48 RSA SecurID認証とAccess Managerとの統合

オラクル社は、RSAセキュリティ製品とインタフェース接続し、Access Managerによって保護されているリソースにネイティブRSA SecurID®認証を提供するコンポーネントを提供しています。

この章では、SecurID認証、およびSecurID認証とAccess Manager 12cを適切に統合するために必要なコンポーネント、要件、手順について説明します。この項の内容は、次のとおりです。

• Access ManagerおよびRSA SecurID認証の概要

• SecurID認証に必要なコンポーネント

• SecurID認証モード

• RSA SecurID認証用のAccess Managerの構成

• カスタムRSAプラグインの実行

48.1 Access ManagerおよびRSA SecurID認証の概要

Access Manager 12cは、RSAコンポーネントと統合して、SecurID認証を可能にします。

RSA SecurID認証は、ユーザーが認識しているものとユーザーが所有しているものの2つのファクタに基づいています。

• ユーザーが認識しているもの: これは秘密の個人識別番号(PIN)であり、概念的には個人の銀行コードPINに似ています。この場合、PINは、システム生成または個人的に選択したものであり、RSA Authentication Managerに登録されます。

• ユーザーが所有しているもの: これは、トークンと呼ばれるハンドヘルド・デバイスによって生成された現在のコードです。Oracle Access Managerでは、ハードウェアベースとソフトウェアベースの両方のすべてのRSA SecurIDトークン・フォーム・ファクタがサポートされています。

これらのトークンは、アルゴリズム的に内部クロックまたはイベントに基づいており、予測不能な値でトークンコードを生成します。ユーザーのPINとSecurIDトークンコードが組み合されて、ユーザーのパスコードになります。

Access Managerは、RSAの2つのファクタのSecurID認証セキュリティ機能を使用およびサポートし、次のものを提供することでSecurID認証との統合を可能にします。

• SecurID認証操作に必要なHTMLフォーム

• 認証を作成およびオーケストレートするためにユーザー識別プラグインで使用できるRSA SecurIDプラグイン。

48.2 Access ManagerによってサポートされているRSA機能

Access Managerは、RSA Authentication Managerと統合し、表48-1に記載する統合機能を提供します。

表48-1 RSA機能に対するAccess Managerのサポート

RSA機能	Access Managerのサポート
認証方式	ネイティブSecurID認証
New PINモード(ユーザー生成PIN)	新規PINと確認を要求します。 トークンは、ユーザーが初めてログインしたときはNew PINモードになっている可能性があります。それ以外の場合は、Authentication Manager管理者がNew PINモードを有効化できます。New PINモードでは、新しいPIN番号は、ユーザーが一連のフォームに入力して定義するか、システムに生成させる必要があります。 オラクル社が提供するNew PINフォームおよび機能は次のとおりです。 システム生成PIN (サポートされていません) ユーザー定義(4-8個の英数文字) ユーザー定義(5-7個の数字) 4および8桁PINの拒否 英数字PINの拒否 数値PINの拒否 PINの再利用 関連項目: 「SecurID New PIN認証」。
Next Tokencode	認証中にAuthentication Managerによって、ユーザーは、割当て済トークンを持っていることを証明するために彼ら自身のSecurIDトークンに表示される次のトークンコードを入力するように指示されることがあります。この操作は、Next Tokencodeモードと呼ばれ、次の状況のいずれかで起動されることがあります。 関連項目: 「SecurID Next Tokencode認証」。
パスコード	16桁パスコード 4桁固定パスコード
ロード・バランシング	RSA Authentication Managerレプリカ。
セカンダリ・サーバー・サポート	はい
SecurIDユーザー指定	指定されたユーザー
管理者のSecurID保護	はい
Access Managerの特徴と機能	すべて

表48-2の場合は、Access ManagerはRSA機能をサポートしません。

表48-2 サポートされないRSA機能

RSA機能	Access Managerのサポート対象外
RSA Authentication Manager 7.1 SP2	Active Directoryフォレスト・マルチドメイン環境ではサポートされません。
複数のACEレルム	RSA認証APIでは、自動レスポンス時間ロード・バランシング・アルゴリズムを使用して、認証リクエストの送信先が決定されます。そのようなリクエストは、プライマリRSA Authentication Managerまたはレプリカのいずれかに送信されます。自動アルゴリズムは、sdopts.recという手動ロード・バランシング構成ファイルを作成することでオーバーライドできます。ただし、RSA Authentication Managerを最後の手段のサーバーとして手動で重み設定しても、それとエージェントとの通信が防止されることはありません。そのため、この方法では真のフェイルオーバー・セットアップを実現できません。詳細は、ご使用のRSA Authentication Managerのドキュメントを参照してください。
システム生成PIN	Access Managerでサポートされていません。
フェイルオーバー	OAM SecurIDサーバーではサポートされていません。SecurID認証を実行できるのは1つのOAM SecurIDサーバーのみであるためです。

