Oracle Direct Seminar <Insert Picture Here> 社内もクラウドも! 最新ID・アクセス管理ソリューションの全貌 日本オラクル株式会社 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。 また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことは できません。以下の事項は、マテリアルやコード、機能を提供することをコミットメン ト(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さ い。オラクル製品に関して記載されている機能の開発、リリースおよび時期につい ては、弊社の裁量により決定されます。 OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文 中の社名、商品名等は各社の商標または登録商標である場合があります。 Copyright© 2010, Oracle. All rights reserved. Agenda • • • • Oracle Identity Management Suite 11g Oracle Identity Manager 11g Oracle Access Manager 11g おわりに Copyright© 2010, Oracle. All rights reserved. 3 Oracle Identity Management Suite 11g Copyright© 2010, Oracle. All rights reserved. 4 Oracle Identity Management Suite 11g 標準仕様に基づくサービス連携を実現 Service-Oriented Security Copyright© 2010, Oracle. All rights reserved. 5 これまでのIAM基盤(外部連携) * IAM: Identity and Access Management • Push 型による一方的な “統制” SaaS ポリシー ユーザ アクセス管理基盤 グループ企業 ポリシー ワークフロー 人事システム 業務アプリ ID管理基盤 Copyright© 2010, Oracle. All rights reserved. 業務アプリ 6 これまでのIAM基盤(内部連携) • 独自仕様に基づく機能拡張 • 導入しづらい, 運用・管理しづらい, 拡張しづらい 認証・認可 プロビジョニング ワークフロー アカウント管理 監査・レポート ユ ー ザ ・ イ ン タ フ ェ ー ス 認証・認可 認証・認可 ワークフロー アカウント管理 監査・レポート ユ ー ザ ・ イ ン タ フ ェ ー ス 認証・認可 ディレクトリサービス ワークフロー アカウント管理 監査・レポート ユ ー ザ ・ イ ン タ フ ェ ー ス 認証・認可 フェデレーション ワークフロー アカウント管理 監査・レポート ユ ー ザ ・ イ ン タ フ ェ ー ス アイデンティティ&アクセス管理基盤 ビジネスプロセス 監査担当者 Copyright© 2010, Oracle. All rights reserved. アクセスポリシー 7 これからのIAM基盤 ~ Service-Oriented Security • ソフトウェア連携に基づくサービスの提供 • アプリケーションと疎結合なアイデンティティ・サービス も提供 グループ企業 業務アプリ SaaS ワークフロー 監査レポート ディレクトリ Service-Oriented Security プロビジョニング フェデレーション 認証・認可 企業内システム 企業内システム Copyright© 2010, Oracle. All rights reserved. 8 オラクルID管理ソリューション製品 • 企業のID管理ソリューションを支援するためのソフトウェアおよび機能 を提供しており、世界中で多くの実績を持っています。 1.基礎的な情報セキュリティ対策 認証・アクセス制御(アクセス管理) アイデンティティ(ID)管理 LDAP IDライフサイクル管理 統合型認証・アクセス制御 連携型認証(フェデレーション) Oracle Internet Directory Oracle Virtual Directory Oracle Directory Server EE Oracle Identity Manager Oracle Access Manager Oracle Identity Federation Oracle STS/Fedlet 2.局所 or 応用的な情報セキュリティ対策 職務分掌違反 Windows環境のシングル・サインオン 認証・アクセス制御の強化 データ・セキュリティの強化 Oracle Identity Analytics Oracle Enterprise Single Sign-On Suite Plus Oracle Adaptive Access Manager Oracle Entitlements Server Oracle Advanced Security Oracle Database Vault Oracle Label Security Oracle Audit Vault Oracle Data Masking DataWall(Secerno) アプリケーション・セキュリティ Oracle WebLogic Security (OPSS) 電子文書の取扱いに関するセキュリティの強化 Oracle Information Rights Management Copyright© 2010, Oracle. All rights reserved. 9 シンプルかつ高機能なシステム監視ツール • 高機能 Oracle Enterprise Manager IdM Pack • 障害解析やコンプライアンスに 役立つ設定管理ツール • 新たに50以上の性能監視項 目を追加 • バージョニングとパラメータの 比較に対応 Directory Services Provisioning • 効率的な監視 • 複数のサービスにまたがる中 央集中型のトラッキングや監 視を実現 Access Management Copyright© 2010, Oracle. All rights reserved. 