| Oracle Access Manager統合ガイド 10g(10.1.4.0.1) B31473-01 |
|
 戻る |
 次へ |
Oracle Access Manager 10g(10.1.4.0.1)は、同種のWindows環境におけるActive DirectoryとIIS Webサーバーを使用したスマートカード認証をサポートします。
以降の項では、スマートカード認証を実装する方法について説明します。
スマートカード認証は、ユーザーが知っていることとユーザーが持っているものに基づいて行われるため、ユーザー名とパスワードのみを使用する認証よりも強力な認証フォームです。
ユーザーが知っていること: これはユーザーの秘密の個人識別番号(PIN)であり、概念上は個人の金融機関コードPINと似ています。
ユーザーが持っているもの: これは暗号化ベースのIDと所有証明であり、コンピュータに接続したスマートカード・リーダーに挿入するスマートカード・デバイスによって生成されます。
スマートカード認証は、Oracle Access Managerと併用してリソースを保護することができます。環境を設定した後で次の操作を行うと、スマートカード認証がトリガーされます。
企業認証局(CA)によって事前に発行された公開鍵の証明書が格納されたActivCardを、コンピュータに接続したリーダーに挿入します。
ActivCardをリーダーに挿入する前に、Oracle Access Manager Client_Certificate認証スキームによって保護されているリソースへのアクセスをリクエストします。
最初の方法の場合、ユーザー名、パスワード、ドメインではなく、PINの入力を要求するウィンドウが表示されます。2番目の方法の場合、ActivCardの挿入とPINの入力を要求するウィンドウが表示されます。
|
注意: スマートカードを初期化するときに、PINの入力を要求するウィンドウが表示されます。PINを3回誤って入力すると、そのカードはロックされます。ロックされた証明書を元に戻すには、スマートカードの初期化中に指定したロック解除コードを使用するか、カードを再度初期化します。 |
IDシステムにより、ユーザー、グループ、組織、IDベースのワークフローおよび委任管理を管理するために必要なアプリケーションが提供されます。
アクセス・システムにより、ポリシーベースの認証、認可、監査およびWebシングル・サインオンが提供されます。次の説明のように、アクセス・システムのすべてのコンポーネントはスマートカード認証と関連しています。
Policy Manager: Policy Managerは、ポリシー管理用、リソースの指定用(WebのリソースとWeb以外のリソース)、ポリシーのテスト用の各アプリケーションを提供します。マスター・アクセス管理者がポリシー・ドメインを定義し、委任アクセス管理者がポリシー・ドメインにより保護されるリソースを定義します。
インストール後にPolicy Managerを設定するときに、クライアント証明書認証スキームを自動的に構成するかどうかを確認するメッセージが表示されます。このスキームは、スマートカード認証の場合に必要です。通常の場合、証明書をブラウザにインストールし、WebサーバーをSSL対応に設定する必要があります。ただし、スマートカード認証の場合、証明書はカード上に存在します。
設定中にクライアント証明書認証スキームを自動的に構成すると、それ以降は変更することなく使用できます。
アクセス・システム・コンソール: マスター管理者とマスター・アクセス管理者は、アクセス・システム・コンソールを使用し、リソースへのアクセスを許可または拒否する認証スキームを定義して有効にします。
アクセス・システム・コンソールを使用すると、クライアント証明書認証スキームの検証や変更を行うことができます。ただし、設定中にクライアント証明書認証スキームを自動的に構成すると、それ以降は変更することなく使用できます。
Access Server: Access ServerはWebGateからリクエストを受信し、ディレクトリ・サーバーに格納された認証ルール、認可ルール、監査ルールの問合せを行います。Access Serverにより、認証スキーム、ユーザー資格証明および認可がリクエスト元のWebGateに返されます。
Access Serverのインストールには、スマートカード認証用クライアント証明書スキームに必要なcert_decodeとcredential_mapping認証プラグインが含まれています。
WebGate: WebGateは、WebリソースのHTTPリクエストを捕捉し、認証と認可用にAccess Serverへ転送します。また、WebGateは、ユーザーのセッションを開始し、セッションCookieを作成してユーザーのブラウザに渡します。
スマートカード認証に必要なcert_authn.dlは、WebGate_install_dir\access\oblix\apps\webgate\binにWebGateをインストールすることによって作成されます。スマートカード認証に使用されるWebGateは、SSL対応のIIS 5.0 Webサーバーを使用してインストールする必要があります。
次のプロセスは、Oracle Access Managerを使用したスマートカードの認証中に発生します。図14-1は、一連のプロセスを示したものです。この図の後で、プロセスの概要を説明します。
スマートカードの挿入を要求するメッセージがブラウザに表示されます。WebGateはユーザーのリソース・リクエストを捕捉し、Access Serverに対して問合せを行います。これにより、リソースが保護されているかどうか、保護されている場合はその方法が確認され、ユーザーが認証されているかどうかが確認されます。
