Oracle Access Management - 完全でスケーラブル …...Oracle Access Management 免責事項下記事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯

Oracle Access Management 完全でスケーラブルな統合型アクセス管理ソリューション

Oracle ホワイト・ペーパー | 2017 年 9 月

Oracle Access Management

免責事項

下記事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。マテリアルやコード、機能の提供をコミットメント（確約）するものではなく、購買を決定する際の判断材料になさらないで下さい。オラクルの製品に関して記載されている機能の開発、リリース、および時期については、弊社の裁量により決定されます。

1 | Oracle Access Management

目次

免責事項 ........................................................................................................................................................... 0

目次 ................................................................................................................................................................... 1

概要 ................................................................................................................................................................... 3

はじめに ........................................................................................................................................................... 4

代表的な使用例 .............................................................................................................................................. 7

クラウド .................................................................................................................................................. 7

モバイル .................................................................................................................................................. 7

従業員向けイントラネット ................................................................................................................. 8

顧客向けエクストラネット ................................................................................................................. 9

Oracle Access Management の概要 .......................................................................................................... 9

Oracle Access Management のコア・サービス ................................................................................... 10

セッション管理 .................................................................................................................................... 11

インテリジェントなアクセス管理 ........................................................................................................... 11

識別コンテキスト ................................................................................................................................ 11

動的認証 ................................................................................................................................................ 13

コンテキスト対応およびコンテンツ対応の認可 ......................................................................... 13

適応型アクセスと不正防止 ........................................................................................................................ 16

Oracle Mobile Authenticator を使用した適応認証 ..................................................................... 18

アイデンティティ・フェデレーション ................................................................................................... 18

SAML ベースのフェデレーション ................................................................................................... 19

Oracle Access Management Fedlet ................................................................................ 20

OpenID ベースの委任認証 ................................................................................................................ 21

OAuth 委任認可 ................................................................................................................................... 21

Oracle Access Management による OAuth のサポート ................................................ 21

Identity Federation OAuth サービス .............................................................................. 22

Oracle Access Management クラウド・フェデレーション ...................................................... 22


モバイル・セキュリティ ............................................................................................................................ 22

Oracle Access Management Mobile and Social サービス ......................................................... 23

Mobile and Social サービスの OAuth のサポート ......................................................... 24

Mobile and Social クライアント SDK ............................................................................. 25

API および Web サービスのセキュリティ ............................................................................................. 27

Oracle API Gateway ............................................................................................................................ 28

Oracle Web Services Manager（Oracle WSM） .......................................................................... 28

Security Token Service....................................................................................................................... 29

STS と OAG の相互運用性：トークンの変換とアイデンティティの伝播 ..................... 29

STS とコア・サービスと Oracle WSM の相互運用性： Web アプリケーションから

Web サービスへのアイデンティティ伝播 ...................................................................... 30

クラウド・セキュリティ ............................................................................................................................ 30

クラウド・アクセス・ポータル ....................................................................................................... 31

エンタープライズ・シングル・サインオン .......................................................................................... 33

スケーラビリティと高可用性 ................................................................................................................... 34

結論 ................................................................................................................................................................. 35

Statement of Direction ............................................................................................................................... 35


概要

近年、アクセス管理で重視されていたのは、おもに Web 認証、シングル・サインオン、イントラネット・アプリケーションへのアクセスについてでした。ところが、ビジネスに不可欠なサービスとデータのアクセス方法や公開方法を一変する新しいコンピューティング・パラダイムやコンピューティング・テクノロジーの要件を満たす必要性から、企業のアクセス管理環境はこの数年で急速に進化し続けてきました。今日のエンタープライズ環境では、既存のオンプレミス・デプロイメントだけでなくクラウドを使用してアプリケーションが提供されることが増え、そうしたアプリケーションへのアクセスに複数種類のデバイスを活用するユーザーもますます増えています。会社のポータルへのトラフィックを増やすために、企業はセキュリティの甘いソーシャル・ネットワーク ID をしばしば利用します。最終的には、多くの大企業がセキュリティ制御と増加し続ける膨大な量の情報の管理に新しいアプローチを取り入れ、急速に普及するスマート・デバイス（“モノのインターネット”）のサポートをすることが必要になります。

さらに、厳しい経済情勢と市場競争にさらされている企業は、新しい標準（OAuth など）、新しいアーキテクチャ（REST など）、新しい Application Programming Interface（API）（パブリックAPI）を通じたパートナーとの統合や、データセンターおよびライセンスの統合、プライベートまたはパブリックにホスティングされるクラウドベースのアクセス管理サービスを利用することで、コストを削減する方法を模索せざるを得ません。また、医療やプライバシに関する法律と大量の規制要件が変更されたことで、企業は社内のセキュリティやプライバシに対するアプローチの再考を迫られています。

こうした厳しい環境の中、企業はリスク管理の原則に基づく包括的かつ事前対策型の戦略を展開する必要があります。事後対応型のセキュリティ・アプローチを採用し、さまざまな ID ベース・ソリューションや単機能製品を選択してオンプレミスとクラウドのリソース、モバイル・アプリ、API または Web サービスを同時に保護している企業は、最終的には失敗します。事後対応型のサイロ化したアプローチで得られるのは維持管理にコストがかかるぜい弱なセキュリティ・インフラストラクチャであり、セキュリティ・ポリシーの管理に一貫性がないことから、社内外でのセキュリティ違反やコンプライアンス違反が発生しやすくなります。

本書で紹介する Oracle Access Management は、シームレスなユーザー・エクスペリエンス、管理の一元化、市場トップ・レベルのパフォーマンスとスケーラビリティはそのままで、モバイル・テクノロジーやソーシャル・ネットワーク・テクノロジー、オンプレミス・アプリケーションとクラウド・アプリケーションのハイブリッド・デプロイメント、ハイブリッド・アクセス管理デプロイメントを用いてビジネスを安全に変換できるように設計されている完全なソリューションです。


はじめに

最近まで、アクセス管理製品は単一アクセス・チャネルのアクセス制御を行っていました。たとえば、Web アクセス管理（WAM）製品は Web アプリケーションへのブラウザ・ベースのアクセスを保護し、XML ゲートウェイは SOA アプリケーションへのアクセスを保護していました。SAML（Security Assertions Markup Language）などのさまざまな業界標準仕様により、組織の枠を越えた相互運用性は向上しました（パートナー・アプリケーション、クラウド・アプリケーションへのシングル・サインオン）。しかし、製品は依然として単一アクセス・チャネル（ブラウザ・ベースのアクセスやアプリケーションベースのアクセスなど）向けの仕様となっています。残念ながら、このような単一アクセス・チャネル・モードの運用では、今日のオンライン要件を満たすことはできません。

このような変化する要件をより理解するため、下の例の図について考えてみてください。この図は、企業リソースとクラウド・リソース全体でクライアントとシステムでのシームレスなインタラクションの必要性を示しています。

» ユーザーは自分のオフィスから企業ポータルにアクセスします。

» 企業ポータルで Software-as-a-Service（SaaS）として提供されている新しいビジネス・インテリジェンス・アプリケーションのリンクをユーザーがクリックすると、ユーザーはクラウド・アプリケーションにリダイレクトされます。

» ユーザーがクラウド・アプリケーションのダッシュボードに財務ビューを追加すると、ユーザーの企業オフィスにあるデータベースからデータが引き出されます。

» 最終的に、クラウド・アプリケーションからユーザーのダッシュボードにデータが表示されます。

このプロセスは、ユーザーからすれば単純でシームレスに見えますが、Web アクセス管理、アイデンティティ・フェデレーション、クラウド・シングル・サインオン、API（または Web サービス）セキュリティ、XML/JavaScript Object Notation（JSON）ファイアウォール、ファイングレイン認可、エンタイトルメント管理といったさまざまなアクセス管理サービスを統合しなければ実現することはできません。

ここで求められるレベルの統合を達成することは、ほとんどの組織にとって決して簡単なことではありません。というのも、さまざまなベンダーの単機能製品をいくつも統合することが必要な場合がほとんどで、すべての要件をサポートできる製品は 1 つもないためです。

Oracle Access Management は、業界内で類を見ない画期的なアクセス管理テクノロジーです。Oracle Access Management は、新しいアクセス管理パラダイムの要件に適合するように設計されています。


図1：新しいアクセス管理パラダイム

Oracle Access Management は、従来のアクセス管理機能を補完する革新的な新サービスを提供する製品です。たとえば、適応認証、フェデレーテッド・シングル・サインオン（SSO）、リスク分析、ファイングレイン認可が、モバイル・クライアントおよびモバイル・アプリケーションでも使用できるようになっているほか、アクセス・ポータルを使用して独自のプライベート・クラウドSSO サービスを構築することもできます。組織の固有要件に合わせて、必要に応じてライセンスを取得して有効化できます。

図2：Oracle Access Managementの概要

1- Oracle WebLogic Server でホスティングされている Access Management のサーバー側のサービス。

2- Access Management の防御の最前線であるインターセプタおよびフィルタ（ Access Management WebGates、Web Services、および Oracle API Gateway）。


3- モバイル機器にインストールされた、Mobile and Social サービス・クライアント SDK。

4- PC（デスクトップおよびラップトップ）にインストールされた Oracle Enterprise SSO Suite。

5- Web サービスまたはアプリケーションに埋め込まれている Oracle Web Services Manager のクライアント・エージェントが、アプリケーション層の Web サービス・プロバイダにリクエストを送信します。

6- データ層にディレクトリ・サービスをデプロイすることもできます（注記：Oracle Directory Services は Oracle Access Management Suite に含まれていません。別途ご購入が必要です）。

Oracle Access Management は、次のサービスを提供する統合プラットフォームです。

» アクセス管理コア・サービス：オンプレミスまたはクラウドにデプロイされている企業アプリケーションに対する認証、Web SSO、コースグレイン認可。

» アイデンティティ・フェデレーション：クロスインターネット・ドメインの認証および委任型認可。SAML、OAuth、OpenID などの業界標準がサポートされます。ソーシャル・ネットワーク ID を使用したソーシャル・ログオンがサポートされています。

