Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11g リリース2 (11.1.2) B70199-04 |
|
![]() 前 |
![]() 次 |
この章では、Oracle Adaptive Access Manager環境を初めて設定する場合の詳細を示します。Oracle Adaptive Access Managerをインストールする場合、実行可能ファイル、jarファイル、ライブラリなどのバイナリ・ファイルをインストールします。次に、構成ツールを使用してソフトウェアを構成します。
既存のOracle Adaptive Access ManagerをOracle Adaptive Access Manager 11gリリース2 (11.1.2)にアップグレードする方法は、『Oracle Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド』を参照してください。
この章では、次の内容を説明します。
インストール・プロセス(インストール後の手順も含む)が完了した後で、グラフィカル・ユーザー・インタフェースまたはコマンドライン・ツールを使用して認証メカニズム、リスク・ベースのチャレンジ方法、ポリシー管理および統合を管理するには、Oracle Adaptive Access Managerのベース環境を設定する必要があります。
表2-1に、ベースとなるOracle Adaptive Access Manager環境を設定する高レベル・タスクの概要を示します。
表2-1 OAAMベース環境の設定
番号 | タスク | 情報 |
---|---|---|
1 |
前提条件を確認します。 |
詳細は、「前提条件」を参照してください。 |
2 |
CLI環境を設定します。 |
詳細は、「CLI環境の設定」を参照してください。 |
3 |
暗号化とデータベース資格証明を設定します。 |
詳細は、「暗号化およびデータベース資格証明の設定」を参照してください。 |
4 |
OAAMユーザーを作成します。 |
詳細は、「OAAMユーザーの作成」を参照してください。 |
5 |
OAAMスナップショットをインポートします。 |
詳細は、「OAAMスナップショットのインポート」を参照してください。 |
6 |
IPロケーション・データをインポートします。 |
詳細は、「IPロケーション・データのインポート」を参照してください。 |
7 |
タイムゾーンの設定。 |
詳細は、「OAAM管理コンソールですべてのタイムスタンプに使用されるタイム・ゾーンの設定」を参照してください。 |
8 |
デプロイメントで使用する場合はOTPを有効化します。 |
詳細は、「OTPの有効化」を参照してください。 |
このマニュアルのすべてのタスクは、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』で説明されているようにOracle Adaptive Access Manager 11gをインストールし、初期構成を完了していることを前提としています。
注意: OAAMで推奨されるデータベースのバージョンは、Oracle Database Enterprise Editionです。 |
Oracle Adaptive Access Managerのコマンドライン・インタフェース(CLI)スクリプトでは、Oracle Adaptive Access Manager管理コンソールを使用しないで様々なタスクを実行できます。
CLI作業フォルダの設定
CLIスクリプト起動のプロパティの指定(オプション)
資格証明ストア・フレームワーク(CSF)の構成の設定
Oracle Adaptive Access Managerデータベース資格証明の設定
この項では、CLIフォルダ$IDM_ORACLE_HOME
/oaam/cli
を作業ディレクトリ(oaam_cli
など)にコピーします。
注意:
|
作業ディレクトリを作成します。
mkdir work
cd work
mkdir oaam_cli
次のコマンドを実行して、oaam_cli
フォルダを作業ディレクトリにコピーします。
UNIXの場合:
次のコマンドを実行します。
cp -r IDM_ORACLE_HOME/oaam/cli ~/work/oaam_cli
Windowsの場合
次のコマンドを実行します。
xcopy/s IDM_ORACLE_HOME\oaam\cli c:\work\oaam_cli
フォルダ全体がコピーされるように、求められたらD=directory
を選択します。
CLIスクリプトは起動時に、ミドルウェアのホームの場所とOracle WebLogicのインストール場所を必要とします。11.1.2.1.0以降では、これらをoaam_cli.properties
で指定するオプションがあります。以前のバージョンでは、この情報を含む環境変数を設定するか、この情報をコマンドラインで入力する必要がありました。
資格証明ストアは、ユーザー名とパスワードの組合せ、チケットまたは公開鍵証明書を保持できるリポジトリです。Oracle Platform Security Servicesは資格証明ストア・フレームワーク(CSF)を備えています。これは、アプリケーションで資格証明を安全に作成、読取り、更新および管理する際に使用できる一連のAPIです。OAAMではCSF APIを使用して資格証明にアクセスします。資格証明はOracle WebLogic Serverドメイン内のCSFに格納され、Oracle Fusion Middleware Enterprise Manager ControlまたはOracle WebLogic Scripting Tool (WLST)を使用して管理します。
