Oracle Direct SeminarInsert Picture Here> Oracle Direct Seminar Active Directoryとのお手軽データ連携ソリューション日本オラクル株式会社

<Insert Picture Here>

Oracle Direct Seminar

Active Directoryとのお手軽データ連携ソリューション

日本オラクル株式会社

Copyright© 2010, Oracle. All rights reserved.

Agenda

• オープンで汎用的なディレクトリの必要性

• オラクルのディレクトリ連携ソリューション1. Oracle Identity Synchronization for Windows （ISW）による

Active Directory 連携

2. Oracle Internet Directory / Directory Integration Platform による Active Directory 連携

3. Oracle Identity Manager による Active Directory 連携

4. Oracle Virtual Directory による Active Directory 連携

• まとめ

2

Copyright© 2010, Oracle. All rights reserved. 3

オープンで汎用的なディレクトリの必要性


ディレクトリの起源

• Network OS 用ディレクトリ• Windows や NetWare のようなネットワーク接続型の OS を集中管理するためのディレクトリ

• 例: Microsoft Active Directory, Novell

eDirectory

• 汎用ディレクトリ• （OSの種別関係なく）様々な業務アプリケーションから共通基盤として利用するディレクトリ

• 例: Oracle Directory Server, Oracle

Internet Directory, OpenLDAP

4

適材適所併用・使い分けが必要


なぜ汎用ディレクトリが求められるのか（１）

• 目的の違い• Active Directory

• Network OS(Windows) アカウントを管理するためのディレクトリ

• 管理されるアカウント ≠ アプリケーションが求めるアカウント

• ユーザの属性・スキーマはWindows利用を想定

• Windows管理用のグループ、サービスアカウント多数

• Windows と業務システムでは、運用担当者やパッチ/バージョンアップ適用、のタイミングが異なる

5


なぜ汎用ディレクトリが求められるのか（２）

• 技術面• Active Directory

• 独自の階層構造

• セキュリティポリシー（監査のポイント, ACI, パスワードポリシー, アカウントポリシー等）がOS認証とアプリの認証では異なる

• スキーマの特異性

• 属性値の文字数制限

• 独自属性

• 組織オブジェクトは特定の場所でしか作れない

• 処理性能

• 負荷の増加

• レプリケーション

• 管理性

• Webインタフェースによる管理

6


汎用ディレクトリとADの併用

• 連携、もしくは同期が必要• 同期：① Identity Synchronization for Windows, ② Internet

Directory/Directory Integration Platform, ③ Identity Manager

• 連携：④ Virtual Directory

7

Microsoft

Active Directory

Windows 環境基幹業務アプリケーション

全社ポータルグループウェア

ERP

汎用ディレクトリ

認証

Windows PC


1. Oracle Identity Synchronization for

Windows （ISW）による Active

Directory 連携


Directory Server / Identity Synchronization

for Windows による Active Directory 連携

9

Microsoft

Active Directory



ERP

認証

Windows PC

Identity Synchronization

for Windows

同期同期

Directory Server

• アプリケーションの認証：Directory Server

• AD との同期: Identity Synchronization for Windows

Identity Synchronization for Windows のご紹介

主要機能

Microsoft Active DirecotryやWindows NT と Oracle Directory Server

Enterprise Edition のアイデンティティ同期を実現– ユーザ作成／削除の双方向同期

– ユーザ属性の双方向同期

ルールにより双方のアカウントをマッピング

– ユーザの有効化／無効化の同期にも対応

– ユーザパスワードの双方向同期

Active Directory側に Plug-inのインストールは不要

– グループ（Domain Global Disribution Group,

Domain Global Security Group）の同期にも対応

同期対象を柔軟に選択可能– 例：特定の組織配下に属するユーザのみを同期

– 例：メールアドレスが同じアカウントを同期

属性の動的生成

ログ・設定情報の集中管理

10Copyright© 2010, Oracle. All rights reserved.

OracleDirectory Server

EE

MicrosoftActive Directory

Identity Synchronizationfor Windows


アーキテクチャすべてのトラフィックを SSL/3DES で暗号化

メッセージバスに Message Queue を使用することで高い信頼性を確保


・設定内容のアップデートをコネクタへ動的に配信

・ディレクトリ間の初期化（同期）を実行

・セキュリティログを監視すること

でユーザ情報の変更を検知

・変更情報をNTコネクタに

伝播

・パスワード変更をキャプ

チャしてNTコネクタに伝播

・監査ログにより同期の

アクティビティをチェック

・エラーログによりコン

ポーネントの状態を

集中監視

・同期の設定/開始/停止

・システム状態の監視

・設定情報のインポート/

エクスポート

・同期の開始/停止


柔軟な同期 Synchronization User Listによる同期対象の設定

– 特定のツリーのみの同期が可能

– 特定のユーザのみの同期が可能

LDAPフィルタによる定義

「に等しい」、「に等しくない」、「または（or）」、「かつ（and）」による条件定義

* （アスタリスク）を用いた表現

アカウント作成時のデフォルト値を動的に作成することも可能

– 情報の読み取り元には存在しない属性値を生成

例： cn= %givenname% %sn%

例： homedir = /export/home/%uid%

アカウントの結びつけルール（UserLinkingOperationListの定義）

– 例：「Direcotry Server の uid と Active Directory の samaccountname が同じ」または「両ディレクトリ内の givenname と snの値が等しい」ユーザ