» モバイル・セキュリティ：モバイル、クラウド、およびソーシャル・ネットワーク向けの軽量なインタフェース。OAuth などの業界標準を介して会社のリソースにアクセスするためのサービスです。Mobile and Social サービスを利用すると、スマートフォンなどのモバイル・クライアントでの適応認証、SSO、ファイングレイン認可、リスク分析および不正検出に、バックエンドのアクセス管理インフラストラクチャを活用できます。

» アクセス・ポータル・サービス：Web ベースの一元的な起動パッドにより、ユーザーは SAML、OAuth、またはフォーム入力を使用してすべてのアプリケーションをフェデレートすることができます。アクセス・ポータルによって、プライベート・クラウド SSO サービスまたはパブリック・クラウド SSO サービスを構築するための基盤が提供されます。

» 適応型アクセスおよび不正検出：強力な多要素認証およびヒューリスティックな不正検出。

» ファイングレイン認可：外部化された集中管理型の属性ベース・ファイングレイン認可。Extensible Access Control Markup Language（XACML）標準規格に準拠しています。

» API セキュリティ：REST API および Web サービスの最前線の防御機能であり、通常は DMZ にデプロイされます。プロトコル変換、API ファイアウォール、認証、および認可をサポートします。

» SOA セキュリティ：リソース・エンド・ポイントと共同配置されるラストマイル・セキュリティ・コンポーネント。中間者攻撃からの保護を目的としています。

» セキュリティ・トークン・サービス：SAML アサーションや Kerberos トークンなどの標準的なセキュリティ・トークンの作成、検証、使用により、種類の異なるインフラストラクチャ層の間の信頼を仲介します。

» リッチクライアントベースのエンタープライズ SSO：Microsoft Windows PC にインストールしてリッチ・クライアント・アプリケーションに SSO を提供するスタンドアロン・コンポーネント・スイート。ブラウザ・ベースのエンタープライズ SSO はアクセス・ポータルから利用できます。


代表的な使用例

このセクションでは、Oracle Access Management の長所を中心に、代表的な 4 つの使用例としてクラウド、モバイル、従業員向けイントラネットおよび顧客向けエクストラネットについて説明します。

クラウド

企業ではクラウド・アプリケーションの採用が増加しているため、クラウドとオンプレミスの両方のアプリケーションを、よくある一連の攻撃から保護する必要があります。以下は、ハイブリッド環境を保護するうえでのおもな考慮事項です。

» 信頼できるアイデンティティがオンプレミスに存在する場合、ユーザーは企業ポータルにログオンしてからクラウド・アプリケーションとのフェデレーションを実行する必要があります。最初に企業ポータルにログオンすることを義務づけ、クラウド・アプリケーションには直接ログオンできないようにすることで、ユーザーが退社した後も引き続きクラウド・アプリケーションにログオンできるという事態をなくします。

» アクセス管理ソリューションでは、標準ベースの SAML フェデレーションや OAuth を使用してクラウド・アプリケーションにアクセスできるようにする必要があります。

» クラウド・アプリケーションが標準ベースのフェデレーションに対応していない場合は、シームレスな SSO エクスペリエンスを提供するために、ユーザーの資格証明を自動的に移入するフォーム入力機能をアクセス管理ソリューション側で用意する必要があります。

» オンプレミス・アプリケーションとクラウド・アプリケーションの両方に対応する単一のアクセス管理ソリューションが必要です。クラウド専用の SSO ソリューションはオンプレミスの既存のエンタープライズ・ソリューションから分離されたサイロになってしまうため、クラウド・アプリケーションへのフェデレーテッド・アクセスを専用ソリューションでサポートするのでは不十分です。

» アクセス管理ソリューションは、ユーザーがログオンし直さずに 1 つの画面からオンプレミス・アプリケーションとクラウド・アプリケーションの両方にアクセスできる SSO ポータルを簡単に構築できる機能を装備している必要があります。

» アクセス管理ソリューションのデプロイ先をオンプレミスとクラウドのいずれにするかを選択できる必要があります。

モバイル

モバイルは欠かせないアクセス・チャネルになりつつあります。ユーザーは複数チャネルにまたがるシームレスなアクセスス・エクスペリエンスを期待し、企業はこれらの複数のチャネルを通じて一貫性のあるアクセス・ポリシーを規定する必要があります。次に、モバイル・アクセスを保護するうえでのおもな考慮事項を示します。

» アクセス管理およびモバイル・ソリューションでの SSO 操作のユーザー・エクスペリエンスには、会社共通のセキュリティ・ポリシーに基づき、ネイティブ・アプリケーション同士、およびネイティブ・アプリケーションとブラウザ・アプリケーションの間で一貫性を持たせる必要があります。


» デバイスの紛失や盗難の恐れがあるため、モバイル・アクセスのリスクは従来のチャネルよりも高いと言えます。アクセス管理ソリューションでは、デバイスのフィンガープリンティングおよび登録と、デバイスのホワイトリスト登録およびブラックリスト登録を自動的に実行できる必要があります。

» アクセス管理ソリューションは、アクセス・リクエストのコンテキスト（モバイル機器の種類、モバイル機器の構成、地理的な位置、トランザクション・コンテキストなど）を理解したうえで認証および認可を判定できるものである必要があります。たとえば、モバイル機器を使用して初めてリソースにアクセスしたユーザーには、より厳密な認証またはステップ・アップ認証のプロンプトを表示する場合があります。また、応答に含まれる機密データを必要に応じてマスキングしてからモバイル・ユーザーに返すことがあります。

» BYOD（個人デバイスの業務使用）にアクセス管理ソリューションを使用する場合は、ユーザー・エクスペリエンスを損なわずに企業のデータと個人のデータを分離できることが必要です。

» アクセス管理ソリューションは、REST インタフェースを介して既存のアプリケーションをモバイル・アクセス対応にすることや、その REST インタフェースを保護することが簡単にできるものである必要があります。

» スタンドアロンの統合されていないモバイル・セキュリティ・ソリューションはセキュリティ・サイロ化し、複数のチャネルを通じて一貫性のあるポリシーを適用することができなくなり、ユーザー・エクスペリエンスに一貫性がなくなります。

» Facebook、Twitter、Google、または Yahoo のソーシャル ID を活用してサービスをより適切にパーソナライズすることでユーザーを簡単に引きつけ、その一方でセキュリティ強化のために高いレベルのアクセス制御やソーシャル・アカウントとローカル・ユーザー・アカウントとの紐付けを維持するためには、アクセス管理ソリューションを安心して使用できる必要があります。

従業員向けイントラネット

従業員、請負業者、パートナーは日常業務で企業イントラネットを使用していますが、セキュリティ上の脅威（悪意があるか偶発的かにかかわらず）は会社の内部から発生することもあります。以下は、生産性を最大化しながら会社のイントラネットのセキュリティとコンプライアンを確保するためのおもな検討事項です。

» 知的所有権（IP）や財務上の損失、コンプライアンス違反につながりかねない不十分なイントラネット・セキュリティから保護します。アクセス管理ソリューションでは、ホスト・レベルまたはアプリケーション・レベルでの Cookie の有効範囲をサポートしてセッションの乗っ取りやセッションの再生を防止し、セキュリティ違反の防止と封じ込めのために個々のユーザー・レベルでセッションを制御する必要があります。

» マルチチャネルのアクセスをサポートします。ビジネス・ツー・ビジネスの使用例では、Webチャネル（ラップトップまたはデスクトップのエンタープライズ SSO）やモバイルのネイティブ・アプリケーション、Web サービスを経由して会社のサービスがアクセスされるため、アクセス管理ソリューションには、一元管理された一貫性のあるセキュリティ・ポリシーですべてのチャネルを保護できることと、ビジネス・トランザクション全体を通してシームレスなユーザー・エクスペリエンスを複数のカテゴリのユーザー（従業員、請負業者、パートナー、管理者、事業部門のマネージャ）に提供できることが求められます。


» ビジネスの俊敏性は、誰が何にアクセスできるのかを企業がきめ細かく管理およびレポートできるかどうかに左右されます。また、セキュリティ要件とコンプライアンス要件を常に満たすためには、組織は、バックエンドのアプリケーションを変更することなく、必要に応じてアクセス・ポリシーの変更をすばやく実施できる必要があります。これは、アプリケーション認可ポリシーを外部化および一元化できるファイングレイン認可機能によって実現できます。

顧客向けエクストラネット

インターネットを介したビジネス資産へのアクセスは、世界中で 24 時間絶え間なく行われます。認証やフェデレーテッド SSO などの従来のアクセス制御要件に加えて、以下もまた、顧客向けオンライン・アプリケーションを保護磨るうえでのおもな考慮事項です。

» セキュリティとユーザー・エクスペリエンスのバランスを取ります。たとえば、一部のアプリケーションや情報はソーシャル ID でアクセスできるようにし、一部はローカル・ログインを必要とし、一部の価値の高い資産はナレッジベース認証（KBA）を使用したステップ・アップ認証を必要とするか、またはリスクが高い場合はワンタイム・パスワード/PIN（OTP）などの多要素認証を必要とするなどです。アクセス管理ソリューションでは、アクセス・リクエストのコンテキストとリスクを把握でき、そのコンテキストに基づいたあらゆるサービスを提供できる必要があります。

» アクセス管理ソソリューションには、ビジネスの成長を支えるスケーラビリティが必要です。コンシューマ向けアプリケーションは億単位のユーザーをサポートすることが必要になる場合があり、パフォーマンスとスケーラビリティの問題がトランザクションの喪失や顧客の不満につながる場合があります。また、停止時間が発生するとビジネス機会を喪失し、ユーザー・エクスペリエンスが低下するため、マルチデータセンター・サポートによる高可用性（HA）を備えることが必須となります。

Oracle Access Managementの概要

Oracle Access Management は Oracle Identity Management ピラーの構成要素です。Oracle Identity Management を使用すると、ファイアウォール内外、さらにはクラウド内に及ぶ企業リソース全体におけるユーザーID のエンド・ツー・エンドのライフ・サイクルを効果的に管理できます。ID ガバナンス、アクセス管理（本書のテーマ）およびディレクトリ・サービスに適したスケーラブルなソリューションが、Oracle Identity Management プラットフォームによってもたらされます。この新しいプラットフォームは、オンプレミスとクラウドのハイブリッド環境でのセキュリティの強化、コンプライアンスの簡素化、モバイル・アクセスやソーシャル・アクセスを取り巻くビジネス・チャンスの獲得に役立ちます。

