| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
前 |
次 |
Oracle Adaptive Access Managerには、Webアプリケーションで処理される多くの標準アクションが用意されています。このような標準アクションには、ブロック、KBAチャレンジ、パスワードTextPadなどがあります。標準アクションは、構成可能なアクションのトリガー・アクションとして使用することもできます。構成可能なアクションは、OAAMサーバーによってトリガーされる外部Javaコードです。カスタマは、希望するカスタム操作を実行するJavaコードを、Oracle Adaptive Access Managerを変更せずに記述できます。構成可能なアクション機能を使用すると、無制限にカスタマイズできます。
この章では、構成可能なアクションの構成の概要、アクション・インスタンスを定義、表示、編集および削除する手順、アクション・インスタンスをチェックポイントに関連付ける手順について説明します。
この項では、構成可能なアクションの概念およびOracle Adaptive Access Managerでの構成可能なアクションの使用について説明します。
構成可能なアクションとは、チェックポイント実行後に結果アクションまたはリスク・スコアリングあるいはその両方に基づいてトリガーされるアクションです。
製品にはいくつかの構成可能なアクションが用意されていますが、特定の要件に合せて構成可能なカスタム・アクションを開発する必要がある場合があります。
構成可能なアクションの一例として、チェックポイント実行から結果のアクションとして「ブロック」が返されるたびに送信される電子メールがあります。この場合、「電子メールの送信」が構成可能なアクションで、「ブロック」がトリガー基準となります。同様に、トリガー基準として「リスク・スコア」に基づく構成可能なアクションも可能です。
特定の構成可能なアクションのJavaクラスおよびアクション・テンプレートは、すぐに利用できるように提供されていますが、ニーズに基づいて構成可能なアクションを作成できます。デフォルトの構成可能なアクションを構成する詳細な手順は、18.20項「即時利用可能な構成可能なアクション」を参照してください。
アクション・テンプレートを使用すると、構成可能なアクションの共通詳細を定義できます。アクションに関連付けられているJavaクラスを指定でき、アクションのデフォルトのパラメータ値も指定できます。
構成可能なアクションは、アクション・テンプレートを使用して作成されます。アクション・テンプレートは、Javaクラス・ファイルごとに1つのみ作成できます。ニーズに合ったカスタムJavaクラス・ファイルおよび対応するアクション・テンプレートを作成できます。
たとえば、「グループへの追加」というアクション・テンプレートがある場合、アクション・テンプレートの次のような4つのインスタンスを作成できます。
ホワイト・リスト・グループへのユーザーの追加
ブラック・リスト・グループへのユーザーの追加
IPホワイト・リスト・グループへのIPの追加
IPブラック・リスト・グループへのIPの追加
アクション・テンプレートを使用して、シナリオに基づくアクション・インスタンスを作成します。たとえば、「ブロック・アクションのたびにケースを作成」というインスタンスや「チャレンジ・アクションのたびにケースを作成」という別のインスタンスを作成できます。
図18-1に、構成可能なアクションのデプロイメントのフロー・チャートを示します。
|
注意: この図には、新規作成したJavaクラスのインストール手順が含まれています。 |
この章は、トピック別の項で構成されています。以前に構成可能なアクションを構成したことがある場合は、この章を参照として使用します。
ご使用のシステムで構成可能なアクションを有効にするには、次の手順を実行します。
構成可能なアクション・プロパティを有効にします。
dynamicactions.enabledをtrueに設定します。
構成可能なアクションの定義がOracle Adaptive Access Managerデータベースで構成されていることを確認します。
即時利用可能で構成可能なアクション・テンプレートは、OAAMのベース環境の設定時にスナップショットをインポートすると、インポートされます。
構成可能なアクションを新たに追加する前に、構成可能なアクションのリストを確認できます。
どのチェックポイントにどの構成可能なアクションを追加する必要があるのか、およびそれらの構成可能なアクションを実行するための事前条件を明らかにします。
既存の構成可能なアクションで不十分な場合は、カスタムの構成可能なアクションを開発およびデプロイします。構成可能なアクションの開発の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』を参照してください。
製品にはいくつかの構成可能なアクションが用意されていますが、特定の要件にあわせてカスタム・テンプレートを開発する必要がある場合があります。
