されています。そのため、RELEASE_NUMBERが出現したらすべてコネクタのリリース番号に置き換えます。たとえば、11.1.1です。
Oracle Identity Manager Generic SCIMコネクタは、Generic SCIMコネクタと呼ばれています。
Generic SCIMコネクタは、集中型システムによって企業の顧客へのサービスや資産の提供を効率化し、自動化を使用することでこれらのサービスや資産をシンプルで安全かつコスト効率の高い方法で管理します。Generic SCIMコネクタはサービスのプロセスを標準化し、マニュアル・タスクに代わって自動化を実装します。
SCIMベースのターゲット・システムと接続するために、Generic SCIMコネクタは、HTTP基本認証およびOAuth 2.0認証のメカニズムをサポートします。また、このコネクタでは、ユーザーからの入力としてアクセス・トークンおよびリフレッシュ・トークンを使用した、ターゲット・システムへの認証もサポートします。この認証メカニズムは、ターゲット・システムで、アクセス・トークンまたはリフレッシュ・トークンの取得にプログラムを使用したアプローチが提供されない場合に有用な場合があります。
JWT
クライアント資格証明
リソース所有者のパスワード
このコネクタでサポートされる認証タイプが、ターゲット・システムですべてサポートされない場合は、ターゲット・システムでサポートされるカスタム認証を実装できます。このカスタム実装をコネクタに接続するには、このコネクタによって公開されるプラグインを使用します。
Generic SCIMコネクタは、JSON形式でデータを解析するリコンシリエーション操作とプロビジョニング操作を実行して、Oracle Identity ManagerとSCIMベースのターゲット・システム間でデータを同期します。ターゲット・システムでJSON形式でのリクエスト・ペイロードまたはレスポンス・ペイロードがサポートされない場合は、データの解析用に独自の実装を作成できます。このカスタム実装をコネクタに接続するには、このコネクタによって公開されるプラグインを使用します。
Generic SCIMコネクタは、検出されたターゲット・システム用のコネクタです。これは、コネクタが統合するSCIMベースのターゲット・システムのスキーマを前もって知ることができないためです。Generic SCIMコネクタには、アーティファクトは付属していません。かわりに、SCIMベースのターゲット・システムのスキーマを検出したり、アーティファクトを生成したりするために役立つデプロイ・ユーティリティのセットが付属しています。
Oracle Identity ManagerをGeneric SCIMコネクタと統合するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1は、このコネクタで動作保証されているコンポーネントを示します。
表1-1 動作保証されているコンポーネント
項目 | 要件 |
---|---|
Oracle Identity Manager |
Oracle Identity Managerの次のリリースのいずれかを使用できます。
|
ターゲット・システム |
SCIMベースのサービスをサポートする任意のターゲット・システム。 |
コネクタ・サーバー |
|
コネクタ・サーバーJDK |
JDK 1.6以上 |
コネクタでサポートされている言語は次のとおりです。
アラビア語
中国語(簡体字)
中国語(繁体字)
チェコ語
デンマーク語
オランダ語
英語(アメリカ合衆国)
フィンランド語
フランス語
フランス語(カナダ)
ドイツ語
ギリシャ語
ヘブライ語
ハンガリー語
イタリア語
日本語
韓国語
ノルウェー語
ポーランド語
ポルトガル語
ポルトガル語(ブラジル)
ルーマニア語
ロシア語
スロバキア語
スペイン語
スウェーデン語
タイ語
トルコ語
Generic SCIMコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
ICFは、すべてのOracle Identity Managerコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供するコンポーネントです。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFは、Oracle Identity Managerに付属しています。
Generic SCIMコネクタは、前もって知ることができないターゲット・システム用のコネクタのため、メタデータは付属していません。ターゲット・システムのスキーマに応じて、コネクタのデプロイ中にコネクタ・アーティファクトが生成されます。
次に、コネクタ・デプロイメントおよび使用手順が分類される各ステージの概要について説明します。
コネクタの生成
Generic SCIMコネクタには、ターゲット・システムの情報を指定できるgroovyファイルが含まれます。この情報は、メタデータ・ジェネレータによって使用されます。これは、コネクタに付属のデプロイ・ユーティリティの1つで、ターゲット・システムのスキーマに基づいてコネクタを生成するためのものです。
groovyファイルに対してメタデータ・ジェネレータを実行すると、コネクタ・パッケージが生成されます。このパッケージには、アダプタ、プロセス・タスク、スケジュール済タスク、参照定義、ITリソースなどのコネクタ・コンポーネントの定義を含むXMLファイルが含まれます。プロビジョニングやリコンシリエーションなどのコネクタ操作が、これらのコネクタ・コンポーネントを使用して実行されます。XMLファイルとともに、スキーマ・ファイルも含まれています。
