Oracle Cloud Infrastructureドキュメント

Oracle Identity Governanceとの統合

Oracle Identity Governance(OIG)と統合して、アイデンティティ・オーケストレーションを有効にし、アカウントと権限、ロール、アカウントのリコンシリエーションのオンボーディングを自動化できます。一度に統合できるアクティブなOIGアプリケーションは1つのみです。

動作保証されたコンポーネント

ターゲットシステムには、次のいずれかを指定できます。

  • Oracle Identity Governance 12.2.1.4バンドル・パッチ番号11 (12.2.1.4.220703)以降。現在のバージョンのOracle Identity Governanceに互換性がない場合は、Oracle Supportに連絡してください。Oracle Identity Governanceシステムのパッチを手配できます
  • Oracle Identity Governance 14.1.2.1.0以降

前提条件

Oracle Identity Governanceソース・データは、Oracle Access Governanceの次の要件を満たす必要があります

ステップ1: アプリケーション、権限およびロールの認証可能フラグの有効化

次のように、アプリケーション、権限およびロールに対して「証明可能」フラグを選択する必要があります。

  1. アプリケーションおよび権限の「証明可能」フラグの選択
    1. Oracle Identity Governanceセルフ・サービス・アプリケーションにサインインします。
    2. 「管理」「自己要求」の順に移動します
    3. アプリケーションを検索し、情報アイコンを選択します。
    4. [証明可能]フラグを選択します。
  2. 「ロール」では、
    1. Oracle Identity Governanceセルフ・サービス・アプリケーションにサインインします。
    2. 「管理」「ロール」の順に移動します
    3. ロールを検索し、情報アイコンを選択します。
    4. 「カタログ属性」で、「証明可能」チェック・ボックスを選択します。

ステップ2: Oracle Identity Governanceの権限付与タイプ

Oracle Identity Governanceのユーザーには、次の権限タイプが必要です。

  • アカウントおよび権限の直接プロビジョニング
  • アカウントおよび権限のプロビジョニングの要求
  • ターゲットからの調整済アカウントおよび権限
  • バルクロードされたアカウントおよび権限
  • アクセス・ポリシーに関連付けられているリクエストまたは直接プロビジョニング・ロール

ステップ3: JDBC URLの取得

接続設定にOIGのJDBC URLが必要です。

  1. Oracle Identity Governanceインスタンスに関連付けられているOracle WebLogic Server管理コンソールにサインオンします。
  2. 「サービス」→「データ・ソース」に移動します。
  3. 「構成」タブからoimOperationsDBを選択します。
  4. 「接続プール」を選択し、「URL: 」フィールドから値をコピーして、Oracle Identity GovernanceのJDBC URLとして使用します

参照: OIG JDBC URL

ステップ4: Oracle Identity GovernanceのサーバーURLの取得

  1. Oracle Enterprise Manager Fusion Middleware Controlにログオンします。
  2. システムMBeanブラウザに移動し、XMLConfig.DiscoveryConfig MBeanを見つけます。
  3. OimExternalFrontEndURL属性の値をコピーし、Oracle Identity GovernanceサーバーのURLの値として使用します。

OIG URL

Oracle Identity Governanceの統合の構成

You can configure Oracle Identity Governance agent to connect to Oracle Access Governance, you need to enter connection details and credentials for the target system, and build an agent specific to the environment.

「Orchestrated Systems」ページに移動します。

Oracle Access Governanceコンソールの「Orchestrated Systems」ページでは、オーケストレート済システムの構成を開始します。

次のステップに従って、Oracle Access Governanceコンソールの「Orchestrated Systems」ページにナビゲートします。
  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「サービス管理」→「オーケストレーションされたシステム」を選択します。
  2. ワークフローを開始するには、「オーケストレート済システムの追加」ボタンを選択します。

システムの選択

ワークフローの「システムの選択」ステップで、Oracle Access Governanceと統合するシステムのタイプを指定できます。

「検索」フィールドを使用して、名前で必要なシステムを検索できます。

  1. 「Oracle Identity Governance」を選択します。
  2. 「次へ」を選択します。

詳細の追加

名前、説明、サポートされているモードなどの詳細を追加します。オーケストレート済システムを作成した後は、モードを編集できません。

統合により、完全なアイデンティティ・ソースとして、既存のアイデンティティのアイデンティティ属性のソースとして、または管理対象システムとして動作するようにOracle Identity Governanceを構成できます。

  1. 「名前」フィールドに、接続先のシステムの名前を入力します。
  2. 「説明」フィールドに、システムの説明を入力します。
  3. このオーケストレート済システムが信頼できるソースであるかどうかを判断すると、Oracle Access Governanceでは常にこのオーケストレート済システムの権限が管理されます。
    • これは私のアイデンティティの認証ソースです