– Synchronization User List （同期対象の定義）ごとに設定が可能



Plug-in／変更履歴を使用したパスワード同期

Directory Serverから AD に対するパスワード同期


Oracle Directory

Server


On Demand Password Synchronization

AD から Directory Serverに対するパスワード同期


Oracle Directory

Server


Active Directory と Directory Server を活用した導入事例

神奈川大学2万5000人を超えるユーザを抱える大学の認証基盤統合プロジェクト

Directory Serverを利用した共通認証基盤の構築

FreeBSD, MacOSを含むOS認証をDirectory Serverで提供

Windowsの認証を行うActive DirectoryとDirectory Server をIdentity Synchronization for Windowsにより同期

シングル・サインオン製品との連携により学内ウェブアプリケーションとのSSOにも利用 ※ Sun Java System Directory Server はOracle Directory Server と名称が変更されています

※ Sun Java System Access Manager は Oracle OpenSSO と名称が変更されています


2. Oracle Internet Directory / Directory

Integration Platform による Active

Directory 連携


Internet Directory/Directory Integration

Platform による連携

• アプリケーションの認証：Internet Directory

• AD との同期: Directory Integration Platform サービス

17

Microsoft

Active Directory



ERP

Internet Directory

Directory Integration Platform

認証

Windows PC

同期

パスワード更新

DIP（Oracle Directory Integration Platform／Directory Integration and

Provisioning Service）

– Directory – Directory 連携

– Directory – Relational Database 連携

Oracle Internet Directory（OID）

サードパーティ製ディレクトリ

Directory

Integration and

Provisioning Service エントリ及び属性値の伝播

変更ログ

同期プロファイル同期プロファイル同期プロファイル

ディレクトリに対する変更操作の履歴が記録される

変更ログ

LDAP Protocol

OID 11g との連携可能ディレクトリ

Active Directory 2003, 2008

ADAM - Version 1 with SP1 on Win2k3

Sun Java System Directory Server 6.3

Novell eDirectory 8.8

OpenLDAP 2.2

IBM Tivoli DS 6.2

Copyright© 2010, Oracle Corporation. All rights reserved. 18

Directory Integration Platform (DIP) とは

Directory Integration

and Provisioning Service

odisrv プロセス

コネクタ機能（同期プロファイル）

cn=changelog 実装を利用して差分データのみを定期的に反映することが可能。

「EXPORT」

「IMPORT」

・同期プロファイル（同期方式の設定）・属性マッピングルール・外部認証プラグイン


DIP の主要コンポーネントと処理

データ同期の形式

– EXPORTタイプ： OID Third Party Directory

– IMPORTタイプ： OID Third Party Directory

パスワード属性の扱い

– パスワードをOIDで保持しない場合（OIDが他のディレクトリのスレイブとして動作する場合 etc.）

– パスワードをOIDで保持する場合（パスワードを同期対象にする）


DIP によるデータ同期およびパスワード連携

Oracle Internet Directory（OID）サードパーティ製ディレクトリ

OID付属の同期サービス

①エントリ、属性の追加／変更／削除

②変更部分を読み取り（スケジューリング実行）

③マッピングルールに基づいて変更を伝播

④変更を反映

管理者

自動

自動

自動

管理者によるディレクトリへの変更操作を反映する流れ


データ連携（OID Third Party Directory）


OID付属の同期サービス

①エントリ、属性の追加／変更／削除

②変更部分を読み取り（スケジューリング実行）

③マッピングルールに基づいて変更を伝播

④変更を反映

管理者

自動

自動

自動

管理者によるディレクトリへの変更操作を反映する流れ


データ連携（OID Third Party Directory）

パスワードの扱いについて

選択肢１）双方の Directory でパスワード情報を持つ

選択肢２）片方の Directory のみでパスワード情報を持つ

パスワードパスワード

パスワード＜NONE＞

ユーザのエントリ数は同じユーザのエントリ数は同じ

ユーザのエントリ数は同じユーザのエントリ数は同じ

マスタ（更新あり）

スレイブ（更新なし）

認証時には外部に問い合わせを行なう


パスワード連携

Oracle Internet Directory（OID）サードパーティ製ディレクトリ（MASTER）

ディレクトリ同期稼働中

LDAPクライアント・アプリケーション

①認証操作（ldapbind、ldapcompare等）

③認証処理

②④マスタへの認証要求／応答

OID付属の外部認証プラグイン

