| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
Mobile and Socialには、モバイル・サービスを構成するためのGUIが用意されています。この章では、Oracle Access Managementコンソールを使用して、モバイル・サービスを構成する方法について説明します。この章の内容は、次のとおりです。
|
注意: モバイル・サービスは、WLSTを使用することでコマンド行から構成できます。Mobile and SocialのWLSTコマンドの詳細は、『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』を参照してください。 |
Oracle Access Managementコンソールでモバイル・サービスの構成ページを開くには、次の手順を実行します。
Oracle Access Managementコンソールにログインします。
「起動パッド」が開きます。
「Mobile and Social」ペインの「モバイル・サービス」をクリックします。
「Mobile and Socialへようこそ - モバイル・サービス」ページが開きます。
「Mobile and Socialへようこそ - モバイル・サービス」の構成ページはいくつかの個別のパネルに分割されていて、パネルの左上隅の矢印ボタンをクリックして、開いたり、折りたたんだりできます。次の各項では、モバイル・サービスの各パネルについて詳細に説明します。
|
注意: Mobile and Socialには、一般的なデプロイメント・シナリオをサポートする、事前構成済オブジェクトが含まれています。これらのオブジェクトは、わずかな変更を加えるだけでMobile and Socialの準備と実行が可能になるように設計されています。各項には、インストール後に利用できる事前構成済オブジェクトの一覧が示されています。 |
サービス・プロバイダは、クライアント・アプリケーションで使用できるようにするバックエンド・サービスごとに定義します。サービス・プロバイダとしてバックエンド・サービスを構成することで、Mobile and Socialサーバーはそのプロバイダと通信する方法を認識します。バックエンド・サービスは、次のサービス・プロバイダ・タイプの1つとして構成できます。
認証サービス・プロバイダ: アイデンティティ・プロバイダとインタフェース接続し、バックエンド・サービスがユーザー、モバイル・デバイス、クライアント・アプリケーションおよびアクセス権を認証し、それに従って認証トークンを発行できるようにします。Mobile and Socialは、Access ManagerとJSON Web Token (JWT)を、それらに独自のサービス・プロバイダとサービス・プロファイルの構成オブジェクトでサポートします。さらに、モバイル・クライアントの認証と非モバイル・クライアントの認証は、個別に管理されるため、それぞれのトークン・タイプは個別のモバイルおよび非モバイルのサービス・プロバイダとサービス・プロファイルを持つようになります。次の事前構成済の認証サービス・プロバイダは、一般的なデプロイメントで使用できます。
OAMAuthentication: Oracle Access Manager認証トークン・サービス・プロバイダ
MobileOAMAuthentication: モバイルのOracle Access Manager認証トークン・サービス・プロバイダ
JWTAuthentication: JSON Web Token認証サービス・プロバイダ
MobileJWTAuthentication: モバイルのJSON Web Token認証サービス・プロバイダ
JWTOAMAuthentication: 軽量で継続時間の長いJWTトークンをOAMトークンと交換できるようにします。OAMトークンによりクライアントはSSOリソースおよびOAMリソースにアクセスできます。このプロバイダを使用して、非モバイル・アプリケーションを使用するユーザーは、継続時間の長い有効なJWTトークンがあれば、資格証明の提示なしで新しいOAMトークンを取得できます。
MobileJWTOAMAuthentication: 軽量で継続時間の長いJWTトークンをOAMトークンと交換できるようにします。OAMトークンによりクライアントはSSOリソースおよびOAMリソースにアクセスできます。このプロバイダを使用して、モバイル・アプリケーションを使用するユーザーは、継続時間の長い有効なJWTトークンがあれば、資格証明なしで新しいOAMトークンを取得できます。
InternetIdentityAuthentication: ソーシャル・アイデンティティのJSON Web Token認証サービス・プロバイダ。これにより、モバイル・サービスを使用してMobile and Socialのアイデンティティからの認証結果を受け入れるアプリケーションの事前構成済サポートが提供されます(第41.5項「ソーシャル・アイデンティティの理解」を参照)。
カスタム認証サービス・プロバイダの作成方法については、第42.3.1項「認証サービス・プロバイダの定義、変更または削除」も参照してください。
認可サービス・プロバイダ: 認可(アクセス)を決定するバックエンド・アイデンティティ・プロバイダとインタフェース接続します。事前構成済のOAMAuthorization認証サービス・プロバイダは、一般的なデプロイメント用に提供されています。カスタム認可サービス・プロバイダの作成方法については、第42.3.2項「認可サービス・プロバイダの定義、変更または削除」を参照してください。
ユーザー・プロファイル・サービス・プロバイダ: ディレクトリ・サーバーとインタフェース接続して、ユーザー・プロファイル・レコードを参照および更新します。事前構成済のユーザー・プロファイル・サービス・プロバイダは、一般的なデプロイメント用に提供されています。カスタム・ユーザー・プロファイル・サービス・プロバイダの作成方法については、第42.3.3項「ユーザー・プロファイル・サービス・プロバイダの定義、変更または削除」を参照してください。
サービス・プロバイダを定義した後で、それに対する1つ以上のサービス・プロファイルを定義します。サービス・プロファイルは、Mobile and Socialサーバー上のサービス・プロバイダのサービス・エンドポイントURLを定義する論理エンベロープです。1つのサービス・プロバイダに複数のサービス・プロファイルを作成して、各種のトークン機能とサービス・エンドポイントを定義できます。各サービス・プロバイダ・インスタンスには、対応する少なくとも1つのサービス・プロファイルが必要です。Mobile and Socialには、事前構成済サービス・プロバイダ構成オブジェクトごとの事前構成済サービス・プロファイルが含まれています。詳細は、第42.2.1項「サービス・プロバイダの理解」を参照してください。
セキュリティ・ハンドラ・プラグインは、信頼およびリスク分析のための追加のロジックを参照することで、セキュリティを高めます。(そのような追加のロジックによって、リスクのある特定の操作が拒否されることがあります。)セキュリティ・ハンドラ・プラグインは、クライアント・アプリケーションの登録などの認証サービス操作中に、セキュリティ・ロジックを適用します。セキュリティ・ハンドラ・プラグインの使用はオプションです。このバージョンのソフトウェアで提供されるセキュリティ・ハンドラ・プラグインは、モバイル・アプリケーション用に最適化されています。使用する場合は、モバイル関連のサービス・ドメインとその認証サービスおよびクライアント・アプリケーションにのみ適用します。非モバイル・アプリケーションでは、セキュリティ・ハンドラ・プラグインを使用しないでください。
Mobile and Socialは、機密のセキュリティ操作時(認証時など)やトークン取得に関連する操作時に、セキュリティ・ハンドラ・プラグインを起動します。Mobile and Socialには、次の事前構成済セキュリティ・ハンドラ・プラグインが含まれています。
OAAMSecurityHandlerPluginにより、Oracle Adaptive Access Managerで使用可能な高度なデバイス登録と、リスクベースの強力な認証ロジックが有効になります。
Defaultセキュリティ・ハンドラ・プラグインは、より限定的なデバイス登録ロジックを提供します。
アプリケーション・プロファイルには、サービス・プロバイダが提供するサービスを利用するクライアント・アプリケーションの構成とセキュリティ・プロパティを記述します。アプリケーション・プロファイルは、モバイル・アプリケーションを使用する場合、またはセキュアなアプリケーション保護がないサービスで非モバイル・アプリケーションを使用する場合に必要です。定義される属性には、アプリケーション・プロファイルの名前、アプリケーションについての簡単な説明、名前と値の属性をペアにしたリスト、およびそのアプリーションのモバイル構成設定などがあります。(モバイル構成設定には、プロファイルをキャッシュできる最長期間(分単位)、認証の再試行の許容可能な回数、オフライン認証が許可されるかどうかなどのオプションがあります。)また、アプリケーションに必要なモバイル・デバイス属性(phonecarriername、phonenumber、osversionなど)を選択することもできます。1つのアプリケーション・プロファイルを複数のサービス・ドメインに割り当てることができます。
サービス・ドメインは、アプリケーション・プロファイルとセキュリティ・ハンドラ・プラグイン(オプション)を含むサービス・プロファイルを関連付けるために、論理的にサーバーをグループ化したものです。サービス・ドメインは、アプリケーションにMobile and Socialのサービスへのアクセスを許可する方法を指定します。通常、組織は、モバイル・アプリケーションの管理用に1つと、別に非モバイル・アプリケーションの管理用に1つのサービス・ドメインを持っています。サービス・ドメインを作成するときには、次を実行します。
サービス・ドメインで、モバイル・アプリケーションを管理するのか、デスクトップ・アプリケーションを管理するのかを決定します。
サービス・ドメインの認証スキームおよびセキュリティ・ハンドラ・プラグイン(オプション)を選択します。
1つ以上のモバイルSSOエージェントを追加して、エージェント間の優先度を構成します。
1つ以上のアプリケーションをサービス・ドメインに追加して、どのアプリケーションにモバイルSSOエージェントの使用を許可するかを構成します。
サービス・ドメインに対して少なくとも1つのサービス・プロファイルを選択します。
セキュリティ設定を構成して、サービス・ドメインのサービスを保護します。
Mobile and Socialには、次の事前構成済サービス・ドメインが含まれています。
デフォルト(サービス・ドメイン)は、非モバイル・アプリケーション用に事前構成されています。
モバイル・サービス・ドメインは、モバイル・アプリケーション用に事前構成されています。
これらのサービス・ドメインは、独自のサービス・ドメインを作成するためにどちらかをテンプレートとして使用することも、組織のニーズに合せて変更することもできます。モバイル・サービス・ドメインに追加できるのは、モバイル認証サービス・プロファイルのみです。
サービス・プロバイダは、クライアント・アプリケーションで使用可能なバックエンド・サービスごとに定義します。これにより、Mobile and Socialサーバーが定義済のバックエンド・サービス・プロバイダとインタフェース接続する方法を構成します。提供しているサービスに応じて、使用可能なサービス・プロバイダ・オプションの1つまたは2つを構成するだけでよい場合があります。たとえば、認証サービスのみを提供する場合、「ユーザー・プロファイル・サービス・プロバイダ」や「認可サービス・プロバイダ」を定義する必要はありません。この項では、次の手順について説明します。
認証サービス・プロバイダを使用すると、Mobile and Socialはトークン交換によるバックエンド認証サービスを使用してユーザー、クライアント・アプリケーションおよびアクセス権を認証できます。認証と検証の成功時に、トークンがクライアント・アプリケーションに返される場合があります。サポートされる認証タイプは、次のとおりです。
Access Managerと一緒にインストールした場合、Mobile and SocialはJSON Web Token (JWT)とAccess Manager (OAM)トークンをサポートします。
Access Managerと一緒にイントールしていない場合は、JSON Web Token (JWT)型のみがサポートされます。
次の各項では、認証サービス・プロバイダについて説明します。
Mobile and Socialでは、表42-1にリストされている認証サービスに事前構成済の認証サービス・プロバイダが提供されます。
トークン・タイプ(Access ManagerとJWT)ごとに、Mobile and Socialでは「すぐに使用できる」個別のモバイルおよび非モバイル(またはデスクトップ)サービス・プロバイダ構成が提供されます。個別の構成は、それぞれを各アクセス・モードのニーズに最も合わせて最適化できるようにするために提供されています。モバイル・デバイスは、モバイル・サービス・プロバイダを使用する必要がありますが、非モバイル・デバイスは、モバイル・サービス・プロバイダと非モバイル・サービス・プロバイダの両方を使用できます(適切な入力を提供している場合)。
モバイル・サービス・プロバイダは、クライアント登録ハンドルを使用して、モバイル・デバイスを登録します。これに対して、非モバイル・サービス・プロバイダは、クライアント・トークンを使用して、非モバイル・デバイスを認証します。Mobile and Socialのクライアント・トークン機能は無効にできますが、クライアント登録ハンドル機能は無効にできません。
表42-1 事前構成済の認証サービス・プロバイダ
| 認証サービス | Mobile and Socialサービス・プロバイダ名 | 説明 |
|---|---|---|
|
Access Manager |
OAMAuthentication |
デスクトップ・デバイスを使用しているユーザーが、Access Managerを使用して認証を受けるための事前構成済サポートを提供します。 このサービス・プロバイダは、クライアント・トークンを発行できますが、モバイル・デバイスの登録はできません。 次のJavaクラスがこのサービス・プロバイダを実装します: oracle.security.idaas.rest.provider.token.OAMSDKTokenServiceProvider |
|
Mobile Access Manager |
MobileOAMAuthentication |
モバイル・デバイスを使用しているユーザーが、Access Managerを使用して認証を受けるための事前構成済サポートを提供します。 このサービス・プロバイダは、ユーザーの認証時におけるクライアント登録ハンドルを使用した新しいデバイスの登録をサポートしています。 次のJavaクラスがこのサービス・プロバイダを実装します: oracle.security.idaas.rest.provider.token.MobileOAMTokenServiceProvider |