カスタム・アクション・テンプレートを定義します。
カスタム・アクション・テンプレートをロードします。
構成可能なアクションをチェックポイントに関連付けます。
この項では、構成可能なアクションの作成フローを示します。
次の操作を実行できます。
既存のアクション・テンプレートを使用するか、または新しいアクション・テンプレートを作成して、構成可能なアクションを作成します。
アクション・インスタンスを定義し、構成可能なアクションを作成します。
アクション・インスタンスの定義の詳細は、18.9項「アクション・インスタンスの作成および作成したインスタンスのチェックポイントへの追加」を参照してください。
Oracle Adaptive Access Managerでは、アクション・テンプレート検索ページでアクション・テンプレートを管理します。このページでは、アクション・テンプレートを検索、表示、作成、エクスポートおよび削除できます。
ナビゲーション・ツリーで、「構成可能なアクション」を開きます。
「アクション・テンプレート」をクリックします。
アクション・テンプレート検索ページが表示されます。
検索ページを開く別の方法は、3.9項「検索、作成およびインポート」を参照してください。
アクション・テンプレート検索ページでは、検索フィルタに基準を指定して、表示されるアクション・テンプレートの数を絞り込むことができます。
アクション・テンプレートを検索するには:
第18.3項「アクション・テンプレート検索ページへのナビゲート」の手順に従って、アクション・テンプレート検索ページにナビゲートします。
アクション・テンプレート検索ページを初めて表示した場合、「検索結果」表には結果が表示されません。
検索フィルタに基準を指定して、アクション・テンプレートを検索します。
「検索」をクリックします。
検索を実行しない場合は、「リセット」をクリックして、検索パラメータをデフォルト設定にリセットします。
表示されるアクション・テンプレートは、「名前」、「Javaクラス名」および「キーワード」フィールドに指定されている基準と一致するテンプレートです(表18-1)。
表18-1 アクション・テンプレートの検索フィルタ基準
| フィルタおよびフィールド | 説明 |
|---|---|
|
名前 |
アクション・テンプレートの名前。アクション・テンプレートの完全な名前または名前の一部を入力できます。たとえば、newと入力すると、名前の一部にnewを含むアクション・テンプレートが表示されます。 |
|
Javaクラス名 |
Javaクラス・ファイルの完全修飾クラス・パス。 |
|
キーワード |
説明内のキーワード。 |
各アクション・テンプレートには名前があります。説明が長すぎてすべて表示されない場合は、テキストの上にマウスを合わせると、説明全体が表示されます。
デフォルトでは、アクション・テンプレートはアクション・テンプレート名でソートされますが、説明やJavaクラス名でソートすることもできます。
「検索結果」表で、対象となるアクション・テンプレートの行をクリックすると、詳細が表示されます。
アクション・テンプレート検索ページの「検索結果」表で、対象となるアクション・テンプレートの行をクリックすると、そのアクション・テンプレートの詳細が表示されます。アクション・テンプレート詳細ページでは、Javaクラス名、アクション名、説明およびJavaクラス・パラメータといったケースの一般詳細が提供されます。
アクション・テンプレートの詳細を表示するには:
18.4項「アクション・テンプレートの検索」の説明に従って、アクション・テンプレートを検索します。
「結果」表で、対象となるアクション・テンプレートの行をクリックします。アクション・テンプレート詳細ページが開きます。
フィールドにはデフォルト値が事前移入されています。
パラメータの値、アクション名および説明は編集できますが、Javaクラス名は編集できません。
構成可能なアクション・テンプレートのJavaクラス・ファイルを作成します。
Javaクラス・ファイルをコピーします。
これで、アクション・テンプレートを作成できるようになりました。
アクション・テンプレートは、クラス・ファイルごとに1つのみ作成できます。
第18.3項「アクション・テンプレート検索ページへのナビゲート」の手順に従って、アクション・テンプレート検索ページにナビゲートします。
アクション・テンプレート検索ページで「新規アクション・テンプレート」をクリックします。
作成ページを開く別の方法は、3.9項「検索、作成およびインポート」を参照してください。
新規アクション・テンプレート・ページが表示され、詳細を入力して新規アクション・テンプレートを作成できます。
「Javaクラス名」フィールドに、構成可能なアクションの完全修飾クラス・パスを入力します。
構成可能なアクションの作成時に、Javaクラスは作成されています。構成可能なアクションの作成の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』を参照してください。
