Oracleホワイト・ペーパー Oracle Identity Management 11g Release 1

Oracle ホワイト・ペーパー 2009 年 6 月

Oracle Identity Management 11g Release 1

Oracle ホワイト・ペーパー-Oracle Identity Management 11g Release 1

免責事項

本書は、弊社の一般的な製品の方向性に関する概要を説明するものです。情報を提供することだけ

が目的であり、契約とは一切関係がありません。下記の事項は、マテリアルやコード、機能の提供

を確約するものではなく、また、購買を決定する際の判断材料とはなりえません。オラクルの製品

に関して記載されている機能の開発、リリース、および時期については、弊社の裁量により決定い

たします。


................................................................................ 1 Oracle Fusion Middleware 11gの概要

..................................................................................................................... 2 目的と範囲

.................................................................................... 3 Oracle Identity Managementの概要

......................................................... 3 Oracle Identity Managementのビジネス上の利点

........................................................... 5 Oracle Identity Management 11g Release 1 の概要

.............................................. 5 Oracle Identity Management 11g Release 1 の主要機能

......................................... 6 Oracle Identity Management 11g Release 1 のコンポーネント

................................................................................................ 6 Oracle Identity Manager.................................................................................................... 8 Oracle Role Manager

................................................................................................ 9 Oracle Access Manager.................................................................................... 12 Oracle Web Services Manager

........................................................................................... 14 Oracle Identity Federation............................................................................... 16 Oracle Enterprise Single Sign-On

.......................................................................................... 16 Oracle Entitlements Server................................................................................ 18 Oracle Adaptive Access Manager

............................................................................................ 19 Oracle Directory Services............................................................................... 24 Oracle Platform Security Services

................................................................ 29 Identity Governance Framework and ArisID................................................... 30 Oracle Management Pack for Identity Management

............ 30 Oracle Identity Management 11g Release 1 のコンポーネントのリリース表

....................... 31 Oracle Identity Management 11g Release 1 のコンポーネントの統合

............................... 35 Oracle Identity Managementとオラクルのそのほかのテクノロジー

..................... 35 Oracle Identity ManagementとOracle Information Rights Management................................. 37 Oracle Identity Managementとエンタープライズ・ガバナンス

......................................................... 38 Oracle Identity ManagementとOracle Database........................................................................................................................ 39 将来の展望

................................................................................................................... 39 ロール管理

.................................................................................................... 40 サービスとしてのID...................................................................................... 41 IDおよびアクセス管理の分析

............................................................エラー! ブックマークが定義されていません。結論


Oracle Fusion Middleware 11g の概要 Oracle Fusion Middleware（OFM）11g は、エンタープライズ・アプリケーションを開発、配置、お

よび管理するための統合された標準ベースのインフラストラクチャを提供します。Oracle Fusion

Middleware 11g は、業界トップのアプリケーション・サーバーである Oracle WebLogic Server を基

盤とし、Complete（完全性）、Integrated（統合）、Hot-pluggable（ホット・プラガブル）、およ

び Best-of-Breed（最善の組み合わせ）といった特徴を備えたミドルウェア・スイートを提供すると

いうオラクルのビジョンを更に広げます。

Oracle Fusion Middleware 11g は、サービス指向アーキテクチャ（SOA）を提供することで、エン

タープライズ・アプリケーションにおける新たなレベルの機敏性と適応性を可能にします。Oracle

Fusion Middleware 11g は、開発者とビジネス・ユーザーに対し、エンタープライズ・アプリケーショ

ンを設計・ロールアウトするための宣言型のツールセット、実行時にアプリケーションをまとめ、

監視するためのビジネス・プロセス・プラットフォーム、ユーザー・インタラクションを容易にし、

企業やビジネス・パートナーのリソースへのアクセスを保護するエンタープライズ・ポータルを提供

します。また、Oracle Fusion Middleware 11g は、企業のパフォーマンス管理、ビジネス・インテリ

ジェンス、コンテンツ管理、および ID 管理（本書の主題）に関するミドルウェア・サービスを強化

します。

Oracle Fusion Middleware 11g は、アプリケーション・グリッド機能を拡張することで、最新のデー

タセンターの効率を大幅に向上します。Oracle Fusion Middleware 11g は、64 ビット・アーキテク

チャ、マルチコア・プロセッサ、およびリソースの仮想化などの新しいハードウェア・テクノロジー

の利点を活用し、配置、統合、および管理が容易な高パフォーマンスの共同インターネット・サー

ビス（一般には"クラウド・コンピューティング"と呼ばれるサービス）を提供します。

さらに、Oracle Fusion Middleware 11g ではOracle Enterprise Manager を利用して、ひとつのコンソー

ルで完結する完全な管理ソリューションを提供します。Oracle Enterprise Manager は、すべての

Oracle Fusion Middleware コンポーネントとそれらの相互依存性を自動的に検出して、システム、

サービス、およびコンプライアンスのための業界のベスト・プラクティスを備えたダッシュボード

を提供します。

1


目的と範囲

本書では、Oracle Identity Management 11g Release 1 について説明します。

Oracle Fusion Middleware 11g は、Oracle Identity Management を拡張して、ユーザーID とエンタイ

トルメントの管理、ユーザーへのリソースの提供、企業リソースへのアクセスの保護、およびエン

タープライズ・アプリケーション全体における広範な監査およびコンプライアンス・レポートの要

件を満たすために設計された、統合セキュリティ・プラットフォームを提供します。

Oracle Identity Management 11g Release 1 は、エンタープライズ・リソースの保護、およびそれら

のリソースに作用するプロセスの管理に対応する新たなレベルのセキュリティと完全性を実現する

ことで、大規模なアプリケーション・グリッドの整合性を確保します。

Oracle Identity Management 11g Release 1 は、より高いレベルの統合と自動化を通じて、より高い

効率性を実現し、アプリケーション・セントリックのセキュリティ、リスク管理、およびガバナン

スに対しての高い有効性を提供します。Oracle Identity Management 11g Release 1 は、開発から万

全な本番稼動まで、エンタープライズ・アプリケーションのライフ・サイクルを全面的にサポート

します。

本書は、おもに業務ユーザーと情報テクノロジー（IT）ユーザーを対象としています。本書では、

Oracle Fusion Middleware 11g の最初のリリース（11g Release 1）で使用可能なオラクルの ID 管理

とアクセス管理サービスについて説明します。本書では、Oracle Identity Management がインフォ

メーション・セントリックな環境を拡張しているか、エンタープライズ・ガバナンスおよび Oracle

Database のセキュリティを高める方法、また、Oracle Identity Management とサード・パーティの

プラットフォームを統合する方法についても説明します。最後に、Oracle Identity Management にお

ける今後の技術革新について、ご紹介いたします。

2


「オラクルは、IAM（Identity and Access Management）環境における強固なテクノロジー基盤とその強力で積極的な戦略（アプリケーション・セ

ントリックな ID と呼ばれる）により、IAM 市場におけるリーダーとしての地位を確立しました。」 Forrester Research, Inc.、Andras Cser

Oracle Identity Management の概要

オラクルは、競合他社に類を見ない統合されたアプリケーション・セントリックの製品ポートフォ

リオを提供することで、わずか数年で IAM（Identity and Access Management）市場においてトップ・

ベンダーとしての地位を確立しました。主要な買収と自身の成長の優れたコンビネーションを通じ、

顧客の要求を予測して実現する能力が、オラクルの IAM サービスを IAM 市場のリーダーへと成長さ

せました。

Oracle Identity Management のビジネス上の利点

Oracle Identity Management を使用すると、企業はファイアウォール内外の企業リソース全体における

ユーザーID の作成から削除までのライフ・サイクルをエンタープライズ・アプリケーションとは切

り離して管理できます。つまり、Oracle Identity Management のアプリケーション・セントリックのア

プローチでは、ビジネス・ロジックをセキュリティ管理やリソース管理から完全に分離でき、より

機敏な開発を促進し、保守コストを下げることができます。

オラクルの IAM 戦略は、以下の 4 つの原理を中心に展開されています。

Complete（完全性）：Oracle Identity Managementは、ID管理とロール管理、ユーザー・プロビジョニ

ングとコンプライアンス、WebアプリケーションとWebサービスのアクセス制御、シングル・サイン

オンとID連携、不正行為検出、強力な複数要素の認証とリスク管理、監査とレポートを含む、市場

をリードする包括的な一連のコンポーネントを提供します。Oracle Identity Managementのすべてのコ

ンポーネントは、製品スイートのクラス最高の非常にスケーラブルなディレクトリおよびID仮想化

サービスを活用して、業務効率を最大限まで高め、更に高いレベルのパフォーマンスと可用性を実

現します。

Integrated（統合）：Oracle Identity Managementコンポーネントは、個別に、またはIDサービスの統合

スイートとしてまとめて配置できます。Oracle Identity Managementを構成するさまざまなコンポーネ

ントは、ビジネス・トランザクションの開始から終了まで、各ID管理とアクセス制御の要件を満た

すために、連携して機能するように設計されています。Oracle Identity Managementコンポーネントは、

人事管理（Oracle PeopleSoft）、業務パフォーマンス管理（Oracle Hyperion）、顧客情報管理（Oracle Siebel）、およびOracle Fusion Middlewareのそのほかのコンポーネント（Oracle SOA、Oracle WebCenter、およびOracle Business Intelligenceなど）といったオラクルのアプリケーションとシームレスに統合さ

れます。Oracle Identity Managementは、GRC（ガバナンス、リスク、コンプライアンス）プラットフォー

ムと統合して企業全体のガバナンス・ソリューションを提供します。Oracle Identity Managementは、

独自のディレクトリ・サービスとID仮想化サービスを通してOracle Databaseを統合および活用するこ

とで、最高のスケーラビリティを提供し、維持コストを削減します。また、Oracle Identity Managementのアプリケーション・セントリックのアプローチは、Oracle Information Rights Managementへの拡張機

能を提供し、ID管理とコンテンツ管理間のギャップを縮めます。

Hot-pluggable（ホット・プラガブル）：Oracle Identity Managementの標準ベースの製品スイートは、

異機種での複数のベンダーによる開発、および実行環境（オペレーティング・システム、Webサーバー、

アプリケーション・サーバー、ディレクトリ・サーバー、およびデータベース管理システムを含む）

3


をサポートするように設計されています。たとえば、フェデレーションのためのXML標準（Security Services Markup Language - SAMLおよびWS-Federationなど）により、Oracle Identity Managementコン

ポーネントでは、社内のミッション・クリティカルなアプリケーション（Javaベースのサービス・プ

ロバイダなど）とサード・パーティのパッケージ・アプリケーション（Microsoft .NETベースのアカ

ウント管理システムやプロジェクト管理システムなど）の両方のサポートが可能で、過去および将

来におけるIT投資を最大限に利用できます。

図 1：Oracle Fusion Middleware 11g Release 1 のコンポーネント

Best-of-Breed（最善の組合せ）：Oracle Identity Managementスイートのコンポーネントは、その完全

性、統合性、およびホット・プラガブルの水準に加えて、コンポーネント 1 つをとっても市場をリー

ドするベスト・オブ・ブリードの製品となりえる、機能的な奥行きと高度さを備えています。顧客、

とくにアプリケーション・グリッドをサポートするための高度な機能を探している顧客は、クラス

最高のOracle Identity Managementコンポーネントを選択することで、固有の要件を満たし、コンポー

ネントとそのほかの既存のID管理ポートフォリオを統合できます。また、ベスト・オブ・ブリード

のOracle Identity Managementスイートを配置することで、その強化された統合機能を利用できます。

Oracle Identity Management は、Oracle Fusion Middleware の重要な要素です。Oracle Identity Managementは、Oracle Fusion Middleware のサービス（Business Intelligence、Enterprise Management、SOA および

4


Process Managementなど）を活用して、複数のOracle Fusion MiddlewareコンポーネントとOracle Fusion Applications にセキュリティ・サービスを提供します。

Oracle Identity Management 11g Release 1 の概要

Oracle Identity Management 11g Release 1 には、その前身である 10g との比較において、以下の特徴が

あります。

• Oracle Identity Management 11g Release 1 は、セキュリティ開発プラットフォームとして構築され

ている（後述のOracle Platform Security Servicesの項とIdentity Governance Framework and ArisIDの

項を参照）。

• Oracle Identity Management 11g Release 1 は、Oracle Fusion Applicationsの事実上のセキュリティ・

インフラストラクチャとなっている。

• Oracle Identity Management のコンポーネントとそのほかの Oracle Fusion Middleware コンポーネン

ト、Oracle アプリケーション、およびサード・パーティのセキュリティ・プロバイダ間の統合が

強化されている。

• デプロイ、運用を容易にする機能の強化（ユーザーがデプロイ・タスクを迅速におこなうための

ウィザード、ビジネス・ユーザーがコンプライアンスとリスク指標を分析して、修正アクション

を実行するためのマルチレベルの実用的なダッシュボードなど）。

• Oracle Identity Managementを構成するさまざまな製品間でのリリースの同期化とテクノロジーの

取込みが合理化されている。Oracle Identity Management 11g Release 1 は、この方向に進むための

最初の重要なステップです（後述の、Oracle Identity Management 11g Release 1 のコンポーネント

のリリース表の項を参照してください）。

Oracle Identity Management 11g Release 1 の主要機能

Oracle Identity Management 11g Release 1は、図2に示されているような包括的な一連の機能（ID管理、

アクセス管理、ディレクトリ・サービス、監査とコンプライアンス、管理性）を提供します。

（ファイングレイン・エンタイトルメント→細かなエンタイトルメント管理）

（Intel.正確なデータ制御→知的財産保護とデータの制御）

図 2：Oracle Identity Management 11g Release 1 の機能領域

Oracle Identity Management の各機能領域については、以下の各項で説明します。

5


Oracle Identity Management 11g Release 1 のコンポーネント

前項に示されているOracle Identity Management 11g Release 1 の機能領域は、本書で説明している複数

のコンポーネントによって実装されます。各製品について詳しくは、専用のテクニカル・ホワイト・

ペーパーを参照してください（oracle.com/technology/products/id_mgmt/にアクセスして、Oracle Identity Management 11g Release 1 のコンポーネント製品の情報をダウンロードしてください）。

