Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
Oracle Access Management Mobile and Socialサービスは、保護されたリソースへのアクセスを必要とするユーザーまたはクライアントと、リソースを保護するバックエンドのアクセス管理サービスおよびアイデンティティ管理サービスの間の橋渡しの役割を果たします。
Mobile and Socialには簡易なクライアント・ライブラリが用意されており、開発者はこれを使用して、機能豊富な認証、認可およびアイデンティティ機能を登録済アプリケーションに簡単に追加できます。バックエンドでは、Mobile and Socialサーバーのプラガブルなアーキテクチャにより、システム管理者は、ユーザーのクライアント・ソフトウェアやモバイル・アプリケーションを更新しなくても、アイデンティティ管理サービスおよびアクセス管理サービスをカスタマイズできます。Mobile and Socialは、次に示す無料の2つの機能セットを提供します:
Mobile and Socialサービス(以前の名称はモバイル・サービス)は、アプリケーションおよびデバイスを、Oracle Identity Access Management製品スイートで使用可能なエンタープライズ・アクセス管理サービスおよびアイデンティティ管理サービスに接続します。これにより、認可されたデバイスのみがアクセスできるように制限するために、高度な認証および認可サービスの機能(モバイル・デバイスとアプリケーションの登録や、デバイス・フィンガープリンティングなど)を簡単に利用できるようになります。また、クライアント・アプリケーションでは、基本的なパスワードベースの認証よりも優れた強力な機能であるナレッジベース認証も実装できます。
ノート:
デバイス・フィンガープリンティングおよびナレッジベース認証には、いずれもOracle Adaptive Access Managerが必要です。
Mobile and Socialサービスは、デバイスおよびクライアントの有効な資格証明に加え、アプリケーション・トークン・リクエストごとにユーザー・トークンを要求するように構成できます。これにより、認可されたユーザーのみが保護リソースにアクセス可能であること、さらにユーザーが認可済のデバイスで認可済のアプリケーションのみを実行していることが保証されます。Mobile and Socialサービスでは、Mobile and SocialがLDAP準拠のディレクトリ・サーバーと統合されている場合、ユーザー・プロファイル・サービスにも簡単にアクセスできます。
ノート:
Mobile and Socialサービスは、バージョン11.1.2.3以前ではモバイル・サービスという名称でした。
ソーシャル・アイデンティティを使用すると、Mobile and Socialは、Google、Yahoo、Facebook、Foursquare、Windows Live、Twitter、LinkedInなどの一般的なクラウドベースのアイデンティティ認証および認可サービスとの相互作用中に、リライイング・パーティの役割を果たすことができます。Mobile and Socialをデプロイすると、各プロバイダを個別に実装しなくても、複数のログイン・オプションがユーザーに提供されます。これにより、ユーザーは信頼できるアイデンティティ・プロバイダにある自分の資格証明を使用して保護されたリソースにアクセスできるようになります。
ノート:
バージョン11.1.2.2より前は、ソーシャル・アイデンティティはインターネット・アイデンティティ・サービスと呼ばれていました。
OAuthサービスを使用することで、Access Manager環境で、オープン・スタンダードであるOAuth 2.0 Web認可プロトコルを組織に実装できます。OAuthにより、クライアントは、他のユーザー(リソース所有者)に属するAccess Managerの保護されたリソースにアクセスできます。Mobile and Socialサービスを使用するアプリケーションとOAuthサービスを利用するアプリケーションは、同一のデスクトップやモバイル機器上に共存可能ですが、それぞれ独立した実装が必要となります。
Mobile and Socialは、Access Managerとの密接な統合に加え、Oracle Adaptive Access Managerや様々なLDAP準拠のディレクトリ・サーバーといった他のバックエンドのアイデンティおよびアクセス管理サービス・オファリングと連携動作するようにあらかじめ統合されています。フロントエンドに対して、Mobile and Socialは、簡単に使用できるSDKを提供し、Java、AndroidおよびiOSプラットフォーム上のクライアント・アプリケーションの統合に対応しています。クライアント・アプリケーションは簡単なRESTコールを使用して、Mobile and Socialサーバーと通信します。
ノート:
REST (REpresentational State Transfer)は、World Wide Webの開発に使用されているソフトウェアのアーキテクチャ様式です。それは軽量で、特にWebベースのアプリケーションやサービスの構築に適しています。
Mobile and Socialサービスとソーシャル・アイデンティティを連動するように構成できます。たとえば、ソーシャル・アイデンティティを使用してGoogle、Facebook、Twitterなどでユーザーが認証できるようにし、Mobile and Socialサービスを使用して(a)ローカル認証機能を提供するか、(b)ソーシャル・アイデンティティ・プロバイダのユーザーIDアサーションを受け入れることでユーザー・トークンを生成できます。Mobile and Socialサービスをソーシャル・アイデンティティとともに使用すると、デバイス登録セキュリティを強化することもできます。
