5 Oracle Directory Synchronization Service

この章では、Oracle Internet Directoryと接続ディレクトリをリンクする同期プロファイルとコネクタについて説明します。内容は次のとおりです。

• Oracleディレクトリの同期に必要なコンポーネント

• 同期の機能

  関連項目 Oracle Directory Integration Platformの概念の説明は、第1章「Oracle Identity Management統合の概要」を参照してください。

Oracleディレクトリの同期に必要なコンポーネント

この項では、Oracleディレクトリの同期に必要なコンポーネントについて説明します。内容は次のとおりです。

• ディレクトリ同期用のコネクタ

• ディレクトリ同期プロファイル

ディレクトリ同期用のコネクタ

Oracle Internet Directoryと接続ディレクトリを同期化するため、Oracle Directory Integration Platformはコネクタと呼ばれるあらかじめパッケージされた接続ソリューションを使用します。このコネクタは最小でも、同期に必要な全設定情報を含む1つのディレクトリ統合プロファイルで構成されます。

コネクタとサポート対象インタフェースの使用

Oracle Internet Directoryと接続ディレクトリを同期化するとき、Oracle Directory Integration Platformは、DB、LDAP、タグ付きまたはLDIFのいずれかのインタフェースを使用します。接続ディレクトリがこれらのインタフェースの1つを使用するときにコネクタに必要なものは、同期させるためのディレクトリ統合プロファイルのみです。たとえば、Oracle Internet Directoryとともに提供されるSun Java System Directoryコネクタは、LDAPインタフェースを使用して、Sun Java System Directoryから変更を読み取ります。変更はSun Java System Directoryに固有な形式をとるため、Sun Java System Directory内でldapsearchを実行することで判別できます。

サポート対象インタフェースなしのコネクタの使用

接続ディレクトリでOracle Directory Integration Platformによってサポートされているインタフェースの1つを使用できない場合は、ディレクトリ統合プロファイルに加えてエージェントが必要です。エージェントは、Oracle Directory Integration Platformがサポートする書式の1つから、接続ディレクトリがサポートする書式に、データを変換します。一例が、Oracle Human Resourcesコネクタです。このコネクタには、あらかじめパッケージされた統合プロファイルとOracle Human Resourcesエージェントの両方があります。エージェントは、Oracle Internet Directoryとの通信に、Oracle Directory Integration Platformがサポートしているタグ付きファイル形式を使用します。Oracle Human Resourcesシステムとの通信には、（OCIインタフェース経由で）SQLを使用します。

ディレクトリ同期プロファイル

ディレクトリ同期プロファイルと呼ばれる同期用のディレクトリ統合プロファイルには、次のような同期化に必要な設定情報がすべて含まれます。

• 同期の方向

  一部の接続ディレクトリは、Oracle Internet Directoryからのデータの受信のみを行います。つまり、エクスポート操作のみに関与します。その他の接続ディレクトリは、Oracle Internet Directoryにデータを供給するのみです。つまり、インポート操作のみに関与します。インポート操作とエクスポート操作の両方に関与する接続ディレクトリもあります。

  プロファイルは、方向ごとに（つまり、接続ディレクトリからOracle Internet Directoryへの情報用に1つ、Oracle Internet Directoryから接続ディレクトリへの情報用に1つ）個別に使用されます。

• インタフェースのタイプ

  一部の接続ディレクトリは、Oracle Directory Integration Platformに組み込まれているインタフェースのいずれかでデータを受け取ることができます。LDAP、タグ付き、DB（読取り専用）、LDIFなどのインタフェースがあります。これらの接続ディレクトリについては、プロファイルに格納されている情報を使用してOracle Directory Synchronization Serviceが同期そのものを直接実行します。

• マッピング・ルールとその形式

  ディレクトリ同期環境では、あるドメインの典型的なエントリ・セットを別のドメインに移動できます。同様に、ある属性のセットを別の属性のセットにマップすることができます。

  マッピング・ルールは、接続ディレクトリとOracle Internet Directory間の属性の変換を制御します。各コネクタでは、その同期プロファイルのorclodipAttributeMappingRules属性に一連のマッピング・ルールが格納されています。Oracle Directory Integration Serverはこれらのルールを使用し、ディレクトリからエクスポートする場合、および接続ディレクトリまたはファイルからインポートしたデータを変換する場合に、必要に応じて属性をマップします。Oracle Directory Integration Serverでは、変更をOracle Internet Directoryにインポートする場合、マッピング・ルールに従って接続ディレクトリの変更レコードをLDAP変更レコードに変換します。同様に、エクスポート時は、コネクタがOracle Internet Directoryでの変更内容を接続ディレクトリが理解できる形式に変換します。

• 接続ディレクトリの接続詳細

  この詳細には、ホスト、ポート、接続モード（SSLまたは非SSL）など、接続ディレクトリについての情報および接続情報が含まれます。

• その他の情報

  コネクタによるOracle Internet Directoryと接続ディレクトリの同期に必要なほとんどの情報は、同期プロファイルに格納されますが、コネクタによっては、さらに多くの情報が必要な場合があります。これは、操作によっては実行時に追加構成情報が必要となるためです。

