ヘッダーをスキップ
Oracle Access Manager概要
10g(10.1.4.2.0)
E05804-01
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

3 アクセス・システムについて

Oracle Access Managerアクセス・システムは、Oracle Access Managerアイデンティティ・システムに対するオプションのコンポーネントです。アクセス・システムは、集中的な認証、認可、および監査の機能を提供し、シングル・サインオンとエンタープライズ・リソースに対する安全なアクセス制御を可能にします。リソースとしては、Webコンテンツ、アプリケーション、サービス、Web上のアプリケーションのオブジェクト、および非Web(非HTTP)リソースの同種のデータなどがあります。

この章では、次のことについて詳しく説明します。

3.1 アクセス・システムの主要な機能

表3-1は、主要なアクセス制御機能の一覧です。表の後に詳細な説明があります。

表3-1 アクセス・システムの機能

機能
  • 認証

  • 認可

  • 監査

  • パーソナライズ

  • シングル・サインオン

  • 委任アクセス管理


アクセス・システムの主要な機能として、認証、認可および監査があります(AAAと呼ばれることもあります)。後で詳しく説明するように、これらの機能は会社のアクセス・セキュリティ・ポリシーをWebアプリケーションとコンテンツに強制します。

次に、アクセス・システムの簡単なインストールを示して説明します。

3.2 アクセス・システムのコンポーネントと機能

Oracle Access Managerアクセス・システムを使用すると、アクセス・ポリシーの作成を集中化しながら、ポリシーの管理と実施を分散化できます。アクセス・システムを使用して、次の種類のリソースを保護できます。

図3-1は、アクセス・システムの基本的なコンポーネントです。WebGateは、アクセス・サーバーと通信し、アクセス・サーバーはディレクトリ・サーバーと通信し、ポリシー・マネージャはWebPassを通してディレクトリ・サーバーと通信します。

図3-1 アクセス・システムの基本的なインストール

アクセス・システムの基本的なインストール
「図3-1 アクセス・システムの基本的なインストール」の説明

Oracle Accessプロトコル(以前のNetPointまたはCOREid Accessプロトコル)を使用すると、ユーザーの認証と認可の間に、アクセス・システム・コンポーネント間で通信できます。Oracle Access Manager Webクライアント(ポリシー・マネージャとWebPass、アクセス・サーバーとWebGate)間のトランスポート・セキュリティは、オープン、シンプル(Oracle提供)、または証明書(サード・パーティのCA)のいずれかです。シンプル・モードと証明書モードでは、Oracle Access ManagerのコンポーネントはX.509デジタル証明書のみを使用します。

アクセス・サーバーとディレクトリ・サーバー(およびポリシー・マネージャとディレクトリ・サーバー)の間のトランスポート・セキュリティには、オープンまたはSSLを使用できます。すべてのポリシー・マネージャとディレクトリ・サーバーの間で、同じモードを使用する必要があります。

ポリシー・マネージャのインストールと設定の間に、LDAPディレクトリ・サーバーはポリシー・データ(アクセス・ポリシー・データ)を含むように更新されます。ポリシー・マネージャで定義されているすべてのアクセス・ポリシー定義が、ディレクトリ・サーバーに格納されます。

アクセス・システムのコンポーネントと動作については、次で詳細に説明します。

3.2.1 ポリシー・マネージャとアクセス・システム・コンソール

ここでは、ポリシー・マネージャ、アクセス・システム・コンソール、およびそれぞれで使用できる機能について説明します。

ポリシー・マネージャ: 管理者がアクセス・ポリシーを作成および管理できるWebベースのインタフェースを提供します。また、ポリシー・マネージャは、ディレクトリ・サーバーと通信してポリシー・データを書き込み、特定のポリシーの変更が行われたときにはOAP(Oracle Accessプロトコル)を介してアクセス・サーバーと通信してアクセス・サーバーを更新します。

マスター・アクセス管理者と委任アクセス管理者は、ポリシー・マネージャを使用して次のことを行います。

  • 次のもので構成されるポリシー・ドメインを作成して管理します。

    • 保護するリソース・タイプ

    • 認証、認可および監査のルール

    • ポリシー(例外)

    • 管理権限

  • ポリシー・ドメインにリソースを追加します。

  • アクセス・ポリシーの実施をテストします。

Webサーバー・インスタンスをホストしているコンピュータに、ポリシー・マネージャをWebPassとともにインストールする必要があります。WebPassは、ポリシー・マネージャと同じディレクトリ・レベルにインストールされます。フォルト・トレランスのために、複数のポリシー・マネージャをインストールすることをお薦めします。ポリシー・マネージャのインストールと設定の詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。

