厳密認証を使用すると、Secure Sockets Layer (SSL)などの追加のツールを構成して、データベースにログインするユーザーの識別情報を検証できます。
内容は次のとおりです。
認証は、データベースにログインしようとしているユーザーの識別情報を証明するために使用されます。
分散環境では、ユーザーIDを認証することが必須であり、これを行わないとネットワーク・セキュリティの信頼性はほぼありません。パスワードは、認証で最も一般的な手段です。Oracle Databaseでは、Oracle認証アダプタを使用して厳密認証を有効にし、Oracle認証アダプタは、デジタル証明書を使用したSSLを含む様々なサード・パーティ認証サービスをサポートします。
図15-1は、サード・パーティの認証サーバーを使用するように構成されたOracle Databaseインスタンスでのユーザー認証を示しています。ネットワークのすべてのメンバー(クライアントからサーバー、サーバーからサーバー、ユーザーからクライアントとサーバーの両方)を1箇所で集中的に認証する方法は、メンバーのIDを偽造するネットワーク・ノードの脅威に対処する効果的な方法の1つです。
シングル・サインオンでは、ユーザーは1つのパスワードで複数のアカウントとアプリケーションにアクセスできます。
集中化された認証では、シングル・サインオン(SSO)の利点もユーザーに提供されます。
シングル・サイン・オンでは、ユーザーがログインする必要があるのは1回のみであり、ユーザー名とパスワードを再度入力しなくても、他の任意のサービスに自動的に接続できます。シングル・サインオンを使用すると、ユーザーは複数のパスワードを記憶したり管理する必要がなくなるため、複数のサービスへのログインに費やす時間を削減できます。
集中化されたネットワーク認証システムは、Oracleサーバー、認証サーバー、およびOracleサーバーへ接続するユーザーの間で機能します。
図15-2は、集中化されたネットワーク認証サービスの通常の動作を示しています。
集中化されたネットワーク認証プロセスは、次のように動作します。
ユーザー(クライアント)が認証サービスを要求し、トークンまたはパスワードなどの識別情報を入力します。
認証サーバーによりユーザーの識別情報が検証され、チケットまたは資格証明がクライアントに渡されます。チケットまたは資格証明には期限がある場合があります。
クライアントは、これらの資格証明をサービス要求(データベースへの接続など)と一緒にOracleサーバーに渡します。
サーバーは資格証明を認証サーバーに渡し、認証を行います。
認証サーバーは資格証明をチェックし、Oracleサーバーに通知します。
認証サーバーが資格証明を受け入れた場合、Oracleサーバーはユーザーを認証します。認証サーバーが資格証明を拒否した場合、認証は失敗し、サービス要求は拒否されます。
Oracle Databaseは、業界で標準的な次の認証方式をサポートしています。
内容は次のとおりです。
Oracle DatabaseはKerberosをサポートしており、Oracleユーザーにシングル・サインオンおよび集中化された認証の利点を提供します。
Kerberosは、共有秘密を使用するサード・パーティの認証システムです。サード・パーティがセキュアであることを保障し、シングル・サインオン機能、集中化されたパスワード・ストレージ、データベース・リンク認証、拡張されたPCセキュリティを提供します。Kerberosは、Kerberos認証サーバーを使用して認証を行います。このアダプタの構成および使用の詳細は、「Kerberos認証の構成」を参照してください。
注意:
Kerberos用のOracle認証では、データベース・リンク認証(プロキシ認証とも呼ばれる)が提供されます。Kerberosは、エンタープライズ・ユーザー・セキュリティでサポートされている認証方式でもあります。
RADIUSは、最も広く知られている、リモートでの認証とアクセスを可能にするクライアント/サーバー・セキュリティ・プロトコルです。
Oracle Databaseは、この標準をクライアント/サーバー・ネットワーク環境で使用して、RADIUSプロトコルをサポートするあらゆる認証方式の使用を可能にします。RADIUSは、トークン・カードやスマートカードなど、いろいろな認証メカニズムで使用できます。
スマート・カード。RADIUS準拠のスマートカードは、クレジット・カードに似たハードウェア・デバイスであり、メモリーとプロセッサを備えています。クライアント・ワークステーションにあるスマートカード・リーダーで読み取られます。