Oracle Fusion Middleware ファミリー・ソリューションに含まれる Oracle Access Management は、共通の開発フレームワーク（Oracle Application Development Framework）を使用し、すべてのOracle Fusion Middleware コンポーネント全体にまたがる単一のユーザー・インターフェースを提供して、Oracle Fusion Middleware コンポーネントのためのセキュリティ・サービスを提供します。Oracle Access Management には、オラクルのアプリケーション・コンテナ（Oracle WebLogic Server）のスケーラビリティと Oracle Fusion Middleware のソリューション共通のシステム管理環境（Oracle Enterprise Manager）が活用されています（図 3 を参照）。


図3：Oracle Access Management：Oracle Fusion Middlewareのセキュリティ・ピラー

以下のセクションでは、Oracle Access Management サービスについて詳しく説明します。

Oracle Access Managementのコア・サービス

Oracle Access Management のコア・サービスでは、Web 認証、Web シングル・サインオン（SSO）、コースグレイン認可といった、最前線のアクセス制御サービスを Oracle Access Management プラットフォーム全体に提供します。図 4 に示すとおり、 Oracle Access Management のコア・サービスは、Web 層、アプリケーション層、データ層を横断する階層化アーキテクチャにデプロイされます。

図4：Oracle Access Managementのデプロイメントの概要

ユーザーは、Oracle Access Management で認証を受け、保護されている Web アプリケーションにアクセスします。ユーザー・リクエストは、WebGate と呼ばれるフィルタによってインターセプトされます。WebGate は、ポリシー実施ポイント（PEP）として機能するもので、DMZ にデプロイされます。WebGate は Oracle Access Management のポリシー・サーバーと通信します。ポリシー・サーバーは、ポリシー決定ポイント（PDP）として機能します。管理者はセキュリティ・ポリシーを設定し、管理コンソールから認証スキームを選択します。管理コンソールはポリシー管理ポイント（PAP）として機能します。認証が成功すると、ユーザーのブラウザに Cookie が返され、同じアプリケーションに繰り返しログインすることが可能になります。または Oracle Access


Management によって同様に保護されている他の Web アプリケーションでの SSO が可能になります。認可については、WebGate から Access Management ポリシー・サーバーへ、認可ポリシーの検索が指示されます。Access Management ポリシー・サーバーでユーザーのアイデンティティが評価され、リクエストしたリソースに対するユーザーの認可レベルが決定されます（コースグレイン認可）。

Oracle Access Management を使用すると、構成可能な Cookie テクノロジーによる初回ログインを済ませたユーザーは、資格証明なしでログインできるようになります。「永続的ログイン」と呼ばれるこの機能は、アプリケーション・ドメインのシステム管理者が有効化します。Oracle Access Management では Windows ネイティブ認証（WNA）をサポートしています。この認証方式を使用して Windows デスクトップにログインしたクライアントがインターネット・ブラウザを開き、Oracle Access Management で保護されている HTTP リソースにナビゲートすると、Kerberos サービス・チケットを使用してリソースにアクセスすることができ、チャレンジされることはありません。

ログイン・ページの場所を問わず、資格証明は Access Management のランタイム・サーバーに送信されて収集されます（サンプルのログイン・ページがすぐに使える状態で用意されています）。

セッション管理

Oracle Access Management はセッション管理のライフ・サイクル（セッション・ライフ・タイム、アイドル・タイムアウト、最大セッション数、アクティブ・セッションのデータベースへの永続化）をサポートしています。サーバー側のセッション管理では、ノード横断型の高度なセッション管理が可能です。クライアント側のセッション管理では、セッションの詳細がブラウザの Cookieに保存され、サーバー側には何も情報が保存されないため（ステートレス・セッション）、サーバー側のセッション管理よりもパフォーマンスが向上するとともにフットプリントが縮小します。

インテリジェントなアクセス管理

インテリジェントなアクセス管理には、識別コンテキスト、動的認証、およびコンテンツ対応認可があります。

識別コンテキスト

識別コンテキストは Oracle Access Management の画期的な機能です。識別コンテキストを使用すると、Oracle Access Management プラットフォームに組み込まれているコンテンツ対応のポリシー管理機能や認可機能を活用して、増加し続けるセキュリティ上の脅威に対応できます。識別コンテキストの場合は、従来のセキュリティ制御機能（ロールおよびグループ）の他に、認証時や認可時に設定される動的データ（認証強度、リスク・レベル、デバイスの信用度）を使用してリソースへのアクセスを保護します。Oracle Access Management プラットフォームで制御されるコンテキスト情報は次のとおりです。

» プレゼンス（場所、履歴パターン）

» 認証強度（弱、強）

» アシュアランスのレベル（NIST レベル、X509 証明書）

» リスク評価（パターン分析）

» フェデレーション（パートナー属性）


» デバイス特性（フィンガープリント、デバイスの健全性、デバイスの保護、トラステッド・データ）

» トラステッド・パートナーからのアサーション（SAML トークン、JWT）

» SSO セッション（セッション・タイムアウト）

図5：識別コンテキストの概要

次の代表的な事例は、識別ンテキスト・データを使用して環境全体のセキュリティを確保する方法を示しています。

» ユーザーがスマートカードなどの強力な資格証明を使用して認証されていない場合は、特定のビジネス機能を無効化する。

» 取引相手であるビジネス・パートナーから（Identity Federation を介して）供給されたアイデンティティ・データに基づいて、トランザクションへのアクセスを保護する。

» 不正行為が判明したことがある場所からのアクセスであることが識別コンテキストで検出された場合は、改めて認証資格証明を要求する。

» 管理者が所有する業界証明書（サード・パーティが管理）の有効期限が切れている場合は、管理権限の範囲を制限する。

» 未知のデバイスからのアクセスであることが検出された場合は、特定のビジネス機能を無効化する。


動的認証

高度なルールを使用して認証スキームを動的に切り替えるのが動的認証です。

図6：動的認証

高度なルールには認証前ルールと認証後ルールがあり、条件はリクエストまたはユーザーの属性に基づいて指定されます。たとえば認証後ルールは、認証をステップ・アップしてワンタイム・パスワード（次のセクションを参照）を要求する場合に使用できます。

コンテキスト対応およびコンテンツ対応の認可

コンテキスト対応およびコンテンツ対応の認可では、Oracle Access Management の属性ベースのファイングレイン認可サービス（Entitlements Server）を活用します。

Entitlements Server は外部化されたファイングレイン認可サービスで、保護リソースに対するアクセスを認可リクエストのコンテキストに基づいて許可または拒否します。保護リソースはオンプレミスまたはクラウドにデプロイできます。Entitlements Server によって制御が適用されるリソースは複数あり、ソフトウェア・コンポーネント（URL、サーブレット、JSP、EJB）、ビジネス・オブジェクト（例：医療アプリケーションの患者レコード）、ビジネス上の関係の定義に使用されるあらゆるものが該当します。Entitlements Server を使用することで、次のようなビジネス上のメリットが得られます。

» ビジネスの俊敏性：ビジネス・モデルへの適合度が極めて高く、変化し続ける企業要件や規制要件に迅速に順応し、保護しているアプリケーション・コードに影響を与えないセキュリティ・サービス・インフラストラクチャ。

» セキュリティとコンプライアンスの強化：保護アプリケーションがオンプレミスに存在するかクラウドに存在するかに関係なく、1 か所から企業全体のファイングレイン認可を管理できます。アプリケーションのコードからアプリケーションのセキュリティを切り離すことができるため、IT 効率の向上と開発コストの削減につながります（開発者でなく管理者がセキュリティ環境を管理します）。

Entitlements Server に既存の ID 管理インフラストラクチャを利用することで、前述した Oracle Access Management の主要サービスとシームレスに統合されます。Oracle Access Management のいずれのサービスとも同様に、Entitlements Server（図 7 を参照）は Oracle WebLogic Server で動作します。


図7：ファイングレイン認可サービス（Entitlements Server）

Entitlements Server には、ポリシー適用ポイント（PEP）とポリシー決定ポイント（PDP）の機能を提供するセキュリティ・モジュール（SM）が含まれます。SM コンポーネントはいくつかの方法で起動できます。

» Java セキュリティ・モジュール：Java API を使用して認可の決定を行う汎用 PDP。このタイプの SM は、Java、Standard Edition（SE）、IBM WebSphere、RedHat JBoss 環境でサポートされます。

» マルチプロトコル・セキュリティ・モジュール：Java セキュリティ・モジュールの周囲に配置された PDP で、Extensible Access Control Markup Language（XACML）を使用して認可の決定を行います。

» WebLogic Server セキュリティ・モジュール：PDP と PEP の両方を含む、カスタムメイドのJava セキュリティ・モジュール。このタイプの SM では、WebLogic Server から直接リクエストを受信でき、認可 API を明示的にコールする必要がありません。

図 8 に示すとおり、Entitlements Server は柔軟にデプロイできます。一元管理の PDP（SM）として、または複数のデータセンターにまたがり自律的 PDP（ローカルまたはリモート）としてデプロイし、非常に高いスケーラビリティ、高可用性、フェイルオーバーをサポートします。


図8：Entitlements Serverのデプロイメント

Entitlements Server を利用すると、コンテキスト対応およびコンテンツ対応のファイングレイン認可を使用してインテリジェントにアクセスできます。

» コンテキスト対応認可：セキュリティ・ポリシーを適用するには、コンテキストが伴う ID 情報へのアクセスが必要です。たとえば、リクエスト元のデバイス（スマートフォンなど）を信頼できない場合は、アプリケーションのビジネス機能を無効化する必要があります。ログイン時に計算されたリクエスト元のリスク・スコアが高すぎる場合は、Web サービス・リクエストを拒否する必要があります。認証時に確立されたリクエスト元の保証レベルが許容できる下限を下回っている場合は、機密情報やプライベート情報（社会保障番号など）が返されないようにデータベース問合せを記述し直す必要があります。

