1
Oracle Fusion Middleware-Identity Management-
日本オラクル株式会社
Fusion Middlewareを核としたオラクルの製品戦略構想
EA基盤(データベースとミドルウェアの統合)
Business Intelligence
SOA
Fusion Middleware
セキュリティ(IdM)
Enterprise Data Hub
RFID & LBS
Fusion Middlewareを核としたオラクルの製品戦略構想
EA基盤(データベースとミドルウェアの統合)
Business Intelligence
SOA
Fusion Middleware
セキュリティ(IdM)
Enterprise Data Hub
RFID & LBS
Enterprise Data Hub
RFID & LBS
Business Intelligence
SOA
セキュリティ(Identity Management)
EA基盤(データベースとミドルウェアの統合)
4
Oracle Security Architecture
Oracle Identity Management
OID SSO OCAProvisioningIntegration
DelegationService Oblix
OCS
コラボレーション系
BI
情報系
EBS
勘定系
Database SecurityVPD 監査暗号化 認証
ASO
基盤のセキュリティ
アプリケーションセキュリティ
USERApplication
その他ERPなど
新たな拡張
5
Identity Managementの変遷と近未来
Enterprise
Impact –
Operational
Cost savings,
Improved
Security
Time
DirectoryServices
Single Sign On
IdentityAdministration
Provisioning
Federation
Web Services
Mainstream market Emerging Market
6
Oracle Identity Management の構成要素
Oracle Identity Management
Directory
PKI
SSO
Provisioning/ Integration
Certificate Authority
Single Sign-On
DelegationService
User
ApplicationServer
Directory
Database
OracleAS
Single Sign-on
Single Sign-On (SSO)
PKI, pwd, Win2K Native Auth…
SecureID, Biokey,
ERP,CRM,…
ポータル
パートナーSSO (Netegrity, RSA, Oblixなど )
パートナーSSO が管理している他社製品の環境
OracleAS で構成された環境
OIDExtranetExtranet
Federation / Liberty
� ID・パスワードを統一� 他のSSO製品との連携� データベース、他社製アプリ
ケーションサーバ環境に透過的にアクセスが可能
� マルチレベル認証� アプリケーションによって
必要なユーザ認証モードを選択可能
Active Directory
Kerberosを利用した認証の委託と連携
Oracle Internet Directory� スケーラビリティ
– 100万を超えるエントリが可能– 1000を超えるクライアントが利用可能
� 高い可用性– マルチマスタ構成とレプリケーション– ホットバックアップ・リカバリ、RACの利用
� 拡張性– プラグイン・フレームワーク– 外部認証– パスワードポリシーのカスタマイズ管理
� 容易さと効率– グリッドコントロール・マルチノード・モニタ
リング� セキュリティ
– 高度なパスワードポリシーを実装可能– ポリシーに基づいたアクセスコントロール– 監査ログの取得
LDAPクライアント
ディレクトリ管理コンソール
OID サーバ
Oracleデータベース
Directory Integration
コネクタ
外部ディレクトリ(データベースを含む)
SunOne
Active Directory
Oracle HR
Oracle DB
OpenLDAP
eDirectory
OracleInternet
Directory
DirectoryIntegration
Service
他のディレクトリやデータベースとの同期・連携を実現する
Provisioning Integration
ERP,CRM,… eMail Portal
Partner Provisioning System
Oracle Provisioning Integration Service
Event Notification
Engine
Policy &Workflow Engine
セルフサービス(パスワードやユーザ情報)
全社の人事システム(Employee Enrollment)
ヘルプデスク管理者
電子メール管理者
OID
ポータル管理者
Pro
visi
onin
g C
onne
ctor
s
Delegated Administration Services
� 管理コンソールのカスタマイズ
– ユーザ・グループの管理
– エンドユーザ・管理者の画面を分離
– 管理作業を委任できる。
� エンドユーザのセルフサービス– 自分の属性情報を登録・変更できる。
– パスワードリセット・変更などができる。
Oracle Certificate Authority(OCA)
� PKIを使った高度なユーザ認証
に利用できる。
� ユーザむけのクライアント証明
書がセルフサービスによって簡
単に発行・管理できる。
� Webベースで証明書の管理が
簡単に行える。
� Oracle Application Server のSingle Sign-On ・OIDと自動的に
連携できる。
User
OracleCertificateAuthority
Metadata Repository
Secure IT Facility
OracleSingle
Sign-On
Oracle Internet Directory
15
Federation プロトコル
� 広範囲に及ぶインフラストラクチャ� OracleAS SSO +Federation
社員ポータル
Sign-On
FederatedSSO
Partner Circle of Trust (COT)
401K Benefits
Medical Benefits
Travel Agency
Firewall
OracleSSO
OID
Oracle Identity Management
Federation
Delegated Administration
Directory Integration /Provisioning
FederationとOracle Identity Management
FederatedSSO
16
Delegated Admin Service
Meta Directory (DIP)
Directory (OID)
Cert. Authority / PKI(OCA)
OracleAS SSO
Provisioning Integration (DIP)
Federation(Liberty / SAML -2.0)
Web Authorization
Virtual Directory
Provisioningconnectors
COREid Access
COREid Provisioning
COREid Identity
10g / 10.1.3 Oblix
Current Portfolios
Identity Grid Control
COREsv Web Services Management
Oracle / Oblix インテグレーションロードマップ
SHAREidIdentity Federation
Access Control
Integrated Portfolio
Directory (OID)
Identity Provisioning
Meta-Directory
Certificate Authority
SSO
WS Management Gateway
OracleAS Option
Virtual Directory
ID Grid Control
Auditing & Reporting
Oracle Identity Mgmt
Integration Roadmap
COREid Provisioning
COREid Identity &Access
Immediate Availability
Directory (OID)
Delegated Admin Service
Provisioning Integration
Certificate Authority
Oracle AS SSO
WS Management Gateway (COREsv)
Oracle-Oblix IdM
Oracle Identity Mgmt
OracleAS Option
COREid Federation
17
FederationOracle COREid Federation
� 機能概要– シームレスなSSOとID管理の組織間共
有が可能� Multi-protocol gateway – SAML, Liberty,
WS-Federation� Service Provider (Hub) またはIdentity
Provider (Spoke)が可能
– 柔軟な配置と設定� COREidをつかったインテグレーション� web-access管理ソリューションのための
スタンドアロン用途� プロトコルSDK (10gAS)
� そのメリット– パートナー企業等とのセキュアなインテ
グレーション– 管理コストの削減– エンドユーザの利便性向上
18
構成イメージ
COREid Federation
COREid Access and Identity
Source
COREid Federation
CA SiteMinder
Source
Source
SAML Compliant
COREid Federation
Portal LDAP or RDBMS
Source
SAML Compliant
Destination
COREid Federation
CA SiteMinder
Destination
COREid Federation
COREid Access and Identity
Destination