Oam mobile-social-overview

1,079 views

Published on

  • Be the first to comment

  • Be the first to like this

Oam mobile-social-overview

  1. 1. Oracle Access Management Mobile and Social Oracle Asia Research and Development Center Alice Liu(lzhmails@gmail.com) 2013/04/09 1
  2. 2. 話題 1. モバイル&ソーシャル潮流 2. OAM Mobile and Social 機能概要 2.1主な機能概要 2.2モバイルアプリケーションにエンタープライズ·セキュリティ の拡張 2.3ユースケースシナリオ Copyright © 2012, Oracle and/or its affiliates. All right 2
  3. 3. Oracle Access Management Mobile and Social モバイル&ソーシャル潮流 未像:モバイル・ソーシャル・ネット ワークが社会を変える Copyright © 2012, Oracle and/or its affiliates. All right 3
  4. 4. モバイル&ソーシャルアクセスのプロミス いつでも、どこでも、アクセス可能 新しいビジネスツール 個人&企業設備 モバイル、ソーシャル、Cloudアクセス 未来像:モバイル・ソーシャル・ネッ トワークが社会を変える Copyright © 2012, Oracle and/or its affiliates. All right 4
  5. 5. 多種多様なシステムおよびリソースに対するアカウント アクセスを管理 サービスレベル要件 高 信頼の企業ユーザー 拡張の企業ユーザー 低 外部ユーザー 信頼 低 Copyright © 2013, Oracle and/or its affiliates. All right 高 5
  6. 6. Oracle Access Management Mobile & Social って何? モバイルセキュリテ ィ ソーシャル サインオン クラウド·アクセス 業界標準をサポート 6
  7. 7. モバイル、ソーシャル時代におけるアクセス管理 Authz Copyright © 2012, Oracle and/or its affiliates. All right 7
  8. 8. Oracle Access Management Mobile and Social OAM Mobile and Social 機能概 要 主な機能概要 未像:モバイル・ソーシャル・ネット ワークが社会を変える Copyright © 2012, Oracle and/or its affiliates. All right 8
  9. 9. Oracle Access Management Mobile and Social 主な機能 モバイルサービス Oracle Access Management Mobile and インターネット・アイデンティティ・サービス Socialサービスは、サーバを含む既存のバ ックエンドIDを持つインタフェース管理イ ンフラストラクチャ。 ユーザー・プロファイル・サービス Access Managementとの統合サービス Copyright © 2012, Oracle and/or its affiliates. All right 9
  10. 10. Mobile & Social ホームイメージ 10
  11. 11. Oracle Access Management Mobile and Social モバイルサービスについて エンタープライズ·アイデンティティへのブラウザベースとネイティブ·モバイル·アプリケーションを 接続するモバイルサービス。管理インフラストラクチャは、典型的には、OAMプラットフォーム インターネット・アイデンティティ・サービスについ て人気があるGoogleやYahoo、Facebook、Twitter、またはLinkedInのような複数なログインサービスオ プションを提供。 導入すれば実装しなくても、それぞれのアイデンティティ・プロバイダの機能にアクセスできる。 Copyright © 2012, Oracle and/or its affiliates. All right 11
  12. 12. Oracle Mobile and Social Access Management ユーザー・プロファイルサービスについて LDAP作成、読み取り、更新、および削除(CRUD)用のRESTインターフェースを提供 Access Managementとの統合サービス Oracle Access Manager(OAM)を活用でき、エージェント·ソフトウェアにより、ラン タイムRESTインターフェースを提供 ※スタンドアロンモードは、Oracle Enterprise Gatewayは(OEG)機能と組み合わせて使用 ※ユーザープロファイルサービスはJWTにより保護 Copyright © 2012, Oracle and/or its affiliates. All right 12
