コネクタを使用したアプリケーションの作成

2 コネクタを使用したアプリケーションの作成

コネクタを使用したアプリケーションのオンボードとその前提条件について学習します。

2.1 コネクタを使用したアプリケーション作成のプロセス・フロー

Oracle Identity Governanceリリース12.2.1.3.0以降、コネクタ・デプロイメントはIdentity Self Serviceのアプリケーション・オンボード機能を使用して処理されます。

図2-1は、コネクタのインストール・パッケージを使用してOracle Identity Governanceでアプリケーションを作成するステップの概要を示すフローチャートです。

図2-1 コネクタを使用したアプリケーション作成プロセスの全体フロー

このイメージは、コネクタを使用してアプリケーションを作成するプロセスの全体的なフローを示すフローチャートです。

2.2 コネクタのインストール・パッケージのダウンロード

コネクタのインストール・パッケージは、Oracle Technology Network (OTN) Webサイトで入手できます。

コネクタのインストール・パッケージをダウンロードするには:

OTNのWebサイト(http://www.oracle.com/technetwork/middleware/id-mgmt/downloads/connectors-101674.html)に移動します。
「OTNライセンス契約」をクリックしてライセンス契約を読みます。
「Accept License Agreement」オプションを選択します。
インストール・パッケージをダウンロードする前に、ライセンス契約に同意する必要があります。
Oracle Identity Governanceをホストしているコンピュータにインストール・パッケージをダウンロードして、任意のディレクトリに保存します。
インストール・パッケージの内容を、Oracle Identity Governanceをホストしているコンピュータ上の任意のディレクトリに抽出します。これにより、CONNECTOR_NAME-RELEASE_NUMBERという名前のディレクトリが作成されます。
CONNECTOR_NAME-RELEASE_NUMBERディレクトリをOIG_HOME/server/ConnectorDefaultDirectoryディレクトリにコピーします。

2.3 サード・パーティJARライブラリのダウンロードおよびコピー

コネクタ・パッケージに同梱されているAmazonWebServices-12.2.1.3.0 /libフォルダのサードパーティjarを使用するか、最新の安定したセキュアなバージョンをダウンロードできます。次の手順に従って、サードパーティjarを含めてください:

OIM_ORACLE_HOME/server/ConnectorDefaultDirectory/targetsystems-lib/ディレクトリの下にAmazonWebservices-RELEASE_NUMBERというディレクトリを作成します。
Amazon Web Servicesアプリ・コネクタ用のサード・パーティ・ライブラリjarを、OIM_ORACLE_HOME/server/ConnectorDefaultDirectory/targetsystems-lib/AmazonWebServices-RELEASE_NUMBERディレクトリにあるOracle Identity Governanceをホストしているコンピュータにコピーします。

たとえば、このコネクタのリリース12.2.1.3.0を使用している場合、OIM_ORACLE_HOME/server/ConnectorDefaultDirectory/targetsystems-lib/ディレクトリにAmazonWebServices-12.2.1.3.0というディレクトリを作成します。

ノート:

コネクタ・サーバーを使用している場合は、Amazon Web Servicesアプリ・サードパーティ・ライブラリをCONNECTOR_SERVER_HOME/libディレクトリにコピーします。

最新のサード・パーティjarライブラリを検索する場合は、次のリンクを使用してダウンロードします:

表2-1 サードパーティJar

Jar名	ダウンロード・リンク
auth-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/auth/
iam-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/iam/
aws-core-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/aws-core/
sdk-core-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/sdk-core
regions-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/regions/
profiles-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/profiles
utils-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/utils
organizations-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/organizations/
sts-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/sts/
cloudtrail-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/cloudtrail/
apache-client-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/apache-client/
http-client-spi-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/http-client-spi/
aws-json-protocol-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/aws-json-protocol/
aws-query-protocol-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/aws-query-protocol/
metrics-spi-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/metrics-spi/
protocol-core-[Version].jar	https://mvnrepository.com/artifact/software.amazon.awssdk/protocol-core/

2.4 Amazon Webserviceコネクタを使用したアプリケーションの作成

ターゲット・アプリケーションを作成して、コネクタ・パッケージからOracle Identity Governanceにアプリケーションをオンボードできます。これを行うには、Identity Self Serviceにログインして、「管理」タブで「アプリケーション」ボックスを選択する必要があります。

