Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
このガイドには、Oracle Access Management、エンタープライズレベルのセキュリティ・プラットフォームおよびその管理と構成方法に関する情報が記載されています。Oracle Access Managementには、Oracle Access Management Access Manager (Access Manager)と、これに組み込まれているサービス(Identity Federation、Mobile and Social、セキュリティ・トークン・サービス、アイデンティティ・コンテキストおよびアクセス・ポータル)が含まれます。
この章では、Oracle Access Managementアーキテクチャとそれらのサービスの大まかな概要を説明します。
Oracle Access ManagementはJavaのEnterprise Edition (Java EE)に基づいた、エンタープライズレベルのセキュリティ・アプリケーションで、Web周辺のセキュリティ機能およびWebシングル・サインオン・サービスを全面的に提供します。これにはアイデンティティ・コンテキスト、認証および認可、ポリシー管理、テスト、ロギング、監査などが含まれます。これは、セッション管理、アイデンティティ・コンテキスト、リスク分析、監査などの共有プラットフォーム・サービスを利用し、機密情報へのアクセスを制限します。図1-1に示すように、Oracle Identity Managementスタックの多くの既存アクセス技術は、Oracle Access Managementスタックにまとめられています。
リリース11.1.2以降のOracle Access Managementには、次のサービスが含まれます。
Oracle Access Management Access Manager (Access Manager)については、「Oracle Access Management Access Managerの使用」およびこのガイドの次の部を参照してください。
Oracle Access Management Identity Federation (Identity Federation)は、オープンなフェデレーション・プロトコル標準(SAMLやOpenIDなど)を使用したドメイン間シングル・サインオンのサポートを提供します。リリース11.1.2より、Identity FederationはデフォルトでOracle Access Managementに緊密に統合されています。この新しいOracle Access Managementではユーザー・インタフェースと管理の操作性が改良されています。詳細は、第VII部「Oracle Access ManagementのIdentity Federationの管理」に記載されている章を参照してください。
Oracle Access Managementセキュリティ・トークン・サービス(セキュリティ・トークン・サービス)は、セキュリティ・ドメイン全体でのサービスへのアクセスや、組織の境界を越えたサービスへのアクセスを容易にする、トークンの検証および生成機能を提供します。サービスは、基本的に、クライアント要求を受信して検証し、要求対象リソースに適切なトークンを生成するトラスト・ブローカとして機能します。詳細は、第VIII部「Oracle Access Managementセキュリティ・トークン・サービスの管理」に記載されている章を参照してください。
Oracle Access Management Mobile and Social (Mobile and Social)は、保護されているリソースへのアクセスを必要とするユーザーと、リソースを保護するバックエンドのアイデンティティ管理サービスおよびアクセス管理サービスの間の橋渡しの役割を果たします。Mobile and Socialは、セキュリティとコンプライアンスをモバイル・プラットフォームに拡張し、FacebookやGoogleなど、ソーシャル・アイデンティティ・サービスとの統合を簡素化します。Mobile and Social RESTfulは、Identity and Access Managementインフラストラクチャを有効にし、主要なモバイル・プラットフォームのプラットフォーム固有の開発者キットを備えることで、開発者が容易にセキュリティ・サービスにアクセスしたり、ネイティブおよびモバイルのブラウザベース・アプリケーションを通じてシングル・サインオンを有効にできるようにします。詳細は、第IX部「Oracle Access Management Mobile and Socialの管理」に記載されている章を参照してください。
アイデンティティ・コンテキストは、コンテキストを認識するセキュリティ・ポリシー管理を提供し、管理者は、Oracle Identity Managementが提供するセキュリティ・フレームワークを通じて、アプリケーション配信環境で付与されるセキュリティのレベルを制御できます。詳細は、第XII部「アイデンティティ・コンテキストの使用方法」に記載されている章を参照してください。
OpenSSO 8.0およびSun Access Manager 7.1もOracle Access Management 11.1.2に統合されています。詳細な情報は、次を参照してください:
Oracle Fusion Middleware Oracle Identity and Access Managementアップグレード・ガイド
