Oracle Enterprise Single Sign-On Suite Plus 11g Release 2 PS2

Transcription

1 Oracle ホワイト ペーパー 2014 年 1 月 Oracle Enterprise Single Sign-On Suite Plus 11g Release 2 PS2

2 免責事項 本書は 情報提供を唯一の目的とするものであり いかなる契約にも組み込むことはできません マテリアルやコード 機能を提供することをコミットメント ( 確約 ) するものではないため 購買決定を行う際の判断材料になさらないで下さい 本書に記載されている機能の開発 リリース および時期については 弊社の裁量により決定されます 2

3 はじめに... 5 今日の大部分のエンタープライズ アプリケーションをサポート... 5 SaaSアプリケーションのサポート... 5 既存のインフラストラクチャへの高速で効率的なデプロイ... 5 サーバー側のフットプリントの最小化... 5 冗長性のある一元管理されたデータ保存... 5 既存のデータ保護メカニズムの利用... 5 セキュアなポリシーの適用による一元管理... 6 Oracle Access Management Access Manager 統合... 6 業界標準に基づいた実装... 6 Oracle ESSO Suiteの機能... 7 エンタープライズ シングル サインオン... 7 アプリケーションのパスワードの変更... 7 セルフサービスのWindowsパスワード リセット... 8 セッションとアプリケーションの管理... 8 ローカル リモートのアプリケーション資格証明プロビジョニング... 8 セッション内部および外部での厳密認証... 8 イベントのレポート... 8 Oracle ESSO Suiteのコンポーネント... 9 Oracle ESSO Logon Manager(Oracle ESSO-LM) 認証 オーセンティケータ 認証サービス 認証 API インテリジェント アプリケーション レスポンス Windowsアプリケーション Webアプリケーション ホスト / メインフレーム アプリケーション ローカル ユーザー データ キャッシュ 暗号化 Oracle Access ManagerとIDコンテキスト統合 リポジトリとの同期

4 イベントのロギングとレポート Access Portal Oracle ESSO Password Reset(Oracle ESSO-PR) Oracle ESSO Provisioning Gateway(Oracle ESSO-PG) Oracle ESSO Kiosk Manager(Oracle ESSO-KM) Oracle ESSO Universal Authentication Manager(Oracle ESSO-UAM) Oracle ESSO Anywhere Oracle ESSO Reporting 用語と略称 Oracle ESSO Suiteドキュメントのダウンロード

5 はじめに Oracle Enterprise Single Sign-On Suite Plus(Oracle ESSO Suite) は 適応性とスケーラビリティに優れたエンタープライズID 管理インフラストラクチャであり ターゲットの変更を必要とせずに ほぼすべてのアプリケーションにシングル サインオンを提供するほか クライアント側のWindows パスワードのリセット 一元管理された資格証明のプロビジョニングとプロビジョニングの解除 キオスク環境のサポート 厳密認証 包括的な監査に至るまで さまざまな機能を提供します SaaSアプリケーションのサポート Oracle ESSO Suiteは SaaSアプリケーションを含むWebベース アプリケーションにシングル サインオンを提供します Oracle ESSO Suiteには さまざまなオペレーティング システムとデバイスにわたってWebベースのアプリケーションにシングル サインオンを提供するクロス プラットフォーム対応型のポータル サービスも含まれます 既存のインフラストラクチャへの高速で効率的なデプロイ Oracle ESSO Suiteでは ターゲット システムへの変更は必要なく ディレクトリ サーバーやデータベースなどの既存のインフラストラクチャを利用するため 総所有コストの削減につながります 完全カスタマイズ版のMSIインストール パッケージを簡単に生成して エンドユーザーのマシンに一括してデプロイでき 個別の構成作業の必要はありません サーバー側のフットプリントの最小化アプリケーションからの資格証明リクエストの認識と応答 ポリシーの適用 認証の管理など Oracle ESSO Suite Plusのほとんどの機能は クライアント側のコンポーネントによって管理されます 一部のOracle ESSO Suiteアプリケーションでは 管理とデータ保存についてのみ サーバー側のコンポーネントを利用します 冗長性のある一元管理されたデータ保存 Oracle ESSO Suiteアプリケーションは Oracle Database 11gやその他の多くのSQLデータベース ソリューションと同様に Microsoft Active Directory Oracle Directory Services およびその他の大部分のサード パーティLDAPベース ディレクトリなどのデータ リポジトリにデータを一元的に保管します 今日の大部分のエンタープライズ アプリケーションをサポート Oracle ESSO Suiteは あらゆるオペレーティング システムで稼働する ほとんどのWindowsアプリケーション Webアプリケーション Javaアプリケーション メインフレーム / ターミナル ベースのアプリケーション (Windowsベースのエンドユーザー マシンからアクセスされるもの) に対して シングル サインオンとパスワード リセットの機能を提供します シングル サインオンを展開するためにターゲット システムに変更を加える必要は一切ありません また SaaS ビジネス パートナー Oracle Access Management(OAM) によって保護されたアプリケーションなどのWebベースのアプリケーションに対してクロス プラットフォーム対応型のシングル サインオン ソリューションを提供します 既存のデータ保護メカニズムの利用既存のインフラストラクチャを利用するため 既存のフェイルオーバー ポリシーやバックアップ ポリシーがサポートされ ユーザーの資格証明 アプリケーション テンプレート セキュリティ ポリシーなどの一元的に保存されたOracle ESSOアプリケーションのデータが自動的に保護されます 5

6 セキュアなポリシーの適用による一元管理パスワード ポリシー 管理者によるオーバーライド項目 認証ポリシーや アプリケーションの資格証明も含めたクライアントの構成データが 各 Oracle ESSO Suiteアプリケーションに搭載された管理コンソールから管理され リポジトリと同期されます この仕組みによって 管理者は固有のエンドユーザー エクスペリエンスとセキュリティ ポリシーを全社的に適用できます 管理者は Oracle Identity Managerなどのプロビジョニング システムを使用して エンドユーザーの操作を必要とせずに Oracle ESSO Suiteユーザーにアプリケーションの資格証明をリモートで配布することもできます Oracle Access Management Access Manager 統合 Oracle Access Managerは オラクルのWebアクセス管理ソリューションです Oracle ESSOとAccess Managerの統合により アクセスされているアプリケーションのタイプを問わず 1つのSSOセッションを実装できるようになります これにより コンプライアンスの姿勢が強化され Access Manager でWeb SSOセッションに対してOracle ESSOの厳密認証のサポートを利用できます Oracle ESSOへの認証の成功後 Oracle ESSOエージェントはOracle Access ManagerのCookieを取得し 自動的にその CookieをユーザーのWebブラウザに注入して Oracle Access Managerにより保護されたアプリケーションに対してユーザーがシームレスにアクセスできるようにします Oracle ESSOセッションの有効期限が切れると Cookieがブラウザから削除されるため Oracle Access Managerのセッションも終了します Oracle ESSOはOracle Access Managerとセッション レベルでシームレスに統合されるため あらゆるタイプのアプリケーションに 優れたユーザー エクスペリエンスを提供し Webアクセスの管理ソリューションとOracle ESSOソリューションの相乗効果が得られます 業界標準に基づいた実装 Oracle ESSO Suiteアプリケーションは業界標準のテクノロジーを利用して 以下の多くの機能分野を実装しています MS-CAPIによるデータ暗号化の利用 ( 標準 AES) Active Directory/AD-LDS LDAP SQL 経由のデータ リポジトリへのアクセス MS-CAPIおよびPKCS #11によるスマートカードとの連携 BioAPI/BSPによる外部 / 内蔵指紋スキャナとの連携 SPMLを利用したID 管理システムとの統合 XML 形式の構成データの保存 6

