1 コネクタについて
次の項では、Amazon Web Servicesコネクタの概要を示します:
1.1 コネクタの概要
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
Amazon Web Servicesコネクタを使用すると、AWS (Amazon Web Services)アプリケーションを作成してOracle Identity Governanceにオンボードできます。
ノート:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity Governanceリリース12.2.1.3.0以降では、Oracle Identity Self Serviceのアプリケーション・オンボード機能を使用してコネクタのデプロイメントが処理されます。この機能により、ビジネス・ユーザーは最小限の詳細と作業でアプリケーションをオンボードできます。コネクタのインストール・パッケージには、指定したアプリケーションまたはターゲット・システムからデータをプロビジョニングおよびリコンサイルするために必要なすべての情報を含む事前定義済テンプレート(XMLファイル)のコレクションが含まれています。これらのテンプレートには、ターゲット・システムに固有の基本接続性と構成の詳細も含まれています。コネクタによってこれらの事前定義済テンプレートからの情報が使用されるため、ユーザーは単一の簡素化されたUIを使用して迅速かつ簡単にアプリケーションをオンボードできます。
アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。
ノート:
このマニュアルの一部では、Amazon Web Servicesをターゲット・システムと呼ぶことがあります。
1.2 動作保証されているコンポーネント
これらは、Amazon Web Servicesコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンです。
表1-1 動作保証されているコンポーネント
| コンポーネント | AOBアプリケーションの要件 |
|---|---|
|
Oracle Identity Governance |
次のいずれかのリリースを使用できます:
|
|
Oracle Identity Governance JDK |
JDK 1.8以降 |
|
ターゲット・システム |
AWS SDK for Java APIリファレンス - 2.13.76 |
|
コネクタ・サーバー |
11.1.2.1.0 または 12.2.1.3.0 |
|
コネクタ・サーバーJDK |
JDK 1.8以降 |
1.3 使用上の推奨事項
これは、使用しているOracle Identity GovernanceまたはOracle Identity Managerのバージョンに応じてデプロイおよび使用できる、Amazon Web Servicesコネクタの推奨されるバージョンです。
Oracle Identity Governance 12c (12.2.1.3.0)以降を使用している場合は、このコネクタの最新の12.2.1.xバージョンを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
1.4 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.5 サポートされているコネクタ操作
ターゲット・システムに対してコネクタでサポートされる操作のリストは次のとおりです。
表1-2 サポートされるコネクタ操作
| 操作 | サポート対象 |
|---|---|
|
ユーザー管理 |
|
|
ユーザーの作成 |
はい |
|
ユーザーの更新 |
はい |
|
ユーザーの有効化 |
はい |
|
ユーザーの無効化 |
はい |
|
ユーザーの削除 |
はい |
|
パスワードのリセット |
はい |
| ポリシー管理 | |
|
ユーザーに対するポリシーの追加および削除 |
はい |
| グループ管理 | |
|
ユーザーに対するグループの追加および削除 |
はい |
| タグ管理 | |
|
ユーザーに対するタグの追加および削除 |
はい |
1.6 コネクタのアーキテクチャ
Amazon Web Servicesコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニングの操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
図1-1に、Amazon Web Servicesコネクタのアーキテクチャを示します。
図1-1 コネクタのアーキテクチャ
コネクタは、アカウント管理モードで実行するように構成されています。アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。
-
プロビジョニング
プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザーを作成、更新または削除します。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがAmazon Web Servicesアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがプロビジョニング操作のためにAmazon Web Service SDKを呼び出します。ターゲット・システムのSDKはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
-
ターゲット・リソースのリコンシリエーション
リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。ICFは続いてAmazon Web Servicesアイデンティティ・コネクタ・バンドルで検索操作を呼び出し、続いてバンドルによりAmazon Web Service SDKがリコンシリエーション操作のために呼び出されます。SDKはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。
ターゲット・システムからフェッチされた各レコードは、OIMユーザーにすでにプロビジョニングされているAmazon Web Servicesリソースと比較されます。一致が見つかると、ターゲット・システムからAmazon Web Servicesレコードに対して行われた更新が、Oracle Identity GovernanceのAmazon Web Servicesリソースにコピーされます。一致が見つからなかった場合、レコードのuserPrincipalNameが、各OIMユーザーのユーザー・ログインと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、Amazon Web ServicesリソースがOIMユーザーにプロビジョニングされます。
関連項目:
ICFの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のIdentity Connector Frameworkの理解に関する項を参照してください
1.7 サポートされるコネクタの機能マトリックス
AOBアプリケーションでサポートされている機能のリストを示します。
