Oracleホワイト・ペーパー Oracle Identity Management 11g Release 1

2,832 views
2,722 views

Published on

Oracle Identity Management 11g Release 1は、より高いレベルの統合と自動化を通じて、より高い効率性を実現し、アプリケーション・セントリックのセキュリティ、リスク管理、およびガバナンスに対しての高い有効性を提供します。Oracle Identity Management 11g Release 1は、開発から万全な本番稼動まで、エンタープライズ・アプリケーションのライフ・サイクルを全面的にサポートします。


Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,832
On SlideShare
0
From Embeds
0
Number of Embeds
46
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Oracleホワイト・ペーパー Oracle Identity Management 11g Release 1

  1. 1. Oracle ホワイト・ペーパー2009 年 6 月Oracle Identity Management 11g Release 1
  2. 2. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1免責事項本書は、弊社の一般的な製品の方向性に関する概要を説明するものです。情報を提供することだけが目的であり、契約とは一切関係がありません。下記の事項は、マテリアルやコード、機能の提供を確約するものではなく、また、購買を決定する際の判断材料とはなりえません。オラクルの製品に関して記載されている機能の開発、リリース、および時期については、弊社の裁量により決定いたします。
  3. 3. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Oracle Fusion Middleware 11gの概要 ................................................................................ 1 目的と範囲 ..................................................................................................................... 2Oracle Identity Managementの概要 .................................................................................... 3 Oracle Identity Managementのビジネス上の利点 ......................................................... 3Oracle Identity Management 11g Release 1 の概要 ........................................................... 5 Oracle Identity Management 11g Release 1 の主要機能 .............................................. 5Oracle Identity Management 11g Release 1 のコンポーネント......................................... 6 Oracle Identity Manager ................................................................................................ 6 Oracle Role Manager .................................................................................................... 8 Oracle Access Manager ................................................................................................ 9 Oracle Web Services Manager .................................................................................... 12 Oracle Identity Federation ........................................................................................... 14 Oracle Enterprise Single Sign-On ............................................................................... 16 Oracle Entitlements Server .......................................................................................... 16 Oracle Adaptive Access Manager................................................................................ 18 Oracle Directory Services ............................................................................................ 19 Oracle Platform Security Services ............................................................................... 24 Identity Governance Framework and ArisID ................................................................ 29 Oracle Management Pack for Identity Management ................................................... 30 Oracle Identity Management 11g Release 1 のコンポーネントのリリース表 ............ 30 Oracle Identity Management 11g Release 1 のコンポーネントの統合....................... 31Oracle Identity Managementとオラクルのそのほかのテクノロジー ............................... 35 Oracle Identity ManagementとOracle Information Rights Management ..................... 35 Oracle Identity Managementとエンタープライズ・ガバナンス ................................. 37 Oracle Identity ManagementとOracle Database ......................................................... 38将来の展望 ........................................................................................................................ 39 ロール管理 ................................................................................................................... 39 サービスとしてのID .................................................................................................... 40 IDおよびアクセス管理の分析 ...................................................................................... 41結論 ............................................................エラー! ブックマークが定義されていません。
  4. 4. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Oracle Fusion Middleware 11g の概要Oracle Fusion Middleware(OFM)11g は、エンタープライズ・アプリケーションを開発、配置、および管理するための統合された標準ベースのインフラストラクチャを提供します。Oracle FusionMiddleware 11g は、業界トップのアプリケーション・サーバーである Oracle WebLogic Server を基盤とし、Complete(完全性)、Integrated(統合)、Hot-pluggable(ホット・プラガブル)、および Best-of-Breed(最善の組み合わせ)といった特徴を備えたミドルウェア・スイートを提供するというオラクルのビジョンを更に広げます。Oracle Fusion Middleware 11g は、サービス指向アーキテクチャ(SOA)を提供することで、エンタープライズ・アプリケーションにおける新たなレベルの機敏性と適応性を可能にします。OracleFusion Middleware 11g は、開発者とビジネス・ユーザーに対し、エンタープライズ・アプリケーションを設計・ロールアウトするための宣言型のツールセット、実行時にアプリケーションをまとめ、監視するためのビジネス・プロセス・プラットフォーム、ユーザー・インタラクションを容易にし、企業やビジネス・パートナーのリソースへのアクセスを保護するエンタープライズ・ポータルを提供します。また、Oracle Fusion Middleware 11g は、企業のパフォーマンス管理、ビジネス・インテリジェンス、コンテンツ管理、および ID 管理(本書の主題)に関するミドルウェア・サービスを強化します。Oracle Fusion Middleware 11g は、アプリケーション・グリッド機能を拡張することで、最新のデータセンターの効率を大幅に向上します。Oracle Fusion Middleware 11g は、64 ビット・アーキテクチャ、マルチコア・プロセッサ、およびリソースの仮想化などの新しいハードウェア・テクノロジーの利点を活用し、配置、統合、および管理が容易な高パフォーマンスの共同インターネット・サービス(一般には"クラウド・コンピューティング"と呼ばれるサービス)を提供します。さらに、Oracle Fusion Middleware 11g では Oracle Enterprise Manager を利用して、ひとつのコンソールで完結する完全な管理ソリューションを提供します。Oracle Enterprise Manager は、すべてのOracle Fusion Middleware コンポーネントとそれらの相互依存性を自動的に検出して、システム、サービス、およびコンプライアンスのための業界のベスト・プラクティスを備えたダッシュボードを提供します。 1