7 Oracle ESSO Suite の機能 Oracle ESSO Suiteは アプリケーションへのユーザー アクセス権の付与に関連するすべてのタスクを処理します これらの機能には 自動サインオン アプリケーションのパスワード変更 Windows パスワードのリセット キオスク セッション管理 アプリケーションの資格証明のプロビジョニングに加えて セッション内部および外部での厳密認証も含まれます 以降では Oracle ESSO Suite の機能について詳しく説明します エンタープライズ シングル サインオン ほとんどのWindowsアプリケーション Webアプリケーション Javaアプリケーション およびメインフレーム / ターミナル ベースのアプリケーション (Windowsベースのワークステーションで実行されるもの またはそのようなワークステーションからアクセスされるもの ) に対して 自動シングル サインオン機能を提供します Oracle ESSO Logon Manager (Oracle ESSO-LM) エージェントがセッションを監視し アプリケーションからのログオン リクエストを自動的に検出し 可能な場合は常に自動的にログオンを処理します エンドユーザーは 企業ネットワークへの接続中 外出中 コンピュータ間の移動 ( ローミング ) 中 共有のワークステーションでの作業中を問わず 簡単にアプリケーションへのシングル サインオンを利用できます Oracle ESSO-LMは Windowsログオン メカニズムから直接 ユーザーのセッション内のプライマリ認証を受け入れることも 業界の主要なスマートカード 非接触 ICカード トークンを利用することもでき さらにOracle ESSO Universal Authentication Manager (Oracle ESSO-UAM) を追加することでバイオメトリクス ソリューションも利用できます Oracle ESSO-UAMでは 標準のWindowsログオン メカニズムを上記の厳密認証ソリューションへと完全に置き換えて (2つの要素による認証を含む) セッションの外部のセキュリティを強化することもできます Access Portal Serviceは 異なるプラットフォーム (PC タブレット スマートフォン) やオペレーティング システムにわたって Webベース アプリケーションでフォーム ベースのシングル サインオンを可能にします このサービスには Oracle ESSOアプリケーションの構成と資格証明ストアにセキュアにアクセスできるようにする一連のRESTful インタフェースが含まれます Access Proxyコンポーネントは Oracle ESSOの機能 ( フォーム入力シングル サインオンおよびヘッダー ベース認証 ) をWebベースのアプリケーションに提供します その際 どのような形式のクライアント コンポーネントもデバイスにホストする必要はありません アプリケーションのパスワードの変更 ほとんどのWindowsアプリケーション Webアプリケーション Javaアプリケーション およびメインフレーム / ターミナル ベースのアプリケーション (Windowsベースのエンドユーザー マシンで実行されるもの またはそのようなマシンからアクセスされるもの ) に対して 自動パスワード変更機能を提供します Oracle ESSO Logon Managerエージェント アプリケーションがセッションを監視し アプリケーションからのパスワード変更リクエストを自動的に検出して パスワードの変更を自動的に処理するか またはユーザーに対してアプリケーションの新しいパスワードの入力を求めた上でパスワードを変更します 自動生成されたパスワードは 管理者が自由に構成できるパスワード生成ポリシーに従います 新しいパスワードは リポジトリ内のユーザーの資格証明ストアに自動的に追加されます 7

8 セルフサービスのWindowsパスワード リセット 完全統合されたセルフサービスのWindowsパスワード リセット ソリューションをエンドユーザーに提供し ヘルプデスクへの問合せをなくして リセット プロセスを迅速化します ユーザーには パスワードをリセットするために正しい答えを出す必要のある ユーザー確認用の質問が連続して提示されます ユーザー確認用の質問と受容できる回答は 各質問の 重み とともに 管理者が自由に構成できます セルフサービスのパスワード リセット機能には Windowsログオン ダイアログから直接アクセスするか ( オペレーティング システムのバージョンに応じて GINAまたは資格情報プロバイダのリンクによって統合される ) Webブラウザからリモートでアクセスします セッションとアプリケーションの管理 1つのワークステーションが複数のユーザーによって共有される キオスク 環境は 病院 製造現場 出荷施設などの 立ち仕事 の環境であり そのような環境ではユーザー固有ではないアカウントによってセッションが確立されます Oracle ESSO Suiteは 汎用の 親 セッション内で ユーザー レベルの粒度でのセッションおよびアプリケーションのサインオン機能を付加します 親 セッション内でセキュアなスクリーン セイバー レイヤーを追加することで Oracle ESSO Suiteはユーザーに対して ワークステーションのセッション状態を維持できるようにします 維持できる期間は 別のユーザーがログオンするか タイムアウトの期限が切れるまでで その時点で データが自動的に保存されてアプリケーション セッションがログオフされ アプリケーション自体も終了できます これらの処理は 管理者が自由に構成できるポリシーによって適用されます ローカル リモートのアプリケーション資格証明プロビジョニング 管理者はオラクルまたはサード パーティ製のID 管理システムを利用して ユーザーの Oracle ESSOプロファイルの資格証明を追加 変更 および削除できます エンドユーザーがクライアント側において手動でプロビジョニングする必要がないため ヘルプデスクへの問合せもなくなります 主要なID 管理システム あるいはカスタム アプリケーションやスクリプトからの SPML 経由でのプロビジョニング指示を受け入れます ID 管理システムを導入しない場合 エンドユーザーが各自のローカル マシン上にあるアプリケーション資格証明を指定できます セッション内部および外部での厳密認証 標準のWindowsパスワードとLDAPディレクトリ ベースの認証に加えて Oracle ESSO-LM ではスマートカード 非接触 ICカード 指紋スキャナなどの厳密認証デバイスからのユーザー認証も受け付けます Oracle ESSO-UAMを追加すれば 標準のWindowsパスワードによる認証方式から これらの厳密認証方式に完全に置き換えて ネットワークのセキュリティをさらに強化できます イベントのレポート Oracle ESSO SuiteのOracle ESSO Suite Reportingコンポーネントは アプリケーション ログオン 資格証明の記録 パスワードの変更など Oracle ESSO Suiteアプリケーションの日々 8

