| Oracle® Fusion Middleware Oracle Mobile Security Access Serverの管理 11gリリース2 (11.1.2.3) E64863-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Mobile Security Access Serverの管理 11gリリース2 (11.1.2.3) E64863-01 |
|
前 |
次 |
モバイル・セキュリティ・アクセス・サーバー(MSAS)は、モバイル・デバイスから、WebサイトやURLとして公開されるWebサービスなどのイントラネット・リソースへのトラフィックを保護するための、集中アクセス・ポイントを提供します。それらのリソースは、MSASプロキシの内部のURLや仮想アプリケーションとして定義され、MSASにインストールされた事前定義済アクセス・ポリシーとアサーションを使用して保護できます。
この章の内容は次のとおりです。
モバイル・デバイスとバックエンドURLの間で通信を保護するために、MSASアプリケーション内の各URL上のポリシー強制ポイントで、アクセス・ポリシーとアサーションをアタッチできます。これらのポリシーとアサーションは、クライアントからのリクエスト・フェーズ、バックエンドURLの呼出しおよびクライアントへ戻すレスポンス・フェーズでセキュリティを強制適用します。
アクセス・ポリシーを使用して、認証と認可の両方を構成できます。通常、認可ポリシーは、認証ポリシーとの組合せで機能します。認証ポリシーは、URLにアクセスするユーザーのアイデンティティを検証するために使用され、続いて認可ポリシーが、ユーザーが属し、認可チェックを実行するロールを確認します。
モバイル・セキュリティ・アクセス・サーバーに付属する事前定義済ポリシーは、顧客のデプロイで使用される一般的なベスト・プラクティス・ポリシーのパターンに基づいています。ポリシーは、事前定義済アサーション・テンプレートに基づくアサーションを使用して作成されています。事前定義済ポリシーがユース・ケースに適合する場合、適切なエンドポイントにポリシーをアタッチできます。ただし、各URLに対してポリシーを編集およびカスタマイズする必要がある場合、アタッチされたアサーションなら直接編集できるので、事前定義済アサーション・テンプレートで提供されるアサーションを直接アタッチすることもできます。
MSAS環境で定義された仮想アプリケーションは、バックエンドURLとして仮想URLを指定します。この場合、モバイル・セキュリティ・アクセス・サーバーは、リバース・プロキシのように動作し、クライアントから実際のバックエンドURLを非表示にします。
仮想アプリケーションでは、仮想化されたURLのHTTPメソッド・レベルでポリシーとアサーションをアタッチします。ポリシーをアタッチできるポリシー強制エンドポイントは、次のとおりです。
リクエスト時: 参照されたポリシーとアサーションを使用して、クライアントからモバイル・セキュリティ・アクセス・サーバーへのリクエスト・フェーズを保護します。リクエスト時エンドポイントにアタッチされた同じポリシーとアサーションが、レスポンス時エンドポイントに自動的にアタッチされ、クライアントへ送信されるレスポンスを保護する点に注意してください。
起動: 参照されたポリシーとアサーションを使用して、モバイル・セキュリティ・アクセス・サーバーとバックエンド・サービスの間の接続を保護します。
レスポンス時: モバイル・セキュリティ・アクセス・サーバーからクライアントへのレスポンス・フェーズを保護します。アタッチされたポリシーまたはアサーションがいかなるレスポンス動作もしない場合、ポリシーは強制適用されません。
MSASでサポートされるポリシーとアサーションのリストは、「サポートされるポリシーとアサーション」を参照してください。
仮想URLのポリシー強制エンドポイントにポリシーとアサーションをアタッチする手順:
保護する仮想アプリケーションの「URLサマリー」ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「アプリケーション」をクリックします。あるいは、「環境」をクリックし、続いてMSASタイルの「アプリケーション」をクリックすることもできます。
必要に応じて、「検索」フィールドを使用して、「MSASアプリケーション」ページに表示されるアプリケーションのリストを絞り込みます。「MSASアプリケーションの検索」を参照してください。
保護する仮想アプリケーションの、仮想アプリケーション・アイコン
または名前をクリックします。
「MSASアプリケーションの詳細」ページで、URL検索アイコンをクリックすると、仮想アプリケーションの「URLサマリー」ページが表示されます。
保護するURLのURLアイコン
または名前をクリックすると、「URLポリシー構成」ページが表示されます。
ポリシーまたはアサーションをアタッチするポリシー強制エンドポイントのオプション・メニュー
をクリックします。
ポリシーをポリシー強制エンドポイントにアタッチする手順は次のとおりです。
ポリシーをアタッチするには、「ポリシーの追加」をクリックします。ポリシーのリストは、エンドポイントのタイプが利用できるポリシーだけを反映するようにフィルタされています。たとえば、バックエンド・サービスを起動するためにアタッチできるポリシーのみが、起動ポリシー強制エンドポイントにリストされます。
検索フィールドを使用して、表示されるポリシーのリストを絞り込むことができます。「検索」フィールドにポリシー名のすべてまたは一部を入力し、任意の演算子を選択して、検索アイコンを押します。検索基準に適合する結果が「検索結果」表に表示されます。
オプションで、「表示」メニューを使用して、表示される列、または表示される列の順序を変更します。
アタッチされるポリシーを選択して、「選択項目の追加」をクリックします。
「選択したポリシー」表で、選択内容を検討します。表からエントリを削除するには、削除するポリシーを選択し、「選択項目の削除」をクリックします。表からすべてのポリシーを削除するには、「すべて削除」をクリックします。
