Oracle Identity Analyticsサイジング・ガイド

14 

Loading....

Loading....

Loading....

Loading....

Loading....

全文

(1)

Oracle ホワイト・ペーパー 2010 年 2 月

(2)

免責事項

本書は、オラクルの一般的な製品の方向性を示すことが目的です。情報を提供することだけが目的であり、契約とは一切関係 がありません。商品、コード、または機能を提供するものではなく、購入の判断にご利用いただくためのものではありません。 オラクルの製品に関して記載されている機能の開発、リリース、および時期については、弊社の裁量により決定されます。

(3)

目次

はじめに ... 4

アーキテクチャの概要 ... 5

配置時の考慮事項 ... 7

Oracle Identity Analytics Web クライアント ... 7

Oracle Identity Analytics サーバー ... 7

配置カテゴリ ... 8 小規模 ... 8 中規模 ... 8 大規模 ... 8 配置アーキテクチャ ... 9 小規模配置 ... 9 中規模配置 ... 10 大規模配置 ... 11

Oracle Identity Analytics データベース・サイズの計算 ... 13

アカウント・オブジェクトの計算 ... 13

ポリシー・オブジェクトの計算 ... 13

オブジェクト総数の計算 ... 13

(4)

はじめに

Oracle Identity Analytics はロール・ライフ・サイクル管理と ID コンプライアンスの包括的なソリューションを提供するソフト ウェアです。このソフトウェアを利用すると、企業はあらかじめ内部のセキュリティ制御ポリシーをに適用することや、重要 な ID 管理プロセスを自動化することができます。

このドキュメントでは、Oracle Identity Analytics を配置する際のハードウェアおよびソフトウェア要件を見積もる方法につい て説明します。小規模、中規模、および大規模という 3 種類の配置シナリオについて検討し、それぞれに対する推奨事項を提 示します。提供される推奨事項は、本番環境への配置を計画する際の指針として役立ててください。 このドキュメントは次の前提条件に基づいています。  高可用性が求められていること。  高可用性、バックアップ、リカバリに関して、RDBMS の仕様に基づいたベスト・プラクティスに従っていること。  ソフトウェアおよびハードウェアのロードバランシングの仕様はこのドキュメントの範囲外であること。

(5)

アーキテクチャの概要

Oracle Identity Analytics は Java™ Platform, Enterprise Edition(Java EE)の Web アプリケーションです。Java EE プラッ トフォームは一連の業界標準サービス、API、プロトコルで構成されており、Web ベースの多層エンタープライズ・アプリケー ションの開発機能を提供します。各層が分離されているため、Oracle Identity Analytics は顧客のパフォーマンス要件に合わせ て拡張できます。Oracle Identity Analytics は Java EE の仕様を使用して、柔軟かつスケーラブルでフォルト・トレラントなク ロス・プラットフォーム・ソリューションを構築します。Oracle Identity Analytics のおもな層は次のとおりです。

 プレゼンテーション層 - JSP、JavaScript、XML などをレンダリングする Web サーバー・レイヤーであり、サポート される各種 Web ブラウザからアクセス可能な UI を表示します。

 ロジック層 – Java EE アプリケーション・サーバーにより形成される中間層であり、Oracle Identity Analytics のすべ てのビジネス・ロジックが実装されています。

 データ層 - データ層は通常、スタンドアロンまたはクラスタ化された RDBMS 環境で構成されており、Java Database Connectivity(JDBC)を利用してロジック層と統合されます。

Oracle Identity Analytics アプリケーションはアプリケーション・サーバー上に配置され、アプリケーション・データの中央リ ポジトリはデータベース・サーバー上に配置されます。図 1 に、Oracle Identity Analytics のアーキテクチャを示します。図 2 は、Oracle Identity Analytics を配置する際のサンプル・アーキテクチャを示したものです。

(6)

図 2:Oracle Identity Analytics のサンプル・アーキテクチャ

一般的な Oracle Identity Analytics の配置は、次のコンポーネントで構成されます。

 ロードバランシング・ルーターを使用してロードバランシングされたクラスタ化 Web サーバー。管理者を含むエンド ユーザーはこれらの Web サーバーを介して Oracle Identity Analytics とやり取りします。

