Oracle Identity Federation...Oracleホワイト・ペーパー - Oracle Identity Federation 免責事項以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を

Oracleホワイト・ペーパー

2011年1月

Oracle Identity Federation

Oracleホワイト・ペーパー - Oracle Identity Federation

免責事項

以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を

唯一の目的とするものであり、いかなる契約にも組み込むことはできません。マテリアルやコード、

機能を提供することをコミットメント（確約）するものではないため、購買決定を行う際の判断材

料になさらないで下さい。オラクルの製品に関して記載されている機能の開発、リリース、および

時期については、弊社の裁量により決定されます。


概要 ..................................................................................................................................... 3

ビジネス上の課題 ............................................................................................................... 4

SaaS導入の遅れ ............................................................................................................ 4

繰り返し発生するID統合コスト .................................................................................... 5

歯止めのきかないIDの増加 ........................................................................................... 5

新たなセキュリティ脅威への対応能力の欠如 .............................................................. 6

Oracle Identity Federation：完全なエンド・ツー・エンド・ソリューション ................... 6

Oracle Identity Federationの実装がもたらす利点 .............................................................. 7

SaaS導入の加速と新規サービスのロールアウトの迅速化 ........................................... 7

統合プロジェクトのコストの削減 ................................................................................. 8

ID所有による負担の解消 ............................................................................................... 8

高い投資回収率の迅速な達成 ........................................................................................ 8

Oracle Identity Federationのおもな機能 ............................................................................. 8

複数プロトコルのサポート ........................................................................................... 9

異機種アーキテクチャのサポート ................................................................................. 9

サービス・プロバイダ向けの軽量な配置オプション .................................................... 9

外部の認証と認可に対するサポート ........................................................................... 10

Microsoft CardSpaceのサポート .................................................................................. 11

OpenID 2.0のサポート ................................................................................................ 12

カスタム・アクション ................................................................................................. 12

運用および管理の統一と簡素化 .................................................................................. 13

エンタープライズ・クラスのスケーラビリティと可用性 .......................................... 15

ユースケース例 ................................................................................................................. 15


一時フェデレーション ................................................................................................. 15

アカウント・マッピング ............................................................................................. 16

アカウントの関連付け ................................................................................................. 17

属性フェデレーション ................................................................................................. 17

追加の考慮事項 ................................................................................................................. 18

ドキュメントベースのIDフェデレーション ................................................................ 19

ブラウザベースのIDフェデレーション ....................................................................... 19

結論 ................................................................................................................................... 19


