1 Oracle Internet Directoryコネクタについて
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対してセルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
ノート:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイするコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイするコネクタをCIベース・コネクタ (コネクタ・インストーラベース・コネクタ)と呼びます。アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けするプロセスで、そのアプリケーションをユーザー情報のプロビジョニングおよびリコンシリエーションに使用できるようにします。
次の各項では、コネクタの概要を示します。
ノート:
このマニュアルでは、ODSEE、OID、OUDおよびLDAPv3準拠ディレクトリ・サーバーをターゲット・システムと読んでいる部分があります。1.1 動作保証されているコンポーネント
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1 動作保証されているコンポーネント
コンポーネント | AOBアプリケーションの要件 | CIベース・コネクタの要件 |
---|---|---|
Oracle Identity GovernanceまたはOracle Identity Manager |
次のいずれかのリリースを使用できます。
|
Oracle Identity GovernanceまたはOracle Identity Managerの次のリリースのいずれかを使用できます。
|
ターゲット・システム |
ターゲット・システムは次のいずれか。
|
ターゲット・システムは次のいずれか。
|
コネクタ・サーバー |
11.1.2.1.0 |
11.1.2.1.0 |
コネクタ・サーバーのJDKおよびJRE |
JDKまたはJRE 1.6以上 |
JDKまたはJRE 1.6以上 |
1.2 使用上の推奨事項
ここでは、Oracle Identity GovernanceまたはOracle Identity Managerの使用しているバージョンに応じて、デプロイおよび使用できるOIDコネクタ・バージョンに関する推奨事項について説明します。
ノート:
Oracle Identity Managerリリース11.1.xを使用している場合、コネクタはCIベース・モードでのみインストールおよび使用できます。AOBアプリケーションを使用する場合は、Oracle Identity Governanceリリース12.2.1.3.0にアップグレードする必要があります。-
Oracle Identity Governance 12c (12.2.1.3.0)を使用しており、次のターゲット・システムのいずれかと統合する場合は、このコネクタの最新の12.2.1.xバージョンを使用し、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイします。
-
Oracle Internet Directoryリリース9.x、10.1.4.x、11gリリース1 (11.1.1.5.0、11.1.1.6.0、11.1.1.7.0および11.1.1.9.0)および12cリリース(12.2.1.3.0、12.2.1.4.0)
-
Oracle Unified Directory 11gリリース(11.1.1.5.0、11.1.2.0.0、11.1.2.2.0および11.1.2.3.0)および12cリリース(12.2.1.3.0、12.2.1.4.0)
-
Oracle Directory Server Enterprise Edition 11gリリース1 (11.1.1.5.0および11.1.1.7.2)
-
LDAPv3準拠ディレクトリ・サーバー
-
-
Oracle Identity Governance 12c (12.2.1.3.0)を使用しており、次のターゲット・システムのいずれかと統合する場合は、このコネクタの最新の12.2.1.xバージョンを使用し、Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイします。
-
Oracle Virtual Directory 10gおよび11gリリース1 (11.1.1.5.0)
-
Novell eDirectory 8.7.3および8.8
-
Sun Java System Directory Server Enterprise Edition 6.3および7.0
-
Sun ONE Directory Server 5.2
-
-
表1-1の「CIベース・コネクタの要件」列に記載されているOracle Identity Manager 11.1.xのいずれかのリリースを使用している場合は、OIDコネクタの11.1.xバージョンを使用します。このコネクタの12.2.1.xバージョンをOracle Identity Manager 11.1.xのリリースとともに使用している場合は、CIベース・モードでのみインストールおよび使用できます。AOBアプリケーションを使用する場合は、Oracle Identity Governanceリリース12.2.1.3.0にアップグレードする必要があります。
ノート:
Oracle Internet Directoryコネクタの最新の12.2.1.xバージョンをCIベース・モードで使用している場合、コネクタのデプロイ、使用およびカスタマイズに関する詳細は、『Oracle Identity Manager Oracle Internet Directoryコネクタ・ガイド リリース11.1.1』を参照してください。 -
