Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
前 |
次 |
Oracle Adaptive Access Managerでは、ナレッジベース認証(KBA)を使用し、チャレンジ質問を利用することでユーザーに情報を求めます。個々のユーザーは、認証時に以前に登録された質問に回答する必要があります。
この項では、チャレンジ質問を有効化する場合のガイドラインを示します。内容は次のとおりです
ナレッジベース認証(KBA)は、認証時の第2認証の形式であり、ユーザーはチャレンジ質問のプロンプトが表示され、前に登録した回答を指定する必要があります。
KBAは第2認証方法であるため、第1認証の成功後にのみ示されます。KBAチャレンジは、リスクが中から高の状況で必要となります。重大なリスクがない場合にユーザーへのチャレンジ頻度を過剰に高めると、ユーザーの操作性が損なわれ、場合によってはセキュリティが低下します。ユーザーへのチャレンジの頻度は、回答を思い出すのに十分で、かつ煩雑に感じない程度にするのが適切です。また、表示する質問の数が過剰になると、肩越しに、またはその他の攻撃によって不正行為者に漏えいするわずかな可能性が高まります。一般的に、通常ユーザーに対しては月に1回程度のチャレンジを実行することをお薦めします。疑わしいユーザーはブロックし、システムにアクセスできないようにする必要があります。
段階的ロールアウトKBAは、組織およびユーザーの移行を簡単にするために必要となります。ロールアウトまでの間を空けることで、重要な学習期間が確保され、カスタマ・サービスへの影響が軽減されます。
ユーザーは登録されず、ユーザーの操作性もほとんど変わりません。
ユーザーは登録することを選択できます。
ユーザーは、顧客プロファイルに保存されるイメージ、フレーズおよびチャレンジ質問を登録する必要があります。
最も成功している段階的アプローチには、通常、次のフェーズがあります。最初の2つは、一般的に、ユーザー母集団のサイズおよび構成に応じて、それぞれ1か月から3か月続きます。
フェーズ1は、通常、Oracle Adaptive Access Managerリスク評価で構成されます。このフェーズでは、ユーザーの操作性はほとんど変わりません。ユーザーは、既存の方法を使用して引き続きアクセスします。ユーザーの操作性に対するわずかな変更は、ブロックです。非常に高リスクな状況では、このフェーズでのブロックをお薦めします。ブロック・アクションを適用すると、OAAM管理は、不正の防止を最初から開始できます。非常に深刻なセキュリティ違反のみがブロックされるため、通常ユーザーに問題が発生することはありません。フェーズ1は、ビジネスで必要な期間だけ続行できます。通常、組織はフェーズ1に1から3か月留まります。
フェーズ2では、ユーザー母集団に対して仮想デバイスおよび第2認証を徐々に導入します。このフェーズでは、既存のユーザーの母集団または部分母集団において、オプション・ベースで登録が使用可能になります。このオプトインにより、ユーザーは自分の都合に合わせて登録できます。新規ユーザーには、作成後ただちに登録オプションを示す必要があります。この戦略は、一定期間にわたってサポートの負荷を分散し、ユーザーにとっての利便性を高めることに役立ちます。
ユーザーの操作性
ユーザーは、サインオン時の認証に成功した後、チャレンジ質問の登録を求められます。ユーザーは、登録をバイパスして、セッションに進むことを選択できます。
時間をずらしたロールアウト
ロールアウト・フェーズをサブグループに分割すると、労力がより軽減される場合があります。大規模なデプロイメントでは、時間をずらすことをお薦めします。通常、フェーズ2は、時間をずらして実装するのに最適な期間です。時間をずらす場合の最も一般的な手順を次に示します。
ユーザー母集団をグループに分割します。地理的地域は、この分割に最もよく使用される基準です。
時間をずらした開始日を各グループに構成します。
オプション登録の有効化
オプション登録を有効化するには、「認証後フロー・フェーズ2」ポリシーを、KBAを有効化するユーザー・グループにリンクします。
フェーズ3では、オプトイン登録処理は選択できません。このフェーズは、すべてのユーザーに対して推し進められる通常の登録手順への遷移です。この理由から、フェーズ3には終わりがありません。まだ登録していない既存のユーザーは、保護されたアプリケーションにアクセスする前に、登録を完了する必要があります。
ユーザーの操作性
ユーザーは、サインオン時の認証に成功した後、チャレンジ質問の登録を求められます。ユーザーは、登録の完了後にセッションに進みます。
必須登録の有効化
必須登録を有効化するには、「認証後フロー・フェーズ3」ポリシーを、KBAを有効化するユーザー・グループにリンクします。
ユーザー・グループが前に「認証後フロー・フェーズ2」ポリシーにリンクされている場合、そのリンクは削除されます。
