Oracle Cloud Infrastructureドキュメント

Oracle Unified Directoryとの統合

Oracle Unified Directoryコネクタは、Oracle Access GovernanceをOracle Unified Directoryと統合します。接続の詳細を入力し、コネクタを構成することで、Oracle Unified DirectoryとOracle Access Governanceの間の接続を確立できます。これを実現するには、Oracle Access Governanceコンソールで使用可能なオーケストレート済システム機能を使用します。

事前インストール

Oracle Unified Directoryオーケストレート済システムをインストールおよび構成する前に、次の前提条件およびタスクを考慮する必要があります。

動作保証されたコンポーネント

システムは、次のいずれかです。

  • Oracle Unified Directory 11g 11.1.1.5.0、11.1.2.0.0、11.1.2.2.0および11.1.2.3.0
  • Oracle Unified Directory 12c 12.2.1.3.0および12.2.1.4.0
  • Oracle Unified Directory 14c 14.1.2.1.0

サポートされている操作(認可)

Oracle Unified Directoryオーケストレート済システムでは、Oracle Unified Directoryがアイデンティティの認可ソースである次の操作がサポートされます。

  • ユーザーの作成
  • ユーザーの更新
  • ユーザーの削除
  • ユーザーの有効化
  • ユーザーの無効化
  • パスワードのリセット
  • グループまたは組織単位の作成
  • グループ名または組織単位名の更新
  • グループまたは組織単位の削除
  • コンテナDNの更新
  • グループの追加
  • グループの取消

サポートされる操作(非認可)

Oracle Unified Directoryオーケストレート済システムでは、Oracle Unified Directoryが管理対象システムである次の操作がサポートされます。

  • ユーザーの作成
  • パスワードのリセット
  • グループの追加
  • グループの取消

Oracle Unified Directoryオーケストレート済システム操作のシステム・ユーザー・アカウントの作成

Oracle Access Governanceでは、サービス操作中にシステムにアクセスするためにユーザー・アカウントが必要です。使用しているシステムに応じて、システム内でユーザーを作成し、そのユーザーに特定の権限とロールを割り当てることができます。

Oracle Unified Directoryの場合:

次の機能を実行するために、システム・ユーザー・アカウントを作成する必要があります。
  • アカウント、グループ、ロール(サポートされる場合)、組織単位(ou)など、管理対象オブジェクトに関連するエントリの作成、変更および削除。
  • ユーザーのパスワードを更新します。
Oracle Unified Directoryシステムに管理ユーザー・アカウントを作成します。カスタマイズ方法の詳細は、次の関連セクションを参照してください。

インストール

接続の詳細を入力し、OUD環境を構成することで、Oracle Unified DirectoryとOracle Access Governanceの間の接続を確立できます。これを実現するには、Oracle Access Governanceコンソールで使用可能なOrchestrated Systems機能を使用します。

「Orchestrated Systems」ページに移動します。

次のステップに従って、Oracle Access Governanceコンソールの「Orchestrated Systems」ページにナビゲートします。
  1. Oracle Access Governanceのナビゲーション・メニュー・アイコンナビゲーション・メニューから、「Service Administration」→「Orchestrated Systems」を選択します。
  2. ワークフローを開始するには、「オーケストレート済システムの追加」ボタンを選択します。

システムの選択

ワークフローの「システムの選択」ステップで、オンボーディングするシステムのタイプを指定します。

  1. 「Oracle Unified Directory」を選択して、「次へ」をクリックします。

詳細の入力

ワークフローの「詳細の追加」ステップで、オーケストレート済システムの詳細を入力します:
  1. 「名前」フィールドに、接続先のシステムの名前を入力します。
  2. 「説明」フィールドに、システムの説明を入力します。
  3. このオーケストレート済システムが信頼できるソースかどうか、および次のチェック・ボックスを設定してOracle Access Governanceが権限を管理できるかどうかを決定します。
    • これは私のアイデンティティの認証ソースです

      次の項目から選択します。

      • アイデンティティとその属性のソース: システムは、ソース・アイデンティティおよび関連する属性として機能します。新しいアイデンティティは、このオプションを使用して作成されます。
      • アイデンティティ属性のソースのみ: 追加のアイデンティティ属性の詳細が取り込まれ、既存のアイデンティティに適用されます。このオプションは、新規アイデンティティ・レコードを取込みまたは作成しません。
    • このシステムの権限を管理します
    各ケースのデフォルト値は「未選択」です。
  4. 「次へ」を選択します。

