Comments
Transcript
HighmarkでのOracle Virtual Directoryを使用したIDデータ統合
Highmark での Oracle Virtual Directory を 使用した ID データ統合 Oracle ホワイト・ペーパー 2009 年 1 月 Highmark での Oracle Virtual Directory を 使用した ID データ統合 概要 ...................................................................................................................... 3 課題:単一のディレクトリ・サービス ........................................................... 4 ディレクトリ・サーバーからディレクトリ・サービスへ ..................... 4 配置の概要 .......................................................................................................... 5 配置の規模 ..................................................................................................... 5 ハードウェア ................................................................................................. 5 高可用性......................................................................................................... 5 アーキテクチャ図 ......................................................................................... 6 ID データ・アクセス構成............................................................................ 7 ID データの統合 ...................................................................................... 7 UniqueEntry プラグインによる重複 ID の削除.................................... 7 今後の計画:結合アダプタを使用した単一プロファイルの提供 .... 8 実装プロセス ................................................................................................. 8 メリットと投資回収率 ...................................................................................... 8 技術的なメリット ......................................................................................... 8 投資収益率 ..................................................................................................... 9 結論 ...................................................................................................................... 9 Highmark での Oracle Virtual Directory を使用した ID データ統合 2 Oracle Corporation 発行「Highmark Unifies Identity Data With Oracle Virtual Directory」の翻訳版です。 Highmark での Oracle Virtual Directory を使用した ID データ統合 概要 Highmark は、Oracle Virtual Directory を採用したことで、新しいアクセス管理ソリュー ションとポータル・アプリケーションの配置にかかる時間を短縮できました。ま た、既存のソース・システムを変更することなく、ID データをクリーンアップで きました。 Highmark Inc.はペンシルベニア州ハリスバーグに本社を置く保険会社です。同社 は、多くの Web ベースのアプリケーションを含むサービスを、200 万人を超える 顧客に提供しています。 Web ベースの新しいアプリケーションを配置する一環として、Highmark は新しい アクセス管理ソリューション(Oracle Access Manager)を採用し、新しい Web ア プリケーション・インフラストラクチャ(IBM WebSphere アプリケーション・サー バーおよびポータル)に Web アプリケーションを配置しました。 Oracle Access Manager と WebSphere を配置する際の課題の 1 つは、ID 情報が 2 つ の RedHat Directory Server に分割されていることでした。一方の RedHat サーバー には従業員の属性が含まれ、もう一方には従業員以外(顧客およびベンダー)の 資格証明が含まれていました。ところが、WebSphere と Oracle Access Manager が サポートできるユーザー・ディレクトリは、他の市販(COTS)アプリケーション と同様で、1 つのみです。