1 ServiceNowコネクタについて
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
ノート:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイされるコネクタをCIベース・コネクタ(コネクタ・インストーラ・ベース・コネクタ)と呼びます。アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。
次の項では、ServiceNowコネクタの概要を示します。
ノート:
このマニュアルでは、Oracle Identity Governanceサーバーという用語は、Oracle Identity Governanceがインストールされているコンピュータを意味します。1.1 動作保証されているコンポーネント
ServiceNowコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
ノート:
Oracle Identity Managerリリース11.1.xを使用している場合は、コネクタをCIベース・モードのみでインストールして使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governanceリリース12.2.1.3.0にアップグレードする必要があります。表1-1 動作保証されているコンポーネント
コンポーネント | AOBアプリケーションの要件 | CIベース・コネクタの要件 |
---|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
Oracle Identity Governanceの次のリリースのいずれかを使用できます:
|
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
ターゲット・システム |
ServiceNowリリースEureka以降 |
ServiceNowリリースEureka以降 |
コネクタ・サーバー |
11.1.2.1.0以上 |
11.1.2.1.0以上 |
コネクタ・サーバーJDK |
JDK 1.8以降 |
JDK 1.8以降 |
コネクタ・パッチ |
ServiceNow用の認可アプリケーションを作成および管理する場合は、My Oracle Supportからパッチ29874542をダウンロードして、ServiceNowコネクタ・バンドルに適用する必要があります。 |
該当なし |
1.2 使用上の推奨事項
これらは、使用しているOracle Identity GovernanceまたはOracle Identity Managerのバージョンに応じてデプロイおよび使用できる、ServiceNowコネクタの推奨されるバージョンです。
-
Oracle Identity Governanceリリース12c (12.2.1.3.0)以上を使用している場合は、このコネクタの最新バージョン12.2.1.xを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
-
表1-1の「CIベースのコネクタの要件」列に示されたOracle Identity Managerリリースを使用している場合、このコネクタの11.1.xバージョンを使用します。このコネクタの12.1.xバージョンを使用する場合は、CIベース・モードでのみインストールおよび使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governanceリリース12c (12.2.1.3.0)以降にアップグレードする必要があります。
ノート:
ServiceNowコネクタの最新バージョン12.2.1.xをCIベース・モードで使用している場合のコネクタ・デプロイメント、使用方法およびカスタマイズの詳細は、『Oracle Identity Manager ServiceNowコネクタ・ガイド』のリリース11.1.1を参照してください。1.3 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.4 サポートされているコネクタ操作
これらは、ターゲット・システムにおける、コネクタでサポートされる操作のリストです。
表1-2 サポートされるコネクタ操作
操作 | サポート対象 |
---|---|
ユーザー管理 |
|
ユーザーの作成 |
はい |
ユーザーのリコンサイル |
はい |
ユーザーの更新 |
はい |
ユーザーの削除 |
はい |
パスワードの設定 |
はい |
パスワードのリセット |
はい |
ユーザーの有効化 |
はい |
ユーザーの無効化 |
はい |
ロール付与管理 |
|
ロールの追加 |
はい |
複数のロールの追加 |
はい |
ロールの削除 |
はい |
複数のロールの削除 |
はい |
1つまたは複数のロールの割当て |
はい |
1つまたは複数のロールの削除 |
はい |
グループ管理 |
|
グループの追加 |
はい |
複数のグループの追加 |
はい |
グループの削除 |
はい |
複数のグループの削除 |
はい |
1つまたは複数のグループの割当て |
はい |
1つまたは複数のグループの削除 |
はい |
1.5 コネクタのアーキテクチャ