Access Serverは、Active Directoryサーバーに対して認証情報の問合せを行い、ディレクトリから情報を受信します。
Access ServerはWebGateに対して応答し、WebGateはブラウザを使用して、ActivCardの挿入またはPINの入力(あるいはその両方)をユーザーに対して要求します。
ユーザーは資格証明を送信し、ブラウザはこの資格証明をWebGateに渡し、WebGateは受信した資格証明をAccess Serverに提示します。このときに、1つ以上の認証プラグインが使用されます。
cert_decodeプラグインとcredential_mappingプラグインは、クライアント証明書認証スキームに対して必要です。
Access Serverは、Active Directoryを使用して認証ダイアログを実行します。Active Directoryは、スマートカードに格納された証明書情報をディレクトリ内のユーザー証明書にマップし、Access Serverに成功レスポンスを返します。
ユーザーの資格証明が有効な場合、Access ServerはWebGateにレスポンスを返し、WebGateはユーザーのセッションを開始します。
WebGateは、リソースが認可されたかどうかの問合せをAccess Serverに対して行います。
Access Serverは、ポリシー・ドメインの認証ルールと認可ルールに基づいてアクセスの許可と拒否を行う認可情報を、Active Directoryに問い合せます。
アクセスが許可されると、Access Serverにより認可がWebGateに渡され、WebGateによりリソースがユーザーに表示されます。
ActivCard Goldの仕様およびスマートカードの標準と互換性の詳細は、http://www.actividentity.comを参照してください。
Oracle Access Manager 10g(10.1.4.0.1)は、Metalinkに示されている環境内でのスマートカード認証をサポートしています。次の手順に従ってMetalinkを参照してください。
Metalinkの情報を表示する手順
次のURLに移動します。
「Certify」タブをクリックします。
「View Certifications by Product」をクリックします。
「Application Server」オプションを選択して「Submit」をクリックします。
「Oracle Application Server」を選択して「Submit」をクリックします。
Oracle Access Manager 10g(10.1.4.0.1)を使用するスマートカード認証を設定するには、複数の手順を実行する必要があります。
現在の環境が、「サポートされているバージョンとプラットフォーム」に記載されている要件を満たしていることを確認します。
「Active Directoryの準備」の説明に従って、Active Directoryを設定します。
「CAの準備と証明書の登録」の説明に従って、証明書を設定します。
「IIS Webサーバーの準備」の説明に従って、IIS Webサーバーを設定します。
「スマートカード認証用Oracle Access Managerの準備」の説明に従って、Oracle Access Managerを設定します。
「Oracle Access Managerを使用したリソースの保護」の説明に従って、保護されたリソースを構成します。
「IIS Managerの設定」の説明に従って、IIS Managerを設定します。
以降の項では、Active Directoryの準備について説明します。
|
ヒント: この手順の詳細は、Active Directoryのマニュアルを参照してください。Oracle Access ManagerとともにActive Directoryを操作するための設定の詳細は、『Oracle Access Managerインストレーション・ガイド』と『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。 |
ドメイン・コントローラとActive Directoryがインストールされ、正常に動作していることを確認します。
ドメイン・ネーム・システム(DNS)サーバーがインストールされ、正常に動作していることを確認します。
|
注意: 次の項で説明するように、Microsoft証明書サーバーをActive Directoryとともにインストールする必要があります。 |
以降の項では、CAの準備と証明書の登録について説明します。
|
ヒント: 次に示すタスクに関する詳細は、ActivCardのドキュメント『Configuring Smart Card logon with ActivCard CSP for Windows 2000』を参照してください。 |
認証局(CA)の設定要件をすべて満たしていることを確認し、ActivCard GoldユーティリティをインストールしてCAを設定します。
マシンとActivCardの両方ではなく、ActivCardのみにユーザーの証明書をインストールする場合、ActivCard Goldユーティリティを2つ以上インストールする必要があります。これは、ユーザーの証明書にデジタル署名をする際に、管理者の証明書が必要なためです。
企業認証局が使用できる証明書タイプを設定します。
スマートカード証明書を発行する認証局を準備します。
スマートカードの設定に使用するコンピュータにスマートカード証明書登録ステーションを準備し、ActivCard USB reader v2.0をインストールします。
