...

Oracle Access Management 11gR2

by user

on
Category: Documents
16

views

Report

Comments

Transcript

Oracle Access Management 11gR2
Oracle Access Management 11gR2 (11.1.2.x)
Frequently Asked Questions (FAQ)
概要
Oracle Access Management 11gはオラクルの次世代アク
セス管理テクノロジーです。もっとも包括的でインター
ネットスケーラブルなアクセス管理ソリューションを備
え、モバイル・セキュリティやコンテキスト・ベースのア
クセス管理などの革新的な新機能を提供します。Oracle
Access Management 11gは、次のサービスで構成されて
います。Oracle Access Management Access Manager
(Access Manager)、Oracle Access Management Identity
Federation ( Identity Federation ) 、 Oracle Access
Management Access Portal(Access Portal)、Oracle Access
Management Mobile and Social(Mobile and Social)、
Oracle Access Management Security Token Service
( Security Token Service ) 、 Oracle Adaptive Access
Manager、Oracle Entitlements Server、Oracle API Gateway、
Oracle Web Services Manager、およびOracle Enterprise
Single Sign-On。
本書に掲載しているよくある質問(FAQ)は、製品ドキュ
メントを捕捉するもので、もっとも一般的な質問にお答え
しています。
Oracle Access Management 11gR2 (11.1.2.x)
Frequently Asked Questions (FAQ)
免責事項
本書に記載されている内容は、情報提供のみを目的として
おり、いかなる契約にも組み込むことはできません。マテ
リアルやコード、機能の提供をコミットメント(確約)す
るものではないため、購買を決定する際の判断材料になさ
らないで下さい。本書に記載されている機能の開発、リ
リース、および時期については、弊社の裁量により決定さ
れます。
3
概要 ............................................................................................................................................................................................................................ 1
免責事項 .................................................................................................................................................................................................................. 2
Oracle Access Management ......................................................................................................................................................................... 5
一般的な質問 ................................................................................................................................................................................................. 5
ライセンス関連の質問 .............................................................................................................................................................................. 6
サーティフィケーション関連の質問 ................................................................................................................................................ 6
機能関連の質問............................................................................................................................................................................................. 7
統合関連の質問............................................................................................................................................................................................. 9
Oracle Access Management Access Manager(Access Manager) ........................................................................................ 10
一般的な質問 ................................................................................................................................................................................................. 10
サーティフィケーション関連の質問 ................................................................................................................................................ 11
移行関連の質問............................................................................................................................................................................................. 11
Oracle Access Management Mobile and Social(Mobile and Social) ................................................................................. 13
一般的な質問 ................................................................................................................................................................................................. 13
Oracle Access Management Access Portal(Access Portal) ..................................................................................................... 15
一般的な質問 ................................................................................................................................................................................................. 15
Oracle Adaptive Access Manager............................................................................................................................................................... 16
一般的な質問 ................................................................................................................................................................................................. 16
Oracle Enterprise Single Sign-On Suite Plus ......................................................................................................................................... 18
一般的な質問 ................................................................................................................................................................................................. 18
Oracle Access Management Identity Federation(Identity Federation)............................................................................ 21
一般的な質問 ................................................................................................................................................................................................. 21
Oracle Access Management Security Token Service(Security Token Service) ............................................................. 25
一般的な質問 ................................................................................................................................................................................................. 25
Oracle Web Services Manager ..................................................................................................................................................................... 27
一般的な質問 ................................................................................................................................................................................................. 27
4
Oracle Entitlements Server ............................................................................................................................................................................ 28
一般的な質問 ................................................................................................................................................................................................. 28
Oracle API Gateway ........................................................................................................................................................................................... 30
一般的な質問 ................................................................................................................................................................................................. 30
5
す。Access Manager、Identity Federation、Mobile and
Social 、 Security Token Service 、 Adaptive Access
Manager、Entitlements Server、Web Services Manager、
API Gateway、およびEnterprise Single Sign-On。
Oracle Access Management
ここでは、Oracle Access Managementに含まれているす
べてのサービスに関するFAQについて記載します。
•
Oracle Identity and Access Management 11.1.2.0は
2012年7月にリリースされています。このリリースに
は、次のAccess Managementサービスが含まれていま
す。Access Manager、Identity Federation、Mobile and
Social 、 Security Token Service 、 Adaptive Access
Manager、Entitlements Server、Web Services Manager、
Enterprise Gateway、およびEnterprise Single Sign-On。
•
Oracle Identity and Access Management 11.1.1.7は
2013年4月にリリースされています。このリリースに
は、次のAccess Management製品が含まれています。