3

概要

フェデレーション標準とインターネット・テクノロジーの革新のおかげで、この数年の間に、企業

はビジネス・パートナーとの間に先例のない水準のオンライン・コラボレーションを構築できるよ

うになりました。これはおもに、ビジネス上の契約と法的な契約をシンプルな技術統合を通じて履

行できるようになったためです。フェデレーション標準は幅広く受け入れられ、これらの標準を実

装した市販製品は、大企業だけでなく中小規模の組織にとっても費用効果に優れたソリューション

となりました。以前は、IT部門がフェデレーション構想を具体化するためには社内開発が必要でした

が、現在は相互運用可能なエンタープライズ・クラスの標準ベース製品から幅広く選択できるよう

になりました。このため、複数のパートナーが関わるPoint-to-Pointのフェデレーション・プロジェ

クトを立ち上げた場合と比べて大幅にコストが削減され、必要な時間が短縮され、さらにリスクも

最小化されます。その結果として、フェデレーションを使用した標準ベースの信頼関係の上にビジ

ネス機能を公開することは、もはやイノベーションではなく、オンラインでビジネスを行う企業に

とって当たり前のこととなりました。

Oracle Identity Federationは、パートナー間でのセキュアなID情報交換を実現するための、エンター

プライズ・レベルかつキャリアグレードの包括的なソリューションを提供します。Oracle Identity

Federationを使用すると、ビジネス・パートナーは保護されたアプリケーションに対してセキュアに

アクセスできるようになるため、組織はより多くのビジネスをオンラインで実行できるようになりま

す。Oracle Identity Federationは標準ベースのフェデレーションを通じて、エンタープライズ・ディ

レクトリで不要なID情報を管理する必要性を大幅に軽減するとともに、パートナーとの統合による

コストを削減します。


4

ビジネス上の課題

今日の企業が直面するいくつかの基本的なビジネス上の課題には、IDフェデレーション・ソリュー

ションがもっとも適しています。第一に、ほとんどの企業は何らかの基幹業務（人事管理や福利厚

生など）をアウトソーシングしており、これらのサービスに対するセキュアなアクセスを従業員に

提供する必要があります。第二に、一部の企業が提供している基幹業務アプリケーション（オンラ

イン調達システムなど）では、従業員以外のユーザーに信頼できるアクセスを提供する必要があり

ます。第三に、企業は複数の組織から調達したサービスを集約し、これらの集約サービスを1つのサー

ビスとしてコンシューマに提供しています。

このようなシナリオのすべてにおいて、解決すべき共通のビジネス課題と技術課題があります。1番

目に、組織は異なるセキュリティ・ドメインにまたがって、アプリケーションやサービスのシング

ル・サインオン機能を提供する必要があります。2番目に、エンタープライズ・ディレクトリに多数

のユーザーを追加したり、将来的にこれらのIDを管理したりする必要を避けた上に、サインオン・

サービスを提供する必要があります。3番目に、1つのドメインで認証されたユーザーが2番目のドメ

インでも信頼されるように、信頼メカニズムを確立する必要があります。そして最後に、容認可能

な使用、リスク、補償に関する限界値を定めた組織間のビジネス契約と法的契約の制約内で、これ

らの技術的な課題を管理しなければなりません。

IDフェデレーションの効果的な戦略と、その戦略を実現するソリューションがなければ、組織は次

のような重要な課題に直面することになります。

アプリケーション・サービス・プロバイダ（ASP）によってホストされているアプリケーション

やSoftware as a Service（SaaS）の導入に遅れが生じます。

IDの実装や管理にかかるコストが継続的に繰り返し発生します。

IDの急増に関連するコストとリスクが発生します。

新しいセキュリティ脅威に対応することができません。

SaaS導入の遅れ

IT部門の多くは、機能の一部をSaaSパートナーにアウトソーシングして、コストを節約するという

業務から圧力を受けています。しかし、SaaSの活用で達成されるコスト削減は、SaaS統合によってIT

マネージャーに課されるテクノロジーの問題で相殺される可能性があります。ほとんどのSaaSベン

ダーがフェデレーション標準（Security Assertion Markup Language（SAML）など）をサポートしてい

るとは言え、大部分のIT部門が独自のIDインフラストラクチャの財産的価値に縛られ、これらの標

準を活用できていません。

標準ベースの統合を実施しないとSaaSプロジェクトが大幅に遅れます。SaaSの導入が失速し、ITは

加速するビジネス・ニーズに着いて行けなくなります。


5

繰り返し発生するID統合コスト

フェデレーションによって保証されるもっとも重要な側面は、十分に確立された標準によって提供

される相互運用性です。従来、フェデレーションはドメイン間のSSOに過ぎず、便利ではあるが必ず

しもビジネスに必要なものではないと考えられてきました。現在導入を実施している組織も、その

ほとんどが導入の初期段階にあります。今や、フェデレーテッド・シングル・サインオンの有用性

は非常に明白です。フェデレーション標準を導入した組織の多くは、パートナーとのSSOの確立が当

初の目的でした。しかし、時とともにフェデレーション標準が幅広く導入され、また標準自体の刷

新も進んだことによって、より一貫性と再利用性に優れたID統合のおかげで長期的な対価が得られ

るようになりました。

標準ベースのエンタープライズ・クラス・フェデレーションを実装すると、多数のパートナー間でID