48.3 SecurID認証に必要なコンポーネント

統合には次のコンポーネントが必要です。

• サポートされているバージョンとプラットフォーム

• 必要なRSAコンポーネント

• インストール要件および構成要件

48.3.1 サポートされているバージョンとプラットフォーム

RSA Authentication Manager v8.3+およびSecurID認証APIは、OAM 12.2.1.4.0でサポートされています。

48.3.2 必要なRSAコンポーネント

Access ManagerとSecurID認証の統合には、次のRSAコンポーネントが必要です。

• RSA Authentication Manager

• RSA SecurIDトークン

48.3.2.1 RSA Authentication Manager

ユーザー、エージェント、トークン、およびユーザーのPINのレコードはネットワーク内のいずれかの場所に配置されています。これらのレコードの一部が、Authentication ManagerまたはLDAPディレクトリに配置されていることがあります。

認証中に、Authentication Managerは、それらのレコードとユーザーがネットワークにアクセスを試みるときにそれが受け取る情報を比較します。レコードとトークンコードまたはパスコードが一致すると、ユーザーはアクセスの権限を付与されます。

48.3.2.2 RSA SecurIDトークン

RSA SecurIDトークンは、ハードウェアベースまたはソフトウェアベースのセキュリティ・トークンであり、保護されているリソースにユーザーが安全にアクセスすることを可能にするランダム番号を生成および表示します。

このランダム番号はトークンコードと呼ばれます。ユーザーがトークンによって認証を受けるには、その前にトークンがAuthentication Managerによって認識される必要があります。RSAまたはご使用のベンダーによってトークン・シード・ファイルが同梱されており、それをデータ・ストアにインポートする必要があります。このファイルにリストされているシードは、トークンに割り当てられており、Authentication Managerエージェントから認証リクエストを受信したときにトークンコードを生成します。

SecurID認証プロセス中に、ユーザーは、自分のユーザー名とパスコードをHTMLフォームを使用して送信する必要があります。RSA Authentication Managerは、クライアントとしてAuthentication Managerに登録されているサーバー(RSA認証エージェント)を介して各ユーザーのアイデンティティを認証します。1つのアクセス・サーバー(他のアクセス・サーバーと区別するためにOracle SecurID Access Serverと呼ばれる)を、クライアントまたはエージェントとして登録およびセットアップする必要があります。

RSA Authentication Managerはそれが生成したトークンコードを、ユーザーが入力したトークンコードと比較します。トークンコードは、指定された間隔(通常は60秒)で変わります。時間同期によって、ユーザーのトークンに表示されたトークンコードは、その時点に対してAuthentication Managerソフトウェアによって生成されたものと同じコードになります。トークンコードが一致すると認証は成功します。2つのファクタによる認証は、タスクを誰が実行したのかについてより強力な法的証拠を提供します。Authentication Managerは、適切に構成されている場合、すべてのログイン・リクエストおよび操作を追跡し、記録された各アクションに責任を持つユーザーを高い信頼度で特定します。

48.3.3 インストール要件および構成要件

SecurIDは、ユーザー操作のためにOAMサーバーとRSA Authentication Managerとの間のアフィニティを必要とします。したがって、ユーザーとOAMサーバーとの間の対話はスティッキーである必要があります(この制約がSecurID認証のセキュリティの特徴です)。クラスタ環境で、ロード・バランサが使用されてリクエストが複数の管理対象サーバーにルーティングされる場合、ロード・バランサとOAMサーバーとの間にスティッキネスが設定されるようにします。SecurID認証APIは、Access Managerに同梱されており、すべてのOAMサーバーにインストールされます。SecurID認証APIによって接続機能が提供されるため、OAMサーバー上に認証エージェントをインストールする必要はありません。つまり、このAPIはエージェントです。

次のガイドラインに従って、すべてのOAMサーバーをRSA Authentication AgentホストとしてAuthentication Managerに登録する必要があります。

• SecurID認証を完了できるのは、1つの指定されたOAM SecurIDサーバーのみです。ただし、すべてのOAMサーバーを、Authentication ManagerにRSA Authentication Agentホストとして登録する必要があります。

