コネクタのアーキテクチャ

1.5 コネクタのアーキテクチャ

ARCON特権アクセス管理は、アイデンティティ・コネクタ・フレームワーク(ICF)を使用して実装されます。

ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニングの操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。

次の図は、ARCON特権アクセス管理のアーキテクチャを示しています。

図1-1 ARCON特権アクセス管理コネクタのアーキテクチャ

コネクタは、次のモードのいずれかで実行されるように構成されます。

アカウント管理
アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。
- プロビジョニング
  
  プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザーを作成および更新します。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがARCON特権アクセス管理アイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがプロビジョニング操作のためにターゲット・システムAPI (ARCON特権アクセス管理API)を呼び出します。ターゲット・システムのAPIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
- ターゲット・リソースのリコンシリエーション
  
  リコンシリエーション時に、スケジュール済タスクがICF操作を開始します。これには、ARCON特権アクセス管理アイデンティティ・コネクタ・バンドルの検索が含まれます。このバンドルは、ARCON特権アクセス管理APIとのインタフェースをとり、特定の基準を満たすユーザー・レコードを取得します。これらのレコードは、バンドルおよびICFを介してスケジュール済タスクに戻され、そこでOracle Identity Governanceに統合されます。
  
  ターゲット・システムの各レコードは、OIMでプロビジョニングされた既存のARCON特権アクセス管理リソースと比較されます。一致が検出されると、ターゲット・システムのARCON特権アクセス管理レコードからの更新が、Oracle Identity Governanceの対応するARCON特権アクセス管理リソースにコピーされます。一致がない場合は、レコードの名前がOIMユーザー・ログインと比較されます。一致した場合、ターゲット・システムのレコードのデータを利用して、OIMユーザーのARCON特権アクセス管理リソースがプロビジョニングされます。
  
  コネクタ・バンドルはHTTPSプロトコルを使用して、SCIM APIエンドポイントを介したプログラムによるアクセスを提供するARCON特権アクセス管理APIと通信します。これらのエンドポイントにより、アプリケーションは、ユーザー、ロール、マルチファクタ認証、サービス、グループなど、様々なディレクトリ・データおよびオブジェクトに対して作成、読取りおよび更新操作を実行できます。