1 Oracle Access Managementの概要

このガイドには、Oracle Access Management、エンタープライズレベルのセキュリティ・プラットフォームおよびその管理と構成方法に関する情報が記載されています。Oracle Access Managementには、Oracle Access Management Access Manager (Access Manager)と、これに組み込まれているサービス(Identity Federation、Mobile and Social、セキュリティ・トークン・サービス、アイデンティティ・コンテキストおよびアクセス・ポータル)が含まれます。

この章では、Oracle Access Managementアーキテクチャとそれらのサービスの大まかな概要を説明します。

• Oracle Access Managementのサービスの理解

• Oracle Access Management Access Managerの使用

• Access Manager 11.1.2の機能

• システム要件と動作要件

• Oracle Access Managementのインストール

1.1 Oracle Access Managementのサービスの理解

Oracle Access ManagementはJavaのEnterprise Edition (Java EE)に基づいた、エンタープライズレベルのセキュリティ・アプリケーションで、Web周辺のセキュリティ機能およびWebシングル・サインオン・サービスを全面的に提供します。これにはアイデンティティ・コンテキスト、認証および認可、ポリシー管理、テスト、ロギング、監査などが含まれます。これは、セッション管理、アイデンティティ・コンテキスト、リスク分析、監査などの共有プラットフォーム・サービスを利用し、機密情報へのアクセスを制限します。図1-1に示すように、Oracle Identity Managementスタックの多くの既存アクセス技術は、Oracle Access Managementスタックにまとめられています。

図1-1 Oracle Access Managementの概要

「図1-1 Oracle Access Managementの概要」の説明

リリース11.1.2以降のOracle Access Managementには、次のサービスが含まれます。

• Oracle Access Management Access Manager (Access Manager)については、「Oracle Access Management Access Managerの使用」およびこのガイドの次の部を参照してください。

  • 第II部「共通構成およびシステム構成の管理」

  • 第III部「ロギング、監査、レポートおよびパフォーマンスのモニタリング」

  • 第IV部「Access Managerの設定とエージェントの管理」

  • 第V部「Access ManagerのSSO、ポリシーおよびテストの管理」

  • 第VI部「Access Managerを使用したエージェントの登録および使用」

  • 第XIII部「他の製品とAccess Managerとの統合」

• Oracle Access Management Identity Federation (Identity Federation)は、オープンなフェデレーション・プロトコル標準(SAMLやOpenIDなど)を使用したドメイン間シングル・サインオンのサポートを提供します。リリース11.1.2より、Identity FederationはデフォルトでOracle Access Managementに緊密に統合されています。この新しいOracle Access Managementではユーザー・インタフェースと管理の操作性が改良されています。詳細は、第VII部「Oracle Access ManagementのIdentity Federationの管理」に記載されている章を参照してください。

• Oracle Access Managementセキュリティ・トークン・サービス(セキュリティ・トークン・サービス)は、セキュリティ・ドメイン全体でのサービスへのアクセスや、組織の境界を越えたサービスへのアクセスを容易にする、トークンの検証および生成機能を提供します。サービスは、基本的に、クライアント要求を受信して検証し、要求対象リソースに適切なトークンを生成するトラスト・ブローカとして機能します。詳細は、第VIII部「Oracle Access Managementセキュリティ・トークン・サービスの管理」に記載されている章を参照してください。

• Oracle Access Management Mobile and Social (Mobile and Social)は、保護されているリソースへのアクセスを必要とするユーザーと、リソースを保護するバックエンドのアイデンティティ管理サービスおよびアクセス管理サービスの間の橋渡しの役割を果たします。Mobile and Socialは、セキュリティとコンプライアンスをモバイル・プラットフォームに拡張し、FacebookやGoogleなど、ソーシャル・アイデンティティ・サービスとの統合を簡素化します。Mobile and Social RESTfulは、Identity and Access Managementインフラストラクチャを有効にし、主要なモバイル・プラットフォームのプラットフォーム固有の開発者キットを備えることで、開発者が容易にセキュリティ・サービスにアクセスしたり、ネイティブおよびモバイルのブラウザベース・アプリケーションを通じてシングル・サインオンを有効にできるようにします。詳細は、第IX部「Oracle Access Management Mobile and Socialの管理」に記載されている章を参照してください。