  5. 5. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1目的と範囲本書では、Oracle Identity Management 11g Release 1 について説明します。Oracle Fusion Middleware 11g は、Oracle Identity Management を拡張して、ユーザーID とエンタイトルメントの管理、ユーザーへのリソースの提供、企業リソースへのアクセスの保護、およびエンタープライズ・アプリケーション全体における広範な監査およびコンプライアンス・レポートの要件を満たすために設計された、統合セキュリティ・プラットフォームを提供します。Oracle Identity Management 11g Release 1 は、エンタープライズ・リソースの保護、およびそれらのリソースに作用するプロセスの管理に対応する新たなレベルのセキュリティと完全性を実現することで、大規模なアプリケーション・グリッドの整合性を確保します。Oracle Identity Management 11g Release 1 は、より高いレベルの統合と自動化を通じて、より高い効率性を実現し、アプリケーション・セントリックのセキュリティ、リスク管理、およびガバナンスに対しての高い有効性を提供します。Oracle Identity Management 11g Release 1 は、開発から万全な本番稼動まで、エンタープライズ・アプリケーションのライフ・サイクルを全面的にサポートします。本書は、おもに業務ユーザーと情報テクノロジー(IT)ユーザーを対象としています。本書では、Oracle Fusion Middleware 11g の最初のリリース(11g Release 1)で使用可能なオラクルの ID 管理とアクセス管理サービスについて説明します。本書では、Oracle Identity Management がインフォメーション・セントリックな環境を拡張しているか、エンタープライズ・ガバナンスおよび OracleDatabase のセキュリティを高める方法、また、Oracle Identity Management とサード・パーティのプラットフォームを統合する方法についても説明します。最後に、Oracle Identity Management における今後の技術革新について、ご紹介いたします。 2
  6. 6. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1「オラクルは、IAM(Identity and Access Management)環境における強固なテクノロジー基盤とその強力で積極的な戦略(アプリケーション・セントリックな ID と呼ばれる)により、IAM 市場におけるリーダーとしての地位を確立しました。」 Forrester Research, Inc.、Andras CserOracle Identity Management の概要オラクルは、競合他社に類を見ない統合されたアプリケーション・セントリックの製品ポートフォリオを提供することで、わずか数年で IAM(Identity and Access Management)市場においてトップ・ベンダーとしての地位を確立しました。主要な買収と自身の成長の優れたコンビネーションを通じ、顧客の要求を予測して実現する能力が、 オラクルの IAM サービスを IAM 市場のリーダーへと成長させました。Oracle Identity Management のビジネス上の利点Oracle Identity Management を使用すると、企業はファイアウォール内外の企業リソース全体におけるユーザーID の作成から削除までのライフ・サイクルをエンタープライズ・アプリケーションとは切り離して管理できます。つまり、Oracle Identity Management のアプリケーション・セントリックのアプローチでは、ビジネス・ロジックをセキュリティ管理やリソース管理から完全に分離でき、より機敏な開発を促進し、保守コストを下げることができます。オラクルの IAM 戦略は、以下の 4 つの原理を中心に展開されています。Complete(完全性):Oracle Identity Managementは、ID管理とロール管理、ユーザー・プロビジョニングとコンプライアンス、WebアプリケーションとWebサービスのアクセス制御、シングル・サインオンとID連携、不正行為検出、強力な複数要素の認証とリスク管理、監査とレポートを含む、市場をリードする包括的な一連のコンポーネントを提供します。Oracle Identity Managementのすべてのコンポーネントは、製品スイートのクラス最高の非常にスケーラブルなディレクトリおよびID仮想化サービスを活用して、業務効率を最大限まで高め、更に高いレベルのパフォーマンスと可用性を実現します。Integrated(統合):Oracle Identity Managementコンポーネントは、個別に、またはIDサービスの統合スイートとしてまとめて配置できます。Oracle Identity Managementを構成するさまざまなコンポーネントは、ビジネス・トランザクションの開始から終了まで、各ID管理とアクセス制御の要件を満たすために、 連携して機能するように設計されています。 Oracle Identity Managementコンポーネントは、人事管理(Oracle PeopleSoft)、業務パフォーマンス管理(Oracle Hyperion)、顧客情報管理(OracleSiebel) およびOracle Fusion Middlewareのそのほかのコンポーネント 、 (Oracle SOA、 Oracle WebCenter、およびOracle Business Intelligenceなど)といったオラクルのアプリケーションとシームレスに統合されます。 Oracle Identity Managementは、 (ガバナンス、 GRC リスク、 コンプライアンス) プラットフォームと統合して企業全体のガバナンス・ソリューションを提供します。Oracle Identity Managementは、独自のディレクトリ・サービスとID仮想化サービスを通してOracle Databaseを統合および活用することで、最高のスケーラビリティを提供し、維持コストを削減します。また、Oracle Identity Managementのアプリケーション・セントリックのアプローチは、Oracle Information Rights Managementへの拡張機能を提供し、ID管理とコンテンツ管理間のギャップを縮めます。Hot-pluggable(ホット・プラガブル):Oracle Identity Managementの標準ベースの製品スイートは、異機種での複数のベンダーによる開発、 および実行環境 (オペレーティング システム、 ・ Webサーバー、アプリケーション・サーバー、ディレクトリ・サーバー、およびデータベース管理システムを含む) 3
  7. 7. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1をサポートするように設計されています。たとえば、フェデレーションのためのXML標準(SecurityServices Markup Language - SAMLおよびWS-Federationなど)により、Oracle Identity Managementコンポーネントでは、社内のミッション・クリティカルなアプリケーション(Javaベースのサービス・プロバイダなど)とサード・パーティのパッケージ・アプリケーション(Microsoft .NETベースのアカウント管理システムやプロジェクト管理システムなど)の両方のサポートが可能で、過去および将来におけるIT投資を最大限に利用できます。 図 1:Oracle Fusion Middleware 11g Release 1 のコンポーネントBest-of-Breed(最善の組合せ):Oracle Identity Managementスイートのコンポーネントは、その完全性、統合性、およびホット・プラガブルの水準に加えて、コンポーネント 1 つをとっても市場をリードするベスト・オブ・ブリードの製品となりえる、機能的な奥行きと高度さを備えています。顧客、とくにアプリケーション・グリッドをサポートするための高度な機能を探している顧客は、クラス最高のOracle Identity Managementコンポーネントを選択することで、固有の要件を満たし、コンポーネントとそのほかの既存のID管理ポートフォリオを統合できます。また、ベスト・オブ・ブリードのOracle Identity Managementスイートを配置することで、その強化された統合機能を利用できます。Oracle Identity Management は、Oracle Fusion Middleware の重要な要素です。 Oracle Identity Managementは、Oracle Fusion Middleware のサービス(Business Intelligence、Enterprise Management、SOA および 4
  8. 8. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Process Management など)を活用して、複数の Oracle Fusion Middleware コンポーネントと Oracle FusionApplications にセキュリティ・サービスを提供します。Oracle Identity Management 11g Release 1 の概要Oracle Identity Management 11g Release 1 には、その前身である 10g との比較において、以下の特徴があります。• Oracle Identity Management 11g Release 1 は、セキュリティ開発プラットフォームとして構築され ている(後述のOracle Platform Security Servicesの項とIdentity Governance Framework and ArisIDの 項を参照)。• Oracle Identity Management 11g Release 1 は、Oracle Fusion Applicationsの事実上のセキュリティ・ インフラストラクチャとなっている。• Oracle Identity Management のコンポーネントとそのほかの Oracle Fusion Middleware コンポーネン ト、Oracle アプリケーション、およびサード・パーティのセキュリティ・プロバイダ間の統合が 強化されている。• デプロイ、運用を容易にする機能の強化(ユーザーがデプロイ・タスクを迅速におこなうための ウィザード、ビジネス・ユーザーがコンプライアンスとリスク指標を分析して、修正アクション を実行するためのマルチレベルの実用的なダッシュボードなど)。• Oracle Identity Managementを構成するさまざまな製品間でのリリースの同期化とテクノロジーの 取込みが合理化されている。Oracle Identity Management 11g Release 1 は、この方向に進むための 最初の重要なステップです(後述の、Oracle Identity Management 11g Release 1 のコンポーネント のリリース表の項を参照してください)。Oracle Identity Management 11g Release 1 の主要機能Oracle Identity Management 11g Release 1 は、 2 に示されているような包括的な一連の機能 図 (ID 管理、アクセス管理、ディレクトリ・サービス、監査とコンプライアンス、管理性)を提供します。 (ファイングレイン・エンタイトルメント→細かなエンタイトルメント管理) (Intel.正確なデータ制御→知的財産保護とデータの制御) 図 2:Oracle Identity Management 11g Release 1 の機能領域Oracle Identity Management の各機能領域については、以下の各項で説明します。 5