を統合および連携する際にかかる継続的なコストが大幅に削減されます。またこのような実装を利

用することで、組織がよくある落とし穴に陥ることを回避できます。たとえば、パートナー間で再

利用できない"簡易"なSSO統合や独自仕様のSSO統合を選択したり、寄せ集めのツールキットやオー

プンソース・ライブラリを使用して、高コストな社内開発でフェデレーション・プロトコルを実装

したりするようなアプローチを防止できます。これらのアプローチは初期段階では便利に思えます

が、断片化していくシステムに新しいパートナーが単発で追加されるたびに、コストと複雑さが増

加して、そのメリットはすぐに失われていきます。

歯止めのきかないIDの増加

多くの企業が、フェデレーションを総合的なID管理アーキテクチャにとっての不可欠要素とは見な

していません。このような組織では、フェデレーションを単にアクセス制御やSSOだけに関係する孤

立タスクと見なしており、SAMLなどのフェデレーション・プロトコルを既存の認証スキーマに対す

る追加の"拡張機能"として導入する傾向にあります。

このアプローチでは、連携されたユーザー登録をどのように処理するかという問題が見落とされて

います。一部のサービス・プロバイダ・ベンダーはフェデレーテッドIDの自己登録サービスを提供

していますが、一般的に、パートナー間のID交換は、電子メールの添付ファイルとして送信される

スプレッドシートを介して実施されます。このアプローチでは生産性が低くなり、人為的エラーも

発生しやすくなります。しかし、このアプローチが抱えるもっとも懸念すべき側面は、ユーザーID

情報が不要に増加するという点です。これによって、セキュリティやプライバシに関して、避けら

れたかもしれない侵害が発生する可能性があります。

この問題に対する一般的な代替策として挙げられるのが、サービス・プロバイダ・ドメインでの"オ

ンデマンド"によるID作成です。これは最初のフェデレーション実行時、つまりユーザーがサービス・

プロバイダにアカウントを持っていない時点で実施されます。"オンデマンド"でIDを作成すると、従

業員の生産性が向上し、ユーザー・エクスペリエンスも改善されると言われています。しかし、こ

のアプローチを採用した場合も、フェデレーションID管理の問題が解決されるわけではありません。

ユーザーの同意なしでIDを作成すると、プライバシとコンプライアンスに関する課題が生じ、問題

がさらに複雑化します。

要するに、どちらのアプローチを採用した場合も、IDを所有する際の負担がサービス・プロバイダ

側に移っただけであると言えます。サービス・プロバイダはいずれ、孤立アカウントやアクセス違

反、またパスワード忘れや各種のコンプライアンス規制に対処しなければならなくなります。


6

無秩序なID増加の問題を軽視するべきではありません。そのコストは、当初の想定よりも高くつき

ます。不要なユーザー・アカウントがあると、システム・パフォーマンスが低下し、インフラスト

ラクチャ・コストが上昇するだけでなく、コンプライアンスの遵守も難しくなります。

新たなセキュリティ脅威への対応能力の欠如

企業に対するセキュリティ脅威はますます巧妙になっており、その検出や対応は難しくなる一方で

す。個人情報の窃盗を実入りの良いビジネスと見なす不正者は、ソーシャル・エンジニアリング、

フィッシング、ファーミング、キーボード・ロギングなど、入念に計画された攻撃の戦略を常に新

しく編み出しています。

多くの組織が新しいセキュリティ脅威に積極的に対応できないのは、十分な注意を払っていないた

めです。逆説的に言えば、このような組織は不十分なID統合戦略による症状を解決するために、新

しいインフラストラクチャやコンプライアンス・ツールを追加したり、独自仕様のコードをデバッ

グしたりという作業に何日も費やしています。

Oracle Identity Federation：完全なエンド・ツー・エンド・ソリューション

オラクルにとってのIDフェデレーションはスタンドアロン・タスクではなく、顧客の総合的なアク

セスおよびID管理戦略になくてはならない要素です。このため、Oracle Identity Federationは市場で唯

一、上述の課題すべてに根本的かつ全面的に対応したフェデレーション・ソリューションです。Oracle

Identity Federationは、エンド・ツー・エンドでスケーラブルな未来志向のIDフェデレーション・イン

フラストラクチャの基盤を築いて、現代的な組織とそのフェデレーション・パートナーが持つすべ

てのニーズに対応します。

Oracle Identity Federationは、パートナー間でのセキュアなID情報交換を行うための、エンタープライ

ズ・レベルかつキャリアグレードの完全なソリューションです。使用されるプロトコルに関係なく、

IDプロバイダ配置とサービス・プロバイダ配置の両方で利用できます。

Oracle Identity Federationを利用すると、ビジネス・パートナーが豊富なSAMLの知識を持っていなく

ても、フェデレーションに着手して素早くシングル・サインオンを確立できるようになり、組織は

より多くのビジネスをオンラインで実行できるようになります。

Oracle Identity Federationは、業界のフェデレーション標準をサポートすることにより、エンタープラ

イズ・ディレクトリに不要なIDを作成する必要性を大幅に軽減し、パートナーを統合する際に継続

して発生するコストを削減します。


7

また、さまざまなデータ・ストア、ユーザー・ディレクトリ、認証プロバイダ、およびアプリケー

ションと統合することによって既存のIT投資を保護します。その幅広く柔軟な統合フレームワーク

