| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
前 |
次 |
この章では、Oracle Adaptive Access Managerでのポリシー・セットの管理および使用について説明します。
この章の内容は次のとおりです。
この項では、ポリシー・セットの概念およびOracle Adaptive Access Managerでどのように使用されるかについて説明します。内容は次のとおりです。
ポリシー・セットは、個々のポリシーの上位にある評価ロジックのレベルです。ポリシー・セット・ロジックは、チェックポイントに対してすべてのポリシーが実行された後に実行される機能の集合です。この機能には、最終的なリスク・スコアの計算およびオーバーライドが含まれます。
ポリシー・セットを使用して、アクションまたはスコア・ベースのオーバーライドを作成できます。オーバーライドを使用すると、管理者は、ポリシーによって生成されたアクションまたはスコアが望ましくない結果となる可能性がある特別な状況に対処できます。たとえば、ルールが非常に控えめに構成されている場合、コール・センターに電話が殺到することを回避するために、管理者は、短時間にきわめて多数のブロックがある場合にブロック・アクションを変換するためのアクション・オーバーライドを作成できます。
ポリシー・セットにはいくつかの主要な機能があります。
個々のポリシーによって生成されたスコアを最終的なリスク・スコアに結合するために使用されるスコアリング・エンジンは、ここで構成します。
アクション・オーバーライドまたはスコア・オーバーライドを作成するために使用できます。
アクション・オーバーライドおよびスコア・オーバーライドを使用して、チェックポイントの結果を変更できます。
アクション・オーバーライドを作成する場合は、個々のルールによってトリガーされたアクションを置き換えるアクションを指定します。たとえば、時間およびアクションに基づくアクション・オーバーライドを使用して、指定した時間枠でブロックの数を制限したり、登録の数を制御できます。
スコア・オーバーライドを作成する場合は、チェックポイントの最終的なリスク・スコアが指定した範囲内にあるときにトリガーされるアクション・グループまたはアラート・グループ、あるいは両方を指定します。たとえば、スコア範囲を500から1000に設定し、アラート・グループを指定した場合、チェックポイントのリスク・スコアが500から1000の間になるとアラートが生成されます。
1つのポリシー・セットのみを使用できます。
「ポリシー・セット詳細」ページにアクセスするには:
ナビゲーション・ツリーを開きます。
ナビゲーション・ツリーから、「ポリシー・セット」を選択します。
「ポリシー・セット詳細」が表示されます。
または、次の方法で「ポリシー・セット詳細」ページを開くこともできます。
ナビゲーション・ツリーで「ポリシー・セット」を右クリックし、コンテキスト・メニューから「ポリシー・セットを開く」を選択します。
ナビゲーション・ツリーで「ポリシー・セット」を選択し、「アクション」メニューから「ポリシー・セットを開く」を選択します。
ナビゲーション・ツリーのツールバーの「ポリシー・セットを開く」ボタンをクリックします。
「ポリシー・セット詳細」ページでは、ポリシー・セット詳細を表示および編集できます。
次の4つのタブがあります。
「サマリー」: ポリシー・セットの一般的な詳細が表示され、詳細を編集し、スコアリング・エンジンを選択できます。
「スコア・オーバーライド」: スコア・オーバーライドを設定できます。
「アクション・オーバーライド」: アクション・オーバーライドを設定できます。
「ポリシー・セット詳細」ページにナビゲートします。
「スコア・オーバーライド」タブをクリックします。
既存のスコア・オーバーライドのリストが表示されます。
スコア・オーバーライドを追加するには、「追加」をクリックします。
スコア・オーバーライドを編集するには、オーバーライドを選択し、「編集」をクリックします。
「スコア・オーバーライドの追加」または「スコア・オーバーライドの編集」ダイアログが表示されます。
このオーバーライドを適用するチェックポイントを選択します。
最小スコアと最大スコアを入力します。
スコアが最小スコアと最大スコアの間にある場合、オーバーライドがトリガーされます。
オーバーライドでトリガーされるアクションを選択します。
オーバーライドでトリガーされるアラートを選択します。
「適用」をクリックします。
|
