この章では、汎用テクノロジ・コネクタの概念と、汎用テクノロジ・コネクタを使用するためにOracle Identity Managerで提供される機能について説明します。
この章の内容は次のとおりです。
アプリケーション固有のOracle Identity Managerコネクタは、Microsoft Active DirectoryやPeopleSoft User Managementなどのターゲット・システムに合せて設計されています。このようなコネクタのアーキテクチャは、ターゲット・システムがサポートしているAPI、またはターゲット・システムがIDデータを格納するデータ・リポジトリのタイプとスキーマに基づきます。つまり、コネクタとターゲット・システムが密接に統合されています。ターゲット・システム対応のアプリケーション固有コネクタがある場合は、統合の方法としてアプリケーション固有コネクタの使用をお薦めします。
使用するプロビジョニング・システムに対応するアプリケーション固有コネクタがないシナリオについて考えます。次に例を示します。
Acme Inc.のすべての従業員は、バックアップ・サーバーにディスク領域を割り当てられています。従業員は、バックアップ・システム上の従業員アカウントを管理するようにシステム管理者にリクエストを送信します。システム管理者は、従業員からのリクエストの取得、確認および処理を行うWebベース・アプリケーションを開発しています。このアプリケーションのフロント・エンドは、CSV形式のデータを受け取って格納するWebサービスです。バック・エンドに格納される従業員アカウント・データは、XMLファイルとして指定の場所にエクスポートすることができます。近頃、この会社ではOracle Identity Managerをインストールし、このWebベース・アプリケーションをターゲット・システムとして設定しようとしています。
アプリケーション固有コネクタの機能は、このようなシナリオに対応できません。
このようなシナリオでは、ターゲット・システムとOracle Identity Managerをリンクするためのカスタム・コネクタを作成できます。ターゲット・システムで使用されるデータ形式とデータ・トランスポート・メカニズムをOracle Identity Managerでサポートされる形式とメカニズムに変換できる場合は、Oracle Identity Managerを使用してカスタム・コネクタを作成できます。
Oracle Identity Managerを使用して作成されるカスタム・コネクタは汎用テクノロジ・コネクタと呼ばれます。ターゲット・システムがサポートするAPIや、ターゲット・システムがIDデータを格納するデータ・リポジトリ・タイプおよびスキーマに依存しないためです。
注意: 1つの汎用テクノロジ・コネクタは、同じ入出力データ形式とデータ・トランスポート・メカニズムを使用する複数のターゲット・システムとOracle Identity Managerとのリンクとして使用できます。 |
汎用テクノロジ・コネクタはコンポーネントのコレクションです。1つのコンポーネントが提供するサービスが、別のコンポーネント、ターゲット・システムまたはOracle Identity Managerによって使用されます。このようなコンポーネントを組み合せることで、様々なデータ形式やデータ・トランスポート・メカニズムをサポートできます。
このガイドでは、汎用テクノロジ・コネクタを構成するコンポーネントをプロバイダと呼びます。
次の図に、汎用テクノロジ・コネクタのプロバイダレベル・アーキテクチャを示します。
Oracle Identity Managerでは、次のタイプのプロバイダがサポートされます。
このプロバイダは、ターゲット・システムのリコンシリエーション・データをOracle Identity Managerに伝えます。リコンシリエーション・トランスポート・プロバイダがリコンシリエーション・データを伝える方法は、プロバイダの実装によって異なります。たとえば、プロバイダは、ファイルからのデータの読取り、Webサービスからのデータの受取りまたはデータベースの問合せを行うことができます。
このプロバイダは、ターゲット・システム・メッセージ(リコンシリエーション・トランスポート・プロバイダによってフェッチされたリコンシリエーション・データを含む)を解析して、Oracle Identity Managerに格納できるデータ構造に変換します。
このプロバイダは、リコンシリエーション・フォーマット・プロバイダから受け取ったデータを検証してから、Oracle Identity Managerのリコンシリエーション・エンジンに渡します。検証プロバイダがリコンシリエーション・データの検証に使用するルールを定義できます。
このプロバイダは、Oracle Identity Managerプロビジョニング・データをターゲット・システムでサポートされる形式に変換します。
このプロバイダは、プロビジョニング・フォーマット・プロバイダからプロビジョニング・データをターゲット・システムに伝えます。
データセットは、ターゲット・システムとOracle Identity Managerの間で伝達される特定の段階にあるデータを表します。データセットは、レイヤー形式のデータ構造として図式化できます。プロビジョニングとリコンシリエーションの際にはデータがレイヤーからレイヤーへ移動します。Oracle Identity Managerの機能を使用して、このようなデータセットを構成するフィールドを指定できます。
ターゲット・システムからリコンシリエーション・トランスポート・プロバイダによって抽出され、リコンシリエーション・フォーマット・プロバイダによって処理されたデータです。
検証プロバイダによって処理されたソース・データです。これから、リコンシリエーション・フィールドへの移入に使用され、リコンシリエーション・エンジンに渡されます。
Oracle Identity Managerのプロセス・フォーム・フィールドに格納されているユーザー・アカウント情報です。
OIMユーザー・アカウントを定義するメタデータ(IDデータ属性)です。このデータセットは子データセットを持つことができません。
ターゲット・システムで受け取れる構造に変換するためにプロビジョニング・フォーマット・プロバイダに送信されるデータです。
データセットを定義するときに、次の情報も定義できます。
このガイドでは、汎用テクノロジ・コネクタ・フレームワークという言葉はOracle Identity Managerのモジュールを指します。これを使用して、汎用テクノロジ・コネクタを作成および使用します。