Oracle Identity Manager

Oracle Identity Managerは、"誰が、どのアプリケーションに対して、いつからいつまでどのようにア

クセスする権利を、なぜ保持していたか"に関する質問に回答します。Oracle Identity Managerは、ID管理のライフ・サイクル（IDの初期登録から最終のID削除まで）を通して企業のリソースに対する

ユーザーのアクセス権限を管理するために設計されています。Oracle Identity Managerは、IDプロビ

ジョニングと管理、およびID監査とコンプライアンスのための完全に統合されたプラットフォーム

です。

図 3：Oracle Identity Manager

Oracle Identity Manager は、エンタープライズ・ユーザー・セントリック（イントラネット）環境と

カスタマー・パートナー・セントリック（エクストラネット）環境の両方で使用されます。

エクストラネット環境では、Oracle Identity Manager の優れたスケーラビリティにより、従来のクラ

イアント（ブラウザなど）やスマートフォンを使用した数百万の顧客やパートナーによる企業のリ

ソースへのアクセスをサポートできます。Oracle Identity Manager は、複数のエンタープライズ・ア

プリケーション（Oracle PeopleSoft Enterprise Customer Relationship Management、Oracle E-Business iSupplier、または Oracle E-Business iRecruitment など）に一元化されたユーザー登録インタフェース

と結合された自己登録インタフェースを提供します。それにより、外部ユーザーやパートナーを一

元管理できるようになり、、増え続けるコンプライアンス規制とプライバシ規制に対応できるよう

になります。

6

http://www.oracle.com/technology/products/id_mgmt/


Oracle Identity Manager は、1 つまたは複数のサーバー・インスタンスに配置可能な Java EE（Java Platform, Enterprise Edition）アプリケーションです。

Oracle Identity Manager の機能レイヤーは以下のとおりです。

IDおよびロール管理：Oracle Identity Managerは、ユーザーIDとロールのライフ・サイクルの包括的

な管理機能を提供します。ユーザーID情報は、管理者に委任すること、またはユーザーが自己管理

することで一元管理できます。

パスワード管理：ユーザーがパスワードを忘れた場合、Oracle Identity Managerは、カスタマイズ可能

なユーザー確認用の質問を提示して、セルフサービスのID確認とパスワード変更を可能にします。

Oracle Identity Managerは、管理リソース間のパスワードの同期化またはマッピングをおこない、それ

ぞれのリソースのパスワード・ポリシーにおける違いにも対応できます。さらに、企業がMicrosoft Windowsのデスクトップ・ベースのパスワード・リセット機能を使用している場合、Oracle Identity ManagerのActive Directory（AD）Connectorは、ADサーバーでのパスワードの変更を検知し、ポリシー

に従ってそのほかの管理リソースにそのパスワードの変更を伝播できます。

承認およびリクエスト管理：Oracle Identity Managerでは、アカウント・リクエストと承認プロセスを、

組織のニーズに合わせて自動化できます。イントラネットおよびエクストラネット環境では、管理

者、同僚、またはユーザー自身がリソースへのアクセス・リクエストを申請でき、Webコンソールや

電子メール通知機能を使用してそれぞれのリクエストのステータスを追跡できます。承認ワークフ

ローは詳細な設定が可能であり、複数の承認プロセスと関係者に対応できます。

ポリシー・ベースのエンタイトルメント管理：Oracle Identity Managerのポリシー・エンジンは、管理

アプリケーション間の詳細なエンタイトルメントを制御し、ITプロセスを自動化し、セキュリティ

要件や職務分掌などのコンプライアンス要件を満たすことができます。ポリシー・ベースのエンタ

イトルメント管理により、複数のリクエストと承認プロセスを実装可能となり、時間の経過ととも

に並行して修正することで、実装の総コストを削減できます。

統合およびアダプタ・ファクトリ：Oracle Identity Managerは、詳細な設定が可能なエージェントレス

のインタフェース・テクノロジーを使用して、任意のアプリケーションまたはリソースと統合され

ます。オラクルでは、代表的なアプリケーションやユーザー・リポジトリのための事前設定されて

いるコネクタのライブラリ（随時増加）を提供しています。各コネクタは、広範なID管理機能をサ

ポートし、ターゲットのリソースに推奨されるもっとも適した統合方法（独自の方法やオープン標

準ベースの方法）を使用します。Oracle Identity Managerコネクタにより、追加設定をおこなうことな

く統合することが可能となります。また、それぞれ、企業の個別の統合要件に合わせるために、アダ

プタ・ファクトリを使用してさらに変更を加えることができます。Oracle Identity ManagerとOracle Role Manager（ORM）およびサード・パーティ環境との統合について詳しくは、後述のOracle Identity Management 11g Release 1 コンポーネントの統合の項を参照してください。

監査およびコンプライアンス：IDリコンシリエーションでは、Oracle Identity Managerがその管理下に

あるリソースを制御する際に使用されるプロセスを参照します。Oracle Identity Managerは、その制御

外でユーザー・アクセス権限に変更が加えられたことを検出した場合、ただちに修正アクション（変

更の取消しや管理者への通知など）を実行できます。Oracle Identity Managerは、その制御外で作成さ

れたアカウント（"不正アカウント"）や有効なユーザーが存在しないアカウント（"孤立アカウント"）を継続的に監視します。Oracle Identity Managerは、サーベンス・オクスリー法、グラム・リーチ・ブ

ライリー法、およびHIPAAなどの厳しい規制要件に対処するため、プロビジョニング環境の状態に

ついての包括的な監査とレポート機能を提供します。アテステーション（棚卸とも呼ばれる）は、

サーベンス・オクスリー法におけるコンプライアンス遵守の主要部分です。Oracle Identity Managerは、企業全体で棚卸プロセスを有効にするために容易に設定できる業界最高の棚卸機能を提供しま

す。この機能の特徴は、自動化されたレポートの生成、配布、および通知にあります。

7


Oracle Role Manager

Oracle Role Manager は、エンタープライズ・ロールのライフ・サイクル管理、およびビジネスと組織

のリレーションシップのための包括的な機能セットを提供します。Oracle Role Manager は、Oracle Identity Management の製品スイートにおけるエンタープライズ・ロールの信頼できるソースです。

スケーラブルな Java EE アーキテクチャに基づいて構築されている Oracle Role Manager では、ビジネ

ス・ユーザーは、リソースおよびエンタイトルメントを「ロール」として抽象化することでユーザー・

アクセス権を定義できます。Oracle Role Manager に定義されているロール・メンバーシップ・ポリシー

は、組織およびリレーションシップ・データ（所属や、コストセンターなどの情報）を利用して、

ロール・メンバーシップ（ロールに割り当てられるユーザー）を決定し、最終的にリソースへのア

クセスを許可します。ビジネス・イベントの発生によって組織が変更されると、ロール・メンバー

シップは動的に再計算されて適切なアクセスが保証されるため、セキュリティ・ホールやコンプラ

イアンス違反を防ぐことができます。

図 4：Oracle Role Manager

Oracle Role Manager は、ロール管理のための Web ベースのユーザー・インタフェースを提供します。

ロール管理では、ユーザーは、ロールの作成と変更、ビジネス・ポリシーに応じたロール・メンバー

シップの定義、およびリソースへのロールのマッピングをおこなうことができます。さらに、Oracle Role Manager には柔軟で設定可能なユーザー・インタフェースがあり、ユーザーは、ロール・メン

バーシップ・ポリシー内で使用できる複雑な組織データとリレーションシップをモデル化できます。

8


Oracle Role Manager の機能レイヤーは以下のとおりです。

エンタープライズ・ロール管理およびロール･マイニング：ロール・マイニング用のOracle Role Managerのツールは、ユーザー、エンタイトルメント、およびそれらの間のリレーションシップに関する既

存の企業内データを取得して、候補となるITロールを検出します。ロール・エンジニアリングへの"ボトム・アップ"アプローチと呼ばれることが多いこのプロセスは、既存のエンタイトルメントとユー

ザー・メンバーシップのパターンを特定し、Oracle Role Manager内で管理できるロールを提案します。

マイニングされたロールがOracle Role Manager内の管理ロールになると、Oracle Role ManagerのWebベースのユーザー・インタフェースを使用して、それらのロールを完全に管理できます（ロール定

義、メンバーシップ、およびマッピングの変更を含む）。

コンテキストベースの、ポリアーキー対応のロール・エンジン：組織の実態を正確に反映し、相互

依存階層内でのデータの整合性を維持するには、複数の重複する階層（"ポリアーキー"）をマッピン

グする組織モデルが必要です。Oracle Role Managerはユーザーのさまざまなビジネス・ポリシーを使

用し、ユーザーと組織間のリレーションシップを越えて、リアルタイムの正確なロール・メンバー

シップを導きだす、強力なロール・エンジンを提供します。このような複雑なリレーションシップ

は、ロール・エンジニアがロールのポリシーを定義するために使用できる強力なデータになります。

権限ロールとエンタイトルメント・リポジトリ：Oracle Role Managerは、包括的なロール・リポジト

リにおいて、組織のリレーションシップなどのビジネス・コンテキスト情報を集約および管理しま

す。ロール情報の中央ソースとして機能するこれらのリレーションシップ情報により、"誰がどのエ

ンタイトルメントを割り当てられるべきか"などについての権限データが企業やID管理システムに

提供されます。

ロール委任：Oracle Role Managerは、ロールの委任管理機能を提供することで、ビジネス・ユーザー

が既存のビジネス・ポリシーに違反することなく、アクセス権や権限を容易に管理できるようにし

ます。

Oracle Access Manager

Oracle Access Manager は、認証、シングル・サインオン（SSO）、および ID アサーションのための

一元化されたポリシー主導のサービスを提供します。Oracle Access Manager は、広範な認証メカニズ

ム、サード・パーティの Web サーバーとアプリケーション・サーバー、および標準ベースのフェデ

レーテッド SSO ソリューションを統合して、最大限の柔軟性と高度に統合された包括的な Web アク

セス制御ソリューションを提供します。

Oracle Access Manager は、Web 層での認証サービスと SSO サービスを提供し、認証 ID をアプリケー

ション・アクセス制御システムにアサートすることで、アプリケーションとデータ・プロバイダを

統合します。

Oracle Access Managerは、Oracle Entitlements Serverと統合することで、Oracle Access Managerの持つ

認証機能と属性アサーション機能を補完し、アプリケーション、ポータル、データベース、および

Webサービスに詳細な認可とエンタイトルメントを提供します。詳しくは、後述のOracle Access ManagerとOracle Entitlements Serverの統合の項を参照してください。

図 5 に示されているように、Oracle Access Manager は、Oracle Directory Services（ユーザー情報の保

持と管理のための Oracle Internet Directory、ユーザーの同期化のための Oracle Directory Integration Platform（Oracle DIP）を含む）を活用します。Oracle Internet Directory と Oracle DIP については後述

9


します。Oracle Access Manager では、その他のタイプのサード・パーティ・ユーザー・ディレクトリ・

プラットフォームも利用できます。

（ディレクトリ統合プラットフォーム→Directory Integration Platform）

（OAM のオプション→OAM 外の便利な機能）

図 5：Oracle Access Manager

Oracle Access Manager の機能レイヤーは以下のとおりです。

認証：Oracle Access ManagerのAccess Server、Policy Manager、およびWebGatesと呼ばれる標準のWebサーバー・プラグイン（または、アプリケーション・サーバー、パッケージ・アプリケーション、

およびそのほかのエンタープライズ・リソースとの統合用のAccessGates）は、連携してリソースへ

のアクセス・リクエストを検知し、既存の認証のチェック、資格証明の検証、およびユーザーの認

証をおこないます。

シングル・サインオン：通常、ブラウザ・ユーザーがアプリケーションへのアクセスを試みると、

Oracle Access Managerは、まずそのアプリケーションが保護されているかどうかをチェックします。

保護されている場合、Oracle Access Managerは、WebGateまたはAccessGateを使用して、ユーザーに

資格情報（単純なユーザー名/パスワード、X.509 資格証明、スマートカードなど）の提供を求めま

す。それらの資格証明に基づき、Oracle Access Managerは、ユーザー・ストアにユーザーを認証する

ためにセキュリティ・ポリシーを適用し、HTTP（ブラウザ）Cookieの形式でセッション・チケット

を作成して、シングル・サインオン、または再ログインの必要性を排除した同じアプリケーション

への繰返しアクセスを実現します。

アクセス制御：Oracle Access Managerでは、ユーザー・ロールやアクセス・ポリシーに基づくリソー

スへの認可が可能です。通常、認証に成功すると、Oracle Access Managerは、認証したユーザーのロー

ルに基づき特定のリソース（Webページなど）へのアクセスを提供します。たとえば、一般ユーザー

と管理者が同じWebアプリケーションへのアクセスを許可されている場合でも、それぞれのロールの

属性に基づいてパーソナライズされたWebページ経由で、異なる機能レベルへのアクセス権を保持し

ていることがあります。

ID管理：図 5 に示されているように、Oracle Access Managerは、ユーザーとグループの管理、パスワー

ド管理とセルフサービス、およびユーザーの同期化などの簡単なID管理サービスを提供します。

10


Oracle Identity Manager（前述）については、より大規模な ID 管理サービス、とくにエクストラネッ

ト環境での使用が推奨されます。

エンタープライズ・アプリケーションのサポート：Oracle Access Managerは、既存のeビジネス・イ

ンフラストラクチャ（SAP、Oracle Siebel、Oracle PeopleSoft、およびOracle E-Business Suiteなど）と

統合されます。Oracle Access Managerは、代表的なすべてのサード・パーティのWebサーバー、アプ

リケーション・サーバー、ポータル、ユーザー・ディレクトリ、電子メール・システム、およびリ

レーショナル・データベースを保護、アクセス、および管理するための事前構築されたエージェン

トを提供します。

コンプライアンス・レポート：Oracle Access Managerには、すべてのOracle Access Managerコンポー

ネント向けの統一および一元化された監査レポートが含まれており、分析のためのすべての操作は

安全なデータベースに保存され、相互に関連づけられています。Oracle Access Managerには、ユーザー

のアクセスの試み、認証の成功または失敗、およびシングル・サインオン・イベントなどの一般的

なイベントに対する優れた可視性とレポートを提供するために、事前構築済みのレポート、および

Oracle Business Intelligence Publisherを使用したカスタム・レポートを作成するための機能が付属して

います。これらの機能により、一般的な政府の規制および業界の規制に準拠するための組織の能力

が向上します。

Oracle Identity Management 11g Release 1 では、Oracle Access Managerは、Oracle Fusion Middlewareコン

