| Oracle® Fusion Middleware Oracle Mobile Security Suiteの管理 11gリリース2 (11.1.2.3) for All Platforms E61946-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Mobile Security Suiteの管理 11gリリース2 (11.1.2.3) for All Platforms E61946-02 |
|
前 |
次 |
この章では、高度な管理トピックおよびモバイル・セキュリティ・マネージャ構成設定について説明します。内容は次のとおりです。
モバイル・セキュリティ・マネージャでは表11-1のスケジュール済ジョブを実行し、サーバーおよびモバイル・クライアントを最新に保ちます。スケジュール済ジョブは構成できません。
表11-1 モバイル・セキュリティ・マネージャのスケジュール済ジョブ
| ジョブ名 | 説明 | 実行頻度 |
|---|---|---|
|
後処理タスク・トリガー |
後処理タスクをキューから実行します。 |
5分ごと |
|
アイデンティティ変更ログ同期トリガー |
バックエンドLDAPディレクトリ変更ログを同期します。 |
5分ごと |
|
ユーザー・グループ・メンバーシップ同期トリガー |
登録済のすべてのエンドポイントに対してアイデンティティ・ユーザーおよびグループ・メンバーシップ・チェックを実行します。 |
4時間ごと |
|
デバイス同期トリガー |
デバイス同期トリガー・ジョブでは次のタスクを実行します。
|
毎日午後10時 |
|
準拠チェック・トリガー |
ポリシーに準拠しているかどうかすべての登録済デバイスを評価します。 |
毎日午後11時 |
準拠チェック・トリガー・ジョブまたはデバイス同期トリガー・ジョブが実行されると、モバイル・セキュリティ・マネージャはポリシーの競合を解消し、モビリティ・プログラムに登録されているユーザーごとに有効なポリシーを計算します。
この項には次のトピックが含まれます:
「モバイル・セキュリティ・マネージャ設定」ページは12のタブで編成されており、クライアントおよびサーバー設定、ユーザー通知設定、サード・パーティ・システム(Microsoft Exchange、Apple Push Notification Service、Google Cloud Messagingなど)との相互作用に影響する設定などのオプションを構成できます。
「モバイル・セキュリティ・マネージャ設定」ページは、Oracle Access Managementコンソールの「設定」セクションにあります。
|
注意: 「モバイル・セキュリティ・マネージャ設定」ページのフィールド・レベルの説明を参照するには、オンライン・ヘルプを使用するか、『Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のモバイル・セキュリティ・マネージャ設定のヘルプに関する項を参照してください。 |
次の手順で、Oracle Access Managementコンソールの「モバイル・セキュリティ設定」コンソール・ページを開きます。このページを表示するには、システム管理者権限が必要です。
ブラウザ・ウィンドウで、適切なプロトコル(HTTPまたはHTTPS)を使用してOracle Access Managementコンソールを開きます。次に例を示します。
https://hostname:port/access
詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOracle Access Managementコンソールの使用に関する項を参照してください。
システム管理者ユーザー名およびパスワードでログインします。
メインのOracle Access Managementの「起動パッド」ページをクリックし、「構成」をクリックします。
構成起動パッドが開きます。
「設定」で「表示」をクリックし、メニューから「モバイル・セキュリティ・マネージャ設定」を選択します。
「モバイル・セキュリティ設定」ページが開きます。
「モバイル・セキュリティ設定」ページには次のタブがあり、これらをクリックして開くことができます。
クライアント設定 - セキュア・ワークスペースに影響するオプションと構成設定を変更する場合にクリックします。
サーバー設定 - モバイル・セキュリティ・マネージャがサーバー・レベルでどのように機能するかを制御するプロパティを構成する場合にクリックします
アイデンティティ・ストア設定 - モバイル・セキュリティ・マネージャがディレクトリ・サーバーとどのように相互作用するかを制御するプロパティを構成する場合にクリックします。
CA設定(CA: 認証局) - PKI証明書プロファイルおよびCA接続を作成する場合にクリックします。
ユーザー通知設定 - メール・サーバー設定を入力する場合にクリックします。(モバイル・セキュリティ・マネージャではユーザー通知の送信に電子メールを使用します。)
Exchange Server設定 - 組織がMicrosoft Exchangeを使用している場合にメール・サーバー設定を構成する場合にクリックします。
デバイス通知設定 - モバイル・セキュリティ・マネージャがユーザーに送信する通知を構成する場合にクリックします。
APNS設定 - Apple Push Notification Serviceとのセキュアな通信に使用する必要があるAPNS証明書を管理し、アップロードする場合にクリックします。
GCM設定 - Google Cloud Messagingサービスとの通信に必要な値を構成する場合にクリックします。
通知テンプレート - システムでユーザーへの通知の提供に使用する招待テンプレートを管理する場合にクリックします。
MDMエージェント設定 - AndroidおよびiOSモバイル・デバイス管理(MDM)設定を編集する場合にクリックします。
ブラックリストに登録されているアプリケーション - デバイスで禁止されるアプリケーションを管理する場合にクリックします。
