Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
次のシナリオでは、3つのモードの操作について説明します。
ここでは、ユーザーがSecurID認証スキームで保護されているリソースにアクセスしようとすると実行されるプロセスの概要を示します。
資格証明コレクタの詳細は、「資格証明コレクションおよびログインの理解」を参照してください。
プロセスの概要: ユーザーがリソースを要求するとき
Webゲートは、リソース・リクエストをインターセプトし、Access Serverに問合せを実行して、リソースが保護されているかどうか、保護の方法、およびユーザーが認証されているかどうかを判定します。
OAM SecurIdサーバーは、認証スキームについてディレクトリに問合せを実行し、ディレクトリから認証情報を受信します。
Webゲートは資格証明コレクタにリダイレクトし、資格証明コレクタが2つの部分からなるSecurIDパスコードをユーザーに求めるフォームを表示します。
ユーザーが資格証明を資格証明コレクタに送信します。
資格証明コレクタは、資格証明をOAM SecurIdサーバーに渡します。
OAM SecurIdサーバー上のSecurID認証APIが認証ダイアログを実行し、LDAPバインドをAuthentication Managerに送信します。
Authentication ManagerデータベースがSecurIDパスワードをユーザーIDと照合し、成功レスポンスをAuthentication Managerに返し、そこでユーザーのPINと照合します。
Authentication ManagerがレスポンスをそのエージェントであるOAM SecurIdサーバーに返します。
ユーザーの資格証明が有効な場合、SecurID認証は成功します。OAM SecurIdサーバーによって、ユーザーのセッションが作成され、ユーザーがWebゲートにリダイレクトされ、そこでリソース認可についてOAM SecurIdサーバーに問合せが実行されます。
「標準SecurID認証」の説明のように、特定の条件下では、New Tokencodeモードが開始されます。
「SecurID Next Tokencode認証」の説明のように、特定の条件下では、New Pinモードが開始されます。
OAM SecurIdサーバーが、認可リクエストを評価し、それによって、認可ルールに基づいてアクセスが許可または拒否されます。
アクセスの権限が付与されると、OAM SecurIdサーバーによって認可がWebゲートに渡され、それによってリソースがユーザーに提示されます。
Next Tokencodeモードがオンになっている場合、ユーザーは、彼らのSecurIDトークンの次のトークンコードを入力する必要があります。
このモードは、次の場合に起動できます。
ログイン中に不正なパスコードが繰り返し入力された場合。ユーザーが4回連続して不正なパスコードを使用して認証を試みた場合、Authentication Managerのアクティビティ・レポートに記載されているように、Authentication ManagerによってNext Tokencodeモードがオンになります。次にユーザーが正しいパスコードを使用して認証に成功したときに、彼らは彼らのSecurIDトークンに表示される次のトークンコードの入力を求められます。
Authentication Managerは、トークンの確認、または同期を必要とします。正しいパスコードが使用された場合でも、Authentication Manager管理者はNext Tokencodeモードをオンにして、ユーザーに、彼らがSecurIDトークンを持っていることを確認したり、トークンをAuthentication Managerと同期することを強制することがあります。Next Tokencodeモードがオンになっている場合、成功したログインの直後にNext Tokencodeチャレンジ・フォームがユーザーに表示されます。
プロセスの概要: Next Tokencodeがオンのとき
資格証明コレクタによって、成功したログインの後のトークン上の次のトークンコードの入力をユーザーに求めるフォームが提示されます。
ユーザーはユーザー名を入力し、60秒間待ってから、SecurIDトークン上の次のトークンコードを入力します。
トークンコードが正しい場合、ユーザーが最初に入力したパスコードが受け入れられてユーザーが認証されます。
ユーザーが新しいPINを持つことが必要とされている場合、資格証明コレクタがユーザーに入力を求める特定のフォームを表示します。
プロセスの概要: New PINが必要なとき
資格証明コレクタによって、ユーザーが希望するPINを入力できるフォームが提示されます。
ユーザーが新しいPINを入力し、その新しいPINを再入力して、フォームを完了します。
OAM SecurIDサーバーは、その情報をAuthentication Managerに転送します。
Authentication Managerは、その新しいPINを登録し、それは、その後のログインでユーザーが入力する必要があるPINコードの一部になります。
ログイン・フォームが再度表示され、そこで、ユーザーは強制された再認証のためにユーザー名とパスコードを入力します。