| Oracle® Fusion Middleware Oracle Access Manager統合ガイド 11g リリース1 (11.1.1) B65043-01 |
|
 前 |
 次 |
この章では、コンポーネント間の相互作用フロー、各統合の高レベルの要件、関連情報など、Oracle Access ManagerとOracle Identity Managementスイートの他のコンポーネントとの間の統合について紹介します。
この章では、次の内容を説明します。
手始めに、様々なOracle Identity Managementコンポーネントの統合に対する各種のアプローチを検討することは有益です。
一般的な出発点は、イントラネット/エクストラネットのSSOを使用するOracle Access Managerの視点を採用することです。この視点から、Oracle Access Managerとともに動作するLDAPディレクトリでのユーザー管理/登録を単純に有効化できます。
このシナリオでは、エンタープライズ・プロビジョニングは必要ではなく、むしろLDAPディレクトリ内でのユーザーの管理に焦点を当てます。これらの要件には、ログイン・ページ(パスワードを忘れた場合のリンク)の統合、パスワード・ポリシーの設定/検出、パスワード要変更のリダイレクト、パスワード履歴の追跡、パスワード/アカウント属性のスキーマのデプロイなどのタスクが含まれます。
この統合は、主としてOracle Access Managerでのアクセス管理を中心に展開されます。このデプロイでは、Oracle Access ManagerとOracle Identity Managerを同じOracle WebLogic Serverドメインに含めることができますが、2つの異なるドメインを設定することもできます。通常、ユーザー登録ワークフローではワークフローが有効化されます。
Oracle Identity Manager(プロビジョニング)の視点からは、Oracle Identity Managerおよび他のアプリケーション用にOracle Access ManagerをSSOソリューションとして使用することが望まれます。
この構成では、Oracle Identity Managerはエージェントまたはアサータによって保護され、企業のSSOドメインに参加します。
アイデンティティおよびアクセス以外では、フェデレーテッド・シングル・サインオンおよび拡張アクセス管理を必要とするサイトにその他の視点が適用されます。
ここでは、SSOインフラストラクチャを(Oracle Identity FederationによってOracle Access ManagerとOracle Identity Federationの統合を導入して)フェデレートするか、(Oracle Adaptive Access ManagerによってOracle Access ManagerとOracle Adaptive Access Managerの統合を導入して)強化する必要があります。
表2-1には、このドキュメントで説明されているアイデンティティ管理の統合がリストされています。
表2-1 Oracle Access Managerの統合の概要
| 統合 | コンポーネント | 追加情報 |
|---|---|---|
|
Oracle Identity Manager Oracle Access Manager |
第2.3項「Oracle Identity Managerによるアイデンティティ管理の有効化」 |
|
|
Oracle Identity Manager Oracle Access Manager |
第2.4項「Oracle Identity Managerのためのシングル・サインオンの有効化」 |
|
|
Oracle Identity Navigator Oracle Access Manager |
第3章「Oracle Identity Navigatorとの統合」 |
|
|
Oracle Adaptive Access Manager Oracle Access Manager |
第6章「Oracle Access ManagerとOracle Adaptive Access Managerの統合」 |
|
|
Oracle Access Manager Oracle Identity Federation |
第4章「Oracle Identity Federationの統合」 |
|
|
Oracle Adaptive Access Manager Oracle Identity Manager |
第7章「Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合」 |
Oracle Identity Managerは、Oracle Fusion Middleware向けにアイデンティティ管理サービスを提供します。
統合により、Oracle Identity Managerでアイデンティティを管理し、Oracle Access Managerでリソースへのアクセスを制御できるようになります。これにより、この章で後述するように、他のアイデンティティ管理コンポーネント用にシングル・サインオンを実装してスイート・コンポーネントとの追加の統合を実行できます。
Oracle Identity Managerとの統合の前提条件は次のとおりです。
必要なコンポーネント/スイートのインストール(リポジトリ作成ユーティリティ(RCU)、Oracle WebLogic Server、IAM Suite、Oracle SOA Suiteを含む)
Oracle Identity ManagerおよびOracle SOA Suite用のスキーマの作成
Oracle Internet DirectoryおよびOracle Virtual Directoryのインストールおよび構成
Oracle Internet Directoryへのパスワード・スキーマのアップロード
前提条件が整った後の基本的な統合手順は次のとおりです。
Oracle Access ManagerおよびOracle Identity Manager/Oracle SOA Suite用にそれぞれOracle WebLogic Serverドメインを作成します。
Oracle HTTP Server 11gをインストールします。
デフォルトの組込みLDAPではなくOracle Internet Directoryを指すようにOracle Access Manager 11gを構成します。
統合の詳細は、第5章「Oracle Access ManagerとOracle Identity Managerの統合」を参照してください。