10 Oracle Identity Navigator • 課題 • 管理者・エンドユーザが IdM サービスを利用するために複 数の画面にアクセスしなけれ ばならない • 監査担当者は各ソフトウェア から監査情報をかき集めなけ ればならない • 利用しているソフトウェアのパ ッチ情報やセキュリティ情報を 収集するのに手間がかかる • Oracle Identity Navigator の提供 IdMソフトウェアの コンソール パーソナライズ されたレポート Copyright© 2010, Oracle. All rights reserved. パッチやセキュリティ に関するRSS Feed 11 Oracle Identity Manager 11g Copyright© 2010, Oracle. All rights reserved. 12 Oracle Identity Manager の役割 コンテンツ管理 システム 人事 システム Trusted Source プロビジョニング (配信) (ユーザー情報の取得) 管理者 ユーザ ・パスワード変更 ・申請 Target System 売上管理 システム リコンシリエーション ・ID情報の管理 ・メンテナンス 顧客情報管理 システム ID管理 データベース ユーザ情報 配信ルール 各種履歴ログ など コネクタ 品質管理 システム OSアカウント 管理 ロール 属性・ルールに基づいた ロール割当て Oracle Identity Manager Copyright© 2010, Oracle. All rights reserved. 入退出管理 システム 13 IDのライフサイクル管理 ポリシー・ロールによる プロビジョニング(自動) ユーザ登録 パスワード変更 ユーザーの部署や役職に 基づいたルールによるID管理 を実現!! リコンシリエー ション パスワード問い合わせの自動化 管理者負荷軽減!! 人事システム 申請・承認ワークフローによる プロビジョニング ユーザ情報の変更 不正アカウントの処理(自動) ユーザ削除 連携対象システム ログ・監査 デプロビジョニング(自動) 承認アカウントのチェック 利用者がセルフサービスにて アクセス権限申請が可能 ID管理者負荷軽減!! 監査で必要とされるレポート は標準で準備!! ログ履歴保存 定期的なアカウント配信 状況のチェック機能!! Copyright© 2010, Oracle. All rights reserved. 14 ソフトウェア構成 対象システム クライアント ユーザー・コンソール Design Console RMI HTTP ユーザー管理 プロビジョニング リコンシリエーション ワークフロー Oracle Identity Manager Oracle SOA Suite Oracle JDeveloper Java HTTP 設定情報 / 履歴情報 レポート Oracle BI Publisher Oracle Database SE or EE JDBC Oracle Weblogic Server アプリケーションサーバ層 Copyright© 2010, Oracle. All rights reserved. リポジトリデータベース層 15 柔軟で使いやすいWebインタフェース マルチタブ 国際化対応 Webインタフェースの特徴 • AJAX を活用することで使いや すさとパフォーマンスの両立 • 透過ウィンドウ • 部分レンダリング • ウィザードによる設定 • 高度な検索機能を標準装備 • 様々な属性を用いた検索 • AND / OR による複数条 件の指定 • Oracle ADF (Application Developement Framework) を活用した製品共通のインタフ ェース 拡張検索 並び替え、Read/Write、独自属性の追加 Copyright© 2010, Oracle. All rights reserved. 16 立場・職務に応じたインタフェースの提供 アカウント 作成・更新 • 立場・職務に応じた画面の提供 • ヘルプデスク • 組織管理者 • システム管理者 組織管理者 • 細かな権限の移譲を実現 • 権限: • 作成、削除、変更(パスワード、プ ロファイル、ステータス)、検索、 閲覧、等 10 種類以上の権限を 用意 • 管理対象: • 属性レベルでの制御 • 組織単位 or 全体 • 割当て: • ロール ヘルプデスク パスワード管理 のみ • ウィザードによるメンテナンス ウィザードを用いた権限委譲のポリシー(認可ポリシー)の定義 Copyright© 2010, Oracle. All rights reserved. 17 組織とロールによる効率的なID管理を実現 • ユーザと組織とロール • ユーザへの権限付与 1:1 1:多 直接割当てられるケース User 直接権限が付与される 1:多 Org User Role 1:多 組織経由で割当てられるケース Role 多:多 組織に所属 User Org 組織に対して ロールが付与 される Role 所属組織に基づいて ロールの権限が 付与される 多:多 Copyright© 2010, Oracle. All rights reserved. 18 効率的なRBACの実現:階層化ロール • (ネスト型ではなく)階層型のロール 子ロールに属するユーザは 親ロールに引き継がれる Employee Employee Manager Manager Director 子ロールは 親ロールの権限を引継ぐ Director 単なるロールのグルーピングではないからこそ効率的な管理が可能 Copyright© 2010, Oracle. All rights reserved. 19 ルールに基づくロールの自動割当て 権限・ポリシーをまとめたロールをユーザーに割り当てることでユーザーの権限を制御 手動または自動にてロールの割当てが可能 ユーザー属性を利用した割当てルール(メンバーシップルール)により自動割当てを実現 “ロールマスタ DB“ からのロール情報の取り込みにも対応 Oracle Identity Manager 技術本部 ロール OIM内の権限 (認可ポリシー) 技術一部 所属 メンバーシップ ルール 組織 = “技術本部” 人事システム 親ロール メンバーシップ ルール 組織 = “技術一部” 配信ポリシー (アクセスポリシー) 申請権限 (リクエストテンプレート) 技術一部 ロール Copyright© 2010, Oracle. All rights reserved. OIMユーザー 技術本部 ロール 技術一部 ロール 親ロールの権限も 割当てられる 20 ユーザ毎に柔軟なプロビジョニングを実現 • ユーザの属性や割当てられたロールに応じて管理対象シ ステム毎の細かな制御が可能 • 例:経理部ユーザは、あるシステムでは物理削除、他システムでは無効化 営業部ロール アクセスポリシー1 自動配信対象 リソースオブジェクト リソースオブジェクト グループウェア グループウェア プロセスフォーム 開発部 ロール リソースオブジェクト コンテンツ管理 プロセスフォーム コンテンツ管理 システム 経理部 ロール アクセスポリシー 2 自動配信対象 リソースオブジェクト リソースオブジェクト 売上管理システム プロセスフォーム Copyright© 2010, Oracle. All rights reserved. 