22.5 認証方式と資格証明コレクタの理解

Access Managerの認証では、リクエスタ(ユーザー)を一元化されたコンポーネントにリダイレクトする操作が伴われます。このコンポーネント(資格証明コレクタと呼びます)が、認証を実行します。

この項では次のトピックを記載しています:

• Access Managerでサポートされる認証方式

• 埋込み資格証明コレクタと外部資格証明コレクタ

• 認証イベントのロギングおよび監査

22.5.1 Access Managerでサポートされる認証方式

認証は、ユーザーを証明するプロセスです。Access Managerを使用してユーザーのアイデンティティを認証することは、事前定義された一連のプロセスを実行してユーザーのデジタル・アイデンティティを確認することを示します。Access Managerを使用すると、認証スキームという単一の認証プロセスでリソースまたはリソースのグループを保護できます。認証スキームは、事前定義済の認証モジュールまたはプラグインに依存します。

この項では、マルチレベル認証およびAccess Managerでサポートされている他の認証方式について説明します。

マルチレベル認証

Access Managerを使用すると、管理者は複数の認証スキームに複数の認証レベルを割り当てて、どのアプリケーションをどのスキームで保護するかを選択できます。各認証スキームに強度レベルが必要になります。この数値が低いほど、スキームが厳密ではなくなります。高いレベルの数値は、よりセキュアな認証メカニズムを示します。

SSO機能により、ユーザーは2つ以上の保護されたリソースまたはアプリケーションにシングル・サインオンでアクセスできます。レベル2のリソースへのアクセスを認証されているユーザーは、2以下のレベルで保護されたリソースにアクセスできます。ただし、ユーザーがレベル2のリソースのアクセスを認証され、レベル3で保護されたリソースにアクセスする場合、ユーザーの再認証が求められます(これはステップアップ認証と呼ばれます)。

詳細は、「マルチレベル認証およびステップアップ認証について」を参照してください。

関連項目:

「マルチステップ認証」

マルチステップ認証

マルチステップ認証には、複数の認証プラグインで構成されるカスタム認証モジュールが必要になります。このモジュールは、ログイン処理時に、バックエンドの認証スキームに情報を複数回伝送します。プラグインにより収集され、コンテキストに保存されたすべての情報は、プラグインが認証プロセスを介してアクセスできます。コンテキスト・データは、Cookieまたはユーザーのログイン・ページのヘッダーの設定にも使用できます。

「単純フォーム認証とマルチファクタ(マルチステップ)認証」を参照してください。

Windowsネイティブ認証

統合Windowsネイティブ認証は、Webゲートによって保護されているアプリケーションでサポートされています。この形式の認証は、Kerberos認証モジュールに依存しています。詳細は、「Windowsネイティブ認証のためのAccess Managerの構成」を参照してください。

その他の認証タイプ

次のような、Oracle Fusion Middlewareアプリケーションに必要な認証機能がサポートされています。

• 一般的にユーザー名およびパスワードを使用して証明書を使用しない弱い認証

• サード・パーティのセルフサービス・ユーザー・プロビジョニングの自動ログイン

• ユーザー・コンテキスト情報のHTTPヘッダー・サポート。たとえば、ホスト識別子を使用してリソースのホスト・コンテキストを作成します。これは、異なるコンピュータで同じURLパスを使用するリソースを追加する場合に役立ちます。

2つのWebGateの異なる認証スキームを使用する場合、ユーザーは再認証なしで高い認証スキームから低い認証スキームに移行できますが、低い認証スキームから高い認証スキームには移行できません。

ノート:

シングル・サインオンの実行中、ユーザーが認証テストに成功しても、2番目または3番目のリソースにアクセスする際に認可テストに失敗する場合があります。ドメインの各リソースに一意の認可ポリシーが存在する場合があります。

Access Managerを使用した認証スキームの構成および使用の詳細は、「認証スキームの管理」を参照してください。

22.5.2 埋込み資格証明コレクタと外部資格証明コレクタ

Access Manager 11.1.2は、デフォルトで埋込み資格証明コレクタ(ECC)をサポートしていますが、最新のWebゲートを外部資格証明コレクタ(DCC。認証Webゲートとも呼ばれる)として使用するように構成することもできます。 DCCは、デフォルトのECCよりも安全性が高いと考えられます。集中DCCは、ログイン・ページを提示してユーザーの資格証明(ユーザーIDやパスワードなど)を収集し、バック・チャネルのOracle Accessプロトコル(OAP)を使用してこれらをOAMサーバーに送信します。DCCを使用すると、追加の資格証明が要求されることがあります。

ノート:

資格証明コレクションでは、DCCが推奨されます。詳細は、「資格証明コレクションおよびログインの理解」を参照してください。

OAMサーバーがDCCを使用するように構成されている場合、ECCとそのHTTPエンドポイントは無効になります。唯一のHTTP通信は、OAMサーバーがデプロイされているドメイン内のWebLogic AdminServerでホストしているOracle Access Managementコンソールに対する通信です。AdminServerへの接続は、ネットワーク・レベルで制御できます。たとえば、内部ネットワークの外部からの管理リクエストを禁止できます。