アタッチされるポリシーのリストを確認したら、「ポリシーのアタッチ」をクリックします。アタッチされたポリシーは、表の、関連付けられたポリシー強制エンドポイントの下にリストされます。
アサーションをポリシー強制エンドポイントにアタッチする手順は次のとおりです。
エンドポイントにアサーションをアタッチするには、「アサーションの追加」をクリックします。アサーションのリストは、エンドポイントのタイプが利用できるアサーションだけを反映するようにフィルタされ、テンプレート名で整理されています。たとえば、バックエンド・サービスを起動するためにアタッチできるアサーションのみが、起動ポリシー強制エンドポイントにリストされます。
検索フィールドを使用して、表示されるアサーションのリストを絞り込むことができます。「検索」フィールドにアサーション名のすべてまたは一部を入力し、任意の演算子を選択して、検索アイコンを押します。検索基準に適合する結果が「検索結果」表に表示されます。
オプションで、「表示」メニューを使用して、表示される列、または表示される列の順序を変更します。
アタッチされるアサーションを選択して、「選択項目の追加」をクリックします。
「選択したアサーション・テンプレート。」表で、選択内容を確認します。表からアサーションを削除するには、削除するアサーションを選択し、「選択項目の削除」をクリックします。表からすべてのアサーションを削除するには、「すべて削除」をクリックします。
必要に応じて、アサーションの代替名を「アサーション名」フィールドで指定することもできます。
アタッチされるアサーションを確認したら、「アサーションの追加」をクリックします。アタッチされたアサーションは、表の、関連付けられたポリシー強制エンドポイントの下にリストされます。
ポリシー強制エンドポイントにアタッチされたポリシーとアサーションの順序を変更するには、エンドポイントのオプション・メニューをクリックして、「並替え」をクリックします。「並替え」ウィンドウで、アサーションまたはポリシーを選択し、上または下矢印をクリックして、任意に順序を変更します。「OK」をクリックします。
ポリシーとアサーションは、エンドポイントにアタッチされた順に強制適用されます。
エンドポイントにアタッチされたポリシーとアサーションの組み合わせが有効なことを確認するには、「検証」をクリックします。
検証エラーがある場合は、エラーを説明するダイアログ・ボックスが表示されます。アタッチされたポリシー/アサーション・テンプレートを削除するには、ポリシーまたはテンプレートのオプション・メニューをクリックして、次に「削除」をクリックします。
エンドポイントにポリシーまたはアサーションをアタッチするには、「適用」をクリックします。
リクエスト時エンドポイントにアタッチされた同じポリシーとアサーションが、レスポンス時エンドポイントに自動的にアタッチされ、クライアントへ送信されるレスポンスを保護する点に注意してください。アタッチされたポリシー/アサーションがレスポンス動作をサポートしない場合、アタッチメントは無視されます。
モバイル・セキュリティ・アクセス・サーバーを介して直接プロキシ設定されるバックエンドURLを指定するMSAS環境で定義されたプロキシ・アプリケーション。この場合、モバイル・セキュリティ・アクセス・サーバーは、転送プロキシのように動作します。バックエンドURLがクライアントに表示されますが、リクエストがモバイル・セキュリティ・アクセス・サーバーを介してプロキシ設定されます。
プロキシ・アプリケーションの場合は、バックエンドURLに対応するURLレベルで、ポリシーをアタッチします。ポリシーをアタッチできるポリシー強制エンドポイントは、次のとおりです。
リクエスト時: 参照されたポリシーとアサーションを使用して、クライアントからモバイル・セキュリティ・アクセス・サーバーへのリクエスト・フェーズを保護します。リクエスト時エンドポイントにアタッチされた同じポリシーとアサーションが、レスポンス時エンドポイントに自動的にアタッチされ、クライアントへ送信されるレスポンスを保護する点に注意してください。
起動プロキシ: 参照されたポリシーとアサーションを使用して、モバイル・セキュリティ・アクセス・サーバーとバックエンド・サービスの間の接続を保護します。
レスポンス時: モバイル・セキュリティ・アクセス・サーバーからクライアントへのレスポンス・フェーズを保護します。アタッチされたポリシーまたはアサーションがいかなるレスポンス動作もしない場合、ポリシーは強制適用されません。
MSASでサポートされるポリシーとアサーションのリストは、「サポートされるポリシーとアサーション」を参照してください。
プロキシURLのポリシー強制エンドポイントにポリシーとアサーションをアタッチする手順:
保護するプロキシ・アプリケーションの「URLサマリー」ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「アプリケーション」をクリックします。あるいは、「環境」をクリックし、続いてMSASタイルの「アプリケーション」をクリックすることもできます。
必要に応じて、「検索」フィールドを使用して、「MSASアプリケーション」ページに表示されるアプリケーションのリストを絞り込みます。「MSASアプリケーションの検索」を参照してください。
保護するプロキシ・アプリケーションの、プロキシ・アプリケーション・アイコン
または名前をクリックします。
「MSASアプリケーションの詳細」ページでURL検索アイコンをクリックすると、プロキシ・アプリケーションの「プロキシURLサマリー」ページが表示されます。
保護するURLのプロキシURLアイコン
または名前をクリックすると、「URLポリシー構成」ページが表示されます。
ポリシーまたはアサーションをアタッチするポリシー強制エンドポイントのオプション・メニューをクリックします。
ポリシーをポリシー強制エンドポイントにアタッチする手順は次のとおりです。
