Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース2 (11.1.2.2) B70199-06 |
|
前 |
次 |
この章では、Oracle Adaptive Access Managerでのポリシー・セットの管理および使用について説明します。
この章には次の項が含まれます:
この項では、ポリシー・セットの概念およびOracle Adaptive Access Managerでどのように使用されるかについて説明します。内容は次のとおりです。
ポリシー・セットは、個々のポリシーの上位にある評価ロジックのレベルです。ポリシー・セット・ロジックは、チェックポイントに対してすべてのポリシーが実行された後に実行される機能の集合です。この機能には、最終的なリスク・スコアの計算およびオーバーライドが含まれます。
ポリシー・セットを使用して、アクションまたはスコア・ベースのオーバーライドを作成します。オーバーライドを使用すると、管理者は、ポリシーによって生成されたアクションまたはスコアが望ましくない結果となる可能性がある特別な状況に対処できます。たとえば、ルールが非常に控えめに構成されている場合、コール・センターに電話が殺到することを回避するために、管理者は、短時間にきわめて多数のブロックがある場合にブロック・アクションを変換するためのアクション・オーバーライドを作成できます。
ポリシー・セットにはいくつかの主要な機能があります。
個々のポリシーによって生成されたスコアを最終的なリスク・スコアに結合するために使用されるスコアリング・エンジンをここで構成します。
ポリシー・セットを使用して、アクション・オーバーライドまたはスコア・オーバーライドを作成します。
例: ポリシー・セット・スコアリング・エンジン
セキュリティ管理者のJeffは、各チェックポイントでの最終リスク・スコアが、最も高い個別のポリシー・リスク・スコアに基づくようにすることを考えています。この要件を満たすため、彼はポリシー・セット・レベルでのスコアリング・エンジンとして「最大」を選択します。
管理者としてOAAM管理コンソールにログインします。
「ポリシー・セット」ノードをダブルクリックします。「ポリシー・セット」ページが表示されます。
「サマリー」タブをクリックします。
「スコアリング・エンジン」リストから「最大」を選択します。
最大スコアリング・エンジンでは、最も高いポリシー・スコアがチェックポイント・スコアとして使用されます。このスコアリング・エンジンでは、ポリシーの重みは無視されます。
「適用」をクリックします。
「ポリシー・セットの詳細が正常に更新されました」というメッセージを含む確認ダイアログが表示されます。
「OK」をクリックします。
アクション・オーバーライドおよびスコア・オーバーライドを使用して、チェックポイントの結果を変更します。
アクション・オーバーライドを作成する場合は、個々のルールによってトリガーされたアクションを置き換えるアクションを指定します。たとえば、時間およびアクションに基づくアクション・オーバーライドを使用して、指定した時間枠でブロックの数を制限したり、登録の数を制御します。
スコア・オーバーライドを作成する場合は、チェックポイントの最終的なリスク・スコアが指定した範囲内にあるときにトリガーされるアクション・グループまたはアラート・グループ、あるいは両方を指定します。たとえば、スコア範囲を500から1000に設定し、アラート・グループを指定した場合、チェックポイントのリスク・スコアが500から1000の間になるとアラートが生成されます。たとえば、最小スコアを500に設定した場合、スコアが501に達したときにトリガーされるアクション・グループまたはアラート・グループを指定できます。つまり、スコアが値を超えると、そのオーバーライドの最小スコアに対するアクションまたはアラートがトリガーされます。同じチェックポイントについて複数のオーバーライドのスコアが重ならないようにしてください。最小スコアと最大スコアには、0より大きく、1000より小さいという制限があります。
1つのポリシー・セットのみを使用できます。
「ポリシー・セット詳細」ページにアクセスするには:
ナビゲーション・ツリーを開きます。
ナビゲーション・ツリーから、「ポリシー・セット」を選択します。
「ポリシー・セット詳細」が表示されます。
または、次の方法で「ポリシー・セット詳細」ページを開くこともできます。
ナビゲーション・ツリーで「ポリシー・セット」を右クリックし、コンテキスト・メニューから「ポリシー・セットを開く」を選択します。
ナビゲーション・ツリーで「ポリシー・セット」を選択し、「アクション」メニューから「ポリシー・セットを開く」を選択します。
ナビゲーション・ツリーのツールバーで「ポリシー・セットを開く」をクリックします。
「ポリシー・セット詳細」ページでは、ポリシー・セット詳細を表示および編集できます。
次の3つのタブがあります。
「サマリー」: ポリシー・セットの一般的な詳細が表示され、詳細を編集し、スコアリング・エンジンを選択できます。
「スコア・オーバーライド」: スコア・オーバーライドを設定できます。
