1 Office 365コネクタについて
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
ノート:
このガイドでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタを、AOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイされるコネクタを、CIベースのコネクタ(コネクタ・インストーラ・ベースのコネクタ)と呼びます。アプリケーションのオンボードは、アプリケーションをOracle Identity Governanceに登録または関連付けし、そのアプリケーションをユーザー情報のプロビジョニングおよびリコンシリエーションで使用できるようにするプロセスです。
次の項では、Office 365コネクタの概要を示します。
1.1 動作保証されているコンポーネント
Office 365コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1 動作保証されているコンポーネント
| コンポーネント | AOBアプリケーションの要件 | CIベースのコネクタの要件 |
|---|---|---|
|
Oracle Identity GovernanceまたはOracle Identity Manager |
次のいずれかのリリースを使用できます:
|
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
|
Oracle Identity GovernanceまたはOracle Identity Manager JDK |
JDK 1.8以降 |
JDK 1.8以降 |
|
ターゲット・システム |
Microsoft Office 365 Enterprise Edition |
Microsoft Office 365 Enterprise Edition |
|
コネクタ・サーバー |
11.1.2.1.0以降 |
11.1.2.1.0以降 |
|
コネクタ・サーバーJDK |
JDK 1.8以降 |
JDK 1.8以降 |
|
ターゲットAPIバージョン |
Azure Active Directory (AD) Graph API 1.6 | Azure Active Directory (AD) Graph API 1.6 |
1.2 使用上の推奨事項
使用するOracle Identity GovernanceまたはOracle Identity Managerバージョンに応じて、デプロイおよび使用できるOffice 365コネクタ・バージョンの推奨事項は次のとおりです。
-
Oracle Identity Governance 12c (12.2.1.3.0)を使用している場合は、このコネクタの最新バージョン12.2.1.xを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
-
表1-1の「CIベースのコネクタの要件」列に示されたOracle Identity Managerのいずれかのリリースを使用している場合、Office 365コネクタの11.1.xバージョンを使用します。このコネクタの12.2.1.xバージョンを使用する場合は、CIベース・モードでのみインストールおよび使用できます。AOBアプリケーションを使用する場合は、Oracle Identity Governanceリリース12.2.1.3.0にアップグレードする必要があります。
ノート:
Office 365コネクタの最新の12.2.1.xバージョンをCIベース・モードで使用している場合、コネクタのデプロイメント、使用方法およびカスタマイズの詳細は、Oracle Identity Manager Office 365コネクタ・ガイド リリース11.1.1を参照してください。1.3 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.4 サポートされているコネクタ操作
ターゲット・システムに対してコネクタでサポートされる操作のリストは次のとおりです。
表1-2 サポートされているコネクタ操作
| 操作 | サポート対象 |
|---|---|
|
ユーザー管理 |
|
|
ユーザーの作成 |
はい |
|
ユーザーの更新 |
はい |
|
ユーザーの削除 |
はい |
|
パスワードのリセット |
はい |
| ロール付与管理 | |
|
ロールの割当ておよび取消し |
はい |
|
ライセンス付与管理 |
|
|
ライセンスの付与および取消し |
はい |
| グループ管理 | |
|
グループの追加、更新および削除 |
はい |
ノート:
- Office 365コネクタでは、次の2つのグループがサポートされます:
- Office 365グループ
- セキュリティ・グループ
- グループをオブジェクトとして管理するために必要なすべてのコネクタ・アーティファクト(たとえば、グループの属性マッピング、リコンシリエーション・ルール、ジョブなど)は、Identity Self ServiceのアプリケーションUIに表示されません。ただし、必要なすべての情報は、コネクタのインストール・パッケージの事前定義済のアプリケーション・テンプレートで入手できます。グループに関連するアーティファクトの詳細は、「グループ管理に使用されるコネクタ・オブジェクト」を参照してください。
1.5 コネクタのアーキテクチャ
Office 365コネクタは、Identity Connector Framework (ICF)を使用して実装されます。
ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
図1-1に、Office 365コネクタのアーキテクチャを示します。
-
アイデンティティ・リコンシリエーション
アイデンティティ・リコンシリエーションは、認可ソースまたは信頼できるソースのリコンシリエーションとも呼ばれます。このモードでは、Office 365アプリケーションは信頼できるソースとして使用され、ユーザーはOracle Identity Governanceで直接作成および変更されます。リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。ICFは続いてOffice 365アイデンティティ・コネクタ・バンドルで検索操作を呼び出し、続いてバンドルによりOffice 365 APIがリコンシリエーション操作のために呼び出されます。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。
