| Oracle Identity Manager CA-Top Secret Advanced Connectorガイド リリース9.0.4 E05494-01 |
|
 戻る |
 次へ |
この付録では、次に示す項で、CA-Top Secret Advanced Connectorの機能を詳細に説明します。
CA-Top Secret Advanced Connectorのアーキテクチャは、Oracle Identity Manager LDAP Gatewayから始まります。LDAP GatewayはJava 1.4.2で作成されており、異なるプラットフォームおよびオペレーティング・システムへの移植や、Oracle Identity Managerシステムとの完全な統合が可能です。
LDAP GatewayはOracle Identity Managerと透過的に連携し、z/OS環境の機能と通信します。LDAP Gatewayは、Oracle Identity Managerとともに同じサーバーにインストールされます。また、Reconciliation Agentにより、LDAP GatewayサーバーはCA-Top SecretからのセキュリティおよびIDイベントへのサブスクライバとなることが可能です。
Oracle Identity Managerは、LDAP DNでメインフレーム認証リポジトリをマップします。LDAP DNを変更することで、異なる認証リポジトリおよび異なるメインフレーム・リソースに対応できます。
Provisioning Agentはメインフレーム・コンポーネントで、メインフレームのネイティブのプロビジョニング・コマンドをLDAP Gatewayから受信します。これらのリクエストは、解析されたレスポンスとともに認証リポジトリに対して処理され、LDAP Gatewayに戻されます。
Provisioning Agentには、LDAPバインドおよび認可リクエストが含まれます。従来のプロビジョニング機能に加え、Provisioning Agentは、CLISTファイルの作成や既存のメインフレーム・ユーザーのプロファイル・シナリオのレプリケート作業を含め、必要なTSOログオン機能を作成することもできます。Provisioning Agentは、Oracle Identity Managerによって設定されたエンタープライズ規則を使用して、データセット、グループおよびリソースに対する認可を拡張することも可能です。
メインフレーム・アーキテクチャの内部では複数のコネクタ・リソースの重要な通信が行われ、エンタープライズの最大負荷に対応するための内部メインフレーム・メモリー・サブプールがあり、1日当たり100万を超えるトランザクションをサポートしています。AES 128暗号化およびAPF認可リソースによって、Provisioning Agent全体が保護されています。
Provisioning AgentはIDおよび認可変更イベントを受信し、リクエストされた変更をCA-Top Secretのz/OSメインフレーム認証リポジトリに反映します。Provisioning Agentはメインフレームにインストールされるコンポーネントで、ネイティブのメインフレーム・リクエストをLDAP Gatewayから受信します。
Provisioning Agentの構造上の重要な特徴は、プロビジョニングの更新がLDAP Gatewayから認証リポジトリに行われることです。そのため、Provisioning Agentは少なくとも1つのz/OS LPARにインストールする必要があります。Oracle Identity Managerから送信されたプロビジョニング・コマンドは、認証リポジトリが処理するすべてのLPARの認証および認可を変更します。このフレームワーク内において、外部と同期していない複数のシステムには、2つ目のProvisioning Agentが必要です。
多くのプロビジョニング・コマンドはCA-Top Secretへ直接アクセスできるよう設計されていますが、一部のLDAPプロビジョニング・コマンドは複数のメインフレーム・コマンドで実行されます。たとえば、TSOアクセスにプロビジョニングするために、一部のシステムではCLISTプロファイルを変更する必要があります。コマンドのタイプは、どのメインフレーム・プロセスにアクセスするかによって異なります。
標準のOracle Identity Managementプロビジョニングの範囲内ではありませんが、Provisioning AgentはTSOコマンド、CICSコマンド、バッチ・ジョブおよびその他のメインフレーム・リソースに対するコントロールを拡張できます。
メインフレームでイベントが発生すると、カスタムでインストールされたテクノロジとは無関係に、そのイベントは適切なメインフレームのexitを使用して処理されます。Reconciliation Agentでexitテクノロジが使用されているため、z/OSメインフレーム・オペレーティング・システムにはフックはありません。
TSOログイン時にユーザーから発生するIDイベント、コマンド・プロンプトからの管理者による変更、またはバッチ・ジョブから発生するイベントは検出され、通知メッセージがリアルタイムで安全に送信されます。Reconciliation Agentは、ユーザー属性への変更(任意のALTUSERの変更)、ユーザー・アカウントへの変更(REVOKE、RESUME)およびグループやリソースのユーザー認証への特定の変更を取得します。メインフレームでユーザー・アカウントが作成または削除されると、Reconciliation AgentはOracle Identity Managerに通知し、対応するアカウントをOracle Identity Managerに作成します。
パスワードは特別なカテゴリに分類されます。ビジネス・ルールで許可されている場合、パスワードの変更はクリアテキストでリアルタイムにOracle Identity Managerに渡されます。テスト環境の場合は、即時に行われます。その他のビジネス・ルールでは、パスワードが変更されたという通知のみが渡されます。
