Oracle Identity Manager 管理およびユーザー・コンソール・ガイド リリース9.1.0 E05900-03 |
|
この章では、汎用テクノロジ・コネクタの概念と、汎用テクノロジ・コネクタを使用するためにOracle Identity Managerで提供される機能について説明します。
この章の内容は、次のとおりです。
Oracle Identity Managerの事前定義済コネクタは、Microsoft Active DirectoryおよびPeopleSoft Enterprise Applicationsなどの、一般的に使用されているターゲット・システムにあわせて設計されています。事前定義済コネクタはアダプタ・ファクトリ機能を使用して開発され、そのアーキテクチャは、ターゲット・システムがサポートしているAPI、またはターゲット・システムがユーザー・データを格納するデータ・リポジトリのタイプおよびスキーマのいずれかに基づきます。事前定義済コネクタは、アダプタ・ファクトリを使用して開発されるため、高度なワークフローおよびアダプタのカスタマイズ機能を備えています。ターゲット・システムでこれらのコネクタが使用できる場合は、統合の方法として事前定義済コネクタの使用をお薦めします。
対応する事前定義済コネクタがないターゲット・システムとOracle Identity Managerを統合する場合があります。その例として、次のようなシナリオについて考えます。
シナリオ1: Acme Inc.のすべての従業員は、バックアップ・サーバーにディスク領域を割り当てられています。従業員は、バックアップ・サーバー上の従業員アカウントを管理するようにシステム管理者にリクエストを送信します。システム管理者は、従業員からのリクエストを取得、確認および処理するWebベース・アプリケーションを開発しています。このアプリケーションのフロント・エンドは、CSV形式のデータを受け取って格納するWebサービスです。バックエンドに格納される従業員アカウント・データは、XMLファイルとして指定の場所にエクスポートできます。
シナリオ2: Ceeam Travels Inc.では、顧客が航空運賃の見積りのリクエストに使用できるカスタムのWebベース・アプリケーションを所有しています。Ceeam Travelsの従業員でもあるエージェントは、これらのリクエストに対し、同じアプリケーションを使用して応答します。顧客は、自己登録によりこのアプリケーション内にアカウントを作成します。ただし、Ceeam Travelsの従業員は、人事管理上の役職に基づいて自動的にプロビジョニングされたアカウントを持っている必要があります。アプリケーションのアカウント管理機能(作成、更新および削除など)は、Java APIを介して使用可能です。
シナリオ1とシナリオ2のどちらの場合も、カスタム・コネクタを作成して、ターゲット・システムとOracle Identity Managerをリンクする必要があります。カスタム・コネクタを作成する簡単な方法を模索しており、アダプタ・ファクトリのカスタマイズ機能は必要ないという場合には、コネクタの作成にOracle Identity Managerの汎用テクノロジ・コネクタ機能を使用できます。「汎用テクノロジ・コネクタの機能アーキテクチャ」で説明しているように、プロバイダは汎用テクノロジ・コネクタのビルディング・ブロックです。シナリオ1では、事前定義済の共有ドライブ・リコンシリエーション・トランスポート・プロバイダおよびCSVリコンシリエーション・フォーマット・プロバイダを使用することにより、フラット・ファイルとして格納されているデータをOracle Identity Managerに対してリコンサイルする汎用テクノロジ・コネクタを作成できます。シナリオ2では、カスタム・アプリケーションをOracle Identity Managerに統合する場合に使用できる事前定義済プロバイダはありません。この場合は、第21章に記載されている手順を使用して、ターゲット・アプリケーションで公開されているJava APIを呼び出すカスタム・プロバイダを作成します。
事前定義済コネクタと同様に、汎用テクノロジ・コネクタは、Oracle Identity Managerとターゲット・システムの間でリコンシリエーションおよびプロビジョニング操作を仲介する役割をはたします。機能面から見ると、汎用テクノロジ・コネクタは、リコンシリエーション・モジュールとプロビジョニング・モジュールに分けられます。汎用テクノロジ・コネクタを作成する際には、リコンシリエーション・モジュールとプロビジョニング・モジュールをともに組み込むか、どちらか一方のみ組み込むかを指定できます。