  9. 9. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Oracle Identity Management 11g Release 1 のコンポーネント前項に示されているOracle Identity Management 11g Release 1 の機能領域は、本書で説明している複数のコンポーネントによって実装されます。各製品について詳しくは、専用のテクニカル・ホワイト・ペーパーを参照してください (oracle.com/technology/products/id_mgmt/にアクセスして、Oracle IdentityManagement 11g Release 1 のコンポーネント製品の情報をダウンロードしてください)。Oracle Identity ManagerOracle Identity Managerは、"誰が、どのアプリケーションに対して、いつからいつまでどのようにアクセスする権利を、なぜ保持していたか"に関する質問に回答します。Oracle Identity Managerは、ID管理のライフ・サイクル(IDの初期登録から最終のID削除まで)を通して企業のリソースに対するユーザーのアクセス権限を管理するために設計されています。Oracle Identity Managerは、IDプロビジョニングと管理、およびID監査とコンプライアンスのための完全に統合されたプラットフォームです。 図 3:Oracle Identity ManagerOracle Identity Manager は、エンタープライズ・ユーザー・セントリック(イントラネット)環境とカスタマー・パートナー・セントリック(エクストラネット)環境の両方で使用されます。エクストラネット環境では、Oracle Identity Manager の優れたスケーラビリティにより、従来のクライアント(ブラウザなど)やスマートフォンを使用した数百万の顧客やパートナーによる企業のリソースへのアクセスをサポートできます。Oracle Identity Manager は、複数のエンタープライズ・アプリケーション(Oracle PeopleSoft Enterprise Customer Relationship Management、Oracle E-BusinessiSupplier、または Oracle E-Business iRecruitment など)に一元化されたユーザー登録インタフェースと結合された自己登録インタフェースを提供します。それにより、外部ユーザーやパートナーを一元管理できるようになり、、増え続けるコンプライアンス規制とプライバシ規制に対応できるようになります。 6
  10. 10. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Oracle Identity Manager は、1 つまたは複数のサーバー・インスタンスに配置可能な Java EE(JavaPlatform, Enterprise Edition)アプリケーションです。Oracle Identity Manager の機能レイヤーは以下のとおりです。IDおよびロール管理:Oracle Identity Managerは、ユーザーIDとロールのライフ・サイクルの包括的な管理機能を提供します。ユーザーID情報は、管理者に委任すること、またはユーザーが自己管理することで一元管理できます。パスワード管理:ユーザーがパスワードを忘れた場合、Oracle Identity Managerは、カスタマイズ可能なユーザー確認用の質問を提示して、セルフサービスのID確認とパスワード変更を可能にします。Oracle Identity Managerは、管理リソース間のパスワードの同期化またはマッピングをおこない、 それぞれのリソースのパスワード・ポリシーにおける違いにも対応できます。さらに、企業がMicrosoftWindowsのデスクトップ・ベースのパスワード・リセット機能を使用している場合、Oracle IdentityManagerのActive Directory(AD)Connectorは、ADサーバーでのパスワードの変更を検知し、ポリシーに従ってそのほかの管理リソースにそのパスワードの変更を伝播できます。承認およびリクエスト管理 Oracle Identity Managerでは、 : アカウント リクエストと承認プロセスを、 ・組織のニーズに合わせて自動化できます。イントラネットおよびエクストラネット環境では、管理者、同僚、またはユーザー自身がリソースへのアクセス・リクエストを申請でき、Webコンソールや電子メール通知機能を使用してそれぞれのリクエストのステータスを追跡できます。承認ワークフローは詳細な設定が可能であり、複数の承認プロセスと関係者に対応できます。ポリシー・ベースのエンタイトルメント管理:Oracle Identity Managerのポリシー・エンジンは、管理アプリケーション間の詳細なエンタイトルメントを制御し、ITプロセスを自動化し、セキュリティ要件や職務分掌などのコンプライアンス要件を満たすことができます。ポリシー・ベースのエンタイトルメント管理により、複数のリクエストと承認プロセスを実装可能となり、時間の経過とともに並行して修正することで、実装の総コストを削減できます。統合およびアダプタ・ファクトリ:Oracle Identity Managerは、詳細な設定が可能なエージェントレスのインタフェース・テクノロジーを使用して、任意のアプリケーションまたはリソースと統合されます。オラクルでは、代表的なアプリケーションやユーザー・リポジトリのための事前設定されているコネクタのライブラリ(随時増加)を提供しています。各コネクタは、広範なID管理機能をサポートし、ターゲットのリソースに推奨されるもっとも適した統合方法(独自の方法やオープン標準ベースの方法)を使用します。Oracle Identity Managerコネクタにより、追加設定をおこなうことなく統合することが可能となります。また、それぞれ、企業の個別の統合要件に合わせるために、アダプタ・ファクトリを使用してさらに変更を加えることができます。Oracle Identity ManagerとOracle RoleManager(ORM)およびサード・パーティ環境との統合について詳しくは、後述のOracle IdentityManagement 11g Release 1 コンポーネントの統合の項を参照してください。監査およびコンプライアンス:IDリコンシリエーションでは、Oracle Identity Managerがその管理下にあるリソースを制御する際に使用されるプロセスを参照します。 Oracle Identity Managerは、その制御外でユーザー・アクセス権限に変更が加えられたことを検出した場合、ただちに修正アクション(変更の取消しや管理者への通知など)を実行できます。Oracle Identity Managerは、その制御外で作成されたアカウント("不正アカウント") や有効なユーザーが存在しないアカウント ("孤立アカウント")を継続的に監視します。Oracle Identity Managerは、サーベンス・オクスリー法、グラム・リーチ・ブライリー法、およびHIPAAなどの厳しい規制要件に対処するため、プロビジョニング環境の状態についての包括的な監査とレポート機能を提供します。アテステーション(棚卸とも呼ばれる)は、サーベンス・オクスリー法におけるコンプライアンス遵守の主要部分です。Oracle Identity Managerは、企業全体で棚卸プロセスを有効にするために容易に設定できる業界最高の棚卸機能を提供します。この機能の特徴は、自動化されたレポートの生成、配布、および通知にあります。 7
  11. 11. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Oracle Role ManagerOracle Role Manager は、エンタープライズ・ロールのライフ・サイクル管理、およびビジネスと組織のリレーションシップのための包括的な機能セットを提供します。Oracle Role Manager は、OracleIdentity Management の製品スイートにおけるエンタープライズ・ロールの信頼できるソースです。スケーラブルな Java EE アーキテクチャに基づいて構築されている Oracle Role Manager では、ビジネス・ユーザーは、リソースおよびエンタイトルメントを 「ロール」として抽象化することでユーザー・アクセス権を定義できます。 Oracle Role Manager に定義されているロール メンバーシップ ポリシー ・ ・は、組織およびリレーションシップ・データ(所属や、コストセンターなどの情報)を利用して、ロール・メンバーシップ(ロールに割り当てられるユーザー)を決定し、最終的にリソースへのアクセスを許可します。ビジネス・イベントの発生によって組織が変更されると、ロール・メンバーシップは動的に再計算されて適切なアクセスが保証されるため、セキュリティ・ホールやコンプライアンス違反を防ぐことができます。 図 4:Oracle Role ManagerOracle Role Manager は、ロール管理のための Web ベースのユーザー インタフェースを提供します。 ・ロール管理では、ユーザーは、ロールの作成と変更、ビジネス・ポリシーに応じたロール・メンバーシップの定義、およびリソースへのロールのマッピングをおこなうことができます。さらに、OracleRole Manager には柔軟で設定可能なユーザー・インタフェースがあり、ユーザーは、ロール・メンバーシップ・ポリシー内で使用できる複雑な組織データとリレーションシップをモデル化できます。 8
  12. 12. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Oracle Role Manager の機能レイヤーは以下のとおりです。エンタープライズ・ロール管理およびロール・マイニング:ロール・マイニング用のOracle Role Managerのツールは、ユーザー、エンタイトルメント、およびそれらの間のリレーションシップに関する既存の企業内データを取得して、候補となるITロールを検出します。ロール・エンジニアリングへの"ボトム アップ"アプローチと呼ばれることが多いこのプロセスは、 ・ 既存のエンタイトルメントとユーザー・メンバーシップのパターンを特定し、 Oracle Role Manager内で管理できるロールを提案します。マイニングされたロールがOracle Role Manager内の管理ロールになると、Oracle Role ManagerのWebベースのユーザー・インタフェースを使用して、それらのロールを完全に管理できます(ロール定義、メンバーシップ、およびマッピングの変更を含む)。コンテキストベースの、ポリアーキー対応のロール・エンジン:組織の実態を正確に反映し、相互依存階層内でのデータの整合性を維持するには、複数の重複する階層("ポリアーキー")をマッピングする組織モデルが必要です。Oracle Role Managerはユーザーのさまざまなビジネス・ポリシーを使用し、ユーザーと組織間のリレーションシップを越えて、リアルタイムの正確なロール・メンバーシップを導きだす、強力なロール・エンジンを提供します。このような複雑なリレーションシップは、ロール・エンジニアがロールのポリシーを定義するために使用できる強力なデータになります。権限ロールとエンタイトルメント・リポジトリ:Oracle Role Managerは、包括的なロール・リポジトリにおいて、組織のリレーションシップなどのビジネス・コンテキスト情報を集約および管理します。ロール情報の中央ソースとして機能するこれらのリレーションシップ情報により、"誰がどのエンタイトルメントを割り当てられるべきか"などについての権限データが企業やID管理システムに提供されます。ロール委任:Oracle Role Managerは、ロールの委任管理機能を提供することで、ビジネス・ユーザーが既存のビジネス・ポリシーに違反することなく、アクセス権や権限を容易に管理できるようにします。Oracle Access ManagerOracle Access Manager は、認証、シングル・サインオン(SSO)、および ID アサーションのための一元化されたポリシー主導のサービスを提供します。Oracle Access Manager は、広範な認証メカニズム、サード・パーティの Web サーバーとアプリケーション・サーバー、および標準ベースのフェデレーテッド SSO ソリューションを統合して、 最大限の柔軟性と高度に統合された包括的な Web アクセス制御ソリューションを提供します。Oracle Access Manager は、Web 層での認証サービスと SSO サービスを提供し、認証 ID をアプリケーション・アクセス制御システムにアサートすることで、アプリケーションとデータ・プロバイダを統合します。Oracle Access Managerは、Oracle Entitlements Serverと統合することで、Oracle Access Managerの持つ認証機能と属性アサーション機能を補完し、アプリケーション、ポータル、データベース、およびWebサービスに詳細な認可とエンタイトルメントを提供します。詳しくは、後述のOracle AccessManagerとOracle Entitlements Serverの統合の項を参照してください。図 5 に示されているように、Oracle Access Manager は、Oracle Directory Services(ユーザー情報の保持と管理のための Oracle Internet Directory、ユーザーの同期化のための Oracle Directory IntegrationPlatform(Oracle DIP)を含む)を活用します。Oracle Internet Directory と Oracle DIP については後述 9