|
JSON Web Token |
JWTAuthentication |
非モバイル・アプリケーションを使用しているユーザーが、JSON Web Token形式を使用して認証を受けるための事前構成済サポートを提供します。JSON Web Tokenは、HTTP認可ヘッダーなど、領域に制約がある環境に適したコンパクトなトークン形式です。 このサービス・プロバイダは、クライアント・トークンを発行できますが、クライアント登録ハンドルを使用した新しいデバイスの登録はできません。 次のJavaクラスがこのサービス・プロバイダを実装します: oracle.security.idaas.rest.provider.token.JWTTokenServiceProvider |
|
Mobile JSON Web Token |
MobileJWTAuthentication |
モバイル・デバイスを使用しているユーザーが、Mobile JSON Web Token形式を使用して認証を受けるための事前構成済サポートを提供します。 このサービス・プロバイダは、クライアント登録ハンドルを使用した新しいデバイスの登録をサポートしています。 次のJavaクラスがこのサービス・プロバイダを実装します: oracle.security.idaas.rest.provider.token.MobileJWTTokenServiceProvider |
|
JWT-OAMトークン・プロバイダ |
JWTOAMAuthentication |
軽量で継続時間の長いJWTトークンをOAMトークンと交換できるようにします。OAMトークンによりクライアントはSSOリソースおよびOAMリソースにアクセスできます。このプロバイダを使用して、非モバイル・アプリケーションを使用するユーザーは、継続時間の長い有効なJWTトークンがあれば、資格証明の提示なしで新しいOAMトークンを取得できます。 |
|
モバイルJWT-OAMトークン・プロバイダ |
MobileJWTOAMAuthentication |
軽量で継続時間の長いJWTトークンをOAMトークンと交換できるようにします。OAMトークンによりクライアントはSSOリソースおよびOAMリソースにアクセスできます。このプロバイダを使用して、モバイル・アプリケーションを使用するユーザーは、継続時間の長い有効なJWTトークンがあれば、資格証明なしで新しいOAMトークンを取得できます。 |
|
Social Identity Web Token |
InternetIdentityAuthentication |
モバイル・サービスを使用するアプリケーションが、ソーシャル・アイデンティティ(たとえば、Google、Facebook、Twitterなど)から認証結果を受け入れるための事前構成済サポートを提供します。 このサービス・プロバイダは、クライアント登録ハンドルを使用した新しいデバイスの登録をサポートしています。ユーザーがアイデンティティ・プロバイダを使用して認証を受けた後、このサービス・プロバイダによって、要求側のクライアント・アプリケーションにユーザー・トークンが発行されます。このユーザー・トークンによって、ユーザーはそのデバイスのクライアント登録ハンドルを取得できます。 このサービスではJSON Web Tokenサービスと同じJavaクラスを使用しますが、それは追加された2つの名前と値の属性のペアで構成されます。 次のJavaクラスがこのサービス・プロバイダを実装します: oracle.security.idaas.rest.provider.token.JWTTokenServiceProvider |
JWTOAMAuthenticationおよびMobileJWTOAMAuthenticationサービス・プロバイダ・タイプはさらに説明が必要になります。JWT-OAMトークン・プロバイダは、モバイル・クライアントおよび非モバイル・クライアントがJSON Web Token (JWT)を使用してOAMユーザー・トークンおよびOAMマスター・トークンを取得できるようにします。使用するデプロイメントに応じて、1つ以上の継続時間の長いOAMトークンよりも、1つの継続時間の長いJWTトークンが必要な場合があります。JWTトークンは、軽量であるため、長時間の保持に適したトークンです。
JWT-OAMトークン交換機能を使用すると、ユーザー名およびパスワードでユーザーが認証され、JWTトークン、OAMユーザー・トークンおよびOAMマスター・トークンが取得されます。OAMトークンの継続時間と比較して、JWTトークンの継続時間が大幅に長くなるように構成できます。OAMトークンの有効期限が切れた場合は、クライアントはまだ有効な継続時間の長いJWTトークンを使用して、再度OAMトークンを取得します。
OAMトークンがあれば、モバイル・クライアントおよび非モバイル・クライアントはAccess Managerにより保護されたリソースにアクセスできます。JWTトークンのOAMトークンとの交換は、ユーザーにとってメリットがあります。有効期限の切れたトークンと取り替える新しいOAMトークンを、資格証明の提示なしで取得できるからです。
追加されたセキュリティ対策として、Mobile and Socialでは、OAMトークンを取得するためにJWTユーザー・トークンを使用する場合に、ユーザーにPINなどの追加の資格証明を入力することを要求できます。詳細は、42.3.1.5項「JWTトークンをOAMトークンと交換するためのユーザー資格証明の要求」を参照してください。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
ホーム・エリアの「サービス・プロバイダ」パネルで「作成」をクリックして、「認証サービス・プロバイダの作成」を選択します。
「認証サービス・プロバイダ」の「構成」ページが表示されます。
認証サービス・プロバイダのプロパティに値を入力します。
名前: この認証サービス・プロバイダに一意の名前を入力します。
説明: (オプション)簡単な説明を入力します。この説明は自分や他の管理者が、将来、このサービスを特定するために役立ちます。
サービス・プロバイダのJavaクラス: この認証サービス・プロバイダを実装するJavaクラスの名前を入力します。
認証サービス・プロバイダの属性と値を、表42-2 (OAMAuthenticationおよびMobileOAMAuthenticationサービス・プロバイダ・タイプ)、表42-4 (JWTAuthenticationおよびMobileJWTAuthenticationサービス・プロバイダ・タイプ)またはTable 42-5(JWT-OAM認証サービス・プロバイダのデフォルト属性)のいずれかに基づいて追加または削除します。
|
注意: カスタム認証サービス・プロバイダを作成した場合は、「属性」パネルを使用してさらに構成を進めます。JWTAuthenticationおよびMobileJWTAuthenticationサービス・プロバイダの場合は、カスタム属性は使用されません。 |
表42-2と表42-3は、Access Managerと統合しているMobile and Socialに固有のものです。表42-2の値は、OAMAuthenticationとMobileOAMAuthenticationの両方のサービス・プロバイダ・タイプに適用されます。表42-3の値は、WebGateエージェントを構成するものです。
表42-2 Access Manager認証サービス・プロバイダのデフォルト属性
| 名前 | デフォルト値 | 注意 |
|---|---|---|
|
|
|
使用しているOracle Access Managerのバージョンに応じて、 |
|
|
|
|
|
|
|
このAccessGateとアクセス・サーバーとの間のメッセージの暗号化方式を指定します。暗号化方式は一致している必要があります。有効な値は次のとおりです。
これらの設定を更新する際は、42.9.1.1項「簡易モードおよび証明書モードのAccess Managerと連動するモバイル・サービスの構成」を参照してください。 |
|
|
|
プライマリOracle Access Managementサーバーのホスト名およびポート番号を指定します。 |
|
|
|
このMobile and SocialインスタンスがOAM_SERVER_1と確立できる接続の最大数を指定します。デフォルト値は4です。 |
|
|
|
セカンダリOracle Access Managementサーバーのホスト名およびポート番号を指定します。 |
|
|
|
このMobile and SocialインスタンスがOAM_SERVER_2と確立できる接続の最大数を指定します。デフォルト値は4です。 |
|
|
|
この属性を追加して |
表42-4は、JWT認証サービス・プロバイダに接続するMobile and Socialサーバーに固有のものです。この項の構成値は、JWTAuthenticationおよびMobileJWTAuthenticationの両方のサービス・プロバイダ・タイプに適用されます。
表42-4 JWT認証サービス・プロバイダのデフォルト属性
| 名前 | 値 | 注意 |
|---|---|---|
|
|
ユーザーの検証に使用するディレクトリ・サービスをメニューから選択します。 |
JWTトークン・サービスは、ディレクトリ・サーバーを使用してユーザーを検証します。 |
|
|
|
JWTトークンのコンテンツへの署名に使用する暗号アルゴリズム。デフォルト値は |
|
|
|
トークンが有効とみなされる秒単位の時間です。デフォルト値は |
|
|
|
サービス・プロバイダが外部発行者からのセキュリティ・トークンを受け入れる必要がある場合は、「有効」を選択します。 |
|
|
「リライイング・パーティ・トークン」が有効になっている場合は、セキュリティ・トークン・サービス発行者を指定します。 |
表42-5は、JWTAuthenticationおよびMobileJWTAuthenticationサービス・プロバイダ・タイプに固有です。
表42-5 JWT-OAM認証サービス・プロバイダのデフォルト属性
| 名前 | 値 | 注意 |
|---|---|---|
|
|
|
使用しているOracle Access Managerのバージョンに応じて、 |
|
|
|
|
|
|
|
このAccessGateとアクセス・サーバーとの間のメッセージの暗号化方式を指定します。暗号化方式は一致している必要があります。有効な値は次のとおりです。
|
|
|
|
プライマリOracle Access Managementサーバーのホスト名およびポート番号を指定します。 |
|
|
|
このMobile and SocialインスタンスがOAM_SERVER_1と確立できる接続の最大数を指定します。デフォルト値は4です。 |
|
|
|
セカンダリOracle Access Managementサーバーのホスト名およびポート番号を指定します。 |
|
|
|
このMobile and SocialインスタンスがOAM_SERVER_2と確立できる接続の最大数を指定します。デフォルト値は4です。 |
|
|
|
クライアント・アプリケーションがユーザーを認証する方法を指定します。サポートされている値は |
|
|
|
ユーザー認証が成功した場合、クライアント・アプリケーションが受信する可能性のあるトークン・タイプをすべて指定します。 次の内容を任意に組み合せてこのパラメータを構成します。
値が入力されない場合は、3つのトークン・タイプすべてが想定されます。 |
|
|
|
JWTタイプ・ユーザー・トークンのOAMトークンとの交換に必要なものを指定します。 次のいずれかを使用して、このパラメータを構成します。
値が入力されない場合は、トークン交換機能は無効です。 |
|
|
|
次の内容を任意に組み合せてこのパラメータを構成します。
|
「作成」をクリックして、サービス・プロバイダ構成オブジェクトを作成します。
認証サービス・プロバイダを編集または削除するには、パネルでサービス・プロバイダを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。
追加されたセキュリティ対策として、Mobile and Socialでは、OAMトークンを取得するためにJWTユーザー・トークンを使用する場合に、ユーザーにPINなどの追加の資格証明を入力することを要求できます。ユーザーPIN要件を有効にするには、TokenExchangeInput属性の構成時に表42-5の説明のように、JWT_UT+CREDパラメータを指定します。
この機能を使用するには、ユーザーのPINまたは他の資格証明がディレクトリ・サーバーのユーザー・エントリに存在している必要があります。Mobile and Socialでは、資格証明の値を制限していません。ユーザーによって送信される資格証明の値をユーザー・エントリに存在する値で検証するのみです。セキュリティ上の理由から、ユーザー資格証明は、ハッシュ属性として保存される必要があります。この構成を動作させるために必要な手順は、42.3.1.6項「JWT-OAM + PINトークン・サービス・プロバイダを使用するためのOAMの構成」を参照してください。
ディレクトリ・サーバーを開いて、PIN属性のLDAPスキーマを拡張します。LDAPスキーマの変更後、新しいユーザーの追加、およびPIN値を持つように既存のユーザーの変更を行うことができるようになります。
OAMコンソールを使用して、PIN属性を使用するために拡張した外部LDAPサーバー用に新しいIdentityStoreを作成します。
OAMコンソールにログインし、「起動パッド」→「ユーザー・アイデンティティ・ストア」を選択します。
「作成」ボタンをクリックして、OAM IDストアに新しいIdentityStoreを作成します。詳細は、図42-3を参照してください。
新しいアイデンティティ・ストア用の新しいOAM認証モジュールを追加します。
OAMコンソールを開き、「起動パッド」→「認証モジュール」を選択します。
「新規作成」ボタンをクリックし、「カスタム認証モジュールの作成」を選択して、新しい認証モジュールを作成します。
「一般」タブで、名前(たとえば、PINBasedUserPlugin)を入力します。
「ステップ」タブで、次の値を入力します。
ステップ名: UI
プラグイン名: UserIdentificationPlugIn
プラグイン・パラメータ:
- KEY_LDAP_FILTER: (&(uid={KEY_USERNAME})(pin={cred}))
- KEY_IDENTITY_STORE_REF: OUDIdentityStore (この手順を実行するために、このデータ・ストアを最初に追加する必要があります。)
- KEY_SEARCH_BASE_URL: ou=users,dc=ngam,dc=oracle,dc=com
「ステップ編成」タブで、「最初のステップ」メニューからUIを選択します。
新しい認証スキームを追加します。
OAMコンソールを開き、「起動パッド」→「認証スキーム」を選択します。
「作成」ボタンをクリックして、新しい認証スキームを作成します。
フォームに次のように入力します。
名前: PINBasedUserAuthNScheme
認証レベル: 3
チャレンジ・メソッド: FORM
認証モジュール: 前の手順で作成した認証モジュール(たとえば、PINBasedUserPlugin)を選択します。