売上管理 システム 21 ワークフロー機能 • 標準化されたワークフローの枠組みを利用 Oracle SOA/BPEL 承認ワークフロー • 独自仕様(10g)から標準言語BPEL採用(11g)へ • 「誰がどの申請ワークフローを実行できるか」の 定義もGUIで設定可能 • Oracle JDeveloper を 用いて独自のワーク フローの定義も可能 • Oracle SOA Suite (BPEL Manager) を 活用 Copyright© 2010, Oracle. All rights reserved. 22 ワークフローはWebブラウザだけで設定可能 • 申請画面 • Request Template • ウェブブラウザで作成可能 • 申請機能 • ユーザにロールやアカウン ト、アクセス権の申請を行わ せるインタフェースを提供 • 複数のユーザや複数のアカ ウントを一度に申請する一 活リクエストにも対応 • さらに一括リクエストの中で 個別の承認ワークフローを 走らせることも可能 Copyright© 2010, Oracle. All rights reserved. 23 エージェントレス・コネクタ 主要コネクタ IBM DB2/UDB Database Microsoft SQL Server Database Oracle Database Sybase ASE Databse Database Table Oracle Databse Application Table Sybase ASE Databse Application Table Directory Oracle Internet Directory Microsoft Active Directory Novell eDirectory 旧Sun Java System Directory Server Database User Enterprise Applicationsr OS Enterprise Messaging Oracle E-Business Suite PeopleSoft Siebel SAP JDEdwards UNIX Telnet UNIX SSH IBM Lotus Notes/Domino Microsoft Exchange • 管理対象システムにソフトウェアのインストールが不要な “エージェン トレス” コネクタのアーキテクチャを採用 • データベースのテクノロジ(ストアード・プロシージャ)を活用することで 非常に高速な取り込みを実現 • 前バージョン比 10 倍 Copyright© 2010, Oracle. All rights reserved. 24 Generic Technology Connector (汎用テクノロジコネクタ) SPMLとFlat Fileによる汎用的なコネクタ OIM Serverの標準機能として実装済み コネクタのインポートは不要。ウィザード形式のWeb画面で作成できる 以下の2つの汎用テクノロジコネクタのライセンスは不要 – – Flat Fileによるリコンシリエーション用コネクタ SPMLによるプロビジョニング用コネクタ ユーザー情報 取り込み Oracle Identity Manager SPML ユーザー情報配信 Flat File SPML GUIによる設定 Copyright© 2010, Oracle. All rights reserved. 25 SaaS や外部アプリケーションとの連携 ウェブサービス(SPML)によるプロビジョニング 業務アプリ SaaS グループ企業 ユーザ管理(非同期型) ロール管理(非同期型) その他(同期型) ユーザ作成 ユーザ更新 ユーザ削除 ユーザの一時停止 ユーザの再開 ロールの割当て ロールの剥奪 ロール作成 ロール更新 ロール削除 ユーザ名の検証 ユーザ名の生成 ユーザ状態の確認 List Targets SPML Oracle Identity Manager ID のライフサイクル管理 Copyright© 2010, Oracle. All rights reserved. 26 対象システムとの処理 1. 3. コネクターを新規開発して処理 独自アプリケーションなどとの接続用に、コネクターパ ックを全く使用せず、新規開発 アダプター・ファクトリー上で、既存の部品を組み合わ せる方式で開発 細かい仕様の実装にはJavaによるコーディングも可能 Copyright© 2010, Oracle. All rights reserved. コネクター カスタ パック マイズ 新規開発 コネクター System C コネクターパックが対応しきれない配信要件のシステム との接続用に、既存のコネクタを一部カスタマイズ OIMに付属するGUIツール(アダプター・ファクトリー) 上でカスタマイズを実装 コネクターパックをテンプレートに使用可能 System B コネクターパックをカスタマイズして処理 コネクター パック System A 2. 各システム向けにOracleからご提供するコネクタを使用 開発済アダプター、設定、リコンシリエーションタスク の集合体 Oracle Identity Manager コネクターパック (有償) を使用して処理 開発ツール:Adapter Factory 27 Adapter Factory • • • • • GUIによるアダプター設計のためのツール お客様の要望にあわせたコネクタのカスタマイズ・新規コネクタの 開発を容易に コーディングを減らし、TCOダウン JavaやIdentity ManagerのAPIがすでに取り込まれているため、簡単なアダ プターであればGUIのみでの設計が可能 カスタムJavaプログラムのコール Java Utilityのコール Copyright© 2010, Oracle. All rights reserved. 28 パスワード管理とチャレンジQA • ユーザー自身にてセルフサービス機能によりパスワード変更が可能 • チャレンジQAを設定することパスワード忘れ時に自身でのリセットが可能 パスワード変更画面にて設定されている パスワードポリシーを表示 チャンレジQAの内容や設定数、正解数 は設定にて変更可能 Copyright© 2010, Oracle. All rights reserved. 