コネクタは、ServiceNow APIを使用してOracle Identity GovernanceとServiceNowディレクトリ・サービスの間でユーザー属性を同期し、Identity Connector Framework (ICF)コンポーネントを使用して実装されます。
ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニングの操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
コネクタは、次のいずれかのモードで実行するように構成できます。
-
アイデンティティ・リコンシリエーション
アイデンティティ・リコンシリエーションは、認可ソースまたは信頼できるソースのリコンシリエーションとも呼ばれます。このモードでは、ターゲット・システムは信頼できるソースとして使用され、そこでユーザーが直接作成および変更されます。リコンシリエーションの際は、ターゲット・システムからフェッチされた各ユーザー・レコードが、既存のOIMユーザーと比較されます。ターゲット・システムとOIMユーザーの一致が見つかった場合、ターゲット・システム・レコードに対して行われた変更内容でOIMユーザー属性が更新されます。一致が見つからない場合、ターゲット・システム・レコードを使用してOIMユーザーが作成されます。
-
アカウント管理
アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。
-
プロビジョニング
プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザーを作成または更新します。ServiceNowリソースをOIMユーザーに割り当てる(プロビジョニングする)と、ServiceNowにそのユーザーのアカウントが作成されます。Oracle Identity Governance関連では、プロビジョニングという用語は、Oracle Identity Governanceを使用したターゲット・システム・アカウントに対する更新を意味する場合にも使用されます。
-
ターゲット・リソースのリコンシリエーション
ターゲット・リソースのリコンシリエーションでは、新たに作成または変更されたターゲット・システム・アカウントに関連するデータをリコンサイルして、既存のOIMユーザーやプロビジョニングされたリソースにリンクすることができます。リコンシリエーションを実行するには、スケジュール済ジョブを使用します。
-
図1-1に、ServiceNowコネクタのアーキテクチャを示します。
この図で示すように、ServiceNowコネクタにより、Oracle Identity Governanceのアイデンティティ・データの管理されたリソース(ターゲット)としてターゲット・システムを使用できます。
Oracle Identity Governanceで実行されるプロビジョニング操作を通じて、Oracle Identity Governanceユーザーのアカウントがターゲット・システムで作成および更新されます。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがServiceNowアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがプロビジョニング操作のためにターゲット・システムAPIを呼び出します。ターゲット・システムのServiceNow Table APIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。ICFは続いてServiceNowアイデンティティ・コネクタ・バンドルで検索操作を呼び出し、続いてバンドルによりServiceNow APIがリコンシリエーション操作のために呼び出されます。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。
ターゲット・システムからフェッチされた各レコードは、OIGユーザーにすでにプロビジョニングされているServiceNowリソースと比較されます。一致が見つかると、ターゲット・システムからServiceNowレコードに対して行われた更新が、Oracle Identity GovernanceのServiceNowリソースにコピーされます。一致が見つからなかった場合、レコードのユーザーIDが、各OIGユーザーのユーザーIDと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、ServiceNowリソースがOIGユーザーにプロビジョニングされます。
ServiceNowアイデンティティ・コネクタ・バンドルはHTTPSプロトコルを使用してServiceNow Table APIと通信します。ServiceNow Table APIを使用すると、REST APIエンドポイントを介してプログラム的にアクセスできます。アプリケーションはServiceNow APIを使用して、ディレクトリ・データ、およびユーザーなどのディレクトリ・オブジェクトに対して作成、読取り、更新および削除(CRUD)操作を実行できます。
関連項目:
ICFの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』の「Identity Connector Frameworkの理解」を参照してください
1.6 サポートされているユース・ケース