Oracle Identity ManagerのURLを保護するようにOracle Access Managerを構成できます。
前提条件を次に示します。
統合に必要な次のコンポーネントがインストールされていることを確認します。
Oracle WebLogic Server
Oracle Identity Navigator
Oracle Access Manager
Oracle Identity Manager
|
注意: Oracle Access Managerは、Oracle Identity Managerおよび他のIdMコンポーネントの前にインストールすることも他のコンポーネントと同時にインストールすることもできます。 |
|
関連項目: Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド |
次のサーバーが実行されていることを確認します。
Oracle WebLogic Server
Oracle Access Manager管理サーバー
Oracle Access ManagerおよびOracle Identity Managerの管理対象サーバー
ネイティブ統合では、Oracle Access ManagerはOracle Adaptive Access Managerを利用してOracle Access Managerログイン用の認証前および認証後サービスを提供します。
詳細は、第6.2項「Oracle Access ManagerとOracle Adaptive Access Managerの基本統合」を参照してください。
Oracle Identity Navigatorは、Oracle Identity Managementコンポーネントに管理ポータルを提供します。
WNA認証スキームを使用してOracle Identity Navigator管理コンソールのSSOを有効化することによって、Oracle Identity NavigatorのURLを保護できます。
統合の詳細は、第3章「Oracle Identity Navigatorとの統合」を参照してください。
Oracle Identity Federationの認証エンジンとしてOracle Access Managerを構成できます。
統合の詳細は、第4章「Oracle Identity Federationの統合」を参照してください。
この項では、IdM統合を通じてサポートされている様々なアイデンティティおよびパスワード管理シナリオと、各統合の処理フローについて説明します。
統合手順は、第7章「Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合」を参照してください。
この項では、Oracle Access ManagerとOracle Identity ManagerおよびOracle Adaptive Access Managerの統合の概要を示します。
11gリリース1 (11.1.1)では、Oracle Access Managerによりそれ自体のアイデンティティ・サービスは提供されず、かわりにOracle Access Managerで次の処理が行われます。
Oracle Identity Manager、LDAPディレクトリおよび他のソースによって提供されるアイデンティティ・サービスを使用します。
Oracle Identity ManagerおよびOracle Adaptive Access Managerと統合し、Oracle Access Managerによって保護されたアプリケーションに各種の安全なパスワード収集機能を提供します。
Oracle Access Manager/Oracle Identity Manager/Oracle Adaptive Access Managerでは、後の2製品の安全なパスワード収集機能がOracle Access Managerによって保護されたアプリケーションに追加されます。
次のコンポーネントは個別に統合できます。
Oracle Access ManagerとOracle Adaptive Access Manager
Oracle Identity ManagerとOracle Adaptive Access Manager
ただし、次の依存性に注意してください。
Oracle Access ManagerとOracle Adaptive Access Managerを統合するときは、Oracle Identity Managerを含める必要はありません。
Oracle Adaptive Access ManagerとOracle Identity Managerを統合するときは、Oracle Access Managerも統合する必要があります。
Oracle Access ManagerとOracle Adaptive Access Managerを組み合せると、認証プロセスを細かく制御して、Oracle Adaptive Access Managerポリシーに対する認証前および認証後チェックの全機能を使用できるようになります。
この統合のコンテキストでは、Oracle Access Managerは認証および認可モジュールとして動作するのに対し、Oracle Adaptive Access Managerは強力なオーセンティケータを提供してリスクおよび不正分析を実行します。
Oracle Access ManagerによりOracle Adaptive Access Managerの強力な認証機能を利用する方法には、次の2つがあります。
Oracle Adaptive Access Managerとのネイティブ統合
ナレッジベース認証(KBA)など、基本ログイン・セキュリティを追加することを望んでいるOracle Access Managerユーザーは、ネイティブ統合オプションを使用できます。このオプションでは、別個のOracle Adaptive Access Managerサーバーをデプロイする必要がない(ネイティブOracle Adaptive Access Managerコールを通じて機能がアクセスされる)ため、フットプリントが小さくなります。
ネイティブ統合では、SMS、電子メール、ボイスまたはIMを通じたワンタイム・パスワード(OTP)などの拡張機能にアクセスできません。ネイティブ統合は、基本画面のブランド以外にカスタマイズできません。
Oracle Adaptive Access Managerとの拡張統合
