Oracle® Fusion MiddlewareOracle Adaptive Access Manager開発者ガイド 11gリリース2 (11.1.2.3.0) E67356-01 |
|
前 |
アクセス認証
HTTPトランザクションのコンテキストにおける基本的なアクセス認証の方法は、Webブラウザや他のクライアント・プログラムでリクエストを行うときに、資格証明をユーザー名とパスワードの形式で提供できるように設計されています。
Adaptive Risk Manager
Oracle Adaptive Access Managerの機能のカテゴリです。ビジネス分析とリスク分析、不正調査およびカスタマ・サービス・ツールはAdaptive Risk Managerカテゴリに属します。
Adaptive Strong Authenticator
Oracle Adaptive Access Managerの機能のカテゴリです。エンド・ユーザーが使用するインタフェース、フローおよび認証方式はすべて、Adaptive Strong Authenticatorのカテゴリに属します。
ASP.NET
ASP.NETは、プログラマが動的なWebサイト、WebアプリケーションおよびWebサービスを構築できるWebアプリケーション・フレームワークです。OAAMには、OAAM .NET開発キット(SDK)が用意されています。OAAM .NET SDKは、ASP.NETアプリケーションとOAAMとの統合に使用します。その中のOAAM .NET APIは、OAAM .NETライブラリ、OAAMサンプル.NETアプリケーション、OAAMフラッシュ・ムービー・ページ、および.NETのネイティブ統合に必要なその他のファイルによって公開されています。任意のASP.NET言語で作成されているASP.NETアプリケーションでは、OAAM .NET APIを使用してOracle Adaptive Access Managerをコールできます。
API
Application Programming Interfaceは、ソフトウェアベースのサービスへのアクセス方法を定義します。Oracle Adaptive Access Managerでは、デバイスのフィンガープリント処理、認証ログとトランザクション・ログの収集、セキュリティ・ルールの実行、事前登録された質問に対するユーザーからの正しい回答を求めるチャレンジ、KeyPad、TextPad、QuestionPadなどの仮想認証デバイスの生成を可能にするAPIが提供されます。
属性
属性は、追跡中のアクティビティに関連付けられた特定の情報です。例としてログイン時刻をあげることができます。パターンによって、メンバーに関するデータが収集されます。メンバー・タイプがユーザーである場合、パターンによってユーザーに関するデータが収集されます。
認証ステータス
認証ステータスはセッションのステータスです(ログイン試行またはトランザクション試行のたびに、新規セッションが作成されます)。
次に例を示します。
ユーザーが初めてログインして登録処理を実行し、その登録処理を完了しないでログアウトした場合、このユーザー・セッションの認証ステータスは「アクティブ化保留中」に設定されます。
ユーザーが異なるデバイスまたは場所からログインした場合、そのユーザーはチャレンジを受けます。ユーザーはチャレンジ質問への回答を3回試みてすべて失敗し、このセッションの認証ステータスは「不正なパスワード」に設定されます。
ユーザーがログインし、最後のトランザクション・ページまたは成功ページまで到達した場合、その特定のセッションの認証ステータスは「成功」に設定されます。
ユーザーが不正でブロックされた場合、そのセッションのステータスは「ブロック」に設定されます。
自動学習
自動学習は、動作をリアルタイムで動的にプロファイリングする、Oracle Adaptive Access Managerの一連の機能です。ユーザー、デバイスおよび場所の動作が記録され、現在の動作のリスクを評価するために使用されます。
ブラックリスト
ブロックされるユーザー、デバイス、IPアドレス、ネットワーク、国などを示す特定のリストです。特定のメンバーからの攻撃をレポートに表示し、その攻撃を管理者の判断でブラックリストに手動で追加できます。
ブロック済
ユーザーが「ブロック済」になるのは、ポリシーの特定の条件がtrueになり、そのポリシーがこのような条件にブロック・アクションで応答するように設定されている場合です。該当する条件が変更されると、ユーザーは「ブロック済」ではなくなる場合があります。「ブロック済」ステータスは必ずしも永続的なものではないため、解決に管理者のアクションを必要としない場合があります。たとえば、ユーザーがブロックされた原因が、ブロックされる国からログインしたことである場合、出国後は「ブロック済」ではなくなる可能性があります。