パスワード＜NONE＞

自動

⑤応答

自動

サードパーティ製ディレクトリがマスタとなるケースの利用イメージ


パスワード連携（OID 以外でパスワード保持）

外部認証プラグイン

cn=users

cn=suzuki cn=tanaka

cn=users

パスワードパスワード

cn=suzuki cn=tanaka cn=orcladmin

認証プラグインの適用範囲

LDAPクライアント

①bind、compare

②外部サイトのパスワードを使った bind or compare

③応答

dc=mydomain

dc=comdc=oracle

dc=com

dc=jp


外部ディレクトリによるパスワード認証


ディレクトリ同期稼働中パスワードパスワード

LDAPクライアント・アプリケーション

①認証操作（ldapbind、ldapcompare等）

③応答

②認証処理 ②認証処理

③応答

自動自動

両ディレクトリがマスタもしくは、OIDがマスタとなるケースの利用イメージ


パスワード連携（両方でパスワード保持）

AD では各ドメインコントローラにOracleパスワードフィルタをインストール

してパスワードを伝播

DIPの通信のSSL化

パスワード情報（通常はハッシュ化されている）を伝播するため、通信経路をセキュアにするために SSL（Secure Sockets Layer）が使用できる。

パスワードDIP

（odisrv）

LDAPS LDAPS

Oracle Internet Directory Third-Party Directory

Oracle Wallet Oracle Wallet 証明書ストア

Oracle Directory Manager

を使用して設定する。$ORACLE_HOME/ldap/odi/

conf/odi.properties ファイルを編集する。


SSL による安全な通信

ブートストラップ

DIPを介した初回の全同期（同期対象の双方を同じ状態にするための処理）を「ブートストラップ（bootstrap）」と表現している。

ブートストラップ実行

ユーザ情報（マスタ）ユーザ情報（スレイブ）

dc=mydomain

cn=users

cn=suzuki cn=tanaka

dc=comdc=oracle

cn=users

cn=tanaka cn=suzuki

dc=com

cn=orcladmin

作成される作成される

既存のエントリ情報は上書きしない dc=jp

% $ORACLE_HOME/bin/dipassistant bootstrap –host oidhost.jp.oracle.com –port 389

-dn “cn=orcladmin” -passwd “cn=orcladminのパスワード” –profile ActiveChgImp


ブートストラップによる初期化

・ DomainRules （マッピング対象のドメイン指定）

属性マッピング・ルール

（書式） srcDomainName : [dstDomainName] : [DomainMappingRule]

（指定例） cn=users,dc=mydomain,dc=com:cn=Users,dc=jp,dc=oracle,dc=com:

・ AttributeRules （マッピング対象の属性指定）

（書式） srcAttrName:[ReqAttrSeq]:[srcAttrType]:[srcObjectClass]:

[dstAttrName]:[dstAttrType]:[dstObjectClass]:[AttrMappingRule]

（指定例） userPrincipalName: : :user:uid: :inetorgperson:userPrincipalName

AttrMappingRule で利用可能な関数

・連結（ + ）

・ OR 演算子（ | ）

・ Base64エンコード（ bin2b64 ）

・小文字にする（ tolower() ）

・大文字にする（ toupper() ）

・文字列操作

char 以前の抽出（ trunc(str,char) ）

char 以後の抽出（ truncl(str,char) ）

・ DN依存部分の変換（ dnconvert() ）

・文字列指定（ ‘ ’ ）


マッピング方法

DomainRulescn=users,dc=mydomain,dc=com: cn=users,dc=jp,dc=oracle,dc=com:AttributeRules# Mapping rules to map the domains and containerso: : :organization: o: :organizationou: : :organizationalUnit: ou: : organizationalUnitdc: : :domain:dc: :domain# Mapping Rules to map usersuid : : :person: uid: :inetOrgpersonsn: : :person:sn: :personcn: : :person:cn: :personcn: : :person:uid: :personmail: : :inetorgperson: mail: :inetorgpersonemployeenumber: : :organizationalPerson: employeenumber: :organizationalpersonc: : :country:c: :countryl: : :locality: l: :localitytelephonenumber: : :organizationalPerson: telephonenumber: :organizationalperson

例）マッピング・ルール設定ファイル「 import.map.master 」

% $ORACLE_HOME/bin/dipassistant mp –host oidhost.jp.oracle.com –port 389

-passwd “cn=orcladminのパスワード” –profile ActiveChgImp

odip.profile.mapfile=“/export/home/oid1012/diparea/import.map.master”

