1 Database User Managementコネクタについて
次の項では、コネクタの概要を示します。
1.1 Database User Managementコネクタの概要
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対してセルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
ノート:
このガイドでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションは、CIベースのコネクタ (コネクタ・インストーラ・ベースのコネクタ)と呼びます。アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けることにより、このアプリケーションでユーザー情報をプロビジョニングおよびリコンシリエーションできるようにするプロセスです。
Database User Managementコネクタは、次のターゲット・システムとともに構成および使用できます。
-
Oracle Database
Oracle Databaseでは、ログインおよびユーザー・エンティティは単一エンティティとして扱われます。このドキュメントでは、そのようなエンティティをログイン・エンティティと呼びます。
-
MySQL
ノート:
このガイドでは、OracleやMySQLなどのデータベース・リソースをターゲット・システムと呼びます。
1.2 動作保証されているコンポーネント
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
ノート:
Oracle Identity Managerリリース11.1.xを使用している場合は、CIベースのモードでのみコネクタをインストールおよび使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governanceリリース12.2.1.3.0以降にアップグレードする必要があります。
表1-1 動作保証されているコンポーネント
| コンポーネント | AOBアプリケーションの要件 | CIベースのコネクタの要件 |
|---|---|---|
|
Oracle Identity GovernanceまたはOracle Identity Manager |
次のいずれかのリリースを使用できます。
|
次のいずれかのリリースを使用できます。
|
|
ターゲット・システム |
ターゲット・システムは次のいずれか。
|
ターゲット・システムは次のいずれか。
|
|
コネクタ・サーバー |
12.2.1.3.0 |
12.2.1.3.0 |
|
コネクタ・サーバーJDK |
JDK 1.8以降。 |
JDK 1.8以降。 |
1.3 使用上の推奨事項
これらは、使用しているOracle Identity GovernanceまたはOracle Identity Managerのバージョンに応じてデプロイおよび使用できるDatabase User Managementコネクタのバージョンに関する推奨事項です。
-
Oracle Identity Governance 12c (12.2.1.3.0)を使用しており、Oracle DatabaseまたはMySQLと統合する場合、このコネクタの最新の12.2.1.xバージョンを使用して、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイします。
-
Oracle Identity Governance 12c (12.2.1.3.0)を使用しており、これをIBM DB2、Microsoft SQL ServerまたはSybaseと統合する場合、このコネクタの最新の12.2.1.xバージョンを使用して、Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイします。
-
「動作保証されているコンポーネント」の「CIベースのコネクタの要件」列にリストされているOracle Identity Managerのいずれかのリリースを使用している場合、Database User Managementコネクタの11.1.1.xバージョンを使用します。このコネクタの12.1.xバージョンを使用する場合、CIベースのモードでのみコネクタをインストールおよび使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governanceリリース12.2.1.3.0にアップグレードする必要があります。
-
Oracle Identity Manager 11gリリース1 (11.1.1.5.3)より前でOracle Identity Managerリリース9.1.0.2までのリリースを使用している場合は、Database User Managementコネクタの9.1.xバージョンを使用します。
1.4 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.5 サポートされているコネクタ操作
これらは、コネクタがターゲット・システムを対象としてサポートしている操作のリストです。
表1-2 サポートされているコネクタ操作
| 操作 | IBM DB2のサポート | MSSQLのサポート | MySQLのサポート | Oracleデータベースのサポート | Sybaseのサポート |
|---|---|---|---|---|---|
|
ユーザー管理 |
|||||
|
ユーザーの作成 |
はい |
はい |
はい |
はい |
はい |
|
ユーザーの更新 |
いいえ |
いいえ |
いいえ |
はい |
はい |
|
ユーザーの削除 |
はい |
はい |
はい |
はい |
はい |
|
ユーザーの有効化 |
はい |
いいえ |
いいえ |
はい |
はい |
|
ユーザーの無効化 |
はい |