29 パスワード変更と変更同期 変更したパスワードをリアルタイムに対象システムへ同期可能 OIMユーザー情報 ユーザID パスワード 姓 パスワード変更 名 UserA リソースオブジェクト リソースA ターゲット:リソースA 配信ユーザ情報 ******* 山田 太郎 ユーザID リソースA用 OIMパスワード同期タスク パスワード UserA ******* OIMパスワード同期アダプタ リソースB用 パスワード変更タスク パスワード変更アダプタ リソースオブジェクト リソースB ターゲット:リソースB 配信ユーザ情報 リソースB用 OIMパスワード同期タスク OIMパスワード同期アダプタ ユーザID パスワード UserA ******* リソースB用 パスワード変更タスク パスワード変更アダプタ Copyright© 2010, Oracle. All rights reserved. 30 不正アカウント検知 • プロビジョニング先ターゲットへの定期的な変更検出タスク(Targetリコンシリ エーション)により、対象システムに直接作成されかつOIMでは管理外のアカウ ントを検知 • 悪意による不正アカウントや動作確認用の一時アカウントを検出 Oracle Identity Manager リソースA 配信済みアカウント一覧 UserA UserB UserC UserD 1. アカウントの配信 対象システムA ユーザー情報 取り込み UserA UserB test01 UserC UserD 2. システムに 直接アカウント追加 3. ターゲットリコンシリエーション (OIM保持配信ユーザー情報と対象システム側のユーザー情報を比較) 不正作成ID(test01)の検出 Copyright© 2010, Oracle. All rights reserved. 31 不正属性操作の検知/確認 • プロビジョニング先ターゲットへの定期的な変更検出タスク(Targetリコン シリエーション)により、対象システムでの不正属性変更を検知 • 検知した不正属性操作をレポートにて確認可能 Oracle Identity Manager リソースオブジェクト リソースA ターゲット:リソースA 配信ユーザ情報 UserID : UserA Last Name : User First Name : A Email : [email protected] Group : G001 Privilege :P1,P2 1. アカウントの配信 ユーザー情報 取り込み UserAの情報 2. システムにて Email属性の直接更新 UserID : UserA Last Name : User 対象システムA First Name : A Email : [email protected] Group : G001 Privilege :P1,P2 3. ターゲットリコンシリエーション (OIM保持配信情報と対象システム側のユーザー情報を比較) 不正属性変更 (Email属性)の検出 Copyright© 2010, Oracle. All rights reserved. 32 不正属性操作の検知/確認 • 不正属性操作をレポートとして表示 →ファイングレイン権限例外レポート 本来あるべき値 Copyright© 2010, Oracle. All rights reserved. 現在の不正属性値 33 統制外アカウントの検知/確認 • プロビジョニング先ターゲットへの定期的な変更検出タスクにより、 対象システムでの統制外アカウントを検知 • 検知した統制外アカウントをレポートにて確認可能 “統制外アカウント”とは以下3種類のアカウントを指します。 OIM側での把握 A) 削除を配信 配信先システム あるべき状態 実際の状態 OIMアカウントが削除されているにもかかわらずターゲット・アカウントが存在している B) 配信していない OIMでアカウントを配信していないにもかかわらずターゲット・アカウントが存在している 配信先システムに削除を指令 C) OIMから削除を処理が行われているにもかかわらずターゲット・アカウントが存在している Copyright© 2010, Oracle. All rights reserved. 34 統制外アカウントの検知/確認 • 統制外アカウントをレポートとして表示 →統制外アカウントレポート Copyright© 2010, Oracle. All rights reserved. 35 レポート • Oracle BI Publisherにて全てのレポートを表示 • Oracle BI Publisherの機能を利用することが可能で、レポート毎に出力形式 を選択でき、レイアウト変更もWebインターフェースより実施可能 • レポート出力のスケジューリングも可能 出力形式(PDF、Excel、PPTなど)を 選択可能 レポートフォーマットをWebUIより 変更可能 Copyright© 2010, Oracle. All rights reserved. 36 アテステーション(アカウント配信の棚卸) 定期的なアカウント配信状況の棚卸作業 – ターゲットシステム上にアカウントを持つ権利があるのかをチェック – 容認、却下、否認、委任のアクション定義が可能 各部門長、システム管理社などに棚卸作業を委任し、担当を割り振ることも可能 棚卸実施 棚卸の設定、 定期的な依頼 アクションを定義 棚卸進捗確認 レポート作成 Copyright© 2010, Oracle. All rights reserved. 37 Oracle Identity Analytics との連携 • 権限を付与する前にポリシー違反を検知 Oracle Identity Manager リソースの承認 ワークフロー Oracle Identity Analytics 1 IT監査ポリシー 検証リクエスト 競合分析 リソースのプロ ビジョニング・ ワークフロー 3 2 IT監査 ポリシー シミュレーション IT監査ポリシー 検証結果 企業の監査ポリシーを 満たした権限の プロビジョニング Copyright© 2010, Oracle. All rights reserved. 