  13. 13. Oracle Mobile and Social Access Management OAM Mobile and Social 機能概 要 モバイルアプリケーションにエンタ ープライズ·セキュリティの拡張 未像:モバイル・ソーシャル・ネット ワークが社会を変える Copyright © 2012, Oracle and/or its affiliates. All right 13
  14. 14. モバイルアプリケーションにエンタープライズ·セキュリティの拡 張 Oracle Access Manager :Webアプリケーションの認証、許可、およびシングルサインオン用 Oracle Adaptive Access Manager (OAAM):モバイルデバイスフィンガープリント、登録、モバイルデ バイスコンテキスト、および不正検出 Oracle Enterprise Gateway (OEG):最初のマルチプロトコルおよびマルチフォーマットの防衛線。クラウ ドサービスへのセキュリティゲートウェイ Oracle Entitlement Server(OES):モバイルデバイスのコンテキストに基づい、エンタープライ ズ・アプリケーションへのアクセス、きめ細かな認可ポリシーを一元化 LDAPベースのユーザー·ディレクトリへのモバイルアプリケーションの直接アクセス用のOracleディレクト リ·サービス。たとえば、OID、ODSEE、OUD Copyright © 2012, Oracle and/or its affiliates. All right 14
  15. 15. Function:モバイルユーザーの認証 非モバイルアプリケーションと同様に、新しいモバイルアプリケーションへの既存の認証イン フラストラクチャを拡張できる認証サービスを提供する。 次のような共通のトークンタイプをサポート ユーザートークン(User Token):認証対象に関する権限を持つベアラトークン(OAuth 2.0 JWT) アクセストークン(Access Token):エンタープライズWebアプリケーションなど、保護されたリソースへのアクセスが 許可されたトークン クライアントトークン(Client Token):非モバイルデバイスへのアクセスが許可されるトークン。 たとえば、Webアプリケーション、サーバーアプリケーションなどへのアクセストークン。 Copyright © 2012, Oracle and/or its affiliates. All right 15
  16. 16. Function:モバイルユーザーの認証 Tips モバイルデバイスと非モバイルデバイスは、異なるセキュリティ上の課題、モバイル認証と非 モバイル認証は、 Oracle Mobile and Social Access Managementで別々に管理されている。 モバイルサービスとインターネット・アイデンティティ・サービスは一緒に設定できます。 Copyright © 2012, Oracle and/or its affiliates. All right 16
  17. 17. Function:モバイルユーザーの承認 Tips 承認は、OES( Oracle Entitlement Server )によって処理される。 OESおよびOracle Access Managementプラットフォームは、アイデンティティ·コンテキスト、 オラクルのIDおよびアクセス管理製品の一部であるサービスに基づくコンテキストアウェアな セキュリティポリシー管理を可能にするユニークなエンドツーエンドのソリューションを提供。 アイデンティティ·コンテキスト Copyright © 2012, Oracle and/or its affiliates. All right { “CustomerDetailResponse“: { “customerID”: “99999” “name”: “Sally Smith” “phone”: “555-1234567” “SSN”: “***********“ “creditCardNo”: ”@^*%&@$#%!“ “purchaseHistory”: “…” } } 17
  18. 18. Function:モバイルユーザーの承認 Tips アイデンティティ·コンテキストがトランザクションに関連する複数のIDおよびアクセス管理コンポーネントに既知の 属性で構成されている。 アイデンティティ·コンテキスト属性は、ユーザー·プロファイル(通常はユーザーディレクトリに格納される)、 アプリケーションおよびエンタープライズ·ロール、認証タイプ(弱、強)、デバイスのステータス(既知、管理、 信頼)、デバイスコンテキスト(場所、構成情報など)、フェデレーション(パートナー属性、およびリスク評価 (パターン分析)を含む。 { “CustomerDetailResponse“: { “customerID”: “99999” “name”: “Sally Smith” “phone”: “555-1234567” “SSN”: “***********“ “creditCardNo”: ”@^*%&@$#%!“ “purchaseHistory”: “…” } } Copyright © 2012, Oracle and/or its affiliates. All right アイデンティティーコンテキストは、オラクルのIDおよびアク セス管理コンポーネント、アイデンティティコンテキスト属性、 特にモバイルアクセス用のデバイスコンテキスト間で共有され ており、アクセスの決定を行うために設計されたセキュリティ· コンポーネントで使用可能になる(たとえば、OESの承認)。 18
