1 SharePointコネクタについて
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
ノート:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。次の項では、SharePointコネクタの概要を示します:
1.1 コネクタ・オファリング
SharePoint Onlineコネクタは、SharePoint Onlineの機能とともにAzure ADの機能をサポートしています。
- Microsoft Graph APIを使用したプロビジョニングとリコンシリエーションの両方でサポートされる親フォームの属性。これらの属性値はAzure ADで保持されます。
- Azure ADユーザーへのSharePoint Onlineグループの追加/削除およびリコンシリエーションをサポートします。
- SharePoint Onlineグループの一部であるMicrosoft Office365グループは、ユーザー・リコンシリエーションでのみサポートされます。
- SharePoint OnlineグループおよびMicrosoft Office365グループの参照リコンシリエーションをサポートします。
- このコネクタでサポートされているSharePoint Onlineグループ管理(CRUD操作)。
- このコネクタは、ロール付与管理、ライセンス付与管理、セキュリティ・グループ管理をサポートしていません
1.2 Microsoft SharePointコネクタの動作保証されているコンポーネント
SharePointコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1 動作保証されているコンポーネント
| コンポーネント | AOBアプリケーションの要件 |
|---|---|
|
Oracle Identity ManagerまたはOracle Identity Manager |
次のいずれかのリリースを使用できます:
ノート: 12c PS3用のパッチ27861122をMy Support Oracleからダウンロードして適用してください。このパッチを適用しないと、Oracle Identity Governanceとターゲット・システムの間の接続を正常にテストできません。 |
| Oracle Identity GovernanceまたはOracle Identity Manager JDK | JDK 1.8以降 |
| ターゲット・システム | Microsoft SharePoint Online、Microsoft Azure AD |
| コネクタ・サーバー | 11.1.2.1.0または12.2.1.3.0 |
| コネクタ・サーバーJDK | JDK 1.8以降 |
| ターゲットAPIバージョン | SharePoint REST API v1、Azure Active Directory (AD) Microsoft graph API v1.0 |
1.3 使用上の推奨事項
Oracle Identity Governance 12c (12.2.1.3.0)以降を使用している場合は、このコネクタの最新の12.2.1.xバージョンを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
1.4 動作保証されている言語
コネクタでサポートされている言語は次のとおりです:
- アラビア語
- 中国語(簡体字)
- 中国語(繁体字)
- チェコ語
- デンマーク語
- オランダ語
- 英語
- フィンランド語
- フランス語
- フランス語(カナダ)
- ドイツ語
- ギリシャ語
- ヘブライ語
- ハンガリー語
- イタリア語
- 日本語
- 韓国語
- ノルウェー語
- ポーランド語
- ポルトガル語
- ポルトガル語(ブラジル)
- ルーマニア語
- ロシア語
- スロバキア語
- スペイン語
- スウェーデン語
- タイ語
- トルコ語
1.5 サポートされているコネクタ操作
ターゲット・システムに対してコネクタでサポートされる操作のリストは次のとおりです。
表1-* サポートされているコネクタ操作
| 操作 | サポート対象 |
|---|---|
|
ユーザー管理 |
|
|
ユーザーの作成 |
はい |
|
ユーザーの更新 |
はい |
| ユーザーの有効化 | はい |
| ユーザーの無効化 | はい |
|
ユーザーの削除 |
はい |
| パスワードのリセット | はい |
|
SharePoint Onlineグループ管理 |
|
| グループの作成、更新、取消 | はい |
| SharePoint Onlineグループ付与管理 | |
| グループの割当および削除 | はい |
| Microsoft Office365グループ付与管理 | |
| Microsoft Office365グループ・リコンシリエーション | はい |
ノート:
- SharePoint Onlineグループの一部であるMicrosoft Office365グループは、ユーザー・リコンシリエーション中のみサポートされます。
- グループをオブジェクトとして管理するために必要なすべてのコネクタ・アーティファクト(たとえば、グループの属性マッピング、リコンシリエーション・ルール、ジョブなど)は、Identity Self Serviceのアプリケーション UIに表示されません。ただし、必要なすべての情報は、コネクタのインストール・パッケージの事前定義済のアプリケーション・テンプレートで入手できます。グループに関連するアーティファクトの詳細は、「グループ管理に使用されるコネクタ・オブジェクト」を参照してください。
1.6 コネクタのアーキテクチャ
SharePoint Onlineコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニングの操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
図1-1 SharePointのアーキテクチャ
- アカウント管理アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。
- プロビジョニング
プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザーを作成、更新および削除します。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがSharePoint Onlineアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、そのバンドルがプロビジョニング操作のためにターゲット・システムAPI (Microsoft Azure Active Directory (AD) Graph APIおよびSharePoint Online API)をコールします。ターゲット・システムのAPIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
- ターゲット・リソース・リコンシリエーション
リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。次に、ICFがSharePoint Onlineアイデンティティ・コネクタ・バンドルで検索操作を呼び出してから、そのバンドルがリコンシリエーション操作のためにMicrosoft Graph APIおよびSharePoint Online APIをコールします。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。
