この章では、Oracle Identity Governanceの目的について説明し、主な機能に焦点を当てます。次のトピックが含まれています:
注意:
このドキュメントでのOracle Identity GovernanceおよびOracle Identity Managerの製品名参照は、同じことを意味します。Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対してセルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供するソリューションです。
Oracle Identity Managerはガバナンス・ソリューションであり、企業はOracle Identity Managerを使用することにより、顧客、ビジネス・パートナおよび従業員のアイデンティティおよびアクセス権限をすべての1つのプラットフォーム上で管理できます。また、これらのユーザーは、委任管理を使用して自分のアイデンティティだけでなく他のユーザーのアイデンティティも管理できます。企業は、他のユーザーのアイデンティティ、パスワード、パスワード・ポリシーおよびアクセスを管理する権限を持つユーザーである委任管理者を設定できます。ビジネス・ユーザーは、エンド・ユーザーへのアクセス権を付与するエンタープライズ・ロールのライフサイクルを作成および管理できます。これらのロールは、ルールを使用して自動的に付与できます。企業は、ロールおよびアクセス・ポリシーを使用することにより、ユーザーが組み込まれているかどうかを適時かつ自動的な方法確認できます。
Oracle Identity Managerを使用すると、エンド・ユーザーは、ジョブの実行に必要なアクセス権を簡単でわかりやすい方法で取得できます。エンド・ユーザーは、専門技術を使用せずにわかりやすい方法で使用可能なアクセス権を提示するアクセス・カテゴリを使用して、必要なアクセス権をリクエストできます。エンド・ユーザーがリクエストを送信すると、リクエストは承認を求めて承認者および管理者に転送されます。
Oracle Identity Managerでは、オンプレミスまたはクラウドで管理されるアプリケーション全体にわたって、ユーザー・アカウントの作成、更新および削除、パスワードのプロビジョニング、および権限の付与/失効のプロセスを自動化します。このプロセスは、プロビジョニングおよびプロビジョニング解除と呼ばれます。Oracle Identity Managerでは、接続されているアプリケーションのプロビジョニングおよびプロビジョニング解除を実行するためにコネクタを使用します。また、コネクタをサポートしていないアプリケーションでの手動のプロビジョニングおよびプロビジョニング解除もサポートしています。このようなアプリケーションは、接続なしアプリケーションと呼ばれます。
Oracle Identity Managerでは、HRアプリケーションなどの認証ソースのアイデンティティと、LDAPやデータベースを含むアプリケーションのアカウントおよびアクセス権を同期化できます。雇用、転任、管理者変更、退職などのアイデンティティ・ライフサイクル・イベントはOracle Identity Managerと同期化できます。これにより、Oracle Identity Managerでは、アクセスの失効を含む適切なアクションをとることができるようになります。アイデンティティ情報をアイデンティティ・データの認証ソースと同期化するこのメカニズムは、信頼できるリコンシリエーションと呼ばれます。Oracle Identity Managerでは、アクセス権を含むアカウント情報と、Oracle Identity Managerが管理するアプリケーションの権限を同期化することもできます。このメカニズムは、ターゲット・リコンシリエーションと呼ばれます。
管理者、認可されたユーザー、およびコンプライアンス管理者は、Oracle Identity Managerを使用することにより、アイデンティティ証明と呼ばれるプロセスによってわかりやすい方法でユーザー・アクセスをレビューおよび認証できるようになります。認可された管理者は、簡単なウィザードを使用して、予定どおりに、またはその場かぎりで、証明キャンペーンを作成および構成できます。ユーザー・アクセスを証明する必要がある証明者には、情報が簡単な方法で提示されます。証明者は、アクセスを承認することも却下することもできます。違反が検出され、アクセスが却下された場合、Oracle Identity Managerでは、管理者が違反を修正するためのプロセスが開始されます。また、ターゲット・プラットフォームまたはターゲット・アプリケーションからアクセス権を直接プロビジョニング解除すると同時に、実行されたアクションの包括的な証跡を維持することもできます。これは、クローズドループ改善と呼ばれます。Oracle Identity Managerは、ビジネス管理者、ロール所有者、アプリケーション所有者および権限所有者などの様々なユーザーの役割に基づいて様々なタイプの証明をサポートしています。
企業は、Oracle Identity Managerを使用して、ビジネス・ユーザーによる監査ポリシーの設定を可能にすることにより、コンプライアンス上の目的を達成できます。監査ポリシーにより、ユーザーに付与する/しないアクセス権のタイプを指定します。たとえば、買掛金と売掛金の両方にアクセスできるユーザーが企業改革法に違反しているとします。これは、職務の分離(SoD)違反と呼ばれます。企業は、Oracle Identity Managerを使用して、アクセス・リクエスト中に実施できるSoDポリシーを定義できるだけでなく、既存のアクセスをスキャンして、ポリシー違反と呼ばれるアクセス権の有害な組合せを特定できます。Oracle Identity Managerでは、違反を識別し、ビジネス管理者や管理者などの改善者がこれらの違反を修正できるワークフローを開始します。このプロセスは、改善と呼ばれます。改善者が実行するアクションはすべて記録され、包括的な監査証跡が維持されます。