ポリシーをアタッチするには、「ポリシーの追加」をクリックします。ポリシーのリストは、エンドポイントのタイプが利用できるポリシーだけを反映するようにフィルタされています。たとえば、バックエンド・サービスを起動するためにアタッチできるポリシーのみが、起動プロキシ・ポリシー強制エンドポイントにリストされます。
検索フィールドを使用して、表示されるポリシーのリストを絞り込むことができます。「検索」フィールドにポリシー名のすべてまたは一部を入力し、任意の演算子を選択して、検索アイコンを押します。検索基準に適合する結果が「検索結果」表に表示されます。
オプションで、「表示」メニューを使用して、表示される列、または表示される列の順序を変更します。
アタッチされるポリシーを選択して、「選択項目の追加」をクリックします。
「選択したポリシー」表で、選択内容を検討します。表からエントリを削除するには、削除するポリシーを選択し、「選択項目の削除」をクリックします。表からすべてのポリシーを削除するには、「すべて削除」をクリックします。アサーションを追加する場合、アサーションの代替名を「アサーション名」フィールドで指定することもできる点に注意してください。
アタッチされるポリシーのリストを確認したら、「ポリシーのアタッチ」をクリックします。
アサーションをポリシー強制エンドポイントにアタッチする手順は次のとおりです。
エンドポイントにアサーションをアタッチするには、「アサーションの追加」をクリックします。アサーションのリストは、エンドポイントのタイプが利用できるアサーションだけを反映するようにフィルタされ、テンプレート名で整理されています。たとえば、バックエンド・サービスを起動するためにアタッチできるアサーションのみが、起動ポリシー強制エンドポイントにリストされます。
検索フィールドを使用して、表示されるアサーションのリストを絞り込むことができます。「検索」フィールドにアサーション名のすべてまたは一部を入力し、任意の演算子を選択して、検索アイコンを押します。検索基準に適合する結果が「検索結果」表に表示されます。
オプションで、「表示」メニューを使用して、表示される列、または表示される列の順序を変更します。
アタッチされるアサーションを選択して、「選択項目の追加」をクリックします。
「選択したアサーション・テンプレート。」表で、選択内容を確認します。表からアサーションを削除するには、削除するアサーションを選択し、「選択項目の削除」をクリックします。表からすべてのアサーションを削除するには、「すべて削除」をクリックします。
必要に応じて、アサーションの代替名を「アサーション名」フィールドで指定することもできます。
アタッチされるアサーションを確認したら、「アサーションの追加」をクリックします。
ポリシー強制エンドポイントにアタッチされたポリシーとアサーションの順序を変更するには、エンドポイントのオプション・メニューをクリックして、「並替え」をクリックします。「並替え」ウィンドウで、アサーションまたはポリシーを選択し、上または下矢印をクリックして、任意に順序を変更します。「OK」をクリックします。
ポリシーとアサーションは、エンドポイントにアタッチされた順に強制適用されます。
エンドポイントにアタッチされたポリシーとアサーションの組み合わせが有効なことを確認するには、「検証」をクリックします。
検証エラーがある場合は、エラーを説明するダイアログ・ボックスが表示されます。アタッチされたポリシー/アサーション・テンプレートを削除するには、ポリシーまたはテンプレートのオプション・メニューをクリックして、次に「削除」をクリックします。
アタッチメントをURLに保存するには、「適用」をクリックします。
リクエスト時エンドポイントにアタッチされた同じポリシーとアサーションが、レスポンス時エンドポイントに自動的にアタッチされ、クライアントへ送信されるレスポンスを保護する点に注意してください。アタッチされたポリシー/アサーションがレスポンス動作をサポートしない場合、アタッチメントは無視されます。
URLの「URLポリシー構成」ページに、アプリケーションの各URLにアタッチされているポリシーを表示できます。
アプリケーションのURLにアタッチされているポリシーを表示する手順:
「MSASアプリケーション」ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「アプリケーション」をクリックします。あるいは、「環境」をクリックし、続いてMSASタイルの「アプリケーション」をクリックすることもできます。
必要に応じて、「検索」フィールドを使用して、表示されるアプリケーションのリストを絞り込みます。「MSASアプリケーションの検索」を参照してください。
アタッチされたポリシーを表示するアプリケーションのアイコンまたは名前をクリックします。
URL検索アイコンをクリックし、仮想アプリケーションの「URL」ページまたはプロキシ・アプリケーションの「プロキシURL」ページに移動します。
「URLポリシー構成」ページを開くには、URLまたはプロキシURLのアイコン、またはURL名をクリックします。アタッチされたポリシーとアサーションは、表の、関連付けられたポリシー強制エンドポイントの下にリストされます。
アタッチされたポリシーの詳細を表示するには、エンドポイント表でポリシーを選択します。ポリシーは、
アイコンで示されます。
ポリシーの詳細が、右のペインに表示されます。詳細は、次のタブに表示されます。
| [Tab] | 説明 |
|---|---|
| 一般 | アタッチされるポリシーの場合、このタブには、名前、表示名、分類、説明、ポリシーが有効かどうか、ポリシーをアタッチできるエンドポイントのタイプ、およびポリシーのバージョン情報を含むポリシーの一般情報が読取り専用形式で表示されます。
ポリシーのすべてのバージョンのリストを表示し、ポリシー・バージョンの詳細を読取り専用形式で表示し、ポリシーのバージョンをアクティブ化し、ポリシーのバージョンを削除またはエクスポートするために使用する「ポリシー・バージョン履歴」ページを開くには、「バージョン管理履歴」をクリックします。「ポリシー・バージョンの履歴」ページから、ポリシーを編集することはできません。ポリシーの編集および保存は、ポリシーの詳細ページで行う必要があります。詳細は、「ポリシーの作成と編集」を参照してください。 |