  追加のコネクタ構成情報は、どこにでも、またどのような方法でも格納できます。ただし、Oracle Directory Integration Platformでは、追加のコネクタ構成情報を同期プロファイルにorclODIPAgentConfigInfoと呼ばれる属性として格納できます。使用するかどうかは任意です。コネクタがこのような情報を必要としない場合は、この属性を空白のまま残しておきます。

  この構成情報は、コネクタまたは接続ディレクトリ（あるいはその両方）に関連付けることができます。Oracle Internet DirectoryおよびOracle Directory Integration Serverは、この情報を変更しません。コネクタの起動時に、Oracle Directory Integration Serverは、この属性の情報を一時ファイルとしてコネクタに提供します。

  関連資料 ディレクトリ統合プロファイル内の属性のリストおよび説明は、『Oracle Identity Managementユーザー・リファレンス』の属性リファレンスに関する章を参照してください。

同期の機能

変更が行われたかどうかによって、次の方向で同期がとられます。

• 接続ディレクトリからOracle Internet Directoryへ

• Oracle Internet Directoryから接続ディレクトリへ

• 両方向

データが流れる方向に関係なく、次のことを前提としています。

• 同期時に、一方のディレクトリに対する増分変更が他方のディレクトリに伝播されます。

• 同期の完了後、両方のディレクトリには同じ情報が維持されています。

この項の内容は次のとおりです。

• Oracle Internet Directoryから接続ディレクトリへの同期

• 接続ディレクトリからOracle Internet Directoryへの同期

• Oracle Internet Directoryがサポートしていないインタフェースを持つディレクトリとの同期化

Oracle Internet Directoryから接続ディレクトリへの同期

Oracle Internet Directoryは、ディレクトリ・オブジェクトへの増分変更が保存される変更ログを保持します。変更ログ番号に基づいて、これらの変更が順に保存されます。

Oracle Internet Directoryから接続ディレクトリへの同期は、この変更ログを活用します。したがって、Oracle Directory Integration Serverの実行時は、変更ロギングが有効であるデフォルト設定でOracle Internet Directoryを起動する必要があります。変更ロギングが無効のときは、OID制御ユーティリティ（oidctl）の-lフラグを使用して有効にできます。詳細は、『Oracle Identity Managementユーザー・リファレンス』を参照してください。

Oracle Directory Synchronization Serviceは、同期プロファイルを処理するたびに、次のように動作します。

1. すべての変更が適用済である、最新の変更ログ番号を検索します。

2. その番号より新しい各変更ログ・エントリをチェックします。

3. プロファイル内のフィルタリング・ルールを使用して、接続ディレクトリと同期化する変更を選択します。

4. エントリに対してマッピング・ルールを適用し、接続ディレクトリ内で必要な変更を行います。

次に、その接続ディレクトリ内の適切なエントリまたは属性が更新されます。接続ディレクトリで、DB、LDAP、タグ付きまたはLDIFの各形式が直接使用されていない場合は、プロファイルに指定されているエージェントが起動されます。正常に使用された最終ログ番号がプロファイルに保存されます。

Oracle Internet Directoryは、すべてのプロファイルが必要な変更ログを使用した後、その変更ログを定期的にパージして、後続の同期の開始位置を示します。

接続ディレクトリからOracle Internet Directoryへの同期

接続ディレクトリで、DB、LDAP、タグ付きまたはLDIFの各形式が直接使用されている場合、そのエントリまたは属性への変更は、Oracle Directory Synchronization Serviceによって自動的に同期化されます。それ以外の場合、コネクタは同期プロファイル内にエージェントを持ち、エージェントがLDIFまたはタグ付き形式でファイルへの変更を書き込みます。次に、Oracle Directory Synchronization Serviceは、この接続ディレクトリ・データのファイルを使用して、Oracle Internet Directoryを更新します。

Oracle Internet Directoryがサポートしていないインタフェースを持つディレクトリとの同期化

一部の接続ディレクトリは、Oracle Internet Directoryでサポートされているどのインタフェースを使用してもデータを受信できません。このタイプのディレクトリに対するプロファイルには、同期用の個別のプログラムを識別する属性が含まれています。これはエージェントと呼ばれます。エージェントは接続ディレクトリの固有な形式と同期データが入っているDB、LDAP、タグ付きまたはLDIFファイルとの間の変換を行います。プロファイル内で識別されているとおり、エージェントはOracle Directory Synchronization Serviceによって起動されます。

Oracle Internet Directoryからこのタイプの接続ディレクトリへデータをエクスポートする場合、Oracle Directory Synchronization Serviceは、必要なファイルをタグ付き形式またはLDIF形式で作成します。次にエージェントは、そのファイルを読み込んで、データを受信する接続ディレクトリに適した形式に変換し、そのディレクトリにデータを格納します。

このタイプの接続ディレクトリからOracle Internet Directoryへデータをインポートする場合、エージェントは必要なファイルをタグ付きまたはLDIF形式で作成します。次に、Oracle Directory Synchronization Serviceは、このファイルのデータを使用して、Oracle Internet Directoryを更新します。