1 Boxコネクタについて

Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。

Boxコネクタを使用すると、Boxアプリケーションを作成してOracle Identity Governanceにオンボードできます。

ノート:

このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイされるコネクタをCIベース・コネクタ(コネクタ・インストーラ・ベース・コネクタ)と呼びます。

Oracle Identity Governanceリリース12.2.1.3.0以降では、Oracle Identity Self Serviceのアプリケーション・オンボード機能を使用してコネクタのデプロイメントが処理されます。この機能により、ビジネス・ユーザーは最小限の詳細と作業でアプリケーションをオンボードできます。コネクタのインストール・パッケージには、指定したアプリケーションまたはターゲット・システムからデータをプロビジョニングおよびリコンサイルするために必要なすべての情報を含む事前定義済テンプレート(XMLファイル)のコレクションが含まれています。これらのテンプレートには、ターゲット・システムに固有の基本接続性と構成の詳細も含まれています。コネクタによってこれらの事前定義済テンプレートからの情報が使用されるため、ユーザーは単一の簡素化されたUIを使用して迅速かつ簡単にアプリケーションをオンボードできます。

アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。

次の項では、Boxコネクタの概要を示します。

• 動作保証されているコンポーネント

• 使用上の推奨事項

• 動作保証されている言語

• サポートされているコネクタ操作

• コネクタのアーキテクチャ

• サポートされているユース・ケース

• サポートされるコネクタの機能マトリックス

• コネクタの機能

1.1 動作保証されているコンポーネント

Boxコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。

表1-1に、このコネクタで動作保証されているコンポーネントを示します。

表1-1 動作保証されているコンポーネント

コンポーネント	AOBアプリケーションの要件	CIベース・コネクタの要件
Oracle Identity GovernanceまたはOracle Identity Manager	次のいずれかのリリースを使用できます: Oracle Identity Governanceリリース12c PS4 (12.2.1.4.0) Oracle Identity Governance 12c (12.2.1.3.0) ノート: パッチ26616250および25323654をMy Oracle Supportからダウンロードしてインストールしてください。	Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。 Oracle Identity Governanceリリース12c PS4 (12.2.1.4.0) Oracle Identity Governance 12c (12.2.1.3.0) Oracle Identity Manager 11g リリース2 PS3 BP06
ターゲット・システム	Box	Box
コネクタ・サーバー	11.1.2.1.0以降	11.1.2.1.0以降
コネクタ・サーバーのJDK	JDK 1.8以降	JDK 1.8以降

1.2 使用上の推奨事項

これらは、使用しているOracle Identity GovernanceまたはOracle Identity Managerのバージョンに応じてデプロイおよび使用できる、Boxコネクタの推奨されるバージョンです。

• Oracle Identity Governance 12c (12.2.1.3.0)を使用している場合は、このコネクタの最新バージョン12.2.1.xを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。

• 表1-1の「CIベースのコネクタの要件」列に示されたOracle Identity Managerのいずれかのリリースを使用している場合、Boxコネクタの11.1.xバージョンを使用します。このコネクタの12.1.xバージョンを使用する場合、CIベースのモードでのみコネクタをインストールおよび使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governanceリリース12.2.1.3.0にアップグレードする必要があります。

ノート:

Boxコネクタの最新バージョン12.2.1.xをCIベース・モードで使用している場合のコネクタ・デプロイメント、使用方法およびカスタマイズの詳細は、『Oracle Identity Manager Boxコネクタ・ガイド リリース11.1.1』を参照してください。

1.3 動作保証されている言語

コネクタでサポートされている言語は次のとおりです。

• アラビア語

• 中国語(簡体字)

• 中国語(繁体字)

• チェコ語

• デンマーク語

• オランダ語

• 英語

• フィンランド語

• フランス語

• フランス語(カナダ)

• ドイツ語

• ギリシャ語

• ヘブライ語

• ハンガリー語

• イタリア語

• 日本語

• 韓国語

• ノルウェー語

• ポーランド語

• ポルトガル語

• ポルトガル語(ブラジル)

