1 Oracle Identity Management統合の概要

この章では、Oracle Identity Management統合とそのコンポーネント、構造および管理ツールの概要について説明します。

この章の内容は次のとおりです。

Oracle Identity Management統合を行う理由

Oracle Identity Managementにより、アプリケーションとディレクトリ（サード・パーティのLDAPディレクトリを含む）をOracle Internet Directoryに統合して、管理作業にかかる時間とコストを削減できます。これには、Oracle Directory Integration Platformを使用します。たとえば、企業には次のようなニーズがあります。

Oracle Human ResourcesとOracle Internet Directoryで従業員レコードの整合性を維持すること。Oracle Directory Integration Platformでは、Oracle Directory Synchronization Serviceによりこの同期化を行います。
変更がOracle Internet Directoryに適用されるたびに、Oracle Application Server Portal（OracleAS Portal）などのLDAP対応アプリケーションに通知すること。Oracle Directory Integration Platformでは、Oracle Directory Integration Platform Serviceによりこの通知を行います。

統合処理全体を通して、Oracle Directory Integration Platformは、アプリケーションとその他のディレクトリが確実な方法で必要な情報をやり取りすることを保証します。

Microsoft Active Directory、Sun Java System Directory、Novell eDirectory、OpenLDAPなど、様々なディレクトリとの統合が可能です。たとえば、Oracle Application Server環境では、Oracleコンポーネントへのアクセスは、Oracle Internet Directoryに格納されているデータに基づいて行いますが、企業の中央ディレクトリとしてMicrosoft Active Directoryも使用できます。これらのディレクトリのユーザーがOracleコンポーネントにアクセスできるのは、Oracle Directory Integration Platformにより、Microsoft Active Directory内のデータを、Oracle Internet Directory内のデータと同期化できるためです。

図1-1に、Oracle Directory Integration Platformの配置例を示します。

図1-1 Oracle Directory Integration Platform環境の例

画像の説明

図1-1の例では、Oracle Internet DirectoryはOracle Directory Synchronization Serviceによって接続ディレクトリと同期化されます。この例での接続ディレクトリは、Oracle Human Resourcesおよびサード・パーティ・ディレクトリです。同様にOracle Internet Directory内の変更は、Oracle Directory Integration Platform Serviceを使用して各種のアプリケーションに送信されます。この例では、プロビジョニング・アプリケーションとしてOracleAS Portal、Oracle Collaboration Suite、Oracle Application Server Wireless、不特定の2つのプロビジョニング・アプリケーション、レガシー・アプリケーションがあります。

Oracle Identity Managementのインストール・オプション

デフォルトでは、Oracle Directory Integration Platformは、Oracle Internet Directoryのコンポーネントとしてインストールされます。ただし、Oracle Directory Integration Platformをスタンドアロンでインストールすることもできます。次のような状況では、Oracle Directory Integration Platformのスタンドアロン・インスタンスをインストールする必要があります。

パフォーマンス上の理由から、Oracle Internet Directoryを別のホストで実行する必要がある場合
プロビジョニングおよび同期化が必要なアプリケーションに、集中的な処理が必要な場合
高可用性のために複数のOracle Directory Integration Platformインスタンスを実行する必要がある場合

同期、プロビジョニングおよび両者の相違点

同期が扱うのは、アプリケーションではなくディレクトリです。同期では、Oracle Internet Directoryと他の接続ディレクトリの両方に存在するエントリと属性の一貫性を確保します。

プロビジョニングが扱うのは、アプリケーションです。プロビジョニングは、アプリケーションで追跡が必要なユーザーやグループのエントリまたは属性への変更を、アプリケーションに通知します。

この項の内容は次のとおりです。

同期

同期によって、Oracle Internet Directoryと接続ディレクトリの間で変更を調整できます。すべてのディレクトリが最新のデータのみを使用し、提供するためには、その他の接続ディレクトリでの変更がすべて各ディレクトリに伝達される必要があります。同期は、プロビジョニングによって更新されたデータも含めて、ディレクトリ情報に対する変更の一貫性を確保します。

サード・パーティのディレクトリをOracle Internet Directoryに接続する場合は、特定のディレクトリ用に同期プロファイルを作成します。このプロファイルによって、Oracle Internet Directoryと接続ディレクトリとの間で同期化されるデータの書式と内容が指定されます。同期プロファイルを作成するには、Directory Integrationアシスタントを使用します。

関連資料

第III部「Oracle Directory Integration Platformとの同期」

Directory Integrationアシスタントの詳細は、『Oracle Identity Managementユーザー・リファレンス』のOracle Directory Integration Platformのツールに関する章を参照してください。

