| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
前 |
次 |
組織では、ポリシーを使用して不正を監視および管理したり、ビジネス要素を評価します。ポリシーには、各チェックポイントでリスクのレベルを評価するために使用される、セキュリティ・ルールおよび構成が含まれます。
この章では、ポリシー、ルールおよび条件の背後にある概念について説明し、これらの作成および管理に関する情報を提供します。
この項では、ポリシーとルールの概念およびOracle Adaptive Access Managerでの使用方法について説明します。
ポリシーは、チェックポイントに関連付けられているルールの集合です。ポリシー評価の結果は、スコア、アクションおよびアラートです。ポリシーの結果を使用して、クライアント・アプリケーションによる決定を施行できます。ルールの詳細は、10.1.2項「ルール」を参照してください。
Oracle Adaptive Access Managerを使用すると、ビジネス要件に基づいてポリシーを作成できます。対象となるアクティビティの属性やデータ・ポイントが条件にマップされ、実行する評価がルールに変換されます。これらのルールはポリシーに追加されます。チェックポイントは、ポリシーによってアクティビティが評価されるときに備えてセッションに設定されます。たとえば、認証前チェックポイントでポリシーが実行されるようにできます。認証前チェックポイントは、ユーザーがパスワードを入力する前の時点です。ルールが実行されると、データが収集されます。詳細は、10.1.4項「チェックポイント」を参照してください。
通常の業務では、条件がマップされているデータ・ポイントが検索されます。すべての条件が満たされている場合は、スコアが計算され、その状況を処理するために事前に定義したポリシーによっては、リアルタイムでアラートが生成されるか、またはアクションがトリガーされるか、あるいはその両方が行われます。たとえば、この結果、ユーザーがチャレンジを受けたり、ユーザーがブロックされるか、アラートがアクティブ化される場合があります。
すべての条件が一致する場合に、ルールはtrueと評価されます。ルールの結果は、スコア、およびオプションでアクションまたはアラート、あるいは回答とアラートです。ポリシーの結果は、ポリシーのルール・スコアにスコアリング・ポリシーを適用して決定されます。スコアに加えてオプションでトリガー組合せを構成できますが、トリガー組合せとはポリシーのルール結果の組合せのことであり、これによりアクションが呼び出されたり、アラートが生成されます。トリガー組合せの詳細は、第10.1.10項「トリガー組合せとトリガー」を参照してください。
ビジネス環境における不正は変化し続けているため、定期的にポリシーを再評価して新しい状況を反映し、Oracle Adaptive Access Managerを使用してポリシーを更新し、最新にしておく必要があります。
ポリシー構造
図10-1は、ポリシー構造を表しています。
チェックポイントは、ポリシーがコールされてそのルールを実行するタイミングです。
ルールには、条件と呼ばれる構成可能な評価文が含まれています。
ポリシーは、それらをユーザー・グループと組織IDにリンクすることで範囲指定されます。
アクション、アラート、IP、デバイスおよびその他のグループは、条件、トリガー組合せおよびチェックポイントのオーバーライドに関連付けられます。
ルールは、条件の集合です。事前条件を使用して例外を指定できます。ルールによって条件が評価され、ルールの結果は、アラート、アクションおよびスコアです。すべての事前条件が満たされ、すべての条件が「true」と評価された場合に、ルールは「true」と評価されます。ルールが「true」と評価されると、指定されたアラートが作成され、関連するアクションおよびスコアがポリシーに付与されてさらに評価されます。
条件は、履歴および実行時データの評価に使用される構成可能な評価文です。条件では、データ・ポイント(セッションや履歴)を使用してリスクまたはビジネス・ロジックを評価します。条件は、その条件で使用されるデータの種類に基づいて分類されます。たとえば、ユーザー、デバイス、ロケーションなどです。
条件はシステムで事前にパッケージ化されており、ユーザーが作成することはできません。
ルールは、条件で構成されます。条件は、ルールへの追加時にユーザーが入力する場合があります。条件は、使用可能なデータに基づいてtrueまたはfalseと評価されます。複数の条件を追加する場合、その条件を結ぶ接続詞は常にANDになります。
表10-1の例を参照してください。
システムで使用可能な条件の詳細は、付録C「条件リファレンス」を参照してください。
チェックポイントは、ルールを実行するためのポリシーがコールされる決定および施行ポイントです。チェックポイント用に構成されたすべてのポリシーが評価されます。結果はスコア、アクションまたはその両方です。
OAAMサーバーでは、即時利用可能なポリシーおよびチェックポイントを使用してユーザー・フローを制御します。APIベースの統合によって、新しいチェックポイントを作成し、ポリシーを構成して、フローを実行できます。
不正行為者がユーザーのユーザー名とパスワードを盗み、電信送金を行おうとしています。電信送金という目的を達成するために、不正行為者は複数のセキュリティ・ゲートを通過する必要があります。不正行為者は認証後の間に捕捉されます。たとえば、不正行為者が匿名プロキシを使用してロケーションをマスクした場合は、認証後の間にチャレンジが発生します。不正行為者が適切な回答を指定できない場合、不正が回避されます。
グループは、構成作業を簡略化するために収集された相似アイテムです。グループを使用すると、グループの個別のメンバーを管理するのではなく、類似アイテムの集合を1つのグループとして表示および管理できます。作成可能なグループのタイプには、ユーザーID、ユーザー名、ロケーション、デバイス、アクション、アラートなどがあります。
アクションは、アプリケーション・フローの制御に使用されます。
アクションは、ルールがトリガーされるときにアクティブ化されるイベントです。たとえば、ブロック・アクセス、チャレンジ質問、PINまたはパスワード要求などがあります。アクションは、特定のチェックポイントのスコアに基づいてアクティブ化することもできます。
OAAMサーバーやネイティブ統合クライアントなどのクライアント・アプリケーションは、結果の即時利用可能なアクションに影響を与えます。ユーザーは、自身のアプリケーションが使用するカスタム・アクションを作成することもできます。
アクション・グループはルール内の結果として使用され、ルールがトリガーされると、グループ内のすべてのアクションがアクティブ化されます。
アクション・グループの詳細は、第12章「グループの管理」を参照してください。
アラートは、イベントが発生したことを示すメッセージです。イベントには、ルールがトリガーされた、トリガー組合せが満たされた、オーバーライドが使用されたなどがあります。
アラート・グループは、ルールがトリガーされた場合にグループ内のすべてのアラートが作成されるように、ルール内の結果として使用されます。
アラートの作成の詳細は、第12章「グループの管理」を参照してください。
「グループ・リンク」では、「実行モード」を指定して、すべてのユーザーまたは選択したユーザー・グループに対してポリシーを実行できます。
リンクでは、リンクされているグループ内の一連のユーザーに対してポリシーを実行できます。
「リンク・ユーザー」オプションは、ポリシーを1つまたは複数のユーザーIDグループにリンクします。
「すべてのユーザー」オプションは、ポリシーをすべてのユーザーにリンクします。「グループ・リンク」に「すべてのユーザー」が表示されている場合は、使用可能なすべてのリンクが無視されます。ユーザーがグループ・リンクとして「すべてのユーザー」を選択すると、リンク・オプションが無効になります。
実行モードは、「すべてのユーザー」または「リンク・ユーザー」のいずれかとなります。これによって、ポリシーがすべてのユーザーに関して評価されるか、またはそのポリシーにリンクされているユーザー・グループに関して評価されるかが決定されます。ポリシーがネストされたポリシーとして評価される場合、実行モードは無視されます。
トリガー組合せは、一連の特定のルールがトリガーされた場合に生成される追加の結果およびポリシー評価です。
トリガー組合せを使用して、ルールの結果をオーバーライドできます。各トリガー組合せでは、アラート、アクションと、スコアまたは実行する別のポリシーのいずれかを指定できます。トリガー組合せは順に評価し、ルール・リターンの組合せが一致すると停止します。アラートは、個別のルールによってトリガーされるアクションおよびアラートに追加されます。個別のルールによって返されるアクションは、アクション・グループに置き換えられます。
トリガー組合せが別のポリシーをトリガーした場合、このポリシーはポリシー内にネストされていると考えられます。ポリシーは、別のポリシー内にネストすることも、単独で評価することもできます。
トリガー組合せの詳細は、第10.13項「トリガー組合せの使用」を参照してください。
トリガー組合せの設定例は、10.34.7項「ユース・ケース: トリガー組合せ」を参照してください。
ネストされたポリシーは、システムから最初に出力された結果が不明確である場合に、リスク・スコアをさらに定量化するために使用されるセカンダリ・ポリシーです。リスク・スコアの正確性を高めるために、ネストされたポリシーを割り当てることができます。
トリガー組合せのネストされたポリシーは、特定の一連のルール結果がプライマリ・ポリシーから送信された場合にのみ実行されます。このため、ネストされたポリシーによって、誤検出と不要な結果が減少します。
Oracle Adaptive Access Managerは、「システム: 評価ポリシー」条件を使用して、別のポリシーをルールの一環として評価できます。評価されたポリシーの結果は伝搬されます。これは条件の実行と呼ばれます。
スコアは、ユーザーにより構成された数字であり、ルールがtrueに評価されるとそのルールに割り当てられます。ユーザーは、複数のルールのスコアを1つのポリシー内に組み合せるために使用するスコアリング・ポリシーを構成し、そのポリシーにスコアを割り当てることができます。様々なポリシーからのスコアが、ポリシー・セット・レベルのスコアリング・ポリシーを使用して結合されます。
重みは、合計スコアに影響を与えるためにポリシー・スコアで使用される乗数値です。
スコアと重み、およびそれらがリスク評価で使用される方法の詳細は、第14章「スコアリング・エンジンの使用」を参照してください。
スコアリング・エンジンは、ポリシー・レベルおよびチェックポイント・レベルで提供されます。
ポリシー・スコアリング・エンジンは、各ポリシーのリスクを判別するためにルール・スコアに適用されます。
ポリシー・セット・スコアリング・エンジンがチェックポイントの下のポリシーのスコアに適用されて、そのチェックポイントのスコアが決定されます。チェックポイント・レベルでのデフォルトのスコアリング・エンジンは、「最大」です。
スコアリング・エンジンの詳細は、第14章「スコアリング・エンジンの使用」を参照してください。
同じポリシー名が存在するかどうかによって、ポリシーは、システムに追加されるか、既存のポリシーを上書きまたは更新します。名前がすでに存在している場合、そのポリシーが更新されます。名前が存在しない場合、インポートされたポリシーがシステムに追加されます。
ポリシーおよびそのポリシーに関連付けられているすべてのグループがインポートされます。
11gでは、セキュリティ・ポリシーのみ利用可能です。OAAMデータベースに10gのポリシーが保持されているものの、OAAM 11gでは、データベース内の「ビジネス」、「サード・パーティ」および「ワークフロー」の各ポリシー・タイプは無視され、すべてのポリシー・タイプがあらゆる目的にかなう「セキュリティ」ポリシーとして処理されます。
ポリシー・タイプがないため、ポリシー・タイプ・スコアリング・エンジンは無視され、チェックポイント・レベルのスコアリング・エンジンがすべてのポリシーに適用されます。
ポリシーを計画するには、次の項を参照してください。
ルール条件
Oracle Adaptive Access Managerには、ルールの構成に使用される条件のライブラリがあります。
条件を使用するには、10.26項「条件のインポート」の手順に従ってシステムに条件をインポートします。
新規ポリシーの計画
ポリシーを作成した場合は、この章の情報を都合に合わせて任意の順序で参照してください。
システムのポリシーの作成を開始する場合は、次の手順の概要に従います。
ポリシーの策定を開始するには、様々なソースからインテリジェンスを収集してニーズを特定し、それらに対処するための要件を作成します。
たとえば、対処が必要なセキュリティ・トレンドを識別するためのレポートを実行できます。
結果を想定して、ニーズに対処するための要件を作成します。
ユース・ケース
ルールの条件
予期される結果(アクション、アラート、スコア)
関係するアプリケーション
関係するユーザー・グループ
適用するスコアリング・エンジンのタイプを指定します。