Oracle Access Manager、Oracle Security Token Service、
Oracle Adaptive Access Manager 、 お よ び Oracle
Entitlements Server。
•
Identity Management 11.1.1.7は2013年4月にリリース
さ れ て い ま す 。 こ の リ リ ー ス に は 、 次 の Access
Management製品が含まれています。Oracle Identity
Federation、Oracle Web Services Manager、Oracle
Enterprise Gateway、およびOracle Fusion Middleware
テクノロジー(ADF、WebCenter、SOA Suiteなど)と
Oracle Fusion Applications 用 の 組 込 み の Oracle
Entitlements Server PDP。
•
Identity Management 11.1.1.6は2012年2月にリリース
さ れ て い ま す 。 こ の リ リ ー ス に は 、 次 の Access
Management製品が含まれています。Oracle Identity
Federation、Oracle Web Services Manager、Oracle
Enterprise Gateway、およびOracle Fusion Middleware
テクノロジー(ADF、WebCenter、SOA Suiteなど)と
Oracle Fusion Applications 用 の 組 込 み の Oracle
Entitlements Server PDP。
•
Oracle Identity and Access Management 11.1.1.5は
2011年5月にリリースされています。このリリースに
は、次のAccess Management製品が含まれています。
Oracle Access Manager、Oracle Security Token Service、
Oracle Adaptive Access Manager 、 お よ び Oracle
Entitlements Server。
一般的な質問
1. Oracle Access Management 11gを初めて使用します。
何から始めればよいですか。
最新のIdentity and Access Management 11gのドキュメ
ントを参照できます。次のサイト。をご覧ください。
http://docs.oracle.com/cd/E53284_01/index.htm
また、ホワイト・ペーパー『完全でスケーラブルなアクセ
ス管理』では、Access Managementの概要とおもな機能
について記載されています。次のサイトをご覧ください。
http://www.oracle.com/us/products/middleware/identit
y-management/access-management/overview/index.ht
ml
2. Oracle Access Management 11gソフトウェアはどこで
ダウンロードできますか。
次のOracle Software Delivery Cloudで、オラクルのすべて
のライセンス製品(Access Management 11gを含む)を
ダウンロードできます。
https://edelivery.oracle.com/
また、Oracle Technology Network(OTN)で、Access
Management 11gソフトウェアを開発用にダウンロード
できます。
http://www.oracle.com/technetwork/jp/middleware/idmgmt/downloads/index.html
3. Oracle Access Managementの最新リリースを教えてく
ださい。
•
Oracle Identity and Access Management 11.1.2.2.0は
2014年1月にリリースされています。このリリースに
は、次のAccess Managementサービスが含まれていま
す。Access Manager、Identity Federation、Mobile and
Social、Access Portal、Security Token Service、Adaptive
Access Manager、Entitlements Server、Web Services
Manager、API Gateway、およびEnterprise Single SignOn。
•
Oracle Identity and Access Management 11.1.2.1.0は
2013年4月にリリースされています。このリリースに
は、次のAccess Managementサービスが含まれていま
6
4. Access Management 製 品 の Premier Support と
Extended Supportの対応期間はどこで確認できますか。
次のサイトで、すべての製品(Access Managementを含
む)のオラクルのライフタイム・サポート・ポリシーを参
照できます。
http://www.oracle.com/us/support/lifetime-support/lifeti
me-support-software-342730.html
5. サポート期間とパッチ適用ベースラインについて、ど
のようなことを把握しておく必要がありますか。
My Oracle Supportの記事1290894.1に、Oracle Fusion
Middleware製品(Access Managementを含む)のエラー
修正サポート期間が記載されています。
https://support.oracle.com/CSP/main/article?cmd=show
&type=NOT&id=1290894.1
6.Access Management製品について質問がある場合や、問
題が発生した場合は、どうすればよいですか。
まず、次の製品ドキュメントを参照してください。
http://docs.oracle.com/cd/E53284_01/index.htm
Oracle Supportは、よくお問合せをいただく質問について、
役立つさまざまなナレッジ関連記事を提供しています。ド
キュメントを参照しても質問の答えが見つからない場合
は、Oracle Support(http://support.oracle.com)でサー
ビス・リクエスト(SR)を登録してください。
インフラストラクチャ・コンポーネントを使用することが
必要となります。このことは、OSSOでも必要でした。た
とえば、LDAPディレクトリにOracle Internet Directoryま
たはOracle Virtual Directoryを使用する必要があります。
また、Oracleアプリケーション・リソースのみ保護できま
す。お客様がこの制約を解除する必要がある場合は、
Access Managerの完全なライセンスを購入する必要があ
ります。詳しくは、次のサイトを参照してください。
http://docs.oracle.com/cd/E51625_01/doc.1111/b55933/
oam_basic.htm
3. ライセンスに関して質問がありますが、回答がここに
は記載されていないようです。どうすればよいですか。
ライセンスに関する追加の質問と回答については、次の
Identity and Access Managementのライセンスに関する
ドキュメントを参照してください。
http://docs.oracle.com/cd/E51625_01/doc.1111/b55933/
im_options.htm
ライセンス・オプションについてまだ不明な点が残る場合
や、さらに質問がある場合は、オラクルの販売担当者にお
問い合わせください。
サーティフィケーション関連の質問
1. サポートされる構成の最新情報(オペレーティング・
システム、ブラウザ、LDAPディレクトリなど)は、どこ
で入手できますか。
1. 価格情報とライセンス情報は、どこで確認できますか。
11g Access Managementのサポートされる構成の最新情
報については、Oracle Technology Networkの次のサイト
に掲載されているサーティフィケーション・マトリックス
を参照してください。
次のサイトで、すべてのOracle製品の価格情報とライセン
ス情報を確認できます。
http://www.oracle.com/technetwork/middleware/ias/do
wnloads/fusion-certification-100350.html
ライセンス関連の質問
http://www.oracle.com/jp/corporate/pricing/index.html
2. Oracle Access Manager Basicライセンスとはどのよう
なものですか。また、このライセンスは何を意味しますか。
Oracle Access Manager(OAM)Basicライセンスは、Oracle
Internet Application Server(Oracle iAS)Suiteまたは他の
製品(Oracle E-Business Suiteなど)のいずれかの購入に
より、Oracle Single Sign-On(OSSO)を所有しているお
客様をサポートするために作成されています。OAM Basic
ライセンスでは、有効なOracle Single Sign-Onライセンス
を所有しているお客様が、このライセンスを同数のAccess
Managerライセンスと交換できることを規定しています。
ただし、いくつか制約があり、Access ManagerにOracle
2. Oracle Fusion Middleware 11g/12c製品とOracle Access
Management 11g製品の相互運用性に関する最新情報は、
どこで入手できますか。
相互運用性の詳細およびOracle Access Management 11g
製品のサポートについては、次のサイトに掲載されている
Oracle Fusion Middleware 11g/12cのサーティフィケー
ション・マトリックスを参照してください。
http://www.oracle.com/technetwork/middleware/ias/do
wnloads/fusion-certification-100350.html
7
機能関連の質問
1. 以 前 は 、 Oracle Access Manager 、 Oracle Identity
Federation、およびその他の製品は独立した製品としてイ
ン ス ト ー ル し て 管 理 し て い ま し た 。 Oracle Access
Management 11.1.2.xリリースではこれが変更になりまし
たか。
11.1.2.2.0では、Access Manager、Identity Federation、
Security Token Service、Mobile and Social、およびAccess
Portalを同じソフトウェア・バンドルの一部としてインス
トールします。これらのサービスを構成するには、OAM
管理コンソールを使用します。これらのサービスのアク
ティブ化は、ライセンスを所有している場合のみ可能です。
2. Oracle Enterprise Single Sign-On と Oracle Access
Managerの両方ともシングル・サインオン機能を備えてい
ます。この2つの製品の違いを教えてください。
RESTサービスによってクライアントに返される
データ
•
4. 最新リリースのAccess Management 11gR2 Patch Set
2(11.1.2.2.0)のおもな機能を教えてください。
Access Manager、Identity Federation、Security Token
Service、Mobile and Social、およびAccess Portalの各構成
に対応する、統合された管理コンソール
•
インストールとパッチ適用に対応する自動ツー
ル
•
新しいAccess Portalサービス
•
Access Management Suite と の Identity
Federationアイデンティティ・プロバイダの統合
•
Access Manager
Access Managerは、Webアプリケーションへのシームレ
スかつセキュアなアクセスを提供するソリューションで
す。Oracle Enterprise Single Sign-Onは、デスクトップ・
アプリケーション、Javaアプリケーション、およびメイン
フレーム・アプリケーションへのシームレスかつセキュア
なアクセスを提供するソリューションです。
3. Oracle Access ManagerとOracle Entitlements Serverの
両方とも認可機能を備えていますが、一方はコースグレイ
ンでもう一方はファイングレインです。この2つの違いを
教えてください。また、どのような場合に使用するのがそ
れぞれ適していますか。
•
Oracle Access Managerは、コースグレイン認可(とも呼
ばれます)を提供します。この認可は、指定のWebアプリ
ケーションへのアクセスをURLレベルで保護します。たと
えば、ユーザーAがアプリケーション1にアクセスできる
ようにします。
Oracle Entitlements Server(OES)は、アプリケーション、
ポータル、コンテンツ管理システム、Webサービス、およ
びデータベースでユーザーが実行できる操作を制御する
ことで、ファイングレイン認可を提供します。たとえば、
OESで次のことを制御できます。
•
メニュー項目、タブ、ポートレット、フィールド、
ボタンなどの、有効化や表示が可能なUIウィジェット
•
情報、ドキュメント、およびデータベース・レコー
ドへのアクセス
•
アクセス可能な情報に対して実行できる操作
•
APIおよびWebサービスへのアクセス
•
−
委任管理
−
きめ細かいアイドル・タイムアウト
−
ポリシーの順序変更
−
動的認証/高度なルール
−
10g/11gの共存アプローチの強化
−
Cookieベースのセッション管理
−
マルチ・データセンター・デプロイメントの強化
−
IPv6のサポート
Mobile and Social
−
サーバー側のモバイルSSO
−
JWT/OAMトークン交換
−
モバイル・クライアント・ベースのフェデレー
ション
−
モバイル・クライアント向けの組込みアプリ
ケーション登録
OAuth 2.0サービス
−
•
3-legged OAuthと2-legged OAuth
API Gateway
−
テスト環境から本番環境への昇格サポートの
強化
−
構成の差分とマージのサポート
−
組込みのOAuthトークン・ストアとKPSバッキ
ング・ストア
−
監視とロギングの強化
8
•
Entitlement Server
−
"WebCenter Content"で管理されるドキュメ
ントとレポートのファイングレイン認可、お
よび管理操作
−
HAおよびディザスタ・リカバリ・サポートの強化
−
パフォーマンス強化
5. Access Management 11gR2 Patch Set 1(11.1.2.1)のおも
な機能を教えてください。
•
•
•
•
異種対応 - すべてのAccess Management製品で
Websphere Application Server 7.0をサポート
API Gateway
−
OAUTH 2.0のサポート
−
RESTおよびJSONのサポート強化
−
API鍵管理の強化
−
統合された新しいUIコンソール
−
新しいデプロイメント/クラスタリング・モデル
−
Access Manager 11gR2 Access SDKベースの統
合
−
Oracle Business Transaction Monitorとの統合
−
ポリシーのパラメータ化
認証およびSSO
−
11g WebGateでIBM HTTP Server 7.0に対応
−
セキュリティの強化およびユーザー・エクス
ペリエンスの向上
−
OpenSSO/Sun Access Manager(SAM)移行
ツールの強化
−
マルチ・データセンター・サポートの強化
Mobile and Social
−
Android用SDKのサポート
−
Windows Liveなどのソーシャル・プロバイダ
の追加
−
モバイルのオフライン認証
−
ローカル・アカウントへのソーシャルIDのリンク
−
エンタープライズ・シングル・サインオン
−
OPAMの統合
Adaptive Access Manager
−
•
•
単一ページ・ログイン・フローによるユー
ザー・エクスペリエンスの簡素化。バーチャ
ル・パッドが不要に
Entitlements Server
−
非常に大規模な環境におけるユーザー・エク
スペリエンスの向上
−
新しい市販のサード・パーティ・アプリケー
ション・サーバーの認定
−
Oracle Fusion Middlewareの統合
−
NETおよびSharepoint 2010の統合
