Oracle Identity Managerでは、アクセス権の管理、セキュリティおよびITリソースのプロビジョニングが自動化されています。この章では、Oracle Identity Managerの概要を説明します。
この章の内容は次のとおりです。
Oracle Identity Managerは、n層J2EEアプリケーション・アーキテクチャに基づいています。図1-1に、Oracle Identity Managerのアーキテクチャを示します。
この項では、Oracle Identity Managerアーキテクチャの次の層について説明します。
プレゼンテーション・レイヤーは、Oracle Identity Manager管理およびユーザー・コンソールとOracle Identity Manager Design Consoleの2つのクライアントで構成されます。管理およびユーザー・コンソールは、Webベースのシン・クライアントで、任意のWebブラウザからアクセスできます。このコンソールは、ほとんどのプロビジョニング要件を満たすユーザー・セルフサービス機能および委任管理機能を提供します。
Design Consoleは、フォーム・デザイナ、ワークフロー・デザイナ、アダプタ・ファクトリなどのOracle Identity Managerの一連のシステム構成および開発機能を提供します。Design Consoleには、デスクトップJavaクライアントを使用してアクセスできます。
管理およびユーザー・コンソールとDesign Consoleはいずれも非常に動的であるため、動的プレゼンテーション・ロジック・レイヤーが、これらのインタフェースに表示される内容を管理します。管理およびユーザー・コンソールの場合、プレゼンテーション・レイヤーとプレゼンテーション・ロジック・レイヤーは明確に区別されます。Design Consoleでは、このような区別はありません。
ビジネス・ロジック・レイヤーは、EJBアプリケーションとして実装されます。Oracle Identity Managerは、主要なJ2EE準拠のアプリケーション・サーバー・プラットフォームで稼働し、これらのアプリケーション・サーバーによって提供されるJ2EEサービスを利用して高パフォーマンスでフォルト・トレラントなエンタープライズ・アプリケーションを提供します。
ビジネス・ロジック・レイヤーの構成要素は次のとおりです。
Oracle Identity Managerが稼働するアプリケーション・サーバーでは、Oracle Identity Managerを構成する論理コンポーネントに対してライフサイクル管理、セキュリティ、デプロイおよび実行時のサービスが提供されます。これには次のサービスが含まれます。
リソースのスケーラブルな管理(クラスタリング、フェイルオーバー)
トランザクション管理
セキュリティ管理
クライアント・アクセス
テクノロジ・リソース(データベース接続プーリング、メッセージ機能など)
Oracle Identity Managerプラットフォームのコア機能は、高度なモジュール形式のオブジェクト指向の手法を使用してJavaで実装されます。これには、Oracle Identity Managerプラットフォームを構成する様々なエンジン(ワークフロー・エンジン、リクエスト・エンジン、ユーザー管理エンジン、ルール・エンジン、リコンシリエーション・エンジン)が含まれます。また、アダプタのメタデータ定義に基づいて統合コードを動的に生成するアダプタ・ファクトリに基づいた統合レイヤーも含まれます。
プラットフォームの機能には、一連のEJB Beanを介してアクセスします。これらのセッションBeanは、次の2種類に分類されます。
非公開のAPI: Design Consoleのみが使用する機能を公開するセッションBeanです。
公開されたパブリックAPI: Oracle Identity Managerのパブリック機能を公開するセッションBeanです。
APIレイヤーは、Oracle Identity Managerの高レベルの機能へのアクセスを可能にします。このレイヤーは、Oracle Identity Manager管理およびユーザー・コンソールに実装される機能の基礎です。また、カスタム・クライアントがOracle Identity Managerの機能にアクセスするために使用できるインタフェースでもあります。
J2EEには、JDBC、JTA、JTSに基づいたトランザクション・リソース(データベースなど)を操作および対話するための複数のテクノロジが含まれています。Oracle Identity Managerアーキテクチャでは、次のJ2EEサービスを利用します。
データベース接続プーリング
JNDIとの統合(JNDIネームスペースでのデータソースの検索)
XA準拠
バッチ更新
システム管理者は、企業内のすべての標準J2EEアプリケーションを管理するのと同じ方法でデータソースを管理できます。Oracle Identity Managerでは、これらのデータソースを使用してデータベース層と通信できます。
バックエンド・システム統合レイヤーは、次のように分けることができます。