Oracle Identity Manager 11gリリース1 (11.1.1)より前のOracle Identity Managerリリースを使用している場合は、ターゲット・システムに応じて、次のいずれかのコネクタをインストールして使用します。
-
Oracle Internet Directoryの場合は、Oracle Internet Directoryコネクタの9.0.4.xバージョンを使用します。
-
Sun ONE Directory ServerおよびSun Java System Directory Server Enterprise Editionの場合は、Sun Java System Directoryコネクタの9.0.4.xバージョンを使用します。
-
Novell eDirectoryの場合は、Novell eDirectoryコネクタの9.0.4.xバージョンを使用します。
-
1.3 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語
-
フィンランド語
-
フランス語
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.4 サポートされているコネクタ操作
ここでは、ターゲット・システムに対してコネクタでサポートされている操作のリストを示します。
表1-2 サポートされているコネクタ操作
操作 | OIDに対してサポート? | OUDに対してサポート? | ODSEEに対してサポート? | LDAPv3準拠ディレクトリ・サーバーに対してサポート? | Novell eDirectoryに対してサポート? |
---|---|---|---|---|---|
ユーザー管理 |
|||||
ユーザーの作成 |
はい |
はい |
はい |
はい |
はい |
ユーザーの更新 |
はい |
はい |
はい |
はい |
はい |
ユーザーの削除 |
はい |
はい |
はい |
はい |
はい |
ユーザーの有効化 |
はい |
はい |
はい |
はい |
はい |
ユーザーの無効化 |
はい |
はい |
はい |
はい |
はい |
パスワードのリセット |
はい |
はい |
はい |
はい |
いいえ |
グループおよび組織単位の管理 |
|||||
グループまたは組織単位の作成 |
はい |
はい |
はい |
はい |
はい |
グループ名または組織単位名の更新 |
はい |
はい |
はい |
はい |
はい |
グループまたは組織単位の削除 |
はい |
はい |
はい |
はい |
はい |
コンテナDNの更新 |
はい |
はい |
はい |
はい |
はい |
ロール管理 |
|||||
ロールの作成 |
はい |
いいえ |
はい |
はい(ターゲット・システムでロールの作成がサポートされている場合) |
はい |
ロール名の更新 |
はい |
いいえ |
はい |
はい |
はい |
ロールの削除 |
はい |
いいえ |
はい |
はい |
はい |
コンテナDNの更新 |
はい |
いいえ |
はい |
はい |
はい |
権限付与の管理 |
|||||
グループの追加 |
はい |
はい |
はい |
適用外 |
はい |
グループの取消し |
はい |
はい |
はい |
適用外 |
はい |
ロールの追加 |
いいえ |
いいえ |
はい |
適用外 |
はい |
ロールの取消し |
いいえ |
いいえ |
はい |
適用外 |
はい |
組織の追加 |
いいえ |
いいえ |
いいえ |
適用外 |
はい |
組織の削除 |
いいえ |
いいえ |
いいえ |
適用外 |
はい |
ドメイン・スコープの追加 |
適用外 |
適用外 |
適用外 |
適用外 |
はい |
プロファイルの追加 |
適用外 |
適用外 |
適用外 |
適用外 |
はい |
ロール・コンテナの追加 |
適用外 |
適用外 |
適用外 |
適用外 |
はい |
1.5 コネクタのアーキテクチャ
Oracle Internet Directoryコネクタは、アイデンティティ・コネクタ・フレームワーク(ICF)を使用して実装されます。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニングの操作を提供するコンポーネントです。ICFは、Oracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
OIDコネクタはJNDIを使用してターゲット・システムにアクセスします。
このコネクタは、次のモードのいずれかで実行されるように構成できます。
-
アイデンティティ・リコンシリエーション
アイデンティティ・リコンシリエーションは、認可ソースまたは信頼できるソースのリコンシリエーションとも呼ばれます。この形式のリコンシリエーションでは、ターゲット・システムでのユーザーの作成または更新に対応してOIGユーザーが作成または更新されます。アイデンティティ・リコンシリエーション・モードでは、ユーザー・オブジェクトのリコンシリエーションのみがサポートされることに注意してください。
このモードで使用されるLDAP Connector Trusted User Reconciliationスケジュール済ジョブの詳細は、「OIDでのグループおよび組織単位管理のためのリコンシリエーション・スケジュール済ジョブ」を参照してください。
-
アカウント管理
アカウント管理は、ターゲット・リソース管理とも呼ばれます。コネクタのこのモードでは、次の操作が可能です。
-
プロビジョニング
プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザー、グループ、ロールおよび組織単位(OU)を作成、更新または削除します。