» コンテンツ対応認可：セキュリティ・ポリシーは保護リソースの内容に基づきます（図 9 を参照）。Entitlements Server は、Oracle WebCenter や Microsoft SharePoint などのドキュメント管理システムとシームレスに統合できます。

図9：コンテンツ対応のファイングレイン認可


適応型アクセスと不正防止

Adaptive Access を利用すると、リスクを認識するコンテキスト主導のアクセス管理ができます。Adaptive Access サービスはスケーラブルでフォルト・トレラントな複数層デプロイメント・アーキテクチャ上に構築されています。このアーキテクチャには次のコンポーネントが含まれます。

» Adaptive Access サーバー管理用の Adaptive Access 管理。

» 3 つのレイヤーで構成される Adaptive Access サーバー：ビジネス・レイヤーが提供するインタフェースによる厳密認証機能を活用してビジネス・レイヤーのサービスにアクセスできるようにするプレゼンテーション・レイヤー。リスク分析エンジンを実装する主要なアプリケーション・ロジックを含むビジネス・ロジック・レイヤー、サポートされているリレーショナル・データベース・システムに環境を接続するデータ・アクセスレイヤー。

Adaptive Access は以下の機能をサポートします。

» 複数のアクセス・チャネルをまたぐ不正や誤用に対処するためのリアルタイムおよびバッチのリスク分析（複数種類のデータをリアルタイムに評価するため、不正をその場で防止できます）。

» デバイスのフィンガープリンティング、リアルタイムの行動プロファイリング、および Webチャネルとモバイル・チャネルの両方で行われるリスク分析。

» サーバーで生成されるワンタイム・パスワード（OTP）を使用したナレッジベース認証（KBA）のチャレンジ・インフラストラクチャなどのリスクベースの認証方法。

» Oracle Identity Management との標準統合（アイデンティティ・ガバナンスおよびアクセス管理）。

» アクセス管理の主要サービスの活用とその認証方法の強化。

» Access Management Mobile and Social サービスによるモバイル機器の重点サポート。

Adaptive Access には次の機能が含まれます。

» 自動学習：リアルタイムの自動学習と予測による自動学習を組み合わせたテクノロジーを使用して、動作のプロファイリングと異常検出を行います（リスクの高いアクティビティを認識し、不正および誤用を防ぐための措置を事前に講じます）。自動学習によってリスク評価が自動化され、行動の変化が追跡されます。

» 構成可能なリスク・エンジン：同時に機能してリアルタイムにリスクを評価する 3 つのリスク評価方式（構成可能なルール、リアルタイム行動プロファイリング、予測分析）をサポートする柔軟性に優れたアーキテクチャ。


» 仮想認証デバイス：サーバー駆動型サービス（キーロガーおよびその他の一般的なマルウェアによってセキュリティが損なわれる可能性のあるクライアント側ソフトウェアやロジックを一切使用しません。また、パーソナライズされたイメージやフレーズはサーバーとエンドユーザーのみが知っています）。エンドユーザーの実際の資格証明を取得したり送信したりしないため、ユーザーが証明を入力する際のセキュリティが確保されます（厳密認証）。仮想認証デバイスには、次のものが含まれています。TextPad（パスワードまたは PIN を入力するためのパーソナライズされたデバイス。通常のキーボードを使用。フィッシングから保護します）、PinPad（数値 PIN を入力するための軽量な認証デバイス）、QuestionPad（確認のための質問への回答を入力するためのパーソナライズされたデバイス。通常のキーボードを使用）、KeyPad（英数字や特殊文字（パスワードや、クレジットカード番号などその他の機密データ）の入力に使用するパーソナライズされたグラフィック・キーボード）。

» デバイスのフィンガープリンティング：デスクトップ、ラップトップ、モバイル機器、その他の Web 対応デバイスがサポートされるように設計された機能。クライアント・ソフトウェアを追加せずに標準のブラウザ・ベースのアクセスとモバイル・ブラウザ・ベースのアクセスを提供します。Adaptive Access デバイスのフィンガープリンティングを、Access Management Mobile and Social SDK および REST インタフェースと統合すると、複数のデバイス属性を監視できます。

» ナレッジベース認証（KBA）：KBA の質問形式によるセカンダリ認証は、プライマリ認証が成功した後に提示されます。登録、回答、確認のための質問は、KBA インフラストラクチャで処理されます。顧客の認証に、確認のための質問を使用するのが適切かどうかは、Adaptive Access Management のルール・エンジンと組織のポリシーに基づいて決定されます。

» 回答ロジック：基本的に正しいが、軽微な誤入力、省略形、スペル・ミスなどが含まれる回答を許容することで、KBA 質問のユーザビリティを向上させます。

» OTP Anywhere：サーバーで生成されるワンタイム・パスワード（OTP）を使用するリスクベースのチャレンジ・メカニズム。OTP は、SMS、電子メール、またはインスタント・メッセージを介してエンドユーザーに送信されます。このチャレンジ・プロセッサ・フレームワークは、サード・パーティの認証製品と Adaptive Access のリアルタイム・リスク評価を組み合わせたカスタムのリスクベース・チャレンジ・ソリューションをサポートします。

» モバイル・アクセス・セキュリティ：ユーザーがモバイル機器からアクセスした場合は、Adaptive Access で使用できるセキュリティ・ポリシーを動的に調整することができます。IP の地理的位置の速度ルールの動作は、アクセス・リクエストが携帯電話接続または Wi-Fi 経由かによって変わります。Mobile and Social を使用すると、Adaptive Access のデバイスのフィンガープリンティング、デバイス登録、リスクベースのチャレンジ・メカニズム、デバイスの紛失および盗難機能を使用できます。

» Universal Risk Snapshot：すべての Adaptive Access ポリシー、依存するサービス、バックアップ、ディザスタ・リカバリおよび移行の構成のフルコピーを瞬時に保存できる機能。


» 不正調査：セキュリティ・アナリストやコンプライアンス担当者向けのフォレンジック・インタフェースがあり、「ケース」情報をリポジトリに保存できるようになっています。

» 適応型ポリシー管理：ポリシーとルールは、パターン（習慣）、または特定の操作を処理するように設計されています。ルールを実行するタイミング、さまざまな使用例の検出に使用する条件、評価対象のグループ、疑わしい操作が検出されたときに実行する適切なアクションは、管理者が定義できます。

Oracle Mobile Authenticatorを使用した適応認証

Oracle Mobile Authenticator は、Apple Store と Google Play からダウンロードできるモバイル用のトークン・ベース認証アプリです。Oracle Mobile Authenticator を使用すると、コストをかけずに厳密認証を導入でき、時間ベースのセキュリティ・コードまたはワンタッチ通知を生成してソフトトークン認証を有効にすることで、会社や顧客の重要データに対する不正アクセスを防止できます。Oracle Access Management プラットフォームの構成要素である Oracle Mobile Authenticator では、適応型サービス、動的認証サービス、厳密認証サービスを利用できます。

図10：Oracle Mobile Authenticator

アイデンティティ・フェデレーション

Identity Federation サービスは Oracle Access Management プラットフォームの不可欠な部分で、前述した認証のコア・サービス（資格証明コレクタや認証プラグインなど）を利用します。Identity Federation サービスを利用すると、次のいくつかの業界標準を利用してオンプレミスとクラウド・リソースの両方を保護できます。

» SAML ベースのフェデレーション（認証、属性共有）

» OpenID ベースのフェデレーション（委任認証）

» OAuth ベースのフェデレーション（委任認可）

» ソーシャル ID ベースのフェデレーション（リダイレクト認証）

» フォーム入力ベースのフェデレーション（アクセス・ポータル）

Identity Federation サービスは中央アクセス管理コンソールから有効化します（図 11 を参照）。


図11：Oracle Access Management Identity Federationサービスの起動パッド

Identity Federation サービスは認証および認可プロセスにシームレスに組み込まれます。Identity Federation では Access Management プラットフォームの共有サービスを活用します。

SAMLベースのフェデレーション

Security Assertion Markup Language（SAML）は、XML 文書を介してインターネット上でセキュリティ情報を共有するためのオープン・フレームワークです。SAML は元来、次の要件に対応するために設計されたものです。

» Web ブラウザの Cookie が単一ドメインに制限されていること：複数のインターネット・ドメインにセキュリティ情報を送信する標準的な方法を SAML が提供します（注記：すべてのドメインで同じ Oracle Access Management サーバーを使用している場合は、Oracle Access Management で（フェデレーションなしで）クロス・ドメイン SSO をサポートできます。それ以外の場合はすべて、Access Management Identity Federation が必要です。

» 独自の Web シングル・サインオン（SSO）：SAML は、単一ドメイン内または複数ドメイン間の SSO を実装するための標準の方法を提供します。

» フェデレーション：SAML は ID 管理を容易にします（例：1 人のユーザーが異なるアイデンティティで複数の Web サイトに認識されている場合のアカウントのリンク付け）。

» Web サービス・セキュリティ：SAML は、標準の Web サービス・セキュリティ・フレームワーク（WSSecurity、WS-Trust など）と併用できる標準のセキュリティ・トークン（SAML アサーション）を提供します。

» ID の伝播 SAML は、ビジネス・プロセスまたはビジネス・トランザクションの複数のステップ間で受け渡しができるセキュリティ・トークンを表現するための標準の方法を提供します。


一般的に SAML には 2 つのパーティーが関係します。

» アイデンティティ・プロバイダ（IdP）：他のサービスにアイデンティティ情報を提供するアサーティング・パーティ。

» サービス・プロバイダ（SP）：アサーティング・パーティから送信されるアイデンティティ情報を利用して、SP でホスティングされているサービスにアクセス権を付与するリライング・パーティ。

Oracle Access Management Identity Federation は次のようなさまざまなユースケースをサポートします。

» 既知の名前または属性：電子メールアドレス、X.509 サブジェクト名、Windowss ドメイン修飾名、Kerberos のプリンシパル名、属性（従業員番号など）。

» 不明瞭な識別子：プリンシパルは、アイデンティティ・プロバイダとサービス・プロバイダのペアのみが知っている永続的なランダム化された文字列によって識別されます。

» 匿名ユーザー：永続的な識別子によってプリンシパルが明示的に識別されることはありません。すなわち、サービス・プロバイダでのユーザー（プリンシパル）入力を維持する必要はありません。

