| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11g リリース2 (11.1.2) B70199-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11g リリース2 (11.1.2) B70199-02 |
|
前 |
次 |
この章では、Oracle Adaptive Access Managerのデバイスのフィンガープリント処理および識別テクノロジについて詳細に説明します。Oracle Adaptive Access Managerでは、特定の状況に応じて、デバイス属性の組合せを使用して、アクセス・リクエストまたはトランザクションで使用されているデバイスのフィンガープリント処理および識別を行うことができます。デバイスのフィンガープリント・データは、セキュアなCookie、Flash共有オブジェクト、ユーザー・エージェント文字列、カスタム・エージェント、モバイル・アプリケーション、ブラウザ・ヘッダー・データなどの複数のソースから収集できます。インテリジェントな識別は単一の属性タイプに依存しないため、厳密な仕様に従うことなく、WebおよびWeb以外の両方のチャネルにおいてユーザー・デバイス上で機能できます。このことは、数多くのコンシューマが使用するデプロイメントにおいて特に重要です。
デバイスは、使用可能なデータを処理して識別するための独自のロジックおよび特化された一連のポリシーを使用して識別されます。この章では、OAAMをデプロイする場合にカスタマが理解する必要がある、重要なフィンガープリント処理と識別の概念、テクノロジおよびユース・ケースについて説明します。
即時利用可能な機能として、OAAMではブラウザ、モバイル・アプリケーションおよびデジタル・フィンガープリントがサポートされています。デジタルはFlashにすることも、ユーザーによって定義されたカスタム・タイプのいずれかにすることもできます。OAAMには、ユーザーが必要に応じて他のフィンガープリントを使用できるフレームワークが備えられています。
デバイスのフィンガープリント処理および識別は、アクセス・リクエストまたはトランザクションのリスクを評価するためにOAAMで使用される様々な属性の一つです。肯定的なデバイス識別は認証方式とは見なされません。また、見なすべきではありません。さらに、許可またはブロックを決定付ける唯一の判断要素でもありません。OAAMは、完全なレイヤー・セキュリティ・ソリューションを提供します。デバイスのフィンガープリント処理および識別はレイヤーの1つのみを表します。
この項では、デバイス識別に関連する、デバイスのフィンガープリント処理の概念に関する情報を提供します。
Oracle Adaptive Access Managerのデバイスのフィンガープリント処理とは、ユーザーがログインしたりトランザクションを実行するのに使用するデバイス(デスクトップ・コンピュータ、ラップトップ・コンピュータ、モバイル・デバイスまたは他のWeb対応デバイスのいずれであるか)を認識するために使用される機能です。Oracle Adaptive Access Managerでは、標準属性(ブラウザ・ユーザー・エージェント文字列データ、独自のOTS (ワンタイム・セキュア) Cookie、Flash共有オブジェクト、モバイル・アプリケーション・データ、カスタム・クライアント・データ、拡張された自動学習デバイス識別ロジックなど)の任意の組合せを使用してデバイスを識別できます。Oracle Adaptive Access Managerの特許出願中のフィンガープリント処理はリプレイ攻撃に対する脆弱性が低く、セキュリティ上の弱点を悪用されやすいクライアント側にはロジックを配置しません。デバイス識別は単なる属性の静的リストではなく、各アクセス・リクエストまたはトランザクションで使用可能な属性の特定の組合せを動的に取得、評価およびプロファイリングします。
エンド・ユーザーが保護されたアプリケーションにWebブラウザを介してアクセスする場合、OAAMにより、ブラウザ・ベースのフィンガープリント処理が実行されます。ほとんどのデプロイメントにおいて、これは主要なユース・ケースです。ブラウザ・ベースのフィンガープリント処理および識別では、ブラウザ・ユーザー・エージェント文字列データ以外に、セキュアなCookieやFlash共有オブジェクト・データも使用されます(使用可能な場合)。フィンガープリント処理は、デスクトップやラップトップのPC、フル機能ブラウザを実行するモバイル・デバイスおよびスマートフォンで同じように機能します。ブラウザには、それぞれ独自の一意のデバイス識別子が意図的に付与されます。識別のロジックおよびポリシーは、データのサブセットのみを使用できるシナリオに対応するように設計されています。たとえば、ブラウザ・ユーザー・エージェント文字列のみが使用可能な場合、OAAMロジックでは、ユーザーが以前に使用したデバイスの構成やユーザーが過去にアクセスしたアクセス元のロケーションなどのコンテキスト・データが調査されます。
OAAMデバイスのフィンガープリント処理は拡張可能であり、必要に応じてカスタム・クライアントをデプロイできます。標準ブラウザ・アクセスのユース・ケースにおいてFlash共有オブジェクト・データを受け入れるデジタル・フィンガープリントは、かわりにカスタム・クライアントからのデータを受け入れることができます。たとえば、署名付きJavaアプレットを開発してデバイスのMACアドレスを収集したり、Java/.Net/SOAP APIを使用して、フィンガープリント処理および識別ロジックで使用するためにデジタル・フィンガープリントにデータを設定できます。