「アクション・オーバーライド」: アクション・オーバーライドを設定できます。
「ポリシー・セット詳細」ページを開きます。
「スコア・オーバーライド」タブをクリックします。
既存のスコア・オーバーライドのリストが表示されます。
スコア・オーバーライドを追加するには、「追加」をクリックします。
スコア・オーバーライドを編集するには、オーバーライドを選択し、「編集」をクリックします。
「スコア・オーバーライドの追加」または「スコア・オーバーライドの編集」ダイアログが表示されます。
このオーバーライドを適用するチェックポイントを選択します。
最小スコアと最大スコアを入力します。
スコアが最小スコアと最大スコアの間にある場合、オーバーライドがトリガーされます。
オーバーライドでトリガーされるアクションを選択します。
オーバーライドでトリガーされるアラートを選択します。
「適用」をクリックします。
注意: 特定期間中にユーザー/デバイス/IPにアクションがすでに提示されている場合、同じアクションが継続され、オーバーライドは提供されません。 |
「ポリシー・セット詳細」ページを開きます。
「アクション・オーバーライド」タブをクリックします。
既存のアクション・オーバーライドのリストが表示されます。
アクション・オーバーライドを追加するには、「追加」をクリックします。
アクション・オーバーライドを編集するには、オーバーライドを選択し、「編集」をクリックします。
「アクション・オーバーライドの追加」または「アクション・オーバーライドの編集」ダイアログが表示されます。
このオーバーライドを適用するチェックポイントを選択します。
「アクション(自)」フィールドで、置き換えるアクションを選択します。
たとえば、ブロックをチャレンジ質問に変換できるように、「ブロック」を選択できます。
「アクション(至)」の指定はオプションです。「アクション(自)」と「アクション(至)」は同じ値にできます。
「アクション(至)」フィールドで、置換に使用するアクションを選択します。
たとえば、「チャレンジ」を選択してブロックをチャレンジに変換できます。
「アラート・グループ」リストから、このイベントが発生したときに生成されるアラートを選択します。
アラートは、個人(CSR、調査担当者など)に対するインジケータ(メッセージ)です。アラート・グループには、ルールによってトリガーできる等級付けされたメッセージが含まれます。
アラート・グループはルール内の結果として使用され、ルールがトリガーされると、グループ内のすべてのアラートがアクティブ化されます。
「継続時間」に、「アクション(至)」がトリガーされる期間(分数)を入力します。
たとえば、30分以内に100ブロック以上ある場合、システムがユーザーのブロックを停止し、ブロックされる予定だったユーザーのチャレンジを開始するように、数値「30」を入力できます。
「件数」に、「アクション(自)」によって生成されるイベントの数を入力します。
たとえば、100ブロックを上回ることを示すために「100」を入力できます。
アクションの件数は、アクションが異なるユーザー、IPおよびデバイスからのものである場合にのみ増分されます。
件数は、ユーザー、IPおよびデバイスがすべて一意である場合にのみ更新されます。たとえば、これらが一意ではなく、デバイスがブロックされる場合、ブロックはチャレンジされるのではなく、指定された期間継続してブロックされます。
「チェックポイント」と「アクション(自)」グループの組合せが、1つのチェックポイントで一意になるようにする必要があります。
「アクション(自)」と「アクション(至)」に同じアクションを指定することはできません。
「適用」をクリックします。
ポリシー・セットを編集するには:
「ポリシー・セット詳細」ページを開きます。
ポリシー・セットの一般情報を編集するには、「サマリー」タブで変更を加え、「適用」をクリックします。
ポリシー・セットのスコアリング・エンジンと説明を変更できます。
スコアリング・エンジンの詳細は、10.2.8項「スコアリング・エンジンとは」を参照してください。OAAM管理では、スコアリング・エンジンを使用して、リスク・レベルの計算時に適用される数値スコアを計算します。
変更が成功すると、ポリシー・セット詳細が正常に更新されたことの確認が表示されます。
スコア・オーバーライドを追加または編集するには、14.4項「スコア・オーバーライドの追加または編集」の手順を実行します。
アクション・オーバーライドを編集するには、14.5項「アクション・オーバーライドの追加または編集」の手順を実行します。
この項では、ポリシー・セットを使用するサンプル・ユース・ケースについて説明します。
Williamはセキュリティ管理者であり、認証前のスコアが500から700の間の場合、不正調査担当者が即座に対応するために特別なアラートがトリガーされ、ユーザーがチャレンジされるのではなくブロックされるように、スコア・オーバーライドとアクション・オーバーライドを設定する必要があります。
スコア・オーバーライドの編集
