1 Concurコネクタについて
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
ノート:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイされるコネクタをCIベース・コネクタ(コネクタ・インストーラ・ベース・コネクタ)と呼びます。アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。
ノート:
このガイドでは、Concurを指すためにターゲット・システムを使用することもあります。
次のトピックでは、Concurコネクタの概要を示します。
ノート:
このマニュアルでは、Oracle Identity Governanceサーバーという用語は、Oracle Identity Governanceがインストールされているコンピュータを意味します。1.1 動作保証されているコンポーネント
Concurコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
ノート:
Oracle Identity Managerリリース11.1.xを使用している場合は、コネクタをCIベース・モードのみでインストールして使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governanceリリース12.2.1.3.0にアップグレードする必要があります。表1-1 動作保証されているコンポーネント
| コンポーネント | AOBアプリケーションの要件 | CIベース・コネクタの要件 |
|---|---|---|
|
Oracle Identity ManagerまたはOracle Identity Governance |
Oracle Identity ManagerまたはOracle Identity Governanceの次のリリースのいずれかを使用できます。
|
Oracle Identity ManagerまたはOracle Identity Governanceの次のリリースのいずれかを使用できます。
|
|
ターゲット・システム |
Concur |
Concur |
|
コネクタ・サーバー |
11.1.2.1.0以上 |
11.1.2.1.0以上 |
|
コネクタ・サーバーJDK |
JDK 1.8以上 |
JDK 1.8以上 |
1.2 使用上の推奨事項
これらは、使用しているOracle Identity GovernanceまたはOracle Identity Managerのバージョンに応じてデプロイおよび使用できる、Concurコネクタの推奨されるバージョンです。
-
Oracle Identity Governanceリリース12c (12.2.1.3.0)以降を使用している場合は、このコネクタの最新バージョン12.2.1.xを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
-
表1-1の「CIベース・コネクタの要件」列に記載されているOracle Identity Managerのいずれかのリリースを使用している場合は、Concurコネクタの11.1.1.xバージョンを使用します。このコネクタの12.2.1.xバージョンを使用する場合は、CIベース・モードでのみインストールおよび使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governanceリリース12c (12.2.1.3.0)以降にアップグレードする必要があります。
ノート:
Concurコネクタの最新バージョン12.2.1.xをCIベース・モードで使用している場合のコネクタ・デプロイメント、使用方法およびカスタマイズの詳細は、『Oracle Identity Manager Concurコネクタ・ガイド』のリリース11.1.1を参照してください。1.3 動作保証されている言語
このコネクタでは次の言語がサポートされます。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語(アメリカ合衆国)
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.4 サポートされているコネクタ操作
ターゲット・システムに対してコネクタでサポートされる操作のリストは次のとおりです。
表1-2 サポートされるコネクタ操作
| 操作 | サポートの有無 |
|---|---|
|
ユーザーの管理 |
|
|
ユーザーの作成 |
あり |
|
ユーザーの更新 |
あり |
|
ユーザーの有効化 |
あり |
|
ユーザーの無効化 |
あり |
|
パスワードの変更またはリセット |
あり |
1.5 コネクタのアーキテクチャ
Concurコネクタは、アカウント管理(またはターゲット・リソース管理)モードで実行するように構成でき、Integrated Common Framework (ICF)コンポーネントを使用して実装されます。
Concurコネクタは、Concurへの接続とユーザー認証の実行にOAuth 2.0セキュリティ・プロトコル(ネイティブ・フロー)を使用します。Concurコネクタは、アカウント管理(またはターゲット・リソース管理)モードで実行するように構成できます。コネクタのこのモードでは、Concurで直接作成または変更したユーザーの情報をOracle Identity Governanceにリコンサイルできます。このデータは、Oracle Identity Governanceユーザーに割り当てられたリソース(つまりアカウント)の追加または変更に使用されます。また、Oracle Identity Governanceを使用して、Oracle Identity Governanceユーザーに割り当てられたConcurアカウントのプロビジョニングまたは更新を行うことができます。
このコネクタでは、次の操作が可能です。
-
プロビジョニング
プロビジョニングでは、Oracle Identity Governanceを使用して、Concurでユーザーを作成および更新します。Oracle Identity Governanceユーザーに対してConcurリソースの割当て(または、プロビジョニング)を行うと、Concurにそのユーザーのアカウントが作成されます。Oracle Identity Governance関連では、プロビジョニングという用語は、Oracle Identity Governanceを使用したConcurアカウントに対する更新(有効化または無効化など)を意味する場合にも使用されます。
-
ターゲット・リソースのリコンシリエーション
ターゲット・リソース・リコンシリエーションを実行するには、Concur Reconスケジュール済ジョブが使用されます。コネクタは、Concurからユーザー属性値をフェッチします。
図1-1に示されているように、ConcurはOracle Identity Governanceのターゲット・リソースとして構成されます。Oracle Identity Governanceで実行されるプロビジョニング操作を通じて、Oracle Identity GovernanceユーザーのアカウントがConcurで作成および更新されます。
