8 カスタム・ユーザー・プロビジョニング・プラグインの開発
この章の内容は次のとおりです。
関連項目:
『Fusion Middleware Oracle Access Management管理者ガイド』のデフォルト・アイデンティティ・プロビジョニング・プラグインの使用方法に関する項を参照してください。
8.1 ユーザー・プロビジョニング・プラグインの概要
Identity Federationがサービス・プロバイダ(SP)モードで動作している場合、ユーザー・アサーションはローカル・ストアにマップされ、フェデレーテッド・シングル・サインオンを実行します。ただし、場合によっては、サービス・プロバイダがユーザー・アサーションを実行する際に、ユーザーが見つからないことがあります。デフォルトのユーザー・プロビジョニング・プラグイン(LDAPProvisioningPlugin
)は、Access Managerアイデンティティ・ストアとして構成されたLDAPストア内のユーザーをプロビジョニングします。
実行時に収集されたすべての情報は、標準またはカスタムの任意のユーザー・プロビジョニング・プラグインに渡されます。カスタムのユーザー・プロビジョニング・プラグインは、この情報に基づいて、取得および使用する必要のあるユーザー情報を決定する必要があります。また、各カスタム・プラグインには、プロビジョニングするユーザーの追加処理を実行するための独自の構成を含めることができます。
Identity FederationがSPモードで動作しており、アサーションのユーザーへのマップに失敗した場合、Identity Federationはそのユーザーをプロビジョニングする必要があるかどうかを確認するため、構成プロパティを探します。ユーザー・プロビジョニング・フラグがtrueに設定されている場合、Identity Federationは起動する必要のあるプラグイン名を検索します。カスタム・プラグインが使用されていない場合は、標準プラグイン(LDAPProvisioningPlugin
)がデフォルトで起動されます。GenricPluginFactory
を使用して定義されているプラグインを検索し、プロビジョニング・ロジックを実行します。
Identity Federationは、パートナnameideattrname
に関連付けられたプロパティを取得し、プラグインに送信された属性リストのnameid
値に移入します。Identity Federationが標準プラグインを使用するように構成されている場合、データ・ストアの選択肢は次のとおりです。
-
Identity Federationがパートナ固有のデータ・ストア(マルチストア)を使用している場合、Identity Federationはアイデンティティ・ストア名をプラグインに渡します。
-
Identity Federationがデフォルトのユーザー・アイデンティティ・ストアを使用する場合、標準のプラグインはユーザー・プロビジョニングAPIを使用して、データ・ストアのユーザー・データをプロビジョニングします。
-
パートナ固有のストアが構成されていない場合は、デフォルトのアイデンティティ・ストアが使用されます。
デフォルトのアイデンティティ・ストアとパートナ固有のストアのどちらが使用されるかに関係なく、ユーザーのプロビジョニングに使用されるユーザー・プロビジョニングAPIは同じです。
8.2 プラグイン・インタフェースの概要
レビュー担当者: ここで各OIFインタフェースの概要を記載する必要がありますか。その場合は記載してください。同様の説明が記載されているOAMプラグインの章の「プラグイン・インタフェースの概要」を参照してください。
カスタムのユーザー・プロビジョニング・プラグインが拡張する主なクラスはOIFUserProvisioningPlugin
です。次のインタフェースがカスタム・プラグインに対して公開されています。
-
oracle.security.fed.plugins.fed.provisioning.OIFUserProvisioningPlugin.java
(oracle.security.am.plugin.AbstractAMPlugin
を拡張します) -
oracle.security.fed.plugins.fed.provisioning.UserContext.java
-
oracle.security.fed.plugins.fed.provisioning.UserProvisioningException.java
-
oracle.security.fed.plugins.fed.provisioning.UserProvisioningConstants.java
これらのインタフェースの詳細は、Oracle Fusion Middleware Oracle Access Management Identity Federationユーザー・プロビジョニング・プラグインJava APIリファレンスを参照してください。
8.3 サンプル・コード: カスタム・ユーザー・プロビジョニング・プラグイン
カスタムのユーザー・プロビジョニング・プラグインのjarファイル構造は、Access Managerのカスタム認証プラグイン構造に準拠している必要があります。つまり、これには、plugin.class、plugin.xmlおよびMANIFEST.MFファイルが必要です。この構造の詳細は、「サンプル・コード: カスタム・データベース・ユーザー認証プラグイン」を参照してください。
この項では、次のユーザー・プロビジョニング・プラグインのコード・サンプルを示します。
UserProvisioning.javaのサンプル
次のサンプル・コードで、ユーザー・プロビジョニング・プラグインについて説明します。
package oif.test; import java.util.Hashtable; import java.util.Iterator; import java.util.Map; import java.util.Set; import java.util.StringTokenizer; import javax.naming.Context; import javax.naming.NamingException; import javax.naming.directory.Attribute; import javax.naming.directory.Attributes; import javax.naming.directory.BasicAttribute; import javax.naming.directory.BasicAttributes; import javax.naming.directory.DirContext; import javax.naming.directory.InitialDirContext; import oracle.security.am.plugin.ExecutionStatus; import oracle.security.am.plugin.MonitoringData; import oracle.security.am.plugin.PluginConfig; import oracle.security.fed.plugins.fed.provisioning.OIFUserProvisioningPlugin; import