Oam mobile-social-overview

Oracle Access Management
Mobile and Social

Oracle Asia Research and Development Center

Alice Liu（lzhmails@gmail.com)
2013/04/09
1

話題
1. モバイル＆ソーシャル潮流

2. OAM Mobile and Social 機能概要
2.1主な機能概要
2.2モバイルアプリケーションにエンタープライズ·セキュリティ
の拡張
2.3ユースケースシナリオ

Copyright © 2012, Oracle and/or its affiliates. All right

2

Oracle Access Management Mobile and Social

モバイル＆ソーシャル潮流

未像：モバイル・ソーシャル・ネット
ワークが社会を変える


3

モバイル&ソーシャルアクセスのプロミス
いつでも、どこでも、アクセス可能

新しいビジネスツール

個人&企業設備

モバイル、ソーシャル、Cloudアクセス未来像：モバイル・ソーシャル・ネッ
トワークが社会を変える


4

多種多様なシステムおよびリソースに対するアカウント
アクセスを管理

サービスレベル要件

高

信頼の企業ユーザー

拡張の企業ユーザー

低

外部ユーザー

信頼
低

Copyright © 201３, Oracle and/or its affiliates. All right

高

5

Oracle Access Management Mobile & Social って何？

モバイルセキュリテ
ィ

ソーシャル
サインオン

クラウド·アクセス

業界標準をサポート

6

モバイル、ソーシャル時代におけるアクセス管理

Authz


7


OAM

Mobile and Social 機能概
要
主な機能概要



8

主な機能
モバイルサービス
Oracle Access Management Mobile and
インターネット・アイデンティティ・サービス
Socialサービスは、サーバを含む既存のバ
ックエンドIDを持つインタフェース管理イ
ンフラストラクチャ。

ユーザー・プロファイル・サービス

Access Managementとの統合サービス


9

Mobile & Social ホームイメージ

10

モバイルサービスについて
エンタープライズ·アイデンティティへのブラウザベースとネイティブ·モバイル·アプリケーションを
接続するモバイルサービス。管理インフラストラクチャは、典型的には、OAMプラットフォーム

インターネット・アイデンティティ・サービスについ
て人気があるGoogleやYahoo、Facebook、Twitter、またはLinkedInのような複数なログインサービスオ
プションを提供。
導入すれば実装しなくても、それぞれのアイデンティティ・プロバイダの機能にアクセスできる。


11

Oracle Mobile and Social Access Management
ユーザー・プロファイルサービスについて
LDAP作成、読み取り、更新、および削除（CRUD）用のRESTインターフェースを提供

Access Managementとの統合サービス
Oracle Access Manager（OAM）を活用でき、エージェント·ソフトウェアにより、ラン
タイムRESTインターフェースを提供

※スタンドアロンモードは、Oracle Enterprise Gatewayは（OEG）機能と組み合わせて使用

※ユーザープロファイルサービスはJWTにより保護


12


OAM

要

モバイルアプリケーションにエンタ
ープライズ·セキュリティの拡張



13

モバイルアプリケーションにエンタープライズ·セキュリティの拡
張
Oracle Access Manager ：Webアプリケーションの認証、許可、およびシングルサインオン用

Oracle Adaptive Access Manager （OAAM）：モバイルデバイスフィンガープリント、登録、モバイルデ
バイスコンテキスト、および不正検出

Oracle Enterprise Gateway (OEG)：最初のマルチプロトコルおよびマルチフォーマットの防衛線。クラウ
ドサービスへのセキュリティゲートウェイ

Oracle Entitlement Server（OES）：モバイルデバイスのコンテキストに基づい、エンタープライ
ズ・アプリケーションへのアクセス、きめ細かな認可ポリシーを一元化

LDAPベースのユーザー·ディレクトリへのモバイルアプリケーションの直接アクセス用のOracleディレクト
リ·サービス。たとえば、OID、ODSEE、OUD


14

Function:モバイルユーザーの認証
非モバイルアプリケーションと同様に、新しいモバイルアプリケーションへの既存の認証イン
フラストラクチャを拡張できる認証サービスを提供する。

次のような共通のトークンタイプをサポート
ユーザートークン（User Token）：認証対象に関する権限を持つベアラトークン（OAuth 2.0 JWT）

アクセストークン（Access Token）：エンタープライズWebアプリケーションなど、保護されたリソースへのアクセスが
許可されたトークン

クライアントトークン（Client Token）：非モバイルデバイスへのアクセスが許可されるトークン。
たとえば、Webアプリケーション、サーバーアプリケーションなどへのアクセストークン。


