...

Oracle Internet Directory 11g

by user

on
Category: Documents
17

views

Report

Comments

Transcript

Oracle Internet Directory 11g
Oracle ホワイト・ペーパー
2009 年 6 月
Oracle Internet Directory 11g
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
ビジネス上の問題と要求 ............................................................................................... 4
解決方法 ........................................................................................................................ 5
利点 ................................................................................................................................ 7
ROIの向上とコストの削減 .....................................................................................................7
セキュリティの強化 ...............................................................................................................7
アプリケーション統合を標準でサポート ...............................................................................7
Oracle Internet Directoryの詳細な技術情報 .................................................................. 7
アーキテクチャの概要 ............................................................................................................7
おもな機能..............................................................................................................................8
スケーラビリティ ............................................................................................................................... 8
高可用性 .............................................................................................................................................. 9
情報セキュリティ ............................................................................................................................. 10
優れたユーザビリティ ...................................................................................................................... 11
管理と監視の統合 ............................................................................................................................. 13
Oracle Directory Integration Platform ................................................................................................ 15
移行ツールと統合ツール ................................................................................................................... 15
外部認証 ............................................................................................................................................ 16
拡張性およびクライアント側の開発 ................................................................................................. 16
ユースケースの例:Oracle Database Enterprise User SecurityとOracle Internet
Directoryの統合............................................................................................................ 17
ユースケースの例:Oracle Authentication Services for OS ....................................... 17
結論 .............................................................................................................................. 18
参考資料 ...................................................................................................................... 18
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
概要
エンタープライズ・アプリケーション・インフラストラクチャの重要なコンポーネントである Oracle