次の表は、チャレンジ質問を有効化するためのチェックリストを表しています。
タスク | [ ] |
---|---|
OAAMスナップショットのインポート |
[ ] |
KBAを有効にするユーザー・グループへの適切なポリシーのリンク。 |
[ ] |
KBAプロパティが設定されていることを確認 |
[ ] |
適切なアクションを使用して、登録およびチャレンジ・ポリシー内でルールを変更 |
[ ] |
OAAM管理を使用して、チャレンジ質問の回答の検証を構成 |
[ ] |
OAAM管理を使用して、回答ロジックを構成 |
[ ] |
Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。スナップショットは、oaam_base_snapshot.zipファイルに格納され、MW_HOME/IDM_ORACLE_HOME/oaam/init
ディレクトリに置かれています。
事前にパッケージ化されたポリシーを使用する場合は、OAAMスナップショットがインポートされていることを確認してください。事前にパッケージ化されたポリシーを使用しない場合は、この章をガイドラインとして使用して、チャレンジ質問を有効化します。
スナップショットをインポートするには、2.6項「OAAMスナップショットのインポート」の手順を参照してください。
bharosa.kba.active
プロパティがtrueに設定されていることを確認します。プロパティの設定方法の手順については、第28.6項「データベースおよびファイル・タイプ・プロパティの値の編集」を参照してください。
ユーザーに登録を求める前に、チャレンジ質問がOracle Adaptive Access Managerに存在する必要があります。チャレンジ質問はOAAMスナップショットに含まれています。質問が含まれたスナップショットのインポートの詳細は、2.6項「OAAMスナップショットのインポート」を参照してください。
ビジネスおよびセキュリティのニーズに関連するKBAセキュリティ・ポリシーがシステムにロードされていることを確認します。KBAを有効にするユーザー・グループにそれらをリンクします。
たとえば、システムでカスタマ・サービス担当(CSR)を介して電話でユーザーにチャレンジできるようにする場合、「システムCCチャレンジ」ポリシーをインポートして有効化する必要があります。
注意: ポリシーがカスタマイズされている場合、そのポリシーを再度インポートしていないことを確認します。そうしている場合、カスタマイズしたポリシーが破損します。 |
OAAMの事前にパッケージ化されたポリシーを使用している場合、KBAを有効化するユーザー・グループを、フェーズ2の認証前および認証後ポリシーに追加することで、フェーズ2シナリオを有効化します。
フェーズ2では、ユーザーに試すことができる、オプション登録シナリオを提供します。登録処理を使用することをユーザーが希望する場合は、このシナリオを認可プロセスに追加できます。
フェーズ2では、ユーザーの操作性がより多く変更され、資格証明の入力への仮想オーセンティケータの使用が含められます。これにより、ログイン詳細がセキュアに収集され、登録/チャレンジが簡易化されます。
フェーズ2シナリオを有効化するには
ポリシーのステータスに「アクティブ」が選択されていることを確認します。
10.11項「ポリシーのアクティブ化/無効化」を参照してください。
ポリシー内のすべてのルールがアクティブであることを確認します。
10.23項「ルールのアクティブ化/無効化」を参照してください。
KBAを有効化するユーザー・グループで「実行モード」オプションが選択されていることを確認します。
第10.9.1項「グループへのポリシーのリンク」を参照してください。
現在のフェーズが、OAAM管理でユーザーをリンクしたポリシーに対応していることを確認することが重要であることに注意してください。
適切なアクションを使用して、登録およびチャレンジ・ポリシー内でルールを変更します。
たとえば、トリガーするいずれかのアクションとしてチャレンジ・アクションを割り当てます。
詳細は、第10.12.5項「ルールの結果の指定」を参照してください。
検証を使用して、登録時にユーザーが指定した回答を確認します。回答については、正規表現検証を追加することによって、ユーザーの入力を英数字およびいくつかの特定の特殊文字に制限するように設定できます。
詳細は、7.6項「回答登録の検証の設定」を参照してください。
回答ロジック設定を、チャレンジ質問の回答に必要な精度に関して構成できます。たとえば、電信送金などの高リスク・トランザクションでは高い確実度(完全一致)が必要とされる一方で、機密でない個人情報にアクセスする場合には、必要とされるレスポンスの確実性はより低くなることがあります。
ファット・フィンガリング、誤入力、省略形などのレベルのような、回答のしきい値や許容範囲用の回答ロジックを構成します。
詳細は、7.9項「回答ロジックの調整」を参照してください。