• OAM SecurIDサーバーをAuthentication Managerクライアントとして認識できるようにします。

• Authentication Managerが認証エージェント(OAM SecurIdサーバー)と通信するためにポート5500 (UDP)が使用可能になっている必要があります。このサービスは、Oracle SecurId Serverから認証リクエストを受信し、リプライを送信します。詳細は、ご使用のRSA Authentication Managerのドキュメントを参照してください。

• クライアントからAuthentication Managerへの認証リクエストを管理します。

• 2つのファクタの認証を適用し、認可されていないアクセスをブロックします。

• レプリカのAuthentication Managerのレスポンス時間を検出し、それに応じて認証リクエストをルーティングすることで、自動ロード・バランシングを提供します。

• サーバーとクライアントの非同期を防止するために、クライアント上のシステム時間が正確であることを確認します。

• Access Managerに対してフェイルオーバーはサポートされていません。

• SecurID Authentication Managerは、サポートされているプラットフォームにインストールする必要があります。

• サーバーとクライアントの非同期を防止するために、システム時間は正確である必要があります。

• SecurIDトークンまたはキー・フォブは、トークン・シード・レコードで提供することで、Authentication Managerによってプロビジョニングされる必要があります。

• 各ユーザー名は、LDAPフィルタを介して、ディレクトリ内の識別名にマップ可能であることが必要です。

• Authentication ManagerスレーブまたはレプリケートされたAuthentication Manager、あるいその両方は、プライマリAuthentication Managerが停止した場合に、フェイルオーバーを提供できます。

• この統合には、カスタムHTMLログイン・フォームおよびプロパティ・ファイルが必要です。オラクル社が提供するサンプルのカスタムhtmlおよびカスタムhtmlプロパティ・ファイルは次の場所にあります。

  $ORACLE_HOME/oam/server/tools/customLoginHtml
  

  関連項目:

  • 『Oracle Access Managementでのアプリケーションの開発』のカスタム・ログイン・ページに関する項

  • 「RSA SecurID認証用のAccess Managerの構成」

48.4 SecurID認証モード

次のシナリオでは、3つのモードの操作について説明します。

• 標準SecurID認証

• SecurID Next Tokencode認証

• SecurID New PIN認証

48.4.1 標準SecurID認証

ここでは、ユーザーがSecurID認証スキームで保護されているリソースにアクセスしようとすると実行されるプロセスの概要を示します。

資格証明コレクタの詳細は、「資格証明コレクションおよびログインの理解」を参照してください。

プロセスの概要: ユーザーがリソースを要求するとき

1. Webゲートは、リソース・リクエストをインターセプトし、Access Serverに問合せを実行して、リソースが保護されているかどうか、保護の方法、およびユーザーが認証されているかどうかを判定します。

2. OAM SecurIdサーバーは、認証スキームについてディレクトリに問合せを実行し、ディレクトリから認証情報を受信します。

3. Webゲートは資格証明コレクタにリダイレクトし、資格証明コレクタが2つの部分からなるSecurIDパスコードをユーザーに求めるフォームを表示します。

4. ユーザーが資格証明を資格証明コレクタに送信します。

5. 資格証明コレクタは、資格証明をOAM SecurIdサーバーに渡します。

6. OAM SecurIdサーバー上のSecurID認証APIが認証ダイアログを実行し、LDAPバインドをAuthentication Managerに送信します。

7. Authentication ManagerデータベースがSecurIDパスワードをユーザーIDと照合し、成功レスポンスをAuthentication Managerに返し、そこでユーザーのPINと照合します。

8. Authentication ManagerがレスポンスをそのエージェントであるOAM SecurIdサーバーに返します。

9. ユーザーの資格証明が有効な場合、SecurID認証は成功します。OAM SecurIdサーバーによって、ユーザーのセッションが作成され、ユーザーがWebゲートにリダイレクトされ、そこでリソース認可についてOAM SecurIdサーバーに問合せが実行されます。

   • 「標準SecurID認証」の説明のように、特定の条件下では、New Tokencodeモードが開始されます。

   • 「SecurID Next Tokencode認証」の説明のように、特定の条件下では、New Pinモードが開始されます。

10. OAM SecurIdサーバーが、認可リクエストを評価し、それによって、認可ルールに基づいてアクセスが許可または拒否されます。

11. アクセスの権限が付与されると、OAM SecurIdサーバーによって認可がWebゲートに渡され、それによってリソースがユーザーに提示されます。

48.4.2 SecurID Next Tokencode認証

Next Tokencodeモードがオンになっている場合、ユーザーは、彼らのSecurIDトークンの次のトークンコードを入力する必要があります。

このモードは、次の場合に起動できます。

• ログイン中に不正なパスコードが繰り返し入力された場合。ユーザーが4回連続して不正なパスコードを使用して認証を試みた場合、Authentication Managerのアクティビティ・レポートに記載されているように、Authentication ManagerによってNext Tokencodeモードがオンになります。次にユーザーが正しいパスコードを使用して認証に成功したときに、彼らは彼らのSecurIDトークンに表示される次のトークンコードの入力を求められます。

