| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2) B69533-02 |
|
 前 |
 次 |
Mobile and Socialには、モバイル・サービスを構成するためのGUIが用意されています。この章では、Oracle Access Managementコンソールを使用して、モバイル・サービスを構成する方法について説明します。この章の内容は、次のとおりです。
|
注意: モバイル・サービスは、WLSTを使用することでコマンドラインから構成することもできます。Mobile and SocialのWLSTコマンドの詳細は、『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』を参照してください。 |
モバイル・サービスのグラフィカル・ユーザー・インタフェース(GUI)は、管理者が正常に認証されてOracle Access Managementコンソールへのアクセスが得られると表示できるようになります。このコンソールは、次の部分に分割されています。
ホーム・エリアは、コンソールが最初に表示されたときに、GUIの右側に配置される広いウィンドウです。このページには、モバイル・サービスのほとんどの構成オブジェクトが一覧表示され、構成プロセスを論理的な順序で進められるように編成されています。ホーム・エリア内の構成オブジェクトは、パネルの左上隅にある矢印ボタンをクリックすることで展開または縮小できるパネルに表示されます。
ナビゲーション・ペインは、GUIの左部分に表示されます。このペインは、Mobile and Social構成オブジェクトを階層型ビューで表示します。ほとんどの場合、構成オブジェクトの作成、編集および削除には、ホーム・エリアまたはナビゲーション・ペインのいずれかを使用できます。(ただし、ジェイルブレーク検出ポリシー構成オブジェクトを開く場合は、ナビゲーション・ペインを使用する必要があります。)ナビゲーション・ペイン内のコントロールを使用すると、構成オブジェクトを作成、表示、編集および削除できます。
ナビゲーション・ペインを使用すると、構成オブジェクトを関係ビューまたはカテゴリ・ビューで表示できます。関係ビューには、構成オブジェクトが階層順に表示されます(サービス・ドメインが一番上)。関係ビューを使用すると、オブジェクトを次のような方法で表示できます。
サービス・プロファイルとアプリケーション・プロファイルとの関係、およびそれらが属するサービス・ドメインを表示します。
サービス・プロバイダとそれに接続されたサービス・プロファイルの関係を表示します。
セキュリティ・ハンドラ・プラグインを表示します。
ジェイルブレーク検出ポリシーを表示します。
カテゴリ・ビューには、構成オブジェクトを簡単に参照できるようにするフラット構造を使用して、構成オブジェクトがオブジェクト・タイプ別にリストされます。2つのビューを切り替えるには、ツリービュー・ペインの上部にあるメニュー・バーのボタンを使用します。
次の手順を実行すると、モバイル・サービスの構成ページにアクセスできます。
Oracle Access Managementコンソールにログインします。
コンソールの上部にある、「システム構成」タブをクリックします。
ページの左側にある「Mobile and Social」をクリックします。
「モバイル・サービス」をクリックします。
「Mobile and Socialへようこそ - モバイル・サービス」ページがホーム・エリアにロードされます。
「Mobile and Socialへようこそ - モバイル・サービス」の構成ページは、ホーム・エリアに表示されます。このページは複数のパネルに分割されていて、管理時には各パネルを表示または非表示にできます。これらのパネルでは、クライアント・アプリケーションとMobile and Socialサーバーの通信方法や、Mobile and Socialサーバーとバックエンドのアイデンティティ・サービス(クライアント・アプリケーションで使用)の通信方法を定義します。次の各項では、モバイル・サービスの各パネルについて詳細に説明します。
|
注意: Mobile and Socialには、一般的なデプロイメント・シナリオをサポートする、事前構成済オブジェクトが含まれています。これらのオブジェクトは、わずかな変更を加えるだけでMobile and Socialの準備と実行が可能になるように設計されています。各項には、インストール後に利用できる事前構成済オブジェクトの一覧が示されています。 |
サービス・プロバイダは、クライアント・アプリケーションで使用できるようにするバックエンド・サービスごとに定義します。サービス・プロバイダとしてバックエンド・サービスを構成することで、Mobile and Socialサーバーはそのプロバイダと通信する方法を認識します。バックエンド・サービスは、次のサービス・プロバイダ・タイプの1つとして構成できます。
認証サービス・プロバイダ: アイデンティティ・プロバイダとインタフェース接続し、バックエンド・サービスがユーザー、モバイル・デバイス、クライアント・アプリケーションおよびアクセス権を認証し、それに従って認証トークンを発行できるようにします。Mobile and Socialは、Access ManagerとJSON Web Token (JWT)を、それらに独自のサービス・プロバイダとサービス・プロファイルの構成オブジェクトでサポートします。さらに、モバイル・クライアントの認証と非モバイル・クライアントの認証は、個別に管理されるため、それぞれのトークン・タイプは個別のモバイルおよび非モバイルのサービス・プロバイダとサービス・プロファイルを持つようになります。次の事前構成済の認証サービス・プロバイダは、一般的なデプロイメントで使用できます。
OAMAuthentication: Oracle Access Manager認証トークン・サービス・プロバイダ(Access ManagerとMobile and Socialを両方インストールしている場合にのみ使用可能)
MobileOAMAuthentication: モバイルのOracle Access Manager認証トークン・サービス・プロバイダ(Access ManagerとMobile and Socialを両方インストールしている場合にのみ使用可能)
JWTAuthentication: JSON Web Token認証サービス・プロバイダ
MobileJWTAuthentication: モバイルのJSON Web Token認証サービス・プロバイダ
InternetIdentityAuthentication: インターネット・アイデンティティのJSON Web Tokenプロバイダ。これにより、モバイル・サービスを使用してMobile and Socialのインターネット・アイデンティティ・サービスからの認証結果を受け入れるアプリケーションの事前構成済サポートが提供されます(第37.5項「インターネット・アイデンティティ・サービスの理解」を参照)。
カスタム認証サービス・プロバイダの作成方法については、第38.3.1項「認証サービス・プロバイダの定義、変更または削除」を参照してください。
認可サービス・プロバイダ: 認可(アクセス)を決定するバックエンド・アイデンティティ・プロバイダとインタフェース接続します。事前構成済のOAMAuthorization認可サービス・プロバイダ(Access ManagerとMobile and Socialを両方インストールしている場合にのみ使用可能)は、一般的なデプロイメント用に提供されています。カスタム認可サービス・プロバイダの作成方法については、第38.3.2項「認可サービス・プロバイダの定義、変更または削除」を参照してください。
ユーザー・プロファイル・サービス・プロバイダ: ディレクトリ・サーバーとインタフェース接続して、ユーザー・プロファイル・レコードを参照および更新します。事前構成済のユーザー・プロファイル・サービス・プロバイダは、一般的なデプロイメント用に提供されています。カスタム・ユーザー・プロファイル・サービス・プロバイダの作成方法については、第38.3.3項「ユーザー・プロファイル・サービス・プロバイダの定義、変更または削除」を参照してください。
サービス・プロバイダを定義した後で、それに対する1つ以上のサービス・プロファイルを定義します。サービス・プロファイルは、Mobile and Socialサーバー上のサービス・プロバイダのサービス・エンドポイントURLを定義する論理エンベロープです。1つのサービス・プロバイダに複数のサービス・プロファイルを作成して、各種のトークン機能とサービス・エンドポイントを定義できます。各サービス・プロバイダ・インスタンスには、対応する少なくとも1つのサービス・プロファイルが必要です。Mobile and Socialには、事前構成済サービス・プロバイダ構成オブジェクトごとの事前構成済サービス・プロファイルが含まれています。詳細は、第38.2.1項「サービス・プロバイダの理解」を参照してください。
セキュリティ・ハンドラ・プラグインは、信頼およびリスク分析のための追加のロジックを参照することで、セキュリティを高めます。(そのような追加のロジックによって、リスクのある特定の操作が拒否されることがあります。)セキュリティ・ハンドラ・プラグインは、クライアント・アプリケーションの登録などの認証サービス操作中に、セキュリティ・ロジックを適用します。セキュリティ・ハンドラ・プラグインの使用はオプションです。このバージョンのソフトウェアで提供されるセキュリティ・ハンドラ・プラグインは、モバイル・アプリケーション用に最適化されています。使用する場合は、モバイル関連のサービス・ドメインとその認証サービスおよびクライアント・アプリケーションにのみ適用します。非モバイル・アプリケーションでは、セキュリティ・ハンドラ・プラグインを使用しないでください。
Mobile and Socialは、機密のセキュリティ操作時(認証時など)やトークン取得に関連する操作時に、セキュリティ・ハンドラ・プラグインを起動します。Mobile and Socialには、次の事前構成済セキュリティ・ハンドラ・プラグインが含まれています。
OAAMSecurityHandlerPluginにより、Oracle Adaptive Access Managerで使用可能な高度なデバイス登録と、リスクベースの強力な認証ロジックが有効になります。
Defaultセキュリティ・ハンドラ・プラグインは、より限定的なデバイス登録ロジックを提供します。
アプリケーション・プロファイルには、サービス・プロバイダが提供するサービスを利用するクライアント・アプリケーションの構成とセキュリティ・プロパティを記述します。アプリケーション・プロファイルは、モバイル・アプリケーションを使用する場合、またはセキュアなアプリケーション保護がないサービスで非モバイル・アプリケーションを使用する場合に必要です。定義される属性には、アプリケーション・プロファイルの名前、アプリケーションについての簡単な説明、名前と値の属性をペアにしたリスト、およびそのアプリーションのモバイル構成設定などがあります。(モバイル構成設定には、プロファイルをキャッシュできる最長期間(分単位)、認証の再試行の許容可能な回数、オフライン認証が許可されるかどうかなどのオプションがあります。)また、アプリケーションに必要なモバイル・デバイス属性(phonecarriername、phonenumber、osversionなど)を選択することもできます。1つのアプリケーション・プロファイルを複数のサービス・ドメインに割り当てることができます。
サービス・ドメインは、アプリケーション・プロファイルとセキュリティ・ハンドラ・プラグイン(オプション)を含むサービス・プロファイルを関連付けるために、論理的にサーバーをグループ化したものです。サービス・ドメインは、アプリケーションにMobile and Socialのサービスへのアクセスを許可する方法を指定します。通常、組織は、モバイル・アプリケーションの管理用に1つと、別に非モバイル・アプリケーションの管理用に1つのサービス・ドメインを持っています。サービス・ドメインを作成するときには、次を実行します。
サービス・ドメインで、モバイル・アプリケーションを管理するのか、デスクトップ・アプリケーションを管理するのかを決定します。
サービス・ドメインの認証スキームおよびセキュリティ・ハンドラ・プラグイン(オプション)を選択します。
1つ以上のモバイルSSOエージェントを追加して、エージェント間の優先順位を構成します。
1つ以上のアプリケーションをサービス・ドメインに追加して、どのアプリケーションにモバイルSSOエージェントの使用を許可するかを構成します。
サービス・ドメインに対して少なくとも1つのサービス・プロファイルを選択します。
セキュリティ設定を構成して、サービス・ドメインのサービスを保護します。
Mobile and Socialには、次の事前構成済サービス・ドメインが含まれています。
デフォルト(サービス・ドメイン)は、非モバイル・アプリケーション用に事前構成されています。
モバイル・サービス・ドメインは、モバイル・アプリケーション用に事前構成されています。
これらのサービス・ドメインは、独自のサービス・ドメインを作成するためにどちらかをテンプレートとして使用することも、組織のニーズに合せて変更することもできます。モバイル・サービス・ドメインに追加できるのは、モバイル認証サービス・プロファイルのみです。
サービス・プロバイダは、クライアント・アプリケーションで使用可能なバックエンド・サービスごとに定義します。これにより、Mobile and Socialサーバーが定義済のバックエンド・サービス・プロバイダとインタフェース接続する方法を構成します。提供しているサービスに応じて、使用可能なサービス・プロバイダ・オプションの1つまたは2つを構成するだけでよい場合があります。たとえば、認証サービスのみを提供する場合、「ユーザー・プロファイル・サービス・プロバイダ」や「認可サービス・プロバイダ」を定義する必要はありません。この項では、次の手順について説明します。
認証サービス・プロバイダを使用すると、Mobile and Socialはトークン交換によるバックエンド認証サービスを使用してユーザー、クライアント・アプリケーションおよびアクセス権を認証できます。認証と検証の成功時に、トークンがクライアント・アプリケーションに返される場合があります。サポートされる認証タイプは、次のとおりです。
Access Managerと一緒にインストールした場合、Mobile and SocialはJSON Web Token (JWT)とAccess Managerトークンをサポートします。
Access Managerと一緒にイントールしていない場合は、JSON Web Token (JWT)のみがサポートされます。
次の各項では、認証サービス・プロバイダについて説明します。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
ホーム・エリアの「サービス・プロバイダ」パネルで「作成」をクリックして、「認証サービス・プロバイダの作成」を選択します。
「認証サービス・プロバイダ」の「構成」ページが表示されます。
認証サービス・プロバイダのプロパティに値を入力します。
名前: この認証サービス・プロバイダに一意の名前を入力します。
説明: (オプション)簡単な説明を入力します。この説明は自分や他の管理者が、将来、このサービスを特定するために役立ちます。
サービス・プロバイダのJavaクラス: この認証サービス・プロバイダを実装するJavaクラスの名前を入力します。
