Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
オラクル社は、RSAセキュリティ製品とインタフェース接続し、Access Managerによって保護されているリソースにネイティブRSA SecurID®認証を提供するコンポーネントを提供しています。
この章では、SecurID認証、およびSecurID認証とAccess Manager 11.1.2を適切に統合するために必要なコンポーネント、要件、および手順について説明します。次のトピックが含まれます:
Access Manager 11.1.2は、RSAコンポーネントと統合して、SecurID認証を提供します。RSA SecurID認証は、ユーザーが認識しているものとユーザーが所有しているものの2つのファクタに基づいています。
ユーザーが認識しているもの: これは秘密の個人識別番号(PIN)であり、概念的には個人の銀行コードPINに似ています。この場合、PINは、システム生成または個人的に選択したものであり、RSA Authentication Managerに登録されます。
ユーザーが所有しているもの: これは、トークンと呼ばれるハンドヘルド・デバイスによって生成された現在のコードです。Oracle Access Managerでは、ハードウェアベースとソフトウェアベースの両方のすべてのRSA SecurIDトークン・フォーム・ファクタがサポートされています。
これらのトークンは、アルゴリズム的に内部クロックまたはイベントに基づいており、予測不能な値でトークンコードを生成します。ユーザーのPINとSecurIDトークンコードが組み合されて、ユーザーのパスコードになります。
Access Managerは、RSAの2つのファクタのSecurID認証セキュリティ機能を使用およびサポートし、次のものを提供することでSecurID認証との統合を可能にします。
SecurID認証操作に必要なHTMLフォーム
認証を作成およびオーケストレートするためにユーザー識別プラグインで使用できるRSA SecurIDプラグイン。
Access Managerは、RSA Authentication Managerと統合し、表49-1に記載する統合機能を提供します。
表49-1 RSA機能に対するAccess Managerのサポート
RSA機能 | Access Managerのサポート |
---|---|
認証方式 |
ネイティブSecurID認証 |
New PINモード(ユーザー生成PIN) |
新規PINと確認を要求します。 トークンは、ユーザーが初めてログインしたときはNew PINモードになっている可能性があります。それ以外の場合は、Authentication Manager管理者がNew PINモードを有効化できます。New PINモードでは、新しいPIN番号は、ユーザーが一連のフォームに入力して定義するか、システムに生成させる必要があります。 オラクル社が提供するNew PINフォームおよび機能は次のとおりです。
関連項目: 「SecurID New PIN認証」. |
Next Tokencode |
認証中にAuthentication Managerによって、ユーザーは、割当て済トークンを持っていることを証明するために彼ら自身のSecurIDトークンに表示される次のトークンコードを入力するように指示されることがあります。この操作は、Next Tokencodeモードと呼ばれ、次の状況のいずれかで起動されることがあります。 |
パスコード |
|
ロード・バランシング |
RSA Authentication Managerレプリカ。 |
セカンダリ・サーバー・サポート |
はい |
SecurIDユーザー仕様 |
指定されたユーザー |
管理者のSecurID保護 |
はい |
Access Managerの特徴と機能 |
すべて |
表49-2の場合は、Access ManagerはRSA機能をサポートしません。
表49-2 サポートされないRSA機能
RSA機能 | Access Managerのサポート対象外 |
---|---|
RSA Authentication Manager 7.1 SP2 |
Active Directoryフォレスト・マルチドメイン環境ではサポートされません。 |
複数のACEレルム |
RSA認証APIでは、自動レスポンス時間ロード・バランシング・アルゴリズムを使用して、認証リクエストの送信先が決定されます。そのようなリクエストは、プライマリRSA Authentication Managerまたはレプリカのいずれかに送信されます。自動アルゴリズムは、sdopts.recという手動ロード・バランシング構成ファイルを作成することでオーバーライドできます。ただし、RSA Authentication Managerを最後の手段のサーバーとして手動で重み設定しても、それとエージェントとの通信が防止されることはありません。そのため、この方法では真のフェイルオーバー・セットアップを実現できません。詳細は、ご使用のRSA Authentication Managerのドキュメントを参照してください。 |
システム生成PIN |
Access Managerでサポートされていません。 |
フェイルオーバー |
OAM SecurIDサーバーではサポートされていません。SecurID認証を実行できるのは1つのOAM SecurIDサーバーのみであるためです。 |
