社内もクラウドも!最新ID・アクセス管理ソリューションの全貌

Like this? Share it with your network

Share

社内もクラウドも!最新ID・アクセス管理ソリューションの全貌

  • 1,664 views
Uploaded on

今日のID・アクセス管理基盤には、コンプライアンス対応だけでなくクラウドサービス連携などの高度な柔軟性が求められています。Oracle Identity Management 11g 製品群は、オープンで標準仕様に基づくサービス志向なID・アクセス管理を実現しました。本資料では、11g のコンセプトをはじめ、ユーザにもたらすメリットや主要製品の新機能のご紹介をいたします。

今日のID・アクセス管理基盤には、コンプライアンス対応だけでなくクラウドサービス連携などの高度な柔軟性が求められています。Oracle Identity Management 11g 製品群は、オープンで標準仕様に基づくサービス志向なID・アクセス管理を実現しました。本資料では、11g のコンセプトをはじめ、ユーザにもたらすメリットや主要製品の新機能のご紹介をいたします。

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,664
On Slideshare
1,662
From Embeds
2
Number of Embeds
1

Actions

Shares
Downloads
9
Comments
0
Likes
0

Embeds 2

http://paper.li 2

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. <Insert Picture Here>社内もクラウドも!最新ID・アクセス管理ソリューションの全貌日本オラクル株式会社
  • 2. 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。 Copyright© 2011, Oracle. All rights reserved.
  • 3. Agenda • Oracle Identity Management Suite 11g • Oracle Identity Manager 11g • Oracle Access Manager 11g • おわりに Copyright© 2011, Oracle. All rights reserved. 3
  • 4. Oracle Identity Management Suite 11g Copyright© 2011, Oracle. All rights reserved. 4
  • 5. Oracle Identity Management Suite 11g標準仕様に基づくサービス連携を実現 Service-Oriented Security Copyright© 2011, Oracle. All rights reserved. 5
  • 6. これまでのIAM基盤(外部連携)* IAM: Identity and Access Management• Push 型による一方的な “統制” SaaS ポリシー ユーザ アクセス管理基盤 グループ企業 ポリシー ワークフロー 業務アプリ ID管理基盤 業務アプリ 人事システム Copyright© 2011, Oracle. All rights reserved. 6
  • 7. これまでのIAM基盤(内部連携) • 独自仕様に基づく機能拡張 • 導入しづらい, 運用・管理しづらい, 拡張しづらい認証・認可 ユ 認証・認可 ユ 認証・認可 ユ ユ ー 認証・認可 ー ー ー ザ ザ ザ ザプロビジョニング ・ 認証・認可 ・ ディレクトリサービス ・ フェデレーション ・ イ イ イ イ ン ン ン ンワークフロー タ ワークフロー タ ワークフロー タ タ フ ワークフロー フ フ フアカウント管理 ェ アカウント管理 ェ アカウント管理 ェ ェ ー アカウント管理 ー ー ー監査・レポート ス 監査・レポート ス 監査・レポート ス 監査・レポート ス アイデンティティ&アクセス管理基盤 ビジネスプロセス 監査担当者 アクセスポリシー Copyright© 2011, Oracle. All rights reserved. 7
  • 8. これからのIAM基盤 ~ Service-Oriented Security• ソフトウェア連携に基づくサービスの提供• アプリケーションと疎結合なアイデンティティ・サービス も提供 グループ企業 業務アプリ SaaS ワークフロー 監査レポート Service-Oriented Securityディレクトリ フェデレーション プロビジョニング 認証・認可 企業内システム 企業内システム Copyright© 2011, Oracle. All rights reserved. 8
  • 9. オラクルID管理ソリューション製品 • 企業のID管理ソリューションを支援するためのソフトウェアおよび機能 を提供しており、世界中で多くの実績を持っています。1.基礎的な情報セキュリティ対策 アイデンティティ(ID)管理 認証・アクセス制御(アクセス管理) LDAP IDライフサイクル管理 統合型認証・アクセス制御 連携型認証(フェデレーション) Oracle Internet Directory Oracle Identity Manager Oracle Access Manager Oracle Identity Federation Oracle Virtual Directory Oracle STS/Fedlet Oracle Directory Server EE2.局所 or 応用的な情報セキュリティ対策職務分掌違反 Windows環境のシングル・サインオン 認証・アクセス制御の強化 データ・セキュリティの強化Oracle Identity Oracle Enterprise Single Sign-On Suite Plus Oracle Adaptive Access Manager Oracle Advanced SecurityAnalytics Oracle Entitlements Server Oracle Database Vault Oracle Label Securityアプリケーション・セキュリティ Oracle Audit Vault Oracle Data MaskingOracle WebLogic Security (OPSS) DataWall(Secerno)電子文書の取扱いに関するセキュリティの強化 Oracle Information Rights Management Copyright© 2011, Oracle. All rights reserved. 9
