1 コネクタについて
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
ノート:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイされるコネクタをCIベース・コネクタ(コネクタ・インストーラ・ベース・コネクタ)と呼びます。アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。
次のトピックでは、Eloquaコネクタの概要を示します:
1.1 動作保証されているコンポーネント
Eloquaコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1 動作保証されているコンポーネント
コンポーネント | AOBアプリケーションの要件 | CIベースのコネクタの要件 |
---|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
次のいずれかのリリースを使用できます。
|
次のいずれかのリリースのOracle Identity GovernanceまたはOracle Identity Managerを使用できます。
|
ターゲット・システム |
Eloqua |
Eloqua |
コネクタ・サーバー |
11.1.2.1.0以降 |
11.1.2.1.0以降 |
コネクタ・サーバーJDK |
JDK 1.8以降 |
JDK 1.8以降 |
1.2 使用上の推奨事項
これは、使用しているOracle Identity GovernanceまたはOracle Identity Managerのバージョンに応じてデプロイおよび使用できる、Eloquaコネクタの推奨されるバージョンです。
Oracle Identity Governance 12c (12.2.1.3.0)を使用している場合は、このコネクタの最新バージョン12.2.1.xを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
1.3 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語(米国)
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.4 サポートされているコネクタ操作
ターゲット・システムに対してコネクタでサポートされる操作のリストは次のとおりです。
表1-2 サポートされるコネクタ操作
操作 | サポート対象 |
---|---|
ユーザー管理 |
|
ユーザーの作成 |
はい |
ユーザーの更新 |
はい |
ユーザー削除 |
はい |
パスワードのリセット |
はい |
ライセンス付与管理 |
|
ライセンスの付与および取消し |
はい |
グループ管理 | |
グループの追加および削除 |
はい |
ノート:
グループをオブジェクトとして管理するために必要なすべてのコネクタ・アーティファクト(たとえば、グループの属性マッピング、リコンシリエーション・ルール、ジョブなど)は、Identity Self ServiceのアプリケーションUIに表示されません。ただし、すべての必要な情報は、コネクタのインストール・パッケージの事前定義済アプリケーション・テンプレートに用意されています。1.5 コネクタのアーキテクチャ
Eloquaコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニングの操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
図1-1に、Eloquaコネクタのアーキテクチャを示します。
図1-1 コネクタのアーキテクチャ
-
プロビジョニング
プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザーを作成または更新します。OIMユーザーに対してEloquaリソースの割当て(または、プロビジョニング)を行うと、Eloquaにそのユーザーのアカウントが作成されます。Oracle Identity Governance関連では、プロビジョニングという用語は、Oracle Identity Governanceを使用したターゲット・システム・アカウントに対する更新を意味する場合にも使用されます。
-
ターゲット・リソースのリコンシリエーション
ターゲット・リソースのリコンシリエーションでは、新たに作成または変更されたターゲット・システム・アカウントに関連するデータをリコンサイルして、既存のOIMユーザーやプロビジョニングされたリソースにリンクすることができます。リコンシリエーションを実行するには、スケジュール済ジョブを使用します。
Eloquaアイデンティティ・コネクタ・バンドルはHTTPSプロトコルを使用してEloqua APIと通信します。Eloqua APIを使用すると、REST APIエンドポイントを介してプログラム的にアクセスできます。アプリケーションはEloqua APIを使用して、ディレクトリ・データ、およびユーザーなどのディレクトリ・オブジェクトに対して作成、読取り、更新および削除(CRUD)操作を実行できます。
関連項目:
ICFの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のIdentity Connector Frameworkの理解に関する項を参照してください
1.6 コネクタでサポートされるユースケース
Eloquaコネクタは、Oracle Identity GovernanceをEloquaと統合して、エンタープライズ内の他のアイデンティティ認識アプリケーションとの統合サイクルに基づいて、すべてのEloquaアカウントを作成、更新および非アクティブ化するために使用します。Eloquaコネクタでは、Eloquaのクラウド・アイデンティティ、同期アイデンティティおよびフェデレーション・アイデンティティの各モデルのアイデンティティの管理をサポートしています。一般的なITシナリオでは、Oracle Identity Governanceを使用する組織のねらいはEloquaクラウド・サービスにおけるアカウント、グループおよびライセンスの管理にあります。
-
Eloquaユーザー管理