ノート:
Mobile and Socialサービスは、AndroidデバイスやiOSデバイスまたはJava SE JVMで実行される登録済アプリケーションや、RESTコールを使用してサービスと通信する登録済アプリケーションにセキュリティ・レイヤー機能を提供します。追加のモバイル機能が必要な場合は、無償のOracle製品オファリングであるADFモバイルが、iOSで動作するデバイス用のフル機能のアプリケーションを作成するためのアプリケーション開発フレームワークを提供します。詳細は、Oracle Fusion Middleware Oracle Application Development Frameworkモバイル開発者ガイドを参照してください。
次の各項には、Mobile and Socialのインストールとデプロイメントについての追加情報と説明のリンクが含まれています。
Mobile and Socialとともにデプロイしたソフトウェアに応じて使用できる機能が異なります。表48-1に詳細を示します。
表48-1 インストールしたコンパニオン・サービスに基づくMobile and Socialの機能
機能 | Mobile and Socialのみ | Mobile and Social + Access Manager | Mobile and Social + OAAM | Mobile and Social + Access Manager + OAAM |
---|---|---|---|---|
ネイティブAccess Manager認証ダイアログを使用したAccess Managerトークン・サポート |
使用可能 |
使用可能 |
||
認証および認可のJWTトークン・サポート |
使用可能 |
使用可能 |
使用可能 |
使用可能 |
接続モバイル・デバイスを一意に識別する機能(デバイスのフィンガープリント) |
使用可能 |
使用可能 |
||
デバイスの登録およびアクセス・リクエスト時の基本的な(制限付きの)デバイス・セキュリティ・チェック |
使用可能 |
使用可能 |
||
リスクベースのアクセス制御(地理ロケーションおよび他のデバイス属性に基づくアクセスの許可または拒否など)を含む、デバイスの登録およびアクセス・リクエスト時の拡張デバイス・セキュリティ・チェック |
使用可能 |
使用可能 |
||
マルチステップ認証サポート(ナレッジベース認証およびワンタイム・パスワードのサポート) |
使用可能 |
使用可能 |
||
ディレクトリ・サーバーとの連携およびユーザー・プロファイル・サービスのサポート |
使用可能 |
使用可能 |
使用可能 |
使用可能 |
インターネットベースのアイデンティティ・プロバイダ(Facebook、Google、Twitter、LinkedIn、Yahoo)のリライイング・パーティ・サポート |
使用可能 |
使用可能 |
使用可能 |
使用可能 |
インストールの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドを参照してください。
次のリストは、Mobile and Socialのいくつかのデプロイメント方法の情報とリンクを示しています。
Mobile and SocialをAccess Managerとともにデプロイする場合は、Mobile and SocialとAccess Managerの両方を同一ドメインまたは別のドメインの同じサーバー上に一緒にデプロイできます。詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドを参照してください。
Mobile and SocialをOracle Access Manager 10gまたは11gR1 PS1とともにデプロイする場合は、Mobile and SocialとOracle Access Managerは別々のドメイン内の別々のサーバー上にインストールする必要があります。
「Oracle Access Managerを使用するMobile and Socialのデプロイ」を参照してください。
ノート:
すでにAccess Managerがインストールされている場合は、OAMドメインを拡張することでMobile and SocialをOracle Access Managementのインストールに追加することはできません。これを試みると、次のようなエラーが発生します。
CFGFWK-64071- the selection conflicted with templates already installed in the domain OAM with database policy store 11.1.1.3.0
WebGateとともにMobile and Socialをデプロイする場合、Mobile and Socialは、WebGateによって保護されたリソースにクライアントがアクセスするために必要となるOracle Access Managementトークンを生成可能です。次の制限があります。
Oracle Access Management 11gR2 (11.1.2)をデプロイした場合、Mobile and Socialは、11g WebGateと10g WebGateのいずれかにアクセス可能なトークンを生成可能です。
Access Manager 11gR1 (11.1.1)と10gのいずれかをデプロイした場合、Mobile and Socialは、10g WebGateのみにアクセス可能なOracle Access Managementトークンを生成可能です。
Mobile and Socialをテスト環境から本番環境に移行する場合は、「テストから本番に移行するスクリプトを実行した後のソーシャル・アイデンティティの構成」を参照してください。