15

Function:モバイルユーザーの認証
Tips
モバイルデバイスと非モバイルデバイスは、異なるセキュリティ上の課題、モバイル認証と非
モバイル認証は、 Oracle Mobile and Social Access Managementで別々に管理されている。

モバイルサービスとインターネット・アイデンティティ・サービスは一緒に設定できます。


16

Function:モバイルユーザーの承認
Tips
承認は、OES（ Oracle Entitlement Server ）によって処理される。
OESおよびOracle Access Managementプラットフォームは、アイデンティティ·コンテキスト、
オラクルのIDおよびアクセス管理製品の一部であるサービスに基づくコンテキストアウェアな

セキュリティポリシー管理を可能にするユニークなエンドツーエンドのソリューションを提供。

アイデンティティ·コンテキスト


{ “CustomerDetailResponse“:
{ “customerID”:
“99999”
“name”:
“Sally Smith”
“phone”:
“555-1234567”
“SSN”:
“***********“
“creditCardNo”: ”@^*%&@$#%!“
“purchaseHistory”: “…”
}
}

17

Function:モバイルユーザーの承認
Tips
アイデンティティ·コンテキストがトランザクションに関連する複数のIDおよびアクセス管理コンポーネントに既知の
属性で構成されている。
アイデンティティ·コンテキスト属性は、ユーザー·プロファイル（通常はユーザーディレクトリに格納される）、
アプリケーションおよびエンタープライズ·ロール、認証タイプ（弱、強）、デバイスのステータス（既知、管理、
信頼）、デバイスコンテキスト（場所、構成情報など）、フェデレーション（パートナー属性、およびリスク評価

（パターン分析）を含む。

{ “CustomerDetailResponse“:
{ “customerID”:
“99999”
“name”:
“Sally Smith”
“phone”:
“555-1234567”
“SSN”:
“***********“
“creditCardNo”: ”@^*%&@$#%!“
“purchaseHistory”: “…”
}
}


アイデンティティーコンテキストは、オラクルのIDおよびアク
セス管理コンポーネント、アイデンティティコンテキスト属性、
特にモバイルアクセス用のデバイスコンテキスト間で共有され
ており、アクセスの決定を行うために設計されたセキュリティ·
コンポーネントで使用可能になる（たとえば、OESの承認）。

18

Function:ユーザー·ディレクトリとの統合
Tips
ユーザー・プロファイルサービスは、Web、モバイル、およびデスクトップアプリケーション、
Tips
ディレクトリルックアップの様々な処理を実行できるようにし、タスクを更新する。

ユーザープロファイルサービスにより、モバイルとソーシャル·サーバーへのRESTを呼び出し、
モバイルデバイスから自分の組織のユーザーはユーザー・プロファイルへアクセスできるアプリ
ケーションを構築できる。


19

ユーザープロファイルサービスでディレクトリデータ
Tips
を公開
LDAPディレクトリ·サービスは、ユーザーのセルフサービス、会社のホワイトページ、または
ヘルプデスク·ユーザ·アカウント·メンテナンスを含む多くの機能を使用されている。
M&SソリューションのユーザープロファイルサービスはOracleディレクトリ·サービス（OID、
ODSEE、OUDを含む）だけでなく、Microsoft Active Directoryなどのサードパーティの
ディレクトリサービスにRESTインタフェースを提供する。

ネイティブ
iPadアプリ
ケーション
からディレ
クトリサー
ビスを見え
る


20

Function:モバイルアプリケーションとシングルサインオンを提
Tips
供
モバイル·シングル·サインオン（SSO）は、ユーザーがアプリケーションごとに認証情報を提供

Tips

せずに、同じデバイス上の複数のモバイル·アプリケーションを実行することができる。
ネイティブとブラウザベースのアプリケーションは、モバイルSSOの実現可能。


21

Function:モバイルアプリケーションとシングルサインオンを提
供
Tips
モバイルSSO機能について、モバイルデバイスのベース上、モバイルのSSOエージェントを

Tips

指定する必要がある。
OAMプラットフォーム11gR2 PS1により、モバイルSSOエージェントはApple iOSとAndroid
デバイスでサポートされ、ユーザーはM&S Client SDKを使用し、モバイルSSOエージェント・

アプリケーションを構築する可能。

モバイルSSOエージェン
トは何？
リモートM&S
サーバーとバッ
クエンドのアイ
デンティティ·サ
ービスで認証す
る必要があるデ
バイス上の他の
アプリケーショ
ンの間のプロキ
シとする。

モバイルSSOエー
ジェントは、リ
スクベース認証
とアイデンティ
ティ·コンテキス
ト用のサーバに
渡されるローカ
ルデバイス属性
を収集するタス
クを一元化する。

