Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
Access Managerでは、認証処理で資格証明コレクション用に2つのメカニズムを提供します。
デフォルトの埋込み資格証明コレクタ(ECC)は、Access Managerサーバーとともにインストールされるため、追加のインストールや設定ステップなしで使用できます(ただし、「グローバル・パスワード・ポリシーの管理」で説明しているグローバル・パスワード・ポリシーを除きます)。
ユーザーをポリシー強制点から資格証明コレクタにリダイレクトするメカニズムは、HTTP上のフロント・チャネル・プロトコル専用です。このプロトコルは、現時点では、リクエストのコンテキストと、問合せ文字列に対する認証レスポンスを提供します。
OAM Webゲートは、オプションの外部資格証明コレクタ(DCC)に切り替えるための1つのスイッチが用意されています。DCCを使用すると、本番環境に強固なセキュリティを提供するネットワーク分離が可能になりますが、いくつかの形式の認証が必要になります。
資格証明コレクションの2つのメカニズムの詳細な比較は、「認証方式と資格証明コレクタの理解」を参照してください。
ノート:
資格証明コレクションで推奨されるアプローチはDCCですが、このドキュメントに示す手順では、特に明記しないかぎり、ECCを使用していることを想定しています。
シングル・サインオンのログイン処理は、ユーザーが有効なユーザーかどうかと、セッション状態がアクティブまたは非アクティブ(初回のユーザーまたはユーザー・セッションの期限が切れている場合)かを決定します。セッション管理サポートでは、セッション・コンテキストおよびユーザー・トークンを検索、保持および消去します。次の各項で詳しく説明します。
プロビジョニングは、Access Managerのセッションを作成しません。新しいユーザーがセルフサービス・プロビジョニング・アプリケーションを使用してアカウントを作成すると、ユーザーはアプリケーションにアクセスするときにユーザーIDとパスワードを再度求められます。
保護されているアプリケーションはAccess Manager 11gに転送され、Access Manager 11gがユーザーの資格証明をリクエストします。たとえば、Oracle Identity ManagerがAccess Managerで保護されている場合、ユーザー・リクエストは、資格証明の入力をリクエストするAccess Managerにリダイレクトされます。
ノート:
成功の結果と失敗の結果は、「Access Managerで保護されたリソースを使用したログイン・プロセスの概要」"で説明するとおりです。
ユーザーが保護されたリソースに初めてアクセスすると、リソースの認証スキームと認証レベルに基づいて資格証明が求められます。通常は、ユーザーIDとパスワードが必要になります。
失敗: ユーザーIDまたはパスワードの入力に間違いがあると、認証は失敗します。ユーザーは認証されずに、資格証明を求める別のプロンプトが表示されます。
Oracle Access Manager 11.1.1では、OAMサーバー内のECCのみが使用可能でした。Access Manager 11.1.2は、デフォルトでECCをサポートします。ただし、Access Managerでは、外部資格証明コレクタ(DCC)として使用するように、11g Webゲートを構成することもできます。DCC対応のWebゲートは、リソースWebゲートと分離(または結合)できます。
ECCとDCCは、どちらもフォームのログイン、エラー、ログインの再試行を含む認証フローを提供します。これらは、SecurIDとサーバーのアフィニティの他、パスワード・ポリシーの実施や、資格証明が一度に提供されない、動的、マルチステップ、反復および変数の認証(マルチステップ認証)を提供します。カスタマイズ可能な認証フローには、認証プラグインを含めることができます。この認証プラグインは、そのプラグインとOAMプロキシ、資格証明コレクタ間のコントラクトを持つもの、そのプラグインとログイン・アプリケーション間のコントラクトを持つもの、資格証明コレクタとログイン・アプリケーション間のコントラクトを持つものがあります。
どちらの(または両方の)資格証明コレクタを使用するかを決定するときには、次の事項について検討します。
共存: ECCとDCCの共存を許可すると、ECCまたはDCCに対応した構成の認証スキームとポリシーを使用できるようになります。これにより、ECC (たとえば、Oracle Access Managementコンソール)に依存するリソースにフォールバック・メカニズムを使用できるようになります。
ECCを無効にする: ECCを無効にすると、ECCメカニズム(たとえば、Oracle Access Managementコンソール)に依存するリソースへのアクセスを完全に禁止することになります。
表23-1に、詳細へのリンクを示します。
表23-1 Access Managerで保護されたリソースへのログイン処理
ログイン処理の項目 | 次を参照してください。 |
---|---|
OAMエージェントとECCの使用 |
|
OAMエージェントとDCCの使用 |
|
OSSOエージェントとECCの使用 |
|
その他のエージェントまたは混在するエージェント・タイプの使用 |
混在しているエージェント・タイプがサポートされています。各エージェント・タイプの処理は同じです。その他のエージェントタイプについては、次を参照してください。 |
Oracle ADFセキュリティを使用したアプリケーションのログインおよび自動ログイン |
Oracle Platform Security Services (OPSS)は、Oracle WebLogic Serverの内部セキュリティ・フレームワークで構成されます。Oracle WebLogic Serverでは、Oracle Application Development Framework (Oracle ADF)セキュリティを使用し、Access Manager 11g SSOと統合して、ユーザー認証にOPSS SSOを使用するWebアプリケーションを実行できます。 詳細は、「Oracle ADFアプリケーションとAccess Manager SSOの統合」を参照してください。 |