Oracle® Fusion Middleware Oracle Mobile Security Suiteの管理 11gリリース2 (11.1.2.3) for All Platforms E61946-02 |
|
前 |
次 |
この章では、デバイスおよびワークスペースを登録するプロセスについて説明します。内容は次のとおりです。
ユーザーは、Oracle Mobile Security Suiteにモバイル・デバイスとワークスペースを登録して、企業アプリケーションおよびリソース(共有フォルダなど)にアクセスします。デバイス/ワークスペースを登録するユーザーの適格性は、モバイル・セキュリティ・ポリシーによって決定されます。各モバイル・セキュリティ・ポリシーには1つ以上のロールが割り当てられ、これらのロールに(直接的または間接的に)属するユーザーは、Oracle Mobile Security Suiteにデバイス/ワークスペースを登録できます。
デバイスを登録すると、デバイスを登録したユーザーに適用されていたポリシーが、デバイスおよびワークスペース(またはそのいずれか)に強制されます。詳細は、第4.4項「ポリシーによるデバイスとワークスペースの管理」を参照してください。
デバイス/ワークスペースの登録は2ステップのプロセスです。
招待 - リンクと(オプションで)登録に使用するワンタイム・パスワードが含まれる招待メールがユーザーに送信されます。
登録 - ユーザーは、招待メール内の説明とリンクに従って、デバイス/ワークスペースを登録します。
注意: デバイスまたはワークスペースのいずれかを登録する前に、モバイル・デバイスが、OMSSサーバーによって使用されるSSL証明書を信頼する必要があります。SSLサーバー証明書がモバイル・デバイスにより信頼済の公的に信頼された認証局である場合には、特別なアクションは必要ありません。SSLサーバー証明書がエンタープライズ認証局により発行されているか、自己署名証明書である場合、ユーザーは、登録を開始する前にモバイル・デバイスにその認証局のルート証明書をインストールし、信頼する必要があります。システム管理者は、招待メールにインストール・リンクを埋め込むか、別のアウト・オブ・バンド・プロセスによって、認証局のルート証明書をユーザーに提供できます。 |
この項には次のトピックが含まれます:
システム管理者は、モバイル・セキュリティ・マネージャ・コンソールを使用して、登録招待テンプレートを構成できます。モバイル・セキュリティ・マネージャには、2つの登録タイプ(MAM専用登録とMDM+MAM登録)のそれぞれのデフォルト・テンプレートが同梱されています。
招待メールには、ワークスペース・アプリケーションに対して通信するサーバーおよびユーザーに表示する認証タイプを通知する、構成情報のリンクが含まれています。ユーザーは、招待メール内のこのリンクをクリックするか、ワークスペース・アプリケーションを初めて開いたときに表示される最初の画面に手動でテキストを入力することができます。
注意: 図3-1では、テンプレートにサンプル・リンクが含まれているため、実際のURLと一致するようにリンクを変更する必要があります。サンプル・リンク:
|
モバイル・セキュリティ・アクセス・サーバーは複数の構成リンクをホストするため、ユーザーに送信される招待メールに、環境に適した正しいリンクが含まれていることは管理者が確認します。
表3-1 招待で使用するJSON構成リンクの目的
JSONリンク名 | 説明 | サンプルURL |
---|---|---|
|
ワークスペースにOAuth Confidential Client認証を使用するように指示します。 |
|
|
ワークスペースにOAuth Mobile Client認証を使用するように指示します。 |
|
|
ワークスペースにKerberosパスワード認証を使用するように指示します。 |
|
|
ワークスペースに対して、時間制限付きパスコードを使用する初回登録において、Kerberos PKIベースの認証を使用するように指示します。 |
|
ユーザーに対する招待メールの送信に使用される通知テンプレートを作成または編集するには、次の手順に従います。通知テンプレートは複数言語で作成および保存できます。
「モバイル・セキュリティ設定」ページを開きます。詳細は、第11.2.2項「「モバイル・セキュリティ設定」ページを開く方法」を参照してください。