Directory Services は、ユーザー・プロファイル、アクセス、認証データなどの ID サービスをアプリ
ケーションに提供します。適切に構造化および組織化されたディレクトリ・サービスは、エンター
プライズ・アプリケーションを機能させるための効率的で効果的な ID 管理ソリューションの基盤と
なります。
企業が直面している ID 管理の問題には、すべての ID データを提供できる単一のソースがないこと
や、ディレクトリとデータベースを含む ID ストアが拡散していることがあります。企業は、従業員
情報を HR データベースと Active Directory(AD)の両方またはいずれかに、顧客およびパートナー
のデータを CRM データベースと LDAP ディレクトリの両方またはいずれかに保持しています。AD
は Windows 用のネットワーク・オペレーティング・システムのディレクトリであり、さらに ID デー
タへの LDAP アクセスを必要とする多くの市販(COTS)アプリケーションがデータベースに簡単に
アクセスできないため、アプリケーション固有のディレクトリによる ID データのコピーと同期、お
よびスキーマの拡張が大幅に増加することになります。こうしたデータの拡散によって、維持管理
費用が高額になり、ID データの一貫性が無くなり、コンプライアンスの欠如してしまうといった問
題が引き起こされます。
Oracle Directory Services は、Oracle Virtual Directory と Oracle Internet Directory を使用してこれら
の問題に対処します。Oracle Virtual Directory では、データのコピーと同期をおこなわずに ID デー
タを集約および変換する ID の仮想的な統合サービスを提供します。一方、Oracle Internet Directory
では、各ディレクトリに存在するデータを物理的に統合するデータ・ストレージ・サービスと各ディ
レクトリ間の ID の同期といったサービスを提供します。Oracle Directory Services は企業がディレ
クトリ・サービスを短期間で統一することを可能にし、コストの削減、アプリケーション配置の迅
速化、セキュリティの強化、コンプライアンスの向上を実現します。
Oracle Virtual Directory は導入が非常に簡単で、数日で実稼働さ
せることができます。また、Oracle Internet Directory は ID デー
タ・ストレージに対する企業の要求に対応可能な唯一の汎用ディ
レクトリとして作成され、複数のコンテキストを格納する機能を
提供し、複数のソースに分散してしまう可能性があるデータを単
一インスタンスにまとめて管理できます。さらに、ディレクト
リ・レプリケーションやクラスタ・サポートのような高可用性機
能が組み込まれ、20 億エントリのベンチマークで最高のパ
フォーマンスが証明されています。、Oracle Directory Services
Manager は、Oracle Virtual Directory および Oracle Internet
Directory 用の直感的で統一されたウィザード・ベースの管理
ユーザー・インタフェースを提供します。このインタフェースは
Oracle Enterprise Manager と密接に統合されていて、Oracle
2
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
Fusion Middleware、Oracle Database、Oracle Applications を含
むすべてのサービスを一元的に管理および監視します。
3
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
ビジネス上の問題と要求
ディレクトリ・サービスは、安全な ID 対応ビジネス・アプリケーションおよびその基礎になってい
る企業 ID 管理(IdM)アーキテクチャを支える重要な要素です。
適切に構造化、組織化されたディレクトリ・サービスは、効率的で効果的なセキュリティ・サービ
スの土台となります。すべての IDM アプリケーションやほとんどの市販(COTS)ビジネス・アプ
リケーションは ID 属性へアクセスするための標準メカニズムを必要とします。そして、ID 属性にア
クセスするもっとも一般的な方法は LDAP による構造化・組織化されたディレクトリ・サービスに
基づいているのです。。ID 属性の例としては、ユーザー資格証明、アクセス権限、プロファイル情
報などがあります。
さらに、近代企業における ID 属性のニーズは、LDAP サーバーが市場に初めて登場した 1990 年代と
は異なっています。これは、近代企業の多くが LDAP ストレージ・ベースのサーバーを複数保有し、
さらに HR または CRM データベースなどの非 LDAP リポジトリにも ID データが格納されているか
らです。
さらに、新しい社外向けアプリケーションを配置する企業の数が増えているため、ベンダー、パー
トナー、顧客のような社外の人物の資格証明などに対して ID データを格納するストレージが必要に
なることもよくあります。
こうした ID データの格納方法・用途の多様化によって、企業内で ID 関連のアプリケーションを配
置する場合に、いくつかの問題が発生することになります。
Microsoft Active Directory は企業内では普及していますが、汎用のエンタープライズ・ディレクトリ・
サービスとしての機能は提供していません。これは、Active Directory の使用が、Windows ネットワー
ク・オペレーティング・システム・ディレクトリ上に限定されているからです。
• Active Directoryのこの制限に対処するために、MicrosoftはActive Directory Lightweight Directory
Services(AD LDS)を提供しています。1 ただし、AD LDSのアプリケーションに特有の性質が元
で、企業内におけるAD LDSの拡散は、庭に生える雑草のようにコストと管理性の問題を引き起
こします。
1
AD LDSは、以前Active Directory Application Mode(ADAM)と呼ばれていました。
4
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
• AD と AD LDS に加えて、企業には Sun や Novell のようなベンダーが提供するほかの多くのレガ
シー・ディレクトリもあるため、それらのディレクトリ間で ID データが拡散および重複してい
ます。
• さらに、大抵の場合、ID データの正しいソースは HR データベースとマスター・データ管理ソ
リューションなので、LDAP アプリケーションからはアクセスできません。結果的に、これらの
信頼できるデータソースからデータの同期を取るために、LDAP ディレクトリが追加されること
になります。
これらは、高額な管理費と維持費、一貫性のない ID データ、安全性の低いシステム、コンプライア
ンスの欠如といった問題を引き起こします。
したがって、これらの問題に対処して企業が既存のリソースからの ROI を改善、ID 属性データの管
理を簡素化、およびコストを削減できるようにするには、最新の汎用ディレクトリ・サービス・ソ
