この章では、アクセス・システムを初めて設定および管理するユーザー向けの概要を示します。
この章の内容は次のとおりです。
注意: ここでは、読者がOracle Access Managerとアイデンティティ・システムの用途について基本的な知識を持っているものと想定しています。これらの用途については、「はじめに」を参照してください。 |
アクセス・システムは、認証、認可および監査を一元化することにより、エンタープライズ・リソースに対するシングル・サインオンのセキュアなアクセス制御を可能にします。アクセス・システムを使用して、リソースへのアクセスを制御するセキュリティ・ポリシーを設定します。リソースには、Webのコンテンツ、アプリケーション、サービス、アプリケーション内のオブジェクト、およびWeb以外(非HTTP)のリソースの同種のデータがあります。
アクセス・システムは、構成設定およびアクセス・ポリシーについての情報を、Oracle Access Manager固有のオブジェクト・クラスを使用するディレクトリ・サーバーに格納します。アクセス・システムの構成設定、アクセス・ポリシー・データおよびアイデンティティ・システムのユーザー・データは、同じディレクトリに格納することも、別個のディレクトリ・サーバーに格納することもできます。
アクセス・システムは、次のコンポーネントから構成されています。
ポリシー・マネージャは、Webサーバー内で、アイデンティティ・システム・コンポーネントのWebPassと同じディレクトリにインストールされます。WebPassについては、その配置を示す図が『Oracle Access Manager概要』に記載されています。ポリシー・マネージャには、アクセス・システムへのログイン・インタフェースが用意されています。マスター・アクセス管理者および委任アクセス管理者は、ポリシー・マネージャを使用して、保護するリソースを定義し、リソースをポリシー・ドメインにグループ分けします。ポリシー・ドメインは、保護するリソースのタイプ、保護のルール、保護のポリシー、および管理権限から構成されます。
ポリシー・マネージャには、アクセス・システム・コンソールというコンポーネントがあり、管理者はこれを使用して、Access Clientおよびアクセス・サーバーの追加、変更および削除、認証および認可スキームの構成、マスター監査設定の構成、ならびにホスト識別子の構成を行うことができます。
ポリシー・マネージャ・アプリケーションのユーザー・インタフェースは、アイデンティティ・システム・アプリケーションのユーザー・インタフェースと同じ方法で構成する必要はありません。
アクセス・サーバーは、認証、認可および監査サービスを提供するスタンドアロン・サーバーです。複数のインスタンスをインストールできます。アクセス・サーバーは、資格証明の検証、ユーザーの認可およびユーザー・セッションの管理を行います。アクセス・サーバーは、Access Clientからリクエストを受信し、次のようにディレクトリ・サーバーに認証、認可および監査ルールを問い合せます。
認証では、リソースに必要な認証方式を決定し、HTTPを介して資格証明を収集し、資格証明の検証結果に基づいてHTTPレスポンスが返されます。
認可では、ポリシーおよび認証時に確立されたIDに基づいて、アクセスが付与されます。
WebGateは、HTTPベースのリソースに対するデフォルトのAccess Clientです。WebGateは、Webリソースに対するHTTPリクエストを捕捉してアクセス・サーバーに転送するプラグインです。
アクセス・システムでは、シングル・サインオンがサポートされており、ユーザーが1回のログインで複数のアプリケーションにアクセスすることを可能にするログイン・ポリシーを設定できます。
アクセス・システムのインストールおよび設定時に、『Oracle Access Managerインストレーション・ガイド』の説明に従って、次のタスクを完了します。
ポリシー・マネージャ・アプリケーションのインストールと構成。
アクセス・ポリシーを格納するディレクトリの選択。
アクセス・ポリシーを格納するディレクトリ・サーバーと通信するためのポリシー・マネージャの構成。
1つ以上の認証スキームの構成。
設定時の認証スキームの構成はオプションです。
少なくとも1つのアクセス・サーバーと1つのアクセス・ゲートのインストールと構成。
アクセス・サーバーのトランスポート・セキュリティ通信モードの選択。
「シンプル」または「証明書」トランスポート・セキュリティを選択して、セキュアな通信を確保する必要あります。
対話型、サイレント・インストールまたはクローニングによる、コンポーネントの追加インスタンスのインストールと設定(オプション)。
表1-1に、アクセス・システムのインストールおよび設定の概要を示します。詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
表1-1 アクセス・システムのインストールおよび設定の概要
実行するタスク | 参照先 |
---|---|
ポリシー・マネージャのインストール |
『Oracle Access Managerインストレーション・ガイド』のポリシー・マネージャのインストールに関する章 |