また、同社では、今後、Microsoft Active Directory に含 まれる従業員情報の属性を使用することも計画しています。 Highmark は、ID 情報を 1 つのディレクトリに統合しなくても、これらのディレク トリに存在するすべての ID 情報に単一ソースとしてアクセスすることが可能に なるソリューションを必要としていました。 Highmark は、Oracle Virtual Directory を配置することで、1 つの統合インタフェー スを使用してすべてのディレクトリにアクセスできるようにし、ディレクトリの 統合を回避しました。Oracle Virtual Directory では、両方の Red Hat ディレクトリ のデータを 1 つにまとめて表示できるため、すぐに本番稼働を開始できました。 Oracle Virtual Directory には Active Directory のデータを追加できる柔軟性もあるた め、今後、AD に格納されているデータを使用する必要があるアプリケーションを 配置するときに、他の既存アプリケーションを変更せずに AD のデータを追加で きます。また、重複しているユーザーID 情報は Oracle Virtual Directory で排除され るため、バックエンドのサーバーでデータを変更する必要がありませんでした。 Highmark での Oracle Virtual Directory を使用した ID データ統合 3 Oracle Corporation 発行「Highmark Unifies Identity Data With Oracle Virtual Directory」の翻訳版です。 Highmark は Oracle Virtual Directory を使用したことで、200 万のユーザー・アカウ ントにサービスを提供している 100 を超えるアプリケーションにアクセス管理ソ リューションを配置でき、短期間で高い投資収益率(ROI)をあげました。 課題:単一のディレクトリ・サービス Highmark が直面していた 3 つのおもな課題は、次のとおりです。 アカウントが複数のディレクトリに存在していた(内部ディレクトリと 外部のディレクトリを含む) 一部のアカウントが、内部ディレクトリと外部外部ディレクトリとの間 で重複していた アプリケーションには単一のディレクトリ・サービス・アクセス・ポイ ントが必要だった ID 情報が格納されているリポジトリは、次のとおりです。 RedHat Directory(現在、本番環境で使用) Microsoft Active Directory(将来、使用する予定) RedHat Directory は 2 つあります。1 つは従業員アカウント用で、アプリケーショ ンで使用される属性が含まれていますが、これらの属性は AD には格納されてい ません。もう 1 つのディレクトリは 200 万を超えるユーザー・アカウントを含む 外部ディレクトリで、おもに顧客アカウントを含みますが、従業員アカウントも 少し含まれます。従業員アカウントのデータにのみ接続するレガシー・アプリケー ションがまだあるため、従業員アカウントを削除することはできません。Active Directory は Windows ログインで使用されていますが、Active Directory のデータを 必要とするアプリケーションがまだないため、現時点では Oracle Virtual Directory と組み合わせては使用されていません。 ディレクトリ・サーバーからディレクトリ・サービスへ Highmark は、すべての ID のための単一のコンタクト・ポイントを用意して、ア プリケーション配置の構成を簡素化する必要がありました。 しかし、すべてのデータを 1 つの"スーパーディレクトリ"に統合するのは、コスト と時間がかかりすぎます。引き続きレガシー・アプリケーションをサポートする 必要があるため、既存のディレクトリを削除することはできず、統合するために 別の"スーパーディレクトリ"を追加すれば、維持およびサポートが必要なインフラ ストラクチャとデータの同期処理が増えてしまいます。 さらに重要なのは、これらのさまざまなシステムにアカウントをプロビジョニン グするためのプロセスを Highmark がすでに持っており、それらのプロセスは規制 要件に準拠していることが認定されていたことです。データを統合して同期化す るとなると、山ほどある技術的な課題に加え、規制やセキュリティ・ルールを実 装しなおし、認定を再取得することが必要になります。 状況をさらに複雑にしていたのは、3 つのディレクトリすべてに正規アカウント を持つユーザーが一部に存在し、さまざまな理由から、三重に重複しているアカ ウントを削除できないという事実でした。 Highmark での Oracle Virtual Directory を使用した ID データ統合 4 Oracle Corporation 発行「Highmark Unifies Identity Data With Oracle Virtual Directory」の翻訳版です。 Oracle Virtual Directory を評価した Highmark の IT スタッフは、 Oracle Virtual Directory を採用すれば、使いやすく柔軟なソリューションを迅速に実装でき、新たな同期 化の必要が発生しないことを確信しました。 Highmark がこれらの問題の解決に Oracle Virtual Directory を選んだ理由は次のと おりです。 新しいリポジトリにデータをコピーしなくても ID 情報を一体化できる 既存のデータ・リポジトリと認定済みのプロセスをすべて活用できる ソース・データを変更しなくても、データの結合や重複アカウントの削 除ができる アクセス管理などの新しいアプリケーションだけでなく、LDAP に対応し た 100 を超えるレガシー・アプリケーションでも使用できる 配置の概要 配置の規模 200 万を超えるアカウントをサポート IBM WebSphere および Oracle Access Manager を含む 100 を超すアプリケー ション ハードウェア 本番環境:Linux を実行する x86 クアッドコア 2CPU(ハードウェア・ロードバラ ンサを使用) サンドボックス環境:Linux を実行する x86 デュアルコア 2CPU テスト環境:Linux を実行する x86 デュアルコア 2CPU 高可用性 本番システムは高可用性構成です。