Javaクラスの例として、com.bharosa.vcrypt.tracker.dynamicactions.impl.AddItemToWatchListActionがあります。
完全修飾Javaクラス名を入力する必要があります。
誤ったJavaクラス名を入力すると、「パラメータのロード」をクリックしたときにエラーが発生します。
また、Javaクラスが適切なディレクトリにあることを確認する必要があります。
「パラメータのロード」をクリックします。
Oracle Adaptive Access Managerによりパラメータのリストが取得され、名前、ラベル、タイプおよび値が表示されます。
次の表に、パラメータの例を示します。
| 名前 | ラベル | タイプ | 値 |
|---|---|---|---|
|
アイテム・タイプ |
アイテム・タイプ: |
文字列 |
<value> |
|
監視リスト名 |
監視リスト名を入力してください: |
文字列 |
<value> |
|
ホワイト・リスト名 |
ホワイト・リスト名を入力してください: |
文字列 |
<value> |
|
ブラック・リスト名 |
ブラック・リスト名を入力してください: |
文字列 |
<value> |
アクション・テンプレートは、Javaクラス・ファイルごとに1つのみ作成できます。同じJavaクラス・ファイルを使用してアクション・テンプレートを作成しようとすると、「パラメータのロード」をクリックした後に警告が表示されます。
「アクション名」フィールドにアクションの名前を入力します。
「説明」フィールドに、アクションの説明を入力します。
パラメータの値を入力します。
すべてのパラメータの値は必須です。すべての値を入力するまで、テンプレートは保存できません。
「適用」をクリックします。
「アクション・テンプレートは正常に作成されました」というメッセージが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
アクション・テンプレートの定義後の次の手順は、アクション・インスタンスの構成です。単一のアクション・テンプレートに複数のインスタンスを指定できます。アクション・インスタンスの構成の詳細は、18.9項「アクション・インスタンスの作成およびチェックポイントへの追加」を参照してください。
Oracle Adaptive Access Managerでは、アクション・インスタンス検索ページで構成可能なアクションを管理します。このページでは、アクション・インスタンスを検索、表示、作成、アクティブ化、非アクティブ化および削除できます。
ナビゲーション・ツリーで、「構成可能なアクション」を開きます。
「アクション・インスタンス」をクリックします。
アクション・インスタンス検索ページが表示されます。
検索ページを開く別の方法は、3.9項「検索、作成およびインポート」を参照してください。
アクション・インスタンス検索ページでは、検索フィルタに基準を指定して、表示される構成可能なアクション・インスタンスの数を絞り込むことができます。
アクション・インスタンスを検索するには:
第18.7項「アクション・インスタンス検索ページへのナビゲート」の説明に従って、アクション・インスタンス検索ページにナビゲートします。
検索フィルタに基準を指定して、アクション・インスタンスを検索します。
「検索」をクリックします。
表示されるアクション・インスタンスは、「名前」、「チェックポイント」、「キーワード」および「実行タイプ」フィールド(表18-2)に指定された基準を満たすアクション・インスタンスです。
表18-2 アクション・インスタンスの検索フィルタ基準
| フィルタおよびフィールド | 説明 |
|---|---|
|
名前 |
構成可能なアクション・インスタンスの名前。完全な名前、または名前の一部を入力できます。 |
|
チェックポイント |
ポリシー内のルールが実行される、セッション内で指定されている時点。たとえば、認証前、認証後、セッション中などがあります。 |
|
実行タイプ |
|
|
キーワード |
説明内のキーワード。 |
各アクション・インスタンスには名前があります。説明が長すぎてすべて表示されない場合は、テキストの上にマウスを合わせると、説明全体が表示されます。
「結果」表で、対象となるアクション・インスタンスの行をクリックして、アクション・インスタンス詳細ページを表示します。
アクション・インスタンスを作成するには、この項の手順を実行します。
アクション・インスタンスの作成およびチェックポイントへの関連付け
第18.7項「アクション・インスタンス検索ページへのナビゲート」の説明に従って、アクション・インスタンス検索ページにナビゲートします。
「新規アクション・インスタンス」をクリックします。
作成ページを開く別の方法は、3.9項「検索、作成およびインポート」を参照してください。
「新規アクション・インスタンス」ページが表示されます。
アクション・インスタンス・テンプレートの詳細の横にある「アクション・テンプレートの選択」をクリックします。