メインフレーム・アーキテクチャの内部では複数のコネクタ・リソースの重要な通信が行われ、エンタープライズの最大負荷に対応するための内部メインフレーム・メモリー・サブプールがあります。Reconciliation Agentは、特に、メインフレームのバッチ・ジョブからの最大負荷を処理するよう設計されています。メッセージ・サブプールに1MBのメインフレーム・メモリーを割り当てることで、バッチ・ジョブで生成されるのと同じくらい迅速に50,000のIDイベント・メッセージを保存できます(約8分)。これらのメッセージは、LDAP Gatewayにスプールされます。LDAP Gatewayは、後続の処理(通常は次の1時間)のためにOracle Identity Managerにそのメッセージを提供します。AES 128暗号化およびAPF認可リソースによって、Reconciliation Agent全体が保護されています。
Reconciliation Agentは、Oracle Identity Manager LDAP Gatewayからz/OSメインフレームに通知イベントを送信します。このアーキテクチャはCA-Top Secretのものではありませんが、exitテクノロジを使用してオペレーティング・システム外のイベントをリアルタイムに取得します。
コマンドの実行は、ネイティブのメインフレーム・コマンドが完全に完了する直前に、exitを介して渡されます。このテクノロジの一般的な使用方法は、ユーザー・アカウントまたはパスワードを適切な長さにすること、または少なくとも文字および数値が1つずつ含まれるよう要求することです。exitが失敗すると、コマンドも失敗してエラー・メッセージが戻されます。exitでIDまたは認証イベントを取得することで、コマンドを完了して認証リポジトリに結果を格納する直前に、Reconciliation Agentはオペレーティング・システム外のこれらのイベントを取得します。
Provisioning Agentと同様に、LPARに基づいた構造上の依存性があります。ユーザー・アカウントが作成された場合、何かに対して認可された場合、またはメインフレームで使用されている場合には、LPARでこれが実行されます。すべての処理がLPAR内で行われ、Reconciliation AgentはLPARのexitからイベントを検出するため、Reconciliation Agentは各LPARにインストールする必要があります。これはスケジュール済イベントで、LPARのexitはIPLの後にのみ認識されるため、通常はメンテナンス・スケジュールで処理されます。
メッセージ・トランスポート・レイヤーは、LDAP GatewayおよびProvisioning AgentとReconciliation Agent間でメッセージが交換されるプロセスです。
IBM MQ Series
一部のIBM製品では、IBM MQ Seriesメッセージ・システムが主要なデジタル通信システムとして使用されています。MQ Seriesは、内部暗号化、リソースの保護および保証付きメッセージ配信を使用する、安全で信頼できるメッセージ・トランスポート・レイヤーです。LDAP Gatewayでは、このメッセージ・プロトコルがサポートされています。
TCP/IP
LDAP Gatewayでは、TCP/IPもProvisioning AgentとReconciliation Agentに対するメッセージ・トランスポート・レイヤーとして使用されています。このプロトコルは、128ビット暗号化キーを使用した内部的なAdvanced Encryption Standard(AES)暗号化で階層化されています。この暗号化プロトコルは、LDAP GatewayおよびProvisioning Agent/Reconciliation Agentの内部にあり、プラットフォーム固有のプログラムまたはライブラリには依存しません。
LDAP Gateway、Provisioning AgentおよびReconciliation Agentのいずれも、単一の認証リポジトリへの双方向の同期を調整します。内部的に、LDAP Gatewayには指定されたメッセージに対してランダムに選択された20個のAES暗号化キーがあり、その内10個はProvisioning Agentとの間の双方向のメッセージ専用で、残りの10個はReconciliation Agent用に使用されます。
LDAPコネクタおよびProvisioning Agent間のメッセージの存続期間は非常に短時間です。Oracle Identity Managerに対して発生するプロビジョニング・プロセスでは、成功または失敗するLDAPメッセージを迅速に予測します。一般的なロギングおよび監査プロトコルが存在し、通常それらはすべて必要です。
Reconciliation Agentから生成されるメッセージには、MQ Seriesで提供されるのと同レベルのセキュリティおよび保証付き配信が必要です。このコンテキストにおいて、Reconciliation Agentは次の内容を実現するために開発されました。
Reconciliation AgentとLDAP Gatewayの間にTCP/IP接続が確立されなかった場合、メッセージの処理前に、50,000までのメッセージが安全なメインフレーム・メモリー・サブプールに保持されます。
メッセージ生成処理の間、Reconciliation Agentにより、各メッセージにタイムスタンプと連続したシリアル番号が付加されます。メッセージのアーカイブは、シリアル番号および日時スタンプ付きで、APF認可のVSIMファイルに暗号化形式で保存されます。
送信されると、メッセージは暗号化形式でLDAPコネクタに内部的に記録されます。
全般的に見ると、TCP/IPメッセージ・トランスポート・レイヤー全体は、IBM MQ Seriesのパフォーマンスおよびセキュリティ・レベルに匹敵しています。Oracle Identity Manager TCP/IPメッセージ・トランスポート・レイヤーは、無料で同梱されています。
