1 Generic RESTコネクタについて

Generic RESTコネクタは、Oracle Identity ManagerをRESTベースのターゲット・システムと統合します。

ノート:

このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイされるコネクタをCIベース・コネクタ(コネクタ・インストーラ・ベース・コネクタ)と呼びます。

Oracle Identity Governanceリリース12.2.1.3.0以降では、Oracle Identity Self Serviceのアプリケーション・オンボード機能を使用してコネクタのデプロイメントが処理されます。この機能により、ビジネス・ユーザーは最小限の詳細と作業でアプリケーションをオンボードできます。コネクタのインストール・パッケージには、指定したアプリケーションまたはターゲット・システムからデータをプロビジョニングおよびリコンサイルするために必要なすべての情報を含む事前定義済テンプレート(XMLファイル)のコレクションが含まれています。これらのテンプレートには、ターゲット・システムに固有の基本接続性と構成の詳細も含まれています。コネクタによってこれらの事前定義済テンプレートからの情報が使用されるため、ユーザーは単一の簡素化されたUIを使用して迅速かつ簡単にアプリケーションをオンボードできます。

アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。

次のトピックでは、コネクタの概要を示します。

• コネクタの概要

• 動作保証されているコンポーネント

• 動作保証されている言語

• Generic RESTコネクタのアーキテクチャ

• コネクタの機能

• Generic RESTコネクタでサポートされるユースケース

1.1 コネクタの概要

Generic RESTコネクタは、OIMをRESTベースのアイデンティティ認識アプリケーションと統合するためのソリューションです。RESTベースのアイデンティティ認識アプリケーションとは、そのREST APIまたはインタフェースをアイデンティティ管理用に公開する任意のアプリケーションのことです。

ノート:

このマニュアルでは:

RESTベースのアイデンティティ認識アプリケーションを、ターゲット・システムまたはRESTベースのターゲット・システムと呼びます。

Generic RESTコネクタは、集中型システムによって企業の顧客へのサービスや資産の提供を効率化し、自動化を使用することでこれらのサービスや資産をシンプルで安全かつコスト効率の高い方法で管理します。Generic RESTコネクタはサービスのプロセスを標準化し、マニュアル・タスクに代わって自動化を実装します。

RESTベースのターゲット・システムと接続するために、Generic RESTコネクタは、HTTP基本認証およびOAuth 2.0認証のメカニズムをサポートします。また、このコネクタでは、ユーザーからの入力としてアクセス・トークンを使用したターゲット・システムへの認証もサポートされます。この認証メカニズムは、ターゲット・システムで、アクセス・トークンの取得にプログラムを使用したアプローチが提供されない場合に有用です。

このコネクタでは次のOAuth 2.0権限タイプがサポートされます。

• JWT

• クライアント資格証明

• リソース所有者のパスワード

このコネクタでサポートされる認証タイプが、ターゲット・システムでサポートされない場合は、ターゲット・システムでサポートされるカスタム認証を実装できます。このカスタム実装をコネクタに接続するには、このコネクタによって公開されるプラグインを使用します。

Generic RESTコネクタは、JSON形式でデータを解析するリコンシリエーション操作とプロビジョニング操作を実行して、Oracle Identity GovernanceとRESTベースのターゲット・システム間でデータを同期します。ターゲット・システムでJSON形式でのリクエスト・ペイロードまたはレスポンス・ペイロードがサポートされない場合は、データの解析用に独自の実装を作成できます。このカスタム実装をコネクタに接続するには、このコネクタによって公開されるプラグインを使用します。

Generic RESTコネクタは、検出されたターゲット・システム用のコネクタです。これは、コネクタが統合するRESTベースのターゲット・システムのスキーマを前もって知ることができないためです。Generic RESTコネクタには、アーティファクトは付属していません。そのため、アプリケーションの作成時に、ターゲット・システムのスキーマを指定する必要があります。これは、コネクタがRESTベースのターゲット・システムのスキーマを認識し、アーティファクトを生成するのに役立ちます。

