| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース2 (11.1.2.2) B70199-06 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース2 (11.1.2.2) B70199-06 |
|
前 |
次 |
この章では、トランザクション定義の作成と使用、およびクライアント固有のデータとOAAMデータベースのマッピングに焦点を当てます。このマッピングは、管理者がトランザクション・エンティティの調査とトランザクションのリスク・レベル定義を行ったり、調査担当者がトランザクション・データを確認して不正を予防するのに役立ちます。
この章には次の項が含まれます:
Oracle Adaptive Access Managerでは、不正および誤用を防ぐために、トランザクションに関連するリスクをリアルタイムで評価できます。正常ログイン後に監視が必要となるユーザー・アクティビティは、トランザクションと呼ばれます。トランザクションは、OAAMでリスク分析のために処理される有用な情報で構成されており、操作しやすくするために、関連データをグループ化してエンティティを形成できます。トランザクション機能を使用する場合は、ネイティブ統合が必要になります。デプロイメントの詳細は、第19章「OAAMでのトランザクションのモデル化」を参照してください。OAAMトランザクション処理のフローは次のとおりです。
Oracle Adaptive Access Managerを利用する管理者は、クライアント・トランザクションを表すためのエンティティおよびトランザクション・データを定義します(トランザクション定義)。
Oracle Adaptive Access Managerサーバーでクライアント・アプリケーションからの情報を処理できるよう、エンティティおよびトランザクション・データ要素がソース・データ(クライアント固有のデータ)にマップされます。たとえば、オンライン・トランザクションでは、クレジット・カード、eチェック、デビット・カード、金額(ドル)、名前、出荷先住所、請求先住所などの情報が関係します。
クライアントのトランザクション・ページから、アクティビティをモニターするために必要な情報がOracle Adaptive Access Managerに渡されます。
『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』で説明されているAPIを使用して、トランザクション・データがOracle Adaptive Access Managerサーバーに保存されます。
Oracle Adaptive Access Managerにより、トランザクション定義に基づいて、クライアントのトランザクション・データに対して認可ルールや不正分析が施行されます。
トランザクション定義を作成するには、次のタスクが必要になります。
トランザクション定義を作成します。図21-1に、トランザクション定義作成プロセスを示します。
トランザクション定義により、カスタマ・トランザクションに直接マップするトランザクションが取得されます。カスタマからのトランザクション・データは、OAAMでリスク分析のために処理されます。
図21-2に、エンティティとトランザクションの関係およびそれらが分析でどのように使用されるかを示します。
トランザクション定義を作成して使用するための大まかな手順は次のとおりです。
トランザクション定義にエンティティ・インスタンスを追加します。
詳細は、21.4.3項「トランザクションへの既存のエンティティの追加」または21.4.4項「トランザクションへの新規エンティティの追加」を参照してください。
Oracle Adaptive Access Managerエンドでトランザクションのトランザクション・データ要素を追加します。
たとえば、トランザクション金額やトランザクション日です。
エンティティに適合しないすべてのデータ・フィールドをトランザクション・データ要素として追加する必要があります。
詳細は、21.4.5項「OAAM用のトランザクション・データの定義」を参照してください。
クライアント・エンドからトランザクションのソース・データを追加します。
ソース・データ要素は、クライアント・エンドからのパラメータのリストです。これらのフィールドには、外部アプリケーションからの詳細が入力されます。トランザクション・データを送信するときに、外部アプリケーションで使用されるキーとソース・データの内部IDが一致することを確認してください。
詳細は、21.4.6項「クライアント・エンドからのトランザクションのソース・データ」を参照してください。
トランザクションをソース・データにマップし、さらにエンティティをソース・データにマップします。
詳細は、21.4.7.2項「エンティティとソース・データのマップ」を参照してください。
マッピングにより、ソース・データがエンティティおよびトランザクション・データに接続されます。
トランザクション定義をアクティブ化します。
詳細は、21.5.8項「トランザクション定義のアクティブ化」を参照してください。
アラートを作成します。アラートは異常を管理者に通知するか、またはルールがトリガーされた場合にシステムの情報を送信するために使用されます。
トランザクション条件を使用するポリシーを作成します。
ルールをポリシーに追加します。ルールには、トランザクション条件を含める必要があります。
ルールをポリシーに追加する際、「チェックするトランザクションの選択」フィールドでトランザクション定義を選択します。
アラートをポリシーにリンクします。
クライアント・アプリケーションにログインしてトランザクションを実行することで、ポリシーを検証します。
Oracle Adaptive Access Managerでトランザクションを分析するためには、Oracle Adaptive Access Managerでトランザクションを表す方法、渡されたデータを処理する方法、データを使用する方法、およびデータを表示する方法を決定する必要があります。
アプリケーションにログインして、利用可能なビジネス・データを確認します。
サード・パーティ・トランザクションの対象となるすべてのエンティティおよびトランザクション・フィールドを識別します。