−
ポリシーのシミュレーション
−
複数のIDストアのサポート
4. Oracle Access Managementとの相互作用が必要なカス
タム統合を開発しています。サンプル・コードはどこで入
手できますか。
次の開発者と管理者向けのサンプル・コード・サイトで、
すべてのサンプル・コードを公開しています。
http://www.oracle.com/technetwork/indexes/samplecod
e/id-mgmt-1884959.html
9
統合関連の質問
1. IDおよび管理の統合に関する情報は、どこで入手できま
すか。
Identity and Access Management製品に関する統合の概
要を参照することをお勧めします。次のサイトで、この概
要を参照できます。
http://docs.oracle.com/cd/E53284_01/index.htm
2.Access Management製品と他のOracle製品(Oracle EBusiness Suite、PeopleSoft、JD Edwards、Siebelなど)と
の統合に関するガイドは、どこで入手できますか。
これらのOracle製品とOracle Access Management(特に、
Access Manager)との統合方法に関するドキュメントに
ついては、該当する製品のドキュメント一式を参照いただ
くか、Oracle Supportのナレッジ・ベースの記事を参照し
てください。
10
Oracle Access Management Access
Manager(Access Manager)
ここでは、Access Managerに関連するFAQについて記載
します。
ジの言語ドロップダウン選択など)
•
OpenSSO/SAM移行ツールの強化
•
Excelベースの評価レポート
•
OpenSSO 8.0およびSAM 7.1の増分モード移行
•
マルチ・データセンター・サポートの強化
一般的な質問
−
読取り専用データセンターの強化
1. Oracle Access Managerとはどのようなものですか。
Oracle Access Manager(Access Manager)は新しいOracle
Access Managementプラットフォームの基盤であり、
Webシングル・サインオン(SSO)、認証、認可、一元的
なポリシー管理とエージェント管理、リアルタイムのセッ
ション管理、および監査の中核となる機能を提供します。
Access Managerは100% Javaソリューションとして構築
されており、極めてスケーラブルであるため、インター
ネット規模のデプロイメントに対応できます。数百もの
Webサーバーやアプリケーション・サーバーで認定済みの
エージェントが含まれた、既存の異機種環境でも動作しま
す。Access Managerは豊富な機能を備え、高いスケーラ
ビリティと可用性を発揮するため、セキュリティの向上、
ユーザー・エクスペリエンスと生産性の向上、およびコン
プライアンスの強化を実現しながら、総所有コストの削減
も実現できます。
2. Access Manager 11gR2 Patch Set 2(11.1.2.2)のおもな
機能を教えてください。
•
委任管理
•
きめ細かいアイドル・タイムアウト
•
動的認証/高度なルール
•
ポリシーの順序変更
•
10g/11gの共存アプローチの強化
•
Cookieベースのセッション管理
•
マルチ・データセンター・デプロイメントの強化
•
IPv6のサポート
3. Access Manager 11gR2 Patch Set 1(11.1.2.1)の主な新
機能を教えてください。
•
•
異種対応
−
WebSphere Application Server 7.0のサポート
−
11g WebGateでIBM HTTP Serverに対応
セキュリティの強化とユーザー・エクスペリエン
スの向上(ポスト・データの保持、ログイン・ペー
4. Access Manager 11gR2(11.1.2.0)のおもな機能を教え
てください。
•
LDAPサーバーのID条件でのフィルタ
•
属性クラス認可条件
−
セッション、リクエスト、またはユーザー属性
•
複雑な認可式
•
外部資格証明コレクション
•
動的な複数ファクタ/マルチステップ認証
•
RESTfulポリシー管理インタフェース
•
パスワード管理
•
OAM 10g、OpenSSO 8、およびSAM 7.1とのサー
バー側共存
•
マルチ・データセンター・デプロイメントのサポー
ト
•
サード・パーティ製品の統合(Microsoft SharePoint、
RSA Authentication Manager 7.1、JBoss 5.0など)
5. Access Manager 11gR2の外部資格証明コレクタとは、
どのようなものですか。
外部資格証明コレクタ(DCC)とは、基本的に、資格証明
収集機能を提供するように拡張された11g WebGateのこ
とです。DCCを使用すると、サーバー上のログイン・ペー
ジ(埋込み資格証明コレクタ(ECC)とも呼ばれます)を
置き換えることができます。
6. ECCと比べて、DCCが勝っている点を教えてください。
DCCを使用すると、セキュリティと柔軟性の点でさまざま
な利点が得られます。DCCはAccess Managerサーバーか
ら完全に分離されるため、DMZ内の任意の場所にデプロ
イできます。また、未認証のエンドユーザー・ログイン・
リクエストはすべてDMZ内のDCCで終了され、未認証の
ネットワーク・トラフィックからサーバーが分離されるた
め、セキュリティが高くなります。
11
7. Access Manager 11gR2の高可用性デプロイメントを検
討しています。どのような方法がありますか。
いWebGate構成が記載されていません。新しいWebGate
を要求する方法を教えてください。
Access Manager 11gR2は100% Javaソリューションとし
て構築されており、最高レベルのスケーラビリティと高可
用性を実現するように設計されています。高可用性デプロ
イメントを検討しているお客様は、次のことを考慮する必
要があります。
Oracle Supportでサービス・リクエストを登録し、新しい
Access Manager WebGateのサポートに関するサーティ
フィケーション・リクエストであることを指定してくださ
い。
•
WebLogicクラスタ内にデプロイし、1つのデータ
センター内で水平方向に拡張できるようにする。
•
マルチ・データセンターをデプロイし、複数のデー
タセンター全体で拡張できるようにする。これら
のデータセンターをアクティブ/アクティブ・モー
ド、アクティブ/パッシブ・モード、またはアクティ
ブ/ホット・スタンバイ・モードで構成できます。
8. Access Manager 11g WebGateはOracle HTTP Server
11gとIBM HTTP Server 7.0でサポートされていますが、現
在、Apache Webサーバー を使用しています 。Access
Manager 11gを使用するには、どうすればよいですか。
Access Manager 11gサーバーはOracle Access Manager
10g WebGateと通信できます。Oracle Access Manager
10g WebGateでは、各種バージョンのApache、Domino、
Microsoft IISなど、数多くのWebサーバーがサーティフィ
ケーションされています。サポートされる構成一覧のサー
ティフィケーション・マトリックスについては、次のサイ
トを参照してください。
http://www.oracle.com/technetwork/middleware/ias/do
wnloads/fusion-certification-100350.html
9. Access Manager 11gはx-509認証をサポートしていますか。
認 証 が HTTP リ ク エ ス ト で 提 供 さ れ る 限 り 、 Access
Manager 11gはx-509認証をサポートしています。
サーティフィケーション関連の質問
1. Access Manager 11gサーバーに対してサポートされて
いる、10g WebGateのサーティフィケーション・マトリッ
クスへの直接リンクはありますか。
10g WebGateのサーティフィケーション・マトリックスに
ついては、次のファイルのWebGatesタブを参照してくだ
さい。
http://www.oracle.com/technetwork/middleware/downl
oads/oracle-accessmgr-10gr3-certmatrix-132000.xls
2. サーティフィケーション・マトリックスに、確認した
移行関連の質問
1. 現在、Oracle Access Manager 10gR3を使用しています。
Access Manager 11gR2(11.1.2.x)に移行する方法を教え
てください。
10g移行プロジェクトを行うお客様を支援するために、
Access Manager 11gR2では評価/移行ツール、サーバー側
共存、およびエージェント下位互換性を提供しています。
詳しくは、次のサイトに掲載されているホワイト・ペー
パ ー 『 Migration Best Practices for Oracle Access
Manager10gR3 Deployments』を参照してください。
http://www.oracle.com/technetwork/middleware/id-mg
mt/index-090417.html
また、11.1.2.x製品のドキュメント・セットの一部として
公開されている『Oracle Identity and Access Management
アップグレード・ガイド』にも情報が記載されています。
2. 数千ものWebGateが含まれた、大規模なOracle Access
Manager 10gR3環境を使用しています。新しいAccess
Manager 11gR2プラットフォームに移行するには、すべて
のWebGateをアップグレードする必要はありますか。
いいえ。Access Manager 11gR2はエージェント下位互換
性を提供しているため、10gR3のお客様は既存の10gR3
(10.1.4.3)のWebGateを引き続き使用できます。プロトコ
ル互換性フレームワークによって、Access Managerサー
バーは新しい11g WebGateと通信するのと同じ方法で
10gR3 WebGateと通信できます。そのため、大規模な環
境を使用しているAccess Manager 10gR3のお客様は、ま
ずサーバー・インフラストラクチャのアップグレードに専
念 し て か ら 、 既 存 の 10gR3 WebGate を 新 し い 11g
WebGateに時間をかけて段階的に置き換えることができ
ます。
12
3. 数千ものアプリケーションが含まれた、大規模なOracle
Access Manager 10gR3環境を使用しています。これらの
す べ て の ア プ リ ケ ー シ ョ ン を 新 し い 11gR2 プ ラ ッ ト
フォームに一度に移行する必要はありますか。
いいえ。Access Manager 11gR2はサーバー側共存を提供
しているため、Oracle Access Manager 10gR3サーバーと
Access Manager 11gR2サーバーの両方を本番環境で同時
に使用して、さまざまなアプリケーション・セットを保護
できます。この2つのサーバーで保護されるアプリケー
ション間をナビゲートする際、エンドユーザーは引き続き
シングル・サインオンをシームレスに使用できます。大規
模な環境を使用しているお客様は、この機能を利用し、エ
ンドユーザーに影響を及ぼさずに、時間をかけて段階的に
サーバーを移行できます。
4. Sun Access Manager 7.1またはOpenSSO 8.0を使用して
います。Access Manager 11gR2に移行する方法を教えて
ください。
10g移行プロジェクトを行うお客様を支援するために、
Access Manager 11gR2では評価/移行ツール、サーバー側
共存、およびエージェント下位互換性を提供しています。
詳しくは、次のサイトに掲載されているホワイト・ペー
パー『Migration Best Practices for OpenSSO 8 and Sun
Access Manager 7.1 deployments』を参照してください。
http://www.oracle.com/technetwork/middleware/id-mg
mt/index-090417.html
また、11.1.2.x製品ドキュメント・セットの一部として公
開されている『Oracle Identity and Access Management
アップグレード・ガイド』も参照してください。
5. 数千ものPolicy Agentが含まれた、大規模なSun Access
Manager 7.1環境またはOpenSSO 8.0環境を使用していま
す。新しいAccess Manager 11gR2プラットフォームに移
行するには、すべてのPolicy Agentをアップグレードする
必要はありますか。
いいえ。Access Manager 11gR2はエージェント下位互換
性を提供しているため、Sun Access Manager 7.1または
OpenSSO 8.0のお客様は既存のPolicy Agent(バージョン
2.2および3.0)を引き続き使用できます。プロトコル互換
性フレームワークによって、Access Managerサーバーは
新しい11g WebGateと 通信 するのと同 じ方法でPolicy
Agentと通信できます。そのため、大規模な環境を使用し
ているSun Access Manager 7.1およびOpenSSO 8.0 のお
客様は、まずサーバー・インフラストラクチャのアップグ
レードに専念してから、既存のPolicy Agentを新しい11g
WebGateに時間をかけて段階的に置き換えることができ
ます。
6. 数千ものアプリケーションが含まれた、大規模なSun
Access Manager 7.1またはSun Access Manager 7.1環境を
使用しています。これらのすべてのアプリケーションを新
しいAccess Manager 11gR2プラットフォームに一度に移
行する必要はありますか。
いいえ。Access Manager 11gR2はサーバー側共存を提供
しているため、OpenSSO 8.0(またはSun Access Manager
7.1)とAccess Manager 11gR2サーバーの両方を本番環境
で同時に使用して、さまざまなアプリケーション・セット
を保護できます。この2つのサーバーで保護されるアプリ
ケーション間をナビゲートする際、エンドユーザーは引き
続きシングル・サインオンをシームレスに使用できます。
大規模な環境を使用しているお客様は、この機能を利用し、
エンドユーザーに影響を及ぼさずに、時間をかけて段階的
にサーバーを移行できます。
7. Oracle Single Sign-On を 使 用 し て い ま す 。 Access
Manager 11gR2に移行する方法を教えてください。
Access Manager 11gR2はアップグレード・パスとサー
バー側共存を提供しています。プロセスについては、次の
サイトに掲載されているアップグレード・ガイドを参照し
てください。
http://docs.oracle.com/cd/E37472_01/index.htm
13
Oracle Access Management Mobile and
Social(Mobile and Social)
ここでは、Mobile and Socialに関連するFAQについて記載
します。
一般的な質問
1. Oracle Access Management Mobile and Socialとはどの
ようなものですか。
Oracle Access Management Mobile and Social(Mobile
and Social)は、機能豊富なプラットフォーム固有のクラ
イアント側SDKと、REST、JSON、OAuthなどの業界標準
を使って、既存のアクセス・ソリューションとディレクト
リ・ソリューションをモバイル・デバイスに安全に拡張す
るソリューションです。FacebookやGoogleなどのソー
シャル・ネットワークのIDを使用してログインし、Oracle
Access Managerによって保護されているリソースにアク
セスできます(オプション)。Mobile and SocialはOracle
Access ManagerおよびOracle Adaptive Access Manager
と緊密に統合されており、これらのコンポーネントを使用
して事前構成されたものがAccess Managementインス
トールの一部としてインストールされます。
2. Access ManagerのどのバージョンをMobile and Social
で使用できますか。
Mobile and Socialは、Oracle Access Manager 10gR3(サー