ポーネントとOracle Fusion ApplicationsのWebアクセスおよびシングル・サインオン・ソリューション

を提供します。Oracle Platform Security Services（OPSS）（後述のOracle Platform Security Servicesの項

を参照）との緊密な統合により、Oracle Access Managerは、Oracle Access Managerによって実施され

る認証イベントを起動するためにコンテナ管理アプリケーションを呼び出すことができます（図 6を参照）。

一般的に、ブラウザ・クライアントは、WebLogic Server で稼働しているアプリケーションへのアク

セスを試みます。Oracle HTTP Server（OHS）にインストールされている Oracle Access Manager のWebGate がそのリクエストを傍受し、Oracle Access Manager の Policy Server と通信して、そのリクエ

ストを認証します。認証に成功すると、Oracle Access Manager がセッション・チケット（SSO トーク

ンで使用される HTTP Cookie）を生成します。Oracle Access Manager の ID アサーション・プロバイ

ダが、SSO トークン（または、オプションの HTTP ヘッダー）から ID 情報を抽出します。アプリケー

ションがログインのためにOracle Platform Security Servicesを呼び出し、認証の判定をおこないます。

図 6：Oracle Access Manager によるコンテナ管理アプリケーションの保護

11


これは、Oracle Access Manager と Oracle Platform Security Services の統合の一例にすぎません。その

ほかの例については、Oracle Access Manager のテクニカル・ホワイト・ペーパーを参照してください。

Oracle Web Services Manager

Web サービスにとっての Oracle Web Services Manager（OWSM）は、Web アプリケーションにとって

の Oracle Access Manager と同じ様に、以下の複数タイプのリソースへのアクセスを保護するように

設計されています。

• 標準準拠の Web サービス（Java EE、Microsoft .NET、PL/SQL など）

• Business Process Execution Language（BPEL）およびエンタープライズ・サービス・バス（ESB）プロセスを含む、サービス指向アーキテクチャ（SOA）コンポジット

• Oracle WebCenter のリモート・ポートレット

Oracle Web Services Manager 11g Release 1 は、Oracle SOA 11g Release 1 および Oracle WebCenter 11g Release 1 の一部としてインストールされています。また、Oracle Web Services Manager 11g Release 1は Oracle SOA Governance ソリューションのランタイム・ポリシーのガバナンス・コンポーネントで

す。この場合、ポリシー・ベースのセキュリティを使用して配置済みの SOA アーチファクトの本番

環境を保証し、クローズド・ループのライフ・サイクル制御のさまざまな段階に関与します。

図 7：Oracle Web Services Manager

Oracle Web Services Manager 11g Release 1 には、ポリシー・マネージャとインターセプタ、または実

施ポイント（エージェントとも呼ばれる）が含まれています。ポリシー・マネージャとエージェン

トは、いずれも Oracle WebLogic Server で動作します。エージェントは、サービスの要求側（クライ

12


アント）およびサービスの提供側（エンドポイント・サーバー）に配置できます。一般的に、Webサービスに対するリクエストは OWSM エージェントが検知し、OWSM ポリシー・マネージャに定

義されているセキュリティ・ポリシーを実施します。Oracle Web Services Manager のポリシー・モデ

ルは、Oracle Fusion Middleware 11g Release 1 の Web サービス・ベースのコンポーネントのセキュリ

ティにおける要です。

Oracle Fusion Middleware 11g Release 1 では、Oracle Web Services Manager または Oracle WebLogic Server（Oracle WLS）Web サービスのポリシー・タイプを使用して、Java API for XML Web Services

（JAX-WS）に基づく WebLogic Server Web サービスのセキュリティおよび管理ポリシーを実施できま

す。WLS ポリシーは Oracle WLS によって提供され、WLS Web サービス・ポリシーのサブセットは、

Oracle Web Services Manager ポリシーと相互運用できます。

Oracle Web Services Manager の機能レイヤーは以下のとおりです。

業界標準に準拠したポリシー管理：Oracle Web Services Manager 11g Release 1 のポリシー・マネージャ

は、Webサービス・セキュリティの業界標準に基づいており、特にWS-Security（メッセージレベル

の機密保護、データの整合性、および認証および認可のために、さまざまなタイプのバイナリ・トー

クンおよびXMLセキュリティ・トークン（x.509 資格証明など）をWS-Securityのヘッダーに挿入する

方法を指定するプロファイルを提供するSOAPのセキュリティ拡張機能）、WS-Policy（Webサービス

の機能や制約（必須のセキュリティ・トークン、暗号化アルゴリズムなど）を記述するXMLフレー

ムワーク）、およびWS-SecurityPolicy（WS-Policyフレームワークのコンテキストで使用される一連

のセキュリティ・ポリシー・アサーションを定義）に基づいています。Oracle Web Services Managerの業界標準準拠により、各Webサービスを記述するWeb Service Definition Language（WSDL）ファイ

ルにセキュリティ要件を公開できます。Oracle Web Services Manager 11g Release 1 は、セキュリティ・

ポリシーに加えて、Message Transmission Optimization Mechanism（MTOM）、高信頼性メッセージン

グ（RM）、および管理ポリシーをサポートします（図 7 を参照）。

監視のためのOracle Enterprise Manager：Oracle Web Services Manager 10gとは異なり、Oracle Web Services Manager 11g Release 1 には独自のユーザー・インタフェースは含まれていませんが、Oracle Enterprise Managerの監視機能および統合機能を使用できます。結果として、Webサービスの監視はエ

ンタープライズ・アプリケーション全体における広範な監視の一部となっています（OWSMエージェ

ントが、Oracle Enterprise Managerに必要な監視情報を提供します）。さらに、Oracle Web Services Manager 11g Release 1 は、開発時に宣言型ポリシー・アタッチメントを提供するためにOracle JDeveloperと統合されています（図 7 を参照）。

Oracle Platform Security Services（OPSS）との緊密な統合：Oracle Web Services Manager 11g Release 1は、認証にOracle Platform Security Servicesのログイン・モジュール・インフラストラクチャを利用し、

カスタム・ログイン・モジュールへのプラグインを可能にします。認証に成功すると、Oracle Web Services Managerが、Fusionアプリケーションで使用するFusionセキュリティ・コンテキストを設定し

ます。Oracle Web Services Managerは、ID伝播（javax.security.auth.Subjectを読み取り、設

定する能力）、資格証明ストア、キーストアと証明書の管理、および監査にもOracle Platform Security Servicesを利用します（詳しくは、後述のOracle Platform Security Servicesの項のJavaのサブジェクトを

参照してください）。

境界セキュリティ：Oracle Web Services Manager 11g Release 1 は、Oracle Web Services Manager 10gのゲートウェイをセキュリティ・プロキシとして利用します（Oracle Web Services Managerの 11g Release 1 以降のリリースでは、独自のゲートウェイが提供されます）。Oracle Web Services Managerゲート

ウェイは、DMZ内でOWSMエージェントと同じポリシー適用機能を実行します。さらに、Oracle Web Services Manager 11g Release 1 は、市場をリードするXMLアプライアンスと統合することで、境界セ

キュリティと侵入検知機能を提供しています。

13


Oracle Identity Federation

ID フェデレーションは、単一のインターネット・ドメインを超えてシングル・サインオンする必要が

ある場合に必要になります（この要件は、前述の Oracle Access Manager によって満たされています）。

Oracle Identity Federation 11g Release 1 は、スタンドアロンのフェデレーション・サーバーであり、Java EE コンテナ（Oracle WebLogic Server）および Web サーバー（Oracle HTTP Server）を含む、配置に

必要なすべての必須コンポーネントがバンドルされています。

Oracle Identity Federation は、ロードバランシングおよびフェイルオーバーを介して、ミッション・ク

リティカルなアプリケーションをサポートするように設計されています。Oracle Identity Federationを使用すると、複数のサーバーがアクセスできる共有のデータベース・インスタンス（セッション・

データの保存用）を使用してシステムを設定できます。Oracle Identity Federation サーバーは、特定の

負荷分散アルゴリズムをサポートし、特定のマシンがダウンした場合に設定済みのサーバーをサー

ビスから取り除くように設定することもできます。

図 8：Oracle Identity Federation

もっとも広く受け入れられている ID フェデレーションの業界標準は、Security Assertion Markup Language（SAML）です。SAML は、XML ドキュメントを介してインターネット上でセキュリティ情報を共有す

るためのオープンなフレームワークです。SAML は、以下の問題に対処するために設計されました。

単一のドメインに対するWebブラウザのCookieの制限：SAMLは、複数のインターネット・ドメイン

間でCookieを転送する標準的な方法を提供します。

独自のWebシングル・サインオン（SSO）：SAMLは、単一ドメイン内で、または複数ドメイン間に

SSOを実装する標準的な方法を提供します。

フェデレーション：SAMLは、ID管理（１人のユーザーが複数のWebサイトで複数のIDを使用してい

る場合にアカウントをリンクさせるなど）を容易にします。

14


Webサービスのセキュリティ：SAMLは、標準的なWebサービス・セキュリティのフレームワーク（前

述のWS-Securityなど）で使用できる標準のセキュリティ・トークン（SAMLアサーション）を提供

します。このSAMLの使用法は、Oracle Web Services Managerによって全面的にサポートされている

Webサービスのセキュリティにとくに関連性があります。

ID伝播：SAMLは、セキュリティ・トークンを表す標準的な方法を提供します。セキュリティ・トー

クンは、ブラウザからポータル、さらにWebサービスのネットワークまで、ビジネス・プロセスまた

はトランザクションの複数のステップに渡すことができます。

Oracle Identity Federation の機能レイヤーは以下のとおりです。

複数のフェデレーション・プロトコルのサポート：Oracle Identity Federationは、ベンダー中立の適合

性に関するイベントに参加して、Liberty ID-FFやSAML 2.0 に対するLiberty Alliance認証を獲得してい

ます。Oracle Identity Federationは、次のプロトコルをサポートしています。SAML 1.0、1.1 および 2.0、Liberty Alliance ID-FF 1.1 および 1.2、WS-Federation（WS-Federationは、トラストおよびセキュリティ・

トークンの交換の仲介、ID情報と属性情報を非表示にすることによるプライバシの保護、フェデレー

テッド・サインアウトを可能にします）。Oracle Identity Federation 11g Release 1 では、Microsoft Windows CardSpaceのサポートが導入されています。CardSpaceは、ユーザーのデジタルIDをインフォ

メーション"カード"で提供します。たとえば、Oracle Identity Federation IDプロバイダは、CardSpaceプロトコルを介してユーザーのログインを確認し、CardSpace認証と要求に基づきSAMLアサーショ

ンを戻すことができます。

異機種アーキテクチャのサポート：Oracle Identity Federationは、サード・パーティのID管理およびア

クセス管理ソリューションとシームレスに統合されます。IDプロバイダとして機能するOracle Identity Federationは、ユーザー・ディレクトリやデータベースに対してユーザーを認証できます。サ

ポートされる認証システムまたは認可システムがすでに配置されている場合、Oracle Identity Federationはそのシステムを利用して、ユーザーを認証し、パートナー・アプリケーションに渡す認

証（SAML）アサーションを作成します。サービス・プロバイダの役割を果たすOracle Identity Federationは、サポートされる認証システムまたは認可システムと通信し、データ・リポジトリからユーザー

の属性を検索して、認証ユーザーのアクセス権限を特定します。さらに、Oracle Identity Federationは、

簡素化されたプログラム・インタフェースを提供し、顧客が特定のアプリケーションや独自のソ

リューションと直接統合できるようにします。そのため、操作における追加のフットプリントは不

要になります。

バルク・アカウントの設定とプロビジョニング：Oracle Identity Federationには、管理者がユーザーの

フェデレーション・レコードをバルク・ロードするためのツールがあります。フェデレーションは、

ユーザーと 2 つのプロバイダ（IDプロバイダとサービス・プロバイダ）間のアカウントのリンクを

表します。2 つのプロバイダは、フェデレーションでやり取りされるデータを使用して個人を特定す

ることに同意しています。

証明書の検証のサポート：Oracle Identity Federationには、デジタル署名と暗号化に対するX.509 証明

書をサポートする証明書の検証ストアがあります。証明書の検証ストアよって、使いやすい管理コ

ンソール内で、信頼できる認証局（CA）と証明書失効リスト（CRL）を管理できます。管理者は、

送信SAMLアサーションの署名と暗号化、および信頼できるプロバイダからの受信メッセージの検証

と認証ができます。

監査、ロギング、監視：監査（Oracle Platform Security Servicesの共通の監査フレームワーク（CAF）およびOracle Business Intelligence Publisherとの統合）、監視（Oracle Enterprise Manager）、およびロ

ギングは、Oracle Fusion MiddlewareおよびOracle Identity Managementと統合されています。

15


Oracle Enterprise Single Sign-On

Oracle Enterprise Single Sign-On（Oracle eSSO）は、シック・クライアントおよびシン・クライアント・

アプリケーション向けの統一された認証およびシングル・サインオンを提供するデスクトップ・ベー

スの製品スイートです。使用に際し、既存のアプリケーションを変更する必要はありません。Oracle eSSO を使用すれば、ユーザーは複数のパスワードを記憶し、管理する必要がなくなります。そのた

