Oam mobile-social-overview
-
Upload
oracle-corporation -
Category
Documents
-
view
763 -
download
1
description
Transcript of Oam mobile-social-overview
1
Oracle Access Management Mobile and Social
Oracle Asia Research and Development Center
Alice Liu ( [email protected])
2013/04/09
2Copyright © 2012, Oracle and/or its affiliates. All right
話題1. モバイル&ソーシャル潮流
2. OAM Mobile and Social 機能概要
2.1 主な機能概要
2.2 モバイルアプリケーションにエンタープライズ · セキュリティの拡張
2.3 ユースケースシナリオ
3Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Access Management Mobile and Social
未像:モバイル・ソーシャル・ネットワークが社会を変える
モバイル&ソーシャル潮流
4Copyright © 2012, Oracle and/or its affiliates. All right
モバイル & ソーシャルアクセスのプロミス
いつでも、どこでも、アクセス可能
新しいビジネスツール
個人 & 企業設備
モバイル、ソーシャル、 Cloud アクセス未来像:モバイル・ソーシャル・ネットワークが社会を変える
5Copyright © 201 3 , Oracle and/or its affiliates. All right
低
高
サー
ビス
レベ
ル要
件
多種多様なシステムおよびリソースに対するアカウントアクセスを管理
低 高
信頼
拡張の企業ユーザー
外部ユーザー
信頼の企業ユーザー
6
クラウド · アクセス
モバイルセキュリティ
ソーシャルサインオン
業界標準をサポート
Oracle Access Management Mobile & Social って何?
7Copyright © 2012, Oracle and/or its affiliates. All right
モバイル、ソーシャル時代におけるアクセス管理
API
Security
OAuthOpenID
SingleSign-on
Step-up
Auth
Authz
8Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Access Management Mobile and Social
未像:モバイル・ソーシャル・ネットワークが社会を変える
OAM Mobile and Social 機能概要
主な機能概要
9Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Access Management Mobile and Social 主な機能
モバイルサービス
インターネット・アイデンティティ・サービス
ユーザー・プロファイル・サービス
Access Management との統合サービス
Oracle Access Management Mobile and Social サービスは、サーバを含む既存のバックエンド ID を持つインタフェース管理インフラストラクチャ。
10
Mobile & Social ホームイメージ
11Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Access Management Mobile and Social
モバイルサービスについて
人気がある Google や Yahoo 、 Facebook 、 Twitter 、または LinkedIn のような複数なログインサービスオプションを提供。導入すれば実装しなくても、それぞれのアイデンティティ・プロバイダの機能にアクセスできる。
インターネット・アイデンティティ・サービスについて
エンタープライズ · アイデンティティへのブラウザベースとネイティブ · モバイル · アプリケーションを接続するモバイルサービス。管理インフラストラクチャは、典型的には、 OAM プラットフォーム
12Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Mobile and Social Access Managementユーザー・プロファイルサービスについて
Oracle Access Manager ( OAM )を活用でき、エージェント · ソフトウェアにより、ランタイム REST インターフェースを提供
Access Management との統合サービス
LDAP 作成、読み取り、更新、および削除( CRUD )用の REST インターフェースを提供
※ スタンドアロンモードは、 Oracle Enterprise Gateway は( OEG )機能と組み合わせて使用
※ ユーザープロファイルサービスは JWT により保護
13Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Mobile and Social Access Management
未像:モバイル・ソーシャル・ネットワークが社会を変える
OAM Mobile and Social 機能概要
モバイルアプリケーションにエンタープライズ · セキュリティの拡張
14Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Adaptive Access Manager ( OAAM ):モバイルデバイスフィンガープリント、登録、モバイルデバイスコンテキスト、および不正検出
Oracle Access Manager : Web アプリケーションの認証、許可、およびシングルサインオン用
モバイルアプリケーションにエンタープライズ · セキュリティの拡張
Oracle Enterprise Gateway (OEG) :最初のマルチプロトコルおよびマルチフォーマットの防衛線。クラウドサービスへのセキュリティゲートウェイ
LDAP ベースのユーザー · ディレクトリへのモバイルアプリケーションの直接アクセス用の Oracle ディレクトリ · サービス。たとえば、 OID 、 ODSEE 、 OUD
Oracle Entitlement Server ( OES ):モバイルデバイスのコンテキストに基づい、エンタープライズ・アプリケーションへのアクセス、きめ細かな認可ポリシーを一元化
15Copyright © 2012, Oracle and/or its affiliates. All right
Function: モバイルユーザーの認証非モバイルアプリケーションと同様に、新しいモバイルアプリケーションへの既存の認証インフラストラクチャを拡張できる認証サービスを提供する。
次のような共通のトークンタイプをサポート
ユーザートークン( User Token ):認証対象に関する権限を持つベアラトークン( OAuth 2.0 JWT )
アクセストークン( Access Token ):エンタープライズ Web アプリケーションなど、保護されたリソースへのアクセスが
許可されたトークン
クライアントトークン( Client Token ):非モバイルデバイスへのアクセスが許可されるトークン。
たとえば、 Web アプリケーション、サーバーアプリケーションなどへのアクセストークン。
16Copyright © 2012, Oracle and/or its affiliates. All right
Function: モバイルユーザーの認証Tips
モバイルデバイスと非モバイルデバイスは、異なるセキュリティ上の課題、モバイル認証と非
モバイル認証は、 Oracle Mobile and Social Access Management で別々に管理されている。
モバイルサービスとインターネット・アイデンティティ・サービスは一緒に設定できます。
17Copyright © 2012, Oracle and/or its affiliates. All right
Function: モバイルユーザーの承認Tips
承認は、 OES ( Oracle Entitlement Server )によって処理される。
OES および Oracle Access Management プラットフォームは、アイデンティティ · コンテキスト、
オラクルの ID およびアクセス管理製品の一部であるサービスに基づくコンテキストアウェアな
セキュリティポリシー管理を可能にするユニークなエンドツーエンドのソリューションを提供。
アイデンティティ · コンテキスト{ “CustomerDetailResponse“: { “customerID”: “99999” “name”: “Sally Smith” “phone”: “555-1234567” “SSN”: “***********“ “creditCardNo”: ”@^*%&@$#%!“ “purchaseHistory”: “…” }}
18Copyright © 2012, Oracle and/or its affiliates. All right
Function: モバイルユーザーの承認Tips
{ “CustomerDetailResponse“: { “customerID”: “99999” “name”: “Sally Smith” “phone”: “555-1234567” “SSN”: “***********“ “creditCardNo”: ”@^*%&@$#%!“ “purchaseHistory”: “…” }}
アイデンティティ · コンテキストがトランザクションに関連する複数の ID およびアクセス管理コンポーネントに既知の
属性で構成されている。
アイデンティティ · コンテキスト属性は、ユーザー · プロファイル(通常はユーザーディレクトリに格納される)、
アプリケーションおよびエンタープライズ · ロール、認証タイプ(弱、強)、デバイスのステータス(既知、管理、
信頼)、デバイスコンテキスト(場所、構成情報など)、フェデレーション(パートナー属性、およびリスク評価
(パターン分析)を含む。