  • 10. シンプルかつ高機能なシステム監視ツール• 高機能 Oracle • 障害解析やコンプライアンスに Enterprise Manager IdM Pack 役立つ設定管理ツール • 新たに50以上の性能監視項 目を追加 • バージョニングとパラメータの 比較に対応 Provisioning Directory Services• 効率的な監視 • 複数のサービスにまたがる中 Access Management 央集中型のトラッキングや監 視を実現 Copyright© 2011, Oracle. All rights reserved. 10
  • 11. Oracle Identity Navigator• 課題 • 管理者・エンドユーザが IdM サービスを利用するために複 数の画面にアクセスしなけれ ばならない • 監査担当者は各ソフトウェア IdMソフトウェアの から監査情報をかき集めなけ コンソール ればならない • 利用しているソフトウェアのパ ッチ情報やセキュリティ情報を 収集するのに手間がかかる パーソナライズ パッチやセキュリティ に関するRSS Feed• Oracle Identity Navigator されたレポート の提供 Copyright© 2011, Oracle. All rights reserved. 11
  • 12. Oracle Identity Manager 11g Copyright© 2011, Oracle. All rights reserved. 12
  • 13. Oracle Identity Manager の役割 コンテンツ管理 システム 顧客情報管理 人事 システム システム Target System Trusted Source 売上管理 システム リコンシリエーション (ユーザー情報の取得) プロビジョニング 品質管理 (配信) システム ID管理 コネクタ OSアカウント ・ID情報の管理管理者 データベース ・メンテナンス 管理 ユーザ情報 配信ルール 各種履歴ログ ロール など 属性・ルールに基づいたユーザ ・パスワード変更 ・申請 ロール割当て 入退出管理 Oracle Identity Manager システム Copyright© 2011, Oracle. All rights reserved. 13
  • 14. IDのライフサイクル管理 ポリシー・ロールによる パスワード変更 ユーザ登録 プロビジョニング(自動) ユーザーの部署や役職に 基づいたルールによるID管理 を実現!! リコンシリエー パスワード問い合わせの自動化 ション 管理者負荷軽減!!人事システム 申請・承認ワークフローによる プロビジョニング ユーザ情報の変更 不正アカウントの処理(自動) ユーザ削除 連携対象システム ログ・監査 デプロビジョニング(自動) 承認アカウントのチェック 利用者がセルフサービスにて アクセス権限申請が可能 監査で必要とされるレポート ID管理者負荷軽減!! は標準で準備!! 定期的なアカウント配信 状況のチェック機能!! ログ履歴保存 Copyright© 2011, Oracle. All rights reserved. 14
  • 15. ソフトウェア構成 対象システムクライアント ユーザー・コンソール Design Console Oracle JDeveloper RMI Java HTTP HTTP ユーザー管理 プロビジョニング ワークフロー レポート 設定情報 / 履歴情報 リコンシリエーション Oracle Identity Manager Oracle SOA Suite Oracle BI Publisher Oracle Database SE or EE JDBC Oracle Weblogic Server アプリケーションサーバ層 リポジトリデータベース層 Copyright© 2011, Oracle. All rights reserved. 15
  • 16. 柔軟で使いやすいWebインタフェース マルチタブ 国際化対応 Webインタフェースの特徴 • AJAX を活用することで使いや すさとパフォーマンスの両立 • 透過ウィンドウ • 部分レンダリング • ウィザードによる設定 • 高度な検索機能を標準装備 拡張検索 • 様々な属性を用いた検索 • AND / OR による複数条 件の指定 • Oracle ADF (Application Developement Framework) を活用した製品共通のインタフ ェース並び替え、Read/Write、独自属性の追加 Copyright© 2011, Oracle. All rights reserved. 16
  • 17. 立場・職務に応じたインタフェースの提供 アカウント• 立場・職務に応じた画面の提供 作成・更新 • ヘルプデスク 組織管理者 • 組織管理者 • システム管理者• 細かな権限の移譲を実現 ヘルプデスク パスワード管理 • 権限: のみ • 作成、削除、変更(パスワード、プ ロファイル、ステータス)、検索、 閲覧、等 10 種類以上の権限を 用意 • 管理対象: • 属性レベルでの制御 • 組織単位 or 全体 • 割当て: • ロール• ウィザードによるメンテナンス ウィザードを用いた権限委譲のポリシー(認可ポリシー)の定義 Copyright© 2011, Oracle. All rights reserved. 17
  • 18. 組織とロールによる効率的なID管理を実現• ユーザと組織とロール • ユーザへの権限付与 1:1 直接割当てられるケース 1:多 User 直接権限が付与される1:多 User Role Org 1:多 組織経由で割当てられるケース 組織に対して ロールが付与 多:多 組織に所属 される Role Org User Role多:多 所属組織に基づいて ロールの権限が 付与される Copyright© 2011, Oracle. All rights reserved. 18