このオプションでは、拡張機能を使用でき、ネイティブ統合で使用可能なもの以外へのカスタマイズが可能です。Java Nappライブラリ、Oracle Access ManagerとOracle Adaptive Access Managerの統合を利用するには、完全なOracle Adaptive Access Managerデプロイが必要です。
実装の詳細は、第6章「Oracle Access ManagerとOracle Adaptive Access Managerの統合」を参照してください。
ユーザーは、Oracle Access Managerによって保護されたリソースにアクセスしようとします。
Oracle Access Manager Webゲートにより、(未認証の)リクエストが捕捉され、ユーザーがOracle Adaptive Access Managerサーバーにリダイレクトされます。
Oracle Adaptive Access Managerサーバーにより、ユーザーに対してOracle Adaptive Access Managerユーザー名ページが表示されます。
ユーザーは、Oracle Adaptive Access Managerユーザー名ページで自分のユーザー名を送信します。
Oracle Adaptive Access Managerにより、ユーザー・デバイスのフィンガープリントが取得され、ユーザーがOracle Adaptive Access Managerパスワード・ページに進むことを許可するかどうかを決定する認証前ルールが実行されます。
デバイスのフィンガープリント処理は、ユーザー・ログインに使用されたデバイスおよびそのタイプ(デスクトップ・コンピュータ、ラップトップ・コンピュータ、PDA、携帯電話、キオスク、他のWeb対応デバイスのいずれであるか)を認識するメカニズムです。
ユーザーが次に進むことを許可された場合は、認証パッド・チェックポイント中に仮想認証デバイス・ルールが実行されます。これらのルールにより、どの仮想オーセンティケータをOracle Adaptive Access Managerパスワード・ページに表示するかが決定されます。
ユーザーがOracle Adaptive Access Managerに登録されている場合は、Oracle Adaptive Access Managerサーバーにより、パーソナライズされたTextPadまたはKeyPadとともにOracle Adaptive Access Managerパスワード・ページが表示されます。
ユーザーが登録されていない場合は、Oracle Adaptive Access Managerにより、汎用TextPadとともにOracle Adaptive Access Managerパスワード・ページが表示されます。
ユーザーは、Oracle Adaptive Access Managerパスワード・ページで自分のパスワードを送信します。
Oracle Adaptive Access Managerから収集された資格証明がアイデンティティ・ストアに対して検証されます。Oracle Access Manager側での検証の後、Oracle Adaptive Access Managerにより認証後ルールが実行されます。
Oracle Adaptive Access Managerにより、ユーザーとの相互作用を通じて、目的のアクションを実行するためにアイデンティティが確立されます。Oracle Adaptive Access Managerにより、ユーザーのリスク・スコアが決定され、ポリシーに指定されている任意のアクション(たとえば、KBAやOTP)またはアラートが実行されます。
ユーザーが登録されていない場合は、必要に応じてKBAやOTPなどを使用して登録を行うように求められます。
登録が必須であるかオプションであるかが指定されたセキュリティ要件に基づいて、登録が要求されます。
認証が成功し、ユーザーに登録済の適切なプロファイルがある場合は、Oracle Adaptive Access Managerにより、Oracle Access ManagerのCookieが設定され、ユーザーがリダイレクトURLにリダイレクトされます。
Oracle Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerを統合することによって、Oracle Access Managerによって保護されたアプリケーション向けにパスワード管理機能を実装できます。
この項では、これらのデプロイメント・オプションについて説明します。次の第2.8.4項「パスワード管理シナリオ」では、各デプロイによってサポートされているシナリオ、および各シナリオを実現するフローについて説明します。
パスワード管理のコンテキストでは、Oracle Access Managerは2つの異なるデプロイ・モードで動作します。
認証およびパスワード管理のためにOracle Access ManagerとOracle Identity Managerを統合します。
詳細は、「Oracle Access ManagerをOracle Identity Managerと統合する場合」を参照してください。
認証、パスワード管理、不正検出および追加機能のためにOracle Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerを統合します。
処理フローの詳細は、「Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerを統合する場合」を参照してください。
実装の詳細は、第7章「Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合」を参照してください。
図2-1は、Oracle Access ManagerとOracle Identity Managerの統合時にパスワード管理がどのように行われるかを示しています。
コンポーネント間の相互作用のフローは次のとおりです。
ユーザーは、Oracle Access Managerによって保護されたリソースにアクセスしようとします。
Oracle Access Manager Webゲートにより、(未認証の)リクエストが捕捉されます。
WebゲートによりユーザーがOracle Access Managerログイン・サービスにリダイレクトされ、そこで検証チェックが実行されます。
Oracle Access Managerによりパスワード期限切れなどのパスワード管理トリガー条件が検出されると、ユーザーがOracle Identity Managerにリダイレクトされます。
