Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
この章では、このマニュアルの変更内容および更新内容について説明します。詳細は、次の各項を参照してください。
このOracle Access Management 11.1.2.2.0リリースで開発された拡張機能は次のとおりです。可能な場合、ドキュメントへのリンクが含まれています。
OAuthサービス
Oracle Access Manager OAuth 2.0サービスでは、各種標準準拠のOAuth 2.0認可サーバーで、3-leggedと2-leggedの両方のOAuthフローをサポートし、OAuth 2.0クライアントおよびOAuth 2.0リソース・サーバーのロールを有効にします。また、OAuth 2.0クライアント(モバイル・デバイスのネイティブ・アプリケーションなど)のサポートを提供し、OAM OAuth 2.0モバイル・フローにおけるモバイル・アプリケーションの登録およびデバイスの識別の組込みサポートが用意され、モバイル・デバイスからの信頼できるアクセスおよび組込みサーバー側のシングル・サインオンを保証します。これは、OAuthフローにおいてより高度なセキュリティが要求され、OAM OAuth 2.0サービスによって提供される組込みOAM統合の恩恵を受けるエンタープライズ・シナリオに最適です。
新しいOracle Access Managementコンソールの使用
ポリシー管理拡張機能には次のようなものがあります。
すべての検索結果表で使用可能な右クリック・メニュー・アイテム
重複リソース、認証ポリシー、認可ポリシーおよびトークン発行ポリシーと、重複(コピー元)を使用した新規オブジェクトの作成
リソース・ページからのホスト識別子の検索
「アプリケーション・ドメイン」編集画面の新しい「管理者」タブ
「認証ポリシー」内の新しい「拡張ルール」タブ(および「認証前」サブ・タブと「認証後」サブ・タブ)
粒度の細かいタイムアウトおよびCookieベースのセッション管理については、「Access Managerセッションの維持」を参照してください。
すべてのWebゲート・サーバーに対するSHA2暗号化
永続ログインの構成(ユーザー情報を保存)
共存の拡張機能
インターネット・プロトコル・バージョン 6 (IPv6) のサポートを追加
Oracle Access Management 11.1.2.1.0で使用可能となった拡張機能は次のとおりです。
新しく認定された統合についてはそれぞれ次の章を参照してください。
認証POSTデータの保持とリストアについては、「認証POSTデータ・ハンドリングの構成」を参照してください。
長いURLの処理については、「認証時における長いURLの処理」を参照してください。
ステップアップ認証については、「ステップアップ認証の作成と管理」を参照してください。
ログイン・ページでの言語の選択については、「ユーザー・ログイン言語の選択」を参照してください。
構成可能なWebgateリクエスト・コンテキストの有効期限については、次の項を参照してください。
Oracle Access Management 11.1.2.0.0では、次の各項で説明する、新機能および拡張機能が提供されています。
次の情報を追加または更新しました。
第1章: 「システム要件と動作保証情報」を追加しました。
第2章: 削除(重複していたため)により、章番号を変更しました。
第3章: パスワード・ポリシーは、ECCに焦点を変更して、その他の認証の詳細とともに第16章に移動しました。
第6章: ロガーの説明を次の項目に追加しました。
第12章: 11g OAMエージェント(Webgateおよびアクセス・クライアント)に焦点を変更しました。
第13章:
11g OAMエージェントのコンソールおよびリモート登録をまとめました。
「DCC対応の11g Webゲートと認証ポリシーの構成」を第16章に移動しました。
第15章:
第16章: 認証の詳細をその他の共有ポリシー・コンポーネントとともに再配置しました。
11g OAMエージェントのコンソールおよびリモート登録をまとめました。
第3章から「グローバル・パスワード・ポリシー」を移動して、焦点を変更しました。
第3章から「DCC対応の11g Webゲートと認証ポリシーの構成」を移動しました。
第17章:
「ポリシーおよびアプリケーション・ドメインのリモート管理の理解」を追加しました。
「ポリシーおよびアプリケーション・ドメインのリモート管理」を追加しました。
第20章: OpenSSOエージェント登録と管理の詳細をこの章に再配置しました。
第20章: OSSOエージェント登録と管理の詳細をこの章に再配置しました。