注意: 特定期間中にユーザー/デバイス/IPにアクションがすでに提示されている場合、同じアクションが継続され、オーバーライドは提供されません。 |
「ポリシー・セット詳細」ページにナビゲートします。
「アクション・オーバーライド」タブをクリックします。
既存のアクション・オーバーライドのリストが表示されます。
アクション・オーバーライドを追加するには、「追加」をクリックします。
アクション・オーバーライドを編集するには、オーバーライドを選択し、「編集」をクリックします。
「アクション・オーバーライドの追加」または「アクション・オーバーライドの編集」ダイアログが表示されます。
このオーバーライドを適用するチェックポイントを選択します。
「アクション(自)」フィールドで、置き換えるアクションを選択します。
たとえば、ブロックをチャレンジ質問に変換できるように、「ブロック」を選択できます。
「アクション(至)」の指定はオプションです。「アクション(自)」と「アクション(至)」は同じ値にできます。
「アクション(至)」フィールドで、置換に使用するアクションを選択します。
たとえば、「チャレンジ」を選択してブロックをチャレンジに変換できます。
「アラート・グループ」リストから、このイベントが発生したときに生成されるアラートを選択します。
アラートは、個人(CSR、調査担当者など)に対するインジケータ(メッセージ)です。アラート・グループには、ルールによってトリガーできる等級付けされたメッセージが含まれます。
アラート・グループはルール内の結果として使用され、ルールがトリガーされると、グループ内のすべてのアラートがアクティブ化されます。
「継続時間」に、「アクション(至)」がトリガーされる期間(分数)を入力します。
たとえば、30分以内に100ブロック以上ある場合、システムがユーザーのブロックを停止し、ブロックされる予定だったユーザーのチャレンジを開始するように、数値「30」を入力できます。
「件数」に、「アクション(自)」によって生成されるイベントの数を入力します。
たとえば、10ブロック以上を示すために「100」を入力できます。
アクションの件数は、アクションが異なるユーザー、IPおよびデバイスからのものである場合にのみ増分されます。
件数は、ユーザー、IPおよびデバイスがすべて一意である場合にのみ更新されます。たとえば、これらが一意ではなく、デバイスがブロックされる場合、ブロックはチャレンジされるのではなく、指定された期間継続してブロックされます。
「適用」をクリックします。
ポリシー・セットを編集するには:
「ポリシー・セット詳細」ページにナビゲートします。
ポリシー・セットの一般情報を編集するには、「サマリー」タブで変更を加え、「適用」をクリックします。
ポリシー・セットのスコアリング・エンジンと説明を変更できます。
スコアリング・エンジンの詳細は、第14章「スコアリング・エンジンの使用」を参照してください。OAAM管理では、スコアリング・エンジンを使用して、リスク・レベルの計算時に適用される数値スコアを計算します。
変更が成功すると、ポリシー・セット詳細が正常に更新されたことの確認が表示されます。
スコア・オーバーライドを追加または編集するには、13.4項「スコア・オーバーライドの追加または編集」の手順を実行します。
アクション・オーバーライドを編集するには、13.5項「アクション・オーバーライドの追加または編集」の手順を実行します。
この項では、ポリシー・セットを使用するサンプル・ユース・ケースについて説明します。
Williamはセキュリティ管理者であり、認証前のスコアが500から700の間の場合、不正調査担当者が即座に対応するために特別なアラートがトリガーされ、ユーザーがチャレンジされるのではなくブロックされるように、スコア・オーバーライドとアクション・オーバーライドを設定する必要があります。
スコア・オーバーライドの編集
スコア・オーバーライドを作成する場合は、スコアが特定の範囲内にあるときにトリガーされるアクション・グループまたはアラート・グループ、あるいはアクション・グループとアラート・グループの両方を指定します。たとえば、最小スコアを500に設定した場合、スコアが501に達したときにトリガーされるアクション・グループまたはアラート・グループを指定できます。
「チェックポイント」: 「認証前」
最小スコア: 500
500は、スコア・オーバーライドがトリガーされるまでに許可される最小スコアです。
最大スコア: 700
700は、スコア・オーバーライドがトリガーされるまでに許可される最大スコアです。