38 Oracle Access Manager との連携 • Oracle Access Manager のユーザ情報を管理 • • • • 人事情報などと連動した ID ライフサイクル管理の自動化 管理者向けコンソールによる個別管理 ワークフローによる利用申請・承認 ユーザによるセルフサービス • パスワード/属性変更など • シングルサインオン利用権限に関する監査情報 Access Manager SSOユーザ IDの配信 人事情報 Copyright© 2006, Oracle. All rights reserved. Oracle Identity Manager 不正アカウント 検知 Copyright© 2010, Oracle. All rights reserved. ユーザー情報(LDAP) 39 まとめ • オラクルの ID 管理ソリューションはオープンで標準に基 づいたソリューションです • サービス志向なアーキテクチャを外部サービスとの連携 にも内部的なソフトウェア連携にも採用しています • Oracle Identity Manager 11g はユーザ・インタフェース、 機能、性能、アーキテクチャすべてが新しくなりました • Oracle Identity Analytics 11g と組み合わせることで、社 内外の “ID 管理” と “ID の統制” を実現します Copyright© 2010, Oracle. All rights reserved. 40 Oracle Access Manager 11g Copyright© 2010, Oracle. All rights reserved. 41 アクセス制御の一元化とSSOを実現 Oracle Access Manager ■Oracle Access Manager とは? ■Oracle Access Manager 導入のメリット • シングルサインオンおよび、Webサイトへのアクセ ス制御を実現し、監査ログを記録する製品 ■Oracle Access Manager の機能 • 統合認証管理:シングルサインオン機能 • 統合アクセス制御、管理:複数Webシステムへの一元的 なアクセス制御、(柔軟できめ細かいアクセス認可ルール の設定) • 監査レポート機能:いつ, 誰が, 何にアクセスしたかを記録 シングルサインオンによるユーザ利便性の向上 均一なレベルのセキュリティの保持 本人確認、権限付与の一元化による信頼性向上 委任管理による管理コスト低減 文書管理 システム 業務アプリ Webシステム 各システムの認証・認可はAccess Managerで実施 Web Gate Web Gate Web Gate Oracle Access Manager • • • • Cookie クライアントはチケットを利用して各システムにアクセス Copyright© 2010, Oracle. All rights reserved. 42 Oracle Access Management Suite Plus Entitlements Server Adaptive Access Manager • 資格情報の管理 • リスクベース認証 • 粒度の細かい (Fine Grained ) 認可 • リアルタイムでの 不正防止 Access Manager • Web アクセス制御/認証 • シングルサインオン • ID のアサート Identity Federation • パートナ SSO および ID フェデレーション • Fedlet SP による連携 Copyright© 2010, Oracle. All rights reserved. OpenSSO STS • Security Token 管理 • ID 情報の伝搬 43 アクセス管理コンポーネントの全体像 Copyright© 2010, Oracle. All rights reserved. 44 Oracle Access Managerの主要機能と効果 シングル・サインオン •ユーザ業務効率の向上 •パスワード忘れ防止 アクセス制御 ユーザはたった一度のログオンで複数の システムをログオン操作なしで利用できる ようになります。 認証済みユーザであっても、対象シ ステムを利用する権限がない場合、 アクセスを拒否することができます。 •不必要な情報開示の防止 •情報事故の予防 統合認証 ユーザ認証を一箇所に集約すること で、「いつ、誰が、どのシステムへア クセスしたか」というアクセス証跡を 一元的に取得することができます。 Copyright© 2010, Oracle. All rights reserved. •アクセス状況の分析 •有事の際の追跡の容易化 45 Oracle Access Manager 11g 特徴 利点 モジュール分け可能なアー キテクチャ 管理サーバと実行用サーバの分離により個々に独立したオ ペレーションが可能 安全なポリシーモデル デフォルト設定ではアクセスは拒否(アクセスするには、許可 するポリシーを作成することが必要) シンプルになったインストー ルおよびコンフィグ 1つのパッケージにて、インストールおよび一連のコンフィグ が可能 セッション管理 セッションのトラッキングや強制削除が可能 診断およびモニタリング リアルタイムでキーとなる運用指標を監視することが可能 エージェントの集中管理 管理コンソールにて、接続されているすべてのエージェントを 一元管理するビューを提供 下位互換性 10g WebGate および 10g Mod_OSSO との互換性を確保 Windows Native AuthN Windows デスクトップと Web の SSO を実現 豊富なユーティリティ リモート登録ユーティリティ、リモートアクセステスタ、ポリシー 操作のための WLST コマンド Copyright© 2010, Oracle. All rights reserved. 46 Oracle Access Manager 11g OAM 10g との主な違い 項目 OAM 10g OAM 11g デプロイ スタンド・アロン・サーバ コンテナにデプロイ LDAP 認証 システム全体で定義 認証スキームにて定義 利用可能なエージェント WebGate WebGate および Mod_OSSO セッション管理 ステートレス(クッキー管理) ステートフル(サーバ管理) アプリケーション連携 OAM 構成ツール UI またはコマンドラインか らのリモート登録ツール ID 管理 OAM Identity Server 任意の ID 管理ツール (デフォルトは OIM 11g) ポリシーモデル Open (デフォルトは許可) Closed (デフォルトは拒否) ポリシーストア LDAP RDBMS 構成ストア LDAP ファイル Copyright© 2010, Oracle. All rights reserved. 47 OAM 11g 全体構成 パートナアプリ ポリシーストア用データ ベース ユーザ ID ストア用ディ レクトリサーバ 社内アプリ Copyright© 2010, Oracle. All rights reserved. 