アイデンティティーコンテキストは、オラクルの ID およびアクセス管理コンポーネント、アイデンティティコンテキスト属性、特にモバイルアクセス用のデバイスコンテキスト間で共有されており、アクセスの決定を行うために設計されたセキュリティ · コンポーネントで使用可能になる(たとえば、 OES の承認)。
19Copyright © 2012, Oracle and/or its affiliates. All right
Function: ユーザー · ディレクトリとの統合
Tipsユーザー・プロファイルサービスは、 Web 、モバイル、およびデスクトップアプリケーション、
ディレクトリルックアップの様々な処理を実行できるようにし、タスクを更新する。
ユーザープロファイルサービスにより、モバイルとソーシャル · サーバーへの REST を呼び出し、
モバイルデバイスから自分の組織のユーザーはユーザー・プロファイルへアクセスできるアプリ
ケーションを構築できる。
Tips
20Copyright © 2012, Oracle and/or its affiliates. All right
ユーザープロファイルサービスでディレクトリデータを公開Tips
LDAP ディレクトリ · サービスは、ユーザーのセルフサービス、会社のホワイトページ、または
ヘルプデスク · ユーザ · アカウント · メンテナンスを含む多くの機能を使用されている。
M&S ソリューションのユーザープロファイルサービスは Oracle ディレクトリ · サービス( OID 、
ODSEE 、 OUD を含む)だけでなく、 Microsoft Active Directory などのサードパーティの
ディレクトリサービスに REST インタフェースを提供する。
ネイティブiPad アプリケーションからディレクトリ
サービスを見える
21Copyright © 2012, Oracle and/or its affiliates. All right
Function: モバイルアプリケーションとシングルサインオンを提供
Tipsモバイル · シングル · サインオン( SSO )は、ユーザーがアプリケーションごとに認証情報を提供
せずに、同じデバイス上の複数のモバイル · アプリケーションを実行することができる。
ネイティブとブラウザベースのアプリケーションは、モバイル SSO の実現可能。
Tips
22Copyright © 2012, Oracle and/or its affiliates. All right
Function: モバイルアプリケーションとシングルサインオンを提供
Tipsモバイル SSO 機能について、モバイルデバイスのベース上、モバイルの SSO エージェントを
指定する必要がある。
Tips
OAM プラットフォーム 11gR2 PS1 により、モバイル SSO エージェントは Apple iOS と Android
デバイスでサポートされ、ユーザーは M&S Client SDK を使用し、モバイル SSO エージェント・
アプリケーションを構築する可能。
モバイル SSO エージェントは何?
リモート M&Sサーバーとバックエンドのアイデンティティ ·サービスで認証する必要があるデバイス上の他のアプリケーションの間のプロキシとする。
モバイル SSOエージェントは、リスクベース認証とアイデンティティ · コンテキスト用のサーバに渡されるローカルデバイス属性を収集するタスクを一元化する。
モバイル SSOエージェントが存在する場合、ユーザーの資格情報がモバイル · ビジネス · アプリケーションに公開されることはない。
ブラウザ · ベースのビジネス· アプリケーションは、認証用のモバイル SSO エージェントを使用するように設定することができる。
23Copyright © 2012, Oracle and/or its affiliates. All right
Function: OAM のモバイルサービス機能
エンタープライズリソースは、 OAM 、または OWSM により保護されたかもしれない。
M&S サーバはモバイルアプリケーションとリソースの間の経路をセキュアするために、
2種類のトークンをサポートしている( OAM のトークン( HTTP クッキー)と JWTs )。
Tips
M&S Client SDK はユーザーの資格情報を収集し、 M&S REST インタフェースで
プログラムの認証を処理する。
OAM生成されたトークンが JSON で配信されます。 OPSS により JWTs が生成される。
24Copyright © 2012, Oracle and/or its affiliates. All right
Function: エンタープライズアプリケーションと Web API は OEG で保護
OEG は、 M&S サービスに REST呼び出しのためのファイアウォール保護を提供するTips
Web APIs は、エンタープライズ · ソフトウェアとレガシーシステムと相互作用するように
設計された RESTful なアプリケーション · プログラミング · インターフェースです。
OEG は、特にモバイルプラットフォームに利用可能でない SOAP ベースサービスへのアクセスを許可する、 SOAP
および SAML のリクエストから REST と JWT (または OAM )のリクエストに変換することができる。