ターゲット・システム・リソースをOIGユーザーに割り当てる(プロビジョニングする)と、この操作によって、ターゲット・システムにそのユーザーのアカウントが作成されます。Oracle Identity Governance関連では、プロビジョニングという用語は、Oracle Identity Governanceを使用したターゲット・システム・アカウントに対する更新(有効化または無効化など)を意味する場合にも使用されます。
ユーザーおよび組織は、ターゲット・システムで階層形式に編成されます。ターゲット・システムで必要な組織単位(OU)にユーザーをプロビジョニングする(ユーザーを作成する)には、ターゲット・システムで使用されるOUのリストをOracle Identity Governanceにフェッチする必要があります。これは、参照同期のためのLDAP Connector OU Lookup Reconciliationスケジュール済ジョブを使用して行います。
同様に、ターゲット・システムの必須グループまたはロールにユーザーをプロビジョニングするには、ターゲット・システムで使用されるすべてのグループとロールのリストをOracle Identity Governanceにフェッチする必要があります。これは、参照同期のためのLDAP Connector Group Lookup ReconciliationおよびLDAP Connector Role Lookup Reconスケジュール済ジョブを使用して行います。
-
ターゲット・リソースのリコンシリエーション
ターゲット・リソースのリコンシリエーションを実行するには、LDAP Connector User Search ReconciliationまたはLDAP Connector User Sync Reconciliationスケジュール済ジョブが使用されます。コネクタは、フィルタを適用してターゲット・システムからリコンサイルされるユーザーを検索し、それらのユーザーの属性値をフェッチします。
リコンサイルしようとするデータに応じて様々なスケジュール済ジョブを使用します。たとえば、LDAP Connector User Search Reconciliationスケジュール済ジョブを使用して、ターゲット・リソース・モードでユーザー・データをリコンサイルします。このモードで使用されるスケジュール済ジョブの詳細は、「OIDでのグループおよび組織単位管理のためのリコンシリエーション・スケジュール済ジョブ」を参照してください。
-
1.6 サポートされているコネクタ機能のマトリックス
AOBアプリケーションおよびCIベース・コネクタでサポートされている機能のリストを示します。
表1-3 サポートされているコネクタ機能のマトリックス
機能 | AOBアプリケーション | CIベース・コネクタ |
---|---|---|
完全リコンシリエーション |
あり |
あり |
増分リコンシリエーション |
あり |
あり |
制限付きリコンシリエーション |
あり |
あり |
接続プーリング |
あり |
あり |
コネクタ・サーバーの使用 |
あり |
あり |
アカウント・データの変換および検証 |
あり |
あり |
高可用性ターゲット・システム環境との互換性 |
あり |
あり |
ターゲット・システムとOracle Identity Governance間のSSL通信 |
あり |
あり |
削除されたユーザー・レコードのリコンシリエーション |
あり |
あり |
削除されたグループ、ロールおよび組織のリコンシリエーション |
あり |
あり |
接続のテスト |
あり |
なし |
1.7 コネクタの機能
コネクタの機能には、コネクタ・サーバーのサポート、ターゲット・システムの高可用性構成のサポート、接続プーリング、削除されたユーザー・レコードのリコンシリエーション、Groovyスクリプトのサポートなどがあります。
コネクタには、次のような機能があります。
1.7.1 完全リコンシリエーションおよび増分リコンシリエーション
完全リコンシリエーションでは、既存のすべてのユーザー・レコードをターゲット・システムからOracle Identity Governanceへリコンサイルします。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Governanceにフェッチされます。
アプリケーションを作成したら、完全リコンシリエーションを実行して、ターゲット・システムに存在するすべてのユーザー・データをOracle Identity Governanceに移動できます。最初の完全リコンシリエーションを実行すると、増分リコンシリエーションが自動的に有効になります。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたユーザー・アカウントが、Oracle Identity Governanceにフェッチされます。
アプリケーションを作成すると、最初に完全リコンシリエーションを実行できます。最初の完全リコンシリエーションを実行すると、増分リコンシリエーションが自動的に有効になります。
詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。
1.7.2 制限付きリコンシリエーション
リコンシリエーション・スケジュール済ジョブのFilter属性の値としてリコンシリエーション・フィルタを設定できます。このフィルタによって、リコンサイルする必要のある、追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
詳細は、「制限付きリコンシリエーションの実行」を参照してください。
1.7.3 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
