1.3 Access Manager 11.1.2.3.0について

次の各項では、Access Manager 11.1.2.3.0で使用できる(および使用できない)機能の詳細を説明します。

• Access Manager 11.1.2.3.0の機能

• Access Manager 11.1.2.3.0で使用できない機能

1.3.1 Access Manager 11.1.2.3.0の機能

表1-2に、Access Manager 11.1.2の概要を示します。11.1.2で変更された名前のリストについては、「11.1.2で変更された製品およびコンポーネントの名前」を参照してください。

表1-2 Access Manager 11.1.2の機能

Access Manager 11g	説明
Oracle Identity Managementインフラストラクチャ	エンタープライズ・アイデンティティのセキュアな集中管理を有効化します
ポリシー強制エージェント	依存するパーティとともに存在し、認証および認可タスクをOAMサーバーに委任します 11g OAMエージェント: 「OAM 11gエージェントの登録および管理」 10g OAMエージェントおよび事前構成済のIAMSuiteAgent (10g OAMエージェント): 「Access Manager 11gを使用する10g Webゲートの登録および管理」 OpenSSOエージェント: 「レガシーOpenSSOエージェントの登録および管理」 10g OSSOエージェント(mod_osso): 「レガシーOSSOエージェントの登録および管理」 ノート: 9つの管理者言語がサポートされています。 特に明記しないかぎり、「Webgate」という用語は新規のWebgateまたはカスタムのアクセス・クライアントの両方を指します。 エージェントの概要については、「エージェントおよび登録の概要」を参照してください。
サーバー側のコンポーネント	OAMサーバー(WebLogic管理対象サーバーにインストール)
コンソール	Oracle Access Managementコンソールを使用すると、すべてのサービスおよび構成の詳細にアクセスできます。 「Oracle Access Managementのスタート・ガイド」を参照してください。
インターネットでの情報交換用プロトコル	エージェントとサーバー間で交換されるフロント・チャネル・プロトコルは、HTTPおよびHTTPSです。 バック・チャンネル・プロトコル: 認証クライアントは、Oracle Accessプロトコル(OAP)の拡張機能を使用してセッション操作を実行できます。
プロキシ	レガシー・システムのサポートを提供します。 OAMプロキシは、レガシー・アクセス・サーバーとしてレガシーAccess Manager実装をサポートします。 「OAMプロキシの簡易および証明書モード・セキュリティのアクセス・プロトコルの管理」 「OAMプロキシ・メトリックとチューニング」 OSSOプロキシは、レガシーOSSOサーバーとしてOSSOエージェントをサポートします。「レガシーOSSOエージェントの登録および管理」を参照してください。 Oracleは、OpenSSOエージェントによって保護されているリソースへのリクエストを処理するOpenSSOプロキシを提供しています。「レガシーOpenSSOエージェントの登録および管理」を参照してください。 関連項目: 「埋込みプロキシ・サーバーおよび下位互換性について」および新規の「Oracle Access Management Oracle Access Portalの管理」
暗号化キー	ノート: 登録されたmod_ossoまたは11g Webgateごとに1つのキーが生成され、使用されます。ただし、すべての10g Webgateで単一のキーが生成されます。 11gエージェントの登録時、11g WebgateとOAMサーバー間で、SSO Cookieの暗号化および復号化用に共有される秘密キーがエージェントごとに1つ生成されます。「OAM 11gエージェントの登録および管理」を参照してください。 10gエージェントの登録時、Access Manager 11g全体にわたる(すべてのエージェントとOAMサーバー)グローバル共有秘密キーが生成されます。「Access Manager 11gを使用する10g Webゲートの登録および管理」を参照してください。 OSSOエージェントの登録時、mod_ossoとOSSOサーバー間でパートナごとに1つのキーが共有されます。「レガシーOSSOエージェントの登録および管理」を参照してください。 OpenSSOエージェントのホスト・ベースまたはドメイン・ベースのキーは、エージェント・ホストのエージェント・ブートストラップ・ファイル内にローカルに保存されます。「レガシーOpenSSOエージェントの登録および管理」を参照してください。 OAMサーバーの登録時、1つのサーバー・キーが生成されます。
キー・ストレージ	エージェント側: エージェントごとのキーは、ローカルでウォレット・ファイルのOracleシークレット・ストアに格納されます。 OAMサーバー側: エージェントごとのキーとサーバー・キーは、サーバー側の資格証明ストアに格納されます。
暗号化 / 復号化(暗号化されたデータを元の形式に変換するプロセス)	クライアント側の暗号化を導入して、エージェントとサーバーの両側で暗号化が実行されるようにします。 Webgateは、エージェント・キーを使用してobrareq.cgiを暗号化します。 ノート: obrareq.cgiは、WebgateからOAMサーバーにリダイレクトされる問合せ文字列の形式での認証リクエストです。 OAMサーバーは、リクエストを復号化して認証し、セッションを作成してサーバーcookieを設定します。 また、OAMサーバーはエージェントの認証トークン(エージェント・キーを使用して暗号化)を生成し、セッション・トークン(cookieベースのセッション管理を使用する場合)や認証トークン、その他のパラメータを使用してそれをobrar.cgiにパックしてから、エージェント・キーを使用してobrar.cgiを暗号化します。 ノート: obrar.cgiは、OAMサーバーからWebgateにリダイレクトされた認証レスポンス文字列です。 Webgateはobrar.cgiを復号化して、認証トークンを抽出し、ホスト・ベースのCookieを設定します。
