1 Microsoft Exchangeコネクタについて
Microsoft Exchangeコネクタは、Oracle Identity GovernanceをMicrosoft Exchangeターゲット・システムと統合します。
次の項では、Microsoft Exchangeコネクタの概要を示します:
1.1 コネクタの概要
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
ノート:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイされるコネクタをCIベース・コネクタ(コネクタ・インストーラ・ベース・コネクタ)と呼びます。アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。
コネクタのアカウント管理モードでは、ターゲット・システムで直接作成または変更されたメールボックスの情報が、Oracle Identity Managerにリコンサイルされます。また、Oracle Identity Managerを使用して、ターゲット・システムでメールボックス・プロビジョニング操作を実行できます。
ノート:
このマニュアルの一部では、Microsoft Exchangeをターゲット・システムと呼ぶことがあります。
このコネクタは2つの受信者タイプ、UserMailboxおよびMailUserをサポートします。このガイドでは、受信者という用語は両方の受信者タイプを示すために使用されます。そうでない場合、このガイドでは特定の受信者タイプを示すためにUserMailboxおよびMailUserという用語が使用されます。
1.2 動作保証されているコンポーネント
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1 動作保証されているコンポーネント
項目 | AOBアプリケーションの要件 | CIベースのコネクタの要件 |
---|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
次のいずれかのリリースを使用できます:
|
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
ターゲット・システム |
Microsoft Exchange 2016、2019 |
ターゲット・システムは次のいずれか1つ、または組合せにすることができます。
|
コネクタ・サーバー |
12.2.1.3.0 |
11.1.2.1.0または12.2.1.30 |
コネクタ・サーバーのJDK |
JDK 1.8以降 |
次のいずれかのバージョンを使用できます:
|
その他のシステム |
次のソフトウェアが運用環境にインストールされていることを確認する必要があります。
|
次のソフトウェアが運用環境にインストールされていることを確認する必要があります。
|
1.3 使用上の推奨事項
ここでは、Oracle Identity GovernanceまたはOracle Identity Managerの使用しているバージョンに応じて、デプロイおよび使用できるMicrosoft Exchangeコネクタ・バージョンに関する推奨事項について説明します。
-
Oracle Identity Governanceリリース12c (12.2.1.3.0)以降を使用している場合は、このコネクタの12.2.1.3.0バージョンを使用します。フレッシュ・インストールの場合は、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。それ以外の場合は、CIモードとOracle Identity Manager Design Consoleを使用してコネクタの管理を続けます。
-
表1-1の「CIベース・コネクタの要件」列に記載されているOracle Identity Managerのいずれかのリリースを使用している場合は、Microsoft Exchangeコネクタの11.1.1.xバージョンを使用します。このコネクタの12.2.1.3.0バージョンを使用する場合、CIベース・モードでのみコネクタをインストールおよび使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governanceリリース12c (12.2.1.3.0)以降にアップグレードする必要があります。
ノート:
Microsoft Exchangeコネクタの12.2.1.3.0バージョンをCIベース・モードで使用している場合のコネクタ・デプロイメント、使用方法およびカスタマイズの詳細は、『Oracle Identity Manager Microsoft Exchangeコネクタ・ガイド』のリリース11.1.1を参照してください。
1.4 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語
-
フィンランド語
-
フランス語
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.5 サポートされるコネクタ操作
これらは、ターゲット・システムにおける、コネクタでサポートされる操作のリストです。
表1-2 サポートされるコネクタ操作
操作 | サポートの有無 |
---|---|
ユーザー管理 | 〇 |
ユーザーの作成 | 〇 |
ユーザーの削除 | 〇 |
ユーザーの更新 | 〇 |
ユーザーの有効化 | 〇 |
ユーザーの無効化 | 〇 |
権限付与の管理 | 〇 |
配布グループの挿入 | 〇 |
配布グループの削除 | 〇 |
配布グループの更新 | 〇 |
1.6 コネクタのアーキテクチャ
