| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11g リリース2 (11.1.2) B70199-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11g リリース2 (11.1.2) B70199-02 |
|
前 |
次 |
Oracle Adaptive Access Managerをインストールする場合、実行可能ファイル、jarファイル、ライブラリなどのバイナリ・ファイルをインストールします。次に、構成ツールを使用してソフトウェアを構成します。
この章では、Oracle Adaptive Access Manager環境を初めて設定する場合の詳細を示します。既存のOracle Adaptive Access Manager 10g (10.1.4.5)をOracle Adaptive Access Manager 11g リリース2 (11.1.2)にアップグレードする方法は、『Oracle Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド』を参照してください。
このマニュアルのすべてのタスクは、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』で説明されているようにOracle Adaptive Access Manager 11gをインストールし、初期構成を完了していることを前提としています。
インストール・プロセス(インストール後の手順も含む)の完了後、グラフィカル・ユーザー・インタフェースまたはコマンドライン・ツールを使用して認証メカニズム、リスク・ベースのチャレンジ方法、ポリシー管理および統合を管理するには、Oracle Adaptive Access Managerのベース環境を設定する必要があります。ベース環境の設定には、次のタスクが含まれます。
表2-1 OAAMベース環境を設定するためのタスク
| 番号 | タスク | 説明 |
|---|---|---|
|
1 |
CLI環境の設定 |
Oracle Adaptive Access Managerのコマンドライン・インタフェース(CLI)スクリプトでは、Oracle Adaptive Access Manager管理コンソールを使用しないで様々なタスクを実行できます。 暗号化およびデータベース資格証明を設定する前に、CLI環境を設定する必要があります。 CLI環境の設定の詳細は、2.3項「CLI環境の設定」を参照してください。 |
|
2 |
暗号化およびデータベース資格証明の設定 |
詳細は、2.4項「Oracle Adaptive Access Managerの暗号化およびデータベース資格証明の設定」を参照してください。 |
|
3 |
OAAMユーザーの作成 |
詳細は、2.5項「OAAMユーザーの作成」を参照してください。 |
|
4 |
OAAMベース・スナップショットのインポート |
詳細は、2.6項「OAAMスナップショットのインポート」を参照してください。 |
|
5 |
IPロケーション・データのインポート |
詳細は、2.7項「IPロケーション・データのインポート」を参照してください。 |
|
6 |
OTPの有効化 |
詳細は、2.8項「OTPの有効化」を参照してください。 |
|
7 |
OAAM管理コンソールのタイムスタンプに使用されるタイムゾーンの設定 |
詳細は、2.9項「OAAM管理コンソールでのすべてのタイムスタンプに使用されるタイム・ゾーンの設定」を参照してください。 |
Oracle Adaptive Access Managerのコマンドライン・インタフェース(CLI)スクリプトでは、Oracle Adaptive Access Manager管理コンソールを使用しないで様々なタスクを実行できます。
CLI作業フォルダの設定
資格証明ストア・フレームワーク(CSF)の構成の設定
Oracle Adaptive Access Managerデータベース資格証明の設定
この項では、CLIフォルダ$IDM_ORACLE_HOME/oaam/cliを作業ディレクトリ(oaam_cliなど)にコピーします。
|
注意:
|
作業ディレクトリを作成します。
mkdir work
cd work
mkdir oaam_cli
次のコマンドを実行して、oaam_cliフォルダを作業ディレクトリにコピーします。
Unixの場合
次のコマンドを実行します。
cp -r <IDM_ORACLE_HOME>/oaam/cli ~/work/oaam_cli
Windowsの場合
次のコマンドを実行します。
xcopy/s <IDM_ORACLE_HOME>\oaam\cli c:\work\oaam_cli
フォルダ全体がコピーされるように、求められたらD=directoryを選択します。
資格証明ストアは、ユーザー名とパスワードの組合せ、チケットまたは公開鍵証明書を保持できるリポジトリです。Oracle Platform Security Servicesは資格証明ストア・フレームワーク(CSF)を備えています。これは、アプリケーションで資格証明を安全に作成、読取り、更新および管理する際に使用できる一連のAPIです。OAAMではCSF APIを使用して資格証明にアクセスします。資格証明はOracle WebLogic Serverドメイン内のCSFに格納され、Oracle Fusion Middleware Enterprise Manager ControlまたはOracle WebLogic Scripting Tool (WLST)を使用して管理します。
CSFに格納されているOAAM暗号化キーにアクセスするには、次のいずれかのメカニズムを選択します。
Mbeanを含まないCSF
Mbeanを含むCSF