Oracle Adaptive Access Managerを使用すると、ブラウザを介してアクセスしていない場合でも、モバイル・デバイスのフィンガープリント処理、識別および追跡を行うことができます。モバイル・アプリケーション開発者は、Access Management SDKおよびREST (表現状態転送)サービス・レイヤーを介して、OAAMデバイスのフィンガープリント処理をアプリケーションに統合できます。モバイル固有データ(アプリケーションID、GPS/三角測量ロケーション、IMEI (国際移動体装置識別番号)/MACアドレス(媒体アクセス制御アドレス)など)は、他のデバイス・データとともに収集してOAAMに伝達できます。OAAMでは、モバイル・デバイスを一意に処理することにより、ユーザーとデバイス間の強固なバインディングを可能にします。次の表に、モバイルCookieを示します。
デバイスの識別およびデバイスIDの割当てのプロセスには、次の3つのステージが含まれます。
データの収集
データの処理
データの格納
保護されたアプリケーションにアクセスする場合、Oracle Adaptive Access Managerではユーザーが使用するデバイスに関する情報が取得されます。この情報は、様々な手段で収集された数多くの様々なデータ・ポイントで構成されています。収集されたデータは、デバイスの一意のフィンガープリントにエンコードされます。
このデータを収集した後、OAAMサーバーでは、デバイスのフィンガープリント・データを処理し、このデバイスが既知のものかどうかを判断する必要があります。デバイスのフィンガープリント処理では、デバイスやブラウザ・セッションから取得したそれらに関するデータを使用して、このデバイスを使用している個人と業務を行うリスクを査定します。収集されるデータが多いほど、OAAMによるリスクの査定は向上します。
通常、デバイスが保護されたアプリケーションにログインすると、あらゆる認証試行の前にフィンガープリント処理が即時に実行されます。これにより、デバイスのフィンガープリント情報はすべてのチェックポイントでリスク評価に使用できます。一般的なチェックポイントには、認証前、認証後、セッション内およびトランザクション内があります。なお、デバイスのフィンガープリント処理はセッション中のどの時点でもやり直すことができ、中間者攻撃の一部の形式を検出するのに役立ちます。
通常、ログイン・ページには、数行の静的なタミル語のコードが埋め込まれています。htmlのサンプル・コードには、追加のデバイス特性を収集するためのFlash共有オブジェクトやイメージ・タグが含まれます。Flashコードにより内部的にアプリケーション・サーバーがコールされ、デバイス特性がアップロードされます。
Oracle Adaptive Access Managerでは、識別ごとに一意のセキュアなCookieを生成し、ユーザーが次にこのデバイスからログインするとき、同じCookieを検索します。このCookieは、特定デバイスにおけるそのセッションについてのみ有効です。
イメージがブロックされる場合には、ログイン・リクエスト自体からCookieが抽出されることがあります。Oracle Adaptive Access Managerでは、デバイス上のセキュリティ設定またはブラウザによるいくつかの技術的な問題を解決するために、Cookieを収集するこれらの様々なモードを使用します。
データには、セキュアおよびデジタルという2つのカテゴリがあります。これらの各カテゴリ内にはフィンガープリントとCookieが存在します。Oracle Adaptive Access Managerでは、2つのタイプのCookieを使用してデバイス識別を実行します。1つはセキュアなCookie (ブラウザCookieとも呼ばれます)であり、もう1つはデジタルCookie (Flash Cookieとも呼ばれます)です。
セキュアなデータはユーザーのブラウザから収集されます。このデータには、ユーザー・エージェント文字列およびHTTP Cookie値が含まれます。ユーザー・エージェントはセキュアなフィンガープリントとして使用されます。HTTP Cookie値は1回かぎり使用される一意のCookieであり、ユーザーがログインするたびに設定されます。このCookie値はログイン時にユーザーのブラウザから取得されます。
デジタル・フィンガープリントは、JavaアプレットやQuickTimeなどの、他のカスタム・フィンガープリントをベースにできます。このデータにはFlashシステム機能データの配列およびFlashローカル共有オブジェクト(LSO)が含まれます。Flash機能データは、Flashシステム機能を表すデジタル・フィンガープリントとして使用されます。LSOには1回かぎり使用される一意の値が含まれ、この値はユーザーがログインするたびに設定されます。この値は、ログイン時に実行されるFlashムービーを使用して取得されます。
セキュアなCookieおよびブラウザの特性
セキュアなブラウザCookieはデバイスの識別に使用される属性の1つです。セキュアなCookieは1回の使用についてのみ有効であり、デバイスのフィンガープリント処理が実行されるたびに置換されます。セキュアなCookieはHTTPリクエストから抽出されます。セキュアなCookieとともに、Oracle Adaptive Access Managerによりブラウザの特性も抽出されます。
デバイスに対する一意のフィンガープリントを作成するために使用される追加特性については、次の表を参照してください。
| OS/ブラウザ | 特性 |
|---|---|
|
オペレーティング・システム |
|
|
ブラウザ |
|
|
ロケール |
|
Flash共有オブジェクトおよびデバイス特性
セキュアなCookieと同様に、Oracle Adaptive Access ManagerではFlash共有オブジェクトを使用して1回かぎり使用されるトークンが格納され、このトークンはデバイスのフィンガープリント処理が実行されるたびに置換されます。
Flash共有オブジェクトは、HTTPリクエストを使用してサーバーに送信されます。Flash共有オブジェクトによって、システム情報や構成設定などの追加のデバイス特性が取得および伝達され、これにより、デバイスIDに対して、粒度がさらに追加されます。特性の完全なリストについては、次の表を参照してください。
