| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
Oracle Adaptive Access Manager (OAAM)は、提供されたセキュリティ・プラグインを使用してモバイルOAuthサービス・トランザクションをスクリーニングできるオプションの製品です。
また、OAAMとこのプラグインが連携して、モバイル・クライアント不正検出、ナレッジベース認証(ユーザー名とパスワードの認証後の2ファクタ認証で使用)およびワンタイム・パスワード機能を提供します。Oracle Mobile Security Suiteがデプロイされている場合、モバイル・セキュリティ・マネージャ・プラグインによって、OAAMがスクリーニングする追加のモバイル・デバイス・データが収集されます。
OAAMとモバイルOAuthサービスを組み合せて使用するには、アダプティブ・アクセス・セキュリティ・プラグインをインストールする必要があります。このプラグインでは、アプリケーション登録、クライアント・トークンまたはユーザー・トークンの検証やリフレッシュ、トークン交換時に、付加価値を実現できます。
OAAMのルールおよびポリシーは、Oracle Adaptive Access Managerで定義されます。OAAMおよびアダプティブ・アクセス・プラグインの機能について次に簡単に説明します。
アダプティブ・アクセス・プラグインは、2-leggedフローと3-leggedフローの両方でモバイル・アプリケーション登録リクエストをスクリーニングすることによりセキュリティを強化します。このプラグインは、不正検出およびリスク分析ポリシー・チェックを実行します。
また、ナレッジベース認証(KBA)およびワンタイム・パスワード認証(OTA)をモバイル・アプリケーション登録プロセスに統合することもできます。OAuthサービスREST APIフローには、開発者がアプリケーションに実装する必要のあるチャレンジ・リクエストおよびレスポンスのサンプルが含まれています。
登録後、アダプティブ・アクセス・プラグインは、ユーザー・トークンが有効かどうかをチェックするだけでなく、セキュリティ違反を調べるためにユーザー・トークンをスクリーニングします。このスクリーニングの結果は、「許可」または「拒否済」です。
モバイル・セキュリティ・マネージャ・プラグインとアダプティブ・アクセス・プラグインとの併用
モバイル・セキュリティ・マネージャ・プラグインは、Oracle Mobile Security Suite (OMSS)で使用するためのプラグインです。モバイル・セキュリティ・マネージャ(MSM)コンポーネント(OMSSの一部)は、モバイル・デバイス・データの豊富なセットを収集して、それをOAAMが使用できるようにアダプティブ・アクセス・プラグインに渡します。Oracle Mobile Security Suiteが使用できない場合、アダプティブ・アクセス・プラグインでは、モバイルOAuthサービス・サーバーがモバイル・アプリケーション・リクエスト中に取得したモバイル・デバイス属性値を使用します。
ノート:
モバイル・セキュリティ・マネージャ・プラグインを使用するには、専用の構成が必要です。詳細は、「モバイル・セキュリティ・マネージャ・プラグインの構成」を参照してください。
モバイル・セキュリティ・マネージャ・プラグインがアクティブになっている場合は最初に実行され、そのデータを(2番目に実行される)アダプティブ・アクセス・プラグインに送信します。アダプティブ・アクセス・プラグインは、デバイスのコンプライアンス・ステータスをレポートするMSMコンプライアンス・ポリシーの結果をチェックします。コンプライアンス・ポリシー・レスポンスが否定の場合、アダプティブ・アクセス・プラグインはモバイル・アプリケーション・リクエストを拒否します。レスポンスが肯定の場合、アダプティブ・アクセス・プラグインはデバイス・データをOracle Adaptive Access Managerに渡して、より強力な認証チェックおよびリスク評価を行います。モバイル・セキュリティ・マネージャ・プラグインでは、次の場合にデバイス情報を取得して、MSMコンプライアンス・ポリシーをチェックします。
ユーザー認証後のアプリケーション登録フロー中。
クライアント・トークンおよびユーザー・トークンの検証プロセスの一部として。
詳細は、次を参照してください。
モバイルOAuthサービス・フローOAAMとモバイル・アプリケーションとがやり取りする場合の詳細は、「モバイル・クライアント用のOAuthサービスの認可の理解」を参照してください。
各種OAuthサービス・プラグインの概要は、「プラグイン - Identity FederationおよびOAuthサービス」を参照してください。
アダプティブ・アクセス・プラグインの構成の詳細は、「プラグインの構成」を参照してください。