いいえ |
いいえ |
はい |
はい |
|
パスワードのリセット |
はい |
はい |
はい |
はい |
はい |
|
UserLoginの作成 |
適用なし |
はい |
適用なし |
適用なし |
はい |
|
UserLoginの更新 |
適用なし |
はい |
適用なし |
適用なし |
はい |
|
UserLoginの削除 |
適用なし |
はい |
適用なし |
適用なし |
はい |
|
権限付与の管理 |
|||||
|
ロールの追加 |
適用なし |
はい |
いいえ |
はい |
適用なし |
|
ロールの取消し |
適用なし |
はい |
いいえ |
はい |
適用なし |
|
権限の追加 |
適用なし |
適用なし |
はい |
はい |
適用なし |
|
権限の取消し |
適用なし |
適用なし |
はい |
はい |
適用なし |
|
スキーマの追加 |
はい |
適用なし |
適用なし |
適用なし |
適用なし |
|
スキーマの取消し |
はい |
適用なし |
適用なし |
適用なし |
適用なし |
|
表領域の追加 |
はい |
適用なし |
適用なし |
適用なし |
適用なし |
|
表領域の取消し |
はい |
適用なし |
適用なし |
適用なし |
適用なし |
|
ロール・リストの追加 |
適用なし |
適用なし |
適用なし |
適用なし |
はい |
|
ロール・リストの取消し |
適用なし |
適用なし |
適用なし |
適用なし |
はい |
1.6 コネクタのアーキテクチャ
Database User Managementコネクタは、Oracle Identity Governanceを介したデータベース・アカウントの管理を可能にし、アイデンティティ・コネクタ・フレームワーク(ICF)を使用して実装されます。
図1-1に、コネクタのアーキテクチャを示します。
Database User Managementコネクタは、アイデンティティ・コネクタ・フレームワーク(ICF)を使用して実装されます。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニングの操作を提供するコンポーネントです。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFは、Oracle Identity Governanceに付属しています。したがって、ICFを構成したり変更する必要はありません。
関連項目:
ICFの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のIdentity Connector Frameworkの理解に関する項を参照してください
即時利用可能な(OOB)コネクタには、動作保証済ターゲットOracle、MSSQL、MySQL、DB2、Sybase用のスクリプトが提供されています。動作保証済のデータベース以外のデータベースに対してコネクタをカスタマイズする場合は、新しいデータベースに対するスクリプトを手動で追加する必要があります。
コネクタでは、すべてのDBUM操作は、SQLスクリプトを実行するか、ストアド・プロシージャをコールすることによって実行されます。
たとえば、プロビジョニング操作中、プロセス・タスクがICF操作を呼び出すと、次にICFがコネクタ・バンドルに対する操作を呼び出し、コネクタ・バンドルが対応するSQL文を実行します。これらのSQL文は、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
同様に、リコンシリエーション中、スケジュール済タスクがICF操作を呼び出すと、次にICFがコネクタ・バンドルに対する検索操作を呼び出し、コネクタ・バンドルがターゲット・システムで対応する問合せまたはストアド・プロシージャを実行します。問合せまたはストアド・プロシージャの基準を満たすターゲット・システム・レコードがOracle Identity Governanceにフェッチされます。
コネクタ・バンドルのスクリプトおよびストアド・プロシージャは、コネクタ・バンドルに複数のファイルとして実装されており、カスタマイズも可能です。このバンドル・キーは、バンドル名、バンドル・バージョンおよびコネクタ名で構成され、バンドルのロードに使用されます。
コネクタ・バンドルに格納されているスクリプトの3つのカテゴリを次に示します。
| スクリプト | 説明 |
|---|---|
|
Provisioning.queries |
このスクリプトは、作成、更新または削除の操作に使用されます。 |
|
LoVSearch.queries |
このスクリプトは、参照リコンシリエーションに使用されます。これには、プロファイル、権限、ロール、表領域などの特定のフィールドに使用可能な値セットが含まれています。 |
|
Search.queries |
このスクリプトは、完全リコンシリエーション、増分リコンシリエーションまたは削除リコンシリエーションに使用されます。また、このスクリプトを使用すると、様々な条件でアカウントおよびグループの検索を実行できます。 |
起動された問合せに応じて、ExecutionHandlerによって問合せが実行されます。ExecutionHandlerの拡張ハンドラとして、2種類のハンドラ(SQLExecutionHandlerおよびStoredProcExecutionHandler)があります。
問合せのタイプに対応するExecutionHandlerが起動されます。StoredProcExecutionHandlerは、MSSQLでの操作に使用されます。ユーザー検索での使用例を次に示します。
USER_DATA_QUERY {
Query="CALL sp_helpuser({__UID__})"
QueryType="StoredProc"
Parameters=["__UID__":"Type:String,Direction:IN",