紙面上で、トランザクション定義を決め、その定義とソース・データのマッピングを決定します。ソース・データ要素は、カスタマ・アプリケーションからのフィールドです。カスタマ・アプリケーションで使用されるキーとソース・データのキーが一致することを確認してください。
Oracle Adaptive Access Managerにログインします。
「サインイン」ページで、資格証明を入力し、「サインイン」をクリックします。
サインインが成功したら、Oracle Adaptive Access ManagerにOAAM管理コンソールが表示されます。
必要なエンティティを作成してアクティブ化します。例では、カスタマ、クレジット・カード、出荷先住所および請求先住所をエンティティとして作成します。詳細は、第20章「エンティティの作成および管理」を参照してください。
これで、OAAMトランザクションを作成できるようになりました。トランザクション定義により、カスタマ・トランザクションに直接マップするトランザクションが取得されます。この定義は、モニタリングのためにポリシーで使用されます。
OAAMでは、トランザクション定義に基づいて、カスタマ・データとシステム・データベース間のマッピングが指定されます。これらのマッピングは、トランザクションごとに作成されます。
「トランザクション」ページは、トランザクション定義を管理するための開始位置です。「トランザクション」ページでは、次のことが可能です。
トランザクション定義とトランザクション検索の各ページを開く
トランザクション定義の表示
新規トランザクション定義の作成
トランザクション定義のアクティブ化
トランザクション定義の非アクティブ化
トランザクション定義のインポート
トランザクション定義のエクスポート
トランザクション・インスタンスおよびログの検索
エンティティ・インスタンスおよびログの検索
トランザクション定義の新規作成、アクティブ化および非アクティブ化には、一括操作は指定できません。
「トランザクション」ページを開くには、ナビゲーション・ツリーで「トランザクション」をダブルクリックします。
または次の方法を使用できます。
ナビゲーション・ツリーで「トランザクション」を右クリックし、コンテキスト・メニューから「トランザクションのリスト」を選択します。
ナビゲーション・ツリーで「トランザクション」を選択し、「アクション」メニューから「トランザクションのリスト」を選択します。
ナビゲーション・ツリーのツールバーで「トランザクションのリスト」ボタンをクリックします。
トランザクション定義の作成を開始するには、次の手順を実行します。
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ペインで、「トランザクション」をダブルクリックします。
トランザクション定義の検索ページが表示されます。
「トランザクション定義の検索」ページで、「新規トランザクション」ボタンをクリックします。
または次の方法を使用できます。
ナビゲーション・ツリーで「トランザクション」を右クリックし、コンテキスト・メニューから「新規トランザクション」を選択します。
ナビゲーション・ツリーで「トランザクション」を選択し、「アクション」メニューから「新規トランザクション」を選択します。
ナビゲーション・ツリーのツールバーで「新規トランザクションの作成」ボタンをクリックします。
「検索結果」ツールバーから「新規トランザクションの作成」ボタンを選択します。
「検索結果」の「アクション」メニューから「新規トランザクション」を選択します。
新規トランザクション定義ページが表示されます。
「-- 新規トランザクション定義 --」ページで、トランザクション・タイプを入力します。
トランザクション・タイプの有効な名前を入力します。一意である必要があります。トランザクション・タイプ名では、大/小文字は区別されません。
説明を入力します。
参考のために、トランザクション定義の説明を入力します。
定義キーを入力します。
Oracle Adaptive Access Managerでは、この定義キーの値に基づいて、クライアント/外部トランザクション・データがトランザクション定義にマップされます。
この値は、OAAMサーバーでトランザクション・データの作成または更新のためのAPIコールを行うときに送信されます。
必要な入力が済んだら、「適用」ボタンをクリックします。
新しいトランザクションが作成されます。これで、新規エンティティを追加したり、既存のエンティティをマップできるようになりました。
新しいトランザクション定義はこの時点ではアクティブになっていません。トランザクション定義をアクティブ化するには、21.5.8項「トランザクション定義のアクティブ化」を参照してください。
エンティティは複数のトランザクションで再利用できるデータ構造です。たとえば、住所エンティティは出荷先住所、請求先住所、自宅住所などとして使用できます。また、ほとんどのエンティティでは、データを最適化するために、複数のデータ・ポイントをこの構造に組み込むこともできます。たとえば、従業員エンティティのプロパティのセットには、名、姓、社会保障番号、部門、給与エンティティ・プロパティなどがあります。従業員エンティティをトランザクションに関連付ける場合は、請負業者、海外勤務従業員などのインスタンスを作成できます。
トランザクション定義にエンティティのインスタンスを追加し、後でデータ・フィールドをカスタマ・ソース・データにマップできます。
「既存エンティティの追加」をクリックします。
「エンティティの追加」画面が表示されます。
エンティティを検索し、「エンティティ名」フィールドの横にある「検索」ボタンをクリックします。
非アクティブなエンティティは、トランザクションに追加できません。
エンティティは単一選択が可能です。
「次」ボタンをクリックします。
プレビューには、選択したエンティティに関連付けられているデータ・フィールドと選択したエンティティにリンクされたエンティティが表示されます。
図21-3に、「エンティティの追加」画面を示します。
インスタンス名を入力します。
インスタンス名は、一意である必要があります。インスタンス名は、必要に応じて後で編集できます。
「追加」をクリックして、選択したエンティティを追加します。
