IDのライフサイクル管理を自動化する Oracle Identity Manager 11g

<Insert Picture Here>

日本オラクル株式会社

IDのライフサイクル管理を自動化するOracle Identity Manager 11g

Copyright© 2011, Oracle. All rights reserved.

以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント（確約）するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。

OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。


Oracle Identity Manager の役割

入退出管理システム

顧客情報管理システム

売上管理システム

コンテンツ管理システム

品質管理システム

人事システム

OSアカウント管理

属性・ルールに基づいたロール割当て

プロビジョニング(配信)

ユーザ情報配信ルール各種履歴ログなど

･ID情報の管理

･メンテナンス

・パスワード変更

・申請

リコンシリエーション(ユーザー情報の取得）

ID管理データベース

Target System

管理者

ユーザ

Trusted Source

ロール

Oracle Identity Manager

コネクタ

3


IDのライフサイクル管理

ユーザ登録

申請・承認ワークフローによる

プロビジョニング

不正アカウントの処理（自動)

承認アカウントのチェック

ログ･監査

リコンシリエーション

パスワード変更

ユーザ削除

デプロビジョニング（自動)

ポリシー・ロールによる

プロビジョニング（自動)

パスワード問い合わせの自動化

管理者負荷軽減！！

利用者がセルフサービスにて

アクセス権限申請が可能

ID管理者負荷軽減！！

人事システム

定期的なアカウント配信

状況のチェック機能！！

監査で必要とされるレポート

は標準で準備！！

ログ履歴保存

ユーザーの部署や役職に基づいたルールによるID管理を実現！！

ユーザ情報の変更

連携対象システム

4


ソフトウェア構成

リポジトリデータベース層アプリケーションサーバ層

Oracle Weblogic Server

Oracle Identity Manager Oracle SOA Suite Oracle BI Publisher

ユーザー・コンソール

クライアント

Design Console

HTTP RMI

JDBC

対象システム

Java

ユーザー管理プロビジョニングリコンシリエーション

ワークフローレポート設定情報 / 履歴情報

Oracle JDeveloper

HTTP

Oracle Database SE or EE

5


柔軟で使いやすいWebインタフェース

• AJAX を活用することで使いやすさとパフォーマンスの両立

• 透過ウィンドウ

• 部分レンダリング

• ウィザードによる設定

• 高度な検索機能を標準装備

• 様々な属性を用いた検索

• AND / OR による複数条件の指定

• Oracle ADF (Application

Developement Framework)

を活用した製品共通のインタフェース

マルチタブ

拡張検索

国際化対応

並び替え、Read/Write、独自属性の追加

Webインタフェースの特徴

6


立場・職務に応じたインタフェースの提供

• 立場・職務に応じた画面の提供• ヘルプデスク

• 組織管理者

• システム管理者

• 細かな権限の移譲を実現• 権限：

• 作成、削除、変更（パスワード、プロファイル、ステータス）、検索、閲覧、等 10 種類以上の権限を用意

• 管理対象：

• 属性レベルでの制御

• 組織単位 or 全体

• 割当て：

• ロール

• ウィザードによるメンテナンス

ウィザードを用いた権限委譲のポリシー（認可ポリシー）の定義

組織管理者

ヘルプデスクパスワード管理のみ

アカウント作成・更新

7


Role

組織とロールによる効率的なID管理を実現

• ユーザと組織とロール

1 ：多

Org

多：多

多：多

1 ：多

1 ： 1

1 ：多

• ユーザへの権限付与

Org

所属組織に基づいてロールの権限が付与される

組織に対してロールが付与される組織に所属

組織経由で割当てられるケース

直接割当てられるケース

直接権限が付与される

Role

User

User

User

Role

8


効率的なRBACの実現：階層化ロール

• （ネスト型ではなく）階層型のロール

Employee

Director

Manager

Employee

Director

Manager

子ロールは親ロールの権限を引継ぐ

子ロールに属するユーザは親ロールに引き継がれる

単なるロールのグルーピングではないからこそ効率的な管理が可能

9


ルールに基づくロールの自動割当て

権限・ポリシーをまとめたロールをユーザーに割り当てることでユーザーの権限を制御

手動または自動にてロールの割当てが可能

ユーザー属性を利用した割当てルール(メンバーシップルール)により自動割当てを実現

“ロールマスタ DB“ からのロール情報の取り込みにも対応

技術本部ロール

OIM内の権限(認可ポリシー)