  13. 13. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1します。Oracle Access Manager では、その他のタイプのサード・パーティ・ユーザー・ディレクトリ・プラットフォームも利用できます。 (ディレクトリ統合プラットフォーム→Directory Integration Platform) (OAM のオプション→OAM 外の便利な機能) 図 5:Oracle Access ManagerOracle Access Manager の機能レイヤーは以下のとおりです。認証:Oracle Access ManagerのAccess Server、Policy Manager、およびWebGatesと呼ばれる標準のWebサーバー・プラグイン(または、アプリケーション・サーバー、パッケージ・アプリケーション、およびそのほかのエンタープライズ・リソースとの統合用のAccessGates)は、連携してリソースへのアクセス・リクエストを検知し、既存の認証のチェック、資格証明の検証、およびユーザーの認証をおこないます。シングル・サインオン:通常、ブラウザ・ユーザーがアプリケーションへのアクセスを試みると、Oracle Access Managerは、まずそのアプリケーションが保護されているかどうかをチェックします。保護されている場合、Oracle Access Managerは、WebGateまたはAccessGateを使用して、ユーザーに資格情報(単純なユーザー名/パスワード、X.509 資格証明、スマートカードなど)の提供を求めます。それらの資格証明に基づき、Oracle Access Managerは、ユーザー・ストアにユーザーを認証するためにセキュリティ・ポリシーを適用し、HTTP(ブラウザ)Cookieの形式でセッション・チケットを作成して、シングル・サインオン、または再ログインの必要性を排除した同じアプリケーションへの繰返しアクセスを実現します。アクセス制御:Oracle Access Managerでは、ユーザー・ロールやアクセス・ポリシーに基づくリソースへの認可が可能です。 通常、認証に成功すると、Oracle Access Managerは、認証したユーザーのロールに基づき特定のリソース(Webページなど)へのアクセスを提供します。たとえば、一般ユーザーと管理者が同じWebアプリケーションへのアクセスを許可されている場合でも、 それぞれのロールの属性に基づいてパーソナライズされたWebページ経由で、 異なる機能レベルへのアクセス権を保持していることがあります。ID管理:図 5 に示されているように、Oracle Access Managerは、ユーザーとグループの管理、パスワード管理とセルフサービス、およびユーザーの同期化などの簡単なID管理サービスを提供します。 10
  14. 14. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Oracle Identity Manager(前述)については、より大規模な ID 管理サービス、とくにエクストラネット環境での使用が推奨されます。エンタープライズ・アプリケーションのサポート:Oracle Access Managerは、既存のeビジネス・インフラストラクチャ(SAP、Oracle Siebel、Oracle PeopleSoft、およびOracle E-Business Suiteなど)と統合されます。Oracle Access Managerは、代表的なすべてのサード・パーティのWebサーバー、アプリケーション・サーバー、ポータル、ユーザー・ディレクトリ、電子メール・システム、およびリレーショナル・データベースを保護、アクセス、および管理するための事前構築されたエージェントを提供します。コンプライアンス・レポート:Oracle Access Managerには、すべてのOracle Access Managerコンポーネント向けの統一および一元化された監査レポートが含まれており、分析のためのすべての操作は安全なデータベースに保存され、 相互に関連づけられています。 Oracle Access Managerには、ユーザーのアクセスの試み、認証の成功または失敗、およびシングル・サインオン・イベントなどの一般的なイベントに対する優れた可視性とレポートを提供するために、事前構築済みのレポート、およびOracle Business Intelligence Publisherを使用したカスタム・レポートを作成するための機能が付属しています。これらの機能により、一般的な政府の規制および業界の規制に準拠するための組織の能力が向上します。Oracle Identity Management 11g Release 1 では、Oracle Access Managerは、Oracle Fusion MiddlewareコンポーネントとOracle Fusion ApplicationsのWebアクセスおよびシングル・サインオン・ソリューションを提供します。Oracle Platform Security Services(OPSS)(後述のOracle Platform Security Servicesの項を参照)との緊密な統合により、Oracle Access Managerは、Oracle Access Managerによって実施される認証イベントを起動するためにコンテナ管理アプリケーションを呼び出すことができます(図 6を参照)。一般的に、ブラウザ・クライアントは、WebLogic Server で稼働しているアプリケーションへのアクセスを試みます。Oracle HTTP Server(OHS)にインストールされている Oracle Access Manager のWebGate がそのリクエストを傍受し、Oracle Access Manager の Policy Server と通信して、そのリクエストを認証します。認証に成功すると、Oracle Access Manager がセッション・チケット(SSO トークンで使用される HTTP Cookie)を生成します。Oracle Access Manager の ID アサーション・プロバイダが、 SSO トークン (または、 オプションの HTTP ヘッダー) から ID 情報を抽出します。 アプリケーションがログインのために Oracle Platform Security Services を呼び出し、 認証の判定をおこないます。 図 6:Oracle Access Manager によるコンテナ管理アプリケーションの保護 11
  15. 15. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1これは、Oracle Access Manager と Oracle Platform Security Services の統合の一例にすぎません。そのほかの例については、 Oracle Access Manager のテクニカル ホワイト ペーパーを参照してください。 ・ ・Oracle Web Services ManagerWeb サービスにとっての Oracle Web Services Manager(OWSM)は、Web アプリケーションにとっての Oracle Access Manager と同じ様に、以下の複数タイプのリソースへのアクセスを保護するように設計されています。• 標準準拠の Web サービス(Java EE、Microsoft .NET、PL/SQL など)• Business Process Execution Language(BPEL)およびエンタープライズ・サービス・バス(ESB) プロセスを含む、サービス指向アーキテクチャ(SOA)コンポジット• Oracle WebCenter のリモート・ポートレットOracle Web Services Manager 11g Release 1 は、Oracle SOA 11g Release 1 および Oracle WebCenter 11gRelease 1 の一部としてインストールされています。また、Oracle Web Services Manager 11g Release 1は Oracle SOA Governance ソリューションのランタイム・ポリシーのガバナンス・コンポーネントです。この場合、ポリシー・ベースのセキュリティを使用して配置済みの SOA アーチファクトの本番環境を保証し、クローズド・ループのライフ・サイクル制御のさまざまな段階に関与します。 図 7:Oracle Web Services ManagerOracle Web Services Manager 11g Release 1 には、ポリシー・マネージャとインターセプタ、または実施ポイント(エージェントとも呼ばれる)が含まれています。ポリシー・マネージャとエージェントは、いずれも Oracle WebLogic Server で動作します。エージェントは、サービスの要求側(クライ 12
  16. 16. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1 アント)およびサービスの提供側(エンドポイント・サーバー)に配置できます。一般的に、Web サービスに対するリクエストは OWSM エージェントが検知し、OWSM ポリシー・マネージャに定 義されているセキュリティ・ポリシーを実施します。Oracle Web Services Manager のポリシー・モデ ルは、Oracle Fusion Middleware 11g Release 1 の Web サービス・ベースのコンポーネントのセキュリ ティにおける要です。 Oracle Fusion Middleware 11g Release 1 では、Oracle Web Services Manager または Oracle WebLogic Server(Oracle WLS)Web サービスのポリシー・タイプを使用して、Java API for XML Web Services(JAX-WS) に基づく WebLogic Server Web サービスのセキュリティおよび管理ポリシーを実施できま す。 WLS ポリシーは Oracle WLS によって提供され、 WLS Web サービス・ポリシーのサブセットは、Oracle Web Services Manager ポリシーと相互運用できます。 Oracle Web Services Manager の機能レイヤーは以下のとおりです。 業界標準に準拠したポリシー管理 Oracle Web Services Manager 11g Release 1 のポリシー マネージャ : ・ は、Webサービス・セキュリティの業界標準に基づいており、特にWS-Security(メッセージレベル の機密保護、データの整合性、および認証および認可のために、さまざまなタイプのバイナリ・トー クンおよびXMLセキュリティ・トークン(x.509 資格証明など)をWS-Securityのヘッダーに挿入する 方法を指定するプロファイルを提供するSOAPのセキュリティ拡張機能)、WS-Policy(Webサービス の機能や制約(必須のセキュリティ・トークン、暗号化アルゴリズムなど)を記述するXMLフレー ムワーク)、およびWS-SecurityPolicy(WS-Policyフレームワークのコンテキストで使用される一連 のセキュリティ・ポリシー・アサーションを定義)に基づいています。Oracle Web Services Manager の業界標準準拠により、各Webサービスを記述するWeb Service Definition Language(WSDL)ファイ ルにセキュリティ要件を公開できます。 