次に、コネクタを使用してアプリケーションを作成する手順の概要を示します。

ノート:

この手順の各ステップの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションの作成に関する項を参照してください。

Identity Self Serviceでアプリケーションを作成します。高度なステップは次のとおりです。
1. システム管理アカウントまたはApplicationInstanceAdministrator管理ロールを持つアカウントを使用して、Identity Self Serviceにログインします。
2. アプリケーションの作成時に「コネクタ・パッケージ」オプションが選択されている状態にします。
3. 接続関連情報が含まれるように、基本構成パラメータを更新します。
4. 必要に応じて拡張設定パラメータを更新し、コネクタ操作に関連する構成を更新します。
5. デフォルトのユーザー・アカウントの属性マッピングを確認します。必要に応じて、新しい属性を追加したり、既存の属性を編集または削除できます。
6. アプリケーションのプロビジョニング、リコンシリエーション、組織およびカタログの設定を確認し、必要に応じてカスタマイズします。たとえば、必要に応じてアプリケーションのデフォルトの相関ルールをカスタマイズできます。
7. アプリケーションの詳細を確認し、「終了」をクリックしてアプリケーションの詳細を発行します。
  アプリケーションが、Oracle Identity Governanceで作成されます。
8. デフォルトのリクエスト・フォームを作成するかどうかの確認を求められたら、「はい」または「いいえ」をクリックします。
  「はい」をクリックすると、デフォルトのフォームが自動的に作成されて、新しく作成されたアプリケーションにアタッチされます。デフォルト・フォームは、アプリケーションと同じ名前で作成されます。デフォルト・フォームは、後から変更できません。そのため、これをカスタマイズする場合は、「いいえ」をクリックして、手動で新しいフォームを作成してアプリケーションにアタッチします。
新しく作成されたアプリケーションで、リコンシリエーション操作およびプロビジョニング操作を確認します。

2.5 AWSターゲット用のターゲット・システム・ユーザー・アカウントの作成

次の各トピックでは、AWSターゲットのターゲット・システム・ユーザー・アカウントを作成する手順を説明します:

2.5.1 ルート・ユーザーの資格証明を使用したサインイン

AWSアカウントにrootユーザーとしてサインインするには、次のステップを実行します:

ノート:

AWSアカウントにrootユーザーとしてサインインするには、AWSアカウントの作成に使用した電子メール・アドレスとrootユーザーのパスワードを把握している必要があります。

https://console.aws.amazon.com/を開きます。
このブラウザを使用してサインインしていない場合は、「ルート・ユーザー」を選択し、アカウントに関連付けられている電子メール・アドレスを入力して「次」をクリックし、パスワードを入力して「サイン・イン」を選択します。
以前にこのブラウザを使用してrootユーザーとしてサインインしたことがある場合は、ブラウザにAWSアカウントの電子メール・アドレスが保存されている可能性があります。その場合は、パスワードを入力して「サイン・イン」を選択するだけです。

2.5.2 AWSアカウントでのIAMユーザーの作成

AWSアカウントでIAMユーザーを作成するには、次のステップを実行します:

すでにサインインしている場合は、「サービス」でIAMを検索します。
左のナビゲーション・ペインで、「アクセス管理」の下にある「ユーザー」を選択し、「ユーザーの追加」をクリックします。
権限のない単純なユーザーを作成します。
「ユーザーの追加」ページでユーザーを追加するには、次のステップを実行します:
1. ユーザー詳細の設定セクションで、ユーザー名(AWSのサインイン名)を入力します。
2. AWSアクセス・タイプの選択セクションの「アクセス・タイプ」で、プログラム・アクセスおよびAWS管理コンソール・アクセス・チェック・ボックスを選択します。
3. ユーザー・パスワードを手動で入力するには、コンソール・パスワードでカスタム・パスワードを選択します。
4. パスワードのリセットが必要チェック・ボックスを選択し、次へ: 権限を選択します。
「ユーザーの追加」ページで、「権限の設定」を選択し、変更を加えずに次へ: タグをクリックします。
タグの追加(オプション)ページで、次へ: レビューをクリックし、ユーザーの作成に使用されるすべての詳細を確認してから「ユーザーの作成」をクリックします。ユーザーを作成すると、画面に成功メッセージが表示されます。
「閉じる」をクリックします。

