Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
![]() 前 |
![]() 次 |
チェックポイントは、Oracle Adaptive Access Managerがセッション内でルール・エンジンを使用してセキュリティ・データを収集および評価する特定のポイントです。
プロパティ・エディタを使用すると、新しいチェックポイントを追加したり、既存のチェックポイント・プロパティを変更できます。
この章では、新しいチェックポイントの作成方法と構成方法、および既存のチェックポイントの変更方法について説明します。
新しいチェックポイントを作成するには、プロパティ・エディタを使用します。
参照用に次のチェックポイントの列挙が用意されています。
profile.type.enum.<nameofcheckpoint>=<Checkpoint Value> profile.type.enum.<nameofcheckpoint>.name=<Checkpoint Name> profile.type.enum.<nameofcheckpoint>.description=<Checkpoint Description> profile.type.enum.<nameofcheckpoint>.ruleTypes=user,device,location profile.type.enum.<nameofcheckpoint>.listTypes=vtusers profile.type.enum.<nameofcheckpoint>.finalactionrule=process_results.rule profile.type.enum.<nameofcheckpoint>.isPreAuth=true
チェックポイント値は一意の値である必要があります。他のチェックポイントがこの識別子を使用していないことを確認してください。このIDは、データベース用語における主キーのような働きをします。たとえば、1001です。
チェックポイント名は、ユーザーが識別できる意味のある名前にする必要があります。この名前をOracle Adaptive Access Managerで使用します。
チェックポイントを正常に作成したら、「プロパティ」ボックスの「新規追加」ボタンをクリックして、適切なプロパティを追加します。
チェックポイントの必須プロパティは次のとおりです。
finalactionrule=process_results.rule
finalactionruleプロパティは、最終アクションを決定するルール・ファイルを指定します。ルール・エンジンによってチェックポイントのポリシーが処理される際には、そのスコアとアクションのリストが決定されます。どのアクションを最終アクションに指定するかを決めるためにルール・ファイルが参照されます。これが最終アクションかどうかわからない場合は、他のチェックポイントと同様の値を設定してください。ほとんどのアクションは、即時利用可能なprocess_results.ruleファイルを使用しても十分実行できます。
listTypes= vtusers
listTypesは、必ずvtusersに設定します。
ポリシーは、onlyユーザー・グループにリンク付けできます。
ruleTypes= user,device,location,in_session
ruleTypesプロパティは、チェックポイント時にサポートされるルール・タイプのリストを定義します。チェックポイントのコンテキストに応じて、user、device、locationおよびin_sessionを指定できます。複数の値はコンマを使用して区切ります。このチェックポイントでは、カンマで区切られたタイプのすべてのルールを使用できます。
たとえば、ruleTypesを「user,location」に設定した場合、このチェックポイントでは、userおよびlocationタイプのルールが使用でき、このチェックポイントのユーザー情報と位置情報が提供されます。
別の例として、Cancel OrderチェックポイントでruleTypesに「user,device,location」を指定した場合、userルール・タイプでは、Cancel Orderチェックポイント中にユーザー情報の提供が期待されます。Cancel Orderチェックポイント時にユーザー情報を提供しない場合は、このリストにuserを含めないでください。
追加できるその他のプロパティは次のとおりです。
isPreAuth
Trueは、このチェックポイントが認証前チェックポイントであることを示します。OAAM管理は、認証前スコアと認証前アクションでユーザー詳細を更新します。isPreAuthのデフォルトの値はfalseです。このフラグをtrueに設定した2つのチェックポイントは存在できないことに注意してください。また、同じチェックポイントはpostAuthとpreAuthの両方としてマークできません。
isPostAuth
Trueは、このチェックポイントが認証後チェックポイントであることを示します。OAAM管理は、認証後スコアと認証後アクションでユーザー詳細を更新します。isPostAuthのデフォルトの値はfalseです。このフラグをtrueに設定した2つのチェックポイントは存在できないことに注意してください。また、同じチェックポイントはpostAuthとpreAuthの両方としてマークできません。
チェックポイントを作成したら、サーバーを再起動する必要があります。
addressChangeチェックポイントの作成例を次に示します。
profile.type.enum.addressChange=88 profile.type.enum.addressChange.name=Address Change profile.type.enum.addressChange.description=Address Change checkpoint profile.type.enum.addressChange.ruleTypes=user,device,location profile.type.enum.addressChange.listTypes=vtusers profile.type.enum.addressChange.finalactionrule=process_results.rule profile.type.enum.addressChange.isPreAuth=true
ここでは、finalactionruleに「process_results.rule」が指定されています。ルール評価時における特定のチェックポイントの最終アクションは、このルール・ファイルによって決定されるからです。process_results.ruleファイルは即時利用可能なため、追加手順の実行は不要です。