oracle access management 12cに関する よくある質問(faq) … · • saml 2.0、openid...
TRANSCRIPT
概要
Oracle Access Managementは、シームレスなユーザー・
エクスペリエンス、一元管理、市場をリードするパフォー
マンスとスケーラビリティを維持しながら、モバイル・テ
クノロジーおよびソーシャル・ネットワーク・テクノロ
ジー、オンプレミスとクラウドへのアプリケーションのハ
イブリッド型デプロイメント、ハイブリッドなアクセス管
理の導入を通じてビジネスを確実に転換できるように設
計された包括的なソリューションです。
おもな機能
主要サービス
• 複数の認証スキーム
• Webシングル・サインオン(SSO)
• セッション管理ライフサイクル
• コースグレイン認可
インテリジェントなアクセス管理
• コンテキスト対応(デバイス・コンテキスト、地理的位
置、セッション・コンテキスト、トランザクション・コ
ンテキスト)
• コンテンツ対応(コンテンツ分類を利用)
• リスク対応(コンテキストとポリシーに基づくリアルタ
イム・リスク評価)
• コンテキスト、コンテンツ、リスク主導型の動的なス
テップアップ認証およびファイングレイン認可
適応型アクセス
• デバイスのフィンガープリンティング
• 予測的自動学習
• ナレッジベース認証(KBA)
• SMS、電子メール、Oracle Mobile Authenticator(ソフ
ト・トークンOTPのモバイル・アプリ)を使用したワン
タイム・パスワード(OTP)
不正の検出と調査
• リアルタイム分析とバッチ分析(ヒューリスティック行
動分析)
• 総合的なリスク・スナップショット
IDフェデレーション
• SAML 2.0、OpenID 2.0、OAuth 2.0のサポート
モバイル・セキュリティ
• クライア ント 側のSDKによ る認証、SSO 、委任 認可
(OAuth)
• 適応型アクセス機能のサポート
APIとWebサービスのセキュリティ
• 認証、認可
• データ形式(XML、JSON)と転送プロトコルの変換
• XMLファイアウォールとスロットル
クラウド・セキュリティ
• Oracle Identity Cloud Service(IDCS)との統合
利点
• スケーラビリティ(最大で2億5000万ユーザー・アカウ
ントをサポート)
• マルチ・データセンター(MDC)をアクティブ-アクティ
ブ構成でサポートする高可用性REST APIを使用し、簡素
化されたMDCセットアップ
• 動的で事前予防的なセキュリティ対策により、静的な
事後対応型セキュリティ・システムに潜む一般的なリ
スクを回避
Oracle Access Management 12cに関する
よくある質問(FAQ)
2
目次
概要 ......................................................................................................................................1
おもな機能 ...........................................................................................................................1
利点 ......................................................................................................................................1
Oracle Access Management ................................................................................................4
一般的な質問 ..................................................................................................................4
ライセンスに関する質問 ................................................................................................5
サーティフィケーションに関する質問 ..........................................................................6
機能に関する質問 ...........................................................................................................6
統合に関する質問 ...........................................................................................................9
Oracle Access Management Access Manager(Access Manager) ............................... 10
一般的な質問 ............................................................................................................... 10
サーティフィケーションに関する質問 ........................................................................ 11
移行に関する質問 ......................................................................................................... 11
Oracle Access Management Mobile and Social(Mobile and Social) ........................... 12
一般的な質問 ............................................................................................................... 12
Oracle Access Management Access Portal(Access Portal) ........................................ 14
一般的な質問 ............................................................................................................... 14
Oracle Adaptive Access Manager ..................................................................................... 15
一般的な質問 ............................................................................................................... 15
Oracle Enterprise Single Sign-On Suite Plus ...................................................................... 17
一般的な質問 ............................................................................................................... 17
Oracle Access Management Identity Federation(Identity Federation) ........................ 20
一般的な質問 ............................................................................................................... 20
Oracle Access Management Security Token Service(Security Token Service) ........... 23
一般的な質問 ............................................................................................................... 23
Oracle Web Services Manager ......................................................................................... 25
一般的な質問 ............................................................................................................... 25
Oracle Entitlements Server ............................................................................................... 27
一般的な質問 ............................................................................................................... 27
3
Oracle API Gateway ......................................................................................................... 30
一般的な質問 ............................................................................................................... 30
Statement of Direction(方向性) .................................................................................... 35
4
Oracle Access Management
ここでは、Oracle Access Managementに含まれるすべて
のサービスに関するよくある質問について説明します。
一般的な質問 1. Oracle Access Management 12cを初めて使用します。
何から始めればよいですか。
最新の12c Identity and Access Managementに関するド
キュメントは次の場所にあります。
http://www.oracle.com/technetwork/jp/middleware/id-
mgmt/documentation/index.html
また、完全でスケーラブルなアクセス管理に関するホワイ
ト・ペーパーには、Access Managementとその主要な機
能の概要が説明されています。次のページを参照してくだ
さい。
http://www.oracle.com/us/products/middleware/identity-
management/access-management/overview/index.html
2. Oracle Access Management 12cソフトウェアはどこ
でダウンロードできますか。
オ ラ ク ル の す べ て の ラ イ セ ン ス 製 品 ( Access
Management 12c を 含 む ) は 、 次 の Oracle Software
Delivery Cloudからダウンロードできます。
https://edelivery.oracle.com/
3. Oracle Access Managementの最近のリリースを教
えてください。
• Oracle Identity and Access Management 11.1.2.3.0
は2015年5月にリリースされました。このリリース
には、次のAccess Managementサービスが含まれ
ています。Access Manager、Identity Federation、
Mobile and Social、OAuth2.0、Access Portal、
Security Token Service、Adaptive Access Manager、
Entitlements Server、Web Services Manager、API
Gateway、およびEnterprise Single Sign-On。
• Oracle Identity and Access Management 11.1.2.2.0
は2014年1月にリリースされました。このリリース
には、次のAccess Managementサービスが含まれ
ています。Access Manager、Identity Federation、
Mobile and Social、Access Portal、Security Token
Service、Adaptive Access Manager、Entitlements
Server、Web Services Manager、API Gateway、お
よびEnterprise Single Sign-On。
• Oracle Identity and Access Management 11.1.2.1.0
は2013年4月にリリースされました。このリリース
には、次のAccess Managementサービスが含まれ
ています。Access Manager、Identity Federation、
Mobile and Social 、 Security Token Service 、
Adaptive Access Manager、Entitlements Server、
Web Services Manager、API Gateway、および
Enterprise Single Sign-On。
• Oracle Identity and Access Management 11.1.2.0
は2012年7月にリリースされました。このリリース
には、次のAccess Managementサービスが含まれ
ています。Access Manager、Identity Federation、
Mobile and Social 、 Security Token Service 、
Adaptive Access Manager、Entitlements Server、
Web Services Manager、Enterprise Gateway、およ
びEnterprise Single Sign-On。
• Oracle Identity and Access Management 11.1.1.7
は2013年4月にリリースされました。このリリース
には、次のAccess Management製品が含まれてい
ます。Oracle Access Manager、Oracle Security