| ハードウェア/ソフトウェア | 特性 |
|---|---|
|
システム |
|
|
設定 |
|
IPインテリジェンスおよび履歴コンテキスト
ユーザー、デバイス、ロケーションおよびOracle Adaptive Access Managerで取得されたその他のコンテキストの組合せを使用して、デバイスが以前に識別されたものである可能性を評価します。この評価は、デバイス属性の合計数が制限されている場合に特に役立ちます。たとえば、ユーザーがFlash共有オブジェクトのセキュアなCookieを使用しないでブラウザを介してアクセスする場合などです。
分析に使用される属性には次のようなものがあります。
表E-2 IP詳細
| IP詳細 | 説明 |
|---|---|
|
IPアドレス |
ロケーションにマップされるアドレス。 |
|
市区町村名 |
市区町村の地理的な名前。 |
|
都道府県名 |
都道府県の地理的な名前。 |
|
国名 |
国の地理的な名前。 |
|
接続スピード |
インターネット接続スピードまたは帯域幅(高、中、低)。 |
|
接続タイプ |
デバイスまたはLANとインターネット間のデータ接続を示します。「接続タイプ・マッピング」を参照してください。 |
|
IPルーティング・タイプ |
ユーザーがインターネットにルーティングされる方法を示します。 |
|
キャリア名 |
ASNエンティティを管理するエンティティの名前。 |
|
ASN |
単一のエンティティによって管理されるネットワークまたはネットワークのグループに割り当てられたグローバルに一意の番号。 |
|
Top-level Domain |
URLのトップ・レベル・ドメイン。たとえば、com in www.oracle.comなどです。これはQuova参照ファイルを使用してマップされます。 |
|
Second-level Domain |
URLの第2レベル・ドメイン。 |
ネイティブ・モバイル・アプリケーション
OAAMデバイスのフィンガープリント処理は、Access Management SDKおよびRESTサービス・レイヤーによってモバイル・アプリケーションに統合されます。開発者はSDKをアプリケーションに組み込み、アプリケーションID、OS、OSバージョン、IPアドレス、1回かぎり使用されるフィンガープリント値、GPS/三角測量ロケーション、IMEI/MACを収集します。OAAMではこれらのデータ要素を使用して、デバイスのフィンガープリント処理や識別およびリスク評価を実行します。
Oracle Adaptive Access Managerでは、ビジネス・ロジックなどの様々な目的のためにポリシー・エンジンを使用して、ユーザー操作、リスク分析およびデバイス識別を実行します。デバイス識別ポリシーは、すべてのカスタマ・デプロイメントで即時利用可能になるように設計されています。このため、デバイス識別ポリシーの変更はサポートされておらず、お薦めしません。
次のポリシーのリストはデバイス識別に使用されるため、どのような方法でも削除したり変更しないようにする必要があります。
OAAMデバイスIDポリシー
OAAMシステム詳細分析Flashありポリシー
OAAMシステム詳細分析Flashなしポリシー
OAAMモバイル・デバイス識別ポリシー(主にOracle Access Management Mobile and Social統合で使用されます)
予期されるデバイス識別動作を示すサンプル・シナリオには次のようなものがあります。
OAAMによってクライアントのブラウザに格納されるセキュアなCookieは、次に示すように、単なる追跡Cookieにすぎません。
ユーザーに関する情報は一切格納されません。
デバイスを識別する前に、ユーザーがそのブラウザからログインしているかどうかを追跡するためにのみ使用されます。
単一ユーザーのみに有効です。
ブラウザでこのCookieが見つかると、OAAMはこのCookieを予期される値と比較します。2つの値が一致した場合は、前回使用されたデバイスからのリクエストであることを示します。そのため、デバイスIDが再利用されます。一致しなかった場合は、Cookieが失効しているまたは変更されている可能性があるため、無視されます。ブラウザにCookieが存在しない場合は、それが新しいリクエストであることを示します。いずれの場合も、このCookieは破棄され、新しいCookieが生成されます。
OAAMサーバー・ログから、アプリケーションによってセキュアなCookie値が正常に生成されていることがわかるはずです。これはHTTPヘッダーからも確認できます。OAAMでデバイスを追跡するためにはOAAM Cookieが必要です。OAAM Cookieがブラウザに設定されていない場合は、他の方法によってそのデバイスが同一のものであると特定されるまで新しいデバイスIDが生成されます。
Cookieなし、Flash共有オブジェクトなし、ブラウザ・フィンガープリント、ユーザーIDおよびIP一致
このシナリオは、すべてのセッション後にユーザーがセキュアなCookieとFlash共有オブジェクトの両方を削除したものの、他のデータがセッション全体で一貫性を維持している場合の動作を示しています。OAAMデバイス識別のロジックおよびポリシーにより、フィンガープリント処理が3回正常に実行された後、デバイスを一貫性のあるデバイスIDとして認識できることが判断されます。
| セッション | ユーザー | IP | ユーザー・エージェント | セキュアなCookie | デジタルCookie | デジタルCookieデータ | アクション |
|---|---|---|---|---|---|---|---|
|
1 |
jsmith |
1.1.1.1 |
Mozilla/5.0 (Windows、U、Windows NT 6.1、en-US、rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 |
