<Insert Picture Here>アクセス制御の一元化とSSOを実現Oracle Access Manager 11g日本オラクル株式会社
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するもので...
アクセス制御の一元化とSSOを実現  Oracle Access Manager■Oracle Access Manager とは?                      ■Oracle Access Manager 導入のメリット  • ...
Oracle Access Management Suite Plus                    Entitlements Server                  Adaptive Access Manager• 資格情報の...
アクセス管理コンポーネントの全体像      Copyright© 2011, Oracle. All rights reserved.   5
Oracle Access Managerの主要機能と効果   シングル・サインオン       ユーザはたった一度のログオンで複数の                                         •ユーザ業務効率の向上 ...
Oracle Access Manager 11g特徴                        利点モジュール分け可能なアー              管理サーバと実行用サーバの分離により個々に独立したオキテクチャ            ...
Oracle Access Manager 11gOAM 10g との主な違い項目              OAM 10g                                       OAM 11gデプロイ          ...
OAM 11g 全体構成                                             パートナアプリ                                                        ポリ...
Oracle Access Manager 11g の特徴アーキテクチャ           Protocol Compatibility Framework       Authentication                      ...
Oracle Access Manager 11g の特徴 デプロイメントWebLogic Administration                                             共有情報       Server...
Oracle Access Manager 11g の特徴  アクセス制御         1. 未認証のアクセス                                                  7. アプリへのアクセス   ...
Oracle Access Manager 11g の特徴マルチレベルの認証          Copyright© 2011, Oracle. All rights reserved.   13
Oracle Access Manager 11g の特徴ポリシーモデル                                                   • デフォルトで安全に(ポリ                     ...
Oracle Access Manager 11g の特徴インストールおよびコンフィグレーション• インストールプロセス  • OUI (Oracle Universal Installer) にてインストール  • インストールプロセスにおい...
Oracle Access Manager 11g の特徴クレデンシャル情報の収集• OAM 10g: Webgate にて収集  • 認証用の WebGate を設定もしくは全ての WebGate にて    クレデンシャル情報を収集するよう...
Oracle Access Manager 11g の特徴  セッション管理         5. 認証されたアクセス                                                7. アプリへのアクセス   ...
Oracle Access Manager 11g の特徴 セッションデータストレージのメカニズムSME (Session Management Engine) データベース• 大規模利用(数百万の同時ユーザログインなど)時に耐障害性および拡張...
Oracle Access Manager 11g の特徴セッションの共通設定• 全てのターゲットアプリケーションに設定されるセ  ッションの存続期間• 全てのターゲットアプリケーションに設定されるア  イドル・タイムアウト• 1ユーザ当たりの...
Oracle Access Manager 11g の特徴その他のセッション管理機能• 永続ストレージを使用しないセッション同期• 自動セッションフェールオーバ• グローバルで有効なセッション  • 全ての OAM 実行サーバにて同じセッション...
Oracle Access Manager 11g の特徴エージェントの一元管理• 1つの管理コンソールにてそ  れぞれのエージェントを管理• Mod_OSSO、 OAM 10g  WebGate および OAM 11g  WebGate を同...
Oracle Access Manager 11g の特徴監査およびロギング• OAM 11g は Oracle FMW で提供される Common  Audit Framework にて監査が可能• Common Audit Framewor...
Oracle Access Manager 11g の特徴監査イベントの例監査イベントのタイプ             イベントAuthentication         Credentials collected              ...
Oracle Access Manager 11g の特徴運用指標に基づいたモニタリング                                                           • 運用指標はエージェン       ...
Oracle Access Manager 11g の特徴サポートされている認証方式• フォームベース認証• ベーシック認証• X.509 認証• OAAM 仮想パッドベース認証• Kerberos ベース認証 (windows native ...
Oracle Access Manager 11g の特徴拡張性• 11g R1 では拡張フレームワークは未実装  • 拡張フレームワークは次期バージョンを予定• 拡張フレームワークの概要  • Java ベースの認証・認可モジュール  • O...
Oracle Access Manager 11g の特徴ユーティリティ: Access Tester• マニュアルで操作可能な GUI  モード• 自動テストが可能なコマンド  ラインモード• ポータブルなスタンドアロン  Java アプリ ...