"defaultDatabase":"Type:String,Direction:OUT,ColName:DefDBName",
"loginName":"Type:String,Direction:OUT,ColName:LoginName",
"roles~DBRole~__NAME__":"Type:String,Direction:OUT,ColName:RoleName"]
QueryExtensions=[]
}
SQL問合せは、データ操作言語(DML)問合せとデータ定義言語(DDL)問合せに分類されます。DDL問合せはCREATE、REVOKE、GRANT、ALTERなどに使用され、DML問合せはUPDATE、INSERTなどに使用されます。
DDL問合せは標準の文として実行されます。作成操作に使用されるDDL文の例を次に示します。
Statement stmt = null;
try {
stmt = _dbConnection.getConnection().createStatement();
stmt.execute(sqlScript);
}
DML問合せは、プリコンパイルされた文として実行されます。更新操作に使用されるDML文の例を次に示します。
PreparedStatement st = null;
try {
st = conn.prepareStatement(sqlScript);
setParams(st, Arrays.asList(params));
return st.executeUpdate();
}
コネクタ・バンドルに関する情報は、マニフェスト・ファイルに格納されます。このファイルには、コネクタ・バンドル・フレームワーク・バージョン、コネクタ・バンドル名およびコネクタ・バンドル・バージョンに関する情報を提供するコネクタ定義が含まれています。コネクタ・バンドルの識別に必要なコネクタ定義の例を次に示します。
org.identityconnectors.dbum.12.3.0.jar
この例では、次のようになります。
org.identityconnectors: コネクタ・バンドル・フレームワークを示します。
dbum: コネクタ・バンドル名を示します。
12.3.0 jar: コネクタ・バンドル・バージョンを示します
1.7 サポートされているコネクタ機能のマトリックス
AOBアプリケーションおよびCIベースのコネクタによってサポートされている機能のリストを提供します。
表1-3 サポートされているコネクタ機能のマトリックス
| 機能 | AOBアプリケーション | CIベースのコネクタ | サポートされているターゲット・システム |
|---|---|---|---|
|
リコンシリエーションおよびプロビジョニング用の新しい標準属性とカスタム属性の追加 |
はい |
はい |
すべて |
|
リコンシリエーション用として事前定義済の問合せのカスタマイズ |
はい |
はい |
すべて |
|
プロビジョニング用として事前定義済の問合せのカスタマイズ |
はい |
はい |
すべて |
|
完全リコンシリエーション |
はい |
はい |
すべて |
|
増分リコンシリエーション |
はい |
はい |
|
|
制限付きリコンシリエーション |
はい |
はい |
すべて |
|
バッチ・リコンシリエーション |
はい |
はい |
すべて |
|
リコンシリエーションおよびプロビジョニングの操作からのアカウントの除外 |
はい |
はい |
すべて |
|
接続プーリング |
はい |
はい |
すべて |
|
コネクタ・サーバーの使用 |
はい |
はい |
すべて |
|
アプリケーションのクローニングまたは新しいアプリケーション・インスタンスの作成 |
はい |
はい |
すべて |
|
アカウント・データの変換および検証 |
はい |
はい |
すべて |
|
削除されたエンティティのリコンサイル |
はい |
はい |
すべて |
|
ユーザー・エンティティ、ログイン・エンティティおよび削除済ログイン・エンティティのリコンシリエーション用のスケジュール済ジョブ |
はい |
はい |
すべて |
|
ターゲット・システムとOracle Identity Manager間のSSL通信 |
はい |
はい |
すべて |
|
前処理または後処理アクション・スクリプトの追加 |
はい |
はい |
すべて |
|
Oracle Database Vaultのレルムの認可の管理 |
はい |
はい |
Oracle Database |
|
エンタープライズ・ユーザー・セキュリティの構成 |
はい |
はい |
Oracle Database |
1.8 コネクタの機能
コネクタの機能には、コネクタ・サーバーのサポート、プロビジョニングおよびリコンシリエーション操作を実行するための事前定義済およびカスタム問合せ、既存および変更済のすべてのアカウント・データのリコンシリエーション、制限付きおよびバッチ処理済リコンシリエーションのサポートなどが含まれます。
コネクタの機能は次のとおりです。
1.8.1 リコンシリエーションおよびプロビジョニング用の標準属性とカスタム属性のマッピング
デフォルト属性マッピングのリストに含まれない単一値および複数値のターゲット・システム属性に対してマッピングを作成できます。これらの属性は、ターゲット・システムで提供されている標準属性セットの一部であっても、ユーザーがターゲット・システムに追加したカスタム属性であってもかまいません。
新しい属性の追加の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のターゲット・アプリケーションのスキーマ情報の提供または認可アプリケーションのスキーマ情報の提供に関する項を参照してください。
1.8.2 事前定義済プロビジョニング問合せとカスタム・プロビジョニング問合せおよび事前定義済リコンシリエーション問合せとカスタム・リコンシリエーション問合せ