配信ポリシー(アクセスポリシー)

申請権限(リクエストテンプレート)

技術一部ロール

メンバーシップルール

メンバーシップルール

OIMユーザー

人事システム

技術一部所属

組織 = “技術一部”

技術本部ロール

技術一部ロール

親ロール

組織 = “技術本部”

親ロールの権限も割当てられる


10


ユーザ毎に柔軟なプロビジョニングを実現

• ユーザの属性や割当てられたロールに応じて管理対象システム毎の細かな制御が可能

• 例：経理部ユーザは、あるシステムでは物理削除、他システムでは無効化

営業部ロール

開発部ロール

経理部ロール

リソースオブジェクト

グループウェア


コンテンツ管理

自動配信対象リソースオブジェクト



自動配信対象リソースオブジェクト

プロセスフォーム



グループウェア

コンテンツ管理システム


アクセスポリシー1

アクセスポリシー 2

11


ワークフロー機能

• 標準化されたワークフローの枠組みを利用• 独自仕様（10g）から標準言語BPEL採用（11g）へ

• 「誰がどの申請ワークフローを実行できるか」の定義もGUIで設定可能

• Oracle JDeveloper を用いて独自のワークフローの定義も可能

• Oracle SOA Suite

(BPEL Manager) を活用

Oracle SOA/BPEL

承認ワークフロー

12


ワークフローはWebブラウザだけで設定可能

• 申請画面• Request Template

• ウェブブラウザで作成可能

• 申請機能

• ユーザにロールやアカウント、アクセス権の申請を行わせるインタフェースを提供

• 複数のユーザや複数のアカウントを一度に申請する一活リクエストにも対応

• さらに一括リクエストの中で個別の承認ワークフローを走らせることも可能

13


エージェントレス・コネクタ

• 管理対象システムにソフトウェアのインストールが不要な “エージェントレス” コネクタのアーキテクチャを採用

• データベースのテクノロジ（ストアード・プロシージャ）を活用することで非常に高速な取り込みを実現

• 前バージョン比 10 倍

IBM DB2/UDB Database Oracle E-Business Suite

Microsoft SQL Server Database PeopleSoft

Oracle Database Siebel

Sybase ASE Databse SAP

Oracle Databse Application Table JDEdwards

Sybase ASE Databse Application Table UNIX Telnet

Oracle Internet Directory UNIX SSH

Microsoft Active Directory IBM Lotus Notes/Domino

Novell eDirectory Microsoft Exchange

旧Sun Java System Directory Server

EnterpriseApplicationsr

OS

EnterpriseMessaging

Database User

Database Table

Directory

主要コネクタ

14


SPMLとFlat Fileによる汎用的なコネクタ

OIM Serverの標準機能として実装済み

コネクタのインポートは不要。ウィザード形式のWeb画面で作成できる

以下の2つの汎用テクノロジコネクタのライセンスは不要

– Flat Fileによるリコンシリエーション用コネクタ

– SPMLによるプロビジョニング用コネクタOracle Identity Manager

SPML

Flat File

GUIによる設定

Generic Technology Connector(汎用テクノロジコネクタ)

