| Oracle® Fusion MiddlewareOracle Adaptive Access Manager開発者ガイド 11gリリース2 (11.1.2.3.0) E67356-01 |
|
 前 |
 次 |
| Oracle® Fusion MiddlewareOracle Adaptive Access Manager開発者ガイド 11gリリース2 (11.1.2.3.0) E67356-01 |
|
前 |
次 |
Oracle Adaptive Access Managerでは、不正および誤用を防ぐために、トランザクションに関連するリスクをリアルタイムで評価できます。正常ログイン後に監視が必要となるユーザー・アクティビティは、トランザクションと呼ばれます。
この章では、トランザクションのリスク分析に対応するネイティブ・クライアント・アプリケーションとOAAMとの統合について説明します。この章の内容は次のとおりです。
トランザクションの例として、購入者がインターネットを通して書籍を購入するe-commerceトランザクションを取り上げます。John Doeはラップトップにログオンし、「Bigbookemporium.com」インターネット・サイトにアクセスして、電子検索を実行します。Johnが目的の書籍を選択すると、Bigbookemporium.comで購入価格が表示されます。チェックアウトする際に、Johnは次の情報を入力してクレジット・カードによる支払いを行います。
トランザクションの金額
クレジット・カード・タイプ
クレジット・カード番号
クレジット・カード有効期限
購入者の姓名
購入者の請求先住所
図15-1に、OAAMサーバーがリスクに関するクライアント・トランザクションを処理するときのトランザクション・フローを示します。数字は、図中の数字に対応しています。
Webサイトで、カスタマがトランザクションを発行します。
Create Transaction OAAM APIをトランザクション・データとともに起動して、トランザクションをOAAMデータベースに作成します。
|
注意: CreateTransaction APIではトランザクションの作成にセッションIDが必要です。セッションIDがない場合、CreateTransaction APIをコールする前にCreateOAAMSession APIをコールしてセッションを作成する必要があります。 |
OAAM APIは、トランザクション作成のステータスを返します。
ビジネス要件に基づき、Run Rules APIを起動してカスタマのトランザクションに関連するリスク/不正行為を分析します。
OAAMサーバーは、アクションとスコアが含まれているルール・レスポンスを返します。
OAAMレスポンスに基づいて、対応するアクション(許可、ブロック、チャレンジなど)を決定すると、その結果がWebサイト上でカスタマに表示されます。
次に、ネイティブ・クライアント・アプリケーションとOAAMとの統合に必要な高度な手順について説明します。
OAAMとの統合を必要とするクライアント・トランザクションのタイプを識別します。トランザクションを構成するトランザクション固有の属性(データ)のリストを作成します。これをソース・データまたはクライアント・データと呼びます。たとえば、オンライン・トランザクションでは、クレジット・カード、電子小切手、デビット・カード、ドル金額、名前、出荷先住所および請求先住所などのデータが関連します。
トランザクションとエンティティ定義をOAAMで設計し、開発します。OAAMサーバーでクライアント・アプリケーションからの情報を処理できるように、エンティティとトランザクションのデータ要素がソース・データ(クライアント固有のデータ)にマップされます。OAAMでのトランザクションのモデル化の詳細は、『Oracle Adaptive Access Managerの管理』を参照してください。
トランザクションのタイプに基づいて、必要なチェックポイントを識別し、決定します。
リスク評価を行うために、各トランザクションに固有のセキュリティ・ポリシーとルールを定義および構成します。
トランザクションの作成または更新、リスクの評価、OAAMからの特定レスポンスの取得を行うために、OAAM APIをコールするコードをクライアント・アプリケーションに作成します。
統合をテストして、エンドツーエンドで機能することを確認します。
統合およびリスク評価のトランザクション別の実装方法とトランザクションAPIの使用方法については、即時利用可能なOAAMサンプル・アプリケーションを参照してください。
Java API統合を示す最新OAAMサンプル・アプリケーションは、My Oracle Supportからダウンロードできます。
この章では、次の項目について説明します。
OAAMでクライアント・トランザクションに関連するリスク評価を実行するには、OAAMでのクライアント・トランザクションの表現方法、OAAMにより収集されたカスタマ・データの処理方法、および不正行為と悪用を防ぐためのカスタマ・データの使用方法を決定する必要があります。たとえば、eCommerceトランザクションの場合、トランザクションで処理するデータはクレジット・カード番号、出荷先住所および請求先住所、名前、ドル金額などです。電信送金の場合、重要なデータとして金額、名前、送金先口座、送金元口座、ルーティング番号、銀行住所、銀行電話番号などが考えられます。エンティティの詳細は、『Oracle Adaptive Access Managerの管理』を参照してください。
