23.3 OAMエージェントとDCCによるSSOログイン・プロセスの概要

外部資格証明コレクタとは、デプロイメント内で追加の資格証明コレクション機能を使用するように構成された、Webゲートのことです。

DCC Webゲートでもアプリケーションを保護するかどうかによって、2つのデプロイメント・タイプが存在します。

表23-2に、DCCがサポートされるデプロイメントを示します。

表23-2 DCCデプロイメントのサポート

デプロイメント・タイプ	説明
独立したDCCとリソースWebゲート	独立したDCCとリソースWebゲートをデプロイすることは、実装のベスト・プラクティスと考えられます。アプリケーションを保護するWebゲートが、一元化されたDCCとは別に独立的に管理されている分散デプロイメントです。この内容は、次のようになります: 2つ以上の11.1.1.5リソースWebゲートを使用し、認証は11.1.2 DCC対応Webゲートにリダイレクト 10.1.4.3リソースWebゲートを使用し、認証は11.1.2 DCC対応WebゲートにリダイレクトユーザーエージェントとDCCとの間のHTTPSを有効にします(ただし、一部またはすべてのリソースWebゲートとのHTTPSは有効にしません)。資格証明コレクションがDCC Webゲートに外部化されて一元化されている場合、ユーザーエージェントと他のWebゲートとの接続では、ユーザー資格証明、および他のWebゲートによって保護されているリソースへのアクセスを取得するために使用できるセッション・トークンが伝送されることはありません。これにより、これらのリンクでSSLを使用しないために公開される情報が大幅に減少し、デプロイメントによっては許容可能なトレードオフになります。 OHSインスタンスの分離: DCCをリソースWebゲートと(同じホストまたは別のホスト上の)別のOHSインスタンスにインストールします。リソースWebゲートの認証スキームのチャレンジ・リダイレクトURLを、DCCを指すように定義します。リソースWebゲートのlogoutRedirectUrlを、DCCログアウト・スクリプト/ページを指すように定義します(リソースWebゲートへのログアウト・コールバックは、ログアウト時に呼び出されます)。関連項目: 図23-2
DCCとリソースWebゲート一体化	構成と処理のオーバーヘッドが最小になる、合理化されたデプロイメントです。 DCC Webゲートは、アプリケーション・リソースを保護するリソースWebゲート(ポリシー強制点)とDCCの両方として使用できます。この場合、フロントチャネル・リダイレクションやフロントチャネル処理はありません。 DCCをリソースWebゲートと同じOHSインスタンス(同じホスト)にインストールします。合理化された構成: チャレンジ・リダイレクトURLは空にします。 logoutRedirectUrlは必要ありません。また、ログアウト・コールバックは必要ありません。関連項目: 図23-3 ノート: 仮想ホスティングまたはDCCトンネリングを使用する場合、一体化したDCCとリソースWebゲートを構成すると、失敗する可能性があります。

デプロイメント・タイプ

説明

独立したDCCとリソースWebゲート

独立したDCCとリソースWebゲートをデプロイすることは、実装のベスト・プラクティスと考えられます。アプリケーションを保護するWebゲートが、一元化されたDCCとは別に独立的に管理されている分散デプロイメントです。この内容は、次のようになります:

2つ以上の11.1.1.5リソースWebゲートを使用し、認証は11.1.2 DCC対応Webゲートにリダイレクト
10.1.4.3リソースWebゲートを使用し、認証は11.1.2 DCC対応Webゲートにリダイレクト

ユーザーエージェントとDCCとの間のHTTPSを有効にします(ただし、一部またはすべてのリソースWebゲートとのHTTPSは有効にしません)。

資格証明コレクションがDCC Webゲートに外部化されて一元化されている場合、ユーザーエージェントと他のWebゲートとの接続では、ユーザー資格証明、および他のWebゲートによって保護されているリソースへのアクセスを取得するために使用できるセッション・トークンが伝送されることはありません。これにより、これらのリンクでSSLを使用しないために公開される情報が大幅に減少し、デプロイメントによっては許容可能なトレードオフになります。