Eloquaを使用する組織は、Oracle Identity Governanceを統合してアイデンティティを管理します。この組織では、Oracle Identity Governanceを使用してターゲット・システムのユーザー・アイデンティティを作成することによりその管理を行うことにしました。この組織ではまた、ターゲット・システムでOracle Identity Governanceにより直接実行されたユーザー・アイデンティティの変更を同期することにもしました。このようなシナリオにおいて手軽で簡単な方法は、Eloquaコネクタをインストールし、接続情報を指定することによりターゲット・システムに対して構成することです。
ターゲット・システムで新規ユーザーを作成するには、OIMプロセス・フォームに入力して送信し、プロビジョニング操作をトリガーします。コネクタではターゲット・システムに対してCreateOp操作を実行し、この操作の実行が成功するとユーザーが作成されます。同様に、削除や更新といった操作も実行できます。
ユーザー・アイデンティティを検索または取得するには、Oracle Identity Governanceからスケジュール済タスクを実行する必要があります。コネクタはターゲット・システムのユーザー・アイデンティティに対して対応するSearchOpを実行し、Oracle Identity Governanceに対するすべての変更をフェッチします。
-
Eloquaグループ管理
組織には多数のEloquaセキュリティ・グループがあり、そのユーザーはグループの割当ておよび割当て解除ができます。Eloquaコネクタを使用すると、Oracle Identity Governance機能を活用してすべてのユーザー・グループを効果的に追跡できます。
-
Eloquaユーザー・ライセンス管理
他のシナリオは、組織においてEloquaをビジネスに使用しており、組織のニーズの変化に応じてユーザーにライセンスを割り当てたり割当てを解除することによりユーザー・ライセンスを管理しているという場合です。ここで必要となるのは、クラウドおよびオンプレミス・サーバーのすべてのライセンスおよびユーザー権限を効率よくトラッキングすることです。このようなシナリオにおいて、Eloquaコネクタを使用することですべてのユーザー・ライセンスを効率よくトラッキングできます。これらのライセンス割当ての変更は、Oracle Identity Governanceの監査およびレポート機能を利用することで追跡できます。
1.7 コネクタの機能
コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、制限付きリコンシリエーション、および削除されたアカウント・データのリコンシリエーションが含まれます。
表1-3 サポートされるコネクタの機能マトリックス
機能 | AOBアプリケーション | CIベース・コネクタ |
---|---|---|
完全リコンシリエーション |
はい |
はい |
増分リコンシリエーション |
はい |
はい |
制限付きリコンシリエーション |
はい |
はい |
リコンシリエーションの削除 |
はい |
はい |
コネクタ・サーバーの使用 |
はい |
はい |
アカウント・データの変換および検証 |
はい |
はい |
複数ドメインでのコネクタ操作の実行 |
はい |
はい |
ページングのサポート |
はい |
はい |
接続のテスト |
はい |
いいえ |
次の各トピックでは、AOBアプリケーションの機能の詳細について説明します。
1.7.1 完全リコンシリエーションおよび増分リコンシリエーション
完全リコンシリエーションを実行して、すべての既存ユーザー・データをターゲット・システムからOracle Identity Governanceに移動できます。
完全リコンシリエーションを初めて実行した後、ターゲット・システムにオブジェクトの作成または変更のタイムスタンプが格納される属性が含まれている場合は、コネクタを増分リコンシリエーション用に構成できます。
増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Governanceにフェッチされます。増分リコンシリエーションの実行中、スケジュール済ジョブによって、スケジュール済ジョブの「最新のトークン」属性に保存されているタイムスタンプより後に追加または変更されたターゲット・システム・レコードのみがフェッチされます。
ノート:
コネクタでは、ターゲット・システムにオブジェクトの作成または変更のタイムスタンプが格納される属性が含まれている場合に、増分リコンシリエーションをサポートします。完全リコンシリエーションはいつでも実行できます。完全リコンシリエーションおよび増分リコンシリエーションの実行の詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。
1.7.2 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。ネイティブに管理されているリソースと同じホストにバンドルをデプロイするとバンドルの動作が速くなる場合は、Javaコネクタを別のホストで実行するとパフォーマンス改善に役立ちます。
関連項目:
コネクタ・サーバーのインストールと構成、およびコネクタ・サーバーの実行の詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
1.7.3 制限付きリコンシリエーション
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。リコンシリエーション実行時に、Oracle Identity Governanceにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
ユーザー・リコンシリエーション・スケジュール済ジョブのFilter Suffix属性の値としてリコンシリエーション・フィルタを設定できます。Filter Suffix属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるAPIにフィルタを割り当てるのに役立ちます。
詳細は、「制限付きリコンシリエーションの実行」を参照してください。
1.7.4 アカウント・データの変換および検証
アプリケーションの作成時にGroovyスクリプトを記述することによって、リコンシリエーションおよびプロビジョニング操作中にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。