予期されません、 Cookieなし、Cookie有効化、設定済 |
DCは予期されません、 FSOなし、インストール済および設定済 |
タイプ=Flash、画面アスペクト=1.0、A/V無効化=F、ビデオ・エンコーダ=T … |
新規デバイス。 1234 |
|
2 |
jsmith |
1.1.1.1 |
Mozilla/5.0 (Windows、U、Windows NT 6.1、en-US、rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 |
Cookieが予期されます、 Cookieなし、Cookie有効化、設定済 |
DCが予期されます、 FSOなし、インストール済、設定済 |
タイプ=Flash、画面アスペクト=1.0、A/V無効化=F、ビデオ・エンコーダ=T … |
新規デバイス。 1235 |
|
3 |
jsmith |
1.1.1.1 |
Mozilla/5.0 (Windows、U、Windows NT 6.1、en-US、rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 |
Cookieが予期されます、 Cookieなし、Cookie有効化、設定済 |
DCが予期されます、 FSOなし、インストール済、設定済 |
タイプ=Flash、画面アスペクト=1.0、A/V無効化=F、ビデオ・エンコーダ=T … |
新規デバイス。 1236 |
|
4 |
jsmith |
1.1.1.1 |
Mozilla/5.0 (Windows、U、Windows NT 6.1、en-US、rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 |
Cookieが予期されます、 Cookieなし、Cookie有効化、設定済 |
DCが予期されます、 FSOなし、インストール済、設定済 |
タイプ=Flash、画面アスペクト=1.0、A/V無効化=F、ビデオ・エンコーダ=T … |
新規デバイス。 1237 |
|
5 |
jsmith |
1.1.1.1 |
Mozilla/5.0 (Windows、U、Windows NT 6.1、en-US、rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 |
Cookieが予期されます、 Cookieなし、Cookie有効化、設定済 |
DCが予期されます、 FSOなし、インストール済、設定済 |
タイプ=Flash、画面アスペクト=1.0、A/V無効化=F、ビデオ・エンコーダ=T … |
ブラウザ・データによるデバイス 1234 |
|
6 |
jsmith |
1.1.1.1 |
Mozilla/5.0 (Windows、U、Windows NT 6.1、en-US、rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 |
Cookieが予期されます、 Cookieなし、Cookie有効化、設定済 |
DCが予期されます、 FSOなし、インストール済、設定済 |
タイプ=Flash、画面アスペクト=1.0、A/V無効化=F、ビデオ・エンコーダ=T … |
ブラウザ・データによるデバイス 1234 |
新規デバイス
| ユース・ケース | 説明 |
|---|---|
|
セキュアなCookieとFlash Cookieの両方が有効化されています。 |
セキュアなCookieとFlash Cookieの両方が欠落しています。Flashリクエストが正常に受信されました。 |
|
セキュアなCookieとFlash Cookieの両方が無効化されています。 |
ユーザーはこのロケーションからデバイスを以前に使用していません。 |
|
セキュアなCookieは有効化されており、Flash Cookieは無効化されています。 |
セキュアなCookieとFlash Cookieの両方が欠落しています。また、Flashリクエストは正常に受信されませんでした。 |
|
セキュアなCookieは無効化されており、Flash Cookieは有効化されています。 |
セキュアなCookieとFlash Cookieの両方が欠落しています。ただし、Flashリクエストは正常に受信されました。 |
認識されたデバイス
| ユース・ケース | 説明 |
|---|---|
|
セキュアなCookieとFlash Cookieの両方が有効化されています。 |
セキュアなCookieとFlash Cookieの両方が受信されました。 |
|
セキュアなCookieとFlash Cookieの両方が無効化されています。 |
セキュアなCookieとFlash Cookieの両方が欠落しています。また、Flashリクエストは正常に受信されませんでした。 |
|
セキュアなCookieは有効化されており、Flash Cookieは無効化されています。 |
セキュアなCookieのみが正常に受信されました。 |
|
セキュアなCookieは無効化されており、Flash Cookieは有効化されています。 |
Flash Cookieのみが正常に受信されました。 |
有効な例外
| ユース・ケース | 説明 |
|---|---|
|
ブラウザがアップグレードされました。 |
ブラウザの特性が一致していません。 |
|
デバイスがアップグレードされました。 |
Flashデータが一致していません。 |
|
ブラウザおよびデバイスがアップグレードされました。 |
ブラウザとFlashデータの両方が一致していません。 |
|
別のブラウザが使用されました。セキュアなCookieが欠落しています。 |
セキュアなCookieが欠落しています。ブラウザの特性が一致していません。Flash Cookieが一致していません。Flashデータが一致しています(ブラウザは除外)。 |
|
ユーザーが異なるブラウザです。Cookieとブラウザの特性の両方が一致していません。 |