所有者の追加

リソース所有権を関連付けるには、プライマリ所有者と追加所有者を追加します。これにより、これらの所有者は所有するリソースを管理(読取り、更新または削除)できるため、セルフサービスが促進されます。デフォルトでは、リソース作成者はリソース所有者として指定されます。1人のプライマリ所有者と最大20人の追加所有者をリソースに割り当てることができます。
ノート

サービス・インスタンスに対して最初のオーケストレート済システムを設定する場合、「アイデンティティの管理」セクションからアイデンティティを有効にした後にのみ所有者を割り当てることができます。
所有者を追加するには:
  1. 「プライマリ所有者は誰ですか。」フィールドで、Oracle Access Governanceのアクティブ・ユーザーをプライマリ所有者として選択します。
  2. 「他の所有者は誰ですか。」リストで1つ以上の追加所有者を選択します。リソースに最大20人の追加所有者を追加できます。
リストの「プライマリ所有者」を表示できます。すべての所有者は、所有するリソースを表示および管理できます。

アカウント設定

ワークフローの「アカウント設定」ステップで、システムが管理対象システムとして構成されている場合、Oracle Access Governanceでアカウントを管理する方法を入力します:
  1. 権限が要求され、アカウントがまだ存在しない場合は、このオプションを選択して新しいアカウントを作成します。このオプションはデフォルトで選択されています。選択すると、権限が要求されたときにアカウントが存在しない場合、Oracle Access Governanceによってアカウントが作成されます。このオプションをクリアすると、権限はオーケストレート済システム内の既存のアカウントに対してのみプロビジョニングされます。アカウントが存在しない場合、プロビジョニング操作は失敗します。
  2. アカウント作成時の通知電子メールの受信者を選択します。デフォルトの受信者は「ユーザー」です。受信者が選択されていない場合、アカウントの作成時に通知は送信されません。
    • ユーザー
    • ユーザー・マネージャ
  3. 既存のアカウントの構成
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。
    1. 早期終了開始時のアカウントの処理の選択: 早期終了の開始時に実行する処理を選択します。これは、正式な退職日より前にアイデンティティ・アクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムでアクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
      • アクションなし: アイデンティティにOracle Access Governanceによる早期終了のフラグが付けられている場合、アクションは実行されません。
    2. 退職日のアカウントの処理の選択: 正式な退職時に実行する処理を選択します。これは、正式な退職日にIDアクセスを取り消す必要がある場合に発生します。
      • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
        ノート

        特定のオーケストレート済システムで「削除」アクションがサポートされていない場合、アクションは実行されません。
      • 無効化: すべてのアカウントを無効化し、Oracle Access Governanceで管理される権限を無効化します。
        • 無効化されたアカウントの権限の削除: 残存アクセス権がゼロであることを確認するには、これを選択して、アカウントの無効化時に直接割り当てられた権限およびポリシーで付与された権限を削除します。
        ノート

        特定のオーケストレート済システムで「無効化」アクションがサポートされていない場合は、アカウントが削除されます。
      • アクションなし: Oracle Access Governanceでは、アカウントおよび権限に対するアクションは実行されません。
  4. アイデンティティが企業を離れたときは、そのアカウントへのアクセス権を削除する必要があります。
    ノート

    これらの構成を設定できるのは、システム管理者によって許可されている場合のみです。グローバル・アカウント終了設定が有効になっている場合、アプリケーション管理者は、調整されたシステム・レベルでアカウント終了設定を管理できません。

    アカウントに対する次のアクションのいずれかを選択します。

    • 削除: Oracle Access Governanceで管理されているすべてのアカウントおよび権限を削除します。
    • 無効化: すべてのアカウントを無効化し、権限を非アクティブとしてマークします。
      • 無効化されたアカウントの権限の削除: アカウントの無効化時に直接割り当てられ、ポリシーで付与された権限を削除して、残存アクセスをゼロにします。
    • アクションなし: アイデンティティが組織を離れるときにアクションを実行しません。
    ノート

    これらのアクションは、オーケストレートされたシステム・タイプでサポートされている場合にのみ使用できます。たとえば、「削除」がサポートされていない場合、「無効化」および「アクションなし」オプションのみが表示されます。
  5. アカウントのすべての権限が削除された場合(アイデンティティが部門間を移動する場合など)、アカウントの処理を決定する必要がある場合があります。オーケストレート済システム・タイプでサポートされている場合、次のいずれかのアクションを選択します。
    • 削除
    • 使用不可
    • 処理なし
  6. アクセス・ガバナンスで作成されていないアカウントの管理: オーケストレート済システムで直接作成されるアカウントを管理する場合に選択します。これにより、既存のアカウントを調整し、Oracle Access Governanceから管理できます。
ノート