このアプローチに関する重要な注意事項は次のとおりです。
この方法では、Oracle Adaptive Access Managerコマンドライン・ユーティリティ・スクリプトをWebLogic Serverと同じコンピュータで実行する必要があります。
この方法では、WebLogic管理者とパスワードを指定する必要はありません。
Oracle Adaptive Access Managerがクラスタ化された環境にデプロイされている場合、この方法はお薦めしません。
このメカニズムを使用するには、cliフォルダをコピーした作業フォルダに移動し、テキスト・エディタでファイルconf/bharosa_properties/oaam_cli.propertiesを開いて次のプロパティを設定します。
| プロパティ名 | プロパティ値に関する注意事項 |
|---|---|
|
oaam.csf.useMBeans |
false |
|
oaam.jps.config.filepath |
|
|
oaam.db.url |
Oracle Adaptive Access Managerデータベースの有効なJDBC URLを指定します。誤入力がないことを確認します。 |
|
oaam.db.additional.properties.file |
追加のToplinkプロパティがない場合は、空白のままにします。 それ以外の場合は、追加のToplinkプロパティを含むプロパティ・ファイルの名前を指定します。ファイルが |
|
oaam.db.driver |
|
|
oaam.db.min.read-connections |
1 (必要な場合を除き、この値は変更しないでください) |
|
oaam.db.max.read-connections |
25 (必要な場合を除き、この値は変更しないでください) |
|
oaam.db.min.write-connections |
1 (必要な場合を除き、この値は変更しないでください) |
|
oaam.db.max.write-connections |
25 (必要な場合を除き、この値は変更しないでください) |
このアプローチに関する重要な注意事項:
Oracle Adaptive Access Managerがクラスタ化された環境にデプロイされている場合、この方法をお薦めします。
この方法では、Oracle Adaptive Access Manager WebLogic Serverにリモートで接続できます。
この方法では、Oracle Adaptive Access Manager WebLogic管理者ユーザーとパスワードを指定する必要があります。
MBeanを含むCSFを使用してOracle Adaptive Access Managerデータベースの詳細を構成するには、cliフォルダをコピーした作業フォルダに移動し、テキスト・エディタでファイルconf/bharosa_properties/oaam_cli.propertiesを開いて次のプロパティを設定します。
| プロパティ名 | プロパティ値に関する注意事項 |
|---|---|
|
oaam.csf.useMBeans |
true (trueを維持します) |
|
oaam.adminserver.hostname |
<Host name where WebLogic Administration Server runs> |
|
oaam.adminserver.port |
<Port number of WebLogic Administration Server.Usually it is 7001> |
|
oaam.adminserver.username |
<User name of the WebLogic Administrator user.通常はWebLogic> |
|
oaam.adminserver.password |
<Password of the WebLogic Administrator user> |
|
oaam.db.url |
Oracle Adaptive Access Managerデータベースの有効なJDBC URLを指定します。誤入力がないことを確認します。 |
|
oaam.db.additional.properties.file |
追加のToplinkプロパティがない場合は、空白のままにします。 それ以外の場合は、追加のToplinkプロパティを含むプロパティ・ファイルの名前を指定します。ファイルが |
|
oaam.db.driver |
oracle.jdbc.driver.OracleDriver (この値は、Oracle Adaptive Access ManagerスキーマがOracle以外のデータベースにある場合にのみ変更します) |
|
oaam.db.min.read-connections |
1 (必要な場合を除き、この値は変更しないでください) |
|
oaam.db.max.read-connections |
25 (必要な場合を除き、この値は変更しないでください) |
|
oaam.db.min.write-connections |
1 (必要な場合を除き、この値は変更しないでください) |
|
oaam.db.max.write-connections |
25 (必要な場合を除き、この値は変更しないでください) |
資格証明ストア・フレームワークでのデータベース資格証明の構成には、次の手順があります。
Oracle Enterprise Manager Fusion Middleware Controlを使用して、データベース資格証明(ユーザー名とパスワード)をOracle Adaptive Access Managerがインストールされているドメインの資格証明ストア・フレームワークに追加します。これらの資格証明は、Oracle Adaptive Access Managerコマンドライン・ユーティリティで使用されます。
