| Oracle Access Manager概要 10g(10.1.4.2.0) E05804-01 |
|
 戻る |
 次へ |
ID管理は、デジタルID、グループ、および組織が組織全体でどのように作成、保守、および利用されるのかを管理します。Oracle Access Managerのアイデンティティ・システムは、アクセス権限に動的に影響を与える、ユーザー、ロール、グループ、および組織の情報を変更するための簡単で制御可能な手段を提供する、あらゆるID管理アプリケーションと機能を適用します。このロールと関係は、ユーザーがアクセスできるオンライン・システムとアプリケーションを決定するポリシーによって使用されます。
この章では、次のことについて詳しく説明します。
表2-1は、アイデンティティ・システムの管理機能の一覧です。表の後に説明があります。
表2-1 アイデンティティ・システムの機能と利点
| 機能 |
|---|
|
表2-1の項目について、次に詳しく説明します。
集中的なユーザー、グループおよび組織(オブジェクト)の管理: 異なる人およびグループに対して異なるアクセス・ポリシーを提供し、資産やマップなどの組織エンティティを管理できるようにします。Oracle Access Managerアクセス・システムは、Oracle Access Managerアイデンティティ・システムの情報を利用し、ユーザーの属性、グループのメンバーシップ、または組織エンティティとの関連に基づいて、アクセス権限を管理できます。
ロール・ベースの動的なID管理: ユーザーのIDベースのアクセス権限によって導かれるセキュリティを提供します。たとえば、あるロールはすべてのユーザー、すべてのマネージャ、または直属の部下のみを含む、といった指定が可能です。
カスタマイズ可能なマルチステップのIDワークフロー・エンジン: IDデータに関連するビジネス・プロセス、ポリシー、および承認をマップし、自動化することができます。たとえば、ワークフローを使用してアイデンティティ・システムのビジネス・プロセスをモデル化し、次のことを行うことができます。
ユーザー、グループおよび組織を作成、削除、変更します。
ユーザーおよび組織の自己登録を実装します。
グループに登録したり、グループから登録解除したりします。
ID管理のマルチレベルの委任: ID管理アクティビティを委任することで、数百万のユーザーまで拡大できます。管理者は、自分が付与されている権限の全部または一部を委任することができ、権限を他のユーザーに渡すことを許可するかどうかを選択できます。委任されるタスクは、権限、ターゲット、およびツリー・パスに固有です。
セルフサービス: パスワードの変更などの組織機能に対する安全なセルフサービス・モデルを実装できます。セルフサービス権限を持つユーザーは、ワークフローを使用しないで自分の情報を管理できます。
自己登録: 自己登録ワークフローを開始して処理することで、システムに対する制限付きのアクセスを提供します。
たとえば、ユーザーが自己登録を行うときは、登録要求が承認のために適切なユーザーに転送されるよう、自己登録ワークフローを設定できます。承認されると、ユーザーは、ID属性に基づいて、すべての適切なリソースへのアクセスを即時かつ自動的に許可されます。
データ管理レイヤー: 複数のLDAP環境、RDBMSデータベース、および分割ディレクトリ・プロファイルをサポートします。この機能はData Anywhereとも呼ばれ、Oracle Virtual Directoryで利用できます。Data Anywhereは、RDBMSおよびLDAPディレクトリからのデータを集約および統合して、仮想LDAPツリーに格納します。このツリーは、Oracle Access Managerアイデンティティ・システムによって管理でき、Oracle Access Managerアクセス・システムでの認証と認可をサポートするために使用できます。詳細は『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
パスワード管理サービス: 複数のパスワード・ポリシー、パスワードの作成に対する制約、構成可能なパスワードの有効期間と通知、パスワード変更の強制、ロスト・パスワード管理の設定、およびパスワードの作成/変更ルールを指定できます。
ユーザー・インタフェースのカスタマイズ: Oracle Access Managerアプリケーションと制御操作の外観を変更し、CGIファイルまたはJavaScriptをOracle Access Managerの画面に接続するために使用できる複数の方法を提供します。詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。
ID統合のための広範なAPI: ブラウザを使用しないでOracle Access Managerにアクセスして対話し、Oracle Access Manager内のイベントでトリガーされる機能と実行可能ファイルを実装できます。詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。