      次の項目から選択します。

      • アイデンティティとその属性のソース: システムは、ソース・アイデンティティおよび関連する属性として機能します。このオプションを使用して、新しいアイデンティティが作成されます。
      • アイデンティティ属性のソースのみ: 追加のアイデンティティ属性の詳細が取り込まれ、既存のアイデンティティに適用されます。このオプションは、新規アイデンティティ・レコードを取込みまたは作成しません。
  4. 「次へ」を選択します。

所有者の追加

リソースを管理するために、編成されたシステムにプライマリ所有者と追加の所有者を追加します。

リソース所有権を関連付けるには、プライマリ所有者と追加所有者を追加します。これにより、これらの所有者は所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。デフォルトでは、リソース作成者はリソース所有者として指定されます。1人のプライマリ所有者と最大20人の追加所有者をリソースに割り当てることができます。
ノート

サービス・インスタンスに対して最初のオーケストレート済システムを設定する場合、「アイデンティティの管理」セクションからアイデンティティを有効にした後にのみ所有者を割り当てることができます。
所有者を追加するには:
  1. 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceのアクティブ・ユーザーをプライマリ所有者として選択します。
  2. 「他の所有者は誰ですか。」リストで1つ以上の追加所有者を選択します。リソースに最大20人の追加所有者を追加できます。
リストの「プライマリ所有者」を表示できます。すべての所有者は、所有するリソースを表示および管理できます。

統合設定

Oracle Identity Governanceシステムの接続詳細を入力します。

  1. 「OIGデータベース・サーバーのJDBC URLは何ですか。」フィールドに、接続するOIGデータベースのJDBC URLを入力します。JDBC URLを取得するには、「ステップ3: JDBC URLの取得」を参照してください。
  2. 「OIGデータベース・ユーザー名は何ですか。」フィールドに、OIGデータベースに接続するための読取りアクセス権を持つデータベース・ユーザーを入力します。詳細は、ステップ4: Oracle Identity GovernanceのサーバーURLの取得を参照してください
  3. 「パスワード」フィールドに、指定したOIGデータベース・ユーザーのパスワードを入力します。
  4. 「OIGサーバーのURLは何ですか。」フィールドに、統合するOIGサーバーのURLを入力します。
  5. 「OIGサーバー・ユーザー名は何ですか。」フィールドに、修正およびスキーマ検出に使用するOIGユーザーを入力します。修正カスタム属性のスキーマ検出の両方をサポートするには、Oracle Identity Governanceサーバー・ユーザーがシステム管理者ロールに属している必要があります。修正のみが必要な場合、ユーザーはかわりにOrclOAGIntegrationAdminロールに属することができますが、そのユーザーのスキーマ検出が機能しません
  6. 「OIGサーバー・パスワード」フィールドに、OIG APIをコールして修正を実行するときにOIGサーバー・ユーザーを認証するために入力します。
  7. OIGデータベース増分データ・ロードを有効化しますか。: 増分データ・ロードを実行する場合に選択します。Day-Nオプションが選択されている場合、データ・ロードでは、定期的なスナップショットとしてではなく、Oracle Access Governanceへの変更を発生時に適用するイベント駆動モードが使用されます。このオプションを選択した場合は、「イベントドリブン・データ・ロードのデータベース設定ステップ」で定義されているOIGデータベースの前提条件タスクが完了していることを確認します。
    ノート

    このオプションを使用して、OIGからのイベントを定期的にではなくリアルタイムで表示します。たとえば、組織がOracle Access Governanceにすぐに反映する必要があるユーザーのIDを作成する場合は、このオプションを使用する必要があります。アイデンティティが追加されると、イベントは統合によって記録されず、Oracle Access Governanceと照合されます。デフォルトのスナップショット・データ・ロードでは、次にスケジュールされた実行まで新しいアイデンティティがリコンサイルされません。イベント駆動型のデータ・ロードでは、変更がリアルタイムで識別され、各イベントが発生するとOracle Access Governanceにロードされます。
  8. 入力した詳細が正しいことを確認し、「追加」ボタンを選択します。
  9. 「エージェントのダウンロード」ステップで、「ダウンロード」リンクを選択し、エージェントが実行される環境にエージェントZipファイルをダウンロードする。

完了

さらにカスタマイズを実行するか、データ・ロードをアクティブ化して実行するかの詳細を指定して、オーケストレート済システムの構成を終了します。

ワークフローの最後のステップは、「終了」です。

ワークフローの「終了」ステップで、Oracle Access GovernanceとOracle Identity Governanceの間のインタフェースに使用するエージェントをダウンロードするように求められます。「ダウンロード」リンクを選択して、エージェントが実行される環境にエージェント・zipファイルをダウンロードしてください。