11.1.2.2リリースでは、Oracle Access ManagementはOracle Access Portalと統合しています。これはホストされたシングル・サインオン・プロキシ・サービスで、Oracleのフォーム入力シングル・サインオン・テクノロジを利用したWebアプリケーションを可能にします。詳細は、第XI部「Oracle Access Management Oracle Access Portalの管理」を参照してください。
Oracle Access Management Access Manager (Access Manager)は、以前Oracle Access Managerという名前であった(スタンドアロン)製品です。Access Managerは、Oracle Fusion Middleware 11gのシングル・サインオン(SSO)ソリューションを提供します。これは、このドキュメントの説明にあるように単独で動作しますが、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の説明にあるようにAccess Manager認証プロバイダとともに動作することもできます。
注意: Access Manager 11g、10gおよびその他のソフトウェアの間の相違点については、次を参照してください。 |
Access Manager SSOにより、ユーザーおよびグループは認証後に複数のアプリケーションにアクセスでき、複数のサインオン・リクエストを行う必要がなくなります。SSOを有効にするには、Webサーバー、アプリケーション・サーバーまたは任意のサード・パーティ・アプリケーションを、Access Managerにエージェントとして登録されたWebゲート(またはmod_ossoインスタンス)により保護する必要があります。その後、管理者は、認証ポリシーおよび認可ポリシーを定義してリソースを保護します。これらの認証ポリシーを施行するために、エージェントはHTTPリクエストのフィルタとして機能します。
注意: WebGatesは、様々なWebサーバーのためにOracleが製品の一部として提供するエージェントです。Access Manager SDKを使用して作成されたカスタムのアクセス・クライアントは、Web以外のアプリケーションで使用できます。明記されている場合を除いて、このマニュアルの情報はどちらにも同じように該当します。 |
現在Oracle ADFセキュリティおよびOPSS SSOフレームワークを使用している任意のWebアプリケーションをAccess Managerと統合することもできます。(付録A「Oracle ADFアプリケーションとAccess Manager SSOの統合化」を参照してください。)次の各項では、Access Managerの詳細について説明します。
Access Manager 11gは、Oracle WebLogic Serverのインスタンス上に存在し、Oracle Fusion Middleware Access Managementアーキテクチャの一部となります。下位互換性および既存のソリューションとの共存を保つ一方で、Access Manager 11gでは、以前のテクノロジであるAccess Manager 10gおよびOracle Application Server SSO (OSSO) 10gを置換し、これらを収束します。図1-2は、基本的なAccess Manager 11gのコンポーネントおよびサービスを示します。プロトコル互換性フレームワークは、OAM Webゲート、mod_ossoエージェント、およびAccess Managerソフトウェア開発キット(SDK)を使用して作成されたカスタムのアクセス・クライアントとインタフェースします。
図1-3は、Access Managerコンポーネントの分散を示します。
Oracle Access Managementコンソールは、Oracle WebLogic管理サーバー(AdminServerとも呼ばれる)に配置されます。OAMランタイム・インスタンスをホストするWebLogic管理対象サーバーは、OAMサーバーとして知られています。この2つで共有される情報には次のものがあります。
エージェントおよびサーバー構成データ
Access Managerポリシー
セッション・データ(すべてのOAMサーバーで共有)
表1-1では、企業によりAccess Managerがインストールされるデプロイメントのタイプについて説明します。
表1-1 Access Managerのデプロイメント・タイプ
デプロイメント・タイプ | 説明 |
---|---|
開発デプロイメント |
理想的にはサンドボックスタイプの設定で、開発全体への依存は最小限 |
QAデプロイメント |
通常、テスト用に使用される、比較的小さな共有されたデプロイ |
本番前デプロイメント |
通常、より幅広い対象者でのテストに使用される、共有されたデプロイメント |
日常的に企業内で完全に共有および使用可能 |
デプロイメント内でのAccess Managerの最初のインストールおよび構成の際に、新しいWebLogic Serverドメインを作成(または既存のドメインを拡張)します。デプロイメントのサイズやタイプに関係なく、新しいWebLogic Serverドメインでは、Oracle Fusion Middleware構成ウィザードを使用して、次のコンポーネントがインストールされます。
WebLogic管理サーバー
注意: 既存のWebLogic Serverドメインでは、WebLogic管理サーバーはすでにインストールされて動作の準備ができています。 |
WebLogic管理サーバーにデプロイされたOracle Access Managementコンソール
