1 Identity Cloud Serviceコネクタについて
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
ノート:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイされるコネクタをCIベース・コネクタ(コネクタ・インストーラ・ベース・コネクタ)と呼びます。アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。
ノート:
このガイドでは、Oracle Identity Cloud Serviceはターゲット・システムと呼ばれることもあります。
次の項では、Identity Cloud Serviceコネクタの概要を示します。
ノート:
このマニュアルでは、Oracle Identity Governanceサーバーという用語は、Oracle Identity Governanceがインストールされているコンピュータを意味します。1.1 動作保証されているコンポーネント
これらは、Identity Cloud Serviceコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンです。
ノート:
Oracle Identity Managerリリース11.1.xを使用している場合は、コネクタをCIベース・モードのみでインストールして使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governanceリリース12.2.1.3.0以降にアップグレードする必要があります。表1-1 動作保証されているコンポーネント
| コンポーネント | AOBアプリケーションの要件 | CIベース・コネクタの要件 |
|---|---|---|
|
Oracle Identity GovernanceまたはOracle Identity Manager |
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
|
ターゲット・システム |
Oracle Identity Cloud Service 16.3.6以上 ノート: Oracle Identity Cloud Service 18.2.x以降の使用をお薦めします。新しい機能(パスワードのハッシュ化やエンティティに関連付けられたユーザーの削除など)は以前のバージョンではサポートされないためです。 |
Oracle Identity Cloud Service 16.3.6以上 ノート: Oracle Identity Cloud Service 18.2.x以降の使用をお薦めします。新しい機能(パスワードのハッシュ化やエンティティに関連付けられたユーザーの削除など)は以前のバージョンではサポートされないためです。 |
|
コネクタ・サーバー |
11.1.2.1.0以降 ノート: トランスポート層セキュリティ(TLS) 1.2接続を構成する場合は、Connector Server 12.2.1.3.0以降の使用をお薦めします。 |
11.1.2.1.0以降 ノート: TLS 1.2接続を構成する場合は、Connector Server 12.2.1.3.0以降の使用をお薦めします。 |
|
コネクタ・サーバーJDK |
JDK 1.7以降 |
JDK 1.7以降 |
1.2 使用上の推奨事項
これらは、使用しているOracle Identity GovernanceまたはOracle Identity Managerのバージョンに応じてデプロイおよび使用できるIdentity Cloud Serviceコネクタのバージョンに関する推奨事項です。
-
Oracle Identity Governanceリリース12c (12.2.1.3.0)以降を使用している場合は、このコネクタの最新バージョン12.2.1.xを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
-
「動作保証されているコンポーネント」の「CIベースのコネクタの要件」列にリストされているOracle Identity Managerのいずれかのリリースを使用している場合、Identity Cloud Serviceコネクタの11.1.1.xバージョンを使用します。このコネクタの12.2.1.xバージョンを使用する場合は、CIベース・モードのみでインストールして使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governanceリリース12c (12.2.1.3.0)以降にアップグレードする必要があります。
ノート:
Identity Cloud Serviceコネクタの最新バージョン12.2.1.xをCIベース・モードで使用している場合のコネクタ・デプロイメント、使用方法およびカスタマイズの詳細は、『Oracle Identity Manager Oracle Identity Cloud Servicesコネクタ・ガイド リリース11.1.1』を参照してください。1.3 動作保証されている言語
このコネクタでは次の言語がサポートされます。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
デンマーク語
-
英語
-
フランス語
-
ドイツ語
-
イタリア語
-
日本語
-
韓国語
-
ポルトガル語(ブラジル)
-
スペイン語
1.4 サポートされているコネクタ操作
これらは、ターゲット・システムにおける、コネクタでサポートされる操作のリストです。
表1-2 サポートされるコネクタ操作
| 操作 | サポート対象か |
|---|---|
|
ユーザー管理 |
|
|
ユーザーの無効化 |
〇 |
|
子データの追加 |
〇 |
|
オブジェクトの更新 |
〇 |
|
オブジェクトの作成 |
〇 |
|
オブジェクトの削除 |
〇 |
|
ユーザーの有効化 |
〇 |
|
子データの更新 |
〇 |
|
子データの削除 |
〇 |
|
グループ管理 |
|
|
グループの追加 |
〇 |
|
グループの更新 |
〇 |
|
グループの削除 |
〇 |
ノート:
グループを管理するために必要なすべてのコネクタ・アーティファクト(グループ属性マッピング、リコンシリエーション・ルール、スケジュール済ジョブなど)は、コネクタ・インストール・パッケージの事前定義済テンプレート(XMLファイル)に用意されています。「グループの管理に使用されるコネクタ・オブジェクト」を参照してください。1.5 コネクタのアーキテクチャ
Identity Cloud Serviceコネクタは、ターゲット(アカウント管理)モードで実行されるように構成でき、Identity Connector Framework (ICF)コンポーネントを使用して実装されます。
ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供するコンポーネントです。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
コネクタにより、Oracle Identity Governanceを介してターゲット・システム・アカウントを管理できます。図1-1は、オンプレミスのOracle Identity GovernanceとOracle Identity Cloud Serviceの統合を示しています。
この図で示すように、Identity Cloud Serviceコネクタにより、Oracle Identity Governanceのアイデンティティ・データの管理されたリソース(ターゲット)としてターゲット・システムを使用できます。
コネクタのターゲット・モードでは、ターゲット・システム上で直接作成または変更されたユーザーに関する情報をOracle Identity Governanceにリコンサイルできます。また、Oracle Identity Governanceを使用して、ターゲット・システムでプロビジョニング操作を実行できます。
プロビジョニングでは、ユーザー・アカウントが作成および管理されます。Identity Cloud ServiceリソースをOIGユーザーに割り当てる(プロビジョニングする)と、この操作によって、ターゲット・システムにそのユーザーのアカウントが作成されます。同様に、Oracle Identity Governanceでリソースを更新すると、ターゲット・システムのアカウントが同じように更新されます。
コネクタ・バンドルは、SCIM準拠のターゲットであるIdentity Cloud Serviceとの対話を担当します。そのため、コネクタ・パッケージではGeneric SCIMバンドルが使用されます。解析と認証は、Generic SCIMバンドルの一部であるREST共通バンドルによって処理されます。このバンドルでは、デフォルトでOAuth 2.0 Resource Owner Password認証がサポートされます。また、カスタム・パーサーとカスタム認証を実装して、コネクタを強化することもできます。
1.6 サポートされているユース・ケース
デプロイメントの簡素化、取得コストの削減、管理オーバヘッドの軽減、および価値創出までの時間の短縮を見込めるため、組織がSaaSアプリケーションを採用して、様々なビジネス・ニーズに対応できるようになります。最近は、非常に多くのアプリケーションがクラウドで開発されています。Identity Cloud Serviceは、Oracleのパブリック・クラウド・アプリケーションとそのお客様に対して一連の基本サービスを提供します。これは、Oracleによる「サービスとしてのパブリック・アイデンティティ」サービスに関心のあるお客様向けに、Oracleおよびサード・パーティのSaaSアプリケーションとの単純かつ安全な統合を提供することで可能になります。
同様に、オンプレミスIDMを使用している多くのOracleの既存のお客様についても、HCM、CRM、ディレクトリおよびその他のアプリケーションをオンプレミスからクラウドに移動できます。また、IDMサービスをクラウドに移動することもできます。変化するトレンドに歩調をあわせ、クラウドを採用しているお客様をサポートするため、Oracleのオンプレミス・アイデンティティ管理ソフトウェアであるOracle Identity Governanceは、Identity Cloud Serviceコネクタという新たな統合を提供します。この統合は、オンプレミスからクラウドへの移行を容易にするだけでなく、オンプレミスIDMとクラウドIDMを連携させてさらなる価値を実現するハイブリッド戦略もサポートします。
たとえば、ACME CorporationがOracle Identity Governanceを使用して、自社のアイデンティティと様々なオンプレミス・アプリケーションを管理しているとします。ACME Corporationの長期計画はクラウドに移行することですが、これをいくつかのフェーズに分けて実現することを望んでいます。ある時点では、オンプレミス・アプリケーションとクラウド・アプリケーションの両方を使用します。この移行の一環として、クラウド・アプリケーションを管理するためにIdentity Cloud Serviceを採用しましたが、当面はOracle Identity Governanceのみを使用して、エコシステム内のアイデンティティを管理する予定です。
Identity Cloud Serviceコネクタにより、クラウド・アプリケーション用のIdentity Cloud Serviceユーザーおよびグループ管理が提供されるため、ACME Corporationは容易にこのユース・ケースを実現できます。
Identity Cloud Serviceコネクタのインストール後は、Identity Cloud Serviceのユーザーおよびグループのライフサイクル全体をOracle Identity Governanceから管理できるようになります。ACME Corporationはこの統合を使用して、クラウド・アプリケーションにアクセスするIdentity Cloud Serviceユーザーの作成、更新、有効化および無効化を行うことができます。また、Oracle Identity Governanceを使用して、クラウド・アプリケーションにアクセスする特定のユーザーに対して、Identity Cloud Serviceグループの割当てまたは取消しを行うこともできます。
Oracle Identity GovernanceでRBACポリシーを定義すると、コネクタを使用して適切なグループの付与または取消しを行うことで、Identity Cloud Serviceに登録済のクラウド・アプリケーションに対する適切かつ承認済のアクセス権がユーザーに付与されることになります。