  19. 19. Function:ユーザー·ディレクトリとの統合 Tips ユーザー・プロファイルサービスは、Web、モバイル、およびデスクトップアプリケーション、 Tips ディレクトリルックアップの様々な処理を実行できるようにし、タスクを更新する。 ユーザープロファイルサービスにより、モバイルとソーシャル·サーバーへのRESTを呼び出し、 モバイルデバイスから自分の組織のユーザーはユーザー・プロファイルへアクセスできるアプリ ケーションを構築できる。 Copyright © 2012, Oracle and/or its affiliates. All right 19
  20. 20. ユーザープロファイルサービスでディレクトリデータ Tips を公開 LDAPディレクトリ·サービスは、ユーザーのセルフサービス、会社のホワイトページ、または ヘルプデスク·ユーザ·アカウント·メンテナンスを含む多くの機能を使用されている。 M&SソリューションのユーザープロファイルサービスはOracleディレクトリ·サービス(OID、 ODSEE、OUDを含む)だけでなく、Microsoft Active Directoryなどのサードパーティの ディレクトリサービスにRESTインタフェースを提供する。 ネイティブ iPadアプリ ケーション からディレ クトリサー ビスを見え る Copyright © 2012, Oracle and/or its affiliates. All right 20
  21. 21. Function:モバイルアプリケーションとシングルサインオンを提 Tips 供 モバイル·シングル·サインオン(SSO)は、ユーザーがアプリケーションごとに認証情報を提供 Tips せずに、同じデバイス上の複数のモバイル·アプリケーションを実行することができる。 ネイティブとブラウザベースのアプリケーションは、モバイルSSOの実現可能。 Copyright © 2012, Oracle and/or its affiliates. All right 21
  22. 22. Function:モバイルアプリケーションとシングルサインオンを提 供 Tips モバイルSSO機能について、モバイルデバイスのベース上、モバイルのSSOエージェントを Tips 指定する必要がある。 OAMプラットフォーム11gR2 PS1により、モバイルSSOエージェントはApple iOSとAndroid デバイスでサポートされ、ユーザーはM&S Client SDKを使用し、モバイルSSOエージェント・ アプリケーションを構築する可能。 モバイルSSOエージェン トは何? リモートM&S サーバーとバッ クエンドのアイ デンティティ·サ ービスで認証す る必要があるデ バイス上の他の アプリケーショ ンの間のプロキ シとする。 Copyright © 2012, Oracle and/or its affiliates. All right モバイルSSOエー ジェントは、リ スクベース認証 とアイデンティ ティ·コンテキス ト用のサーバに 渡されるローカ ルデバイス属性 を収集するタス クを一元化する。 モバイルSSOエ ージェントが 存在する場合、 ユーザーの資 格情報がモバ イル·ビジネス· アプリケーシ ョンに公開さ れることはな い。 ブラウザ·ベー スのビジネス ·アプリケー ションは、認 証用のモバイ ルSSOエージ ェントを使用 するように設 定することが できる。 22
  23. 23. Function: OAMのモバイルサービス機能 Tips エンタープライズリソースは、OAM、またはOWSMにより保護されたかもしれない。 M&Sサーバはモバイルアプリケーションとリソースの間の経路をセキュアするために、 2種類のトークンをサポートしている(OAMのトークン(HTTPクッキー)とJWTs)。 M&S Client SDKはユーザーの資格情報を収集し、M&S RESTインタフェースで プログラムの認証を処理する。 OAM生成されたトークンがJSONで配信されます。OPSSによりJWTsが生成される。 Copyright © 2012, Oracle and/or its affiliates. All right 23
  24. 24. Function:エンタープライズアプリケーションとWeb APIはOEGで保 護 Tips OEGは、M&SサービスにREST呼び出しのためのファイアウォール保護を提供する 使用案例: ますます多くの小売業者はBestBuyやAmazonにより販売チャネルを設立する予定。 たとえば、FedEx会社は、購入した商品の配達を追跡することができる顧客が小売業者のサイト(“mash-up”アプリケーシ ョン)を構築する必要。 マッシュアップ(mash-up)を有効するために、企業は自社のアプリケーションへのアクセスを公開する必要があります。 OEGは、特にモバイルプラットフォームに利用可能でないSOAPベースサービスへのアクセスを許可する、SOAP およびSAMLのリクエストからRESTとJWT(またはOAM)のリクエストに変換することができる。 Web APIsは、エンタープライズ·ソフトウェアとレガシーシステムと相互作用するように 設計されたRESTfulなアプリケーション·プログラミング·インターフェースです。 Copyright © 2012, Oracle and/or its affiliates. All right 24