ターゲット・システムからフェッチされた各ユーザー・レコードが、既存のOIMユーザーと比較されます。ターゲット・システムとOIMユーザーの一致が見つかった場合、ターゲット・システム・レコードに対して行われた変更内容でOIMユーザー属性が更新されます。一致が見つからない場合、ターゲット・システム・レコードを使用してOIMユーザーが作成されます。
-
アカウント管理
アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。
-
プロビジョニング
プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザーを作成、更新または削除します。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがOffice 365アイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがプロビジョニング操作のためにターゲット・システムAPI (Microsoft Azure Active Directory (AD) Graph API)を呼び出します。ターゲット・システムのAPIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
-
ターゲット・リソースのリコンシリエーション
リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。ICFは続いてOffice 365アイデンティティ・コネクタ・バンドルで検索操作を呼び出し、続いてバンドルによりOffice 365 APIがリコンシリエーション操作のために呼び出されます。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。
ターゲット・システムからフェッチされた各レコードは、OIMユーザーにすでにプロビジョニングされているOffice 365リソースと比較されます。一致が見つかると、ターゲット・システムからOffice 365レコードに対して行われた更新が、Oracle Identity GovernanceのOffice 365リソースにコピーされます。一致が見つからなかった場合、レコードのuserPrincipalNameが、各OIMユーザーのユーザー・ログインと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、Office 365リソースがOIMユーザーにプロビジョニングされます。
-
Office 365アイデンティティ・コネクタ・バンドルはHTTPSプロトコルを使用してMicrosoft Azure Active Directory Graph APIと通信します。Microsoft Azure Active Directory Graph APIを使用すると、REST APIエンドポイントを介してAzure Active Directoryにプログラム的にアクセスできます。アプリケーションはMicrosoft Azure Active Directory Graph APIを使用して、ディレクトリ・データ、およびユーザーやグループといったディレクトリ・オブジェクトに対して作成、読取り、更新および削除(CRUD)操作を実行できます。
関連項目:
ICFの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のIdentity Connector Frameworkの理解に関する項を参照してください
1.6 コネクタでサポートされるユースケース
Office 365コネクタは、Oracle Identity GovernanceをOffice 365と統合し、すべてのOffice 365アカウントがエンタープライズ内の他のアイデンティティ認識アプリケーションとの統合サイクルに基づいて作成、更新および非アクティブ化されるようにするために使用します。Office 365コネクタでは、Office 365のクラウド・アイデンティティ、同期アイデンティティおよびフェデレーション・アイデンティティの各モデルのアイデンティティの管理をサポートしています。一般的なITシナリオでは、Oracle Identity Governanceを使用する組織のねらいはOffice 365クラウド・サービスにおけるアカウント、グループ、ロールおよびライセンスの管理にあります。
-
Office 365ユーザー管理
Office 365を使用している組織において、Oracle Identity Governanceとの統合によりアイデンティティを管理することにしました。この組織では、Oracle Identity Governanceを使用してターゲット・システムのユーザー・アイデンティティを作成することによりその管理を行うことにしました。この組織ではまた、ターゲット・システムでOracle Identity Governanceにより直接実行されたユーザー・アイデンティティの変更を同期することにもしました。このようなシナリオにおいて手軽で簡単な方法は、Office 365コネクタをインストールし、接続情報を指定することによりターゲット・システムに対して構成することです。
ターゲット・システムで新規ユーザーを作成するには、OIMプロセス・フォームに入力して送信し、プロビジョニング操作をトリガーします。コネクタではターゲット・システムに対してCreateOp操作を実行し、この操作の実行が成功するとユーザーが作成されます。同様に、削除や更新といった操作も実行できます。
ユーザー・アイデンティティを検索または取得するには、Oracle Identity Governanceからスケジュール済タスクを実行する必要があります。コネクタはターゲット・システムのユーザー・アイデンティティに対して対応するSearchOpを実行し、Oracle Identity Governanceに対するすべての変更をフェッチします。
-
Office 365グループ管理
