39 RSA SecurID認証とAccess Managerとの統合
この章では、SecurID認証、およびSecurID認証とAccess Manager 11.1.2を適切に統合するために必要なコンポーネント、要件、および手順について説明します。この項の内容は、次のとおりです。
39.1 Access ManagerおよびRSA SecurID認証の概要
Access Manager 11.1.2は、RSAコンポーネントと統合して、SecurID認証を提供します。
RSA SecurID認証は、ユーザーが認識しているものとユーザーが所有しているものの2つのファクタに基づいています。
-
ユーザーが認識しているもの: これは秘密の個人識別番号(PIN)であり、概念的には個人の銀行コードPINに似ています。この場合、PINは、システム生成または個人的に選択したものであり、RSA Authentication Managerに登録されます。
-
ユーザーが所有しているもの: これは、トークンと呼ばれるハンドヘルド・デバイスによって生成された現在のコードです。Oracle Access Managerでは、ハードウェアベースとソフトウェアベースの両方のすべてのRSA SecurIDトークン・フォーム・ファクタがサポートされています。
これらのトークンは、アルゴリズム的に内部クロックまたはイベントに基づいており、予測不能な値でトークンコードを生成します。ユーザーのPINとSecurIDトークンコードが組み合されて、ユーザーのパスコードになります。
Access Managerは、RSAの2つのファクタのSecurID認証セキュリティ機能を使用およびサポートし、次のものを提供することでSecurID認証との統合を可能にします。
-
SecurID認証操作に必要なHTMLフォーム
-
認証を作成およびオーケストレートするためにユーザー識別プラグインで使用できるRSA SecurIDプラグイン。
39.2 Access ManagerによってサポートされているRSA機能
Access Managerは、RSA Authentication Managerと統合し、表39-1に記載する統合機能を提供します。
表39-1 RSA機能に対するAccess Managerのサポート
RSA機能 | Access Managerのサポート |
---|---|
認証方式 |
ネイティブSecurID認証 |
New PINモード(ユーザー生成PIN) |
新規PINと確認を要求します。 トークンは、ユーザーが初めてログインしたときはNew PINモードになっている可能性があります。それ以外の場合は、Authentication Manager管理者がNew PINモードを有効化できます。New PINモードでは、新しいPIN番号は、ユーザーが一連のフォームに入力して定義するか、システムに生成させる必要があります。 オラクル社が提供するNew PINフォームおよび機能は次のとおりです。
関連項目: 「SecurID New PIN認証」。 |
Next Tokencode |
認証中にAuthentication Managerによって、ユーザーは、割当て済トークンを持っていることを証明するために彼ら自身のSecurIDトークンに表示される次のトークンコードを入力するように指示されることがあります。この操作は、Next Tokencodeモードと呼ばれ、次の状況のいずれかで起動されることがあります。 関連項目: 「SecurID Next Tokencode認証」。 |
パスコード |
|
ロード・バランシング |
RSA Authentication Managerレプリカ。 |
セカンダリ・サーバー・サポート |
はい |
SecurIDユーザー指定 |
指定されたユーザー |
管理者のSecurID保護 |
はい |
Access Managerの特徴と機能 |
すべて |
表39-2の場合は、Access ManagerはRSA機能をサポートしません。
表39-2 サポートされないRSA機能
RSA機能 | Access Managerのサポート対象外 |
---|---|
RSA Authentication Manager 7.1 SP2 |
Active Directoryフォレスト・マルチドメイン環境ではサポートされません。 |
複数のACEレルム |
RSA認証APIでは、自動レスポンス時間ロード・バランシング・アルゴリズムを使用して、認証リクエストの送信先が決定されます。そのようなリクエストは、プライマリRSA Authentication Managerまたはレプリカのいずれかに送信されます。自動アルゴリズムは、sdopts.recという手動ロード・バランシング構成ファイルを作成することでオーバーライドできます。ただし、RSA Authentication Managerを最後の手段のサーバーとして手動で重み設定しても、それとエージェントとの通信が防止されることはありません。そのため、この方法では真のフェイルオーバー・セットアップを実現できません。詳細は、ご使用のRSA Authentication Managerのドキュメントを参照してください。 |
システム生成PIN |