エンティティおよびリンクされたエンティティが「エンティティ」タブに表示されます。
表示順序は自動的に生成され、次に利用可能な順序になります。順序は、必要に応じて後で変更できます。
同じエンティティの複数のインスタンスを追加できます。
新規エンティティの作成をクリックします。
「エンティティ名」および「説明」に情報を入力し、「次」をクリックします。
詳細は、第20章「エンティティの作成および管理」の20.2.4.1項で初期手順に関する説明を参照してください。
「エンティティ・データ」ページで、エンティティのデータ要素を追加します。
ベスト・プラクティス: トランザクションを定義し、使用を開始した後で、トランザクション定義に含まれるフィールドのデータ型や長さなどを変更しないでください。
詳細は、第21章「トランザクションの管理」の20.2.4.2項「データ要素の追加および編集」を参照してください。
エンティティIDスキーム・ページで、エンティティを一意に識別するために使用する要素を選択します。
詳細は、第20章「エンティティの作成および管理」の20.2.4.3項でIDスキームの要素の選択に関する説明を参照してください。
エンティティ表示ページで、エンティティの値を表示するときに提示するデータ要素とその順序を指定し、「終了」をクリックします。
エンティティの作成を取り消すには、「取消」ボタンを使用します。「取消」を押すと、「エンティティ選択」画面が表示されます。
詳細は、第20章「エンティティの作成および管理」の20.2.4.4項で表示スキームのデータの指定に関する説明を参照してください。
手順1から5を実行して、トランザクション定義に追加する新規エンティティを作成します。
トランザクション・データは、発生したトランザクションごとに一意で一時的なものであるため、異なるトランザクション間で再利用することはできません。たとえば、トランザクションの合計金額(ドル)を複数のトランザクションで再利用することはできないため、合計金額はエンティティではなくトランザクション・データである必要があります。
トランザクション・データの例を次に示します。
金額(ドル)
クーポン・コード
項目番号
トランザクション定義にトランザクション・データを追加するには、次の手順を実行します。
「データ」タブをクリックします。
「トランザクション・データ」ページで、「行の追加」をクリックします。
データ名を入力します。
データ型を入力します。
内部IDを入力します。
内部IDは、データ要素の識別に使用されます。トランザクション・データで指定する内部IDは内部で使用されます。これは通常、ルール条件およびその他の目的で使用されます。一度定義した内部IDは変更しないでください。
説明を入力します。
要素を暗号化するかどうかを指定します。
暗号化するように設定した場合、データはデータベースに格納される前に暗号化されます。この機能により機密データを保護できます。
暗号化されたフィールドには次の制約があります。
これらのフィールドをルールで使用することはできません。
これらのフィールドは、問合せ画面からトランザクションを問い合せるときに、検索基準で使用できません。
トランザクション・データ・フィールドで暗号化された値は、OAAMアプリケーション以外では復号化できません。たとえば、暗号化されたデータには、カスタマイズされたルール条件ではアクセスできません。さらに、暗号化されたデータ要素は、BI Publisherレポートでは表示できません。
要素が必須かどうかを指定します。
データは利用できない場合もあるため、一部のデータ要素は未入力になることもあります。これらの要素は、必須ではないものです。たとえば、住所の「住所2」は存在しないことが多いため、必須ではありません。
「追加」をクリックします。
手順2から9を実行して、他の要素を追加します。
トランザクション定義に新規トランザクション・データを追加する前に、前の行の必須のフィールドを指定する必要があります。
「次」ボタンを押してソース・データを追加します。
行値および列値
行値と列値は、Oracle Adaptive Access Managerサーバーによって自動的に割り当てられます。行値や列値を変更する必要がある場合は、次のガイドラインに従ってください。
最もよく使用するフィールドの列値を1から3または11から13に設定します(数値か数値以外かによります)。
特定の行に対して合計で13個のフィールドを使用できます。
数値以外のフィールドの場合、列値を1から10に設定します。
数値フィールドの場合、列値を11から13に設定します。
「データ」タブのフィールドは、データベース内のVT_TRX_DATA表のDATAX列(数値以外の場合)、NUM_DATAX列(数値の場合)にマップされます。
「エンティティ」のフィールドは、データベース内のVT_ENTITY_ONE_PROFILE表のDATAX列(数値以外の場合)、NUM_DATAX列(数値の場合)にマップされます。
ソース・データ(クライアント・データ)は、トランザクションの一環として、保護されたアプリケーションから渡されるデータのことです。
クライアントからのトランザクションのパラメータを定義(クライアントがOAAMに送信する必要があります)。クライアント側からトランザクション全体にソース・データ・フィールドおよび要素を追加するには、次の手順を実行します。
「ソース・データ」タブをクリックします。
「ソース・データ」ページで、「行の追加」をクリックします。
データ名を入力します。
データ名は、要素を識別するための手段です。データ名は一意にする必要があります。
データ型を入力します。
内部IDを入力します。
内部IDは、クライアント・アプリケーションから送信される名前/値ペアの変数です。
例:
CC.name=Henry Transaction.emailAddr=x@y.com
説明を入力します。
ソース・データが必要かどうかを指定します。
「追加」を押します。
手順1から8を実行して、他の要素を追加します。
すべてのソース・データ要素を追加したら、「次」をクリックします。
マッピングは、トランザクション・データおよびエンティティにソース・データを接続するための手段です。
ソース・データにトランザクション・データを接続するには、次の手順を実行します。
