49.2 Mobile and Socialサービス構成について

「Mobile and Socialへようこそ - Mobile and Socialサービス」構成ページは個別のパネルに分れていて、パネルの左上隅の矢印ボタンをクリックすると開いたり折りたたんだりできます。

次の各項では、Mobile and Socialサービスの各パネルについて詳細に説明します。

• サービス・プロバイダ

• サービス・プロファイル

• セキュリティ・ハンドラ・プラグイン

• アプリケーション・プロファイル

• サービス・ドメイン

ノート:

Mobile and Socialには、一般的なデプロイメント・シナリオをサポートする、事前構成済オブジェクトが含まれています。これらのオブジェクトは、わずかな変更を加えるだけでMobile and Socialの準備と実行が可能になるように設計されています。各項には、インストール後に利用できる事前構成済オブジェクトの一覧が示されています。

49.2.1 サービス・プロバイダ

サービス・プロバイダは、クライアント・アプリケーションで使用できるようにするバックエンド・サービスごとに定義します。

サービス・プロバイダとしてバックエンド・サービスを構成することで、Mobile and Socialサーバーはそのプロバイダと通信する方法を認識します。バックエンド・サービスは、次のサービス・プロバイダ・タイプの1つとして構成できます。

• 認証サービス・プロバイダ: アイデンティティ・プロバイダとインタフェース接続し、バックエンド・サービスがユーザー、モバイル・デバイス、クライアント・アプリケーションおよびアクセス権を認証し、それに従って認証トークンを発行できるようにします。Mobile and Socialは、Access ManagerとJSON Web Token (JWT)を、それらに独自のサービス・プロバイダとサービス・プロファイルの構成オブジェクトでサポートします。さらに、モバイル・クライアントの認証と非モバイル・クライアントの認証は、個別に管理されるため、それぞれのトークン・タイプは個別のモバイルおよび非モバイルのサービス・プロバイダとサービス・プロファイルを持つようになります。次の事前構成済の認証サービス・プロバイダは、一般的なデプロイメントで使用できます。

  • OAMAuthentication: Oracle Access Manager認証トークン・サービス・プロバイダ

  • MobileOAMAuthentication: モバイルのOracle Access Manager認証トークン・サービス・プロバイダ

  • JWTAuthentication: JSON Web Token認証サービス・プロバイダ

  • MobileJWTAuthentication: モバイルのJSON Web Token認証サービス・プロバイダ

  • JWTOAMAuthentication: 軽量で継続時間の長いJWTトークンをOAMトークンと交換できるようにします。OAMトークンによりクライアントはSSOリソースおよびOAMリソースにアクセスできます。このプロバイダを使用して、非モバイル・アプリケーションを使用するユーザーは、継続時間の長い有効なJWTトークンがあれば、資格証明の提示なしで新しいOAMトークンを取得できます。

  • MobileJWTOAMAuthentication: 軽量で継続時間の長いJWTトークンをOAMトークンと交換できるようにします。OAMトークンによりクライアントはSSOリソースおよびOAMリソースにアクセスできます。このプロバイダを使用して、モバイル・アプリケーションを使用するユーザーは、継続時間の長い有効なJWTトークンがあれば、資格証明なしで新しいOAMトークンを取得できます。

  • InternetIdentityAuthentication: ソーシャル・アイデンティティのJSON Web Token認証サービス・プロバイダは、Mobile and Socialサービスを使用するアプリケーションがMobile and Socialソーシャル・アイデンティティから認証結果を受け入れるための事前構成済サポートを提供します。

    「ソーシャル・アイデンティティの理解」を参照してください。

  カスタム認証サービス・プロバイダの作成方法の詳細は、「認証サービス・プロバイダの定義、変更または削除」を参照してください。

• 認可サービス・プロバイダ: 認可(アクセス)を決定するバックエンド・アイデンティティ・プロバイダとインタフェース接続します。事前構成済のOAMAuthorization認証サービス・プロバイダは、一般的なデプロイメント用に提供されています。

  カスタム認可サービス・プロバイダの作成方法の詳細は、「認可サービス・プロバイダの定義、変更または削除」を参照してください。

• ユーザー・プロファイル・サービス・プロバイダ: ディレクトリ・サーバーとインタフェース接続して、ユーザー・プロファイル・レコードを参照および更新します。事前構成済のユーザー・プロファイル・サービス・プロバイダは、一般的なデプロイメント用に提供されています。

  カスタム・ユーザー・プロファイル・サービス・プロバイダの作成方法の詳細は、「ユーザー・プロファイル・サービス・プロバイダの定義、変更または削除」を参照してください。

49.2.2 サービス・プロファイル

サービス・プロバイダを定義した後で、それに対する1つ以上のサービス・プロファイルを定義します。サービス・プロファイルは、Mobile and Socialサーバー上のサービス・プロバイダのサービス・エンドポイントURLを定義する論理エンベロープです。