| アサーション | このタブをクリックして、ポリシー内のアサーションを表示します。名前、アサーションが属するカテゴリ(security/authenticationやsecurity/authorizationなど)、アサーションのタイプ(http-jwt-tokenなど)、アサーションを強制するかどうかを含むアサーションに関する詳細を表示するには、アサーションをクリックします。
「詳細」セクションでは、選択したアサーションの設定を表示できます。アサーション・テンプレートの詳細は、アサーションのタイプによって異なります。たとえば、メッセージ保護が含まれるアサーションには、メッセージ・セキュリティに固有の設定が含まれます。 |
| オーバーライド | このタブをクリックして、ポリシーの構成プロパティを表示します。構成プロパティは、ポリシー内のアサーションに基づき、様々です。これらのフィールドを使用して、アタッチメントごとにプロパティをオーバーライドします。ポリシーでの構成プロパティのオーバーライドの詳細は、「ポリシー・オーバーライドの構成」を参照してください。 |
| 認可 | 注意: このタブはOracle Entitlements Serverポリシーを使用するファイングレイン認可でのみ表示され、ファイングレイン認可を構成するために使用されます。構成情報は、「認可の構成」を参照してください。 |
アタッチされたアサーションの詳細を表示するには、エンドポイント表でアサーションを選択します。アサーションは、
アイコンで示されます。
アサーションの詳細が、右のペインに表示されます。詳細は、次のタブに表示されます。
| [Tab] | 説明 |
|---|---|
| 一般 | このタブには、名前、アサーションが属するカテゴリ(security/authenticationやsecurity/authorizationなど)、アサーションのタイプ(http-jwt-tokenなど)、アサーションを強制するかどうかを含むアサーションに関する詳細が表示されます。
「詳細」または「設定」セクションでは、選択したアサーションの設定を表示できます。アサーション・テンプレートの詳細は、アサーションのタイプによって異なります。たとえば、メッセージ保護が含まれるアサーションには、メッセージ・セキュリティに固有の設定が含まれます。 各事前定義済ポリシーとアサーション・テンプレートの詳細は、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスにあります。 |
| オーバーライド | このタブをクリックして、アサーションの構成プロパティを表示します。構成プロパティは、アサーションによって異なります。これらのフィールドを使用して、アタッチメントごとにプロパティをオーバーライドします。ポリシーでの構成プロパティのオーバーライドの詳細は、「ポリシー・オーバーライドの構成」を参照してください。 |
事前定義済ポリシーに含まれる設定プロパティにより、たとえば署名キー・パスワードを格納するために使用されるCSFキーなど、特定の構成設定をオーバーライドできます。構成プロパティ・オーバーライド値のスコープは、指定されたポリシー・アタッチメントに限定されます。
このセクションの説明に従って、エンドポイントにポリシーをアタッチするときに値をオーバーライドできます。別の方法として、ポリシー内の構成オーバーライド・プロパティのデフォルト値を変更することもできます。その場合、ポリシーをアタッチするすべてのエンドポイントで、それらの値を使用できます。ポリシーの構成プロパティを編集するには、「ポリシーの作成と編集」を参照してください。
|
注意: 有効なポリシー・セットが常にあるように、事前定義済ポリシーは編集しないことをお薦めします。事前定義済ポリシーの構成プロパティを編集する場合、ポリシーをクローニングして、それを編集することをお薦めします。 |
事前定義済ポリシーでオーバーライド可能な構成プロパティは、ポリシーに含まれるアサーション・テンプレートから継承されます。追加情報については、次の各トピックを参照してください:
各ポリシーおよびアサーション・テンプレートに関連付けられた構成プロパティの決定については、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、事前定義ポリシーおよび事前定義アサーション・テンプレートに関する項。
オーバーライドできるプロパティのアルファベット順リストは、Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、アサーション・テンプレート構成プロパティに関する項。
追加のポリシーと、関連の構成プロパティについては、『Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイド』の、事前定義済ポリシーに関する項。
アタッチされたポリシーまたはアサーションの構成プロパティをオーバーライドする手順:
「仮想アプリケーションへのポリシーとアサーションのアタッチ」および「プロキシ・アプリケーションへのポリシーとアサーションのアタッチ」の説明に従って、エンドポイントに、ポリシーまたはアサーション・テンプレートをアタッチします。
ポリシー強制エンドポイントの下のリストから、ポリシーまたはテンプレートを選択します。ポリシーまたはテンプレートに関する詳細が、右のペインに表示されます。
「オーバーライド」タブをクリックします。
プロパティの「値」フィールドにオーバーライド値を入力し、「適用」をクリックします。
プロパティはアタッチメント単位でオーバーライドされます。
|
注意: 定数タイプのプロパティはオーバーライドできません。 |
ポリシー内のアサーションのタイプおよび数が有効であれば、ポリシーは内部的に一貫性があり有効です。ただし、ポリシー強制エンドポイントに複数のポリシーがアタッチされている場合は、ポリシーの組合せも有効であることが必要です。具体的には、次の内容を満たしている必要があります。