Oracle Identity Federation との連携Oracle Access ManagerとOracle Identity Federationを連携させることで、分散されたID情報環境、異なる認証基盤製品においてもシングルサイン...
Oracle Adaptive Access Manager との連携• Native 連携  • 認証時に Pre/Post 認証ルール    を実行  • ルール用 API を呼び出す  • OAAMBasic 認証スキーマは、    ou...
まとめ• Oracle Access Manager はセキュアで利便性の高い認  証基盤を提供いたします• Oracle FMW 11g アーキテクチャをベースとし、高い  拡張性、可用性、パフォーマンスを実現いたします• 親和性の高い製品と...
補足情報• 製品のダウンロード  • http://www.oracle.com/technetwork/middleware/downloads/oid-11g-    161194.html• Oracle Identity Manager...
あなたにいちばん近いオラクル                Oracle Direct                     まずはお問合せください                            Oracle Direct      ...
Copyright© 2011, Oracle. All rights reserved.
Copyright© 2011, Oracle. All rights reserved.   34
Upcoming SlideShare
Loading in …5
×

アクセス制御の一元化とSSOを実現 Oracle Access Manager 11g

3,613 views

Published on

Oracle Access Managerは、Webのシングル・サインオン、アクセス・ポリシーの作成と適用、ユーザーの自動登録と自動サービス、委任管理、およびレポートと監査といった機能を提供します。Oracle Access Managerは、すべての主要なディレクトリ・サーバー、アプリケーション・サーバー、Webサーバー、およびエンタープライズ・アプリケーションをサポートしています。Oracle Access Managerは、シームレスなアプリケーション・サポートを提供するオラクル社の統合ソリューションOracle Fusion Middlewareを構成する一部です。

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,613
On SlideShare
0
From Embeds
0
Number of Embeds
50
Actions
Shares
0
Downloads
37
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

アクセス制御の一元化とSSOを実現 Oracle Access Manager 11g

  1. 1. <Insert Picture Here>アクセス制御の一元化とSSOを実現Oracle Access Manager 11g日本オラクル株式会社
  2. 2. 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。 Copyright© 2011, Oracle. All rights reserved.
  3. 3. アクセス制御の一元化とSSOを実現 Oracle Access Manager■Oracle Access Manager とは? ■Oracle Access Manager 導入のメリット • シングルサインオンおよび、Webサイトへのアクセ • シングルサインオンによるユーザ利便性の向上 ス制御を実現し、監査ログを記録する製品 • 均一なレベルのセキュリティの保持■Oracle Access Manager の機能 • 本人確認、権限付与の一元化による信頼性向上 • 統合認証管理:シングルサインオン機能 • 委任管理による管理コスト低減 • 統合アクセス制御、管理:複数Webシステムへの一元的 なアクセス制御、(柔軟できめ細かいアクセス認可ルール の設定) • 監査レポート機能:いつ, 誰が, 何にアクセスしたかを記録 Web Gate Web Gate Web Gate Cookie Oracle Access 文書管理 システム Manager 業務アプリ Webシステム 各システムの認証・認可はAccess Managerで実施 クライアントはチケットを利用して各システムにアクセス Copyright© 2011, Oracle. All rights reserved. 3
  4. 4. Oracle Access Management Suite Plus Entitlements Server Adaptive Access Manager• 資格情報の管理 • リスクベース認証• 粒度の細かい • リアルタイムでの (Fine Grained ) 不正防止 認可 Access Manager Identity Federation OpenSSO STS • Web アクセス制御/認証 • パートナ SSO および • Security Token 管理 • シングルサインオン ID フェデレーション • ID 情報の伝搬 • ID のアサート • Fedlet SP による連携 Copyright© 2011, Oracle. All rights reserved. 4
  5. 5. アクセス管理コンポーネントの全体像 Copyright© 2011, Oracle. All rights reserved. 5