1つのサービス・プロバイダに複数のサービス・プロファイルを作成して、各種のトークン機能とサービス・エンドポイントを定義できます。各サービス・プロバイダ・インスタンスには、対応する少なくとも1つのサービス・プロファイルが必要です。Mobile and Socialには、事前構成済サービス・プロバイダ構成オブジェクトごとに事前構成済サービス・プロファイルが含まれています。

「サービス・プロバイダ」を参照してください。

49.2.3 セキュリティ・ハンドラ・プラグイン

セキュリティ・ハンドラ・プラグインは、信頼およびリスク分析のための追加のロジックを参照することで、セキュリティを高めます。そのような追加のロジックによって、リスクのある特定の操作が拒否されることがあります。

セキュリティ・ハンドラ・プラグインは、クライアント・アプリケーションの登録などの認証サービス操作中に、セキュリティ・ロジックを適用します。セキュリティ・ハンドラ・プラグインの使用はオプションです。このバージョンのソフトウェアで提供されるセキュリティ・ハンドラ・プラグインは、モバイル・アプリケーション用に最適化されています。使用する場合は、モバイル関連のサービス・ドメインとその認証サービスおよびクライアント・アプリケーションにのみ適用します。非モバイル・アプリケーションでは、セキュリティ・ハンドラ・プラグインを使用しないでください。

Mobile and Socialは、機密のセキュリティ操作時(認証時など)やトークン取得に関連する操作時に、セキュリティ・ハンドラ・プラグインを起動します。Mobile and Socialには、次の事前構成済セキュリティ・ハンドラ・プラグインが含まれています。

• OAAMSecurityHandlerPluginにより、Oracle Adaptive Access Managerで使用可能な高度なデバイス登録と、リスクベースの強力な認証ロジックが有効になります。

• Defaultセキュリティ・ハンドラ・プラグインは、より限定的なデバイス登録ロジックを提供します。

49.2.4 アプリケーション・プロファイル

アプリケーション・プロファイルには、サービス・プロバイダが提供するサービスを利用するクライアント・アプリケーションの構成とセキュリティ・プロパティを記述します。アプリケーション・プロファイルは、モバイル・アプリケーションを使用する場合、またはセキュアなアプリケーション保護がないサービスで非モバイル・アプリケーションを使用する場合に必要です。

定義される属性には、アプリケーション・プロファイルの名前、アプリケーションについての簡単な説明、名前と値の属性をペアにしたリスト、およびそのアプリーションのモバイル構成設定などがあります。(モバイル構成設定には、プロファイルをキャッシュできる最長期間(分単位)、認証の再試行の許容可能な回数、オフライン認証が許可されるかどうかなどのオプションがあります。)また、アプリケーションに必要なモバイル・デバイス属性(phonecarriername、phonenumber、osversionなど)を選択することもできます。1つのアプリケーション・プロファイルを複数のサービス・ドメインに割り当てることができます。

49.2.5 サービス・ドメイン

サービス・ドメインは、アプリケーション・プロファイルとセキュリティ・ハンドラ・プラグイン(オプション)を含むサービス・プロファイルを関連付けるために、論理的にサーバーをグループ化したものです。サービス・ドメインは、アプリケーションにMobile and Socialのサービスへのアクセスを許可する方法を指定します。

通常、組織は、モバイル・アプリケーションの管理用に1つと、別に非モバイル・アプリケーションの管理用に1つのサービス・ドメインを持っています。サービス・ドメインを作成するときには、次を実行します。

• サービス・ドメインで、モバイル・アプリケーションを管理するのか、デスクトップ・アプリケーションを管理するのかを決定します。

• サービス・ドメインの認証スキームおよびセキュリティ・ハンドラ・プラグイン(オプション)を選択します。

• 1つ以上のモバイルSSOエージェントを追加して、エージェント間の優先度を構成します。

• 1つ以上のアプリケーションをサービス・ドメインに追加して、どのアプリケーションにモバイルSSOエージェントの使用を許可するかを構成します。

• サービス・ドメインに対して少なくとも1つのサービス・プロファイルを選択します。

• セキュリティ設定を構成して、サービス・ドメインのサービスを保護します。

Mobile and Socialには、次の事前構成済サービス・ドメインが含まれています。

• デフォルト(サービス・ドメイン)は、非モバイル・アプリケーション用に事前構成されています。

• モバイル・サービス・ドメインは、モバイル・アプリケーション用に事前構成されています。

これらのサービス・ドメインは、独自のサービス・ドメインを作成するためにどちらかをテンプレートとして使用することも、組織のニーズに合せて変更することもできます。モバイル・サービス・ドメインに追加できるのは、モバイル認証サービス・プロファイルのみです。