第22章: Access Managerを使用したコンソールおよびリモート登録、更新およびログアウトを含めるために、10g OAMエージェントの詳細を拡充しました。
付録A: ログアウト構成の詳細に関連するように再配置しました。
このマニュアルは、報告された問題に対応するために更新されました。全体的な更新内容には、体裁の変更と画面の更新が含まれます。
関連項目: このリリースでは、次の項目が新規追加または更新されています。
|
アクセス・テスターでは、プール内の接続を検証し、キャッシュ・フラッシュ・リクエストにアウト・オブ・バウンド接続を使用することなく、確立済の接続経由でキャッシュ・フラッシュ・リクエスト(SYNC_INFO)を送信できます。
認可条件によって、動的なセキュリティ・ポリシーを実装できるようになり、この結果としてOracle Access Managementコンソールの「ポリシー構成」インタフェースに変更を加えることができます。
認可条件: 以前の制約クラスは、条件タイプとして名前が変更されます。条件には、許可または拒否の指定は含まれていませんが、新しいルールでは、許可または拒否のアクセス・オプションを指定します。
新しい条件タイプ: 属性。
ポリシーで「暗黙的な制約の使用」オプションを使用している場合は置換されます。これにより、特定の条件タイプをインスタンス化することで作成し、ルールを選択することが可能になります。
標準認証モジュール(LDAP、KerberosおよびX509)は、今後のリリースで非推奨の対象になります。標準認可モジュールではなく、ネイティブまたはカスタム・プラグインを使用することをお薦めします。
関連項目:
|
外部資格証明コレクションは、11g Webgate (OAMエージェント)の追加機能です。これは、動的なセキュア・マルチファクタ/マルチステップ認証で必要になります。11g Webgateは、DCCとして使用するように簡単に有効化できます。また、OAMサーバーの埋込み資格証明コレクタ(ECC)を引き続き使用することもできます。
マルチファクタ認証では、ログイン・プロセスで情報をバックエンド認証スキームに数回送信するためにカスタム認証プラグインが必要です。プラグインにより収集され、コンテキストに保存されたすべての情報は、プラグインが認証プロセスを介してアクセスできます。コンテキスト・データは、Cookieまたはユーザーのログイン・ページのヘッダーの設定にも使用できます。
関連項目:
|
アイデンティティ・コンテキストにより、Oracle Access Managementプラットフォームに組み込まれているコンテキストに対応したポリシー管理および認可機能を活用できます。アイデンティティ・コンテキストでは、従来のセキュリティ制御(ロールおよびグループ)とともに、認証中および認可中に確立される動的データ(強度、リスク・レベル、デバイス・トラストなど)を使用することで、リソースへのアクセスのセキュリティが確保されます。
Access Managerをサード・パーティ製品に統合する方法の詳細は、以前の『Oracle Fusion Middleware Oracle Access Manager統合ガイド』からこのマニュアルに移動しています。次の統合がサポートされています。
Access Manager認証条件では、アイデンティティの許可または拒否の指定で、ユーザー、グループおよびLDAP検索フィルタのリストを使用できます。LDAP検索フィルタによって、対象アイデンティティの移入を簡単に指定できます。アイデンティティ・ストア(ディレクトリ・サーバー)でグループを再編成したり、新しいグループを作成する必要はありません。これにより、Access Manager 11gをOracle Access Manager 10gと同等にすることができます。
Access ManagerのPIV (Personal Identity Verification)カード(米国連邦政府のスマート・カード)サポートは、SubjectaltNameでFASC-NおよびEDIPI属性を使用して、X.509認証の間にユーザーをマップするために使用するものです。複数のOCSPプロバイダはサポートされませんが、OCSP Gatewayを使用するか、OSDT OCSP APIを使用するカスタム認証プラグインを作成することで、複数のOCSPプロバイダに対する検証を行うことができます。
Mobile and Socialは、保護されているリソースへのアクセスを必要とするユーザーと、それらのリソースを保護するバックエンドのOracle Access ManagementサービスとOracle Identity Managementサービスの間の橋渡しの役割を果たします。Mobile and Socialサービスのプラガブルなアーキテクチャにより、システム管理者は、ユーザーがインストールしたソフトウェアを更新することなく、アイデンティティ管理サービスおよびアクセス管理サービスを追加、変更および削除できます。
