この章では、Oracle Access Manager 10g(10.1.4.0.1)の概要について説明します。次のトピックが含まれます。
Oracle Access Manager(以前はOblix NetPointおよびOracle COREidと呼ばれていました)は、ID管理とセキュリティのあらゆる機能を提供し、Webシングル・サインオン、ユーザーのセルフサービスと自己登録、高度なワークフロー機能、監査とアクセス・レポート、ポリシー管理、動的グループ管理、委任管理などの機能を備えます。
Oracle Access Managerは、DMZタイプの3層アーキテクチャを提供し、非常に安全なデプロイとともにデータとアプリケーションの最大限の保護を実現します。次の機能が含まれます。
アイデンティティ・システム: 同種の製品の中で最初に発表され、最も成熟しているエンタープライズ・アイデンティティ管理システムです。アイデンティティ・システム(以前のNetPoint COREid)は、ユーザー管理とセルフサービス、動的グループ管理と組織管理、プライバシの強制、委任管理、およびこれらに対する追加と変更を保護するための強力なワークフローを提供します。アイデンティティ・システムは、いくつかの世界最大級のエクストラネットやポータルで、数十万から数百万のユーザーを管理するために使用されています。
アクセス・システム: アクセス制御システム(以前のNetPointアクセス・システム)です。Network Computingの2003年Product of the Yearにも選ばれたアクセス・システムは、すべてのWebアプリケーションに対するシングル・サインオンを提供します。様々なアクセス・ポリシーをサポートし、アイデンティティ・システムと完全に統合されているので、ユーザー・プロファイルの変更はアクセス・システムのポリシー強制にただちに反映されます。
統合サービス: Oracle Access Managerの機能をすべてのアプリケーションに拡張します。他のベンダーのシステムやアプリケーションに統合ポイントを提供することで、Oracle Access Managerは、ほとんどの先進のアプリケーション・サーバー、Webサーバー、ディレクトリ、ポータル・サーバー、システム管理製品、およびパッケージ・アプリケーションとの即時統合を可能にします。
デプロイのライフサイクル・サービス: Oracle Access Managerでは、高度な機能を備えた新しいアプリケーションにより、Oracle Access Managerメタデータの構成管理が変更管理のベスト・プラクティスに基づいて処理されることを確保します。
Oracle Access Managerには、シングル・ポイント入力を提供するWebベースのインタフェースが含まれます。Webベースのシステム・コンソールを使用することで、管理者は、管理責任の割当てや委任、およびアクセス・コンポーネントやIDコンポーネントやアプリケーションの外観や動作の管理を行うことができます。
10g(10.1.4.0.1)では、エラー・メッセージなどの静的なデータ、およびタブ、パネル、属性などに対する表示名を、ユーザーのネイティブ言語で表示できます。第4章「グローバリゼーションとマルチバイト・サポートについて」で説明されているように、Unicode UTF-8エンコーディングを使用することで、データの送信や保管を汎用フォーマットで行うことができます。英語がデフォルトの言語で、常にインストールされます。
Oracle Access Manager アイデンティティ・システム: 委任管理、ユーザー・セルフサービス、およびリアルタイム変更管理を提供します。たとえば、ディレクトリ・サーバーのグループを作成、管理、削除することができます。承認不要のセルフサービス、承認が必要なサブスクリプション、ルール・ベースのサブスクリプション、サブスクリプション禁止など、グループに対するサブスクリプション・ポリシーを定義できます。
管理者は、Oracle Access Managerのアイデンティティ管理システムを基にして、パスワード管理や他の機能を構築できます。単一のアイデンティティ管理システムを使用してプライマリ・アイデンティティ・システム・コンポーネントと他のアプリケーションを統合できるので、従業員が組織からいなくなったときは、アクセス・カード、コンピュータ・アカウント、給与支払いのすべての機能を、1つのアイデンティティ変更機能から変更できます。カスタマイズとXMLベースの統合の機能が組み込まれています。
エンド・ユーザーは、管理者によって許可される権限に応じて、他のユーザーやグループを検索して表示したり、電話番号やパスワードなどの個人情報を変更したり、間取図や資産リストなどの組織情報を表示したりできます。
アイデンティティ・システムのコンポーネント、アプリケーション、および機能の詳細は、第2章「アイデンティティ・システムについて」を参照してください。
Oracle Access Managerアクセス・システム: Oracle Access Manager固有のオブジェクト・クラスを使用するディレクトリ・サーバーのリソースへのアクセスを制御する構成設定およびセキュリティ・ポリシーに関する情報を格納します。アクセス・システムの構成設定、アクセス・ポリシー・データ、およびユーザー・データを、同じディレクトリに格納することも、個別のディレクトリ・サーバーに格納することもできます。
管理者は、アクセス・システムを使用して、J2EEアプリケーション、サーブレット、Enterprise JavaBeans(EJB)、およびレガシー・システムなどのWebリソースやエンタープライズ・リソースを保護できます。アクセス・システムは、Web(HTTP)と、非Web(非HTTP)リソースの同種のデータの両方をサポートします。セキュリティ管理に対してアクセス・システムを使用すると、Webアプリケーションやコンテンツに対する企業のアクセス・セキュリティ・ポリシーの強制、複数のWebサーバーやアプリケーションに対する共通のセキュリティ手段の提供、集中的なポリシー作成と非集中的な管理および強制の結合、異機種アプリケーションやシステムに対するセキュリティのきめ細かい制御などが可能です。