9 の利用で繰り返し発生するイベントに関して カスタマイズされたレポートを生成する機能を提供します データは一元管理されたデータベースに保存され レポートはWebインタフェースを介して リモートで生成できます Oracle ESSO Suite のコンポーネント Oracle ESSO Suiteを構成するコンポーネントは次のとおりです Oracle ESSO Logon Manager(Oracle ESSO-LM) シングル サインオン機能を提供します Access Portal クロス プラットフォーム対応型のシングル サインオン機能をWebベース アプリケーションに対して提供します Oracle ESSO Password Reset(Oracle ESSO-PR) セルフサービスのパスワード リセット機能を提供します Oracle ESSO Provisioning Gateway(Oracle ESSO-PG) 資格証明システムをOracle ESSO-LMクライアントに自動的に分散させます Oracle ESSO Kiosk Manager(Oracle ESSO-KM) キオスク環境のセッション / アプリケーション管理機能を提供します Oracle ESSO Universal Authentication Manager(Oracle ESSO-UAM) Windowsセッションの内部および外部で厳密認証機能を提供します Oracle ESSO Anywhere カスタム構成したOracle ESSO - LMインストール パッケージを エンタープライズ ネットワークに接続していないエンドユーザー ワークステーションにデプロイする機能を提供します Oracle ESSO Reporting イベント データを記録し リモート データベースに保存します これらのコンポーネントの相互作用図を以下に示します 9

10 Oracle ESSO Logon Manager(Oracle ESSO-LM) Oracle ESSO-LMは Oracle ESSO Suiteのシングル サインオン機能を提供します ここでは Oracle ESSO-LMのアーキテクチャ ( 下図を参照 ) の次の面について説明します 認証 インテリジェント アプリケーション レスポンス ローカル ユーザー データ キャッシュ 暗号化 Oracle Identity ManagerとIDコンテキスト統合 リポジトリとの同期 イベントのロギングとレポート 10

11 認証 Oracle ESSO-LMのユーザー認証メカニズムは 個別の資格証明ストアや他のOracle ESSO-LM 機能に対するユーザーのアクセス権を検証します 以降では このユーザー認証メカニズムを構成するレイヤーについて説明します オーセンティケータオーセンティケータは Windowsパスワード LDAP ID 非接触 ICカードやスマートカード あるいはバイオメトリクス ソリューションといったサポートされるメカニズムやプロトコルを使用して ユーザー IDの証明を受け付けて収集します その後 そのデータを 検証用に認証サービスに送信します Oracle ESSO-LMでは 以下の認証方式を標準でサポートしています Microsoft Active Directory(Windowsドメイン ) アカウント (2つの要素による認証を含む) LDAPディレクトリ アカウント スマートカードまたは非接触 ICカード Oracle ESSO-LMは 組込みのオーセンティケータ経由で スマートカード 非接触 ICカード トークンなどの外部認証インフラストラクチャによる認証イベントや検証データを利用できます その際には ターゲット マシンで適切なミドルウェアをインストールし構成している必要があります また Oracle ESSO-UAMを追加することで Oracle ESSO-LMでOracle ESSO-UAMオーセンティケータ プラグインを経由して 指紋スキャナなどのバイオメトリクス ソリューションを利用できるようになります オーセンティケータにグレードを割り当てて シングル サインオン用にプロビジョニングされた Oracle ESSO-LMおよびアプリケーションにアクセスする際に 認証方式ごとに異なる重みを付けることができます グレードを割り当てると 管理者はオーセンティケータのグレード別に 各アプリケーションへの Oracle ESSO-LMのレスポンスに制限をかけることができます たとえば Oracle ESSO-LMがアプリケーションに応答するのは ユーザーが重み2 以上の認証方式によってWindowsセッションにサインインした場合のみとします この要件が満たされない場合 Oracle ESSO-LMはユーザーに対して アプリケーションのテンプレート内の制限を満たすグレードを持つ別の認証方式で認証するようにメッセージを表示します ユーザーが十分なグレードで認証できない場合は そのサインオン リクエストを中止します 認証サービス認証サービスは オーセンティケータから受け取ったユーザーのIDを 独自の資格証明ストアまたは外部の認証メカニズム (Windowsドメイン 厳密認証ソリューション ミドルウェア PKIなど ) に照合して検証します 検証によりIDが証明されれば 認証サービスはそのユーザーにアクセス権があることを 認証 API 経由でOracle ESSO-LMに通知します 注 : 通常 Windowsドメインやディレクトリなどのネットワーク上のリソースと照合して検証する認証サービスでは 切断 モードに対応できます (Oracle ESSO-LM 認証 APIに完全に準拠している場合 ) 切断モードでは ユーザーは企業ネットワークに接続していないときでも Oracle ESSO-LMの資格証明や機能にアクセスできます 11

12 認証 API 認証 APIは 認証サービスがOracle ESSO-LMと連携するためのプログラム インタフェースを提供します このレイヤー構造によって カスタムのオーセンティケータや認証サービスを認証 API 経由で Oracle ESSO-LMと統合できます 詳細については Oracle Supportまでお問い合わせください 注 : カスタムの認証コードを Oracle ESSO-LM に認識させるためには オラクルによるデジタル 署名が必要です そのようなデジタル署名を使用する場合 カスタム コードはオラクルのサポート対象外です インテリジェント アプリケーション レスポンスアプリケーションでユーザーに対してログオン画面またはパスワード変更画面が表示されると Oracle ESSOはこのイベントを検出し 適切なアクションによって応答します Oracle ESSO-LMは アプリケーション テンプレートに保存された構成に従って フォーム内のフィールドやコントロールの処理方法を決定します 一般に Oracle ESSO-LMは以下の処理を実行します 概要レベルで説明すると Oracle ESSO-LMは典型的なサインオン イベントの発生時に以下の処理を実行します 1. アプリケーションを検出し アプリケーションの属性と一致する最初のテンプレートを読み込みます 2. ( オプション ) フィールドのフォーカス設定など ログオン フォームやパスワードの変更フォームの呼出しやアクティブ化に必要となるアクションを実行します 3. 以下のいずれかを実行します ログオンの場合 ユーザーのストア ( 存在する場合 ) から関連する資格証明を取得し 該当するフィールドにその情報を設定します ( 資格証明が存在しない場合は ユーザーに対して資格証明を保存するように求めるメッセージがエージェントにより表示されます ) パスワード変更の場合 ユーザーのストアから古いパスワードを取得し 管理者が構成したパスワード生成ポリシーに従う新しいパスワードを生成して 該当するフィールドに設定します ( 管理者が Oracle ESSO-LMでアプリケーションのパスワードを自動生成しないように構成している場合 ユーザーに対して新しいパスワードの設定を求めるメッセージがOracle ESSO-LMにより表示されます ) 4. 処理用のアプリケーションの資格証明を送信するために必要なアクション ( Submit ボタンを押すなど ) を実行します 5. ( オプション ) 新しいパスワードの確認など 後続のフォームやダイアログを検出して必要なアクションを実行します Oracle ESSO-LMは ログオン パスワード変更などの幅広いサインオン イベントを検出して応答するように構成できます さまざまなフォーム フィールド コントロール イベント フローがサポートされます サポートされるアプリケーション タイプごとに 以下の個別の内部コンポーネントが処理を担当します Oracle ESSO-LMコア Windowsアプリケーションをサポートします ブラウザ ヘルパー オブジェクト (BHO) Microsoft Internet Explorer Mozilla Firefox Google Chromeの各 WebブラウザからアクセスされるWebアプリケーションをサポートします 12