「マッピング」ページの「トランザクション・データ・マッピング」セクションで、「トランザクション・データ・マッピングの追加」をクリックします。
トランザクション・データを選択します。
「OAAM用のトランザクション・データの定義」セクションで定義したデータ要素が選択肢になります。
「ソース・データ」を選択します。
「クライアント・エンドからのトランザクションのソース・データ」セクションで追加したクライアント・データ要素が選択肢になります。
マッピング・タイプを選択します。
「直接」、「連結」、「終了文字列」および「部分文字列」を選択します。
ソース・データ要素と宛先データ要素の1対1のマッピングが必要な場合は、「直接」を選択します。
複数のソース・データ要素を結合して1つのデータ要素を形成する場合は、「連結」を選択します。
ソース・データの最後のx個の文字をデータとして使用する場合は、「終了文字列」を選択します。
ソース・データの一部をデータとして使用する場合は、「部分文字列」を選択します。
マッピング・タイプとして「連結」を選択した場合は、セパレータを入力する必要があります。
「終了文字列」を選択した場合は、最後のx個の文字を入力する必要があります。
「部分文字列」を選択した場合は、「開始索引」および「終了索引」を入力する必要があります(CSV形式)。文字列索引は0から始まります。たとえば、「account」の「acc」を使用する場合は、「0,2」と指定します。デフォルトでは、oaam.transaction.mapping.startindex.minは0に設定されています。
「変換パラメータ」は、終了文字列、小文字、部分文字列など、特定のマッピング・タイプを選択する場合に定義するパラメータです。
「データのマップ」を選択します。
手順2から7を実行して、他の要素をマップします。
「終了」をクリックするか、エンティティのマッピングを実行します。
エンティティ要素のマッピングを追加するには、次の手順を実行します。
「マッピング」ページのエンティティ・データ・マッピング・パネルで、エンティティ名を選択します。
マッピングで目的のエンティティ名を選択すると、対応するエンティティのデータ要素が「エンティティ・データ」リストに一覧表示されます。
エンティティ・データを選択します。
「ソース・データ」を選択します。
マッピング・タイプを選択します。
「直接」、「連結」、「終了文字列」および「部分文字列」を選択します。
ソース・データ要素と宛先データ要素の1対1のマッピングが必要な場合は、「直接」を選択します。
複数のソース・データ要素を結合して1つのデータ要素を形成する場合は、「連結」を選択します。
ソース・データの最後のx個の文字をデータとして使用する場合は、「終了文字列」を選択します。
ソース・データの一部をデータとして使用する場合は、「部分文字列」を選択します。
マッピング・タイプとして「連結」を選択した場合は、セパレータを入力する必要があります。
「終了文字列」を選択した場合は、最後のx個の文字を入力する必要があります。
「部分文字列」を選択した場合は、「開始索引」および「終了索引」を入力する必要があります(CSV形式)。文字列索引は0から始まります。たとえば、「account」の「acc」を使用する場合は、「0,2」と指定します。デフォルトでは、oaam.transaction.mapping.startindex.minは0に設定されています。
「変換パラメータ」は、終了文字列、小文字、部分文字列など、特定のマッピング・タイプを選択する場合に定義するパラメータです。
「データのマップ」をクリックします。
「終了」をクリックするか、トランザクション・データのマッピングを実行します。
トランザクション定義を作成すると、新しい「トランザクション詳細」ページが開きます。
デフォルトでは、作成したトランザクション定義は無効化されています。
トランザクション定義は、「トランザクション詳細」ページの「アクティブ化」ボタンを使用してアクティブ化します。
トランザクション定義をアクティブ化するには、事前にいくつかの手順を済ませておく必要があります。そうしないと、エラー・メッセージが表示されます。
トランザクション定義をアクティブ化するための前提条件は次のとおりです。
ソース/入力データ要素
必要なすべてのトランザクション・データ要素のマッピング
トランザクション・エンティティで必要になるすべての要素のマッピング
トランザクションに対する不正チェックを実行可能な不正ポリシーをトリガーするために使用できるOAAMチェックポイントを決定します。既存のチェックポイントを再利用できる場合は、チェックポイントを作成する必要はありません。それ以外の場合は、トランザクションのOAAMチェックポイントを作成します。
次に、対象のトランザクションに対する不正ポリシーにどのようなルールを組み込む必要があるかを考えます。
トランザクション・ルール条件のリストを確認し、必要となるルール条件を検討してください。それらのルール条件の「使用例」に関する項を参照してください。
OAAMポリシーを作成し、ルールを追加してください。
ルール条件の構成後、ルール条件を満たした場合に「結果」に何を表示するかを指定します。ユーザーがしきい値とスコアに達したことを通知するよう、「アラート」および「アクション」グループを構成できます。クライアント・アプリケーションでは、結果を解釈し、ユーザー・アクションが禁止されていることを示す関連ページにユーザーを適宜リダイレクトできます。
これで、OAAMで設定を準備して、OAAMでトランザクションを作成したり、不正ポリシーとルールをトリガーできるようになりました。
OAAM共有ライブラリを使用して、クライアント・アプリケーションをOAAMと統合します。統合の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』のネイティブJavaアプリケーションの統合に関する項を参照してください。これが必要になるのは、トランザクション機能はネイティブ統合を通じて利用可能になるためです。この統合の一環として、クライアント・アプリケーションで次の2つが実行されます。