» 属性共有： Identity Federation の属性共有プラグインを使用すると、 Oracle Access Management からアイデンティティ・プロバイダにユーザー属性をリクエストできます。

» アイデンティティ・プロバイダ・プロキシ：このユースケースには 3 つのパーティー（元々のサービス・プロバイダ、プロキシとして機能するアイデンティティ・プロバイダ（Oracle Access Management Identity Federation がアイデンティティ・プロバイダとして機能し、サービス・プロバイダになります）、プロキシされるアイデンティティ・プロバイダ（ユーザーを認証する Oracle Access Management サービス）が関係します。

Oracle Access Management Fedlet

Fedlet は、Access Management Identity Federation またはサード・パーティの SAML アイデンティティ・プロバイダ（IdP）と通信するサービス・プロバイダ（SP）用の SAML 2.0 に準拠した軽量なスタンドアロン・コンポーネントです。Fedlet はアプリケーション開発時に埋込みおよび統合できます。また、Fedlet はオンプレミスまたはクラウドにデプロイでき、複数の環境をサポートします。

» Java バージョン：Oracle WebLogic Server やその他の主要な Java EE コンテナに Web Archive（WAR）としてデプロイできます。

» .NET バージョン：asp.net アプリケーションをサポートするように設計されており、Microsoft IIS（DLL）にデプロイできます。

また、Fedlet は IdP ディスカバリ・サービスと組み合わせてデプロイできるため、好みの IdP を選択できます。


OpenIDベースの委任認証

OpenID は、専用の認証システムを開発しなくてもどの Web サイトでも利用できる委任認証の規格です。OpenID 規格は、OpenID に対応した複数のサイトへのユーザー・ログインを 1 つの OpenIDトークンでできるようにするものです。OpenID 識別子（エンドユーザーが選択した URL またはXRI）の交換を通じてアイデンティティ・データが伝達され、アイデンティティ・プロバイダがOpenID を認証します。Oracle Access Management Identity Federation は次の機能をサポートします。

» OpenID 2.0 認証と SSO：OpenID トークンにはユーザーの名前 ID と属性（オプション）が含まれ、送信するトークン（“アサーション”）には署名が付けられます。

» OpenID 2.0 名前 ID フォーマット：OpenID では、名前 ID がランダムな文字列として定義されます。Identity Federation では、名前 ID の値としてハッシュ・ユーザー属性（DN など）か、フェデレーション・データ・ストアに格納されている生成済みのランダム値（フェデレーション・データ・ストアの使用が必要）のいずれかを使用します。

OAuth委任認可

OAuth（Open Authorization）は、委任認可をサポートすることを目的に設計された業界規格です。OOAuth が規定される以前は、第三者（資産運用会社など）が個人のアカウントにアクセスする必要がある場合、その個人は自分の資格証明を第三者と共有しておく必要があったため、個人の環境が危険にさらされることになりました。OAuth はもともと、あるサイト（サービス・プロバイダ、またはリソース・サーバー）に格納されている個人の秘密データをユーザー（リソース所有者）が別のサイト（コンシューマ、またはクライアント）と透過的に共有できるようにするために設計されたものです。コンシューマを中心とする委任認可だったもともとのユースケースが、OAuth 2.0によって企業やクラウドまで拡張されています。OAuth 2.0 を使用すると、サード・パーティのアプリケーションが自らのためにアクセス権を取得する（2-legged プロセス）ことや、リソース所有者と HTTP サービス・プロバイダとの間の承認の伝達を調整することでリソース所有者に代わって制限付きで HTTP サービスにアクセスできる権利を取得する（3-legged プロセス）ことがでます。モバイル・クライアントを中心に説明していますが、OAuth はもともと、プライベート・ユーザーが所有するリソースにアクセスする必要がある Web アプリケーションを対象としていました。

Oracle Access ManagementによるOAuthのサポート

OAuth は複数の Oracle Access Management によってサポートされています。

» Oracle Access Management Identity Federation（Web クライアント専用ライセンス（モバイル非対応））。

» Oracle Access Management Mobile and Social（Web クライアントとモバイル・クライアントの両方のライセンス）。

» Oracle API Gateway （通常、 OAG はリソース・サーバーとして機能し、 Oracle Access Management OAuth サービスは認可サーバーとして機能します。Access Management OAuthトークンを OAG フィルタで検証してから、リソースへのアクセスが許可されます）。

» Web Services Manage（リリース予定）：OAuth のクライアント側をサポートするサービスです。Oracle Access Management OAuth サービスと統合し、アクセス・トークンの取得、WSMで保護されているリソースへのアクセス・トークンの伝播、サービス側でのアクセス・トークンの検証ができるようにします。


Identity Federation OAuthサービス

Identity Federation OAuth サービスは、OAuth 2.0 規格に準拠したトークン発行機能、トークン検証機能、トークン取消し機能およびユーザー・フロー機能を Access Management サーバー（管理とランタイムの両方）に追加します。OAuth サービスを使用すると、サービス同士の間で行われる多数の通信にエンドユーザーのパスワードが使用されなくなるためセキュリティが強化されます。また、大規模なデプロイメントでは信用ポリシーと関連付けが一元化されるため管理コストが削減されます。標準の OAuth サービスは、Oracle Access Management Identity Federation サービスを有効にすると暗黙的に有効化されます。Mobile OAuth も有効化するには、Identity Federation サービスの他に Mobile and Social サービス（後ほど説明します）を有効化する必要があります。

Oracle Access Managementクラウド・フェデレーション

» Microsoft Office 365 SAML 2.0 フェデレーション： Oracle Access Management Identity Federation がアイデンティティ・プロバイダで、MS Office 365 がサービス・プロバイダです。

» WS-Federation パッシブ・リクエスタ・プロファイル：クロス・ドメインの Web SSO（HTTP Redirect、HTTP Post）、ローカル・ログアウトがサポートされます（すなわち、信頼されている WS-Federation エンド・ポイントすべてにログアウトがブロードキャストされるわけではありません）。

» Web サービスと API セキュリティ：Salesforce、Google、Amazon AWS、SQS とのフェデレーションとこれらによる委任認可をサポートします。

モバイル・セキュリティ

オラクルは、従業員とエンドユーザーの両方のユースケースをサポートする統合型の完全なモバイル・セキュリティ・ソリューションを提供します。

図12：Oracle Mobile Securityの概要


サービスは次の 3 つです。

» Oracle Mobile Security Suite：BYOD を実践する従業員中心のモバイル・セキュリティ・スイート。“コンテナに格納された”セキュアな“既製”の企業アプリケーションとデータから個人のアプリケーションを切り離すことで、デバイスのロックダウンを不要にします。コンテナに格納されているアプリケーションは、従業員が会社のネットワーク（イントラネット）を介してアクセスするオラクルとサード・パーティのエンタープライズ・アプリケーションです。Oracle Mobile Security Suite については、Oracle Mobile Security Suite のみを扱ったホワイト・ペーパーを参照してください。

» Oracle Access Management Mobile and Social：Access Management プラットフォームのサービスのうち、エンドユーザーを中心にした部分。ソフトウェア開発キット（SDK）が用意されているため、Apple の iOS デバイスや Google の Android デバイス向けのカスタム・エンタープライズ・アプリケーションを保護して、モバイル機器とソーシャル・ネットワークと企業のバックエンドの ID 管理インフラストラクチャの間の隙間を埋めることができます。

» Oracle API Gateway：DMZ 内でモバイル・リクエストをインターセプトし、プロトコルとデータ形式の変換をサポートします。

Oracle Access Management Mobile and Socialサービス

Oracle Access Management プラットフォームに不可欠なコンポーネントである Mobile and Socialサービスでは、次のような複数のプラットフォーム・コンポーネントを活用します。

» Access Management のコア・サービス：Web アプリケーションの認証、認可、およびシングル・サインオンに使用。

» Adaptive Access：モバイル機器のフィンガープリント処理および登録、モバイル機器のコンテキスト内でのリスクベース認証要素の設定、不正検出に使用。

» Oracle API Gateway ：さまざまなプロトコルおよび形式の Web サービスおよび Web Application Program Interface（API）をサポートする最前線の防御、クラウド・サービスへのセキュリティ・ゲートウェイ、データ・リダクション（属性ベースのエンタイトルメント・サーバーと併用）、アイデンティティ伝播、およびレガシー・アプリケーションへのアクセスといった機能を装備。OAG については、後のセクションで詳しく説明します。

» Entitlements Server：ファイングレイン属性ベース認可ポリシーと、モバイル機器のコンテキストに基づくモバイル・アプリケーションへのアクセスに使用。

» Oracle Directory Services：モバイル・アプリケーションから LDAP ベースのユーザー・ディレクトリへの直接アクセスに使用。

Mobile and Social を使用すると、Facebook や Google から取得したアクセス・トークンを指定しなければサービス認証を受けられない Web サイトを、エンタープライズ・アイデンティティより軽量でありながらソーシャル・ネットワークの要件への適合度が高いセキュリティ標準に依存して構築できるため、ソーシャル ID を安全に活用できます。


図13：Oracle Access Management Mobile and Socialサービスの起動パッド

Oracle Mobile and Social には次の機能が含まれます。

» 委任認可：OAuth 2.0 規格を利用します。

» モバイル・サービス：ブラウザ・ベース（HTML5）およびネイティブ・モバイル・アプリケーションでエンタープライズ ID 管理インフラストラクチャ（通常は Oracle Access Managementプラットフォーム）に接続します。

» インターネット・アイデンティティ・サービス：Google、Facebook、Twitter、LinkedIn などの一般的なクラウドベースのアイデンティティ・サービスとの通信に、Mobile and Social をリライング・パーティとして使用できるようにする機能を提供します。

» 複数のログイン・オプション：Oracle Mobile and Social をデプロイすると、アイデンティティ・プロバイダごとにアクセス機能を実装しなくてもユーザーに複数のログイン・オプションを提供できます。

» ユーザー・プロファイル・サービス：LDAP の CRUD 操作ができる REST インタフェース、自動登録、プロファイル管理、パスワード管理、アカウント削除などのユーザー・セルフサービス機能を提供します（ユーザー・プロファイル・サービスは OAuth リソースとしても使用できます）。

