Oracle® Fusion Middleware Enterprise Single Sign-On Suiteの保護 11g リリース2 (11.1.2.3) E67362-03 |
|
前 |
次 |
Universal Authentication Managerでは、柔軟かつ応用性の高い、汎用的な認証ソリューションが提供されているため、多種多様な認証方式をそのフレームワークおよびAPIと統合できます。Universal Authentication Managerでは、スマート・カード、パッシブ型近接型カード、指紋による生体認証、チャレンジ質問の4つの構成可能な組込みの認証方式が、すぐに使用できるように提供されています。ネイティブのWindowsパスワードもサポートされます。
注意: Universal Authentication Managerは、エンタープライズ・モード(中央管理型、リポジトリ・ベース)およびローカル・モード(スタンドアロン)のいずれにおいてもデプロイできます。この項における推奨事項は、管理者が構成したポリシーによりエンタープライズ全体で実施するためのもので、主にUniversal Authentication Managerのエンタープライズ・モードにのみ適用されます。詳細は、『Oracle Enterprise Single Sign-On Suite Plus管理者ガイド』を参照してください。 |
それぞれの方法の使用にあたっては、次のガイドラインに従い、セキュリティを最大化してください。
強度の高いPINを使用します(指紋、近接型/スマート・カードのみ)。
選択したログオン方法に関連するPINを要求し、2要素認証を実行します。使用している環境がPINの使用を禁止していないかぎり、PINを構成し、常に要求するようにしてください。
最小長を長くする、複数の文字タイプ(大文字、数字、拡張文字)を要求するなど、それぞれのログオン方法のPINポリシーを構成し、PINの複雑度を高めます。
スマート・カードを使用する場合、スマート・カードの組込みPINを使用するようにUniversal Authentication Managerを構成し、カードに記録されたPINポリシーを再構成して前述のようにPINの複雑性を高めてください。
スマート・カードを使用する場合、エンタープライズの公開鍵インフラストラクチャ(PKI)を使用するようにカードを構成し、証明書失効プラグインをインストール、構成します。(証明書失効プラグインの詳細は、Oracleサポートにお問合せください。)
厳密な認証のみをログオン方法として許可します。WindowsパスワードをUniversal Authentication Managerへのログオン方法として許可しないことにより、総当たり攻撃およびソーシャル・エンジニアリング攻撃の機会を減少させることができます。
使用している環境にパスワードが必要な場合、エンタープライズ・ワイドな、複雑性を要求するパスワード・ポリシーを実施します。総当り攻撃の機会を最小限にするため、パスワード・ポリシーは、非常に複雑なパスワードの使用を要求するものである必要があります。
一意のチャレンジ質問を実施します。簡単に回答を予測できない、一意のチャレンジ質問を作成、実施してください。
注意: Universal Authentication Managerは、エンタープライズ・モード(中央管理型、リポジトリ・ベース)およびローカル・モード(スタンドアロン)のいずれにおいてもデプロイできます。詳細は、Oracle Enterprise Single Sign-On Suiteの管理を参照してください。 |
Universal Authentication Managerは、ユーザー認証およびポリシー・データを、Active Directoryベースのリポジトリにセキュアに保存します。Universal Authentication Managerとリポジトリ間で保存、転送されるデータは常に暗号化されているため、不正な管理者がリポジトリの内容を直接閲覧しても、データを解読できません。また、セキュリティをさらに強化するために、使用しているリポジトリをSSL接続用に構成することをお薦めします。
Universal Authentication Managerをエンタープライズ(リポジトリ同期)・モードで動作させる場合、Universal Authentication Managerにリポジトリへの接続および変更を許可するドメイン・アカウントを作成、構成する必要があります。セキュリティを最大化するため、次のことを行う必要があります。
『Oracle Fusion Middleware Enterprise Single Sign-On Suiteの管理』のガイドに記載された、最小限の必要な権限割当てなどのリポジトリ構成手順を厳守してください。サービス・アカウントにはいかなる追加権限も付与しないでください。
Universal Authentication Managerリポジトリ・コンテナを、このサービス・アカウントのみがアクセスでき、その他のユーザーがアクセスできないように構成します。
注意: また、Universal Authentication Managerを機能させるため、エンド・ユーザー・ワークステーションにおいて、このアカウントにローカルで「サービスとしてログオンする」権限を与える必要があります。 |
Universal Authentication Managerをエンタープライズ・モードでデプロイする場合、構成のデフォルト値に依存するのではなく、各Universal Authentication Managerの設定を明示的に実行するエンタープライズ・ワイドなポリシーを実施し、ユーザーが変更できないようにすることを強くお薦めします。明示的なポリシーが有効である場合、エンド・ユーザーがUniversal Authentication Manager設定を変更することはできません。
Universal Authentication Managerをチャレンジ質問ログオン方法でデプロイしていて、Password Resetを使用してチャレンジ質問を一元的に構成し、ユーザーの登録データを保存する場合は、セキュリティを最大化するため、Password ResetのインストールにおいてSSL接続のみを許可するよう設定することをお薦めします。Password Resetとの統合の詳細は、『Oracle Enterprise Single Sign-On Universal Authentication Manager管理者ガイド』を参照してください。