を使用することで、Oracle Identity Federationを素早くマルチベンダー環境に配置することができます。

Oracle Identity Federationの実装がもたらす利点

SaaS導入の加速と新規サービスのロールアウトの迅速化

IT部門はOracle Identity Federationを利用することで、増大するビジネス・ニーズに迅速に対応できる

ようになります。Oracle Identity Federationはすべての主要なフェデレーション標準をサポートしてい

るため、サポートされているプロトコル・バージョンに関係なく、市場のほとんどすべてのSaaSベ

ンダーとの間でフェデレーションを構築できます。これによって、さまざまなサービス・プロバイ

ダから柔軟にパートナーを選択できるようになり、コストのかかる独自仕様への固定化が回避され

るとともに、顧客はビジネス固有のニーズにもっとも適したサービスを調達することができます。

また、Oracle Identity Federationを使用することで、必要に応じてすぐに新しいSaaSベンダーへと切り

替える柔軟性が得られます。

Oracle Identity Federationは軽量なサービス・プロバイダ配置オプションを提供しています。この機能

を使用すると、パートナーがフェデレーションに関する豊富なインフラストラクチャや知識を持た

なくても、顧客がIDプロバイダとしての役割を果たすことで、パートナーに対してドメイン間SSO

を素早く構築することができます。サービス・プロバイダはこのオプションを使用することで、Oracle

Identity FederationやSAMLに関するトレーニングなしでも、サービス・プロバイダ側に素早く本番配

置を実施できます。

また、異なるシングル・サインオン・プロトコルを使用して複数のIDプロバイダ・パートナーとや

り取りする必要のあるサービス・プロバイダ向けに、エンタープライズ・クラスのパートナー管理

機能が提供されています。わずか数分で新しいパートナー・エンド・ポイントを構成し、テストす

ることができます。Oracle Identity Federationを配置したサービス・プロバイダからは、サービスの安

定性と高可用性、そして優れたパフォーマンスによって顧客満足度が向上したことが報告されてい

ます。


8

統合プロジェクトのコストの削減

Oracle Identity Federationは、独自仕様の社内フェデレーション・ソリューションの構築および保守に

かかる時間とコストを節約します。いったんOracle Identity Federationを実装した顧客は、標準を使用

してすべてのパートナーとの間にフェデレーションを構築できるため、新しいITプロジェクトに資

金供給することなく、新規パートナーを追加できます。

ID所有による負担の解消

Oracle Identity Federationを使用すると、高度でありながら柔軟な方法でフェデレーション契約を管理

できるため、IDプロバイダはユーザーに関してはるかに少ない情報を共有しながら、要求された動

作を受取り側アプリケーションで実現できます。また、IDプロバイダは、必要に応じてユーザー属

性をフェデレーション・パートナーに伝えることができます。このため、サービス・プロバイダは

必要な情報だけを保管すればよいため、多くの場合、個々のユーザーに対してローカルIDを保持す

る必要がなくなります。

ローカルIDが必要な場合でも、エンタープライズ・クラスの監査機能とコンプライアンス機能が無

償でOracle Identity Federationから提供されるため、監査とコンプライアンスに関するコストが削減さ

れます。

高い投資回収率の迅速な達成

Oracle Identity Federationはさまざまなデータ・ストア、ユーザー・ディレクトリ、認証プロバイダ、

およびアプリケーションと統合することによって既存のIT投資を保護します。Oracle Identity Federation

を使用する際、組織は既存のIDインフラストラクチャを利用できるため、追加のテクノロジー投資

は必要ありません。

また、Oracle Identity Federationのインストールと構成は非常に簡単です。Oracle Identity Federationを

使用すると、新しいパートナー・エンド・ポイントはわずか数分で追加できます。また多くの場合、

新しいフェデレーション・サーバーを数週間のうちに本番稼働させることができます。そのため、

企業は極めて迅速に、高い投資回収率を得ることができます。

Oracle Identity Federationを配置した顧客は、既存パートナーに対する新規サービスのロールアウト期

間を短縮できるため、結果的にROIが向上します。

Oracle Identity Federationのおもな機能

Oracle Identity Federationのおもな機能は次のとおりです。

複数のフェデレーション・プロトコルのサポート

異機種アーキテクチャのサポート

サービス・プロバイダ向けの軽量配置オプション

外部の認証と認可に対するサポート

認証メカニズムとしてのMicrosoft Windows CardSpaceのサポート


9

OpenIDのサポート

カスタム・アクション

管理の統一と簡素化

エンタープライズ・レベルのスケーラビリティ、可用性、管理性

複数プロトコルのサポート

Oracle Identity Federationは、ベンダー中立の標準規格のイベントに定期的に参加しており、Liberty ID-FF

に対するLiberty Alliance認証とSAML 2.0に対するKantara認証を取得しています。