1.7 サポートされているコネクタ機能のマトリックス
AOBアプリケーションとCIベース・コネクタでサポートされている機能のリストを示します。
表1-3 サポートされるコネクタの機能マトリックス
| 機能 | AOBアプリケーション | CIベース・コネクタ |
|---|---|---|
|
完全リコンシリエーションおよび増分リコンシリエーションの実行 |
〇 |
〇 |
|
Identity Cloud Serviceユーザーおよびグループ・アカウントのプロビジョニング |
〇 |
〇 |
|
制限付きリコンシリエーションの実行 |
〇 |
〇 |
|
バッチ・リコンシリエーションの実行 |
〇 |
〇 |
|
削除されたユーザー・レコードおよびグループ・レコードのOracle Identity Governanceへのリコンサイル |
〇 |
〇 |
|
アカウント・データの検証と変換の実行 |
〇 |
〇 |
|
アプリケーションのクローニングまたは新しいアプリケーション・インスタンスの作成 |
〇 |
〇 |
|
コネクタ・サーバーの使用 |
〇 |
〇 |
|
SSLを使用したセキュアな通信のターゲット・システムへの提供 |
〇 |
〇 |
1.8 コネクタの機能
コネクタの機能には、ユーザーおよびグループ・アカウントのプロビジョニング、ターゲット・リソースのリコンシリエーション、既存のアカウント・データまたは変更されたアカウント・データすべてのリコンシリエーション、削除されたユーザー・レコードおよびグループ・レコードのリコンシリエーション、制限付きリコンシリエーションおよびバッチ・リコンシリエーション、リコンシリエーションおよびプロビジョニング時のアカウント・データの変換と検証、コネクタ・サーバー、ターゲット・システムの複数インストール、SSLを介したターゲット・システムとのセキュアな通信などのサポートが含まれます。
1.8.1 ユーザーおよびグループのプロビジョニングのサポート
ユーザー・アカウントとグループ・アカウントのプロビジョニングのためにコネクタを使用できます。
Oracle Identity Governanceでは「ユーザーの作成」ページを使用してプロビジョニング操作を実行します。「ユーザーの作成」ページ内のフィールドの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のユーザーの作成に関する項を参照してください
1.8.2 完全リコンシリエーションおよび増分リコンシリエーションのサポート
アプリケーションを作成したら、完全リコンシリエーションを実行して、ターゲット・システムに存在するすべてのユーザー・データをOracle Identity Governanceにインポートできます。初回の完全リコンシリエーションの実行後、次のユーザー・リコンシリエーションの実行から増分リコンシリエーションが自動的に有効になります。
完全リコンシリエーションはいつでも実行できます。「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。
1.8.3 制限付きリコンシリエーションのサポート
リコンシリエーション・フィルタをユーザー・リコンシリエーションのスケジュール済タスクの「フィルタ」属性の値として設定できます。
リコンシリエーション実行時に、Oracle Identity Governanceにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。「制限付きリコンシリエーションの実行」を参照してください。
1.8.4 バッチ・リコンシリエーションのサポート
リコンサイルするレコードの数に応じて、バッチ・リコンシリエーション操作を構成できます。
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。「バッチ・リコンシリエーションの実行」を参照してください。
1.8.5 削除されたユーザー・レコードおよびグループ・レコードのリコンシリエーション
コネクタを使用すると、ターゲット・システムで削除されるユーザー・レコードとグループ・レコードをOracle Identity Governanceにリコンサイルできます。
このような削除済レコードのリコンサイルのために使用されるリコンシリエーション・ジョブの詳細は、「IDCS Target Resource User Delete Reconciliationジョブ」および「IDCS Group Delete Reconciliationジョブ」を参照してください。
1.8.6 アカウント・データの変換および検証
アプリケーションの作成時にGroovyスクリプトを作成して、リコンシリエーション操作およびプロビジョニング操作の際にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。
1.8.7 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート
アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することにより、ターゲット・システムの複数のインストールに対してこのコネクタを構成できます。
アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションとして共有されます。
これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングおよびインスタンス・アプリケーションの作成に関する項を参照してください。
1.8.8 ターゲット・システムのセキュアな通信
ターゲット・システムにセキュアな通信を提供するためにはSSLが必要です。Oracle Identity Governanceとコネクタ・サーバーの間およびコネクタ・サーバーとターゲット・システムの間でSSLを構成できます。
SSLを構成しないと、ネットワーク上でパスワードがクリア・テキストで送信されます。たとえば、ユーザーを作成するとき、またはユーザーのパスワードを作成するときに、この問題が発生することがあります。
「コネクタのSSLの構成」を参照してください。
1.8.9 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。