1 コネクタの概要
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対してセルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。Google Cloud Platformコネクタを使用すると、Oracle Identity GovernanceでGoogle Cloud Platformターゲット・システムに関連するアプリケーションをオンボードできます。
注意:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity Governanceリリース12.2.1.3.0以降では、Oracle Identity Self Serviceのアプリケーション・オンボード機能を使用してコネクタのデプロイメントが処理されます。この機能により、ビジネス・ユーザーは最小限の詳細と作業でアプリケーションをオンボードできます。コネクタのインストール・パッケージには、指定したアプリケーションまたはターゲット・システムからデータをプロビジョニングおよびリコンサイルするために必要なすべての情報を含む事前定義済テンプレート(XMLファイル)のコレクションが含まれています。これらのテンプレートには、ターゲット・システムに固有の基本接続性と構成の詳細も含まれています。コネクタによってこれらの事前定義済テンプレートからの情報が使用されるため、ユーザーは単一の簡素化されたUIを使用して迅速かつ簡単にアプリケーションをオンボードできます。
アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。
次のトピックでは、コネクタの概要を示します。
1.1 動作保証されているコンポーネント
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1 動作保証されているコンポーネント
コンポーネント | AOBアプリケーションの要件 |
---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
次のいずれかのリリースを使用できます: Oracle Identity Governance 12c PS4 (12.2.1.4.0)以降のバージョン Oracle Identity Governance 12c PS3 (12.2.1.3.0)以降のバージョン |
Oracle Identity GovernanceまたはOracle Identity Manager JDK | JDK 1.8以降 |
ターゲット・システム | Google Cloud PlatformコネクタまたはSDKバージョン1.32.1 |
コネクタ・サーバー | 11.1.2.1.0または12.2.1.3.0 |
コネクタ・サーバーJDK | JDK 1.8以降 |
1.2 動作保証されている言語
このコネクタでは次の言語がサポートされます。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.3 使用上の推奨事項
Oracle Identity Governance 12c (12.2.1.3.0)以降を使用している場合は、このコネクタの最新の12.2.1.xバージョンを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
1.4 コネクタ操作のサポート
ここでは、ターゲット・システムに対してコネクタでサポートされている操作のリストを示します。
表1-2 サポートされるコネクタ操作
操作 | サポート |
---|---|
ユーザー管理 | - |
ユーザーの作成 | ○ |
ユーザーの更新 | ○ |
ユーザーの削除 | ○ |
ユーザーの有効化 | ○ |
ユーザーの無効化 | ○ |
パスワードの変更またはリセット | ○ |
子の追加(ユーザー・アカウントへの割当て/削除) | - |
ニックネームの追加/削除 | ○ |
権限付与管理 | - |
管理ロールの追加/削除 | ○ |
プロジェクト・ロールの追加/削除 | ○ |
組織ロールの追加/削除 | ○ |
グループの追加/削除 | ○ |
グループ管理 | - |
グループの追加 | ○ |
グループの更新 | ○ |
グループの削除 | ○ |
注意:
必要なすべての情報は、コネクタのインストール・パッケージの事前定義済アプリケーション・テンプレートで入手できます。グループに関連するアーティファクトの詳細は、「グループ管理に使用されるコネクタ・オブジェクト」を参照してください。1.5 コネクタのアーキテクチャ
Google Cloud Platformコネクタにより、Oracle Identity Governanceを介してターゲット・システム上のアカウントを管理できるようになります。
図1-1に、Google Cloud Platformコネクタのアーキテクチャを示します。
図1-1 Google Cloud Platformコネクタのアーキテクチャ
![Google Cloud Platformコネクタのアーキテクチャを示します Google Cloud Platformコネクタのアーキテクチャを示します](img/google-cloud-platform-connector_architecture_diagram.png)
