OAAMとTAP統合

349
-1

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
349
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

OAAMとTAP統合

  1. 1. 1 OAMMSセキュリティプラグイン の概要およびOAAMとTAP統合 Oracle Asia Research and Development Center Alice Liu(lzhmails@gmail.com) 2013/04/09
  2. 2. 2Copyright © 2012, Oracle and/or its affiliates. All right テーマ Access ManagerとOracle Adaptive Access Manager のTAP統合 動作検証の準備 OAMMSセキュリティプラグインの概要 OAAMとの統合ユースケース
  3. 3. 3Copyright © 2012, Oracle and/or its affiliates. All right Oracle Access Management Mobile and Social 未像:モバイル・ソーシャル・ネットワークが 社会を変える OAMMSセキュリティプラグインの概要
  4. 4. 4Copyright © 2012, Oracle and/or its affiliates. All right OAMMSセキュリティプラグインって何? 主にモバイルユースケースのために設計されるが、 非モバイルユースケースで使用することもできる 1. モバイルへのアクセスをコントロール 2. 追加ユーザーの認証 3. デバイスワイプアウトを通知
  5. 5. 5Copyright © 2012, Oracle and/or its affiliates. All right Access ManagerとOracle Adaptive Access ManagerのTAP統合 Access ManagerとOAAMとのTAP統合では、OAAMサーバーが信頼できるパートナ・アプリケーションとして動作 します。OAAMサーバーは厳密認証、 リスクおよび不正分析の実行後にTrusted Authentication Protocol (TAP) を使用して認証済のユーザー名をOAMサーバーに送信し、OAMサーバーは保護されたリソースへリダイレクトする 役割を果たします。 統合の要件
  6. 6. 6Copyright © 2012, Oracle and/or its affiliates. All right Access ManagerとOracle Adaptive Access ManagerのTAP統合 検証した製品のバージョン情報 OHS 11.1.1.6 Webgate 11.1.2.1 Oracle DB 11.2.0.3 OAM+OAAM 11.1.2.1 Weblogic 10.3.6
  7. 7. 7Copyright © 2012, Oracle and/or its affiliates. All right Access ManagerとOracle Adaptive Access ManagerとのTAP統合フロー コンポーネントがインストール Access ManagerとOAAMの管理 コンソールおよび管理対象サーバ ーが実行されていることを確認 OAAM管理ユーザーを作成 OAAMベース・スナップショット をインポート Oracle Access Managementコ ンソールに正常にログインでき る必要 OAAMが正しく設定されたこと Webゲートエージェント を登録 OAAMサーバーを信頼できるパートナ・ アプリケーションとして動作するように Access Managerに登録 エージェント・パスワードを追加 Oracle Access Managementテ スターを使用してTAPパートナ登録 を検証 IAMSuiteAgentを更新 OAAMでTAP統合プロパティを設定 1 2 3 4 5 6 7 8 9 10 11 12
  8. 8. 8Copyright © 2012, Oracle and/or its affiliates. All right 統合後、保護されたリソースへリダイレクトするログイン・フロー
  9. 9. 9Copyright © 2012, Oracle and/or its affiliates. All right Oracle Mobile and Social Access Management 未像:モバイル・ソーシャル・ネットワークが 社会を変える 動作検証の準備
  10. 10. 10Copyright © 2012, Oracle and/or its affiliates. All right 動作検証の準備1:OAAM管理ユーザーおよびOAAMグループの作成 OAAM管理コンソールを保護する場合 外部LDAPストアでユーザーおよびグループの作成を処理する必要 (idmConfigToolコマンドの使用) OAAM管理コンソールを保護しない場合 WebLogic管理コンソールで管理ユーザーを作成する必要
  11. 11. 11Copyright © 2012, Oracle and/or its affiliates. All right 動作検証の準備1:OAAM管理ユーザーおよびOAAMグループの作成 WebLogic管理コンソールで管理ユーザーの作成 ◎WebLogic管理コンソールにログイン ◎「ドメイン構造」->「セキュリティ・ レルム」を選択 ◎「セキュリティ・レルムのサマリー」 ページで、myrealmを選択 ◎「レルム名」→「設定」→「ユーザー とグループ」→「ユーザー」→「新規」 ◎「グループ」タブをクリック ◎ OAAMキーワードのあるグループをすべ て、ユーザーに割り当てます。 ◎グループを左(使用可能)から右(選択済) に移動 ->「保存」 OAAMEnvAdminGroup OAAMRuleAdministratorGroup …… OAAM関連グループ
