1 Salesforceコネクタについて

Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。Salesforceコネクタを使用すると、Salesforceアプリケーションを作成してOracle Identity Governanceにオンボードできます

Salesforceコネクタを使用すると、Salesforceアプリケーションを作成してOracle Identity Governanceにオンボードできます。

ノート:

このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイするコネクタをCIベース・コネクタ (コネクタ・インストーラベース・コネクタ)と呼びます。

Oracle Identity Governanceリリース12.2.1.3.0以降では、Oracle Identity Self Serviceのアプリケーション・オンボード機能を使用してコネクタのデプロイメントが処理されます。この機能により、ビジネス・ユーザーは最小限の詳細と作業でアプリケーションをオンボードできます。コネクタのインストール・パッケージには、指定したアプリケーションまたはターゲット・システムからデータをプロビジョニングおよびリコンサイルするために必要なすべての情報を含む事前定義済テンプレート(XMLファイル)のコレクションが含まれています。これらのテンプレートには、ターゲット・システムに固有の基本接続性と構成の詳細も含まれています。コネクタによってこれらの事前定義済テンプレートからの情報が使用されるため、ユーザーは単一の簡素化されたUIを使用して迅速かつ簡単にアプリケーションをオンボードできます。アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。

次の項では、Salesforceコネクタの概要を示します。

• 動作保証されているコンポーネント
• 使用上の推奨事項
• 動作保証されている言語
• サポートされているコネクタ操作
• コネクタのアーキテクチャ
• サポートされているユース・ケース
• サポートされるコネクタの機能マトリックス
• コネクタの機能

1.1 動作保証されているコンポーネント

Salesforceコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。

表1-1 動作保証されているコンポーネント

コンポーネント	AOBアプリケーションの要件	CIベース・コネクタの要件
Oracle Identity GovernanceまたはOracle Identity Manager	次のいずれかのリリースを使用できます: Oracle Identity Governanceリリース12c PS4 (12.2.1.4.0)以上 Oracle Identity Governance 12c (12.2.1.3.0)以上 ノート: パッチ25323654をMy Oracle Supportからダウンロードしてインストールしてください。このパッチを適用しないと、Oracle Identity Governanceとターゲット・システムの間の接続を正常にテストできません。	Oracle Identity ManagerまたはOracle Identity Governanceの次のリリースのいずれかを使用できます。 Oracle Identity Governanceリリース12c PS4 (12.2.1.4.0)以上 Oracle Identity Governance 12c (12.2.1.3.0)以上 Oracle Identity Manager 11gリリース2 PS3 (11.1.2.3.0)
ターゲット・システム	Salesforce Winter 2012以降のリリース	Salesforce Winter 2012以降のリリース
コネクタ・サーバーのJDK	JDK 1.8.0_131以降またはJRockit JDK 1.8.0_131以降	JDK 1.8.0_131以降
コネクタ・サーバー	11.1.2.1.0または12.2.1.3.0	11.1.2.1.0または12.2.1.3.0

1.2 使用上の推奨事項

これらは、使用しているOracle Identity Managerのバージョンに応じてデプロイおよび使用できる、Salesforceコネクタの推奨されるバージョンです。

• Oracle Identity Governance 12c (12.2.1.3.0)以降を使用している場合は、このコネクタの最新バージョン12.2.1.xを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。

• 表1-1の「CIベースのコネクタの要件」列に示されたOracle Identity Managerのいずれかのリリースを使用している場合、コネクタの11.1.2.3.0バージョンを使用します。このコネクタの12.2.1.xバージョンを使用する場合は、CIベース・モードのみでインストールして使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governance 12c (12.2.1.3.0)以降にアップグレードする必要があります。

ノート:

Salesforceコネクタの最新バージョン12.2.1.xをCIベース・モードで使用している場合のコネクタ・デプロイメント、使用方法およびカスタマイズの詳細は、『Oracle Identity Manager Salesforceコネクタ・ガイド リリース11.1.1』を参照してください。

1.3 動作保証されている言語

コネクタでサポートされている言語は次のとおりです。

• アラビア語

• 中国語(簡体字)

• 中国語(繁体字)

• チェコ語

• デンマーク語

• オランダ語

• 英語

• フィンランド語

• フランス語

• フランス語(カナダ)

• ドイツ語

• ギリシャ語

• ヘブライ語

• ハンガリー語

• イタリア語

• 日本語

• 韓国語

• ノルウェー語

• ポーランド語

• ポルトガル語

• ポルトガル語(ブラジル)

