Oracle® Fusion Middleware Oracle Mobile Security Access Serverの管理 11gリリース2 (11.1.2.3) E64863-01 |
|
前 |
次 |
この章では、上位アーキテクチャの主要な概念と概要、管理ツールの説明および製品を使用するためのロードマップなど、モバイル・セキュリティ・アクセス・サーバーの使用を開始するための知識について説明します。
Oracle Mobile Security Suiteのコンポーネントであるモバイル・セキュリティ・アクセス・サーバー(MSAS)は、モバイル・デバイスからイントラネット・リソースへのトラフィックを保護する集中アクセス・ポイントを提供します。
モバイル・セキュリティ・アクセス・サーバーには以下の特長があります。
フォワード・プロキシとリバース・プロキシ(仮想)の両方のWebトラフィックを、管理および保護できます。
サポートされている様々な認証メカニズムを使用して、バックエンド・リソースへのシングル・サインオンを提供します。
HTTPリクエストを捕捉し、URLによりリソースを保護するOracle Access Manager OAMのWeb サーバー・プラグインである、Oracle Access Manager (OAM) WebGateとして構成できます。詳細は、「WebGateとしてのMSASインスタンスの構成」を参照してください。
Oracle Mobile Security Suiteの概要は、『Oracle Mobile Security Suiteの管理』のOracle Mobile Security Suiteの理解に関する項を参照してください。
以降のトピックでは、モバイル・セキュリティ・アクセス・サーバーの主要な概念を紹介します。
論理および物理MSASインスタンス
MSASは、論理および物理インスタンスの概念をサポートします。
物理MSASインスタンスは、MSASが実行され、リクエストをリスニングしている実際の物理マシンを表しており、物理インスタンスを経由するトラフィックにセキュリティを提供します。物理MSASインスタンスは、異なるホスト上、または異なるポート上の同じホスト上で実行できます。通常の環境には、高可用性を提供し、負荷を分散し、パフォーマンスを向上させる複数の物理インスタンスが含まれます。高可用性環境でのMSAS構成の詳細は、『高可用性ガイド』の、Oracle Mobile Security Access Serverでの高可用性の構成に関する項を参照してください。
論理インスタンスは、動作と構成が同一である必要がある複数の物理インスタンスの管理を容易にする抽象概念です。すべての物理インスタンスに共通の構成を、MSASコンソールまたはWLSTコマンドを使用して(論理インスタンス・レベルで)集中管理できるように、MSMサーバーは論理MSASインスタンスの定義をホスティングします。
図1-1は、論理および物理インスタンスの概念を示しています。この図には、2つの物理ホスト、Physical Host#1およびPhysical Host#2上で実行されているMSAS#1という名前の論理インスタンスがあります。
MSASアプリケーションとURL
MSASアプリケーションは、関連するURLをグループ化して、MSASサーバーを介してプロキシ設定するために使用されます。各アプリケーションには、アクセス・ポリシーとアサーションを使用して保護できるURL(仮想またはプロキシ)の定義が含まれます。MSASアプリケーションは、基本的に、アプリケーション・サーバー上にデプロイできる、モジュールおよびその他のファイルに対するラッパーであるEARファイルのようなものとみなすことができます。MSASアプリケーションは、MSASインスタンス上にデプロイされた、類似する複数のURLのラッパーの役割をはたし、他のMSASインスタンス上にエクスポートおよびデプロイできます。
次のタイプのアプリケーションがサポートされます。
仮想アプリケーション - バックエンドURLに新しいURLを指定できるようにする、MSAS環境で定義されたアプリケーション。これらの新しいMSAS URLは、仮想URLとも呼ばれます。それによりクライアントにMSAS URLを提供して、バックエンドURLを完全に隠蔽できます。このモデルでは、MSASはバックエンドURLのリバース・プロキシとして動作します。仮想URLSの場合、アクセス・ポリシーとアサーションはHTTPメソッド・レベルでアタッチされます。
プロキシ・アプリケーション - モバイル・セキュリティ・アクセス・サーバーを介して直接プロキシ設定されるバックエンドURLを指定するMSAS環境で定義されたアプリケーション。この場合、モバイル・セキュリティ・アクセス・サーバーは、転送プロキシのように動作します。バックエンドURLがクライアントに表示されますが、リクエストがモバイル・セキュリティ・アクセス・サーバーを介してプロキシ設定されます。フォワード・プロキシURLの場合、アクセス・ポリシーとアサーションは、URLレベルでアタッチされます。
ブロック済URL - アクセス不可として指定されるURLを指定する編集可能なMSASインスタンスごとの予約されたアプリケーション。このアプリケーションは、MSASインスタンスを作成するときにデフォルトで作成されます。