  12. 12. 12Copyright © 2012, Oracle and/or its affiliates. All right 動作検証の準備2:OAAM_SERVER_DSにターゲットoam_server1を追加 WebLogin管理コンソールを使用してOAAM_SERVER_DSにターゲットoam_server1を追加 WebLogic管理コンソールにログイン->サービス->データ・ソース->OAAM_SERVER_DSを選択->ター ゲットタブをクリック->oam_server1を選択->保存
  13. 13. 13Copyright © 2012, Oracle and/or its affiliates. All right ユースケースのチェックポイントとアクショングループの概要 チェックポイント アクショングループ
  14. 14. 14Copyright © 2012, Oracle and/or its affiliates. All right Oracle Mobile and Social Access Management 未像:モバイル・ソーシャル・ネットワークが 社会を変える OAAMとの統合ユースケース
  15. 15. 15Copyright © 2012, Oracle and/or its affiliates. All right OAAMとの統合ユースケース1,2のイメージ 未像:モバイル・ソーシャル・ネットワークが 社会を変える モバイルデバイス管理 デバイス登録のスタイル: パッシブ(R2でサポート)(将来的には他のスタイル:アクティブ、管理) デバイスプロファイル/フィンガープリント ユーザーID、デバイスID/プロファイル、クライアントアプリケーションIDの管理 その他の機能 デバイスのホワイトリスト、またはブラックリスト
  16. 16. 16Copyright © 2012, Oracle and/or its affiliates. All right ユースケース1:デバイスをブラック チェックポイント/ポリシー/ルール/アクショングループ チェックポイント:ポスト認証 ポリシー:OAAMポスト認証セキュリティ ルール:モバイルデバイスをブラック デバイスグループ:OAAMブラック・リストに記載されたモバイル・デバイス アクション:OAAMでモバイルデバイスをブラック アラート: OAAMブラック・リストに記載されたモバイル・デバイスの使用 予想出力 "message":"Black Listed Mobile Device Rule is triggered ", "oicErrorCode":"IDAAS-62005", "status":"WIPE_OUT"
  17. 17. 17Copyright © 2012, Oracle and/or its affiliates. All right ユースケース1:デバイスをブラック 配置手順
  18. 18. 18Copyright © 2012, Oracle and/or its affiliates. All right ユースケース1:デバイスをブラック 配置手順
  19. 19. 19Copyright © 2012, Oracle and/or its affiliates. All right ユースケース1:デバイスをブラック 未像:モバイル・ソーシャル・ネットワークが 社会を変える
  20. 20. 20Copyright © 2012, Oracle and/or its affiliates. All right ユースケース2:盗難・紛失でOAAMデバイスの管理 チェックポイント/ポリシー/ルール/アクショングループ チェックポイント:ポスト認証 ポリシー:OAAMポスト認証セキュリティ ルール:盗難・紛失でデバイス デバイスグループ:盗難・紛失でOAAMデバイス アクション:紛失したOAAMデバイスを追加 アラート:盗難・紛失でOAAMデバイス 予想出力 "message":"Lost or Stolen Device Rule is triggered", "oicErrorCode":"IDAAS-62006", "status":"WIPE_OUT"
  21. 21. 21Copyright © 2012, Oracle and/or its affiliates. All right ユースケース2:盗難・紛失でOAAMデバイスの管理 配置手順
  22. 22. 22Copyright © 2012, Oracle and/or its affiliates. All right ユースケース2:盗難・紛失でOAAMデバイスの管理 未像:モバイル・ソーシャル・ネットワークが 社会を変える
  23. 23. 23Copyright © 2012, Oracle and/or its affiliates. All right ユースケース3:アプリケーションをブラック チェックポイント/ポリシー/ルール/アクショングループ チェックポイント:ポスト認証 ポリシー:OAAMポスト認証セキュリティ 予想出力 "message":"The Denied Action is triggered", "oicErrorCode":"IDAAS-61009", "status":"DENIED"
  24. 24. 24Copyright © 2012, Oracle and/or its affiliates. All right ユースケース3:アプリケーションをブラック 配置手順