13 メインフレーム ヘルパー オブジェクト (MHO) サポートされるターミナル エミュレータ内で実行されるホスト / メインフレーム アプリケーションをサポートします SAPヘルパー オブジェクト (SHO) SAPアプリケーションをサポートします Javaヘルパー オブジェクト (JHO) サポートされるJavaランタイム環境 (JRE) 内で実行されるJavaアプリケーションをサポートします Oracle ESSO-LMは ログオンまたはパスワード変更のリクエスト元アプリケーションを 属性のセットによって識別します この属性のセットは Oracle ESSO-LMが処理するアプリケーション ウィンドウおよびそのフィールドやコントロールを一意に識別するものです これらの属性は ユーザーのOracle ESSO-LMデータ ストア内にローカルに保存されるほか リポジトリでも一元管理され 管理者によってアプリケーション テンプレートが更新されるたびに同期されます Oracle ESSO-LMがアプリケーション ウィンドウおよびターゲットのフィールドとコントロールを正常に識別すると ユーザーのデータ ストアから暗号化済みの適切な資格証明を取得し 復号化します その後 資格証明をターゲットのフィールドに注入して アプリケーションの処理用に送信します 復号化された資格証明がディスクに保存されることはなく アプリケーションのレスポンスが完了した後に即座にメモリから除去されます Oracle ESSO-LMは Windows APIと サポートされる各アプリケーション タイプ専用のヘルパー オブジェクトを利用して ほとんどのアプリケーションをプログラムにより操作できます そのため 資格証明がキーロガーによって記録される可能性や ユーザーが誤ってアプリケーションのフォーカスを切り替えたときに 資格証明が別のアプリケーションに誤って注入される可能性はありません サポートされるアプリケーション タイプ (Windows Web ホスト/ メインフレーム ) ごとの検出 / 応答プロセスについては 以下で説明します Windowsアプリケーション Oracle ESSO-LMは ほぼすべてのWindowsアプリケーションに対してシングル サインオン機能を提供します Javaで実行されるスタンドアロンのJavaアプリケーションも このモードでサポートされます Oracle ESSO-LMは WinAPIコールを使用し ログオンまたはパスワード変更のリクエスト元の Windowsアプリケーションを 属性のセットによって識別します この属性のセットには ウィンドウのタイトルとクラス プロセス名 ターゲットのフィールドやコントロールを表すコントロールIDなどが含まれます Oracle ESSO-LMは ターゲット ウィンドウまたはダイアログに表示される特定テキスト ( そのウィンドウまたはダイアログを一意に識別してOracle ESSO-LMに示すためのもの ) の一致検索もサポートしています スタンドアロンJavaアプリケーションとのホストJREを介した連携には Javaヘルパー オブジェクト (JHO) が使用されます Windowsアプリケーションの検出とレスポンスに関する詳細については ESSO Suiteドキュメント Webページにある ESSO-LM Best Practices: Windowsアプリケーションのためのテンプレート構成および診断 を参照してください Webアプリケーション Oracle ESSO-LMは Microsoft Internet Explorer Mozilla Firefox Google Chromeの各 WebブラウザからアクセスされるほとんどのWebアプリケーションに対してシングル サインオン機能を提供します これらのブラウザ内部で実行されるJavaアプリケーションもサポートされます Oracle ESSO-LMは 各ブラウザに対応したヘルパー オブジェクトを使用してWebブラウザと連携し ログオンまたはパスワード変更のリクエスト元 Webアプリケーションを 属性のセットによって識別します この属性のセットには WebページのURL DOM(Data Object Model) ターゲットのフィールドやコントロールを表すHTML 要素のIDなどが含まれます 13

14 Oracle ESSO-LMでは ページを一意に識別する特定のテキストまたはHTMLコードの一致検索もサポートしています Webアプリケーションの検出とレスポンスに関する詳細については ESSO Suite ドキュメントWeb ページにある ESSO-LM Best Practices: Webアプリケーションのためのテンプレート構成および診断 を参照してください ホスト / メインフレーム アプリケーション Oracle ESSO-LMは ターミナル エミュレータによってアクセスされるメインフレーム / ホスト アプリケーションのシングル サインオン機能を提供しています ターミナル エミュレータとは IBM 5270/5050 Telnet SSHなどの各種プロトコル経由で ユーザーのWindowsワークステーションからマルチユーザー メインフレーム システムへのターミナル セッションを確立するアプリケーションです Oracle ESSO-LMは メインフレーム ヘルパー オブジェクト (MHO) を使用して HLLAPI 経由でサポートされるターミナル エミュレータと連携し そのエミュレータ セッション内部でターゲット アプリケーションと連携します Windowsコマンドライン セッション内で実行されるアプリケーションがサポートされます また PuTTYターミナル エミュレータもサポートされます Oracle ESSO-LMは ログオンまたはパスワード変更のリクエスト元ターミナル ベース アプリケーションを 属性のセットによって識別します この属性のセットには エミュレータのウィンドウのタイトルとクラス プロセス名 およびセッションの短縮名などが含まれます アクティブなセッションが検出されると Oracle ESSO-LMはターミナル画面と各 HLLAPIイベント ( 画面の再描画やキーストロークなど ) をスキャンして 特定の座標に特定のテキストがないかを検索します このテキストと座標は 管理者がアプリケーション テンプレート内に構成します 画面固定のアプリケーションと 画面スクロール付きアプリケーションの両方がサポートされます また 可変の列 ( 水平方向 ) のフィールド位置もサポートされます メインフレーム / ホスト アプリケーションの検出とレスポンスに関する詳細については ESSO SuiteドキュメントWebページにある ESSO-LM Best Practices: Webアプリケーションのためのテンプレート構成および診断 を参照してください ローカル ユーザー データ キャッシュユーザーがFirst-Time Useウィザードの入力を完了すると Oracle ESSO-LMはプライマリ鍵を生成します この鍵は ローカルおよびリモートにあるユーザーの資格証明ストアを暗号化するために使用します その後 アプリケーションがログオンまたはパスワード変更をリクエストし そのアプリケーションの資格証明がユーザーの資格証明ストア内に存在する場合 Oracle ESSO-LMはその資格証明を復号化してメモリ内に置き アプリケーションに注入して サインオン イベントが完了したらメモリから除去します 資格証明ストアはユーザーのWindowsプロファイル内にローカルでキャッシュされますが 資格証明がディスク上で暗号化されていない状態で保存されることはありません ユーザーの ローカル キャッシュ とも呼ばれる この資格証明ストアのローカル コピーは ユーザーのWindowsプロファイル内にあるアクセス権によって保護されたフォルダであり このフォルダには ユーザーの資格証明を含む暗号化されたファイルが保存されます ファイルはユーザー専用のプライマリ鍵によって暗号化され 他人がそのファイルを復号化することは不可能です 資格証明に加えて ユーザーのローカル キャッシュには 管理者によるオーバーライド項目 パスワードの生成ポリシー 認証ポリシーなどの最新の構成項目のコピーも保存され これらのコピーは適宜 リポジトリと同期されます ローカル キャッシュのおもな利点は Oracle ESSO-LMが 切断 モードで動作できることです 一時的に企業ネットワークに接続できないユーザーにもシングル サインオン機能を提供できます ま 14