認証サービス・プロバイダの属性と値を、表38-1(OAMAuthenticationおよびMobileOAMAuthenticationサービス・プロバイダ・タイプ)または表38-3(JWTAuthenticationおよびMobileJWTAuthenticationサービス・プロバイダ・タイプ)に基づいて追加または削除します。
|
注意: カスタム認証サービス・プロバイダを作成した場合は、「属性」パネルを使用してさらに構成を進めます。JWTAuthenticationおよびMobileJWTAuthenticationサービス・プロバイダの場合は、カスタム属性は使用されません。 |
表38-1と表38-2は、Access Managerと統合しているMobile and Sociaに固有のものです。表38-1の値は、OAMAuthenticationとMobileOAMAuthenticationの両方のサービス・プロバイダ・タイプに適用されます。表38-2の値は、Webゲート・エージェントを構成するものです。
表38-1 Access Manager認証サービス・プロバイダのデフォルト属性
| 名前 | 値 | 注意 |
|---|---|---|
|
|
|
使用しているOracle Access Managerのバージョンに応じて、 |
|
|
|
|
|
|
|
このAccessGateとアクセス・サーバーとの間のメッセージの暗号化方式を指定します。暗号化方式は一致している必要があります。有効な値は次のとおりです。
|
|
|
|
プライマリOracle Access Managementサーバーのホスト名およびポート番号を指定します。 |
|
|
|
このMobile and SocialインスタンスがOAM_SERVER_1と確立できる接続の最大数を指定します。デフォルト値は4です。 |
|
|
|
セカンダリOracle Access Managementサーバーのホスト名およびポート番号を指定します。 |
|
|
|
このMobile and SocialインスタンスがOAM_SERVER_2と確立できる接続の最大数を指定します。デフォルト値は4です。 |
|
|
|
この属性を追加して |
表38-3は、JWT認証サービス・プロバイダに接続するMobile and Socialに固有のものです。この項の構成値は、JWTAuthenticationおよびMobileJWTAuthenticationの両方のサービス・プロバイダ・タイプに適用されます。
表38-3 JWT認証サービス・プロバイダのデフォルト属性
| 名前 | 値 | 注意 |
|---|---|---|
|
|
ユーザーの検証に使用するディレクトリ・サービスをメニューから選択します。 |
JWTトークン・サービスは、ディレクトリ・サーバーを使用してユーザーを検証します。 |
|
|
|
JWTトークンのコンテンツへの署名に使用する暗号アルゴリズムです。デフォルト値は |
|
|
|
トークンが有効とみなされる秒単位の時間です。デフォルト値は |
|
|
|
サービス・プロバイダが外部発行者からのセキュリティ・トークンを受け入れる必要がある場合は、「有効」を選択します。 |
|
|
「リライイング・パーティ・トークン」が有効になっている場合は、セキュリティ・トークン・サービス発行者を指定します。 |
「作成」をクリックして、サービス・プロバイダ構成オブジェクトを作成します。
認証サービス・プロバイダを編集または削除するには、パネルでサービス・プロバイダを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。
Mobile and Socialでは、表38-4にリストされている認証サービスに事前構成済の認証サービス・プロバイダが提供されます。
トークン・タイプ(Access ManagerとJWT)ごとに、Mobile and Socialでは「すぐに使用できる」個別のモバイルおよび非モバイル(またはデスクトップ)サービス・プロバイダ構成が提供されます。個別の構成は、それぞれを各アクセス・モードのニーズに最も合わせて最適化できるようにするために提供されています。モバイル・デバイスは、モバイル・サービス・プロバイダを使用する必要がありますが、非モバイル・デバイスは、モバイル・サービス・プロバイダと非モバイル・サービス・プロバイダの両方を使用できます(適切な入力を提供している場合)。
モバイル・サービス・プロバイダは、クライアント登録ハンドルを使用して、モバイル・デバイスを登録します。これに対して、非モバイル・サービス・プロバイダは、クライアント・トークンを使用して、非モバイル・デバイスを認証します。Mobile and Socialのクライアント・トークン機能は無効にできますが、クライアント登録ハンドル機能は無効にできません。
表38-4 事前構成済の認証サービス・プロバイダ
| 認証サービス | Mobile and Socialサービス・プロバイダ名 | 説明 |
|---|---|---|
|
Access Manager |
OAMAuthentication |
デスクトップ・デバイスを使用しているユーザーが、Access Managerを使用して認証を受けるための事前構成済サポートを提供します。 このサービス・プロバイダは、クライアント・トークンを発行できますが、モバイル・デバイスの登録はできません。 次のJavaクラスがこのサービス・プロバイダを実装します: oracle.security.idaas.rest.provider.token.OAMSDKTokenServiceProvider |
|
Mobile Access Manager |
MobileOAMAuthentication |
モバイル・デバイスを使用しているユーザーが、Access Managerを使用して認証を受けるための事前構成済サポートを提供します。 このサービス・プロバイダは、ユーザーの認証時におけるクライアント登録ハンドルを使用した新しいデバイスの登録をサポートしています。 次のJavaクラスがこのサービス・プロバイダを実装します: oracle.security.idaas.rest.provider.token.MobileOAMTokenServiceProvider |
|
JSON Web Token |
JWTAuthentication |
非モバイル・アプリケーションを使用しているユーザーが、JSON Web Token形式を使用して認証を受けるための事前構成済サポートを提供します。JSON Web Tokenは、HTTP認可ヘッダーなど、領域に制約がある環境に適したコンパクトなトークン形式です。 このサービス・プロバイダは、クライアント・トークンを発行できますが、クライアント登録ハンドルを使用した新しいデバイスの登録はできません。 次のJavaクラスがこのサービス・プロバイダを実装します: oracle.security.idaas.rest.provider.token.JWTTokenServiceProvider |
|
Mobile JSON Web Token |
MobileJWTAuthentication |
モバイル・デバイスを使用しているユーザーが、Mobile JSON Web Token形式を使用して認証を受けるための事前構成済サポートを提供します。 このサービス・プロバイダは、クライアント登録ハンドルを使用した新しいデバイスの登録をサポートしています。 次のJavaクラスがこのサービス・プロバイダを実装します: oracle.security.idaas.rest.provider.token.MobileJWTTokenServiceProvider |
|
Internet Identity Services Web Token |
InternetIdentityAuthentication |
モバイル・サービスを使用するアプリケーションが、インターネット・アイデンティティ・サービス(たとえば、Google、Facebook、Twitterなど)から認証結果を受け入れるための事前構成済サポートを提供します。 このサービス・プロバイダは、クライアント登録ハンドルを使用した新しいデバイスの登録をサポートしています。ユーザーがアイデンティティ・プロバイダを使用して認証を受けた後、このサービス・プロバイダによって、要求側のクライアント・アプリケーションにユーザー・トークンが発行されます。このユーザー・トークンによって、ユーザーはそのデバイスのクライアント登録ハンドルを取得できます。 このサービスではJSON Web Tokenサービスと同じJavaクラスを使用しますが、それは追加された2つの名前と値の属性のペアで構成されます。 次のJavaクラスがこのサービス・プロバイダを実装します: oracle.security.idaas.rest.provider.token.JWTTokenServiceProvider |
認可サービス・プロバイダを使用すると、バックエンド・アイデンティティ・サービスは接続されているアプリケーションのかわりに認可を決定できます。この項では、認可サービス・プロバイダについて、次の内容を説明します。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
ホーム・エリアの「サービス・プロバイダ」パネルで「作成」をクリックして、「認可サービス・プロバイダの作成」を選択します。
「認可サービス・プロバイダ」の「構成」ページが表示されます。
認可サービス・プロバイダのプロパティに値を入力します。
名前: この認可サービス・プロバイダの一意の名前を入力します。
説明: (オプション)簡単な説明を入力します。この説明は自分や他の管理者が、将来、このサービスを特定するために役立ちます。
サービス・プロバイダのJavaクラス: この認可サービス・プロバイダを実装するJavaクラスの名前を入力します。
認可サービス・プロバイダの属性と値を、表38-5に基づいて追加または削除します。
表38-1 Access Manager認可サービス・プロバイダのデフォルト属性
| 名前 | 値 | 注意 |
|---|---|---|
|
|
|
使用しているOracle Access Managerのバージョンに応じて、 |
|
|
|
|
|
|
|
このAccessGateとアクセス・サーバーとの間のメッセージの暗号化方式を指定します。暗号化方式は一致している必要があります。有効な値は次のとおりです。
|
|
|
|
プライマリOracle Access Managementサーバーのホスト名およびポート番号を指定します。 |
|
|
|
このMobile and SocialインスタンスがOAM_SERVER_1と確立できる接続の最大数を指定します。デフォルト値は4です。 |
|
|
|
セカンダリOracle Access Managementサーバーのホスト名およびポート番号を指定します。 |
|
|
|
このMobile and SocialインスタンスがOAM_SERVER_2と確立できる接続の最大数を指定します。デフォルト値は4です。 |
Webゲート・エージェントを新規に作成するか、既存のものに値を入力して、Webゲート・エージェントを構成します(表38-6を参照)。Webゲート・エージェント構成値は、モバイル・サービスとAccess Managerの間の統合に固有のものです。
「作成」をクリックして、サービス・プロバイダ構成オブジェクトを作成します。
認可サービス・プロバイダを編集または削除するには、パネルでサービス・プロバイダを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。
Mobile and Socialには、OAMAuthorization認可サービスプロバイダという名前の、Access Manager用の事前構成済認可サービス・プロバイダが用意されています。Javaクラスのoracle.security.idaas.rest.provider.authorization.OAMSDKAuthZServiceProviderが、事前構成済の認可サービス・プロバイダを実装します。
ユーザー・プロファイル・サービス・プロバイダを使用すると、アプリケーションでディレクトリ・サーバーを問合せおよび更新できます。次に示すように、LDAP準拠の多数のディレクトリ・サーバーがサポートされています。
Microsoft Active Directory
Novell eDirectory
Oracle Directory Server Enterprise Edition
Oracle Internet Directory
Oracle Unified Directory
Oracle Virtual Directory (Oracle Internet Directoryテンプレートを使用)
OpenLDAP
IBM Tivoli Directory Server (OpenLDAPテンプレートを使用)
WebLogic Server Embedded LDAP
Mobile and Socialには、UserProfileという名前の事前構成済ユーザー・プロファイル・サービス・プロバイダも含まれています。次の各項では、詳細を説明します。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
ホーム・エリアの「サービス・プロバイダ」パネルで「作成」をクリックして、「ユーザー・プロファイル・サービス・プロバイダの作成」を選択します。
「ユーザー・プロファイル・サービス・プロバイダ」の「構成」ページが表示されます。
ユーザー・プロファイル・サービス・プロバイダのプロパティに値を入力します。
名前: このユーザー・プロファイル・サービス・プロバイダに一意の名前を入力します。
説明: (オプション)簡単な説明を入力します。この説明は自分や他の管理者が、将来、このサービスを特定するために役立ちます。
ユーザー・プロファイル・サービス・プロバイダの属性と値を、表38-7に基づいて追加または削除します。
|
注意: 通常、LDAP属性の名前には大文字と小文字の区別はありませんが、Oracle Identity Governance Framework (IGF)と通信する場合、LDAP属性の名前は大文字と小文字が区別されます。 |
表38-7 ユーザー・プロファイル・サービス・プロバイダのデフォルト属性の名前と値
| 名前 | 値 | 注意 |
|---|---|---|
|
|
false |
サポートされる値は、accessControl機能を有効化する場合の |
|
|
cn=Administrators,ou=groups,ou=myrealm,dc=base_domain |
accessControlを有効化している場合は、ユーザーが存在するかどうかを確認するためにadminGroupの識別名(DN)を指定します。 |
|
|
|
サポートされている値は、ユーザーがaccessControl機能について彼または彼女のプロファイルを編集できるかどうかに応じて |
|
|
- |
サポートされる値は、proxyAuth機能を有効化する場合の この属性は、Mobile and Socialの新規インストールには含まれていません。管理者はこのプロパティを追加できます。 |
ディレクトリ・サービスとユーザー・プロファイル・サービス・プロバイダを関連付けるために、「新規作成」または「既存のものを使用」を選択して、アイデンティティ・ディレクトリ・サービスのプロパティを構成します。
名前: ドロップダウン・メニューから既存のアイデンティティ・ディレクトリ・サービス接続を選択します。また、新しいアイデンティティ・ディレクトリ・サービス定義を作成する場合は値を入力します。