特に指示がないかぎり、これらの機能とその構成方法に関する詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。簡単なインストールを示した図については、次の「アイデンティティ・システムのコンポーネント、アプリケーションおよび機能」を参照してください。
Oracle Access Managerアイデンティティ・システムは、企業全体でユーザーのIDおよびポリシー情報を利用するために必要なインフラストラクチャを、他のアプリケーションやシステムに対して提供します。これにより、ユーザーIDリポジトリをアプリケーションごとに個別に作成して管理する必要がなくなります。
図2-1は、簡単な環境での基本的なアイデンティティ・システムのコンポーネント、およびOracle IDプロトコル(以前のNetPointまたはCOREid IDプロトコル)を介したコンポーネント間のトランスポート・セキュリティを示したものです。エンド・ユーザーと管理者は、ファイアウォールによってコンポーネントから分離されています。WebPassがインストールされたWebサーバーは、DMZ内にあります。アイデンティティ・サーバーとディレクトリ・サーバーは、第2のファイアウォールの背後にあります。
Oracle Identityプロトコルは、アイデンティティ・サーバーと関連するWebPassの間の通信を容易にします。Oracle Access Manager Webクライアント(WebPassとアイデンティティ・サーバー)間のトランスポート・セキュリティは、オープン、シンプル(Oracle提供)、または証明書(サード・パーティのCA)として指定できます。シンプル・モードと証明書モードでは、Oracle Access ManagerのコンポーネントはX.509デジタル証明書のみを使用します。アイデンティティ・サーバーとディレクトリ・サーバーの間のトランスポート・セキュリティには、オープンまたはSSLを使用できます。
アイデンティティ・システムのインストールと設定の間に、LDAPディレクトリ・サーバーは、システム全体に対するオブジェクト・クラスと属性のOracle Access Managerスキーマを含むように更新されます。Oracle Access Managerを使用すると、様々なタイプのデータを、同じディレクトリ・サーバー・タイプまたは異なるディレクトリ・サーバー・タイプに格納できます。次のデータ・タイプが含まれます。
構成データ: ディレクトリに格納されてアイデンティティ・システムによって管理されるOracle Access Managerの構成の詳細。
ポリシー・データ: ポリシー・マネージャで定義されているアクセス・ポリシー定義が、ディレクトリ・サーバーに格納されます。
詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
また、アイデンティティ・システムのインストールと設定の間には、Master Oracle Access Manager管理者(マスター管理者)が割り当てられます。マスター管理者は、デプロイを構成し、管理タスクを割り当てる権限を持つスーパー・ユーザーです。システム・コンソールを使用して、マスター管理者は追加のマスター管理者およびマスター・アイデンティティ管理者とマスター・アクセス管理者を作成できます。たとえば、マスター・アイデンティティ管理者は、権限を他の管理者に委任することができ、それによって何百万人ものユーザーを管理できるようになります。
ID情報の管理に加えて、アイデンティティ・システムを使用すると、特定のユーザー属性、グループ内のメンバーシップ、または組織との関連に基づいて、ユーザーに対するアクセス権限を管理できます。管理者は、複数の権限を結び付けて1つのワークフローにし、たとえば、ユーザーが自己登録を行うときは、登録要求が承認のために適切なユーザーに転送されるようにすることができます。
アイデンティティ・システムはすべてのOracle Access Managerのインストールで必要であり、次のもので構成されます。
Oracle Access Managerのインストール環境には、少なくとも1つのアイデンティティ・サーバーが必要です。アイデンティティ・サーバーは、ユーザー、グループ、組織、およびその他のオブジェクトに関するID情報を管理するために使用します。1つのインストール環境には、1つまたは複数のアイデンティティ・サーバー・インスタンスが存在できます。アイデンティティ・サーバーは、3つの主要な機能を実行します。
ネットワーク接続を通して、LDAPディレクトリ・サーバーからの読取りや、そこへの書込みを行います。
ユーザー情報をディレクトリ・サーバーに格納し、ディレクトリを最新の状態に保ちます。
ユーザー、グループ、および組織のID情報に関するすべての要求を処理します。