統合には次のコンポーネントが必要です。
最新のサポート情報は、Oracle Technology Network (OTN)を参照してください。この情報を表示するには、OTNに登録する必要があります。
証明書マトリックスで、この統合のためのプラットフォームおよびバージョンのサポートが提供されています。これにはRSA Authentication Manager v7.xおよびSecurID認証APIが含まれます。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
Access ManagerとSecurID認証の統合には、次のRSAコンポーネントが必要です。
ユーザー、エージェント、トークン、およびユーザーのPINのレコードはネットワーク内のいずれかの場所に配置されています。これらのレコードの一部が、Authentication ManagerまたはLDAPディレクトリに配置されていることがあります。認証中に、Authentication Managerは、それらのレコードとユーザーがネットワークにアクセスを試みるときにそれが受け取る情報を比較します。レコードとトークンコードまたはパスコードが一致すると、ユーザーはアクセスの権限を付与されます。
RSA SecurIDトークンは、ハードウェアベースまたはソフトウェアベースのセキュリティ・トークンであり、保護されているリソースにユーザーが安全にアクセスすることを可能にするランダム番号を生成および表示します。このランダム番号はトークンコードと呼ばれます。ユーザーがトークンによって認証を受けるには、その前にトークンがAuthentication Managerによって認識される必要があります。RSAまたはご使用のベンダーによってトークン・シード・ファイルが同梱されており、それをデータ・ストアにインポートする必要があります。このファイルにリストされているシードは、トークンに割り当てられており、Authentication Managerエージェントから認証リクエストを受信したときにトークンコードを生成します。
SecurID認証プロセス中に、ユーザーは、自分のユーザー名とパスコードをHTMLフォームを使用して送信する必要があります。RSA Authentication Managerは、クライアントとしてAuthentication Managerに登録されているサーバー(RSA認証エージェント)を介して各ユーザーのアイデンティティを認証します。1つのアクセス・サーバー(他のアクセス・サーバーと区別するためにOracle SecurID Access Serverと呼ばれる)を、クライアントまたはエージェントとして登録およびセットアップする必要があります。
RSA Authentication Managerはそれが生成したトークンコードを、ユーザーが入力したトークンコードと比較します。トークンコードは、指定された間隔(通常は60秒)で変わります。時間同期によって、ユーザーのトークンに表示されたトークンコードは、その時点に対してAuthentication Managerソフトウェアによって生成されたものと同じコードになります。トークンコードが一致すると認証は成功します。2つのファクタによる認証は、タスクを誰が実行したのかについてより強力な法的証拠を提供します。Authentication Managerは、適切に構成されている場合、すべてのログイン・リクエストおよび操作を追跡し、記録された各アクションに責任を持つユーザーを高い信頼度で特定します。
SecurIDは、ユーザー操作のためにOAMサーバーとRSA Authentication Managerとの間のアフィニティを必要とします。したがって、ユーザーとOAMサーバーとの間の対話はスティッキーである必要があります(この制約がSecurID認証のセキュリティの特徴です)。クラスタ環境で、ロード・バランサが使用されてリクエストが複数の管理対象サーバーにルーティングされる場合、ロード・バランサとOAMサーバーとの間にスティッキネスが設定されるようにします。
SecurID認証APIは、Access Managerに同梱されており、すべてのOAMサーバーにインストールされます。SecurID認証APIによって接続機能が提供されるため、OAMサーバー上に認証エージェントをインストールする必要はありません。つまり、このAPIはエージェントです。
表49-3に記載されている他の要件とともに、すべてのOAMサーバーを、Authentication ManagerにRSA Authentication Agentホストとして登録する必要があります。
表49-3 インストールおよび構成のガイドライン
SecurID認証を完了できるのは、1つの指定されたOAM SecurIDサーバーのみです。ただし、すべてのOAMサーバーを、Authentication ManagerにRSA Authentication Agentホストとして登録する必要があります。 |
OAM SecurIDサーバーをAuthentication Managerクライアントとして認識できるようにします。 |