ポリシー・ストア	本番環境では、データベースです。デモ環境および開発環境では、ファイル・ベースです。詳細は、「ポリシーおよびセッション・データベースの管理」を参照してください。
アプリケーション	認証および認可をAccess Managerに委任して登録されたエージェントからヘッダーを受け入れるアプリケーション。 ノート: 外部アプリケーションは認証が委任されません。かわりに、アプリケーション・ユーザー名とパスワードを求めるHTMLログイン・フォームが表示されます。たとえば、 Yahoo! Mailは、HTMLのログイン・フォームを使用する外部アプリケーションです。
SSOエンジン	セッションのライフサイクルを管理し、有効なセッションのすべての依存するパーティのグローバル・ログアウトを容易にして、複数のプロトコルの一貫したサービスを提供します。Access Manager 11gによって登録されたエージェントを使用します。 デフォルトの埋込み資格証明コレクタを使用する認証は、HTTP (HTTPS)チャネルを通じて行われます オプションの外部資格証明コレクタを使用する認証は、Oracle Accessプロトコル(OAP)チャネルを通じて行われます 認可は、Oracle Accessプロトコル(OAP)チャネルで発生します。 関連項目: 「Access Managerでのシングル・サインオンの理解」
セッション管理	グローバル・セッションの仕様は、すべてのアプリケーション・ドメインおよびリソースに対して有効化されます。さらに、アプリケーション・ドメイン専用セッションのオーバーライドを構成できます。 「Access Managerセッションの維持」を参照してください。
ポリシー	登録済エージェントは、Access Manager認証、認可およびトークン発行ポリシーを使用して、保護されたアプリケーション(定義されたリソース)のアクセスを取得するユーザーを決定します。 関連項目: 「リソースの保護およびSSOの有効化ポリシーの管理」
クライアントIP	クライアントの経過時間を管理し、ホストベースCookie OAMAuthnCookie (11g Webgate用)またはObSSOCookie (10g Webgate用)に含めます。
レスポンス・トークンの再生防止	レスポンス・トークンの再生を防ぐために、RequestTime (リダイレクト直前のタイムスタンプ)をobrareq.cgiに挿入し、これをobrar.cgi (OAM ServerからWebgateにリダイレクトされる認証応答文字列)にコピーします。
複数のネットワーク・ドメインのサポート	Access Manager 11gは、ネットワーク間ドメインの設定不要なシングル・サインオンをサポートします。 この場合は、Oracle Federationを使用することをお薦めします。
Cookie	ホストベースの認証Cookie: 11g Webgate、エージェントごとに1つ: 認証の成功後にOAMサーバーから受け取った認証トークンを使用してWebgateで設定されたOAMAuthnCookie_host:port_random_number。 ノート: 有効なOAMAuthnCookieがセッションに必要です。 11g Webgate、一時: OAM_REQのスコープがOAM Serverに指定されます。認証リクエスト・コンテキストCookieが有効な場合にOAMサーバーによって設定またはクリアされるOAM_REQ。OAMサーバーでのみ認識されるキーで保護されます。資格証明が収集され、認証が実行される一方で、このCookieは高可用性オプションとして構成され、保護されたリソースへのユーザーの元のリクエストの状態を格納します。 10g Webゲート: すべての10g Webゲートに対してObSSOCookieが1つ。 OAMサーバーに1つ: OAM_ID、スコープがOAM Serverに指定されます。OAM_IDは、ユーザーが資格証明のチャレンジを受けたときにOAMサーバーによって生成され、サーバーへのリダイレクトごとにそのサーバーへ送信されます。 「Access Managerでのシングル・サインオンの理解」を参照してください。
集中ログアウト	logOutUrls (10g Webgateの構成パラメータ)は保持されています。10g logout.htmlには、Access Manager 11g固有の詳細情報が必要です。「Access Manager 11gを使用する10g Webゲートの登録および管理」を参照してください。 11g Webゲートの新規パラメータは次のとおりです。 Logout Redirect URL Logout Callback URL Logout Target URL 「11g Webゲートが関与するセッションの集中ログアウトの構成」を参照してください。
大文字/小文字を区別しないリソースの一致	大文字/小文字を区別しないポリシー・リソースの一致を有効にするオプションの設定が使用可能です。これはグローバル設定であり、oam-config.xmlファイルの「Policy Service」→「OAMPolicy Provider」→「properties」の下に両方のエントリを追加する必要があります。 <Setting Name = "UseCaseInsensitiveResourceMatch" Type = "xsd:boolean">true</Setting> <Setting Name = "USE_CASE_INSENSITIVE_RESOURCE_MATCH" Type = "xsd:boolean">true</Setting>

1.3.2 Access Manager 11.1.2.3.0で使用できない機能

Access Manager 10gで提供されているがAccess Manager 11.1.2に含まれていない機能は、次のとおりです。

• カスタム認可プラグインの作成に必要な拡張性フレームワーク

• mod_ossoで保護されたリソースの認可