ボット
インターネットを経由して、セキュリティが損なわれたPC上で自動化または編成されたタスクを実行するソフトウェア・アプリケーションです。編成されたボットは、ボット・ネットまたはゾンビ・ネットワークとして知られています。
ブラウザのフィンガープリント処理
ユーザーがシステムにアクセスすると、OAAMによってコンピュータに関する情報が収集されます。サイトでそのようなデータがすべて組み合され、ユーザーのブラウザのフィンガープリントが作成されます。このフィンガープリントによって、ユーザーを一意に識別できる場合があります。ブラウザのフィンガープリントを構成する情報には、ブラウザ・タイプ、インストールされた拡張機能、システム・フォント、オペレーティング・システムの構成およびバージョン情報、コンピュータでCookieを受け入れるかなどがあります。
ブラウザとFlashのフィンガープリントは別々に追跡されます。フィンガープリントはセッション・リストと詳細ページから使用でき、各詳細ページを開くとフィンガープリントの詳細を確認できます。したがって、両方のフィンガープリントを使用可能にできますが、ユーザーがFlashをインストールしていない場合、デジタル・フィンガープリント(Flash)はNULLに設定されます。
ケース
ケースによって、カスタマ・サービスの問題を追跡および解決するツールが提供されます。
ケースは、カスタマおよびカスタマの様々なアカウント・アクティビティをサポートするためにCSRが実行するすべてのアクションの記録です。各ケースには、一意のケース識別番号であるケース番号が割り当てられます。
チャレンジ質問
チャレンジ質問は、セカンダリ認証に使用される有限の質問リストです。
登録中、ユーザーにはいくつかの質問メニューが提示されます。たとえば、3つの質問メニューが提示される場合があります。登録中、ユーザーはメニューごとに質問を1つ選択し、その回答を入力する必要があります。質問メニューごとに1つのみ質問を登録できます。これらの質問は、ユーザーの登録済質問になります。
OAAM管理内のルールによってチャレンジ質問がトリガーされると、OAAMサーバーでは、チャレンジ質問を表示し、ユーザーにとってセキュアな方法で回答を受け入れます。質問はQuestionPad、TextPadおよびその他のパッドで提示でき、この場合、チャレンジ質問はオーセンティケータのイメージまたは簡単なHTMLに埋め込まれます。
チェックポイント
チェックポイントは、Oracle Adaptive Access Managerがセッション内でルール・エンジンを使用してセキュリティ・データを収集および評価する特定のポイントです。
チェックポイントの例を次に示します。
認証前 - ルールはユーザーが認証プロセスを完了する前に実行されます。
認証後 - ルールはユーザーが正常に認証された後に実行されます。
完了した登録
登録を完了したユーザーのステータスです。ユーザーは自身を登録するために、パーソナライズ(イメージおよびフレーズ)、チャレンジ質問/回答および電子メール/携帯電話の登録をすべて完了することが必要になる場合があります。
Cookie
Cookieは少量のテキストやデータからなる文字列で、ユーザーのコンピュータに格納されます。Oracle Adaptive Access Managerでは、2つのタイプのCookieを使用してデバイス識別を実行します。1つはブラウザCookie(セキュアなCookieとも呼ばれます)であり、もう1つはFlash Cookie(デジタルCookieとも呼ばれます)です。ブラウザCookie値は、ブラウザのユーザー・エージェント文字列を使用して作成されます。Flash Cookie値は、OAAMのFlash動画データを使用して作成されます。
CSR
カスタマ・サービス担当は、カスタマからの問合せに基づいてカスタマの低リスクの問題を解決します。CSRによるOAAM管理へのアクセスは制限されています。
ログインまたはトランザクションがブロックされた理由の表示
エスカレーションを支援するための、重大度フラグとアラート・ステータスの表示
カスタマが使用する一時許可の発行などのアクションの完了
データ・マイニング
