1

Oracle Access Management Mobile and Social

Oracle Asia Research and Development Center

Alice Liu （ lzhmails@gmail.com)

2013/04/09

2Copyright © 2012, Oracle and/or its affiliates. All right

話題1. モバイル＆ソーシャル潮流

2. OAM 　 Mobile and Social 機能概要

2.1 主な機能概要

2.2 モバイルアプリケーションにエンタープライズ · セキュリティの拡張

2.3 ユースケースシナリオ

3Copyright © 2012, Oracle and/or its affiliates. All right

Oracle Access Management Mobile and Social

未像：モバイル・ソーシャル・ネットワークが社会を変える

モバイル＆ソーシャル潮流

4Copyright © 2012, Oracle and/or its affiliates. All right

モバイル & ソーシャルアクセスのプロミス

いつでも、どこでも、アクセス可能

新しいビジネスツール

個人 & 企業設備

モバイル、ソーシャル、 Cloud アクセス未来像：モバイル・ソーシャル・ネットワークが社会を変える

5Copyright © 201 ３ , Oracle and/or its affiliates. All right

低

高

サー

ビス

レベ

ル要

件

多種多様なシステムおよびリソースに対するアカウントアクセスを管理

低 高

信頼

拡張の企業ユーザー

外部ユーザー

信頼の企業ユーザー

6

クラウド · アクセス

モバイルセキュリティ

ソーシャルサインオン

業界標準をサポート

Oracle Access Management Mobile & Social って何？

7Copyright © 2012, Oracle and/or its affiliates. All right

モバイル、ソーシャル時代におけるアクセス管理

API

Security

OAuthOpenID

SingleSign-on

Step-up

Auth

Authz

8Copyright © 2012, Oracle and/or its affiliates. All right

Oracle Access Management Mobile and Social

未像：モバイル・ソーシャル・ネットワークが社会を変える

OAM 　 Mobile and Social 機能概要

主な機能概要

9Copyright © 2012, Oracle and/or its affiliates. All right

Oracle Access Management Mobile and Social 主な機能

モバイルサービス

インターネット・アイデンティティ・サービス

ユーザー・プロファイル・サービス

Access Management との統合サービス

Oracle Access Management Mobile and Social サービスは、サーバを含む既存のバックエンド ID を持つインタフェース管理インフラストラクチャ。

10

Mobile & Social ホームイメージ

11Copyright © 2012, Oracle and/or its affiliates. All right

Oracle Access Management Mobile and Social

モバイルサービスについて

人気がある Google や Yahoo 、 Facebook 、 Twitter 、または LinkedIn のような複数なログインサービスオプションを提供。導入すれば実装しなくても、それぞれのアイデンティティ・プロバイダの機能にアクセスできる。

インターネット・アイデンティティ・サービスについて

エンタープライズ · アイデンティティへのブラウザベースとネイティブ · モバイル · アプリケーションを接続するモバイルサービス。管理インフラストラクチャは、典型的には、 OAM プラットフォーム

12Copyright © 2012, Oracle and/or its affiliates. All right

Oracle Mobile and Social Access Managementユーザー・プロファイルサービスについて

Oracle Access Manager （ OAM ）を活用でき、エージェント · ソフトウェアにより、ランタイム REST インターフェースを提供

Access Management との統合サービス

LDAP 作成、読み取り、更新、および削除（ CRUD ）用の REST インターフェースを提供

※ スタンドアロンモードは、 Oracle Enterprise Gateway は（ OEG ）機能と組み合わせて使用

※ ユーザープロファイルサービスは JWT により保護

13Copyright © 2012, Oracle and/or its affiliates. All right

Oracle Mobile and Social Access Management

未像：モバイル・ソーシャル・ネットワークが社会を変える

OAM 　 Mobile and Social 機能概要

モバイルアプリケーションにエンタープライズ · セキュリティの拡張

14Copyright © 2012, Oracle and/or its affiliates. All right

Oracle Adaptive Access Manager （ OAAM ）：モバイルデバイスフィンガープリント、登録、モバイルデバイスコンテキスト、および不正検出