Token Service、Oracle Adaptive Access Manager、
およびOracle Entitlements Server。
• Identity Management 11.1.1.7は2013年4月にリ
リースされました。このリリースには、次のAccess
Management 製 品 が 含 ま れ て い ま す 。 Oracle
Identity Federation、Oracle Web Services Manager、
Oracle Enterprise Gateway 、 Oracle Fusion
Middlewareテクノロジー(ADF、WebCenter、SOA
Suiteなど)およびOracle Fusion Applications向け
の埋込みOracle Entitlements Server PDP。
• Identity Management 11.1.1.6は2012年2月にリ
リースされました。このリリースには、次のAccess
5
Management 製 品 が 含 ま れ て い ま す 。 Oracle
Identity Federation、Oracle Web Services Manager、
Oracle Enterprise Gateway 、 Oracle Fusion
Middlewareテクノロジー(ADF、WebCenter、SOA
Suiteなど)およびOracle Fusion Applications向け
の埋込みOracle Entitlements Server PDP。
• Oracle Identity and Access Management 11.1.1.5
は2011年5月にリリースされました。このリリース
には、次のAccess Management製品が含まれてい
ます。Oracle Access Manager、Oracle Security
Token Service、Oracle Adaptive Access Manager、
およびOracle Entitlements Server。
4. Access Management 製 品 の Premier Support と
Extended Supportの期間を知るにはどうすればよいですか。
すべての製品(Access Managementを含む)のオラクル
のライフタイム・サポート・ポリシーは、次の場所にあり
ます。
https://www.oracle.com/jp/support/lifetime-support/ind
ex.html
5. サポート期間とパッチ適用ベースラインに関する必
須の知識にはどのようなものがありますか。
My Oracle Support 記 事 1290894.1 で 、 Oracle Fusion
Middleware製品(Access Managementを含む)のエラー
修正サポート期間について説明しています。
https://support.oracle.com/CSP/main/article?cmd=show
&type=NOT&id=1290894.1
6. Access Management製品について疑問がある場合
や、問題が発生した場合はどうすればよいですか。
最初に、次の製品ドキュメントを参照してください。
http://www.oracle.com/technetwork/jp/middleware/id-
mgmt/documentation/index.html
Oracle Supportには、お客様からよく寄せられる質問に関
連する、役に立つさまざまなナレッジ関連記事があります。
疑問に対する答えがドキュメントにない場合、Oracle
Support(http://support.oracle.com)でサービス・リクエ
スト(SR)を登録してください。
ライセンスに関する質問 1. 価格とライセンスに関する情報はどこにありますか。
すべてのオラクル製品の価格とライセンスに関する情報は、
http://www.oracle.com/jp/corporate/pricing/index.html
にあります。
2. Oracle Access Manager Basicライセンスとはどのよう
なものですか。また、このライセンスは何を意味しますか。
Oracle Access Manager(OAM)Basicライセンスは、Oracle
iAS Suite、またはOracle E-Business Suiteなどの他の製品の
購入により、Oracle AS Single Sign-On(OSSO)を所有し
ているお客様をサポートするために設定されたものです。
OAM Basicライセンスでは、有効なOracle Single Sign-On
(OSSO)ライセンスを持つお客様は、いくつかの制限の
下で、それを同数のAccess Managerライセンスと交換で
きると規定しています。この制限のため、Access Manager
用のOracleインフラストラクチャ・コンポーネントを使用
する必要があります。これはOSSOの要件でもありました。
たとえば、LDAPディレクトリはOracle Internet Directory
かOracle Virtual Directoryであることが必要で、Oracleアプ
リケーション・リソースの保護のみが可能です。制限を解
除するには、Access Managerの完全なライセンスを購入
す る 必 要 が あ り ま す 。 詳 し く は 、
http://docs.oracle.com/cd/E23943_01/doc.1111/e14860/
oa m_basic.htm#CHDBECDJを参照してください。
3. OAuthを使用するにはどのようなライセンスが必要
ですか。
OAuthはAccess Managementサービスの下位サービスで
す。Oracle Access Management Suite Plus、Oracle Identity
and Access Management Suite Plusを含むライセンスを
持っていれば、OAuth機能を使用できます。
6
4. ライセンスに関する質問があるのですが、ここには
その回答が見つかりません。どうすればよいですか。
ライセンスに関するその他の質問と回答は、次の場所にあ
るIdentity and Access Managementのライセンスに関す
るドキュメントを参照してください。
http://docs.oracle.com/cd/E28280_01/doc.1111/e14860/i
m_options.htm
ライセンス・オプションについて不明点が残る場合や、さ
らに質問がある場合は、オラクルの販売担当者にお問い合
わせください。
サーティフィケーションに関する質問 1. サポートされている構成(オペレーティング・シス
テム、ブラウザ、LDAPディレクトリなど)に関する最新
情報はどこにありますか。
サポートされている最新の12c Access Management構成
については、Oracle Technology Networkの次の場所にあ
るサーティフィケーション・マトリックスを参照してくだ
さい。
http://www.oracle.com/technetwork/middleware/ias/do
wnloads/fusion-certification-100350.html
2. Oracle Fusion Middleware 11g/12c 製 品 と Oracle
Access Management 11g製品の相互運用性に関する最新
情報はどこにありますか。
相互運用性の詳細と、Oracle Access Management 11g製
品のサポートについては、Oracle Fusion Middleware
11g/12cのサーティフィケーション・マトリックスを参照
してください。
http://www.oracle.com/technetwork/middleware/ias/do
wnloads/fusion-certification-100350.html
機能に関する質問 1. Oracle Access Manager、Oracle Identity Federation、
およびその他の製品は、独立した製品としてインストール
され、管 理され てきま した 。これは 、Oracle Access
Management 12cリリースで変わりましたか。
Access Manager、Identity Federation、およびOAuth2.0
Serviceは、12.2.1.3.0の同じソフトウェア・バンドルの一
部としてインストールされます。これらのサービスは、
OAM管理コンソールで構成します。これらのサービスを
アクティブ化できるのは、ライセンスを所有している場合
のみであることに注意してください。
2. Oracle Enterprise Single Sign-On とOracle Access
Managerは、どちらもシングル・サインオン機能を備えて
います。これら2つの製品の相違点を教えてください。
Access Managerは、Webアプリケーションへのシームレ
スでセキュアなアクセスを提供するソリューションです。
Oracle Enterprise Single Sign-Onは、デスクトップ・アプ
リケーション、Javaアプリケーション、およびメインフ
レーム・アプリケーションへのシームレスでセキュアなア
クセスを提供するソリューションです。
3. Oracle Access ManagerとOracle Entitlements Server
は、どちらも認可機能を備えていますが、片方はコースグ
レイン認可、もう一方はファイングレイン認可です。それ
らの違いと、適切な使用箇所を教えてください。
Oracle Access Managerはコースグレイン認可(と呼ばれ
ることがあるもの)を提供します。これは、指定のWeb
アプリケーションへのアクセスをURLレベルで保護しま
す。たとえば、ユーザーAがアプリケーション1にアクセ
スできるようにします。
7
Oracle Entitlements Server(OES)は、アプリケーション、
ポータル、コンテンツ管理システム、Webサービス、およ
びデータベースでユーザーが可能な操作を制御すること
で、ファイングレイン認可を提供します。たとえば、OES
は次のものを制御できます。
• 有効化または表示が可能なUIウィジェット(メ
ニュー項目、タブ、ポートレット、フィールド、
ボタンなど)。
• 情報、ドキュメント、およびデータベース・レコー
ドへのアクセス。
• アクセス可能な情報に対して実行できる操作。
• APIおよびWebサービスへのアクセス。
• RESTサービスによりクライアントに返されるデータ。
4. 最新リリースのAccess Management 12c(12.2.1.3.0)
の主要な機能は何ですか。
• 完全なエンド・ツー・エンドTLS 1.2およびSHA-2
のサポート。
• OAMでの多要素認証による、忘れたパスワードの
再設定。
• 複数のパスワード・ポリシーのサポート。
• Touch Id と PIN を サ ポ ー ト す る Oracle Mobile
Authenticatorによるアプリケーション保護。
• マルチ・データセンターでのOAuthサポート。
− IDドメイン、クライアント、リソースなどの
OAuthアーチファクトは、複数のデータセンター
全体で確認でき、データセンター間でシームレス
に同期されます。
− OAuth信頼アーチファクト(JWTトークンの署名
と発行に使用される信頼証明書など)は、複数の
データセンター全体で確認できます。
− DC1上で生成されたOAuthトークンは、他のデー
タセンターで検証されます。ランタイムは、複数
の異なるDCに対してシームレスに動作します。
− 検証済みトークンに関連付けられた、DC1に作成
されたセッションは、他のDCにリクエストが到
達すると、そこでシームレスに検証されます。
− DC1で生成されたリフレッシュ・トークンはDC2
でも有効になります。DC2に対してリフレッ
シュ・トークンを使用すると、検証され、DC2に
アクセス・トークンが生成されます。
• MDCライフサイクルの簡素化
− T2Pツール管理を使用せずに、Oracle Access
Managerマルチ・データセンター・トポロジの設
定および管理プロセスを簡素化します。
− 管理および診断を目的とした、RESTベースの新し
いAPIが導入されました。
− MDC環境で実行する構成手順の数が著しく削減
されます。
− データセンター間でのOAMシステム構成および
ポリシー・アーチファクトの移行が、MDC Admin
REST APIによって簡素化されました。
• OAMキャッシングの簡素化
− Oracle Access Manager 12cでは、データベースに
支えられたサーバー側セッション管理をサポー
トしており、これにより、Oracle Access Manager
12cサーバー・クラスタの複数のノード間でセッ
ション状態が同期化されます。
− 構成とポリシーは、定期ポーリングを使用し、構
成およびポリシー・ストアによって伝播します。
• Access Manager
− 委任管理
− きめ細かいアイドル・タイムアウト
− ポリシーの順序変更
− 動的認証/高度なルール
− 10g/11g共存アプローチの強化
− Cookieベースのセッション管理
− マルチ・データセンター・デプロイメントの改善
− IPv6のサポート
8
• OAuth 2.0サービス
− 3-legged OAuthと2-legged OAuth
• API Gateway
− テスト環境から本番環境への昇格サポートの強
化
− 構成の差分とマージのサポート
− 組込みのOAuthトークン・ストアとKPSバッキン
グ・ストア
− 監視とロギングの強化
• Entitlement Server
− WebCenter Contentにより管理されるドキュメ
ントおよびレコードと、管理操作のファイングレ
イン認可
− HAおよびディザスタ・リカバリのサポートの強
化
− パフォーマンス強化
5. Access Management 11gR2 Patch Set 2(11.1.2.2.0)
の主要な機能は何ですか。
• Access Manager 、Identity Federation 、Security
Token Service、Mobile and Social、およびAccess
Portalの構成に使用する統合管理コンソール
• インストールとパッチ適用のための自動化ツール
• 新しいAccess Portalサービス
• Access Management Suiteに統合されたIdentity
Federation IDプロバイダ
• Access Manager
− 委任管理
− きめ細かいアイドル・タイムアウト
− ポリシーの順序変更
− 動的認証/高度なルール
− 10g/11g共存アプローチの強化
− Cookieベースのセッション管理
− マルチ・データセンター・デプロイメントの改善
− IPv6のサポート
• Mobile and Social
− サーバー側のモバイルSSO
− JWT/OAMトークン交換
− モバイル・クライアント・ベースのフェデレー
ション
− モバイル・クライアント向けの組込みアプリケー
ション登録
• OAuth 2.0サービス
− 3-legged OAuthと2-legged OAuth
• API Gateway
− テスト環境から本番環境への昇格サポートの強化
− 構成の差分とマージのサポート
− 組込みのOAuthトークン・ストアとKPSバッキン
グ・ストア
− 監視とロギングの強化
• Entitlement Server
− WebCenter Contentにより管理されるドキュメ
ントおよびレコードと、管理操作のファイングレ
イン認可
− HAおよびディザスタ・リカバリのサポートの強化
− パフォーマンス強化