Oracle Identity Managerにより、ユーザーとの相互作用を通じてユーザーのアイデンティティが確立され、パスワードのリセットなどの適切なアクションが実行されます。
Oracle Access Managerにより、自動ログインを通じてユーザーのログインが行われ、ユーザーがOAMによって保護されたリソース(ユーザーが手順1でアクセスしようとしていたもの)にリダイレクトされます。
Oracle Adaptive Access ManagerとOracle Identity Managerとの間の統合では、Oracle Adaptive Access Managerチャレンジ質問を使用するとともに、パスワードの検証、保存および伝播にOracle Identity Managerを使用できます。この統合では次のものを利用します。
不正防止にOracle Adaptive Access Manager
ターゲットへのOracle Access Managerのパスワード伝播
図2-2は、Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合時にパスワード管理がどのように行われるかを示しています。
コンポーネント間の相互作用のフローは次のとおりです。
ユーザーは、Oracle Access Managerによって保護されたリソースにアクセスしようとします。
Oracle Access Manager Webゲートにより、(未認証の)リクエストが捕捉され、ユーザーがログイン・サービスにリダイレクトされ、そこでユーザーに対してOracle Adaptive Access Managerユーザー名ページが表示されます。
ユーザーは、Oracle Access Managerサーバーにリダイレクトされます。検証後に次の処理が行われます。
サーバーにより、パスワード管理トリガー条件が有効であるかどうかがチェックされます。トリガー条件(期限切れパスワードなど)が見つかった場合、Oracle Access Managerログイン・サービスにより、ユーザーがOracle Adaptive Access Managerサーバーにリダイレクトされます。
Oracle Adaptive Access Managerにより、ユーザーとの相互作用を通じてアイデンティティが確立されます。
Oracle Adaptive Access Managerとの相互作用は次のように進行します。
Oracle Adaptive Access Managerにより、ユーザー・デバイス(デスクトップ・コンピュータ、ラップトップ・コンピュータ、PDA、携帯電話、キオスクまたは他のWeb対応デバイス)のフィンガープリントが取得され、ユーザーがOracle Adaptive Access Managerパスワード・ページに進むことを許可するかどうかを決定する認証前ルールが実行されます。
ユーザーが次に進むことを許可された場合は、Oracle Adaptive Access Managerサーバーにより、仮想認証デバイス・ルールで指定された強力なオーセンティケータとともにOracle Adaptive Access Managerパスワード・ページが表示されます。
ユーザーがパスワードを忘れた場合は、「パスワードをお忘れですか」リンクを使用してパスワードを忘れた場合のフローに進むことができます。
ユーザーは、Oracle Adaptive Access Managerパスワード・ページで自分のパスワードを送信します。
Oracle Access Managerにより、アイデンティティ・ストアに対して、Oracle Adaptive Access Managerから収集された資格証明が検証されます。Oracle Access Managerでの検証の後、Oracle Adaptive Access Managerにより認証後ルールが実行されます。
Oracle Adaptive Access Managerにより、ユーザーとの相互作用を通じて、目的のアクションを実行するためにアイデンティティが確立されます。Oracle Adaptive Access Managerにより、ユーザーのリスク・スコアが決定され、ポリシーに指定されている任意のアクション(たとえば、KBAやOTP)またはアラートが実行されます。
未登録ユーザーは、KBAやOTPプロファイル登録などの登録(チャレンジ登録フロー)を行うように求められます。
資格証明の処理中に、Oracle Adaptive Access Managerにより、Oracle Identity Managerからパスワード構文およびライフサイクル・ポリシーが取得されます。Oracle Adaptive Access Managerにより、トリガー・アクションの処理中にこれらのポリシーが適用されます。
操作が完了すると、Oracle Adaptive Access Managerによりバック・チャネルを通じてOracle Access Managerに通知が行われます。
Oracle Adaptive Access Managerにより、ユーザーがOracle Access Managerに自動ログインされ、認証済リクエストを使用してユーザーが手順1のOracle Access Managerによって保護されたリソースにリダイレクトされます。
これらのデプロイ・モードによってサポートされている一般的な管理シナリオには、次のものが含まれます。
このシナリオでは、アカウントを持たないユーザーがOracle Access Managerによって保護されたリソースにアクセスしようとします。Oracle Access Manager 11g Webゲートにより、このリクエストが捕捉され、ユーザーが認証されていないことが検出され、ユーザーがOracle Access Manager資格証明コレクタ(または10g認証Webゲート)にリダイレクトされ、そこで「新規アカウントの登録」リンクを含むOracle Access Managerログイン・ページが表示されます。
このリンクを選択すると、ユーザーは安全にOracle Identity Managerの自己登録URLにリダイレクトされます。Oracle Identity Managerにより、ユーザーとの相互作用を通じてそのアカウントがプロビジョニングされます。
ようこそページは、自己登録/アカウント作成を開始できる、保護されていないページです。このページには、2つのリンクが紹介テキストまたはブランド情報とともに表示されます。これらのリンクは次のとおりです。
新規アカウントの登録 - これは、対応するアプリケーションの登録ウィザードへの保護されていないURLです。
