Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-03 |
|
前 |
次 |
この章では、Oracle Identity Management統合とそのコンポーネント、構造および管理ツールの概要について説明します。
この章は、次の項目を含みます。
関連項目: Oracle Identity Management統合のデプロイの例は、付録C「事例: Oracle Directory Integration Platformのデプロイ」を参照してください。 |
Oracle Directory Integration Platformでは、アプリケーションおよびディレクトリ(サード・パーティのLDAPディレクトリを含む)をマスター・バックエンド・ディレクトリと統合することによって、管理にかかる時間とコストを削減できます。Oracle Directory Integration Platform(DIP)では、Oracle Internet Directory、Oracle Unified DirectoryまたはOracle Directory Server Enterprise Editionのいずれかをバックエンド・ディレクトリとして使用することをサポートします。
Oracle Directory Integration Platformは、次のような目的を達成するために使用します。
Oracle Human ResourcesとOracleバックエンド・ディレクトリで従業員レコードの整合性を維持すること。Oracle Directory Integration Platformでは、Oracle Directory Synchronization Serviceによりこの同期化を行います。
変更がOracleバックエンド・ディレクトリに適用されるたびに、Oracle Application Server Portal(Oracle Portal)などのLDAP対応アプリケーションに通知すること。Oracle Directory Integration Platformでは、Oracle Directory Integration Platform Provisioning Serviceによりこの通知を行います。
統合処理全体を通して、Oracle Directory Integration Platformは、アプリケーションとその他のディレクトリが確実な方法で必要な情報をやりとりすることを保証します。
次に示すような、様々なディレクトリと統合できます。
Microsoft Active Directory 2003および2008
Windows 2003上のSP1適用済Active Directory Application Mode(ADAM)バージョン1(Microsoft Active Directory Lightweight Directory Service(AD LDS))
Oracle Directory Server Enterprise Edition(ODSEE)11gR1(11.1.1.3+)(以前のSun Java System Directory Server)
Novell eDirectory 8.8
OpenLDAP 2.2
IBM Tivoli Directory Server 6.2
Oracle Unified Directory 11gR1(11.1.1.5+)
関連項目: サポートされているディレクトリの完全なリストは、次のURLから入手できるOracle Fusion Middleware 11gR1のシステム要件とサポート対象プラットフォームの動作保証マトリックスを参照してください。
「FMW on WLS - Id&Access」タブをクリックし、「LDAP Certifications for Oracle Fusion Middleware 11gRelease1(11.1.1.x)」ヘッダーの下に表示される「Directory Integration Platform(DIP)」行を参照してください。 |
たとえば、Oracle Fusion Middleware環境では、Oracleコンポーネントへのアクセスは、Oracleディレクトリに格納されているデータに基づいて行いますが、企業の中央ディレクトリとしてMicrosoft Active Directoryも使用できます。これらのディレクトリのユーザーがOracleコンポーネントにアクセスできるのは、Oracle Directory Integration Platformにより、Microsoft Active Directory内のデータを、Oracle Internet Directory、Oracle Unified DirectoryまたはOracle Directory Server Enterprise Edition内のデータと同期化できるためです。
Oracle Directory Integration Platformは、他のOracle Identity Managementコンポーネントと同時に同じホスト(サーバー)にインストールしたり、他のOracle Identity Managementコンポーネントとは別に、スタンドアロン・インスタンスとして単独でホスト・システムにインストールできます。これは、たとえば、J2EEベースのコンポーネント(DIP、ODSM、FMWコントロールなど)を、専用サーバーの専用WebLogicドメインで個別に管理する場合に当てはまります。