ターゲット・システムからフェッチされた各レコードは、OIMユーザーにすでにプロビジョニングされているSharePoint Onlineリソースと比較されます。一致が見つかると、ターゲット・システムからSharePoint Onlineレコードに対して行われた更新が、Oracle Identity GovernanceのSharePoint Onlineリソースにコピーされます。一致が見つからなかった場合、レコードのuserPrincipalNameが、各OIMユーザーのユーザー・ログインと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、SharePoint OnlineリソースがOIMユーザーにプロビジョニングされます。
- プロビジョニング
ノート:
1.7 コネクタでサポートされるユースケース
SharePoint Onlineコネクタは、Oracle Identity GovernanceをSharePoint Onlineと統合して、すべてのAzure ADアカウントが企業内の他のアイデンティティ認識アプリケーションとの統合サイクルで作成、更新および非アクティブ化されるようにするために使用されます。SharePoint Onlineコネクタは、Azure ADのクラウド・アイデンティティ、同期アイデンティティおよびフェデレーテッド・アイデンティティの各モデルのアイデンティティの管理をサポートしています。一般的なITシナリオでは、Oracle Identity Governanceを使用する組織のねらいは、SharePoint Online Cloud Serviceにおけるアカウントおよびグループの管理にあります。
このコネクタが使用可能な最も一般的なシナリオの例を次に示します。
- SharePoint Onlineユーザー管理
SharePoint Onlineを使用している組織において、Oracle Identity Governanceを統合してアイデンティティを管理します。この組織では、Oracle Identity Governanceを使用してターゲット・システムのユーザー・アイデンティティを作成することによりその管理を行うことにしました。この組織ではまた、ターゲット・システムでOracle Identity Governanceにより直接実行されたユーザー・アイデンティティの変更を同期することにもしました。このようなシナリオにおいて手軽で簡単な方法は、SharePoint Onlineコネクタをインストールし、接続情報を指定することによりターゲット・システムで構成することです。ターゲット・システムで新規ユーザーを作成するには、OIMプロセス・フォームに入力して送信し、プロビジョニング操作をトリガーします。コネクタではターゲット・システムに対して
CreateOp操作を実行し、この操作の実行が成功するとユーザーが作成されます。同様に、削除や更新といった操作も実行できます。ユーザー・アイデンティティを検索または取得するには、Oracle Identity Governanceからスケジュール済タスクを実行する必要があります。コネクタはターゲット・システムのユーザー・アイデンティティに対して対応するSearchOpを実行し、Oracle Identity Governanceに対するすべての変更をフェッチします。 - SharePoint Onlineグループ管理
組織には多数のSharePoint Onlineグループがあり、ユーザーは新しいグループの設定、グループの更新およびグループの削除を実行できます。その組織において、最近アクセスがない、または非アクティブなメンバーがいるグループのリストを取得します。このようなシナリオにおいて、SharePoint Onlineコネクタを使用してグループの使用状況の傾向を示すことができます。SharePoint Onlineを使用すると、Oracle Identity Governanceのレポート機能を利用して、グループに対して実行された任意の操作(作成、更新、削除など)およびメンバーシップに対して加えられた変更を追跡できます。
1.8 コネクタの機能
コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、制限付きリコンシリエーション、および削除されたアカウント・データのリコンシリエーションが含まれます。
表1-2に、AOBアプリケーションでサポートされている機能のリストを示します。
表1-2 サポートされるコネクタの機能マトリックス
| 機能 | AOBアプリケーション |
|---|---|
| 完全リコンシリエーション | はい |
| 制限付きリコンシリエーション | はい |
| 削除のリコンシリエーション | はい |
| コネクタ・サーバーの使用 | はい |
| アカウント・データの変換および検証 | はい |
| 複数ドメインでのコネクタ操作の実行 | はい |
| ページングのサポート | はい |
| 接続のテスト | はい |
| パスワードのリセット | はい |
次の各トピックでは、AOBアプリケーションの機能の詳細について説明します。
1.8.1 完全リコンシリエーションおよび増分リコンシリエーション
完全リコンシリエーションを実行して、すべての既存ユーザー・データをターゲット・システムからOracle Identity Governanceに移動できます。
ノート:
コネクタでは、ターゲット・システムにオブジェクトの作成または変更のタイムスタンプが格納される属性が含まれている場合に、増分リコンシリエーションをサポートします。完全リコンシリエーションはいつでも実行できます。完全リコンシリエーションおよび増分リコンシリエーションの実行の詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。
1.8.2 制限付きリコンシリエーション
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。リコンシリエーション実行時に、Oracle Identity Governanceにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
ユーザー・リコンシリエーション・スケジュール済ジョブのFilter Suffix属性の値としてリコンシリエーション・フィルタを設定できます。Filter Suffix属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるAPIにフィルタを割り当てるのに役立ちます。
詳細は、「制限付きリコンシリエーションの実行」を参照してください。
1.8.3 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。ネイティブに管理されているリソースと同じホストにバンドルをデプロイするとバンドルの動作が速くなる場合は、Javaコネクタを別のホストで実行するとパフォーマンス改善に役立ちます。
ノート:
コネクタ・サーバーのインストールと構成、およびコネクタ・サーバーの実行の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
1.8.4 アカウント・データの変換および検証
アプリケーションの作成中にGroovyスクリプトを作成することにより、リコンシリエーションおよびプロビジョニング操作中にOracle Identity Governanceとの間で送受信されるアカウント・データの検証と変換を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。