  25. 25. Function:検証デバイスID Tips M&Sサービスは、デバイスとアプリケーションは両方の登録を適用している認証サービス。 デバイスの登録もOAAMで 使用可能なポリシーとリス ク評価の対象となります。 関連ポリシーは、KBA、電 子メールまたはSMSにより OTPなどの課題をステップ アップトリガすることがで きる。 ホスト認証とチャレンジポ リシーはOAAM統合により R2PS1でサポートされてい る。 Copyright © 2012, Oracle and/or its affiliates. All right 25
  26. 26. Function:デバイスの紛失や盗難への対処 Tips OAAMと統合されるM&Sサ ービスは、紛失または盗難 にあったデバイスをマーク する方法を提供することに より、このリスクに対処し、 紛失後、エンタープライズ ·アプリケーションへのア クセスを試みたときに適用 された特定のポリシーを実 装し、アクセスブロックで きる。 再認証プロセスを 行う Copyright © 2012, Oracle and/or its affiliates. All right 26
  27. 27. Oracle Mobile and Social Access Management OAM Mobile and Social 機能概 要 ユースケースシナリオ 未像:モバイル・ソーシャル・ネット ワークが社会を変える Copyright © 2012, Oracle and/or its affiliates. All right 27
  28. 28. ユースケースシナリオ1 モバイル ユーザは OAuthを 使用して サービス· プロバイ ダ(SP) によって 公開され たリソー スにアク セス案例 Oracleの信頼されたセキュリティ·プラットフォーム上の構 築 Copyright © 2012, Oracle and/or its affiliates. All right 28
  29. 29. ユースケースシナリオ2 OAMとOAAM の統合上、 OAMMSを活用 し、モバイル ユーザーはモ バイル·アプリ ケーション間 でSSO案例 Copyright © 2012, Oracle and/or its affiliates. All right 29
  30. 30. Q&A 30
  31. 31. 参考資料 • Oracle Mobile and Social Access Management 11g R2 PPT Author: Forest Yin, Dan Killmer, Roger Wigenstam, Sid Mishra ・ Introduction to OIC presentation slides ・ OAAMS-OEG-Usecases.pdf ・ mobileandsocialaccessmanagementwp.pdf • Learn More : • http://docs.oracle.com/cd/E27559_01/dev.1112/e27134/customizingmobilesrvcs.htm • http://techtarget.itmedia.co.jp/tt/news/1208/16/news01.html 31
  32. 32. 関連用語集&外部リンク • OAuth http://ja.wikipedia.org/wiki/OAuth • Oracle Enterprise Gateway http://www.oracle.com/technetwork/jp/middleware/id-mgmt/oeg-300773-ja.html • Oracle Entitlements Server http://www.oracle.com/jp/products/middleware/identity-management/entitlementsserver-151624-ja.html ・ AWG http://ja.wikipedia.org/wiki/AWG ・ OpenID http://ja.wikipedia.org/wiki/OpenID ・ WebAPI,認証APIのセキュリティ http://gihyo.jp/dev/serial/01/web20sec/0006 ・ REST, REpresentation State Transfer http://ja.wikipedia.org/wiki/REST ・ API Application Programming Interface 32