• Authentication Managerは、トークンの確認、または同期を必要とします。正しいパスコードが使用された場合でも、Authentication Manager管理者はNext Tokencodeモードをオンにして、ユーザーに、彼らがSecurIDトークンを持っていることを確認したり、トークンをAuthentication Managerと同期することを強制することがあります。Next Tokencodeモードがオンになっている場合、成功したログインの直後にNext Tokencodeチャレンジ・フォームがユーザーに表示されます。

プロセスの概要: Next Tokencodeがオンのとき

1. 資格証明コレクタによって、成功したログインの後のトークン上の次のトークンコードの入力をユーザーに求めるフォームが提示されます。

2. ユーザーはユーザー名を入力し、60秒間待ってから、SecurIDトークン上の次のトークンコードを入力します。

3. トークンコードが正しい場合、ユーザーが最初に入力したパスコードが受け入れられてユーザーが認証されます。

48.4.3 SecurID New PIN認証

ユーザーが新しいPINを持つことが必要とされている場合、資格証明コレクタがユーザーに入力を求める特定のフォームを表示します。

プロセスの概要: New PINが必要なとき

1. 資格証明コレクタによって、ユーザーが希望するPINを入力できるフォームが提示されます。

2. ユーザーが新しいPINを入力し、その新しいPINを再入力して、フォームを完了します。

3. OAM SecurIDサーバーは、その情報をAuthentication Managerに転送します。

4. Authentication Managerは、その新しいPINを登録し、それは、その後のログインでユーザーが入力する必要があるPINコードの一部になります。

5. ログイン・フォームが再度表示され、そこで、ユーザーは強制された再認証のためにユーザー名とパスコードを入力します。

48.5 RSA SecurID認証用のAccess Managerの構成

有効なOracle Access Management管理者の資格証明を持つユーザーは、RSA SecurID認証を有効にできます。

前提条件

インストールおよび構成(このマニュアルの範囲外)についてはインストール要件および構成要件を参照してください。それらは、Access ManagerとSecurIDとの統合を開始する前に完了しておく必要があります。

関連項目:

• 『Oracle Access Managementでのアプリケーションの開発』の「カスタム・ページの開発」

Access ManagerとSecurID認証をセットアップするには

1. 次のように、oam-config.xmlで、OAM SecurIDサーバーのserverRequestCacheTypeパラメータをBASICに設定します。

   1. すべてのWebLogic Server (OAMサーバーと管理サーバー)を停止します。

   2. 次のようにserverRequestCacheTypeをCOOKIE (デフォルト)からBASICに変更します。

      <Setting Name="serverRequestCacheType" Type="xsd:string">BASIC</Setting>
      

      OAM構成の更新方法の詳細は、「OAM構成の更新」を参照してください。

   3. すべてのWebLogic Server (OAMサーバーと管理サーバー)を起動します。

2. RSAコンソールからWebエージェントを登録します。それはAccess Managerによって使用されます。次に、次のようにエージェント構成ファイル(sdconf.rec)をコピーします。

    $DOMAIN_HOME/config/fmwconfig/servers/$SERVER_NAME/oam/sdconf.rec
   

3. Oracle Access Managementコンソールを使用して、次のようにRSA用のカスタム認証モジュールを作成します。

   関連項目:

   「プラグイン・ベースのモジュールによるマルチステップ認証の編成」

   1. ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。

   2. 「プラグイン」セクションの「作成」(+)ドロップダウン・メニューから、「カスタム認証モジュールの作成」を選択します。

   3. 「一般」タブを選択し、次のように入力します。

      Name: RSA_AUTH
      

   4. 「ステップ」タブを選択し、ステップの名前を入力してから、「RSA SecurIDプラグイン」を選択します。

      Step Name: stepRSA
      Plugin Name: RSA SecurID Plugin
      OK
      

   5. 「stepRSA」、「ステップの詳細」タブで、次画面に表示される「ステップの詳細」に入力して保存します(これはcustomhtml.propertiesファイルにも表示されます)。

      
      図step_rsa_details.gifの説明

   6. 「ステップ」タブ: ユーザーIDの追加プラグイン: 次のようにステップの名前を入力し、RSA SecurIDプラグインを選択します。

      Step Name: rsa_useridentification
      Plugin Name: UserIdentificationPlugin
      OK