アクセス・システム・コンソール: ポリシー・マネージャのインストールに含まれます。Webベースのアクセス・システム・コンソールがログイン・インタフェースを提供するタブと機能では、マスター管理者、マスター・アクセス管理者、および委任アクセス管理者は、次のような特定の操作を実行できます。

  • 「システム構成」タブ: マスター管理者は、1人以上のユーザーをマスター・アクセス管理者に割り当てたり、委任アクセス管理者とその権限を追加または削除したりすることができます。マスター・アクセス管理者の役割には、リソース・タイプ、ポリシー・ドメイン、および認証と認可のスキームの定義が含まれます。

    「システム構成」タブでは、管理者はサーバーの設定を表示および変更することもできます。たとえば、不具合に関するレポート、ユーザー・フィードバック、および会社のWebマスターに対する電子メール・アドレスの指定、シングル・サインオンに対するデフォルトのログアウトURLの変更、ディレクトリ・サーバーの設定の構成、キャッシュの設定の表示などを行うことができます。

  • 「システム管理」タブ: マスター管理者は次のものを管理できます。

    • 診断: アクセス・サーバーの詳細が表示されます(接続情報など)。

    • レポートの管理: ユーザー・アクセス権限レポートを作成、表示、または変更できます。

    • 同期レコードの管理: 特定の日付より前にポリシー・マネージャによって生成された同期レコードをアーカイブまたは消去します。ディレクトリ・サーバー上でこれらのレコードが消費する領域を管理するには、定期的に、指定した日付より前のすべてのレコードをアーカイブまたは消去するのがよい方法です。

  • 「アクセス・システム構成」タブ: マスター・アクセス管理者または委任アクセス管理者は、次の作業を実行できます。

    • アクセス・ゲート、アクセス・サーバー、アクセス・サーバー・クラスタおよびホスト識別子の表示、追加、変更、削除

    • 認証と認可のパラメータ、Webリソースのユーザー権限および共通情報の表示および変更

    • 次のような共通情報の構成

      共有シークレット: ブラウザに対するCookieを暗号化する暗号キーを生成します。

      マスター監査ルール: そのインストールに対するデフォルトのマスター監査ルールを作成します。

      リソース・タイプ定義: リソース・タイプを定義および管理します。パスワード・ポリシー・キャッシュのフラッシュ: パスワード・ポリシーを選択して、関連するすべてのキャッシュをフラッシュします。または、ロスト・パスワード管理ポリシーを選択して、関連するすべてのキャッシュをフラッシュします。重複アクション: 重複アクション・ヘッダーを処理するポリシーを選択します。

ポリシー・マネージャおよびアクセス・システム・コンソールにアクセスするには、ブラウザで次のURLを入力します。hostnameはWebPassおよびWebサーバーをホストするコンピュータ、portはWebPass Webサーバー・インスタンスのHTTPポート番号です。/access/oblixは、対象のアクセス・システムに接続します。

     http://hostname:port/access/oblix

3.2.2 アクセス・サーバー

Oracle Access Manager アクセス・サーバーは、認証と認可において重要な役割を持ちます。

  • 認証では、リソースに必要な認証方法を判別し、ディレクトリ・サーバーから資格証明を収集した後、資格証明の検証の結果に基づいて、HTTPレスポンスをアクセス・クライアント(WebGateまたはアクセス・ゲート)に返します。

  • 認可では、アクセス情報を収集し、ディレクトリに格納されているポリシー・ドメインと認証の間に設定されたIDに基づいてアクセスを許可します。

これらの操作を実行するため、ディレクトリ・サーバーとWebGateの両方と通信するスタンドアロンのアクセス・サーバー・インスタンスを1つ以上使用できます。アクセス・サーバー・インスタンスをインストールする前に、アクセス・システム・コンソールでアクセス・サーバー・インスタンスを定義する必要があります。


注意:

フェイルオーバーとロード・バランシングのために、複数のアクセス・サーバーをインストールすることをお薦めします。

プロセスの概要: アクセス・サーバー

  1. Oracle Access Managerアクセス・クライアント(WebGateまたはアクセス・ゲート)からリクエストを受け取ります。

  2. ディレクトリ・サーバーにある認証、認可、および監査のルールを問い合せて、次のことを判別します。

    1. リソースが保護されているかどうか(保護されている場合はその方法)

    2. ユーザーはすでに認証されているかどうか(ユーザーがまだ認証されていない場合は、チャレンジが提供されます)