OAAMデータ収集APIを呼び出して、トランザクション・データを渡します。OAAMデータ収集APIにより、トランザクション定義に基づくトランザクション・データがOAAMデータベースに保持されます。これにより、OAAMエンティティおよびトランザクション・データが作成されます。これらのAPIの出力は、トランザクションID (カスタマがトランザクションを送信したときに作成される一意の識別子)です。
OAAMルールAPIを呼び出して、チェックポイントに関連付けられている不正ポリシー/ルールをトリガーします。この手順により、該当するチェックポイントに関連付けられているポリシーやルールを実行するルール・エンジンがトリガーされ、特定のルールがトリガーされた場合はアラートが作成されます。これらのAPIの出力は、ポリシーやルールによって返される一連のアクションおよびリスク・スコアです。
クライアント・アプリケーションとの統合が完了したら、サンプルのトランザクションを実行し、エンドツーエンド・フローを確認できます。
この項では、トランザクション定義を管理するための手順を説明します。内容は次のとおりです。
トランザクション検索ページでは、すべてのトランザクション定義のリストを表示し、様々な基準に基づいてトランザクション定義を検索できます。トランザクション検索ページでは、任意のトランザクションの「トランザクション詳細」ページにアクセスできます。
トランザクション定義を検索するには、次の手順を実行します。
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ペインで、「トランザクション」をダブルクリックします。
トランザクション定義の検索ページが表示されます。
「検索フィルタ」でトランザクションの検索基準を指定し、「検索」をクリックします。
表21-1「検索フィルタの基準」に、検索フィルタ基準の説明を示します。
検索パラメータをデフォルト設定にリセットする場合は、「リセット」ボタンを使用します。
「検索結果」表に、指定した基準を満たすトランザクションのサマリーが表示されます。
デフォルトでは、トランザクションは「名前」でソートされますが、「キー」や「キーワード」でソートすることもできます。
トランザクションごとに名前があります。説明が長すぎてすべて表示されない場合は、テキストの上にマウスを合わせると、説明全体が表示されます。
特定のトランザクション定義の詳細を編集するには、次の手順を実行します。
トランザクション定義を変更する場合、定義IDは変更しないでください。定義IDは、他のアプリケーションによって参照されている場合があります。
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ペインで、「トランザクション」をダブルクリックします。
トランザクション定義の検索ページが表示されます。
目的のトランザクション定義を検索するための基準を検索フィルタに指定し、「検索」をクリックします。
「検索結果」表に、検索基準に一致するトランザクション定義の概要が表示されます。
目的のトランザクション定義の行をクリックして、詳細を表示します。
「一般」タブで、トランザクション定義名、説明および定義キーを編集します。
トランザクション定義の名前は有効な名前である必要があります。一意である必要があります。トランザクション定義名では、大/小文字は区別されません。
トランザクションのデータがすでにロードされている場合や、OAAMセッションまたはトランザクションのデータがトランザクション定義に関連付けられている場合は、定義キーを変更しないでください。定義キーを変更できるのは、トランザクションが新規に作成または定義され、データがまだロードされていない場合、またはトランザクションが実際のセッションまたはトランザクションのデータに関連付けられていない場合のみです。
「エンティティ」タブで、編集するエンティティの行を選択し、「アクション」メニューの「選択項目を開く」をクリックします。「エンティティの編集」画面が表示されたら、エンティティを編集します。
「データ」タブで、データ要素を編集します。データ要素は特定のエンティティに属しませんが、トランザクションで取得されます。
「ソース・データ」タブで、クライアントがOAAMに送信する必要があるクライアントからのトランザクションのパラメータを編集します。
「マッピング」タブの「データ・マッピング」セクションで、「マッピングの編集」をクリックし、ソース・データとマッピング・タイプを編集して、「マップ」をクリックします。
「マッピング」タブの「エンティティ・マッピング」セクションで、「マッピングの編集」をクリックし、エンティティ名、トランザクション・データ、ソース・データおよびマッピング・タイプの各フィールドを編集します。
「適用」または「元に戻す」をクリックします。
「適用」をクリックした場合、トランザクション定義の更新は適用されます。
「元に戻す」をクリックした場合、トランザクション定義の更新は適用されません。
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ペインで、「トランザクション」をダブルクリックします。
トランザクション定義の検索ページが表示されます。
目的のトランザクション定義を検索するための基準を検索フィルタに指定し、「検索」をクリックします。
「検索結果」表に、検索基準に一致するトランザクション定義の概要が表示されます。
非アクティブ化するトランザクション定義に対応する行を選択し、「非アクティブ化」ボタンをクリックします。
削除するトランザクション定義に対応する行を選択し、「削除」ボタンを押すか、「アクション」メニューから「トランザクション定義の削除」を選択します。
変更が永続的であることを通知し、続行するかどうかを確認する警告メッセージが表示されます。
削除対象として選択したトランザクション定義がもう使用されていなかったり、過去のトランザクション・データが含まれている場合は、確認を求めるメッセージが表示されます。「はい」と回答すると、トランザクション定義が削除されます。
削除対象として複数のトランザクション定義を選択し、そのうちの一部がまだ使用されていたり、過去のトランザクション・データが含まれている場合は、使用中のインスタンスは削除できないことを示す警告メッセージが表示されます。そこで、残りのトランザクション定義を削除するかどうか確認を求められます。「はい」と回答すると、使用されていないトランザクション定義が削除されます。