め、パスワードを忘れた際のリセットについてのユーザー・リクエストに対応するヘルプデスクの

時間を節約できます。

Oracle eSSO の機能レイヤーは以下のとおりです。

Logon Manager：エンドユーザーが、すべてのWebベースのアプリケーション、クライアントサー

バー・アプリケーション、およびレガシー・アプリケーションにシングル・ログイン資格証明を安

全に使用できるようにすることで、セキュリティを強化し、ユーザーの生産性を向上します。

Password Reset：安全で柔軟性のあるセルフサービスのインタフェースを使用して、Microsoft Windows用の強力なパスワード管理を可能にすることで、ヘルプデスクのコストを削減し、ユーザー・エク

スペリエンスを向上します。

Authentication Manager：企業全体での強力な認証をおこなうために、トークン、スマートカード、バ

イオメトリック、およびパスワードを組み合わせて使用できるようにすることで、セキュリティ・

ポリシーを実施し、規制の遵守を保証します。

Provisioning Gateway：Oracle Identity Managerからのプロビジョニング命令に基づき、組織がLogon Managerに直接シングル・ログイン資格証明を配布できるようにすることで、業務効率を改善します。

Kiosk Manager：ユーザーがマルチユーザーKIOSKと分散ワークステーションのエンタープライズ・

アプリケーションに均等かつ安全にアクセスできるようにすることで、ユーザーの生産性を高め、

企業のセキュリティを強化します。

Oracle Entitlements Server

Oracle Entitlements Server は、Java EE ベースのファイングレイン（詳細な）認可エンジンであり、複

雑なエンタイトルメント・ポリシーの管理を外部化、統一、および簡素化します。Oracle Entitlements Server は、アプリケーション・リソースやソフトウェア・コンポーネント（URL、Enterprise JavaBeans、および Java Server Pages など）、任意のビジネス・オブジェクト（データベースの顧客アカウントや

患者レコードなど）へのアクセスを保護します。

Oracle Entitlements Server は、さまざまなビジネス・システムおよび IT システムにまたがる複雑なエ

ンタイトルメント・ポリシーのための一元化された管理ポイントを提供します。Oracle Entitlements Server は、複数の組織とアプリケーション関係者が、それぞれに影響を及ぼすエンタイトルメント･

ポリシーの作成、変更、およびレポート作成が可能になる高度な委任管理モデルを提供します。

Oracle Entitlements Server は、Administration Server とセキュリティ・モジュールの 2 つの主要なコン

ポーネントで構成されています。Administration Server は、ポリシー管理ポイント（PAP）として機

能し、構成、組織、アプリケーション、ポリシー、およびロールの管理に使用されます。Oracle Entitlements Server は、1 つ以上のセキュリティ・モジュールを使用して、実行時に認可を実施します。

セキュリティ・モジュールは、ポリシー決定ポイント（PDP）でファイングレイン・アクセス制御ポ

リシーを評価し、ポリシー実施ポイント（PEP）でそれらのポリシーを実施します。

16


Oracle Entitlements Server 固有のアーキテクチャにより、セキュリティ・モジュールは結合され、単

一のポリシー決定ポイントおよびポリシー実施ポイントとしてアプリケーションのプロセスで実行

されます。そのためパフォーマンスを大幅に向上し、実行時の認可決定にかかる待機時間を短縮で

きます。セキュリティ・モジュールは、ユーザーID、およびポリシーに組込み可能な外部属性への

アクセスの統合ポイントでもあります。セキュリティ・モジュールには、ポリシーの評価中にポリ

シー情報ポイント（PIP）から動的に情報を戻すための属性の取得機能があります。それらの情報ソー

スは、リレーショナル・データベース、ID ディレクトリ、Web サービス、またはそのほかの任意の

データソースとなります。

（一元管理された→一元化された）

図 9：Oracle Entitlements Server

Oracle Entitlements Server ポリシーは、アプリケーション・リソースにアクセスできるユーザー、グ

ループ、およびロールを指定し、それらのロールを実行時に動的に解決できるようにします。例え

ば、一般的なOracle Entitlements Serverポリシーは次のとおりです。"ユーザー・グループ'BankManagers'内のすべてのユーザーに 'AccountReports'対する 'Get'アクション権限を付与します ”。Oracle Entitlements Server は、独自の柔軟なアーキテクチャを使用して、特殊な属性を評価し、さらに詳細

なアクセス制御の決定を下すこともできます。

Oracle Entitlements Server の機能レイヤーは以下のとおりです。

ポリシー管理：数千のリソースとポリシーを含む巨大なポリシー・ストアのサポート、多数の組織

とアプリケーションのためのパーティション化機能、ユーザーの柔軟なロール・マッピングを備えた

完全な委任管理、代表的なJava EEコンテナで動作するWebベースのインタフェース、カスタム管理

のニーズに対応する全面的にプログラム可能な管理インタフェースを提供します。Oracle Entitlements Serverの管理モデルは、Oracle Entitlements Server自体によって保護されます。

ポリシー配信：Oracle Entitlements ServerのAdministration Serverは、アプリケーションおよびサービス

を保護する個々のセキュリティ・モジュールにポリシーを公開するタスクを処理します。ポリシー

配信は、各セキュリティ・モジュールに必要なポリシーのみを確実に配信するトランザクション・

メカニズムを提供します。ポリシー配信の機能は、以下のとおりです。アプリケーションを中断す

ることなくセキュリティ・モジュール内のポリシーを更新する機能、セキュリティ・モジュールが

必要とするポリシーのみをプッシュするインテリジェント・プッシュ・テクノロジー、中断された

配信シナリオを処理する高度なプロトコル、セキュリティや実行中のポリシーの整合性を損なわな

17


いポリシー配信のためのシンプルなアーキテクチャ要件。セキュリティ・モジュールは、Oracle Entitlements Serverでの実行に依存しないオフライン・モードで動作します。

複数プラットフォームのサポート：Oracle Entitlements Serverは、多くの代表的なJava EEコンテナ

（Oracle WebLogic Server、Tomcat、およびIBM WebSphereなど）で動作します。ポリシー・リポジト

リは、Oracle Database、Sybase、Microsoft SQL Server、およびIBM DB2 に対して管理できます。

ポリシーのレポート作成：Oracle Entitlements Serverは、ユーザーやロールが権限とエンタイトルメン

トにどのようにマッピングされるかをポリシー管理者が理解するのに役立つ検索機能を提供します。

ポリシーのレポートは、特定のアプリケーション・リソース（データベースの列、Enterprise JavaBeansなど）、ID（ユーザー、グループ、ロール）のほか、権限についても生成できます。レポートはシ

ンプルなテキスト・ファイルとして利用可能で、ダウンストリームのビジネス・インテリジェンス

やレポート作成ツールで使用できます。

Oracle Adaptive Access Manager

Oracle Adaptive Access Manager（OAAM）は、リアルタイムの不正防止、複数要素の認証、および独

自の強化された認証を使用して、企業とその顧客を保護します。

図 10：Oracle Adaptive Access Manager

Oracle Adaptive Access Manager は、2 つの主要なコンポーネントで構成されており、その 2 つが連携

して不正に対処するもっとも強力で柔軟なツールを提供します。Adaptive Strong Authenticator（ASA）

は、パスワード、個人識別番号（PIN）、トークン、セキュリティに関する質問、アカウント番号、

およびそのほかの資格証明などの機密情報のための複数要素の認証メカニズムと保護メカニズムを

提供します。Adaptive Risk Manager（ARM）は、クリティカルなログイン・チェックポイントおよび

トランザクション・チェックポイントにおける不正を防ぐためのリアルタイムとオフラインのリス

ク分析、および事前対応型のアクションを提供します。

Oracle Adaptive Access Manager の機能レイヤーは以下のとおりです。

認証セキュリティ：ASAは、認証スキーム（Web SSO形式、ワンタイム・パスワード、ナレッジベー

ス認証、バイオメトリック、スマートカード、X.509 証明書、およびユーザー・ディレクトリとデー

タベース認証を含む）を強化するためのソリューションを提供します。ASAには、サーバー・コン

ポーネント、および一連のWebベースの仮想認証デバイスがあり、ユーザーの機密認証情報を保護し、

18


キー・ロガー、マウス・クリック・ロガー、および中間者攻撃などのマルウェア攻撃から保護しま

す。

リスク分析：ARMは、ユーザー・プロファイル、デバイスの特徴、トランザクション・データ、イ

ンターネット・プロトコル（IP）アドレス、ジオロケーション、およびサード・パーティ・データな

ど、さまざまなソースから取得したコンテキスト・データを分析してリスクを評価します。ARMは、

さまざまなリスク要因を同時に検証することで、いつでもリスク・レベルを保存し、不正を事前に

防ぐための手順を実行し、監視者にアラートを発することができます。

挙動プロファイリング：ARMは、ユーザーとデバイスの通常の動作を学習、更新、および維持する

ことでリスクの高い状況を動的に特定します。この方法により、不正防止機能は人手を介さずにユー

ザーの動作の変化に対応できます。

不正の調査とフォレンジック：ARMは、調査と監査を簡素化するためのリアルタイムとオフライン

のリスク分析ツールを提供します。レポートは、Oracle Business Intelligence Publisherを使用して作成

できます。

不正に対するインテリジェンス：セキュリティ・ポリシーは、本番システムを停止させることなく、

新たな要件に対応できる必要があります。Oracle Adaptive Access Managerは、異なるセキュリティ・

ポリシーをテストする、不正の防止に対する各ポリシーの実用性を評価する、特定のルールをテス

ト実行する、およびポリシー変更の結果生じるシステム動作の相違点を不正が発生する前に追跡す

る、といった機能をセキュリティ管理者に提供します。

Oracle Directory Services

Oracle Directory Services には、データ・ストレージとディレクトリの同期化サービスを扱う Oracle Internet Directory、およびデータをコピーせずに ID の集約と変換を提供する Oracle Virtual Directoryが含まれています。

19


図 11：Oracle Directory Services

Oracle Internet Directory

Oracle Internet Directory 11g Release 1 は、Oracle Fusion Middleware コンポーネント、Oracle Fusion Applications、および自社開発のエンタープライズ・アプリケーションに対して、ID データ（認証の

ためのユーザーの資格証明、認可のためのアクセス権限、およびプロファイル情報など）を保存し、

それらのデータにアクセスするための標準のメカニズムを提供します。Oracle Internet Directory は、

Lightweight Directory Access Protocol（LDAP）に準拠しています。LDAP は、ディレクトリ情報を体

系化し、検索、および取得操作を目的としたクライアント・アプリケーションとディレクトリ間の

通信を許可するために設計されたインターネット標準です。

Oracle Internet Directory は、Oracle Database テクノロジーに基づいて実装されており、比類のないス

ケーラビリティ、高可用性、および情報セキュリティを備えた LDAP ディレクトリ・サービスを提

供します。

Oracle Internet Directory の機能レイヤーは以下のとおりです。

スケーラビリティ：Oracle Internet Directoryサーバー・ノードで動作するLDAPサーバーはマルチス

レッド化されており、データベース接続プールを使用して、LDAPクライアントの同時接続数の増加

に伴うリソース不足の発生を防ぎます。さらに、単一のOracle Internet Directoryサーバー・ノードで

複数のLDAPサーバー・プロセスを実行できる能力により、ハードウェア・ノードごとのサーバー・

プロセス数を増やすことで縦方向のスケーラビリティが提供され、クラスタ化されたハードウェア・

ノード間にサーバー・プロセスを分散させることで横方向のスケーラビリティが提供されます。

高可用性：Oracle Internet Directoryは、Oracle Internet Directoryサーバーのプロセス・レベルとデータ・

ストレージ・レベルにおいて継続的なサービスの可用性を実現するように設計されています。Oracle Internet Directoryサーバー間のマルチマスター・レプリケーションにより、レプリケーション環境で

いずれかのサーバーが停止した場合、ほかのサーバーが"マスター"として動作可能になります。実績

のある堅牢なOracle Databaseのレプリケーション・テクノロジーにより、ハードウェア障害が発生し

た場合でも完全な可用性が確保されます。任意の数のノードによるLDAPベースのマルチマスター・

20


レプリケーションは、Oracle Internet Directory 11g Release 1 の追加オプションです。LDAP レプリケー

ションは、ほぼオーバーヘッドのない柔軟な配置トポロジ、および詳細なフィルタリング・オプショ

ンとパーティショニング・オプションを提供します。

情報セキュリティ：Oracle Internet Directoryの管理者は、ディレクトリ・サービス環境を定義して、

ユーザーの認証方法（パスワードおよび証明書ベースの認証は、いずれもネイティブにサポートさ

れています）に基づいた、ディレクトリ情報へのさまざまなアクセス・レベルを提供できます。さ

らに、Oracle Internet Directory 11g Release 1 には属性レベルの暗号化機能があります。Oracle Internet Directoryでは、次の 2 つの独自のデータベース・セキュリティ機能がサポートされています。Oracle Database Vault（データベース管理者の職務の分離を実施します）とOracle Transparent Data Encryption（データをディスクに書き込むときに自動的に暗号化し、そのデータを認証ユーザーが読み取るとき

に復号化します）。

強化されたユーザビリティと診断機能：Oracle Internet Directory 11g Release 1 は、Oracle Directory Services Manager（ODSM）によって優れたユーザビリティを提供します。Oracle Application Development Framework（Oracle ADF）に基づいているOracle Directory Services Managerは、Oracle Internet Directory（およびOracle Virtual Directory）の管理者に使いやすい管理ツールを提供します（新

規ユーザーを作成するためのDeployment Accelerator、Oracle Internet Directoryのサイジングとチュー

ニング、LDAPレプリケーションの設定および構成のためのツールを含む）。強化された診断機能（す

べてのOracle Fusion Middlewareコンポーネントに組込み済み）により、ディレクトリ操作に割り当て

られているExecution Context Identifier（ECID）を利用できます。これにより、管理者は失敗したユー

ザー・ログインなどの操作を環境全体（WebサーバーからOracle Internet Directory、最終的にはデー

タベースまで）で追跡できます。

統合された管理と監視：Oracle Internet Directory 11g Release 1 の管理機能と監視機能は、次の 2 つの

補完的なコンポーネントに整備されています。Oracle Enterprise Manager 11g Fusion Middleware ControlとOracle Directory Services Manager（ODSM、前述）。Oracle Enterprise Managerは、Oracle Internet Directoryの分散プロセスとホスト特性を含むプロセスのパフォーマンスの管理機能と監視機能に加