「既存のアクション・テンプレート」ページで、テンプレートを選択し、「OK」をクリックします。
「アクション・インスタンス」セクションで、アクション・インスタンスの値を入力します。
名前
説明
ログ・レベル
ログ・レベルは、インスタンスの実行ステータスを記録する必要があるかどうかを示します。
「無効化」にするとロギングがオフになります。
「有効化」にするとロギングがオンになります。
「エラーの場合にログ」にすると、エラーが発生した場合にロギングがオンになります。
エラーがある場合にのみ、実行ステータスがログに記録されます。それ以外の場合は、インスタンスのトリガーはログに記録されません。
構成可能なアクションを関連付けるチェックポイント
たとえば、チェックポイントをトランザクション前(カスタム・チェックポイント)にすることができます。
構成可能なアクションの実行タイプの選択
2つの実行タイプ「同期」と「非同期」のいずれかを選択します。
同期アクションは、優先度の昇順で実行されます。
ルール・アクションがトリガーされた直後にアクションが実行されるように、実行タイプとして「同期」を選択します。
同期実行タイプでは、アクションが順次実行されており、順序内のアクションの1つがトリガーされない場合でも、その他のアクションはトリガーされます。
また、同期アクションを使用して、構成可能なアクション間でデータを渡したり、共有できます。これは、カスタムの構成可能なアクションを開発する場合に役立ちます。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』の構成可能なアクションに関する説明を参照してください。
非同期アクションは、実行のためにキューに入れられており、不特定の順序で実行されます。
実行タイプが「同期」の場合は実行順序を入力します。
優先度はチェックポイント内で一意です。実行順序が一意ではない場合、エラーが表示されます。
実行タイプが「非同期」の場合は、「アクション優先度」および「有効時間」を選択します。
アクションは、アクション優先度に基づいて異なるキューに入れられます。キューの次のアクションを実行するタイミングになると、優先度の高いアクションが最初に実行されます。
「有効時間」は、アクションが破棄されるまでの最大待機時間を示します。
構成可能なアクションの事前条件の入力
トリガー基準を選択します。
トリガー基準によって、セッション内のアクションをトリガーするタイミングが決定されます。
基準はスコアまたはアクション(またはその両方)である必要があります。これらは、選択されたチェックポイントの値に対して比較されます。
評価されたアクションが指定されたアクションに一致する場合、構成可能なアクションがトリガーされます。
指定された範囲のスコアがルール・エンジンから返された場合、構成可能なアクションが実行されます。
たとえば、アクション・タイプがブロックの場合に必ずケースを作成するようにする場合、Oracle Adaptive Access Managerではポリシーにブロックのアクションが含まれる場合に必ずケースを作成します。スコアが500より大きい場合に必ずケースを作成するようにする場合、Oracle Adaptive Access Managerではその特定のセッション内でスコアが500より大きい場合にケースを作成します。
アクションおよびスコアの両方が指定された場合は、両方の基準がルール・エンジンの結果に一致する場合にのみ、構成可能なアクションが実行されます。
アクションの値を入力します。
アクションを選択します。たとえば、ルール・エンジンがアクションとして「許可」を返した場合に、アクション・インスタンスが実行されるというトリガー基準にすることができます。
通常、ルール・エンジンからのアクションは、「許可」、「ブロック」、「PasswordTextPad」などとなります。
この例では、アクション・トリガーとして「チャレンジ」が選択されています。ルール結果としてKBAチャレンジが返された場合に、構成可能なアクションがトリガーされます。
このアクションを最終アクションにする場合は、「これが最終アクションの場合のみ」を選択します。
この例では、最終アクションではない場合でも構成可能なアクションがチャレンジに対してトリガーされるように、「これが最終アクションの場合のみ」は選択されていません。
スコア範囲を選択します。
通常、ルール・エンジンからのスコアは、0から1000の数値です。
範囲を選択します。たとえば、ルール・エンジンがxからyの間のスコアを返す場合に構成可能なアクションが実行されるようにします。
アクションに関連するすべてのパラメータの値を入力します。
この例では、「監視リスト名」がAmtTransferSuspectedListに変更されています。
変更の適用
変更を適用するには:
「適用」をクリックします。
アクション・インスタンスが正常に作成されると、確認が表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