oracle.security.fed.plugins.fed.provisioning.UserContext; import oracle.security.fed.plugins.fed.provisioning.UserProvisioningConstants; import oracle.security.fed.plugins.fed.provisioning.UserProvisioningException; /* * Sample OIF User provisioning plugin */ public class ProvisioningPlugin extends OIFUserProvisioningPlugin { private boolean monitoringStatus = false; private Map paramMap ; private String userRecordAttrList = null; private String useridAssertionAttr = null; /* (non-Javadoc) */ @Override public ExecutionStatus process(UserContext context) throws UserProvisioningException { /* * Execute method for plugin */ boolean provisioningStatus = false; try{ Map<String, Object> attrs = context.getAttributes(); Map<String, Object> attrsMapping = context.getAttributesUsedInMapping(); if (useridAssertionAttr == null) { System.out.println("User id attribute to create user is not found in the attributes list"); return ExecutionStatus.ABORT; } String userid = null; if (attrs.containsKey(useridAssertionAttr)) { Object valueObj = attrs.get(useridAssertionAttr); if (valueObj instanceof String) userid = (String) valueObj; else { userid = (String)((Set) valueObj).iterator().next(); } } DirContext ctx = getContext(); // creating the user record Attributes record = new BasicAttributes(); // Create the objectclass to add Attribute objClasses = new BasicAttribute("objectClass"); objClasses.add("top"); objClasses.add("person"); String objectClass = "inetOrgPerson"; objClasses.add(objectClass); objClasses.add("organizationalPerson"); record.put(objClasses); String userIDAttr = "uid"; // Set the attributes record.put(new BasicAttribute(userIDAttr, userid)); StringTokenizer st = new StringTokenizer(userRecordAttrList, ","); while (st.hasMoreTokens()) { String key = (String) st.nextToken(); record.put(new BasicAttribute(key, attrs.get(key))); } Set keys = attrsMapping.keySet(); Iterator itr = keys.iterator(); while (itr.hasNext()) { String key = (String) itr.next(); if (!attrs.containsKey(key)) { record.put(new BasicAttribute(key, attrsMapping.get(key))); } String ldapUserBaseDN = "dc=iplanet,dc=com"; // Create the record ctx.createSubcontext("cn=" + userid + "," + ldapUserBaseDN, record); provisioningStatus = true; } } catch(Exception e){ /* * If exception abort the authentication. */ e.printStackTrace(); return ExecutionStatus.ABORT; } if( provisioningStatus){ /* * Success */ return ExecutionStatus.SUCCESS; }else{ /* * Failure. */ return ExecutionStatus.FAILURE; } } /* (non-Javadoc) * @see oracle.security.am.plugin.GenericPluginService#initialize(java.util.Map) */ @Override public ExecutionStatus initialize(PluginConfig config) { //success for the execution status userRecordAttrList = (String)config.getParameter(UserProvisioningConstants.KEY_USER_RECORD_ATTRIBUTE_LIST); useridAssertionAttr = (String)config.getParameter(UserProvisioningConstants.KEY_USERID_ATTRIBUTE_NAME); return ExecutionStatus.SUCCESS; } /* (non-Javadoc) * @see oracle.security.am.plugin.GenericPluginService#getDescription() */ @Override public String getDescription() { return "Ldap Provisioning Plugin"; } /* (non-Javadoc) * @see oracle.security.am.plugin.GenericPluginService#getMonitoringData() */ @Override public Map < String, MonitoringData > getMonitoringData() { // TODO Auto-generated method stub return null; } /* (non-Javadoc) * @see oracle.security.am.plugin.GenericPluginService#getMonitoringStatus() */ @Override public boolean getMonitoringStatus() { return monitoringStatus; } /* (non-Javadoc) * @see oracle.security.am.plugin.GenericPluginService#getName() */ @Override public String getPluginName() { return "LDAP_Provisioning_plugin"; } /* (non-Javadoc) * @see oracle.security.am.plugin.GenericPluginService#getVersion() */ @Override public int getRevision() { return 10; } /* (non-Javadoc) * @see oracle.security.am.plugin.GenericPluginService#setMonitoringStatus(boolean) */ @Override public void setMonitoringStatus(boolean status) { monitoringStatus = status; } private DirContext getContext() { try { DirContext context = null; String ldapURL = "ldap://myldap.example.com:389"; String ldapUserBaseDN = "dc=iplanet,dc=com"; Hashtable<String, String> env = new Hashtable <String, String> (); env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory"); env.put(Context.PROVIDER_URL, ldapURL); env.put(Context.SECURITY_AUTHENTICATION, "simple"); env.put(Context.REFERRAL, "follow"); String credential = "password"; String secPrincipal = "cn=Directory Manager"; env.put(Context.SECURITY_PRINCIPAL, secPrincipal); env.put(Context.SECURITY_CREDENTIALS, credential); context = new InitialDirContext (env); return context; } catch (NamingException ne) { throw new UserProvisioningException(ne); } catch (Throwable e) { throw new UserProvisioningException(e); } } }
UserPlugin.xmlのサンプル
次のサンプル・コードは、UserPlugin.xmlを示しています
<Plugin type="User Provisioning"> <author>uid=User1</author> <email>User1@example</email> <creationDate>09:32:20,2012-06-15</creationDate> <description>User provisioning</description> <configuration> <AttributeValuePair> <Attribute type="string" length="100">KEY_USERID_ATTRIBUTE_NAME</Attribute> <mandatory>false</mandatory> <instanceOverride>false</instanceOverride> <globalUIOverride>true</globalUIOverride> <value>uid</value> </AttributeValuePair> <AttributeValuePair> <Attribute type="string" length="200">KEY_USER_RECORD_ATTRIBUTE_LIST</Attribute> <mandatory>true</mandatory> <instanceOverride>false</instanceOverride> <globalUIOverride>true</globalUIOverride> <value>mail,uid</value> </AttributeValuePair> </configuration> </Plugin>
MANIFEST.MFのサンプル
次のサンプル・コードは、MANIFEST.MFを示しています
Manifest-Version: 1.0 Bundle-ManifestVersion: 2 Bundle-Name: ProvisioningPlugin Bundle-SymbolicName: ProvisioningPlugin Bundle-Version: 10 Bundle-Activator: oif.test.ProvisioningPlugin Import-Package: org.osgi.framework;version="1.3.0",oracle.security.fed.plugins.fed.provisioning Bundle-RequiredExecutionEnvironment: JavaSE-1.6
8.4 ユーザー・プロビジョニング・プラグインの開発
この項では、カスタムのIdentity Federationユーザー・プロビジョニング・プラグインの記述ステップを示します。以降では、システム・アーキテクトがカスタム・プラグインのビジネス要件を識別し、ユーザーがローカル・ユーザー・ストアにマップされていない場合のユーザー・プロビジョニング・フローを検討した後に開発者が実行する必要があるアクションについて説明します。
この項では、次の項目について説明します。
8.4.1 カスタム・プラグインの開発: プロセスの概要
Identity FederationはAccess Managerプラグイン・フレームワークを使用するので、それらプロセスは類似しています。詳細は、「計画、認証モデルおよびプラグインについて」を参照してください。
カスタム認証プラグインのデプロイと管理の詳細は、個別の認証用プラグインのデプロイおよび管理に関する項を参照してください。