データ・マイニングとは、大量に保管されているデータを自動的に検索して、単純な分析では得られないパターンや傾向を見つける手続きです。データ・マイニングでは高度な数学的アルゴリズムを使用して、データを分割し、将来のイベントの発生確率を判断します。データ・マイニングは、データからの知識発見(KDD)としても知られています。データ・マイニングを行うと、単純な問合せや報告技術では解決できない問題を解決できます。
デバイスのフィンガープリント処理
デバイスのフィンガープリント処理と識別は、OAAMでアクセス・リクエストまたはトランザクションのリスクを評価するために利用される、数多くの属性の中の1つです。OAAMでは、完全なレイヤー化セキュリティ・ソリューションが提供されます。デバイスのフィンガープリント処理と識別は、それらのレイヤーのうちの1つのみを表します。
OAAMでは、純粋なWeb環境におけるブラウザ・ベースのフィンガープリント処理が提供されます。これは、クライアント・ソフトウェアが不要であることを意味します。これにより、大勢の多様なユーザーを対象としたソリューションのデプロイメントが管理可能になります。また、クライアント側にロジックを配置しないことで、ロジックの改ざんを防げます。Javaアプレットやネイティブ・モバイル・アプリケーションなどのクライアント・ソフトウェアをデプロイする場合は(またはデプロイが必要な場合は)、OAAMでは、クライアントによって収集された追加デバイスのフィンガープリント・データ(IMEI、MACなど)を受け入れることができます。ハードウェア・ベースの一意の識別子などの追加データを提供すると、フィンガープリント処理の適性は向上します。
ブラウザ・ベースのフィンガープリント処理を使用するときには、各ブラウザに固有のデバイスIDが割り振られます。これは、同一のラップトップ上にインストールされているInternet ExplorerとFirefoxが、それぞれOAAMコンソールの別々のデバイスIDとして表示されることを意味します。これは意図的なもので、OAAMが提供するセキュリティ・レベルに影響はありません。OAAMでは、デプロイメントで使用されるすべてのデバイスIDのプロファイリングが、ユーザーに関連付けて実行される場合や別個に実行される場合があるからです。Firefoxを使用するユーザーが、時にはInternet Explorerを使用することはめずらしくありません。OAAMでは、これをプロファイルの一部として追跡します。
OAAMブラウザのフィンガープリント処理ロジックでは、ブラウザ・ユーザー・エージェント文字列データのみでなく、セッション中に使用可能なその他のコンテキスト・データも使用されます。その他のデータには、1回かぎり使用されるセキュアなCookieやFlash共有オブジェクトも含まれます(存在する場合)。ユーザーがCookieやFSOを削除してしまった場合やそれらを有効化していない場合、デバイスのフィンガープリント処理ロジックが自動的に対応します。OAAMは、短期間の間(3回のログイン)新しいIDを割り当てます。その後、ユーザーの動作が変わらない場合は(同一のユーザーが同一のIPを使用している場合など)、以前のIDに戻します。デバイスのフィンガープリント処理では、オペレーティング・システムやブラウザのアップグレードなど、デバイス・データの一般的な変更も考慮されます。
デバイス識別
登録処理中、ユーザーは任意で自身のデバイスをシステムに登録できます。登録済デバイスからユーザーがログインを試行すると、アプリケーションはそのデバイスが安全かつセキュアであることを認識しているため、ユーザーにトランザクションの続行を許可します。このプロセスはデバイス識別とも呼ばれます。
デバイス登録
デバイス登録は、ユーザーが安全なデバイスとして使用しているデバイス(コンピュータ、携帯電話、PDAなど)にフラグを付けることができる機能です。カスタマはその後、登録済デバイスからアクセスしていないユーザーへのチャレンジに使用するルールを構成できます。
一度機能を有効化すると、そのユーザーのデバイスに関する情報が収集されます。収集した情報を活用するには、ポリシーを作成および構成する必要があります。たとえば、登録済デバイスからログインしていないユーザーへのチャレンジに使用するルールを含むポリシーを作成できます。
エンティティ
エンティティ構造は、最適化のために複数の関連するデータ・ポイントを組み込むことで作成されます。エンティティは、そのエンティティの新しいインスタンスを作成することで、複数のトランザクションで再使用できます。エンティティはどのトランザクションにも関連付けられておらず、依存もしていません。
たとえば、shipping address
およびbilling address
インスタンスは、Address
