Oracle Identity Manager Connector データシート 2008 年 9 月 Microsoft Active Directory 用および Microsoft Exchange 用 Oracle Identity Connector 利点とおもな機能 OIM Connector for Microsoft Active Directory User & Group Management 3 つの処理モード :ID リコンシリエーション アカウント管理 グループ管理 属性マッピングが可能 フィルタ使った電波を ネイティブ クエリーで実行することが可能 ターミナル サービス プロファイルの属性をアカウント管理モードで処理 ( リモート マネージャを介したスクリプトの実行 ) カスタム ユーザー オブジェクトクラスに対するプロビジョニングが可能 Active Directory ドメイン コントローラ間での自動フェイルオーバーを実現 Microsoft Active Directory 2000 2003 2008 Microsoft Active Directory Application Mode ( ADAM ) SP1 (Windows 2003 上 ) での動作を保証 OIM Connector for Microsoft Active Directory Password Syncronization Active Directory を 企業全体におけるパスワードの信頼できるソースにすることが可能 Active Directory パスワードの再設定を 一致する OIM ユーザーに伝播 OIM が稼動していない状態でも使用可能なアーキテクチャ OIM の SPML Web サービスを通して OIM と通信を実行 AD のスキーマ拡張が不要 Microsoft Active Directory 2000 2003 2008(32 ビットと 64 ビット ) での動作を保証 現代の企業は 典型的な IT 環境で数多くのアプリケーションやデータベース およびサービスを所有しています さらに プロビジョニングおよび管理する必要のあるエンドユーザーは 異機種環境全体で数百万人にも上ります これらの環境全体でユーザーの管理に消費される時間 費用 労力は 管理者にとって深刻な問題になることがよくあります したがって ユーザー アカウントのプロビジョニングとプロビジョニング解除の自動化に対する企業の要求はますます強くなっています こうした企業は 入社 異動 退職などの主要な ID ライフ サイクル イベントによって実行されるプロビジョニング処理を必要としています Oracle Identity Manager(OIM) では このような自動化を実現する一元化されたユーザー プロビジョニング プラットフォームを提供します OIM Connector は事前にパッケージ化されたソリューションで ターゲット アプリケーションを OIM に統合します とくに Microsoft 用 OIM Connector では Microsoft Active Directory (AD) や Microsoft Exchange などのさまざまな Microsoft アプリケーションが OIM と統合されます 次の 3 つのコネクタが利用できます 1. OIM Connector for Microsoft AD User & Group Management は 次のモードで使用することができます a. ID リコンシリエーション モード :AD を OIM ユーザー用のトラステッド ソースとして使用します b. アカウント管理モード : アカウント プロビジョニングとアカウント リコンシリエーションを使い AD 上のアカウントを管理します c. グループ管理モード : グループ プロビジョニングとグループ リコンシリエーションを使い AD 上のグループを管理します 2. OIM Connector for Microsoft Active Directory Password Synchronization を使用すると AD を OIM ユーザー パスワードの信頼できるソースにすることが可能になります OIM ではユーザー パスワードの変更をユーザーが所有しているすべてのアカウントに自動的に伝播するように設定できるので 企業内にあるすべてのアプリケーションの信頼できるソースととして AD を使用できます 3. OIM Connector for Microsoft Exchange では Exchange のメールボックスに対するアカウント プロビジョニング機能とアカウント リコンシリエーション機能が提供されます Exchange では AD がユーザー リポジトリとして使用されているので OIM Connector for Microsoft Exchange を利用するには OIM Connector for Microsoft Active Directory User Management をアカウント管理モードで使用することが必須条件になります Oracle Identity Manager Connector for Microsoft Active Directory User & Group Management このコネクタを使用すると Microsoft Active Directory または Microsoft Active Directory Application Mode(ADAM) を OIM 用 ID データの管理された ( ターゲット ) リソースまたは信頼された ( トラステッド ) ソースのどちらかとして機能させることができます また ターゲット リソースモードでは AD 上のグループを管理することができます ID リコンシリエーション モード ID リコンシリエーション ( トラステッド ソース ) では ユーザーの作成と変 1
更はターゲット システム上でおこなわれ これらのユーザーについての情報は OIM に伝播されます さらに 新たに作成または変更されたユーザーが ターゲット システム内にあるユーザーの組織に直接対応する OIM 組織のメンバーになるように設定することもできます OIM Connector for Microsoft Exchange 1 つのコネクタで 動作保証済みのバージョンが異なる複数の Microsoft Exchange に同時に対応することが可能 構成時に メールボックスのメールボックス ストアを指定 Microsoft Exchange 2000 2003 2007 (Windows 2003 2008 上 ) での動作を保証 このモードでは 次のフィールドが標準で伝播されます そのほかのフィールドは 属性マッピング機能を使用して追加できます samaccountname(ad)/ userprincipalname(adam),givenname, sn, initials, mail, useraccountcontrol status(ad)/ msds-useraccountdisabled(adam) アカウント管理モード アカウント管理 ( ターゲット リソース ) モードでは ターゲット システムに作成または変更されたユーザーに関する情報を OIM のターゲット リソース ( アカウントとも呼ばれる ) にリコンサイルできます また ターゲット システムに対してプロビジョニング操作を実行することもできます アカウント プロビジョニング 2