セキュアなCookieが一致していません。ブラウザの特性が一致していません。Flash Cookieが一致していません。Flashデータが一致しています(ブラウザは除外)。 |
|
セキュアなCookieは非同期であり、Flash Cookieは同期されています。 |
セキュアなCookieが一致していませんが、同じデバイスに属していました。 |
|
Flash Cookieは非同期であり、セキュアなCookieは同期されています。 |
Flash Cookieが一致していませんが、同じデバイスに属していました。 |
|
セキュアなCookieとFlash Cookieの両方が非同期です。 |
両方のCookieが一致していませんが、同じデバイスに属していました。 |
デバイス・リスクの程度
これらのユース・ケースはOracle Adaptive Access Managerのデバイス・リスクの程度を定義するのに役立ちます。デバイス・リスクの程度により、識別されるデバイスの確実性を指定します。これは、すべてのデバイス・タイプ・ルールにおける標準的な事前条件です。たとえば、デバイス・リスクの程度が0であることは完全一致を示し、デバイス・リスクの程度が500である場合は、前のセッションとの妥当な差異がある予期しないデバイスであること示し、スコアが1000である場合は、識別を行うのに最小限の一致データのみを持つデバイスであることを示します。
即時利用可能なフィンガープリント・タイプ・プロパティを次に示します。これらのプロパティをカスタム・フィンガープリント・タイプを作成する場合の例として使用できます。
#Reference to the "vcrypt.fingerprint.type.enum" elementId for Digital Device Fingerprinting bharosa.uio.default.device.identification.scheme=flash #Enum for fingerprint type vcrypt.fingerprint.type.enum=Enum for finger print type vcrypt.fingerprint.type.enum.browser=1 vcrypt.fingerprint.type.enum.browser.name=Browser vcrypt.fingerprint.type.enum.browser.description=Browser vcrypt.fingerprint.type.enum.browser.userAgent=userAgent vcrypt.fingerprint.type.enum.browser.locallang=localLang vcrypt.fingerprint.type.enum.browser.localcountry=localCountry vcrypt.fingerprint.type.enum.browser.localvariant=localVariant vcrypt.fingerprint.type.enum.browser.header_list=locallang,localcountry,localvariant,userAgent vcrypt.fingerprint.type.enum.browser.search_list=locallang,userAgent vcrypt.fingerprint.type.enum.browser.result_list=locallang,userAgent vcrypt.fingerprint.type.enum.browser.header_value_nv=t,true,f,false,en,English,es,Spanish,de,German,it,Italian,ja,Japanese,fr,French,ko,Korean,zh,Chinese,ar,Arabic,cs,Czech,da,Danish,nl,Dutch,fi,Finnish,el,Greek,iw,Hebrew,hu,Hungarian,no,Norwegian,pl,Polish,pt,Portuguese,ro,Romanian,ru,Russian,sk,Slovak,sv,Swedish,th,Thai,tr,Turkish,BR,Brazil vcrypt.fingerprint.type.enum.flash=2 vcrypt.fingerprint.type.enum.flash.name=Flash vcrypt.fingerprint.type.enum.flash.description=Flash vcrypt.fingerprint.type.enum.flash.processor=com.bharosa.uio.processor.device.FlashDeviceIdentificationProcessor vcrypt.fingerprint.type.enum.flash.header_list=avd,acc,a,ae,ev,ime,mp3,pr,sb,sp,sa,sv,tls,ve,deb,l,lfd,m,os,ar,pt,col,dp,r,v vcrypt.fingerprint.type.enum.flash.search_list=deb,l,os,v vcrypt.fingerprint.type.enum.flash.result_list=deb,l,os,v vcrypt.fingerprint.type.enum.flash.header_name_nv=avd,Audio/Video disabled by user,acc,Has accessibility,a,Has audio,ae,Had audio encoder,ev,Embedded video, ime, Has input method editor (IME) installed,mp3, Has MP3, pr, Supports