ヘッダーをスキップ
Oracle Access Manager概要
10g(10.1.4.2.0)
E05804-01
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

1 Oracle Access Managerの概要

この章では、Oracle Access Manager 10g(10.1.4.0.1)の概要について説明します。次のトピックが含まれます。

1.1 Oracle Access Managerについて

Oracle Access Manager(以前はOblix NetPointおよびOracle COREidと呼ばれていました)は、ID管理とセキュリティのあらゆる機能を提供し、Webシングル・サインオン、ユーザーのセルフサービスと自己登録、高度なワークフロー機能、監査とアクセス・レポート、ポリシー管理、動的グループ管理、委任管理などの機能を備えます。

Oracle Access Managerは、DMZタイプの3層アーキテクチャを提供し、非常に安全なデプロイとともにデータとアプリケーションの最大限の保護を実現します。次の機能が含まれます。

1.2 Oracle Access Managerの機能の概要

Oracle Access Managerには、シングル・ポイント入力を提供するWebベースのインタフェースが含まれます。Webベースのシステム・コンソールを使用することで、管理者は、管理責任の割当てや委任、およびアクセス・コンポーネントやIDコンポーネントやアプリケーションの外観や動作の管理を行うことができます。

10g(10.1.4.0.1)では、エラー・メッセージなどの静的なデータ、およびタブ、パネル、属性などに対する表示名を、ユーザーのネイティブ言語で表示できます。第4章「グローバリゼーションとマルチバイト・サポートについて」で説明されているように、Unicode UTF-8エンコーディングを使用することで、データの送信や保管を汎用フォーマットで行うことができます。英語がデフォルトの言語で、常にインストールされます。

Oracle Access Manager アイデンティティ・システム: 委任管理、ユーザー・セルフサービス、およびリアルタイム変更管理を提供します。たとえば、ディレクトリ・サーバーのグループを作成、管理、削除することができます。承認不要のセルフサービス、承認が必要なサブスクリプション、ルール・ベースのサブスクリプション、サブスクリプション禁止など、グループに対するサブスクリプション・ポリシーを定義できます。

管理者は、Oracle Access Managerのアイデンティティ管理システムを基にして、パスワード管理や他の機能を構築できます。単一のアイデンティティ管理システムを使用してプライマリ・アイデンティティ・システム・コンポーネントと他のアプリケーションを統合できるので、従業員が組織からいなくなったときは、アクセス・カード、コンピュータ・アカウント、給与支払いのすべての機能を、1つのアイデンティティ変更機能から変更できます。カスタマイズとXMLベースの統合の機能が組み込まれています。

エンド・ユーザーは、管理者によって許可される権限に応じて、他のユーザーやグループを検索して表示したり、電話番号やパスワードなどの個人情報を変更したり、間取図や資産リストなどの組織情報を表示したりできます。

アイデンティティ・システムのコンポーネント、アプリケーション、および機能の詳細は、第2章「アイデンティティ・システムについて」を参照してください。

Oracle Access Managerアクセス・システム: Oracle Access Manager固有のオブジェクト・クラスを使用するディレクトリ・サーバーのリソースへのアクセスを制御する構成設定およびセキュリティ・ポリシーに関する情報を格納します。アクセス・システムの構成設定、アクセス・ポリシー・データ、およびユーザー・データを、同じディレクトリに格納することも、個別のディレクトリ・サーバーに格納することもできます。

管理者は、アクセス・システムを使用して、J2EEアプリケーション、サーブレット、Enterprise JavaBeans(EJB)、およびレガシー・システムなどのWebリソースやエンタープライズ・リソースを保護できます。アクセス・システムは、Web(HTTP)と、非Web(非HTTP)リソースの同種のデータの両方をサポートします。セキュリティ管理に対してアクセス・システムを使用すると、Webアプリケーションやコンテンツに対する企業のアクセス・セキュリティ・ポリシーの強制、複数のWebサーバーやアプリケーションに対する共通のセキュリティ手段の提供、集中的なポリシー作成と非集中的な管理および強制の結合、異機種アプリケーションやシステムに対するセキュリティのきめ細かい制御などが可能です。

アクセス・システムのコンポーネントおよび機能の詳細は、第3章「アクセス・システムについて」を参照してください。

Oracle Access Manager統合サービス: Oracle Access Managerの統合は、複数のオペレーティング・システムやサード・パーティ製品に存在して、ほとんどの大規模エンタプライズIT環境の異機種的性質をサポートします。次は、Oracleが提供する統合オプションのほんの一部です。

詳細は、『Oracle Access Manager統合ガイド』を参照してください。

さらに、次の統合を実行することもできます。

デプロイのライフサイクル・サービス: Oracle Access Manager Configuration Managerは、Oracle Access Managerの構成データおよびアクセス・ポリシー・データをデプロイ内の指定されたソース・ディレクトリから別のデプロイ内の指定されたターゲット・ディレクトリに移行する(コピーをプッシュする)プロセスを自動化する新しいアプリケーションです。このデータは、Oracle Access Managerの各デプロイ内のLightweight Directory Access Protocol(LDAP)ディレクトリのoblixツリーに格納されます。

選択されたデータを別のデプロイに送信するプロセスは、特定のリリースのみの構成データの変更をコピーするため、水平なデータの移行と呼ばれることがあります。たとえば、テストのために少数ユーザー向けにOracle Access Manager 10g(10.1.4.0.1)をインストールおよび構成した後、ほとんどの場合、より多くのユーザーが使用できる大規模なデプロイへの移行が必要になります。