リコンシリエーションを通じて、Concurで直接作成および更新されるアカウント・データがOracle Identity Governanceにフェッチされ、対応するOracle Identity Governanceユーザーに対して格納されます。
Concurコネクタは、ICFコンポーネントを使用して実装されます。ICFコンポーネントは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング処理を提供します。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがConcurコネクタ・バンドルで作成操作を呼び出し、バンドルがOAuth APIを呼び出します。OAuth APIは、OAuthメソッドを(ネイティブ・フロー)を使用してConcurに接続します。Concurは、バンドルからのプロビジョニング・データを受け入れ、操作を実行し、バンドルにレスポンスを返します。バンドルは、それをアダプタに渡します。
1.6 サポートされているユース・ケース
Concurコネクタには、Oracle Identity Governanceを介してConcurのユーザーとそのアカウントを管理するのに役立つユーザー管理機能が用意されています。
Concurコネクタを使用できるシナリオを次に示します。
組織は、出張経費(T&E)情報の管理にConcurを使用します。管理者は、Concurポータルで該当する従業員にログイン・アクセス権を作成して付与する必要があります。従業員が退社した場合、管理者はその従業員がConcurアカウントを使用して機密情報にアクセスできなくなっていることを確認する必要があります。こうしたタスクを従業員ごとに手動で行うのは煩雑であり、間違いも起こりやすくなります。Concurコネクタを使用すると、Concurのユーザー・アカウントのプロビジョニングとプロビジョニング解除を自動化できます。新しい従業員が入社したときは、Oracle Identity Governanceで定義されたアクセス・ポリシーに基づいて、適切なアクセス権限を使用してその従業員に対してConcurアカウントが自動的にプロビジョニングされます。同様に、退社するときは、そのアカウントが自動的に非アクティブ化されます。これによって時間が節約され、手動の介入が少なくなるために堅牢なセキュリティが提供されます。
1.7 サポートされているコネクタ機能のマトリックス
AOBアプリケーションとCIベース・コネクタでサポートされている機能のリストを示します。
表1-3 サポートされるコネクタの機能マトリックス
| 機能 | AOBアプリケーション | CIベースのコネクタ |
|---|---|---|
|
完全リコンシリエーションの実行 |
あり |
あり |
|
コネクタ・サーバーのサポート |
あり |
あり |
|
フィルタに基づくアカウントの制限付きリコンシリエーションのサポート |
あり |
あり |
|
アカウント・データの変換および検証 |
あり |
あり |
|
アプリケーションのクローニングまたは新しいアプリケーション・インスタンスの作成 |
あり |
あり |
|
コネクタ・サーバーの使用 |
あり |
あり |
|
SSLを使用したセキュアな通信のターゲット・システムへの提供 |
あり |
あり |
| ページングのサポート | あり | あり |
| 接続のテスト | あり | いいえ |
1.8 コネクタの機能
コネクタの機能には、ユーザー・アカウントのプロビジョニングのサポート、ターゲット・リソースのリコンシリエーション、既存または変更されたすべてのアカウント・データのリコンシリエーション、制限付きリコンシリエーション、リコンシリエーションおよびプロビジョニング中のアカウント・データの変換と検証、コネクタ・サーバーのサポート、ターゲット・システムの複数のインストール、SSL経由のターゲット・システムへの安全な通信などがあります。
Concurコネクタは次の機能をサポートしています。
1.8.1 完全リコンシリエーションのサポート
アプリケーションを作成したら、完全リコンシリエーションを実行して、ターゲット・システムに存在するすべてのユーザー・データをOracle Identity Governanceにインポートできます。
完全リコンシリエーションはいつでも実行できます。「完全リコンシリエーションの実行」を参照してください。
1.8.2 制限付きリコンシリエーションのサポート
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。リコンシリエーション実行時に、Oracle Identity Governanceにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
ユーザー・リコンシリエーション・スケジュール済ジョブのFilter Suffix属性の値としてリコンシリエーション・フィルタを設定できます。Filter Suffix属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるAPIにフィルタを割り当てるのに役立ちます。
「制限付きリコンシリエーションの実行」を参照してください。
1.8.3 アカウント・データの変換および検証
アプリケーションの作成中にGroovyスクリプトを作成することにより、リコンシリエーションおよびプロビジョニング操作中にOracle Identity Governanceとの間で送受信されるアカウント・データの検証と変換を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。
1.8.4 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
1.8.5 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート
アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することにより、ターゲット・システムの複数のインストールに対してこのコネクタを構成できます。
アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションとして共有されます。
これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングおよびインスタンス・アプリケーションの作成に関する項を参照してください。
1.8.6 ターゲット・システムのセキュアな通信
ターゲット・システムにセキュアな通信を提供するためにはSSLが必要です。 Oracle Identity Governanceとコネクタ・サーバーの間およびコネクタ・サーバーとターゲット・システムの間でSSLを構成できます。
SSLを構成しないと、ネットワーク上でパスワードがクリア・テキストで送信されます。 たとえば、ユーザーを作成するとき、またはユーザーのパスワードを作成するときに、この問題が発生することがあります。
「SSLの構成」を参照してください。