リューションを使用してディレクトリ・サーバーが拡散している現状を改善しなければなりません。
これらのニーズに対応するために、ディレクトリ・サービスのソリューションは次の機能を提供す
る必要があります。
• LDAP と Web サービスの両方のアクセス・ポイントを含むサービス指向のアクセス・レイヤー
• 中央のストアとデータの同期を取らなくても、LDAP、データベース、Web サービスなどの複数
の異種ストアから ID データを集約する機能
• レガシー・ディレクトリの統合を促進するスケーラビリティ、安全性、柔軟性を備えたストレー
ジを提供する機能と、発生する新しい要求に対してストレージを提供する機能
• キャリアグレードの運用監視システムとの統合を含む統一された管理コンソール
解決方法
前記の要求に対応できるディレクトリ・サービス・ソリューションを提供しているのは、Oracle
Directory Services だけです。オラクルでは、仮想化、ストレージ、同期化を含むもっとも包括的なディ
レクトリ・サービス製品を提供しています。Oracle Virtual Directory では、同期をおこなわずに ID デー
タを集約および変換するサービスが提供されます。一方、Oracle Internet Directory では、データ・ス
トレージ・サービスと同期サービスが提供されます。このホワイト・ペーパーでは Oracle Internet
Directory に注目します。Oracle Virtual Directory については、別にある Oracle Virtual Directory 用のホ
ワイト・ペーパーで説明しています。
5
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
Oracle Internet Directory は、汎用のディレクトリ・サービスとして最新の企業ディレクトリのストレー
ジ要件に適合した機能を提供する唯一のディレクトリ・サービスです。
• 複数のコンテキストを格納する機能があるため、単一のサービスで異種データを管理できるよう
になります。たとえば、さまざまなアプリケーションの異なるディレクトリ・スキーマに対処す
るために、個別の Active Directory LDS インスタンスを作成する必要がなくなります。
• 公開された 20 億エントリのベンチマークで証明されているように、少数のハードウェアで、非
常に大規模な配置に対応し、高性能を実現できるスケーラビリティを備えています。これによっ
て、データセンターにエンタープライズ・ディレクトリ・サービスを配置するために必要なフッ
トプリントが少なくなり、コストの削減と企業の省エネルギー化につながります。
• Oracle Internet Directory は、もっとも安全なディレクトリ・サービスとして、転送中のデータか
らストレージとバックアップに至るすべてのレベルでセキュリティを提供します。また、LDAP
セキュリティに加えて、Oracle Datatbase Vault や Transparent Data Encryption のような Oracle デー
タベースのセキュリティ機能も利用されます。Database Vault は職務の分離(SOD)を可能にし、
Transparent Data Encryption はストレージとバックアップのデータを保護するものです。
• Oracle Internet Directory は、高可用性(HA)の複数のレイヤーを提供することで最大限の可用性
を確保します。また、LDAP のマルチマスター・レプリケーションに加えて、Oracle Real Application
Clusters と Oracle Application Server Cluster(OracleAS Cluster)もサポートされています。
• Oracle Internet Directory は、圧倒的に使いやすい汎用のディレクトリ・ストレージを、Oracle
Directory Services Manager を通して提供します。個人データとグループ・データの管理が、ハー
ドウェアのリストスクロールによる ID 属性の解読を意味していた時代は終わりました。Oracle
Internet Directory では、最新の Web 2.0 テクノロジーの活用により、直感的にデータ管理ができる
ようになっています。共通の統合管理コンソールである Oracle Directory Services Manager は、
Oracle Internet Directory と Oracle Virtual Directory を含むすべての Oracle Directory Services 製品に
対応しています。
• Oracle Internet Directory は高度なツールを提供することで、企業が Oracle Internet Directory を標準
とし、Active Directory、AD LDS、Sun、eDirectory、OpenLDAP など、複数あるディレクトリを単
一のディレクトリ・ストレージに統合するのを支援します。具体的には、標準化のプロセスを促
進するために、ディレクトリ移行ユーティリティとディレクトリ同期ソリューションが Oracle
Internet Directory により提供されます。
6
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
利点
ROI の向上とコストの削減
• 汎用ディレクトリとして Oracle Internet Directory に標準化することで、ディレクトリの数が削減
されます。
• AD とのデータ統合により AD に対する企業投資を無駄なく活用し、新しいアプリケーションの
それぞれに AD LDS を追加しなくても済むようにします。
• 既存の Oracle Internet Directory インフラストラクチャと、Oracle アプリケーションから得た専門
知識を、効果的に活用します。
セキュリティの強化
• 転送、ストレージ、バックアップのすべてにおいてデータ・セキュリティを提供します。
• Oracle Database Vault によって職務の分離(SOD)をおこないます。
アプリケーション統合を標準サポート
オラクルのディレクトリ戦略は、すべてのオラクル製品をディレクトリ対応にすることです。その
ため、Oracle Internet Directory は、Oracle アプリケーションおよび Oracle Identity and Access
Management ソリューション(Oracle Access Manager、Oracle E-Business Suite、PeopleSoft、Siebel CRM
など)用に最適化されたディレクトリ・ソリューションとなっています。
また、Oracle Database Enterprise User Security(EUS)では、ユーザーとロール管理を一元化する唯一
のディレクトリとして Oracle Internet Directory がサポートされています。さらに、Oracle Internet
Directory は、UNIX および Linux オペレーティング・システムに自動で完全統合してアカウント管理