6. Access Management 11gR2 Patch Set 1(11.1.2.1)
の主要な機能は何ですか。
• 異種対応 - すべてのAccess Management製品で
のWebsphere Application Server 7.0のサポート
• 認証とSSO
− 11g WebGateでIBM HTTP Server 7.0に対応
− セキュリティの強化とユーザー・エクスペリエン
スの改善
− OpenSSO/Sun Access Manager(SAM)移行ツー
ルの改善
− マルチ・データセンター・サポートの強化
9
• Mobile and Social
− Android用SDKのサポート
− Windows Liveなどのソーシャル・プロバイダの
追加
− モバイルのオフライン認証
− ソーシャルIDからローカル・アカウントへのリンク
• エンタープライズ・シングル・サインオン
− OPAMの統合
• Adaptive Access Manager
− 単一ページのログイン・フロー(バーチャル・パッ
ドなし)によるユーザー・エクスペリエンスの簡
素化
• Entitlements Server
− 非常に大規模なデプロイメントでのユーザー・エ
クスペリエンスの改善
− すぐに使用可能な新しいサード・パーティ・アプ
リケーション・サーバーの認定
− Oracle Fusion Middlewareの統合
− .NETおよびSharepoint 2010の統合
− ポリシーのシミュレーション
− 複数のIDストアのサポート
• API Gateway
− OAuth 2.0のサポート
− RESTおよびJSONのサポートの改善
− API鍵管理の改善
− 統合された新しいUIコンソール
− 新しいデプロイメント/クラスタリング・モデル
− Access Manager 11gR2 Access SDKベースの統合
− Oracle Business Transaction Monitorとの統合
− パラメータ化されたポリシー
7. Oracle Access Managementとのやり取りが必要な
カスタムの統合を開発しています。利用できるサンプル・
コードはどこにありますか。
サンプル・コードはすべて、次の場所にあるSample Code for Developers and Adminサイトで公開しています。
http://www.oracle.com/technetwork/indexes/samplecod
e/id-mgmt-1884959.html
統合に関する質問 1. IDと管理の統合に関する情報はどこにありますか。
Identity Management製品とAccess Management製品の
統合に関する概要を参照することをお勧めします。次の
ページを参照してください。
http://www.oracle.com/technetwork/jp/middleware/id-
mgmt/documentation/index.html
2. Access Management 製 品 を 他 の オ ラ ク ル 製 品
(Oracle E-Business Suite、PeopleSoft、JD Edwards、Siebel
など)と統合する場合のガイドはどこにありますか。
それらのオラクル製品をOracle Access Management(特
にAccess Manager)と統合する方法に関するドキュメン
トについては、該当する製品のドキュメント・セット、ま
たはOracle Supportのナレッジベースの記事を参照して
ください。
10
Oracle Access Management Access
Manager(Access Manager)
ここでは、Access Managerに関連した、よくある質問に
ついて説明します。
一般的な質問 1. Oracle Access Managerとはどのようなものですか。
Oracle Access Manager(Access Manager)は、新しい
Oracle Access Managementプラットフォームの基盤です。
Webシングル・サインオン(SSO)、認証、認可、一元的
なポリシー管理およびエージェント管理、リアルタイムの
セッション管理、および監査の中核的な機能を提供します。
100% Java の ソ リ ュ ー シ ョ ン と し て 作 成 さ れ て い る
Access Managerはスケーラビリティに富み、インター
ネット規模のデプロイメントに対応できます。また、数百
のWebサーバーおよびアプリケーション・サーバーに対し
て認定されたエージェントを含む、既存の異種混合環境で
も動作します。Access Managerは豊富な機能、スケーラ
ビリティ、および高可用性を提供することによってセキュ
リティを向上させ、ユーザー・エクスペリエンスと生産性
を改善し、コンプライアンスを強化しつつ、総所有コスト
を削減します。
2. Access Manager 12cの主要な機能は何ですか。
• 完全なエンド・ツー・エンドTLS 1.2およびSHA-2
のサポート。
• OAMでの多要素認証による、忘れたパスワードの
再設定。
• 複数のパスワード・ポリシーのサポート。
• OAMキャッシングの簡素化
• MDCの簡素化
3. Access Manager 11gR2 Patch Set 2(11.1.2.2)の主要
な機能は何ですか。
• 委任管理
• きめ細かいアイドル・タイムアウト
• 動的認証/高度なルール
• ポリシーの順序変更
• 10g/11g共存アプローチの強化
• Cookieベースのセッション管理
• マルチ・データセンター・デプロイメントの改善
• IPv6のサポート
4. Access Manager 11gR2 Patch Set 1(11.1.2.1)の主要
な新機能は何ですか。
• 異種対応
− WebSphere Application Server 7.0のサポート
− 11g WebGateでIBM HTTP Serverに対応
• セキュリティの強化とユーザー・エクスペリエン
スの改善(POSTデータの保持、ログイン・ページ
でのドロップダウンによる言語選択など)
• OpenSSO/SAM移行ツールの改善
• Excelベースの評価レポート
• OpenSSO 8.0およびSAM 7.1の増分モード移行
• マルチ・データセンター・サポートの強化 - デー
タセンターの読取り専用設定
5. Access Manager 11gR2(11.1.2.0)の主要な機能は何
ですか。
• ID条件でのLDAPサーバーのフィルタ
• 属性クラス認可条件 - セッション、リクエスト、
またはユーザー属性
• 複雑な認可式
• 外部資格証明コレクション
• 動的な多要素/多段階認証
• RESTfulポリシー管理インタフェース
• パスワード管理
• OAM 10g、OpenSSO 8、およびSAM 7.1とのサー
バー側共存
• マルチ・データセンター・デプロイメントのサポート
• サード・パーティの統合(Microsoft Sharepoint、
RSA Authentication Manager 7.1、JBoss 5.0など)
11
6. Access Manager 12cの高可用性デプロイメントを検
討しています。どのようなオプションがありますか。
Access Manager 12cは100% Javaのソリューションとし
て構築されており、非常に優れたスケーラビリティと高可
用性を実現するように設計されています。
• 高可用性デプロイメントを検討しているお客様は、
次の点を考慮する必要があります。
• 単一データセンター内の水平スケーリングには
WebLogicクラスタ内のデプロイメント。
• 複数のデータセンター全体でのスケーリングには
マルチ・データセンター・デプロイメント。アク
ティブ-アクティブ、アクティブ-パッシブ、または
アクティブ-ホット・スタンバイの各モードで構成
できます。
• 簡素化されたマルチ・データセンター・セットアップ。
7. Access Manager 12cは、x-509認証をサポートしてい
ますか。
HTTPリクエストで証明書が提供される限り、Access
Manager 12cはx-509認証をサポートします。
サーティフィケーションに関する質問 1. 12c WebGatesのサーティフィケーション・マトリッ
クスはどこにありますか。
サーティフィケーションのリンクは次のOTNページにあ
ります。
http://www.oracle.com/technetwork/middleware/id-mg
mt/downloads/oam-webgates-2147084.html
2. 求めるWebGate構成がサーティフィケーション・マ
トリックスに記載されていません。新しいWebGateをリ
クエストするにはどうすればよいですか。
Oracle Supportでサービス・リクエストを登録し、新しい
Access Manager WebGateをサポートするためのサーティ
フィケーションのリクエストであることを指定してくだ
さい。
移行に関する質問 1. 12cへのアップグレードと移行のパスはどうなって
いますか。
Oracle Access Manager 11gR2PS3から、Oracle Access
Manager 12cへの直接アップグレードがサポートされて
います。
2. Oracle Access Manager 11gR2PS2からOracle Access
Manager 12cへのアップグレードにはどのようなオプ
ションがありますか。
最初に11gPS2から11gPS3に、続いて11gPS3から12cに
アップグレードするホップ・アップグレードになります。
12
Oracle Access Management Mobile and
Social(Mobile and Social)
ここでは、Mobile and Socialに関連した、よくある質問に
ついて説明します。
一般的な質問 1. What is Oracle Access Management Mobile and
Socialとはどのようなものですか。
Oracle Access Management Mobile and Social(Mobile
and Social)は、機能豊富なプラットフォーム固有のクラ
イアント側SDKと、REST、JSON、OAuthなどの業界標準
を使用して、既存のアクセス・ソリューションおよびディ
レクトリ・ソリューションをモバイル機器に安全に拡張す
るソリューションです。オプションで、FacebookやGoogle
といったソーシャル・ネットワークIDを使用してログイン
し、Oracle Access Managerで保護されているリソースへ
のアクセスを取得できます。Mobile and SocialはOracle
Access ManageおよびOracle Adaptive Access Managerと
緊密に統合されており、これらのコンポーネントとともに
事前構成されたものがAccess Managementインストール
の一部としてインストールされます。
2. Mobile and Social と と も に 使 用 で き る Access
Managerのバージョンを教えてください。
Mobile and Social は 、 Oracle Access Manager 10gR3
( Server お よ び WebGates )、 Access Manager 11gR1
(11.1.1.5以降)、Access Manager 11gR2(11.1.2.x)をサ
ポートしています。詳しくは、次の場所にあるサーティ
フィケーション・マトリックスを参照してください。
http://www.oracle.com/technetwork/middleware/ias/do
wnloads/fusion-certification-100350.html
モバイル・シングル・サインオンは、ネイティブのモバイ
ル・アプリケーションと、モバイル・ブラウザを介したア
プリケーション・アクセスでサポートされています。
3. Oracle Adaptive Access Managerとともに使用した
場合、Mobile and Socialはどのような追加機能を提供しま
すか。
• Mobile and SocialをOracle Adaptive Access Manager
11gR2(11.1.2.x)と組み合わせると、次の追加機能を
使用できます。
• 高度なデバイス・フィンガープリンティングと履歴追
跡
• 高度なデバイス登録
• デバイスの紛失や盗難に対処するポリシー・サポート
• GPSおよびWiFiによる位置認識
• リスク・ベースのナレッジベース認証(KBA)と電子
メール/SMSのワンタイム・パスワード(OTP)
• トランザクションのリスク分析
4. Access Managerに11gR2(11.1.2.x)にアップグレー
ドします。Mobile and Socialを追加するにはどうすればよ
いですか。
Access Manager 11gR2(11.1.2.x)をインストールすると、
Mobile and Social機能もインストールされますが、最初は
ア ク テ ィ ブ に な っ て い ま せ ん 。 Oracle Access
Management管理コンソールからAvailable Servicesペー
ジにアクセスして、Mobile and Socialの機能セットをオン
にします。
5. 最初から使用できるのは、どのソーシャルIDプロバ
イダですか。
Mobile and Socialは、Google、Facebook、Yahoo、Twitter、
およびLinkedInを最初からサポートしています。Mobile
and SocialはOAuthおよびOpenID標準を使用して、それら
のIDプロバイダを統合します。その他のプロバイダは、
Mobile and SocialのSocial Identity APIを介して追加でき
ます。詳しくは、次の場所にあるサーティフィケーショ
ン・マトリックスを参照してください。
http://www.oracle.com/technetwork/middleware/ias/do
wnloads/fusion-certification-100350.html
13
他のプロバイダについて詳しくは、Oracle Consulting
Servicesまたは実装パートナーにお問い合わせください。
6. Mobile and SocialはOracle API Gatewayと連携して
動作しますか。
Mobile and SocialとOracle API Gateway(OAG)は統合さ
れ、モバイルやその他のタイプのアプリケーションに対し
てセキュアなAPIを使用する、エンド・ツー・エンドのソ
リューションを提供します。OAG:
• API管理、脅威からの保護、クライアント側スロットリ
ング、トランスポートおよびメッセージ/コンテンツ・
レベルのセキュリティ、OAUTH機能、ファイングレイ
ン認可およびデータ改訂(Oracle Entitlements Server
との統合による)と、モバイル・アプリケーション(お
よびその他のタイプのクライアント)に対して公開さ
れるREST、SOAP、JMSなどのタイプのAPIとWebサー
ビス向けのその他多くの機能を提供します。
• Oracle Access Management Mobile and Socialの REST
ベースのエンド・ポイントと同じレベルの保護を提供
します。
• Oracle Access Management Mobile and SocialのJWT
トークンまたはOAMトークンを使用するWebGateお
よび適用ポイントとして機能し、オラクルのWeb
Access Management/SSOソリューションをWebサー
ビスに拡張します。
• プロトコルとセキュリティ・トークンの変換を提供し
ます。たとえば、認証とID伝播にSAMLを利用する内部
のSOAPベースのWebサービスは、モバイル・アプリ