デフォルトのアイデンティティ・ディレクトリ・サービスのいずれか(userroleまたはidxuserrole)を選択すると、このセクションで構成値を表示したり編集できません。
管理者が作成したアイデンティティ・ディレクトリ・サービス接続を選択すると、追加のプロパティを(定義の作成後に)表示および編集できるようになります。詳細は、第38.3.3.2項「ユーザー・プロファイル・サービス・プロバイダの編集または削除」を参照してください。
説明: (オプション)簡単な説明を入力します。この説明は自分や他の管理者が、将来、このサービスを特定するために役立ちます。
「新規作成」または「既存のものを使用」を選択して、リポジトリのプロパティを構成します。
「新規作成」では、アイデンティティ・ディレクトリ・サービス接続の新しいリポジトリ・オブジェクト(つまり、LDAPディレクトリ・サーバーの参照)を定義します。「リポジトリ」セクションで値を定義した後に、「接続テスト」をクリックして、定義した値に間違いがないことを確認します。このオプションは、新しいアイデンティティ・ディレクトリ・サービス接続を定義している場合にのみ使用可能です。「既存のものを使用」を使用すると、以前に定義したリポジトリ・オブジェクトをドロップダウン・メニューから選択できるようになります。
(リポジトリの)「名前」: 新しい一意の名前を入力するか(作成する場合)、メニューから既存のものを選択します。新しい名前を入力した後には、アイデンティティ・ディレクトリ・サービス接続のプロパティを構成します。
ディレクトリ・タイプ: Microsoft Active DirectoryやOracle Internet Directoryなど、リポジトリをホストするディレクトリ・サーバー・ソフトウェアのタイプを選択します。ディレクトリがリストされない場合は、このフィールドを空白のままにします。新しいアイデンティティ・ディレクトリ・サービス接続を定義しているのでも、新しいリポジトリを作成しているのでもない場合は、このフィールドは読取り専用です。
ホスト情報: アイデンティティ・ディレクトリ・サービス・リポジトリが配置されているホスト・コンピュータに関する情報を格納します。ディレクトリ・サーバーがクラスタの一部である場合は、複数のホストを追加します。新しいホストを表に追加するには、「追加」をクリックします。「ホスト名」列に、IPアドレスまたはディレクトリ・サーバーが実行されているコンピュータ(または仮想コンピュータ)の名前を入力します。「ポート」列に、ディレクトリ・サーバーが使用するように構成されているポート番号を入力します。ホストがクラスタの一部である場合は、負荷分散列に、各ホストにダイレクトされる負荷の量をパーセントとして入力します。複数のホストの場合、量の合計が100%になる必要があります。ホストを削除するには、表でその行を選択し、「削除」をクリックします。新しいアイデンティティ・ディレクトリ・サービス接続を定義しているのでも、新しいリポジトリを作成しているのでもない場合は、このフィールドは読取り専用です。
可用性 - クラスタがフェイルオーバー操作用に構成されている場合はフェイルオーバーを選択し、クラスタが複数のホストに負荷を分散している場合はロード・バランスを選択します。既存のリポジトリを使用している場合、このフィールドは読取り専用です。
SSL - 接続がSSL用に構成されている場合は、「有効」を選択します。それ以外の場合は、オプション・ボックスをクリアにします。
バインドDN - ディレクトリ・サーバーから認証を受けるために使用するLDAP管理者の識別名(DN)を入力します。
バインド・パスワード - ディレクトリ・サーバーから認証を受けるために使用するバインドDNパスワードを入力します。
ベースDN - ユーザーおよびグループのデータが配置されているベース識別名(DN)を入力します。
ユーザーのプロパティを構成して、Mobile and Socialのユーザー・プロファイル・サービスのLDAPユーザー・オブジェクトを構成します。
|
注意: 既存のアイデンティティ・ディレクトリ・サービス接続を使用している場合、これらのフィールドは読取り専用です。 |
オブジェクト・クラス: ディレクトリ・サーバーで定義されている組織内の人々を表すカスタム・オブジェクト・クラスを追加するには、「追加」をクリックします。
名前属性: ディレクトリ・サーバー上のユーザー・オブジェクトに対して指定されている名前属性を入力します。
ベースDN: ディレクトリ・サーバー上のユーザー・オブジェクトのベースDNを(LDAP形式で)入力します。
グループのプロパティを構成して、Mobile and Socialのユーザー・プロファイル・サービスのLDAPグループ・オブジェクトを構成します。
オブジェクト・クラス - ディレクトリ・サーバーで定義されている組織内の人々のグループを表すカスタム・オブジェクト・クラスを追加するには、「追加」をクリックします。
名前属性: ディレクトリ・サーバー上のグループ・オブジェクトに対して指定されている名前属性を入力します。
ベースDN: ディレクトリ・サーバー上のグループ・オブジェクトのベースDNを(LDAP形式で)入力します。
「作成」をクリックして、サービス・プロバイダ構成オブジェクトを作成します。
ユーザー・プロファイル・サービス・プロバイダを編集または削除するには、パネルでサービス・プロバイダを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。この項では、ユーザー・プロファイル・サービス・プロバイダの追加の構成プロパティについて説明します。これらのプロパティは、アイデンティティ・ディレクトリ・サービス用のもので、管理者が作成したユーザー・プロファイル・サービス・プロバイダを編集するときに表示されます。
名前 - ドロップダウン・メニューから、ユーザー・プロファイル・サービス・プロバイダと関連付けるアイデンティティ・ディレクトリ・サービス接続を選択します。
デフォルトのアイデンティティ・ディレクトリ・サービスのいずれか(userroleまたはidxuserroleのいずれか)を選択すると、構成値の表示や編集はできなくなります。
管理者が作成したアイデンティティ・ディレクトリ・サービス接続を選択すると、構成値を必要に応じて表示および編集できるようになります。
一般およびリポジトリ - このタブのフィールドを使用して、Mobile and Socialがディレクトリ・サービスに接続するために使用するディレクトリ・サービスおよびリポジトリ構成値を編集します。
リポジトリ名 - このメニューから、アイデンティティ・ディレクトリ・サービス接続と関連付けるリポジトリを選択します。リポジトリを選択したら、次のフォームのフィールドを使用してそのプロパティを構成します。
ディレクトリ・タイプ - Microsoft Active Directory、Oracle Internet Directoryなど、リポジトリをホストするディレクトリ・サーバー・ソフトウェアのタイプを表示します。このフィールドは読取り専用です。
ホスト情報 - アイデンティティ・ディレクトリ・サービス・リポジトリが配置されているホスト・コンピュータに関する情報を表示します。ディレクトリ・サーバーがクラスタの一部である場合は、複数のホストを追加します。新しいホストを表に追加するには、「追加」をクリックします。ホスト名列に、IPアドレスまたはディレクトリ・サーバーが実行されているコンピュータ(または仮想コンピュータ)の名前を入力します。ポート列に、ディレクトリ・サーバーが使用するように構成されているポート番号を入力します。ホストがクラスタの一部である場合は、負荷分散列に、各ホストにダイレクトされる負荷の量をパーセントとして入力します。複数のホストの場合、量の合計が100%になる必要があります。ホストを削除するには、表でその行を選択し、「削除」をクリックします。新しいアイデンティティ・ディレクトリ・サービス接続を定義しているのでも、新しいリポジトリを作成しているのでもない場合は、このフィールドは読取り専用です。
可用性 - クラスタがフェイルオーバー操作用に構成されている場合はフェイルオーバーを選択し、クラスタが複数のホストに負荷を分散している場合はロード・バランスを選択します。既存のリポジトリを使用している場合、このフィールドは読取り専用です。
SSL - 接続がSSL用に構成されている場合は、「有効」を選択します。それ以外の場合は、オプション・ボックスをクリアにします。
バインドDN - ディレクトリ・サーバーから認証を受けるために使用するLDAP管理者の識別名(DN)を入力します。
バインド・パスワード - ディレクトリ・サーバーから認証を受けるために使用するバインドDNパスワードを入力します。
ベースDN - ユーザーおよびグループのデータが配置されているベース識別名(DN)を入力します。
エンティティ属性 - このタブのフィールドを使用して、企業ディレクトリ・サービスのスキーマをナビゲートするためにMobile and Socialで使用される属性を表示または編集します。「追加」をクリックして表に属性を追加するか、「削除」をクリックして属性を削除します。
名前 - 属性名。
物理属性 - 基盤となるリポジトリの対応する物理属性タイプの名前。
タイプ - 属性のデータ・タイプ。
説明 - 属性の簡単な説明。
機密 - 属性にパスワードなどの機密情報が含まれていることを示す場合に選択します。
読取り専用 - 変更されないように属性を保護する場合に選択します。
エンティティ/ユーザー・プロパティ - 「ユーザー」副項目のフィールドを使用して、Mobile and SocialがLDAPサーバー上のユーザー・エンティティと相互作用する方法を構成します。
ベースの作成 - ユーザーを定義するベースDN (LDAPディレクトリ・ツリーの最上位レベル)を指定します。
検索ベース - ユーザーの検索ベースDNを指定します。検索操作が処理されるときは、検索ベースDNにあるかそれより下のエントリのみが対象になります。
オブジェクト・クラスの作成 - 個人に関連付けられている属性が格納されているオブジェクト・クラスを指定します。
RDN属性 - 相対識別名属性を指定します。たとえば、cnです。
ID属性 - ユーザーを一意に識別する属性を指定します。uid属性やloginid属性などです。
フィルタ・オブジェクト・クラス - フィルタ条件にするオブジェクト・クラスを指定します。
属性コンフィギュレーション - ユーザー・プロファイル・サービス・プロバイダによる使用と検索を可能にするユーザーの属性を指定します。
使用中 - 属性が、ディレクトリ・サービスでユーザーに対して使用されている場合に指定します。
属性名 - 「エンティティ属性」タブで定義した属性の名前を指定します。
結果内 - 指定した属性を、検索結果で返す必要がある場合に選択します。
検索可能 - 指定した属性を検索操作に対して使用可能にする場合に選択します。
検索演算子 - 指定した属性の検索方法を制限するには、このメニューから検索演算子を選択します。
操作構成 - ユーザー・エンティティ・レベルで有効にする操作を「作成」、「更新」、「削除」、および「検索」から選択します。これらを無効にするには、オプション・ボックスの選択を解除します。
エンティティ/グループのプロパティ - 「グループ」副項目のフィールドを使用して、Mobile and SocialがLDAPサーバー上のグループ・エンティティと相互作用する方法を構成します。
ベースの作成 - ユーザーを定義するベースDN (LDAPディレクトリ・ツリーの最上位レベル)を指定します。
検索ベース - グループの検索ベースDNを指定します。検索操作が処理されるときは、検索ベースDNにあるかそれより下のエントリのみが対象になります。
オブジェクト・クラスの作成 - グループに関連付けられている属性が格納されているオブジェクト・クラスを指定します。
RDN属性 - 相対識別名属性を指定します。たとえば、cnです。
ID属性 - グループを一意に識別するLDAP属性を指定します。
フィルタ・オブジェクト・クラス - フィルタ条件にするオブジェクト・クラスを指定します。
属性コンフィギュレーション - ユーザー・プロファイル・サービス・プロバイダによる使用と検索を可能にするグループ属性を指定します。
使用中 - 属性が、ディレクトリ・サービスでユーザーに対して使用されている場合に指定します。
属性名 - 「エンティティ属性」タブで定義した属性の名前を指定します。
結果内 - 指定した属性を、検索結果で返す必要がある場合に選択します。
検索可能 - 指定した属性を検索操作に対して使用可能にする場合に選択します。
検索演算子 - 指定した属性の検索方法を制限するには、このメニューから検索演算子を選択します。
操作構成 - グループ・エンティティ・レベルで有効にする操作を「作成」、「更新」、「削除」、および「検索」から選択します。これらを無効にするには、オプション・ボックスの選択を解除します。
関係 - このタブのフィールドを使用して、このアイデンティティ・ディレクトリ・サービスの属性間の関係を構成します。
名前 - 関係の名前。
エンティティ(から) - 「ユーザー」を選択してユーザー属性から選択するか、「グループ」を選択して、属性(から)列のグループ属性から選択します。
属性(から) - マッピング元にする属性を選択します。
リレーション - 開始列で指定した属性と終了列で指定した属性間の関係を説明するメニューオプションを選択します。
エンティティ(に) - 「ユーザー」を選択してユーザー属性から選択するか、「グループ」を選択して、属性(に)列のグループ属性から選択します。
属性(に) - マッピング先にする属性を選択します。
再帰的 - 関係をディレクトリ・ツリーの下方向に拡張してネストされた子エンティティを含めるか、ディレクトリ・ツリーを上方向に拡張して親エンティティを含める場合に選択します。
関係構成 - アイデンティティ・ディレクトリ・サービスの対応する列にアクセスするために使用するURIセグメントを入力します。新しい関係を追加するには「追加」を、構成済の関係を削除するには「削除」を使用します。
アクセスURI - アイデンティティ・ディレクトリ・サービスの対応するデータ列にアクセスするために使用するURIセグメントを入力します。たとえば、memberOfがアクセスURIである場合は、
http://host:port/.../idX/memberOf
が、ID idXを持つエンティティの関連エンティティにアクセスするためのURIです。
アイデンティティ・ディレクトリ・サービスの関係 - 「アクセスURI」セグメントによってアクセスされるディレクトリ・サービス関係を選択します。アイデンティティ・ディレクトリ・サービスが、事前構成済UserProfileアイデンティティ・プロバイダではない場合、「アイデンティティ・ディレクトリ・サービス」構成セクションの「関係」タブで関係を構成できます。(UserProfileサービス・プロバイダに対してはアイデンティティ・ディレクトリ・サービス関係を構成できません。)
エンティティURI属性 - Mobile and Socialサーバーから送信されるURIレスポンスで使用されるJSON属性名を入力します。たとえば、指定されているエンティティURI属性がperson-uriである場合、URIレスポンスは次のようになります。
{ {"person-uri":uriY1, ...}, {"person-uri":uriY2, ...}, ... }
ここで、uriY1およびuriY2は、関連エンティティのそれぞれにアクセスするための直接URIです。
