1 WebExコネクタについて
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
注意:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイされるコネクタをCIベース・コネクタ(コネクタ・インストーラ・ベース・コネクタ)と呼びます。アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。
注意:
このガイドでは、WebExを指すためにターゲット・システムを使用することもあります。
次のトピックでは、WebExコネクタの概要を示します。
注意:
このマニュアルでは、Oracle Identity Governanceサーバーという用語は、Oracle Identity Governanceがインストールされているコンピュータを意味します。1.1 動作保証されているコンポーネント
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
注意:
Oracle Identity Managerリリース11.1.xを使用している場合は、コネクタをCIベース・モードのみでインストールして使用できます。AOBアプリケーションを使用する場合は、Oracle Identity Governanceリリース12.2.1.3.0にアップグレードする必要があります。
表1-1 動作保証されているコンポーネント
コンポーネント | AOBアプリケーションの要件 | CIベース・コネクタの要件 |
---|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
次のいずれかのリリースを使用できます:
|
次のいずれかのリリースを使用できます。
|
ターゲット・システム |
Cisco WebEx |
Cisco WebEx |
コネクタ・サーバー |
11.1.2.1.0以降 |
11.1.2.1.0以降 |
コネクタ・サーバーのJDK |
JDK 1.8以降 |
JDK 1.8以降 |
1.2 使用上の推奨事項
これらは、使用しているOracle Identity GovernanceまたはOracle Identity Managerのバージョンに応じてデプロイおよび使用できる、WebExコネクタの推奨されるバージョンです。
-
Oracle Identity Governanceリリース12c (12.2.1.3.0)以降を使用している場合は、このコネクタの最新バージョン12.2.1.xを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
-
表1-1の「CIベース・コネクタの要件」列に記載されているOracle Identity Manager xのいずれかのリリースを使用している場合は、WebExコネクタの11.1.1.xバージョンを使用します。このコネクタの12.2.1.xバージョンを使用する場合は、CIベース・モードのみでインストールして使用できます。AOBアプリケーションを使用する場合は、Oracle Identity Governanceリリース12c (12.2.1.3.0)以降にアップグレードする必要があります。
注意:
Webexコネクタの最新バージョン12.2.1.xをCIベース・モードで使用している場合のコネクタ・デプロイメント、使用方法およびカスタマイズの詳細は、Oracle Identity Manager Webexコネクタ・ガイドのリリース11.1.1を参照してください。1.3 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語(アメリカ合衆国)
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.4 サポートされているコネクタ操作
これらは、ターゲット・システムにおける、コネクタでサポートされる操作のリストです。
表1-2 サポートされるコネクタ操作
操作 | サポート |
---|---|
ユーザー管理 |
|
ユーザーの作成 |
〇 |
ユーザーのリコンサイル |
〇 |
ユーザーの更新 |
〇 |
ユーザーの削除 |
〇 |
パスワードの設定 |
〇 |
パスワードのリセット |
〇 |
ユーザーの有効化 |
〇 |
ユーザーの無効化 |
〇 |
ミーティング・タイプ管理 |
|
MeetingTypesの追加 |
〇 |
複数のMeetingTypesの追加 |
〇 |
MeetingTypesの更新 |
〇 |
複数のMeetingTypesの更新 |
〇 |
MeetingTypesの削除 |
〇 |
複数のMeetingTypesの削除 |
〇 |
1.5 コネクタのアーキテクチャ
WebExコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供するコンポーネントです。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
図1-1に、WebExコネクタのアーキテクチャを示します。
この図で示すように、コネクタを使用すると、Oracle Identity Governanceのアイデンティティ・データの管理されたリソース(ターゲット)としてターゲット・システムを使用できます。このモードでは、コネクタで次の操作が可能です。
-
プロビジョニング
プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザーを作成、更新、有効化、無効化または削除します。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがWebExアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがプロビジョニング操作のためにターゲット・システムAPIを呼び出します。ターゲット・システムのWebEx XML APIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
-
ターゲット・リソースのリコンシリエーション
リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。ICFは続いてWebExコネクタ・バンドルで検索操作を呼び出し、続いてバンドルによりWebEx XML APIがリコンシリエーション操作のために呼び出されます。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。
ターゲット・システムからフェッチされた各レコードは、Oracle Identity GovernanceユーザーにすでにプロビジョニングされているWebExリソースと比較されます。一致が見つかると、ターゲット・システムからWebExレコードに対して行われた更新が、Oracle Identity GovernanceのWebExリソースにコピーされます。一致が見つからなかった場合、レコードのユーザーIDが、各Oracle Identity GovernanceユーザーのユーザーIDと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、WebExリソースがOracle Identity Governanceユーザーにプロビジョニングされます。