新しい認証スキームを使用するために、認証ポリシーを変更します。
OAMコンソールを開き、「起動パッド」→「アプリケーション・ドメイン」→「IAM Suite」→「OICTokenExchangePolicy」を選択します。
「認証スキーム」ドロップダウン・メニューから、「PINBasedUserAuthNScheme」を選択します。
(モバイル) JWTOAMAuthenticationProviderを構成します。
OAMコンソールを開き、「起動パッド」→「モバイル・サービス」→「MobileJWTOAMAuthenticationProvider」を選択します。
「アイデンティティ・ディレクトリ・サービス名」ドロップダウン・メニューから、手順2で作成したIdentityStoreを指すディレクトリ・サービスを選択します。
デスクトップ・サービス(非モバイル)が必要な場合、手順aおよびbを繰り返して、JWTOAMAuthenticationProviderを構成します。
アプリケーション・プロファイルを作成します。
OAMコンソールを開き、「起動パッド」→「アプリケーション・プロファイル」を選択します。
「作成」ボタンをクリックして、新しいアプリケーション・プロファイル(たとえば、mobileapp1)を作成します。
MobileServiceDomainを更新します。
OAMコンソールを開き、「起動パッド」→「モバイル・サービス」→「MobileServiceDomain」を選択します。
「サービス・ドメイン構成」ページが開きます。
「アプリケーション・プロファイル」セクション(サブタブ)で、前の手順で作成したアプリケーション・プロファイルを追加します(mobileapp1)。
「サービス・プロファイル」サブタブをクリックしてこれを開き、「認証サービス」をMobileJWTOAMAuthenticationに変更します。
認可サービス・プロバイダを使用すると、バックエンド・アイデンティティ・サービスは接続されているアプリケーションのかわりに認可を決定できます。この項では、認可サービス・プロバイダの次の内容について説明します。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
ホーム・エリアの「サービス・プロバイダ」パネルで「作成」をクリックして、「認可サービス・プロバイダの作成」を選択します。
「認可サービス・プロバイダ」の「構成」ページが表示されます。
認可サービス・プロバイダのプロパティに値を入力します。
名前: この認可サービス・プロバイダの一意の名前を入力します。
説明: (オプション)簡単な説明を入力します。この説明は自分や他の管理者が、将来、このサービスを特定するために役立ちます。
サービス・プロバイダのJavaクラス: この認可サービス・プロバイダを実装するJavaクラスの名前を入力します。
認可サービス・プロバイダの属性と値を、表42-6に基づいて追加または削除します。
表42-6 Access Manager認可サービス・プロバイダのデフォルト属性
| 名前 | 値 | 注意 |
|---|---|---|
|
|
|
使用しているOracle Access Managerのバージョンに応じて、 |
|
|
|
|
|
|
|
このAccessGateとアクセス・サーバーとの間のメッセージの暗号化方式を指定します。暗号化方式は一致している必要があります。有効な値は次のとおりです。
|
|
|
|
プライマリOracle Access Managementサーバーのホスト名およびポート番号を指定します。 |
|
|
|
このMobile and SocialインスタンスがOAM_SERVER_1と確立できる接続の最大数を指定します。デフォルト値は4です。 |
|
|
|
セカンダリOracle Access Managementサーバーのホスト名およびポート番号を指定します。 |
|
|
|
このMobile and SocialインスタンスがOAM_SERVER_2と確立できる接続の最大数を指定します。デフォルト値は4です。 |
WebGateエージェントを新規に作成するか、既存のものに値を入力して、WebGateエージェントを構成します(表42-7を参照)。WebGateエージェント構成値は、モバイル・サービスとAccess Managerの間の統合に固有のものです。
「作成」をクリックして、サービス・プロバイダ構成オブジェクトを作成します。
認可サービス・プロバイダを編集または削除するには、パネルでサービス・プロバイダを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。
Mobile and Socialには、OAMAuthorization認可サービスプロバイダという名前の、Access Manager用の事前構成済認可サービス・プロバイダが用意されています。Javaクラスのoracle.security.idaas.rest.provider.authorization.OAMSDKAuthZServiceProviderが、事前構成済の認可サービス・プロバイダを実装します。
ユーザー・プロファイル・サービス・プロバイダを使用すると、アプリケーションでディレクトリ・サーバーを問合せおよび更新できます。次に示すように、LDAP準拠の多数のディレクトリ・サーバーがサポートされています。
Microsoft Active Directory
Novell eDirectory
Oracle Directory Server Enterprise Edition
Oracle Internet Directory
Oracle Unified Directory
Oracle Virtual Directory (Oracle Internet Directoryテンプレートを使用)
OpenLDAP
IBM Tivoli Directory Server (OpenLDAPテンプレートを使用)
WebLogic Server Embedded LDAP
Mobile and Socialには、組織で使用可能な、または独自に作成可能な事前構成済ユーザー・プロファイル・サービス・プロバイダが含まれています。ユーザー・プロファイル・サービス・プロバイダを作成するには、まず、アイデンティティ・ディレクトリ・サービス・プロファイルを作成する必要があります。アイデンティティ・ディレクトリ・サービス(IDS)は、Access Manageが複数のアイデンティティ・データ・ストアにアクセスするために使用する柔軟なサービスです。アイデンティティ・ディレクトリ・サービスの詳細は、第5.3項「アイデンティティ・ディレクトリ・サービスのユーザー・アイデンティティ・ストアの管理」を参照してください。
次の各項では、ユーザー・プロファイル・サービス・プロバイダについて詳細に説明します。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
ホーム・エリアの「サービス・プロバイダ」パネルで「作成」をクリックして、「ユーザー・プロファイル・サービス・プロバイダの作成」を選択します。
「サービス・プロバイダの構成」ページが表示されます。
ユーザー・プロファイル・サービス・プロバイダのプロパティに値を入力します。
名前: このユーザー・プロファイル・サービス・プロバイダに一意の名前を入力します。
説明: (オプション)簡単な説明を入力します。この説明は自分や他の管理者が、将来、このサービスを特定するために役立ちます。
ユーザー・プロファイル・サービス・プロバイダの属性と値を、表42-8に基づいて追加または削除します。
|
注意: 通常、LDAP属性の名前には大文字と小文字の区別はありませんが、Oracle Identity Governance Framework (IGF)と通信する場合、LDAP属性の名前は大文字と小文字が区別されます。 |
表42-8 ユーザー・プロファイル・サービス・プロバイダのデフォルト属性の名前と値
| 名前 | 値 | 注意 |
|---|---|---|
|
|
false |
サポートされる値は、accessControl機能を有効化する場合の |
|
|
cn=Administrators,ou=groups,ou=myrealm,dc=base_domain |
accessControlを有効化している場合は、ユーザーが存在するかどうかを確認するためにadminGroupの識別名(DN)を指定します。 |
|
|
|
サポートされている値は、ユーザーがaccessControl機能について彼または彼女のプロファイルを編集できるかどうかに応じて |
|
|
- |
サポートされる値は、proxyAuth機能を有効化する場合の この属性は、Mobile and Socialの新規インストールには含まれていません。管理者はこのプロパティを追加できます。 |
「アイデンティティ・ディレクトリ・サービス」セクションで、「名前」メニューから、このユーザー・プロファイル・サービス・プロバイダとともに使用するアイデンティティ・ディレクトリ・サービス・プロファイルを選択します。
アイデンティティ・ディレクトリ・サービス・プロファイルを作成するには、第5.3.2項「Identity Directory Serviceプロファイルの作成」を参照してください。
デフォルトのアイデンティティ・ディレクトリ・サービスのいずれか(userroleまたはidxuserrole)を選択すると、このセクションで構成値を表示したり編集できません。
管理者が作成したアイデンティティ・ディレクトリ・サービス接続を選択する場合は、追加のプロパティを表示および編集する「表示」オプションを選択します。詳細は、第42.3.3.2項「ユーザー・プロファイル・サービス・プロバイダの編集または削除」を参照してください。
「作成」をクリックして、サービス・プロバイダ構成オブジェクトを作成します。
ユーザー・プロファイル・サービス・プロバイダを編集または削除するには、パネルでサービス・プロバイダを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。この項では、ユーザー・プロファイル・サービス・プロバイダの追加の構成プロパティについて説明します。これらのプロパティは、アイデンティティ・ディレクトリ・サービス用のもので、管理者が作成したユーザー・プロファイル・サービス・プロバイダを編集するときに表示されます。
名前: このユーザー・プロファイル・サービス・プロバイダの名前。
説明: (オプション)簡単な説明を入力します。この説明は自分や他の管理者が、将来、このサービスを特定するために役立ちます。
属性
ユーザー・プロファイル・サービス・プロバイダの属性と値を、表42-8に基づいて追加または削除します。
|
注意: 通常、LDAP属性の名前には大文字と小文字の区別はありませんが、Oracle Identity Governance Framework (IGF)と通信する場合、LDAP属性の名前は大文字と小文字が区別されます。 |
表42-9 ユーザー・プロファイル・サービス・プロバイダのデフォルト属性の名前と値
| 名前 | 値 | 注意 |
|---|---|---|
|
|
false |
サポートされる値は、accessControl機能を有効化する場合の |
|
|
cn=Administrators,ou=groups,ou=myrealm,dc=base_domain |
accessControlを有効化している場合は、ユーザーが存在するかどうかを確認するためにadminGroupの識別名(DN)を指定します。 |
|
|
|
サポートされている値は、ユーザーがaccessControl機能について彼または彼女のプロファイルを編集できるかどうかに応じて |
|
|
- |
サポートされる値は、proxyAuth機能を有効化する場合の この属性は、Mobile and Socialの新規インストールには含まれていません。管理者はこのプロパティを追加できます。 |
アイデンティティ・ディレクトリ・サービス
名前: ユーザー・プロファイル・サービス・プロバイダを1つ以上のディレクトリ・サーバーに接続するアイデンティティ・ディレクトリ・サービス・プロファイル。アイデンティティ・ディレクトリ・サービスの詳細は、第5.3項「アイデンティティ・ディレクトリ・サービスのユーザー・アイデンティティ・ストアの管理」を参照してください。
デフォルトのアイデンティティ・ディレクトリ・サービスのいずれか(userroleまたはidxuserroleのいずれか)を選択すると、構成値の表示や編集はできなくなります。
管理者が作成したアイデンティティ・ディレクトリ・サービス接続を選択すると、構成値を必要に応じて表示および編集できるようになります。
関係構成
アイデンティティ・ディレクトリ・サービスの対応する列にアクセスするために使用するURIセグメントを入力します。新しい関係を追加するには「追加」を、構成済の関係を削除するには「削除」を使用します。
アクセスURI - アイデンティティ・ディレクトリ・サービスの対応するデータ列にアクセスするために使用するURIセグメントを入力します。たとえば、memberOfがアクセスURIである場合は、
http://host:port/.../idX/memberOf
が、ID idXを持つエンティティの関連エンティティにアクセスするためのURIです。
アイデンティティ・ディレクトリ・サービスの関係 - 「アクセスURI」セグメントによってアクセスされるディレクトリ・サービス関係を選択します。アイデンティティ・ディレクトリ・サービスが、事前構成済UserProfileアイデンティティ・プロバイダではない場合、「アイデンティティ・ディレクトリ・サービス」構成セクションの「関係」タブで関係を構成できます。(UserProfileサービス・プロバイダに対してはアイデンティティ・ディレクトリ・サービス関係を構成できません。)
エンティティURI属性 - Mobile and Socialサーバーから送信されるURIレスポンスで使用されるJSON属性名を入力します。たとえば、指定されているエンティティURI属性がperson-uriである場合、URIレスポンスは次のようになります。
{ {"person-uri":uriY1, ...}, {"person-uri":uriY2, ...}, ... }
ここで、uriY1およびuriY2は、関連エンティティのそれぞれにアクセスするための直接URIです。
再帰型をリクエストするスコープ - 関係検索で、ネストされたレベルの属性を取得するには、スコープ属性値をスコープ問合せパラメータとともに使用します。再帰的に関連エンティティにアクセスするには、使用する値を入力します。Mobile and Socialのデフォルト構成では、toTopとallの2つのスコープ属性値が使用されます。「再帰型をリクエストするスコープ」の値が属性値allである場合、次のREST URIの例が使用されてリクエストが実行されます。
http://host:port/.../idX/reports?scope=all
この例では、URIによって、ID idXを持つエンティティに関連するエンティティが、それに続いて関連しているエンティティすべてとともに返されます。