リクエスト時ポリシー強制エンドポイントに、認証ポリシーと認可ポリシーが含まれる場合、認証ポリシーが認可ポリシーに先行する必要があります。ポリシー・アタッチメントを並べ替える手順は、「仮想アプリケーションへのポリシーとアサーションのアタッチ」と「プロキシ・アプリケーションへのポリシーとアサーションのアタッチ」にあります。
サブタイプ認証を伴う1つのセキュリティ・ポリシーまたはアサーションのみ、ポリシー強制エンドポイントにアタッチできます。
仮想またはプロキシ・アプリケーションからポリシーをデタッチする手順:
「MSASアプリケーション」ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「アプリケーション」をクリックします。あるいは、「環境」をクリックし、続いてMSASタイルの「アプリケーション」をクリックすることもできます。
必要に応じて、「検索」フィールドを使用して、表示されるアプリケーションのリストを絞り込みます。「MSASアプリケーションの検索」を参照してください。
ポリシーまたはアサーションをデタッチするアプリケーションのアイコンまたは名前をクリックします。
URL検索アイコンをクリックし、仮想アプリケーションの「URL」ページまたはプロキシ・アプリケーションの「プロキシURL」ページに移動します。
「URLポリシー構成」ページを開くには、URLまたはプロキシURLのアイコン、またはURL名をクリックします。アタッチされたポリシーとアサーションは、表の、関連付けられたポリシー強制エンドポイントの下にリストされます。
ポリシーまたはアサーションをデタッチするには、ポリシーまたはアサーションのオプション・アイコンをクリックし、次に「削除」をクリックします。
「削除」ウィンドウで、「OK」をクリックします。
「適用」をクリックして、変更を保存します。
認可(アクセス制御とも呼ばれる)とは、認証されたユーザーの資格に基づいて特定のリソースへのアクセス権を付与することです。権限は1つ以上の属性によって定義されます。属性とはユーザーのプロパティまたは特性のことです。たとえば、「Marc」はユーザーで、「会議の発言者」は属性です。
多くの場合、認証はユーザーにリソースへのアクセスを許可するかどうかを決定する最初の手順となります。ユーザーが認証されたら、2番目の手順は、ユーザーがリソースへのアクセスを認可されていることを検証することです。
認可により、認証されたクライアントがどの操作にアクセスできるかを決定できます。モバイル・セキュリティ・アクセス・サーバーでは、プリンシパルと呼ばれるアイデンティティのセットをロールにグループ化し、各ロールにポリシーを割り当てることができる、という概念に基づくロール・ベースの認可を使用します。
次以降の項では、モバイル・セキュリティ・アクセス・サーバーで認可を構成する方法を説明します。
モバイル・セキュリティ・アクセス・サーバーでは、アプリケーション・ロールのスコープはMSASアプリケーションです。つまり、1つのMSASアプリケーションのロールがそのアプリケーションにのみ適用され、他のMSASアプリケーションに表示されません。アプリケーション・ロールは、仮想およびプロキシ・アプリケーションの両方でサポートされます。
モバイル・セキュリティ・アクセス・サーバーには、次のようなアプリケーション・ロール管理機能が用意されています。
アプリケーション・ロールの作成、更新、削除、表示。
アプリケーション・ロール階層の管理。ロール同士を階層内で結合させて、より高いレベルのロールに下位ロールが所有する権限を含めることができます。
外部ロールからアプリケーション・ロールへのマッピング。
ユーザーをアプリケーション・ロールにマップします。
MSASアプリケーションでは、「MSASアプリケーション・ロール・サマリー」ページを使用してロールを管理します。このページを起点として以下のことができます。
アプリケーションで構成されたアプリケーション・ロールのリストを表示します。
アプリケーションのアプリケーション・ロールを検索します。
ロールの作成、アプリケーションへのロールの追加、既存のロールの編集、アプリケーション・ロール階層の管理およびアプリケーション・ロールに対するユーザーのマップを行うことができるアプリケーション・ロール・ページに移動します。
アプリケーションからアプリケーション・ロールを削除します。
MSASアプリケーション・ロールは、「アプリケーション・ロール・サマリー」ページから作成します。
MSASアプリケーション・ロールを作成する手順:
「アプリケーション・ロール・サマリー」ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「アプリケーション」をクリックします。あるいは、「環境」をクリックし、続いてMSASタイルの「アプリケーション」をクリックすることもできます。
必要に応じて、「検索」フィールドを使用して、「MSASアプリケーション」ページに表示されるアプリケーションのリストを絞り込みます。「MSASアプリケーションの検索」を参照してください。
ロールを作成するアプリケーション・アイコンまたはアプリケーションの名前をクリックします。
「MSASアプリケーションの詳細」ページで、アプリケーション・ロール検索アイコンをクリックします。
「アプリケーション・ロール・サマリー」ページで、+ロールの追加をクリックします。
「アプリケーション・ロール」ページで、アプリケーション・ロールの名前、表示名および説明を入力します。
| フィールド | 説明 |
|---|---|
| 名前 | アプリケーション・ロールの名前を入力します。名前は、MSASアプリケーションの範囲内で一意である必要があります。 |
| 表示名 | オプションで、アプリケーション・ロールを識別するために使用できる、わかりやすい名前をコンソールに入力します。表示名を入力しない場合は、ロール名が使用されます。 |
| 説明 | 必要に応じて、ロールの簡単な説明を入力します。 |
オプションで、作成するロールをアプリケーション・ロール階層内に配置します。
まだ選択していなければ、「アプリケーション・ロール階層」タブをクリックします。