エンティティの2つの異なるトランザクション用に作成できます。住所エンティティには、データ・ポイントとしてstreet number
、street name
、apartment number
、city
、state
、postal code
およびcountry
を含めることができます。
有効期限日
CSRケースの有効期限が切れる日付です。デフォルトでは、ケースの有効期限が切れるまでの時間は24時間です。24時間後、ステータスが現在のステータスから「有効期限切れ」に変化します。ケースは有効期限が切れるとき、保留中やエスカレーション済のステータスになっている場合があります。ケースの有効期限が切れた後、ユーザーはそのケースを開くことができなくなりますが、CSRマネージャは開くことができます。ケースの有効期限が切れるまでの時間は構成可能です。
実行タイプ
構成可能なアクションには、次の2つの実行タイプがあります。
同期 - 同期アクションは、昇順の優先度に従って実行されます。たとえば、ユーザーがケースを作成し、そのケースIDを含む電子メールを送信する必要がある場合、ユーザーは同期アクションを選択します。同期アクションは即時にトリガー(実行)されます。
アクションが順次実行されており、順序内のアクションの1つがトリガーされない場合でも、その他のアクションはトリガーされます。
非同期アクションは実行用のキュー内に配置されますが、特定の順序には従いません。たとえば、電子メールを送信するかアクションを実行するときに、即時実行せず、実行順序にこだわらない場合は、非同期アクションを選択します。
列挙
ユーザー定義列挙は、アイテムのリストを表すプロパティの集合です。リスト内の各要素には、複数の異なる属性が含まれている場合があります。ユーザー定義列挙の定義はキーワード.enumで終わるプロパティで始まり、ユーザー定義列挙の使用を記述する値が続きます。各要素定義は、列挙と同じプロパティ名に要素名が追加されたもので始まり、IDである一意の整数の値が続きます。要素の属性も同じパターンに従い、要素のプロパティ名で始まり、その後に属性名がその属性の適切な値とともに示されます。
OAAMサーバー実装のログイン画面に表示される、列挙定義資格証明の例を次に示します。
bharosa.uio.default.credentials.enum = Enum for Login Credentials bharosa.uio.default.credentials.enum.companyid=0 bharosa.uio.default.credentials.enum.companyid.name=CompanyID bharosa.uio.default.credentials.enum.companyid.description=Company ID bharosa.uio.default.credentials.enum.companyid.inputname=comapanyid bharosa.uio.default.credentials.enum.companyid.maxlength=24 bharosa.uio.default.credentials.enum.companyid.order=0 bharosa.uio.default.credentials.enum.username=1 bharosa.uio.default.credentials.enum.username.name=Username bharosa.uio.default.credentials.enum.username.description=Username bharosa.uio.default.credentials.enum.username.inputname=userid bharosa.uio.default.credentials.enum.username.maxlength=18 bharosa.uio.default.credentials.enum.username.order=1
Flashのフィンガープリント処理
Flashのフィンガープリント処理は、ブラウザのフィンガープリント処理に似ていますが、サーバーでFlash動画を使用してCookieを設定またはユーザーのマシンから取得することによって、特定の情報の組合せがブラウザとFlashから取得されるようにします。Flashがクライアント・マシンにインストールされている場合、Flashフィンガープリントが唯一の情報になります。