「クライアント設定」フォーム・フィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のクライアント設定に関する項を参照してください。
クライアント設定では、OMSSデプロイメントでのセキュア・ワークスペース動作のいくつかの側面を構成できます。
この項には次のトピックが含まれます:
「サーバー設定」フォーム・フィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のサーバー設定に関する項を参照してください。
「プロキシ設定」フォーム・フィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のプロキシ設定に関する項を参照してください。
「ファイル・マネージャ設定」フォーム・フィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のファイル・マネージャ設定に関する項を参照してください。
次のモバイル・ファイル・マネージャ認証設定を構成できます。
ファイル・マネージャ・サーバーがHTTP基本認証を受け入れる必要があるかどうか。
サーバーが認証の提供を拡張せずに未認証リクエストを拒否する必要があるかどうか。「HTTP基本」が有効で、「認証チャレンジ」オプションが選択されている場合は、ユーザーはユーザー名とパスワードの入力を要求されます。「認証チャレンジ」オプションが選択されていない場合は、ユーザーはユーザー名とパスワードを要求されず、サーバーは許可されていないリクエストを拒否します。
非SSL接続の場合にサーバーがHTTP基本認証を受け入れる必要があるかどうか。
サーバーがKerberosまたはNTLM認証をクライアントに提供する必要があるかどうか。
|
注意: 次のいずれかのWindowsバージョンのWindowsファイル共有が、システム固有のホスト名ではなくDNS別名で参照されている場合は、モバイル・ファイル・マネージャは接続に失敗します。
問題を修正するには、固有のホスト名を使用してファイル共有にアクセスするか、次の手順を完了してファイル共有サーバーのレジストリを変更します。
|
「アイデンティティ・ストア設定」フォーム・フィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のアイデンティティ・ストア設定に関する項を参照してください。
「アイデンティティ・ストア設定」構成ページを使用して次のことを行います。
モバイル・セキュリティ・マネージャがスケジュールに基づいてディレクトリ・サーバーからLDAPディレクトリ・レコードをインポートするために使用する構成値を編集します。
システム管理者およびヘルプ・デスク管理者LDAPグループ・マッピングを編集します。
ユーザー・アカウントをディレクトリ・サーバーで削除または無効化する際にシステムで実行する必要のあるデフォルトのアクション(「ロック」、「ワイプ」、「何もしない」)を選択します。
その他のLDAPユーザー属性をモバイル・セキュリティ・マネージャに追加して、モバイル・セキュリティ・ファイル・マネージャでユーザーのホーム・ドライブを簡単にマッピングできるようにします。
「CA設定」フォーム・フィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のCA設定に関する項を参照してください。
|
注意: Microsoft CAサーバーを使用するCAプロバイダを選択します。Microsoft CAサーバーのみサポートされます。 |
CA (認証局)の設定タブを使用して、PKI証明書プロファイルおよびCA接続を作成します。これらの設定は、デバイス登録に使用されます。正常に処理するには、NDES認証局、およびMSMサーバーとMSASサーバーによって発行された証明書を信頼する必要があります。次の手順に従います。
第12.3項「NDESおよびActive Directory認証局の構成」の説明に従って、NDESサーバーを構成してNDES SCEPサーバーの証明書プロファイルを作成します。
モバイル・セキュリティ・マネージャ・サーバーは、SCEPサーバーによって発行された証明書を検証します。そのため、Active Directory (AD)証明書マネージャ・ルートCAおよび発行元CA (ルートCAが異なる場合)をモバイル・セキュリティ・マネージャ・サーバーのwlstrust.jksファイルにインポートする必要があります。次の手順で、証明書をMSMサーバーのトラスト・ストアにインポートします。
AD証明書マネージャ・ルートCAおよび発行元CAをエクスポートし、これらをモバイル・セキュリティ・マネージャ・サーバーのトラスト・ストアにインポートします。モバイル・セキュリティ・マネージャ・サーバーのトラスト・ストア・ファイルは、次の場所にあります。
<DOMAIN_HOME>/config/fmwconfig/wlstrust.jks
次のkeytoolコマンドを実行して、信頼できる証明書をモバイル・セキュリティ・マネージャのトラスト・ストアにインポートします。
keytool -importcert -keystore wlstrust.jks -file<rootca_filename>-alias ndesrootca -storepass<password>keytool -importcert -keystore wlstrust.jks -file<issuerca_filename>-alias ndesissuerca -storepass <password>
モバイル・セキュリティ・マネージャ・サーバーを再起動します。
前述のActive Directory (AD) NDESサーバーの新しいCA証明書プロファイルを作成できます。
証明書失効の詳細は、第12.4項「Active Directory認証局での証明書自動失効の構成」を参照してください。
次のcURLコマンドを使用して、内部認証局によって発行された証明書の有効期間を構成します。
次のコマンドを入力し、MSMサーバー設定を取得してこれらをJSON形式でファイルに保存します。