ケーションに対して、OAM/JWT Tokenに基づくセキュ
アなREST APIとして公開できます。
7. Mobile and Socialのユーザー・プロファイル・サー
ビスとはどのようなものですか。Mobile and Socialはどの
ディレクトリに対してユーザー・プロファイルのサポート
を提供しますか。
ユーザー・プロファイル・サービスを使用すると、Mobile
and Socialのユーザーと管理者は、構成済みのディレクト
リ・サービスにアクセスできます。ユーザー・プロファイ
ル・サービスは、企業やコミュニティのホワイト・ページ、
ユーザーの自己登録やセルフサービス、およびディレクト
リ管理ツールで使用できます。その他の機能には、ユー
ザー、グループ、関係(ユーザーのマネージャーなど)の
検索、表示、作成、更新、および削除などがあります。
ユーザー・プロファイル・サービスは、Oracle Unified
Directory ( OUD )、 Oracle Directory Server Enterprise
Edition (ODSEE )、 Oracle Internet Directory (OID )、
WebLogic サー バ ー埋 込みLDAPなど、すべてのOracle
LDAPディレクトリにRESTインタフェースを提供します。
また、Microsoft Active Directory、Novell eDirectory、Open
LDAPなど、他の業界標準ディレクトリもサポートしてい
ます。詳しくは、次の場所にあるサーティフィケーショ
ン・マトリックスを参照してください。
http://www.oracle.com/technetwork/middleware/ias/do
wnloads/fusion-certification-100350.html
8. Mobile and SocialではどのようなクライアントSDK
を使用できますか。
Mobile and Social 11gR2(11.1.2.2.0)には、JAVA、iOS、
およびAndroid用のMobile and Social SDKが提供されてい
ます。
9. 使用しているモバイル・プラットフォームにはSDKが
ありません。それでもMobile and Socialを使用できますか。
デバイス、アプリケーション、およびMobile and Social
サーバーのやり取りはすべて、HTTP/HTTPSプロトコル経
由のRESTコールで行われます。そのRESTfulインタフェー
スはすべてのMobile and Social Client SDK(iOS、JAVA、
Androidを含む)に組み込まれており、SDKの基盤として
機能します。SDKがサポートするプラットフォームとシナ
リオでは、SDKによってMobile and Socialの使用が簡素化
され、SSOや資格証明の保存などのクライアント側機能が
標準化されます。ソリューションで、SDKのないデバイス
(BlackBerryデバイスなど)をサポートする必要がある場
合や、SDKでは要件が満たされない場合は、REST APIを使
用できます。
14
Oracle Access Management Access Portal
(Access Portal)
ここでは、Access Portalに関連した、よくある質問につい
て説明します。
一般的な質問 1. Oracle Access Management Access Portal(Access
Portal)とはどのようなものですか。
Access Portalサービスは、SaaSアプリケーション、Oracle
Access Managementで保護されるリソース、ビジネス・
パートナーのアプリケーションなどの、Webベースのアプ
リケーションに対して、クロス・プラットフォームのシン
グル・サインオン・サービスを提供します。
2. シングル・サインオンはどのようにして実現されて
いますか。
シングル・サインオンは、Oracle Access Managementトー
クン(Oracle Access Managementで保護されるリソース
へのSSO)、Identity Federation(フェデレーション対応
SaaSや、ビジネス・パートナーのアプリケーションへの
SSO)およびフォーム入力(フェデレーション非対応Web
アプリケーション(SaaSを含む)へのSSO)など、さまざ
まな方法で実現されます。
3. Access Portalを既存または新しく開発したユーザー・
ポータルに統合するにはどのようにすればよいですか。
Access Portalは、用意されているRESTfulインタフェースを
使用して、既存または新しく開発したユーザー・ポータル
に統合できます。
15
Oracle Adaptive Access Manager
ここでは、Oracle Adaptive Access Manager(OAAM)に
関連した、よくある質問について説明します。
一般的な質問 1. Oracle Adaptive Access Managerとはどのようなも
のですか。
Oracle Adaptive Access Manager(OAAM)は、Webアプ
リケーションの不正アクセスと誤使用を防止するために
利用されます。OAAMは、デバイスのフィンガープリン
ティング、ロケーション・インテリジェンス、動作プロファ
イリング、リアルタイムのリスク分析およびリスク・ベー
スのID検証、阻止およびアラートなど、複数のセキュリ
ティ・レイヤーを提供します。OAAMのセキュリティ・レ
イヤーは、認証資格証明の侵害、セッション・ハイジャッ
ク、内部関係者の不正などの、最新のオンラインの脅威に
対処します。
2. 12cのインストールでOAAMが見つかりません。
OAM 12cとともにOAAMを使用するにはどうすればよい
ですか。
OAAM 11gR2PS3はOAM 12cと統合できます。これは確認
されている統合です。
OAAMは、Oracle Access Management 12cには含まれませ
ん。OAAMの方向性に関する声明は、こちらにあります。
3. OAAM 11gR2(11.1.2.x)の新機能にはどのようなも
のがありますか。
OAAM 11gR2は、モバイル・アクセス・セキュリティの改
善、マルチチャネル不正検出機能の強化、クラウド・サー
ビス・プロバイダ向けの階層型セキュリティ、および不正
調査を高速化する新しいフォレンジック・ツールを提供し
ます。標準のWebアクセスとモバイル・アクセスの両方に、
一元化された階層型セキュリティとリスク・ベースの認証
を提供するのは新しい機能です。アクセスとトランザク
ションのリスクをWeb以外のソースから評価する機能に
より、企業をより総体的に保護するのを支援します。
セキュリティは依然として企業におけるクラウド・サービ
ス導入の主要な障壁であるため、サービス・プロバイダが
保護レイヤーを追加できることはビジネス成長の鍵です。
人間の不正調査員がアラートを評価する必要がある場合、
すばやく容易に状況を確認し、関連する不正を特定するの
をOAAMが支援します。
4. OAAMには企業においてどのようなコスト削減効果
がありますか。
OAAMは、機密アプリケーションやそこに含まれるデータ
に関する不正やその誤使用を防止することで、企業収益へ
の悪影響を軽減できます。セキュリティ侵害が公になった
結果としてブランドが損なわれると、企業にとって、短期
的にも長期的にも非常に高いコストが発生する可能性が
あります。また、不正を防止することで、巨額の企業資金
を直接的に節約できます。複数のセキュリティ・レイヤー
によってユーザーIDを検証し、トランザクションのリスク
をリアルタイムで評価することで、OAAMは平均して1年
で採算がとれます。ROIについて詳しくは、IDCによる、
ROIに関する調査を参照してください。
5. OAAMでは、どのようにしてセルフサービスのパス
ワード管理フローを改善できますか。
各社とも、セルフサービスのフローを優先的に開発して、
コストの高い、ヘルプ・デスクへの通話を減少させようと
しており、そのためフローは高度にセキュアである必要が
あります。もっとも重要なフローの1つが、忘れたパスワー
ドの再設定です。フローをセキュアな方法で完了できない
と、境界セキュリティに弱点ができることになります。ま
た、再設定フローに従った操作が簡単でない場合、エンド
ユーザーはヘルプ・デスクに電話することになり、セルフ
サービス・フローの目的全体が崩壊します。OAAMの階層
型セキュリティは、デバイスのフィンガープリンティング、
動作プロファイリング、リスク分析、およびリスク・ベー
スの認証によりフローを保護します。忘れたパスワードフ
ローで代替認証メカニズムとしてチャレンジ質問を利用
すると、送信される回答のばらつきをOAAMにおいて許容
することで、ユーザーの成功率を高めることができます。
OAAMでは、タイプミス、略語、および日付書式の差異の
処理さえも可能で、操作性を向上させることができます。
階 層 型 セ キ ュ リ テ ィ と OAAM の ナ レ ッ ジ ベ ー ス 認 証
(KBA)回答ロジックを組み合わせる独自の方式により、
ヘルプ・デスクの通話回数と不正件数を両方とも確実に低
下させる助けになります。
16
6. KBAには、ユーザー・エクスペリエンスに対してど
のような影響がありますか。
数百万のユーザーを有する、コンシューマ向けの大規模
OAAMデプロイメントでは、顧客サポートの通話量がロー
ル・アウト中に約0.2%増加し、ロール・アウト後すぐに
減少したことが報告されています。すべての回答ロジック
が有効化され、「低」に設定されている場合、KBAチャレ
ンジの約7%がサポートに電話してリセットを依頼する結
果になりましたが、回答ロジックを「高」にすると、この
数値は約半分に減少しています。
CSR電話チャレンジ機能を活発に使用する大規模OAAM
デプロイメントはこの結果に非常に満足し、有効なユー
ザーは常に、95%の確率で電話での質問に答えることがで
きると報告しています。
7. OAAMの自動学習とはどのようなものですか。
自動学習は、動作をプロファイリングする、OAAMの一連
の機能です。ユーザー、デバイス、場所、およびトランザ
クションそのものの動作が記録され、現在の動作を評価す
るために使用されます。たとえば、OAAMでは、ログイン
時刻に基づいてユーザーをプロファイリングできます。
Johnが87%の確率で午前8時から10時の間にログインし
ている場合、午前2時にログインを試みると、リスク・レ
ベルは上がります。つまり、通常のログイン時刻のプロ
ファイルに当てはまっていません。OAAMは、複数のデー
タ・ポイントを組み合わせて、その相互関係をリアルタイ
ムで評価し、「学習」します。これにより、有効なユーザー
が時間の経過とともに動作を変更しても、リスク評価の自
動調整が可能です。
8. 新しいセキュリティ・リスク・ポリシーを実装する
ためにオラクルと連携して作業する必要がありますか。
いいえ。OAAMは、予見できるあらゆるユースケースを実
現するように構成できる、一般的なルール条件を使用して
リスク・ポリシーを構成するための、ビジネス・ユーザー
にとって使いやすいGUIを提供しています。新しいポリ
シーは、容易に本番データに対してテストし、効果を評価
できます。
9. トランザクションのリスク分析を実行するために
OAAMをアプリケーションと統合するにはどうすればよ
いですか。
OAAMでは、通常のアプリケーション統合用のJava、.Net、
およびSOAP APIが用意されています。OAAMは、通常とは
異なるユースケースに対しても、Java Message Service
Queueの非同期でバッチ・ベースのオプションを提供して
います。
10. OAAMはどの言語に対してグローバル化されていま
すか。
OAAMは、すべての製品がサポートする必要がある、オラ
クルの標準の言語セットにグローバル化されています。エ
ンドユーザー向けの画面はSTD_RUNTIMEの26の言語セッ
トに翻訳され、OAAM管理コンソールはSTD_ADMINの9
の言語スコープに翻訳されています。最新の言語スコープ
は、こちらにあります。
17
Oracle Enterprise Single Sign-On Suite Plus
ここでは、Oracle Enterprise Single Sign-On Suite Plus
(Oracle eSSO)に関連した、よくある質問について説明
します。
Oracle eSSOは、Oracle Access Management 12cには含ま
れません。
Oracle eSSOの方向性に関する声明はこちらにあります。
一般的な質問 1. Oracle Enterprise Single Sign-On Suite Plusとはどの
ようなものですか。
Oracle Enterprise Single Sign-on Suite Plus(Oracle eSSO)
を使用すると、ユーザーは、デスクトップ、ネットワーク、
またはインターネットで、パスワード保護されたすべての
アプリケーション用の単一パスワードを使用してエン
タープライズ・アプリケーションにログインできます。シ
ングル・サインオン、クライアント側でのWindowsパス
ワード再設定、一元的なユーザー・プロビジョニング、キ
オスク環境のサポート、厳密認証、包括的な監査などの機
能を持つ、非常にスケーラブルなエンタープライズ・シン
グル・サインオン・インフラストラクチャが提供されます。
Oracle eSSOでは、ユーザーは認証を1回行うだけで、日々
アクセスしているすべてのアプリケーションにアクセス
できます。
2. Oracle Enterprise Single Sign-On Suite Plus 11gR2
(11.1.1.2.x)の主要な機能は何ですか。
• ユーザー間のアカウント委任を使用すると、ユーザー
は資格証明をユーザー間で安全に渡すことができます。
• Oracle Access Managerとシームレスに統合すること
で、アクセスするアプリケーションのタイプに関係な
く、組織は単一のSSOセッションを実装できます。
• Oracle eSSO Universal Authentication Managerで、
Windows 7でのスマートカード認証、近接型カード認
証、バイオメトリック認証、およびナレッジベース認
証をサポートするようになりました。
• Mozillaの迅速なリリース・スケジュールを利用して、
Firefoxブラウザのサポートが再設計されました。
3. Oracle Enterprise Single Sign-On Suite Plusは、ソフ
トウェア配布ツールを使用してデプロイできますか。
はい。Oracle eSSOは、標準のMSIファイルをデプロイでき
る任意のソフトウェア配布ツールを使用してデプロイで
きます。Oracle eSSO管理コンソールを使用すると、標準
のOracle eSSO MSIを容易にカスタマイズできます。また、
Microsoft の SMS や 、 そ の 他 の ほ と ん ど の 配 布 ツ ー ル
(Novadigm、Tivoli、Marimbaや、単なるWebダウンロー
ドなど)で配布する準備ができたデプロイメント・パッ
ケージも容易にカスタマイズできます。
4. Oracle Enterprise Single Sign-On Suite Plusは、iOSや
Androidなど、他のプラットフォームでも利用できますか。
はい。Oracle eSSOのお客様は、Access Portalサービスを
使用して、Webベースのアプリケーションにクロス・プ
ラットフォームのシングル・サインオンを提供できます。
詳しくは、Access Portalに関するFAQを参照してください。
5. Oracle Enterprise Single Sign-On Suite Plusの管理設
定は一元的に制御できますか。
はい。Oracle eSSOの管理設定は、管理コンソールの使い