WebLogic管理サーバーおよびOracle Adaptive Access Managerデータベースの詳細を使用して、Oracle Adaptive Access Manager CLIユーティリティで使用されるプロパティ・ファイルを構成します。
資格証明ストアの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。図2-1に、データベース資格証明の設定を示します。
CSFでデータベース資格証明を設定する手順は、2.4.6項「資格証明ストア・フレームワークでのOracle Adaptive Access Managerデータベース資格証明の設定」を参照してください。
CSFでOracle Adaptive Access Managerデータベース資格証明を設定しないで、persistence.xmlを使用する場合は、次の手順を実行します。ただし、このアプローチは推奨されておらず、サポートされていません。
cliフォルダをコピーした作業フォルダに移動します。テキスト・エディタでファイルconf/bharosa_properties/oaam_cli.propertiesを開き、oaam.db.toplink.useCredentialsFromCSFのプロパティ値をfalseに設定します。
次の例のように、関連するeclipselink.jdbcプロパティを編集して、Oracle Adaptive Access Managerデータベース接続の詳細をMETA-INF/persistence.xmlファイルで更新します。
<property name="eclipselink.jdbc.driver" value="oracle.jdbc.driver.OracleDriver"/> <property name="eclipselink.jdbc.url" value="jdbc:oracle:thin:@<dbhost.mydomain.com>:1521/<SERVICE_NAME>"/> <property name="eclipselink.jdbc.user" value="<OAAM DB USER>"/> <property name="eclipselink.jdbc.password" value="< DB Password >"/>
oaam_serverおよびoaam_adminの初回起動時に即時利用可能な暗号化キーが存在しない場合は自動的に生成されます。
Oracle Adaptive Access Managerでは、秘密鍵を使用して、資格証明ストア・フレームワークに格納されたデータが暗号化されます。暗号化では、Oracle Adaptive Access Manager内のデータが不正なアクセスから保護されます。この処理では、メソッドとキーを使用して、プレーン・テキストを判読不可能な形式にエンコードします。暗号化された情報を復号化し、再度読めるようにするには、キーが必要です。キーを所有し、認可されているユーザーは、同じキーを使用して暗号化された情報を復号化できます。
秘密鍵について
Oracle Adaptive Access Managerでは、資格証明ストア・フレームワークに格納されたデータを暗号化するには秘密鍵を設定する必要があります。これらの秘密鍵は、Oracle Enterprise Manager Fusion Middleware Controlを使用して、WebLogicサーバーの資格証明ストア・フレームワークに追加できます。
OAAMが機能するには、次の3つのキーを作成する必要があります。
oaam_db_key
DESede_db_key_alias
DESede_config_key_alias
oaam_db_keyはデータベースにアクセスするために使用され、手動で追加する必要があります。oaam_db_keyの詳細は、2.3.3項「Setting Up Oracle Adaptive Access Managerデータベース資格証明の設定」を参照してください。
DESedeキーはデータを暗号化するために使用されます。この項の冒頭で説明したように、これらのキーが存在しない場合は、OAAMサーバーによって最初の起動時に作成されます。その DESedeキーを使用することも、独自のキーを作成することもできます。
独自のDESedeキーを使用する場合は、作成および暗号化について次の2つの選択肢があります。
独自の秘密鍵(文字列)を用意し、encodeKey.shを使用してエンコードしてその値を保存するか、または
generateEncodedKey.shを使用して1つの手順でキーを生成してエンコードします。
値がサーバーによって生成される場合、またはgenerateEncodedKey.shを使用する場合、秘密のフレーズはわかりません。エンコードされた値のみがわかります。この値はバックアップする必要があります。独自の秘密鍵を使用する場合は、エンコードされた値を再生成できます。
暗号化の設定
暗号化の設定には、次の手順があります。
構成値とデータベースの両方の秘密鍵(対称鍵)が使用可能であることを確認します。秘密鍵がない場合は、genEncodedKeyコマンドを使用して、エンコードされた対称鍵を生成します。
encodeKeyコマンドのbase64encodeオプションを使用してキーをエンコードします。genEncodedKeyコマンドを使用してキーを生成した場合、この手順は必要ありません。
Oracle Enterprise Manager Fusion Middleware Controlを使用して、エンコードされた秘密鍵をOracle Adaptive Access Managerがインストールされているドメインの資格証明ストア・フレームワークの別名に追加します。
