1. WebアプリケーションとOracle Identity Cloud Service間のSSOの構成
  2. 統合方法の決定

統合方法の決定

いくつかの方法を使用して、認証のためにアプリケーションをOracle Identity Cloud Serviceと統合できます。ほとんどの方法は、認証プロトコルとしてSecurity Assertion Markup Language (SAML)やOpenID Connect (OIDC)などのオープン標準に依存しています。これらの方法の中には、クラウドベースのアプリケーションに推奨されるものもあれば、オンプレミス・アプリケーションに最適なものもあれば、どちらの場合でも使用できるものもあります。

オプションは、Oracle Identity Cloud Serviceと統合しようとしているアプリケーションのタイプによって異なります。デシジョン・ツリーを使用して、何をするかを決定します。次の方法から選択できます。

  • アプリケーション・カタログ: Oracleは、アプリケーション・テンプレートのコレクションであるアプリケーション・カタログを作成および管理し、Amazon Web ServicesやGoogle Suiteなどの一般的なSaaSアプリケーションのほとんどを構成するためのステップバイステップの手順を提供します。

  • コンテナまたはWebサーバーのメソッド:メソッドは、中間層またはWeb層レイヤーを使用して、認証のためにアプリケーションをOracle Identity Cloud Serviceと統合します。これらのメソッドでは、通常、アプリケーションのソース・コードまたは構成を変更する必要はありません。WebLogic SAMLフェデレーション、Oracle App Gateway、Apache HTTP Serverなどのオプションを使用して、アプリケーションを統合できます。

    コンテナ・セキュリティは、J2EEアプリケーションで最も広く使用されています。この方法は、認証を処理するためのコンテナ自体の構成に依存します。ユーザーがコンテナに対して認証されると、アプリケーションはユーザー・アイデンティティを信頼し、追加の作業を行う必要はありません。

    アプリケーション・ゲートウェイ・ソリューションは、クラウド内かオンプレミス内か、ハイブリッド・ソリューションを使用しているかにかかわらず、独自のインフラストラクチャ内に実装します。アプリケーション・ゲートウェイは、選択したホスティング・ソリューションにインストールする高パフォーマンス・アプライアンスです。DNSおよびネットワーク・ソリューションを利用してサービスを提供します。

    アプリケーション・ゲートウェイは、次の場合に使用できます。

    • フェデレーションをサポートしていないアプリケーションとの統合

    • インターネットから内部ビジネス・アプリケーション(Oracle E-Business Suiteなど)にアクセスします。

    • アプリケーションへの不正ネットワーク・アクセスを制限するか、マルチファクタ認証を適用してセキュリティを強化します

    • Sarbanes-Oxley(SOX)やHealth Insurance Portability and Accountability Act(HIPAA)などの業界の規制に準拠

    • ネイティブ認証メカニズムのないWebアプリケーションとの統合

    コンテナ・セキュリティと同様に、アプリケーションがHTTPヘッダー・ベースの統合をサポートしている場合は、リバース・プロキシWebサーバーとして機能するApache HTTP Serverを使用して、アプリケーションを保護またはリダイレクトできます。

  • アプリケーションの構成に関連するメソッド: Oracle Identity Cloud Serviceでは、OAuth 2.0、OpenID Connect 1.0、SAML 2.0などの標準がサポートされています。アプリケーションでこれらのプロトコルのいずれかがネイティブにサポートされている場合は、アプリケーションを構成するだけでこのオプションを選択できます。この方法は、アプリケーションをOracle Identity Cloud Serviceと統合するための迅速で簡単な方法です。

    最新のWebアプリケーション開発フレームワークのほとんどは、即時利用可能なモジュールまたはライブラリを使用して、OpenID Connect 1.0とOpenID Connectプロバイダの統合をサポートしています。アプリケーションはこれらのライブラリを使用して、HTTPリクエストをOracle Identity Cloud Service REST APIエンドポイントに送信および受信し、ユーザー・アクセス・トークンの認可コードを交換します。

  • SDKを使用して新しいアプリケーションを開発する方法:開発者の場合は、Oracle Identity Cloud Serviceによって提供されるプログラミング言語固有のライブラリをアプリケーションのソース・コードで使用して、アプリケーションを再コンパイルおよび再デプロイできます。SDKは、Java、Node.js、Pythonなどのプログラミング言語で使用できます。

    Java、Node.jsまたはPython Webアプリケーションを開発していて、Oracle Identity Cloud Serviceをアプリケーションの認証メカニズムとして使用する場合は、アプリケーションの言語に関連付けられたSDKを使用します。Oracle Identity Cloud ServiceのSDKは、業界標準のプロトコルおよびレイヤー(OAuth 2.0やOpenID Connect 1.0など)に基づいています。

  • セキュア・フォーム入力:アプリケーションでユーザーがサインオン資格証明を提供する必要があるが、アプリケーションでOAuth、SAMLまたはその他のフェデレーテッド・サインオン・メソッドがサポートされていないとします。Oracle Identity Cloud Serviceでは、このようなアプリケーションのSSOを構成するかわりにセキュア・フォーム入力が提供されます。セキュア・フォーム入力を使用すると、Oracle Identity Cloud Serviceは自動的にサインオン・フォームに入力し、資格証明を送信できます。このオプションにはブラウザ・プラグインが必要であり、他のオプションを使用できない場合にのみ使用することをお薦めします。

このデシジョン・ツリーを使用して、Oracle Identity Cloud Serviceの要件に最も適した統合オプションを選択します:


configure_sso_decision_tree.pngの説明が続きます
図configure_sso_decision_tree.pngの説明