Oracle Identity Federationでサポートされるプロトコルは次のとおりです。

SAML 1.0、1.1、2.0

Liberty Alliance ID-FF 1.1、1.2

WS-Federation

OpenID 2.0

異機種アーキテクチャのサポート

Oracle Identity Federationには実装を完了するために必要なすべてのコンポーネントがバンドルされて

おり、外部の依存関係や追加のフットプリントを作成する必要はありません。

また卓越したアーキテクチャの柔軟性と統合機能が提供されるため、複雑なマルチベンダー環境や

独自環境での迅速な配置が実現されます。

Oracle Identity Federationは簡素化された一連のプログラム・インタフェースを公開することで、IT部

門によって構築可能なあらゆるアプリケーションやIDおよびアクセス管理ソリューションとのシー

ムレスな統合を実現します。

サービス・プロバイダ向けの軽量な配置オプション

Oracle Identity Federationには、SAML 2.0シングル・サインオン・プロトコルに対する軽量なサービス・

プロバイダ実装であるOracle OpenSSO Fedletが含まれています。このコンポーネントを利用すると、

パートナーがSAMLに関する豊富な知識を持っていなくても、大幅に簡素化された配置オプションを

パートナーに提供することで、ドメイン間のSSOを素早く実現できます。サービス・プロバイダは

Oracle OpenSSO Fedletを使用することで、IDアサーションをコンシューマし、Oracle Identity Federation

からユーザー属性を受け取ることができます。


10

外部の認証と認可に対するサポート

Oracle Identity Federationは、単純なユーザー・ディレクトリから多機能なOracle Access Managerまで、

多種多様な認証プロバイダをネイティブ・サポートしています。

認証システムまたは認可システムが配置されている環境では、Oracle Identity Federationは配置されて

いるプロバイダを利用できます。Oracle Identity Federationから認証プロバイダを使用する方法には、

次の2種類があります。

Oracle Identity FederationをIDプロバイダとして使用：ユーザーを認証し、ユーザー属性またはエ

ンタイトルメントを取得し、サービス・プロバイダ・パートナーに渡されるIDアサーションを生

成します。

Oracle Identity Federationをサービス・プロバイダとして使用：IDアサーションを受け取った後で、

IDプロバイダ・パートナーによって送信された情報に基づいてローカルでユーザー認証を実行し

ます。

Oracle Identity Federationには、さまざまな外部アプリケーションおよびアクセス制御システムと通信

するための一連の統合モジュールが含まれており、認証済みのアサーションまたはID属性を渡します。

アプリケーションやシステムはこの情報を使用して、フェデレーテッド・ユーザーのアクセス権限

を決定し、監査やパーソナライズ、またはその他のビジネス固有ロジックを実行します。


11

Microsoft CardSpaceのサポート

もともとはMicrosoftによって導入されたCardSpaceは、複数の管理ドメイン間での簡単なユーザーID

共有を目指した認証テクノロジーです。

CardSpaceのおもな利点は、電子メール・アドレスや発送先などのクレームと呼ばれる共通属性を保

管し、提供する点にあります。一般的に、クレームは機密ではないデータであり、CardSpaceを認識

するサイトがクレーム値に従ってサービスを実行できるようにするものです。

CardSpaceのCardSelector内の仮想ウォレットには、ユーザーが作成したカードや、信頼できるサイト

から発行されたカードが含まれています。

ユーザーがCardSpaceを認識するサイト（Relying Party（RP）とも呼ばれる）にアクセスすると、CardSelector

によって、そのサイトに対するユーザーの関係（顧客や従業員など）を表す適切なカードを選択す

るよう指示されます。

Oracle Identity FederationはCardSpaceのRelying Partyとして機能し、CardSpaceの認証プロバイダを利用

できます。Oracle Identity Federationを使用すると、数時間のうちに、顧客組織が発行または管理して

いるInfoCardを顧客のサイトで受け入れることができます。


12

OpenID 2.0のサポート

Oracle Identity Federationは最新のOpenID 2.0仕様に基づいて、Relaying PartyとOpenIDプロバイダの両

方の役割を果たすことができます。Oracle Identity Federationを利用すると、わずか数時間のうちに、

YahooやGoogleなどの主要プロバイダからOpenIDの受入れを開始したり、OpenIDプロバイダとして

機能したりすることができます。Oracle Identity Federationのユーザーは、各自の企業IDをOpenIDに対

応したブログ・サイトやFacebookなどのソーシャル・ネットワークで使用できます。

カスタム・アクション

Oracle Identity Federationのカスタム・アクションを使用すると、フェデレーテッド認証の実施中にサ

イト固有の処理を実行できます。これにより、組織は特定のセキュリティ・ニ―ズやビジネス・ニー

ズに合う認証プロセスをより柔軟に実装できるようになります。

