23.1 Access Manager資格証明コレクションの概要

Access Managerでは、認証処理で資格証明コレクション用に2つのメカニズムを提供します。

• デフォルトの埋込み資格証明コレクタ(ECC)は、Access Managerサーバーとともにインストールされるため、追加のインストールや設定ステップなしで使用できます(ただし、「グローバル・パスワード・ポリシーの管理」で説明しているグローバル・パスワード・ポリシーを除きます)。

  ユーザーをポリシー強制点から資格証明コレクタにリダイレクトするメカニズムは、HTTP上のフロント・チャネル・プロトコル専用です。このプロトコルは、現時点では、リクエストのコンテキストと、問合せ文字列に対する認証レスポンスを提供します。

• OAM Webゲートは、オプションの外部資格証明コレクタ(DCC)に切り替えるための1つのスイッチが用意されています。DCCを使用すると、本番環境に強固なセキュリティを提供するネットワーク分離が可能になりますが、いくつかの形式の認証が必要になります。

資格証明コレクションの2つのメカニズムの詳細な比較は、「認証方式と資格証明コレクタの理解」を参照してください。

ノート:

資格証明コレクションで推奨されるアプローチはDCCですが、このドキュメントに示す手順では、特に明記しないかぎり、ECCを使用していることを想定しています。

シングル・サインオンのログイン処理は、ユーザーが有効なユーザーかどうかと、セッション状態がアクティブまたは非アクティブ(初回のユーザーまたはユーザー・セッションの期限が切れている場合)かを決定します。セッション管理サポートでは、セッション・コンテキストおよびユーザー・トークンを検索、保持および消去します。次の各項で詳しく説明します。

• セルフサービス・プロビジョニング・アプリケーションを使用したログイン・プロセスの概要

• Access Managerで保護されたリソースを使用したログイン・プロセスの概要

23.1.1 セルフサービス・プロビジョニング・アプリケーションを使用したログイン・プロセスの概要

プロビジョニングは、Access Managerのセッションを作成しません。新しいユーザーがセルフサービス・プロビジョニング・アプリケーションを使用してアカウントを作成すると、ユーザーはアプリケーションにアクセスするときにユーザーIDとパスワードを再度求められます。

保護されているアプリケーションはAccess Manager 11gに転送され、Access Manager 11gがユーザーの資格証明をリクエストします。たとえば、Oracle Identity ManagerがAccess Managerで保護されている場合、ユーザー・リクエストは、資格証明の入力をリクエストするAccess Managerにリダイレクトされます。

ノート:

成功の結果と失敗の結果は、「Access Managerで保護されたリソースを使用したログイン・プロセスの概要」"で説明するとおりです。

23.1.2 Access Managerで保護されたリソースを使用したログイン・プロセスの概要

ユーザーが保護されたリソースに初めてアクセスすると、リソースの認証スキームと認証レベルに基づいて資格証明が求められます。通常は、ユーザーIDとパスワードが必要になります。

失敗: ユーザーIDまたはパスワードの入力に間違いがあると、認証は失敗します。ユーザーは認証されずに、資格証明を求める別のプロンプトが表示されます。

Oracle Access Manager 11.1.1では、OAMサーバー内のECCのみが使用可能でした。Access Manager 11.1.2は、デフォルトでECCをサポートします。ただし、Access Managerでは、外部資格証明コレクタ(DCC)として使用するように、11g Webゲートを構成することもできます。DCC対応のWebゲートは、リソースWebゲートと分離(または結合)できます。

ECCとDCCは、どちらもフォームのログイン、エラー、ログインの再試行を含む認証フローを提供します。これらは、SecurIDとサーバーのアフィニティの他、パスワード・ポリシーの実施や、資格証明が一度に提供されない、動的、マルチステップ、反復および変数の認証(マルチステップ認証)を提供します。カスタマイズ可能な認証フローには、認証プラグインを含めることができます。この認証プラグインは、そのプラグインとOAMプロキシ、資格証明コレクタ間のコントラクトを持つもの、そのプラグインとログイン・アプリケーション間のコントラクトを持つもの、資格証明コレクタとログイン・アプリケーション間のコントラクトを持つものがあります。

どちらの(または両方の)資格証明コレクタを使用するかを決定するときには、次の事項について検討します。

• 共存: ECCとDCCの共存を許可すると、ECCまたはDCCに対応した構成の認証スキームとポリシーを使用できるようになります。これにより、ECC (たとえば、Oracle Access Managementコンソール)に依存するリソースにフォールバック・メカニズムを使用できるようになります。

• ECCを無効にする: ECCを無効にすると、ECCメカニズム(たとえば、Oracle Access Managementコンソール)に依存するリソースへのアクセスを完全に禁止することになります。

表23-1に、詳細へのリンクを示します。

表23-1 Access Managerで保護されたリソースへのログイン処理

ログイン処理の項目	次を参照してください。
OAMエージェントとECCの使用	「OAMエージェントとECCによるSSOログイン・プロセスの概要」
OAMエージェントとDCCの使用	「OAMエージェントとDCCによるSSOログイン・プロセスの概要」
OSSOエージェントとECCの使用	「OSSOエージェント(mod_osso)とECCによるSSOログイン・プロセスの概要」
その他のエージェントまたは混在するエージェント・タイプの使用	混在しているエージェント・タイプがサポートされています。各エージェント・タイプの処理は同じです。その他のエージェントタイプについては、次を参照してください。 レガシーOpenSSOエージェントの登録および管理 レガシーOSSOエージェントの登録および管理 Access Manager 11gを使用する10g Webゲートの登録および管理
Oracle ADFセキュリティを使用したアプリケーションのログインおよび自動ログイン	Oracle Platform Security Services (OPSS)は、Oracle WebLogic Serverの内部セキュリティ・フレームワークで構成されます。Oracle WebLogic Serverでは、Oracle Application Development Framework (Oracle ADF)セキュリティを使用し、Access Manager 11g SSOと統合して、ユーザー認証にOPSS SSOを使用するWebアプリケーションを実行できます。 詳細は、「Oracle ADFアプリケーションとAccess Manager SSOの統合」を参照してください。