1 コネクタについて
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
ノート:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity Governanceリリース12.2.1.3.0以降では、Oracle Identity Self Serviceのアプリケーション・オンボード機能を使用してコネクタのデプロイメントが処理されます。この機能により、ビジネス・ユーザーは最小限の詳細と作業でアプリケーションをオンボードできます。コネクタのインストール・パッケージには、指定したアプリケーションまたはターゲット・システムからデータをプロビジョニングおよびリコンサイルするために必要なすべての情報を含む事前定義済テンプレート(XMLファイル)のコレクションが含まれています。これらのテンプレートには、ターゲット・システムに固有の基本接続性と構成の詳細も含まれています。コネクタによってこれらの事前定義済テンプレートからの情報が使用されるため、ユーザーは単一の簡素化されたUIを使用して迅速かつ簡単にアプリケーションをオンボードできます。
アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。
次の項では、Azure ADコネクタの概要を示します:
1.1 Office 365と比較したコネクタ・オファリング
Azure ADコネクタには、Office 365コネクタと比較して追加の利点があります。ここでは、Office 365コネクタではなく、Azure ADをオプトインする主な理由をいくつか示します。
- Azure ADコネクタ・ユーザーは、Azure ADコネクタを使用して最新のMicrosoft Graph APIを利用できます。
- Azure ADコネクタには、セキュリティ・グループとOffice 365グループの区別に役立つ即時利用可能な機能があります。
- Azure ADコネクタにより、Office 365コネクタよりもリコンシリエーション・パフォーマンスが向上します。
1.2 動作保証されているコンポーネント
Azure ADコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1 動作保証されているコンポーネント
| コンポーネント | AOBアプリケーションの要件 |
|---|---|
|
Oracle Identity GovernanceまたはOracle Identity Manager |
次のいずれかのリリースを使用できます:
|
|
Oracle Identity GovernanceまたはOracle Identity Manager JDK |
JDK 1.8以降 |
|
ターゲット・システム |
Azure AD |
|
コネクタ・サーバー |
11.1.2.1.0または12.2.1.3以降 |
|
コネクタ・サーバーJDK |
JDK 1.8以降 |
|
ターゲットAPIバージョン |
Azure Active Directory (AD) Microsoft Graph API v1.0およびAuthentication APIバージョンv2.0 |
1.3 使用上の推奨事項
Oracle Identity Governance 12c (12.2.1.3.0)以降を使用している場合は、このコネクタの最新の12.2.1.xバージョンを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
1.4 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.5 サポートされるコネクタ操作
ターゲット・システムに対してコネクタでサポートされる操作のリストは次のとおりです。
表1-2 サポートされるコネクタ操作
| 操作 | サポート対象 |
|---|---|
|
ユーザー管理 |
|
|
ユーザーの作成 |
はい |
|
ユーザーの更新 |
はい |
|
ユーザーの有効化 |
はい |
|
ユーザーの無効化 |
はい |
|
ユーザーの削除 |
はい |
|
パスワードのリセット |
はい |
| ロール付与管理 | |
|
ロールの割当ておよび取消し |
はい |
|
ライセンス付与管理 |
|
|
ライセンスの付与および取消し |
はい |
| セキュリティ・グループ管理 | |
|
グループの追加、更新および削除 |
はい |
| オフィス・グループ管理 | |
|
グループの追加、更新および削除 |
はい |
| MS Teams管理 | |
|
ユーザーへのグループの作成 |
はい |
|
ユーザーからのグループの削除 |
はい |
|
ユーザーへのグループの調整 |
はい |
| チーム・グループ割当て | |
|
ユーザーへのチーム・グループの追加 |
はい |
|
ユーザーからのチーム・グループの削除
ノート: MS Teamsのサポートは、12.2.1.3.0Bから適用可能です。 |
はい |
ノート:
グループをオブジェクトとして管理するために必要なすべてのコネクタ・アーティファクト(たとえば、グループの属性マッピング、リコンシリエーション・ルール、ジョブなど)は、Identity Self ServiceのアプリケーションUIに表示されません。ただし、必要なすべての情報は、コネクタのインストール・パッケージの事前定義済のアプリケーション・テンプレートで入手できます。グループに関連するアーティファクトの詳細は、「グループ管理に使用されるコネクタ・オブジェクト」を参照してください。1.6 コネクタのアーキテクチャ
Azure ADコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニングの操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
図1-1に、Azure ADコネクタのアーキテクチャを示します。
-
アイデンティティ・リコンシリエーション
アイデンティティ・リコンシリエーションは、認可ソースまたは信頼できるソースのリコンシリエーションとも呼ばれます。このモードでは、Azure ADアプリケーションは信頼できるソースとして使用され、ユーザーはOracle Identity Governanceで直接作成および変更されます。リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。次に、ICFがAzure ADアイデンティティ・コネクタ・バンドルで検索操作を呼び出してから、そのバンドルがリコンシリエーション操作のためにAzure AD APIをコールします。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。