OHSインスタンスの分離: DCCをリソースWebゲートと(同じホストまたは別のホスト上の)別のOHSインスタンスにインストールします。
リソースWebゲートの認証スキームのチャレンジ・リダイレクトURLを、DCCを指すように定義します。
リソースWebゲートのlogoutRedirectUrlを、DCCログアウト・スクリプト/ページを指すように定義します(リソースWebゲートへのログアウト・コールバックは、ログアウト時に呼び出されます)。

関連項目: 図23-3

ノート:

仮想ホスティングまたはDCCトンネリングを使用する場合、一体化したDCCとリソースWebゲートを構成すると、失敗する可能性があります。

独立したDCCとリソースWebgate: 図23-2に、DCCを分離したデプロイメントの例を示します。

図23-2 例: リソースWebゲートとDCC Webゲートの分離デプロイメント

「図23-2 例: リソースWebゲートとDCC Webゲートの分離デプロイメント」の説明

このトポロジ(図23-2)は、最大のセキュリティ機密性を備えたシナリオに適した選択肢を示しています。集中資格証明コレクションおよび外部資格証明コレクションの両方が使用されています。アプリケーションを保護するリソースWebゲートは、資格証明コレクションを実行するDCC Webゲートから分離されています。

ユーザーは、公衆回線網から、Access Managerによって保護されているリソースにアクセスします。アプリケーションを保護しているWebゲートは、DMZ内にデプロイされます。DCC WebゲートもDMZ内にデプロイされます。保護されているアプリケーションおよびOAMサーバーのインスタンスは、プライベート・ネットワーク内に配置され、公衆回線網から直接アクセスすることはできません。

DMZ内でDCCを使用すると、サーバー自体への接続に認証済のネットワーク接続のみが許可されます。DCCは、11g Webゲートに利用できるすべてのバックチャネル通信の特性を継承します(Oracle Accessプロトコルを使用するネットワーク接続)。OAPは、次の機能を提供します。

クライアントとサーバーの間のSSL (オプションでサード・パーティによる署名済証明書を使用)
クライアントIDおよびパスワードを使用するアプリケーション・レベルの相互認証
アプリケーション・レベルで多重化された全二重通信をリクエスト
組込みの接続ロード・バランシング/フェイルオーバー機能

DCCは、エージェントから認証リクエストを受信すると、DCC Cookieの存在をチェックします。Cookieが存在しない場合、資格証明コレクションが開始され、チェックが行われて、ユーザーが入力した資格証明が検証のために渡されます。

ノート:

暗号化は、11gリソースWebゲートからDCCへの方向でのみ行われます。11gリソースWebゲートと11g DCCの間の通信はクリアテキストで行われ、チャネルは暗号化されません。

図23-3 DCCとWebゲートの一体化

「図23-3 DCCとWebゲートの一体化」の説明

プロセスの概要: 一体化したDCCとリソースWebゲートによる認証

ユーザーが、認証プロセスを開始するリソースへのアクセスをリクエストします。
DCCは、フロント・チャネルを通じてログイン・ページにリダイレクトします。
ログイン・ページがユーザーに返されます。
ユーザーは、資格証明を入力します。この資格証明はアクションURLにポストされます(認証スキームのユーザー定義パラメータについては、表22-23を参照)。
認証には、バック・チャネル(OAP)とOAMプロキシが使用されます。
認証プラグインがアクティブ化されます。
プラグインは、追加の資格証明を収集するためのURLへのリダイレクトをリクエストします。
プラグインのリクエストは、DCCに返されます。
DCCは、そのURLをリダイレクトして、指定された資格証明を要求します。
ブラウザは、リダイレクトに従います。
資格証明は、アクションURLにポストされます。