データベース層は、Oracle Identity Managerリポジトリで構成されています。このリポジトリは、ANSI SQL 92準拠のリレーショナル・データベースでOracle Identity Managerメタデータを管理および格納します。すべてのデータは、Oracle Identity Managerリポジトリに存在します。
Remote Managerは、ターゲット・システムのコンピュータで稼働するOracle Identity Managerサーバーのコンポーネントです。ネットワーク対応のAPIを持たないアプリケーションまたはセキュリティを提供しないアプリケーションとの統合に必要なネットワークおよびセキュリティ・レイヤーを提供します。これは、軽量RMIサーバーとして構築されます。通信プロトコルは、HTTP/SをトンネリングするRMIです。
J2EE RMIフレームワークにより、事実上透過的な分散サービスおよびアプリケーションが作成できるようになります。RMIベースのアプリケーションは、場所に関係なく、相互にメソッド・コールを実行するJavaオブジェクトで構成されます。これにより、Javaオブジェクトは、同じ仮想コンピュータにあるJavaオブジェクトでメソッドをコールするのと同じ方法で、別の仮想コンピュータにある別のJavaオブジェクトでメソッドをコールできます。
この項では、Oracle Identity Managerの次のデプロイ構成について説明します。
Oracle Identity Managerを使用すると、ターゲット・システムでアカウントを作成、メンテナンスおよび削除できます。Oracle Identity Managerは、これらのシステムですべてのアカウントを管理するためのフロントエンド・エントリ・ポイントになります。アカウントがプロビジョニングされると、アカウントがプロビジョニングされたユーザーは、Oracle Identity Managerと統合しなくてもターゲット・システムにアクセスできます。これが、Oracle Identity Managerのプロビジョニング構成です。
プロビジョニングの目的は、ターゲット・システムでのユーザー・アカウントの作成およびメンテナンスを自動化することです。プロビジョニングは、そのプロビジョニングのライフサイクルの構成要素となりうるワークフローの承認および監査の要件に対応するためにも使用されます。
図1-2に、プロビジョニング構成を示します。
プロビジョニング・イベントは、リクエストを介してまたは直接プロビジョニングを起動します。
リクエストは、管理者、特定の場合にはターゲット・ユーザー自身によって手動で作成できます。一部のイベントに対するリクエストは、Oracle Identity Managerにより自動的に作成されます。たとえば、Oracle Identity Managerによりアクセス・ポリシーの要件が強制されると、リクエストが自動的に作成されます。また、Oracle Identity Managerを使用して、リクエストベースのプロビジョニング・サイクルの一環として実行できる承認プロセスを作成することもできます。
直接プロビジョニングは、特殊な管理者専用機能です。この機能により、ワークフロー・プロセスや承認プロセスを待たなくても、ターゲット・アプリケーションで特定のユーザーのアカウントを作成できます。
Oracle Identity Managerは、ユーザー・アカウントおよび権限を管理し、リソースへのユーザー・アクセスを制御する集中管理メカニズムです。しかし、Oracle Identity Managerをユーザー・アカウントのプライマリ・リポジトリまたはフロントエンド・エントリ・ポイントとして使用しないことも選択できます。かわりに、そのシステムに存在するすべてのアカウントの最新プロファイルをメンテナンスするために、Oracle Identity Managerを使用してシステム・アプリケーションを定期的にポーリングできます。これが、Oracle Identity Managerのリコンシリエーション構成です。
図1-3に、リコンシリエーション構成を示します。
この構成では、Oracle Identity Managerは、ターゲット・システムで実行されるすべてのアカウント管理アクションに対してアーカイブとしてのみ使用されます。ユーザー・アカウントは、ローカル・リソース固有の管理者によって作成、削除およびメンテナンスされることを前提とします。
リコンシリエーションでは、Oracle Identity Managerのユーザー検出機能とアカウント検出機能が使用されます。
ユーザー検出: プライマリ・データベースでのユーザー・アカウントの存在を認識するプロセスです。プライマリ・データベースは、ユーザー・アカウントのマスター・リストが含まれるとみなされるリポジトリです。ユーザー検出およびリコンシリエーションのコンテキスト内では、プライマリ・データベースも信頼できるソースまたは認証ソースとして参照されます。信頼できるソースは、各Oracle Identity Manager環境に対して複数存在する場合があります。
アカウント検出: リソースでのユーザー関連情報に対する変更を認識するプロセスです。変更された情報がユーザーの主要なレコードに影響する場合、通常、それは信頼できるソースに関連する変更です。変更された情報がリソースへのユーザーのアクセスに関連する場合、通常、それはターゲット・リソースに関連する変更です。