資格証明ストアは、ユーザー名とパスワード、または一般的な資格証明(証明書)を格納するためのリポジトリです。資格証明ストアを使用するメリットは、アプリケーションにパスワードがクリアテキストで格納されず、パスワード保護に独自のソリューションを考案する必要がないことです。これにより、管理者および開発者は、一貫性のある資格証明リポジトリを使用して作業できる可能性が高くなります。
Oracle Adaptive Access Managerの暗号化およびデータベース資格証明の設定の前提条件は次のとおりです。
Oracle Adaptive Access Managerのインストール・フォルダへのアクセス権がない場合は、ドメインの作成中にOracle Adaptive Access Manager 11gがOracle Enterprise Manager Fusion Middleware Controlを使用して構成されていることを確認します。
Oracle Adaptive Access Managerのインストール・フォルダへのアクセス権がある場合は、MW_HOME\IDM_ORACLE_HOME\oaam\cliフォルダでコマンドライン・スクリプトを実行できることを確認します。
JDKがインストールされていることを確認し、javaコマンドを実行してjavaコマンドがパスにあることをチェックします。
|
注意: Oracle Adaptive Access Manager 10.1.4.5からOracle Adaptive Access Manager 11gにアップグレードする場合は、Upgrade Assistantによって秘密鍵がOracle Adaptive Access Manager 10.1.4.5からOracle Adaptive Access Manager 11gの資格証明ストア・フレームワークに自動的に移行されるため、2.4.2項「構成値を暗号化するためのエンコードされた秘密鍵の設定」、2.4.3項「データベース値を暗号化するためのエンコードされた秘密鍵の設定」および2.4.4項「エンコードされた秘密鍵の生成」を省略できます。 |
構成値を暗号化するためにエンコードされた秘密鍵を設定するには、次の手順を実行します。
Oracle Adaptive Access Managerのコマンドライン・フォルダMW_HOME\IDM_ORACLE_HOME\oaam\cliに移動します。
ファイルconfig_secret_key.fileを作成し、次のように入力してファイルに秘密鍵を追加します。
tobase64=<secret-key>
|
注意:
|
次のコマンドを実行し、Base64アルゴリズムを使用してキーをエンコードします。
Unixの場合
encodeKey.sh config_secret_key.file
Windowsの場合
encodeKey.cmd config_secret_key.file
エンコーディング・コマンドが正常に実行された場合は、次のような出力が表示されます。
base64encode is done! Base64 Encoded value =<encoded_value>
KeyStoreコマンドが正常に実行されなかった場合は、次のようなエラーが表示されます。
Exception in thread "main" java.lang.NoClassDefFoundError: while resolving class: com.bharosa.vcrypt.common.util.KeyStoreUtil at java.lang.VMClassLoader.resolveClass(java.lang.Class) (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.initializeClass() (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.forName(java.lang.String, boolean, java.lang.ClassLoader) (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.forName(java.lang.String) (/usr/lib/libgcj.so.5.0.0)
画面に表示されたキーのエンコード済の値を書き留めます。空白がないことを確認します。これは、資格証明ストア・フレームワークに追加するために必要です。
データベース値を暗号化するために秘密鍵を設定するには、次の手順を実行します。
Oracle Adaptive Access Managerのコマンドライン・フォルダMW_HOME\IDM_ORACLE_HOME\oaam\cliに移動します。
ファイルdb_secret_key.fileを作成し、次のように入力してファイルに秘密鍵を追加します。
tobase64=<secret-key>
|
注意:
|
次のコマンドを実行し、Base64アルゴリズムを使用してキーをエンコードします。
Unixの場合
encodeKey.sh db_secret_key.file
Windowsの場合
encodeKey.cmd db_secret_key.file
エンコーディング・コマンドが正常に実行された場合は、次のような出力が表示されます。
base64encode is done! Base64 Encoded value = <encoded_value>
KeyStoreコマンドが正常に実行されなかった場合は、次のようなエラーが表示されます。