ユーザー情報取り込み SPML

ユーザー情報配信

15


SaaS や外部アプリケーションとの連携ウェブサービス（SPML）によるプロビジョニング

グループ企業

SaaS

業務アプリ


ID のライフサイクル管理

SPML

ユーザ管理（非同期型）ロール管理（非同期型）その他（同期型）

ユーザ作成

ユーザ更新

ユーザ削除

ユーザの一時停止

ユーザの再開

ロールの割当て

ロールの剥奪

ロール作成

ロール更新

ロール削除

ユーザ名の検証

ユーザ名の生成

ユーザ状態の確認

List Targets

16


対象システムとの処理S

yste

m C

Syste

m B

Syste

m A

コネクターパック

カスタマイズ

コネクターパック

新規開発コネクター

開発ツール：Adapter Factory

Ora

cle

Ide

ntity

Ma

na

ge

r

1. コネクターパック (有償) を使用して処理

各システム向けにOracleからご提供するコネクタを使用

開発済アダプター、設定、リコンシリエーションタスクの集合体

2. コネクターパックをカスタマイズして処理

コネクターパックが対応しきれない配信要件のシステムとの接続用に、既存のコネクタを一部カスタマイズ

OIMに付属するGUIツール（アダプター・ファクトリー）上でカスタマイズを実装

コネクターパックをテンプレートに使用可能

3. コネクターを新規開発して処理

独自アプリケーションなどとの接続用に、コネクターパックを全く使用せず、新規開発

アダプター・ファクトリー上で、既存の部品を組み合わせる方式で開発

細かい仕様の実装にはJavaによるコーディングも可能

17


Adapter Factory• GUIによるアダプター設計のためのツール

• お客様の要望にあわせたコネクタのカスタマイズ・新規コネクタの

• 開発を容易に

• コーディングを減らし、TCOダウン

• JavaやIdentity ManagerのAPIがすでに取り込まれているため、簡単なアダプターであればGUIのみでの設計が可能

カスタムJavaプログラムのコール

Java Utilityのコール

18


• ユーザー自身にてセルフサービス機能によりパスワード変更が可能

• チャレンジQAを設定することパスワード忘れ時に自身でのリセットが可能

パスワード管理とチャレンジQA

パスワード変更画面にて設定されているパスワードポリシーを表示

チャンレジQAの内容や設定数、正解数は設定にて変更可能

19


パスワード変更と変更同期

姓

名

パスワード

山田

太郎

＊＊＊＊＊＊＊

ユーザID UserA

パスワード＊＊＊＊＊＊＊

ユーザID UserA

パスワード＊＊＊＊＊＊＊

ユーザID UserA

リソースオブジェクトリソースA

リソースオブジェクトリソースB

変更したパスワードをリアルタイムに対象システムへ同期可能

ターゲット：リソースA

配信ユーザ情報

ターゲット：リソースB


パスワード変更

OIMユーザー情報

リソースA用OIMパスワード同期タスク

OIMパスワード同期アダプタ

リソースB用OIMパスワード同期タスク

OIMパスワード同期アダプタ

リソースB用パスワード変更タスク

パスワード変更アダプタ

リソースB用パスワード変更タスク

パスワード変更アダプタ

20


不正アカウント検知

• プロビジョニング先ターゲットへの定期的な変更検出タスク(Targetリコンシリエーション)により、対象システムに直接作成されかつOIMでは管理外のアカウントを検知

• 悪意による不正アカウントや動作確認用の一時アカウントを検出

UserA

UserB

test01

UserC

UserD

1. アカウントの配信

2. システムに直接アカウント追加

対象システムA


UserA

UserB

UserC

UserD

リソースA

配信済みアカウント一覧

ユーザー情報取り込み

3. ターゲットリコンシリエーション(OIM保持配信ユーザー情報と対象システム側のユーザー情報を比較)

不正作成ID(test01)の検出

21


不正属性操作の検知/確認

• プロビジョニング先ターゲットへの定期的な変更検出タスク(Targetリコンシリエーション)により、対象システムでの不正属性変更を検知

• 検知した不正属性操作をレポートにて確認可能

1. アカウントの配信

対象システムA


ユーザー情報取り込み

3. ターゲットリコンシリエーション(OIM保持配信情報と対象システム側のユーザー情報を比較)

不正属性変更 (Email属性)の検出

UserID : UserA

Last Name : User

First Name : A

Email : [email protected]

Group : G001

Privilege :P1,P2

リソースオブジェクトリソースA

ターゲット：リソースA


UserID : UserA

Last Name : User

First Name : A

Email : [email protected]