48 Oracle Access Manager 11g の特徴 アーキテクチャ Protocol Compatibility Framework Authentication Engine Single Sign-On Engine OAM Server Session Management Token Processing OAM Server Authorization Service Oracle Platform Security Services Copyright© 2010, Oracle. All rights reserved. 49 Oracle Access Manager 11g の特徴 デプロイメント WebLogic Administration Server WebLogic Admin Console OAM 11g Admin Server 共有情報 • 実行環境と管理サ ーバを分離 1. ポリシー 2. コンフィグ情報 3. ユーザセッション WebLogic Managed Server(s) • 構成情報およびポ リシーの共有 • すべての実行環境 にてユーザセッショ ンを共有 OAM 11g Runtime Server Copyright© 2010, Oracle. All rights reserved. 50 Oracle Access Manager 11g の特徴 アクセス制御 1. 未認証のアクセス 7. アプリへのアクセス OAM エージェント 2. 中央のログインページにリダイレクト アプリ 3. クレデンシャル情報のサブミット 5. セッション確認および認可 エンドユーザ クレデンシャル 情報の収集 4. 認証 6. 認可 認証 エンジン 認可 エンジン Oracle Access Manager 11g Oracle Weblogic Server Copyright© 2010, Oracle. All rights reserved. 51 Oracle Access Manager 11g の特徴 マルチレベルの認証 Copyright© 2010, Oracle. All rights reserved. 52 Oracle Access Manager 11g の特徴 ポリシーモデル • デフォルトで安全に(ポリ シーにマッチしていなけ ればデフォルトは拒否) • OSSO および OAM 10g からのスムーズに移行で きるパスの確立 • ポリシー作成のプロセス およびアプリケーション連 携プロセスの簡略化 Copyright© 2010, Oracle. All rights reserved. 53 Oracle Access Manager 11g の特徴 インストールおよびコンフィグレーション • インストールプロセス • OUI (Oracle Universal Installer) にてインストール • インストールプロセスにおいて、ホストマシンにソフトウェアの 全てのバイナリをコピー • OUI では製品のコンフィグレーションは行わない • 2ステップでのコンフィグレーションプロセス • RCU (Repository Creation Utility) を使ったデータベーススキ ーマのコンフィグレーション • WebLogic Configuraion Wizard を使った製品のコンフィグレ ーションおよびデプロイメント Copyright© 2010, Oracle. All rights reserved. 54 Oracle Access Manager 11g の特徴 クレデンシャル情報の収集 • OAM 10g: Webgate にて収集 • 認証用の WebGate を設定もしくは全ての WebGate にて クレデンシャル情報を収集するように設定 • OAM 11g: 実行サーバにて収集 • ログインページが OAM 実行サーバにて提供 • OAM 実行サーバは別の Web サーバ上のログインページに リダイレクトすることも可能 • ログインページの場所に関係なく、クレデンシャル情報は OAM 実行サーバに送信され収集される • ログインページは out-of-the-box で提供される Copyright© 2010, Oracle. All rights reserved. 55 Oracle Access Manager 11g の特徴 セッション管理 5. 認証されたアクセス 7. アプリへのアクセス 1. 認証(匿名) WebGate アプリ 4. セッション ID を取得し認証完了 6. セッション確認および認可 エンドユーザ ポリシー エンジン セッション削除 管理者 3. セッショ ン ID 返信 2. セッショ ン生成 セッション 管理 Oracle Access Manager 11g Oracle Weblogic Server Copyright© 2010, Oracle. All rights reserved. • 詳細なセキュリティコンテキスト 情報を持ったステートフルなセッ ション • 高性能で分散されたキャッシュを 使ったアクティブなユーザセッショ ンのトラッキング • 1ユーザが一度に生成できる同 時セッション数の制御 • セッションの強制終了 • 不正ユーザのアクセス防止 56 Oracle Access Manager 11g の特徴 セッションデータストレージのメカニズム SME (Session Management Engine) データベース • 大規模利用(数百万の同時ユーザログインなど)時に耐障害性および拡張性を 提供 Copyright© 2010, Oracle. All rights reserved. 57 Oracle Access Manager 11g の特徴 セッションの共通設定 • 全てのターゲットアプリケーションに設定されるセッション の存続期間 • 全てのターゲットアプリケーションに設定されるアイドル・ タイムアウト • 1ユーザ当たりの最大セッション数 Copyright© 2010, Oracle. All rights reserved. 58 Oracle Access Manager 11g の特徴 その他のセッション管理機能 • 永続ストレージを使用しないセッション同期 • 自動セッションフェールオーバ • グローバルで有効なセッション • 全ての OAM 実行サーバにて同じセッションのセットが共有される • クッキーのみでのセッション管理は 11gR1 では不可 Copyright© 2010, Oracle. All rights reserved. 59 Oracle Access Manager 11g の特徴 エージェントの一元管理 • 1つの管理コンソールにてそ れぞれのエージェントを管理 • Mod_OSSO、 OAM 10g WebGate および OAM 11g WebGate を同時に管理・構 成することが可能(将来は、 OpenSSO のエージェントも サポートを予定) • 個々のエージェントの運用情 報を管理することが可能 Copyright© 2010, Oracle. All rights reserved. 