17 厳密認証の概要
厳密認証ではSecure Sockets Layer (SSL)などのツールがサポートされており、これらのツールを使用してデータベースにログインするユーザーの識別情報を検証できます。
- 厳密認証とは
認証は、データベースにログインしようとしているユーザーの識別情報を証明するために使用されます。 - 集中化された認証とシングル・サインオン
シングル・サインオンでは、ユーザーは1つのパスワードで複数のアカウントとアプリケーションにアクセスできます。 - 集中化されたネットワーク認証の動作
集中化されたネットワーク認証システムは、Oracleサーバー、認証サーバー、およびOracleサーバーに接続するユーザーの間で機能します。 - サポートされている厳密認証方式
Oracle Databaseは、業界で標準的な認証方式をサポートしています。 - Oracle Databaseのネイティブ・ネットワークの暗号化/厳密認証アーキテクチャ
Oracle Databaseのネイティブ・ネットワーク暗号化および厳密認証アーキテクチャは、Oracleデータベース・サーバーまたはクライアントのインストールを補完します。 - 厳密認証のシステム要件
Kerberos、RADIUSおよびSecure Sockets Layer (SSL)には、厳密認証のための一連のシステム要件があります。 - Oracle Databaseのネイティブ・ネットワーク暗号化および厳密認証の制限事項
Oracleアプリケーションは、Oracle Databaseのネイティブ・ネットワークの暗号化および厳密認証をサポートしています。
親トピック: 厳密認証の管理
17.1 厳密認証とは
認証は、データベースにログインしようとしているユーザーの識別情報を証明するために使用されます。
分散環境では、ユーザーIDを認証することが必須であり、これを行わないとネットワーク・セキュリティの信頼性はほぼありません。パスワードは、認証で最も一般的な手段です。Oracle Databaseでは、Oracle認証アダプタを使用して厳密認証を有効にし、Oracle認証アダプタは、デジタル証明書を使用したSSLを含む様々なサード・パーティ認証サービスをサポートします。
図17-1は、サード・パーティの認証サーバーを使用するように構成されたOracle Databaseインスタンスでのユーザー認証を示しています。ネットワークのすべてのメンバー(クライアントからサーバー、サーバーからサーバー、ユーザーからクライアントとサーバーの両方)を1箇所で集中的に認証する方法は、メンバーのIDを偽造するネットワーク・ノードの脅威に対処する効果的な方法の1つです。
親トピック: 厳密認証の概要
17.2 集中化された認証とシングル・サインオン
シングル・サインオンでは、ユーザーは1つのパスワードで複数のアカウントとアプリケーションにアクセスできます。
集中化された認証では、シングル・サインオン(SSO)の利点もユーザーに提供されます。
シングル・サイン・オンでは、ユーザーがログインする必要があるのは1回のみであり、ユーザー名とパスワードを再度入力しなくても、他の任意のサービスに自動的に接続できます。シングル・サインオンを使用すると、ユーザーは複数のパスワードを記憶したり管理する必要がなくなるため、複数のサービスへのログインに費やす時間を削減できます。
親トピック: 厳密認証の概要
17.3 集中化されたネットワーク認証の動作
集中化されたネットワーク認証システムは、Oracleサーバー、認証サーバー、およびOracleサーバーに接続するユーザーの間で機能します。
図17-2は、集中化されたネットワーク認証サービスの通常の動作を示しています。
次のステップは、集中化されたネットワーク認証プロセスがどのように動作するかを記述します。
-
ユーザー(クライアント)が認証サービスを要求し、トークンまたはパスワードなどの識別情報を入力します。
-
認証サーバーによりユーザーの識別情報が検証され、チケットまたは資格証明がクライアントに渡されます。チケットまたは資格証明には期限がある場合があります。
-
クライアントは、これらの資格証明をサービス・リクエスト(データベースへの接続など)と一緒にOracleサーバーに渡します。
-
サーバーは資格証明を認証サーバーに渡し、認証を行います。
-
認証サーバーは資格証明をチェックし、Oracleサーバーに通知します。
-
認証サーバーが資格証明を受け入れた場合、Oracleサーバーはユーザーを認証します。認証サーバーが資格証明を拒否した場合、認証は失敗し、サービス・リクエストは拒否されます。
親トピック: 厳密認証の概要
17.4 サポートされている厳密認証方式
Oracle Databaseは、業界で標準的な次の認証方式をサポートしています。
- Kerberosについて
Oracle DatabaseはKerberosをサポートしており、Oracleユーザーにシングル・サインオンおよび集中化された認証の利点を提供します。 - Remote Authentication Dial-In User Service (RADIUS)について
RADIUSは、最も広く知られている、リモートでの認証とアクセスを可能にするクライアント/サーバー・セキュリティ・プロトコルです。 - Secure Sockets Layerについて
Secure Sockets Layer(SSL)は、ネットワーク接続を保護するための業界標準プロトコルです。
親トピック: 厳密認証の概要
17.4.1 Kerberosについて
Oracle DatabaseはKerberosをサポートしており、Oracleユーザーにシングル・サインオンおよび集中化された認証の利点を提供します。
Kerberosは、共有秘密を使用するサード・パーティの認証システムです。サード・パーティがセキュアであることを保障し、シングル・サインオン機能、集中化されたパスワード・ストレージ、データベース・リンク認証、拡張されたPCセキュリティを提供します。Kerberosは、Kerberos認証サーバーを使用して認証を行います。このアダプタの構成および使用の詳細は、「Kerberos認証の構成」を参照してください。
