<Insert Picture Here>

日本オラクル株式会社

アクセス制御の一元化とSSOを実現Oracle Access Manager 11g

Copyright© 2011, Oracle. All rights reserved.

以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント（確約）するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。

OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。

Copyright© 2011, Oracle. All rights reserved.

アクセス制御の一元化とSSOを実現Oracle Access Manager

Oracle Access

Manager

各システムの認証・認可はAccess Managerで実施 クライアントはチケットを利用して各システムにアクセス

Web G

ate

Web G

ate

Web G

ate

Cookie

Webシステム

文書管理システム

業務アプリ

■Oracle Access Manager の機能

■Oracle Access Manager 導入のメリット

• 統合認証管理：シングルサインオン機能• 統合アクセス制御、管理：複数Webシステムへの一元的なアクセス制御、（柔軟できめ細かいアクセス認可ルールの設定）

• 監査レポート機能：いつ, 誰が, 何にアクセスしたかを記録

• シングルサインオンによるユーザ利便性の向上

• 均一なレベルのセキュリティの保持

• 本人確認、権限付与の一元化による信頼性向上

• 委任管理による管理コスト低減

■Oracle Access Manager とは？• シングルサインオンおよび、Webサイトへのアクセス制御を実現し、監査ログを記録する製品

3

Copyright© 2011, Oracle. All rights reserved.

Oracle Access Management Suite Plus

Entitlements Server Adaptive Access Manager

Access Manager

• 資格情報の管理

• 粒度の細かい（Fine Grained ）認可

• Web アクセス制御/認証

• シングルサインオン

• ID のアサート

• リスクベース認証

• リアルタイムでの不正防止

Identity Federation

• パートナ SSO およびID フェデレーション

• Fedlet SP による連携

OpenSSO STS

• Security Token 管理

• ID 情報の伝搬

4

Copyright© 2011, Oracle. All rights reserved.

アクセス管理コンポーネントの全体像

5

Copyright© 2011, Oracle. All rights reserved.

Oracle Access Managerの主要機能と効果

シングル・サインオン ユーザはたった一度のログオンで複数の

システムをログオン操作なしで利用できる

ようになります。

アクセス制御 認証済みユーザであっても、対象シ

ステムを利用する権限がない場合、

アクセスを拒否することができます。

統合認証 ユーザ認証を一箇所に集約すること

で、「いつ、誰が、どのシステムへア

クセスしたか」というアクセス証跡を

一元的に取得することができます。

•ユーザ業務効率の向上

•パスワード忘れ防止

•不必要な情報開示の防止

•情報事故の予防

•アクセス状況の分析

•有事の際の追跡の容易化

6

Copyright© 2011, Oracle. All rights reserved.

Oracle Access Manager 11g

特徴 利点

モジュール分け可能なアーキテクチャ

管理サーバと実行用サーバの分離により個々に独立したオペレーションが可能

安全なポリシーモデル デフォルト設定ではアクセスは拒否（アクセスするには、許可するポリシーを作成することが必要）

シンプルになったインストールおよびコンフィグ

１つのパッケージにて、インストールおよび一連のコンフィグが可能

セッション管理 セッションのトラッキングや強制削除が可能

診断およびモニタリング リアルタイムでキーとなる運用指標を監視することが可能

エージェントの集中管理 管理コンソールにて、接続されているすべてのエージェントを一元管理するビューを提供

下位互換性 10g WebGate および 10g Mod_OSSO との互換性を確保

Windows Native AuthN Windows デスクトップと Web の SSO を実現

豊富なユーティリティ リモート登録ユーティリティ、リモートアクセステスタ、ポリシー操作のための WLST コマンド

7

Copyright© 2011, Oracle. All rights reserved.

Oracle Access Manager 11gOAM 10g との主な違い

項目 OAM 10g OAM 11g

デプロイ スタンド・アロン・サーバ コンテナにデプロイ

LDAP 認証 システム全体で定義 認証スキームにて定義

利用可能なエージェント WebGate WebGate およびMod_OSSO

セッション管理 ステートレス（クッキー管理） ステートフル（サーバ管理）

アプリケーション連携 OAM 構成ツール UI またはコマンドラインからのリモート登録ツール

ID 管理 OAM Identity Server 任意の ID 管理ツール（デフォルトは OIM 11g）

ポリシーモデル Open （デフォルトは許可） Closed （デフォルトは拒否）

ポリシーストア LDAP RDBMS

構成ストア LDAP ファイル

8

Copyright© 2011, Oracle. All rights reserved.

ポリシーストア用データ

ベース

ユーザ ID ストア用ディ

レクトリサーバ

パートナアプリ

社内アプリ

OAM 11g 全体構成

9

Copyright© 2011, Oracle. All rights reserved.

Protocol Compatibility Framework

OAM Server

Authorization Service

Oracle Platform Security Services

Single Sign-On

Engine

Token Processing

Authentication

Engine

Session

Management

OAM Server

Oracle Access Manager 11g の特徴アーキテクチャ

10

Copyright© 2011, Oracle. All rights reserved.