同期プロファイルにマッピング・ルールをロードする方法


マッピングルールの例

次のような特定のLDAP操作に対しPL/SQLロジックを実行する仕組み

– ldapbind

– ldapcompare

– ldapadd

– ldapdelete

– ldapmodify

– ldapsearch

適用タイミングは post（操作後）、pre（操作前）、when（操作時）

when については次の２つの適用型を設定

– アドオン型Plug-In：特定のLDAP操作後にPL/SQLロジックを実行

– 置換型Plug-In：特定のLDAP操作をPL/SQLロジックに置き換えて実行


プラグインによるロジックの追加


① LDAP処理要求

②プラグイン始動

⑤ LDAP処理の実行

⑧ LDAP処理結果

認証プラグインの適用範囲

④ DBMS_LDAPパッケージ呼び出し

⑥戻り値チェック

PL/SQLパッケージ内の処理

③ PL/SQLパッケージ呼び出し ⑦戻り値チェック

Oracle Internet DirectoryThird-Party

Directory

OID： Directory プラグイン・フレームワークについて


プラグインの処理フロー


高可用性構成マルチマスタ環境では、１次ノードから２次ノードに手動での同期プロファイルのコピーが必要

1. 同期プロファイルを無効化します。

2. ldapsearchコマンドを使用して、ターゲット・ノードのlastchangenumber属性の値を取得します。

3. ldapsearchを使用して、プロファイル・エントリのLDIFダンプを取得します。

4. ldapaddを使用して、他のOracle Internet

Directoryインスタンスにプロファイルを追加します。

5. manageSyncProfilesコマンドのupdatechgnum演算子を使用して、ターゲット・

ノードにコピーしたエクスポート・プロファイルのlastchangenumber属性を手順2で取得した値で更新します。

6. 同期プロファイルを有効化します。

http://download.oracle.com/docs/cd/E16340_01/core.1111/b55898/imha.htm#CDECCJJH


3. Oracle Identity Manager によるActive Directory 連携


Identity Manager による Active Directory 連携

35

Microsoft

Active Directory



ERP

認証

Windows PC

Identity Manager同期同期

Directory Server

Internet Directory

• アプリケーションの認証：Directory Server, Internet

Directory, etc

• AD との同期: Identity Manager

パスワード変更


36

Oracle Identity Manager動作イメージ

入退出管理システム

顧客情報管理システム

売上管理システム

コンテンツ管理システム

品質管理システム

人事システム

OSアカウント管理

Trusted Source

Oracle Identity Manager

属性・ルールに基づいたロール割当て

ID管理データベース

プロビジョニング(配信)

Target System

管理者

ユーザ情報

配信ルール

各種履歴ログ

など

･ID情報の管理･メンテナンス

ユーザ・パスワード変更・申請

リコンシリエーション(ユーザー情報の取得）

Copyright© 20010 Oracle. All rights reserved.

37

Oracle Identity Manager運用イメージ

Oracle Identity Manager はIDライフサイクルを全て管理します。

ユーザ登録

申請・承認ワークフローによるプロビジョニング

不正アカウントの処理（自動)

承認アカウントのチェック

ログ･監査

リコンシリエーション


ユーザ削除

デプロビジョニング（自動)

ポリシー・ロールによるプロビジョニング（自動)

連携対象システム

パスワード問い合わせの自動化管理者負荷軽減！！

利用者自身がセルフサービスにてアクセス権限申請が可能ID管理者負荷軽減！！

人事システム

定期的なアカウント配信状況のチェック機能！！

監査で必要とされるレポートは標準で準備！！

ログ履歴保存

ユーザーの部署や役職に基づいたルールによるID管理

を実現！！

ユーザ情報の変更

38

Oracle Identity Manager 構成概要


リポジトリデータベース層

Oracle Database SE or EE

アプリケーションサーバ層

Oracle Weblogic Server


Oracle SOA SuiteOracle BI Publisher

ユーザー・コンソール

クライアント

Design Console

HTTP RMI

JDBC

対象システム

Java

ユーザー管理プロビジョニングリコンシリエーションワークフローレポート

設定情報履歴情報

Oracle JDeveloper

HTTP

管理画面によるアカウント管理・配信


アカウントの作成

管理権限の移譲


属性値の生成・加工と柔軟なプロビジョニングフローの実現

リソースオブジェクトActive Directory

プロビジョニングプロセス(Active Directory用)

Active Directory

「UserAのアカウントをターゲット：Active Directory

にプロビジョニング」

姓

名

Email アドレス

パスワード

山田

太郎

[email protected]

＊＊＊＊＊＊＊

ユーザID UserA

姓

名

Email アドレス

パスワード

山田

太郎

[email protected]

＊＊＊＊＊＊＊

ユーザID UserA

Mobile System情報 IT Resource

IT Resource

Mobile System

Copy用アダプタ

OIMユーザー情報

プロセスフォーム

ターゲット：Active Directory

配信ユーザ情報

ユーザ作成タスク：Create User

ユーザ無効化タスク：Disable User

ユーザ作成用アダプタ

ユーザ無効化用アダプタ

姓

41

Active Directory からのパスワード吸い上げと伝搬の双方向が可能

ユーザー自身にてセルフサービス機能によりパスワード変更が可能

チャレンジQAを設定することパスワード忘れ時に自身でのリセットが可能

パスワード管理とチャレンジQA


パスワード変更画面にて設定されているパスワードポリシーを表示

チャンレジQAの内容や設定数、正解数は設定にて変更可能

申請ワークフロー機能


アカウント作成の申請

申請ワークフローの設定

43

不正アカウント検知

プロビジョニング先ターゲットへの定期的な変更検出タスク(Targetリコンシリエーション)により、対象システムに直接作成されかつOIMでは管理外のアカウントを検知

