1 Google Appsコネクタについて
ノート:
このガイドでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされたコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイされたコネクタは、CIベースのコネクタ(コネクタ・インストーラ・ベースのコネクタ)と呼びます。アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けするプロセスです。これにより、Oracle Identity Governanceでアプリケーションのユーザー情報をプロビジョニングまたはリコンサイルできるようになります。
次の項では、コネクタの概要を説明します。
1.1 動作保証されているコンポーネント
コネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1 動作保証されているコンポーネント
| コンポーネント | AOBアプリケーションの要件 | CIベースのコネクタの要件 |
|---|---|---|
|
Oracle Identity GovernanceまたはOracle Identity Manager |
次のいずれかのリリースを使用できます。
|
次のいずれかのリリースを使用できます。
|
|
ターゲット・システム |
Google Apps |
Google Apps |
|
コネクタ・サーバー |
11.1.2.1.0 |
11.1.2.1.0 |
|
コネクタ・サーバーJDK |
JDK 1.6以上 |
JDK 1.6以上 |
1.2 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.3 使用上の推奨事項
これらは、使用中のOracle Identity GovernanceまたはOracle Identity Managerのバージョンに応じて、デプロイまたは使用できるGoogle Appsコネクタのバージョンに関する推奨事項です。
-
Oracle Identity Governance 12c (12.2.1.3.0)を使用している場合は、このコネクタの最新バージョン12.2.1.xを使用してください。Identity Self Serviceの「管理」 タブの「アプリケーション」オプションを使用して、コネクタをデプロイします。
-
Oracle Identity Managerリリース11.1.2.3.0を使用している場合は、Google Appsコネクタの11.1.xバージョンを使用します。このコネクタの12.2.1.xバージョンをOracle Identity Managerリリース11.1.2.3.0とともに使用する場合は、CIベース・モードでのみインストールおよび使用できます。AOBアプリケーションを使用する場合は、Oracle Identity Governanceリリース12.2.1.3.0にアップグレードする必要があります。
ノート:
CIベース・モードでGoogle Appsコネクタの最新の12.2.1.xバージョンを使用している場合、コネクタのデプロイメント、使用およびカスタマイズの完全な詳細は、Oracle Identity Manager Google Appsコネクタ・ガイド リリース11.1.1を参照してください。
1.4 サポートされるコネクタ操作
ターゲット・システムに対してコネクタでサポートされる操作のリストは次のとおりです。
表1-2 サポートされるコネクタ操作
| 操作 | サポート対象 |
|---|---|
|
ユーザー管理 |
|
|
ユーザーの作成 |
はい |
|
ユーザーの更新 |
はい |
|
ユーザーの削除 |
はい |
|
ユーザーの有効化 |
はい |
|
ユーザーの無効化 |
はい |
|
パスワードの変更またはリセット |
はい |
|
権限付与の管理 |
|
|
グループの追加 |
はい |
|
グループの更新 |
はい |
|
グループの削除 |
はい |
ノート:
グループを管理するために必要なすべてのコネクタ・アーティファクト(グループ属性マッピング、リコンシリエーション・ルール、ジョブなど)は、Identity Self ServiceのアプリケーションUIには表示されません。ただし、必要な情報はすべて、コネクタ・インストール・パッケージの事前定義済アプリケーション・テンプレートで使用できます。グループに関連するアーティファクトの詳細は、「グループ管理に使用されるコネクタ・オブジェクト」を参照してください。1.5 コネクタのアーキテクチャ
Google Appsコネクタにより、Oracle Identity Governanceを介してターゲット・システム上のアカウントを管理できるようになります。
図1-1に、Google Appsコネクタのアーキテクチャを示します。
この図に示されているように、Google Appsは、Oracle Identity Governanceのターゲット・リソースとして構成されます。Oracle Identity Governanceで実行されるプロビジョニング操作を通じて、OIMユーザーのアカウントがターゲット・システムで作成および更新されます。リコンシリエーションを通じて、ターゲット・システムで直接作成および更新されるアカウント・データがOracle Identity Governanceにフェッチされ、対応するOIMユーザーに対して格納されます。