Access Managerでサポートされていません。 |
フェイルオーバー |
OAM SecurIDサーバーではサポートされていません。SecurID認証を実行できるのは1つのOAM SecurIDサーバーのみであるためです。 |
39.3 SecurID認証に必要なコンポーネント
統合には次のコンポーネントが必要です。
39.3.1 サポートされているバージョンとプラットフォーム
最新のサポート情報は、Oracle Technology Network (OTN)を参照してください。この情報を表示するには、OTNに登録する必要があります。
動作保証マトリックスで、この統合のためのプラットフォームおよびバージョンのサポートが提供されています。これにはRSA Authentication Manager v7.xおよびSecurID認証APIが含まれます。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
39.3.2 必要なRSAコンポーネント
Access ManagerとSecurID認証の統合には、次のRSAコンポーネントが必要です。
39.3.2.1 RSA Authentication Manager
ユーザー、エージェント、トークン、およびユーザーのPINのレコードはネットワーク内のいずれかの場所に配置されています。これらのレコードの一部が、Authentication ManagerまたはLDAPディレクトリに配置されていることがあります。
認証中に、Authentication Managerは、それらのレコードとユーザーがネットワークにアクセスを試みるときにそれが受け取る情報を比較します。レコードとトークンコードまたはパスコードが一致すると、ユーザーはアクセスの権限を付与されます。
39.3.2.2 RSA SecurIDトークン
RSA SecurIDトークンは、ハードウェアベースまたはソフトウェアベースのセキュリティ・トークンであり、保護されているリソースにユーザーが安全にアクセスすることを可能にするランダム番号を生成および表示します。
このランダム番号はトークンコードと呼ばれます。ユーザーがトークンによって認証を受けるには、その前にトークンがAuthentication Managerによって認識される必要があります。RSAまたはご使用のベンダーによってトークン・シード・ファイルが同梱されており、それをデータ・ストアにインポートする必要があります。このファイルにリストされているシードは、トークンに割り当てられており、Authentication Managerエージェントから認証リクエストを受信したときにトークンコードを生成します。
SecurID認証プロセス中に、ユーザーは、自分のユーザー名とパスコードをHTMLフォームを使用して送信する必要があります。RSA Authentication Managerは、クライアントとしてAuthentication Managerに登録されているサーバー(RSA認証エージェント)を介して各ユーザーのアイデンティティを認証します。1つのアクセス・サーバー(他のアクセス・サーバーと区別するためにOracle SecurID Access Serverと呼ばれる)を、クライアントまたはエージェントとして登録およびセットアップする必要があります。
RSA Authentication Managerはそれが生成したトークンコードを、ユーザーが入力したトークンコードと比較します。トークンコードは、指定された間隔(通常は60秒)で変わります。時間同期によって、ユーザーのトークンに表示されたトークンコードは、その時点に対してAuthentication Managerソフトウェアによって生成されたものと同じコードになります。トークンコードが一致すると認証は成功します。2つのファクタによる認証は、タスクを誰が実行したのかについてより強力な法的証拠を提供します。Authentication Managerは、適切に構成されている場合、すべてのログイン・リクエストおよび操作を追跡し、記録された各アクションに責任を持つユーザーを高い信頼度で特定します。
39.3.3 インストール要件および構成要件
次のガイドラインに従って、すべてのOAMサーバーをRSA Authentication AgentホストとしてAuthentication Managerに登録する必要があります。
-
SecurID認証を完了できるのは、1つの指定されたOAM SecurIDサーバーのみです。ただし、すべてのOAMサーバーを、Authentication ManagerにRSA Authentication Agentホストとして登録する必要があります。
-
OAM SecurIDサーバーをAuthentication Managerクライアントとして認識できるようにします。
-
Authentication Managerが認証エージェント(OAM SecurIdサーバー)と通信するためにポート5500 (UDP)が使用可能になっている必要があります。このサービスは、Oracle SecurId Serverから認証リクエストを受信し、リプライを送信します。詳細は、ご使用のRSA Authentication Managerのドキュメントを参照してください。