Group : G001

Privilege :P1,P2

UserAの情報

2. システムにてEmail属性の直接更新

22


不正属性操作の検知/確認

• 不正属性操作をレポートとして表示→ファイングレイン権限例外レポート

本来あるべき値現在の不正属性値

23


統制外アカウントの検知/確認

• プロビジョニング先ターゲットへの定期的な変更検出タスクにより、対象システムでの統制外アカウントを検知

• 検知した統制外アカウントをレポートにて確認可能

OIM側での把握あるべき状態実際の状態

A)削除を配信

OIMアカウントが削除されているにもかかわらずターゲット・アカウントが存在している

C)配信先システムに削除を指令

OIMから削除を処理が行われているにもかかわらずターゲット・アカウントが存在している

配信先システム

B)配信していない

OIMでアカウントを配信していないにもかかわらずターゲット・アカウントが存在している

“統制外アカウント”とは以下3種類のアカウントを指します。

24


統制外アカウントの検知/確認

• 統制外アカウントをレポートとして表示→統制外アカウントレポート

25


レポート

• Oracle BI Publisherにて全てのレポートを表示

• Oracle BI Publisherの機能を利用することが可能で、レポート毎に出力形式を選択でき、レイアウト変更もWebインターフェースより実施可能

• レポート出力のスケジューリングも可能

出力形式(PDF、Excel、PPTなど)を選択可能

レポートフォーマットをWebUIより変更可能

26


アテステーション(アカウント配信の棚卸)

定期的なアカウント配信状況の棚卸作業

– ターゲットシステム上にアカウントを持つ権利があるのかをチェック

– 容認、却下、否認、委任のアクション定義が可能

各部門長、システム管理社などに棚卸作業を委任し、担当を割り振ることも可能

レポート作成

棚卸実施

棚卸進捗確認

棚卸の設定、定期的な依頼

アクションを定義

27


Oracle Identity Analytics との連携

• 権限を付与する前にポリシー違反を検知

競合分析 IT監査ポリシーシミュレーション

IT監査ポリシー検証リクエスト

IT監査ポリシー検証結果


リソースの承認ワークフロー

リソースのプロビジョニング・ワークフロー

1

2

3

企業の監査ポリシーを満たした権限のプロビジョニング

Oracle Identity Analytics

28


Access

Manager

ユーザー情報（LDAP）



人事情報

SSOユーザIDの配信

不正アカウント検知

Oracle Access Manager との連携

• Oracle Access Manager のユーザ情報を管理• 人事情報などと連動した ID ライフサイクル管理の自動化

• 管理者向けコンソールによる個別管理

• ワークフローによる利用申請・承認

• ユーザによるセルフサービス

• パスワード/属性変更など

• シングルサインオン利用権限に関する監査情報

29


まとめ

• オラクルの ID 管理ソリューションはオープンで標準に基づいたソリューションです

• サービス志向なアーキテクチャを外部サービスとの連携にも内部的なソフトウェア連携にも採用しています

• Oracle Identity Manager 11g はユーザ・インタフェース、機能、性能、アーキテクチャすべてが新しくなりました

• Oracle Identity Analytics 11g と組み合わせることで、社内外の “ID 管理” と “ID の統制” を実現します

30


補足情報

• 製品のダウンロード• http://www.oracle.com/technetwork/middleware/downloads/oid-11g-

161194.html

• Oracle Identity Manager

• Oracle Identity Manager 11g 製品ドキュメント

• http://download.oracle.com/docs/cd/E14571_01/im.htm#oim

• Oracle Access Manager 11g 製品ドキュメント

• http://download.oracle.com/docs/cd/E14571_01/im.htm#oam

31

http://www.oracle.com/technetwork/middleware/downloads/oid-11g-161194.html





http://download.oracle.com/docs/cd/E14571_01/im.htm

http://download.oracle.com/docs/cd/E14571_01/im.htm

Copyright© 2011, Oracle. All rights reserved. 32

http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

Oracle Direct 検索

あなたにいちばん近いオラクル

Oracle Directまずはお問合せください

Web問い合わせフォームフリーダイヤル

専用お問い合わせフォームにてご相談内容を承ります。

※フォームの入力には、Oracle Direct Seminar申込時と同じログインが必要となります。

※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録されている連絡先が最新のものになっているか、ご確認下さい。

0120－155－096

※月曜~金曜 9:00~12:00、13:00~18:00

（祝日および年末年始除く）

システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。

システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。

http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

IDのライフサイクル管理を自動化する Oracle Identity Manager 11g

Technology

Transcript of IDのライフサイクル管理を自動化する Oracle Identity Manager 11g