カスタム・アクション・インスタンスを追加するには、次の手順を実行する必要があります。
com.bharosa.vcrypt.tracker.dynamicactions.intf.DynamicAction Javaインタフェースを実装して、アクション・インスタンスを開発します。
|
注意: 実装とは、Javaインタフェースcom.bharosa.vcrypt.tracker.dynamicactions.intf.DynamicActionで指定されている規定に基づいてJavaコードを記述することです。 |
アクション・インスタンスの実装を詳細にテストします。
Javaクラスをコンパイルし、コンパイル済クラス・ファイルのJARファイルを作成します。
Oracle Adaptive Access Managerを拡張またはカスタマイズして、カスタムJARを追加します。
Oracle Adaptive Access ManagerへのカスタムJARの追加の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』を参照してください。
OAAMサーバーとOAAM管理サーバーを再起動します。
OAAM管理にログインし、新しくデプロイされた構成可能なアクションのアクション定義エントリを作成します。
構成可能なアクションに必要なすべてのパラメータがユーザー・インタフェースに表示されていることを確認します。
新しく使用可能になった構成可能なアクションを必要なチェックポイントに追加して使用します。
特定のアクション・テンプレートの詳細を編集するには:
18.4項「アクション・テンプレートの検索」の説明に従って、アクション・テンプレートを検索します。
「結果」表で、対象となるアクション・テンプレートの行をクリックします。アクション・テンプレート詳細ページが開きます。
デフォルト値は、アクション・テンプレート詳細ページに事前移入されています。
アクション・テンプレートのパラメータ、アクション名および説明の値を編集します。
18.4項「アクション・テンプレートの検索」の説明に従って、アクション・テンプレートを検索します。
エクスポートする各アクション・テンプレートの行を選択します。
「エクスポート」ボタンをクリックするか、または「アクション」メニューの「選択項目のエクスポート」を選択します。
「アクション・テンプレートのエクスポート」ダイアログで「エクスポート」をクリックします。
「保存」ダイアログで「OK」をクリックします。
第18.3項「アクション・テンプレート検索ページへのナビゲート」の手順に従って、アクション・テンプレート検索ページにナビゲートします。
アクション・テンプレート検索ページで、「インポート」をクリックします。
アクション・テンプレートのインポート・ダイアログで、「参照」をクリックし、インポートするアクション・テンプレート・ファイルを検索します。
「OK」をクリックします。
アクション・テンプレートをテスト環境から本番環境に移行するには、次の作業を実行します。
アクション・テンプレートをテスト環境からエクスポートします。18.12項「アクション・テンプレートのエクスポート」を参照してください。
アクション・テンプレートをターゲット・システムにインポートします。18.13項「アクション・テンプレートのインポート」を参照してください。
構成可能なアクションがカスタマイズされたアクションの場合は、手順1および2をスキップします。OAAM拡張共有ライブラリ(oracle.oaam.extensions.war)を使用して構成可能なアクションおよび関連するJARをパッケージ化し、WARをターゲット・システムにデプロイします。
カスタムJARの追加の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』のOracle Adaptive Access Manager拡張共有ライブラリを使用したカスタマイズまたは拡張機能の追加に関する項を参照してください。
|
注意: 11g以降では、カスタムJARをOAAM webappフォルダにコピーしないでください。 |
10gアクション・テンプレートの11gへの移行
11gでは、アクション・テンプレートのユーザー・インタフェースから「ノート」フィールドが削除されています。「ノート」フィールドに、10gアクション・テンプレートのテキストが含まれている場合、11gへの移行後に、そのノートが説明テキストに追加(結合)されます。
18.4項「アクション・テンプレートの検索」の説明に従って、アクション・テンプレートを検索します。
削除する各アクション・テンプレートの行を選択し、「アクション」メニューのアクション・テンプレートの削除を選択します。
削除するために選択したアクション・テンプレートがチェックポイントで使用されている場合は、構成可能なアクションが現在チェックポイントで使用されていることを示すエラーが表示されます。