再帰型をリクエストするスコープ - 関係検索で、ネストされたレベルの属性を取得するには、スコープ属性値をスコープ問合せパラメータとともに使用します。再帰的に関連エンティティにアクセスするには、使用する値を入力します。Mobile and Socialのデフォルト構成では、toTopとallの2つのスコープ属性値が使用されます。「再帰型をリクエストするスコープ」の値が属性値allである場合、次のREST URIの例が使用されてリクエストが実行されます。
http://host:port/.../idX/reports?scope=all
この例では、URIによって、ID idXを持つエンティティに関連するエンティティが、それに続いて関連しているエンティティすべてとともに返されます。
Mobile and Socialには、UserProfileという名前の、LDAP準拠のディレクトリ・サーバー用の事前構成済ユーザー・プロファイル・サービス・プロバイダが用意されています。このサービス・プロバイダを使用すると、Mobile and Socialを使用するディレクトリ・オブジェクトに対して、参照タスクと更新タスクを実行できるようになります。
サービス・プロファイルでは、Mobile and Socialサーバー上のサービス・プロバイダに対するサービス・エンドポイントURLを定義します。各サービス・プロバイダ・インスタンスには、対応する少なくとも1つのサービス・プロファイル・インスタンスが必要です。1つのサービス・プロバイダに複数のサービス・プロファイルを作成できます。それぞれのサービス・プロファイルでは、そのサービス・プロバイダに対する各種のトークン機能とサービス・エンドポイントを定義します。
|
注意: 1つのサービス・プロファイルを複数のサービス・ドメインに割り当てることができます。一般的に、モバイル・サービス・プロファイルはモバイル・サービス・ドメインに割り当て、非モバイル・サービス・プロファイルは非モバイル・サービス・ドメインに割り当てる必要があります。詳細は、第38.7項「サービス・ドメインの定義」を参照してください。 |
必要なサービス・プロバイダの作成後に、1つ以上のサービス・プロファイルを作成します。この項の項目は次のとおりです。
次の各項では、認証サービス・プロファイルについて説明します。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
ホーム・エリアの「サービス・プロファイル」パネルで「作成」をクリックして、認証サービス・プロファイルの作成を選択します。
認証サービス・プロファイルの「構成」ページが表示されます。
認証サービス・プロファイルの一般プロパティに値を入力します。
表38-8 認証サービス・プロファイルのデフォルトの一般プロパティ
| 名前 | 注意 |
|---|---|
|
名前 |
この認証サービス・プロファイルに一意の名前を入力します。 |
|
説明 |
(オプション)自分または別の管理者が将来このサービスを識別する際に役立つ簡単な説明を入力します。 |
|
サービス・タイプ |
作成しているサービス・プロファイルのタイプ(「ユーザー・プロファイル・サービス」、「認証サービス」および「認可サービス」のいずれか)が表示されます。 |
|
サービス・エンドポイント |
ボックスに文字列(たとえば、
|
|
サービス・プロバイダ |
このサービス・プロファイルのベースにするサービス・プロバイダを選択します。このリストの内容は、サービス・タイプによって決まります。対応するサービス・プロファイルを作成する前に、サービス・プロバイダを定義する必要があります。 |
|
サービス有効 |
このボックスを選択すると、サービスが有効化されます。無効化するには、このボックスの選択を解除します。 |
「トークン・サポートおよびURIカテゴリ情報」のオプションを選択して、そのサービスでトークン・タイプのサポートを有効にします。または、このオプション・ボックスを選択解除して、そのサービスでトークン・タイプのサポートを無効にします。
「トークン・サポート」は、認証サービス・プロファイルにのみ適用されます。各トークン・タイプとともに、対応するUniform Resource Identifier (URI)もリストされます。
表38-9 トークン・サポートおよびURIカテゴリ情報のデフォルトのプロパティ
| 名前 | 注意 |
|---|---|
|
クライアント登録ハンドル |
モバイル・トークン・サービスの場合は、Mobile and Socialサーバーにクライアント・デバイスを登録できるようにするために必須です。ユーザーの認証後、サーバーによってクライアント登録ハンドルが発行されます。OAAMとOAAMのセキュリティ・ハンドラ・プラグインがモバイル認証サービスで併用されている場合は、そのプラグインで不正検出とリスク分析ポリシー・チェックが実行できるようになるため、確実性とクライアントの信頼度が向上します。認証サービス・プロファイルをモバイル・サービス・ドメインに追加するには、クライアント登録ハンドルが有効化されている必要があります。クライアント登録ハンドルは、非モバイル・サービス・ドメインでは使用されません。 |
|
クライアント・トークン |
サービスでクライアント・トークンを有効化する場合に選択します。クライアント・トークンは、非モバイル・デバイスまたはクライアントが認証済であることを証明するためにMobile and Socialサーバーによって発行されるセキュリティ権限付与です。サーバーは、名前とパスワードまたはその他の資格証明に基づいてクライアントを認証した後、クライアント・トークンを発行します。クライアント・トークンは、非モバイル・サービス・ドメインではオプションです。モバイル・サービス・ドメインでは使用されません。 |
|
ユーザー・トークン |
サービスでユーザー・トークンを有効化する場合に選択します。ユーザー・トークンは、ユーザーが認証済であることを証明するためにMobile and Socialサーバーによって発行されるセキュリティ権限付与です。ユーザー・トークンは、アクセス・トークンを要求するために使用できます。 |
|
アクセス・トークン |
サービスでアクセス・トークンを有効化する場合に選択します。アクセス・トークンは、特定の保護されているリソースにクライアント・アプリケーションがアクセスできるようにMobile and Socialサーバーによって発行されるセキュリティ権限付与です。ユーザーがリソースへのアクセスを認可されている場合、クライアント・アプリケーションは、ユーザー・トークンを提示することでアクセス・トークンを入手できます。 |
「作成」をクリックして、サービス・プロファイル構成オブジェクトを作成します。
認証サービス・プロファイルを編集または削除するには、パネルでサービス・プロファイルを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。
次の各項では、認証サービス・プロファイルについて説明します。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
ホーム・エリアの「サービス・プロファイル」パネルで「作成」をクリックして、認可サービス・プロファイルの作成を選択します。
認可サービス・プロファイルの「構成」ページが表示されます。
認可サービス・プロファイルの一般プロパティに値を入力します。
表38-10 認可サービス・プロファイルのデフォルトの一般プロパティ
| 名前 | 注意 |
|---|---|
|
名前 |
この認可サービス・プロファイルに一意の名前を入力します。 |
|
説明 |
(オプション)自分または別の管理者が将来このサービスを識別する際に役立つ簡単な説明を入力します。 |
|
サービス・タイプ |
作成しているサービス・プロファイルのタイプ(「ユーザー・プロファイル・サービス」、「認証サービス」および「認可サービス」のいずれか)が表示されます。 |
|
サービス・エンドポイント |
ボックスに文字列(たとえば、
|
|
サービス・プロバイダ |
このサービス・プロファイルのベースにするサービス・プロバイダを選択します。このリストの内容は、サービス・タイプによって決まります。対応するサービス・プロファイルを作成する前に、サービス・プロバイダを定義する必要があります。 |
|
サービス有効 |
このボックスを選択すると、サービスが有効化されます。無効化するには、このボックスの選択を解除します。 |
「作成」をクリックして、サービス・プロファイル構成オブジェクトを作成します。
認可サービス・プロファイルを編集または削除するには、パネルでサービス・プロファイルを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。
次の各項では、認証サービス・プロファイルについて説明します。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
ホーム・エリアの「サービス・プロファイル」パネルで「作成」をクリックして、ユーザー・プロファイル・サービス・プロファイルの作成を選択します。
ユーザー・プロファイル・サービス・プロファイルの「構成」ページが表示されます。
ユーザー・プロファイル・サービス・プロファイルの一般プロパティに値を入力します。
表38-11 ユーザー・プロファイル・サービス・プロファイルのデフォルトの一般プロパティ
| 名前 | 注意 |
|---|---|
|
名前 |
この認可サービス・プロファイルに一意の名前を入力します。 |
|
説明 |
(オプション)自分または別の管理者が将来このサービスを識別する際に役立つ簡単な説明を入力します。 |
|
サービス・タイプ |
作成しているサービス・プロファイルのタイプ(「ユーザー・プロファイル・サービス」、「認証サービス」および「認可サービス」のいずれか)が表示されます。 |
|
サービス・エンドポイント |
ボックスに文字列(たとえば、
|
|
サービス・プロバイダ |
このサービス・プロファイルのベースにするサービス・プロバイダを選択します。このリストの内容は、サービス・タイプによって決まります。対応するサービス・プロファイルを作成する前に、サービス・プロバイダを定義する必要があります。 |
|
サービス有効 |
このボックスを選択すると、サービスが有効化されます。無効化するには、このボックスの選択を解除します。 |
「作成」をクリックして、サービス・プロファイル構成オブジェクトを作成します。
ユーザー・プロファイル・サービス・プロファイルを編集または削除するには、パネルでサービス・プロファイルを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。
セキュリティ・ハンドラ・プラグインは、信頼およびリスク分析のための追加のロジックを参照することで、セキュリティを高めます。このような追加のロジックにより、リスクのある特定の操作に基づいてアクセスを拒否できるようになります。モバイル認証によって、機密セキュリティ操作中(たとえば、クライアント・アプリケーション登録など実質的にすべてのトークン取得操作中)にセキュリティ・ハンドラ・プラグインが起動されます。
|
注意: セキュリティ・プラグインの使用はオプションです。使用する場合は、モバイル関連のサービス・ドメインとその認証サービスおよびクライアント・アプリケーションにのみ適用されます。 |
Mobile and Socialには、次の事前構成済セキュリティ・ハンドラ・プラグインが含まれています。
OAAMSecurityHandlerPluginは、高機能なデバイスおよびクライアント・アプリケーション登録ロジック有効化するとともに、OAAMの高度なリスクおよび不正分析ロジックを有効化します。
Defaultは、ごくわずかなリスク分析ロジックを提供します。
次の各項では、セキュリティ・ハンドラ・プラグインの定義方法について説明します。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
ホーム・エリアの「セキュリティ・ハンドラ・プラグイン」パネルで、「作成」をクリックします。
「セキュリティ・ハンドラ・プラグイン」の「構成」ページが表示されます。
セキュリティ・ハンドラ・プラグインの一般プロパティに値を入力します。
セキュリティ・ハンドラ・プラグインの属性に名前と値のペアを入力します。
OaamSecurityHandlerPlugin属性の説明は、第38.9.2.6.3項「OTP電子メール統合のセットアップ」を参照してください。
DefaultSecurityHandlerPluginには、allowJailBrokenDevicesという1つの属性設定があります。これは、ジェイルブレークされたクライアント・デバイスが、保護されているリソースへのアクセスを許可されるか拒否されるかを指定します。アクセスを拒否する(デフォルト設定)場合は、この属性の値をfalseに設定します。アクセスを許可する場合は、この値をtrueに設定します。ジェイルブレークの強制のために、OAAMSecurityHandlerPluginを構成する必要はありません。詳細は、第38.8.1項「新しいジェイルブレーク検出ポリシーの追加」を参照してください。
「作成」をクリックして、セキュリティ・ハンドラ・プラグイン構成オブジェクトを作成します。
セキュリティ・ハンドラ・プラグインを編集または削除するには、パネルでプロバイダを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。
モバイル・アプリケーションが起動されたときに、そのアプリケーション内のモバイル・クライアントSDKロジックによって、いくつかのデバイス・プロファイル属性の検出が試みられます。いくつかのデバイス・プロファイル属性は、OSタイプ、OSバージョン、言語ロケール設定、ネットワーク設定、地理的な位置などデバイスを一意に識別できない一般的な属性です。一部の属性は、デバイスを一意に識別できるハードウェア識別子になります。ハードウェア識別子の例としてはモバイル・デバイスのMACアドレスがあります。モバイルOSタイプおよびバージョンは、検出可能なある種のデバイス・プロファイル属性を示します。
モバイル・アプリケーションが、モバイル・クライアントSDKを介してトークンを要求すると、SDKロジックによってHTTPリクエストの一部としてデバイス・プロファイル属性が送信されます。このセットのデバイス・プロファイル属性によって、デバイスに対してデバイス識別を支援する監査証跡が作成され、セキュリティが高まります。
OAAMセキュリティ・プラグインを使用する場合、デバイス・プロファイル属性値の特定の組合せは、デバイス・フィンガープリント(OAAM管理コンソールではデジタル・フィンガープリントと呼ぶ)として処理されます。各フィンガープリントには、一意のフィンガープリント番号が割り当てられています。各OAAMセッションはフィンガープリントと関連付けられており、そのフィンガープリントによって、認証およびトークンの取得を実行しているデバイスのログ(および監査)が可能になります。
アプリケーション・プロファイルによって、サービス・プロバイダが提供するサービスを消費するクライアント・アプリケーションが定義されます。1つのアプリケーション・プロファイルを複数のサービス・ドメインに割り当てることができます。詳細は、次の項を参照してください。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
ホーム・エリアの「アプリケーション・プロファイル」パネルで、「作成」をクリックします。
「アプリケーション・プロファイル」の「構成」ページが表示されます。
アプリケーション・プロファイルの一般プロパティに値を入力します。