次に、汎用テクノロジ・コネクタ・フレームワークで提供される機能の概要を示します。
データセットの定義と変更
ターゲット・システムとOracle Identity Managerの間で伝達される様々な段階でのデータの構造を表すデータセットを作成できます。親データセットと子データを定義できます。
注意: 子データセットには複数値のID属性が含まれます。子データセットの各レコードは、対応する親データセットの1つのレコードに一意に関連しています。たとえば、親データセットに、社内のユーザーの姓、電子メール・アドレス、従業員IDといった情報が含まれるとします。この親データセットは、ユーザーのグループ・メンバーシップの情報を含む子データセットを持つことができます。この子データセットの各レコードには、従業員ID、グループID、グループ名およびグループ・メンバーシップ有効期限が含まれます。 |
データセットを定義する際に、様々なデータセットを構成するフィールド間にマッピングを定義することもできます。
完全リコンシリエーションまたは増分リコンシリエーション
汎用テクノロジ・コネクタを作成する際に、コネクタを完全リコンシリエーションと増分リコンシリエーションのどちらで使用するかを指定できます。
増分リコンシリエーションでは、直前のリコンシリエーション実行後に変更されたターゲット・システム・レコードのみがOracle Identity Managerにリコンサイル(格納)されます。
完全リコンシリエーションでは、すべてのリコンシリエーション・レコードがターゲット・システムから抽出されます。ただし、最適化リコンシリエーション機能により、Oracle Identity Managerですでにリコンサイル済のレコードが識別されて無視されます。これは、リコンシリエーション・データで占有される領域を削減するために役立ちます。この機能がなければ、Oracle Identity Managerデータベースに格納されるデータ容量はリコンシリエーション実行のたびに急速に増加することになります。
バッチ・リコンシリエーション
リコンシリエーションのバッチ・サイズを指定できます。こうすることで、リコンシリエーション実行のたびにリコンシリエーション・エンジンがターゲット・システムからフェッチするレコードの総数をバッチに分割できます。この機能により、リコンシリエーション・プロセスをさらにきめ細かく制御できるようになります。
リコンシリエーション停止のための失敗のしきい値
リコンシリエーションの際に、ターゲット・システム・データをOracle Identity Managerに格納する前に、検証プロバイダでデータのチェックを実行することができます。この機能を使用すると、検証チェックに通らなかったレコードの処理済レコードの総数に対する割合が指定のしきい値を超えた場合に、リコンシリエーション実行を自動的に停止できます。
汎用テクノロジ・コネクタの管理
汎用テクノロジ・コネクタは、変更、エクスポートおよびインポートが可能です。
多言語のサポート
汎用テクノロジ・コネクタ・フレームワークは、非ASCIIデータを処理するように設計されています。
複数のターゲット・システムでの1つの汎用テクノロジ・コネクタの使用
同じデータ形式とデータ・トランスポート・メカニズムをサポートする複数のターゲット・システムに対しては、1つの汎用テクノロジ・コネクタを使用できます。
注意: このリリースの汎用テクノロジ・コネクタでは、信頼できるソース・リコンシリエーションはサポートされていません。 |
次に、このガイドのその他の章と付録の概要を示します。
この章では、汎用テクノロジ・コネクタの作成に関する概念と手順を説明します。
この章では、汎用テクノロジ・コネクタの変更、エクスポートおよびインポートに関する手順を説明します。
第4章「汎用テクノロジ・コネクタ・フレームワークの標準機能」
この章では、アプリケーション固有コネクタと汎用テクノロジ・コネクタに共通する機能を説明します。
この章では、リコンシリエーションとプロビジョニングのために汎用テクノロジ・コネクタを使用するときによく見られる問題の解決方法を示します。
この章では、このリリースのOracle Identity Managerの汎用テクノロジ・コネクタ・フレームワークの制限事項について説明します。ほとんどの制限事項は、このガイドの該当箇所でも説明しています。
付録A「Oracle Identity Managerに含まれる事前定義済プロバイダ」
この付録では、事前定義済プロバイダの情報を説明します。
付録B「汎用テクノロジ・コネクタ・フレームワークによって作成されるコネクタ・オブジェクト」
この付録では、汎用テクノロジ・コネクタ・フレームワークによって自動的に作成されるコネクタ・オブジェクトの情報を説明します。
付録C「データセット・フィールドの追加または変更時に適用される検証」
この付録では、データセットのフィールドを追加または変更したときに適用される検証を示します。
コネクタの関連ドキュメント
次に示すガイドでは、コネクタの追加情報や、コネクタを使用するためにOracle Identity Managerで提供される機能について説明しています。
『Oracle Identity Manager Connectorフレームワーク・ガイド』
Oracle Identity Managerコネクタの一般的な情報は、このガイドを参照してください。このガイドはOracle Identity Manager Connector Packドキュメント・ライブラリに含まれています。
『Oracle Identity Manager用語集』
これは、Oracle Identity Managerに関連する頻出用語の用語集です。このガイドはOracle Identity Managerドキュメント・ライブラリに含まれています。
『Oracle Identity Manager管理およびユーザー・コンソール・ガイド』
第2章以降で管理およびユーザー・コンソール機能の使用方法が説明されていない場合は、このガイドを参照してください。リコンシリエーションとプロビジョニングを実行する手順の情報も含まれています。このガイドはOracle Identity Managerドキュメント・ライブラリに含まれています。
『Oracle Identity Managerデザイン・コンソール・ガイド』
第2章で説明するDesign Consoleの手順の詳細は、このガイドを参照してください。このガイドはOracle Identity Managerドキュメント・ライブラリに含まれています。