  • 19. 効率的なRBACの実現:階層化ロール• (ネスト型ではなく)階層型のロール 子ロールに属するユーザは Employee 親ロールに引き継がれる Employee Manager Manager Director 子ロールは Director 親ロールの権限を引継ぐ 単なるロールのグルーピングではないからこそ効率的な管理が可能 Copyright© 2011, Oracle. All rights reserved. 19
  • 20. ルールに基づくロールの自動割当て  権限・ポリシーをまとめたロールをユーザーに割り当てることでユーザーの権限を制御  手動または自動にてロールの割当てが可能  ユーザー属性を利用した割当てルール(メンバーシップルール)により自動割当てを実現  “ロールマスタ DB“ からのロール情報の取り込みにも対応 Oracle Identity Manager 技術本部 ロール OIM内の権限 OIMユーザー技術一部 所属 (認可ポリシー) メンバーシップ 配信ポリシー ルール 技術本部 ロール (アクセスポリシー) 組織 = “技術本部” 申請権限 技術一部 ロール人事システム 親ロール (リクエストテンプレート) 親ロールの権限も メンバーシップ 技術一部 ロール 割当てられる ルール 組織 = “技術一部” Copyright© 2011, Oracle. All rights reserved. 20
  • 21. ユーザ毎に柔軟なプロビジョニングを実現• ユーザの属性や割当てられたロールに応じて管理対象シ ステム毎の細かな制御が可能 • 例:経理部ユーザは、あるシステムでは物理削除、他システムでは無効化 自動配信対象 アクセスポリシー1 リソースオブジェクト 営業部ロール リソースオブジェクト グループウェア グループウェア プロセスフォーム リソースオブジェクト 開発部 ロール コンテンツ管理 プロセスフォーム コンテンツ管理 システム 自動配信対象 経理部 ロール アクセスポリシー 2 リソースオブジェクト リソースオブジェクト 売上管理システム プロセスフォーム 売上管理 システム Copyright© 2011, Oracle. All rights reserved. 21
  • 22. ワークフロー機能 Oracle SOA/BPEL• 標準化されたワークフローの枠組みを利用 承認ワークフロー • 独自仕様(10g)から標準言語BPEL採用(11g)へ• 「誰がどの申請ワークフローを実行できるか」の 定義もGUIで設定可能• Oracle JDeveloper を 用いて独自のワーク フローの定義も可能• Oracle SOA Suite (BPEL Manager) を 活用 Copyright© 2011, Oracle. All rights reserved. 22
  • 23. ワークフローはWebブラウザだけで設定可能• 申請画面 • Request Template • ウェブブラウザで作成可能• 申請機能 • ユーザにロールやアカウン ト、アクセス権の申請を行わ せるインタフェースを提供 • 複数のユーザや複数のアカ ウントを一度に申請する一 活リクエストにも対応 • さらに一括リクエストの中で 個別の承認ワークフローを 走らせることも可能 Copyright© 2011, Oracle. All rights reserved. 23
  • 24. エージェントレス・コネクタ主要コネクタDatabase User IBM DB2/UDB Database Enterprise Oracle E-Business Suite Microsoft SQL Server Database Applicationsr PeopleSoft Oracle Database Siebel Sybase ASE Databse SAPDatabase Table Oracle Databse Application Table JDEdwards Sybase ASE Databse Application Table OS UNIX TelnetDirectory Oracle Internet Directory UNIX SSH Microsoft Active Directory Enterprise IBM Lotus Notes/Domino Novell eDirectory Messaging Microsoft Exchange 旧Sun Java System Directory Server• 管理対象システムにソフトウェアのインストールが不要な “エージェン トレス” コネクタのアーキテクチャを採用• データベースのテクノロジ(ストアード・プロシージャ)を活用することで 非常に高速な取り込みを実現 • 前バージョン比 10 倍 Copyright© 2011, Oracle. All rights reserved. 24
  • 25. Generic Technology Connector (汎用テクノロジコネクタ)  SPMLとFlat Fileによる汎用的なコネクタ  OIM Serverの標準機能として実装済み  コネクタのインポートは不要。ウィザード形式のWeb画面で作成できる  以下の2つの汎用テクノロジコネクタのライセンスは不要 – Flat Fileによるリコンシリエーション用コネクタ – SPMLによるプロビジョニング用コネクタ ユーザー情報 Oracle Identity Manager 取り込み SPML ユーザー情報配信Flat File SPML GUIによる設定 Copyright© 2011, Oracle. All rights reserved. 25
  • 26. SaaS や外部アプリケーションとの連携ウェブサービス(SPML)によるプロビジョニング 業務アプリ SaaS グループ企業 ユーザ管理(非同期型) ロール管理(非同期型) その他(同期型) ユーザ作成 ロール作成 ユーザ名の検証 ユーザ更新 ロール更新 ユーザ名の生成 ユーザ削除 ロール削除 ユーザ状態の確認 ユーザの一時停止 List Targets ユーザの再開 SPML ロールの割当て ロールの剥奪 Oracle Identity Manager ID のライフサイクル管理 Copyright© 2011, Oracle. All rights reserved. 26