構成が二重化され、ハードウェア・ロードバ ランサを使用してロードバランシングが実行されると同時に、なんらかの理由で Oracle Virtual Directory サーバーが使用できなかった場合はトラフィックがリダイ レクトされるようになっています。 また、Oracle Virtual Directory の LDAP アダプタは冗長化された LDAP サーバーを 示すように構成されています。そのため、プライマリ・データセンターに存在す るソースにリクエストが送信されても、プライマリの施設にある LDAP サーバー が使用できない場合はリモートの施設に自動的にフェイルオーバーされます。 Highmark での Oracle Virtual Directory を使用した ID データ統合 5 Oracle Corporation 発行「Highmark Unifies Identity Data With Oracle Virtual Directory」の翻訳版です。 アーキテクチャ図 次に示すのは、Highmark の Oracle Virtual Directory の現在の配置を示すアーキテク チャの概略です。 次の図は、Highmark が計画している将来の配置を示しています。 Highmark での Oracle Virtual Directory を使用した ID データ統合 6 Oracle Corporation 発行「Highmark Unifies Identity Data With Oracle Virtual Directory」の翻訳版です。 ID データ・アクセス構成 ID データの統合 前の項で説明したとおり、現在使用されている ID 用の LDAP ソースは 2 つあり、 将来のために 3 つ目が計画されています。 Highmark は次の構成で Oracle Virtual Directory を構成しました。 ルート・エントリ(例:dc=highmark,dc=com)を保持するためのローカル・スト ア・アダプタ:このエントリは静的で、アプリケーションで検索ベースとして使 用されます。 アプリケーションから見える 2 つのアダプタ:スタッフ用と外部用が 1 つずつ存 在します。2 つとも仮想ブランチとして表示されます(例:ou=staff,dc=highmark,dc= com と ou=external,dc=highmark,dc=com)。このようにすると、サブツリーを検索 スコープとし検索ベースを"dc=highmark,dc=com"とするすべての検索(ほとんどの アプリケーションで使用される LDAP サーバー検索方法)で、データをパラレル に検索できます。 このように Oracle Virtual Directory を構成することで、すべてのディレクトリに含 まれるデータを単一のソースとしてアプリケーションに対して表示できます。 UniqueEntry プラグインによる重複 ID の削除 スタッフ・ディレクトリと外部ディレクトリには、一部のスタッフのユーザー・ データが重複して存在しています。 ID データが分割されている場合、Oracle Virtual Directory では結合アダプタを使用 して ID データをリンクさせられますが、今回の Highmark の希望は、スタッフ・ ディレクトリのエントリだけを表示し、エクストラネットに含まれるスタッフ・ メンバーのデータは表示しないというものでした。 そのため Highmark は、重複している属性値に基づいてエントリを削除する Highmark での Oracle Virtual Directory を使用した ID データ統合 7 Oracle Corporation 発行「Highmark Unifies Identity Data With Oracle Virtual Directory」の翻訳版です。 UniqueEntry プラグインを使用しました。Highmark では、基準にする属性値とし て uid を選択しました。 Highmark は、アプリケーションで Oracle Virtual Directory を検索したときに複数の エントリが戻された場合(つまり、前のエントリと同じ uid 値を持つエントリが あった場合)、そのエントリをクライアント・アプリケーションに戻さないよう に Oracle Virtual Directory を構成しました。 Highmark はこのような構成にしたため、バックエンドのデータ・ストアを変更し なくてよくなりました。バックエンドのデータに依存しているアプリケーション がまだ存在していたため、これは非常に重要なことでした。 今後の計画:結合アダプタを使用した単一プロファイルの提供 Highmark のディレクトリには、スタッフ・エントリに分割プロファイルが含まれ ていることがあります。分割プロファイルでは、ID 属性が 2 つ以上のソースに分 割されています。Highmark の例では、Active Directory と一方の RedHat ディレク トリとに存在するユーザー・データをまとめる必要があります。 Oracle Virtual Directory には結合アダプタがあるため、これを使用すれば、結合ルール を使用して ID 属性をその場で統合できます。Oracle Virtual Directory には事前定義 済みの結合ルールがいくつか用意されており、Highmark はその中の SimpleJoinRule を使用しました。SimpleJoinRule を使用すると、リストした属性同士の値が同じで あれば、プライマリ・ソースとセカンダリ・ソースの間でエントリをリンクさせ ることができます。 