2.5.3 IAMユーザーへのインライン・ポリシーの追加

インライン・ポリシーをIAMユーザーに追加するには、次のステップを実行します:

検索フィールドを使用して、以前に作成したユーザーを「ユーザー名」リストから選択します。
「サマリー」ページから「権限」タブを選択し、権限ポリシーを選択します。
インライン・ポリシーの追加をクリックします。「ポリシーの作成」ページにリダイレクトされます。
「サービス」を展開して、IAM、組織、CloudTrailおよびSTSサービスのアクションとリソースを定義します。
サービスの選択をクリックし、IAMを検索します。
「アクション」、「アクセス・レベル」の順に展開し、様々なアクセス・レベルを割り当てます。
「リスト」アクセス・レベル・セクションで、次のチェック・ボックスを選択します:
- GetLoginProfile
- ListGroupPolicies
- ListUserPolicies
- ListAccessKeys
- ListGroups
- ListUsers
- ListAttachedGroupPolicies
- ListGroupForUser
- ListUserTags
- ListAttachedUserPolicies
- ListPolicies
「読取り」アクセス・レベル・セクションで、次のチェック・ボックスを選択します:
- GetAccountAuthorizationDetails
- GetGroup
- GetPolicy
- GetUser
「タグ付け」アクセス・レベル・セクションで、次のチェック・ボックスを選択します:
- TagUser
- UntagUser
「書込み」アクセス・レベル・セクションで、次のチェック・ボックスを選択します:
- AddUserToGroup
- DeleteLoginProfile
- UpdateAccessKey
- CraeteLoginProfile
- DeleteUser
- UpdateLoginProfile
- CreateUser
- RemoveUserFromGroup
- UpdateUser
権限管理アクセス・レベル・セクションで、次のチェック・ボックスを選択します:
- AttachUserPolicy
- DeleteUserPolicy
- DetachUserPolicy
- DetachGroupPolicy
「リソース」セクションで、「すべてのリソース」を選択し、「ポリシーの確認」をクリックします。
「ポリシーの確認」ページで、ポリシーの名前を入力し、「ポリシーの作成」ボタンをクリックします。ポリシーは、「権限」タブでユーザーに追加されます。
組織のアクションおよびリソースを定義するには、この項のステップ1から5を少し変更して繰り返します。ステップ5でサービスを選択するときに、IAMのかわりに「組織」を選択します。
「アクション」、「アクセス・レベル」の順に展開し、様々なアクセス・レベルを割り当てます。「リスト」および「読取り」アクセス・レベル・セクションで次のチェック・ボックスを選択します:
- 「リスト」アクセス・レベル・セクション: ListPoliciesForTarget
- 「読取り」アクセス・レベル・セクション: 「DescribeAccount」チェック・ボックス
「リソース」セクションで、「すべてのリソース」を選択し、「ポリシーの確認」をクリックします。
「ポリシーの確認」ページで、ポリシーの名前を入力し、「ポリシーの作成」ボタンをクリックします。ポリシーは、「権限」タブでユーザーに追加されます。
CloudTrialのアクションおよびリソースを定義するには、この項のステップ1から5を少し変更して繰り返します。ステップ5でサービスを選択するときに、IAMのかわりに「CloudTrial」を選択します。
「アクション」、「アクセス・レベル」の順に展開し、アクセス・レベルを割り当てます。「読取り」アクセス・レベル・セクションで、イベントのルックアップ・チェック・ボックスを選択します。
「リソース」セクションで、「すべてのリソース」を選択し、「ポリシーの確認」をクリックします。
「ポリシーの確認」ページで、ポリシーの名前を入力し、「ポリシーの作成」ボタンをクリックします。ポリシーは、「権限」タブでユーザーに追加されます。
STSのアクションおよびリソースを定義するには、この項のステップ1から5を少し変更して繰り返します。ステップ5でサービスを選択するときに、IAMのかわりに「STS」を選択します。
「アクション」、「アクセス・レベル」の順に展開し、アクセス・レベルを割り当てます。「読取り」アクセス・レベル・セクションで、「GetCallerIdentity」チェック・ボックスを選択します。

これで、サービスごとに4つのインライン・ポリシーを持つIAMユーザーが正常に作成されました。すべてのコネクタ操作を実行するために、Oracle Identity Governanceで同じIAMユーザーを通信ユーザーとして使用できます。