(Oracle Authentication Services for Operating Systems)を一元化できる唯一のディレクトリです。
Oracle Internet Directory の詳細な技術情報
アーキテクチャの概要
Oracle Internet Directory は、高性能で可用性とスケーラビリティに優れたディレクトリ・インフラス
トラクチャを提供するように設計されており、Oracle Identity Management Suite の一部となっている
汎用ディレクトリです。
Oracle Internet Directory(図 1)は、エンタープライズ・ディレクトリ・サービス向けに、オラクル独
自の堅牢で安全なプラットフォームを提供します。Oracle データベース・テクノロジーの上に LDAP
サービスを実装することで、Oracle Internet Directory は、比類のないスケーラビリティ、高可用性、
および情報セキュリティを備えた LDAP ディレクトリ・サービスを提供できます。
7
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
図 1:Oracle Internet Directory のコンポーネント
おもな機能
スケーラビリティ
ディレクトリ・サービスのスケーラビリティは、いくつかの方法で評価できます。たとえばスケー
ラビリティは、ディレクトリ・ツリーでサポートされているオブジェクトの総数や、同時にアクセ
スできるクライアントおよび同時に処理できる問合せの総数に関係することがあります。ディレク
トリの機能に関するもう 1 つの特徴は、ディレクトリを実行するハードウェアに対応したスケーラ
ビリティです。Oracle Internet Directory は、次のように、スケーラビリティのあらゆる点に対処でき
ます。
•
シングル・サーバー・インスタンスでサポート可能なエントリまたはディレクトリ・オブジェ
クトの数
•
サーバーでサポートされるクライアントの同時アクセス数
•
サーバーごとの CPU 数、またはハードウェア・クラスタのノード数に応じた拡張
これまでの経験によれば、サービス・プロバイダ、通信事業者、およびエクストラネット環境をも
つユーザーは、この 3 つの点にとくに注目しています。その理由は、上記の 3 点により、特定のディ
レクトリ情報ツリーのサポートに必要なディレクトリ・サーバー・ノードの数の大部分が決まるか
らです。
Oracle Internet Directory は、大規模配置において業界最高のパフォーマンスを達成してきました。ご
く最近実施した 20 億(2,000,000,000)のユーザー・ベンチマークでは、32 基の CPU を搭載した 1
台の Linux サーバーを使用して、800 のクライアントで 101,000 回/秒の検索および 16,000 のクライ
アントで 99,500 回/秒の検索を達成しました。これによって、利用可能な CPU の数とスケーラビリ
ティがほぼ正比例の関係にあることが示されました。
8
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
Oracle Internet Directory のアーキテクチャは、次の 2 つの方法でスループットとスケーラビリティを
維持しています。
•
Oracle Internet Directory サーバー・ノードで動作する LDAP サーバーが、マルチスレッド化
されデータベース接続プールを使用するので、LDAP クライアントの同時接続数の増加に伴
うリソース不足を防止できます。
•
1 つの Oracle Internet Directory サーバー・ノードで、複数の LDAP サーバー・プロセスを実
行する機能があります。このアーキテクチャは、垂直方向(ハードウェア・ノード当たりの
サーバー・プロセス数を増加する)にも、水平方向(クラスタ化されたハードウェア・ノー
ドにサーバー・プロセスを分散する)にも拡張できます。
Oracle Internet Directory の’マルチスレッド、マルチプロセス、マルチインスタンス’アーキテクチャ
は、業界でも唯一の存在です。
高可用性
高可用性は、あらゆるエンタープライズ環境の課題となっています。ビジネス・アプリケーション
は、ディレクトリに格納されているユーザーID 情報に依存しています。そのため、たとえばユーザー
のログインが失敗するといったような障害が発生すると、ほとんどの場合、ユーザーはアプリケー
ションを利用できなくなります。Oracle Internet Directory は、Oracle Internet Directory サーバー・プロ
セス・レベルおよびデータ・ストレージ・レベルのさまざまなレイヤーにおいて、サービスの継続
的な可用性を実現するように設計されています。データ配信では、次の 2 種類のレプリケーション
がサポートされています。
•
Advanced Symmetric Replication(ASR)サービス・ベース ― Oracle Internet Directory サーバー
間のマルチマスター・レプリケーション(MR)により、レプリケーション環境でサーバー
が停止しても、ほかのサーバーを"マスター"として確実に動作させることができます。実績
のある堅牢な Oracle Database のレプリケーション・テクノロジーにより、ハードウェア障害
が発生した場合でも完全な可用性が保証されます。
•
任意の数のノード間における LDAP ベースのマルチマスター・レプリケーションは、11g
Release 1 で使用できる別のオプションです。ASR ベースのレプリケーションと比較して、
LDAP ベースのレプリケーションではほぼオーバーヘッドなしでより粒度の高いフィルタ・
オプションやパーティション化オプションが提供され、より柔軟な配置トポロジが実現し
ます。
これらのレプリケーション・オプションを単一アーキテクチャに集約する柔軟性が、高可用性の分
散型ディレクトリ・サービスの配置に最適なソリューションを提供します。管理者は、可用性を損
なうことなく、サーバーのレプリケーション・コミュニティにディレクトリ・サーバー・ノードを
追加、削除、移入することができます。
レプリケーションでは、HA を維持する目的で、地理的なデータ分散に対応しています。ローカル
HA を確保するために、Oracle Internet Directory は、Oracle Application Server と Oracle Database サーバー
のさまざまな高可用性機能を利用します。これには、Oracle Real Application Clusters(Oracle RAC)
や Oracle Application Server Cluster(OracleAS Cluster)などのテクノロジーも含まれます。図 2 に、
両方のテクノロジーを使用している配置の例を示します。
9
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
図 2:高可用性を確保するための Oracle Internet Directory の標準的な配置
ローカル HA 機能である OracleAS Cluster と Oracle RAC の 2 つを Oracle Internet Directory の柔軟な 1
