Oracle Enterprise Single Sign-On テクニカル ガイド Oracle ホワイト ペーパー 2009 年 6 月
概要 近頃は ほとんどの企業で Microsoft Windows のデスクトップ ユーザーが日常的に多様なエンタープライズ アプリケーションにアクセスしています エンタープライズ アプリケーションごとにセキュリティ要件が異なるため 多くの組織でユーザーが各種アプリケーションに対して複数のパスワードを覚える必要に迫られています さまざまなエンタープライズ リソースに対して ユーザーが 7 個以上のパスワードを覚えなくてはならない組織も多数あります こうした状況から 企業ユーザーが Windows デスクトップに 1 回サインオンするだけで 簡単かつ安全に異なるアプリケーション (Microsoft Windows アプリケーション Java アプリケーション メインフレーム アプリケーションなど ) にアクセスできるようにするための方法が求められています このような方法を利用することにより アプリケーションごとに認証情報を覚える必要がなくなるだけでなく パスワード忘れに関するヘルプ デスク コールを回避できるため ユーザーの生産性が向上します Oracle Enterprise Single Sign-on(Oracle ESSO)Suite を使用すると デスクトップ ユーザーが 1 つの資格証明を使用してデスクトップに 1 回サインオンするだけで 複数のエンタープライズ アプリケーションにアクセスできるようになります このため 役割や職責に基づいてアクセス権を付与されているすべてのエンタープライズ アプリケーションに対して アプリケーションの資格証明を覚えるという難題が解消されます Oracle ESSO はユーザー ID のマッピングと迅速な ROI を実現するため 多くの場合で ID 管理ソリューション配置の第一歩となります はじめに 企業ユーザーは 企業ネットワークに接続していようと 出張中であろうと 複数のコンピュータを転々と利用していようと 共有ワークステーションで作業していようと 常にさまざまなエンタープライズ アプリケーションにアクセスする必要があります Oracle ESSO を使用すると デスクトップ ネットワーク またはインターネット上にあり パスワードで保護されたあらゆるエンタープライズ アプリケーションに対して 1 つのパスワードを使用してアクセスできます Oracle Enterprise Single Sign-On テクニカル ガイド 2
Oracle ESSO に対応したアプリケーションへのログオンには 次の基本的なステッ プが含まれます Windows メインフレーム Web ベースまたは Java ベースのエンタープライズ アプリケーションに対して ユーザーがアクセスを要求します Oracle ESSOLogon Manager というエージェントによってデスクトップ上のユーザー リクエストがインターセプトされます Oracle ESSO Logon Manager によってユーザー レコードが取得され Oracle ESSO 対応アプリケーション向けの適切な資格証明が挿入されます 次に アプリケーション固有のユーザー名とパスワードがアプリケーションに送信されます アプリケーションへのアクセス権がユーザーに付与されます Oracle ESSO Suite では ユーザーの資格証明 アプリケーション ログオン テンプレート パスワード ポリシー およびクライアント設定を格納するための中央リポジトリとして 幅広いディレクトリやデータベースがサポートされています Oracle ESSO Suite のコンポーネント Oracle ESSO Suite は 次の 5 つの主要コンポーネントで構成されています Oracle ESSO Logon Manager(Oracle ESSO-LM) は ネットワークやコンピュータへのログオンに加えて アプリケーションへのサインオンに対するインタフェースを提供することで ユーザーが 1 つのパスワードを使用して一度でログインできるようにします ユーザーがログインした後は どのアプリケーションを開いても 正しい ID とパスワードが透過的かつ自動的に提供されます これにより ユーザーがアプリケーションに対して複数のユーザー名とパスワードを覚え 管理する必要がなくなると同時に 管理者はパスワードを一元管理できるようになります Oracle ESSO Logon Manager Admin Console は Logon Manager とやり取りして Oracle ESSO 属性の管理を行います Oracle ESSO Password Reset(Oracle ESSO-PR) は デスクトップ パスワードを忘れたユーザーに回復手段を提供します Windows パスワードを忘れても ユーザーは Oracle ESSO-PR を使用してコンピュータと企業ネットワークへのアクセスを取り戻すことができます ユーザーは ロックアウトされたワークステーションの Windows ログオン プロンプトで直接パスワードをリセットできるため ヘルプ デスクに電話したり別のワークステーションを使用したりすることなく 数秒以内にアプリケーションにアクセスできます Oracle ESSO Kiosk Manager(Oracle ESSO-KM) は キオスク環境に対する初期のユーザー認証と自動的なユーザー サインオフを提供することで 企業内のあらゆる場所でセキュアなキオスク コンピューティングを実現します このシステムは 使用されていないキオスク セッションを監視し 未承認のアクセスを防止します アクティブでないセッションはセキュアなスクリーン セーバーによって保護され 次のユーザーが新しいセッションにサインオンすると 以前のセッションは安全に終了されます Oracle Enterprise Single Sign-On テクニカル ガイド 3