プロビジョニング

プロビジョニングによって、たとえば、ユーザーまたはグループに関する情報への変更をアプリケーションに確実に通知できます。このような変更は、アプリケーションでプロセスに対するユーザー・アクセスを許可するかどうかや、使用できるリソースを決定するかどうかに影響を及ぼすことがあります。

プロビジョニングを使用するのは、次の要件を持つアプリケーションを設計またはインストールする場合です。

ディレクトリを維持しないアプリケーション
LDAP対応のアプリケーション
リソースへのアクセスを認可ユーザーのみに限定するアプリケーション

プロビジョニング対象のアプリケーションをインストールする場合、プロビジョニング・サブスクリプション・ツールを使用して、そのためのプロビジョニング統合プロファイルを作成する必要があります。

関連資料

第IV部「Oracle Directory Integration Platformによるプロビジョニング」

プロビジョニング・サブスクリプション・ツールの詳細は、『Oracle Identity Managementユーザー・リファレンス』のOracle Directory Integration Platformのツールに関する章を参照してください。

同期とプロビジョニングの相違点

同期とプロビジョニングには、表1-1に示すように、操作に重要な相違があります。

表1-1 ディレクトリ同期とプロビジョニング統合の相違点

比較要素	ディレクトリ同期	プロビジョニング統合
アクションの時期	アプリケーションの配置時。ディレクトリ同期は、Oracle Internet Directoryとの同期を必要とする接続ディレクトリを対象としています。	アプリケーションの設計時。プロビジョニング統合は、LDAP対応アプリケーションの開発を担当するアプリケーション設計者を対象としています。
通信方向	一方向または双方向（Oracle Internet Directoryから接続ディレクトリへ、またはその逆方向、あるいは両方向）。	双方向（Oracle Internet Directoryからプロビジョニング・アプリケーションへ、およびプロビジョニング・アプリケーションからOracle Internet Directoryへ）。
データの種類	ディレクトリ内のあらゆるデータ。	プロビジョニング対象のユーザーとグループに限定。
例	Oracle Human Resources Sun Java System Directory Microsoft Active Directory Novell eDirectory OpenLDAP	OracleAS Portal

Oracle Identity Management統合に必要なコンポーネント

この項では、Oracle Identity Management統合に必要なコンポーネントを説明します。内容は次のとおりです。

Oracle Internet Directory

Oracle Internet Directoryは、Oracleコンポーネントとサード・パーティのアプリケーションによって、ユーザーIDおよび資格証明が格納され、アクセスされるリポジトリです。ここでは、Oracleディレクトリ・サーバーを使用して、ユーザーにより入力された資格証明をOracle Internet Directoryに格納された資格証明と比較することで、ユーザー認証が行われます。資格証明がサード・パーティのディレクトリに格納されていて、Oracle Internet Directoryに格納されていない場合でも、ユーザーを認証することはできます。この場合は、Oracle Internet Directoryでは、サード・パーティのディレクトリ・サーバーに対してユーザー認証を行う外部認証プラグインが使用されます。

Oracle Directory Integration Server

Oracle Directory Integration Serverは、Oracle Directory Synchronization ServiceとOracle Directory Integration Platform Serviceの機能を提供する共有サーバー・プロセスです。

Oracle Directory Integration Serverの機能

Oracle Directory Integration Serverは、次のサービスを実行します。

Oracle Directory Synchronization Service
- スケジューリング: 事前定義されたスケジュールに基づいて同期プロファイルを処理
- マッピング: 接続ディレクトリとOracle Internet Directoryの間のデータ変換ルールを実行
- データ伝播: コネクタを使用して接続ディレクトリとデータを交換
- エラー処理
Oracle Directory Integration Platform Service
- スケジューリング: 事前定義されたスケジュールに基づいてプロビジョニング・プロファイルを処理
- イベント通知: Oracle Internet Directoryに格納されているユーザー・データまたはグループ・データに関連した変更をアプリケーションに通知
- エラー処理
  
  関連項目
  第4章「Oracle Directory Integration Platformの管理」

Oracle Directory Synchronization Serviceの概要

Oracle Directory Integration Platform環境における接続ディレクトリの内容は、Oracle Directory Synchronization Serviceを介してOracle Internet Directoryと同期化されます。

Oracle Application Serverコンポーネントの場合、Oracle Internet Directoryはすべての情報の中央ディレクトリであり、他のすべてのディレクトリと同期しています。この同期には、次の2つの方向があります。

一方向: 一部の接続ディレクトリは、Oracle Internet Directoryに変更を提供するのみで、変更を受け取ることがありません。たとえば、従業員情報のプライマリ・リポジトリで比較のための基準であるOracle Human Resourcesがこれに該当します。
双方向: Oracle Internet Directoryでの変更を接続ディレクトリにエクスポートでき、接続ディレクトリでの変更をOracle Internet Directoryにインポートできます。