スコアリング・エンジンの詳細は、第14章「スコアリング・エンジンの使用」を参照してください。
要件に基づいてポリシーを計画します。
プロファイリングするデータ・ポイント
ユース・ケースのルール
ルールにより定義されるしきい値
必要な結果(スコア、アクション、アラート)
除外グループ
ルール・モデリングの詳細は、付録E「検出およびOAAMポリシー開発プロセス」を参照してください。
ポリシーの作成時に利用できるように、アラートおよびアクション・グループを作成します。
詳細は、12.10項「グループの作成」を参照してください。
ポリシーを作成します。
詳細は、10.8項「ポリシーの作成」を参照してください。
この項では、ポリシー作成の概要を示します。
ポリシーを検索して、ポリシーが存在するかどうか確認します。
ポリシー詳細を表示して、必要なルールがポリシーで利用可能かどうかを確認します。
ポリシーを適切な名前(Block-From-BlackListなど)で作成し、関連するチェックポイント、スコアリングおよび重みを入力して割り当てます。
スコアと重みの割当ての詳細は、第14章「スコアリング・エンジンの使用」を参照してください。
条件を含む必須ルールをポリシーに追加し、トリガー組合せを使用して、トリガーするルールの順序を決定します。
新規ルールは、パターンまたはプラクティス、または日々の業務オペレーションで実行する可能性のある特定アクティビティを評価および処理します。
ポリシーにルールを追加するには次の2つの方法があります。
ポリシーに追加するルールを作成します、または
ルールをポリシーにコピーします
ユーザー・グループにポリシーを適宜リンクします。
ポリシーとルールがユーザー・グループに対して実行されます。
ポリシーに追加する新規ルールを作成するには:
事前条件を指定します
条件を追加します
条件の順序変更/パラメータの変更を行います
結果の値を指定します
ポリシー検索ページを開くには、ナビゲーション・ツリーで「ポリシー」をダブルクリックします。ポリシー検索ページが表示されます。
ポリシー検索ページは、次の方法で開くこともできます。
ナビゲーション・ツリーで「ポリシー」を右クリックし、コンテキスト・メニューから「ポリシーのリスト」を選択します。
ナビゲーション・ツリーで「ポリシー」を選択し、「アクション」メニューから「ポリシーのリスト」を選択します。
ナビゲーション・ツリーのツールバーの「ポリシーのリスト」ボタンをクリックします。
ポリシー検索ページは、ポリシーを管理するための開始位置です。セキュリティ管理者のホーム・ページでもあります。
ポリシー検索ページでは、次の作業を実行できます。
ポリシーの検索
ポリシーのリストの表示
新規のポリシーの作成
ポリシーのインポート
ポリシーのエクスポート
ポリシーのエクスポートおよび削除スクリプトの作成
ポリシーの削除
「ポリシー詳細」ページにナビゲートします
図10-4「ポリシー検索ページ」に、ポリシー検索ページの例を示します。
ポリシー検索ページでは、検索フィルタに基準を指定してポリシーを検索します。
ポリシー検索ページを初めて表示した場合、「検索結果」表は空になっています。Oracle Adaptive Access Manager環境のポリシーのリストを表示するには、「検索」を押す必要があります。
ポリシーを検索するには:
ナビゲーション・ツリーで「ポリシー」をダブルクリックします。ポリシー検索ページが表示されます。
検索フィルタでポリシーを検索する基準を指定し、「検索」をクリックします。
「検索」のかわりに「リセット」をクリックすると、検索基準がリセットされます。
検索フィルタ基準については、表10-2で説明します。
表10-2 ポリシー検索フィルタ基準
| フィルタおよびフィールド | 説明 |
|---|---|
|
リンクされたグループ |
ユーザーは、ポリシーがリンクされているユーザー・グループに基づいてポリシーをフィルタリングできます。 「リンクされたグループ」フィルタは「実行モード」が「リンクされていません」の場合は、関連付けられているユーザーIDグループがないため無効になります。 |
|
ポリシー名 |
ポリシーの名前。完全な名前、またはポリシー名の一部を入力できます。たとえば、HTTPと入力すると、名前の一部にHTTPが含まれるポリシーが表示されます。 |
|
ポリシー・ステータス |
ポリシーのステータス: 「アクティブ」または「無効」。 ビジネス・プロセスでのオブジェクト状態またはその可用性を定義します。 詳細は、「ポリシー・ステータス」を参照してください。 |
|
チェックポイント |
セッション中にポリシーのルールが評価される時点。 |
|
実行モード |
「実行モード」では、ポリシーをすべてのユーザーまたは特定のユーザーIDグループにリンクするか、あるいはポリシーをリンクしないかを選択できます。ポリシーをグループにリンクすると、リンクされているグループ内の一連のユーザーに対してポリシーを実行できます。
|
|
作成日 |
ポリシーが作成された時刻。 |
|
更新時間 |
ポリシーが最後に更新された時刻。 |
実行された検索に応じて、「検索結果」表にポリシーまたはポリシーのリストが表示されます。検索によって表示されるポリシーは、「リンクされたグループ」、「ポリシー名」、「ポリシー・ステータス」、「チェックポイント」および「実行モード」の各フィールドに指定されている基準に一致したポリシーです。
「検索結果」表は、列をソートしてソートできます。
各ポリシーには名前があります。説明が長すぎてすべて表示されない場合は、テキストの上にマウスを合わせると、説明全体が表示されます。
「検索結果」表からポリシーのポリシー詳細ページにすばやくアクセスできます。詳細を表示するには、目的のポリシーのポリシー名をクリックします。
ポリシー名をクリックすると、そのポリシーのポリシー詳細ページが表示されます。
ポリシー詳細ページでは、ポリシーの詳細を表示および編集できます。ポリシー詳細ページには、ポリシー・ツリーからアクセスすることもできます。詳細は、第3章「Oracle Adaptive Access Managerのナビゲーション」を参照してください。
ポリシー詳細ページには、次の4つのタブがあります。
「サマリー」: ポリシーの一般詳細を表示および編集できます。
「ルール」: ポリシーのすべてのルールのリストを表示し、それらを追加および削除できます。
「トリガー組合せ」: ポリシーのトリガー組合せを表示し、それらを追加、削除および編集できます。
「グループ・リンク」: ポリシーをユーザーIDグループにリンクできます。
「ポリシー詳細」ページのタブには、ポリシーに存在するルール数、トリガー組合せ、グループ・リンクがカッコ内に表示されます。無効化されたルールもカウントに含まれます。
ポリシーはルールの集合であり、パターンまたはプラクティス、あるいは日々の業務オペレーションで実行する可能性のある特定アクティビティを評価および処理するように構成されます。
新規ポリシーが機能するには、ポリシーを作成してから、そのポリシーの編集を行います。
新規ポリシーを作成するには:
ナビゲーション・ツリーで「ポリシー」をダブルクリックします。ポリシー検索ページが表示されます。
ポリシー検索ページで「新規ポリシー」ボタンをクリックします。
詳細を指定して新規ポリシーを作成できる新規ポリシー・ページが表示されます。
または次の手順を実行して「新規ポリシー」ページを開きます。
ナビゲーション・ツリーで「ポリシー」を右クリックして、コンテキスト・メニューから「新規ポリシー」を選択します。
ナビゲーション・ツリーで「ポリシー」を選択して、「アクション」メニューから「新規ポリシー」を選択します。
ナビゲーション・ツリーのツールバーで「新規ポリシーの作成」ボタンをクリックします。
「検索結果」ツールバーで「新規ポリシーの作成」ボタンを選択します。
「検索結果」の「アクション」メニューから「新規ポリシー」を選択します。
「サマリー」タブのすべてのフィールドは、「名前」と「説明」を除き事前移入されています。
新規ポリシー・ページを初めて表示したときの新規ポリシーのデフォルト値は、次のとおりです。
ポリシー・ステータス: アクティブ
「チェックポイント」: 「認証前」
スコアリング・エンジン: 平均
重み: 100
新規ポリシーの作成後に、ルール、トリガー組合せおよびユーザー・グループを追加できます。
「サマリー」タブで「ポリシー名」ボックスに新規ポリシーの名前を入力します。
1から255文字のポリシー名および説明を入力します。
ポリシーを作成直後に有効にする場合は、「ポリシー・ステータス」をデフォルトの「アクティブ」のままにします。
ポリシーを無効にする場合は、「無効」を選択します。
無効化されたポリシーはチェックポイントで施行されません。
ポリシーを無効にしても、そのポリシーはシステムから削除されません。後でそのポリシーを有効化することができます。
「チェックポイント」リストから、ポリシーを実行するセッションの前およびセッション中の時点を選択します。
たとえば、認証の成功後にアクションを開始する場合は、チェックポイントとして「認証後」を選択します。
チェックポイントの詳細は、第10.1.4項「チェックポイント」を参照してください。
「スコアリング・エンジン」リストから、リスク・レベルを決定する数値スコアの計算に使用する不正分析エンジンを選択します。
スコアリング・エンジンの詳細は、第14章「スコアリング・エンジンの使用」を参照してください。
合計スコアに影響を与える重み付けされたスコアリング・エンジンを使用する場合は、「重み」リストで乗数として0から100の値を入力します。
ポリシーが重み付けされたスコアリング・エンジンを使用する場合は、スコアと重み(乗数値)の両方を使用して合計スコアの計算に影響を与えます。ポリシーが重み付けされたスコアリング・エンジンを使用しない場合は、スコアのみを使用して合計スコアに影響を与えます。
「説明」ボックスにポリシーの説明を入力します。
「適用」をクリックしてポリシーを作成します。
ポリシーが正常に作成されたことを示すメッセージを含む確認ダイアログが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
「OK」をクリックすると、「ルール」タブ、「トリガー組合せ」タブおよび「グループ・リンク」タブが有効になります。
ポリシーを別のチェックポイントにコピーする場合は、「ポリシーのコピー」ボタンを使用できます。詳細は、10.16項「ポリシーの別のチェックポイントへのコピー」を参照してください。
ポリシーが機能するように編集するには:
ポリシーが作成されたら、ポリシー内に新規ルールを作成して、ポリシーにルールを追加できます(第10.12項「新規ルールの追加」)。
ルールの追加時に次の項目を指定できます。
事前条件。詳細は、10.21.2項「事前条件の指定」を参照してください。
条件。詳細は、10.27項「ルールへの条件の追加」を参照してください。
条件およびパラメータの値の順序。
結果。詳細は、10.21.3項「ルールの結果の指定」を参照してください。
次に、ポリシーが実行されるように、グループ・タイプ、ユーザーIDまたはすべてのユーザーにポリシーをリンクする必要があります。グループ・リンクでは、一連のユーザーまたはすべてのユーザーに対してポリシーを実行できます。詳細は、第10.9項「ポリシーのすべてのユーザーまたはユーザーIDグループへのリンク」を参照してください。
個別のルールの結果とは異なる結果を指定する場合は、トリガー組合せを構成します。詳細は、第10.13項「トリガー組合せの使用」を参照してください。
グループ・リンクでは、ポリシーをリンクするユーザーを指定できます。ポリシーが機能するように、グループにポリシーをリンクする必要があります。
ポリシーをグループにリンクすると、リンクされているグループ内の一連のユーザーに対してポリシーを実行できます。
「すべてのユーザー」オプションは、ポリシーをすべてのユーザーにリンクします。「グループ・リンク」に「すべてのユーザー」が表示されている場合は、使用可能なすべてのリンクが無視されます。ユーザーがグループ・リンクとして「すべてのユーザー」を選択すると、リンク・オプションが無効になります。
ポリシーにリンクされているグループの合計数が「グループ・リンク」タブ・タイトルの横のカッコに表示されます。
ポリシーの作成後に、ポリシーを1つまたは複数のユーザーIDグループにリンクして、一連のユーザーに対してポリシーおよびルールが実行されるようにすることができます。
「ポリシー詳細」ページにナビゲートします。
ナビゲーション・ツリーで、「ポリシー」を選択します。ポリシー検索ページが表示されます。
必要なポリシーを検索します。
ポリシー名をクリックすると、ポリシー詳細ページが表示されます。
ポリシー詳細ページで「グループ・リンク」タブをクリックします。
「実行モード」で「リンク・ユーザー」を指定します。
表見出しの「リンク」アイコンをクリックします。
詳細を入力してグループをポリシーにリンクできる「グループのリンク」画面が表示されます。
使用可能なターゲット・セットが関連するボックスに表示されます。
「グループ名」リストからポリシーにリンクするグループを選択します。
ユーザー・グループのみがリストされます。
「グループ名」は必須フィールドです。
