Post on 06-Dec-2014
description
1
OAMMSセキュリティプラグインの概要およびOAAMとTAP統合
Oracle Asia Research and Development Center
Alice Liu(lzhmails@gmail.com)
2013/04/09
2 Copyright © 2012, Oracle and/or its affiliates. All right
テーマ
Access ManagerとOracle Adaptive Access ManagerのTAP統合
動作検証の準備
OAMMSセキュリティプラグインの概要
OAAMとの統合ユースケース
3 Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Access Management Mobile and Social
未像:モバイル・ソーシャル・ネットワークが社会を変える
OAMMSセキュリティプラグインの概要
4 Copyright © 2012, Oracle and/or its affiliates. All right
OAMMSセキュリティプラグインって何?
主にモバイルユースケースのために設計されるが、
非モバイルユースケースで使用することもできる
1. モバイルへのアクセスをコントロール
2. 追加ユーザーの認証
3. デバイスワイプアウトを通知
5 Copyright © 2012, Oracle and/or its affiliates. All right
Access ManagerとOracle Adaptive Access ManagerのTAP統合
Access ManagerとOAAMとのTAP統合では、OAAMサーバーが信頼できるパートナ・アプリケーションとして動作します。OAAMサーバーは厳密認証、 リスクおよび不正分析の実行後にTrusted Authentication Protocol (TAP)を使用して認証済のユーザー名をOAMサーバーに送信し、OAMサーバーは保護されたリソースへリダイレクトする役割を果たします。
統合の要件
6 Copyright © 2012, Oracle and/or its affiliates. All right
Access ManagerとOracle Adaptive Access ManagerのTAP統合
検証した製品のバージョン情報
OHS 11.1.1.6
Webgate 11.1.2.1
Oracle DB 11.2.0.3
OAM+OAAM 11.1.2.1
Weblogic 10.3.6
7 Copyright © 2012, Oracle and/or its affiliates. All right
Access ManagerとOracle Adaptive Access ManagerとのTAP統合フロー
コンポーネントがインストール
Access ManagerとOAAMの管理コンソールおよび管理対象サーバーが実行されていることを確認
OAAM管理ユーザーを作成
OAAMベース・スナップショットをインポート
Oracle Access Managementコンソールに正常にログインでき
る必要
OAAMが正しく設定されたこと
Webゲートエージェントを登録
OAAMサーバーを信頼できるパートナ・アプリケーションとして動作するように
Access Managerに登録
エージェント・パスワードを追加
Oracle Access Managementテスターを使用してTAPパートナ登録
を検証
IAMSuiteAgentを更新
OAAMでTAP統合プロパティを設定
1
2
3
4
5
6
7
8
9
10
11
12
8 Copyright © 2012, Oracle and/or its affiliates. All right
統合後、保護されたリソースへリダイレクトするログイン・フロー
9 Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Mobile and Social Access Management
未像:モバイル・ソーシャル・ネットワークが社会を変える
動作検証の準備
10 Copyright © 2012, Oracle and/or its affiliates. All right
動作検証の準備1:OAAM管理ユーザーおよびOAAMグループの作成
OAAM管理コンソールを保護する場合
外部LDAPストアでユーザーおよびグループの作成を処理する必要(idmConfigToolコマンドの使用)
OAAM管理コンソールを保護しない場合
WebLogic管理コンソールで管理ユーザーを作成する必要
11 Copyright © 2012, Oracle and/or its affiliates. All right
動作検証の準備1:OAAM管理ユーザーおよびOAAMグループの作成
WebLogic管理コンソールで管理ユーザーの作成 ◎WebLogic管理コンソールにログイン
◎「ドメイン構造」->「セキュリティ・レルム」を選択
◎「セキュリティ・レルムのサマリー」ページで、myrealmを選択
◎「レルム名」→「設定」→「ユーザーとグループ」→「ユーザー」→「新規」
◎「グループ」タブをクリック
◎ OAAMキーワードのあるグループをすべて、ユーザーに割り当てます。
◎グループを左(使用可能)から右(選択済)に移動 ->「保存」
OAAMEnvAdminGroup
OAAMRuleAdministratorGroup
……
OAAM関連グループ
12 Copyright © 2012, Oracle and/or its affiliates. All right
動作検証の準備2:OAAM_SERVER_DSにターゲットoam_server1を追加
WebLogin管理コンソールを使用してOAAM_SERVER_DSにターゲットoam_server1を追加
WebLogic管理コンソールにログイン->サービス->データ・ソース->OAAM_SERVER_DSを選択->ターゲットタブをクリック->oam_server1を選択->保存
13 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケースのチェックポイントとアクショングループの概要
チェックポイント アクショングループ
14 Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Mobile and Social Access Management
未像:モバイル・ソーシャル・ネットワークが社会を変える
OAAMとの統合ユースケース
15 Copyright © 2012, Oracle and/or its affiliates. All right
OAAMとの統合ユースケース1,2のイメージ
未像:モバイル・ソーシャル・ネットワークが社会を変える
モバイルデバイス管理
デバイス登録のスタイル:
パッシブ(R2でサポート)(将来的には他のスタイル:アクティブ、管理)
デバイスプロファイル/フィンガープリント
ユーザーID、デバイスID/プロファイル、クライアントアプリケーションIDの管理
その他の機能
デバイスのホワイトリスト、またはブラックリスト
16 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース1:デバイスをブラック
チェックポイント/ポリシー/ルール/アクショングループ
チェックポイント:ポスト認証
ポリシー:OAAMポスト認証セキュリティ
ルール:モバイルデバイスをブラック
デバイスグループ:OAAMブラック・リストに記載されたモバイル・デバイス
アクション:OAAMでモバイルデバイスをブラック
アラート: OAAMブラック・リストに記載されたモバイル・デバイスの使用
予想出力
"message":"Black Listed Mobile Device Rule is triggered ",
"oicErrorCode":"IDAAS-62005",
"status":"WIPE_OUT"
