アクセス制御の一元化とssoを実現 oracle access manager 11g
DESCRIPTION
Oracle Access Managerは、Webのシングル・サインオン、アクセス・ポリシーの作成と適用、ユーザーの自動登録と自動サービス、委任管理、およびレポートと監査といった機能を提供します。Oracle Access Managerは、すべての主要なディレクトリ・サーバー、アプリケーション・サーバー、Webサーバー、およびエンタープライズ・アプリケーションをサポートしています。Oracle Access Managerは、シームレスなアプリケーション・サポートを提供するオラクル社の統合ソリューションOracle Fusion Middlewareを構成する一部です。TRANSCRIPT
<Insert Picture Here>
日本オラクル株式会社
アクセス制御の一元化とSSOを実現Oracle Access Manager 11g
Copyright© 2011, Oracle. All rights reserved.
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。
OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。
Copyright© 2011, Oracle. All rights reserved.
アクセス制御の一元化とSSOを実現Oracle Access Manager
Oracle Access
Manager
各システムの認証・認可はAccess Managerで実施 クライアントはチケットを利用して各システムにアクセス
Web G
ate
Web G
ate
Web G
ate
Cookie
Webシステム
文書管理システム
業務アプリ
■Oracle Access Manager の機能
■Oracle Access Manager 導入のメリット
• 統合認証管理:シングルサインオン機能• 統合アクセス制御、管理:複数Webシステムへの一元的なアクセス制御、(柔軟できめ細かいアクセス認可ルールの設定)
• 監査レポート機能:いつ, 誰が, 何にアクセスしたかを記録
• シングルサインオンによるユーザ利便性の向上
• 均一なレベルのセキュリティの保持
• 本人確認、権限付与の一元化による信頼性向上
• 委任管理による管理コスト低減
■Oracle Access Manager とは?• シングルサインオンおよび、Webサイトへのアクセス制御を実現し、監査ログを記録する製品
3
Copyright© 2011, Oracle. All rights reserved.
Oracle Access Management Suite Plus
Entitlements Server Adaptive Access Manager
Access Manager
• 資格情報の管理
• 粒度の細かい(Fine Grained )認可
• Web アクセス制御/認証
• シングルサインオン
• ID のアサート
• リスクベース認証
• リアルタイムでの不正防止
Identity Federation
• パートナ SSO およびID フェデレーション
• Fedlet SP による連携
OpenSSO STS
• Security Token 管理
• ID 情報の伝搬
4
Copyright© 2011, Oracle. All rights reserved.
アクセス管理コンポーネントの全体像
5
Copyright© 2011, Oracle. All rights reserved.
Oracle Access Managerの主要機能と効果
シングル・サインオン ユーザはたった一度のログオンで複数の
システムをログオン操作なしで利用できる
ようになります。
アクセス制御 認証済みユーザであっても、対象シ
ステムを利用する権限がない場合、
アクセスを拒否することができます。
統合認証 ユーザ認証を一箇所に集約すること
で、「いつ、誰が、どのシステムへア
クセスしたか」というアクセス証跡を
一元的に取得することができます。
•ユーザ業務効率の向上
•パスワード忘れ防止
•不必要な情報開示の防止
•情報事故の予防
•アクセス状況の分析
•有事の際の追跡の容易化
6
Copyright© 2011, Oracle. All rights reserved.
Oracle Access Manager 11g
特徴 利点
モジュール分け可能なアーキテクチャ
管理サーバと実行用サーバの分離により個々に独立したオペレーションが可能
安全なポリシーモデル デフォルト設定ではアクセスは拒否(アクセスするには、許可するポリシーを作成することが必要)
シンプルになったインストールおよびコンフィグ
1つのパッケージにて、インストールおよび一連のコンフィグが可能
セッション管理 セッションのトラッキングや強制削除が可能
診断およびモニタリング リアルタイムでキーとなる運用指標を監視することが可能
エージェントの集中管理 管理コンソールにて、接続されているすべてのエージェントを一元管理するビューを提供
下位互換性 10g WebGate および 10g Mod_OSSO との互換性を確保
Windows Native AuthN Windows デスクトップと Web の SSO を実現
豊富なユーティリティ リモート登録ユーティリティ、リモートアクセステスタ、ポリシー操作のための WLST コマンド
7
Copyright© 2011, Oracle. All rights reserved.
