Comments
Description
Transcript
Oracle Virtual Directory
Oracle Virtual Directory Oracle ホワイト・ペーパー 2006 年 6 月 注:本書は、オラクルの一般的な製品の方向性を示すことが目的です。情報を提 供することだけが目的であり、契約とは一切関係がありません。商品、コード、 または機能を提供するものではなく、購入の判断にご利用いただくためのもので はありません。オラクル製品の機能に関する開発、発表、時期については、オラ クルの判断に従うものとします。 Oracle Virtual Directory 2 Oracle Corporation 発行「Oracle Virtual Directory」の翻訳版です。 Oracle Virtual Directory はじめに .............................................................................................................. 4 オラクルのディレクトリ戦略........................................................................... 4 Oracle Virtual Directory のおもな機能............................................................... 5 LDAP v3 および DSML に準拠したサーバー・インタフェース ............ 5 ディレクトリ、データベース、および Web サービスへの接続 ............ 5 ディレクトリ・ファイアウォールおよびプロキシ ................................... 5 単一のサービス - 複数のビュー................................................................ 5 ID の仮想的な統合........................................................................................ 5 グラフィカルな管理インタフェースによる迅速な配置 ......................... 6 仮想ディレクトリのユースケースの例........................................................... 6 アプリケーション配置の迅速化 ................................................................. 6 ディレクトリにおけるスケーラビリティの向上 ..................................... 7 Oracle Virtual Directory のアーキテクチャ....................................................... 7 アーキテクチャの概要................................................................................. 7 技術アーキテクチャ..................................................................................... 8 結論 ...................................................................................................................... 9 Oracle Virtual Directory 3 Oracle Corporation 発行「Oracle Virtual Directory」の翻訳版です。 Oracle Virtual Directory はじめに Oracle Virtual Directory(OVD)は、インフラストラクチャとアプリケーションの いずれも変更せずに、ディレクトリやデータベースなどの既存のユーザーID にア プリケーションを接続する、柔軟でセキュアなサービスです。OVD の選択によっ て、ポータルやシングル・サインオン・システムなど、ディレクトリ対応のアプ リケーションを迅速に配置できます。 特に、OVD の使用によって、複数のディレクトリを統合する際の特有の問題を解 決し、データベースやその他の独自の ID データ・ストアへの LDAP アクセス、ディ レクトリ・サーバーのスケーラビリティの向上、およびセキュリティの強化を実現 できます。 その結果、OVD によって、格納場所に関係なく ID データの再利用性が高まり、 管理コストおよび統合コストが削減されます。 オラクルのディレクトリ戦略 現在オラクルでは、ストレージと分散から、同期化や仮想化まで、あらゆるディ レクトリ・サービス製品を扱っています。ほとんどの Oracle アプリケーションが ディレクトリ対応であり、標準、オープンであることに対するオラクルの姿勢を 示すものとなっています。 