リンク・ノートを入力します。
「グループのリンク」をクリックします。
10.5項「ポリシーの検索」の説明に従って、目的のポリシーを検索します。
「検索結果」表で、編集するポリシーの名前をクリックします。
表10-2「ポリシー詳細の「サマリー」タブ」に示すように、「サマリー」タブにそのポリシーの一般詳細が表示されます。
表10-3 ポリシー詳細の「サマリー」タブ
| フィールド | 説明 |
|---|---|
|
ポリシー名 |
ポリシーの名前。 |
|
ポリシー・ステータス |
ポリシーのステータス: 「アクティブ」または「無効」。 ビジネス・プロセスでのオブジェクト状態またはその可用性を定義します。 詳細は、「ポリシー・ステータス」を参照してください。 |
|
チェックポイント |
セッション中にポリシーのルールが評価される時点。 |
|
スコアリング・エンジン |
リスク・レベルを決定する数値スコアの計算に使用する不正分析エンジン。 |
|
重み |
様々な評価レベルの合計スコアに影響を与えるために使用される乗数。重みは0から100の整数値です。 |
|
説明 |
ポリシーの説明。 |
ポリシーの一般情報を編集するには、「サマリー」タブで変更を行ってから「適用」をクリックします。
ポリシー詳細が正常に更新されます。
ポリシーをアクティブ化または無効化するには:
10.5項「ポリシーの検索」の説明に従って、目的のポリシーを検索します。
「検索結果」表で、アクティブ化または無効化するポリシーの名前をクリックします。
「サマリー」タブでポリシー・ステータスを変更してから「適用」をクリックします。
詳細は、「ポリシー・ステータス」を参照してください。
ポリシーからのみルールを作成できます。条件を追加するまで、新規ルールは保存できません。
ルールの作成には、次の手順が必要です。
ルール作成プロセスを開始するには:
ナビゲーション・ツリーで、「ポリシー」を選択します。ポリシー検索ページが表示されます。
必要なポリシーを検索します。
「検索結果」表でポリシーの名前をクリックします。そのポリシーのポリシー詳細ページが表示されます。
ポリシー詳細ページで、「ルール」タブをクリックします。
「ルール」タブで行ヘッダーの「追加」ボタンをクリックするか、または「アクション」メニューから「新規ルール」を選択します。
「新規ルール」ページが表示されます。
ルール作成プロセスの次の手順を示します。
条件の順序を変更します
パラメータを変更します
新規ルールの「ルール・ステータス」のデフォルト値は「アクティブ」です。
表10-4「新規ルール・ページ」では、一般的なルールの情報の概要を示します。
表10-4 「新規ルール」ページ
| フィールド | 説明 |
|---|---|
|
ルール名 |
ルールの名前。1から4000文字で入力します。 |
|
ポリシー名 |
ポリシーの名前。(読取り専用) |
|
ルール・ステータス |
ルールのステータス(「アクティブ」または「無効」)。ルール・ステータスが「アクティブ」から「無効」に変更された場合、ルールは無効であり、ポリシーに追加できません。すでにルールが含まれているポリシーは影響を受けず、引き続き以前と同様に機能します。 |
|
説明 |
ルールに関する説明。1から4000文字で入力します。 |
ルールに関する一般情報を追加するには、次の手順を実行します。
「サマリー」タブで、ルールの名前および説明を入力します。ルール名はポリシー間で重複できますが、同じポリシー内では重複できません。
ルール名または説明を入力する前に別のタブにナビゲートしようとすると、値が必要であることを示すエラー・メッセージが表示されます。
ポリシー名は変更できません。
ルールを無効にする場合は、「無効」を選択します。「ルール・ステータス」のデフォルト値は「アクティブ」です。無効化されているルールは、ポリシーの施行時に実行されません。
ルールの事前条件を構成するには、10.21.2項「事前条件の指定」の手順を実行します。
事前条件によって、除外するグループおよび地理的位置の信頼度係数パラメータを指定できます。
ルールの条件を追加するには、10.27項「ルールへの条件の追加」の手順を実行します。
ルールがトリガーされた場合の結果を指定するには、10.21.3項「ルールの結果の指定」の手順を実行します。
次の結果のタイプから選択できます。
スコアおよび重み
アクション
アクションは、ルールがトリガーされるときにアクティブ化されるイベントです。たとえば、ブロック・アクセス、チャレンジ質問、PINまたはパスワード要求などがあります。アクション・グループの詳細は、第12章「グループの管理」を参照してください。
アラート
アラートは、ルールがトリガーされるときに生成されるメッセージです。例: 「このユーザーに対する新しい国からのログイン試行」。アラート・グループの詳細は、第12章「グループの管理」を参照してください。
トリガー組合せを使用すると、個別のルールの結果とは異なる結果を指定できます。結果は、ルールのトリガーの組合せに厳密に基づきます。
様々なルール・リターンの組合せに基づくスコア、アクション・グループおよびアラート・グループを指定することも、ネストされたポリシーを指定してさらにリスクを評価することもできます。
トリガー組合せは順に評価し、トリガー組合せが一致すると停止します。
トリガー組合せにはルールの詳細ページからアクセスできます。表の各列は、トリガー組合せに対応しています。
ルールはデフォルトで「任意」に設定されています。「任意」では、トリガーされるかどうかのルールが無視されます。
ポリシー内のトリガー組合せの合計数が、タブ・タイトルの横のカッコ内に表示されます。
最初の列は固定されており、ラベルを参照しながらスクロールして表のすべてのデータを表示できます。
アクション・グループおよびアラート・グループの詳細は、第12章「グループの管理」を参照してください。
表10-5 トリガー組合せ
| フィールド | 説明 |
|---|---|
|
説明 |
トリガー組合せに関する説明。各トリガー組合せには説明があります。説明が長すぎてすべて表示されない場合は、テキストの上にマウスを合わせると、説明全体が表示されます。 |
|
名前 |
ルールの名前。 |
|
スコア/ポリシー |
「スコア」を選択すると、0から1000の整数値を入力できるスコア・ボックスが表示されます。「スコア」の最小スコアと最大スコアはプロパティとして定義されます。 0以下のスコアは無視されます。 「ポリシー」を選択すると、同じチェックポイントのポリシーが含まれたポリシー・リストが表示されます。 |
|
ポリシー |
「ポリシー」を選択すると、同じチェックポイントで実行されるようにネストされたポリシーが構成されます。 |
|
アクション・グループ |
アクション・グループは、ルールがトリガーされたときに実行される必要があるすべてのアクションを示します。 |
|
アラート・グループ |
アラート・グループは、ルールがトリガーされたときにグループ内のすべてのアラートがアクティブ化されるように、ルール内の結果として使用される等級付けされたメッセージで構成されます。 |
表10-6「「トリガー組合せ」のツールバー・オプション」に、ツールバーで使用可能なコマンドを示します。
追加できるトリガー組合せの数に制限はありません。
デフォルトでは、ポリシーにトリガー組合せがない場合、ポリシー内のすべてのルールとトリガー組合せ用の列を1つ含む表が作成されます。組合せは編集して保存できます。
説明とその他の値をトリガー組合せに指定できます。デフォルトでは、組合せを追加すると、新しい組合せを編集しない場合でも、「適用」と「元に戻す」が有効になります。
複数のトリガー組合せを編集して一度に保存することができます。
トリガー組合せの編集中にこのタブから移動すると、トリガー組合せがセッションに保存され、再度このタブにナビゲートしたときに使用可能となります。
「順序変更」ボタンを使用すると、列の順序を変更できます。
|
注意: 「追加」、「削除」などの操作は元に戻すことができません。このような操作は実行する準備ができたことを確認してから実行してください。 |
表10-6 「トリガー組合せ」のツールバー・オプション
| コマンド | 説明 |
|---|---|
|
追加  |
このボタンは、新しい列(トリガー組合せ)を追加します。 |
|
削除  |
このボタンは、列または行が選択されている場合にのみ有効になります。「削除」ボタンを使用して、複数のトリガー組合せを削除することもできます。 「削除」ボタンをクリックすると、確認を求める警告メッセージが表示されます。 |
|
順序変更  |
このボタンによって、「順序変更」画面が起動します。 |
ナビゲーション・ツリーで、「ポリシー」を選択します。ポリシー検索ページが表示されます。
必要なポリシーを検索します。
ポリシー名をクリックすると、ポリシー詳細ページが表示されます。
「トリガー組合せ」タブにナビゲートします。
最初の列で各ルールの戻り値の順列を選択します。
「スコア/ポリシー」行で、「スコア」または「ポリシー」を選択して、結果がスコアまたはネストされたポリシーへのポイントのいずれを返すかを指定します。
すぐ下にあるフィールドで「スコア」を選択した場合は、その組合せに割り当てるスコアを指定します。
すぐ下にあるフィールドで「ポリシー」を選択した場合は、リスクの追加評価のために実行するポリシーを指定します。
同じチェックポイントのポリシーのリストのみ使用可能です。
アクション結果を設定します。
アラート結果を設定します。
トリガー組合せを指定する場合は、「追加」をクリックして別の列を追加します。
対象の各トリガー組合せに対して手順5から8を繰り返します。
「トリガー組合せ」タブで、すべての編集の後に「適用」をクリックします。
同じ組合せのトリガー組合せを2つ追加することはできません。新規組合せを追加すると、各組合せは自動的に保存され、検証されます。
トリガー組合せの編集中にこのタブから移動すると、未保存のトリガー組合せがセッションに保存され、再度このタブにナビゲートしたときに使用可能となります。
トリガー組合せの順序を変更するには:
ナビゲーション・ツリーで、「ポリシー」を選択します。ポリシー検索ページが表示されます。
必要なポリシーを検索します。
ポリシー名をクリックすると、ポリシー詳細ページが表示されます。
「トリガー組合せ」タブにナビゲートします。
列の順序を変更するには、「順序変更」ボタンをクリックします。
「トリガー組合せの順序変更」画面が表示されます。
トリガー組合せの順序を変更し、「OK」をクリックします。
「トリガー組合せ」タブで「適用」をクリックします。
トリガー組合せの順序変更は、「適用」をクリックするまで有効になりません。「適用」をクリックする前にタブを閉じると、変更が失われます。
ポリシーを削除するには:
ナビゲーション・ツリーで、「ポリシー」を選択します。ポリシー検索ページが表示されます。
ポリシー検索ページで、削除する1つまたは複数のポリシーを検索します。
ポリシーの検索の詳細は、10.5項「ポリシーの検索」を参照してください。
削除するポリシーを選択し、「削除」ボタンをクリックするか、または「アクション」メニューから「選択項目の削除」を選択します。
確認を求める「削除の確認」ダイアログが表示されます。複数のポリシーを削除する場合は、このダイアログにポリシーのリストが表示されます。
「削除」をクリックします。
情報画面が表示されます。
情報画面の「OK」をクリックします。
ポリシーが正常に削除されます。
削除を元に戻すことはできません。この変更は永続的です。
任意のチェックポイントの他のポリシーにルールをコピーできます。たとえば、ルールを別のチェックポイントに移動したい場合があります。
ポリシーにルールをコピーするには:
ナビゲーション・ツリーで「ルール」を選択します。ルール検索ページが表示されます。
必要な検索基準を入力し、「検索」をクリックします。
「検索結果」表で、ポリシーにコピーするルールの名前をクリックします。
そのルールのルールの詳細ページが表示されます。
ルールの詳細ページで、「ルールのコピー」ボタンをクリックします。
元のルールのルール名および説明が事前移入された「ルールのコピー」ページが表示されます。
「ポリシー」フィールドで、ルールのコピー先となるポリシーを選択します。
「ルール名」フィールドにコピーするルールの新しい名前を入力します。
「説明」フィールドに、ルールの説明を入力します。
「コピー」をクリックして、ポリシーにルールをコピーします。
他のチェックポイントにポリシーをコピーできます。
ナビゲーション・ツリーで、「ポリシー」を選択します。ポリシー検索ページが表示されます。
必要な検索基準を入力し、「検索」をクリックします。
ポリシー名をクリックすると、ポリシー詳細ページが表示されます。
ポリシー詳細ページで、「ポリシーのコピー」をクリックします。
「ポリシーのコピー」ボタンには、ポリシー詳細ページの任意のタブからアクセスすることもできます。
すべてのフィールドが事前移入された「ポリシーのコピー」画面が表示されます。
表10-7「ポリシーのチェックポイントへのコピー」に、「ポリシーのコピー」画面のフィールドを示します。
表10-7 ポリシーのチェックポイントへのコピー
| フィールド | 説明 |
|---|---|
|
チェックポイント |