リコンシリエーションおよびプロビジョニング用として事前定義済のSQL問合せおよびストアド・プロシージャは、コネクタ・バンドルでそれぞれSearch.queriesおよびProvisioning.queriesファイルに格納されます。
事前定義済のSQL問合せおよびストアド・プロシージャの変更の詳細は、「事前定義済問合せの変更または新規問合せの作成」を参照してください。
1.8.3 完全リコンシリエーションおよび増分リコンシリエーション
完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Governanceにフェッチされます。
アプリケーションを作成した後はまず、完全リコンシリエーションを実行できます。最初の完全リコンシリエーションを実行すると、増分リコンシリエーションが自動的に有効になります。
詳細は、次の項を参照してください。
1.8.4 制限付き(フィルタ)リコンシリエーション
ICFフィルタによって制限付きリコンシリエーションが実行され、リコンシリエーション実行時にレコードがOracle Identity Governanceにフェッチされます。ICFフィルタはWHERE句に変換され、検索問合せに適用されます。
詳細は、次の項を参照してください。
1.8.5 バッチ・リコンシリエーション
リコンシリエーションの実行をバッチ単位に分割するには、各バッチに含める必要があるレコード数と、バッチ・リコンシリエーションを実行するために使用する必要がある問合せを指定します。
詳細は、次の項を参照してください。
1.8.6 リコンシリエーションおよびプロビジョニング操作から除外するアカウントの指定
すべてのリコンシリエーションおよびプロビジョニング操作から除外する必要のあるターゲット・システム・アカウントのリストを指定できます。除外リストでユーザー属性を指定したアカウントは、リコンシリエーションおよびプロビジョニングの操作による影響を受けません。
コネクタ操作から除外する必要があるアカウントのリストを指定するGroovyベースの検証スクリプトを作成できます。リソース除外用の検証Groovyスクリプトの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のGroovyスクリプトのカスタマイズに関する項を参照してください。
1.8.7 接続プーリング
接続プールは、ターゲットへの物理的な接続を表すオブジェクトのキャッシュです。Oracle Identity Governanceコネクタは、これらの接続を使用してターゲット・システムと通信できます。
実行時に、アプリケーションはプールに接続をリクエストします。接続が使用可能であれば、コネクタがその接続を使用してからプールに戻します。プールに戻された接続は、コネクタが別の操作のために再びリクエストして使用することができます。接続プールは、接続の再利用を可能にし、ネットワーク待機時間、メモリー割当ておよび認証といった接続作成のオーバーヘッドを減らすことに役立っています。
アプリケーション作成時に指定する基本構成パラメータのセットごとに1つの接続プールが作成されます。たとえば、ターゲット・システムの3つのインストールに3つのアプリケーションがある場合は、ターゲット・システム・インストールごとに1つずつ、3つの接続プールが作成されます。
-
Oracle Databaseの場合: Oracle Databaseの拡張設定パラメータ
-
MySQLの場合: MySQLの拡張設定パラメータ
1.8.8 コネクタ・サーバーのサポート
コネクタ・サーバーは、ICFによって提供されるコンポーネントであり、Oracle Identity Governanceコネクタのリモート実行を可能にします。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
1.8.9 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート
アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することにより、ターゲット・システムの複数のインストールに対してこのコネクタを構成できます。
アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションとして共有されます。
これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングおよびインスタンス・アプリケーションの作成に関する項を参照してください。
1.8.10 アカウント・データの変換および検証
アプリケーションの作成時にGroovyスクリプトを作成することにより、リコンシリエーションおよびプロビジョニングの操作中にOracle Identity Governanceとの間で送受信されるアカウント・データの検証と変換を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニングおよびリコンシリエーション属性の検証および変換に関する項を参照してください。
1.8.11 削除済エンティティに関するデータのリコンサイルのサポート
信頼できるソースまたはターゲット・リソースとして構成されているターゲット・システムで削除されたログイン・エンティティに関するデータをリコンサイルできます。
レコードがOracle Identity Governanceにフェッチされた後、ターゲット・システムをターゲット・リソースとして構成したか信頼できるソースとして構成したかに応じて、レコードは、既存のOIMユーザーと比較されるか、既存のOIMユーザーにプロビジョニングされたデータベース・リソースと比較されます。一致しないアカウントは、Oracle Identity Governanceで失効するか、削除されます。
1.8.12 ユーザー・エンティティ、ログイン・エンティティおよび削除済ログイン・エンティティのリコンシリエーション用の個別スケジュール済ジョブ