管理者はAccess Managerに複数のユーザー・アイデンティティ・ストアをインストールできます。それぞれのアイデンティティ・ストアは、異なるLDAPプロバイダに依存できます。各認証モジュール(または認証手順内のプラグイン)は、特定のユーザー・アイデンティティ・ストアを使用するように構成できます。
Access Managerでは、WebまたはJ2EEコンテナにデプロイされたWebおよびJavaエージェントをサポートします。各OpenSSOエージェントは、アプリケーションをホストするコンテナ(Oracle WebLogic Server、JBoss、Apacheなど)にプラグインされるフィルタです。
Access Managerでは、OpenSSOエージェントによって保護されているリソースへのリクエストを処理するためのOpenSSOプロキシを提供します。オラクル社提供のOpenSSOプロキシによって、エージェントとOAMサーバー間の通信を確立することで、OpenSSOエージェントに保護されたアプリケーションへのシングル・サインオンが容易になります。
関連項目:
|
Access Managerでは、Oracle Access Managementコンソールを使用してパスワード・ポリシーを管理できます。パスワード・ポリシー検証モジュールを実装すると、グローバル・パスワード・ポリシーがAccess Managerユーザーに適用されます。パスワード・ポリシーはポリシー・ストア内に格納され、Access Managerで保護されたすべてのリソースに適用されます。
TokenServiceRPタイプのリソースは、トークン・サービス・リライイング・パーティ用であり、これに基づいています(Identity Connectなどの非ブラウザ・クライアントに必要です)。
Oracle Access Managementでは、プログラミングによるRESTfulサービスがサポートされています。
関連項目: Oracle Fusion Middleware Oracle Access Management開発者ガイド |
Access Manager 11g Access Software Developer Kitを使用して開発されたカスタム・アクセス・クライアントでは、エージェント(Webgateまたはアクセス・クライアント)ごとに11g共有秘密鍵のセキュリティ機能がサポートされます。各エージェントには、アクセス・クライアントとOAMサーバー間で、ホストベースのアクセス・クライアント専用OAMAuthnCookieの暗号化および復号化を行うために共有される独自の秘密鍵があります。1つのアクセス・クライアントのセキュリティが破られた場合も、影響はその特定のアクセス・クライアントに限定され、他のアクセス・クライアントには影響しません。
注意: 既存の10g ASDKユーザーには影響はありません。Oblixクラスのラッパーは、10gモードで透過的にアクセス・クライアントのインスタンスを作成するように修正できます。ただし、11g互換モードで実行するには、Oracle Java APIの使用が必要になります。 |
Access Manager 11gのPure Java ASDKはOracle Java API (oracle.security.am.asdkパッケージ内)およびOblix Java API (com.oblix.accessパッケージ)の両方を提供します。Access Manager 11g Pure Javaアクセス・クライアント:
Oracle Java APIおよびOracleアクセス・プロトコル・バージョン3またはバージョン4 (Webgateごとに共有秘密鍵1つのセキュリティ機能をサポート)のいずれかを使用したOAMサーバーとの通信
10gサーバーとのOblix Java APIおよびOracleアクセス・プロトコル・バージョン3 (SSKPAのサポートなし)のみによる通信
関連項目: Oracle Fusion Middleware Oracle Access Management開発者ガイド |
各トピックの調査は、デプロイ済のOracle Access Management環境をチューニングして、最適なパフォーマンスと持続性を確保できるように提供されています。
関連項目: Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド |
次の表に示すとおり、Oracle Access Managementではいくつかの製品およびコンポーネントの名前が変更されています。