View
3
Download
0
Category
Preview:
Citation preview
Oracleホワイト・ペーパー
2014年2月
Oracle E-Business Suite AccessGateを使用するOracle E-Business Suiteと 複数のデータ・ストアを使用するOracle Access Managerの統合
目次 1 概要 .............................................................................................................................................................. 1
1.1 前提 ..........................................................................................................................................................................1
2 推奨されるアプローチ ............................................................................................................................. 2
2.1 アプローチ1 ‒ Oracle Virtual Directoryを使用する ........................................................................2
2.2 アプローチ2 ‒ Oracle Directory Integration Platformを使用する ..........................................5
3 対象とすべきアプローチ ......................................................................................................................... 8
4 参考資料 ...................................................................................................................................................... 9
1 概要 Oracle Access Manager 11g Release 2(11.1.2.x)は、複数アプリケーションにまたがるユーザー・アクセスを簡素化する包括的なID管理/アクセス制御システムを提供します。Oracle Access Managerについて詳しくは、Oracle Corporation Webサイトの次のOracle Access Managerホームページを参照してください。 http://www.oracle.com/us/products/middleware/identity-management/access-management/overview/index.html
Oracle E-Business SuiteとOracle Access Managerの統合方法について詳しくは、次のMy Oracle Supportナレッジ・ドキュメントを参照してください。Overview of Single Sign-On Integration Options for Oracle E-Business Suite(Note 1388152.1)
Oracle E-Business Suiteでは、Oracle Internet DirectoryがOracle Access Managerにデータ・ストアとして定義されている必要があります。組織のユーザー認証ポリシーを考慮し、環境内の他のアプリケーションには別のデータ・ストアが必要になる可能性があります。Oracle E-Business SuiteとOracle Internet Directoryの依存関係について詳しくは、次のブログ記事を参照してください。Why does Oracle E-Business Suite Integration with Oracle Access Manager Require Oracle Internet Directory
Oracle Access Managerを使用すると、複数のアプリケーションを保護できます。また、複数のデータ・ストアを利用するようにOracle Access Managerを構成することもできます。これらの機能によって、Oracle Internet DirectoryをOracle E-Business Suiteのデータ・ストアとして、および他のアプリケーション用の追加のデータ・ストアとして使用するという必須要件に対応できます。
このホワイト・ペーパーでは、保護対象のアプリケーション間でシングル・サインオンをシームレスに実行できるように、Oracle Internet Directory(特に、orclguid属性)とOracle Access Managerで構成されているその他のデータ・ストア(Oracle Directory Server Enterprise Edition、サード・パーティのディレクトリ・サービスなど)間でユーザー・データを同期させるために組織が取ることができるアプローチについて説明します。
• アプローチ1 ‒ Oracle Virtual Directoryを使用する
• アプローチ2 ‒ Oracle Directory Integration Platformを使用する
1.1 前提
• Oracle E-Business SuiteおよびOracle Access Manager 11gの既存の統合環境が構成されて実行されています。Oracle Internet Directoryを使用するようにOracle E-Business Suiteを構成します。統合に必要な手順については、次のMy Oracle Supportナレッジ・ドキュメントを参照してください。
o Overview of Single Sign-On Integration Options for Oracle E-Business Suite Note 1388152.1)
• ユーザーがOracle Access Managerの管理コンソールと概念について知識を持っています。
2 推奨されるアプローチ
注:推奨されるアプローチでは、説明用にOracle Directory Server Enterprise Editionを使用しています。ただし、サポートされているサード・パーティ・ディレクトリ・サービスを代わりに使用できます。
2.1 アプローチ1 – Oracle Virtual Directoryを使用する