この図に示されているように、Google Cloud Platformは、Oracle Identity Governanceのターゲット・リソースとして構成されます。Oracle Identity Governanceで実行されるプロビジョニング操作を通じて、OIMユーザーのアカウントがGoogle Admin Directoryで作成および更新されます。Google Cloud Platformから見ると、こちらがGCP固有のプロジェクト・ロールを管理していることになります。リコンシリエーションを通じて、ターゲット・システムで直接作成および更新されるアカウント・データがOracle Identity Governanceにフェッチされ、対応するOIMユーザーに対して格納されます。
Google Cloud Platformコネクタは、Identity Connector Framework (ICF)を使用して実装されます。ICFはOracle Identity Governanceに同梱されています。ICFを構成したり変更する必要はありません。
プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがGoogle Cloud Platformアイデンティティ・コネクタ・バンドルで操作を呼び出し、バンドルがGoogle Cloud Platform Admin SDKの適切なAPIを呼び出します。ターゲット・システムのこれらのAPIは、バンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
リコンシリエーション中に、スケジュール済タスクがICF操作を呼び出すと、ICFがGoogle Cloud Platformコネクタ・バンドルで検索操作を呼び出し、バンドルがGoogle Cloud Platform Admin SDKの適切なAPIを呼び出します。これらのAPIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。
関連項目:
ICFの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のIdentity Connector Frameworkの理解に関する項を参照してください
.ターゲット・システムからフェッチされた各レコードは、OIMユーザーにすでにプロビジョニングされているGoogle Cloud Platformリソースと比較されます。一致が見つかった場合、ターゲット・システムからGoogle Cloud Platformレコードに対して行われた更新が、Oracle Identity GovernanceのGoogle Cloud Platformリソースにコピーされます。一致が見つからなかった場合、レコードのユーザーIDが、各OIMユーザーのユーザーIDと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、Google Cloud PlatformリソースがOIMユーザーにプロビジョニングされます。
Google Cloud Platformアイデンティティ・コネクタ・バンドルは、HTTPSプロトコルを使用してGoogle Workspace Admin SDKのディレクトリAPIと通信します。ライブラリは、内部的にjava.net.HttpURLConnection
クラスを使用します。アプリケーションを作成してコネクタを使用し始めると、HttpURLConnection
クラスによって作成される接続用のプロキシを構成するために、次のシステム・プロパティが設定されます。
-
https.proxyPort
-
https.proxyHost
注意:
これらのシステム・プロパティが設定されると、JVM、およびHttpURLConnection
クラスを使用する他のすべてのクラスに影響することがあります。
また、ユーザー名/パスワードに基づくプロキシ認証をサポートするために、コネクタはjava.net.Authenticator
クラスの実装を提供および登録します。
アプリケーション・サーバーの構成によっては、アプリケーション・サーバーのキーストア/信頼ストアにGoogle証明書をインポートする必要がある場合があります。
- Google Admin SDK
- Cloud Resource Manager
- Identity and Access Management (IAM)
- Groups Settings
1.6 コネクタの機能
コネクタの機能には、コネクタ・サーバーのサポート、複数ドメインでのコネクタ操作、完全リコンシリエーション、バッチ・リコンシリエーション、およびアカウント・ステータスと削除されたアカウント・データのリコンシリエーションが含まれます。
表1-3に、AOBアプリケーション・コネクタでサポートされている機能のリストを示します。
表1-3 サポートされるコネクタの機能マトリックス
機能 | AOBアプリケーション |
---|---|
ユーザー・プロビジョニング | ○ |
完全リコンシリエーション | ○ |
制限付きリコンシリエーション | ○ |
バッチ・リコンシリエーション | ○ |
接続プーリング | ○ |
コネクタ・サーバーの使用 | ○ |
アプリケーションのクローニングまたは新しいアプリケーション・インスタンスの作成 | ○ |
アカウント・データの変換および検証 | ○ |
ユーザー・アカウント・ステータスのリコンサイル | ○ |
削除済のアカウント・データのリコンサイル | ○ |
複数ドメインでのコネクタ操作の実行 | ○ |
接続のテスト | ○ |
パスワードのリセット | ○ |
グループ割当て | ○ |
ロール割当て | ○ |