CSFに格納されているOAAM暗号化キーにアクセスするには、次のいずれかのメカニズムを選択します。
Mbeanを含まないCSF
Mbeanを含むCSF
このアプローチに関する重要な注意事項は次のとおりです。
この方法では、Oracle Adaptive Access Managerコマンドライン・ユーティリティ・スクリプトをWebLogic Serverと同じコンピュータで実行する必要があります。
この方法では、WebLogic管理者とパスワードを指定する必要はありません。
Oracle Adaptive Access Managerがクラスタ化された環境にデプロイされている場合、この方法はお薦めしません。
このメカニズムを使用するには、cli
フォルダをコピーした作業フォルダに移動し、conf/bharosa_properties/oaam_cli.properties
ファイルをテキスト・エディタで開いて、次のプロパティを設定します。
プロパティ名 | プロパティ値に関する注意事項 |
---|---|
oaam.csf.useMBeans |
false |
oaam.jps.config.filepath |
$DOMAIN_HOME/config/fmwconfig
|
oaam.db.url |
Oracle Adaptive Access Managerデータベースの有効なJDBC URLを指定します。誤入力がないことを確認します。 |
oaam.db.additional.properties.file |
追加のToplinkプロパティがない場合は、空白のままにします。 それ以外の場合は、追加のToplinkプロパティを含むプロパティ・ファイルの名前を指定します。ファイルが |
oaam.db.driver |
この値を変更するのは、Oracle Adaptive Access ManagerスキーマがOracle以外のデータベースにある場合のみです。 |
oaam.db.min.read-connections |
1 必要のないかぎり、この値は変更しないでください。 |
oaam.db.max.read-connections |
25 必要のないかぎり、この値は変更しないでください。 |
oaam.db.min.write-connections |
1 必要のないかぎり、この値は変更しないでください。 |
oaam.db.max.write-connections |
25 必要のないかぎり、この値は変更しないでください。 |
このアプローチに関する重要な注意事項:
Oracle Adaptive Access Managerがクラスタ化された環境にデプロイされている場合、この方法をお薦めします。
この方法では、Oracle Adaptive Access Manager WebLogic Serverにリモートで接続できます。
この方法では、Oracle Adaptive Access Manager WebLogic管理者ユーザーとパスワードを指定する必要があります。
MBeanを含むCSFを使用してOracle Adaptive Access Managerデータベースの詳細を構成するには、cli
フォルダをコピーした作業フォルダに移動し、conf/bharosa_properties/oaam_cli.properties
ファイルをテキスト・エディタで開いて、次のプロパティを設定します。
プロパティ名 | プロパティ値に関する注意事項 |
---|---|
oaam.csf.useMBeans |
|
oaam.adminserver.hostname |
WebLogic管理サーバーが実行されるホスト名 |
oaam.adminserver.port |
WebLogic管理サーバーのポート番号。通常は |
oaam.db.url |
Oracle Adaptive Access Managerデータベースの有効なJDBC URLを指定します。誤入力がないことを確認します。 |
oaam.db.additional.properties.file |
追加のOracle Toplinkプロパティがない場合は、空白のままにします。 それ以外の場合は、追加のOracle Toplinkプロパティを含むプロパティ・ファイルの名前を指定します。ファイルが |
oaam.db.driver |
この値を変更するのは、Oracle Adaptive Access ManagerスキーマがOracle以外のデータベースにある場合のみです。 |
oaam.db.min.read-connections |
必要のないかぎり、この値は変更しないでください。 |
oaam.db.max.read-connections |
必要のないかぎり、この値は変更しないでください。 |
oaam.db.min.write-connections |
必要のないかぎり、この値は変更しないでください。 |
oaam.db.max.write-connections |
必要のないかぎり、この値は変更しないでください。 |
資格証明ストア・フレームワークでのデータベース資格証明の構成には、次の手順があります。
Oracle Enterprise Manager Fusion Middleware Controlを使用して、データベース資格証明(ユーザー名とパスワード)をOracle Adaptive Access Managerがインストールされているドメインの資格証明ストア・フレームワークに追加します。これらの資格証明は、Oracle Adaptive Access Managerコマンドライン・ユーティリティで使用されます。