「継承元」をクリックして、作成されるロールが権限を継承するアプリケーション・ロールを指定します。
検索フィールドにロール名のすべてまたは一部を入力して、「検索」をクリックします。空の文字列は、アプリケーションのすべてのロールをフェッチします。最初の5つのロールが表示されます。
追加のロールを表示するには、「追加アイテムのロード」をクリックします。
「追加アイテムのロード」をクリックして、追加のロールを表示します。選択されたロールが「アプリケーション・ロール」表に追加されます。
「継承先」をクリックして、このロールの権限を継承するアプリケーション・ロールを表示します。
オプションで、作成するアプリケーション・ロールに外部ロールをマッピングします。
外部ロール・マッピングタブをクリックします。
検索フィールドに外部ロール名のすべてまたは一部を入力して、「検索」をクリックします。空の文字列は、アプリケーションのすべてのロールをフェッチします。必要に応じて、「追加アイテムのロード」をクリックして、追加のロールを表示します。
外部ロールを選択して、作成されるロールにマッピングする各外部ロールに対応する「ロールにマップ」をクリックします。
オプションで、作成するアプリケーション・ロールにユーザーをマッピングします。
「ユーザー・マッピング」タブをクリックします。
検索フィールドにユーザー名のすべてまたは一部を入力して、「検索」をクリックします。空の文字列は、アプリケーションのすべてのユーザーをフェッチします。必要に応じて、「追加アイテムのロード」をクリックして、追加のユーザーを表示します。
ユーザーを選択して、作成されるロールにマッピングする各ユーザーに対応する「ロールにマップ」をクリックします。
「適用」をクリックして、指定したロール階層とマッピングを持つロールを作成します。
「アプリケーション・ロール・サマリー」ページから、MSASアプリケーションに構成されているロールを表示できます。そこから、特定のロールをクリックして、そのロールの構成詳細を表示できます。
構成されたアプリケーション・ロールを表示する手順:
「MSASアプリケーション」ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「アプリケーション」をクリックします。あるいは、「環境」をクリックし、続いてMSASタイルの「アプリケーション」をクリックすることもできます。
必要に応じて、「検索」フィールドを使用して、表示されるアプリケーションのリストを絞り込みます。「MSASアプリケーションの検索」を参照してください。
詳細を表示するアプリケーションのアプリケーション・アイコンまたは名前をクリックします。
「MSASアプリケーションの詳細」ページで、アプリケーション・ロール検索アイコンをクリックして、アプリケーションに構成されているロールが表形式で表示される「アプリケーション・ロール・サマリー」ページに移動します。構成されている最初の5つのロールのみ表示されます。追加のロールを表示するには、「追加アイテムのロード」をクリックします
オプションで、「検索」フィールドを使用して、「アプリケーション・ロール」検索フィールドにロール名のすべてまたは一部を入力して「検索」アイコンをクリックすることにより、特定のロールを検索します。ワイルドカードは認識されず、プレーン・テキストとして処理されます。検索では、大文字と小文字は区別されません。
ロール・アイコン、ロール名またはオプション・メニューから「ロールの編集」をクリックして、「アプリケーション・ロール」ページを開きます
「アプリケーション・ロール階層」、「外部ロール・マッピング」および「ユーザー・マッピング」タブをクリックして、ロール階層とマッピングを表示します。
アプリケーション・ロールのロール階層(特に、あるアプリケーション・ロールより下または上のアプリケーション・ロールの階層)を表示および変更できます。あるロールより下のロールは、選択されたロールの権限を継承します。あるロールは、それより上のロールの権限を継承します。
特定のアプリケーション・ロールの下のアプリケーション・ロール階層を表示または変更する手順:
アプリケーションの「アプリケーション・ロール」タブがすでに開いている場合、それをクリックして「アプリケーション・ロール・サマリー」ページを表示します。
そうでない場合は、「MSASアプリケーションでのロールの表示」の説明に従って、「アプリケーション・ロール・サマリー」ページに移動します。
ロール・アイコン、ロール名またはオプション・メニューから「ロールの編集」をクリックして、「アプリケーション・ロール」ページを開きます
「アプリケーション・ロール階層」タブ、続いて「継承元」をクリックします。
右側のアプリケーション・ロール表に、選択したロールが権限を継承する元のアプリケーション・ロールが表示されます。
現在のロールの下の階層にロールを追加する手順:
検索フィールドにロール名のすべてまたは一部を入力して、「検索」をクリックします。空の文字列は、アプリケーションのすべてのロールをフェッチします。
最初の5つのロールが表示されます。必要に応じて、「追加アイテムのロード」をクリックして、追加のロールを表示します。
「追加アイテムのロード」をクリックして、追加のロールを表示します。選択されたロールが「アプリケーション・ロール」表に追加されます。
階層からロールを削除するには、アプリケーション・ロール・リストでロールを選択して、「削除」をクリックします。
「適用」をクリックしてロール階層を更新します。
特定のアプリケーション・ロールの上のアプリケーション・ロール階層を表示または変更する手順:
アプリケーションの「アプリケーション・ロール」タブがすでに開いている場合、それをクリックして「アプリケーション・ロール・サマリー」ページを表示します。
そうでない場合は、「MSASアプリケーションでのロールの表示」の説明に従って、「アプリケーション・ロール・サマリー」ページに移動します。
ロール・アイコン、ロール名またはオプション・メニューから「ロールの編集」をクリックして、「アプリケーション・ロール」ページを開きます
「アプリケーション・ロール階層」タブ、続いて「継承先」をクリックします。