Oracle ESSO Authentication Manager(Oracle ESSO-AM) を使用すると あらゆるトークン スマートカード バイオメトリックやパスワードを組み合わせてアプリケーションへのユーザー アクセスを制御できるため 高度な認証方式を簡単に実装できます このソフトウェアはシームレスに統合され 特定のアプリケーションへのアクセスに必要な認証レベルをきめ細かく制御します Oracle ESSO Provisioning Gateway(Oracle ESSO-PG) を使用すると システム管理者が Oracle ESSO に対して ユーザー資格証明やユーザー名およびパスワードを直接配布できます 管理者は Oracle ESSO に対して新規アプリケーションや新規ユーザーの資格証明を追加し 古い資格証明を変更または削除できます また Provisioning Gateway は Oracle Identity Manager の統合インタフェースを提供します Oracle Identity Manager は すべてのエンタープライズ アプリケーションに対してユーザーをプロビジョニングするとともに Oracle ESSO を有効化します アーキテクチャ : 次の図に Oracle ESSO の各種コンポーネントを示します Oracle ESSO-LM エージェントと Oracle ESSO-LM 管理コンソールによって基本コンポーネントが形成され その他すべてのコンポーネントはアドオン モジュールとして提供されます Oracle ESSO-LM は 資格証明要求の検出 必要な応答の分析 確実な応答 イベントのロギング および設定管理を実行する重要なコンポーネントです Oracle ESSO 管理コンソールを使用すると Oracle ESSO 環境を管理し アプリケーション テンプレートを作成できます テンプレートは ユーザー名やパスワードなどに対して アプリケーションのどの画面やフィールドが使用されるかといった情報をデスクトップ クライアントに伝えます また テンプレートは中央リポジトリ (AD SQL TDS など ) に保管されます デスクトップ クライアントは 自動的にリポジトリと " 同期 " して 新しいテンプレートを取得したり 既存のテンプレートを更新したりします Oracle Enterprise Single Sign-On テクニカル ガイド 4
デスクトップ クライアントは デスクトップ アプリケーション (Windows アプリケーション Web アプリケーション Java アプリケーション メインフレーム アプリケーション ) に対する SSO 実行の責任を負います また テンプレートに含まれる情報に基づいて 適切なフォームやフィールドを移入します ユーザー名やパスワードなどのフィールド情報をエンドユーザーが初回使用時に手動で入力することもできますが Oracle Identity Manager によって自動的にユーザーのアカウント情報をプロビジョニングすることもできます ユーザー資格証明の保管と同期 1. ユーザー資格証明の保管 : Oracle ESSO は 暗号化されたローカル資格証明ストレージに ユーザーの資格証明をローカル保管します 暗号化されていない資格証明がディスクやメモリ内に保管されることはありません Oracle ESSO は ユーザー プロファイルに指定されたアプリケーション データ ディレクトリ内の特定のディレクトリに セキュアなローカル資格証明ファイルを保管します このファイルは NTFS パーティションで Windows セキュリティを正しく構成することで その他のユーザーから保護されます つまり Windows の " ローミング プロファイル " が有効化されている場合 ユーザーはドメイン内の任意のコンピュータから Windows にログオンし 資格証明ファイルを利用できます ユーザー資格証明のローカル保管による利点は次のとおりです 暗号化ストレージによってセキュリティを実現します 資格証明がメモリ上に展開されることはないため 安全です ローカル ストレージは サーバー ベースのシステムよりも高速なアクセスを提供します Windows の " ローミング プロファイル " が有効化されている場合 ユーザーはドメイン内の任意のコンピュータからログオンできます 2. 資格証明の同期 : Oracle ESSO はユーザー資格証明をローカルで保管しますが リモート ネットワーク上の共有リソース ディレクトリ デバイスなどに資格証明とその設定を同期できます ディレクトリ サービスやネットワーク ドライブにユーザー資格証明を同期すると モビリティが実現され 配置と管理が簡単になるとともに セキュリティが強化されます ( パブリック ワークステーションなど ) Oracle ESSO は ユーザーの Oracle ESSO 資格証明ストレージとして Oracle Internet Directory Sun Directory Server Novell NDS Microsoft Active Directory Server を含むさまざまなディレクトリ サービスを標準サポートしています Oracle Enterprise Single Sign-On テクニカル ガイド 5
ユーザー資格証明の同期による利点は次のとおりです いつでも どこからでも 各アプリケーションに対する最新のユーザー資格証明を利用できます ユーザー資格証明が自動的にバックアップされます 新たなインフラストラクチャなしで 複数のコンピュータからユーザー資格証明を使用できます 管理 Oracle ESSO の GUI ベースの管理コンソールを利用すると ウィザードを使用し て次の構成と制御を実施できます ディレクトリの構成と管理 個別のユーザー管理と ロールやグループごとのユーザー管理 アプリケーションの構成とポリシーの制御 ユーザーの構成とポリシーの制御 パスワード ポリシー システム ルール UI 機能 再認証パラメータを含むすべての Oracle ESSO 設定 Oracle Enterprise Single Sign-On テクニカル ガイド 6
