Weitere ähnliche Inhalte
Ähnlich wie OAAMとTAP統合 (20)
OAAMとTAP統合
- 2. 2Copyright © 2012, Oracle and/or its affiliates. All right
テーマ
Access ManagerとOracle Adaptive Access Manager
のTAP統合
動作検証の準備
OAMMSセキュリティプラグインの概要
OAAMとの統合ユースケース
- 3. 3Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Access Management Mobile and Social
未像:モバイル・ソーシャル・ネットワークが
社会を変える
OAMMSセキュリティプラグインの概要
- 4. 4Copyright © 2012, Oracle and/or its affiliates. All right
OAMMSセキュリティプラグインって何?
主にモバイルユースケースのために設計されるが、
非モバイルユースケースで使用することもできる
1. モバイルへのアクセスをコントロール
2. 追加ユーザーの認証
3. デバイスワイプアウトを通知
- 5. 5Copyright © 2012, Oracle and/or its affiliates. All right
Access ManagerとOracle Adaptive Access ManagerのTAP統合
Access ManagerとOAAMとのTAP統合では、OAAMサーバーが信頼できるパートナ・アプリケーションとして動作
します。OAAMサーバーは厳密認証、 リスクおよび不正分析の実行後にTrusted Authentication Protocol (TAP)
を使用して認証済のユーザー名をOAMサーバーに送信し、OAMサーバーは保護されたリソースへリダイレクトする
役割を果たします。
統合の要件
- 6. 6Copyright © 2012, Oracle and/or its affiliates. All right
Access ManagerとOracle Adaptive Access ManagerのTAP統合
検証した製品のバージョン情報
OHS 11.1.1.6
Webgate 11.1.2.1
Oracle DB 11.2.0.3
OAM+OAAM 11.1.2.1
Weblogic 10.3.6
- 7. 7Copyright © 2012, Oracle and/or its affiliates. All right
Access ManagerとOracle Adaptive Access ManagerとのTAP統合フロー
コンポーネントがインストール
Access ManagerとOAAMの管理
コンソールおよび管理対象サーバ
ーが実行されていることを確認
OAAM管理ユーザーを作成
OAAMベース・スナップショット
をインポート
Oracle Access Managementコ
ンソールに正常にログインでき
る必要
OAAMが正しく設定されたこと
Webゲートエージェント
を登録
OAAMサーバーを信頼できるパートナ・
アプリケーションとして動作するように
Access Managerに登録
エージェント・パスワードを追加
Oracle Access Managementテ
スターを使用してTAPパートナ登録
を検証
IAMSuiteAgentを更新
OAAMでTAP統合プロパティを設定
1
2
3
4
5
6
7
8
9
10
11
12
- 8. 8Copyright © 2012, Oracle and/or its affiliates. All right
統合後、保護されたリソースへリダイレクトするログイン・フロー
- 9. 9Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Mobile and Social Access Management
未像:モバイル・ソーシャル・ネットワークが
社会を変える
動作検証の準備
- 10. 10Copyright © 2012, Oracle and/or its affiliates. All right
動作検証の準備1:OAAM管理ユーザーおよびOAAMグループの作成
OAAM管理コンソールを保護する場合
外部LDAPストアでユーザーおよびグループの作成を処理する必要
(idmConfigToolコマンドの使用)
OAAM管理コンソールを保護しない場合
WebLogic管理コンソールで管理ユーザーを作成する必要
- 11. 11Copyright © 2012, Oracle and/or its affiliates. All right
動作検証の準備1:OAAM管理ユーザーおよびOAAMグループの作成
WebLogic管理コンソールで管理ユーザーの作成 ◎WebLogic管理コンソールにログイン
◎「ドメイン構造」->「セキュリティ・
レルム」を選択
◎「セキュリティ・レルムのサマリー」
ページで、myrealmを選択
◎「レルム名」→「設定」→「ユーザー
とグループ」→「ユーザー」→「新規」
◎「グループ」タブをクリック
◎ OAAMキーワードのあるグループをすべ
て、ユーザーに割り当てます。
◎グループを左(使用可能)から右(選択済)
に移動 ->「保存」
OAAMEnvAdminGroup
OAAMRuleAdministratorGroup
……
OAAM関連グループ
- 12. 12Copyright © 2012, Oracle and/or its affiliates. All right
動作検証の準備2:OAAM_SERVER_DSにターゲットoam_server1を追加
WebLogin管理コンソールを使用してOAAM_SERVER_DSにターゲットoam_server1を追加
WebLogic管理コンソールにログイン->サービス->データ・ソース->OAAM_SERVER_DSを選択->ター
ゲットタブをクリック->oam_server1を選択->保存
- 13. 13Copyright © 2012, Oracle and/or its affiliates. All right
ユースケースのチェックポイントとアクショングループの概要
チェックポイント アクショングループ
- 14. 14Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Mobile and Social Access Management
未像:モバイル・ソーシャル・ネットワークが
社会を変える
OAAMとの統合ユースケース
- 15. 15Copyright © 2012, Oracle and/or its affiliates. All right
OAAMとの統合ユースケース1,2のイメージ
未像:モバイル・ソーシャル・ネットワークが
社会を変える
モバイルデバイス管理
デバイス登録のスタイル:
パッシブ(R2でサポート)(将来的には他のスタイル:アクティブ、管理)
デバイスプロファイル/フィンガープリント