やすいGUIを使用して制御します。Oracle eSSOは既存のイ
ンフラストラクチャを中央リポジトリとして利用します。
Oracle eSSOはさまざまなディレクトリ(Oracle Unified
Directory ( OUD )、 Oracle Directory Server Enterprise
Edition (ODSEE )、 Oracle Internet Directory (OID )、
Microsoft Active Directory、ADAMなど)やデータベース
(Oracle、DB2、SQL)をユーザー設定および管理設定の
ための中央リポジトリとしてサポートしています。アプリ
ケーション定義、パスワード・ポリシー、およびOracle
eSSO構成設定をディレクトリのOracle eSSO構成オブ
ジェクトに格納するだけで、各Oracle eSSOクライアント
によって、起動のたびに最新の構成データが取得されます。
18
6. 管理者は、どのアプリケーションがシングル・サイ
ンオン経由でアクセスされ、どれがそうでないかを制御で
きますか。
はい。これは、ロール/グループまたはユーザーごとに、
グローバルに構成可能です。そのため、フラットなディレ
クトリや詳細な階層化ディレクトリをサポートできます。
7. アプリケーションの一部または全部でユーザー・ア
カウントを無効にすることは可能ですか。
はい。これは、Oracle eSSO Provisioning Gatewayから実
行できます。
8. ユーザーが自分のパスワードを確認(表示)する機
能を(ユーザーごと、グループごと、またはアプリケーショ
ンごとに)制限できますか。
はい。Revealボタンで切り替えることができます。Oracle
eSSOのすべての設定は、グローバル・ベース、ロール/グ
ループ・ベース、またはユーザー・ベースで割り当てるこ
とができます。
9. ユーザーは、別のワークステーションに透過的に切
り替えることができますか。
はい。Oracle eSSO Logon Manager(Oracle eSSO-LM)は、
ユーザーに対して、Oracle eSSO-LMクライアント・ソフ
トウェアがインストールされているすべてのワークス
テーションからのシングル・サインオン・アクセス権を付
与します。
10. アプリケーションに応答するには、Oracle Enterprise
Single Sign-On Suite Plusをどのように設定すればよいで
すか。
管理者が管理コンソールで、アプリケーションの実行可能
ファイル名、ウィンドウ・タイトル、およびControl ID
フィールドを含むアプリケーション・テンプレートを定義
します。Oracle eSSOエージェントがこのテンプレートを
使用して、ワークステーションで起動された各アプリケー
ションを監視します。構成済みのアプリケーションが検出
されると、Oracle eSSOエージェントがユーザーに代わっ
て応答します。Oracle eSSOと有効化されるアプリケー
ションとの間に、バックエンド・サーバー統合は必要あり
ません。
11. 1人のユーザーが同じアプリケーションで複数のア
カウントを持つことは可能ですか。可能な場合、動作はど
のようになりますか。
はい。ユーザーがアプリケーションで2つのアカウントを
持っている場合、Oracle eSSO-LMによってユーザーに対
して「Logon Chooser」ウィンドウが表示され、ユーザー
はそこでログイン・アカウントを選択できます。
12. Oracle Enterprise Single Sign-On Suite Plusのアーキ
テクチャでは、どのようにフェイルオーバーされますか。
Oracle eSSOでは通常、企業ディレクトリを利用するため、
ディレクトリのフォルト・トレランス機能と冗長性機能と
いう利点が得られます。
13. Oracle Enterprise Single Sign-On Suite Plusは厳密認
証をサポートしていますか。
Oracle eSSOは、スマートカード認証、バイオメトリック
認 証 、 お よ び 近 接 型 カ ー ド 認 証 を 提 供 す る Universal
Authentication Managerと呼ばれるモジュールを備えて
います。Oracle eSSOでは、RSA Secure IDトークンを利用
できるほか、国民IDカード、CAC(Common Access Card)
カード、PIV(Personal Identity Verification)カード、およ
び企業発行のスマートカードを使用した、ネイティブ証明
書ベースのスマートカード認証も実現できます。
14. Oracle Enterprise Single Sign-On Suite Plus は 、
Windowsパスワードの再設定をサポートしていますか。
はい。Oracle Password Reset(Oracle eSSO-PR)を使用す
ると、エンドユーザーが、チャレンジ-レスポンス・プロ
セスに基づいて、ロックされたワークステーションからプ
ライマリ認証(Windows)パスワードを再設定できます。
Oracle eSSO-PRがインストールされたら、ユーザーは一連
の秘密の質問に答えて登録します。ユーザーがWindows
パスワードを忘れた場合、Oracle eSSO-PRによって、質問
への回答を求めるメッセージが表示されます。ID検証プロ
19
セスで、入力された回答が定義済みの回答と比較されます。
このプロセスでは、タイプ入力および記憶再生における
ヒューマン・エラーが考慮されます(信頼ベースの認証)。
ユーザーが十分な数の質問に正しく答えると、Oracle
eSSO-PRによって、ユーザーがWindowsパスワードを再設
定できるようになります。ヘルプ・デスクへの電話は不要
です。質問はすべてカスタマイズでき、構成可能です。
15. Oracle Enterprise Single Sign-On Suite Plusでは、
ディレクトリ・サーバーにデータがどのように保存されま
すか。ベース・スキーマは変更されますか。
製品開発において、ディレクトリ・サーバーをサポートす
るための手法の設計に関し、企業ディレクトリの主要なサ
プライヤとコラボレートしています。Oracle eSSOでは、
ベース・スキーマをディレクトリ・ベンダーが提供したも
ののままとする、効果的なクラス・スキーマ拡張が使用さ
れます。また、独自のオブジェクト・クラスを使用して自
己完結型の構成オブジェクトが作成されます。これとは対
照的に、一部の企業では、ベース・スキーマ(特にユー
ザー・オブジェクト)を変更するベース・スキーマ拡張が
行われてSSOデータがそれに付加されます。そのため、
ユーザー・オブジェクトが常にレプリケートされ、ディレ
クトリのアップグレードやレプリケーションの際、ネット
ワーク・トラフィックに問題が生じます。
16. Oracle Enterprise Single Sign-On Suite Plusでは、ログ
オン資格証明がどのように暗号化されて保護されますか。
Oracle eSSOでは、各ユーザーに対して一意のプライマリ
対称鍵が作成されます。この鍵を使用してユーザーの資格
証明が暗号化されます。
Oracle eSSOエージェントとディレクトリの間に、選択し
た暗号化アルゴリズムを使用するエンド・ツー・エンド暗
号化が提供されます。Oracle eSSOのデフォルトの暗号化
アルゴリズムは、MS CAPIで提供されるAESです。資格証
明は暗号化されてPCに保存され、転送中およびディレク
トリ内でも暗号化されています。資格証明が暗号化されず
にメモリに保存されることはありません。
17. Oracle Enterprise Single Sign-On Suite Plusは、FIPS
140-2に準拠していますか。
はい。Oracle eSSOでは、米国政府のお客様向けのFIPS
140-2要件を満たすと認定された、MS CAPIベースの256
Bit AESを使用しています。
18. Oracle Enterprise Single Sign-On Suite Plusでは、管
理者がユーザーのパスワードを知ることをどのようにし
て防ぎますか。
パスワードはすべて暗号化された形式で保存されるため、
管理者はユーザーのパスワードを知りません。さらに、悪
質な管理者による攻撃を防ぐために、Oracle eSSOでは、
再設定されたパスワードからのSSOを有効化する前に、2
番目の形態のユーザー認証(パスフレーズ)を要求するよ
うに設定できます。
19. Oracle Enterprise Single Sign-On Suite Plusでは、管
理者がWindowsパスワードを再設定してユーザーになり
すまし、そのユーザーの保存済み資格証明にアクセスする
のをどのようにして防ぎますか。
管 理 者 が ユ ー ザ ー に な り す ま す の を 防 ぐ た め 、
Authenticatorは、登録時にユーザーにパスフレーズを求
めるように構成されます。Oracle eSSOでWindowsパス
ワードの再設定が検出されるたびに、ユーザーはパスフ
レーズを入力する必要があります。保存されている資格証
明にアクセスするために管理者がWindowsパスワードを
再設定した場合でも、管理者はユーザーの秘密のパスフ
レーズを知っている必要があります。パスフレーズによっ
て、PCやラップトップの紛失や盗難の際にも資格証明を
保護します。
20
Oracle Access Management Identity
Federation(Identity Federation)
ここでは、Identity Federationに関連した、よくある質問
について説明します。
一般的な質問 1. Identity Federationとはどのようなものですか。
Identity Federationは、パートナー間で確実なID情報を交
換するための、完結した、エンタープライズ・レベルでキャ
リアグレードのソリューションです。企業ディレクトリで
不要なIDを作成して管理する必要性を大幅に低下させ、業
界のフェデレーション標準のサポートにより、パートナー
統合の継続的なコストを削減します。Identity Federation
によって、多種多様なデータ・ストア、ユーザー・ディレ
クトリ、認証プロバイダ、およびアプリケーションと統合
することで、既存のIT 投資 が保護されます。Identity
Federationを使用すると、保護されたアプリケーションに
ビジネス・パートナーがセキュアにアクセスできるため、
組織はより多くの業務をオンラインで実行できます。
2. Oracle Access Management 12cはOracle Identity
Cloud Service(Oracle IDCS)との統合をサポートしてい
ますか。
はい。OAM 12cとOracle IDCSは、Identity Federationを使
用して統合できます。
3. Oracle Access Management Identity Federation 12c
の利点は何ですか。
Identity Federationサービスは、業界を主導する、オラク
ルのIDおよびアクセス管理プラットフォームの中核コン
ポーネントです。11g R2PS2リリースは、Oracle Access
Management内に完全に集約されたフェデレーション・
サービス・アーキテクチャに向かって進展を見せており、
いくつかの一般的なビジネス・シナリオを最初からシーム
レスに機能させることができます。これには、IDプロバイ
ダでのユーザー認証にAccess Manager認証スキームを利
用するための組込みサポートが含まれ、サービス・プロバ
イダにおけるフェデレーテッド・シナリオでのリスク保証
と不正検出の組込みサポート、フェデレーテッド・セッ
ション全体でのOracle Access Managementを使用した組
込みの認証、認可、および属性引き渡しと、統合された管
理、インストール、および構成エクスペリエンスが提供さ
れます。
3. OAM Identity Federation 12cの主要な機能は何ですか。
• 主要な業界プロトコルすべてのサポート
• ソーシャルIDのサポートとソーシャル・ログイン
登録
• IDプロバイダとサービス・プロバイダの両方の機
能について、OAM内に完全に集約されたサービス
• IDP認証におけるすべてのOAM認証スキームのサ
ポート
• フェデレーテッド・セッションにおけるリスク認
識および不正認識の組込みサポート
• 認証と属性交換における複数のIDストアのサポート
• IDプロバイダの検出
• IDプロバイダのプロキシ
• 業界標準の属性共有プロファイルのサポート
• IDPとSP両方の属性プロファイルのサポート
• すべてのプロトコルでのすばやく容易なフェデ
レーション・パートナーシップ設定
• 実証済みであるインターネット・レベルの可用性
とスケーラビリティ
• プラグイン・フレームワークのプロビジョニング
• Oracle Access Management内での統合された管理、
インストール、およびデプロイメント
21
4. Oracle Access Management Identity Federation 12c
ではどのようなプロトコルがサポートされますか。
• SAML 2.0
• SAML 1.1
• OpenID 2.0
• FICAM(Federal Identity, Credential, And Access
Management)
o ICAM SAML 2.0 WebブラウザSSOプロファイル
-(保証レベル1、2、暗号化なし3)
o ICAM OpenID 2.0プロファイル(保証レベル1)
5. Oracle Access Management Identity Federation 12c
は、属性共有をサポートしていますか。
はい。業界標準である次の属性共有をサポートしています。
• SAML属性共有プロファイル - SAMLは、プリンシ
パルの属性を取得するための属性問合せ/応答プロ
トコルを提供します
• OpenID属性交換(AX)- AXはOpenID 2.0の拡張仕
様です
• ICAM BAE(Backend Attribute Exchange)の直接
的属性交換
• ICAM BAE Broker属性交換 - Oracle API Gatewayと
の統合による
6. OAuth2.0とはどのようなものですか。
OAuth 2.0は、標準に準拠したOAuth 2.0認可サービスの実
装で、3-leggedおよび2-legged両方のOAuthフローと、
OAuthで定義された次のロールをサポートしています。
• リソース・サーバー:保護されたリソースをホス
トし、アクセス・トークンを使用してリソース・
リクエストの受け入れとレスポンスを行います。
• クライアント:リソース所有者に代わり、その認
可を使用して、保護されたリソースのリクエスト
を行います。クライアントという用語は、特定の
エンティティに固有のものでありません。たとえ
ば、クライアントは、サーバーやモバイル機器で
実行されるアプリケーションである可能性があり
ます。
• 認可サーバー:正常にリソース所有者を認証して
認可を取得した後に、クライアントにアクセス・
トークンを発行します。
7. セキュアなアクセスのためにOAuth2.0プロトコルを
使用する利点は何ですか。
従来のクライアント-サーバー認証モデルでは、クライア
ントは、リソース所有者の資格証明を使用してサーバーに
認証されることによってサーバー上の保護されたリソー
スにアクセスします。保護されたリソースへのアクセス権
をサード・パーティ・アプリケーションに付与するため、
リソース所有者は、資格証明をサード・パーティと共有し
ます。これにより、次の問題と制限が発生します。
• サード・パーティ・アプリケーションでは、将来
の使用に備えてリソース所有者の資格証明(通常
は平文のパスワード)を保存する必要があります。
• パスワードによってセキュリティの弱点が生じま
