Oracle® Fusion Middleware Oracle Adaptive Access Managerの管理 11gリリース2 (11.1.2.3.0) E67427-01 |
|
![]() 前 |
![]() 次 |
この章では、新機能と、このマニュアルの変更内容および更新内容について説明します。詳細は次の項を参照してください。
Oracle Adaptive Access Managerの管理は、このドキュメント改訂で次のように更新されています。
誤字脱字の修正。
Oracle Bug#21308750の修正 - KBAを無効にする手順(7.3.2.2項「KBAの無効化」)。
Oracle Adaptive Access Managerの管理は、このドキュメント改訂で次のように更新されています。
誤字脱字の修正。
付録C「OAAMプロパティ」の新規ユーザー定義列挙要素の作成または列挙要素のenabled属性のfalse
からtrue
への変更時の管理対象サーバーの再起動に関する注意。
Oracle Adaptive Access Managerの管理は、このドキュメント改訂で次のように更新されています。
誤字脱字の修正
索引の章の削除
新機能および拡張機能は次のとおりです。
共存しているOracle Access Manager 10gおよびAccess Manager 11gとのOAAM統合詳細は、Oracle Adaptive Access Manager開発者ガイドの「OAM 10g、Access Manager 11gおよびOAAMの統合」を参照してください。
チャレンジ選択 - エンド・ユーザーがSMS経由のOTPについて登録され、電子メール経由のOTPについても登録されている場合、チャレンジを受けるチャレンジ・タイプを選択できます。詳細は、8.12.6項「チャレンジ選択の構成」を参照してください。
OAAMサーバーは、複数のUMSサーバーに個々にまたはロードバランシングを介して接続してOTPを送信するよう構成できます。詳細は、8.12.1項「複数のUMSサーバーに接続してOTPを送信するためのOAAMサーバーの構成」を参照してください。
チャレンジ選択機能のためのチャレンジ・ポリシーへの変更。詳細は、10.6.12項「OAAMチャレンジ」を参照してください。
チャレンジ選択タスク・プロセッサ。詳細は、Oracle Adaptive Access Manager開発者ガイドの「タスク・プロセッサの統合」を参照してください。
トンネリングを使用したAccess ManagerおよびOAAM TAPのDCC WebGateとの統合。詳細は、Oracle Identity Management Suite統合ガイドの「Oracle Adaptive Access ManagerのAccess Managerとの統合」を参照してください。
Oracle Fusion Middleware 11gリリース2 (11.1.2)ドキュメント・セットへのOracle Adaptive Access Managerスキーマ・リファレンスの追加
Oracle Technology Network (OTN)上の拡張OAAMライブラリ・インタフェース。
内容の誤りおよび誤字脱字の修正。
Oracle Adaptive Access Managerの管理は、このドキュメント改訂で次のように更新されています。
内容の誤りおよび誤字脱字の修正
ルール・コンテキスト評価に関する新しい章、第12章「ルール・コンテキストの評価」
VCryptUser表に関する新しい付録、付録K「VCryptUser表」
Oracle Adaptive Access Manager 11gリリース2 (11.1.2.2)には、次の新機能および機能拡張があります。
わかりやすい名前でのデバイスの検索
わかりやすい名前でのデバイスの検索は、「ユーザー詳細」ページの「デバイス」タブおよび「デバイス詳細」ページの「ユーザー」タブで実行できます。デバイスのわかりやすい名前は、デバイスの登録時にエンド・ユーザーが指定し、ネイティブに統合されている場合はOAAMによって使用されます。
詳細は、次を参照してください。
機能拡張の内容は次のとおりです。
セッションに複数のチェックポイントおよびトランザクションがある場合に、セッション内のチェックポイントおよびトランザクションのページで区切られたリスト
チェックポイント表およびトランザクション表を検索するための表問合せツール
「チェックポイント」パネルでは、アクション、アラート、構成可能なアクションおよびポリシーを表に表示
「ユーザー」タブ、「デバイス」タブおよび「ロケーション」タブの追加
詳細は、5.3.23項「セッションのフォレンジック・レコードおよび詳細の表示」を参照してください。
Mobile and Socialのポリシーの変更
OAAM認証後セキュリティ・ポリシー・サマリーに対する変更および新しいOAAM Mobile and Social統合 - 認証後セキュリティ・ポリシー。詳細は次を参照してください
JavaScriptフィンガープリント
OAAMは、JavaScriptを使用したフィンガープリント処理を提供します(デフォルトで有効化されています)。JavaScriptフィンガープリント処理は、プライマリ・フィンガープリント処理として使用するかFlashフィンガープリントと共存できます。詳細は、付録E「デバイスのフィンガープリント処理および識別」を参照してください。