Exception in thread "main" java.lang.NoClassDefFoundError: while resolving class: com.bharosa.vcrypt.common.util.KeyStoreUtil at java.lang.VMClassLoader.resolveClass(java.lang.Class) (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.initializeClass() (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.forName(java.lang.String, boolean, java.lang.ClassLoader) (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.forName(java.lang.String) (/usr/lib/libgcj.so.5.0.0)
画面に表示されたキーのエンコード済の値を書き留めます。空白がないことを確認します。これは、資格証明ストア・フレームワークに追加するために必要です。
エンコードされた秘密鍵を生成するには、次の手順を実行します。
次のコマンドを実行します。
Unixの場合
genEncodedKey.sh sample.db_3des_input.properties
Windowsの場合
genEncodedKey.cmd sample.db_3des_input.properties
コマンドが正常に実行された場合は、次のような出力が表示されます。
Generated key = <encoded_key>
|
注意: 生成されたキーはすでにエンコードされているため、エンコードする必要はありません。 |
ドメインの作成後にOAAMサーバーを起動すると、OAAMサーバーによって自動的に秘密鍵が生成されます。異なる秘密鍵を使用しない場合は、それらの自動生成された秘密鍵を使用できます。
資格証明ストア・フレームワークに秘密鍵を追加するには、次の手順を実行します。
Webブラウザを使用してOracle Enterprise Manager Fusion Middleware Control (http://weblogic_admin_server:port/em)にログインし、WebLogic管理者資格証明を使用してログインします。
左パネルのナビゲーション・ツリーで「WebLogicドメイン」アイコンを展開します。
OAAMドメインを選択して右クリックし、メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「oaam」という名前のマップがあるかどうかを確認します。ない場合は、「マップの作成」オプションをクリックし、「マップ名」をoaamと入力します。「OK」をクリックしてマップを保存します。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ・ダイアログで「マップの選択」が「oaam」に設定されていることを確認します。
次の値を入力します。
「説明」フィールドに説明を入力します。
「OK」をクリックして、秘密鍵を資格証明ストア・フレームワークに保存します。
別名および秘密鍵を必ずバックアップしてください。
バックアップは、ドメインを再作成し、ドメインで既存のOracle Adaptive Access Managerデータベースを指す必要がある場合に必要になります。
|
注意: 多くの重要な管理操作で暗号化されたデータが必要とされるため、秘密鍵を失った場合、Oracle Adaptive Access Managerデータベースの既存のデータはすべて使用できなくなります。 |
資格証明ストア・フレームワークでOracle Adaptive Access Managerデータベース資格証明を設定するには、次の手順を実行します。
Webブラウザを使用してOracle Enterprise Manager Fusion Middleware Control (http://weblogic_admin_server:port/em)にログインし、WebLogic管理者資格証明を使用してログインします。
左パネルのナビゲーション・ツリーで「WebLogicドメイン」アイコンを展開します。
OAAMドメインを選択して右クリックし、メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「oaam」という名前のマップがあるかどうかを確認します。ない場合は、「マップの作成」オプションをクリックし、「マップ名」をoaamと入力します。「OK」をクリックしてマップを保存します。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ・ダイアログで「マップの選択」が「oaam」に設定されていることを確認します。
次の値を入力します。
説明を入力します。
「OK」をクリックして、秘密鍵を資格証明ストア・フレームワークに保存します。
使用したエンコードされた秘密鍵をバックアップする必要があります。Oracle Adaptive Access Manager 11gドメインの再作成が必要な場合にこれらの鍵が必要になることがあります。エンコードされた秘密鍵および別名を必ず書き留めてください。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左パネルでWebLogicドメインを開き、OAAMドメインを選択します。
OAAMドメインから「セキュリティ」を選択し、「資格証明」を選択します。
oaamを開き、タイプ「汎用」に関連付けられた対称鍵関連のエントリを選択します。
「編集」を選択します。
「資格証明」セクションに移動し、対称鍵関連のエントリをコピーし、鍵の名前を書き留めます。
前述の手順を繰り返し、データベースおよび構成の鍵をバックアップします。
|