ターゲット・システムからフェッチされた各ユーザー・レコードが、既存のOIMユーザーと比較されます。ターゲット・システムとOIMユーザーの一致が見つかった場合、ターゲット・システム・レコードに対して行われた変更内容でOIMユーザー属性が更新されます。一致が見つからない場合、ターゲット・システム・レコードを使用してOIMユーザーが作成されます。
-
アカウント管理
アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。
-
プロビジョニング
プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザーを作成、更新または削除します。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがAzure ADアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、そのバンドルがプロビジョニング操作のためにターゲット・システムAPI (Microsoft Azure Active Directory (AD) Graph API)をコールします。ターゲット・システムのAPIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
-
ターゲット・リソースのリコンシリエーション
リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。次に、ICFがAzure ADアイデンティティ・コネクタ・バンドルで検索操作を呼び出してから、そのバンドルがリコンシリエーション操作のためにAzure AD APIをコールします。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。
ターゲット・システムからフェッチされた各レコードは、OIMユーザーにすでにプロビジョニングされているAzure ADリソースと比較されます。一致が見つかった場合、ターゲット・システムからAzure ADレコードに加えられた更新がOracle Identity GovernanceのAzure ADリソースにコピーされます。一致が見つからなかった場合、レコードのuserPrincipalNameが、各OIMユーザーのユーザー・ログインと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、Azure ADリソースがOIMユーザーにプロビジョニングされます。
-
Azure ADアイデンティティ・コネクタ・バンドルはHTTPSプロトコルを使用してMicrosoft Graph APIと通信します。Microsoft Graph APIを使用すると、REST APIエンドポイントを介してAzure Active Directoryにプログラム的にアクセスできます。アプリケーションはMicrosoft Graph APIを使用して、ディレクトリ・データ、およびユーザーやグループといったディレクトリ・オブジェクトに対して作成、読取り、更新および削除(CRUD)操作を実行できます。
関連項目:
ICFの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のIdentity Connector Frameworkの理解に関する項を参照してください
1.7 コネクタでサポートされるユースケース
Azure ADコネクタは、Oracle Identity GovernanceをAzure ADと統合して、すべてのAzure ADアカウントが企業内の他のアイデンティティ認識アプリケーションとの統合サイクルで作成、更新および非アクティブ化されるようにするために使用されます。Azure ADコネクタは、Azure ADのクラウド・アイデンティティ、同期アイデンティティおよびフェデレーテッド・アイデンティティの各モデルのアイデンティティの管理をサポートしています。一般的なITシナリオでは、Oracle Identity Governanceを使用する組織のねらいはAzure AD Cloud Serviceにおけるアカウント、グループ、ロールおよびライセンスの管理にあります。
-
Azure ADユーザー管理
Azure ADを使用している組織において、Oracle Identity Governanceを統合してアイデンティティを管理します。この組織では、Oracle Identity Governanceを使用してターゲット・システムのユーザー・アイデンティティを作成することによりその管理を行うことにしました。この組織ではまた、ターゲット・システムでOracle Identity Governanceにより直接実行されたユーザー・アイデンティティの変更を同期することにもしました。このようなシナリオにおいて手軽で簡単な方法は、Azure ADコネクタをインストールし、接続情報を指定することによりターゲット・システムで構成することです。
ターゲット・システムで新規ユーザーを作成するには、OIMプロセス・フォームに入力して送信し、プロビジョニング操作をトリガーします。コネクタではターゲット・システムに対してCreateOp操作を実行し、この操作の実行が成功するとユーザーが作成されます。同様に、削除や更新といった操作も実行できます。
ユーザー・アイデンティティを検索または取得するには、Oracle Identity Governanceからスケジュール済タスクを実行する必要があります。コネクタはターゲット・システムのユーザー・アイデンティティに対して対応するSearchOpを実行し、Oracle Identity Governanceに対するすべての変更をフェッチします。
-
Azure ADグループ管理
組織には多数のAzure ADセキュリティ・グループがあり、ユーザーは新規グループの設定、メンバーシップの管理、グループの削除を行うことができます。その組織において、最近アクセスがない、または非アクティブなメンバーがいるグループのリストを取得します。このようなシナリオにおいて、Azure ADコネクタを使用してグループの使用状況の傾向を示すことができます。Azure ADコネクタを使用すると、Oracle Identity Governanceのレポート機能を利用して、グループに対して実行された任意の操作(作成、更新、削除など)およびメンバーシップに対して加えられた変更を追跡できます。
-
Azure AD管理ロール管理
大規模な組織では、管理者が他の従業員に管理者として様々な役割を果たすよう任命することが必要となる場合があります。たとえば、他の従業員やパートナ、顧客、ベンダーに対するサポート・エージェントとしての役割を果たせる社内のITスタッフに管理者役割を設定できます。Azure ADコネクタを使用すると、Azure AD管理ロールを権限としてユーザーに割り当てたり、取り消すことができるため、Azure ADの委任管理機能を利用しやすくなります。
