去る7月14日に、OES 11gの新機能や設計テーマに関するWebcastを実施しました。参加いただいた皆様からの質問とその回答をまとめました。
以下のQ&Aをご覧になって、再度Webcastをご覧いただくと、OES 11gをより一層理解していただけると思います。
Webcast (Replay) : Introducing Oracle Entitlements Server 11g
http://w.on24.com/r.htm?e=314986&s=1&k=9D3BC728B97CE287E11288FFED2328E5
| 質問 | 回答 |
|---|---|
| OES11gの新しいところは? | 認可を外部に切り出して管理する点でいくつかの特徴があります。 1) リアルタイムの外部認可 大量の認可のチェックが必要なミッションクリティカルなアプリケーションでの最小限のレイテンシを保証 2) 標準を包括的にサポート XACML、NIST RBAC、Enterprise RBAC、ABAC、JAAS、OpenAZといった認可の標準を幅広くサポート 3) 迅速なアプリケーション統合が可能 幅広いアプリケーションプラットフォームで迅速に連携可能 |
| OES11gは他社製品とも連携できますか? | はい。OESは数多くの異種環境(つまりOracle以外)のプラットフォーム(カスタムアプリケーション、3rdパーティーアプリケーション、アプリケーションサーバ、データベース、ディレクトリサーバ、コンテンツ管理システム、SOA環境やクラウド環境、Webポータル、XMLゲートウェイ、種々の開発プラットフォームや開発言語))と連携できます。 |
| OES11gとOPSS (Oracle Platform Security Services)との違いは何ですか? | OPSSはOracle Fusion MiddlewareおよびOracle Fusion Applicationのセキュリティ基盤で、アプリケーションのセキュリティサービス(認証、監査、セキュリティで保護された資格情報ストレージ、アイデンティティプロファイル、認可など)を幅広く提供しています。 OESは、OPSSの下の認可エンジンです。 |
| OAMとOESはともに認可を取り扱えますが、OAMの認可に比較した場合のOESの特色はどこにありますか? | OAMは主に認証とSingle Sign-Onソリューションを提供します。OAMは粒度の荒井認可機能を持っているのに対し、OESはきめ細かい認可機能をもっています。例えば、ページやポータルのカスタマイズ、ページレベルのセキュリティチェック(ボタンの可視不可視、テキストボックスのグレーアウトなど)、トランザクションのチェック、メソッドや関数レベルのチェック、データの改訂などが可能です。 |
| OES11gはMicrosoftのActive Directoryとも連携できますか? | はい。OESは外部のユーザー、グループ、ロール、属性のリポジトリと連携できます。ベストプラクティスとして、既存のADのようなアイデンティティストアを利用することを推奨します。 |
| OES11gは他のOracle Identity Management製品(Oracle Access Maange、Oracle Adaptive Access Managerなど) と連携しますか? | OESは他のIdentity and Access Managementソリューションと連携できますので、OAMのようなSSOソリューションやOAAMのようなアダプティブな認証ソリューションとも連携できます。OESと連携することで、きめ細かい認可機能(ページやポータルのパーソナライズ、関数やモジュールレベルでのチェック、属性に基づくチェック、データの改訂など)が利用できます。OESはOracleのIdentity Managementスタックのコンポーネントととも組み合わせることができます。 |
| UIもしくはビジネスロジック層よりもデータベースでデータを改訂することを推奨されていますか? | ほとんどの大規模事例の場合、どうするかをどこかで決定する必要があります。あるシナリオでは、データソース(DBレベル)で認可決定を強制する場合がありますが、データサービス層(例えばハイバーネート層)での改訂を推奨する傾向にあります。一般に、これは非常に主観的な判断です。OES 11gは様々なアーキテクチャの選択肢を提供しています。とにかくケースバイケースということです。 |
| 11gではOES PEP/PDPはWebLogic ServerのOPSSに統合されています。OES管理サーバー(PDP)をWebLogic Server 11g上で利用する場合、WebLogic Server とPEP/PDPで込みのライセンスになるのでしょうか。それともWebLogic ServerのライセンスとOESは別ライセンスなのでしょうか? | OESのライセンスが別途必要です。 |
