Oracle Identity Managementの概要およびアーキテクチャ

(1)

Oracle Identity Management の概要

およびアーキテクチャ

オラクル・ホワイト・ペーパー

(2)

Oracle Identity Management の概要

およびアーキテクチャ

概要 ... 3

ID 管理（アイデンティティ・マネージメント）... 3

ID 管理とは ... 4

ID 管理システムのコンポーネント... 4

Oracle Identity Management の概要 ... 5

Oracle Identity Management の目的 ... 6

Oracle Identity Management の概念およびアーキテクチャ ... 7

ID 管理の概念 ... 8

Application Security と ID 管理の統合 ... 8

識別情報およびアプリケーションのプロビジョニング・ライフサイ

クル ... 9

管理委任 ... 10

ID 管理の Oracle 製品との統合 ... 11

結論 ... 12

(3)

Oracle Identity Management の概要

およびアーキテクチャ

概要

ID 管理（アイデンティティ・マネージメント）とは、企業環境でのアプリケーションのユーザーID を定義および管理するプロセスです。具体的に、ID 管理のプロセスを示します。 • ユーザーID のプロビジョニングおよび調整 • ユーザー・アカウント・プロビジョニングの自動化 • ユーザー・ロール、権限および資格証明の管理 • 管理者による責任の委任 • 管理者による簡単でセキュアなアプリケーションの配置 • ユーザーによる作業環境およびパスワードの自己管理 • ユーザーによるシングル・サインオン・アクセス統合化された ID 管理インフラストラクチャは、企業がこれらを効率的に操作して、管理コストを削減し、エンド・ユーザー体験の改善に役立ちます。このドキュメントは、Oracle 環境における ID 管理の概要を必要とするユーザー、および Oracle Identity Management 配置を計画している企業を対象にしています。このドキュメントは、ID 管理、ID 管理インフラストラクチャに必須のコンポーネントの説明、および企業環境で使用する Oracle の ID 管理インフラストラクチャの概要と目的を説明します。さらに、アプリケーション・セキュリティにおける ID 管理のロール、識別およびアプリケーション・プロビジョニング・ライフサイクルなどの概要、および分散環境におけるユーザー管理のトピックについて説明しています。最後に、Oracle 製品がどのように ID 管理インフラストラクチャを活用しているかを検証します。

ID 管理（アイデンティティ・マネージメント）

この章では、ID 管理の概要および ID 管理システムの主要コンポーネントを紹介します。次に、Oracle Identity Management 配置の目的、および Oracle Identity Management インフラストラクチャについて説明します。

(4)

ID 管理とは

ID 管理は、ID 管理システムの様々なコンポーネントが組織のネットワーク・エンティティのセキュリティ・ライフ・サイクルを管理するプロセスで、通常、組織のアプリケーション・ユーザー管理を指します。セキュリティ・ライフ・サイクル手順は、アカウントの作成、一時停止、権限変更およびアカウント削除で構成されています。管理されるネットワーク・エンティティには、デバイス、プロセス、アプリケーション、およびネットワーク環境において対話するその他すべてのものを含みます。また、ID 管理作業で管理されるエンティティには、たとえば顧客、取引先パートナ、Web サービスなど組織外のユーザーも含みます。 ID 管理システムを使用して、企業は次のことを実現できます。 • アカウント管理の集中化および業務の自動化による管理コストの削減。 • 新しいアプリケーションで既存のインフラストラクチャを活用してユーザー・アカウントと権限のプロビジョニングを可能にするアプリケーション配置の高速化。 • 新規ユーザーへの迅速なアプリケーション・アクセスを可能にするユーザー・エクスペリエンスの改善。 • ユーザー・パスワードおよびセキュリティに関する資格証明の集中管理、およびアプリケーションのカスタマイズによる認可の集中化および方針情報の活用による、セキュリティおよびユーザビリティの向上。

ID 管理システムのコンポーネント

完全な ID 管理システムは、次のコンポーネントで構成されています。 • ユーザー情報を保存および管理するスケーラブルでセキュアな、標準に準拠したディレクトリ・サービス。 • 人事管理アプリケーションなどのエンタープライズ・プロビジョニング・システムにリンク可能な、またはスタンドアロン・モードで操作可能なプロビジョニング・フレームワーク。 • 企業の ID 管理ディレクトリを、従来のディレクトリにまたはアプリケーション固有のディレクトリに接続可能にするディレクトリ統合プラットフォーム。