同期サービスでは、特定の属性を対象とする（または無視する）ことができます。たとえば、Oracle Human Resources内の従業員バッジ番号の属性は、Oracle Internet Directory、その接続ディレクトリまたはクライアント・アプリケーションには関係ありません。同期は不要です。その一方で、従業員識別番号はこれらのコンポーネントとも関係があるため、同期が必要です。

図1-2に、配置例におけるOracle Directory Synchronization Service内のコンポーネント間の相互作用を示します。

図1-2 Oracle Directory Synchronization Serviceのディレクトリ同期の相互作用

画像の説明

このような同期アクティビティのすべてをトリガーする中心的なメカニズムが、Oracle Internet Directoryの変更ログです。Oracle Internet Directoryなど、接続ディレクトリへの変更ごとに、変更ログに1つ以上のエントリが追加されます。Oracle Directory Synchronization Serviceの機能は次のとおりです。

変更ログを監視します。
変更が1つ以上の同期プロファイルに対応している場合は、常にアクションを実行します。
ログに記録された変更に個々のプロファイルが対応している他の接続ディレクトリすべてに、該当する変更を提供します。接続ディレクトリには、リレーショナル・データベース、Oracle Human Resources、Microsoft Active Directory、Sun Java System Directory、Novell eDirectory、OpenLDAPなどがあります。Oracle Directory Synchronization Serviceは、接続ディレクトリが要求するインタフェースと書式を使用してこれらの変更を提供します。Oracle Directory Integration Platformコネクタを介した同期によって、Oracle Internet Directoryクライアントに必要なすべての情報について、Oracle Internet Directoryが最新の状態に保持されます。

Oracle Directory Integration Platform Serviceの概要

Oracle Directory Integration Platform Serviceは、ユーザーまたはグループ情報などの変更が各プロビジョニング・アプリケーションに通知されることを保証します。これは、プロビジョニング統合プロファイルに含まれている情報に基づいて行われます。各プロビジョニング・プロファイルの役割は、次のとおりです。

そのプロファイルを適用するアプリケーションと組織を一意に識別します。
アプリケーションに通知する必要があるユーザー、グループ、操作などを指定します。

プロファイルは、アプリケーションのインストール時に、プロビジョニング・サブスクリプション・ツールを使用して作成する必要があります。

関連資料
プロビジョニング・サブスクリプション・ツールの詳細は、『Oracle Identity Managementユーザー・リファレンス』のOracle Directory Integration Platformのツールに関する章を参照してください。

Oracle Internet Directoryでの変更がアプリケーションのプロビジョニング・プロファイルに指定されているものと一致すると、Oracle Directory Integration Platform Serviceは、そのアプリケーションに関連データを送信します。

注意
レガシー・アプリケーション（Oracle Directory Integration Platform Serviceのインストール前に稼働状態であったアプリケーション）は、インストール時に通常の方法ではサブスクライブされません。レガシー・アプリケーションを使用してプロビジョニング情報を受信できるようにするには、プロビジョニング・プロファイルに加えて、プロビジョニング・エージェントを開発する必要があります。このエージェントは、Oracle Internet Directoryからの関連データをレガシー・アプリケーションに必要な正確な書式に変換する必要があります。

図1-3に、Oracle Directory Integration Platform Service環境でのコンポーネント間の相互作用を、レガシー・アプリケーションに使用するプロビジョニング・エージェントの特別なケースも含めて示します。

図1-3 Oracle Directory Integration Platform Serviceの相互作用

画像の説明

Oracle Application Server Single Sign-On

Oracle Application Server Single Sign-On（OracleAS Single Sign-On）を使用すると、ユーザーは1回のみのログインで、WebベースのOracleコンポーネントにアクセスできます。

Oracleコンポーネントは、ログイン機能をOracleAS Single Sign-On Serverに委任します。初めてOracleコンポーネントにログインする場合は、そのコンポーネントによってOracleAS Single Sign-On Serverにログインがリダイレクトされます。OracleAS Single Sign-On Serverでは、Oracle Internet Directoryに格納されている資格証明に対して、ユーザーが入力した資格証明を検証することによってユーザーが認証されます。ユーザーを認証すると、残りのセッション中、使用を要求し認可されたすべてのコンポーネントに対するユーザー・アクセス権限をOracleAS Single Sign-On Serverによって付与されます。

関連資料
OracleAS Single Sign-Onの詳細は、『Oracle Application Server Single Sign-On管理者ガイド』を参照してください。