え、エンド・ツー・エンドのネットワーク層セキュリティ（SSL）構成、および監査管理機能を提供

します。Oracle Directory Services Managerでは、LDAPデータの参照、スキーマの作成と変更、およびディ

レクトリ・データのセキュリティ管理などの管理タスクがサポートされています。Oracle Business Intelligence Publisherは、監査レポートの生成に使用されます。多様なカスタマイズ可能な標準のレ

ポートも備えています。

Directory Integration Platform：Oracle Internet Directoryには、さまざまなサード・パーティのデータソー

スとOracle Internet Directory間のデータの同期化を可能にする一連のサービスであるDirectory Integration Platform（DIP）があります。さらに、DIPにより、Oracle Internet Directoryは、サード・パー

ティのメタディレクトリ・ソリューションとの相互運用が可能になります。DIPには、Oracle Human ResourcesやOracle Databaseと同期化するための標準のコネクタ、Sun Java System Directory Server、Microsoft Active DirectoryとActive Directory Lightweight Directory Services（LDS）、Novell eDirectory, OpenLDAP、および 11g Release 1 で新たにサポートされたIBM Tivoliなどのサード・パーティのLDAPサーバーと情報を同期化するためのコネクタがあります。DIPは、Oracle Enterprise Managerを使用し

て管理および監視します。ウィザードが、プロファイルの作成およびサード・パーティのディレク

トリとOracle Internet Directory間のグラフィカルな属性マッピングのプロセスをガイドしてくれます。

21


外部認証：Oracle Internet Directoryの外部認証機能により、Microsoft Active Directory、Sun Java System Directory Server、Novell eDirectory、およびOpenLDAPなどのサード・パーティのディレクトリに対す

るシームレスな認証が可能になります。多くの場合、外部認証機能により、機密性の高いパスワー

ド情報をOracle Internet Directoryに同期化させる必要がなくなります。

拡張性とクライアント側の開発：オラクルは、クライアントとOracle Internet Directoryの機能の統合

に、Java、C、C++、およびPL/SQLを使用するアプリケーション開発者向けにOracle Internet Directory SDKを提供しています。

Database Enterprise User Security（EUS）のサポート：Oracle Database Advanced Securityの一部である

EUSとOracle Internet Directory（またはOracle Virtual Directory）を組み合わせることで、Oracle Databaseのエンタープライズ・ユーザー・セキュリティ戦略の中核が形成されます。詳しくは、後述のOracle Identity ManagementおよびOracle Databaseの項を参照してください。

オペレーティング・システムの認証サービス：この機能はOracle Internet Directoryを利用して、企業

がUnixとLinuxの認証、ユーザー・アカウント、sudo認可ポリシーを一元管理し、サーバー・プラッ

トフォーム間に企業規模の強力なパスワードを実施できるようにします。オペレーティング・シス

テムの認証サービス機能では、Oracle Internet Directoryに加え、Pluggable Authentication Modules（PAM）

を使用します。PAMは、ほとんどのUnixおよびLinuxディストリビューションで利用可能な標準のオ

ペレーティング・システム・モジュールであり、外部化された認証、およびPAMコンポーネントと

Oracle Internet Directoryコンポーネントの両方を設定する自動化ツールをサポートし、ユーザーの移

行を簡素化し、ネットワーク・エンドポイント間の強力なデフォルトのセキュリティを実施するよ

うに設計されています。

Oracle Virtual Directory

企業が直面している ID 管理の課題の 1 つは、ID データ用の単一ソースの欠如、およびディレクトリ

やデータベースを含む ID ストアの増加にあります。企業は、従業員の情報を人事管理データベース

や Microsoft Active Directory などのさまざまなリポジトリに保存し、顧客やパートナーのデータをカ

スタマー・リレーションシップの管理システム、および追加の LDAP ディレクトリに保存していま

す。

Oracle Virtual Directory は、データのコピーやデータの同期化をおこなうことなく、リアルタイムで

ID の集約と変換を提供するように設計されています。

Oracle Virtual Directory は、基礎をなすデータ・インフラストラクチャの複雑さを表面化することな

く、保存場所を問わず ID データにアクセスするための単一の標準インタフェースを提供します

（Oracle Virtual Directory は情報を保存しません。この役割は、保存に使用される永続システム（Oracle Internet Directory など）が行います）。

Oracle Virtual Directory では、アプリケーションが、データのコピーを実行することなく、信頼でき

る既存の ID データソースにアクセスできるため、アプリケーション固有のユーザー・ストアおよび

データの同期化の必要性が減ります。そのため、ユーザーとリソースのプロビジョニングが簡素化

され、アプリケーションを迅速に配置できます。

Oracle Virtual Directory には、次の 2 つの主要なコンポーネントがあります。アプリケーションの接

続先である Oracle Virtual Directory Server、および、サーバー設定用の Web ベースの管理ユーザー・

インタフェースである Oracle Directory Services Manager（ODSM）。Oracle Directory Services Managerは、前述のように Oracle Internet Directory でも使用されます。

22


Oracle Virtual Directory の機能レイヤーは以下のとおりです。

ID用の単一のインタフェース：Oracle Virtual Directoryには、分割プロファイルをサポートできる結合

アダプタがあります。分割プロファイルでは、ユーザーIDデータが 2 つ以上のソースに分割されて

います。例えば、ユーザーのID情報はデータベース、LDAPサーバー、およびWebサービスにばらば

らに格納されていますが、アプリケーションは、そのID情報を単一のエントリとして処理する必要

があるとします。その際に結合アダプタは、結合ルール（SQLの結合条件に類似）を使用して、デー

タを 1 件の"スーパーエントリ"に仮想的にリンクし、単一エントリとして処理できるようにします。

非LDAPデータ用のLDAPインタフェース：本書で説明しているさまざまなOracle Identity Managementコンポーネントを含む多くのアプリケーションとOracle Databaseは、LDAPを使用してID情報にアク

セスします。そのため、データベースやWebサービスのデータを利用するには、LDAPインタフェー

ス経由でデータにアクセスできる必要があります。Oracle Virtual Directoryに含まれるアダプタを使用

することで、LDAP対応のアプリケーションは、データをほかのLDAPサーバーにコピーすることな

く、データベースやWebサービスのデータを直接利用できます。たとえば、Oracle Virtual Directoryは、Oracle PeopleSoftのデータやOracle Siebel Universal Customer Master（UCM）のデータをアプリケー

ションのアクセス用にLDAPとして公開できます。

データ変換およびアプリケーション固有のビュー：Oracle Virtual Directoryは、データを仮想的に統合

するだけでなく、データの変換（たとえば、ORCLをOracleに変換する）を実行することも、アプリ

ケーション固有のビューを提供することもできます。これらの変換の多くは、構成作業によって可

能になります。また、Oracle Virtual DirectoryのJavaプラグインAPIを使用して、企業固有のビジネス・

ロジックに対応した変換をおこなえます。Oracle Virtual Directoryはステートレスで、データ変換をサ

ポートしているため、アプリケーション固有のデータのビューを作成できます。つまり、同じOracle Virtual Directoryサーバーにアクセスする異なるアプリケーションすべてが、完全に異なるデータ・ス

キーマ、構造体、属性名や属性値にアクセスしているように見えます。

強化されたユーザビリティ：前述のように、Oracle Virtual Directory 11g Release 1 は、強化されたユー

ザビリティを管理者に提供するOracle Directory Services Manager（ODSM）を活用します。

企業のスケーラビリティ、可用性、および管理性：Oracle Virtual Directoryでは、名前やユーザーIDの範囲に基づき、さまざまなソースにリクエストをルーティングできます。また、Oracle Virtual Directoryは、Oracle TimesTenやOracle Coherenceなどの追加のOracleテクノロジーを活用して、待機時

間を短縮したり、スケーラビリティを向上したりできます。Oracle Virtual Directoryは、アプリケーショ

ン要件に応じて一元的に配置、または地理的に分散させて配置できます。Oracle Virtual Directoryの可

用性を高めるもっとも簡単な方法は、複数のノードを追加してから、ラウンドロビンDNSまたはロー

ドバランサを使用してリクエストを適切にルーティングする方法です。

データベースのアカウントおよびロール管理の一元化：Oracle Databaseでは、エンタープライズ・ディ

レクトリへのアカウントおよびロールの一元化がサポートされています。データベースはOracle Virtual Directoryを使用して、アカウントやロールをサード・パーティのLDAPディレクトリに保存で

きます。これにより、ユーザーが覚える必要があるパスワード数が減り、個々のデータベースを更

新するプロビジョニング製品を使用する必要がなくなります。したがって、既存のIDデータを複数

のリポジトリへコピーしようとすることで生じる潜在的な問題が解消され、データベースおよびア

カウント・セキュリティの利点を最大限に活用できます。

23


Oracle Platform Security Services

Oracle Identity Management 11g Release 1 の主要な利点と差別化要因の 1 つは、Oracle Platform Security Services（この項で説明）およびIdentity Governance Framework and ArisID（次の項を参照）によって

提供される強化されたアプリケーション開発のサポートです。

企業は、開発プロセスの一環としてセキュリティを含める必要性を理解していますが、多層 Web ア

プリケーションのさまざまな層へのセキュリティの実装に課題をかかえています。Oracle Platform Security Services（OPSS）は、企業の製品開発チーム、システム・インテグレーター、独立系のソフ

トウェア・ベンダーに、Java SE（Java Platform, Standard Edition）のアプリケーションと Java EE（Java Platform, Enterprise Edition）のアプリケーション向けの、標準ベースかつポータブルなエンタープラ

イズ・グレードの統合セキュリティ・フレームワークを提供します。

Oracle Platform Security Services は、標準ベースのアプリケーション・プログラミング・インタフェー

ス（API）の形式で抽象化レイヤーを提供することで、アプリケーション開発に直接関係のない複雑

なタスクから開発者を解放します。Oracle Platform Security Services によって、自社開発アプリケー

ション、サード・パーティのアプリケーション、および統合アプリケーションが、同一かつ均一の

セキュリティ、ID 管理、および監査サービスを企業全体で利用できます。

Oracle Platform Security Servicesは、Oracle Fusion Middlewareのセキュリティ基盤です。すべてのOracle Fusion Middleware 11g コンポーネントと Oracle Fusion Applications は、Oracle Platform Security Servicesのサービスを"使用"します。

図 12：Oracle Platform Security Services

Oracle Platform Security Services は、Oracle WebLogic Server 上で稼働する自己完結型のポータブルな

フレームワークです。開発時には、ウィザードを使用して、開発環境（Oracle JDeveloper）から Oracle Platform Security Services のサービスを直接呼び出すことができます。実行環境にアプリケーションを配

置する場合、システム管理者とセキュリティ管理者は、Oracle Enterprise Manager Fusion Middleware Control またはコマンドライン・ツールを使用して Oracle Platform Security Services サービスにアクセ

スし、設定をおこなうことができます。

24


Oracle Platform Security Services は、以下の標準に準拠しています。Role-Based-Access-control（RBAC、ロールベースのアクセス制御）、Java Platform, Enterprise Edition（Java EE）、Java Authorization and Authentication Services（JAAS）、および Java Authorization Contract for Containers（JACC）。

Oracle Platform Security Services には、Oracle Entitlements Server などの BEA 継承製品で使用される

Oracle WebLogic Server の内部セキュリティ・サービスが含まれています。それらのサービスは、Oracle Platform Security Services の一部となっている Security Services Provider Interface（SSPI）で使用されま

す。また、Oracle Platform Security Services には、Oracle Fusion Middleware のセキュリティ・フレーム

ワーク（旧 Java Platform Security（JPS）または JAZN）があります。

• SSPI は、権限ベースの（JACC）モード、およびリソース・ベースの（非 JACC）モードで Java EEコンテナ・セキュリティを提供します。また、環境に対するリソース・ベースの認可を提供しま

す。したがって、顧客はそれぞれのセキュリティ・モデルを選択できます。SSPI は、カスタム認

証や特定のロール・マッピングなど、複数タイプのセキュリティ・サービスのサポートを目的と

して、プラガブルなセキュリティ・プロバイダを実装するために設計されている一連の API です。

• JPS は最初、XML ベースのプロバイダおよび Oracle Internet Directory プロバイダと連携して動作

する JAAS 準拠の認証および認可サービスとして、Oracle Application Server 9.0.4 とともにリリー

スされました。11g Release 1 では、JPS は拡張されており、以下のサービス（この項で後述）が

含まれています。Credential Store Framework（CSF）、User and Role API、Oracle Fusion Middleware Audit Framework、および JDeveloper/ADF の統合（アプリケーション・セキュリティのライフ・

サイクルのサポート）。

Oracle Platform Security Services には、Oracle Security Developer Tools（OSDT）も含まれています。Oracle Security Developer Tools は、XML Signature、XML Encryption、XML Key Management Specification（XKMS）、SAML、WS-Security、およびそのほかの非 XML 標準（Secure/Multipurpose Internet Mail Extensions（S/MIME）および Online Certificate Status Protocol（OCSP）など）をサポートする一連の

Java ベースの暗号化ライブラリです。

Oracle Security Developer Tools は、Oracle Applications や Oracle Fusion Middleware のコンポーネント

をはじめとした多くのオラクル製品で使用されています。Oracle Platform Security Services では、SSLの構成や Oracle Wallet（Oracle Identity Management 製品、Oracle Enterprise Manager、および Oracle Database で使用）に Oracle Security Developer Tools を利用します。

Oracle Platform Security Services は、（1）WebLogic Server の内部セキュリティおよび SSPI を使用す

るアプリケーション（Oracle Entitlements Server および Oracle Access Manager など）、および（2）JPSを使用するアプリケーション（Oracle ADF、Oracle WebCenter、Oracle SOA、および Oracle Web Services Manager など）のための標準サポートを提供します。