すが、それでもサーバーはパスワード認証をサ
ポートする必要があります。
• サード・パーティ・アプリケーションは、リソー
ス所有者の保護されたリソースに対して過度に幅
広いアクセス権を持ちますが、アクセスの継続期
間を限定することも、アクセスをリソースのサブ
セットに制限することもできません。
• リソース所有者は、サード・パーティのアクセス
権を個別に無効にすることができません。サー
ド・パーティのアクセス権を無効にするには、す
べてのサード・パーティを対象にする必要があり
ます。そしてそのためには、すべてのサード・パー
ティのパスワードを変更する必要があります。
OAuth 2.0プロトコルでは、認可レイヤーを導入し、クラ
イアントのロールをリソース所有者のロールから分離し
て、こうした問題に対処します。OAuth 2.0では、リソー
ス所有者が管理し、リソース・サーバーでホストされてい
るリソースへのアクセス権をクライアントがリクエスト
すると、リソース所有者のものとは異なる資格証明セット
が発行されます。クライアントは、リソース所有者の資格
22
証明を使用して保護されたリソースにアクセスするので
なく、アクセス・トークン(特定のスコープ、継続期間、
およびその他のアクセス属性を示す文字列)を取得します。
リソース所有者が承認した認可サーバーが、サード・パー
ティ・クライアントにアクセス・トークンを発行します。
クライアントは、アクセス・トークンを使用して、リソー
ス・サーバーでホストされている保護されたリソースにア
クセスします。
8. Oracle Access Manager OAuth 2.0サービスを使用す
る利点は何ですか。
OAuth 2.0サービスは、標準に完全準拠し、3-leggedおよ
び2-leggedの両方のOAuthフローをサポートするOAuth
2.0の認可サーバーを提供し、OAuth 2.0クライアントと
OAuth 2.0リソース・サーバーの各ロールを有効化します。
これは、OAuthフローでより高いセキュリティ・レベルを
必要とする可能性があり、OAM OAuth 2.0サービスが提供
する組込みのOAM統合の利点が得られるエンタープライ
ズ・シナリオに最適です。
9. OAuthを使用してエンタープライズ・モバイル・クラ
イアントを保護することの重要性について教えてください。
いくつかのOAuthクライアントは、クライアント・シーク
レット(アプリケーション・パスワードや秘密鍵)を機密
状態で維持できないコンシューマ・アプリケーションです。
これらのOAuthクライアントは、パブリック・クライアン
トまたは非機密クライアントと呼ばれます。モバイル・ク
ライアント・アプリケーション(モバイル機器上のネイ
ティブ・アプリケーション)も、パブリック・クライアン
トに分類されます。ネイティブ・アプリケーションをアプ
リ・ストアからデバイスに初めてダウンロードするときに、
クライアント・アプリケーションを一意に識別するクライ
アント資格証明がアプリケーションに埋め込まれるため
です。ネイティブ・アプリケーションをダウンロードする
すべてのユーザーはバイナリにアクセスできるため、悪意
のあるユーザーがバイナリからクライアント資格証明を
逆コンパイルし、自分の資格証明を挿入することも容易に
できてしまいます。OAuthフローの中でアクセス・コード
がアクセス・トークンと交換されると、大きな脆弱性が生
じることは明白です。誰がアクセス・トークンを実際に受
け取り、使用するかを本当に識別する確実な手段がないた
めです。そのため、信頼できるアクセスを確保するために、
デバイス上のモバイル・アプリケーションを保護するメカ
ニズムを提供することは、特に、機密データへのアクセス
を日常的に必要とするエンタープライズ・モバイル・アプ
リケーションでは、主要な要件です。
10. OAM OAuthとOracle Application GatewayのOAuth
サービスのどちらかを選択する場合の主要な考慮事項は
何ですか。
どちらの製品とも3-leggedと2-leggedのOAuthフローを
サポートしていますが、異なるユースケースをサポートす
るように設計されています。アクセス管理プラットフォー
ムを検討しているお客様や、Oracle Access Management
に対してすでに行った投資の活用を希望するものの、
OAuth2.0機能も必要なお客様は、OAM OAuth 2.0サービ
スを利用するのが最適です。一方、オラクルやその他のア
クセス管理プラットフォームと共存できるAPIセキュリ
ティ・ソリューションを検討しているお客様は、Oracle
Application Gateway(OAG)のOAuthを利用できます。
OAM OAuth 2.0サービスを使用して出荷時状態のOAM統
合を利用し、APIへのセキュアなモバイル・クライアント・
アクセスを提供して、エンタープライズOAuthフローの中
で必要になるセキュリティのレベルを提供します。OAG
OAuth 2.0サービスを、クラウドAPIゲートウェイとして機
能する、クラウド・ベースのAPIへのエンタープライズ・
アクセスとして使用し、非機密クライアントのサポートを
提供します。
23
Oracle Access Management Security
Token Service(Security Token Service)
ここでは、Security Token Service(STS)に関連した、よ
くある質問について説明します。
一般的な質問 1. Oracle Security Token Serviceとはどのようなもので
すか。
Security Token Service(STS)は、オラクルの次世代トー
クン・サービスで、Webサービス全体へのID伝播を容易に
するように作られています。
2. Security Token Serviceの主要な使用法シナリオは何
ですか。
WebからWebサービスへのID伝播
このシナリオでは、ユーザーのID情報がWebアプリケー
ションからWebサービス・プロバイダに伝播する必要があ
ります。対象となるWebサービス・プロバイダは、Web
アプリケーションと同じセキュリティ・ドメイン内にある
場合と、まったく異なるセキュリティ・ドメインにある場
合があります。
Webサービス間のトークン交換
このシナリオでは、特定の種類(ユーザー名/パスワード、
X.509証明書、Kerberosなど)の資格証明を使用して、ド
メインに対するユーザー認証が実行されます。ただし、
ユーザーがWebサービス・プロバイダにアクセスしたり、
プロバイダと通信したりするには、SAMLトークンが必要
になります。このような場合、Oracle STSでは、標準トー
クン形式から別の形式(SAML 1.xやSAML 2.0など)への
トークン交換を容易に実行できます。ここでも、Webサー
ビス・プロバイダは、Webサービス・コンシューマと同じ
セキュリティ・ドメインに存在する場合と、異なるセキュ
リティ・ドメインに存在する場合があります。
3. Security Token Serviceに関連した、WS-Trustプロト
コルの役割は何ですか。
WS-Trustは、Oracle STSサーバーとの通信に使用されるプ
ロトコルです。WS-Trustでは、次のことを定義します。
• 「セキュリティ・トークン・サービス」の概念
• セキュリティ・トークンのリクエストおよび発行
に使用するメッセージ形式
• 鍵交換のメカニズム
4. Oracle Web Services ManagerのWS-Trustプロバイダ
ではどのような機能がサポートされますか。
• Security Token Serviceへのトークン発行のリクエ
スト
• サービス側における、Security Token Serviceが発行
したトークンの検証および処理と、レスポンス生成
• 特定のSecurity Token Serviceインスタンスに対し
てトークンをリクエストするための、クライアン
トまたはサービス・ポリシーの構成
5. OWSMのWS-Trustプロバイダは、どのようにSecurity
Token Serviceとやり取りしますか。
Oracle STSのWS-TrustクライアントとしてOWSMを利用
している場合、OWSMのWS-Trustプロバイダを使用して、
STSにWS-Trustリクエストが送信されます。OWSMがSTS
からWS-Trustレスポンスを受け取ると、そのレスポンスが
Webサービスに伝播します。OWSMの WS-Trustクライア
ントは、STSで次のプライマリ・ユースケースをサポート
しています。
1) トークンの交換/変換
OWSMのTrustクライアントを使用すると、ユー
ザーは基本トークン(リクエスタのトークン)を
SAMLトークン(STSで生成)と交換できます。
2) エンティティの代理でのトークン交換
クライアントは、自分自身(リクエストのサブジェ
クト)として、または別のエンティティの代理
24
(OBO:On Behalf Of)でトークンをリクエストで
きます(トークン発行クライアント・ポリシーで
構成可能)。
6. Oracle STSではどのWS-Trustポリシーを利用できま
すか。
デフォルトでは2つのOWSMポリシーがあり、Webサービ
ス・エンド・ポイントとのSecurity Token Serviceトークン
交換をサポートするために利用できます。
1. STS構成ポリシー
• oracle/sts_trust_config_client_policy
• oracle/sts_trust_config_service_policy
2. トークン発行ポリシー
• oracle/wss11_sts_issued_saml_hok_with_m
essa ge_protection_client_policy
• oracle/wss11_sts_issued_saml_hok_with_m
essa ge_protection_service_policy
• oracle/wss11_sts_issued_saml_with_messag
e_protection_client_policy
• oracle/wss_sts_issued_saml_bearer_token_
over
• _ssl_client_policy*
• oracle/wss_sts_issued_saml_bearer_token_
over
• _ssl_service_policy*
*注:saml_bearerのトークン発行ポリシーを使用するには、
一方向SSLを有効化する必要があります。
7. Oracle Security Token Serviceでサポートされている
各種のトークンは何ですか。
• Username
• Kerberos
• X.509
• SAML 1.1アサーションまたはSAML 2.0アサーション
8. Security Token Serviceは、Access Managerトークン
をインバウンド・トークンとしてサポートしていますか。
はい。STSでは、エンドユーザーの「代理」(OBO)トー
クンとしてAccess Manager 11gのセッション・トークン
をサポートしており、これをSAMLまたはUNTのアウトバ
ウンド・トークンに変換できます。
25
Oracle Web Services Manager
ここでは、Oracle Web Services Manager(OWSM)に関
連した、よくある質問について説明します。
OWSMは、Oracle Access Management 12cには含まれま
せん。
一般的な質問 1. Oracle Web Services Managerとはどのようなもので
すか。
Oracle Web Services Manager(OWSM)は、SOAとREST API
のラストマイルのセキュリティを提供します。これは、
Oracle SOA SuiteとOracle Access Management Suiteの一
部として提供される、標準準拠のソリューションで、次の
ことが可能になります。
• 組織のWebサービスおよびSOAインフラストラク
チャを構成する、APIおよびWebサービスの宣言的
セキュリティ・ポリシーを一元的に定義して保存
します。
• 組込みエージェントを使用して、セキュリティ・
ポリシーと管理ポリシーをローカルに適用します。
• 失敗した認証や認可などのランタイム・セキュリ
ティ・イベントを監視します。
OWSMでは、実行中のビジネス・プロセスを中断せずに、
ポリシー変更をリアルタイムに適用できるようにするこ
とで、セキュリティ脅威とセキュリティ侵害に対応するた
めのビジネス俊敏性を実現します。
2. Oracle Web Services Manager は 、 Oracle API
Gateway(OAG)に置き換えられるのですか。
いいえ。その2つは互いに補完的な関係にあり、組み合わ
せることで、エンド・ツー・エンドの階層型セキュリティ・
ソリューションを実現します。
OWSM は 、 Oracle Fusion Middleware お よ び Fusion
Middlewareベースのアプリケーション(Oracle Fusion
Applicationsなど)にラストマイル/エンド・ポイント・セ
キュリティを提供します。OWSMは、REST/SOAPベースの
APIおよびWebサービスに対してエンド・ポイント・セキュ
リティを提供する、オラクルの戦略的なソリューションで、
アプリケーションと同じプロセスで動作する組込みエー
ジェントを提供します。
OAGはゲートウェイ・パターンに基づいて設計されており、
組織のWebサービスおよびSOAインフラストラクチャの
前面(ほとんどの場合はDMZ)にデプロイされます。
3. Oracle API GatewayとOracle Web Services Manager
はどのように統合できますか。
OAGとOWSMを統合する方法について詳しくは、次の
OTNページを参照してください。
http://www.oracle.com/technetwork/articles/soa/oeg-o
wsm-1562313.html
4. Oracle API GatewayとOracle Web Services Manager
10g Gatewayの違いを教えてください。
OWSM 10g GatewayとOAGは、2つの別々の製品です。
OWSM 10g Gatewayは、Fusion Middleware 11gR1のリ
リースによって廃止されました。OAGは以前のOWSM 10g
Gatewayを置き換えるもので、オラクルの戦略的APIセ
キュリティ/管理およびDMZセキュリティ・ソリューショ
ンです。OAGはまた、OWSM 10g Gatewayで利用できな
かった多数の機能を提供します。OWSM 10g Gatewayか
らOEGに移行する出発点として、OWSM 10g Gateway to
OEG Migration Guideを参照してください。
5. APIとWebサービスの保護にAccess Managerを使用
できますか。
Access ManagerはWebシングル・サインオンのソリュー
ションです。REST APIまたはSOAPベースのWebサービス
の保護には使用しないでください。OWSMとOAGは、API
およびWebサービスのセキュリティ・ソリューションです。
DMZ内のAPIを保護するのか、グリーン・ゾーン(企業ネッ
トワーク)内のAPIを保護するのかに応じて、いずれかを
使用してください。OAGとOWSMは、トークンの認証と
検証のためにOracle Access Managerと統合されています。
26
6. Access ManagerとOracle Web Services Managerを
使用している場合、WebとWebサービスの間のID伝播はど
のように機能しますか。
ID伝播について詳しくは、次のブログ・エントリを参照し
てください。
https://blogs.oracle.com/owsm/entry/identity_propagati