• PKI（public key infrastructure）証明書を作成および管理するシステム。

• ユーザー認証のランタイム・モデル。 • ID 管理システムの管理者が、選択的に個別のアプリケーションの管理者または直接エンド･ユーザーにアクセス権限を委任できる委任管理モデルおよびアプリケーション。様々な要件に対応可能なセキュリティ・モデルとユーザー・インタフェース・モデルが必須です。識別情報は、ネットワーク・エンティティを固有に識別する一連の属性です。ネットワーク・エンティティは、ネットワークで様々なアプリケーションへのアクセスに異なるアカウントを多数所有できます。このようなアカウントは、このエンティティの異なる属性に応じたアプリケーションで識別できます。たとえば、ユーザーは、電子メール・サービスで電子メール ID によって識別されますが、同じユーザーでは、人事管理アプリケーションが従業員番号によって識別します。このような属性のグローバル・セットは、エンティティの識別を構成します。

(5)

図 1 に、ID 管理システムの概要を示します。

図 1: ID 管理システムの概要

Oracle Identity Management の概要

Oracle Identity Management は、Oracle 製品のセキュリティ分散のために使用する統 合されたインフラストラクチャです。Oracle Identity Management は、Oracle9i Database Server および Oracle Collaboration Suite の他、Oracle Application Server にも含まれています。

Oracle Identity Management インフラストラクチャは、次のコンポーネントで構成されています。

• Oracle Internet Directory: Oracle9i Database Sever に実装されるスケーラブ ルで堅牢な LDAP V3 準拠のディレクトリ・サービスです。

• Oracle Directory Integration and Provisioning: Oracle Internet Directory の コンポーネントで、このコンポーネントにより次のことが可能になります。

{ Oracle Internet Directory とその他の接続ディレクトリ間のデータの同期化。

{ ユーザーのステータスまたは情報の変更を反映するターゲット・アプ

リケーションへの通知の送付。

{ 固有の接続性エージェントの開発および配置。

• Oracle Delegated Administration Services: Oracle Internet Directory のコン ポーネントで、ユーザーおよびアプリケーション管理者に、ディレクトリ情報の信頼できるプロキシ・ベースの管理を提供します。

• OracleAS Single Sign-On（Oracle Application Server Single Sign-On）: Oracle およびサード・パーティの Web アプリケーションへのシングル・サインオン・アクセスを提供します。

• OCA（Oracle Application Server Certificate Authority）: PKI ベースの厳密 認証をサポートする X.509v3 証明書を生成、取消、更新および発行します。多くの異なるアプリケーション（Oracle E-Business Suite、Oracle Collaboration Suite など）は、図 2 に示すとおり Oracle Identity Management インフラストラクチャを活用できます。

(6)

図 2: Oracle Identity Management オラクル製品に対するエンタープライズ・インフラストラクチャを提供する設計がされていますが、同時にユーザーが作成した基幹業務アプリケーションやサードパーティの基幹業務アプリケーションを対象とする、汎用 ID 管理ソリューションとしても機能します。また、サード・パーティのアプリケーション・ベンダーは、Oracle Identity Management インフラストラクチャにより認証されているため、適切な動作が保証されます。

Oracle Identity Management の目的

Oracle Identity Management は、次の 3 つのアーキテクチャ要件を満たす設計がされています。

• Oracle Identity Management は、すべての Oracle 製品およびテクノロジ・ス タック（Oracle Application Server、Oracle9i Database Server、Oracle E-Business Suite、Oracle Collaboration Suite など）の共有インフラストラクチャとして機能します。したがって、Oracle 製品およびテクノロジの核となる長所を持つ、セキュアで信頼性が高いスケーラブルな製品です。Oracle Identity Management は、Oracle 製品およびテクノロジ・スタック間に一貫性のあるセキュリティ・モデルを提供します。

(7)

Oracle Identity Management インフラストラクチャは、一度の配置で、既存および将来の Oracle 製品の配置をサポートする設計がされています。 • Oracle Identity Management は、既存のサード・パーティの ID 管理インフ