Mobile and Socialには、UserProfileという名前の、LDAP準拠のディレクトリ・サーバー用の事前構成済ユーザー・プロファイル・サービス・プロバイダが用意されています。このサービス・プロバイダを使用すると、Mobile and Socialを使用するディレクトリ・オブジェクトに対して、参照タスクと更新タスクを実行できるようになります。
サービス・プロファイルでは、Mobile and Socialサーバー上のサービス・プロバイダに対するサービス・エンドポイントURLを定義します。各サービス・プロバイダ・インスタンスには、対応する少なくとも1つのサービス・プロファイル・インスタンスが必要です。1つのサービス・プロバイダに複数のサービス・プロファイルを作成できます。それぞれのサービス・プロファイルでは、そのサービス・プロバイダに対する各種のトークン機能とサービス・エンドポイントを定義します。
|
注意: 1つのサービス・プロファイルを複数のサービス・ドメインに割り当てることができます。一般的に、モバイル・サービス・プロファイルはモバイル・サービス・ドメインに割り当て、非モバイル・サービス・プロファイルは非モバイル・サービス・ドメインに割り当てる必要があります。詳細は、第42.7項「サービス・ドメインの定義」を参照してください。 |
必要なサービス・プロバイダの作成後に、1つ以上のサービス・プロファイルを作成します。この項の内容は次のとおりです。
次の各項では、認証サービス・プロファイルについて説明します。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
ホーム・エリアの「サービス・プロファイル」パネルで「作成」をクリックして、認証サービス・プロファイルの作成を選択します。
認証サービス・プロファイルの「構成」ページが表示されます。
認証サービス・プロファイルの一般プロパティに値を入力します。
表42-10 認証サービス・プロファイルのデフォルトの一般プロパティ
| 名前 | 注意 |
|---|---|
|
名前 |
この認証サービス・プロファイルに一意の名前を入力します。 |
|
説明 |
(オプション)自分または別の管理者が将来このサービスを識別する際に役立つ簡単な説明を入力します。 |
|
サービス・タイプ |
作成しているサービス・プロファイルのタイプ(「ユーザー・プロファイル・サービス」、「認証サービス」および「認可サービス」のいずれか)が表示されます。 |
|
サービス・エンドポイント |
ボックスに文字列(たとえば、
|
|
サービス・プロバイダ |
このサービス・プロファイルのベースにするサービス・プロバイダを選択します。このリストの内容は、サービス・タイプによって決まります。対応するサービス・プロファイルを作成する前に、サービス・プロバイダを定義する必要があります。 |
|
サービス有効 |
このボックスを選択すると、サービスが有効化されます。無効化するには、このボックスの選択を解除します。 |
「トークン・サポートおよびURIカテゴリ情報」のオプションを選択して、そのサービスでトークン・タイプのサポートを有効にします。または、このオプション・ボックスを選択解除して、そのサービスでトークン・タイプのサポートを無効にします。
「トークン・サポート」は、認証サービス・プロファイルにのみ適用されます。各トークン・タイプとともに、対応するUniform Resource Identifier (URI)もリストされます。
表42-11 トークン・サポートおよびURIカテゴリ情報のデフォルトのプロパティ
| 名前 | 注意 |
|---|---|
|
クライアント登録ハンドル |
モバイル・トークン・サービスの場合は、Mobile and Socialサーバーにクライアント・デバイスを登録できるようにするために必須です。ユーザーの認証後、サーバーによってクライアント登録ハンドルが発行されます。OAAMとOAAMのセキュリティ・ハンドラ・プラグインがモバイル認証サービスで併用されている場合は、そのプラグインで不正検出とリスク分析ポリシー・チェックが実行できるようになるため、確実性とクライアントの信頼度が向上します。認証サービス・プロファイルをモバイル・サービス・ドメインに追加するには、クライアント登録ハンドルが有効化されている必要があります。クライアント登録ハンドルは、非モバイル・サービス・ドメインでは使用されません。 |
|
クライアント・トークン |
サービスでクライアント・トークンを有効化する場合に選択します。クライアント・トークンは、非モバイル・デバイスまたはクライアントが認証済であることを証明するためにMobile and Socialサーバーによって発行されるセキュリティ権限付与です。サーバーは、名前とパスワードまたはその他の資格証明に基づいてクライアントを認証した後、クライアント・トークンを発行します。クライアント・トークンは、非モバイル・サービス・ドメインではオプションです。モバイル・サービス・ドメインでは使用されません。 |
|
ユーザー・トークン |
サービスでユーザー・トークンを有効化する場合に選択します。ユーザー・トークンは、ユーザーが認証済であることを証明するためにMobile and Socialサーバーによって発行されるセキュリティ権限付与です。ユーザー・トークンは、アクセス・トークンを要求するために使用できます。 |
|
アクセス・トークン |
サービスでアクセス・トークンを有効化する場合に選択します。アクセス・トークンは、特定の保護されているリソースにクライアント・アプリケーションがアクセスできるようにMobile and Socialサーバーによって発行されるセキュリティ権限付与です。ユーザーがリソースへのアクセスを認可されている場合、クライアント・アプリケーションは、ユーザー・トークンを提示することでアクセス・トークンを入手できます。 |
「作成」をクリックして、サービス・プロファイル構成オブジェクトを作成します。
認証サービス・プロファイルを編集または削除するには、パネルでサービス・プロファイルを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。
次の各項では、認証サービス・プロファイルについて説明します。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
ホーム・エリアの「サービス・プロファイル」パネルで「作成」をクリックして、「認可サービス・プロファイルの作成」を選択します。
認可サービス・プロファイルの「構成」ページが表示されます。
認可サービス・プロファイルの一般プロパティに値を入力します。
表42-12 認可サービス・プロファイルのデフォルトの一般プロパティ
| 名前 | 注意 |
|---|---|
|
名前 |
この認可サービス・プロファイルに一意の名前を入力します。 |
|
説明 |
(オプション)自分または別の管理者が将来このサービスを識別する際に役立つ簡単な説明を入力します。 |
|
サービス・タイプ |
作成しているサービス・プロファイルのタイプ(「ユーザー・プロファイル・サービス」、「認証サービス」および「認可サービス」のいずれか)が表示されます。 |
|
サービス・エンドポイント |
ボックスに文字列(たとえば、
|
|
サービス・プロバイダ |
このサービス・プロファイルのベースにするサービス・プロバイダを選択します。このリストの内容は、サービス・タイプによって決まります。対応するサービス・プロファイルを作成する前に、サービス・プロバイダを定義する必要があります。 |
|
サービス有効 |
このボックスを選択すると、サービスが有効化されます。無効化するには、このボックスの選択を解除します。 |
「作成」をクリックして、サービス・プロファイル構成オブジェクトを作成します。
認可サービス・プロファイルを編集または削除するには、パネルでサービス・プロファイルを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。
次の各項では、認証サービス・プロファイルについて説明します。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
ホーム・エリアの「サービス・プロファイル」パネルで「作成」をクリックして、「ユーザー・プロファイル・サービス・プロファイルの作成」を選択します。
ユーザー・プロファイル・サービス・プロファイルの「構成」ページが表示されます。
ユーザー・プロファイル・サービス・プロファイルの一般プロパティに値を入力します。
表42-13 ユーザー・プロファイル・サービス・プロファイルのデフォルトの一般プロパティ
| 名前 | 注意 |
|---|---|
|
名前 |
この認可サービス・プロファイルに一意の名前を入力します。 |
|
説明 |
(オプション)自分または別の管理者が将来このサービスを識別する際に役立つ簡単な説明を入力します。 |
|
サービス・タイプ |
作成しているサービス・プロファイルのタイプ(「ユーザー・プロファイル・サービス」、「認証サービス」および「認可サービス」のいずれか)が表示されます。 |
|
サービス・エンドポイント |
ボックスに文字列(たとえば、
|
|
サービス・プロバイダ |
このサービス・プロファイルのベースにするサービス・プロバイダを選択します。このリストの内容は、サービス・タイプによって決まります。対応するサービス・プロファイルを作成する前に、サービス・プロバイダを定義する必要があります。 |
|
サービス有効 |
このボックスを選択すると、サービスが有効化されます。無効化するには、このボックスの選択を解除します。 |
「作成」をクリックして、サービス・プロファイル構成オブジェクトを作成します。
ユーザー・プロファイル・サービス・プロファイルを編集または削除するには、パネルでサービス・プロファイルを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。
セキュリティ・ハンドラ・プラグインは、信頼およびリスク分析のための追加のロジックを参照することで、セキュリティを高めます。このような追加のロジックにより、リスクのある特定の操作に基づいてアクセスを拒否できるようになります。モバイル認証によって、機密セキュリティ操作中(たとえば、クライアント・アプリケーション登録など実質的にすべてのトークン取得操作中)にセキュリティ・ハンドラ・プラグインが起動されます。
|
注意: セキュリティ・プラグインの使用はオプションです。使用する場合は、モバイル関連のサービス・ドメインとその認証サービスおよびクライアント・アプリケーションにのみ適用されます。 |
Mobile and Socialには、次の事前構成済セキュリティ・ハンドラ・プラグインが含まれています。
OAAMSecurityHandlerPluginは、高機能なデバイスおよびクライアント・アプリケーション登録ロジック有効化するとともに、OAAMの高度なリスクおよび不正分析ロジックを有効化します。
Defaultは、ごくわずかなリスク分析ロジックを提供します。
次の各項では、セキュリティ・ハンドラ・プラグインの定義方法について説明します。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
ホーム・エリアの「セキュリティ・ハンドラ・プラグイン」パネルで、「作成」をクリックします。
「セキュリティ・ハンドラ・プラグイン」の「構成」ページが表示されます。
セキュリティ・ハンドラ・プラグインの一般プロパティに値を入力します。
セキュリティ・ハンドラ・プラグインの属性に名前と値のペアを入力します。
OaamSecurityHandlerPlugin属性の説明は、第42.9.2.7.3項「OTP電子メール統合のセットアップ」を参照してください。
DefaultSecurityHandlerPluginには、allowJailBrokenDevicesという1つの属性設定があります。これは、ジェイルブレークされたクライアント・デバイスが、保護されているリソースへのアクセスを許可されるか拒否されるかを指定します。アクセスを拒否する(デフォルト設定)場合は、この属性の値をfalseに設定します。アクセスを許可する場合は、この値をtrueに設定します。ジェイルブレークの強制のために、OAAMSecurityHandlerPluginを構成する必要はありません。詳細は、第42.8.1項「新しいジェイルブレーク検出ポリシーの追加」を参照してください。
「作成」をクリックして、セキュリティ・ハンドラ・プラグイン構成オブジェクトを作成します。
セキュリティ・ハンドラ・プラグインを編集または削除するには、パネルでプロバイダを選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。
モバイル・アプリケーションが起動されたときに、そのアプリケーション内のモバイル・クライアントSDKロジックによって、いくつかのデバイス・プロファイル属性の検出が試みられます。いくつかのデバイス・プロファイル属性は、OSタイプ、OSバージョン、言語ロケール設定、ネットワーク設定、地理的な位置などデバイスを一意に識別できない一般的な属性です。一部の属性は、デバイスを一意に識別できるハードウェア識別子になります。ハードウェア識別子の例としてはモバイル・デバイスのMACアドレスがあります。モバイルOSタイプおよびバージョンは、検出可能なある種のデバイス・プロファイル属性を示します。
モバイル・アプリケーションが、モバイル・クライアントSDKを介してトークンを要求すると、SDKロジックによってHTTPリクエストの一部としてデバイス・プロファイル属性が送信されます。このセットのデバイス・プロファイル属性によって、デバイスに対してデバイス識別を支援する監査証跡が作成され、セキュリティが高まります。
OAAMセキュリティ・プラグインを使用する場合、デバイス・プロファイル属性値の特定の組合せは、デバイス・フィンガープリント(OAAM管理コンソールではデジタル・フィンガープリントと呼ぶ)として処理されます。各フィンガープリントには、一意のフィンガープリント番号が割り当てられています。各OAAMセッションはフィンガープリントと関連付けられており、そのフィンガープリントによって、認証およびトークンの取得を実行しているデバイスのログ(および監査)が可能になります。
アプリケーション・プロファイルによって、サービス・プロバイダが提供するサービスを消費するクライアント・アプリケーションが定義されます。1つのアプリケーション・プロファイルを複数のサービス・ドメインに割り当てることができます。詳細な情報は、次の項で参照できます:
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
ホーム・エリアの「アプリケーション・プロファイル」パネルで、「作成」をクリックします。
「アプリケーション・プロファイル」の「構成」ページが表示されます。
アプリケーション・プロファイルの一般プロパティに値を入力します。
Mobile and Socialサーバーが、このアプリケーションに対してサーバー機能(たとえば、クライアント登録ハンドルの作成)を実行するために使用する属性に、名前と値のペアを入力します。
Mobile.clientRegHandle.baseSecretは、このアプリケーションに対して各クライアント登録ハンドルに署名するためのプライベートな秘密としてサーバーによって使用される必須属性です。
