Oracle Identity Analyticsサイジング・ガイド

(1)

Oracle ホワイト・ペーパー 2010 年 2 月

(2)

免責事項

本書は、オラクルの一般的な製品の方向性を示すことが目的です。情報を提供することだけが目的であり、契約とは一切関係がありません。商品、コード、または機能を提供するものではなく、購入の判断にご利用いただくためのものではありません。オラクルの製品に関して記載されている機能の開発、リリース、および時期については、弊社の裁量により決定されます。

(3)

はじめに

Oracle Identity Analytics はロール・ライフ・サイクル管理と ID コンプライアンスの包括的なソリューションを提供するソフトウェアです。このソフトウェアを利用すると、企業はあらかじめ内部のセキュリティ制御ポリシーをに適用することや、重要な ID 管理プロセスを自動化することができます。

このドキュメントでは、Oracle Identity Analytics を配置する際のハードウェアおよびソフトウェア要件を見積もる方法について説明します。小規模、中規模、および大規模という 3 種類の配置シナリオについて検討し、それぞれに対する推奨事項を提示します。提供される推奨事項は、本番環境への配置を計画する際の指針として役立ててください。このドキュメントは次の前提条件に基づいています。  高可用性が求められていること。  高可用性、バックアップ、リカバリに関して、RDBMS の仕様に基づいたベスト・プラクティスに従っていること。  ソフトウェアおよびハードウェアのロードバランシングの仕様はこのドキュメントの範囲外であること。

(5)

アーキテクチャの概要

Oracle Identity Analytics は Java™ Platform, Enterprise Edition（Java EE）の Web アプリケーションです。Java EE プラットフォームは一連の業界標準サービス、API、プロトコルで構成されており、Web ベースの多層エンタープライズ・アプリケーションの開発機能を提供します。各層が分離されているため、Oracle Identity Analytics は顧客のパフォーマンス要件に合わせて拡張できます。Oracle Identity Analytics は Java EE の仕様を使用して、柔軟かつスケーラブルでフォルト・トレラントなクロス・プラットフォーム・ソリューションを構築します。Oracle Identity Analytics のおもな層は次のとおりです。

 プレゼンテーション層 - JSP、JavaScript、XML などをレンダリングする Web サーバー・レイヤーであり、サポートされる各種 Web ブラウザからアクセス可能な UI を表示します。

 ロジック層 – Java EE アプリケーション・サーバーにより形成される中間層であり、Oracle Identity Analytics のすべてのビジネス・ロジックが実装されています。

 データ層 - データ層は通常、スタンドアロンまたはクラスタ化された RDBMS 環境で構成されており、Java Database Connectivity（JDBC）を利用してロジック層と統合されます。

Oracle Identity Analytics アプリケーションはアプリケーション・サーバー上に配置され、アプリケーション・データの中央リポジトリはデータベース・サーバー上に配置されます。図 1 に、Oracle Identity Analytics のアーキテクチャを示します。図 2 は、Oracle Identity Analytics を配置する際のサンプル・アーキテクチャを示したものです。

(6)

図 2：Oracle Identity Analytics のサンプル・アーキテクチャ

一般的な Oracle Identity Analytics の配置は、次のコンポーネントで構成されます。

 ロードバランシング・ルーターを使用してロードバランシングされたクラスタ化 Web サーバー。管理者を含むエンドユーザーはこれらの Web サーバーを介して Oracle Identity Analytics とやり取りします。

 Oracle Identity Analytics の配置先であり、クラスタリングされた Java EE アプリケーション・サーバー。

 Oracle Identity Analytics がデータ・リポジトリとして使用する RDBMS。データセットのサイズに応じて、データベース・サーバーはスタンドアロンまたはクラスタを選択できます。このサンプル・アーキテクチャではデータベースはクラスタ化されています。パフォーマンスを最適化するため、アプリケーション・サーバーと RDBMS は同じ場所（たとえば、同じサブネット内）に配置します。