Oracle Web Services Manager 11g Release 1 は、セキュリティ・ ポリシーに加えて、Message Transmission Optimization Mechanism(MTOM)、高信頼性メッセージン グ(RM)、および管理ポリシーをサポートします(図 7 を参照)。 監視のためのOracle Enterprise Manager:Oracle Web Services Manager 10gとは異なり、Oracle Web Services Manager 11g Release 1 には独自のユーザー・インタフェースは含まれていませんが、Oracle Enterprise Managerの監視機能および統合機能を使用できます。結果として、Webサービスの監視はエ ンタープライズ・アプリケーション全体における広範な監視の一部となっています (OWSMエージェ ントが、Oracle Enterprise Managerに必要な監視情報を提供します)。さらに、Oracle Web Services Manager 11g Release 1 は、開発時に宣言型ポリシー・アタッチメントを提供するためにOracle JDeveloperと統合されています(図 7 を参照)。Oracle Platform Security Services(OPSS)との緊密な統合:Oracle Web Services Manager 11g Release 1は、 認証にOracle Platform Security Servicesのログイン モジュール インフラストラクチャを利用し、 ・ ・カスタム・ログイン・モジュールへのプラグインを可能にします。認証に成功すると、Oracle WebServices Managerが、Fusionアプリケーションで使用するFusionセキュリティ・コンテキストを設定します。Oracle Web Services Managerは、ID伝播(javax.security.auth.Subjectを読み取り、設定する能力)、資格証明ストア、キーストアと証明書の管理、および監査にもOracle Platform SecurityServicesを利用します(詳しくは、後述のOracle Platform Security Servicesの項のJavaのサブジェクトを参照してください)。 境界セキュリティ:Oracle Web Services Manager 11g Release 1 は、Oracle Web Services Manager 10gの ゲートウェイをセキュリティ プロキシとして利用します ・ (Oracle Web Services Managerの 11g Release 1 以降のリリースでは、独自のゲートウェイが提供されます)。Oracle Web Services Managerゲート ウェイは、 DMZ内でOWSMエージェントと同じポリシー適用機能を実行します。 さらに、 Oracle Web Services Manager 11g Release 1 は、市場をリードするXMLアプライアンスと統合することで、境界セ キュリティと侵入検知機能を提供しています。 13
  17. 17. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Oracle Identity FederationID フェデレーションは、単一のインターネット・ドメインを超えてシングル・サインオンする必要がある場合に必要になります (この要件は、前述の Oracle Access Manager によって満たされています)。Oracle Identity Federation 11g Release 1 は、スタンドアロンのフェデレーション・サーバーであり、JavaEE コンテナ(Oracle WebLogic Server)および Web サーバー(Oracle HTTP Server)を含む、配置に必要なすべての必須コンポーネントがバンドルされています。Oracle Identity Federation は、ロードバランシングおよびフェイルオーバーを介して、ミッション・クリティカルなアプリケーションをサポートするように設計されています。Oracle Identity Federationを使用すると、複数のサーバーがアクセスできる共有のデータベース・インスタンス(セッション・データの保存用)を使用してシステムを設定できます。Oracle Identity Federation サーバーは、特定の負荷分散アルゴリズムをサポートし、特定のマシンがダウンした場合に設定済みのサーバーをサービスから取り除くように設定することもできます。 図 8:Oracle Identity Federation もっとも広く受け入れられている ID フェデレーションの業界標準は、Security Assertion Markup Language(SAML)です。SAML は、XML ドキュメントを介してインターネット上でセキュリティ情報を共有するためのオープンなフレームワークです。 SAML は、以下の問題に対処するために設計されました。単一のドメインに対するWebブラウザのCookieの制限:SAMLは、複数のインターネット・ドメイン間でCookieを転送する標準的な方法を提供します。独自のWebシングル・サインオン(SSO):SAMLは、単一ドメイン内で、または複数ドメイン間にSSOを実装する標準的な方法を提供します。フェデレーション:SAMLは、ID管理(1人のユーザーが複数のWebサイトで複数のIDを使用している場合にアカウントをリンクさせるなど)を容易にします。 14
  18. 18. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Webサービスのセキュリティ:SAMLは、 標準的なWebサービス・セキュリティのフレームワーク (前述のWS-Securityなど)で使用できる標準のセキュリティ・トークン(SAMLアサーション)を提供します。このSAMLの使用法は、Oracle Web Services Managerによって全面的にサポートされているWebサービスのセキュリティにとくに関連性があります。ID伝播:SAMLは、セキュリティ・トークンを表す標準的な方法を提供します。セキュリティ・トークンは、ブラウザからポータル、さらにWebサービスのネットワークまで、ビジネス・プロセスまたはトランザクションの複数のステップに渡すことができます。Oracle Identity Federation の機能レイヤーは以下のとおりです。複数のフェデレーション・プロトコルのサポート:Oracle Identity Federationは、ベンダー中立の適合性に関するイベントに参加して、 Liberty ID-FFやSAML 2.0 に対するLiberty Alliance認証を獲得しています。 Oracle Identity Federationは、次のプロトコルをサポートしています。 SAML 1.0、 および 2.0、 1.1Liberty Alliance ID-FF 1.1 および 1.2、 (WS-Federationは、 WS-Federation トラストおよびセキュリティ・トークンの交換の仲介、 ID情報と属性情報を非表示にすることによるプライバシの保護、 フェデレーテッド・サインアウトを可能にします)。Oracle Identity Federation 11g Release 1 では、MicrosoftWindows CardSpaceのサポートが導入されています。CardSpaceは、ユーザーのデジタルIDをインフォメーション"カード"で提供します。たとえば、Oracle Identity Federation IDプロバイダは、CardSpaceプロトコルを介してユーザーのログインを確認し、CardSpace認証と要求に基づきSAMLアサーションを戻すことができます。異機種アーキテクチャのサポート:Oracle Identity Federationは、サード・パーティのID管理およびアクセス管理ソリューションとシームレスに統合されます。IDプロバイダとして機能するOracleIdentity Federationは、ユーザー・ディレクトリやデータベースに対してユーザーを認証できます。サポートされる認証システムまたは認可システムがすでに配置されている場合、Oracle IdentityFederationはそのシステムを利用して、ユーザーを認証し、パートナー・アプリケーションに渡す認証(SAML) アサーションを作成します。 サービス プロバイダの役割を果たすOracle Identity Federation ・は、サポートされる認証システムまたは認可システムと通信し、データ・リポジトリからユーザーの属性を検索して、 認証ユーザーのアクセス権限を特定します。 さらに、Oracle Identity Federationは、簡素化されたプログラム・インタフェースを提供し、顧客が特定のアプリケーションや独自のソリューションと直接統合できるようにします。そのため、操作における追加のフットプリントは不要になります。バルク・アカウントの設定とプロビジョニング:Oracle Identity Federationには、管理者がユーザーのフェデレーション・レコードをバルク・ロードするためのツールがあります。フェデレーションは、ユーザーと 2 つのプロバイダ(IDプロバイダとサービス・プロバイダ)間のアカウントのリンクを表します。2 つのプロバイダは、フェデレーションでやり取りされるデータを使用して個人を特定することに同意しています。証明書の検証のサポート:Oracle Identity Federationには、デジタル署名と暗号化に対するX.509 証明書をサポートする証明書の検証ストアがあります。証明書の検証ストアよって、使いやすい管理コンソール内で、信頼できる認証局(CA)と証明書失効リスト(CRL)を管理できます。管理者は、送信SAMLアサーションの署名と暗号化、および信頼できるプロバイダからの受信メッセージの検証と認証ができます。監査、ロギング、監視:監査(Oracle Platform Security Servicesの共通の監査フレームワーク(CAF)およびOracle Business Intelligence Publisherとの統合)、監視(Oracle Enterprise Manager)、およびロギングは、Oracle Fusion MiddlewareおよびOracle Identity Managementと統合されています。 15
  19. 19. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Oracle Enterprise Single Sign-OnOracle Enterprise Single Sign-On(Oracle eSSO)は、シック・クライアントおよびシン・クライアント・アプリケーション向けの統一された認証およびシングル・サインオンを提供するデスクトップ・ベースの製品スイートです。使用に際し、既存のアプリケーションを変更する必要はありません。OracleeSSO を使用すれば、ユーザーは複数のパスワードを記憶し、管理する必要がなくなります。そのため、パスワードを忘れた際のリセットについてのユーザー・リクエストに対応するヘルプデスクの時間を節約できます。Oracle eSSO の機能レイヤーは以下のとおりです。Logon Manager:エンドユーザーが、すべてのWebベースのアプリケーション、クライアントサーバー・アプリケーション、およびレガシー・アプリケーションにシングル・ログイン資格証明を安全に使用できるようにすることで、セキュリティを強化し、ユーザーの生産性を向上します。Password Reset 安全で柔軟性のあるセルフサービスのインタフェースを使用して、 : Microsoft Windows用の強力なパスワード管理を可能にすることで、ヘルプデスクのコストを削減し、ユーザー・エクスペリエンスを向上します。Authentication Manager:企業全体での強力な認証をおこなうために、トークン、スマートカード、バイオメトリック、およびパスワードを組み合わせて使用できるようにすることで、セキュリティ・ポリシーを実施し、規制の遵守を保証します。Provisioning Gateway:Oracle Identity Managerからのプロビジョニング命令に基づき、組織がLogonManagerに直接シングル・ログイン資格証明を配布できるようにすることで、 業務効率を改善します。