| Oracle® Fusion Middleware Oracle Identity Governanceの管理 12c (12.2.1.3.3) E88285-04 |
|
 前 |
 次 |
この章では、Oracle Identity Governance製品アーキテクチャの概要を示します。この章の内容は次のとおりです。
Oracle Identity Governanceは、J2EE Webアプリケーションです。J2EEプラットフォームは、多層およびWebベースのエンタープライズ・アプリケーションを開発するための機能を提供する業界標準のサービス、APIおよびプロトコルのセットで構成されています。
図2-1は、Oracle Identity Governanceの様々なコンポーネントを示しています。
Oracle Identity Governanceのシステム・アーキテクチャは論理層、すなわちユーザー・インタフェース層、アプリケーション層、データベース層およびコネクタ層に分散しています。
この項では、次の項目について説明します。
ユーザー・インタフェース層(またはユーザー層)は、ユーザー・インタフェースの1つを介してOracle Identity Governanceと対話する管理者とエンドユーザーで構成されています。
Oracle Identity Managerの主要なユーザー・インタフェースはWebベースであり、HTTP/SでOracle Identity Managerと通信します。ブラウザ・ベースのUIは、エンドユーザーへのOracle Identity Self Serviceおよび管理者へのOracle Identity System Administrationの2つです。これらのUIは、Oracle Application Development Framework (ADF)を使用して開発されています。
アイデンティティ・セルフ・サービスは、Webブラウザを介してカスタマイズ可能であり、システム管理者は、リンクの追加、フォーム・フィールドを表示/非表示にするビジネス・ロジックの追加、提供されたフォームの拡張、およびその他の一般的なUIカスタマイズ・タスクを実行できます。管理者は、UIサンドボックスでUIのカスタマイズ・タスクを実行します。これらのサンドボックスをエクスポートして、より高レベルの環境にインポートできます。Oracle ADFおよびUIカスタマイズ・フレームワークにより、管理者はアップグレードに安全な方法でアイデンティティ・セルフ・サービスをカスタマイズできます。
アイデンティティ・システム管理では、管理者がジョブのスケジュール、アプリケーションのオンボード、スキーマの管理などの一般的なシステム管理機能を実行できます。このUIは、カスタマイズできません。
開発者はデザイン・コンソールを使用してプロビジョニング・ワークフローを作成し、Oracle JDeveloperを使用してBPELワークフローを作成して、手動履行、承認、アイデンティティの証明およびアイデンティティ監査を行うことができます。
Oracle Identity Managerサーバーは、J2EEアプリケーションです。これはOracle WebLogic Serverにデプロイされます。サーバーは、アイデンティティ・セルフ・サービスおよびアイデンティティ・システム管理のWebアプリケーション、SPML XSD、RESTサービス、およびコア機能を提供するEJBおよび関連Javaクラスで構成されています。他のITシステムと対話するコネクタは、Oracle Identity Managerサーバーにデプロイされます。
注意:
SPMLのかわりにRESTサービスを使用することをお薦めします。
サーバーは、次の機能コンポーネントで構成されています。
アイデンティティ管理
これには、自己登録、ロスト・パスワードおよび忘れたユーザーID、ユーザー、ロール、組織管理、パスワード管理が含まれます。
ユーザー管理エンジンにより、管理者はユーザーを管理し、パスワードのリセットおよびアクセス権の付与/取消し/変更ができます。Oracle Access Manager (OAM)と統合すると、ユーザー・プロファイルの変更は、LDAP同期と呼ばれる機能を使用して、OAMで使用されるLDAPディレクトリと同期されます。
