1 Oracle Access Managementの概要

Oracle Access Managementは、エンタープライズ・レベルのセキュリティ・プラットフォームであり、Oracle Access Managerに加え、Identity Federationやアイデンティティ・コンテキストなどの多数の組込みサービスで構成されています

次の各トピックでは、Oracle Access Managementアーキテクチャおよびサービスの概要について説明します。

1.1 Oracle Access Managementのサービスの理解

Oracle Access Managementは、Java Enterprise Edition (Java EE)に基づいたエンタープライズレベルのセキュリティ・アプリケーションで、アイデンティティ・コンテキスト、認証および認可、ポリシー管理、テスト、ロギング、監査などのWeb周辺のセキュリティ機能およびWebシングル・サインオン・サービスを全面的に提供します。

これは、セッション管理、アイデンティティ・コンテキスト、リスク分析、監査などの共有プラットフォーム・サービスを利用し、機密情報へのアクセスを制限します。図1-1に示すように、Oracle Identity Managementスタックの多くの既存アクセス技術は、Oracle Access Managementスタックにまとめられています。

図1-1 Oracle Access Managementの概要

図1-1の説明が続きます
「図1-1 Oracle Access Managementの概要」の説明

Oracle Access Managementには、これらのサービスが含まれます。

1.2 Oracle Access Management Access Managerの理解

Oracle Access Management Access Manager (Access Manager)は、以前Oracle Access Managerという名前であった(スタンドアロン)製品です。Access Managerは、Oracle Fusion Middlewareのシングル・サインオン(SSO)・ソリューションを提供します。これは、単独で動作するか、Access Manager認証プロバイダとともに動作します。

Access Manager SSOにより、ユーザーおよびグループは認証後に複数のアプリケーションにアクセスでき、複数のサインオン・リクエストを行う必要がなくなります。SSOを有効にするには、Webサーバー、アプリケーション・サーバーまたは任意のサード・パーティ・アプリケーションを、Access Managerにエージェントとして登録されたWebゲートにより保護する必要があります。その後、管理者は、認証ポリシーおよび認可ポリシーを定義してリソースを保護します。これらの認証ポリシーを施行するために、エージェントはHTTPリクエストのフィルタとして機能します。

ノート:

WebGatesは、様々なWebサーバーのためにOracleが製品の一部として提供するエージェントです。Access Manager SDKを使用して作成されたカスタムのアクセス・クライアントは、Web以外のアプリケーションで使用できます。明記されている場合を除いて、このマニュアルの情報はどちらにも同じように該当します。

現在Oracle ADFセキュリティおよびOPSS SSOフレームワークを使用している任意のWebアプリケーションをAccess Managerと統合することもできます。(「Oracle ADFアプリケーションとAccess Manager SSOの統合」を参照してください。)次の各項では、Access Managerについて詳しく説明します。

関連項目:

『Oracle Platform Security Servicesによるアプリケーションの保護』認証の基本に関する項

1.2.1 Access Managerのコンポーネントについて

Access Managerは、Oracle WebLogic Serverのインスタンス上に存在し、Oracle Fusion Middleware Access Managementアーキテクチャの一部となります。

図1-2は、基本的なAccess Managerのコンポーネントおよびサービスを示します。プロトコル互換性フレームワークは、OAM WebゲートおよびAccess Managerソフトウェア開発キット(SDK)を使用して作成されたカスタムのアクセス・クライアントとインタフェースします。

ノート:

この項では、すべてのAccess Managerコンポーネントについては説明しません。

図1-2 Access Managerのコンポーネントおよびサービス

図1-2の説明が続きます
「図1-2 Access Managerのコンポーネントおよびサービス」の説明

図1-3は、Access Managerコンポーネントの分散を示します。

図1-3 Access Managerのコンポーネントの分散

図1-3の説明が続きます
「図1-3 Access Managerのコンポーネントの分散」の説明

Oracle Access Managementコンソールは、Oracle WebLogic管理サーバー(AdminServerとも呼ばれる)に存在します。OAMランタイム・インスタンスをホストするWebLogic管理対象サーバーは、OAMサーバーとして知られています。この2つで共有される情報には次のものがあります。

  • エージェントおよびサーバー構成データ

  • Access Managerポリシー

  • セッション・データ(すべてのOAMサーバーで共有)

ポリシー・マネージャ・コンソールは、オプションでWebLogic管理対象サーバーにデプロイできます。詳細は、「Oracle Access Managementコンソールおよびポリシー・マネージャ・コンソール」を参照してください。

1.2.2 Access Managerデプロイメントの理解

企業には、Oracle Access Managerのデプロイメントが複数存在することがあります。デプロイメント・サイズにかかわらず、構成ウィザードによって各種コンポーネントが、新規作成されたWebLogic Serverドメインにインストールされます。

表1-1では、企業によりAccess Managerがインストールされるデプロイメントのタイプについて説明します。

表1-1 Access Managerのデプロイメント・タイプ

デプロイメント・タイプ 説明

開発デプロイメント

理想的にはサンドボックス・タイプの設定で、開発全体への依存は最小限

QAデプロイメント

通常、テスト用に使用される、比較的小さな共有されたデプロイ

本番前デプロイメント

通常、より幅広い対象者でのテストに使用される、共有されたデプロイメント

本番デプロイメント

日常的に企業内で完全に共有および使用可能

デプロイメント内でのAccess Managerの最初のインストールおよび構成の際に、新しいWebLogic Serverドメインを作成(または既存のドメインを拡張)します。デプロイメントのサイズやタイプに関係なく、新しいWebLogic Serverドメインでは、Oracle Fusion Middleware構成ウィザードを使用して、次のコンポーネントがインストールされます。