|
注意: 使用中であったり、過去のトランザクション・データが含まれているトランザクション定義は削除できません。 |
「情報」ダイアログで、「OK」をクリックします。
トランザクション定義が削除されます。
トランザクション定義をエクスポートするには、次の手順を実行します。
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ペインで、「トランザクション」をダブルクリックします。
トランザクション定義の検索ページが表示されます。
目的のトランザクション定義を検索するための基準を検索フィルタに指定し、「検索」をクリックします。
「検索結果」表に、検索基準に一致するトランザクション定義の概要が表示されます。
エクスポートするトランザクション定義に対応する行をすべて選択します。
「エクスポート」ボタンをクリックするか、「アクション」メニューからトランザクション定義のエクスポートまたは「削除スクリプトの生成」を選択します。
トランザクション定義のエクスポート画面で、「エクスポート」をクリックします。
「削除スクリプトの生成」を使用すると、選択したトランザクション定義の削除スクリプトをエクスポートできます。アプリケーションにトランザクション定義が存在する場合は、このスクリプトを後でインポートして、それらの定義を削除できます。
ファイルをディスクに保存します。
ファイルがエクスポートされます。
「OK」をクリックします。
エクスポートおよび削除対象として選択したトランザクション定義がもう使用されていなかったり、過去のトランザクション・データが含まれていない場合は、確認を求めるダイアログが表示されます。「はい」と回答すると、トランザクション定義が削除されます。
エクスポートおよび削除対象として複数のトランザクション定義を選択し、そのうちの一部がまだ使用されていたり、過去のトランザクション・データが含まれている場合は、削除可能な定義と削除不可の定義を通知するメッセージが表示されます。使用されているトランザクション定義ごとに、「使用状況」ツリーへのリンクが用意されています。ダイアログには、使用されていなかったり、過去のトランザクション・データが含まれているトランザクション定義を削除するためのオプションも用意されています。
トランザクション定義をインポートするには、次の手順を実行します。
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ペインで、「トランザクション」をダブルクリックします。
トランザクション定義の検索ページが表示されます。
トランザクション定義検索ページで、「インポート」をクリックするか、「アクション」メニューからトランザクション定義のインポートを選択します。
トランザクション定義のインポート画面で、「参照」をクリックして、インポート対象のトランザクション定義を探します。
「OK」をクリックします。
トランザクション定義またはエンティティ定義を更新した場合は、それをシステムにインポートする必要があります。
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ペインで、「トランザクション」をダブルクリックします。
トランザクション定義の検索ページが表示されます。
検索フィルタでトランザクションの検索基準を指定し、「検索」をクリックします。
非アクティブ化するトランザクション定義に対応する行を選択し、「非アクティブ化」ボタンをクリックします。
削除するトランザクション定義に対応する行を選択し、「削除」ボタンを押します。
「トランザクション定義の検索」ページで、「インポート」をクリックします。
トランザクション定義のインポート画面で、「参照」をクリックして、インポート対象のトランザクション定義を探します。
「OK」をクリックします。
トランザクション定義をアクティブ化するには、次の手順を実行します。
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ペインで、「トランザクション」をダブルクリックします。
トランザクション定義の検索ページが表示されます。
目的のトランザクション定義を検索するための基準を検索フィルタに指定し、「検索」をクリックします。
「検索結果」表に、検索基準に一致するトランザクション定義の概要が表示されます。
アクティブ化するトランザクション定義に対応する行を選択します。
「アクティブ化」ボタンを押すか、または「アクション」メニューから「アクティブ化」を選択します。
複数の行を選択した場合、「アクティブ化」ボタンは無効化されます。
トランザクションをアクティブ化するには、(すべてのタブで)必須の情報をすべて入力しておく必要があります。少なくとも1つのソース・データ要素が存在している必要があります。
トランザクション定義を非アクティブ化するには、次の手順を実行します。
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ペインで、「トランザクション」をダブルクリックします。
トランザクション定義の検索ページが表示されます。
目的のトランザクション定義を検索するための基準を検索フィルタに指定し、「検索」をクリックします。
「検索結果」表に、検索基準に一致するトランザクション定義の概要が表示されます。
非アクティブ化するトランザクション定義に対応する行を選択します。
「非アクティブ化」ボタンを押すか、または「アクション」メニューから「非アクティブ化」を選択します。
複数の行を選択した場合、「非アクティブ化」ボタンは無効化されます。
トランザクションを無効化しても、トランザクション・ベースのルールがトリガーされるので注意してください。トランザクションが無効な場合でも、そのトランザクションに作用するように設定されているルールがアクティブな場合は、トランザクション・データが評価の入力として使用されます。ルールがトリガーされると、「セッション詳細」にトランザクション・データが表示され、アラートとアクションがトリガーされます。トランザクションを無効化しても、そのトランザクションは無効になりません。トランザクションの条件マッピングにトランザクションが表示されなくなるだけです。ユーザー・インタフェース・レポート・サマリーに返されるルールに表示されるレコード件数を減らす場合は、トランザクションを無効にします。ただし、すべてのトランザクションの処理を無効にする場合は、ルールを非アクティブ化する必要があります。