ServiceNowコネクタは、OIGをServiceNowインスタンスと統合するのに使用されます。ServiceNowコネクタを使用すると、すべてのServiceNowアカウントがエンタープライズ内の他のアイデンティティ認識アプリケーションとの統合サイクルに基づいて作成、更新、削除および非アクティブ化されます。ServiceNowコネクタではサービス・プロセスを標準化し、自動化を実装して手動タスクを置き換えます。一般的なITシナリオでは、OIGを使用する組織のねらいは、ServiceNowクラウド・インスタンスにおけるアカウントの管理やロールまたは部門とのユーザー・アソシエーションの管理にあります。
ビジネス・ユースケースとして、チケッティング・システム・ソリューションとしてServiceNowを、アイデンティティ管理にOIGを使用していたオーストラリアの大手ロジスティックス企業を考えてみましょう。ServiceNowコネクタを使用する前は、作成、編集、削除といった操作は手動で行っており、集中管理による効率的な操作は導入されていませんでした。これらの操作はServiceNow REST APIを使用して簡単に自動化できます。ServiceNowコネクタをOracle Identity Governanceと統合することで、このロジスティックス企業では完全な自動化を実現できました。
-
ServiceNowユーザー管理
ServiceNowを使用している組織において、OIGとの統合によりアイデンティティを管理することにしました。この組織では、OIGを使用してターゲット・システムのユーザー・アイデンティティを作成することによりその管理を行うことにしました。この組織ではまた、ターゲット・システムでOIGにより直接実行されたユーザー・アイデンティティの変更を同期することにもしました。このようなシナリオにおいて手軽で簡単な方法は、ServiceNowコネクタをインストールし、ITリソースの接続情報を指定することによりターゲット・システムに対して構成することです。
ServiceNowコネクタでは、新規ユーザーがServiceNowクラウド・インスタンスでセルフ・プロビジョニングできます。新規ユーザーは、クラウド・ベースのリソースのカタログからリクエストおよびプロビジョニングできます。
ターゲット・システムで新規ユーザーを作成するには、OIGプロセス・フォームに入力して送信し、プロビジョニング操作をトリガーします。コネクタではターゲット・システムに対して作成操作を実行し、この操作の実行が成功するとユーザーが作成されます。同様に、削除や更新といった操作も実行できます。
ユーザー・アイデンティティを検索または取得するには、OIGからスケジュール済タスクを実行する必要があります。コネクタはターゲット・システムのユーザー・アイデンティティに対して対応する検索操作を実行し、OIGに対するすべての変更をフェッチします。
- 権限付与の管理
- ServiceNowのグループ
ServiceNowにおいて、グループとは共通の目的を共有するユーザーの集合のことです。一般に、グループは変更要求の承認やインシデントの解決といったタスクを実行します。
たとえば、ネットワークの停止というシナリオを考えてみましょう。チーム・メンバーが何人かいるネットワーク担当グループがそのインシデントについてのグループ通知を受信します。この停止インシデントを解決するタスクはネットワーク担当グループのどのメンバーに割り当ててもかまいません。ServiceNowコネクタのOIGとの統合により、リクエスト・ベースのポリシー・オプションが提供されます。ServiceNowコネクタを使用する前は、承認者はネットワーク担当グループのユーザーでなければなりませんでした。ServiceNowとの統合により、この停止の解決は事前定義済ポリシーに基づいて自動的にユーザーまたはグループに割り当てることができます。管理者およびユーザーにとって、ServiceNowコネクタはリクエスト・ベースのグループ・メンバーシップ割当てやグループ・メンバーシップ取消しを容易にするオプションとなります。
-
ServiceNowのロール
ServiceNowにおいて、ロールとはグループの作成および各種グループに対するアクセス権ベースの権限の割当てができる管理者のことです。
ServiceNowコネクタではロール・メンバーシップを管理します。ロール・メンバーシップにより、ServiceNowの機能に対する選択的なアクセス権が提供されます。ユーザーは1つ以上のロールのメンバーになることができます。一般に、新規ユーザーは特定のロールに追加されます。各ロールにより、表示や更新、削除の操作など、ServiceNowユーザーが実行できる各種タスクが決まります。
例をあげると、ある特定のロールを持つユーザーには変更要求を表示する権限はあるものの、変更要求を承認または拒否するアクセス権限はありません。ロール割当てのないServiceNowユーザーは読取りと書込みの最小限の操作を行えます。ServiceNowユーザーがグループを作成するには、ロール・アクセス権限が必要です。大規模な組織では、管理者が他の従業員に管理者として様々な役割を果たすよう任命することが必要となる場合があります。たとえば、他の従業員やパートナ、顧客、ベンダーに対するサポート・エージェントとしての役割を果たせる社内のITスタッフに管理者役割を設定できます。ServiceNowコネクタを使用すると、ServiceNowの管理ロールを権限としてユーザーに割り当てたり失効させることができ、ServiceNowの委任管理機能を利用するのが簡単になります。