メニュー・バーの「通知テンプレート」をクリックします。(通知テンプレートが表示されない場合は、矢印ボタンを使用してメニュー・バーを右にスクロールします。)または、をクリックして、その他のメニュー項目を表示します。)
次から選択します:
新しいテンプレートを作成するには、「テンプレートの作成」をクリックします。
テンプレートを編集するには、テンプレート名をクリックして開いてから、「編集」をクリックします。
ユーザーのデバイスがiOSまたはAndroidデバイスかどうか、さらに、ユーザーがMAM専用プログラムまたはMDM+MAMプログラムで登録しているかどうかに応じて、招待には別個のインストーラ・リンクが必要となるので注意してください。プレースホルダ値を使用して通知テンプレートでこれらと他の変数を構成します。テンプレートに含めることができるすべてのプレースホルダ値の説明は、「ヘルプ」をクリックするか、『Oracle Fusion Middleware Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』の通知テンプレートに関する項を参照してください。
ユーザーに送信される招待テンプレートはポリシーに基づきます。次の手順に従って、招待テンプレートをポリシーにアタッチします。
モバイル・セキュリティ・マネージャ・コンソールの「モバイル・セキュリティ・ポリシー」ページを開きます。詳細は、第2.2.2項「モバイル・セキュリティ・マネージャ・コンソールのページを開く」を参照してください。
招待テンプレートをアタッチするポリシーを検索し、そのポリシー・レコードをクリックしてポリシー詳細セクションを展開します。
「登録」タブをクリックします。
「登録データ」セクションで、「招待テンプレート」フィールドを見つけ、ドロップダウン・メニューからポリシーにアタッチする招待テンプレートを選択します。
「適用」をクリックして、変更を保存します。
資格のあるユーザーはモビリティ・プログラムへの招待を自分自身に送信できます。または、管理者がユーザーに招待を送信できます。
管理者が開始した登録
システム管理とヘルプ・デスク管理者は、デバイスを登録するように資格のあるユーザーを招待できます。ユーザーにデバイスを登録する資格がある場合、「モバイル・ユーザー」ページにユーザー・レコードとともに「招待」ボタンが表示されます。「招待」ボタンをクリックすると、ポップアップ・ウィンドウが開き、送信前に電子メール通知をプレビューできます。
注意: ユーザーのLDAPレコードに電子メール・アドレスが含まれていないか、ユーザー・アカウントが無効な場合、「招待」ボタンは無効になっています。 |
セルフ・サービス・コンソールを使用するデバイス登録
資格のあるユーザーはモビリティ・プログラムへの招待を自分自身に送信できます。ユーザーはOracle Mobile Security Suiteの「マイ・デバイス」セルフ・サービス・コンソール(Oracle Access Managementコンソールを使用している場合)か、セルフ・サービス・インタフェース(Oracle Identity Managerコンソールを使用している場合)を開きます。「デバイスの登録」をクリックして送信すると、登録用電子メールがユーザーの電子メール・アドレスに送信されます。前述のとおり、電子メール通知には、ユーザーが登録するモバイル・デバイス上で実行する必要のある手順が含まれています。
システム管理者は、Oracle Mobile Security Suiteで登録するようロール割当て別にユーザーを招待できます。
注意: システム管理者は、関連するモバイル・セキュリティ・ポリシーを持つロールのユーザーにのみ、登録の招待を送信できます。 |
モバイル・セキュリティ・マネージャ・コンソールで「モバイル・ロール」ページを開きます。詳細は、第2.2.2項「モバイル・セキュリティ・マネージャ・コンソールのページを開く」を参照してください。
招待を送信するロールを検索します。方法の詳細は、第5.4.1項「モバイル・セキュリティ・マネージャでロールを検索する方法」を参照してください。
ロール・レコード行の右端のをクリックします。
ポップアップ・メニューが開きます。
「招待」を選択すると、Oracle Mobile Security Suiteにデバイス/ワークスペースを登録するよう、このロール割当てのユーザーを招待します。
ワークスペースの登録は3ステップのプロセスです。
ユーザーは、招待メール内のリンクを使用してワークスペース・アプリケーションをダウンロードします。
