EPM Systemコンポーネントのセキュリティをさらに強化するには、Oracle Access ManagerまたはSiteMinderなど、サポートされているアクセス管理システムを実装できます。これらの製品では、認証済ユーザー・ログイン情報をEPM Systemコンポーネントに提供し、事前定義済のアクセス権限に基づいてアクセスを制御できます。
セキュリティ・エージェントからのSSOはEPM System Webアプリケーションでのみ使用可能です。このシナリオでは、EPM Systemコンポーネントは、セキュリティ・エージェントから提供されるユーザー情報を使用して、ユーザーのアクセス権を判別します。セキュリティを強化するには、すべての要求がSSOポータルを経由するように、サーバーへの直接のアクセスをファイアウォールでブロックすることをお薦めします。
アクセス管理システムからのSSOは、条件を満たしたSSOメカニズム経由で認証済のユーザー・ログイン情報を受け入れることによりサポートされます。サポートされているSSOメソッドを参照してください。アクセス管理システムにより、ユーザーが認証され、ユーザーのログイン名がEPM Systemに渡されます。EPM Systemにより、構成済のユーザー・ディレクトリに対してログイン名が確認されます。
次のトピックを参照してください。
概念を図で示します:
ブラウザを使用して、ユーザーはアクセス管理システム(Oracle Access Manager、SiteMinderなど)で保護されているリソースへのアクセスを要求します。
注:
EPM Systemコンポーネントは、アクセス管理システムで保護されているリソースとして定義されます。
アクセス管理システムは、要求をインターセプトし、ログイン画面を表示します。ユーザーはユーザー名とパスワードを入力します。これらは、ユーザーの信頼性を確認するためにアクセス管理システムで構成済ユーザー・ディレクトリに対して検証されます。EPM Systemコンポーネントは、これらのユーザー・ディレクトリと連動するようにも構成されています。
認証済ユーザーに関する情報は、EPM Systemコンポーネントに渡され、そのコンポーネントで有効なものとして受け入れられます。
アクセス管理システムは、条件を満たしたSSOメカニズムを使用して、ユーザーのログイン名(ログイン属性の値)をEPM Systemコンポーネントに渡します。サポートされているSSOメソッドを参照してください。
ユーザー・ログイン情報を確認するために、EPM Systemコンポーネントにより、ユーザー・ディレクトリでユーザーの検索が試みられます。一致するユーザー・アカウントが見つかると、ユーザー情報がEPM Systemコンポーネントに戻されます。EPM Systemセキュリティにより、EPM Systemコンポーネント全体でSSOを使用可能にするSSOトークンが設定されます。
取得したユーザー情報を使用して、EPM Systemコンポーネントにより、ネイティブ・ディレクトリへの問合せが行われ、ユーザーのプロビジョニングの詳細が入手されます。
ユーザー・プロビジョニング情報を受け取ると、EPM Systemコンポーネントはユーザーに対して使用可能になります。SSOは、ユーザーがプロビジョニングされているすべてのEPM Systemコンポーネントで使用可能です。