ノート:
Kerberos用のOracle認証では、データベース・リンク認証(プロキシ認証とも呼ばれる)が提供されます。Kerberosは、エンタープライズ・ユーザー・セキュリティでサポートされている認証方式でもあります。
親トピック: サポートされている厳密認証方式
17.4.2 Remote Authentication Dial-In User Service (RADIUS)について
RADIUSは、最も広く知られている、リモートでの認証とアクセスを可能にするクライアント/サーバー・セキュリティ・プロトコルです。
Oracle Databaseは、この標準をクライアント/サーバー・ネットワーク環境で使用して、RADIUSプロトコルをサポートするあらゆる認証方式の使用を可能にします。RADIUSは、トークン・カードやスマートカードなど、いろいろな認証メカニズムで使用できます。
-
スマート・カード。RADIUS準拠のスマートカードは、クレジット・カードに似たハードウェア・デバイスであり、メモリーとプロセッサを備えています。クライアント・ワークステーションにあるスマートカード・リーダーで読み取られます。
-
トークン・カード。トークン・カード(Secure IDまたはRADIUSに準拠)は、いくつかの異なるメカニズムによって使いやすくできます。一部のトークン・カードは、認証サービスと同期された1回かぎりのパスワードを動的に表示します。サーバーは、認証サービスにアクセスすることにより、トークン・カードによって提供されるパスワードを任意の時点で検証できます。トークン・カードにはキーパッドを持ち、チャレンジ・レスポンス・ベースで動作するものがあります。この場合、サーバーはユーザーがトークン・カードに入力するチャレンジ(番号)を提供します。トークン・カードはレスポンス(チャレンジから暗号的に導出される別の番号)を提供し、ユーザーはそれを入力してサーバーに送信します。
SecurIDトークンはRADIUSアダプタを介して使用できます。
関連トピック
親トピック: サポートされている厳密認証方式
17.4.3 Secure Sockets Layerについて
Secure Sockets Layer(SSL)は、ネットワーク接続を保護するための業界標準プロトコルです。
SSLは、認証、データの暗号化およびデータの整合性を提供します。
SSLプロトコルは、公開キー・インフラストラクチャ(PKI)の基盤です。認証のために、SSLはX.509v3標準に準拠したデジタル証明書と公開キー/秘密キー・ペアを使用します。
Oracle DatabaseのSSLは、任意のクライアントと任意のサーバー間の通信を保護するために使用できます。SSLは、サーバーのみ、クライアントのみ、またはクライアントとサーバーの両方に認証を提供するように構成できます。また、Oracle Databaseでサポートされている他の認証方式(データベース・ユーザー名とパスワード、RADIUSおよびKerberos)と組み合せて、SSL機能を構成することもできます。
PKI実装をサポートするために、Oracle DatabaseにはSSL以外に次の機能があります。
-
Oracleウォレット(PKI資格証明を格納できる)
-
Oracle Wallet Manager (Oracleウォレットを管理するために使用できる)
-
証明書失効リスト(CRL)による証明書の検証
-
ハードウェア・セキュリティ・モジュールのサポート
親トピック: サポートされている厳密認証方式
17.5 Oracle Databaseのネイティブ・ネットワークの暗号化/厳密認証アーキテクチャ
Oracle Databaseのネイティブ・ネットワーク暗号化および厳密認証アーキテクチャは、Oracleデータベース・サーバーまたはクライアントのインストールを補完します。
図17-3は、Oracleネットワーク環境におけるこのアーキテクチャを示しています。
Oracle Databaseでは、既存のOracleプロトコル・アダプタと同様のアダプタによって認証がサポートされます。図17-4に示すように、認証アダプタによってOracle Netインタフェースが統合され、既存のアプリケーションを変更しなくてもそれらのアプリケーションで新しい認証システムを透過的に利用できるようになります。
関連項目:
Oracleネットワーク環境でのスタック通信の詳細は『Oracle Database Net Services管理者ガイド』を参照してください。親トピック: 厳密認証の概要
17.6 厳密認証のシステム要件
Kerberos、RADIUSおよびSecure Sockets Layer (SSL)には、厳密認証のための一連のシステム要件があります。
表17-1に、厳密認証のためのSSLシステム要件を示します。
表17-1 認証方式とシステム要件
認証方式 | システム要件 |
---|---|
Kerberos |
|
RADIUS |
|
SSL |
|
親トピック: 厳密認証の概要
17.7 Oracle Databaseのネイティブ・ネットワーク暗号化および厳密認証の制限事項
Oracleアプリケーションは、Oracle Databaseのネイティブ・ネットワーク暗号化および厳密認証をサポートしています。
ただし、Oracle Databaseのネイティブ・ネットワーク暗号化および厳密認証ではデータを安全に送信するためにOracle Net Servicesが必要であるため、Microsoft Windowsで実行されるOracleの財務管理アプリケーション、人事管理アプリケーションおよび生産管理アプリケーションの一部では、これらの外部認証機能はサポートされません。
Oracle Display Manager (ODM)ではOracle Net Servicesが使用されないため、これらの製品のODMを使用する部分では、Oracle Databaseのネイティブ・ネットワーク暗号化および厳密認証は利用されません。
親トピック: 厳密認証の概要