「WebPass」で解説されているように、アイデンティティ・サーバーの各インスタンスは、WebPassプラグインを通してWebサーバーと通信します。
アイデンティティ・サーバーは次のIDアプリケーションを提供しており、これらにはWebベースのインタフェースを通してアクセスします。すべてのアプリケーションにレポート機能があります。
User Manager: 個別のネットワーク・ユーザーに関連するすべてのID情報の完全な管理を可能にします。
User Managerを使用することで、管理者はユーザーIDを追加、変更、非アクティブ化、および削除することができます。さらに、ディレクトリ・プロファイル(および代替権限)に基づいてユーザーにアクセス権限を提供したり、要求を表示および監視したりすることもできます。
通常、エンド・ユーザーは、他のユーザーを表示したり、自分のID情報を変更したりできます。表示できるユーザーおよび変更できるID情報は、マスター管理者が付与する権限によって決まります。
Group Manager: 許可されたユーザーは、静的グループ、動的グループ、またはネストされたグループを作成、管理、削除したり、グループの管理を委任したりできます。
管理者は、グループを作成または削除したり、ユーザーによるグループのサブスクライブまたはサブスクライブ解除を可能にしたりできます。
エンド・ユーザーは、グループを表示し、グループのメンバーシップにサブスクライブすることができます。表示できるグループおよびサブスクリプションの権限は、マスター管理者が許可します。
Organization Manager: 組織全体で行われている変更を管理するためのシステム・ルール、アクセス権限、およびワークフローを管理できます。
管理者は、User ManagerまたはGroup Managerに属していない組織や他のオブジェクト(間取図や資産など)を作成および削除できます。
エンド・ユーザーは、組織エンティティを表示できます。表示できる組織エンティティは、マスター管理者が付与する権限によって決まります。
アイデンティティ・システム・コンソール: 管理者を作成し、管理タスクを委任するための権限を割り当てるために使用される、Webベースの管理および構成を提供します。特定のID管理機能にアクセスするには、アイデンティティ・システム・コンソールの次のタブを使用してください。
パスワード・ポリシー: Oracle Access Managerアイデンティティ・システムの場合。
ロスト・パスワード・ポリシー: Oracle Access Managerの場合。
ディレクトリ・プロファイル: それぞれがDITの異なる部分に対する情報を含む個別のディレクトリ・サーバー・プロファイルを構成できます(ディレクトリ・サーバーのパーティション化の場合)。
アイデンティティ・サーバー: 監査やロギングの詳細など、アイデンティティ・サーバーの構成を表示、追加、削除、および変更できます。
WebPass: WebPassの構成を表示、追加、削除、および変更できます。
サーバー設定: セッション・タイムアウト、電子メールの宛先、メール・サーバーの設定、URL接頭辞キャッシュ、マルチ言語の設定など、アイデンティティ・サーバーの様々な構成パラメータを表示および変更できます。
診断: アイデンティティ・サーバーの状態およびディレクトリ・サーバーに対する接続の状態を確認するための診断を実行するアイデンティティ・サーバーを選択します。
写真: gensiteorgpersonオブジェクト・クラスの属性にPhotoセマンティク型を割り当てた後、User Managerのユーザー・プロファイルに対するカスタム写真イメージをインポートできます。
「ユーザー・マネージャ構成」タブ: タブ、レポート、監査ポリシーなど、Oracle Access Managerのユーザー・マネージャの外観と動作を管理およびカスタマイズできます。
「グループ・マネージャ構成」タブ: Oracle Access Managerのグループ・マネージャの外観と動作を管理およびカスタマイズでき、次の機能を提供します。
タブ
レポート
グループ・タイプ
Group Managerオプション
監査ポリシー
グループ・キャッシュ
「組織マネージャ構成」タブ: タブ、レポート、監査ポリシーなど、組織マネージャの外観と動作を管理およびカスタマイズできます。
「共通構成」タブ: オブジェクト・クラス、ワークフロー・パネル、マスター監査ポリシー、グローバル監査ポリシーなど、IDアプリケーションに共通する機能を構成できます。
「システム管理」タブ: 10g(10.1.4.0.1)では削除されました。以前のリリースでは、「診断」機能がこのタブで提供されていましたが、現在では「システム構成」タブに含まれています。