Oracle Directory Integration Platformのスタンドアロン・インスタンスをインストールするには、まずOracle Internet Directory、Oracle Unified DirectoryまたはOracle Directory Server Enterprise Editionコンポーネントをインストールする必要があります。次のような状況では、Oracle Directory Integration Platformのスタンドアロン・インスタンスをインストールする必要があります。
Oracle Directory Integration Platformを別のアプリケーション・サーバー・インスタンスにインストールする必要がある場合
プロビジョニングおよび同期化が必要なアプリケーションに、集中的な処理が必要な場合
高可用性のために複数のOracle Directory Integration Platformインスタンスを実行する必要がある場合
関連項目: Oracle Directory Integration Platformのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。 |
同期は、アプリケーションではなくディレクトリを扱います。Oracleバックエンド・ディレクトリと他の接続ディレクトリの両方に存在するエントリおよび属性の一貫性を確保します。
注意: 同期とレプリケーションは、同義ではありません。レプリケーションは、同一ベンダーのディレクトリ間でのデータ処理に対して使用されます。一方、同期では、DIPによって提供される変換およびマッピング・ルールに基づき、バックエンド・ディレクトリ(メタディレクトリ)とすべてのサード・パーティの接続ディレクトリ間で同期を保つ必要があるデータをより詳細に制御できます。 |
プロビジョニングは、アプリケーションを扱います。アプリケーションで追跡が必要なユーザーやグループのエントリまたは属性への変更を通知します。
この項の内容は次のとおりです。
同期によって、Oracleバックエンド・ディレクトリと接続ディレクトリの間で変更を調整できます。すべてのディレクトリが最新のデータのみを使用し、提供するためには、その他の接続ディレクトリでの変更がすべて各ディレクトリに伝達される必要があります。同期は、プロビジョニングによって更新されたデータも含めて、ディレクトリ情報に対する変更の一貫性を確保します。
単一のDirectory Integration Platformサービスにより、複数の接続ディレクトリとOracleバックエンド・ディレクトリ間の同期作業を同時に処理できます。追加のディレクトリをOracleバックエンド・ディレクトリに接続するには、その特定のディレクトリ用に同期プロファイルを作成します。このプロファイルによって、Oracleバックエンド・ディレクトリと接続ディレクトリとの間で同期化されるデータの書式と内容が指定されます。同期プロファイルを作成するには、manageSyncProfiles
ユーティリティまたはOracle Enterprise Manager Fusion Middleware Controlを使用します。
プロビジョニングによって、たとえば、ディレクトリのユーザーまたはグループに関する情報への変更をアプリケーションに確実に通知できます。このような変更は、アプリケーションでプロセスに対するユーザー・アクセスを許可するかどうかや、使用できるリソースを決定するかどうかに影響を及ぼすことがあります。
プロビジョニングを使用するのは、次の要件を持つアプリケーションを設計またはインストールする場合です。
ディレクトリを維持しないアプリケーション
LDAP対応のアプリケーション
リソースへのアクセスを認可ユーザーのみに限定するアプリケーション
プロビジョニング対象のアプリケーションをインストールする場合、oidprovtool
ユーティリティを使用して、そのためのプロビジョニング統合プロファイルを作成する必要があります。
同期とプロビジョニングには、表1-1に示すように、操作に重要な違いがあります。
表1-1 ディレクトリ同期とプロビジョニング統合の違い
比較項目 | ディレクトリ同期 | プロビジョニング統合 |
---|---|---|
実行のタイミング |
アプリケーションのデプロイ時。ディレクトリ同期の対象は、Oracleバックエンド・ディレクトリとの同期が必要な接続ディレクトリです。 |
アプリケーションの設計時。プロビジョニング統合を使用するのは、LDAP対応アプリケーションを開発するアプリケーション設計者です。 |
通信の方向 |
一方向または双方向、つまり、Oracleバックエンド・ディレクトリから接続ディレクトリ(1つ以上の接続されたOracle Databaseを含む)へ、その逆、またはその両方です。 |
一方向または双方向、つまり、Oracleバックエンド・ディレクトリからアプリケーションへ、その逆、またはその両方です。 |
データの種類 |
ディレクトリ内のデータ。 |
プロビジョニング・ユーザーおよびグループに制限されます。 |
例 |
Oracle Human Resources Oracle Directory Server Enterprise Edition Oracle Unified Directory Oracle Internet Directory Microsoft Active Directory Novell eDirectory OpenLDAP IBM Tivoli Directory Server Oracle Database |
Oracle Portal |
この項では、Oracle Identity Management統合に必要なコンポーネントを説明します。内容は次のとおりです。