開発者は Oracle Platform Security Services API を使用して、すべてのタイプのアプリケーションのセ

キュリティ機能を作成し、そのセキュリティ機能をそのほかのセキュリティ・アーチファクト（LDAPサーバー、データベース・システム、およびカスタムのセキュリティ・コンポーネントなど）と統

合できます。管理者は Oracle Platform Security Services を使用して、小さくて均一なツールのセット

を使用して大規模なエンタープライズ・アプリケーションを配置し、それらのアプリケーションの

すべてのセキュリティを管理できます。Oracle Platform Security Services では、アプリケーション・コー

ドを変更せずにセキュリティ設定を変更できるため、アプリケーションのセキュリティの維持が簡

素化されます。

25


26


（Cert ルックアップと Val→証明書検索と検証）

図 13：Oracle Platform Security Services のアーキテクチャ

Oracle Platform Security Services の機能レイヤーは以下のとおりです。

認証：Oracle Platform Security Servicesは、WebLogic Server認証プロバイダ、ユーザー名とパスワードの

組合せまたはデジタル証明書に基づき、ユーザーの証明書またはシステム・プロセスを検証するコ

ンポーネントを使用します。認証プロバイダには、エンタープライズ・アプリケーションのデータを

ホストするDefault Authenticator、外部LDAPストア、およびデータベース・システムがあります。

IDアサーション：WebLogic Identity Assertionプロバイダでは、X.509 証明書、SPNEGOトークン、SAMLアサーション、およびCORBA Common Secure Interoperabilityバージョン 2（CSIv2）IDアサーション

を使用した証明書の認証がサポートされています。

シングル・サインオン（SSO）：認証プロバイダは、さまざまなタイプのシステムを使用してセキュ

リティ・データを保存できます。WebLogic Serverがインストールする認証プロバイダは、内蔵のLDAPサーバーを使用します。Oracle Fusion Middleware 11gでは、Oracle Access Managerを使用した境界認

証とSSOもサポートされています。Oracle Access ManagerなどのエンタープライズSSOソリューショ

ンと統合する必要がない小規模な環境の場合は、WebLogic ServerのSAML Credential Mapping Providerを使用するSAMLベースのソリューションによる軽量SSOが提供されます。

認可：Oracle Platform Security Servicesは、コード・ベースおよびサブジェクト・ベースの認可をサポー

トするJavaポリシー・プロバイダを提供します。

注：サブジェクトとは、名前（"John Doe"）、電子メール・アドレス（"[email protected]"）などのプリンシパルのコレクションを含め、関連するセキュ

リティ情報と、オプションでパスワードや暗号化キーなどのセキュリティ関連属性（証明書）をグループ化したものです。Javaクラス、javax.

security.auth.Subjectはサブジェクトを表します。このクラスのインスタンスは、認証成功時に作成され、プリンシパルとともに移入されます。

Oracle Platform Security Services認証プロバイダを使用すると、1 つのドメインにある複数のコンポーネント間にサブジェクトを介してIDを伝播でき

ます（Oracle Identity Management 11g Release 1 コンポーネントの統合の項を参照）。

Oracle Platform Security Services では、アプリケーション・ロール（特定のアプリケーションに固有の

論理ロール）がサポートされています。Java EE の論理ロールとは異なり、Oracle Platform Security Services ではロールの階層がサポートされています。Oracle Platform Security Services には、リソース・

27

mailto:[email protected]


タイプ（ADF タスク・フローなど）の要素を含む高度なポリシー・モデル、およびエンタイトルメ

ントのセット（特定のリソース・インスタンスに対する認可アクション）もあり、複雑な認可ポリ

シーを簡単に定義して管理できます。Oracle Enterprise Manager Fusion Middleware Control、または

WebLogic Scripting Tool（WLST）を使用することで、管理者はアプリケーションの認可ポリシーを

管理できます（エンタープライズ・グループやユーザーへのアプリケーション・ロールのマッピン

グ、またはアプリケーション・ロールに付与されている権限の編集など）。Oracle Platform Security Services には、認可ポリシーをプログラム的に制御できるポリシー管理 API もあります。

ユーザーおよびロール：Oracle Platform Security ServicesのUser and Role APIフレームワークを使用す

ると、アプリケーションが、基礎をなす特定のIDリポジトリに関係なく、均一のポータブルな方法

でID情報（ユーザーおよびロール）にアクセスできます。User and Role APIにより、アプリケーショ

ン開発者は特定のIDリソースの複雑さを考慮する必要がなくなります。

ロール・マッピング：Oracle Platform Security Servicesでは、ドメインのポリシー・ストア内における

エンタープライズ・グループへのアプリケーション・ロールのマッピングがサポートされています。

採用されているドメイン・ポリシー・リポジトリの種類（ファイル・ベースまたはLDAPベース）は

問われません。このメカニズムにより、エンタープライズ・グループのユーザーは、アプリケーショ

ン・ロールで指定されているアプリケーション・リソースにアクセスできます。

セキュリティ・ストア：Identity Storeは、エンタープライズ・ユーザーとグループのリポジトリです。

Policy Storeは、アプリケーション・ポリシーとシステム・ポリシーのリポジトリです。Credential Storeは、ドメインの資格証明のリポジトリです。資格証明は、プリンシパルをサブジェクトに移入する

場合の認証時、およびそのサブジェクトが実行できるアクションを決定する場合の認可時に使用さ

れます。Oracle Platform Security Servicesには、アプリケーションが資格証明を安全に作成、読取り、

更新、および管理するために使用できる一連のAPIであるCredential Store Framework（CSF）がありま

す。Oracle Platform Security Servicesは、1 つの論理ストアを使用して、ポリシーと資格証明の両方を

保持します。Oracle Platform Security Servicesのセキュリティ・ストアは、Oracle Virtual Directoryを使

用して仮想化されています。

監査：Oracle Platform Security Servicesは、Oracle Fusion Middleware製品に共通の監査フレームワーク

を提供します。Oracle Platform Security Servicesを使用している顧客は、監査関連のコードを 1 行も記

述せずに、監査対応に対するメリットを受けられます。Oracle Fusion Middlewareの監査フレームワー

クは、カスタマイズ可能な標準の分析レポート機能をOracle Business Intelligence Publisherに提供しま

す。データは、複数のコンポーネントにまたがる複数のディメンション（Execution Context Identifier（ECID）またはユーザーIDなど）で分析できます。

アプリケーションのライフ・サイクル・サポート：Oracle Platform Security Servicesは、アプリケーショ

ンのライフ・サイクルのすべての段階でサポートされます。Oracle Platform Security ServicesはOracle JDeveloperと統合されており、アプリケーション設計者は、Oracle ADFのタスク・フローを作成する

ときにアプリケーションにセキュリティを組み込むことができます。Oracle JDeveloperには、開発者

がコードを 1 行も記述せずに、Oracle ADFのタスク・フローとページの認可ポリシーを作成できる認

可エディタもあります。一般的に、開発者は、Oracle JDeveloperに組込まれているWebLogic Serverのドメインに自分のアプリケーションを配置します。その後、開発者は、Oracle Enterprise Manager Fusion Middleware Control（Oracle FMWControl）を使用して、リモートWebLogic Serverのドメインにアプリ

ケーションを配置できます。Oracle Platform Security Servicesは、Oracle Fusion Middleware Controlと統

合されているため、アプリケーションの配置中にアプリケーションのセキュリティ・ポリシーと資

格証明の移行を設定できます。配置後、管理者は、Oracle Fusion Middlware Controlを使用してアプリ

ケーションのセキュリティ・ポリシーを管理します（認可ポリシーの編集または監査ポリシーの変

更など）。このような変更はすべてアプリケーションに対して透過的であり、アプリケーション･コー

ドを変更する必要はありません。

28


重要なアプリケーションのシナリオでは、通常、アプリケーションは開発環境からステージング（ま

たはテスト）環境に移行されてから、完全な本番環境に配置されます。Oracle Platform Security Servicesは、セキュリティ・ポリシーをテスト・ドメインから本番ドメインに移す移行ツールを提供するこ

とで、このモデルをサポートしています。たとえば、テスト・ドメインに設定されている監査ポリ

シーをターゲットの本番ドメインにエクスポートできます。

Identity Governance Framework and ArisID

前述のように、Oracle Platform Security ServicesはそのUser and Role APIを活用して、IDを管理するた

めの簡単な方法を開発者に提供します。しかし、開発者には、User and Role APIをビジネス・オブジェ

クトにマッピングしたい場合があります。この開発プロセスを簡素化するために、オラクルは、現

在、Liberty Alliance（www.projectliberty.org）によって進められているIdentity Governance Framework（IGF）プロジェクトを立ち上げました。

IGF は、ID 関連情報（属性やエンタイトルメントなど）を使用、保存、およびアプリケーション間

で伝播する方法を企業が制御しやすくするために設計されています。

IGF により、アプリケーション開発者は、さまざまなソースの ID 関連のデータにアクセスするアプ

リケーションを作成できます。また、管理者と導入担当者は、ID 関連データの使用に関するポリシー

を定義、実施、および監査できます。

IGF の機能レイヤーは以下のとおりです。

• Client Attributes Markup Language（CARML）：開発プロセス中に開発者が作成する仕様です。

CARMLでは、アプリケーションが稼動時に使用する必須の属性とオプションの属性、操作、お

よびインデックスを指定します（アプリケーションにとってのCARMLは、Webサービスにとっ

てのWSDLと同じです）。アプリケーション開発者は、CARML APIを使用して、アプリケーショ

ンに必要な属性データおよびアプリケーションをサポートするために必要な操作の両方を宣言

します（CARML APIは、SAMLプロトコルとSOAPベースのプロトコルを使用して、属性サービ

スと通信します）。

• Attribute Authority Policy Markup Language（AAPML）：Extensible Access Control Markup Language（XACML）プロファイルは、属性機関が、管理下にあるどの情報をそのほかのアプリケーション

で使用（および変更）可能にするかについての条件を指定できるように設計されています。

• 属性サービス：CARMLドキュメントに指定されているアプリケーションで要求されるデータ要

件を満たす 1 つ以上の属性機関の"ビュー"を設定するために、CARMLファイルを読み取るWebサービスです。

11g Release 1 における、IGF プロジェクトの最初の成果は、ArisID Identity Beans です。ArisID は、開

発者が単一の API を使用して ID 情報にアクセスするために設計されています。ArisID を使用すると、

異なるプロトコルを使用してアクセスされるさまざまなタイプのリポジトリに保存されている ID情

報にアクセスして管理できます。ArisID は、IGF の仕様を実装します。具体的には、開発者が企業の

ID サービスと相互接続する機能を維持しながら、独自の仮想 ID データベースを作成できるようにし

ます。

29

http://www.projectliberty.org/


ArisIDは、プロバイダに依存する宣言型の多機能APIを使用して、データのマッピング、プロトコル

の変換、および接続をおこないます。Oracle Virtual Directory Provider for ArisIDは、ArisIDプロバイダ

の一例です。Oracle Virtual Directory Provider for ArisIDは、Oracle Virtual DirectoryがArisID APIを使用

するアプリケーションにIDサービスを提供できるようにするライブラリです。このように、Oracle Virtual DirectoryとOracle Virtual Directory Provider library for ArisID、およびArisID APIライブラリによ

る完全なライブラリのセットが構成されます。アプリケーションは、このライブラリのセットを使

用して、IDサービスにアクセスできます。www.oracle.com/technology/tech/standards/idm/igf/ arisid/index.htmlにアクセスして、ArisIDの開発者のプレビューをダウンロードしてください。

Oracle Management Pack for Identity Management

Oracle Management Pack for Identity Management は、設定管理、パフォーマンス管理、およびサービス・

レベルの管理に Oracle Enterprise Manager の広範な機能を利用して、Oracle Access Manager、Oracle Identity Manager、および Oracle Identity Federation 10g の各環境をエンド・ツー・エンドで制御します。

Oracle Management Pack for Identity Management の次のリリースでは、さらに Oracle Fusion Middleware Control 11g Release 1 も活用して、Oracle Identity Management 11g Release 1 に対しての監視機能が提供

されます。

Oracle Identity Management 11g Release 1 のコンポーネントのリリース表

本書の前半で説明したように、Oracle Identity Management 11g Release 1 のおもな特徴の 1つは、スイー

トを構成するさまざまなコンポーネント間のリリース同期を最適化する機能です。以下の表は、こ

の方向における最初の重要なステップを示しています。また、Oracle Identity Management 11g Release 1 を構成する各コンポーネントのリリース番号がまとめられています。

コンポーネントの説明コンポーネントのリリース番号

Oracle Identity Manager 9.1.0.2.0

Oracle Role Manager 10.1.4.2.0

Oracle Access Manager 10.1.4.3.0

Oracle Web Services Manager 11.1.1.1.0

Oracle Information Rights Management 10.1.3.5.0

Oracle Identity Federation 11.1.1.1.0

Oracle Enterprise Single Sign-On 10.1.4.0.0

Oracle Entitlements Server 10.1.4.3.0

30

http://www.oracle.com/technology/tech/standards/idm/igf/arisid/index.html

http://www.oracle.com/technology/tech/standards/idm/igf/arisid/index.html


Oracle Adaptive Access Manager 10.1.4.5.0

Oracle Internet Directory 11.1.1.1.0

Oracle Virtual Directory 11.1.1.1.0

Oracle Platform Security Services 11.1.1.1.0

Oracle Identity Governance Framework and ArisID 11.1.1.1.0

Oracle Management Pack for Identity Management 10.2.0.5.0

Oracle Identity Management 11g Release 1 のコンポーネントの統合

この項では、Web トランザクション間に統合されたセキュリティを提供するために、Oracle Identity Management のさまざまなコンポーネントがどのように連携する（サード・パーティ環境との連携も