ポリシーのコピー先となるチェックポイント。デフォルトでは、このフィールドには、コピーされるポリシーからのチェックポイントが事前移入されています。 |
|
ポリシー名 |
「ポリシー名」フィールドのデフォルト値は、policy_nameCopyです。ポリシー名は必要に応じて編集できます。 |
|
ステータス |
デフォルト値としてポリシー・ステータス「無効」が設定されています。 ビジネス・プロセスでのオブジェクト状態またはその可用性を定義します。 詳細は、「ポリシー・ステータス」を参照してください。 |
|
説明 |
デフォルトの説明として現在の説明が設定されています。 |
「ポリシーのコピー」画面で、チェックポイントおよびステータスを選択します。
ポリシー名および説明を入力します。
「ポリシーのコピー」画面で、「コピー」をクリックします。
「コピー」をクリックすると、ポリシーがチェックポイントにコピーされます。
新しいチェックポイントにポリシーのルールが適用されない(コピーされない)場合は、「次のルールはこのチェックポイントに適用されません」というメッセージが表示されます。
この場合は、コピー操作を中断するか、またはルールなしでポリシーのコピーを継続できます。
ポリシーのコピー時には、ネストされたポリシー、トリガー組合せ、事前条件、グループ・リンクなどのすべての詳細がコピーされます。
ポリシーは、エクスポートおよびインポートすることができます。
たとえば、システムで定義されているポリシーをエクスポートして、別のシステムにインポートすることができます。
ナビゲーション・ツリーで、「ポリシー」を選択します。ポリシー検索ページが表示されます。
必要な検索基準を入力し、「検索」をクリックします。
エクスポートするポリシーに対応する行を選択します。
「アクション」メニューから、「選択項目のエクスポート」または「削除スクリプトのエクスポート」を選択します。
エクスポート画面が表示されたら、「ファイルの保存」を選択して、「OK」を選択します。
11gでは、セキュリティ・ポリシーのみ利用可能です。「ビジネス」、「サード・パーティ」および「ワークフロー」ポリシー・タイプは、Oracle Adaptive Access Managerから削除されました。
10gでは、「ビジネス」ポリシーでスコアリングは使用されていませんでした。11gでは、Oracle Adaptive Access Managerデータベースから「ビジネス」ポリシーがロードされると、デフォルトでポリシー・セット・スコアリング・エンジンが適用され、11g以降では、このポリシーは「セキュリティ」ポリシーとして処理されます。
ポリシーをインポートするには:
OAAM管理がWindowsプラットフォームにインストールされている場合は、WebLogicをインストールしたドライブに\tmpフォルダを作成します。
たとえば、WebLogicドメインがCドライブにある場合は、c:\tmpフォルダを作成します。
このフォルダは、OAAM管理アプリケーションにより大きいファイルをアップロードするための一時フォルダとして使用されます。
ナビゲーション・ツリーで、「ポリシー」を選択します。ポリシー検索ページが表示されます。
ポリシー検索ページで、「ポリシーのインポート」ボタンをクリックします。「ポリシーのインポート」画面が表示されます。
「ポリシーのインポート」ダイアログ・ボックスで、ファイルのパスおよび名前を入力するか、または「参照」(...)ボタンを使用してポリシーを含むZIPファイルを検索し、このファイルを選択します。
注意: インポートされたファイルのMIMEタイプに対する検証が実行されます。エクスポート・ファイルのMIMEタイプは、「Application/ZIP」である必要があります。
「オープン」をクリックしてから、「OK」をクリックします。
ポリシーのリスト、インポート後にシステムで追加または更新されたポリシーの数、更新または削除されなかったポリシーの数を示す確認ダイアログが表示されます。
ZIPファイルに削除スクリプトまたは無効な形式のファイルが含まれているか、ZIPファイルが空である場合を除き、システムにポリシーがインポートされます。
削除スクリプトをインポートすると、ポリシーはシステムから削除されます。
無効な形式または空のZIPファイルでポリシーをインポートしようとすると、エラーが発生します。
「完了」をクリックして、確認ダイアログを閉じます。
ルール検索ページを開くには、ナビゲーション・ツリーで「ルール」ノードを右クリックします。ルール検索ページが表示されます。
ルール検索ページは、次の方法で開くこともできます。
ナビゲーション・ツリーで「ルール」を右クリックし、コンテキスト・メニューから「ルールのリスト」を選択します。
ナビゲーション・ツリーで「ルール」を選択し、「アクション」メニューから「ルールのリスト」を選択します。
ナビゲーション・ツリーのツールバーの「ルールのリスト」ボタンをクリックします。
図10-12「ルール検索ページ」に、ルール検索ページの例を示します。
ルール検索ページには、検索フィルタおよび検索基準に一致したルールのサマリーを示す「検索結果」表が表示されます。
ルール検索ページでは、ルールの詳細を表示および編集できますが、ルールを作成することはできません。ルールはポリシーのコンテキストでのみ作成されます。
ナビゲーション・ツリーで「ルール」を選択します。ルール検索ページが表示されます。
ルール検索ページで必要な検索基準を入力します。
「検索」をクリックします。
「検索」のかわりに「リセット」をクリックすると、検索基準がリセットされます。
「検索結果」表に、指定した基準に一致するルールのサマリーが表示されます。
表10-8 ルールの結果
| フィールド | 説明 |
|---|---|
|
ルール名 |
ルールの名前 |
|
ポリシー名 |
そのルールが存在するポリシーの名前。 |
|
チェックポイント |
セッション中にポリシーのルールが評価される時点。 |
|
ルール・ノート |
ルールに関する説明。 |
|
ルール・ステータス |
ルールのステータス(「アクティブ」または「無効」)。ルール・ステータスが「アクティブ」から「無効」に変更された場合、ルールは無効であり、ポリシーに追加できません。すでにルールが含まれているポリシーは影響を受けず、引き続き以前と同様に機能します。 |
|
アクション・グループ |
アクションのグループ。アクション・グループは、ルールがトリガーされたときに実行される必要があるすべてのアクションを示します。デフォルトでは、アクションは指定されていません。一連のルールの結果を指定する必要があります。 |
|
スコア |
0から1000の整数値。「スコア」の最小スコアと最大スコアはプロパティとして定義されます。 |
|
重み |
0から100の整数値。 |
「削除」ボタンまたは「アクション」メニューの「選択項目の削除」を使用すると、ルールを削除できます。「削除」および「選択項目の削除」は、行が選択されている場合にのみ有効になります。
削除操作は成功するか、または失敗します。部分更新は行われません。
「検索結果」表の列ごとに、ソート・オプションが提供されます。
各ルールには名前があります。説明が長すぎてすべて表示されない場合は、テキストの上にマウスを合わせると、説明全体が表示されます。
ルールの詳細を表示および編集するには、「検索結果」でルール名をクリックしてルールを開きます。
ルールの詳細を表示するには:
ナビゲーション・ツリーで「ルール」を選択します。ルール検索ページが表示されます。
詳細を表示するルールを検索します。
「検索結果」表でルール名をクリックするか、または行を選択し、「アクション」メニューの「選択項目を開く」を選択して、新規タブにそのルールのルールの詳細ページを開きます。
ルールの詳細ページでは、4つのタブを使用してルールの完全な詳細にアクセスできます。これらのページを使用してルールを管理できます。
ルールの詳細ページには、4つのタブがあります。
一般
事前条件
条件
結果
これらのタブを使用してルールを管理できます。
図10-13に、ルールの詳細ページのタブおよび各タブに入力する情報を示します。
ルールを編集するには:
ナビゲーション・ツリーで「ルール」を選択します。ルール検索ページが表示されます。
編集するルールを検索します。
「検索結果」表でルール名をクリックして、新規タブにそのルールのルールの詳細ページを開きます。
ルールの詳細ページには、「サマリー」、「事前条件」、「条件」および「結果」の各ページのタブがあります。
ルールの条件の合計数が、「条件」タブのタイトルの横のカッコ内に表示されます。
ルールの一般情報を編集します(10.21.1項「ルールの一般情報の変更」)。
事前条件を編集します(10.21.2項「事前条件の指定」)。
条件を編集または追加します(10.27項「条件のルールへの追加」)。
結果を編集します(10.21.3項「ルールの結果の指定」)。
変更を保存する場合は「適用」をクリックし、破棄する場合は「元に戻す」をクリックします。
「事前条件」タブでは、除外するグループおよび地理的位置の信頼度係数パラメータを指定できます。
すべての事前条件では、ルールが評価されたかどうかがフィルタリングされます。事前条件を満たさない場合、条件はルールを処理しません。処理は事前条件レベルで終了します。
ルールの事前条件を指定するには:
「ルールの詳細」ページにナビゲートします。
ナビゲーション・ツリーで「ルール」を選択します。ルール検索ページが表示されます。
事前条件を指定するルールを検索します。
「検索結果」表で、ルールの名前をクリックします。そのルールのルールの詳細ページが表示されます。
ルールの詳細ページで、「事前条件」タブをクリックします。
「除外ユーザー・グループ」: 「除外ユーザー・グループ」フィールドで、ポリシーを適用しないユーザーIDグループを選択します。
「デバイス・リスクの程度」: デバイスのフィンガープリント処理は、カスタマが通常ログインに使用するデバイスを認識するためのメカニズムです。識別は、「デバイスID」の属性、セキュアなCookie、Flashオブジェクト、ユーザー・エージェント文字列、ブラウザの特性、デバイス・ハードウェア構成、ネットワークの特性、地理的位置および履歴コンテキストの組合せに基づきます。
様々なユース・ケースおよび例外が考慮され、デバイス・リスクの程度の定義に役立ちます。デバイス・リスクの程度により、識別されるデバイスの確実性を指定します。これは、ほぼすべてのルールで事前条件としての基準となります。
デバイス識別リスクの程度を指定するスコアの範囲は、次のとおりです。
400以下: 低リスク
401から700: 中リスク
701以上: 高リスク
たとえば、デバイスの程度が0の場合は完全一致であり、500の場合は類似デバイス、スコアが1000の場合は別のデバイスとなります。
「国信頼度係数」、「都道府県信頼度係数」および「市区町村信頼度係数」: IPロケーション・ベンダーは3つの要素(国、都道府県、市区町村)に信頼度係数を割り当てることができます。この信頼度係数は、IP地理的位置情報に基づきます。
この値が大きいほど、ロケーションのマッピングが適切であるというQuovaからの信頼度レベルが高くなります。
作成中のルールがIPロケーション識別の正確性に依存するようにする場合は、ルールの実行基準となる地理的位置の正確性を指定します。
たとえば、範囲が60から100の場合、IPロケーションが60%ポジティブを超える場合にのみルールを実行するように指定しています。
結果は、ルールがトリガーされた場合のアクションやメッセージのアクティブ化などのレスポンスです。たとえば、アクション(アクティブ化されたイベント)やアラート(アクティブ化されたメッセージ)があります。
プロセスの一環として、次の項目を指定します。
ルール・スコアおよび重みの値
アクション
アラート
ルールがトリガーされた場合の結果を指定するには、次の手順を実行します。
該当するルールの「ルールの詳細」ページが表示されていない場合は、「ルールの詳細」ページにナビゲートします。
ナビゲーション・ツリーで「ルール」を選択します。ルール検索ページが表示されます。
結果を指定するルールを検索します。
「検索結果」表で、ルールの名前をクリックします。そのルールのルールの詳細ページが表示されます。
ルールの詳細ページで、「結果」タブをクリックします。
ルール・スコアおよび重みの値を入力します。
ルールの重みの値を変更して、OAAM管理に合計スコアの値を増減するように指示できます。
デフォルトでは、スコアが1000で、重みが100です。
アクションが必要な場合は、そのルールによってトリガーされるアクションを「アクション・グループ」リストで選択します。
デフォルトでは、「アクション・グループ」は選択されていません。
「アラート・グループ」リストで、そのルールがトリガーされた場合に送信されるアラートを選択します。
デフォルトでは、「アラート・グループ」は選択されていません。
「適用」をクリックして変更したルールの詳細を保存します。
ルール・エンジンによって、指定したルールに関する情報およびポリシーの他のルールで指定されている情報が使用され、ポリシーにルールの結果が返されます。ポリシー・セットのすべてのポリシーでは、複数のアクション、スコアおよびアラートが導き出されます。これらはすべてチェックポイントに伝播されます。スコア、重みなどによって、1つの最終スコア、最終アクションおよび少数のアラートが導き出されます。