• アイデンティティ・コンテキストは、コンテキストを認識するセキュリティ・ポリシー管理を提供し、管理者は、Oracle Identity Managementが提供するセキュリティ・フレームワークを通じて、アプリケーション配信環境で付与されるセキュリティのレベルを制御できます。詳細は、第XII部「アイデンティティ・コンテキストの使用方法」に記載されている章を参照してください。

OpenSSO 8.0およびSun Access Manager 7.1もOracle Access Management 11.1.2に統合されています。詳細な情報は、次を参照してください:

• 第23章「レガシーOpenSSOエージェントの登録および管理」

• Oracle Fusion Middleware Oracle Identity and Access Managementアップグレード・ガイド

11.1.2.2リリースでは、Oracle Access ManagementはOracle Access Portalと統合しています。これはホストされたシングル・サインオン・プロキシ・サービスで、Oracleのフォーム入力シングル・サインオン・テクノロジを利用したWebアプリケーションを可能にします。詳細は、第XI部「Oracle Access Management Oracle Access Portalの管理」を参照してください。

1.2 Oracle Access Management Access Managerの使用

Oracle Access Management Access Manager (Access Manager)は、以前Oracle Access Managerという名前であった(スタンドアロン)製品です。Access Managerは、Oracle Fusion Middleware 11gのシングル・サインオン(SSO)ソリューションを提供します。これは、このドキュメントの説明にあるように単独で動作しますが、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の説明にあるようにAccess Manager認証プロバイダとともに動作することもできます。

注意: Access Manager 11g、10gおよびその他のソフトウェアの間の相違点については、次を参照してください。 「Access Manager 11.1.2と10gの比較」 「Access Manager 11g SSOとOSSO 10gの比較」 「OpenSSO、エージェント、移行および共存の概要」

Access Manager SSOにより、ユーザーおよびグループは認証後に複数のアプリケーションにアクセスでき、複数のサインオン・リクエストを行う必要がなくなります。SSOを有効にするには、Webサーバー、アプリケーション・サーバーまたは任意のサード・パーティ・アプリケーションを、Access Managerにエージェントとして登録されたWebゲート(またはmod_ossoインスタンス)により保護する必要があります。その後、管理者は、認証ポリシーおよび認可ポリシーを定義してリソースを保護します。これらの認証ポリシーを施行するために、エージェントはHTTPリクエストのフィルタとして機能します。

注意: WebGatesは、様々なWebサーバーのためにOracleが製品の一部として提供するエージェントです。Access Manager SDKを使用して作成されたカスタムのアクセス・クライアントは、Web以外のアプリケーションで使用できます。明記されている場合を除いて、このマニュアルの情報はどちらにも同じように該当します。

現在Oracle ADFセキュリティおよびOPSS SSOフレームワークを使用している任意のWebアプリケーションをAccess Managerと統合することもできます。(付録A「Oracle ADFアプリケーションとAccess Manager SSOの統合化」を参照してください。)次の各項では、Access Managerの詳細について説明します。

• Access Managerの設計

• Access Managerのデプロイ

1.2.1 Access Managerの設計

Access Manager 11gは、Oracle WebLogic Serverのインスタンス上に存在し、Oracle Fusion Middleware Access Managementアーキテクチャの一部となります。下位互換性および既存のソリューションとの共存を保つ一方で、Access Manager 11gでは、以前のテクノロジであるAccess Manager 10gおよびOracle Application Server SSO (OSSO) 10gを置換し、これらを収束します。図1-2は、基本的なAccess Manager 11gのコンポーネントおよびサービスを示します。プロトコル互換性フレームワークは、OAM Webゲート、mod_ossoエージェント、およびAccess Managerソフトウェア開発キット(SDK)を使用して作成されたカスタムのアクセス・クライアントとインタフェースします。