Oracle Access Manager 11gOAM 10g との主な違い
項目 OAM 10g OAM 11g
デプロイ スタンド・アロン・サーバ コンテナにデプロイ
LDAP 認証 システム全体で定義 認証スキームにて定義
利用可能なエージェント WebGate WebGate およびMod_OSSO
セッション管理 ステートレス(クッキー管理) ステートフル(サーバ管理)
アプリケーション連携 OAM 構成ツール UI またはコマンドラインからのリモート登録ツール
ID 管理 OAM Identity Server 任意の ID 管理ツール(デフォルトは OIM 11g)
ポリシーモデル Open (デフォルトは許可) Closed (デフォルトは拒否)
ポリシーストア LDAP RDBMS
構成ストア LDAP ファイル
8
Copyright© 2011, Oracle. All rights reserved.
ポリシーストア用データ
ベース
ユーザ ID ストア用ディ
レクトリサーバ
パートナアプリ
社内アプリ
OAM 11g 全体構成
9
Copyright© 2011, Oracle. All rights reserved.
Protocol Compatibility Framework
OAM Server
Authorization Service
Oracle Platform Security Services
Single Sign-On
Engine
Token Processing
Authentication
Engine
Session
Management
OAM Server
Oracle Access Manager 11g の特徴アーキテクチャ
10
Copyright© 2011, Oracle. All rights reserved.
Oracle Access Manager 11gの特徴デプロイメント
• 実行環境と管理サーバを分離
• 構成情報およびポリシーの共有
• すべての実行環境にてユーザセッションを共有
WebLogic Administration Server
WebLogic Admin
Console
OAM 11g Admin Server
OAM 11g Runtime Server
共有情報
WebLogic Managed Server(s)
1. ポリシー
2. コンフィグ情報
3. ユーザセッション
11
Copyright© 2011, Oracle. All rights reserved.
Oracle Access Manager 11gの特徴アクセス制御
エンドユーザ
4. 認証 6. 認可
Oracle Access Manager 11g
Oracle Weblogic Server
3. クレデンシャル情報のサブミット
1. 未認証のアクセス 7. アプリへのアクセス
5. セッション確認および認可
OAM エージェント
アプリ
クレデンシャル
情報の収集
2. 中央のログインページにリダイレクト
認証
エンジン
認可
エンジン
12
Copyright© 2011, Oracle. All rights reserved.
Oracle Access Manager 11gの特徴マルチレベルの認証
13
Copyright© 2011, Oracle. All rights reserved.
Oracle Access Manager 11g の特徴ポリシーモデル
• デフォルトで安全に(ポリシーにマッチしていなければデフォルトは拒否)
• OSSO および OAM 10g
からのスムーズに移行できるパスの確立
• ポリシー作成のプロセスおよびアプリケーション連携プロセスの簡略化
14
Copyright© 2011, Oracle. All rights reserved.
• インストールプロセス• OUI (Oracle Universal Installer) にてインストール
• インストールプロセスにおいて、ホストマシンにソフトウェアの全てのバイナリをコピー
• OUI では製品のコンフィグレーションは行わない
• 2ステップでのコンフィグレーションプロセス• RCU (Repository Creation Utility) を使ったデータベーススキーマのコンフィグレーション
• WebLogic Configuraion Wizard を使った製品のコンフィグレーションおよびデプロイメント
Oracle Access Manager 11g の特徴インストールおよびコンフィグレーション
15
Copyright© 2011, Oracle. All rights reserved.