ロール管理エンジンにより、ビジネス・ユーザーおよび管理者は、静的および動的なロールを作成し、アクセス・ポリシーを介してアクセス権を関連付け、様々な組織にロールを提供できます。これらの操作は、承認を経由できます。承認後、変更はOracle Identity Managerリポジトリにコミットされます。この機能は、ロール・ライフサイクル管理として知られています。
組織管理エンジンにより、管理者は静的またはルール・ベースの動的な組織を作成および管理できます。管理者がパスワード・ポリシーを定義し、それらを組織に関連付けることで、様々なユーザー・コミュニティが異なるパスワード・ポリシーを持つことができます。
認可
Oracle Identity Managerの認可エンジンでは、管理者が管理ロールを定義して機能的能力とそれらを関連付けることにより、粒度の細かい委任管理ができます。認可エンジンによりポリシーが実行され、そのポリシーでユーザーの管理ロール・メンバーシップが利用されます。管理者は、ユーザーの属性レベルの権限を定義し、ユーザー属性を参照および変更できるユーザーを指定することもできます。
プロビジョニング
Oracle Identity Managerは、アカウント管理およびアカウント・パスワード管理機能を備えた拡張性の高いプロビジョニング・エンジンを提供します。Oracle Identity Managerにより、管理者はアカウントを管理し、追加のアクセス権(権限)を付与/取消し/変更できます。管理者およびエンドユーザーは、アカウントのパスワードをリセットでき、ユーザーのパスワードがユーザーにプロビジョニングされたアカウントと同期されるようにOracle Identity Managerを構成することもできます。プロビジョニング・エンジンは、コネクタを使用して接続されたプロビジョニング、およびユーザーが何らかのアクションを取る必要がある接続解除されたプロビジョニング(または手動履行)の2種類のプロビジョニングをサポートします。
Oracle Identity Governanceを使用すると、ターゲット・システム上でユーザーを作成、メンテナンスおよび削除できます。この構成では、Oracle Identity Governanceはターゲット・システム上のユーザー・データを管理するフロントエンド・エントリ・ポイントとして機能します。アカウントがプロビジョニングされると、アカウントがプロビジョニングされたユーザーは、Oracle Identity Governanceと対話しなくてもターゲット・システムにアクセスできます。これが、Oracle Identity Governanceのプロビジョニング構成です。
プロビジョニング操作は次のいずれかの方法で開始できます。
リクエストベースのプロビジョニング: リクエストベースのプロビジョニングでは、個人がターゲット・システム・アカウントのリクエストを作成します。必要な権限を持つOracle Identity Governanceユーザーがリクエストを承認して、リクエストしたユーザーにターゲット・システム・アカウントをプロビジョニングすると、プロビジョニング・プロセスが完了します。
ポリシーベースのプロビジョニング: このタイプのプロビジョニングでは、アクセス・ポリシーを介してリソースがユーザーに自動的に付与されます。アクセス・ポリシーは、ユーザー・グループ(またはロール)とターゲット・リソースの間の関連を定義するために使用されます。
直接プロビジョニング: このタイプのプロビジョニングは、Oracle Identity Governance管理者がOIGユーザーにリソースをプロビジョニングするための特別な管理者専用機能です。このプロビジョニング・タイプのワークフローには、リクエストと承認の手順は含まれません。直接プロビジョニングはOracle Identity Self Serviceインタフェースを使用して行います。
自動および手動プロビジョニング: Oracle Identity Governanceにより、管理対象アプリケーションおよびターゲット・システムに自動プロビジョニングが提供されます。これはアクセス権限付与時に、堅牢なコネクタのセットを使用して、標準アクセス権と特権アクセス権の両方について提供されます。モニタリング制御の結果、このような付与を取り消す必要がある場合は、同じコネクタを使用して自動的にプロビジョニング解除し、同時に包括的な監査証跡を提供できます。