フィンガープリントは別々に追跡されます。フィンガープリントはセッション・リストと詳細ページから使用でき、各詳細ページを開くとフィンガープリントの詳細を確認できます。したがって、両方のフィンガープリントを使用可能にできますが、ユーザーがFlashをインストールしていない場合、デジタル・フィンガープリント(Flash)はNULLに設定されます。
不正調査担当者
不正調査担当者は主に、カスタマ・サービスまたはOracle Adaptive Access Managerのアラートから直接エスカレーションされた疑わしい状況を調査します。エージェントはすべてのカスタマ・ケア機能にアクセスできるだけでなく、セキュリティ管理とBI Publisherレポートの読取り専用権限もあります。
不正調査マネージャ
不正調査マネージャには、調査担当者のすべてのアクセス権と職務、およびすべてのケースを管理する責任があります。調査マネージャは定期的に有効期限の切れたケースを検索し、保留中のケースを残さないようにする必要があります。
不正シナリオ
不正シナリオは、企業のオンライン・アプリケーションを標的にした悪意のある行為など、発生する可能性がある、または実際に発生している不正な状況です。
たとえば、月曜日にオフィスに到着し、OAAM管理にログインしたとします。そこで、数人のユーザーが「不正なパスワード」および「無効なユーザー」ステータスで何回もログインしていることに気付きます。このうち何人かは国外、何人かは同じ地域からログインしたようです。不正チームから、一部のアカウントのセキュリティが損なわれていることを知らせる電話が入ります。このようなトランザクションを識別してブロックできる一連のルールを用意する必要があります。
In-Proc統合
この統合では、アプリケーションにOracle Adaptive Access Managerの処理エンジンが埋め込まれるため、基礎となるデータベースを処理に直接活用することが可能になります。このシナリオでは、アプリケーションにサーバーのJARファイルと構成されたプロパティを適宜含める必要があります。
ナレッジベース認証(KBA)
OAAMナレッジベース認証(KBA)は、登録済チャレンジ質問に基づくユーザー・チャレンジ・インフラストラクチャです。登録ロジック、チャレンジ・ロジックおよび回答ロジックを処理します。
ロック済
「ロック済」は、ユーザーがKBAまたはOTPチャレンジに失敗した場合にOracle Adaptive Access Managerによって設定されるステータスです。「ロック済」ステータスが使用されるのは、KBAまたはワンタイム・パスワード(OTP)機能が使用中の場合のみです。
OTP: 構成済の配信方法を使用してOTPからユーザーにワンタイムPINまたはパスワードが送信され、そのユーザーによるOTPコードの入力試行回数が一定数を超えた場合、アカウントは「ロック済」になります。
KBA: オンライン・チャレンジの場合、オンライン・カウンタが最大失敗回数に達したときに、カスタマはセッションからロックアウトされます。電話チャレンジの場合、失敗の最大数に達し、それ以上チャレンジ質問が残っていない場合に、カスタマがロックアウトされます。
ロックアウトされた後、再度そのアカウントを使用してユーザーがシステムにログインするには、カスタマ・サービス担当がステータスを「ロック解除」にリセットする必要があります。
マルウェア
マルウェアは、所有者に情報を提供して同意を得ることなく、コンピュータ・システムに潜入して損害を与えるように設計されたソフトウェアです。マルウェアには、キー・ロガーやその他のタイプの悪意のあるコードが含まれる場合があります。
中間者攻撃(プロキシ攻撃)
不正行為者が、二者間のリンクのセキュリティが損なわれていることをいずれの当事者にも知られることなく、二者間のメッセージの読取り、挿入および変更を自由に行うことができる攻撃です。
マルチファクタ認証
マルチファクタ認証(MFA)は、複数の認証形式を実装してトランザクションの正当性を検証するセキュリティ・システムです。一方、単一ファクタ認証(SFA)ではユーザーIDとパスワードのみが使用されます。
マルチプロセス・モジュール(MPM)
Apache httpdにはいくつかのマルチプロセス・モジュール(MPM)が付属しています。これらのモジュールは、マシン上のネットワーク・ポートへのバインド、リクエストの受入れ、およびリクエストを処理するための子のディスパッチを行います。
相互認証
相互認証または双方向認証とは、二者間で互いを適切に認証することを指します。技術的には、いずれの当事者にも相手のアイデンティティが保証される方法で、クライアントまたはユーザーが自身をサーバーに対して認証し、そのサーバーが自身をユーザーに対して認証することを指します。