  • 27. 対象システムとの処理1. コネクターパック (有償) を使用して処理 各システム向けにOracleからご提供するコネクタを使用 Oracle Identity Manager System A 開発済アダプター、設定、リコンシリエーションタスクの集合体 コネクター パック2. コネクターパックをカスタマイズして処理 コネクターパックが対応しきれない配信要件のシステムとの接 System B 続用に、既存のコネクタを一部カスタマイズ コネクター カスタ OIMに付属するGUIツール(アダプター・ファクトリー)上でカス パック マイズ タマイズを実装 コネクターパックをテンプレートに使用可能 System C3. コネクターを新規開発して処理 新規開発 独自アプリケーションなどとの接続用に、コネクターパックを コネクター 全く使用せず、新規開発 アダプター・ファクトリー上で、既存の部品を組み合わせる方 式で開発 開発ツール:Adapter Factory 細かい仕様の実装にはJavaによるコーディングも可能 Copyright© 2011, Oracle. All rights reserved. 27
  • 28. Adapter Factory• GUIによるアダプター設計のためのツール• お客様の要望にあわせたコネクタのカスタマイズ・新規コネクタの• 開発を容易に• コーディングを減らし、TCOダウン• JavaやIdentity ManagerのAPIがすでに取り込まれているため、簡単なアダプタ ーであればGUIのみでの設計が可能 カスタムJavaプログラムのコール Java Utilityのコール Copyright© 2011, Oracle. All rights reserved. 28
  • 29. パスワード管理とチャレンジQA • ユーザー自身にてセルフサービス機能によりパスワード変更が可能 • チャレンジQAを設定することパスワード忘れ時に自身でのリセットが可能パスワード変更画面にて設定されているパスワードポリシーを表示 チャンレジQAの内容や設定数、正解数 は設定にて変更可能 Copyright© 2011, Oracle. All rights reserved. 29
  • 30. パスワード変更と変更同期  変更したパスワードをリアルタイムに対象システムへ同期可能 OIMユーザー情報 ユーザID UserA ******* リソースオブジェクト パスワード リソースA 姓 山田 ターゲット:リソースA 配信ユーザ情報パスワード変更 太郎 名 ユーザID UserA リソースA用 OIMパスワード同期タスク ******* リソースB用 パスワード パスワード変更タスク OIMパスワード同期アダプタ パスワード変更アダプタ リソースオブジェクト リソースB ターゲット:リソースB 配信ユーザ情報 ユーザID UserA リソースB用 OIMパスワード同期タスク ******* リソースB用 パスワード OIMパスワード同期アダプタ パスワード変更タスク パスワード変更アダプタ Copyright© 2011, Oracle. All rights reserved. 30
  • 31. 不正アカウント検知• プロビジョニング先ターゲットへの定期的な変更検出タスク(Targetリコンシリエーショ ン)により、対象システムに直接作成されかつOIMでは管理外のアカウントを検知• 悪意による不正アカウントや動作確認用の一時アカウントを検出 Oracle Identity Manager リソースA 1. アカウントの配信 配信済みアカウント一覧 UserA UserA UserB UserB 対象システムA test01 UserC ユーザー情報 取り込み UserC 2. システムに UserD UserD 直接アカウント追加 3. ターゲットリコンシリエーション (OIM保持配信ユーザー情報と対象システム側のユーザー情報を比較) 不正作成ID(test01)の検出 Copyright© 2011, Oracle. All rights reserved. 31
  • 32. 不正属性操作の検知/確認• プロビジョニング先ターゲットへの定期的な変更検出タスク(Targetリコンシリエー ション)により、対象システムでの不正属性変更を検知• 検知した不正属性操作をレポートにて確認可能Oracle Identity Manager リソースオブジェクト リソースA 2. システムにて ターゲット:リソースA 1. アカウントの配信 Email属性の直接更新 配信ユーザ情報 UserAの情報 UserID : UserA UserID : UserA Last Name : User Last Name : User First Name : A 対象システムA First Name : A Email : A@test.com ユーザー情報 Email : X@test.com Group : G001 取り込み Group : G001 Privilege :P1,P2 Privilege :P1,P2 3. ターゲットリコンシリエーション (OIM保持配信情報と対象システム側のユーザー情報を比較) 不正属性変更 (Email属性)の検出 Copyright© 2011, Oracle. All rights reserved. 32
  • 33. 不正属性操作の検知/確認• 不正属性操作をレポートとして表示 →ファイングレイン権限例外レポート 本来あるべき値 現在の不正属性値 Copyright© 2011, Oracle. All rights reserved. 33
  • 34. 統制外アカウントの検知/確認 • プロビジョニング先ターゲットへの定期的な変更検出タスクにより、 対象システムでの統制外アカウントを検知 • 検知した統制外アカウントをレポートにて確認可能“統制外アカウント”とは以下3種類のアカウントを指します。 配信先システム OIM側での把握 あるべき状態 実際の状態 削除を配信A) OIMアカウントが削除されているにもかかわらずターゲット・アカウントが存在している 配信していないB)OIMでアカウントを配信していないにもかかわらずターゲット・アカウントが存在している 配信先システムに削除を指令C)OIMから削除を処理が行われているにもかかわらずターゲット・アカウントが存在している Copyright© 2011, Oracle. All rights reserved. 34