成功のためには、『Oracle Access Manager Configuration Managerインストレーションおよび管理ガイド』に記載された考慮事項、前提条件およびステップごとの説明を参照してください。

1.3 Oracle Access Managerの使用例

Oracle Access Managerを使用することで、内部のリソースに対する外部からのアクセスを一方的に遮断する境界防衛モデルを、ビジネス・ルールに基づくセキュリティ・モデルに切り替えることができます。従業員や顧客や供給業者に、ビジネス・システムやデータを安全に提供できます。

現金自動預け払い機(ATM)を使用すると、Oracle Access Managerのソリューションをうまく例えることができます。かつて、銀行取引は行員と顧客が直接対面して行う必要がありました。ATM技術の出現で、銀行はほとんどの取引をセルフサービス・モデルに移行することができました。同様に、Oracle Access Managerを使用すると、集中管理モデルから分散モデルに移行することができ、データとアプリケーションをインターネット経由で安全に提供できます。

Oracle Access Managerを使用することで、企業は、従業員、顧客、パートナ、供給業者の広範なグループに対して企業の機能を容易に提供し、アプリケーション間のセキュリティのレベルを高く維持し、ユーザーやビジネス・パートナが必要な情報にアクセスできるようにすることができます。

たとえば、社内のユーザー、供給業者、および顧客が、固有のデータ・セットにアクセスする必要があるものとします。さらに、だれもが見る必要のある共通のデータも存在するものとします。Oracle Access Managerを使用すれば、IDベースのポリシーにより、各グループに対して適切なアクセス・レベルを提供しながら、全員が各自の必要なデータのみに安全にアクセスでき、アクセスのための権限を持つことを保証できます。

Oracle Access Managerを使用すると、外部のビジネス・パートナに対して開かれた企業ポータルを管理できます。たとえば、顧客が原材料と機器を注文できるポータルの場合、そのポータルを通して公開されるすべてのアプリケーションは、アクセス権を付与する1つのプラットフォーム(Oracle Access Manager)で保護されます。このようなリソースを保護するアクセス・ポリシーの管理は、企業全体に委任することができ、IT部門ではなく業務部門が、アクセス権を与える顧客、供給業者、パートナを決定します。これは、何千億円もの利益を上げて何万人もの従業員がいる企業でも可能です。

Oracle Access Managerを使用すると、異なるクラスのユーザーに異なるタイプの権限を付与することも可能です。たとえば、医療機関では、次のように、グループが異なると見ることのできるデータの種類が異なるように、データを管理できます。

組織は、Oracle Access Managerを使用してアプリケーション・アカウントを集約できます。たとえば、金融機関では、セルフサービスのポータルを構成し、顧客がオンライン・バンキングや住宅ローン情報や保険などの異なるアカウントに、単一のログインからアクセスできるようにすることができます。

1.4 インストールについて

機密に関わるデータにアクセスするOracle Access Managerアプリケーションは、ファイアウォールの内側にあります。ディレクトリ・サーバーは分離されているので公開されません。ファイアウォールの外側(またはDMZ内)に存在するサーバーは、WebGateまたはWebPassがインストールされたWebサーバーのみです。

次ではインストールと設定のシーケンスの概要を示し、詳細は『Oracle Access Managerインストレーション・ガイド』で説明します。

タスクの概要: Oracle Access Managerのインストール

  1. ホスト・コンピュータを準備します。

  2. アイデンティティ・サーバーをインストールし、Oracle Access Manager構成データでスキーマを更新します。

  3. WebPassをインストールします。

  4. アイデンティティ・システムを設定します。

  5. ポリシー・マネージャとポリシー・データをインストールし、ポリシー・マネージャを設定します。

  6. アクセス・サーバーをインストールします。

  7. WebGateをインストールします。

非本番/テスト環境: Oracle Access Managerのコンポーネントは、単一のコンピュータにインストールできます。その場合は、インストールと設定を実行するときに、コンピュータがWebサーバーをホストしている必要があります。WebPassをアイデンティティ・サーバーと同じディレクトリにはインストールしないでください。ポリシー・マネージャはWebPassと同じディレクトリ・レベルにインストールします。

本番環境: 本番環境では、Oracle Access Managerのコンポーネントをネットワークの異なるコンピュータにインストールするのが一般的です。たとえば、簡単なデプロイには次のものが含まれる場合があります。

『Oracle Access Managerインストレーション・ガイド』および『Oracle Access Managerデプロイメント・ガイド』も参照してください。

1.4.1 言語固有のファイルのインストール・ディレクトリ

Oracle Access Managerのすべてのインストールには\langという名前のディレクトリが含まれ、ここにはインストールされている言語ごとに名前の付いたサブディレクトリが含まれます。たとえば、\lang\en-usは英語固有のサブディレクトリとファイルを含み、各インストールに自動的に提供されます。言語パック(たとえば、フランス語用やアラビア語用など)をインストールすると、追加の言語固有ディレクトリが含まれます。次に例を示します。

IdentityServer_install_dir\identity\oblix\lang\en-us IdentityServer_install_dir\identity\oblix\lang\fr-fr IdentityServer_install_dir\identity\oblix\lang\ar-ar

Oracle提供の言語パックを1つもインストールしない場合は、英語のみがインストールされます。ディレクトリの詳細は、第4章「グローバリゼーションとマルチバイト・サポートについて」を参照してください。

1.5 他の章の内容

このガイドの他の章では、Oracle Access Managerのコンポーネント、アプリケーション、機能、マニュアル、および用語についてさらに詳しく説明します。