エージェントをダウンロードしたら、エージェント管理の記事で説明されている手順に従います。

最後に、データ・ロードを実行する前にオーケストレート済システムをさらに構成するか、デフォルト構成を受け入れてデータ・ロードを開始するかを決定できます。次の中から1つ選択します。
  • システムでデータ・ロードを有効化する前にカスタマイズします
  • 指定されたデフォルトで、データ・ロードのアクティブ化と準備を行います

イベントドリブン・データ・ロードのデータベース・ステップの構成

Oracle Access Governanceオーケストレート済システムを作成または更新するときに、イベントドリブン・データ・ロード・オプションを有効にできます。このオプションは、Day-Nデータ・ロードをデフォルトのスナップショットベース・モデルからイベントドリブン・モデルに切り替えます。このオプションの前提条件では、OIGデータベースに読取り専用ユーザーを作成し、必要なロールおよびシステム権限を付与する必要があります。

イベントドリブン・データ・ロード・オプション用にOIGデータベースに読取り専用ユーザーを追加するには、次のステップを実行します。
  1. SYSとしてOIGデータベースに接続し、変更イベントにアクセスするためにOracle Access Governanceで使用される読取り専用ユーザーをOIGデータベースに作成します。 
    create user <username> identified by <password>;
    例:
    create user ag2oigro identified by mypassword;
  2. SYSとしてOIGデータベースに接続し、前のステップで作成した読取り専用ユーザーに必要なロールおよびシステム権限を付与します。 
    GRANT CREATE SESSION TO <read-only user>;
                                GRANT SELECT ANY TABLE TO <read-only user>;
                                GRANT CREATE ANY TRIGGER TO <read-only user>;
                                GRANT ADMINISTER DATABASE TRIGGER TO <read-only user>;
                                GRANT CREATE TABLE TO <read-only user>;
                                GRANT CREATE SYNONYM TO <read-only user>;
                                GRANT UNLIMITED TABLESPACE TO <read-only user>;
                                
                                GRANT CONNECT TO <read-only user>;
                                GRANT RESOURCE TO <read-only user>;
    例:
    GRANT CREATE SESSION TO ag2oigro;
                                    GRANT SELECT ANY TABLE TO ag2oigro;
                                    GRANT CREATE ANY TRIGGER TO ag2oigro;
                                    GRANT ADMINISTER DATABASE TRIGGER TO ag2oigro;
                                    GRANT CREATE TABLE TO ag2oigro;
                                    GRANT CREATE SYNONYM TO ag2oigro;
                                    GRANT UNLIMITED TABLESPACE TO ag2oigro;
                                    
                                    GRANT CONNECT TO ag2oigro;
                                    GRANT RESOURCE TO ag2oigro;
  3. OIG DBスキーマ所有者としてOIGデータベースに接続し、次のコマンドを実行して、読取り専用ユーザーのOIG表のシノニムを作成するスクリプトを作成します。 
    setheading on
                                setlinesize 1500
                                setnumformat 99999999999999999999
                                setpagesize 25000
                                spool synon.out
                                SELECT 'create synonym <read-only user>.'||TNAME||' for <OIG_SCHEMA_USER_NAME>.'||TNAME||';'
                                FROM TAB
                                WHERE tabtype = 'TABLE';
                                spool off
    例:
    setheading on
                                    setlinesize 1500
                                    setnumformat 99999999999999999999
                                    setpagesize 25000
                                    spool synon.sql
                                    SELECT 'create synonym ag2oigro.'||TNAME||' for <OIG_SCHEMA_USER_NAME>.'||TNAME||';'
                                    FROM TAB
                                    WHERE tabtype = 'TABLE';
                                    spool off
  4. 読取り専用ユーザーとしてOIGデータベースに接続し、前のステップで作成したスクリプトを使用してシノニムを作成します。 
    @<scriptname>

    例:

    @synon.sql

ユーザー・データ・ロード・フィルタでサポートされる属性

Oracle Identity Governanceからデータをオンボードするようにオーケストレート済システムを構成する場合、Oracle Access Governanceで収集するユーザー・データをフィルタできます。部門、従業員タイプ、場所などのアイデンティティ属性にフィルタを設定することで、オンボーディングするユーザーを制限できます。