コネクタのアーキテクチャ、および複数のドメインでのメールボックスのリコンサイルとプロビジョニングについて説明します。
この項では、次の項目について説明します。
ノート:
コネクタにはMicrosoft Active Directory User Managementコネクタのデプロイメントが必要です。ユーザー・アカウント・データはMicrosoft Active Directoryに格納されます。ユーザーにMicrosoft Exchangeメールボックスをプロビジョニングする前に、Microsoft Active Directoryにユーザーのアカウントを作成する必要があります。
Microsoft Exchangeコネクタでは、メールボックスのプロビジョニングおよびリコンシリエーション操作時に、Microsoft Active Directory内のデータが使用されます。つまり、コネクタはMicrosoft Exchangeとのターゲット・リソースのリコンシリエーションしかサポートしません。
1.6.1 Microsoft Exchangeコネクタのアーキテクチャ
コネクタはExchange関連のPowerShellコマンドレットを使用して、Exchange Serverで受信者管理アクティビティを実行します。コネクタはUserMailboxおよびMailUser受信者タイプをサポートします。.NETコネクタ・サーバーはExchangeターゲット・システムに必須です。
関連項目:
受信者タイプの詳細は、http://technet.microsoft.com/en-us/library/bb201680%28v=exchg.141%29.aspx
を参照してください。
図1-1に、Exchange Server 2016をサポートするコネクタのアーキテクチャを示します。このアーキテクチャ・ダイアグラムでは、.NETコネクタ・サーバーはExchange Serverコンピュータと同じドメインの別のコンピュータにインストールされています。コネクタ・サーバーは、Exchange Serverをホストするコンピュータと同じコンピュータにインストールすることもできます。
Oracle Identity Governance (OIG)は様々なアダプタおよびスケジュール済ジョブを使用して、コネクタ・バンドルを介してExchange Serverと通信します。コネクタ・バンドルは.NETコネクタ・サーバーがインストールされたWindowsコンピュータにデプロイされます。Exchange Serverと通信するために、OIGはリモート・シェルを使用し、リモート・シェルはWindows PowerShell 2.0およびWindows Remote Management (WinRM) 2.0を使用します。Exchange管理ツールは必要ありません。そのため、Exchange Server 2016のコネクタ・サーバーにExchange管理ツールをインストールする必要はありません。詳細は、次のリモートExchange管理に関するトピックを参照してください。
http://technet.microsoft.com/en-in/library/dd297932%28v=exchg.141%29.aspx
Enable-PSRemotingコマンドレットを実行し、WS-Managementテクノロジを使用して送信されるWindows PowerShellリモート・コマンドをExchange Serverコンピュータが受信するように構成します。Enable-PSRemotingコマンドレットの詳細は、次を参照してください。
1.6.2 複数のドメインにわたるメールボックスのリコンシリエーションおよびプロビジョニング
コネクタにより、複数のMicrosoft Active Directoryドメインにわたるユーザーのメールボックスのリコンシリエーションおよびプロビジョニングがサポートされます。ドメインは親子関係になることも、またはピア・ドメインになることもできます。
例:
-
Child Domain 1、Child Domain 2、およびParent Domainのユーザーは、同じ1つのExchange Serverにメールボックスを持つことができます。
-
Peer Domain 1およびPeer Domain 2のユーザーは、同じ1つのExchange Serverにメールボックスを持つことができます。この場合、Exchange ServerはPeer Domain 1またはPeer Domain 2に対して構成できます。
1.7 サポートされるコネクタの機能マトリックス
AOBアプリケーションとCIベース・コネクタでサポートされている機能のリストを示します。
表1-3 サポートされるコネクタの機能マトリックス
機能 | AOBアプリケーション | CIベースのコネクタ |
---|---|---|
完全リコンシリエーション |
〇 |
〇 |
増分リコンシリエーション |
〇 |
〇 |
制限付きリコンシリエーション |
〇 |
〇 |
削除されたユーザー・レコードのリコンシリエーション |
〇 |
〇 |
配布グループおよびメールボックス・データベースのリコンシリエーションのためのスケジュール済ジョブ |
〇 |
〇 |
複数のドメインにわたるリコンシリエーションおよびプロビジョニング操作の実行 |
〇 |
〇 |
カスタムPowerShellスクリプトの実行 |
〇 |
〇 |
接続プーリング |
該当せず |
〇 |
コネクタ・サーバーの使用 |
〇 |
〇 |
アプリケーションのクローニングまたは新しいアプリケーション・インスタンスの作成 |
〇 |
〇 |
アカウント・データの変換および検証 |
〇 |
〇 |
1.8 コネクタの機能
コネクタの機能には、完全リコンシリエーションと増分リコンシリエーション、制限付きリコンシリエーション、アカウント・データの変換と検証などがあります。