「セッション詳細」でのトリガーされたおよびトリガーされないルールと実行時間のないルールの表示
「セッション詳細」ページでは、データベース表およびフィンガープリント・ルール・ロギング情報を使用して、トリガーされたおよびトリガーされないルールと実行時間のないルールを表示できます。詳細は、J.8項「セッション詳細でのルール実行の表示」を参照してください。
Oracle Adaptive Access Manager 11gリリース2 (11.1.2)には、Oracle Adaptive Access Manager 11gリリース1 (11.1.1)では利用できなかった重要な機能や拡張機能が多数追加されています。Oracle Adaptive Access Manager 11gリリース2 (11.1.2)には、次の新機能および機能拡張があります。
モバイル・セキュリティの強化
モバイル・セキュリティは、次のように強化されました。
モバイル・ブラウザのユーザー操作性の向上
モバイル用に調整されたセキュリティ・ポリシー
モバイル・アプリケーション開発者用のRESTサービスとSDK
紛失および盗難されたモバイル・デバイスのセキュリティ
トランザクション自動学習
新しいトランザクション自動学習は、次のとおりです。
カスタマイズ可能なパターン化
トランザクション・ルール条件
調査ツール
調査をより迅速で簡単にするために、新しい調査ツールが追加されました。
改善されたケース管理
ユーティリティ・パネルのクイック検索
ユーティリティ・パネルのメモ・ペイン
トランザクションの検索
トランザクションおよびエンティティ・データ、アラート・メッセージ、地理的なロケーション、IPアドレス範囲用の追加検索フィルタ
トランザクション詳細
トランザクションの比較
効率化されたホワイト・リスト/ブラック・リスト作成
OAAMの単一のインスタンスで複数のアプリケーション・テナントの保護を可能にする、カスタマ・サービス担当インタフェース用のマルチテナント・アクセス制御
エンティティをグループに簡単に追加できるようにする、セッションの検索および詳細ページでのグループに追加機能
エンティティ拡張機能
エンティティの拡張は、次のとおりです。
リンクされたエンティティ
エンティティのCRUD操作
ターゲットを指定したパージ
アクセス・モニタリング・ツールキット
アクセス・モニタリング・ツールキットは、次のとおりです。
JMSQインタフェース
データベース・ビュー生成
新しい章/項
Oracle Adaptive Access Managerの管理は、次のように更新されています。
仮想認証デバイスに関する新しい項
詳細は、1.2.3項「仮想認証デバイス」を参照してください。
モバイル・アクセス・セキュリティに関する新しい項
詳細は、1.2.8項「モバイル・アクセス・セキュリティ」を参照してください。
不正調査ツールに関する新しい項
詳細は、1.2.10項「不正調査ツール」を参照してください。
トランザクションの検索と比較、ユーティリティ・パネルの機能、および「セッション詳細」ページの機能強化など調査に関する章を改訂
詳細は、第5章「不正調査に対するエージェント・ケースの使用」を参照してください。
KBAチャレンジとOTPチャレンジに関する新しい章
詳細は、第9章「「KBAチャレンジおよびOTPチャレンジのシナリオ」を参照してください。
OAAMポリシーの概念およびリファレンスに関する新しい章
詳細は、第10章「OAAMポリシーの概念およびリファレンス」を参照してください。
トランザクション・ベースのパターンに関する新しい項
詳細は、第15章「トランザクション・ベースのパターンの使用」を参照してください。
トランザクションのモデル化に関する新しい章
詳細は、第18章「OAAMでのトランザクションのモデル化」を参照してください。
画面の例を追加してエンティティに関する章を更新
詳細は、第19章「エンティティ定義の管理」を参照してください。
トランザクションの章を更新
詳細は、第20章「トランザクション定義の管理」を参照してください。
パフォーマンスに関する考慮事項およびベスト・プラクティスに関する新しい章
詳細は、第29章「パフォーマンスに関する考慮事項およびベスト・プラクティス」を参照してください。
トラブルシューティングとよくある質問に関する新しい項
詳細は、第30章「FAQ/トラブルシューティング」を参照してください。
OAAMの使用に関する新しい付録
詳細は、付録A「OAAMの使用」を参照してください。
条件に関する章の新しい項
詳細は、付録B「条件リファレンス」を参照してください。
OAAMのプロパティに関する新しい付録
詳細は、付録C「OAAMプロパティ」を参照してください。
Oracle Adaptive Access Manager 11gリリース2 (11.1.1)には、Oracle Adaptive Access Manager 10gでは使用できなかった重要な機能や拡張機能が多数追加されています。Oracle Adaptive Access Manager 11gリリース2 (11.1.1)には、次の新機能があります。
インタフェース
Oracle Adaptive Access Managerのユーザー・インタフェースに追加された豊富な機能
ナビゲーションおよびポリシーのツリー。迅速かつ視覚的に各機能にアクセスできます。
