1 Oracle Access Managementの概要
Oracle Access Managementは、エンタープライズ・レベルのセキュリティ・プラットフォームであり、Oracle Access Managerに加え、Identity Federationやアイデンティティ・コンテキストなどの多数の組込みサービスで構成されています
次の各トピックでは、Oracle Access Managementアーキテクチャおよびサービスの概要について説明します。
1.1 Oracle Access Managementのサービスの理解
Oracle Access Managementは、Java Enterprise Edition (Java EE)に基づいたエンタープライズレベルのセキュリティ・アプリケーションで、アイデンティティ・コンテキスト、認証および認可、ポリシー管理、テスト、ロギング、監査などのWeb周辺のセキュリティ機能およびWebシングル・サインオン・サービスを全面的に提供します。
これは、セッション管理、アイデンティティ・コンテキスト、リスク分析、監査などの共有プラットフォーム・サービスを利用し、機密情報へのアクセスを制限します。図1-1に示すように、Oracle Identity Managementスタックの多くの既存アクセス技術は、Oracle Access Managementスタックにまとめられています。
Oracle Access Managementには、これらのサービスが含まれます。
-
Oracle Access Management Access Manager (Access Manager)については、「Oracle Access Management Access Managerの理解」およびこのガイドの次の各部を参照してください。
-
Oracle Access Management Identity Federation (Identity Federation)は、オープンなフェデレーション・プロトコル標準(SAMLやOpenIDなど)を使用したドメイン間シングル・サインオンのサポートを提供します。このIdentity Federationサービスでは、ユーザー・インタフェースと管理の操作性が改良されています。詳細は、「Oracle Access Management Identity Federationの管理」に記載されている章を参照してください。
-
アダプティブ認証サービスは、ユーザー名とパスワードによる標準的なタイプの認証に加えてマルチファクタ認証を提供するワン・タイム・パスワード・オーセンティケータです。これには、ユーザーからのPINを受け入れるカスタム・セカンド・ファクタ認証プロセッサを追加するためのフレームワークが用意されています。詳細は、「アダプティブ認証サービスおよびOracle Mobile Authenticatorの管理」に記載されている章を参照してください。
-
OAuthサービスを使用すると、組織はオープンのOAuth 2.0 Web認可プロトコルをAccess Manager環境に実装できます。OAuthサービスにより、クライアントは、他のリソース所有者に属するAccess Managerで保護されたリソースにアクセスできます。OAuthクライアントは、組織で作成および制御されるアプリケーションまたはサービスか、Access Managerで保護されているリソースにアクセスする必要のある別の組織で作成および制御されるアプリケーションまたはサービスのいずれかです。詳細は、「Oracle Access Management OAuthサービスおよびOpenIDConnectの管理」に記載されている章を参照してください
-
アイデンティティ・コンテキストは、コンテキストを意識したセキュリティ・ポリシー管理を提供し、管理者は、Oracle Identity Managementが提供するセキュリティ・フレームワークを通じて、アプリケーション配信環境で課されるセキュリティのレベルを制御できます。詳細は、「アイデンティティ・コンテキストの使用」に記載されている章を参照してください。
1.2 Oracle Access Management Access Managerの理解
Oracle Access Management Access Manager (Access Manager)は、以前Oracle Access Managerという名前であった(スタンドアロン)製品です。Access Managerは、Oracle Fusion Middlewareのシングル・サインオン(SSO)・ソリューションを提供します。これは、単独で動作するか、Access Manager認証プロバイダとともに動作します。
Access Manager SSOにより、ユーザーおよびグループは認証後に複数のアプリケーションにアクセスでき、複数のサインオン・リクエストを行う必要がなくなります。SSOを有効にするには、Webサーバー、アプリケーション・サーバーまたは任意のサード・パーティ・アプリケーションを、Access Managerにエージェントとして登録されたWebゲートにより保護する必要があります。その後、管理者は、認証ポリシーおよび認可ポリシーを定義してリソースを保護します。これらの認証ポリシーを施行するために、エージェントはHTTPリクエストのフィルタとして機能します。