マシンとActivCardの両方ではなく、ActivCardのみにユーザーの証明書をインストールする場合、複数のActivCard USBリーダーと2つ以上のActivCard Goldが必要です。
スマートカード・リーダーを接続します。
スマートカード・ログオンまたはスマートカード・ユーザー証明書を登録し、カードを初期化してリクエストにデジタル署名をします。
ActivCardへの証明書のダウンロードの詳細は、『ActivCard Gold User Guide』を参照してください。
『Configuring Smart Card logon with ActivCard CSP for Windows 2000』の説明に従い、ActivCardを使用してログオンします。
スマートカード削除操作のポリシーを設定します。
以降の項では、IIS Webサーバーの準備について説明します。
|
ヒント: 次に示すタスクに関する詳細は、ActivCardのドキュメント『Configuring Smart Card logon with ActivCard CSP for Windows 2000』を参照してください。 |
WebGateをホストするWebサーバー上のIIS内に、証明書とその証明書を発行したCAをデプロイします。
SSLを有効にして、WebGateをホストするWebサーバーのポート443での通信を保護します。
IIS内のクライアント証明書認証を有効にします。
1024ビット長のWebサーバー証明書を、Microsoft証明書サーバーからダウンロードします。
|
注意: 512ビット長証明書は使用しないでください。 |
以降の項では、スマートカード認証用Oracle Access Managerの準備について説明します。
|
ヒント: 詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。 |
スマートカード認証用Oracle Access Managerを準備する手順
Oracle Access Managerが適切にインストールされ、Active Directoryなど(次に示す最新のパッチを含む)とともに動作していることを確認します。
Identity ServerとWebPass
Policy Managerとアクセス・システム・コンソール
Access ServerとWebGate
WebGateをホストするIIS WebサーバーでSSLが有効になっていることを確認します。
クライアント証明書認証スキームを変更し、このスキームをポリシー・ドメインに追加してスマートカード認証のリソースを保護する必要があります。
ここでは、その手順について説明します。詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
「アクセス・システム・コンソール」、「アクセス・システム構成」タブ、「認証管理」機能の順に移動します。
図14-2に示した例のように、X509Certチャレンジ・メソッドを使用するようにクライアント証明書認証スキームを作成または変更します。
「プラグイン(plug-in)」タブをクリックし、図14-3の例のように、スマートカード認証の適切なパラメータと値がcert_decodeプラグインとcredential_mappingプラグインに設定されていることを確認します。
詳細は、「クライアント証明書認証スキーム」を参照してください。
このスキームは、認証ルールをポリシー・ドメインに追加する場合に、認証スキーム・リストに表示されます。
次に、Policy Managerでポリシー・ドメインを作成します。ここでは、手順を説明します。詳細は、「スマートカード認証のポリシー・ドメインについて」に記載されています。
次に示すアクセス・システム管理のランディング・ページに移動します。
http://hostname:port/access/oblix
Policy Managerアプリケーションを選択し、左側のナビゲーション・ペインの「ポリシー・ドメインの作成」をクリックします。
例:
Name—Your Choice.Description—Optional
|
注意: すべての指定が完了するまでは、ポリシー・ドメインを有効にしないでください。 |
「保存」をクリックします。
「リソース」タブをクリックし、「追加」をクリックしてリソースを追加します。
例:
Resource Type—Your ChoiceURL Prefix—Your ChoiceDescription—Optional
「保存」をクリックします。
「認可ルール」をクリックしてポリシー・ドメインとリソースに適用する認可ルールを構成し、通常どおりにプラグイン・パラメータを確認または追加します。
「デフォルト・ルール」タブ、「追加」ボタンの順にクリックして認証ルールの詳細を入力し、変更済クライアント証明書認証スキームが使用されていることを確認します。
例:
Name—Your choiceDescription—OptionalAuthentication Scheme—Client Certificate
必要に応じてアクセス・ポリシーを追加します。
管理権限の委任は、通常どおり行われます。特別な要件はありません。詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
「一般」タブをクリックし、通常どおりにポリシー・ドメインを有効にします。
「IIS Managerの設定」に進みます。
次に、インターネット サービス マネージャで、Oracle Access Managerのcert_authn.dllを「accept cookies」に設定する必要があります。
