1 UNIXコネクタについて
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対してセルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
ノート:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイされるコネクタをCIベース・コネクタ(コネクタ・インストーラ・ベース・コネクタ)と呼びます。アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。
次のトピックでは、コネクタの概要を示します。
ノート:
このマニュアルでは、Oracle Identity Governanceサーバーという用語は、Oracle Identity Governanceがインストールされているコンピュータを意味します。
1.1 動作保証されているコンポーネント
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
ノート:
Oracle Identity Managerリリース11.1.xを使用している場合は、コネクタをCIベース・モードのみでインストールして使用できます。AOBアプリケーションを使用する場合、Oracle Identity Governanceリリース12.2.1.3.0以降にアップグレードする必要があります。
表1-1 動作保証されているコンポーネント
コンポーネント | AOBアプリケーションの要件 | CIベース・コネクタの要件 |
---|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
Oracle Identity ManagerまたはOracle Identity Governanceの次のリリースのいずれかを使用できます。
|
Oracle Identity ManagerまたはOracle Identity Governanceの次のリリースのいずれかを使用できます。
|
Oracle Identity GovernanceまたはOracle Identity Manager JDK |
JDK 1.7以降 |
JDK 1.7以降 |
ターゲット・システム |
ターゲット・システムは、次のオペレーティング・システムのいずれかです。
ノート: SSHおよびTelnetプロトコルをサポートする、その他のUNIXベースのオペレーティング・システムのコネクタを構成および使用することもできます。詳細は、「新しいターゲット・システムに対するコネクタの構成」を参照してください。 |
ターゲット・システムは、次のオペレーティング・システムのいずれかです。
ノート: SSHおよびTelnetプロトコルをサポートする、その他のUNIXベースのオペレーティング・システムのコネクタを構成および使用することもできます。詳細は、「新しいターゲット・システムに対するコネクタの構成」を参照してください。 |
コネクタ・サーバー |
11.1.2.1.0 |
11.1.2.1.0 |
コネクタ・サーバーのJDK |
JDK 1.7以降 |
JDK 1.7以降 |
その他のシステム |
OpenSSH、OpenSSL、オペレーティング・システム・パッチ(HP-UX)およびSUDOソフトウェア(SUDO Adminモードが必要な場合のみ)。 |
OpenSSH、OpenSSL、オペレーティング・システム・パッチ(HP-UX)およびSUDOソフトウェア(SUDO Adminモードが必要な場合のみ)。 |
ターゲット・システムのユーザー・アカウント |
使用しているターゲット・システムにより、ターゲット・システム・ユーザー・アカウントは次のいずれかです。
アプリケーションの作成時に、「基本構成パラメータ」の一部としてこのユーザー・アカウントの資格証明を指定します。 |
使用しているターゲット・システムにより、ターゲット・システム・ユーザー・アカウントは次のいずれかです。
ITリソースを構成する際に、このユーザー・アカウントの資格証明を指定します。 |
ターゲット・システムでサポートされている文字エンコーディング |
ターゲット・システムでデフォルトのC (POSIX)ロケールがサポートされている必要があります。 次のコマンドを使用すると、ターゲット・システムでサポートされているロケールを確認できます。
|
ターゲット・システムでデフォルトのC (POSIX)ロケールがサポートされている必要があります。 次のコマンドを使用すると、ターゲット・システムでサポートされているロケールを確認できます。
|
ノート:
コネクタにはターゲット・システムにスクリプトを実行するためのshシェルが必要です。そのため、コネクタはコマンドの実行前にshに切り替えます。
loginUser基本構成パラメータに示されたユーザー・アカウントにshへのアクセス権があり、そのユーザー・アカウントがshに切り替えられる場合、元のログイン・シェルに制限はありません。
1.2 使用上の推奨事項
これらは、使用しているOracle Identity GovernanceまたはOracle Identity Managerのバージョンに応じてデプロイおよび使用できる、UNIXコネクタの推奨されるバージョンです。
-
Oracle Identity Governance 12c (12.2.1.3.0)を使用している場合は、このコネクタの最新バージョン12.2.1.xを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
