| Oracle® Fusion Middleware Oracle Identity Managerの管理 11g リリース2 (11.1.2.3.0) E61959-10 |
|
 前 |
 次 |
この章では、Oracle Identity Manager製品アーキテクチャの概要を示します。この章の内容は次のとおりです。
Oracle Identity Managerは、J2EE Webアプリケーションです。J2EEプラットフォームは、多層およびWebベースのエンタープライズ・アプリケーションを開発するための機能を提供する業界標準のサービス、APIおよびプロトコルのセットで構成されています。
図2-1は、Oracle Identity Managerの様々なコンポーネントを示しています。
次の項で説明するように、Oracle Identity Managerのシステム・アーキテクチャは、論理層に分散しています。
ユーザー・インタフェース層(またはユーザー層)は、ユーザー・インタフェースの1つを介してOracle Identity Managerと対話する管理者とエンドユーザーで構成されています。Oracle Identity Managerの主要なユーザー・インタフェースはWebベースであり、HTTP/SでOracle Identity Managerと通信します。ブラウザ・ベースのUIは、エンドユーザーへのOracle Identity Self Serviceおよび管理者へのOracle Identity System Administrationの2つです。これらのUIは、Oracle Application Development Framework (ADF)を使用して開発されています。
アイデンティティ・セルフ・サービスは、Webブラウザを介してカスタマイズ可能であり、システム管理者は、リンクの追加、フォーム・フィールドを表示/非表示にするビジネス・ロジックの追加、提供されたフォームの拡張、およびその他の一般的なUIカスタマイズ・タスクを実行できます。管理者は、UIサンドボックスでUIのカスタマイズ・タスクを実行します。これらのサンドボックスをエクスポートして、より高レベルの環境にインポートできます。Oracle ADFおよびUIカスタマイズ・フレームワークにより、管理者はアップグレードに安全な方法でアイデンティティ・セルフ・サービスをカスタマイズできます。
アイデンティティ・システム管理では、管理者がジョブのスケジュール、アプリケーションのオンボード、スキーマの管理などの一般的なシステム管理機能を実行できます。このUIは、カスタマイズできません。
開発者はデザイン・コンソールを使用してプロビジョニング・ワークフローを作成し、Oracle JDeveloperを使用してBPELワークフローを作成して、手動履行、承認、アイデンティティの証明およびアイデンティティ監査を行うことができます。
Oracle Identity Managerサーバーは、J2EEアプリケーションです。これはOracle WebLogic Serverにデプロイされます。サーバーは、アイデンティティ・セルフ・サービスおよびアイデンティティ・システム管理のWebアプリケーション、SPML XSD、RESTサービス、およびコア機能を提供するEJBおよび関連Javaクラスで構成されています。他のITシステムと対話するコネクタは、Oracle Identity Managerサーバーにデプロイされます。
|
注意: SPMLのかわりにRESTサービスを使用することをお薦めします。 |
サーバーは、次の機能コンポーネントで構成されています。
アイデンティティ管理
これには、自己登録、ロスト・パスワードおよび忘れたユーザーID、ユーザー、ロール、組織管理、パスワード管理が含まれます。
ユーザー管理エンジンにより、管理者はユーザーを管理し、パスワードのリセットおよびアクセス権の付与/取消し/変更ができます。Oracle Access Manager (OAM)と統合すると、ユーザー・プロファイルの変更は、LDAP同期と呼ばれる機能を使用して、OAMで使用されるLDAPディレクトリと同期されます。
ロール管理エンジンにより、ビジネス・ユーザーおよび管理者は、静的および動的なロールを作成し、アクセス・ポリシーを介してアクセス権を関連付け、様々な組織にロールを提供できます。これらの操作は、承認を経由できます。承認後、変更はOracle Identity Managerリポジトリにコミットされます。この機能は、ロール・ライフサイクル管理として知られています。
組織管理エンジンにより、管理者は静的またはルール・ベースの動的な組織を作成および管理できます。管理者がパスワード・ポリシーを定義し、それらを組織に関連付けることで、様々なユーザー・コミュニティが異なるパスワード・ポリシーを持つことができます。
認可
Oracle Identity Managerの認可エンジンでは、管理者が管理ロールを定義して機能的能力とそれらを関連付けることにより、粒度の細かい委任管理ができます。認可エンジンによりポリシーが実行され、そのポリシーでユーザーの管理ロール・メンバーシップが利用されます。管理者は、ユーザーの属性レベルの権限を定義し、ユーザー属性を参照および変更できるユーザーを指定することもできます。
プロビジョニングおよびリコンシリエーション