  6. 6. Oracle Access Managerの主要機能と効果 シングル・サインオン  ユーザはたった一度のログオンで複数の •ユーザ業務効率の向上 システムをログオン操作なしで利用できる •パスワード忘れ防止 ようになります。 アクセス制御  認証済みユーザであっても、対象シ ステムを利用する権限がない場合、 •不必要な情報開示の防止 アクセスを拒否することができます。 •情報事故の予防 統合認証  ユーザ認証を一箇所に集約すること で、「いつ、誰が、どのシステムへア •アクセス状況の分析 クセスしたか」というアクセス証跡を •有事の際の追跡の容易化 一元的に取得することができます。 Copyright© 2011, Oracle. All rights reserved. 6
  7. 7. Oracle Access Manager 11g特徴 利点モジュール分け可能なアー 管理サーバと実行用サーバの分離により個々に独立したオキテクチャ ペレーションが可能安全なポリシーモデル デフォルト設定ではアクセスは拒否(アクセスするには、許可 するポリシーを作成することが必要)シンプルになったインストー 1つのパッケージにて、インストールおよび一連のコンフィグルおよびコンフィグ が可能セッション管理 セッションのトラッキングや強制削除が可能診断およびモニタリング リアルタイムでキーとなる運用指標を監視することが可能エージェントの集中管理 管理コンソールにて、接続されているすべてのエージェントを 一元管理するビューを提供下位互換性 10g WebGate および 10g Mod_OSSO との互換性を確保Windows Native AuthN Windows デスクトップと Web の SSO を実現豊富なユーティリティ リモート登録ユーティリティ、リモートアクセステスタ、ポリシー 操作のための WLST コマンド Copyright© 2011, Oracle. All rights reserved. 7
  8. 8. Oracle Access Manager 11gOAM 10g との主な違い項目 OAM 10g OAM 11gデプロイ スタンド・アロン・サーバ コンテナにデプロイLDAP 認証 システム全体で定義 認証スキームにて定義利用可能なエージェント WebGate WebGate および Mod_OSSOセッション管理 ステートレス(クッキー管理) ステートフル(サーバ管理)アプリケーション連携 OAM 構成ツール UI またはコマンドラインか らのリモート登録ツールID 管理 OAM Identity Server 任意の ID 管理ツール (デフォルトは OIM 11g)ポリシーモデル Open (デフォルトは許可) Closed (デフォルトは拒否)ポリシーストア LDAP RDBMS構成ストア LDAP ファイル Copyright© 2011, Oracle. All rights reserved. 8
  9. 9. OAM 11g 全体構成 パートナアプリ ポリシーストア用データ ベース ユーザ ID ストア用ディ レクトリサーバ社内アプリ Copyright© 2011, Oracle. All rights reserved. 9
  10. 10. Oracle Access Manager 11g の特徴アーキテクチャ Protocol Compatibility Framework Authentication Single Sign-On Engine Engine OAM Server Session Token Processing Management OAM Server Authorization Service Oracle Platform Security Services Copyright© 2011, Oracle. All rights reserved. 10
  11. 11. Oracle Access Manager 11g の特徴 デプロイメントWebLogic Administration 共有情報 Server • 実行環境と管理サ ーバを分離WebLogic OAM 11g 1. ポリシー Admin Admin Console Server 2. コンフィグ情報 3. ユーザセッション • 構成情報およびポ リシーの共有 WebLogic Managed Server(s) • すべての実行環境 OAM 11g にてユーザセッシ Runtime ョンを共有 Server Copyright© 2011, Oracle. All rights reserved. 11
  12. 12. Oracle Access Manager 11g の特徴 アクセス制御 1. 未認証のアクセス 7. アプリへのアクセス 2. 中央のログインページにリダイレクト OAM エージェント アプリ 3. クレデンシャル情報のサブミット 5. セッション確認および認可エンドユーザ クレデンシャル 情報の収集 4. 認証 6. 認可 認証 認可 エンジン エンジン Oracle Access Manager 11g Oracle Weblogic Server Copyright© 2011, Oracle. All rights reserved. 12
  13. 13. Oracle Access Manager 11g の特徴マルチレベルの認証 Copyright© 2011, Oracle. All rights reserved. 13
  14. 14. Oracle Access Manager 11g の特徴ポリシーモデル • デフォルトで安全に(ポリ シーにマッチしていなけ ればデフォルトは拒否) • OSSO および OAM 10g からのスムーズに移行で きるパスの確立 • ポリシー作成のプロセス およびアプリケーション連 携プロセスの簡略化 Copyright© 2011, Oracle. All rights reserved. 14
  15. 15. Oracle Access Manager 11g の特徴インストールおよびコンフィグレーション• インストールプロセス • OUI (Oracle Universal Installer) にてインストール • インストールプロセスにおいて、ホストマシンにソフト ウェアの全てのバイナリをコピー • OUI では製品のコンフィグレーションは行わない• 2ステップでのコンフィグレーションプロセス • RCU (Repository Creation Utility) を使ったデータベース スキーマのコンフィグレーション • WebLogic Configuraion Wizard を使った製品のコンフィ グレーションおよびデプロイメント Copyright© 2011, Oracle. All rights reserved. 15