printer, sb, Supports screen broadcast applications, sp, Supports playback on screen broadcast applications, sa, Supports streaming audio, sv, Supports streaming video, tls, Supports native SSL, ve, Contains video encoder, deb, Debug version, l, Language, lfd, Is local file read disabled, m, Manufacturer, os, Operating System, ar, Aspect ratio of screen, pt, Player type, col, Is screen color, dp, Dots-per-inch (DPI), r, Screen resolution, v, Flash version #vcrypt.fingerprint.type.enum.flash.header_value_nv=t,true,f,false vcrypt.fingerprint.type.enum.flash.header_value_nv=t,true,f,false,en,English,es,Spanish,de,German,it,Italian,ja,Japanese,fr,French,ko,Korean,zh,Chinese,ar,Arabic,cs,Czech,da,Danish,nl,Dutch,fi,Finnish,el,Greek,iw,Hebrew,hu,Hungarian,no,Norwegian,pl,Polish,pt,Portuguese,ro,Romanian,ru,Russian,sk,Slovak,sv,Swedish,th,Thai,tr,Turkish,BR,Brazil vcrypt.fingerprint.type.enum.flash.avd=Audio/Video disabled by user vcrypt.fingerprint.type.enum.flash.acc=Has accessibility vcrypt.fingerprint.type.enum.flash.a=Has audio vcrypt.fingerprint.type.enum.flash.ae=Had audio encoder vcrypt.fingerprint.type.enum.flash.ev=Embedded video vcrypt.fingerprint.type.enum.flash.ime= Has input method editor (IME) installed vcrypt.fingerprint.type.enum.flash.mp3= Has MP3 vcrypt.fingerprint.type.enum.flash.pr= Supports printer vcrypt.fingerprint.type.enum.flash.sb= Supports screen broadcast applications vcrypt.fingerprint.type.enum.flash.sp= Supports playback on screen broadcast applications vcrypt.fingerprint.type.enum.flash.sa= Supports streaming audio vcrypt.fingerprint.type.enum.flash.sv= Supports streaming video vcrypt.fingerprint.type.enum.flash.tls= Supports native SSL vcrypt.fingerprint.type.enum.flash.ve= Contains video encoder vcrypt.fingerprint.type.enum.flash.deb= Debug version vcrypt.fingerprint.type.enum.flash.l= Language vcrypt.fingerprint.type.enum.flash.lfd= Is local file read disabled vcrypt.fingerprint.type.enum.flash.m= Manufacturer vcrypt.fingerprint.type.enum.flash.os= Operating System vcrypt.fingerprint.type.enum.flash.ar= Aspect ratio of screen vcrypt.fingerprint.type.enum.flash.pt= Player type vcrypt.fingerprint.type.enum.flash.col= Is screen color vcrypt.fingerprint.type.enum.flash.dp= Dots-per-inch (DPI) vcrypt.fingerprint.type.enum.flash.r= Screen resolution vcrypt.fingerprint.type.enum.flash.v= Flash version vcrypt.fingerprint.type.enum.monitordata=3 vcrypt.fingerprint.type.enum.monitordata.name=MonitorData vcrypt.fingerprint.type.enum.monitordata.description=Monitor Data vcrypt.fingerprint.type.enum.applet=999 vcrypt.fingerprint.type.enum.applet.name=Applet