  • 35. 統制外アカウントの検知/確認• 統制外アカウントをレポートとして表示 →統制外アカウントレポート Copyright© 2011, Oracle. All rights reserved. 35
  • 36. レポート• Oracle BI Publisherにて全てのレポートを表示• Oracle BI Publisherの機能を利用することが可能で、レポート毎に出力形式を選 択でき、レイアウト変更もWebインターフェースより実施可能• レポート出力のスケジューリングも可能 出力形式(PDF、Excel、PPTなど)を レポートフォーマットをWebUIより 選択可能 変更可能 Copyright© 2011, Oracle. All rights reserved. 36
  • 37. アテステーション(アカウント配信の棚卸) 定期的なアカウント配信状況の棚卸作業 – ターゲットシステム上にアカウントを持つ権利があるのかをチェック – 容認、却下、否認、委任のアクション定義が可能 各部門長、システム管理社などに棚卸作業を委任し、担当を割り振ることも可能 棚卸実施棚卸の設定、定期的な依頼 アクションを定義 棚卸進捗確認 レポート作成 Copyright© 2011, Oracle. All rights reserved. 37
  • 38. Oracle Identity Analytics との連携• 権限を付与する前にポリシー違反を検知 Oracle Identity Manager Oracle Identity Analytics リソースの承認 ワークフロー 1 IT監査ポリシー 検証リクエスト 競合分析 IT監査 リソースのプロ ポリシー ビジョニング・ ワークフロー 2 シミュレーション 3 IT監査ポリシー 検証結果 企業の監査ポリシーを 満たした権限の プロビジョニング Copyright© 2011, Oracle. All rights reserved. 38
  • 39. Oracle Access Manager との連携 • Oracle Access Manager のユーザ情報を管理 • 人事情報などと連動した ID ライフサイクル管理の自動化 • 管理者向けコンソールによる個別管理 • ワークフローによる利用申請・承認 • ユーザによるセルフサービス • パスワード/属性変更など • シングルサインオン利用権限に関する監査情報 Access Manager SSOユーザ IDの配信人事情報 Copyright© 2006, Oracle. All rights reserved. Oracle Identity Manager 不正アカウント ユーザー情報(LDAP) 検知 Copyright© 2011, Oracle. All rights reserved. 39
  • 40. まとめ• オラクルの ID 管理ソリューションはオープンで標準に基 づいたソリューションです• サービス志向なアーキテクチャを外部サービスとの連携 にも内部的なソフトウェア連携にも採用しています• Oracle Identity Manager 11g はユーザ・インタフェース、 機能、性能、アーキテクチャすべてが新しくなりました• Oracle Identity Analytics 11g と組み合わせることで、社 内外の “ID 管理” と “ID の統制” を実現します Copyright© 2011, Oracle. All rights reserved. 40
  • 41. Oracle Access Manager 11g Copyright© 2011, Oracle. All rights reserved. 41
  • 42. アクセス制御の一元化とSSOを実現 Oracle Access Manager■Oracle Access Manager とは? ■Oracle Access Manager 導入のメリット • シングルサインオンおよび、Webサイトへのアクセ • シングルサインオンによるユーザ利便性の向上 ス制御を実現し、監査ログを記録する製品 • 均一なレベルのセキュリティの保持■Oracle Access Manager の機能 • 本人確認、権限付与の一元化による信頼性向上 • 統合認証管理:シングルサインオン機能 • 委任管理による管理コスト低減 • 統合アクセス制御、管理:複数Webシステムへの一元的 なアクセス制御、(柔軟できめ細かいアクセス認可ルール の設定) • 監査レポート機能:いつ, 誰が, 何にアクセスしたかを記録 Web Gate Web Gate Web Gate Cookie Oracle Access 文書管理 システム Manager 業務アプリ Webシステム 各システムの認証・認可はAccess Managerで実施 クライアントはチケットを利用して各システムにアクセス Copyright© 2011, Oracle. All rights reserved. 42
  • 43. Oracle Access Management Suite Plus Entitlements Server Adaptive Access Manager• 資格情報の管理 • リスクベース認証• 粒度の細かい • リアルタイムでの (Fine Grained ) 不正防止 認可 Access Manager Identity Federation OpenSSO STS • Web アクセス制御/認証 • パートナ SSO および • Security Token 管理 • シングルサインオン ID フェデレーション • ID 情報の伝搬 • ID のアサート • Fedlet SP による連携 Copyright© 2011, Oracle. All rights reserved. 43
  • 44. アクセス管理コンポーネントの全体像 Copyright© 2011, Oracle. All rights reserved. 44
  • 45. Oracle Access Managerの主要機能と効果 シングル・サインオン  ユーザはたった一度のログオンで複数の •ユーザ業務効率の向上 システムをログオン操作なしで利用できる •パスワード忘れ防止 ようになります。 アクセス制御  認証済みユーザであっても、対象シ ステムを利用する権限がない場合、 •不必要な情報開示の防止 アクセスを拒否することができます。 •情報事故の予防 統合認証  ユーザ認証を一箇所に集約すること で、「いつ、誰が、どのシステムへア •アクセス状況の分析 クセスしたか」というアクセス証跡を •有事の際の追跡の容易化 一元的に取得することができます。 Copyright© 2011, Oracle. All rights reserved. 45