Oracle Virtual Directoryは、1つまたは複数のエンタープライズ・データソースを1つのディレクトリ・ビューに仮想的に抽出するLDAP v3対応のサービスです。Oracle Virtual Diretoryを使用すると、インフラストラクチャやアプリケーションを変更する必要性を最小限に抑えるか、変更をまったく行わずに、LDAP対応アプリケーションをさまざまなディレクトリ環境に統合できます。製品情報について 詳 し く は 、 次 の Oracle Virtual Directory ホ ー ム ペ ー ジ を 参 照 し て く だ さ い 。http://www.oracle.com/technetwork/jp/middleware/id-mgmt/overview/index-084436-ja.html
このアプローチを使用すると、Oracle E-Business SuiteおよびOracle Access Manager保護対象のその他のアプリケーションは、Oracle Access Managerでの認証用のデータ・ストアとしてOracle Virtual Directoryを使用するように構成されます。
図1:Oracle Virtual Directoryを使用した統合アプローチ
高レベルでは、このセットアップを使用するには、次の構成変更が必要です。
• Oracle Virtual Directoryをインストールして構成します。必要な手順については、Oracle Virtual Directoryの製品ドキュメントを参照してください。
• Oracle Virtual Directoryのアダプタを、Oracle Internet DirectoryおよびOracle Directory Server Enterprise Edition LDAPリポジトリに接続するように構成します。手順については、製品ドキュメントを参照してください。
図2:Oracle Virtual DirectoryでOracle Internet Directoryアダプタを構成した場合のスクリーンショット
• Oracle Virtual Directoryの結合アダプタを構成します。このアダプタは、複数の異なるデータソースを組み合わせて、リレーショナル・データベースの表結合に似た1つの統合LDAPビューにまとめます。このケースでは、Oracle Internet DirectoryをOracle Directory Server Enterprise Editionと組み合わせています。手順については、製品ドキュメントを参照してください。
図3:Oracle Virtual Directoryの結合アダプタを構成した場合のスクリーンショット
• Oracle Access Managerで新しいユーザー・アイデンティティ・データ・ストアを作成して、Oracle Virtual Directoryを参照するように構成します。
手順については、製品ドキュメントを参照してください。
図4:Oracle Access Managerで新しいアイデンティティ・データ・ストアを作成した場合のスクリーンショット
• Oracle Virtual Directoryアイデンティティ・ストアを利用するように、Oracle Access Managerで認証モジュールを構成します。この認証モジュールを使用する認証スキームを構成します(注:Oracle Virtual Directoryアイデンティティ・ストアを利用するように、既存の認証モジュール/スキームを変更できます)。
図5:Oracle Access Managerで認証モジュールを構成した場合のスクリーンショット
• 各アプリケーション・ドメイン内の保護対象の各アプリケーションに対して、新しいOracle Virtual Directory認証スキームを使用するように認証ポリシーを構成します。
図6:Oracle Access Managerで認証ポリシーを構成した場合のスクリーンショット
• 説明したすべての手順を完了すると、Oracle E-Business Suiteおよびその他の保護対象アプリケーションでシングル・サインオンが機能します。
2.2 アプローチ2 – Oracle Directory Integration Platformを使用する
Oracle Directory Integration Platform(Oracle DIP)を使用すると、Oracle Internet Directoryのデータを他のデータソースと同期させることができます。Oracle Internet DirectoryをさまざまなLDAP対応アプリケーションや接続されたディレクトリの中央のリポジトリとして使用すると、時間とリソースを節約できます。同期は一方向または双方向で実行できます。
図7:Oracle Directory Integration Platformを使用した統合アプローチ
このアプローチを使用するための要件
• Oracle Directory Server Enterprise Editionのユーザー・オブジェクト・クラスを拡張してORCLGUID属性を追加する必要があります。
• Oracle Directory Server Enterprise Editionの新規ユーザー作成をOracle Internet Directoryのみで行う必要があります(Oracle Internet DirectoryとOracle Directory Server Enterprise Editionの両方にエントリが必要なユーザーのみ該当)。Oracle Internet Directoryにユーザーを作成する場合は常に、同期プロセスを使用して対応するユーザー・エントリがOracle Directory Server Enterprise Editionに作成されます。
• ユーザーがOracle Directory Server Enterprise Editionにすでに存在しており、後でOracle Internet Directoryに作成する場合は、Oracle Internet Directoryのユーザーの対応するORCLGUID値はOracle Directory Server Enterprise Editionに反映されません。
• Oracle Internet Directory か ら の Oracle Directory Server Enterprise Edition ユ ー ザ ー のORCLGUID属性の初回同期は、Oracle DIPブートストラップ・プロセスで行う必要があります。必要な手順については、Oracle DIPの製品ドキュメントを参照してください。
• Oracle Directory Server Enterprise Editionにのみユーザー・エントリが必要な場合は、既存のプロビジョニング・プロセスを続行できます。
高レベルでは、このセットアップを使用するには、次の構成変更が必要です。
• Oracle DIPをインストールして構成します。必要な手順については、Oracle DIPの製品ドキュメントを参照してください。
• Oracle DIPを使用して新しい同期プロファイルを作成する必要があります。この同期プロファイルによって、Oracle Internet DirectoryからOracle Directory Server Enterprise Editionにユーザー情報が伝播されます。必要な手順については、Oracle DIPの製品ドキュメントを参照してください。
図8:Oracle DIPでの同期プロファイルのスクリーンショット