トークン・カード。トークン・カード(Secure IDまたはRADIUSに準拠)は、いくつかの異なるメカニズムによって使いやすくできます。一部のトークン・カードは、認証サービスと同期された1回かぎりのパスワードを動的に表示します。サーバーは、認証サービスにアクセスすることにより、トークン・カードによって提供されるパスワードを任意の時点で検証できます。トークン・カードにはキーパッドを持ち、チャレンジ・レスポンス・ベースで動作するものがあります。この場合、サーバーはユーザーがトークン・カードに入力するチャレンジ(番号)を提供します。トークン・カードはレスポンス(チャレンジから暗号的に導出される別の番号)を提供し、ユーザーはそれを入力してサーバーに送信します。
SecurIDトークンはRADIUSアダプタを介して使用できます。
関連項目:
RADIUSの構成および使用の詳細は、RADIUS認証の構成を参照してくださいSecure Sockets Layer(SSL)は、ネットワーク接続を保護するための業界標準プロトコルです。
SSLは、認証、データの暗号化およびデータの整合性を提供します。
SSLプロトコルは、公開鍵インフラストラクチャ(PKI)の基盤です。認証のために、SSLはX.509v3標準に準拠したデジタル証明書と公開鍵/秘密鍵ペアを使用します。
Oracle DatabaseのSSLは、任意のクライアントと任意のサーバー間の通信を保護するために使用できます。SSLは、サーバーのみ、クライアントのみ、またはクライアントとサーバーの両方に認証を提供するように構成できます。また、Oracle Databaseでサポートされている他の認証方式(データベース・ユーザー名とパスワード、RADIUSおよびKerberos)と組み合せて、SSL機能を構成することもできます。
PKI実装をサポートするために、Oracle DatabaseにはSSL以外に次の機能があります。
Oracleウォレット(PKI資格証明を格納できる)
Oracle Wallet Manager (Oracleウォレットを管理するために使用できる)
証明書失効リスト(CRL)による証明書の検証
ハードウェア・セキュリティ・モジュールのサポート
関連項目:
SSL、証明書の検証およびハードウェア・セキュリティ・モジュールの概念、構成および使用の詳細は、Secure Sockets Layer認証の構成を参照してください
他の認証方式と組み合せたSSLの構成の詳細は、「厳密認証の使用のカスタマイズ」を参照してください。
Oracle Databaseネットワーク暗号化および厳密認証アーキテクチャは、Oracleデータベース・サーバーまたはクライアントのインストールを補完します。
図15-3は、Oracleネットワーク環境におけるこのアーキテクチャを示しています。
Oracle Databaseでは、既存のOracleプロトコル・アダプタと同様のアダプタによって認証がサポートされます。図15-4に示すように、認証アダプタによってOracle Netインタフェースが統合され、既存のアプリケーションを変更しなくてもそれらのアプリケーションで新しい認証システムを透過的に利用できるようになります。
関連項目:
Oracleネットワーク環境でのスタック通信の詳細は『Oracle Database Net Services管理者ガイド』を参照してください。Kerberos、RADIUSおよびSecure Sockets Layer (SSL)には、厳密認証のための一連のシステム要件があります。
表15-1に、厳密認証のためのSSLシステム要件を示します。
表15-1 認証方式とシステム要件
認証方式 | システム要件 |
---|---|
Kerberos |
|
RADIUS |
|
SSL |
|
Oracleアプリケーションは、Oracleネットワークの暗号化および厳密認証をサポートしています。
ただし、Oracleネットワーク暗号化および厳密認証ではデータを安全に送信するためにOracle Net Servicesが必要であるため、Microsoft Windowsで実行されるOracleの財務管理アプリケーション、人事管理アプリケーションおよび生産管理アプリケーションの一部では、これらの外部認証機能はサポートされません。
Oracle Display Manager (ODM)ではOracle Net Servicesが使用されないため、これらの製品のODMを使用する部分では、Oracleネットワーク暗号化および厳密認証は利用されません。