悪意による不正アカウントや動作確認用の一時アカウントを検出

UserA

UserB

test01

UserC

UserD

1. アカウントの配信

2. システムに

直接アカウント追加

対象システムA



UserA

UserB

UserC

UserD

リソースA

配信済みアカウント一覧

ユーザー情報取り込み

3. ターゲットリコンシリエーション(OIM保持配信ユーザー情報と対象システム側のユーザー情報を比較)

不正作成ID(test001)の検出

日本HP ID管理スターターパック30

日本HPのノウハウと日本オラクルのOracle Identity

Managerを組み合わせたライセンス・構築・ハードウェアを組み合わせたソリューション


http://h50146.www5.hp.com/solutions/infrastructure/security/landing/idstarter.html?jumpid=in_r10170_jp/ja/large/tsg/press_oim_landing/jp_iwpr10

• CSV から取り込み

• AD や LDAP への伝搬

• 最短30日間～

• 100ユーザ

• ¥ 850 万円～


4. Oracle Virtual Directory によるActive Directory 連携

Oracle Virtual Directory とは

Virtual Directory とは何か？

– LDAPv3準拠のインタフェースを提供するデータおよびプロトコル変換ゲートウェイ（接続ユーザからは、通常のLDAPサービスのようにみえます）

– 実データを保持しない（プロキシとして機能する）

– 外部からはLDAPサーバのように扱えるが、実際のデータは複数の既存リポジトリ・データベース（LDAP、Database等）をリアルタイムにアクセスする

Virtual Directory とはどのような要件に対応できるものなのか？

– 複数のLDAPサーバに対するアクセスの入口を一箇所に集約する必要がある

– ID情報をLDAPサーバ以外で管理しており、LDAPアクセス可能にする必要がある

– １つのIDを構成する情報が、複数のリポジトリに分散して管理されている。それを１つに集約して利用する必要がある

– LDAPアクセスに対して、ファイアウォール（LDAP フィルタ、属性フィルタ、問い合わせフィルタなど）や代理アクセスを必要とする

– 複数のLDAPサーバに対して負荷分散を必要とする

46Copyright© 2010, Oracle Corporation. All rights reserved.

47

Oracle Virtual Directory の全体像～分散したIDリポジトリを仮想的に統合し、迅速に統合ディレクトリを提供

Oracle VirtualDirectory

システムC契約社員管理LDAP

システムA権限・職責管理データベース

システムB正社員管理LDAP

LDAPクライアントからはLDAPアクセス Virtual Directoryを通して各リポジトリのID情報を参照

Oracle Virtual Directoryとは？ Oracle Virtual Directoryの主な導入メリット

• 異なるIDリポジトリ（LDAP、独自DB管理等）を仮想的に統合して、１つのディレクトリビューを実現

LDAPクライアント（ユーザ or アプリケーション） VIEW

• セキュリティチェックによるセキュアなアクセスを実現

• 既存のID管理フローの変更無く、統合ディレクトリを構築可能

• 仮想的な統合ディレクトリにより、段階的なディレクトリ統合のステップとして活用可能

• データは物理的に1箇所だけに存在するため、リアルタイムのID情報にアクセス可能

• 独自DBで管理しているID情報をLDAP化可能

• Oracle Access Managerのリポジトリとして利用可能

LDAP

Oracle Virtual Directoryの機能

• LDAPリスナー：LDAPサービスを提供

• 接続アダプタ：接続のための各種アダプタ

• 属性結合：異なる環境のユーザ属性を結合

Copyright© 2010, Oracle Corporation. All rights reserved.