含む）かについて説明します。

Oracle Identity Manager と Oracle Role Manager の統合

Oracle Identity ManagerとOracle Role Managerは互いに補完することで、ロールに基づいたプロビジョ

ニング･イベントが発生するようにします。Oracle Identity Manager は、エンド・ツー・エンドの ID管理とプロビジョニングを主に扱い、Oracle Role Manager は、ロールのライフ・サイクル管理を中心

に扱います。

図 14：Oracle Identity Manager と Oracle Role Manager の統合

Oracle Identity Manager は、ロールとリレーションシップ・データを含むユーザー属性を Oracle Role Manager から抽出します。包括的且つタイムスタンプ付きの監査証跡が、すべてのユーザー・プロビ

ジョニング・アクティビティで維持されます。このシームレスな統合では、ロール･メンバーシップ

とポリシーを使用して、情報、アプリケーション、およびシステムへのユーザー・アクセスが自動

化されて実施されます。Oracle Identity Manager と Oracle Role Manager は連携して、ID 管理のための

エンタープライズ RBAC ソリューションを提供します。

1. Oracle Identity Manager が、ID ソース（エンタープライズ・アプリケーション、ディレクトリな

ど）から情報を取得し、新規ユーザーまたは ID を作成します。Oracle Identity Manager は、エン

31


タイトルメント・データもリソース（LDAP、Microsoft AD など）から取得します。

2. Oracle Identity ManagerとOracle Role Managerの両方にインストールされている統合ライブラリは、

ユーザーの情報をエンタイトルメント・データとともに Oracle Identity Manager から Oracle Role Manager に転送します。

3. ロール・エンジニアが Oracle Role Manager にエンタープライズ・ロール（ビジネス・ロールや ITロールなど）を作成します。それらのロール・エンジニアは、Oracle Identity Manager から得たユー

ザーおよびエンタイトルメント・データを使用して、ユーザーおよびエンタイトルメントをロー

ルに割り当てます。Oracle Role Manager が、ロール・メンバーシップに基づいて、どのユーザー

がどのエンタイトルメントを取得するかについての判断を行います。次に、このロール情報が統

合ライブラリ経由で Oracle Identity Manager に送信され、"誰が何をもつべきか"というメッセージ

が伝達されます。

4. Oracle Identity Manager が Oracle Role Manager からエンタープライズ・ロール情報を取得し、ロー

ル・メンバーシップ情報に基づきユーザー・アクセスのプロビジョニングまたはプロビジョニン

グ解除を開始します。

Oracle Role Manager でロール・イベントが発生すると、それらのロールの変更は統合ライブラリ経由

で Oracle Identity Manager に送信されます。この統合により、プロビジョニング・イベントがロール

に基づいたものであることが保証され、ID 管理の配置のためのエンド・ツー・エンドの RBAC ソ

リューションが提供されます。

Oracle Identity Manager とサード・パーティ環境の統合

Oracle Identity Managerの項で説明したように、Oracle Identity Managerは、豊富なプロビジョニング・

コネクタをターゲット・アプリケーション用に提供します。また、Oracle Identity Manageは、業界標

準のService Provisioning Markup Language（SPML）を実装することで、組織がカスタム・コネクタを

使用することなく、リソースへのユーザー・アカウントを提供できるようにし、異機種環境間の迅

速な統合を可能にします。

SPML では、基本的に Provisioning Services Objects（PSO）の相互運用可能な管理を定義します。PSOはターゲット・リソースの情報を表します。たとえば、プロバイダはそのプロバイダが管理する各

アカウントをオブジェクトとして表します。

図 15：Oracle Identity Manager の SPML のサポート

図 15 に示されているように、Requesting Authority（RA）は SPML リクエスト（ユーザーの作成、ロール

の割当てなど）を Oracle Identity Management などの Provisioning Service Provider（PSP）に発行します。

Oracle Identity Manager は、SPML リクエストを受け付け、それらのリクエストを処理します。

Provisioning Service Target（PST）は、PSP から受け取った SPML リクエストを使用します。

認証、ID アサーション、認可の統合

図 16 に示されているように、Oracle Identity Federation、Oracle Access Manager、Oracle Adaptive Access

32


Manager、および Oracle Entitlements Server は、Web 層、アプリケーション層、およびデータ層間で

連携して動作します。

ID アサーションは、Oracle Identity Management 11g Release 1 の新機能である Oracle Access Managerと WebLogic Server の統合に直接依存しています。ID アサーションは、WebLogic Server によって提

供されています。

図 16：認証、ID アサーション、認可の統合

Oracle Access Manager と Oracle Identity Federation の統合

1. ユーザーが保護リソースへのアクセスをリクエストします。Oracle Identity Federation がリクエス

トを検知して、認証のために Oracle Access Manager にリダイレクトします。

2. Oracle Access Manager がユーザーに資格証明を要求します。

3. 認証に成功すると、Oracle Access Manager が SSO Cookie を設定し、認証された ID をフェデレー

ション・サービス（Oracle Identity Federation）にアサートします。

4. Oracle Identity FederationがOracle Access Managerから提供される情報に基づき認証チケット（SAMLアサーション）を生成し、署名付きの暗号化された SAML アサーションをサービス・プロバイダ

に送信します。

5. サービス・プロバイダで、Oracle Identity Federation（または、そのほかの SAML 準拠のセキュリ

ティ・システム）が、手順 4 で生成された SAML アサーションを使用し、ローカルでユーザーを

認証して、そのユーザーをターゲット・リソースにリダイレクトします。

33


Oracle Access Manager と Oracle Web Services Manager の統合

1. ユーザーが保護ポータル・リソースへのアクセスをリクエストします。Oracle Access Manager がリクエストを検知して、ユーザーに資格証明を求めます。

2. 認証に成功すると、Oracle Access Manager が SSO Cookie を設定し、認証された ID をポータル・

アプリケーションにアサートします。

3. ポータル・アプリケーションが元の要求者の代わりに、Web サービス・リクエスト（SOAP）を

リモートの Web サービスに送信します。

4. そのリクエストがポータルから送信される前に、Oracle Web Services Manager クライアントが再

度そのリクエストを検知します。Oracle Web Services Manager クライアント・エージェントが、

Oracle Access Manager から提供されたアサート済みの ID 情報に基づき、必要なセキュリティ情

報（署名付きの SAML アサーションまたは単純なユーザー名とパスワードのトークンなど）を

SOAP メッセージのヘッダーに挿入します。

5. Oracle Web Services Manager クライアント・エージェントが SOAP リクエストをリモートの Webサービスに送信します。

6. リモートの Web サービス・サイトで、Oracle Web Services Manager サーバー・エージェントまた

は Web サービス標準に準拠したセキュリティ・システムが受信メッセージを傍受し、SOAP メッ

セージのヘッダーにある標準ベースのセキュリティ情報を使用してリモートの Web サービスへ

の認可アクセスを有効にします。

Oracle Access Manager と Oracle Entitlements Server の統合

1. ユーザーが保護Webリソースにアクセスします。Oracle Access Managerがリクエストを検知して、

ユーザーに資格証明を求めます。

2. ユーザーの認証に成功すると、Oracle Access Manager がセッション Cookie を設定し、ユーザーに

リクエストしたリソースへのアクセスを許可します。

3. Oracle Access Managerが認証したユーザーの IDをアサートして、認可リクエストをOracle Entitlements Server に渡します。

4. Oracle Entitlements Server が信頼できるサブジェクト、リソース・リクエスト、およびセキュリ

ティ・コンテキストに関する情報を取得して、動的なロール評価を実行します。

5. Oracle Entitlements Server がサブジェクトとロールに対するアプリケーションの認可ポリシーを

チェックし、ファイングレイン・リソース・アクセスを実施します。

Oracle Entitlements Server と Oracle Web Services Manager の統合

Oracle Entitlements Server が Oracle Web Services Manager にファイングレイン（詳細な）・エンタイト

ルメント機能を提供します。Web サービスは、サービス自体に送信されているメッセージの内容に基

づき特定のタイプのユーザーが選択的に使用できます。例として、経費の承認サービスについて考え

てみます。悪い従業員が、サービスを不正利用し、バックエンド・サービスを起動して偽の経費レ

ポートの承認を得ようとするかもしれません。サービス・ゲートウェイ内のエンタイトルメントは、

メッセージ構造の内部を検証してこの不正を検出し、コンテキスト情報を使用してアクセスを拒否

できます。

34


たとえば、経費レポート ID がユーザーの承認待ちレポートのリストに含まれている場合、そのユー

ザーに対する承認サービスが拒否されるようにポリシーを定義できます。

Oracle Web Services Managerは、ユーザーのIDとコンテキスト・パラメーターを渡すことで、サービ

スのアクセス決定をOracle Entitlements Serverに委任できます。コンテキスト・パラメーターでは、エ

ンタイトルメントの決定をくだすときにメッセージ自体からデータをアンパックする方法をOracle Entitlements Serverに伝えます。次に、Oracle Entitlements Serverがメッセージ情報および独自のポリ

シーを考慮し、許可または拒否のレスポンスをOracle Web Services Managerに戻します。その後、Oracle Web Services Managerはその決定を実施できます。

Oracle Identity Management とオラクルのそのほかのテクノロジー

Oracle Identity Management は、オラクルのさまざまなテクノロジーと補完的な関係にあります。以下

の各項では、Oracle Identity Management と Oracle Information Rights Management、Oracle GRC（ガバ

ナンス、リスク、コンプライアンス）プラットフォーム、および Oracle Database との統合方法につ

いて説明します。

Oracle Identity Management と Oracle Information Rights Management

Oracle Identity Management は、おもにアプリケーション・コンテナ（Web ポータル、Web サーバー、

アプリケーション・サーバー）、およびファイル・システムとデータベース・システムで稼働する

アプリケーション・セントリックなプラットフォームです。一般的に、Oracle Internet Directory など

のユーザー・ディレクトリは、ID 管理の中心となる"エンジン・ルーム"です。たとえば、各アプリ

ケーションに"Sales"のメンバーとして"John Doe"を登録する場合、John Doe のロール（販売員）およ

びエンタイトルメント（特定のアプリケーションに対して彼が実行できるアクション）に基づき、

すべてのアプリケーションで登録するのではなく、一箇所登録するのみで、彼がアクセスできるす

べてのアプリケーションを定義できます。

また、John Doe は仕事中に、スプレッドシートやプレゼンテーションなどのドキュメントの作成、

読取り、または変更を実行します。これらのドキュメントのコピーは、1 つまたは複数の場所に保管

され、企業のファイアウォールの内外にいる多くの人々に配布されることがあります。

その結果、ID およびアクセス管理ソリューションでは、アプリケーションへのアクセス保護に加え、

従業員、パートナー、および企業の顧客が生成するコンテンツを保護できる必要があります。つま

り、ID およびアクセス管理ソリューションは、アプリケーション・セントリックであることに加え、

インフォメーション・セントリックである必要もあります。インフォメーション・セントリックで

ある要件は、Oracle Information Rights Management（Oracle IRM）によって満たされます。

図 17 に示されているように、Oracle IRM は Oracle Identity Management によって提供されるセキュリ

ティの範囲を拡大します。

ドキュメントおよび電子メールは、ファイル・システム・フォルダ、電子メールの受信トレイ、コ

ンテンツの管理システム、およびコラボレーション・ワークスペースなどのアクセス制御されたリ

ポジトリに"保持"されますが、それらのドキュメントのコピーは、数千のデスクトップ、ラップトッ

プ、およびモバイル・デバイスでの"作業"のために毎日配布されます。オンラインで検索したファイ

ルをクリックする単純なアクションにより、そのファイルのコピーがユーザーのデスクトップにダ

ウンロードされることになり、デスクトップからは、簡単には追跡できない方法でどこにでもファ

イルのコピーを再配布できます。

35


Oracle IRM は、情報を直接保護します。Oracle IRM は、暗号化を使用してアクセス制御の単位を実

際のデジタル情報の単位（ドキュメント、電子メール、および Web ページなど）まで細分化します。

オラクルではデジタル・ドキュメントを保護するプロセスのことを"シーリング"と呼んでいます。

シーリングには以下のものが含まれます。

• 業界標準の暗号化（AES 256 など）でファイルをラップする。

• 改ざんを検出および防止するためにファイルの署名をデジタル化する。

• 復号鍵とアクセス権限が格納されていて、顧客が運用する Oracle IRM Server をポイント・バック

する暗号化された各ファイルに、改ざんできない URL ハイパーリンクを含める。

一般的な Oracle IRM のプロセスの流れは以下のとおりです。

• 作成者が自分のデスクトップまたはラップトップでドキュメントまたは電子メールを作成する。

• Windows のデスクトップに組み込まれているツールやサポートされているアプリケーションを

使用して、作成者がドキュメントを暗号化する。

• 作成者が電子メール、ファイル転送、インスタント・メッセージなどを使用して、暗号化された

ドキュメントを共有する。

• 受信者が作成者から送信されたドキュメントをクリックする。ファイルは暗号化されているため、

すべてのユーザーには暗号テキストとともに、このファイルにアクセスするには Oracle IRM Desktop をインストールする必要があることを示すプレーン・テキスト・ヘッダーが表示されま

す。すでに Oracle IRM Desktop をインストールしている場合（もっとも一般的なシナリオ）は、

ドキュメントの暗号は解除され、すぐに使用できます（つまり、受信者のエンタイトルメントに

基づき読取りまたは編集できます）。

図 17：Oracle Information Rights Management のプロセス

Oracle IRM は、Oracle Identity Management の以下のコンポーネントを活用します。

• Oracle Identity Manager：IRM ユーザーとエンタイトルメントを中央でプロビジョニングします。

• Oracle Virtual Directory：既存のエンタープライズ LDAP ディレクトリおよび非 LDAP ディレクト

リの IRM ユーザーとグループを同期化します。

36


• Oracle Enterprise Single Sign-On（Oracle eSSO）：デスクトップ・シングル・サインオン、および

強力な認証のための追加サポートを提供します。

Oracle Identity Management のアプリケーション・セントリックな指向と Oracle Information Rights Management のインフォメーション・セントリックなアプローチでお互いを補完しあうサービスは、