ネイティブ統合
ネイティブ統合では、アプリケーションをカスタマイズして、ログイン・プロセスの各ステージでOAAM APIコールを含めます。アプリケーションでは、Oracle Adaptive Access Managerを直接起動することで、アプリケーション自体で認証フローとチャレンジ・フローを管理します。
SOAPサービス・ラッパーAPI: アプリケーションは、Oracle Adaptive Access Managerネイティブ・クライアントAPI (SOAPサービス・ラッパーAPI)またはWebサービスを使用してOracle Adaptive Access Managerと通信します。アプリケーションでは、Oracle Adaptive Access Managerとの対話にSOAPコールが使用されます。
静的リンク: Oracle Adaptive Access Manager (OAAMライブラリ)の処理エンジンがアプリケーションに埋め込まれます。基礎となるデータベースが処理に直接利用されます。
OAAMサーバー
ネイティブ統合を除くすべてのデプロイメント・タイプで使用される、Adaptive Risk ManagerとAdaptive Strong Authenticatorの機能、Webサービス、LDAP統合およびユーザーWebアプリケーションです。
ワンタイム・パスワード認証(OTP)
ワンタイム・パスワード認証(OTP)は、アウト・オブ・バンド認証形式の1つであり、セカンダリ資格証明として使用され、事前に構成されたチェックポイントで構成済のポリシーに基づいて生成されます。
OTP Anywhere
OTP Anywhereは、リスク・ベースのチャレンジ・ソリューションであり、構成済のアウト・オブ・バンド・チャネルを経由してエンド・ユーザーに送信されるサーバー生成のワンタイム・パスワードから構成されます。サポートされるOTP配信チャネルには、ショート・メッセージ・サービス(SMS)、電子メール、インスタント・メッセージングなどがあります。OTP Anywhereは、KBAチャレンジを補完するために、またはKBAのかわりに使用できます。また、OTP AnywhereとKBAは、いずれも、デプロイメント内で他に必要となる、実質的にすべての認証タイプとともに使用できます。Oracle Adaptive Access Managerでは、チャレンジ・プロセッサ・フレームワークも提供されます。このフレームワークを使用すると、サード・パーティ認証製品またはサービスをOAAMリアルタイム・リスク評価と組み合せた、リスク・ベースのカスタム・チャレンジ・ソリューションを実装できます。
Oracle Adaptive Access Manager
企業とそのカスタマをオンラインで保護するための製品です。
Oracle Adaptive Access Manager
マルチファクタ認証セキュリティを提供します。
複数のデータ型を評価してリアルタイムでリスクを特定します。
オフライン環境における不正ポリシーの調査と作成に役立ちます。
アクセス管理アプリケーションと統合されます。
Oracle Adaptive Access Managerは、OAAMサーバーおよびOAAM管理という2つの主要コンポーネントから構成されます。
パターン
パターンは管理者によって構成され、アクセス・データのダイジェストを作成することによって、システムにアクセスするユーザー、デバイスおよび場所の動作を記録します。ダイジェストまたはプロファイル情報は、その後履歴データ表に格納されます。ルールによってパターンが評価され、動的にリスク・レベルが査定されます。
パーソナライズ・アクティブ
アクティブなイメージ、フレーズおよび質問を持つユーザーのステータスです。パーソナライズは個人バックグラウンド・イメージおよびフレーズから構成されます。サーバーによってタイムスタンプが生成され、再利用を防ぐために、1回のみ使用できるイメージに埋め込まれます。各オーセンティケータ・インタフェースは、1回のみ使用するためにユーザーに提供される単一イメージです。
フィッシング
ソーシャル・エンジニアリングの技法を使用してユーザーをだまし、偽Webアプリケーションにアクセスさせる犯罪行為です。フィッシングの攻撃者は、信頼できるエンティティを装い、ユーザー名、パスワード、クレジット・カードの詳細などの機密情報を不正に取得しようとします。多くの場合、フィッシング行為は、だまされやすいユーザーを誘い込むための電子メールから始まります。
プラグイン