ログイン - これは、ログイン成功後にユーザーが転送されるランディング・ページとして機能する、保護されたURLです。
|
注意: 自己登録要件があるシングル・サインオン・システムによって保護されたアプリケーションは、ランディング・ページをサポートすることが予期されます。オプションは次のとおりです。
|
|
関連項目: Oracle Platform Security Servicesの詳細は、『Oracle Fusion Middlewareセキュリティ概要』を参照してください。 |
アカウント作成フローは次のとおりです。
ユーザーは、(ブラウザを使用して)「新規アカウントの登録」リンクを含むアプリケーションのようこそページにアクセスします。
ユーザーは、「新規アカウントの登録」リンクをクリックし、アプリケーションによって提供されたカスタム自己登録ページに転送されます。
ユーザーは、アプリケーションと相互作用して自己登録します。
完了すると、アプリケーションによりユーザーの自動ログインが実行されます。
保護されたアプリケーションにより、ユーザーを作成するためにOracle Identity ManagerにSPMLリクエストが送信されることが予期されます。この後、アプリケーションにより次のいずれかの操作が選択されます。
アプリケーションにより、ユーザーを自動ログインしないことを選択できます。アプリケーションにより、ユーザーを保護されたランディング・ページURLにリダイレクトします。その後、Oracle Access Managerによりログイン・ページが表示され、ユーザーがログイン・フローに進みます。
リクエストに関連付けられた承認がない場合は、アプリケーションにより、Oracle Platform Security Services (OPSS) APIを利用して特定のランディング・ページURLに自動ログインし、そのURL(およびSSO Cookie)を含んだリダイレクト・リクエストで応答します。これにより、ログイン・ページを表示せずにユーザーが直接ランディング・ページに転送されます。
承認が必要な場合、自動ログインは実行できません。アプリケーションにより、SPMLリクエストの時点でどのプロファイルを使用するかが決定されます。アプリケーションにより、リクエストが送信されたことを示す適切なページで応答する必要があります。
パスワードの変更フローにより、ユーザーは各自のパスワードを変更できます。
Oracle Access ManagerおよびOracle Identity Managerによるパスワードの変更フロー
この状況では、ユーザーはOracle Access Managerに正常にログインした後、すぐにパスワードを変更する必要があります。ユーザーは、パスワードを変更してチャレンジを設定するまで、保護されたリソースへのアクセスを許可されません。
ログインが成功すると、Oracle Access Managerによりトリガー条件が有効であるかどうかが検出され、ユーザーがOracle Identity Managerの「パスワードの変更」URLにリダイレクトされます。Oracle Identity Managerでは、ユーザー・パスワードの変更またはチャレンジの設定を容易にし、トリガー条件をリセットします。
完了すると、Oracle Identity Managerによりユーザーが保護されたリソースにリダイレクトされます。
この状況は、次の場合にトリガーされます。
「ログイン時のパスワードの変更」フラグがオンになっています。これは次の場合に発生します。
新しいユーザーが作成された場合
管理者がユーザーのパスワードをリセットした場合
パスワードの期限が切れています。
このフローでは、ユーザーが初めてOracle Access Managerによって保護されたアプリケーションにログインし、次に進む前にパスワードの変更を求められる状況について説明します。
パスワードの変更フローは次のとおりです。
ユーザーはブラウザを使用して、Oracle Access Managerによって保護されたアプリケーションのURLにアクセスしようとします。
Oracle Access Manager Webゲート(SSOエージェント)により、リクエストが捕捉され、ユーザーがOracle Access Managerログイン・ページにリダイレクトされます。
ユーザーは資格証明を送信し、これがOracle Access Managerにより検証されます。
続いてOracle Access Managerにより、初回ログイン・トリガー条件のいずれかが有効であるかどうかが判別されます。有効である場合は、Oracle Access Managerにより、ユーザーがOracle Identity Managerの「パスワードの変更」URLにリダイレクトされます。
Oracle Access Manager Webゲート(SSOエージェント)により、リクエストが捕捉され、Oracle Identity Managerが匿名認証ポリシーによって保護されていることが判別され、ユーザー・リクエストの処理が許可されます。
Oracle Identity Managerにより、ユーザーとの相互作用を通じてユーザーがパスワードを変更できるようになります。完了すると、Oracle Identity Managerにより初回ログイン・フローをトリガーした属性が更新されます。続いてOracle Identity Managerにより、ユーザーの自動ログインが実行されます。
Oracle Identity Managerにより、Oracle Access Managerに初回ログインの成功が通知されます。
Oracle Identity Managerにより、手順1でユーザーがアクセスしようとしていたアプリケーションURLにユーザーがリダイレクトされます。
パスワードの変更フロー - Oracle Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerを統合する場合
このシナリオでは、ユーザーはOracle Adaptive Access Managerパスワード・ページを表示して「パスワードの変更」リンクをクリックします。
ユーザーはブラウザを使用して、Oracle Access Managerによって保護されたアプリケーションのURLにアクセスしようとします。
Oracle Access Manager Webゲートにより、(未認証の)リクエストが捕捉されます。
Oracle Access Manager Webゲートにより、ユーザーがOracle Adaptive Access Managerサーバーにリダイレクトされ、リダイレクトURLが渡されます。