Oracle Internet Directory、Oracle Unified DirectoryまたはOracle Directory Server Enterprise Editionのいずれかを、Oracleコンポーネントとサード・パーティ・アプリケーションがユーザー・アイデンティティおよび資格証明を格納してアクセスするリポジトリとして使用できます。Oracleバックエンド・ディレクトリでは、Oracleディレクトリ・サーバーを使用し、ユーザーが入力した資格証明をOracleディレクトリに格納されている資格証明と比較してユーザーを認証します。
資格証明がOracleバックエンド・ディレクトリではなく接続ディレクトリに格納されている場合でも、Oracle Internet Directoryをバックエンド・ディレクトリとして使用している場合は、ユーザーは認証されます。この場合、Oracle Internet Directoryは、接続ディレクトリ・サーバーに対してユーザーを認証する外部認証プラグインを使用します。現在、Oracle Unified DirectoryおよびOracle Directory Server Enterprise Editionでは外部認証プラグインを使用できないため、これらのディレクトリのいずれかをバックエンド・ディレクトリとして使用している場合に、資格証明が接続ディレクトリに保管されていると、ユーザーを認証できません。
Oracle Directory Integration Platformは、様々なリポジトリとOracleバックエンド・ディレクトリ間のデータ同期を可能にするJ2EEアプリケーションです。Oracle Directory Integration Platformは、他のエンタープライズ・リポジトリとともに同期化ソリューションを開発できるようにするためのサービスとインタフェースを提供します。サード・パーティのメタディレクトリ・ソリューションとOracleディレクトリ間の相互運用性も提供します。
図1-1に、Oracle Directory Integration Platform環境の例を示します。
図1-1の例では、Oracle Directory Integration Platformの同期Enterprise JavaBeans(EJB)およびクォーツ・スケジューラを使用して、Oracleバックエンド・ディレクトリが接続ディレクトリと同期化されます。同様に、Oracle Directory Integration PlatformのプロビジョニングEnterprise JavaBeans(EJB)およびクォーツ・スケジューラを使用して、Oracleバックエンド・ディレクトリでの変更が様々なリポジトリに送信されます。
Oracle Directory Integration Platform Serverは、次のサービスを実行します。
Oracle Directory Integration Platform Synchronization Service:
スケジューリング: 事前定義されたスケジュールに基づいて同期プロファイルを処理
マッピング: 接続ディレクトリとOracleバックエンド・ディレクトリの間のデータ変換ルールを実行
データ伝播: コネクタを使用して接続ディレクトリとデータを交換
エラー処理
Oracle Directory Integration Platform Provisioning Service:
スケジューリング: 事前定義されたスケジュールに基づいてプロビジョニング・プロファイルを処理
イベント通知: Oracleバックエンド・ディレクトリに格納されているユーザー・データまたはグループ・データに関連した変更をアプリケーションに通知
エラー処理
Oracle Directory Integration Platform環境における接続ディレクトリの内容は、Oracle Directory Integration Platform Synchronization Service(同期Enterprise JavaBeans(EJB)およびクォーツ・スケジューラを含む)を介してOracleバックエンド・ディレクトリと同期化されます。
Oracle Fusion Middlewareコンポーネントの場合、Oracleバックエンド・ディレクトリはすべての情報の中央ディレクトリであり、他のすべてのディレクトリと同期しています。この同期には、次の2つの方向があります。
一方向: 一部の接続ディレクトリは、Oracleバックエンド・ディレクトリに変更を提供するのみで、変更を受け取ることがありません。たとえば、従業員情報のプライマリ・リポジトリで比較のための基準であるOracle Human Resourcesがこれに該当します。
双方向: Oracleバックエンド・ディレクトリでの変更を接続ディレクトリにエクスポートでき、接続ディレクトリでの変更をOracleバックエンド・ディレクトリにインポートできます。
同期サービスでは、特定の属性を対象とする(または無視する)ことができます。たとえば、Oracle Human Resources内の従業員バッジ番号の属性は、Oracleバックエンド・ディレクトリ、その接続ディレクトリまたはクライアント・アプリケーションには関係ありません。同期は不要です。その一方で、従業員識別番号はこれらのコンポーネントとも関係があるため、同期が必要です。
図1-2に、デプロイ例におけるOracle Directory Synchronization Service内のコンポーネント間の相互作用を示します。