1.7.4 アカウント・データの変換および検証
リコンシリエーションおよびプロビジョニングの操作時にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証は、アプリケーションの作成時にGroovyスクリプトを作成することで構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング属性とリコンシリエーション属性の検証と変換に関する項を参照してください。
1.7.5 ターゲット・システムの高可用性構成のサポート
高可用性ターゲット・システム環境と互換性を持つようにコネクタを構成できます。
コネクタは、バックアップ・ターゲット・システム・ホストに関する情報を「基本構成」セクションのフェイルオーバー・パラメータから読み取り、プライマリ・ホストに接続できないときにその情報を適用することができます。
フェイルオーバー・パラメータの詳細は、「OID用の基本構成パラメータ」または「OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用の基本構成パラメータ」を参照してください。
1.7.6 削除されたユーザー・レコードのリコンシリエーション
コネクタを使用すると、ターゲット・システムで削除されるユーザー・レコードをOracle Identity Governanceにリコンサイルできます。
このような削除されたレコードのリコンシリエーションに使用するリコンシリエーション・ジョブの詳細は、次の項のいずれかを参照してください。
-
OIDの場合: OID用のリコンシリエーション・ジョブ
-
OUD、ODSEEまたはLDAPv3準拠ディレクトリ・サーバーの場合: OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用のリコンシリエーション・ジョブ
1.7.7 削除されたグループ、ロールおよび組織のリコンシリエーション
コネクタを使用すると、ターゲット・システムで削除されるグループ、ロールおよび組織をOracle Identity Governanceにリコンサイルできます。
このような削除されたレコードのリコンシリエーションに使用するリコンシリエーション・ジョブの詳細は、次の項のいずれかを参照してください。
-
OUD、ODSEEまたはLDAPv3準拠ディレクトリ・サーバーの場合: OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバーでの削除されたグループ、OUおよびロールのリコンシリエーションのためのスケジュール済ジョブ
1.7.8 接続プーリング
接続プールは、ターゲットへの物理的な接続を表すオブジェクトのキャッシュです。Oracle Identity Governanceコネクタは、これらの接続を使用してターゲット・システムと通信できます。
実行時に、アプリケーションはプールに接続をリクエストします。接続が使用可能であれば、コネクタがその接続を使用してからプールに戻します。プールに戻された接続は、コネクタが別の操作のために再びリクエストして使用することができます。接続プールは、接続の再利用を可能にし、ネットワーク待機時間、メモリー割当ておよび認証といった接続作成のオーバーヘッドを減らすことに役立っています。
アプリケーションの作成時に指定する基本構成パラメータのセットごとに1つの接続プールが作成されます。たとえば、ターゲット・システムの3つのインストールに3つのアプリケーションある場合は、ターゲット・システム・インストールごとに1つずつ、3つの接続プールが作成されます。
-
OIDの場合: OID用の拡張設定パラメータ
-
OUD、ODSEEまたはLDAPv3準拠ディレクトリ・サーバーの場合: OUD、ODSEEおよびLDAPv3準拠ディレクトリ・サーバー用の拡張設定パラメータ
1.7.9 前処理および後処理アクション・スクリプトの実行のサポート
コネクタがデプロイされているコンピュータで前処理および後処理アクション・スクリプトを実行できます。これらのスクリプトは、SQL、ストアド・プロシージャまたはGroovyのいずれかのタイプです。アカウントのプロビジョニング操作の作成、更新または削除の前または後で実行するスクリプトを構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング構成の更新に関する項を参照してください。
1.7.10 ターゲット・システムのセキュアな通信
ターゲット・システムにセキュアな通信を提供するためにはSSLが必要です。Oracle Identity Governanceとコネクタ・サーバーの間およびコネクタ・サーバーとターゲット・システムの間でSSLを構成できます。
SSLを構成しないと、ネットワーク上でパスワードがクリア・テキストで送信されます。たとえば、ユーザーを作成するとき、またはユーザーのパスワードを作成するときに、この問題が発生することがあります。
詳細は、「コネクタのSSLの構成」を参照してください。
1.7.11 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート
このコネクタは、アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することで、ターゲット・システムの複数のインストールに対して構成することができます。
アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションと共有されます。
これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングに関する項およびインスタンス・アプリケーションの作成に関する項を参照してください。