最終アクションには、ブロックなどがあります。アクション・リストの例はブロック、チャレンジ、バックグラウンド・チェックであり、スコアの例は800です。
ルールをアクティブ化または無効化するには:
ルールの詳細の「サマリー」タブで、「ステータス」の「アクティブ」または「無効化」を選択します。
ルール・ステータスが「アクティブ」から「無効」に変更された場合、ルールは無効であり、ポリシーに追加できません。すでにルールが含まれているポリシーは影響を受けず、引き続き以前と同様に機能します。
「適用」をクリックします。
ルールを削除するには:
ナビゲーション・ツリーで「ルール」を選択します。ルール検索ページが表示されます。
削除するルールを検索します。
対象ルールに対応する行を選択し、「削除」ボタンを押すか、または「アクション」メニューから「選択項目の削除」を選択します。
削除されるルールが示された「削除の確認」ダイアログが表示されます。
削除操作は成功するか、または失敗します。部分更新は行われません。
「削除」ボタンをクリックします。
ルールを削除すると、そのルールが使用されているトリガー組合せの対応する行が削除されます。
確認が表示された後、「OK」をクリックします。
条件検索ページには、検索フィルタおよび検索基準に一致した条件のサマリーを示す「検索結果」表が表示されます。
条件のリストは、付録C「条件リファレンス」を参照してください。
条件検索ページでは、システム内の条件または条件のリストを検索できます。
ナビゲーション・ツリーの「条件」をクリックします。
条件検索ページが表示されます。
条件検索ページは、次の方法でも開くことができます。
ナビゲーション・ツリーで「条件」を右クリックし、コンテキスト・メニューから「条件のリスト」を選択します。
ナビゲーション・ツリーで「条件」を選択し、「アクション」メニューから「条件のリスト」を選択します。
ナビゲーション・ツリーのツールバーの「条件のリスト」ボタンをクリックします。
必要な検索基準を入力し、「検索」をクリックします。
「検索」のかわりに「リセット」をクリックすると、検索基準がリセットされます。
表10-11「条件検索のフィールド」に、「検索」セクションのフィールドを示します。
表10-11 条件検索のフィールド
| フィールド | 説明 |
|---|---|
|
条件名 |
条件に指定されている名前。 |
|
説明 |
条件の説明 |
|
タイプ |
条件のタイプ。たとえば、デバイス、ロケーション、ユーザーなどです。 |
|
チェックポイント |
セッション中にポリシーのルールが評価される時点。 |
各条件には名前があります。説明が長すぎてすべて表示されない場合は、テキストの上にマウスを合わせると、説明全体が表示されます。
条件の詳細を表示するには、その条件の名前をクリックします。
ナビゲーション・ツリーの「条件」をクリックします。
条件検索ページが表示されます。
「条件のインポート」をクリックします。
「条件のインポート」ダイアログ・ボックスで、ファイルのパスおよび名前を入力するか、または「参照」(...)ボタンを使用して条件を含むZIPファイルを検索し、このファイルを選択します。
「オープン」をクリックしてから、「OK」をクリックします。
条件のリスト、インポート後にシステムで追加または更新された条件の数、更新または削除されなかった条件の数を示す確認ダイアログが表示されます。
「完了」をクリックして、確認ダイアログを閉じます。
「ルール」ページの「条件」タブには、ルール内の条件が表示され、他の条件を追加したり、条件をカスタマイズできます。
条件を追加するには、次の手順を実行します。
条件を追加するルールのルールの詳細ページが表示されていない場合は、このページに移動します。
ナビゲーション・ツリーで「ルール」を選択します。ルール検索ページが表示されます。
条件を追加するルールを検索します。
「検索結果」表で、ルールの名前をクリックします。そのルールのルールの詳細ページが表示されます。
ルールの詳細ページで、「条件」タブをクリックします。
「条件」タブの「追加」をクリックします。「条件の追加」ページが表示されます。
ルール用の条件を検索します。
「検索結果」表で、条件を選択して「追加」をクリックします。
条件編集ページの上部のサブタブで条件を選択します。
下部のサブタブに、その条件のパラメータが表示されます。
下部のサブタブで、要件に応じてパラメータを変更します。
「保存」をクリックして変更を保存します。
確認ダイアログに操作のステータスが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
「適用」をクリックします。変更されたルールの詳細が正常に保存されます。
図10-17「条件のパラメータ」に、「条件」タブの例を示します。
上部のタブにルールの条件が表示されます。
表10-12に、「条件」タブの上部のサブタブのフィールドを示します。
表10-12 ルールの詳細の「条件」タブ
| フィールド | 説明 |
|---|---|
|
順序 |
条件の順序。ルールの条件は順番に評価されます。後続の条件は、現在の条件がtrueと評価された場合にのみ評価されます。つまり、条件がfalseと評価されると、評価は停止されます。ルールがトリガーされるには、ルールを構成するすべての条件がtrueと評価される必要があります。いずれかの条件がfalseと評価された場合は、ルールがfalseと評価され、このルールはトリガーされません。 |
|
条件名 |
条件の名前。 |
|
説明 |
条件の説明。 |
一度に表示または編集できるのは、1つの条件のパラメータのみです。
条件の詳細を表示するには:
ルールの「ルールの詳細」ページにナビゲートします。
ナビゲーション・ツリーで「ルール」を選択します。ルール検索ページが表示されます。
条件を追加するルールを検索します。
「検索結果」表で、ルールの名前をクリックします。そのルールのルールの詳細ページが表示されます。
ルールの詳細ページで、「条件」タブをクリックします。
「条件」タブで、必要な条件を強調表示します。
下部のサブタブに、その条件のパラメータが表示されます。
ルールの詳細ページの「条件」タブには、ルール内の条件が表示され、ルール内の条件をカスタマイズできます。
ルール内の条件を編集するには:
ナビゲーション・ツリーで「ルール」を選択します。ルール検索ページが表示されます。
編集するルールを検索します。
「検索結果」表でルール名をクリックして、新規タブにそのルールのルールの詳細ページを開きます。
ルールの詳細ページには、「サマリー」、「事前条件」、「条件」および「結果」の各タブがあります。
ルールの詳細ページで、「条件」タブをクリックします。
「条件」タブの上部のサブタブで条件を選択します。
下部のサブタブに、その条件のパラメータが表示されます。
ツール・メニューの「順序変更」ボタンをクリックし、条件の順序を変更します。
詳細は、10.31項「ルール内の条件の順序の変更」を参照してください。
下部のサブタブで、要件に応じてパラメータを変更します。
「保存」をクリックして変更を保存します。
確認ダイアログに操作のステータスが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
「適用」をクリックします。変更されたルールの詳細が正常に保存されます。
ルールの条件は順番に評価されます。後続の条件は、現在の条件がtrueと評価された場合にのみ評価されます。つまり、条件がfalseと評価されると、評価は停止されます。
ルール内の条件の順序を変更するには:
ナビゲーション・ツリーで「ルール」を選択します。ルール検索ページが表示されます。
編集するルールを検索します。
「検索結果」表でルール名をクリックして、新規タブにそのルールのルールの詳細ページを開きます。
ルールの詳細ページには、「サマリー」、「事前条件」、「条件」および「結果」の各タブがあります。
ルールの詳細ページで、「条件」タブをクリックします。
「条件」タブの上部のサブタブで条件を選択します。
「順序変更」ボタンを使用して条件の順序を変更します。
「保存」をクリックして変更を保存します。
確認ダイアログに操作のステータスが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
「適用」をクリックします。変更されたルールの詳細が正常に保存されます。
ナビゲーション・ツリーで「条件」を選択します。条件検索ページが表示されます。
該当する条件の検索基準を入力し、「検索」をクリックします。
「検索結果」表で条件を選択し、「削除」をクリックします。
|
注意: ルールで条件が使用されている場合、条件を削除すると、ルールおよびそのルールを使用するポリシーに影響を与えます。 |
ナビゲーション・ツリーで「ルール」を選択します。ルール検索ページが表示されます。
削除する条件が含まれているルールを検索します。
「検索結果」表のルール名をクリックすると、ルールの詳細ページが開きます。
ルールの詳細ページで、「条件」タブをクリックします。
対象となる条件を選択して、「削除」をクリックします。
「削除」ボタンは、行が選択されているか、または検索結果が2行以上である場合にのみ有効になります。
指定したルールの複数の条件を一度に削除することはできないため、一度に選択するのは1つの条件にする必要があります。
複数の条件を削除することはできますが、すべての条件を削除することはできません。
「削除」ボタンをクリックすると、削除が実行されます。削除の確認を要求するメッセージは表示されません。この変更は永続的です。
この項では、ポリシーおよびルールのユース・ケースの例について説明します。
セキュリティ管理者のJeffは、ルールの事前条件として使用される例外ユーザー・グループを作成する必要があります。Jeffはブラックリスト国のルールを作成しており、例外グループを作成する必要があることに気付いたため、「BLC: exception users」という名前の新規ユーザー・グループを作成します。彼は説明に、「CSRマネージャは、ブラックリスト国からのアクセスを永続的に許可される必要があるユーザーを追加できる」というノートを入力します。このユーザー・グループは作成されると、事前条件として追加されます。ルールが本番環境になった後に、CSRマネージャはブラックリストに記載された国に移動したユーザーを支援します。グループに自身のユーザーIDを手動で追加して、ルールの例外となり、この効果に対する自身のケースにノートを追加します。
「BLC: exception users」という名前の新規ユーザー・グループを作成します。
グループ名: BLC: exception users
グループ・タイプ: ユーザーID
説明に、ブラックリスト国からのアクセスを永続的に許可される必要があるユーザーを追加することを調査担当者に伝えるノートを入力します。
既存のユーザーIDを選択して、BLC: exception usersグループに追加します。
ユーザー・グループの作成およびメンバーの追加の詳細は、12.13項「既存要素の検索および追加または新規要素の作成および追加」を参照してください。
認証後のブラックリスト国ポリシーでルールを作成します。
ルール条件には、「ロケーション: グループ内IP」を選択します。
「事前条件」で、例外グループとして「BLC: exception users」を選択します。
ルールが本番環境になった後に、調査担当者はブラックリスト国に移動したユーザーを支援します。グループに自身のユーザーIDを手動で追加して、ルールの例外となり、この効果に対する自身のケースにノートを追加します。
あなたは、Acme Corpのセキュリティ・チームのメンバーであるJenniferで、チームが考えた高リスク国に焦点を当てたユース・ケースの1つを実施するようにOracle Adaptive Access Managerを構成する必要があります。別のチーム・メンバーであるChuckは、高リスク国からのログイン・リクエストを認証前にブロックするように、Oracle Adaptive Access Managerオフライン環境で認証前ポリシーを構成しました。あなたはこのポリシーが目的にかなっていると考えています。Chuckはすでにポリシーをエクスポートしており、あなたは本番環境にこのポリシーをインポートする必要があります。手順: Chuckが構成したポリシーが含まれているZIPファイルをインポートします。彼はファイルにPreAuth_Block_policy.zipという名前を付けています。
ポリシーをインポートするには:
OAAM管理に管理者としてログインします。
ナビゲーション・ツリーで、「ポリシー」を選択します。ポリシー検索ページが表示されます。
ポリシー検索ページの「ポリシーのインポート」をクリックします。「ポリシーのインポート」画面が表示されます。
「参照」をクリックし、PreAuth_Block_policy.zipを探します。
「OK」をクリックして、PreAuth_Block_policy.zipをアップロードします。
確認ダイアログに操作のステータスが表示されます。
追加されたポリシーの数、更新されたポリシーの数、更新されなかったポリシーの数および削除されたポリシーの数を示すリストも表示されます。