| OESとLDAPやTivoliのセキュリティ製品に比べてどうなのでしょう? | LDAP自体はリポジトリなので、それ自体にポリシーを強制する機能はありません。 |
| どこにロールを格納しているのでしょうか? | OESではロールはポリシーベースです。標準的なユーザーリポジトリ(例えばADなど)で管理されているユーザーやグループ、ユーザー属性といったエンティティに基づいてロールポリシーを構成できます。 |
| OESはOracle ADFと連携できますか?ADFコンポーネントをシームレスかつ透過的に認可できますか?(ADF開発者はOESを実行しません)それにはどうすればよいでしょうか? | もちろんです。OES管理コンソールはOESでできています。OESはOPSS層に組み込むことができるので、全てのFusion Middlewareおよび(OPSSベースの)アプリケーションは自動的にOESの認可エンジンを利用します。 |
| OESはSingle Sign-Onをサポートしていますか? | OESはWebSSO製品ではなく、きめ細かい認証モデルを実現するものです。OESはお客様がお持ちのSingle Sign-onソリューションと組み合わせ、確立されるユーザーコンテキストや、SSO製品が提供する、認可ポリシーで利用したい他の情報を活用します。 Oracle Access Manager(OracleのWebSSO製品)は、内部で組み込み版OESを使っており、これによりURLのレベル(粒度の粗い)の承認を行います。 |
| この手のコンテキスト承認を実現するためにはEnterprise Gatewayが必要なのでしょうか。それともWebLogic Server(OPSS)などが実現するのでしょうか? | Oracle Enterprise Gatewayを使えば、非常に簡単にWebサービスはOESと連携できますし、アプリケーションコードを変更する必要はありません。類似の連携はOracle Web Services Managerを少々カスタマイズすることでも実現できます。 |
| OESはLayer-7ゲートウェイと連携しますか? | はい、OESはLayer-7ゲートウェイとの連携が可能です。 |
| OESはIBM DB2とのデータベースレベルの連携を提供していますか? | 明確なのは、ビジネス層の統合により、DB2とともにデータセキュリティのためにOESを利用できます。 |
| OESはJava以外で作成されたアプリケーション(C/C++など)でも使えますか? | OESはご指摘のような要件に対応するため、WebサービスとRMIのインターフェースを提供しています。既に金融サービス向けの事例がありますので、オフラインでお話できれば幸甚です。 |
| 認可ポリシーはOracle Databaseに格納できますか? | 認可ポリシーはOracle Databaseに格納できます。ユーザーやグループは既存のリポジトリ(ADやLDAP、RDBMS)に保持し続けることができます。 |
| セキュリティルールを外だしにするためのツールを提供していますか?もしくは推奨ツールはありますか? | そういうツールにお目にかかったことがないですね。 |
| 任意の統合開発環境(IDE、例えばEclipse)をサポートしていますか? | この質問には2つの意図があるのではないでしょうか。まず、OESのライブラリは任意のIDEで利用できますし、JDeveloperではセキュリティウィザードや宣言的なサポートを提供して、開発ライフサイクルの自動化に役立つ機能を提供しています。この機能について、今年後半でOES11gに対するCertificationを実施する予定です。将来的には他社製のIDEにも拡張する予定です。 |
| OESとOracle Identity Manager (OIM)やOracle Identity Analytics (OIA)との連携はどのようにするのでしょうか? | OIMはOESが認可の決定や認可ポリシーで利用可能なIDストアのユーザーやグループメンバーシップ(エンタープライズロール)をプロビジョニングします。OIMまた、認可ポリシーで使用する特定のユーザー属性を制御することがあります。(OIMは組み込み版のOESを委任された管理ポリシーの定義のために利用します)。OIAは、ロールメンバシップと関連した属性の再認証/証明、職務の分離(SoD)ポリシーのために利用できます。 |
原文はこちら。
http://blogs.oracle.com/OracleIDM/entry/oracle_entitlements_server_oes_11g
0 件のコメント:
コメントを投稿