アイデンティティ・システム・コンソールにアクセスするには、ブラウザで次のURLを入力します。hostnameはWebPassのWebサーバーをホストするコンピュータ、portはWebPassのWebサーバー・インスタンスのHTTPポート番号です。/identity/oblixは、アイデンティティ・システムの先頭ページに接続します。
http://hostname:port/identity/oblix
WebPassは、Webサーバーとアイデンティティ・サーバーの間で情報を両方向に受け渡しするOracle Access ManagerのWebサーバー・プラグインです。構成に応じて、アイデンティティ・サーバーは要求をXMLファイルまたはHTMLファイルで処理します。
WebPassは、複数のアイデンティティ・サーバーと通信できます。アイデンティティ・サーバーと通信する各Webサーバー・インスタンスには、WebPassを構成する必要があります。Oracle Access Managerのインストールでは、次のようにする必要があります。
少なくとも1つのWebPassがWebサーバーにインストールされていて、少なくとも1つのアイデンティティ・サーバーと通信するように構成されている必要があります。
Oracle Access Managerポリシー・マネージャをホストするコンピュータごとにWebPassが必要です。
アイデンティティ・サーバーとWebPassをインストールした後、アイデンティティ・システムの初期設定を行って、アイデンティティ・サーバーとWebPassが通信できるようにする必要があります。
WebPassは、ユーザー要求を受け取って、URLをメッセージの書式にマップします。
WebPassは、要求をアイデンティティ・サーバーに転送します。
WebPassは、アイデンティティ・サーバーから情報を受け取って、それをユーザーのブラウザに戻します。
アイデンティティ・システムのカスタマイズに利用できる様々なコンポーネントとメソッドが提供されています。次を参照してください。
アイデンティティ・イベント・プラグインAPIは、アイデンティティ・サーバーとともにインストールされる標準コンポーネントです。Oracle Access Manager Software Developer Kit(Access Manager SDKとも呼ばれます)のサブセットです。IDイベント・プラグインAPIを使用すると、カスタム・ビジネス・ロジックを実行するための独自の小さいアプリケーション(アクションと呼ばれます)を作成し、外部システムと統合することで、アイデンティティ・システムの機能を拡張できます。アクションは、アイデンティティ・システムによって特定のデータを利用できるようにされた後、データを変更したり、イベントの結果に影響を与えたりすることが許可されます。
たとえば、ユーザー作成用のワークフローを定義するときは、人事管理システムを呼び出し、そのシステムでユーザーのアカウントを作成する場合があります。その後、新しいユーザーIDをアイデンティティ・システムに返すことができます。
詳細は、『Oracle Access Manager開発者ガイド』を参照してください。
IdentityXMLを使用すると、ブラウザを使用しないでアイデンティティ・システムの機能にアクセスできます。外部アプリケーションは、IdentityXMLを通して、アイデンティティ・システムに引数を渡すリモート・プロシージャ・コールを開始できます。
たとえば、外部アプリケーションは、アイデンティティ・システムのブラウザ・インタフェースを通さなくても、アイデンティティ・システムで新規ユーザーのバッチ処理を開始できます。IdentityXMLを使用すると、ディレクトリを公開しないでファイアウォール越しの統合が可能です。
IdentityXMLの詳細は、『Oracle Access Manager開発者ガイド』を参照してください。
Portal Insertsは、URLとして使用できるOracle Access Managerアイデンティティ・システムの埋込み可能な部分です。Portal Insertsはサイトまたはポータルのどこにでも配置でき、プログラミングすることなく、アイデンティティ・システムで生成されたコンテンツを他のアプリケーションに挿入できます。
たとえば、アイデンティティ・システムの検索機能を使用して会社のディレクトリ検索機能をサイトに追加したり、Group Managerのページをエクストラネットのポータルに埋め込んだりすることができます。ユーザーは、アイデンティティ・システムの標準インタフェースを使用しなくても、ポータルからこの機能に直接アクセスできます。
Portal Insertsの詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。
このガイドの他の章では、Oracle Access Managerの他のコンポーネント、アプリケーション、機能、動作、および用語についてさらに詳しく説明します。次に例を示します。
第3章「アクセス・システムについて」には、アクセス・システムの簡単なインストールの図があります。