インポートされたポリシーは、「インポートされたリスト」セクションにリストされます。
同じポリシー名が存在するかどうかによって、ポリシーは、システムに追加されるか、既存のポリシーを上書きまたは更新します。名前がすでに存在している場合、そのポリシーが更新されます。名前が存在しない場合、インポートされたポリシーがシステムに追加されます。
無効な形式または空のZIPファイルでファイルをインポートしようとすると、エラーが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
ポリシー検索ページで、ポリシーが「検索結果」表に表示されていることを確認します。
KBAチャレンジが発生するログイン・ユース・ケースを構成する必要があります。通常、ベスト・プラクティスは、プライマリ・メソッドによる正常な認証の後にのみKBAチャレンジを使用することです。認証後KBAチャレンジ・ポリシーは存在しないため、新たに作成する必要があります。セキュリティ・チームは、このポリシーをデプロイメント内のすべてのユーザーに適用されるようにします。手順: すべてのユーザーに適用される認証後KBAチャレンジ・ポリシーを新規作成します。ポリシーにKBA Challengeという名前を付けます。
ポリシーを作成するには:
OAAM管理に管理者としてログインします。
ナビゲーション・ツリーで「ポリシー」をダブルクリックします。
ポリシー検索ページで、「新規ポリシー」ボタンをクリックします。
「新規ポリシー」ページが表示されます。「サマリー」タブに、新規ポリシーのデフォルト値が次のように表示されます。
「ポリシー・ステータス」: 「アクティブ」
「チェックポイント」: 「認証前」
「スコアリング・エンジン」: 「平均」
重み: 100
新しい認証後セキュリティ・ポリシーを作成します。
「ポリシー名」に、KBAチャレンジと入力します。
「説明」に、「KBAチャレンジ」ポリシーの説明を入力します。
「チェックポイント」で「認証後」を選択します。
チェックポイントの詳細は、10.1.4項「チェックポイント」を参照してください。
要件に応じてポリシー・ステータス、スコアリング・エンジンおよび重みを変更します。
デフォルトのポリシー・ステータスは、「アクティブ」です。無効化されたポリシーはチェックポイントで施行されません。
スコアリング・エンジンの詳細は、第14章「スコアリング・エンジンの使用」を参照してください。
「適用」をクリックします。
確認ダイアログに操作のステータスが表示されます。
「適用」をクリックしたときに必須フィールドが入力されていない場合は、エラー・メッセージが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
すべてのユーザーに対して実行されるようにポリシーを構成します。
「グループ・リンク」タブをクリックします。
「実行モード」で「すべてのユーザー」を選択します。
実行モードとして「すべてのユーザー」が選択されているため、ポリシーはすべてのユーザーに対して実行されます。
実行モードの指定は、ポリシーを実行するための必須手順です。これにより、ポリシーを一連のユーザーまたはすべてのユーザーに対して実行できます。詳細は、第10.9項「ポリシーのすべてのユーザーまたはユーザーIDグループへのリンク」を参照してください。
「適用」をクリックします。
確認ダイアログに操作のステータスが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
「KBAチャレンジ」ポリシーは正常に作成されると、ポリシー検索ページの「検索結果」表にリストされます。
このユース・ケースでは説明されていませんが、ポリシーが機能するために、ポリシー内で新規ルールを作成(第10.12項「新規ルールの追加」)するか、または既存のルールをポリシーにコピーして(第10.15項「ポリシーへのルールのコピー」)、ポリシーにルールを追加する必要があります。
セキュリティ・ポリシーの作成後(10.34.3項「ユース・ケース: ポリシーの作成」を参照)、ユース・ケースでリスク評価を実行するための新規ルールを作成できます。このユース・ケースでは、ユーザーが現在ログインしているロケーションとこのユーザーが最後にログインしたロケーションの物理的な距離を評価する必要があります。このルールでは、指定された時間内にロケーション間を移動するために必要な速度が計算されます。セキュリティ・チームは、ユーザーがロケーション間を時速500マイルよりも速く移動し、使用デバイスが異なる場合に、ユーザーにKBAチャレンジを実施することを決定しました。手順: 新規ルールUser Velocityを作成し、即時利用可能な条件「ユーザー: 最終成功ログインからの速度」を使用します。
新規ルールを追加するには:
OAAM管理に管理者としてログインします。
ナビゲーション・ツリーで「ポリシー」をダブルクリックします。ポリシー検索ページが表示されます。
「KBAチャレンジ」を検索します。
「検索結果」表で「KBAチャレンジ」をクリックします。KBAチャレンジのポリシー詳細ページが表示されます。
ポリシー詳細ページで、「ルール」タブをクリックします。
「ルール」タブで「追加」をクリックして新規ルールを追加します。
「新規ルール」ページが表示されます。
ルール名としてUser Velocityと入力します。
ルールの説明を入力します。
ルール・ステータスを選択します。
「新規ルール」ページを初めて表示したときのルール・ステータスのデフォルト値は、「アクティブ」です。
「ユーザー: 最終成功ログインからの速度」ルール条件を追加して、新規ルールを作成します。
「ユーザー: 最終成功ログインからの速度」条件を追加するには、「条件」タブをクリックします。
「条件」タブの「追加」をクリックします。「条件の追加」ページが表示されます。
「条件名」フィールドにvelocityと入力し、「検索」をクリックして、「ユーザー: 最終成功ログインからの速度」条件を検索します。
「結果」表から、条件を選択し、「OK」をクリックします。
新規ルール/User Velocityページの上部のパネルで、「ユーザー: 最終成功ログインからの速度」を選択します。
下部のパネルに、この条件のパラメータが表示されます。
下部のパネルで、パラメータを変更します。
「次を超える1時間当たりのマイル」に500を入力します。
「最終ログイン・デバイスが同じ場合は無視」で「true」を選択します。
「保存」をクリックして変更を保存します。変更されたルール・パラメータが正常に保存されたことを示すメッセージを含む確認ダイアログが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
User Velocityルールの結果としてKBAチャレンジを追加します。
「結果」タブをクリックします。
「結果」タブでは、条件が満たされた場合のルールの結果を指定できます。
ルールがトリガーされた場合にKBAチャレンジが発生するように設定するには、「アクション・グループ」リストで「ChallengeQuestionPad」を選択します。
「適用」をクリックします。変更されたルール詳細が正常に保存されたことを示すメッセージを含む確認ダイアログが表示されます。
必要なフィールドが入力されていない場合に「適用」をクリックすると、エラーが表示されます。
ルールが正常に作成されると、この新規ルールはポリシー詳細ページの「ルール」タブにリストされます。
「OK」をクリックして、確認ダイアログを閉じます。
このユース・ケースでは、様々な目的で使用される既存の高リスク国グループを、10.34.2項「ユース・ケース: ポリシーのインポート」でインポートしたポリシー「システム - ブロック前」内のルールにリンクする必要があります。
手順: 高リスク国グループを検索し、作成した「KBAチャレンジ」ポリシー内のルールにリンクします。
グループをルール条件にリンクするには:
OAAM管理に管理者としてログインします。
ナビゲーション・ツリーの「ルール」をダブルクリックします。ルール検索ページが表示されます。
「ブラックリストに記載された国」ルールを検索します。
「検索結果」表で「ブラックリストに記載された国」をクリックします。「ブラックリストに記載された国」ルールのルールの詳細ページが表示されます。
「ブラックリストに記載された国」ルールで「グループ内」条件を選択します。
ルールの詳細ページで、「条件」タブをクリックします。
「条件」タブの「追加」をクリックします。「条件の追加」ページが表示されます。
条件「ロケーション: 国グループ内」を検索します。
この条件では、IPが指定された国グループ内であるかどうかが確認されます。
「検索結果」表から、条件「ロケーション: 国グループ内」を選択し、「OK」をクリックします。
既存の高リスク国グループをこのルール条件にリンクします。
条件編集ページの上部のパネルで、条件「ロケーション: 国グループ内」を選択します。
下部のパネルに、この条件のパラメータが表示されます。
下部のパネルで、パラメータを次のように設定して変更します。
「リストにある」: 「true」
「国グループ内の国」: 「制限付き国」
「保存」をクリックして変更を保存します。変更されたルール・パラメータが正常に保存されたことを示すメッセージを含む確認ダイアログが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
「適用」をクリックします。変更されたルール詳細が正常に保存されたことを示すメッセージを含む確認ダイアログが表示されます。
セキュリティ・チームは、異常に高リスクであることがわかったデバイスはブロックされる必要があることを決定しました。現在、これを実施するルールがありますが、このルールは認証後チェックポイントで構成されています。チームでは、このようなデバイスからのログイン試行も許可されるべきではないと考えています。このため、ルールを認証前チェックポイント・ポリシーに移動する必要があります。手順: 「システム - ブロック後」ポリシー内の「ブラックリストに記載されたデバイス」ルールを検索して、認証前ポリシーである「システム - ブロック前」ポリシーにコピーします。次に認証後ポリシーからこのルールを削除します。
ルールをコピーするには:
OAAM管理に管理者としてログインします。
ナビゲーション・ツリーの「ルール」をダブルクリックします。ルール検索ページが表示されます。
検索フィルタで次を検索します。
「ルール名」: 「ブラックリストに記載されたデバイス」ルール
「チェックポイント」: 「認証後」
「検索」をクリックします。
「システム - ブロック後」ポリシーには「ブラックリストに記載されたデバイス」ルールが含まれています。
「検索結果」表で、「ルール名」列の「ブラックリストに記載されたデバイス」をクリックします。
このルールのルールの詳細ページで「ルールのコピー」ボタンをクリックします。「ルールのコピー」画面が表示されます。
「ポリシー」で、ルールのコピー先の事前認証ポリシーとして「システム - ブロック前」を選択します。
「ルール名」で、「ブラックリストに記載されたデバイス」をそのまま使用するか、またはコピーするルールの新しい名前を入力します。
「説明」で、「このルールは、使用したデバイスが過去にブラックリストに記載されたことがある場合にトリガーします。」をそのまま使用するか、または新しい説明を入力します。
「OK」をクリックして、事前認証ポリシー「システム - ブロック前」にルールをコピーします。
「ルールが正常にコピーされました。」というメッセージを含む確認ダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
ルール検索ページにナビゲートし、「検索結果」表で、「システム - ブロック前」ポリシーに「ブラックリストに記載されたデバイス」ルールが表示されていることを確認します。
ポリシー検索ページにナビゲートし、「システム - ブロック後」ポリシーを検索します。
「検索結果」表で「システム - ブロック後」をクリックします。
ポリシー詳細ページで、「ルール」タブをクリックします。
「ルール」タブで、「ブラックリストに記載されたデバイス」を選択し、「削除」をクリックします。
「選択したルールを削除しますか。」と尋ねる画面が表示されます。この画面には、「ブラックリストに記載されたデバイス」ルールがリストされています。
「はい」をクリックします。
「選択したルールは正常に削除されました」というメッセージを含む別の確認が表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
ユーザーにKBAチャレンジを実施するために、Oracle Adaptive Access Managerでは次の2つの項目を確認する必要があります。
最初に、ユーザーがチャレンジ質問を登録しているかどうかを確認します。
次に、チャレンジ・シナリオが実行される場合に、ユーザーにアクティブにチャレンジする質問が設定されているかどうかを確認します。
この動作を構成するには、KBAチャレンジが発生する可能性があるルールを含む新しいセキュリティ・ポリシーを、登録ステータスを確認するKBAビジネス・ルールを含むポリシーにネストする必要があります。