Kiosk Manager:ユーザーがマルチユーザーKIOSKと分散ワークステーションのエンタープライズ・アプリケーションに均等かつ安全にアクセスできるようにすることで、ユーザーの生産性を高め、企業のセキュリティを強化します。Oracle Entitlements ServerOracle Entitlements Server は、Java EE ベースのファイングレイン(詳細な)認可エンジンであり、複雑なエンタイトルメント・ポリシーの管理を外部化、統一、および簡素化します。Oracle EntitlementsServer は、 アプリケーション リソースやソフトウェア コンポーネント ・ ・ (URL、Enterprise JavaBeans、および Java Server Pages など)、任意のビジネス・オブジェクト(データベースの顧客アカウントや患者レコードなど)へのアクセスを保護します。Oracle Entitlements Server は、さまざまなビジネス・システムおよび IT システムにまたがる複雑なエンタイトルメント・ポリシーのための一元化された管理ポイントを提供します。Oracle EntitlementsServer は、複数の組織とアプリケーション関係者が、それぞれに影響を及ぼすエンタイトルメント・ポリシーの作成、変更、およびレポート作成が可能になる高度な委任管理モデルを提供します。Oracle Entitlements Server は、Administration Server とセキュリティ・モジュールの 2 つの主要なコンポーネントで構成されています。Administration Server は、ポリシー管理ポイント(PAP)として機能し、構成、組織、アプリケーション、ポリシー、およびロールの管理に使用されます。OracleEntitlements Server は、 つ以上のセキュリティ モジュールを使用して、 1 ・ 実行時に認可を実施します。セキュリティ・モジュールは、ポリシー決定ポイント(PDP)でファイングレイン・アクセス制御ポリシーを評価し、ポリシー実施ポイント(PEP)でそれらのポリシーを実施します。 16
  20. 20. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Oracle Entitlements Server 固有のアーキテクチャにより、セキュリティ・モジュールは結合され、単一のポリシー決定ポイントおよびポリシー実施ポイントとしてアプリケーションのプロセスで実行されます。そのためパフォーマンスを大幅に向上し、実行時の認可決定にかかる待機時間を短縮できます。セキュリティ・モジュールは、ユーザーID、およびポリシーに組込み可能な外部属性へのアクセスの統合ポイントでもあります。セキュリティ・モジュールには、ポリシーの評価中にポリシー情報ポイント (PIP) から動的に情報を戻すための属性の取得機能があります。 それらの情報ソースは、リレーショナル・データベース、ID ディレクトリ、Web サービス、またはそのほかの任意のデータソースとなります。 (一元管理された→一元化された) 図 9:Oracle Entitlements ServerOracle Entitlements Server ポリシーは、アプリケーション・リソースにアクセスできるユーザー、グループ、およびロールを指定し、それらのロールを実行時に動的に解決できるようにします。例えば、 一般的な Oracle Entitlements Server ポリシーは次のとおりです。 "ユーザー グループBankManagers ・内 の す べ て の ユ ー ザ ー に AccountReports 対 す る Get ア ク シ ョ ン 権 限 を 付 与 し ま す ” 。 OracleEntitlements Server は、独自の柔軟なアーキテクチャを使用して、特殊な属性を評価し、さらに詳細なアクセス制御の決定を下すこともできます。Oracle Entitlements Server の機能レイヤーは以下のとおりです。ポリシー管理:数千のリソースとポリシーを含む巨大なポリシー・ストアのサポート、多数の組織とアプリケーションのためのパーティション化機能、ユーザーの柔軟なロール・マッピングを備えた完全な委任管理、代表的なJava EEコンテナで動作するWebベースのインタフェース、カスタム管理のニーズに対応する全面的にプログラム可能な管理インタフェースを提供します。Oracle EntitlementsServerの管理モデルは、Oracle Entitlements Server自体によって保護されます。ポリシー配信:Oracle Entitlements ServerのAdministration Serverは、アプリケーションおよびサービスを保護する個々のセキュリティ・モジュールにポリシーを公開するタスクを処理します。ポリシー配信は、各セキュリティ・モジュールに必要なポリシーのみを確実に配信するトランザクション・メカニズムを提供します。ポリシー配信の機能は、以下のとおりです。アプリケーションを中断することなくセキュリティ・モジュール内のポリシーを更新する機能、セキュリティ・モジュールが必要とするポリシーのみをプッシュするインテリジェント・プッシュ・テクノロジー、中断された配信シナリオを処理する高度なプロトコル、セキュリティや実行中のポリシーの整合性を損なわな 17
  21. 21. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1いポリシー配信のためのシンプルなアーキテクチャ要件。セキュリティ・モジュールは、OracleEntitlements Serverでの実行に依存しないオフライン・モードで動作します。複数プラットフォームのサポート :Oracle Entitlements Serverは、多くの代表的なJava EEコンテナ(Oracle WebLogic Server、Tomcat、およびIBM WebSphereなど)で動作します。ポリシー・リポジト リは、Oracle Database、Sybase、Microsoft SQL Server、およびIBM DB2 に対して管理できます。ポリシーのレポート作成:Oracle Entitlements Serverは、ユーザーやロールが権限とエンタイトルメントにどのようにマッピングされるかをポリシー管理者が理解するのに役立つ検索機能を提供します。ポリシーのレポートは、 特定のアプリケーション・リソース (データベースの列、Enterprise JavaBeansなど)、ID(ユーザー、グループ、ロール)のほか、権限についても生成できます。レポートはシンプルなテキスト・ファイルとして利用可能で、ダウンストリームのビジネス・インテリジェンスやレポート作成ツールで使用できます。Oracle Adaptive Access ManagerOracle Adaptive Access Manager(OAAM)は、リアルタイムの不正防止、複数要素の認証、および独自の強化された認証を使用して、企業とその顧客を保護します。 図 10:Oracle Adaptive Access ManagerOracle Adaptive Access Manager は、2 つの主要なコンポーネントで構成されており、その 2 つが連携して不正に対処するもっとも強力で柔軟なツールを提供します。 (ASA) Adaptive Strong Authenticatorは、パスワード、個人識別番号(PIN)、トークン、セキュリティに関する質問、アカウント番号、およびそのほかの資格証明などの機密情報のための複数要素の認証メカニズムと保護メカニズムを提供します。Adaptive Risk Manager(ARM)は、クリティカルなログイン・チェックポイントおよびトランザクション・チェックポイントにおける不正を防ぐためのリアルタイムとオフラインのリスク分析、および事前対応型のアクションを提供します。Oracle Adaptive Access Manager の機能レイヤーは以下のとおりです。認証セキュリティ:ASAは、認証スキーム(Web SSO形式、ワンタイム・パスワード、ナレッジベース認証、バイオメトリック、スマートカード、X.509 証明書、およびユーザー・ディレクトリとデータベース認証を含む)を強化するためのソリューションを提供します。ASAには、サーバー・コンポーネント、および一連のWebベースの仮想認証デバイスがあり、 ユーザーの機密認証情報を保護し、 18
  22. 22. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1キー・ロガー、マウス・クリック・ロガー、および中間者攻撃などのマルウェア攻撃から保護します。リスク分析:ARMは、ユーザー・プロファイル、デバイスの特徴、トランザクション・データ、インターネット・プロトコル(IP)アドレス、ジオロケーション、およびサード・パーティ・データなど、さまざまなソースから取得したコンテキスト・データを分析してリスクを評価します。 ARMは、さまざまなリスク要因を同時に検証することで、いつでもリスク・レベルを保存し、不正を事前に防ぐための手順を実行し、監視者にアラートを発することができます。挙動プロファイリング:ARMは、ユーザーとデバイスの通常の動作を学習、更新、および維持することでリスクの高い状況を動的に特定します。この方法により、不正防止機能は人手を介さずにユーザーの動作の変化に対応できます。不正の調査とフォレンジック:ARMは、調査と監査を簡素化するためのリアルタイムとオフラインのリスク分析ツールを提供します。レポートは、Oracle Business Intelligence Publisherを使用して作成できます。不正に対するインテリジェンス:セキュリティ・ポリシーは、本番システムを停止させることなく、新たな要件に対応できる必要があります。Oracle Adaptive Access Managerは、異なるセキュリティ・ポリシーをテストする、不正の防止に対する各ポリシーの実用性を評価する、特定のルールをテスト実行する、およびポリシー変更の結果生じるシステム動作の相違点を不正が発生する前に追跡する、といった機能をセキュリティ管理者に提供します。Oracle Directory ServicesOracle Directory Services には、データ・ストレージとディレクトリの同期化サービスを扱う OracleInternet Directory、およびデータをコピーせずに ID の集約と変換を提供する Oracle Virtual Directoryが含まれています。 19
  23. 23. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1 図 11:Oracle Directory ServicesOracle Internet DirectoryOracle Internet Directory 11g Release 1 は、Oracle Fusion Middleware コンポーネント、Oracle FusionApplications、および自社開発のエンタープライズ・アプリケーションに対して、ID データ(認証のためのユーザーの資格証明、認可のためのアクセス権限、およびプロファイル情報など)を保存し、それらのデータにアクセスするための標準のメカニズムを提供します。Oracle Internet Directory は、Lightweight Directory Access Protocol(LDAP)に準拠しています。LDAP は、ディレクトリ情報を体系化し、検索、および取得操作を目的としたクライアント・アプリケーションとディレクトリ間の通信を許可するために設計されたインターネット標準です。Oracle Internet Directory は、Oracle Database テクノロジーに基づいて実装されており、比類のないスケーラビリティ、高可用性、および情報セキュリティを備えた LDAP ディレクトリ・サービスを提供します。Oracle Internet Directory の機能レイヤーは以下のとおりです。スケーラビリティ:Oracle Internet Directoryサーバー・ノードで動作するLDAPサーバーはマルチスレッド化されており、データベース接続プールを使用して、LDAPクライアントの同時接続数の増加に伴うリソース不足の発生を防ぎます。さらに、単一のOracle Internet Directoryサーバー・ノードで複数のLDAPサーバー・プロセスを実行できる能力により、ハードウェア・ノードごとのサーバー・プロセス数を増やすことで縦方向のスケーラビリティが提供され、クラスタ化されたハードウェア・ノード間にサーバー・プロセスを分散させることで横方向のスケーラビリティが提供されます。高可用性:Oracle Internet Directoryは、Oracle Internet Directoryサーバーのプロセス・レベルとデータ・ストレージ・レベルにおいて継続的なサービスの可用性を実現するように設計されています。OracleInternet Directoryサーバー間のマルチマスター・レプリケーションにより、レプリケーション環境でいずれかのサーバーが停止した場合、 ほかのサーバーが"マスター"として動作可能になります。実績のある堅牢なOracle Databaseのレプリケーション・テクノロジーにより、ハードウェア障害が発生した場合でも完全な可用性が確保されます。任意の数のノードによるLDAPベースのマルチマスター・ 20