60 Oracle Access Manager 11g の特徴 監査およびロギング • OAM 11g は Oracle FMW で提供される Common Audit Framework にて監査が可能 • Common Audit Framework にて監査用データベース に永続的なログを出力することが可 • BI Publisher にて監査レポートを生成 • OAM 11g のロギングも Oracle FMW にて統一 • ログレベルは WLST コマンドまたは EM アプリケーシ ョンサーバコントロールにて変更可能 Copyright© 2010, Oracle. All rights reserved. 61 Oracle Access Manager 11g の特徴 監査イベントの例 監査イベントのタイプ イベント Authentication Credentials collected Authentication succeeded Authentication failed Authorization Authorization succeeded Authorization failed Administrative Authentication scheme created Administration console login failed Server configuration changed Copyright© 2010, Oracle. All rights reserved. 62 Oracle Access Manager 11g の特徴 運用指標に基づいたモニタリング • 運用指標はエージェント (WebGate)およびサー バの両方で保持 • 運用指標は、お客様環 境の運用状況に対し、幅 広い観点からのモニタリ ング基準を提供 • 11g WebGate の指標に はバージョン、ホスト、イ ンストールされたディレク トリといった情報も含まれ る • 指標を EM Grid Control と連携し、詳細分析のた めの統計グラフを提供す ることも可能 Copyright© 2010, Oracle. All rights reserved. 63 Oracle Access Manager 11g の特徴 サポートされている認証方式 • • • • • フォームベース認証 ベーシック認証 X.509 認証 OAAM 仮想パッドベース認証 Kerberos ベース認証 (windows native authentication) • 匿名認証 Copyright© 2010, Oracle. All rights reserved. 64 Oracle Access Manager 11g の特徴 拡張性 • 11g R1 では拡張フレームワークは未実装 • 拡張フレームワークは次期バージョンを予定 • 拡張フレームワークの概要 • Java ベースの認証・認可モジュール • OAM 11g モジュールで OAM 10g C++ ベースのプ ラグインを置き換え • OAM 10g プラグインは再度実装することが必要 Copyright© 2010, Oracle. All rights reserved. 65 Oracle Access Manager 11g の特徴 ユーティリティ: Access Tester • マニュアルで操作可能な GUI モード • 自動テストが可能なコマンド ラインモード • ポータブルなスタンドアロン Java アプリ – Java [-Dxxx=“yyy”] –jar oamtest.jar – 2 jars: oamtest.jar, napapi.jar • OAM に同梱 – 場所: $Oracle_Home /oam/server/tester Copyright© 2010, Oracle. All rights reserved. 66 Oracle Identity Federation との連携 Oracle Access ManagerとOracle Identity Federationを連携 させることで、分散されたID情報環境、異なる認証基盤製品に おいてもシングルサインオン環境を提供します。 社外ネットワーク ID フェデレーション 連携 連携 Access Manager Identity Federation SAMLもしくは WS-Fed対応サーバ ログイン 社内で認証されていればアクセス可能! アクセス制御 Web Application SaaS等 社内ネットワーク Copyright© 2010, Oracle. All rights reserved. 67 Oracle Adaptive Access Manager との 連携 • Native 連携 • 認証時に Pre/Post 認証ルールを 実行 • ルール用 API を呼び出す • OAAMBasic 認証スキーマは、 out-of-the-box で提供 • Advanced 連携 • 仮想認証デバイスによる認証 • 不正検出ルールの設定 • KBA/OTP による認証 Copyright© 2010, Oracle. All rights reserved. 68 まとめ • Oracle Access Manager はセキュアで利便性の高い認 証基盤を提供いたします • Oracle FMW 11g アーキテクチャをベースとし、高い拡張 性、可用性、パフォーマンスを実現いたします • 親和性の高い製品と組み合わせることにより、よりセキュ アなインフラやコンプライアンスに対応したセキュリティ基 盤を構築することが可能となります Copyright© 2010, Oracle. All rights reserved. 69 おわりに Copyright© 2010, Oracle. All rights reserved. 