Oracle Identity Managerは、アカウント管理およびアカウント・パスワード管理機能を備えた拡張性の高いプロビジョニング・エンジンを提供します。Oracle Identity Managerにより、管理者はアカウントを管理し、追加のアクセス権(権限)を付与/取消し/変更できます。管理者およびエンドユーザーは、アカウントのパスワードをリセットでき、ユーザーのパスワードがユーザーにプロビジョニングされたアカウントと同期されるようにOracle Identity Managerを構成することもできます。プロビジョニング・エンジンは、コネクタを使用して接続されたプロビジョニング、およびユーザーが何らかのアクションを取る必要がある接続解除されたプロビジョニング(または手動履行)の2種類のプロビジョニングをサポートします。
リコンシリエーション・エンジンは、ターゲット・アプリケーションでの変更を検出してOracle Identity Managerと同期させることができます。認可ソースまたはターゲット・リソースから変更を取得できます。変更は、前者の場合はユーザーと同期され、後者の場合はアカウントと同期されます。
アクセス・リクエストおよび承認
リクエスト・エンジンにより、エンドユーザーは、自身または他のユーザーのために、新しいアクセス権およびアクセス権の変更のリクエストを送信できます。オンライン・ショッピングのような方法により、アクセス・カタログを検索および閲覧し、リクエストを送信できます。リクエストは適切な承認者にルーティングされ、コネクタを使用して自動化された方法により、または接続解除されたプロビジョニングを使用して手動により履行されます。
アイデンティティの証明
アイデンティティ証明エンジンにより、管理者は証明キャンペーンを定義できます。これらのキャンペーンでは、管理者および権限を与えられたユーザーが、ユーザーに付与されているアクセス権をレビューおよび認定できます。特定のユーザーにそれを委任するか、自分で処理することもできます。ユーザーのアクセスを拒否して、アクセス権を取り消すプロビジョニング・アクションをトリガーできます。これはクローズドループ是正と呼ばれています。
アイデンティティ監査または職務分離(SoD)
SoDエンジンにより、管理者はルールを定義してそれらをポリシーにグループ化できます。これらのルールおよびポリシーはアイデンティティ監査ルールおよびポリシーと呼ばれており、Oracle Identity Managerでは、これらを使用してコンプライアンス・ルールに違反するアクセスを検出できます。管理者は、アクセス・リクエスト時に実行するポリシーと、遡って実行できるその他のポリシーを指定できます。ポリシー違反が見つかった場合は、是正のためにユーザーに違反が割り当てられます。
監査
監査エンジンは、Oracle Identity Managerの様々なアクションを監査(またはログ)します。管理者がカスタム監査イベントを追加することもできます。監査データのレポートには、Oracle Identity Managerのレポート機能を使用できます。
埋込みレポート・サーバー
埋込みレポート・サーバーは、Oracle BI Publisherに基づいており、運用および履歴レポートを提供します。管理者は、スタンドアロンのBI Publisherを使用するか、他のレポート・ツールを使用してスキーマ情報を使用してレポートを作成することもできます。
BPELワークフロー・エンジン
Oracle Identity ManagerではBPELを使用して、承認、手動履行、アイデンティティの証明およびアイデンティティ監査のためのワークフロー・オーケストレーションを提供しています。管理者は、BPELワークフローまたはSOAコンポジットを定義して、ワークフロー・ルールを使用してこれらのワークフローを動的に起動できます。BPELは、データ駆動型の承認者の解決、タスクの有効期限、エスカレーションおよび電子メール・ベースのアクション可能な通知を提供します。Oracle JDeveloperを使用して新規のワークフローを作成し、Oracle Identity Managerで登録できます。
Oracle Identity Managerのすべての情報は、Oracle Identity Managerリポジトリに格納されます。リポジトリは、構成、状態およびその他のデータを格納する表で構成されています。Oracle Identity Managerには、ユーザーにプロビジョニングされたアカウントおよび権限データのコピーが保持されており、それをアイデンティティおよびアカウント・データの真のソースとして使用できます。
Oracle Identity Managerには、他のスキーマを使用してワークフロー、承認、構成および認可ポリシーに関するメタデータも格納されます。
Oracle Identity Managerは状態データを蓄積できるので、データの増加を管理するためのアーカイブおよびパージ・ユーティリティを提供します。最適なパフォーマンスを得るために、管理者は製品の推奨事項に従ってデータの増加を管理する必要があります。
コネクタ層は、ユーザー・アカウントのプロビジョニングとプロビジョニング解除、アカウント・パスワードの変更、および権限の付与/取消しを行うアプリケーションおよびITシステムで構成されています。Oracle Identity Managerによる、リモートAPIのないアプリケーションやネイティブな統合を必要とするアプリケーションの管理を可能にする、軽量アプリケーションであるコネクタ・サーバーが含まれています。
通常、Oracle Identity Managerコネクタは、アイデンティティ・コネクタ・フレームワークを使用して開発され、サーバーにデプロイされます。コネクタ・サーバーが必要な場合には、コネクタ・サーバーにデプロイされる場合もあります。
コネクタの開発には、軽量で使いやすいアイデンティティ・コネクタ・フレームワークを使用して、独自のコネクタを作成できます。