OVD 全体像

48


Virtual Directory Server

リスナーセキュリティ・チェック

グローバル・プラグイン

ルーティング

LDAPアダプタ

Databaseアダプタ

Join アダプタLDAPアダプタ


LDAPサーバ

DBサーバ

バックエンドのデータソース


OVD の処理内容

49


Virtual Directory Server

リスナーセキュリティ・チェック

グローバル・プラグイン

ルーティング

LDAPアダプタ


Join アダプタLDAPアダプタ


LDAPサーバ

DBサーバ

通信・処理プロトコル・LDAP / HTTP / DSML

リスナーの形式・LDAPリスナー・Webゲートウェイ・Webサービス

その他

・SSL対応

バックエンドのデータソース

クォータ確認・過負荷や連続処理を制限

参照リミットの確認

ACL（アクセス制御リスト）の確認

共通のデータ処理変換ロジック

トランザクションのダンプ（デバッグ用）

要求を処理するアダプタの指定・優先度指定あり

フィルタリング処理や対象属性の指定・アダプタ単位

OVDとデータソース間の通信のハンドリング

対応可能なデータソース・ LDAP

・ Database（RDBMS）・ローカルのデータストア（ローカルファイル）・カスタム（Java API、Webサービス）


OVD の管理ツール主に次の２つのWebコンソールを使って管理を行います。

複数OVDサーバ間で設定を同期するための syncovdconfig コマンドも新しく提供されています。

50

Oracle Directory Services Manager（ODSM）

Oracle Fusion Middleware Control（FMW Control）

・リスナー設定・サーバプロパティ・キーストア設定・監査ログ設定・監視

・アダプタ設定・プラグイン設定・アクセス制御設定・スキーマ管理・データ参照


51

特徴１ : セキュリティ向上LDAPプロキシ、ファイアーウォール

LDAPプロキシ、ファイアーウォール•接続先にSSL非対応のデータソースがあった場合、LDAP over SSLプロキシとして利用することによって、クライアントからのアクセスをSSL化することが可能•参照可能な属性情報をフィルタリング

アクセス制御を集中管理•さまざまなデータソースに対するアクセス制御を１ヶ所で集中的に管理可能•接続先データソースのアクセス制御に追加する形でアクセス制御を設定•アクセス制御の設定はGUI管理ツールから容易に設定可能

アクセスログの集約•接続先データソースへのアクセスポイントが１ヶ所に集約されているため、アクセスログを集約することが可能•アクセスログをCSVファイルに出力することも可能アクセス制御を集中管理

SSLプロキシとして利用

SSL通信

非SSL通信


属性のフィルタリング

特定のDN、グループ、IPアドレスなどでアクセス制御することが可能

対象となる操作を指定

対象DNを指定

対象属性を指定

設定済みアクセス制御リスト

ACL設定ウィザードを起動

Oracle Virtual Directory 管理ツール ACL設定ウィザード

OVD の主な特徴 –その１


52

特徴２ : 多様な接続性リクエストの振り分けとフェイルバック

RDBMSの情報をLDAPツリーへマッピング

さまざまなデータソースに接続可能•対応しているディレクトリサーバー

•Oracle Internet Directory

•Microsoft Active Directory/Application Mode

•Sun Java System Directory Server

•IBM Tivoli Directory Server

•Novell eDirectory

•CA eTrust Directory

•Siemens DirX

•LDAPで接続可能なデータソースであれば基本的に接続可能※ Java API によるカスタムコネクタ開発によってその他のデータソースにも接続可能

負荷分散とフェイルオーバー•条件に基づいてリクエストを異なる接続先へ振り分け

•条件：検索ベース、検索フィルタ、バインドDN

•設定された割合に基づいてリクエストをラウンドロビン振り分け•振り分け先サーバーがダウンしている場合、復帰するまで振り分け先の対象外とする機能

RDBMSの情報をLDAPツリーへマッピング•既存のRDBMS上で使用しているID属性を、Oracle Virtual Directory

上の任意のディレクトリ・ツリーへマッピング•対応しているリレーショナルデータベース

•Oracle Database 9.2.0.7, 10.1.0.5, 10.2.0.2

•Microsoft SQL Server

•IBM DB2

empno ename L_name F_name100 suzuki Suzuki Taro200 tanaka Tanaka Ichiro

uid: TanakagivenName: Ichirosn: Tanakamail: [email protected]: {MD5}H8r3js83

Sales

Oracle

Support

Suzuki Tanaka

表：Employee_Tab

Tanakaエントリの情報

DITへマッピング

属性のマッピング

LDAPディレクトリ


リクエストされた内容を、条件に基づいて適切な接続先に振り分け

OVD の主な特徴 –その２


53

特徴３ : 柔軟な拡張性 Java APIによるプラグイン開発•標準提供されるJava APIを利用してカスタムプラグインを開発可能•カスタムプラグインによって、WebサービスなどJavaで接続可能なあらゆるデータソ

ースのデータをディレクトリツリーへマッピング

マルチプラットフォーム対応•実行エンジンがJavaベースで開発されているため多くのプラットフォームに対応

•Windows NT 4.0 SP6, Windows 2000 SP3, Windows XP Professional,

Windows 2003 Server

•Red Hat Linux 8, 9, Red Hat Linux Enterprise Server 3.0

•Solaris 8, 9

•HP-UX 11

•AIX 5.2

※管理ツールの対応プラットフォームは Windows と Linux のみとなります。

３種類の仮想リスナー•LDAP、DSML、HTTP（DSMLゲートウェイ）の３つのインタフェースを提供•LDAPインタフェースを持たないRDBMSなどのデータソースに対して、LDAPインタフェースを通じたアクセス環境を提供