Oracle Access Manager ： Web アプリケーションの認証、許可、およびシングルサインオン用

モバイルアプリケーションにエンタープライズ · セキュリティの拡張

Oracle Enterprise Gateway (OEG) ：最初のマルチプロトコルおよびマルチフォーマットの防衛線。クラウドサービスへのセキュリティゲートウェイ

LDAP ベースのユーザー · ディレクトリへのモバイルアプリケーションの直接アクセス用の Oracle ディレクトリ · サービス。たとえば、 OID 、 ODSEE 、 OUD

Oracle Entitlement Server （ OES ）：モバイルデバイスのコンテキストに基づい、エンタープライズ・アプリケーションへのアクセス、きめ細かな認可ポリシーを一元化

15Copyright © 2012, Oracle and/or its affiliates. All right

Function: モバイルユーザーの認証非モバイルアプリケーションと同様に、新しいモバイルアプリケーションへの既存の認証インフラストラクチャを拡張できる認証サービスを提供する。

次のような共通のトークンタイプをサポート

ユーザートークン（ User Token ）：認証対象に関する権限を持つベアラトークン（ OAuth 2.0 JWT ）

アクセストークン（ Access Token ）：エンタープライズ Web アプリケーションなど、保護されたリソースへのアクセスが

　　　　　　　　　　　　　　　　　　　　　　許可されたトークン

クライアントトークン（ Client Token ）：非モバイルデバイスへのアクセスが許可されるトークン。

　　　　たとえば、 Web アプリケーション、サーバーアプリケーションなどへのアクセストークン。

16Copyright © 2012, Oracle and/or its affiliates. All right

Function: モバイルユーザーの認証Tips

モバイルデバイスと非モバイルデバイスは、異なるセキュリティ上の課題、モバイル認証と非

モバイル認証は、 Oracle Mobile and Social Access Management で別々に管理されている。

モバイルサービスとインターネット・アイデンティティ・サービスは一緒に設定できます。

17Copyright © 2012, Oracle and/or its affiliates. All right

Function: モバイルユーザーの承認Tips

承認は、 OES （ Oracle Entitlement Server ）によって処理される。

OES および Oracle Access Management プラットフォームは、アイデンティティ · コンテキスト、

オラクルの ID およびアクセス管理製品の一部であるサービスに基づくコンテキストアウェアな

セキュリティポリシー管理を可能にするユニークなエンドツーエンドのソリューションを提供。

アイデンティティ · コンテキスト{ “CustomerDetailResponse“: { “customerID”: “99999” “name”: “Sally Smith” “phone”: “555-1234567” “SSN”: “***********“ “creditCardNo”: ”@^*%&@$#%!“ “purchaseHistory”: “…” }}

18Copyright © 2012, Oracle and/or its affiliates. All right

Function: モバイルユーザーの承認Tips

{ “CustomerDetailResponse“: { “customerID”: “99999” “name”: “Sally Smith” “phone”: “555-1234567” “SSN”: “***********“ “creditCardNo”: ”@^*%&@$#%!“ “purchaseHistory”: “…” }}

アイデンティティ · コンテキストがトランザクションに関連する複数の ID およびアクセス管理コンポーネントに既知の

属性で構成されている。

アイデンティティ · コンテキスト属性は、ユーザー · プロファイル（通常はユーザーディレクトリに格納される）、

アプリケーションおよびエンタープライズ · ロール、認証タイプ（弱、強）、デバイスのステータス（既知、管理、

信頼）、デバイスコンテキスト（場所、構成情報など）、フェデレーション（パートナー属性、およびリスク評価

（パターン分析）を含む。

アイデンティティーコンテキストは、オラクルの ID およびアクセス管理コンポーネント、アイデンティティコンテキスト属性、特にモバイルアクセス用のデバイスコンテキスト間で共有されており、アクセスの決定を行うために設計されたセキュリティ · コンポーネントで使用可能になる（たとえば、 OES の承認）。