方向、双方向、またはマルチマスターのレプリケーション・トポロジと組み合わせると、地理的に
分散したデータセンターに必要な Maximum Availability Architecture(MAA)を実現できます。詳細
については、MAA の管理者ガイドを参照してください。
情報セキュリティ
Oracle Internet Directory の管理者はディレクトリ・サービス環境を定義できるため、ユーザーの認証
方法に応じて、ディレクトリ情報へのさまざまなアクセス・レベルを提供することが可能です。パ
スワードと証明書の両方による認証が、ネイティブでサポートされています。
統合されたアクセス制御リスト(ACL)のサポートにより、データへのアクセス許可または拒否を
非常にきめ細かく制御できます。たとえば、ディレクトリのユーザー・エントリに、電話番号や電
子メール・アドレスのような複数の属性が関連づけられているとします。そのような場合、管理者
は、すべてのユーザーがディレクトリの電子メール・アドレスを検索できるようにしたいと考える
可能性があります。また、部門や電話番号などの機密性の高い情報については、表示する前にパス
ワードを要求することもあります。さらに、社会保障番号の表示では、権限のある担当者による強
力な認証を要求する場合があります。Oracle Internet Directory では、このようなアクセス権限をすべ
て定義できます。
Oracle Internet Directory はユーザー認証に利用できるように、高度なパスワード・ポリシーもサポー
トしています。
10
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
パスワード・ポリシーは、パスワードの使用方法と作成基準を管理します。たとえば、パスワード
の有効期限や最小文字数などを指定できます。
Oracle Internet Directory では、サード・パーティ製のディレクトリにユーザーのパスワードが保存さ
れていて Oracle Internet Directory と同期していない場合には、外部認証を使用できます。そのため、
パスワードのコピーなどについて心配する必要はなく、既存のディレクトリ・インフラストラクチャ
と並行して、配置を素早く簡単におこなうことができます。
11g Release 1 では、Oracle Internet Directory は属性レベルの暗号化を提供します。管理者は、より高
度な保護のために暗号化してディレクトリに格納する必要がある機密性の高い属性のリストを指定
できます。
保護のもう 1 つのレイヤーは、サービス拒否(DOS)攻撃を阻止するために作成されます。このレ
イヤーは、Oracle Internet Directory にユーザー認証の中心的なコンポーネントとして 24 時間 365 日の
可用性が求められる場合に重要です。
さらに、Oracle Internet Directoryでは、独自のデータベース・セキュリティ機能としてOracle Database
VaultおよびOracle Transparent Data Encryptionの 2 つがサポートされています。
Oracle Database Vault は、次のようにして共通の規制コンプライアンス要件に対処し、インサイダー
の脅威によるリスクを軽減します。
•
特定のディレクトリ・データ内にあるアプリケーション・データに、特権ユーザー(DBA)
がアクセスするのを防止
•
職務の分離を実施
•
アプリケーション、データ、データベースにアクセスできるユーザー、時期、場所、方法を
管理する機能を提供
Oracle Transparent Data Encryption では、データの透過的な暗号化と復号化によって、企業 PCI コンプ
ラインスへの取組みがサポートされています。暗号化はデータをディスクに書き込むとき、復号化
は認可ユーザーがデータを読み取るときに、透過的に実行されます。アプリケーションの修正は必
要なく、データが暗号化されてストレージ・メディアに保存されていることを、認可ユーザーが気
づくこともありません。
LDAP セキュリティ機能は、Oracle データベース・セキュリティ機能とともに、Oracle Internet Directory
を競合他社製品と明確に区別する要素となっています。
優れたユーザビリティ
Oracle Internet Directory 11g Release 1 では、Oracle Directory Services Manager によって優れたユーザビ
リティが実現されています。Oracle Application Development Framework(Oracle ADF)に基づいて、
Oracle Directory Services Manager は、Web 2.0 テクノロジーを活用した使いやすい管理ツールを管理
者に提供します。
Oracle Directory Services Manager は、Oracle Internet Directory と Oracle Virtual Directory の両方に対応
した統合管理ツールです。2 つのコンポーネント(Oracle Internet Directory と Oracle Virtual Directory)
に対して 2 つの異なる管理ツールを使用するための習熟期間を設ける代わりに、Oracle Directory
Services Manager が、両方のサーバーを管理するさまざまなタスクにおいて管理者をガイドします。
11
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
配置アクセラレータの幅広い活用により、管理者は新しいスキーマ・オブジェクトやユーザーなど
を作成するときに、細部まで把握する必要性から解放されます。ユーザーおよびグループ用に事前
に定義されたテンプレートは、もっとも関連性の高い情報を一目でわかるように表示します。ユー
ザーとグループは、アイコンのような視覚的ヒントによって標準のディレクトリ・データと区別さ
れます。ユーザーとグループのデータは、ほかのディレクトリ・オブジェクトよりもさらにユー
ザー・フレンドリーな方法で表示できます。
図 3:Oracle Directory Services Manager
そのほかの配置アクセラレータとしては、Oracle Internet Directory のサイジングとチューニングを実
行するウィザード、および LDAP レプリケーションのセットアップと設定を実行するウィザードが
あります。
サイジングとチューニングのウィザードは、過去 10 年間に集められたベスト・プラクティスのナレッ
ジ・ベースと本番環境の配置からのフィードバックに基づいて構築されています。このウィザード
は、Oracle Internet Directory がインストールされていなくても単独で使用できます。サイジングの部
分では、エントリの数、使用されるオブジェクト・クラス、属性のサイズ、およびそのほかの要因
に基づいて、データベース表領域のレイアウトに関する最良の予測を提供し、必要な SQL 文を生成
します。チューニング・ウィザードは、計画されている Oracle Internet Directory の使用に関する非常
