| Oracle® Fusion Middleware Oracle Identity Managerの管理 11g リリース2 (11.1.2.3.0) E61959-10 |
|
 前 |
 次 |
この章では、Oracle Identity Managerの目的について説明し、主な機能に焦点を当てます。この章の内容は次のとおりです。
Oracle Identity Managerは、オンプレミスまたはクラウドにあるアプリケーションに対してセルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供するガバナンス・ソリューションです。
企業はOracle Identity Managerを使用することにより、顧客、ビジネス・パートナおよび従業員のアイデンティティおよびアクセス権限をすべての1つのプラットフォーム上で管理できます。また、これらのユーザーは、委任管理を使用して自分のアイデンティティだけでなく他のユーザーのアイデンティティも管理できます。企業は、他のユーザーのアイデンティティ、パスワード、パスワード・ポリシーおよびアクセスを管理する権限を持つユーザーである委任管理者を設定できます。ビジネス・ユーザーは、エンド・ユーザーへのアクセス権を付与するエンタープライズ・ロールのライフサイクルを作成および管理できます。これらのロールは、ルールを使用して自動的に付与できます。企業は、ロールおよびアクセス・ポリシーを使用することにより、ユーザーが組み込まれているかどうかを適時かつ自動的な方法確認できます。
Oracle Identity Managerを使用すると、エンド・ユーザーは、ジョブの実行に必要なアクセス権を簡単でわかりやすい方法で取得できます。エンド・ユーザーは、専門技術を使用せずにわかりやすい方法で使用可能なアクセス権を提示するアクセス・カテゴリを使用して、必要なアクセス権をリクエストできます。エンド・ユーザーがリクエストを送信すると、リクエストは承認を求めて承認者および管理者に転送されます。
Oracle Identity Managerでは、オンプレミスまたはクラウドで管理されるアプリケーション全体にわたって、ユーザー・アカウントの作成、更新および削除、パスワードのプロビジョニング、および権限の付与/失効のプロセスを自動化します。このプロセスは、プロビジョニングおよびプロビジョニング解除と呼ばれます。Oracle Identity Managerでは、接続されているアプリケーションのプロビジョニングおよびプロビジョニング解除を実行するためにコネクタを使用します。また、コネクタをサポートしていないアプリケーションでの手動のプロビジョニングおよびプロビジョニング解除もサポートしています。このようなアプリケーションは、接続なしアプリケーションと呼ばれます。
Oracle Identity Managerでは、HRアプリケーションなどの認証ソースのアイデンティティと、LDAPやデータベースを含むアプリケーションのアカウントおよびアクセス権を同期化できます。雇用、転任、管理者変更、退職などのアイデンティティ・ライフサイクル・イベントはOracle Identity Managerと同期化できます。これにより、Oracle Identity Managerでは、アクセスの失効を含む適切なアクションをとることができるようになります。アイデンティティ情報をアイデンティティ・データの認証ソースと同期化するこのメカニズムは、信頼できるリコンシリエーションと呼ばれます。Oracle Identity Managerでは、アクセス権を含むアカウント情報と、Oracle Identity Managerが管理するアプリケーションの権限を同期化することもできます。このメカニズムは、ターゲット・リコンシリエーションと呼ばれます。
管理者、認可されたユーザー、およびコンプライアンス管理者は、Oracle Identity Managerを使用することにより、アイデンティティ証明と呼ばれるプロセスによってわかりやすい方法でユーザー・アクセスをレビューおよび認証できるようになります。認可された管理者は、簡単なウィザードを使用して、予定どおりに、またはその場かぎりで、証明キャンペーンを作成および構成できます。ユーザー・アクセスを証明する必要がある証明者には、情報が簡単な方法で提示されます。証明者は、アクセスを承認することも却下することもできます。違反が検出され、アクセスが却下された場合、Oracle Identity Managerでは、管理者が違反を修正するためのプロセスが開始されます。また、ターゲット・プラットフォームまたはターゲット・アプリケーションからアクセス権を直接プロビジョニング解除すると同時に、実行されたアクションの包括的な証跡を維持することもできます。これは、クローズドループ改善と呼ばれます。Oracle Identity Managerは、ビジネス管理者、ロール所有者、アプリケーション所有者および権限所有者などの様々なユーザーの役割に基づいて様々なタイプの証明をサポートしています。
