プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Access Management管理者ガイド
11g リリース2 (11.1.2.3) for All Platforms
E61950-08
目次へ移動
目次
前
 		次

56.3 SecurID認証に必要なコンポーネント

統合には次のコンポーネントが必要です。

56.3.1 バージョンおよびプラットフォームのサポート

最新のサポート情報は、Oracle Technology Network (OTN)を参照してください。この情報を表示するには、OTNに登録する必要があります。

動作保証マトリックスで、この統合のためのプラットフォームおよびバージョンのサポートが提供されています。これにはRSA Authentication Manager v7.xおよびSecurID認証APIが含まれます。

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html

56.3.2 必要なRSAコンポーネント

Access ManagerとSecurID認証の統合には、次のRSAコンポーネントが必要です。

56.3.2.1 RSA Authentication Manager

ユーザー、エージェント、トークン、およびユーザーのPINのレコードはネットワーク内のいずれかの場所に配置されています。これらのレコードの一部が、Authentication ManagerまたはLDAPディレクトリに配置されていることがあります。

認証中に、Authentication Managerは、それらのレコードとユーザーがネットワークにアクセスを試みるときにそれが受け取る情報を比較します。レコードとトークンコードまたはパスコードが一致すると、ユーザーはアクセスの権限を付与されます。

56.3.2.2 RSA SecurIDトークン

RSA SecurIDトークンは、ハードウェアベースまたはソフトウェアベースのセキュリティ・トークンであり、保護されているリソースにユーザーが安全にアクセスすることを可能にするランダム番号を生成および表示します。

このランダム番号はトークンコードと呼ばれます。ユーザーがトークンによって認証を受けるには、その前にトークンがAuthentication Managerによって認識される必要があります。RSAまたはご使用のベンダーによってトークン・シード・ファイルが同梱されており、それをデータ・ストアにインポートする必要があります。このファイルにリストされているシードは、トークンに割り当てられており、Authentication Managerエージェントから認証リクエストを受信したときにトークンコードを生成します。

SecurID認証プロセス中に、ユーザーは、自分のユーザー名とパスコードをHTMLフォームを使用して送信する必要があります。RSA Authentication Managerは、クライアントとしてAuthentication Managerに登録されているサーバー(RSA認証エージェント)を介して各ユーザーのアイデンティティを認証します。1つのアクセス・サーバー(他のアクセス・サーバーと区別するためにOracle SecurID Access Serverと呼ばれる)を、クライアントまたはエージェントとして登録およびセットアップする必要があります。

RSA Authentication Managerはそれが生成したトークンコードを、ユーザーが入力したトークンコードと比較します。トークンコードは、指定された間隔(通常は60秒)で変わります。時間同期によって、ユーザーのトークンに表示されたトークンコードは、その時点に対してAuthentication Managerソフトウェアによって生成されたものと同じコードになります。トークンコードが一致すると認証は成功します。2つのファクタによる認証は、タスクを誰が実行したのかについてより強力な法的証拠を提供します。Authentication Managerは、適切に構成されている場合、すべてのログイン・リクエストおよび操作を追跡し、記録された各アクションに責任を持つユーザーを高い信頼度で特定します。

56.3.3 インストール要件および構成要件

SecurIDは、ユーザー操作のためにOAMサーバーとRSA Authentication Managerとの間のアフィニティを必要とします。したがって、ユーザーとOAMサーバーとの間の対話はスティッキーである必要があります(この制約がSecurID認証のセキュリティの特徴です)。クラスタ環境で、ロード・バランサが使用されてリクエストが複数の管理対象サーバーにルーティングされる場合、ロード・バランサとOAMサーバーとの間にスティッキネスが設定されるようにします。SecurID認証APIは、Access Managerに同梱されており、すべてのOAMサーバーにインストールされます。SecurID認証APIによって接続機能が提供されるため、OAMサーバー上に認証エージェントをインストールする必要はありません。つまり、このAPIはエージェントです。

次のガイドラインに従って、すべてのOAMサーバーをRSA Authentication AgentホストとしてAuthentication Managerに登録する必要があります。

  • SecurID認証を完了できるのは、1つの指定されたOAM SecurIDサーバーのみです。ただし、すべてのOAMサーバーを、Authentication ManagerにRSA Authentication Agentホストとして登録する必要があります。

  • OAM SecurIDサーバーをAuthentication Managerクライアントとして認識できるようにします。

  • Authentication Managerが認証エージェント(OAM SecurIdサーバー)と通信するためにポート5500 (UDP)が使用可能になっている必要があります。このサービスは、Oracle SecurId Serverから認証リクエストを受信し、リプライを送信します。詳細は、ご使用のRSA Authentication Managerのドキュメントを参照してください。

  • クライアントからAuthentication Managerへの認証リクエストを管理します。

  • 2つのファクタの認証を適用し、認可されていないアクセスをブロックします。

  • レプリカのAuthentication Managerのレスポンス時間を検出し、それに応じて認証リクエストをルーティングすることで、自動ロード・バランシングを提供します。

  • サーバーとクライアントの非同期を防止するために、クライアント上のシステム時間が正確であることを確認します。

  • Access Managerに対してフェイルオーバーはサポートされていません。

  • SecurID Authentication Managerは、サポートされているプラットフォームにインストールする必要があります。

  • サーバーとクライアントの非同期を防止するために、システム時間は正確である必要があります。

  • SecurIDトークンまたはキー・フォブは、トークン・シード・レコードで提供することで、Authentication Managerによってプロビジョニングされる必要があります。

  • 各ユーザー名は、LDAPフィルタを介して、ディレクトリ内の識別名にマップ可能であることが必要です。

  • Authentication ManagerスレーブまたはレプリケートされたAuthentication Manager、あるいその両方は、プライマリAuthentication Managerが停止した場合に、フェイルオーバーを提供できます。

  • この統合には、カスタムHTMLログイン・フォームおよびプロパティ・ファイルが必要です。オラクル社が提供するサンプルのカスタムhtmlおよびカスタムhtmlプロパティ・ファイルは次の場所にあります。
    $ORACLE_HOME/oam/server/tools/customLoginHtml

    関連項目:

前
 		次
目次へ移動
目次