モバイルSSOエ
ージェントが
存在する場合、
ユーザーの資
格情報がモバ
イル·ビジネス·
アプリケーシ
ョンに公開さ
れることはな
い。

ブラウザ·ベー
スのビジネス
·アプリケー
ションは、認
証用のモバイ
ルSSOエージ
ェントを使用
するように設
定することが
できる。

22

Function: OAMのモバイルサービス機能
Tips
エンタープライズリソースは、OAM、またはOWSMにより保護されたかもしれない。
M&Sサーバはモバイルアプリケーションとリソースの間の経路をセキュアするために、
2種類のトークンをサポートしている（OAMのトークン（HTTPクッキー）とJWTs）。

M&S Client SDKはユーザーの資格情報を収集し、M&S RESTインタフェースで
プログラムの認証を処理する。

OAM生成されたトークンがJSONで配信されます。OPSSによりJWTsが生成される。


23

Function:エンタープライズアプリケーションとWeb APIはOEGで保
護
Tips
OEGは、M&SサービスにREST呼び出しのためのファイアウォール保護を提供する
使用案例：
ますます多くの小売業者はBestBuyやAmazonにより販売チャネルを設立する予定。

たとえば、FedEx会社は、購入した商品の配達を追跡することができる顧客が小売業者のサイト（“mash-up”アプリケーシ
ョン）を構築する必要。
マッシュアップ（mash-up)を有効するために、企業は自社のアプリケーションへのアクセスを公開する必要があります。

OEGは、特にモバイルプラットフォームに利用可能でないSOAPベースサービスへのアクセスを許可する、SOAP
およびSAMLのリクエストからRESTとJWT（またはOAM）のリクエストに変換することができる。

Web APIsは、エンタープライズ·ソフトウェアとレガシーシステムと相互作用するように
設計されたRESTfulなアプリケーション·プログラミング·インターフェースです。


24

Function:検証デバイスID
Tips
M&Sサービスは、デバイスとアプリケーションは両方の登録を適用している認証サービス。
デバイスの登録もOAAMで
使用可能なポリシーとリス
ク評価の対象となります。
関連ポリシーは、KBA、電
子メールまたはSMSにより
OTPなどの課題をステップ
アップトリガすることがで
きる。
ホスト認証とチャレンジポ
リシーはOAAM統合により
R2PS1でサポートされてい
る。


25

Function:デバイスの紛失や盗難への対処
Tips
OAAMと統合されるM&Sサ
ービスは、紛失または盗難
にあったデバイスをマーク
する方法を提供することに
より、このリスクに対処し、
紛失後、エンタープライズ
·アプリケーションへのア
クセスを試みたときに適用
された特定のポリシーを実
装し、アクセスブロックで
きる。

再認証プロセスを
行う


26


OAM

要
ユースケースシナリオ



27

ユースケースシナリオ１
モバイル
ユーザは
OAuthを
使用して
サービス·
プロバイ
ダ（SP）
によって
公開され
たリソー
スにアク
セス案例

Oracleの信頼されたセキュリティ·プラットフォーム上の構
築

28

ユースケースシナリオ2

OAMとOAAM
の統合上、
OAMMSを活用
し、モバイル
ユーザーはモ
バイル·アプリ
ケーション間
でSSO案例


29

参考資料
• Oracle Mobile and Social Access Management 11g R2 PPT
Author: Forest Yin, Dan Killmer, Roger Wigenstam, Sid Mishra
・ Introduction to OIC presentation slides
・ OAAMS-OEG-Usecases.pdf
・ mobileandsocialaccessmanagementwp.pdf

• Learn More :
• http://docs.oracle.com/cd/E27559_01/dev.1112/e27134/customizingmobilesrvcs.htm
• http://techtarget.itmedia.co.jp/tt/news/1208/16/news01.html

31

関連用語集&外部リンク
• OAuth http://ja.wikipedia.org/wiki/OAuth
• Oracle Enterprise Gateway
http://www.oracle.com/technetwork/jp/middleware/id-mgmt/oeg-300773-ja.html
• Oracle Entitlements Server
http://www.oracle.com/jp/products/middleware/identity-management/entitlementsserver-151624-ja.html
・ AWG http://ja.wikipedia.org/wiki/AWG
・ OpenID http://ja.wikipedia.org/wiki/OpenID
・ WebAPI，認証APIのセキュリティ
http://gihyo.jp/dev/serial/01/web20sec/0006
・ REST, REpresentation State Transfer http://ja.wikipedia.org/wiki/REST
・ API Application Programming Interface

