Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
Oracle Access Management 11.1.2.0.0では、次の各項で説明する、新機能および拡張機能が提供されています。
次の情報を追加または更新しました。
第1章: 「システム要件と動作保証情報」を追加しました。
第2章: 削除(重複していたため)により、章番号を変更しました。
第3章: パスワード・ポリシーは、ECCに焦点を変更して、その他の認証の詳細とともに第16章に移動しました。
第6章: ロガーの説明を次の項目に追加しました。
第12章: 11g OAMエージェント(Webゲートおよびアクセス・クライアント)に焦点を変更しました。
第13章:
11g OAMエージェントのコンソールおよびリモート登録をまとめました。
「DCC対応の11g Webゲートと認証ポリシーの構成」は第20章に移動しました。
第15章:
「資格証明コレクションおよびログインの理解」が追加されました。
第16章: 認証の詳細をその他の共有ポリシー・コンポーネントとともに再配置しました。
11g OAMエージェントのコンソールおよびリモート登録をまとめました。
「資格証明コレクションおよびログインの理解」が追加されました。
「グローバル・パスワード・ポリシーの管理」は第3章から移動して、焦点を変更しました。
「DCC対応の11g Webゲートと認証ポリシーの構成」は第3章から移動しました。
第17章:
「ポリシーおよびアプリケーション・ドメインのリモート管理の理解」を追加しました。
「ポリシーおよびアプリケーション・ドメインのリモート管理」を追加しました。
第20章: OpenSSOエージェント登録と管理の詳細をこの章に再配置しました。
第20章: OSSOエージェント登録と管理の詳細をこの章に再配置しました。
第22章: Access Managerを使用したコンソールおよびリモート登録、更新およびログアウトを含めるために、10g OAMエージェントの詳細を拡充しました。
付録A: ログアウト構成の詳細に関連するように再配置しました。
このマニュアルは、報告された問題に対応するために更新されました。全体的な更新内容には、体裁の変更と画面の更新が含まれます。
関連項目:
このリリースでは、次の項目が新規追加または更新されています。
Oracle Internet DirectoryのサブスクライバDN情報を取得する方法の詳細は、表25-31を参照してください。
フェデレーションにOpenID 2.0 IdPパートナを定義する方法の詳細は、「リモート・アイデンティティ・プロバイダ・パートナの作成」を参照してください。
アクセス・テスターでは、プール内の接続を検証し、キャッシュ・フラッシュ・リクエストにアウト・オブ・バウンド接続を使用することなく、確立済の接続経由でキャッシュ・フラッシュ・リクエスト(SYNC_INFO)を送信できます。
認可条件によって、動的なセキュリティ・ポリシーを実装できるようになり、この結果としてOracle Access Managementコンソールの「ポリシー構成」インタフェースに変更を加えることができます。
認可条件: 以前の制約クラスは、条件タイプとして名前が変更されます。条件には、許可または拒否の指定は含まれていませんが、新しいルールでは、許可または拒否のアクセス・オプションを指定します。
関連項目:
新しい条件タイプ: 属性。
関連項目:
ポリシーで「暗黙的な制約の使用」オプションを使用している場合は置換されます。これにより、特定の条件タイプをインスタンス化することで作成し、ルールを選択することが可能になります。
関連項目:
標準認証モジュール(LDAP、KerberosおよびX509)は、今後のリリースで非推奨の対象になります。標準認可モジュールではなく、ネイティブまたはカスタム・プラグインを使用することをお薦めします。
関連項目:
カスタム認証プラグインを作成する場合は、『Oracle Fusion Middleware Oracle Access Management開発者ガイド』を参照してください。
外部資格証明コレクションは、11g Webゲート(OAMエージェント)の追加機能です。これは、動的なセキュア・マルチファクタ/マルチステップ認証で必要になります。11g Webゲートは、DCCとして使用するように簡単に有効化できます(また、OAMサーバーの埋込み資格証明コレクタ(ECC)を引き続き使用することもできます)。
マルチファクタ認証では、ログイン・プロセスで情報をバックエンド認証スキームに数回送信するためにカスタム認証プラグインが必要です。プラグインにより収集され、コンテキストに保存されたすべての情報は、プラグインが認証プロセスを介してアクセスできます。コンテキスト・データは、Cookieまたはユーザーのログイン・ページのヘッダーの設定にも使用できます。
関連項目:
Oracle Fusion Middleware Oracle Access Management管理者ガイド
アイデンティティ・コンテキストにより、Oracle Access Managementプラットフォームに組み込まれているコンテキストに対応したポリシー管理および認可機能を活用できます。アイデンティティ・コンテキストでは、従来のセキュリティ制御(ロールおよびグループ)とともに、認証中および認可中に確立される動的データ(強度、リスク・レベル、デバイス・トラストなど)を使用することで、リソースへのアクセスのセキュリティが確保されます。
関連項目:
Access Manager認証条件では、アイデンティティの許可または拒否の指定で、ユーザー、グループおよびLDAP検索フィルタのリストを使用できます。LDAP検索フィルタによって、対象アイデンティティの移入を簡単に指定できます。アイデンティティ・ストア(ディレクトリ・サーバー)でグループを再編成したり、新しいグループを作成する必要はありません。これにより、Access Manager 11gをOracle Access Manager 10gと同等にすることができます。