注意: Oracle Adaptive Access Manager 11gドメインを削除して再作成する場合は、Oracle Adaptive Access Managerデータベースの既存のデータが正しく復号化されるように、暗号化鍵を設定するときに必ずバックアップした秘密鍵を使用してください。 |
Oracle Adaptive Access Managerユーザーは、自分に割り当てられているロールに基づいて機能にアクセスできます。このような管理者ロールは、それぞれの職務別に割り当てられる特定の権限を持ちます。
新規ユーザーを作成し、Oracle WebLogic管理コンソールを使用して、WebLogic管理ドメインで関連するOracle Adaptive Access Managerロールを割り当てることができます。1人のユーザーに複数のロールを割り当てるのは避けることをお薦めします。複数のロールが割り当てられたユーザーは、異なるグループのすべての権限を持つことになります。
外部LDAPストアでユーザーおよびグループの作成を行う場合は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。
OAAMユーザーを作成するには、次の手順を実行します。
WebLogic管理ドメインのOracle WebLogic管理コンソールにログインします。
左パネルで「セキュリティ・レルム」を選択します。
セキュリティ・レルムの概要ページで、レルムの名前(myrealmなど)を選択します。
レルム名・ページで、「ユーザーとグループ」→「ユーザー」を選択します。
「新規」をクリックし、セキュリティ・レルムにユーザー(user1など)を作成するのに必要な情報を指定します。
新規作成したユーザーのuser1をクリックします。
「グループ」タブをクリックします。
OAAM接頭辞のあるグループをすべて、ユーザーuser1に割り当てます。
「保存」をクリックします。
Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。oaam_base_snapshot.zipファイルは、MW_HOME/IDM_ORACLE_HOME/oaam/initディレクトリに配置されています。
次のURLを使用して、Oracle Adaptive Access Manager管理コンソール(OAAM管理)にログインします。
http://host:port/oaam_admin
次の手順に従ってスナップショット・ファイルをシステムにロードします。
ナビゲーション・ツリーで、「環境」にある「システム・スナップショット」を開きます。
「ファイルからロード」ボタンをクリックします。
「スナップショットのロードおよびリストア」ダイアログが表示されます。
「現在のシステムをすぐにバックアップ」の選択を解除し、「続行」をクリックします。
ダイアログが開き、現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージが表示されます。
現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージのダイアログが表示されたら、「続行」をクリックします。
ロードするスナップショットを選択するためのスナップショットのロードおよびリストア・ページが表示されます。
oaam_base_snapshot.zipを参照し、「ロード」ボタンをクリックしてスナップショットをシステム・データベースにロードします。
「OK」→「リストア」をクリックします。
スナップショットには、OAAMにインポートする必要のある次の項目が含まれています。
英語(アメリカ合衆国)のチャレンジ質問
登録、新規アカウントのオープン、またはリセットなどの別のイベントの際、ユーザーは質問のリストから様々な質問を選択し、回答を入力します。チャレンジ質問と呼ばれるこれらの質問は、ユーザーを認証するために使用されます。
ユーザーが登録のための質問に回答できるようにするには、サポート対象の言語での質問がシステムに存在している必要があります。これらの質問では、OAAMサーバーへのログインも必要な場合があります。
認証の際に追跡されるアクターは認証エンティティと呼ばれ、ユーザー、市区町村、デバイスなどが含まれます。これらのベース・エンティティは、パターンに使用される条件を有効にする際に必要となります。
パターンは、1つのバケットを定義したり、複数のバケットを動的に作成する際に、Oracle Adaptive Access Managerによって使用されます。Oracle Adaptive Access Managerでデータが収集され、パターン・パラメータに基づいてこれらのバケットにメンバーが移入されると、動的に変化するメンバーシップとバケットの分散についてルールによるリスク評価が実行されます。
即時利用可能な構成可能なアクション
構成可能なアクションとは、チェックポイント実行後に結果アクションまたはリスク・スコアリングあるいはその両方に基づいてトリガーされるアクションです。構成可能なアクションは、アクション・テンプレートを使用して作成されます。
|
注意: Oracle Adaptive Access Manager 10.1.4.5からOracle Adaptive Access Manager 11gにアップグレードする場合、Oracle Adaptive Access Manager 11gのアクション・テンプレートがグローバル化されたことにより違いが生じたため、即時利用可能なアクション・テンプレートの名前や説明が多少異なっています。 |
ポリシーは、ビジネス・アクティビティや日常操作において発生する潜在的に危険なアクティビティを評価して対処できるように作成されています。
OAAMには、ルール、ユーザー・グループ、およびアクションとアラート・グループに使用されるアイテムのコレクションが付属しています。