OAAMでは、トランザクション定義を使用してクライアント固有のトランザクションを表現します。そのため、クライアントにより指定されたExternal transaction IDがOAAMのトランザクション定義キーと一致している必要があります。
OAAMのトランザクション定義は、トランザクション・パラメータとエンティティで構成されます。トランザクション定義の作成方法および管理方法の詳細は、『Oracle Adaptive Access Managerの管理』を参照してください。
エンティティ構造は、最適化のために複数の関連するデータ・ポイントを組み込むことで作成されます。エンティティは、そのエンティティの新しいインスタンスを作成することで、複数のトランザクションで再使用できます。エンティティはどのトランザクションにも関連付けられておらず、依存もしていません。
たとえば、shipping addressおよびbilling addressインスタンスは、Addressエンティティの2つの異なるトランザクション用に作成できます。住所エンティティには、データ・ポイントとしてstreet number、street name、apartment number、city、state、postal codeおよびcountryを含めることができます。
エンティティは、インスタンスの作成に使用できるだけでなく他のエンティティにもリンクできるため、エンティティ間の関係またはアソシエーションを確立できます。Customerエンティティは、Addressなどの別のエンティティにリンクできます。CustomerとAddressエンティティ間には1対1の直接マッピングがあるため、これらの間の関係は1対1 (1:1)であると言うことができます。AddressエンティティはCustomerに依存していないため、単独で常駐できます。
結合してもエンティティを形成できないデータ・フィールドはすべて、トランザクション・パラメータとして追加する必要があります。通常、これらの属性は一意/固有であり、現在のトランザクションに依存します。
たとえば、次のようになります。
トランザクション・データ
Amount
Item #
エンティティ
クレジット・カード・エンティティ(これには、クレジット・カード番号、有効期限などのデータ要素が含まれています)
カスタマ(これには、名、姓、生年月日などのデータ要素が含まれています)
Oracle Adaptive Access Managerでは、OAAMに定義されているポリシーとルールに基づいて、クライアントのトランザクションに対してリスク評価と不正行為分析が実行されます。次のガイドラインに従って、トランザクションに関するポリシーとルールを設定してください。
トランザクションに関する新規ポリシーを定義するために、即時利用可能なOAAMチェックポイントを使用できるかどうかを判別します。既存のチェックポイントが再使用できる場合、チェックポイントを作成する必要はありません。そうでない場合は、OAAMチェックポイントを新規作成します。チェックポイントの作成の詳細は、第25章「チェックポイントおよび最終アクションの作成」を参照してください。
OAAMセキュリティ・ポリシーを作成し、次の情報を指定します。
名前
Status
スコアリング・エンジン
重み
説明
ルールをポリシーに追加します。ルールには、トランザクション固有の条件を含める必要があります。次の情報を入力します。
ルール名
Status
説明
条件
ルール条件が満たされた場合に結果を出します。
アラート・グループとアクション・グループをリンクして、スコアを指定します。
ルール条件の詳細は、『Oracle Adaptive Access Managerの管理』を参照してください。
OAAMでリスク評価を実行するために、トランザクション定義とポリシーをアクティブ化します。
ポリシーの構成の詳細は、『Oracle Adaptive Access Managerの管理』を参照してください。
サイズ設定と容量の要件の詳細は、『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』を参照してください。
これで、OAAMにおける設定と構成が完了しました。
クライアント・アプリケーションをOAAMと統合するには、次の手順を実行します。
OAAMにより提供されるAPIを使用して、トランザクションの作成と更新、およびトランザクションでのルール実行を行うカスタム・クライアント・コードを作成します。OAAM APIの詳細は、第4章「Javaアプリケーションのネイティブ統合」を参照してください。
OAAM共有ライブラリを使用したクライアント・アプリケーションとOAAMとの統合は、第2章「Oracle Adaptive Access Managerのネイティブ統合」を参照してください。
OAAMからの結果を解釈できるようにクライアント・アプリケーションを更新し、ユーザーを関連ページにリダイレクトする際に適切なアクションを実行します。たとえば、ユーザーには電信送金の実行を許可しないなどと指定します。
| API | タスク |
|---|---|