Google Appsコネクタは、Identity Connector Framework (ICF)を使用して実装されます。ICFはOracle Identity Governanceに同梱されています。ICFを構成したり変更する必要はありません。
プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがGoogle Appsアイデンティティ・コネクタ・バンドルで操作を呼び出し、バンドルがGoogle Apps管理SDKの適切なAPIを呼び出します。ターゲット・システムのこれらのAPIは、バンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
リコンシリエーション中に、スケジュール済タスクがICF操作を呼び出すと、ICFがGoogle Appsアイデンティティ・コネクタ・バンドルで検索操作を呼び出し、バンドルがGoogle Apps管理SDKの適切なAPIを呼び出します。これらのAPIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。
関連項目:
ICFの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のIdentity Connector Frameworkの理解に関する項を参照してください
ターゲット・システムからフェッチされた各レコードは、OIMユーザーにすでにプロビジョニングされているGoogle Appsリソースと比較されます。一致が見つかると、ターゲット・システムからGoogle Appsレコードに対して行われた更新が、Oracle Identity GovernanceのGoogle Appsリソースにコピーされます。一致が見つからなかった場合、レコードのユーザーIDが、各OIMユーザーのユーザーIDと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、Google AppsリソースがOIMユーザーにプロビジョニングされます。
Google Appsアイデンティティ・コネクタ・バンドルは、HTTPSプロトコルを使用してGoogle Apps Admin SDKのDirectory APIと通信します。ライブラリは、内部的にjava.net.HttpURLConnectionクラスを使用します。アプリケーションを作成してコネクタを使用し始めると、HttpURLConnectionクラスによって作成される接続用のプロキシを構成するために、次のシステム・プロパティが設定されます。
-
https.proxyPort
-
https.proxyHost
ノート:
これらのシステム・プロパティが設定されると、JVM、およびHttpURLConnectionクラスを使用する他のすべてのクラスに影響することがあります。
また、ユーザー名/パスワードに基づくプロキシ認証をサポートするために、コネクタはjava.net.Authenticatorクラスの実装を提供および登録します。
アプリケーション・サーバーの構成によっては、アプリケーション・サーバーのキーストア/信頼ストアにGoogle証明書をインポートする必要がある場合があります。
1.6 コネクタの機能
コネクタの機能には、コネクタ・サーバーのサポート、複数ドメインでのコネクタ操作、完全リコンシリエーション、バッチ・リコンシリエーション、およびアカウント・ステータスと削除されたアカウント・データのリコンシリエーションが含まれます。
表1-3に、AOBアプリケーションおよびCIベースのコネクタでサポートされる機能のリストを示します。
表1-3 サポートされるコネクタ機能マトリックス
| 機能 | AOBアプリケーション | CIベースのコネクタ |
|---|---|---|
|
完全リコンシリエーション |
はい |
はい |
|
制限付きリコンシリエーション |
はい |
はい |
|
バッチ・リコンシリエーション |
はい |
はい |
|
接続プーリング |
はい |
はい |
|
コネクタ・サーバーの使用 |
はい |
はい |
|
アプリケーションのクローニングまたは新しいアプリケーション・インスタンスの作成 |
はい |
はい |
|
アカウント・データの変換および検証 |
はい |
はい |
|
ユーザー・アカウント・ステータスのリコンサイル |
はい |
はい |
|
削除済のアカウント・データのリコンサイル |
はい |
はい |
|
複数ドメインでのコネクタ操作の実行 |
はい |
はい |
|
テスト接続 |
はい |
いいえ |
次のトピックでは、AOBアプリケーションの機能の詳細を説明します。
1.6.1 完全リコンシリエーション
完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Governanceにフェッチされます。
ノート:
アカウント・データが作成または変更された時間を追跡する方法がターゲット・システムによって提供されないため、コネクタは増分リコンシリエーションをサポートできません。
詳細は、「完全リコンシリエーションの実行」を参照してください。