-
クライアントからAuthentication Managerへの認証リクエストを管理します。
-
2つのファクタの認証を適用し、認可されていないアクセスをブロックします。
-
レプリカのAuthentication Managerのレスポンス時間を検出し、それに応じて認証リクエストをルーティングすることで、自動ロード・バランシングを提供します。
-
サーバーとクライアントの非同期を防止するために、クライアント上のシステム時間が正確であることを確認します。
-
Access Managerに対してフェイルオーバーはサポートされていません。
-
SecurID Authentication Managerは、サポートされているプラットフォームにインストールする必要があります。
-
サーバーとクライアントの非同期を防止するために、システム時間は正確である必要があります。
-
SecurIDトークンまたはキー・フォブは、トークン・シード・レコードで提供することで、Authentication Managerによってプロビジョニングされる必要があります。
-
各ユーザー名は、LDAPフィルタを介して、ディレクトリ内の識別名にマップ可能であることが必要です。
-
Authentication ManagerスレーブまたはレプリケートされたAuthentication Manager、あるいその両方は、プライマリAuthentication Managerが停止した場合に、フェイルオーバーを提供できます。
-
この統合には、カスタムHTMLログイン・フォームおよびプロパティ・ファイルが必要です。オラクル社が提供するサンプルのカスタムhtmlおよびカスタムhtmlプロパティ・ファイルは次の場所にあります。
$ORACLE_HOME/oam/server/tools/customLoginHtml
関連項目:
-
『Oracle Access Managementでのアプリケーションの開発』のカスタム・ログイン・ページに関する項
-
39.4 SecurID認証モード
次のシナリオでは、3つのモードの操作について説明します。
39.4.1 標準SecurID認証
ここでは、ユーザーがSecurID認証スキームで保護されているリソースにアクセスしようとすると実行されるプロセスの概要を示します。
資格証明コレクタの詳細は、「資格証明コレクションおよびログインの理解」を参照してください。
プロセスの概要: ユーザーがリソースを要求するとき
-
Webゲートは、リソース・リクエストをインターセプトし、Access Serverに問合せを実行して、リソースが保護されているかどうか、保護の方法、およびユーザーが認証されているかどうかを判定します。
-
OAM SecurIdサーバーは、認証スキームについてディレクトリに問合せを実行し、ディレクトリから認証情報を受信します。
-
Webゲートは資格証明コレクタにリダイレクトし、資格証明コレクタが2つの部分からなるSecurIDパスコードをユーザーに求めるフォームを表示します。
-
ユーザーが資格証明を資格証明コレクタに送信します。
-
資格証明コレクタは、資格証明をOAM SecurIdサーバーに渡します。
-
OAM SecurIdサーバー上のSecurID認証APIが認証ダイアログを実行し、LDAPバインドをAuthentication Managerに送信します。
-
Authentication ManagerデータベースがSecurIDパスワードをユーザーIDと照合し、成功レスポンスをAuthentication Managerに返し、そこでユーザーのPINと照合します。
-
Authentication ManagerがレスポンスをそのエージェントであるOAM SecurIdサーバーに返します。
-
ユーザーの資格証明が有効な場合、SecurID認証は成功します。OAM SecurIdサーバーによって、ユーザーのセッションが作成され、ユーザーがWebゲートにリダイレクトされ、そこでリソース認可についてOAM SecurIdサーバーに問合せが実行されます。
-
「標準SecurID認証」の説明のように、特定の条件下では、New Tokencodeモードが開始されます。
-
「SecurID Next Tokencode認証」の説明のように、特定の条件下では、New Pinモードが開始されます。
-
-
OAM SecurIdサーバーが、認可リクエストを評価し、それによって、認可ルールに基づいてアクセスが許可または拒否されます。
-
アクセスの権限が付与されると、OAM SecurIdサーバーによって認可がWebゲートに渡され、それによってリソースがユーザーに提示されます。
39.4.2 SecurID Next Tokencode認証
Next Tokencodeモードがオンになっている場合、ユーザーは、彼らのSecurIDトークンの次のトークンコードを入力する必要があります。
このモードは、次の場合に起動できます。
-