  24. 24. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1レプリケーションは、Oracle Internet Directory 11g Release 1 の追加オプションです。LDAP レプリケーションは、ほぼオーバーヘッドのない柔軟な配置トポロジ、および詳細なフィルタリング・オプションとパーティショニング・オプションを提供します。情報セキュリティ:Oracle Internet Directoryの管理者は、ディレクトリ・サービス環境を定義して、 ユーザーの認証方法(パスワードおよび証明書ベースの認証は、いずれもネイティブにサポートさ れています)に基づいた、ディレクトリ情報へのさまざまなアクセス・レベルを提供できます。さ らに、Oracle Internet Directory 11g Release 1 には属性レベルの暗号化機能があります。Oracle Internet Directoryでは、次の 2 つの独自のデータベース・セキュリティ機能がサポートされています。Oracle Database Vault(データベース管理者の職務の分離を実施します)とOracle Transparent Data Encryption(データをディスクに書き込むときに自動的に暗号化し、そのデータを認証ユーザーが読み取るとき に復号化します)。強化されたユーザビリティと診断機能:Oracle Internet Directory 11g Release 1 は、Oracle DirectoryServices Manager ( ODSM ) に よ っ て 優 れ た ユ ー ザ ビ リ テ ィ を 提 供 し ま す 。 Oracle ApplicationDevelopment Framework(Oracle ADF)に基づいているOracle Directory Services Managerは、OracleInternet Directory(およびOracle Virtual Directory)の管理者に使いやすい管理ツールを提供します (新規ユーザーを作成するためのDeployment Accelerator、Oracle Internet Directoryのサイジングとチューニング、 LDAPレプリケーションの設定および構成のためのツールを含む) 強化された診断機能 。 (すべてのOracle Fusion Middlewareコンポーネントに組込み済み)により、ディレクトリ操作に割り当てられているExecution Context Identifier(ECID)を利用できます。これにより、管理者は失敗したユーザー・ログインなどの操作を環境全体(WebサーバーからOracle Internet Directory、最終的にはデータベースまで)で追跡できます。統合された管理と監視:Oracle Internet Directory 11g Release 1 の管理機能と監視機能は、次の 2 つの補完的なコンポーネントに整備されています。Oracle Enterprise Manager 11g Fusion Middleware ControlとOracle Directory Services Manager(ODSM、前述)。Oracle Enterprise Managerは、Oracle InternetDirectoryの分散プロセスとホスト特性を含むプロセスのパフォーマンスの管理機能と監視機能に加え、エンド・ツー・エンドのネットワーク層セキュリティ(SSL)構成、および監査管理機能を提供します。 Oracle Directory Services Managerでは、LDAPデータの参照、スキーマの作成と変更、 およびディレクトリ・データのセキュリティ管理などの管理タスクがサポートされています。Oracle BusinessIntelligence Publisherは、監査レポートの生成に使用されます。多様なカスタマイズ可能な標準のレポートも備えています。Directory Integration Platform:Oracle Internet Directoryには、さまざまなサード・パーティのデータソース と Oracle Internet Directory間 の デ ー タの同期化を可能にする一連のサービスであるDirectoryIntegration Platform(DIP)があります。さらに、DIPにより、Oracle Internet Directoryは、サード・パーティのメタディレクトリ・ソリューションとの相互運用が可能になります。DIPには、Oracle HumanResourcesやOracle Databaseと同期化するための標準のコネクタ、Sun Java System Directory Server、Microsoft Active DirectoryとActive Directory Lightweight Directory Services(LDS)、Novell eDirectory,OpenLDAP、 および 11g Release 1 で新たにサポートされたIBM Tivoliなどのサード・パーティのLDAPサーバーと情報を同期化するためのコネクタがあります。DIPは、Oracle Enterprise Managerを使用して管理および監視します。ウィザードが、プロファイルの作成およびサード・パーティのディレクトリとOracle Internet Directory間のグラフィカルな属性マッピングのプロセスをガイドしてくれます。 21
  25. 25. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1外部認証:Oracle Internet Directoryの外部認証機能により、Microsoft Active Directory、Sun Java SystemDirectory Server、Novell eDirectory、およびOpenLDAPなどのサード・パーティのディレクトリに対するシームレスな認証が可能になります。多くの場合、外部認証機能により、機密性の高いパスワード情報をOracle Internet Directoryに同期化させる必要がなくなります。拡張性とクライアント側の開発:オラクルは、クライアントとOracle Internet Directoryの機能の統合に、Java、C、C++、およびPL/SQLを使用するアプリケーション開発者向けにOracle Internet DirectorySDKを提供しています。Database Enterprise User Security(EUS)のサポート:Oracle Database Advanced Securityの一部であるEUSとOracle Internet Directory(またはOracle Virtual Directory)を組み合わせることで、 Oracle Databaseのエンタープライズ・ユーザー・セキュリティ戦略の中核が形成されます。詳しくは、後述のOracleIdentity ManagementおよびOracle Databaseの項を参照してください。オペレーティング・システムの認証サービス:この機能はOracle Internet Directoryを利用して、企業がUnixとLinuxの認証、ユーザー・アカウント、sudo認可ポリシーを一元管理し、サーバー・プラットフォーム間に企業規模の強力なパスワードを実施できるようにします。オペレーティング・システムの認証サービス機能では、 Oracle Internet Directoryに加え、 ( Pluggable Authentication Modules PAM)を使用します。PAMは、ほとんどのUnixおよびLinuxディストリビューションで利用可能な標準のオペレーティング・システム・モジュールであり、外部化された認証、およびPAMコンポーネントとOracle Internet Directoryコンポーネントの両方を設定する自動化ツールをサポートし、ユーザーの移行を簡素化し、ネットワーク・エンドポイント間の強力なデフォルトのセキュリティを実施するように設計されています。Oracle Virtual Directory企業が直面している ID 管理の課題の 1 つは、 データ用の単一ソースの欠如、 ID およびディレクトリやデータベースを含む ID ストアの増加にあります。企業は、従業員の情報を人事管理データベースや Microsoft Active Directory などのさまざまなリポジトリに保存し、顧客やパートナーのデータをカスタマー・リレーションシップの管理システム、および追加の LDAP ディレクトリに保存しています。Oracle Virtual Directory は、データのコピーやデータの同期化をおこなうことなく、リアルタイムでID の集約と変換を提供するように設計されています。 Oracle Virtual Directory は、基礎をなすデータ・インフラストラクチャの複雑さを表面化することな く、保存場所を問わず ID データにアクセスするための単一の標準インタフェースを提供します(Oracle Virtual Directory は情報を保存しません。この役割は、保存に使用される永続システム(Oracle Internet Directory など)が行います)。Oracle Virtual Directory では、アプリケーションが、データのコピーを実行することなく、信頼できる既存の ID データソースにアクセスできるため、アプリケーション固有のユーザー・ストアおよびデータの同期化の必要性が減ります。そのため、ユーザーとリソースのプロビジョニングが簡素化され、アプリケーションを迅速に配置できます。Oracle Virtual Directory には、次の 2 つの主要なコンポーネントがあります。アプリケーションの接続先である Oracle Virtual Directory Server、および、サーバー設定用の Web ベースの管理ユーザー・インタフェースである Oracle Directory Services Manager(ODSM)。Oracle Directory Services Managerは、前述のように Oracle Internet Directory でも使用されます。 22