• 同期プロファイルを作成する際、ソースとしてOracle Internet Directoryを使用し、ターゲットとしてOracle Directory Server Enterprise Editionを使用する必要があります。
図9:Oracle DIPで同期プロファイルを構成した場合のスクリーンショット
• Attribute Mapping RulesのMappingタブで、Oracle Internet Directoryのpersonスキーマのorclguid属性が、Oracle Directory Server Enterprise Editionの企業ユーザー・オブジェクト・クラスの対応するorclguid属性にマップされていることを確認します。
図10:Oracle DIPを使用した属性マッピングのスクリーンショット
• 同期プロファイルを有効化し、Oracle Internet Directoryでのユーザー追加操作の頻度に基づいて同期プロファイルを適切にスケジュールします。
• Oracle E-Business Suiteおよび他の保護対象の企業アプリケーションについては、Oracle Access Managerの構成の変更はありません。Oracle Directory Server Enterprise Editionは引き続き、Oracle Access Managerですべてのアプリケーションに対してユーザー識別用のプライマリ・データ・ストアとなります。Oracle E-Business Suiteは、Oracle Internet Directoryを利用するように構成されます。
3 対象とすべきアプローチ
このホワイト・ペーパーで説明している両方のアプローチとも、認定済みの構成です。ここでは、アプローチ1 ‒ Oracle Virtual Directoryを使用するとアプローチ2 ‒ Oracle Directory Integration Platformを使用するから選択する際の考慮事項をいくつか説明します。
次の事項が組織に当てはまる場合は、「アプローチ1 ‒ Oracle Virtual Directoryを使用する」を検討します。
• Oracle Virtual Directoryをデプロイするために必要となるスキルやアーキテクチャへの投資に前向きである、または組織内にOracle Virtual Directoryがデプロイ済みである
• 現在のプロビジョニング・プロセスを変更できない
• リアルタイムのデータ同期が必要である
• スキーマを変更せずに新しい属性を柔軟に追加できる必要がある
次の事項が組織に当てはまる場合は、「アプローチ2 ‒ Oracle Directory Integration Platformを使用する」を検討します。
• Oracle Directory Integration Platformを使用した経験がある、またはこれらのスキルを習得するための投資に前向きである
• このアプローチに対応するために、プロビジョニング・プロセスに対して必要な変更を加えることを理解しており、このような変更を加えることに前向きである
• 使用する環境で、リアルタイムでないデータ同期をサポートする予定である
• 将来追加される可能性がある新しい属性に対応するように、スキーマ変更を行うことに前向きである
4 参考資料
• Oracle Access Manager
o ホームページ
http://www.oracle.com/us/products/middleware/identity-management/oracle-access-manager/overview/index.html
• Oracle Virtual Directory
o ホームページ
http://www.oracle.com/technetwork/jp/middleware/id-mgmt/overview/index-084436-ja.html
o 製品ドキュメントhttp://docs.oracle.com/cd/E29542_01/install.1111/e12002/ovd.htm
• Directory Integration Platform
o 製品ドキュメント http://docs.oracle.com/cd/E28280_01/install.1111/e12002/dip.htm
• My Oracle Supportナレッジ・ドキュメント
o Overview of Single Sign-On Integration Options for Oracle E-Business Suite (Note 1388152.1)
o Oracle E-Businessテクノロジー・ブログ
Why does Oracle E-Business Suite Integration with Oracle Access Manager Require Oracle Internet Directory
ホワイト・ペーパー Oracle E-Business Suite
AccessGate を 使 用 す る Oracle E-Business
Suite と 複 数 の デ ー タ ・ ス ト ア を 使 用 す る
Oracle Access Managerの統合
2014年2月
著者:Sairam Pappu
共著者:Elke Phelps、Hubert Ferst
Oracle Corporation
World Headquarters
500 Oracle Parkway
Redwood Shores, CA 94065
U.S.A.
海 外 か ら の お 問 い 合 わ せ 窓 口 : 電 話 :
+1.650.506.7000
ファクシミリ:+1.650.506.7200
oracle.com
Copyright © 2014, Oracle and/or its affiliates.All rights reserved.
本文書は情報提供のみを目的として提供されており、記載内容は予告なく変更されることがあります。本文書は一切間違いがないことを保証す
るものではなく、さらに、口述による明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての黙示的な保証を
含み、いかなる他の保証や条件も提供するものではありません。オラクル社は本文書に関するいかなる法的責任も明確に否認し、本文書によって
直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もって得ることなく、いかなる目的
のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません。
OracleおよびJavaはOracleおよびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。
Intelおよび Intel XeonはIntel Corporationの商標または登録商標です。すべてのSPARC商標はライセンスに基づいて使用されるSPARC
International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴおよびAMD Opteronロゴは、Advanced Micro Devicesの商標また
は登録商標です。UNIXは、The Open Groupの登録商標です。0113
Recommended