スコア・オーバーライドを作成する場合は、スコアが特定の範囲内にあるときにトリガーされるアクション・グループまたはアラート・グループ、あるいはアクション・グループとアラート・グループの両方を指定します。たとえば、最小スコアを500に設定した場合、スコアが501に達したときにトリガーされるアクション・グループまたはアラート・グループを指定できます。
「チェックポイント」: 「認証前」
最小スコア: 500
500は、スコア・オーバーライドがトリガーされるまでに許可される最小スコアです。
最大スコア: 700
700は、スコア・オーバーライドがトリガーされるまでに許可される最大スコアです。
アラート・グループ: 新規アラート
アラートは、個人(CSR、調査担当者など)に対するインジケータ(メッセージ)です。アラート・グループには、ルールによってトリガーできる等級付けされたメッセージが含まれます。
アラート・グループはルール内の結果として使用され、ルールがトリガーされると、グループ内のすべてのアラートがアクティブ化されます。
アクション・グループ: Block
Oracle Adaptive Access Managerは、ブロックされているユーザーがシステムにアクセスすることを許可しません。
アクション・オーバーライドの編集
アクション・オーバーライドを作成する場合は、個々のルールによってトリガーされたアクションを置き換えるアクションを指定します。たとえば、時間およびアクションに基づくアクション・オーバーライドを使用して、指定した時間枠でブロックの数を制限したり、登録の数を制御します。
「チェックポイント」: 「認証前」
アクション(自): チャレンジ
アクション(至): ブロック
アラート・グループ: 新規アラート
Williamはセキュリティ管理者であり、認証前のスコアが500から700の間の場合、不正調査担当者が即座に対応するために特別なアラートがトリガーされ、ユーザーがチャレンジされるのではなくブロックされるように、スコア・オーバーライドとアクション・オーバーライドを設定する必要があります。ただし、約10名の研修生がおり、次の1週間、一時許可を付与されます。アクション・オーバーライドとスコア・オーバーライドはこれらのユーザーにどのように影響するでしょうか。
スコア・オーバーライドの編集
スコア・オーバーライドを作成する場合は、スコアが特定の範囲内にあるときにトリガーされるアクション・グループまたはアラート・グループ、あるいはアクション・グループとアラート・グループの両方を指定します。たとえば、最小スコアを500に設定した場合、スコアが501に達したときにトリガーされるアクション・グループまたはアラート・グループを指定できます。
「チェックポイント」: 「認証前」
最小スコア: 500
500は、スコア・オーバーライドがトリガーされるまでに許可される最小スコアです。
最大スコア: 700
700は、スコア・オーバーライドがトリガーされるまでに許可される最大スコアです。
アラート・グループ: 新規アラート
アラートは、個人(CSR、調査担当者など)に対するインジケータ(メッセージ)です。アラート・グループには、ルールによってトリガーできる等級付けされたメッセージが含まれます。
アラート・グループはルール内の結果として使用され、ルールがトリガーされると、グループ内のすべてのアラートがアクティブ化されます。
アクション・グループ: Block
Oracle Adaptive Access Managerは、ブロックされているユーザーがシステムにアクセスすることを許可しません。
アクション・オーバーライドの編集
アクション・オーバーライドを作成する場合は、個々のルールによってトリガーされたアクションを置き換えるアクションを指定します。たとえば、時間およびアクションに基づくアクション・オーバーライドを使用して、指定した時間枠でブロックの数を制限したり、登録の数を制御します。
「チェックポイント」: 「認証前」
アクション(自): チャレンジ
アクション(至): ブロック
アラート・グループ: 新規アラート
研修生グループを作成します。
すべての「チャレンジ」ルールの「事前条件」の除外グループでグループを選択します。
この項では、ポリシー・セットの使用に関するベスト・プラクティスについて概説します。
ポリシー・セットを本番システムにインポートする前に、本番システムのシステム構成全体が置き換えられることを認識しておく必要があります。現在の構成を失わないために、実際のインポート前に現在のポリシー・セットをエクスポートします。インポートが失敗した場合、または予期しない他の問題が発生した場合。ポリシー・セットをインポートした後は、元に戻すことはできません。バックアップを使用できるようにしておくと、インポートが失敗した場合にその構成をすぐにシステムにインポートできます。
エクスポートが正常に実行された場合にのみ、ポリシー・セットをオフライン・システムからオンライン・システムにインポートします。
構成可能なアクションがポリシー・セットとともにエクスポートされた場合。インポート後、構成可能なアクションが再度システムにインポートされたときに破壊されないように、指定したディレクトリにJavaクラスをコピーする必要があります。