on_across_web_and
27
Oracle Entitlements Server
ここでは、Oracle Entitlements Serverに関連した、よくあ
る質問について説明します。
OESは、Oracle Access Management 12cには含まれません。
一般的な質問 1. Oracle Entitlements Serverとはどのようなものですか。
Oracle Entitlements Server(OES)は、標準ベースでポリ
シー駆動型のセキュリティ・ソリューションで、きめ細か
く、柔軟で、かつ外部化されたアクセス制御のニーズを満
たします。OESによって、機密性の高いアプリケーション、
データベース、コンテナ(Java™ 、.NETなど)、ポータル
およびコンテンツ管理システム(WebCenter、SharePoint
など)、開発フレームワーク、オブジェクト・リレーショ
ナル・マッピング・テクノロジー、仲介機能(API/XMLゲー
トウェイ、ESBなど)、Webサービス、SOAインフラストラ
クチャに関する認可ポリシーの管理とランタイム実施が
提供されます。
OESでは、アクセス権がポリシーで定義され、誰が、何を、どのリソース・セットに対して、どのような条件下でできるかを指定します。このポリシーによって、すべてのタイ
プのリソースに制御を適用できます。代表的な例としては、
ソフトウェア・コンポーネント(URL、Java Server Pages、
Enterprise JavaBeans、メソッド、サーブレットなど)、UI
ウィジェット(メニュー、タブ、ポートレット、フィール
ド、ボタンなど)、ビジネス・オブジェクト(機密ドキュ
メント、リッチ・メディア、画像、地理空間情報、ユーザー・
プロファイル、銀行口座、保険プラン、医療記録など)、
REST APIサービス、Webサービスなどが挙げられます(こ
れらに限定されるわけではありません)。
2. Oracle Entitlements Server 11gR2(11.1.2.x)の新機
能にはどのようなものがありますか。
• リスクおよびコンテキストを認識した認可(Oracle
Identity and Access Managementとともに使用す
る場合)
• ポリシー・シミュレーションのサポート
• XACML 3.0仕様に定義されているすべてのデータ
型と機能のサポート
• Oracle Service Bus 、 Microsoft SharePoint 、
WebSphere、JBoss、およびApache Tomcatのサ
ポート
• PEP API問合せリクエストの強化
• .NETリソースのサポート
• 管理コンソールにおける複数のIDストアのサポート
3. Oracle Entitlements Serverの主要な使用法シナリオ
は何ですか。
OESでは、分散型または集中型で実施するアクセス・ポリ
シーを管理するための、包括的で一元化されたソリュー
ションが提供されます。これには、次のものが含まれます。
• アプリケーション、ポータル、コンテンツ、および
データベース向けのファイングレイン認可ポリ
シーの管理と実施
• インターネットAPI、SOA、およびWebサービス向
けの認可とデータ改訂
• エンタープライズ・アプリケーション向けのリアル
タイム認可
• オープン・スタンダードによる相互運用性と統合
4. Oracle Entitlements Serverは、エンタープライズ・ア
プリケーションにおけるリアルタイム認可に使用できます
か。
OESは、ミッション・クリティカルなアプリケーションの
ための、極めて短い待機時間を実現します。また、スケー
リングすることで、大量の機密リソース、ユーザー、ロー
ル、認可決定を処理できるように設計されています。OES
は、Oracleベースおよび非Oracleベースのさまざまなプ
ラットフォームおよびソリューションにおける、非常に大
規模でミッション・クリティカルなデプロイメントで使用
されています。
28
5. 認可にOracle Entitlements Serverを利用しているの
はどのオラクル製品ですか。
OESはオラクルの戦略的な認可エンジンであり、Oracle
Fusion Applicationsと、Oracle Fusion Middleware(Oracle
SOA Suite、Oracle WebCenter Portal、Oracle WebCenter
Spaces 、 Oracle ADF な ど )、 Oracle Banking Platform
(FlexCube)、Oracle Identity and Access Management、
およびその他のJRFベースのアプリケーションやテクノロ
ジーなどに標準で組み込まれています。OESはまた、
Oracle WebLogic ServerおよびOracle Service Busとの統
合も提供しており、すべてのOracle WebLogic環境および
Fusion Middleware環境で使用できます。
6. Oracle Entitlements Serverでは、どのような認可モデ
ルと認可標準をサポートしていますか。
OESは、XACML、属性ベースのアクセス制御(ABAC)、
NISTのロール・ベースのアクセス制御(RBAC)、「エンター
プライズ」RBAC、Java2/JAASの権限、OpenAZ、データ・
セキュリティを実施するためのさまざまなモデルなど、多
種多様な認可標準とモデルをサポートしています。OESは
また、Java2のセキュリティ・プロバイダとして機能する
ことも可能であるため、直接JVMにプラグインして、ファ
イル・システム、ネットワーク、および機密コードへのア
クセスを制御することもできます。
7. Oracle Entitlements Serverでは、どのようにしてリス
クとコンテキストに基づくアクセス制御を可能にしてい
ますか。
OESとOracle Access Managementでは、コンテキスト認
識型コンピューティングを実現する独自のエンド・ツー・
エンド・ソリューションが提供されます。IDコンテキストは、OESによる認可決定向けに自動的に提供されるため、
組織はユーザーやデバイス、ランタイム・コンテキストに
基づいて、ユーザーに許可される実行内容やアクセスでき
る情報を制御できます。ランタイム・コンテキストの例を
次に挙げます(これらに限定されるわけではありません)。
• ユーザーの属性、ロール、リソース、動的属性と
環境条件
• システムに対してユーザーが認証された方法
• システム・アクセスに使用されているデバイス・
タイプ(PC、モバイル機器など)
• デバイスに関する情報 - 登録済みデバイスまたは
信頼できるデバイスであるか、物理ロケーション、
IPアドレス、オペレーティング・システム、ジェイ
ルブレイクされているか、ウイルス・スキャンと
ファイアウォールは有効か、VPNは有効か、など
• フェデレーション・パートナーからのアサーション
• リスク・レベル - アクセス・パターンやトランザク
ションにおける異常のリアルタイム分析に基づく
OESはまた、サービス・コンテキスト情報とビジネス・コ
ンテキスト情報に基づく認可決定もサポートしています。
そのような情報のソースは、ポリシー情報ポイント(PIP)
と呼ばれることがあります。OESでは、属性リトリーバを
使用して、ユーザーおよびリソースに関する情報や、認可
ポリシーで使用されるその他の情報をフェッチします。
8. Oracle Entitlements Serverでは、REST APIとSOAP
ベースのWebサービス・インタフェース向けにどのような
認可サービスが提供されますか。
OESでは、次の操作によって、API、Webサービス、およ
びSOAインフラストラクチャを保護できます。
• ファイングレイン認可ポリシーに基づいて、受信リ
クエストをブロックまたは許可します。
• SOAPペイロードまたはRESTペイロードのディー
プ・パケット・インスペクションを実行し、リクエ
ストのコンテンツ(ビジネス・トランザクションの
認可)に基づいて、アクセスを選択的に許可または
拒否します。
• API/Webサービスのレスポンスに含まれる機密情報
を選択的に改訂または暗号化します。
これは多くの場合、バックエンドWebサービスまたはSOA
アプリケーションを一切変更せずに実現します。
OESは、APIゲートウェイ(Oracle API Gatewayやサード・
パーティ製品など)と統合してDMZ内のWebサービスと
APIを保護し、オラクルやサード・パーティのESBと統合し
て、グリーン・ゾーン(企業ネットワーク)内のSOAイン
フラストラクチャやさまざまなWebサービスを保護します。
29
9. Oracle Entitlements Serverにはどのようなデプロイ
メント・オプションがありますか。
OES認可エンジン(PDP)は、アプリケーションに組み込
むか、またはネットワーク内で一元的にホストできます。
また、ビジネス、統合、デプロイメント、パフォーマンス、
スケーラビリティ、および高可用性の多種多様な要件を満
たすために、ポリシー配布とキャッシュに複数のオプショ
ンが用意されています。
10. Oracle Entitlements Serverには、認可機能を拡張する
ための機能として、どのようなものがありますか。
お客様は、次のものを使用して認可機能を拡張できます。
• カスタムの評価機能:ポリシー条件の一部として評
価される、カスタムのJavaプラグインを作成できます。
• カスタムの属性リトリーバ:ポリシー条件で使用さ
れる属性を、カスタムのJavaプラグインにマップでき
ます。OESポリシーの評価では、それらの属性が自動
的に使用されるため、結果的にJavaプラグインが呼び
出されることになります。プラグインが返す値は、
ポリシー評価のために属性に割り当てられます。
• ユーザー・インタフェースの拡張:組織はOES管理コ
ンソールを拡張できます。
30
Oracle API Gateway
ここでは、Oracle API Gateway(OAG)に関連した、よく
ある質問について説明します。
一般的な質問 1. Oracle API Gatewayとはどのようなものですか。
Oracle API Gateway(OAG)はOracle Enterprise Gateway
製品の新しい名前であり、オラクルのアクセス管理製品、
API管理製品、Webサービス製品、およびSOAセキュリティ
製品に含まれています。これは、オラクルのAPIセキュリ
ティ/API管理専用製品で、オンプレミス、複数ドメイン内、
およびクラウド内のWebサービス、REST API、およびSOA
デプロイメントを簡素化して保護するように設計されて
います。OAGにより、JSON、XMLやその他のタイプのデー
タが、シンプルで使いやすい方法によって保護、加速、統
合、ルーティングされます。そのため、統合コストが大幅
に削減され、所有コストが低減し、SOA、クラウド、およ
びモバイル・インフラストラクチャに関連するデプロイメ
ント・リスクが低下します。次の主要な機能を提供します。
APIセキュリティとAPI管理
• 攻撃や誤使用からのインターネットAPI および
REST/SOAPサービスの保護
• APIの速度制限とSLAメトリックの定義および実施
• コンテンツ・ベースおよびコンテキスト・ベースの
ルーティング
• API使用状況の追跡およびレポート(オンラインおよ
びオフライン)
クラウド接続の保護および一元化
• WebおよびWebサービス(SaaS、PaaS、IaaSサービ
スを含む)のSSO
• 外部のSaaS、PaaS、IaaSサービスとのセキュアで一元
化された統合
• クラウド・サービスの使用状況および使用量の監視
および監視
モバイル・アクセスのゲートウェイ
• モバイル・アプリケーションのファイアウォール
• プロトコル・ブリッジングとトークン/データ変換
(JSONからXML、SOAPからREST、RESTからSOAP)
• データ改訂とファイングレイン・アクセス(Oracle
Identity and Access Managementとともに使用する
場合)
• エンタープライズIDのモバイルへの拡張(Oracle
Identity and Access Managementとともに使用する
場合)
2. 組織でモバイル・アプリケーションにOracle API
Gatewayが必要なのはなぜですか。
組織は、企業ネットワーク内のデータベース、コンテンツ
管理システムや、さらにはメインフレームに保存されてい
るビジネス・トランザクションや情報に、場所と時間を問
わずにアクセスできるようにするため、モバイル・アプリ
ケーションを構築しています。この情報と、ユーザーがモ
バイル機器から実行できることが必要な種類のトランザ
クションは、これまで多くの場合、組織が支給するクライ
アント・デバイスを介して、社内ユーザーのみが社内アプ
リケーションのみで利用できるものでした。したがって、
これらのシステムには組込みのセキュリティ制御やコン
プライアンス制御があったとしても極めて限定的でしか
なく、暗黙の信頼レベルに頼っています。今や、社内およ
び社外のユーザーが不明な場所で使用する、企業ネット
ワークの外部で実行されているデバイスに、セキュアでな
い可能性があるネットワークを経由して企業システムを
公開する必要があります。それをセキュアな方法で実行し、
どのような状況で、どの種類のビジネス・トランザクショ
ンを実行でき、どの情報が企業ネットワークから出て行く
のかを制御することが重要です。
既存の企業システムが基盤にしていることが多い、SOAP、
JMS、MQ、さらにはFTPベースのテクノロジーに基づく、
より本格的なアプリケーション、Webサービス、および
SOAベースのインフラストラクチャはデバイスでサポー
トされていないため、モバイル・アプリケーションでは通
常、軽量のRESTベースのAPIを介して企業情報にアクセス
しています。
31
オラクルの完結したAccess Managementソリューション
は、これらの課題すべてへの対応を支援するように設計さ
れています。Oracle API Gatewayを使用すると、組織は社
内システムと企業データを、完全にセキュアなRESTベー
スのAPI(JSONベースのペイロードを使用)として公開で
き、コーディングは一切不要です(既存のバックエンド
SOAP、JMSなどのサービスをREST APIとして仮想化するこ
とによる)。認証、ID伝播、およびユーザー・クレーム(属
性アサーション)に必要な既存の転送プロトコルとセキュ
リティ・トークンは、既存のシステムを変更しなくとも、
最新の要件に対応するように自動的に変換できます。たと
えば、ある組織はオラクルのMobile Access Management
ソリューションがREST APIで発行したJWTトークンを受
け入れたいだけですが、一度認証されたトークンは、SAML、
Kerberosや、バックエンド・システムで必要なその他の種
類のトークンに変換できます。
OAGによって、組織のREST APIインフラストラクチャに多
数の機能が追加されます。APIアクセス、ビジネス・トラ
ンザクション、およびリクエストされた/返されたデータ
を、監視および監査できます。モバイル・クライアント(ま
たはビジネス・パートナー、クラウド・アプリケーション
など)からのリクエストを検証し、リクエストが適切な形
式であり、悪意のあるコンテンツや脅威(SQLインジェク
ション攻撃、サービス拒否攻撃(メッセージ・ペイロード・
コンテンツに基づくものも含む)、ウイルス、大量の他の
XML、暗号や、その他の種類の攻撃)も存在しないことを
確認できます。
特定の種類のクライアント(おそらく、サブスクリプショ
ン(ゴールド、シルバー、ブロンズ)に基づきます)のみ
が1日(またはその他の時間間隔)あたりに一定数のトラ
ンザクションを実行し、使用量に基づいて課金され、悪質
なクライアントによる大量のリクエストでシステムが過