に詳しい情報を収集し、これらの要因に基づいて Oracle Internet Directory と DB の調節可能なパラ
メータのリストを生成します。
12
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
レプリケーションのセットアップを簡素化するために、LDAP レプリケーション・ウィザードは、1
方向、双方向、またはマルチマスター・レプリケーションをセットアップするプロセスにおいて管
理者をガイドします。このウィザードは再入可能であるため、たとえばマルチマスター・レプリケー
ションのセットアップが完了したあとも、同じウィザードを使用して、既存のマルチマスター・リ
ングにおけるノードの追加や削除、またはトポロジにおける分岐ノードの追加や削除を実行できま
す。ウィザードでは、レプリケーション承諾に特定の属性を含めるかまたは除外するかを決める複
雑なネーミング・コンテキストを作成するための、非常に細かいタスクが簡単に処理されます。
配置アクセラレータには、Oracle Enterprise Manager 11g Fusion Middleware Control からアクセスでき
ます。
Oracle Internet Directory と DIP を含むすべての FMW コンポーネントに組み込まれているユーザビリ
ティ(または診断能力)のもう 1 つの特徴は、ディレクトリ操作に付加される実行コンテキスト識
別子(ECID)の導入です。これは、管理者が操作をトレースする必要がある場合にとくに役立ちま
す。たとえば、ユーザー・ログインが失敗する状況では、Web サーバーから始まり Oracle Internet
Directory を経て最終的に DB に至るソフトウェア・スタック全体でトレースを実施します。これに
より、エラー解決の効率が大幅に向上します。
管理と監視の統合
11g のリリースでは、Oracle Internet Directory の管理、運用、監視は、Oracle Enterprise Manager 11g Fusion
Middleware Control と Oracle Directory Services Manager の 2 つの補完コンポーネントに整理統合され
ています。Oracle Enterprise Manager はオラクルのシステム管理ソリューションで、Oracle Internet
Directory の分散プロセスと、ホスト特性を含むプロセスのパフォーマンスを管理および監視する機
能を提供します。Oracle Directory Services Manager は管理用 UI で、LDAP データの参照、スキーマの
作成と変更、ディレクトリのデータ・セキュリティの管理、および高度な管理操作(ディレクトリ
の’変更ログ’の管理など)のような、管理タスクをサポートしています。
オラクルの代表的なシステム管理製品である Oracle Enterprise Manager は、分散して配置されたシス
テムの一元管理と監視用の統合フレームワークを提供します。統合フレームワークにより、これま
でに蓄積されたオラクル製品に関するノウハウを活用して、Oracle Internet Directory を配備したいと
考えるオラクル・ユーザーに"管理の透明性"を提供します。
Oracle Enterprise Manager には、次の機能があります。
•
プロセスの監視と制御
•
パフォーマンスの監視 - ID 管理および関連インフラストラクチャ・コンポーネント(デー
タベース、ホスト、Application Server など)
•
アラート(ID 管理および関連インフラストラクチャ・コンポーネント)
•
システム・トポロジ・ビューア - ID 管理、ホスト、および関連インフラストラクチャ・コ
ンポーネント
•
ログの管理とシステムのトラブルシューティング
•
監査の管理とレポート・フレームワーク
13
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
•
ソフトウェアの配置とパッチの管理
図 4:Oracle Enterprise Manager 11g Fusion Middleware Control
Oracle Enterprise Manager のホームページでは、負荷特性やセキュリティ・アラートのように、もっ
とも重要なディレクトリ運用情報をパフォーマンスとレプリケーションに関するデータとあわせて、
一目でわかるよう明確に表示します。
パフォーマンス監視のすべての情報は、詳細な情報が表示できる監視ダッシュボードで確認できま
す。このダッシュボードでは、管理者が、応答時間とリソース使用率に関するすべての情報を表示
するカスタム・ビューを作成できます。
Oracle Internet Directory によって利用される Oracle Fusion Middleware のサービスには、Oracle
Enterprise Manager からアクセスできます。これらのサービスは、エンド・ツー・エンドのネットワー
ク・レイヤー・セキュリティ(SSL)の構成および監査管理です。
SSL を構成したことがある管理者であれば、この作業がいかに面倒なものであるかを知っています。
正しい情報に基づいて証明書要求を生成し、サーバー証明書とトラスト・ポイントをインポートし
て、それらを正しいウォレット・ロケーションに格納する一連の作業では、どの時点においてもエ
ラーが発生する可能性があります。Oracle Enterprise Manager は、情報の入力と構成のテストに使用
できる便利なユーザー・インタフェースを提供します。
監査管理のフレームワークでは、次の項目に関する監査ポリシーを作成するための組込みコンプラ
イアンスが提供されます。
•
ユーザー・セッション
•
認可
•
データ・アクセス
14
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
•
アカウント管理
•
LDAP エントリへのアクセス
Oracle BI Publisher は、さまざまな種類の標準監査レポートおよびカスタマイズ可能な監査レポート
の生成に使用されます。
さらに、Oracle Internet Directory と FMW ロギング・フレームワークの統合、エラー・メッセージの
統一と検索機能の強化により、巨大なログ・ファイルを調べる管理者の負担が大幅に軽減されます。
Oracle Directory Integration Platform
Oracle Internet Directory には、さまざまなサード・パーティ製のデータソースと Oracle Internet
Directory 間のデータを同期化できる Directory Integration Platform(図 1 を参照)が含まれています。
この同期化によって、ディレクトリ情報に変更が加えられても、ソースとターゲットの間でデータ
整合性の維持が保証されます。ソースとターゲットが Oracle Internet Directory の場合、同期化はレプ
リケーションとは異なります。
Directory Integration Platform は、ほかのエンタープライズ・リポジトリとの同期化を可能にするサー