LDAP

３種類の仮想リスナー

LDAP, DSML インタフェースを通じてデータベースにアクセス

RDBMS

DSML

Java API によるプラグイン開発

独自開発したプラグインはGUIツール

を通じてサーバーへデプロイ

既にデプロイされているプラグインのリスト

OVD の主な特徴 –その３


54

特徴４ : ディレクトリ統合シングル・サインオン製品の認証基盤

メタディレクトリと異なり仮想的にデータを集約•キャッシュを持たないアーキテクチャのため、メタディレクトリのようにデータの同期や整合性を保つといった作業を必要としない•データの管理は既存の管理システムの仕組みをそのまま利用することが可能

シングル・サインオン製品の認証基盤•全ユーザーの認証情報の集約が容易なため、LDAPサーバーをユーザー認証基盤として利用するWebシングルサインオン製品との相性が良い•Oracle Access Manager との連携のための設定テンプレートを提供

ID情報のマッピングと統合•複数のデータソースに分散したID情報を1つに集約•重複しているID情報を任意の属性をキーにして結合•サブツリーごとに分散して格納されているID情報をフラットな形式（階層化しない状態）に変換•Active Directoryユーザーのスキーマ属性をinetOrgPersonオブジェクトクラスの属性に変換

ID情報のマッピングと統合

Oracle

Access Manager

シングル・サインオン製品

Oracle

Virtual Directory

集約されたユーザー情報

ID, パスワードの問い合わせ

正社員データのディレクトリ

契約社員データのディレクトリ

Web クライアント

階層構造をフラット形式に仮想的に変換

Active Directory のスキーマ属性を変換


objectclass:user sAMAccountName: foo

objectclass: inetOrgPersonuid: foo

Active Directory

OVD の主な特徴 –その４


ユースケース：既存ADの変更なく活用

55

• XXXグループADは変更不可なので、組織とそこに所属するユーザー、それらの権限をUCMデータベース内の別スキーマに保管します。

• 仮想ディレクトリを用いて、既存のXXXグループADにあるユーザー情報と、DB内の権限・グループ情報をLDAPとして一か所で参照できるようにします。

仮想ディレクトリ（Oracle Virtual

Directory）

UCMサーバー

UCMデータベース

UCMスキーマ

権限・グループ情報

ユーザー情報

XXXグループAD

ユーザー、グループ情報参照

マッピング

マッピング


ポータル

ポータル

ポータル

ポータル

56

Oracle Virtual Directory (OVD)によって専用IDリポジトリとID伝播の仕組みを実装せずに、

1. 社員、代理店、販売店ユーザとの区別が可能2. セキュリティ（アクセス制御）管理が実現3. 既存システム、運用への影響が尐ない

低コストでかつ短期間での実装が可能になります。

XXX本社

認証ディレクトリ

Active

Directory

IceWall用

認証用データベース

統合QA

【社内外共通システム】

UCMのLDAP連携機能（標準機能）

社員代理店販売店

XX-Net YYY-Net/ZZZ-Net

Oracle Virtual Directory（仮想ディレクトリ）

問い合わせ

応答

問い合わせ

応答

専用IDリポジトリとID伝播の仕組みが必要となり管理が不要

ユースケース：分散したIDレポジトリの統合


シングル・サインオン

ポータル

シングル・サインオンのディレクトリツリー


まとめ


まとめ

• ISW（Identity Synchronization for Windows）による連携• Directory Server と AD の同期

• AD にソフトウェアのインストール不要

• ユーザ、グループの双方向同期

• OID（Oracle Internet Directory）/DIP（Directory Integration Platform）による連携• Internet Directory と AD の同期

• AD に認証を委任 or プラグイン経由でパスワードを同期

• OIM（Oracle Identity Manager）による連携• AD や各種ディレクトリを含む統合 ID 管理を実現

• AD にプラグインを組み込むことでパスワードの吸い上げが可能

• OVD （Oracle Virtual Directory）による連携• AD の属性をフィルタリング

• クライアントに応じたデータの見せ方を変えることが可能

58


OTN×ダイセミでスキルアップ!!

※OTN掲示版は、基本的にOracleユーザー有志からの回答となるため100%回答があるとは限りません。ただ、過去の履歴を見ると、質問の大多数に関してなんらかの回答が書き込まれております。

Oracle Technology Network(OTN)を御活用下さい。

・一般的な技術問題解決方法などを知りたい！・セミナ資料など技術コンテンツがほしい！

一般的技術問題解決にはOTN掲示版の

「データベース一般」をご活用ください

http://otn.oracle.co.jp/forum/index.jspa?categoryID=2

過去のセミナ資料、動画コンテンツはOTNの

「OTNセミナーオンデマンドコンテンツ」へ

http://www.oracle.com/technology/global/jp/ondemand/otn-seminar/index.html

※ダイセミ事務局にダイセミ資料を請求頂いても、お受けできない可能性がございますので予めご了承ください。ダイセミ資料はOTNコンテンツオンデマンドか、セミナ実施時間内にダウンロード頂くようお願い致します。