vcrypt.fingerprint.type.enum.applet.description=Applet vcrypt.fingerprint.type.enum.applet.processor=com.bharosa.uio.processor.device.AppletDeviceIdentificationProcessor vcrypt.fingerprint.type.enum.applet.header_list=java.version,java.vendor,os.name,os.arch,os.version vcrypt.fingerprint.type.enum.applet.header_name_nv=java.version,Java Version,java.vendor,Java Vendor Name,os.name,Operating System Name,os.arch,Operating System Architecture,os.version,Operating System Version vcrypt.fingerprint.type.enum.applet.header_value_nv=t,true,f,false vcrypt.fingerprint.type.enum.native_mobile=900 vcrypt.fingerprint.type.enum.native_mobile.name=Native Mobile vcrypt.fingerprint.type.enum.native_mobile.description=Native Mobile implementation using OIC vcrypt.fingerprint.type.enum.native_mobile.processor=com.bharosa.uio.processor.device.NativeMobileDeviceIdentificationProcessor vcrypt.fingerprint.type.enum.native_mobile.header_list=os.type,os.version,hw.imei,hw.mac_addr vcrypt.fingerprint.type.enum.native_mobile.header_name_nv=os.type,Operating System Type,os.version,Operating System Version,hw.imei,Hardware IMEI Number,hw.mac_addr,Hardware Mac Address vcrypt.fingerprint.type.enum.native_mobile.header_value_nv=t,true,f,false
OAAMを使用すると、様々な詳細タブやページで即時利用可能なフィンガープリント・データとともに、カスタム・デバイス識別アプレットによって生成されたカスタム・フィンガープリント・データを表示および検索できます。カスタム・フィンガープリント情報はネイティブ・モバイルおよびアプレットで使用できます。
カスタム・フィンガープリント処理は、デプロイメント時に設定できます。設定方法については、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』のデバイス識別の拡張に関する説明を参照してください。
次の詳細ページには、カスタム・フィンガープリント情報が表示されます。
ユーザー詳細ページの「サマリー」タブでは、「プロファイル・データ」セクションにフィンガープリント・データが表示されます。
ユーザー詳細のサマリー・ページからフィンガープリント情報を表示するには:
有効なユーザーのセッション・ページから、「ユーザーID」または「ユーザー名」リンクをクリックします。
ユーザーの詳細ページが表示されます。詳細は、6.11項「ユーザーの詳細ページ」を参照してください。
ユーザー詳細の「サマリー」タブでフィンガープリント情報を表示します。
このタブには、ログイン時にユーザーに対して作成されたフィンガープリントがリストされます。詳細は、6.11.1項「ユーザー詳細: 「サマリー」タブ」を参照してください。
このパネルに表示されるフィンガープリント・データID番号は、「フィンガープリント・データ」タブに表示されるものと同じです。フィンガープリント・データと「フィンガープリント・データ」タブの違いは、タブにはID番号およびその他の情報(ブラウザやロケールなど)が表示されることです。
ユーザー、デバイス、アラート、ロケーションおよびIPの各詳細ページにある「フィンガープリント・データ」タブには、フィルタとしてのカスタム・フィンガープリント・データおよび検索結果が、即時利用可能なフィンガープリント情報とともに表示されます。
選択元となる「フィールドの追加」フィルタ・アイテムは、選択されたフィンガープリント・タイプによって異なります。たとえば、「フィンガープリント・タイプ」フィールドで「ブラウザ」および「Flash」を選択した場合、「フィールドの追加」にはこれらのフィンガープリント・タイプに関連する検索フィールドのみがリストされます。デフォルトでは、フィンガープリント・タイプは「ブラウザ」に設定されています。
ドロップダウン内のリストおよび各フィンガープリント・タイプの結果列は、デプロイメント時に決定します。フィンガープリント・タイプのすべてのパラメータが検索に使用できるわけではありません。
フィンガープリント詳細の「サマリー」タブには、カスタム・フィンガープリント・タイプおよびパラメータが、即時利用可能なフィンガープリント情報とともに表示されます。
セッション詳細の「サマリー」には、カスタム・フィンガープリント・タイプに関する追加情報が、即時利用可能なフィンガープリント情報とともに表示されます。ブラウザ・タイプおよびオペレーティング・システムは常に表示されます。FlashおよびブラウザのフィンガープリントIDが表示されます。