アラート・グループ: 新規アラート
アラートは、個人(CSR、調査担当者など)に対するインジケータ(メッセージ)です。アラート・グループには、ルールによってトリガーできる等級付けされたメッセージが含まれます。
アラート・グループはルール内の結果として使用され、ルールがトリガーされると、グループ内のすべてのアラートがアクティブ化されます。
アクション・グループ: Block
Oracle Adaptive Access Managerは、ブロックされているユーザーがシステムにアクセスすることを許可しません。
アクション・オーバーライドの編集
アクション・オーバーライドを作成する場合は、個々のルールによってトリガーされたアクションを置き換えるアクションを指定します。たとえば、時間およびアクションに基づくアクション・オーバーライドを使用して、指定した時間枠でブロックの数を制限したり、登録の数を制御できます。
「チェックポイント」: 「認証前」
アクション(自): チャレンジ
アクション(至): ブロック
アラート・グループ: 新規アラート
Williamはセキュリティ管理者であり、認証前のスコアが500から700の間の場合、不正調査担当者が即座に対応するために特別なアラートがトリガーされ、ユーザーがチャレンジされるのではなくブロックされるように、スコア・オーバーライドとアクション・オーバーライドを設定する必要があります。ただし、約10名の研修生がおり、次の1週間、一時許可を付与されます。アクション・オーバーライドとスコア・オーバーライドはこれらのユーザーにどのように影響するでしょうか。
スコア・オーバーライドの編集
スコア・オーバーライドを作成する場合は、スコアが特定の範囲内にあるときにトリガーされるアクション・グループまたはアラート・グループ、あるいはアクション・グループとアラート・グループの両方を指定します。たとえば、最小スコアを500に設定した場合、スコアが501に達したときにトリガーされるアクション・グループまたはアラート・グループを指定できます。
「チェックポイント」: 「認証前」
最小スコア: 500
500は、スコア・オーバーライドがトリガーされるまでに許可される最小スコアです。
最大スコア: 700
700は、スコア・オーバーライドがトリガーされるまでに許可される最大スコアです。
アラート・グループ: 新規アラート
アラートは、個人(CSR、調査担当者など)に対するインジケータ(メッセージ)です。アラート・グループには、ルールによってトリガーできる等級付けされたメッセージが含まれます。
アラート・グループはルール内の結果として使用され、ルールがトリガーされると、グループ内のすべてのアラートがアクティブ化されます。
アクション・グループ: Block
Oracle Adaptive Access Managerは、ブロックされているユーザーがシステムにアクセスすることを許可しません。
アクション・オーバーライドの編集
アクション・オーバーライドを作成する場合は、個々のルールによってトリガーされたアクションを置き換えるアクションを指定します。たとえば、時間およびアクションに基づくアクション・オーバーライドを使用して、指定した時間枠でブロックの数を制限したり、登録の数を制御できます。
「チェックポイント」: 「認証前」
アクション(自): チャレンジ
アクション(至): ブロック
アラート・グループ: 新規アラート
研修生グループを作成します。
すべての「チャレンジ」ルールの「事前条件」の除外グループでグループを選択します。
この項では、ポリシー・セットの使用に関するベスト・プラクティスについて概説します。
ポリシー・セットを本番システムにインポートする前に、本番システムのシステム構成全体が置き換えられることを認識しておく必要があります。現在の構成を失わないために、実際のインポート前に現在のポリシー・セットをエクスポートします。インポートが失敗した場合、または予期しない他の問題が発生した場合。ポリシー・セットをインポートした後は、元に戻すことはできません。バックアップを使用できるようにしておくと、インポートが失敗した場合にその構成をすぐにシステムにインポートできます。
エクスポートが正常に実行された場合にのみ、ポリシー・セットをオフライン・システムからオンライン・システムにインポートします。
構成可能なアクションがポリシー・セットとともにエクスポートされた場合。インポート後、構成可能なアクションが再度システムにインポートされたときに破壊されないように、指定したディレクトリにJavaクラスをコピーする必要があります。