 Oracle Identity Analytics の配置先であり、クラスタリングされた Java EE アプリケーション・サーバー。

 Oracle Identity Analytics がデータ・リポジトリとして使用する RDBMS。データセットのサイズに応じて、データベー ス・サーバーはスタンドアロンまたはクラスタを選択できます。このサンプル・アーキテクチャではデータベースは クラスタ化されています。パフォーマンスを最適化するため、アプリケーション・サーバーと RDBMS は同じ場所(た とえば、同じサブネット内)に配置します。

 ほとんどの場合、Oracle Identity Analytics は ID 管理システムと統合されます。サポートされる ID 管理システムとの 統合については、このドキュメントの範囲外です。

 Oracle Identity Analytics は RACF、AD、ACF2 などのターゲット・システムから取得したフラット・ファイルを利用 して、アイデンティティ・ウェアハウスを構築します。通常、ターゲット・システムが SFTP を使用して共有スペー スにフラット・ファイルを送信し、後から Oracle Identity Analytics のインポート・プロセスを使用してこのファイル がインポートされます。このようなターゲット・システムは非管理リソースとして分類されます。

シングル・サインオン・サーバーやプロキシ・サーバーなどの追加のインフラストラクチャは、配置の一環として考慮されて いません。

(7)

配置時の考慮事項

Oracle Identity Analytics のパフォーマンスは、前のセクションで説明した各層にかかる負荷とその応答特性によって異なります。 以降のセクションでは、パフォーマンスに影響を与える要因を特定し、それらについて説明していきます。配置の計画中に、 これらの要因を考慮に入れる必要があります。

Oracle Identity Analytics Web クライアント

システムにアクセスする同時ユーザーの数は、Web クライアントのパフォーマンスに直接的な影響を与えます。また、ロール のプロビジョニング、認証、SoD 監視、レポーティング、およびダッシュボードの使用など、各ユーザー・セッション内で実 行されるアクティビティもパフォーマンスに影響を与えます。同時ユーザー数とそのシステム・アクティビティは、アプリケー ション・サーバーの CPU およびメモリ要件に大きな影響を及ぼします。

Oracle Identity Analytics サーバー

Oracle Identity Analytics サーバーは、Java EE テクノロジーを使用してエンドユーザー、ターゲット・システム、データベー ス・リポジトリなどとやり取りする Java EE アプリケーションです。Oracle Identity Analytics のサイジングにおいて考慮すべ きサーバー処理範囲は、次のとおりです。

Oracle Identity Analytics インポート・プロセス - インポート・ジョブは、Oracle Identity Analytics アイデンティティ・

ウェアハウスへデータを移入するために作成されます。データのインポートは、テキスト・ファイルまたはプロビジョ ニング・システムへの直接接続を使用して実行されます。Oracle Identity Analytics はウェアハウス内でデータを挿入 または更新し、すべてのデータ・フィードのアーカイブを作成します。

大規模なデータセットをインポートすると、アプリケーション・サーバーのリソース制約(CPU およびメモリの使用 率など)やデータベースのリソース制約(Oracle Identity Analytics リポジトリを含む表領域サイズの増加など)を受 ける場合があります。

Oracle Identity Analytics ID 証明 - ID 認証はユーザー・エンタイトルメントをレビューして、未承認エンタイトルメ

ントがユーザーに付与されていないことを確認するプロセスです。コンプライアンス要件を満たすため、認証プロセ スを定期的に実行するようスケジューリングできます。マネージャーは ID 認証モジュールを使用して、アプリケーショ ンとデータにアクセスするための従業員の権限を確認します。Oracle Identity Analytics によって報告された変更に基 づき、マネージャーは必要に応じて、従業員のアクセスを承認または取り消すことができます。

大規模なユーザーの権限のデータセットを認証すると、アプリケーション・サーバーやデータベースのリソース制約 によって Oracle Identity Analytics のパフォーマンスに影響が及ぶ場合があります。