  26. 26. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Oracle Virtual Directory の機能レイヤーは以下のとおりです。ID用の単一のインタフェース:Oracle Virtual Directoryには、分割プロファイルをサポートできる結合アダプタがあります。分割プロファイルでは、ユーザーIDデータが 2 つ以上のソースに分割されています。例えば、ユーザーのID情報はデータベース、LDAPサーバー、およびWebサービスにばらばらに格納されていますが、アプリケーションは、そのID情報を単一のエントリとして処理する必要があるとします。その際に結合アダプタは、結合ルール(SQLの結合条件に類似)を使用して、データを 1 件の"スーパーエントリ"に仮想的にリンクし、単一エントリとして処理できるようにします。非LDAPデータ用のLDAPインタフェース:本書で説明しているさまざまなOracle Identity Managementコンポーネントを含む多くのアプリケーションとOracle Databaseは、LDAPを使用してID情報にアクセスします。そのため、データベースやWebサービスのデータを利用するには、LDAPインタフェース経由でデータにアクセスできる必要があります。 Oracle Virtual Directoryに含まれるアダプタを使用することで、LDAP対応のアプリケーションは、データをほかのLDAPサーバーにコピーすることなく、データベースやWebサービスのデータを直接利用できます。たとえば、Oracle Virtual Directoryは、 ( Oracle PeopleSoftのデータやOracle Siebel Universal Customer Master UCM) のデータをアプリケーションのアクセス用にLDAPとして公開できます。データ変換およびアプリケーション固有のビュー:Oracle Virtual Directoryは、データを仮想的に統合するだけでなく、データの変換(たとえば、ORCLをOracleに変換する)を実行することも、アプリケーション固有のビューを提供することもできます。これらの変換の多くは、構成作業によって可能になります。 また、Oracle Virtual DirectoryのJavaプラグインAPIを使用して、企業固有のビジネス・ロジックに対応した変換をおこなえます。 Oracle Virtual Directoryはステートレスで、データ変換をサポートしているため、アプリケーション固有のデータのビューを作成できます。つまり、同じOracleVirtual Directoryサーバーにアクセスする異なるアプリケーションすべてが、 完全に異なるデータ・スキーマ、構造体、属性名や属性値にアクセスしているように見えます。強化されたユーザビリティ:前述のように、Oracle Virtual Directory 11g Release 1 は、強化されたユーザビリティを管理者に提供するOracle Directory Services Manager(ODSM)を活用します。企業のスケーラビリティ、可用性、および管理性:Oracle Virtual Directoryでは、名前やユーザーIDの範囲に基づき、さまざまなソースにリクエストをルーティングできます。また、Oracle VirtualDirectoryは、Oracle TimesTenやOracle Coherenceなどの追加のOracleテクノロジーを活用して、待機時間を短縮したり、 スケーラビリティを向上したりできます。 Oracle Virtual Directoryは、 アプリケーション要件に応じて一元的に配置、 または地理的に分散させて配置できます。 Oracle Virtual Directoryの可用性を高めるもっとも簡単な方法は、 複数のノードを追加してから、 ラウンドロビンDNSまたはロードバランサを使用してリクエストを適切にルーティングする方法です。データベースのアカウントおよびロール管理の一元化:Oracle Databaseでは、エンタープライズ・ディレクトリへのアカウントおよびロールの一元化がサポートされています。データベースはOracleVirtual Directoryを使用して、アカウントやロールをサード・パーティのLDAPディレクトリに保存できます。これにより、ユーザーが覚える必要があるパスワード数が減り、個々のデータベースを更新するプロビジョニング製品を使用する必要がなくなります。したがって、既存のIDデータを複数のリポジトリへコピーしようとすることで生じる潜在的な問題が解消され、データベースおよびアカウント・セキュリティの利点を最大限に活用できます。 23
  27. 27. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1Oracle Platform Security ServicesOracle Identity Management 11g Release 1 の主要な利点と差別化要因の 1 つは、 Oracle Platform SecurityServices(この項で説明)およびIdentity Governance Framework and ArisID(次の項を参照)によって提供される強化されたアプリケーション開発のサポートです。企業は、開発プロセスの一環としてセキュリティを含める必要性を理解していますが、多層 Web アプリケーションのさまざまな層へのセキュリティの実装に課題をかかえています。Oracle PlatformSecurity Services(OPSS)は、企業の製品開発チーム、システム・インテグレーター、独立系のソフトウェア・ベンダーに、Java SE(Java Platform, Standard Edition)のアプリケーションと Java EE(JavaPlatform, Enterprise Edition)のアプリケーション向けの、標準ベースかつポータブルなエンタープライズ・グレードの統合セキュリティ・フレームワークを提供します。Oracle Platform Security Services は、標準ベースのアプリケーション・プログラミング・インタフェース(API)の形式で抽象化レイヤーを提供することで、アプリケーション開発に直接関係のない複雑なタスクから開発者を解放します。Oracle Platform Security Services によって、自社開発アプリケーション、サード・パーティのアプリケーション、および統合アプリケーションが、同一かつ均一のセキュリティ、ID 管理、および監査サービスを企業全体で利用できます。Oracle Platform Security Services は、Oracle Fusion Middleware のセキュリティ基盤です。 すべての OracleFusion Middleware 11g コンポーネントと Oracle Fusion Applications は、Oracle Platform Security Servicesのサービスを"使用"します。 図 12:Oracle Platform Security ServicesOracle Platform Security Services は、Oracle WebLogic Server 上で稼働する自己完結型のポータブルなフレームワークです。開発時には、ウィザードを使用して、開発環境(Oracle JDeveloper) から OraclePlatform Security Services のサービスを直接呼び出すことができます。 実行環境にアプリケーションを配置する場合、システム管理者とセキュリティ管理者は、Oracle Enterprise Manager Fusion MiddlewareControl またはコマンドライン・ツールを使用して Oracle Platform Security Services サービスにアクセスし、設定をおこなうことができます。 24
  28. 28. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1 Oracle Platform Security Services は、以下の標準に準拠しています。 (RBAC、 Role-Based-Access-control ロールベースのアクセス制御)、Java Platform, Enterprise Edition(Java EE)、Java Authorization and Authentication Services(JAAS)、および Java Authorization Contract for Containers(JACC)。 Oracle Platform Security Services には、Oracle Entitlements Server などの BEA 継承製品で使用される Oracle WebLogic Server の内部セキュリティ サービスが含まれています。 ・ それらのサービスは、 Oracle Platform Security Services の一部となっている Security Services Provider Interface(SSPI)で使用されま す。また、Oracle Platform Security Services には、Oracle Fusion Middleware のセキュリティ・フレーム ワーク(旧 Java Platform Security(JPS)または JAZN)があります。 • SSPI は、権限ベースの(JACC)モード、およびリソース・ベースの(非 JACC)モードで Java EE コンテナ・セキュリティを提供します。また、環境に対するリソース・ベースの認可を提供しま す。したがって、顧客はそれぞれのセキュリティ・モデルを選択できます。SSPI は、カスタム認 証や特定のロール・マッピングなど、複数タイプのセキュリティ・サービスのサポートを目的と して、 プラガブルなセキュリティ・プロバイダを実装するために設計されている一連の API です。 • JPS は最初、XML ベースのプロバイダおよび Oracle Internet Directory プロバイダと連携して動作 する JAAS 準拠の認証および認可サービスとして、Oracle Application Server 9.0.4 とともにリリー スされました。11g Release 1 では、JPS は拡張されており、以下のサービス(この項で後述)が 含まれています。Credential Store Framework(CSF)、User and Role API、Oracle Fusion Middleware Audit Framework、および JDeveloper/ADF の統合(アプリケーション・セキュリティのライフ・ サイクルのサポート)。 Oracle Platform Security Services には、 ( Oracle Security Developer Tools OSDT)も含まれています。Oracle Security Developer Tools は、XML Signature、XML Encryption、XML Key Management Specification(XKMS)、SAML、WS-Security、およびそのほかの非 XML 標準(Secure/Multipurpose Internet MailExtensions(S/MIME)および Online Certificate Status Protocol(OCSP)など)をサポートする一連のJava ベースの暗号化ライブラリです。 Oracle Security Developer Tools は、Oracle Applications や Oracle Fusion Middleware のコンポーネント をはじめとした多くのオラクル製品で使用されています。Oracle Platform Security Services では、SSL の構成や Oracle Wallet(Oracle Identity Management 製品、Oracle Enterprise Manager、および Oracle Database で使用)に Oracle Security Developer Tools を利用します。 Oracle Platform Security Services は、(1)WebLogic Server の内部セキュリティおよび SSPI を使用す るアプリケーション(Oracle Entitlements Server および Oracle Access Manager など)、および(2)JPS を使用するアプリケーション (Oracle ADF、Oracle WebCenter、Oracle SOA、および Oracle Web Services Manager など)のための標準サポートを提供します。 開発者は Oracle Platform Security Services API を使用して、すべてのタイプのアプリケーションのセ キュリティ機能を作成し、 そのセキュリティ機能をそのほかのセキュリティ アーチファクト ・ (LDAP サーバー、データベース・システム、およびカスタムのセキュリティ・コンポーネントなど)と統 合できます。管理者は Oracle Platform Security Services を使用して、小さくて均一なツールのセット を使用して大規模なエンタープライズ・アプリケーションを配置し、それらのアプリケーションの すべてのセキュリティを管理できます。 Oracle Platform Security Services では、アプリケーション コー ・ ドを変更せずにセキュリティ設定を変更できるため、アプリケーションのセキュリティの維持が簡 素化されます。 25
  29. 29. Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1 26

×