19Copyright © 2012, Oracle and/or its affiliates. All right

Function: ユーザー · ディレクトリとの統合

Tipsユーザー・プロファイルサービスは、 Web 、モバイル、およびデスクトップアプリケーション、

ディレクトリルックアップの様々な処理を実行できるようにし、タスクを更新する。

ユーザープロファイルサービスにより、モバイルとソーシャル · サーバーへの REST を呼び出し、

モバイルデバイスから自分の組織のユーザーはユーザー・プロファイルへアクセスできるアプリ

ケーションを構築できる。

Tips

20Copyright © 2012, Oracle and/or its affiliates. All right

ユーザープロファイルサービスでディレクトリデータを公開Tips

LDAP ディレクトリ · サービスは、ユーザーのセルフサービス、会社のホワイトページ、または

ヘルプデスク · ユーザ · アカウント · メンテナンスを含む多くの機能を使用されている。

M&S ソリューションのユーザープロファイルサービスは Oracle ディレクトリ · サービス（ OID 、

ODSEE 、 OUD を含む）だけでなく、 Microsoft Active Directory などのサードパーティの

ディレクトリサービスに REST インタフェースを提供する。

ネイティブiPad アプリケーションからディレクトリ

サービスを見える

21Copyright © 2012, Oracle and/or its affiliates. All right

Function: モバイルアプリケーションとシングルサインオンを提供

Tipsモバイル · シングル · サインオン（ SSO ）は、ユーザーがアプリケーションごとに認証情報を提供

せずに、同じデバイス上の複数のモバイル · アプリケーションを実行することができる。

ネイティブとブラウザベースのアプリケーションは、モバイル SSO の実現可能。

Tips

22Copyright © 2012, Oracle and/or its affiliates. All right

Function: モバイルアプリケーションとシングルサインオンを提供

Tipsモバイル SSO 機能について、モバイルデバイスのベース上、モバイルの SSO エージェントを

指定する必要がある。

Tips

OAM プラットフォーム 11gR2 PS1 により、モバイル SSO エージェントは Apple iOS と Android

デバイスでサポートされ、ユーザーは M&S Client SDK を使用し、モバイル SSO エージェント・

アプリケーションを構築する可能。

モバイル SSO エージェントは何？

　リモート M&Sサーバーとバックエンドのアイデンティティ ·サービスで認証する必要があるデバイス上の他のアプリケーションの間のプロキシとする。

モバイル SSOエージェントは、リスクベース認証とアイデンティティ · コンテキスト用のサーバに渡されるローカルデバイス属性を収集するタスクを一元化する。

モバイル SSOエージェントが存在する場合、ユーザーの資格情報がモバイル · ビジネス · アプリケーションに公開されることはない。

ブラウザ · ベースのビジネス· アプリケーションは、認証用のモバイル SSO エージェントを使用するように設定することができる。

23Copyright © 2012, Oracle and/or its affiliates. All right

Function: OAM のモバイルサービス機能

エンタープライズリソースは、 OAM 、または OWSM により保護されたかもしれない。

M&S サーバはモバイルアプリケーションとリソースの間の経路をセキュアするために、

2種類のトークンをサポートしている（ OAM のトークン（ HTTP クッキー）と JWTs ）。

Tips

M&S Client SDK はユーザーの資格情報を収集し、 M&S REST インタフェースで

プログラムの認証を処理する。

OAM生成されたトークンが JSON で配信されます。 OPSS により JWTs が生成される。

24Copyright © 2012, Oracle and/or its affiliates. All right

Function: エンタープライズアプリケーションと Web API は OEG で保護

OEG は、 M&S サービスに REST呼び出しのためのファイアウォール保護を提供するTips

Web APIs は、エンタープライズ · ソフトウェアとレガシーシステムと相互作用するように

設計された RESTful なアプリケーション · プログラミング · インターフェースです。

OEG は、特にモバイルプラットフォームに利用可能でない SOAP ベースサービスへのアクセスを許可する、 SOAP

および SAML のリクエストから REST と JWT （または OAM ）のリクエストに変換することができる。

使用案例：

ますます多くの小売業者は BestBuy や Amazon により販売チャネルを設立する予定。

たとえば、 FedEx 会社は、購入した商品の配達を追跡することができる顧客が小売業者のサイト（“mash-up” アプリケーション）を構築する必要。