ユーザーは、招待メールで提供された構成URL (構成JSON URL)を使用してワークスペース・アプリケーションを起動します。
ユーザーは、ワークスペースのログイン・ページでユーザー資格証明を提供します。
詳細は後述します。
ワークスペース・アプリケーションをダウンロードするには、ユーザーは登録するモバイル・デバイス上で招待メールを開き、ダウンロード・リンクをクリックします。その後、アプリケーションを起動して、次に示すように構成URLを入力します。
ワークスペースによって、ユーザーの資格証明を求めるプロンプトが表示されます。
認証が成功すると、ワークスペースが登録され、ワークスペースのホームページが開きます。
管理対象デバイスとしてデバイスを登録するには(MDM+MAM登録)、ユーザーは「デバイス」タブで割当て済のポリシーを有効にする必要があります。このトピックでは、iOSとAndroidについて、個別の項で説明します。これは、iOSデバイスとAndroidデバイスでは、管理対象デバイスの登録が異なるためです。
iOS管理対象デバイス登録は、iOS MDMエージェントの登録フローを起動します。MDMエージェントのインストールが完了すると、セキュア・ワークスペース・アプリケーションをインストールするように求めるプロンプトが表示されます。
ユーザーが招待メール内のMDM登録リンクをクリックすると、Safariブラウザが起動し、ログイン・ページが開きます。
ユーザーは資格証明を入力して、送信をクリックします。
認証が成功すると、iOS MDMエージェントの登録フローが起動します。デバイスはモバイル・セキュリティ・マネージャ・サーバーからのプロファイルをインストールします。これにより、サーバーによるデバイスの管理が可能になります。
ユーザーはインストールをクリックします。
ユーザーは信頼をクリックします。
ユーザーは完了をクリックします。
デバイスの登録が成功すると、セキュア・ワークスペース・アプリケーションをインストールするように求めるプロンプトが表示されます。また、モバイル・セキュリティ・マネージャ・サーバーに必要な追加の登録項目を構成するように求めるプロンプトが表示される場合もあります。たとえば、パスコードを設定するように求められる場合があります。
図3-11 セキュア・ワークスペース・アプリケーションのインストール・ダイアログ(iOSデバイスとワークスペースの登録)
ユーザーは、ワークスペース・アプリケーションを起動し、登録します。詳細は、第3.3項「ワークスペースの登録(MAM専用登録)」を参照してください。
ユーザーはセキュア・ワークスペース・アプリケーションをダウンロードします。
ユーザーはセキュア・ワークスペース・アプリケーションを起動し、招待メールで提供された構成URLを入力して構成をクリックします。
アプリケーションの構成が成功すると、ログイン・ページが開きます。
ユーザーは資格証明を入力してログインをクリックします。
認証が成功すると、デバイス管理者設定をアクティブ化するように求められます。ユーザーはアクティブ化をクリックします。
モバイル・セキュリティ・マネージャによってデバイスとワークスペースが登録され、モバイル・セキュリティ・マネージャ内で相互にリンクされます。
認証モードがPKINIT (Kerberos PKIベースの認証)の場合、登録時に時間制限付きパスワード(TLP)を要求されます。モバイル・セキュリティ・マネージャにより、時間制限付きパスワードが招待メールでユーザーに送信されます。システム管理者は${tlp_expiration_time}
プレースホルダ値を含めて招待テンプレートを構成する必要があります。詳細は、『Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』の通知テンプレートに関する項を参照してください。時間制限付きパスワード・プレースホルダ値のある招待メールのサンプルは、図3-15に表示されています。
PKINITモードでワークスペースを登録する場合、ユーザーが招待メールのリンクを使用してワークスペース・アプリケーションをダウンロードし、提供された構成URL (構成JSON URL)でワークスペース・アプリケーションを起動すると、モバイル・デバイスにPINのリセット画面が表示されます。
ここで、ユーザーは招待メールに記載されていた自分のユーザーID、TLPパスワードを入力してから、新しいPINを入力します。ワークスペースが登録されると、ユーザーは新しいPINをワークスペースのパスワードとして使用して先へ進む必要があります。