• ルーマニア語

• ロシア語

• スロバキア語

• スペイン語

• スウェーデン語

• タイ語

• トルコ語

1.4 サポートされているコネクタ操作

ターゲット・システムに対してコネクタでサポートされる操作のリストは次のとおりです。

表1-2 サポートされるコネクタ操作

操作	サポートの有無
ユーザーの管理
ユーザーの作成	あり
ユーザーの更新	あり
ユーザーの削除	あり
ユーザーの有効化	あり
ユーザーの無効化	あり

ノート:

グループをオブジェクトとして管理するために必要なすべてのコネクタ・アーティファクト(たとえば、グループの属性マッピング、リコンシリエーション・ルール、ジョブなど)は、Identity Self ServiceのアプリケーションUIに表示されません。ただし、必要なすべての情報は、コネクタのインストール・パッケージの事前定義済のアプリケーション・テンプレートで入手できます。

1.5 コネクタのアーキテクチャ

Boxコネクタは、Identity Connector Framework (ICF)を使用して実装されます。

コネクタを使用すると、ターゲット・システム上のアカウントを管理できます。アカウントの管理は、次のプロセスで構成されています。

• プロビジョニング

  プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザーを作成または更新します。OIGユーザーに対してBoxリソースの割当て(または、プロビジョニング)を行うと、Boxにそのユーザーのアカウントが作成されます。Oracle Identity Governance関連では、プロビジョニングという用語は、Oracle Identity Governanceを使用したターゲット・システム・アカウントに対する更新を意味する場合にも使用されます。

• ターゲット・リソースのリコンシリエーション

  ターゲット・リソースのリコンシリエーションでは、新たに作成または変更されたターゲット・システム・アカウントに関連するデータをリコンサイルして、既存のOIGユーザーやプロビジョニングされたリソースにリンクすることができます。リコンシリエーションには、スケジュール済ジョブが使用されます。

  図1-1 コネクタのアーキテクチャ

  
  「図1-1 コネクタのアーキテクチャ」の説明

  この図に示されているように、Boxは、Oracle Identity Governanceのターゲット・リソースとして構成されます。Oracle Identity Governanceで実行されるプロビジョニング操作を通じて、OIGユーザーのアカウントがターゲット・システムで作成および更新されます。リコンシリエーションを通じて、ターゲット・システムで直接作成および更新されるアカウント・データがOracle Identity Governanceにフェッチされ、対応するOIGユーザーに対して格納されます。Identity Connector Framework (ICF)は、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFはOracle Identity Governanceに同梱されています。

  ICFを構成したり変更する必要はありません。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがBoxアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがプロビジョニング操作のためにBox REST APIを呼び出します。ターゲット・システムのBox REST APIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。リコンシリエーション中に、スケジュール済タスクがICF操作を呼び出すと、ICFがBoxアイデンティティ・コネクタ・バンドルで検索操作を呼び出し、バンドルがリコンシリエーション操作のためにBox REST APIを呼び出します。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。

  ターゲット・システムからフェッチされた各レコードは、OIGユーザーにすでにプロビジョニングされているBoxリソースと比較されます。一致が見つかると、ターゲット・システムからBoxレコードに対して行われた更新が、Oracle Identity GovernanceのBoxリソースにコピーされます。一致が見つからなかった場合、レコードのユーザーIDが、各OIGユーザーのユーザーIDと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、BoxリソースがOIGユーザーにプロビジョニングされます。

  Boxアイデンティティ・コネクタ・バンドルはHTTPSプロトコルを使用してBox REST APIと通信します。

1.6 サポートされているユース・ケース

Boxは、ファイル共有、コラボレーション、およびサーバーにアップロードされるファイルを処理するためのその他のツールを提供するクラウド・コンピューティング・ビジネスです。Boxは、ユーザーがどこからでもコンテンツの共有およびアクセスを実行できる動的で柔軟なコンテンツ管理ソリューションであり、組織内でのコンテンツの移動に対するITエンタープライズ・クラスのセキュリティおよび監視機能も提供します。

このコネクタが使用可能な最も一般的なシナリオの例を次に示します。

• アクセス・トークンの更新

  現在、セキュリティはクラウド・アプリケーションへのアクセス中に組織が直面する最大の懸念事項の1つになっています。各クラウド・アプリケーションは独自のメカニズムでセキュリティ違反の発生を防ぎます。Boxでは自動化されたトークンを使用してこれを実現します。Boxコネクタの管理者には、アプリケーションで様々な操作を実行する管理者を認証および承認する場合に必要なセキュリティ・トークンが割り当てられます。また、リスクを最小化するためにこのトークンは定期的にリフレッシュされます。