ラストラクチャと、それに対する投資を有効に活かす、セキュアで効率的かつ信頼性の高い手段を提供します。

{ Oracle Identity Management により、ID 管理環境を必要とする Oracle テクノロジ・スタック全体を 1 箇所で一貫して統合できるため、サード・パーティ環境における個々の Oracle 製品の統合および管理が容易になります。

{ Oracle Identity Management は、Oracle Directory Integration and Provisioning を使用して、サード・パーティ企業ディレクトリの計画と配置に対し、これまで投資したリソースを運用します。これにより、ディレクトリ・ネーミング、ディレクトリ・ツリー構造、スキーマ拡張、アクセス制御およびセキュリティ方針など、主要な考慮点を計画し継承する手段が提供されます。既存のフレームワークに確立されている、ユーザー登録、識別情報およびアカウント・プロビジョニングのプロシージャは、対応する Oracle Identity Management 操作にシームレスに取り込まれます。 { サード・パーティ認証サービスを使用している場合、OracleAS Single Sign-On は、サービスと統合する手段を提供します。また、サード・パーティ認証プラットフォームにある、既存の Oracle 環境で認証された相互運用性ソリューションにアクセスするユーザーに、シームレスなシングル・サインオン環境も提供します。さらに、新製品に同様のソリューションを実装できる、適切な定義のインタフェースが提供されています。

• Oracle Identity Management インフラストラクチャは、ID 管理のための企業全体に対する基盤として機能し、顧客の環境に配置された他の Oracle 製品、およびサード・パーティ・ベンダー製品をサポートします。

Oracle Identity Management は、あらゆる Oracle 製品とサード・パーティ製品のユーザーおよびアカウント・プロビジョニングを効率化して、所有コストを削減します。高レベルのセキュリティ、スケーラビリティおよび豊富な機能も提供されます。Oracle Identity Management は、すべての関連インタフェースの業界標準をサポートしているため、カスタマイズや多数の異なるアプリケーション環境に拡張ができます。

Oracle Identity Management の概念およびアーキテクチャ

この章では、ID 管理の配置を効果的に実現するため理解しておく必要がある概念を紹介します。Oracle Identity Management アーキテクチャの概要、および Oracle 環境のユーザーとアプリケーションのプロビジョニング・ライフサイクルについて説明し、ID 管理の説明で共通に使用されている用語を示します。

(8)

ID 管理の概念

この項では、ID 管理の基本的概念について説明します。

Application Security と ID 管理の統合

この項では、Oracle Identity Management と統合された典型的アプリケーションの管理者に、設計に必要な概要を提供します。様々な Oracle Identity Management コンポーネントとサービスのロールを理解するためのフレームワーク、および企業環境におけるセキュアなアプリケーション配置方法を理解する基礎的事項を説明します。アプリケーション統合モデルを図 3 に示します。このモデルの場合、ID 管理インフラストラクチャによって、次の重要なサービスが実施されます。 • 管理およびプロビジョニング: 管理およびプロビジョニング・サービスを、 ID 管理インフラストラクチャが管理する識別情報に提供します。Oracle Identity Management では、これらのサービスは、Delegated Administration Service、Oracle Directory Integration and Provisioning などのツールで実行されます。

• ポリシー決定サービス: これらのサービスは、通常 OracleAS Portal などの アプリケーションにより実行されますが、Oracle Identity Management では、 Oracle Internet Directory が ID 管理インフラストラクチャ自体のポリシー決定サービスを実行します。

• 識別情報ポリシー・アサーション・サービス: Oracle Identity Management では、これらのサービスは、OracleAS Single Sign-On および Oracle Application Server Certificate Authority によって実行されます。

図 3: アプリケーション統合モデル

Policy Decision Services は、アプリ ケーションがアクセスを保護し制御するリソースに対応している、任意の資格授与方針を解析するプロセスです。一部のアプリケーションは、アプリケーション自体に埋め込まれている意志決定サービスを使用し、その他のアプリケーションは、集中化された意志決定サービスを使用します。

(9)