カスタム・アクションはIDプロバイダとサービス・プロバイダの両方で、統合を合理化し、アプリ

ケーションの配置時間を短縮するために役立ちます。

たとえば、IDプロバイダはカスタム・アクションを使用することで、ディレクトリやデータベースに

保存することなく、追加のユーザー属性を動的に生成できます。生成された属性は属性ステートメン

トに追加され、サービス・プロバイダへ送信されます。サービス・プロバイダはカスタム・アクショ

ンを実装することで、IDプロバイダから受け取ったIDデータを操作し、既存アプリケーションや独

自のセキュリティ・ツールによって使用できるように準備します。


13

カスタム・アクションの開発は簡単です。カスタム・アクションはシンプルなJ2EEモジュールであ

るため、フェデレーション・プロトコルに関する幅広い知識を持っている必要はありません。一度

カスタム・アクションを開発したら、どのプロトコルを選択するかに関係なく、1つのカスタム・ア

クションを利用して認証フローをカスタマイズすることができます。

運用および管理の統一と簡素化

Oracle Identity Federationは、あらゆる管理および運用タスクに対応できる簡単な統一インタフェース

を提供します。このため、オラクルのフェデレーション製品は少ない労力と期間で習得できます。

提供されるインタフェースには次のコンポーネントが含まれています。

Oracle Enterprise Managerによって提供される運用および管理用ユーザー・インタフェース

Oracle WebLogic Serverによって提供されるコマンドラインのスクリプト・ツール

Oracle Identity Federationには、その管理および運用のための機能（Enterprise ManagerとWebLogic Server

を含む）を全面的にサポートするために必要なすべてのコンポーネントがバンドルされています。

Enterprise Managerのベスト・オブ・ブリードのテクノロジーを活用することで、オラクルのフェデレー

ションの運用および管理を次のレベルへと発展させます。Oracle Identity Federationは、エンタープラ

イズ・クラスの運用管理機能が標準で含まれる市場唯一のフェデレーション製品です。


14

Oracle Enterprise ManagerによってOracle Identity Federationに追加される機能は次のとおりです。

フェデレーション管理コンソールを使用して、プロトコル設定、パートナーのエンド・ポイント、

メタデータ、認証プロバイダ、アカウント・マッピングを構成し、その他の管理タスクを実行で

きます。

サーバー・ステータス、アダプタ・ステータス、CPUおよびメモリの利用率を含むシステム・ス

テータスの運用を監視できます。

配置トポロジ全体とサーバー・ステータス（すべてのOracle Fusion Middlewareコンポーネント、

データベース、アプリケーションを含む）を、1つのダッシュボード・ビューで確認できます。

SNMPまたは電子メールを介してエンタープライズ・アラートを起動できます。

Oracle Fusionの監査ビューアおよびロギング・ビューアと統合することで、アプリケーション・ス

タック全体を通じたエンド・ツー・エンドのトランザクション・トレースとOracle Identity Federation

ログを1箇所で確認できます。

Oracle Business Intelligence Publisherとのデフォルトの統合を利用して、標準レポートを生成でき

ます。

Oracle Identity Federationの卓越した管理性によって、インフラストラクチャの健全性が保証され、全

社的な大規模配置が容易に実行できるようになります。


15

エンタープライズ・クラスのスケーラビリティと可用性

Oracle Identity Federationはスケーラビリティと高可用性を実現するよう設計されています。Oracle Identity

Federationの柔軟なアーキテクチャを利用すると、各コンポーネント・レベルでフェデレーション・

インフラストラクチャを簡単に拡張し、調整することができます。

Oracle Identity Federationは、ロードバランシングとフェイルオーバーを使用してミッション・クリティ

カルなアプリケーションをサポートするように設計されています。Oracle Identity Federationを使用す

ると、複数のOracle Identity Federationサーバーがアクセスできる、共有のセッション・ストア・イン

スタンスを使用したクラスタ配置をセットアップできます。

Oracle Identity Federationサーバーでは、固有の負荷分散アルゴリズムをサポートするように設定した

り、特定のネットワーク・セグメントやサーバーが停止した場合にOracle Identity Federationインスタ

ンスをサービスから取り除くように設定したりできます。

ユースケース例

次に、Oracle Identity Federationのユースケース例を示します。

一時フェデレーション

一時フェデレーションの鍵を握るのは、信頼です。ドメイン間で転送されるのはユーザー・セッショ

ンのみであり、追加のIDデータは送信されません。追加のユーザー情報が提供されていない場合、

実際の認証と認可は送信ドメインで実行され、受信ドメインは開始ドメインによって送信された情

報をそのまま信頼します。

一時フェデレーションは、もっとも簡単なフェデレーション実装方法の1つです。単純な構成のおか

げで、両方のフェデレーション・ドメインでの構成は簡単に実行でき、一度実行したら変更する必要