• ECCとDCCの共存を許可すると、ECCまたはDCCで使用するように構成した認証スキームとポリシーを使用できるようになります。これにより、Oracle Access Managementコンソールを含むECCに依存するリソースにフォールバック・メカニズムを使用できるようになります。

• ECCを無効にする(オフにする)と、Oracle Access Managementコンソールを含むECCメカニズムに依存するリソースへのアクセスを完全に禁止することになります。

埋込み資格証明コレクタ(ECC)と外部資格証明コレクタ(DCC)には、本質的な違いはありませんが、これらの比較を表22-5に示します。

関連項目:

「資格証明コレクションおよびログインの理解」

表22-5 DCCとECCの比較

機能	DCC	ECC
デプロイメント	外部資格証明コレクタは、サーバーの論理部分に存在し続けて、OAMサーバーのフロント・チャネル通信のエンドポイントとして機能します。ただし、DCCは次のようにも構成できます。 スタンドアロン(OAMサーバーからデタッチされ、アプリケーション・サーバーを必要としません)。 RSA SecurIDのパスコード検証、次回のトークンの取得、新規PIN作成のワークフローをサポートします。 サーバーのスケールアウト、攻撃リジリエンスに対する優れた柔軟性に加え、資格証明コレクションUIの作成、フローおよびライフサイクル管理を使用してWebゲートを認証します。	埋込み資格証明コレクタは、OAMサーバーとともにデプロイされ、このサーバーに統合され、プロトコル・バインディング・レイヤーの一部になります。 ECCは、RSA SecurIDパスコードの検証、次回のトークンの取得、新規PINの作成ワークフローをサポートします。
DMZデプロイメント	可能。 DMZでDCCを使用するデプロイメントの場合、エンド・ユーザーのネットワーク接続が公衆回線網内で終了し、OAMサーバーには相互認証された接続でOracle Accessプロトコル(Oracle独自のアプリケーション・ネットワーク・プロトコル)を使用して接続するという利点があります。これにより、OAMサーバーは完全に分離され、非認証ネットワーク接続が確立することはありません。 非認証ユーザーは、不正なリクエストをOAMサーバーに送信できません。	不可。
通信チャネル	DCCは、ユーザーからのHTTP/HTTPSリクエストを利用して、SSLに対応できるOracle Accessプロトコル(バック・チャネル)を通じてOAMサーバーと通信します。	ECCは、HTTP/HTTPSを通じてユーザーとOAMサーバーの両方と通信します。
DCCログイン、エラーおよびパスワードのページ	DCCを使用する汎用のログイン/ログアウトおよびパスワード・ポリシーの動的ページは、OHSのhttpd.conf/webgate.confファイルを使用して自動的に除外されます。これらを、除外するポリシーを構成する必要はありません。Webgateホストの$WEBGATE_HOME/webgate/ohs/oamsso/*, $WEBGATE_HOME/webgate/ohs/oamsso-bin/*plおよび$WEBGATE_HOME/webgate/ohs/oamsso-bin/templates/*ディレクトリで、次を参照してください。 ログイン・ページ: /oamsso-bin/login.pl ログアウト: /oamsso-bin/logout.pl RSA SecurIDログイン・ページ: /oamsso-bin/securid.pl ノート: /oamsso-bin内の、login、logoutおよびsecuridスクリプトの最初の行にあるPerlの場所を更新してください。 関連項目: RSA SecurID認証とAccess Managerとの統合 Fusion Middleware Oracle Access Management開発者ガイドのカスタム・ページの開発に関する項	ユーザーが資格証明を入力するページです。OAMサーバーにデフォルトで付属し、追加の設定や変更は必要ありません。 ログイン・ページ: /pages/login.jsp ログアウト・ページ: /pages/logout.jsp エラー・ページ: /pages/servererror.jsp マルチステップ: /pages/mfa_login.jsp
DCCベースのログインおよびログアウトを行うPerlスクリプト	DCCベースのログインおよびログアウトを行うPerlスクリプト Perl実行ファイルのパス名は、Webgateホストの$WEBGATE_HOME/webgate/ohs/oamsso-bin/*plにあるOracle提供のPerlスクリプト内で、実際の場所と一致するように更新する必要があります。 Unix: whichコマンドを使用すると、OAMサーバー上でperlを検索できます。次に例を示します。 which perl /usr/bin/perl ただし、perlスクリプト自体では次の場所が参照されています。 /usr/local/bin/perl Windows: Oracle提供のPerlスクリプトで指定されているデフォルトのPerlインタプリタは使用できません。これらのスクリプトのPerlインタプリタのパスを、ご使用のシステムの実際のPerlへのパスに更新する必要があります。	該当なし
パスワード・ポリシーの強制	可能。 「DCC対応の11g Webゲートと認証ポリシーの構成」を参照	はい 関連項目: 「グローバル・パスワード・ポリシーの管理」