70 Identity Manager / Identity Analytics に適した サーバのご提案 • 最速のハードウェアと最良のソフトウェアの組み合わせ × Sun Fire X4470 Sun Fire X4270 M2 Sun Fire X2270 M2 • わずか3RUで6コア/ 8コアのインテル Xeon 7500 系プロセッサを4ソケット 搭載 • SPECompM2001, SPECompL2001で世界記録達成 • 2RUでXeon 5600系で最速 (3.33GHz)のX5680を2ソケット 搭載 • SPECjbb2005 (with Single JVM) で世界記録達成 Copyright© 2010, Oracle. All rights reserved. • 1RUでインテルXeon 5600系プロセ ッサを2ソケット搭載 • SPECompM2001で世界記録 達成 71 補足情報 • 製品のダウンロード • http://www.oracle.com/technetwork/middleware/downloads/oid-11g161194.html • Oracle Identity Manager • Oracle Identity Manager 11g 製品ドキュメント • http://download.oracle.com/docs/cd/E14571_01/im.htm#oim • Oracle Access Manager 11g 製品ドキュメント • http://download.oracle.com/docs/cd/E14571_01/im.htm#oam Copyright© 2010, Oracle. All rights reserved. 72 OTN×ダイセミ でスキルアップ!! ・一般的な技術問題解決方法などを知りたい! ・セミナ資料など技術コンテンツがほしい! Oracle Technology Network(OTN)を御活用下さい。 http://otn.oracle.co.jp/forum/index.jspa?categoryID=2 一般的技術問題解決にはOTN掲示版の 「データベース一般」をご活用ください ※OTN掲示版は、基本的にOracleユーザー有志からの回答となるため100%回答があるとは限りません。 ただ、過去の履歴を見ると、質問の大多数に関してなんらかの回答が書き込まれております。 http://www.oracle.com/technology/global/jp/ondemand/otn-seminar/index.html 過去のセミナ資料、動画コンテンツはOTNの 「OTNセミナー オンデマンド コンテンツ」へ ※ダイセミ事務局にダイセミ資料を請求頂いても、お受けできない可能性がございますので予めご了承ください。 ダイセミ資料はOTNコンテンツ オン デマンドか、セミナ実施時間内にダウンロード頂くようお願い致します。 Copyright© 2010, Oracle. All rights reserved. 73 OTNセミナー オンデマンド コンテンツ ダイセミで実施された技術コンテンツを動画で配信中!! ダイセミのライブ感はそのままに、お好きな時間で受講頂けます。 最新情報つぶやき中 oracletechnetjp ・人気コンテンツは? ・お勧め情報 ・公開予告 など OTN オンデマンド ※掲載のコンテンツ内容は予告なく変更になる可能性があります。 期間限定での配信コンテンツも含まれております。お早めにダウンロード頂くことをお勧めいたします。 Copyright© 2010, Oracle. All rights reserved. 74 Oracle エンジニアのための技術情報サイト オラクルエンジニア通信 http://blogs.oracle.com/oracle4engineer/ 最新情報つぶやき中 oracletechnetjp • 技術資料 • ダイセミの過去資料や製品ホワイト ペーパー、スキルアップ資料などを 多様な方法で検索できます • キーワード検索、レベル別、カテゴ リ別、製品・機能別 • コラム • オラクル製品に関する技術コラムを 毎週お届けします • 決してニッチではなく、誰もが明日 から使える技術の「あ、そうだったん だ!」をお届けします オラクルエンジニア通信 こんな資料が人気です 5ヶ月連続で「RAC/ASMインストール資料」が第一位。 根強い人気のチュートリアル系コンテンツですが、新たに 「Oracle Enterprise Managerインストール資料」が第四位に ランクインしました。 パフォーマンス・チューニング コンテンツを集めた特集ページも 好評です。 Copyright© 2010, Oracle. All rights reserved. 75 ITプロジェクト全般に渡る無償支援サービス Oracle Direct Conciergeサービス ■パフォーマンス診断サービス ■システム構成診断サービス •Webシステム ボトルネック診断サービス NEW •データベースパフォーマンス 診断サービス •Oracle Database構成相談サービス •サーバー統合支援サービス •仮想化アセスメントサービス •メインフレーム資産活用相談サービス •BI EEアセスメントサービス •簡易業務診断サービス ■移行支援サービス •SQL Serverからの移行支援サービス •DB2からの移行支援サービス •Sybaseからの移行支援サービス •MySQLからの移行支援サービス •Postgre SQLからの移行支援サービス •Accessからの移行支援サービス •Oracle Application ServerからWeblogicへ 移行支援サービス NEW ■バージョンアップ支援サービス •Oracle Databaseバージョンアップ支援サービス •Weblogic Serverバージョンアップ支援サービス NEW •Oracle Developer/2000(Froms/Reports) Webアップグレード相談サービス オラクル社のエンジニアが 直接ご支援します お気軽にご活用ください! オラクル 無償支援 Copyright© 2010, Oracle. All rights reserved. 検索 76 あなたにいちばん近いオラクル Oracle Direct まずはお問合せください Oracle Direct 検索 システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。 システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。 フリーダイヤル Web問い合わせフォーム 専用お問い合わせフォームにてご相談内容を承ります。 http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28 ※フォームの入力には、Oracle Direct Seminar申込時と同じ ログインが必要となります。 ※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録さ れている連絡先が最新のものになっているか、ご確認下さい。 0120-155-096 ※月曜~金曜 9:00~12:00、13:00~18:00 Copyright© 2010, Oracle. All rights reserved. (祝日および年末年始除く) 77
© Copyright 2024 ExpyDoc