WebLogic管理サーバーおよびOracle Adaptive Access Managerデータベースの詳細を使用して、Oracle Adaptive Access Manager CLIユーティリティで使用されるプロパティ・ファイルを構成します。
資格証明ストアの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。図2-1に、データベース資格証明の設定を示します。
CSFでデータベース資格証明を設定する手順は、2.4.6項「資格証明ストア・フレームワークでのOracle Adaptive Access Managerデータベース資格証明の設定」を参照してください。
CSFでOracle Adaptive Access Managerデータベース資格証明を設定するかわりに、persistence.xml
を使用する場合は、次の手順に従ってください。ただし、このアプローチは推奨されておらず、サポートもされていません。
cli
フォルダをコピーした作業フォルダに移動します。テキスト・エディタでファイルconf/bharosa_properties/oaam_cli.properties
を開き、oaam.db.toplink.useCredentialsFromCSF
のプロパティ値をfalse
に設定します。
次の例のように、関連するeclipselink.jdbc
プロパティを編集して、Oracle Adaptive Access Managerデータベース接続の詳細をMETA-INF/persistence.xml
ファイルで更新します。
<property name="eclipselink.jdbc.driver" value="oracle.jdbc.driver.OracleDriver"/> <property name="eclipselink.jdbc.url" value="jdbc:oracle:thin:@dbhost.mydomain.example.com:1521/SERVICE_NAME"/> <property name="eclipselink.jdbc.user" value="OAAM_DB_USER"/> <property name="eclipselink.jdbc.password" value="DB_Password"/>
ここで
eclipselink.jdbc.driver
は、ドライバ・クラスの完全修飾名です。
eclipselink.jdbc.url
は、ドライバ固有のURLです。
eclipselink.jdbc.user
は、データベース接続に使用されるユーザー名です。
eclipselink.jdbc.password
は、データベース接続の検証に使用されるパスワードです。
oaam_serverおよびoaam_adminの初回起動時に暗号化キーが存在しない場合は自動的に生成されます。
Oracle Adaptive Access Managerでは、秘密鍵を使用して、資格証明ストア・フレームワークに格納されたデータが暗号化されます。暗号化では、Oracle Adaptive Access Manager内のデータが不正なアクセスから保護されます。この処理では、メソッドとキーを使用して、プレーン・テキストを判読不可能な形式にエンコードします。暗号化された情報を復号化し、再度読めるようにするには、キーが必要です。キーを所有し、認可されているユーザーは、同じキーを使用して暗号化された情報を復号化できます。
秘密鍵について
Oracle Adaptive Access Managerでは、資格証明ストア・フレームワークに格納されたデータを暗号化するには秘密鍵を設定する必要があります。これらの秘密鍵は、Oracle Enterprise Manager Fusion Middleware Controlを使用して、WebLogicサーバーの資格証明ストア・フレームワークに追加できます。
OAAMが機能するために必要な3つのキーを作成する必要があります。
oaam_db_key
DESede_db_key_alias
DESede_config_key_alias
oaam_db_key
はデータベースにアクセスするために使用され、手動で追加する必要があります。oaam_db_key
の詳細は、2.3.4項「Setting Up Oracle Adaptive Access Managerデータベース資格証明の設定」を参照してください。
DESede
キーはデータを暗号化するために使用されます。この項の冒頭で説明したように、これらのキーが存在しない場合は、OAAMサーバーによって最初の起動時に作成されます。その DESede
キーを使用することも、独自のキーを作成することもできます。
独自のDESede
キーを使用する場合は、作成および暗号化について次の2つの選択肢があります。
独自の秘密鍵(文字列)を用意し、encodeKey.sh
を使用してエンコードしてその値を保存するか、または
generateEncodedKey.sh
を使用して1つの手順でキーを生成してエンコードします。
値がサーバーによって生成される場合、またはgenerateEncodedKey.sh
を使用する場合、秘密のフレーズはわかりません。エンコードされた値のみがわかります。この値はバックアップする必要があります。独自の秘密鍵を使用する場合は、エンコードされた値を再生成できます。
暗号化の設定
暗号化の設定には、次の手順があります。
構成値とデータベースの両方の秘密鍵(対称鍵)が使用可能であることを確認します。秘密鍵がない場合は、genEncodedKey
コマンドを使用して、エンコードされた対称鍵を生成します。
encodeKey
コマンドのbase64encode
オプションを使用してキーをエンコードします。genEncodedKey
コマンドを使用してキーを生成した場合、この手順は必要ありません。