ビスとインタフェースのセットです。また、Oracle Internet Directory とサード・パーティのメタディ
レクトリ・ソリューションの相互運用にも使用できます。
Directory Integration Platform には、Oracle Human Resources や Oracle Database と同期化するためのコ
ネクタが含まれています。さらに、Sun Java System Directory Server、Microsoft Active Directory、Active
Directory LDS、Novell eDirectory、OpenLDAP、
および 11g Release 1 で新しくサポートされた IBM Tivoli
といったサード・パーティ製 LDAP サーバーとの情報を同期化するためのコネクタも含まれています。
Oracle Directory Integration Platform では、Oracle Internet Directory を使用して、グローバル・ディレク
トリ・エントリが格納される単一の企業ディレクトリを構築できます。これらのエントリには、ユー
ザーの認証データと認可データの両方、およびアプリケーション構成データを提供する多様なソー
スからのデータが含まれています。
Directory Integration Platform は、Oracle Enterprise Manager で管理および監視されます。Oracle Internet
Directory と同じユーザビリティのガイドラインに従って、プロファイルを作成して属性をターゲッ
ト・ディレクトリと Oracle Internet Directory の間でグラフィカルにマッピングする一連の作業を、配
置アクセラレータがガイドします。レプリケーションと同じように、同期されるデータを非常に細
かく指定できます。異種のデータソース間でデータを移動する場合は、同期エンジンが、実行する
必要がある変換プロセスに関する操作をおこないます。
移行ツールと統合ツール
移行と統合プロセスの一環として、企業ディレクトリとアプリケーション・リポジトリの数を削減
するために、オラクルは、分散しているデータを統合された Oracle Internet Directory に移行するのを
支援するさまざまなツールを提供しています。この移行により、既存のディレクトリは、一元化さ
れたディレクトリに置き換えられます。既存のディレクトリを置き換えることが不可能な場合、
Directory Integration Platform は、双方向の同期によってデータの整合性を維持します。
15
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
サード・パーティ製のディレクトリを移行するプロセスの第 1 段階は、属性やオブジェクト・クラ
スのようなディレクトリ・スキーマ・メタデータを Oracle Internet Directory 内に作成して、その整合
性を比較によって確認することです。この作業を手動でおこなうと、エラーが起こりやすいうえに、
非常に時間がかかります。"schemasync"ツールはこの作業を自動化して、移行を実施する管理者を支
援します。
第 2 段階は、リポジトリからデータをエクスポートし、そのデータを LDAP Data Interchange Format
(LDIF)に変換することです。"Idifmigrator"ツールが、カスタマイズ可能なテンプレートおよびエク
スポートされたデータに基づいて、LDIF ファイルを生成します。オプションとして、サード・パー
ティ製のディレクトリに対して Directory Integration Platform のブートストラップ機能を使用して Oracle
Internet Directory にデータをロードすれば、必須となっている"bulkloader"の段階を省略できます。
最後の段階では、"bulkloader"がデータの整合性を確認し、中間データ・ファイルを生成してロード
します。そして、標準の LDAP プロトコルのオーバーヘッドをバイパスして、Oracle Internet Directory
データベース表のコンテンツを直接変更します。この段階では、同時に、LDAP プロトコルを使用し
て新しいユーザーを追加または既存のユーザーを変更することもできます。この機能は、大量のデー
タを開発環境から本番環境に転送する場合、またはその逆をおこなう場合に役立ちます。Bulkloader
では、1 時間当たり 100 万以上のエントリをロードできます。
外部認証
Oracle Internet Directory による統合とセキュリティのもう1つの特徴として、外部認証機能がありま
す。この外部認証機能により、Microsoft Active Directory、Active Directory LDS、SUN Java System
Directory Server、Novell eDirectory、および OpenLDAP のような外部ディレクトリに対して、シーム
レスな認証を実行できます。多くの場合、機密性の高いパスワード情報を Oracle Internet Directory と
同期させる必要がなくなります。
拡張性およびクライアント側の開発
Oracle Internet Directory 10g Release 1(9.0.4)において、PL/SQL プラグイン・フレームワークに基づ
くサーバー拡張が初めてサポートされました。開発者は、これらの PL/SQL プログラム単位やプラグ
インを使用して、次のような要件に基づいた機能で LDAP 操作を拡張することまたは置き換えるこ
とができます。
•
サーバーがデータを使用して LDAP 操作を実行する前に、そのデータを検証する
•
サーバーが LDAP 操作を正常に完了したあとで、アクションを監査する
10g Release 3(10.1.4)バージョンでは、プラグイン・フレームワークが Java もサポートしているの
で、大規模な開発者コミュニティでこの拡張性を活用できます。
Oracle Internet Directory に対応するためのクライアント統合は、任意の LDAP 準拠ソフトウェア開発
キットによって実現できます。これらのキットは、C、Java、PERL、PHP など、各種の言語で利用
できます。さらに、オラクルは、Oracle Internet Directory SDK を提供しています。この SDK は、Java、
C、C++、および PL/SQL を使用するアプリケーション開発者を対象としており、Oracle Internet
Directory での使用に合わせて一部の機能が強化されています。
16
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
ユースケースの例:Oracle Database Enterprise User Security と Oracle
Internet Directory の統合
このソリューションを使用すると、数百または数千のエンタープライズ・ユーザーによる複数のデー
タベースへのアクセスを簡単に管理できます。Oracle Database Advanced Security の一部である Oracle
