Oracle Identity Manager Connector – データシート 2008 年 9 月
Microsoft Active Directory 用および Microsoft
Exchange 用 Oracle Identity Connector
利点とおもな機能
OIM Connector for Microsoft Active Directory User & Group Management 現代の企業は、典型的な IT 環境で数多くのアプリケーションやデータベース、 およびサービスを所有しています。さらに、プロビジョニングおよび管理する必 要のあるエンドユーザーは、異機種環境全体で数百万人にも上ります。これらの 環境全体でユーザーの管理に消費される時間、費用、労力は、管理者にとって深 刻な問題になることがよくあります。したがって、ユーザー・アカウントのプロ ビジョニングとプロビジョニング解除の自動化に対する企業の要求はますます 強くなっています。こうした企業は、入社、異動、退職などの主要な ID ライフ・ サイクル・イベントによって実行されるプロビジョニング処理を必要としていま す。Oracle Identity Manager(OIM)では、このような自動化を実現する一元化さ れたユーザー・プロビジョニング・プラットフォームを提供します。 • 3 つの処理モード:ID リコンシリエー ション、アカウント管理、グループ管 理 • 属性マッピングが可能 • フィルタ使った電波を、ネイティブ・ クエリーで実行することが可能 • ターミナル・サービス・プロファイル の属性をアカウント管理モードで処 理(リモート・マネージャを介したス クリプトの実行) • カスタム・ユーザー・オブジェクトク ラスに対するプロビジョニングが可 能 • Active Directory ドメイン・コントロー ラ間での自動フェイルオーバーを実 現
• Microsoft Active Directory 2000、2003、、 2008 、 Microsoft Active Directory Application Mode ( ADAM ) SP1 (Windows 2003 上)での動作を保証
OIM Connector は事前にパッケージ化されたソリューションで、ターゲット・ アプリケーションを OIM に統合します。とくに、Microsoft 用 OIM Connector では、Microsoft Active Directory®(AD)や Microsoft Exchange®などのさまざま な Microsoft アプリケーションが OIM と統合されます。次の 3 つのコネクタが 利用できます。
1. OIM Connector for Microsoft AD User & Group Management は、次のモード で使用することができます。
a. ID リコンシリエーション・モード:AD を OIM ユーザー用のトラス テッド・ソースとして使用します。
b. アカウント管理モード:アカウント・プロビジョニングとアカウン
ト・リコンシリエーションを使い、AD 上のアカウントを管理します。
OIM Connector for Microsoft Active Directory Password Syncronization
c. グループ管理モード:グループ・プロビジョニングとグループ・リコ ンシリエーションを使い、AD 上のグループを管理します。 • Active Directory を、企業全体における パスワードの信頼できるソースにす ることが可能 • Active Directory パスワードの再設定 を、一致する OIM ユーザーに伝播 • OIM が稼動していない状態でも使用 可能なアーキテクチャ • • OIM の SPML Web サービスを通して、 OIM と通信を実行 • AD のスキーマ拡張が不要
• Microsoft Active Directory 2000、2003、 2008(32 ビットと 64 ビット)での動 作を保証
2. OIM Connector for Microsoft Active Directory Password Synchronization を使 用すると、AD を OIM ユーザー・パスワードの信頼できるソースにする ことが可能になります。OIM ではユーザー・パスワードの変更をユーザー が所有しているすべてのアカウントに自動的に伝播するように設定でき るので、企業内にあるすべてのアプリケーションの信頼できるソースと として AD を使用できます。
3. OIM Connector for Microsoft Exchange では、Exchange のメールボックスに 対するアカウント・プロビジョニング機能とアカウント・リコンシリエー ション機能が提供されます。Exchange では AD がユーザー・リポジトリ として使用されているので、OIM Connector for Microsoft Exchange を利用 するには、OIM Connector for Microsoft Active Directory User Management をアカウント管理モードで使用することが必須条件になります。
Oracle Identity Manager Connector for Microsoft Active Directory User & Group Management
このコネクタを使用すると、Microsoft Active Directory または Microsoft Active Directory Application Mode(ADAM)を、OIM 用 ID データの管理された(ター ゲット)リソースまたは信頼された(トラステッド)ソースのどちらかとして 機能させることができます。また、ターゲット・リソースモードでは、AD 上 のグループを管理することができます。
ID リコンシリエーション・モード
更はターゲット・システム上でおこなわれ、これらのユーザーについての情報 は OIM に伝播されます。さらに、新たに作成または変更されたユーザーが、ター ゲット・システム内にあるユーザーの組織に直接対応する OIM 組織のメンバー になるように設定することもできます。
OIM Connector for Microsoft Exchange • 1 つのコネクタで、動作保証済みの バージョンが異なる複数の Microsoft Exchange に同時に対応することが可 能 • 構成時に、メールボックスのメール ボックス・ストアを指定 • Microsoft Exchange 2000、2003、2007 (Windows 2003、2008 上)での動作 を保証 このモードでは、次のフィールドが標準で伝播されます。そのほかのフィール ドは、属性マッピング機能を使用して追加できます。