このようなすべての同期アクティビティをトリガーする中心的なメカニズムがOracleバックエンド・ディレクトリの変更ログです。Oracleバックエンド・ディレクトリなど、接続ディレクトリへの変更ごとに1つ以上のエントリが追加されます。Oracle Directory Synchronization Serviceは、次のことを実行します。
変更ログを監視します。
変更が1つ以上の同期プロファイルに対応している場合は、常にアクションを実行します。
ログに記録された変更に個々のプロファイルが対応している他の接続ディレクトリすべてに、該当する変更を提供します。接続ディレクトリには、Oracle RDBMS、Oracle Human Resources、Microsoft Active Directory、Oracle Unified Directory、Oracle Directory Server Enterprise Edition、Novell eDirectory、IBM Tivoli Directory Server、OpenLDAPなどがあります。Oracle Directory Synchronization Serviceは、接続ディレクトリが要求するインタフェースと書式を使用してこれらの変更を提供します。Oracle Directory Integration Platformコネクタを介した同期化では、Oracleバックエンド・ディレクトリ・クライアントが必要とするすべての情報に対してOracleバックエンド・ディレクトリが最新の状態に維持されることが保証されます。
プロビジョニングEnterprise JavaBeans(EJB)およびクォーツ・スケジューラを含むOracle Directory Integration Platform Provisioning Serviceは、ユーザーまたはグループ情報などの変更が各プロビジョニング・アプリケーションに通知されることを保証します。これは、プロビジョニング統合プロファイルに含まれている情報に基づいて行われます。各プロビジョニング・プロファイルの役割は、次のとおりです。
そのプロファイルを適用するアプリケーションと組織を一意に識別します。
アプリケーションに通知する必要があるユーザー、グループ、操作などを指定します。
Oracleバックエンド・ディレクトリでの変更がアプリケーションのプロビジョニング・プロファイルに指定されているものと一致すると、Oracle Directory Integration Platform Serviceは、そのアプリケーションに関連データを送信します。
注意: レガシー・アプリケーション(Oracle Directory Integration Platform Serviceのインストール前に稼働状態であったアプリケーション)は、インストール時に通常の方法ではサブスクライブされません。レガシー・アプリケーションを使用してプロビジョニング情報を受信できるようにするには、プロビジョニング・プロファイルに加えて、プロビジョニング・エージェントを開発する必要があります。このエージェントは、Oracleバックエンド・ディレクトリからの関連データをレガシー・アプリケーションに必要な正確な書式に変換する必要があります。 |
図1-3に、Oracle Directory Integration Platform Service環境でのコンポーネント間の相互作用を、レガシー・アプリケーションに使用するプロビジョニング・エージェントの特別なケースも含めて示します。
Oracle Application Server Single Sign-On(OracleAS Single Sign-On Server)を使用すると、ユーザーは1回のみのログインで、WebベースのOracleコンポーネントにアクセスできます。
Oracleコンポーネントは、ログイン機能をOracleAS Single Sign-On Serverに委任します。初めてOracleコンポーネントにログインする場合は、そのコンポーネントによってOracleAS Single Sign-On Serverにログインがリダイレクトされます。OracleAS Single Sign-On Serverでは、Oracleバックエンド・ディレクトリに格納されている資格証明に対して、ユーザーが入力した資格証明を検証することによってユーザーが認証されます。ユーザーを認証すると、残りのセッション中、そのユーザーが使用を要求し認可されたすべてのコンポーネントに対するユーザー・アクセス権限がOracleAS Single Sign-On Serverによって付与されます。
注意: Oracle Directory Integration Platform 11gリリース1(11.1.1)は、Oracle Application Server Single Sign-On 10gリリース10.1.4.3.0をサポートしており、相互運用できます。 Oracle Application Server Single Sign-Onは非推奨になっており、Oracle Access Management 11gR1 Single Sign-Onが推奨されることに注意してください。顧客には、使用している製品で動作保証され次第、Oracle Access Management 11gR1に移行することが推奨されます。 詳細は、次のURLのOracle Single Sign-onのOracleライフタイム・サポート・ポリシーを参照してください。
|
関連項目: OracleAS Single Sign-On Serverの詳細は、Oracle Enterprise Single Sign-On Suite Plus管理者ガイドを参照してください。 |