1.6.2 制限付きリコンシリエーション
指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。リコンシリエーション実行時に、Oracle Identity Governanceにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
ユーザー・リコンシリエーション・スケジュール済ジョブのFilter Suffix属性の値としてリコンシリエーション・フィルタを設定できます。Filter Suffix属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるAPIにフィルタを割り当てるのに役立ちます。
詳細は、「制限付きリコンシリエーションの実行」を参照してください。
1.6.3 バッチ・リコンシリエーション
リコンシリエーションの実行をバッチに分割することができます。これには、各バッチに含める必要があるレコード数を指定します。
詳細は、「バッチ・リコンシリエーションの実行」を参照してください。
1.6.4 接続プーリング
接続プールは、ターゲットへの物理的な接続を表すオブジェクトのキャッシュです。Oracle Identity Governanceコネクタは、これらの接続を使用してターゲット・システムと通信できます。
実行時に、アプリケーションはプールに接続をリクエストします。接続が使用可能であれば、コネクタがその接続を使用してからプールに戻します。プールに戻された接続は、コネクタが別の操作のために再びリクエストして使用することができます。接続プールは、接続の再利用を可能にし、ネットワーク待機時間、メモリー割当ておよび認証といった接続作成のオーバーヘッドを減らすことに役立っています。
アプリケーションの作成時に指定した基本構成パラメータのセットごとに、1つの接続プールが作成されます。たとえば、ターゲット・システムの3つのインストールに3つのアプリケーションがある場合は、ターゲット・システム・インストールごとに1つずつ、3つの接続プールが作成されます。
接続プーリングに関して構成できるパラメータの詳細は、「拡張設定パラメータ」を参照してください。
1.6.5 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。ネイティブに管理されているリソースと同じホストにバンドルをデプロイするとバンドルの動作が速くなる場合は、Javaコネクタを別のホストで実行するとパフォーマンス改善に役立ちます。
関連項目:
コネクタ・サーバーのインストールと構成、およびコネクタ・サーバーの実行の詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのアイデンティティ・コネクタ・サーバーの使用を参照してください。
1.6.6 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート
アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することにより、ターゲット・システムの複数のインストールに対してこのコネクタを構成できます。
アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションとして共有されます。
これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングに関する項およびインスタンス・アプリケーションの作成に関する項を参照してください。
1.6.7 アカウント・ステータスのリコンシリエーションのサポート
アカウント・ステータスのリコンシリエーションのサポートは、リコンシリエーション操作中にコネクタがステータス情報をフェッチする機能の1つです。
リコンシリエーションの実行中、コネクタはステータス情報を他のアカウント・データとともにフェッチできます。
1.6.8 削除されたアカウント・データのリコンシリエーションのサポート
削除されたターゲット・システムのユーザーの詳細をフェッチするには、Google Appsターゲット・リソースのユーザーの削除リコンシリエーション・スケジュール済タスクを使用できます。
この情報は、OIMユーザーの該当Google Appsリソースを失効させるために使用されます。
1.6.9 複数ドメインでのコネクタ操作のサポート
デフォルトでは、このコネクタは、単一ドメイン内のリコンシリエーションおよびプロビジョニング操作をサポートします。ただし、拡張設定のsupportMultipleDomainパラメータに値を指定すると、複数ドメインでコネクタ操作を実行するようコネクタを構成できます。
詳細は、「拡張設定パラメータ」を参照してください。
1.6.10 アカウント・データの変換および検証
アプリケーションの作成中にGroovyスクリプトを作成することにより、リコンシリエーションおよびプロビジョニング操作中にOracle Identity Governanceとの間で送受信されるアカウント・データの検証と変換を構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニングおよびリコンシリエーション属性の検証および変換に関する項を参照してください。