userId4BasicAuthは、サーバーとアプリケーションがHTTP Basic認証を実行するために使用するユーザーID属性です。詳細は、第41.4.1項「モバイル・クライアント登録エンドポイントの保護」を参照してください。
sharedSecret4BasicAuthは、サーバーとアプリケーションがHTTP Basic認証を実行するために使用する共有シークレット属性です。
モバイル・アプリケーション・プロファイルのプロパティを定義します。
ジェイルブレーク検出 - 「有効」ボックスを選択してこのアプリケーションに対してジェイルブレーク検出をアクティブにするか、そのボックスの選択を解除してそれを無効化にします。ジェイルブレーク検出がグレー表示されている場合、ジェイルブレーク検出ポリシーはMobile and Socialで無効化されています。詳細は、第42.8項「ジェイルブレーク検出ポリシーの使用」を参照してください。
モバイル構成 - 「アプリケーション・プロファイル構成」ページで追加のモバイル構成設定を公開する場合は、このオプションを選択します。
「作成」をクリックして、アプリケーション・プロファイル構成オブジェクトを作成します。
アプリケーション・プロファイルの作成後にのみ構成できる属性については、第42.6.2項「アプリケーション・プロファイルの編集または削除」を参照してください。
アプリケーション・プロファイルを編集または削除するには、パネルで定義を選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。この項では、アプリケーション・プロファイルの追加のプロパティについて説明します。これらのプロパティは、以前に管理者が作成したユーザー・プロファイル・サービス・プロバイダを編集するときに表示されます。
構成設定
プロファイル・キャッシュ継続時間 - モバイル・デバイス上にキャッシュされたアプリケーション・プロファイルの詳細が有効になっている最長時間。モバイル・クライアント・アプリケーションがアプリケーション・プロファイルを要求したときにその時間を過ぎていた場合、キャッシュされていたプロファイルは、新たにダウンロードされたバージョンで置き換えられます。その時間を過ぎていない場合は、キャッシュされているプロファイルが使用されます。
認証再試行回数 - 登録または認証中に無効な資格証明が提供された場合に、ユーザーに許可される再試行の最大回数。この設定は、iOSモバイルSDKでは使用されません。
オフライン認証 - アプリケーションにローカルにログインして認証を受けることをユーザーに許可するには、「許可」ボックスを選択します。ローカルに認証を受けることをユーザーに禁止するにはこのボックスの選択を解除します。
要求属性 - 登録または認証中にデバイスからフェッチされ、サーバーに渡される属性のセット。
ソーシャル・アイデンティティWebView - 埋込みWebViewクラスを使用してアプリケーション内でMobile and Socialログイン・ページをユーザーに表示する場合は「埋込み」を選択し、ログイン・ページを外部ブラウザに表示する場合は、「外部」を選択します。
プラットフォーム固有の設定
URLスキーム - アプリケーション自体で構成されているとおりに、このモバイル・クライアント・アプリケーションを起動するために使用されるURLスキームを入力します。
Apple iOSバンドルID - モバイル・クライアント・アプリケーションで構成されている一意のバンドルIDを入力します。各iOSモバイル・アプリケーションには、一意のバンドルIDがあります。
Androidパッケージ - Androidアプリケーションのアクティビティの完全修飾名を入力します。このアクティビティの<intent-filter>には、<data android:scheme="xyz" />が含まれている必要があります。
|
注意: scheme (xyz)はURLスキームと同じである必要があります。 |
<data>要素の詳細は、次のWebページを参照してください。
http://developer.android.com/guide/topics/manifest/data-element.html
Androidアプリケーションの署名 - Androidアプリケーションの署名を入力します。アプリケーションの署名に使用された証明書から署名を取得できます。Linuxでは、次のコマンドを使用して署名を取得できます。
keytool -exportcert -alias <alias_name> -keystore <keystore_name> -storepass <keystore_password> | xxd -c 256 -ps
|
注意: 前述のコマンドを使用して取得された署名には、256文字の後に改行が含まれます。このフィールドに署名を入力する前に削除してください。 |
プログラムによって署名を取得することもできます。詳細は、『Oracle Access Management開発者ガイド』のモバイル・シングル・サインオン・エージェント・アプリケーションの起動に関する項を参照してください。
カスタム設定/モバイル・カスタム属性 - モバイル・クライアント・アプリケーションに固有の属性またはプロパティを構成します。モバイル・カスタム属性は、アプリケーション・プロファイルの一部としてサーバーからモバイル・アプリケーションに返されます。
サービス・ドメインを作成すると、サービス・プロファイルを、アプリケーション・プロファイルとそれに対応する構成設定に関連付けできます。「サービス・ドメインの作成」ページを表示して、次の操作を実行します。
サービス・ドメインがモバイル・アプリケーションまたはデスクトップ・アプリケーションを管理する場合に選択します。
サービス・ドメインの認証スキームおよびセキュリティ・ハンドラ・プラグイン(オプション)を選択します。
サービス・ドメインに1つ以上のモバイルSSOエージェントを追加し、他のエージェントより優先されるエージェントを構成します。
1つ以上のアプリケーションをサービス・ドメインに追加して、どのアプリケーションにモバイルSSOエージェントの使用を許可するかを構成します。
サービス・ドメインに対して少なくとも1つのサービス・プロファイルを選択します。
サービス・ドメインの選択したサービスを保護するセキュリティ設定を構成します。
詳細な情報は、次の項で参照できます:
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
ホーム・エリアの「サービス・ドメイン」パネルで、「作成」をクリックします。
「サービス・ドメインの作成」の「構成」ページが表示されます。
サービス・ドメインの一般プロパティに値を入力します。
表42-16 サービス・ドメインの一般プロパティ
| 名前 | 注意 |
|---|---|
|
名前 |
このサービス・ドメインの一意の名前を入力します。 |
|
説明 |
(オプション)自分または別の管理者が将来このサービスを識別する際に役立つ簡単な説明を入力します。 |
|
タイプ |
「モバイル・アプリケーション」または「デスクトップ・アプリケーション」を選択します。モバイル・アプリケーションは、AndroidまたはiOSモバイル・オペレーティング・システムなどモバイル・オペレーティング・システム上で実行されるアプリケーションです。デスクトップ・アプリケーションは、非モバイル・オペレーティング・システム上で実行されるアプリケーションです。 |
|
アプリケーション登録用資格証明 |
モバイル・サービス・ドメインを構成している場合は、アプリケーションの登録に最小限必要な資格証明レベルを選択します。「ユーザー・パスワード」を選択すると、そのデバイスにモバイル・シングル・サインオン・エージェントがインストールされている場合でもアプリケーションが登録されるたびにユーザーにユーザー名とパスワードの入力が要求されるようになります。「ユーザー・トークン」を選択すると、サーバーからモバイルSSOエージェントにユーザー名とパスワードを提供するように要求されます。そのデバイスでの後続のアプリケーション登録では、その目的でモバイルSSOエージェントに発行されたユーザー・トークンが使用されるようになります。ユーザー・パスワードによって、アプリケーション登録プロセスを保護する追加のセキュリティが提供されます。ユーザー・トークンによって、アプリケーション登録プロセスがユーザーにとって便利になります。 |
|
認証スキーム |
モバイル・サービス・ドメインを構成している場合は、「モバイル・サービス認証」またはソーシャル・アイデンティティ認証を選択します。「モバイル・サービス認証」を選択すると、ユーザーはユーザー名とパスワードをの入力をクライアントから要求されるようになります。ソーシャル・アイデンティティ認証を選択した場合、クライアントはMobile and Socialサーバーにリダイレクトされ、ユーザーはソーシャル・アイデンティティを使用して、たとえばGoogleやFacebookなどのアイデンティティ・プロバイダで認証を受けます。この選択により、「サービス・プロファイル選択」構成画面でどの認証サービス・プロファイルを選択できるかが決まります。 |
|
セキュリティ・ハンドラ・プラグイン名 |
セキュリティ・ハンドラ・プラグイン名 - モバイル・サービス・ドメインを構成している場合、使用するセキュリティ・ハンドラ・プラグインを選択します。使用可能なセキュリティ・ハンドラ・プラグインの詳細は、第42.2.3項「セキュリティ・ハンドラ・プラグインの理解」を参照してください。 |
次のオプションのいずれかまたはすべてを使用して、アプリケーション・プロファイルを追加または選択します。
モバイル・ドメインを構成している場合は、選択できるのはモバイル・アプリケーションのみです。同様に、非モバイル・ドメインを構成している場合、選択できるのはデスクトップ・アプリケーションのみです。
(「アプリケーション・プロファイル選択」の)「アプリケーション・プロファイルの参照」をクリックすると、「検索」ウィンドウが開きます。このウィンドウでは、サービス・ドメインに追加する1つ以上の事前構成済アプリケーション・プロファイルを検索できます。追加するプロファイルを選択し、「選択」をクリックします。
あるいは、アプリケーション・プロファイルの正確な名前がわかっている場合は、「追加」をクリックして、その名前を表に直接入力します。
表42-17 アプリケーション・プロファイル選択のプロパティ
| 名前 | 注意 |
|---|---|
|
アプリケーション・プロファイル名 |
Mobile and Socialに対するクライアント・アプリケーションを一意に識別する名前です。 |
|
モバイル・シングル・サインオン(SSO)構成 |
モバイル・サービス・ドメインを構成している場合は、各アプリケーションがモバイル・シングル・サインオンにSSOエージェントとして参加するのか、SSOクライアントとして参加するのか、それとも参加しない(「なし」)のかを選択します。
|
|
エージェント優先度 |
モバイルSSOエージェントとして構成されているアプリケーションの数値ランキングを表示します。デバイスに複数のエージェント・アプリケーションがインストールされている場合、高い優先度(最も小さい数値ランク)を持つエージェント・アプリケーションが、他のすべてのエージェント・アプリケーションのエージェント・アプリケーションとして機能します。デバイスからそのエージェントが削除されると、次に高いランキングを持つエージェントがアクティブ・エージェントになります。優先度を基準にしてエージェントを並べ替えるには、「上に移動」および「下に移動」をクリックします。 |
|
説明 |
(オプション)自分または別の管理者が将来このサービスを識別する際に役立つ簡単な説明を入力します。 |
「次へ」をクリックして、サービス・プロファイルを選択します。
「サービス・プロファイル」ページが表示されます。
次のオプションのどちらかまたは両方を使用して、少なくとも1つのサービス・プロファイルをサービス・ドメインに追加します。
モバイル・サービス・ドメインの場合、認証、認可、およびユーザー・プロファイル・サービスのサービス・プロバイダごとに1つのサービス・プロファイルを追加できます。非モバイル・サービス・ドメインの場合、認証、認可、およびユーザー・プロファイル・サービスのサービス・プロバイダごとに複数のサービス・プロファイルを追加できます。
「選択」をクリックして、「検索」ウィンドウを開きます。このウィンドウでは、以前に構成したサービス・プロファイルを検索できます。モバイル・ドメインを構成している場合は、選択できるのはモバイルと互換性のある認証サービス・プロファイルのみです。同様に、非モバイル・ドメインを構成している場合、選択できるのはデスクトップと互換性のある認証サービス・プロファイルのみです。割り当てるプロファイルを選択し、「選択」をクリックします。サービス・プロファイルの正確な名前がわかっている場合は、「追加」をクリックして、その名前を表に直接入力します。
「作成」をクリックして、新しいサービス・プロファイルを作成します。
表42-18 サービス・プロファイル選択のプロパティ
| 名前 | 注意 |
|---|---|
|
認証サービス |
(オプション)このサービス・ドメインおよび対応するサービス・エンドポイントに対して構成済の認可サービス・プロファイルの名前を表示します。新しいサービス・プロファイルを作成している場合は、第42.4.1項「認証サービス・プロファイルの定義、変更および削除」を参照してください。 |
|
認可サービス |
(オプション)このサービス・ドメインおよび対応するサービス・エンドポイントに対して構成済の認可サービス・プロファイルの名前を表示します。新しいサービス・プロファイルを作成している場合は、第42.4.2項「認可サービス・プロファイルの定義、変更および削除」を参照してください。 |
|
ユーザー・プロファイル・サービス |
(オプション)このサービス・ドメインおよび対応するサービス・エンドポイントに対して構成済のユーザー・プロファイル・サービス・プロファイルの名前を表示します。新しいサービス・プロファイルを作成している場合は、第42.4.3項「ユーザー・プロファイル・サービス・プロファイルの定義、変更および削除」を参照してください。 |
「次へ」をクリックして、サービス保護(認証)を構成します。
「サービス保護」ページが表示されます。
次のいずれかのオプションを使用して、サービス・プロファイルの認証を構成します。
このサービス・ドメインに対してユーザー・プロファイル・サービスを選択していた場合は、セキュリティ設定を構成して、そのサービスを保護します。
表42-19 ユーザー・プロファイル・サービス保護のプロパティ
| 名前 | 注意 |
|---|---|
|
認証 |
このメニューから、このサービス・ドメインに対して構成されていて、このユーザー・プロファイル・サービスを保護するために使用する認証サービス・プロファイルを選択します。 |
|
セキュア・アプリケーション |
クライアント・アプリケーションの認証に、クライアント・リソース・ハンドルまたはクライアント・トークンの提示を要求する場合に選択します。 |
|
セキュア・ユーザー |
ユーザー・トークンまたはアクセス・トークン(アクセス・トークンが、ユーザー・トークンを使用して事前に取得されている場合)を提示することで、ユーザーの認証を要求する場合に選択します。 |
|
読取りの許可 |