削除するアクション・テンプレートが複数選択されており、選択されている一部のアクション・テンプレートのインスタンスを含むチェックポイントがある場合は、インスタンスがチェックポイントにリンクされているため削除できないことを示す警告メッセージが表示されます。リンク解除されたアクション・テンプレートは削除できます。
第18.7項「アクション・インスタンス検索ページへのナビゲート」の説明に従って、アクション・インスタンス検索ページにナビゲートします。
検索フィルタで、すべてのアクション・インスタンスを表示するチェックポイントを選択するか、または「すべて」を選択してチェックポイントのすべてのアクション・インスタンスを表示します。
「検索」をクリックします。
「結果」表にアクション・インスタンスのリストが表示されます。
特定のインスタンスを表示する場合は、対象となるアクション・インスタンスの行をクリックします。アクション・インスタンス詳細ページが表示されます。
第18.7項「アクション・インスタンス検索ページへのナビゲート」の説明に従って、アクション・インスタンス検索ページにナビゲートします。
表示するアクション・インスタンスの行をクリックします。
アクション・インスタンスの詳細ページが表示されます。
第18.7項「アクション・インスタンス検索ページへのナビゲート」の説明に従って、アクション・インスタンス検索ページにナビゲートします。
編集するアクション・インスタンスをクリックします。
「アクション・インスタンス」セクションで、アクション・インスタンスの値を変更します。
名前
説明
ログ・レベル
チェックポイント
実行タイプを変更します。
トリガー基準を変更します。
アクションに関連するすべてのパラメータの値を入力します。
変更を適用します。
アクション・インスタンスを削除するには:
第18.7項「アクション・インスタンス検索ページへのナビゲート」の説明に従って、アクション・インスタンス検索ページにナビゲートします。
検索フィルタで、すべてのアクション・インスタンスを表示するチェックポイントを選択するか、または「すべて」を選択してチェックポイントのすべてのアクション・インスタンスを表示します。
「検索」をクリックします。
削除する既存のアクション定義の横のチェック・ボックスを選択します。
「削除」をクリックします。
チェックポイントに関連付けられているアクションは削除できません。
CaseCreationAction: ケースの作成に使用されます。
AddItemToWatchListAction: ウォッチ・リストへのアイテムの追加に使用されます。
これらの構成可能なアクションをチェックポイントに対して構成するには、構成可能なアクションの定義を追加する必要があります。
ケースを作成します。
カスタマ・ケア・ケースには所有者が必要です。
ケースの作成の詳細は、第4.8項「CSRケースの作成」を参照してください。
第18.3項「アクション・テンプレート検索ページへのナビゲート」の手順に従って、アクション・テンプレート検索ページにナビゲートします。
アクション・テンプレート検索ページで「新規アクション・テンプレート」をクリックします。
新規アクション・テンプレート・ページが表示され、詳細を入力して新規アクション・テンプレートを作成できます。
Javaクラス名を次のように入力します
com.bharosa.vcrypt.tracker.dynamicactions.impl.CaseCreationAction
「アクション名」フィールドにCaseCreationActionの名前を入力します。
「説明」フィールドに、CaseCreationActionの説明を入力します。
「ケース・タイプ」パラメータに、CSRケースの場合は1を入力します。
「重大度」パラメータに、低の場合は1を、中の場合は2を、高の場合は3を入力します。
ケースの作成時に設定される必要がある「ケースの説明」の値を入力します。
「ケース作成者のユーザーID」にuserIdを入力します。ユーザーIDにケースを作成するための適切なロールおよびアクセス権があることを確認してください。
第18.3項「アクション・テンプレート検索ページへのナビゲート」の手順に従って、アクション・テンプレート検索ページにナビゲートします。
アクション・テンプレート検索ページで「新規アクション・テンプレート」をクリックします。
新規アクション・テンプレート・ページが表示され、詳細を入力して新規アクション・テンプレートを作成できます。
Javaクラス名として、com.bharosa.vcrypt.tracker.dynamicactions.impl.AddItemToWatchListActionを入力します。
「アクション名」フィールドにAddItemToWatchListの名前を入力します。
「説明」フィールドに、アクションの説明を入力します。
「アイテム・タイプ」パラメータに、次のいずれかを入力します。
vtusers: 現在のセッションのUserIdを監視リストに追加する必要がある場合
devices: 現在のセッションのDeviceIdを監視リストに追加する必要がある場合
ips: 現在のセッションのIPアドレスを監視リストに追加する必要がある場合