認証スキームのコレクション・メソッド	DCCはフォーム・ベースの認証のみサポートします。	ECCはすべてのチャレンジ・メソッドをサポートしています。 ECCは、認証スキームのチャレンジ・メソッドに基づいてユーザーの資格証明を収集し、その資格証明を検証するためにOAMサーバーに送り返します。
カスタム認証プラグインとチャレンジ・メソッド	可。ECCと同じです。	すべてのチャレンジ・メソッドとマルチステップ認証(パスワード・ポリシーと、その他のカスタム認証プラグイン)がサポートされます。
シングル・ステップ(単純フォーム)認証	可。ECCと同じです。	可能。次の場合、DCCとECCの両方がこれを処理ます。 すべての資格証明が1つの単純フォームで提供される場合。 資格証明の検証時および認証時。成功または失敗のステータスが返されます。 これは失敗時に再試行できます。
マルチステップ認証	可能。DCCとECCは、どちらも複雑なマルチファクタ(マルチステップ、繰返しおよび変数)の認証プロセスを処理します。 この場合、次のようになります。 必要な資格証明が、一度に提供されない場合。 認証ステータスに応じて、PENDING状態になり、予期される資格証明とコンテキスト・データが返され、該当する資格証明が次回に提供されると予期されます。 成功または失敗のステータスが返されるまでは、各中間ステップで認証エンジンにフィードする必要がある資格証明とコンテキスト・データが送信されます。 認証プラグインは、複数のステップで構成できます。 「マルチレベル認証およびステップアップ認証の理解」を参照	可能。DCCとECCは、どちらも複雑なマルチファクタ(マルチステップ、繰返しおよび変数)の認証プロセスを処理します。
認証処理	ECCと比較すると、DCCがOAMサーバーの認証機能を制限することはありません。 DCC: 11g Webゲートからの認証リダイレクトを処理します。 ユーザーの資格証明(単純フォームまたはマルチファクタ)に対するチャレンジを含むフォームベース認証を処理します。 エージェント・キーを使用するエージェントからの認証リクエスト・メッセージを復号化し、基本的な整合性チェックを実行し、リクエストの時刻を検証し、リクエスト・コンテキストを含むリクエストからすべてのパラメータを抽出します。 最初に取得したリクエスト・コンテキストを含む認証レスポンス・メッセージを作成し、エージェント・キーを使用してobrarを復号化します。 エージェント・キーを使用してログアウト・リダイレクト・リクエストを復号化し、ログアウト処理を起動します。	認証時: ECCは、プロトコル・バインディング・レイヤー(PBL)に着信するリクエストを処理します。PBLでは、リクエストを変換してSSOエンジンに送信します。 SSOエンジンは、有効なセッションについてチェックします。有効なセッションが存在しない場合は、認証エンジンに制御を移します。 認証エンジンは、リソースの保護についてチェックし、そのリソースに関連付けられた認証スキームをフェッチします。 ECCはクライアントと対話し、データを受け入れて、これをPBLに送信します。
ECCのオーバーライド	DCCをデプロイしてECCを無効にする場合、管理者は次のタスクを実行して、関連するDCC URLとフォームを指定する必要があります。 OAMエージェント登録: 資格証明コレクタ操作の許可(DCCに対して有効化) 認証モジュール、ステップ編成: エラー(失敗時) 認証スキーム: チャレンジ・リダイレクトURL (DCCホストおよびポート) 認証スキーム: チャレンジURL /oamsso-bin/login.pl (DCCログイン・ページ) 認証スキーム: チャレンジ・メソッド パスワード・ポリシー: DCCのパスワード・サービスURL (デフォルト: /oamsso-bin/login.pl) 「DCC対応の11g Webゲートと認証ポリシーの構成」を参照	該当なし
ログアウト構成	「外部資格証明コレクタが有効化されたWebゲートを使用する場合のログアウトの構成」を参照	「11g Webゲートの集中ログアウト構成」を参照
Cookie/トークン	DCCCtxCookie 11g Webゲート: OAMAuthnCookie 11g Webゲート: OAMRequestContext 関連項目: 「ユーザー・ログイン時のシングル・サインオンCookie」	11g Webゲート: OAMAuthnCookie 11g Webゲート: OAM_REQ 11g Webゲート: OAM_ID 11g Webゲート: OAMRequestContext 関連項目: 「ユーザー・ログイン時のシングル・サインオンCookie」

22.5.3 認証イベントのロギングおよび監査

管理イベント以外に、認証の成功および失敗イベントが監査されます。監査には、認証スキーム、モジュールおよびポリシーの作成、変更、表示および削除が含まれます。

認証するユーザーに関して収集される情報は、次のとおりです。

• IPアドレス

• ユーザー・ログインID

• アクセスの時間

ロギング(または監査)中、ユーザー情報およびユーザー機密属性は記録されません。誤用を避けるためにセキュアなデータ(ユーザー・パスワードなど)が削除されます。

関連項目:

• コンポーネント・イベント・メッセージのロギング

• 管理イベントおよびランタイム・イベントの監査

• Oracle Access ManagementのパフォーマンスとAccess Managerのヘルスのモニタリング