curl -v -H "Content-Type:application/json" -u <adminusername>:<adminpass> --request -k GET https://<msmhost>:<msmport>/msm-mgmt/systemSettings/server > serversetting.json
serversetting.jsonファイルを変更し、scepCACertValidityパラメータを新しい値で更新します。
次のコマンドを入力し、JSON入力ファイルで指定したようにMSMサーバー設定を変更します。
curl -v -H "Content-Type:application/json" -u <adminusername>:<adminpass> --request -k PUT https://<msmhost>:<msmport>/msm-mgmt/systemSettings/server -d serversetting.json
「ユーザー通知設定」フォーム・フィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のユーザー通知設定に関する項を参照してください。
このタブを使用してメール・サーバー設定を入力します。モバイル・セキュリティ・マネージャではユーザー通知の送信に電子メールを使用します。
|
注意: SSLを使用してSMTPサーバーに接続する場合は、証明書をWebLogicキーストアにインポートします。 |
「Exchange Server設定」フォーム・フィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のExchange Server設定に関する項を参照してください。
組織がMicrosoft Exchangeを使用している場合は、このタブを使用してメール・サーバー設定を構成します。
「デバイス通知設定」フォーム・フィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のデバイス通知設定に関する項を参照してください。
このタブを使用して、モバイル・セキュリティ・マネージャがユーザーに送信する通知を構成します。
APNS証明書設定フォームのフィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のApple Push Notification Service (APNS)設定に関する項を参照してください。
モバイル・セキュリティ・マネージャでは、iOSデバイスを管理するためにApple MDM証明書が必要です。この証明書によって、Apple Push Notification Service (APNS)を使用してセキュアな通信を行うことができます。(管理対象外iOSデバイスのみをサポートしている場合は、モバイル・セキュリティ・マネージャではMDM証明書は必要ありません。)
開始する前に - 次の手順には、Mac OS Xを実行しているコンピュータが必要です。
証明書署名リクエスト(CSR)を作成して、AppleからAPNS証明書を取得します。
Finderを開き、「Applications」→「Utilities」→「Keychain Access」の順に開いて、Keychain Accessアプリケーションを開きます。
メニューから、「Keychain Access」→「Certificate Assistant」→「Request a Certificate From a Certificate Authority...」の順に選択します。
「Certificate Assistant」が開きます。
電子メール・アドレスおよび共通名を入力してフォームを完成し、「Saved to Disk」を選択します。
「Continue」をクリックします。
「Save-as」ダイアログが開きます。
CSRを便利な場所に保存します。
署名のないCSRをOracleに送信し、署名付きCSRを取得します。署名のないCSR (前述で生成)をOracleサポートに送信する必要があります。
OracleサポートはCSRに署名してユーザーに送信します。
署名付きCSRをApple Push Certificates Portalにアップロードします。
Apple IDとパスワードを使用して、次の場所にあるApple Push Certificates Portalにサインインします。
https://identity.apple.com/pushcert/
Apple IDは、Apple Developer / Enterprise Accountに関連付ける必要はありません。これは、Apple IDとなります。
EULAに同意し、次に進みます。
「Create a Certificate」をクリックし、「Browse」をクリックします。
Oracleが署名したCSRを選択して「Upload」をクリックします。
Oracleのモバイル・デバイス管理用の新しい証明書が開きます。
「Download」をクリックして、Appleが署名した証明書をダウンロードします。
APNS証明書をエクスポートします。
ダウンロードしたファイルをダブルクリックし、Keychain Accessアプリケーションを使用してこれをアップロードします。
左の矢印を展開し、APSP:<UUID> (Apple Production Services)が含まれていること、および関連付けられた秘密鍵があることを確認します。UUIDは、ランダムに生成される数字です。
証明書を右クリックし、「Export」をクリックします。
証明書は.p12形式で保存します。
エクスポートされた.p12ファイルを保護するためにパスワードを入力します。パスワードは次の手順で必要になるため記録しておきます。
APNS証明書をOMSSにアップロードします。
「モバイル・セキュリティ設定」ページを開きます。詳細は、第11.2.2項「「モバイル・セキュリティ設定」ページを開く方法」を参照してください。
メニュー・バーで「APNS設定」をクリックします。(「APNS設定」が表示されていない場合は、矢印ボタンを使用してメニュー・バーを右にスクロールします。または、