    3. ユーザーの資格証明が有効かどうか

    4. リクエストされているリソースに対してユーザーが認可されているかどうか、およびその条件

  3. アクセス・クライアントに対して次のように応答します。

    1. 認証スキームを送信します。

    2. 資格証明を検証します。

    3. ユーザーを認可します。

    4. 監査を行います。

  4. 次のようにしてセッションを管理します。

    1. WebGateによるユーザー・セッションの終了を補助します。

    2. タイムアウトしたときは再び認証を行います。

    3. セッションの間のユーザー・アクティビティを追跡します。

    4. ユーザーに対してセッション・タイムアウトを設定します。

3.2.3 WebGateとアクセス・ゲート

Oracle Access Managerのマニュアルでは、アクセス・ゲートとWebGateが同じ意味で使用されている場合があります。しかし、両者には注意すべき違いがあります。

  • WebGateはWebサーバーのプラグイン・アクセス・クライアントであり、Webリソースに対するHTTPリクエストを捕捉して、認証と認可のためにアクセス・サーバーに転送します。WebGateは、すぐに使用できる状態でOracle Access Managerに同梱されています。

  • アクセス・ゲートはカスタム・アクセス・クライアントであり、ユーザーまたはOracleが、Software Developer Kit(SDK)およびOracle Access Manager APIを使用して個別に開発します。アクセス・ゲートは、ユーザーまたはアプリケーションからWebおよび非Web(非HTTP)のリソースに対するリクエストを処理するアクセス・クライアントの形式です。詳細は、「カスタム・アクセス・クライアント」を参照してください。

WebGateは、ユーザーまたはアプリケーションからリソースに対するリクエストを捕捉して、認証および認可のためにアクセス・サーバーに転送します。詳細は、「アクセス・システムの動作」を参照してください。

WebGateをインストールする前に、アクセス・システム・コンソールでWebGateを定義し、アクセス・サーバーまたはアクセス・サーバーのクラスタと関連付ける必要があります。詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。

3.2.4 アクセス・システムの動作

図3-2は、認証および認可においてアクセス・システムのコンポーネントが連携して動作するしくみを示しています。図の後に説明があります。

図3-2 アクセス・システムの基本的な動作

アクセス・システムの基本的な動作
「図3-2 アクセス・システムの基本的な動作」の説明

プロセスの概要: ユーザーがアクセスを要求するとき

  1. WebGateがリクエストを捕捉します。

    保護できるサーバーの中には、Webサーバー、アプリケーション・サーバー、およびFTPサーバー(Oracle Access Manager SDKを使用して)が含まれます。

  2. WebGateはリクエストをアクセス・サーバーに転送し、リソースが保護されているかどうか、保護の方法、およびユーザーが認証されているかどうか(認証されていない場合は、チャレンジがあります)を判定します。

  3. アクセス・サーバーは、ディレクトリ・サーバーでユーザーIDやパスワードなどの資格証明を確認し、情報をWebGateに返送して、ユーザーを認証するために暗号化されたCookieを生成します。

    アクセス・サーバーは、ディレクトリ・サーバーに格納されていた情報を利用して、IDを判定するための顧客指定の認証方法を使用して、ユーザーを認証します。Oracle Access Managerの認証は、任意のサード・パーティ認証方法および異なる認証レベルをサポートします。機密性の程度が異なるリソースは、より厳しい認証方法に対応する高いレベルの認証を要求することで保護できます。

  4. 認証に続いて、WebGateは、アクセス・サーバーに対し、適切なセキュリティ・ポリシーを探し、それをユーザーのIDと比較して、ユーザーの認可のレベルを判定するよう求めます。

    • アクセス・ポリシーが有効な場合は、ユーザーは希望するコンテンツまたはアプリケーションへのアクセスを許可されます。

    • ポリシーが正しくない場合は、ユーザーはアクセスを拒否され、組織の管理者が決定する別のURLにリダイレクトされます。

前に説明したように、ポリシー・マネージャは、ディレクトリ・サーバーと通信してポリシー・データを書き込み、特定のポリシーの変更が行われたときにはOAPを介してアクセス・サーバーと通信してアクセス・サーバーを更新します。WebPassは、ポリシー・マネージャに対する管理者のリクエストを捕捉して転送します。

3.3 アクセス・システムのカスタマイズ

Oracle Access Managerアクセス・システムのカスタマイズに利用できる様々なコンポーネントとメソッドが提供されています。

3.3.1 カスタム・アクセス・クライアント

アクセス・ゲートは、カスタム製のアクセス・サーバー・クライアント(エージェント)であり、Oracle Access Managerによって保護されたLDAPドメイン内にあるリソースへのアクセスに対するユーザー・リクエストを処理します。ユーザー・リクエストを処理するためのコードは、プラグインに埋め込むことも、スタンドアロンのアプリケーションとして作成することもできます。