プラグインは、特定の、通常は非常に特殊な機能をオンデマンドで提供するために、ホスト・アプリケーション(Webブラウザや電子メール・クライアントなど)とやり取りするコンピュータ・プログラムから構成されます。
ポリシー・セット
ポリシー・セットは、現在構成されているすべてのポリシーの集合であり、トラフィックを評価して潜在的なリスクを識別するために使用されます。ポリシー・セットには、スコアリング・エンジンとアクション/スコア・オーバーライドが含まれます。
ポリシー・ステータス
ポリシーには、オブジェクトの状態またはビジネス・プロセスに対する可用性を定義する3つのステータスがあります。
アクティブ
無効
削除済
「削除済」は使用されません。
ポリシーを削除すると、そのポリシーはデータベースから完全に削除されます。
デフォルトでは、新しく作成されたすべてのポリシーのステータスは「アクティブ」になります。
コピーされたすべてのポリシーのデフォルト・ステータスは「無効」になります。
認証後
ルールはユーザー・パスワードが認証された後に実行されます。認証後チェックポイントによって返される共通アクションには、次のものが含まれます。
許可: ユーザーが次に進むことを許可します。
ブロック: ユーザーが次に進むことをブロックします。
チャレンジ: ユーザーにチャレンジします。
認証前
ルールはユーザーが認証される前に実行されます。認証前チェックポイントによって返される共通値には、次のものが含まれます。
許可: ユーザーが次に進むことを許可します。
ブロック: ユーザーが次に進むことをブロックします。
登録
カスタマがログイン・プロセスに加えて、チャレンジ質問、シークレット・イメージ、テキスト・フレーズ、ワンタイム・パスワードなどを登録することでセキュリティの別のレイヤーを追加する登録プロセスです。
サンプル
OAAMサンプル・アプリケーションは、参照用として提供されています。独自のアプリケーションにAPIを統合する前に、OAAMサンプル・アプリケーションをダウンロードしてください。それは、製品APIをコールする方法を示しています。ドキュメントの形式で提供されています。OAAMサンプル・アプリケーションは、本番環境での使用を目的としたコードではありません。
スコアリング・エンジン
Oracle Adaptive Access Managerでは、スコアリング・エンジンを使用して、アクセス・リクエスト、イベントおよびトランザクションに関連付けられたリスクを計算します。
スコアリング・エンジンは、ポリシーおよびポリシー・セット・レベルで使用されます。ポリシー・スコアリング・エンジンは、ポリシーに含まれる様々なルールによって生成されるスコアを計算します。ポリシー・セット・スコアリング・エンジンは、ポリシーのスコアに基づく最終的なスコアを計算します。
数値入力が存在する場合、スコアリングではそのような様々なポイントをすべてまとめて、判断基準として使用可能なスコアを生成できます。
セキュアなCookie
OAAMによってクライアントのブラウザに格納されるセキュアなCookieは、追跡のために使用されるCookieで、次の特徴を備えています。
ユーザーに関する情報は一切格納されません。
デバイスを識別するためにユーザーがこのブラウザに以前にログインしたことがある場合にのみ、追跡に使用されます。
単一ユーザーに対してのみ有効です。
OAAMがこのCookieをブラウザで見つけた場合、このCookieを予想される値と比較します。これら2つの値が一致する場合、以前に使用したデバイスからリクエストが行われたことを意味するため、デバイスIDが再使用されます。一致しなかった場合は、Cookieが失効しているまたは変更されている可能性があるため、OAAMはそれを無視します。ブラウザにCookieが存在しない場合、これは新しいリクエストです。いずれにせよ、このCookieは廃棄され、新しいCookieが生成されます。
Security Assertion Markup Language (SAML)
Security Assertion Markup Language (SAML)は、認証データと認可データをセキュリティ・ドメイン間、つまりアイデンティティ・プロバイダ(アサーションのプロデューサ)とサービス・プロバイダ(アサーションのコンシューマ)との間で交換するためのXMLベースのオープン・スタンダードです。
セキュリティ・トークン
セキュリティ・トークン(ハードウェア・トークン、ハード・トークン、認証トークン、USBトークン、暗号トークンとも呼ばれます)は、自身のIDを電子的に証明する(カスタマが銀行口座にアクセスするときなど)ために使用されます。トークンは、カスタマが身分を証明するために、パスワードに加えて、またはパスワードで使用されます。トークンは、何かにアクセスするための電子キーのように動作します。
