Oracle Cloud Infrastructureドキュメント

アイデンティティ・オーケストレーションの概要

Identity Orchestrationは、ローコード統合をサポートすることで、多様な認可システムとマネージド・システムを統合するOracle Access Governanceフレームワークです。データの一貫性を確保し、様々なシステムからOracle Access Governanceに必要なアイデンティティ・データを抽出し、アカウントのプロビジョニングを通じてフルフィルメントを実行する、データ変換および相関ルールを容易にします。

オーケストレーション・プロセス全体には次のものが含まれます。

  • ローコード統合により、さまざまなオンプレミスまたはクラウドシステムと統合します。
  • 必要な情報(アイデンティティ属性、権限割当ておよびポリシー)のみをOracle Access Governanceに抽出または取り込みます。
  • 取り込まれたデータ(アイデンティティ属性とアカウント属性の両方)を変換および関連付けて、コンポジット・アイデンティティ・プロファイルとアカウント情報を作成します。
  • アイデンティティ・データを処理し、アクセス制御、アクセス・レビュー、ワークフローなどに使用します。
  • オーケストレート済システム間でデータをプロビジョニングおよび同期します。

アイデンティティ・オーケストレーションの重要性: 最新のアイデンティティ・オーケストレーションが企業にとって不可欠な理由

アイデンティティ・オーケストレーションは、ITインフラストラクチャの分散特性、オンプレミス、非武装地帯(DMZ)、マルチ・クラウド、IoT環境など、複雑で動的なITエコシステムにとって重要です。これがないと、企業はアイデンティティ関連アクティビティの可視性の制限、アクセス制御の断片化、運用上の非効率性、セキュリティの脅威やコンプライアンスの問題の可能性の高まりなどの重要な問題に直面します。

企業のメンバーは、リソース管理にOracle HCM、コラボレーション・スイートにMicrosoft Teams、顧客管理にOracle CRM、内部データベース・アプリケーション、レガシー・メインフレーム・アプリケーションなど、稼働日ルーチンで様々なシステムを使用できます。このような異機種間設定では、アイデンティティ・オーケストレーションは、包括的で一元化されたアイデンティティ管理およびガバナンス・システムの提供において重要な役割を果たします。これにより、様々なシステムをシームレスに統合し、必要な属性のみを抽出および取り込み、データ変換および相関ルールを使用してコンポジット・アイデンティティ・プロファイルを構築し、最後にアカウント・プロビジョニングを通じてフルフィルメントを実現できます。

アイデンティティとそれに対応するアクセスを管理するには、シームレスなアイデンティティとアクセスのオーケストレーションが必要であり、効果的なアイデンティティ・ライフサイクル管理、ガバナンス、コンプライアンスを実現します。Oracle Access Governanceなどの最新のアイデンティティ・ガバナンス・システムは、フルフィルメントとともにローコード統合、データ相関およびデータ変換機能を提供する包括的なアイデンティティ・オーケストレーション・システムを提供します。これにより、完全なアクセス検出、アイデンティティ・プロファイルに関する包括的なインサイト、明確に記述されたアクセス制御、アクセス・レビューおよびマイクロ認証が可能になります。

Oracle Access Governanceの統合

Oracle Access Governanceは、特別な汎用的な統合を幅広く提供し、最小限の構成を必要とすることで、アイデンティティ・オーケストレーションを簡素化します。

  • 特殊統合: アプリケーション固有のユース・ケースを提供する、特定のアプリケーションの統合。たとえば、Oracle Human Capital Management (HCM)、Microsoft Entra ID、Microsoft Teamsなどとの統合です。
  • 汎用統合: 制約付きアプリケーションまたは機密アプリケーション、またはサポートされていないデータ構造を持つアプリケーション用の統合。フラット・ファイルまたは汎用リストアAPIを使用して統合を実現し、柔軟性と幅広い互換性を提供します。

Oracle Access Governanceは、パブリック・ドメイン内のクラウド・サービスおよびシステムとのAPI (直接統合)またはエージェント(ダウンロード可能なDockerイメージ)を使用して、ファイアウォールの背後にあるシステムに対して統合を実行します。これらのシステムおよびアプリケーションは、「認可ソース」または「管理対象システム」として統合できます。