Oracle Identity Managerには、誰がいつどこでどのような変更をどのようなコンテキストで誰に対して開始したかを監査者やセキュリティ・スタッフが追跡できる包括的な監査機能が用意されています。これにより、カスタム監査イベントの作成が可能になります。このため、顧客は、ワークフローとプロセスを監査できます。すべての監査情報は、標準のレポート・ツールを使用してレポートできる方法で利用できます。
Oracle Identity Governanceでは、アイデンティティ管理要件に基づいて機能を柔軟に使用できます。特定のデプロイメント・オプションを選択することにより、特定の機能を有効にできます。
Oracle Identity Managerは、次の3つのモードで構成できます。
データベース・モードのOracle Identity Manager
Oracle Identity Managerは、データベースに格納されている数百万のアイデンティティ、ロールおよび権限や、数千のアプリケーションを管理できる、拡張性の非常に高い管理およびプロビジョニング用のソリューションです。このモードを使用する必要があるのは、アイデンティティ管理、アクセス・リクエスト、アカウント、および権限のプロビジョニングとリコンシリエーションがビジネスの主な原動力であり、Single Sign On (SSO)ソリューションを使用した簡単なSSOで十分である場合です。
アイデンティティ監査者モードが有効なOracle Identity Manager
アイデンティティ監査者モードが有効なOracle Identity Managerには、証明キャンペーンの実行、アイデンティティ監査ポリシーの管理と使用、およびロール・マイニングの実行によるロールとポリシーのクラスタの検出を行うための機能が用意されています。
アイデンティティ監査者モードでは、LCMロール、職務分離(アイデンティティ監査)およびアクセス証明機能を使用できます。アイデンティティ監査者機能を使用するには、ライセンスが必要です。
注意:
アイデンティティ監査者モードは、Oracle Identity Managerのインストール後に有効にできます。アイデンティティ監査者モードの有効化の詳細は、Oracle Identity Governanceでのセルフ・サービス・タスクの実行のアイデンティティ監査の有効化に関する項を参照してください。
表1-1に、Oracle Identity Managerの各デプロイメント・モードで使用可能な機能のサマリーを示します。
表1-1 機能のサマリー
機能 | DBモードのOracle Identity Manager | アイデンティティ監査者モードが有効なOracle Identity Manager |
---|---|---|
アクセス・ポリシー管理 |
はい |
はい |
アクセス・リクエスト |
はい |
はい |
承認 |
はい |
はい |
監査 |
はい |
はい |
委任管理 |
はい |
はい |
アイデンティティ監査(SoD) |
いいえ |
はい |
アイデンティティの証明 |
いいえ |
はい |
アイデンティティ・ストア |
データベース |
データベース |
ロスト・パスワード、忘れたユーザーID、自己登録 |
はい |
はい |
OAM/OAAM/OMSSの統合 |
はい |
はい |
組織管理 |
はい |
はい |
パスワードの同期化 |
はい |
はい |
プロビジョニング |
はい |
はい |
リコンシリエーション |
はい |
はい |
レポート |
はい |
はい |
ロール管理 |
はい |
はい |
ユーザー管理 |
はい |
はい |
ユーザー・パスワード管理 |
はい |
はい |
注意:
選択ファイルはすべてのモードで無効にできます。ただし、特定の機能にはワークフローが必要です。ワークフローの無効化およびその場合の様々なOracle Identity Manager機能への影響については、ワークフローなしでのOracle Identity Governanceの実行を参照してください。
監査の詳細は、監査の構成を参照してください。
Oracle Identity Governanceは様々なアプリケーションおよびITシステムと対話し、コネクタを使用してアプリケーション・インスタンスとアカウントを管理します。
Oracle Identity Managerでは、アプリケーションおよび他のITシステムはITリソースと呼ばれます。ITリソースにより、Oracle Identity Managerで管理できる様々なオブジェクトが公開されます。これらのオブジェクトは、リソース・オブジェクトと呼ばれます。アカウントを表すオブジェクトはアプリケーション・インスタンスと呼ばれ、アプリケーション内のアクセス権を表すオブジェクトは権限と呼ばれます。