重大度レベル
ケースの重大度をケース担当に伝えるマーカーです。重大度レベルは、ケースの作成者が設定します。使用可能な重大度レベルには、「高」、「中」および「低」があります。カスタマが不正を疑っている場合、割り当てられる重大度レベルは「高」になります。たとえば、カスタマが異なるイメージを必要としている場合、割り当てられる重大度レベルは「低」になります。重大度レベルは、必要に応じてエスカレーションまたはエスカレーション解除できます。
セッション・ハイジャック
セッション・ハイジャックとは、有効なコンピュータ・セッション(セッション・キーとも呼ばれます)を悪用して、コンピュータ・システム内の情報やサービスに不正アクセスすることを指します。
スナップショット
スナップショットは、Oracle Adaptive Accessポリシー、依存コンポーネント、およびバックアップ、障害時リカバリおよび移行の構成を含むZIPファイルです。スナップショットをデータベースに保存して高速リカバリに使用したり、ファイルに保存して環境とバックアップとの間の移行に使用できます。スナップショットのリストアは、差異の内容と、競合の解決に必要なアクションを目に見える形で正確に把握できるプロセスです。
SOAP
SOAP(当初はSimple Object Access Protocolとして定義されました)は、コンピュータ・ネットワーク内のWebサービスの実装において構造化された情報を交換するためのプロトコル仕様です。メッセージ形式としてはExtensible Markup Language (XML)が使用され、メッセージのネゴシエーションと送信には、通常、他のアプリケーション・レイヤー・プロトコル(中でもリモート・プロシージャ・コール(RPC)とHTTP)を使用します。SOAPはWebサービス・プロトコル・スタックの基本レイヤーであり、Webサービスの構築基盤として使用できる基本的なメッセージング・フレームワークを提供します。
SOAPサービス・ラッパーAPI
SOAPサービス・ラッパーAPIでは、SOAPオブジェクトを作成してSOAPコールを起動したり、SOAPのWeb Service Definition Language (WSDL)やその他のWebサービス詳細をアプリケーション・コードから抽象化できます。このAPIのライブラリは、Java、.NETおよびC++で提供されています。
この統合では、クライアント・ライブラリへの軽量クライアント・ライブラリ(JARまたはDLLファイル)の追加が必要になります。
なりすまし攻撃
ネットワーク・セキュリティとの関連において、なりすまし攻撃は、ある個人またはプログラムが、データを偽造して違法に利用することによって、別の個人またはプログラムを装うことに成功した状況です。
スパイウェア
スパイウェアは、ユーザーとコンピュータとのやり取りを捕捉または一部制御するために、ユーザーに情報を提供して同意を得ることなく、パーソナル・コンピュータに不正にインストールされるコンピュータ・ソフトウェアです。
厳密認証
認証要素は、セキュリティ制約に従ってアクセスをリクエストする個人または他のエンティティのIDを認証または検証するために使用される、情報やプロセスです。2つの要素による認証(T-FA)は、2つの異なる要素を組み合せて認証に使用するシステムです。要素を1つではなく2つ使用すると、一般的に、認証の保証のレベルが高まります。
複数の要素を使用することを厳密認証と呼ぶ場合があります。
TextPad
通常のキーボードを使用してパスワードまたはPINを入力するためのパーソナライズされたデバイス。このデータ入力方法は、フィッシングからの防御に役立ちます。大規模なデプロイメントでは、TextPadがすべてのユーザーのデフォルトとしてデプロイされることが多く、その後、各ユーザーが必要に応じて個別に別のデバイスにアップグレードできます。ユーザーが登録した個人イメージおよびフレーズは、ユーザーが有効なサイトにログインするたびに表示され、ユーザーとサーバーとの間の共有シークレットとして機能します。
トランザクション・データ
抽象アイテムであるかそれ自体では属性を持たないデータ、どのエンティティにも当てはまらないデータ、およびそれ自体で存在するか一意であるデータは、トランザクション・データとして定義されます。
エンティティに当てはまらないアイテムは、スタンドアロン・データとして分類されます。
代表的な例には、数量やコードがあります。