事前定義済コネクタは、同一のターゲットのコンテキストでリコンシリエーション機能とプロビジョニング機能を備えています。それに対して、汎用テクノロジ・コネクタのリコンシリエーション・モジュールおよびプロビジョニング・モジュールは、選択した再使用可能コンポーネントで構成されます。それぞれのコンポーネントでは、プロビジョニング時またはリコンシリエーション時に、特定の機能が実行されます。たとえば、フラット・ファイルから信頼できるソース・リコンシリエーションを実行するとともに、SPMLプロトコルを使用したSPML対応ターゲットへのターゲット・リソース・プロビジョニングを実行するコネクタを作成できます。
このマニュアルでは、汎用テクノロジ・コネクタを構成するコンポーネントをプロバイダと呼びます。
それぞれのプロバイダでは、データに対して、トランスポート、フォーマット変更、検証または変換のいずれかの機能が実行されます。つまり、プロバイダによって処理されるデータ項目は、新しい場所への移動、指定された基準を満たしているかどうかの検証、または構造や値の変更が実行されます。このマニュアルでは、レイヤー形式に配列されたデータ構造をデータセットと呼びます。プロビジョニング時およびリコンシリエーション時にはレイヤー間をデータが移動します。
汎用テクノロジ・コネクタを作成する場合、各データセットに含まれる必要があるフィールド(ユーザー・アイデンティティ・メタデータ)を指定できます。また、異なるデータセットのフィールド間にマッピングを定義することもできます。マッピングは、次のいずれかを目的としています。
このタイプのマッピングに基づいて、ターゲット・システムからフェッチされたデータの検証または変換が行われます。
図19-1は、汎用テクノロジ・コネクタの機能アーキテクチャを示しています。
次の各項では、汎用テクノロジ・コネクタを構成するプロバイダおよびデータセットについて説明します。
リコンシリエーション・モジュールは、次のプロバイダおよびデータセットで構成されています。
リコンシリエーション・トランスポート・プロバイダは、ターゲット・システムのリコンシリエーション・データがOracle Identity Managerへ伝播されます。このプロバイダがリコンシリエーション・データを伝播する方法は、プロバイダの実装によって異なります。たとえば、リコンシリエーション・トランスポート・プロバイダは、ファイルからのデータの読取り、Webサービスからのデータの受取り、またはデータベースへの問合せが可能です。
リコンシリエーション・フォーマット・プロバイダは、リコンシリエーション・トランスポート・プロバイダによりフェッチされたリコンシリエーション・データを解析して、このデータをOracle Identity Managerに格納できるデータ構造に変換します。
「ソース」データセットには、リコンシリエーション・フォーマット・プロバイダにより処理されたデータが保持されます。このデータセットは、子データセットを持つことが可能です。
検証プロバイダでは、「ソース」データセット内のデータが指定した基準を満たしているかどうかが確認され、その後データがOracle Identity Managerのリコンシリエーション・エンジンに渡されます。
リコンシリエーション・モジュールに組み込まれている変換プロバイダでは、検証プロバイダから受け取ったデータが変更され、その後データがリコンシリエーション・イベントを作成するためにOracle Identity Managerへ渡されます。
変換プロバイダ機能の例を、次に説明します。
ターゲット・システムの2つのフィールドに、次のように値が設定されているとします。
名: John
姓: Doe
変換プロバイダを使用すると、次のようなリコンシリエーション・フィールドを出力できます。
ログインID: John.Doe
「リコンシリエーション・ステージング」データセットには、検証プロバイダおよび変換プロバイダによって処理されたユーザー・データが保持されます。このデータセットは、子データセットを持つことが可能です。
プロビジョニング・モジュールは、次のプロバイダおよびデータセットで構成されています。
変換プロバイダを使用すると、次の段階でデータ項目を変更できます。
変換プロバイダ機能の例を、次に説明します。
ターゲット・システムの2つのフィールドに、次のように値が設定されているとします。
名: John
姓: Doe
変換プロバイダを使用すると、次のようなリコンシリエーション・フィールドを出力できます。
ログインID: john.doe
「プロビジョニング・ステージング」データセットには、プロビジョニング・フォーマット・プロバイダに送信される前のユーザー・データが保持されます。このデータは、Oracle Identity Managerに格納されているユーザー・データまたはアカウント・データに対して変換機能を実行した場合の出力です。このデータセットは、子データセットを持つことが可能です。
