Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
特定のレベルの認証スキームを満たすと、それより低いレベルで保護されているすべてのリソースへのアクセスが可能となります。さらに、特定のレベルのすべての認証スキームが、同等として表示されます。
この項では、2つのアプリケーション・ドメインで使用される単一の認証スキームに基づく簡単なセッション実施例と、2つのアプリケーション・ドメインで使用される複数の認証スキームに基づくより複雑な例を示します。
次の構成について考えます。
レベル2を使用して定義された単一の認証スキーム(S1)
アプリケーション・ドメインD1およびD2
各ドメイン内のすべてのリソースは、S1を使用する単一の認証ポリシーと単一の認可ポリシーにより保護されています。
グローバル・セッション構成:
セッションの存続期間: 90分
アイドル・セッション・タイムアウト: 0 (セッションがアイドル・タイムアウトすることはありません)
アプリケーション・ドメイン・タイムアウト: 30分
今度は、表16-5の結果について考えます。
表16-5 セッションの内容: 単一の認証スキーム
時間(デルタ) | アクション | アクセスの許可または拒否 | セッションの内容 |
---|---|---|---|
0 |
D1へのアクセス |
セッションがないため拒否 |
null |
1 |
S1による認証とD1へのアクセス |
認証スキームが満たされているため許可 |
レベル2、認証時間1 |
21 |
D2へのアクセス |
許可 |
レベル2、認証時間1 |
66 |
D1へのアクセス |
アプリケーション・ドメイン・タイムアウト(構成されているパラメータに基づく)により拒否 |
レベル2、認証時間1 |
67 |
S1による認証とD1およびD2へのアクセス |
認証スキームが満たされているためどちらも許可 |
レベル2、認証時間67 |
前のリリースのAccess Managerでは、セッションは、Oracle Identity Management統合のセルフサービス・フロー(強制パスワード・リセットなど)で、その認証レベルを下げることのみ可能でした。このリリースでは、当然セッションがタイムアウトするとステップダウン認証が発生します。これは、セッションで以前保持していた最大のレベルのスキームを満たす新しい資格証明をユーザーが提供するまで継続します。そうしない場合、認証の観点からは、セッションは新規で、さらなるステップアップが必要であるように見えます。次の2つの認証スキーム(ステップアップとステップダウン)のある例を考えます。
認証スキームS1 (レベル2)およびS2 (レベル3)
アプリケーション・ドメインD1およびD2
各ドメイン内のすべてのリソースは、単一の認証ポリシーと単一の認可ポリシーにより保護されています。
D1はS1を使用、D2はS2を使用
グローバル・セッション構成:
セッションの存続時間: 240分
アイドル・タイムアウト: 30分
Appdomain 2 (D2)タイムアウト: 15分(appdomain設定)
D1のリソースにアクセスすると、タイムアウトは30分後(グローバル・タイムアウト設定)に発生します。D2タイムアウトは、タイムアウト値がグローバル・レベルでオーバーライドされているため、15分後に発生します。表16-6に結果を示します。
表16-6 セッションの結果: 複数の認証スキーム
時間(デルタ) | アクション | アクセスの許可または拒否 | セッションの内容 |
---|---|---|---|
0 |
D1リソース(RD1)へのアクセス |
ログイン成功後にアクセス許可 |
D1のタイムアウトは、0+30=30に設定されます(D1はアプリケーション・ドメイン・レベルでタイムアウトをオーバーライドしていないため、30はデフォルトのグローバル・タイムアウトです)。 |
1 (1分後を意味します) |
D2リソース(RD2)へのアクセス |
資格証明のチャレンジ後にアクセス許可(D2はより高い認証スキームを使用して保護されているため、ユーザーは資格証明を要求されます) |
D2のタイムアウトは、1+15=16に設定されます。 |
t>16かつt<30 (t=20など) |
RD1およびRD2へのアクセス |
タイムアウトがD1=30のためRD1へのアクセス許可。タイムアウトがD2=16のため、資格証明の指定後にRD2へのアクセス許可 |
新しいD2のタイムアウトは16です。 |
40 |
RD1へのアクセス |
許可: D1リソースはタイムアウトが50のため許可 |
|
55 |
RD1およびRD2へのアクセス |
ユーザーが資格証明に対して正常にチャレンジされた後、両方のリソースへのアクセスを許可 |
D1のタイムアウトは現在85 (55+30)です。 D2のタイムアウトは現在70 (55+15)です。 |
アクセス順序は結果に影響を及ぼします。たとえば、資格証明の期限が切れた後、まずD2アプリケーションへのアクセスを続けることをユーザーが選択した場合、最後のD1アクセスは許可される可能性があります。次に例を示します。
D2へのアクセスが許可された状態での認証S2: L3スキームは満たされ、現在アクティブなセッションのレベルは(再度)以前と同じになります。セッションの内容: レベル3、認証時間51
D1へのアクセス許可: レベル2で保護されたアクセスには、レベル3の資格証明でも十分です。セッションの内容: レベル3、認証時間51