Oracle Access ManagementサービスのWebLogic管理対象サーバー
管理対象サーバーにデプロイされたアプリケーション
関連項目: 『Oracle Fusion Middleware Oracle WebLogic Serverドメイン構成の理解』ガイドの「Oracle WebLogic Serverドメインの理解」の章で、Oracle WebLogic Server管理ドメインについて説明しています。 |
ドメインが構成されると、OAMサーバー、データベース・スキーマ、(オプションの) WebLogic管理対象サーバーとクラスタ、および次のストア・タイプについて、さらに詳細が定義されます。
ポリシー・ストア: デフォルト・ポリシー・ストアは、デプロイメントや実証を目的としたファイルベースのものです。これは、本番環境ではサポートされません。本番環境では、すべてのポリシー操作と構成は、ポリシー・ストアとして構成されたデータベースに対して直接実行されます。
アイデンティティ・ストア: デフォルトの埋込みLDAPデータ・ストアは、Access Managerの基本ユーザー・アイデンティティ・ストアとして設定されます。
キーストア: 認可時にOAMサーバーとWebゲート間の簡易または証明書ベースの通信のための証明書用に、Javaキーストアが構成されます。構成ウィザードを実行した後に、初回のAdminServer起動でキーストアのブートストラップも発生します。
次の各項では、Access Manager 11.1.2で使用できる(および使用できない)機能の詳細を説明します。
表1-2に、Access Manager 11.1.2の概要を示します。11.1.2で変更された名前のリストについては、「11.1.2で変更された製品およびコンポーネントの名前」を参照してください。
表1-2 Access Manager 11.1.2の機能
Access Manager 11g | 説明 |
---|---|
Oracle Identity Managementインフラストラクチャ |
エンタープライズ・アイデンティティのセキュアな集中管理を有効化します。 |
ポリシー強制エージェント |
依存するパーティとともに存在し、認証および認可タスクをOAMサーバーに委任します。
注意: 9つの管理者言語がサポートされています。 特に明記しないかぎり、「Webgate」という用語は新規のWebgateまたはカスタムのアクセス・クライアントの両方を指します。 エージェントの概要については、第15章を参照してください。 |
サーバー側のコンポーネント |
|
コンソール |
Oracle Access Managementコンソールを使用すると、すべてのサービスおよび構成の詳細にアクセスできます。 第2章を参照してください。 |
インターネットでの情報交換用プロトコル |
エージェントとサーバー間で交換されるフロント・チャネル・プロトコル: HTTP/HTTPS バック・チャンネル・プロトコル: 認証クライアントは、Oracle Accessプロトコル(OAP)の拡張機能を使用してセッションの処理を実行できます。 |
プロキシ |
レガシー・システムのサポートを提供します。
関連項目: 「埋込みプロキシ・サーバーおよび下位互換性について」および新規の第XI部「Oracle Access Management Oracle Access Portalの管理」 |
暗号化キー |
注: 登録されたmod_ossoまたは11g Webgateごとに1つのキーが生成され、使用されます。ただし、すべての10g Webgateで単一のキーが生成されます。
|
キー・ストレージ |
|
暗号化 / 復号化(暗号化されたデータを元の形式に変換するプロセス) |
クライアント側の暗号化を導入して、エージェントとサーバーの両側で暗号化が実行されるようにします。
|
ポリシー・ストア |
本番環境では、データベースです。実証環境および開発環境では、ファイル・ベースです。詳細は、「ポリシーおよびセッション・データベースの管理」を参照してください。 |
アプリケーション |
認証および認可をAccess Managerに委任して登録されたエージェントからヘッダーを受け入れるアプリケーション。 注: 外部アプリケーションは認証が委任されません。かわりに、アプリケーション・ユーザー名とパスワードを求めるHTMLログイン・フォームが表示されます。たとえば、 Yahoo! Mailは、HTMLのログイン・フォームを使用する外部アプリケーションです。 |
SSOエンジン |
セッションのライフサイクルを管理し、有効なセッションのすべての依存するパーティのグローバル・ログアウトを容易にして、複数のプロトコルの一貫したサービスを提供します。Access Manager 11gによって登録されたエージェントを使用します。
関連項目: 第18章 |
セッション管理 |
第17章を参照してください。 |
ポリシー |
登録済エージェントは、Access Manager認証、認可およびトークン発行ポリシーを使用して、保護されたアプリケーション(定義されたリソース)のアクセスを取得するユーザーを決定します。 関連項目: 第20章 |
クライアントIP |
|
レスポンス・トークンの再生防止 |
|
複数のネットワーク・ドメインのサポート |
Access Manager 11gは、ネットワーク間ドメインの設定不要なシングル・サインオンをサポートします。 この場合は、Oracle Federationを使用することをお薦めします。 |
Cookie |
ホストベースの認証Cookie
第18章を参照してください。 |
一元化されたログアウト |
第22章を参照してください。 |