タブとアコーディオン・パネルで、マルチタスク処理に必要な画面が節約されます。
実行のユース・ケース・フローを取得するフローを整理しました。たとえば、ルールのフローは検索、作成、編集、ルールのコピーです。
検索とフィルタリングを強化。検索とフィルタを列で直接保存できます。
Oracle Adaptive Access Managerの画面を追加、改善。Oracle Adaptive Access Managerでは、不正分析とフォレンジック処理の操作性が向上しています。
高度な表には、列の追加と削除、列の位置およびサイズの変更、列の連結解除を行うコントロールが表示されます。
アラート・メッセージ、地理的なロケーションおよびIP範囲を対象とする検索フィルタを追加しました。
検索結果をExcelファイル形式にエクスポートできるエクスポート機能。
エンティティをグループに簡単に追加できるようにする、セッションの検索および詳細ページでの新しい「グループに追加」機能。
Oracle Adaptive Access Managerからドキュメントに直接アクセスできます。
セキュリティ・ポリシー
新しく更新されたセキュリティ・ポリシーには、次の機能が導入されています。
精度とリスク分析を改善するパターンとその他の技法。
Oracle Data Minerに加え、ルール条件を追加して学習パターンを改善。独自に最適化されたリアルタイムのリスク分析ソリューションを作成でき、動作のプロファイリング機能が前バージョンより向上しています。
ポリシーの作成
ポリシー作成時の新機能により、次の操作が可能になります。
ポリシーのチェックポイントへのコピー
ポリシーを他のチェックポイントにコピーできます。ポリシーのコピー時には、ネストされたポリシー、トリガー組合せ、事前条件、グループ・リンクなどのすべての詳細がコピーされます。
トリガー組合せの構成がさらに容易に
設計が新しくなってトリガーの組合せの定義と管理が容易になり、アクションおよびアラートの追加とオーバーライドが可能になります。
ネストされた条件の実行
新しい条件では、ネストされたポリシーの実行がサポートされます。
ビュー・インジケータ
インジケータが使用できるようになり、ポリシー、ルール、トリガーの組合せ、グループ・リンク、ポリシーでの条件などにリンクされているポリシーの数が表示されます。
ルールの作成
ルールの作成がさらに簡単になります。
製品からルール・テンプレートが削除され、ルールの作成が簡略化されました。
任意のチェックポイント下にある別のポリシーにルールをコピーできます。
OTP Anywhere
OTP Anywhereでは、リスク・ベースのセカンダリ・ユーザー・チャレンジに使用される自動生成のワンタイム・パスワードのためのユニバーサル配信オプションを作成できるため、基本的な認証フローに高度なセキュリティが追加されます。
調査
調査をより迅速で簡単にするために、新しい調査ツールが追加されました。
「詳細」画面では、調査者、セキュリティ管理者およびその他のパワー・ユーザーがデータ・ポイントを相互参照して、迅速かつ簡単に関連データを検索できます。
新しいエージェント・ケースによりフォレンジック調査をより速く、より簡単に、より正しく実行できます。ケースを自動的に作成するように、イベントを構成できます。調査担当者は、OAAMにより取得された複雑なデータ関係を簡単に利用して、インシデントに関連するデータをすばやく表示したり、関連する状況をすぐに見つけることができます。
暗号化キー
Oracle Adaptive Access Managerで必要な暗号化キーは、Fusion Middleware Controlを使用して安全に管理できるため、キーストア・ファイルを作成する必要がありません。
Universal Risk Snapshot
スナップショットを作成できるため、セキュリティ管理者は異なる環境間でセキュリティ・データを簡単に移行したり、セキュリティ構成を既知の状態にリストアできます。
マルチテナント
OAAMの単一のインスタンスで複数のアプリケーション・テナントの保護を可能にする、カスタマ・サービス担当インタフェース用のマルチテナント・アクセス制御
OAAMバッチ・リスク分析
Oracle Adaptive Access Managerのバッチ・リスク分析ツールは、次の用途に使用できます。
高リスク・トランザクションを分析、検出およびアラートするスタンドアロンのセキュリティ・ツール
リアルタイム環境のカスタマに影響を与えることなく、オフラインのカスタマ・データを使用して、新しいポリシーとルールを作成および検証する検索および開発ツール
リアルタイム環境のカスタマに影響を与えることなく、実際のカスタマおよびトランザクション・データに対して、ルールのチューニングとルール動作の検証を行う、補助的なバッチ分析ツール
OAAMバッチ・リスク分析
Oracle Adaptive Access Managerのバッチ・リスク分析ツールは、次の用途に使用できます。
高リスク・トランザクションを分析、検出およびアラートするスタンドアロンのセキュリティ・ツール
リアルタイム環境のカスタマに影響を与えることなく、オフラインのカスタマ・データを使用して、新しいポリシーとルールを作成および検証する検索および開発ツール
リアルタイム環境のカスタマに影響を与えることなく、実際のカスタマおよびトランザクション・データに対して、ルールのチューニングとルール動作の検証を行う、補助的なバッチ分析ツール