 ほとんどの場合、Oracle Identity Analytics は ID 管理システムと統合されます。サポートされる ID 管理システムとの統合については、このドキュメントの範囲外です。

 Oracle Identity Analytics は RACF、AD、ACF2 などのターゲット・システムから取得したフラット・ファイルを利用して、アイデンティティ・ウェアハウスを構築します。通常、ターゲット・システムが SFTP を使用して共有スペースにフラット・ファイルを送信し、後から Oracle Identity Analytics のインポート・プロセスを使用してこのファイルがインポートされます。このようなターゲット・システムは非管理リソースとして分類されます。

シングル・サインオン・サーバーやプロキシ・サーバーなどの追加のインフラストラクチャは、配置の一環として考慮されていません。

(7)

配置時の考慮事項

Oracle Identity Analytics のパフォーマンスは、前のセクションで説明した各層にかかる負荷とその応答特性によって異なります。以降のセクションでは、パフォーマンスに影響を与える要因を特定し、それらについて説明していきます。配置の計画中に、これらの要因を考慮に入れる必要があります。

Oracle Identity Analytics Web クライアント

システムにアクセスする同時ユーザーの数は、Web クライアントのパフォーマンスに直接的な影響を与えます。また、ロールのプロビジョニング、認証、SoD 監視、レポーティング、およびダッシュボードの使用など、各ユーザー・セッション内で実行されるアクティビティもパフォーマンスに影響を与えます。同時ユーザー数とそのシステム・アクティビティは、アプリケーション・サーバーの CPU およびメモリ要件に大きな影響を及ぼします。

Oracle Identity Analytics サーバー

Oracle Identity Analytics サーバーは、Java EE テクノロジーを使用してエンドユーザー、ターゲット・システム、データベース・リポジトリなどとやり取りする Java EE アプリケーションです。Oracle Identity Analytics のサイジングにおいて考慮すべきサーバー処理範囲は、次のとおりです。

 Oracle Identity Analytics インポート・プロセス - インポート･ジョブは、Oracle Identity Analytics アイデンティティ・

ウェアハウスへデータを移入するために作成されます。データのインポートは、テキスト・ファイルまたはプロビジョニング・システムへの直接接続を使用して実行されます。Oracle Identity Analytics はウェアハウス内でデータを挿入または更新し、すべてのデータ・フィードのアーカイブを作成します。

大規模なデータセットをインポートすると、アプリケーション・サーバーのリソース制約（CPU およびメモリの使用率など）やデータベースのリソース制約（Oracle Identity Analytics リポジトリを含む表領域サイズの増加など）を受ける場合があります。

 Oracle Identity Analytics ID 証明 - ID 認証はユーザー・エンタイトルメントをレビューして、未承認エンタイトルメ

ントがユーザーに付与されていないことを確認するプロセスです。コンプライアンス要件を満たすため、認証プロセスを定期的に実行するようスケジューリングできます。マネージャーは ID 認証モジュールを使用して、アプリケーションとデータにアクセスするための従業員の権限を確認します。Oracle Identity Analytics によって報告された変更に基づき、マネージャーは必要に応じて、従業員のアクセスを承認または取り消すことができます。

大規模なユーザーの権限のデータセットを認証すると、アプリケーション・サーバーやデータベースのリソース制約によって Oracle Identity Analytics のパフォーマンスに影響が及ぶ場合があります。

 Oracle Identity Analytics ID 監査プロセス - ID 監査モジュールは職務分掌（SoD）違反を検出するように設計されて

います。職務分掌違反とは、組み合わせてはいけない 2 つのエンタイトルメントが、1 つのユーザー・アカウントやユーザー属性、またはロールに割り当てられているケースを指します。 ID 証明モジュールがマネージャーによるユーザー・アクセスの証明と取消しを可能にする一方で、ID 監査モジュールはリソースに対する実際のユーザー・アクセスを監視し、継続的に違反を捕捉する検出メカニズムを提供します。また、監査ポリシーを遵守し、例外を報告するようにこのソフトウェアを設定することもできます。例外レポートではすべての例外のサマリーが提供され、セキュリティ・アナリストや経営陣、または監査人は、これを使用して例外を容認または軽減することができます。