15 た ローカル キャッシュがあることで リポジトリがユーザー データの継続的なリクエストを受け取らずに済みます ユーザーのマシンとリポジトリ間でデータが定期的に同期されるため サーバーの負荷が最小限に抑えられます 暗号化 Oracle ESSO-LMは ユーザーの資格証明ストアをローカル リポジトリの両方で保護するために おもな対称型暗号化アルゴリズムをすべてサポートしています そのため 全社的なセキュリティ / 監査要件への対応や 政府規制の遵守が可能です Oracle ESSO-LMはデフォルトで FIPS 104-2に完全に準拠した MSCAPI 準拠のAES 暗号化を使用します 3DESなどの旧来のアルゴリズムのサポートはこのバージョンで廃止されましたが 下位互換性の必要がある場合に備え 提供自体はされています さらに Oracle ESSO-LMの暗号化 APIでは 他のほぼすべての対称型暗号化アルゴリズムに置き換えることができます 初期登録時にユーザー認証データおよびユーザーの資格証明ストアを保護するために Oracle ESSO-LMは 暗号的に一意であり かつオーセンティケータに依存しないプライマリ認証鍵を生成します Oracle ESSO-LMのFirst-Time Use(FTU) ウィザードの完了時にこの鍵が付与され この時点で この鍵を使用してユーザー データを保護できます エージェントのローカル キャッシュ内 ディレクトリ内 ネットワークでの転送中を含め データは常に暗号化された状態で維持されます Oracle ESSO-LMは 構成済みのアプリケーションがログオンをリクエストしたときのみ資格証明を復号化し ( 複合化先はメモリであり ディスクには復号化されません ) ログオン リクエストが完了するとすぐにターゲット位置のメモリを除去します 暗号鍵や新しいパスワード ( 管理者が構成可能なパスワード生成ポリシーに従ったもの ) など すべてのランダムな認証データを生成するために Oracle ESSO-LMはMicrosoft CAPI RNGおよびRSA CSPを利用します Oracle Access ManagerとIDコンテキスト統合 Oracle Access ManagerとOracle Enterprise Single Sign-Onの統合の一環として Oracle ESSOはクライアント ベースのIDコンテキスト属性を発行して伝播させることができます 通常の統合が構成されると セッション初期化リクエスト内で クライアント固有のクレーム ペイロードがユーザー資格証明とともにOracle ESSOからOracle Access Managerに送信されます ( ブラウザのユーザーが Oracle Access Managerによって保護されたWebリソースにアクセスするかのように送信されます ) リクエスト中に Oracle ESSOはSSLで保護されたOracle Access Manager REST APIへのコールを行います このAPIについては Oracle ESSOの管理者があらかじめ構成し Oracle ESSOクライアント配布ファイルに含めています Oracle ESSOはOracle Access Manager 資格証明 (Oracle Access Managerの埋込み資格証明コレクタに受容されるもの ) とクライアント ベースのIDコンテキスト情報をペイロード内で提供します Oracle Access ManagerはOracle ESSOに対して 有効なOAM_ID Cookieを提供します このCookieはクライアントのブラウザ (IE Firefox Google Chrome) に伝播されます このOAM_ID Cookieによって SSOリソースをOracle Access Managerの埋込み資格証明コレクタによって保護できます 現時点では Oracle Access Managerの分散資格証明コレクタによって保護されたリソースのSSOを この OAM_IDで有効にすることはできません Oracle ESSOセッションがタイムアウトになると Oracle ESSO-LMクライアントがブラウザからOAM_ID Cookieを削除して Oracle Access Managerセッションを終了します 15

