1. Microsoft Teamsアプリケーションの構成
  2. コネクタについて

1 コネクタについて

Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。

Microsoft Teamsコネクタを使用すると、Oracle Identity GovernanceでMS Teamsアプリケーションを作成してオンボードできます。

ノート:

このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。

Oracle Identity Governanceリリース12.2.1.3.0以降では、Oracle Identity Self Serviceのアプリケーション・オンボード機能を使用してコネクタのデプロイメントが処理されます。この機能により、ビジネス・ユーザーは最小限の詳細と作業でアプリケーションをオンボードできます。コネクタのインストール・パッケージには、指定したアプリケーションまたはターゲット・システムからデータをプロビジョニングおよびリコンサイルするために必要なすべての情報を含む事前定義済テンプレート(XMLファイル)のコレクションが含まれています。これらのテンプレートには、ターゲット・システムに固有の基本接続性と構成の詳細も含まれています。コネクタによってこれらの事前定義済テンプレートからの情報が使用されるため、ユーザーは単一の簡素化されたUIを使用して迅速かつ簡単にアプリケーションをオンボードできます。

アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。

次の項では、MS Teamsコネクタの概要を示します:

1.1 動作保証されているコンポーネント

Microsoft Teamsコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。

表1-1 動作保証されているコンポーネント

コンポーネント AOBアプリケーションの要件

Oracle Identity GovernanceまたはOracle Identity Manager

次のいずれかのリリースを使用できます:

  • Oracle Identity Governance 12c (12.2.1.4.0)
  • Oracle Identity Governance 12c (12.2.1.3.0)

ノート:

12c PS3用のパッチ27861122をMy Support Oracleからダウンロードして適用してください。このパッチを適用しないと、Oracle Identity Governanceとターゲット・システムの間の接続を正常にテストできません。

Oracle Identity GovernanceまたはOracle Identity Manager JDK

JDK 1.8以降

ターゲット・システム

Azure AD

コネクタ・サーバー

11.1.2.1.0または12.2.1.3.0

コネクタ・サーバーJDK

JDK 1.8以降

ターゲットAPIバージョン

Microsoft Graph API v1.0およびAuthentication APIバージョンv2.0

1.2 使用上の推奨事項

Oracle Identity Governance 12c (12.2.1.3.0)以降を使用している場合は、このコネクタの最新の12.2.1.xバージョンを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。

1.3 動作保証されている言語

コネクタでサポートされている言語は次のとおりです。

  • アラビア語

  • 中国語(簡体字)

  • 中国語(繁体字)

  • チェコ語

  • デンマーク語

  • オランダ語

  • 英語

  • フィンランド語

  • フランス語

  • フランス語(カナダ)

  • ドイツ語

  • ギリシャ語

  • ヘブライ語

  • ハンガリー語

  • イタリア語

  • 日本語

  • 韓国語

  • ノルウェー語

  • ポーランド語

  • ポルトガル語

  • ポルトガル語(ブラジル)

  • ルーマニア語

  • ロシア語

  • スロバキア語

  • スペイン語

  • スウェーデン語

  • タイ語

  • トルコ語

1.4 サポートされているコネクタ操作

ターゲット・システムに対してコネクタでサポートされる操作のリストは次のとおりです。

表1-2 サポートされるコネクタ操作

操作 サポート対象

ユーザー管理

  

ユーザーの作成

はい

ユーザーの更新

はい

ユーザーの有効化

はい

ユーザーの無効化

はい

ユーザーの削除

はい

パスワードのリセット

はい
MS Teams管理  

ユーザーへのグループの作成

はい

ユーザーからのグループの削除

 はい

ユーザーへのグループの調整

はい
Teamsグループ割当て  

ユーザーへのチーム・グループの追加

はい

ユーザーからのチーム・グループの削除

はい

1.5 コネクタのアーキテクチャ

Microsoft Teamsコネクタは、Identity Connector Framework (ICF)を使用して実装されます。

ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニングの操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。

「Microsoft Teamsコネクタ」に、Microsoft Teamsコネクタのアーキテクチャを示します。

図1-1 Microsoft Teamsコネクタ

これは、Microsoft Teamsコネクタのアーキテクチャを示しています。
コネクタは、次のモードのいずれかで実行されるように構成されます。

  • アカウント管理

    アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。

    • プロビジョニング

      プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザーを作成、更新または削除します。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがMicrosoft Teamsアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、そのバンドルがプロビジョニング操作のためにターゲット・システムAPI (Microsoft Azure Active Directory (AD) Graph API)をコールします。ターゲット・システムのAPIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。

    • ターゲット・リソースのリコンシリエーション

      リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。次に、ICFがMicrosoft Teamsアイデンティティ・コネクタ・バンドルで検索操作を呼び出してから、そのバンドルがリコンシリエーション操作のためにAzure AD APIをコールします。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。

      ターゲット・システムからフェッチされた各レコードは、OIMユーザーにすでにプロビジョニングされているMicrosoft Teamsリソースと比較されます。一致が見つかると、ターゲット・システムからMicrosoft Teams (Azure AD)レコードに対して行われた更新が、Oracle Identity GovernanceのMicrosoft Teamsリソースにコピーされます。一致が見つからなかった場合、レコードのuserPrincipalNameが、各OIMユーザーのユーザー・ログインと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、Microsoft TeamsリソースがOIMユーザーにプロビジョニングされます。

Microsoft Teamsアイデンティティ・コネクタ・バンドルはHTTPSプロトコルを使用してMicrosoft Graph APIと通信します。Microsoft Graph APIを使用すると、REST APIエンドポイントを介してAzure Active Directoryにプログラム的にアクセスできます。アプリケーションはMicrosoft Graph APIを使用して、ディレクトリ・データ、およびユーザーやグループといったディレクトリ・オブジェクトに対して作成、読取り、更新および削除(CRUD)操作を実行できます。