WebExアイデンティティ・コネクタ・バンドルはHTTPSプロトコルを使用してWebEx XML APIと通信します。WebEx XML APIを使用すると、REST APIエンドポイントを介してプログラム的にアクセスできます。アプリケーションはWebEx APIを使用して、ディレクトリ・データ、およびユーザーなどのディレクトリ・オブジェクトに対して作成、読取り、更新および削除(CRUD)操作を実行できます。
1.6 サポートされているユース・ケース
WebExは、オンデマンド・コラボレーション、オンライン・ミーティング、Web会議およびビデオ会議のアプリケーションを提供します。各ユーザーがWebExを使用するには、有効なサブスクリプションが必要です。WebExコネクタは、Oracle Identity GovernanceをWebExと統合して、エンタープライズ内の他のアイデンティティ認識アプリケーションとの統合サイクルに基づいて、すべてのWebExアカウントを作成、更新および非アクティブ化するために使用します。
ほとんどの組織ではWebExサービスを活かしていますが、管理者ユーザーがすべてのユーザーのIDとサブスクリプションを手動で管理する必要があるという大きなデメリットがあります。これは管理者にとって時間と手間がかかるプロセスであるため、WebExコネクタを使用することをお薦めします。このコネクタは、ユーザーのIDとサブスクリプションを管理するプロセスを自動化するだけでなく、WebExユーザーのライフサイクル全体を手動で管理する労力を軽減します。WebExコネクタは、管理者の介在なしで、ユーザー・アカウントのプロビジョニング、プロビジョニング解除およびサブスクリプションのプロセスを自動化します。もう1つの重要な課題は、すべてのユーザーが一元的な場所に置かれ、そこで管理者がWebExユーザーに対して組織の様々なポリシーを適用し、監査レポートも生成することです。このプロセスもWebExコネクタによって自動的に管理されます。これらの課題を克服する手軽で簡単な解決策は、WebExコネクタをインストールし、ITリソースの接続情報を指定することによりターゲット・システムに対して構成することです。
WebExコネクタを使用すると、Oracle Identity GovernanceですべてのWebExユーザーを一元的に管理できます。これにより、Oracle Identity Governanceでそれぞれのアカウント・ユーザーに対して定義されたポリシーに基づいて、WebExアカウントのプロビジョニングまたはプロビジョニング解除が自動的に行われます。Oracle Identity GovernanceとWebExコネクタを併用することで、管理者はすべての操作をOracle Identity Governanceで実行し、結果的にすべてのアイデンティティとアカウントの管理機能を利用することができます。WebExコネクタが提供する機能を使用すると、追加のリソースや時間を費やすことなく、すべてのアプリケーションでアカウントや関連操作を管理できます。
1.7 サポートされているコネクタ機能のマトリックス
AOBアプリケーションとCIベース・コネクタでサポートされている機能のリストを示します。
表1-3 サポートされるコネクタの機能マトリックス
機能 | AOBアプリケーション | CIベース・コネクタ |
---|---|---|
完全リコンシリエーションの実行 |
〇 |
〇 |
制限付きリコンシリエーションの実行 |
〇 |
〇 |
コネクタ・サーバーのサポート |
〇 |
〇 |
アカウント・データの検証と変換の実行 |
〇 |
〇 |
複数ドメインでのコネクタ操作の実行 |
〇 |
〇 |
ページングのサポート |
〇 |
〇 |
接続のテスト |
〇 |
× |
パスワードのリセット |
〇 |
〇 |
アプリケーションのクローニングまたは新しいアプリケーション・インスタンスの作成 |
〇 |
〇 |
SSLを使用したセキュアな通信のターゲット・システムへの提供 |
〇 |
〇 |
1.8 コネクタの機能
コネクタの機能には、ユーザー・アカウントのプロビジョニング、ターゲット・リソースのリコンシリエーション、既存のすべてのアウント・データのリコンシリエーション、削制限付きリコンシリエーション、リコンシリエーションおよびプロビジョニング時のアカウント・データの変換と検証、コネクタ・サーバー、ターゲット・システムの複数インストール、SSLを介したターゲット・システムとのセキュアな通信などのサポートが含まれます。
1.8.1 完全リコンシリエーションのサポート
アプリケーションを作成したら、完全リコンシリエーションを実行して、ターゲット・システムに存在するすべてのユーザー・データをOracle Identity Governanceにインポートできます。
完全リコンシリエーションはいつでも実行できます。「完全リコンシリエーションの実行」を参照してください。
1.8.2 制限付き(フィルタ)リコンシリエーションのサポート
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。
ユーザー・リコンシリエーション・スケジュール済ジョブのFilter属性の値としてリコンシリエーション・フィルタを設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。「フィルタ」属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるAPIにフィルタを割り当てるのに役立ちます。
「WebExコネクタの制限付きリコンシリエーション」を参照してください。
1.8.3 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
1.8.4 アカウント・データの変換および検証
アプリケーションの作成時にGroovyスクリプトを作成して、リコンシリエーション操作およびプロビジョニング操作の際にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。
1.8.5 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート
アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することにより、ターゲット・システムの複数のインストールに対してこのコネクタを構成できます。
アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションとして共有されます。
これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングおよびインスタンス・アプリケーションの作成に関する項を参照してください。
1.8.6 ターゲット・システムのセキュアな通信
ターゲット・システムにセキュアな通信を提供するためにはSSLが必要です。Oracle Identity Governanceとコネクタ・サーバーの間およびコネクタ・サーバーとターゲット・システムの間でSSLを構成できます。
SSLを構成しないと、ネットワーク上でパスワードがクリア・テキストで送信されます。たとえば、ユーザーを作成するとき、またはユーザーのパスワードを作成するときに、この問題が発生することがあります。
「コネクタのSSLの構成」を参照してください。