表1-3 サポートされるコネクタの機能マトリックス
| 機能 | AOBアプリケーション |
|---|---|
|
完全リコンシリエーション |
はい |
|
増分リコンシリエーション |
はい |
|
制限付きリコンシリエーション |
はい |
|
削除されたユーザー・レコードのリコンシリエーション |
はい |
|
SSLを使用したセキュアな通信のターゲット・システムへの提供 |
はい |
|
コネクタ・サーバーの使用 |
はい |
|
アプリケーションのクローニングまたは新しいアプリケーション・インスタンスの作成 |
はい |
|
アカウント・データの変換および検証 |
はい |
|
ページ区切りのサポート |
はい |
|
接続のテスト |
はい |
1.8 コネクタの機能
コネクタの機能には、完全リコンシリエーションと増分リコンシリエーション、制限付きリコンシリエーション、アカウント・データの変換と検証などがあります。
1.8.1 完全リコンシリエーションおよび増分リコンシリエーションのサポート
完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Governanceにフェッチされます。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Governanceにフェッチされます。
コネクタのデプロイ後はいつでも、増分リコンシリエーションから完全リコンシリエーションへ切り替えることができます。完全リコンシリエーションおよび増分リコンシリエーションの実行の詳細は、完全リコンシリエーションおよび増分リコンシリエーションの実行に関する項を参照してください。
1.8.2 制限付き(フィルタ)リコンシリエーションのサポート
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。
ユーザー・リコンシリエーション・スケジュール済ジョブのFilter Query属性の値としてリコンシリエーション・フィルタを設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。Filter Query属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるWebサービスにフィルタを割り当てるのに役立ちます。
制限付きリコンシリエーションの実行の詳細は、「制限付きリコンシリエーションの実行」を参照してください。
1.8.3 削除されたユーザー・レコードのリコンシリエーション
削除されたユーザー・レコードのリコンシリエーションに対してコネクタを構成することができます。ターゲット・リソース・モードで、ユーザー・レコードがターゲット・システムで削除された場合、対応するExchangeユーザー・リソースはOIMユーザーから取り消されます。
削除ユーザーのリコンシリエーション・ジョブの詳細は、「リコンシリエーション・ジョブ」を参照してください。
1.8.4 参照定義のリコンシリエーション
ターゲット・システムのグループおよびポリシーのリコンシリエーション用にコネクタを構成し、Oracle Identity Governanceの参照定義に権限として移入されるようにできます。
これらの権限をリコンサイルするために使用可能なジョブの詳細は、「リコンシリエーション・ジョブ」を参照してください。
1.8.5 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
1.8.6 アカウント・データの変換および検証
アプリケーションの作成中にGroovyスクリプトを作成することにより、リコンシリエーションおよびプロビジョニング操作中にOracle Identity Governanceとの間で送受信されるアカウント・データの検証と変換を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。
1.8.7 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート
アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することにより、ターゲット・システムの複数のインストールに対してこのコネクタを構成できます。
アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションとして共有されます。
これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングに関する項およびインスタンス・アプリケーションの作成に関する項を参照してください。
1.8.8 ターゲット・システムのセキュアな通信
ターゲット・システムにセキュアな通信を提供するためにはSSLが必要です。
Oracle Identity Governanceとコネクタ・サーバーの間およびコネクタ・サーバーとターゲット・システムの間でSSLを構成できます。
SSLを構成しないと、ネットワーク上でパスワードがクリア・テキストで送信されます。たとえば、ユーザーを作成するとき、またはユーザーのパスワードを作成するときに、この問題が発生することがあります。
SSLの詳細は、「SSLの構成」を参照してください。
1.8.9 アクション・スクリプトの構成
アプリケーションの作成時に独自のGroovyスクリプトを作成して、アクション・スクリプトを構成できます。
これらのスクリプトは、アカウントの作成、更新または削除のプロビジョニング操作の前または後に実行されるように構成できます。たとえば、あるスクリプトを、個々のユーザー作成操作前に実行するように構成できます。
これらのスクリプトの構成の詳細は、「アクション・スクリプトの構成」を参照してください。
1.8.10 アカウントの有効化および無効化のサポート
enableProgrammaticAccess構成パラメータがtrueに設定されている場合、Oracle Identity Governanceからユーザー・アカウントを有効にすると、コンソールおよびプログラム・アクセスがターゲット・システムでアクティブになります。構成パラメータがfalseに設定されている場合は、コンソール・アクセスのみがアクティブになります。
Oracle Identity Governanceからユーザー・アカウントを無効にすると、enableProgrammaticAccess構成パラメータの値に関係なく、ターゲット・システムでコンソール・アクセスおよびプログラム・アクセスが非アクティブになります。これにより、Oracle Identity Governanceのユーザー・アカウントが無効になり、操作の実行が禁止されます。
リコンシリエーション操作中のOracle Identity Governanceアカウント・ステータスの有効化および無効化: コンソール・アクセスとプログラム・アクセスの両方がターゲットで非アクティブ化されている場合、Oracle Identity Governanceアカウント・ステータスは無効化されます。コンソール・アクセスまたはプログラム・アクセスのいずれかがアクティブな場合は、Oracle Identity Governanceアカウント・ステータスが有効になります。
ノート:
無効化/有効化操作が機能するためには、AWS IAMユーザーのログイン・プロファイルをそれぞれ削除/作成します。