監査
管理操作のほとんどが、Oracle Audit Serviceを使用して監査できるようになりました。監査イベントは、標準の監査レポートを使用して閲覧できます。
Webサービス
Oracle Adaptive Access ManagerのWebサービスは、Oracle Web Servicesを使用して実装されます。
アプリケーション・ログ
Oracle Adaptive Access Manager 11gでは、log4jではなくJavaのロギングを使用します。Fusion Middleware Controlを使用してロギングを構成できます。
Dynamic Monitoring Systemとの統合
パフォーマンス・メトリックの一部は、Dynamic Monitoring Systemと統合されています。これらのメトリックとその関連レポートは、Fusion Middleware Controlを使用して表示できます。
Oracle Adaptive Access Manager 10gから11gに移行するカスタマは、主要な変更に気付くでしょう。これらの変更の目的は、アイデンティティ管理スイート製品全体で使用される用語に整合性を持たせて、管理を容易にすることです。
Oracle Adaptive Access Manager 11gでは用語が次のように変更されています。
ランタイム
新しい用語はチェックポイントです。
チェックポイントは、Adaptive Access Managerがルール・エンジンを使用してセキュリティ・データを収集および評価するときに、セッション内に指定されるポイントです。
モデル
新しい用語はポリシーです。
ポリシーには、各チェックポイントでリスクのレベルを評価するために使用される、セキュリティ・ルールおよび構成が含まれます。
手動オーバーライド
新しい用語はトリガー組合せです。
トリガー組合せは、一連の特定のルールがトリガーされた場合に生成される追加の結果およびポリシー評価です。
アプリケーションID
新しい用語は組織IDです。
管理の観点から、各アプリケーションまたはプライマリ・ユーザー・グループは組織IDに変換されます。アプリケーションIDという用語は組織IDという名前に変更されており、これは特定のユーザーのプライマリ・ユーザー・グループを表します。
OAAMサーバー側では、アプリケーションIDという用語は以前と同じです。プロキシと通信するときに、OAAMサーバーは、アプリケーションを一意に識別するアプリケーションIDを渡します。
Oracle Adaptive Access Manager 11gでは概念が次のように変更されています。
10gでの古い概念: OAAM Adaptive Risk Manager
11gでの新しい概念: ルール・エンジンはOAAMサーバーの一部になりました。管理コンソールは、OAAM管理という名前の別のアプリケーションになりました。
10gでの古い概念: OAAM Adaptive Strong Authenticator
11gでの新しい概念: 仮想認証デバイス、ナレッジベース認証(KBA)およびワンタイム・パスワード認証など、エンド・ユーザー・フローはOAAMサーバーに含まれるようになりました。
10gでの古い概念: ルール・テンプレート
この概念は製品から削除されました。
10gでの古い概念: ポリシー・タイプ
この概念は製品から削除されました。
Oracle Adaptive Access Manager 11gの概念の詳細は、次の各章を参照してください。
Oracle Adaptive Access Manager 11gでは、アプリケーションのデプロイメントが次のように変更されています。
OAAMサーバー: Adaptive Risk Manager (ルール・エンジン)、Adaptive Strong Authenticator (エンド・ユーザー・インタフェース・フロー)、Webサービス、LDAP統合、およびネイティブ統合を除くすべてのデプロイメント・タイプで使用されるユーザーWebアプリケーションを含むランタイム・コンポーネント
OAAM管理: すべての環境、Adaptive Strong Authenticator、およびAdaptive Risk Manager機能の管理コンソール。カスタマ・サービスおよび不正調査ケース管理機能も含まれています。
Oracle Adaptive Access Manager 11gのWebアプリケーションの詳細は、1.3項「Oracle Adaptive Access Managerコンポーネント・アーキテクチャ」を参照してください。
11gでのアーキテクチャおよびデプロイメントの変更点を次に示します。
管理ユーザー・インタフェースは、OAAM Adminという別のWebアプリケーションになりました。
Adaptive Strong Authenticatorは、OAAMサーバーWebアプリケーションの一部としてデプロイされるようになりました。
OAAM Webアプリケーションは、EARファイルとしてパッケージ化されています。これらを展開することはお薦めしませんし、サポートもされません。
Oracle Adaptive Access Manager 11gのアーキテクチャとデプロイメントの詳細は、1.3項「Oracle Adaptive Access Managerコンポーネント・アーキテクチャ」を参照してください。