使用案例:
ますます多くの小売業者は BestBuy や Amazon により販売チャネルを設立する予定。
たとえば、 FedEx 会社は、購入した商品の配達を追跡することができる顧客が小売業者のサイト(“mash-up” アプリケーション)を構築する必要。
マッシュアップ( mash-up) を有効するために、企業は自社のアプリケーションへのアクセスを公開する必要があります。
25Copyright © 2012, Oracle and/or its affiliates. All right
Function: 検証デバイス ID
M&S サービスは、デバイスとアプリケーションは両方の登録を適用している認証サービス。Tips
デバイスの登録も OAAM で使用可能なポリシーとリスク評価の対象となります。
関連ポリシーは、 KBA 、電子メールまたは SMS によりOTP などの課題をステップアップトリガすることができる。
ホスト認証とチャレンジポリシーは OAAM 統合によりR2PS1 でサポートされている。
26Copyright © 2012, Oracle and/or its affiliates. All right
Function: デバイスの紛失や盗難への対処TipsOAAM と統合される M&Sサービスは、紛失または盗難にあったデバイスをマークする方法を提供することにより、このリスクに対処し、紛失後、エンタープライズ · アプリケーションへのアクセスを試みたときに適用された特定のポリシーを実装し、アクセスブロックできる。
再認証プロセスを行う
27Copyright © 2012, Oracle and/or its affiliates. All right
Oracle Mobile and Social Access Management
未像:モバイル・ソーシャル・ネットワークが社会を変える
OAM Mobile and Social 機能概要
ユースケースシナリオ
28Copyright © 2012, Oracle and/or its affiliates. All right
Oracle の信頼されたセキュリティ · プラットフォーム上の構築
ユースケースシナリオ1
モバイルユーザはOAuth を使用してサービス ·プロバイダ( SP )によって公開されたリソースにアクセス案例
29Copyright © 2012, Oracle and/or its affiliates. All right
ユースケースシナリオ 2
OAM とOAAM の統合上、 OAMMSを活用し、モバイルユーザーはモバイル · アプリケーション間でSSO案例
30
Q&A
ご清聴、ありがとうございました。
31
参考資料• Oracle Mobile and Social Access Management 11g R2 PPT Author: Forest Yin, Dan Killmer, Roger Wigenstam, Sid Mishra・ Introduction to OIC presentation slides・ OAAMS-OEG-Usecases.pdf・ mobileandsocialaccessmanagementwp.pdf
• Learn More : • http://docs.oracle.com/cd/E27559_01/dev.1112/e27134/customizingmobilesrvcs.htm• http://techtarget.itmedia.co.jp/tt/news/1208/16/news01.html
32
関連用語集 & 外部リンク• OAuth http://ja.wikipedia.org/wiki/OAuth• Oracle Enterprise Gateway
http://www.oracle.com/technetwork/jp/middleware/id-mgmt/oeg-300773-ja.html• Oracle Entitlements Serverhttp://www.oracle.com/jp/products/middleware/identity-management/entitlements-server-151624-ja.html・ AWG http://ja.wikipedia.org/wiki/AWG・ OpenID http://ja.wikipedia.org/wiki/OpenID・ WebAPI,認証 API のセキュリティ
http://gihyo.jp/dev/serial/01/web20sec/0006・ REST, REpresentation State Transfer http://ja.wikipedia.org/wiki/REST・ API Application Programming Interface
33
関連用語集 & 外部リンク• SOAP REpresentation State Transferhttp://ja.wikipedia.org/wiki/SOAP_(%E3%83%97%E3%83%AD%E3%83%88%E3%82%B3%E3%83%AB)• HTTP ( hypertext transport protocol ) Webサーバとクライアント(Web