はありません。


16

一時フェデレーションにおいて、ドメインは、別のドメインから受信したすべてのレスポンス・メッ

セージ（フェデレーション・リクエスト）を受け入れます。このため、この受信ドメインは完全に

送信ドメインに依存することになるため、適切なアクセス制御メカニズムをフェデレーテッド・ユー

ザーに実装する必要があります。

一時フェデレーションによるおもな利点は、その使いやすさにあります。ユーザーは、自身がフェ

デレーションされたことを知る必要はありません。このフェデレーションは送信ドメイン内の単純

なリンクとして表示され、このリンクをクリックすると、ユーザーは認証済みユーザーとして自動

的かつ透過的に受信ドメインにリダイレクトされます。

Oracle Identity Federationを使用してIDプロバイダでの一時フェデレーションを実現する顧客は、多く

の場合、Oracle Access Managerを同時に実装しています。

アカウント・マッピング

一時フェデレーションによって信頼関係と情報の機密保護に一定の制限が課されるため、フェデレー

ションに参加しているドメインが完全には互いを信頼していない場合、よりセキュアな方法が必要

になることも少なくありません。あるいは、フェデレーテッド・ユーザーがアクセスできる情報に

何らかの制約が発生します。未承認アクセスを生むリスクを軽減するための第一歩は、2つのドメイ

ン間にある2つのアカウントの間にリンクを作成することです。この場合、ドメイン間でのフェデレー

ションを実行しようとするユーザーは、両方のドメインにIDを持っている必要があります。これに

よって、アカウント・マッピングの土台が作られます。

技術的観点から見ると、アカウント・マッピングは一時フェデレーションよりも若干複雑ですが、

受信ドメインではるかに高度な制御を実施できます。受信ドメインは、合意要素（UIDなど）の含ま

れるメッセージを送信ドメインから受信します。次に、この要素の値が受信ドメインの既存IDと比

較され、有効なIDが見つかると、ユーザー・セッションが転送され、受信ドメイン内のアプリケー

ションまたはサービスへのアクセスが許可されます。


17

このようにアカウント・マッピングでは、フェデレーテッド・ユーザーが送信ドメインと受信ドメ

インの両方にIDを持っており、両方のIDに共通のマッピング要素が含まれることが前提となります。

アカウントの関連付け

アカウント・マッピングを利用すると、フェデレーション・ソリューションの使いやすさが制限さ

れ、フェデレーションを使用する2つの組織で余分な管理タスクが生じる場合があります。アカウン

トの関連付けは、アカウント・マッピング・プロセスを拡張したものであり、実際、アカウント・

マッピングの特殊ケースと見なされる場合もあります。アカウントの関連付けの概念は、受信ドメ

インに含まれる既存のユーザー・アカウントを、最初のフェデレーション時に送信ドメインから取

得したID情報で更新するというものです。

アカウントを関連付けると、アカウント・マッピング・プロセスに追加ステップが生成されます。

受信ドメインが送信ドメインからフェデレーション・メッセージを受け取り、受け取ったID属性に

基づいて受信側のIDストアを検索した結果、ユーザーIDが見つからない場合、受信ドメインはこの

ステップでユーザー認証を要求します。ユーザーが送信ドメインで正しく認証されている場合、受

信ドメインはローカルのユーザーIDを新しい情報で更新します。この情報によって2つのIDが関連付

けられ、将来的にアカウント・マッピングが可能になります。

Oracle Identity Federationを使用して属性マッピングと属性の関連付けを行う顧客は、多くの場合、Oracle

Access ManagerとOracle Directory Services、およびOracle Identity Managerを同時に実装しています。

属性フェデレーション

属性フェデレーションを使用すると、パートナー間で特定のユーザー属性（グループ、ロール、特

定の権利など）を交換できます。受信ドメインはこの情報を使用して、フェデレーション・ユーザー

の権限を制御できます。


18

受信ドメインは、送信ドメインによって送信された応答からこの属性情報を読み取らなければなり

ません。その後、この属性情報は受信側の認可情報にマッピングされます。

一人のユーザーが両方のフェデレーション・パートナーのIDを持つ必要がない場合もあります。フェ

デレーテッド・パートナーのユーザーに対するID保守を回避したい場合、属性フェデレーションの

使用を検討してください。

このような場合、属性フェデレーションは一時フェデレーションと同様に機能しますが、アクセス

制御に関しては受信パートナーがより柔軟に制御することができます。属性フェデレーションでは、

IDプロバイダの部分で必要になる管理作業が増えますが、その労力に見合うだけのセキュリティ上

の利点があります。

Oracle Identity Federationを使用して属性フェデレーションを実現する顧客は、多くの場合、Oracle Entitlement

ServerおよびOracle Adaptive Access Managerを同時に実装しています。

追加の考慮事項

フェデレーション標準を利用すると、コンテンツを制限することなく、ドメイン間でIDを転送でき

ます。フェデレーション・リクエストには、送信ドメインに認識されているすべてのID属性を含め

ることができます。例を挙げると、UID、名前、住所、ロール、グループ・メンバー情報などがあり

ます。フェデレーション・メッセージには事実上何でも自由に含めることができるため、フェデレー