• ルーマニア語

• ロシア語

• スロバキア語

• スペイン語

• スウェーデン語

• タイ語

• トルコ語

1.4 サポートされているコネクタ操作

これらは、ターゲット・システムにおける、コネクタでサポートされる操作のリストです。

表1-2 サポートされるコネクタ操作

操作	サポート
ユーザー管理
ユーザーの作成	○
ユーザーの更新	○
ユーザーの削除 ノート: ターゲットでは削除操作はサポートされません。このため、Oracle Identity Governanceでの削除操作を行うとユーザーがターゲットで無効になります。	○
グループ管理
グループの作成	○
グループの削除	○
グループ付与管理
追加、削除	○
地域付与管理
追加、削除	○
権限セット付与管理
追加、削除	○

1.5 コネクタのアーキテクチャ

Salesforceコネクタは、ターゲット(アカウント管理)モードおよび認可(信頼できる)モードで実行されるように構成でき、Identity Connector Framework (ICF)コンポーネントを使用して実装されます。

ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニングの操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。

コネクタは、次のモードのいずれかで実行されるように構成されます。

• アイデンティティ・リコンシリエーション

  アイデンティティ・リコンシリエーションは、認可ソースまたは信頼できるソースのリコンシリエーションとも呼ばれます。このモードでは、ターゲット・システムは信頼できるソースとして使用され、そこでユーザーが直接作成および変更されます。リコンシリエーションの際は、ターゲット・システムからフェッチされた各ユーザー・レコードが、既存のOIMユーザーと比較されます。ターゲット・システムとOIMユーザーの一致が見つかった場合、ターゲット・システム・レコードに対して行われた変更内容でOIMユーザー属性が更新されます。一致が見つからない場合、ターゲット・システム・レコードを使用してOIMユーザーが作成されます。

• アカウント管理

  アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。

  • プロビジョニング

    プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザーを作成または更新します。OIMユーザーに対してSalesforceリソースの割当て(または、プロビジョニング)を行うと、Salesforceにそのユーザーのアカウントが作成されます。Oracle Identity Governance関連では、プロビジョニングという用語は、Oracle Identity Governanceを使用したターゲット・システム・アカウントに対する更新を意味する場合にも使用されます。

  • ターゲット・リソースのリコンシリエーション

    ターゲット・リソースのリコンシリエーションでは、新たに作成または変更されたターゲット・システム・アカウントに関連するデータをリコンサイルして、既存のOIMユーザーやプロビジョニングされたリソースにリンクすることができます。リコンシリエーションには、スケジュール済タスクが使用されます。Salesforce.comではアクティブなユーザー・アカウントについてのみ詳細を提供します。

図1-1 Salesforceコネクタのアーキテクチャ

「図1-1 Salesforceコネクタのアーキテクチャ」の説明

図1-1に示されているように、Salesforce.comは、Oracle Identity Governanceのターゲット・リソースとして構成されます。Oracle Identity Governanceで実行されるプロビジョニング操作を通じて、OIGユーザーのアカウントがターゲット・システムで作成および更新されます。

リコンシリエーションを通じて、ターゲット・システムで直接作成および更新されるアカウント・データがOracle Identity Governanceにフェッチされ、対応するOIMユーザーに対して格納されます。

Identity Connector Framework (ICF)は、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFはOracle Identity Governanceに同梱されています。ICFを構成したり変更する必要はありません。

プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがSalesforceアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがSalesforceプロビジョニングAPIを呼び出します。ターゲット・システムのSalesforceプロビジョニングAPIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。

リコンシリエーション中に、スケジュール済タスクがICF操作を呼び出すと、ICFがSalesforceアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがSalesforceリコンシリエーションAPIを呼び出します。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。

1.6 サポートされているユース・ケース

このコネクタを使用可能な一般的なシナリオには次のようなものがあります。

• Salesforceライセンス管理

  Salesforce.comでは、プロファイルはライセンスを管理するのに使用され、そのライセンスはユーザー・タイプに関連付けられています。したがって、特定のユーザー・タイプには決まったプロファイルのセットがあります。Salesforceコネクタを使用すると、Salesforceからすべてのプロファイルをリコンサイルし、ユーザー・タイプを気にすることなくユーザーに割り当てることができます。したがって、Salesforceコネクタを使用することでユーザーをあるライセンス・タイプから別のタイプへと切り替えるのが簡単になります。これは、SalesforceにおいてChatter FreeユーザーをStandardユーザーに昇格させ、事前定義済ライセンスに基づく権限を与えるという場合に役立ちます。

  Salesforce Connectorはまた、特定のSalesforce.comプロファイルをユーザーに対して有効化するのにも使用され、各ユーザーに対して1つのプロファイルを選択する必要があります。プロファイルとは事前定義済設定の集合が格納されたテンプレートのことで、プラットフォームにおいてユーザーが何を表示できて何を行えるかが指定されます。プロファイルの基本原則は、あるユーザーが各アプリケーションおよびアプリケーションの各タブを表示および使用できるかどうかです。

