Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
この項では、Access ManagerおよびOSSOの10gアーキテクチャとの比較について説明します。
次のトピックが含まれます。
Access Manager 11gは、アイデンティティ管理機能がOracle Identity Manager 11g(ユーザー・セルフサービス、セルフ登録、ワークフロー機能、動的グループ管理、委任されたアイデンティティ管理を含む)に移管されたという点で、10gとは異なります。
Access Manager 10gは、認証レベルが同じかより低いターゲット・リソースへのアクセスに必要なユーザー・アイデンティティおよびセッションの情報を含む単一のセッションcookie (ObSSOCookie)を使用して、シングル・サインオンをサポートしていました。ObSSOCookieは、グローバル共有の秘密キーを使用して暗号化、復号化され、秘密キーの値はディレクトリ・サーバーに格納されていました。ObSSOCookieは、ユーザー・アイデンティティを検証して保護されたリソースへのアクセスを許可または却下するために、アクセス・システム・コンポーネントによって消費されていました。
可能性のあるセキュリティ・ギャップを埋めるには、Access Manager 11gには、既存のAccess Manager 10gポリシー強制エージェント(Webゲート)とOSSO 10gエージェント(mod_osso)との下位互換性を維持するための新しいサーバー側コンポーネントが用意されています。新しいAccess Manager 11g Webゲートは10g Webゲートの強化バージョンで、シングル・サインオン(SSO)ソリューションのためにエージェントごとの秘密キーをサポートしています。したがって、Cookieリプレイ型の攻撃が阻止されます。11g Webゲートは、すべて同じレベルで信頼されます。つまり、Webゲート固有のCookieが設定され、それを使用しても、他のWebゲートで保護されたアプリケーションにユーザーの代理でアクセスすることはできません。
特に明記しないかぎり、「Webゲート」という用語は、そのまますぐに使用できるWebゲートまたはカスタムのアクセス・クライアントの両方を指します。
Access Manager 11gでは、Oracle Coherenceの技術を使用して、分散されて集中化された信頼のできるセッション管理が可能です。
表30-2は、Access Manager 11gと10gの比較を示しています。
Access Manager 11gで変更された名前のリストは、次を参照してください。
「11.1.2で変更された製品およびコンポーネントの名前」を参照してください。
表30-2 比較: Access Manager 11g対10g
機能 | Access Manager 11g | 10g |
---|---|---|
エージェント |
ノート: 9つの管理者言語がサポートされています。 |
ノート: 9つの管理者言語がサポートされています。 |
サーバー側のコンポーネント |
|
|
コンソール |
Oracle Access Managementコンソール |
アクセス・システム・コンソール アイデンティティ・システム・コンソール |
インターネット上での情報交換の保護に使用されるプロトコル。 |
エージェントとサーバー間で交換されるフロント・チャネル・プロトコル: HTTP/HTTPS 11g Webゲートでは、エージェント・キーを使用して情報交換が保護されます。 -関連項目: 暗号化キー |
プレーン・テキストでの10gエージェントの情報交換は保護されません。 |
暗号化キー |
ノート: 登録されたmod_ossoエージェントごとに1つのキーが生成され、使用されます。 |
すべての10g Webゲートが使用するAccess Managerデプロイメントごとに1つのグローバル共有秘密キー |
キー・ストレージ |
|
ディレクトリ・サーバーに格納されるグローバルで共有される秘密のみ(WebGateに対してはアクセス不可) |
Cookie |
ホストベースの認証Cookie。 表1-2を参照してください。 |
|
暗号化 / 復号化(暗号化されたデータを元の形式に変換するプロセス) |
クライアント側の暗号化を導入して、エージェントとサーバーの両側で暗号化が実行されるようにします。
|
|
セッション管理 |
|
|
クライアントIP |
|
|
レスポンス・トークンの再生防止 |
|
該当なし |
複数のネットワーク・ドメインのサポート |
ネットワーク間ドメインの設定不要なシングル・サインオン。 複数のネットワーク・ドメインをサポートする場合は、Oracle Federationを使用することをお薦めします。 |
独自の複数のネットワーク・ドメインSSO機能が、Oracle Identity Federationより前から存在します。これが10gデプロイメントに実装されている場合、10gエージェントをAccess Manager 11gに登録すればこのサポートを引き続き受けられます。
|
集中ログアウト |