ノート:
WebGatesは、様々なWebサーバーのためにOracleが製品の一部として提供するエージェントです。Access Manager SDKを使用して作成されたカスタムのアクセス・クライアントは、Web以外のアプリケーションで使用できます。明記されている場合を除いて、このマニュアルの情報はどちらにも同じように該当します。
現在Oracle ADFセキュリティおよびOPSS SSOフレームワークを使用している任意のWebアプリケーションをAccess Managerと統合することもできます。(「Oracle ADFアプリケーションとAccess Manager SSOの統合」を参照してください。)次の各項では、Access Managerについて詳しく説明します。
関連項目:
『Oracle Platform Security Servicesによるアプリケーションの保護』の認証の基本に関する項
1.2.1 Access Managerのコンポーネントについて
Access Managerは、Oracle WebLogic Serverのインスタンス上に存在し、Oracle Fusion Middleware Access Managementアーキテクチャの一部となります。
図1-2は、基本的なAccess Managerのコンポーネントおよびサービスを示します。プロトコル互換性フレームワークは、OAM WebゲートおよびAccess Managerソフトウェア開発キット(SDK)を使用して作成されたカスタムのアクセス・クライアントとインタフェースします。
ノート:
この項では、すべてのAccess Managerコンポーネントについては説明しません。
図1-3は、Access Managerコンポーネントの分散を示します。
Oracle Access Managementコンソールは、Oracle WebLogic管理サーバー(AdminServerとも呼ばれる)に存在します。OAMランタイム・インスタンスをホストするWebLogic管理対象サーバーは、OAMサーバーとして知られています。この2つで共有される情報には次のものがあります。
-
エージェントおよびサーバー構成データ
-
Access Managerポリシー
-
セッション・データ(すべてのOAMサーバーで共有)
ポリシー・マネージャ・コンソールは、オプションでWebLogic管理対象サーバーにデプロイできます。詳細は、「Oracle Access Managementコンソールおよびポリシー・マネージャ・コンソール」を参照してください。
1.2.2 Access Managerデプロイメントの理解
企業には、Oracle Access Managerのデプロイメントが複数存在することがあります。デプロイメント・サイズにかかわらず、構成ウィザードによって各種コンポーネントが、新規作成されたWebLogic Serverドメインにインストールされます。
表1-1では、企業によりAccess Managerがインストールされるデプロイメントのタイプについて説明します。
表1-1 Access Managerのデプロイメント・タイプ
デプロイメント・タイプ | 説明 |
---|---|
開発デプロイメント |
理想的にはサンドボックス・タイプの設定で、開発全体への依存は最小限 |
QAデプロイメント |
通常、テスト用に使用される、比較的小さな共有されたデプロイ |
本番前デプロイメント |
通常、より幅広い対象者でのテストに使用される、共有されたデプロイメント |
本番デプロイメント |
日常的に企業内で完全に共有および使用可能 |
デプロイメント内でのAccess Managerの最初のインストールおよび構成の際に、新しいWebLogic Serverドメインを作成(または既存のドメインを拡張)します。デプロイメントのサイズやタイプに関係なく、新しいWebLogic Serverドメインでは、Oracle Fusion Middleware構成ウィザードを使用して、次のコンポーネントがインストールされます。
-
WebLogic管理サーバー
ノート:
既存のWebLogic Serverドメインでは、WebLogic管理サーバーはすでにインストールされて動作の準備ができています。
-
WebLogic管理サーバーにデプロイされたOracle Access Managementコンソール
-
Oracle Access ManagementサービスのWebLogic管理対象サーバー
-
管理対象サーバー上にデプロイされたアプリケーション
関連項目:
Oracle WebLogic Serverドメイン構成の理解のOracle WebLogic Serverドメイン
ドメインが構成されると、OAMサーバー、データベース・スキーマ、(オプションの) WebLogic管理対象サーバーとクラスタ、および次のストア・タイプについて、さらに詳細が定義されます。
-