ユーザー・データ・ロードのフィルタ特性

オーケストレート済システムでのフィルタの構成では、ユーザー・データ・ロード・フィルタリングの次の特性に注意してください。

  • ユーザー検索フィルタとユーザー・データ値のフィルタ処理の一致では、大/小文字が区別されます。たとえば、department = Human Resourcesのフィルタでは、department = HUMAN RESOURCESまたはDepartment = Human Resourcesの値を持つユーザーは返されません。
  • ユーザー・データ・ロード・フィルタに一致するユーザーまたはアカウントがない場合、Oracle Access GovernanceによってOracle Identity Governanceからデータは取り込まれません。ただし、この場合、IDやアカウントがオンボーディングされていなくても、データ・ロード自体はアクティビティ・ログで成功とラベル付けされます。
  • 特定のフィルタ属性のユーザー・データ・ロード・フィルタ値は1000を超えることはできません。
  • エージェントがすでにインストールされている場合は、ユーザー・データ・ロード・フィルタを有効にするためにエージェントのアップグレードが必要です。エージェントのアップグレード方法の詳細は、エージェントの使用例を参照してください。

ユーザー・データ・ロード・フィルタでサポートされる属性のリスト

次の属性に基づいて、Oracle Identity Governanceから取り込まれたユーザーをフィルタできます。

ユーザー・データ・ロード・フィルタでサポートされる属性のリスト
Oracle Access Governance属性名 Oracle Identity Governance属性名
employeeType usr_emp_type
jobCode usr_job_code
部門 usr_dept_no
場所 usr_location
国家 usr_state
postalCode usr_postal_code
usr_country
managerUid usr_manager_key
managerLogin usr_login

(マネージャのusr_login)
organizationUid act_key
organizationName act_name

act表のact_name
territory usr_territory

ユーザー・データ・ロード・フィルタの例

ユーザー・データ・ロード・フィルタ機能を使用して構成できる例を次に示します。
ユーザー・データ・ロード・フィルタの例
ユースケース 構成パラメータ

department=Product Developmentのユーザー

および

jobCode=IC004またはM0003

  • userFilter1Name= 部門
  • userFilter1Value= 製品開発
  • userFilter2Name=jobCode
  • userFilter2Value=IC004~M0003
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=~

state =Kentのユーザー

および

organizationUid=1または4

  • userFilter1Name= 状態
  • userFilter1Value= ケント
  • userFilter2Name=organizationUid
  • userFilter2Value=1~4
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=~

postalCode = 78045または12204のユーザー

カスタム・デリミタ##を使用

  • userFilter1Name=postalCode
  • userFilter1Value=78045##12204
  • userFilter2Name=
  • userFilter2Value=
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=##

managerUid = 17981または17854 を持つユーザー

managerLogin = DINORAH.PREWITTまたはJOELLA.SHANNON

  • userFilter1Name=managerUid
  • userFilter1Value=17981~17854
  • userFilter2Name=managerLogin
  • userFilter2Value=DINORAH.PREWITT~SHIRLEY.THOMAS
  • userFilter3Name=
  • userFilter3Value=
  • filterValueDelimiter=~
ノート

フィルタ値の名前とフィルタの値は両方とも大/小文字が区別されます。例を使用すると、次のいずれかのフィルタが無効になり、結果は返されません。
  • 例1:
    • userFilter1Name=MANAGERUID
    • userFilter1Value=17981~17854
    • userFilter2Name=managerLogin
    • userFilter2Value=DINORAH.PREWITT~SHIRLEY.THOMAS
  • 例2:
    • userFilter1Name=managerUid
    • userFilter1Value=17981~17854
    • userFilter2Name=managerLogin
    • userFilter2Value=Dinorah.Prewitt~SHIRLEY.THOMAS
    • 例3:
      • USERFilter1Name=managerUid
      • userFilter1Value=17981~17854
      • userFilter2Name=managerLogin
      • userFilter2Value=DINORAH.PREWITT~SHIRLEY.THOMAS
  • 例4:
    • userFilter1Name=managerUid
    • userFilter1Value=17981~17854
    • userFilter2Name=managerLogin
    • USERFILTER2VALUE=DINORAH.PREWITT~SHIRLEY.THOMAS

Oracle Identity Governanceオーケストレート済システムでサポートされている構成モード

オンボーディング・アイデンティティ、アイデンティティ属性およびプロビジョニング・アカウントの要件に応じて、様々な構成モードを設定できます。

Oracle Identity Governanceでは、次のものがサポートされています。

  • (Authoritative - Source of Identity)と管理対象システムの両方
  • (Authoritative - Source of Identity Attribute)と管理対象システムの両方
  • 管理対象システムのみ

デフォルト照合ルール

アカウントをアイデンティティにマップするには、次の一致ルールを適用します。

一致ルール設定を有効にするには、相関ルールを使用したアイデンティティ属性とアカウント属性の照合および一致ルールを参照してください。
モード デフォルト照合ルール
認可ソース User login = Employee user name
管理されたシステム サポートされていません。照合はUIDに基づきます。