• OAM 10g: Webgate にて収集• 認証用の WebGate を設定もしくは全ての WebGate にてクレデンシャル情報を収集するように設定
• OAM 11g: 実行サーバにて収集• ログインページが OAM 実行サーバにて提供
• OAM 実行サーバは別の Web サーバ上のログインページにリダイレクトすることも可能
• ログインページの場所に関係なく、クレデンシャル情報は OAM 実行サーバに送信され収集される
• ログインページは out-of-the-box で提供される
Oracle Access Manager 11g の特徴クレデンシャル情報の収集
16
Copyright© 2011, Oracle. All rights reserved.
ポリシー
エンジン
セッション
管理
エンドユーザ
2. セッショ
ン生成
3. セッショ
ン ID 返信
Oracle Access Manager 11g
Oracle Weblogic Server
1. 認証(匿名)
4. セッション ID を取得し認証完了
5. 認証されたアクセス 7. アプリへのアクセス
6. セッション確認および認可
WebGate
アプリ
管理者
セッション削除
Oracle Access Manager 11g の特徴セッション管理
• 詳細なセキュリティコンテキスト情報を持ったステートフルなセッション
• 高性能で分散されたキャッシュを使ったアクティブなユーザセッションのトラッキング
• 1ユーザが一度に生成できる同時セッション数の制御
• セッションの強制終了
• 不正ユーザのアクセス防止
17
Copyright© 2011, Oracle. All rights reserved.
SME (Session Management Engine) データベース
• 大規模利用(数百万の同時ユーザログインなど)時に耐障害性および拡張性を
提供
Oracle Access Manager 11g の特徴セッションデータストレージのメカニズム
18
Copyright© 2011, Oracle. All rights reserved.
• 全てのターゲットアプリケーションに設定されるセッションの存続期間
• 全てのターゲットアプリケーションに設定されるアイドル・タイムアウト
• 1ユーザ当たりの最大セッション数
Oracle Access Manager 11g の特徴セッションの共通設定
19
Copyright© 2011, Oracle. All rights reserved.
• 永続ストレージを使用しないセッション同期
• 自動セッションフェールオーバ
• グローバルで有効なセッション• 全ての OAM 実行サーバにて同じセッションのセットが共有される
• クッキーのみでのセッション管理は 11gR1 では不可
Oracle Access Manager 11g の特徴その他のセッション管理機能
20
Copyright© 2011, Oracle. All rights reserved.
• 1つの管理コンソールにてそれぞれのエージェントを管理
• Mod_OSSO、 OAM 10g
WebGate および OAM 11g
WebGate を同時に管理・構成することが可能(将来は、OpenSSO のエージェントもサポートを予定)
• 個々のエージェントの運用情報を管理することが可能
Oracle Access Manager 11g の特徴エージェントの一元管理
21
Copyright© 2011, Oracle. All rights reserved.
• OAM 11g は Oracle FMW で提供される Common
Audit Framework にて監査が可能
• Common Audit Framework にて監査用データベースに永続的なログを出力することが可
• BI Publisher にて監査レポートを生成
• OAM 11g のロギングも Oracle FMW にて統一
• ログレベルは WLST コマンドまたは EM アプリケーションサーバコントロールにて変更可能
Oracle Access Manager 11g の特徴監査およびロギング
22
Copyright© 2011, Oracle. All rights reserved.
監査イベントのタイプ イベント
Authentication Credentials collected
Authentication succeeded
Authentication failed
Authorization Authorization succeeded
Authorization failed
Administrative Authentication scheme created
Administration console login failed
Server configuration changed
Oracle Access Manager 11g の特徴監査イベントの例
23
Copyright© 2011, Oracle. All rights reserved.
Oracle Access Manager 11g の特徴運用指標に基づいたモニタリング
• 運用指標はエージェント(WebGate)およびサーバの両方で保持
• 運用指標は、お客様環境の運用状況に対し、幅広い観点からのモニタリング基準を提供
• 11g WebGate の指標に
はバージョン、ホスト、インストールされたディレクトリといった情報も含まれる
• 指標を EM Grid Control
と連携し、詳細分析のための統計グラフを提供することも可能
24
Copyright© 2011, Oracle. All rights reserved.