いずれかのプロパティをカスタマイズする必要がある場合には、そのスナップショットを新しいテスト・システムにインポートし、変更を加えてエクスポートし、新しいシステムにインポートします。または、スナップショットを新しいシステムにインポートしてプロパティを直接変更することで、テスト・システムを完全に除外できます。
|
注意: 11.1.1.3.0から11.1.2にアップグレードする場合には、スナップショットをインポートしないでください。この手順は、最初の初期設定の場合にのみ適用できます。スナップショットのインポートは、既存の環境を上書きし、新規のものと置き換えます。アップグレードの場合には、エンティティに対応した個別のzipファイル、定義またはポリシーをインポートします。 |
ポリシー、コンポーネント、および構成のアップグレードの場合は、バックアップを実行してから個別のファイルをインポートします。指定可能なベンダーは、次のとおりです。
ベース・ポリシーは、MW_HOME/IDM_ORACLE_HOME/oaam/initディレクトリにあるoaam_policies.zipに含まれています。
構成可能なアクション・テンプレートは、MW_HOME/IDM_ORACLE_HOME/oaam/initディレクトリにあるOOTB_Configurable_Actions.zipファイルに含まれています。
ベース認証を必要とするエンティティは、MW_HOME/IDM_ORACLE_HOME/oaam/initディレクトリにあるAuth_EntityDefinition.zipファイルに含まれています。
デフォルト・パターンは、MW_HOME/IDM_ORACLE_HOME/oaam/initディレクトリにあるOOB_Patterns.zipファイルに含まれています。
リスク・ポリシーは、IPロケーション・データを使用して特定のIPアドレス(ロケーション)に関連する不正のリスクを判断します。
ログインまたはトランザクションのロケーションを確認するには、このデータをOAAMデータベースにアップロードする必要があります。OAAMデータベースにデータをロードする方法は、26.3項「IPロケーション・データのインポート」を参照してください。
OTPの有効化の詳細は、8項「OTP Anywhereの設定」を参照してください。
タイム・ゾーンでは、同じローカル・タイムを常に共有する地域が識別されます。
タイム・ゾーンはOracle Adaptive Access Manager全体で様々な目的に使用されます。タイムスタンプでは、アラートが生成された時間、ジョブのプロセス開始日と終了日、検索ページなどを示すことができます。ほとんどの場合、ユーザーは、それぞれのローカル・タイムゾーンで操作することを望みます。管理者は、OAAM管理コンソールの優先タイム・ゾーンを構成できます。
プロパティはシステム全体のタイム・ゾーン設定であり、ユーザーごとの設定ではありません。すべてのユーザーは、単一のタイム・ゾーン内に含まれる必要があります。
タイム・ゾーンとブラウザのロケール・フォーマットは相互に独立していることに注意してください。たとえば、ブラウザをen-gbに設定したが、oaam.adf.time zoneをAmerica/Los_Angelesに設定した場合、タイムスタンプはイギリスのロケール・フォーマットによって書式設定されますが、タイム・ゾーンは太平洋時間のままとなります。
プロパティ・エディタを使用して、oaam.adf.timezoneを希望するタイム・ゾーンに設定します。
次に例を示します。
oaam.adf.timezone = Atlantic/Reykjavik
プロパティ・エディタの使用方法は、第25章「プロパティ・エディタの使用」を参照してください。
C.1.15項「タイム・ゾーン・プロパティ」にリストされているタイム・ゾーン。
即時使用可能なサポートされている暗号化アルゴリズム
AES
DES
DESede (トリプルDES)
DESedeがデフォルトです。
異なる暗号化に切り替えるには
プロパティbharosa.cipher.encryption.algorithm.system.defaultを次のいずれかに設定します。
DES
AES
新しい暗号化アルゴリズムを追加するには、次の手順を実行します。
インタフェースcom.bharosa.common.util.Passwordを実装するJavaクラスを記述します。
メソッドencrypt()およびdecrypt()を実装します。
次の属性のあるbharosa.cipher.encryption.algorithm.enum列挙の要素をoaam_custom.propertiesファイルに追加します。
name: アルゴリズムの名前
description: アルゴリズムの説明
classname: 手順1で作成したJavaクラスの完全修飾クラス名。
keyRetrieval.className: com.bharosa.common.util.cipher.CSFKeyRetrievalに設定します。
prefix.system: 暗号化中に使用される接頭辞(オプション)
alias: 暗号化アルゴリズムの別名
プロパティbharosa.cipher.encryption.algorithm.system.defaultを新しく追加した要素名に設定します。
jarおよび関連するプロパティ・ファイルをコンパイルおよび作成します。
それらをOAAM extensions warとしてパッケージ化します。
OAAM extensions warをデプロイし、oaam_adminとoaam_serverの両方にターゲット指定します。
OAAM拡張共有ライブラリの使用の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』を参照してください。