をクリックして、その他のメニュー項目を表示します。)
「追加」をクリックして設定表に新規行を作成します。
「証明書名」にMDMと入力し、「証明書パスワード」にエクスポートされた.p12ファイルの保護に使用したパスワードを入力します。
「ファイルの選択」をクリックして.p12ファイルを選択し、「適用」をクリックしてファイルをアップロードし、APNS設定をモバイル・セキュリティ・マネージャに保存します。
「GCM設定」フォーム・フィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のGoogle Cloud Messaging (GCM)設定に関する項を参照してください。
モバイル・セキュリティ・マネージャでは、GCM (Google Cloud Messaging)に接続してAndroidデバイスにプッシュ通知を送信するためにGCM資格証明が必要です。次の手順に従い、GCMキーを作成します。
Google APIプロジェクトを作成し、GCMサービスを有効にします。
Google資格証明でGoogle Developers Consoleにサインインします。
APIプロジェクトがある場合は、それをクリックしてプロジェクト・ダッシュボードを開きます。
APIプロジェクトがまだない場合は、「Create Project」をクリックします。プロジェクト名を指定して「Create」をクリックします。
ページが開き、プロジェクト番号が表示されます(例: Project Number: 670330094152)。
プロジェクト番号をコピーします。これは、APIキーをモバイル・セキュリティ・マネージャにアップロードする際に必要になります。
サイドバーから「APIs & auth」→「APIs」の順に選択し、「Mobile APIs」で「Cloud Messaging for Android」をクリックします。
「Enable API」をクリックします。
Google Cloud Messagingが有効になります。
APIキーを取得します。
サイドバーから「APIs & auth」→「Credentials」の順に選択します。
「Public API access」セクションで、「Create new Key」をクリックし、「Create a new key」ダイアログの「Server key」をクリックします。
「Create a server key and configure allowed IPs」ダイアログ・ボックスが開きます。
サーバーのIPアドレスを入力して「Create」をクリックします。
APIキーが作成されます。
APIキーをコピーします。
APIキーをモバイル・セキュリティ・マネージャにアップロードします。
「モバイル・セキュリティ設定」ページを開きます。詳細は、第11.2.2項「「モバイル・セキュリティ設定」ページを開く方法」を参照してください。
メニュー・バーで「GCM設定」をクリックします。(「GCM設定」が表示されていない場合は、矢印ボタンを使用してメニュー・バーを右にスクロールします。または、をクリックして、その他のメニュー項目を表示します。)
「追加」をクリックして設定表に新規行を作成します。
「アプリケーションID」にMDMと入力します。
「送信者ID」に手順1のプロジェクト番号を入力します。
「APIキー」に手順2のAPIキーを貼り付けます。
「適用」をクリックし、GCM設定をモバイル・セキュリティ・マネージャに保存します。
値の変更後は、「適用」をクリックして変更を保存するか、「元に戻す」をクリックして変更を破棄します。
「リフレッシュ」をクリックして、バックエンド・サーバーで更新された変更を表示します。
「通知テンプレート」フォーム・フィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』の通知テンプレートに関する項を参照してください。
このタブを使用して、ユーザーへの通知に使用される招待テンプレートを管理します。
テンプレートのインスタンスは、異なる言語で複数作成できます。最初にテンプレートを選択し、「新規言語の追加」をクリックします。メニューから言語を選択します。選択した言語名で新しいタブが表示されます。必要に応じてエディタを使用し、メッセージ内容の書式を設定します。
テンプレートを削除することもできます。特定のロケールのみを削除したり、テンプレートとそのロケールのすべてを削除することができます。
通知テンプレートの作成または編集の詳細は、第3.2.1.1項「通知テンプレートの作成および編集方法」を参照してください。
「MDMエージェント設定」フォーム・フィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のMDMエージェント設定に関する項を参照してください。
このタブを使用して、iOSモバイル・デバイス管理(MDM)設定を編集します。Androidクライアントは、「MDMエージェント設定」タブに入力した設定を受け入れません。Androidの場合に、セキュア・ワークスペース・アプリケーションでMDMエージェント値を構成するには、第10.2.6項「MDMエージェント設定の変更」を参照してください。
「ブラックリストに登録されているアプリケーション」フォーム・フィールドの詳細は、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のブラックリストに登録されているアプリケーションに関する項を参照してください。
このタブを使用して、デバイスで禁止されるアプリケーションを管理します。管理対象デバイスでのみ、アプリケーションをブラックリストに登録できます。モバイル・セキュリティ・ポリシーは、ブラックリストに登録されているアプリケーションを登録中にチェックし、ブラックリストに登録されているアプリケーションがデバイスで検出された場合のみアクションを実行します。デバイス登録後、モバイル・セキュリティ・ポリシーは、ブラックリストに登録されているアプリケーションがないかチェックします。検出された場合、ポリシーに定義されているとおりの適切なアクションを実行します。