Oracle Enterprise Manager Fusion Middleware Controlを使用して、エンコードされた秘密鍵をOracle Adaptive Access Managerがインストールされているドメインの資格証明ストア・フレームワークの別名に追加します。
資格証明ストアは、ユーザー名とパスワード、または一般的な資格証明(証明書)を格納するためのリポジトリです。資格証明ストアを使用するメリットは、アプリケーションにパスワードがクリアテキストで格納されず、パスワード保護に独自のソリューションを考案する必要がないことです。これにより、管理者および開発者は、一貫性のある資格証明リポジトリを使用して作業できる可能性が高くなります。
Oracle Adaptive Access Managerの暗号化およびデータベース資格証明の設定の前提条件は次のとおりです。
Oracle Adaptive Access Managerのインストール・フォルダへのアクセス権がない場合は、ドメインの作成中にOracle Adaptive Access Manager 11gがOracle Enterprise Manager Fusion Middleware Controlを使用して構成されていることを確認します。
Oracle Adaptive Access Managerのインストール・フォルダへのアクセス権がある場合は、MW_HOME
\IDM_ORACLE_HOME
\oaam\cli
フォルダでコマンドライン・スクリプトを実行できることを確認します。
JDKがインストールされていることを確認し、java
コマンドを実行してjava
コマンドがパスにあることをチェックします。
注意: Oracle Adaptive Access Manager 10.1.4.5からOracle Adaptive Access Manager 11gにアップグレードする場合は、Upgrade Assistantによって秘密鍵がOracle Adaptive Access Manager 10.1.4.5からOracle Adaptive Access Manager 11gの資格証明ストア・フレームワークに自動的に移行されるため、2.4.2項「構成値を暗号化するためのエンコードされた秘密鍵の設定」、2.4.3項「データベース値を暗号化するためのエンコードされた秘密鍵の設定」および2.4.4項「エンコードされた秘密鍵の生成」を省略できます。 |
構成値を暗号化するためにエンコードされた秘密鍵を設定するには、次の手順を実行します。
Oracle Adaptive Access Managerのコマンドライン・フォルダMW_HOME
\IDM_ORACLE_HOME
\oaam\cli
に移動します。
ファイルconfig_secret_key.file
を作成し、次のように入力してファイルに秘密鍵を追加します。
tobase64=secret-key
注意:
|
次のコマンドを実行し、Base64アルゴリズムを使用してキーをエンコードします。
UNIXの場合
encodeKey.sh config_secret_key.file
Windowsの場合
encodeKey.cmd config_secret_key.file
エンコーディング・コマンドが正常に実行された場合は、次のような出力が表示されます。
base64encode is done!
Base64 Encoded value =encoded_value
KeyStore
コマンドが正常に実行されなかった場合は、次のようなエラーが表示されます。
Exception in thread "main" java.lang.NoClassDefFoundError: while resolving class: com.bharosa.vcrypt.common.util.KeyStoreUtil at java.lang.VMClassLoader.resolveClass(java.lang.Class) (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.initializeClass() (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.forName(java.lang.String, boolean, java.lang.ClassLoader) (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.forName(java.lang.String) (/usr/lib/libgcj.so.5.0.0)
画面に表示されたキーのエンコード済の値を書き留めます。空白がないことを確認します。これは、資格証明ストア・フレームワークに追加するために必要です。
データベース値を暗号化するために秘密鍵を設定するには、次の手順を実行します。
Oracle Adaptive Access Managerのコマンドライン・フォルダMW_HOME
\IDM_ORACLE_HOME
\oaam\cli
に移動します。
ファイルdb_secret_key.file
を作成し、次のように入力してファイルに秘密鍵を追加します。
tobase64=secret-key
注意:
|
次のコマンドを実行し、Base64アルゴリズムを使用してキーをエンコードします。
UNIXの場合
encodeKey.sh db_secret_key.file
Windowsの場合
encodeKey.cmd db_secret_key.file
エンコーディング・コマンドが正常に実行された場合は、次のような出力が表示されます。
base64encode is done!