  • 46. Oracle Access Manager 11g特徴 利点モジュール分け可能なアー 管理サーバと実行用サーバの分離により個々に独立したオキテクチャ ペレーションが可能安全なポリシーモデル デフォルト設定ではアクセスは拒否(アクセスするには、許可 するポリシーを作成することが必要)シンプルになったインストー 1つのパッケージにて、インストールおよび一連のコンフィグルおよびコンフィグ が可能セッション管理 セッションのトラッキングや強制削除が可能診断およびモニタリング リアルタイムでキーとなる運用指標を監視することが可能エージェントの集中管理 管理コンソールにて、接続されているすべてのエージェントを 一元管理するビューを提供下位互換性 10g WebGate および 10g Mod_OSSO との互換性を確保Windows Native AuthN Windows デスクトップと Web の SSO を実現豊富なユーティリティ リモート登録ユーティリティ、リモートアクセステスタ、ポリシー 操作のための WLST コマンド Copyright© 2011, Oracle. All rights reserved. 46
  • 47. Oracle Access Manager 11gOAM 10g との主な違い項目 OAM 10g OAM 11gデプロイ スタンド・アロン・サーバ コンテナにデプロイLDAP 認証 システム全体で定義 認証スキームにて定義利用可能なエージェント WebGate WebGate および Mod_OSSOセッション管理 ステートレス(クッキー管理) ステートフル(サーバ管理)アプリケーション連携 OAM 構成ツール UI またはコマンドラインか らのリモート登録ツールID 管理 OAM Identity Server 任意の ID 管理ツール (デフォルトは OIM 11g)ポリシーモデル Open (デフォルトは許可) Closed (デフォルトは拒否)ポリシーストア LDAP RDBMS構成ストア LDAP ファイル Copyright© 2011, Oracle. All rights reserved. 47
  • 48. OAM 11g 全体構成 パートナアプリ ポリシーストア用データ ベース ユーザ ID ストア用ディ レクトリサーバ社内アプリ Copyright© 2011, Oracle. All rights reserved. 48
  • 49. Oracle Access Manager 11g の特徴アーキテクチャ Protocol Compatibility Framework Authentication Single Sign-On Engine Engine OAM Server Session Token Processing Management OAM Server Authorization Service Oracle Platform Security Services Copyright© 2011, Oracle. All rights reserved. 49
  • 50. Oracle Access Manager 11g の特徴 デプロイメントWebLogic Administration 共有情報 Server • 実行環境と管理サ ーバを分離WebLogic OAM 11g 1. ポリシー Admin Admin Console Server 2. コンフィグ情報 3. ユーザセッション • 構成情報およびポ リシーの共有 WebLogic Managed Server(s) • すべての実行環境 OAM 11g にてユーザセッシ Runtime ョンを共有 Server Copyright© 2011, Oracle. All rights reserved. 50
  • 51. Oracle Access Manager 11g の特徴 アクセス制御 1. 未認証のアクセス 7. アプリへのアクセス 2. 中央のログインページにリダイレクト OAM エージェント アプリ 3. クレデンシャル情報のサブミット 5. セッション確認および認可エンドユーザ クレデンシャル 情報の収集 4. 認証 6. 認可 認証 認可 エンジン エンジン Oracle Access Manager 11g Oracle Weblogic Server Copyright© 2011, Oracle. All rights reserved. 51
  • 52. Oracle Access Manager 11g の特徴マルチレベルの認証 Copyright© 2011, Oracle. All rights reserved. 52
  • 53. Oracle Access Manager 11g の特徴ポリシーモデル • デフォルトで安全に(ポリ シーにマッチしていなけ ればデフォルトは拒否) • OSSO および OAM 10g からのスムーズに移行で きるパスの確立 • ポリシー作成のプロセス およびアプリケーション連 携プロセスの簡略化 Copyright© 2011, Oracle. All rights reserved. 53
  • 54. Oracle Access Manager 11g の特徴インストールおよびコンフィグレーション• インストールプロセス • OUI (Oracle Universal Installer) にてインストール • インストールプロセスにおいて、ホストマシンにソフト ウェアの全てのバイナリをコピー • OUI では製品のコンフィグレーションは行わない• 2ステップでのコンフィグレーションプロセス • RCU (Repository Creation Utility) を使ったデータベース スキーマのコンフィグレーション • WebLogic Configuraion Wizard を使った製品のコンフィ グレーションおよびデプロイメント Copyright© 2011, Oracle. All rights reserved. 54