Access ManagerのPIV (Personal Identity Verification)カード(米国連邦政府のスマート・カード)サポートは、SubjectaltNameでFASC-NおよびEDIPI属性を使用して、X.509認証の間にユーザーをマップするために使用するものです。複数のOCSPプロバイダはサポートされませんが、OCSP Gatewayを使用するか、OSDT OCSP APIを使用するカスタム認証プラグインを作成することで、複数のOCSPプロバイダに対する検証を行うことができます。
Mobile and Socialは、保護されているリソースへのアクセスを必要とするユーザーと、それらのリソースを保護するバックエンドのOracle Access ManagementサービスとOracle Identity Managementサービスの間の橋渡しの役割を果たします。Mobile and Socialサービスのプラガブルなアーキテクチャにより、システム管理者は、ユーザーがインストールしたソフトウェアを更新することなく、アイデンティティ管理サービスおよびアクセス管理サービスを追加、変更および削除できます。
管理者はAccess Managerに複数のユーザー・アイデンティティ・ストアをインストールできます。それぞれのアイデンティティ・ストアは、異なるLDAPプロバイダに依存できます。各認証モジュール(または認証ステップ内のプラグイン)は、特定のユーザー・アイデンティティ・ストアを使用するように構成できます。
Access Managerでは、WebまたはJ2EEコンテナにデプロイされたWebおよびJavaエージェントをサポートします。各OpenSSOエージェントは、アプリケーションをホストするコンテナ(Oracle WebLogic Server、JBoss、Apacheなど)にプラグインされるフィルタです。
Access Managerでは、OpenSSOエージェントによって保護されているリソースへのリクエストを処理するためのOpenSSOプロキシを提供します。オラクル社提供のOpenSSOプロキシによって、エージェントとOAMサーバー間の通信を確立することで、OpenSSOエージェントに保護されたアプリケーションへのシングル・サインオンが容易になります。
関連項目:
Oracle Fusion Middleware Oracle Identity and Access Managementアップグレード・ガイド
Access Managerでは、Oracle Access Managementコンソールを使用してパスワード・ポリシーを管理できます。パスワード・ポリシー検証モジュールを実装すると、グローバル・パスワード・ポリシーがAccess Managerユーザーに適用されます。パスワード・ポリシーはポリシー・ストア内に格納され、Access Managerで保護されたすべてのリソースに適用されます。
TokenServiceRPタイプのリソースは、トークン・サービス・リライイング・パーティ用であり、これに基づいています(Identity Connectなどの非ブラウザ・クライアントに必要です)。
プログラミングによるRESTfulサービスがサポートされています。
関連項目:
Oracle Fusion Middleware Oracle Access Management管理者ガイド
Access Manager 11g Access Software Developer Kitを使用して開発されたカスタム・アクセス・クライアントでは、エージェント(Webゲートまたはアクセス・クライアント)ごとに11g共有秘密キーのセキュリティ機能がサポートされます。各エージェントには、アクセス・クライアントとOAMサーバー間で、ホストベースのアクセス・クライアント専用OAMAuthnCookieの暗号化および復号化を行うために共有される独自の秘密キーがあります。1つのアクセス・クライアントのセキュリティが破られた場合も、影響はその特定のアクセス・クライアントに限定され、他のアクセス・クライアントには影響しません。
ノート:
既存の10g ASDKユーザーには影響はありません。Oblixクラスのラッパーは、10gモードで透過的にアクセス・クライアントのインスタンスを作成するように修正できます。ただし、11g互換モードで実行するには、Oracle Java APIの使用が必要になります。
Access Manager 11gのPure Java ASDKはOracle Java API (oracle.security.am.asdkパッケージ内)およびOblix Java API (com.oblix.accessパッケージ)の両方を提供します。Access Manager 11g Pure Javaアクセス・クライアント:
Oracle Java APIとOracleアクセス・プロトコル・バージョン3(またはWebゲートごとに共有秘密キー1つのセキュリティ機能をサポートするバージョン4)を使用したOAMサーバーとの通信
10gサーバーとのOblix Java APIおよびOracleアクセス・プロトコル・バージョン3 (SSKPAのサポートなし)のみによる通信
関連項目:
Oracle Fusion Middleware Oracle Access Management管理者ガイド
トークン発行ポリシーは、認証と認可を実行するMobile and Socialのクライアントに必要です。
関連項目:
Mobile and Social認証サービスの詳細は、「Oracle Access Management Mobile and Socialの管理」を参照してください。