countries: 現在のセッションの国IDを監視リストに追加する必要がある場合
states: 現在のセッションの都道府県IDを監視リストに追加する必要がある場合
cities: 現在のセッションの市区町村IDを監視リストに追加する必要がある場合
userLogin: 現在のセッションのLoginIdを監視リストに追加する必要がある場合
「ウォッチリスト名」パラメータに、ウォッチ・リストの名前を入力します。同じ名前を持つグループがあることを確認します。
「ホワイト・リスト名」パラメータにホワイト・リストの名前を入力します。同じ名前を持つグループがあることを確認します。アクションによってこのリストが確認されてから、アイテムがウォッチ・リストに追加されます。
ホワイト・リストにアイテムが存在する場合、そのアイテムはウォッチ・リストには追加されません。
「ブラック・リスト名」パラメータにウォッチ・リストの名前を入力します。同じ名前を持つグループがあることを確認します。アクションによってこのリストが確認されてから、アイテムがウォッチ・リストに追加されます。
ブラックリストにアイテムが存在する場合、そのアイテムはウォッチ・リストには追加されません。
この項では、構成可能なアクションのサンプル・ユース・ケースについて説明します。
JeffはDollar Bankのセキュリティ管理者です。彼は、ブラックリストに記載されている国からのログイン試行の失敗が1か月以内に3回を超えたデバイスをブラックリスト・グループに追加するアクションを構成する必要があります。
たとえば、本日、ブラックリストに記載された国のデバイスからのログイン試行が2回あり、2週間前に同じデバイスからのログイン試行が2回あった場合、この構成可能なアクションによって、このデバイスは自動的にグループに追加されます。
アクションを構成するには:
グループ内メンバーシップを評価するデバイス・ルールを検索します。
最大件数チェックまたは認証ステータス・チェックを持つルールを検索します。
ルールが存在しない場合は、作成します。
一般セキュリティ・ルールで使用されている既存の認証後ポリシーを検索します。
ルールを作成し、追加します。
add device to black listという名前の新規トリガー・アクション列挙およびそのアクション・グループを構成します。
グループ内にブロック・アクションを追加します。
デバイスをブラック・リスト・グループに追加するadd device to black listでトリガーする構成可能なアクションを構成します。
JeffはDollar Bankのセキュリティ管理者です。彼は、ログイン試行の失敗が1か月以内に3回を超えたデバイスをウォッチ・リスト・グループに追加するアクションを構成する必要があります。必要なルールから開始します。グループ内メンバーシップを評価するデバイス・ルールを検索します。グループ内デバイス用のルールを1つ見つけましたが、このルールには最大件数チェックまたは認証ステータス・チェックがありません。Jeffはルールを作成することにしました。一般セキュリティ・ルールで使用されている既存の認証後ポリシーを検索して、ルールを作成し、追加します。また、Jeffは「add device to watch list」という名前の新規トリガー・アクション列挙およびそのアクション・グループを構成します。グループ内にブロック・アクションも追加します。次に、Jeffはデバイスを監視リスト・グループに追加する「add device to watch list」でトリガーする構成可能なアクションを構成します。本日、北朝鮮のデバイスからのログイン試行が2回あり、2週間前に同じデバイスからのログイン試行が2回あったため、この構成可能なアクションによって、このデバイスは自動的にグループに追加されました。
実装上の注意:
前述の要件を実装するには、次の手順を実行します。
ホワイト・リストに記載済またはブラック・リストに記載済として分類する前に監視する必要があるデバイスを格納するDevice Watch Listという名前のグループを作成します。
同様に、Device While ListおよびDevice Black Listという名前のグループを作成します。
add_device_to_watch_listという名前のカスタム・ルール・アクションを作成します。
ルール条件「ユーザー: ログイン数の確認」とともにルールを認証前チェックポイントのポリシーに追加します。30日以内にログイン試行の失敗が3回を超えた場合にアクションadd_device_to_watch_listをトリガーし、返すように構成します。
次に、アクション・テンプレートAddItemToWatchListActionのアクション・インスタンスを作成して認証前チェックポイントに関連付けます。
add_device_to_watch_listアクションを選択してトリガー基準をアクションとして設定し、スコア範囲を0から1000と設定します。
このリストにはdeviceidが追加される必要があるため、「アイテム・タイプ」パラメータの値をdevicesに設定します。