アクセス・システムのコンポーネントおよび機能の詳細は、第3章「アクセス・システムについて」を参照してください。
Oracle Access Manager統合サービス: Oracle Access Managerの統合は、複数のオペレーティング・システムやサード・パーティ製品に存在して、ほとんどの大規模エンタプライズIT環境の異機種的性質をサポートします。次は、Oracleが提供する統合オプションのほんの一部です。
シングル・サインオンの統合
ポータルの統合
アプリケーション・サーバーの統合
サード・パーティ認証の統合
詳細は、『Oracle Access Manager統合ガイド』を参照してください。
さらに、次の統合を実行することもできます。
Oracle Access ManagerとOracle Virtual Directoryを組み合せて使用した単一LDAPサービスによる、複数のディレクトリとユーザー・リポジトリのリアルタイム統合。詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
オプションのSimple Network Management Protocol(SNMP)エージェントとの統合。これによって提供されるデータをSNMPおよびNetwork Management System(NMS)で使用することで、エージェントがインストールされているのと同じサーバー・ホストに存在するアイデンティティ・サーバーおよびアクセス・サーバーのステータスとアクティビティを監視できます。SNMPのインストールについては、『Oracle Access Managerインストレーション・ガイド』を参照してください。モニタリングの詳細は『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
または、Oracle Enterprise Manager 10g Identity Management Packを使用して、パフォーマンスおよび可用性を向上し、Oracle Access Managerの管理コストおよび複雑さを緩和することもできます。Oracle Enterprise Manager 10g Identity Management Packでは、Oracle Identity and Access Management Suiteに、Oracle Access Managerおよびその他の製品のシステム・モデリングが、すぐに使用できる状態で提供されています。主要なパフォーマンス・メトリックの収集は、迅速な診断に役立ちます。可用性、パフォーマンスおよび全般的なデプロイの状態を監視できます。サービス・レベルの管理機能により、事前に記録済のトランザクションを使用してアイデンティティ・サービスおよびアクセス・サービスのパフォーマンスと可用性を積極的に監視できます。サービスが期待どおりのパフォーマンスを満たしていることを確認し、サービス・レベル・パフォーマンスに関する見通しをステーク・ホルダーに提供できます。詳細は、『Oracle Enterprise Manager概要』および『Oracle Enterprise Managerアドバンスト構成』を参照してください。Oracle Enterprise Managerでオンライン・ヘルプを使用できます。
デプロイのライフサイクル・サービス: Oracle Access Manager Configuration Managerは、Oracle Access Managerの構成データおよびアクセス・ポリシー・データをデプロイ内の指定されたソース・ディレクトリから別のデプロイ内の指定されたターゲット・ディレクトリに移行する(コピーをプッシュする)プロセスを自動化する新しいアプリケーションです。このデータは、Oracle Access Managerの各デプロイ内のLightweight Directory Access Protocol(LDAP)ディレクトリのoblix
ツリーに格納されます。
選択されたデータを別のデプロイに送信するプロセスは、特定のリリースのみの構成データの変更をコピーするため、水平なデータの移行と呼ばれることがあります。たとえば、テストのために少数ユーザー向けにOracle Access Manager 10g(10.1.4.0.1)をインストールおよび構成した後、ほとんどの場合、より多くのユーザーが使用できる大規模なデプロイへの移行が必要になります。
成功のためには、『Oracle Access Manager Configuration Managerインストレーションおよび管理ガイド』に記載された考慮事項、前提条件およびステップごとの説明を参照してください。
Oracle Access Managerを使用することで、内部のリソースに対する外部からのアクセスを一方的に遮断する境界防衛モデルを、ビジネス・ルールに基づくセキュリティ・モデルに切り替えることができます。従業員や顧客や供給業者に、ビジネス・システムやデータを安全に提供できます。
現金自動預け払い機(ATM)を使用すると、Oracle Access Managerのソリューションをうまく例えることができます。かつて、銀行取引は行員と顧客が直接対面して行う必要がありました。ATM技術の出現で、銀行はほとんどの取引をセルフサービス・モデルに移行することができました。同様に、Oracle Access Managerを使用すると、集中管理モデルから分散モデルに移行することができ、データとアプリケーションをインターネット経由で安全に提供できます。
Oracle Access Managerを使用することで、企業は、従業員、顧客、パートナ、供給業者の広範なグループに対して企業の機能を容易に提供し、アプリケーション間のセキュリティのレベルを高く維持し、ユーザーやビジネス・パートナが必要な情報にアクセスできるようにすることができます。