Oracle Adaptive Access Managerサーバーにより、ユーザーに対してOracle Adaptive Access Managerユーザー名ページが表示されます。
ユーザーは、Oracle Adaptive Access Managerユーザー名ページで自分のユーザー名を送信します。
Oracle Adaptive Access Managerにより、ユーザー・デバイス(デスクトップ・コンピュータ、ラップトップ・コンピュータ、PDA、携帯電話、キオスクまたは他のWeb対応デバイス)のフィンガープリントが取得され、ユーザーがOracle Adaptive Access Managerパスワード・ページに進むことを許可するかどうかを決定する認証前ルールが実行されます。
ユーザーが次に進むことを許可された場合は、Oracle Adaptive Access Managerサーバーにより、仮想認証デバイス・ルールで指定された強力なオーセンティケータとともにOracle Adaptive Access Managerパスワード・ページが表示されます。
ユーザーは、Oracle Adaptive Access Managerパスワード・ページで自分のパスワードを送信します。
認証中にOracle Adaptive Access Managerにより、Oracle Access Manager Java APIを呼び出して資格証明が検証されます。
認証が成功し、登録済の質問があるもののパスワードのリセットをユーザーが希望する場合、ユーザーは「パスワードの変更」リンクをクリックします。
ユーザーは、Oracle Adaptive Access Managerの「パスワードの変更」URLにリダイレクトされ、そこでユーザーはパスワードを変更できます。
Oracle Adaptive Access Managerにより、現在のパスワードおよび新しいパスワードが収集され、そのオーセンティケータを使用してユーザーからのパスワードが確認されます。
Oracle Identity Managerから取得されたパスワード・ポリシー情報が表示され、ユーザーが適切なパスワードを選択するように指示されます。
Oracle Adaptive Access Managerにより、Oracle Identity Managerコールが行われ、リポジトリ内のパスワードが更新されます。
更新が成功すると、Oracle Adaptive Access Managerにより、ユーザーがOracle Access Managerによって保護されたリソースにリダイレクトされます。
パスワードを忘れた場合のフローでは、ユーザーはすべてのチャレンジ質問に正しく回答した後で各自のパスワードをリセットできます。
Oracle Access ManagerとOracle Identity Managerの統合におけるパスワードを忘れた場合のフロー
このシナリオでは、ユーザーはOracle Access Managerログイン・ページを表示して「パスワードを忘れた場合」リンクをクリックします。Oracle Access Managerにより、ユーザーはOracle Identity Managerの「パスワードを忘れた場合」URLにリダイレクトされ、パスワードの変更に成功したときにOracle Identity Managerによるリダイレクト先となる宛先URLが問合せパラメータ(backURL)として渡されます。
Oracle Identity Managerにより、ユーザーに対してチャレンジ質問が尋ねられます。正しい回答を入力すると、ユーザーは新しいパスワードを指定できます。
完了すると、Oracle Identity Managerによりユーザーが保護されたリソースにリダイレクトされます。
パスワードを忘れた場合のフローは次のとおりです。
ユーザーはブラウザを使用して、Oracle Access Managerによって保護されたアプリケーションのURLにアクセスしようとします。
Oracle Access Manager Webゲート(SSOエージェント)により、リクエストが捕捉され、ユーザーがOracle Access Managerログイン・ページにリダイレクトされます。
ユーザーはOracle Access Managerログイン・ページで「パスワードを忘れた場合」リンクをクリックし、これによりユーザーはOracle Identity Managerの「パスワードを忘れた場合」URLに送信されます。
Oracle Identity Managerにより、ユーザーとの相互作用を通じてユーザーがパスワードをリセットできるようになります。完了すると、Oracle Identity Managerによりユーザーの自動ログインが実行されます。
Oracle Identity Managerにより、手順1でアクセスしようとしていたアプリケーションURLにユーザーがリダイレクトされます。
Oracle Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerの統合におけるパスワードを忘れた場合のフロー
Oracle Adaptive Access ManagerとOracle Identity Managerの統合では、パスワードを忘れた場合の機能はOracle Adaptive Access Managerパスワード・ページ上のリンクとして使用可能になります。このフローが開始されるのは、ユーザーがOracle Adaptive Access Managerパスワード・ページを表示して「パスワードをお忘れですか」リンクをクリックしたときです。
フローは次のとおりです。
ユーザーはブラウザを使用して、Oracle Access Managerによって保護されたアプリケーションのURLにアクセスしようとします。
Oracle Access Manager Webゲートにより、(未認証の)リクエストが捕捉されます。
Oracle Access Manager Webゲートにより、ユーザーがOracle Adaptive Access Managerサーバーにリダイレクトされます。
Oracle Adaptive Access Managerサーバーにより、ユーザーに対してOracle Adaptive Access Managerユーザー名ページが表示されます。
ユーザーは、Oracle Adaptive Access Managerユーザー名ページで自分のユーザー名を送信します。