バーおよびWebGate)、Access Manager 11gR1(11.1.1.5
以降)、およびAccess Manager 11gR2(11.1.2.x)をサポー
トしています。詳しくは、次のサイトに掲載されている
サーティフィケーション・マトリックスを参照してくださ
い。
http://www.oracle.com/technetwork/middleware/ias/do
wnloads/fusion-certification-100350.html
モバイル・シングル・サインオンは、ネイティブのモバイ
ル・アプリケーションおよびモバイル・ブラウザを使った
アプリケーション・アクセスでサポートされています。
3.Mobile and SocialをOracle Adaptive Access Managerと
組み合わせて使用する場合、どのような追加機能を利用で
きますか。
Mobile and Social を Oracle Adaptive Access Manager
11gR2(11.1.2.x)と組み合わせて使用する場合、以下の追
加機能を利用できます。
•
高度なデバイス・フィンガープリント処理と履歴
追跡
•
高度なデバイス登録
•
デバイスの紛失や盗難に対応するポリシー・サ
ポート
•
GPSおよびWifiの位置認識
•
リスクベースのナレッジ・ベース認証(KBA)と電
子メール/SMSのワンタイム・パスワード(OTP)
•
トランザクションのリスク分析
4. 現在、Access Manager 11gR2(11.1.2.x)へのアップグ
レードを行っています。Mobile and Socialを追加するには、
どうすればよいですか。
Access Manager 11gR2(11.1.2.x)のインストール時に
Mobile and Social機能もインストールされます。ただし、
そのときにはMobile and Social機能は有効になりません。
Mobile and Social機能セットを有効にするには、Oracle
Access Management管理コンソールでAvailable Services
ページにアクセスします。
5. すぐに使用できるソーシャルIDプロバイダを教えてく
ださい。Mobile and SocialはGoogle、Facebook、Yahoo、
Twitter、およびLinkedInをサポートしており、これらのプ
ロバイダをすぐに使用できます。Mobile and Socialは、
OAuth標準やOpenID標準を使ってこれらのIDプロバイダ
と統合されます。他のプロバイダを追加するには、Mobile
and SocialのソーシャルID APIを使用します。詳しくは、
次のサイトに掲載されているサーティフィケーション・マ
トリックスを参照してください。
http://www.oracle.com/technetwork/middleware/ias/do
wnloads/fusion-certification-100350.html
他のプロバイダについて詳しくは、オラクルのコンサル
ティング・サービスまたは実装パートナーにお問い合わせ
ください。
6. Mobile and SocialはOracle API Gatewayと連携して動作
しますか。Mobile and SocialとOracle API Gateway(OAG)
は、モバイルやその他のタイプのアプリケーションにセ
キュアなAPIを使用する、エンド・ツー・エンドのソリュー
ションを提供するように統合されています。OAGは、以下
を提供します。
14
•
•
API管理、脅威からの保護、クライアント側スロッ
トリング、トランスポートとメッセージ/コンテン
ツ・レベルのセキュリティ、OAUTH機能、ファイ
ングレイン認可とデータ改訂(Oracle Entitlements
Serverとの統合時)、およびモバイル・アプリケー
ションに公開されるREST、SOAP、JMS、およびそ
の他のタイプのAPIやWebサービス(およびその他
のタイプのクライアント)向けのさまざまな機能
を提供する。
Oracle Access Management Mobile and Socialの
RESTベース・エンドポイントと同じレベルの保護
を提供する。
•
Oracle Access Management Mobile and Socialの
JWT ト ー ク ン ま た は OAM ト ー ク ン を 使 っ て
WebGateや適用ポイントとして機能し、オラクル
のWebアクセス管理/SSOソリューションをWeb
サービスに拡張する。
•
プロトコルとセキュリティ・トークンの変換を提
供する。たとえば、認証とID伝播にSAMLを利用す
るSOAPベースの内部Webサービスを、OAM/JWT
トークンに基づいたセキュアなREST APIとしてモ
バイル・アプリケーションに公開できます。
7. Mobile and Socialのユーザー・プロファイル・サービス
とは、どのようなものですか。また、Mobile and Social
でユーザー・プロファイルがサポートされるのはどのディ
レクトリですか。
Mobile and Socialのユーザー・プロファイル・サービスを使
用すると、構成されているディレクトリ・サービスにユー
ザーと管理者がアクセスできます。ユーザー・プロファイ
ル・サービスは、企業やコミュニティのホワイト・ページ、
ユーザー自動登録とセルフサービス、およびディレクトリ
管理ツールに使用できます。他の機能には、ユーザー、グ
ループ、および関係(ユーザーのマネージャなど)の検索、
表示、作成、更新、および削除の各機能があります。
ユーザー・プロファイル・サービスは、Oracle Unified
Directory(OUD)、Oracle Directory Server Enterprise
Edition(ODSEE)、Oracle Internet Directory(OID)、
WebLogic Server の 組 込 み LDAP な ど の す べ て の Oracle
LDAPディレクトリにRESTインタフェースを提供します。
また、Microsoft Active Directory、Novell eDirectory、Open
LDAPなどの他の業界標準ディレクトリもサポートしてい
ます。詳しくは、次のサイトに掲載されているサーティ
フィケーション・マトリックスを参照してください。
http://www.oracle.com/technetwork/middleware/ias/do
wnloads/fusion-certification-100350.html
8. Mobile and Socialで提供されているクライアントSDK
を教えてください。
Mobile and Social 11gR2(11.1.2.2.0)では、JAVA、iOS、
およびAndroid用のMobile and Social SDKが提供されてい
ます。
9. 使用しているモバイル・プラットフォームにはSDKがあ
りません。この場合でも、Mobile and Socialを使用できま
すか。
デバイス、アプリケーション、およびMobile and Social
サーバーのやり取りはすべて、HTTP/HTTPSプロトコルで
RESTコールを使って実行されます。このRESTfulインタ
フェースはすべてのMobile and SocialクライアントSDK
(iOS、JAVA、およびAndroidを含む)に組み込まれており、
これらのSDKの基盤として機能します。SDKでサポートさ
れているこれらのプラットフォームとシナリオでは、SDK
を使用するとMobile and Socialの利用が簡単になり、SSO
や資格証明の保存などのクライアント側機能を標準化で
きます。お客様のソリューションでSDKのないデバイス
(BlackBerryなどのデバイス)をサポートする必要がある場
合や、SDKが要件を満たしていない場合は、REST APIを使
用できます。
15
Oracle
Access
Management
Access
Portal(Access Portal)
ここでは、Access Portalに関連するFAQについて記載します。
一般的な質問
1. Oracle Access Management Access Portal ( Access
Portal)とはどのようなものですか。
Access Portalサービスは、SaaSアプリケーション、Oracle
Access Managementで保護されるリソース、ビジネス・
パートナーのアプリケーションを含め、Webベースのアプ
リケーションにクロス・プラットフォームのシングル・サ
インオン・サービスを提供します。
2. シングル・サインオンを実現する方法を教えてくださ
い。
シングル・サインオンは、Oracle Access Managementトー
クン(Oracle Access Managementで保護されるリソース
へのSSO)、Identity Federation(フェデレーションに対
応しているSaaSおよびビジネス・パートナー・アプリケー
ションへのSSO)、フォームベース(SaaSを含む、フェデ
レーションに対応していないWebアプリケーションへの
SSO)など、さまざまな方法で実現できます。
3. Access Portalを既存のユーザー・ポータルまたは新規開
発のユーザー・ポータルと統合する方法を教えてください。
利用可能なRESTfulインタフェースを使用して、Access
Portalを既存のユーザー・ポータルまたは新規開発のユー
ザー・ポータルと統合できます。
16
Oracle Adaptive Access Manager
ここでは、Oracle Adaptive Access Manager(OAAM)に
関連するFAQについて記載します。
一般的な質問
1. Oracle Adaptive Access Managerとはどのようなもので
すか。
Oracle Adaptive Access Manager(OAAM)は、Webアプ
リケーションの不正アクセスや誤使用を防ぐために利用
されています。OAAMは、デバイス・フィンガープリント
処理、ロケーション・インテリジェンス、動作プロファイ
リング、リアルタイムのリスク分析とリスクベースのID
検証、阻止、アラート発行など、複数のセキュリティ・レ
イヤーを提供します。OAAMのセキュリティ・レイヤーは、
認証資格証明の侵害、セッション・ハイジャック、内部関
係者の不正などの最新のオンライン脅威に対処します。
2. OAAM 11gR2(11.1.2.x)の新機能を教えてください。
OAAM 11gR2では、モバイル・アクセス・セキュリティとマ
ルチチャネル不正検出機能が強化されており、クラウド・
サービス・プロバイダ向けの階層型セキュリティと、不正調
査をスピードアップする新しいフォレンジック・ツールが用
意されています。標準のWebアクセスとモバイル・アクセス
の両方に提供される、一元化された階層型セキュリティとリ
スクベースの認証機能は、新機能になります。アクセスとト
ランザクションのリスクをWeb以外のソースから評価でき
るため、企業をさらに総合的に保護できます。
セキュリティは依然として企業のクラウド・サービスの導
入のおもな障壁となっているため、サービス・プロバイダ
が追加の保護レイヤーを提供できることがビジネスの成
長に重要です。アラートを評価するために不正調査員が必
要な場合は、OAAMを使用すると、すばやく簡単に状況を
把握して関連する不正を特定できます。
3. OAAMを使用した場合、どの程度のコストを削減できま
すか。
OAAMを使用すると、機密性の高いアプリケーションやそ
れらのアプリケーションに含まれているデータの不正や
誤使用を防ぐことができ、企業収益への悪影響を軽減でき
ます。セキュリティ侵害が公になってブランド価値が損な
われると、企業にとって短期的にも長期的にも非常に高い
コストが発生する可能性があります。また、不正を防止で
きれば、それ自体で大きなコストを節約できます。ユー
ザーIDを複数のセキュリティ・レイヤーで検証し、トラン
ザクションのリスクをリアルタイムで評価できるため、
OAAMを使用した場合、平均して1年で採算が取れます。
ROIについて詳しくは、IDCのROI調査結果を参照してくだ
さい。
4. OAAMを使用すると、セルフサービスのパスワード管理
フローをどのように強化できますか。
企業では主に、高いコストのかかるヘルプ・デスクへの問
合せを低減するためにセルフサービス・フローを開発して
います。そのため、フローが非常にセキュアで使いやすい
必要があります。もっとも重要なフローの1つに、忘れた
パスワードのリセットがあります。セキュアな方法でフ
ローを完了できないと、境界セキュリティに脆弱な部分が
生じる可能性があります。また、リセット・フローを進め
るのが容易でない場合は、エンドユーザーがヘルプ・デス
クに電話することになり、セルフサービス・フローの目的
全体が台無しになります。OAAMの階層型セキュリティは、
デバイス・フィンガープリント処理、動作プロファイリン
グ、リスク分析、およびリスクベースの認証によってフ
ローを保護します。忘れたパスワードのリセット・フロー
に代わりの認証メカニズムとしてチャレンジ質問を使用
すると、OAAMで指定する答えに多様性を持たせることが
できるため、ユーザーが成功する可能性が高くなります。
OAAMでは、タイプミス、略語、日付形式の差異も調整で
きるため、より使いやすくなります。階層型セキュリティ
とOAAMのナレッジ・ベース認証(KBA)回答ロジックの
独自の組合せにより、ヘルプ・デスクへの問合せと不正の
両方を低減することができるようになります。
5. KBAを使用するとユーザー・エクスペリエンスにどのよ
うな効果が得られますか。
数百万ものユーザーを伴う、コンシューマ対応の大規模な
OAAM環境では、ロールアウト中はカスタマー・サポート
への問合せが約0.2%増加し、ロールアウト後すぐに低下
したことが報告されています。すべての回答ロジックを有
効にし、回答ロジックでリセットについてサポートへの問
合せが増加していたKBAチャレンジを約7%と"低め"に設
定した場合、この値は約半分に低下しています。CSR電話
チャレンジ機能を積極的に使用している大規模なOAAM
環境では、非常に満足できる結果が得られており、有効な
ユーザーは95%もの確率で確実に電話での質問に回答で
きることが報告されています。
17
6. OAAMの自動学習機能とはどのようなものですか。
自動学習機能は、動作をプロファイルする、OAAMの機能
セットです。ユーザー、デバイス、位置、およびトランザ
クション自体の動作が記録され、現在の動作を評価するた
めに使用されます。たとえば、OAAMでは、ログイン時刻
に基づいてユーザーをプロファイルできます。Johnが午
前8時~午前10時にかけて87%の確率でログインしている
場合、Johnが午前2時にログインしようとすると、リス
ク・レベルが上がります。つまり、Johnの通常のログイ
ン時刻のプロファイル外になります。OAAMは、複数の
データ・ポイントを組み合わせて、これらのデータ・ポイ
ントの相互関係をリアルタイムで評価して"学習"します。
そのため、有効なユーザーが時間の経過とともに動作を変
化させた場合は、リスク評価を自動的に調整できます。
7. 新しいセキュリティ・リスク・ポリシーを実装するに
は、オラクルと連携して作業する必要がありますか。
いいえ。OAAMは、汎用のルール条件を使用してリスク・
ポリシーを構成する、ビジネス・ユーザー向けのGUIを提
供しており、予測可能なユースケースを実現するようにリ
スク・ポリシーを構成できます。新しいポリシーを容易に
本番データでテストし、効果を評価できます。
8. OAAMは、トランザクションのリスク分析を実行するた
めに、アプリケーションとどのように統合されますか。
OAAMは、インライン・アプリケーションとの統合にJava
API、.Net API、およびSOAP APIを提供しています。また、
OAAMは、通常とは異なるユースケースに対応するよう、
Java Message Serviceキューの非同期オプションとバッ
チ・ベースのオプションも提供しています。
9. OAAMは、どの言語に対してグローバル化されていますか。
OAAMは、すべての製品でサポートしている必要がある、
オラクルの標準の言語セットに対してグローバル化され
ています。エンドユーザーの画面はSTD_RUNTIMEの26の
言 語 セ ッ ト に 翻 訳 さ れ 、 OAAM 管 理 コ ン ソ ー ル は
STD_ADMINの9の言語スコープに翻訳されます。最新の言
語スコープについては、こちらを参照してください。
18
Oracle Enterprise Single Sign-On Suite
Plus
ここでは、Oracle Enterprise Single Sign-On Suite Plusに関
連するFAQについて記載します。
一般的な質問
1. Oracle Enterprise Single Sign-On Suite Plusとはどのよ
うなものですか。
Oracle Enterprise Single Sign-on Suite Plus(eSSO)を使用