ディレクトリ・サービスに関するオラクルの製品戦略として、次の 4 点があげら れます。 1. Oracle Database と Oracle Application Server テクノロジの信頼性、可用性、 スケーラビリティに基づいた、オープンなディレクトリ・サービスであ る Oracle Internet Directory を提供する。 2. ディレクトリ・サービスを活用するために、オラクル製品群のすべての 主要コンポーネントをディレクトリ対応にする。 3. エンタープライズ管理やグリッド管理を含む、広範な Oracle 環境に Oracle Directory Service をシームレスに統合する。 4. 顧客環境において、ディレクトリ、データベース、およびアプリケーショ ンの配置と統合を容易にするための、同期化や仮想化などのツールとテ クノロジを提供する。 Oracle Virtual Directory 4 Oracle Corporation 発行「Oracle Virtual Directory」の翻訳版です。 Oracle Virtual Directory のおもな機能 OVD のおもな機能は、次のとおりです。 LDAP v3 および DSML に準拠したサーバー・インタフェース OVD サーバーでは、クライアント・アプリケーションに対して、標準 LDAP イン タフェースおよび標準 DSML インタフェースを提供しています。そのため、業界 標準プロトコルの 1 つで通信するクライアント・アプリケーションは、ほとんどす べて変更を加えることなく OVD サービスを利用できます。 ディレクトリ、データベース、および Web サービスへの接続 OVD サーバーの LDAP アダプタでは、Oracle、Microsoft、Novell、IBM、Sun のサー バーなど、ほとんどのディレクトリ・サーバーへの接続をサポートしています。 OVD Database アダプタは、Oracle、IBM、Microsoft のデータベースなど、ほとん どのリレーショナル・データベースに接続されます。 また、OVD カスタム・アダプタでは、Web サービスを LDAP として公開できます。 ディレクトリ・ファイアウォールおよびプロキシ OVD は、特にネットワークの DMZ に配置され、企業ネットワーク内のディレク トリ・データにアクセスする必要があるクライアント・アプリケーション用のディ レクトリ・ファイアウォールとして動作させることができます。OVD の使用に よって、DoS 保護が提供され、アクセス制御セキュリティのレイヤーが追加され ます。 そのため、データベースに"多層防御"を備えるときと同様に、ディレクトリ・アー キテクチャに"多層防御"を備えることができます。 単一のサービス - 複数のビュー LDAP を利用できるアプリケーションの数が増加するにつれて、必然的に固有の 属性要件を持つアプリケーションができることになります。アプリケーションに おいて、固有の属性が必要とされるか、または現行の実装とは異なる固有の構造 体を持つディレクトリが必要とされます。 OVD では、アプリケーションの要件を満たし、そのアプリケーションのみに限定 された"仮想ビュー"を作成できます。そのアプリケーションに固有の属性やディ レクトリ構造体は、他のクライアント・アプリケーションに認識されることはあり ません。 この機能によって、特別なレプリケーションを必要とすることなく、単一に管理 されたサービスによる多様なアプリケーションへのデータ提供が可能となるため、 ユーザーは資金と時間を節約できます。 ID の仮想的な統合 ほとんどの組織では、ユーザーID はさまざまなディレクトリやデータベースなど を含む複数のレポジトリに散在しています。ID データの正しい利用および管理の Oracle Virtual Directory 5 Oracle Corporation 発行「Oracle Virtual Directory」の翻訳版です。 ためには、個人の ID レコードの完全なビューを持つ必要があります。 OVD では、同期を必要とすることなく個人の ID レコードのリアルタイム・ビュー を提供できるため、この種の問題を独自に解決できます。その結果、社内のデー タ・ポリティクスやデータのコピーを作成する際の規制問題を回避でき、同期ベー スのソリューションの障害となり得る実装時間を高速化できます。 グラフィカルな管理インタフェースによる迅速な配置 OVD は、デスクトップベースのグラフィカル・ユーザー・インタフェース・クラ イアントから管理します。これによって、1 台のデスクトップから複数の仮想ディ レクトリ・サーバーを、迅速に設定および管理できます。管理クライアントは Eclipse フレームワークに基づいているため、OVD のプラグイン API を使用して OVD をカスタマイズする必要がある場合、開発は単一のインタフェースを使用す ることで、簡単に実行およびテストが行われます。 仮想ディレクトリのユースケースの例 アプリケーション配置の迅速化 多くの組織では、通常複数のディレクトリが存在します。それらのディレクトリ は、合併や吸収によって発生する場合もあれば、スタッフや顧客などのための異 なるタイプのユーザー集団を含む場合もあります。 また、LDAP ディレクトリにスタッフを置き、データベースに顧客を置く場合も あります。 