手順: ポリシー・トリガー組合せを使用して、「システム - 質問チェック」ポリシーに「KBAチャレンジ」ポリシーをネストします。
「KBA Challenge」ポリシーは、10.34.3項「ユース・ケース: ポリシーの作成」で作成しました。
トリガー組合せを作成するには:
OAAM管理に管理者としてログインします。
ナビゲーション・ツリーで「ポリシー」をダブルクリックします。ポリシー検索ページが表示されます。
「システム - 質問チェック」確認ポリシーを検索します。
「検索結果」表で「システム - 質問チェック」をクリックします。「システム - 質問チェック」ポリシーのポリシー詳細ページが表示されます。
ポリシー詳細ページで「トリガー組合せ」タブをクリックします。
「トリガー組合せ」タブで「追加」をクリックします。
表に追加された列は、トリガー組合せに対応しています。
デフォルトでは、トリガー組合せはポリシー内のすべてのルールを使用して作成されます。ポリシーで使用されるルールは、行名で表されます。
たとえば、登録ステータスを確認するルールは次のような行で表示されます。
条件「ユーザー: アカウント・ステータス」を使用して登録されたユーザー
質問登録済
未登録ユーザー
トリガー組合せの「説明」フィールドに説明を入力します。
ルールごとに、実行される必要があるトリガー組合せに基づくルール結果を指定します。
「True」: ルールがトリガーされます。
「False」: ルールがトリガーされません。
「任意」: トリガーされるかどうかのルールが無視されます。
デフォルトでは、トリガー組合せは、ルール結果「任意」に対して実行されます。
トリガー組合せについて、トリガー組合せがトリガーされた場合に結果によりネストされたポリシーが返されることを指定します。
「ポリシー」を選択し、その直下のフィールドで、リスクをさらに評価するために実行するポリシーとして「KBAチャレンジ」を指定します。
ネストされたポリシーは、システムから最初に出力された結果が不明確である場合に、リスク・スコアをさらに定量化するために使用されるセカンダリ・ポリシーです。リスク・スコアの正確性を高めるために、ネストされたポリシーを割り当てることができます。
「アクション・グループ」を選択します。
アクションは、組合せがトリガーされるときに生成されるイベントです。
「アラート・グループ」を選択します。
アラートは、組合せがトリガーされるときに生成されるメッセージです。
「適用」をクリックします。ポリシー詳細が正常に更新されたことを示す確認ダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
セキュリティ管理者のJeffは、1つのルールがトリガーされた場合はKBAを、特定の組合せのルールがトリガーされた場合はOTPを使用してユーザーにチャレンジする2つのレベルの認証を構成する必要があります。
彼が実行する必要があるタスクは次のとおりです。
ユーザーのログイン回数を4時間の時間範囲バケットにプロファイリングするパターンを作成します。
ユーザーのログイン時の状態をプロファイリングする2番目のパターンを作成します。
ユーザーにアクティブなKBAがある場合にのみこれらの評価が実行されるようにするための、KBAチャレンジ・ポリシーでこれらのパターンを使用するルールを作成します。
ユーザーが先月の時間の10%未満に該当するログイン時間バケットに当てはまる場合に、KBAを使用してチャレンジするルールを作成します。
次に、ユーザーが過去2週間の時間の20%未満を使用している都道府県からログインした場合に、KBAを使用してチャレンジするルールを作成します。
その後、ユーザーがOTP配信チャネルをアクティブにしているかどうかを確認するルールを作成します。
最後に、これら3つのルールのすべてからtrueが返された場合にユーザーにOTPチャレンジするトリガー組合せを構成します。
これらのタスクを実施するには、次の手順を実行します。
OAAM管理に管理者としてログインします。
ナビゲーション・ツリーで「パターン」を選択します。パターン検索ページが表示されます。
「新規パターン」ボタンをクリックします。
次のようにパターン「Pattern 1」を作成します。
「メンバー・タイプ」: 「ユーザー」
「作成方法」: 「複数バケット」
「属性」タブをクリックします。
「追加」アイコンをクリックします。
属性として「時間」を選択します(ユーザーがログインした時間)。
「次」をクリックします。
「比較演算子」で「各」を選択し、比較値として4を選択します。
「追加」を押します。
「パターン」タブをクリックします。
次のようにパターン「Pattern 2」を作成します。
「メンバー・タイプ」: 「ユーザー」
「作成方法」: 「複数バケット」
「属性」タブをクリックします。
「追加」アイコンをクリックします。
属性として「状態」を選択します。
各状態の比較演算子を選択します。
「次」をクリックします。
Rule 1の作成: パターン条件エンティティは特定の率より少ないバケットのメンバーですを追加します。(Pattern 1および率= 10を選択し、期間として1か月を選択します。)
ルールユーザー: ユーザーが質問を登録しているかどうかを確認する質問ステータスに条件を追加します。
アクション「KBAチャレンジ」をRule 1に追加します(このルールは、ユーザーに登録済の質問があり、ユーザーが時間の10%未満の時間バケットからログインした場合にトリガーされます。この結果、ユーザーはKBAを使用してチャレンジされます)。
Rule 2の作成: パターン条件エンティティは特定の率より少ないバケットのメンバーですを追加します。(Pattern 2および率= 20を選択し、期間として15日を選択します)
Rule 3の作成: パターン条件ユーザー: OTPが有効を追加します。(条件チャネル・ステータスへのチャレンジを使用)
ポリシーを作成し、3つのルールをすべて追加します。
すべてのルールがトリガーされる(true)場合に、アクションが「チャレンジOTP」となるようにポリシーにトリガー組合せを追加します。
パターンの詳細は、第17章「自動学習の管理」を参照してください。
セキュリティ管理者のJeffにはまったく新規のインストールがあり、ベース・セキュリティ・ポリシーをOracle Adaptive Access Managerサーバーの開発環境にインポートする必要があります。ベース・ポリシーをサポートするために、彼はブラックリスト国のグループも構成します。さらに、テスト・ユーザーのグループのフェーズ2をテストする適切な展開フェーズ・ポリシーにユーザー・グループをリンクします。
ポリシーをインポートするには:
OAAM管理に管理者としてログインします。
ナビゲーション・ツリーで「ポリシー」をダブルクリックします。ポリシー検索ページが表示されます。
ポリシー検索ページの「ポリシーのインポート」をクリックします。「ポリシーのインポート」画面が表示されます。
「参照」をクリックし、oaam_sample_policies_for_uio_integration.zipを検索します。
「OK」をクリックして、oaam_sample_policies_for_uio_integration.zipをアップロードします。
確認ダイアログに操作のステータスが表示されます。
インポートされたポリシーは、「インポートされたリスト」セクション内にリストされます。
無効な形式または空のZIPファイルでファイルをインポートしようとすると、エラーが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
ポリシー検索ページで、ポリシーが「検索結果」表に表示されていることを確認します。
ナビゲーション・ツリーで、「グループ」をダブルクリックします。グループ検索ページが表示されます。
グループ検索ページから、「新規グループ」ボタンまたはアイコンをクリックします。
「新規グループ」画面が表示されます。
「新規グループ」画面は、ナビゲーション・ツリーで「グループ」を右クリックし、表示されたコンテキスト・メニューから「作成」を選択して開くこともできます。
「新規グループ」画面で、名前をBlack-listed Country Groupと入力し、説明を入力します。
「グループ・タイプ」リストから「国」を選択します。
キャッシュ・ポリシーを「フル・キャッシュ」または「なし」に設定します。
「OK」をクリックすると、Black-listed Country Groupが作成されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
Black-listed Country Groupのグループ詳細ページが表示されます。
グループ詳細ページの「国」タブで、「追加」をクリックします。
「メンバーの追加」ダイアログが表示されます。
「使用可能な国」表から、グループに追加する1つ以上の国を選択します。
「追加」をクリックします。
ポリシー検索ページにナビゲートします。
認証後ポリシーを検索します。
「結果」表で認証後ポリシーをクリックします。
ポリシー詳細ページが表示されます。
このポリシーに「テスト・ユーザー」グループをリンクします。
ポリシー詳細ページで、「ルール」タブをクリックします。
「ルール」タブで、「追加」をクリックします。
新規ルール・ページで、ルール名をLocation: In Country Groupと入力します。
「条件」タブをクリックします。
「条件」ページで、「追加」をクリックします。
条件の追加ページが表示され、ここで「ロケーション: 国グループ内」条件を検索および選択して、この条件をルールに追加できます。
「OK」をクリックします。
条件のパラメータが下部のサブパネルに表示されます。
パラメータ領域で、「国グループ内の国」で「Black-listed Country Group」を選択し、「グループ内」で「True」を選択します。
「保存」をクリックします。
「結果」タブで、「アクション」グループとして「RegisterUserOptional」を選択します。
「RegisterUserOptional」を使用すると、ユーザーはパーソナライズされたイメージの選択のオプトインまたはオプトアウトを選択できます。
「適用」をクリックします。
セキュリティ管理者のJeffは、チャレンジ質問での最大試行回数の変更を考えています。このため、彼はルール・パラメータを編集する必要があります。
ベスト・プラクティスは、KBAチャレンジの最大失敗回数を各ユーザーが登録するチャレンジ質問の合計数よりも1少ない数に設定することです。たとえば、すべてのユーザーが質問を4つ登録している場合、許可される最大失敗回数は3となります。
既存のセキュリティ・ポリシーを編集するには、次の手順を実行します。
OAAM管理に管理者としてログインします。
ナビゲーション・ツリーで「ポリシー」をダブルクリックします。ポリシー検索ページが表示されます。
「検索結果」表で不正ブロックをクリックします。
ポリシー詳細ページの「ルール」タブで「失敗したチャレンジの最大数」をクリックします。
ルールの詳細ページの「条件」タブで、上部のパネルの「ユーザー: チャレンジの最大失敗数」をクリックします。
この条件によって、ユーザーがチャレンジ質問の回答を指定された回数失敗したかどうかが確認されます。
下部のパネルで、「次以上の失敗数」の値を、各ユーザーが登録しているチャレンジ質問の合計数よりも1少なくなるように変更します。
セキュリティ管理者のJeffは、各チェックポイントでの最終リスク・スコアが、最も高い個別のポリシー・リスク・スコアに基づくようにすることを考えています。この要件を満たすため、彼はポリシー・セット・レベルでのスコアリング・エンジンとして「最大」を選択します。
OAAM管理に管理者としてログインします。
ナビゲーション・ツリーの「ポリシー・セット」をダブルクリックします。ポリシー・セット・ページが表示されます。
「サマリー」タブをクリックします。
「スコアリング・エンジン」リストから「最大」を選択します。
最大スコアリング・エンジンでは、最も高いポリシー・スコアがチェックポイント・スコアとして使用されます。このスコアリング・エンジンでは、ポリシーの重みは無視されます。
「適用」をクリックします。
「ポリシー・セットの詳細が正常に更新されました」というメッセージを含む確認ダイアログが表示されます。
「OK」をクリックします。
セキュリティ・チームでは、一部のリスク評価はユーザーがログインする前の方がよりよく機能すると判断しました。セキュリティ管理者のJackは、この新しい要件を満たすために、認証後チェックポイントから認証前チェックポイントにポリシーを移動する必要があります。彼はこのポリシー内のルールを調べて、すべてのルールが、認証前で使用可能なデータで機能することを確認します。
OAAM管理に管理者としてログインします。
ナビゲーション・ツリーで、「ポリシー」を選択します。ポリシー検索ページが表示されます。
「チェックポイント」フィルタで「認証後」を選択し、「検索」をクリックします。
「検索結果」表で、パスワードの入力後に発生しないポリシーおよびチャレンジに基づく条件を使用しないポリシーの説明を検索します。
