23.2 OAMエージェントとECCによるSSOログイン・プロセスの概要

Access Managerは、顧客が指定した認証方式で各ユーザーを認証してアイデンティティを決定し、ユーザー・アイデンティティ・ストアに格納されている情報を利用します。

このトピックでは、リソースを保護するOAMエージェント(リソースWebゲート)とともにデフォルトの埋込み資格証明コレクタを使用していることを前提にしています。

Access Managerの認証では、いくつかの認証方法と複数の認証レベルをサポートしています。より厳密な認証方式に対応する高いレベルの認証を要求すると、様々な機密度のリソースを保護できます。

ユーザーが保護されているアプリケーションにアクセスしようとすると、Access Managerがリクエストを受け取り、SSO Cookieの有無を確認します。

ユーザーを認証してユーザー・コンテキストおよびトークンを設定した後、Access ManagerはSSO Cookieを設定して、SSOサーバー・キーでCookieを暗号化します(このキーは、SSOエンジンでのみ復号化できます)。

認証の成功および失敗に対して指定されているアクション(Access Manager 11gのレスポンス)に応じて、ユーザーが特定のURLにリダイレクトされたり、ヘッダー変数またはCookie値を介してユーザー情報が他のアプリケーションに渡されたりします。

認可ポリシーおよび確認結果に基づいて、リクエストした内容へのユーザーのアクセスが許可または拒否されます。ユーザーのアクセスが拒否されると、ユーザーは(Webゲート登録で管理者が指定した)別のURLにリダイレクトされます。

図23-1は、ポリシーの評価、ユーザーのアイデンティティの検証、保護されたリソースへのユーザーの認可および保護されたリソースの使用に含まれるプロセスを示しています。この例は、OAMエージェント・フローを示しています。11g Webゲート/アクセス・クライアントの場合は、多少異なります。

図23-1 埋込み資格証明コレクタとOAMエージェントを使用するSSOログイン

「図23-1 埋込み資格証明コレクタとOAMエージェントを使用するSSOログイン」の説明

プロセスの概要: 埋込み資格証明コレクタとOAMエージェントを使用するSSOログイン処理

ユーザーがリソースをリクエストします。
Webゲートは、ポリシー評価のリクエストをAccess Managerに転送します。
Access Managerは次を実行します。
- SSO Cookieの有無をチェックします。
- ポリシーをチェックして、リソースが保護されているかどうか、保護されている場合はどのような方法で保護されているかを判断します。
Access Managerサーバーは、決定をログに記録して返します。
WebGateは、次のように応答します。
1. 保護されていないリソース: リソースがユーザーに提供されます。
2. 保護されているリソース:
  
  リクエストが資格証明コレクタにリダイレクトされます。
  
  認証ポリシーに基づくログイン・フォームが提供されます。
  
  認証処理が開始されます。
ユーザーが資格証明を送信します。
Access Managerは、資格証明を検証します。
Access Managerはセッションを開始し、次のホストベースCookieを作成します。
- エージェントごとに1つ: 認証に成功した後にOAMサーバーから受け取った認証トークンを使用して11g Webゲートによって設定されるOAMAuthnCookie (10g Webゲートによって設定されるObSSOCookie)。
  
  ノート: 有効なCookieがセッションに必要です。
- OAMサーバーに1つ: OAM_ID
Access Managerは、成功または失敗をログに記録します。
資格証明コレクタがWebGateにリダイレクトされ、認可処理が開始されます。
Webゲートは、ポリシーの検索、ユーザーのアイデンティティとの比較およびユーザーの認可レベルの決定をAccess Managerに求めます。
Access Managerは、ポリシー決定をログに記録し、セッションCookieを確認します。
OAMサーバーが認可ポリシーを評価して、結果をキャッシュします。
OAMサーバーが判定をログして返します。
WebGateは、次のように応答します。
- 認可ポリシーでアクセスを許可すると、目的の内容またはアプリケーションがユーザーに提供されます。
- 認可ポリシーによってアクセスが拒否された場合、ユーザーは、管理者が決定した別のURLにリダイレクトされます。