  33. 33. 関連用語集&外部リンク • SOAP REpresentation State Transfer http://ja.wikipedia.org/wiki/SOAP_(%E3%83%97%E3%83%AD%E3%83%88%E3 %82%B3%E3%83%AB) • HTTP (hypertext transport protocol) Webサーバとクライアント(Webブラウ ザなど)がデータを送受信するのに使われるプロトコル。HTML文書や、文書に関連付 けられている画像、音声、動画などのファイルを、表現形式などの情報を含めてやり取 りできる。IETFによって、HTTP/1.0はRFC 1945として、HTTP/1.1はRFC 2616として 規格化されている。 • Data Redaction 広く共有されている文書上のプライベート・コンテンツを検出して 削除し、機密データが文書やフォームから不注意で開示されないように保護します。コ ンプライアンス要求もサポートし、適切な許可とポリシーによる場合以外の機密データ の開示を防ぎます。 33
  34. 34. 関連用語集&外部リンク • フィンガープリント【finger print】 http://ewords.jp/w/E38395E382A3E383B3E382ACE383BCE38397E383AAE383B3E3838 8.html • OpenID オープンアイディー http://ja.wikipedia.org/wiki/OpenID • エクストラネット(Extranet) 複数のイントラネットを相互接続したネットワークシステ ムのことである。 • TCO 【Total Cost of Ownership】(総所有コスト) • ホワイトリスト 一般的なウィルス対策ソフトに代表されるブラックリスト方式のセキュ リティ対策は、既知の脅威に対してのみ有効な手段です。 • Cohesion 凝集度 http://ja.wikipedia.org/wiki/%E5%87%9D%E9%9B%86%E5%BA%A6 • オンボードコンピュータ【on-board computer】 オンボードコンピュータとは、基板 などのボード上に搭載されたコンピューターの総称である。 34
  35. 35. 関連用語集&外部リンク • フェデレーション http://msdn.microsoft.com/ja-jp/library/ms730908.aspx フェデレーション セキュリティにより、クライアントがアクセスするサービスと、関連する認証および承認の手順を明 確に分離できます。 また、フェデレーション セキュリティを使用すると、異なる信頼レルムに属する複数のシステム、ネ ットワーク、および組織間のコラボレーションが可能になる。 ・ クレーム ベースのアーキテクチャ http://www.atmarkit.co.jp/fdotnet/arcjournal/arcjournal16_06/arcjournal16_06_02.html ・ XACML(eXtensible Access Control Markup Language) XACMLとは、XMLベースのマークアップ言語で、インターネットを通じた情報アクセスに関する制御ポ リシーを記述するための言語仕様のことである。2003年2月にXML関連技術の標準化団体であるOASISに よって標準化されている。 ・ ad hoc アドホック http://ja.wikipedia.org/wiki/%E3%82%A2%E3%83%89%E3%83%9B%E3%83%83%E3%82%AF 無線アドホックネットワークの一つの形態である。 MANETでは、ラップトップや、携帯電話など、携帯 可能である端末で無線アドホックネットワークを構築する。 35
  36. 36. 関連用語集&外部リンク ・ OAuth 2.0 JWT べアラートークン http://help.salesforce.com/HTViewHelpDoc?id=remoteaccess_oauth_jwt_flow.htm &language=ja JSON Web トークン (JWT) は、JSON ベースのセキュリティトークンエンコードで、ID とセキュ リティ情報をセキュリティドメインで共有できるようにします。OAuth 2.0 JWT ベアラートークンフローは、クライアント が前の認証の使用を希望する場合に、JWT を使用して Salesforce から OAuth アクセストークンを要求する方法を定義しま す。認定済みのアプリケーションの認証は JWT に適用されているデジタル署名で提供されます。 • エンドツーエンド【end to end】(E2E) 「両端で」「端から端まで」という意味の英語表現。通信・ ネットワークの分野で、通信を行う二者、あるいは、二者間を結ぶ経路全体を意味する。 • JSON(ジェイソン、JavaScript Object Notation) JavaScriptにおけるオブジェクトの表記法を ベースとした軽量なデータ記述言語である。 http://ja.wikipedia.org/wiki/JavaScript_Object_Notation • JSON Web Token (JWT) http://oauth.jp/post/43684099914/json-web-token-jwt • スタンドアロンモード クライアント/ サーバイベントによってユーザのタスクが妨害される場合は、そのユー ザにクライアントのスタンドアロン権限を付与します。 • OPSS Oracle Platform Security Services http://www.oracle.com/technetwork/testcontent/opss-faq-131489.pdf 36
  37. 37. 37
  38. 38. 38

×