次の各トピックでは、AOBアプリケーションの機能の詳細について説明します。
1.6.1 ユーザー・プロビジョニング
ユーザー・プロビジョニングでは、Oracle Identity Governanceを介して、ターゲット・システムでアカウント・データを作成または変更します。
詳細は、「プロビジョニング操作の実行」を参照してください。
1.6.2 完全リコンシリエーション
完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Governanceにフェッチされます。
注意:
アカウント・データが作成または変更された時間を追跡する方法がターゲット・システムによって提供されないため、コネクタは増分リコンシリエーションをサポートできません。
詳細は、「完全リコンシリエーションの実行」を参照してください。
1.6.3 制限付きリコンシリエーション
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。リコンシリエーション実行時に、Oracle Identity Governanceにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
ユーザー・リコンシリエーション・スケジュール済ジョブのFilter Suffix属性の値としてリコンシリエーション・フィルタを設定できます。Filter Suffix属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるAPIにフィルタを割り当てるのに役立ちます。
詳細は、「制限付きリコンシリエーションの実行」を参照してください。
1.6.4 バッチ・リコンシリエーション
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。
詳細は、「バッチ・リコンシリエーションの実行」を参照してください。
1.6.5 接続プーリング
接続プールは、ターゲットへの物理的な接続を表すオブジェクトのキャッシュです。Oracle Identity Governanceコネクタは、これらの接続を使用してターゲット・システムと通信できます。
実行時に、アプリケーションはプールに接続をリクエストします。接続が使用可能であれば、コネクタがその接続を使用してからプールに戻します。プールに戻された接続は、コネクタが別の操作のために再びリクエストして使用することができます。接続プールは、接続の再利用を可能にし、ネットワーク待機時間、メモリー割当ておよび認証といった接続作成のオーバーヘッドを減らすことに役立っています。
アプリケーション作成時に指定する基本構成パラメータのセットごとに1つの接続プールが作成されます。たとえば、ターゲット・システムの3つのインストールに3つのアプリケーションがある場合は、ターゲット・システム・インストールごとに1つずつ、3つの接続プールが作成されます。
接続プーリングに対して構成できるプロパティの詳細は、「拡張設定パラメータ」を参照してください。
1.6.6 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
1.6.7 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート
アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することにより、ターゲット・システムの複数のインストールに対してこのコネクタを構成できます。
アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションとして共有されます。
これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングおよびインスタンス・アプリケーションの作成に関する項を参照してください。
1.6.8 アカウント・ステータスのリコンシリエーションのサポート
アカウント・ステータスのリコンシリエーションのサポートは、リコンシリエーション操作中にコネクタがステータス情報をフェッチする機能の1つです。
リコンシリエーションの実行中、コネクタはステータス情報を他のアカウント・データとともにフェッチできます。
1.6.9 削除されたアカウント・データのリコンシリエーションのサポート
削除されたターゲット・システム・ユーザーの詳細をフェッチするには、Google Cloud PlatformのTarget Resource User Delete Reconciliationスケジュール済タスクを使用できます。
この情報は、OIMユーザーから対応するGoogle Cloud Platformリソースを取り消すために使用されます。
1.6.10 複数ドメインでのコネクタ操作のサポート
デフォルトでは、このコネクタは、単一ドメイン内のリコンシリエーションおよびプロビジョニング操作をサポートします。ただし、拡張設定のsupportMultipleDomain
パラメータに値を指定すると、複数ドメインでコネクタ操作を実行するようコネクタを構成できます。
詳細は、「拡張設定パラメータ」を参照してください。
1.6.11 アカウント・データの変換および検証
リコンシリエーションおよびプロビジョニングの操作時にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証は、アプリケーションの作成時にGroovyスクリプトを作成することで構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。