セッション詳細の「サマリー」タブにある「デジタル・フィンガープリント・タイプ」フィールドには、デジタル・フィンガープリントを収集するのに使用されるデジタル・フィンガープリントのタイプが表示されます。カスタム・フィンガープリントを使用する場合、このフィールドにはカスタム・フィンガープリント・タイプ名が表示されます。
デバイス詳細の「サマリー」タブには、ブラウザの階層表示およびデジタル・フィンガープリント・データ情報(カスタム・フィンガープリント・データなど)が表示されます。
デフォルトでは、ブラウザ・フィンガープリントがサポートされています。OAAMでは、カスタム・フィンガープリントが1つ表示されます。
デバイスのカスタム・フィンガープリントとしてFlashが設定されている場合、ブラウザ・フィンガープリントに加えて、デジタル・フィンガープリントにFlashフィンガープリント詳細(「オペレーティング・システム・タイプ」、「ブラウザ・タイプ」、「プレーヤ・タイプ」、「音声対応」、「MP3対応」、「ストリーミング音声をサポートします」など)が表示されます。Flashがデバイスに関連付けられていない場合、Flashフィンガープリント詳細およびパラメータは表示されません。
デジタル・フィンガープリントが特定のデバイスについて変更された場合、セキュアなCookieが前のリクエストと同じであることから既存のデバイスIDとして使用が続行されるため、デバイスIDは保持され、新規デバイスは作成されません。
次に、カスタム・フィンガープリントのデプロイ方法およびその動作を示すユース・ケースを示します。
MikeはAcme CorpのWebアプリケーション開発者です。Mikeは、エンド・ユーザーのマシンのMACアドレスを取得し、ブラウザ/サーバー間相互作用の一環として取得したアドレスをOAAMサーバーに送信するブラウザ拡張機能を開発しました。OAAMデバイスのフィンガープリント処理が、媒体アクセス制御アドレス(MACアドレス)をデジタル・フィンガープリントとして使用するよう設定され、エンド・ユーザーが拡張機能をインストールしている場合、OAAM管理コンソールの詳細ページには、「デジタル・フィンガープリント」としてラベルされたMACアドレスが表示されます。
Acme Corpのデプロイメントにおいて、エンド・ユーザーが拡張機能をインストールしておらず、Flashをインストールしていない場合、OAAMデバイスのフィンガープリント処理では、セキュアなCookieおよびブラウザ・データのみがデバイスのフィンガープリント処理に使用されます。OAAM管理コンソールの詳細ページには、「デジタル・フィンガープリント」として何も表示されません。
JeffはAcme Corpのセキュリティ・アナリストです。Jeffはトランザクションの検索ページを開き、検索フィルタを構成して、特定の媒体アクセス制御アドレス(MACアドレス)を使用してニューヨークから過去24時間に行われた、任意の従業員プロファイルによるデバイスからのアクセス・トランザクションを検索します。この問合せにより25個のトランザクションが返されます。
Oracle Adaptive Access Managerは、デバイスのフィンガープリントを開発するために1つの要素にのみ依存しているわけではありません。デジタルCookieがクリアされても、Oracle Adaptive Access Managerは、デバイスの識別に他の情報を使用します。OAAMでは即時利用可能なFSOのみがサポートされていますが、カスタム・クライアントを使用することもできます。OAAMでは、デジタル・フィンガープリントが変更されたとしても、デバイスを一意に識別できます。OAAMには、すべてのフィンガープリント(ブラウザ、Flashまたはアプレット)が欠落している場合に備えて、使用されているデバイスを識別するなんらかのクライアント・フィンガープリント・デバイスが必要です。
Oracle Adaptive Access Managerのフィンガープリント処理デクノロジは、1つの要素にのみ依存しているわけではありません。Oracle Adaptive Access Managerでは、数多くの属性を使用して、通常ログインに使用されるデバイスの認識とフィンガープリント処理を行うことによって、機関のカスタマ基盤の対応範囲を拡大します。セキュアなCookieが欠落したり無効化されている場合、Oracle Adaptive Access Managerでは、デバイスの識別にFlashムービーやHTTPヘッダーなどの、他の要素を使用します。
次に示すような情報を収集すると、デバイスのフィンガープリント処理の問題をトラブルシューティングする際に役立ちます。
説明されているユース・ケースは、設計されたとおりのOAAM機能ですか。
デバイスのフィンガープリント・ポリシーがロードされていますか。
これがJAVA/.Net/SOAP統合の場合、デバイスのフィンガープリントのAPIコールはサンプル・アプリケーションおよびドキュメント内の順序と同一または類似していますか。
これがJAVA/.Net/SOAP統合の場合、デバイスのフィンガープリントに対する既知のバグ修正を含むすべてのパッチが適用されていますか。
正しい手順とデータを確認します。
データを収集するには次のSQLコマンドを実行します。
select * from VCRYPT_TRACKER_USERNODE_LOGS where USER_LOGIN_ID=loginId and CREATE_TIME > beginTime and CREATE_TIME < endTime;
ブラウザとクライアント・アプリケーション、および関連するエンド・ポイント・マシンの設定に注意してください。Cookieは有効になっていますか。Flashはインストールされていますか。
オペレーティング・システムやブラウザのアップグレードなど、説明されていないユース・ケース手順があったかどうかを判断します。
HTTPヘッダー・トレースを収集します。CookieおよびFlashオブジェクトは必要なときに欠落していますか。