| createOAAMSession |
セッションを作成します。 |
| createTransaction |
OAAMの有効なセッションIDでトランザクションを作成します。 |
| updateTransaction |
有効なセッションIDおよびトランザクションIDで既存のOAAMトランザクションを更新します。通常、これはprocessRules APIの結果に基づいて実行されます。 |
| processRules |
不正なルールを処理します。 |
| createOrUpdateEntities |
トランザクションに関する完全データを送信せずに、エンティティを作成または更新します。 |
| searchEntityByKey |
エンティティのキー属性に基づいてエンティティを検索します。 |
この項では、OAAMでトランザクションを処理し、API操作の値をクライアント・アプリケーションから指定する方法を示しています。
セッションIDが存在しない場合、CreateOAAMSession APIをコールしてセッションIDが含まれるセッションを作成する必要があります。セッションIDはcreateTransaction APIによって必要とされます。
情報はクライアント・アプリケーションによって提供され、createTransaction API (提供されたセッションIDが使用されます)がコールされます。
createTransaction操作のステータスがisSuccess()であることを確認してから、メソッドgetTransactionResponse()を使用してトランザクションIDを取得します。
processRules APIをコールして、トランザクション・チェックポイントに関連する不正行為ポリシー/ルールをトリガーします。この手順により、該当するチェックポイントに関連しているポリシーやルールを実行するルール・エンジンがトリガーされ、関連したルールがトリガーされた場合はアラートが作成されます。このAPIの出力は、ポリシーやルールによって返される一連のアクションおよびリスク・スコアです。
processRules APIコールの結果に基づき、クライアント・アプリケーションはupdateTransaction APIをコールしてトランザクション・ステータスを設定するか、または既存トランザクションのデータを更新するかを選択できます。updateTransaction APIではセッションIDおよびトランザクションIDが必要です。
クライアント・アプリケーションは、トランザクションの作成後に実行する必要のあるポリシーまたはルールが割り当てられているPost Transactionタイプのチェックポイントを使用して、processRules APIを実行するように選択できる場合もあります。
この項では、トランザクション前およびトランザクション後のチェックポイントについて説明します。
次に、2つのエンティティAPIを示します。
createOrUpdateEntities APIを使用すると、次のタスクを実行できます。
エンティティを作成および更新する。
エンティティ更新時に属性値を置換およびマージする。
詳細は、第4.6.7項「createOrUpdateEntities」を参照してください。
searchEntityByKey APIを使用すると、キー属性に基づいてエンティティを検索できます。このAPIの詳細は、第4.6.28項「searchEntityByKey」を参照してください。
OAAMには、トランザクションのランタイム・データ分析ツールがあります。
OAAMには、次の表で説明するように、トランザクションの不正行為を調査するいくつかの機能があります。これらの調査ツールの詳細は、『Oracle Adaptive Access Managerの管理』を参照してください。
| 機能 | 説明 |
|---|---|
| トランザクション検索 | 調査担当者は、セッションおよびトランザクション検索ページを使用して、トランザクション中心の方法でOAAMランタイム・データを検索できます。たとえば、調査担当者は調査の手始めに、過去24時間以内の、特定のアラート・レベルの小売りE-Commerceのトランザクションを検索します。 |
| ユーティリティ・パネル | 調査担当者は、ユーティリティ・パネルを使用して次の処理を実行できます。
|
| トランザクションの比較 | 調査担当者は、トランザクションの比較機能を使用してトランザクションを並べて比較し、一致するデータ要素を検索できます。 |
OAAMには、トランザクションに対して即時利用可能なSearchTransactionsレポートがあります。表15-0に、SearchTransactionsレポートの検索フィルタを示します。
必要に応じて、トランザクション・データにカスタム・レポートを作成し、構成することもできます。カスタム・レポートの作成方法の詳細は、第23.2項「OAAMトランザクション・レポートの作成」を参照してください。
トランザクション・タイプ別またはエンティティ別に異なる保存期間を指定する場合は、『Oracle Adaptive Access Managerの管理』のエンティティ・データのターゲット・パージ設定に関する項およびトランザクション定義別のトランザクション・データのターゲット・パージ設定に関する項を参照してください。