Authentication Managerが認証エージェント(OAM SecurIdサーバー)と通信するためにポート5500 (UDP)が使用可能になっている必要があります。このサービスは、Oracle SecurId Serverから認証リクエストを受信し、リプライを送信します。詳細は、ご使用のRSA Authentication Managerのドキュメントを参照してください。 |
クライアントからAuthentication Managerへの認証リクエストを管理します。 |
2つのファクタの認証を適用し、認可されていないアクセスをブロックします。 |
レプリカのAuthentication Managerのレスポンス時間を検出し、それに応じて認証リクエストをルーティングすることで、自動ロード・バランシングを提供します。 |
サーバーとクライアントの非同期を防止するために、クライアント上のシステム時間が正確であることを確認します。 |
Access Managerに対してフェイルオーバーはサポートされていません。 |
SecurID Authentication Managerは、サポートされているプラットフォームにインストールする必要があります。 |
サーバーとクライアントの非同期を防止するために、システム時間は正確である必要があります。 |
SecurIDトークンまたはキー・フォブは、トークン・シード・レコードで提供することで、Authentication Managerによってプロビジョニングされる必要があります。 |
各ユーザー名は、LDAPフィルタを介して、ディレクトリ内の識別名にマップ可能であることが必要です。 |
Authentication ManagerスレーブまたはレプリケートされたAuthentication Manager、あるいその両方は、プライマリAuthentication Managerが停止した場合に、フェイルオーバーを提供できます。 |
この統合には、カスタムHTMLログイン・フォームおよびプロパティ・ファイルが必要です。オラクル社が提供するサンプルのカスタムhtmlおよびカスタムhtmlプロパティ・ファイルは次の場所にあります。
$ORACLE_HOME/oam/server/tools/customLoginHtml
関連項目:
|
次のシナリオでは、3つのモードの操作について説明します。
ユーザーが、SecurID認証スキームで保護されているリソースにアクセスしようとすると、次のプロセスが実行されます。
注意: 11.1.2資格証明コレクタは、デフォルトの埋込み資格証明コレクタと、オプションの外部資格証明コレクタのいずれかを示しています。詳細は、「認証方式と資格証明コレクタの理解」を参照してください。 |
プロセスの概要: ユーザーがリソースを要求するとき
Webゲートは、リソース・リクエストをインターセプトし、Access Serverに問合せを実行して、リソースが保護されているかどうか、保護の方法、およびユーザーが認証されているかどうかを判定します。
OAM SecurIdサーバーは、認証スキームについてディレクトリに問合せを実行し、ディレクトリから認証情報を受信します。
Webゲートは、チャレンジ・コレクタにリダイレクトし、それこで2つの部分からなるSecurIDパスコードをユーザーに求めるフォームを表示します。
ユーザーが資格証明をチャレンジ・コレクタに送信します。
チャレンジ・コレクタは、資格証明をOAM SecurIdサーバーに渡します。
OAM SecurIdサーバー上のSecurID認証APIが認証ダイアログを実行し、LDAPバインドをAuthentication Managerに送信します。
Authentication ManagerデータベースがSecurIDパスワードをユーザーIDと照合し、成功レスポンスをAuthentication Managerに返し、そこでユーザーのPINと照合します。
Authentication ManagerがレスポンスをそのエージェントであるOAM SecurIdサーバーに返します。
ユーザーの資格証明が有効な場合、SecurID認証は成功します。OAM SecurIdサーバーによって、ユーザーのセッションが作成され、ユーザーがWebゲートにリダイレクトされ、そこでリソース認可についてOAM SecurIdサーバーに問合せが実行されます。
「標準SecurID認証」の説明のように、特定の条件下では、New Tokencodeモードが開始されます。
「SecurID Next Tokencode認証」の説明のように、特定の条件下では、New Pinモードが開始されます。
OAM SecurIdサーバーが、認可リクエストを評価し、それによって、認可ルールに基づいてアクセスが許可または拒否されます。
アクセスの権限が付与されると、OAM SecurIdサーバーによって認可がWebゲートに渡され、それによってリソースがユーザーに提示されます。
Next Tokencodeモードがオンになっている場合、ユーザーは、彼らのSecurIDトークンの次のトークンコードを入力する必要があります。このモードは、次の場合に起動できます。
ログイン中に不正なパスコードが繰り返し入力された場合。ユーザーが4回連続して不正なパスコードを使用して認証を試みた場合、Authentication Managerのアクティビティ・レポートに記載されているように、Authentication ManagerによってNext Tokencodeモードがオンになります。次にユーザーが正しいパスコードを使用して認証に成功したときに、彼らは彼らのSecurIDトークンに表示される次のトークンコードの入力を求められます。