sAMAccountName(AD)/ userPrincipalName(ADAM),givenName, sn, initials, mail, userAccountControl status(AD)/ msDS-UserAccountDisabled(ADAM) アカウント管理モード アカウント管理(ターゲット・リソース)モードでは、ターゲット・システム に作成または変更されたユーザーに関する情報を、OIM のターゲット・リソー ス(アカウントとも呼ばれる)にリコンサイルできます。また、ターゲット・ システムに対してプロビジョニング操作を実行することもできます。 アカウント・プロビジョニング
アカウント作成 OIM から提供される情報に基づいて、ユーザーが
AD 内に作成されます。また、ユーザーの属性には、
OIM によって値が移入されます。これらの属性に は、Home Directory、Profile Path、Allow Login など、 組織単位(OU)とターミナル・サービス・プロファ イルの属性などがあります。さらに、AD 組織単位 の値は、OIM Lookup Field から取得できます。
アカウント更新 AD ユーザーに関連する属性を変更できます。 パスワードリセット ユーザー・アカウントのパスワードを再設定しま す。 リダイレクト先の電子 メール・アドレスを更新 ユーザー・アカウントに関連づけられているリダ イレクト先の電子メール・アドレスを更新します。 グループの割当てを 追加/削除 新しいグループの追加、および既存のグループの 削除が可能です。割当て可能なグループのリスト は、OIM Lookup Field として提供されます。 アカウントを 無効化/有効化 アカウント・レコードを無効/有効にします。 アカウントを削除 AD ユーザー・アカウントを削除します。 アカウント・リコンシリエーション 既存のアカウント用に新 しいターゲット・リソー スを作成 既存の AD アカウントを、マッチングルールに基 づいて OIM ユーザーと同期します。OIM ターゲッ ト・リソース・プロファイルの属性に、AD アカウ ントの属性が移入されます。また、この AD アカ ウントへのグループの割当ても含まれます。 既存のターゲット・ リソースを更新 AD アカウント属性に対する変更を、AD から OIM ターゲット・リソースに伝播します。 既存のターゲット・リ ソースを無効化/有効化 AD からのアカウント・ステータス情報を伝播しま す。 既存のターゲット・ リソースを削除 アカウントの削除を AD から OIM に伝播します。 グループ管理モード コネクタを使って、AD 上にグループを作成、更新、削除することができます。 また、AD 上の既存グループに関する変更情報を OIM に伝播することも可能で す。
Oracle Identity Manager Connector for Microsoft Active Directory Password Synchronization このコネクタでは、AD 上で変更されたパスワードを OIM に伝播することがで きます。 AD ユーザーのパスワードは、暗号化されて格納されます。したがって、すで に AD リポジトリに格納されている場合は、これらのパスワードを取得できま せん。ユーザーが AD 上でパスワードを変更したときは、パスワードが AD リ ポジトリに格納される前に、パスワードを取得する必要があります。そのため、 AD クラスタにあるすべてのドメイン・コントローラに配置した"エージェント "を使用して、AD のパスワードが取得します。 1. このコネクタは可用性が高いアーキテクチャで設計されており、OIM が稼動し ていないときでもパスワードの変更が可能です。パスワードは一時的にセキュ アで暗号化された状態で AD に格納されます。その後、あらかじめ設定した再 試行の手順によって、OIM に伝播されます。
Oracle Identity Manager Connector for Microsoft Exchange
このコネクタでは、Microsoft Exchange のメールボックスに対するプロビジョニ ング機能およびリコンシリエーション機能が提供されます。Exchange では AD がユーザー・リポジトリとして使用されているので、OIM Connector for Microsoft Exchange を利用するには、OIM Connector for Microsoft Active Directory User Management をアカウント管理モードで使用していることが必須条件になりま す。 おもな機能として、異なるバージョンの Exchange が混在している配置をサポー トしたり(1 つのコネクタで、Exchange 2003 と Exchange 2007 の両方を同時に 操作するなど)、プロビジョニングされるメールボックスのメールストアになる 場所を提供したりします。詳細な機能は、次のとおりです。
アカウント・プロビジョニング
アカウント作成 OIM から提供される情報に基づいて、メールボッ
クスが Exchange 内に作成されます。また、このメー ルボックスの属性には、OIM によって値が移入さ れます。属性としては、Display Name、Mailstore Name 、 User Principal Name 、 Garbage Collection Period、Email Alias、Mailbox Size Receipt Quota、 Mailbox Size Transmit Quota、Mailbox Warning Size、 Max Incoming Message Size、Max Outgoing Message Size、Primary Email Address などがあります。
アカウント更新 特定のメールボックスに関連する属性を変更でき ます。メールストア名の値は、対応する OIM Lookup Field から取得できます。 アカウントを 無効化/有効化 特定のアカウント・レコードを無効/有効にします。 アカウント・リコンシリエーション 既存のアカウント用に新 しいターゲット・リソー スを作成 既存の Exchange メールボックス・アカウントを、 マッチングルールに基づいて OIM ユーザーと同期 します。OIM ターゲット・リソース・プロファイ ルの属性に、Exchange アカウントの値が移入され ます。 既存のターゲット・ リソースを更新 Exchange メールボックス属性に対する変更を、 OIM ターゲット・リソースに伝播します。 既存のターゲット・ リソースを無効化/有効化 メールボックス・サイズ制限の値に基づいて、メー ルボックス・ステータス情報を Exchange から OIM
に伝播します。
追加情報
• Oracle Identity Manager Connectorの詳細については、http://www.oracle.com/identity
