Identity Governance Framework (IGF)イニシアチブは、ユーザー、アプリケーションおよびサービス・プロバイダ間でのアイデンティティ関連情報の安全な受渡しを実現します。また、アプリケーションおよびサービス・インフラストラクチャにプライバシと管理のセマンティクスを提供します。この章では、Identity Governance Frameworkの概要、およびOracleが提供している関連の開発者向けAPIについて説明します。この章の内容は次のとおりです。
Identity Governance Frameworkは、次の目標を実現するために設計されたオープン・イニシアチブです。
格納場所に関係なく、アイデンティティ情報へのアクセス方法の開発を簡易化すること。
アプリケーションでのアイデンティティ・データ(特に、機密データ)の使用方法の管理(ガバナンスとも呼ばれる)を簡易化すること。
このイニシアチブの一員として、オラクル社は主な初期の仕様を提供し、コミュニティで使用できるようにしています。これらの仕様では、使用法のポリシー、属性要件およびアイデンティティ関連の情報の使用に関係する開発者APIを定義するための共通のフレームワークが提供されます。これらによって、ビジネスは、システムおよびアプリケーション全体でのアイデンティティ関連のデータの使用、格納および伝播に関して、ドキュメント化、制御および監査を完全に行うことができます。
この項の内容は、次のとおりです。
組織は、顧客、従業員および取引先に関する個人の機密情報の制御と保全を保つ必要があります。社会保障番号、クレジット・カード番号、病歴などに関連するデータは、この種の情報の悪用や盗用を防ぐよう求める規制によって一層の注意が求められています。プライバシに配慮する組織が、業務の妨げとなったり、生産性、柔軟性および効率に影響するような過度に厳格な制御とプロセスを施行してこれらの要求に応えようとすることが多々あります。反対に、この情報を保護するために必要な措置をとらず、十分な監視と制御を行わずにアイデンティティ関連のデータを潜在的に危険な状態にする組織もあります。Identity Governance Frameworkによって、エンタープライズ用の標準ベースのメカニズムで、アプリケーション間で"契約"を結び、データが悪用されたり、危険にさらされたり、置き違えられたりしないという信頼性のもと、アイデンティティ関連の情報を安全に共有できます。このフレームワークを使用すると、組織は、ビジネス全体でのアイデンティティ情報の格納、使用および伝播のされ方を完全に可視化できます。これによって、組織は、アイデンティティ関連の情報の機密性を損なうことなく、ビジネス・プロセスを効率化するための制御を自動化できます。
Identity Governance Frameworkは、アプリケーションを記述する際のアイデンティティ関連のデータの処理方法の指定について取り決められたプロセスです。これによって、このデータを使用するアプリケーションを簡単に記述し、管理ポリシーを使用して制御できるようにする標準ベースの方法が開発者に提供されます。このことにより、プライバシを考慮したアプリケーションを短期間で開発できるようになります。
IGFによって、アイデンティティに対応するアプリケーションをデプロイ・インフラストラクチャから切り離すことができます。具体的には、IGFを使用すると、開発者は、アイデンティティ関連の情報の格納方法およびアプリケーションによるアクセス方法の決定を遅らせることができます。開発者は、SQLデータベースを使用するか、LDAPディレクトリを使用するか、あるいは他のシステムを使用するかについて悩む必要がなくなります。過去には、開発者は特異性の高いコードの記述を余儀なくされ、テクノロジとベンダーの固定化につながっていました。
たとえば、アイデンティティ・ディレクトリAPIは、ドメイン・アイデンティティ・ストアであるディレクトリ・サーバー内でアイデンティティ情報にアクセスし、管理する方法を提供します。エンティティ定義、エンティティ・リレーションシップ、およびその物理的なアイデンティティ・ストアの詳細は、アイデンティティ・ディレクトリの構成APIまたはMbeanを使用して構成できます。Identity Directory Serviceの初期化にはアイデンティティ・ディレクトリAPIを使用します。Identity Directory Serviceは、異なるアイデンティティ・ストアに格納されているユーザーおよびグループ情報にアクセスし、それらを変更するためのインタフェースを提供します。詳細は、第2章「アイデンティティ・ディレクトリAPIの使用」を参照してください。
別の例として、ArisID APIがあります。アイデンティティベースの情報については、データの取得、変換およびポリシーの強制といった難しい処理がArisID APIによって行われます。Client Attribute Requirement Markup Language (CARML)ファイルと宣言を使用することで、継続的に専門的な開発者の増強を必要とせずに、様々な環境での柔軟なデプロイがアプリケーションによってサポートされます。詳細は、第3章「ArisID APIの使用」を参照してください。
Oracleでは、Identity Governance Frameworkベースの次のAPIを提供しています。
アイデンティティ・ディレクトリAPI
アイデンティティ・ディレクトリAPIは、アイデンティティ情報にアクセスして管理するアイデンティティ管理アプリケーションのための共通サービスです。このサービスはJava EEおよびJava SEの両方のモードで使用できます。詳細は、第2章「アイデンティティ・ディレクトリAPIの使用」を参照してください。
ArisID API
ArisID APIは、エンタープライズ開発者とシステム設計者に、複数のアイデンティティ・プロトコルを使用したアイデンティティ対応のアプリケーションを作成するためのライブラリを提供します。ArisID APIでは、開発者は、Client Attribute Requirements Markup Language (CARML)を使用して、アイデンティティの属性、ロールおよび検索フィルタの要件を指定できます。詳細は、第3章「ArisID APIの使用」を参照してください。
ハードウェアとソフトウェアの要件、プラットフォーム、データベースおよびその他の情報の詳細は、システム要件と動作要件のドキュメントを参照してください。いずれのドキュメントもOracle Technology Network (OTN)から入手できます。
システム要件のドキュメントには、ハードウェアとソフトウェアの要件、ディスク領域とメモリーの最小要件、必要なシステム・ライブラリ、パッケージまたはパッチなどの情報が記載されています。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-requirements-100147.html
動作要件のドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサードパーティ製品が記載されています。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html