  Oracle Identity Manager Boxコネクタでは、自動化された管理トークンの管理を使用して管理者のセキュリティ・トークンを最新の状態に維持できます。この機能により、認証および承認された管理者だけが、古いまたは期限切れトークンによって遅延することなく操作を実行できます。

• Boxユーザーの管理

  世界中の組織がコンテンツ共有にBoxを使用しています。これらの組織では、従業員が様々な地域で最新の情報にアクセスし、共有できることが必要です。このために、Box管理者はログインを作成し、関連の従業員にログインを付与する必要があります。また、Box管理者はこの特定のユーザーのライフ・サイクル全体も確認する必要があります。従業員が退職する場合、それらの従業員が今後Boxアカウントを使用して機密情報またはコンテンツあるいはファイルにアクセスできないようにする必要があります。同様に、在職中、従業員は単独で使用する権限のあるファイルやコンテンツへのアクセス権を持ち、同時に機密ファイルやコンテンツへのアクセスは制限される必要があります。

  この作業をすべての従業員に対して手動で行うのは非常に手間がかかり、間違いも起こりやすくなります。Oracle Identity Manager Boxコネクタは、ユーザー(従業員)のプロビジョニングおよびプロビジョニング解除の自動化を可能にするユーザー管理機能を提供します。新しい従業員が組織に加わるたびに、Boxアカウントが、適切なアクセス権限とともに自動的に従業員に対してプロビジョニングされます。同様に、従業員が退職すると、そのアカウントは自動的に非アクティブになります。これによって手動操作が最小限になるため、時間が節約されるだけでなく、堅牢なセキュリティも実現されます。

• 2ステップ・ログイン検証対象からのBoxユーザーの除外

  セキュリティ強化のニーズの高まりに伴い、Boxでは2ステップ検証によってセキュリティを強化しています。このプロセスでは、ユーザーがログインする際に次の2つの認証証拠を提示する必要があります。

  • 知っている情報(Boxパスワード)

  • 所有している情報(各自のモバイル・デバイスに送信されるOTPコード)

  OTPコードは、テキスト・メッセージ(SMS)としてユーザーのモバイル・デバイスに送信されます。ユーザーがモバイル・デバイスを紛失したり、モバイル・デバイスに送信された確認コードに不明な理由でアクセスできない場合のため、Boxコネクタには2ステップ・ログイン検証要件からユーザーを除外するオプションが用意されています。除外されたユーザーはBoxパスワードのみでログインできます。ユーザーのグループまたは管理者を除外する場合は、該当のユーザーに対してこのユーザーを2ステップ・ログイン検証から除外するオプションを有効にします。

• ユーザー電子メールの別名の管理

  組織内でユーザーが複数の電子メール・アドレスを持つことがあります。たとえば、買収や合併が行われる場合、様々なドメインの複数の電子メール・アドレスを管理する必要があります。そのような場合に、名前は変更しても、プライマリ電子メール・アドレスは変更していないユーザーに新しい電子メールの別名を追加する場合があります。

  電子メールの別名によりユーザーは複数の電子メール・アドレスを単一のBoxアカウントにリンクして、重要なコンテンツを簡単に管理できます。ユーザーのタイプにかかわらず、複数の電子メール・アドレスをアカウントに追加し、1つのアドレスをプライマリ・アドレスに指定できます。コラボレーションの招待状とBox通知はプライマリ・アドレスに送信されます。Oracle Identity Manager Boxコネクタを使用して、電子メールの別名を管理し、その1つをユーザー・アカウントのプライマリ・アドレスとしてマークできます。

• Boxユーザーのグループ・メンバーシップの管理

  組織は通常、部門、プロジェクト・チームまたはその他のサブ部門に分かれており、この組織分割により、各コンテンツに対する異なるアクセス・レベルを各チームに付与するニーズが生じます。Boxのグループ機能を使用して組織はこのニーズに対応し、Boxで作業の複製やリソースの分割を簡単に実行できます。また、新しい方針に沿って新しいチームを作成することもできます。グループを使用して、このような作業分担をBoxで容易に複製したり、新しい方針に沿って新しいチームを作成することもできます。