» Access Management 統合サービス：エージェント・ソフトウェア開発キット（SDK）に用意されているランタイム REST インタフェースを介して Oracle Access Management を活用できるようにします。

Mobile and SocialサービスのOAuthのサポート

Oracle Mobile and Social では、前述した Oracle Access Management プラットフォームの OAuth 2.0サービスを利用します。Oracle Access Management Mobile and Social を使用することで、OAuth クライアントがモバイル機器に存在する場合のセキュリティ・サポートが強化されます。これにより、OAuth 2.0 の仕様で基準の対策として定義されているセキュリティがさらに強化されます。

モバイル機器上では、OAuth クライアントでクライアント検証コードを取得してからでなければ、Access Management サーバー上の認可エンド・ポイントとモバイル・アプリとの通信ができません。特定のデバイスにインストールされている特定のアプリへのトークンの配信を、Mobile and Social のサーバー・コンポーネントで制限することができます。そのためには、トークンの一部をHTTPS 経由で送信し、別の部分を Apple Push Notification Service（APNS）または Google Cloud Messaging（GCM）のいずれかを使用してプッシュ通知で送信します。モバイル OAuth シングル・


サインオンを使用すると、1 つのデバイス上の複数のモバイル・アプリで同じユーザー・セッションを共有できます。ユーザー・セッションはクライアントではなくサーバー上に、セキュリティ保護された状態で存在します。

ユーザーは、1 つのモバイル機器にインストールされているモバイル OAuth アプリのインスタンスごとに認可を登録することもできます。登録すると、アプリにクライアント・アサーション・トークンが発行されます。モバイル・クライアントからは、OAuth アクセス・サービス・エンド・ポイントのすべてに使用する入力パラメータとして、クライアント・アサーション・トークンが送信されます。モバイル・クライアントを登録すると、OAuth アクセス・サービスの通信がクライアントで実行され、保護リソースへのアクセスに使用するアクセス・トークンが取得されます。モバイル機器およびアプリでは、Oracle Access Management プラットフォームの Adaptive Access（不正検出）サービスによる不正行為のチェックが行われます。

Mobile and SocialクライアントSDK

Mobile and Social サービスにはクライアント・ライブラリが用意されています。開発者はこれを使用して、登録済みのモバイル・アプリに機能豊富な認証、認可および識別機能を追加できます。Mobile and Social サーバーのアーキテクチャはプラガブルであるため、システム管理者はバックエンドで ID 管理サービスおよびアクセス管理サービスを追加、変更および削除でき、ユーザーがインストールしたソフトウェアを更新する必要はありません。Mobile and Social サービスには、Apple の iOS、Google の Android、およびデスクトップ・アプリケーション向け汎用 Java に対応したクライアント・ソフトウェア開発キット（SDK）が別々に用意されています。これらのクライアント SDK は、モバイル・アプリケーションにアイデンティティ・セキュリティ機能を組み込み、認証サービス、認可サービス、ディレクトリ・アクセス・サービス用の既存のアイデンティティ・インフラストラクチャを使用できるように設計されています。

ORACLE MOBILE AND SOCIALのユースケース

必要なコンポーネントユースケースの説明

» Access Managementのコア・サービス

» Mobile and Social

認証

モバイル・アプリケーションとリソースとの間のパスを保護するトークンとして、

Mobile and SocialにはAccess Managementトークン（HTTP Cookies）とJSON Web Token（JWT）の2種類があり、複数のリソース・タイプをサポートできます。

» Mobile and SocialクライアントSDKは、SDKがユーザーの資格証明を収集し

た後に認証をプログラム的に処理します。 » SDKはMobile and Social RESTインタフェースを使用し、アプリに構成済み

のトークン・サービスでユーザーを認証します。 » Access Managementで生成されたトークンは、Mobile and Socialサービスに

よりJSONペイロードとして配信されます。 » モバイル・アプリによってトークンがAccess Managementインターセプタ

（WebGate）に提示されると、Access Managementポリシー・サーバーで

このトークンが検証され、Access Managementで保護されているどのタイプ

のリソースにもアクセスできるようになり、AMインターセプタのリクエス

トによりブラウザが認証ページにリダイレクトされることはなくなります。



» 適応型アクセス


厳密認証とステップ・アップ認証

Mobile and Socialを使用すると、デバイスとアプリの両方の登録を要求する新し

い認証レイヤーが適用されます。Mobile and Socialと通信する各アプリが構成パ

ラメータをダウンロードし、同じアプリが発行する後続のすべてのリクエストに

要求されるアプリ登録ハンドルを取得します。SSOが構成されている場合はSSO用のアプリ登録がデバイス登録として機能し、後続のすべてのリクエストでこの

デバイス登録ハンドルが必要となります。デバイス登録は、Adaptive Accessサー

ビスで使用できるポリシー評価やリスク評価の対象でもあります。ナレッジベー

ス認証（KBA）やワンタイム・パスワード（OTP）などのステップアップ・チャ

レンジは、このポリシーでトリガーできます。 » Adaptive Accessのポリシーは初回アクセス用に実装できるため、KBAを必要

とする新しいデバイス登録や機密性の高いアプリケーションでOTPを要求す

ることができます。 » 特定のユーザーにポリシーを定義することもできるため、弱いアクセス権限

を持つユーザーにはユーザー名とパスワードによるログインを許可する一方

で、強いアクセス権限を持つユーザーにはOTPを求めることができます（ス

テップ・アップ認証）。 » デバイスをAdaptive Accessサービスにあらかじめ登録しておかないと、アプリ

ケーションでの認証やトークンの取得ができないようにすることができます。


» 適応型アクセス


デバイスの紛失や盗難

スマートフォンで会社のリソースにアクセスしている場合は特に、スマートフォン

の紛失や盗難がユーザーや会社にとって高いセキュリティ・リスクとなります。

Mobile and SocialをAdaptive Accessと連携させると、デバイスの紛失や盗難をマーキングして、盗難にあったデバイスで会社のアプリケーションにアクセスされ

た場合に適用する特殊なポリシーを実装できるため、このようなリスクに対処でき

ます。

デバイスからMobile and Socialに通信するたびにデバイスの識別コンテキスト・データがAdaptive Accessサービスに配信されるため、デバイスの紛失が報告された

場合はユーザーにチャレンジする、あるいはデバイスの盗難が報告された場合はデバイスへのアクセスを一切拒否する、といったことをAdaptive Accessで実行でき

ます。


» Oracle API Gateway

WebサービスとWeb APIのセキュリティ

会社の既存システムで一般的に使用されているテクノロジーであるSOAP、Java Message Service（JMS）、Message Queue（MQ）、またはファイル転送プロ

トコル（FTP）を使用するより複雑なアプリケーション、Webサービス、および

SOAベースのインフラストラクチャはモバイル機器では十分にサポートされない

ため、モバイル・アプリで会社の情報にアクセスする場合は通常、軽量なRESTベースのAPIを使用します。Oracle API Gatewayを使用する場合は、コーディン

グを一切行わなくても、社内システムや会社のデータを、セキュリティが万全な

RESTベースのAPI（JSONペイロードを使用）として公開できます。これを実現

するには、バックエンドにある既存のSOAPサービスまたはJMSサービスを、

OAGを介してREST APIとして仮想化します。認証、アイデンティティ伝播、ユーザー・クレーム（属性アサーション）に必要な既存の転送プロトコルおよび

セキュリティ・トークンも、既存のバックエンド・システムを変更することなく、モバイル要件に対応する形に自動的に変換できます。たとえば、Oracle Access Managementプラットフォームから発行されたRESTベースのJWTトーク

ンのみを受け付ける必要がある場合は、認証されたトークンを、SAMLトークン

に変換したり、SOAPベースのバックエンド・システムから要求される任意のタ

イプのトークンに変換したりできます。



» ディレクトリ・サービス

ユーザー・プロファイル・サービスを介したディレクトリ・データの公開

LDAPディレクトリ・サービスは、ユーザーによるセルフサービス、会社のホワ

イト・ページ、ヘルプデスクでのユーザー・アカウント管理をはじめ、多くの機

能で使用されます。Mobile and Socialを使用すると、LDAPクライアントを構築

しなくてもモバイル機器でディレクトリ・サービスを使用できます（ホワイトリ

スト・アプリなどのモバイル・クライアント・アプリは引き続き必要です）。

Mobile and Socialには、Oracle Directory Servicesおよびサード・パーティのディ

レクトリ・サービス（Microsoft Active Directoryなど）に対応したRESTインタフェースが用意されています。Mobile and Socialのユーザー・プロファイル・サービスを使用すると、ユーザーや管理者は構成済みディレクトリにアクセスし

て多数の共通機能を使用でき、ディレクトリ固有のセキュリティの上に、さらに

外部に対するセキュリティ・レイヤーを追加することができます。



Mobile and Socialサービスの補完機能 » Google、Facebook、またはTwitterを使用してユーザーを認証するには、

ソーシャルIDサービスを使用します。 » モバイル・サービスを使用してローカルの認証機能を提供する、または、

ソーシャルIDプロバイダからユーザーIDアサーションを受け入れることによってユーザー・トークンを生成します。

APIおよびWebサービスのセキュリティ

Web Application Program Interface（API）は、開発者がサード・パーティのパブリック・アプリケーションにプログラム的にアクセスし、サード・パーティのサービス（Google Maps など）と独自のビジネス Web サイト（歯科医院など）を統合できるように設計されています。API は複数種類のクライアント（携帯機器など）からアクセスされるため、軽量なインフラストラクチャとしてREST を使用します（REST API は、Web ベースのクライアントと HTTP サーバー間で REST の制約を使用した通信ができるようにする手段です）。

Web サービスはクライアント・リクエストを直接するか、フロントエンドのレガシー・アプリケーションを処理する自己完結型アプリケーションです。Web サービスを保護するプロトコルには、WS-Security 標準および SAML アサーションなどのトークンを利用する XML/SOAP、RESTful 環境および OAuth などの軽量なセキュリティ・プロトコルなど、さまざまなものがあります。