1.8.1 完全リコンシリエーションおよび増分リコンシリエーション
コネクタをデプロイしたら、完全リコンシリエーションを実行して、既存のユーザー・データをすべてターゲット・システムからOracle Identity Managerに移動できます。初回の完全リコンシリエーションの実行後に、増分リコンシエーションは自動的に有効になります。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたユーザー・アカウントが、Oracle Identity Managerにフェッチされます。
スケジュール済タスクのDomainControllerパラメータに値を指定することで、単一ドメインに対して完全および増分リコンシリエーションを実行できます。DomainControllerパラメータが空白だと、リコンシリエーションはフォレスト内のすべてのドメインに対して実行されます。
詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。
1.8.2 制限付きリコンシリエーション
リコンシリエーション・フィルタをユーザー・リコンシリエーションのスケジュール済タスクの「フィルタ」属性の値として設定できます。このフィルタでは、リコンサイルする必要のある、追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
制限付きコンシリエーションの詳細は、「制限付きリコンシリエーションの実行」を参照してください。
1.8.3 削除されたユーザー・レコードのリコンシリエーション
削除されたユーザー・レコードのリコンシリエーションに対してコネクタを構成することができます。ターゲット・リソース・モードで、ユーザー・レコードがターゲット・システムで削除された場合、対応するExchangeユーザー・リソースはOIMユーザーから取り消されます。
削除ユーザーのリコンシリエーション・ジョブの詳細は、「リコンシリエーション・ジョブ」を参照してください。
1.8.4 参照定義のリコンシリエーション
ターゲット・システムの配布グループおよびメールボックス・データベースのリコンシリエーション用にコネクタを構成し、Oracle Identity Governanceの参照定義に権限として移入されるようにできます。
これらの権限をリコンサイルするために使用可能なジョブの詳細は、「リコンシリエーション・ジョブ」を参照してください。
1.8.5 複数ドメインのサポート
コネクタは、単一Exchangeリソース・オブジェクトを使用して、フォレスト内の複数のドメインをサポートします。
複数のドメインにわたるメールボックスに対してリコンシリエーション操作とプロビジョニング操作を実行する方法の詳細は、「複数のドメインにわたるメールボックスのリコンシリエーションおよびプロビジョニング」を参照してください。
1.8.6 カスタムPowerShellスクリプトの実行のサポート
Microsoft ExchangeコネクタがデプロイされたコンピュータでカスタムPowerShellスクリプトを実行できます。アカウントのプロビジョニング操作の作成、更新または削除の前または後で実行するスクリプトを構成できます。
たとえば、コネクタによりユーザーが作成される前に実行するスクリプトを構成できます。
これらのスクリプトの構成の詳細は、「アクション・スクリプトの構成」を参照してください。
1.8.7 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供されるコンポーネントです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。つまり、コネクタ・サーバーを使用すると、Oracle Identity Governanceコネクタのリモート実行が可能になります。
Microsoft ExchangeコネクタはMicrosoft .NETを使用して作成されています。.NET環境がこのコネクタ・コードの実行に必要です。したがって、このコネクタを.NETコネクタ・サーバーにデプロイする必要があります。Microsoft Exchangeコネクタは.NETコネクタ・フレームワークの元で動作することから、実行するアプリケーションが必要になります。デフォルトでは、Microsoft Exchangeコネクタを実行するために.NETコネクタ・サーバーが提供されます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項に関する項を参照してください。
1.8.8 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート
このコネクタは、アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することで、ターゲット・システムの複数のインストールに対して構成することができます。
アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションとして共有されます。
これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングおよびインスタンス・アプリケーションの作成に関する項を参照してください。
1.8.9 アカウント・データの変換および検証
アプリケーションの作成時にGroovyスクリプトを作成して、リコンシリエーション操作およびプロビジョニング操作の際にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の属性のプロビジョニングおよびリコンシリエーションの検証と変換に関する項を参照してください。