ID 管理インフラストラクチャに配置されるアプリケーションは、次の方法でインフラストラクチャと対話します。 • ユーザー認証: アプリケーションは、ユーザーからのアクセスに対し、ID 管理インフラストラクチャから提供されるサービスでユーザー資格証明の妥当性をチェックします。認証およびアプリケーションに関連する通信は、識別情報ポリシー・アサーション・サービスで実行されます。たとえば、Oracle Identity Management インフラストラクチャでは、OracleAS Single Sign-On によって発行される、暗号化された Cookie に含まれる資格証明妥当性チェックがこれに当たります。 • ユーザー認可: 一度認証されると、アプリケーションは、アプリケーショ ンによって保護されているリソースに対して、ユーザーが十分な権限を持っているかの確認も必要になります。この確認は、ID 管理インフラストラクチャで管理される識別情報に基づいたアプリケーションにより実行されます。たとえば、J2EE アプリケーションは、認証後に、OracleAS JAAS Provider（Oracle Application Server Java Authentication and

Authorization Service）を使用して、Oracle Identity Management インフラストラクチャにあるユーザー情報およびロール情報にアクセスします。

識別情報およびアプリケーションのプロビジョニング・ライフサイクル

この項では、Oracle 環境におけるユーザーID およびアプリケーション・プロビジョニングのフローの概要について説明します。図 4: 識別情報およびアプリケーション・プロビジョニングのライフ・サイクル次に、図 4 のプロビジョニング・フローについて説明します。 1. 最初に、製品のインストールおよび構成ツールを使用して、Identity Management インフラストラクチャを配置します。 2. 次に、ID 管理セキュリティ・ポリシーを定義します。これらのポリシー（方針）によって、アクセスが許可されるデータ・ユーザーとアプリケー

ションが判断されます。これらのポリシーは、Oracle Internet Directory の Identity Management Assertion

Services は、エンティティまたはその認 可の識別情報について、検証可能なアサーションを生成するプロセスです。ネットワーク・エンティティは、エンティティがアクセスするその他のサービスにこれらのアサーションを提示します。 ID 管理ポリシーはネーミング・ポリシー やセキュリティ・ポリシーなど、企業の ID 管理に影響する方針です。

(10)

ACL（Access Control List）として体系化され、通常、Oracle Directory Manager を使用して管理されます。

3. 次の 3 つの処理は、通常継続ベースで行われます。それぞれの処理は、パラレルで実行が可能で、特定の順序を必要としません。

• ユーザーID は Oracle Internet Directory でプロビジョニングされます。これらのユーザーID は、人事管理アプリケーション、ユーザー管理ツール（Oracle Internet Directory Self-Service Console を含む）などの複数ソースから、その他のディレクトリとの同期またはディレクトリ・バルク・ローディング・ツールを介して取得されます。

• グループおよびロールは、Oracle Internet Directory で管理されます。グループおよびグループ・メンバーシップは、Oracle Internet Directory Self-Service Console または別のディレクトリ・サービスとの同期など、様々な方法で定義できます。

• アプリケーション・インスタンスは、Oracle Identity Management インフラストラクチャに対して配置されます。インスタンスの配置には通常、ID 管理インフラストラクチャ管理者が必要となり、まず Oracle Internet Directory 管理ツールを使用してアプリケーション管理者にアクセス権限が付与されます。アプリケーション管理者は、アプリケーション・インストールと構成ツールを使用して、アプリケーションのサポートに必要なディレクトリ・オブジェクトとエントリを作成します。 4. ユーザーID、グループとロール、アプリケーションは、アプリケーション・アカウント・プロビジョニングのプロセスで関連付けられます。これは、アプリケーション管理ツールを使用して手動で、またはプロビジョニングを統合して自動でも可能です。

管理委任

Oracle Identity Management は、エンタープライズ・ユーザー、グループおよびサービスの集中型リポジトリが必要です。ただし、ビジネス要件により、管理者の集中型セットでの集中型ストアの管理が困難になります。たとえば、ビジネス環境では、エンタープライズ・ユーザー・マネジメント管理者が電子メール・サービス管理者と異なったり、財務管理者はユーザー権限の完全な制御を必要としたり、または OracleAS Portal 管理者は特定のユーザーまたはグループの Web ページの完全な制御が必要な場合があります。管理者の様々なニーズおよび異なるセキュリティ要件を満たすために、ID 管理システムには委任管理が必要です。委任管理によって、セキュリティ要件に基づいて、ID 管理システム内部のデータ管理を多数の異なる管理者に分散できます。集中型リポジトリおよび委任権限を組み合せて、ID 管理インフラストラクチャにおけるセキュアでスケーラブルな管理を実現します。