アクセス・ゲートは、アクセス・サーバーを使用して、Webサイトに対するアクセスの試みを制御します。アクセス・ゲートを使用すると、認可および認証をURLに加えて他のリソースにも拡張でき、Oracle Access Managerの外部のアプリケーションとのユーザーの対話を制御できます。これにより、Webリソースおよび非Webリソースに適用される集中的なポリシー情報が提供されます。

アクセス・ゲートの詳細は、『Oracle Access Manager開発者ガイド』を参照してください。「Access Manager API」も参照してください。

3.3.2 カスタム認証および認可プラグイン

製品とともにインストールされる標準の認証および認可プラグインを使用することも、Oracle Access Managerの認証プラグインAPIおよび認可プラグインAPIを使用して独自のカスタム・プラグインを作成することもできます。各カスタム・プラグインは、適切なインタフェース(認証または認可)を実装します。プラグインに応じて、インタフェースはアクセス・サーバーとプラグインの間での関連情報の受け渡しを有効にします。インタフェース内のメソッドがデータを解析します。

C言語およびC#(.NETマネージ・コード)の認証プラグインAPIおよび認可プラグインAPIを使用して、カスタム・プラグインを開発できます。

3.3.3 Access Manager API

Access Manager APIは、Software Developer Kitのサブセットです。Access Manager APIを使用して、サポートされている4種類の開発言語でカスタム・アクセス・クライアント・コードを記述し、Java、CおよびC++、C#(.NET)のアプリケーションと統合できます。4種類の実装は、それぞれプラットフォーム固有の機能を利用してAPIを実装していますが、機能的には同じです。

詳細は、「カスタム・アクセス・クライアント」を参照してください。

3.3.4 ポリシー・マネージャAPI

ポリシー・マネージャAPI(Access Manager SDKのサブセット)を使用すると、ポリシー・ドメインとその内容を作成して管理したり、カスタム・アプリケーションによるアクセス・サーバーの認証、認可、および監査の各サービスへのアクセスを可能にしたりすることができます。たとえば、GUIではなくプログラム・インタフェースを使用するアプリケーションを作成し、ポリシー・ドメインとその内容を作成、変更、削除、および取得することができます。

ポリシー・マネージャ(およびポリシー・マネージャAPI)が提供する機能の詳細は、ポリシー・マネージャのGUIおよび『Oracle Access Managerアクセス管理ガイド』を参照してください。

ポリシー・マネージャAPIは、特定のオブジェクトをインスタンス化するために使用できるクラスに対するJava、C、およびマネージ・コードのバインディングを提供します。詳細は、『Oracle Access Manager開発者ガイド』を参照してください。

3.3.5 Software Developer Kit

Oracle Access Manager Software Developer Kitは、個別にインストールする必要のあるオプションのコンポーネントです。サポートされている各開発プラットフォームに対するアクセス・システムAPIのライブラリ、ビルド命令、例、およびリソースを提供します。このAPIを使用すると、認証および認可のためにアクセス・サーバーにアクセスできる、IBM WebSphere、Sun、またはその他のアプリケーション・サーバーなどの、市販されているアプリケーション・サーバーに組み込むことのできるインタフェースを作成できます。

個別のアクセス・システムAPIについては、この章で解説します。Software Developer KitおよびすべてのAPIの詳細は、『Oracle Access Manager開発者ガイド』を参照してください。

3.4 外部認証

Oracle Access Managerの外部認証を使用すると、信頼できる技術リレーションシップを通して、企業の境界を越えて、複数のセキュリティ・システムを統合できます。

インストールした後、認証用に外部SSOソリューションを信頼するよう、Oracle Access Managerを構成する必要があります。認証の実行中には、サード・パーティの認証メカニズムによって提供されるID情報が受け付けられて、Oracle Access Managerによって認可された適切なユーザーにマップされます。

外部認証メカニズムの詳細は、『Oracle Access Managerアクセス管理ガイド』および『Oracle Access Manager統合ガイド』を参照してください。

3.5 フェデレーテッド認証

フェデレーションという用語は、信頼を意味するラテン語が基になっています。セキュリティ管理のコンテキストで使用する場合、フェデレーションとは、基本的に、信頼できる技術リレーションを通して複数のセキュリティ・システムを統合することを意味します。フェデレーテッド認証を使用すると、企業の境界を越えて複数のセキュリティ・システムを統合できます。

Oracle Identity Federationがサポートする外部認証メカニズムの詳細は、『Oracle Identity Federation管理者ガイド』を参照してください。

3.6 他の章の内容

このガイドの他の章では、概念、動作、マニュアル、および用語についてさらに詳しく説明します。