• フォームベース認証
• ベーシック認証
• X.509 認証
• OAAM 仮想パッドベース認証
• Kerberos ベース認証 (windows native
authentication)
• 匿名認証
Oracle Access Manager 11g の特徴サポートされている認証方式
25
Copyright© 2011, Oracle. All rights reserved.
• 11g R1 では拡張フレームワークは未実装
• 拡張フレームワークは次期バージョンを予定
• 拡張フレームワークの概要
• Java ベースの認証・認可モジュール
• OAM 11g モジュールで OAM 10g C++ ベースのプラグインを置き換え
• OAM 10g プラグインは再度実装することが必要
Oracle Access Manager 11g の特徴拡張性
26
Copyright© 2011, Oracle. All rights reserved.
• マニュアルで操作可能な GUI
モード
• 自動テストが可能なコマンドラインモード
• ポータブルなスタンドアロンJava アプリ
– Java [-Dxxx=“yyy”] –jar oamtest.jar
– 2 jars: oamtest.jar, nap-api.jar
• OAM に同梱
– 場所: $Oracle_Home /oam/server/tester
Oracle Access Manager 11g の特徴ユーティリティ: Access Tester
27
Copyright© 2011, Oracle. All rights reserved.
社外ネットワーク ID フェデレーション
Oracle Access ManagerとOracle Identity Federationを連携させることで、分散されたID情報環境、異なる認証基盤製品においてもシングルサインオン環境を提供します。
SAMLもしくは
WS-Fed対応サーバ
Identity
Federation
社内ネットワーク
アクセス制御
連携 連携
Web
Application
SaaS等
社内で認証されていればアクセス可能!
ログイン
Access
Manager
Oracle Identity Federation との連携
28
Copyright© 2011, Oracle. All rights reserved.
Oracle Adaptive Access Manager との連携
• Native 連携• 認証時に Pre/Post 認証ルールを実行
• ルール用 API を呼び出す
• OAAMBasic 認証スキーマは、out-of-the-box で提供
• Advanced 連携• 仮想認証デバイスによる認証
• 不正検出ルールの設定
• KBA/OTP による認証
29
Copyright© 2011, Oracle. All rights reserved.
まとめ
• Oracle Access Manager はセキュアで利便性の高い認証基盤を提供いたします
• Oracle FMW 11g アーキテクチャをベースとし、高い拡張性、可用性、パフォーマンスを実現いたします
• 親和性の高い製品と組み合わせることにより、よりセキュアなインフラやコンプライアンスに対応したセキュリティ基盤を構築することが可能となります
30
Copyright© 2011, Oracle. All rights reserved.
補足情報
• 製品のダウンロード• http://www.oracle.com/technetwork/middleware/downloads/oid-11g-
161194.html
• Oracle Identity Manager
• Oracle Identity Manager 11g 製品ドキュメント
• http://download.oracle.com/docs/cd/E14571_01/im.htm#oim
• Oracle Access Manager 11g 製品ドキュメント
• http://download.oracle.com/docs/cd/E14571_01/im.htm#oam
31
Copyright© 2011, Oracle. All rights reserved. 32
http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28
Oracle Direct 検索
あなたにいちばん近いオラクル
Oracle Directまずはお問合せください
Web問い合わせフォーム フリーダイヤル
専用お問い合わせフォームにてご相談内容を承ります。
※フォームの入力には、Oracle Direct Seminar申込時と同じログインが必要となります。
※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録されている連絡先が最新のものになっているか、ご確認下さい。
0120-155-096
※月曜~金曜 9:00~12:00、13:00~18:00
(祝日および年末年始除く)
システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。
システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。
Copyright© 2011, Oracle. All rights reserved.
Copyright© 2011, Oracle. All rights reserved. 34