DB

以外の任意の掲示板

http://otn.oracle.co.jp/forum/index.jspa?categoryID=2


Windows環境でもシェアNo.1！Databaseの合言葉はオラ98(キュッパ)」

日頃ご利用・ご提案頂いている皆様の声を投票にてお聞かせください。抽選でプレミアム・グッズをプレゼント。47都道府県を超えたら、投票総数が2,000件を超えたら、賞品がグレ

ードアップ！！締め切りは11月30日（火）まで。皆様のご応募をお待ちしております！！

日本全国オラ98


OTNセミナーオンデマンドコンテンツダイセミで実施された技術コンテンツを動画で配信中!!

ダイセミのライブ感はそのままに、お好きな時間で受講頂けます。

※掲載のコンテンツ内容は予告なく変更になる可能性があります。期間限定での配信コンテンツも含まれております。お早めにダウンロード頂くことをお勧めいたします。

OTN オンデマンド

最新情報つぶやき中

oracletechnetjp

・人気コンテンツは？

・お勧め情報

・公開予告など


Oracle エンジニアのための技術情報サイト

オラクルエンジニア通信http://blogs.oracle.com/oracle4engineer/

• 技術資料

• ダイセミの過去資料や製品ホワイトペーパー、スキルアップ資料などを多様な方法で検索できます

• キーワード検索、レベル別、カテゴリ別、製品・機能別

• コラム

• オラクル製品に関する技術コラムを毎週お届けします

• 決してニッチではなく、誰もが明日から使える技術の「あ、そうだったんだ！」をお届けします

先月はこんな資料が人気でした

Oracle 10gR2がWindows 2008R2/Windows7に対応

【チュートリアル】意外と簡単!? Oracle Database 11g

Release2 - Windows版「データベース構築編」

Oracle Database 11gR2 RAC インストレーション・ガイドASM 版 Microsoft Windows x86-64

オラクルエンジニア通信

最新情報つぶやき中

oracletechnetjp

http://blogs.oracle.com/oracle4engineer/


■パフォーマンス診断サービス

•Webシステムボトルネック診断サービス

•データベースパフォーマンス診断サービス

オラクル社のエンジニアが直接ご支援しますお気軽にご活用ください!

オラクル無償支援検索

NEW

■システム構成診断サービス

•Oracle Database構成相談サービス

•サーバー統合支援サービス

•仮想化アセスメントサービス

•メインフレーム資産活用相談サービス

•BI EEアセスメントサービス

•簡易業務診断サービス

■バージョンアップ支援サービス

•Oracle Databaseバージョンアップ支援サービス

•Weblogic Serverバージョンアップ支援サービス

•Oracle Developer/2000(Froms/Reports)

Webアップグレード相談サービス

■移行支援サービス

•SQL Serverからの移行支援サービス

•DB2からの移行支援サービス

•Sybaseからの移行支援サービス

•MySQLからの移行支援サービス

•Postgre SQLからの移行支援サービス

•Accessからの移行支援サービス

•Oracle Application ServerからWeblogicへ移行支援サービス

ITプロジェクト全般に渡る無償支援サービス

Oracle Direct Conciergeサービス

NEW

NEW


11月30日まで!! 締め切り迫る

64

Enterprise Editionはここが違う!!

• 圧倒的なパフォーマンス!

•データベース管理がカンタン!

•データベースを止めなくていい!

• もちろん障害対策も万全!

Oracle Databaseのライセンス価格を大幅に抑えて

ご導入いただけます

詳しくはコチラ

http://www.oracle.co.jp/campaign/kurukuru/index.html

あのOracle Database Enterprise Editionが超おトク!!

お問い合わせフォームhttp://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

多くのお客様でサーバー使用期間とされる

5年間にライセンス期間を限定

•期間途中で永久ライセンスへ差額移行

• 5年後に新規ライセンスを購入し継続利用

• 5年後に新システムへデータを移行


http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

Oracle Direct 検索

あなたにいちばん近いオラクル

Oracle Directまずはお問合せください

Web問い合わせフォームフリーダイヤル

専用お問い合わせフォームにてご相談内容を承ります。

※フォームの入力には、Oracle Direct Seminar申込時と同じログインが必要となります。

※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録されている連絡先が最新のものになっているか、ご確認下さい。

0120－155－096

※月曜~金曜 9:00~12:00、13:00~18:00

（祝日および年末年始除く）

システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。

システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。

http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

Documents

Oracle Direct SeminarInsert Picture Here> Oracle Direct Seminar Active Directoryとのお手軽データ連携ソリューション 日本オラクル株式会社

Oracle Direct SeminarInsert Picture Here> Oracle Direct Seminar Active Directoryとのお手軽データ連携ソリューション日本オラクル株式会社