ポリシー・ストア: デフォルト・ポリシー・ストアは、デプロイメントや実証を目的としたファイルベースのものです。これは、本番環境ではサポートされません。本番環境では、すべてのポリシー操作と構成は、ポリシー・ストアとして構成されたデータベースに対して直接実行されます。
関連項目:
-
アイデンティティ・ストア: デフォルトの埋込みLDAPデータ・ストアは、Access Managerの基本ユーザー・アイデンティティ・ストアとして設定されます。
-
キーストア: 認可時にOAMサーバーとWebゲート間の簡易または証明書ベースの通信のための証明書用に、Javaキーストアが構成されます。構成ウィザードを実行した後に、初回のAdminServer起動でキーストアのブートストラップも発生します。
関連項目:
1.3 システム要件と動作保証情報
インストールを実行する前に、現在の環境がシステム要件(ハードウェアとソフトウェアの要件、ディスク領域とメモリーの最小要件、必要なシステム・ライブラリ、パッケージ、パッチなど)を満たしていることを確認します。
ハードウェアとソフトウェアの要件、プラットフォーム、データベースおよびその他の情報の詳細は、Oracle Technology Network (OTN)で、システム要件と動作保証情報のドキュメントを参照してください。
システム要件のドキュメントには、ハードウェアとソフトウェアの要件、ディスク領域とメモリーの最小要件、必要なシステム・ライブラリ、パッケージまたはパッチなどの情報が記載されています。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-requirements-100147.html
動作要件のドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサードパーティ製品が記載されています。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
1.4 Oracle Access Managementのインストールの理解
Oracle Fusion Middleware構成ウィザードを使用して、新しいドメインにコンポーネントをデプロイし、インストール後のタスクを実行します。
次の各項には、Access Managerのインストールとインストール後タスクに関する情報とリンクが含まれています。
1.4.1 Oracle Access Managementのインストールについて
Oracle Fusion Middlewareのサポートされるシステム構成のドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDK、Oracle Identity Managementに関連するサード・パーティ製品の動作保証の情報があります。
Oracle Fusion Middlewareのサポートされるシステム構成のドキュメントにアクセスするには、Oracle Technology Network (OTN) Webサイトでドキュメント名を使用して検索するか、次のリンクをクリックします。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
Oracle Fusion Middleware構成ウィザードを使用して、次のコンポーネントが新しいドメインにデプロイされます。
-
WebLogic管理サーバー
-
WebLogic管理サーバー(OAM管理サーバーまたは単にAdminServerと呼ばれることもあります)上にデプロイされたOracle Access Managementコンソール
-
Oracle Access Managementの管理対象サーバー
-
管理対象サーバーにデプロイされたアプリケーション
インストールの詳細は、『Oracle Identity and Access Managementのインストールおよび構成』の「Oracle Identity and Access Managementのインストールについて」を参照してください。
1.4.2 Oracle Access Managementのインストール後のタスクについて
初回のデプロイメント中、Oracle Access ManagementコンソールとWebLogic Server管理コンソールの両方にサインインするときに、WebLogic管理者のユーザーIDとパスワードが設定されます。「Oracle Access Management管理者について」で説明しているとおり、Oracle Access Managementに対して別の管理者を割り当てることができます。管理者は、Oracle Access Managementコンソールにログインして、表1-2に示すインストール後タスクを実行できます。
表1-2 Oracle Access Managementのインストール後のタスク
サービス | 要件 |
---|---|
Access Manager |
Access Managerサービスを有効化します 登録:
次の項目を構成します。
Access Managerの設定を構成します。 |
Identity Federation |
|