ユーザーID、デバイスID/プロファイル、クライアントアプリケーションIDの管理
その他の機能
デバイスのホワイトリスト、またはブラックリスト
- 16. 16Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース1:デバイスをブラック
チェックポイント/ポリシー/ルール/アクショングループ
チェックポイント:ポスト認証
ポリシー:OAAMポスト認証セキュリティ
ルール:モバイルデバイスをブラック
デバイスグループ:OAAMブラック・リストに記載されたモバイル・デバイス
アクション:OAAMでモバイルデバイスをブラック
アラート: OAAMブラック・リストに記載されたモバイル・デバイスの使用
予想出力
"message":"Black Listed Mobile Device Rule is triggered ",
"oicErrorCode":"IDAAS-62005",
"status":"WIPE_OUT"
- 19. 19Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース1:デバイスをブラック
未像:モバイル・ソーシャル・ネットワークが
社会を変える
- 20. 20Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース2:盗難・紛失でOAAMデバイスの管理
チェックポイント/ポリシー/ルール/アクショングループ
チェックポイント:ポスト認証
ポリシー:OAAMポスト認証セキュリティ
ルール:盗難・紛失でデバイス
デバイスグループ:盗難・紛失でOAAMデバイス
アクション:紛失したOAAMデバイスを追加
アラート:盗難・紛失でOAAMデバイス
予想出力
"message":"Lost or Stolen Device Rule is triggered",
"oicErrorCode":"IDAAS-62006",
"status":"WIPE_OUT"
- 22. 22Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース2:盗難・紛失でOAAMデバイスの管理
未像:モバイル・ソーシャル・ネットワークが
社会を変える
- 23. 23Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース3:アプリケーションをブラック
チェックポイント/ポリシー/ルール/アクショングループ
チェックポイント:ポスト認証
ポリシー:OAAMポスト認証セキュリティ
予想出力
"message":"The Denied Action is triggered",
"oicErrorCode":"IDAAS-61009",
"status":"DENIED"
- 25. 25Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース4:セッション情報の確認
• OAAMセッションテーブルに重要なコラム
• セッションID、ユーザネーム、ディバイスID、ディバイスタイプ、クラインアウト
アプリケーション ネーム
• 認証ステータス、セッション日、認証後アクション(許可、チャレンジ、ブロック)
• 詳しくは下記ページをご参照
- 26. 26Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース4:セッション情報の確認
未像:モバイル・ソーシャル・ネットワークが
社会を変える
- 28. 28Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース5:アクセス管理とリスクベース認証の統合
アクセスパターンと履歴の収集
アクセスパターン
1. リスク>閾値、KBAチャレンジ、またはOTPチャレンジ
2. リスク>>閾値(間違ったパスワード何度も試行)、ブラックリスト、またはユー
ザ/デバイスを両方ブロック
OTPとKBAは一緒に使用できる。OTP は、KBAチャレンジを補
完するために使用することも、KBAのかわりに使用することもで
きる。
- 29. 29Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース5-1: KBA( Knowledge Base Authentiation)
チャレンジ
ユーザーは、KBAの質問を設定するOAAM管理下サーバーのコンソールを
使用することもできる。
設定流れは39.9.2.6.1 Setting up OAAM Knowledge-Based
Authenticationをご参照
- 30. 30Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース5-2: OTP(One Time Password) チャレンジ
設定流れは39.9.2.6.3 Setting Up OTP E-Mail Integrationをご参照
OTP By Email
OTP By SMS
設定流れは39.9.2.6.4 Setting Up OTP Integration for SMS
Messagesをご参照
- 33. 33
関連用語集&外部リンク
・ SMTP:Simple Mail Transfer Protocol(シンプル メール トランスファー プロトコル)または簡易メ
ール転送プロトコルは、インターネットで電子メールを転送するプロトコルである。通常 TCP のポ
ート番号 25 を利用する。 転送先のサーバを特定するために、DNSの MXレコードが使われる。
RFC 5321 で標準化されている。
・ KBA Knowledge Base Acceleration ナレッジベース認証
・ OTP One Time Password ワンタイムパスワード
、 コンピューターのアカウントのようにアクセス制限されたリソースに対して未承認アクセスすること
をより困難にすることにある。従来の固定パスワードによるアクセス制限では、十分な機会と時間
を与えられた承認を受けない侵入者にとっては容易にアクセスしうる。定期的にパスワードを変更
することで、それもワ ンタイムパスワードを利用することで、こうしたリスクは大幅に低減する。
- 34. 34
関連用語集&外部リンク
・ 認証(Authentication, Authn)
・ 承認(認可, Authorization, Authz)
・ 認証と認可の違い
• http://www.itmedia.co.jp/enterprise/articles/0804/22/news044.html
• http://msdn.microsoft.com/ja-jp/library/bb263941%28VS.85%29.aspx
• au・then・ti・ca・tion [aw thent kaysh'n] 名詞: (認証)
個人やプロセスの身元の確認。
• au・thor・i・za・tion [awthr zaysh'n ] 名詞: (承認)
何かを行う、またはある場所に存在することを、誰かに許可を与えること。