Oracle Adaptive Access Managerにより、ユーザー・デバイス(デスクトップ・コンピュータ、ラップトップ・コンピュータ、PDA、携帯電話、キオスクまたは他のWeb対応デバイス)のフィンガープリントが取得され、ユーザーがOracle Adaptive Access Managerパスワード・ページに進むことを許可するかどうかを決定する認証前ルールが実行されます。
ユーザーが次に進むことを許可された場合は、Oracle Adaptive Access Managerサーバーにより、仮想認証デバイス・ルールで指定された強力なオーセンティケータとともにOracle Adaptive Access Managerパスワード・ページが表示されます。
ユーザーは、Oracle Adaptive Access Managerパスワード・ページで「パスワードをお忘れですか」リンクをクリックします。
Oracle Adaptive Access Managerにより、ユーザーに対して事前登録されたチャレンジ質問のセットが表示されます。
ユーザーは、チャレンジ質問に対する回答を入力します。
Oracle Adaptive Access Managerにより、ファジー・ロジックを使用してチャレンジ質問に対する回答が検証されます。
ユーザーが正しい回答を入力した場合は、「パスワードのリセット」ページにリダイレクトされます。
Oracle Adaptive Access Managerにより、Oracle Identity Managerを呼び出すことによってOracle Identity Managerからパスワード・ポリシー・テキストが取得され、「パスワードのリセット」ページに表示されます。
ユーザーは、新しいパスワードを入力します。
Oracle Adaptive Access Managerにより、Oracle Identity Managerが呼び出され、リポジトリが新しいパスワードで更新されます。
更新が成功すると、Oracle Adaptive Access Managerにより、ユーザーがOracle Access Managerによって保護されたリソースにリダイレクトされます。
Oracle Access Managerでは、ログイン試行を追跡し、その回数が確立された制限を超えるとアカウントをロックします。
アカウントがロックされると、Oracle Access Managerによりヘルプ・デスクの連絡先情報が表示されます。
エンド・ユーザーから連絡を受けると、ヘルプ・デスクはOracle Identity Manager管理コンソールを使用してアカウントをロック解除します。その後Oracle Identity Managerにより、Oracle Access Managerに変更が通知されます。
ユーザー・ログイン試行の失敗回数がパスワード・ポリシーで指定された値を超えると、ユーザー・アカウントがロックされます。ユーザー・アカウントがロックされた後のログイン試行に対しては、アカウントのロック解除プロセスに関する情報を提供するページを表示しますが、これは各自の組織で従うプロセス(ヘルプ・デスク情報やその他の類似情報)を反映したものにカスタマイズされている必要があります。
アカウントのロックとロック解除のフローは次のとおりです。
ユーザーはブラウザを使用して、Oracle Access Managerによって保護されたアプリケーションのURLにアクセスしようとします。
Oracle Access Manager Webゲート(SSOエージェント)により、リクエストが捕捉され、ユーザーがOracle Access Managerログイン・ページにリダイレクトされます。
ユーザーは資格証明を送信し、これがOracle Access Managerによる検証に失敗します。Oracle Access Managerによりログイン・ページがレンダリングされ、ユーザーは資格証明を再送信するように求められます。
ユーザーのログイン試行の失敗回数がポリシーで指定された制限を超えます。Oracle Access Managerによりユーザー・アカウントがロックされ、ユーザーがOracle Access ManagerのアカウントのロックアウトURLにリダイレクトされ、そこでヘルプ・デスク連絡先情報が表示されます。
ユーザーはヘルプ・デスクに電話で連絡し、管理者にアカウントのロック解除を依頼します。
Oracle Identity Managerにより、Oracle Access Managerにアカウント・ロック解除イベントが通知されます。
ユーザーはアプリケーションURLにアクセスしようとし、このイベントにより通常のOracle Access Managerシングル・サインオン・フローがトリガーされます。
チャレンジの設定により、ユーザーはチャレンジ質問および回答を登録できます。
Oracle Access ManagerとOracle Identity Managerの統合におけるチャレンジの設定フロー
Oracle Access Managerによる検出とリダイレクトは次のパスワード・トリガー条件で行われます。
必要な数のチャレンジを増やすためにパスワード・ポリシーが更新されました。
チャレンジを要求するためにパスワード・ポリシーが更新されました。
このようなリダイレクトが発生した場合、Oracle Identity Managerによりチャレンジ質問が設定されているかどうかがチェックされます。設定されていない場合、ユーザーはパスワードをリセットするとともにチャレンジ質問を設定するように求められます。
フローは次のとおりです。
|
注意: このフローは、初回ログインが必要ではないことを前提としています。 |
ユーザーはブラウザを使用して、Oracle Access Managerによって保護されたアプリケーションのURLにアクセスしようとします。
Oracle Access Manager Webゲート(SSOエージェント)により、リクエストが捕捉され、ユーザーがOracle Access Managerログイン・ページにリダイレクトされます。
ユーザーは資格証明を送信し、これがOracle Access Managerにより検証されます。パスワード・トリガー条件が検出された場合は、Oracle Access Managerにより、ユーザーがOracle Identity Managerのパスワードの変更URLにリダイレクトされます。
Oracle Access Manager Webゲート(SSOエージェント)により、リクエストが捕捉され、Oracle Identity Managerが匿名認証ポリシーによって保護されていることが判別され、ユーザー・リクエストの処理が許可されます。