  • 55. Oracle Access Manager 11g の特徴クレデンシャル情報の収集• OAM 10g: Webgate にて収集 • 認証用の WebGate を設定もしくは全ての WebGate にて クレデンシャル情報を収集するように設定• OAM 11g: 実行サーバにて収集 • ログインページが OAM 実行サーバにて提供 • OAM 実行サーバは別の Web サーバ上のログインページ にリダイレクトすることも可能 • ログインページの場所に関係なく、クレデンシャル情報 は OAM 実行サーバに送信され収集される • ログインページは out-of-the-box で提供される Copyright© 2011, Oracle. All rights reserved. 55
  • 56. Oracle Access Manager 11g の特徴 セッション管理 5. 認証されたアクセス 7. アプリへのアクセス 1. 認証(匿名) WebGate アプリ 4. セッション ID を取得し認証完了 6. セッション確認および認可エンドユーザ • 詳細なセキュリティコンテキ スト情報を持ったステートフ ポリシー ルなセッション エンジン • 高性能で分散されたキャッシ 2. セッショ 3. セッショ ュを使ったアクティブなユー セッション削除 ン生成 ン ID 返信 ザセッションのトラッキング セッション • 1ユーザが一度に生成できる管理者 管理 同時セッション数の制御 Oracle Access Manager 11g • セッションの強制終了 Oracle Weblogic Server • 不正ユーザのアクセス防止 Copyright© 2011, Oracle. All rights reserved. 56
  • 57. Oracle Access Manager 11g の特徴 セッションデータストレージのメカニズムSME (Session Management Engine) データベース• 大規模利用(数百万の同時ユーザログインなど)時に耐障害性および拡張性を 提供 Copyright© 2011, Oracle. All rights reserved. 57
  • 58. Oracle Access Manager 11g の特徴セッションの共通設定• 全てのターゲットアプリケーションに設定されるセ ッションの存続期間• 全てのターゲットアプリケーションに設定されるア イドル・タイムアウト• 1ユーザ当たりの最大セッション数 Copyright© 2011, Oracle. All rights reserved. 58
  • 59. Oracle Access Manager 11g の特徴その他のセッション管理機能• 永続ストレージを使用しないセッション同期• 自動セッションフェールオーバ• グローバルで有効なセッション • 全ての OAM 実行サーバにて同じセッションのセットが共有され る• クッキーのみでのセッション管理は 11gR1 では不可 Copyright© 2011, Oracle. All rights reserved. 59
  • 60. Oracle Access Manager 11g の特徴エージェントの一元管理• 1つの管理コンソールにてそ れぞれのエージェントを管理• Mod_OSSO、 OAM 10g WebGate および OAM 11g WebGate を同時に管理・構 成することが可能(将来は、 OpenSSO のエージェントも サポートを予定)• 個々のエージェントの運用情 報を管理することが可能 Copyright© 2011, Oracle. All rights reserved. 60
  • 61. Oracle Access Manager 11g の特徴監査およびロギング• OAM 11g は Oracle FMW で提供される Common Audit Framework にて監査が可能• Common Audit Framework にて監査用データベー スに永続的なログを出力することが可• BI Publisher にて監査レポートを生成• OAM 11g のロギングも Oracle FMW にて統一• ログレベルは WLST コマンドまたは EM アプリケ ーションサーバコントロールにて変更可能 Copyright© 2011, Oracle. All rights reserved. 61
  • 62. Oracle Access Manager 11g の特徴監査イベントの例監査イベントのタイプ イベントAuthentication Credentials collected Authentication succeeded Authentication failedAuthorization Authorization succeeded Authorization failedAdministrative Authentication scheme created Administration console login failed Server configuration changed Copyright© 2011, Oracle. All rights reserved. 62
  • 63. Oracle Access Manager 11g の特徴運用指標に基づいたモニタリング • 運用指標はエージェン ト(WebGate)および サーバの両方で保持 • 運用指標は、お客様環 境の運用状況に対し、 幅広い観点からのモニ タリング基準を提供 • 11g WebGate の指標に はバージョン、ホスト、 インストールされたデ ィレクトリといった情 報も含まれる • 指標を EM Grid Control と連携し、詳細分析の ための統計グラフを提 供することも可能 Copyright© 2011, Oracle. All rights reserved. 63
  • 64. Oracle Access Manager 11g の特徴サポートされている認証方式• フォームベース認証• ベーシック認証• X.509 認証• OAAM 仮想パッドベース認証• Kerberos ベース認証 (windows native authentication)• 匿名認証 Copyright© 2011, Oracle. All rights reserved. 64