-
「動作保証されているコンポーネント」の「CIベース・コネクタの要件」の列に示されたOracle Identity Managerのいずれかのリリースを使用している場合、このコネクタの11.1.xバージョンを使用します。このコネクタの12.2.1.xバージョンを使用する場合は、CIベース・モードのみでインストールして使用できます。AOBアプリケーションを使用する場合は、Oracle Identity Governanceリリース12.2.1.3.0にアップグレードする必要があります。
ノート:
UNIXコネクタの最新バージョン12.2.1.xをCIベース・モードで使用している場合のコネクタ・デプロイメント、使用方法およびカスタマイズの詳細は、『Oracle Identity Manager UNIXコネクタ・ガイド』のリリース11.1.1を参照してください。
1.3 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.4 サポートされているコネクタ操作
これらは、ターゲット・システムにおける、コネクタでサポートされる操作のリストです。
表1-2 サポートされるコネクタ操作
操作 | サポート対象か |
---|---|
ユーザーの管理 |
|
ユーザーの作成 |
○ |
ユーザーの更新 |
○ |
ユーザーの削除 |
○ |
ユーザーの有効化 |
○ |
ユーザーの無効化 |
○ |
ユーザー・ログインの更新 |
○ |
ユーザー・シェルの更新 |
○ |
UIDの更新 |
○ |
グループの管理 |
|
プライマリ・グループの更新 |
○ |
セカンダリ・グループの挿入 |
○ |
セカンダリ・グループの更新 |
○ |
セカンダリ・グループの削除 |
○ |
権限付与の管理 |
|
ロールの追加 |
○ |
GECOSの更新 |
○ |
ホーム・ディレクトリの更新 |
○ |
非アクティブ日の更新 |
○ |
有効期限の更新 |
○ |
パスワードの更新 |
○ |
1.5 コネクタのアーキテクチャ
UNIXコネクタは、ターゲット(アカウント管理)モードおよび認可(信頼できる)モードで実行されるように構成でき、Integrated Common Framework (ICF)コンポーネントを使用して実装されます。
ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供するコンポーネントです。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
コネクタにより、Oracle Identity Governanceを介してターゲット・システム・アカウントを管理できます。図1-1に、コネクタのアーキテクチャを示します。
この図で示すように、UNIXコネクタにより、Oracle Identity Governanceのアイデンティティ・データの管理されたリソース(ターゲット)または認可(信頼できる)ソースとしてターゲット・システムを使用できます。
コネクタのターゲット・モードでは、ターゲット・システム上で直接作成または変更されたユーザーに関する情報をOracle Identity Governanceにリコンサイルできます。また、Oracle Identity Governanceを使用して、ターゲット・システムでプロビジョニング操作を実行できます。
コネクタの認可構成では、ユーザーはターゲット・システム上でのみ作成または変更され、これらのユーザーに関する情報がOracle Identity Governanceにリコンサイルされます。
プロビジョニングでは、ユーザー・アカウントが作成および管理されます。UNIXリソースをOIMユーザーに割り当てる(プロビジョニングする)と、その操作の結果として、そのユーザーのアカウントがターゲット・システムで作成されます。同様に、Oracle Identity Governanceでリソースを更新すると、ターゲット・システムのアカウントが同じように更新されます。
プロビジョニング操作中に、アダプタはプロセス・フォームを介して送信されたプロビジョニング・データをExpect4jサードパーティ・ライブラリに送信し、さらにそのプロビジョニング・データをターゲット・システムに送信します。ユーザー・アカウント・メンテナンス・コマンドはアダプタからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをアダプタに返します。アダプタはOracle Identity Governanceにレスポンスを返します。
1.6 サポートされるコネクタの機能マトリックス
AOBアプリケーションとCIベース・コネクタでサポートされている機能のリストを示します。
表1-3 サポートされるコネクタの機能マトリックス
機能 | AOBアプリケーション | CIベース・コネクタ |
---|---|---|
UNIXベースのターゲット・システムに接続するためのSSHプロトコルとTelnetプロトコルの切替え |
○ |
○ |
UNIXコネクタがデプロイされているコンピュータでのスクリプトの実行 |
○ |
○ |
カスタム・スクリプトの使用による、追加のUNIXのフレーバをサポートするためのコネクタの構成 |
○ |
○ |
UNIXの複数のインスタンスおよび複数のバージョンのサポート |
○ |
○ |
Oracle Identity Governanceのターゲット・リソースおよび認可ソースとしてのターゲット・システムの統合 |