Oracle Identity Managerにより、ユーザーとの相互作用を通じてチャレンジが設定されます。完了すると、Oracle Identity Managerによりチャレンジの設定フローをトリガーした属性が更新されます。
Oracle Identity Managerにより、手順1でユーザーがアクセスしようとしていたアプリケーションURLにユーザーがリダイレクトされます。
Oracle Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerの統合におけるチャレンジの設定フロー
このシナリオでは、ユーザーは正常に認証されてもチャレンジ質問を登録する必要があります。ユーザーは、チャレンジ質問を登録するまで、保護されたリソースへのアクセスを許可されません。
|
注意: Oracle Adaptive Access Managerを既存のOracle Identity Managerデプロイに追加する場合は、Oracle Identity Managerで登録されているすべての既存の質問および回答を放棄する必要があります。かわりに、ユーザーは次のログイン時にOracle Adaptive Access Managerでチャレンジ質問を再度登録するように求められます。 |
ユーザーはブラウザを使用して、Oracle Access Managerによって保護されたアプリケーションのURLにアクセスしようとします。
Oracle Access Manager Webゲートにより、(未認証の)リクエストが捕捉されます。
Oracle Access Manager Webゲートにより、ユーザーがOracle Adaptive Access Managerサーバーにリダイレクトされ、リダイレクトURLが渡されます。
Oracle Adaptive Access Managerにより、ユーザーに対してOracle Adaptive Access Managerユーザー名ページが表示されます。
ユーザーは、Oracle Adaptive Access Managerユーザー名ページで自分のユーザー名を送信します。
Oracle Adaptive Access Managerにより、ユーザー・デバイス(デスクトップ・コンピュータ、ラップトップ・コンピュータ、PDA、携帯電話、キオスクまたは他のWeb対応デバイス)のフィンガープリントが取得され、ユーザーがOracle Adaptive Access Managerパスワード・ページに進むことを許可するかどうかを決定する認証前ルールが実行されます。
ユーザーが次に進むことを許可された場合は、Oracle Adaptive Access Managerサーバーにより、仮想認証デバイス・ルールで指定された強力なオーセンティケータとともにOracle Adaptive Access Managerパスワード・ページが表示されます。
ユーザーは、Oracle Adaptive Access Managerパスワード・ページで自分のパスワードを送信します。
認証中にOracle Adaptive Access Managerにより、Oracle Access Managerを呼び出して資格証明が検証されます。
認証後に、Oracle Adaptive Access Managerによりユーザーがチャレンジ質問を登録したかどうかがチェックされます。
ユーザーが質問を登録していない場合は、Oracle Adaptive Access Managerにより、ユーザーとの相互作用を通じてチャレンジが設定されます(チャレンジ質問の選択と回答の登録またはOTPプロファイルの設定、あるいはその両方)。
登録が成功すると、Oracle Adaptive Access Managerにより、ユーザーがOracle Access Managerによって保護されたリソースにリダイレクトされます。
チャレンジのリセットにより、ユーザーは各自のチャレンジの登録をリセットできます。この機能は、Oracle Access ManagerがOracle Adaptive Access Managerと統合されている場合に使用できます。
フローは次のとおりです。
ユーザーはブラウザを使用して、Oracle Access Managerによって保護されたアプリケーションのURLにアクセスしようとします。
Oracle Access Manager Webゲートにより、(未認証の)リクエストが捕捉されます。
Oracle Access Manager Webゲートにより、ユーザーがOracle Adaptive Access Managerサーバーにリダイレクトされ、リダイレクトURLが渡されます。
Oracle Adaptive Access Managerサーバーにより、ユーザーに対してOracle Adaptive Access Managerユーザー名ページが表示されます。
ユーザーは、Oracle Adaptive Access Managerユーザー名ページで自分のユーザー名を送信します。
Oracle Adaptive Access Managerにより、ユーザー・デバイス(デスクトップ・コンピュータ、ラップトップ・コンピュータ、PDA、携帯電話、キオスクまたは他のWeb対応デバイス)のフィンガープリントが取得され、ユーザーがOracle Adaptive Access Managerパスワード・ページに進むことを許可するかどうかを決定する認証前ルールが実行されます。
ユーザーが次に進むことを許可された場合は、Oracle Adaptive Access Managerサーバーにより、仮想認証デバイス・ルールで指定された強力なオーセンティケータとともにOracle Adaptive Access Managerパスワード・ページが表示されます。
ユーザーは、Oracle Adaptive Access Managerパスワード・ページで自分のパスワードを送信します。
認証中にOracle Adaptive Access Managerにより、Oracle Access Managerを呼び出して資格証明が検証されます。
認証が成功し、ユーザーに登録済の質問があるもののユーザーがチャレンジ質問のリセットを希望する場合、ユーザーは「チャレンジのリセット」リンクをクリックします。
ユーザーは、Oracle Adaptive Access Managerにリダイレクトされ、そこでチャレンジ質問をリセットできます。
チャレンジ登録をリセットした後、Oracle Adaptive Access Managerによりユーザーはチャレンジを登録するように求められます。
ユーザーが登録を完了しなかった場合は、次のログイン時に登録を求められます。