データの増大量はトランザクションごとに異なります。データの増大をより効果的に管理できるよう、トランザクション・データのターゲット・パージを指定できます。
ターゲット・パージ・ポリシーにより、データのどの部分をデータベースからパージするかを指定します。データをまったくパージしないように指定したり、他のトランザクションとは異なる時系列でパージすることもできます。ターゲット・パージを設定するには、次の手順を実行します。
エンティティおよびトランザクション・データをアーカイブする場合は、アーカイブ表を設定し、フラグを「true」に設定します。
|
注意: アーカイブはパージ・プロセスの一部であるため、データのアーカイブのみを行うよう選択することはできません。 |
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ペインで、「トランザクション」をダブルクリックします。
トランザクション定義の検索ページが表示されます。
目的のトランザクション定義を検索するための基準を検索フィルタに指定し、「検索」をクリックします。
「検索結果」表に、検索基準に一致するトランザクション定義の概要が表示されます。
目的のトランザクション定義に対応する行を選択します。
トランザクション定義の詳細ページで、「パージ」タブをクリックして、トランザクション・データをデータベースからいつパージするかを決める値を設定します。
データをパージする場合は、「いずれのトランザクション・データもパージしないでください。」オプションの選択を解除します。データをパージしない場合は、「いずれのトランザクション・データもパージしないでください。」を選択します。
注意: データがパージされている場合であっても、エンティティ定義およびトランザクション定義は保持されます。
パージ・メカニズムは階層的です。データは、トランザクションからエンティティへ、さらに関連エンティティへとパージされます。
「次の期間更新されていないトランザクション・データをすべてパージします: 過去」オプションを使用して、削除対象とするデータを指定します。指定した日数より古いデータを削除するようデータベースを設定します。
|
注意: パージ対象のデータが年規模や月規模である場合は、年や月を日に変換する必要があります。 |
過去180日間に更新されていないデータはデフォルトでパージされます。
保存期間が0の場合、そのデータがパージされることはありません。保存期間には英文字または負数は使用できません。
「セッション・トランザクション」パネルに各トランザクションのステータス値を、「名前」、「トランザクションID」、「説明」および「タイムスタンプ」とともに表示するには、プロパティtracker.transaction.status.enumを使用して、それらの値をマップします(1=Success、99=Pendingなど)。
この項では、Oracle Adaptive Access Managerのトランザクション検索機能について説明します。トランザクション検索の詳細は、後続の項を参照してください。
トランザクション検索を使用すると、システムで作成された様々なトランザクションを検索できます。トランザクションを見ると、認可や分析でどのような情報が使用されるかがわかります。たとえば、トランザクション金額やトランザクション口座番号などを検索フィルタとして、「インターネット・バンキング」に関する情報を検索できます。
次に、「インターネット・バンキング」とそのトランザクション関連フィルタを使用したトランザクション検索の例を紹介します。
インターネット・バンキング:
トランザクション金額
トランザクション口座番号
カスタマの名
カスタマの姓
この項では、トランザクション定義のサンプル・ユース・ケースについて説明します。
Joeは、リテール・バンキングのカスタマの1人です。リテール・バンキングのカスタマは、1日当たり合計で$500までの送金を行うことができます。
実施タスク:
送金トランザクションを構成するソース・データ・フィールドを識別します。
送金トランザクション・タイプを識別する一意の識別子を割り当てます。
OAAMエンティティおよびトランザクションの観点で、送金トランザクションをモデル化する方法を決定します。
送金のソース・データとOAAMエンティティおよびトランザクションのマッピングを識別します。
OAAM管理を使用して、策定したモデルに基づいて、送金のエンティティおよびトランザクション定義を作成およびアクティブ化します。
「送金」トランザクションに対する不正チェックを実行可能な不正ポリシーをトリガーするために使用できるOAAMチェックポイントを決定します。既存のチェックポイントを再利用できる場合は、チェックポイントを作成する必要はありません。それ以外の場合は、送金トランザクションのOAAMチェックポイントを作成します。
次に、対象のトランザクションに対する不正ポリシーにどのようなルールを組み込む必要があるかを考えます。
ユース・ケースに基づいて、1日当たりに許容される送金額合計にしきい値を設けます。
B.8「トランザクション条件」でトランザクション・ルール条件のリストを確認します。それらのルール条件の「使用例」に関する項を参照してください。
このユース・ケースでは、「トランザクション: フィルタ条件を使用したトランザクション集計および件数の確認」ルール条件を使用して、ユーザーが1日当たりの送金額のしきい値である$500に達したかどうかを確認できます。
OAAMポリシーを作成し、「トランザクション: フィルタ条件を使用したトランザクション集計および件数の確認」ルール条件を使用してルールを追加し、ルール条件で次のように指定します。
表21-2 トランザクション・ルールの構成
| パラメータ | 値 |
|---|---|
|
チェックするトランザクション |
送金のトランザクション定義を選択します。 |
|
集計関数 |
Sum |
|
カウントするエンティティまたは要素 |
送金額を示すデータ・フィールドを選択します。 |
|
集計の条件 |
「次以上」を選択します。 |
|
集計のチェック値 |