• 複数のクラウド・アプリケーションに対するワンストップのアイデンティティ・ソリューション

  Salesforce.comは、ユーザーを様々なターゲット・クラウド・アプリケーションにマップするのに使用できる、アイデンティティの信頼できるソースとしての役割を果たすことができます。この場合、Oracle Identity Governanceがサポートするあらゆるクラウドおよび非クラウド・アプリケーションでSalesforceからのユーザーを作成できます。

  Salesforce.comは信頼できるソースとして使用でき、組織はこの機能を使用してユーザーのリストを用意し、さらに、ターゲット・ソースとして構成されているサードパーティー・アプリケーションにこれらのユーザーのアカウントをプロビジョニングできます。

• パラメータにとどまらないSalesforceのアイデンティティおよびデータのセキュリティの発展

  アイデンティティ管理ソリューションは従来のパラメータに基づく認証のサポートだけでは不十分で、Salesforceベース認証における認証および権限を管理するための単一で簡単、かつ信頼できる方法を提供する必要があります。各種ITシステム(サーバー、デバイス、アプリケーションなど)を利用するエンタープライズにおいては、パスワードの数の爆発的増加による数多くの問題に直面しています。パスワードが脆弱だと、攻撃者にパスワードを知られてなりすまされる危険性があります。Oracle Salesforce Connectorは、セルフサービスのパスワードのリセットおよび変更を有効にすることで、管理およびヘルプ・デスクにかかるコストを軽減するのに役立ちます。

  次の図は、ロール、グループおよびプロファイルの管理によるユーザーのアクセス権の制御を示します。

  図1-2 ロール、グループおよびプロファイルの管理によるユーザーのアクセスの制御

  
  「図1-2 ロール、グループおよびプロファイルの管理によるユーザーのアクセスの制御」の説明

1.7 サポートされているコネクタ機能のマトリックス

AOBアプリケーションとCIベース・コネクタでサポートされている機能のリストを示します。

表1-3 サポートされるコネクタの機能マトリックス

機能	AOBアプリケーション	CIベース・コネクタ
完全リコンシリエーションの実行	○	○
制限付きリコンシリエーションの実行	○	○
アカウント・データの検証と変換の実行	○	○
ターゲット・システムの複数のインスタンスおよび複数のバージョンのサポート	○	○
コネクタ・サーバーの使用	○	○
SSLを介したターゲット・システムへのセキュアな通信の提供	○	○

1.8 コネクタの機能

コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、制限付きリコンシリエーション、およびアカウント・データの変換と検証が含まれます。

• 完全リコンシリエーションのサポート

• 制限付きリコンシリエーションのサポート

• アカウント・データの変換および検証

• アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート

• ターゲット・システムのセキュアな通信

• コネクタ・サーバーのサポート

1.8.1 完全リコンシリエーションのサポート

完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。コネクタをデプロイしたら、最初の完全リコンシリエーションを実行する必要があります。デフォルト・フィルタは完全リコンシリエーション・スケジュール済ジョブに存在しています。これは、完全ユーザー・リコンシリエーションを実行するときに存在する必要があるデフォルト・フィルタです。

完全リコンシリエーション・スケジュール済ジョブで固定ユーザーを取得しようとする場合は、固定ユーザー用の次のフィルタ値を使用します:

WHERE+Id+IN+(SELECT+UserId+FROM+UserLogin+WHERE+IsFrozen=false)

詳細は、「完全リコンシリエーションの実行」を参照してください。

1.8.2 制限付きリコンシリエーションのサポート

制限付きつまりフィルタ済リコンシリエーションは、設定されたフィルタ基準に基づいてリコンサイルすることによりレコードの数を制限するプロセスです。

リコンシリエーション実行時に、Oracle Identity Governanceにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。「制限付きリコンシリエーションの実行」を参照してください。

1.8.3 アカウント・データの変換および検証

アプリケーションの作成時にGroovyスクリプトを作成して、リコンシリエーション操作およびプロビジョニング操作の際にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証を構成できます。

詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。

1.8.4 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート

アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することにより、ターゲット・システムの複数のインストールに対してこのコネクタを構成できます。

アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションとして共有されます。

これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングおよびインスタンス・アプリケーションの作成に関する項を参照してください。

1.8.5 ターゲット・システムのセキュアな通信

ターゲット・システムにセキュアな通信を提供するためにはSSLが必要です。Oracle Identity Governanceとコネクタ・サーバーの間およびコネクタ・サーバーとターゲット・システムの間でSSLを構成できます。

SSLを構成しないと、ネットワーク上でパスワードがクリア・テキストで送信されます。たとえば、ユーザーを作成するとき、またはユーザーのパスワードを作成するときに、この問題が発生することがあります。

「コネクタのSSLの構成」を参照してください。

1.8.6 コネクタ・サーバーのサポート

コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。

アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。

コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。