Oracle Identity Analytics ID 監査プロセス - ID 監査モジュールは職務分掌(SoD)違反を検出するように設計されて

います。職務分掌違反とは、組み合わせてはいけない 2 つのエンタイトルメントが、1 つのユーザー・アカウントやユー ザー属性、またはロールに割り当てられているケースを指します。 ID 証明モジュールがマネージャーによるユーザー・アクセスの証明と取消しを可能にする一方で、ID 監査モジュール はリソースに対する実際のユーザー・アクセスを監視し、継続的に違反を捕捉する検出メカニズムを提供します。ま た、監査ポリシーを遵守し、例外を報告するようにこのソフトウェアを設定することもできます。例外レポートでは すべての例外のサマリーが提供され、セキュリティ・アナリストや経営陣、または監査人は、これを使用して例外を 容認または軽減することができます。

(8)

配置カテゴリ

Oracle Identity Analytics の配置は、小規模、中規模、および大規模の 3 つのカテゴリに分類されます。これらの配置カテゴリ を選択する際に考慮すべき要素を次に示します。これらの要素は、Oracle Identity Analytics を配置する際のハードウェアおよ びソフトウェアの仕様に影響を与えます。

小規模

ユーザー数 5000 1 ユーザーあたりのアカウント数 5 リソース数 5 ロール数 500 1 日あたりのロール・リクエスト数 5 ポリシー数 500 一定期間の認証数 100 - 200

中規模

ユーザー数 50000 1 ユーザーあたりのアカウント数 50 リソース数 100 ロール数 1000 1 日あたりのロール・リクエスト数 100 ポリシー数 5000 一定期間の認証数 2500 - 3000

大規模

ユーザー数 1000000 1 ユーザーあたりのアカウント数 100+ リソース数 500+ ロール数 5000 1 日あたりのロール・リクエスト数 200 ポリシー数 50000 一定期間の認証数 6000+

(9)

配置アーキテクチャ

以降のセクションでは、前述のサイジング・マトリックスと実際の配置に基づいて、適切なハードウェア構成が提示されます。 配置アーキテクチャは配置タイプごとに説明されています。データベースのサイズ要件を計算するには、本書の「Oracle Identity Analytics データベース・サイズの計算」セクションを参照してください。

小規模配置

アプリケーション・サーバーの構成

CPU Intel Xeon X5550(クアッドコア 2.6GHz)または同等のもの JVM ヒープ・サイズ 1 ノード当たり 2GB

データベース・サーバーの構成

CPU Intel Xeon X5550(クアッドコア 2.6GHz)または同等のもの RAM 1 ノード当たり 2GB

SGA の総サイズ(Oracle データベース・サーバー用) 1GB オープン・カーソル(Oracle データベース・サーバー用) 300

(10)

中規模配置

中規模配置の場合、アプリケーション・サーバーはクラスタリングされます。アプリケーション・サーバーにハイエンド・マ シンが使用されている場合は、クラスタ・ノードは同じ物理マシン上の異なるノードとして配置できます。パフォーマンスを 最適化するため、ロードバランシング・ルーターを使用してノード間のロードバランシングを実行できます。

アプリケーション・サーバーの構成

CPU Intel Xeon X5550(クアッドコア 2.6GHz)または同等のもの JVM ヒープ・サイズ 1 ノード当たり 4GB

データベース・サーバーの構成

CPU Intel Xeon X5550(クアッドコア 2.6GHz)または同等のもの RAM 1 ノード当たり 4GB

SGA の総サイズ(Oracle データベース・サーバー用) 2GB+ オープン・カーソル(Oracle データベース・サーバー用) 500

(11)

大規模配置

大規模配置には、大規模なデータセット、処理、ユーザーなどによる高いシステム負荷が伴います。この負荷を処理するため、 専用のクラスタ Web サーバーとクラスタ・データベース・サーバー(Oracle Real Application Clusters(Oracle RAC)Database など)を追加することを推奨します。大規模配置においては、ID 認証などで大量の計算が実行されることが多いため、大容量 の JVM ヒープが強く推奨されています。パフォーマンス要件が増加した場合、ノードを追加して水平方向にスケール・アウト することで対応できます。また、アプリケーション・サーバーを異なるマシンに配置する必要はありません。十分な物理メモ リおよび CPU が備わったハイエンド・マシンを使用している場合は、Oracle Identity Analytics を使用する複数ノードを、同 じ物理マシン上に配置できます。

