| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2) B69533-02 |
|
 前へ |
 次へ |
この項では、このマニュアルの変更内容および更新内容について説明します。詳細は次の項を参照してください。
次の情報を追加または更新しました。
第1章: 「システム要件と動作保証情報」を追加しました。
以前の「第2章」は削除しました(重複していたため)。このため、以前の章番を変更しました。
第3章: パスワード・ポリシーは、ECCに焦点を変更して、その他の認証の詳細とともに第16章に移動しました。
第6章: ログ出力の説明を次の項目に追加しました。
第12章: 11g OAMエージェント(Webgateおよびアクセス・クライアント)に焦点を変更しました。
第13章:
11g OAMエージェントのコンソールおよびリモート登録をまとめました。
「DCC対応の11g Webgateと認証ポリシーの構成」を第16章に移動しました。
第15章:
第16章: 認証の詳細をその他の共有ポリシー・コンポーネントとともに再配置しました。
11g OAMエージェントのコンソールおよびリモート登録をまとめました。
第3章から「グローバル・パスワード・ポリシー」を移動して、焦点を変更しました。
第3章から「DCC対応の11g Webgateと認証ポリシーの構成」を移動しました。
第17章:
「ポリシーおよびアプリケーション・ドメインのリモート管理の理解」を追加しました。
「ポリシーおよびアプリケーション・ドメインのリモート管理」を追加しました。
第20章: OpenSSOエージェント登録と管理の詳細をこの章に再配置しました。
第20章: OSSOエージェント登録と管理の詳細をこの章に再配置しました。
第22章: Access Managerを使用したコンソールおよびリモート登録、更新およびログアウトを含めるために、10g OAMエージェントの詳細を拡充しました。
付録A: ログアウト構成の詳細に関連するように再配置しました。
このマニュアルは、報告された問題に対応するために更新されました。全体的な更新内容には、体裁の変更と画面の更新が含まれます。
|
関連項目: このリリースでは、次の項目が新規追加または更新されています。
|
Oracle Access Management 11.1.2.0.0では、次の各項で説明する、新機能および拡張機能が提供されています。
以前の独立したOracle Identity Managementのアクセス製品は、Oracle Access Managementという1つの製品に統合されました。
アクセス・テスターでは、プール内の接続を検証し、キャッシュ・フラッシュ・リクエストにアウト・オブ・バウンド接続を使用することなく、確立済の接続経由でキャッシュ・フラッシュ・リクエスト(SYNC_INFO)を送信できます。
認可条件によって、動的なセキュリティ・ポリシーを実装できるようになり、この結果としてOracle Access Managementコンソールの「ポリシー構成」インタフェースに変更を加えることができます。
認可条件: 以前の制約クラスは、条件タイプとして名前が変更されます。条件には、許可または拒否の指定は含まれていませんが、新しいルールでは、許可または拒否のアクセス・オプションを指定します。
新しい条件タイプ: 属性。
ポリシーで「暗黙的な制約の使用」オプションを使用している場合は置換されます。これにより、特定の条件タイプをインスタンス化することで作成し、ルールを選択することが可能になります。
標準認証モジュール(LDAP、KerberosおよびX509)は、今後のリリースで非推奨の対象になります。標準認可モジュールではなく、ネイティブまたはカスタム・プラグインを使用することをお薦めします。
|
関連項目:
|
外部資格証明コレクションは、11g Webgate(OAMエージェント)の追加機能です。これは、動的なセキュア・マルチファクタ/マルチステップ認証で必要になります。11g Webgateは、DCCとして使用するように簡単に有効化できます。また、OAMサーバーの埋込み資格証明コレクタ(ECC)を引き続き使用することもできます。
マルチファクタ認証では、ログイン・プロセスで情報をバックエンド認証スキームに数回送信するためにカスタム認証プラグインが必要です。プラグインにより収集され、コンテキストに保存されたすべての情報は、プラグインが認証プロセスを介してアクセスできます。コンテキスト・データは、Cookieまたはユーザーのログイン・ページのヘッダーの設定にも使用できます。
|
関連項目:
|
アイデンティティ・コンテキストにより、Oracle Access Managementプラットフォームに組み込まれているコンテキストに対応したポリシー管理および認可機能を活用できます。アイデンティティ・コンテキストでは、従来のセキュリティ制御(ロールおよびグループ)とともに、認証中および認可中に確立される動的データ(強度、リスク・レベル、デバイス・トラストなど)を使用することで、リソースへのアクセスのセキュリティが確保されます。
Access Managerをサード・パーティ製品に統合する方法の詳細は、以前の『Oracle Fusion Middleware Oracle Access Manager統合ガイド』からこのマニュアルに移動しています。次の統合がサポートされています。
Access Manager認証条件では、アイデンティティの許可または拒否の指定で、ユーザー、グループおよびLDAP検索フィルタのリストを使用できます。LDAP検索フィルタによって、対象アイデンティティの移入を簡単に指定できます。アイデンティティ・ストア(ディレクトリ・サーバー)でグループを再編成したり、新しいグループを作成する必要はありません。これにより、Access Manager 11gをOracle Access Manager 10gと同等にすることができます。