ブラウザなど ) がデータを送受信するのに使われるプロトコル。 HTML文書や、文書に関連付けられている画像、音声、動画などのファイルを、表現形式などの情報を含めてやり取りできる。 IETFによって、 HTTP/1.0 は RFC 1945 として、 HTTP/1.1 は RFC 2616 として規格化されている。
• Data Redaction 広く共有されている文書上のプライベート・コンテンツを検出して削除し、機密データが文書やフォームから不注意で開示されないように保護します。コンプライアンス要求もサポートし、適切な許可とポリシーによる場合以外の機密データの開示を防ぎます。
34
関連用語集 & 外部リンク• フィンガープリント【 finger print】
http://e-words.jp/w/E38395E382A3E383B3E382ACE383BCE38397E383AAE383B3E38388.html
• OpenID オープンアイディー http://ja.wikipedia.org/wiki/OpenID
• エクストラネット (Extranet) 複数のイントラネットを相互接続したネットワークシステムのことである。
• TCO 【 Total Cost of Ownership】(総所有コスト) • ホワイトリスト 一般的なウィルス対策ソフトに代表されるブラックリスト方式のセ
キュリティ対策は、既知の脅威に対してのみ有効な手段です。• Cohesion 凝集度
http://ja.wikipedia.org/wiki/%E5%87%9D%E9%9B%86%E5%BA%A6• オンボードコンピュータ【 on-board computer】 オンボードコンピュータとは、
基板などのボード上に搭載されたコンピューターの総称である。
35
関連用語集 & 外部リンク• フェデレーション http://msdn.microsoft.com/ja-jp/library/ms730908.aspx
フェデレーション セキュリティにより、クライアントがアクセスするサービスと、関連する認証および承認の手順を明確に分離できます。 また、フェデレーション セキュリティを使用すると、異なる信頼レルムに属する複数のシステム、ネットワーク、および組織間のコラボレーションが可能になる。
・ クレーム ベースのアーキテクチャ http://www.atmarkit.co.jp/fdotnet/arcjournal/arcjournal16_06/arcjournal16_06_02.html
・ XACML(eXtensible Access Control Markup Language)
XACML とは、 XMLベースのマークアップ言語で、インターネットを通じた情報アクセスに関する制御ポリシーを記述するための言語仕様のことである。 2003年 2月に XML関連技術の標準化団体であるOASISによって標準化されている。
・ ad hoc アドホック http://ja.wikipedia.org/wiki/%E3%82%A2%E3%83%89%E3%83%9B%E3%83%83%E3%82%AF
無線アドホックネットワークの一つの形態である。 MANET では、ラップトップや、携帯電話など、携帯可能である端末で無線アドホックネットワークを構築する。
36
関連用語集 & 外部リンク・ OAuth 2.0 JWT べアラートークン
http://help.salesforce.com/HTViewHelpDoc?id=remoteaccess_oauth_jwt_flow.htm&language=ja JSON Web トークン (JWT) は、 JSON ベースのセキュリティトークンエンコードで、 ID とセキュリティ情報をセキュリティドメインで共有できるようにします。 OAuth 2.0 JWT ベアラートークンフローは、クライアントが前の認証の使用を希望する場合に、 JWT を使用して Salesforce から OAuth アクセストークンを要求する方法を定義します。認定済みのアプリケーションの認証は JWT に適用されているデジタル署名で提供されます。
• エンドツーエンド【 end to end】( E2E ) 「両端で」「端から端まで」という意味の英語表現。通信・ネットワークの分野で、通信を行う二者、あるいは、二者間を結ぶ経路全体を意味する。
• JSON (ジェイソン、 JavaScript Object Notation ) JavaScriptにおけるオブジェクトの表記法をベースとした軽量なデータ記述言語である。 http://ja.wikipedia.org/wiki/JavaScript_Object_Notation
• JSON Web Token (JWT) http://oauth.jp/post/43684099914/json-web-token-jwt
• スタンドアロンモード クライアント / サーバイベントによってユーザのタスクが妨害される場合は、そのユーザにクライアントのスタンドアロン権限を付与します。
• OPSS Oracle Platform Security Services http://www.oracle.com/technetwork/testcontent/opss-faq-131489.pdf
37
38