アイデンティティ・オーケストレーションの機能概要


アイデンティティ・オーケストレーションの機能概要

関連するステップを理解しましょう。
  1. アイデンティティ・データ同期+相関ルール+インバウンド・データ変換: 最初のステップでは、認可ソースからのアイデンティティ・データの同期と、取り込まれたアイデンティティ・データに対する相関ルールおよびインバウンド変換の実行があります。ここでは、Oracle Access Governanceのアイデンティティを作成します。
  2. アイデンティティ・プロファイルとアイデンティティ属性: 2番目のステップでは、Oracle Access Governance内でアイデンティティ属性をカスタマイズおよび構成することで、コンポジット・アイデンティティ・プロファイルが作成されます。
  3. 相関ルール+インバウンド・データ変換+ Account Reconciliation: 3番目のステップでは、収集されたアカウントおよび管理対象システムの権限データに対して相関ルールおよびインバウンド変換が実行されます。このプロセスでは、アカウントがIDと照合されます。ここでは、Oracle Access Governanceアカウントが作成され、プロビジョニング操作の実行に使用されます。
  4. アイデンティティ・ライフサイクル+アクセス制御+アクセス・レビュー: 次のステップでは、アイデンティティ・ライフサイクルの管理、アクセス・レビューの実行、アクセス制御の設定、Oracle Access Governance内の承認ワークフローなど、通常のOracle Access Governance機能を実行できます。
  5. アウトバウンド・データ変換+アカウント・プロビジョニング: 最後に、Oracle Access Governanceは、アイデンティティ属性を使用して管理対象システムにプロビジョニングするアカウント属性を定義するアウトバウンド・データ変換をサポートしています。たとえば、デフォルト値をNULL値に適用したり、属性のフォーマットを変更して、プロビジョニング・プロセス全体で一貫性を維持します。

認証ソースと管理対象のシステム

Oracle Access Governanceは、システムまたはアプリケーションから抽出されたアイデンティティおよびアクセス・データのタイプに基づいて、システムを次の場所に分離します。

  • 認可ソース: アイデンティティ・データの信頼できるソースと、Oracle Access Governanceでアイデンティティ・データをロードおよび管理するために使用できるアイデンティティ属性。いくつかの例として、Oracle Identity Governance、Microsoft Entra ID (旧称Azure Active Directory)、またはIDデータとその属性(電子メール・アドレス、ユーザー名、場所、部門など)を管理するためのHRシステムがあります。
  • マネージド・システム: アカウントとそれぞれのアクセス権限を含むアプリケーションとサービスですが、企業情報(Oracle Database User Management、Salesforce、Microsoft Teamsなど)のアイデンティティの信頼できるソースとして機能しません。オーケストレーションされたシステムを確立することにより、Oracle Access Governanceは、定義されたアクセス制御(アクセス・リクエスト、RBAC、ABAC、PBACなど)を利用して、これらのアプリケーションのユーザー・アカウントとアクセス権限を管理します。
  • 認可ソースおよび管理対象システム: システムおよびアプリケーションは、両方のロールを履行でき、アイデンティティ・データの認可ソースとして機能すると同時に、アクセスを管理するための管理対象システムとして機能します。

データ変換および相関ルール

シームレスなアイデンティティ・オーケストレーションの主な原則は次のとおりです。
  • 相関ルール: 相関ルールまたは一致ルールを利用して、異なる認可ソースから取り込まれたアイデンティティ・データを照合し、コンポジット・アイデンティティ・プロファイルを作成できます。同様に、管理対象システムからのデータ取込み中に、アイデンティティに複数のアカウントが存在する場合があります。アカウント・データをそれぞれのアイデンティティと照合して、管理対象システムから取り込まれたユーザー・アカウントをアイデンティティに関連付けることができます。たとえば、オーケストレート済システムからのユーザー・ログインを、Oracle Access Governanceに取り込まれた従業員ユーザー名と照合できます。
  • インバウンド・データ変換: アプリケーションは、認可ソースまたは管理対象システムのいずれであっても、異なる形式でデータを表示できます。認可ソースからOracle Access Governanceへのデータ取込みプロセス中に、インバウンド変換ルールを使用してアイデンティティ・データを変換し、アイデンティティ・プロファイル情報を拡張できます。たとえば、従業員番号を名と連結して、Oracle Access Governanceで表示名を設定できます。同様に、管理対象システムからのデータ取込み中に、インバウンド変換ルールを使用してアカウント・データを定義またはカスタマイズできます。たとえば、製品のブランド変更中に、アプリケーション表示名を他の固定値に変更できます。
  • アウトバウンド・データ変換: Oracle Access Governanceにはアウトバウンド変換ルールが用意されています。このルールでは、アイデンティティ属性を使用して、管理対象システムでのアカウント・プロビジョニングのアカウント属性を定義します。たとえば、NULL値を持つ組織をデフォルト値に設定できます。

要約すると、アイデンティティ・オーケストレーションは、ITインフラストラクチャを保護するために、すべての主要なアイデンティティ・プロバイダ(IDP)またはサービスと連携する、今日の異機種環境用のOracle Access Governanceのベンダーに依存しないソリューションです。