Oracle Identity Managerは様々なアプリケーションおよびITシステムと対話し、コネクタを使用してアプリケーション・インスタンスとアカウントを管理します。コネクタはOracle Identity Managerサーバーにインストールされます。Oracleには、JDBC、LDAP、SPML、SOAPおよびRESTなどの一般的なテクノロジや、SAP、eBusiness SuiteおよびPeopleSoftなどの一般的なビジネス・アプリケーション用のコネクタが複数用意されています。アイデンティティ・コネクタ・フレームワーク(ICF)を使用すると、新しいコネクタを開発できます。
一部のITシステムでは、直接対話することができないため、コネクタ・サーバーと呼ばれる軽量のコンポーネントを使用する必要があります。コネクタ・サーバーを使用する必要があるアプリケーションの例として、Exchange DirectoryやActive DirectoryなどのMicrosoft製品、Novell eDirectory、IBM Lotus Notesおよび他の製品があります。このようなシナリオでは、コネクタはコネクタ・サーバーにデプロイされ、ネイティブ・プロトコルを使用してアプリケーションと対話します。Oracle Identity Managerはコネクタ・サーバーと通信し、コネクタ・サーバーがコネクタと通信します。
Oracle Identity Governanceは、標準ベースの統合を介して他のOracleおよびサード・パーティのIdentity and Access Management製品と統合されます。
Oracle Identity ManagerをOAMと統合すると、忘れたユーザーID、忘れたパスワード、チャレンジ質問と回答、パスワードとパスワード・ポリシー管理、アカウントのロック、自己登録、ユーザー/ロール/組織管理の各サービスが提供されます。OAMは、Oracle Identity Managerに対してシングル・サインオン・サービスを提供します。OAMには、ユーザーがロックされた場合のリアルタイムのセッション強制終了機能や、自動ロック解除機能が用意されています。
Oracle Identity Managerでは、LDAP同期機能を使用する必要があります。この機能を使用すると、Oracle Identity Managerでは、ユーザー、ユーザーのパスワード、ユーザー属性の変更、グループおよびグループ・メンバーシップをLDAPディレクトリにプッシュできるようになります。Oracle Identity Managerでは、アカウントのロック・ステータスを含む、LDAPディレクトリの変更をリコンサイルします。
Oracle Identity Managerは、簡略化および単純化されたOAMとの統合をサポートしています。この場合、OAMはOracle Identity Managerに対してシングル・サインオン・サービスを提供します。この方法の場合、状態属性の同期化や、OIMユーザーおよびグループの同期化は行われません。プロビジョニングとコネクタを使用して、LDAPユーザーおよびグループのプロビジョニングとリコンシリエーションを実現できます。
注意:
OAMとの統合については、Oracle Identity Management Suite統合ガイドのAccess ManagerおよびOracle Identity Governanceとの統合に関する項を参照してください。
Oracle Identity Governanceには、アイデンティティ・セルフ・サービス・コンソールと呼ばれるエンド・ユーザー・インタフェースと、アイデンティティ・システム管理と呼ばれる管理者インタフェースが用意されています。エンド・ユーザーとシステム管理者は両方とも、Webブラウザを使用してOracle Identity Governanceにログオンします。
エンド・ユーザーのインタフェースは、次の目的で使用します。
ユーザー・プロファイル、パスワード、チャレンジ質問およびアカウント・パスワードを管理します。
自分と他のユーザーのアクセス権の表示、リクエストと承認、ユーザーの認証、およびポリシー違反と手動プロビジョニング・タスクの処理を行います。
組織ロールと管理ロールの設定、および委任された管理の構成を行います。また、委任された管理者がユーザー、組織およびパスワード・ポリシーの作成と管理を行う場合も使用します。
認可されたユーザーが、ロールの作成、証明キャンペーンの実行、SoDルールとポリシーの構成、およびコンプライアンス・スキャンの作成と実行を行います。
システム管理者のインタフェースは、次の目的で使用します。
ワークフロー・ポリシー、ホーム組織ポリシー、およびユーザー機能を定義します。
ユーザー、ロールおよび組織などのシステム・エンティティのスキーマを管理します。
プロビジョニング・エンドポイントおよびサポートされているオブジェクトのスキーマを管理します。
Oracle Identity Managerの構成オブジェクトをインポート/エクスポートします。
コネクタをインストール/アンインストール/アップグレードします。
また、RESTサービスを使用して、独自のユーザー・インタフェースを作成したり、他のアプリケーションをOracle Identity Managerと統合することもできます。
開発者が次を使用することもできます。
Oracle Application Development Framework (ADF)を使用してカスタムUIを作成したり、Business Process Execution Language (BPEL)を使用してカスタム・ワークフローを作成するためのJDeveloper IDE
プロビジョニング・ワークフローを作成するためのJavaシック・クライアントであるDesign Console
カスタム・レポートを作成するための埋込みBI Publisherレポート・サーバー