図2-2 Access Manager 11gのコンポーネントおよびサービス

「図1-2 Access Manager 11gのコンポーネントおよびサービス」の説明

図1-3は、Access Managerコンポーネントの分散を示します。

図1-3 Access Manager 11gのコンポーネントの分散

「図1-3 Access Manager 11gのコンポーネントの分散」の説明

Oracle Access Managementコンソールは、Oracle WebLogic管理サーバー(AdminServerとも呼ばれる)に配置されます。OAMランタイム・インスタンスをホストするWebLogic管理対象サーバーは、OAMサーバーとして知られています。この2つで共有される情報には次のものがあります。

• エージェントおよびサーバー構成データ

• Access Managerポリシー

• セッション・データ(すべてのOAMサーバーで共有)

1.2.2 Access Managerのデプロイ

表1-1では、企業によりAccess Managerがインストールされるデプロイメントのタイプについて説明します。

表1-1 Access Managerのデプロイメント・タイプ

デプロイメント・タイプ	説明
開発デプロイメント	理想的にはサンドボックスタイプの設定で、開発全体への依存は最小限
QAデプロイメント	通常、テスト用に使用される、比較的小さな共有されたデプロイ
本番前デプロイメント	通常、より幅広い対象者でのテストに使用される、共有されたデプロイメント
本番デプロイメント	日常的に企業内で完全に共有および使用可能

デプロイメント内でのAccess Managerの最初のインストールおよび構成の際に、新しいWebLogic Serverドメインを作成(または既存のドメインを拡張)します。デプロイメントのサイズやタイプに関係なく、新しいWebLogic Serverドメインでは、Oracle Fusion Middleware構成ウィザードを使用して、次のコンポーネントがインストールされます。

• WebLogic管理サーバー

  
  

  注意: 既存のWebLogic Serverドメインでは、WebLogic管理サーバーはすでにインストールされて動作の準備ができています。

  
  

• WebLogic管理サーバーにデプロイされたOracle Access Managementコンソール

• Oracle Access ManagementサービスのWebLogic管理対象サーバー

• 管理対象サーバーにデプロイされたアプリケーション

関連項目: 『Oracle Fusion Middleware Oracle WebLogic Serverドメイン構成の理解』ガイドの「Oracle WebLogic Serverドメインの理解」の章で、Oracle WebLogic Server管理ドメインについて説明しています。

ドメインが構成されると、OAMサーバー、データベース・スキーマ、(オプションの) WebLogic管理対象サーバーとクラスタ、および次のストア・タイプについて、さらに詳細が定義されます。

• ポリシー・ストア: デフォルト・ポリシー・ストアは、デプロイメントや実証を目的としたファイルベースのものです。これは、本番環境ではサポートされません。本番環境では、すべてのポリシー操作と構成は、ポリシー・ストアとして構成されたデータベースに対して直接実行されます。

  
  

  関連項目: 「ポリシーおよびセッション・データベースの管理」

  
  

• アイデンティティ・ストア: デフォルトの埋込みLDAPデータ・ストアは、Access Managerの基本ユーザー・アイデンティティ・ストアとして設定されます。

  
  

  関連項目: 「OAMアイデンティティ・ストアの管理」

  
  

• キーストア: 認可時にOAMサーバーとWebゲート間の簡易または証明書ベースの通信のための証明書用に、Javaキーストアが構成されます。構成ウィザードを実行した後に、初回のAdminServer起動でキーストアのブートストラップも発生します。

  
  

  関連項目: 「ポリシーおよびセッション・データベースの管理」

  
  

1.3 Access Manager 11.1.2の機能

次の各項では、Access Manager 11.1.2で使用できる(および使用できない)機能の詳細を説明します。

• Access Manager 11.1.2の機能

• Access Manager 11.1.2で使用できない機能

1.3.1 Access Manager 11.1.2の機能

表1-2に、Access Manager 11.1.2の概要を示します。11.1.2で変更された名前のリストについては、「11.1.2で変更された製品およびコンポーネントの名前」を参照してください。