Database Enterprise User Security と、Oracle Internet Directory または Oracle Virtual Directory を組み合わ
せることが、Oracle Database のエンタープライズ・ユーザー・セキュリティ戦略の中核となってい
ます。
Oracle Database のエンタープライズ・ユーザーに関する情報は、(Oracle Database のロールや権限の
ような)認証情報や認可情報とともにディレクトリに格納されます。ユーザーが Oracle データベー
スにアクセスすると、データベースは LDAP クライアントとして SSL 経由で Oracle Internet Directory
に接続し、ユーザーの認証情報と認可情報を取得します。この認証情報と認可情報は、そのデータ
ベース・サーバー上におけるこのユーザーのセッションのセキュリティ・コンテキストを設定する
ために使用されます。一元化された管理により、管理のオーバーヘッドが削減されます。たとえば、
従業員が休暇中の場合は、すべてのデータベースに対してその従業員のアクセスを無効にします。
これに必要なのは、企業ディレクトリに 1 つの変更を加えることだけです。また、一部の事例では、
一元化された管理によりパスワードに関連したヘルプデスクへの問い合わせを最大 80%まで減らす
ことができました。
Directory Integration Platform または Oracle Virtual Directory を使用すると、Microsoft Active Directory
のようなサード・パーティ製のディレクトリでも Enterprise User Security を利用できます。
EUSとOracle Internet Directoryを統合する方法の詳細については、Oracle Technology NetworkのWebサ
イトにある『Oracle Database Enterprise User Securityによるディレクトリ・サービスの統合』を参照し
てください。
ユースケースの例:Oracle Authentication Services for OS
UNIX と Linux のシステムでは、認証とユーザー管理を目的としたネイティブなローカル・アカウン
ト管理機能が提供されていますが、管理が難しく、システム間の一貫性もありません。NIS は一元化
されたユーザー管理と認証を提供しますが、セキュリティに関して独自の重要な問題があります。
この問題に対処するために、Oracle Authentication Services for Operating Systems では、企業が Oracle
Internet Directory を使用して、UNIX と Linux の認証、ユーザー・アカウント、パスワード・ポリシー、
Sudo 認可ポリシーを一元管理できるようにしています。
このソリューションの中核は、PAM_LDAP、NSS_LDAP、SUDO LDAP のようなオープン標準を構
成ツール、自動化ツール、ユーザー移行ツールとともに使用して、Oracle Internet Directory を UNIX
と Linux の主要なオペレーティング・システムと統合することです。
17
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
詳細については、OTNのWebサイトにある『Oracle Authentication Services for Operating Systems』を参
照してください。
結論
オラクルは、仮想化、ストレージ、同期化のサービスを含む市場でもっとも包括的なディレクトリ・
サービス・ソリューションを提供しています。ディレクトリ・ストレージと同期化ソリューション
を提供する Oracle Internet Directory は、もっとも強力な汎用ディレクトリです。次のような差別化要
素があります。
•
Oracle Database に基づく最高の信頼性、スケーラビリティ、安全性、可用性
•
Web 2.0 テクノロジーに基づく優れたユーザビリティと、Oracle Enterprise Manager による企
業規模の管理性
•
ユーザーID とアプリケーション・メタデータの保存用のためのほとんどすべての Oracle ア
プリケーションと Oracle サービスの統合、およびサード・パーティ製アプリケーションから
の標準の LDAP アクセスのサポート
Oracle Virtual Directory および Oracle Internet Directory 移行ツールとともに、汎用ディレクトリとして
Oracle Internet Directory を使用することによって、企業は ID データ・ストレージとディレクトリ・サー
ビスの統一が可能になり、データ・セキュリティの強化とコストの削減を両立させて ROI を向上さ
せます。
参考資料
•
Oracle Virtual Directory - テクニカル・ホワイト・ペーパー
•
ディレクトリ、ディレクトリ同期化および仮想ディレクトリ - テクニカル・ホワイト・ペーパー
•
20 億エントリのディレクトリのベンチマーク(Oracle Internet Directory 10.1.4.0.1)
•
Oracle Authentication Services for Operating Systems
•
Oracle Database Enterprise User Securityによるディレクトリ・サービスの統合
18
Oracle Internet Directory 11g Release 1
2009 年 6 月
著者:[email protected]
共著者:Mark E. Wilcox、Forest Yin
Copyright © 2009, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記
載される内容は予告なく変更されることがあります。本文書は一切間違いがないことを保証するものではなく、さらに、口述に
Oracle Corporation
よる明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての黙示的な保証を含み、いかなる
World Headquarters
他の保証や条件も提供するものではありません。オラクルは本文書に関するいかなる法的責任も明確に否認し、本文書によって
500 Oracle Parkway
直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もって得ることな
Redwood Shores, CA 94065
く、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません。
U.S.A.
Oracle は米国 Oracle Corporation およびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。
海外からのお問い合わせ窓口:
電話:+1.650.506.7000
ファクシミリ:+1.650.506.7200
0109
Oracle ホワイト・ペーパー - Oracle Internet Directory 11g Release 1
www.oracle.com
20
Fly UP