ユーザー・プロファイル・データの表示をユーザーに許可する場合に選択します。 |
|
書込みの許可 |
ユーザー・プロファイル・データの更新をユーザーに許可する場合に選択します。 |
このサービス・ドメインに対して認可サービスを選択していた場合は、セキュリティ設定を構成して、そのサービスを保護します。
「次へ」をクリックして、選択内容を確認します。
「終了」をクリックして、サービス・ドメインを作成します。
サービス・ドメインを編集または削除するには、パネルで定義を選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。
ジェイルブレークとは、製造業者がデバイスに適用している制限を解除または迂回するプロセスです。ジェイルブレークは、合法ですが、保護されているリソースに対するセキュリティ・リスクを高める可能性があります。このリスクに対処するために、Mobile and Socialでは、iOSデバイス用の事前構成済ジェイルブレーク検出ポリシーが提供されます。
ジェイルブレーク検出ポリシーは、Mobile and Social SDK for iOSを使用して作成したクライアント・アプリケーションに、デバイスがジェイルブレークされていることを示す可能性があるファイルの検索を指示する1つ以上の文で構成されています。Mobile and Socialサーバーは、このポリシー文をiOSクライアント・アプリケーションに送信します。クライアント・デバイスは、true値(ジェイルブレークが検出された場合)またはfalse値をMobile and Socialサーバーに送り返します。この値は、セキュリティ・ハンドラ・プラグインに転送され、使用しているセキュリティ・ハンドラ・プラグインのセキュリティ・ポリシーに応じて、Mobile and Socialはアクセスを許可、アクセスを拒否、またはアプリケーションからMobile and Social固有のデータをすべて消去できます。
デフォルトのセキュリティ・ハンドラ・プラグインがアクティブ状態のときに、ポリシー・ロジックによりデバイスがジェイルブレークされていると判断されると、このプラグインでクライアント・デバイスのアクセスをallowJailBrokenDevicesプラグイン属性の設定内容に応じて許可または拒否できます。
Oaamセキュリティ・ハンドラ・プラグインがアクティブ状態のときに、ポリシー・ロジックによりデバイスがジェイルブレークされていると判断されると、このプラグインでクライアント・デバイスのアクセスをOAAMポリシーのルールの構成内容に応じて許可またはブロックできます。(「OAAM認証後セキュリティ」ポリシーの下での「ジェイルブレークされたモバイル・デバイス」ルールなど、ポリシー・ルールの詳細は、Oracle Adaptive Access Manager管理者ガイドを参照してください)
さらに、デバイスがブラックリストに記載されているか、紛失または盗まれたものである場合は、このプラグインは、そのデバイスからMobile and Social固有のデータをすべて削除するWIPEOUTコマンドを送信し、今後のリクエストではそのデバイスをブロックできます。ユーザーが紛失デバイスを回収したときには、OAAMでデバイスをリセットできます。
詳細は、第42.5項「セキュリティ・ハンドラ・プラグインの定義」を参照してください。
|
注意: OAAMのブロックとMobile and Socialの拒否は同じことを意味します。 |
次の各項では、詳細を説明します。
XMLを使用して新しいジェイルブレーク検出ポリシーを作成する場合は、「ロード」ボタンをクリックしてデフォルトのポリシーを完全に上書きします。スキーマ・ファイルはカスタマ・サポートから入手できます。
次の手順を実行すると、Oracle Access Managementコンソールで新しいジェイルブレーク検出ポリシーを作成できます。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
ナビゲーション・ペインで「ジェイルブレーク検出ポリシー」をクリックします。
「ジェイルブレーク検出ポリシー」ページが表示されます。
「追加」をクリックして、新しいジェイルブレーク検出ポリシーの「条件および検出ロジック」のプロパティを構成します。
ジェイルブレーク検出 - 「有効」を選択してジェイルブレーク検出ポリシーをオンにするか、このオプションの選択を解除してすべてのクライアント・アプリケーション・インスタンスに対してこの機能をオフにします。ここでジェイルブレーク検出ポリシーを有効化しても、このポリシーはアプリケーションごとに無効化できます。ここでこのポリシーを無効化すると、この機能をアプリケーションごとに有効化したり無効化したりできなくなります。
最低OSバージョン - ポリシーが適用されるiOSの最低バージョン。この値が1.0である場合、ポリシーは、少なくともバージョン1.0のiOSを実行しているiOSデバイスに適用されます。
最高OSバージョン - ポリシーが適用されるiOSの最高バージョン。値が空の場合、最高iOSバージョン番号が確認されず、ポリシーは、「最低OSバージョン」で指定した値よりも上位のすべてのiOSバージョンに適用されます。
最低クライアントSDKバージョン - Mobile and SocialクライアントSDKの最低バージョン番号。たとえば、11.1.2.0.0などです。
最高クライアントSDKバージョン - Mobile and SocialクライアントSDKの最高バージョン番号。11.1.2.2.0などです。
ポリシー有効期間 - iOSクライアント・デバイス上のSDKが、ポリシーのローカル・コピーの期限が切れて新しいバージョンを取得するまで待機する時間の長さを秒単位で入力します。
自動チェック期間 - iOSクライアント・デバイスが、既存のジェイルブレーク検出ポリシー文を再び実行するまで待機する時間の間隔を分単位で入力します。
検出ロケーション - iOSクライアント・デバイスが、論理OR演算子を使用してポリシー文を評価します。次のように、検出ロケーションを追加します。
ファイル・パス - 検出ポリシーによって検索されるデバイス上のファイルまたはディレクトリの絶対パスを入力します。
アクション - 「存在」を選択します。それにより、それがファイル・パスにアクセスできるかどうかを評価するように検出ポリシーに指示します。
成功 - 指定したファイルまたはディレクトリがデバイス上に見つかったときに、ポリシーによってジェイルブレーク済としてそのデバイスにフラグを設定する場合に選択します。ポリシーが、認可されていないファイルまたはディレクトリについて確認している場合は、このオプションを使用します。指定したファイルまたはディレクトリが見つからないときに、ポリシーによってジェイルブレーク済としてそのデバイスにフラグを設定する場合は、このオプションの選択を解除します。(必須のファイルまたはディレクトリについて確認している場合は、このオプションを使用します。)
多くの場合、「ジェイルブレーク検出ポリシー構成」ページの「ポリシー文」エディタを使用して、ジェイルブレーク検出ポリシーを変更できます。
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
ナビゲーション・ペインで「ジェイルブレーク検出ポリシー」をクリックして、次のいずれかのオプションを選択します。
ジェイルブレーク検出ポリシーに変更を追加するには、ツールバーの「ロード」をクリックし、追加するジェイルブレーク検出ポリシー文を含むXMLファイルを参照し、「既存のポリシー文の後に追加」を選択し、「OK」をクリックします。スキーマ・ファイルはカスタマ・サポートから入手できます。
ジェイルブレーク検出ポリシーを上書きするには、ツールバーの「ロード」をクリックし、ロードするジェイルブレーク検出ポリシー文を含むXMLファイルを参照し、「既存のポリシー文を上書き」を選択し、「OK」をクリックします。スキーマ・ファイルはカスタマ・サポートから入手できます。
ジェイルブレーク検出ポリシーを編集するには、そのポリシーを「ポリシー文」表から選択することでプロパティを表示して、変更を加えてから(第42.8.1項「新しいジェイルブレーク検出ポリシーの追加」を参照)、「適用」をクリックします。
次の各項では、その他のOracle製品でMobile and Socialを構成する方法について説明します。
次の各項では、各バージョンのAccess Managerと連動するようにMobile and Socialを構成する方法について説明します。
|
注意: Oracle Fusion Middleware構成ウィザードは、インストール時に、Mobile and SocialとAccess Managerの両方をサポートするドメインを生成します。詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドの「Mobile and Socialの構成」の章を参照してください。 |
Access Managerが簡易モードに構成されている場合、Access Managerと連動するようにモバイル・サービスを構成するには、次の手順を使用します。
サーバー・モードを「簡易」に変更
Oracle Access Management管理コンソールを開きます。
「起動パッド」が開きます。
「構成」パネルをスクロール・ダウンし、「サーバー・インスタンス」をクリックします。「検索」をクリックし、「検索結果」で「oam_server1」をクリックします。
「開く」ボタンをクリックします。
「OAMプロキシ」セクションで、「モード」メニューから「簡易」を選択し、「適用」をクリックします。
WebGateの通信モードを「簡易」に変更
Oracle Access Management管理コンソールをWebGate用に開きます。
「起動パッド」が開きます。
「Access Manager」パネルで、「SSOエージェント」→「OAMエージェント」をクリックし、「検索」をクリックします。
「Webゲート」を選択して、これを開いて編集します。
WebGateのセキュリティ・モードを「簡易」に変更してから、「適用」をクリックします。
~/oam-domain/output/accessgate-oicに、次のファイルとWebGateの新しいディレクトリが作成されます。
aaa_cert.pem
aaa_key.pem
cwallet.sso
ObAccessClient.xml
password.xml
OIC OAMASDKAuthNProviderのセキュリティ・モードを「簡易」に変更
.jksファイルを~/oam-domain/output/webgate-sslディレクトリから~/oam-domain/config/fmwconfigディレクトリにコピーします。
~/oam-domain/output/accessgate-oicに移動し、password.xmlを開きます。
そのファイルからpasswd値をコピーします。
Oracle Access Management管理コンソールを開きます。
「起動パッド」が開きます。
「Mobile and Social」パネルに移動して、「モバイル・サービス」→「サービス・プロバイダ」→「認証サービス・プロバイダ」→「OAMAuthentication」をクリックします。
次の名前と値のペアを「属性」表に追加します。
| 名前 | 値 |
|---|---|
PASSPHRASE |
手順2からのpasswd値。 |
KEYSTORE |
<完全修飾パス>/oam-domain/config/fmwconfig/oamclient-keystore.jks |
TRUSTSTORE |
<完全修飾パス>/oam-domain/config/fmwconfig/oamclient-truststore.jks |
「属性」表で、TRANSPORT_SECURITYを見つけ、その値をOPENからSIMPLEまたはCERTに変更し、「保存」をクリックします。
Oracle Access Managementサーバーを再起動します。
次の手順は、Oracle Access Manager 10gサーバーのリモート・インスタンスと連動するように認証サービス・プロバイダを構成する方法を示しています。
10gコンソールにログインして、WGプロファイルを作成します。
OAM 10gアクセス管理サービスは、オンにする必要があります。
Mobile and Socialコンソールで、「モバイル・サービス」、「サービス・プロバイダ」、「認証サービス・プロバイダ」の順にナビゲートします。
「新規」をクリックして、新しい認証サービス・プロバイダ構成を作成します。
パラメータに適切な値を入力します。
OAM_VERSIONは、OAM_11GからOAM_10Gに変更します。
WEBGATE_IDは、前の手順でWGプロファイルの作成に使用した名前に変更します。
OAM_SERVER_1は、OAM 10Gサーバーをホストするマシンのホスト名:ポート番号に変更します。
名前付きの新しいパラメータを追加して、任意の保護されたリソースのURL(たとえば、http://server1.example.com/index.html)を移入します。
認証サービス・プロバイダ構成を保存します。
Mobile and Socialコンソールで、「モバイル・サービス」、「サービス・プロファイル」、「認証サービス」、「OAMAuthentication」の順にナビゲートします。
「サービス・プロバイダ」ドロップダウン・メニューから、前の手順で作成した認証サービス・プロバイダ(たとえば、10GOAMAuthentication)を選択します。
「クライアント・トークン」チェック・ボックスを選択します。
「アクセス・トークン」チェック・ボックスを選択解除します。
OAMAuthentication構成を保存します。
Mobile and SocialがOracle Access Manager 10gサーバーのリモート・インスタンスと連動するように構成されている場合は、さらに次のいずれかを実行する必要があります。
Oracle Access ManagerのUserStore内のユーザー・レコードに対するディレクトリDNエントリに、uid属性を定義します。
Mobile and Socialでディレクトリ・ユーザー・エントリの識別に使用できる、一意のディレクトリ・ユーザー・エントリ属性を定義します。
|
注意: Mobile and Socialは、一意のディレクトリ・ユーザー属性名をOracle Access Managerリリース11gから動的に取得できますが、10gリリース以前ではMobile and Socialの構成時に使用する属性を指定する必要があります。この属性が設定されていないと、Mobile and Socialでのクライアント・トークンの検証は失敗します。 |
次の手順は、CNに値を設定する方法を示しています。ディレクトリ・サーバーで構成したように、一意のユーザー・エントリに値を設定します。uidまたはloginidを選択することも可能です。手順を開始する前に、UserStoreに対するOracle Access ManagerのDNに、アプリケーション・プロファイルprofileid1のuid属性が含まれていないことと、DNが次のようになっていることを確認します。
"CN=profileid1 profileid1, OU=Test, ..."