Oracle Access Manager 11gの特徴デプロイメント

• 実行環境と管理サーバを分離

• 構成情報およびポリシーの共有

• すべての実行環境にてユーザセッションを共有

WebLogic Administration Server

WebLogic Admin

Console

OAM 11g Admin Server

OAM 11g Runtime Server

共有情報

WebLogic Managed Server(s)

1. ポリシー

2. コンフィグ情報

3. ユーザセッション

11

Copyright© 2011, Oracle. All rights reserved.

Oracle Access Manager 11gの特徴アクセス制御

エンドユーザ

4. 認証 6. 認可

Oracle Access Manager 11g

Oracle Weblogic Server

3. クレデンシャル情報のサブミット

1. 未認証のアクセス 7. アプリへのアクセス

5. セッション確認および認可

OAM エージェント

アプリ

クレデンシャル

情報の収集

2. 中央のログインページにリダイレクト

認証

エンジン

認可

エンジン

12

Copyright© 2011, Oracle. All rights reserved.

Oracle Access Manager 11gの特徴マルチレベルの認証

13

Copyright© 2011, Oracle. All rights reserved.

Oracle Access Manager 11g の特徴ポリシーモデル

• デフォルトで安全に（ポリシーにマッチしていなければデフォルトは拒否）

• OSSO および OAM 10g

からのスムーズに移行できるパスの確立

• ポリシー作成のプロセスおよびアプリケーション連携プロセスの簡略化

14

Copyright© 2011, Oracle. All rights reserved.

• インストールプロセス• OUI (Oracle Universal Installer) にてインストール

• インストールプロセスにおいて、ホストマシンにソフトウェアの全てのバイナリをコピー

• OUI では製品のコンフィグレーションは行わない

• ２ステップでのコンフィグレーションプロセス• RCU (Repository Creation Utility) を使ったデータベーススキーマのコンフィグレーション

• WebLogic Configuraion Wizard を使った製品のコンフィグレーションおよびデプロイメント

Oracle Access Manager 11g の特徴インストールおよびコンフィグレーション

15

Copyright© 2011, Oracle. All rights reserved.

• OAM 10g: Webgate にて収集• 認証用の WebGate を設定もしくは全ての WebGate にてクレデンシャル情報を収集するように設定

• OAM 11g: 実行サーバにて収集• ログインページが OAM 実行サーバにて提供

• OAM 実行サーバは別の Web サーバ上のログインページにリダイレクトすることも可能

• ログインページの場所に関係なく、クレデンシャル情報は OAM 実行サーバに送信され収集される

• ログインページは out-of-the-box で提供される

Oracle Access Manager 11g の特徴クレデンシャル情報の収集

16

Copyright© 2011, Oracle. All rights reserved.

ポリシー

エンジン

セッション

管理

エンドユーザ

2. セッショ

ン生成

3. セッショ

ン ID 返信

Oracle Access Manager 11g

Oracle Weblogic Server

1. 認証（匿名）

4. セッション ID を取得し認証完了

5. 認証されたアクセス 7. アプリへのアクセス

6. セッション確認および認可

WebGate

アプリ

管理者

セッション削除

Oracle Access Manager 11g の特徴セッション管理

• 詳細なセキュリティコンテキスト情報を持ったステートフルなセッション

• 高性能で分散されたキャッシュを使ったアクティブなユーザセッションのトラッキング

• １ユーザが一度に生成できる同時セッション数の制御

• セッションの強制終了

• 不正ユーザのアクセス防止

17

Copyright© 2011, Oracle. All rights reserved.

SME (Session Management Engine) データベース

• 大規模利用（数百万の同時ユーザログインなど）時に耐障害性および拡張性を

提供

Oracle Access Manager 11g の特徴セッションデータストレージのメカニズム

18

Copyright© 2011, Oracle. All rights reserved.

• 全てのターゲットアプリケーションに設定されるセッションの存続期間

• 全てのターゲットアプリケーションに設定されるアイドル・タイムアウト

• １ユーザ当たりの最大セッション数

Oracle Access Manager 11g の特徴セッションの共通設定

19

Copyright© 2011, Oracle. All rights reserved.

• 永続ストレージを使用しないセッション同期

• 自動セッションフェールオーバ

• グローバルで有効なセッション• 全ての OAM 実行サーバにて同じセッションのセットが共有される

• クッキーのみでのセッション管理は 11gR1 では不可

Oracle Access Manager 11g の特徴その他のセッション管理機能

20

Copyright© 2011, Oracle. All rights reserved.

• 1つの管理コンソールにてそれぞれのエージェントを管理

• Mod_OSSO、 OAM 10g

WebGate および OAM 11g

WebGate を同時に管理・構成することが可能（将来は、OpenSSO のエージェントもサポートを予定）

• 個々のエージェントの運用情報を管理することが可能

Oracle Access Manager 11g の特徴エージェントの一元管理

21

Copyright© 2011, Oracle. All rights reserved.