Mobile and Socialサーバーが、このアプリケーションに対してサーバー機能(たとえば、クライアント登録ハンドルの作成)を実行するために使用する属性に、名前と値のペアを入力します。
Mobile.clientRegHandle.baseSecretは、このアプリケーションに対して各クライアント登録ハンドルに署名するためのプライベートな秘密としてサーバーによって使用される必須属性です。
userId4BasicAuthは、サーバーとアプリケーションがHTTP Basic認証を実行するために使用するユーザーID属性です。詳細は、第37.4.1項「モバイル・クライアント登録エンドポイントの保護」を参照してください。
sharedSecret4BasicAuthは、サーバーとアプリケーションがHTTP Basic認証を実行するために使用する共有シークレット属性です。
モバイル・アプリケーション・プロファイルのプロパティを定義します。
ジェイルブレーク検出 - 「有効」ボックスを選択してこのアプリケーションに対してジェイルブレーク検出をアクティブにするか、そのボックスの選択を解除してそれを無効化にします。ジェイルブレーク検出がグレー表示されている場合、ジェイルブレーク検出ポリシーはMobile and Socialで無効化されています。詳細は、第38.8項「ジェイルブレーク検出ポリシーの使用」を参照してください。
モバイル構成 - 「アプリケーション・プロファイル構成」ページで追加のモバイル構成設定を公開する場合は、このオプションを選択します。
「作成」をクリックして、アプリケーション・プロファイル構成オブジェクトを作成します。
アプリケーション・プロファイルの作成後にのみ構成できる属性については、第38.6.2項「アプリケーション・プロファイルの編集または削除」を参照してください。
アプリケーション・プロファイルを編集または削除するには、パネルで定義を選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。この項では、アプリケーション・プロファイルの追加のプロパティについて説明します。これらのプロパティは、以前に管理者が作成したユーザー・プロファイル・サービス・プロバイダを編集するときに表示されます。
構成設定
プロファイル・キャッシュ継続時間 - モバイル・デバイス上にキャッシュされたアプリケーション・プロファイルの詳細が有効になっている最長時間。モバイル・クライアント・アプリケーションがアプリケーション・プロファイルを要求したときにその時間を過ぎていた場合、キャッシュされていたプロファイルは、新たにダウンロードされたバージョンで置き換えられます。その時間を過ぎていない場合は、キャッシュされているプロファイルが使用されます。
認証再試行回数 - 登録または認証中に無効な資格証明が提供された場合に、ユーザーに許可される再試行の最大回数。この設定は、iOSモバイルSDKでは使用されません。
オフライン認証 - アプリケーションにローカルにログインして認証を受けることをユーザーに許可するには、「許可」ボックスを選択します。ローカルに認証を受けることをユーザーに禁止するにはこのボックスの選択を解除します。
要求属性 - 登録または認証中にデバイスからフェッチされ、サーバーに渡される属性のセット。
インターネット・アイデンティティ・サービスWebビュー - 埋込みWebViewクラスを使用してアプリケーション内でMobile and Socialログイン・ページをユーザーに表示する場合は「埋込み」を選択し、ログイン・ページを外部ブラウザに表示する場合は、「外部」を選択します。
プラットフォーム固有の設定
URLスキーム - アプリケーション自体で構成されているとおりに、このモバイル・クライアント・アプリケーションを起動するために使用されるURLスキームを入力します。
Apple iOSバンドルID - モバイル・クライアント・アプリケーションで構成されている一意のバンドルIDを入力します。各iOSモバイル・アプリケーションには、一意のバンドルIDがあります。
Androidパッケージ
Androidアプリケーションの署名
カスタム設定/モバイル・カスタム属性 - モバイル・クライアント・アプリケーションに固有の属性またはプロパティを構成します。モバイル・カスタム属性は、アプリケーション・プロファイルの一部としてサーバーからモバイル・アプリケーションに返されます。
サービス・ドメインを作成すると、サービス・プロファイルを、アプリケーション・プロファイルとそれに対応する構成設定に関連付けできます。「サービス・ドメインの作成」ページを表示して、次の操作を実行します。
サービス・ドメインがモバイル・アプリケーションまたはデスクトップ・アプリケーションを管理する場合に選択します。
サービス・ドメインの認証スキームおよびセキュリティ・ハンドラ・プラグイン(オプション)を選択します。
サービス・ドメインに1つ以上のモバイルSSOエージェントを追加し、他のエージェントより優先されるエージェントを構成します。
1つ以上のアプリケーションをサービス・ドメインに追加して、どのアプリケーションにモバイルSSOエージェントの使用を許可するかを構成します。
サービス・ドメインに対して少なくとも1つのサービス・プロファイルを選択します。
サービス・ドメインの選択したサービスを保護するセキュリティ設定を構成します。
詳細は、次の項を参照してください。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
ホーム・エリアの「サービス・ドメイン」パネルで、「作成」をクリックします。
「サービス・ドメインの作成」の「構成」ページが表示されます。
サービス・ドメインの一般プロパティに値を入力します。
表38-14 サービス・ドメインの一般プロパティ
| 名前 | 注意 |
|---|---|
|
名前 |
このサービス・ドメインの一意の名前を入力します。 |
|
説明 |
(オプション)自分または別の管理者が将来このサービスを識別する際に役立つ簡単な説明を入力します。 |
|
タイプ |
「モバイル・アプリケーション」または「デスクトップ・アプリケーション」を選択します。モバイル・アプリケーションは、Apple社のiOSモバイル・オペレーティング・システムなどモバイル・オペレーティング・システム上で実行されるアプリケーションです。デスクトップ・アプリケーションは、非モバイル・オペレーティング・システム上で実行されるアプリケーションです。 |
|
アプリケーション登録用資格証明 |
モバイル・サービス・ドメインを構成している場合は、アプリケーションの登録に最小限必要な資格証明レベルを選択します。「ユーザー・パスワード」を選択すると、そのデバイスにモバイル・シングル・サインオン・エージェントがインストールされている場合でもアプリケーションが登録されるたびにユーザーにユーザー名とパスワードの入力が要求されるようになります。「ユーザー・トークン」を選択すると、サーバーからモバイルSSOエージェントにユーザー名とパスワードを提供するように要求されます。そのデバイスでの後続のアプリケーション登録では、その目的でモバイルSSOエージェントに発行されたユーザー・トークンが使用されるようになります。ユーザー・パスワードによって、アプリケーション登録プロセスを保護する追加のセキュリティが提供されます。ユーザー・トークンによって、アプリケーション登録プロセスがユーザーにとって便利になります。 |
|
認証スキーム |
モバイル・サービス・ドメインを構成している場合は、「モバイル・サービス認証」または「インターネット・アイデンティティ認証」を選択します。「モバイル・サービス認証」を選択すると、ユーザーはユーザー名とパスワードをの入力をクライアントから要求されるようになります。「インターネット・アイデンティティ認証」を選択した場合、クライアントはMobile and Socialサーバーにリダイレクトされ、ユーザーはインターネット・アイデンティティ・サービスを使用して、たとえばGoogleやFacebookなどのアイデンティティ・プロバイダで認証を受けます。この選択により、「サービス・プロファイル選択」構成画面でどの認証サービス・プロファイルを選択できるかが決まります。 |
|
セキュリティ・ハンドラ・プラグイン名 |
セキュリティ・ハンドラ・プラグイン名 - モバイル・サービス・ドメインを構成している場合、使用するセキュリティ・ハンドラ・プラグインを選択します。使用可能なセキュリティ・ハンドラ・プラグインの詳細は、第38.2.3項「セキュリティ・ハンドラ・プラグインの理解」を参照してください。 |
次のオプションのいずれかまたはすべてを使用して、アプリケーション・プロファイルを追加または選択します。
モバイル・ドメインを構成している場合は、選択できるのはモバイル・アプリケーションのみです。同様に、非モバイル・ドメインを構成している場合、選択できるのはデスクトップ・アプリケーションのみです。
「アプリケーション・プロファイル」セクションの「アプリケーション・プロファイルの参照」をクリックすると、「検索」ウィンドウが開きます。このウィンドウでは、サービス・ドメインに追加する1つ以上の事前構成済アプリケーション・プロファイルを検索できます。追加するプロファイルを選択し、「選択」をクリックします。
あるいは、アプリケーション・プロファイルの正確な名前がわかっている場合は、「追加」をクリックして、その名前を表に直接入力します。
表38-15 アプリケーション・プロファイル選択のプロパティ
| 名前 | 注意 |
|---|---|
|
アプリケーション・プロファイル名 |
Mobile and Socialに対するクライアント・アプリケーションを一意に識別する名前です。 |
|
モバイル・シングル・サインオン(SSO)構成 |
モバイル・サービス・ドメインを構成している場合は、各アプリケーションがモバイル・シングル・サインオンにSSOエージェントとして参加するのか、SSOクライアントとして参加するのか、それとも参加しない(「なし」)のかを選択します。
|
|
エージェント優先度 |
モバイルSSOエージェントとして構成されているアプリケーションの数値ランキングを表示します。デバイスに複数のエージェント・アプリケーションがインストールされている場合、高い優先度(最も小さい数値ランク)を持つエージェント・アプリケーションが、他のすべてのエージェント・アプリケーションのエージェント・アプリケーションとして機能します。デバイスからそのエージェントが削除されると、次に高いランキングを持つエージェントがアクティブ・エージェントになります。優先度を基準にしてエージェントを並べ替えるには、「上に移動」および「下に移動」をクリックします。 |
|
説明 |
(オプション)自分または別の管理者が将来このサービスを識別する際に役立つ簡単な説明を入力します。 |
「次へ」をクリックして、サービス・プロファイルを選択します。
「サービス・プロファイル」ページが表示されます。
次のオプションのどちらかまたは両方を使用して、少なくとも1つのサービス・プロファイルをサービス・ドメインに追加します。
モバイル・サービス・ドメインの場合、認証、認可、およびユーザー・プロファイル・サービスのサービス・プロバイダごとに1つのサービス・プロファイルを追加できます。非モバイル・サービス・ドメインの場合、認証、認可、およびユーザー・プロファイル・サービスのサービス・プロバイダごとに複数のサービス・プロファイルを追加できます。
「選択」をクリックして、「検索」ウィンドウを開きます。このウィンドウでは、以前に構成したサービス・プロファイルを検索できます。モバイル・ドメインを構成している場合は、選択できるのはモバイルと互換性のある認証サービス・プロファイルのみです。同様に、非モバイル・ドメインを構成している場合、選択できるのはデスクトップと互換性のある認証サービス・プロファイルのみです。割り当てるプロファイルを選択し、「選択」をクリックします。サービス・プロファイルの正確な名前がわかっている場合は、「追加」をクリックして、その名前を表に直接入力します。
「作成」をクリックして、新しいサービス・プロファイルを作成します。
表38-16 サービス・プロファイル選択のプロパティ
| 名前 | 注意 |
|---|---|
|
認証サービス |
(オプション)このサービス・ドメインおよび対応するサービス・エンドポイントに対して構成済の認可サービス・プロファイルの名前を表示します。新しいサービス・プロファイルを作成している場合は、第38.4.1項「認証サービス・プロファイルの定義、変更および削除」を参照してください。 |
|
認可サービス |
(オプション)このサービス・ドメインおよび対応するサービス・エンドポイントに対して構成済の認可サービス・プロファイルの名前を表示します。新しいサービス・プロファイルを作成している場合は、第38.4.2項「認可サービス・プロファイルの定義、変更および削除」を参照してください。 |
|
ユーザー・プロファイル・サービス |
(オプション)このサービス・ドメインおよび対応するサービス・エンドポイントに対して構成済のユーザー・プロファイル・サービス・プロファイルの名前を表示します。新しいサービス・プロファイルを作成している場合は、第38.4.3項「ユーザー・プロファイル・サービス・プロファイルの定義、変更および削除」を参照してください。 |
「次へ」をクリックして、サービス保護(認証)を構成します。
「サービス保護」ページが表示されます。
次のいずれかのオプションを使用して、サービス・プロファイルの認証を構成します。
このサービス・ドメインに対してユーザー・プロファイル・サービスを選択していた場合は、セキュリティ設定を構成して、そのサービスを保護します。
表38-17 ユーザー・プロファイル・サービス保護のプロパティ
| 名前 | 注意 |
|---|---|
|
認証 |
このメニューから、このサービス・ドメインに対して構成されていて、このユーザー・プロファイル・サービスを保護するために使用する認証サービス・プロファイルを選択します。 |
|
セキュア・アプリケーション |
クライアント・アプリケーションの認証に、クライアント・リソース・ハンドルまたはクライアント・トークンの提示を要求する場合に選択します。 |
|
セキュア・ユーザー |
ユーザー・トークンまたはアクセス・トークン(アクセス・トークンが、ユーザー・トークンを使用して事前に取得されている場合)を提示することで、ユーザーの認証を要求する場合に選択します。 |
|
読取りの許可 |
ユーザー・プロファイル・データの表示をユーザーに許可する場合に選択します。 |
|
書込みの許可 |
ユーザー・プロファイル・データの更新をユーザーに許可する場合に選択します。 |
このサービス・ドメインに対して認可サービスを選択していた場合は、セキュリティ設定を構成して、そのサービスを保護します。
「次へ」をクリックして、選択内容を確認します。
「終了」をクリックして、サービス・ドメインを作成します。
サービス・ドメインを編集または削除するには、パネルで定義を選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。この項では、サービス・ドメインの追加のプロパティについて説明します。これらのプロパティは、以前に管理者が作成したサービス・ドメインを編集するときに表示されます。
「アプリケーション・プロファイル」タブ
プロファイル・キャッシュ継続時間 - モバイル・デバイス上にキャッシュされたアプリケーション・プロファイルの詳細が有効になっている最長時間。モバイル・クライアント・アプリケーションがアプリケーション・プロファイルを要求したときにその時間を過ぎていた場合、キャッシュされていたプロファイルは、新たにダウンロードされたバージョンで置き換えられます。その時間を過ぎていない場合は、キャッシュされているプロファイルが使用されます。