表1-2 Access Manager 11.1.2の機能

Access Manager 11g	説明
Oracle Identity Managementインフラストラクチャ	エンタープライズ・アイデンティティのセキュアな集中管理を有効化します。
ポリシー強制エージェント	依存するパーティとともに存在し、認証および認可タスクをOAMサーバーに委任します。 11g OAMエージェント、第16章 10g OAMエージェントおよび事前構成済のIAMSuiteAgent (10g OAMエージェント)、第25章 OpenSSOエージェント、第23章 10g OSSOエージェント(mod_osso)、第24章 注意: 9つの管理者言語がサポートされています。 特に明記しないかぎり、「Webgate」という用語は新規のWebgateまたはカスタムのアクセス・クライアントの両方を指します。 エージェントの概要については、第15章を参照してください。
サーバー側のコンポーネント	OAMサーバー(WebLogic管理対象サーバーにインストール)、
コンソール	Oracle Access Managementコンソールを使用すると、すべてのサービスおよび構成の詳細にアクセスできます。 第2章を参照してください。
インターネットでの情報交換用プロトコル	エージェントとサーバー間で交換されるフロント・チャネル・プロトコル: HTTP/HTTPS バック・チャンネル・プロトコル: 認証クライアントは、Oracle Accessプロトコル(OAP)の拡張機能を使用してセッションの処理を実行できます。
プロキシ	レガシー・システムのサポートを提供します。 OAMプロキシは、レガシー・アクセス・サーバーとしてレガシーAccess Manager実装をサポートします。 OAMプロキシの簡易および証明書モードのアクセス・プロトコルの管理のセキュリティ OAMプロキシ・メトリックとチューニングの概要 OSSOプロキシは、レガシーOSSOサーバーとしてOSSOエージェントをサポートします。第24章を参照してください。 Oracleは、OpenSSOエージェントによって保護されているリソースへのリクエストを処理するOpenSSOプロキシを提供しています。第23章を参照してください。 関連項目: 「埋込みプロキシ・サーバーおよび下位互換性について」および新規の第XI部「Oracle Access Management Oracle Access Portalの管理」
暗号化キー	注: 登録されたmod_ossoまたは11g Webgateごとに1つのキーが生成され、使用されます。ただし、すべての10g Webgateで単一のキーが生成されます。 11gエージェントの登録時、11g WebgateとOAMサーバー間で、SSO Cookieの暗号化および復号化用に共有される秘密鍵がエージェントごとに1つ生成されます。第16章を参照してください。 10gエージェントの登録時、Access Manager 11g全体にわたる(すべてのエージェントとOAMサーバー)グローバル共有秘密鍵が生成されます。第25章を参照してください。 OSSOエージェントの登録時、mod_ossoとOSSOサーバー間でパートナごとに1つのキーが共有されます。第24章を参照してください。 OpenSSOエージェントのホスト・ベースまたはドメイン・ベースのキーは、エージェント・ホストのエージェント・ブートストラップ・ファイル内にローカルに保存されます。第23章を参照してください。 OAMサーバーの登録時、1つのサーバー・キーが生成されます。
キー・ストレージ	エージェント側: エージェントごとのキーは、ローカルでウォレット・ファイルのOracleシークレット・ストアに格納されます。 OAMサーバー側: エージェントごとのキーとサーバー・キーは、サーバー側の資格証明ストアに格納されます。
暗号化 / 復号化(暗号化されたデータを元の形式に変換するプロセス)	クライアント側の暗号化を導入して、エージェントとサーバーの両側で暗号化が実行されるようにします。 Webgateは、エージェント・キーを使用してobrareq.cgiを暗号化します。 注: obrareq.cgiは、WebgateからOAMサーバーにリダイレクトされる問合せ文字列の形式での認証リクエストです。 OAMサーバーは、リクエストを復号化して認証し、セッションを作成してサーバーcookieを設定します。 また、OAMサーバーはエージェントの認証トークン(エージェント・キーを使用して暗号化)を生成し、セッション・トークン(cookieベースのセッション管理を使用する場合)や認証トークン、その他のパラメータを使用してそれをobrar.cgiにパックしてから、エージェント・キーを使用してobrar.cgiを暗号化します。 注: obrar.cgiは、OAMサーバーからWebgateにリダイレクトされた認証レスポンス文字列です。 Webgateはobrar.cgiを復号化して、認証トークンを抽出し、ホスト・ベースのCookieを設定します。