Access ManagerのPIV(Personal Identity Verification)カード(米国連邦政府のスマート・カード)サポートは、SubjectaltNameでFASC-NおよびEDIPI属性を使用して、X.509認証の間にユーザーをマップするために使用するものです。複数のOCSPプロバイダはサポートされませんが、OCSP Gatewayを使用するか、OSDT OCSP APIを使用するカスタム認証プラグインを作成することで、複数のOCSPプロバイダに対する検証を行うことができます。
Mobile and Socialは、保護されているリソースへのアクセスを必要とするユーザーと、それらのリソースを保護するバックエンドのOracle Access ManagementサービスとOracle Identity Managementサービスの間の橋渡しの役割を果たします。Mobile and Socialサービスのプラガブルなアーキテクチャにより、システム管理者は、ユーザーがインストールしたソフトウェアを更新することなく、アイデンティティ管理サービスおよびアクセス管理サービスを追加、変更および削除できます。
管理者はAccess Managerに複数のユーザー・アイデンティティ・ストアをインストールできます。それぞれのアイデンティティ・ストアは、異なるLDAPプロバイダに依存できます。各認証モジュール(または認証手順内のプラグイン)は、特定のユーザー・アイデンティティ・ストアを使用するように構成できます。
Access Managerでは、WebまたはJ2EEコンテナにデプロイされたWebおよびJavaエージェントをサポートします。各OpenSSOエージェントは、アプリケーションをホストするコンテナ(Oracle WebLogic Server、JBoss、Apacheなど)にプラグインされるフィルタです。
Access Managerでは、OpenSSOエージェントによって保護されているリソースへのリクエストを処理するためのOpenSSOプロキシを提供します。オラクル社提供のOpenSSOプロキシによって、エージェントとOAMサーバー間の通信を確立することで、OpenSSOエージェントに保護されたアプリケーションへのシングル・サインオンが容易になります。
|
関連項目:
|
Access Managerでは、Oracle Access Managementコンソールを使用してパスワード・ポリシーを管理できます。パスワード・ポリシー検証モジュールを実装すると、グローバル・パスワード・ポリシーがAccess Managerユーザーに適用されます。パスワード・ポリシーはポリシー・ストア内に格納され、Access Managerで保護されたすべてのリソースに適用されます。
ポリシー・モデルでは、リソース定義パターンで問合せ文字列の名前と値のパラメータがサポートされます。
TokenServiceRPタイプのリソースは、トークン・サービス・リライイング・パーティ用であり、これに基づいています(Identity Connectなどの非ブラウザ・クライアントに必要です)。
Oracle Access Managementでは、プログラミングによるRESTfulサービスがサポートされています。
|
関連項目: Oracle Fusion Middleware Oracle Access Management開発者ガイド |
Access Manager 11g Access Software Developer Kitを使用して開発されたカスタム・アクセス・クライアントでは、エージェント(Webgateまたはアクセス・クライアント)ごとに11g共有秘密鍵のセキュリティ機能がサポートされます。各エージェントには、アクセス・クライアントとOAMサーバー間で、ホストベースのアクセス・クライアント専用OAMAuthnCookieの暗号化および復号化を行うために共有される独自の秘密鍵があります。1つのアクセス・クライアントのセキュリティが破られた場合も、影響はその特定のアクセス・クライアントに限定され、他のアクセス・クライアントには影響しません。
|
注意: 既存の10g ASDKユーザーには影響はありません。Oblixクラスのラッパーは、10gモードで透過的にアクセス・クライアントのインスタンスを作成するように修正できます。ただし、11g互換モードで実行するには、Oracle Java APIの使用が必要になります。 |
Access Manager 11gのPure Java ASDKはOracle Java API (oracle.security.am.asdkパッケージ内)およびOblix Java API (com.oblix.accessパッケージ)の両方を提供します。Access Manager 11g Pure Javaアクセス・クライアント:
Oracle Java APIおよびOracleアクセス・プロトコル・バージョン3またはバージョン4 (Webgateごとに共有秘密鍵1つのセキュリティ機能をサポート)のいずれかを使用したOAMサーバーとの通信
10gサーバーとのOblix Java APIおよびOracleアクセス・プロトコル・バージョン3 (SSKPAのサポートなし)のみによる通信
|
関連項目: Oracle Fusion Middleware Oracle Access Management開発者ガイド |
トークン発行ポリシーは、認証と認可を実行するMobile and Socialのクライアントに必要です。
各トピックの調査は、デプロイ済のOracle Access Management環境をチューニングして、最適なパフォーマンスと持続性を確保できるように提供されています。
|
関連項目: 『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』 |
11g Webゲートは、ブラウザ・クライアントを使用します。ただし、非ブラウザ(REST: Representational State Transfer)クライアントがHTTPリソースへのアクセスや、認証および認可の実行を必要とする場合もあります。
|
関連項目:
|
次の表に示すとおり、Oracle Access Managementではいくつかの製品およびコンポーネントの名前が変更されています。