16 リポジトリとの同期 Oracle ESSO-LMのおもな強みの1つは アプリケーションの資格証明 管理者によるオーバーライド項目 構成ポリシー セキュリティ ポリシー ( パスワード生成や認証など ) をリポジトリ内に一元的に保存して同期できることです この機能によって ユーザーは企業ネットワークの任意のワークステーションから シングル サインオンを利用できます Oracle ESSO-LMは Oracle Directory Server(Oracle Internet Directory Oracle Directory Server Enterprise Edition Oracle Unified Directory) Microsoft Active Directory Microsoft ADAM/AD-LDS その他のほとんどのLDAP 準拠ディレクトリ (IBM 製品やNovell 製品など ) SQLデータベース ローカル / ネットワーク ファイル システムをサポートします さらに Oracle ESSO-LMはレコード レベルの同期 APIを公開しているため カスタムのシステムやデバイスとの統合が可能です また リポジトリとの同期をまったく利用できないユーザー向けに セキュアなローカル資格証明バックアップ / リストア メカニズムも提供しています 同期がトリガーされたときは常に ( このタイミングは管理者が決定しますが 一般にはOracle ESSO-LMの起動時か 資格証明の追加 変更 削除時になります ) Oracle ESSO-LMはローカル キャッシュ内に保存されたデータをリポジトリに保存されたデータと比較し 古い資格証明を更新されたコピーへと双方向で置き換えます 資格証明の同期が双方向である間は 常にリポジトリ内の構成 / セキュリティ ポリシーが Oracle ESSO-LMによってローカルにキャッシュされた構成 / セキュリティ ポリシーよりも優先され Oracle ESSO-LMの ドメイン ポリシーを構成します 暗号化によってローカル キャッシュは改ざんを防止されており ユーザーの変更操作の影響を受けないため 同期によって ユーザーごと またはグループごとに Oracle ESSO-LMの構成 / セキュリティ ポリシーを全社的にセキュアに適用できます 管理者は 同期のたびに変更内容だけを同期するか ユーザー データ ストア全体を同期するかを選択して ユーザー数の多いシナリオでのネットワーク負荷を抑制できます リポジトリの同期の詳細については ご使用のターゲット プラットフォーム版のOracle ESSO-LMデプロイメント ベスト プラクティス ガイドを参照してください (Oracle ESSO-LMドキュメントWebページからアクセスできます ) イベントのロギングとレポート Oracle ESSO-LMは 大規模なイベント ロギング 監査 レポート機能を提供しており ほぼすべてのOracle ESSO-LMアプリケーションやその他のOracle ESSO Suiteアプリケーションのイベントを Windowsイベント ログ Syslog ローカル ファイル またはリモートのBIレポート用データベース (Oracle ESSO Reportingコンポーネント経由で利用 ) ネットワーク上のファイル システムに保存します さらに Oracle ESSO-LMイベント ロギングAPIを使用すれば カスタムのメカニズムによってイベントを記録して 外部の送信先 (SNMPサービス Windowsイベント ログ データベース カスタムのロギング システムなど ) に送信できます Access Portal Access Portal Serviceは Webベースのログオン マネージャを提供するOracle Access Management サービスであり クライアント コンポーネントを必要とせずに クロス プラットフォーム対応型のシングル サインオンをWebアプリケーションに適用できます Access Portalは セキュアな RESTインタフェースを利用してOracle ESSOアプリケーション / 構成ストアや 従来のOracle ESSO-LMクライアントに置き換わるプロキシ テクノロジーにアクセスします Oracle Access Managementは Access Portal Serviceへの認証と アクセスの認可を行います カスタマイズ可能なユーザー インタフェースがRESTインタフェースと連携し Oracle ESSOアプリ 16

17 ケーションの構成と資格証明ストアへのクロス プラットフォーム対応型プレゼンテーション レイヤーとして動作します 同じインタフェースに サード パーティによって開発されたユーザー インタフェースからもアクセスできます 以下のようなさまざまなタイプのアプリケーションがサポートされます Oracle Access Managementによって保護されたリソース :Oracle Access Management によって保護されたリソースへのリンクを示します このタイプのアプリケーションを使用する際には Access Portalは単に Oracle Access Managementによって保護されたURLを表示します 認証は標準のOracle Access Management 認証およびセッション管理によって処理されます フェデレーテッド アプリケーション : フェデレーテッド パートナーおよびリソースへのリンクを示します 管理者はフェデレーテッド アプリケーションの管理ウィザードを使用して Oracle Identity Federationの信頼される既存のB2BパートナーおよびSaaSアプリケーションを選択できます このウィザードは ターゲット アプリケーションなどの追加情報をリクエストして IDPにより初期化されたリンクを構成済みアプリケーションとして自動的に生成します フォーム入力アプリケーション :Access Portalプロキシ サービス経由でフォーム ベースのシングル サインオンを提供します 管理者は標準のOracle ESSOテンプレート生成ウィザードを使用して 必要なWebベース アプリケーションやフェデレーション未対応のSaaS アプリケーション用のフォーム入力テンプレートを作成します 以下の図に Access Portal Service(APS) の概要レベルのアーキテクチャを示します 17

18 Oracle ESSO Password Reset(Oracle ESSO-PR) Oracle ESSO-PRでは セルフサービスのWindowsパスワード リセットおよびWindowsアカウント ロック解除ソリューションをセキュアかつ簡単に利用できます このソリューションによって セキュアで柔軟なセルフサービス インタフェース経由でMicrosoft Windowsの厳密なパスワード管理を有効にすることで ヘルプデスクのコスト削減と ユーザー エクスペリエンス向上につながります エンドユーザーのマシンにOracle ESSO-PRクライアント ソフトウェアをインストールした後に ユーザーは標準のWindowsログオン画面に表示されるリンクを使用して Oracle ESSO-PRインタフェースにアクセスします ワークステーション端末のテクノロジーに応じて Oracle ESSO-PRは GINAスタブまたは資格情報プロバイダを利用してリンクを表示します ( ユーザーがOracle ESSO-PR に登録されていない場合 Oracle ESSO-PRインタフェースによって登録機能を提供することもできます 管理者は 許可される登録キャンセル数に制限をかけることで この機能を適用できます ) ユーザーは 許可されたパスワード リセット回数 またはアカウントのロック解除回数を超えて試行した場合 管理者が自由に構成できるユーザー確認用の質問に回答することで アカウントのロック解除またはパスワードのリセットを行うことができます 質問と回答は管理者が指定してOracle ESSO-PRデータ ストアに直接保存するか HRデータベースなどの外部システムから標準 API 経由で動的に取得できます さらに Oracle ESSO PRクライアントで ユーザーはOracle Identity Manager KBA 認証エンジンに移動し そのシステム経由でパスワードを簡単に変更することも可能です 管理者は Oracle ESSO-PRの信頼ベースの評価システムを使用して各質問の重みを個別に構成し ユーザーへのアクセス権付与において 特定の質問を他の質問よりも重要視できます 正答の場合はユーザーのクイズ点数に加算され 誤答の場合はクイズ点数から減算されますが かならずしもユーザーが不適格と見なされるわけではありません ユーザーが質問への正答を十分に出してクイズに合格すると アカウントのロック解除機能やパスワード リセット機能へのアクセス権が付与されます Oracle ESSO-PRは ユーザー確認用の質問を以下のカテゴリにグループ化します 必須質問 : 米国社会保障番号 誕生日など すべてのユーザーに固有の 事実に基づく回答への質問です 一般に 必須質問では 正答と誤答の両方に対して大きな重みを同じだけ設定します また 可能な限り多様な回答になる必要があります 排除質問 : 不正ユーザーが回答を知っている可能性は極めて低いために 不正ユーザーを即座に不適格と見なすための質問です 個人的で 資格のあるユーザーに限定される回答になる必要があります 一般に 排除質問では 正答には低い点数 ( またはゼロ ) を設定し 誤答には大きなマイナス点数を設定します オプション質問 : すべてのユーザーに適用されず 企業内の特定のグループを対象にして使用すべき質問です 一般に 時間が経つと変化しうる 個人の好みに基づいた質問であり 正答にも誤答にも高い重みは設定しません 管理者は Oracle ESSO-PR 管理コンソールを使用して 特定のユーザーまたはグループに個別の質問を割り当てることができます 18