1.2 動作保証されているコンポーネント

コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。

項目	AOBアプリケーションの要件	CIベースのコネクタの要件
Oracle Identity GovernanceまたはOracle Identity Manager	次のいずれかのリリースを使用できます。 Oracle Identity Governance 12c PS4 (12.2.1.4.0) Oracle Identity Governance 12c PS3 (12.2.1.3.0)	次のいずれかのリリースを使用できます。 Oracle Identity Governance 12c PS4 (12.2.1.4.0) Oracle Identity Governance 12c PS3 (12.2.1.3.0) Oracle Identity Manager 11gリリース2 PS3 (11.1.2.3.0) Oracle Identity Manager 11g リリース2 PS2 (11.1.2.2.0)
ターゲット・システム	RESTサービスをサポートするアイデンティティ認識アプリケーション	RESTサービスをサポートするアイデンティティ認識アプリケーション
コネクタ・サーバー	12.2.1.3.0 ノート: コネクタ・サーバーはオプションです。Generic RESTコネクタをコネクタ・サーバーにデプロイした場合、必要なJavaコネクタ・サーバー12.2.1.3.0をOracle Technology Network Webページからダウンロードできます。	12.2.1.3.0 ノート: コネクタ・サーバーはオプションです。Generic RESTコネクタをコネクタ・サーバーにデプロイした場合、必要なJavaコネクタ・サーバー12.2.1.3.0をOracle Technology Network Webページからダウンロードできます。
コネクタ・サーバーJDK	JDK 1.8以降	JDK 1.8以降

1.3 動作保証されている言語

コネクタは、Oracle Identity Governanceによってサポートされる言語に対応しています。

コネクタでサポートされている言語は次のとおりです:

• アラビア語

• 中国語(簡体字)

• 中国語(繁体字)

• チェコ語

• デンマーク語

• オランダ語

• 英語

• フィンランド語

• フランス語

• フランス語(カナダ)

• ドイツ語

• ギリシャ語

• ヘブライ語

• ハンガリー語

• イタリア語

• 日本語

• 韓国語

• ノルウェー語

• ポーランド語

• ポルトガル語

• ポルトガル語(ブラジル)

• ルーマニア語

• ロシア語

• スロバキア語

• スペイン語

• スウェーデン語

• タイ語

• トルコ語

リソース・バンドル・エントリは、使用されるターゲット・システムに応じて変化するため、リソース・バンドルはコネクタ・インストール・パッケージに含まれません。

1.4 Generic RESTコネクタのアーキテクチャ

Generic RESTコネクタは、Identity Connector Framework (ICF)を使用して実装されます。

ICFは、すべてのOracle Identity Managerコネクタに共通の基本的なリコンシリエーションおよびプロビジョニング操作を提供するコンポーネントです。さらに、ICFには接続プーリング、バッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFは、Oracle Identity Managerに付属しています。

図1-1に、コネクタのアーキテクチャを示します。

図1-1 コネクタのアーキテクチャ

「図1-1 コネクタのアーキテクチャ」の説明

Generic RESTコネクタの主な機能は、REST APIを公開するターゲット・システムに接続し、そのターゲット・システムとOracle Identity Managerの間でユーザー・アイデンティティ・データを同期することです。

このコネクタは、前もって知ることができないターゲット・システム用のコネクタのため、メタデータは付属していません。ターゲット・システムのスキーマに応じて、ターゲット・システムにアプリケーションを作成した後にコネクタ・アーティファクトが生成されます。コネクタ・アーティファクトが作成されると、Oracle Identity Governanceは、様々なプロビジョニングおよびリコンシリエーション操作によってコネクタ・バンドルを介してターゲット・システムと通信します。

REST共通レイヤーには、ターゲット・システムに対する認証およびデータの解析にコネクタで必要なあらゆるプラグインおよびロジックが含まれます。認可やデータ解析のためのカスタム実装も、プラグインとしてREST共通レイヤーにフックできます。

プロビジョニング時には、アダプタがプロセス・フォームを介した送信されたプロビジョニング・データをターゲット・システムに搬送します。アダプタはコネクタ・バンドルの対応する作成、更新または削除操作との接続を確立し、コネクタ・バンドルがREST共通レイヤーを利用してターゲット・システムとの接続を確立します。アダプタがターゲット・システムとの接続を確立すると、エンドポイントに対してRESTコールが行われ、必要なプロビジョニング操作が実行されます。その後、ターゲット・システムからのレスポンスがアダプタに返されます。

リコンシリエーションの際には、スケジュール・タスクが実行されて、コネクタ・バンドルのSearchOp操作がコールされます。コネクタ・バンドルは、REST共通レイヤーを使用してターゲット・システムとの接続を確立します。その後、コネクタは特定のRESTエンドポイントをコールして、リコンシリエーション基準に一致するすべてのレコードを取得します。この結果が、Oracle Identity Governanceに渡されます。

1.5 コネクタの機能

コネクタの機能には、完全および増分リコンシリエーション、制限付きリコンシリエーション、カスタム認証、カスタム解析、カスタム・ペイロード、複数エンドポイントURLおよびSSL通信の処理が含まれます。