-
Azure ADユーザー・ライセンス管理
他のシナリオは、組織でAzure AD for businessを使用しており、組織の必要の変化に応じてユーザーにライセンスを割り当てたり割当てを解除することによりユーザー・ライセンスを管理しているという場合です。ここで必要となるのは、クラウドおよびオンプレミス・サーバーのすべてのライセンスおよびユーザー権限を効率よくトラッキングすることです。このようなシナリオにおいて、Azure ADコネクタを使用することですべてのユーザー・ライセンスを効率よく追跡できます。これらのライセンス割当ての変更は、Oracle Identity Governanceの監査およびレポート機能を利用することで追跡できます。
大規模なライセンス管理を容易にするには、2つのタイプのライセンスを使用できます。
- 直接ライセンス
ユーザー・グループに製品ライセンスを割り当て、Office 365 Enterprise E3ライセンスなど、Azure Active Directoryで正しくライセンスされていることを確認します。
- 継承ライセンス
Microsoftは、Azureポータルを介してグループベースのライセンス管理を使用できるようにしています。お客様は、1つの製品で使用可能な個々のサービス・プランを有効または無効にできます。サービス・プランは継承ライセンスと呼ばれます。たとえば、Office 365 Enterprise E3ライセンスにはTeams、PowerBI、YammerおよびSharePointなどのサービス・プランがあります。
ノート:
サービス・プランなしでユーザーに直接ライセンスを追加した場合は、そのユーザーにデフォルトのライセンスが添付されています。ユーザーはデフォルト・ライセンスを追加または削除できません。ユーザーがすべての継承ライセンスを削除する場合は、直接ライセンスを強制的に削除する必要があります。 - 直接ライセンス
- MS Teamsグループ・サポート
Microsoft Teamsは、Microsoftが開発した独自のビジネス通信プラットフォームであり、Microsoft 365製品ファミリの一部です。MS Teamを使用すると、ユーザーはファイルを共有し、カレンダから会議を編成し、MS OneNote、MS OneDrive、Skype for Businessなどの他のOfficeアプリケーションと同期できます。これにより、コラボレーションとコミュニケーションが改善され、同時にOffice 365の採用が支援されます。
1.8 コネクタの機能
コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、制限付きリコンシリエーション、および削除されたアカウント・データのリコンシリエーションが含まれます。
表1-3 サポートされるコネクタの機能マトリックス
| 機能 | AOBアプリケーション |
|---|---|
|
完全リコンシリエーション |
はい |
|
制限付きリコンシリエーション |
はい |
|
削除のリコンシリエーション |
はい |
|
認可ソース・リコンシリエーションのサポート |
はい |
|
認可ソース削除リコンシリエーションのサポート |
はい |
|
コネクタ・サーバーの使用 |
はい |
|
アカウント・データの変換および検証 |
はい |
|
複数ドメインでのコネクタ操作の実行 |
はい |
|
ページングのサポート |
はい |
|
接続のテスト |
はい |
|
パスワードのリセット |
はい |
|
MS Teams管理 |
はい |
|
Teamsグループの割当て |
はい ノート: MS Teamsのサポートは、12.2.1.3.0Bから適用可能です。 |
次の各トピックでは、AOBアプリケーションの機能の詳細について説明します。
1.8.1 完全リコンシリエーションおよび増分リコンシリエーション
完全リコンシリエーションを実行して、すべての既存ユーザー・データをターゲット・システムからOracle Identity Governanceに移動できます。
完全リコンシリエーションを初めて実行した後、ターゲット・システムにオブジェクトの作成または変更のタイムスタンプが格納される属性が含まれている場合は、コネクタを増分リコンシリエーション用に構成できます。
Azure ADコネクタでは、増分リコンシリエーションのオプションはデフォルトでは有効になっていません。コネクタでは、ターゲット・システムにオブジェクトの作成または変更のタイムスタンプが格納される属性が含まれている場合にのみ、増分リコンシリエーションをサポートします。
ノート:
コネクタでは、ターゲット・システムにオブジェクトの作成または変更のタイムスタンプが格納される属性が含まれている場合に、増分リコンシリエーションをサポートします。完全リコンシリエーションはいつでも実行できます。完全リコンシリエーションおよび増分リコンシリエーションの実行の詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。
1.8.2制限付きリコンシリエーション
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。リコンシリエーション実行時に、Oracle Identity Governanceにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
ユーザー・リコンシリエーション・スケジュール済ジョブのFilter Suffix属性の値としてリコンシリエーション・フィルタを設定できます。Filter Suffix属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるAPIにフィルタを割り当てるのに役立ちます。
詳細は、「制限付きリコンシリエーションの実行」を参照してください。
1.8.3 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。ネイティブに管理されているリソースと同じホストにバンドルをデプロイするとバンドルの動作が速くなる場合は、Javaコネクタを別のホストで実行するとパフォーマンス改善に役立ちます。
関連項目:
コネクタ・サーバーのインストールと構成、およびコネクタ・サーバーの実行の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください
1.8.4 アカウント・データの変換および検証
アプリケーションの作成中にGroovyスクリプトを作成することにより、リコンシリエーションおよびプロビジョニング操作中にOracle Identity Governanceとの間で送受信されるアカウント・データの検証と変換を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。