負荷にならないようにするために、スロットル・ポリシー
を定義できます。
おそらくもっとも重要なのは、Oracle API Gatewayがオラ
クルのアクセス管理テクノロジーと統合されることです。
Oracle Access Manager お よ び Access Management
Mobile and Socialソリューションとの統合では、認証、
ユーザー・トークンの検証、不正の検出、およびIDコンテ
キストの伝播が可能です。Oracle Entitlements Serverとの
統合では、REST APIアクセスの認可および監査と、レスポ
ンス・ペイロードの選択的なデータ改訂が可能です。
Oracle STSとの統合では、セキュリティ・トークンの一元
的な管理が可能です。LDAPディレクトリとの統合では、
ユーザー検索とメッセージ・ペイロードの拡充(LDAPか
らペイロードへのユーザー情報の追加)が可能です。
3. Oracle API Gatewayは、モバイル・アクセスのゲート
ウェイとしてどのような機能を提供しますか。
OAGでは、モバイル・アクセスのゲートウェイ(Oracle
Access Management Mobile and Socialと、Oracle Access
Managementの他のコンポーネントとともに動作)として、
次の機能が提供されます。
• サービス拒否、SQLインジェクション、およびAPI攻
撃からのREST、SOAP、およびAPIアクセスの保護
• アクセス制御とID統合
• API鍵の管理
• OAUTH 2.0クライアントおよびOAUTH 2.0サーバー
のサポート
• コンテンツ・ベースおよびコンテキスト・ベースの
ルーティング
• データ形式間のマッピング(XMLとJSONなど)とプ
ロトコルのブリッジング(RESTからSOAPなど)
• スケーラビリティのための、コンテンツのプリ
フェッチとバックエンド・アプリケーションのコー
ルのキャッシュ
• ブローカSSOと外部クラウド・サービスへのコール
アウト
• 特定のモバイルID、アプリケーション、およびデバイ
スに対するAPIの再作成および仮想化
• モバイル・フレンドリーなOAuth、OpenID Connect、
およびJSON WebトークンへのWeb SSOおよびSAML
のマッピング
• SLA制御とレスポンスのキャッシュ
• ファイングレイン・アクセス制御とデータ改訂
32
4. Oracle API Gatewayで提供される、APIセキュリティ
およびAPI管理に関連した各種機能とはどのようなもので
すか。
脅威からの保護
• HTTPパラメータ、REST問合せ/POSTパラメータ、
JSONデータ構造、XMLスキーマの検証
• XSS、SQLインジェクション、XMLコンテンツ/構造の
脅威とウイルスからの保護
• カスタムの脅威プロファイルの作成による、メッ
セージ構造およびXMLの脅威に対する組込みフィル
タの拡張
• 失敗した認証やポリシー違反の追跡による、パター
ンや潜在的な脅威の特定
API鍵の管理
• API鍵の割当て、一時停止、および無効化
スロットルとサービス品質
• スロットル/速度制限および割当て制限による、API
トラフィックの制御
使用状況のレポートと分析
• API使用状況(成功とエラー)を追跡および計測す
るレポート
• リアルタイムの監視ダッシュボード
アクセス制御
• HTTP Basic認証、ダイジェスト認証、SSL証明書ベー
スの認証、Microsoft SPNEGOのサポート
• SAML、X.509証明書、LDAP、OAuthのサポート
• Oracle Access Managementに対する認証
• ファイングレイン・アクセス制御とデータ改訂
(OESとともに動作)
5. Oracle API GatewayとOracle Entitlements Serverの
関係を教えてください。
OAG は 、 次 の ユ ー ス ケ ー ス を 満 た す た め に 、 Oracle
Entitlements Serverとネイティブに統合されています。
選択的なデータ改訂
金融サービス、ヘルスケア、公的部門/政府機関、通信、
保険、およびその他の大部分の業界で、多数の組織が、情
報と企業システムをモバイル機器、ビジネス・パートナー、
顧客、およびクラウドに公開しようとしています。多くの
組織には、顧客、患者、市民、ドキュメントや、その他の
機密データに関する情報へのアクセスのために、内部的に
公開されたWebサービス、または企業システム(あるいは
その両方)があります。そういったWebサービスやシステ
ムは相当以前に構築されたものであることが多く、たいて
いは、機密情報(社会保障番号、クレジット・カード番号、
医療/健康記録など)を含め、顧客や患者に関するすべて
の情報が、リクエストした人に返されます。OESとOAGを
組み合わせて使用することで、組織はクライアントに
RESTベースのAPI(または他のタイプのWebサービス)を
公開し、XACMLベースの認可ポリシー(どの情報をネッ
トワークの外部に公開してよいか、どの情報を改訂する必
要があるかを指定します)を定義できます。
組織は、指定のクライアント・デバイス、場所、またはネッ
トワークから、指定の顧客や患者に関して、たとえばBob
がどの情報にアクセス可能であるかを制御できます。ここ
で自動的に改訂される情報は、顧客/患者とBobの関係(ア
カウント・マネージャー、医師、その他、いずれでもない)
に基づきます。この例では、現在のユーザーが顧客/患者
の社会保障番号や誕生日を参照できないと指定できます
が、Bobが別の顧客/患者の記録を問い合わせた場合には、
すべての情報を参照できるでしょう。
ビジネス・トランザクション
データ改訂の例のように、組織は、指定のユーザー・セット
がさまざまな条件下で実行できるビジネス・トランザクショ
ンを制御することもできます。これは、ユーザーに特定の種
類のビジネス・トランザクション(給与の変更など)の送信
を認可するかどうかだけでなく、どの従業員セットに対して
か、どのような条件下であるか、そして実際の変更金額も制
御対象に含まれます。別の例として、IDコンテキストおよび
デバイス・コンテキストに基づいて、一定金額を超える注文
を送信できるかどうかというものも挙げられます。
33
この両方の例で、どのデータにアクセスできるか、特定のビ
ジネス・トランザクションを送信できるかどうかを指定する
ルールと認可ポリシーが定義されています。コーディングや
バックエンド・システムの変更は不要です。OAGとOESは組
織のバックエンド・システムの前面に配置され、メッセージ
およびメッセージ内容を検査し、どのようなメッセージおよ
びメッセージ内容がどちらの方向(リクエストまたはレスポ
ンス)に通過可能であるかを制御できます。
組織は、監査証跡と、リアルタイムおよびオフラインのト
ランザクションおよび情報フローの監視により洞察を得
て、アクセス・パターン異常や疑わしい動作が検出された
場合のアラートと通知を設定できます。
6. Oracle API GatewayとOracle Web Services Manager
の違いを教えてください。
OAGとOWSMは、オラクルの総合的な階層型のAPIおよび
Webサービス・セキュリティ・ソリューションの主要コン
ポーネントで、組織のデプロイメントにエンド・ツー・エ
ンドのセキュリティ・ソリューションを提供するための、
相互補完的な機能を備えています。企業では、クライアン
ト(ユーザーやアプリケーションなどの証明書利用者)と
サービス・プロバイダ(Webサービスを公開する組織)の
間におけるリクエスト/レスポンス・サイクルのさまざま
な段階で保護する必要があるAPIとWebサービスを各種の
手法により実装できます。このクライアントとサービス・
プロバイダの間には複数のセキュリティ・レイヤーが定義
されます。企業DMZ(レッド・ゾーン)の最初のセキュ
リティ・レイヤーは、OAGによって処理され、「境界セキュ
リティ」、すなわち最前線の防御が提供されます。第2のセ
キュリティ・レイヤー(企業のグリーン・ゾーン)は、
DMZの内側ファイアウォールの背後にあります。場合に
よっては、グリーン・ゾーンに、Webサービスへのアクセ
スをさらにフィルタするように設計されたいくつかのセ
キュリティ・サブレイヤーが含まれることがあります。最
後に、保護対象のWebサービスやアプリケーションと同じ
場所に配置されたエージェントによって、「ラストマイ
ル・セキュリティ」とも呼ばれ、OWSMによって処理され
る最後のセキュリティ・レイヤーが提供されます。
7. Oracle API Gatewayでは、Microsoft .NET、ADFS、お
よびWCF向けのどのようなサポートを利用できますか。
OAGは、LDAPを使用してActive Directoryと相互運用され
ます。ADFS 2.0(Active Directoryフェデレーション・サー
ビス)の場合、OAGはSTSクライアントとして機能し、
WS-Trustを使用してADFS 2.0のトークンを消費します。こ
れは、Microsoft SharePointでのシングル・サインオンが
含まれるシナリオで使用できます。
OAGは、Microsoft .NETサービスのすべてのバージョンと
相互運用されます。相互運用性は、.NETで使用されるWCF
(Windows Communication Foundation)ポリシーに対し
て提供されます。
8. Oracle API GatewayとOracle Web Services Manager
10g Gatewayの違いを教えてください。
OWSM 10g GatewayとOAGは、2つの別々の製品です。
OWSM 10g Gatewayは、Fusion Middleware 11gのリリー
スによって廃止されました。OAGはオラクルの戦略的な
APIセキュリティ/管理およびDMZセキュリティ・ソリュー
ションで、OWSM 10g Gatewayでは利用できなかった多
数の機能が追加されています。OWSM 10g Gatewayから
OEGに移行する出発点として、OWSM 10g Gateway to
OEG Migration Guideを参照してください。
9. Oracle API GatewayとOracle Service Busの関係を教
えてください。
2つの製品は相互補完的です。Oracle Service Busは通常、
企業イントラネット(グリーン・ゾーン)にデプロイされ、
サービス仮想化、プロトコル仲介、および負荷の大きいペ
イロードの変換などが社内クライアントと社内アプリ
ケーションに提供されます。Oracle API Gatewayは通常、
企業DMZ(レッド・ゾーン)にデプロイされ、APIとWeb
サービスをエクストラネット、モバイル・アプリケーショ
ン、ビジネス・パートナーに公開するときや、SaaS、PaaS、
IaaSの各インフラストラクチャとやり取りするときに必
要となる、各種の高度なセキュリティ機能が提供されます。
Oracle API Gatewayでも、軽量のサービス仮想化、プロト
コル変換、およびペイロード変換の各機能が提供されます。
これは、APIゲートウェイの要件であるためですが、重点
34
を置いているのは、DMZデプロイメントに必要な機能(脅
威からの保護、オラクルおよびサード・パーティのアクセ
ス管理の統合、クライアント/コンシューマ・ベースのス
ロットリング、セキュリティ・トークンの調停、メソッド
/APIのファイアウォールとブラックリスト、Oracle Mobile
Access Management統合、API鍵の管理、クラウド統合な
ど)です。
10. OAG と 相 互 運 用 ま た は 統 合 さ れ る 、 Oracle
Identity/Access Management製品とMiddleware製品を教
えてください。
OAGは、Oracle Access Manager、Oracle Entitlements
Server、Oracle Access Management Mobile and Social、
Oracle Directory Services、Oracle Web Services Manager、
Oracle Service Registry 、 Oracle Service Bus 、 Oracle
Business Transaction Monitor、Oracle SOA Suite、Oracle
Enterprise Manager Grid Controlと緊密に統合され、API
リクエストおよびWebサービス・リクエストに関連するす
べてのレイヤーで、トランスポート・レベルおよびアプリ
ケーション・レベルのセキュリティが提供されます。
11. Oracle Enterprise Gatewayへの現在の投資は保護さ
れますか。
はい。すべてのお客様が、ご使用のOEGライセンスを
Oracle API Gatewayに移行できます。詳しくは、オラクル
のアカウント・チームにお問い合わせください。
12. Oracle API Gatewayにアップグレード/移行する必要
があるのはどのようなユーザーですか。また、いつ行う必
要がありますか。
OEGをご使用のすべてのお客様が、なるべく早期にデプロ
イメントをOAG 11gR2にアップグレードして、新機能、
パフォーマンス改善、バグ修正の利点を獲得することを強
くお勧めします。詳しくは、オラクルのアカウント・チー
ムにお問い合わせください。
35
Statement of Direction(方向性)
Oracle Privileged Account Manager
Doc ID 2306738.1
Oracle Enterprise Single Sign-On Suite Plus
Doc ID 2308888.1
Oracle Adaptive Access Manager
Doc ID 2305294.1
36
Oracle Access Management FAQ 12c
(12.2.1.3.0)
2017年9月更新
Oracle Corporation
Worldwide Headquarters
500 Oracle Parkway
Redwood Shores, CA 94065
U.S.A.
海外からのお問い合わせ窓口
電話: +1.650.506.7000
+1.800.ORACLE1
Fax: +1.650.506.7200
oracle.com
Copyright © 2015, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記載
される内容は予告なく変更されることがあります。本文書は、その内容に誤りがないことを保証するものではなく、また、口頭によ
る明示的保証や法律による黙示的保証を含め、商品性ないし特定目的適合性に関する黙示的保証および条件などのいかなる保証およ
び条件も提供するものではありません。オラクルは本文書に関するいかなる法的責任も明確に否認し、本文書によって直接的または
間接的に確立される契約義務はないものとします。本文書はオラクルの書面による許可を前もって得ることなく、いかなる目的のた
めにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません。
OracleおよびJavaはOracleおよびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。
AMD、Opteron、AMDロゴおよびAMD Opteronロゴは、Advanced Micro Devicesの商標または登録商標です。IntelおよびIntel Xeon
はIntel Corporationの商標または登録商標です。すべてのSPARC商標はライセンスに基づいて使用されるSPARC International, Inc.
の商標または登録商標です。UNIXはX/Open Company, Ltd.によってライセンス提供された登録商標です。1010