「11g Webゲートの集中ログアウト構成」を参照してください。 次を参照してください。 |
10g WebゲートとAccess Manager 11gを併用する場合、logout.htmlでは特定の詳細が必要です。 「11g Webゲートの集中ログアウト構成」を参照してください。
|
明示的にアクセスを許可するポリシーでリソースが保護されない場合、Access Manager 11gのデフォルトの動作でアクセスが拒否されます。
Access Manager 10gは、ポリシー・ドメイン内のポリシーに基づく認証と認可を提供します。アクセス・サーバーへのWebゲート問合せの数を制限するためにアクセスを明示的に拒否したルールまたはポリシーでリソースが保護されなかった場合、Access Manager 10gのデフォルト動作ではアクセスが許可されていました。
表30-3は、Access Manager 11gポリシー・モデルと10gモデルを比較しています。明示的にアクセスを許可するポリシーでリソースが保護されない場合、Access Manager 11gのデフォルトの動作でアクセスが拒否されます。対照的に、Access Manager 10gのデフォルトの動作では、リソースがアクセスを明示的に指定するルールやポリシーによって保護されていない場合に、アクセスが許可されていました。
表30-3 Access Manager 11gと10gのポリシー・モデルの比較
ポリシーの要素 | 11gポリシー・モデル | 10gポリシー・モデル |
---|---|---|
ポリシー・オーサリング |
Oracle Access Managementコンソール |
ポリシー・マネージャ |
ポリシー・ストア |
データベース |
LDAPディレクトリ・サーバー |
ドメイン |
アプリケーション・ドメイン |
ポリシー・ドメイン |
リソース |
|
|
ホスト識別子 |
|
|
認証ポリシー |
|
|
認証スキーム |
認証スキームはグローバルに定義され、共有されます(認証ポリシー内から参照できます)。 信頼レベルは、0(信頼なし)から99(最高の信頼レベル)の整数値で表現されます。 ノート: レベル0は保護されていません。保護レベル0の認証スキームを使用する認証ポリシーには、保護されていないリソースのみ追加できます。 関連項目: |
認証スキームをポリシーの外部で定義し、認証ポリシー内で参照できます。 |
認可ポリシー |
1つの認可ポリシーでのみ、アプリケーション・ドメインに割り当てられる各リソースを保護できます。ポリシーには、それぞれ1つ以上の条件およびルールを含めることができます。 関連項目: 「ルール」(この表で後述) 「特定のリソースに対する認証ポリシーの定義」を参照してください。 |
リソースを保護するには、1つ以上の条件を含んだ認可ルールを定義します。また、1つ以上の認可ルール使用する認可条件式を構成します。ポリシー・ドメイン(およびポリシー)には、それぞれ1つの認可条件式のみを含めることができます。 |
トークン発行ポリシー |
生成されるアプリケーション・ドメインでは、「トークン発行ポリシー」のコンテナのみがデフォルトで提供されます。条件やルールは自動的に生成されません。これらは手動で追加する必要があります。 関連項目: 「トークン発行ポリシーのページ」。 |
該当なし |
レスポンス |
すべてのポリシー・タイプで使用可能。
|
|
Cookie |
関連項目: 表21-6 および |
関連項目: 表21-6 および |
問合せ文字列ベースのHTTPリソース定義 |
アクセス・ポリシーでサポートされています。 表25-1を参照してください。 |
このポリシー・モデルは、アクセス・ポリシー内の問合せ文字列ベースのHTTPリソース定義をサポートします。 ベース・リソースURLの場合と同様に、実行時にOAMプロキシは、URLエンコーディングの後に問合せ文字列をポリシー・レイヤーに渡します。HTTP GETリクエストの一部である問合せ文字列のみが渡されます。問合せ文字列のパターンはHTTP POSTデータに適用されません。 |
ルール |
認可ポリシーとトークン発行ポリシーのみで利用可能です。 各認可ポリシーには、保護対象のリソースへのアクセスを許可または拒否するかどうかを定義したルールが含まれています。 ルールは、次で説明されている認可条件を参照します。 関連項目: 「認可ポリシー・ルールおよび条件の概要」 |
ポリシーは(いくつかのポリシー要素の中で)認証ルールを使用して定義します。認可ルールの概要は次のとおりです。
各ルールは、誰(どのユーアー、グループまたはIP4アドレス)がアクセスを許可または拒否されるか、およびそのルールが適用される期間を指定します。 また、許可を拒否よりも優先するかどうかの条件も指定できます。 |
条件 |
認可ポリシーとトークン発行ポリシーのみで利用可能です。 各認可ポリシー・ルールは、ルールの適用対象、時間の条件が存在するかどうか、および評価結果の適用方法を定義する条件を参照します。 条件は、ルールの外部で宣言され、ルール内から参照されます。 関連項目: 「認可ポリシー・ルールおよび条件の概要」 |
該当なし |