オラクル独自のサービスであり、競合企業との主要な差別化要因です。

Oracle Identity Management とエンタープライズ・ガバナンス

Oracle GRC（ガバナンス、リスク、コンプライアンス）プラットフォームは、ビジネス・インテリ

ジェンス、プロセス管理、および自動化制御の実施を統合して、持続可能なリスクおよびコンプラ

イアンス管理を可能にします。

Oracle Identity Management 11g Release 1 では、Oracle Identity Manager、Oracle Role Manager、および

Oracle Access Manager は、Oracle GRC のインフラストラクチャの制御を構成する複数の製品の一部

です。

図 18：Oracle GRC と Oracle Identity Management Synergy

職務分掌（SOD）は、内部統制の主要な原則であり、多くの場合、もっとも実現が難しく費用がか

かるものです。特に、エンタープライズ・リソース・プランニング・システム（ERP）、カスタマー・

リレーションシップ管理システム（CRM）、およびサプライ・チェーン管理システム（SCM）など

のクリティカルなビジネス・アプリケーションではその傾向にあります。Oracle GRC プラットフォー

ムの主要製品である Oracle Application Access Controls Governor を使用すると、エンタープライズ・

リソース・プランニング SOD ポリシーを管理、修正、および実施できます。

エンタープライズ・リソース・プランニングのロールと職責は、効率的に分離されるため、不正がお

こなわれるリスクを最小限に抑え、確実に規制を遵守できます。Oracle Application Access Controls Governor には、Oracle E-Business Suite および Oracle PeopleSoft アプリケーション用の現実的且つ最適

な SOD コントロールの包括的なライブラリもあります。また、そのほかのプラットフォーム（Oracle JD Edwards、Oracle Siebel、および Oracle Hyperion）、およびオラクル以外のエンタープライズ・リ

ソース・プランニング環境をサポートするために簡単に拡張できます。

37


Oracle Identity Manager は、Oracle E-Business Suite のロールと職責を Oracle E-Business に提供する前に

リアルタイムの SOD 検証を実行するために、Oracle Application Access Controls Governor と統合されま

す。

Oracle Identity Management と Oracle Database

オラクルの ID 管理サービスの主要な差別化要因の 1 つは、Oracle Database の機能である Enterprise User Security（EUS）と Oracle Virtual Directory を統合することで、顧客に優れた柔軟性と選択肢を提

供する能力にあります。組織は、Oracle Internet Directory、Microsoft Active Directory、および Sun Java System Directory Server などの既存のコーポレート・ディレクトリを使用して、データベース・ユー

ザーID を一元管理できます。

Oracle Virtual Directory と EUS の統合により、組織は仮想化機能を使用して、データを移行したり、

同期化したりせずに、さまざまな ID ストアにあるデータベース・ユーザーID とそれらの権限ロール

を管理できます。

多くの組織は、数百ではないとしても数十の Oracle データベースを所有しています。ユーザーは、

管理機能を使用するためにそれらのデータベースにアクセスすることがあります。しかし、ローカ

ル・データベースのアカウントがアクセスに使用されるケースも多くあります（とくに、Oracle Application Express で作成されているレポート・アプリケーションやカスタム・アプリケーションの

場合）。コンプライアンスの問題があるため、ローカル・データベースのアカウントは管理が難し

く、結果として、ユーザーが自分のログイン資格証明を忘れてしまった場合、費用がかかるヘルプ

デスクにコールすることが多くなります。

Oracle Identity Management は、Oracle Database の Enterprise User Security（EUS）機能を活用した競争

力がある独自のソリューションを提供します。EUS を使用することで、データベースのデータベー

ス・ユーザー名を LDAP ユーザーに、データベース・ロールを LDAP グループにマッピングできま

す。また、クライアント・アプリケーションがユーザー名/パスワード認証を使用している場合、EUSでは LDAP パスワードを使用できます。

一般的に、Oracle Database、Oracle Virtual Directory では独自の ID 仮想化機能を使用できるので、必

須のデータベースEUSメタデータ、およびユーザー/ロールのマッピングを格納するために、Microsoft Active Directory（または、Sun のディレクトリ）を使用できます。これにより、既存のプロビジョニ

ング・ワークフローを使用して、データベースにアクセスする必要があるユーザーに適切なアカウ

ントとロールに基づいた権限を付与できます。

また、データベースへのアクセスを制御するためにエンタープライズ・ディレクトリに対するプロ

ビジョニング・ワークフローを作成することで、Oracle Identity Manager を使用してデータベースへ

のアクセスを管理できます。

EUS を利用することで、監査対象のアカウント数が減るため、コンプライアンスが簡略化されます。

また、ユーザーがステータスを変更したときに更新するシステムの数が少なくなるため、セキュリ

ティが向上します。さらに、記憶するパスワードの数が少なくなるので、エンドユーザーにもメリッ

トがあります。

詳しくは、Oracle Technology Network Web サイトの『Oracle Directory Services and DB Enterprise User Security Deployment Options』を参照してください。

また、前述のように、Oracle Internet Directory では、独自の 2 つのデータベース・セキュリティ機能

がサポートされています。Oracle Database Vault（データベース管理者の職務の分離を実施）と Oracle Transparent Data Encryption です。

38


Oracle Database Vault は、ディレクトリ・ストレージのための独自の機能を提供します。この機能は、

Oracle Internet Directory プロトコル・リスナーの外部から ID データがアクセスまたは操作されること

を防ぎます。フラット・ファイル・ディレクトリ・ストレージを使用する製品は、多くの場合、テ

キスト・エディタを使用して適切なファイルを更新するだけで変更できます。このことは、パスワー

ドの変更または機密データへの不正アクセスをおこなうための潜在的なバックドアになります。こ

のタイプのアクセスを防止できるのは、Oracle Internet Directory と Oracle Database Vault の組み合わせ

のみです。

Transparent Data Encryption は、Oracle Database の機能であり、データベース内のデータを暗号化しま

す。部外者がデータベースへの不正アクセスを取得したとしても、彼らはデータを読み取れません。

データを暗号化すると、データは承認されたアカウントを使用してのみアクセスできるようになる

ので、暗号化は個人情報の盗難を防ぐもっとも簡単な方法です。

Oracle Database Vault および Oracle Transparent Data Encryption により、オラクルは、ストレージから

クライアントまでの完全なセキュリティを備えた唯一のディレクトリ・サービスを提供できます。

将来の展望

この項では、Oracle Identity Management の 11g Release 1 以降の展開についての一般的な情報を示しま

す。今後の展開は、次の 3 つの主要な軸を中心におこなわれます。ロール管理、サービスとしての

ID、および ID とアクセス管理の分析の 3 つです。Oracle Identity Management の今後のリリースでは、

そのサービス・ベースのアーキテクチャを活用して、オラクル全体の ID およびアクセス管理サービ

スを強化します。

ロール管理

本書の先頭で説明したように、Oracle Identity Management 11g Release 1 の主要な目的の 1 つは、開発

から導入、および完全な本番環境での管理まで、アプリケーションのライフ・サイクル全体をとお

してセキュリティ・サービスを強化することにあります。

Oracle Platform Security Services および Identity Governance Framework を採用することで、Oracle Identity Management 11g Release 1 は、Oracle Fusion Middleware、Oracle Fusion Applications、およびオ

ラクル環境で稼働しているサード・パーティのアプリケーションにセキュリティ基盤を提供します。

また、Oracle Access Manager、Oracle Entitlements Server、および Oracle Virtual Directory などのアクセ

ス管理コンポーネントは、アプリケーションを組込みセキュリティとともに配置するには欠かすこ

とができません。

ID 管理に関して、エンタープライズ・アプリケーションの開発者、導入担当者、管理者、およびビ

ジネス・ユーザーにとっての中核となるのはロールの概念です。アプリケーション開発者の場合、

ロールによって、機能領域に関連づけられている一連のアプリケーション権限が特定されます。た

だし、実行時には、アプリケーション管理者はそれらのアプリケーション固有のロールが企業内で

適切に管理され、公開されるかを確認する方法を見つける必要があります。ビジネス・ユーザーに

は、それらのロールを管理するための正しいツールと正しいレベルの情報が提供される必要があり

ます。そして、コンプライアンス・マネージャーまたは監査人は、それらのロールに関するポリシー

を定義して、基礎をなすビジネス・プロセスを詳細に制御するための追加のコンプライアンス措置を

実施する必要があります。アプリケーションが必要とするロールの解決をおこなうためには、効率

的なロール・エンジンが存在する必要があります。

Oracle Identity Management 11g Release 1 は、開発者や管理者が Oracle Platform Security Services、Oracle Entitlements Server、および Oracle Role Manager を使用してロールを管理するのに役立つ複数のツー

ルを提供しています。

39


今後、オラクルでは、開発から本番環境まで、アプリケーションのライフ・サイクルのすべての段

階におけるロール管理に対応するため、Oracle Identity Management のさまざまな（とくにロールを扱

うための）コンポーネントのより緊密な統合と統一されたビューを提供します。

Identity as a Service：サービスとしての ID

ID およびロール管理は、従来はエンタープライズ・アプリケーション間で多く複製されていた一連

の機能でした（いわゆる"サイロ"アプローチ）。企業のインフラストラクチャは、個々のシステムの

周囲に構築、および維持される傾向にあり、ID およびロール管理は多くのリポジトリの間で分散さ

れていました。

図 19 に示されているように、Oracle Identity Management 11g Release 1 は、包括的な ID サービスを提

供し、異なる ID 情報ソースからのリコンシリエーションを可能にする独自の仮想化レベル（Oracle Virtual Directory）を提供することで、分散している ID 情報の問題に対応しています。

図 19：サービスとしての ID

今後、Oracle Identity Management では、提供されるすべての ID 管理サービスに対してさらに一元化

され、強化された管理インタフェースを提供します。たとえば、承認、認証、プロビジョニング、

ロールと組織の管理のための統一されたホーム・ページ、登録やパスワードの自己管理などのより

ユーザー・セントリックな機能を提供することで、最終的な目標である"サービスとしての ID"の実

現を近づけます。

40


ID およびアクセス管理の分析

コンプライアンスは、ID およびアクセス管理をおこなう顧客にとって、不可欠なビジネス要件となっ

ています。このため、Oracle Identity Management 11g Release 1 では、Oracle Platform Security Servicesの一部として Oracle Fusion Middleware の共通の監査フレームワークを採用しています。また、Oracle Identity Management 11g Release 1 では、監査データに関するレポートを公開するために Oracle Business Intelligence を広く活用しています。

今後、Oracle Identity Management では、ビジネス・インテリジェンス・テクノロジーを使用し、Oracle Identity Manager、Oracle Role Manager、Oracle Information Rights Management、および Oracle Fusion Middleware と Oracle Fusion Applications のそのほかの主要な ID 対応コンポーネントによって制御さ

れる豊富な情報を活用する全体的なアプローチを用いて、管理者が ID サービスを分析できる追加機

能を提供します。

おもに、今後の Oracle Identity Management の分析機能では以下が提供されます。

• ID およびアクセス管理がコスト、セキュリティ・リスク、およびコンプライアンスに与える影響

を予測するのに役立つ一連の方法、アプローチ、およびソリューション

• アクションの実行が可能なダッシュボードとレポートを使用した、ビジネス・ユーザーおよび監

査人向けの重要な ID とセキュリティ情報のプレゼンテーション

• Oracle Identity Management 内外のさまざまな ID ソースからの情報の収集および相互関連付けに

よる、コンプライアンス関連の要件の実装にかかる費用の削減

• リスク分析に基づく潜在的な不正行為の防止

最終的な目標は、監査および相関関係のための統合されたフレームワークを提供することにあります。

これは、オラクル製品だけではなく、オラクル以外の ID 情報ソースにも、より優れたレポート機能

と分析機能を提供するものです。

最後に

Oracle Fusion Middleware 11g Release 1 を導入することで、オラクルは、業界トップのアプリケーショ

ン・サーバーである Oracle WebLogic Server に基づく完全に統合されたホット・プラガブルなベスト・

オブ・ブリード・ミドルウェア・スイートを提供するというビジョンを実現します。オラクルは、

Oracle Fusion Middleware 11g Release 1 の機能の一部として、Oracle Identity Management に、強化され

た最新の機能を提供しています。

Oracle Identity Management 11g Release 1 は、エンタープライズ・リソースの保護、およびそれらのリ

ソースに作用するプロセス（人的プロセスと自動化プロセスの両方）の管理に対応するための新た

なレベルのセキュリティおよび完全性を可能にすることで、大規模なアプリケーション・グリッド

の整合性を確保します。

Oracle Identity Management 11g Release 1 は、より高いレベルの統合、連結、および自動化を通じて向

上した効率性、およびアプリケーション・セントリックのセキュリティ、リスク管理、およびガバナ

41


ンスに関する向上した有効性を提供します。Oracle Identity Management 11g Release 1 は、開発環境か

ら完全な本番環境への導入まで、アプリケーションのライフ・サイクルを全面的にサポートします。

42

Oracle Identity Management Suite 11g Release 1 2009 年 6 月

著者：Marc Chanliau Copyright © 2009, Oracle and/or its affiliates.All rights reserved. 本文書は情報提供のみを目的として提供されており、ここに記載される内容は予告なく変更されることがあります。本文書は一

切間違いがないことを保証するものではなく、さらに、口述による明示または法律による黙示を問わず、特定の目的に対する商

品性もしくは適合性についての黙示的な保証を含み、いかなる他の保証や条件も提供するものではありません。オラクル社は本

文書に関するいかなる法的責任も明確に否認し、本文書によって直接的または間接的に確立される契約義務はないものとしま

す。本文書はオラクル社の書面による許可を前もって得ることなく、いかなる目的のためにも、電子または印刷を含むいかなる

形式や手段によっても再作成または送信することはできません。

Oracle Corporation

World Headquarters 500 Oracle Parkway

Redwood Shores, CA 94065

U.S.A.

海外からのお問い合わせ窓口： Oracle は米国 Oracle Corporation およびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。電話：+1.650.506.7000 ファクシミリ：+1.650.506.7200

oracle.com 0109