   7. rsa_useridentification、ステップの詳細: 使用している環境について次の詳細を入力して保存します。

      KEY_LDAP_FILTER: (uid={KEY_USERNAME})

      KEY_IDENTITY_STORE_REF: 登録済デフォルト・ストア。

      KEY_SEARCH_BASE_URL: dc=us,dc=example,dc=com

4. 次のようにステップをオーケストレートします。stepRSAは先頭にする必要があります(ユーザーをRSAサーバーで認証するため)、成功ステップに対するユーザーIDプラグインを指定します。

   Initial Step: stepRSA
   
   Name: StepRSA
   On Success: rsa_useridentification
   On Failure: failure
   On Error: failure
   Apply
   

   Name: rsa_useridentification
   On Success: Success
   On Failure: failure
   On Error: failure
   Apply
   

   ノート:

   On FailureおよびOn Errorフィールドは、両方ともfailureに設定する必要があります。

5. カスタムHTMLログイン・フォームとともに、RSAに対して作成したカスタム認証モジュールを使用する新しい認証スキーム(たとえばRSACredScheme)を作成します。サンプルの値を次の画面に示します。

   
   図rsa_anthscheme.gifの説明

   ノート:

   認証スキームのコンテキスト値は、カスタムHTMLログイン・フォームのパスを指定します。カスタムHTMLプロパティ・ファイルは、同じディレクトリ・パスにあるフォームと同じ名前(.properties拡張子付き)を共有する必要があります。この例ではcustomhtml.htmlとcustomhtml.propertiesを使用します。

   チャレンジ・パラメータは、認証のための最初のRSAコマンドを指定します(RSA_USER_PASSCODE)。is_rsa=trueパラメータと値をRSAに対して指定する必要があります。

6. このスキームは、SecurID認証を必要とするリソースを保護しているアプリケーション・ドメインで使用します。

7. カスタムHTMLファイルが次の場所に存在していることを確認します。

   $DOMAIN_HOME/config/fmwconfig/customhtml.html
   

   RSA用カスタム・ログイン・フォームでは、フォーム・アクションが次のように/oam/server/auth_cred_submitに設定されている必要があります。

   <form id="loginData" action="/oam/server/auth_cred_submit" method="post" name="loginData">
   
   <div id="oam_credentials" class="input-row"> 
   <span class="ctrl"></span>
   </div> 
   div class="button-row">
       <span class="ctrl"> 
   <input id="login_button" type="submit" value="Login" class="formButton" 
     onclick="this.disabled=true;document.body.style.cursor = 'wait'; 
     this.className='formButton-disabled';form.submit();return false;"/>
        </span> 
   </div>
   <div id="oam_error_messages"></div>
   </form>
   
   

8. 使用しているcustomHTML.propertiesファイルが次のとおりであることを確認します。

   • カスタムHTMLファイルに.properties拡張子付きの名前が付いていること。

   • カスタムHTMLファイルと同じパスに格納されていること。

   • 設定がRSA SecurIDプラグイン構成パラメータと一致していること。たとえば:

       username=Username 
       password=Password 
       passcode=Mother's maiden name 
       rsa_new_pin=RSA New Pin 
       rsa_new_pin_confirm=RSA Confirm New Pin 
       Pin=RSA Pin 
       rsa_sysgen_pin=RSA Create New Pin 
       rsa_sysgen_pin_confirm=RSA System Generated Pin 
       error1=Username not specified 
   

9. OAMサーバーを再起動します。

10. 保護されている適切なリソースにアクセスし、様々なモードを検証することで構成をテストします。

11. 問題が発生する場合、詳細は、「RSA SecurIDの問題とログ」を参照してください。

48.6 カスタムRSAプラグインの実行

<ORACLE_HOME>/oam/custom_plugins/rsa/RSAPlugin.jarに配置されているカスタムRSAプラグインを実行できます。

カスタムRSAプラグインを実行するには、次のようにします。

1. authapi.jarおよびcryptoj.jarという名前のRSA依存ライブラリをダウンロードします。
2. <DOMAIN_HOME>/config/fmwconfig/oam/plugin-libに、authapi.jarおよびcryptoj.jarライブラリを追加します。
3. カスタムRSAPlugin.jarファイルをそのディレクトリから取得し、プラグインをインポートしてカスタム・プラグインのリストに追加します。
4. プラグインが正常にインポートされたら、配布してアクティブ化します。

   アクティブ化は初回は失敗します。失敗したら、サーバーを再起動し、再度アクティブ化してください。アクティブ化の後、プラグインを使用して必要な編成ステップを指定します。