49.5 セキュリティ・ハンドラ・プラグインの定義

セキュリティ・ハンドラ・プラグインは、信頼およびリスク分析のための追加のロジックを参照することで、セキュリティを高めます。

このような追加のロジックにより、リスクのある特定の操作に基づいてアクセスを拒否できるようになります。モバイル認証によって、機密セキュリティ操作中(たとえば、クライアント・アプリケーション登録など実質的にすべてのトークン取得操作中)にセキュリティ・ハンドラ・プラグインが起動されます。

ノート:

セキュリティ・プラグインの使用はオプションです。使用する場合は、モバイル関連のサービス・ドメインとその認証サービスおよびクライアント・アプリケーションにのみ適用されます。

Mobile and Socialには、次の事前構成済セキュリティ・ハンドラ・プラグインが含まれています。

• OAAMSecurityHandlerPluginは、高機能なデバイスおよびクライアント・アプリケーション登録ロジック有効化するとともに、OAAMの高度なリスクおよび不正分析ロジックを有効化します。

• Defaultは、ごくわずかなリスク分析ロジックを提供します。

次の各トピックでは、セキュリティ・ハンドラ・プラグインの定義について説明します。

• セキュリティ・ハンドラ・プラグインの作成

• セキュリティ・ハンドラ・プラグインの編集または削除

• デバイス・フィンガープリントおよびデバイス・プロファイル属性

49.5.1 セキュリティ・ハンドラ・プラグインの作成

Mobile and Socialサービスの構成ページからセキュリティ・ハンドラ・プラグインを作成できます。

作成するには、次のようにします。

1. Mobile and Socialサービスの構成ページにアクセスします。

   「Mobile and Socialサービスの構成ページを開く」を参照してください。

2. 「セキュリティ・ハンドラ・プラグイン」セクションで、「作成」をクリックします。

   「セキュリティ・ハンドラ・プラグイン」の「構成」ページが表示されます。

3. セキュリティ・ハンドラ・プラグインの一般プロパティに値を入力します。

   表49-14 セキュリティ・ハンドラ・プラグインの一般プロパティ

   名前	ノート
   名前	この認可サービス・プロファイルに一意の名前を入力します。
   説明	(オプション)自分または別の管理者が将来このサービスを識別する際に役立つ簡単な説明を入力します。
   セキュリティ・ハンドラ・クラス	使用するセキュリティ・ハンドラ・プラグインを定義するJavaクラスを選択します。Mobile and Socialのこのリリースでは、DefaultSecurityHandlerPluginとOAAMSecurityHandlerPluginの2つのセキュリティ・ハンドラ・プラグインがサポートされています。

4. セキュリティ・ハンドラ・プラグインの属性に名前と値のペアを入力します。

   • OaamSecurityHandlerPlugin属性の説明は、「OTP電子メール統合の設定」を参照してください。

   • DefaultSecurityHandlerPluginには、allowJailBrokenDevicesという1つの属性設定があります。これは、ジェイルブレークされたクライアント・デバイスが、保護されているリソースへのアクセスを許可されるか拒否されるかを指定します。アクセスを拒否する(デフォルト設定)場合は、この属性の値をfalseに設定します。アクセスを許可する場合は、この値をtrueに設定します。ジェイルブレークの強制のために、OAAMSecurityHandlerPluginを構成する必要はありません。

     「Oracle Access Managementコンソールを使用した新しいジェイルブレーク検出ポリシーの作成」を参照してください。

5. 「作成」をクリックして、セキュリティ・ハンドラ・プラグイン構成オブジェクトを作成します。

49.5.2 セキュリティ・ハンドラ・プラグインの編集または削除

セキュリティ・ハンドラ・プラグインを編集または削除できます。

パネルで定義を選択してから、そのパネルのツールバーにある「編集」または「削除」をクリックします。

49.5.3 デバイス・フィンガープリントおよびデバイス・プロファイル属性

モバイル・アプリケーションが起動されたときに、そのアプリケーション内のモバイル・クライアントSDKロジックによって、いくつかのデバイス・プロファイル属性の検出が試みられます。デバイス・プロファイル属性値の特定の組合せは、デバイス・フィンガープリントとして処理されます。

いくつかのデバイス・プロファイル属性は、OSタイプ、OSバージョン、言語ロケール設定、ネットワーク設定、地理的な位置などデバイスを一意に識別できない一般的な属性です。一部の属性は、デバイスを一意に識別できるハードウェア識別子になります。ハードウェア識別子の例としてはモバイル・デバイスのMACアドレスがあります。モバイルOSタイプおよびバージョンは、検出可能なある種のデバイス・プロファイル属性を示します。

モバイル・アプリケーションが、モバイル・クライアントSDKを介してトークンを要求すると、SDKロジックによってHTTPリクエストの一部としてデバイス・プロファイル属性が送信されます。このセットのデバイス・プロファイル属性によって、デバイスに対してデバイス識別を支援する監査証跡が作成され、セキュリティが高まります。

OAAMセキュリティ・プラグインを使用する場合、デバイス・プロファイル属性値の特定の組合せは、デバイス・フィンガープリント(OAAM管理コンソールではデジタル・フィンガープリントと呼ぶ)として処理されます。各フィンガープリントには、一意のフィンガープリント番号が割り当てられています。各OAAMセッションはフィンガープリントと関連付けられており、そのフィンガープリントによって、認証およびトークンの取得を実行しているデバイスのログ(および監査)が可能になります。