「スタート」、「プログラム」、「管理ツール」、「インターネット サービス マネージャ」の順に選択してインターネット サービス マネージャに移動します。
ホストを開いて「既定のWebサイト」(デフォルトを使用していない場合は別のWebサイト)をダブルクリックし、cert_authn.dllに移動してダブルクリックします。
例:
hostname > Default Web Siteaccess\oblix\apps\webgate\bin\cert_authn.dll
|
注意: ISAPI WebGateインストールの構成を手動で実行する場合、HTMLページに次の情報が表示されます。「If you are using client certificate authentication you must enable client certificates for the WebGate and SSL must be enabled on the IIS Web server hosting the WebGate. Once this is done, do the following steps to enable client certificates for the WebGate:」 |
「ファイル セキュリティ」タブをクリックし、ウィンドウの下にある「セキュリティで保護された通信」パネルの「編集」をクリックします。
「クライアント証明書の認証」サブパネルで、「証明書を受諾する」を有効にします。
「セキュリティで保護された通信」ウィンドウで「OK」をクリックし、「cert_authn.dllのプロパティ」ウィンドウで「OK」をクリックします。
効果的なポリシー・ドメインを作成するには、管理するコンテンツを同じ方法でグループ化することが重要です。この場合、スマートカード認証を必要とするリソースを1つのポリシー・ドメインにグループ化します。
各ポリシー・ドメインには、認証スキーム、ルール、オプションのポリシー、管理権限、保護するリソースの各定義が含まれます。各ポリシー・ドメインまたはポリシーに対して許可される認証ルールは1つだけです。認証を強制する1つのルールに対して許可される認証スキームは1つだけです。特定のリソース(URLパターン)に対して優先するポリシー(例外)を設定しないかぎり、デフォルトのルールが適用されます。
認証スキーム: 既存の認証スキームを、ルールの基礎として指定する必要があります。クライアント証明書認証スキームは、スマートカード認証に必要です。詳細は、「クライアント証明書認証スキーム」を参照してください。
管理権限: ポリシー・ドメインの管理権限はオプションです。マスター・アクセス管理者が管理権限をポリシー・ドメインに委任するまでは、ポリシー・ドメインにアクセスできるのはその管理者のみです。すべての管理者が、ポリシー・ドメインまたはポリシー(例外)の認証ルールを作成できます。マスター・アクセス管理者またはマスター管理者のみが、リソースをポリシー・ドメインに追加できます。
リソース: リソースは、静的コンテンツ(HTMLページ、.gif、.pdfなど)または動的コンテンツ(スクリプト、アプリケーション、EJBなど)のいずれでも可能です。
ポリシー・ドメインの詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
デフォルトのクライアント証明書認証スキームは、マスター管理者がアクセス・システムのインストール中にこのオプションを選択した場合、Oracle Access Managerによって自動的に構成されます。このスキームは、インストール後に設定や変更を行うことができます。
クライアント証明書スキームを使用する場合、ユーザーはデジタル証明書をポリシー・ドメインに提示して認証を完了する必要があります。Oracle Access Managerは、公開鍵暗号化とX.509証明書を使用するクライアント証明書認証をサポートします。
証明書の取得方法は、組織で決定することができます。これに関するOracle Access Managerの要件はありません。
Oracle提供のスキームとプラグインを使用する場合、ディレクトリと環境に対してobMappingFilterプラグイン・パラメータを正しく設定する必要があります。詳細は、次を参照してください。
ポリシー・ドメインを使用したリソース保護の詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
各認証スキームには、認証用のユーザー資格証明を取得するチャレンジ・メソッドが必要です。1つの認証スキームに対して許可されるチャレンジ・メソッドは1つだけです。スマートカード認証にはチャレンジ・リダイレクトの要件はありませんが、次のことが必要です。
スマートカード認証には、X509Certチャレンジ・メソッドとX509チャレンジ・パラメータが必要です。これらは、公開鍵暗号化とX509証明書をサポートします。
スマートカード認証には、SSL接続が必要です。
X509Certチャレンジ・メソッドは、ブラウザとWebサーバーに組み込まれたSecure Sockets Layer(SSL)バージョン3(SSLv3)証明書認証プロトコルを使用します。クライアント証明書を使用してユーザーを認証する場合、クライアント証明書を処理するように構成されたWebサーバーとのSSL接続を、クライアントが確立する必要があります。
|
注意: スマートカード認証には、チャレンジ・リダイレクトの要件はありません。 |
Oracle Access Managerの2つのプラグインは、スマートカード認証に対してクライアント証明書認証スキームを使用する場合に必要です。スマートカード・ログイン用クライアント証明書認証スキームを実行する順序は、次のとおりです。