表1-3に、Access Manager 10gで提供されていて、Access Manager 11.1.2には含まれていない機能を示します。
ハードウェアとソフトウェアの要件、プラットフォーム、データベースおよびその他の情報の詳細は、Oracle Technology Network (OTN)で、システム要件と動作保証情報のドキュメントを参照してください。
システム要件に関するドキュメントには、ハードウェア要件およびソフトウェア要件、ディスク領域とメモリーの最小要件、必要なシステム・ライブラリ、パッケージ、パッチなどの情報が記載されています。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-requirements-100147.html
動作要件に関するドキュメントには、サポートされるインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサード・パーティ製品が記載されています。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
次の各項には、Access Managerのインストールとインストール後タスクに関する情報とリンクが含まれています。
Oracle Fusion Middlewareのサポートされるシステム構成のドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDK、Oracle Identity Management 11gに関連するサード・パーティ製品の動作保証の情報があります。Oracle Fusion Middlewareのサポートされるシステム構成のドキュメントは、Oracle Technology Network (OTN) Webサイトで検索すれば見ることができます。
http://www.oracle.com/technology/software/products/ias/files/fusion_certification.html
Oracle Fusion Middleware構成ウィザードを使用して、次のコンポーネントが新しいドメインにデプロイされます。
WebLogic管理サーバー
WebLogic管理サーバー(OAM管理サーバー、または単にAdminServerということもあります)上にデプロイされたOracle Access Managementコンソール
Oracle Access Managementの管理対象サーバー
管理対象サーバーにデプロイされたアプリケーション
関連項目:
|
OracleAS 10g SSOのデプロイメントは、Oracle Access Management 11g SSOを使用するようにアップグレードできます。OSSOエージェントをアップグレードして登録した後は、認証がAccess Manager 11g認証ポリシーに基づいて実行されます。ただし、OAMエージェント(Webgate/アクセス・クライアント)のみがAccess Manager 11g認可ポリシーを使用します。時間が経つにつれて、アップグレードされた環境にあるすべてのmod_ossoエージェントをWebgateと置換して11g認可ポリシーを使用できるようにする必要があります。
アップグレード後の共存の詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementアップグレード・ガイドを参照してください。
各WebLogic Serverのドメインは、論理的に関連するOracle WebLogic Serverリソースのグループです。WebLogic管理ドメインには、Administration Serverという特殊なOracle WebLogic Serverインスタンスが含まれています。このドメインは通常、管理対象サーバーという追加のOracle WebLogic Serverインスタンスを含み、WebアプリケーションとWebサービスがここにデプロイされます。
初回のデプロイメント中、Oracle Access ManagementコンソールとWebLogic Server管理コンソールの両方にサインインするときに、WebLogic管理者のユーザーIDとパスワードが設定されます。「Oracle Access Managementコンソール管理者の指定」で説明しているとおり、Oracle Access Managementに対して別の管理者を割り当てることができます。管理者は、Oracle Access Managementコンソールにログインして、表1-4に記載するインストール後タスクを実行できます。
表1-4 Oracle Access Managementのインストール後のタスク
サービス | 要件 |
---|---|
Access Manager |
Access Managerサービスを有効化します。 次の項目を登録します。
次の項目を構成します。
Access Managerの設定を構成します。 |
アイデンティティ・フェデレーション |
Identity Federationサービスを有効化します。 フェデレーション設定を構成します。 アイデンティティ・プロバイダおよびサービス・プロバイダのパートナを登録します。 |
セキュリティ・トークン・サービス |
セキュリティ・トークン・サービスを有効化します。 セキュリティ・トークン・サービスの設定を構成します。 エンドポイントを登録します。 トークン発行および検証テンプレートを作成します。 パートナ・プロファイルとパートナを登録します。 |
Mobile and Social |
モバイルおよびソーシャル・サービスを有効化します。 Mobile and Socialを構成します。 |