Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
外部資格証明コレクタとは、デプロイメント内で追加の資格証明コレクション機能を使用するように構成された、Webゲートのことです。
DCC Webゲートでもアプリケーションを保護するかどうかによって、2つのデプロイメント・タイプが存在します。
表23-2に、DCCがサポートされるデプロイメントを示します。
表23-2 DCCデプロイメントのサポート
デプロイメント・タイプ | 説明 |
---|---|
独立したDCCとリソースWebゲート |
独立したDCCとリソースWebゲートをデプロイすることは、実装のベスト・プラクティスと考えられます。アプリケーションを保護するWebゲートが、一元化されたDCCとは別に独立的に管理されている分散デプロイメントです。この内容は、次のようになります:
ユーザーエージェントとDCCとの間のHTTPSを有効にします(ただし、一部またはすべてのリソースWebゲートとのHTTPSは有効にしません)。 資格証明コレクションがDCC Webゲートに外部化されて一元化されている場合、ユーザーエージェントと他のWebゲートとの接続では、ユーザー資格証明、および他のWebゲートによって保護されているリソースへのアクセスを取得するために使用できるセッション・トークンが伝送されることはありません。これにより、これらのリンクでSSLを使用しないために公開される情報が大幅に減少し、デプロイメントによっては許容可能なトレードオフになります。
関連項目: 図23-2 |
DCCとリソースWebゲート一体化 |
構成と処理のオーバーヘッドが最小になる、合理化されたデプロイメントです。 DCC Webゲートは、アプリケーション・リソースを保護するリソースWebゲート(ポリシー強制点)とDCCの両方として使用できます。この場合、フロントチャネル・リダイレクションやフロントチャネル処理はありません。
関連項目: 図23-3 ノート: 仮想ホスティングまたはDCCトンネリングを使用する場合、一体化したDCCとリソースWebゲートを構成すると、失敗する可能性があります。 |
独立したDCCとリソースWebgate: 図23-2に、DCCを分離したデプロイメントの例を示します。
このトポロジ(図23-2)は、最大のセキュリティ機密性を備えたシナリオに適した選択肢を示しています。集中資格証明コレクションおよび外部資格証明コレクションの両方が使用されています。アプリケーションを保護するリソースWebゲートは、資格証明コレクションを実行するDCC Webゲートから分離されています。
ユーザーは、公衆回線網から、Access Managerによって保護されているリソースにアクセスします。アプリケーションを保護しているWebゲートは、DMZ内にデプロイされます。DCC WebゲートもDMZ内にデプロイされます。保護されているアプリケーションおよびOAMサーバーのインスタンスは、プライベート・ネットワーク内に配置され、公衆回線網から直接アクセスすることはできません。
DMZ内でDCCを使用すると、サーバー自体への接続に認証済のネットワーク接続のみが許可されます。DCCは、11g Webゲートに利用できるすべてのバックチャネル通信の特性を継承します(Oracle Accessプロトコルを使用するネットワーク接続)。OAPは、次の機能を提供します。
クライアントとサーバーの間のSSL (オプションでサード・パーティによる署名済証明書を使用)
クライアントIDおよびパスワードを使用するアプリケーション・レベルの相互認証
アプリケーション・レベルで多重化された全二重通信をリクエスト
組込みの接続ロード・バランシング/フェイルオーバー機能
DCCは、エージェントから認証リクエストを受信すると、DCC Cookieの存在をチェックします。Cookieが存在しない場合、資格証明コレクションが開始され、チェックが行われて、ユーザーが入力した資格証明が検証のために渡されます。
ノート:
暗号化は、11gリソースWebゲートからDCCへの方向でのみ行われます。11gリソースWebゲートと11g DCCの間の通信はクリアテキストで行われ、チャネルは暗号化されません。
プロセスの概要: 一体化したDCCとリソースWebゲートによる認証
ユーザーが、認証プロセスを開始するリソースへのアクセスをリクエストします。
DCCは、フロント・チャネルを通じてログイン・ページにリダイレクトします。
ログイン・ページがユーザーに返されます。
ユーザーは、資格証明を入力します。この資格証明はアクションURLにポストされます(認証スキームのユーザー定義パラメータについては、表22-23を参照)。
認証には、バック・チャネル(OAP)とOAMプロキシが使用されます。
認証プラグインがアクティブ化されます。
プラグインは、追加の資格証明を収集するためのURLへのリダイレクトをリクエストします。
プラグインのリクエストは、DCCに返されます。
DCCは、そのURLをリダイレクトして、指定された資格証明を要求します。
ブラウザは、リダイレクトに従います。
資格証明は、アクションURLにポストされます。