Base64 Encoded value = encoded_value
KeyStore
コマンドが正常に実行されなかった場合は、次のようなエラーが表示されます。
Exception in thread "main" java.lang.NoClassDefFoundError: while resolving class: com.bharosa.vcrypt.common.util.KeyStoreUtil at java.lang.VMClassLoader.resolveClass(java.lang.Class) (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.initializeClass() (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.forName(java.lang.String, boolean, java.lang.ClassLoader) (/usr/lib/libgcj.so.5.0.0) at java.lang.Class.forName(java.lang.String) (/usr/lib/libgcj.so.5.0.0)
画面に表示されたキーのエンコード済の値を書き留めます。空白がないことを確認します。これは、資格証明ストア・フレームワークに追加するために必要です。
エンコードされた秘密鍵を生成するには、次の手順を実行します。
次のコマンドを実行します。
UNIXの場合
genEncodedKey.sh sample.db_3des_input.properties
Windowsの場合
genEncodedKey.cmd sample.db_3des_input.properties
コマンドが正常に実行された場合は、次のような出力が表示されます。
Generated key = encoded_key
注意: 生成されたキーはすでにエンコードされているため、エンコードする必要はありません。 |
ドメインの作成後にOAAMサーバーを起動すると、OAAMサーバーによって自動的に秘密鍵が生成されます。異なる秘密鍵を使用しない場合は、それらの自動生成された秘密鍵を使用できます。
資格証明ストア・フレームワークに秘密鍵を追加するには、次の手順を実行します。
Webブラウザを使用してOracle Enterprise Manager Fusion Middleware Control (http://weblogic_admin_server
:port
/em)にログインし、WebLogic管理者資格証明を使用してログインします。
左パネルのナビゲーション・ツリーで「WebLogicドメイン」アイコンを展開します。
OAAMドメインを選択して右クリックし、メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「oaam」という名前のマップがあるかどうかを確認します。ない場合は、「マップの作成」オプションをクリックし、「マップ名」をoaam
と入力します。「OK」をクリックしてマップを保存します。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ画面で、「マップの選択」がoaamに設定されていることを確認します。
次の値を入力します。
「説明」フィールドに説明を入力します。
「OK」をクリックして、秘密鍵を資格証明ストア・フレームワークに保存します。
別名および秘密鍵を必ずバックアップしてください。
バックアップは、ドメインを再作成し、ドメインで既存のOracle Adaptive Access Managerデータベースを指す必要がある場合に必要になります。
注意: 多くの重要な管理操作で暗号化されたデータが必要とされるため、秘密鍵を失った場合、Oracle Adaptive Access Managerデータベースの既存のデータはすべて使用できなくなります。 |
資格証明ストア・フレームワークでOracle Adaptive Access Managerデータベース資格証明を設定するには、次の手順を実行します。
Webブラウザを使用してOracle Enterprise Manager Fusion Middleware Control (http://weblogic_admin_server
:port
/em)にログインし、WebLogic管理者資格証明を使用してログインします。
左パネルのナビゲーション・ツリーで「WebLogicドメイン」アイコンを展開します。
OAAMドメインを選択して右クリックし、メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「oaam」という名前のマップがあるかどうかを確認します。ない場合は、「マップの作成」オプションをクリックし、「マップ名」をoaam
と入力します。「OK」をクリックしてマップを保存します。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ画面で、「マップの選択」がoaamに設定されていることを確認します。
次の値を入力します。
説明を入力します。
「OK」をクリックして、秘密鍵を資格証明ストア・フレームワークに保存します。