アプリケーション・ロール表に、現在のロールの権限を継承するアプリケーション・ロールが表示されます。
アプリケーション・ロールに外部ロールをマップする手順:
アプリケーションの「アプリケーション・ロール」タブがすでに開いている場合、それをクリックして「アプリケーション・ロール・サマリー」ページを表示します。
そうでない場合は、「MSASアプリケーションでのロールの表示」の説明に従って、「アプリケーション・ロール・サマリー」ページに移動します。
ロール・アイコン、ロール名またはオプション・メニューから「ロールの編集」をクリックして、「アプリケーション・ロール」ページを開きます
外部ロール・マッピングタブをクリックします。
現在のロールに外部ロールをマップする手順:
検索フィールドにロール名のすべてまたは一部を入力して、「検索」をクリックします。空の文字列は、アプリケーションのすべてのロールをフェッチします。必要に応じて、「追加アイテムのロード」をクリックして、追加のロールを表示します。
現在のロールにマップする各外部ロールに対応する「ロールにマップ」をクリックします。選択されたロールが「マップ済ロール」表に追加されます。
外部ロールからマッピングを削除するには、「マップ済ロール」リストでロールを選択し、「削除」をクリックします。
「適用」をクリックしてロール・マッピングを更新します。
アプリケーション・ロールにユーザーをマップする手順:
アプリケーションの「アプリケーション・ロール」タブがすでに開いている場合、それをクリックして「アプリケーション・ロール・サマリー」ページを表示します。
そうでない場合は、「MSASアプリケーションでのロールの表示」の説明に従って、「アプリケーション・ロール・サマリー」ページに移動します。
ロール・アイコン、ロール名またはオプション・メニューから「ロールの編集」をクリックして、「アプリケーション・ロール」ページを開きます
「ユーザー・マッピング」タブをクリックします。
現在のロールにユーザーをマップする手順:
検索フィールドにユーザー名のすべてまたは一部を入力して、「検索」をクリックします。空の文字列は、アプリケーションのすべてのユーザーをフェッチします。必要に応じて、「追加アイテムのロード」をクリックして、追加のユーザーを表示します。
現在のロールにマップする各ユーザーに対応する「ロールにマップ」をクリックします。選択されたロールが、「マップ済ユーザー」リストに追加されます。
ユーザーからマッピングを削除するには、「マップ済ユーザー」リストでユーザーを選択し、「削除」をクリックします。
「適用」をクリックしてロール・マッピングを更新します。
MSASアプリケーション・ロールは、「アプリケーション・ロール・サマリー」ページから削除できます。
アプリケーション・ロールを削除するには:
アプリケーションの「アプリケーション・ロール」タブがすでに開いている場合、それをクリックして「アプリケーション・ロール・サマリー」ページを表示します。
それ以外の場合、「アプリケーション・ロール・サマリー」ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「アプリケーション」をクリックします。あるいは、「環境」をクリックし、続いてMSASタイルの「アプリケーション」をクリックすることもできます。
必要に応じて、「検索」フィールドを使用して、「MSASアプリケーション」ページに表示されるアプリケーションのリストを絞り込みます。「MSASアプリケーションの検索」を参照してください。
ロールを作成するアプリケーション・アイコンまたはアプリケーションの名前をクリックします。
「MSASアプリケーションの詳細」ページで、アプリケーション・ロール検索アイコンをクリックします。
「アプリケーション・ロール・サマリー」ページで、ロールを削除する行のオプション・メニュー・アイコンをクリックして、「ロールの削除」をクリックします。
「アプリケーション・ロールの削除」ウィンドウで、「削除」をクリックして、削除を確認します。
ロールが、「アプリケーション・ロール・サマリー」ページの表から削除されます。
|
注意: 削除するロールが別のロールによって継承されている場合、継承も削除されます。 |
プロキシまたは仮想URLのリクエスト時ポリシー強制ポイントに事前定義済認可ポリシーoracle/binding_oes_authorization_policyをアタッチし、続いて、プロキシまたは仮想URLにアクセスするために認可されるユーザーとロールを指定するポリシーを構成することによって、モバイル・セキュリティ・アクセス・サーバーに認可を構成できます。
アプリケーションに認可を構成する手順:
認可を構成するURLの「URLポリシー構成」ページに移動します。
Oracle Access Managementのホームページで、ページ上部のタブのリストから、「モバイル・セキュリティ」タブを選択します。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「アプリケーション」をクリックします。あるいは、「環境」をクリックし、続いてMSASタイルの「アプリケーション」をクリックすることもできます。
必要に応じて、「検索」フィールドを使用して、「MSASアプリケーション」ページに表示されるアプリケーションのリストを絞り込みます。「MSASアプリケーションの検索」を参照してください。
アプリケーション・アイコンまたはアプリケーションの名前をクリックします。
「MSASアプリケーションの詳細」ページでURL検索アイコンをクリックすると、アプリケーションの「URL/プロキシURLサマリー」ページが表示されます。
URL/プロキシURLアイコンまたは構成するURLの名前をクリックすると「URLポリシー構成」ページが表示されます。
リクエスト時ポリシー強制エンドポイントのオプション・メニューをクリックして、「ポリシーの追加」を選択します。
表のoracle/binding_oes_authorization_policyを選択して、「選択項目の追加」、「ポリシーのアタッチ」の順にクリックします。
|