両方の条件を満たしていることを確認してから、次の手順を完了します。
Mobile and Socialで、profileid1の「アプリケーション・プロファイル構成」ページを開きます(第42.6項「アプリケーション・プロファイルの定義」を参照)。
「属性」セクションで、次の名前と値のペアを追加し、「適用」をクリックします。
名前: userPrincipalAttrValue
値: CN
Oracle Access Manager 10g認証サービス・プロバイダの「サービス・プロバイダの構成」ページを開きます(第42.3.1項「認証サービス・プロバイダの定義、変更または削除」を参照)。
「属性」セクションで、次の名前と値のペアを追加し、「適用」をクリックします。
名前: userPrincipalAttrName
値: CN
次の手順は、リリース11gR2および11gR1 PS1と連動するように認証サービス・プロバイダを構成する方法を示しています。11gR1 PS1リリースのコンソールについての相違点は、11gR2の各手順内で説明しています。
Oracle Access Managementコンソールにログインして、Mobile and Social用のWebGate(OAMエージェント)を登録します。
次のオプションを有効にしていることを確認します。
管理操作の許可
トークン・スコープ操作の許可
マスター・トークン取得の許可
資格証明コレクタ操作の許可
|
注意: OAM 11.1.1.nリリースのコンソールを使用している場合は、「管理操作の許可」を有効にします。 |
Mobile and Socialコンソールで、「モバイル・サービス」、「サービス・プロバイダ」、「認証サービス・プロバイダ」の順にナビゲートします。
「新規」をクリックして、新しい認証サービス・プロバイダ構成を作成します。
OAM 11.1.2リリースのコンソールを使用している場合は、次の値を入力します。
OAM_VERSIONのデフォルト値は、OAM_11Gのまま維持します。
WEBGATE_IDは、前の手順でWGプロファイルの作成に使用した名前に変更します。
OAM_SERVER_1は、OAM 11Gサーバーをホストしているマシンのホスト名:ポート番号に変更します。
|
注意: OAM 11.1.1.nリリースのコンソールを使用している場合:
|
認証サービス・プロバイダ構成を保存します。
Mobile and Socialコンソールで、「モバイル・サービス」、「サービス・プロファイル」、「認証サービス」、「OAMAuthentication」の順にナビゲートします。
「サービス・プロバイダ」ドロップダウン・メニューから、前の手順で作成した認証サービス・プロバイダ(たとえば、10GOAMAuthentication)を選択します。
「クライアント・トークン」チェック・ボックスを選択します。
OAM 11g R1 PS1を使用している場合にのみ、「アクセス・トークン」チェック・ボックスを選択解除します。
OAMAuthentication構成を保存します。
CSFウォレット・ファイルをマージします。
OAM 11Gは、管理者がMobile and Social用のWGプロファイルを作成したときに、cwallet.ssoファイルを生成します。このWGプロファイルと通信するために、管理者は、cwallet.ssoのsecret値をMobile and Socialウォレットにマージする必要があります。
|
注意: 次のコマンドを使用して、マージの前と後のウォレットを表示し、マージが正常に完了しているかどうかを確認してください。
|
cwallet.ssoを、OAM (~/domain-home/output)から、Mobile and Socialをホストするマシンのディレクトリ/tmp/oamにコピーします。
Mobile and Socialをホストするマシンのディレクトリ(~/config/fmwconfig)から、Mobile and Socialをホストするマシンのディレクトリ/tmp/oicにcwallet.ssoをコピーします。
Mobile and Socialをホストするマシンのディレクトリ/tmpにmerge-creds.xmlをダウンロードします。
例42-1は、サンプルのmerge-creds.xmlファイルです。
例42-1 サンプルのmerge-creds.xml
<?xml version="1.0" encoding="UTF-8" standalone='yes'?> <jpsConfig xmlns="http://xmlns.oracle.com/oracleas/schema/11/jps-config-11_1.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation= "http://xmlns.oracle.com/oracleas/schema/11/jps-config-11_1.xsd" schema-major-version="11" schema-minor-version="1"> <serviceProviders> <serviceProvider class="oracle.security.jps.internal.credstore.ssp.SspCredentialStoreProvider" name="credstoressp" type="CREDENTIAL_STORE"> <description>File-based credential provider</description> </serviceProvider> </serviceProviders> <serviceInstances> <!-- Source file-based credential store instance --> <serviceInstance location="/tmp/oam" provider="credstoressp" name="credential.file.source"> </serviceInstance> <!-- Destination file-based credential store instance --> <serviceInstance location="/tmp/oic" provider="credstoressp" name="credential.file.destination"> </serviceInstance> </serviceInstances> <jpsContexts> <jpsContext name="FileSourceContext"> <serviceInstanceRef ref="credential.file.source"/> </jpsContext> <jpsContext name="FileDestinationContext"> <serviceInstanceRef ref="credential.file.destination"/> </jpsContext> </jpsContexts> </jpsConfig>
PATH変数を設定して、~/oracle_common/bin:~/oracle_common/common/bin:~を含めます。
コマンド行からwlst.shを実行して、WebLogic Scripting Toolを初期化します。
WLSTコマンドのmigrateSecurityStoreを実行します。
次に、WLSTコマンドの構文例を示します。
$ wlst.sh
wls:/offline> connect("weblogic", "weblogic-passwd", "localhost:<port>")
wls:/WLS_IDM/serverConfig>
migrateSecurityStore(type="credStore",configFile="/tmp/merge-creds.xml",
src="FileSourceContext",dst="FileDestinationContext")
Mobile and Socialサーバーを再起動します。
Oracle Adaptive Access Manager (OAAM)のデバイス登録機能を使用するようにサービス・ドメインを構成するには、サービス・ドメイン構成ページを開き、「セキュリティ・ハンドラ・プラグイン名」リストから「OAAMSecurityHandlerPlugin」オプションを選択します。第42.7.1項「サービス・ドメインの作成」を参照してください。
|
注意: Oracle Fusion Middleware構成ウィザードでは、インストール時に、Mobile and SocialとOracle Adaptive Access Managerの両方をサポートするドメインを生成できます。Mobile and Socialには、少なくともOracle Adaptive Access Managerバージョン11gリリース2が必要です。詳細は、Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドの「Mobile and Socialの構成」の章を参照してください。 |
次の各項では、Mobile and SocialとOAAMとの統合を完了するために必要なポリシー、条件、ルールおよびアクションの構成方法について説明します。
|
注意: OAAMルールおよびポリシーの順序の設定の詳細は、Oracle Adaptive Access Manager管理者ガイドを参照してください。 |
Mobile and Socialは、表42-21に(OAAMチェックポイント別に)示すOAAMポリシーをサポートします。
表42-21 Mobile and SocialでサポートされるOAAMポリシー
| チェックポイント | サポートされているポリシー |
|---|---|
|
認証後 |
OAAM認証後セキュリティ OAAMユーザー対自分自身 OAAMユーザー対すべてのユーザー OAAMではユーザーがプロファイルを持ちます OAAM予測分析ポリシー |
|
チャレンジ |
OAAMチャレンジ・ポリシー |
|
デバイスID |
OAAMデバイスIDポリシー OAAMシステム詳細分析Flashありポリシー OAAMシステム詳細分析Flashなしポリシー |
Mobile and SocialとOAAMでは、類似した用語を使用して、認証および認可イベントに応じて実行できるセキュリティ・アクションを記述しています。表42-22は、Mobile and Social用語とOAAM用語の対応表です。
表42-22 OAAMとMobile and Socialの用語の対応
| OAAMのアクション・グループ | Mobile and Socialのアクション |
|---|---|
|
OAAM許可 |
ALLOW |
|
OAAMブロック |
DENIED |
|
OAAMチャレンジ |
CHALLENGE |
|
OAAMブラック・リストに記載されたモバイル・デバイス |
WIPE_OUT |
|
OAAM紛失デバイス |
WIPE_OUT |
OAAMポリシー、ルールおよびチェックポイントの詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』を参照してください。
OAAMポリシーおよびルールをカスタマイズするには、Oracle Adaptive Access Manager管理者のコンソールを使用します。
OAAMポリシーを構成する前に、この項の手順を完了します。
WebLogic管理ドメインのOracle WebLogic管理コンソールにログインします。
ページの左側にある「ドメイン構造」タブで、「セキュリティ・レルム」を選択します。
「セキュリティ・レルムのサマリー」ページで、構成するレルム(たとえば、myrealm)を選択します。
「新規」をクリックし、名前(たとえば、user1)、説明(オプション)、プロバイダ(DefaultAuthenticatorと入力)、パスワードおよびパスワードの確認の必要な情報を入力して、セキュリティ・レルムにユーザーを作成します。
クリックして、新しく作成したユーザーを選択します。
「グループ」タブをクリックします。
そのユーザーに、OAAM接頭辞が付いたすべてのグループを割り当てます。
「保存」をクリックします。
WebLogic管理ドメインのOracle WebLogic管理コンソールにログインします。
ページの左側にある「ドメイン構造」タブで、「サービス」を選択します。
「サービスのサマリー」ページで、「データ・ソース」を選択します。
「データ・ソース」表でOAAM_SERVER_DSを開きます。
「ターゲット」タブをクリックします。
oam_server1を選択します。
「保存」をクリックします。
ソーシャル・アイデンティティからの認証結果を受け入れるようにモバイル・サービスを構成する場合、次の手順を実行して、ユーザーが認証する際にMobile and Socialと連動するようにOAAMを構成します。
OAAM管理コンソールにログインします。
「ポリシー」をクリックして、OAAM Mobile and Social統合の認証後のセキュリティ・ポリシーを検索します。
ポリシーで次のルールを検索します。モバイル・デバイスが登録されていません.
次の条件を追加します。
「セッション: カンマ区切り値内にある値の確認」での検索
次を追加します。
パラメータ・キー = oic.userIdType
確認する値 = URI
リストにある場合の戻り値: false
紛失デバイスを「OAAM紛失または盗難デバイス」グループに追加できるように、ユーザーはサポート部門に紛失または盗難デバイスを報告する必要があります。このようにすると、紛失デバイスから認証が試行されたときに、OAAMからMobile and SocialにDENYアクションまたはWIPE_OUTアクションを送信できるようになります。これにより、Mobile and Socialサーバーに関連するそのアプリケーションのデータが消去されます。ユーザーが紛失デバイスを回収したときには、OAAMでデバイスをリセットできます。次の手順では、「OAAM紛失または盗難デバイス」デバイス・グループにデバイスIDを追加することで、紛失中として報告された各デバイスに対する、紛失または盗難デバイス・ルールを作成する方法について説明します。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで「セッション」をダブルクリックします。
セッション検索ページが表示されます。
「ユーザー名」、「クライアント・アプリケーション」の名前、「デバイスID」などで検索して、紛失または盗難デバイスを見つけます。
「検索結果」表でセッションIDをクリックします。
「セッション詳細」ページが開きます。
「グループに追加」をクリックします。
「グループに追加」ポップアップ・ウィンドウが開きます。
「追加するデータ型の選択」セクションで、「デバイス」を選択し、「次」をクリックします。
「OAAM紛失または盗難デバイス」グループを選択し、「次」をクリックします。
選択した内容を確認し、「終了」をクリックします。
「OK」をクリックします。
紛失デバイスのポリシーおよびグループの管理の詳細は、Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイドを参照してください。
ルールを構成することで、特定のデバイスやアプリケーションへのアクセスをブロックできます。次の各項では、詳細を説明します。
アクセスをブロックするデバイスごとに、ブラックリストに記載されたデバイスのルールを作成します。次の手順では、「OAAMブラック・リストに記載されたモバイル・デバイス」グループにデバイスIDを追加することで、ブラックリストに記載されたデバイス・ルールを作成する方法について説明します。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで「セッション」をダブルクリックします。
セッション検索ページが表示されます。
その検索ページを使用して、ブロックするデバイスを検索します。たとえば、「ユーザー名」、「クライアント・アプリケーション」名、「デバイスID」などで検索します。
「検索結果」表でセッションIDをクリックします。
「セッション詳細」ページが開きます。
「グループに追加」をクリックします。
「グループに追加」ポップアップ・ウィンドウが開きます。
「追加するデータ型の選択」セクションで、「デバイス」を選択し、「次」をクリックします。
「OAAMブラック・リストに記載されたモバイル・デバイス」グループを選択し、「次」をクリックします。
選択した内容を確認し、「終了」をクリックします。
「OK」をクリックします。
ブラックリストに記載されたアプリケーション・ルールを追加するタスクは、次の手順に分けられます。次の手順を(記載順に)実行して、「OAAMブラック・リストに記載されたモバイル・デバイス」グループにアプリケーションを追加します。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「グループ」をダブルクリックします。
グループ検索ページが表示されます。
「新規グループ」をクリックします。
「グループの作成」ポップアップ・ウィンドウが開きます。
次のようにフォームに入力して「作成」をクリックします。
グループ名 - OAAM Blacklisted mobile application usedと入力します。(これが、ブラックリストに記載するモバイル・アプリケーションの名前です。)
グループ・タイプ - メニューから「Alerts」を選択します。
キャッシュ・ポリシー - メニューから「フル・キャッシュ」を選択します。
説明 - Session coming from a blacklisted mobile applicationと入力します。