認証再試行回数 - 登録または認証中に無効な資格証明が提供された場合に、ユーザーに許可される再試行の最大回数。この設定は、iOSモバイルSDKでは使用されません。
オフライン認証 - アプリケーションにローカルにログインして認証を受けることをユーザーに許可するには、「許可」ボックスを選択します。ローカルに認証を受けることをユーザーに禁止するにはこのボックスの選択を解除します。
要求属性 - 登録または認証中にデバイスからフェッチされ、サーバーに渡される属性のセット。
インターネット・アイデンティティ・サービスWebビュー - 埋込みWebViewクラスを使用してアプリケーション内でMobile and Socialログイン・ページをユーザーに表示する場合は「埋込み」を選択し、ログイン・ページを外部ブラウザに表示する場合は、「外部」を選択します。
プラットフォーム固有の設定
URLスキーム - アプリケーション自体で構成されているとおりに、このモバイル・クライアント・アプリケーションを起動するために使用されるURLスキームを入力します。
Apple iOSバンドルID - モバイル・クライアント・アプリケーションで構成されている一意のバンドルIDを入力します。各iOSモバイル・アプリケーションには、一意のバンドルIDがあります。
Androidパッケージ
Androidアプリケーションの署名
カスタム設定/モバイル・カスタム属性 - モバイル・クライアント・アプリケーションに固有の属性またはプロパティを構成します。モバイル・カスタム属性は、アプリケーション・プロファイルの一部としてサーバーからモバイル・アプリケーションに返されます。
ジェイルブレークとは、製造業者がデバイスに適用している制限を解除または迂回するプロセスです。ジェイルブレークは、合法ですが、保護されているリソースに対するセキュリティ・リスクを高める可能性があります。このリスクに対処するために、Mobile and Socialでは、iOSデバイス用の事前構成済ジェイルブレーク検出ポリシーが提供されます。
ジェイルブレーク検出ポリシーは、Mobile and Social SDK for iOSを使用して作成したクライアント・アプリケーションに、デバイスがジェイルブレークされていることを示す可能性があるファイルの検索を指示する1つ以上の文で構成されています。Mobile and Socialサーバーは、このポリシー文をiOSクライアント・アプリケーションに送信します。クライアント・デバイスは、true値(ジェイルブレークが検出された場合)またはfalse値をMobile and Socialサーバーに送り返します。この値は、セキュリティ・ハンドラ・プラグインに転送され、使用しているセキュリティ・ハンドラ・プラグインのセキュリティ・ポリシーに応じて、Mobile and Socialはアクセスを許可、アクセスを拒否、またはアプリケーションからMobile and Social固有のデータをすべて消去できます。
デフォルトのセキュリティ・ハンドラ・プラグインがアクティブ状態のときに、ポリシー・ロジックによりデバイスがジェイルブレークされていると判断されると、このプラグインでクライアント・デバイスのアクセスをallowJailBrokenDevicesプラグイン属性の設定内容に応じて許可または拒否できます。
Oaamセキュリティ・ハンドラ・プラグインがアクティブ状態のときに、ポリシー・ロジックによりデバイスがジェイルブレークされていると判断されると、このプラグインでクライアント・デバイスのアクセスをOAAMポリシーのルールの構成内容に応じて許可またはブロックできます。(「OAAM認証後セキュリティ」ポリシーの下での「ジェイルブレークされたモバイル・デバイス」ルールなど、ポリシー・ルールの詳細は、Oracle Adaptive Access Manager管理者ガイドを参照してください)
さらに、デバイスがブラックリストに記載されているか、紛失または盗まれたものである場合は、このプラグインは、そのデバイスからMobile and Social固有のデータをすべて削除するWIPEOUTコマンドを送信し、今後のリクエストではそのデバイスをブロックできます。ユーザーが紛失デバイスを回収したときには、OAAMでデバイスをリセットできます。
詳細は、第38.5項「セキュリティ・ハンドラ・プラグインの定義」を参照してください。
|
注意: OAAMのブロックとMobile and Socialの拒否は同じことを意味します。 |
次の各項では、詳細を説明します。
XMLを使用して新しいジェイルブレーク検出ポリシーを作成する場合は、「ロード」ボタンをクリックしてデフォルトのポリシーを完全に上書きします。スキーマ・ファイルはカスタマ・サポートから入手できます。
次の手順を実行すると、Oracle Access Managementコンソールで新しいジェイルブレーク検出ポリシーを作成できます。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
ナビゲーション・ペインで「ジェイルブレーク検出ポリシー」をクリックします。
「ジェイルブレーク検出ポリシー」ページが表示されます。
「追加」をクリックして、新しいジェイルブレーク検出ポリシーの条件および検出ロジックのプロパティを構成します。
ジェイルブレーク検出 - 「有効」を選択してジェイルブレーク検出ポリシーをオンにするか、このオプションの選択を解除してすべてのクライアント・アプリケーション・インスタンスに対してこの機能をオフにします。ここでジェイルブレーク検出ポリシーを有効化しても、このポリシーはアプリケーションごとに無効化できます。ただし、ここでこのポリシーを無効化すると、この機能をアプリケーションごとに有効化したり無効化したりできなくなります。
最低OSバージョン - ポリシーが適用されるiOSの最低バージョン。この値が1.0である場合、ポリシーは、少なくともバージョン1.0のiOSを実行しているiOSデバイスに適用されます。
最高OSバージョン - ポリシーが適用されるiOSの最高バージョン。この値が空になっている場合、最高OSバージョン番号が確認されることはなくなり、「最低OSバージョン」に指定されている値より高いすべてのiOSバージョンにポリシーが適用されます。
最低クライアントSDKバージョン - Mobile and SocialクライアントSDKの最低バージョン番号。たとえば、11.1.2.0.0などです。
最高クライアントSDKバージョン - Mobile and SocialクライアントSDKの最高バージョン番号。たとえば、11.1.2.0.0などです。
ポリシー有効期間 - iOSクライアント・デバイス上のSDKが、ポリシーのローカル・コピーの期限が切れて新しいバージョンを取得するまで待機する時間の長さを秒単位で入力します。
自動チェック期間 - iOSクライアント・デバイスが、既存のジェイルブレーク検出ポリシー文を再び実行するまで待機する時間の間隔を分単位で入力します。
検出ロケーション - iOSクライアント・デバイスが、論理OR演算子を使用してポリシー文を評価します。次のように、検出ロケーションを追加します。
ファイル・パス - 検出ポリシーによって検索されるデバイス上のファイルまたはディレクトリの絶対パスを入力します。
アクション - 「存在」を選択します。それにより、それがファイル・パスにアクセスできるかどうかを評価するように検出ポリシーに指示します。
成功 - 指定したファイルまたはディレクトリがデバイス上に見つかったときに、ポリシーによってジェイルブレーク済としてそのデバイスにフラグを設定する場合に選択します。ポリシーが、認可されていないファイルまたはディレクトリについて確認している場合は、このオプションを使用します。指定したファイルまたはディレクトリが見つからないときに、ポリシーによってジェイルブレーク済としてそのデバイスにフラグを設定する場合は、このオプションの選択を解除します。(必須のファイルまたはディレクトリについて確認している場合は、このオプションを使用します。)
多くの場合、「ジェイルブレーク検出ポリシー構成」ページの「ポリシー文」エディタを使用して、ジェイルブレーク検出ポリシーを変更できます。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
ナビゲーション・ペインで「ジェイルブレーク検出ポリシー」をクリックして、次のいずれかのオプションを選択します。
ジェイルブレーク検出ポリシーに変更を追加するには、ツールバーの「ロード」をクリックし、追加するジェイルブレーク検出ポリシー文を含むXMLファイルを参照し、「既存のポリシー文の後に追加」を選択し、「OK」をクリックします。スキーマ・ファイルはカスタマ・サポートから入手できます。
ジェイルブレーク検出ポリシーを上書きするには、ツールバーの「ロード」をクリックし、ロードするジェイルブレーク検出ポリシー文を含むXMLファイルを参照し、「既存のポリシー文を上書き」を選択し、「OK」をクリックします。スキーマ・ファイルはカスタマ・サポートから入手できます。
ジェイルブレーク検出ポリシーを編集するには、そのポリシーを「ポリシー文」表から選択することでプロパティを表示して、変更を加えてから(第38.8.1項「新しいジェイルブレーク検出ポリシーの追加」を参照)、「適用」をクリックします。
次の各項では、その他のOracle製品でMobile and Socialを構成する方法について説明します。
次の各項では、各バージョンのAccess Managerと連動するようにMobile and Socialを構成する方法について説明します。
|
注意: Oracle Fusion Middleware構成ウィザードは、インストール時に、Mobile and SocialとAccess Managerの両方をサポートするドメインを生成します。詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドの「Mobile and Socialの構成」の章を参照してください。 |
Access Managerが簡易モードに構成されている場合、Access Managerと連動するようにモバイル・サービスを構成するには、次の手順を使用します。
Oracle Access Management管理コンソールを開きます。
「システム構成」タブを選択し、「共通構成」→「サーバー・インスタンス」→「oam_server1」を選択します。
「開く」ボタンをクリックします。
「モード」メニューで、「簡易」を選択し、「適用」をクリックします。
システムは、~/oam-domain/outputディレクトリ内にwebgate-sslディレクトリを作成して、次のファイルを生成します。
oamclient-keystore.jks
oamclient-truststore.jks
.jksファイルを~/oam-domain/config/fmwconfigディレクトリにコピーします。
~/oam-domain/output/accessgate-oicに移動し、password.xmlを開きます。
そのファイルからpasswd値をコピーします。
管理コンソールのナビゲーション・ペインで、「システム構成」タブを選択します。
「Mobile and Social」を開いて、「モバイル・サービス」、「サービス・プロバイダ」、「認証サービス・プロバイダ」、「OAMAuthentication」の順に選択します。
次の名前と値のペアを「属性」表に追加します。
「属性」表で、TRANSPORT_SECURITYを見つけ、その値をOPENからSIMPLEまたはCERTに変更し、「保存」をクリックします。
管理コンソールのナビゲーション・ペインで、「システム構成」タブの「Access Manager」セクションをクリックして開き、「SSOエージェント」を選択します。
「OAMエージェント」をダブル・クリックして開きます。
「検索」ボックスで、「名前」フィールドにaccessgate-oicと入力し、「検索」をクリックします。
検索結果でaccessgate-oicをクリックして、プロファイル・ページを開きます。
「セキュリティ」設定を「オープン」から「簡易」または「証明書」に変更し、「適用」をクリックします。
Oracle Access Managementサーバーを再起動します。
次の手順は、Oracle Access Manager 10gサーバーのリモート・インスタンスと連動するように認証サービス・プロバイダを構成する方法を示しています。
10gコンソールにログインして、WGプロファイルを作成します。
OAM 10gアクセス管理サービスは、オンにする必要があります。
Mobile and Socialコンソールで、「モバイル・サービス」、「サービス・プロバイダ」、「認証サービス・プロバイダ」の順にナビゲートします。
「新規」をクリックして、新しい認証サービス・プロバイダ構成を作成します。
パラメータに適切な値を入力します。
OAM_VERSIONは、OAM_11GからOAM_10Gに変更します。
WEBGATE_IDは、前の手順でWGプロファイルの作成に使用した名前に変更します。
OAM_SERVER_1は、OAM 10Gサーバーをホストするマシンのホスト名:ポート番号に変更します。
AuthNURLという新しいパラメータを追加して、任意の保護されたリソースのURL(たとえば、http://server1.domain.com/index.html)を移入します。
認証サービス・プロバイダ構成を保存します。
Mobile and Socialコンソールで、「モバイル・サービス」、「サービス・プロファイル」、「認証サービス」、「OAMAuthentication」の順にナビゲートします。
「サービス・プロバイダ」ドロップダウン・メニューから、前の手順で作成した認証サービス・プロバイダ(たとえば、10GOAMAuthentication)を選択します。
「クライアント・トークン」チェック・ボックスを選択します。
「アクセス・トークン」チェック・ボックスを選択解除します。
OAMAuthentication構成を保存します。
Mobile and SocialがOracle Access Manager 10gサーバーのリモート・インスタンスと連動するように構成されている場合は、さらに次のいずれかを実行する必要があります。
Oracle Access ManagerのUserStore内のユーザー・レコードに対するディレクトリDNエントリに、uid属性を定義します。
Mobile and Socialでディレクトリ・ユーザー・エントリの識別に使用できる、一意のディレクトリ・ユーザー・エントリ属性を定義します。
|
注意: Mobile and Socialは、一意のディレクトリ・ユーザー属性名をOracle Access Managerリリース11gから動的に取得できますが、10gリリース以前ではMobile and Socialの構成時に使用する属性を指定する必要があります。この属性が設定されていないと、Mobile and Socialでのクライアント・トークンの検証は失敗します。 |
次の手順は、CNに値を設定する方法を示しています。ディレクトリ・サーバーで構成したように、一意のユーザー・エントリに値を設定します。uidまたはloginidを選択することも可能です。手順を開始する前に、UserStoreに対するOracle Access ManagerのDNに、アプリケーション・プロファイルprofileid1のuid属性が含まれていないことと、DNが次のようになっていることを確認します。
"CN=profileid1 profileid1, OU=Test, ..."