ログイン中に不正なパスコードが繰り返し入力された場合。ユーザーが4回連続して不正なパスコードを使用して認証を試みた場合、Authentication Managerのアクティビティ・レポートに記載されているように、Authentication ManagerによってNext Tokencodeモードがオンになります。次にユーザーが正しいパスコードを使用して認証に成功したときに、彼らは彼らのSecurIDトークンに表示される次のトークンコードの入力を求められます。
-
Authentication Managerは、トークンの確認、または同期を必要とします。正しいパスコードが使用された場合でも、Authentication Manager管理者はNext Tokencodeモードをオンにして、ユーザーに、彼らがSecurIDトークンを持っていることを確認したり、トークンをAuthentication Managerと同期することを強制することがあります。Next Tokencodeモードがオンになっている場合、成功したログインの直後にNext Tokencodeチャレンジ・フォームがユーザーに表示されます。
プロセスの概要: Next Tokencodeがオンのとき
-
資格証明コレクタによって、成功したログインの後のトークン上の次のトークンコードの入力をユーザーに求めるフォームが提示されます。
-
ユーザーはユーザー名を入力し、60秒間待ってから、SecurIDトークン上の次のトークンコードを入力します。
-
トークンコードが正しい場合、ユーザーが最初に入力したパスコードが受け入れられてユーザーが認証されます。
39.4.3 SecurID New PIN認証
ユーザーが新しいPINを持つことが必要とされている場合、資格証明コレクタがユーザーに入力を求める特定のフォームを表示します。
プロセスの概要: New PINが必要なとき
-
資格証明コレクタによって、ユーザーが希望するPINを入力できるフォームが提示されます。
-
ユーザーが新しいPINを入力し、その新しいPINを再入力して、フォームを完了します。
-
OAM SecurIDサーバーは、その情報をAuthentication Managerに転送します。
-
Authentication Managerは、その新しいPINを登録し、それは、その後のログインでユーザーが入力する必要があるPINコードの一部になります。
-
ログイン・フォームが再度表示され、そこで、ユーザーは強制された再認証のためにユーザー名とパスコードを入力します。
39.5 RSA SecurID認証用のAccess Managerの構成
有効なOracle Access Management管理者の資格証明を持つユーザーは、RSA SecurID認証を有効にできます。
前提条件
インストールおよび構成(このマニュアルの範囲外)についてはインストール要件および構成要件を参照してください。それらは、Access ManagerとSecurIDとの統合を開始する前に完了しておく必要があります。
関連項目:
-
『Oracle Access Managementでのアプリケーションの開発』の「カスタム・ページの開発」
Access ManagerとSecurID認証をセットアップするには
-
次のように、oam-config.xmlで、OAM SecurIDサーバーのserverRequestCacheTypeパラメータをBASICに設定します。
-
すべてのWebLogic Server (OAMサーバーと管理サーバー)を停止します。
-
次のように
serverRequestCacheType
をCOOKIE
(デフォルト)からBASIC
に変更します。<Setting Name="serverRequestCacheType" Type="xsd:string">BASIC</Setting>
OAM構成の更新方法の詳細は、「OAM構成の更新」を参照してください。
-
すべてのWebLogic Server (OAMサーバーと管理サーバー)を起動します。
-
-
RSAコンソールからWebエージェントを登録します。それはAccess Managerによって使用されます。次に、次のようにエージェント構成ファイル(sdconf.rec)をコピーします。
$
DOMAIN_HOME
/config/fmwconfig/servers/$SERVER_NAME/oam/sdconf.rec -
Oracle Access Managementコンソールを使用して、次のようにRSA用のカスタム認証モジュールを作成します。
-
ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
-
「プラグイン」セクションの「作成」(+)ドロップダウン・メニューから、「カスタム認証モジュールの作成」を選択します。
-
「一般」タブを選択し、次のように入力します。
Name: RSA_AUTH
-
「ステップ」タブを選択し、ステップの名前を入力してから、「RSA SecurIDプラグイン」を選択します。
Step Name: stepRSA Plugin Name: RSA SecurID Plugin OK
-
「stepRSA」、「ステップの詳細」タブで、次画面に表示される「ステップの詳細」に入力して保存します(これはcustomhtml.propertiesファイルにも表示されます)。
-
