識別情報管理の構成要素とアーキテクチャ
次の項で、Oracle Identity Managementインフラストラクチャの詳細を説明します。
識別情報管理の構成要素とアーキテクチャ
図 図図
図2-2 企業統合型の識別情報管理企業統合型の識別情報管理企業統合型の識別情報管理企業統合型の識別情報管理
企業での 企業での 企業での
企業での Oracle Identity Management の使用 の使用 の使用 の使用
Oracle Identity Managementは、Oracle製品にエンタープライズ・インフラストラクチャを
提供するように設計されていますが、カスタムおよびサード・パーティのエンタープライ ズ・アプリケーション、ハードウェアおよび企業のネットワーク・オペレーティング・シス テム用の、堅牢でスケーラブルな識別情報管理ソリューションとしても機能します。
また、オラクル社は、サード・パーティのアプリケーション・ベンダーと提携しているの
で、Oracle Identity Managementをインストールした後、サード・パーティのアプリケー
ションですぐに使用できるようになっています。
識別情報管理の構成要素とアーキテクチャ
Oracle セキュリティ・アーキテクチャでの セキュリティ・アーキテクチャでの セキュリティ・アーキテクチャでの セキュリティ・アーキテクチャでの Oracle Identity Management の役割 の役割 の役割 の役割
各Oracleテクノロジ・スタック(RDBMS、Application Server、E-business Suiteおよび
Collaboration Suite)では、それぞれの設計の核として適切なセキュリティ・モデルをサ
ポートします。それでも、これらのすべてで、それぞれのセキュリティ・モデルおよび機能 の実装に、Oracle Identity Managementインフラストラクチャを使用しています。図2-3に、
このアーキテクチャを示します。
図 図図
図2-3 Oracle Identity Managementのセキュリティ・モデルのセキュリティ・モデルのセキュリティ・モデルのセキュリティ・モデル
OracleASは、Java Authentication and Authorization Service(JAAS)と呼ばれるJ2EE準拠 のセキュリティ・サービスをサポートします。JAASは、Oracle Internet Directoryで定義し たユーザーおよびロールを利用できるように構成できます。同様に、データベースのセキュ リティ機能である、エンタープライズ・ユーザーおよびOracle Label Securityという手段に
よって、Oracle Internet Directoryで定義したユーザーおよびロールを活用できます。つま
り、これら両方のプラットフォームがあることで、それぞれ固有のセキュリティ機能を使用 して開発されたアプリケーションで、基盤となるIdentity Managementインフラストラク チャを透過的に活用できるようになります。
識別情報管理の構成要素とアーキテクチャ
Oracle Collaboration SuiteおよびOracle E-Business Suiteは、RDBMSおよびOracleASプ ラットフォーム上に階層化されたアプリケーション・スタックです。前述のとおり、この階 層化によって、Oracle Identity Managementインフラストラクチャとの間接統合があるレベ ルで行われます。また、これらの製品には、Oracle Identity Managementに依存した独立機 能もあります。たとえば、Oracle E-mailやOracle Voicemail & FaxなどのCollaboration
Suiteコンポーネントは、Oracle Internet Directoryを使用して、製品固有のユーザー設定項
目、ユーザーの連絡先およびアドレス帳を管理する必要があります。これらのコンポーネン トは、電子メールを保護するために、Oracle Application Server Certificate Authorityに依存 します。
これらのOracleテクノロジ製品では、Provisioning Integration Serviceを活用して、ユー
ザー・アカウントとユーザー権限のプロビジョニングおよびプロビジョニング解除を、自動 的に行います。Delegated Administration Servicesは、ユーザーの設定項目および連絡先の セルフ・サービス管理に広く使用されています。また、これらの製品のセキュリティ管理イ ンタフェースは、サービス・ユニットと呼ばれるユーザー管理およびグループ管理の基本単 位を活用します。
Oracle Identity Management での での での での OracleAS Certificate Authority の役割 の役割 の役割 の役割
Oracle Application Server Certificate Authorityは、Oracle Internet DirectoryおよびSingle
Sign-Onを介して、Oracle Identity Managementインフラストラクチャを使用します。
Oracle Internet Directoryによって、証明書を発行時に公開し、その情報をすべての接続デー
タベースに伝播できます。Single Sign-Onは、アプリケーションなどのOracleコンポーネン
ト(Oracle Collaboration Suiteのエンタープライズ・ユーザーおよび電子メール保護機能な
ど)が依存する標準インタフェースを提供します。Oracle Application Server Certificate
Authorityが発行した証明書は、単純かつ高速で、整合性のある識別情報管理に求められる
セキュアな認証をサポートします。
SSO 統合を介した簡易プロビジョニング 統合を介した簡易プロビジョニング 統合を介した簡易プロビジョニング 統合を介した簡易プロビジョニング
OracleAS Single Sign-On(SSO)Serverに対して認証を行うアプリケーション・ユーザー
は、透過的に証明書を取得でき、技術教育やPKIの理解は必要ありません。その後は、アプ リケーションで、新しく発行された証明書を使用してSSOによるこのアプリケーション・
ユーザーの認証が透過的に行われ、セキュリティが強化されます。発行されたPKI証明書
は、Oracle Internet Directory(OID)に自動的に公開されます。この強力な機能を提供する
ことにより、Oracle Database、Oracle Internet DirectoryおよびOracleAS Single Sign-On
Serverのセキュリティ、高可用性およびスケーラビリティが高まります。