- ServiceNowのグループ
1.7 サポートされているコネクタ機能のマトリックス
AOBアプリケーションとCIベース・コネクタでサポートされている機能のリストを示します。
表1-3 サポートされるコネクタの機能マトリックス
機能 | AOBアプリケーション | CIベースのコネクタ |
---|---|---|
完全リコンシリエーションの実行 |
はい |
はい |
増分リコンシリエーションの実行 |
はい(認可アプリケーションに対してのみ) |
いいえ |
制限付きリコンシリエーションの実行 |
はい |
はい |
コネクタ・サーバーの使用 |
はい |
はい |
アカウント・データの検証と変換の実行 |
はい |
はい |
複数ドメインでのコネクタ操作の実行 |
はい |
はい |
ページングのサポート |
はい |
はい |
接続のテスト |
はい |
いいえ |
パスワードのリセット |
はい |
はい |
アプリケーションのクローニングまたは新しいアプリケーション・インスタンスの作成 |
はい |
はい |
SSLを通じたターゲット・システムへのセキュアな通信の提供 |
はい |
はい |
1.8 コネクタの機能
コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、制限付きリコンシリエーション、削除されたアカウント・データのリコンシリエーション、アプリケーションのクローニングとインスタンス・アプリケーションの作成のサポートおよびターゲット・システムへのセキュアな通信が含まれます。
1.8.1 ターゲット・アプリケーションと認可アプリケーションの両方のサポート
コネクタを使用して、ターゲット・アプリケーションと認可アプリケーションを作成および管理できます。
ノート:
認可アプリケーションを作成および管理する場合は、My Oracle Supportにあるパッチ29874542を必ず適用しておいてください。
1.8.2 完全リコンシリエーションおよび増分リコンシリエーションのサポート
完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Governanceにフェッチされます。増分リコンシリエーションは、認可アプリケーションに対してのみ実行できます。
アプリケーションを作成すると、最初に完全リコンシリエーションを実行できます。認可アプリケーションの場合、ServiceNowユーザーの信頼できるリコンシリエーション・ジョブのIncremental Recon Attributeパラメータに値を入力していれば、初回の完全リコンシリエーションの実行後に増分リコンシリエーションが自動的に有効になります。
完全リコンシリエーションはいつでも実行できます。「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください
1.8.3 制限付き(フィルタ)リコンシリエーションのサポート
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。
ユーザー・リコンシリエーション・スケジュール済ジョブのFilter Suffix属性の値としてリコンシリエーション・フィルタを設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。Filter Suffix属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるAPIにフィルタを割り当てるのに役立ちます。
「制限付きリコンシリエーションの実行」を参照してください。
1.8.4 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
1.8.5 アカウント・データの変換および検証
アプリケーションの作成時にGroovyスクリプトを作成して、リコンシリエーション操作およびプロビジョニング操作の際にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。
1.8.6 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート
アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することにより、ターゲット・システムの複数のインストールに対してこのコネクタを構成できます。
アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションとして共有されます。
これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングおよびインスタンス・アプリケーションの作成に関する項を参照してください。
1.8.7 ターゲット・システムのセキュアな通信
ターゲット・システムにセキュアな通信を提供するためにはSSLが必要です。Oracle Identity Governanceとコネクタ・サーバーの間およびコネクタ・サーバーとターゲット・システムの間でSSLを構成できます。
SSLを構成しないと、ネットワーク上でパスワードがクリア・テキストで送信されます。たとえば、ユーザーを作成するとき、またはユーザーのパスワードを作成するときに、この問題が発生することがあります。
「コネクタのSSLの構成」を参照してください。