特定のターゲット・システムにプロビジョニング・コネクタがデプロイされている場合は、一部のプロビジョニング・アクションを自動化し、その他は手動で完了できます。手動フルフィルメントの場合、管理者にプロビジョニング・タスクが割り当てられます。ターゲット・システムで適切な変更を行い、Oracle Identity Governanceでタスクに完了のマークを付けます。承認の必要性は時間とともに変化することがあるため、ポリシー所有者がIdentity Self Serviceインタフェースを使用して、承認のルーティング・ロジックを変更できます。
ロールベースのプロビジョニング: 自動プロビジョニング用にロールベース・プラットフォームおよびパーソナライズ・ポータルを実装する組織の場合は、まず、統合されたアイデンティティ管理プラットフォームを実装して、リスクを管理し、機密情報アセットを保護し、ビジネス・パフォーマンスを向上させる必要があります。アイデンティティ管理スイートを使用して情報ポータルを統合し、アクセス管理、プロビジョニングおよびロール管理の高度なソリューションを提供することもできます。
ロールベースのプロビジョニングを実装するソリューションには、次の4つの重要なコンポーネントが必要です。
プロビジョニング・プラットフォーム: プロビジョニング・プラットフォームにより信頼できるソース(多くの場合はHRシステム)からアイデンティティが抽出され、ターゲット・システムに自動的にアカウントが作成されるため、プロビジョニングが容易になります。新規雇用、職種の変更または従業員の退職など、ユーザー・データが変更された場合に、これによってHRシステムとターゲット・システムのユーザー・データが同期されます。ユーザーがロールから削除されてアクセスが不要になった場合は、プロビジョニング・プラットフォームにより、ターゲット・システムから自動的にユーザー権限が削除されます。
ロール管理: ロール管理により、企業全体で、同様の職責に基づいてユーザーのアクセス権を編成します。たとえば、企業において、それぞれ特定のシステム・アクセス権およびセキュリティ・レベルを持つ特定のロールに、ジョブ・コードや職責をまとめることができます。ユーザーのロールが変更されると、ユーザーのアクセス権限も変更されます。Oracle Identity Governanceからこのような変更がロール・マネージャにプッシュされ、ロール・マネージャで、信頼できるリソースから送信されたユーザー・プロファイルに基づき、ユーザー・ロール・メンバーシップおよびアクセス情報が導出されます。プロビジョニング・プラットフォームとロール・マネージャは連携して動作し、プロビジョニング・イベントが確実にロールに基づくようにする必要があります。
アクセス管理: アクセス管理プラットフォームにより、アプリケーションまたはITシステムのユーザーが1回ログインするだけで企業全体のITリソースにアクセス可能になります。これにより、企業が一元化および自動化されたシングル・サインオン(SSO)ソリューションを作成し、ITインフラストラクチャ全体にわたって、誰がどの情報にアクセスする権限を保持しているかを管理できます。
ポータル: ポータルを介して、パーソナライズされた方法で企業情報に一元的にアクセスできます。ポータルでは、アクセス管理プラットフォームを活用してユーザーを認証および認可できます。ユーザーが認証および認可されると、ポータルにインタフェースが表示されます。これを各ユーザーに合せてパーソナライズし、ユーザーがアクセス権を持つデータとアプリケーションのみを表示できます。
リコンシリエーション
リコンシリエーション・エンジンは、ターゲット・アプリケーションでの変更を検出してOracle Identity Managerと同期させることができます。認可元またはターゲット・リソースから変更を取得できます。リコンシリエーション・エンジンは、ターゲット・アプリケーションでの変更を検出してOracle Identity Managerと同期させることができます。認可ソースまたはターゲット・リソースから変更を取得できます。変更は、前者の場合はユーザーと同期され、後者の場合はアカウントと同期されます。
アクセス・リクエストおよび承認
リクエスト・エンジンにより、エンドユーザーは、自身または他のユーザーのために、新しいアクセス権およびアクセス権の変更のリクエストを送信できます。オンライン・ショッピングのような方法により、アクセス・カタログを検索および閲覧し、リクエストを送信できます。リクエストは適切な承認者にルーティングされ、コネクタを使用して自動化された方法により、または接続解除されたプロビジョニングを使用して手動により履行されます。