(11)

ID 管理の Oracle 製品との統合

各 Oracle テクノロジ・スタック（Oracle Application Server、Oracle9i Database Server, Oracle E-Business、Oracle Collaboration Suite など）は、設計に合うセキュリティ・モデルをサポートします。これらのスタックすべてに Oracle Identity Management インフラストラクチャが採用され、図 5 に示すとおり、それぞれのセキュリティ・モデルが実装されています。

図 5: ID 管理の Oracle 製品との統合

Oracle Application Server は、JAAS（Java Authentication and Authorization Service）と呼ばれる J2EE 準拠のセキュリティ・サービスをサポートしています。JAAS は、 Oracle Internet Directory で定義されるユーザーおよびロールを使用する構成が可能です。

同様に、データベース・セキュリティ機能（Enterprise User および Oracle Label Security）では、Oracle Internet Directory で定義されるユーザーとロールの手段が提供されます。これらの 2 つのプラットフォームによって、プラットフォームそれぞれのネイティブ・セキュリティ機能を使ったアプリケーションを容易に開発でき、基礎となる ID 管理インフラストラクチャの透過的な使用が可能になります。 Oracle E-Business Suite および Oracle Collaboration Suite アプリケーション・スタッ クは、Oracle9i Database Server と Oracle Application Server プラットフォームに階層 化され、Oracle Identity Management インフラストラクチャを間接的に統合します。さらに、これらの製品は、Oracle Identity Management に依存する独立した機能を備えています。たとえば、Oracle E-Mail や Oracle Voicemail & Fax などの Oracle Collaboration Suite コンポーネントでは、Oracle Internet Directory を使用して、コンポーネント固有のユーザー設定項目、個人的連絡先およびアドレス帳を管理します。

(12)

また、これらの Oracle テクノロジ・スタックは、Oracle Directory Integration and Provisioning を使用して、自動的にユーザー・アカウントと権限のプロビジョニングとデプロビジョニングを実行します。Oracle Delegated Administration Service は、ユーザー設定項目および個人的連絡先のセルフサービス方式の管理に幅広く採用されています。また、これらの製品の Security Management インタフェースで、サービス・ユニットと呼ばれるユーザーおよびグループ管理作成ブロックが使用されます。

結論

ID 管理システムにより、企業は、管理コストの削減、より適切なユーザー体験、セキュリティの改善などが実現します。ただし、これらの利点を十分に活用するには、統合化された総合的 ID 管理インフラストラクチャの含意を理解する必要があります。

Oracle Identity Management は企業システムで必要とされる機能を兼ね備えたインフラストラクチャで、ディレクトリ・サービス、ディレクトリ同期、ユーザー・プロビジョニング、委任管理、Web Single Sign-On および X.509v3 認証局を提供します。Oracle Identity Management は、簡単に Oracle のアプリケーションと組み合わせて利用できる設計がされており、さらに企業以外でも汎用 ID 管理インフラストラクチャとして機能します。

(13)

Oracle Identity Management の概要およびアーキテクチャ 2003 年 12 月

著書: Michael Mesaros, Richard Strohm 寄稿者: Uppili Srinivasan Oracle Corporation World Headquarters 500 Oracle Parkway Redwood Shores, CA 94065 U.S.A. 海外からのお問合せ窓口: 電話: +1.650.506.7000 ファックス: +1.650.506.7200 www.oracle.com

この文書はあくまで参考資料であり、掲載されている情報は予告なしに変更されることがあります。オラクル社は、本ドキュメントの無謬性を保証しません。また、本ドキュメントは、法律で明示的または暗黙的に記載されているかどうかに関係なく、商品性または特定の目的に対する適合性に関する暗黙の保証や条件を含む一切の保証または条件に制約されません。オラクル社は、本書の内容に関していかなる保証もいたしません。また、本書により、契約上の直接的および間接的義務も発生しません。本書は、事前の書面による承諾を得ることなく、電子的または物理的に、いかなる形式や方法によっても再生または伝送することはできません。