使用したエンコードされた秘密鍵をバックアップする必要があります。Oracle Adaptive Access Manager 11gドメインを再作成する必要がある場合は、これらのキーが必要になることがあります。エンコードされた秘密鍵および別名を必ず書き留めてください。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左パネルでWebLogicドメインを開き、OAAMドメインを選択します。
OAAMドメインから「セキュリティ」を選択し、「資格証明」を選択します。
oaamを開き、タイプ「汎用」に関連付けられた対称鍵関連のエントリを選択します。
「編集」を選択します。
「資格証明」セクションに移動し、対称鍵関連のエントリをコピーして、鍵の名前を書き留めます。
前述の手順を繰り返し、データベースおよび構成の鍵をバックアップします。
注意: Oracle Adaptive Access Manager 11gドメインを削除して再作成する場合は、Oracle Adaptive Access Managerデータベースの既存のデータが正しく復号化されるように、暗号化鍵を設定するときに必ずバックアップした秘密鍵を使用してください。 |
Oracle Adaptive Access Managerユーザーは、自分に割り当てられているロールに基づいて機能にアクセスできます。このような管理者ロールは、それぞれの職務別に割り当てられる特定の権限を持ちます。
新規ユーザーを作成し、Oracle WebLogic管理コンソールを使用して、WebLogic管理ドメインで関連するOracle Adaptive Access Managerロールを割り当てることができます。1人のユーザーに複数のロールを割り当てるのは避けることをお薦めします。複数のロールが割り当てられたユーザーは、異なるグループのすべての権限を持つことになります。
外部LDAPストアでユーザーおよびグループの作成を行う場合は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。
OAAMユーザーを作成するには、次の手順を実行します。
WebLogic管理ドメインのOracle WebLogic管理コンソールにログインします。
左パネルで「セキュリティ・レルム」を選択します。
「セキュリティ・レルムの概要」ページで、レルムの名前(myrealm
など)を選択します。
「レルム名」ページの「設定」で、「ユーザーとグループ」→「ユーザー」を選択します。
「新規」をクリックし、セキュリティ・レルムにユーザー(user1
など)を作成するのに必要な情報を指定します。
新規作成したユーザーのuser1
をクリックします。
「グループ」タブをクリックします。
OAAM
接頭辞のあるグループをすべて、ユーザーuser1に割り当てます。
「保存」をクリックします。
Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。oaam_base_snapshot.zip
ファイルは、MW_HOME/IDM_ORACLE_HOME
/oaam/init
ディレクトリに配置されています。
次のURLを使用して、Oracle Adaptive Access Manager管理コンソール(OAAM管理)にログインします。
http://host:port/oaam_admin
次の手順に従ってスナップショット・ファイルをシステムにロードします。
ナビゲーション・ツリーで、「環境」にある「システム・スナップショット」を開きます。
「ファイルからロード」ボタンをクリックします。
「スナップショットのロードおよびリストア」ダイアログが表示されます。
「現在のシステムをすぐにバックアップ」の選択を解除し、「続行」をクリックします。
ダイアログが開き、現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージが表示されます。
現在のシステムをバックアップしないように選択したため続行するかどうかを尋ねるメッセージのダイアログが表示されたら、「続行」をクリックします。
ロードするスナップショットを選択するための「スナップショットのロードおよびリストア」ページが表示されます。
oaam_base_snapshot.zip
を参照し、「ロード」ボタンをクリックしてスナップショットをシステム・データベースにロードします。
「OK」→「リストア」をクリックします。
スナップショットには、OAAMにインポートする必要のある次の項目が含まれています。
英語(アメリカ合衆国)のチャレンジ質問
登録、新規アカウントのオープン、またはリセットなどの別のイベントの際、ユーザーは質問のリストから様々な質問を選択し、回答を入力します。チャレンジ質問と呼ばれるこれらの質問は、ユーザーを認証するために使用されます。
ユーザーが登録のための質問に回答できるようにするには、サポート対象の言語での質問がシステムに存在している必要があります。これらの質問では、OAAMサーバーへのログインも必要な場合があります。
認証の際に追跡されるアクターは認証エンティティと呼ばれ、ユーザー、市区町村、デバイスなどが含まれます。これらのベース・エンティティは、パターンに使用される条件を有効にする際に必要となります。