アイデンティティの証明
アイデンティティ証明エンジンにより、管理者は証明キャンペーンを定義できます。これらのキャンペーンでは、管理者および権限を与えられたユーザーが、ユーザーに付与されているアクセス権をレビューおよび認定できます。特定のユーザーにそれを委任するか、自分で処理することもできます。ユーザーのアクセスを拒否して、アクセス権を取り消すプロビジョニング・アクションをトリガーできます。これはクローズドループ是正と呼ばれています。
アイデンティティ監査または職務分離(SoD)
SoDエンジンにより、管理者はルールを定義してそれらをポリシーにグループ化できます。これらのルールおよびポリシーはアイデンティティ監査ルールおよびポリシーと呼ばれており、Oracle Identity Managerでは、これらを使用してコンプライアンス・ルールに違反するアクセスを検出できます。管理者は、アクセス・リクエスト時に実行するポリシーと、遡って実行できるその他のポリシーを指定できます。ポリシー違反が見つかった場合は、是正のためにユーザーに違反が割り当てられます。
監査
監査エンジンは、Oracle Identity Managerの様々なアクションを監査(またはログ)します。管理者がカスタム監査イベントを追加することもできます。監査データのレポートには、Oracle Identity Managerのレポート機能を使用できます。
埋込みレポート・サーバー
埋込みレポート・サーバーは、Oracle BI Publisherに基づいており、運用および履歴レポートを提供します。管理者は、スタンドアロンのBI Publisherを使用するか、他のレポート・ツールを使用してスキーマ情報を使用してレポートを作成することもできます。
BPELワークフロー・エンジン
Oracle Identity ManagerではBPELを使用して、承認、手動履行、アイデンティティの証明およびアイデンティティ監査のためのワークフロー・オーケストレーションを提供しています。管理者は、BPELワークフローまたはSOAコンポジットを定義して、ワークフロー・ルールを使用してこれらのワークフローを動的に起動できます。BPELは、データ駆動型の承認者の解決、タスクの有効期限、エスカレーションおよび電子メール・ベースのアクション可能な通知を提供します。Oracle JDeveloperを使用して新規のワークフローを作成し、Oracle Identity Managerで登録できます。
Oracle Identity Managerのすべての情報は、Oracle Identity Managerリポジトリに格納されます。リポジトリは、構成、状態およびその他のデータを格納する表で構成されています。
Oracle Identity Managerには、ユーザーにプロビジョニングされたアカウントおよび権限データのコピーが保持されており、それをアイデンティティおよびアカウント・データの真のソースとして使用できます。
Oracle Identity Managerには、他のスキーマを使用してワークフロー、承認、構成および認可ポリシーに関するメタデータも格納されます。
Oracle Identity Managerは状態データを蓄積できるので、データの増加を管理するためのアーカイブおよびパージ・ユーティリティを提供します。最適なパフォーマンスを得るために、管理者は製品の推奨事項に従ってデータの増加を管理する必要があります。
コネクタ層は、ユーザー・アカウントのプロビジョニングとプロビジョニング解除、アカウント・パスワードの変更、および権限の付与/取消しを行うアプリケーションおよびITシステムで構成されています。
コネクタ層には、Oracle Identity Managerによる、リモートAPIのないアプリケーションやネイティブな統合を必要とするアプリケーションの管理を可能にする、軽量アプリケーションであるコネクタ・サーバーも含まれています。
通常、Oracle Identity Managerコネクタは、アイデンティティ・コネクタ・フレームワークを使用して開発され、サーバーにデプロイされます。コネクタ・サーバーが必要な場合には、コネクタ・サーバーにデプロイされる場合もあります。
コネクタの開発には、軽量で使いやすいアイデンティティ・コネクタ・フレームワークを使用して、独自のコネクタを作成できます。
