Oracle Identity Management 統合ガイド 10g(10.1.4.2) E05894-01 |
|
この章では、Oracle Identity Management統合とそのコンポーネント、構造および管理ツールの概要について説明します。
この章の内容は次のとおりです。
Oracle Identity Managementにより、アプリケーションとディレクトリ(サード・パーティのLDAPディレクトリを含む)をOracle Internet Directoryに統合して、管理作業にかかる時間とコストを削減できます。これには、Oracle Directory Integration Platformを使用します。たとえば、企業には次のようなニーズがあります。
統合処理全体を通して、Oracle Directory Integration Platformは、アプリケーションとその他のディレクトリが確実な方法で必要な情報をやり取りすることを保証します。
Microsoft Active Directory、Sun Java System Directory、Novell eDirectory、OpenLDAPなど、様々なディレクトリとの統合が可能です。たとえば、Oracle Application Server環境では、Oracleコンポーネントへのアクセスは、Oracle Internet Directoryに格納されているデータに基づいて行いますが、企業の中央ディレクトリとしてMicrosoft Active Directoryも使用できます。これらのディレクトリのユーザーがOracleコンポーネントにアクセスできるのは、Oracle Directory Integration Platformにより、Microsoft Active Directory内のデータを、Oracle Internet Directory内のデータと同期化できるためです。
図1-1に、Oracle Directory Integration Platformの配置例を示します。
図1-1の例では、Oracle Internet DirectoryはOracle Directory Synchronization Serviceによって接続ディレクトリと同期化されます。この例での接続ディレクトリは、Oracle Human Resourcesおよびサード・パーティ・ディレクトリです。同様にOracle Internet Directory内の変更は、Oracle Directory Integration Platform Serviceを使用して各種のアプリケーションに送信されます。この例では、プロビジョニング・アプリケーションとしてOracleAS Portal、Oracle Collaboration Suite、Oracle Application Server Wireless、不特定の2つのプロビジョニング・アプリケーション、レガシー・アプリケーションがあります。
デフォルトでは、Oracle Directory Integration Platformは、Oracle Internet Directoryのコンポーネントとしてインストールされます。ただし、Oracle Directory Integration Platformをスタンドアロンでインストールすることもできます。次のような状況では、Oracle Directory Integration Platformのスタンドアロン・インスタンスをインストールする必要があります。
同期が扱うのは、アプリケーションではなくディレクトリです。同期では、Oracle Internet Directoryと他の接続ディレクトリの両方に存在するエントリと属性の一貫性を確保します。
プロビジョニングが扱うのは、アプリケーションです。プロビジョニングは、アプリケーションで追跡が必要なユーザーやグループのエントリまたは属性への変更を、アプリケーションに通知します。
この項の内容は次のとおりです。
同期によって、Oracle Internet Directoryと接続ディレクトリの間で変更を調整できます。すべてのディレクトリが最新のデータのみを使用し、提供するためには、その他の接続ディレクトリでの変更がすべて各ディレクトリに伝達される必要があります。同期は、プロビジョニングによって更新されたデータも含めて、ディレクトリ情報に対する変更の一貫性を確保します。
サード・パーティのディレクトリをOracle Internet Directoryに接続する場合は、特定のディレクトリ用に同期プロファイルを作成します。このプロファイルによって、Oracle Internet Directoryと接続ディレクトリとの間で同期化されるデータの書式と内容が指定されます。同期プロファイルを作成するには、Directory Integrationアシスタントを使用します。
関連資料
|
プロビジョニングによって、たとえば、ユーザーまたはグループに関する情報への変更をアプリケーションに確実に通知できます。このような変更は、アプリケーションでプロセスに対するユーザー・アクセスを許可するかどうかや、使用できるリソースを決定するかどうかに影響を及ぼすことがあります。
プロビジョニングを使用するのは、次の要件を持つアプリケーションを設計またはインストールする場合です。
プロビジョニング対象のアプリケーションをインストールする場合、プロビジョニング・サブスクリプション・ツールを使用して、そのためのプロビジョニング統合プロファイルを作成する必要があります。
関連資料
|
同期とプロビジョニングには、表1-1に示すように、操作に重要な相違があります。
この項では、Oracle Identity Management統合に必要なコンポーネントを説明します。内容は次のとおりです。