信頼できるソースまたはターゲット・リソースとして構成されているターゲット・システムのユーザー・エンティティ、ログイン・エンティティまたは削除済ログイン・エンティティに関するデータをリコンサイルできます。使用しているターゲット・システム、ターゲット・システムが構成されているモード、およびリコンサイルするデータのタイプに応じて、個別のスケジュール済ジョブが作成されています。
スケジュール済ジョブの詳細は、次のトピックのいずれかを参照してください。
1.8.13 ターゲット・システムおよびOracle Identity Governance間のSSL通信のサポート
Oracle Identity Governanceとターゲット・システムの間の通信を保護するためにSSLを構成できます。
詳細は、次の項を参照してください。
1.8.14 前処理および後処理アクション・スクリプトの実行のサポート
コネクタがデプロイされているコンピュータで前処理および後処理アクション・スクリプトを実行できます。これらのスクリプトは、SQL、ストアド・プロシージャまたはGroovyのいずれかのタイプです。アカウントのプロビジョニング操作の作成、更新または削除の前または後で実行するスクリプトを構成できます。
『Oracle® Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング構成の更新に関する項を参照してください。
1.8.15 Oracle Database Vaultレルムに対する認可管理のサポート
Oracle Database Vaultは、管理アクセス権を持つユーザーを含め、あらゆるユーザーからのOracle Databaseの特定領域へのアクセスを制限します。たとえば、従業員の給与、顧客の医療記録、またはその他の機密情報に対する管理アクセス権を制限できます。
これにより、様々な方法で機密情報へのファイングレインアクセス制御を適用できます。これにより、Oracle Databaseインスタンスのセキュリティが強化され、管理アクセス権を持つユーザーからの職務分離に関して業界標準の対応が可能です。最も重要なのは、管理権限ユーザーからデータを保護しながら、管理権限ユーザーによるOracle Databaseの管理が可能だということです。
Oracle Database Vaultでは、内部関係者の脅威からの保護、規制コンプライアンス要件への準拠、職務の分離の実施などのビジネス要件に対応できます。
Oracle Database Vaultは、個々のOracle Databaseインスタンスのセキュリティを管理するために構成します。Oracle Database Vaultは、Oracle Databaseのスタンドアロン・インストール、複数のOracleホーム、およびOracle Real Application Clusters(Oracle RAC)環境にインストールできます。
Oracle Database VaultがインストールされているOracle Databaseインストールでは、コネクタを使用して、Oracle Database Vaultレルムに対する認可を付与および管理できます。コネクタでは、Oracle Database Vaultレルムへのアクセスは権限として扱われます。コネクタを使用して、複数のレルムへのアクセス権を異なるアクセス・レベルでデータベース・ユーザーにプロビジョニングできます。
Oracle Identity Governanceはユーザー・アカウントの管理および権限へのアクセスの管理を行うエンタープライズ・アプリケーションであるため、コネクタでは次の要素の管理はサポートされていません。
-
レルム
-
コマンド・ルールおよびルール・セット
-
ファクタ
-
セキュア・アプリケーション・ロール
詳細は、「Oracle Database Vaultでの管理者アカウントの作成」を参照してください。
1.8.16 エンタープライズ・ユーザー・セキュリティに対するコネクタ構成のサポート
Oracle Enterprise User Securityでは、LDAP準拠のディレクトリ・サービスである、Oracle Internet Directoryで提供されるアイデンティティ管理サービスを使用して、ユーザー、管理およびセキュリティに関する問題に対処します。
LDAP準拠ディレクトリ内にユーザーを作成するには、Oracle Identity Manager LDAPコネクタまたはその他の手段を使用する必要があります。エンタープライズ・ユーザーは、データベース・アクセスについて、Oracle Internet DirectoryなどのLDAP準拠のディレクトリで一元的にプロビジョニングおよび管理されます。エンタープライズ・ユーザーは、ディレクトリ内に識別名(DN)と呼ばれる一意の識別子を持っています。エンタープライズ・ユーザーがデータベースにログオンすると、データベースはDNを使用してこれらのユーザーを認証します。
Oracle Enterprise User Securityが構成されているOracle Databaseインストールの場合、コネクタでは、ターゲット・システム・アカウント(ログインまたはユーザー)に対して、パスワードで認証されるユーザー、およびグローバルに認証されるユーザーの作成がサポートされています。認証タイプに応じて、プロビジョニング時に対応する認証タイプを選択する必要があります。認証タイプがグローバルの場合は、プロセス・フォームで次の変更を行う必要があります。
パスワード・フィールドはグローバル認証には必要ないため、削除してください。
また、プロビジョニング操作の実行時に、次を実行する必要があります。
-
認証タイプをグローバルに設定します。
-
グローバルDNで一意のIDを指定します。
コネクタを使用して、ターゲット・データベースでこれらのエンタープライズ・ユーザーのアカウントを作成して管理できます。