企業は、Oracle Identity Managerを使用して、ビジネス・ユーザーによる監査ポリシーの設定を可能にすることにより、コンプライアンス上の目的を達成できます。監査ポリシーにより、ユーザーに付与する/しないアクセス権のタイプを指定します。たとえば、買掛金と売掛金の両方にアクセスできるユーザーが企業改革法に違反しているとします。これは、職務の分離(SoD)違反と呼ばれます。企業は、Oracle Identity Managerを使用して、アクセス・リクエスト中に実施できるSoDポリシーを定義できるだけでなく、既存のアクセスをスキャンして、ポリシー違反と呼ばれるアクセス権の有害な組合せを特定できます。Oracle Identity Managerでは、違反を識別し、ビジネス管理者や管理者などの改善者がこれらの違反を修正できるワークフローを開始します。このプロセスは、改善と呼ばれます。改善者が実行するアクションはすべて記録され、包括的な監査証跡が維持されます。
Oracle Identity Managerには、誰がいつどこでどのような変更をどのようなコンテキストで誰に対して開始したかを監査者やセキュリティ・スタッフが追跡できる包括的な監査機能が用意されています。これにより、カスタム監査イベントの作成が可能になります。このため、顧客は、ワークフローとプロセスを監査できます。すべての監査情報は、標準のレポート・ツールを使用してレポートできる方法で利用できます。Oracle Identity Managerには、リクエストと承認、パスワード管理、アイデンティティ証明およびアイデンティティ監査を含むほとんどの製品領域を対象とした印刷品質のレポートを作成できるレポート・サーバーが組み込まれています。顧客は独自のエンタープライズ・レポート・ツールを柔軟に使用することもできます。
Oracle Identity Managerでは、アイデンティティ管理要件に基づいて機能を柔軟に使用できます。特定のデプロイメント・オプションを選択することにより、特定の機能を有効にできます。Oracle Identity Managerは、次の3つのモードで構成できます。
データベース・モードのOracle Identity Manager
Oracle Identity Managerは、データベースに格納されている数百万のアイデンティティ、ロールおよび権限や、数千のアプリケーションを管理できる、拡張性の非常に高い管理およびプロビジョニング用のソリューションです。このモードを使用する必要があるのは、アイデンティティ管理、アクセス・リクエスト、アカウント、および権限のプロビジョニングとリコンシリエーションがビジネスの主な原動力であり、Single Sign On (SSO)ソリューションを使用した簡単なSSOで十分である場合です。
アイデンティティ監査者モードが有効なOracle Identity Manager
アイデンティティ監査者モードが有効なOracle Identity Managerには、証明キャンペーンの実行、アイデンティティ監査ポリシーの管理と使用、およびロール・マイニングの実行によるロールとポリシーのクラスタの検出を行うための機能が用意されています。
アイデンティティ監査者モードでは、LCMロール、職務分離(アイデンティティ監査)およびアクセス証明機能を使用できます。アイデンティティ監査者機能を使用するには、ライセンスが必要です。
|
注意: アイデンティティ監査者モードは、Oracle Identity Managerのインストール後に有効にできます。アイデンティティ監査者モードの有効化の詳細は、 『Oracle Identity Managerでのセルフ・サービス・タスクの実行』のアイデンティティ監査の有効化に関する項を参照してください。 |
表1-1に、Oracle Identity Managerの各デプロイメント・モードで使用可能な機能のサマリーを示します。
表1-1 機能のサマリー
| 機能 | DBモードのOracle Identity Manager | アイデンティティ監査者モードが有効なOracle Identity Manager |
|---|---|---|
|
アクセス・ポリシー管理 |
○ |
○ |
|
アクセス・リクエスト |
○ |
○ |
|
承認 |
はい |
はい |
|
監査 |
はい |
はい |
|
委任管理 |
はい |
はい |
|
アイデンティティ監査(SoD) |
× |
はい |
|
アイデンティティの証明 |
× |
はい |
|
アイデンティティ・ストア |
データベース |
データベース |
|
ロスト・パスワード、忘れたユーザーID、自己登録 |
はい |
はい |
|
OAM/OAAM/OMSSの統合 |
はい |
はい |
|
組織管理 |
はい |
はい |
|
パスワードの同期化 |
はい |
はい |