ポリシー・ストア	本番環境では、データベースです。実証環境および開発環境では、ファイル・ベースです。詳細は、「ポリシーおよびセッション・データベースの管理」を参照してください。
アプリケーション	認証および認可をAccess Managerに委任して登録されたエージェントからヘッダーを受け入れるアプリケーション。 注: 外部アプリケーションは認証が委任されません。かわりに、アプリケーション・ユーザー名とパスワードを求めるHTMLログイン・フォームが表示されます。たとえば、 Yahoo! Mailは、HTMLのログイン・フォームを使用する外部アプリケーションです。
SSOエンジン	セッションのライフサイクルを管理し、有効なセッションのすべての依存するパーティのグローバル・ログアウトを容易にして、複数のプロトコルの一貫したサービスを提供します。Access Manager 11gによって登録されたエージェントを使用します。 デフォルトの埋込み資格証明コレクタを使用する認証は、HTTP (HTTPS)チャネルを通じて行われます オプションの外部資格証明コレクタを使用する認証は、Oracle Accessプロトコル(OAP)チャネルを通じて行われます 認可は、Oracle Accessプロトコル(OAP)チャネルで発生します。 関連項目: 第18章
セッション管理	グローバル・セッションの仕様は、すべてのアプリケーション・ドメインおよびリソースに対して有効化されます。さらに、アプリケーション・ドメイン専用セッションのオーバーライドを構成できます。 第17章を参照してください。
ポリシー	登録済エージェントは、Access Manager認証、認可およびトークン発行ポリシーを使用して、保護されたアプリケーション(定義されたリソース)のアクセスを取得するユーザーを決定します。 関連項目: 第20章
クライアントIP	クライアントの経過時間を管理し、ホストベースCookie OAMAuthnCookie (11g Webgate用)またはObSSOCookie (10g Webgate用)に含めます。
レスポンス・トークンの再生防止	レスポンス・トークンの再生を防ぐために、RequestTime (リダイレクト直前のタイムスタンプ)をobrareq.cgiに挿入し、これをobrar.cgi (OAM ServerからWebgateにリダイレクトされる認証応答文字列)にコピーします。
複数のネットワーク・ドメインのサポート	Access Manager 11gは、ネットワーク間ドメインの設定不要なシングル・サインオンをサポートします。 この場合は、Oracle Federationを使用することをお薦めします。
Cookie	ホストベースの認証Cookie 11g Webgate、エージェントごとに1つ: 認証の成功後にOAMサーバーから受け取った認証トークンを使用してWebgateで設定されたOAMAuthnCookie_host:port_random_number。 注: 有効なOAMAuthnCookieがセッションに必要です。 11g Webgate、一時: OAM_REQのスコープがOAM Serverに指定されます。認証リクエスト・コンテキストCookieが有効な場合にOAMサーバーによって設定または消去されるOAM_REQ。OAMサーバーでのみ認識されるキーで保護されます。資格証明が収集され、認証が実行される一方で、このCookieは高可用性オプションとして構成され、保護されたリソースへのユーザーの元のリクエストの状態を格納します。 10g Webgate、すべての10g Webgateに対してObSSOCookieを1つ。 OAMサーバーに1つ: OAM_ID、スコープがOAM Serverに指定されます。OAM_IDは、ユーザーが資格証明のチャレンジを受けたときにOAMサーバーによって生成され、サーバーへのリダイレクトごとにそのサーバーへ送信されます。 第18章を参照してください。
一元化されたログアウト	logOutUrls (10g Webgateの構成パラメータ)は保持されています。10g logout.htmlには、Access Manager 11g固有の詳細情報が必要です。第25章を参照してください。 11g Webgateには次の新しいパラメータが追加されています。 ログアウト・リダイレクトURL ログアウト・コールバックURL ログアウト・ターゲットURL 第22章を参照してください。