ションを柔軟にすると同時に複雑にもなります。

この柔軟なテクノロジーを利用することで、組織はそれぞれのニーズに合ったフェデレーション手順

を実装できます。しかし同時に、信頼関係の構築に必要なものはテクノロジーだけではありません。

テクノロジーの利用基盤を築くには、組織がそのフェデレーション・ニーズへの理解を深め、パー

トナーとの間にビジネス上の合意を得る必要があります。


19

ドキュメントベースのIDフェデレーション

IDフェデレーション・テクノロジーには、ブラウザベースとドキュメントベースという2つの密接に

関連した形式があります。

ドキュメントベースのフェデレーションでは、2つのセキュリティ・ドメイン間で転送されるXMLド

キュメントの使用に重点が置かれています。開始されるアクティビティのほとんどは何らかのアプ

リケーションによって開始されます。この場合、ユーザーによって起動される場合と、ユーザーが

直接関与せずに起動される場合があります。

ブラウザベースのIDフェデレーション

ブラウザベースのフェデレーションでは、標準インターネット・ブラウザを介してWebアプリケーショ

ンにアクセスするユーザーのサポートに重点が置かれています。この場合、ユーザーは、2つの異な

るセキュリティ・ドメインに配置されたWebアプリケーションを同時に使用する必要があります。ブ

ラウザベースとドキュメントベースのいずれのフェデレーション・モードも、標準を利用することで、

共通ユーザーや共有ビジネス・プロセスのために2つの独立したセキュリティ・ドメイン内のアプリ

ケーションを連携する方法を簡素化しています。SAMLやWS-Federationなどの標準には、制御ドメイ

ン間で認証されたブラウザ・セッションを共有するためのメカニズムが定義されています。ドキュメ

ントベースのフェデレーションを利用すると、システムは共有の認証トークンを使用して、SOAPま

たはその他のAPI経由で通信することができます。実際、ほとんどのIT部門が1つのモデルを使用し

て開始しますが、最終的には両方のモデルをサポートする必要があります。オラクルは、ブラウザ

ベース・フェデレーションとドキュメントベース・フェデレーションのそれぞれに対応したソリュー

ションを提供しています。ブラウザベース・フェデレーションはOracle Identity Federation製品によっ

て提供されており、ドキュメントベース・フェデレーションはOracle Web Services Manager製品によって

提供されています。

結論

Oracle Identity FederationはエンタープライズIDインフラストラクチャにとって不可欠なコンポーネント

であり、環境を簡素化するとともに、ビジネス・ニーズへの対応、ソリューションの再利用、イン

フラストラクチャの合理化、コスト削減といったITへの期待を実現します。Oracle Identity Federation

を使用する組織は、既存のIDおよびアクセス管理ソリューションへの投資と標準を活用することで、

次の利点が得られます。

SaaS導入の加速と新規サービスのロールアウトの迅速化

統合プロジェクトのコストの削減

ID所有による負担の解消

高い投資回収率の迅速な達成

Oracle Identity Federationについて、詳しくは次のWebサイトを参照してください。

http://www.oracle.com/identity

http://www.oracle.com/identity

Oracle Identity Federation

2011年1月

作成者：Sophia Maler

共著者：Eric Leach

Oracle Corporation

World Headquarters

500 Oracle Parkway

Redwood Shores, CA 94065

U.S.A.

海外からのお問い合わせ窓口：

電話：+1.650.506.7000

ファクシミリ：+1.650.506.7200

www.oracle.com

fs

Copyright © 2010, Oracle and/or its affiliates. All rights reserved.

本文書は情報提供のみを目的として提供されており、ここに記載される内容は予告なく変更されることがあります。

本文書は一切間違いがないことを保証するものではなく、さらに、口述による明示または法律による黙示を問わず、特定の目的

に対する商品性もしくは適合性についての黙示的な保証を含み、いかなる他の保証や条件も提供するものではありません。

オラクル社は本文書に関するいかなる法的責任も明確に否認し、本文書によって直接的または間接的に確立される契約義務はな

いものとします。本文書はオラクル社の書面による許可を前もって得ることなく、いかなる目的のためにも、電子または印刷を

含むいかなる形式や手段によっても再作成または送信することはできません。

Oracleは米国Oracle Corporationおよびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。

0109

Documents

Oracle Identity Federation...Oracleホワイト・ペーパー - Oracle Identity Federation 免責事項 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を

Oracle Identity Federation...Oracleホワイト・ペーパー - Oracle Identity Federation 免責事項以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を