|
プロビジョニング |
はい |
はい |
|
リコンシリエーション |
はい |
はい |
|
レポート |
はい |
はい |
|
ロール管理 |
はい |
はい |
|
ユーザー管理 |
はい |
はい |
|
ユーザー・パスワード管理 |
はい |
はい |
|
注意:
|
Oracle Identity Managerでは、アプリケーションおよび他のITシステムはITリソースと呼ばれます。ITリソースにより、Oracle Identity Managerで管理できる様々なオブジェクトが公開されます。これらのオブジェクトは、リソース・オブジェクトと呼ばれます。アカウントを表すオブジェクトはアプリケーション・インスタンスと呼ばれ、アプリケーション内のアクセス権を表すオブジェクトは権限と呼ばれます。
Oracle Identity Managerは様々なアプリケーションおよびITシステムと対話し、コネクタを使用してアプリケーション・インスタンスとアカウントを管理します。コネクタはOracle Identity Managerサーバーにインストールされます。Oracleには、JDBC、LDAP、SPML、SOAPおよびRESTなどの一般的なテクノロジや、SAP、eBusiness SuiteおよびPeopleSoftなどの一般的なビジネス・アプリケーション用のコネクタが複数用意されています。アイデンティティ・コネクタ・フレームワーク(ICF)を使用すると、新しいコネクタを開発できます。
一部のITシステムでは、直接対話することができないため、コネクタ・サーバーと呼ばれる軽量のコンポーネントを使用する必要があります。コネクタ・サーバーを使用する必要があるアプリケーションの例として、Exchange DirectoryやActive DirectoryなどのMicrosoft製品、Novell eDirectory、IBM Lotus Notesおよび他の製品があります。このようなシナリオでは、コネクタはコネクタ・サーバーにデプロイされ、ネイティブ・プロトコルを使用してアプリケーションと対話します。Oracle Identity Managerはコネクタ・サーバーと通信し、コネクタ・サーバーがコネクタと通信します。
Oracle Identity Managerは、標準ベースの統合を介して他のOracleおよびサード・パーティのIdentity and Access Management製品と統合されます。ただし、Oracle Identity Managerは、Oracle Identity and Access Management Suite内の製品との次のようなデフォルト統合が可能です。
Oracle Privileged Account Manager (OPAM)との統合
企業は、Oracle Privileged Account Manager (OPAM)を使用して、強い権限を持つアプリケーション・アカウントだけでなく、機密アプリケーションに対する共有アクセスを保護できます。
Oracle Identity ManagerがOPAMと統合されると、OPAMにアクセスできるユーザーのアイデンティティ・ライフサイクルを管理できます。これにより、ユーザーは、アクセス・カタログ機能を使用して様々なアプリケーション内の特権アカウントへのアクセス権をリクエストできるようになります。Oracle Identity Managerの管理者は、アプリケーションへのユーザーのアクセス・リクエストを制御できます。また、アクセス・カタログ内のビジネス・メタデータを拡張することにより、特権アカウントに対するアクセス権をユーザーがより簡単にリクエストできるようにすることもできます。
企業は、Oracle Identity Managerを使用することにより、アイデンティティの証明を活用してユーザーの持つ特権アクセス権を認証できます。管理者と認可ユーザーは、誰が何に対してアクセス権を持つかを確認し、アクセス権を認証するか却下するかに関して適切な決定を下すことができます。
Access Managerとの統合
Oracle Identity ManagerをOracle Access Manager (OAM)と統合すると、忘れたユーザーID、忘れたパスワード、チャレンジ質問と回答、パスワードとパスワード・ポリシー管理、アカウントのロック、自己登録、ユーザー/ロール/組織管理の各サービスが提供されます。OAMは、Oracle Identity Managerに対してシングル・サインオン・サービスを提供します。OAMには、ユーザーがロックされた場合のリアルタイムのセッション強制終了機能や、自動ロック解除機能が用意されています。
Oracle Identity Managerでは、LDAP同期機能を使用する必要があります。この機能を使用すると、Oracle Identity Managerでは、ユーザー、ユーザーのパスワード、ユーザー属性の変更、グループおよびグループ・メンバーシップをLDAPディレクトリにプッシュできるようになります。Oracle Identity Managerでは、アカウントのロック・ステータスを含む、LDAPディレクトリの変更をリコンサイルします。