  Oracle Identity Manager Boxコネクタを使用して、組織はユーザーのグループ・メンバーシップを管理できます。ユーザーは1つ以上のグループのメンバーになることができます。Oracle Identity Manager Boxコネクタには、ITグループがコンテンツの管理とアクセスを常に可視化できる機能があります。モニタリングと詳細なアクセス制御機能により、認証されたユーザーのみがアクセス権を持つことができます。

  Boxユーザーのグループ・メンバーシップの管理を使用したコラボレーションのその他のメリットとして、新規ユーザーが特定のグループに追加されると、そのユーザーはすでに共有されているコンテンツに自動的にアクセス可能になります。つまり、新規ユーザーは、ログインして自分のジョブを実行するために必要な関連コンテンツにすぐにアクセスできます。

• ユーザーとグループのリコンシリエーション

  既存のBoxアプリケーション(他のユーザーやグループが構成されている)を使用するユーザーがユーザーやグループのメンバーシップを管理する場合は、最初に既存のBoxグループをOracle Identity Managerに移行する必要があります。Boxコネクタはでユーザー・リコンシリエーションとグループ参照リコンシリエーションを容易に実行し、これらのユーザーとそのグループ・メンバーシップをOracle Identity Managerにそれぞれ一括ロードできます。

1.7 サポートされているコネクタ機能のマトリックス

AOBアプリケーションとCIベース・コネクタでサポートされている機能のリストを示します。

表1-3 サポートされるコネクタの機能マトリックス

機能	AOBアプリケーション	CIベースのコネクタ
完全リコンシリエーション	あり	あり
制限付きリコンシリエーション	あり	あり
コネクタ・サーバーの使用	あり	あり
アカウント・データの変換および検証	あり	あり
複数ドメインでのコネクタ操作の実行	あり	あり
ページングのサポート	あり	あり
接続のテスト	あり	いいえ
パスワードのリセット	あり	あり

1.8 コネクタの機能

コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、制限付きリコンシリエーション、および削除されたアカウント・データのリコンシリエーションが含まれます。

• 完全リコンシリエーション

• 制限付きリコンシリエーション

• コネクタ・サーバーのサポート

• ターゲット・システムのセキュアな通信

• アカウント・データの変換および検証

1.8.1 完全リコンシリエーション

アプリケーションを作成したら、完全リコンシリエーションを実行して、ターゲット・システムに存在するすべてのユーザー・データをOracle Identity Governanceにインポートできます。

ノート:

コネクタは、ターゲット・システムの制限により、増分リコンシリエーションをサポートできません。ターゲット・システムは、アカウント・データが作成または変更された時刻を格納する属性に基づいて、ユーザー・レコードをフィルタ処理できません。

完全リコンシリエーションはいつでも実行できます。「リコンシリエーションの構成」を参照してください。

1.8.2 制限付きリコンシリエーション

リコンシリエーション・スケジュール済ジョブのFilter属性の値としてリコンシリエーション・フィルタを設定できます。このフィルタによって、リコンサイルする必要のある、追加または変更されたターゲット・システム・レコードのサブセットを指定できます。

詳細は、「制限付きリコンシリエーションの実行」を参照してください。

1.8.3 コネクタ・サーバーのサポート

コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。

アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。

コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。

1.8.4 ターゲット・システムのセキュアな通信

ターゲット・システムにセキュアな通信を提供するためにはSSLが必要です。Oracle Identity Governanceとコネクタ・サーバーの間およびコネクタ・サーバーとターゲット・システムの間でSSLを構成できます。

SSLを構成しないと、ネットワーク上でパスワードがクリア・テキストで送信されます。たとえば、ユーザーを作成するとき、またはユーザーのパスワードを作成するときに、この問題が発生することがあります。

詳細は、「SSLの構成」を参照してください。

1.8.5 アカウント・データの変換および検証

アプリケーションの作成中にGroovyスクリプトを作成することにより、リコンシリエーションおよびプロビジョニング操作中にOracle Identity Governanceとの間で送受信されるアカウント・データの検証と変換を構成できます。

詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニングおよびリコンシリエーション属性の検証および変換に関する項を参照してください。