API と Web サービスのセキュリティをサポートする Oracle Access Management コンポーネントは、Oracle API Gateway、Oracle Web Services Manager、Oracle Secure Token Service など、複数あります（図 14 を参照）。

図14：オラクルの階層型セキュリティの概要


Oracle API Gateway

Oracle API Gateway は、オンプレミスまたはクラウドにデプロイされている Web API および Webサービスへのアクセスを保護します。REST API トラフィックに対するメッセージレベルの脅威を検出して防御します。

» HTTP ヘッダー、HTTP QueryString パラメータ、HTTP POST データをスキャンします。

» HTTP メソッドの部分的な制限を有効にし、不適切な使用を検出してブロックします。

» ペイロードと添付ファイルをスキャンし、有害なコンテンツ、ウイルス、JSON/XML スキーマがないかどうかを検証します。

» ウイルス検出ソフトウェアと統合し、よく発生する REST API のセキュリティぜい弱性への攻撃を検出および防御します。

Oracle API Gateway を使用すると、アクセス管理が REST API まで拡張され、コンテキスト対応認証、コンテンツ対応認可、セキュリティ・トークン、データ・リダクション、および監査の各サービスを利用できるようになります。また、モバイル機器（タブレットやスマートフォン）から Webサービスおよび API へのアクセスも Oracle API Gateway によって拡張されます。Oracle API Gateway を使用すると、Oracle Cloud や Amazon Web Services Cloud コンピューティング・プラットフォームなどのクラウド環境にゲートウェイを簡単にデプロイできます。Oracle API Gateway は、API と Web サービスのセキュリティのほかに、XML ファイアウォール機能、データ形式変換機能（XML から JSON およびその逆）、プロトコル・ブリッジ機能（REST、SOAP、JMS）を提供します。

Oracle Access Management のコア・サービスや Web Services Manager、サード・パーティの ID 管理インフラストラクチャやアクセス管理インフラストラクチャなど、複数の環境を Oracle API Gateway と統合することで、エンド・ツー・エンドの完全なソリューションを提供できます。オンプレミスに Oracle API Gateway をデプロイし、クラウドでホスティングされている API にアクセスすることができますが、オラクルのクラウドまたはサード・パーティのクラウド・サービスにデプロイすることもできます。

Oracle Web Services Manager（Oracle WSM）

Oracle WSM は、Oracle Fusion Middleware および Oracle Fusion Applications に対応した標準ベースのポリシー主導型 Web サービス・セキュリティ・フレームワークです。Oracle WSM は Oracle Fusion Middleware の“下位”スタック、すなわちインフラストラクチャに含まれます（“上位”スタックには Oracle Access Management などのアプリケーション・ピラーが含まれます）。

Oracle WSM はポリシー・マネージャと Oracle WSM エージェントで構成されます。ポリシー・マネージャはドメイン内の 1 つ以上のノード（マネージド・サーバー）にデプロイされるステートレス・コンポーネントで、事前定義やカスタムのセキュリティ・ポリシーを Oracle WSM リポジトリから読み取ったりそこに書き込んだりします。Oracle WSM エージェント（クライアント側およびサーバー側）はすべての Fusion Middleware マネージド・サーバー上でネイティブに使用できます。Oracle WSM エージェントはポリシー・インターセプタ・パイプラインを介してポリシー適用ポイント（PEP）を提供し、ポリシー・マネージャからの情報をキャッシュします。保護されているWeb サービスにクライアント・アプリケーションからアクセスすると、Oracle WSM エージェントがポリシー・キャッシュを問い合わせて適切なポリシーを適用します。ポリシーに基づいて、リクエストの認証、暗号化、復号化、認可またはログ作成が行われます（これらのいずれの操作を実行


する場合も、エージェントをポリシー・マネージャに接続する必要はありません）。ポリシー・マネージャの実行時の可用性は、Oracle WSM エージェントの機能に影響を与えません。

Oracle WSM には次の利点があります。

» 可視性、コントロール、ガバナンス：単一の統合コンソール（Oracle Enterprise Manager）でOracle スタック全体を通じた Web サービス・セキュリティの管理、監視、および監査ができるため、管理が一元化されます。

» オープン、拡張可能、統合済み：業界標準に基づくサード・パーティ環境（セキュリティ・トークン・サービスなど）と相互運用できます。拡張してカスタム・ポリシーをサポートできます。Oracle Layered SOA Security 戦略の一部として、複数の Oracle コンポーネントと統合されています。

» Oracle Fusion Applications SaaS サービス、Oracle Java Cloud Service、Oracle Application Development Framework（Oracle ADF）および Oracle Service Bus PaaS サービスのサービス・セキュリティが有効化されます。

Oracle WSM では、Entitlements Server を利用して属性ベースの認可をサポートします。Oracle WSMは、属性ベースの認可を SOAP ベースの Web サービスに適用します。所定のリソースに対して特定の操作を実行する主体に対する権限の付与または拒否は、コンテキスト属性（XPath 文を使用してSOAP リクエスト・メッセージから抽出した情報、HTTP ヘッダーなど）に基づき Entitlements Server の認可ポリシーで決定されます。Entitlements Server は、Web サービス・リクエストに対する応答に含まれる特定の情報を（任意の文字で）マスキングするときにも使用できます。

Security Token Service

Security Token Service（STS）は Oracle Access Management プラットフォームに不可欠な要素ですSTS は Web サービス・コンシューマ（WSC）と Web サービス・プロバイダ（WSP）との間の信頼を仲介し、コンシューマとプロバイダの両方に対してセキュリティ・トークンのライフ・サイクル管理サービスを提供します。STS を使用すると、WS-Trust 仕様を実装する一貫性のある合理的なモデルを構築してセキュリティ・トークンの取得、検証、取消し、および再生ができます。

STSとOAGの相互運用性：トークンの変換とアイデンティティの伝播

このケースでは、OAG は Oracle Access Management STS（または任意のサード・パーティ STS）の WS-Trust クライアントとして機能します。

図15：STS-OAG相互運用性


OAG と STS 間の通信はすべて WS-Trust に基づきます。OAG と Web サービス間の信頼関係を STSで仲介することで、クライアント側から Web サービス・エンド・ポイントへとアイデンティティがスムーズに伝播されます。Web サービス・エンド・ポイント（WSP）の保護を Oracle WSM エージェントで強化することができます（ラストマイル・セキュリティ）。

STSとコア・サービスとOracle WSMの相互運用性：

WebアプリケーションからWebサービスへのアイデンティティ伝播

このケースでは、Oracle Access Management で保護されている Web アプリケーションから Oracle WSM（または WS-Trust 準拠のサード・パーティ・エージェント）で保護されている Web サービス・プロバイダへ、ユーザーのアイデンティティを伝播する必要があります。

図16：STSとAccess ManagementとOracle WSMの相互運用性

ユーザーはポータル・アプリケーションにログオン（ユーザー名/パスワード）し、購買アプリケーションをクリックして Web サービス経由で購入します（Web サービス・プロバイダは同じドメインに存在する場合とそうでない場合があります）。STS を使用して Access Management トークンを SAML アサーションに交換します。Oracle WSM を使用して、ポータルと Web サービス・プロバイダ間でユーザーのアイデンティティを伝播します。

クラウド・セキュリティ

クラウド・コンピューティングを活用すると、ソフトウェアや IT リソースをサービスとして購入することができます。ユーザーはいつでも複数の場所からビジネス・アプリケーションにアクセスでき、使用レベルを追跡したり、事前に多額のコストをかけずに必要に応じて容量を拡張したりできます。ID 管理、アクセス制御、およびクロスエンタープライズ・セキュリティは、オラクルが提供する幅広いクラウド・サービスの中核をなすものです。


図17：クラウド・セキュリティのデプロイメント・オプション

自社環境を一挙にクラウドに移行しようとするユーザーはまずいません。ほとんどの企業は、それぞれのペースで各社固有の要件や優先順位を満たして行きます。図 17 に示すとおり、アクセス制御と ID 管理のオプションとして、オラクルはクラウド対応、マネージド・クラウド、パブリック・クラウドをサポートしています。

» クラウド対応の ID サービス：Identity Governance、Access Management、Mobile Security、Directory Services を含むオンプレミスまたはプライベート・クラウド。

» マネージド ID サービス：事前構成済みの、オラクルが管理する Identity-as-a-Service（MIDaaS）。完全なエンタープライズ ID ガバナンス機能とアクセス管理機能に対応する個別のサービスが含まれます。このデプロイメント・オプションを選択した場合は、オラクルに運用を任せながら、既存の Oracle 投資をクラウドに拡張してビジネス・プロセスを変換することができます。

» パブリック・クラウド ID サービス：Oracle Identity Cloud Service（IDCS）は、クラウド・ネイティブな包括的次世代型セキュリティおよび ID 管理プラットフォームです。https://www.oracle.com/cloud/paas/identity-cloud- service.html

クラウド・アクセス・ポータル

クラウド・アクセス・ポータルは、Oracle Access Management プラットフォームのコンポーネントのうちモバイルとクラウドに対応するソリューション部分です。企業が抱える次のような課題を解決できるように設計されています。

» 会社の Web リソースおよびクラウド・リソースにアクセスできるまでのユーザー・エクスペリエンスを簡素化する。

» PC およびモバイルのさまざまなフォーム・ファクタに適合させる。

» 既存の企業ポータルとの統合を可能にする。

» SaaS、パートナー、およびクラウド・アプリケーションとの統合を調整するウィザード主導型ツールを提供する。

アクセス・ポータルは、プライベート SSO ポータルを構築できるようにオンプレミス・デプロイメント向けに設計されており、ユーザーは、ブラウザをサポートする任意のデバイス（PC、Mac、Linux ワークステーション、タブレット、およびスマートフォン）から 1 つのセキュアな方法で企業アプリケーションにアクセスできます。アクセス・ポータルはイントラネット・アプリケーショ

https://www.oracle.com/cloud/paas/identity-cloud-%20service.html


ンとエクストラネット・アプリケーションをサポートします。また、SaaS アプリケーション、パートナー・アプリケーション、および Oracle Access Management で保護されたアプリケーションへのシームレスなアクセスをサポートします。アクセス・ポータルでは、アプリケーションの種類に応じて複数のシングル・サインオン方式を利用します。