すると、デスクトップ、ネットワーク、またはインターネッ
トで、パスワード保護されたすべてのアプリケーションに
1つのパスワードを使ってユーザーがエンタープライズ・
アプリケーションにログインできます。eSSOはスケーラ
ビリティに優れたエンタープライズ・シングル・サインオ
ン・インフラストラクチャを提供し、シングル・サインオ
ン、クライアント側Windowsパスワード・リセット、一
元的なユーザー・プロビジョニング、キオスク環境のサ
ポート、厳密認証、包括的な監査などの機能を提供します。
eSSOを使用すると、ユーザーは認証を1回行うだけで、
日々アクセスしているすべてのアプリケーションにアク
セスできます。
2. Oracle Enterprise Single Sign- On Suite Plus 11gR2
(11.1.1.2.x)のおもな機能を教えてください。
•
ユーザー間のアカウント委任により、ユーザーが
別のユーザーに資格証明を安全に渡すことができ
ます。
•
Oracle Access Managerとのシームレスな統合によ
り、アクセスするアプリケーションのタイプに関
係なく、組織は単一のSSOセッションを実装できま
す。
•
eSSO – OAMで、Windows 7でのスマート・カー
ド認証、近接型カード認証、バイオメトリック認
証、およびナレッジ・ベース認証をサポートでき
るようになりました。
•
Mozillaの迅速なリリース・スケジュールを活用す
るために、Firefoxブラウザのサポートが再策定さ
れています。
3. ソフトウェア配布ツールを使ってOracle Enterprise
Single Sign-On Suite Plusをデプロイできますか。
はい。標準のMSIファイルをデプロイできる任意のソフト
ウェア配布ツールを使って、eSSOをデプロイできます。
eSSO管理コンソールを使用すると、標準のOracle eSSO
MSIを容易にカスタマイズでき、MicrosoftのSMSや他のほ
とんどすべての配布ツール(Novadigm、Tivoli、Marimba
に加え、単なるWebダウンロードを含め)を配布する展開
パッケージも容易にカスタマイズできます。
4. Oracle Enterprise Single Sign-On Suite Plusは、iOSや
Androidなどの他のプラットフォームでも使用できますか。
はい。eSSOのお客様は、アクセス・ポータル・サービス
を使用してWebベースのアプリケーションにクロス・プ
ラットフォームのシングル・サインオンを提供できます。
詳しくは、アクセス・ポータルのFAQを参照してください。
5. Oracle Enterprise Single Sign-On Suite Plusの管理設定
を一元管理できますか。
はい。eSSOの管理設定は、監視コンソールの使いやすい
GUIを使って管理できます。eSSOでは、既存のインフラス
トラクチャが中央リポジトリとして利用されます。さまざ
まなディレクトリ(Oracle Unified Directory(OUD)、
Oracle Directory Server Enterprise Edition(ODSEE)、
Oracle Internet Directory ( OID ) 、 Microsoft Active
DirectoryとADAMなど)やデータベース(Oracle、DB2、
SQL)がユーザー設定と管理設定の中央リポジトリとして
サポートされます。アプリケーション定義、パスワード・
ポリシー、およびeSSO構成設定をディレクトリのeSSO構
成オブジェクトに保存するだけで、起動のたびに各Oracle
eSSOクライアントによって最新の構成データが取得され
ます。
6. シングル・サインオンでどのアプリケーションにアク
セスするのか、およびどのアプリケーションにアクセスし
ないのかを管理者が制御できますか。
はい。シングル・サインオンは、ロール/グループ別また
はユーザー別にグローバルに構成されます。これにより、
フラットなディレクトリや詳細な階層型ディレクトリを
サポートできます。
7. 一部のアプリケーションまたはすべてのアプリケーショ
ンに対して、ユーザー・アカウントを無効にできますか。
はい。eSSO-Provisioning Gatewayを使用すると、これを
実行できます。
19
8. ユーザーが自身のパスワードを確認する機能(ユー
ザーに表示)を、(ユーザーごと、グループごと、または
アプリケーションごとに)制限できますか。
はい。Revealボタンで切替えができます。すべてのeSSO
設定をグローバル、ロール/グループごと、またはユーザー
ごとに割り当てることができます。
9. ユーザーは別のワークステーションに透過的に切り替
えられますか。
はい。eSSO-LMによって、ユーザーはeSSO-LMクライアン
ト・ソフトウェアがインストールされているワークステー
ションからシングル・サインオンでアクセスできます。
10. アプリケーションに応答するように、Oracle Enterprise
Single Sign-On Suite Plusを構成する方法を教えてください。
管理コンソールを使って、管理者が実行可能ファイル名、
ウィンドウのタイトル、およびアプリケーションの制御ID
フィールドが含まれたアプリケーション・テンプレートを
定義します。eSSOエージェントがこのテンプレートを使
用して、ワークステーションで起動された各アプリケー
ションを監視します。構成されているアプリケーションが
検出されると、eSSOエージェントがユーザーの代わりに
応答します。eSSOと有効にするアプリケーションとの間
で、バックエンド・サーバーを統合する必要はありません。
11. 同じアプリケーションに同じユーザーの別アカウン
トを設定できますか。設定できる場合、動作はどのように
なりますか。
はい。同じユーザーに対して、同じアプリケーションに2
つのアカウントを設定すると、eSSO-LMによってユーザー
に「Logon Chooser」ウィンドウが表示され、このウィン
ドウでユーザーがログイン・アカウントを選択できます。
12. Oracle Enterprise Single Sign-On Suite Plusアーキテク
チャでは、どのようにフェイルオーバーされますか。
eSSOでは通常、企業ディレクトリを利用するため、ディ
レクトリのフォルト・トレランス機能と冗長性機能のメ
リットが得られます。
13. Oracle Enterprise Single Sign-On Suite Plusは厳密認証
をサポートしていますか。
eSSOは、スマート・カード認証、バイオメトリック認証、
お よ び 近 接 型 カ ー ド 認 証 を 提 供 す る Universal
Authentication Managerと呼ばれるモジュールを備えて
います。また、eSSOでは、RSA SecureIDトークンを利用
できるだけでなく、National IDカード、CACカード、PIV
カード、および企業発行のスマート・カードによるネイ
ティブな証明書ベースのスマート・カード認証も実行でき
ます。
14. Oracle Enterprise Single Sign-On Suite Plus は 、
Windowsパスワードのリセットをサポートしていますか。
はい。Oracle Enterprise Single Sign-on Password Reset
(eSSO-PR)により、チャレンジ・レスポンス・プロセスに
基づいて、エンドユーザーはロックされたワークステー
ションからプライマリの認証(Windows)パスワードをリ
セットできます。Oracle eSSO-PRがインストールされてい
る場合、ユーザーは一連の秘密の質問に答えて登録を行い
ます。ユーザーがWindowsパスワードを忘れた場合、Oracle
eSSO-PRによって、質問への答えを求めるプロンプトが表
示されます。ID検証プロセスで、入力された答えと定義さ
れている答えが比較されます。このプロセスでは、入力や
記憶での人的ミスが考慮されます(信頼ベースの認証)。
ユーザーが十分な数の質問に正しく答えると、Oracle
eSSO-PRによってWindowsパスワードを自動的にリセット
できるようになり、ヘルプ・デスクに問合せする必要があ
りません。質問はすべてカスタマイズでき、構成可能です。
15. Oracle Enterprise Single Sign-On Suite Plusでは、ディ
レクトリ・サーバーにどのようにデータが保存されますか。
基本スキーマは変更されますか。
製品開発において、オラクルのディレクトリ・サーバー・
サポート手法を策定する際、エンタープライズ・ディレク
トリの主要サプライヤが共同で取り組んでいます。eSSO
では、基本スキーマがそのまま保持される効果的なクラ
ス・スキーマ拡張が使用されます。また、オラクル独自の
オブジェクト・クラスを使用して自己完結型の構成オブ
ジェクトが作成されます。このオラクルの手法と比較して、
一部の企業では、基本スキーマが拡張されて顧客の基本ス
キーマ(特にユーザー・オブジェクト)が変更され、そこ
にSSOデータが追加されます。そのため、ユーザー・オブ
ジェクトが常にレプリケートされ、ディレクトリのアップ
グレード時やレプリケート時にネットワーク・トラフィッ
クに問題が発生します。
20
16.Oracle Enterprise Single Sign-On Suite Plusでは、ログ
オン資格証明はどのように暗号化されて保護されますか。
eSSOでは、ユーザーごとに一意のプライマリ対称鍵が作
成され、ユーザーの資格証明を暗号化するときにこの鍵が
使用されます。選択した暗号化アルゴリズムを使用して、
eSSOエージェントとディレクトリ間にエンド・ツー・エ
ンドの暗号化が提供されます。eSSOのデフォルトの暗号
化アルゴリズムは、MS CAPIで提供されているAESです。
資格証明は暗号化された状態でPCに保存され、転送中お
よびディレクトリ内でも暗号化された状態になっていま
す。資格証明が暗号化されない状態でメモリに保存される
ことはありません。
17. Oracle Enterprise Single Sign-On Suite PlusはFIPS
140-2に準拠していますか。
はい。eSSOは、米国政府関連顧客向けのFIPS 140-2要件を
満たすことが認定された、MS CAPIベースの256 Bit AESを
使用しています。
18. Oracle Enterprise Single Sign-On Suite Plusでは、ユー
ザーのパスワードを管理者が盗用するのをどのように防
いでいますか。
パスワードはすべて暗号化された形式で保存されるため、
管理者にはユーザーのパスワードは分かりません。また、
不正な管理者による攻撃を防ぐために、リセットされたパ
スワードからSSOを有効にする前に2番目のユーザー認証
フォーム(パスフレーズ)を要求するように、eSSOを構
成できます。
19. Oracle Enterprise Single Sign-On Suite Plusでは、管理
者がWindowsパスワードをリセットし、ユーザーの保存
されている資格証明にユーザーになりすましてアクセス
するのを、どのように防いでいますか。
管理者がユーザーになりすますのを防ぐため、登録時に
ユーザーにパスフレーズの入力を求めるように、認証が構
成されています。Windowsパスワードがリセットされた
ことがeSSOで検出された場合は常に、ユーザーはパスフ
レーズを入力する必要があります。保存されている資格証
明にアクセスするために管理者がWindowsパスワードを
リセットした場合、管理者はユーザーの秘密のパスフレー
ズを知っている必要があります。また、PCやラップトッ
プの紛失や盗難が発生した場合にも、パスフレーズによっ
て資格証明が保護されます。
21
Oracle Access Management Identity
Federation(Identity Federation)
ここでは、Identity Federationに関連するFAQについて記
載します。
一般的な質問
1.Identity Federationとはどのようなものですか。
Identity Federationは、パートナー間でセキュアなID情報
交換を行うための、エンタープライズ・レベルかつキャリ
アグレードの総合的なソリューションです。業界のフェデ
レーション標準をサポートすることで、不要なIDをエン
タープライズ・ディレクトリに作成して管理する必要性を
大幅に低減し、パートナー統合の継続的なコストを削減し
ます。Identity Federationは、さまざまなデータ・ストア、
ユーザー・ディレクトリ、認証プロバイダ、およびアプリ
ケーションと統合することで、既存のIT投資を保護します。
Identity Federationを使用すると、保護されたアプリケー
ションにビジネス・パートナーがセキュアにアクセスでき
るため、さらに多くの取引をオンラインで行えます。
2. Oracle Access Management Identity Federation 11gR2
(11.1.2.x)の利点を教えてください。
Identity Federationサービスは、業界をリードするOracle
Identity and Access Managementプラットフォームの主
要コンポーネントです。11g R2PS2リリースでは、Oracle
Access Management内に完全集約されたフェデレーショ
ン・サービス・アーキテクチャに移行しており、特別な設
定なしに、さまざまな一般的なビジネス・シナリオをシー
ムレスに実行できます。これらのシナリオには、アイデン
テ ィ テ ィ ・ プ ロ バ イ ダ で の ユ ー ザ ー 認 証 に Access
Manager認証スキームを利用するための組込みサポート
が含まれており、サービス・プロバイダでの連携シナリオ
にリスク保証と不正検出を実行するための組込みサポー
ト、連携セッション全体でのOracle Access Management
による組込みの認証、認可、および属性受渡し、および統
合型の管理、インストール、および構成を提供します。
3. OAM Identity Federation 11gR2(11.1.1.2.x)のおもな機
能を教えてください。
•
主要なすべての業界プロトコルのサポート
•
ソーシャルIDのサポートとソーシャル・ログイン
の登録
•
アイデンティティ・プロバイダ機能とサービス・
プロバイダ機能の両方について、OAM内にサービ
スを完全集約
22
•
IDP認証に対する、すべてのOAM認証スキームのサ
ポート
•
連携セッションにおけるリスク認識と不正認識に
関する組込みサポート
•
認証および属性交換における複数のIDストアのサ
ポート
•
アイデンティティ・プロバイダの検出
•
アイデンティティ・プロバイダ・プロキシ
•
業界標準の属性共有プロファイルのサポート
•
IDPとSP両方の属性プロファイルのサポート
•
すべてのプロトコルでの迅速かつ容易なフェデ
レーション・パートナーシップ設定
•
実証済みのインターネット・レベルの可用性とス
ケーラビリティ
•
プラグイン・フレームワークのプロビジョニング
•
Oracle Access Management内での管理、インス
トール、デプロイメントの統合
4. Oracle Access Management Identity Federation 11gR2
(11.1.1.2.x)でサポートされているプロトコルを教えてく
ださい。
•
SAML 2.0
•
SAML 1.1
•
OpenID 2.0
•
FICAM(Federal Identity, Credential, and Access
Management)
○ ICAM SAML 2.0 Web Browser SSO Profile - (保
証レベル1、2、暗号化なし3)
•
6. OAuth2.0とはどのようなものですか。
OAuth 2.0とは標準準拠のOAuth 2.0認可サービス実装の
ことで、3-leggedと2- leggedの両方のOAuthフローと、
OAuthで定義される以下のロールをサポートしています。
•
リソース・サーバー:保護されたリソースをホス
トし、アクセス・トークンを使ってリソース・リ
クエストの受付けと応答を実行します。
•
クライアント:リソース所有者の代わりに、リソー
ス所有者の認可を使用して、保護されたリソース
のリクエストを行います。用語「クライアント」
は、特定のエンティティ固有のものではありませ
ん。たとえば、サーバーやモバイル・デバイスで
実行されるアプリケーションがクライアントとな
る場合もあります。
•
認可サーバー:リソース所有者の認証が実行され
て認可が取得されたら、クライアントに対してア
クセス・トークンを発行します。
7. セキュアなアクセスを実現するためにOAuth2.0プロト
コルを使用する利点を教えてください。
従来のクライアント/サーバー認証モデルでは、クライア
ントはリソース所有者の資格証明を使ってサーバーに対
して認証を行い、サーバー上の保護されたリソースにアク
セスします。保護されたリソースへのアクセス権をサー