「ステップ」タブ: ユーザーIDの追加プラグイン: 次のようにステップの名前を入力し、RSA SecurIDプラグインを選択します。
Step Name: rsa_useridentification Plugin Name:
UserIdentificationPlugin
OK -
rsa_useridentification、ステップの詳細: 使用している環境について次の詳細を入力して保存します。
KEY_LDAP_FILTER: (uid={KEY_USERNAME})
KEY_IDENTITY_STORE_REF: 登録済デフォルト・ストア。
KEY_SEARCH_BASE_URL: dc=us,dc=example,dc=com
-
-
次のようにステップをオーケストレートします。stepRSAは先頭にする必要があります(ユーザーをRSAサーバーで認証するため)、成功ステップに対するユーザーIDプラグインを指定します。
Initial Step: stepRSA Name: StepRSA On Success: rsa_useridentification On Failure: failure On Error: failure Apply
Name: rsa_useridentification On Success: Success On Failure: failure On Error: failure Apply
ノート:
On FailureおよびOn Errorフィールドは、両方ともfailureに設定する必要があります。
-
カスタムHTMLログイン・フォームとともに、RSAに対して作成したカスタム認証モジュールを使用する新しい認証スキーム(たとえばRSACredScheme)を作成します。サンプルの値を次の画面に示します。
ノート:
認証スキームのコンテキスト値は、カスタムHTMLログイン・フォームのパスを指定します。カスタムHTMLプロパティ・ファイルは、同じディレクトリ・パスにあるフォームと同じ名前(.properties拡張子付き)を共有する必要があります。この例ではcustomhtml.htmlとcustomhtml.propertiesを使用します。
チャレンジ・パラメータは、認証のための最初のRSAコマンドを指定します(RSA_USER_PASSCODE)。
is_rsa=true
パラメータと値をRSAに対して指定する必要があります。 -
このスキームは、SecurID認証を必要とするリソースを保護しているアプリケーション・ドメインで使用します。
-
カスタムHTMLファイルが次の場所に存在していることを確認します。
$DOMAIN_HOME/config/fmwconfig/customhtml.html
RSA用カスタム・ログイン・フォームでは、フォーム・アクションが次のように
/oam/server/auth_cred_submit
に設定されている必要があります。<form id="loginData" action="/oam/server/auth_cred_submit" method="post" name="loginData"> <div id="oam_credentials" class="input-row"> <span class="ctrl"></span> </div> div class="button-row"> <span class="ctrl"> <input id="login_button" type="submit" value="Login" class="formButton" onclick="this.disabled=true;document.body.style.cursor = 'wait'; this.className='formButton-disabled';form.submit();return false;"/> </span> </div> <div id="oam_error_messages"></div> </form>
-
使用している
customHTML
.properties
ファイルが次のとおりであることを確認します。-
カスタムHTMLファイルに.
properties
拡張子付きの名前が付いていること。 -
カスタムHTMLファイルと同じパスに格納されていること。
-
設定がRSA SecurIDプラグイン構成パラメータと一致していること。たとえば:
username=Username
password=Password
passcode=Mother's maiden name rsa_new_pin=RSA New Pin rsa_new_pin_confirm=RSA Confirm New Pin Pin=RSA Pin rsa_sysgen_pin=RSA Create New Pin rsa_sysgen_pin_confirm=RSA System Generated Pin error1=Username not specified -
-
OAMサーバーを再起動します。
-
保護されている適切なリソースにアクセスし、様々なモードを検証することで構成をテストします。
-
問題が発生する場合、詳細は、「RSA SecurIDの問題とログ」を参照してください。