» ログイン・フォームを使用するアプリケーションの開発（フェデレーションなし）：Oracle Traffic Director ゲートウェイを介してオラクルのフォーム入力テクノロジーが有効化されます（必要に応じて ODT の管理インタフェースで Web サーバーへのルートを定義し、リライト・ポリシーを構成します）。

» フェデレーション対応アプリケーション：Access Management Identity Federation を介してアイデンティティ・プロバイダによりリンクが起動されます。

» Access Management で保護されている会社の Web リソース：Oracle Access Management のポリシーとセッション識別子による SSO。

図18：クラウド・アクセス・ポータルの概要

Oracle Access Management プラットフォームに不可欠な要素であるアクセス・ポータルは、次の機能を提供します。

» エンドユーザーの資格証明管理サービスが Access Management プラットフォームに追加されます（Web ログオン・マネージャ - WLM）。

» ウォレットおよびアプリケーション/ポリシーCRUD に対応した REST サービスおよび API をAccess Management の管理サーバーおよびマネージド・サーバーと完全統合します。

» アプリケーション、アプリケーション・カタログ、ダッシュボード、およびウォレットのネイティブ通知を有効化します。

» Access Management の認証トークンをサポートし、ユーザーが資格証明管理サービスにアクセスできるようにします。

» Adaptive Access および Privileged Access Management などの Access Management のコア・サービスとの統合を強化する重要な基盤を提供します。

» エンタープライズ SSO の管理を Access Management の管理コンソールに移行するための基盤を提供します（エンタープライズ SSO については後ほど説明します）。


» ユーザーに代わって認可済みのサービスで資格証明管理サービスにアクセスするための基盤を提供します。アクセス・ポータルは、従来のリッチクライアントベースのエンタープライズSSO を Microsoft Windows デスクトップ以外まで拡張します。

» Web、モバイル、 Windows、Windows 以外のデスクトップ、カスタマイズ。

» エンドユーザーが資格証明やアプリケーションを管理およびアクセスするための Web ベース UI（エンタープライズ SSO Web ログオン・マネージャ）。

» クライアント・コンポーネントのインストールなしで Web アプリケーションをサポートします（アクセス・プロキシ、“Web アプリケーション向けエンタープライズ SSO”として表示可能）。

» 既存のエンタープライズ SSO デプロイメント（データ・ストア、ポリシー）との互換性と共存を確保します。将来に備えた柔軟性を犠牲にしない移行や導入の簡素化を可能にします。

エンタープライズ・シングル・サインオン

エンタープライズ・シングル・サインオン（SSO）は、ユーザーへの企業アプリケーションへのアクセス権付与に関連するあらゆるタスクを処理するデスクトップベースのコンポーネント・スイートを提供します。対象となるタスクには、自動サインオン、アプリケーションのパスワード変更、Windows パスワードのリセット、キオスク・セッションの管理、アプリケーション資格証明のプロビジョニング、セッション内外の厳密認証などがあります。エンタープライズ SSO では任意のLDAP ディレクトリ、Microsoft Active Directory、または任意の SQL データベース・サーバーをユーザー・プロファイルおよび資格証明リポジトリとして使用します。また、エンタープライズ SSO はOracle Identity Management とシームレスに統合されているため、共通するセキュリティ・ポリシーの適用とコンプライアンス・レポートの作成を、アプリケーションを横断して実行できます。

エンタープライズ SSO スイートには以下の機能が含まれます。

» ログオン・マネージャ（ESSO-LM）：認証およびシングル・サインオン。

» パスワードのリセット（ESSO-PR）：セルフサービスによる Windows パスワードのリセットとWindows アカウントのロック解除。

» ゲートウェイのプロビジョニング（ESSO-PG）：Oracle Identity Manager などの外部の ID 管理システムを介して ESSO-LM ユーザーのアプリケーション資格証明をリモート・プロビジョニングし、キオスク環境にセッション管理およびアプリケーション管理を提供します。

» キオスク・マネージャ（ESSO-KM）："キオスク"環境（1 台のワークステーションを複数のユーザーで共有している病院など）でのセッションとアプリケーションのサインオンおよび状態を、ユーザー・レベルで詳細に把握できます。

» ユニバーサル認証マネージャ（ESSO-UAM）：標準の Windows ログオン・メカニズムに置き換わる厳密認証ソリューション。ログオン方式としてスマートカード、近接型カード、トークン、またはバイオメトリックを使用します。

» ESSO Anywhere：管理者の介在なしで ESSO-LM と ESSO-PG をデプロイする手段をエンドユーザーに提供します。

» ESSO レポート：イベント・データを取得してリモート・データベースに格納します。


エンタープライズ SSO と Access Management プラットフォームのコア・サービスは緊密に統合されているため、アクセスされているアプリケーションの種類に関係なく単一の SSO セッションを実装できます。したがって、クロスエンタープライズのセキュリティとコンプライアンスが強化されます。Oracle Access Management プラットフォームでは、エンタープライズ SSO でサポートされている厳密認証を Web SSO セッションに利用できます。エンタープライズ SSO 認証が成功した後、エンタープライズ SSO エージェントが Access Management の Cookie を取得して自動的にユーザーの Web ブラウザに入力し、Access Management で保護されているアプリケーションへのシームレスなアクセス権をユーザーに付与します。エンタープライズ SSO セッションの有効期限が切れるとブラウザから Cookie が削除されるため、Access Management のセッションも終了します。

エンタープライズ SSO とクラウド・アクセス・ポータル（前述）は補完ソリューションです。アクセス・ポータルはセキュア REST インタフェースを使用してエンタープライズ SSO アプリケーションや構成ストアにアクセスし、前述した従来の ESSO-LM クライアントを、プロキシ・テクノロジーを使用して置き換えます（カスタマイズ可能なユーザー・インターフェースで REST インタフェースと対話し、エンタープライズ SSO アプリケーションの構成ストアや資格証明ストアのクロスプラットフォームのプレゼンテーション・レイヤーとして機能します）。

スケーラビリティと高可用性

Oracle Access Management は、インターネットレベルのパフォーマンス、スケーラビリティ、高可用性を実現できるように設計されています。オラクルは、2 億 5 千万個ものユーザー・アカウントを含む大規模なパフォーマンス・テストを実施しました。その結果、Oracle Access Managerサーバーの数を増やすたびに、パフォーマンスが直線的に向上することがわかりました。たとえば、構成に 2 台目の Oracle Access Manager サーバーを追加すると、1 秒あたりの認証トランザクションが 3000 から 5250 に増加しました。

高可用性（HA）とは、システムやコンポーネントに障害が発生しても、システムやコンポーネントが長期にわたり継続的に動作できることを意味します。サービス・レベル要件によっては、HA 戦略はサーバーのスタンバイ/アクティブ構成から複数のデータセンター間のアクティブ/アクティブ構成に及ぶ場合もあります。後者は、財務組織で実施されることの多い構成で、最大レベルの可用性を実現できます。Oracle Access Management は次のような幅広い HA 戦略をサポートします。

» アクティブ-アクティブ、パッシブ-パッシブまたはアクティブ–ホット・スタンバイ

» シームレスな SSO およびグローバルなログアウト

» データセンターをまたぐクラスタに対応したマスター-クローン構成

» 初期セットアップに対応したテスト-本番（T2P）プロセスと継続的な同期化に対応した自動レプリケーション

» セッション導入ポリシーに基づき行動を構成可能


図19：Oracle Access Managementの高可用性

結論

Oracle Access Management は、業界内で類を見ない画期的なアクセス管理テクノロジーです。Oracle Access Management では次のことが可能です。

» 複数の単機能製品や Web エージェントの管理を不要にして IT を合理化し、完全なアクセス管理を実現する。

» モバイル、クラウド、およびソーシャル ID などの新しいサービスをサポートし、ビジネスを変換する。

» 優れたアーキテクチャと複数のデータセンターにまたがる最適なデプロイメントによって、インターネットレベルのスケーラビリティの需要に対応する。

» すべてのアクセス管理サービスで、リスクを認識したコンテキスト主導の決定ができるようにすることで、確実性のレベルを向上させる。

» インストール、構成を簡素化し、構成可能な 1 つのマルチサービス・プラットフォームに複数製品を収束することで、IT 効率を向上させる。

» サード・パーティの統合とカスタマイズを可能にするオープン・アーキテクチャを提供する。

Statement of Direction

• Oracle Privileged Account Manager Doc ID 2306738.1

• Oracle Enterprise Single Sign-On Suite Plus Doc ID 2308888.1

• Oracle Adaptive Access Manager Doc ID 2305294.1

https://support.oracle.com/rs?type=doc&id=2306738.1



Oracle Corporation, World Headquarters

500 Oracle Parkway

Redwood Shores, CA 94065, USA

海外からのお問い合わせ窓口

電話：+1.650.506.7000

ファクシミリ：+1.650.506.7200

C O N N E C T W I T H U S

blogs.oracle.com/oracle

facebook.com/oracle

twitter.com/oracle

oracle.com

Copyright © 2017, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記載される内容は予

告なく変更されることがあります。本文書は、その内容に誤りがないことを保証するものではなく、また、口頭による明示的保証や法律による

黙示的保証を含め、商品性ないし特定目的適合性に関する黙示的保証および条件などのいかなる保証および条件も提供するものではありませ

ん。オラクルは本文書に関するいかなる法的責任も明確に否認し、本文書によって直接的または間接的に確立される契約義務はないものとしま

す。本文書はオラクルの書面による許可を前もって得ることなく、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっ

ても再作成または送信することはできません。

Oracle および Java は Oracle およびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。

Intel および Intel Xeon は Intel Corporation の商標または登録商標です。すべての SPARC 商標はライセンスに基づいて使用される SPARC

International, Inc.の商標または登録商標です。AMD、Opteron、AMD ロゴおよび AMD Opteron ロゴは、Advanced Micro Devices の商標または

登録商標です。UNIX は、The Open Group の登録商標です。0917

Documents

Oracle Access Management - 完全でスケーラブル …...Oracle Access Management 免責事項 下記事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯

Oracle Access Management - 完全でスケーラブル …...Oracle Access Management 免責事項下記事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