リコンシリエーションには、次のように様々な形態があります。
Oracle Identity Managerを使用すると、1回かぎりのリコンシリエーションをレガシー・ターゲット・システムで実行できます。この形態のリコンシリエーションの目的は、そのシステムのすべてのアカウントをOracle Identity Managerにインポートすることです。1回かぎりのリコンシリエーションを実行すると、Oracle Identity Managerを使用してユーザーのアカウントをプロビジョニングできます。
図1-4に、ターゲット・リソースのリコンシリエーションに含まれる手順を示します。
図1-5に、信頼できるソースのリコンシリエーションに含まれる手順を示します。
図1-6に、Oracle Identity Managerを使用してプロビジョニングとリコンシリエーションの両方のタスクを実行する、プロビジョニングおよびリコンシリエーション構成を示します。この構成では、ターゲット・システムのアカウントは、ローカルの管理者とOracle Identity Managerの両方によって作成およびメンテナンスできることを前提とします。
図1-6 Oracle Identity Managerのプロビジョニングおよびリコンシリエーション構成
この構成を実現するには、プロビジョニングとリコンシリエーションの両方の設定に関連する手順をすべて実行する必要があります。
Oracle Identity Managerには次のような特徴があります。
スケーラブルなアーキテクチャ
Oracle Identity Managerはオープン規格ベースのテクノロジに基づいています。Oracle Identity ManagerのJ2EEアプリケーション・サーバー・モデルでは、スケーラビリティ、フェイルオーバー、ロード・バランシング、組込みWebデプロイ機能を提供します。
包括的なユーザー管理
Oracle Identity Managerでは、継承、カスタマイズ可能なユーザーIDポリシー管理、パスワード・ポリシー管理およびユーザー・アクセス・ポリシーによって、制限のないユーザー組織階層およびユーザー・グループをサポートできます。また、包括的な権限設定による委任管理機能を提供します。Oracle Identity Managerを使用すると、リソース割当て履歴の保持やアプリケーション・パラメータおよび権限の管理が可能です。
Webベースのユーザー・セルフサービス
Oracle Identity Managerには、カスタマイズ可能なWebベースのユーザー・セルフサービス・ポータルがあります。このポータルは、ユーザー情報の管理、パスワードの変更および同期化、パスワードのリセット、アプリケーションへのアクセスのリクエスト、権限の確認および編集、ワークフロー・タスクでの作業に使用できます。
柔軟なプロセス・エンジン
Oracle Identity Managerを使用すると、ビジネス・プロセス・モデルおよびプロビジョニング・プロセス・モデルをアプリケーション(Microsoft Project、Microsoft Visioなど)で作成できます。プロセス・モデルには、承認ワークフローおよびエスカレーションのサポートが含まれます。ワークフロー内の各プロビジョニング・イベントの進捗を追跡できます。
Oracle Identity Managerでは、複雑な分岐、自己回復プロセス、データの交換および依存関係を持つネストされたプロセスをサポートします。プロセス・フローは、コード変更をしなくてもカスタマイズできます。
監査証跡の課金のための包括的なレポート機能
Oracle Identity Managerには、すべてのプロセスについて詳細な状態情報をリアルタイムで示すステータス・レポートが用意されています。さらに、OLAP機能も提供します。
コネクタ管理のための自動化ツール
Oracle Identity Managerには、コネクタを生成するための自動化ツールがあります。このツールは、アダプタ・ファクトリとして知られていますが、様々なインタフェース、アプリケーションおよびデバイスをサポートします。アダプタ・ファクトリによって生成されたアダプタは、Oracle Identity Managerサーバーで稼働し、ターゲット・システムでエージェントをインストールしたり更新する必要はありません。アダプタ・ファクトリを使用すると、コネクタ開発のプロセスを迅速化し、既存のコネクタの更新タスクを単純化することができます。
ターゲット・システムにネットワーク対応のインタフェースがない場合は、Oracle Identity Manager Remote Managerを使用してSSLで保護されたネットワーク通信チャネルおよびインタフェースを、Oracle Identity Managerサーバーで稼働していないローカルのAPIに提供できます。Remote Managerを使用することで、ネットワーク対応でないAPIを持つターゲット・システムに対して機能を実行できます。
組込み変更管理
Oracle Identity Managerにより、新規プロセスのパッケージ化、既存プロセスのインポートおよびエクスポート、システム間のパッケージの移動が可能になります。