注意: ワイルドカード*を含むURLには、このポリシーをアタッチしないでください。そうすると、実行時にポリシーが強制適用されません。 |
表で、「Oracle Entitlements Serverを使用したファイングレイン認可」ポリシーを選択します。
右のペインのポリシー詳細で、「認可」タブを選択します。
「ポリシーの影響」フィールドで、保護されたURLへのアクセスにポリシーがどのように影響するかを選択します。
許可: サブジェクトは、保護されたURLへのアクセスを許可されます。
拒否: 将来の使用のために予約されています。
「サブジェクト」フィールドで、「ポリシーの影響」フィールドで選択した操作が強制適用されるユーザーを指定します。サブジェクトは、次のように構成できます。
アプリケーション・ロール: ポリシーは、選択されたアプリケーション・ロールのすべてのメンバーに強制適用されます。
外部ロール: ポリシーは、選択された外部ロールのすべてのメンバーに強制適用されます。
ユーザー: ポリシーは、選択されているすべてのユーザーに強制適用されます。
サブジェクトを選択する手順:
+追加をクリックして「ロールの追加」ページを表示します。デフォルトで、「アプリケーション・ロール」検索演算子が選択され、アプリケーションに構成されているアプリケーション・ロールが「サブジェクト」表にリストされます。アプリケーション・ロールの構成の詳細は、「MSASアプリケーションでのロールの管理」を参照してください。
サブジェクト・リストにアプリケーション・ロールを追加するには、表でロールを選択し、「選択項目の追加」をクリックします。
サブジェクト・リストに外部ロールを追加するには、検索の「名前」フィールドにロール名のすべてまたは一部を入力して、メニューから「外部ロール」を選択し、「検索」をクリックします。空の文字列は、アプリケーションのすべての外部ロールをフェッチします。必要に応じて、「追加アイテムのロード」をクリックして、追加のロールを表示します。追加する外部ロールを表から選択して、「選択項目の追加」をクリックします。
サブジェクト・リストにユーザーを追加するには、検索の「名前」フィールドにユーザー名のすべてまたは一部を入力して、メニューから「ユーザー」を選択し、「検索」をクリックします。空の文字列は、アプリケーションのすべてのユーザーをフェッチします。必要に応じて、「追加アイテムのロード」をクリックして、追加のユーザーを表示します。追加するユーザーを表から選択して、「選択項目の追加」をクリックします。
追加するユーザーを表から選択して、「選択項目の追加」をクリックします。
複数のサブジェクトが指定された場合、ポリシーがどのように強制適用されるかを選択します。
いずれか: サブジェクト・ルールの少なくとも1つが適合する場合に、ポリシーが強制適用されます。
すべて: サブジェクト・ルールのすべてが適合する場合に、ポリシーが強制適用されます。
図5-1には、仮想URLが、管理者ロールのすべてのメンバーにアクセスを許可するように構成されたアタッチ済認可ポリシーとともに表示されています。
「適用」をクリックして、認可ポリシー・アタッチメントと構成を保存します。認可ポリシーは、レスポンス時エンドポイントに自動的にアタッチされます。このポリシーはレスポンス動作をサポートしないため、アタッチメントは無視されます。
|
注意: oracle/binding_oes_authorization_policyがアタッチされたプロキシURLは編集できません。そのかわりに、URLを削除し、任意の変更を加えた新しいプロキシURLを追加してください。 |
次の表に、ポリシー強制エンドポイントのタイプに基づいてモバイル・セキュリティ・アクセス・サーバーでサポートされているポリシーとアサーションを要約します。
ポリシーとアサーションの詳細は、次を参照してください。
Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、事前定義ポリシーに関する項
Oracle Mobile Security Access Serverのポリシーおよびアサーション・テンプレート・リファレンスの、事前定義アサーション・テンプレートに関する項
表5-1 サポートされているポリシーとアサーション
| ポリシー強制ポイント | サポートされているポリシー | サポートされているアサーション |
|---|---|---|
|
リクエスト時/レスポンス時 |
|
|
|
起動/起動プロキシ |
|
|
|
内部使用のみ |
次のポリシーは、そのインスタンスを保護するために、MSASによって内部的に使用されます。 警告 :ポリシー強制エンドポイントにこれらのポリシーのいずれかをアタッチすると、エンドポイントは保護されなくなります。ポリシー・アタッチメントは設計時に検証しますが、エラーは実行時に受信します。
|
次のアサーションは、そのインスタンスを保護するために、MSASによって内部的に使用されます。 警告 :ポリシー強制エンドポイントにこれらのアサーションのいずれかをアタッチすると、エンドポイントは保護されなくなります。ポリシー・アタッチメントは設計時に検証しますが、エラーは実行時に受信します。
|
次の表に、ポリシー強制エンドポイントのタイプに基づいてMSASによってサポートされていないポリシーとアサーションを要約します。
|
警告: 表5-2に定義されたポリシーとアサーションのいずれかをポリシー強制エンドポイントにアタッチすると、エンドポイントは保護されなくなります。ポリシー・アタッチメントは設計時に検証しますが、エラーは実行時に受信します。 |
表5-2 サポートされていないポリシーとアサーション
| ポリシー強制ポイント | サポートされないポリシー | サポートされないアサーション |
|---|---|---|
|
リクエスト時/レスポンス時 |
次のポリシーは、将来の使用のために予約されています。
|
次のアサーションは、将来の使用のために予約されています。
|
|
起動/起動プロキシ |
次のポリシーは、将来の使用のために予約されています。
|
次のアサーションは、将来の使用のために予約されています。
|