プロビジョニング・フォーマット・プロバイダでは、(変換プロバイダから受け取った)Oracle Identity Managerのプロビジョニング・データが、ターゲット・システムでサポートされているフォーマットに変換されます。
プロビジョニング・トランスポート・プロバイダでは、プロビジョニング・フォーマット・プロバイダからターゲット・システムへプロビジョニング・データが伝播されます。このプロバイダがリコンシリエーション・データを伝播する方法は、プロバイダの実装によって異なります。たとえば、プロバイダでは、ファイルへのデータのコピー、Webサービスへのデータの送信、またはデータベースへのデータのポストが可能です。
「OIM」データセットは、Oracle Identity Managerに格納されているデータを表します。これらのデータセットは、リコンシリエーション・モジュールまたはプロビジョニング・モジュールの一部ではありませんが、汎用テクノロジ・コネクタの一部とみなされます。これは、これらのデータセットにフィールドを追加して、そのフィールドとその他のデータセットとの間にマッピングを作成できるためです。「OIM」データセットには次のものがあります。
「OIM - ユーザー」データセットには、OIMユーザーを定義するメタデータ(アイデンティティ・フィールドのセット)が保持されます。信頼できるソース・リコンシリエーションの場合、このデータセットは、「リコンシリエーション・ステージング」データセットから、新規作成または変更されたユーザー・アカウント情報を受け取ります。ターゲット・リソース・リコンシリエーションの場合は、「OIM - ユーザー」データセットのフィールドを使用して、ターゲット・システムのユーザー・アカウントと既存のOIMユーザーを一致させることができます。このデータセットは、子データセットを持つことはできません。
「OIM - アカウント」データセットには、Oracle Identity Managerの「プロセス・フォーム」フイールドに格納されているユーザー・アカウント情報が保持されます。このユーザー・アカウント情報は、「リコンシリエーション・ステージング」データセットから受け取ります。「OIM - アカウント」データセットは、子データセットを持つことが可能です。
次の各項では、汎用テクノロジ・コネクタの機能について説明します。
次の機能は、リコンシリエーション・モジュールに固有のものです。
汎用テクノロジ・コネクタは、信頼できるソース・リコンシリエーションに使用できます。信頼できるモードでのリコンシリエーションでは、次が実行されます。
信頼できるソース・リコンシリエーションに使用する汎用テクノロジ・コネクタは、プロビジョニングには使用できません。このような設計機能が組み込まれているのは、信頼できるソースとして指定されたターゲット・システム上のユーザー・アカウント情報を、Oracle Identity Managerを介して作成または変更できないようにするためです。
ITリソースおよびリソース・オブジェクトなどのコネクタ・オブジェクトは、汎用テクノロジ・コネクタの作成プロセスの最後に自動的に作成されます。デフォルトでは、汎用テクノロジ・コネクタのリソース・オブジェクトは、信頼できるリソース・オブジェクトです。つまり、汎用テクノロジ・コネクタはあらかじめ、複数の信頼できるソースのリコンシリエーション機能と互換性があります。この機能は、『Oracle Identity Managerデザイン・コンソール・ガイド』の「複数の信頼できるソースのリコンシリエーション」で説明されています。
ユーザー・アカウント・ステータス情報は、ターゲット・システム・アカウントの所有者がそのアカウントへのアクセスおよび使用を許可されているかどうかをトラッキングする場合に使用されます。Oracle identity Managerに格納されている形式のアカウント・ステータス情報がターゲット・システムに格納されていない場合は、事前定義済の翻訳変換プロバイダを使用して、アカウント・ステータスのリコンシリエーションを実装できます。
汎用テクノロジ・コネクタを作成する際に、コネクタを完全リコンシリエーションまたは増分リコンシリエーションに使用するよう指定できます。
最後のリコンシリエーション実行後に変更されたレコードをリコンシリエーション・エンジンで識別する方法がターゲット・システムでサポートされている場合は、増分リコンシリエーションを選択します。たとえば、ターゲット・システムでユーザー・レコードの作成または変更にタイムスタンプが付けられている場合、リコンシリエーション・エンジンでは、最後のリコンシリエーション実行後に追加または変更されたレコードを識別できます。増分リコンシリエーションでは、最後のリコンシリエーション実行後に変更されたターゲット・システムのレコードのみがOracle Identity Managerでリコンサイル(格納)されます。