「アラート」タブをクリックします。
「このグループにメンバーを追加」ボタンをクリックします。
「アラートの追加」ポップアップ・ウィンドウが開きます。
「新規要素の追加オプション」セクションで、新規アラートの作成を選択します。
次のようにフォームに入力して「追加」をクリックします。
アラート・タイプ - メニューから「不正」を選択します。
アラート・レベル - メニューから「中」を選択します。
アラート・メッセージ - Session coming from a blacklisted mobile applicationと入力します。
アラートの追加ウィンドウに、新規要素が正常に作成されたことを確認するメッセージが表示されます。
ナビゲーション・ペインで、「グループ」をダブルクリックします。
グループ検索ページが表示されます。
「新規グループ」をクリックします。
「グループの作成」ポップアップ・ウィンドウが開きます。
次のようにフォームに入力して「作成」をクリックします。
グループ名 - OAAM blacklisted mobile applicationと入力します。
グループ・タイプ - メニューから「汎用文字列」を選択します。
キャッシュ・ポリシー - メニューから「フル・キャッシュ」を選択します。
説明 - OAAM blacklisted mobile applicationと入力します。
「汎用文字列」タブをクリックし、「このグループにメンバーを追加」ボタンをクリックします。
アプリケーションの名前を入力します。
汎用文字列の追加ウィンドウに、新規要素が正常に作成されたことを確認するメッセージが表示されます。
「OK」をクリックします。
ナビゲーション・ペインで、「ポリシー」をダブルクリックします。
ポリシー検索ページが表示されます。
「チェックポイント」メニューから「認証後」を選択し、「検索」をクリックします。
「OAAM認証後セキュリティ」をクリックします。
「OAAM認証後セキュリティ」ページが開きます。
「ルール」タブをクリックします。
「ルールの追加」ボタンをクリックします。
次のようにフォームに入力して「追加」をクリックします。
ルール名 - Check for blacklisted mobile applicationsと入力します。
ルール・ステータス - メニューから「アクティブ」を選択します。
Rule Notes - Check if application is in the Oaam blacklisted mobile application groupと入力します。
「条件」タブをクリックします。
「条件の追加」をクリックします。
「条件の追加」ポップアップ・ウィンドウが開きます。
次のようにフォームに入力して「検索」をクリックします。
条件名 - Check Current Sessionと入力します。
タイプ - メニューから「セッション内」を選択します。
結果の表で、「セッション: フィルタ条件を使用した現在のセッションの確認」をクリックします。
フィルタ条件の詳細が表示されます。
次のように実行し、「保存」をクリックします。
「チェック」の下で「クライアント・アプリケーション」を選択します。
演算子として「次に含まれる」を選択します。
ターゲット・タイプとして「グループ」を選択します。
グループ・タイプとして「汎用文字列」を選択します。
グループ名としてOAAMブラック・リストに記載されたモバイル・アプリケーションを選択します。
英語では、条件はCheck if the Client Application is in the "OAAM blacklisted mobile application" groupとなります。
「結果」タブをクリックします。
「アクション・グループ」メニューから「OAAMブロック」を選択します。
「アラート・グループ」メニューからOAAM Blacklisted application usedを選択します。
「適用」をクリックします。
OAAMセッションは、OAAMルールの実行において一般的に使用される概念エンティティです。ルールは、入力としてセッション属性(たとえば、クライアント・アプリケーション名およびOAAMデバイスID)を使用し、出力時にそのセッションのステータスに影響を与える(つまり、ステータスを「ブロック済」に変更する)ことができます。
OAAMがWebブラウザなどの非モバイル環境で使用されている場合、ユーザー認証セッション(たとえば、OAMセッション)とOAAMセッションの間には1対1の関係があります。たとえば、次のフィールドに関連付けられたデータが、各OAAMセッションに含まれているとします。
ユーザーID
クライアントIPアドレス
OAAMデバイスIDおよびフィンガープリント
(認証)ステータス: 成功、保留中、ブロック済など。
クライアント・アプリケーション名
モバイル・アプリケーション環境では、同じユーザーによって使用される同じデバイス上で実行されるアプリケーションはそれぞれ、モバイルSSOシナリオの中でも異なるOAAMセッションを持つと想定されています。たとえば、次のアプリケーションがモバイル・デバイスにインストールされていると想定します。
SSOセキュリティ・エージェント・アプリケーション
ホワイト・ページ・アプリケーション
経費レポート・アプリケーション
これらのアプリケーションは、同じサービス・ドメインの参加者としてまとめてリストされ、それらはすべてシングル・サインオンに参加します。ユーザーは、モバイルSSOエージェント・アプリケーションを使用して1回ログインするだけで済みます。したがって、同じデバイス上の複数のアプリケーションによって共有される1つのユーザー認証セッション(つまり、1つのAccess Managerセッション)のみが存在するようになります。一方、ユーザーが同じAccess Managerセッション内で3つのアプリケーションすべてを同時に使用する場合、各モバイル・アプリケーションは独自のOAAMセッション・エントリを持つことになり、OAAM管理コンソールには3つのOAAMセッションが表示されるようになります。
モバイル・アプリケーションごとに独立したOAAMセッションを持つ理由は、ルールがモバイル・クライアント・アプリケーションを考慮できるようにするためです。同じルールによって、いくつかのアプリケーションからのセッションをブロックすると同時に、他のアプリケーションからのセッションを許可することができます。(第42.9.2.5.2項のブラックリストに記載されたアプリケーション・ルールが、これの一例です。)さらに高度なルールでは、1つのセッションの複数の要因を考慮できます。たとえば、経費レポート・アプリケーションは機密度が高いと評価する一方で、ホワイト・ページ(ディレクトリ参照)アプリケーションは機密度が低いと評価できます。同じ「リスクのあるIP」ルールによって、同じ中程度のリスクのあるIPアドレスからのセッションであっても、経費レポート・アプリケーションではセッションをブロックし、ホワイト・ページ・アプリケーションではブロックしないことが可能です。
OAAMは、ナレッジベース認証やワンタイム・パスワードなどの強力な認証機能を提供します。ワンタイム・パスワードは、電子メールまたはモバイル・テキスト・メッセージを使用してパスワードを提供します。これらの機能では、エンドユーザーがセキュリティ・プロファイルを登録する必要があります。それには、セキュリティ上の質問、携帯電話番号および電子メール・アドレスが含まれる場合があります。
|
注意: OAAMユーザー登録フローの詳細は、『Oracle Adaptive Access Manager管理者ガイド』の認証フローに関する項を参照してください。 |
次の各項では、これらの認証プロセスを設定する方法について説明します。
Mobile and Socialは、OAAMがインストールされている場合、ナレッジベース認証(KBA)をサポートします。KBAは、OAAMでの厳密認証のデフォルト・オプションです。管理者は、KBAを機能させるために特別な構成をする必要はありません。ユーザーは、OAAM管理対象サーバー・コンソールを使用して、彼らのKBA質問を彼らのユーザー・プロファイルの登録に記録する必要があります。KBAの詳細は、Oracle Adaptive Access Manager管理者ガイドを参照してください。
Mobile and Socialは、OAAMがインストールされている場合、ワンタイム・パスワード(OTP)のサポートを提供します。OTPを使用すると、エンド・ユーザーはサーバーが生成したワンタイム・パスワードを入力することで認証されるようになります。このパスワードは、SMSまたは電子メールで受信することになります。ワンタイム・パスワードは帯域外で送信されるため、有効なユーザー以外の他者がワンタイム・パスワードへのアクセスを取得するリスクは軽減されます。次の各項では、詳細を説明します。
Mobile and Socialは、次のいずれかの方法で電子メールを送信できます。
組込みのSMTPクライアントの使用
Oracle User Messaging Service (UMS)の使用
この項では、これらの統合手順について説明します。電子メール用のSMTPの設定または電子メール用のUMSの設定のどちらからを選択して、開始してください。
|
注意: SMTPまたはUMSのいずれかを構成します。両方を構成できません。 |
SMTPまたはUMSの属性値を構成した後で、この項の3番目の手順「OAAMサーバーでの電子メール用のチャレンジ・タイプの有効化」で説明するように、OAAMサーバーでチャレンジ・タイプを有効にしてください。
電子メール用のSMTPの設定
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
画面の右側にある「セキュリティ・ハンドラ・プラグイン」セクションで、「OaamSecurityHandlerPlugin」をクリックし、ツールバーの「編集」をクリックします。
「属性」セクションで、次の属性名の値を入力し、「適用」をクリックします。
mail.smtp.host - SMTPサーバー・ホスト。
mail.smtp.port - SMTPサーバー・ポート。
mail.smtp.security.type - SMTPセキュリティ・タイプ。SSLまたはTLSです。
mail.smtp.user - SMTPサーバーにログオンするためのユーザー名。
mail.smtp.fromadd - Mobile and Socialの発信元アドレス。たとえば、mobileadmin@example.comです。
mail.smtp.password - mail.smtp.userアカウントのパスワード。
mail.smtp.truststore.location - サーバー・アイデンティティの検証に使用されるトラスト・ストアの場所を含むファイル名。
mail.smtp.keystore.location - クライアント証明書を含むキー・ストアのファイル名。
mail.smtp.keystore.password - キー・ストア・パスワード。
mail.smtp.truststore.password - トラスト・ストア・パスワード。
「OAAMサーバーでの電子メール用のチャレンジ・タイプの有効化」の手順を完了します。
電子メール用のUMSの設定
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
画面の右側にある「セキュリティ・ハンドラ・プラグイン」セクションで、「OaamSecurityHandlerPlugin」をクリックし、ツールバーの「編集」をクリックします。
「属性」セクションで、次の属性名の値を入力し、「適用」をクリックします。
ums.service.uri - UMSサーバーのWebサービスURL。例:
http://<UMS Server URL>:<UMS Port>/ucs/messaging/webservice
ums.username - UMSサーバーのユーザー名。
ums.password - UMSサーバーのパスワード。
ums.from.address - Mobile and Socialの発信元アドレス。たとえば、mobileadmin@example.comです。
ums.from.name - Mobile and Socialの発信元名。
ums.email.enabled - trueに設定します。
「OAAMサーバーでの電子メール用のチャレンジ・タイプの有効化」の手順を完了します。
OAAMサーバーでの電子メール用のチャレンジ・タイプの有効化
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「環境」→「プロパティ」を選択し、「プロパティ」をダブルクリックしします。
プロパティ検索ページが表示されます。
「検索」ボックスで、「名前」フィールドにbharosa.uio.default.register.userinfo.enabledと入力し、「検索」をクリックします。
「検索結果」セクションでクリックしてレコードを選択し、その値をtrueに変更して「保存」をクリックします。
「検索」ボックスで、「名前」フィールドにbharosa.uio.default.userinfo.inputs.enum.email.enabledと入力し、「検索」をクリックします。
「検索結果」セクションでクリックしてレコードを選択し、その値をtrueに変更して「保存」をクリックします。
「検索」ボックスで、「名前」フィールドにbharosa.uio.default.challenge.type.enum.ChallengeEmail.availableと入力し、「検索」をクリックします。
「検索結果」セクションでクリックしてレコードを選択し、その値をtrueに変更して「保存」をクリックします。
Mobile and Socialは、Oracle UMSを使用してSMSメッセージを送信します。「UMSを使用するSMSの設定」を完了してから、「OAAMサーバーでのSMS用のチャレンジ・タイプの有効化」を完了してください。
UMSを使用するSMSの設定
Oracle Access Managementコンソールで、「モバイル・サービス」ホーム・ページを開きます(第42.1項「モバイル・サービスの構成ページを開く」を参照)。
画面の右側にある「セキュリティ・ハンドラ・プラグイン」セクションで、「OaamSecurityHandlerPlugin」をクリックし、ツールバーの「編集」をクリックします。
「属性」セクションで、次の属性名の値を入力し、「適用」をクリックします。
ums.service.uri - UMSサーバーのWebサービスURL。例:
http://<UMS Server URL>:<UMS Port>/ucs/messaging/webservice
ums.username - UMSサーバーのユーザー名。
ums.password - UMSサーバーのパスワード。
ums.from.address - Mobile and Socialの発信元アドレス。たとえば、mobileadmin@example.comです。
ums.from.name - Mobile and Socialの発信元名。
ums.email.enabled - trueに設定します。
「OAAMサーバーでのSMS用のチャレンジ・タイプの有効化」の手順を完了します。
OAAMサーバーでのSMS用のチャレンジ・タイプの有効化
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「環境」→「プロパティ」を選択し、「プロパティ」をダブルクリックしします。
プロパティ検索ページが表示されます。
「検索」ボックスで、「名前」フィールドにbharosa.uio.default.register.userinfo.enabledと入力し、「検索」をクリックします。
「検索結果」セクションでクリックしてレコードを選択し、その値をtrueに変更して「保存」をクリックします。
「検索」ボックスで、「名前」フィールドにbharosa.uio.default.challenge.type.enum.ChallengeSMS.availableと入力し、「検索」をクリックします。
「検索結果」セクションでクリックしてレコードを選択し、その値をtrueに変更して「保存」をクリックします。
OAAMは、イベントによってチャレンジ・アクションがトリガーされるとチャレンジ・ポリシーを評価します。KBAがユーザーに対してアクティブになっている場合、OAAMチャレンジ質問アクション・グループからユーザーに質問が出されます。ユーザーがOAAMチャレンジ質問に3回失敗すると、OAAM SMSチャレンジ・アクション・グループが起動されます。
OAAMチャレンジ・ポリシー・トリガー組合せを使用してアクション・グループを並べ替えることができます。それによって、OAAMチャレンジ電子メール・グループやOAAMチャレンジSMSグループなど、他のチャレンジ・アクション・グループが、OAAMチャレンジ質問よりも優先されるようになります。次の手順では、OAAMチャレンジ・ポリシー・トリガー組合せの変更方法を説明します。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「ポリシー」をダブルクリックします。
ポリシー検索ページが表示されます。
「チェックポイント」メニューから「チャレンジ」を選択し、「検索」をクリックします。
「検索結果」表で、クリックして「OAAMチャレンジ・ポリシー」を選択します。
「トリガー組合せ」タブをクリックします。
「順序変更」をクリックします。
「トリガー組合せの順序変更」ポップアップ・ウィンドウが開きます。
このコントロールを使用してトリガー組合せを高い位置または低い位置に移動します。