(8)

配置カテゴリ

Oracle Identity Analytics の配置は、小規模、中規模、および大規模の 3 つのカテゴリに分類されます。これらの配置カテゴリを選択する際に考慮すべき要素を次に示します。これらの要素は、Oracle Identity Analytics を配置する際のハードウェアおよびソフトウェアの仕様に影響を与えます。

小規模

ユーザー数 5000 1 ユーザーあたりのアカウント数 5 リソース数 5 ロール数 500 1 日あたりのロール・リクエスト数 5 ポリシー数 500 一定期間の認証数 100 - 200

中規模

ユーザー数 50000 1 ユーザーあたりのアカウント数 50 リソース数 100 ロール数 1000 1 日あたりのロール・リクエスト数 100 ポリシー数 5000 一定期間の認証数 2500 - 3000

大規模

ユーザー数 1000000 1 ユーザーあたりのアカウント数 100+ リソース数 500+ ロール数 5000 1 日あたりのロール・リクエスト数 200 ポリシー数 50000 一定期間の認証数 6000+

(9)

配置アーキテクチャ

以降のセクションでは、前述のサイジング・マトリックスと実際の配置に基づいて、適切なハードウェア構成が提示されます。配置アーキテクチャは配置タイプごとに説明されています。データベースのサイズ要件を計算するには、本書の「Oracle Identity Analytics データベース・サイズの計算」セクションを参照してください。

小規模配置

アプリケーション・サーバーの構成

CPU Intel Xeon X5550（クアッドコア 2.6GHz）または同等のもの JVM ヒープ・サイズ 1 ノード当たり 2GB

データベース・サーバーの構成

CPU Intel Xeon X5550（クアッドコア 2.6GHz）または同等のもの RAM 1 ノード当たり 2GB

SGA の総サイズ（Oracle データベース・サーバー用） 1GB オープン・カーソル（Oracle データベース・サーバー用） 300

(10)

中規模配置

中規模配置の場合、アプリケーション・サーバーはクラスタリングされます。アプリケーション・サーバーにハイエンド・マシンが使用されている場合は、クラスタ・ノードは同じ物理マシン上の異なるノードとして配置できます。パフォーマンスを最適化するため、ロードバランシング・ルーターを使用してノード間のロードバランシングを実行できます。

CPU Intel Xeon X5550（クアッドコア 2.6GHz）または同等のもの JVM ヒープ・サイズ 1 ノード当たり 4GB

CPU Intel Xeon X5550（クアッドコア 2.6GHz）または同等のもの RAM 1 ノード当たり 4GB

SGA の総サイズ（Oracle データベース・サーバー用） 2GB+ オープン・カーソル（Oracle データベース・サーバー用） 500

(11)

大規模配置

大規模配置には、大規模なデータセット、処理、ユーザーなどによる高いシステム負荷が伴います。この負荷を処理するため、専用のクラスタ Web サーバーとクラスタ・データベース・サーバー（Oracle Real Application Clusters（Oracle RAC）Database など）を追加することを推奨します。大規模配置においては、ID 認証などで大量の計算が実行されることが多いため、大容量の JVM ヒープが強く推奨されています。パフォーマンス要件が増加した場合、ノードを追加して水平方向にスケール・アウトすることで対応できます。また、アプリケーション・サーバーを異なるマシンに配置する必要はありません。十分な物理メモリおよび CPU が備わったハイエンド・マシンを使用している場合は、Oracle Identity Analytics を使用する複数ノードを、同じ物理マシン上に配置できます。