  16. 16. Oracle Access Manager 11g の特徴クレデンシャル情報の収集• OAM 10g: Webgate にて収集 • 認証用の WebGate を設定もしくは全ての WebGate にて クレデンシャル情報を収集するように設定• OAM 11g: 実行サーバにて収集 • ログインページが OAM 実行サーバにて提供 • OAM 実行サーバは別の Web サーバ上のログインページ にリダイレクトすることも可能 • ログインページの場所に関係なく、クレデンシャル情報 は OAM 実行サーバに送信され収集される • ログインページは out-of-the-box で提供される Copyright© 2011, Oracle. All rights reserved. 16
  17. 17. Oracle Access Manager 11g の特徴 セッション管理 5. 認証されたアクセス 7. アプリへのアクセス 1. 認証(匿名) WebGate アプリ 4. セッション ID を取得し認証完了 6. セッション確認および認可エンドユーザ • 詳細なセキュリティコンテキ スト情報を持ったステートフ ポリシー ルなセッション エンジン • 高性能で分散されたキャッシ 2. セッショ 3. セッショ ュを使ったアクティブなユー セッション削除 ン生成 ン ID 返信 ザセッションのトラッキング セッション • 1ユーザが一度に生成できる管理者 管理 同時セッション数の制御 Oracle Access Manager 11g • セッションの強制終了 Oracle Weblogic Server • 不正ユーザのアクセス防止 Copyright© 2011, Oracle. All rights reserved. 17
  18. 18. Oracle Access Manager 11g の特徴 セッションデータストレージのメカニズムSME (Session Management Engine) データベース• 大規模利用(数百万の同時ユーザログインなど)時に耐障害性および拡張性を 提供 Copyright© 2011, Oracle. All rights reserved. 18
  19. 19. Oracle Access Manager 11g の特徴セッションの共通設定• 全てのターゲットアプリケーションに設定されるセ ッションの存続期間• 全てのターゲットアプリケーションに設定されるア イドル・タイムアウト• 1ユーザ当たりの最大セッション数 Copyright© 2011, Oracle. All rights reserved. 19
  20. 20. Oracle Access Manager 11g の特徴その他のセッション管理機能• 永続ストレージを使用しないセッション同期• 自動セッションフェールオーバ• グローバルで有効なセッション • 全ての OAM 実行サーバにて同じセッションのセットが共有され る• クッキーのみでのセッション管理は 11gR1 では不可 Copyright© 2011, Oracle. All rights reserved. 20
  21. 21. Oracle Access Manager 11g の特徴エージェントの一元管理• 1つの管理コンソールにてそ れぞれのエージェントを管理• Mod_OSSO、 OAM 10g WebGate および OAM 11g WebGate を同時に管理・構 成することが可能(将来は、 OpenSSO のエージェントも サポートを予定)• 個々のエージェントの運用情 報を管理することが可能 Copyright© 2011, Oracle. All rights reserved. 21
  22. 22. Oracle Access Manager 11g の特徴監査およびロギング• OAM 11g は Oracle FMW で提供される Common Audit Framework にて監査が可能• Common Audit Framework にて監査用データベー スに永続的なログを出力することが可• BI Publisher にて監査レポートを生成• OAM 11g のロギングも Oracle FMW にて統一• ログレベルは WLST コマンドまたは EM アプリケ ーションサーバコントロールにて変更可能 Copyright© 2011, Oracle. All rights reserved. 22
  23. 23. Oracle Access Manager 11g の特徴監査イベントの例監査イベントのタイプ イベントAuthentication Credentials collected Authentication succeeded Authentication failedAuthorization Authorization succeeded Authorization failedAdministrative Authentication scheme created Administration console login failed Server configuration changed Copyright© 2011, Oracle. All rights reserved. 23
  24. 24. Oracle Access Manager 11g の特徴運用指標に基づいたモニタリング • 運用指標はエージェン ト(WebGate)および サーバの両方で保持 • 運用指標は、お客様環 境の運用状況に対し、 幅広い観点からのモニ タリング基準を提供 • 11g WebGate の指標に はバージョン、ホスト、 インストールされたデ ィレクトリといった情 報も含まれる • 指標を EM Grid Control と連携し、詳細分析の ための統計グラフを提 供することも可能 Copyright© 2011, Oracle. All rights reserved. 24