両方の条件を満たしていることを確認してから、次の手順を完了します。
Mobile and Socialで、profileid1の「アプリケーション・プロファイル構成」ページを開きます(第38.6項「アプリケーション・プロファイルの定義」を参照)。
「属性」セクションで、次の名前と値のペアを追加し、「適用」をクリックします。
名前: userPrincipalAttrValue
値: CN
Oracle Access Manager 10g認証サービス・プロバイダの「サービス・プロバイダの構成」ページを開きます(第38.3.1項「認証サービス・プロバイダの定義、変更または削除」を参照)。
「属性」セクションで、次の名前と値のペアを追加し、「適用」をクリックします。
名前: userPrincipalAttrName
値: CN
次の手順は、リリース11gR2および11gR1 PS1と連動するように認証サービス・プロバイダを構成する方法を示しています。11gR1 PS1リリースのコンソールについての相違点は、11gR2の各手順内で説明しています。
Oracle Access Managementコンソールにログインして、Mobile and Social用のWebゲート(OAMエージェント)を登録します。
次のオプションを有効にしていることを確認します。
管理操作の許可
トークン・スコープ操作の許可
マスター・トークン取得の許可
資格証明コレクタ操作の許可
|
注意: OAM 11.1.1.5リリースのコンソールを使用している場合は、「管理操作の許可」を有効にします。 |
Mobile and Socialコンソールで、「モバイル・サービス」、「サービス・プロバイダ」、「認証サービス・プロバイダ」の順にナビゲートします。
「新規」をクリックして、新しい認証サービス・プロバイダ構成を作成します。
OAM 11.1.2リリースのコンソールを使用している場合は、次の値を入力します。
OAM_VERSIONのデフォルト値は、OAM_11Gのまま維持します。
WEBGATE_IDは、前の手順でWGプロファイルの作成に使用した名前に変更します。
OAM_SERVER_1は、OAM 11Gサーバーをホストしているマシンのホスト名:ポート番号に変更します。
|
注意: OAM 11.1.1.5リリースのコンソールを使用している場合:
|
認証サービス・プロバイダ構成を保存します。
Mobile and Socialコンソールで、「モバイル・サービス」、「サービス・プロファイル」、「認証サービス」、「OAMAuthentication」の順にナビゲートします。
「サービス・プロバイダ」ドロップダウン・メニューから、前の手順で作成した認証サービス・プロバイダ(たとえば、10GOAMAuthentication)を選択します。
「クライアント・トークン」チェック・ボックスを選択します。
OAM 11g R1 PS1を使用している場合にのみ、「アクセス・トークン」チェック・ボックスを選択解除します。
OAMAuthentication構成を保存します。
CSFウォレット・ファイルをマージします。
OAM 11Gは、管理者がMobile and Social用のWGプロファイルを作成したときに、cwallet.ssoファイルを生成します。このWGプロファイルと通信するために、管理者は、cwallet.ssoのsecret値をMobile and Socialウォレットにマージする必要があります。
|
注意: 次のコマンドを使用して、マージの前と後のウォレットを表示し、マージが正常に完了しているかどうかを確認してください。
|
cwallet.ssoを、OAM (~/domain-home/output)から、Mobile and Socialをホストするマシンのディレクトリ/tmp/oamにコピーします。
Mobile and Socialをホストするマシンのディレクトリ(~/config/fmwconfig)から、Mobile and Socialをホストするマシンのディレクトリ/tmp/oicにcwallet.ssoをコピーします。
Mobile and Socialをホストするマシンのディレクトリ/tmpにmerge-creds.xmlをダウンロードします。
例38-1は、サンプルのmerge-creds.xmlファイルです。
例38-1 サンプルのmerge-creds.xml
<?xml version="1.0" encoding="UTF-8" standalone='yes'?> <jpsConfig xmlns="http://xmlns.oracle.com/oracleas/schema/11/jps-config-11_1.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation= "http://xmlns.oracle.com/oracleas/schema/11/jps-config-11_1.xsd" schema-major-version="11" schema-minor-version="1"> <serviceProviders> <serviceProvider class="oracle.security.jps.internal.credstore.ssp.SspCredentialStoreProvider" name="credstoressp" type="CREDENTIAL_STORE"> <description>File-based credential provider</description> </serviceProvider> </serviceProviders> <serviceInstances> <!-- Source file-based credential store instance --> <serviceInstance location="/tmp/oam" provider="credstoressp" name="credential.file.source"> </serviceInstance> <!-- Destination file-based credential store instance --> <serviceInstance location="/tmp/oic" provider="credstoressp" name="credential.file.destination"> </serviceInstance> </serviceInstances> <jpsContexts> <jpsContext name="FileSourceContext"> <serviceInstanceRef ref="credential.file.source"/> </jpsContext> <jpsContext name="FileDestinationContext"> <serviceInstanceRef ref="credential.file.destination"/> </jpsContext> </jpsContexts> </jpsConfig>
PATH変数を設定して、~/oracle_common/bin:~/oracle_common/common/bin:~を含めます。
コマンドラインからwlst.shを実行して、WebLogic Scripting Toolを初期化します。
WLSTコマンドのmigrateSecurityStoreを実行します。
次に、WLSTコマンドの構文例を示します。
$ wlst.sh
wls:/offline> connect("weblogic", "weblogic-passwd", "localhost:<port>")
wls:/WLS_IDM/serverConfig>
migrateSecurityStore(type="credStore",configFile="/tmp/merge-creds.xml",
src="FileSourceContext",dst="FileDestinationContext")
Mobile and Socialサーバーを再起動します。
Oracle Adaptive Access Manager (OAAM)のデバイス登録機能を使用するようにサービス・ドメインを構成するには、サービス・ドメイン構成ページを開き、「セキュリティ・ハンドラ・プラグイン名」リストから「OAAMSecurityHandlerPlugin」オプションを選択します。第38.7.1項「サービス・ドメインの作成」を参照してください。
|
注意: Oracle Fusion Middleware構成ウィザードでは、インストール時に、Mobile and SocialとOracle Adaptive Access Managerの両方をサポートするドメインを生成できます。Mobile and Socialには、少なくともOracle Adaptive Access Managerバージョン11gリリース2が必要です。詳細は、Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドの「Mobile and Socialの構成」の章を参照してください。 |
次の各項では、Mobile and SocialとOAAMとの統合を完了するために必要なポリシー、条件、ルールおよびアクションの構成方法について説明します。
|
注意: OAAMルールおよびポリシーの順序の設定の詳細は、Oracle Adaptive Access Manager管理者ガイドを参照してください。 |
Mobile and Socialは、表38-20に(OAAMチェックポイント別に)示すOAAMポリシーをサポートします。
表38-20 Mobile and SocialでサポートされるOAAMポリシー
| チェックポイント | サポートされているポリシー |
|---|---|
|
認証後 |
OAAM認証後セキュリティ OAAMユーザー対自分自身 OAAMユーザー対すべてのユーザー OAAMではユーザーがプロファイルを持ちます OAAM予測分析ポリシー |
|
チャレンジ |
OAAMチャレンジ・ポリシー |
|
デバイスID |
OAAMデバイスIDポリシー OAAMシステム詳細分析Flashありポリシー OAAMシステム詳細分析Flashなしポリシー |
Mobile and SocialとOAAMでは、類似した用語を使用して、認証および認可イベントに応じて実行できるセキュリティ・アクションを記述しています。表38-21は、Mobile and Social用語とOAAM用語の対応表です。
表38-21 OAAMとMobile and Socialの用語の対応
| OAAMのアクション・グループ | Mobile and Socialのアクション |
|---|---|
|
OAAM許可 |
ALLOW |
|
OAAMブロック |
DENIED |
|
OAAMチャレンジ |
CHALLENGE |
|
OAAMブラック・リストに記載されたモバイル・デバイス |
WIPE_OUT |
|
OAAM紛失デバイス |
WIPE_OUT |
OAAMポリシー、ルールおよびチェックポイントの詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』を参照してください。
OAAMポリシーおよびルールをカスタマイズするには、Oracle Adaptive Access Manager管理者のコンソールを使用します。
OAAMポリシーを構成する前に、この項の手順を完了します。
WebLogic管理ドメインのOracle WebLogic管理コンソールにログインします。
ページの左側にある「ドメイン構造」タブで、「セキュリティ・レルム」を選択します。
「セキュリティ・レルムのサマリー」ページで、構成するレルム(たとえば、myrealm)を選択します。
「新規」をクリックし、名前(たとえば、user1)、説明(オプション)、プロバイダ(DefaultAuthenticatorと入力)、パスワードおよびパスワードの確認の必要な情報を入力して、セキュリティ・レルムにユーザーを作成します。
クリックして、新しく作成したユーザーを選択します。
「グループ」タブをクリックします。
そのユーザーに、OAAM接頭辞が付いたすべてのグループを割り当てます。
「保存」をクリックします。
WebLogic管理ドメインのOracle WebLogic管理コンソールにログインします。
ページの左側にある「ドメイン構造」タブで、「サービス」を選択します。
「サービスの概要」ページで、「データ・ソース」を選択します。
「データ・ソース」表でOAAM_SERVER_DSを開きます。
「ターゲット」タブをクリックします。
oam_server1を選択します。
「保存」をクリックします。
紛失デバイスを「OAAM紛失または盗難デバイス」グループに追加できるように、ユーザーはサポート部門に紛失または盗難デバイスを報告する必要があります。このようにすると、紛失デバイスから認証が試行されたときに、OAAMからMobile and SocialにDENYアクションまたはWIPE_OUTアクションを送信できるようになります。これにより、Mobile and Socialサーバーに関連するそのアプリケーションのデータが消去されます。ユーザーが紛失デバイスを回収したときには、OAAMでデバイスをリセットできます。次の手順では、「OAAM紛失または盗難デバイス」デバイス・グループにデバイスIDを追加することで、紛失中として報告された各デバイスに対する、紛失または盗難デバイス・ルールを作成する方法について説明します。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで「セッション」をダブルクリックします。
セッション検索ページが表示されます。
「ユーザー名」、「クライアント・アプリケーション」の名前、「デバイスID」などで検索して、紛失または盗難デバイスを見つけます。
「検索結果」表でセッションIDをクリックします。
「セッション詳細」ページが開きます。
「グループに追加」をクリックします。
「グループに追加」ポップアップ・ウィンドウが開きます。
「追加するデータ型の選択」セクションで、「デバイス」を選択し、「次」をクリックします。
「OAAM紛失または盗難デバイス」グループを選択し、「次」をクリックします。
選択した内容を確認し、「終了」をクリックします。
「OK」をクリックします。
紛失デバイスのポリシーおよびグループの管理の詳細は、Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイドを参照してください。
ルールを構成することで、特定のデバイスやアプリケーションへのアクセスをブロックできます。次の各項では、詳細を説明します。
アクセスをブロックするデバイスごとに、ブラックリストに記載されたデバイスのルールを作成します。次の手順では、「OAAMブラック・リストに記載されたモバイル・デバイス」グループにデバイスIDを追加することで、ブラックリストに記載されたデバイス・ルールを作成する方法について説明します。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで「セッション」をダブルクリックします。
セッション検索ページが表示されます。
その検索ページを使用して、ブロックするデバイスを検索します。たとえば、「ユーザー名」、「クライアント・アプリケーション」名、「デバイスID」などで検索します。
「検索結果」表でセッションIDをクリックします。
「セッション詳細」ページが開きます。
「グループに追加」をクリックします。
「グループに追加」ポップアップ・ウィンドウが開きます。
「追加するデータ型の選択」セクションで、「デバイス」を選択し、「次」をクリックします。
「OAAMブラック・リストに記載されたモバイル・デバイス」グループを選択し、「次」をクリックします。
選択した内容を確認し、「終了」をクリックします。
「OK」をクリックします。
ブラックリストに記載されたアプリケーション・ルールを追加するタスクは、次の手順に分けられます。次の手順を(記載順に)実行して、「OAAMブラック・リストに記載されたモバイル・デバイス」グループにアプリケーションを追加します。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「グループ」をダブルクリックします。
グループ検索ページが表示されます。
「新規グループ」をクリックします。
「グループの作成」ポップアップ・ウィンドウが開きます。
次のようにフォームに入力して「作成」をクリックします。
グループ名 - OAAM Blacklisted mobile application usedと入力します。(これが、ブラックリストに記載するモバイル・アプリケーションの名前です。)
グループ・タイプ - メニューから「Alerts」を選択します。
キャッシュ・ポリシー - メニューから「フル・キャッシュ」を選択します。
説明 - Session coming from a blacklisted mobile applicationと入力します。
「アラート」タブをクリックします。
「このグループにメンバーを追加」ボタンをクリックします。
アラートの追加ポップアップ・ウィンドウが開きます。
「新規要素の追加オプション」セクションで、新規アラートの作成を選択します。
次のようにフォームに入力して「追加」をクリックします。