Oracle ESSO は Oracle Identity Manager 向けのコネクタを標準で提供しています このコネクタを利用すると ユーザーに Oracle ESSO 資格証明をプロビジョニングできるため ユーザーがパスワードを知る必要がなくなります 医療機関向けの Oracle ESSO ユースケース 医療機関における課題 : 医師が複数の病院に勤務することが多いため ロケーションごとに複数のパスワードを覚える必要があります 緊急時にできる限り最善の治療を提供するために 医師が情報アクセスに使える時間は通常限られています 医師は キオスク ステーションやナース ステーション 専用オフィス 別の病院など 場所と時間を問わずにアクセスを必要とします 医師は高速かつ便利で 簡単な情報アクセスを求めています 医師は患者に対して より効率的な別の病院を勧める可能性があります HIPAA - パスワードとセキュリティに関する処理が不十分であるため ヘルプ デスク コールが多く コストが高額になっています 医療組織での Oracle ESSO の活用 Oracle ESSO は病院のデスクトップ コンピュータにインストールされ 医師や医療従事者にはスマートカードが発行されます このスマートカードによって 各自のコンピュータや好みのキオスクに対する認証が安全に実行されます 次に Oracle ESSO に対応したデスクトップで医師や医療従事者が行う一般的な手順を示します 1. 付属のリーダーにスマートカードを挿入し PIN 情報を入力してログオンします 2. ユーザーに強力な認証 ( パスワードなど ) を適用するためのアクセス ポリシーを設定すると ユーザー固有の Oracle ESSO セッションが有効化されます Oracle Enterprise Single Sign-On テクニカル ガイド 7
3. 次に 関連付けられたユーザー アクセス ポリシーに基づいて 医療アプリケーションへの Oracle ESSO によるシングル サインオンが実行されます Oracle ESSO によって医療機関にもたらされる利点 医療機関に Oracle ESSO を配置すると 医師や医療提供者はサインオンの課題を克服できるだけでなく 次の利点が得られます アクセスが集約されます 医師は 1 枚のカードを物理アクセスと論理アクセスの両方に使用できます デスクトップ コンピュータや医療リソース およびアプリケーションに対して 高速で簡単かつ便利なアクセスが提供されます 認証カードと PIN 情報を利用することで パスワードを覚えなくても ユーザー識別 認証 セッション管理といった機能が提供されます インフラストラクチャ コストを最小限に抑えて 共有ワークステーションからアプリケーションに対して安全にアクセスする方法が提供されます 自宅オフィス 専用オフィス 別の病院など どこからでも容易にアクセスできます 生産性が向上します ヘルプ デスク コールとユーザーの苦情が減少します HIPAA に関する懸念事項が解消されます 結論 Oracle ESSO Suite は 企業に次の利点をもたらします Oracle Enterprise Single Sign-On テクニカル ガイド 8
1. Oracle ESSO を利用することで パスワード関連のヘルプ デスク コールが ほぼなくなるため コストの節約が推進されます 平均的な企業は 1 回のヘルプ デスク コールに約 25 ドルを費やしており ヘルプ デスク コール全体の 40~60% がパスワードに関連しています Oracle ESSO を利用すると 企業ユーザーは複数のパスワードを覚える必要がなくなります 2. Oracle ESSO は次の監査機能を提供することで 企業における監査課題の解決 を支援します ユーザーごとのアプリケーション アクセスのレビュー ユーザー アカウントのリコンシリエーション 複数アプリケーションでのアクセス解除 強力なパスワード ポリシーの適用 堅牢で繰返し可能なプロセスの適用 3. Oracle ESSO は 直感的なセルフサービス方式のパスワード リセット機能を 通じて ユーザーの生産性とユーザーの満足度を向上させます Oracle ESSO を配置すると ほとんどすべての企業でユーザーの生産性が向上し 監査要件の遵守が推進されるとともに 大幅なコストの節約が実現されます Oracle ESSO Suite は 配置が簡単でありながら 素早い価値と説得力のある ROI を実現します Oracle Enterprise Single Sign-On テクニカル ガイド 9
Oracle Enterprise Single Sign-On テクニカル ガイド 2009 年 6 月著者 :Kavya Muthanna Oracle Corporation World Headquarters 500 Oracle Parkway Redwood Shores, CA 94065 U.S.A. 海外からのお問い合わせ窓口 : 電話 :+1.650.506.7000 ファクシミリ :+1.650.506.7200 oracle.com Copyright 2009, Oracle and/or its affiliates.all rights reserved. 本文書は情報提供のみを目的として提供されており ここに記載される内容は予告なく変更されることがあります 本文書は一切間違いがないことを保証するものではなく さらに 口述による明示または法律による黙示を問わず 特定の目的に対する商品性もしくは適合性についての黙示的な保証を含み いかなる他の保証や条件も提供するものではありません オラクル社は本文書に関するいかなる法的責任も明確に否認し 本文書によって直接的または間接的に確立される契約義務はないものとします 本文書はオラクル社の書面による許可を前もって得ることなく いかなる目的のためにも 電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません Oracle は米国 Oracle Corporation およびその子会社 関連会社の登録商標です その他の名称はそれぞれの会社の商標です