| 認証スキーム | プラグインと実行順序 |
|---|---|
| クライアント証明書 |
|
各プラグインにより、ディレクトリ・サーバーで情報を検索する方法が定義されます。プラグインに応じて多数のパラメータを使用できます。詳細は、「cert_decodeプラグイン」と「credential_mappingプラグイン」を参照してください。
証明書がブラウザに格納されている場合は、証明書の詳細を表示できます。属性の取得に使用される対応した接頭辞を使用したAccess Serverによってサポートされる属性のOIDなど、詳細は『Oracle Access Managerアクセス管理ガイド』を参照してください。
cert_decodeプラグインは、X509Certチャレンジ・メソッドとともに使用できます。このプラグインは、スマートカード認証用クライアント証明書認証スキームに含まれている必要があります。
cert_decodeプラグインにはパラメータがなく、データ・ソースを使用しません。このプラグインは、スマートカード認証用クライアント証明書認証スキームの最初のプラグインにする必要があります。
cert_decodeは証明書をデコードし、証明書のサブジェクトと発行者識別名のコンポーネントを抽出します。各コンポーネントに対して、プラグインはcertSubject接頭辞またはcertIssuer接頭辞の付いた資格証明を挿入します。たとえば、証明書のサブジェクト名がgivenName=somenameなどである場合、プラグインは資格証明certSubject.givenName=somenameを資格証明リストに追加します。
デコードが成功すると、証明書のサブジェクトと発行者DNの要素が資格証明のリストに追加されます。デコードが成功しなかった場合、認証が失敗します。
credential_mappingプラグインは、X509Certチャレンジ・メソッドとともに使用できます。このプラグインは、スマートカード認証用クライアント証明書認証スキームに含まれている必要があります。
credential_mappingプラグインは、スマートカード認証用クライアント証明書認証スキームの2番目のプラグインにする必要があります。このプラグインは、次のパラメータを使用して、ユーザーが入力した情報をディレクトリ内の有効な識別名(DN)にマップします。
obMappingBase="ou=company,dc=yourdc,dc=yourdc,dc=com"obMappingFilter="(&(objectclass=user=)(mail=%certSubject.E%))"
DNを検索する際にユーザーIDがマップされる属性を構成するには、前述のobMappingFilterパラメータを次のように変更します。
dc=the Active Directory Domain Controllermail=%certSubject.E%=maps the email in the Active Directory to the email in the certificate
こうしたことを考慮しながら、「Oracle Access Managerを使用したリソースの保護」の手順を実行します。
この項では、スマートカード認証に関する次のようなトラブルシューティングのヒントについて説明します。
Oracle Access Managerでは、Windows 2000のMicrosoft証明書サーバーからX.509証明書をスマートカードにダウンロードする必要があります。この場合、認証用にActivCard Goldが必要です。
問題
次のWebページからスマートカード用証明書をリクエストします。
http://hostname/cersrv/certsces.asp
「Downloading ActiveX Controls...」というメッセージが表示されますが、プロセスは完了しません。
解決方法
次のWebページに移動します。
http://www.microsoft.com/windows2000/downloads/critical/q323172/default.asp
IISを使用した証明書ダウンロード用のセキュリティ・パッチQ323172を取得します。
Oracle Access Manager 10g(10.1.4.0.1)のスマートカード認証を設定する場合に便利な情報源がいくつかあります。
Active Directoryの設定の詳細は、次を参照してください。
Microsoft Active Directoryのドキュメント
『Oracle Access Managerインストレーション・ガイド』のActive Directoryへのインストールに関する章
『Oracle Access Manager IDおよび共通管理ガイド』のActive Directoryによるデプロイの詳細
ActivCardユーティリティとスマートカードの設定の詳細は、ActivCard製品パッケージに付属する次のドキュメントを参照してください。
『ActivCard Gold User Guide』
ActivCard: 『Configuring Smart Card logon with ActivCard CSP for Windows 2000』
『ActivCard Trouble Shooting Guide』
スマートカードに関する一般的な情報は、次を参照してください。
『Microsoft Step-by-Step Guide to Installing and Using a Smart Card Reader』
『Microsoft Step-by-Step Guide to Mapping Certificates to User Accounts』