Oracle Application Server Certificate Authority(OCA)管理者は、オプションでOCAを構 成して、SSOを介してURLをブロードキャストできます。これを実行すると、SSOを介し て認証を行うユーザーは、OCAの簡単なグラフィカル・インタフェースを使用して証明書 を要求できます。この証明書があれば、その後のSSO認証がさらに簡単になります。これ は、SSOで、OIDを使用してユーザーのブラウザで自動的に提供された証明書を検証できる ためです。OCAは、失効した証明書および期限切れの証明書を定期的にOIDから自動的に 削除するため、SSOは、OIDの情報を信頼して使用できます。
Oracle Application Server Certificate Authorityの主要機能
Oracle Application Server Certificate Authority の主要機能 の主要機能 の主要機能 の主要機能
Oracle Application Server Certificate Authorityの主要機能は、スケーラブルなWebブラウ ザ・インタフェースを介して使用できます。これらの機能は、業界標準の証明書の管理、
LDAPディレクトリとの統合およびポリシーの適用をサポートします。説明する内容は次の とおりです。
■ オープン規格に対するサポート
■ 柔軟なポリシー
■ 管理者およびエンド・ユーザーにとっての使いやすさ
■ OCA画面でのNational Language Support(NLS)
■ スケーラビリティ、パフォーマンスおよび高可用性
オープン規格に対するサポート オープン規格に対するサポート オープン規格に対するサポート オープン規格に対するサポート
Oracle Application Server Certificate Authorityは、オープン規格をサポートするので、異機
種間コンピューティング環境での通信ができます。Oracle Application Server Certificate
Authorityは、次の規格をサポートします。
■ X.509 v3証明書および証明書失効リスト(CRL)
■ IETF PKIX規格
■ 最長4096ビットの署名鍵(RSA)
■ スマートカード
■ Microsoft Internet ExplorerおよびNetscape Communicatorを使用した証明書要求
■ 様々なPKCS規格(5、7、8、10、12など)
■ 証明書要求の複数の登録プロトコル(証明書要求のSigned Public Key and Challenge
(SPKAC)やPublic Key Cryptography Standard(PKCS)#10など)
柔軟なポリシー 柔軟なポリシー 柔軟なポリシー 柔軟なポリシー
ポリシーは、ルールと制限のセットで、ユーザーが使用を認められるアクション、アクセス または認証を制限します。Oracle Application Server Certificate Authorityには、構成可能な ポリシー・ルールのセットが用意されており、このセットを使用して、ユーザー(または ユーザーのグループ)が取得できる証明書のプロパティを制限できます。サイトでは、これ らのルールをカスタマイズして、特定のPKI要件を満たすように、Oracle Application
Server Certificate Authorityを構成できます。デフォルトのポリシー・ルールがいくつか用
意されていますが、独自のポリシー・ルールも適用できます。
Oracle Application Server Certificate Authorityの主要機能
管理者およびエンド・ユーザーにとっての使いやすさ 管理者およびエンド・ユーザーにとっての使いやすさ 管理者およびエンド・ユーザーにとっての使いやすさ 管理者およびエンド・ユーザーにとっての使いやすさ
Oracle Application Server Certificate AuthorityのWebベースの管理インタフェースには、
「認証管理」および「構成管理」という2つの主要タブがあります。これらを使用する場合、
管理者は、最初のエントリ時にフォームに必要事項を入力し、その後証明書をインポートし て登録する必要があります。
「認証管理」タブを使用すると、管理者は、証明書要求の承認または拒否、および証明書失 効リスト(CRL)の生成または更新ができます。また、様々な理由(セキュリティが損なわ れた場合など)によって、発行された証明書を失効させることもできます(OCAを停止お よび起動する場合、管理者は、コマンドライン・ツールocactlを使用する必要がありま す。このツールには管理者のパスワードが必要です)。
Oracle Application Server Certificate AuthorityのWebベースのエンド・ユーザー・インタ フェースにも、「ユーザー証明書」および「サーバー/下位CA証明書」という2つのタブ があります。「ユーザー証明書」タブをクリックすると、ユーザーは、OracleAS Single
Sign-On名およびパスワードを使用してユーザー自身を認証できます。SSO認証を選択し
「送信」をクリックすると、SSOウィンドウが表示され、SSO用のユーザー名およびパス ワードを入力できます。
「ユーザー証明書」ページには、すべての証明書要求やそのステータス(保留、認可済、拒 否済)などが表示されます。新しい証明書の要求、証明書失効リスト(CRL)のダウンロー ドまたは認証方式の変更を実行できます。
「サーバー/下位CA証明書」タブをクリックすると、新しいサーバー/下位CA証明書の 要求、CRLのダウンロードまたはCA証明書のダウンロードを実行できます。また、ID/シ リアル番号または一般名で、特定の証明書または証明書要求を検索できます。
OCA 画面での 画面での 画面での 画面での National Language Support ( ( ( ( NLS ) ) ) )
特定の前提を満たす場合は、OracleAS Certificate Authorityの管理者用画面およびユーザー 用画面を、クライアントまたはサーバーの言語で表示できます。それには、データベースの キャラクタ・セットがUTF8であると同時に、必要な言語がOCAによりサポートされてい る必要があります。この前提が満たされない場合は、英語が使用されます。OCAの管理コ マンドライン・ツールのocactlで使用できるのは英語によるコマンドだけですが、メッ セージ(情報メッセージやエラー・メッセージなど)は、サポートされている場合にかぎ り、サーバー・ロケールの言語で表示されます。サポートされていない場合は、英語が使用 されます。
関連項目関連項目関連項目
関連項目: 第6章「OracleAS Certificate Authority の管理: 高度なトピッ ク」の「OCA画面でのNational Language Support(NLS)の構成」の項