19 以下に Oracle ESSO-PR の概要レベルのアーキテクチャを示します Oracle ESSO Provisioning Gateway(Oracle ESSO-PG) Oracle ESSO Provisioning Gateway(Oracle ESSO-PG) により 管理者はOracle ESSO-LMユーザーのアプリケーション資格証明を Simple Provisioning Markup Language(SPML) を使用してOracle Identity Managerなどの外部 ID 管理システム経由で リモートでプロビジョニングできます この方法によって ユーザーに対してターゲット アプリケーションへのシングル サインオンのアクセス権をシームレスかつ自動的に付与できるようになり Oracle ESSO-LM がエンドユーザーのマシンで資格証明を記録する必要はありません また Oracle ESSO-PGを使用して Oracle ESSO-LMユーザーによる資格証明の委任を行うことができます さらに Oracle Privileged Account Managerにより管理される資格証明をOracle ESSO-LMでチェックインおよびチェックアウトできます Oracle ESSO-PGは 新しいユーザー アカウントの追加 および各ユーザー アカウント内でのアプリケーション資格証明の追加 変更 および削除をサポートします 外部システムからプロビジョニング指示がOracle ESSO-PGに送信されると 委任アカウントまたは特権アカウントがチェックアウトされ Oracle ESSO-PGがそれらのアカウントをユーザー専用の鍵によって暗号化した上で Oracle ESSO-LMリポジトリ内の個別のユーザー コンテナ内に格納します また Oracle ESSO-LMは 次のリポジトリ同期イベントの発生時に ユーザーの資格証明ストアに対して必要な変更を加えます Oracle ESSO-PGは ユーザー間での資格証明の委任をセキュアにサポートするためにも利用できます エンドユーザーは 別のユーザーに自分のアプリケーション アカウントへのアクセス権を付与するように選択できます その際に 自分の資格証明を受け取るユーザーに対する独自のプロビジョニング指示を作成します 委任をするユーザーは 委任されるユーザーがパスワードへのアクセス権を得た後にそのパスワードを他のユーザーに開示できるかを制御できます アカウントは アクセス権を受け取ったユーザーが権限の取消しボタンを押して手動で生成した削除指示によって 19

20 削除されるか またはアカウントのタイムアウト メカニズムによってシステム的に生成された削除指示によって削除されます Oracle ESSO-PGは Oracle Privileged Account Managerのチェックアウト / チェックイン インタフェースとしても使用できます 権利のあるエンドユーザーは Oracle ESSO-LM 経由で 権限のあるアプリケーション アカウントへのアクセス権をリクエストできます 承認が下りて利用可能になると Oracle Privileged Account ManagerサーバーからOracle ESSO-PGにプロビジョニング指示が送信されます Oracle Privileged Account Managerのポリシーによって ユーザーが特権付きの資格証明を他のユーザーに開示できるか またはOracle ESSO-LM 機能経由でそれを利用できるだけかを制御できます ユーザーは資格証明を手動でチェックインできます または Oracle Privileged Account Managerのポリシーに定義された時間の経過後に 資格証明が自動的にチェックバックするように設定することも可能です Oracle Privileged Account Managerの詳細については Oracle Privileged Account Managerのドキュメントを参照してください Oracle ESSO-PGは 付属のWebコンソールまたはコマンドライン インタフェース ( スクリプト実行が必要な場合 ) あるいは.NET APIによって管理できます.NET APIを使用すれば コネクタ モジュールによって Oracle ESSO-PGをカスタムのプロビジョニング ソリューションおよびデータソースと連携できます Oracle Identity Manager Oracle Privileged Account Manager IBM Tivoli Identity Server その他の主要商用システム向けのコネクタがOracle ESSO-PGに付属しています これらのコネクタをワークフロー ステップとして実装し 各システムのプロビジョニング ワークフローに組み込んで ワークフローからプロビジョニング イベントやデータをインターセプトしてコピーをOracle ESSO-PGに送信できます 以下の図に 概要レベルのOracle ESSO-PGの機能を示します 20

21 Oracle ESSO Kiosk Manager(Oracle ESSO-KM) Oracle ESSO Kiosk Manager(Oracle ESSO-KM) は キオスク 環境 ( 病院 製造現場 出荷施設などの 立ち仕事 の環境 ) で ユーザー レベルの粒度でのセッションおよびアプリケーションのサインオン機能および状態を付加します そのような環境では 1つのワークステーションが複数のユーザーによって共有され ユーザー固有ではないアカウントによってセッションが確立されます 汎用の 親 セッション内でセキュアなスクリーン セイバーとして実行されることで Oracle ESSO-KM はユーザーに対して ワークステーションのセッション状態を維持できるようにします 維持できる期間は 別のユーザーがログオンするか タイムアウトの期限が切れるまでで その時点で データが自動的に保存されてアプリケーション セッションがログオフされ アプリケーション自体も終了できます これらの処理は 管理者が自由に構成できるポリシーによって適用されます Oracle ESSO-KMは以下の3つの主要コンポーネントで構成されます Oracle ESSO-KM GINAスタブ :Microsoft GINAに連結され ユーザー ログオンを有効にし エンドユーザーがOracle ESSO-KMのシャットダウンによってログオン要件を回避できないようにします (Oracle ESSO-KMはMicrosoft GINAに置き換わるものではありません ) Oracle ESSO-KM Session Agent: セッション アクティビティの監視 キオスクへのアクセス権の付与 他のユーザーにセッション状態について知らせるスクリーン セイバーの表示 管理者が構成したセッション イベント発生時のアクションの実行を行います Oracle ESSO-KM Desktop Manager:Oracle ESSO-KMのセキュアなスクリーン セイバーの起動と停止を行います このスクリーン セイバーは ユーザーがOracle ESSO-KMへの認証を完了するまで Windowsデスクトップを覆い隠します Oracle ESSO-KMは 以下のセッション状態をサポートします アクティブ : ユーザーがキオスクでアクティブに作業している状態 一時停止 : ユーザーがログオンしているけれども ユーザーの情報に他人がアクセスできないように SMのセキュアなスクリーン セイバーが実行中である状態 NULL: キオスクにログオンしているユーザーがいない状態 通常はマシンの起動終了直後 または一時停止されたセッションが 特定の非アクティブ時間の経過後に終了したとき Oracle ESSO-KMは 以下のセッション イベントをサポートします セッションの開始 終了 一時停止 再開 オーセンティケータの削除およびタイムアウト アプリケーションの実行と終了 外部アプリケーション コール管理者は Oracle ESSO-KMが各セッション イベントに対して実行すべきアクションを指定します たとえば 前のユーザーが開いたままのアプリケーションを アプリケーション テンプレートに指定された方法で終了し (Windowsの 閉じる 機能を使用する アプリケーション プロセスをkill する 一連のキーストロークとマウス クリックによって開いているデータを保存するなど ) その後 現在のユーザーが必要とするアプリケーションを実行します 21