コネクタのインストールおよび構成
このステージでは、コネクタ・インストーラを実行して生成済のコネクタをインストールし、ITリソースの構成やロギングの有効化などの構成タスクを実行します。
コネクタの使用
このステージでは、コネクタの使用を開始して、リコンシリエーションやプロビジョニングなどのコネクタ操作を実行します。
Generic SCIMコネクタは、SCIMサービスをサポートする任意のターゲット・システムにOIMを統合するために使用できます。このコネクタを使用して、SCIMサービスのアイデンティティ・データをOIMにロードし、企業内の他のアイデンティティ認識アプリケーションと統合されたサイクルでアイデンティティを効率的に管理できます。
Oracle Identity Manager Generic SCIMコネクタは、若干の簡単な構成で、ほとんどのSCIMベースのターゲット・システムの統合に役立つ再利用可能なフレームワークを提供します。このコネクタを使用して、SCIMサービスのアイデンティティ・データをOracle Identity Managerにロードし、企業内の他のアイデンティティ認識アプリケーションと統合されたサイクルでアイデンティティを効率的に管理できます。
各アプリケーションに対するポイントツーポイントのコネクタを識別してデプロイするための時間と労力がかかる。
各アプリケーション用のコネクタの管理および保守のためのオーバーヘッドが増える。
ポイントツーポイントのコネクタを、すべてのアプリケーションには設定できない。このようなシナリオでは、カスタム・コネクタの開発が必要になり、このカスタム・コネクタの開発、デプロイおよびテストの時間と手間が増える。
これに代わるアプローチは、Generic SCIMコネクタを使用することです。Generic SCIMコネクタはすべてのクラウド・アプリケーションをOracle Identity Managerに統合するために使用できます。Generic SCIMコネクタが提供する機能を使用すると、クラウド・アプリケーションごとにカスタム・コネクタを構築するための追加リソースや時間を費やすことなく、すべてのクラウド・アプリケーションのアカウントを管理できます。
Generic SCIMコネクタは、アイデンティティ管理のために、企業がオンプレミスのOracle Identity Managerデプロイメントを活用してターゲット・システムと統合するために役立つハイブリッドのアプローチです。これらのターゲット・システムには、SaaSアプリケーション、PaaSアプリケーション、自社製アプリケーションなど、SCIM APIを公開する任意のアプリケーションが含まれます。
Generic SCIMコネクタを使用するいくつかのシナリオ例を次に示します。
ユーザー管理
Generic SCIMコネクタは、システムのユーザーを定義し、それらのユーザーをグループに割り当てて、クラウド・サービスにアクセスできる個人を管理します。このコネクタでは、ITによる管理を可能にしながら、Generic SCIMクラウド・サービスで新しいユーザーが自己プロビジョニングを行うことを許可します。ユーザーは、Oracle Identity Manager管理者が確立したクラウドベースのリソースのカタログに基づいて、リクエストおよびプロビジョニングを行えます。たとえば、ターゲット・システムで新規ユーザーを作成する場合は、Oracle Identity Managerのプロセス・フォームに入力して送信し、プロビジョニング操作をトリガーします。コネクタではターゲット・システムに対して作成操作を実行し、この操作の実行が成功するとユーザーが作成されます。同様に、削除や更新といった操作も実行できます。
権限の管理
Generic SCIMコネクタは、クラウド・サービス・オブジェクト(ターゲット・システムによって公開されている場合)を権限として管理します。使用するターゲット・システムによっては、このコネクタは、グループ、ロール、ライセンス、フォルダ、コラボレーションなどの権限を管理するために使用できます。たとえば、Oracle Identity Managerで事前に定義されたアクセス・ポリシーに基づいて、Generic SCIMコネクタを使用してユーザーに自動的にグループを割り当てるまたは取り消すことができます。同様に、Generic SCIMコネクタを使用して、クラウド・サービスの特定の機能やグループへの選択的なアクセス権を付与するロール・メンバーシップを管理できます。このため、新しいユーザーに特定のロールが追加されると、それらのユーザーは各アプリケーション内で対応するアクセス権を自動的に得ることになります。管理者はこのコネクタを使用して、すべての使用可能なリソースのユーザー・ライセンスを効果的に管理できます。Oracle Identity Managerの監査およびレポート・ツールを利用することで、新規アカウントを作成する際のライセンスの割当てを自動化できます。また、ライセンスの割当てと使用は変化する組織のニーズに応じて監視できるほか、使用されていないライセンスを再利用目的で追跡できます。
コネクタの機能には、完全および増分リコンシリエーション、制限付きリコンシリエーション、カスタム認証、カスタム解析、カスタム・ペイロード、複数エンドポイントURLおよびSSL通信の処理が含まれます。