ダイレクトURL - 直接アクセスできモバイル・セキュリティ・アクセス・サーバーに捕捉されないURLを指定する、編集可能なMSASインスタンスごとの予約されたアプリケーション。このアプリケーションは、MSASインスタンスを作成するときにデフォルトで作成されます。
MSASアプリケーションはMSASインスタンス上にホスティングされ、1つのインスタンスが複数のMSASアプリケーションをホスティングできます。
MSASアプリケーションの詳細は、第3章「モバイル・セキュリティ・アクセス・サーバー・アプリケーションの管理」を参照してください
アクセス・ポリシーとアサーション
モバイル・デバイスとイントラネット・リソースの間でトラフィックを保護し、アクセス・ポリシーとアサーションを使用して、それをMSASアプリケーション内部のプロキシおよび仮想URLとして定義します。モバイル・セキュリティ・アクセス・サーバーには、MSAS Management Serverとともにインストールされる、事前定義済のアクセス・ポリシーとアサーション・テンプレート一式が用意されています。これらの事前定義済ポリシーとアサーションは、顧客デプロイメントにおける共通のベスト・プラクティス・ポリシー・パターンに基づいており、認証と認可を構成するために使用できます。
事前定義済ポリシーとアサーションは、3つのポリシー強制ポイントで、つまりリクエスト時、バックエンド・アプリケーションの起動時、レスポンス時にアタッチできます。事前定義済ポリシーに含まれる設定プロパティにより、たとえば署名キー・パスワードを格納するために使用されるCSFキーなど、特定の構成設定をオーバーライドできます。構成プロパティ・オーバーライド値のスコープは、指定されたポリシー・アタッチメントに限定されます。
これらの事前定義済ポリシーとアサーションは編集しないことをお薦めします。事前定義済ポリシーまたはアサーション・テンプレートを編集する場合、アーティファクトをクローニングして、それを編集することをお薦めします。
これらのポリシーはMSASコンソールから管理できます。これらのポリシーとアサーション・テンプレートの管理の詳細は、「ポリシーとアサーション・テンプレートの管理」を参照してください。リファレンス情報は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスを参照してください。
認証メカニズム
モバイル・セキュリティ・アクセス・サーバーは、モバイル・デバイスの、次の認証メカニズムをサポートします。
Kerberos Password Authentication(KINIT): プリンシパルのTicket Granting Ticket (TGT)を取得およびキャッシュするために使用される、Kerberos 5の認証メカニズム。TGTは、Kerberosのキー配布センターが認証後にクライアントに付与するチケットです。KINIT処理は、KDCサーバーを起動してユーザーを認証するMSASにおいて、内部モジュールに委任されます。
時限パスコードを使用する初期登録を伴うKerberos PKIベースの認証(PKINIT): X.509証明書を使用してKDCに対してクライアントを認証する、Kerberos 5の事前認証メカニズム。PKINIT処理は、KINIT認証と同様に、KDCサーバーを起動してユーザーを認証するMSASにおいて、内部モジュールに委任されます。
OAuth Confidential Client: クライアントがOAuth 2.0クライアントであり、OAMMSサーバーがOAuth 2.0実装である、Oracle Access Manager Mobile and Social (OAMMS)サーバーのクライアント-サーバー認証メカニズム。このタイプの認証では、クライアントに2つの段階があります。機密クライアントは、クライアントID、シークレット、ユーザーIDおよびパスワードを使用して、JWTユーザー・トークン(ユーザー・アイデンティティ・アサーションと呼ばれる)を取得できます。機密クライアントは、リソース所有者に代わって、標準OAuth 2.0 JWTユーザー・アサーション・フローを使用してOAuth 2.0アクセス・トークンを取得できます。
OAuthモバイル・クライアント: クライアントがモバイル・アプリケーションであり、サーバーがOracle Access Manager Mobile and Social (OAMMS)であるクライアント-サーバー認証モデル。この認証モデルでは、ワークスペースはMSASを介してOAMMSサーバーに動的に登録され、ワークスペースが正常に登録された後、JWTクライアント・トークンを取得します。登録されたワークスペースはMSASを介してOAMMSに対して認証を実行でき、MSASは認証プロセスの成功後に、JWT User Tokenを取得できます。
これらの認証エンドポイントのURLは、Mobile Security Workspaceアプリケーションが登録時にユーザーに提供する構成JSONファイル内にあります。ワークスペース・アプリケーション認証メカニズムは、選択された構成JSONファイルのタイプにより決まります。これらの認証エンドポイントの構成は、「認証エンドポイントの構成」の説明に従って編集できます。
モバイル・セキュリティ・アクセス・サーバーは、次のコンポーネントから構成されます。
