21.3 アプリケーション・ドメインおよびポリシーの詳細分析

Access Managerを使用すると、アプリケーション・ドメイン内で定義されているポリシーに基づいて、誰がリソースにアクセスできるかを制御できます。ユーザーは、ブラウザにURLを入力する、アプリケーションを実行する、他のなんらかの外部ビジネス・ロジックをコールするといった方法によって、保護されているリソースにアクセスを試みます。ユーザーが保護されているリソースへのアクセスをリクエストすると、特定のリソースへのアクセスを認可されている認証ユーザーと認可されていない認証ユーザーを選別するポリシーに従って、リクエストが評価されます。アプリケーション・ドメインは、相互に階層の関係がありません。各アプリケーション・ドメインを作成して、全体のアプリケーションのデプロイメント、特定の層のデプロイメントまたは単一のホストに関連するポリシー要素を含めることができます。

各アプリケーション・ドメイン内では、アクセスを制御する特定のポリシーによって、特定のリソースが保護対象として識別されます。認証ポリシーおよび認可ポリシーには、成功と評価された場合に適用されるレスポンスが含まれます。このレスポンスは、管理者が構成します。認可ポリシーには、評価の実行方法を定義する条件とルールおよび成功と評価された場合に適用されるレスポンスが含まれます。これらの条件とルールおよびレスポンスは、管理者が構成します。

アプリケーション・ドメインのサイズと数は、管理者が決定します。それを決定するために、必要に応じて、個々のアプリケーション・リソースまたは他の論理グループを使用できます。アプリケーション・ドメインは、エージェント登録時に自動的に作成されます。また、管理者はアプリケーション・ドメインを手動で作成し、リソースおよびポリシーを追加すると、同じエージェントを使用して複数のアプリケーション・ドメインを保護できます。

図21-3に、アプリケーション・ドメイン内のポリシーの詳細およびアプリケーション・ドメインでの共有要素の使用方法を示します。

図21-3 Access Managerポリシーの構造

「図21-3 Access Managerポリシーの構造」の説明

詳細は、以下のトピックを参照してください。

• ポリシーのリソース定義

• 認証ポリシーについて

• 認可ポリシーについて

• トークン発行ポリシーについて

21.3.1 ポリシーのリソース定義

リソースという用語は、OAMサーバーに格納されていて、多くのユーザーがアクセスできるドキュメント、エンティティまたは一部のコンテンツを表します。

クライアントは、特定のプロトコル(HTTPやHTTPSなど)を使用してOAMサーバーと通信し、既存のリソース・タイプに該当するリソースをリクエストします。各HTTPリソース・タイプをホスト識別子に関連付ける必要があります。ただし、HTTP以外のリソース・タイプは、(ホスト識別子ではなく)特定の名前に関連付けられます。

Access Managerでは、各リソースを特定のポリシーと関連付けるために、アプリケーション・ドメインのリソース・コンテナ内でリソースとして定義する必要があります。

ノート:

アプリケーション・ドメイン内のポリシーに関連付けできるリソースは、リソース・コンテナで定義されているリソースのみです。

詳細は、「ポリシー・リソース定義の追加および管理」を参照してください。

ノート:

ページの内容の一部を保護するには、Oracle Entitlements Serverの使用をお薦めします。

21.3.2 認証ポリシーについて

管理者は、認証ポリシーを作成して、アプリケーション・ドメイン内の特定のリソースに適用できます。

各認証ポリシーで指定する内容は次のとおりです。

• このポリシーが適用される特定のリソースを指定します。このリソースは、このポリシーの「リソース」タブで、アプリケーション・ドメインのリソース・コンテナに定義する必要があります。

• ユーザーの認証に使用するチャレンジ・メソッドを提供する認証スキームを指定します。

• このポリシーの評価結果に基づいてユーザーをリダイレクトする成功URL (および失敗URL)を指定します。

• エージェントが実行する認証後アクションを指定するオプション・レスポンスを定義します。

  ポリシー・レスポンスには、情報をセッションに挿入して後で抽出する機能があります。これにより、特定の順序でURLにリダイレクトすることでアプリケーションへの(アプリケーション間の)データの経路を提供していたOracle Access Manager 10gよりも堅牢性と柔軟性が強化されます。

  ポリシー・レスポンスはオプションです。これらは、管理者が構成する必要があり、アプリケーション・ドメイン内で定義されている特定のリソースに適用する必要があります。詳細は、「SSOのポリシー・レスポンスの概要」を参照してください。

認証ポリシーの評価結果

Access Managerはユーザーを認証するために、このポリシーの認証スキームによって定義されているチャレンジ・メソッドに基づいて、認証資格証明のリクエストをユーザーのブラウザに示します。

ポリシーの評価後に、結果が返され、ユーザーはその結果に基づいてリダイレクトされます。

• 成功(アクセスを許可)の場合、リクエストしたURLにリダイレクトされます。

• 失敗(アクセスを拒否)の場合、汎用エラー・ページにリダイレクトされます。

  ノート:

  ポリシーの評価結果は、ポリシーごとにオーバーライドされます。

関連項目:

• 「認証ポリシーのページ」

• 「実行時のポリシー評価キャッシュの管理」

21.3.3 認可ポリシーについて

認可は、ユーザーにリクエストしたリソースのアクセス権があるかどうかを決定するプロセスです。

たとえば、ユーザーは、データを表示したり、ポリシーで保護されているアプリケーション・プログラムを実行したりできます。

管理者は、認可ポリシーを作成して、サブジェクトまたはアイデンティティが特定のリソースにアクセスできる条件を指定できます。リクエストしたリソースは、アプリケーション・ドメインに属している必要があり、特定の認可ポリシー内に含まれている必要があります。

各認可ポリシーで指定する内容は次のとおりです。

• このポリシーが適用される特定のリソースを指定します。このリソースは、このポリシーの「リソース」タブで、アプリケーション・ドメインのリソース・コンテナに定義する必要があります。

• このポリシーの評価結果に基づいてユーザーをリダイレクトする成功URL (および失敗URL)を指定します。

• このポリシーおよびリソースに定義されている条件に基づいて、特定の許可ルールまたは拒否ルールを指定します。条件タイプの概要は、表21-5を参照してください。

• 認可後にエージェントが実行するアクションを特定する、オプションのレスポンスを定義します(「SSOのポリシー・レスポンスの概要」を参照してください)。

関連項目:

ポリシーの条件およびルール

21.3.4 トークン発行ポリシーについて

トークン発行ポリシーは、クライアントのアイデンティティに基づいてリソース(リライイング・パーティ・パートナ)のトークンを発行する際に従うルールを定義します。クライアントは、リクエスタ・パートナまたはエンド・ユーザーのどちらかです。

特に明記しないかぎり、アプリケーション・ドメインおよび認可ポリシーに関する情報は、トークン発行ポリシーにも同様に適用されます。

ノート:

ポリシーが自動生成される際は、トークン発行ポリシーは作成されません。トークン発行ポリシー用のコンテナのみが自動生成されます。

トークン発行ポリシーに固有の情報は、次を参照してください。

• 「TokenServiceRPタイプのリソースの管理」

• 「トークン発行ポリシー、条件およびルールの管理」