組織には多数のOffice 365セキュリティ・グループがあり、ユーザーは新規グループの設定、メンバーシップの管理、グループの削除を行うことができます。その組織において、最近アクセスがない、または非アクティブなメンバーがいるグループのリストを取得します。このようなシナリオにおいて、Office 365コネクタを使用してグループの使用状況の傾向を示すことができます。Office 365コネクタを使用すると、Oracle Identity Governanceのレポート機能を利用して、グループに対して実行された任意の操作(作成、更新、削除など)およびメンバーシップに対して加えられた変更を追跡できます。
-
Office 365管理ロール管理
大規模な組織では、管理者が他の従業員に管理者として様々な役割を果たすよう任命することが必要となる場合があります。たとえば、他の従業員やパートナ、顧客、ベンダーに対するサポート・エージェントとしての役割を果たせる社内のITスタッフに管理者役割を設定できます。Office 365コネクタを使用すると、Office 365の管理ロールを権限としてユーザーに割り当てたり失効させることができ、Office 365の委任管理機能を利用するのが簡単になります。
-
Office 365ユーザー・ライセンス管理
他のシナリオは、組織においてOffice 365 for businessを使用しており、組織の必要の変化に応じてユーザーにライセンスを割り当てたり割当てを解除することによりユーザー・ライセンスを管理しているという場合です。ここで必要となるのは、クラウドおよびオンプレミス・サーバーのすべてのライセンスおよびユーザー権限を効率よくトラッキングすることです。このようなシナリオにおいて、Office 365コネクタを使用することですべてのユーザー・ライセンスを効率よくトラッキングできます。これらのライセンス割当ての変更は、Oracle Identity Governanceの監査およびレポート機能を利用することで追跡できます。
1.7 コネクタの機能
コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、制限付きリコンシリエーション、および削除されたアカウント・データのリコンシリエーションが含まれます。
表1-3 サポートされるコネクタ機能のマトリックス
| 機能 | AOBアプリケーション | CIベースのコネクタ |
|---|---|---|
|
完全リコンシリエーション |
はい |
はい |
|
増分リコンシリエーション |
はい |
はい |
| 制限付きリコンシリエーション |
はい |
はい |
|
削除のリコンシリエーション |
はい |
はい 注意: 削除のリコンシリエーションを正常に動作させるには、パッチO365.12.2.1.3.0Bを適用します。 |
|
認可ソース・リコンシリエーションのサポート |
はい |
はい |
|
コネクタ・サーバーの使用 |
はい |
はい |
|
アカウント・データの変換および検証 |
はい |
はい |
|
複数ドメインでのコネクタ操作の実行 |
はい |
はい |
|
ページングのサポート |
はい |
はい |
|
テスト接続 |
はい |
なし |
|
パスワードのリセット |
はい |
はい |
次のトピックでは、AOBアプリケーションの機能の詳細を示します。
1.7.1 完全リコンシリエーションおよび増分リコンシリエーション
完全リコンシリエーションを実行して、すべての既存ユーザー・データをターゲット・システムからOracle Identity Governanceに移動できます。
完全リコンシリエーションを初めて実行した後、ターゲット・システムにオブジェクトの作成または変更のタイムスタンプが格納される属性が含まれている場合は、コネクタを増分リコンシリエーション用に構成できます。
増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Governanceにフェッチされます。増分リコンシリエーションの実行中、スケジュール済ジョブによって、スケジュール済ジョブの「最新のトークン」属性に保存されているタイムスタンプより後に追加または変更されたターゲット・システム・レコードのみがフェッチされます。
ノート:
コネクタでは、ターゲット・システムにオブジェクトの作成または変更のタイムスタンプが格納される属性が含まれている場合に、増分リコンシリエーションをサポートします。完全リコンシリエーションはいつでも実行できます。完全リコンシリエーションおよび増分リコンシリエーションの実行の詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。
1.7.2 制限付きリコンシリエーション
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。リコンシリエーション実行時に、Oracle Identity Governanceにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
ユーザー・リコンシリエーション・スケジュール済ジョブのFilter Suffix属性の値としてリコンシリエーション・フィルタを設定できます。Filter Suffix属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるAPIにフィルタを割り当てるのに役立ちます。
詳細は、「制限付きリコンシリエーションの実行」を参照してください。
1.7.3 削除されたユーザーのリコンシリエーション
ターゲット・システム内の削除されたユーザーに関する情報のリコンシリエーションのためにコネクタを構成できます。
ターゲット・リソース・モードでは、ターゲット・システムでユーザーが削除されると、対応するユーザーがOracle Identity Governanceから削除されます。
削除されたユーザーのリコンシリエーションのために使用されるスケジュール済ジョブの詳細は、「削除のリコンシリエーションの実行」を参照してください。
1.7.4 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用方法に関する項を参照してください。
1.7.5 アカウント・データの変換および検証
アプリケーションの作成時にGroovyスクリプトを記述することによって、リコンシリエーションおよびプロビジョニング操作中にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証および変換に関する項を参照してください。