マッシュアップ（ mash-up) を有効するために、企業は自社のアプリケーションへのアクセスを公開する必要があります。

25Copyright © 2012, Oracle and/or its affiliates. All right

Function: 検証デバイス ID

M&S サービスは、デバイスとアプリケーションは両方の登録を適用している認証サービス。Tips

デバイスの登録も OAAM で使用可能なポリシーとリスク評価の対象となります。

関連ポリシーは、 KBA 、電子メールまたは SMS によりOTP などの課題をステップアップトリガすることができる。

ホスト認証とチャレンジポリシーは OAAM 統合によりR2PS1 でサポートされている。

26Copyright © 2012, Oracle and/or its affiliates. All right

Function: デバイスの紛失や盗難への対処TipsOAAM と統合される M&Sサービスは、紛失または盗難にあったデバイスをマークする方法を提供することにより、このリスクに対処し、紛失後、エンタープライズ · アプリケーションへのアクセスを試みたときに適用された特定のポリシーを実装し、アクセスブロックできる。

再認証プロセスを行う

27Copyright © 2012, Oracle and/or its affiliates. All right

Oracle Mobile and Social Access Management

未像：モバイル・ソーシャル・ネットワークが社会を変える

OAM 　 Mobile and Social 機能概要

ユースケースシナリオ

28Copyright © 2012, Oracle and/or its affiliates. All right

Oracle の信頼されたセキュリティ · プラットフォーム上の構築

ユースケースシナリオ１

　モバイルユーザはOAuth を使用してサービス ·プロバイダ（ SP ）によって公開されたリソースにアクセス案例

29Copyright © 2012, Oracle and/or its affiliates. All right

ユースケースシナリオ 2

　 OAM とOAAM の統合上、 OAMMSを活用し、モバイルユーザーはモバイル · アプリケーション間でSSO案例

30

Q&A

ご清聴、ありがとうございました。

31

参考資料• Oracle Mobile and Social Access Management 11g R2 PPT Author: Forest Yin, Dan Killmer, Roger Wigenstam, Sid Mishra・　 Introduction to OIC presentation slides・　 OAAMS-OEG-Usecases.pdf・　 mobileandsocialaccessmanagementwp.pdf

• Learn More : • http://docs.oracle.com/cd/E27559_01/dev.1112/e27134/customizingmobilesrvcs.htm• http://techtarget.itmedia.co.jp/tt/news/1208/16/news01.html

32

関連用語集 & 外部リンク• OAuth 　 http://ja.wikipedia.org/wiki/OAuth• Oracle Enterprise Gateway 　

http://www.oracle.com/technetwork/jp/middleware/id-mgmt/oeg-300773-ja.html• Oracle Entitlements Serverhttp://www.oracle.com/jp/products/middleware/identity-management/entitlements-server-151624-ja.html・　 AWG 　 http://ja.wikipedia.org/wiki/AWG・　 OpenID 　 http://ja.wikipedia.org/wiki/OpenID・　 WebAPI，認証 API のセキュリティ　

http://gihyo.jp/dev/serial/01/web20sec/0006・　 REST, REpresentation State Transfer http://ja.wikipedia.org/wiki/REST・　 API 　 Application Programming Interface

33

関連用語集 & 外部リンク• SOAP 　 REpresentation State Transferhttp://ja.wikipedia.org/wiki/SOAP_(%E3%83%97%E3%83%AD%E3%83%88%E3%82%B3%E3%83%AB)• HTTP 　（ hypertext transport protocol ）　 Webサーバとクライアント(Web

ブラウザなど ) がデータを送受信するのに使われるプロトコル。 HTML文書や、文書に関連付けられている画像、音声、動画などのファイルを、表現形式などの情報を含めてやり取りできる。 IETFによって、 HTTP/1.0 は RFC 1945 として、 HTTP/1.1 は RFC 2616 として規格化されている。