32

• SOAP REpresentation State Transfer
http://ja.wikipedia.org/wiki/SOAP_(%E3%83%97%E3%83%AD%E3%83%88%E3
%82%B3%E3%83%AB)
• HTTP （hypertext transport protocol） Webサーバとクライアント(Webブラウ
ザなど)がデータを送受信するのに使われるプロトコル。HTML文書や、文書に関連付
けられている画像、音声、動画などのファイルを、表現形式などの情報を含めてやり取
りできる。IETFによって、HTTP/1.0はRFC 1945として、HTTP/1.1はRFC 2616として
規格化されている。

• Data Redaction 広く共有されている文書上のプライベート・コンテンツを検出して
削除し、機密データが文書やフォームから不注意で開示されないように保護します。コ
ンプライアンス要求もサポートし、適切な許可とポリシーによる場合以外の機密データ
の開示を防ぎます。

33

• フィンガープリント【finger print】 http://ewords.jp/w/E38395E382A3E383B3E382ACE383BCE38397E383AAE383B3E3838
8.html
• OpenID オープンアイディー http://ja.wikipedia.org/wiki/OpenID
• エクストラネット(Extranet)

複数のイントラネットを相互接続したネットワークシステ

ムのことである。

• TCO 【Total Cost of Ownership】（総所有コスト）
• ホワイトリスト一般的なウィルス対策ソフトに代表されるブラックリスト方式のセキュ
リティ対策は、既知の脅威に対してのみ有効な手段です。

• Cohesion 凝集度
http://ja.wikipedia.org/wiki/%E5%87%9D%E9%9B%86%E5%BA%A6
• オンボードコンピュータ【on-board computer】オンボードコンピュータとは、基板
などのボード上に搭載されたコンピューターの総称である。
34

• フェデレーション http://msdn.microsoft.com/ja-jp/library/ms730908.aspx
フェデレーションセキュリティにより、クライアントがアクセスするサービスと、関連する認証および承認の手順を明
確に分離できます。また、フェデレーションセキュリティを使用すると、異なる信頼レルムに属する複数のシステム、ネ
ットワーク、および組織間のコラボレーションが可能になる。

・クレームベースのアーキテクチャ
http://www.atmarkit.co.jp/fdotnet/arcjournal/arcjournal16_06/arcjournal16_06_02.html
・ XACML(eXtensible Access Control Markup Language)
XACMLとは、XMLベースのマークアップ言語で、インターネットを通じた情報アクセスに関する制御ポ
リシーを記述するための言語仕様のことである。2003年2月にXML関連技術の標準化団体であるOASISに
よって標準化されている。
・ ad hoc アドホック
http://ja.wikipedia.org/wiki/%E3%82%A2%E3%83%89%E3%83%9B%E3%83%83%E3%82%AF
無線アドホックネットワークの一つの形態である。 MANETでは、ラップトップや、携帯電話など、携帯
可能である端末で無線アドホックネットワークを構築する。

35

・ OAuth 2.0 JWT べアラートークン
http://help.salesforce.com/HTViewHelpDoc?id=remoteaccess_oauth_jwt_flow.htm
&language=ja JSON Web トークン (JWT) は、JSON ベースのセキュリティトークンエンコードで、ID とセキュ
リティ情報をセキュリティドメインで共有できるようにします。OAuth 2.0 JWT ベアラートークンフローは、クライアント
が前の認証の使用を希望する場合に、JWT を使用して Salesforce から OAuth アクセストークンを要求する方法を定義しま
す。認定済みのアプリケーションの認証は JWT に適用されているデジタル署名で提供されます。

• エンドツーエンド【end to end】（E2E）「両端で」「端から端まで」という意味の英語表現。通信・
ネットワークの分野で、通信を行う二者、あるいは、二者間を結ぶ経路全体を意味する。

• JSON（ジェイソン、JavaScript Object Notation）

JavaScriptにおけるオブジェクトの表記法を
ベースとした軽量なデータ記述言語である。 http://ja.wikipedia.org/wiki/JavaScript_Object_Notation

• JSON Web Token (JWT) http://oauth.jp/post/43684099914/json-web-token-jwt
• スタンドアロンモードクライアント/ サーバイベントによってユーザのタスクが妨害される場合は、そのユー
ザにクライアントのスタンドアロン権限を付与します。

• OPSS

Oracle Platform Security Services

http://www.oracle.com/technetwork/testcontent/opss-faq-131489.pdf

36

Oam mobile-social-overview

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (10)

Similar to Oam mobile-social-overview

Similar to Oam mobile-social-overview (20)

Oam mobile-social-overview

Editor's Notes