パターンは、1つのバケットを定義したり、複数のバケットを動的に作成する際に、Oracle Adaptive Access Managerによって使用されます。Oracle Adaptive Access Managerでデータが収集され、パターン・パラメータに基づいてこれらのバケットにメンバーが移入されると、動的に変化するメンバーシップとバケットの分散についてルールによるリスク評価が実行されます。
標準の構成可能なアクション
構成可能なアクションとは、チェックポイント実行後に結果アクションまたはリスク・スコアリングあるいはその両方に基づいてトリガーされるアクションです。構成可能なアクションは、アクション・テンプレートを使用して作成されます。
注意: Oracle Adaptive Access Manager 10.1.4.5からOracle Adaptive Access Manager 11gにアップグレードする場合、Oracle Adaptive Access Manager 11gのアクション・テンプレートがグローバル化されたことにより違いが生じたため、標準のアクション・テンプレートの名前や説明が多少異なっています。 |
ポリシーは、ビジネス・アクティビティや日常操作において発生する潜在的に危険なアクティビティを評価して対処できるように作成されています。
OAAMには、ルール、ユーザー・グループ、およびアクションとアラート・グループに使用されるアイテムのコレクションが付属しています。
いずれかのプロパティをカスタマイズする必要がある場合は、そのスナップショットを新しいテスト・システムにインポートし、変更を加えてエクスポートし、新しいシステムにインポートしてください。または、スナップショットを新しいシステムにインポートしてプロパティを直接変更することで、テスト・システムを完全に除外できます。
注意: 11.1.1.3.0から11.1.2にアップグレードする場合には、スナップショットをインポートしないでください。この手順は、最初の初期設定の場合にのみ適用できます。スナップショットのインポートは、既存の環境を上書きし、新規のものと置き換えます。アップグレードの場合には、エンティティに対応した個別のzipファイル、定義またはポリシーをインポートします。 |
ポリシー、コンポーネント、および構成のアップグレードの場合は、バックアップを実行してから個別のファイルをインポートします。指定可能なベンダーは、次のとおりです。
ベース・ポリシーは、MW_HOME/IDM_ORACLE_HOME
/oaam/init
ディレクトリにあるoaam_policies.zip
に含まれています。
ベース認証を必要とするエンティティは、MW_HOME/IDM_ORACLE_HOME
/oaam/init
ディレクトリにあるAuth_EntityDefinition.zip
ファイルに含まれています。
デフォルト・パターンは、MW_HOME/IDM_ORACLE_HOME
/oaam/init
ディレクトリにあるOOB_Patterns.zip
ファイルに含まれています。
リスク・ポリシーは、IPロケーション・データを使用して特定のIPアドレス(ロケーション)に関連する不正のリスクを判断します。
ログインまたはトランザクションのロケーションを確認するには、このデータをOAAMデータベースにアップロードする必要があります。OAAMデータベースにデータをロードする方法は、26.3項「IPロケーション・データのインポート」を参照してください。
タイム・ゾーンでは、同じローカル・タイムを常に共有する地域が識別されます。
タイム・ゾーンはOracle Adaptive Access Manager全体で様々な目的に使用されます。タイムスタンプでは、アラートが生成された時間、ジョブのプロセス開始日と終了日、検索ページなどを示すことができます。ほとんどの場合、ユーザーは、それぞれのローカル・タイムゾーンで操作することを望みます。管理者は、OAAM管理コンソールの優先タイム・ゾーンを構成できます。
プロパティはシステム全体のタイム・ゾーン設定であり、ユーザーごとの設定ではありません。すべてのユーザーは、単一のタイム・ゾーン内に含まれる必要があります。
タイム・ゾーンとブラウザのロケール・フォーマットは相互に独立していることに注意してください。たとえば、ブラウザをen-gb
に設定したが、oaam.adf.time zone
をAmerica/Los_Angeles
に設定した場合、タイムスタンプはイギリスのロケール・フォーマットによって書式設定されますが、タイム・ゾーンは太平洋時間のままとなります。
プロパティ・エディタを使用して、oaam.adf.timezone
を希望するタイム・ゾーンに設定します。
例:
oaam.adf.timezone
= Atlantic/Reykjavik
図2-2に、「プロパティ」ページと、タイム・ゾーンについて更新するプロパティを示します。
プロパティ・エディタの使用方法は、第25章「プロパティ・エディタの使用」を参照してください。
C.1.25項「タイム・ゾーン・プロパティ」にリストされているタイム・ゾーン。
OTP Anywhereは、二次リスク・ベースのチャレンジ・ソリューションであり、構成済の帯域外チャネルを経由してエンド・ユーザーに送信されるサーバー生成のワンタイム・パスワードで構成されます。サポートされているOTPデリバリ・チャネルには、ショート・メッセージ・サービス(SMS)、電子メールおよびインスタント・メッセージがあります。
OTPの有効化の詳細は、8項「OTP Anywhereの設定」を参照してください。