22 以下の図に 概要レベルの Oracle ESSO-KM の機能を示します Oracle ESSO Universal Authentication Manager(Oracle ESSO-UAM) Oracle ESSO-UAMは 標準のWindowsログオン メカニズムを スマートカード 非接触 ICカード トークン またはバイオメトリクス ログオン方式へと置き換える厳密認証ソリューションです (Windowsパスワード認証は Oracle ESSO-UAMのインストール後もログオン オプションの1つとして利用できます ) 構成後 これらの方式は Oracle ESSO-UAMオーセンティケータ経由でOracle ESSO-LMへの認証に使用できます このオーセンティケータは Oracle ESSO-LMがターゲット システムで検出された際にOracle ESSO-UAMインストーラによってインストールされます ユーザーはOracle ESSO-UAMによって厳密認証デバイスを簡単に登録し そのデバイスを使用して Windowsワークステーションへのログオンやロック解除を行うことができます 一方 管理者はユーザーごと またはグループごとのレベルでセキュリティ ポリシーをデプロイして 全社的なセキュリティ要件を厳密に適用できます Oracle ESSO-UAMは 以下のログオン方式をサポートしています 指紋 サード パーティの指紋スキャナ ( 外部 USBスキャナ ラップトップ コンピュータの内蔵スキャナなど ) の登録と利用が可能です サポートされるバイオメトリクス リーダー デバイスとBIO-key BioAPI Biometric Service Provider(BSP) をエンドユーザー ワークステーションにインストールし 構成する必要があります 管理者は 最大 10 個の指紋サンプルを登録用に構成できます 外部 BSP(BioAPI 経由 ) 指紋スキャナ 手のひらスキャナ 網膜 / 虹彩スキャナや顔特徴分析など BioAPIに準拠したサード パーティのBiometric Service Provider(BSP) モジュールの登録と利用が可能です サポートされるバイオメトリクス デバイスとBioAPIに準拠したBSPミドルウェアをエンドユーザー ワークステーションにインストールし 構成する必要があります スマートカード (PINあり PINなし ) スマートカードの登録と利用が可能です Oracle ESSO-UAMがカードの内容を変更することは一切ありません 既存のカード データが登録時にユーザーのアカウントに関連付けられ 登録の完了後 認証で使用されます さらに 2つの要素による認証が望ましい場合には カードのPINの入力を要求できます 非接触 ICカード (PINあり PINなし ) RFIDなどの非接触 ICカードの登録と利用が可能です さらに 2つの要素による認証が望ましい場合には PINを定義して入力を要求できます 22

23 ナレッジ ベース認証 質問 / 回答ソリューションによるユーザーのシステムへの登録とアクセス権付与が可能です この方式は 厳密認証デバイスが紛失または故障したときに フォールバック認証として使用できます Oracle ESSO-UAMは ローカル モードまたはエンタープライズ モードでデプロイできます ローカル モードでは Oracle ESSO-UAM 構成はユーザーのワークステーションのセキュアなローカル キャッシュ内に構成され 保存されます 一方 エンタープライズ モードでは Oracle ESSO-UAM 構成はOracle ESSO-UAMリポジトリと同期され 管理者によってリモートで構成されます エンタープライズ モードでは 管理者はユーザーごと またはグループごとにOracle ESSO-UAM セキュリティ ポリシーを構成して全社的にデプロイし エンドユーザーによってローカルに構成されたOracle ESSO-UAM 設定よりも優先させることができます これによって エンタープライズ セキュリティ ガイドラインを自動かつ強力に適用できます 同期後のエンタープライズ セキュリティ ポリシーは エンドユーザー ワークステーションがリポジトリから切断された場合にも効果を維持します 各ポリシーの適用において以下のオプションを利用できます ターゲットのユーザーまたはグループ 各ログオン方式の有効化 / 無効化 登録されていない場合のセッション開始時の登録画面の表示 登録の猶予期間 指の数 ( 組込み指紋認証のみ ) PINが必要か ( スマートカード / 非接触 ICカードのみ ) PINの最小の長さと許可される文字数 ( 非接触 ICカードのみ ) 削除アクション ( ログオン方式がセッション内でアクティブ化されたときの処理 ) 23

24 以下の図に Oracle ESSO-UAM の概要図を示します Oracle ESSO Anywhere Oracle ESSO-Anywhereは Oracle Enterprise Single Sign-on Logon Manager(Oracle ESSO-LM) と Oracle Enterprise Single Sign-on Provisioning Gateway(Oracle ESSO-PG) を管理者の操作なしでエンドユーザーにデプロイする手段を提供し より迅速で費用対効果の高いデプロイを容易にして デプロイメント パッケージのバージョン管理を自動化します 管理者は Oracle ESSO-LM( さらにオプションでOracle ESSO-PG) をローカルに構成し デプロイメント パッケージを作成して Webサーバーやファイル共有などのネットワーク ソリューションによって配布できます その後 ユーザーはOracle ESSO-Anywhereをダウンロードし 確実に正しい構成でインストールを実行できます Oracle ESSO Reporting Oracle ESSO Suiteのレポート コンポーネントでレポートを作成することで Oracle ESSO Suiteアプリケーションの日々の使用時に繰り返し発生するすべてのデータとイベントを活用できます レポート サブシステムを構成するコンポーネントは次のとおりです 一元管理されたデータベース レポート生成の情報源となるイベント データをすべて保存します BI Publisherレポート コンソール SQLやOracleデータベースにアクセスして 保存されたイベント データからレポートを生成します レポート サービス 監査 / レポート イベントを収集してデータベースに保存します Oracle ESSO Suiteアプリケーション イベント情報を記録し そのデータをレポート サービスに送信します 24

25 用語と略称 以下の表に このガイド全体で使用される用語と略称について説明します 用語または略称 Oracle ESSO-LM Oracle ESSO-PR Oracle ESSO-PG Oracle ESSO-KM Oracle ESSO-UAM Oracle ESSO Reporting Oracle ESSO-Anywhere Oracle ESSO Suite 説明 Oracle Enterprise Single Sign-on Logon Manager Oracle Enterprise Single Sign-on Password Reset Oracle Enterprise Single Sign-on Provisioning Gateway Oracle Enterprise Single Sign-on Kiosk Manager Oracle Enterprise Single Sign-on Universal Authentication Manager Oracle Enterprise Single Sign-on Reporting Oracle Enterprise Single Sign-on Anywhere Oracle Enterprise Single Sign-on Suite Plus Oracle ESSO Suite ドキュメントのダウンロード オラクルは ドキュメントの正確性 最新性の維持に努めています このドキュメントおよびその他のOracle ESSO Suiteドキュメントの最新バージョンについては 25