Oracle Identity Managerは、簡略化および単純化されたOAMとの統合をサポートしています。この場合、OAMはOracle Identity Managerに対してシングル・サインオン・サービスを提供します。この方法の場合、状態属性の同期化や、OIMユーザーおよびグループの同期化は行われません。プロビジョニングとコネクタを使用して、LDAPユーザーおよびグループのプロビジョニングとリコンシリエーションを実現できます。
Access ManagerとAdaptive Access Managerとの統合
OAMおよびOracle Adaptive Access Manager (OAAM)とともに使用する場合、ナレッジ・ベースの認証(KBA)を活用できます。KBAには、一連の豊富なチャレンジ質問が用意されており、その背後にある構成可能なロジックにより、これらの質問がユーザーに提示され、そのレスポンスが検証されます。Oracle Identity Managerは、チャレンジ質問および回答をOAAMに委任します。また、この統合により、ユーザーがチャレンジ質問をリセットすることも可能になります。
Oracle Mobile Security Suiteとの統合
企業は、Oracle Mobile Security Suite (OMSS)を使用して、アイデンティティ・プラットフォームおよびセキュリティ・ポリシーをモバイル・デバイスにまで拡張できます。これには、アプリケーションのセキュリティと制御用のセキュア・コンテナが用意されています。デバイス全体をロックしなくても、企業のアプリケーションとデータを個人のアプリケーションとデータから分離できます。
Oracle Identity Managerと統合すると、ユーザーはデバイスとアプリケーションを確認できるようになります。管理者は、デバイス、アプリケーションおよびモバイルのポリシーを管理できます。また、特定のユーザーのグループを対象としてデバイスおよびアプリケーションをリモートで構成することもできます。
|
注意: 様々な製品との統合の詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』を参照してください。 |
Oracle Identity Managerには、アイデンティティ・セルフ・サービス・コンソールと呼ばれるエンド・ユーザー・インタフェースと、アイデンティティ・システム管理コンソールと呼ばれる管理者インタフェースが用意されています。エンド・ユーザーとシステム管理者は両方とも、Webブラウザを使用してOracle Identity Managerにログオンします。
エンド・ユーザーのインタフェースは、次の目的で使用します。
ユーザー・プロファイル、パスワード、チャレンジ質問およびアカウント・パスワードを管理します。
自分と他のユーザーのアクセス権の表示、リクエストと承認、ユーザーの認証、およびポリシー違反と手動プロビジョニング・タスクの処理を行います。
組織ロールと管理ロールの設定、および委任された管理の構成を行います。また、委任された管理者がユーザー、組織およびパスワード・ポリシーの作成と管理を行う場合も使用します。
認可されたユーザーが、ロールの作成、証明キャンペーンの実行、SoDルールとポリシーの構成、およびコンプライアンス・スキャンの作成と実行を行います。
システム管理者のインタフェースは、次の目的で使用します。
ワークフロー・ポリシー、ホーム組織ポリシー、およびユーザー機能を定義します。
ユーザー、ロールおよび組織などのシステム・エンティティのスキーマを管理します。
プロビジョニング・エンドポイントおよびサポートされているオブジェクトのスキーマを管理します。
Oracle Identity Managerの構成オブジェクトをインポート/エクスポートします。
コネクタをインストール/アンインストール/アップグレードします。
また、RESTサービスを使用して、独自のユーザー・インタフェースを作成したり、他のアプリケーションをOracle Identity Managerと統合することもできます。
開発者が次を使用することもできます。
Oracle Application Development Framework (ADF)を使用してカスタムUIを作成したり、Business Process Execution Language (BPEL)を使用してカスタム・ワークフローを作成するためのJDeveloper IDE
プロビジョニング・ワークフローを作成するためのJavaシック・クライアントであるDesign Console
カスタム・レポートを作成するための埋込みBI Publisherレポート・サーバー
