Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
ここでは、次のトピックについて説明します。
これらのアプリケーションの管理者は、アプリケーションをSDKに統合する負担がなくなります。ユーザーの認証後、mod_ossoは、ユーザーの認可にアプリケーションで使用される可能性のある単純なヘッダー値を送信します。
ユーザー名
ユーザーGUID(グローバル・ユーザー・アイデンティティ)
言語および地域
Access Managerに登録すると、OSSO 10gエージェントは、OSSOプロキシを通じてAccess Manager 11gのサービスと直接通信できるようになります。OSSOプロキシは、Access Managerへのアップグレード時に既存のOSSOエージェントをサポートします。このプロキシは、OSSOエージェントからのリクエストを処理して、OSSOプロトコルをAccess Manager 11g認証サービスのプロトコルに変換します。
OSSOプロキシは、Access ManagerエージェントとOSSOエージェント間の相互運用性をサポートします(OSSOエージェントを使用して、Webゲートまたはアクセス・クライアントのために作成された有効なSSOセッションにアクセスしたり、Webゲートまたはアクセス・クライアントを使用してOSSOエージェントのために作成された有効なSSOセッションにアクセスしたりします)。
OSSOプロキシのサポート対象 | 説明 |
---|---|
SSOログイン |
OSSOエージェントからOAMサーバー(およびOSSO固有のトークン) |
SSOログアウト |
OSSOエージェントからOAMサーバー |
OSSOエージェントのリクエストおよびプロトコル |
OSSOプロキシは、OSSOプロトコルをAccess Manager用のプロトコルに変換します。 |
10g mod_ossoをエージェントとして登録した後、Access Managerはリソースに定義されたOAMポリシーに関連付けられた認証スキームに基づいて、mod_ossoにユーザーのためのリダイレクトURLを渡します(表29-1)。
表29-1 Access Manager使用時のOSSOエージェント
OSSOエージェント | Access Manager |
---|---|
有効な既存のOracle HTTP Server Cookieを確認 |
必要に応じてOAMサーバーにリダイレクトし、認証中にディレクトリに連絡します。 |
OSSOサーバーから移入された暗号化されたユーザー・アイデンティティを復号化 |
ヘッダーにユーザー属性を設定 |
この項では、Access Manager 11gのシングル・サインオン・ポリシーを実装および施行する主要コンポーネントをOSSO 10gと比較しながら説明します。明示的にアクセスを許可するポリシーでリソースが保護されない場合、Access Manager 11gのデフォルトの動作でアクセスが拒否されます。OracleAS SSO 10gは認証のみ提供します。
表29-2に、これらの違いについての概要を示します。
表29-2 11g Access Manager SSOとOSSO 10gコンポーネントの概要
コンポーネントの説明 | 11g Access Manager | OSSO 10g |
---|---|---|
Oracle Identity Managementインフラストラクチャ |
エンタープライズ・アイデンティティのセキュアな集中管理を有効化します。 |
エンタープライズ・アイデンティティのセキュアな集中管理を有効化します。 |
エージェント 依存するパーティとともに存在し、認証および認可タスクをOAMサーバーに委任します。 |
ノート: 9つの管理者言語がサポートされています。 |
|
サーバー ノート: 管理ユーザーは、https://host:port/oamconsoleのURLを入力して、コンソールのホームページにアクセスできます。 管理外ユーザーは、SSOログイン・ページを戻すアプリケーションのURLを入力して、シングル・サインオン・サーバーに最初にアクセスします。 |
関連項目: |
関連項目: 。 |
プロキシ レガシー・システムのサポートを提供します。 |
|
|
コンソール |
Oracle Access Managementコンソール |
Access Manager 11g以前に同等のコンソールはありません。 |
インターネット上での情報交換の保護に使用されるプロトコル。 |
エージェントとサーバー間で交換されるフロント・チャネル・プロトコル: HTTP/HTTPS 11g Webゲートでは、エージェント・キーを使用して情報交換が保護されます。 -関連項目: 暗号化キー |
該当なし |
ポリシー・ストア |
データベース |
mod_ossoおよびパートナ・アプリケーション |
アプリケーション |
認証および認可をAccess Managerに委任して登録されたエージェントからヘッダーを受け入れるアプリケーション。 ノート: 外部アプリケーションは認証が委任されません。かわりに、アプリケーション・ユーザー名とパスワードを求めるHTMLログイン・フォームが表示されます。たとえば、 Yahoo! Mailは、HTMLのログイン・フォームを使用する外部アプリケーションです。 |
認証をmod_ossoおよびOracleAS Single Sign-Onサーバーに委任するアプリケーション。 ノート: Access Manager 11gでmod_ossoを登録した後、mod_ossoは認証をOAMに委任します。 mod_ossoモジュールを使用すると、ユーザーのログイン後に認証されたユーザー情報をアプリケーションで受け入れることができます。登録されたOSSOエージェントからヘッダーを受け入れて、再認証を回避します。 アプリケーションは、認証されたユーザーがアプリケーションの使用を認可されているかを判別します。 |
SSOエンジン |
セッションのライフサイクルを管理し、有効なセッションのすべての依存するパーティのグローバル・ログアウトを容易にして、複数のプロトコルの一貫したサービスを提供します。 Access Manager 11gによって登録されたエージェントを使用します。
|
|
暗号化キー |
ノート: 登録されたmod_ossoエージェントごとに1つのキーが生成され、使用されます。ただし、すべての10g Webgateで単一のキーが生成されます。 |
|
キー・ストレージ |
|
|
Cookie 関連項目: 表21-6 および |
ホストベースの認証Cookie:
|
|
ポリシー |
登録済エージェントは、Access Manager認証、認可およびトークン発行ポリシーを使用して、保護されたアプリケーション(定義されたリソース)のアクセスを取得するユーザーを決定します。 |
mod_ossoは、Access Manager 11g認証ポリシーのみを使用して、定義されたリソースのアクセスを取得するユーザーを決定します。 mod_ossoは、認証のみを提供します。 |
クライアントIP |
|
|
暗号化/復号化(暗号化されたデータを元の形式に変換する) |
クライアント側の暗号化を導入して、エージェントとサーバーの両側で暗号化が実行されるようにします。
|
暗号化はmod_ossoおよびOSSOサーバーの両方で実行されます。
|
セッション管理 |
|
|
レスポンス・トークンの再生防止 |
|
|
複数のネットワーク・ドメインのサポート |
Access Manager 11gは、ネットワーク間ドメインの設定不要なシングル・サインオンをサポートします。 この場合は、Oracle Federationを使用することをお薦めします。 |
該当なし |
集中ログアウト |
「11g Webゲートが関与するセッションの集中ログアウトの構成」を参照してください。 |
mod_osso (OSSOエージェント)を持つAccess Manager 11gでは変更は必要ありません。 動的ディレクティブを使用するアプリケーションは、mod_osso.confにエントリを必要としません。かわりに、1つまたは複数の動的ディレクティブとして保護がアプリケーションに書き込まれます。 「11g Webゲートが関与するセッションの集中ログアウトの構成」を参照してください。 |