17 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース1:デバイスをブラック 配置手順
18 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース1:デバイスをブラック 配置手順
19 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース1:デバイスをブラック
未像:モバイル・ソーシャル・ネットワークが社会を変える
20 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース2:盗難・紛失でOAAMデバイスの管理
チェックポイント/ポリシー/ルール/アクショングループ
チェックポイント:ポスト認証
ポリシー:OAAMポスト認証セキュリティ
ルール:盗難・紛失でデバイス
デバイスグループ:盗難・紛失でOAAMデバイス
アクション:紛失したOAAMデバイスを追加
アラート:盗難・紛失でOAAMデバイス
予想出力
"message":"Lost or Stolen Device Rule is triggered", "oicErrorCode":"IDAAS-62006",
"status":"WIPE_OUT"
21 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース2:盗難・紛失でOAAMデバイスの管理 配置手順
22 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース2:盗難・紛失でOAAMデバイスの管理
未像:モバイル・ソーシャル・ネットワークが社会を変える
23 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース3:アプリケーションをブラック
チェックポイント/ポリシー/ルール/アクショングループ
チェックポイント:ポスト認証
ポリシー:OAAMポスト認証セキュリティ
予想出力
"message":"The Denied Action is triggered", "oicErrorCode":"IDAAS-61009",
"status":"DENIED"
24 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース3:アプリケーションをブラック 配置手順
25 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース4:セッション情報の確認
• OAAMセッションテーブルに重要なコラム
• セッションID、ユーザネーム、ディバイスID、ディバイスタイプ、クラインアウトアプリケーション ネーム
• 認証ステータス、セッション日、認証後アクション(許可、チャレンジ、ブロック)
• 詳しくは下記ページをご参照
26 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース4:セッション情報の確認
未像:モバイル・ソーシャル・ネットワークが社会を変える
27 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース4:セッション情報の確認
28 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース5:アクセス管理とリスクベース認証の統合
アクセスパターンと履歴の収集
アクセスパターン
1. リスク>閾値、KBAチャレンジ、またはOTPチャレンジ
2. リスク>>閾値(間違ったパスワード何度も試行)、ブラックリスト、またはユーザ/デバイスを両方ブロック
OTPとKBAは一緒に使用できる。OTP は、KBAチャレンジを補完するために使用することも、KBAのかわりに使用することもできる。
29 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース5-1: KBA( Knowledge Base Authentiation)チャレンジ
ユーザーは、KBAの質問を設定するOAAM管理下サーバーのコンソールを使用することもできる。
設定流れは39.9.2.6.1 Setting up OAAM Knowledge-Based Authenticationをご参照
30 Copyright © 2012, Oracle and/or its affiliates. All right
ユースケース5-2: OTP(One Time Password) チャレンジ
設定流れは39.9.2.6.3 Setting Up OTP E-Mail Integrationをご参照
OTP By Email
OTP By SMS
設定流れは39.9.2.6.4 Setting Up OTP Integration for SMS Messagesをご参照
31
Q&A ありがとうございました。
Blog: http://lzhairs.blogspot.jp
E-mail: lzhmails@gmail.com
32
参考資料 • http://docs.oracle.com/cd/E37115_01/admin.1112/e27239/oicconfiguringmobilesrvcs.htm#B
EIFHCBF
• Overview of OIC Security Plug-in and OAAM Integration
• http://docs.oracle.com/cd/E37472_01/admin.1112/b70199/chquest.htm
• http://docs.oracle.com/cd/E37472_01/admin.1112/b70199/groups.htm
• http://docs.oracle.com/cd/E37472_01/admin.1112/b70199/part_kba.htm
• http://docs.oracle.com/cd/E37115_01/index.htm
• http://docs.oracle.com/cd/E37115_01/admin.1112/e27207/intro.htm#autoId8
• OAAM+OIC+Integration+Documentation
33
関連用語集&外部リンク
・ SMTP:Simple Mail Transfer Protocol(シンプル メール トランスファー プロトコル)または簡易メール転送プロトコルは、インターネットで電子メールを転送するプロトコルである。通常 TCP のポート番号 25 を利用する。 転送先のサーバを特定するために、DNSの MXレコードが使われる。RFC 5321 で標準化されている。
・ KBA Knowledge Base Acceleration ナレッジベース認証
・ OTP One Time Password ワンタイムパスワード
、 コンピューターのアカウントのようにアクセス制限されたリソースに対して未承認アクセスすることをより困難にすることにある。従来の固定パスワードによるアクセス制限では、十分な機会と時間を与えられた承認を受けない侵入者にとっては容易にアクセスしうる。定期的にパスワードを変更することで、それもワ ンタイムパスワードを利用することで、こうしたリスクは大幅に低減する。
34
関連用語集&外部リンク
・ 認証(Authentication, Authn)
・ 承認(認可, Authorization, Authz)
・ 認証と認可の違い
• http://www.itmedia.co.jp/enterprise/articles/0804/22/news044.html
• http://msdn.microsoft.com/ja-jp/library/bb263941%28VS.85%29.aspx
• au・then・ti・ca・tion [aw thent kaysh'n] 名詞: (認証)
個人やプロセスの身元の確認。
• au・thor・i・za・tion [awthr zaysh'n ] 名詞: (承認)
何かを行う、またはある場所に存在することを、誰かに許可を与えること。
35
36