1.3.2 Access Manager 11.1.2で使用できない機能

表1-3に、Access Manager 10gで提供されていて、Access Manager 11.1.2には含まれていない機能を示します。

表1-3 Access Manager 11.1.2で使用できない機能

使用不可またはサポートされていない機能
カスタム認可プラグインの作成に必要な拡張性フレームワーク
mod_ossoで保護されたリソースの認可

1.4 システム要件と動作保証情報

ハードウェアとソフトウェアの要件、プラットフォーム、データベースおよびその他の情報の詳細は、Oracle Technology Network (OTN)で、システム要件と動作保証情報のドキュメントを参照してください。

システム要件に関するドキュメントには、ハードウェア要件およびソフトウェア要件、ディスク領域とメモリーの最小要件、必要なシステム・ライブラリ、パッケージ、パッチなどの情報が記載されています。

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-requirements-100147.html

動作要件に関するドキュメントには、サポートされるインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサード・パーティ製品が記載されています。

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html

1.5 Oracle Access Managementのインストール

次の各項には、Access Managerのインストールとインストール後タスクに関する情報とリンクが含まれています。

• Oracle Access Managementのインストールについて

• Oracle Access Managementのインストール後のタスクについて

1.5.1 Oracle Access Managementのインストールについて

Oracle Fusion Middlewareのサポートされるシステム構成のドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDK、Oracle Identity Management 11gに関連するサード・パーティ製品の動作保証の情報があります。Oracle Fusion Middlewareのサポートされるシステム構成のドキュメントは、Oracle Technology Network (OTN) Webサイトで検索すれば見ることができます。

http://www.oracle.com/technology/software/products/ias/files/fusion_certification.html

Oracle Fusion Middleware構成ウィザードを使用して、次のコンポーネントが新しいドメインにデプロイされます。

• WebLogic管理サーバー

• WebLogic管理サーバー(OAM管理サーバー、または単にAdminServerということもあります)上にデプロイされたOracle Access Managementコンソール

• Oracle Access Managementの管理対象サーバー

• 管理対象サーバーにデプロイされたアプリケーション

関連項目: Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド

OracleAS 10g SSOのデプロイメントは、Oracle Access Management 11g SSOを使用するようにアップグレードできます。OSSOエージェントをアップグレードして登録した後は、認証がAccess Manager 11g認証ポリシーに基づいて実行されます。ただし、OAMエージェント(Webgate/アクセス・クライアント)のみがAccess Manager 11g認可ポリシーを使用します。時間が経つにつれて、アップグレードされた環境にあるすべてのmod_ossoエージェントをWebgateと置換して11g認可ポリシーを使用できるようにする必要があります。

アップグレード後の共存の詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementアップグレード・ガイドを参照してください。

1.5.2 Oracle Access Managementのインストール後のタスクについて

各WebLogic Serverのドメインは、論理的に関連するOracle WebLogic Serverリソースのグループです。WebLogic管理ドメインには、Administration Serverという特殊なOracle WebLogic Serverインスタンスが含まれています。このドメインは通常、管理対象サーバーという追加のOracle WebLogic Serverインスタンスを含み、WebアプリケーションとWebサービスがここにデプロイされます。

初回のデプロイメント中、Oracle Access ManagementコンソールとWebLogic Server管理コンソールの両方にサインインするときに、WebLogic管理者のユーザーIDとパスワードが設定されます。「Oracle Access Managementコンソール管理者の指定」で説明しているとおり、Oracle Access Managementに対して別の管理者を割り当てることができます。管理者は、Oracle Access Managementコンソールにログインして、表1-4に記載するインストール後タスクを実行できます。

表1-4 Oracle Access Managementのインストール後のタスク

サービス	要件
Access Manager	Access Managerサービスを有効化します。 次の項目を登録します。 データ・ソース OAMサーバー・インスタンス Access Managerのエージェント リソースを保護するアプリケーション・ドメインおよびポリシー 次の項目を構成します。 セッションのタイミングなどの共通設定 証明書検証 共通パスワード・ポリシー Access Managerの設定を構成します。
アイデンティティ・フェデレーション	Identity Federationサービスを有効化します。 フェデレーション設定を構成します。 アイデンティティ・プロバイダおよびサービス・プロバイダのパートナを登録します。
セキュリティ・トークン・サービス	セキュリティ・トークン・サービスを有効化します。 セキュリティ・トークン・サービスの設定を構成します。 エンドポイントを登録します。 トークン発行および検証テンプレートを作成します。 パートナ・プロファイルとパートナを登録します。
Mobile and Social	モバイルおよびソーシャル・サービスを有効化します。 Mobile and Socialを構成します。