コネクタには、次のような機能があります。

• 信頼できるソースおよびターゲット・リソースの両方のリコンシリエーションのサポート

• 完全リコンシリエーションおよび増分リコンシリエーション

• 制限付き(フィルタ)リコンシリエーション

• カスタム認証

• カスタム解析

• カスタム・ペイロード

• 追加HTTPヘッダーのサポート

• 複数のエンドポイントURL処理のサポート

• SSL通信

1.5.1 信頼できるソースおよびターゲット・リソースのリコンシリエーション

レコードのOracle Identity Governanceへのリコンシリエーションのために、RESTベースのアプリケーションをターゲット・アプリケーションまたは認可アプリケーションとして構成できます。

信頼できるソース(認可アプリケーション)とターゲット・リソース(ターゲット・アプリケーション)のリコンシリエーションをサポートする2つのバージョンのコネクタがあります。

Generic REST認可コネクタを使用して、EloquaをOracle Identity Governanceの信頼できるソースとして統合できます。このモードでは、コネクタはEloquaアプリケーションでサポートされているすべての個人タイプをリコンサイルします。

ターゲット・リソース・モードでは、Generic RESTターゲット・コネクタを使用して、Eloquaアプリケーションのユーザー・レコードをプロビジョニングおよびリコンサイルするターゲット・アプリケーションを作成できます。

詳細は、「リコンシリエーション・ジョブの構成」を参照してください。

1.5.2 完全リコンシリエーションおよび増分リコンシリエーション

アプリケーションを作成したら、完全リコンシリエーションを実行して、既存のすべてのユーザー・データをターゲット・システムからOracle Identity Managerにインポートします。最初の完全リコンシリエーション実行後に、増分リコンシリエーション用にコネクタを構成できます。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Managerにフェッチされます。

ノート:

ターゲット・システムにターゲットEloquaのupdatedAtなどの属性が含まれており、その属性にオブジェクトの作成または変更のタイムスタンプが格納されている場合、コネクタでは増分リコンシリエーションがサポートされます。

完全リコンシリエーションはいつでも実行できます。詳細は、「完全リコンシリエーションおよび増分リコンシリエーションの実行」を参照してください。

1.5.3 制限付き(フィルタ)リコンシリエーション

リコンシリエーション・フィルタをスケジュール済ジョブのFilter Suffix属性の値として設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。

制限付きリコンシリエーションの実行の詳細は、「制限付きリコンシリエーションの実行」を参照してください。

1.5.4 カスタム認証

Generic RESTコネクタでは、デフォルトで、HTTP基本認証およびOAuth 2.0認証のメカニズムがサポートされます。また、このコネクタでは、ユーザーが入力としてアクセス・トークンを指定する認証メカニズムもサポートされます。OAuth 2.0認証メカニズムでサポートされる権限タイプはJWT、クライアント資格証明、およびリソース所有者のパスワードです。ターゲット・システムが、コネクタでサポートされない認証メカニズムのいずれかを使用する場合は、このコネクタによって公開されているプラグインを使用して、カスタム認証用に独自の実装を作成できます。

カスタム認証用の独自の実装作成の詳細は、カスタム認証の実装を参照してください。

1.5.5 カスタム解析

Generic RESTコネクタでは、デフォルトで、JSON形式のみのリクエスト・ペイロードおよびレスポンス・ペイロードがサポートされます。ターゲット・システムでJSON形式でのリクエスト・ペイロードまたはレスポンス・ペイロードがサポートされない場合は、このコネクタによって公開されているプラグインを使用して、カスタムの解析ロジックを実装できます。

カスタム解析の詳細は、カスタム解析の実装を参照してください。

1.5.6 カスタム・ペイロード

Generic RESTコネクタは、標準のJSON形式を順守しないペイロード内の任意の属性に対するカスタム形式の処理をサポートします。

これは、「拡張設定」のcustomPayloadパラメータの値を指定することで実現します。このパラメータの詳細は、「拡張設定パラメータ」を参照してください。

1.5.7 追加HTTPヘッダーのサポート

ターゲット・システムで任意のRESTコールに追加またはカスタムのHTTPヘッダーが必要な場合は、これらのHTTPヘッダーをcustomAuthHeaders構成パラメータの値として挿入できます。

このパラメータの詳細は、「認証パラメータ」を参照してください。

1.5.8 複数のエンドポイントURL処理のサポート

Generic RESTコネクタでは、オブジェクト・クラスのベース・エンドポイントURL以外のエンドポイントを通じてのみ管理できるオブジェクト・クラス(ユーザー・オブジェクト・クラスなど)の属性を処理できます。たとえば、特定のターゲット・システムには、ベース・エンドポイントURLを使用して管理できる、ユーザー・オブジェクト・クラスの属性があります。しかし、一部の属性(電子メールの別名など)は、別のエンドポイントURLを使用してのみ管理できます。コネクタは、オブジェクト・クラスに関連付けられているすべてのエンドポイントURLを処理するためのサポートを提供しています。