ポータルやシングル・サインオンなどの企業規模のアプリケーションを配置しよ うとする場合、これらのタイプのアプリケーションではディレクトリに対して Single Point Of Contact が必要になります。 従業員 ディレクトリ ポータル 顧客 ディレクトリ Oracle Vitual Directory エクストラネット ディレクトリ OVD では、これらのアプリケーションやその他の LDAP 対応のアプリケーション のディレクトリ・インタフェースに Single Point Of Contact を提供することによっ て、この問題を解決できます。たとえ接続先に異なるタイプのディレクトリ (Microsoft Active Directory と Oracle Internet Directory の場合など)が存在したり、 複数のタイプのデータ・ストアが存在する場合でも、OVD では一貫性のあるス キーマ・ビューを提供します。 Oracle Virtual Directory 6 Oracle Corporation 発行「Oracle Virtual Directory」の翻訳版です。 ディレクトリにおけるスケーラビリティの向上 仮想ディレクトリのユースケースは、ディレクトリ・サービスのスケーラビリティ を向上させます。OVD は、トランザクション・ロード・バランシングや接続の多 重化を行うことで、既存のディレクトリ・サービス・インフラストラクチャにおけ る投資を最大限に生かします。これらの機能によって、既存のディレクトリ・サー バーは、より多くのリクエストを処理できます。多くのディレクトリ・サービスは、 ネットワーク・インタフェースが仮想ディレクトリを使用せずに、実際に処理す る量よりも多くのリクエストに対応できます。 スケーラビリティを向上させるもう 1 つの方法は、LDAP グループやロール・オブ ジェクトなど、大量の複数値データの管理にデータベースを使用することです。 OVD では、ユーザー情報の保存に従来のディレクトリを使用しながら、リレー ショナル・データベースを使用して、グループ管理の負荷を軽減できます(たと えば、SQL を使用してグループ・メンバーシップを更新できます)。 Oracle Virtual Directory のアーキテクチャ アーキテクチャの概要 OVD は、LDAPv3、DSMLv2 および関連するプロトコルを使用するアプリケーショ ンによって提示されるリクエストに応じるように設計されています。これらのリ クエストは、ルーティングおよびマッピングされ、それ以外はエンジンによって 変換されます。そして、このオペレーションは、ネイティブ・データソースへのリ アルタイム・アクセスを実行するように設計されたアダプタに転送されます。最後 に、結果が収集、標準化され、リクエストを行っているアプリケーションへ適切 に返されます。 Oracle Virtual Directory 7 Oracle Corporation 発行「Oracle Virtual Directory」の翻訳版です。 クライアント アプリケーション Data Source Web アプリケーション ディレクトリ Oracle Virtual Directory ポータル データベース Web サービス Oracle Access Manager 上の図は、OVD のアーキテクチャの一例です。OVD は、Web アプリケーション やポータルなどのさまざまなクライアントをサポートしています。また、ディレ クトリ、データベース、および Web サービスに接続できます。 技術アーキテクチャ OVD サーバーは、Java で記述され、内部で複数の"レイヤー"に分割されています。 これらのレイヤーは論理レイヤーであり、普通の管理者またはクライアントに とって、OVD は単一の完全なサービスです。 最初のレイヤーは、OVD のリスナー・レイヤーです。このレイヤーは、ソケット・ レベルのプロトコルが通信するレイヤーです。現在は、LDAP と HTTP の 2 つの リスナーがあります。これらのリスナーは、基本プロトコルに加えて SSL/TLS も サポートします。LDAP レイヤーは、LDAP-SASL をサポートしてデジタル証明認 証に対応する機能もサポートしています。 リスナーは、検索や更新などのアクションを決定するための処理を行うワーカー・ スレッドにリクエストを渡します。 そのリクエストが LDAP クライアントあるいは DSML リクエストのどちらの場合 でも、内部のオペレーションは同じに見えます。 オペレーションが決定されると、最初のレベルのセキュリティ・チェックが行われ ます。このチェックでは、リクエストが DoS ポリシーやインバウンドの OVD レ ベルのアクセス制御に違反していないことが確認されます。 Oracle Virtual Directory 8 Oracle Corporation 発行「Oracle Virtual Directory」の翻訳版です。 リクエストがインバウンドのセキュリティ要件を満たす場合、次のステップでグ ローバル・レベルのマッピングおよびプラグインが起動します。マッピングとプラ グインには、属性の名前や値の変更など、オペレーションを変更する機能があり ます。 グローバル・プラグインの次のステップでは、リクエストを処理するアダプタ を決定します。この決定は、オペレーション中に提供される情報に基づいて行 われます。 