たとえば、社内のユーザー、供給業者、および顧客が、固有のデータ・セットにアクセスする必要があるものとします。さらに、だれもが見る必要のある共通のデータも存在するものとします。Oracle Access Managerを使用すれば、IDベースのポリシーにより、各グループに対して適切なアクセス・レベルを提供しながら、全員が各自の必要なデータのみに安全にアクセスでき、アクセスのための権限を持つことを保証できます。
Oracle Access Managerを使用すると、外部のビジネス・パートナに対して開かれた企業ポータルを管理できます。たとえば、顧客が原材料と機器を注文できるポータルの場合、そのポータルを通して公開されるすべてのアプリケーションは、アクセス権を付与する1つのプラットフォーム(Oracle Access Manager)で保護されます。このようなリソースを保護するアクセス・ポリシーの管理は、企業全体に委任することができ、IT部門ではなく業務部門が、アクセス権を与える顧客、供給業者、パートナを決定します。これは、何千億円もの利益を上げて何万人もの従業員がいる企業でも可能です。
Oracle Access Managerを使用すると、異なるクラスのユーザーに異なるタイプの権限を付与することも可能です。たとえば、医療機関では、次のように、グループが異なると見ることのできるデータの種類が異なるように、データを管理できます。
医療計画のメンバーは、自分たちの医療情報を見ることができます。
従業員に医療サービスを提供する企業は、医療計画を管理できます。
医師と病院は、患者の情報を見ることができます。
組織は、Oracle Access Managerを使用してアプリケーション・アカウントを集約できます。たとえば、金融機関では、セルフサービスのポータルを構成し、顧客がオンライン・バンキングや住宅ローン情報や保険などの異なるアカウントに、単一のログインからアクセスできるようにすることができます。
機密に関わるデータにアクセスするOracle Access Managerアプリケーションは、ファイアウォールの内側にあります。ディレクトリ・サーバーは分離されているので公開されません。ファイアウォールの外側(またはDMZ内)に存在するサーバーは、WebGateまたはWebPassがインストールされたWebサーバーのみです。
次ではインストールと設定のシーケンスの概要を示し、詳細は『Oracle Access Managerインストレーション・ガイド』で説明します。
タスクの概要: Oracle Access Managerのインストール
ホスト・コンピュータを準備します。
アイデンティティ・サーバーをインストールし、Oracle Access Manager構成データでスキーマを更新します。
WebPassをインストールします。
アイデンティティ・システムを設定します。
ポリシー・マネージャとポリシー・データをインストールし、ポリシー・マネージャを設定します。
アクセス・サーバーをインストールします。
WebGateをインストールします。
非本番/テスト環境: Oracle Access Managerのコンポーネントは、単一のコンピュータにインストールできます。その場合は、インストールと設定を実行するときに、コンピュータがWebサーバーをホストしている必要があります。WebPassをアイデンティティ・サーバーと同じディレクトリにはインストールしないでください。ポリシー・マネージャはWebPassと同じディレクトリ・レベルにインストールします。
本番環境: 本番環境では、Oracle Access Managerのコンポーネントをネットワークの異なるコンピュータにインストールするのが一般的です。たとえば、簡単なデプロイには次のものが含まれる場合があります。
アイデンティティ・サーバーとアクセス・サーバーは、ファイアウォールによって保護された異なるコンピュータにインストールできます。パフォーマンスを高めるには、アイデンティティ・サーバーとアクセス・サーバーが異なるホストに存在する必要があります。
Webサーバー、WebPass、WebGate、およびポリシー・マネージャは、DMZ内に存在できます。
『Oracle Access Managerインストレーション・ガイド』および『Oracle Access Managerデプロイメント・ガイド』も参照してください。
Oracle Access Managerのすべてのインストールには\langという名前のディレクトリが含まれ、ここにはインストールされている言語ごとに名前の付いたサブディレクトリが含まれます。たとえば、\lang\en-usは英語固有のサブディレクトリとファイルを含み、各インストールに自動的に提供されます。言語パック(たとえば、フランス語用やアラビア語用など)をインストールすると、追加の言語固有ディレクトリが含まれます。次に例を示します。
IdentityServer_install_dir\identity\oblix\lang\en-us IdentityServer_install_dir\identity\oblix\lang\fr-fr IdentityServer_install_dir\identity\oblix\lang\ar-ar
Oracle提供の言語パックを1つもインストールしない場合は、英語のみがインストールされます。ディレクトリの詳細は、第4章「グローバリゼーションとマルチバイト・サポートについて」を参照してください。
このガイドの他の章では、Oracle Access Managerのコンポーネント、アプリケーション、機能、マニュアル、および用語についてさらに詳しく説明します。
第2章「アイデンティティ・システムについて」では、簡単なインストールの図を示します。
第3章「アクセス・システムについて」では、簡単なインストールの図を示します。