システムを管理対象システムとして構成しない場合、ワークフローのこのステップは表示されますが、有効になりません。この場合、ワークフローの「統合設定」ステップに直接進みます。
ノート

オーケストレート済システムで、汎用RESTおよびデータベース・アプリケーション表の統合と同様に動的スキーマ検出が必要な場合は、オーケストレート済システムの作成時に通知電子メールの宛先(ユーザー、Usermanager)のみを設定できます。モーバーおよびリーバの無効化/削除ルールは設定できません。これを行うには、オーケストレート済システムを作成してから、「オーケストレート済システム・アカウント設定の構成」の説明に従ってアカウント設定を更新する必要があります。

統合設定

ワークフローの「統合設定」ステップで、Oracle Access GovernanceがターゲットOracle Unified Directoryに接続できるようにするために必要な構成の詳細を入力します。

  1. 「ホスト」フィールドに、Oracle Access Governanceと統合するディレクトリのホスト名またはIPアドレスを入力します。
  2. 「ポート」フィールドに、LDAPサーバーとの通信に使用されるTCP/IPポート番号の値を入力します。
  3. ディレクトリに対する認証に使用する識別名を「管理者ユーザー名」フィールドに入力します。これは、「Oracle Unified Directoryオーケストレート済システム操作のターゲット・システム・ユーザー・アカウントの作成」で作成したユーザーです。
  4. 「パスワード」フィールドに、ターゲットの識別名のパスワードを入力します。「パスワードの確認」フィールドで、パスワードを確認します。
  5. ユーザーおよびグループの検索を開始するベース・コンテキストを「ベース・コンテキスト」フィールドに入力します。
  6. 「フェイルオーバー」フィールドに、<servername>:<port>, <servername>:<port>, ...の形式でフェイルオーバー・サーバーのリストを入力します(たとえば、OUDExample1:636, OUDExample1:636, ...)。
  7. 「SSL有効」フィールドで、値trueが選択されていることを確認します。
  8. 右側のペインに「選択した内容」が表示されます。入力した詳細に問題がなければ、「追加」を選択してオーケストレート済システムを作成します。

完了

ワークフローの最後のステップは「終了」で、オーケストレート済システムのエージェントをダウンロードするように求められます。エージェントをダウンロードしたら、Oracle Access Governance Agentのインストールの手順を使用して、環境にエージェントをインストールおよび構成できます。

データ・ロードを実行する前にオーケストレート済システムをさらに構成するか、デフォルト構成を受け入れてデータ・ロードを開始するかを選択できます。次の中から1つ選択します。
  • システムでデータ・ロードを有効化する前にカスタマイズします
  • 指定されたデフォルトで、データ・ロードのアクティブ化と準備を行います

インストール後の作業

Oracle Unified Directoryシステムに関連付けられたインストール後のステップはありません。

参照

Oracle Access Governanceでは、次のデフォルトのOracle Unified Directory属性がサポートされます。

勘定科目属性マッピング(認可モード)
エンティティ Oracle Unified Directoryアカウント属性 Oracle Access Governanceアカウント属性 Oracle Access Governance表示名
ユーザー ユーザー・ログイン uid 一意ID
uid 名前 従業員ユーザー名
完全DN fullDN 完全DN
メール Eメール Eメール
givenName firstName
initials middleName ミドル・ネーム
sn lastName
マネージャ managerLogin マネージャ
ステータス ステータス ステータス
部門番号 部門 部門
l 場所 場所
勘定科目属性マッピング(権限モードの管理)
エンティティ Oracle Unified Directoryアカウント属性 Oracle Access Governanceアカウント属性 Oracle Access Governance表示名
ユーザー NsuniqueID uid 一意ID
uid 名前 ユーザー・ログイン
完全DN fullDn 完全DN
パスワード パスワード パスワード
タイトル タイトル タイトル
指定された名前 firstName
initials middleName ミドル・ネーム
sn lastName
ContainerDN containerDN コンテナDN
メール emailID Eメール
cn commonName 共通の名前
部門番号 部門 部門
l 場所 場所
テレフォナンバー 電話 電話
優先言語 優先言語 優先言語
ログイン使用不可 loginDisabled ログイン無効
ステータス ステータス ステータス
buildingName buildingName 建物名
displayName displayName 表示名
いいえ organizationName 組織名
homePhone homePhone 自宅電話番号
モバイル モバイル モバイル
orclActiveStartDate startDate 開始日
orclActiveEndDate endDate 終了日付
orclTimeZone timeZone タイム・ゾーン
orclGuid orclGUID GUID
グループ名 権限としてのグループ グループ
役割 権限としてのロール ロール