  25. 25. Oracle Access Manager 11g の特徴サポートされている認証方式• フォームベース認証• ベーシック認証• X.509 認証• OAAM 仮想パッドベース認証• Kerberos ベース認証 (windows native authentication)• 匿名認証 Copyright© 2011, Oracle. All rights reserved. 25
  26. 26. Oracle Access Manager 11g の特徴拡張性• 11g R1 では拡張フレームワークは未実装 • 拡張フレームワークは次期バージョンを予定• 拡張フレームワークの概要 • Java ベースの認証・認可モジュール • OAM 11g モジュールで OAM 10g C++ ベースの プラグインを置き換え • OAM 10g プラグインは再度実装することが必要 Copyright© 2011, Oracle. All rights reserved. 26
  27. 27. Oracle Access Manager 11g の特徴ユーティリティ: Access Tester• マニュアルで操作可能な GUI モード• 自動テストが可能なコマンド ラインモード• ポータブルなスタンドアロン Java アプリ – Java [-Dxxx=“yyy”] –jar oamtest.jar – 2 jars: oamtest.jar, nap- api.jar• OAM に同梱 – 場所: $Oracle_Home /oam/server/tester Copyright© 2011, Oracle. All rights reserved. 27
  28. 28. Oracle Identity Federation との連携Oracle Access ManagerとOracle Identity Federationを連携させることで、分散されたID情報環境、異なる認証基盤製品においてもシングルサインオン環境を提供します。 社外ネットワーク ID フェデレーション Access 連携 連携 Manager Identity Federation SAMLもしくは WS-Fed対応サーバ ログイン 社内で認証されていればアクセス可能! アクセス制御 Web Application 社内ネットワーク SaaS等 Copyright© 2011, Oracle. All rights reserved. 28
  29. 29. Oracle Adaptive Access Manager との連携• Native 連携 • 認証時に Pre/Post 認証ルール を実行 • ルール用 API を呼び出す • OAAMBasic 認証スキーマは、 out-of-the-box で提供• Advanced 連携 • 仮想認証デバイスによる認証 • 不正検出ルールの設定 • KBA/OTP による認証 Copyright© 2011, Oracle. All rights reserved. 29
  30. 30. まとめ• Oracle Access Manager はセキュアで利便性の高い認 証基盤を提供いたします• Oracle FMW 11g アーキテクチャをベースとし、高い 拡張性、可用性、パフォーマンスを実現いたします• 親和性の高い製品と組み合わせることにより、より セキュアなインフラやコンプライアンスに対応した セキュリティ基盤を構築することが可能となります Copyright© 2011, Oracle. All rights reserved. 30
  31. 31. 補足情報• 製品のダウンロード • http://www.oracle.com/technetwork/middleware/downloads/oid-11g- 161194.html• Oracle Identity Manager • Oracle Identity Manager 11g 製品ドキュメント • http://download.oracle.com/docs/cd/E14571_01/im.htm#oim • Oracle Access Manager 11g 製品ドキュメント • http://download.oracle.com/docs/cd/E14571_01/im.htm#oam Copyright© 2011, Oracle. All rights reserved. 31
  32. 32. あなたにいちばん近いオラクル Oracle Direct まずはお問合せください Oracle Direct 検索 システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。 システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。 Web問い合わせフォーム フリーダイヤル 専用お問い合わせフォームにてご相談内容を承ります。http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28 0120-155-096 ※フォームの入力には、Oracle Direct Seminar申込時と同じ ※月曜~金曜 9:00~12:00、13:00~18:00 ログインが必要となります。 ※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録さ (祝日および年末年始除く) れている連絡先が最新のものになっているか、ご確認下さい。 Copyright© 2011, Oracle. All rights reserved. 32
  33. 33. Copyright© 2011, Oracle. All rights reserved.
  34. 34. Copyright© 2011, Oracle. All rights reserved. 34

×