モバイル・セキュリティ・アクセス・サーバー(MSAS): トラフィックを仮想化して保護するために使用されるランタイム・エンジン。このコンポーネントは、モバイル・デバイスとバックエンド・リソース間のゲートウェイとして使用されます。MSASは、自身のサーバー・プロセスでホスティングされ、DMZで実行されて、防御の最前線を構成します。
DMZの目的は、組織のローカル・エリア・ネットワーク(LAN)に追加のセキュリティ・レイヤーを追加することです。DMZを使用した場合、外部エンティティが直接アクセスできるのは、DMZにあるコンポーネントだけで、ネットワークの他の部分にはアクセスできません。
MSASサーバーは、サポートされた様々な認証メカニズムを使用してバックエンドURLへのシングル・サインオンを処理し、クライアントからのリクエスト時、企業アプリケーションの起動時およびクライアントへのレスポンス時に、セキュリティ・ポリシーを強制適用します。
モバイル・セキュリティ・マネージャ(MSM): MSMには、MSASを管理するために使用されるサービスを含むMSASの管理コンポーネントが含まれます。MSMは、WebLogic Server上、グリーン・ゾーンにデプロイされます。
リポジトリ: アクセス・ポリシーとアサーション・テンプレート、およびMSASアプリケーションやURLなどのMSAS構成のためのMDSストアから構成されている永続ストア(データベース)。
システム管理者は、MSASインスタンスを構成および管理するために、表1-1で説明されているツールを使用できます。
表1-1 モバイル・セキュリティ・アクセス・サーバーの構成ツール
ツール | 説明 |
---|---|
configMSAS.sh |
MSASランタイム・サーバーとともにインストールされる構成スクリプト。このスクリプトを使用して、MSASインスタンスを作成し、MSAS Management Serverに登録します。 |
idmConfigTool |
MSASによって使用されるアイデンティティ・ストア、キーストアおよびトラストストアを構成するために使用される構成スクリプト。MSAS構成の場合、このスクリプトは、 |
Oracle Access ManagementコンソールのMSASコンソール・ページ |
MSASの管理のために使用されるOracle Access Managementコンソールの管理インタフェース・コンポーネント。MSASコンソール・ページは、モバイル・セキュリティ起動パッドからアクセスでき、モバイル・セキュリティ・マネージャ(MSM)にインストールされます。これらのコンソール・ページを使用して、次のことができます。
|
WLST |
モバイル・セキュリティ・マネージャとともに提供されるコマンドライン・スクリプティング環境。MSAS WLSTコマンドを使用して、次のことができます。
|
表1-2に、モバイル・セキュリティ・アクセス・サーバーのインストールと使用のためのロードマップを示します。
表1-2 モバイル・セキュリティ・アクセス・サーバーのインストールと使用のためのロードマップ
タスク | 詳細情報 |
---|---|
MSASインストールの前提条件の検討 |
『Oracle Mobile Security Access Serverのインストール』の、モバイル・セキュリティ・アクセス・サーバーのインストール前提条件に関する項。 |
MSASのインストール |
『Oracle Mobile Security Access Serverのインストール』の、モバイル・セキュリティ・アクセス・サーバーのインストールに関する項。 |
|
『Oracle Mobile Security Access Serverのインストール』の、MSASインスタンスの構成に関する項。 注意: 「論理MSASインスタンスの作成と登録」で説明されているように、MSASコンソールを使用して論理インスタンスを作成することもできます。コンソールを使用してインスタンスを構成し、 |
|
『Oracle Mobile Security Access Serverのインストール』の、MSASインスタンスのアイデンティティ・ストアとキーストアの構成に関する項。 |
MSASサーバーの起動 |
『Oracle Mobile Security Access Serverのインストール』の、MSASサーバーの起動と停止に関する項。 |
MSASコンソールでのMSASインスタンスの表示 |
|
アイデンティティ・ストア・プロファイル、キーストア、信頼できる発行者、SSL、認証エンドポイントおよびシステム設定などの、MSASインスタンスのセキュリティ構成の管理。 |
第6章「モバイル・セキュリティ・アクセス・サーバー・インスタンスの構成」 |
プロキシおよび仮想アプリケーションの作成とURLの定義。 |
|
仮想アプリケーションでのURLの保護。 |
「仮想アプリケーションへのポリシーとアサーションのアタッチ」 |
プロキシ・アプリケーションでのURLの保護。 |
「プロキシ・アプリケーションへのポリシーとアサーションのアタッチ」 |
ダイレクト(およびブロックされた)URLなど、Web設定の構成。 |
|
ロール・ベース認可の構成。 |
|
SSLキーストアとトラストストアの構成 |
|
リポジトリの管理 |
|