ド・パーティ・アプリケーションに付与するために、リソー
ス所有者は自身の資格証明をサード・パーティと共有しま
す。これにより、以下の問題と制限が発生します。
•
サード・パーティ・アプリケーションは、後で使
用できるように、リソース所有者の資格証明を保
存する必要があります。通常、パスワードをクリ
アテキストで保存する必要があります。
•
パスワードのためにセキュリティ脆弱性が発生し
ますが、サーバーはパスワード認証をサポートす
る必要があります。
•
サード・パーティ・アプリケーションは、リソー
ス所有者の保護されたリソースに対して過度に広
範囲のアクセス権を得ることになりますが、リ
ソース所有者は、アクセス継続時間を限定したり
アクセスをリソースの一部のサブセットに限定し
たりできません。
•
リソース所有者は、個々のサード・パーティに対
してアクセス権を取り消すことはできず、すべて
のサード・パーティに対してアクセス権を取り消
○ ICAM OpenID 2.0 Profile(保証レベル1)
5. Oracle Access Management Identity Federation 11gR2
(11.1.1.2.x)は属性共有をサポートしていますか。
はい。業界標準の次の属性共有をサポートしています。
•
SAML属性共有プロファイル - SAMLは、プリンシ
パルの属性を取得するための属性問合せ/応答プロ
トコルを提供します。
•
OpenID Attribute Exchange(AX) - AXはOpenID
2.0の拡張仕様です。
•
ICAM BAE(Backend Attribute Exchange)の直接
属性交換
ICAM BAE Broker Attribute Exchange - Oracle API
Gatewayとの統合による
23
す必要があります。また、そのためには、すべて
のサード・パーティのパスワードを変更する必要
があります。
OAuth 2.0プロトコルは、認可レイヤーを取り入れてクラ
イアントのロールをリソース所有者のロールと分離する
ことで、これらの問題に対処します。OAuth 2.0では、リ
ソース所有者が管理しリソース・サーバーがホストするリ
ソースへのアクセス権をクライアントがリクエストする
と、リソース所有者の資格証明とは異なる一連の資格証明
が発行されます。リソース所有者の資格証明を使って保護
されたリソースにアクセスする代わりに、クライアントは、
特定のアクセス範囲、アクセス継続時間、およびその他の
アクセス属性を示す文字列であるアクセス・トークンを取
得します。認可サーバーはリソース所有者の承認を持って、
サード・パーティ・クライアントにアクセス・トークンを
発行します。クライアントはこのアクセス・トークンを
使って、リソース・サーバーがホストしている保護された
リソースにアクセスします。
8. Oracle Access Manager OAuth 2.0サービスを使用する
利点を教えてください。
OAuth 2.0サービスは標準完全準拠のOAuth 2.0認可サー
バーで、3-leggedと2-leggedの両方のOAuthフローをサ
ポートし、OAuth 2.0クライアントとOAuth 2.0リソース・
サーバーのロールを有効にします。特にエンタープライ
ズ・シナリオのエクストラネット・アクセスの場合に、モ
バイルOAuth 2.0クライアント(モバイル・デバイスのネ
イティブ・アプリケーションなど)に優れた差別化とイノ
ベーションを一意に提供します。この差別化とイノベー
ションには、モバイル・アプリケーションの登録やOAM
OAuth2.0モバイル・フローでのデバイス識別に対する組
込みサポートが含まれ、
これにより、モバイル・デバイスからの信頼できるアクセ
スと、モバイルOAuthクライアント向けの組込みのサー
バー側シングル・サインオンが実現されます。OAuthフ
ローに高いレベルのセキュリティが必要となるエンター
プライズ・シナリオに最適であり、OAM OAuth 2.0サービ
スで提供される組込みのOAM統合の利点が得られます。
9. OAMクラシックOAuthとOAMモバイルOAuthの違いを
教えてください。
OAMクラシックOAuthは、モバイル以外のクライアント
に3-leggedと2-leggedのOAuthフローを提供し、OAMモ
バイルOAuthは、モバイル・クライアントにこれらのフ
ローを提供します。モバイル・クライアントは、モバイル・
デバイスのネイティブ・アプリケーションとして分類され
ます。
24
10. OAuthを使ってエンタープライズ・モバイル・クライ
アントを保護することが、なぜ重要なのですか。
OAuthクライアントには、クライアント・シークレット(ア
プリケーション・パスワードまたは秘密鍵)の機密性が維
持されないコンシューマ・アプリケーションもあります。
このようなOAuthクライアントは、パブリック・クライア
ントまたは非機密クライアントと呼ばれます。モバイル・
クライアント・アプリケーション(モバイル・デバイスの
ネイティブ・アプリケーション)も、パブリック・クライ
アントとして分類されます。ネイティブ・アプリケーショ
ンをアプリ・ストアからデバイスに初めてダウンロードす
るときに、クライアント・アプリケーションを一意に識別
するクライアント資格証明がアプリケーションに記録さ
れるためです。ネイティブ・アプリケーションをダウン
ロードするユーザーはすべてバイナリにアクセスできる
ため、悪意のあるユーザーがバイナリからクライアント資
格証明を逆コンパイルし、自身の資格証明に挿入できてし
まいます。OAuthフローでアクセス・コードがアクセス・
トークンに交換されると、このアクセス・トークンを誰が
実際に受け取って使用するのかを安全に識別できないた
め、深刻な脆弱性が生じます。そのため、特に、機密デー
タに日々アクセスする必要があるエンタープライズ・モバ
イル・アプリケーションでは、信頼できるアクセスを確保
するために、デバイスのモバイル・アプリケーションを保
護するメカニズムを提供することが重要な要件となります。
11. エンタープライズ・モバイル・アクセスをセキュリ
ティ保護する、OAM OAuthサービスのおもな機能を教え
てください。
OAM OAuth 2.0サービスは、OAuthアクセス・サービスを
使用するためにモバイル・アプリケーションが最初に
OAMに登録するメカニズムに対し、組込みサポートを提
供します。モバイル・アプリケーションは、OAM OAuth 2.0
サービス・エンドポイントにアクセスするための入力パラ
メータとして、常にこの登録ベースのクライアント・トー
クンを送信します。さらに、OAM OAuth 2.0サービスでは、
デバイスIDとモバイル・アプリケーション登録を組込みで
結合できるため、Oracle Adaptive Access Manager(OAAM)
との組込み統合を使用してモバイル・デバイスとアプリ
ケーションで不正やセキュリティがチェックされます。ま
た、OAM OAuth 2.0のモバイルOAuth 2.0フローは、セキュ
アなエンタープライズ・モバイル・アクセスを実現する以
下の機能を提供します。
•
セキュアなOAuthトークンを提供するための、
APNSまたはGCMのネイティブ・サポート
•
すべてのモバイルOAM OAuth 2.0クライアントに
対応する、セキュアなサーバー側モバイルSSO
(SDKは不要)
12. OAM OAuthサービスがOracle Access Managerの組込
みサービスとして提供する、おもな差別化要因を教えてく
ださい。
•
•
リソース所有者の認証および許可時の、OAMとの
組込み統合。これにより、以下を実現します。
−
OAM認証スキーマの利用
−
不正検出と厳密認証o シングル・サインオンと
セッション管理
OAMのリソース保護
−
OAuthトークンによる、OAM WebGateリソー
スの保護
•
共通のOAM構成、デプロイメント、およびインフ
ラストラクチャ
•
クラウド展開のマルチテナント・サポート
•
SAMLベアラおよびJWTトークンにおけるOAuthア
サーション指定の拡張機能サポート
13. OAM OAuthとOracle Application GatewayのOAuth
サービスの二者から選択する際の、おもな考慮事項を教え
てください。
両 方 の 製 品 が 3-legged と 2-legged の OAuth フ ロ ー を サ
ポートしていますが、それぞれ異なるユースケースをサ
ポートするように設計されています。アクセス管理プラッ
トフォームを検討しているお客様や、OAuth2.0機能が必
要であるがOracle Access Managementへの既存の投資を
活用することを希望しているお客様は、OAM OAuth 2.0
サービスを利用するのが最適です。Oracleやその他のアク
セス管理 プラット フォー ム と共存で きるAPIセ キュリ
ティ・ソリューションを検討しているお客様は、Oracle
Application Gateway(OAG)のOAuthを利用するのがよ
いでしょう。OAM OAuth 2.0サービスを使用すると、OAM
の統合をすぐに利用し、APIへのセキュアなモバイル・ク
ライアント・アクセスを提供して、エンタープライズ
OAuthフローに必要なさらに高いレベルのセキュリティ
を提供できます。OAGのOAuth 2.0サービスを使用すると、
クラウドAPIゲートウェイとして機能するクラウド・ベー
スのAPIへのエンタープライズ・アクセスを提供し、非機
密クライアントのサポートを提供できます。
25
Oracle Access Management Security
4. Oracle Web Services ManagerのWS-Trustプロバイダは、
どのような機能をサポートしていますか。
Token Service(Security Token Service)
•
ここでは、Security Token Service(STS)に関連するFAQ
について記載します。
Security Token Serviceに対して発行トークンをリ
クエストする
•
Security Token Serviceから発行されたトークンを
サービス側で検証して処理し、応答を生成する
一般的な質問
•
特定のSecurity Token Serviceインスタンスから
トークンをリクエストするように、クライアント
またはサービス・ポリシーを構成する
1. Oracle Security Token Serviceとはどのようなものですか。
Security Token Service(STS)はオラクルが提供する次世
代トークン・サービスであり、Webサービス全体でID伝播
を容易に実行できるように設計されています。
2. Security Token Serviceのおもな使用シナリオを教えて
ください。
WebからWebサービスへのID伝播
このシナリオでは、ユーザーのID情報をWebアプリケー
ションからWebサービス・プロバイダに伝搬する必要があ
ります。対象となるWebサービス・プロバイダは、Web
アプリケーションと同じセキュリティ・ドメイン内にある
場合と、異なるセキュリティ・ドメインにある場合があり
ます。
5. OWSMのWS-TrustプロバイダはSecurity Token Service
とどのようにやり取りしますか。
OWSMをOracle STSのWS-Trustクライアントとして利用
している場合、OWSMのWS-Trustプロバイダを使用して
WS-TrustリクエストがSTSに送信されます。OWSMがSTS
からWS-Trust応答を受け取ると、その応答がWeb Service
に伝播されます。OWSMのWS-Trustクライアントは、STS
を使用した以下のおもなユースケースをサポートしてい
ます。
1) トークンの交換/変換
OWSMのWS-Trustクライアントによって、ユー
ザーは基本トークン(要求者のトークン)を
SAMLトークン(STSで生成)と交換できます。
Webサービス間のトークン交換
このシナリオでは、特定のタイプの資格証明(ユーザー名
/パスワード、X.509証明書、Kerberosなど)を使ってドメ
インに対してユーザーが認証されます。ただし、ユーザー
がWebサービス・プロバイダにアクセスしたり通信したり
するためには、SAMLトークンが必要になります。このよ
うなシナリオでは、Oracle STSを使用すると、標準のトー
クン形式から別の形式(SAML 1.x、SAML 2.0など)へのトー
クン交換を容易に実行できます。この場合も、Webサービ
ス・プロバイダは、Webサービスのユーザーと同じセキュ
リティ・ドメイン内にある場合と、異なるセキュリティ・
ドメインにある場合があります。
3. Security Token ServiceにおけるWS-Trustの役割を教え
てください。
WS-Trustは、Oracle STSサーバーとの通信に使用されてい
るプロトコルです。WS-Trustは、以下のことを定義します。
2) エンティティの代理でのトークン交換
クライアントは、自身のトークンをリクエスト
(リクエストの件名に記載)したり、別のエン
ティティの代理(OBO)でトークンを要求(トー
クン発行クライアント・ポリシーに構成)した
りできます。
6. Oracle STSで使用できるWS-Trustポリシーを教えてく
ださい。
デフォルトでは、Webサービス・エンドポイントとの
Security Token Serviceトークン交換をサポートする、2つ
のOWSMポリシーを使用できます。
1. STS構成ポリシー
•
oracle/sts_trust_config_client_policy
•
oracle/sts_trust_config_service_policy
•
"セキュリティ・トークン・サービス"の概念
•
セキュリティ・トークンのリクエストと発行に使
用するメッセージ形式
•
oracle/wss11_sts_issued_saml_hok_with_messag
e _protection_client_policy
•
鍵交換のメカニズム
•
oracle/wss11_sts_issued_saml_hok_with_messag
e _protection_service_policy
2. トークン発行ポリシー
26
•
oracle/wss11_sts_issued_saml_with_message_pr
ot ection_client_policy
•
oracle/wss_sts_issued_saml_bearer_token_over_
ss l_client_policy*
•
oracle/wss_sts_issued_saml_bearer_token_over_
s sl_service_policy*
*注:トークン発行ポリシーsaml_bearerを使用するために
は、一方向SSLを有効にする必要があります。
7. Oracle Security Token Serviceでサポートされている、他
のタイプのトークンを教えてください。
•
Username
•
Kerberos
•
X.509
•
SAML 1.1アサーションまたはSAML 2.0アサーション
8. Security Token Serviceでは、Access Managerのトークン
をインバウンド・トークンとしてサポートしていますか。
はい。STSではAccess Manager 11gのセッション・トーク
ンをエンドユーザーの"代理"(OBO)トークンとしてサ
ポートしており、このトークンをSAMLまたはUNTのアウ
トバウンド・トークンとして変換できます。
27
Oracle Web Services Manager
3. Oracle API GatewayとOracle Web Services Managerを
統合する方法を教えてください。
ここでは、Oracle Web Services Manager(OWSM)に関
連するFAQについて記載します。
OAGとOWSMを統合する方法については、次のOTNペー
ジを参照してください。
一般的な質問
http://www.oracle.com/technetwork/articles/soa/oeg-o
wsm-1562313.html
1. Oracle Web Services Managerとはどのようなものですか。
Oracle Web Services Manager(OWSM)は、SOAおよび
REST APIのラストマイル・セキュリティを提供します。
Oracle SOA SuiteおよびOracle Access Management Suite
の一部として提供される標準準拠のソリューションであ
り、以下のことを実現します。
•
組織のWebサービスとSOAインフラストラクチャ
を構成する、APIとWebサービスの宣言型セキュリ
ティ・ポリシーを一元的に定義して保存する
•
組込みエージェントを使ってセキュリティ・ポリ
シーと管理ポリシーをローカルに適用する
•
失敗した認証や認可などのランタイム・セキュリ
ティ・イベントを監視する
OWSMを使用すると、実行中のビジネス・プロセスを中断
することなく、ポリシーの変更をリアルタイムで適用でき
るため、ビジネスではセキュリティ脅威やセキュリティ侵