Generic SCIMコネクタにはgroovyファイル(メタデータ・ジェネレータの一部)が含まれます。これを使用すると、コネクタを信頼できるソース・モードまたはターゲット・リソース・モードのいずれかで実行できるようになります。
「GenericScimConfiguration.groovyファイルの構成」を参照してください。
コネクタを作成したら、完全リコンシリエーションを実行して、ターゲット・システムに存在するすべてのユーザー・データをOracle Identity Managerにインポートします。最初の完全リコンシリエーション実行後に、増分リコンシリエーション用にコネクタを構成できます。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Managerにフェッチされます。
ノート:
コネクタでは、ターゲット・システムにオブジェクトの作成または変更のタイムスタンプが格納される属性が含まれている場合に、増分リコンシリエーションをサポートします。「完全リコンシリエーションおよび増分リコンシリエーション」を参照してください。完全リコンシリエーションはいつでも実行できます。
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。リコンシリエーション実行時に、Oracle Identity Managerにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
リコンシリエーション・フィルタをスケジュール済ジョブの「フィルタ」属性の値として設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。「Generic SCIMコネクタの制限付きリコンシリエーション」を参照してください。
Generic SCIMコネクタでは、デフォルトで、HTTP基本認証およびOAuth 2.0認証のメカニズムがサポートされます。また、このコネクタでは、ユーザーが入力としてアクセス・トークンおよびリフレッシュ・トークンを指定する認証メカニズムもサポートされます。OAuth 2.0認証メカニズムでサポートされる権限タイプはJWT、クライアント資格証明、およびリソース所有者のパスワードです。
ターゲット・システムが、コネクタでサポートされない認証メカニズムのいずれかを使用する場合は、このコネクタによって公開されているプラグインを使用して、カスタム認証用に独自の実装を作成できます。「カスタマイズされた認証の実装」を参照してください。
Generic SCIMコネクタでは、デフォルトでJSON形式のみのリクエスト・ペイロードおよびレスポンス・ペイロードがサポートされます。ターゲット・システムでJSON形式でのリクエスト・ペイロードまたはレスポンス・ペイロードがサポートされない場合は、このコネクタによって公開されているプラグインを使用して、カスタムの解析ロジックを実装できます。
「カスタム解析の実装」を参照してください。
Generic SCIMコネクタは、標準のJSON形式を順守しないペイロード内の任意の属性に対するカスタム形式の処理をサポートします。これは、customPayload ITリソース・パラメータの値を指定することで実現します。
ターゲット・システムで任意のSCIMコールに追加のまたはカスタムのHTTPヘッダーが必要な場合は、これらのHTTPヘッダーをcustomAuthHeadersまたはcustomAuthHeadersのITリソース・パラメータの値として挿入できます。「追加の構成パラメータ」を参照してください。
Generic SCIMコネクタでは、オブジェクト・クラスのベース・エンドポイントURL以外のエンドポイントを通じてのみ管理できるオブジェクト・クラス(ユーザー・オブジェクト・クラスなど)の属性を処理できます。たとえば、特定のターゲット・システムには、ベース・エンドポイントURLを使用して管理できる、ユーザー・オブジェクト・クラスの属性があります。しかし、一部の属性(電子メールの別名など)は、別のエンドポイントURLを使用してのみ管理できます。コネクタは、オブジェクト・クラスに関連付けられているすべてのエンドポイントURLを処理するためのサポートを提供しています。
これは、このような属性のエンドポイントURLの詳細を、relURIs ITリソース・パラメータに指定することで実現します。
Oracle Identity ManagerとSCIMベースのターゲット・システムの間にSSL通信を構成できます。
セキュアな通信の構成の詳細は、Generic SCIMコネクタのSSLの構成を参照してください。
コネクタのデプロイおよび使用についての、このガイドで使用可能な情報の構成を次に示します。
このガイドの残りは、次の章で構成されています。
Generic SCIMコネクタの生成では、groovyファイルを構成し、メタデータ・ジェネレータを実行してコネクタを生成するために実行する必要のある手順について説明します。
Generic SCIMコネクタのインストールおよび構成では、コネクタ・インストールの各ステージで実行する必要のある手順について説明します。
Generic SCIMコネクタの使用では、コネクタの使用に関するガイドラインと、リコンシリエーションの実行を構成する手順およびプロビジョニング操作を実行する手順について説明します。
Generic SCIMコネクタの機能拡張では、コネクタの機能を拡張する場合に実行できる手順について説明します。
Generic SCIMコネクタのファイルおよびディレクトリでは、コネクタ・インストール・メディアを構成するファイルとディレクトリをリストします。