ポリシー・マネージャの設定 |
『Oracle Access Managerインストレーション・ガイド』のポリシー・マネージャの設定に関する項 |
アクセス・サーバーのインストール |
『Oracle Access Managerインストレーション・ガイド』のアクセス・サーバーのインストールに関する章 |
WebGateのインストール |
『Oracle Access Managerインストレーション・ガイド』のWebGateのインストールに関する章 |
アクセス・システムを使用すると、どのユーザーがデータにアクセスできるようにするかを制御できます。アイデンティティ・システム・アプリケーション以外も対象としたアクセス・ポリシーを作成できます。たとえば、オンライン福利厚生システムがある場合、従業員が福利厚生Webサイトの各自に関連する部分のみを参照できるようにアクセス・ポリシーを構成できます。あるいは、社外の顧客から在庫Webページは参照できるがその他の会社情報は参照できないようにアクセス・ポリシーを構成できます。
表1-2に、アクセス・システムの構成の概要を示します。
表1-2 アクセス・システムのポリシー関連の構成の概要
実行するタスク | 説明 | 参照先 |
---|---|---|
ホストIDの入力 |
様々なホスト名を単一のWebサーバー・インスタンスにマップします。これにより、アクセス・システムは、ユーザーによるリソースのリクエスト時に受信するURLに含まれる様々なホスト名を処理できます。 |
|
ポリシー・ドメインの作成と保護するリソースの定義 |
リソースとは、Webページなどの保護対象を指す他、その対象アイテムに適用される更新などのアクションも意味します。 ポリシー・ドメインは、保護対象となるリソースを定義します。ドメイン内のリソースは、完全修飾パス名またはURLの他、保護ルール、保護ポリシーおよび管理権限によって識別されます。 |
|
URLパターンに対するポリシーの作成 |
デフォルト・ルールは、ポリシー・ドメイン内のすべてのURLに適用されます。 また、URLパターンおよびHTTPのget、putなどの関数に対して独自の認可、認証および監査ルールで個別のポリシーを指定することもできます。 |
|
認証スキームの作成 |
リソースにアクセスするユーザーのIDを検証します。認証方式(x.509証明書など)、認証の資格証明をディレクトリ内のユーザーIDにマップするために使用するプラグイン、およびディレクトリ内のユーザーのDNへのマッピングを定義します。 |
|
認可スキームの作成 |
有効な資格証明を持つユーザーが特定のリソースにアクセスし、認可ルールに基づいてリソースに対してアクションを実行できるよう許可(認可)するかどうかを決定します。 |
|
マスター監査ルールの作成 |
アクセス・システムは、データを監査ログ・ファイルに追加するために、マスター監査ルールを必要とします。 監査ログ・ファイルは、キャッシュからのデータのクリアなどの管理イベントを記録します。 |
|
シングル・サインオンの構成 |
シングル・サインオンを使用すると、1回のログインで複数のアプリケーションに認証されます。 |
|
共有シークレットの作成 |
共有シークレットは、WebGateとユーザーのブラウザの間でやりとりされるCookieを暗号化する鍵の生成に使用されます。 |
|
アクセス・システムを構成するには、管理者を定義し、アクセス・サーバーやアクセス・ゲートなどのコンポーネントを追加して、基本的なシステム・パラメータを設定します。
また、アクセス・システムの管理では、サーバーの追加、キャッシング・パラメータの設定、カスタム・プラグインによるアクセス・ポリシーの拡張を行います。表1-3に、アクセス・システムの管理の概要を示します。
表1-3 アクセス・システムの管理の概要
実行するタスク | 参照先 |
---|---|
アクセス管理者の構成 |
|
サーバー設定の構成 |
|
WebGate、アクセス・ゲートおよびアクセス・サーバーの構成 |
|
アクセス・サーバーの追加 |
『Oracle Access Managerインストレーション・ガイド』 対話型、またはサイレント・インストールやクローニングを使用して、コンポーネントを追加できます。 |
ディレクトリ・インスタンスの構成 |
『Oracle Access Manager IDおよび共通管理ガイド』 |
ロギング、モニタリングおよび監査の構成 |
『Oracle Access Manager IDおよび共通管理ガイド』 |
Access Manager SDKのインストール |
『Oracle Access Manager開発者ガイド』 |
非HTTP Access Clientの構成 |
『Oracle Access Manager開発者ガイド』 |
キャッシングの管理 |
『Oracle Access Managerデプロイメント・ガイド』 |
フェイルオーバーの構成 |
『Oracle Access Managerデプロイメント・ガイド』 |
パフォーマンスのチューニング |
『Oracle Access Managerデプロイメント・ガイド』 |