次のいずれかの条件に該当する場合は、完全リコンシリエーションを選択します。
完全リコンシリエーションでは、すべてのリコンシリエーション・レコードがターゲット・システムから抽出されます。ただし、最適化リコンシリエーション機能により、Oracle Identity Managerですでにリコンサイル済のレコードが識別されて無視されます。これは、リコンシリエーション・データで占有される領域を削減するために役立ちます。この機能がなければ、Oracle Identity Managerデータベースに格納されるデータ容量は、リコンシリエーションを実行するたびに急速に増加することになります。
リコンシリエーションのバッチ・サイズを指定できます。これにより、リコンシリエーション実行中にリコンシリエーション・エンジンがターゲット・システムからフェッチするレコードの総数をバッチに分割できます。この機能により、リコンシリエーション・プロセスをさらにきめ細かく制御できるようになります。
ターゲット・システムの複数値属性データの削除をOracle Identity Managerでリコンサイルするかどうかを指定します。
注意
汎用テクノロジ・コネクタでは、親データの削除のリコンシリエーションはサポートされていません。たとえば、ユーザー |
リコンシリエーションの実行中、ターゲット・システム・データをOracle Identity Managerに格納する前に、検証プロバイダでデータのチェックを実行できます。失敗しきい値を設定しておくと、検証チェックに通らなかったレコードの処理済レコードの総数に対する割合が指定のしきい値を超えた場合に、リコンシリエーションの実行を自動的に停止できます。
次の機能は、リコンシリエーション・モジュールまたはプロビジョニング・モジュールに固有のものではありません。
汎用テクノロジ・コネクタを作成する場合、リコンシリエーションおよびプロビジョニングの実行中に使用する必要があるアイデンティティ・フィールドおよびフィールド・マッピング(データ・フロー・パス)を指定できます。
Oracle Identity Managerに付属の事前定義済プロバイダが、動作環境のトランスポート、フォーマット変更、検証または変換についての要件に対応していない場合は、カスタム・プロバイダを作成できます。
汎用テクノロジ・コネクタは、ASCII形式のユーザー・データもASCII形式以外のアイデンティティ・データも処理できます。
汎用テクノロジ・コネクタの作成時は、次のような書式を指定できます。
汎用テクノロジ・コネクタの作成時、OIMユーザー属性に対する変更が自動的にターゲット・システムへ伝播されるように設定できます。
汎用テクノロジ・コネクタに関するその他の章および付録の概要を次に示します。
この章では、Oracle Identity Managerに付属の事前定義済プロバイダについて説明します。
この章では、カスタム・プロバイダの作成手順について説明します。
この章では、汎用テクノロジ・コネクタの作成手順について説明します。
この章では、汎用テクノロジ・コネクタの変更、エクスポートおよびインポートの手順について説明します。
この章では、汎用テクノロジ・コネクタの作成時および使用時に適用する必要があるベスト・プラクティスについて説明します。これらのガイドラインには、このマニュアル内の該当箇所で繰り返し言及されているものもあります。
この章では、汎用テクノロジ・コネクタを使用してリコンシリエーションおよびプロビジョニングの実行中に一般的に発生する問題の解決方法について説明します。
この章では、このリリースのOracle Identity Managerにおける汎用テクノロジ・コネクタ・フレームワークの制限事項について説明します。これらの制限事項の多くは、マニュアル内の他の該当箇所にも記載されています。
この章では、ターゲットOracle Identity Managerインストールへのプロビジョニング・リンクとして使用する汎用テクノロジ・コネクタの作成に固有の手順について説明します。
この章では、汎用テクノロジ・コネクタ・フレームワークにより自動的に作成されるコネクタ・オブジェクトについて説明します。
次のマニュアルには、コネクタの追加情報と、コネクタを使用するためにOracle Identity Managerで提供される機能について説明しています。
|
Copyright © 2007, 2008 Oracle Corporation. All Rights Reserved. |
|