使用されるプライマリ情報は、オペレーションの DN です。つまり、検索におけ る検索ベース、バインド、追加など、その他すべての LDAP オペレーションにお けるエントリの DN です。OVD は、DN を参照し、その DN のオペレーションを サポートできる可能性のあるアダプタを決定します。これが可能なのは、その構 成の各アダプタによって、どの LDAP 名前空間にアダプタが関係するかが示され るからです。 複数のアダプタが受信 DN 名前空間をサポートできる場合(たとえば、ベースの 検索は dc=oracle,dc=com など、ディレクトリ名前空間のルートとなる)、OVD は 各アダプタでオペレーションを実行します。優先順位の順序は、優先順位、属性、 またはサポートされる LDAP 検索フィルタに基づいて構成できます。 アダプタが選択され、次に"インバウンド"のアダプタ・レベルのプラグインをすべ て起動します。このプラグインは、特定のアダプタのみでしか動作しない点を除 けばグローバル・プラグインに似ています。いくつかのプラグインが起動すると、 アダプタは OVD のリクエストを、特定のアダプタ・レベルのプロトコルへマッピ ングするオペレーションに変換します。LDAP アダプタの場合は、"変換"がほとん ど行われないことが多く、受信 DN をその実際の名前空間へマッピングする値に 変換するだけです。たとえば、受信する検索が"ou=staff,dc=oracle,dc=com"の場合、 これは"ou=hr,o=oraclecorp"にマッピングされます。ただし、JDBC などのその他の アダプタの場合、リクエストは SQL コールに変換されるか、またはカスタム・ア ダプタによって Web サービス・コールなどの独自のプロトコルに一致するメソッ ドへ変更されます。 オペレーションが実行されると、結果は逆の順序でクライアントへ戻ります。非 検索オペレーションでは、通常はこれ以上の処理は行われず、エラー・コードのみ が返されます(成功の場合は 0、オペレーションが失敗の場合はその理由を表す 特定のコードなど)。データが返される検索オペレーションの場合は、データ上 でプラグイン(任意)およびアクセス制御が処理されます。OVD アクセス制御は、 データに伴う既存のすべてのアクセス制御と共に動作し、その代替品ではなく、 追加のアクセス制御として機能するように設計されています。 最後に、リスナー・レベルは、データが LDAP や DSML エントリなどの正しい フォーマットでクライアントに返されたことを確認します。 結論 Oracle Virtual Directory を使用すると、ディレクトリ・サービスの実装に関わる問題 を容易に解決できます。Oracle Virtual Directory では、同期化要求を追加すること なく、ディレクトリ対応のアプリケーションをより迅速に配置できます。 Oracle Virtual Directory 9 Oracle Corporation 発行「Oracle Virtual Directory」の翻訳版です。 つまり、別のディレクトリの配置方法に時間をかけることなく、実際のビジネス 価値に集中しながら、わずか数ヶ月のうちに投資利益率を知ることができます。 複数の LDAP サーバーを所有している、していない、にかかわらず、さまざま なシステムのデータを、個人の ID 情報の完全なビューに統合または一体化す る必要があります。 Oracle Virtual Directory は、革新的、セキュア、および配置の容易な仮想ディレク トリ・サービスを提供します。 http://www.oracle.com/identity を参照して、実際に体験してください。 Oracle Virtual Directory 10 Oracle Corporation 発行「Oracle Virtual Directory」の翻訳版です。 Oracle Virtual Directory 2006 年 6 月 著者: Mark Wilcox 共著者: Oracle Corporation World Headquarters 500 Oracle Parkway Redwood Shores, CA 94065 U.S.A. お問合せ: 電話:+1.650.506.7000 Fax: +1.650.506.7200 oracle.com Copyright © 2005, Oracle.All rights reserved.本文書は情報提供のみを 目的として提供されており、ここに記載される内容は予告なく変更さ れることがあります。本文書は一切間違いがないことを保証するもの ではなく、さらに、口述による明示または法律による黙示を問わず、 特定の目的に対する商品性もしくは適合性についての黙示的な保証を 含み、いかなる他の保証や条件も提供するものではありません。オラ クル社は本文書に関するいかなる法的責任も明確に否認し、本文書に よって直接的または間接的に確立される契約義務はないものとします。 本文書はオラクル社の書面による許可を前もって得ることなく、いか なる目的のためにも、電子または印刷を含むいかなる形式や手段に よっても再作成または送信することはできません。Oracle、JD Edwards、 PeopleSoft および Retek は、オラクル社およびその子会社、関連会社 の登録商標です。その他の名称はそれぞれの会社の商標です。