  • 65. Oracle Access Manager 11g の特徴拡張性• 11g R1 では拡張フレームワークは未実装 • 拡張フレームワークは次期バージョンを予定• 拡張フレームワークの概要 • Java ベースの認証・認可モジュール • OAM 11g モジュールで OAM 10g C++ ベースの プラグインを置き換え • OAM 10g プラグインは再度実装することが必要 Copyright© 2011, Oracle. All rights reserved. 65
  • 66. Oracle Access Manager 11g の特徴ユーティリティ: Access Tester• マニュアルで操作可能な GUI モード• 自動テストが可能なコマンド ラインモード• ポータブルなスタンドアロン Java アプリ – Java [-Dxxx=“yyy”] –jar oamtest.jar – 2 jars: oamtest.jar, nap- api.jar• OAM に同梱 – 場所: $Oracle_Home /oam/server/tester Copyright© 2011, Oracle. All rights reserved. 66
  • 67. Oracle Identity Federation との連携Oracle Access ManagerとOracle Identity Federationを連携させることで、分散されたID情報環境、異なる認証基盤製品においてもシングルサインオン環境を提供します。 社外ネットワーク ID フェデレーション Access 連携 連携 Manager Identity Federation SAMLもしくは WS-Fed対応サーバ ログイン 社内で認証されていればアクセス可能! アクセス制御 Web Application 社内ネットワーク SaaS等 Copyright© 2011, Oracle. All rights reserved. 67
  • 68. Oracle Adaptive Access Manager との連携• Native 連携 • 認証時に Pre/Post 認証ルール を実行 • ルール用 API を呼び出す • OAAMBasic 認証スキーマは、 out-of-the-box で提供• Advanced 連携 • 仮想認証デバイスによる認証 • 不正検出ルールの設定 • KBA/OTP による認証 Copyright© 2011, Oracle. All rights reserved. 68
  • 69. まとめ• Oracle Access Manager はセキュアで利便性の高い認 証基盤を提供いたします• Oracle FMW 11g アーキテクチャをベースとし、高い 拡張性、可用性、パフォーマンスを実現いたします• 親和性の高い製品と組み合わせることにより、より セキュアなインフラやコンプライアンスに対応した セキュリティ基盤を構築することが可能となります Copyright© 2011, Oracle. All rights reserved. 69
  • 70. おわりに Copyright© 2011, Oracle. All rights reserved. 70
  • 71. Identity Manager / Identity Analytics に適した サーバのご提案 • 最速のハードウェアと最良のソフトウェアの組み合わせ × Sun Fire X4470 Sun Fire X4270 M2 Sun Fire X2270 M2• わずか3RUで6コア/ 8コアのインテル • 2RUでXeon 5600系で最速 • 1RUでインテルXeon 5600系プロセ Xeon 7500 系プロセッサを4ソケット (3.33GHz)のX5680を2ソケット ッサを2ソケット搭載 搭載 搭載 • SPECompM2001で世界記録• SPECompM2001, • SPECjbb2005 (with Single JVM) 達成 SPECompL2001で世界記録達成 で世界記録達成 Copyright© 2011, Oracle. All rights reserved. 71
  • 72. 補足情報• 製品のダウンロード • http://www.oracle.com/technetwork/middleware/downloads/oid-11g- 161194.html• Oracle Identity Manager • Oracle Identity Manager 11g 製品ドキュメント • http://download.oracle.com/docs/cd/E14571_01/im.htm#oim • Oracle Access Manager 11g 製品ドキュメント • http://download.oracle.com/docs/cd/E14571_01/im.htm#oam Copyright© 2011, Oracle. All rights reserved. 72
  • 73. あなたにいちばん近いオラクル Oracle Direct まずはお問合せください Oracle Direct 検索 システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。 システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。 Web問い合わせフォーム フリーダイヤル 専用お問い合わせフォームにてご相談内容を承ります。http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28 0120-155-096 ※フォームの入力には、Oracle Direct Seminar申込時と同じ ※月曜~金曜 9:00~12:00、13:00~18:00 ログインが必要となります。 ※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録さ (祝日および年末年始除く) れている連絡先が最新のものになっているか、ご確認下さい。 Copyright© 2011, Oracle. All rights reserved. 73
  • 74. Copyright© 2011, Oracle. All rights reserved.
  • 75. Copyright© 2011, Oracle. All rights reserved. 75