500 |
|
カウントの条件 |
次以上 |
|
カウントのチェック値 |
1 (少なくとも1つのトランザクションが存在することが望ましいため) |
|
継続時間 |
1ローリング日(最後の24時間を1日として扱う)または1カレンダ日(現在のカレンダ日、つまり午前12時から午後11時59分までを1日として扱う) |
|
トランザクション・ステータス |
特定のステータスのトランザクションのみを考慮する場合に選択します。 |
|
現在のトランザクションをカウントで無視する |
現在のトランザクションを除外する場合は、「True」を選択します。含める必要がある場合は「False」を選択し、ルールの実行前にトランザクション・データが作成されていることを確認します。 |
|
同じユーザーに対してか |
デフォルトはTRUEです。現在のユーザーのトランザクションのみを考慮しているので、これを選択します。 |
|
現在のトランザクションにフィルタ・チェックを適用する |
「問合せフィルタ」で条件を指定し、それらを現在のトランザクションに最初に適用する場合は、「True」を選択します。 |
|
問合せフィルタ |
しきい値に達したかどうかを確認する前に集計計算の対象とするトランザクションを微調整できるよう、任意のフィルタを選択します。 |
ルール条件の構成後、ルール条件を満たした場合に「結果」に何を表示するかを指定します。ユーザーがしきい値とスコアに達したことを通知するよう、「アラート」および「アクション」グループを構成できます。クライアント・アプリケーションでは、結果を解釈し、ユーザー・アクションが禁止されていることを示す関連ページにユーザーを適宜リダイレクトできます。
これで、OAAMで設定を準備して、OAAMでトランザクションを作成したり、不正ポリシーとルールをトリガーできるようになりました。
OAAM共有ライブラリを使用して、クライアント・アプリケーションをOAAMと統合します。統合の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』のネイティブJavaアプリケーションの統合に関する項を参照してください。これが必要になるのは、トランザクション機能はネイティブ統合を通じて利用可能になるためです。この統合の一環として、クライアント・アプリケーションで次の2つが実行されます。
OAAMデータ収集APIを呼び出して、トランザクション・データを渡します。OAAMデータ収集APIにより、トランザクション定義に基づくトランザクション・データがOAAMデータベースに保持されます。これにより、OAAMエンティティおよびトランザクション・データが作成されます。これらのAPIの出力は、トランザクションIDです。
OAAMルールAPIを呼び出して、チェックポイントに関連付けられている不正ポリシー/ルールをトリガーします。この手順により、該当するチェックポイントに関連付けられているポリシーやルールを実行するルール・エンジンがトリガーされ、特定のルールがトリガーされた場合はアラートが作成されます。これらのAPIの出力は、ポリシーやルールによって返される一連のアクションおよびリスク・スコアです。
クライアント・アプリケーションとの統合が完了したら、サンプルの送金トランザクションを実行し、エンドツーエンド・フローを確認できます。
このようなチェックは、「トランザクション: フィルタ条件を使用したトランザクション件数の確認」ルール条件を使用して実施できます。表21-3に、ルール条件の重要なパラメータを示します。
このようなチェックは、「トランザクション: フィルタ条件を使用したトランザクション集計および件数の確認」ルール条件を使用して実施できます。表21-4に、ルール条件の重要なパラメータを示します。
このようなチェックは、「トランザクション: フィルタ条件を使用した現在のトランザクションの確認」ルール条件を使用して実施できます。
ルールを構成する前に、2つの口座グループ、つまりブラックリストに記載された預金口座のリストおよびブラックリストに記載された送金先口座のリストをそれぞれ1つずつ作成します。これらのグループには、ブラックリストに記載された口座のリストを移入してください。これらのタスクは、OAAM管理で行うことができます。
その後、「トランザクション: フィルタ条件を使用した現在のトランザクションの確認」ルール条件を使用してルールを作成し、次のように構成します。
例: 大きなトランザクション(金額 > $500)が最後の数時間で試行される前に、いくつかの小さなトランザクション(金額 < $10)が行われたかどうかを確認するルールを構成します。その場合、ユーザーは、この大きなトランザクションの前にチャレンジを受ける必要があります。
このようなチェックを構成するには、「トランザクション: 特定期間中の連続トランザクションがフィルタ条件を満たすかどうかの確認」ルール条件を使用します。
ルール条件パラメータは、次のように構成する必要があります。
表21-6 トランザクション・パターン
| パラメータ | 値 |
|---|---|
|
チェックするトランザクションの選択 |
このチェックを適用するトランザクション定義を選択します。 |
|
継続時間 |
考慮するトランザクションの継続時間を入力します。 |
|
チェック中のトランザクションのギャップを許可するか |
ギャップを許容する場合は「True」を選択し、許容しない場合は「False」を選択します。 |
|
1番目の条件セットをチェックするトランザクション数 |
1番目の条件セットの対象とするトランザクションの数を入力します。たとえば、最初に2つの小さなトランザクションをチェックする場合は、値として「2」を入力します。 |
|
1番目の条件セットのチェック |
1番目のトランザクション・セットに適用する条件を次のように入力します。
|
|
2番目の条件セットをチェックするトランザクション数 |
1番目の条件セットの対象とするトランザクションの数を入力します。たとえば、2つの小さなトランザクションの後に1つの大きなトランザクションをチェックする場合は、「2番目の条件セットをチェックするトランザクション数」の値として「1」を入力します。 |
|
2番目の条件セットのチェック |
2番目のトランザクション・セットに適用する条件を次のように入力します。
|