• OAM 11g は Oracle FMW で提供される Common

Audit Framework にて監査が可能

• Common Audit Framework にて監査用データベースに永続的なログを出力することが可

• BI Publisher にて監査レポートを生成

• OAM 11g のロギングも Oracle FMW にて統一

• ログレベルは WLST コマンドまたは EM アプリケーションサーバコントロールにて変更可能

Oracle Access Manager 11g の特徴監査およびロギング

22

Copyright© 2011, Oracle. All rights reserved.

監査イベントのタイプ イベント

Authentication Credentials collected

Authentication succeeded

Authentication failed

Authorization Authorization succeeded

Authorization failed

Administrative Authentication scheme created

Administration console login failed

Server configuration changed

Oracle Access Manager 11g の特徴監査イベントの例

23

Copyright© 2011, Oracle. All rights reserved.

Oracle Access Manager 11g の特徴運用指標に基づいたモニタリング

• 運用指標はエージェント（WebGate）およびサーバの両方で保持

• 運用指標は、お客様環境の運用状況に対し、幅広い観点からのモニタリング基準を提供

• 11g WebGate の指標に

はバージョン、ホスト、インストールされたディレクトリといった情報も含まれる

• 指標を EM Grid Control

と連携し、詳細分析のための統計グラフを提供することも可能

24

Copyright© 2011, Oracle. All rights reserved.

• フォームベース認証

• ベーシック認証

• X.509 認証

• OAAM 仮想パッドベース認証

• Kerberos ベース認証 (windows native

authentication)

• 匿名認証

Oracle Access Manager 11g の特徴サポートされている認証方式

25

Copyright© 2011, Oracle. All rights reserved.

• 11g R1 では拡張フレームワークは未実装

• 拡張フレームワークは次期バージョンを予定

• 拡張フレームワークの概要

• Java ベースの認証・認可モジュール

• OAM 11g モジュールで OAM 10g C++ ベースのプラグインを置き換え

• OAM 10g プラグインは再度実装することが必要

Oracle Access Manager 11g の特徴拡張性

26

Copyright© 2011, Oracle. All rights reserved.

• マニュアルで操作可能な GUI

モード

• 自動テストが可能なコマンドラインモード

• ポータブルなスタンドアロンJava アプリ

– Java [-Dxxx=“yyy”] –jar oamtest.jar

– 2 jars: oamtest.jar, nap-api.jar

• OAM に同梱

– 場所: $Oracle_Home /oam/server/tester

Oracle Access Manager 11g の特徴ユーティリティ: Access Tester

27

Copyright© 2011, Oracle. All rights reserved.

社外ネットワーク ID フェデレーション

Oracle Access ManagerとOracle Identity Federationを連携させることで、分散されたID情報環境、異なる認証基盤製品においてもシングルサインオン環境を提供します。

SAMLもしくは

WS-Fed対応サーバ

Identity

Federation

社内ネットワーク

アクセス制御

連携 連携

Web

Application

SaaS等

社内で認証されていればアクセス可能！

ログイン

Access

Manager

Oracle Identity Federation との連携

28

Copyright© 2011, Oracle. All rights reserved.

Oracle Adaptive Access Manager との連携

• Native 連携• 認証時に Pre/Post 認証ルールを実行

• ルール用 API を呼び出す

• OAAMBasic 認証スキーマは、out-of-the-box で提供

• Advanced 連携• 仮想認証デバイスによる認証

• 不正検出ルールの設定

• KBA/OTP による認証

29

Copyright© 2011, Oracle. All rights reserved.

まとめ

• Oracle Access Manager はセキュアで利便性の高い認証基盤を提供いたします

• Oracle FMW 11g アーキテクチャをベースとし、高い拡張性、可用性、パフォーマンスを実現いたします

• 親和性の高い製品と組み合わせることにより、よりセキュアなインフラやコンプライアンスに対応したセキュリティ基盤を構築することが可能となります

30

Copyright© 2011, Oracle. All rights reserved.

補足情報

• 製品のダウンロード• http://www.oracle.com/technetwork/middleware/downloads/oid-11g-

161194.html

• Oracle Identity Manager

• Oracle Identity Manager 11g 製品ドキュメント

• http://download.oracle.com/docs/cd/E14571_01/im.htm#oim

• Oracle Access Manager 11g 製品ドキュメント

• http://download.oracle.com/docs/cd/E14571_01/im.htm#oam

31

Copyright© 2011, Oracle. All rights reserved. 32

http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

Oracle Direct 検索

あなたにいちばん近いオラクル

Oracle Directまずはお問合せください

Web問い合わせフォーム フリーダイヤル

専用お問い合わせフォームにてご相談内容を承ります。

※フォームの入力には、Oracle Direct Seminar申込時と同じログインが必要となります。

※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録されている連絡先が最新のものになっているか、ご確認下さい。

0120－155－096

※月曜~金曜 9:00~12:00、13:00~18:00

（祝日および年末年始除く）

システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。

システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。

Copyright© 2011, Oracle. All rights reserved.

Copyright© 2011, Oracle. All rights reserved. 34