害に俊敏に対処できます。
2. Oracle API Gateway(OAG)はOracle Web Services
Managerの後継ですか。
いいえ。この2つは相互に補完するもので、2つを組み合わ
せることでエンド・ツー・エンドの階層型セキュリティ・
ソリューションを実現します。
OWSM は 、 Oracle Fusion Middleware お よ び Fusion
Middlewareベースのアプリケーション(Oracle Fusion
Applicationsなど)にラスト・マイル/エンドポイント・セ
キュリティを提供します。OWSMは、REST/SOAPベースの
APIおよびWebサービスにエンドポイント・セキュリティ
を提供する、オラクルの戦略的ソリューションであり、ア
プリケーションと同じプロセスで動作する組込みエー
ジェントを提供します。
OAGはゲートウェイ・パターンに基づいて設計されており、
組織のWebサービスやSOAインフラストラクチャの前に
導入され、ほとんどの場合、DMZに導入されています。
4. Oracle API GatewayとOracle Web Services Manager
10g Gatewayの違いを教えてください。
OWSM 10g GatewayとOAGは、2つの別々の製品です。
OWSM 10g Gatewayは、Fusion Middleware 11gR1のリ
リースによって廃止になりました。OAGは従来のOWSM
10g Gatewayの後継であり、オラクルの戦略的なAPIセ
キュリティ/管理ソリューションおよびDMZセキュリ
ティ・ソリューションとなっています。また、OAGは、
OWSM 10g Gatewayでは利用できなかった数多くの機能
を提供します。OWSM 10g GatewayからOEGへの移行の基
礎知識が必要な場合は、OWSM 10g GatewayからOEGへの
移行ガイドを参照してください。
5. APIやWebサービスを保護するために、Access Manager
を使用できますか。
Access ManagerはWebシングル・サインオン・ソリュー
ションです。REST APIやSOAPベースのWebサービスを保
護するためには使用できません。OWSMとOAGは、APIお
よびWebサービスのセキュリティ・ソリューションです。
保護対象のAPIがDMZ内なのかグリーン・ゾーン(企業
ネットワーク)内なのかに応じて、いずれかを使用します。
OAGとOWSMをOracle Access Managerと統合すると、認
証とトークンの検証を実現できます。
6. Access ManagerとOracle Web Services Managerを使用
する場合、WebとWebサービス間のID伝播はどのように行
われますか。
ID伝播について詳しくは、次のブログ・エントリを参照し
てください。
https://blogs.oracle.com/owsm/entry/identity_propagati
on_across_web_and
28
Oracle Entitlements Server
ここでは、Oracle Entitlements Serverに関連するFAQにつ
いて記載します。
一般的な質問
1. Oracle Entitlements Serverとはどのようなものですか。
Oracle Entitlements Server(OES)は、柔軟性と粒度に優
れた、外部化されたアクセス制御のニーズを満たす、標準
に準拠したポリシー・ベースのセキュリティ・ソリュー
ションです。OESを使用すると、機密性の高いアプリケー
ション、データベース、コンテナ(Java™、.NETなど)、
ポ ー タ ル と コ ン テ ン ツ 管 理 シ ス テ ム ( WebCenter 、
SharePointなど)、開発フレームワーク、オブジェクト・
リレーショナル・マッピング・テクノロジー、仲介機能
(API/XMLゲートウェイ、ESBなど)、Webサービス、SOA
インフラストラクチャに対し、認可ポリシー管理とランタ
イム実施を実現できます。
OESのアクセス権をポリシーに定義するには、どのような
状況で、どのリソース・セットに対して、誰が何を実行で
きるのかを指定します。ポリシーによってすべてのタイプ
のリソースに制御を強化できます。リソースの例として、
ソフトウェア・コンポーネント(URL、Java Server Pages、
Enterprise JavaBeans、メソッド、サーブレットなど)、
UIウィジェット(メニュー、タブ、ポートレット、フィー
ルド、ボタンなど)、ビジネス・オブジェクト(機密ドキュ
メント、リッチ・メディア、イメージ、地理空間情報、ユー
ザー・プロファイル、銀行口座、保険プラン、診療記録な
ど)、REST API、Webサービスなどがあります(これらに
限定されるわけではありません)。
2. Oracle Enterprise Server 11gR2(11.1.2.x)の新機能を教
えてください。
リ ス ク 対 応 お よ び コ ン テ キ ス ト 対 応 の 認 可 ( Oracle
Identity and Access Managementと組み合わせて使用す
る場合)
•
ポリシー・シミュレーションのサポート
•
XACML 3.0仕様に定義されているすべてのデータ
型と機能のサポート
•
Oracle Service Bus 、 Microsoft SharePoint 、
WebSphere、JBoss、およびApache Tomcatのサ
ポート
•
PEP API問合せリクエストの強化
•
.NETリソースのサポート
•
管理コンソールによる複数のIDストアのサポート
3. Oracle Enterprise Serverのおもな使用シナリオを教えて
ください。
OESは、分散的または一元的に実施するアクセス・ポリ
シーを管理するための、包括的かつ一元的なソリューショ
ンを提供します。このソリューションには、以下の機能が
含まれます。
•
アプリケーション、ポータル、コンテンツ、およ
びデータベース向けのファイングレイン認可ポリ
シーの管理と適用
•
インターネットAPI、SOA、およびWebサービス向
けの認可とデータ改訂
•
エンタープライズ・アプリケーション向けのリア
ルタイム認可
•
オープン・スタンダードに基づいた相互運用性と
統合
4. Oracle Enterprise Serverをエンタープライズ・アプリ
ケーションのリアルタイム認可に使用できますか。
OESは、ミッション・クリティカルなアプリケーションで
非常に短い待機時間を実現します。また、拡張して大量の
機密リソース、ユーザー、ロール、および認可決定を処理
できるように設計されています。OESは、Oracleベースお
よび非Oracleベースのさまざまなプラットフォームとソ
リューションが含まれた、非常に大規模なミッション・ク
リティカルな環境で使用されています。
5. どのOracle製品で認可にOracle Enterprise Serverが利
用されていますか。
OESはオラクルの戦略的な認可エンジンであり、Oracle
Fusion Applications、Oracle Fusion Middleware(Oracle
SOA Suite、Oracle WebCenter Portal/Spaces、Oracle ADF
など)、Oracle Banking Platform(FlexCube)、Oracle
Identity and Access Management、およびその他のJRF
ベースのアプリケーションとテクノロジーに標準で組み
込まれます。また、OESは、Oracle WebLogic Serverおよ
びOracle Service Busとの統合を提供しており、すべての
Oracle WebLogic環境およびFusion Middleware環境で使
用できます。
29
6. Oracle Enterprise Serverがサポートしている認可モデル
と認可標準を教えてください。
OESは、XACML、属性ベースのアクセス制御(ABAC)、NIST
のロール・ベースのアクセス制御(RBAC)、"エンタープラ
イズ"RBAC、Java2/JAASの権限、OpenAZ、およびデータ・
セキュリティを実施するためのさまざまなモデルなど、さま
ざまな認可標準と認可モデルをサポートしています。また、
OESはJava2のセキュリティ・プロバイダとして機能し、JVM
に直接接続できるため、ファイル・システム、ネットワーク、
および重要なコードへのアクセスを管理できます。
7. Oracle Enterprise Serverでリスクベースおよびコンテキ
スト・ベースのアクセス制御を有効にする方法を教えてく
ださい。
OESとOracle Access Managementは、コンテキスト対応
のコンピューティングを実現する独自のエンド・ツー・エ
ンド・ソリューションを提供します。IDコンテキストは、
Oracle Entitlements Serverによる認可決定向けに自動的
に提供されるため、組織はユーザーやデバイス、ランタイ
ム・コンテキストに基づいて、ユーザーに許可される実行
内容やアクセスできる情報を制御できます。ランタイム・
コンテキストの例を次に挙げます(以下に限定されるわけ
ではありません)。
•
ユーザーの属性、ロール、リソース、動的属性と
環境条件
•
システムに対してユーザーが認証された方法
•
システム・アクセスに使用されているデバイス・
タイプ(PC、モバイル機器など)
•
デバイスに関する情報 - 登録済みデバイスまたは
信頼できるデバイスであるか、物理ロケーション、
IPアドレス、オペレーティング・システム、ジェイ
ルブレイクされているか、ウイルス・スキャンと
ファイアウォールは有効か、VPNは有効か、など
•
フェデレーション・パートナーからのアサーション
•
リスク・レベル - アクセス・パターンやトランザク
ションにおける異常のリアルタイム分析に基づく
また、OESは、サービス・コンテキスト情報やビジネス・
コンテキスト情報に基づいた認可決定をサポートしてい
ます。これらの情報のソースは、ポリシー情報ポイント
(PIP)とも呼ばれています。OESは属性取得機能を使用し
て、認可ポリシーに使用するユーザーおよびリソースに関
する情報、またはその他の情報をフェッチします。
8. REST APIおよびSOAPベースのWebサービス・インタ
フェース向けに、Oracle Enterprise Serverはどのような認
可サービスを提供していますか。
OESは、以下によってAPI、Webサービス、およびSOAの
各インフラストラクチャを保護できます。
•
ファイングレイン認可ポリシーに基づいて受信リ
クエストをブロックまたは許可する
•
SOAPペイロードまたはRESTペイロードのディー
プ・パケット・インスペクションを実行し、リク
エストのコンテンツに基づいてアクセスを選択し
て許可または拒否する(ビジネス・トランザクショ
ンの認可)
•
API/Webサービスの応答を使用して、機密情報を選
択して改訂または暗号化する
通常、バックエンドのWebサービスやSOAアプリケーショ
ンを変更せずに、これを実行できます。
OESをAPIゲートウェイ(Oracle API Gatewayやサード・
パーティ製品など)と統合すると、DMZ内のWebサービ
スとAPI、および"グリーン・ゾーン"(企業ネットワーク)
内Oracle ESBまたはサード・パーティESB、SOAインフラ
ストラクチャ、およびさまざまなWebサービスを保護でき
ます。
9. Oracle Enterprise Serverではどのような導入オプション
を提供していますか。
OES認可エンジン(PDP)は、アプリケーションに組み込
むか、またはネットワーク内で一元的にホストできます。
また、ビジネス、統合、導入、パフォーマンス、スケーラ
ビリティ、および高可用性のさまざまな要件を満たすよう
に、ポリシーの配布とキャッシュに複数のオプションを提
供しています。
10. 認可機能を拡張するために、Oracle Enterprise Server
ではどのような機能を利用できますか。
お客様は、以下を利用して認可機能を拡張できます。
•
カスタムの評価機能:カスタムのJavaプラグインを
作成して、ポリシー条件の一部として評価できま
す。
•
カスタムの属性取得機能:ポリシー条件に使用す
る属性をカスタムのJavaプラグインにマップでき
ます。OESポリシーの評価時に、これらの属性が自
動的に使用されてJavaプラグインが呼び出されま
す。プラグインによって返された値は、ポリシー
評価に使用する属性に割り当てられます。
•
ユーザー・インタフェース拡張機能:OES管理コン
ソールを拡張できます。
30
Oracle API Gateway
ここでは、Oracle API Gateway(OAG)に関連するFAQに
ついて記載します。
一般的な質問
1. Oracle API Gatewayとはどのようなものですか。
Oracle API Gateway(OAG)は"Oracle Enterprise Gateway"
製品の新しい名前であり、オラクルのアクセス管理製品、
API管理製品、Webサービス製品、およびSOAセキュリティ
製品に含まれています。OAGはオラクルが提供している専
用のAPIセキュリティ/API管理製品であり、社内、複数の
ドメイン境界間、およびクラウドにおけるWebサービス、
REST API、およびSOAの展開を簡素化し、保護するように
設計されています。OAGにより、JSON、XMLやその他の
タイプのデータがシンプルかつ使いやすい方法で保護、高
速化、統合、およびルーティングされます。そのため、統
合コストが大幅に抑えられ、所有コストが低減し、SOA、
クラウド、およびモバイル・インフラストラクチャに関連
する展開リスクが減少します。利用できるおもな機能には、
以下のようなものがあります。
APIセキュリティとAPI管理
•
攻 撃 や 誤 使 用 か ら の イ ン タ ー ネ ッ ト API と
REST/SOAPサービスの保護
•
APIレート制限とSLAメトリックの定義および実施
•
コンテンツ・ベースおよびコンテキスト・ベース
のルーティング
•
API使用の追跡およびレポート(オンラインとオフ
ライン)
クラウド接続の保護および一元化
•
WebおよびWebサービスのSSO(SaaS、PaaS、IaaS
サービスを含む)
•
外部SaaS、PaaS、IaaSサービスとの安全かつ一元的
な統合
•
クラウド・サービスの使用法と使用量の管理およ
び監視
モバイル・アクセスのゲートウェイ
•
モバイル・アプリケーションのファイアウォール
•
プロトコル・ブリッジングとトークン/データ変換
(JSONからXML、SOAPからREST、RESTからSOAP)
•
データ改訂とファイングレインのアクセス(Oracle
Identity and Access Managementと組み合わせて
使用する場合)
•
企業IDをモバイルに拡張(Oracle Identity and Access
Managementと組み合わせて使用する場合)
2. モバイル・アプリケーションにOracle API Gatewayが必
要な理由を教えてください。
組織では、企業ネットワーク内のデータベース、コンテン
ツ管理システム、さらにはメインフレームに保存されてい
るビジネス・トランザクションや情報にいつどこでもアク
セスできるようにするために、モバイル・アプリケーショ
ンを構築しています。モバイル・デバイスから実行できる
必要があるこのような情報やトランザクション・タイプは、
現時点では、組織から支給されたクライアント・デバイス
を使って社内ユーザーが社内アプリケーションでのみア
クセスできる場合が多いです。また、これらのシステムに
は、セキュリティ制御やコンプライアンス制御はほとんど
組み込まれておらず、暗黙の信頼レベルに頼っています。
現在、社内ユーザーと社外ユーザーが不明な場所で使用す
る、企業ネットワーク外で動作しているデバイスに、セ
キュアでない可能性があるネットワーク経由で企業シス
テムを公開することが必要になっています。これをセキュ
アな方法で行うことが重要であり、どのような環境で、ど
のタイプのビジネス・トランザクションを実行できるのか、
およびどの情報を企業ネットワーク外で利用できるのか
を制御することが重要です。
SOAP、JMS、MQ、または既存の企業システムによく使用
されているFTPベースのテクノロジーに基づいた、本格的
なアプリケーション、Webサービス、およびSOAベースの
インフラストラクチャがデバイスにサポートされていな
いため、モバイル・アプリケーションでは通常、軽量の
RESTベースAPIを使用して企業情報にアクセスしています。
オラクルの完全なアクセス管理ソリューションは、これら
のすべての課題に対処するように設計されています。
Oracle API Gatewayを使用すると、社内システムや企業
データを完全にセキュアなRESTベースAPI(JSONベースの
ペイロードを使用)として公開できます。既存のバックエ
ンドのサービス(SOAP、JMSなど)をREST APIとして仮想
化してコード化する必要はありません。既存のシステムを