これは、このような属性のエンドポイントURLの詳細を、relURIs ITリソース・パラメータに指定することで実現します。このパラメータの詳細は、「拡張設定パラメータ」を参照してください。

1.5.9 SSL通信

Oracle Identity ManagerとRESTベースのターゲット・システムとの間のデータ通信を保護するためにSSLを構成できます。

セキュアな通信の構成の詳細は、SSLの構成を参照してください。

1.6 Generic RESTコネクタでサポートされるユースケース

Generic RESTコネクタは、RESTサービスをサポートする任意のターゲット・システムにOIMを統合するために使用できます。このコネクタを使用して、RESTサービスのアイデンティティ・データをOIMにロードし、企業内の他のアイデンティティ認識アプリケーションと統合されたサイクルでアイデンティティを効率的に管理できます。

ビジネスのユースケースの例として、20を超えるクラウド・アプリケーションを持つ大手ロジスティクス企業について考えます。これらのクラウド・アプリケーションは、データが手動で入力されており、スプレッドシートやカスタムでコーディングされたプロセス・フローを使用して管理されているため、効率が悪くなっています。このため、この企業では、クラウド・アプリケーションとOIMを統合して、操作を効率化し、組織的な効率を高め、同時に運用コストを抑えたいと考えています。これらのクラウド・アプリケーションとOIMの統合には、2つのアプローチがあります。1つ目のアプローチは、これらのアプリケーションのそれぞれにポイントツーポイントのコネクタをデプロイする方法です。この方法のデメリットとして、次の点が挙げられます。

• 各アプリケーションに対するポイントツーポイントのコネクタを識別してデプロイするための時間と労力がかかる。

• 各アプリケーション用のコネクタの管理および保守のためのオーバーヘッドが増える。

• ポイントツーポイントのコネクタを、すべてのアプリケーションには設定できない。このようなシナリオでは、カスタム・コネクタの開発が必要になり、このカスタム・コネクタの開発、デプロイおよびテストの時間と手間が増える。

これに代わるアプローチは、Generic RESTコネクタを使用することです。Generic RESTコネクタはすべてのクラウド・アプリケーションをOIMに統合するために使用できます。Generic RESTコネクタが提供する機能を使用すると、クラウド・アプリケーションごとにカスタム・コネクタを構築するための追加リソースや時間を費やすことなく、すべてのクラウド・アプリケーションのアカウントを管理できます。

Generic RESTコネクタは、アイデンティティ管理のために、企業がオンプレミスのOIMデプロイを活用してターゲット・システムと統合するために役立つハイブリッドのアプローチです。これらのターゲット・システムには、SaaSアプリケーション、PaaSアプリケーション、自社製アプリケーションなど、REST APIを公開する任意のアプリケーションが含まれます。

Generic RESTコネクタを使用するいくつかのシナリオ例を次に示します。

• ユーザー管理

  Generic RESTコネクタは、システムのユーザーを定義し、それらのユーザーをグループに割り当てて、クラウド・サービスにアクセスできる個人を管理します。このコネクタでは、ITによる管理を可能にしながら、Generic RESTクラウド・サービスで新しいユーザーが自己プロビジョニングを行うことを許可します。ユーザーは、OIM管理者が確立したクラウドベースのリソースのカタログに基づいて、リクエストおよびプロビジョニングを行えます。たとえば、ターゲット・システムで新規ユーザーを作成する場合は、OIMのプロセス・フォームに入力して送信し、プロビジョニング操作をトリガーします。コネクタではターゲット・システムに対して作成操作を実行し、この操作の実行が成功するとユーザーが作成されます。同様に、削除や更新といった操作も実行できます。

• 権限管理

  Generic RESTコネクタは、クラウド・サービス・オブジェクト(ターゲット・システムによって公開されている場合)を権限として管理します。使用するターゲット・システムによっては、このコネクタは、グループ、ロール、ライセンス、フォルダ、コラボレーションなどの権限を管理するために使用できます。たとえば、OIMで事前に定義されたアクセス・ポリシーに基づいて、Generic RESTコネクタを使用してユーザーに自動的にグループを割り当てるまたは取り消すことができます。同様に、Generic RESTコネクタを使用して、クラウド・サービスの特定の機能やグループへの選択的なアクセス権を付与するロール・メンバーシップを管理できます。このため、新しいユーザーに特定のロールが追加されると、それらのユーザーは各アプリケーション内で対応するアクセス権を自動的に得ることになります。