Authentication Managerは、トークンの確認、または同期を必要とします。正しいパスコードが使用された場合でも、Authentication Manager管理者はNext Tokencodeモードをオンにして、ユーザーに、彼らがSecurIDトークンを持っていることを確認したり、トークンをAuthentication Managerと同期することを強制することがあります。Next Tokencodeモードがオンになっている場合、成功したログインの直後にNext Tokencodeチャレンジ・フォームがユーザーに表示されます。
プロセスの概要: Next Tokencodeがオンのとき
資格証明コレクタによって、成功したログインの後のトークン上の次のトークンコードの入力をユーザーに求めるフォームが提示されます。
ユーザーはユーザー名を入力し、60秒間待ってから、SecurIDトークン上の次のトークンコードを入力します。
トークンコードが正しい場合、ユーザーが最初に入力したパスコードが受け入れられてユーザーが認証されます。
ユーザーが新しいPINを持つことが必要とされている場合、チャレンジ・コレクタがユーザーに入力を求める特定のフォームを表示します。
プロセスの概要: New PINが必要なとき
チャレンジ・コレクタによって、ユーザーが希望するPINを入力できるフォームが提示されます。
ユーザーが新しいPINを入力し、その新しいPINを再入力して、フォームを完了します。
OAM SecurIDサーバーは、その情報をAuthentication Managerに転送します。
Authentication Managerは、その新しいPINを登録し、それは、その後のログインでユーザーが入力する必要があるPINコードの一部になります。
ログイン・フォームが再度表示され、そこで、ユーザーは強制された再認証のためにユーザー名とパスコードを入力します。
有効なOracle Access Management管理者資格証明を持つユーザーは、この項の手順に従って、RSA SecurID認証を有効にできます。
前提条件
インストールおよび構成(このマニュアルの範囲外)については表49-3を参照してください。それらは、Access ManagerとSecurIDとの統合を開始する前に完了しておく必要があります。
関連項目:
|
Access ManagerとSecurID認証をセットアップするには
次のように、oam-config.xmlで、OAM SecurIDサーバーのserverRequestCacheTypeパラメータをBASICに設定します。
すべてのWebLogic Server (OAMサーバーと管理サーバー)を停止します。
次のパスでoam-config.xmlを見つけます。
$DOMAIN_HOME/config/fmwconfig/oam-config.xml
次のようにserverRequestCacheType
をCOOKIE
(デフォルト)からBASIC
に変更します。
<Setting Name="serverRequestCacheType" Type="xsd:string">BASIC</Setting>
すべてのWebLogic Server (OAMサーバーと管理サーバー)を起動します。
RSAコンソールからWebエージェントを登録します。それはAccess Managerによって使用されます。次に、次のようにエージェント構成ファイル(sdconf.rec)をコピーします。
$DOMAIN_HOME
/config/fmwconfig/servers/$SERVER_NAME/oam/sdconf.rec
Oracle Access Managementコンソールから、次のようにRSA用のカスタム認証モジュールを作成します。
「システム構成」タブ、「Access Manager」セクション、「認証モジュール」ノード、「カスタム認証モジュール」ノードを開きます。
「ステップ」タブの「追加」(+)ボタンをクリックして、次の情報を入力することで、RSA_AUTHという新しいモジュールを作成します。
「一般」タブ:
Name: RSA_AUTH
「ステップ」タブ: 次のようにステップの名前を入力し、RSA SecurIDプラグインを選択します。
Step Name: stepRSA Plugin Name: RSA SecurID Plugin OK
stepRSA、「ステップの詳細」: 次の画面に表示される「ステップの詳細」に入力して保存します。これは、使用しているcustomhtml.propertiesファイルにも表示されます。
「ステップ」タブ: ユーザーIDの追加プラグイン: 次のようにステップの名前を入力し、RSA SecurIDプラグインを選択します。
Step Name: rsa_useridentification
Plugin Name: UserIdentificationPlugin
OK
rsa_useridentification、ステップの詳細: 使用している環境について次の詳細を入力して保存します。
KEY_LDAP_FILTER: (uid={KEY_USERNAME})
KEY_IDENTITY_STORE_REF: 登録済デフォルト・ストア。