変更しなくても最新の要件に対応するように、認証、ID
伝播、およびユーザー要求(属性アサーション)に必要と
なる既存の転送プロトコルやセキュリティ・トークンを自
動的に変換できます。たとえば、組織のREST APIを使って
オラクルのモバイル・アクセス管理ソリューションによっ
て発行されたJWTトークンのみ受け付けて、認証後にこの
トークンを、バックエンド・システムで必要となるSAML、
Kerberosや他のタイプのトークンに変換できます。
31
OAGは、組織のREST APIインフラストラクチャに多数の追
加機能を提供します。APIのアクセス、ビジネス・トラン
ザクション、およびデータの要求/返されるデータについ
て監視や監査を実行できます。モバイル・クライアント(ま
たは、ビジネス・パートナー、クラウド・アプリケーショ
ンなど)からのリクエストを検証し、リクエストの形式が
適切かどうか、悪意のあるコンテンツや脅威が含まれてい
ないか確認できます。これには、SQLインジェクション攻
撃、サービス拒否攻撃(メッセージ・ペイロード・コンテ
ンツを使用する攻撃を含む)、ウイルス、およびその他の
大量のxml、暗号や他のタイプの攻撃などが含まれます。
サブスクリプション(ゴールド、シルバー、ブロンズなど)
に基づいて、特定のタイプのクライアントのみ1日あたり
(または別の期間)に一定数のトランザクションを実行し、
使用量に基づいて課金し、不正なクライアントが大量のリ
クエストをシステムにオーバーロードしないように、ス
ロットリング・ポリシーを定義できます。
もっとも重要と考えられるのは、Oracle API Gatewayがオ
ラクルのアクセス管理テクノロジーと統合されることで
す。Oracle Access ManagerおよびAccess Management
Mobile and Socialソリューションと統合すると、認証、
ユーザー・トークンの検証、不正の検出、およびIDコンテ
キストの伝播を実行できます。Oracle Entitlements Server
と統合すると、REST APIアクセスの認可と監査を実行し、
応答ペイロードのデータを選択して改訂でき、Oracle STS
と統合すると、セキュリティ・トークンを一元監視でき、
LDAPディレクトリと統合すると、ユーザー検索とメッ
セージ・ペイロードを強化(LDAPからペイロードへのユー
ザー情報を追加)できます。
3. Oracle API Gatewayでモバイル・アクセス・ゲートウェ
イとして提供されている機能には、どのような機能があり
ますか。
OAGでは、モバイル・アクセス・ゲートウェイ(Oracle
Access Management Mobile and Social お よ び Oracle
Access Managementの他のコンポーネントと連携して動
作)として以下の機能を提供しています。
•
REST、SOAP、およびAPIアクセスをサービス拒否攻
撃、SQLインジェクション攻撃、API攻撃から保護
ど)
•
コンテンツのプリフェッチおよびバックエンド・
アプリケーションの呼出しのキャッシュ化による、
スケーラビリティの向上
•
ブローカSSOおよび外部クラウド・サービスの呼出
し
•
特定のモバイルID、モバイル・アプリケーション、
およびモバイル・デバイスに対するAPIの再作成と
仮想化
•
モバイル・フレンドリーなOAuth、OpenID Connect、
およびJSON WebトークンへのWeb SSOとSAMLの
マッピング
•
SLAの制御と応答のキャッシュ化
•
きめ細かなアクセス制御とデータ改訂
4.Oracle API Gatewayで利用できる、他のAPIセキュリティ
関連機能やAPI管理関連機能を教えてください。
脅威からの保護
•
HTTPパラメータ、REST問合せ/POSTパラメータ、
JSONデータ構造、XMLスキーマの検証
•
XSS、SQLインジェクション、XMLコンテンツ/構造
の脅威とウイルスからの保護
•
カスタム脅威プロファイルの作成による、メッ
セージ構造脅威とXML脅威に対応する組込みフィ
ルタの拡張
•
失敗した認証/ポリシー違反の追跡による、パター
ンや潜在的な脅威の特定
API鍵の管理
•
API鍵の割当て、一時停止、取消し
スロットリングとサービス品質
•
スロットリング/レート制限と割当て制限による、
APIトラフィックの制御
使用状況のレポートと分析
•
アクセス制御とID統合
•
API鍵の管理
•
OAUTH 2.0クライアントおよびOAUTH 2.0サー
バーのサポート
•
コンテンツ・ベースおよびコンテキスト・ベース
のルーティング
•
HTTP Basic認証、ダイジェスト認証、SSL証明書ベー
スの認証、Microsoft SPNEGOのサポート
•
データ形式間のマッピング(XMLとJSONなど)お
よびプロトコルのブリッジング(RESTからSOAPな
•
SAML、X.509証明書、LDAP、OAuthのサポート
•
レポートによる、API使用状況(成功とエラー)の
追跡と測定
•
リアルタイムの監視用ダッシュボード
アクセス制御
32
•
Oracle Access Managementに対する認証
•
きめ細かなアクセス制御とデータ改訂(OESを使用
する場合)
5. Oracle API GatewayとOracle Entitlements Serverの関係
を教えてください。
以下のユースケースに対応するように、OAGはOracle
Entitlements Serverにネイティブに統合されます。
選択的なデータ改訂
金融サービス、医療、公的機関/政府機関、通信、保険を
含め、さまざまな業種の多くの組織が、情報や企業システ
ムをモバイル・デバイス、ビジネス・パートナー、顧客、
およびクラウドに公開することを検討しています。多くの
組織では、Webサービスを社内に公開するか、または企業
システムを使用することで、顧客、患者、国民、ドキュメ
ント、その他の機密データに関する情報にアクセスしてい
ます。これらのWebサービスやシステムはかなり以前に構
築されたため、社会保障番号、クレジット・カード番号、
医療/健康記録などの機密情報を含め、顧客や患者に関す
るすべての情報が要求者に返されることがほとんどです。
OESとOAGを組み合わせて使用すると、RESTベースのAPI
(または他のタイプのWebサービス)をクライアントに公
開して、どの情報をネットワーク外に公開し、どの情報を
改訂する必要があるのかを指定する、XACMLベースの認
可ポリシーを定義できます。
組織では、指定のクライアント・デバイス、場所、または
ネットワークから指定の顧客や患者に関して、たとえば
Bobがどの情報にアクセスできるのかを制御できます。こ
の自動的な情報改訂は、Bobと顧客/患者との関係(アカ
ウント・マネージャ、医師、その他、関係なし)に基づき
ます。Bobが別の顧客/患者レコードの問合せを実行した
場合にはすべての情報を参照できてしまいますが、この例
では、顧客/患者の社会保障番号や生年月日を現在のユー
ザーが参照できないように指定できます。
います。バックエンド・システムのコーディングや変更は
必要ありません。OAGとOESは組織のバックエンド・シス
テムの前に配置され、メッセージとメッセージ・コンテン
ツを検査し、どのメッセージとメッセージ・コンテンツを
いずれかの方向(リクエストまたは応答)に送信できるの
かを制御できます。
組織では、監査証跡を把握し、リアルタイムとオフライン
の両方でトランザクションと情報フローを監視し、アクセ
ス・パターンの異常や疑わしい動作が検出された場合にア
ラートや通知を設定できます。
6. Oracle API GatewayとOracle Web Services Managerの
違いを教えてください。
OAG と OWSM は オ ラ ク ル の総 合 的 な 階 層 型 API お よ び
Webサービス・セキュリティ・ソリューションの主要コン
ポーネントであり、組織の環境にエンド・ツー・エンドの
セキュリティ・ソリューションを提供するための補完機能
を提供します。企業では、クライアント(ユーザーやアプ
リケーションなどの証明書利用者)とサービス・プロバイ
ダ(Webサービスを公開する組織)間のリクエスト/応答
サイクルのさまざまな段階で保護する必要があるAPIと
Webサービスを、さまざまな手法を使って実装できます。
このクライアントとサービス・プロバイダ間に複数のセ
キュリティ・レイヤーが定義されます。企業のDMZ("レッ
ド・ゾーン")内の最初のセキュリティ・レイヤーは、"境
界セキュリティ"と呼ばれる最前線の防御を提供すること
で、OAGによって処理されます。2番目のセキュリティ・
レイヤー(企業の"グリーン・ゾーン")は、DMZ内のファ
イアウォールの内側に配置されます。場合によっては、グ
リーン・ゾーンに、Webサービスへのアクセスをさらに
フィルタリングするように設計された、複数のセキュリ
ティ下位レイヤーを含めることができます。最後に、保護
対象のWebサービスやアプリケーションとともに配置さ
れたエージェントが、"ラストマイル・セキュリティ"と呼
ばれる、OWSMによって処理される最後のセキュリティ・
レイヤーを提供します。
ビジネス・トランザクション
データ改訂の例と同様に、組織では、さまざまな条件下で
指定のユーザーが実行できるビジネス・トランザクション
を制御できます。一例を挙げると、給与変更などの特定の
タイプのビジネス・トランザクションを送信することを
ユーザーに認可するかどうかだけでなく、対象となる従業
員セット、実際の変更金額、および対象となる条件も制御
できます。別の例を挙げると、IDとデバイス・コンテキス
トに基づいて、一定の金額を超える発注を確定できるかど
うかも制御できます。
この両方の例では、ルールと認可ポリシーを定義すること
で、どのデータにアクセスできるのか、および特定のビジ
ネス・トランザクションを送信できるかどうかを指定して
7. Oracle API Gatewayでは、Microsoft .NET、ADFS、およ
びWCF向けにどのようなサポートを提供していますか。
OAGはLDAPを使ってActive Directoryと相互に連携しま
す。ADFS 2.0(Active Directoryフェデレーション・サービ
ス)の場合、OAGはSTSクライアントとして機能し、
WS-Trustを使ってADFS 2.0のトークンを使用します。
Microsoft SharePointでのシングル・サインオンが伴うシ
ナリオにこれを使用できます。
33
OAGはすべてのバージョンのMicrosoft .NETサービスと相
互に連携します。この相互連携は、.NETで使用されている
WCF(Windows Communication Foundation)ポリシーに
対して提供されます。
8. Oracle API GatewayとOracle Web Services Manager
10g Gatewayの違いを教えてください。
OWSM 10g GatewayとOAGは、2つの別々の製品です。
OWSM 10g Gatewayは、Fusion Middleware 11gのリリー
スによって廃止になりました。OAGはオラクルの戦略的な
APIセキュリティ/管理およびDMZセキュリティ・ソリュー
ションであり、OWSM 10g Gatewayでは利用できなかっ
た多数の追加機能を提供します。OWSM 10g Gatewayか
らOEGへの移行の基礎知識が必要な場合は、OWSM 10g
GatewayからOEGへの移行ガイドを参照してください。
9. Oracle API GatewayとOracle Service Busの関係を教え
てください。
こ の 2 つ の 製 品 は 、 相互 に補 完 す る 製 品 で す 。Oracle
Service Busは通常、企業のイントラネット("グリーン・
ゾーン")に導入され、特にサービス仮想化、プロトコル
仲介、および負荷の大きいペイロード変換を社内クライア
ントと社内アプリケーションに対して提供します。Oracle
API Gatewayは通常、企業のDMZ("レッド・ゾーン")に
導入され、APIとWebサービスをエクストラネット、モバ
イル・アプリケーション、ビジネス・パートナーに公開す
る場合や、SaaS、PaaS、IaaSの各インフラストラクチャと
やり取りする場合に必要となる、高度な各種セキュリティ
機能を提供します。また、Oracle API GatewayはAPIゲー
トウェイの要件として軽量のサービス仮想化、プロトコル
変換、およびペイロード変換の各機能も提供しますが、脅
威からの保護、Oracleとサード・パーティのアクセス管理
統合、クライアント/コンシューマ・ベースのスロットリ
ング、セキュリティ・トークンの仲介、メソッド/APIファ
イアウォールとブラックリスト、Oracle Mobile Access
Managementの統合、API鍵管理、クラウド統合など、DMZ
環境に必要とされる機能にもっとも重点を置いています。
10. OAG と 相 互 連 携 ま た は 統 合 で き る 、 Oracle
Identity/Access Management製品とミドルウェア製品を
教えてください。
OAGをOracle Access Manager、Oracle Entitlements Server、
Oracle Access Management Mobile and Social、Oracle
Directory Services、Oracle Web Services Manager、Oracle
Service Registry、Oracle Service Bus、Oracle Business
Transaction Monitor、Oracle SOA Suite、Oracle Enterprise
Manager Grid Controlと密接に統合すると、APIリクエスト
とWebサービス・リクエストに関連するすべてのレイヤー
でトランスポート・レベルとアプリケーション・レベルの
セキュリティを実現できます。
11.Oracle Enterprise Gatewayにおける現在の投資は保護
されますか。
はい。すべてのお客様が、使用しているOEGライセンスを
Oracle API Gatewayに移行できます。詳しくは、オラクル
のアカウント・チームまでお問い合わせください。
12. Oracle API Gatewayへのアップグレードと移行は、ど
のような企業が行う必要がありますか。また、いつ行う必
要がありますか。
OEGを使用しているすべてのお客様に、現在の環境をOAG
11gR2にできる限り早い時点でアップグレードすること
を強くお勧めします。アップグレード後は、新機能、パ
フォーマンス強化、およびバグ修正のメリットが得られま
す。詳しくは、オラクルのアカウント・チームまでお問い
合わせください。
Oracle Access Management 11gR2(11.1.2.x)の
よくある質問
2014年1月
著者:Svetlana Kolomeyskaya
共著者:Roger Wigenstam、Venu Shastri、
Sid Mishra、Kanishk Mahajan
Oracle Corporation
Copyright © 2014, Oracle and/or its affiliates.All rights reserved.
本文書は情報提供のみを目的として提供されており、記載内容は予告なく変更されることがあります。本文書は、その内容に誤りがな
いことを保証するものではなく、また、口頭による明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性に
ついての黙示的な保証を含め、いかなる他の保証や条件も提供するものではありません。オラクルは本文書に関するいかなる法的責任
も明確に否認し、本文書によって直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許
可を前もって得ることなく、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信するこ
とはできません。
World Headquarters
OracleおよびJavaはOracleおよびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。AMD、Opteron、
500 Oracle Parkway
AMDロゴおよびAMD Opteronロゴは、Advanced Micro Devicesの商標または登録商標です。
Redwood Shores, CA 94065
U.S.A.
海外からのお問い合わせ窓口:
電話:+1.650.506.7000
ファクシミリ:+1.650.506.7200
www.oracle.com
IntelおよびIntel XeonはIntel Corporationの商標または登録商標です。すべてのSPARC商標はライセンスに基づいて使用されるSPARC
International, Inc.の商標または登録商標です。UNIXはX/Open Company, Ltd.によってライセンス提供された登録商標です。1010
Fly UP