アプリケーション・サーバーの構成

CPU 2 x Intel Xeon X5550(クアッドコア 2.6GHz)または同等のもの JVM ヒープ・サイズ 1 ノード当たり 8GB

データベース・サーバーの構成

CPU 2 x Intel Xeon X5550(クアッドコア 2.6GHz)または同等のもの RAM 1 ノード当たり 8GB

SGA の総サイズ(Oracle データベース・サーバー用) 4GB+ オープン・カーソル(Oracle データベース・サーバー用) 1500+

システム・パフォーマンスを最適化するため、64 ビットのオペレーティング・システム上に Oracle Identity Analytics を配置 することが強く推奨されています。サポートされるオペレーティング・システム、アプリケーション・サーバー、およびブラ ウザについては、Oracle Technology Network 上の Oracle Identity Analytics の「Certification Matrix」を参照してください。

(12)
(13)

Oracle Identity Analytics データベース・サイズの計算

次の手順を使用すると、Oracle データベース・サーバーに Oracle Identity Analytics を配置する際のデータベース・サイズ要件 を見積もることができます。

アカウント・オブジェクトの計算

アカウント・オブジェクトの数を計算するには、該当する値を次の式に代入します。 アカウント・オブジェクトの総数 = リソース・タイプ数 x リソース数 x リソースあたりのアカウント数

ポリシー・オブジェクトの計算

ポリシー・オブジェクトの数を計算するには、該当する値を次の式に代入します。 注:各ポリシー・バージョンが 1 つのオブジェクトになります。ポリシー・オブジェクトを計算する際、ポリシー・バージョン の数を追加してください。 ポリシー・オブジェクトの総数 = リソース・タイプ数 x リソース数 x リソースあたりのポリシー数

オブジェクト総数の計算

オブジェクトの総数を計算するには、該当する値を次の式に代入します。 オブジェクト総数グローバル・ユーザー・オブジェクト数 + アカウント・オブジェクトの総数 + ポリシー・オブジェクトの総数 + ロール・オブジェクトの総数 + リクエスト・オブジェクトの総数 注:各ロール・バージョンが 1 つのオブジェクトになります。ロール・オブジェクトを計算する際、ロール・バージョンの数 を追加してください。

データベースのディスク領域要件の決定

一般的なオブジェクト・サイズは 120KB であり、レポートと認証はそれぞれ約 4MB のデータになります。また ID 監査(職務 分掌-SoD)違反のサイズは約 500KB です。オブジェクトによるディスク領域の概算値を計算するには、次の式に該当する値 を代入します。 オブジェクトのディスク領域の概算値 = オブジェクト総数 x 1オブジェクトあたりのサイズ 合計データベース・サイズ = オブジェクトのディスク領域の概算値 +(年間証明数 x 1レポートあたりのサイズ)+ (年間レポート数 x 1レポートあたりのサイズ)+SoD違反の平均数 x 1違反あたりのサイズ) 1 ユーザーあたりのアカウント数が増えると、ディスク領域は指数関数的に増加します。必要な領域は、次の数に依存します。  グローバル・ユーザーの数  1 ユーザーあたりのアカウント数  リソース・タイプとリソースの数

Oracle Identity Analytics データ・リポジトリとして Oracle データベース・サーバーを使用している場合、チェックポイント・ システムやジャーナリングを使用して自動化されたスナップショットによってハードディスク領域要件が増加します。Oracle Identity Analytics のサイジングを行う際、このようなデータ・リカバリによる制約も、データベースのハードディスクの空き領

(14)

Oracle Identity Analytics サイジング・ガイド 2010 年 2 月 著者:Anish Chauhan Oracle Corporation World Headquarters 500 Oracle Parkway Redwood Shores, CA 94065 U.S.A. 海外からのお問い合わせ窓口: 電話:+1.650.506.7000 ファクシミリ:+1.650.506.7200 www.oracle.com

Copyright © 2010, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記 載される内容は予告なく変更されることがあります。本文書は一切間違いがないことを保証するものではなく、さらに、口述に よる明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての黙示的な保証を含み、いかなる 他の保証や条件も提供するものではありません。オラクル社は本文書に関するいかなる法的責任も明確に否認し、本文書によっ て直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もって得ることな く、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません。

Oracle は米国 Oracle Corporation およびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。

Updating...

参照

Updating...

関連した話題 :