KEY_SEARCH_BASE_URL: dc=us,dc=example,dc=com
次のようにステップをオーケストレートします。stepRSAは先頭にする必要があります(ユーザーをRSAサーバーで認証するため)、成功ステップに対するユーザーIDプラグインを指定します。
Initial Step: stepRSA
Name: StepRSA
On Success: rsa_useridentification
On Failure: failure
On Error: failure
Apply
Name: rsa_useridentification
On Success: Success
On Failure: failure
On Error: failure
Apply
注意: On FailureおよびOn Errorフィールドは、両方ともfailureに設定する必要があります。 |
カスタムHTMLログイン・フォームとともに、RSAに対して作成したカスタム認証モジュールを使用する新しい認証スキーム(たとえばRSACredScheme)を作成します。サンプルの値を次の画面に示します。
注意: 認証スキームのコンテキスト値は、カスタムHTMLログイン・フォームのパスを指定します。カスタムHTMLプロパティ・ファイルは、同じディレクトリ・パスにあるフォームと同じ名前(.properties拡張子付き)を共有する必要があります。この例ではcustomhtml.htmlとcustomhtml.propertiesを使用します。チャレンジ・パラメータは、認証のための最初のRSAコマンドを指定します(RSA_USER_PASSCODE)。 |
このスキームは、SecurID認証を必要とするリソースを保護しているアプリケーション・ドメインで使用します。
カスタムHTMLファイルが次の場所に存在していることを確認します。
$DOMAIN_HOME/config/fmwconfig/customhtml.html
RSA用カスタム・ログイン・フォームでは、フォーム・アクションが次のように/oam/server/auth_cred_submit
に設定されている必要があります。
<form id="loginData" action="/oam/server/auth_cred_submit" method="post" name="loginData"> <div id="oam_credentials" class="input-row"> <span class="ctrl"></span> </div> div class="button-row"> <span class="ctrl"> <input id="login_button" type="submit" value="Login" class="formButton" onclick="this.disabled=true;document.body.style.cursor = 'wait'; this.className='formButton-disabled';form.submit();return false;"/> </span> </div> <div id="oam_error_messages"></div> </form>
使用しているcustomHTML
.properties
ファイルが次のとおりであることを確認します。
カスタムHTMLファイルに.properties
拡張子付きの名前が付いていること。
カスタムHTMLファイルと同じパスに格納されていること。
設定がRSA SecurIDプラグイン構成パラメータと一致していること。例:
username=Username
password=Password
passcode=Mother's maiden name
rsa_new_pin=RSA New Pin
rsa_new_pin_confirm=RSA Confirm New Pin
Pin=RSA Pin
rsa_sysgen_pin=RSA Create New Pin
rsa_sysgen_pin_confirm=RSA System Generated Pin
error1=Username not specified
OAMサーバーを再起動します。
保護されている適切なリソースにアクセスし、様々なモードを検証することで構成をテストします。
問題が発生する場合、詳細は、「RSA SecurIDの問題とログ」を参照してください。
これらの手順に従って、<ORACLE_HOME>/oam/custom_plugins/rsa/RSAPlugin.jarに配置されているカスタムRSAプラグインを実行します。
authapi.jar
およびcryptoj.jar
という名前のRSA依存ライブラリをダウンロードします。
<DOMAIN_HOME>/config/fmwconfig/oam/plugin-libに、authapi.jar
およびcryptoj.jar
ライブラリを追加します。
カスタムRSAPlugin.jarファイルをそのディレクトリから取得し、プラグインをインポートしてカスタム・プラグインのリストに追加します。
プラグインが正常にインポートされたら、配布してアクティブ化します。
アクティブ化は初回は失敗します。失敗したら、サーバーを再起動し、再度アクティブ化してください。アクティブ化の後、プラグインを使用して必要な編成ステップを指定します。