○ |
○ |
完全リコンシリエーションおよび増分リコンシリエーションの実行 |
○ |
○ |
制限付きリコンシリエーションの実行 |
○ |
○ |
バッチ・リコンシリエーションの実行 |
○ |
○ |
アカウント・データの検証と変換の実行 |
○ |
○ |
コネクタ・サーバーの使用 |
○ |
○ |
ターゲット・システムからのユーザー・アカウント・ステータス情報のリコンサイル |
○ |
○ |
リコンシリエーションおよびプロビジョニング用のカスタム属性の追加 |
○ |
○ |
1.7 コネクタの機能
コネクタの機能には、コネクタ・サーバーのサポート、ターゲット・リソースおよび信頼できるソース・リコンシリエーション、追加のUNIXのフレーバをサポートするためのカスタム・スクリプトの構成、すべての既存または変更済アカウント・データのリコンシリエーション、制限付きリコンシリエーションとバッチ・リコンシリエーション、リコンシリエーションおよびプロビジョニング中のアカウント・データの変換と検証などが含まれます。
このコネクタの機能は次のとおりです。
1.7.1 SSHとTelnetプロトコル間の切換えのサポート
UNIXベースのターゲット・システムに接続するために、SSHとTelnetプロトコル間で切り替えることができます。ITリソースのconnectionTypeパラメータを使用して、接続タイプを指定できます。
このコネクタでは次の接続タイプがサポートされます。
-
SSH - これがデフォルトの接続です。パスワードベースの認証を使用するSSHで使用されます。
-
SSHPUBKEY - キーベースの認証を使用するSSHで使用されます。
-
TELNET - Telnet接続で使用されます。
関連情報は、「基本構成パラメータ」を参照してください。
1.7.2 カスタム・スクリプトの実行のサポート
UNIXコネクタがデプロイされているコンピュータでスクリプトを実行できます。追加のUNIXのフレーバをサポートするためにカスタム・スクリプトを構成できます。
アカウントのプロビジョニング操作の作成、更新または削除の前または後で実行するスクリプトを構成できます。たとえば、コネクタによりユーザーが作成される前に実行するスクリプトを構成できます。詳細は、「アクション・スクリプトの構成」を参照してください。
1.7.3 新しいターゲット・システムに対するコネクタの構成のサポート
カスタム・スクリプトの使用により、追加のUNIXのフレーバをサポートするためのコネクタを構成できます。
デフォルトでは、コネクタはAIX、HP-UX、LinuxおよびSolarisをサポートする事前構成済のスクリプトを使用します。追加のUNIXのフレーバをサポートするこれらのスクリプトをカスタマイズできます。詳細は、「新しいターゲット・システムに対するコネクタの構成」を参照してください。
1.7.4 UNIXの複数のバージョンおよび複数のインスタンスのサポート
コネクタはUNIXの複数のバージョンおよび複数のインスタンスをサポートします。
単一のコネクタ・バンドルをOracle Identity Governanceにデプロイし、UNIXの複数のインスタンスおよび複数のバージョンを作成できます。この場合、Oracle Identity Governanceを使用して、これらのターゲット・システムでアカウントを管理できます。詳細は、「ターゲット・システムの複数のインストールに対するコネクタの構成」を参照してください。
1.7.5 ターゲット・リソースのリコンシリエーションおよび信頼できるソースのリコンシリエーション両方のサポート
コネクタを使用して、ターゲット・システムをOracle Identity Governanceのターゲット・リソースまたは信頼できるソースとして構成できます。
詳細は、「リコンシリエーションの構成」を参照してください。
1.7.6 完全リコンシリエーションおよび増分リコンシリエーション両方のサポート
アプリケーションを作成したら、完全リコンシリエーションを実行して、ターゲット・システムに存在するすべてのユーザー・データをOracle Identity Governanceにインポートできます。初回の完全リコンシリエーションの実行後、次のユーザー・リコンシリエーションの実行から増分リコンシリエーションが自動的に有効になります。
完全リコンシリエーションはいつでも実行できます。詳細は、「完全リコンシリエーションの実行」を参照してください。
1.7.7 制限付きリコンシリエーションのサポート
リコンシリエーション・フィルタをユーザー・リコンシリエーションのスケジュール済タスクの「フィルタ」属性の値として設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。
詳細は、「制限付きリコンシリエーションの実行」を参照してください。
1.7.8 バッチ・リコンシリエーションのサポート
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。
詳細は、「バッチ・リコンシリエーションの実行」を参照してください。
1.7.9 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
1.7.10 アカウント・データの変換および検証
アプリケーションの作成時にGroovyスクリプトを作成して、リコンシリエーション操作およびプロビジョニング操作の際にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。