Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
Mobile and Socialサービスの使用および操作の実用面として、次が挙げられます。
保護されたリソースにアクセスを試行するモバイル・デバイスは、Mobile and Socialサーバーに登録されている必要があります。これは、このサーバーの登録エンドポイントに送信された匿名のリクエストは、このサーバーによって拒否されるためです。
さらに、各サービス・ドメインは、アプリケーションを登録する場合に、ユーザー・パスワードまたはユーザー・トークンを要求するように構成する必要があります。次に、モバイル・クライアントとモバイル・アプリケーションの登録エンドポイントの例を示します。
https:// host : port /idaas_rest/rest/mobileservice1/register
Mobile and Socialへの登録時、JavaクライアントSDKまたはREST APIを使用するクライアント・アプリケーションは、次のスキームの1つ以上を使用するサーバーに有効な資格証明を提示する必要があります。
HTTP Basic認証
ユーザーIDとパスワード(UIDPASSWORD)
OAMトークン認証
AndroidまたはiOS SDKを使用するクライアント・アプリケーションではクライアント登録ハンドルが取得され、クライアント登録ハンドルではUIDPASSWORD認証スキームを使用して登録が保護されます。
Android、iOSおよびJava SDKは、トークン、資格証明およびMobile and Socialサーバーによって要求される他のデータを送信します。
表48-4は、クライアント・デバイスまたはアプリケーションに基づいて要求されるトークンおよび返されるトークンを示しています。
ノート:
資格証明の詳細は、『Oracle Fusion Middleware Oracle Access Management開発者ガイド』の「cURLを使用したMobile and Social RESTコールの送信」のMobile and SocialサービスRESTリファレンス: 認証と認可に関する項を参照してください。
表48-4 Mobile and Socialサーバーのトークン要件
登録が必要なデバイスまたはアプリケーションのタイプ | Mobile and Socialサーバーによって要求されるトークン、資格証明またはデータ | 返されるトークンのタイプ |
---|---|---|
非モバイル・デバイス(未登録) |
HTTPS上で送信されるクライアント・アプリケーションに関連付けられたIDとパスワード。 |
クライアント・トークン |
モバイルSSOエージェント・アプリケーション |
|
クライアント登録ハンドル |
モバイルSSOクライアント・アプリケーション (たとえば、Mobile and Socialに登録するためにモバイルSSOエージェント・アプリケーションを使用するビジネス・アプリケーション。) |
|
クライアント登録ハンドル |
Mobile and Socialサービスのサービス・ドメインの構成時に、ユーザー・プロファイル・サービスと認可サービスの保護を選択できます。
ユーザー・プロファイル・サービス: ユーザー・プロファイル・サービスのセキュリティは、サービス・プロファイルに次を選択することで構成します。
認証サービス・プロバイダ(「OAMAuthentication」、「MobileOAMAuthentication」、「JWTAuthentication」、モバイルJWT認証、ソーシャル・アイデンティティ認証など)を選択します。
「セキュア・アプリケーション」セキュリティ・トークンと「セキュア・ユーザー」セキュリティ・トークンを要求することで、サービスを保護します。
「読取りの許可」および「書込みの許可」オプションを設定します。
認可サービス: 認可サービスのセキュリティは、サービス・プロファイルに次を選択することで構成します。
認証サービス・プロバイダ(「OAMAuthentication」、「MobileOAMAuthentication」、「JWTAuthentication」、モバイルJWT認証、ソーシャル・アイデンティティ認証など)を選択します。
「セキュア・アプリケーション」セキュリティ・トークンと「セキュア・ユーザー」セキュリティ・トークンを要求することで、サービスを保護します。
開発者は、Oracle Access Management Access Managerや、10gまたは11gR1 PS1 (11.1.1.5)バージョンのOracle Access Managerで保護されたリソースにアクセスするアプリケーションを簡単に作成できます。
Mobile and Social SDKは、資格証明コレクション・インタフェースを使用してユーザーの資格証明を収集した後は、認証をプログラム的に処理します。その後、SDKでは、アプリケーション用に構成されたトークン・サービスにより、Mobile and Social RESTインタフェースを使用してユーザーが認証されます。Access Managerを使用するMobile and Socialサービスの認証フローの詳細は、「ユーザー認証によるモバイル・デバイスの登録フロー」を参照してください。
Oracle Adaptive Access Manager (OAAM)を使用して、実行時の認証を決定することもできます。たとえば、認可されていない国や場所からユーザーの認証が実行された場合に認証を拒否できます。
また、次の機能もサポートされています。
マルチパート・ログイン・フロー: たとえば、OAAMがリスクのある使用パターンや通常外の使用パターン(ユーザーが通常の時間以外にデバイスを使用していたり、最後の認証から地理的に遠く離れている場合など)を検知すると、ナレッジベース認証の質問でユーザーが本人であるか確認したり、ワンタイム・パスワード(OTP)機能を使用した認証をユーザーに要求できます。
デバイス属性(デバイスに割り当てられているMACアドレスなど)をチェックします。また、デバイスがジェイルブレークされていないことを検証します。デバイスの属性に基づいて、OAAMでアクセスを許可または拒否できます。
また、Mobile and SocialとともにOAAMを使用する場合は、デバイス選択消去もオプションです。
登録されたデバイス情報に基づいて、OAAMでは特定のデバイスをホワイトリストまたはブラックリストに記載できます。
Mobile and SocialとOAAMを併用する方法の詳細は、「Oracle Adaptive Access ManagerのためのMobile and Socialサービスの構成」を参照してください。