関連項目:

ICFの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』Identity Connector Frameworkの理解に関する項を参照してください

1.6 コネクタでサポートされるユースケース

Microsoft Teamsコネクタは、Oracle Identity GovernanceをAzure ADと統合して、すべてのMicrosoft Teamsアカウントが企業内の他のアイデンティティ認識アプリケーションとの統合サイクルで作成、更新および非アクティブ化されるようにするために使用されます。

Microsoft Teamsコネクタは、Azure ADのクラウド・アイデンティティ、同期アイデンティティおよびフェデレーテッド・アイデンティティの各モデルのアイデンティティの管理をサポートしています。一般的なITシナリオでは、Oracle Identity Governanceを使用する組織のねらいはAzure AD Cloud Serviceにおけるアカウント、グループ、ロールおよびライセンスの管理にあります。このコネクタが使用可能な最も一般的なシナリオの例を次に示します。

  • Azure ADユーザー管理

    Microsoft Teamsを使用している組織において、Oracle Identity Governanceを統合してアイデンティティを管理します。この組織では、Oracle Identity Governanceを使用してターゲット・システムのユーザー・アイデンティティを作成することによりその管理を行うことにしました。この組織ではまた、ターゲット・システムでOracle Identity Governanceにより直接実行されたユーザー・アイデンティティの変更を同期することにもしました。このようなシナリオにおいて手軽で簡単な方法は、Microsoft Teamsコネクタをインストールし、接続情報を指定することによりターゲット・システムで構成することです。

    ターゲット・システムで新規ユーザーを作成するには、OIMプロセス・フォームに入力して送信し、プロビジョニング操作をトリガーします。コネクタではターゲット・システムに対してCreateOp操作を実行し、この操作の実行が成功するとユーザーが作成されます。同様に、削除や更新といった操作も実行できます。

    ユーザー・アイデンティティを検索または取得するには、Oracle Identity Governanceからスケジュール済タスクを実行する必要があります。コネクタはターゲット・システムのユーザー・アイデンティティに対して対応するSearchOpを実行し、Oracle Identity Governanceに対するすべての変更をフェッチします。

  • MS Teamsグループ・サポート

    Microsoft Teamsは、Microsoftが開発した独自のビジネス通信プラットフォームであり、Microsoft 365製品ファミリの一部です。Azure ADを使用すると、ユーザーはファイルを共有し、カレンダから会議を編成し、MS OneNote、MS OneDrive、Skype for Businessなどの他のOfficeアプリケーションと同期できます。これにより、コラボレーションとコミュニケーションが改善され、同時にOffice 365の採用が支援されます。

1.7 コネクタの機能

コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、制限付きリコンシリエーション、および削除されたアカウント・データのリコンシリエーションが含まれます。

表1-3に、AOBアプリケーションでサポートされている機能のリストを示します。

表1-3 サポートされるコネクタの機能マトリックス

機能 AOBアプリケーション

完全リコンシリエーション

はい

制限付きリコンシリエーション

はい

削除のリコンシリエーション

はい

コネクタ・サーバーの使用

はい

アカウント・データの変換および検証

はい

複数ドメインでのコネクタ操作の実行

はい

ページングのサポート

はい

接続のテスト

はい

パスワードのリセット

はい

MS Teams管理

はい

次の各トピックでは、AOBアプリケーションの機能の詳細について説明します。

1.7.1 完全リコンシリエーションおよび増分リコンシリエーション

完全リコンシリエーションを実行して、すべての既存ユーザー・データをターゲット・システムからOracle Identity Governanceに移動できます。

完全リコンシリエーションを初めて実行した後、ターゲット・システムにオブジェクトの作成または変更のタイムスタンプが格納される属性が含まれている場合は、コネクタを増分リコンシリエーション用に構成できます。

Microsoft Teamsコネクタでは、増分リコンシリエーションのオプションはデフォルトでは有効になっていません。コネクタでは、ターゲット・システムにオブジェクトの作成または変更のタイムスタンプが格納される属性が含まれている場合にのみ、増分リコンシリエーションをサポートします。

ノート:

コネクタでは、ターゲット・システムにオブジェクトの作成または変更のタイムスタンプが格納される属性が含まれている場合に、増分リコンシリエーションをサポートします。

完全リコンシリエーションはいつでも実行できます。完全リコンシリエーションおよび増分リコンシリエーションの実行の詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。

1.7.2 制限付きリコンシリエーション

指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。リコンシリエーション実行時に、Oracle Identity Governanceにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。

ユーザー・リコンシリエーション・スケジュール済ジョブのFilter Suffix属性の値としてリコンシリエーション・フィルタを設定できます。Filter Suffix属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるAPIにフィルタを割り当てるのに役立ちます。

詳細は、「制限付きリコンシリエーションの実行」を参照してください。

1.7.3 コネクタ・サーバーのサポート

コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。

アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。ネイティブに管理されているリソースと同じホストにバンドルをデプロイするとバンドルの動作が速くなる場合は、Javaコネクタを別のホストで実行するとパフォーマンス改善に役立ちます。

関連項目:

コネクタ・サーバーのインストールと構成、およびコネクタ・サーバーの実行の詳細は、『Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』アイデンティティ・コネクタ・サーバーの使用に関する項を参照してください

1.7.4 アカウント・データの変換および検証

アプリケーションの作成中にGroovyスクリプトを作成することにより、リコンシリエーションおよびプロビジョニング操作中にOracle Identity Governanceとの間で送受信されるアカウント・データの検証と変換を構成できます。

詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』プロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。