不正がチャレンジできないが、この条件に適合している可能性があります。不正がチャレンジできないの説明は、アクティブなチャレンジ質問を持たないユーザーに適用されますです。
不正がチャレンジできないポリシーを開くと、そのルールが表示されます。
ルールには、入力としてデバイス、IPおよびロケーションが含まれており、ユーザーにチャレンジするアクションはありません。このため、このポリシーは認証前チェックポイントで使用できます。
ポリシー詳細ページで、「ポリシーのコピー」をクリックします。
「ポリシーのコピー」ダイアログで、チェックポイントとして「認証前」を選択します。
このポリシーの名前および説明を入力します。
ポリシー・ステータスとして「アクティブ」または「無効」を選択します。
ポリシーを作成後すぐに有効にする場合は、「ポリシー・ステータス」で「アクティブ」を選択します。
ポリシーを無効にする場合は、「無効」を選択します。
無効化されたポリシーはチェックポイントで施行されません。
「コピー」をクリックします。
ポリシーのコピーが認証前チェックポイントに追加されます。
セキュリティ管理者のWilliamは同じIPからのログイン回数を追跡し、1つのIPから1時間以内に10回を超えるログインがある場合に高アラートがトリガーされるポリシーおよびルールを構成する必要があります。
OAAM管理に管理者としてログインします。
Monitor IPグループを作成します。
ナビゲーション・ツリーで、「グループ」をダブルクリックします。
グループ検索ページで「新規グループ」ボタンをクリックします。
「グループの作成」画面が表示されます。
グループ名としてMonitor IPsを入力し、「グループ・タイプ」で「IP」を選択して、「作成」をクリックします。
「Monitor IPs」グループ・ページで、「IP」タブをクリックします。
「IP」タブで「追加」ボタンをクリックします。
「IPの追加」画面で、「既存のIPから検索して選択」オプションを選択し、基準を入力して、「検索」をクリックします。
「検索結果」表で、監視するIPを1つ選択し、「追加」をクリックします。
確認ダイアログが表示されます。
「OK」をクリックします。
必要に応じて監視するIPを追加します。
IP Surge High Alertグループを作成します。
グループ検索ページで「新規グループ」ボタンをクリックします。
「グループの作成」画面が表示されます。
グループ名としてIP Surgeを入力し、「グループ・タイプ」で「アラート」を選択して、「作成」をクリックします。
確認のメッセージが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
新しいIP Surge alertグループが正常に作成され、グループ詳細ページが表示されます。
グループにアラートを追加するために、「アラート」タブをクリックします。
「アラート」タブで「追加」(「メンバーの追加」)ボタンをクリックします。
メンバーの追加ページで、新規要素の作成を選択します。
「アラート・タイプ」で調査担当者を選択します。
「アラート・レベル」で「高」を選択します。
「アラート・メッセージ」に、「More than 10 logins from the same IP in 1 hour」と入力します。
「追加」をクリックし、グループにアラートを追加します。
確認ダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
ナビゲーション・ツリーで「ポリシー」をダブルクリックします。
ポリシー検索ページで、「新規ポリシー」ボタンをクリックします。
「新規ポリシー」ページが表示されます。「サマリー」タブに、新規ポリシーのデフォルト値が次のように表示されます。
「ポリシー・ステータス」: 「アクティブ」
「チェックポイント」: 「認証前」
「スコアリング・エンジン」: 「平均」
重み: 100
新しい認証前セキュリティ・ポリシーを作成します。
「ポリシー名」に、Logins_SameIPと入力します。
「説明」に、「Track the number of logins from the same IP and if there are more than 10 logins in the last hour from an IP」と入力します。
ポリシー・ステータスとして「アクティブ」を選択します。選択しない場合、ポリシーはチェックポイントで実施されません。
スコアリング・エンジンとしてWeighted Maximum Scoreを入力し、重みとして100を入力します。
「適用」をクリックします。
確認ダイアログに操作のステータスが表示されます。
「適用」をクリックしたときに必須フィールドが入力されていない場合は、エラー・メッセージが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
すべてのユーザーに対して実行されるようにポリシーを構成します。
「グループ・リンク」タブをクリックします。
「実行モード」で「すべてのユーザー」を選択します。
実行モードとして「すべてのユーザー」が選択されているため、ポリシーはすべてのユーザーに対して実行されます。
実行モードの指定は、ポリシーを実行するための必須手順です。これにより、ポリシーを一連のユーザーまたはすべてのユーザーに対して実行できます。詳細は、第10.9項「ポリシーのすべてのユーザーまたはユーザーIDグループへのリンク」を参照してください。
「適用」をクリックします。
確認ダイアログに操作のステータスが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
このポリシーに対してIP Excessive Useルールを作成します。
「ルール」タブをクリックします。
「ルール」タブで「追加」をクリックして新規ルールを追加します。
「新規ルール」ページが表示されます。
「サマリー」タブで、ルール名としてIP Excessive Useを入力します。
ルールの説明を入力します。
ルール・ステータスとして「アクティブ」を選択します。
「ロケーション: IP過剰使用」ルール条件を追加して、新規ルールを作成します。
「ロケーション: IP過剰使用」条件を追加するには、「条件」タブをクリックします。
「条件」タブの「追加」をクリックします。「条件の追加」ページが表示されます。
「条件名」フィールドにIPを入力し、「検索」をクリックして、「ロケーション: IP過剰使用」条件を検索します。
「検索結果」表でこの条件を選択し、「OK」をクリックします。
新規ルール/IPページの上部のパネルで「ロケーション: IP過剰使用」を選択します。
下部のパネルに、この条件のパラメータが表示されます。
下部のパネルで、パラメータを変更します。
「ユーザー数」に10を入力します。
「範囲(時間)」で「1」を選択します。
「および使用されていない日数」に0を入力します。
このポリシーに対して「ロケーション: グループ内IP」ルールを作成します。
ポリシー詳細ページの「ルール」タブをクリックします。
「ルール」タブで「追加」をクリックして新規ルールを追加します。
「新規ルール」ページが表示されます。
「サマリー」タブで、ルール名としてIP in Groupを入力します。
ルールの説明を入力します。
ルール・ステータスとして「アクティブ」を選択します。
「ロケーション: グループ内IP」ルール条件を追加して、新規ルールを作成します。
「ロケーション: グループ内IP」条件を追加するには、「条件」タブをクリックします。
「条件」タブの「追加」をクリックします。「条件の追加」ページが表示されます。
「条件名」フィールドにIPを入力し、「検索」をクリックして、「ロケーション: グループ内IP」条件を検索します。
「検索結果」表でこの条件を選択し、「OK」をクリックします。
新規ルール/IPページの上部のパネルで「ロケーション: グループ内IP」を選択します。
下部のパネルに、この条件のパラメータが表示されます。
下部のパネルで、パラメータを変更します。
「リストにある」で「true」を選択します。
「Monitor IPs」グループを選択します。
両方の条件がtrueの場合にブロック・アクションおよびIP Surge Alertがトリガーされるトリガー組合せを作成します。
ポリシー詳細ページで「トリガー組合せ」タブをクリックします。
「追加」ボタンをクリックします。
「IP Excessive Use」で「True」を選択します。
「グループ内IP」で「True」を選択します。
「アクション・グループ」で「ブロック」を選択します。
「アラート・グループ」で「IP Surge High Alert」を選択します。
「適用」をクリックします。
セキュリティ管理者のWilliamは新規ポリシーを作成します。彼は自分のビジネス・ユース・ケースに適用するルール条件がわかりません。そのため、条件を追加せずにルールを閉じることにしました。
OAAM管理に管理者としてログインします。
ナビゲーション・ツリーで「ポリシー」をダブルクリックします。
ポリシー検索ページで、「新規ポリシー」ボタンをクリックします。
新規ポリシーを作成します。
ポリシー詳細ページで、「ルール」タブをクリックします。
「ルール」タブで「追加」をクリックして新規ルールを追加します。
「新規ルール」ページが表示されます。
ルール名を入力します。
ルールの説明を入力します。
条件を追加するには、「条件」タブをクリックします。
「条件」タブの「追加」をクリックします。「条件の追加」ページが表示されます。
「条件名」フィールドに名前を入力し、「検索」をクリックして、条件を検索します。
「結果」表でこの条件を選択します。
「取消」をクリックします。
自分のビジネス・ユース・ケースに適用するルール条件がわかりません。
右上隅にある「削除」ボタンをクリックします。
「未保存データの警告」ダイアログが表示され、次のメッセージが示されます。「未保存のデータがあります。続行しますか。」
「はい」をクリックします。
「ルール」ページが再度表示されます。
右上隅にある「削除」ボタンを再度クリックします。
ポリシー検索ページが再度表示されます。
「検索結果」表で、作成したポリシーをクリックします。
ルールは作成されていません。
Jimはセキュリティ管理者です。彼はトリガー組合せを非アクティブ化して後で有効にしますが、設定を失いたくないと考えています。
この場合は、その組合せのスコア/ポリシー、アクションおよびアラートを設定せずにおくと、これらは自動的に無効状態になります。その組合せに基づくアクションは実行されません。
ナビゲーション・ツリーで、「ポリシー」を選択します。ポリシー検索ページが表示されます。
必要なポリシーを検索します。
ポリシー名をクリックすると、ポリシー詳細ページが表示されます。
「トリガー組合せ」タブにナビゲートします。
スコアとして「0」を選択するか、またはネストされたポリシーが指定されないようにします。
「アクション・グループ」リストのアクションの選択を解除します。
「アラート・グループ」リストのアラートの選択を解除します。
「トリガー組合せ」タブで、すべての編集の後に「適用」をクリックします。
Jeffには2つのポリシーがあります。ポリシーの1つであるPolicy BはPolicy Aに先行するため、その他のルール評価の結果にかかわらず毎回実行される必要があります。このため、このポリシーをPolicy Aにネストすると、常に機能するわけではなくなります(トリガー組合せ)。したがって、Jeffは、Policy Bを毎回実行するという新しいルール条件をPolicy Aに追加することにしました。
Policy Aを開きます。
ポリシー詳細ページの「ルール」タブで、「ルールの追加」ボタンをクリックします。
Rule Cというルールを作成します。
ルールの詳細ページの「条件」タブで、「条件の追加」をクリックします。
システム: 評価ポリシー条件を追加します。
「トリガー組合せ」で、アクションとして「Policy B」を選択します。
この項では、ポリシー、ルールおよび条件の使用に関するベスト・プラクティスについて説明します。
この一般的な手順では、ポリシーまたはルールを本番環境に追加または更新するためのプロセスを概説します。
オフライン・システム(テストまたはステージング用に設定されたOracle Adaptive Access Managerの個別のインストール)を使用して、新しいルールを作成します。
ルールをテストし、オフライン・システムを使用して予測可能なデータを実行することで、ルールが予想どおりに機能していることを確認します。
ポリシーが予想どおりに機能していることを確認した場合は、パフォーマンス・テストを実行できる本番前環境にポリシーを移行します。
これは、新しいルールまたはポリシー、またはその両方のパフォーマンスに影響を与える可能性があります。たとえば、今まで使用していた電子メール・アドレスを使用していないユーザーをチェックする新規ポリシーを定義するとします。顧客のデータベースに10億を超えるレコードがある場合、トランザクションごとにすべてのレコードに対してこのチェックを実行すると、パフォーマンスに多大な影響を与えます。したがって、負荷がかかった状態でポリシーをテストすることが重要です。
新しいルール/ポリシーが予想どおりに機能し、パフォーマンスに悪影響を及ぼさない場合のみ、本番環境に移行する必要があります。