「ウォッチ・リスト名」パラメータの値をDevice Watch Listに設定します。
「ブラック・リスト名」パラメータの値をDevice White Listに設定します。
「ホワイト・リスト名」パラメータの値をDevice Black Listに設定します。
アクション・インスタンスを保存します。
ルールによって、add_device_to_watch_listがルール・アクションとしてトリガーされ、返されるようにログインをシミュレートします。この場合、現在のデバイスがDevice Watch Listに追加されます。
Jeffはセキュリティ管理者です。彼はテスト環境でカスタムの構成可能なアクションを定義しました。ここでは、カスタム・アクション・テンプレートをテスト環境からエクスポートして本番環境にインポートする必要があります。(ヒント: インポート・アクションの前にカスタムJAR(カスタム・クラス)を手動でリンクする必要があります。リンクしない場合、インポートが失敗します。11gでは、カスタムJARをOAAM拡張共有ライブラリに追加して、これを行います。変更内容を有効にするには、サーバーを再起動する必要があります)
実装上の注意:
前述の内容を実現するには、次の手順を実行します。
Jeffは、com.bharosa.vcrypt.tracker.dynamicactions.intf.DynamicAction Javaインタフェースを実装するJavaクラスを記述することによって、カスタムの構成可能なアクションを実装します。
クラスをコンパイルするには、$IDM_ORACLE_HOME\oaam\native\java\libフォルダのOracle Adaptive Access Manager JARをリンクします。
次に、カスタムの構成可能なアクションをテストして、適切に機能することを確認します。
このクラスをJARファイルとしてパッケージ化し、$IDM_ORACLE_HOME\oaam\oaam_extensions\genericフォルダにあるOAAM拡張共有ライブラリの構造に従って共有ライブラリを作成する必要があります。
既存のoracle.oaam.extensions共有ライブラリを上書きするか、または異なる実装バージョンの拡張共有ライブラリをデプロイする必要があります。
これで、カスタムの構成可能なアクションのアクション・テンプレートおよびアクション・インスタンスを作成できます。
これをテストするには、アクション・インスタンスを作成してチェックポイントに関連付け、トリガー基準を設定し、OAAMサーバーからのログイン(セッション)をシミュレートしてカスタムの構成可能なアクションをトリガーする必要があります。
テストが完了したら、カスタム・アクション・テンプレートをエクスポートできます。
これで、カスタム・アクション・テンプレートおよびカスタムの構成可能なアクションに関連付けられているカスタムJavaコードを含む共有ライブラリをエクスポートしました。
共有ライブラリを使用してOAAM拡張共有ライブラリを再デプロイすることによってカスタムの構成可能なアクションをデプロイし、エクスポート・ファイルからカスタムの構成可能なアクション・テンプレートをインポートできます。
Mattはセキュリティ管理者です。ユーザーが過去1か月の間に4回以上ブロックされた場合に自動的にエージェント・ケースが作成される構成可能なアクションを構成する必要があります。不正調査担当者はこのようなケースを使用して、ユーザーがリスクの高いユーザーであるかどうかを決定します。
実装上の注意:
前述の要件を実装するには、次の手順を実行します。
create_agent_caseという名前のカスタム・ルール・アクションを作成します。
ルール条件「ユーザー: ログイン数の確認」とともにルールを認証後チェックポイントのポリシーに追加します。30日以内にユーザーが4回以上ブロックされた場合にアクションcreate_agent_caseをトリガーし、返すように構成します。
次に、アクション・テンプレートCaseCreationActionのアクション・インスタンスを作成して認証後チェックポイントに関連付けます。
create_agent_caseアクションを選択してトリガー基準をアクションとして設定し、スコア範囲を0から1000に設定します。
CaseCreationActionのパラメータを次のように設定します。
「ケース・タイプ」パラメータの値として2を入力します。
「重大度」パラメータの値として2 (中)または3 (高)を入力します。
「ケースの説明」パラメータの値を入力します。
「ケース作成者のユーザーID」パラメータにユーザーIDを入力します。userIdに、ケースを作成するための適切なロールおよびアクセス権があることを確認します。
アクション・インスタンスを保存します。
3回以上のブロックでこれがトリガーされ、返されるようにユーザーのログインを数回試行します。
3番目のブロック後に、構成可能なアクションによってエージェント・ケースが自動的に作成されます。