• Data Redaction 広く共有されている文書上のプライベート・コンテンツを検出して削除し、機密データが文書やフォームから不注意で開示されないように保護します。コンプライアンス要求もサポートし、適切な許可とポリシーによる場合以外の機密データの開示を防ぎます。

34

関連用語集 & 外部リンク• フィンガープリント【 finger print】　

http://e-words.jp/w/E38395E382A3E383B3E382ACE383BCE38397E383AAE383B3E38388.html

• OpenID 　オープンアイディー　 http://ja.wikipedia.org/wiki/OpenID

• エクストラネット (Extranet) 　複数のイントラネットを相互接続したネットワークシステムのことである。

• TCO 　【 Total Cost of Ownership】（総所有コスト）　• ホワイトリスト　一般的なウィルス対策ソフトに代表されるブラックリスト方式のセ

キュリティ対策は、既知の脅威に対してのみ有効な手段です。• Cohesion 　凝集度

http://ja.wikipedia.org/wiki/%E5%87%9D%E9%9B%86%E5%BA%A6• オンボードコンピュータ【 on-board computer】　オンボードコンピュータとは、

基板などのボード上に搭載されたコンピューターの総称である。

35

関連用語集 & 外部リンク• フェデレーション　 http://msdn.microsoft.com/ja-jp/library/ms730908.aspx

　　フェデレーション セキュリティにより、クライアントがアクセスするサービスと、関連する認証および承認の手順を明確に分離できます。 また、フェデレーション セキュリティを使用すると、異なる信頼レルムに属する複数のシステム、ネットワーク、および組織間のコラボレーションが可能になる。

・　クレーム ベースのアーキテクチャ　 http://www.atmarkit.co.jp/fdotnet/arcjournal/arcjournal16_06/arcjournal16_06_02.html

・　 XACML(eXtensible Access Control Markup Language)

XACML とは、 XMLベースのマークアップ言語で、インターネットを通じた情報アクセスに関する制御ポリシーを記述するための言語仕様のことである。 2003年 2月に XML関連技術の標準化団体であるOASISによって標準化されている。

・　 ad hoc 　アドホック　http://ja.wikipedia.org/wiki/%E3%82%A2%E3%83%89%E3%83%9B%E3%83%83%E3%82%AF

無線アドホックネットワークの一つの形態である。 MANET では、ラップトップや、携帯電話など、携帯可能である端末で無線アドホックネットワークを構築する。

36

関連用語集 & 外部リンク・　 OAuth 2.0 JWT べアラートークン

http://help.salesforce.com/HTViewHelpDoc?id=remoteaccess_oauth_jwt_flow.htm&language=ja　 JSON Web トークン (JWT) は、 JSON ベースのセキュリティトークンエンコードで、 ID とセキュリティ情報をセキュリティドメインで共有できるようにします。 OAuth 2.0 JWT ベアラートークンフローは、クライアントが前の認証の使用を希望する場合に、 JWT を使用して Salesforce から OAuth アクセストークンを要求する方法を定義します。認定済みのアプリケーションの認証は JWT に適用されているデジタル署名で提供されます。

• エンドツーエンド【 end to end】（ E2E ） 「両端で」「端から端まで」という意味の英語表現。通信・ネットワークの分野で、通信を行う二者、あるいは、二者間を結ぶ経路全体を意味する。

• JSON （ジェイソン、 JavaScript Object Notation ）　 JavaScriptにおけるオブジェクトの表記法をベースとした軽量なデータ記述言語である。 http://ja.wikipedia.org/wiki/JavaScript_Object_Notation

• JSON Web Token (JWT)　 http://oauth.jp/post/43684099914/json-web-token-jwt

• スタンドアロンモード クライアント / サーバイベントによってユーザのタスクが妨害される場合は、そのユーザにクライアントのスタンドアロン権限を付与します。

• OPSS 　 Oracle Platform Security Services 　 http://www.oracle.com/technetwork/testcontent/opss-faq-131489.pdf

37

38