  • WebLogic管理サーバー

    ノート:

    既存のWebLogic Serverドメインでは、WebLogic管理サーバーはすでにインストールされて動作の準備ができています。

  • WebLogic管理サーバーにデプロイされたOracle Access Managementコンソール

  • Oracle Access ManagementサービスのWebLogic管理対象サーバー

  • 管理対象サーバー上にデプロイされたアプリケーション

関連項目:

Oracle WebLogic Serverドメイン構成の理解Oracle WebLogic Serverドメイン

ドメインが構成されると、OAMサーバー、データベース・スキーマ、(オプションの) WebLogic管理対象サーバーとクラスタ、および次のストア・タイプについて、さらに詳細が定義されます。

  • ポリシー・ストア: デフォルト・ポリシー・ストアは、デプロイメントや実証を目的としたファイルベースのものです。これは、本番環境ではサポートされません。本番環境では、すべてのポリシー操作と構成は、ポリシー・ストアとして構成されたデータベースに対して直接実行されます。

  • アイデンティティ・ストア: デフォルトの埋込みLDAPデータ・ストアは、Access Managerの基本ユーザー・アイデンティティ・ストアとして設定されます。

  • キーストア: 認可時にOAMサーバーとWebゲート間の簡易または証明書ベースの通信のための証明書用に、Javaキーストアが構成されます。構成ウィザードを実行した後に、初回のAdminServer起動でキーストアのブートストラップも発生します。

1.3 システム要件と動作保証情報

インストールを実行する前に、現在の環境がシステム要件(ハードウェアとソフトウェアの要件、ディスク領域とメモリーの最小要件、必要なシステム・ライブラリ、パッケージ、パッチなど)を満たしていることを確認します。

ハードウェアとソフトウェアの要件、プラットフォーム、データベースおよびその他の情報の詳細は、Oracle Technology Network (OTN)で、システム要件と動作保証情報のドキュメントを参照してください。

システム要件のドキュメントには、ハードウェアとソフトウェアの要件、ディスク領域とメモリーの最小要件、必要なシステム・ライブラリ、パッケージまたはパッチなどの情報が記載されています。

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-requirements-100147.html

動作要件のドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサードパーティ製品が記載されています。

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html

1.4 Oracle Access Managementのインストールの理解

Oracle Fusion Middleware構成ウィザードを使用して、新しいドメインにコンポーネントをデプロイし、インストール後のタスクを実行します。

次の各項には、Access Managerのインストールとインストール後タスクに関する情報とリンクが含まれています。

1.4.1 Oracle Access Managementのインストールについて

Oracle Fusion Middlewareのサポートされるシステム構成のドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDK、Oracle Identity Management 12.2.1.3.0に関連するサード・パーティ製品の動作保証の情報があります。

Oracle Fusion Middlewareのサポートされるシステム構成のドキュメントにアクセスするには、Oracle Technology Network (OTN) Webサイトでドキュメント名を使用して検索するか、次のリンクをクリックします。

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html

Oracle Fusion Middleware構成ウィザードを使用して、次のコンポーネントが新しいドメインにデプロイされます。

  • WebLogic管理サーバー

  • WebLogic管理サーバー(OAM管理サーバーまたは単にAdminServerと呼ばれることもあります)上にデプロイされたOracle Access Managementコンソール

  • Oracle Access Managementの管理対象サーバー

  • 管理対象サーバーにデプロイされたアプリケーション

インストールの詳細は、『Oracle Identity and Access Managementのインストールおよび構成』「Oracle Identity and Access Managementのインストールについて」を参照してください。

1.4.2 Oracle Access Managementのインストール後のタスクについて

各WebLogic Serverのドメインは、論理的に関連するOracle WebLogic Serverリソースのグループです。WebLogic管理ドメインには、Administration Serverという特殊なOracle WebLogic Serverインスタンスが含まれています。このドメインは通常、管理対象サーバーという追加のOracle WebLogic Serverインスタンスを含み、WebアプリケーションとWebサービスがここにデプロイされます。

初回のデプロイメント中、Oracle Access ManagementコンソールとWebLogic Server管理コンソールの両方にサインインするときに、WebLogic管理者のユーザーIDとパスワードが設定されます。「Oracle Access Management管理者について」で説明しているとおり、Oracle Access Managementに対して別の管理者を割り当てることができます。管理者は、Oracle Access Managementコンソールにログインして、表1-2に示すインストール後タスクを実行できます。

表1-2 Oracle Access Managementのインストール後のタスク

サービス 要件

Access Manager

Access Managerサービスを有効化します

登録:

  • データ・ソース

  • OAMサーバー・インスタンス

  • Access Managerのエージェント

  • リソースを保護するアプリケーション・ドメインおよびポリシー

次の項目を構成します。

  • セッションのタイミングなどの共通設定

  • 証明書の検証

  • 共通パスワード・ポリシー

Access Managerの設定を構成します。

Identity Federation

  • Identity Federationサービスを有効化します。

  • フェデレーション設定を構成します

  • アイデンティティ・プロバイダおよびサービス・プロバイダのパートナを登録します。