CPU 2 x Intel Xeon X5550（クアッドコア 2.6GHz）または同等のもの JVM ヒープ・サイズ 1 ノード当たり 8GB

CPU 2 x Intel Xeon X5550（クアッドコア 2.6GHz）または同等のもの RAM 1 ノード当たり 8GB

SGA の総サイズ（Oracle データベース・サーバー用） 4GB+ オープン・カーソル（Oracle データベース・サーバー用） 1500+

システム・パフォーマンスを最適化するため、64 ビットのオペレーティング・システム上に Oracle Identity Analytics を配置することが強く推奨されています。サポートされるオペレーティング・システム、アプリケーション・サーバー、およびブラウザについては、Oracle Technology Network 上の Oracle Identity Analytics の「Certification Matrix」を参照してください。

(12)

(13)

Oracle Identity Analytics データベース・サイズの計算

次の手順を使用すると、Oracle データベース・サーバーに Oracle Identity Analytics を配置する際のデータベース・サイズ要件を見積もることができます。

アカウント・オブジェクトの計算

アカウント・オブジェクトの数を計算するには、該当する値を次の式に代入します。アカウント・オブジェクトの総数 = リソース・タイプ数 x リソース数 x リソースあたりのアカウント数

ポリシー・オブジェクトの計算

ポリシー・オブジェクトの数を計算するには、該当する値を次の式に代入します。注：各ポリシー・バージョンが 1 つのオブジェクトになります。ポリシー・オブジェクトを計算する際、ポリシー・バージョンの数を追加してください。ポリシー・オブジェクトの総数 = リソース・タイプ数 x リソース数 x リソースあたりのポリシー数

オブジェクト総数の計算

オブジェクトの総数を計算するには、該当する値を次の式に代入します。オブジェクト総数＝グローバル・ユーザー・オブジェクト数 + アカウント・オブジェクトの総数 + ポリシー・オブジェクトの総数 + ロール・オブジェクトの総数 + リクエスト・オブジェクトの総数注：各ロール・バージョンが 1 つのオブジェクトになります。ロール・オブジェクトを計算する際、ロール・バージョンの数を追加してください。

データベースのディスク領域要件の決定

一般的なオブジェクト・サイズは 120KB であり、レポートと認証はそれぞれ約 4MB のデータになります。また ID 監査（職務分掌-SoD）違反のサイズは約 500KB です。オブジェクトによるディスク領域の概算値を計算するには、次の式に該当する値を代入します。オブジェクトのディスク領域の概算値 = オブジェクト総数 x 1オブジェクトあたりのサイズ合計データベース・サイズ = オブジェクトのディスク領域の概算値 +（年間証明数 x 1レポートあたりのサイズ）+ （年間レポート数 x 1レポートあたりのサイズ）+（SoD違反の平均数 x 1違反あたりのサイズ） 1 ユーザーあたりのアカウント数が増えると、ディスク領域は指数関数的に増加します。必要な領域は、次の数に依存します。  グローバル・ユーザーの数  1 ユーザーあたりのアカウント数  リソース・タイプとリソースの数

Oracle Identity Analytics データ・リポジトリとして Oracle データベース・サーバーを使用している場合、チェックポイント・システムやジャーナリングを使用して自動化されたスナップショットによってハードディスク領域要件が増加します。Oracle Identity Analytics のサイジングを行う際、このようなデータ・リカバリによる制約も、データベースのハードディスクの空き領

(14)

Oracle Identity Analytics サイジング・ガイド 2010 年 2 月著者：Anish Chauhan Oracle Corporation World Headquarters 500 Oracle Parkway Redwood Shores, CA 94065 U.S.A. 海外からのお問い合わせ窓口：電話：+1.650.506.7000 ファクシミリ：+1.650.506.7200 www.oracle.com

Copyright © 2010, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記載される内容は予告なく変更されることがあります。本文書は一切間違いがないことを保証するものではなく、さらに、口述による明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての黙示的な保証を含み、いかなる他の保証や条件も提供するものではありません。オラクル社は本文書に関するいかなる法的責任も明確に否認し、本文書によって直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もって得ることなく、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません。

Oracle は米国 Oracle Corporation およびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。