たとえば、セカンダリ・ソースの mail 属性がプライマリ・ソースの uid と同じ場 合、結合ルールは"mail=uid"となります。または、"uid=uid"のように、同じ属性に することもできます。 結合アダプタのメリットは、アプリケーションでスタッフ・エントリを取得する とき、取得元のソースに関係なくすべての属性(アプリケーションに適切なデー タ・アクセス権がある場合)がアプリケーションにより確認される点です。 実装プロセス Oracle Virtual Directory の実装は Highmark だけで実施しました。サード・パーティ の支援は受けませんでした。 メリットと投資回収率 メタディレクトリを採用するのではなく Oracle Virtual Directory を選択したことで、 多数のメリットがあり、大きな投資回収率が得られました。 技術的なメリット 配置にかかる時間が短縮された – 1 か月で Oracle Virtual Directory が稼働 した。 ソース側でデータを変更しなくても、重複するアカウントをリアルタイ ムで排除できた。 Highmark での Oracle Virtual Directory を使用した ID データ統合 8 Oracle Corporation 発行「Highmark Unifies Identity Data With Oracle Virtual Directory」の翻訳版です。 ターゲット・データソースからアプリケーションを分離したこと、およ びデータの抽象化と変換を実施したことで、柔軟性が向上した。 投資収益率 短期間で Oracle Virtual Directory を配置でき、アプリケーションの配置が迅速化さ れ、既存のデータ・ストアを再利用できた結果、Oracle Virtual Directory によって 素早く高い投資回収率がもたらされました。 たとえば、メタディレクトリを採用していたら、はるかにコストがかさんでいた はずです。ソフトウェア・コストはもちろんですが、ストレージ、バックアップ および同期処理の監視のためにさらに多くのハードウェアが必要になっていたで しょう。また、同期処理の前にはデータのクリーンアップと正規化が必要だった でしょう。 このプロセスには 18 か月以上かかったはずです。 これに対し、Oracle Virtual Directory は 1 か月以内でインストールと準備が完了し ました。 Oracle Virtual Directory では追加のデータ・ストレージやデータのバックアップが 不要だったのが理由です。追加のデータ・ストレージやバックアップが必要なかっ たことは、さらなるコスト削減にも効果がありました。 短期間で Oracle Virtual Directory を配置できたことで、WebSphere、Oracle Access Manager などのアプリケーションの配置も迅速化されました。 結論 保険会社の Highmark は、ディレクトリ・サービスに課題を持っていました。 ディレクトリは複数ありましたが、アプリケーションに必要なのは単一のディレ クトリ・サービスでした。また、2 つのディレクトリから取得した属性をリンク して個別の仮想エントリを作成する必要がある一方、元のデータソースを変更せ ずに重複エントリを削除することも必要でした。 ソリューションを提供したのは Oracle Virtual Directory です。Oracle Virtual Directory を採用したことで、Highmark は統合を必要とせずに ID データを一体化でき、元 のデータソースを変更せずにデータをクリーンアップできました。Oracle Virtual Directory のおかげでアプリケーション配置が迅速化され、規制認定を追加取得す る必要性が排除され、短期間で高い ROI がもたらされました。 Oracle Virtual Directory について詳しくは、http://www.oracle.com/identityを参照して ください。 Highmark での Oracle Virtual Directory を使用した ID データ統合 9 Oracle Corporation 発行「Highmark Unifies Identity Data With Oracle Virtual Directory」の翻訳版です。 Oracle Virtual Directory 事例:Highmark, Inc. 2009 年 1 月 著者:Mark Wilcox Oracle Corporation World Headquarters 500 Oracle Parkway Redwood Shores, CA 94065 U.S.A. 海外からのお問い合わせ窓口: 電話:+1.650.506.7000 ファクシミリ:+1.650.506.7200 www.oracle.com Copyright © 2005, Oracle. All rights reserved. 本文書は情報提供のみを目的として提供されており、ここに記載される内容 は予告なく変更されることがあります。 本文書は一切間違いがないことを保証するものではなく、さらに、口述によ る明示または法律による黙示を問わず、特定の目的に対する商品性もしくは 適合性についての黙示的な保証を含み、いかなる他の保証や条件も提供する ものではありません。オラクル社は本文書に関するいかなる法的責任も明確 に否認し、本文書によって直接的または間接的に確立される契約義務はない ものとします。本文書はオラクル社の書面による許可を前もって得ることな く、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段に よっても再作成または送信することはできません。 Oracle、JD Edwards、PeopleSoft、および Retek は、米国 Oracle Corporation およびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会 社の商標です。