アカウント作成 OIM から提供される情報に基づいて ユーザーが AD 内に作成されます また ユーザーの属性には OIM によって値が移入されます これらの属性には Home Directory Profile Path Allow Login など 組織単位 (OU) とターミナル サービス プロファイルの属性などがあります さらに AD 組織単位の値は OIM Lookup Field から取得できます アカウント更新 AD ユーザーに関連する属性を変更できます パスワードリセット ユーザー アカウントのパスワードを再設定します リダイレクト先の電子メール アドレスを更新 ユーザー アカウントに関連づけられているリダイレクト先の電子メール アドレスを更新します グループの割当てを追加 / 削除 新しいグループの追加 および既存のグループの削除が可能です 割当て可能なグループのリストは OIM Lookup Field として提供されます アカウントを無効化 / 有効化 アカウント レコードを無効 / 有効にします アカウントを削除 AD ユーザー アカウントを削除します アカウント リコンシリエーション 既存のアカウント用に新しいターゲット リソースを作成 既存の AD アカウントを マッチングルールに基づいて OIM ユーザーと同期します OIM ターゲット リソース プロファイルの属性に AD アカウントの属性が移入されます また この AD アカウントへのグループの割当ても含まれます 既存のターゲット リソースを更新 AD アカウント属性に対する変更を AD から OIM ターゲット リソースに伝播します 既存のターゲット リソースを無効化 / 有効化 AD からのアカウント ステータス情報を伝播します 既存のターゲット リソースを削除 アカウントの削除を AD から OIM に伝播します グループ管理モード コネクタを使って AD 上にグループを作成 更新 削除することができます また AD 上の既存グループに関する変更情報を OIM に伝播することも可能です 3
Oracle Identity Manager Connector for Microsoft Active Directory Password Synchronization このコネクタでは AD 上で変更されたパスワードを OIM に伝播することができます AD ユーザーのパスワードは 暗号化されて格納されます したがって すでに AD リポジトリに格納されている場合は これらのパスワードを取得できません ユーザーが AD 上でパスワードを変更したときは パスワードが AD リポジトリに格納される前に パスワードを取得する必要があります そのため AD クラスタにあるすべてのドメイン コントローラに配置した " エージェント " を使用して AD のパスワードが取得します 1. このコネクタは可用性が高いアーキテクチャで設計されており OIM が稼動していないときでもパスワードの変更が可能です パスワードは一時的にセキュアで暗号化された状態で AD に格納されます その後 あらかじめ設定した再試行の手順によって OIM に伝播されます Oracle Identity Manager Connector for Microsoft Exchange このコネクタでは Microsoft Exchange のメールボックスに対するプロビジョニング機能およびリコンシリエーション機能が提供されます Exchange では AD がユーザー リポジトリとして使用されているので OIM Connector for Microsoft Exchange を利用するには OIM Connector for Microsoft Active Directory User Management をアカウント管理モードで使用していることが必須条件になります おもな機能として 異なるバージョンの Exchange が混在している配置をサポートしたり (1 つのコネクタで Exchange 2003 と Exchange 2007 の両方を同時に操作するなど ) プロビジョニングされるメールボックスのメールストアになる場所を提供したりします 詳細な機能は 次のとおりです 4
アカウント プロビジョニング アカウント作成 OIM から提供される情報に基づいて メールボックスが Exchange 内に作成されます また このメールボックスの属性には OIM によって値が移入されます 属性としては Display Name Mailstore Name User Principal Name Garbage Collection Period Email Alias Mailbox Size Receipt Quota Mailbox Size Transmit Quota Mailbox Warning Size Max Incoming Message Size Max Outgoing Message Size Primary Email Address などがあります アカウント更新 特定のメールボックスに関連する属性を変更できます メールストア名の値は 対応する OIM Lookup Field から取得できます アカウントを無効化 / 有効化 特定のアカウント レコードを無効 / 有効にします アカウント リコンシリエーション 既存のアカウント用に新しいターゲット リソースを作成 既存の Exchange メールボックス アカウントを マッチングルールに基づいて OIM ユーザーと同期します OIM ターゲット リソース プロファイルの属性に Exchange アカウントの値が移入されます 既存のターゲット リソースを更新 Exchange メールボックス属性に対する変更を OIM ターゲット リソースに伝播します 既存のターゲット リソースを無効化 / 有効化 メールボックス サイズ制限の値に基づいて メールボックス ステータス情報を Exchange から OIM 5
に伝播します 追加情報 Oracle Identity Manager Connector の詳細については http://www.oracle.com/identity を参照するか またはお電話で 1.800.ORACLE1 までお問い合わせください 6