Oracle Internet Directoryは、Oracleコンポーネントとサード・パーティのアプリケーションによって、ユーザーIDおよび資格証明が格納され、アクセスされるリポジトリです。ここでは、Oracleディレクトリ・サーバーを使用して、ユーザーにより入力された資格証明をOracle Internet Directoryに格納された資格証明と比較することで、ユーザー認証が行われます。資格証明がサード・パーティのディレクトリに格納されていて、Oracle Internet Directoryに格納されていない場合でも、ユーザーを認証することはできます。この場合は、Oracle Internet Directoryでは、サード・パーティのディレクトリ・サーバーに対してユーザー認証を行う外部認証プラグインが使用されます。
Oracle Directory Integration Serverは、Oracle Directory Synchronization ServiceとOracle Directory Integration Platform Serviceの機能を提供する共有サーバー・プロセスです。
Oracle Directory Integration Serverは、次のサービスを実行します。
Oracle Directory Integration Platform環境における接続ディレクトリの内容は、Oracle Directory Synchronization Serviceを介してOracle Internet Directoryと同期化されます。
Oracle Application Serverコンポーネントの場合、Oracle Internet Directoryはすべての情報の中央ディレクトリであり、他のすべてのディレクトリと同期しています。この同期には、次の2つの方向があります。
同期サービスでは、特定の属性を対象とする(または無視する)ことができます。たとえば、Oracle Human Resources内の従業員バッジ番号の属性は、Oracle Internet Directory、その接続ディレクトリまたはクライアント・アプリケーションには関係ありません。同期は不要です。その一方で、従業員識別番号はこれらのコンポーネントとも関係があるため、同期が必要です。
図1-2に、配置例におけるOracle Directory Synchronization Service内のコンポーネント間の相互作用を示します。
このような同期アクティビティのすべてをトリガーする中心的なメカニズムが、Oracle Internet Directoryの変更ログです。Oracle Internet Directoryなど、接続ディレクトリへの変更ごとに、変更ログに1つ以上のエントリが追加されます。Oracle Directory Synchronization Serviceの機能は次のとおりです。
Oracle Directory Integration Platform Serviceは、ユーザーまたはグループ情報などの変更が各プロビジョニング・アプリケーションに通知されることを保証します。これは、プロビジョニング統合プロファイルに含まれている情報に基づいて行われます。各プロビジョニング・プロファイルの役割は、次のとおりです。
プロファイルは、アプリケーションのインストール時に、プロビジョニング・サブスクリプション・ツールを使用して作成する必要があります。
Oracle Internet Directoryでの変更がアプリケーションのプロビジョニング・プロファイルに指定されているものと一致すると、Oracle Directory Integration Platform Serviceは、そのアプリケーションに関連データを送信します。
注意 レガシー・アプリケーション(Oracle Directory Integration Platform Serviceのインストール前に稼働状態であったアプリケーション)は、インストール時に通常の方法ではサブスクライブされません。レガシー・アプリケーションを使用してプロビジョニング情報を受信できるようにするには、プロビジョニング・プロファイルに加えて、プロビジョニング・エージェントを開発する必要があります。このエージェントは、Oracle Internet Directoryからの関連データをレガシー・アプリケーションに必要な正確な書式に変換する必要があります。 |
図1-3に、Oracle Directory Integration Platform Service環境でのコンポーネント間の相互作用を、レガシー・アプリケーションに使用するプロビジョニング・エージェントの特別なケースも含めて示します。
Oracle Application Server Single Sign-On(OracleAS Single Sign-On)を使用すると、ユーザーは1回のみのログインで、WebベースのOracleコンポーネントにアクセスできます。
Oracleコンポーネントは、ログイン機能をOracleAS Single Sign-On Serverに委任します。初めてOracleコンポーネントにログインする場合は、そのコンポーネントによってOracleAS Single Sign-On Serverにログインがリダイレクトされます。OracleAS Single Sign-On Serverでは、Oracle Internet Directoryに格納されている資格証明に対して、ユーザーが入力した資格証明を検証することによってユーザーが認証されます。ユーザーを認証すると、残りのセッション中、使用を要求し認可されたすべてのコンポーネントに対するユーザー・アクセス権限をOracleAS Single Sign-On Serverによって付与されます。
|
Copyright © 1999, 2007 Oracle Corporation. All Rights Reserved. |
|