  25. 25. 25Copyright © 2012, Oracle and/or its affiliates. All right ユースケース4:セッション情報の確認 • OAAMセッションテーブルに重要なコラム • セッションID、ユーザネーム、ディバイスID、ディバイスタイプ、クラインアウト アプリケーション ネーム • 認証ステータス、セッション日、認証後アクション(許可、チャレンジ、ブロック) • 詳しくは下記ページをご参照
  26. 26. 26Copyright © 2012, Oracle and/or its affiliates. All right ユースケース4:セッション情報の確認 未像:モバイル・ソーシャル・ネットワークが 社会を変える
  27. 27. 27Copyright © 2012, Oracle and/or its affiliates. All right ユースケース4:セッション情報の確認
  28. 28. 28Copyright © 2012, Oracle and/or its affiliates. All right ユースケース5:アクセス管理とリスクベース認証の統合 アクセスパターンと履歴の収集 アクセスパターン 1. リスク>閾値、KBAチャレンジ、またはOTPチャレンジ 2. リスク>>閾値(間違ったパスワード何度も試行)、ブラックリスト、またはユー ザ/デバイスを両方ブロック OTPとKBAは一緒に使用できる。OTP は、KBAチャレンジを補 完するために使用することも、KBAのかわりに使用することもで きる。
  29. 29. 29Copyright © 2012, Oracle and/or its affiliates. All right ユースケース5-1: KBA( Knowledge Base Authentiation) チャレンジ ユーザーは、KBAの質問を設定するOAAM管理下サーバーのコンソールを 使用することもできる。 設定流れは39.9.2.6.1 Setting up OAAM Knowledge-Based Authenticationをご参照
  30. 30. 30Copyright © 2012, Oracle and/or its affiliates. All right ユースケース5-2: OTP(One Time Password) チャレンジ 設定流れは39.9.2.6.3 Setting Up OTP E-Mail Integrationをご参照 OTP By Email OTP By SMS 設定流れは39.9.2.6.4 Setting Up OTP Integration for SMS Messagesをご参照
  31. 31. 31 Q&A ありがとうございました。 Blog: http://lzhairs.blogspot.jp E-mail: lzhmails@gmail.com
  32. 32. 32 参考資料 • http://docs.oracle.com/cd/E37115_01/admin.1112/e27239/oicconfiguringmobilesrvcs.htm#B EIFHCBF • Overview of OIC Security Plug-in and OAAM Integration • http://docs.oracle.com/cd/E37472_01/admin.1112/b70199/chquest.htm • http://docs.oracle.com/cd/E37472_01/admin.1112/b70199/groups.htm • http://docs.oracle.com/cd/E37472_01/admin.1112/b70199/part_kba.htm • http://docs.oracle.com/cd/E37115_01/index.htm • http://docs.oracle.com/cd/E37115_01/admin.1112/e27207/intro.htm#autoId8 • OAAM+OIC+Integration+Documentation
  33. 33. 33 関連用語集&外部リンク ・ SMTP:Simple Mail Transfer Protocol(シンプル メール トランスファー プロトコル)または簡易メ ール転送プロトコルは、インターネットで電子メールを転送するプロトコルである。通常 TCP のポ ート番号 25 を利用する。 転送先のサーバを特定するために、DNSの MXレコードが使われる。 RFC 5321 で標準化されている。 ・ KBA Knowledge Base Acceleration ナレッジベース認証 ・ OTP One Time Password ワンタイムパスワード 、 コンピューターのアカウントのようにアクセス制限されたリソースに対して未承認アクセスすること をより困難にすることにある。従来の固定パスワードによるアクセス制限では、十分な機会と時間 を与えられた承認を受けない侵入者にとっては容易にアクセスしうる。定期的にパスワードを変更 することで、それもワ ンタイムパスワードを利用することで、こうしたリスクは大幅に低減する。
  34. 34. 34 関連用語集&外部リンク ・ 認証(Authentication, Authn) ・ 承認(認可, Authorization, Authz) ・ 認証と認可の違い • http://www.itmedia.co.jp/enterprise/articles/0804/22/news044.html • http://msdn.microsoft.com/ja-jp/library/bb263941%28VS.85%29.aspx • au・then・ti・ca・tion [aw thent kaysh'n] 名詞: (認証) 個人やプロセスの身元の確認。 • au・thor・i・za・tion [awthr zaysh'n ] 名詞: (承認) 何かを行う、またはある場所に存在することを、誰かに許可を与えること。
  35. 35. 35
  36. 36. 36

×