アラート・タイプ - メニューから「不正」を選択します。
アラート・レベル - メニューから「中」を選択します。
アラート・メッセージ - Session coming from a blacklisted mobile applicationと入力します。
アラートの追加ウィンドウに、新規要素が正常に作成されたことを確認するメッセージが表示されます。
ナビゲーション・ペインで、「グループ」をダブルクリックします。
グループ検索ページが表示されます。
「新規グループ」をクリックします。
「グループの作成」ポップアップ・ウィンドウが開きます。
次のようにフォームに入力して「作成」をクリックします。
グループ名 - OAAM blacklisted mobile applicationと入力します。
グループ・タイプ - メニューから「汎用文字列」を選択します。
キャッシュ・ポリシー - メニューから「フル・キャッシュ」を選択します。
説明 - OAAM blacklisted mobile applicationと入力します。
「汎用文字列」タブをクリックし、「このグループにメンバーを追加」ボタンをクリックします。
アプリケーションの名前を入力します。
汎用文字列の追加ウィンドウに、新規要素が正常に作成されたことを確認するメッセージが表示されます。
「OK」をクリックします。
ナビゲーション・ペインで、「ポリシー」をダブルクリックします。
ポリシー検索ページが表示されます。
「チェックポイント」メニューから「認証後」を選択し、「検索」をクリックします。
「OAAM認証後セキュリティ」をクリックします。
「OAAM認証後セキュリティ」ページが開きます。
「ルール」タブをクリックします。
「ルールの追加」ボタンをクリックします。
次のようにフォームに入力して「追加」をクリックします。
ルール名 - Check for blacklisted mobile applicationsと入力します。
ルール・ステータス - メニューから「アクティブ」を選択します。
Rule Notes - Check if application is in the Oaam blacklisted mobile application groupと入力します。
「条件」タブをクリックします。
「条件の追加」をクリックします。
「条件の追加」ポップアップ・ウィンドウが開きます。
次のようにフォームに入力して「検索」をクリックします。
条件名 - Check Current Sessionと入力します。
タイプ - メニューから「セッション内」を選択します。
結果の表で、「セッション: フィルタ条件を使用した現在のセッションの確認」をクリックします。
フィルタ条件の詳細が表示されます。
次のように実行し、「保存」をクリックします。
「チェック」の下で「クライアント・アプリケーション」を選択します。
演算子として「次に含まれる」を選択します。
ターゲット・タイプとして「グループ」を選択します。
グループ・タイプとして「汎用文字列」を選択します。
グループ名としてOAAMブラック・リストに記載されたモバイル・アプリケーションを選択します。
英語では、条件はCheck if the Client Application is in the "OAAM blacklisted mobile application" groupとなります。
「結果」タブをクリックします。
「アクション・グループ」メニューから「OAAMブロック」を選択します。
「アラート・グループ」メニューからOAAM Blacklisted application usedを選択します。
「適用」をクリックします。
OAAMセッションは、OAAMルールの実行において一般的に使用される概念エンティティです。ルールは、入力としてセッション属性(たとえば、クライアント・アプリケーション名およびOAAMデバイスID)を使用し、出力時にそのセッションのステータスに影響を与える(つまり、ステータスを「ブロック済」に変更する)ことができます。
OAAMがWebブラウザなどの非モバイル環境で使用されている場合、ユーザー認証セッション(たとえば、OAMセッション)とOAAMセッションの間には1対1の関係があります。たとえば、次のフィールドに関連付けられたデータが、各OAAMセッションに含まれているとします。
ユーザーID
クライアントIPアドレス
OAAMデバイスIDおよびフィンガープリント
(認証)ステータス: 成功、保留中、ブロック済など。
クライアント・アプリケーション名
モバイル・アプリケーション環境では、同じユーザーによって使用される同じデバイス上で実行されるアプリケーションはそれぞれ、モバイルSSOシナリオの中でも異なるOAAMセッションを持つと想定されています。たとえば、次のアプリケーションがモバイル・デバイスにインストールされていると想定します。
SSOセキュリティ・エージェント・アプリケーション
ホワイト・ページ・アプリケーション
経費レポート・アプリケーション
これらのアプリケーションは、同じサービス・ドメインの参加者としてまとめてリストされ、それらはすべてシングル・サインオンに参加します。ユーザーは、モバイルSSOエージェント・アプリケーションを使用して1回ログインするだけで済みます。したがって、同じデバイス上の複数のアプリケーションによって共有される1つのユーザー認証セッション(つまり、1つのAccess Managerセッション)のみが存在するようになります。一方、ユーザーが同じAccess Managerセッション内で3つのアプリケーションすべてを同時に使用する場合、各モバイル・アプリケーションは独自のOAAMセッション・エントリを持つことになり、OAAM管理コンソールには3つのOAAMセッションが表示されるようになります。
モバイル・アプリケーションごとに独立したOAAMセッションを持つ理由は、ルールがモバイル・クライアント・アプリケーションを考慮できるようにするためです。同じルールによって、いくつかのアプリケーションからのセッションをブロックすると同時に、他のアプリケーションからのセッションを許可することができます。(第38.9.2.4.2項のブラックリストに記載されたアプリケーション・ルールが、これの一例です。)さらに高度なルールでは、1つのセッションの複数の要因を考慮できます。たとえば、経費レポート・アプリケーションは機密度が高いと評価する一方で、ホワイト・ページ(ディレクトリ参照)アプリケーションは機密度が低いと評価できます。同じ「リスクのあるIP」ルールによって、同じ中程度のリスクのあるIPアドレスからのセッションであっても、経費レポート・アプリケーションではセッションをブロックし、ホワイト・ページ・アプリケーションではブロックしないことが可能です。
OAAMは、ナレッジベース認証やワンタイム・パスワードなどの強力な認証機能を提供します。ワンタイム・パスワードは、電子メールまたはモバイル・テキスト・メッセージを使用してパスワードを提供します。これらの機能では、エンドユーザーがセキュリティ・プロファイルを登録する必要があります。それには、セキュリティ上の質問、携帯電話番号および電子メール・アドレスが含まれる場合があります。
|
注意: 詳細は、Oracle Adaptive Access Manager管理者ガイドを参照してください。 |
次の各項では、これらの認証プロセスを設定する方法について説明します。
Mobile and Socialは、OAAMがインストールされている場合、ナレッジベース認証(KBA)を提供します。KBAは、OAAMの強力な認証のデフォルト・オプションです。管理者は、KBAを機能させるために特別な構成をする必要はありません。ユーザーは、OAAM管理対象サーバー・コンソールを使用して、彼らのKBA質問を彼らのユーザー・プロファイルの登録に記録する必要があります。KBAの詳細は、Oracle Adaptive Access Manager管理者ガイドを参照してください。
Mobile and Socialは、OAAMがインストールされている場合、ワンタイム・パスワード(OTP)のサポートを提供します。OTPを使用すると、エンド・ユーザーはサーバーが生成したワンタイム・パスワードを入力することで認証されるようになります。このパスワードは、SMSまたは電子メールで受信することになります。ワンタイム・パスワードは帯域外で送信されるため、有効なユーザー以外の他者がワンタイム・パスワードへのアクセスを取得するリスクは軽減されます。次の各項では、詳細を説明します。
Mobile and Socialは、次のいずれかの方法で電子メールを送信できます。
組込みのSMTPクライアントの使用
Oracle User Messaging Service (UMS)の使用
この項では、これらの統合手順について説明します。電子メール用のSMTPの設定または電子メール用のUMSの設定のどちらからを選択して、開始してください。
|
注意: SMTPまたはUMSのいずれかを構成します。両方を構成できません。 |
SMTPまたはUMSの属性値を構成した後で、この項の3番目の手順「OAAMサーバーでの電子メール用のチャレンジ・タイプの有効化」で説明するように、OAAMサーバーでチャレンジ・タイプを有効にしてください。
電子メール用のSMTPの設定
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
画面の右側にある「セキュリティ・ハンドラ・プラグイン」セクションで、「OaamSecurityHandlerPlugin」をクリックし、ツールバーの「編集」をクリックします。
「属性」セクションで、次の属性名の値を入力し、「適用」をクリックします。
mail.smtp.host - SMTPサーバー・ホスト。
mail.smtp.port - SMTPサーバー・ポート。
mail.smtp.security.type - SMTPセキュリティ・タイプ。SSLまたはTLSです。
mail.smtp.user - SMTPサーバーにログオンするためのユーザー名。
mail.smtp.fromadd - Mobile and Socialの発信元アドレス。たとえば、mobileadmin@example.comです。
mail.smtp.password - mail.smtp.userアカウントのパスワード。
mail.smtp.truststore.location - サーバー・アイデンティティの検証に使用されるトラスト・ストアの場所を含むファイル名。
mail.smtp.keystore.location - クライアント証明書を含むキー・ストアのファイル名。
mail.smtp.keystore.password - キー・ストア・パスワード。
mail.smtp.truststore.password - トラスト・ストア・パスワード。
「OAAMサーバーでの電子メール用のチャレンジ・タイプの有効化」の手順を完了します。
電子メール用のUMSの設定
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
画面の右側にある「セキュリティ・ハンドラ・プラグイン」セクションで、「OaamSecurityHandlerPlugin」をクリックし、ツールバーの「編集」をクリックします。
「属性」セクションで、次の属性名の値を入力し、「適用」をクリックします。
ums.service.uri - UMSサーバーのWebサービスURL。たとえば、次のようになります。
http://<UMS Server URL>:<UMS Port>/ucs/messaging/webservice
ums.username - UMSサーバーのユーザー名。
ums.password - UMSサーバーのパスワード。
ums.from.address - Mobile and Socialの発信元アドレス。たとえば、mobileadmin@example.comです。
ums.from.name - Mobile and Socialの発信元名。
ums.email.enabled - trueに設定します。
「OAAMサーバーでの電子メール用のチャレンジ・タイプの有効化」の手順を完了します。
OAAMサーバーでの電子メール用のチャレンジ・タイプの有効化
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「環境」→「プロパティ」を選択し、「プロパティ」をダブルクリックしします。
プロパティ検索ページが表示されます。
「検索」ボックスで、「名前」フィールドにbharosa.uio.default.register.userinfo.enabledと入力し、「検索」をクリックします。
「検索結果」セクションでクリックしてレコードを選択し、その値をtrueに変更して「保存」をクリックします。
「検索」ボックスで、「名前」フィールドにbharosa.uio.default.userinfo.inputs.enum.email.enabledと入力し、「検索」をクリックします。
「検索結果」セクションでクリックしてレコードを選択し、その値をtrueに変更して「保存」をクリックします。
「検索」ボックスで、「名前」フィールドにbharosa.uio.default.challenge.type.enum.ChallengeEmail.availableと入力し、「検索」をクリックします。
「検索結果」セクションでクリックしてレコードを選択し、その値をtrueに変更して「保存」をクリックします。
Mobile and Socialは、Oracle UMSを使用してSMSメッセージを送信します。「UMSを使用するSMSの設定」を完了してから、「OAAMサーバーでのSMS用のチャレンジ・タイプの有効化」を完了してください。
UMSを使用するSMSの設定
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第38.1項「モバイル・サービスのGUIのナビゲート」を参照)。
画面の右側にある「セキュリティ・ハンドラ・プラグイン」セクションで、「OaamSecurityHandlerPlugin」をクリックし、ツールバーの「編集」をクリックします。
「属性」セクションで、次の属性名の値を入力し、「適用」をクリックします。
ums.service.uri - UMSサーバーのWebサービスURL。たとえば、次のようになります。
http://<UMS Server URL>:<UMS Port>/ucs/messaging/webservice
ums.username - UMSサーバーのユーザー名。
ums.password - UMSサーバーのパスワード。
ums.from.address - Mobile and Socialの発信元アドレス。たとえば、mobileadmin@example.comです。
ums.from.name - Mobile and Socialの発信元名。
ums.email.enabled - trueに設定します。
「OAAMサーバーでのSMS用のチャレンジ・タイプの有効化」の手順を完了します。
OAAMサーバーでのSMS用のチャレンジ・タイプの有効化
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「環境」→「プロパティ」を選択し、「プロパティ」をダブルクリックしします。
プロパティ検索ページが表示されます。
「検索」ボックスで、「名前」フィールドにbharosa.uio.default.register.userinfo.enabledと入力し、「検索」をクリックします。
「検索結果」セクションでクリックしてレコードを選択し、その値をtrueに変更して「保存」をクリックします。
「検索」ボックスで、「名前」フィールドにbharosa.uio.default.challenge.type.enum.ChallengeSMS.availableと入力し、「検索」をクリックします。
「検索結果」セクションでクリックしてレコードを選択し、その値をtrueに変更して「保存」をクリックします。
OAAMは、イベントによってチャレンジ・アクションがトリガーされるとチャレンジ・ポリシーを評価します。KBAがユーザーに対してアクティブになっている場合、OAAMチャレンジ質問アクション・グループからユーザーに質問が出されます。ユーザーがOAAMチャレンジ質問に3回失敗すると、OAAM SMSチャレンジ・アクション・グループが起動されます。
OAAMチャレンジ・ポリシー・トリガー組合せを使用してアクション・グループを並べ替えることができます。それによって、OAAMチャレンジ電子メール・グループやOAAMチャレンジSMSグループなど、他のチャレンジ・アクション・グループが、OAAMチャレンジ質問よりも優先されるようになります。次の手順では、OAAMチャレンジ・ポリシー・トリガー組合せの変更方法を説明します。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「ポリシー」をダブルクリックします。
ポリシー検索ページが表示されます。
「チェックポイント」メニューから「チャレンジ」を選択し、「検索」をクリックします。
「検索結果」表で、クリックして「OAAMチャレンジ・ポリシー」を選択します。
「トリガー組合せ」タブをクリックします。
「順序変更」をクリックします。
「トリガー組合せの順序変更」ポップアップ・ウィンドウが開きます。
このコントロールを使用してトリガー組合せを高い位置または低い位置に移動します。
